Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32016L0681

Richtlinie (EU) 2016/681 des Europäischen Parlaments und des Rates vom 27. April 2016 über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität

ABl. L 119 vom 4.5.2016, p. 132–149 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/dir/2016/681/oj

4.5.2016   

DE

Amtsblatt der Europäischen Union

L 119/132


RICHTLINIE (EU) 2016/681 DES EUROPÄISCHEN PARLAMENTS UND DES RATES

vom 27. April 2016

über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 82 Absatz 1 Buchstabe d und Artikel 87 Absatz 2 Buchstabe a,

auf Vorschlag der Europäischen Kommission,

nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,

nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses (1),

nach Anhörung des Ausschusses der Regionen,

gemäß dem ordentlichen Gesetzgebungsverfahren (2),

in Erwägung nachstehender Gründe:

(1)

Die Kommission hat am 6. November 2007 einen Vorschlag für einen Rahmenbeschluss des Rates über die Verwendung von Fluggastdatensätzen (im Folgenden „PNR-Daten“) zu Zwecken der Verhütung, Aufdeckung und Ermittlung angenommen. Mit dem Inkrafttreten des Vertrags von Lissabon am 1. Dezember 2009 wurde der Kommissionsvorschlag, dessen Annahme durch den Rat zu diesem Zeitpunkt noch ausstand, jedoch hinfällig.

(2)

Im „Stockholmer Programm — Ein offenes und sicheres Europa im Dienste und zum Schutz der Bürger“ (3) wird die Kommission aufgefordert, einen Vorschlag über die Verwendung von PNR-Daten zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität vorzulegen.

(3)

Die Kommission hat in ihrer Mitteilung vom 21. September 2010 über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer eine Anzahl an Kernelementen erläutert, die eine Politik der Union in diesem Bereich beinhalten muss.

(4)

Die Richtlinie 2004/82/EG des Rates (4), regelt die Vorabübermittlung von Angaben über die beförderten Personen (im Folgenden „API-Daten“) durch die Fluggesellschaften an die zuständigen nationalen Behörden als Mittel zur Verbesserung der Grenzkontrollen und zur Bekämpfung der illegalen Einwanderung.

(5)

Die Ziele dieser Richtlinie bestehen unter anderem darin, für Sicherheit zu sorgen, das Leben und die Sicherheit von Personen zu schützen und einen Rechtsrahmen für den Schutz von PNR-Daten in Bezug auf deren Verarbeitung durch die zuständigen Behörden zu schaffen.

(6)

Die effektive Verwendung von PNR-Daten, indem z. B. PNR-Daten mit verschiedenen Datenbanken betreffend Personen und Gegenstände abgeglichen werden, ist notwendig, um terroristische Straftaten und schwere Kriminalität zu verhüten, aufzudecken, zu ermitteln und zu verfolgen und damit einen Beitrag zur inneren Sicherheit zu leisten, um Beweismaterial zusammenzutragen und gegebenenfalls Komplizen von Straftätern aufzuspüren und kriminelle Netze auszuheben.

(7)

Anhand einer Überprüfung von PNR-Daten können Personen ermittelt werden, die vor einer solchen Überprüfung nicht im Verdacht standen, an terroristischen Straftaten oder schwerer Kriminalität beteiligt zu sein, und die von den zuständigen Behörden genauer überprüft werden sollten. Durch die Verwendung von PNR-Daten ist es möglich, die Bedrohung durch terroristische Straftaten und schwere Kriminalität anders anzugehen, als dies durch Verarbeitung anderer Kategorien personenbezogener Daten möglich wäre. Damit die Verarbeitung von PNR-Daten jedoch auf das Erforderliche beschränkt bleibt, sollten die Aufstellung und Anwendung von Prüfkriterien auf terroristische Straftaten und schwere Kriminalität, für die die Anwendung solcher Kriterien maßgeblich ist, beschränkt werden. Darüber hinaus sollten die Prüfkriterien so festgelegt werden, dass die Zahl unschuldiger Personen, die fälschlicherweise vom System identifiziert werden, auf ein Minimum beschränkt wird.

(8)

Die Fluggesellschaften erheben und verarbeiten bereits PNR-Daten ihrer Fluggäste für ihre eigenen geschäftlichen Zwecke. Durch diese Richtlinie sollten weder Fluggesellschaften dazu verpflichtet werden, weitere Fluggastdaten zu erheben oder vorzuhalten, noch sollte von den Fluggästen verlangt werden, dass sie neben den Daten, die die Fluggesellschaften bereits von ihnen erhalten, noch zusätzliche Daten bereitstellen.

(9)

Einige Fluggesellschaften halten API-Daten, die sie erheben, als Teil der PNR-Daten vor, während andere dies nicht tun. Die Verwendung von PNR-Daten zusammen mit API-Daten bietet einen Mehrwert, indem sie den Mitgliedstaaten die Feststellung der Identität einer Person erleichtert, mithin den Nutzen dieses Ergebnisses für die Verhütung, Aufdeckung und Ermittlung von Straftaten erhöht und die Gefahr minimiert, dass Überprüfungen und Ermittlungen zu unschuldigen Personen durchgeführt werden. Es muss daher sichergestellt werden, dass Fluggesellschaften, die API-Daten erheben, diese übermitteln, unabhängig davon, ob sie API-Daten auf andere technische Weise als PNR-Daten vorhalten.

(10)

Für die Verhütung, Aufdeckung, Ermittlung und Verfolgung von Terrorismus und schwerer Kriminalität ist es außerordentlich wichtig, dass alle Mitgliedstaaten Vorschriften erlassen, mit denen Fluggesellschaften, die Drittstaatsflüge durchführen, dazu verpflichtet werden, von ihnen erhobene PNR-Daten, einschließlich API-Daten, zu übermitteln. Die Mitgliedstaaten sollten auch die Möglichkeit haben, diese Verpflichtung auf Fluggesellschaften auszudehnen, die EU-Flüge durchführen. Diese Bestimmungen sollten die Richtlinie 2004/82/EG des Rates unberührt lassen.

(11)

Die Verarbeitung von personenbezogenen Daten sollte in einem angemessenen Verhältnis zu den mit dieser Richtlinie verfolgten bestimmten Sicherheitsinteressen stehen.

(12)

Die in dieser Richtlinie zugrunde gelegte Definition für „terroristische Straftaten“ sollte mit der Definition im Rahmenbeschluss 2002/475/JI des Rates (5) identisch sein. Die Definition der schweren Kriminalität sollte die in Anhang II dieser Richtlinie genannten Kategorien von Straftaten umfassen.

(13)

Um Klarheit zu gewährleisten und die Kosten für die Fluggesellschaften gering zu halten, sollten die PNR-Daten an eine einzige, genau bezeichnete Stelle (im Folgenden „PNR-Zentralstelle“) des jeweiligen Mitgliedstaats übermittelt werden. Die PNR-Zentralstelle kann über verschiedene Zweigstellen in einem Mitgliedstaat verfügen, und Mitgliedstaaten können auch eine PNR-Zentralstelle gemeinsam einrichten. Die Mitgliedstaaten sollten die Informationen untereinander über maßgebliche Informationsaustauschnetze austauschen, um die Informationsweitergabe zu erleichtern und Interoperabilität zu gewährleisten.

(14)

Die Kosten für die Nutzung, die Speicherung und den Austausch der PNR-Daten sollten von den Mitgliedstaaten getragen werden.

(15)

Eine Liste mit den PNR-Daten, die für eine PNR-Zentralstelle bestimmt sind, sollte erstellt und inhaltlich so zusammengesetzt sein, dass sie sowohl den legitimen Bedürfnissen der Behörden im Zusammenhang mit der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität gerecht werden und damit einen Beitrag zur inneren Sicherheit in der Union leisten als auch dem Grundrechtsschutz und insbesondere dem Schutz der Privatsphäre des Einzelnen und seiner personenbezogenen Daten Genüge tun. Zu diesem Zweck sollten hohe Standards zur Anwendung kommen, die mit der Charta der Grundrechte der Europäischen Union (im Folgenden „Charta“), dem Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Übereinkommen Nr. 108) und der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK) im Einklang stehen. Eine solche Liste sollte nicht auf der Rasse oder ethnischen Herkunft, der Religion oder der Weltanschauung, der politischen oder sonstigen Meinungen, der Mitgliedschaft in einer Gewerkschaft, dem Gesundheitszustand, dem Sexualleben oder der sexuellen Orientierung einer Person beruhen. Die PNR-Daten sollten nur jene Details über den Buchungsvorgang und die Reiseroute von Fluggästen beinhalten, mit deren Hilfe die zuständigen Stellen diejenigen Fluggäste ermitteln können, die eine Bedrohung für die innere Sicherheit darstellen.

(16)

Es gibt es zwei Methoden der Datenübermittlung: die „Pull-Methode“, bei der die zuständigen Behörden des Mitgliedstaats, der die PNR-Daten benötigt, direkt auf das Buchungssystem der Fluggesellschaft zugreifen und eine Kopie der verlangten PNR-Daten extrahieren können, und die „Push-Methode“, bei der die Fluggesellschaften die verlangten PNR-Daten an die anfragende Behörde übermitteln und somit die Kontrolle über die Art der übermittelten Daten behalten. Die „Push-Methode“ gilt als die Methode, die ein höheres Datenschutzniveau bietet, und sollte daher für alle Fluggesellschaften verbindlich sein.

