VG Wiesbaden | ||
Beschluss vom 13.05.2020 | ||
6 K 805/19.WI | ||
Rechtswidrigkeit der Fluggastdatenverarbeitung | ||
JurPC Web-Dok. 82/2020, Abs. 1 - 369 | ||
Leitsätze: | ||
1. Es bestehen erhebliche Zweifel, ob die Richtlinie (EU) 2016/681 des Europäischen Parlaments und des Rates vom 27. April 2016 über die Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität mit der Charta der Grundrechte der Europäischen Union, insbesondere mit Art. 7 und Art. 8 GRCh, vereinbar ist. 2. Die durch die Richtlinie (EU) 2016/681 vorgeschriebene anlasslose und massenhafte Verarbeitung von Fluggastdaten ist mit der Vorratsdatenspeicherung von Telekommunikationsdaten vergleichbar. 3. Der automatisierte Abgleich personenbezogener Daten mit sogenannten Mustern und die 5-jährige Speicherung personenbezogener Daten stellen tiefgreifende Grundrechtseingriffe dar. Sie können deshalb allenfalls zur Bekämpfung von Terrorismus und besonders schwerer Kriminalität, nicht aber zur Verfolgung weniger schwerwiegender Delikte (sogenannter Beifang), als angemessene Mittel betrachtet werden. 4. Es ist zweifelhaft, ob es mit dem Gesetzesvorbehalt des Art. 52 Abs. 1 GRCh vereinbar ist, die Ausgestaltung der Muster, mit denen die Fluggastdaten automatisiert abgeglichen werden, vollständig der jeweiligen Exekutive der einzelnen Mitgliedstaaten der Europäischen Union zu überlassen. 5. Eine Pseudonymisierung gespeicherter personenbezogener Daten verringert den mit ihrer Speicherung verbunden Grundrechtseingriff, anders als eine Anonymisierung, nicht. 6. Die Übermittlung personenbezogener Daten nach der Richtlinie (EU) 2016/681 aus der Europäischen Union an Drittstaaten ist nur zulässig, wenn der jeweilige Drittstaat ein angemessenes Datenschutzniveau garantieren kann. 7. Gemäß Art. 13 und 14 DS-GVO spricht viel dafür, dass die Luftfahrtunternehmen dazu verpflichtet sind, die Fluggäste umfassend über die Fluggastdatenverarbeitung nach der Richtlinie (EU) 2016/681 zu informieren. | ||
Gründe: | ||
| I. | Abs. 1 | |
| Gegenstand des Verfahrens ist eine Klage gegen die Bundesrepublik Deutschland, vertreten durch das Bundeskriminalamt. Der Kläger flog mit dem Luftfahrtunternehmen Lufthansa am 28. April 2019 von Frankfurt am Main, Deutschland nach Bogota, Kolumbien und am 7. Mai 2019 von Rio de Janeiro, Brasilien zurück nach Frank-furt am Main. Hinsichtlich dieser Flüge begehrt er die Löschung seiner Daten bei der Beklagten. | Abs. 2 | |
| Am 10. Juni 2017 trat das FlugDaG in Kraft. Das Gesetz dient der Umsetzung der PNR-Richtlinie. Diese Richtlinie regelt verbindlich die Übermittlung von PNR-Daten bei Flügen von Mitgliedstaaten der Europäischen Union in Drittstaaten und von Drittstaaten in Mitgliedstaaten der Europäischen Union und die Verarbeitung dieser Daten. Zweck der Richtlinie ist gemäß Art. 1 Abs. 2 PNR-Richtlinie die Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität. Die Richtlinie verpflichtet die Mitgliedstaaten zur Einrichtung sog. PNR-Zentralstellen (Art. 4 Abs. 1 PNR-Richtlinie), die zur Erreichung des Zwecks der Richtlinie für die Erhebung von PNR-Daten bei Fluggesellschaften, für die Speicherung, Verarbeitung und Übermittlung dieser Daten an die zuständigen Behörden sowie für den Austausch der PNR-Daten selbst wie auch der Ergebnisse von deren Verarbeitung zuständig sind. Gemäß Art. 8 PNR-Richtlinie i.V.m. Anhang I PNR-Richtlinie haben die Mitgliedstaaten alle Fluggesellschaften zu verpflichten, einen definierten Satz von PNR-Daten an die PNR-Zentralstellen desjenigen Mit-gliedstaates zu übermitteln, in dessen Hoheitsgebiet die betreffenden Flüge an-kommen oder von dem sie ausgehen. Gemäß Art. 9 PNR-Richtlinie können Mit-gliedstaaten die PNR-Daten untereinander anfordern und aneinander übermitteln. Unter den Voraussetzungen von Art. 11 PNR-Richtlinie ist auch eine Übermittlung der Datensätze an Drittstaaten möglich. Gemäß Art. 12 Abs. 2 PNR-Richtlinie sollen die gespeicherten Fluggastdaten, die fünf Jahre lang gespeichert werden sollen, nach Ablauf von sechs Monaten „depersonalisiert“, das heißt die Datenelemente, mit denen die Identität des Fluggastes unmittelbar festgestellt werden könnte, un-kenntlich gemacht werden. Jedoch ist eine De-Depersonalisierung dieser Daten-elemente unter den Voraussetzungen des Art. 12 Abs. 3 PNR-Richtlinie möglich. Art. 6 PNR-Richtlinie regelt die Verarbeitung der Daten, die insbesondere durch den automatisierten Abgleich derselben mit Datenbanken und sogenannten Mustern erfolgen soll. Die PNR-Richtlinie enthält für die nationalen Gesetzgeber eine Öff-nungsklausel dahingehend, dass auch Flüge innerhalb des EU-Mitgliedstaates bzw. zwischen EU-Mitgliedstaaten erfasst werden können. Das FlugDaG setzt diese Richtlinie in deutsches Recht um. Es erweitert, wie durch Art. 2 Abs. 1 PNR-Richtlinie ausdrücklich zugelassen, die Übermittlungspflicht auf alle zivilen Flüge, die in Deutschland starten und in einem anderen Land landen oder von einem an-deren Land aus starten und in Deutschland landen, also auch auf Flüge innerhalb der Mitgliedstaaten der Europäischen Union, § 2 Abs. 3 FlugDaG. | Abs. 3 | |
| II. | Abs. 4 | |
| Die Charta der Grundrechte der Europäischen Union - GRCh - (ABl. EU 2016 Nr. C 202 vom 7. Juni 2016, S. 389) regelt: | Abs. 5 | |
| Art. 7 GRCh - Achtung des Privat- und Familienlebens | Abs. 6 | |
| Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Woh-nung sowie ihrer Kommunikation. | Abs. 7 | |
| Art. 8 GRCh - Schutz personenbezogener Daten | Abs. 8 | |
| (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. | Abs. 9 | |
| (2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregel-ten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. | Abs. 10 | |
| (3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle über-wacht. | Abs. 11 | |
| Art. 24 GRCh - Rechte des Kindes | Abs. 12 | |
| (1) Kinder haben Anspruch auf den Schutz und die Fürsorge, die für ihr Wohlergehen notwendig sind. Sie können ihre Meinung frei äußern. Ihre Meinung wird in den Angelegenheiten, die sie betreffen, in einer ihrem Alter und ihrem Reifegrad ent-sprechenden Weise berücksichtigt. | Abs. 13 | |
| (2) Bei allen Kinder betreffenden Maßnahmen öffentlicher Stellen oder privater Ein-richtungen muss das Wohl des Kindes eine vorrangige Erwägung sein. | Abs. 14 | |
| (…) | Abs. 15 | |
| Art. 47 GRCh - Recht auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht | Abs. 16 | |
| (1) Jede Person, deren durch das Recht der Union garantierte Rechte oder Freihei-ten verletzt worden sind, hat das Recht, nach Maßgabe der in diesem Artikel vor-gesehenen Bedingungen bei einem Gericht einen wirksamen Rechtsbehelf ein-zulegen. | Abs. 17 | |
| (2) Jede Person hat ein Recht darauf, dass ihre Sache von einem unabhängigen, unparteiischen und zuvor durch Gesetz errichteten Gericht in einem fairen Verfah-ren, öffentlich und innerhalb angemessener Frist verhandelt wird. Jede Person kann sich beraten, verteidigen und vertreten lassen. | Abs. 18 | |
| (…) | Abs. 19 | |
| Art. 52 GRCh - Tragweite und Auslegung der Rechte und Grundsätze | Abs. 20 | |
| (1) Jede Einschränkung der Ausübung der in dieser Charta anerkannten Rechte und Freiheiten muss gesetzlich vorgesehen sein und den Wesensgehalt dieser Rech-te und Freiheiten achten. Unter Wahrung des Grundsatzes der Verhältnismäßig-keit dürfen Einschränkungen nur vorgenommen werden, wenn sie erforderlich sind und den von der Union anerkannten dem Gemeinwohl dienenden Zielset-zungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen. | Abs. 21 | |
| (…) | Abs. 22 | |
| Art. 16 des Vertrags über die Arbeitsweise der Europäischen Union - AEUV - (in der bereinigten Fassung vom 07. Juni 2016, ABl. Nr. C 202 S. 1, 47) lautet: | Abs. 23 | |
| (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. | Abs. 24 | |
| (2) Das Europäische Parlament und der Rat erlassen gemäß dem ordentlichen Ge-setzgebungsverfahren Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fal-len, und über den freien Datenverkehr. Die Einhaltung dieser Vorschriften wird von unabhängigen Behörden überwacht. Die auf der Grundlage dieses Artikels erlassenen Vorschriften lassen die spezifischen Bestimmungen des Artikels 39 des Vertrags über die Europäische Union unberührt. | Abs. 25 | |
| Die PNR-Richtlinie (ABl. EU vom 4. Mai 2016, L 119 S. 132) regelt: | Abs. 26 | |
| Art. 1 PNR-Richtlinie - Gegenstand und Anwendungsbereich | Abs. 27 | |
| (1) Diese Richtlinie regelt | Abs. 28 | |
| a) die Übermittlung von Fluggastdatensätzen (PNR-Daten) zu Fluggästen von Drittstaatsflügen durch Fluggesellschaften; | Abs. 29 | |
| b) die Verarbeitung von Daten gemäß Buchstabe a, unter anderem ihre Er-hebung, Verwendung und Speicherung durch Mitgliedstaaten sowie den Austausch dieser Daten zwischen Mitgliedstaaten. | Abs. 30 | |
| (2) Die nach Maßgabe dieser Richtlinie erhobenen PNR-Daten dürfen ausschließ-lich zum Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung von ter-roristischen Straftaten und schwerer Kriminalität gemäß Artikel 6 Abs. 2 Buchsta-ben a, b und c verarbeitet werden. | Abs. 31 | |
| Art. 2 PNR-Richtlinie - Anwendung dieser Richtlinie auf EU-Flüge | Abs. 32 | |
| (1) Ein Mitgliedstaat, der entscheidet, diese Richtlinie auf Flüge innerhalb der Euro-päischen Union (EU-Flüge) anzuwenden, teilt dies der Kommission schriftlich mit. Ein Mitgliedstaat kann eine solche Mitteilung jederzeit machen oder widerru-fen. Die Kommission veröffentlicht diese Mitteilung und eventuelle Widerrufe der-selben im Amtsblatt der Europäischen Union. | Abs. 33 | |
| (2) Im Falle einer Mitteilung gemäß Absatz 1 gelten alle Bestimmungen dieser Richt-linie für EU-Flüge so, als handele es sich um Drittstaatsflüge, und für PNR-Daten zu EU-Flügen so, als handele es sich um PNR-Daten zu Drittstaatsflügen. | Abs. 34 | |
| (3) Ein Mitgliedstaat kann beschließen, diese Richtlinie nur auf ausgewählte EU-Flüge anzuwenden. Der Mitgliedstaat wählt dabei diejenigen Flüge aus, die er für die Verfolgung der Ziele dieser Richtlinie für erforderlich hält. Der Mitgliedstaat kann jederzeit eine Änderung der von ihm ausgewählten EU-Flüge beschließen. | Abs. 35 | |
| Art. 3 PNR-Richtlinie - Begriffsbestimmungen | Abs. 36 | |
| Im Sinne dieser Richtlinie bezeichnet der Ausdruck | Abs. 37 | |
| 1. „Fluggesellschaft“ ein Luftfahrtunternehmen mit einer gültigen Betriebsge-nehmigung oder einer gleichwertigen Genehmigung, die es ihm gestattet, Fluggäste auf dem Luftweg zu befördern; | Abs. 38 | |
| (…) | Abs. 39 | |
| 4. „Fluggast“ jede Person, einschließlich Transfer- oder Transitfluggästen, mit Ausnahme der Besatzungsmitglieder, die mit Zustimmung der Fluggesell-schaft in einem Luftfahrzeug befördert wird oder befördert werden soll, wobei diese Zustimmung durch die Eintragung der Person in die Fluggastliste be-legt wird; | Abs. 40 | |
| (…) | Abs. 41 | |
| 9. „schwere Kriminalität“ die in Anhang II aufgeführten strafbaren Handlungen, die nach dem nationalen Recht eines Mitgliedstaats mit einer Freiheitsstrafe oder einer freiheitsentziehenden Maßregel der Sicherung im Höchstmaß von mindestens drei Jahren bedroht sind; | Abs. 42 | |
| 10. „Depersonalisierung durch Unkenntlichmachung von Datenelementen“ die Vorgehensweise, mit der diejenigen Datenelemente, mit denen die Identität des Fluggastes unmittelbar festgestellt werden könnte, für einen Nutzer un-sichtbar gemacht werden. | Abs. 43 | |
| Art. 4 PNR-Richtlinie - PNR-Zentralstelle | Abs. 44 | |
| (1) Jeder Mitgliedstaat errichtet oder benennt eine für die Verhütung, Aufdeckung, Ermittlung oder Verfolgung von terroristischen Straftaten und schwerer Kriminali-tät zuständige Behörde oder eine Abteilung einer solchen Behörde, die als seine PNR-Zentralstelle handelt. | Abs. 45 | |
| (2) Die PNR-Zentralstelle ist verantwortlich für | Abs. 46 | |
| a) die Erhebung der PNR-Daten bei Fluggesellschaften, für die Speicherung und Verarbeitung dieser Daten sowie die Übermittlung dieser Daten oder der Ergebnisse ihrer Verarbeitung an die zuständigen Behörden nach Arti-kel 7; | Abs. 47 | |
| b) den Austausch sowohl von PNR-Daten als auch der Ergebnisse der Ver-arbeitung dieser Daten mit den PNR-Zentralstellen anderer Mitgliedstaa-ten und mit Europol gemäß den Artikeln 9 und 10. | Abs. 48 | |
| (…) | Abs. 49 | |
| (4) Zwei oder mehr Mitgliedstaaten (die beteiligten Mitgliedstaaten) können gemein-sam eine einzige Behörde errichten oder benennen, die als ihre PNR-Zentralstelle handelt. Diese PNR-Zentralstelle hat ihren Sitz in einem der betei-ligten Mitgliedstaaten und gilt als nationale PNR-Zentralstelle aller beteiligten Mitgliedstaaten. Die beteiligten Mitgliedstaaten einigen sich gemeinsam unter Beachtung der Anforderungen dieser Richtlinie über die genauen Modalitäten, unter denen die PNR-Zentralstelle ihrer Tätigkeit nachgeht. | Abs. 50 | |
| (…) | Abs. 51 | |
| Art. 5 PNR-Richtlinie - Datenschutzbeauftragter der PNR-Zentralstelle | Abs. 52 | |
| (1) Die PNR-Zentralstelle ernennt einen Datenschutzbeauftragten, der für die Über-wachung der Verarbeitung der PNR-Daten und die Umsetzung der maßgebli-chen Sicherheitsvorkehrungen zuständig ist. | Abs. 53 | |
| (2) Die Mitgliedstaaten stellen den Datenschutzbeauftragten die Mittel zur Verfügung, damit sie ihre Pflichten und Aufgaben gemäß diesem Artikel wirksam und unab-hängig wahrnehmen können. | Abs. 54 | |
