Help Print this page 
Title and reference
Mitteilung der Kommission an den Rat und das Parlament - Übermittlung von Fluggastdatensätzen (PNR): Ein sektorübergreifendes EU-Konzept

/* KOM/2003/0826 endg. */
Languages and formats available
Multilingual display
Text

52003DC0826

Mitteilung der Kommission an den Rat und das Parlament - Übermittlung von Fluggastdatensätzen (PNR): Ein sektorübergreifendes EU-Konzept /* KOM/2003/0826 endg. */


MITTEILUNG DER KOMMISSION AN DEN RAT UND DAS PARLAMENT - Übermittlung von Fluggastdatensätzen (PNR): Ein sektorübergreifendes EU-Konzept

Inhalt

1. Einführung und Hintergrund

2. Hauptbestandteile des sektorübergreifenden EU-Konzeptes

3. Bestandteile des sektorübergreifenden EU-Konzeptes im Einzelnen

3.1. Ergebnis der Gespräche zwischen der EU und den USA über die Übermittlung von PNR-Daten

3.2. Information für Fluggäste

3.3. Entwicklung eines "Push"-Systems mit Filtern

3.4. Die Entwicklung einer EU-Position zur Verwendung von PNR-Daten

3.5. Die Schaffung eines multilateralen Rahmens für die Übermittlung von PNR-Daten innerhalb der Internationalen Zivilluftfahrtorganisation (ICAO)

4. Durchsetzung der Verordnung Nr. 2299/89 durch die Kommission

5. Schlussfolgerungen

1. Einführung und Hintergrund

Nach den Terroranschlägen vom 11. September 2001 haben die Vereinigten Staaten im November 2001 die Vorschrift erlassen, dass Fluggesellschaften, die Flüge nach, von oder durch die USA durchführen, dem amerikanischen Zoll elektronischen Zugang zu Fluggastdatensätzen (PNR) in ihren Buchungs- und Abfertigungssystemen gewähren. Unter Anerkennung der legitimen Sicherheitsinteressen hat die Kommission der US-Regierung bereits im Juni 2002 mitgeteilt, dass diese Verpflichtung mit den Datenschutzbestimmungen [1] der Gemeinschaft und der Mitgliedstaaten sowie einigen Bestimmungen der Verordnung über computergestützte Buchungssysteme (CRS) [2] im Widerspruch stehen könnte. Die US-Regierung hat das Inkrafttreten der neuen Vorschriften verschoben, es letztendlich jedoch abgelehnt, die Verhängung von Strafen gegen Fluggesellschaften, die sich nicht an diese Vorschriften halten, über den 5. März 2003 hinaus auszusetzen. Mehrere große Fluggesellschaften in der EU haben seitdem Zugang zu ihren Fluggastdatensätzen gewährt.

[1] Siehe insbesondere Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. L 281 vom 23.11.1995, S. 31.

[2] Verordnung (EWG) Nr. 2299/89 des Rates vom 24. Juli 1989 über einen Verhaltenskodex im Zusammenhang mit computergesteuerten Buchungssystemen, ABl. L 220 vom 29.7.1989, S. 1, zuletzt geändert durch Verordnung (EG) Nr. 323/1999 des Rates vom 8. Februar 1999, ABl. L 40 vom 13.2.1999, S. 1.

Am 18. Februar 2003 haben Kommission und US-Regierung eine gemeinsame Stellungnahme herausgegeben, in der an unser gemeinsames Interesse bei der Bekämpfung des Terrorismus erinnert wird, die ursprünglichen Zusagen der US-Zollbehörden über den Datenschutz dargelegt werden und Verpflichtung der Parteien festgehalten wird, die Gespräche mit dem Ziel fortzusetzen, es der Kommission zu ermöglichen, eine Entscheidung gemäß Artikel 25 Absatz 6 der Datenschutzrichtlinie 95/46/EG zu erlassen, in der der Schutz der zu übermittelnden Daten als angemessen anerkannt wird. Die Gespräche zielten somit darauf ab, die Art und Weise, wie die Vereinigten Staaten die PNR-Daten nutzen und schützen, näher an die EU-Standards heranzuführen.

Mittlerweile verlangen andere Drittländer wie Kanada und Australien den Zugang zu PNR-Daten oder erwägen dies. Einige Mitgliedstaaten prüfen ebenfalls die Möglichkeit der Verwendung von PNR-Daten zum Zwecke der Flugsicherheit und des Grenzschutzes.

In zwei Entschließungen vom 13. März 2003 [3] und vom 9. Oktober 2003 [4] hat das Europäische Parlament die Kommission gebeten, eine Reihe von Maßnahmen im Hinblick auf die Übermittlung von PNR-Daten an die USA zu ergreifen, um zu gewährleisten, dass die europäischen Bedenken hinsichtlich des Datenschutzes berücksichtigt werden.

