Schlagwort: Fluggastdaten
22. Juni 2022
Diese Woche, am 21.06.2022 entschied der EuGH (Rs. C-817/19), dass Flugunternehmen die personenbezogenen Daten ihrer Reisegäste nicht mehr anlasslos und so umfangreich wie bisher verarbeiten dürfen. Aus Sicht des Gerichtshofs darf sich die Verarbeitung der Fluggastdaten nur noch auf ein absolut notwendiges Maß beschränken.
Der Sachverhalt
Hintergrund der Entscheidung waren rund zehn Vorlagefragen des belgischen Verfassungsgerichtshofs. Diese Fragen legte der Verfassungsgerichtshof dem EuGH im Rahmen eines Verfahrens, dass der gemeinnützige Verein „Ligue des droits humaines“ (Liga für Menschenrechte, LDH) angestrengt hatte, vor. Gegenstand des Vorabentscheidungsverfahrens war ein belgisches Gesetz vom 25.12.2016. Mit diesem Gesetz setzte der belgische Gesetzgeber unter anderem die Richtlinien (EU) 2016/681, die Passanger Name Record-Richtlinie (PNR-Richtlinie) und die Richtlinie 2004/82/EG, die Advance Passanger Information-Richtline (API-Richtlinie) um.
Insbesondere die Bestimmungen der PNR-Richtlinie standen in Frage. Diese verleihen Fluggesellschaften die Befugnis systematisch eine große Anzahl von personenbezogenen Daten ihrer Gäste zu verarbeiten. Zu den überprüfbaren Daten zählen beispielsweise Name, Kontaktdaten, Reiseroute und Zahlungs- sowie Abrechnungsinformationen. Die Befugnis bezieht sich einerseits auf Flüge zwischen Mitgliedstaaten der EU und Drittstaaten bei Ein- und Ausreise und andrerseits auf Flüge zwischen EU-Mitgliedstaaten. Folglich musste der EuGH unter anderem die Frage beantworten, ob das belgische Gesetz Art. 7 und 8 der EU-Grundrechtecharta, die Achtung des Privat- und Familienlebens und das Recht personenbezogener Daten, verletzte.
Ein schwerwiegender Eingriff
Der EuGH stellte zunächst fest, dass ein schwerwiegender Eingriff der PNR-Richtlinie in Art. 7 und 8 EU-Grundrechtecharta existiere.
Allerdings musste der EuGH anschließend bestimmen, ob eine Rechtfertigung für die schwerwiegenden Eingriffe in Art. 7 und 8 EU-Grundrechte bestand. Der Gerichtshof entschied, dass eine Rechtfertigung für die Eingriffe bestehe, wenn die PNR-Richtlinie so ausgelegt werde, dass sie das absolut Notwendige noch erlaube.
Die Grenze ist das absolut Notwendige
Demnach müssen die Mitgliedstaaten Sorge dafür tragen, dass sie die verarbeiteten Fluggastdaten tatsächlich nur für die Bekämpfung schwerer Straftaten und nicht für die Bekämpfung gewöhnlicher Straftaten einsetzten.
Der Gerichtshof äußerte sich ebenfalls dazu, dass aufgrund der PNR-Richtlinie die Flugunternehmen grundsätzlich die personenbezogenen Daten jeglicher Fluggäste verarbeiten können. Für eine rechtskonforme Anwendung der PNR- Richtlinie sei erforderlich, dass es „(…) hinreichend konkrete Umstände für die Annahme gibt, dass [der Mitgliedstaat] mit einer als real und aktuell oder vorhersehbar einzustufenden terroristischen Bedrohung konfrontiert ist.“ (EuGH, Urteil vom 21.06.2022, C-817/19 Rn.171) In diesem Fall wahre der Mitgliedstaat die Grenzen der EU-Grundrechte, wenn er die PNR-Richtlinie zeitlich begrenzt auf Flüge aus oder nach dem betroffenen Staat anwende.
