Schlagwort: Richtlinie

EuGH: Verarbeitung von Fluggastdaten nur im Rahmen des absolut Notwendigen

22. Juni 2022

Diese Woche, am 21.06.2022 entschied der EuGH (Rs. C-817/19), dass Flugunternehmen die personenbezogenen Daten ihrer Reisegäste nicht mehr anlasslos und so umfangreich wie bisher verarbeiten dürfen. Aus Sicht des Gerichtshofs darf sich die Verarbeitung der Fluggastdaten nur noch auf ein absolut notwendiges Maß beschränken.

Der Sachverhalt

Hintergrund der Entscheidung waren rund zehn Vorlagefragen des belgischen Verfassungsgerichtshofs. Diese Fragen legte der Verfassungsgerichtshof dem EuGH im Rahmen eines Verfahrens, dass der gemeinnützige Verein „Ligue des droits humaines“ (Liga für Menschenrechte, LDH) angestrengt hatte, vor. Gegenstand des Vorabentscheidungsverfahrens war ein belgisches Gesetz vom 25.12.2016. Mit diesem Gesetz setzte der belgische Gesetzgeber unter anderem die Richtlinien (EU) 2016/681, die Passanger Name Record-Richtlinie (PNR-Richtlinie) und die Richtlinie 2004/82/EG, die Advance Passanger Information-Richtline (API-Richtlinie) um.

Insbesondere die Bestimmungen der PNR-Richtlinie standen in Frage. Diese verleihen Fluggesellschaften die Befugnis systematisch eine große Anzahl von personenbezogenen Daten ihrer Gäste zu verarbeiten. Zu den überprüfbaren Daten zählen beispielsweise Name, Kontaktdaten, Reiseroute und Zahlungs- sowie Abrechnungsinformationen. Die Befugnis bezieht sich einerseits auf Flüge zwischen Mitgliedstaaten der EU und Drittstaaten bei Ein- und Ausreise und andrerseits auf Flüge zwischen EU-Mitgliedstaaten. Folglich musste der EuGH unter anderem die Frage beantworten, ob das belgische Gesetz Art. 7 und 8 der EU-Grundrechtecharta, die Achtung des Privat- und Familienlebens und das Recht personenbezogener Daten, verletzte.

Ein schwerwiegender Eingriff

Der EuGH stellte zunächst fest, dass ein schwerwiegender Eingriff der PNR-Richtlinie in Art. 7 und 8 EU-Grundrechtecharta existiere.  

Allerdings musste der EuGH anschließend bestimmen, ob eine Rechtfertigung für die schwerwiegenden Eingriffe in Art. 7 und 8 EU-Grundrechte bestand. Der Gerichtshof entschied, dass eine Rechtfertigung für die Eingriffe bestehe, wenn die PNR-Richtlinie so ausgelegt werde, dass sie das absolut Notwendige noch erlaube.

Die Grenze ist das absolut Notwendige

Demnach müssen die Mitgliedstaaten Sorge dafür tragen, dass sie die verarbeiteten Fluggastdaten tatsächlich nur für die Bekämpfung schwerer Straftaten und nicht für die Bekämpfung gewöhnlicher Straftaten einsetzten.

Der Gerichtshof äußerte sich ebenfalls dazu, dass aufgrund der PNR-Richtlinie die Flugunternehmen grundsätzlich die personenbezogenen Daten jeglicher Fluggäste verarbeiten können. Für eine rechtskonforme Anwendung der PNR- Richtlinie sei erforderlich, dass es „(…) hinreichend konkrete Umstände für die Annahme gibt, dass [der Mitgliedstaat] mit einer als real und aktuell oder vorhersehbar einzustufenden terroristischen Bedrohung konfrontiert ist.“ (EuGH, Urteil vom 21.06.2022, C-817/19 Rn.171) In diesem Fall wahre der Mitgliedstaat die Grenzen der EU-Grundrechte, wenn er die PNR-Richtlinie zeitlich begrenzt auf Flüge aus oder nach dem betroffenen Staat anwende.

Problematisch sei außerdem, dass eine eigens hierfür eingerichtete nationale Behörde die gesammelten Fluggastdaten anhand einer Vielzahl von Datenbänken überprüfen kann. Es sei sicherzustellen, dass die herangezogenen Datenbänke „(…) Personen, nach denen gefahndet wird oder die Gegenstand einer Ausschreibung sind (…)“ (EuGH, Urteil vom 21.06.2022, C- 817/19, Rn.190) betreffen.  Zusätzliche dürfen diese Datenbänke nicht diskriminierend sein und müssen im „(…) objektiven Zusammenhang mit der Beförderung von Fluggästen betrieben werden.“ (EuGH, Urteil vom 21.06.2022, C-817/19, Rn.191)

Weitere Einschränkungen für die PNR-Richtlinie

Der EuGH äußerte sich auch dazu, dass „(…) die automatisierten Analysen der PNR-Daten (…) zwangsläufig mit einer gewissen Fehlerquote behaftet sind (…)“ (EuGH, Urteil vom 21.06.2022, C- 817/19, Rn.106), sodass ein anhand der Daten ermittelter Terrorverdacht in 5 von 6 Fällen nicht bestätigt werden könne.  Zur Verringerung müssen die Mitgliedstaaten klare und präzise Kriterien für eine objektive Überprüfung aufstellen. Die zuständigen Stellen der Mitgliedstaaten sollen diese Kriterien befolgen.