[3] P5_TA(2003)0097

[4] P5_TA(2003)0429

Die Kommission ist wie das Europäische Parlament der Meinung, dass eine Lösung der Probleme, die durch den Wunsch von Drittländern und insbesondere den USA nach Zugang zu PNR-Daten entstehen, dringend notwendig ist. Sie muss rechtlich fundiert sein. Sie muss den Schutz personenbezogener Daten und der Privatsphäre der Bürger, aber auch ihre körperliche Sicherheit gewährleisten. Sie muss einhergehen mit der Notwendigkeit der Bekämpfung von Terrorismus und internationaler Kriminalität. Sie muss die Rechtsunsicherheit für die europäischen und nicht-europäischen Fluggesellschaften beenden. Und sie muss rechtmäßige Reisen erleichtern. Aber das EU-Konzept kann nicht auf eine Reaktion auf die Initiativen anderer beschränkt sein.

Eine Reihe von Mitgliedstaaten hat auch ihr Interesse an effizienten Maßnahmen zur Verbesserung der Flugsicherheit und des Grenzschutzes bekundet. Und ein EU-Konzept sollte die Grundlage für eine Initiative zur Entwicklung einer multilateralen Lösung bilden, die die einzig gangbare Möglichkeit zur Behandlung von Problemen im Bereich des internationalen Luftverkehrs ist.

Diese Mitteilung erläutert die Bestandteile des sektorübergreifenden EU-Konzeptes, das die Kommission für notwendig erachtet.

2. Hauptbestandteile des sektorübergreifenden EU-Konzeptes

Ein umfassendes und ausgewogenes Vorgehen im Hinblick auf die vollständige Palette der Themen, die insbesondere durch die US-Vorschriften zur Übermittlung von Fluggastdatensätzen, aber auch im Zusammenhang mit den obengenannten größeren Notwendigkeiten aufgeworfen werden, muss alle folgenden Überlegungen angemessen berücksichtigen:

- die Bekämpfung von Terrorismus und internationaler Kriminalität,

- das Recht auf Privatsphäre und den Schutz der bürgerlichen Grundrechte,

- die Notwendigkeit, dass die Fluggesellschaften in der Lage sein müssen, die verschiedenen Rechtsvorschriften zu annehmbaren Kosten einzuhalten,

- die generellen Beziehungen zwischen der EU und den USA,

- die Sicherheit und den Komfort von Fluggästen,

- Interessen des Grenzschutzes,

- der eindeutig internationale und sogar weltweite Umfang dieser Themen.

Einseitige Maßnahmen oder ein Vorgehen, das nicht alle diese Elemente berücksichtigt, ist unausgewogen und nicht tragfähig. Gleichzeitig darf die Suche nach einer wirklich umfassenden Lösung die Suche nach einer rechtlichen Lösung für das Problem der gegenwärtigen Übermittlung von PNR an die USA nicht verzögern oder behindern - nicht zu vergessen der zunehmende Druck auf die EU-Fluggesellschaften, die den USA noch keinen Zugang zu ihren PNR gewähren.

Das sektorübergreifende Konzept der Kommission weist somit die folgenden Hauptbestandteile auf:

a. Einen Rechtsrahmen für bestehende PNR-Übermittlungen an die USA. Dieser erhält die Form einer Entscheidung der Kommission gemäß Artikel 25 Absatz 6 der Datenschutzrichtlinie 95/46/EG, zusammen mit einem "einfachen" internationalen bilateralen Abkommen.

b. Eine vollständige, genaue und rechtzeitige Unterrichtung der Passagiere. Eine gemeinsame Bemühung der Kommission, der Fluggesellschaften, der Reiseunternehmen, CRS sowie der Datenschutzbehörden und möglicherweise der Behörden der betreffenden Drittländer wurde bereits in Angriff genommen, um zu gewährleisten, dass die Fluggäste vor dem Kauf ihrer Tickets vollständig und genau über die Verwendung ihrer PNR-Daten informiert werden und der Weitergabe dieser Daten zustimmen.

c. Ersatz der "Pull"-Übermittlungsmethode (direkter Zugang der US-Behörden zu den Datenbanken der Fluggesellschaften) durch eine "Push"-Übermittlungsmethode, einhergehend mit angemessenen Filtern. Die technischen Diskussionen der Kommission mit der Industrie sind gut vorangekommen. Die Kommission wird die zügige Bereitstellung eines "Push"-systems im Rahmen einer entsprechenden EU-Politik empfehlen..

d. Die Entwicklung einer EU-Position zur Verwendung von Passagierdaten, einschließlich PNR-Daten, zum Zwecke der Flugsicherheit und des Grenzschutzes.

e. Die Schaffung eines multilateralen Rahmens für die Übermittlung von PNR-Daten innerhalb der Internationalen Zivilluftfahrtorganisation (ICAO).

