Datenschutz Im Austausch zwischen der Swiss und dem EDÖB wurde festgelegt, welche zusätzlichen Massnahmen zur Verhin- derung allfälliger Missbräuche getrof- fen werden müssen. Die Swiss hat ihre allgemeinen Beförderungsbestim- mungen (ABB) angepasst, um ihre Kunden besser auf die Schutzwürdig- keit der auf dem Boarding Pass ersicht- lichen bzw. gespeicherten Personen- daten hinzuweisen. Weiter erhalten die Kunden nach dem automatischen Check-in per E-Mail einen entspre- chenden Warnhinweis. Erfolgt das Check-in online wird zudem angezeigt, an welche Adresse (Mail, Mobiltele- fonnummer) die Nachricht geschickt wird. Dies um kontrollieren zu kön- nen, dass die Bordkarte an die richtige resp. gewünschte Adresse geschickt wird. Weiter soll die Passnummer, die in bestimmten Fällen beim Buchungs- aufruf ersichtlich ist, teilweise unkenntlich gemacht werden. Der EDÖB hatte weiter vorgeschlagen, für die Aufrufung von Buchungen, die nicht über ein Reisebüro oder einen anderen Dritten, sondern direkt über die Internetseite der Fluggesellschaft erfolgen, nebst Name und Buchungs- referenz die Eingabe eines Zusatzele- ments, wie beispielsweise Handy- nummer oder E-Mail-Adresse, vorzu- sehen. Dieser Punkt war zum Ende des Berichtsjahres noch offen. Der EDÖB wies darauf hin, dass die Bekanntgabe von PNR-Daten durch Fluggesellschaften in Form eines Abkommens auf einer gesetzlichen Grundlage beruhen müsse. Während sich die anderen beteiligten Bundes- ämter klar zugunsten einer vorausset- zungslosen Datenbekanntgabe geäus- sert hatten, hielt der EDÖB daran fest, dass eine Datenbekanntgabe durch Fluggesellschaften an Mitgliedstaaten in Umsetzung der EU-PNR-Richtlinie nur erfolgen dürfe, wenn bestimmte Punkte erfüllt sind. Die Schweiz müsse so rasch als möglich versuchen, eine Assoziierung an die EU-PNR- Richt linie zu verhandeln und zu erhal- ten. In diesem Sinn plante das fedpol ursprünglich, dem Bundesrat noch im Herbst 2018 eine entsprechende Vor- lage inklusive Verhandlungsmandat mit der EU vorzulegen. Allerdings wurde dieses Projekt bis auf Weiteres aufgeschoben. Als der EDÖB von die- sem Aufschub erfuhr, wies er die betroffenen Bundesämter darauf hin, dass so rasch als möglich eine alterna- tive Rechtsgrundlage geschaffen wer- den müsse. Dem EDÖB wurde in Aus- sicht gestellt, die gesetzliche Grund- lage für die Lieferung von PNR-Daten an Staaten, welche diese gestützt auf die EU-PNR-Richtlinie verlangen würden, mit einer Revision der Luft- fahrtverordnung (LFV) zu schaffen und vorzusehen, so dass eine Datenlie- ferung nur an Staaten erfolgen darf, die ein angemessenes Datenschutzniveau aufweisen. Der EDÖB wird die Gesetzgebungsarbeiten beratend begleiten. Swiss-Buchungssystem – Massnahmen gegen Daten- missbrauch gefordert Die Swiss International Air Lines trifft verschiedene zusätzliche Massnahmen zur Verhinderung allfälliger Missbräu- che bei der Abrufung der Buchung über ihre Internetseite. Der EDÖB wurde darauf hingewiesen, dass es auf der Internetseite der Swiss möglich sei, mit der Eingabe von Nachname, Vorname und Buchungs- nummer beim Log-in verschiedene persönliche Daten (Vorname, Nach- name, Geburtsdatum, Geschlecht, Nationalität, Wohnsitz, Nummer und Gültigkeitsdauer von Pass resp. Identi- tätskarte) abzurufen. Dabei sei es sehr einfach, Nachname, Vorname und Buchungsnummer von anderen Passa- gieren auf Bordkarten herauszufinden, die von diesen nach einem Flug liegen gelassen, weggeworfen oder in sozia- len Medien publiziert wurden. Diese Informationen könnten auch aus dem Strichcode auf der Bordkarte mit einer einfachen Barcode-Lese-App heraus- gelesen werden. Mit diesem Log-in können auch sämtliche Buchungen der betroffenen Passagiere eingesehen und teilweise Daten geändert werden. Weil der Inhalt des Boarding Passes inkl. QR-Code bestimmten interna- tionalen Standards entsprechen muss, kann dieser von einzelnen Fluggesell- schaften nicht ohne Weiteres geändert werden. Dennoch müssen und können die Fluggesellschaften die notwendigen Massnahmen treffen um sicherzustellen, dass die Passagierdaten im Buchungssystem vor allfäl- ligen missbräuchlichen Bearbeitungen angemessen geschützt sind. 26. Tätigkeitsbericht 2018/19 25