Seit Anfang Dezember 2007 sind nach der Unterschrift des russischen Präsidenten unter das Föderale Gesetz Nr. 326 zur Änderung von Artikel 85.1 des Luftraumgesetzes die Fluggesellschaften verpflichtet, in ihren Informationssystemen gespeicherte Passagierdaten (sogenannte passenger name records, z.B. Pass- und Kontaktdaten) an zentrale russische Datenbanken und, wenn völkerrechtliche Verträge der Russischen Föderation dies vorsehen, auch an ausländische Behörden zu übermitteln. Bis zu diesem neuen Gesetz mussten nur die in den (Papier-)Tickets selbst enthaltenen Informationen an russische Strafverfolgungsbehörden übermittelt werden. Das Gesetz trat am 6.6.2008 in Kraft.
Da wäre es interessant zu erfahren, ob die russischen Fluggesellschaften in Ihren Datenschutzerklärungen (=Политика в отношении защиты конфедициальности частной информации) diese Pflicht zur Herausgabe der gesammelten PNR-Daten an russische Behörden nach Artikel 81.1 des russischen Luftraumgesetzes ihren Passagieren mitteilen.
Dann stellt sich mir die Frage, ob diese Pflicht auch ausländische Fluggesellschaften haben, die in Russland Ziele anfliegen. Dann müssten auch sie ihre Fluggäste über diese Pflicht aufklären. Ich vermute, dass wird so klar nicht formuliert werden.
Darüber hinaus kann ich mir vorstellen, dass der russische Geheimdienst die Möglichkeit hat, auf die Daten, die russische Fluggesellschaften in die westlichen Global Distribution-Systeme eintragen, zuzugreifen, sinnvollerweise über eine Hintertür, die an einer Stelle des Datenweges installiert wird, die vor dem eigentlichen "Tor" zum GDS installiert wird. Hintertüren für die russischen Geheimdienste mögen die russischen Buchungssysteme haben; ob auch die westlichen, bezweifle ich, da diese wohl nicht von Russland gezwungen werden können, solche für russische Geheimdienste einzurichten. Fraglich ist, inwieweit schon nach dem russischen Datenschutzrecht dem russischen Geheimdienst Befugnisse zum Zugriff auf die Fluggastdaten zustehen. Zum Datenschutz in Russland gibt es einen Aufsatz von Patrick Spitzer in der Zeitschrift Osteuroparecht aus dem Jahre 2010, Märzausgabe, die ich im Osteuropa-Institut Bremen entdeckte. Der Artikel heißt:
"Wie steht es um den Schutz persönlicher Daten in Russland heute?"
Diesen Beitrag möchte ich mir ein anderes Mal noch vornehmen und hier im Blog vorstellen.
Was jedenfalls in Datenschutzerklärungen der Fluggesellschaften stehen sollte, ist, welche --> GDS (siehe Glossar) die Fluggesellschaften nutzen, also wohin die PNR der Passagiere abfließen. Und welche Daten bzw. Datensätze aus dem PNR denn konkret in die GDS oder gleich direkt an Sicherheits- und Aufsichtsbehörden weitergegeben werden.
1. Datenschutzbestimmungen der russischen Fluggesellschaften
Von den bisher von mir besichtigten russischen Websites haben nur drei zwei (korrigiert am 1.11.12) eine Datenschutzerklärung: Sky Express, S7 und Transaero, wobei letztere eigentlich keine echte Datenschutzerklärung ist und zudem sehr versteckt.
[Aktualisierung 28.05.2016: Transaero ist insolvent gegangen und wird von Aeroflot abgewickelt.]
1.1. Aeroflot
Auf der Website www.aeroflot.ru ist es mir am 3.5.2011 nicht gelungen, eine Datenschutzerklärung zu finden. Das ist enttäuschend, wo diese Airline die größte Russlands ist. Es ist eine 4-Sterne-Fluggesellschaft nach dem internationalen Ranking.