3. Bestandteile des sektorübergreifenden EU-Konzeptes im Einzelnen

3.1. Ergebnis der Gespräche zwischen der EU und den USA über die Übermittlung von PNR-Daten

In der gemeinsamen Stellungnahme vom Februar 2003 verpflichteten sich die Kommission und die USA, sich um eine Lösung für die Übermittlung von PNR-Daten zu bemühen, die die Rechtsvorschriften beider Seiten respektiert. Die gemeinsame Erklärung sah vor, dass die Suche nach einer Lösung sich darauf konzentrieren sollte, von den USA Informationen und verbesserte Zusagen zu erhalten, die es der Kommission ermöglichen würden, ein "angemessenes Schutzniveau" gemäß Artikel 25 Absatz 6 der Datenschutzrichtlinie festzustellen.

In diesen Gesprächen bestand das Hauptziel der Kommission darin, die bestmöglichen Standards für den Schutz personenbezogener Daten, die von der EU übermittelt werden, zu erreichen, und sie in einen geeigneten Rechtsrahmen einzugliedern. Gleichzeitig bemühte sie sich, die anderen bereits erwähnten politischen Ziele nicht aus dem Auge zu verlieren (Zusammenarbeit mit den USA bei der Bekämpfung von Terrorismus und damit verbundenen Verbrechen, Erleichterung des rechtmäßigen Reisens und Gewährleistung fairer und realistischer Betriebsbedingungen für Fluggesellschaften in der EU). Sie hat sich ebenfalls bemüht, der Entwicklung einer EU-Politik im Zusammenhang mit der Verwendung internationaler Passagierdaten im Interesse der EU-Luftverkehrs- und Grenzsicherheit nicht vorzugreifen, weil die Mitgliedstaaten Ausnahmeregelungen von bestimmten Datenschutzforderungen beschließen könnten, falls dies für die nationale Sicherheit oder aus Gründen der Strafverfolgung gemäß Artikel 13 der Datenschutzrichtlinie notwendig ist.

Die Kommission hatte die betreffenden US-Behörden aufgefordert, die Durchsetzung ihrer Forderungen auszusetzen, bis ein sicherer Rechtsrahmen für derartige Übermittlungen geschaffen ist. Angesichts der Weigerung der USA wäre die Option, auf einer Durchsetzung des Rechts auf EU-Seite zu bestehen, politisch gerechtfertigt gewesen, jedoch hätte es nicht den oben genannten Zielen gedient. Hierdurch wäre der Einfluss gemäßigterer und kooperativerer Kreise in Washington untergraben worden, und es wäre zu einer Machtprobe um den wirklichen Einfluss, den wir als kooperative Partner haben, gekommen. Dieses Vorgehen war erfolgreich. Seit Beginn der kooperativen Phase in diesen Diskussionen (gekennzeichnet durch die gemeinsame Stellungnahme vom 18. Februar 2003) wurden erhebliche Fortschritte im Hinblick auf das Erreichen der obengenannten Zielen gemacht.

Insbesondere hat die Kommission mit der US-amerikanischen Zoll- und Grenzschutzbehörde (CBP) erheblich verbesserte Datenschutzvereinbarungen bezüglich der an die USA übermittelten PNR-Daten ausgehandelt. Diese Vereinbarungen bilden die Grundlage für einen Rechtsrahmen in Form einer Entscheidung der Kommission gemäß Artikel 25 Absatz 6 der Datenschutzrichtlinie 95/46/EG, zusammen mit einem internationalen bilateralen Abkommen, das die Fluggesellschaften bevollmächtigt, die US-Forderungen als Rechtsvorschriften in der EU [5] zu behandeln und die USA zu verpflichten, Gegenseitigkeit zu gewährleisten und ein "ordnungsgemäßes Verfahren" für EU-Bürger zu garantieren.

[5] Neben der unter Artikel 25 der Richtlinie gestellten Frage des "angemessenen Schutzniveaus" sind noch rechtliche Fragen unter Artikel 4, 6 und 7 der Richtlinie zu behandeln. Eine Entscheidung über die Angemessenheit des Schutzniveaus beschränkt sich nämlich ausschließlich auf dieses Problem Das vorzuschlagende internationale Abkommen ist daher notwendig, um die anderen Rechtspunkte zu lösen.