(17)

Die Kommission unterstützt die Richtlinien der Internationalen Zivilluftfahrt-Organisation (ICAO) für die Übermittlung von PNR-Daten. Diese Richtlinien sollten daher die Grundlage für die Annahme der unterstützten Datenformate für die Übermittlung von PNR-Daten durch die Fluggesellschaften an die Mitgliedstaaten sein. Zur Gewährleistung einheitlicher Bedingungen für die Anwendung der unterstützten Datenformate und die für die Datenübermittlung durch die Fluggesellschaften zu verwendenden maßgeblichen Protokolle sollten der Kommission Durchführungsbefugnisse übertragen werden. Diese Befugnisse sollten im Einklang mit der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates (6) ausgeübt werden.

(18)

Die Mitgliedstaaten sollten die nötigen Vorkehrungen treffen, damit die Fluggesellschaften ihren Verpflichtungen gemäß dieser Richtlinie nachkommen können. Für den Fall, dass Fluggesellschaften ihren Verpflichtungen im Zusammenhang mit der Übermittlung von PNR-Daten nicht nachkommen, sollten die Mitgliedstaaten wirksame, verhältnismäßige und abschreckende Sanktionen einschließlich Geldbußen vorsehen.

(19)

Jeder Mitgliedstaat sollte eine Einschätzung der potenziellen Bedrohung durch terroristische Straftaten und schwere Kriminalität vornehmen.

(20)

Um das Recht auf Schutz der personenbezogenen Daten und auf Nichtdiskriminierung umfassend zu wahren, sollten Entscheidungen, aus denen sich für die betreffende Person eine nachteilige Rechtsfolge oder ein sonstiger schwerwiegender Nachteil ergeben könnten, nicht allein aufgrund der automatisierten Verarbeitung von PNR-Daten getroffen werden dürfen. Ebenso wenig sollten solche Entscheidungen — in Anbetracht der Artikel 8 und 21 der Charta — eine Diskriminierung aus Gründen wie dem Geschlecht, der Rasse, der Hautfarbe, der ethnischen oder sozialen Herkunft, den genetischen Merkmalen, der Sprache, der Religion oder der Weltanschauung, der politischen oder sonstigen Anschauung, der Zugehörigkeit zu einer nationalen Minderheit, dem Vermögen, der Geburt, einer Behinderung, dem Alter oder der sexuellen Orientierung einer Person darstellen. Wenn die Kommission die Anwendung dieser Richtlinie überprüft, sollte sie auch diese Grundsätze berücksichtigen.

(21)

Das Ergebnis der Verarbeitung von PNR-Daten sollte unter keinen Umständen von den Mitgliedstaaten als Mittel zur Umgehung ihrer internationalen Verpflichtungen aus dem Abkommen vom 28. Juli 1951 über die Rechtsstellung der Flüchtlinge in der Fassung des Protokolls vom 31. Januar 1967 benutzt werden, noch sollte es zur Verweigerung sicherer und effektiver rechtmäßiger Wege in das Gebiet der Union gegenüber Asylsuchenden benutzt werden, damit diese dort von ihrem Recht auf internationalen Schutz Gebrauch machen können.

(22)

Unter uneingeschränkter Berücksichtigung der in der jüngeren maßgeblichen Rechtsprechung des Gerichtshofs der Europäischen Union dargelegten Grundsätze sollte bei der Anwendung dieser Richtlinie sichergestellt werden, dass die Grundrechte, das Recht auf Privatsphäre und der Grundsatz der Verhältnismäßigkeit in vollem Umfang geachtet werden. Sie sollte auch wirklich den Zielen dessen, was erforderlich und verhältnismäßig ist, um die von der Union anerkannten allgemeinen Interessen zu wahren, und der Notwendigkeit entsprechen, die Rechte und Freiheiten anderer bei der Bekämpfung von terroristischen Straftaten und schwerer Kriminalität zu schützen. Die Anwendung dieser Richtlinie sollte ordnungsgemäß gerechtfertigt und die notwendigen Sicherheitsvorkehrungen getroffen werden, um die Rechtmäßigkeit einer etwaigen Speicherung, Auswertung, Übermittlung oder Verwendung von PNR-Daten sicherzustellen.

(23)

Die Mitgliedstaaten sollten die erhaltenen PNR-Daten untereinander und mit Europol austauschen, wenn dies zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität für erforderlich erachtet wird. Die PNR-Zentralstellen sollten gegebenenfalls das Ergebnis der Verarbeitung der PNR-Daten umgehend an die PNR-Zentralstellen anderer Mitgliedstaaten zur weiteren Untersuchung übermitteln. Die Bestimmungen dieser Richtlinie sollten andere Rechtsakte der Union über den Austausch von Informationen zwischen Polizei und anderen Strafverfolgungsbehörden und Justizbehörden, einschließlich des Beschlusses 2009/371/JI des Rates (7) und des Rahmenbeschlusses 2006/960/JI des Rates (8), unberührt lassen. Der Austausch von PNR-Daten sollte nach den Vorschriften über die polizeiliche und justizielle Zusammenarbeit erfolgen und das von der Charta, dem Übereinkommen Nr. 108 und der EMRK geforderte hohe Niveau beim Schutz der Privatsphäre und personenbezogener Daten nicht beeinträchtigen.

(24)

Ein sicherer Informationsaustausch hinsichtlich PNR-Daten zwischen den Mitgliedstaaten sollte über die bestehenden Kanäle für die Zusammenarbeit zwischen den zuständigen Behörden der Mitgliedstaaten sowie insbesondere mit Europol durch Europols Netzanwendung für sicheren Datenaustausch (SIENA) sichergestellt werden.

(25)

Der Zeitraum, für den die PNR-Daten vorgehalten werden sollen, sollte so lang sein, wie dies für den mit ihnen verfolgten Zweck der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten sowie schwerer Kriminalität erforderlich ist und in einem angemessenen Verhältnis dazu stehen. Das Wesen der PNR-Daten und ihr Verwendungszweck bringen es mit sich, dass diese so lange gespeichert werden müssen wie nötig, um sie auswerten und für Ermittlungen nutzen zu können. Um einen unverhältnismäßigen Rückgriff auf die Daten auszuschließen, sollten die PNR-Daten nach der anfänglichen Speicherfrist durch Unkenntlichmachung von Datenelementen depersonalisiert werden. Um das höchste Datenschutzniveau zu gewährleisten, sollte Zugriff auf die vollständigen PNR-Daten, die die unmittelbare Identifizierung der betroffenen Person ermöglichen, nach dieser anfänglichen Frist nur unter eingeschränkten, sehr strengen Bedingungen gewährt werden.

(26)

Wurden bestimmte PNR-Daten zur Verwendung für konkrete Ermittlungs- und Strafverfolgungszwecke an eine zuständige Behörde übermittelt, so sollte sich die Frist für die Speicherung der Daten durch diese Behörde ungeachtet der in dieser Richtlinie genannten Speicherfristen für Daten nach nationalem Recht richten.

(27)

Für die Verarbeitung der PNR-Daten durch die PNR-Zentralstelle und die zuständigen Behörden der einzelnen Mitgliedstaaten sollte nationales Recht ein Datenschutzniveau im Einklang mit dem Rahmenbeschluss 2008/977/JI des Rates (9) und den in dieser Richtlinie festgelegten bestimmten Anforderungen an den Datenschutz vorsehen. Bezugnahmen auf den Rahmenbeschluss 2008/977/JI sollten als Bezugnahmen auf derzeit geltende Rechtsvorschriften sowie auf Rechtsvorschriften, die an ihre Stelle treten werden, verstanden werden.

(28)

Unter Berücksichtigung des Anspruchs auf Schutz der personenbezogenen Daten müssen die Rechte der betroffenen Personen in Bezug auf die Verarbeitung ihrer PNR-Daten, insbesondere das Recht auf Zugang, Berichtigung, Löschung oder Einschränkung der Verarbeitung und das Recht auf Schadenersatz und Rechtsbehelfe, mit dem Rahmenbeschluss 2008/977/JI und mit dem hohen Schutzniveau, das durch die Charta und die EMRK vorgesehen ist, im Einklang stehen.

(29)

Soweit es um das Recht von Fluggästen auf Information über die Verarbeitung ihrer personenbezogenen Daten geht, sollten die Mitgliedstaaten sicherstellen, dass Fluggäste über die Erhebung der PNR-Daten, deren Übermittlung an die PNR-Zentralstelle und über ihre Rechte als betroffene Personen korrekt und auf leicht zugängliche und verständliche Weise informiert werden.

(30)

Diese Richtlinie berührt nicht das Unions- und nationale Recht zum Grundsatz des Zugangs der Öffentlichkeit zu amtlichen Dokumenten.

(31)

Die Übermittlung von PNR-Daten durch die Mitgliedstaaten an Drittstaaten sollte nur im Einzelfall und unter voller Einhaltung der von den Mitgliedstaaten in Anwendung des Rahmenbeschlusses 2008/977/JI festgelegten Bestimmungen gestattet sein. Im Interesse des Datenschutzes sollten bei solchen Übermittlungen an Drittstaaten weitere Anforderungen an den Zweck der Übermittlung gestellt werden. Für diese Übermittlungen sollten auch die Grundsätze der Erforderlichkeit und der Verhältnismäßigkeit sowie das hohe Schutzniveau, das durch die Charta und die EMRK vorgesehen sind, gelten.