| (3) Die Mitgliedstaaten sorgen dafür, dass eine betroffene Person das Recht hat, den Datenschutzbeauftragten als zentrale Kontaktstelle im Zusammenhang mit allen Fragen bezüglich der Verarbeitung der PNR-Daten der betroffenen Person zu kontaktieren. | Abs. 55 | |
| Art. 6 PNR-Richtlinie - Verarbeitung der PNR-Daten | Abs. 56 | |
| (1) Die von den Fluggesellschaften übermittelten PNR-Daten werden von der PNR-Zentralstelle des betreffenden Mitgliedstaats gemäß Artikel 8 erhoben. Wenn die von Fluggesellschaften übermittelten PNR-Daten andere als die in Anhang I ge-nannten Daten beinhalten, werden diese Daten von der PNR-Zentralstelle unmit-telbar nach ihrem Eingang dauerhaft gelöscht. | Abs. 57 | |
| (2) Die PNR-Zentralstelle verarbeitet PNR-Daten ausschließlich zu folgenden Zwe-cken: | Abs. 58 | |
| a) Überprüfung von Fluggästen vor ihrer planmäßigen Ankunft in einem Mit-gliedstaat oder vor ihrem Abflug von einem Mitgliedstaat, um diejenigen Personen zu ermitteln, die von den zuständigen Behörden gemäß Artikel 7 und gegebenenfalls – im Einklang mit Artikel 10 – von Europol genauer überprüft werden müssen, da sie möglicherweise an einer terroristischen Straftat oder an schwerer Kriminalität beteiligt sind; | Abs. 59 | |
| b) im Einzelfall Beantwortung von auf einer hinreichenden Grundlage gebüh-rend begründeten Anfragen zuständiger Behörden hinsichtlich der Zurver-fügungstellung und Verarbeitung von PNR-Daten in besonderen Fällen zum Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten oder schwerer Kriminalität, und der Zurverfü-gungstellung der Ergebnisse dieser Verarbeitung an die zuständigen Be-hörden oder gegebenenfalls an Europol, und | Abs. 60 | |
| c) Analyse von PNR-Daten zwecks Aktualisierung der Kriterien oder Aufstel-lung neuer Kriterien zur Verwendung in gemäß Absatz 3 Buchstabe b durchgeführten Überprüfungen, die der Ermittlung von Personen gelten, die möglicherweise an einer terroristischen Straftat oder an schwerer Kri-minalität beteiligt sind. | Abs. 61 | |
| (3) Bei der Durchführung der in Absatz 2 Buchstabe a genannten Überprüfungen darf die PNR-Zentralstelle | Abs. 62 | |
| a) die PNR-Daten mit Datenbanken, die zum Zwecke der Verhütung, Aufde-ckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwe-rer Kriminalität maßgeblich sind, einschließlich Datenbanken betreffend Personen oder Gegenstände, nach denen gefahndet wird oder die Gegen-stand einer Ausschreibung sind, unter Einhaltung der für solche Daten-banken einschlägigen nationalen, internationalen und Unionsvorschriften abgleichen; oder | Abs. 63 | |
| b) die PNR-Daten anhand im Voraus festgelegter Kriterien abgleichen. | Abs. 64 | |
| (4) Die Überprüfung von Fluggästen vor ihrer planmäßigen Ankunft in einem Mit-gliedstaat oder vor ihrem Abflug von einem Mitgliedstaat anhand im Voraus fest-gelegter Kriterien gemäß Absatz 3 Buchstabe b erfolgt in nichtdiskriminierender Weise. Diese im Voraus festgelegten Kriterien müssen zielgerichtet, verhältnis-mäßig und bestimmt sein. Die Mitgliedstaaten stellen sicher, dass diese Kriterien von der PNR-Zentralstelle aufgestellt und von ihr in Zusammenarbeit mit den in Artikel 7 genannten zuständigen Behörden regelmäßig überprüft werden. Die rassische oder ethnische Herkunft, die politischen Meinungen, die religiösen oder weltanschaulichen Überzeugungen, die Mitgliedschaft in einer Gewerkschaft, der Gesundheitszustand, das Sexualleben oder die sexuelle Orientierung einer Per-son dürfen unter keinen Umständen als Grundlage für diese Kriterien dienen. | Abs. 65 | |
| (5) Die Mitgliedstaaten stellen sicher, dass jeder einzelne Treffer bei der automati-sierten Verarbeitung von PNR-Daten nach Maßgabe von Absatz 2 Buchstabe a auf andere, nicht-automatisierte Art individuell überprüft wird, um zu klären, ob die zuständige Behörde gemäß Artikel 7 Maßnahmen im Einklang mit dem nationa-len Recht ergreifen muss. | Abs. 66 | |
| (…) | Abs. 67 | |
| Art. 8 PNR-Richtlinie - Datenübermittlungspflichten der Fluggesellschaften | Abs. 68 | |
| (1) Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass Fluggesellschaften mittels der „Push-Methode“ die in Anhang I aufgelisteten PNR-Daten an die Datenbank der PNR-Zentralstelle des Mitgliedstaats übermit-teln, in dessen Hoheitsgebiet der betreffende Flug ankommt oder von dem er ab-geht, soweit sie solche Daten im Rahmen ihrer normalen Geschäftstätigkeit be-reits erhoben haben. Bei Flügen mit Code-Sharing zwischen mehreren Flugge-sellschaften liegt die Pflicht zur Übermittlung der PNR-Daten aller Fluggäste des Fluges bei der Fluggesellschaft, die den Flug durchführt. Erfolgen auf einem Drittstaatsflug eine oder mehrere Zwischenlandungen auf Flughäfen der Mitglied-staaten, so übermitteln die Fluggesellschaften die PNR-Daten aller Fluggäste an die PNR-Zentralstellen aller betreffenden Mitgliedstaaten. Dies gilt auch, wenn bei einem EU-Flug eine oder mehrere Zwischenlandungen auf den Flughäfen verschiedener Mitgliedstaaten erfolgen, jedoch nur in Bezug auf Mitgliedstaaten, die PNR-Daten zu EU-Flügen erheben. | Abs. 69 | |
| (2) Falls die Fluggesellschaften in Anhang I Nummer 18 aufgelistete erweiterte Fluggastdaten (API-Daten) erhoben haben, diese aber nicht auf die gleiche tech-nische Weise wie andere PNR-Daten vorhalten, treffen die Mitgliedstaaten die er-forderlichen Maßnahmen, um sicherzustellen, dass die Fluggesellschaften mit-tels der „Push-Methode“ auch diese Daten der PNR-Zentralstelle des in Absatz 1 genannten Mitgliedstaats übermitteln. Im Fall einer solchen Übermittlung gelten sämtliche Bestimmungen dieser Richtlinie in Bezug auf diese API-Daten. | Abs. 70 | |
| (…) | Abs. 71 | |
| Art. 9 PNR-Richtlinie - Informationsaustausch zwischen den Mitgliedstaaten | Abs. 72 | |
| (1) Die Mitgliedstaaten stellen sicher, dass alle relevanten und erforderlichen PNR-Daten oder die Ergebnisse der Verarbeitung dieser Daten von Personen, die von einer PNR-Zentralstelle nach Artikel 6 Absatz 2 ermittelt wurden, von dieser PNR-Zentralstelle den entsprechenden PNR-Zentralstellen der anderen Mitglied-staaten übermittelt werden. Die PNR-Zentralstellen der Empfängermitgliedstaa-ten leiten gemäß Artikel 6 Absatz 6 die erhaltenen Daten an ihre zuständigen Behörden weiter. | Abs. 73 | |
| (2) Die PNR-Zentralstelle eines Mitgliedstaats ist berechtigt, im Bedarfsfall bei der PNR-Zentralstelle jedes anderen Mitgliedstaats PNR-Daten, die in deren Daten-bank vorgehalten werden und noch nicht gemäß Artikel 12 Absatz 2 durch Un-kenntlichmachung von Datenelementen depersonalisiert wurden, sowie erforder-lichenfalls auch die Ergebnisse jeglicher Verarbeitung dieser Daten, wenn dies bereits gemäß Artikel 6 Absatz 6 Buchstabe a erfolgt ist, anzufordern. Eine solche Anfrage ist gebührend zu begründen. Sie kann ein beliebiges Datenelement oder eine Kombination von Datenelementen betreffen, je nachdem, was die anfor-dernde PNR-Zentralstelle in dem konkreten Fall im Hinblick auf die Verhütung, Aufdeckung, Ermittlung oder Verfolgung von terroristischen Straftaten oder schwerer Kriminalität für erforderlich erachtet. Die PNR-Zentralstellen übermitteln die angeforderten Informationen so rasch wie möglich. Falls die angeforderten Daten gemäß Artikel 12 Absatz 2 durch Unkenntlichmachung von Datenelemen-ten depersonalisiert worden sind, stellt die PNR-Zentralstelle die vollständigen PNR-Daten nur bereit, wenn berechtigter Grund zu der Annahme besteht, dass dies für die Zwecke des Artikels 6 Absatz 2 Buchstabe b erforderlich ist, und nur, wenn sie durch eine in Artikel 12 Absatz 3 Buchstabe b genannte Behörde dazu ermächtigt ist. | Abs. 74 | |
| (…) | Abs. 75 | |
| Art. 11 PNR-Richtlinie - Übermittlungen von Daten an Drittstaaten | Abs. 76 | |
| (1) Die Mitgliedstaaten dürfen die PNR-Daten und die Ergebnisse der Verarbeitung dieser Daten, die durch die PNR-Zentralstelle nach Artikel 12 gespeichert wer-den, nur im Einzelfall und nur dann an einen Drittstaat übermitteln, wenn | Abs. 77 | |
| a) die Bedingungen des Artikels 13 des Rahmenbeschlusses 2008/977/JI er-füllt sind; | Abs. 78 | |
| b) die Übermittlung für die in Artikel 1 Absatz 2 genannten Zwecke dieser Richtlinie erforderlich ist; | Abs. 79 | |
| c) der Drittstaat sich bereit erklärt, die Daten nur dann an einen anderen Dritt-staat zu übermitteln, wenn dies für die in Artikel 1 Absatz 2 genannten Zwecke dieser Richtlinie unbedingt notwendig ist und nur wenn der jewei-lige Mitgliedstaat ausdrücklich zustimmt, und | Abs. 80 | |
| d) die gleichen Bedingungen wie in Artikel 9 Absatz 2 erfüllt sind. | Abs. 81 | |
| (2) Ungeachtet des Artikels 13 Absatz 2 des Rahmenbeschlusses 2008/977/JI sind Übermittlungen von PNR-Daten ohne vorherige Zustimmung des Mitgliedstaats, von dem die Daten eingeholt wurden, nur unter außergewöhnlichen Umständen und nur dann zulässig, wenn | Abs. 82 | |
| a) eine solche Übermittlung unerlässlich ist, um eine bestimmte und gegen-wärtige Bedrohung durch terroristische Straftaten oder schwere Kriminalität in einem Mitgliedstaat oder einem Drittstaat abzuwehren, und | Abs. 83 | |
| b) die vorherige Zustimmung nicht rechtzeitig eingeholt werden kann. | Abs. 84 | |
| Die für die Erteilung der Zustimmung zuständige Behörde wird unverzüglich un-terrichtet und die Übermittlung wird ordnungsgemäß aufgezeichnet und einer Ex-Post-Überprüfung unterzogen. | Abs. 85 | |
| (…) | Abs. 86 | |
| Art. 12 PNR-Richtlinie - Speicherfrist und Depersonalisierung | Abs. 87 | |
| (1) Die Mitgliedstaaten stellen sicher, dass die von den Fluggesellschaften an die PNR-Zentralstelle übermittelten PNR-Daten für einen Zeitraum von fünf Jahren ab ihrer Übermittlung an die PNR-Zentralstelle des Mitgliedstaats, in dessen Ho-heitsgebiet der Flug angekommen beziehungsweise von dem er abgegangen ist, in einer bei dieser PNR-Zentralstelle angesiedelten Datenbank vorgehalten wer-den. | Abs. 88 | |
| (2) Nach Ablauf einer Frist von sechs Monaten ab Übermittlung der PNR-Daten ge-mäß Absatz 1 werden alle PNR-Daten durch Unkenntlichmachung der folgenden Datenelemente, mit denen die Identität des Fluggasts, auf den sich die PNR-Daten beziehen, unmittelbar festgestellt werden könnte, depersonalisiert: | Abs. 89 | |
| a) Name(n), auch die Namen und die Zahl der im PNR-Datensatz verzeich-neten mitreisenden Personen; | Abs. 90 | |
| b) Anschrift und Kontaktdaten; | Abs. 91 | |
| c) alle Arten von Zahlungsinformationen einschließlich Rechnungsanschrift, die zur unmittelbaren Feststellung der Identität des Fluggasts, zu dem die PNR-Daten erstellt wurden, oder anderer Personen beitragen könnten; | Abs. 92 | |
| d) Vielflieger-Eintrag; | Abs. 93 | |
| e) allgemeine Hinweise, die zur unmittelbaren Feststellung der Identität des Fluggastes beitragen könnten, zu dem die PNR-Daten erstellt wurden, und | Abs. 94 | |
| f) jedwede erhobenen API-Daten. | Abs. 95 | |
| (3) Nach Ablauf der in Absatz 2 genannten Frist von sechs Monaten ist die Offenle-gung der vollständigen PNR-Daten nur zulässig, wenn | Abs. 96 | |
| a) berechtigter Grund zu der Annahme besteht, dass dies für die Zwecke des Artikels 6 Absatz 2 Buchstabe b erforderlich ist und | Abs. 97 | |
| b) dies genehmigt wird durch | Abs. 98 | |
| i) eine Justizbehörde oder | Abs. 99 | |
| ii) eine andere nationale Behörde, die nach nationalem Recht dafür zuständig ist zu überprüfen, ob die Bedingungen für die Offenle-gung erfüllt sind, vorbehaltlich der Unterrichtung des Datenschutz-beauftragten der PNR-Zentralstelle und einer Ex-Post-Überprüfung durch diesen Datenschutzbeauftragten. | Abs. 100 | |
| (4) Die Mitgliedstaaten stellen sicher, dass die PNR-Daten nach Ablauf der Frist nach Absatz 1 dauerhaft gelöscht werden. Diese Verpflichtung lässt Fälle unbe-rührt, in denen bestimmte PNR-Daten an eine zuständige Behörde übermittelt wurden und im Zusammenhang mit einem konkreten Fall zum Zwecke der Ver-hütung, Aufdeckung, Ermittlung oder Verfolgung terroristischer Straftaten oder schwerer Kriminalität verwendet werden; in diesem Fall richtet sich die Frist für die Speicherung dieser Daten durch die zuständige Behörde nach nationalem Recht. | Abs. 101 | |
| (5) Die Ergebnisse der Verarbeitung nach Artikel 6 Absatz 2 Buchstabe a werden von der PNR-Zentralstelle nur so lange vorgehalten, wie dies erforderlich ist, um die zuständigen Behörden und die PNR-Zentralstellen anderer Mitgliedstaaten gemäß Artikel 9 Absatz 1 über einen Treffer zu informieren. Fällt die in Artikel 6 Absatz 5 genannte anschließende individuelle nicht-automatisierte Überprüfung eines Treffers bei der automatisierten Verarbeitung negativ aus, so kann dieses Ergebnis dennoch gespeichert werden, um künftige „falsche“ Treffer zu vermei-den, solange die dazugehörigen Daten nicht gemäß Absatz 4 dieses Artikels ge-löscht sind. | Abs. 102 | |
| Art. 13 PNR-Richtlinie - Schutz personenbezogener Daten | Abs. 103 | |
| (1) Jeder Mitgliedstaat sorgt im Zusammenhang mit der Verarbeitung personenbe-zogener Daten nach dieser Richtlinie dafür, dass die Rechte jedes Fluggasts in Bezug auf Schutz personenbezogener Daten, Zugang, Berichtigung, Löschung und Einschränkung der Verarbeitung sowie Schadenersatz und Rechtsbehelfe den Rechten entsprechen, die nach Unionsrecht und nationalem Recht sowie zur Umsetzung der Artikel 17, 18, 19 und 20 des Rahmenbeschlusses 2008/977/JI festgelegt sind. Diesbezüglich gelten daher jene Artikel. | Abs. 104 | |