Bei einer nachträglichen Überprüfung der Fluggastdaten, d.h. nach Abflug oder Ankunft des Fluggastes könne die Datenverarbeitung nur bei Vorliegen bestimmter objektiver Kriterien erfolgen. Es sei sicherzustellen, dass ein begründeter Verdacht bestehe, dass die betroffene Person an schwerer Kriminalität beteiligt sei. Der kriminelle Akt müsse außerdem einen mittelbaren Zusammenhang mit der Flugreise aufweisen.

Abschließend behandelte der EuGH die lange Speicherdauer der Fluggastdaten von fünf Jahren. Obwohl die Daten nach sechs Monaten unkenntlich zu machen seien, könne der Verwender sie anschließend wieder offenlegen. Er stellte fest, dass die Speicherung von Fluggastdaten, die über sechs Monate hinausgehe das absolut Notwendige überschreite. 

Europäische Kritik an fehlender Vorratsdatenspeicherung in Deutschland

28. Juni 2011

Die Europäische Kommission hat scharfe Kritik an der Tatenlosigkeit der Bundesregierung beim Thema Vorratsdatenspeicherung geübt und sogar ein Verfahren wegen Vertragsverletzung gegen Deutschland eingeleitet. Die umstrittene EU-Richtlinie (2006/24/EG) hätte bereits 2007 in nationales Recht umgesetzt werden müssen.

Sie verpflichtet die 27 Mitgliedsländer dazu, anlasslos Telefon- und Internet-Daten für mindestens sechs Monate zu speichern. Während Innenministerien und Polizeibehörden die Maßnahme als wichtiges Instrument zur Verbrechensbekämpfung befürworten, kam von Datenschützern beständig Kritik-nicht zuletzt erst kürzlich von dem europäischen Datenschutzbeauftragten selbst. Das Bundesverfassungsgericht hatte im Jahr 2010 die damalige deutsche Praxis der Vorratsdatenspeicherung beanstandet und den Gesetzgeber zu einer Überarbeitung aufgefordert, aber die Vorratsdatenspeicherung nicht grundsätzlich für verfassungswidrig gehalten. Bislang ist die Koalition bei diesem Thema aber noch nicht zu einer Einigung gekommen.

Justizkommissarin Reding kündigte jedoch auch an, die Vorratsdatenspeicherung auf den Prüfstand zu stellen. Anhand der bisherigen Erfahrungen in den EU-Staaten werde die Kommission Ende des laufenden Jahres entscheiden, ob die Regelung novelliert werden müsse. Zu klären sei etwa, ob der Datenschutz „ausreichend gewahrt“ und ob die Speicherdauer „angemessen und verhältnismäßig“ sei.

Eine Überprüfung und Änderung der Richtlinie ist wünschenswert. Berücksichtigt man dies, erscheint das starke Drängen auf die umgehende Umsetzung jedoch wenig sinnvoll. Es sollte erst einmal das Ergebnis dieser Revision abgewartet werden.  Insbesondere in Anbetracht dessen, dass schnell verabschiedete Gesetze häufig Defizite aufweisen, wäre es deutlich sinnvoller zügig die Richtlinie zu überarbeiten und erst auf dieser Basis dann die Länder anzuhalten, die überarbeitete Richtlinie gesetzlich umzusetzen.

Kategorien: Allgemein
Schlagwörter: , ,

“Cookie – Gesetz” in Schweden verabschiedet

24. Mai 2011

In Schweden wurde am Donnerstag über das neue „Cookie – Gesetz“ abgestimmt, das nun zum 01.07.2011 in Kraft treten wird. Hintergrund ist die „E-Privacy-Richtlinie“ (RICHTLINIE 2009/136/EG). In Deutschland wird die Frist zur Umsetzung bis zum 25. Mai 2011 nicht eingehalten, da momentan im Bundestag immer noch über einen Gesetzesentwurf beraten wird, bei dem im Übrigen das Thema Cookies außen vor bleibt.

Im Unterschied zur bisherigen Gesetzeslage in Schweden, die dem Nutzer nur die Möglichkeit gab Cookies auszuschalten, wird nun künftig vom Besucher einer Seite eine vorherige aktive Zustimmung zur Nutzung von Cookies auf einer Seite erwartet.

Das neue Gesetz hat bereits im Vorfeld zahlreiche starke Kritik hervorgerufen, da es deutlich weiter gehe als aufgrund der EG-Richtlinie erforderlich. Naturgemäß kritisch sind die Stimmen aus der Werbebranche, die erhebliche Einbußen befürchten. Im Bereich der Online-Zeitungen hat die schwedische Zeitung Aftonbladet beispielsweise im Jahr 2010 mit Online-Werbung mehr verdient als mit Print-Werbung. Aber auch „neutrale“ Stimmen äußern sich kritisch. Eine wörtliche Interpretation des Gesetzes werde jedenfalls erhebliche Nachteile mit sich bringen, auch wenn das eigentliche Ziel des Gesetze- das zu starke Ausspionieren von Seitenbenutzern- durchaus begrüßenswert sei. Das Surfen im Internet werde aufgrund des Zustimmungserfordernisses nun unübersichtlich und unkomfortabel. Erhebliche Probleme werden jedenfalls in nächster Zeit bei der praktischen Umsetzung erwartet. Teilweise wird angenommen, dass auf einer Internetseite eine deutliche Information über Cookies und wie man sie abstellt  doch- anders als der Gesetzestext vermuten lässt- ausreichend sein sollte. Von anderer Seite wird in diesem Zusammenhang die Nutzung von Pop-ups zur Informations- und Zustimmungszwecken befürwortet, da die Information so jedenfalls nicht so leicht übersehen werden könne. Zudem wird die Idee einer der eigentlichen Zielseite vorgeschalteten Informationsseite, wo die Zustimmung erklärt werden kann, diskutiert.