EuGH setzt Verarbeitung von Fluggastdaten enge Grenzen

Airport
Fünf Jahre lang dürfen personenbezogene Daten nur noch gespeichert werden, wenn tatsächlich Anhaltspunkte auf Terrorismus bestehen. (Quelle: Arne Müseler – CC BY-SA 3.0 DE)

Das Verarbeiten von Fluggastdaten durch die EU-Staaten muss nach einem Urteil des Europäischen Gerichtshofs auf das für den Kampf gegen Terror absolut Notwendige beschränkt werden. Zudem machte das höchste europäische Gericht in dem Urteil vom Dienstag deutlich, dass die Verarbeitung der Daten bei Flügen innerhalb der EU gegen EU-Recht verstoße, sofern keine Terrorgefahr bestehe. Auch müssten erhobene Daten nach spätestens sechs Monaten gelöscht werden. Länger dürften nur Daten von Menschen gespeichert werden, bei denen es Hinweise auf Gefahren durch Terrorismus oder schwere Kriminalität gebe.

Die sogenannte PNR-Richtlinie (Passenger Name Record) der Europäischen Union sieht vor, dass Fluggastdaten bei der Überschreitung einer EU-Außengrenze in großer Zahl systematisch verarbeitet werden. Airlines, Reisebüros und Reiseanbieter müssen seit 2018 umfangreiche Personendaten der Kunden in einem einheitlichen Datenformat an die zuständigen Behörden weitergeben.

So sollen terroristische Straftaten und andere schwere Kriminalität verhindert und aufgedeckt werden. Zu den rund 20 gespeicherten Daten gehören etwa Name, Anschrift, Telefonnummer, Zahlungsinformationen, Sitzplatz und Gepäck. Fünf Jahre lang dürfen die Informationen bisher gespeichert bleiben.

Die belgische Menschenrechtsorganisation Ligue des droits humains (Liga für Menschenrechte) klagte dagegen, wie Belgien die EU-Regeln umsetzt. Sie sieht unter anderem das Recht auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten verletzt. Zudem würden durch die Ausdehnung des Systems auf Flüge innerhalb der EU und auf die Beförderung mit anderen Verkehrsmitteln als dem Flugzeug indirekt wieder Grenzkontrollen eingeführt.

Auch deutsche Regeln betroffen

Nach belgischem Recht sind Flug-, Bahn- Bus-, Fähr- und Reiseunternehmen dazu verpflichtet, die Daten ihrer Passagiere, die über die Landesgrenzen hinaus unterwegs sind, an eine Zentralstelle weiterzugeben, in der unter anderem Polizei und Geheimdienste vertreten sind.

Das Urteil in dem belgischen Fall muss nun ein nationales Gericht treffen und sich dabei an das Urteil des EuGH halten. Nach dem Richterspruch des EuGH dürften die belgischen Regeln aller Voraussicht nach gegen EU-Recht verstoßen.

Gleiches dürfte voraussichtlich für die deutsche Umsetzung der EU-Richtlinie gelten, da Deutschland die Regeln auf alle innereuropäischen Flüge ausgeweitet hat. Das Verwaltungsgericht Wiesbaden und das Amtsgericht Köln legten dem EuGH im Jahr 2020 Fragen zur PNR-Richtlinie vor. Auch hier soll der EuGH unter anderem klären, ob die Richtlinie mit Grundrechten auf Achtung des Privat- und Familienlebens und dem Schutz personenbezogener Daten vereinbar ist.

Überwachung grundsätzlich erlaubt

Mit Blick auf den belgischen Fall stellt der EuGH nun zunächst einmal fest, dass die Richtlinie mit den relevanten Teilen der europäischen Grundrechte-Charta in Einklang stehe. Zugleich betont der Gerichtshof, dass die Regeln “fraglos einen schwerwiegenden Eingriff” etwa in das Recht auf Achtung des Privat- und Familienlebens sowie den Schutz personenbezogener Daten darstellen.

Die Befugnisse müssen nach Ansicht des EuGH eng ausgelegt werden. Dann könne die Übermittlung, Verarbeitung und Speicherung der fraglichen Daten auf das im Kampf gegen Terror und schwere Kriminalität absolut Notwendige beschränkt angesehen werden.

Dies bedeute, dass sich das durch die PNR-Richtlinie eingeführte System nur auf die im Anhang der Richtlinie genannten Informationen erstrecken dürfe. Auch müsse das System auf terroristische Straftaten und schwere Kriminalität mit einem objektiven Zusammenhang mit der Beförderung von Fluggästen beschränkt sein. Straftaten, die zwar in der Richtlinie genannt werden, aber in dem jeweiligen EU-Land unter gewöhnliche Kriminalität fallen, dürften nicht dazugehören.

Falsch-positiv durch Automatisierung

Zudem müsse die Ausdehnung des Systems auf einen Teil oder alle EU-Flüge auf das absolut Notwendige beschränkt werden. Die PNR-Richtlinie dürfe nur dann auf alle EU-Flüge durch ein Land angewandt werden, wenn das Land mit einer realen, aktuellen oder vorhersehbaren terroristischen Bedrohung konfrontiert sei.

In diesem Zusammenhang weist das Gericht auch auf die “erhebliche Zahl” falscher Positiv-Ergebnisse in den Jahren 2018 und 2019 hin, die durch die automatische Verarbeitung der Daten entstanden waren. Für die anschließende manuelle Überprüfung durch Mitarbeiterinnen und Mitarbeiter der PNR-Zentralstelle müssten “klare und präzise Regeln” gelten. Sie müssen zudem überprüfen können, ob die automatisierte Verarbeitung “diskriminierenden Charakter” hat.

Die fünf Jahre lange Speicherfrist sieht der EuGH im Widerspruch mit den Grundrechten. Sie sei “nicht auf das absolut Notwendige beschränkt”, wenn sich bei der Vorabüberprüfung oder innerhalb von sechs Monaten keine Anhaltspunkte ergeben haben.

Grundsätzlich betont der EuGH, dass die Richtlinie nicht dazu genutzt werden dürfe, die Grenzkontrollen und den Kampf gegen illegale Einwanderung zu stärken.

“Alle EU-Staaten müssen nun die Verwendung von PNR-Daten einschränken, da diese zu übergriffig sind”, erklärte Estelle Massé von der Bürgerrechtsorganisation Access Now. Die Organisation zeigte sich aber nicht ganz zufrieden mit dem Urteil. “In Anbetracht der Auswirkungen der EU-PNR-Richtlinie auf die Grundrechte – die vom Gerichtshof bestätigt wurden – hätte das Gesetz für ungültig erklärt werden müssen”, so Massé weiter. (dpa / hcz)