Notenaustausch vom 22. Dezember 2004/4. und 29. März 2005

Transkript

1 Notenaustausch vom 22. Dezember 2004/4. und 29. März 2005 zwischen dem Schweizerischen Bundesrat und der Regierung der Vereinigten Staaten betreffend die Übermittlung von Passagierdaten (Passenger Name Record, PNR) durch Fluggesellschaften an ausländische Behörden In Kraft getreten am 29. März 2005 (Stand am 14. Februar 2006) Übersetzung 1 Botschaft der Vereinigten Staaten von Amerika Bern, Schweiz 22. Dezember 2004 Die Botschaft der Vereinigten Staaten von Amerika beehrt sich, dem Departement für auswärtige Angelegenheiten die Verpflichtungserklärung des US Department of Homeland Security/Customs and Border Protection (Departement für Landesschutz/Zoll- und Grenzschutz) bezüglich der Übermittlung von Passagierdaten (PNR Passenger Name Record) der Flüge zwischen den USA und der Schweiz vorzulegen. Wir gehen davon aus, dass diese Verpflichtungserklärung es dem schweizerischen Bundesrat ermöglicht, eine rasche Entscheidung zu treffen, welche die Fluggesellschaften ermächtigt, in Übereinstimmung mit dem schweizerischen Recht, die Passagierdaten an das Bureau of Customs and Border Protection weiterzugeben. Die Vereinigten Staaten freuen sich auf die Weiterführung der engen Zusammenarbeit unserer beiden Länder in der Flugsicherheit. Wir benützen auch diesen Anlass, das Departement für auswärtige Angelegenheiten unserer ausgezeichneten Hochachtung zu versichern. AS Übersetzung des englischen Originaltextes. 1

2 Luftfahrt Verpflichtungserklärung des Department of Homeland Security, Bureau of Customs and Border Protection (CBP) Zur Unterstützung der Absicht der schweizerischen Regierung, die Fluggesellschaften zur Übermittlung von Passagierdaten 2 (PNR Passenger Name Record) an das US Department of Homeland Security, Bureau of Customs and Border Protection zu ermächtigen, die in den Geltungsbereich des schweizerischen Bundesgesetzes vom 19. Juni über den Datenschutz («Datenschutzgesetz») fallen, unternimmt das CBP folgende Massnahmen: Rechtsgrundlage 1. Aufgrund der gesetzlichen Bestimmungen (Titel 49 United States Code, Sektion 44909(c)(3)) und der entsprechenden (vorläufigen) Durchführungsbestimmungen (Titel 19, Code of Federal Regulations, Sektion b) muss jede Fluggesellschaft, die Auslands-Passagierflüge von und nach den Vereinigten Staaten durchführt, dem CBP (vormals US Customs Service) elektronischen Zugriff auf PNR-Daten gewähren, soweit sie mit den computergestützten Reservierungs- und Abfertigungssystemen («Reservierungssysteme») der Fluggesellschaft erhoben und darin gespeichert werden. Nutzung von PNR-Daten durch das CBP 2. Die meisten PNR-Datenelemente kann das CBP durch Prüfung des Flugscheins und anderer Reisedokumente der betreffenden Personen im Rahmen seiner normalen Grenzkontrollbefugnisse erlangen. Wenn es diese Daten indessen in elektronischer Form erlangen kann, lassen sich die Möglichkeiten des CBP zur Reiseerleichterung für gutgläubige Passagiere und zur Durchführung wirksamer Vorkontrollen der Passagiere zum Zwecke der Risikobewertung beträchtlich verbessern. 3. Das CBP verwendet PNR-Daten ausschliesslich zum Zwecke der Verhütung und Bekämpfung: 1) des Terrorismus und damit verbundener Delikte; 2) anderer schwerer Delikte, die von Natur aus grenzübergreifend sind, inkl. internationales organisiertes Verbrechen; und 3) der Flucht vor Haftbefehlen bzw. vor Verhaftung im Zusammenhang mit den oben genannten Straftaten. Durch die Nutzung von PNR-Daten für diese Zwecke kann das CBP seine Ressourcen auf Hochrisikobereiche konzentrieren und damit das Reisen gutgläubiger Passagiere erleichtern und gewährleisten. 2 «Passagier» und «Passagiere» umfassen für diese Verpflichtungserklärung auch die Besatzungsmitglieder. 3 SR

