Schlagwort: Gesetzesentwurf
8. April 2021
Die Europäische Kommission verfolgt das Thema Cybersecurity mit hoher Priorität. In diesem Zuge wurde im Dezember 2020 ein Vorschlag für eine neue Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) vorgelegt. Diese soll die bestehende Richtlinie ablösen.
Die Erneuerung der NIS-Richtlinie stellt eine Reaktion auf vergangene Sicherheitsvorfälle öffentlicher und privater Einrichtungen auf dem Gebiet der Cybersicherheit dar. Der Vorschlag beinhaltet eine neue Cybersicherheitsstrategie, welche die Resilienz und Reaktion innerhalb der EU verbessern soll. Auch umfasst ist einen Vorschlag für eine Richtlinie über die Abwehr von Angriffen durch Betreiber wesentlicher Dienste, die physische Bedrohungen von diesen Betreibern abwenden soll.
Praktische Auswirkung wird der Entwurf auch für Unternehmen des Gesundheitssektors entfalten. Der Vorschlag sieht in diesem Bereich deutlich verschärfte Pflichten vor. So sollen Unternehmen des Gesundheitssektors technische und organisatorische Maßnahmen ergreifen, die dem Stand der Technik entsprechen und damit ein angemessenes Sicherheitsniveau für die IT-Systeme gewährleisten. Dazu definiert der Entwurf einige Mindestanforderungen an das Risikomanagement, in dem etwa Datenverschlüsselung, Risikobewertungen und eine besondere Berücksichtigung der Lieferkette vorgesehen sind. Durch die Einführung solcher Mindeststandards könnten in Zukunft Vorfälle, wie der durch einen Hackerangriff verursachten Todesfall im Universitätsklinikum Düsseldorf, vermieden werden.
Mit der Erneuerung der NIS-Richtlinie reagiert die EU mithin auch auf die wachsende digitale Verantwortung, welche sich insbesondere in der COVID-19-Pandemie drastisch erhöht hat.
27. Januar 2021
Die Bundesregierung will nun die erforderliche Rechtsgrundlage schaffen, die es erlaubt, automatisierte Kennzeichenlesesysteme (AKLS) im öffentlichen Verkehrsraum zu Fahndungszwecken zu nutzen. Doch welchen datenschutzrechtlichen Bedenken begegnet der vom Bundeskabinett bereits gebilligte Gesetzentwurf?
Automatisierte Kennzeichenerfassung: Die Ausgangslage
Das Thema einer massenhaften und undifferenzierten Erfassung von Kfz-Kennzeichen ist schon lange im Gespräch. Das Bundesverfassungsgericht (BVerfG) hatte sich Ende 2018 erneut mit der Verfassungsmäßigkeit von automatisierten Kfz-Kennzeichenkontrollen beschäftigt (Beschl. v. 18.12.2018, Az. 1 BvR 142/15 und Beschl. v. 18.12.2018, Az. 1 BvR 3187/10).
Hierbei ging es jedoch um Rechtsgrundlagen aus drei Landesgesetzen (Bayern, Hessen und Baden-Württemberg).
In Abweichung seiner bisherigen Rechtsprechung stellte das BVerfG damals letztlich fest, dass die automatisierte Kennzeichenerfassung einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung begründe. Dieser gelte für alle Personen, deren Kennzeichen in die Kontrolle einbezogen werden. Zuvor hatte das Gericht einen Eingriff lediglich im Falle eines Treffers angenommen.
Da ein solcher Eingriff nur durch ein verhältnismäßiges Gesetz gerechtfertigt werden könne, sei zwingende Voraussetzung für polizeiliche Kontrollen grundsätzlich „ein objektiv bestimmter und begrenzter Anlass“. Um engmaschige Grenzen für die Kennzeichenkontrolle sicherzustellen, müssten die Regelungen eine Beschränkung auf den Schutz von Rechtsgütern von zumindest erheblichem Gewicht oder einem vergleichbar gewichtigen öffentlichen Interesse aufweisen.