| (2) Jeder Mitgliedstaat sorgt dafür, dass die nach nationalem Recht erlassenen Best-immungen zur Umsetzung der Artikel 21 und 22 des Rahmenbeschlusses 2008/977/JI betreffend die Vertraulichkeit der Verarbeitung und die Datensicher-heit ebenfalls auf jede Verarbeitung personenbezogener Daten nach dieser Richtlinie Anwendung finden. | Abs. 105 | |
| (3) Diese Richtlinie berührt nicht die Anwendbarkeit der Richtlinie 95/46/EG des Eu-ropäischen Parlamentes und des Rates auf die Verarbeitung personenbezogener Daten durch Fluggesellschaften, insbesondere deren Pflichten, geeignete techni-sche und organisatorische Maßnahmen zum Schutz der Sicherheit und Vertrau-lichkeit der personenbezogenen Daten zu treffen. | Abs. 106 | |
| (4) Die Mitgliedstaaten untersagen die Verarbeitung von PNR-Daten, die die rassi-sche oder ethnische Herkunft einer Person, ihre politischen Meinungen, ihre reli-giösen oder weltanschaulichen Überzeugungen, ihre Mitgliedschaft in einer Ge-werkschaft, ihren Gesundheitszustand oder ihr Sexualleben oder ihre sexuelle Orientierung erkennen lassen. Bei der PNR-Zentralstelle eingehende PNR-Daten, aus denen derartige Informationen hervorgehen, werden umgehend ge-löscht. | Abs. 107 | |
| (…) | Abs. 108 | |
| Anhang I PNR-Richtlinie - Von Fluggesellschaften erhobene PNR-Daten | Abs. 109 | |
| 1. PNR-Buchungscode (Record Locator) | Abs. 110 | |
| 2. Datum der Buchung/Flugscheinausstellung | Abs. 111 | |
| 3. Planmäßiges Abflugdatum bzw. planmäßige Abflugdaten | Abs. 112 | |
| 4. Name(n) | Abs. 113 | |
| 5. Anschrift und Kontaktangaben (Telefonnummer, E-Mail-Adresse) | Abs. 114 | |
| 6. Alle Arten von Zahlungsinformationen einschließlich Rechnungsanschrift | Abs. 115 | |
| 7. Gesamter Reiseverlauf für bestimmte PNR-Daten | Abs. 116 | |
| 8. Vielflieger-Eintrag | Abs. 117 | |
| 9. Reisebüro/Sachbearbeiter | Abs. 118 | |
| 10. Reisestatus des Fluggasts mit Angaben über Reisebestätigungen, Ein-checkstatus, nicht angetretene Flüge (No show) und Fluggäste mit Flug-schein, aber ohne Reservierung (Go show) | Abs. 119 | |
| 11. Angaben über gesplittete/geteilte PNR-Daten | Abs. 120 | |
| 12. Allgemeine Hinweise (einschließlich aller verfügbaren Angaben zu unbe-gleiteten Minderjährigen unter 18 Jahren, wie beispielsweise Name und Geschlecht des Minderjährigen, Alter, Sprache(n), Name und Kontaktdaten der Begleitperson beim Abflug und Angabe, in welcher Beziehung diese Person zu dem Minderjährigen steht, Name und Kontaktdaten der abholen-den Person und Angabe, in welcher Beziehung diese Person zu dem Min-derjährigen steht, begleitender Flughafenmitarbeiter bei Abflug und Ankunft) | Abs. 121 | |
| 13. Flugscheindaten einschließlich Flugscheinnummer, Ausstellungsdatum, einfacher Flug (One-way), automatische Tarifanzeige (Automated Ticket Fare Quote fields) | Abs. 122 | |
| 14. Sitzplatznummer und sonstige Sitzplatzinformationen | Abs. 123 | |
| 15. Code-Sharing | Abs. 124 | |
| 16. Vollständige Gepäckangaben | Abs. 125 | |
| 17. Zahl und Namen von Mitreisenden im Rahmen der PNR-Daten | Abs. 126 | |
| 18. Etwaige erhobene erweiterte Fluggastdaten (API-Daten) (einschließlich Art, Nummer, Ausstellungsland und Ablaufdatum von Identitätsdokumenten, Staatsangehörigkeit, Familienname, Vorname, Geschlecht, Geburtsdatum, Fluggesellschaft, Flugnummer, Tag des Abflugs, Tag der Ankunft, Flugha-fen des Abflugs, Flughafen der Ankunft, Uhrzeit des Abflugs und Uhrzeit der Ankunft) | Abs. 127 | |
| 19. Alle vormaligen Änderungen der unter den Nummern 1 bis 18 aufgeführten PNR-Daten. | Abs. 128 | |
| Anhang II PNR-Richtlinie - Liste der strafbaren Handlungen gemäß Artikel 3 Nummer 9 | Abs. 129 | |
| (…) | Abs. 130 | |
| 6. Korruption | Abs. 131 | |
| 7. Betrugsdelikte, einschließlich Betrug zum Nachteil der finanziellen Interes-sen der Union | Abs. 132 | |
| (…) | Abs. 133 | |
| 9. Computerstraftaten/Cyberkriminalität | Abs. 134 | |
| 10. Umweltkriminalität, einschließlich des illegalen Handels mit bedrohten Tier-arten oder mit bedrohten Pflanzen- und Baumarten | Abs. 135 | |
| (…) | Abs. 136 | |
| Die Richtlinie (EU) 2016/680 (ABl. EU vom 4. Mai 2016, L 119 S. 89) regelt: | Abs. 137 | |
| Art. 1 Richtlinie (EU) 2016/680 - Gegenstand und Ziele | Abs. 138 | |
| (1) Diese Richtlinie enthält Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. | Abs. 139 | |
| (…) | Abs. 140 | |
| Art. 3 Richtlinie (EU) 2016/680 – Begriffsbestimmungen | Abs. 141 | |
| Im Sinne dieser Richtlinie bezeichnet der Ausdruck: | Abs. 142 | |
| (…) | Abs. 143 | |
| 5. „Pseudonymisierung” die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzli-cher Informationen nicht mehr einer spezifischen betroffenen Person zuge-ordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden; | Abs. 144 | |
| (…) | Abs. 145 | |
| Art. 4 Richtlinie (EU) 2016/680 - Grundsätze in Bezug auf die Verarbeitung perso-nenbezogener Daten | Abs. 146 | |
| (1) Die Mitgliedstaaten sehen vor, dass personenbezogene Daten | Abs. 147 | |
| a) auf rechtmäßige Weise und nach Treu und Glauben verarbeitet werden, | Abs. 148 | |
| b) für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet wer-den, | Abs. 149 | |
| c) dem Verarbeitungszweck entsprechen, maßgeblich und in Bezug auf die Zwecke, für die sie verarbeitet werden, nicht übermäßig sind, | Abs. 150 | |
| d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sind; dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden, | Abs. 151 | |
| e) nicht länger, als es für die Zwecke, für die sie verarbeitet werden, erforder-lich ist, in einer Form gespeichert werden, die die Identifizierung der be-troffenen Personen ermöglicht, | Abs. 152 | |
| f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen. | Abs. 153 | |
| (…) | Abs. 154 | |
| Art. 6 Richtlinie (EU) 2016/680 - Unterscheidung verschiedener Kategorien be-troffener Personen | Abs. 155 | |
| Die Mitgliedstaaten sehen vor, dass der Verantwortliche gegebenenfalls und so weit wie möglich zwischen den personenbezogenen Daten verschiedener Kategorien be-troffener Personen klar unterscheidet, darunter: | Abs. 156 | |
| a) Personen, gegen die ein begründeter Verdacht besteht, dass sie eine Straftat begangen haben oder in naher Zukunft begehen werden, | Abs. 157 | |
| b) verurteilte Straftäter, | Abs. 158 | |
| c) Opfer einer Straftat oder Personen, bei denen bestimmte Fakten darauf hindeuten, dass sie Opfer einer Straftat sein könnten, und | Abs. 159 | |
| d) andere Parteien im Zusammenhang mit einer Straftat, wie Personen, die bei Ermittlungen in Verbindung mit der betreffenden Straftat oder beim an-schließenden Strafverfahren als Zeugen in Betracht kommen, Personen, die Hinweise zur Straftat geben können, oder Personen, die mit den unter den Buchstaben a und b genannten Personen in Kontakt oder in Verbin-dung stehen. | Abs. 160 | |
| Art. 10 Richtlinie (EU) 2016/680 - Verarbeitung besonderer Kategorien personenbe-zogener Daten | Abs. 161 | |
| Die Verarbeitung personenbezogener Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen o-der die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von geneti-schen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientie-rung ist nur dann erlaubt, wenn sie unbedingt erforderlich ist und vorbehaltlich geeig-neter Garantien für die Rechte und Freiheiten der betroffenen Person erfolgt und | Abs. 162 | |
| a) wenn sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zu-lässig ist | Abs. 163 | |
| b) der Wahrung lebenswichtiger Interessen der betroffenen oder einer ande-ren natürlichen Person dient oder | Abs. 164 | |
| c) wenn sie sich auf Daten bezieht, die die betroffene Person offensichtlich öffentlich gemacht hat. | Abs. 165 | |
| Art. 20 Richtlinie (EU) 2016/680 - Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen | Abs. 166 | |
| (1) Die Mitgliedstaaten sehen vor, dass der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Ein-trittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risi-ken für die Rechte und Freiheiten natürlicher Personen sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentli-chen Verarbeitung angemessene technische und organisatorische Maßnahmen – wie z.B. Pseudonymisierung – trifft, die dafür ausgelegt sind, Datenschutz-grundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendi-gen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Richtlinie zu genügen und die Rechte der betroffenen Personen zu schützen. | Abs. 167 | |
| (2) Die Mitgliedstaaten sehen vor, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen trifft, die sicherstellen, dass durch Voreinstel-lung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den je-weiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. 3Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezo-gene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbe-stimmten Zahl von natürlichen Personen zugänglich gemacht werden. | Abs. 168 | |
| Art. 35 Richtlinie (EU) 2016/680 - Allgemeine Grundsätze für die Übermittlung personenbezogener Daten | Abs. 169 | |
| (1) Die Mitgliedstaaten sehen vor, dass jedwede von einer zuständigen Behörde vorgenommene Übermittlung von personenbezogenen Daten, die bereits verar-beitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internatio-nale Organisation verarbeitet werden sollen, einschließlich der Weiterübermitt-lung an ein anderes Drittland oder eine andere internationale Organisation, nur unter Einhaltung der nach Maßgabe anderer Bestimmungen dieser Richtlinie er-lassenen nationalen Bestimmungen, zulässig ist, wenn die in diesem Kapitel festgelegten Bedingungen eingehalten werden, nämlich | Abs. 170 | |
| a) die Übermittlung für die in Artikel 1 Absatz 1 genannten Zwecke erforder-lich ist; | Abs. 171 | |
| b) die personenbezogenen Daten an einen Verantwortlichen in einem Dritt-land oder einer internationalen Organisation, die eine für die in Artikel 1 Absatz 1 genannten Zwecke zuständige Behörde ist, übermittelt werden; | Abs. 172 | |
| c) in Fällen, in denen personenbezogene Daten aus einem anderen Mit-gliedstaat übermittelt oder zur Verfügung gestellt werden, dieser Mitglied-staat die Übermittlung zuvor in Einklang mit seinem nationalen Recht ge-nehmigt hat; | Abs. 173 | |
| d) die Kommission gemäß Artikel 36 einen Angemessenheitsbeschluss ge-fasst hat oder, wenn kein solcher Beschluss vorliegt, geeignete Garantien im Sinne des Artikels 37 erbracht wurden oder bestehen oder, wenn kein Angemessenheitsbeschluss gemäß Artikel 36 vorliegt und keine geeigne-ten Garantien im Sinne des Artikels 37 vorhanden sind, Ausnahmen für bestimmte Fälle gemäß Artikel 38 anwendbar sind und | Abs. 174 | |
| e) im Fall der Weiterübermittlung an ein anderes Drittland oder eine andere internationale Organisation die zuständige Behörde, die die ursprüngliche Übermittlung durchgeführt hat, oder eine andere zuständige Behörde des gleichen Mitgliedstaats die Weiterübermittlung genehmigt nach gebühren-der Berücksichtigung sämtlicher maßgeblicher Faktoren, einschließlich der Schwere der Straftat, des Zwecks der ursprünglichen Übermittlung personenbezogener Daten und des Schutzniveaus für personenbezogene Daten in dem Drittland oder der internationalen Organisation, an das bzw. die personenbezogene Daten weiterübermittelt werden. | Abs. 175 | |
| (2) Die Mitgliedstaaten sehen vor, dass Übermittlungen ohne vorherige Genehmi-gung durch einen anderen Mitgliedstaat gemäß Absatz 1 Buchstabe c nur dann zulässig sind, wenn die Übermittlung der personenbezogenen Daten erforderlich ist, um eine unmittelbare und ernsthafte Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittlandes oder für die wesentlichen Interessen eines Mitgliedstaats abzuwehren, und die vorherige Genehmigung nicht rechtzeitig ein-geholt werden kann. Die Behörde, die für die Erteilung der vorherigen Genehmi-gung zuständig ist, wird unverzüglich unterrichtet. | Abs. 176 | |
| (3) Sämtliche Bestimmungen dieses Kapitels werden angewendet, um sicherzustel-len, dass das durch diese Richtlinie gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird. | Abs. 177 | |
| Art. 36 Richtlinie (EU) 2016/680 - Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses | Abs. 178 | |
| (1) Die Mitgliedstaaten sehen vor, dass personenbezogene Daten an ein Drittland oder eine internationale Organisation übermittelt werden dürfen, wenn die Kom-mission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internatio-nale Organisation ein angemessenes Schutzniveau bietet. Eine solche Daten-übermittlungen bedarf keiner besonderen Genehmigung. | Abs. 179 | |
| (…) | Abs. 180 | |
| Art. 37 Richtlinie (EU) 2016/680 - Datenübermittlung vorbehaltlich geeigneter Garantien | Abs. 181 | |
| (1) Liegt kein Beschluss nach Artikel 36 Absatz 3 vor, so sehen die Mitgliedstaaten vor, dass eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation erfolgen darf, wenn | Abs. 182 | |
| a) in einem rechtsverbindlichen Instrument geeignete Garantien für den Schutz personenbezogener Daten vorgesehen sind oder | Abs. 183 | |
| b) der Verantwortliche alle Umstände beurteilt hat, die bei der Übermittlung personenbezogener Daten eine Rolle spielen, und zu der Auffassung ge-langt ist, dass geeignete Garantien zum Schutz personenbezogener Daten bestehen. | Abs. 184 | |
| (…) | Abs. 185 | |
| Art. 38 Richtlinie (EU) 2016/680 - Ausnahmen für bestimmte Fälle | Abs. 186 | |
| (1) Falls weder ein Angemessenheitsbeschluss nach Artikel 36 vorliegt noch geeig-nete Garantien nach Artikel 37 bestehen, sehen die Mitgliedstaaten vor, dass ei-ne Übermittlung oder eine Kategorie von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur zulässig ist, wenn die Übermittlung aus einem der folgenden Gründe erforderlich ist | Abs. 187 | |