3 Übermittlung von Passagierdaten - Notenwechsel mit den USA Erforderte Daten 4. Die vom CBP erforderten Datenelemente sind in Anhang A aufgeführt. (Diese Elemente werden für die Zwecke dieser Verpflichtungserklärung «PNR-Daten» genannt.) Das CBP verlangt zwar Zugriff auf alle vierunddreissig (34) in Anhang A aufgeführten Datenelemente, geht aber davon aus, dass ein einzelner PNR-Datensatz nur selten die Gesamtheit dieser Daten enthält. In den Fällen, in denen ein PNR-Datensatz nicht alle aufgeführten Datenelemente enthält, verzichtet das CBP darauf, über das Buchungssystem der Fluggesellschaft direkten Zugriff auf andere PNR-Daten zu erlangen, die nicht in Anhang A aufgeführt sind. 5. Felder von Datenelementen, die als «OSI» bzw. «SSI/SSR» identifiziert werden (normalerweise Felder für allgemeine Anmerkungen bzw. offene Datenfelder), werden durch das automatische System des CBP nach allen anderen in Anhang A aufgeführten Datenelementen durchsucht. Die Mitarbeiter des CBP sind nicht befugt, die OSI- und SSI/SSR-Felder gesamthaft manuell zu durchsuchen, es sei denn, das CBP habe die Person, auf die sich die PNR-Daten beziehen, hinsichtlich eines oder mehrerer der in Absatz 3 aufgeführten Sachverhalte als besonders risikoträchtig («high risk») eingestuft. 6. Die Anforderung weiterer Personendaten unmittelbar aufgrund von gewissen PNR-Daten aus nichtstaatlichen Quellen erfolgt ausschliesslich im gesetzlichen Rahmen, wie ggf. im Rahmen der gegenseitigen Rechtshilfe, und nur für die in Absatz 3 genannten Zwecke. 7. Das CBP nimmt mit der Schweizerischen Eidgenossenschaft zur Überarbeitung der Liste der angeforderten PNR-Datenelemente (Anhang A) Kontakt auf, bevor eine solche Überarbeitung vorgenommen wird, wenn es feststellt, dass Fluggesellschaften ihren Systemen PNR-Felder hinzugefügt haben, die nach Auffassung des CBP die Möglichkeiten zur Risikobewertung erheblich verbessern oder wenn die Umstände darauf hinweisen, dass ein bis dahin nicht obligatorisches PNR-Feld durch die begrenzten Zwecke, die unter Absatz 3 dieser Verpflichtungserklärung beschrieben sind, erforderlich wird. «Sensible» Daten 8. Das CBP verwendet gemäss nachstehender Bestimmungen keine «sensiblen» PNR-Daten (d.h. Personendaten, aus denen die rassische und ethnische Herkunft, die politische Meinung, religiöse und weltanschauliche Überzeugungen und Gewerkschaftsmitgliedschaft hervorgehen, sowie Daten über Gesundheit oder Sexualleben). 9. Das CBP führt möglichst rasch ein automatisiertes System ein, das gewisse «sensible» PNR-Codes und -Bezeichnungen, die das CBP der Schweizerischen Eidgenossenschaft bezeichnet hat, herausfiltert und löscht. 3

4 Luftfahrt 10. Bis diese automatischen Filter einsatzbereit sind, verpflichtet sich das CBP, keine «sensiblen» PNR-Daten zu verwenden und aus PNR-Daten, die gemäss Absatz weitergegeben werden dürfen, die «sensiblen» Datenelemente zu löschen 4. Verfahren für den Zugriff auf PNR-Daten 11. Wenn das CBP PNR-Daten direkt vom Reservierungssystem der Fluggesellschaft abruft (oder sie ihm von da übermittelt werden), um mögliche Personen zu ermitteln, die einer Grenzkontrolle unterzogen werden müssen, greifen die Mitarbeiter des CBP nur auf PNR-Daten von Personen zu (oder nehmen sie entgegen), die von oder nach den 5 Vereinigten Staaten reisen. 12. Das CBP «holt» die Passagierdaten aus den Reservierungssystemen der Fluggesellschaften («pull»), bis die Fluggesellschaften in der Lage sind, ein System einzurichten, das die Daten zum CBP «bringt» («push»). 13. Das CBP ruft die PNR-Daten für einen bestimmten Flug frühestens 72 Stunden vor Abflug ab und überprüft das System zwischen dem ersten Abruf, dem Abflug von einem Ort ausserhalb und der Ankunft in den Vereinigten Staaten bzw. dem ersten Abruf und dem Abflug aus den Vereinigten Staaten höchstens drei (3) Mal auf eventuelle Änderungen der Informationen hin. Falls es für die Fluggesellschaften möglich wird, PNR-Daten zu «pushen», haben sie 72 Stunden vor Abflug zum CBP zu gelangen. Allfällige Änderungen der PNR-Daten zwischen diesem Zeitpunkt und der Ankunft bzw. dem Abflug in den Vereinigten Staaten müssen ebenfalls an das CBP übermittelt werden. 6 Im Ausnahmefall, dass das CBP über Frühinformationen verfügt, wonach verdächtige Personen in die USA einfliegen, aus den USA ausfliegen oder durch die USA hindurchfliegen könnten, kann das CBP PNR-Daten früher als 72 Stunden vor dem Abflug abrufen (oder einen Sonder-«push» verlangen), um geeignete Massnahmen zur Verhütung oder Bekämpfung einer Straftat gemäss Absatz 3 zu gewährleisten. Soweit praktikabel, stützt sich das CBP in Fällen, in denen früher als 72 Stunden vor Abflug auf PNR-Daten zugegriffen werden muss, auf die bei der Strafverfolgung üblichen Rechtsbestimmungen. 4 Solange das CBP keine automatischen Filter (gemäss Absatz 9) eingeführt hat, bemüht es sich, wenn PNR-Daten, die es gestützt auf Absatz 34 weitergibt, «sensible» Daten enthalten, mit allen Kräften darum, ihre Offenlegung unter Beachtung der US-Gesetzgebung zu begrenzen. 5 Dies schliesst Transitpassagiere ein, die durch die USA reisen. 6 Wenn sich Fluggesellschaften bereit erklären, die PNR-Daten an das CBP zu «pushen», wird es mit den Fluggesellschaften die Möglichkeit erörtern, PNR-Daten zwischen der erstmaligen Übermittlung 72 Stunden vor dem Abflug von einem Ort ausserhalb der Vereinigten Staaten und der Ankunft in den Vereinigten Staaten bzw. 72 Stunden vor Abflug aus den Vereinigten Staaten regelmässig zu übermitteln. Das CBP versucht ein «push»-verfahren der benötigten PNR-Daten einzusetzen, das dem Bedarf der Behörde nach einer wirksamen Risikobewertung gerecht wird und dabei die wirtschaftliche Belastung der Fluggesellschaften möglichst gering hält. 4