Enttäuschend auch, dass es keine deutschsprachige Website mit deutscher Domain gibt. Dabei ist Deutschland doch ein Hauptziel der Aeroflot-Maschinen. 70 mal in der Woche werden derzeit 5 deutsche Flughäfen von Aeroflot-Maschinen angeflogen. Im letzten Jahr wurden 664.148 Passagiere auf den Flügen zwischen Deutschland und Russland von Aeroflot transportiert. (Quelle: http://www.handelsblatt.com/aeroflot-kaempft-um-lukratives-deutschland-geschaeft/2165054.html)
Es gibt andere russische und ukrainische Airlines, die da mit der Übersetzung weiter sind.
Allgemeines
Es können keine bestimmten Sitzplätze gebucht werden. Man hat nur die Wahl zwischen Fensterplatz und Platz am Gang (bei Economy). Die Plätze werden erst beim Check-in vergeben. Insofern lohnt es, pünktlich am Schalter zu sein.
1.2. Rossiya Airlines
http://www.rossiya-airlines.com/ru/
Das Unternehmen, in das die Petersburger Pulkovo Airline überführt worden ist durch einen Zusammenschluss mit der GTK "Rossiya", nennt sich auch "STC Russia". Anfang Mai 2011 gibt es noch keine Datenschutzerklärung auf den deutschsprachigen Seiten, die allerdings die Gepäckregelungen ausführlich behandeln.
1.3. Transaero
Transaero nennt auf seiner Website unter der deutschen Domain die E-Mail-Adresse einer Mitarbeiterin, der Reisebüromitarbeiter Fragen zum Thema GDS stellen können, unter http://transaero.ru/en/agents/gds.
Mehr Information wird auf der deutschen Website (http://www.transaero.de) nicht geboten.
Man kann seit März 2011 ohne Währungskonvertierung in EUR Flugtickets buchen.
Ein erster Blick auf die Schnelle am 4.3.2011 förderte gleich mehrere Fehler zutage: Ich vermisse ein "Impressum" bzw. eine Anbieterkennzeichnung. Ein Klick auf "Kontakte" oben im Menü oder im Footer führt nicht zu einer Seite mit Kontakten. Also bleibt die Frage nach einer deutschen Firmentochter oder Filiale noch offen.
Der Klick oben im Menü auf "Ihre Meinung" führt nicht zu einem Kommentarfeld, sondern zu einer Seite, auf der sich, mit Unterseiten, Transaero selbst vorstellt. Auch ein Klick auf "Sitemap" führt nicht zum Inhaltsverzeichnis.
Die Website ist also noch nicht ganz fertig. Diese Website ist aber erst unmittelbar vor der ITB 2011 gestartet worden. Daher darf man auf weitere Verbesserungen in Kürze hoffen.
Und wo sind die Datenschutzerklärungen der Airline?
In 2.8.3. ihrer englischsprachigen Beförderungsbedingungen auf der neuen deutschen Website heißt es:
Der Beförderer wird keine Informationen, die er von den Fluggästen bekommen hat, aufdecken oder an Dritte weitergeben, es sei denn er ist aufgrund aktueller russischer Gesetze oder Gesetze der Länder, in die der Flug führt oder von denen aus der Flug kommt, dazu gezwungen.
(4.3.2011)
Aktualisierung 21.05.2014:
Die Airline hat offenbar wieder die Pläne zur deutschsprachigen Website aufgegeben. Unter der deutschen Domain liegt nur eine russischsprachige Version. Im Menü gibt es einen Link zur Datenschutzerklärung. Dies ist die url: http://transaero.ru/ru/confidential
Aktualisierung 01.06.2015:
Heute finde ich die Datenschutzerklärung jetzt in englisch vor, unter dieser url: http://transaero.ru/en/confidential
Eine Analyse dieser Datenschutzerklärung muss ich mir für ein anderes Mal vorbehalten.
1.4. Utair
Auf der Website www.utair.ru fand ich am 3.5.2011 keine Datenschutzerklärung.
1.5. Orenair
Im Sommer 2011 erweitert die Russische Fluggesellschaft Orenair ihr Angebot an Flügen nach Russland.