Das Problem ist bis heute: Es gibt keine verhältnismäßige Rechtsgrundlage für eine Kennzeichenkontrolle zu Strafverfolgungszwecken. Dies soll der Gesetzesentwurf des Bundeskabinetts ändern.
Was besagt das neue Gesetz?
Der Gesetzentwurf sieht im neuen § 163g StPO zunächst eine „im öffentlichen Verkehrsraum örtlich begrenzte“ Erhebung des „Kennzeichen von Kraftfahrzeugen sowie Ort, Datum, Uhrzeit und Fahrtrichtung“ vor.
Die Erhebung darf „durch den Einsatz technischer Mittel automatisch“ erfolgen, „wenn zureichende tatsächliche Anhaltspunkte“ für die Begehung einer „Straftat von erheblicher Bedeutung“ vorliegen und angenommen werden kann, „dass diese Maßnahmen zur Ermittlung der Identität oder des Aufenthaltsorts des Beschuldigten führen“. Hierzu „darf die Datenerhebung nur vorübergehend und nicht flächendeckend erfolgen“.
Die so erhobenen Daten dürfen mit Kennzeichen von Kraftfahrzeugen automatisch abgeglichen werden, die auf den Beschuldigten oder auf mit ihm in Verbindung stehende Personen zugelassen sind oder genutzt werden. Letzteres ist jedoch nur zulässig, wenn der Aufenthaltsort des Beschuldigten nicht auf andere Weise oder nur schwierig zu ermitteln ist.
Die automatische Erfassung der Kennzeichen muss – vorbehaltlich des Vorliegens von Gefahr im Verzug – schriftlich begründet von der Staatsanwaltschaft angeordnet werden. Außerdem ist die Erfassung unverzüglich zu beenden, wenn die Voraussetzungen des § 163g StPO nicht mehr erfüllt sind.
Was bedeutet das datenschutzrechtlich?
Zunächst müssten die Anforderungen DSGVO-konform sein. Insbesondere der Art. 5 DSGVO ist entscheidend. Demnach muss ein rechtmäßiger Zweck gegeben sein (“Zweckbindung”) und die zu erhebenden personenbezogenen Daten müssen auf das notwendige Maß beschränkt werden („Datenminimierung“). Zuletzt darf eine Speicherung der Daten nur so lange erfolgen, wie dies für den verfolgten Zweck erforderlich ist (“Speicherbegrenzung”). Die Daten müssen auch ausreichend geschützt sein.
Bedeutung für den Beschuldigten:
Für eine Einschätzung sollte zwischen den von der Erfassung der Kennzeichen betroffenen Personen unterschieden werden. Hierbei handelt es sich zunächst um einen Beschuldigten, nach dem gefahndet wird.
Datenschutzrechtlich wird für eine Datenerhebung im neuen § 163g StPO ein rechtmäßiger Zweck festgelegt, nämlich die Strafverfolgung. Der Zweck ist nach den Maßgaben des BVerfG wohl auch als objektiv bestimmter und begrenzter Anlass zu bewerten, vor allem, wenn die Erhebung von Kennzeichen zur Aufklärung von Straftaten nur dann erfolgen darf, wenn der Verdacht einer Straftat von erheblicher Bedeutung gegeben ist.
Hierunter sind Straftaten zu verstehen, die mindestens im Bereich der mittleren Kriminalität liegen. Diese stören den Rechtsfrieden drastisch und sind dazu geeignet, das Gefühl der Rechtssicherheit der Bevölkerung erheblich zu beeinträchtigen.
Die Regelung, die Erhebung unverzüglich zu beenden, wenn die Voraussetzungen nicht mehr erfüllt sind, ist direkter Ausfluss des Art. 5 DSGVO: Ohne rechtmäßigen Zweck darf eine Verarbeitung von personenbezogenen Daten nicht erfolgen.