Seit Beginn der Gespräche im März 2003 ist es der Kommission gelungen, von den USA die folgenden Zusagen zu erhalten:

- Deutliche Begrenzung der zu übermittelnden Datenmenge. Hierbei handelt es sich um Daten, die nur Flüge in, aus oder durch die USA betreffen. Die Forderung der USA umfasst nicht mehr alle PNR-Daten, sondern beschränkt sich auf eine geschlossene Liste von 34 Datenelementen. In der Praxis enthalten normalerweise die meisten einzelnen PNR-Sätze nicht mehr als 10 bis 15 Elemente, und die USA haben sich verpflichtet, von den Fluggesellschaften keine Datenerhebung zu verlangen, wenn einige dieser 34 Felder nicht ausgefuellt sind.

- Alle Kategorien sensibler Daten gemäß Artikel 8 Absatz 1 der Datenschutzrichtlinie [6] werden gelöscht. Die Kommission hat von den USA die notwendigen Garantien erhalten, dass alle persönlichen Angaben über Rassen- oder ethnische Zugehörigkeit (z.B. Essgewohnheiten), Gesundheit usw. herausgefiltert und gelöscht werden.

[6] Artikel 8 der Richtlinie sieht einen erhobenen Schutz für besondere Kategorien personenbezogener Daten vor. Als solche werden im Artikel 8 Absatz 1 personenbezogene Daten definiert "aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie [...] Daten über Gesundheit oder Sexualleben.

- Wofür die Daten verwendet werden dürfen, wurde genauer und bedeutend enger gefasst. Die ständige Forderung der Kommission (und des europäischen Parlaments) danach, dass sich der Zweck der Datenverwendung auf Bekämpfung von Terrorismus und auf Verbrechen begrenzt, die mit dem Terrorismus verbunden sind oder verbunden sein könnten - und somit "innerstaatliche Verbrechen" ausschließt - wurde schließlich befriedigt.

- Eine wesentliche Verbesserung wurde erzielt im Hinblick auf die Dauer der Datenspeicherung. Die USA haben zugestimmt, die vorgeschlagene Dauer der Datenspeicherung von ursprünglich 50 Jahren auf einen Zeitraum von dreieinhalb Jahren zu kürzen. Dies hängt zusammen mit dem Ablauf der gesamten Vereinbarung nach dreieinhalb Jahren. Die Dauer der Datenspeicherung ist somit mit der Laufzeit der Vereinbarung verknüpft.

- Der Kongress hat die Einrichtung eines obersten Datenschutzbeauftragten (Chief Privacy Officer - CPO) im Department of Homeland Security (DHS) verlangt, der dem Kongress jährlich Bericht zu erstatten hat, und dessen Ergebnisse für die Behörde verbindlich sind. Der CPO hat sich bereiterklärt, Beschwerden von Datenschutzbehörden in der EU im Namen von Bürgern, die der Auffassung sind, dass ihre Beschwerden vom DHS nicht zufriedenstellend beantwortet wurden, entgegenzunehmen und beschleunigt zu behandeln. EU-Bürger erhalten somit eine noch größere Garantie für eine faire Behandlung.

- Die Zoll- und Grenzschutzbehörde (CBP) hat sich bereiterklärt, sich mit einem EU-Team unter Führung der Kommission an einer jährlichen gemeinsamen Überprüfung der Umsetzung dieser Verpflichtungen durch die USA zu beteiligen. Hierdurch erhalten wir einen wertvollen Einblick in die tatsächliche Praxis in den USA und eine Möglichkeit zu überprüfen, inwieweit die USA ihre Verpflichtungen einhalten. Diese Überprüfung könnte auch die Plattform für eine künftige engere Zusammenarbeit mit den USA in dieser Angelegenheit sein.

Das Department of Homeland Security wollte, dass das CAPPS II-System (Computer Assisted Passenger Pre-Screening System) der Transportation Security Administration in den vereinbarten Rechtsrahmen aufgenommen wird. Die Kommission hat diesem Druck erfolgreich widerstanden, weil sie nur eine Stellung beziehen kann, sobald die internen US-Verfahren abgeschlossen sind, und sobald klar ist, dass die Bedenken des Kongresses bezüglich der Privatsphäre im Hinblick auf CAPPS II berücksichtigt wurden. CAPPS II wird daher erst in einer zweiten Gesprächsrunde behandelt.