5 Übermittlung von Passagierdaten - Notenwechsel mit den USA Ablagedauer der PNR-Daten 14. Vorbehaltlich der Zustimmung der National Archives and Records Administration (44 United States Code 2101ff.) beschränkt das CBP den Online-Zugriff auf PNR-Daten für zugriffsberechtigte CBP-Nutzer 7 auf sieben (7) Tage, wonach die Zahl der zugriffsberechtigten Beamten während drei Jahren und sechs Monaten (3,5 Jahre) ab Zugriff auf die Daten im Buchungssystem der Fluggesellschaft (bzw. nach Erhalt derselben) weiter verringert wird. PNR-Daten, auf die während 3,5 Jahren nicht manuell zugegriffen wurde, werden vernichtet. PNR-Daten, auf die während der anfänglichen 3,5-Jahres-Frist manuell zugegriffen wurde, werden vom CBP in eine Datei für gelöschte Datensätze überführt 8, wo sie während weiterer acht (8) Jahre verbleiben, bevor sie definitiv vernichtet werden. Diese Fristen sind indessen nicht auf PNR-Daten anwendbar, die an ein gegebenes Ermittlungsverfahren geknüpft sind. (Solche Daten bleiben bis zur Aktenschliessung einsehbar.) Für PNR-Daten, die das CBP während der Geltungsdauer dieser Verpflichtungserklärung in den Reservierungssystemen der Fluggesellschaften «holt» (oder die zu ihm «gebracht» werden), gelten für das CBP die in diesem Absatz definierten Fristen, ungeachtet der möglichen Beendigung dieser Verpflichtungserklärung gemäss Absatz 45. IT-Sicherheit des CBP 15. Zugriffsberechtigte Mitarbeiter des CBP erhalten über das geschlossene CBP-Intranet-System mit End-to-End-Verschlüsselung, das vom Data Center des CBP überwacht wird, Zugang zu den PNR-Daten. Die PNR-Daten, die in der CBP-Datenbank gespeichert sind, sind nur für zugriffsberechtigte Personen und lediglich schreibgeschützt zugänglich, d.h. die Daten als solche können zwar softwaremässig umformatiert werden, aber in keiner Weise inhaltlichen Änderungen durch das CBP unterzogen werden, nachdem sie vom Reservierungssystem der Fluggesellschaft übertragen wurden. 16. Keine andere ausländische, Bundes-, Staats- oder Lokalbehörde hat direkten elektronischen Zugriff auf die PNR-Daten über die CBP-Datenbanken (auch nicht über IBIS Interagency Border Inspection System). 7 Bei diesen zugriffsberechtigten Nutzern des CBP handelt es sich u.a. um Mitarbeiter, die den mit Auswertungsaufgaben betrauten Abteilungen in den Aussenstellen angehören, sowie um Mitarbeiter des National Targeting Centers. Wie erwähnt haben auch Personen, die mit Wartung, Entwicklung und Überwachung der CBP-Datenbank betraut sind, für diese begrenzten Zwecke Datenzugriff. 8 Die PNR-Daten werden bei der Überführung in die Datei für gelöschte Datensätze zwar technisch nicht gelöscht, aber als Rohdaten gespeichert (also in einer Form, die nicht unmittelbar durchsucht werden kann und damit für «traditionelle» Ermittlungen der Strafverfolgungsbehörden unbrauchbar ist). Darüber hinaus sind sie auf einer «Need-to-know»-Basis nur für zugriffsberechtigte Mitarbeiter des Office of Internal Affairs des CBP (und in einigen Fällen in Zusammenhang mit Kontrollen für das Office of the Inspector General), sowie für das mit der Wartung der Datenbanken betraute Personal des Office of Information Technology des CBS zugänglich. 5

