Navigation öffnen
Startseite » News » Internetrecht » Datenschutzrecht » EuGH stärkt Rechte von Reisenden: Verarbeitung von Fluggastdaten nur bei Terrorgefahr
EuGH stärkt Rechte von Reisenden :

Verarbeitung von Fluggastdaten nur bei Terrorgefahr

Auf Grundlage einer EU-Richtlinie ließen die EU-Mitgliedsstaaten Airlines bislang umfangreich und anlasslos Daten zu Flugverbindungen speichern und stellten diese zum Teil auch den Behörden zur Verfügung. Zu Unrecht, wie jetzt der EuGH entschied: Daten dürften nur dann erhoben und gespeichert werden, wenn Anhaltspunkte für eine terroristische Bedrohung vorlägen.

Die Speicherung von Fluggastdaten stellt einen erheblichen Eingriff in das Grundrecht des Privat- und Familienlebens dar. Deshalb müsse diese auf das zur Terrorismus- und Kriminalitätsbekämpfung absolut Notwendige beschränkt werden, so der Europäische Gerichtshof (EuGH, Urt. v. 21.06.2022, Az. C-817/19).

Recht auf Privatleben und Datenschutz verletzt?

Seit 2016 gibt es die europäische Richtlinie über die Verwendung von Fluggastdatensätzen (2016/681 (EU)) zur Bekämpfung von Terrorismus und schwerer Kriminalität. Diese schreibt die systematische Verarbeitung einer großen Zahl von PNR-Daten (Passager Name Record) der Fluggäste von Flügen zwischen der Union und Drittstaaten (Drittstaatsflüge) bei der Einreise in die bzw. der Ausreise aus der Union vor. Darüber hinaus können die Mitgliedstaaten diese Richtlinie nach ihrem Art. 2 auch auf Flüge innerhalb der Union (EU-Flüge) anwenden.

Die belgische Menschenrechtsorganisation Ligue des droits humains (Liga für Menschenrechte, LDH) erhob im Juli 2017 vor dem belgischen Verfassungsgerichtshof Nichtigkeitsklage gegen das Gesetz, mit dem die Richtlinie in belgisches Recht umgesetzt wurde. Dieses sieht unter anderem vor, dass Flug-, Bahn-, Bus-, Fähr- und Reiseunternehmen die Daten aller Passagiere, die sich über die Landesgrenze bewegen, an eine Zentralstelle weitergegeben müssen, von der aus Polizei und Geheimdienste auf die Daten zugreifen können.

Die LDH machte geltend, dieses Gesetz verletze das im belgischen Recht und im Unionsrecht garantierte Recht auf Achtung des Privatlebens und auf Schutz personenbezogener Daten. Sie rügte den sehr großen Umfang der PNR-Daten sowie den allgemeinen Charakter ihrer Erhebung, Übermittlung und Verarbeitung. Außerdem schränke das Gesetz die Freizügigkeit ein, da mit ihm durch die Ausdehnung des „PNR-Systems“ auf EU-Flüge sowie auf Beförderungen mit anderen Mitteln innerhalb der Union indirekt wieder Grenzkontrollen eingeführt würden.

Im Oktober 2019 hat der belgische Verfassungsgerichtshof dem EuGH zehn Fragen zur Vorabentscheidung vorgelegt, die u. a. die Gültigkeit der PNR-Richtlinie sowie die Vereinbarkeit des Gesetzes vom 25. Dezember 2016 mit dem Unionsrecht betreffen.

Richtlinie grundsätzlich mit Grundrechten vereinbar

Diese Fragen beantwortete der EuGH nun und stellte in seinem Urteil zunächst fest, dass die PNR-Richtlinie einen schweren Eingriff in das Grundrecht des Privat- und Familienlebens darstelle, aber gleichwohl mit europäischen Grundrechten vereinbar sei. Die in der Richtlinie vorgesehenen Befugnisse seien indes eng auszulegen, um bei der Übermittlung, Verarbeitung und Speicherung von PNR-Daten zum Zwecke der Bekämpfung terroristischer Straftaten und schwerer Kriminalität die Verhältnismäßigkeit zu wahren.

