DA+

Kurzbeitrag : Und noch etwas Vorratsspeicherung … – EU-Richtlinie über die Verwendung von Fluggastdaten beschlossen : aus der RDV 4/2016, Seite 205 bis 206

Lesezeit 5 Min.

Zeitgleich mit der Datenschutz-Grundverordnung wurde die EU-Richtlinie über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität (Richtlinie (EU) 2016/681) verabschiedet. Durch das Sammeln, den Austausch und die Analyse der PNR-Daten sollen u.a. die Geheimdienste Muster verdächtigen Verhaltens erkennen und weiterverfolgen können.

PNR (Passenger Name Records) sind Fluggastdatensätze, die für jeden Passagierflug angelegt werden und in den Buchungs- und Abfertigungssystemen der Fluggesellschaften gespeichert werden. Anzahl und Inhalt der Felder in einem PNR-Datensatz variieren je nach Fluggesellschaft und Fluggast. Zu den Daten gehören etwa Informationen wie der Name des Fluggasts, Reisedaten, Reiserouten, Sitznummern, Gepäckangaben, Kontaktangaben und Zahlungsarten.

Durch die EU-Richtlinie sollen die Luftfahrtgesellschaften dazu verpflichtet werden, für Flüge von der EU in Drittländer und andersherum den zuständigen Behörden näher konkretisierte Informationen (vgl. Anhang I der Richtlinie) aus dem PNR-Datensatz zur Verfügung zu stellen. Die Richtlinie gilt verpflichtend nur für Flüge in Drittländer bzw. aus Drittländern, jedoch können die Mitgliedstaaten sie auch auf Flüge innerhalb der EU anwenden, wenn sie die EU-Kommission davon in Kenntnis setzen.

Die Fluggastdaten sollen von den Fluggesellschaften an eine entsprechend einzurichtende einzige, genau bezeichnete Stelle („PNR-Zentralstelle“) des jeweiligen Mitgliedstaates übermittelt werden. Die PNR-Zentralstelle wird für die Erhebung, Speicherung und Verarbeitung der PNR-Daten sowie für deren Übermittlung an die zuständigen Behörden und für deren Austausch mit den PNR-Zentralstellen der anderen Mitgliedstaaten und Europol verantwortlich sein.

Die Fluggastdaten werden bei der PNR-Zentralstelle für einen Zeitraum von 5 Jahren vorgehalten, wobei diese nach sechs Monaten die Daten so depersonalisieren muss, dass die Identität der Betroffenen nicht mehr unmittelbar festgestellt werden kann. Nach Ablauf der 6-Monats-Frist ist eine Offenlegung der vollständigen PNR-Daten nur zulässig, wenn berechtigter Grund zu der Annahme besteht, dass dies zur Erreichung der Zwecke der Richtlinie erforderlich ist und zusätzlich eine Genehmigung erfolgt durch

  • eine Justizbehörde oder
  • eine andere nationale Behörde, die nach nationalem Recht dafür zuständig ist zu überprüfen, ob die Bedingungen für die Offenlegung erfüllt sind, vorbehaltlich der Unterrichtung des Datenschutzbeauftragten der PNR-Zentralstelle und einer Ex-Post-Überprüfung durch diesen Datenschutzbeauftragten.

Die Richtlinie enthält eine Reihe von Vorkehrungen mit dem Ziel, die Grundrechte auf Schutz personenbezogener Daten, auf Privatsphäre und Nichtdiskriminierung zu schützen. Neben der bereits angesprochenen Pflicht zur Depersonalisierung der Datensätze nach einer Speicherfrist von 6 Monaten sind dies u.a.:

  • Die Übermittlung sensibler Daten wie z.B. rassische oder ethnische Herkunft, religiöse Überzeugungen oder Gesundheitszustand an die PNR-Zentralstellen ist untersagt.
  • Es ist sicherzustellen, dass die Fluggäste über die Erhebung der PNR-Daten, deren Übermittlung an die PNRZentralstelle und über ihre Rechte als betroffene Personen korrekt und auf leicht zugängliche und verständliche Weise informiert werden.
  • Jegliche Verarbeitung von PNR-Daten ist zu dokumentieren.
  • Die automatisierte Verarbeitung von PNR-Daten darf nicht einzige Grundlage für Entscheidungen sein, aus denen sich für die betreffende Person nachteilige Rechtsfolgen oder sonstige schwerwiegende Nachteile ergeben.
  • Die Übermittlung von PNR-Daten an Drittländer darf nur unter ganz bestimmten Bedingungen und in Einzelfällen erfolgen.
  • Der PNR-Zentralstelle muss ein Datenschutzbeauftragter angehören.
  • Im Hinblick auf die Verarbeitung der PNR-Daten erfolgt eine Beratung und Kontrolle durch unabhängige nationale Kontrollstellen.