Folgenden Direktverbindungen können ab Mai 2011 gebucht werden:
Düsseldorf – Orenburg – Düsseldorf ab 07.Mai immer samstags (für 2013: zwischen 18.05. und 21.09.2013)
Düsseldorf – Chelyabinsk – Düsseldorf ab 05.Jun jeden Sonntag
Hannover – Orenburg – Hannover ab 01.Jul immer freitags
Düsseldorf – Barnaul – Düsseldorf ab 06.Jun jeden Montag (Nachtrag: 2013: zwischen 17.06. und 16.09.)
Der Preis für Hin- und Rückflug: ab 503 EUR inkl. Flugsteuern.
Düsseldorf – Omsk – Düsseldorf ab 08.Mai bis 29.Mai jeden Sonntag, ab 03.Jun bis 30.Sep immer freitags und am 04.Jun bis 24.Sep immer Samstag.
Aktualisierung für 2013 für Düsseldorf - Omsk: immer freitags (zwischen 31.05. und 13.09.) und samstag (zwischen 18.05. und 28.09.2013)
Hannover – Omsk – Hannover ab ab 08.Mai bis 29.Mai jeden Sonntag, ab 02.Jun bis 29.Sep immer donnerstags und am 05.Jun bis 25.Sep immer Sonntag.
Der Preis für Hin- und Rückflug: ab 453 EUR inkl. Flugsteuern.
Seit dem Sommer 2010 fliegt Orenair von Düsseldorf nach Omsk (oder ab Sommer 2011?)
Ergänzung 20.05.2013:
Düsseldorf - Krasnodar (neue Route): zwischen 23.06. und 01.09.2013, jeweils sonntags, mit Boeing 737.
Düsseldorf - Nowosibirsk: freitags (zwischen 17.05. und 20.09.2013) mit Boeing 737.
Von der deutschen Domain www.orenair.de gibt es eine automatische Weiterleitung an www.sirenatravel.de. Sirena ist ein russisches Flugbuchungssystem. Diese Website sieht noch recht leer aus, scheint neu zu sein; nur ein externer Link zu myairlines.ru, eine Website, die zu Sirena Travel gehört. Die Darstellung der Flugsuchmaske bereitet Probleme (geht in einen nicht sichtbaren Bereich, ohne dass man dorthin scrollen kann). Immerhin findet man unter "Kontakt" eine Adresse in Frankfurt/Main, ein deutsches Impressum (aha, ein Einzelkaufmann, Aktualisierung 20.05.2013: jetzt ohne e.K.) und AGB (Darstellungsfehler mit Umlauten). Aber keine Datenschutzerklärung. Auch nicht auf der Homepage www.orenair.ru. Fazit: ziemlich unprofessionelle Darstellung im Web.
1.6. S7
S7 verfügt über eine deutschsprachige Datenschutzerklärung, unter http://www.s7.ru/de/policy.html
Komisch ist, dass die Kundendaten als Eigentum der Airline betrachtet werden. Das ist ein Fehler. Geistiges Eigentum kennen wir vom Urheberrecht und Patentrecht (Lizenzen). Namensrechte schon können nicht als Eigentum betrachtet werden. Rechte an den individuellen Informationen können nicht wie ein Eigentumsrecht an Sachen ausschließlich überlassen werden. Wenn die Fluggesellschaft eine "Miteigentümerstellung möchte", dann nicht ohne den Willen der Inhaber der höchstpersönlichen Datenschutzrechte. Mit AGBs werden sich solche Teilhaberechte nicht übertragen lassen. Die Übersetzung wirkt etwas holprig:
Die Informationen sind Eigentum der Fluggesellschaft und dürfen nicht an Dritte weiter gegeben werden. Das bedeutet, dass die Daten an niemanden herausgegeben werden, außer für Gesetzgebung oder Politik.
Angaben zu den eingesetzten Cookies sind nicht zu finden.
Ergänzung 1.11.2012: Beim Aufruf der Website (einem Link vom Flughafen München folgend) öffnet sich ein Widgit in meinem Opera-Browser und möchte meinen derzeitigen Standort wissen für die Website s7.ru und fragt nach meinem Einverständnis dazu, auf deutsch. Möglichkeiten: "Ablehnen", "dieses Mal zulassen", "immer zulassen".