6 Luftfahrt 17. Die Angaben über Datenzugriffe in den CBP-Datenbanken (Akteur, Ort, Tag und Uhrzeit, allfällige Datenänderungen usw.) werden automatisch erfasst und routinemässig vom Office of Internal Affairs geprüft, um unberechtigte Nutzungen des Systems zu verhindern. 18. Der Zugriff auf die PNR-Daten ist auf bestimmte Beamte und Mitarbeiter des CBP, sowie IT-Vertragspartner 9 (unter CBP-Aufsicht) beschränkt, deren Hintergrund eingehend überprüft wird, über ein aktives, passwortgeschütztes Konto im CBP-Computersystem verfügen und ein nachweisliches dienstliches Interesse an der Einsichtnahme in PNR-Daten haben. 19. Diese Beamten, Mitarbeiter und Vertragspartner werden alle zwei Jahre einer vollständigen Sicherheits- und Datenschutzschulung mit Abschlussprüfung unterworfen. Anhand der CBP-Systemüberwachung wird sichergestellt, dass alle Datenschutz- und -sicherheitsanforderungen erfüllt werden. 20. Der unbefugte Zugriff von CBP-Mitarbeitern auf die Reservierungssysteme von Fluggesellschaften oder das Computersystem des CBP, in dem PNR-Daten gespeichert sind, wird mit strengen Disziplinarmassnahmen (bis hin zur Entlassung) geahndet und kann strafrechtlich Folgen nach sich ziehen (Busse, Freiheitsstrafe bis zu einem Jahr oder beides) (siehe Titel 18, United States Code, Sektion 1030). 21. Die CBP-Grundsätze und -Vorschriften sehen weiterhin strenge Disziplinarmassnahmen (bis hin zur Entlassung) für einen CBP-Mitarbeiter vor, der Informationen aus dem CBP-Computersystem ohne offizielle Genehmigung weitergibt (Titel 19, Code of Federal Regulations, Sektion ). 22. Gegen Beamte und Mitarbeiter der Vereinigten Staaten, die PNR-Daten unrechtmässig weitergeben, die sie im Rahmen ihrer Beschäftigung erlangt haben, können strafrechtliche Sanktionen (Busse, Freiheitsstrafe bis zu einem Jahr oder beides) verhängt werden (s. Titel 18, United States Code, Sektionen 641, 1030, 1905). Verarbeitung und Schutz der PNR-Daten durch das CBP 23. Das CBP behandelt PNR-Informationen unabhängig von der Staatsangehörigkeit oder dem Wohnsitzland der betroffenen Person als strafverfolgungsrelevante, vertrauliche Personeninformation des Betroffenen und als vertrauliche Geschäftsinformationen der Luftfahrtgesellschaft. Es legt diese Daten ausschliesslich in den Fällen gemäss dieser Verpflichtungserklärung bzw. kraft gesetzlicher Erfordernisse offen. 24 Die Offenlegung von PNR-Daten gegenüber der Allgemeinheit fällt generell unter den Freedom of Information Act (FOIA) (Titel 5, United States Code, Sektion 552), der jedermann (unabhängig von Staatsangehörigkeit und Wohnsitzland) Zugang zu Unterlagen der US-Bundesbehörden ermöglicht, sofern diese Unterlagen (oder Teile davon) nicht durch eine Ausnahmeregelung des FOIA von der Offenlegung ausgenommen sind. Diese FOIA-Ausnahmeregelungen ermächtigen eine Behörde, Unter- 9 Jeglicher Zugriff von Vertragsunternehmen auf PNR-Daten in den Computersystemen des CBP ist auf Personen beschränkt, die einen Vertrag mit dem CBP über Wartungs- oder Entwicklungsarbeiten an dessen Computersystem abgeschlossen haben. 6

7 Übermittlung von Passagierdaten - Notenwechsel mit den USA lagen (oder Teile davon) von der Offenlegung auszunehmen, wenn es sich um vertrauliche Geschäftsinformationen handelt, wenn die Offenlegung eine klar ungerechtfertigte Verletzung der Privatsphäre des Betroffenen darstellen würde oder wenn die Informationen für Strafverfolgungszwecke erhoben wurden und die Offenlegung nach allgemeinem Ermessen eine ungerechtfertigte Verletzung der Privatsphäre darstellen könnte (Titel 5, United States Code, Sektionen 552(b)(4), (6), (7)(C)). 25. Die CBP-Bestimmungen für die Beantragung von Informationen (z.b. von PNR-Daten) gemäss FOIA (Titel 19, Code of Federal Regulations, Sektion ) halten ausdrücklich fest, dass (abgesehen von einigen wenigen Ausnahmen bei Anträgen durch die betroffenen Personen) die Offenlegungspflicht des FOIA in folgenden Fällen nicht auf die CBP-Einträge anwendbar ist: a) bei vertraulichen Geschäftsinformationen; b) bei persönlichen Informationen, deren Offenlegung eine klar ungerechtfertigte Verletzung der Privatsphäre darstellen würde; c) Informationen, die für Strafverfolgungszwecke erhoben wurden und deren Offenlegung nach allgemeinem Ermessen eine ungerechtfertigte Verletzung der Privatsphäre darstellen könnte Das CBP wird sich bei allfälligen Gerichts- oder Verwaltungsverfahren im Zusammenhang mit einem FOIA-gestützten Antrag für die Offenlegung von PNR-Daten, die von Fluggesellschaften stammen, auf den Standpunkt stellen, dass diese Informationen von der Offenlegung gemäß FOIA ausgenommen sind. Übermittlung von PNR-Daten an designierte Behörden 27. Abteilungen des Department of Homeland Security (DHS) werden hinsichtlich von PNR-Daten, die das CBP gemäss der in Absatz 1 aufgeführten rechtlichen Grundlagen erhält, wie «Drittbehörden» behandelt und denselben Vorschriften und Bestimmungen unterzogen wie andere Regierungsbehörden ausserhalb des DHS. 28. Das CBP liefert PNR-Daten im Rahmen seines Ermessens von Fall zu Fall an andere Regierungsbehörden, sowie an Regierungen von Drittländern, die Terrorismusbekämpfungs- oder Strafverfolgungsaufgaben wahrnehmen, und zwar ausschliesslich zum Zwecke der Verhütung oder Bekämpfung der unter Absatz 3 aufgeführten Delikte. (Behörden, an die das CBP solche Daten weitergibt, werden im Folgenden als «designierte Behörden» bezeichnet.) 29. Das CBP macht von seinem Recht, PNR-Daten zu den genannten Zwecken weiterzugeben umsichtigen Gebrauch. Es prüft zunächst, ob die Offenlegung der PNR-Daten gegenüber einer designierten Behörde dem festgesetzten Zweck gemäss Absatz 28 dient. Gegebenenfalls und sofern das CBP über Anhaltspunkte für eine tatsächliche oder mögliche Rechtsverletzung verfügt, prüft das CBP, ob die designierte Behörde für die Verhütung, Aufklärung und Verfolgung von Verstössen gegen die einschlägige Gesetzgebung und Vorschriften bzw. für deren Um- oder Durch- 10 Das CBP beruft sich unabhängig von Staatsangehörigkeit oder Wohnsitz der betroffenen Person auf diese Ausnahmen. 7