Ferner hat die Kommission vorgeschlagen, - womit die USA einverstanden waren , dass ein Rechtsrahmen zeitlich beschränkt sein sollte und nur erneuert wird, wenn beide Seiten dies wünschen. Die vereinbarte Laufzeit der Vereinbarung (Angemessenheitsfeststellung in Verbindung mit einem " einfachen" internationalen Abkommen) beträgt dreieinhalb Jahre. Hierdurch werden die angemessenen Bedingungen für eine gründliche, etwa ein Jahr vor Ablauf der Vereinbarung beginnende Prüfung über die Erfahrungen mit der Durchführung und der zwischenzeitlichen Entwicklung geschaffen. Bis dahin wird die EU ihre eigene Politik im Hinblick auf die Verwendung von PNR für Zwecke der Luftverkehrs- und Grenzsicherheit entwickelt haben, und die amerikanische Debatte über den Schutz personenbezogener Daten dürfte sich gegebenfalls weiterentwickelt haben. Schließlich könnte bis dahin auch ein multilateraler Rahmen bestehen.

Die Kommission wird nun die Verfahren zur Annahme einer Entscheidung gemäß Artikel 25 Absatz 6 der Richtlinie und zur Schließung eines internationalen Abkommens verfolgen. Angesichts der nötigen Prozeduren strebt die Kommission an, diese Verfahren im März 2004 zu Ende zu bringen. Dies wird aber nur mit Unterstützung aller, die zuständig sind, verwirklicht werden können.

3.2. Information für Fluggäste

Die Kommissionsdienststellen haben mit Unterstützung der Datenschutzbehörden [7] und der Zoll- und Grenzschutzbehörde (CBP) der USA einen Text ausgearbeitet, der über die IATA den Luftverkehrsgesellschaften übermittelt werden soll, der als Modell für die Informationen dienen kann, die sie bzw. ihre Reisebüros den Fluggästen mitteilen sollten, bevor sie ihnen Flugscheine für Flüge in die Vereinigten Staaten verkaufen. Die Zusammenarbeit der rechnergestützten Buchungssysteme soll ebenfalls eine größtmögliche Erfassung von Flugscheinverkäufen insbesondere über Reisebüros gewährleisten.

[7] Obwohl um Kommentare der Datenschutzbehörden nachgesucht und viele eingearbeitet wurden, lehnte es die Artikel 29-Datenschutzgruppe ab, den Text anzunehmen oder zu genehmigen, weil die Übermittlung von PNR an die USA in jedem Fall rechtswidrig sei, und nichts diese Tatsache verschleiern dürfe.

Eine vollständige, korrekte und rechtzeitige Information ist generell wichtig für den Datenschutz, insbesondere aber in Bereichen, in denen eine Zustimmung erforderlich ist. Eine Zustimmung kann jedoch nur als gültig angesehen werden, wenn der Betreffende über die notwendigen Informationen verfügt. Die Rechtsprechung und bewährte Verfahren sehen ebenfalls vor, dass nur von einer Zustimmung ausgegangen werden kann, wenn der Betreffende eine Auswahlmöglichkeit hat.

In der jetzigen Situation vertrat die Arbeitsgruppe gemäß Artikel 29 in ihrer Stellungnahme 6/2002 vom 24. Oktober 2002 die Auffassung, dass man nicht auf eine Zustimmung vertrauen sollte und dass das Abweichen von dem in Artikel 26 Absatz 1 Buchstabe a) der Richtlinie ("die betroffene Person ohne jeden Zweifel ihre Einwilligung gegeben hat") genannten Gebot eines "angemessenen Schutzniveaus" daher keine solide rechtliche Lösung darstellte. Die Kommission stimmt zu, dass eine vollständig von Zustimmung abhängige rechtliche Lösung aus der Datenschutzperspektive wenig befriedigend wäre, glaubt aber, dass Unterrichtung und eine bewusste Entscheidung der Fluggäste wesentlicher Teil des Gesamtpakets sind.

3.3. Entwicklung eines "Push"-Systems mit Filtern

Die Einführung eines filtergestützten "Push"-Systems ist ein weiteres entscheidendes Element für ein sektorübergreifendes Konzept. Derartige Systeme würden es ermöglichen, dass die Datenströme von den Fluggesellschaften oder den Buchungssystemen zu den US-Sicherheitsbehörden in der EU kontrolliert und die Übermittlungen, sobald eine Einigung über die Datenelemente erzielt worden ist, auf das für Sicherheitszwecke strikt Notwendige beschränkt werden könnten. Die Kommission ist der Auffassung, dass die rasche Entwicklung und Einführung von Filter- und "Push"-Technologien notwendig ist, und auch das Parlament hat die Kommission in seiner Entschließung vom 9. Oktober aufgefordert, "die erforderlichen Maßnahmen zu treffen, um die Einführung von computergestützten Filtersystemen zu erleichtern".

