Original-URL des Artikels: https://www.golem.de/news/passenger-name-record-journalist-findet-seine-kreditkartendaten-beim-us-zoll-1407-107990.html    Veröffentlicht: 20.07.2014 14:31    Kurz-URL: https://glm.io/107990

Passenger Name Record

Journalist findet seine Kreditkartendaten beim US-Zoll

Ars-Technica-Redakteur Cyrus Farivar wollte von der US-Zoll- und Grenzschutzbehörde CBP seinen Passenger Name Record (PNR) haben. Nach mehreren Monaten gelang ihm die volle Einsicht dieser für Fluggäste wichtigen Daten. Seit März 2005 speichern die Behörden teils überraschende Daten über ihn.

Die United States Customs and Border Protection, kurz CBP, speichert zahlreiche Daten von Reisenden zum Schutz der Grenzen der Vereinigten Staaten von Amerika. Cyrus Farivar, Redakteur beim US-Magazin Ars Technica, interessierte sich für die Daten, die im sogenannten Passenger Name Record stecken. Bereits im Mai 2014 versuchte er, an die Daten zu gelangen, bekam aber nur eine oberflächliche Sammlung zurückgeschickt, die Reisen von 1994 an beinhaltete. Nach einer Beschwerde bekam er nun 76 Seiten an neuen Daten.

Was die US-Behörde CBP dabei alles über Jahre hinweg speichert, überraschte Farivar. Postadressen, E-Mail-Adressen und Telefonnummern, die er nutzte, fanden sich in den Daten. Dazu kommen IP-Adressen, die er für den Kauf von Flugtickets verwendet hatte, sowie die genutzte Sprache und die Anrufe bei Fluggesellschaften - selbst wenn nur ein Sitzplatz geändert werden sollte.

Besonders überrascht hat ihn allerdings, dass seine Kreditkartendaten sich ebenfalls im PNR befinden. In voller Länge und mit Ablaufdatum. Allerdings nicht immer. Es ist abhängig vom sammelnden Unternehmen, ob die Kreditkartendaten vollständig in den PNR übermittelt werden. Die CBP sammelt den PNR nur. In einem Fall gab American Airlines Farivars - mittlerweile nicht mehr gültige - Kreditkartennummer in aller Vollständigkeit in den PNR. Auch die Buchungsseite Travelocity gab seine Kreditkartendaten komplett weiter. Weder American Airlines noch Travelocity konnte Farivar zu einer Stellungnahme bewegen. Die Fälle ereigneten sich in den Jahren 2005 und 2007.

Die gesammelten Daten, die über Call Center in den PNR übermittelt wurden, landeten ebenfalls bei der CBP. Dabei wurde offenbar nicht darauf geachtet, die Daten wenigstens zu minimieren. Farivar konsultierte mit Edward Hasbrouck einen Experten, der die Schuld dazu dem Outsourcing gibt. Die Mitarbeiter in Call Centern bekommen kein Training, was Datenminimierung angeht. Wieviele Daten ein Unternehmen wie eine Fluggesellschaft in den PNR überführt, entscheidet auch über die Qualität des Profils, das erstellbar ist. Allerdings gebe es keine Möglichkeit herauszufinden, wie ausführlich Daten von einem Unternehmen überführt würden, wie Hasbrouck erklärte.

Das PDF-Dokument zum Passenger Name Record der CBP gibt an, dass alle Fluggesellschaften, die von, zu oder über das Territorium der USA einen Flug durchführen, einen PNR ihrer Gäste übermitteln müssen. Empfänger sind hierbei nicht nur die CBP, sondern auch das Department of Homeland Security (DHS). Zusammen mit der TSA (Transport Security Administration) und der ICE (U.S. Immigration and Customs Enforcement) ist die CBP dem DHS für den Grenzschutz unterstellt. Normalerweise sollen die Daten nur für 5 Jahre vorgehalten werden. Farivars Daten sind hingegen deutlich älter, mit dem ersten Eintrag vom März 2005. Die CBP konnte ihm nicht erklären, wieso die Daten so alt sein konnten. Farivar selbst glaubt nicht, dass er etwas dagegen tun könne. Zwar verhindere das Kaufen von Last-Minute-Flugtickets am Flughafen ausführliche PNR, allerdings sei das ein sehr teures Unterfangen, da solche Flüge in der Regel den teuersten Buchungsklassen entsprächen.

Die US-Grenzschutzbehörden haben umfassende Rechte, weswegen die Electronic Frontier Foundation 2011 einen Reiseführer für Grenzgänger mit Daten veröffentlichte, nachdem die Arbeiten daran auf dem Chaos Communication Camp im selben Jahr vorgestellt wurden.

Nachtrag vom 20. Juli 2014, 22:50 Uhr

Ursprünglich hieß es im Artikel Jonathan Ryan sei der Redakteur bei Ars Technica. Tatsächlich ist es aber Cyrus Farivar. Wir bitten den Fehler zu entschuldigen.  (ase)


Verwandte Artikel:
Fluggastdaten: Regierung dementiert Hackerangriff auf deutsches PNR-System   
(10.03.2018, https://glm.io/133261 )
US-Grenzbehörden sammeln Daten von Grenzgängern   
(22.08.2008, https://glm.io/61915 )
Überwachung: US-Heimatschutz durchsucht automatisiert Social-Media-Konten   
(11.03.2017, https://glm.io/126669 )
Datenschutz an der Grenze: Wer alles löscht, macht sich verdächtig   
(08.01.2018, https://glm.io/132005 )
US-Grenzkontrolle: Durchsuchung elektronischer Geräte wird leicht eingeschränkt   
(06.01.2018, https://glm.io/131996 )

© 1997–2019 Golem.de, https://www.golem.de/