| a) zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person, | Abs. 188 | |
| b) zur Wahrung berechtigter Interessen der betroffenen Person, wenn dies im Recht des Mitgliedstaats, aus dem die personenbezogenen Daten über-mittelt werden, vorgesehen ist, | Abs. 189 | |
| c) zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittlandes, | Abs. 190 | |
| d) im Einzelfall für die in Artikel 1 Absatz 1 genannten Zwecke, oder | Abs. 191 | |
| e) im Einzelfall zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit den in Artikel 1 Absatz 1 ge-nannten Zwecken. | Abs. 192 | |
| (2) Personenbezogene Daten dürfen nicht übermittelt werden, wenn die übermitteln-de zuständige Behörde feststellt, dass Grundrechte und Grundfreiheiten der be-troffenen Person das öffentliche Interesse an der Übermittlung im Sinne des Ab-satzes 1 Buchstaben d und e überwiegen. | Abs. 193 | |
| (…) | Abs. 194 | |
| Art. 59 Richtlinie (EU) 2016/680 - Aufhebung des Rahmenbeschlusses 2008/977/JI | Abs. 195 | |
| (1) Der Rahmenbeschluss 2008/977/JI wird mit Wirkung vom 6. Mai 2018 aufgeho-ben. | Abs. 196 | |
| (2) Verweise auf den in Absatz 1 genannten aufgehobenen Beschluss gelten als Verweise auf diese Richtlinie. | Abs. 197 | |
| Die DS-GVO (ABl. EU vom 4. Mai 2016, L 119 S.1) regelt: | Abs. 198 | |
| Art. 4 DS-GVO - Begriffsbestimmungen | Abs. 199 | |
| Im Sinne dieser Verordnung bezeichnet der Ausdruck: | Abs. 200 | |
| 1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die di-rekt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie ei-nem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Aus-druck der physischen, physiologischen, genetischen, psychischen, wirtschaft-lichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; | Abs. 201 | |
| (…) | Abs. 202 | |
| Art. 9 DS-GVO - Verarbeitung besonderer Kategorien personenbezogener Daten | Abs. 203 | |
| (1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethni-sche Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeu-gungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbei-tung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt. | Abs. 204 | |
| (…) | Abs. 205 | |
| Art. 13 DS-GVO - Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person | Abs. 206 | |
| (1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: | Abs. 207 | |
| a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenen-falls seines Vertreters; | Abs. 208 | |
| b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten; | Abs. 209 | |
| c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sol-len, sowie die Rechtsgrundlage für die Verarbeitung; | Abs. 210 | |
| d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die be-rechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden; | Abs. 211 | |
| e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der per-sonenbezogenen Daten und | Abs. 212 | |
| f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermit-teln, sowie das Vorhandensein oder das Fehlen eines Angemessenheits-beschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Mög-lichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind. | Abs. 213 | |
| (2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten: | Abs. 214 | |
| a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; | Abs. 215 | |
| b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Wi-derspruchsrechts gegen die Verarbeitung sowie des Rechts auf Daten-übertragbarkeit; | Abs. 216 | |
| c) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird; | Abs. 217 | |
| d) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; | Abs. 218 | |
| e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder ver-traglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und | Abs. 219 | |
| f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fäl-len – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbei-tung für die betroffene Person. | Abs. 220 | |
| (3) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen ande-ren Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen In-formationen gemäß Absatz 2 zur Verfügung. | Abs. 221 | |
| (4) Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt. | Abs. 222 | |
| Das FlugDaG (BGBl. I S. 1484) regelt: | Abs. 223 | |
| § 2 FlugDaG - Datenübermittlung durch Luftfahrtunternehmen | Abs. 224 | |
| (…) | Abs. 225 | |
| (2) Fluggastdaten sind folgende Daten: | Abs. 226 | |
| 1. Familienname, Geburtsname, Vornamen und Doktorgrad des Fluggastes, | Abs. 227 | |
| (…) | Abs. 228 | |
| 9. sonstige Namensangaben, | Abs. 229 | |
| (…) | Abs. 230 | |
| Abs. 231 | ||
| (3) Fluggastdaten sind für alle Flüge des Linien-, Charter- und Taxiverkehrs zu übermitteln, die nicht militärischen Zwecken dienen und die | Abs. 232 | |
| 1. von der Bundesrepublik Deutschland aus starten und in einem anderen Staat landen oder | Abs. 233 | |
| 2. von einem anderen Staat aus starten und in der Bundesrepublik Deutschland landen oder zwischenlanden. | Abs. 234 | |
| § 17 FlugDaG - Gerichtliche Zuständigkeit, Verfahren | Abs. 235 | |
| Für gerichtliche Entscheidungen nach diesem Gesetz ist das Amtsgericht zuständig, in dessen Bezirk das Bundeskriminalamt seinen Sitz hat. Für das Verfahren gelten die Bestimmungen des Gesetzes über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit entsprechend. | Abs. 236 | |
| III. | Abs. 237 | |
| Das vorlegende Gericht ist für die Entscheidung des Verwaltungsstreitverfahrens und mithin auch für das vorliegende Vorabentscheidungsersuchen an den Europä-ischen Gerichtshof zuständig. Dem steht insbesondere nicht § 17 FlugDaG entge-gen, wonach für gerichtliche Entscheidungen nach diesem Gesetz das Amtsgericht zuständig ist, in dessen Bezirk das Bundeskriminalamt seinen Sitz hat. „Entschei-dungen nach diesem Gesetz“ sind nämlich nur solche nach § 5 Abs. 2 FlugDaG. Vorliegend ist nicht „eine Entscheidung nach diesem Gesetz“, sondern eine Ent-scheidung über dieses Gesetz zu treffen. | Abs. 238 | |
| Vorliegend kommt es zur Entscheidung in dem hier vorgelegten Fall darauf an, ob die PNR-Richtlinie oder Teile davon gegen die Grundrechtecharta verstoßen. In diesem Fall wäre das FlugDaG als Umsetzungsgesetz nicht anwendbar, sodass die die Datenverarbeitung insgesamt unzulässig wäre und der Löschungsanspruch bestünde. | Abs. 239 | |
| Zu Frage 1 | Abs. 240 | |
| Die verschiedenen durch die Richtlinie und das Umsetzungsgesetz vorgesehen Verarbeitungen von PNR-Daten greifen in den Schutzbereich des Grundrechts auf Achtung des Privatlebens, das in Art. 7 GRCh garantiert ist, ein. Denn dieses Recht erstreckt sich auf jede Information, die eine bestimmte oder bestimmbare natürliche Person betrifft (vgl. nur EuGH, Urteil vom 9. November 2010, Volker und Markus Schecke und Eifert, C 92/09 und C 93/09, EU:C:2010:662, Rn. 52), mithin auch auf die in Anhang I der PNR-Richtlinie genannten Informationen über von der PNR-Daten-Verarbeitung betroffenen Personen. Die in der PNR-Richtlinie vorgesehe-nen Verarbeitungen der PNR-Daten fallen zudem unter Art. 8 GRCh, weil sie Ver-arbeitungen personenbezogener Daten im Sinne dieses Artikels darstellen und deshalb zwangsläufig die dort vorgesehenen Erfordernisse des Datenschutzes er-füllen müssen (vgl. nur EuGH-Gutachten 1/15 vom 26. Juli 2017, E-CLI:EU:C:2017:592, Rn. 123). | Abs. 241 | |
| Nach der Rechtsprechung des Europäischen Gerichtshofes stellt die Weitergabe personenbezogener Daten an einen Dritten, etwa eine Behörde, unabhängig von der späteren Verwendung der übermittelten Informationen einen Eingriff in das in Art. 7 GRCh verankerte Grundrecht dar. Dasselbe gilt für die Speicherung perso-nenbezogener Daten und den Zugang zu den Daten zu ihrer Verwendung durch die Behörden. Für die Feststellung eines solchen Eingriffs kommt es nicht darauf an, ob die übermittelten Informationen als sensibel anzusehen sind oder ob die Be-troffenen durch den Vorgang irgendwelche Nachteile erlitten haben (vgl. EuGH-Gutachten 1/15 vom 26. Juli 2017, ECLI:EU:C:2017:592, Rn. 124). Entsprechendes gilt auch für Art. 8 GRCh, soweit es um die Verarbeitung personenbezogener Daten geht. (vgl. EuGH-Gutachten 1/15 vom 26. Juli 2017, ECLI:EU:C:2017:592, Rn. 126). | Abs. 242 | |
| Zwar können die in den Art. 7 und Art. 8 GRCh niedergelegten Rechte keine uneingeschränkte Geltung beanspruchen, sondern müssen im Hinblick auf ihre gesellschaftliche Funktion gesehen werden (vgl. EuGH-Gutachten 1/15 vom 26. Juli 2017, ECLI:EU:C:2017:592, Rn. 136). Eine Einschränkung dieser Rechte kann zur Erreichung von Gemeinwohlzwecken, zu denen die Bekämpfung von terroristi-schen Straftaten und schwerer Kriminalität zählen (vgl. EuGH-Gutachten 1/15 vom 26. Juli 2017, ECLI:EU:C:2017:592, Rn. 149), durchaus zulässig sein. Die Eingriffe in die Grundrechte müssen jedoch geeignet und erforderlich zur Erreichung dieser Ziele sein und dürfen sich nicht als unverhältnismäßig im engeren Sinne erweisen. Überdies muss nach Art. 52 Abs. 1 GRCh jede Einschränkung der Ausübung der Unionsgrundrechte und -freiheiten gesetzlich vorgesehen sein und den Wesens-gehalt dieser Rechte und Freiheiten achten. Unter Wahrung des Grundsatzes der Verhältnismäßigkeit dürfen Einschränkungen nur vorgenommen werden, wenn sie erforderlich sind und den von der Union anerkannten, dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen (vgl. EuGH-Gutachten 1/15 vom 26. Juli 2017, E-CLI:EU:C:2017:592, Rn. 138). | Abs. 243 | |
| Der Grundsatz der Verhältnismäßigkeit verlangt nach ständiger Rechtsprechung des Europäischen Gerichtshofes, dass die Handlungen der Unionsorgane geeignet sind, die mit der fraglichen Regelung zulässigerweise verfolgten Ziele zu errei-chen, und nicht die Grenzen dessen überschreiten, was zur Erreichung dieser Zie-le geeignet und erforderlich ist (EuGH, Urteil vom 8. April 2014, Digital Rights Ire-land u.a., C-293/12 und C 594/12, EU:C:2014:238, Rn. 46). In Bezug auf das Grund-recht auf Achtung des Privatlebens ist nach der Rechtsprechung des EuGH zu ver-langen, dass sich die Ausnahmen und Einschränkungen in Bezug auf den Schutz personenbezogener Daten auf das absolut Notwendige beschränken (EuGH, Ur-teil vom 8. April 2014, Digital Rights Ireland u.a., C-293/12 und C 594/12, EU:C:2014:238, Rn. 52). | Abs. 244 | |
| Um diesem Erfordernis zu genügen, muss die Regelung, die den Eingriff enthält, klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme vorsehen und Mindesterfordernisse aufstellen. Die Personen, deren Daten übermittelt wurden, müssen über ausreichende Garantien verfügen, die ei-nen wirksamen Schutz ihrer personenbezogenen Daten vor Missbrauchsrisiken ermöglichen. Die Regelung muss insbesondere angeben, unter welchen Umstän-den und unter welchen Voraussetzungen eine Maßnahme, die die Verarbeitung solcher Daten vorsieht, getroffen werden darf, damit gewährleistet ist, dass der Ein-griff auf das absolut Notwendige beschränkt wird. Das Erfordernis, über solche Ga-rantien zu verfügen, ist umso bedeutsamer, wenn die personenbezogenen Daten automatisch verarbeitet werden. Dies gilt insbesondere, wenn es um den Schutz der besonderen Kategorie sensibler personenbezogener Daten geht (EuGH, Urteil vom 8. April 2014, Digital Rights Ireland u.a., C-293/12 und C 594/12, EU:C:2014:238, Rn. 54 f.). Es bestehen ernsthafte Zweifel, ob die PNR-Richtlinie diesen Anforde-rungen in jeder Hinsicht gerecht wird. | Abs. 245 | |
| Nach den Bestimmungen der PNR-Richtlinie sind die Luftfahrtunternehmen dazu verpflichtet, bei jedem einzelnen Flug die PNR-Daten ausnahmslos aller Fluggäste an die PNR-Zentralstellen der Mitgliedstaaten zu übermitteln, bei denen diese Da-ten automatisiert verarbeitet und dauerhaft gespeichert werden. Eines bestimmten Anlasses, beispielweise konkreter Anhaltspunkte für eine Verbindung zum interna-tionalen Terrorismus oder zu organisierter Kriminalität, bedarf es dabei nicht. Dies führt dazu, dass innerhalb kurzer Zeiträume hunderte Billionen Datensätze verar-beitet und gespeichert werden. Die „Vorratsdatenspeicherung“ von Fluggastdaten betrifft daher die Grundrechte eines sehr weiten Teils der gesamten europäischen Bevölkerung in evidenter Weise (siehe allein das touristische Flugaufkommen vor der sogenannten Corona-Krise; schon 226.764.086 beförderte Personen im Luftver-kehr 2019 in Deutschland, 47 Millionen weltweite Flüge im Jahr 2019; innerhalb der Europäischen Union 928.634.652 Passagiere im Jahr 2019, wobei ein jeder Flug zur Erfassung führt – bei 513,5 Millionen Einwohnern der Europäischen Union im Jahr 2019, https://ec.europa.eu/eurostat/databrowser/view/ttr00012/default/table?lang=de, Stand 1. Mai 2020). | Abs. 246 | |
| Die zu übermittelnden Datensätze, die durch Art. 8 Abs. 1 Satz 1 i.V.m. Anhang I PNR-Richtlinie vorgegeben werden, sind sehr umfangreich und umfassen neben den Namen und Adressen der Fluggäste sowie dem gesamten Reiseverlauf auch Angaben über ihr Gepäck, ihre Mitreisenden, alle Arten von Zahlungsinformationen sowie nicht näher definierte „allgemeine Hinweise“. Aus der Gesamtheit dieser Da-ten lassen sich sehr genaue Rückschlüsse auf das Privat- und Geschäftsleben der betroffenen Personen ziehen. Aus ihnen ergibt sich nämlich, wer wann in wessen Begleitung wohin gereist ist, welches Zahlungsmittel dabei genutzt und welche Kontaktdaten angegeben wurden und ob die betroffene Person mit leichtem oder schwerem Gepäck gereist ist. Über das Freitextfeld der „allgemeinen Hinweise“ können noch weitere Daten, deren Umfang völlig unklar ist (dazu weiter unten), an-fallen. | Abs. 247 | |