Bedeutung für alle anderen:
Neben dem (strafrechtlich) Beschuldigten, sofern er dann auch unter den (datenschutzrechtlich) Betroffenen fällt, sind jedoch alle anderen Verkehrsteilnehmer nicht aus den Augen zu verlieren. Diese sind primär gerade keine Beschuldigten in einem Strafverfahren. Ihre personenbezogenen Daten werden aber „trotzdem“ erfasst. Die neue Regelung stellt auch für die Datenverarbeitung der übrigen Verkehrsteilnehmer eine datenschutzrechtliche Rechtsgrundlage dar. Zum Zweck der Strafverfolgung werden auch diese personenbezogenen Daten erhoben. Fraglich bleibt, ob der neue § 163g StPO auch den verfassungsrechtlichen Vorgaben genügt und eine Rechtfertigung für die vielen Eingriffe in das Grundrecht der informationellen Selbstbestimmung darstellt, gerade im Hinblick auf die hohe Fehlerquote beim Kennzeichenabgleich.
Aber auch bei geringerer Fehlerquote sucht die Polizei aufgrund der hohen Diskrepanz zwischen Anzahl der Beschuldigten und anderen Autofahrern sprichwörtlich die Nadel im Heuhaufen. Man könnte sich die Frage stellen, wie die geplante Einführung einer weiteren Maßnahme zur „Massenüberwachung“ zu der vom BVerfG diesbezüglich einst angedachten „Überwachungsgesamtrechnung“ passt. Es bleibt also abzuwarten, ob diese praktischen Probleme bei der Abwägung zwischen einer effektiven Strafverfolgung und dem Recht auf informationelle Selbstbestimmung Eingang finden.
15. Juli 2020
Die Koalitionsfraktionen haben sich auf sich auf den Entwurf eines Gesetzes zur Stärkung des fairen Wettbewerbs geeinigt, um Abmahnmissbrauch wegen Verstößen gegen die DSGVO zu verhindern.
Nach dem Gesetzentwurf sind Abmahnungen zwar weiterhin als lauterkeitsrechtliche Regulierungen möglich. Er soll aber sicherstellen, dass sie im Interesse eines rechtstreuen Wettbewerbs erfolgen und nicht zur Generierung von Gebühren und Vertragsstrafen missbraucht werden. Es werden zum einen höhere Anforderungen an die Befugnis zur Geltendmachung von Ansprüchen gestellt, zum anderen soll der finanzielle Anreize für Abmahnungen verringert werden. So sieht der Gesetzesentwurf vor, dass es keinen Anspruch mehr auf Ersatz der erforderlichen Aufwendungen bei Abmahnung wegen Verstößen gegen die DSGVO gibt (§ 13 Abs. 4 Nr. 2 des Gesetzentwurfs). Darüber hinaus soll durch das neue Gesetz mehr Transparenz sowie vereinfachte Möglichkeiten zur Geltendmachung von Gegenansprüchen geschaffen werden.
Der Gesetzentwurf, der nach der Sommerpause verabschiedet werden soll, ist insbesondere zum Schutz von kleineren Unternehmen vor Abmahnmissbrauch gedacht. Bereits 2019 war das Thema in einer öffentlichen Anhörung im Bundestag diskutiert worden. Die Vertreter der Verbraucher- und Einzelhandelsverbände begrüßten die im Entwurf vorgesehenen Maßnahmen als Schritt zu mehr Rechtssicherheit. Einige eingeladene Rechtsanwälte kritisierten unter anderem, dass das Gesetz keine sinnvolle praktische Funktion habe und es vor allem nicht dazu geeignet sei die postulierten Ziele zu erreichen. Vielmehr würde es nur für mehr Rechtsunsicherheit sorgen.