8 Luftfahrt setzung zuständig ist. Schliesslich wird der sachliche Nutzen der Offenlegung im Lichte aller dargelegten Umstände gewürdigt. 30. Bei der Weitergabe von PNR-Daten an designierte Behörden gilt das CBP als «Eigentümer» der Daten. Den designierten Stellen obliegen aufgrund der ausdrücklichen Offenlegungsbestimmungen folgende Pflichten: a) Verwendung der PNR-Daten ausschliesslich zu den in Absatz 28 und 33 genannten Zwecken; b) Sicherstellung der ordnungsgemässen Vernichtung der bereitgestellten PNR-Daten in Übereinstimmung mit den Datenablageverfahren der designierten Behörde; c) Bewilligungspflicht durch das CBP für jede allfällige Weiterverbreitung der Daten. Die Nichtbeachtung dieser Bestimmungen kann Ermittlungen und eine Stellungnahme des DHS Chief Privacy Officers nach sich ziehen, sowie die Nicht-Eignung der designierten Behörde für den Erhalt künftiger PNR-Daten durch das CBP. 31. Jede Weitergabe von PNR-Daten durch das CBP bedingt die Behandlung dieser Daten durch die Empfängerbehörde als vertrauliche Geschäftsinformationen und als strafverfolgungsrelevante, vertrauliche Personendaten des Betroffenen gemäss Absatz 24 und 25, die von der Offenlegung gemäss Freedom of Information Act (Titel 5, United States Code, Sektion 552) ausgenommen sind. Die bezeichnete Behörde wird weiterhin darauf hingewiesen, dass die Verbreitung dieser Informationen nicht ohne ausdrückliche vorgängige Genehmigung durch das CBP zulässig ist. Das CBP genehmigt keinerlei Weitergabe von PNR-Daten zu Zwecken, die nicht den Absätzen 28, 33 und 34 entsprechen. 32. Mitarbeiter der designierten Behörde, die ohne entsprechende Befugnis PNR-Daten offen legen, können sich strafbar machen (Titel 18, United States Code, Sektionen 641, 1030, 1905). 33. Keine dieser Bestimmungen verhindert die Nutzung oder die Weitergabe von PNR-Daten an zuständige Behörden, sofern ihre Bekanntgabe zum Schutz lebenswichtiger Interessen des Betroffenen oder anderer Personen, insbesondere im Falle erheblicher Gesundheitsrisiken erforderlich ist. In diesem Fall unterliegt die Weitergabe den in Absatz 30 und 31 dargelegten Bedingungen. 34. Keine dieser Bestimmungen verhindert die Nutzung oder Weitergabe von PNR-Daten für Strafverfahren oder andere gesetzliche Anforderungen. Das CBP unterrichtet die Schweizerische Eidgenossenschaft über allfällige Änderungen des US-Rechts, die substanzielle Auswirkungen auf die Bestimmungen dieser Verpflichtungserklärung haben. 8