(32)

Die im Zuge der Umsetzung des Rahmenbeschlusses 2008/977/JI eingerichtete nationale Kontrollstelle sollte auch in Bezug auf die Anwendung der von den Mitgliedstaaten aufgrund dieser Richtlinie erlassenen Bestimmungen eine Beratungs- und Kontrollfunktion ausüben.

(33)

Die vorliegende Richtlinie hindert die Mitgliedstaaten nicht daran, nach ihrem jeweiligen nationalen Recht eine Regelung zur Erhebung und Verarbeitung von PNR-Daten durch Wirtschaftsteilnehmer, die keine Beförderungsunternehmen sind, wie etwa Reisebüros oder Reiseveranstalter, die Dienstleistungen im Zusammenhang mit Reisen — einschließlich Flugbuchungen — erbringen, für die sie PNR-Daten erheben und verarbeiten, oder durch andere als in dieser Richtlinie angegebene Beförderungsunternehmen vorzusehen, sofern dieses nationale Recht mit dem Unionsrecht in Einklang steht.

(34)

Diese Richtlinie lässt gegenwärtige Regelungen der Union hinsichtlich der Durchführung von Grenzkontrollen und Regelungen der Union hinsichtlich der Einreise in das Gebiet der Union und der Ausreise aus dem Gebiet der Union unberührt.

(35)

Aufgrund der sowohl in rechtlicher als auch in technischer Hinsicht unterschiedlichen nationalen Bestimmungen zur geregelten Verarbeitung von personenbezogenen Daten, und damit auch von PNR-Daten, sind die Fluggesellschaften jetzt und auch künftig mit unterschiedlichen Vorschriften in Bezug auf die Art der zu übermittelnden Informationen und in Bezug auf die Voraussetzungen für die Übermittlung dieser Informationen an die zuständigen einzelstaatlichen Behörden konfrontiert. Diese Unterschiede können einer wirksamen Zusammenarbeit zwischen den zuständigen nationalen Behörden zum Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität abträglich sein. Daher ist es notwendig, auf Unionsebene einen gemeinsamen Rechtsrahmen für die Übermittlung und Verarbeitung von PNR-Daten zu schaffen.

(36)

Die vorliegende Richtlinie wahrt die Grundrechte und Grundsätze der Charta, insbesondere das in den Artikeln 8, 7 und 21 verankerte Recht auf Schutz der personenbezogenen Daten, das Recht auf Achtung der Privatsphäre und das Recht auf Nichtdiskriminierung; sie ist deshalb entsprechend umzusetzen. Diese Richtlinie ist mit den Datenschutzgrundsätzen vereinbar, und ihre Bestimmungen stehen im Einklang mit dem Rahmenbeschluss 2008/977/JI. Um dem Grundsatz der Verhältnismäßigkeit Rechnung zu tragen, sieht diese Richtlinie zudem in Bezug auf bestimmte Aspekte Datenschutzbestimmungen vor, die strenger sind als die des Rahmenbeschlusses 2008/977/JI.

(37)

Der Anwendungsbereich der Richtlinie wurde möglichst eng gefasst, denn: Sie beschränkt die Speicherfrist für die PNR-Daten bei den PNR-Zentralstellen auf maximal fünf Jahre, nach deren Ablauf die Daten gelöscht werden sollten; sie sieht vor, dass die Daten nach einer ersten Frist von sechs Monaten durch Unkenntlichmachung von Datenelementen depersonalisiert werden, und sie untersagt die Erhebung und Verwendung von sensiblen Daten. Um einen wirksamen und weitreichenden Datenschutz zu gewährleisten, haben die Mitgliedstaaten dafür zu sorgen, dass eine unabhängige nationale Kontrollstelle und insbesondere ein Datenschutzbeauftragter eine Beratungs- und Kontrollfunktion in Bezug auf die Art und Weise der Verarbeitung der PNR-Daten ausübt. Jede Verarbeitung von PNR-Daten sollte zum Zwecke der Überprüfung ihrer Rechtmäßigkeit, zur Selbstkontrolle sowie zur Gewährleistung der Unversehrtheit der Daten und der Sicherheit der Datenverarbeitung protokolliert oder dokumentiert werden. Des Weiteren sollten die Mitgliedstaaten dafür sorgen, dass die Fluggäste klar und präzise über die Erhebung von PNR-Daten und ihre Rechte informiert werden.

(38)

Da die Ziele dieser Richtlinie — nämlich die Übermittlung von PNR-Daten durch Fluggesellschaften und deren Verarbeitung zum Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität — von den Mitgliedstaaten nicht ausreichend verwirklicht werden können sondern vielmehr auf Unionsebene besser zu verwirklichen sind, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Richtlinie nicht über das für die Erreichung dieser Ziele erforderliche Maß hinaus.

(39)

Nach Artikel 3 des dem Vertrag über die Europäische Union und dem Vertrag über die Arbeitsweise der Europäischen Union beigefügten Protokolls Nr. 21 über die Position des Vereinigten Königreichs und Irlands hinsichtlich des Raums der Freiheit, der Sicherheit und des Rechts haben diese Mitgliedstaaten mitgeteilt, dass sie sich an der Annahme und Anwendung dieser Richtlinie beteiligen möchten.

(40)

Nach den Artikeln 1 und 2 des dem Vertrag über die Europäische Union und dem Vertrag über die Arbeitsweise der Europäischen Union beigefügten Protokolls Nr. 22 über die Position Dänemarks beteiligt sich Dänemark nicht an der Annahme dieser Richtlinie und ist weder durch diese Richtlinie gebunden noch zu ihrer Anwendung verpflichtet

(41)

Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates (10) angehört und hat am 25. März 2011 eine Stellungnahme abgegeben —

HABEN FOLGENDE RICHTLINIE ERLASSEN:

KAPITEL I

Allgemeine Bestimmungen

Artikel 1

Gegenstand und Anwendungsbereich

(1)   Diese Richtlinie regelt

a)

die Übermittlung von Fluggastdatensätzen (PNR-Daten) zu Fluggästen von Drittstaatsflügen durch Fluggesellschaften;

b)

die Verarbeitung von Daten gemäß Buchstabe a, unter anderem ihre Erhebung, Verwendung und Speicherung durch Mitgliedstaaten sowie den Austausch dieser Daten zwischen Mitgliedstaaten.

(2)   Die nach Maßgabe dieser Richtlinie erhobenen PNR-Daten dürfen ausschließlich zum Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität gemäß Artikel 6 Absatz 2 Buchstaben a, b und c verarbeitet werden.

Artikel 2

Anwendung dieser Richtlinie auf EU-Flüge

(1)   Ein Mitgliedstaat, der entscheidet, diese Richtlinie auf Flüge innerhalb der Europäischen Union (EU-Flüge) anzuwenden, teilt dies der Kommission schriftlich mit. Ein Mitgliedstaat kann eine solche Mitteilung jederzeit machen oder widerrufen. Die Kommission veröffentlicht diese Mitteilung und eventuelle Widerrufe derselben im Amtsblatt der Europäischen Union.

(2)   Im Falle einer Mitteilung gemäß Absatz 1 gelten alle Bestimmungen dieser Richtlinie für EU-Flüge so, als handele es sich um Drittstaatsflüge, und für PNR-Daten zu EU-Flügen so, als handele es sich um PNR-Daten zu Drittstaatsflügen.

(3)   Ein Mitgliedstaat kann beschließen, diese Richtlinie nur auf ausgewählte EU-Flüge anzuwenden. Der Mitgliedstaat wählt dabei diejenigen Flüge aus, die er für die Verfolgung der Ziele dieser Richtlinie für erforderlich hält. Der Mitgliedstaat kann jederzeit eine Änderung der von ihm ausgewählten EU-Flüge beschließen.

Artikel 3

Begriffsbestimmungen

Im Sinne dieser Richtlinie bezeichnet der Ausdruck

1.

„Fluggesellschaft“ ein Luftfahrtunternehmen mit einer gültigen Betriebsgenehmigung oder einer gleichwertigen Genehmigung, die es ihm gestattet, Fluggäste auf dem Luftweg zu befördern;

2.

„Drittstaatsflug“ jeden Linien- oder Gelegenheitsflug einer Fluggesellschaft, der von einem Drittstaat aus startet und das Hoheitsgebiet eines Mitgliedstaats zum Ziel hat, oder der vom Hoheitsgebiet eines Mitgliedstaats aus startet und einen Drittstaat zum Ziel hat, wobei in beiden Fällen Flüge mit Zwischenlandungen im Hoheitsgebiet von Mitgliedstaaten oder Drittstaaten eingeschlossen sind;

3.

„EU-Flug“ jeden Linien- oder Gelegenheitsflug einer Fluggesellschaft, der vom Hoheitsgebiet eines Mitgliedstaats aus startet und das Hoheitsgebiet eines oder mehrerer anderer Mitgliedstaaten zum Ziel hat, ohne Zwischenlandungen im Hoheitsgebiet eines Drittstaats;

4.

„Fluggast“ jede Person, einschließlich Transfer- oder Transitfluggästen, mit Ausnahme der Besatzungsmitglieder, die mit Zustimmung der Fluggesellschaft in einem Luftfahrzeug befördert wird oder befördert werden soll, wobei diese Zustimmung durch die Eintragung der Person in die Fluggastliste belegt wird;

5.