24. März 2020
Um das Infektionsschutzgesetz (Gesetz zur Verhütung und Bekämpfung von Infektionskrankheiten beim Menschen, IfSchG) an die aktuelle Situation anzupassen, hat das Bundeskabinett einen Entwurf zur Änderung des Gesetzes vorgelegt. In einer Stellungnahme kritisiert der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber, dass nicht alle Einschränkungen des Grundrechts auf informationelle Selbstbestimmung in jeder Hinsicht verhältnismäßig seien.
Der BfDI spricht sich in der Stellungnahme zunächst dafür aus, dass ein vorgesehener Bericht des Bundesministeriums für Gesundheit zu den Erkenntnissen aus der durch das neuartige SARS-CoV-2 verursachten Epidemie auch Informationen zu Maßnahmen, die geeignet sind das Recht auf informationelle Selbstbestimmung einzuschränken (§ 5 Abs.3 Nr.1 lit.c), d) und e) des Enwurfs), enthalten soll. Des Weiteren sollen Löschregelungen für (teils sensible) personenbezogene Daten von Reisenden, die nach § 5 Abs.3 Nr.1 und 2 des Entwurfs verarbeitet werden dürfen, aufgenommen werden. Außerdem regt der BfDI an, dass seine Bundesdatenschutzbehörde bei Vorhaben der Versorgungs-und Gesundheitsforschung, an denen mehrere Verantwortliche beteiligt sind, die zuständige Aufsichtsbehörden sein soll. Darüber hinaus begrüßt der BfDI, dass die Regelung zur Erfassung von Daten aus Mobilfunkgeräten, die im vorangegangenen Entwurf des BMG noch enthalten waren, nicht in den aktuellen Entwurf des Kabinetts aufgenommen wurden.
Das IfSchG regelt, zum einen welche Krankheiten bei Verdacht, Erkrankung oder Tod und welche labordiagnostischen Nachweise von Erregern meldepflichtig sind. Zum anderen legt es fest, welche Angaben von den Meldepflichtigen gemacht werden müssen und welche weiteren Meldewege (z.B. an das Gesundheitsamt) einzuhalten sind.
28. Oktober 2019
Das Gesetz soll die Sicherheit und Qualität von Implantationen verbessern. Abstriche werden beim Datenschutz gemacht. Das Gesetz enthält eine Beschränkung der Rechte der betroffenen Patientinnen und Patienten.
Der Deutsche Bundestag hat am 26. September 2019 in 2./3. Lesung das „Gesetz zur Errichtung eines Implantateregisters Deutschland und zu weiteren Änderungen des Fünften Buches Sozialgesetzbuch“ (Implantateregister-Errichtungsgesetz, EIRD) beschlossen. Es soll am 1. Januar 2020 in Kraft treten
Damit die Aussagefähigkeit des Registers gewährleistet werden könne, ist die Meldung an das Register für Gesundheitseinrichtungen, gesetzliche und private Krankenversicherungen und Patienten verpflichtend. Dadurch ist das Recht auf Widerspruch gegen die Datenverarbeitung, welches dem Patienten eigentlich nach Art. 21 DSGVO zusteht, ausgeschlossen. Ebenso verhält es sich mit dem Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, dieses wird ebenfalls durch den § 26 EIRD ausgeschlossen. Und das, obwohl es sich bei den Patientendaten um besonders sensible Daten im Sinne des Art. 9 DSGVO handelt, welche besonders schutzwürdig sind.
Die Registerstelle für die zentrale Datensammlung wird beim Deutschen Institut für Medizinische Dokumentation und Information (DIMDI) errichtet.