Das durch die PNR-Richtlinie eingeführte System dürfe sich nur auf die im Anhang ausdrücklich genannten Informationen erstrecken. Es müsse auf terroristische Straftaten und schwere Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit der Beförderung von Fluggästen beschränkt werden. Die Ausdehnung der Anwendung der PNR-Richtlinie auf EU-Flüge durch die Mitgliedsstaaten müsse sich zudem auf das absolut Notwendige erstrecken und gerichtlich kontrollierbar sein. Die Grenzen des „absolut Notwendigen“ würden nur dann nicht überschritten, wenn sich der Mitgliedsstaat mit einer als real und aktuell oder vorhersehbar einzustufenden terroristischen Bedrohung konfrontiert sehe. Liege eine solche Bedrohung nicht vor, dürften die durch die Richtlinie ermöglichten Instrumente nur für solche Flüge angewandt werden, hinsichtlich derer sich konkrete Anhaltspunkt ergäben, die eine Anwendung der Richtlinie rechtfertigen könnten. Solche Anhaltspunkte können nach Auffassung der europäischen Richter in etwa in bestimmten Reisemuster, aber auch spezifischen Flugverbindung oder bestimmten Flughäfen zu finden sein.

Künstliche Intelligenz darf nicht allein entscheiden

Auch für die Vorabüberprüfung von PNR-Daten, die dazu dient, diejenigen Personen zu ermitteln, die vor ihrer Ankunft oder ihrem Abflug genauer überprüft werden müssen, stellten die Richter hohe Hürden auf: Ein Abgleich von Passagierdaten dürfe im Vorfeld ausschließlich mit Fahndungs- oder Ausschreibungs-Datenbanken stattfinden, die frei von Diskriminierung sind und gerade zum Zweck der Abwehr von Kriminalität durch Fluggäste angelegt wurden. Eine automatisierte Bewertung der Fluggäste durch künstliche Intelligenz dürfe es nicht geben. Vielmehr müsse sichergestellt sein, dass durch menschliche Kontrolle des Verfahrens alle Umstände des Einzelfalls berücksichtigt werden könnten. Damit diese nachträgliche Prüfung korrekt erfolgen könne, müssten die Mitgliedsstaaten klare und präzise Regeln für die mit der Prüfung beauftragten Bediensteten vorsehen.

Schließlich formulierte der EuGH noch Anforderungen an den nachträglichen Umgang mit den rechtmäßig erhobenen Daten: Eine Zurverfügungstellung und Überprüfung der PNR-Daten dürfe nach Ankunft bzw. Abflug der betroffenen Person nur aufgrund neuer Umstände und objektiver Anhaltspunkte erfolgen, die auf eine Gefährdung von Fluggästen hindeuteten oder einen Beitrag zur Bekämpfung terroristischer Straftaten leisten könnten. Eine solche nachträgliche Verwendung müsse zudem von einem Gericht oder einen ähnlichen unabhängigen Kontrollstelle überprüft werden.

Die – in Belgien bislang vorgesehene – Verarbeitung zu anderen als den ausdrücklich in der Richtlinie genannten Zwecken sei ebenso unzulässig wie eine generelle Übermittlung der Fluggastdaten an Behörden. Darüber hinaus müssten die Daten aller Fluggäste, hinsichtlich derer sich in der Zwischenzeit keine besonderen Hinweise auf Terrorismus oder Kriminalität ergeben hätten, nach sechs Monaten zu gelöscht werden.

Auch deutsche Gerichte befragen EuGH

Auch Deutschland hat die PNR-Richtlinie in der Umsetzung weit ausgelegt und die Regeln auf EU-Flüge ausgeweitet. Derzeit liegen dem EuGH Vorabentscheidungsgesuche des Verwaltungsgerichts Wiesbaden sowie des Amtsgerichts Köln vor, die ähnliche Fragen betreffen. Es ist davon auszugehen, dass der EuGH in diesen Verfahren seine nun zum Ausdruck gebrachte Linie bekräftigen wird.

Kontaktieren Sie unsere Experten im Datenschutzrecht

In einer sich ständig weiter vernetzenden Welt können die Bedeutung und Tragweite des Datenschutzrechts nicht überbewertet werden. Das Datenschutzrecht spielt daher inzwischen in allen Lebensbereichen eine Rolle, z.B. auf Webseiten, am Arbeitsplatz, bei der Kundenbetreuung oder der personalisierten Werbung. Sie haben Fragen zum Datenschutzrecht? Nutzen Sie unsere kostenlose Erstberatung unter 0221 / 951 563 0 (Beratung bundesweit). Wir erarbeiten mit Ihnen schnell und zuverlässig eine sachgerechte Lösung für Ihre datenschutzrechtlichen Anliegen.

jko