„Fluggastdatensatz“ oder „PNR-Daten“ einen Datensatz mit den für die Reise notwendigen Angaben zu jedem einzelnen Fluggast, die die Bearbeitung und Überprüfung der von einer Person oder in ihrem Namen getätigten Reservierungen für jede Reise durch die buchenden und beteiligten Fluggesellschaften ermöglichen, unabhängig davon, ob er in Buchungssystemen, Abfertigungssystemen (Departure Control Systems) zum Einchecken von Passagieren auf Flüge, oder gleichwertigen Systemen, die die gleichen Funktionen bieten, enthalten ist;

6.

„Buchungssysteme“ das interne System einer Fluggesellschaft, in dem die PNR-Daten für die Bearbeitung von Buchungen erhoben werden;

7.

„Push-Methode“ das Verfahren, bei dem die Fluggesellschaft die in Anhang I aufgeführten PNR-Daten in die Datenbank der anfragenden Behörde übermittelt;

8.

„terroristische Straftaten“ die nach nationalem Recht strafbaren Handlungen im Sinne der Artikel 1 bis 4 des Rahmenbeschlusses 2002/475/JI;

9.

„schwere Kriminalität“ die in Anhang II aufgeführten strafbaren Handlungen, die nach dem nationalen Recht eines Mitgliedstaats mit einer Freiheitsstrafe oder einer freiheitsentziehenden Maßregel der Sicherung im Höchstmaß von mindestens drei Jahren bedroht sind;

10.

„Depersonalisierung durch Unkenntlichmachung von Datenelementen“ die Vorgehensweise, mit der diejenigen Datenelemente, mit denen die Identität des Fluggastes unmittelbar festgestellt werden könnte, für einen Nutzer unsichtbar gemacht werden.

KAPITEL II

Zuständigkeiten der Mitgliedstaaten

Artikel 4

PNR-Zentralstelle

(1)   Jeder Mitgliedstaat errichtet oder benennt eine für die Verhütung, Aufdeckung, Ermittlung oder Verfolgung von terroristischen Straftaten und schwerer Kriminalität zuständige Behörde oder eine Abteilung einer solchen Behörde, die als seine PNR-Zentralstelle handelt.

(2)   Die PNR-Zentralstelle ist verantwortlich für

a)

die Erhebung der PNR-Daten bei Fluggesellschaften, für die Speicherung und Verarbeitung dieser Daten sowie die Übermittlung dieser Daten oder der Ergebnisse ihrer Verarbeitung an die zuständigen Behörden nach Artikel 7;

b)

den Austausch sowohl von PNR-Daten als auch der Ergebnisse der Verarbeitung dieser Daten mit den PNR-Zentralstellen anderer Mitgliedstaaten und mit Europol gemäß den Artikeln 9 und 10.

(3)   Das Personal der PNR-Zentralstelle kann aus Mitarbeitern zuständiger Behörden bestehen, die zu diesem Zweck abgeordnet wurden. Die Mitgliedstaaten stellen den PNR-Zentralstellen angemessene Ressourcen zur Verfügung, damit sie ihre Aufgaben erfüllen können.

(4)   Zwei oder mehr Mitgliedstaaten (die beteiligten Mitgliedstaaten) können gemeinsam eine einzige Behörde errichten oder benennen, die als ihre PNR-Zentralstelle handelt. Diese PNR-Zentralstelle hat ihren Sitz in einem der beteiligten Mitgliedstaaten und gilt als nationale PNR-Zentralstelle aller beteiligten Mitgliedstaaten. Die beteiligten Mitgliedstaaten einigen sich gemeinsam unter Beachtung der Anforderungen dieser Richtlinie über die genauen Modalitäten, unter denen die PNR-Zentralstelle ihrer Tätigkeit nachgeht.

(5)   Innerhalb eines Monats nach der Errichtung seiner PNR-Zentralstelle teilt jeder Mitgliedstaat dies der Kommission mit und kann seine Mitteilung jederzeit ändern. Die Kommission veröffentlicht die Mitteilung sowie alle nachfolgenden Änderungen im Amtsblatt der Europäischen Union.

Artikel 5

Datenschutzbeauftragter der PNR-Zentralstelle

(1)   Die PNR-Zentralstelle ernennt einen Datenschutzbeauftragten, der für die Überwachung der Verarbeitung der PNR-Daten und die Umsetzung der maßgeblichen Sicherheitsvorkehrungen zuständig ist.

(2)   Die Mitgliedstaaten stellen den Datenschutzbeauftragten die Mittel zur Verfügung, damit sie ihre Pflichten und Aufgaben gemäß diesem Artikel wirksam und unabhängig wahrnehmen können.

(3)   Die Mitgliedstaaten sorgen dafür, dass eine betroffene Person das Recht hat, den Datenschutzbeauftragten als zentrale Kontaktstelle im Zusammenhang mit allen Fragen bezüglich der Verarbeitung der PNR-Daten der betroffenen Person zu kontaktieren.

Artikel 6

Verarbeitung der PNR-Daten

(1)   Die von den Fluggesellschaften übermittelten PNR-Daten werden von der PNR-Zentralstelle des betreffenden Mitgliedstaats gemäß Artikel 8 erhoben. Wenn die von Fluggesellschaften übermittelten PNR-Daten andere als die in Anhang I genannten Daten beinhalten, werden diese Daten von der PNR-Zentralstelle unmittelbar nach ihrem Eingang dauerhaft gelöscht.

(2)   Die PNR-Zentralstelle verarbeitet PNR-Daten ausschließlich zu folgenden Zwecken:

a)

Überprüfung von Fluggästen vor ihrer planmäßigen Ankunft in einem Mitgliedstaat oder vor ihrem Abflug von einem Mitgliedstaat, um diejenigen Personen zu ermitteln, die von den zuständigen Behörden gemäß Artikel 7 und gegebenenfalls — im Einklang mit Artikel 10 — von Europol genauer überprüft werden müssen, da sie möglicherweise an einer terroristischen Straftat oder an schwerer Kriminalität beteiligt sind;

b)

im Einzelfall Beantwortung von auf einer hinreichenden Grundlage gebührend begründeten Anfragen zuständiger Behörden hinsichtlich der Zurverfügungstellung und Verarbeitung von PNR-Daten in besonderen Fällen zum Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten oder schwerer Kriminalität, und der Zurverfügungstellung der Ergebnisse dieser Verarbeitung an die zuständigen Behörden oder gegebenenfalls an Europol, und

c)

Analyse von PNR-Daten zwecks Aktualisierung der Kriterien oder Aufstellung neuer Kriterien zur Verwendung in gemäß Absatz 3 Buchstabe b durchgeführten Überprüfungen, die der Ermittlung von Personen gelten, die möglicherweise an einer terroristischen Straftat oder an schwerer Kriminalität beteiligt sind.

(3)   Bei der Durchführung der in Absatz 2 Buchstabe a genannten Überprüfungen darf die PNR-Zentralstelle

a)

die PNR-Daten mit Datenbanken, die zum Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität maßgeblich sind, einschließlich Datenbanken betreffend Personen oder Gegenstände, nach denen gefahndet wird oder die Gegenstand einer Ausschreibung sind, unter Einhaltung der für solche Datenbanken einschlägigen nationalen, internationalen und Unionsvorschriften abgleichen; oder

b)

die PNR-Daten anhand im Voraus festgelegter Kriterien abgleichen.

(4)   Die Überprüfung von Fluggästen vor ihrer planmäßigen Ankunft in einem Mitgliedstaat oder vor ihrem Abflug von einem Mitgliedstaat anhand im Voraus festgelegter Kriterien gemäß Absatz 3 Buchstabe b erfolgt in nichtdiskriminierender Weise. Diese im Voraus festgelegten Kriterien müssen zielgerichtet, verhältnismäßig und bestimmt sein. Die Mitgliedstaaten stellen sicher, dass diese Kriterien von der PNR-Zentralstelle aufgestellt und von ihr in Zusammenarbeit mit den in Artikel 7 genannten zuständigen Behörden regelmäßig überprüft werden. Die rassische oder ethnische Herkunft, die politischen Meinungen, die religiösen oder weltanschaulichen Überzeugungen, die Mitgliedschaft in einer Gewerkschaft, der Gesundheitszustand, das Sexualleben oder die sexuelle Orientierung einer Person dürfen unter keinen Umständen als Grundlage für diese Kriterien dienen.

(5)   Die Mitgliedstaaten stellen sicher, dass jeder einzelne Treffer bei der automatisierten Verarbeitung von PNR-Daten nach Maßgabe von Absatz 2 Buchstabe a auf andere, nicht-automatisierte Art individuell überprüft wird, um zu klären, ob die zuständige Behörde gemäß Artikel 7 Maßnahmen im Einklang mit dem nationalen Recht ergreifen muss.

(6)   Die PNR-Zentralstelle eines Mitgliedstaats übermittelt die PNR-Daten von nach Absatz 2 Buchstabe a ermittelten Personen oder die Ergebnisse der Verarbeitung dieser Daten zur weiteren Überprüfung an die zuständigen Behörden gemäß Artikel 7 desselben Mitgliedstaats. Derartige Übermittlungen dürfen nur im Einzelfall erfolgen und im Fall einer automatisierten Verarbeitung der PNR-Daten nur nach einer individuellen Überprüfung auf andere, nicht-automatisierte Art.