Die Kommissionsdienste haben mehrere Monate in einem regelmäßigen Dialog mit den Fluggesellschaften im Hinblick auf die Einführung solcher Systeme gestanden und sich darüber hinaus mit technischen Experten verschiedener Organisationen und IT-Firmen beraten. Die Fluggesellschaften stehen der Idee einer Einführung von computergestützten Filtersystemen (dem so genannten "Push"-System) aufgeschlossen gegenüber. Den Kommissionsdiensten sind auch zahlreiche technische Lösungsmöglichkeiten bekannt, darunter auch das österreichische Projekt, auf das sich die Entschließung des Parlaments bezieht.

Die Kommissionsdienste kamen mit Industrieexperten und verschiedenen Technologieanbietern am 13. November zum zweiten Mal zusammen. Wir haben erfahren, dass diese Systeme technisch machbar sind, jedoch bleibt es unklar, auf welche Weise sie am besten eingeführt oder überwacht werden könnten. Bei diesem Treffen wurde auch deutlich, dass die Einführung eines "Push"-Systems allein das Problem nicht lösen könnte. Filter müssten ebenfalls installiert werden. Diese Filter stellen für die Fluggesellschaften erhebliche Kosten dar, was für eine rechtliche Verpflichtung spricht, damit gewährleistet wird, dass alle Fluggesellschaften denselben Anforderungen unterstellt sind. Die Fluggesellschaften haben auch angedeutet, dass sie ein zentrales System bevorzugen.

Es wäre schwierig, Fluggesellschaften, auch US-Fluggesellschaften, zur Übernahme eines derartigen Systems zu verpflichten, ohne eine entsprechende rechtliche Verpflichtung für sie zu schaffen. Es gibt gegenwärtig weder EU-Vorschriften noch eine Gemeinschaftspolitik, die die Fluggesellschaften verpflichtet, PNR-Daten auf diese Weise zu übermitteln. Ein möglicher Rahmen für die Einführung eines derartigen Systems wäre eine Gemeinschaftspolitik im Hinblick auf die Erhebung von PNR-Daten zu Sicherheits- und/oder Einwanderungszwecken. Im Einklang mit dem Zeitrahmen für die Entwicklung einer politischen Strategie (s. Abschnitt 3.4) sollte die Methode der Umstellung auffiltergestützte ,Push"-Systeme etwa Mitte 2004 definiert werden.

3.4. Die Entwicklung einer EU-Position zur Verwendung von PNR-Daten

Die Gespräche mit Drittländern über die Übermittlung von PNR-Daten sollten ergänzt werden durch die so weit wie möglich vorgeschaltete Entwicklung einer EU-Politik im Hinblick auf die allgemeinere Verwendung von PNR- und/oder Passagierdaten innerhalb der Union. Eine derartige Politik muss einen Ausgleich schaffen zwischen den verschiedenen Interessen, insbesondere zwischen den legitimen Sicherheitsinteressen und dem Schutz der Grundrechte, einschließlich des Rechts auf Privatsphäre.

Der vor kurzem mit den Vereinigten Staaten vereinbarte Text für die Zweckbegrenzung scheint eine gesunde Grundlage für die weitere Ausarbeitung des EU-Ansatzes zu bieten. Sowohl Anliegen der Terrorismusbekämpfung als auch des Kampfes gegen grenzüberschreitende organisierte Kriminalität werden berücksichtigt. Die Liste der Datenelemente dürfte für die Rechtsdurchsetzungsbedürfnisse in der EU ausreichend umfangreich sein. Nichts in den Vereinbarungen mit den USA dürfte daher der Entwicklung einer einschlägigen EU-Politik im Wege stehen.

Wie am Ende von Abschnitts 3.3 erwähnt, gibt es auch einen möglichen Zusammenhang zwischen einer künftigen EU-Politik der Verwendung von PNR und anderen Informationen über Reisende für Sicherheits- und polizeiliche Zwecke und der Entwicklung eines filtergestützten ,Push"-Systems, insbesondere wenn dies auf zentraler Basis erfolgen sollte. Eine zentrale Struktur innerhalb der EU könnte die erforderlichen Garantien im Hinblick auf Zuverlässigkeit (Genauigkeit der Daten), Sicherheit (technologische Mittel, Filter) und Überwachung (z.B. durch einen Gemeinsamen Überwachungsausschuss) und auch gegenüber nationalen Initiativen innerhalb der EU einen Mehrwert bieten.

Letztlich sollte jeder Informationsaustausch mit den US-Behörden auf dem Grundsatz der Gegenseitigkeit des Datenaustauschs beruhen. Gleichzeitig wäre die Möglichkeit zu prüfen, PNR-Daten über eine zentrale europäische Einrichtung zu erheben und ihre Weitergabe dort selbst zu kontrollieren.