| Das vorlegende Gericht sieht hier eine Vergleichbarkeit der PNR-Daten-Verarbeitung und -speicherung mit der Vorratsdatenspeicherung im Telekommuni-kationsbereich. Zu dieser hat der Europäische Gerichtshof richtigerweise ausge-führt, dass sie einen Eingriff von großem Ausmaß und besonderer Schwere in die Art. 7 und Art. 8 GRCh darstellt. Denn eine massenhafte, anlasslose Speicherung umfangreicher Datensätze, die Rückschlüsse auf das Privat- und Geschäftsleben der betroffenen Personen zulassen, sind geeignet, bei ihnen ein Gefühl ständiger Überwachung zu erzeugen (EuGH, Urteil vom 8. April 2014, Digital Rights Ireland u.a., C-293/12 und C 594/12, EU:C:2014:238, Rn. 37). | Abs. 248 | |
| In seinem ersten Urteil zur Vorratsdatenspeicherung hat der EuGH selbige unter anderem deshalb für grundrechtswidrig erachtet, weil auch Daten von Personen auf Vorrat gespeichert werden sollen, bei denen keinerlei Anhaltspunkte dafür vor-liegen, dass ihr Verhalten in einem auch nur mittelbaren oder entfernten Zusam-menhang mit schweren Straftaten stehen könnte (EuGH, Urteil vom 8. April 2014, Digital Rights Ireland u.a., C-293/12 und C 594/12, EU:C:2014:238, Rn. 58). Dies trifft auf die Verarbeitung und Speicherung von PNR-Daten ebenfalls zu, was zeigt, dass die Regelungen der PNR-Richtlinie die Grenzen dessen überschreiten, was zur Erreichung der Ziele der PNR-Richtlinie erforderlich ist, und somit unverhält-nismäßig im Sinne der Rechtsprechung des Europäischen Gerichtshofes sind. Hinzu kommt, dass die PNR-Daten, anders als die Telekommunikationsverkehrsda-ten im Rahmen der Vorratsdatenspeicherung, nicht nur anlasslos gespeichert, son-dern auch weiterverarbeitet, das heißt automatisiert mit Datenbanken und sog. „Mustern“ abgeglichen werden. | Abs. 249 | |
| Zu Frage 2 a) „schwere Kriminalität“ | Abs. 250 | |
| Fraglich ist auch die Bestimmtheit und Verhältnismäßigkeit der Erhebung und Verarbeitung der umfangreichen Datensätze im Hinblick auf die Delikte, die durch dieses Vorgehen bekämpft werden sollen. Erklärtes Ziel der PNR-Richtlinie ist die Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität. Art. 3 Nr. 9 PNR-Richtlinie definiert schwere Kriminalität als die in Anhang II aufgeführten strafbaren Handlungen, die nach dem nationalen Recht eines Mitgliedstaates mit einer Freiheitsstrafe oder einer freiheitsentziehen-den Maßregel der Sicherung im Höchstmaß von mindestens drei Jahren bedroht sind. In Anhang II zur PNR-Richtlinie ist eine Liste von 26 strafbaren Handlungen gemäß Art. 3 Nr. 9 PNR-Richtlinie enthalten. Hierzu zählen beispielsweise Korrupti-on (Nr. 6), Betrugsdelikte (Nr. 7), Computerstraftaten/Cyberkriminalität (Nr. 9) sowie Umweltkriminalität (Nr. 10). | Abs. 251 | |
| Zunächst steht hier die Bestimmtheit der Regelungen in Frage. So kennt das deutsche Strafrecht beispielsweise keinen Straftatbestand der „Korruption“. Korrup-tion bildet vielmehr einen Oberbegriff für eine Vielzahl von denkbaren Straftaten. Für nationale Behörden ist somit nicht eindeutig und klar definiert, welche Delikte genau unter diese Regelung fallen sollen. Selbiges gilt auch für die die Begriffe der „Betrugsdelikte“, „Computerstraftaten“ und „Umweltkriminalität“. Unter alle diese Be-griffe kann eine Mehrzahl von mehr oder weniger konkreten Delikten subsummiert werden. | Abs. 252 | |
| Dies und die Bezugnahme auf das jeweilige Strafmaß in den einzelnen Mitglied-staaten in Art. 3 Nr. 9 PNR-Richtlinie führen dazu, dass die PNR-Daten in unter-schiedlichen Mitgliedstaaten der Union uneinheitlich verwendet werden, da es nämlich den strafrechtlichen Regelungen der einzelnen Mitgliedstaaten überlassen bleibt, bestimmte Delikte über die jeweilige Strafandrohung im nationalen Strafge-setzbuch als „schwere Kriminalität“ im Sinne der Richtlinie zu erfassen oder eben nicht. | Abs. 253 | |
| Zweifelhaft ist im Hinblick auf die Angemessenheit der Regelung zudem die in Art. 3 Nr. 9 PNR-Richtlinie festgelegte „Mindestgrenze“ der Strafandrohung von im Höchstmaß drei Jahren Freiheitsstrafe. Denn diese Regelung ist sehr weitgehend. | Abs. 254 | |
| Nach dem deutschen Strafrecht ist davon eine enorme Vielzahl von Delikten erfasst, deren Einordnung als „schwere Kriminalität“ sehr fragwürdig erscheint. So beträgt gemäß § 263 des deutschen Strafgesetzbuches (StGB) der Strafrahmen für einen gewöhnlichen Betrug bereits bis zu fünf Jahren Freiheitsstrafe. Gleiches gilt beispielsweise für die Hehlerei (§ 259 StGB), den Computerbetrug (§ 263a StGB) oder die Untreue (§ 266 StGB). Alle diese Delikte lassen sich unter den Katalog strafbarer Handlungen im Anhang II PNR-Richtlinie, dort insbesondere Nr. 6 „Be-trugsdelikte“ subsummieren. Solche Delikte zählen jedoch zur vielfach auftretenden „Alltagskriminalität“ und können auch und gerade in minderschweren Fällen auftre-ten. Dann aber hat ihre Erfassung durch die PNR-Richtlinie mit der Bekämpfung von Terrorismus und auch der Verhinderung bzw. Bekämpfung und Verfolgung von schwerer Kriminalität, die in diesem Zusammenhang als Pendent zu terroristischen Straftaten auch ein vergleichbares Gewicht haben müsste, nichts zu tun und müss-te unterlassen werden. | Abs. 255 | |
| Das vorlegende Gericht hat erhebliche Bedenken, ob eine – von der Buchung einer Flugreise abgesehen – anlasslose Erhebung einer so großen Vielzahl von Daten zur Verfolgung auch solcher verhältnismäßig geringfügiger und nicht konkret be-stimmter Straftaten noch als angemessen betrachtet werden kann. Es drängt sich für das vorlegende Gericht der Eindruck auf, dass die Richtlinie weniger der Be-kämpfung von Terrorismus und schwerer Kriminalität dient, sondern vielmehr da-rauf ausgelegt ist eine Vielzahl von eher mittel- oder minderschweren Straftaten als „Beifang“ verfolgen zu können (so auch bei der Richtline (EU) 2015/849 in der Fas-sung der Richtline (EU) 2018/843 des Europäischen Parlaments und des Rates vom 30. Mai 2018 zur Änderung der Richtlinie (EU) 2015/849 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfi-nanzierung und zur Änderung der Richtlinien 2009/138/EG und 2013/36/EU, wel-che in der praktischen Umsetzung im Wesentlichen der Aufdeckung von Steuerde-likten, wie Erbschaftssteuerhinterziehung, also gerade nicht der Terrorismusfinan-zierung führt; siehe dazu Antwort des Bundesministeriums der Finanzen auf die Kleine Anfrage des Abgeordneten Fabia De Masi vom 26. Juli 2018, Nr. 3 h), wo-nach keine Erkenntnisse der Terrorismusfinanzierung bekannt sind, https://www.linksfraktion.de/fileadmin/user_upload/PDF_Dokumente/180814-Antwort-KA-Geldwa-schebeka-mpfung-193586.pdf, Stand 1. Mai 2020). | Abs. 256 | |
| Zumindest hat der Richtliniengeber in Art. 3 des Fluggastdaten-Abkommens zwi-schen der EU und Australien (Abkommen zwischen der Europäischen Union und Australien über die Verarbeitung von Fluggastdatensätzen (Passenger Name Re-cords - PNR) und deren Übermittlung durch die Fluggesellschaften an den Austra-lian Customs and Border Protection Service vom 14.7.2012 (ABl. Nr. L 186 S. 4, ber. Abl. Nr. L 302 S. 14)) eine Regelung vorgesehen, nach der neben terroristischen nur schwere grenzüberschreitende Straftaten vorgebeugt, aufgedeckt, untersucht oder verfolgt werden sollen. Auch eine solche Einschränkung wurde in der PNR-Richtlinie nicht vorgesehen, auch wenn sich hier das gleiche Problem der Konkreti-sierung der einzelnen Straftatbestände ergibt. So entsteht der Eindruck, dass es Ziel der Formulierung der Richtlinie war, sie bewusst sehr weit zu fassen. Vor dem Hin-tergrund der Einschränkung der Grundrechte und der Rechtsprechung des Europä-ischen Gerichtshofes, der bei ihrer Auslegung eine Beschränkung auf das absolut Notwendige fordert, erscheint dies mehr als sehr fragwürdig. | Abs. 257 | |
| Frage 2 b) Bestimmtheit der PNR-Daten | Abs. 258 | |
| Die hinreichende Bestimmtheit einiger Formulierungen der laut des Kataloges in Anhang I PNR-Richtlinie von den Luftfahrtunternehmen an die PNR-Zentralstellen der Mitgliedstaaten zu übermittelnden PNR-Daten ist vor dem Hintergrund, dass der Gerichtshof in seiner ständigen Rechtsprechung klare und präzise Regelungen für die Tragweite und Anwendung der betreffenden Maßnahmen einfordert (vgl. nur EuGH-Gutachten 1/15 vom. 27. Juli 2017, EU:C:2017:592, Rn. 141), nicht gegeben. | Abs. 259 | |
| Es ist nicht klar ersichtlich, was mit dem zu übermittelnden „Name(n)“ (Anhang I Nr. 4 PNR-Richtlinie) gemeint ist. Dies wird an der deutschen Umsetzung durch § 2 Nr. 1 und Nr. 9 FlugDaG, wonach der Familienname, der Geburtsname, die Vornamen und ein eventuell bestehender Doktorgrad sowie sonstige Namensabgaben über-mittelt werden sollen, gut ersichtlich. Im allgemeinen Sprachgebrauch wird auf die Frage nach dem Namen üblicherweise nicht auch der Geburtsname genannt. So bleibt unklar, ob dieser unter die von Anhang I Nr. 4 PNR-Richtlinie gemeinten Na-me(n) fällt. Fraglich ist auch, ob ein akademischer Titel als Namensbestandteil im Sinne der Richtlinie anzusehen ist. | Abs. 260 | |
| Hinsichtlich der Übermittlung und Verarbeitung von Daten zu Vielflieger-Einträgen (Anhang I Nr. 8 PNR-Richtlinie) liegt ebenfalls eine Unbestimmtheit der Regelung vor. Denn es ist nicht klar ersichtlich, was unter diesen Begriff zu fassen sein soll. Insbesondere ist unklar, ob lediglich die Teilnahme an Bonusprogrammen für Viel-flieger an sich oder aber auch konkrete Informationen über Flüge und Buchungen der an einem solchen Programm teilnehmenden Person gemeint sind. | Abs. 261 | |
| Die Formulierung „allgemeine Hinweise, einschließlich (…)“ in Anhang I Nr. 12 PNR-Richtlinie ist sehr weit gefasst und nicht greifbar. Wie aus dem Wort ein-schließlich hervorgeht, handelt es sich nur um eine beispielhafte, nicht abschlie-ßende Aufzählung. Zudem könnten beim Ausfüllen dieses Freitextfeldes auch In-formationen mitgeteilt werden, die keinerlei Bezug zum Zweck der Erhebung der Fluggastdaten haben (so auch schon EuGH-Gutachten 1/15 vom. 27. Juli 2017, EU:C:2017:592, Rn. 160). Die Formulierung könnte insbesondere auch erlauben, Informationen zu übermitteln, die die PNR-Richtlinie nicht zulassen will, nämlich insbesondere sensible Daten, die ausweislich des Erwägungsgrundes Nr. 15 zur PNR-Richtlinie nicht erhoben werden sollen (siehe hierzu auch Frage 4). | Abs. 262 | |
| Zu Frage 2 c) Drittbetroffene | Abs. 263 | |
| Gemäß Art. 1 Abs. 1 PNR-Richtlinie soll diese die Übermittlung von PNR-Daten zu Fluggästen von Drittstaatsflügen durch Fluggesellschaften und die Verarbeitung dieser Daten durch die Mitgliedstaaten regeln. Gemäß Art. 3 Nr. 4 PNR-Richtlinie ist Fluggast jede Person, einschließlich Transfer- oder Transitfluggästen, mit Ausnah-me der Besatzungsmitglieder, die mit Zustimmung der Fluggesellschaft in einem Luftfahrzeug befördert wird oder befördert werden soll, wobei diese Zustimmung durch die Eintragung der Person in die Fluggastliste belegt wird. In Anhang I der PNR-Richtlinie finden sich jedoch mehrere im Rahmen der Fluggastdatenverarbei-tung zu übermittelnde Daten, die nicht zu den so definierten „Fluggästen“ gehören. Insoweit sind die Regelungen der PNR-Richtlinie in sich widersprüchlich. | Abs. 264 | |
| So widerspricht es Art. 3 Nr. 4 PNR-Richtlinie, wenn Anhang I Nr. 9 PNR-Richtlinie vorsieht, im Rahmen der Fluggastdatenverarbeitung Informationen zum Reisebüro und dem dortigen Sachbearbeiter zu erfassen. Nach Anhang I Nr. 12 der PNR-Richtlinie sind im Freitextfeld der „Allgemeinen Hinweise“ insbesondere Informatio-nen zu den Begleitpersonen von Minderjährigen bei Abflug und Ankunft sowie zu begleitenden Flughafenmitarbeitern zu übermitteln. | Abs. 265 | |
| Alle genannten Daten fallen ersichtlich nicht unter die in Art. 3 Nr. 4 PNR-Richtlinie definierten Gruppe der Fluggäste. Gleichwohl sollen sie betreffende Daten im direk-ten Widerspruch zum Wortlaut der eigenen Definition der PNR-Richtlinie auf der Basis der PNR-Richtlinie (hier Anhang I) durch die Luftfahrtunternehmen an die PNR-Zentralstellen der Mitgliedstaaten übermittelt und dort gespeichert werden. In-sofern geht das vorlegende Gericht davon aus, dass sich diese Regelungen alle-samt nicht auf das absolut Notwendige im Sinne der Rechtsprechung des Europäi-schen Gerichtshofes beschränken (vgl. nur EuGH-Gutachten 1/15 vom. 27. Juli 2017, EU:C:2017:592, Rn. 141). Für alle Drittbetroffenen stellt sich zudem die Frage, wie sie über die Verarbeitung ihrer personenbezogenen Daten nach Art. 14 DS-GVO informiert werden sollen. | Abs. 266 | |
| Gemäß Anhang I Nr. 17 PNR-Richtlinie sollen auch die PNR-Daten von Mitreisen-den der Fluggäste übermittelt und verarbeitet werden. Hinsichtlich der Mitreisenden führt dies zu einer Doppelerfassung, da diese als Fluggäste ja ohnehin bereits von der Fluggastdatenverarbeitung betroffen werden. Mithin wird hier gravierend gegen das Gebot der Datenminimierung verstoßen (vgl. Art. 5 lit. c) DS-GVO). | Abs. 267 | |
| Zu Frage 2 d) Minderjährige | Abs. 268 | |
| Nach der PNR-Richtlinie haben die Luftfahrtunternehmen die PNR-Daten aus-nahmslos aller Fluggäste an die jeweiligen PNR-Zentralstellen der Mitgliedstaaten zu übermitteln, sodass auch minderjährige Fluggäste betroffen sind. Durch Anhang I Nr. 12 PNR-Richtlinie, der die Übermittlung „allgemeine(r) Hinweise, einschließlich aller verfügbaren Daten zu unbegleiteten Minderjährigen unter 18 Jahren, wie bei-spielsweise Name und Geschlecht des Minderjährigen (…)“ vorsieht, wird dies nochmals unterstrichen. | Abs. 269 | |