(7)   Die Mitgliedstaaten stellen sicher, dass der Datenschutzbeauftragte Zugang zu sämtlichen von der PNR-Zentralstelle verarbeiteten Daten erhält. Wenn der Datenschutzbeauftragte der Auffassung ist, dass eine Verarbeitung von Daten nicht rechtmäßig war, kann er die Angelegenheit an die nationale Kontrollstelle verweisen.

(8)   Die Speicherung, Verarbeitung und Auswertung von PNR-Daten durch die PNR-Zentralstelle erfolgt ausschließlich an einem gesicherten Ort bzw. gesicherten Orten im Hoheitsgebiet der Mitgliedstaaten.

(9)   Das Recht zur Einreise von Personen, die im Hoheitsgebiet des betreffenden Mitgliedstaats gemäß der Richtlinie 2004/38/EG des Europäischen Parlaments und des Rates (11) das Unionsrecht auf freien Personenverkehr genießen, darf von den Auswirkungen der Überprüfungen von Fluggästen gemäß Absatz 2 Buchstabe a dieses Artikels nicht beeinträchtigt werden. Darüber hinaus müssen, wenn Überprüfungen in Bezug auf EU-Flüge zwischen Mitgliedstaaten vorgenommen werden, für die die Verordnung (EG) Nr. 562/2006 des Europäischen Parlaments und des Rates (12) gilt, die Auswirkungen solcher Überprüfungen mit der genannten Verordnung im Einklang stehen.

Artikel 7

Zuständige Behörden

(1)   Jeder Mitgliedstaat erstellt eine Liste der zuständigen Behörden, die berechtigt sind, zum Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten oder schwerer Kriminalität PNR-Daten oder die Ergebnisse der Verarbeitung dieser Daten von den PNR-Zentralstellen anzufordern oder entgegenzunehmen, um sie einer weiteren Prüfung zu unterziehen oder um geeignete Maßnahmen zu veranlassen.

(2)   Die in Absatz 1 genannten Behörden sind diejenigen Behörden, die für die Verhütung, Aufdeckung, Ermittlung oder Verfolgung von terroristischen Straftaten oder schwerer Kriminalität zuständig sind.

(3)   Für die Zwecke des Artikels 9 Absatz 3 übermittelt jeder Mitgliedstaat der Kommission bis zum 25. Mai 2017 die Liste seiner zuständigen Behörden und kann seine Mitteilung jederzeit ändern. Die Kommission veröffentlicht die Mitteilung und eventuelle Änderungen derselben im Amtsblatt der Europäischen Union.

(4)   Die PNR-Daten und die Ergebnisse der Verarbeitung dieser Daten, die aus der PNR-Zentralstelle eingehen, dürfen von den zuständigen Behörden der Mitgliedstaaten ausschließlich zum bestimmten Zweck der Verhütung, Aufdeckung, Ermittlung oder Verfolgung terroristischer Straftaten oder schwerer Kriminalität weiterverarbeitet werden.

(5)   Absatz 4 berührt nicht die Befugnisse der Strafverfolgungs- oder Justizbehörden der Mitgliedstaaten in Fällen, in denen im Verlauf von Strafverfolgungsmaßnahmen im Anschluss an eine derartige Verarbeitung andere Straftaten festgestellt werden oder sich Anhaltspunkte für solche Straftaten ergeben.

(6)   Die zuständigen Behörden treffen Entscheidungen, aus denen sich eine nachteilige Rechtsfolge oder ein sonstiger schwerwiegender Nachteil für die betroffene Person ergibt, unter keinen Umständen allein auf der Grundlage der automatisierten Verarbeitung der PNR-Daten. Ebenso wenig werden solche Entscheidungen aufgrund der rassischen oder ethnischen Herkunft, der politischen Meinungen, der religiösen oder weltanschaulichen Überzeugungen, der Mitgliedschaft in einer Gewerkschaft, des Gesundheitszustands, des Sexuallebens oder der sexuellen Orientierung einer Person getroffen.

Artikel 8

Datenübermittlungspflichten der Fluggesellschaften

(1)   Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass Fluggesellschaften mittels der „Push-Methode“ die in Anhang I aufgelisteten PNR-Daten an die Datenbank der PNR-Zentralstelle des Mitgliedstaats übermitteln, in dessen Hoheitsgebiet der betreffende Flug ankommt oder von dem er abgeht, soweit sie solche Daten im Rahmen ihrer normalen Geschäftstätigkeit bereits erhoben haben. Bei Flügen mit Code-Sharing zwischen mehreren Fluggesellschaften liegt die Pflicht zur Übermittlung der PNR-Daten aller Fluggäste des Fluges bei der Fluggesellschaft, die den Flug durchführt. Erfolgen auf einem Drittstaatsflug eine oder mehrere Zwischenlandungen auf Flughäfen der Mitgliedstaaten, so übermitteln die Fluggesellschaften die PNR-Daten aller Fluggäste an die PNR-Zentralstellen aller betreffenden Mitgliedstaaten. Dies gilt auch, wenn bei einem EU-Flug eine oder mehrere Zwischenlandungen auf den Flughäfen verschiedener Mitgliedstaaten erfolgen, jedoch nur in Bezug auf Mitgliedstaaten, die PNR-Daten zu EU-Flügen erheben.

(2)   Falls die Fluggesellschaften in Anhang I Nummer 18 aufgelistete erweiterte Fluggastdaten (API-Daten) erhoben haben, diese aber nicht auf die gleiche technische Weise wie andere PNR-Daten vorhalten, treffen die Mitgliedstaaten die erforderlichen Maßnahmen, um sicherzustellen, dass die Fluggesellschaften mittels der „Push-Methode“ auch diese Daten der PNR-Zentralstelle des in Absatz 1 genannten Mitgliedstaats übermitteln. Im Fall einer solchen Übermittlung gelten sämtliche Bestimmungen dieser Richtlinie in Bezug auf diese API-Daten.

(3)   Die Fluggesellschaften übermitteln die PNR-Daten auf elektronischem Wege unter Verwendung der nach dem Prüfverfahren des Artikels 17 Absatz 2 festzulegenden gemeinsamen Protokolle und unterstützten Datenformate oder bei technischen Störungen auf jede andere geeignete Weise, die ein angemessenes Datensicherheitsniveau gewährleistet, und zwar

a)

24 bis 48 Stunden vor der planmäßigen Abflugzeit sowie

b)

sofort nach Abfertigungsschluss, d. h., unmittelbar nachdem sich die Fluggäste vor dem Start an Bord des Flugzeugs begeben haben und keine Fluggäste mehr an Bord kommen oder von Bord gehen können.

(4)   Die Mitgliedstaaten gestatten den Fluggesellschaften, die Übermittlung nach Absatz 3 Buchstabe b auf Aktualisierungen der gemäß Absatz 3 Buchstabe a übermittelten Daten zu beschränken.

(5)   Wenn der Zugriff auf PNR-Daten erforderlich ist, um eine bestimmte und gegenwärtige Bedrohung im Zusammenhang mit terroristischen Straftaten oder schwerer Kriminalität abzuwehren, übermitteln die Fluggesellschaften die PNR-Daten in Einzelfällen auf Anfrage einer PNR-Zentralstelle im Einklang mit dem nationalen Recht zu anderen als den in Absatz 3 genannten Zeitpunkten.

Artikel 9

Informationsaustausch zwischen den Mitgliedstaaten

(1)   Die Mitgliedstaaten stellen sicher, dass alle relevanten und erforderlichen PNR-Daten oder die Ergebnisse der Verarbeitung dieser Daten von Personen, die von einer PNR-Zentralstelle nach Artikel 6 Absatz 2 ermittelt wurden, von dieser PNR-Zentralstelle den entsprechenden PNR-Zentralstellen der anderen Mitgliedstaaten übermittelt werden. Die PNR-Zentralstellen der Empfängermitgliedstaaten leiten gemäß Artikel 6 Absatz 6 die erhaltenen Daten an ihre zuständigen Behörden weiter.

(2)   Die PNR-Zentralstelle eines Mitgliedstaats ist berechtigt, im Bedarfsfall bei der PNR-Zentralstelle jedes anderen Mitgliedstaats PNR-Daten, die in deren Datenbank vorgehalten werden und noch nicht gemäß Artikel 12 Absatz 2 durch Unkenntlichmachung von Datenelementen depersonalisiert wurden, sowie erforderlichenfalls auch die Ergebnisse jeglicher Verarbeitung dieser Daten, wenn dies bereits gemäß Artikel 6 Absatz 2 Buchstabe a erfolgt ist, anzufordern. Eine solche Anfrage ist gebührend zu begründen. Sie kann ein beliebiges Datenelement oder eine Kombination von Datenelementen betreffen, je nachdem, was die anfordernde PNR-Zentralstelle in dem konkreten Fall im Hinblick auf die Verhütung, Aufdeckung, Ermittlung oder Verfolgung von terroristischen Straftaten oder schwerer Kriminalität für erforderlich erachtet. Die PNR-Zentralstellen übermitteln die angeforderten Informationen so rasch wie möglich. Falls die angeforderten Daten gemäß Artikel 12 Absatz 2 durch Unkenntlichmachung von Datenelementen depersonalisiert worden sind, stellt die PNR-Zentralstelle die vollständigen PNR-Daten nur bereit, wenn berechtigter Grund zu der Annahme besteht, dass dies für die Zwecke des Artikels 6 Absatz 2 Buchstabe b erforderlich ist, und nur, wenn sie durch eine in Artikel 12 Absatz 3 Buchstabe b genannte Behörde dazu ermächtigt ist.

