Die Beauftragte für den Datenschutz und die Informationsfreiheit

Keine anlasslose Vorratsspeicherung von Passenger Name Records

Transportunternehmen speichern in ihren Buchungs- und Reservierungssystemen zahlreiche personenbezogene Daten über ihre Kundschaft. Diese Daten sind auch für Sicherheitsbehörden interessant. Sie können bei Grenzkontrollen, Strafverfolgung und Gefahrenabwehr helfen. Eine anlasslose langfristige Vorratsspeicherung verstößt jedoch gegen die Grundrechte-Charta der Europäischen Union.

Was sind Passenger Name Records?

Die Fluggesellschaften speichern alle Angaben, die bei der Buchung einer Reise von der Fluggesellschaft oder dem Reisebüro erhoben werden(z.B. Dauer und Ziel der Reise, Kreditkartennummern, Kontaktdaten, ggf. auch besondere Essenswünsche oder Angaben zu besonderen Hilfsmitteln bei einer Behinderung) in ihren Reservierungssystemen als sogenannte Passenger Name Records (PNR) oder auf Deutsch Fluggastdatensätze.

Wer nutzt PNR?

PNR dürfen von den Transportunternehmen für ihre Geschäftszwecke verarbeitet werden, also zum Zweck der Durchführung und Abwicklung des jeweiligen Beförderungsvertrages. Sollen diese Daten zu einem anderen Zweck, wie z. B. der Strafverfolgung, genutzt oder übermittelt werden, ist hierfür eine besondere Rechtsgrundlage erforderlich.

Die „Richtlinie (EU) 2016/681 des Europäischen Parlamentes und des Rates vom 27. April 2016 über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität“ (EU-PNR-Richtlinie) verpflichtet alle Mitgliedstaaten, bis Juni 2018 sogenannte Fluggastdatenzentralen einzurichten, die Fluggastdaten von den Flugunternehmen erhalten, sammeln, auswerten und für fünf Jahre vorhalten sollen. Die übermittelten PNR sollen mit Fahndungsdatenbanken und sogenannten Mustern abgeglichen werden, um gesuchte Personen und potentiell gefährliche Personen zu identifizieren.

Der deutsche Gesetzgeber hat diese Verpflichtungen bereits in nationales Recht umgesetzt. Das Fluggastdatengesetz (FlugDaG) gilt überwiegend bereits seit dem 10. Juli 2017. Die restlichen Teile treten am 25. Mai 2018 in Kraft.

Die Europäische Union hat außerdem Abkommen mit den USA und Australien geschlossen, die die Fluggesellschaften verpflichten, PNR aus ihren Buchungs- und Reservierungssystemen an die Zoll- und Grenzschutzbehörden dieser Staaten zu übermitteln. Die Daten werden dann für Zwecke der Grenzkontrolle sowie Gefahrenabwehr und Strafverfolgung genutzt. Außerdem werden sie über mehrere Jahre gespeichert. Ein weiteres Abkommen zur Übermittlung von PNR an Kanada war geplant, konnte jedoch mangels Zustimmung des Europäischen Parlamentes zunächst nicht abgeschlossen werden.

Wieso ist die Übermittlung von PNR problematisch?

Die beschriebene Verwendung von PNR für Zwecke der inneren Sicherheit trifft unterschiedslos sämtliche Fluggäste, die in die EU ein- und ausreisen oder innerhalb der EU Staatsgrenzen überqueren. Deren Daten sollen für einen langen Zeitraum ohne konkreten Anlass vorgehalten werden. Hierbei handelt es sich um Eingriffe in die von der Europäischen Grundrechtecharta verbürgten Rechte auf Achtung des Privat- und Familienlebens (Art. 7 der Charta) und auf Schutz personenbezogener Daten (Art. 8). Diese Eingriffe bedürfen einer ausreichenden Rechtfertigung.

Vor diesem Hintergrund hatte das Europäische Parlament den Europäischen Gerichtshof (EuGH) um ein Gutachten zum geplanten PNR-Abkommen mit Kanada und dessen Vereinbarkeit mit der Grundrechtecharta gebeten. Das erbetene Gutachten hat der EuGH am 26. Juli 2017 veröffentlicht und darin erheblichen Nachbesserungsbedarf an dem geplanten Abkommen aufgezeigt.

Der EuGH hält es grundsätzlich für zulässig, Fluggastdaten automatisiert an Grenzkontrollbehörden zu übermitteln und auszuwerten, um Personen zu ermitteln, die eine potentielle Gefahr für die öffentliche Sicherheit darstellen und bei ihrer Einreise einer gewissenhaften Kontrolle unterzogen werden sollen. Das gilt jedoch nicht für sensible Daten wie Angaben zur Ernährung und Gesundheit und rechtfertigt auch nicht automatisch die weitere Verwendung und Speicherung der Daten. Die übermittelten Daten haben vielmehr ihren Zweck erfüllt, wenn sich während des Aufenthaltes keine konkreten Anhaltspunkte für geplante terroristische oder andere schwere Straftaten ergeben haben. In diesem Fall sieht der EuGH keine Rechtfertigung für eine weitere Speicherung der Daten. Das Gericht erteilt damit einer anlasslosen Vorratsdatenspeicherung von personenbezogenen Daten eine klare Absage.

Problematisch ist die von der EU-PNR-Richtlinie zugelassene und im deutschen FlugDaG umgesetzte Einbeziehung von innereuropäischen Flügen in die PNR-Kontrollen; hierzu liegt noch keine Position des EuGH vor. Wenn die automatisierte Übermittlung und Auswertung von PNR an die Überquerung innereuropäischer Staatsgrenzen anknüpft, steht dies im Widerspruch zum Geist der Schengen-Verträge. Danach gilt im Schengen-Raum der Grundsatz des freien Personenverkehrs. Dieser Grundsatz wird durch eine solche Maßnahme eingeschränkt.

Was geschieht nach dem EuGH-Gutachten mit geltenden PNR-Regelungen?

Das Gutachten des EuGH hat keine unmittelbaren Auswirkungen auf geltende Rechtsakte. Die Wertungen des Gerichts sind jedoch auf alle geltenden PNR-Instrumente übertragbar und zeigen Handlungsbedarf auf. Die europäischen Gesetzgeber sind daher in der Pflicht, sowohl europäische als auch nationale PNR-Regelungen zu überarbeiten und grundrechtskonform auszugestalten.