Die Erarbeitung einer solchen EU-Politik befindet sich noch in der Anfangsphase. Zur Entwicklung einer EU-Position hat die Kommission am 9. Oktober 2003 ein Sachverständigentreffen zum Thema PNR veranstaltet, an dem sich Kommissionsdienste sowie Strafverfolgungs- und Datenschutzbehörden der Mitgliedstaaten beteiligten. Weitere Treffen mit den Strafverfolgungsbehörden sollen in den kommenden Wochen und Monaten stattfinden. Die Diskussionen konzentrieren sich auf das Für und Wider einer zentralen Kontaktstelle für den Datenaustausch mit Drittländern, die als sachdienlich und notwendig angesehenen Datenlisten, den erforderlichen Mindestdatenschutz und die allgemeinere Risikobewertung sowie auf Systeme zur Erstellung von Täterprofilen.

Es ist geplant, vor Mitte 2004 einen Vorschlag für einen Rahmenbeschluss über den Datenschutz bei der Zusammenarbeit in der Strafverfolgung vorzulegen, wodurch unter anderem eine solide Grundlage für die Untersuchung von Geschäftsdaten zu Strafverfolgungszwecken gelegt werden soll, während gleichzeitig die EU-Datenschutzbestimmungen beachtet werden.

Ein derartiger Rahmenbeschluss bildet die Grundlage für die Entwicklung einer "Informationspolitik" für Strafverfolgungsbehörden. Sie bildet das Rückgrat für eine Präventionspolitik im Bereich des organisierten Verbrechens und Terrorismus, die sich insbesondere mit der Sicherung von Datenverarbeitungssystemen und der Gegenseitigkeit des Datenaustauschs befasst.

3.5. Die Schaffung eines multilateralen Rahmens für die Übermittlung von PNR-Daten innerhalb der Internationalen Zivilluftfahrtorganisation (ICAO)

Die Übermittlung von PNR-Daten ist ein wirklich internationales und nicht nur bilaterales Problem. Daher vertritt die Kommission die Auffassung, dass die beste Lösung multilateral ist, und die ICAO den am besten geeigneten Rahmen für eine multilaterale Initiative bildet.

Im September 2003 beschloss die Kommission eine Beschleunigung der Arbeiten zur Entwicklung einer internationalen Vereinbarung für die Übermittlung von PNR-Daten innerhalb der ICAO. Die Kommissionsdienste haben ein diesbezügliches Arbeitspapier erstellt, das die Gemeinschaft und ihre Mitgliedstaaten der ICAO in Kürze übermitteln werden.

Unter Berücksichtigung von Luftverkehrssicherheits-, Grenzkontroll- und personenbezogenen Datenschutzerfordernissen sowie der Verbreitung von PNR-Daten-Übermittlungsinitiativen zwischen den ICAO-Mitgliedstaaten befasst sich dieses Arbeitspapier mit den folgenden Aspekten:

- umfang der Daten, die für diese Zwecke verwendet werden können;

- für die Erhebung und Verarbeitung solcher Daten zulässigen Verfahren;

- technische Auswirkungen im Hinblick auf die für die Erfassung, Verarbeitung, Speicherung und Übermittlung solcher Daten verwendeten Systeme.

Natürlich darf das Arbeitspapier der Entwicklung einer einschlägigen EU-Politik (siehe vorheriger Abschnitt) nicht vorgreifen, sondern sollte nur Vorbild sein. Diese Initiative erfordert ohnehin den Konsens aller ICAO-Mitglieder und damit eine gewisse Zeit.

4. Durchsetzung der Verordnung Nr. 2299/89 durch die Kommission

Bezüglich der CRS-Verordnung haben die Kommissionsdienste die Lage für einige Monate beobachtet, um genauer zu beurteilen, wie das jetzige System zum Datenzugriff technisch funktioniert, und inwieweit CRS auf eine Weise tätig sind, welche in den Anwendungsbereich der Verordnung Nr. 2299/89 über einen Verhaltenskodex für rechnergestützte Buchungssysteme fällt. Diese Überprüfung, die im Rahmen einer zweiten Sitzung mit der Industrie am 13. November 2003 vorläufig endete, zeigte, dass CRS die Daten möglicherweise als Vertragspartner im Auftrag von den Fluggesellschaften denn als eigentliche CRS weitergeben. Vor einer endgültigen Stellungnahme über die Anwendbarkeit der Verordnung wird es nötig sein, diese Frage eindeutiger zu klären.

Da die Kommission jedoch eine Beschwerde nach Artikel 11 der Verordnung empfangen hat (was der Anfang eines Verfahren ist, das zur Feststellung einer Vertragsverletzung führen kann), hat die Kommission gemäß der im Artikel 12 niedergelegten Ermächtigung zur Einholung aller erforderlichen Informationen aus den Unternehmen Briefe an die CRS zur Anforderung von Informationen geschickt, um klarzustellen, ob die Systemanbieter die Datenschutzanforderungen der Verordnung einhalten.