| Die Verarbeitung von Daten von Minderjährigen kann einerseits zum Zweck prä-ventiven und/oder repressiven Vorgehens gegen Minderjährige, die (mutmaßlich) in Terrorismus oder schwere Kriminalität verstrickt sind, erfolgen und andererseits aus Gründen des Minderjährigenschutzes, beispielsweise um der Aufdeckung oder Ver-folgung von Kinderhandel zu dienen. Diese beiden unterschiedlichen Zielsetzun-gen erfordern differenzierte Regelungen. Dies verdeutlicht Art. 6 Richtlinie (EU) 2016/680. Dieser regelt, dass, soweit möglich, zwischen den personenbezogenen Daten verschiedener Kategorien klar zu unterscheiden ist. Zu diesen zu unter-scheidenden Kategorien zählen insbesondere Personen, gegen die ein begründe-ter Verdacht besteht, dass sie eine Straftat begangen haben oder in absehbarer Zeit begehen werden (Art. 6 lit. a) Richtlinie (EU) 2016/680) und Opfer einer Straftat oder Personen, bei denen bestimmte Fakten darauf hindeuten, dass sie Opfer einer Straftat sein könnten (Art. 6 lit. c) Richtlinie (EU) 2016/680; siehe auch Erwägungs-grund 31 der Richtlinie (EU) 2016/680). | Abs. 270 | |
| Soweit die Daten zum Zweck des repressiven oder präventiven Vorgehens gegen Minderjährige erhoben und verarbeitet werden, wäre aber zu beachten, dass eine Strafverfolgung aufgrund von Erkenntnissen aus der Fluggastdatenverarbeitung ohnehin nur bei bereits strafmündigen Jugendlichen in Betracht kommt. Insoweit geht die PNR-Richtlinie über das absolut Notwendige hinaus, da sie eine Be-schränkung zum Beispiel auf die Daten strafmündiger Minderjähriger nicht enthält. | Abs. 271 | |
| In Bezug auf die Erhebung und Verarbeitung von PNR-Daten zum Zweck des Minderjährigenschutzes ist zu beachten, dass Kinder und Jugendliche besonders schutzbedürftig sind. Dies verdeutlicht Art. 24 GRCh, der ihnen zu ihrem besonde-ren Schutz eigene Unionsgrundrechte einräumt. Diese besondere Schutzbedürftig-keit gilt auch im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten. Soweit die Erhebung und Verarbeitung von PNR-Daten minderjähriger Fluggäste der Verhinderung bzw. Verfolgung von Kriminalität gegen die betroffenen Minder-jährigen dienen sollen, die sich gegen Kinder richtet, so erscheinen die Regelun-gen der PNR-Richtlinie hierfür nicht geeignet zu sein. Die PNR-Datenverarbeitung ist auf das Auffinden bzw. Erkennen von verdächtigen Personen ausgerichtet. Hierzu werden die PNR-Daten automatisiert mit Datenbanken und Mustern abgegli-chen, um verdächtige Personen ausfindig machen zu können, vgl. Art 6 Abs. 2 PNR-Richtlinie. Die Daten der Minderjährigen sind im Kontext des Schutzes Min-derjähriger vor Kinderhandel aber gerade keine Daten von Verdächtigen, sondern im Gegenteil von Schutzbedürftigen. Daher müssten sie auch anders behandelt werden. Die Notwendigkeit von Musterabgleichen besteht dann gerade nicht. Inso-weit fehlt es der PNR-Richtlinie in Bezug auf den Umgang mit den PNR-Daten minderjähriger Fluggäste offensichtlich an hinreichend differenzierten Regelungen. | Abs. 272 | |
| Zu Frage 2 e) API-Daten | Abs. 273 | |
| Art. 8 Abs. 2 PNR-Richtlinie regelt, dass die Mitgliedstaaten die erforderlichen Maßnahmen zu treffen haben, um sicherzustellen, dass auch erweiterte Fluggast-daten im Sinne von Anhang I Nr. 18 PNR-Richtlinie (API-Daten), auch wenn sie durch die Luftfahrtunternehmen in technisch anderer Weise vorgehalten werden sollten, als die zu übermittelnden PNR-Daten, einschließlich Art, Nummer, Ausstel-lungsland und Ablaufdatum von Identitätsdokumenten, Staatsangehörigkeit, Fami-lienname, Vorname, Geschlecht, Geburtsdatum, Fluggesellschaft, Flugnummer, Tag des Abflugs, Tag der Ankunft, Flughafen des Abflugs, Flughafen der Ankunft, Uhrzeit des Abflugs und Uhrzeit der Ankunft an die PNR-Zentralstellen übermittelt werden. Insoweit bestehen zahlreiche Überschneidungen der API-Daten mit den ohnehin zu übermittelnden PNR-Daten, wie den planmäßigen Abflugdaten (An-hang I Nr. 3 PNR-Richtlinie), den Namen (Anhang I Nr. 4 PNR-Richtlinie) oder dem gesamten Reiseverlauf (Anhang I Nr. 7 PNR-Richtlinie). | Abs. 274 | |
| Diese doppelte oder mehrfache Verarbeitung der Fluggastdaten steht im Wider-spruch zu dem unter anderem in der Richtlinie (EU) 2016/680 verankerten Grund-satz der Datensparsamkeit. Dieser lässt sich zunächst aus dem Art. 4 Abs. 1 lit. c) Richtlinie (EU) 2016/680 entnehmen, welcher regelt, dass personenbezogene Da-ten in Bezug auf die Zwecke, für die sie verarbeitet werden, nicht übermäßig sein sollen. Art. 20 Abs. 1 Richtlinie (EU) 2016/680 konkretisiert diesen Grundsatz da-hingehend, dass die Mitgliedstaaten vorsehen sollen, dass der für die Datenverar-beitung Verantwortliche Maßnahmen trifft, um die Datenschutzgrundsätze wie etwa die Datenminimierung wirksam umzusetzen. Zudem regelt Art. 20 Abs. 2 Richtlinie (EU) 2016/680, dass nur personenbezogene Daten, deren Verarbeitung für den je-weiligen Verarbeitungszweck erforderlich sind, verarbeitet werden sollen. | Abs. 275 | |
| Eine doppelte Verarbeitung bestimmter inhaltlich identischer Daten, nämlich sowohl aus PNR-Daten als auch als API-Daten gleichen Inhalts, ist mit dem Grundsatz der Datenminimierung bzw. Datensparsamkeit nicht in Einklang zu bringen und somit nicht erforderlich. Ein zwingender Grund für ein solches Vorgehen ist nicht erkenn-bar. Aufgrund der doppelten Erfassung und Verarbeitung dieser Daten beschränkt sich der mit der Übermittlung dieser Daten an die PNR-Zentralstellen der Mitglied-staaten und die dortige Verwendung verbundene Eingriff in Art. 7 und Art. 8 GRCh daher nach Ansicht des vorlegenden Gerichts nicht auf das absolut Notwendige. | Abs. 276 | |
| Zu Frage 2 f) Rechtsgrundlage für Muster | Abs. 277 | |
| Gemäß Art. 6 Abs. 3 lit. b) PNR-Richtlinie sollen die durch die Luftfahrtunternehmen an die PNR-Zentralstellen der Mitgliedstaaten übermittelten Datensätze mit im Vo-raus festgelegten Kriterien (sog. Mustern) abgeglichen werden. In Art. 6 Abs. 4 Satz 2 und 4 PNR-Richtlinie ist bestimmt, dass die im Voraus festgelegten Kriterien zielgerichtet, verhältnismäßig und bestimmt sein müssen und Grundlage für diese Kriterien nicht die rassische oder ethnische Herkunft, die politischen Meinungen, die religiösen oder weltanschaulichen Überzeugungen, die Mitgliedschaft in einer Gewerkschaft, der Gesundheitszustand, das Sexualleben oder die sexuelle Orien-tierung einer Person sein dürfen. Die Erstellung der Muster ist gemäß Art. 6 Abs. 4 Satz 3 PNR-Richtlinie Aufgabe der jeweiligen PNR-Zentralstellen der Mitgliedstaa-ten. | Abs. 278 | |
| Die gesamte Ausgestaltung des Musterabgleiches bleibt also inhaltlich vollständig der Exekutive der einzelnen Mitgliedstaaten überlassen. Dies muss dazu führen, dass die Mitgliedstaaten der Union unterschiedliche Muster verwenden und Flug-gäste damit abhängig vom Reiseziel unterschiedlichen Mustern unterworfen wer-den, die zu völlig unterschiedlichen Ergebnissen führen können. | Abs. 279 | |
| Es ist fraglich, ob dies mit Art. 8 Abs. 2 und Art. 52 GRCh sowie Art. 16 Abs. 2 AEUV vereinbar ist. Gemäß Art. 8 Abs. 2 GRCh dürfen personenbezogene Daten nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verar-beitet werden. Nach Art. 52 Abs. 1 Satz 1 GRCh muss jede Einschränkung der Aus-übung der in der Grundrechtecharta anerkannten Rechte und Freiheiten gesetzlich vorgesehen sein. Gemäß Art. 16 Abs. 2 AEUV erlassen das Europäische Parlament und der Rat gemäß dem ordentlichen Gesetzgebungsverfahren Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstige Stellen der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwen-dungsbereich des Unionsrechts fallen. | Abs. 280 | |
| Es gilt somit zur Rechtfertigung von Eingriffen in die Unionsgrundrechte im Allge-meinen und in Art. 8 GRCh im Besonderen der Vorbehalt des Gesetzes. Um diesem Erfordernis zu genügen, ist nicht nur die Existenz irgendeiner gesetzlichen Rege-lung erforderlich, vielmehr muss diese auch hinreichend bestimmt sein (vgl. nur EuGH, Urteil vom 21. Dezember 2016, AGET Iraklis, C-201/15, ECLI:EU:C:2016:972, Rn. 99). Der Gesetzesunterworfene muss die Gesetzesfolgen vorhersehen können, wobei eine offene Regelung hinzunehmen ist, wenn eine genauere Regelung für den Regelungsgegenstand nicht möglich ist (EuGH, Urteil vom 20. Mai 2003, Öster-reichischer Rundfunk u.a., C-465/00, C-138/01 und C-139/01, ECLI:EU:C:2003:294, Rn. 77). | Abs. 281 | |
| Diese Vorgaben erfüllt Art. 6 Abs. 4 PNR-Richtlinie nicht. Bei Art. 6 Abs. 4 Satz 2 PNR-Richtlinie handelt es sich um unbestimmte Worthülsen, mit denen eine Kon-kretisierung der Kriterien vorgetäuscht wird, die in Wahrheit gar nicht existiert. Aus den Schlagworten der Zielgerichtetheit, Bestimmtheit und Verhältnismäßigkeit lässt sich nichts Greifbares für die Erstellung der Muster schlussfolgern. Es bleibt völlig ungeklärt, wie die zu entwickelnden „Algorithmen“ eine unzulässige Diskriminie-rung, wie sie auch Art. 13 Abs. 4 PNR-Richtlinie explizit untersagt, zuverlässig aus-schließen sollen. Art. 6 Abs. 4 Satz 3 PNR-Richtlinie überlässt die wesentliche und grundsätzlich bedeutsame Entscheidung, welche Daten für die Erstellung von Kri-terien bzw. Mustern für den automatisierten Abgleich verwendet werden sollen, vollständig den einzelnen Mitgliedstaaten. Dies ist indes nicht aufgrund des Rege-lungsgegenstandes zwingend notwendig. Es wäre dem Europäischen Gesetzgeber ohne weiteres möglich gewesen, bestimmte Daten bzw. Kriterien zu benennen, die bei der Mustererstellung zu verwenden oder nicht zu verwenden sein sollen. Inso-weit unterscheiden sich weder die in den einzelnen Mitgliedstaaten stattfindende Kriminalität bzw. der Terrorismus, noch die Kriterien, nach denen Verdächtige aus-findig gemacht werden können, von einem Mitgliedstaat zum anderen. Dies insbe-sondere, da die zu verarbeitenden PNR-Daten schon aufgrund der grenzüber-schreitenden Reise der betroffenen Personen zwingend einen gewissen innereu-ropäischen und internationalen Kontext haben. | Abs. 282 | |
| Als einzigen Kontrollmechanismus für die Verhältnismäßigkeit der von den Mit-gliedstaaten erdachten Muster sieht Art. 6 Abs. 7 in Verbindung mit Art. 5 PNR-Richtlinie vor, dass der Datenschutzbeauftragte der PNR-Zentralstelle Zugang zu ihnen erhält. Der Datenschutzbeauftragte wird jedoch gemäß Art. 5 Abs. 1 PNR-Richtlinie von der PNR-Zentralstelle selbst ernannt und ist in der Regel bei dieser beschäftigt, sodass seine Unabhängigkeit von vornherein nicht gewährleistet ist (zur Unabhängigkeit der Datenschutzaufsichtsbehörde siehe EuGH, Urteil vom 9. März 2010, Kommission/Deutschland, C-518/07, sowie Urteil vom 16. Oktober 2012, Kommission/Österreich, C-614/10, EU:C:2012:631). Insofern ist der Zugang des Da-tenschutzbeauftragten keine hinreichende Garantie für die Verhältnismäßigkeit der von den einzelnen Mitgliedstaaten bzw. ihren PNR-Zentralstellen verwendeten Muster. Hier ist nach der Auffassung des vorlegenden Gerichts eine Regelung in der PNR-Richtlinie selbst erforderlich und für den Regelungsgegenstand auch möglich. | Abs. 283 | |
| Zu Frage 2 g) Speicherdauer | Abs. 284 | |
| Gemäß Art. 12 Abs. 1 PNR-Richtlinie werden die durch die Luftfahrtunternehmen erhobenen und durch die PNR-Zentralstellen der Mitgliedstaaten verarbeiteten PNR-Daten für einen Zeitraum von fünf Jahren gespeichert. Nach dem Erwä-gungsgrund 25 der PNR-Richtlinie soll das Wesen der PNR-Daten und ihr Verar-beitungszweck es mit sich bringen, dass diese so lange gespeichert werden müs-sen, wie nötig. Warum dies der Fall sein soll und warum eine Speicherdauer von fünf Jahren notwendig sein soll, wird jedoch gerade nicht aufgeführt. | Abs. 285 | |
| Es ist nicht ersichtlich und begründet, warum solche langen Speicherungszeiten erforderlich sind. Nachdem die Fluggäste vor ihrer planmäßigen Einreise in einen Mitgliedstaat oder vor ihrem Abflug von einem Mitgliedstaat gemäß Art. 6 Abs. 4 Satz 1 PNR-Richtlinie überprüft wurden, ohne dass es hierbei zu Treffern oder an-deren Auffälligkeiten gekommen wäre, besteht keinerlei objektiver Anhaltspunkt dafür, dass sie in einem auch nur mittelbaren Zusammenhang mit terroristischen Straftaten oder schwerer Kriminalität stehen könnten. Somit fehlt es am hinreichen-den Zusammenhang zwischen der Speicherung der Datensätze und den mit der PNR-Richtlinie verfolgten Zielen. Nur im Falle von konkreten Anhaltspunkten für eine Gefährdung durch bestimmte Flugpassagiere erscheint eine dauerhafte Spei-cherung als angemessen (vgl. EuGH-Gutachten 1/15 vom 26. Juli 2017, E-CLI:EU:C:2017:592, Rn. 204 ff.). Die bloße theoretische Möglichkeit, dass die Da-ten irgendwann einmal sicherheitsrelevant werden könnten, dürfte hingegen nicht ausreichen, um den anlasslosen und tiefgreifenden Grundrechtseingriff der jahre-langen Speicherung personenbezogener Daten zu rechtfertigen. | Abs. 286 | |
| Die lange Speicherdauer ist auch nicht erforderlich und damit unverhältnismäßig, da die Ziele der Fluggastdatenspeicherung durch mildere Maßnahmen erreicht werden können. | Abs. 287 | |
| So ist die Speicherdauer allgemein zu verkürzen. Der Europäische Gerichtshof hat bereits im Zusammenhang mit der Vorratsdatenspeicherung – einer anderen Form der anlasslosen, massenhaften Speicherung personenbezogener Daten – festge-stellt, dass eine Richtlinie, die eine Speicherdauer von bis zu 24 Monaten vorsieht, den Eingriff nicht auf das absolut Notwendige beschränkt (EuGH, Urteil vom 8. April 2014, Digital Rights Ireland u.a., C-293/12 und C-594/12, ECLI:EU:2014:238, Rn. 63). Wenn schon 24 Monate im Falle der Vorratsdatenspeicherung zu lang sind, so sind dies erst Recht fünf Jahre, wie vorliegend. | Abs. 288 | |