Die Richtlinie (EU) 2016/681 über die Verwendung von Fluggastdatensätzen bindet die betroffenen Fluggesellschaften nicht unmittelbar. Sie richtet sich an die Mitgliedstaaten, die die Regelungen bis zum 25. Mai 2018 in nationales Recht umzusetzen haben.

Die Richtlinie enthält in Art. 19 eine Überprüfungsklausel. Anhand von Informationen der Mitgliedstaaten hat danach die Kommission bis zum 25. Mai 2020 eine Überprüfung aller Elemente der Richtlinie vorzunehmen und dem Europäischen Parlament (EP) und Rat entsprechend Bericht zu erstatten. Bei der Vornahme ihrer Überprüfung hat die Kommission insbesondere folgende Aspekte zu beachten:

  • die Einhaltung des einschlägigen Schutzstandards bezüglich personenbezogener Daten;
  • die Erforderlichkeit und Verhältnismäßigkeit der Erhebung und Verarbeitung von PNR-Daten für jeden der in der Richtlinie genannten Zwecke;
  • die Datenspeicherungsfristen;
  • die Effektivität des Informationsaustauschs zwischen den Mitgliedstaaten und
  • die Qualität der Prüfungen.

Kritiker sehen in der Richtlinie über die Verwendung von Fluggastdatensätzen die nächste anlasslose Vorratsdatenspeicherung. Die Kritikpunkte entsprechen im Wesentlichen denjenigen, die auch schon im Hinblick auf die Vorratsdatenspeicherung von Telekommunikationsdaten (Richtlinie 2006/24/EG) und die Fluggastdatenabkommen mit den USA (Ratsdokument 17434/11), Australien (Ratsdokument 10093/11) und Kanada (Ratsdokument 12657/1/13) vorgebracht wurden. Zwar dient die Richtlinie mit der effektiven Bekämpfung von Terrorismus und schwerer Kriminalität (ErwG 6) unzweifelhaft einem legitimen Zweck. Es bleibt aber die Frage, ob die anlasslose Speicherung von Reisedaten eines undifferenzierten Personenkreises über eine Dauer von 5 Jahren einen zur Erreichung dieses Zwecks geeigneten und verhältnismäßigen Grundrechtseingriff darstellt.

Im Hinblick auf das ausgehandelte Fluggastdatenabkommen mit Kanada ist aktuell ein Verfahren beim EuGH anhängig. Das EP hatte den Entwurf des Abkommens im November 2014 an den EuGH überwiesen, um die Vereinbarkeit mit EU-Recht prüfen zu lassen. Anlass für die Vorlage war u.a. die Erwägung, dass der Gerichtshof im April 2014 die bereits erwähnte Richtlinie 2006/24/EG über die Vorratsdatenspeicherung von TK-Daten für ungültig erklärt hatte (verbundene Rechtssachen C-293/12 und C-594/12). Auf Drängen des Ministerrats hat die Mehrheit der EP-Abgeordneten allerdings nunmehr der Einrichtung eines europäischen Fluggastdatensystems zugestimmt, ohne das Gutachten des EuGH zu dem Abkommen mit Kanada abzuwarten. Das Gutachten des EuGH wird in den nächsten Wochen erwartet. Der berichterstattende Richter Thomas von Danwitz hatte im Anhörungstermin am 5.4.2016 zahlreiche kritische Fragen und Anmerkungen im Hinblick das geplante Abkommen mit Kanada aufgeworfen. Diese bezogen sich u.a. auf die Frage, ob und wie Fluggastdatenüberwachung tatsächlich zur Aufklärung von Verbrechen beiträgt, die lange Speicherdauer der Daten, die Fraglichkeit der Gewährleistung eines effektiven Rechtsschutzes der Betroffenen sowie die fehlende Limitierung des Ausmaßes, in dem die PNR-Daten mit kanadischen Datenbanken abgeglichen werden könnten.

* Die Autorin ist stellvertretende Geschäftsführerin der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., Bonn.