Neu sind auch Social-Media-Buttons auf der Website. Die deutsche Version der Website ist verschwunden! Es gibt nur die Version in russisch und englisch. Die Datenschutzerklärung ist jetzt nicht mehr leicht auffindbar. Bei Eingabe der Adresse s7.ru/en/policy.html bekomme ich eine 404-Meldung (Seite nicht vorhanden).
Das ist ein Rückschritt! - Möglicherweise gab es in der Zwischenzeit einen Strategiewechsel oder Managerwechsel im Marketing.
Da S7 ab 23. Dezember 2012 eine neue Strecke München - Nowosibirsk anbietet und wo man mit Air Berlin kooperiert, verwundert das etwas. Vielleicht hat Air Berlin die Mitvermarktung übernommen und man setzt so Einsparmöglichkeiten frei.
1.7. SkyExpress
Die Datenschutzbestimmungen stehen unter
http://www.skyexpress.ru/how_to_depart/transfer-rules/private_information/.
Sie wurden am 12. Juli 2007 zuletzt aktualisiert.
Welche Daten werden gesammelt?
Bei einer Bestellung von Flugtickets über die Website werden nur die Daten gesammelt, die für den Vertragsschluss notwendig sind:
- Anrede
- Familienname, Vatersname, Name des Passagiers
- Adresse, Herkunftsland
- Adresse, an die ein Taxi den Passagier bringen soll (auf Wunsch)
- Adresse, an die die Rechnung geschickt werden soll
- Telefonnummer, Faxnummer (freiwillig)
- Staatsbürgerschaft
- E-Mail-Adresse (freiwillig)
- Typ der Bankkarte, Nummer und Datum des Gültigkeitsendes
- CVV oder CVC-Code
- Reisepass oder anderer Ausweis als Identitätsnachweis
- Geburtsdatum
An wen werden diese Daten übermittelt?
Die Kundendaten, die SkyExpress über das Internet erhält, werden nicht an Dritte verkauft oder vermietet. SkyExpress erlaubt sich aber, diese Daten seinen Partnern zu geben, soweit dies im Prozess ihrer Tätigkeit als notwendig erachtet wird. Darin eingeschlossen sind Marketingprogramme. Doch jene Partner sollen (oder "müssen". Unklar. Es heißt: должны) streng die Datenschutzregeln einhalten, die SkyExpress sich aufgestellt hat. Zugleich kann SkyExpress allgemeine Informationen über alle seine Kunden in anonymisierter Form dritten Unternehmen mitteilen.
Außerdem kann SkyExpress die Kundendaten Staatsorganen oder anderen Personen geben, wenn das aufgrund der geltenden staatlichen Gesetze verlangt wird. Man macht sich nicht die Mühe, aktuell relevante Gesetze zu nennen.
Cookies
Aussagen zu den eingesetzten Cookies werden hier gemacht:
http://www.skyexpress.ru/how_to_depart/transfer-rules/private_information/#3
Nachtrag, 07.04.2018: SkyExpress existiert seit einigen Jahren nicht mehr.
1.8. Ural Airlines
Eintrag vom 1.11.2012:
Der Airline wurden kürzlich in der Fachzeitschrift BizTravel 4/2012 2 Seiten gewidmet. Seit Sommer 2012 fliegt sie Ziele in Deutschland an. Zuerst nahm sie eine Linie zwischen Köln und Moskau ins Programm. Heute (1.11.2012) entdecke ich auf der Website der Airline Flüge von Köln auch nach Jekaterinburg, Tscheljabinsk und Irkutsk. Ab Dezember 2012 wird Ural Airlines zwischen München und Jekaterinburg fliegen.
Ural Airlines bietet heute eine viersprachige Website: russisch, englisch, chinesisch und deutsch. Die Deutsch-Version weist noch einige Deutsch-Fehler und Formatierungsfehler auf, was darauf schließen lässt, dass sie neu ist. Man bietet ein Bonusprogramm. Zum Datenschutz gibt es leider gar keine Informationen, weder in deutsch noch in englisch oder russisch.