9 Übermittlung von Passagierdaten - Notenwechsel mit den USA Informations-, Auskunfts- und Widerspruchsrecht der betroffenen Passagiere 35. Das CBP klärt die Reisenden über die Erhebung ihrer PNR-Daten, sowie über deren Nutzung auf. (Allgemeine Informationen über die Rechtsgrundlage für die Datenerhebung, den Zweck der Erhebung, den Datenschutz, die Datenweitergabe, die Identität des zuständigen Beamten, die verfügbaren Rechtsbehelfe, sowie Kontaktangaben für allfällige Fragen und Anliegen usw. Diese Informationen werden u.a. über die Homepage des CBP und über Reisebroschüren bekannt gemacht.) 36. Der Antrag eines Direktbetroffenen (auch «Erst-Antragsteller») auf Einsicht in seine PNR-Daten in den Datenbanken des CBP wird gemäss Freedom of Information Act (FOIA) bearbeitet. Anträge dieser Art können entweder per Post gerichtet werden an: «Freedom of Information Act (FOIA) Request, U.S. Customs and Border Protection, 1300 Pennsylvania Avenue, N.W., Washington, D.C »; oder sie können persönlich dem «Disclosure Law Officer, U.S. Customs and Border Protection, Headquarters, Washington, D.C.» ausgehändigt werden. Weitere Angaben zu den Verfahren für die Beantragung einer Dateneinsicht gemäss FOIA sind dem Code of Federal Regulations Titel 19, Sektion zu entnehmen. Bei Erst-Anträgen erachtet das CBP die PNR-Daten nicht wie üblich als vertrauliche personenbezogene Daten des Betroffenen und als vertrauliche Geschäftsinformationen der Fluggesellschaften, um sie dem Betroffenen nicht unter Berufung auf FOIA vorzuenthalten. 37. In bestimmten Ausnahmefällen kann das CBP kraft Sektion 552(b) FOIA dem Erst-Antragsteller die Offenlegung des gesamten PNR-Datensatzes (oder häufiger eines Teils davon) verweigern bzw. hinauszögern. (Dies trifft z.b. zu, falls die Offenlegung gemäss FOIA nach allgemeinem Ermessen allfällige Strafverfahren beeinträchtigen könnte oder damit Techniken und Methoden der Strafverfolgung in einer Weise preisgegeben würden, die nach allgemeinem Ermessen die Gefahr einer Gesetzesumgehung vergrössern könnte.) Gemäss FOIA hat jeder Antragsteller das Recht, die Entscheidung des CBP, die Dateneinsicht zu verweigern, verwaltungsrechtlich und gerichtlich anzufechten (s. FOIA Sektion 552(a)(4)(B); 19 Code of Federal Regulations ). 38. Das CBP verpflichtet sich, Daten auf Antrag von Passagieren, Besatzungsmitgliedern, Fluggesellschaften oder des Schweizerischen Datenschutzbeauftragten (sofern der Betroffene diesen ausdrücklich damit beauftragt hat) zu berichtigen 11, falls es feststellt, dass solche Daten in seiner Datenbank gespeichert sind und die Berichtigung gerechtfertigt und sachgültig belegt ist. Das CBP unterrichtet alle designierten Behörden, die diese PNR-Daten erhalten haben, über substanzielle Berichtigungen. 11 Das CBP stellt klar, dass es beim «Berichtigen» nicht befugt ist, einzelne Daten in den PNR-Datensätzen der Fluggesellschaften, zu bearbeiten. Vielmehr wird ein getrennter Datensatz erzeugt, der mit dem PNR-Datensatz verknüpft ist und das für unrichtig befundene Datenelement, sowie die Berichtigung enthält. Das CBP fügt eine Anmerkung in den sekundären Prüfsatz des betreffenden Passagiers ein, die besagt, dass bestimmte PNR-Daten unrichtig sind oder sein könnten. 9

10 Luftfahrt 39. Anträge auf Berichtigung von PNR-Daten, die in CBP-Datenbanken gespeichert sind, und Beschwerden der Betroffenen über die Behandlung ihrer PNR-Daten durch das CBP können entweder von den Betroffenen selbst oder vom Schweizerischen Datenschutzbeauftragten (sofern der Betroffene diesen ausdrücklich damit beauftragt hat) eingereicht werden, und zwar beim «Customer Satisfaction Unit, Office of Field Operations, U.S. Bureau of Customs and Border Protection, 1300 Pennsylvania Avenue, N.W., Washington, D.C ». 40. Falls das CBP einer Beschwerde nicht nachkommen kann, besteht die Möglichkeit, die Beschwerde schriftlich an den «Chief Privacy Officer, Department of Homeland Security, Washington, DC 20528» zu richten, der den Sachverhalt untersucht und sich um seine Lösung bemüht Ausserdem befasst sich das DHS Privacy Office umgehend mit Beschwerden, die der Schweizerische Datenschutzbeauftragte (Datenschutzbeauftragter) im Auftrag einer in der Schweiz ansässigen Person an ihn richten, sofern dieser den Datenschutzbeauftragten beauftragt hat, in ihrem Namen zu handeln, nachdem sie zu der Auffassung gelangt ist, dass ihre Datenschutzbeschwerde bezüglich PNR-Daten vom CBP (gemäss Absatz 36 40) oder vom DHS Privacy Office nicht zufrieden stellend behandelt worden ist. Das Privacy Office unterrichtet den Datenschutzbeauftragten von seinen Schlussfolgerungen, sowie über allfällig ergriffene Maßnahmen. Der DHS Chief Privacy Officer erstattet dem Kongress Bericht hinsichtlich Zahl, Gegenstand und Erledigung von Beschwerdefällen im Zusammenhang mit Personen- bzw. PNR-Daten Der DHS Chief Privacy Officer ist von allen Abteilungen des Department of Homeland Security losgelöst. Er hat laut Gesetz sicherzustellen, dass personenbezogene Informationen im Einklang mit der einschlägigen Gesetzgebung (siehe Fußnote 11) verwendet werden. Die Entscheidungen des Chief Privacy Officer sind für das DHS verbindlich und können nicht aus politischen Erwägungen aufgehoben werden. 13 Gemäss Sektion 222 des Homeland Security Act aus dem Jahr 2002 (nachstehend «Gesetz»: Public Law vom 25. November 2002 ) ist der DHS Privacy Officer mit einer «Datenschutzprüfung» betraut, die die Auswirkungen geplanter Bestimmungen des Ministeriums auf den Datenschutz, einschliesslich der Art der erhobenen Personendaten und der Zahl der betroffenen Personen untersucht. Er hat dem Kongress jährlich Bericht über die datenschutzrelevanten Tätigkeiten des Ministeriums zu erstatten. Sektion 222(5) des Gesetzes weist dem DHS Privacy Officer ausserdem ausdrücklich die Aufgabe zu, sich mit allen Fällen einer Verletzung der Privatsphäre zu befassen, und dem Kongress darüber zu berichten. 10