Problematisch sei außerdem, dass eine eigens hierfür eingerichtete nationale Behörde die gesammelten Fluggastdaten anhand einer Vielzahl von Datenbänken überprüfen kann. Es sei sicherzustellen, dass die herangezogenen Datenbänke „(…) Personen, nach denen gefahndet wird oder die Gegenstand einer Ausschreibung sind (…)“ (EuGH, Urteil vom 21.06.2022, C- 817/19, Rn.190) betreffen. Zusätzliche dürfen diese Datenbänke nicht diskriminierend sein und müssen im „(…) objektiven Zusammenhang mit der Beförderung von Fluggästen betrieben werden.“ (EuGH, Urteil vom 21.06.2022, C-817/19, Rn.191)
Weitere Einschränkungen für die PNR-Richtlinie
Der EuGH äußerte sich auch dazu, dass „(…) die automatisierten Analysen der PNR-Daten (…) zwangsläufig mit einer gewissen Fehlerquote behaftet sind (…)“ (EuGH, Urteil vom 21.06.2022, C- 817/19, Rn.106), sodass ein anhand der Daten ermittelter Terrorverdacht in 5 von 6 Fällen nicht bestätigt werden könne. Zur Verringerung müssen die Mitgliedstaaten klare und präzise Kriterien für eine objektive Überprüfung aufstellen. Die zuständigen Stellen der Mitgliedstaaten sollen diese Kriterien befolgen.
Bei einer nachträglichen Überprüfung der Fluggastdaten, d.h. nach Abflug oder Ankunft des Fluggastes könne die Datenverarbeitung nur bei Vorliegen bestimmter objektiver Kriterien erfolgen. Es sei sicherzustellen, dass ein begründeter Verdacht bestehe, dass die betroffene Person an schwerer Kriminalität beteiligt sei. Der kriminelle Akt müsse außerdem einen mittelbaren Zusammenhang mit der Flugreise aufweisen.
Abschließend behandelte der EuGH die lange Speicherdauer der Fluggastdaten von fünf Jahren. Obwohl die Daten nach sechs Monaten unkenntlich zu machen seien, könne der Verwender sie anschließend wieder offenlegen. Er stellte fest, dass die Speicherung von Fluggastdaten, die über sechs Monate hinausgehe das absolut Notwendige überschreite.
27. August 2019
Mit einer Klage gegen das Bundeskriminalamt wollte ein italienischer Staatsbürger mit Wohnsitz in Brüssel erreichen, dass seine Fluggastdaten nicht gespeichert, verarbeitet oder übermittelt werden. Seinen Antrag im Wege des einstweiligen Rechtsschutzes hat das Verwaltungsgericht Wiesbaden als unzulässig abgelehnt. Nach Auffassung des Gerichts fehlt es schon am notwendigen Rechtsschutzinteresse (Beschl. v. 21.08.2019, Az. 6 L 807/19.WI).
Im Zeitraum zwischen Mai 2018 und Juli 2019 unternahm der Antragsteller mehrfach Flüge von und nach Belgien. In seinem Eilantrag ging es konkret um den Flug im November 2019 von Brüssel nach Berlin bzw. einige Tage später nach Brüssel zurück. Dabei forderte er das Bundeskriminalamt zu der Erklärung auf, dass seine Fluggastdaten zu den beiden Flügen im November 2019 nicht gespeichert, verarbeitet und/oder übermittelt werden. Diese Maßnahmen verstießen gegen sein Recht auf Achtung des Privat- und Familienlebens aus Art. 7 der Charta der Grundrechte der Europäischen Union (GRCh), sein Recht auf Schutz der personenbezogenen Daten aus Art. 8 GRCh sowie sein Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG.
Das Bundeskriminalamt lehnte den Antrag ab und wies darauf hin, dass die Sicherheitsbehörde nach dem deutschen Fluggastdatengesetz (FlugDaG), die Fluggastdaten des Antragstellers speichern müsse. Die Eingriffe in die Rechte des Antragstellers seien gerechtfertigt, weil durch die Regelungen des Fluggastdatengesetzes terroristische Straftaten und schwere Kriminalität verhindert werden sollen.
Das VG Wiesbaden lehnte den Eilantrag des Antragstellers bereits wegen seinem fehlenden Rechtschutzinteresses als unzulässig ab. Die Kammer erklärte in ihrem Beschluss, der Mann habe zwischen Mai 2018 und Juli 2019 zahlreiche Flüge von Belgien aus oder mit dem Ziel Belgien unternommen. Auch dort wurden Fluggastdaten gespeichert, was er offensichtlich widerspruchslos hingenommen habe. Es sei daher nicht ersichtlich, warum die Datenerhebung in Deutschland unzumutbar für ihn sein sollte.
Gegen den Beschluss kann der Antragsteller Beschwerde einlegen, worüber dann der Verwaltungsgerichtshof (VGH) Kassel zu entscheiden hat.
15. Januar 2018
In einer Resolution hat sich der UN-Sicherheitsrat dafür ausgesprochen weltweit Fluggastdaten mit biometrischen Daten von Passagieren abzugleichen, um gegen terroristische Kämpfer vorzugehen.