(3)   Die zuständigen Behörden eines Mitgliedstaats können bei der PNR-Zentralstelle jedes anderen Mitgliedstaats PNR-Daten, die in deren Datenbank vorgehalten werden, nur dann direkt anfordern, wenn dies in Notfällen erforderlich ist; dabei gelten die in Absatz 2 festgelegten Bedingungen. Die Anfragen der zuständigen Behörden müssen begründet sein. Der PNR-Zentralstelle des anfordernden Mitgliedstaats ist stets eine Kopie der Anfrage zu übermitteln. In allen übrigen Fällen richten die zuständigen Behörden ihre Anfrage zuerst an die PNR-Zentralstelle ihres Mitgliedstaats, die sie anschließend weiterleitet.

(4)   Ist ausnahmsweise ein Zugriff auf PNR-Daten erforderlich, um eine bestimmte und gegenwärtige Bedrohung im Zusammenhang mit terroristischen Straftaten oder schwerer Kriminalität abwehren zu können, so ist die PNR-Zentralstelle eines Mitgliedstaats berechtigt, von der PNR-Zentralstelle eines anderen Mitgliedstaats zu verlangen, PNR-Daten gemäß Artikel 8 Absatz 5 anzufordern und sie der PNR-Zentralstelle, die die Anfrage gestellt hat, bereitzustellen.

(5)   Der Austausch von Informationen nach Maßgabe dieses Artikels kann über alle Kanäle erfolgen, die für die Zusammenarbeit zwischen den zuständigen Behörden der Mitgliedstaaten verfügbar sind. Für die Anfrage und den Informationsaustausch ist die Sprache zu verwenden, die der jeweils gewählte Kommunikationsweg erfordert. Die Mitgliedstaaten teilen der Kommission zusammen mit ihren Angaben gemäß Artikel 4 Absatz 5 die Daten einer Kontaktstelle für Anfragen in Notfällen mit. Die Kommission leitet diese Daten an die Mitgliedstaaten weiter.

Artikel 10

Bedingungen für den Zugang von Europol zu PNR-Daten

(1)   Europol ist berechtigt, im Rahmen seiner Zuständigkeiten und zur Ausübung seiner Aufgaben PNR-Daten oder die Ergebnisse der Verarbeitung dieser Daten von den PNR-Zentralstellen der Mitgliedstaaten anzufordern.

(2)   Europol kann im Einzelfall über die nationale Europol-Stelle eine gebührend begründete Anfrage an die PNR-Zentralstelle eines Mitgliedstaats zwecks Übermittlung bestimmter PNR-Daten oder der Ergebnisse der Verarbeitung dieser Daten auf elektronischem Wege richten. Europol kann eine solche Anfrage stellen, wenn dies für die Unterstützung und Verstärkung von Maßnahmen der Mitgliedstaaten zur Verhütung, Aufdeckung oder Ermittlung einer bestimmten terroristischen Straftat oder schwerer Kriminalität unbedingt notwendig ist und die Straftat gemäß dem Beschluss 2009/371/JI in die Zuständigkeit von Europol fällt. In dieser Anfrage sind hinreichende Gründe dafür anzugeben, dass Europol davon ausgeht, dass die Übermittlung der PNR-Daten oder der Ergebnisse der Verarbeitung von PNR-Daten wesentlich zur Verhütung, Aufdeckung oder Ermittlung der betreffenden Straftat beitragen wird.

(3)   Europol benachrichtigt den gemäß Artikel 28 des Beschlusses 2009/371/JI ernannten Datenschutzbeauftragten über jeden Informationsaustausch gemäß diesem Artikel.

(4)   Der Informationsaustausch gemäß diesem Artikel erfolgt über SIENA und in Einklang mit dem Beschluss 2009/371/JI. Für die Anfrage und den Informationsaustausch ist die Sprache zu verwenden, die für SIENA Anwendung findet.

Artikel 11

Übermittlungen von Daten an Drittstaaten

(1)   Die Mitgliedstaaten dürfen die PNR-Daten und die Ergebnisse der Verarbeitung dieser Daten, die durch die PNR-Zentralstelle nach Artikel 12 gespeichert werden, nur im Einzelfall und nur dann an einen Drittstaat übermitteln, wenn

a)

die Bedingungen des Artikels 13 des Rahmenbeschlusses 2008/977/JI erfüllt sind;

b)

die Übermittlung für die in Artikel 1 Absatz 2 genannten Zwecke dieser Richtlinie erforderlich ist;

c)

der Drittstaat sich bereit erklärt, die Daten nur dann an einen anderen Drittstaat zu übermitteln, wenn dies für die in Artikel 1 Absatz 2 genannten Zwecke dieser Richtlinie unbedingt notwendig ist und nur wenn der jeweilige Mitgliedstaat ausdrücklich zustimmt, und

d)

die gleichen Bedingungen wie in Artikel 9 Absatz 2 erfüllt sind.

(2)   Ungeachtet des Artikels 13 Absatz 2 des Rahmenbeschlusses 2008/977/JI sind Übermittlungen von PNR-Daten ohne vorherige Zustimmung des Mitgliedstaats, von dem die Daten eingeholt wurden, nur unter außergewöhnlichen Umständen und nur dann zulässig, wenn

a)

eine solche Übermittlung unerlässlich ist, um eine bestimmte und gegenwärtige Bedrohung durch terroristische Straftaten oder schwere Kriminalität in einem Mitgliedstaat oder einem Drittstaat abzuwehren, und

b)

die vorherige Zustimmung nicht rechtzeitig eingeholt werden kann.

Die für die Erteilung der Zustimmung zuständige Behörde wird unverzüglich unterrichtet und die Übermittlung wird ordnungsgemäß aufgezeichnet und einer Ex-Post-Überprüfung unterzogen.

(3)   Die Mitgliedstaaten übermitteln PNR-Daten nur unter Bedingungen im Einklang mit dieser Richtlinie und nach Vergewisserung, dass die von den Empfängern beabsichtigte Verwendung der PNR-Daten mit diesen Bedingungen und Sicherheitsvorkehrungen in Einklang steht, an die zuständigen Behörden von Drittstaaten.

(4)   Der Datenschutzbeauftragte der PNR-Zentralstelle des Mitgliedstaats, der die PNR-Daten übermittelt hat, wird über jede Übermittlung von PNR-Daten durch den Mitgliedstaat gemäß diesem Artikel unterrichtet.

Artikel 12

Speicherfrist und Depersonalisierung

(1)   Die Mitgliedstaaten stellen sicher, dass die von den Fluggesellschaften an die PNR-Zentralstelle übermittelten PNR-Daten für einen Zeitraum von fünf Jahren ab ihrer Übermittlung an die PNR-Zentralstelle des Mitgliedstaats, in dessen Hoheitsgebiet der Flug angekommen beziehungsweise von dem er abgegangen ist, in einer bei dieser PNR-Zentralstelle angesiedelten Datenbank vorgehalten werden.

(2)   Nach Ablauf einer Frist von sechs Monaten ab Übermittlung der PNR-Daten gemäß Absatz 1 werden alle PNR-Daten durch Unkenntlichmachung der folgenden Datenelemente, mit denen die Identität des Fluggasts, auf den sich die PNR-Daten beziehen, unmittelbar festgestellt werden könnte, depersonalisiert:

a)

Name(n), auch die Namen und die Zahl der im PNR-Datensatz verzeichneten mitreisenden Personen;

b)

Anschrift und Kontaktdaten;

c)

alle Arten von Zahlungsinformationen einschließlich Rechnungsanschrift, die zur unmittelbaren Feststellung der Identität des Fluggasts, zu dem die PNR-Daten erstellt wurden, oder anderer Personen beitragen könnten;

d)

Vielflieger-Eintrag;

e)

allgemeine Hinweise, die zur unmittelbaren Feststellung der Identität des Fluggastes beitragen könnten, zu dem die PNR-Daten erstellt wurden, und

f)

jedwede erhobenen API-Daten.

(3)   Nach Ablauf der in Absatz 2 genannten Frist von sechs Monaten ist die Offenlegung der vollständigen PNR-Daten nur zulässig, wenn

a)

berechtigter Grund zu der Annahme besteht, dass dies für die Zwecke des Artikels 6 Absatz 2 Buchstabe b erforderlich ist und

b)

dies genehmigt wird durch

i)

eine Justizbehörde oder

ii)

eine andere nationale Behörde, die nach nationalem Recht dafür zuständig ist zu überprüfen, ob die Bedingungen für die Offenlegung erfüllt sind, vorbehaltlich der Unterrichtung des Datenschutzbeauftragten der PNR-Zentralstelle und einer Ex-Post-Überprüfung durch diesen Datenschutzbeauftragten.

(4)   Die Mitgliedstaaten stellen sicher, dass die PNR-Daten nach Ablauf der Frist nach Absatz 1 dauerhaft gelöscht werden. Diese Verpflichtung lässt Fälle unberührt, in denen bestimmte PNR-Daten an eine zuständige Behörde übermittelt wurden und im Zusammenhang mit einem konkreten Fall zum Zwecke der Verhütung, Aufdeckung, Ermittlung oder Verfolgung terroristischer Straftaten oder schwerer Kriminalität verwendet werden; in diesem Fall richtet sich die Frist für die Speicherung dieser Daten durch die zuständige Behörde nach nationalem Recht.