9. Januar 2019
Zum Zwecke der Durchsetzung eines Dieselfahrverbotes ist zur Zeit ein Gesetzesentwurf im Umlauf, der automatisierte Kontrollmöglichkeiten vorsieht. Die Kontrolle sieht dabei vor, das Autos, die in eine Verbotszone fahren, automatisiert fotografiert werden sollen um, das Kennzeichen mit den Daten der Zentralen Fahrzeugregister abgleichen zu können und so zu ermitteln, ob das Befahren der Zone erlaubt oder verboten war. Nachdem der Bundesrat den ersten Entwurf an verschiedenen Punkten, insbesondere aufgrund datenschutzrechtlicher Bedenken, kritisierte, besserte Bundesverkehrsminister Andreas Scheuer (CSU) nun nach.
Im alten Gesetzesentwurf war noch vorgesehen, dass die durch die automatisierten Kontrollen gewonnenen Daten spätestens sechs Monate nach ihrer erstmaligen Erhebung zu löschen sind. Im neuen Entwurf wurde diese Frist nun auf zwei Wochen verkürzt, um dem datenschutzrechtlichen Prinzip der Datenminimierung zu entsprechen. Selbst wenn die frühzeitige Löschung bedeuten würde, dass dies die Verfolgung eines etwaigen Verstoßes verhindern könnte, soll die Frist eingehalten werden.
Im Falle eines Verstoßes gegen das Dieselfahrverbot sollen die Daten unverzüglich an die zuständige Behörde weitergeleitet werden. Die Kontrollen sollen dabei allerdings nur stichprobenartig sowie ohne Videoaufzeichnungen oder verdeckte Kontrollen erfolgen.
Es bleibt abzuwarten, wie der Bundesrat auf den neuen Gesetzesentwurf reagiert.
11. September 2018
Trotz Ausbleiben der erwarteten Abmahnwelle aufgrund geltend gemachter Verstöße gegen die Anforderungen der DSGVO, möchte die Politik die Unternehmen dennoch schützen.
Sinn einer Abmahnung ist es, den fairen Wettbewerb zu stärken und ein gerichtliches Verfahren zu vermeiden. Doch leider wird das Instrument oftmals missbräuchlich genutzt.
Seit dem 25.05.2018, dem Inkrafttreten der DSGVO, gab es verschiedene Vorschläge wie gegen Abmahnungen aufgrund der DSGVO vorgegangen werden könnte. Die CDU/CSU wollte im Bundestag bereits im laufenden Gesetzgebungsverfahren zur Musterfeststellungsklage einen Passus mit aufnehmen lassen, der Abmahnungen aufgrund von Verstößen gegen die DSGVO innerhalb einer Frist von einem Jahr gesetzlich verbietet. Die SPD hingegen wollte dem Vorschlag nicht zustimmen. Ihrer Meinung nach sollte das Problem der Abmahnungen grundsätzlich angegangen werden. Immerhin ist das Thema Abmahnmissbrauch Bestandteil des Koalitionsvertrags.
Nun hat Justizministerin Katarina Barley (SPD) einen neuen Gesetzesentwurf vorgelegt, in dem die Anforderungen an die Klagebefugnis deutlich angehoben wurden. Ziel ist es, den oben angesprochenen missbräuchlichen Abmahnern erst gar keine Möglichkeit zur Abmahnung einzuräumen.
Dem Inhalt nach sollen Mitbewerber nur noch dann klagebefugt sein, wenn sie in zumindest nicht unerheblicher Art und Weise vergleichbare Waren oder Dienstleistungen vertreiben oder nachfragen.
Durch den Gesetzesentwurf soll klargestellt werden, dass die erhobenen Ansprüche nicht hauptsächlich zur Gewinnerzielung genutzt werden dürfen. So soll auch der Streitwert auf 1000,00 € begrenzt werden. Dadurch soll der Anreiz für Abmahnanwälte deutlich begrenzt werden.
Darüber hinaus hat der Abmahnende nachvollziehbar und verständlich darzulegen, auf welcher Grundlage und nach welchen Bemessungskriterien er die geltend gemachten Ansprüche berechnet hat.
