Im heutigen, serviceorientierten Luftverkehr werden zur Erstellung individueller Leistungselemente wie Beratung, Betreuung und Angebot von Zusatzleistungen automatisiert personenbezogene Daten erhoben, die in Passagierdatensätzen, Passenger Name Record (PNR), gespeichert werden. In elektronischen Buchungssystemen wie AMADEUS sind mehrere Datenfelder enthalten, die unter anderem je nach Fluggesellschaft und Serviceangebot Aufschluss über bis zu sechzig verschiedene Angaben geben können. Dazu zählen Identitäts-, Transaktions- und Finanzdaten sowie Informationen über Flug-, Hotel- und Mietwagenbuchungen. Weitere Angaben umfassen in der Vergangenheit gemachte Reisen, Servicewünsche und notwendige, medizinische Versorgung sowie Informationen, die mit Kundenbindungsprogrammen in Zusammenhang stehen können [Pall07].

Ein Teil der Daten kann auch bei den konventionellen Einreiseformalitäten erfasst werden, sodass insbesondere bei sensiblen Personendaten Konfliktbereiche mit den Datenschutzrichtlinien zu sehen sind. Als schützenswerte Personendaten im Sinne der Datenschutzrichtlinie der Europäischen Gemeinschaft (EG) (Richtlinie 95/46/EG) gelten Informationen, die Rückschlüsse auf religiöse oder politische Überzeugungen oder den Gesundheitszustand einer Person zulassen. Vor allem das Risiko der Erstellung von Persönlichkeitsprofilen ist mit der Verarbeitung personenbezogener Daten verbunden [Pall07].

Als Reaktion der US-Regierung auf die Anschläge des 11. Septembers 2001 folgte nach kurzer Zeit der so genannte Patriot Act. Teil dieses Gesetzes ist der Aviation and Transportation Security Act, welcher in Abschnitt 115 vorsieht, dass Fluggesellschaften, die die USA anfliegen oder überfliegen, eine Liste der an Bord befindlichen Passagiere und Besatzungsmitglieder an die amerikanischen Behörden zu übermitteln haben. Ein Ziel bei der Nutzung der Daten ist eine sachgerechte Überprüfung einreisender Personen. Die frühzeitige Kenntnis und schnellere und umfangreichere Datenermittlung soll Verzögerungen bei den Einreise- und Abfertigungsprozessen bei Reisen in die USA vermeiden. Die Maßnahme wurde dahingehend ausgedehnt, dass die US-amerikanische Zoll- und Grenzschutzbehörde der Vereinigten Staaten (United States Bureau of Customs and Border Protection des Departments of Homeland Security) Zugriff auf PNR-Daten der Fluglinien im Verkehr mit den USA verlangt. Dieser Forderung gegenüber den Fluglinien wurde mit der Androhung des Entzugs von Ein- beziehungsweise Überflugrechten Nachdruck verliehen. Seit März 2003 besteht ein Online-Zugriff auf die PNR-Daten europäischer Fluglinien [DVWG04a].

In Europa regelt die Richtlinie 2004/82/EG vom 29. April 2004 über die Verpflichtung von Beförderungsunternehmen, Angaben über die beförderten Personen zu übermitteln die Erhebung der Advanced Passenger Informations (API). API-Daten werden nach dem Check-In vom Flugunternehmen erhoben und nach 24 Stunden wieder gelöscht. Enthalten sind Name, Meldeadresse, Abflug- und Ankunftszeit und die Reiseroute des Passagiers. Die Daten werden gegebenenfalls an das Zielland weitergegeben. Die Richtlinie wurde im Jahr 2008 ins deutsche Bundespolizeigesetz überführt, sodass die Polizei API-Daten anfordern kann. Um sie zu verarbeiten, betreibt die Bundespolizei eine Passagierdaten-Datei (PDD).

Im Rahmen des von den USA gestarteten Programms Flight Secure gewährte die Europäische Union (EU) schon im Jahr 2007 auf Basis eines gemeinsamen Abkommens Zugang zu den PNR-Daten, jedoch stand ein vollumfängliches Abkommen, welches die Übermittlung genau regelt, noch aus [DHS07]. Es folgte die Legitimation zur Übermittlung von Fluggastdaten an die USA durch das europäische Parlament am 19.04.2012 [EU12b]. Das neue Abkommen zur Weitergabe von EU-Fluggastdaten an US-Behörden regelt die rechtlichen Voraussetzungen zur Datenübertragung mit den Themen: Aufbewahrungsfristen, Zweck der Datennutzung, Datenschutzgarantien und rechtliche Einspruchsmöglichkeiten. Das Abkommen regelt eine 5-jährige Datenspeicherung in einer aktiven Datenbank, nach 6 Monaten sind PNR Daten jedoch zu anonymisieren. Nach Ablauf der 5 Jahre folgt der Transfer in eine ruhende" Datenbank für weitere 10 Jahre (auf diese Datenbank dürfen US-Behörden jedoch nur unter bestimmten Voraussetzungen Zugriff haben).

Die Datenspeicherung dient laut Abkommen der Prävention, Aufdeckung, Ermittlung und Verfolgung im Kampf gegen den Terrorismus und gegen schwere grenzüberschreitende Straftaten, wobei diese nach US-Recht mit einer Freiheitsstrafe von mindestens drei Jahren bestraft werden. Zudem werden die Fluggastdaten zur Identifikation von Personen genutzt, die einer genaueren Befragung durch US-Behörden zu unterziehen sind.

Die Anschläge in Paris (13.11.2015) und Brüssel (22.03.2016) führten zur Durchsetzung der zuvor bereits geplanten Richtlinie (EU) 2016/681 des Europäischen Parlaments und des Rates vom 27. April 2016 über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität. Um die europäischen Außengrenzen zu schützen, werden in Folge der neuen Richtlinie die PNR Daten bei Flügen von und nach Europa an die Grenzbehörde im Zielland weitergegeben. Sie werden fünf Jahre lang gespeichert. In Deutschland wurde hierzu im Jahr 2017 das Fluggastdatengesetz (FlugDaG) verabschiedet und die Fluggastdatenzentrale eingerichtet. Sie verarbeitet die Daten aller Passagiere, die in Deutschland starten oder aus dem außereuropäischen Ausland kommend in Deutschland landen und überträgt diese gegebenenfalls an die Behörden im Zielland. Die Weitergabe von PNR Daten bei Flügen innerhalb Europas wird auf freiwilliger Basis gestattet. Die europäische Richtlinie könnte in Zukunft die Speicherung von PNR-Daten in einer zentralen europäischen Datenbank ermöglichen. Zur zentralen Speicherung und Nutzung von zunächst API-Daten wurde im Jahr 2016 von den EU-Innenminister/-Innen bei der Europäischen Kommission eine Machbarkeitsstudie in Auftrag gegeben und nach ersten Zwischenergebnissen im Jahr 2018 weiter spezifiziert [EuPa18a]. Ein Urteil des europäischen Gerichtshofs aus dem Jahr 2022 zur Auslegung der PNR-Richtlinie ergab, dass PNR-Daten innerhalb der EU nur sechs Monate statt fünf Jahre aufbewahrt werden dürfen und für eine Auswertung der Daten eine reale terroristische Bedrohung vorliegen muss. [BURE22a]