5. Schlussfolgerungen

* Angesichts der Komplexität und der Vielschichtigkeit der aufgeworfenen Fragen verfolgt die Kommission ein sektorübergreifendes Konzept im Hinblick auf die Übermittlung von Fluggastdatensätzen, das die verschiedenen oben genannten Einzelelemente vereint.

* Sie legt größten Wert darauf, rasch einen rechtlich sicheren Rahmen für die Übermittlung von PNR an das US Department of Homeland Security (US-amerikanische Zoll- und Grenzschutzbehörde) zu schaffen.

* Auf der Grundlage der Ergebnisse der Gespräche mit den US-Behörden und als Teil des Maßnahmenpakets im Zuge ihres Gesamtansatzes schlägt die Kommission vor, diesen rechtlichen Rahmen in der Form einer Angemessenheitsfeststellung gemäß Artikel 25 Absatz 6 der Datenschutzrichtlinie, in Verbindung mit einem "einfachen" internationalen Abkommen mit den USA gemäß Artikel 300, Absatz 3, erster Satz des Vertrags zu schaffen. Das Europäische Parlament wird über die beiden Teile dieser Lösung unter Beachtung angemessener Fristen konsultiert.

* Die Kommission wird ferner die Gespräche mit anderen Drittländern fortsetzen, um so schnell wie möglich angemessene Lösungen zur Beseitigung rechtlicher Unvereinbarkeiten zu finden.

* Die Kommission wird ihre Zusammenarbeit mit den Fluggesellschaften, den Reiseunternehmen und den CRS energisch fortsetzen, um zu gewährleisten, dass die Fluggäste vor dem Kauf ihrer Tickets vollständig und genau über die Verwendung ihrer PNR-Daten informiert werden und damit eine Wahl in voller Kenntnis der Sachlage treffen können. Die Kommission wird die Veranstalter nachdrücklich dazu bewegen, sich systematisch, soweit dies praktikabel ist, um die Zustimmung der Passagiere zu einer Übermittlung ihrer Daten zu bemühen, glaubt aber, dass es notwendig ist, einen Rechtsrahmen zu schaffen, der sich nicht ausschließlich auf Zustimmung stützt. Die Kommission erinnert an ihr Initiativrecht für einen Vorschlag einer Regulierung auf EU-Ebene, wenn die Beteiligten nicht innerhalb einer angemessenen Frist wirkungsvolle Lösungen umsetzen.

* Die Kommission bekräftigt ferner ihre nachdrückliche Unterstützung für die rasche Einführung von "Push"-Technologien, einhergehend mit angemessenen Filtern, für die Weitergabe von PNR-Daten an Drittländer. Sie glaubt, dass ein zentralisiertes oder koordiniertes Vorgehen deutliche Vorteile im Hinblick auf Effizienz und Kosten hat gegenüber einem Vorgehen von einzelnen Fluggesellschaften. Sie wird weiterhin vorrangig mögliche Optionen mit der Industrie prüfen. Falls notwendig ist sie bereit, geeignete Maßnahmen zu ergreifen, um eine Finanzierung aus den vorhandenen Ressourcen des Gemeinschaftshaushalts zur Unterstützung der Entwicklung eines solchen Systems zu gewährleisten. Die Kommission will ferner den weiteren Weg spätestens bis Mitte 2004 abstecken. Eine erwägungswerte Möglichkeit wäre, dass das "Push-System" im Rahmen einer EU-Politik zur Nutzung von Daten der Reisenden zu Grenzschutz- und Flugsicherheitszwecken (siehe unten) eingeführt werden könnte.

* Die Kommission wird vorrangig die mit den Mitgliedstaaten und anderen einschlägigen Parteien, z.B. Europol, begonnenen Diskussionen fortsetzen, um bis Mitte 2004 einen ersten Vorschlag für ein EU-Konzept zur Verwendung von Passagierdaten für Grenz- und Luftverkehrssicherheits- sowie andere Strafverfolgungszwecke vorzulegen. Ein derartiger politischer Rahmen muss einen Ausgleich schaffen zwischen den Sicherheitsinteressen einerseits und den Belangen des Datenschutzes und anderer bürgerlicher Grundfreiheiten andererseits.

* Die Kommission initiert auch eine internationale Initiative im Hinblick auf die Übermittlung von PNR-Daten unter Schirmherrschaft der ICAO. Ein diesbezüglicher Vorschlag wird umgehend an den Rat geleitet.

Top