| Soweit es überhaupt eine sachliche Begründung für eine längere Speicherdauer gäbe, könnte vorgesehen werden, dass in Fällen, in denen der automatisierte Ab-gleich keinen „Treffer“ produziert hat und eine individuelle Untersuchung insofern nicht stattfindet, eine Löschung oder zumindest eine umgehende Anonymisierung der PNR-Daten zu erfolgen hat. Eine solche Differenzierung sieht die PNR-Richtlinie jedoch nicht vor. Schon in seinem ersten Urteil zur Vorratsdatenspeiche-rung hat der der Europäische Gerichtshof jedoch die Wichtigkeit der Unterschei-dung zwischen verschiedenen Datenkategorien nach Maßgabe ihres etwaigen Nutzens für das verfolgte Ziel oder anhand der betroffenen Personen betont (EuGH, Urteil vom 8. April 2014, Digital Rights Ireland u.a., C-293/12 und C 594/12, EU:C:2014:238, Rn. 63). Ohne diese Differenzierung überschreitet die in der PNR-Richtlinie vorgesehene Speicherungsdauer von fünf Jahren die Grenze dessen, was als absolut notwendig zur Erreichung ihrer Ziele angesehen werden kann. Hie-ran ändert auch die sogenannte Depersonalisierung nichts. | Abs. 289 | |
| Zu Frage 2 h) Depersonalisierung | Abs. 290 | |
| Die sogenannte Depersonalisierung soll nach dem Erwägungsgrund 25 der PNR-Richtlinie ein hohes Datenschutzniveau gewährleisten. Dies erscheint äußerst zweifelhaft. Die in Art 12 Abs. 2 PNR-Richtlinie so bezeichnete „Depersonalisie-rung“ der Datensätze, welche nach sechs Monaten erfolgen soll, ändert an der Un-verhältnismäßigkeit der Speicherdauer nichts. | Abs. 291 | |
| Zunächst ist dabei festzustellen, dass die Bezeichnung als „Depersonalisierung“ systemfremd und irreführend ist. Es handelt sich schlicht um eine Pseudonymisie-rung der Daten im Sinne von Art. 3 Nr. 5 Richtlinie (EU) 2016/680 nebst Anlage I. Diese unterscheidet sich von einer Anonymisierung dadurch, dass anders als bei dieser, eine Zuordnung der Daten zu einer bestimmten Person nicht dauerhaft und endgültig unmöglich gemacht wird, sondern eine De-Depersonalisierung (vgl. Art. 12 Abs. 3 PNR-Richtlinie) möglich bleibt, also ein unmittelbarer Personenbezug ohne Probleme wieder hergestellt werden kann. Unklar ist daher, warum nicht der Begriff der Pseudonymisierung, wie er auch in der Richtlinie (EU) 2016/680 ver-wendet wird, genutzt wird. Eine Pseudonymisierung vermindert aber die Intensität des Grundrechtseingriffs aufgrund ihrer Umkehrbarkeit erheblich weniger als eine echte Anonymisierung. | Abs. 292 | |
| Zudem ist Art. 4 Abs. 1 lit. e) Richtlinie (EU) 2016/680 zu beachten. Nach dieser Vorschrift sollen personenbezogene Daten nicht länger, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Person ermöglicht. Im Falle der in Art. 12 Abs. 2 PNR-Richtlinie so bezeichneten Depersonalisierung bleibt eine Identifizierung der betroffenen Person während der gesamten fünfjährigen Speicherdauer möglich, wie auch Art. 12 Abs. 3 PNR-Richtlinie, der die (Wieder-)Offenlegung nach Ablauf von sechs Monaten regelt, belegt. Dass dies für die Zwecke der PNR-Richtlinie zwingend erforderlich wäre, ist aber nicht ersichtlich und vom Richtliniengeber auch nicht begründet worden. Wie bereits ausgeführt, besteht bei Betroffenen, de-ren Daten im Rahmen des automatisierten Abgleiches mit Datenbanken und Mus-tern völlig unauffällig geblieben sind, allenfalls eine rein theoretische Möglichkeit, dass ihre Daten einmal sicherheitsrelevant werden könnten. Eine solche theoreti-sche Möglichkeit ist jedoch nicht ausreichend, um eine jahrelange Speicherung der Daten in einer Art und Weise, die die Identifizierung der Betroffenen ermöglicht, zu rechtfertigen. | Abs. 293 | |
| Zu Frage 2 i) Benachrichtigung nach De-Depersonalisierung | Abs. 294 | |
| In der PNR-Richtlinie gibt es keine Regelung, die vorsehen würde, dass Betroffene darüber zu informieren wären, wenn ihre durch die PNR-Zentralstellen der Mitglied-staaten gespeicherten Daten gemäß Art. 12 Abs. 3 PNR-Richtlinie de-depersonalisiert werden. Geregelt ist lediglich, dass die De-Depersonalisierung durch eine „Justizbehörde“ oder eine andere nationale Behörde genehmigt werden muss (Art. 12 Abs. 3 lit. b) PNR-Richtlinie). | Abs. 295 | |
| Der Europäische Gerichtshof hat bereits in seinem Gutachten zum EU-Kanada-Abkommen ausgeführt, dass nach diesem geplanten Abkommen die Fluggäste zwar über die generelle Verarbeitung ihrer Daten im Rahmen von Sicherheits- und Grenzkontrollen über eine Webseite informiert werden sollten, dass sie jedoch durch diese allgemeine Information nicht erfahren konnten, ob ihre Daten über die-se Kontrollen hinaus von den zuständigen Behörden verwendet werden (EuGH-Gutachten 1/15 vom 26. Juli 2017, ECLI:EU:C:2017:592, Rn. 223). Weiter heißt es im Gutachten des Europäischen Gerichtshofes wörtlich: „In Fällen (…), in denen objektive Anhaltspunkte vorliegen, die eine solche Verwendung rechtfertigen und eine vorherige Genehmigung durch ein Gericht oder eine unabhängige Verwal-tungsstelle erforderlich machen, ist daher eine individuelle Information der Fluggäs-te erforderlich. Dasselbe gilt für Fälle, in denen die PNR-Daten an andere Behörden oder an Einzelpersonen weitergegeben werden“ (EuGH-Gutachten 1/15 vom 26. Juli 2017, ECLI:EU:C:2017:592, Rn. 223). | Abs. 296 | |
| Das Gericht hält diese Einschätzung des Europäischen Gerichtshofes auf die PNR-Richtlinie für übertragbar und ist deshalb der Auffassung, dass die Betroffenen in-dividuell über die De-Depersonalisierung ihrer Daten zu informieren sind. Sollte der Europäische Gerichtshof der Auffassung sein, dass eine umgehende Benachrich-tigung der Betroffenen über die De-Depersonalisierung den verfolgten Zweck der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität zu stark beeinträchtigen könnte, so wäre nach Ansicht des Gerichts eine Information der Betroffenen spätestens in dem Zeitpunkt notwen-dig, in dem eine Gefährdung des Zweckes der De-Depersonalisierung, beispiels-weise wegen des Abschlusses der Ermittlungsmaßnahmen, nicht mehr zu besor-gen ist. | Abs. 297 | |
| Auch hat der Betroffene nach Art. 47 GRCh ein Recht darauf, dass eine Überprü-fung vor einem unabhängigen, unparteiischen und zuvor durch Gesetz errichteten Gericht und nicht durch eine „Justizbehörde“ zu erfolgen hat. Vorliegend wird je-doch jeglicher Rechtsbehelf ausgeschlossen, der Rechtsweg verschlossen. | Abs. 298 | |
| Zu Frage 3 Übermittlung an Drittstaaten | Abs. 299 | |
| Gemäß Art. 11 Abs. 1 PNR-Richtlinie dürfen die PNR-Daten und die Ergebnisse der Verarbeitung dieser Daten grundsätzlich im Einzelfall an einen Drittstaat übermittelt werden, wenn die Bedingungen des Artikels 13 des Rahmenbeschlusses 2008/977/JI erfüllt sind, die Übermittlung für die Zwecke der PNR-Richtlinie erforder-lich ist, der Drittstaat sich bereit erklärt, die Daten nur dann an einen anderen Dritt-staat zu übermitteln, wenn dies für die Zwecke der PNR-Richtlinie unbedingt not-wendig ist und nur wenn der jeweilige Mitgliedstaat ausdrücklich zustimmt und die Bedingungen des Art. 9 Abs. 2 PNR-Richtlinie erfüllt sind. | Abs. 300 | |
| Art. 11 Abs. 2 PNR-Richtlinie enthält eine Ausnahme von diesem Erfordernis, indem er bestimmt, dass ungeachtet des Artikels 13 Abs. 2 des Rahmenbeschlusses 2008/977/JI (nunmehr Art. 38 Richtlinie (EU) 2016/680) Übermittlungen von PNR-Daten an Drittstaaten ohne vorherige Zustimmung des Mitgliedstaates, von dem die Daten eingeholt wurden, nur unter außergewöhnlichen Umständen zulässig sind, nämlich wenn die Übermittlung an den Drittstaat unerlässlich ist, um eine bestimmte und gegenwärtige Bedrohung durch terroristische Straftaten oder schwere Krimina-lität in einem Mitgliedstaat oder Drittstaat abzuwehren und die vorherige Zustim-mung nicht rechtzeitig eingeholt werden kann. | Abs. 301 | |
| Da durch die Weitergabe an Drittstaaten deren Behörden faktisch Zugang zu den PNR-Daten enthalten, müssen alle die Verwendung der Daten betreffenden Grundsätze, die die Verhältnismäßigkeit der damit verbundenen Grundrechtseingrif-fe und ein angemessenes Datenschutzniveau sicherstellen sollen, auch für die Drittstaaten gelten. Insofern hat der Europäische Gerichtshof in seinem Gutachten zum EU-Kanada-Abkommen klargestellt, dass eine Weitergabe personenbezogener Daten aus der Union in ein Drittland nur dann zulässig ist, wenn das Drittland ein Schutzniveau der Grundfreiheiten und Grundrechte gewährleistet, das dem in der Union garantierten Niveau der Sache nach gleichwertig ist. Damit soll verhindert werden, dass das im Abkommen vorgesehene Schutzniveau durch die Weitergabe personenbezogener Daten an Drittländer umgangen werden könnte, und gewähr-leistet werden, dass das vom Unionsrecht gewährte Schutzniveau fortbesteht (EuGH-Gutachten 1/15 vom 26. Juli 2017, ECLI:EU:C:2017:592, Rn. 214). Daraus hat der Europäische Gerichtshof gefolgert, dass die Weitergabe personenbezogener Daten an ein Drittland nur zulässig ist, wenn entweder ein Abkommen zwischen der Union und dem betreffenden Drittland besteht, das dem EU-Kanada-Abkommen äquivalent ist, oder wenn ein Beschluss der Kommission gemäß Art. 25 Abs. 6 der Richtlinie 95/46 (nunmehr Art. 45 Abs. 3 DS-GVO) existiert, mit dem festgestellt wird, dass das Drittland ein angemessenes Schutzniveau im Sinne des Unionsrechts gewährleistet, und dieser Beschluss sich auf die Behörden erstreckt, an die PNR-Daten weitergegeben werden sollen (EuGH-Gutachten 1/15 vom 26. Juli 2017, E-CLI:EU:C:2017:592, Rn. 214). | Abs. 302 | |
| Diese Voraussetzungen werden durch Art. 11 PNR-Richtlinie unterlaufen. Art. 11 Abs. 1 a) PNR-Richtlinie verweist auf Art. 13 des Rahmenbeschlusses 2008/977/JI. Dieser Rahmenbeschluss wurde mit der Richtlinie (EU) 2016/680 aufgehoben. Verweise auf den Rahmenbeschluss gelten nun als Verweise auf Richtlinie (EU) 2016/680 (auch Gefahrenabwehrrichtlinie genannt), vgl. Art. 59 Richtlinie (EU) 2016/680. Dem Art. 13 des alten Rahmenbeschlusses 2008/977/JI entsprechen im Wesentlichen Art. 35 bis 38 der Richtlinie (EU) 2016/680. | Abs. 303 | |
| Gemäß Art. 35 Abs. 1 lit. d) Richtlinie (EU) 2016/680 setzt die Datenübermittlung an einen Drittstaat voraus, dass die Kommission gemäß Art. 36 Richtlinie (EU) 2016/680 einen Angemessenheitsbeschluss gefasst hat oder, wenn ein solcher Beschluss nicht vorliegt, dass geeignete Garantien im Sinne des Art. 37 Richtlinie (EU) 2016/680 vorliegen oder, sollten auch solche nicht vorhanden sein, dass ein Ausnahmefall nach Art. 38 Richtlinie (EU) 2016/680 gegeben ist. Insofern stellt der Verweis des Art. 11 Abs. 1 a) PNR-Richtlinie auf Art. 13 des Rahmenbeschlusses 2008/977/JI und damit auf Art. 35 Richtlinie (EU) 2016/680 kein angemessenes Da-tenschutzniveau des Drittstaates sicher, indem er es durch den Verweis auch auf Art. 38 Richtlinie (EU) 2016/680 zulässt, PNR-Daten auch ohne Vorliegen eines Angemessenheitsbeschlusses oder geeigneter Garantien an Drittstaaten zu über-mitteln. Dies insbesondere, weil der Begriff des Ausnahmefalls im Sinne des Art. 38 Richtlinie (EU) 2016/680 sehr weit gefasst wird. Diese Vorschrift ermöglicht es näm-lich, PNR-Daten an Drittstaaten ohne angemessenes Datenschutzniveau zu über-mitteln, wenn dies im Einzelfall für die Zwecke des Art. 1 Absatz 1 Richtlinie (EU) 2016/680 (Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit) oder im Zusammenhang mit diesen Zwecken zur Gel-tendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist, vgl. Art. 38 Abs. 1 lit d) und e) Richtlinie (EU) 2016/680. | Abs. 304 | |
| Zu Frage 4 Essenswünsche im Freitextfeld | Abs. 305 | |
| Gemäß Art. 6 Abs. 4 Satz 4 PNR-Richtlinie dürfen für die Kriterien, mit denen die PNR-Daten durch die PNR-Zentralstellen der Mitgliedstaaten automatisiert abgegli-chen werden (sog. Muster), unter keinen Umständen die rassische oder ethnische Herkunft, die politischen Meinungen, die religiösen oder weltanschaulichen Über-zeugungen, die Mitgliedschaft in einer Gewerkschaft, der Gesundheitszustand, das Sexualleben oder die sexuelle Orientierung als Grundlage herangezogen werden. | Abs. 306 | |
| Dies entspricht zunächst dem Rechtsgedanken der Art. 10 Richtlinie (EU) 2016/680 und Art. 9 DS-GVO, die die Verarbeitung besonderer Kategorien personenbezoge-ner Daten regeln. Besondere Kategorien personenbezogener Daten sind nach die-sen Vorschriften insbesondere solche, aus denen die rassische und ethnische Herkunft, politischen Meinungen, religiösen oder weltanschaulichen Überzeugun-gen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische, biometri-sche Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheits-daten oder Daten zum Sexualleben oder der sexuellen Orientierung. Die Verarbei-tung dieser besonders sensiblen Daten ist grundsätzlich untersagt und nur unter sehr strengen Voraussetzungen möglich. Gemäß Art. 10 Richtlinie (EU) 2016/680 nämlich nur dann, wenn die Verarbeitung dieser Daten unbedingt erforderlich ist und vorbehaltlich geeigneter Garantien für die Rechte und Freiheiten der betroffe-nen Person erfolgt und sie (a) nach dem Unionsrecht oder dem Recht der Mitglied-staaten zulässig ist, (b) der Wahrung lebenswichtiger Interessen der betroffenen oder einer anderen natürlichen Person dient oder (c) sich auf Daten bezieht, die die betroffene Person offensichtlich öffentlich gemacht hat. | Abs. 307 | |