(5)   Die Ergebnisse der Verarbeitung nach Artikel 6 Absatz 2 Buchstabe a werden von der PNR-Zentralstelle nur so lange vorgehalten, wie dies erforderlich ist, um die zuständigen Behörden und die PNR-Zentralstellen anderer Mitgliedstaaten gemäß Artikel 9 Absatz 1 über einen Treffer zu informieren. Fällt die in Artikel 6 Absatz 5 genannte anschließende individuelle nicht-automatisierte Überprüfung eines Treffers bei der automatisierten Verarbeitung negativ aus, so kann dieses Ergebnis dennoch gespeichert werden, um künftige „falsche“ Treffer zu vermeiden, solange die dazugehörigen Daten nicht gemäß Absatz 4 dieses Artikels gelöscht sind.

Artikel 13

Schutz personenbezogener Daten

(1)   Jeder Mitgliedstaat sorgt im Zusammenhang mit der Verarbeitung personenbezogener Daten nach dieser Richtlinie dafür, dass die Rechte jedes Fluggasts in Bezug auf Schutz personenbezogener Daten, Zugang, Berichtigung, Löschung und Einschränkung der Verarbeitung sowie Schadenersatz und Rechtsbehelfe den Rechten entsprechen, die nach Unionsrecht und nationalem Recht sowie zur Umsetzung der Artikel 17, 18, 19 und 20 des Rahmenbeschlusses 2008/977/JI festgelegt sind. Diesbezüglich gelten daher jene Artikel.

(2)   Jeder Mitgliedstaat sorgt dafür, dass die nach nationalem Recht erlassenen Bestimmungen zur Umsetzung der Artikel 21 und 22 des Rahmenbeschlusses 2008/977/JI betreffend die Vertraulichkeit der Verarbeitung und die Datensicherheit ebenfalls auf jede Verarbeitung personenbezogener Daten nach dieser Richtlinie Anwendung finden.

(3)   Diese Richtlinie berührt nicht die Anwendbarkeit der Richtlinie 95/46/EG des Europäischen Parlamentes und des Rates (13) auf die Verarbeitung personenbezogener Daten durch Fluggesellschaften, insbesondere deren Pflichten, geeignete technische und organisatorische Maßnahmen zum Schutz der Sicherheit und Vertraulichkeit der personenbezogenen Daten zu treffen.

(4)   Die Mitgliedstaaten untersagen die Verarbeitung von PNR-Daten, die die rassische oder ethnische Herkunft einer Person, ihre politischen Meinungen, ihre religiösen oder weltanschaulichen Überzeugungen, ihre Mitgliedschaft in einer Gewerkschaft, ihren Gesundheitszustand oder ihr Sexualleben oder ihre sexuelle Orientierung erkennen lassen. Bei der PNR-Zentralstelle eingehende PNR-Daten, aus denen derartige Informationen hervorgehen, werden umgehend gelöscht.

(5)   Die Mitgliedstaaten sorgen dafür, dass die PNR-Zentralstellen alle ihrer Zuständigkeit unterliegenden Verarbeitungssysteme und -verfahren dokumentieren. Diese Dokumentation muss zumindest folgende Unterlagen enthalten:

a)

den Namen und die Kontaktinformationen der Organisation und des Personals der PNR-Zentralstelle, die mit der Verarbeitung der PNR-Daten beauftragt sind, und die verschiedenen Ebenen der Zugangsberechtigungen;

b)

die Anfragen von zuständigen Behörden und PNR-Zentralstellen anderer Mitgliedstaaten;

c)

jede Anfrage und jede Übermittlung von PNR-Daten durch bzw. an Drittstaaten.

Die PNR-Zentralstelle stellt der nationalen Kontrollstelle auf Anfrage alle verfügbare Dokumentation zur Verfügung.

(6)   Die Mitgliedstaaten stellen sicher, dass die PNR-Zentralstelle mindestens über folgende Verarbeitungsvorgänge Aufzeichnungen führt: Erhebung, Abfrage, Offenlegung und Löschung. Den Aufzeichnungen über Abfragen und Offenlegung müssen der Zweck, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identität der Person zu entnehmen sein, die die PNR-Daten abgefragt oder offengelegt hat, sowie die Identität der Empfänger dieser Daten. Die Aufzeichnungen werden ausschließlich zu Zwecken der Überprüfung, der Eigenüberwachung, der Sicherstellung der Datenintegrität und der Datensicherheit oder des Audits verwendet. Die PNR-Zentralstelle stellt der nationalen Kontrollstelle auf Anfrage die Aufzeichnungen zur Verfügung.

Diese Aufzeichnungen sind fünf Jahre lang aufzubewahren.

(7)   Die Mitgliedstaaten sorgen dafür, dass ihre PNR-Zentralstelle technische und organisatorische Maßnahmen und Verfahren umsetzt, um ein hohes Sicherheitsniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden PNR-Daten angemessen ist.

(8)   Die Mitgliedstaaten sorgen dafür, dass die PNR-Zentralstelle die betroffene Person und die nationale Kontrollstelle unverzüglich von einer Verletzung des Schutzes personenbezogener Daten benachrichtigt, wenn diese Verletzung voraussichtlich ein hohes Risiko für den Schutz der personenbezogenen Daten oder eine Verletzung der Privatsphäre der betroffenen Person zur Folge hat.

Artikel 14

Sanktionen

Die Mitgliedstaaten erlassen Vorschriften über Sanktionen, die bei Verstößen gegen die gemäß dieser Richtlinie erlassenen nationalen Vorschriften zu verhängen sind, und treffen alle für die Anwendung der Sanktionen erforderlichen Maßnahmen.

Insbesondere erlassen die Mitgliedstaaten Vorschriften über Sanktionen einschließlich Geldbußen gegen Fluggesellschaften, die die Daten nicht gemäß Artikel 8 übermitteln oder hierzu nicht das vorgeschriebene Format verwenden.

Die vorgesehenen Sanktionen müssen wirksam, angemessen und abschreckend sein.

Artikel 15

Nationale Kontrollstelle

(1)   Jeder Mitgliedstaat sorgt dafür, dass die nationale Kontrollstelle gemäß Artikel 25 des Rahmenbeschlusses 2008/977/JI für die Beratung und Kontrolle hinsichtlich der Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen nationalen Vorschriften in seinem Hoheitsgebiet verantwortlich ist. Artikel 25 des Rahmenbeschlusses 2008/977/JI findet Anwendung.

(2)   Diese nationalen Kontrollstellen erfüllen ihre Aufgaben gemäß Absatz 1, um die Grundrechte im Zusammenhang mit der Verarbeitung personenbezogener Daten zu schützen.

(3)   Aufgaben jeder nationalen Kontrollstelle sind

a)

die Behandlung von Beschwerden betroffener Personen, die Untersuchung der Angelegenheit und Unterrichtung der betroffenen Personen über den Fortgang und das Ergebnis der Beschwerde innerhalb einer angemessenen Frist;

b)

die Prüfung der Rechtmäßigkeit der Datenverarbeitung, die Durchführung von Ermittlungen, Inspektionen und Audits gemäß nationalem Recht entweder aus eigener Initiative oder aufgrund einer Beschwerde gemäß Buchstabe a.

(4)   Jede nationale Kontrollstelle berät auf Anfrage eine betroffene Person bei der Wahrnehmung der Rechte, die ihr aufgrund der nach Maßgabe dieser Richtlinie erlassenen Vorschriften zustehen.

KAPITEL III

Durchführungsmassnahmen

Artikel 16

Gemeinsame Protokolle und unterstützte Datenformate

(1)   Alle von den Fluggesellschaften für die Zwecke dieser Richtlinie vorgenommenen Übermittlungen von PNR-Daten an die PNR-Zentralstellen erfolgen mittels elektronischer Hilfsmittel, die hinsichtlich der technischen Sicherheitsmaßnahmen und organisatorischen Vorkehrungen für die vorzunehmende Verarbeitung ausreichende Gewähr bieten. Bei einer technischen Störung werden die PNR-Daten auf jede andere geeignete Weise übermittelt, vorausgesetzt, dass die gleiche Sicherheitsstufe beibehalten und das Datenschutzrecht der Union vollständig eingehalten wird.

(2)   Ein Jahr nach der ersten Annahme der gemeinsamen Protokolle und unterstützten Datenformate durch die Kommission gemäß Absatz 3 erfolgen sämtliche von den Fluggesellschaften für die Zwecke dieser Richtlinie vorgenommenen Übermittlungen von PNR-Daten an die PNR-Zentralstellen auf elektronischem Weg unter Verwendung sicherer Übermittlungsmethoden entsprechend diesen gemeinsamen Protokollen. Diese Protokolle sind für alle Übermittlungen identisch, um die Sicherheit der PNR-Daten während der Übermittlung zu gewährleisten. Die PNR-Daten werden unter Verwendung eines unterstützten Datenformats übermittelt, das die Lesbarkeit der Daten für alle Beteiligten garantiert. Alle Fluggesellschaften sind gehalten, das gemeinsame Protokoll und das Datenformat, das sie für ihre Übermittlungen zu verwenden gedenken, auszuwählen und beides der PNR-Zentralstelle mitzuteilen.

(3)   Die Liste der gemeinsamen Protokolle und unterstützten Datenformate wird mittels Durchführungsrechtsakten von der Kommission erstellt und im Bedarfsfall angepasst. Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 17 Absatz 2 erlassen.