Die Mitgliedstaaten sollen Systeme entwickeln, die Passenger Name Records (PNR), Advance Passenger Information (API) und biometrischen Daten, wie Fingerabdruck oder Gesichtserkennungsdaten analysieren. Diese Daten sollen dann mit „schwarzen Listen“ für bekannte Terroristen oder verdächtige Personen abgeglichen werden.
Ziel ist es auf diese Weise Terroristen und ausländische Kämpfer zu identifizieren.
Die gewonnenen Daten sollen die Mitgliedstaaten untereinander austauschen und nationalen Behörden wie zum Beispiel dem Zoll, Geheimdiensten oder Strafverfolgern zugänglich machen. In der Resolution wird betont, dass die weitreichende Überwachung von Flugreisenden “verantwortungsvoll und ordnungsgemäß entsprechend nationaler Gesetze und internationaler Menschenrechtsvorgaben” durchgeführt werden soll.
13. November 2017
Jede Flugreise bringt eine Flut von Daten mit sich. Wie bereits berichtet, werden Fluggastdaten auch in Deutschland ab Mai 2018 gespeichert – ähnlich wie in Großbritannien und den USA. EU-Sicherheitsbehörden können im Zuge des Fluggastdatengesetzes (FlugDaG) bis zu 60 verschiedene Datenkategorien bei Fluggesellschaften abfragen. Das Gesetz strebt die Bekämpfung von Terror und schwerer Kriminalität an.
In einer Entschließung der Datenschutzkonferenz sprachen sich die unabhängigen Datenschutzbehörden des Bundes und der Länder für eine Nachbesserung des FlugDaG aus. Insbesondere kritisieren die Behörden die langfristige Speicherung von Fluggastdaten (Passenger Name Records – PNR) aller Passagiere. Sie berufen sich dabei auf den Gerichtshof der Europäischen Union (EuGH), der in seinem Gutachten vom 26. Juli 2017 das Fluggastdaten-Abkommen der EU mit Kanada für nicht mit der Europäischen Grundrechtecharta vereinbar erklärt hat.
Unter dem Deckmantel von Grundsätzen der Datensparsamkeit und der Erforderlichkeit argumentieren die Behörden im Sinne des EuGH. Die öffentliche Sicherheit und der Schutz vor Terrorismus rechtfertigen nicht die Erhebung und Verarbeitung sensibler Daten wie rassische und ethnische Herkunft, religiöse Überzeugungen oder das Sexualleben. Eine präzisere und besonders fundierte Begründung sei dazu nötig.
Wenn es während eines Aufenthalts eines Reisenden keine Anhaltspunkte für terroristische oder schwere Straftaten gibt, habe sich der Zweck der Datenübermittlung erfüllt. Wie der EuGH fordern die Datenschutzbehörden dann eine weitere Speicherung zu verbieten. Nach Ausreise sei eine Vorratsdatenspeicherung ohne objektive Anhaltspunkte für geplante Straftaten nicht gerechtfertigt.
5. Mai 2017
Die umstrittene Fluggastdatenspeicherung wurde in der vergangenen Woche vom Bundestag mit den Stimmen der Großen Koalition verabschiedet. Die Opposition stimmte geschlossen gegen den Gesetzesentwurf. Lediglich formale Änderungen wurden an dem Entwurf noch vorgenommen.
Grundlage des Vorhabens ist eine EU-Richtlinie (2016/681). Aufgrund des Fluggastdatengesetzes (FlugDaG) ist es EU-Sicherheitsbehörden ab Mai 2018 möglich, von Fluggesellschaften Daten der Passagiere abzufragen. Die abfragbaren Daten reichen von Kontaktdaten des Fluggastes, über die Kreditkartennummer bis hin zur Essensbestellung, insgesamt 60 Datenkategorien. Die gesammelten Daten werden dann automatisiert mit Fahndungs- und Anti-Terror-Dateien abgeglichen, sowie anderweitig ausgewertet. Als Begründung wird die anhaltende Bedrohung durch internationalen Terrorismus angeführt, aber auch andere Formen der organisierten Kriminalität.
Die so gesammelten Daten werden für sechs Monate unmaskiert gespeichert und weitere viereinhalb Jahre anonymisiert.
Nicht nur Flüge aus der EU hinaus sind von dem Gesetz betroffen, sondern auch Innereuropäische.
Im Vorfeld gab es bereits einige Kritik und die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Andrea Voßhoff mahnte zur Geduld. Sie hätte es vorgezogen das ausstehende Gutachten des Europäischen Gerichtshofs (EuGH) zum Fluggastabkommen mit Kanada abzuwarten, weil in dem Gutachten eine Konkretisierung der Verhältnismäßigkeit bezüglich verdachtloser Speicherung von Fluggastdaten vermutet wird. Dieser Rat wurde augenscheinlich nicht beachtet.