| Eine effektive Regelung, um diesen hohen Anforderungen gerecht zu werden, enthält die PNR-Richtlinie aber nicht. Denn Art. 6 Abs. 4 Satz 4 PNR-Richtlinie ent-hält lediglich eine Absichtserklärung, die insbesondere durch Anhang I Nr. 12 PNR-Richtlinie konterkariert wird. Denn über das dort verpflichtend in ausnahmslos je-dem einzelnen Fall an die PNR-Zentralstellen zu übermittelnde Freitextfeld „allge-meine Hinweise“ kann eine unüberschaubare Vielzahl von Informationen an die PNR-Zentralstellen übermittelt und von diesen genutzt werden, insbesondere auch besonders sensible Daten. So könnte über dieses Freitextfeld beispielsweise über-mittelt werden könnte, dass ein Fluggast koscheres Essen oder halal-Speisen ge-wünscht hat. Aus dieser Information kann jedoch ein Rückschluss auf die religiö-sen Überzeugungen der betroffenen Person gezogen werden, sodass es sich um ein besonders sensibles Datum im vorgenannten Sinne handelt. | Abs. 308 | |
| Es ist für das vorlegende Gericht nicht ersichtlich, dass die Übermittlung auch besonderer Kategorien von personenbezogenen Daten im Rahmen der Fluggastda-tenverarbeitung unbedingt erforderlich wäre. Nach Anhang I der PNR-Richtlinie ist bereits eine sehr große Anzahl konkret benannter personenbezogener Daten an die PNR-Zentralstellen der Mitgliedstaaten zu übermitteln. Über ein praktisch uferloses Freitextfeld alle möglichen weiteren Informationen übermitteln zu können, dürfte die Grenze des absolut Notwendigen überschreiten. | Abs. 309 | |
| Zu Frage 5 Information durch die Luftfahrtunternehmen | Abs. 310 | |
| Gemäß Art. 13 Abs. 3 der PNR-Richtlinie berührt diese nicht die Anwendbarkeit der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates auf die Verarbei-tung personenbezogener Daten durch Fluggesellschaften, insbesondere deren Pflichten, geeignete technische und organisatorische Maßnahmen zum Schutz der Sicherheit und Vertraulichkeit der personenbezogenen Daten zu treffen. Auch Art. 21 Abs. 2 PNR-Richtlinie stellt nochmals klar, dass die Anwendbarkeit der Richtlinie 95/46/EG auf die Verarbeitung personenbezogener Daten durch Fluggesellschaf-ten nicht berühren werden soll. | Abs. 311 | |
| Die Richtlinie 95/46/EG ist durch die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DS-GVO) ersetzt worden (siehe Art. 94 Abs. 2 DS-GVO, wonach Verweise auf die Richtlinie 95/46/EG als Verweise auf die DS-GVO gelten). | Abs. 312 | |
| Gemäß Art. 13 DS-GVO sind den betroffenen Personen im Falle der Erhebung personenbezogener Daten die dort aufgeführten Informationen zu erteilen. Gemäß Art. 4 Nr. 1 DS-GVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftli-chen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Die Erhe-bung der PNR-Daten der Fluggäste und Drittbetroffenen durch die Luftfahrtunter-nehmen stellt eine Erhebung personenbezogener Daten in diesem Sinne dar, so-dass Art. 13 DS-GVO vorliegend für die Luftfahrtunternehmen Anwendung findet. | Abs. 313 | |
| Aufgrund der bereits dargelegten Schwere der mit der PNR-Datenverarbeitung verbundenen Grundrechtseingriffe sind hinsichtlich der Informationspflichten nach Auffassung des vorlegenden Gerichts strenge Maßstäbe anzulegen. Dies auch vor dem Hintergrund, dass eine nur unzureichende Information der Fluggäste unter Verstoß gegen Art. 13 DS-GVO zu einer Intensivierung der Grundrechtseingriffe durch die PNR-Zentralstellen der Mitgliedstaaten führen dürfte, da deren Maßnahmen noch schwerer wiegen würden, wenn die Betroffenen von den Befugnissen der PNR-Zentralstellen keine Kenntnis hätten. | Abs. 314 | |
| Nach diesseitiger Auffassung obliegt es den Luftfahrtunternehmen, die Betroffenen nach Art. 13 und Art. 14 DS-GVO zu informieren, weil andernfalls eine Lücke vorläge, die mit Art. 7 und Art. 8 GRCh unvereinbar wäre. Daher dürfte es erforderlich sein, dass die Luftfahrtunternehmen die Fluggäste explizit über sämtliche durch sie erhobene PNR-Daten, die intendierte Weitergabe an die PNR-Zentralstellen der Mitgliedstaaten und die dortige Weiterverarbeitung der Datensätze inklusive der fünfjährigen Speicherdauer und über ihre konkreten Betroffenenrechte informieren. Denn ohne diese Informationen werden die betroffenen Fluggäste kaum in der Lage sein, ihre genannten Betroffenenrechte auszuüben. Dazu zählen auch die jeweiligen Flughafenmitarbeiter und Mitarbeiter der Reisebüros. | Abs. 315 | |
| Regelungen dazu enthält die PNR-Richtlinie nicht. Sie enthält nur Regelungen zu Betroffenenrechten hinsichtlich der PNR-Daten bei den PNR-Zentralstellen. | Abs. 316 | |
| Der Europäische Gerichtshof hat bereits in seinem Gutachten zum EU-Kanada-Abkommen ausgeführt, dass es zur Gewährleistung dieser Rechte erforderlich ist, dass den Fluggästen die Weitergabe ihrer PNR-Daten an Kanada und die Verwendung der Daten mitgeteilt werden, sobald dies die Ermittlungen der im geplanten Abkommen genannten Behörden nicht mehr beeinträchtigen kann. Diese Mitteilung ist nämlich der Sache nach erforderlich, damit die Fluggäste ihr Recht auf Auskunft über die sie betreffenden PNR-Daten und gegebenenfalls auf Berichtigung der Daten sowie ihr Recht, gemäß Art. 47 Abs. 1 der Charta bei einem Gericht einen wirksamen Rechtsbehelf einzulegen, ausüben können (EuGH-Gutachten 1/15 vom 26. Juli 2017, ECLI:EU:C:2017:592, Rn. 220). | Abs. 317 | |
| Als Beispiel für die unzureichende Information der Fluggäste durch die Luftfahrtunternehmen seien hier die Hinweise der vom Kläger genutzten Fluglinie benannt. Die von der Lufthansa AG auf ihrer Internetseite (https://www.lufthansa.com/xx/de/informationen-zum-datenschutz, zuletzt abgeru-fen am 11. Mai 2020) aufgeführten Informationen sind die folgenden: | Abs. 318 | |
| „Wer ist der Verantwortliche? | Abs. 319 | |
| Die Deutsche Lufthansa (…) informiert Sie im Folgenden über die Verarbeitung Ihrer personenbezogenen Daten im Rahmen unserer Angebote. Direkten Zu-gang zu diesen Angeboten erhalten Sie über lufthansa.com („Webseite“) und über die Lufthansa App. | Abs. 320 | |
| Wenn wir im Folgenden von den Lufthansa Group Airlines sprechen, sind damit die Fluggesellschaften Lufthansa, SWISS International Airlines AG, Austrian Airlines AG und Eurowings GmbH gemeint. Die Lufthansa Group umfasst die Lufthansa Group Airlines sowie die sonstigen Gesellschaften des Lufthansa Konzerns. | Abs. 321 | |
| An wen kann ich mich wenden? | Abs. 322 | |
| Sollten Sie darüber hinaus Fragen zum Datenschutz im Zusammenhang mit unserer Webseite oder den darauf angebotenen Services haben, kontaktieren Sie unseren Datenschutzbeauftragten: | Abs. 323 | |
| Konzerndatenschutzbeauftragte (…) | Abs. 324 | |
| Ein Auskunftsersuchen richten Sie bitte an: | Abs. 325 | |
| Deutsche Lufthansa AG | Abs. 326 | |
| Datenauskunft | Abs. 327 | |
| (…) | Abs. 328 | |
| Aufgrund welcher weiteren Verpflichtungen verarbeiten wir Ihre Daten? | Abs. 329 | |
| Wir verarbeiten Fluggastdaten aufgrund gesetzlicher Verpflichtungen nach Art. 6 Abs. 1 S. 1 lit. c) DSGVO: | Abs. 330 | |
| Sofern wir dazu gesetzlich verpflichtet sind, verarbeiten wir personenbezogene Daten, um handels- oder steuerrechtlichen Aufbewahrungspflichten nachzukommen oder um sicherheitsrechtliche Anforderungen zu erfüllen (bspw. § 7 LuftSiG). Weitere Informationen zu Aufbewahrungsfristen finden Sie unter „Dau-er der Datenverarbeitung“. | Abs. 331 | |
| Übermittlungen an Einreisebehörden: | Abs. 332 | |
| • Aufgrund des Fluggastdatenabkommens zwischen EU und USA bzw. Kanada | Abs. 333 | |
| • Aufgrund des Fluggastdatengesetzes in Deutschland | Abs. 334 | |
| • API* (Advance Passenger Information) Datenübermittlung sofern wir zur Mitwirkung bei Kontrolltätigkeiten im internationalen Reiseverkehr verpflichtet sind | Abs. 335 | |
| *Die Daten der maschinenlesbaren Zone des Passes oder Personalausweises | Abs. 336 | |
| Weitere Informationen erhalten Sie bei den zuständigen Behörden. | Abs. 337 | |
| (…) | Abs. 338 | |
| Wer bekommt Ihre Daten? | Abs. 339 | |
| Im Kontext der vorstehenden Datenverarbeitungen und der genannten jeweili-gen Rechtsgrundlage (Vertragsdurchführung, im berechtigten Interesse, mit Einwilligung oder aufgrund gesetzlicher Verarbeitungspflichten) können Ihre Da-ten an folgende Kategorien von Empfängern weitergegeben werden: | Abs. 340 | |
| (…) | Abs. 341 | |
| staatliche Stellen und Behörden, z.B. aufgrund von Einreisebestimmungen oder von Polizei- und Ermittlungstätigkeiten. | Abs. 342 | |
| Dabei kann es vorkommen, dass personenbezogene Daten in Drittländer oder an internationale Organisationen übermittelt werden. Zu Ihrem Schutz und dem Schutz Ihrer personenbezogenen Daten sind bei derartigen Datenübermittlungen gemäß und im Einklang mit den gesetzlichen Voraussetzungen geeignete Garantien vorgesehen. | Abs. 343 | |
| Soweit diese Übermittlungen nicht auf einer gesetzlichen Grundlage beruhen oder in ein Land erfolgen für das kein durch die EU Kommission erlassener Angemessenheitsbeschluss vorliegt, verwenden wir die EU-Standardvertragsklauseln. | Abs. 344 | |
| Welche Datenschutzrechte haben Sie? | Abs. 345 | |
| Für Lufthansa ist es ein wichtiges Anliegen, unsere Verarbeitungsprozesse fair und transparent zu gestalten. Daher ist es uns wichtig, dass betroffene Personen neben dem Widerspruchsrecht bei Vorliegen der jeweiligen gesetzlichen Voraussetzung folgende Rechte ausüben können: | Abs. 346 | |
| Recht auf Auskunft, Art. 15 DSGVO | Abs. 347 | |
| Recht auf Berichtigung, Art. 16 DSGVO | Abs. 348 | |
| Recht auf Löschung („Recht auf Vergessenwerden“), Art. 17 DSGVO | Abs. 349 | |
| Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO | Abs. 350 | |
| Recht auf Datenübertragbarkeit, Art. 20 DSGVO | Abs. 351 | |
| Recht auf Widerspruch, Art. 21 DSGVO | Abs. 352 | |
| Um Ihre Recht auszuüben, können Sie sich per E-Mail an datenauskunft@dlh.de wenden. | Abs. 353 | |
| Zur Identifizierung bitten wir Sie um folgende Angaben: | Abs. 354 | |
| Name | Abs. 355 | |
| Postanschrift | Abs. 356 | |
| E-Mail-Adresse sowie optional: Kundenummer oder Buchungscode oder Ti-cketnummer | Abs. 357 | |
| Sollten Sie uns eine Kopie Ihres Ausweises zusenden, so bitten wir alle Anga-ben bis auf Name, Vorname, Adresse zu schwärzen. | Abs. 358 | |
| Um Ihren Antrag bearbeiten zu können, sowie zu Identifizierungszwecken, wei-sen wir darauf hin, dass wir Ihre personenbezogenen Daten gemäß Art. 6 Abs. 1 lit. c DSGVO verarbeiten werden. | Abs. 359 | |
| Darüber hinaus haben Sie nach Art. 77 DSGVO i.V.m. § 19 BDSG das Recht auf Beschwerde bei einer Aufsichtsbehörde. Die für Lufthansa zuständige Auf-sichtsbehörde ist: | Abs. 360 | |
| (…).“ | Abs. 361 | |
| Diese Informationen dürften nach dem oben Gesagten unzureichend und irrefüh-rend sein. So ist insbesondere der Hinweis, dass bei den API-Daten nur der ma-schinenlesbare Teil des Passes oder Personalausweises betroffen sei, offensicht-lich unvollständig. Denn nach Anhang I Nr. 18 PNR-Richtlinie sind, die API-Daten, soweit sie erhoben werden, einschließlich u. a. der Fluggesellschaft, der Flugnum-mer sowie Tagen, Uhrzeiten und Orten von Ankunft und Abflug zu übermitteln, also keineswegs nur die maschinenlesbaren Teile von Ausweispapieren. Im Übrigen wird an keiner Stelle auf die PNR-Richtlinie, sondern ausschließlich auf das Flug-astdatengesetz hingewiesen. Zudem fehlt jeglicher Hinweis auf den Inhalt der PNR-Richtlinie oder des FlugDaG. Für die Betroffenen ist so im Vorhinein einer Flugbuchung nicht transparent, welche Behörde die PNR-Zentralstelle des jeweili-gen Mitgliedstaates ist und wie man sich an diese wenden kann, wie genau die PNR-Daten dort verarbeitet werden oder wie lange ihre Daten durch diese gespei-chert werden dürfen. Insofern erscheint die durch die Lufthansa AG stattfindende Information der Fluggäste nicht die Anforderungen des Art. 13 DS-GVO zu erfüllen, von den anderen Personen, die ebenfalls gemeldet werden soll, ganz zu schwei-gen. | Abs. 362 | |
| Hier hätte es einer klarstellenden Regelung im Verhältnis zwischen DS-GVO und PNR-Richtlinie bezüglich der jeweiligen Pflichten der Luftverkehrsgesellschaft be-durft, so dass Nebelkerzen vermieden worden wären. | Abs. 363 | |
| IV. | Abs. 364 | |
| Nach alledem ist eine Vorlage an den Europäischen Gerichtshof geboten. | Abs. 365 | |
| Das Ergebnis des Rechtsstreits hängt von den Vorlagefragen ab. Denn sollte die PNR-Richtlinie gegen europäisches Primärrecht verstoßen, wäre sie unanwendbar. Verstößt die PNR-Richtlinie gegen Unionsrecht, dann erweist sich auch die Umset-zung in nationales Recht durch das FlugDaG als rechtswidrig. Dieses Gesetz könn-te die mit der PNR-Daten-Verarbeitung verbundenen Grundrechtseingriffe dann nicht rechtfertigen, sodass das vorlegende Gericht von seiner Kompetenz Gebrauch machen würde, das FlugDaG wegen Verstoßes gegen (vorrangiges) europäisches Recht unangewendet zu lassen. | Abs. 366 | |
| Eine gesonderte weitere Vorlage in dem Verfahren 6 K 806/19.WI des Verwaltungs-gerichts Wiesbaden wird primär Fragen aufwerfen, die sich durch die Öffnungs-klausel in Art. 2 PNR-Richtlinie ergeben. | Abs. 367 | |
| V. | Abs. 368 | |
| Der Beschluss ist unanfechtbar. | Abs. 369 | |
| (online seit: 26.05.2020) | ||
| Zitiervorschlag: Gericht, Datum, Aktenzeichen, JurPC Web-Dok, Abs. |
| Zitiervorschlag: Wiesbaden, VG, Rechtswidrigkeit der Fluggastdatenverarbeitung - JurPC-Web-Dok. 0082/2020 |