11 Übermittlung von Passagierdaten - Notenwechsel mit den USA Durchsetzung 42. CBP und DHS verpflichten sich, einmal pro Jahr oder nach Vereinbarung der Parteien häufiger gemeinsam mit der Schweizerischen Eidgenossenschaft und erforderlichenfalls Vertretern der schweizerischen Strafverfolgungsbehörden und anderer schweizerischer Behörden 14 die Umsetzung dieser Verpflichtungserklärung hinsichtlich der beiderseitigen Beiträge zum effizienten Funktionieren der hier beschriebenen Abläufe zu überprüfen. 43. Das CBP erlässt Vorschriften, Richtlinien und andere Umsetzungsmassnahmen, wie auch diese Bestimmungen, um ihre Beachtung durch Beamte, Mitarbeiter und Vertragsunternehmen des CBP zu gewährleisten. Gemäss bereits erwähnten Bestimmungen werden Verstösse von Beamten, Angestellten oder Vertragsunternehmen des CBP gegen diese Umsetzungsmassnahmen mit strengen Disziplinar- und gegebenenfalls strafrechtlichen Massnahmen geahndet. Gegenseitigkeit 44. Sollte die Schweizerische Eidgenossenschaft ein Passagier-Identifikationssystem einführen, das Fluggesellschaften verpflichtet, den Behörden den Zugang zu PNR-Daten von Personen zu gestatten, deren Reiseweg einen Flug von oder nach der Schweiz einschliesst, wird das CBP die US-Fluggesellschaften unter strenger Beachtung des Gegenseitigkeitsgrundsatzes zur Zusammenarbeit anhalten. Überprüfung und Geltungsdauer 45. Diese Verpflichtungserklärung gilt ab Inkrafttreten einer Vereinbarung zwischen den Vereinigten Staaten und der Schweizerischen Eidgenossenschaft, die die Verarbeitung von PNR-Daten durch Fluggesellschaften zum Zweck ihrer Weiterleitung an das CBP im Einklang mit dem schweizerischen Datenschutzgesetz während drei Jahren und sechs Monaten (3,5 Jahre) vorsieht. Zwei Jahre und sechs Monate (2,5 Jahre) nach Inkrafttreten dieser Verpflichtungserklärung nimmt das CBP, in Absprache mit dem DHS, Gespräche mit der schweizerischen Regierung zum Zwecke der Verlängerung dieser Verpflichtungserklärung und aller damit verbundener 14 Beide Seiten informieren einander frühzeitig über die Zusammensetzung ihrer Delegationen. Sie können geeignete Behörden umfassen, die für die Bereiche Datenschutz, Zollschutz und alle Formen der Strafverfolgung, Grenzschutz und Flugsicherheit zuständig sind. Die Beteiligten müssen die erforderlichen Sicherheitsprüfungen bestehen und sind hinsichtlich der Erörterungen und der ihnen ggf. zugänglich gemachten Unterlagen zur Geheimhaltung verpflichtet. Die Geheimhaltungspflicht verunmöglicht beiden Seiten jedoch nicht, ihren zuständigen Behörden, u.a. dem US-Kongress und dem Schweizerischen Parlament, über die Ergebnisse der gemeinsamen Überprüfung Bericht zu erstatten. Auf keinen Fall dürfen die teilnehmenden Behörden jedoch personenbezogene Daten von Betroffenen offen legen. Dieses Verbot gilt auch für nichtöffentliche Informationen, die sich aus den ihnen zugänglich gemachten Unterlagen ergeben, sowie für operative oder interne Behördeninformationen, von denen sie bei der gemeinsamen Überprüfung Kenntnis erlangen. Die Modalitäten der gemeinsamen Überprüfung werden von beiden Seiten einvernehmlich festgelegt. 11