1.9. Red Wings
Eintrag: 12.06.2016
Diese junge Fluggesellschaft hat keine Datenschutzerklärung auf ihrer Website. Unter dieser Adresse stehen die AGB (ohne Datenschutzerklärung):
http://www.flyredwings.com/passengers/regulations.php
und die Regeln betreffend Gepäck:
http://www.flyredwings.com/passengers/baggage.php
1.10 Rusline (Nachtrag 07.04.2018)
Die Datenschutzerklärung steht hier (auf russisch): https://www.rusline.aero/read/Сonfidentiality/
Sie hat die Überschrift: Zustimmung des Passagieres in die Speicherung seiner Daten. Dies entspricht nicht den deutschen Regeln für allgemeine Geschäftsbestimmungen, um eine wirksame Verzichtserklälrung der Passagiere zu sein.
2. Datenschutzbestimmungen der ukrainischen Fluggesellschaften
2.1. UIA Ukrainische International Airlines
In der Datenschutzerklärung auf der Website der ukrainischen Airline heißt es (beim Abruf am 6.11.2010):
Persönliche Profil-Nummer für registrierte Kunden
Wenn Sie eine Online-Buchung mit flyUIA vornehmen, werden sie aufgefordert, persönliche Informationen zu machen zu Ihrem Namen, Ihrer Adresse usw. Kurz nachdem Sie ihre erste Buchung durchgeführt haben, senden wir automatisch eine E-Mail, die Ihre persönliche Profil-Nummer und Pin-Nummer enthält. Das nächste Mal, wenn Sie bei uns eine Reservierung vornehmen, können Sie ihre persönliche Profil-Nummer und ihre Pin angeben. Dann wird der Computer die Informationen zu Ihnen vom letzten Mal aufrufen. Dadurch sparen Sie sich das nochmalige Eingeben ihrer persönlichen Daten wie Ihren Namen. Alternativ können Sie freilich auch als ein (neuer) Gast buchen.
Außerdem senden wir unseren Kunden gelegentlich Informationen über unsere Dienstleistungen und Sonderangebote, bei denen wir glauben, dass sie für Sie interessant sind. Unsere registrierten Mitglieder werden auch gefragt, ob sie uns weitere bestimmte Informationen zur Komplettierung ihres Benutzerprofiles geben. Solche Informationen sind freiwillig, das könnten sein:
- bevorzugte/regelmäßige Reiseziele
- Heimatflughafen
- Einverständnis, sich Sonderangebote zumailen zu lassen
- bevorzugter Sitzplatz und bevorzugtes Essen
- bevorzugte Dienstleistungsklasse
- Altersgruppe
- Kreditkartendetails"
Mein Kommentar hierzu
Solche Daten herzugeben macht dann einen Sinn, wenn Sie öfters mit dieser Fluglinie fliegen wollen und möchten, dass diese Fluggesellschaft ihre Wünsche stärker berücksichtigt, um Ihnen mehr Komfort und Kundenzufriedenheit zu geben. Natürlich will die Airline auch möglichst oft die höherwertigen Dienstleistungen an Sie verkaufen. Das kann sie besser, wenn sie Ihre Bedürfnisse und Wünsche besser kennt.
Aber diese Informationen sind schon sehr privat. Wollen Sie, dass unbekannte Personen zu Ihnen solcherlei Personenprofile erstellen? Es gibt nur wenige ukrainische Fluggesellschaften. Stellen Sie sich vor, dass der ukrainische Geheimdienst sehr an solchen Daten interessiert ist. Wir wissen nicht, ob und wieweit diese Fluggesellschaft Ihre Daten vor dem Geheimdienst oder starken wirtschaftlichen Kräften geheim hält (halten kann). Ich hätte da erhebliche Skrupel. Denken Sie an den Grundsatz der Datensparsamkeit: Soviel Daten wie nötig hergeben; nicht mehr.
Wenn Sie geschäftlich reisen, dürfen Sie vielleicht auch gar nicht bestimmte Daten hergeben, weil Sie vielleicht in Ihrem Arbeitsvertrag angehalten werden, mit Daten sparsam und vorsichtig umzugehen.
Immerhin übt die Airline aber keinen Druck auf den Kunden aus und respektiert den Wunsch, nicht erforderliche Daten auch nicht anzugeben.
[...Next]