Der Gesetzentwurf untersagt mithin zwar nicht grundsätzlich Abmahnungen aufgrund von Verstößen gegen die DSGVO, er kann die missbräuchlichen Abmahnungen aber einschränken.
26. Mai 2017
Der Bundestag hat in der vergangenen Woche genehmigt, dass sowohl Polizei, Geheimdienste, Steuer- und Zollfahnder als auch Ordnungsbehörden rund um die Uhr online bei den Meldeämtern biometrische Lichtbilder aus Personalausweisen und Pässen erhalten können.
Hintergrund ist, dass zum einen die eID-Funktion des Personalausweises gefördert werden soll und zum anderen die Sicherheitsbehörden flexibler und schneller an die benötigten Lichtbilder kommen, um ihrer Arbeit effektiv nachzugehen.
Der Gesetzesentwurf klingt für die Meisten wahrscheinlich erschreckend, Tatsache ist jedoch, dass die genannten Behörden bereits in der Vergangenheit online Zugriff auf die Lichtbilder hatten, wenn die Ausweis-/Passbehörde nicht erreichbar waren oder wenn Gefahr in Verzug bestand. Ganz neu ist die jetzt verabschiedete Regelung also nicht. Es stellt sich allerdings die Frage, ob es der neuen Regelung bedarf, wenn die Sicherheitsbehörden vorher schon unter den genannten Umständen auf die Fotos zugreifen durften. Außerdem steigt der Kreis der zum Abruf Berechtigten an. Bis jetzt durften nur die Ermittlungs- und Ordnungsbehörden sowie Steuer- und Zollfahnder die Lichtbilder abgreifen.
Kritik steht dem Gesetzesentwurf allerdings dennoch entgegen. Die Opposition im Bundestag hatte gegen den Entwurf gestimmt und auch Datenschützer, Informatiker und Rechtswissenschaftler äußerten ihre Bedenken. Sie befürchten eine nationale Datenbank für Lichtbilder welche verfassungsrechtlich bedenklich ist.
Im Zuge der jüngst verabschiedeten Gesetze, wie die intelligente Videoüberwachung, warnt der ehemalige Bundesdatenschutzbeauftragte Peter Schaar es sei damit zu rechnen, dass die umfassenden Abrufmöglichkeiten längerfristig dazu verwendet werden, im Rahmen der ‘intelligenten Videoüberwachung’ alle Menschen zu identifizieren, die sich im öffentlichen Raum aufhielten. Nicht umsonst habe die Koalition kürzlich die gesetzlichen Befugnisse entsprechend aufgebohrt.
20. Februar 2017
Das Verwaltungsgericht Köln hat einen Eilantrag des Münchner Providers Spacenet vom Mai 2016 zurückgewiesen (Beschluss v. 25.01.2017, Az. 9 L 1009/16), mit dem dieser im Rahmen einer weitergehenden Klage vorläufig von der im nächsten Sommer greifenden Gesetzespflicht zur Vorratsdatenspeicherung ausgenommen werden wollte. Als Begründung führte es aus, dass die Voraussetzungen für den Erlass einer einstweiligen Anordnung nicht vorliegen.
Da dem Provider bei einem etwaigen Verstoß gegen die gesetzlichen Speicherpflichten ein Bußgeld in Höhe von bis zu 500.000 Euro drohe und ein Rechtsschutzbedürfnis aufgrund des erforderlichen technischen Vorlaufs bestehe, sei der Eilantrag zwar zulässig. Der Antragssteller habe diesen allerdings nicht ausreichend begründet und konnte daher nicht nachweisen, dass dem Unternehmen “schwere und unzumutbare, anders nicht abwendbare Nachteile entstünden”, die nach dem Hauptsacheverfahren nicht mehr beseitigt werden könnten. Hierfür hätte Spacenet dem Gericht glaubhaft machen müssen, dass ihr aufgrund der Pflicht zur Vorratsdatenspeicherung eine “erhebliche Grundrechtsverletzung” drohe.