12 Luftfahrt Vereinbarungen zu beiderseits annehmbaren Bedingungen. Diese Verpflichtungserklärung verfällt, wenn vor Ablauf ihrer Geltungsdauer keine Einigung erzielt werden kann. Begründung von Rechten oder Präzedenzfällen 46. Durch diese Verpflichtungserklärung werden keinerlei Rechte oder Vergünstigungen für private oder öffentliche Personen oder Parteien begründet oder übertragen. 47. Die Bestimmungen dieser Verpflichtungserklärung stellen für künftige Verhandlungen über Datenübermittlungen jeglicher Art mit der Schweizerischen Eidgenossenschaft, mit ihr verbundener Einrichtungen oder mit Drittstaaten keinen Präzedenzfall dar. 12

13 Übermittlung von Passagierdaten - Notenwechsel mit den USA PNR-Datenelemente, die das CBP von den Fluggesellschaften anfordert 1. PNR-Buchungscode (Record Locator Code) 2. Datum der Reservation 3. Geplante Abflugdaten 4. Name 5. Andere Namen im PNR 6. Adresse 7. Alle Zahlungsinformationen 8. Rechnungsadresse 9. Telefonnummern 10. Gesamter Reiseverlauf des besagten PNR 11. Vielflieger-Eintrag (auf geflogene Meilen und Adress(en) beschränkt) 12. Reisebüro 13. Sachbearbeiter Reisebüro 14. Codeshare-Information des PNR 15. Reisestatus des Passagiers 16. Informationen über Splitting/Teilung einer Buchung Adresse 18. Ticketing-Informationen 19. Allgemeine Bemerkungen 20. Ticketnummer 21. Sitzplatznummer 22. Datum der Ticketausstellung 23. Aufstellung nicht angetretener Flüge (no show) 24. Nummer der Gepäckanhänger 25. Angaben zu Ticket ohne Reservation (go show) 26. Andere Service-Angaben (OSI) 27. Besondere Service-Angaben und -Anforderungen (SSI/SSR) 28. Angaben zum Informanten 29. Änderungen am PNR 30. Zahl der Reisenden im PNR 31. Sitzplatzstatus Anhang A 13

14 Luftfahrt 32. One-way-Tickets 33. Allfällige APIS-Informationen ATFQ (Automatic Ticketing Fare Quote)-Felder (automatische Tarifabfrage) 15 Gewisse Fluggesellschaften übermitteln dem CBP mit ihren PNR-Daten auch APIS-Informationen (Advance Passenger Information System). Das CBP erachtet, dass diese Daten anderen gesetzlichen Bestimmungen unterworfen ist (Titel 49, United States Code, Sektion 44909(a); Titel 19, Code of Federal Regulations, Sektion a) und daher von den Einschränkungen für die PNR-Daten gemäss dieser Vereinbarung ausgenommen sind. 14

15 Übermittlung von Passagierdaten - Notenwechsel mit den USA Eidgenössisches Departement für auswärtige Angelegenheiten Bern Bern, den 4. März 2005 Das Eidgenössische Departement für auswärtige Angelegenheiten beehrt sich, der Botschaft der Vereinigten Staaten von Amerika mit Bezug auf ihre Note vom 22. Dezember 2004 mitzuteilen, dass der Schweizerische Bundesrat von der Verpflichtungserklärung des US Departments of Homeland Security, Bureau of Customs and Border Protection (CBP), welche der Note der Botschaft beigefügt war, Kenntnis genommen hat. Auf Grund dieser Verpflichtungserklärung hat der Schweizerische Bundesrat die schweizerischen Fluggesellschaften ermächtigt, Passagierdaten an das CBP weiterzuleiten, zur Nutzung und Behandlung gemäss der durch das CBP eingegangenen Verpflichtung. In diesem Zusammenhang möchte die Schweiz folgende Änderung der Verpflichtungserklärung vorschlagen: Absatz 41: es muss Bezug genommen werden auf eine «in der Schweiz ansässige Person» anstatt auf einen «Schweizer Bürger». Das Departement dankt der Botschaft im Voraus für die Bestätigung der Annahme des oben erwähnten Änderungsvorschlags mittels einer diplomatischen Note. Zudem möchte die Schweiz festhalten, dass die Swiss International Airlines seit dem 1. Februar 2005 in der Lage ist PNR-Daten zu «bringen» («push»). Das Departement benützt auch diesen Anlass, die Botschaft seiner ausgezeichneten Hochachtung zu versichern. 15

16 Luftfahrt Botschaft der Vereinigten Staaten von Amerika Bern Bern, 29. März 2005 Die Botschaft der Vereinigten Staaten von Amerika beehrt sich, dem Departement für auswärtige Angelegenheiten in Beantwortung seiner Note vom 4. März 2005 mitzuteilen, dass das US Department of Homeland Security, Bureau of Customs and Border Protection (CPB) den schweizerischen Vorschlag betreffend Behandlung von Beschwerden durch in der Schweiz ansässige Personen angenommen hat. Schliesslich wird die Verpflichtungserklärung des CPB, welche durch die Botschaft mittels Note vom 22. Dezember 2004 vorgelegt wurde, wie folgt geändert: Im Absatz 41, wird der Bezug auf «Schweizer Bürger» zu «in der Schweiz ansässige Person» und der Bezug auf»«bürger» geändert auf «ansässige Person». Die Botschaft der Vereinigten Staaten von Amerika benützt auch diesen Anlass, das Departement für auswärtige Angelegenheiten seiner ausgezeichneten Hochachtung zu versichern. 16