16. Februar 2017
Mit dem vom Bundeskabinett befürworteten Gesetzesentwurf sollen die teils umstrittenen EU-Vorgaben zur fünfjährigen Flugpassagierdatenspeicherung ins nationale Recht implementiert werden. Ab dem, spätestens für Mai 2018, geplanten Zeitpunkt des Inkrafttretens des Gesetzes sollen Flugpassagierdaten gesammelt werden und diese in einem automatisierten Prozess mit Fahndungs- und Anti-Terror-Dateien sowie anderweitig ausgewertet werden. Erfasst werden müssen insgesamt 60 Datenkategorien, die u.a. von E-Mail- und anderen Kontaktadressen, über etwaige Vielfliegernummern, bis hin zu Essenswünschen reichen.
Diese gesammelten Daten, die sogenannten Passenger Name Records (PNR) müssen nach den Vorgaben der EU-Richtlinie für einen Zeitraum von sechs Monaten „unmaskiert“ und danach viereinhalb Jahre ohne direkten Personenbezug gespeichert werden. Eine „Re-Identifizierbarkeit“ der Daten soll aber über den gesamten Zeitraum der Speicherung möglich sein. Auch ein Datenaustausch mit anderen Mitgliedsländern, Europol und Drittstaaten soll durch weitgehende Regelungen ermöglicht werden.
Die Bundesregierung plant, neben den Daten von Fluggästen, die aus der EU reisen, auch die Daten der Fluggäste auf innereuropäischen Flügen zu speichern und auszuwerten. Auch zu den Kosten der Implementierung des Fluggastendaten-Systems und den jährlichen Betriebskosten äußerte sie sich die Regierung: Die Einrichtung soll einmal 78 Millionen Euro kosten. Hinzukommen sollen jährliche Betriebskosten in Höhe von 65 Millionen Euro. Als nationale PNR-Zentralstelle soll das Bundeskriminalamt fungieren.
Während der Europäische Gerichtshof noch prüft, ob eine derartige Form der Vorratsdatenspeicherung mit den Grundrechten vereinbar ist, begründete Bundesinnenminister Thomas de Maizière die Notwendigkeit des geplanten Gesetzes: „Terroristen und Schwerkriminelle machen nicht vor Grenzen halt. Um Straftaten zu verhindern oder jedenfalls aufzuklären, müssen wir daher wissen, wer wann die Grenzen des Schengenraums überschreitet.“
7. Dezember 2015
Etwa fünf Jahre wurde darüber diskutiert, auch wir haben schon darüber berichtet und nun haben sich die Innenminister der EU geeinigt: Die Daten von Flugpassagieren innerhalb der EU sollen künftig sechs Monate lang unter deren Klarnamen und anschließend fünf Jahre lang pseudonymisiert gespeichert werden. Das Europaparlament muss dem Entwurf der Fluggastdatenrichtlinie noch zustimmen, was nach Medienberichten unter Umständen bis Ende des Jahre geschehen soll.
Zu den Daten, die die Fluglinien an Behörden der EU-Mitgliedsländer weiterleiten müssen, gehören unter anderem Name, Adresse, Telefonnummer, E-Mail Adresse, Kreditkartennummer, Reiseziel, Ablaufdatum des Reisepasses bzw. Personalausweises, angegebene Essenswünsche etc. Als Oberbegriff für die Gesamtheit der Daten gilt der Begriff des “Passenger Name Record (PNR)”.
Ein PNR-Abkommen zwischen der EU und den USA besteht schon seit Langem und wird von Datenschutzorganisationen, wie z.B. der Art. 29 Datenschutzgruppe, immer wieder kritisiert.
Auch über die Einigung der EU-Innenminister über die Fluggastdatenspeicherung herrschen unterschiedliche Ansichten. Während die einen sie als effektive Anti-Terror-Maßnahme sehen, bemängeln andere eine blinde Datensammlung mit hohem Kostenaufwand.
14. Dezember 2011
Nachdem wir bereits vor Kurzem über den Streit bezüglich des “Drückens” und “Ziehens” beim geplanten Fluggastdatenabkammen (PNR-Abkommen) zwischen der EU und den USA berichtet haben, hat das umstrittene Abkommen eine weitere Hürde genommen: So haben die Innen- und Justizminister der jeweiligen Nationalstaaten im Rat der Europäischen Union am gestrigen Dienstag grünes Licht für das umstrittene Abkommen gegeben. Österreich, Deutschland und Frankreich haben sich dabei ihrer Stimme enthalten.