Auch wenn Spacenet bereits ihrer Pflicht zur Glaubhaftmachung nicht nachkam und der Eilantrag schon deswegen abgelehnt wurde, äußerte sich das Verwaltungsgericht auch zur Rechtmäßigkeit der Neuregelung. So spräche “Überwiegendes dafür, dass der Gesetzgeber bei der Neuregelung der sogenannten Vorratsdatenspeicherung die verfassungsrechtlichen Vorgaben hinreichend beachtet hat”.
Ob das Gesetz allerdings auch mit den Vorgaben des EU-Rechts vereinbar sei, könne “aufgrund der Komplexität der zu beantwortenden Fragen” erst im Hauptsacheverfahren geklärt werden. Ebenso im Hauptsacheverfahren geklärt werden müsse, ob die Vorratsdatenspeicherung rechtswidrig in das Fernmeldegeheimnis der Kunden des Zugangsanbieters eingreife oder ob sie aufgrund der vorgesehenen, besonderen Schutzvorkehrungen und ihrer Funktion als “zusätzliche Ermittlungsmöglichkeit” der Strafverfolgung gerechtfertigt sei. Diese sei für das im Eilverfahren im Vordergrund stehende Anliegen, ob die Investitions- und Bereithaltungskosten für das Protokollieren der Nutzerspuren den Telekommunikationsunternehmen auferlegt werden könnten, allerdings unerheblich.
16. Februar 2017
Mit dem vom Bundeskabinett befürworteten Gesetzesentwurf sollen die teils umstrittenen EU-Vorgaben zur fünfjährigen Flugpassagierdatenspeicherung ins nationale Recht implementiert werden. Ab dem, spätestens für Mai 2018, geplanten Zeitpunkt des Inkrafttretens des Gesetzes sollen Flugpassagierdaten gesammelt werden und diese in einem automatisierten Prozess mit Fahndungs- und Anti-Terror-Dateien sowie anderweitig ausgewertet werden. Erfasst werden müssen insgesamt 60 Datenkategorien, die u.a. von E-Mail- und anderen Kontaktadressen, über etwaige Vielfliegernummern, bis hin zu Essenswünschen reichen.
Diese gesammelten Daten, die sogenannten Passenger Name Records (PNR) müssen nach den Vorgaben der EU-Richtlinie für einen Zeitraum von sechs Monaten „unmaskiert“ und danach viereinhalb Jahre ohne direkten Personenbezug gespeichert werden. Eine „Re-Identifizierbarkeit“ der Daten soll aber über den gesamten Zeitraum der Speicherung möglich sein. Auch ein Datenaustausch mit anderen Mitgliedsländern, Europol und Drittstaaten soll durch weitgehende Regelungen ermöglicht werden.
Die Bundesregierung plant, neben den Daten von Fluggästen, die aus der EU reisen, auch die Daten der Fluggäste auf innereuropäischen Flügen zu speichern und auszuwerten. Auch zu den Kosten der Implementierung des Fluggastendaten-Systems und den jährlichen Betriebskosten äußerte sie sich die Regierung: Die Einrichtung soll einmal 78 Millionen Euro kosten. Hinzukommen sollen jährliche Betriebskosten in Höhe von 65 Millionen Euro. Als nationale PNR-Zentralstelle soll das Bundeskriminalamt fungieren.
Während der Europäische Gerichtshof noch prüft, ob eine derartige Form der Vorratsdatenspeicherung mit den Grundrechten vereinbar ist, begründete Bundesinnenminister Thomas de Maizière die Notwendigkeit des geplanten Gesetzes: „Terroristen und Schwerkriminelle machen nicht vor Grenzen halt. Um Straftaten zu verhindern oder jedenfalls aufzuklären, müssen wir daher wissen, wer wann die Grenzen des Schengenraums überschreitet.“