Auch wenn die Verabschiedung des Abkommens damit wieder einen Schritt näher gerückt ist, verstummt die Kritik der Datenschützer nicht. Ebenfalls am gestrigen Dienstag äußerte sich der europäische Datenschutzbeauftragte, Peter Hustinx, kritisch gegenüber dem Regelwerk. Die von ihm vorgetragenen Bedenken decken sich dabei im Wesentlichen mit den bereits zuvor geäußerten Einwänden:
- Die 15-jährige Aufbewahrungsfrist sei übertrieben: Daten sollten sofort nach deren Analyse oder nach maximal 6 Monaten gelöscht werden.
- Auch die Zweckbindung sei zu weit gefasst. Fluggastdatensätze sollten nur verwendet werden, um Terrorismus oder eine gut definierte Liste von schweren grenzüberschreitenden Verbrechen zu bekämpfen.
- Die Liste der Daten, die übermittelt werden sollen, sei unverhältnismäßig und sollte daher begrenzt werden.
- Es dürfe keine Ausnahmen zur “Push”-Methode geben.
- Es müsste für jeden Bürger ein Recht auf effektiven gerichtlichen Rechtsschutz vereinbart werden.
- Die Daten sollten nach Ansicht Hustinx’ nur an andere US-Behörden oder an Drittländer übermittelt werden dürfen, wenn diese ein gleichwertiges Schutzniveau gewährleisten könnten.
(se)
23. November 2011
Wie bereits berichtet, hat sich die EU-Kommission mit den USA auf ein neues Fluggastdaten-Abkommen (PNR-Abkommen) geeinigt, das die Erhebung von 19 Daten legitimieren soll. Zu diesen Daten gehören Name, Anschrift, Kreditkartennummer, Telefonnummer, Reiseverlauf, Gepäckinformationen, Sitzplatz und auch das im im Flugzeug bestellte Essen. Diese Daten werden nicht ausschließlich von Personen erhoben, die in die USA einreisen, sondern auch von solchen Passagieren, die im Laufe ihrer Reise über die USA fliegen.
Nach dem Bekanntwerden der Pläne ist umgehend Kritik an den neuen Plänen laut geworden. Stein des Anstoßes ist insbesondere folgende Regelung: Obwohl die Fluggesellschaften im Regelfall die Daten an die US-Behörden übermitteln sollen (Push-Methode), können die US-Behörden die Daten doch eigenmächtig aus dem Buchungssystem der Airlines entnehmen (Pull-Methode), wenn eine Übermittlung durch die Gesellschaften technisch nicht möglich ist, oder eine „dringende und ernste Gefahr“ besteht, die es abzuwehren gelte.
Peter Schaar drückte gegenüber der Berliner Zeitung seinen Unmut über diese Regelung aus, weil sie es den US-Behörden doch ermögliche direkt auf den gesamten Datensatz, welcher auch sensible Daten enthalte, zuzugreifen. Der Bundesdatenschutzbeauftrage störte sich weiterhin daran, dass die Daten ohne Anfangsverdacht und Erforderlichkeitsnachweis jahrelang von den US-Behörden gespeichert werden dürften.
Auch Jan Philipp Albrecht, der für die Grünen im EU-Parlament sitzt, sprach von einer “Mogelpackung”, die keine substanziellen datenschutzrechtlichen Verbesserungen im Vergleich zur Vorversion brächte und aus verfassungsrechtlichen Gründen abzulehnen sei. Als “nicht zustimmungsfähig” erachtet der liberale EU-Parlamentarier Alexander Navaro den Entwurf und moniert insbesondere, dass den USA weitergehendere Befugnisse zugestanden würden, als dies für Kanada und Australien der Fall sei.
Der unabhängige österreichische EU-Abgeordnete Martin Ehrenhauser wirft der Kommission gar vor, dass diese gezielt die Unwahrheit verbreite und mit Hilfe eines “Datenwäsche-Tricks” Bürgerrecht umgehe.
Zum Inkrafttreten des Abkommens ist neben der Zustimmung der Mitgliedsstaaten auch die Zustimmung des EU-Parlaments notwendig. Einem PNR-Abkommen mit Australien stimmte das EU-Parlament kürzlich zu. Im Gegensatz zum geplanten Abkommen mit den USA bleibt den australischen Sicherheitsbehörden jedoch der eigenmächtig Pull-Zugriff auf die Daten verwehrt. Nichtsdestotrotz darf bezweifelt werden, dass die weitergehenden Zugriffsrechte der US-Behörden dazu führen, dass das EU-Parlament seine Zustimmung verweigert. (se)