(4)   Absatz 1 ist anwendbar, solange die gemeinsamen Protokolle und unterstützten Datenformate gemäß den Absätzen 2 und 3 nicht vorliegen.

(5)   Die Mitgliedstaaten stellen sicher, dass innerhalb eines Jahres nach der Annahme der in Absatz 2 genannten gemeinsamen Protokolle und Datenformate die erforderlichen technischen Maßnahmen ergriffen werden, damit die gemeinsamen Protokolle und Datenformate angewendet werden können.

Artikel 17

Ausschussverfahren

(1)   Die Kommission wird von einem Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.

(2)   Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.

Gibt der Ausschuss keine Stellungnahme ab, so erlässt die Kommission den Entwurf des Durchführungsrechtsakts nicht und Artikel 5 Absatz 4 Unterabsatz 3 der Verordnung (EU) Nr. 182/2011 findet Anwendung.

KAPITEL IV

Schlussbestimmungen

Artikel 18

Umsetzung

(1)   Die Mitgliedstaaten setzen die Rechts- und Verwaltungsvorschriften in Kraft, die erforderlich sind, um dieser Richtlinie bis zum 25. Mai 2018 nachzukommen. Sie setzen die Kommission unverzüglich davon in Kenntnis.

Bei Erlass dieser Vorschriften nehmen die Mitgliedstaaten in den Vorschriften selbst oder durch einen Hinweis bei der amtlichen Veröffentlichung auf die vorliegende Richtlinie Bezug. Die Mitgliedstaaten regeln die Einzelheiten der Bezugnahme.

(2)   Die Mitgliedstaaten teilen der Kommission den Wortlaut der wichtigsten nationalen Rechtsvorschriften mit, die sie auf dem unter diese Richtlinie fallenden Gebiet erlassen.

Artikel 19

Überprüfung

(1)   Anhand von Informationen der Mitgliedstaaten, einschließlich der statistischen Daten nach Artikel 20 Absatz 2, nimmt die Kommission bis zum 25. Mai 2020 eine Überprüfung aller Elemente dieser Richtlinie vor und legt dem Europäischen Parlament und dem Rat einen Bericht vor und erläutert diesen.

(2)   Bei der Vornahme ihrer Überprüfung berücksichtigt die Kommission insbesondere

a)

die Einhaltung des einschlägigen Schutzstandards bezüglich personenbezogener Daten;

b)

die Erforderlichkeit und Verhältnismäßigkeit der Erhebung und Verarbeitung von PNR-Daten für jeden der in dieser Richtlinie genannten Zwecke;

c)

die Datenspeicherungsfristen;

d)

die Effektivität des Informationsaustauschs zwischen den Mitgliedstaaten und

e)

die Qualität der Prüfungen, einschließlich in Bezug auf die nach Maßgabe von Artikel 20 erhobenen statistischen Daten.

(3)   Der Bericht gemäß Absatz 1 enthält zudem eine Überprüfung der Erforderlichkeit, Verhältnismäßigkeit und Wirksamkeit der Aufnahme der obligatorischen Erhebung und Übermittlung von PNR-Daten in Bezug auf sämtliche oder ausgewählte EU-Flüge in den Anwendungsbereich dieser Richtlinie. Die Kommission berücksichtigt dabei die Erfahrungen der Mitgliedstaaten, insbesondere jener Mitgliedstaaten, die gemäß Absatz 2 diese Richtlinie auf EU-Flüge anwenden. In dem Bericht wird auch geprüft, ob es erforderlich ist, Wirtschaftsteilnehmer, die keine Beförderungsunternehmen sind, wie etwa Reisebüros oder Reiseveranstalter, die Dienstleistungen im Zusammenhang mit Reisen — einschließlich Flugbuchungen — erbringen, in den Anwendungsbereich dieser Richtlinie aufzunehmen.

(4)   Auf der Grundlage der Überprüfung nach diesem Artikel legt die Kommission dem Europäischen Parlament und dem Rat gegebenenfalls einen Gesetzgebungsvorschlag zur Änderung dieser Richtlinie vor.

Artikel 20

Statistische Daten

(1)   Die Mitgliedstaaten stellen der Kommission jährlich Statistiken über die an die PNR-Zentralstellen übermittelten PNR-Daten zur Verfügung. Diese Statistiken dürfen keine personenbezogenen Daten enthalten.

(2)   Die Statistiken müssen mindestens Folgendes ausweisen:

a)

die Gesamtzahl der Fluggäste, deren PNR-Daten erhoben und ausgetauscht worden sind;

b)

die Zahl der Fluggäste, bei denen eine weitere Überprüfung für angezeigt erachtet wurde.

Artikel 21

Verhältnis zu anderen Rechtsakten

(1)   Es steht den Mitgliedstaaten frei, am 24. Mai 2016 geltende bilaterale oder multilaterale Übereinkünfte oder Vereinbarungen untereinander über den Austausch von Informationen zwischen zuständigen Behörden auch weiterhin anzuwenden, soweit diese Übereinkünfte oder Vereinbarungen mit dieser Richtlinie vereinbar sind.

(2)   Diese Richtlinie berührt nicht die Anwendbarkeit der Richtlinie 95/46/EG auf die Verarbeitung personenbezogener Daten durch Fluggesellschaften.

(3)   Diese Richtlinie berührt nicht die Verpflichtungen und Zusagen der Mitgliedstaaten oder der Union aufgrund bilateraler oder multilateraler Übereinkünfte mit Drittstaaten.

Artikel 22

Inkrafttreten

Diese Richtlinie tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Diese Richtlinie ist gemäß den Verträgen an die Mitgliedstaaten gerichtet.

Geschehen zu Brüssel am 27. April 2016.

Im Namen des Europäischen Parlaments

Der Präsident

M. SCHULZ

Im Namen des Rates

Die Präsidentin

J.A. HENNIS-PLASSCHAERT


(1)  ABl. C 218 vom 23.7.2011, S. 107.

(2)  Standpunkt des Europäischen Parlaments vom 14. April 2016 (noch nicht im Amtsblatt veröffentlicht) und Beschluss des Rates vom 21. April 2016.

(3)  ABl. C 115 vom 4.5.2010, S. 1.

(4)  Richtlinie 2004/82/EG des Rates vom 29. April 2004 über die Verpflichtung von Beförderungsunternehmen, Angaben über die beförderten Personen zu übermitteln (ABl. L 261 vom 6.8.2004, S. 24).

(5)  Rahmenbeschluss des Rates 2002/475/JI vom 13. Juni 2002 zur Terrorismusbekämpfung (ABl. L 164 vom 22.6.2002, S. 3).

(6)  Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13).

(7)  Beschluss 2009/371/JI des Rates vom 6. April 2009 zur Errichtung des Europäischen Polizeiamts (Europol) (ABl. L 121 vom 15.5.2009, S. 37).

(8)  Rahmenbeschluss 2006/960/JI des Rates vom 18. Dezember 2006 über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union (ABl. L 386 vom 29.12.2006, S. 89).

(9)  Rahmenbeschluss 2008/977/JI des Rates vom 27. November 2008 über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden (ABl. L 350 vom 30.12.2008, S. 60).

(10)  Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1).

(11)  Richtlinie 2004/38/EG des Europäischen Parlaments und des Rates vom 29. April 2004 über das Recht der Unionsbürger und ihrer Familienangehörigen, sich im Hoheitsgebiet der Mitgliedstaaten frei zu bewegen und aufzuhalten, zur Änderung der Verordnung (EWG) Nr. 1612/68 und zur Aufhebung der Richtlinien 64/221/EWG, 68/360/EWG, 72/194/EWG, 73/148/EWG, 75/34/EWG, 75/35/EWG, 90/364/EWG, 90/365/EWG und 93/96/EWG (ABl. L 158 vom 30.4.2004, S. 77).

(12)  Verordnung (EG) Nr. 562/2006 des Europäischen Parlaments und des Rates vom 15. März 2006 über einen Gemeinschaftskodex für das Überschreiten der Grenzen durch Personen (Schengener Grenzkodex) (ABl. L 105 vom 13.4.2006, S. 1).

(13)  Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31).


ANHANG I

Von Fluggesellschaften erhobene PNR-Daten

1.

PNR-Buchungscode (Record Locator)

2.

Datum der Buchung/Flugscheinausstellung

3.

Planmäßiges Abflugdatum bzw. planmäßige Abflugdaten

4.

Name(n)

5.

Anschrift und Kontaktangaben (Telefonnummer, E-Mail-Adresse)

6.

Alle Arten von Zahlungsinformationen einschließlich Rechnungsanschrift

7.

Gesamter Reiseverlauf für bestimmte PNR-Daten

8.

Vielflieger-Eintrag

9.

Reisebüro/Sachbearbeiter

10.

Reisestatus des Fluggasts mit Angaben über Reisebestätigungen, Eincheckstatus, nicht angetretene Flüge (No show) und Fluggäste mit Flugschein, aber ohne Reservierung (Go show)

11.

Angaben über gesplittete/geteilte PNR-Daten

12.

Allgemeine Hinweise (einschließlich aller verfügbaren Angaben zu unbegleiteten Minderjährigen unter 18 Jahren, wie beispielsweise Name und Geschlecht des Minderjährigen, Alter, Sprache(n), Name und Kontaktdaten der Begleitperson beim Abflug und Angabe, in welcher Beziehung diese Person zu dem Minderjährigen steht, Name und Kontaktdaten der abholenden Person und Angabe, in welcher Beziehung diese Person zu dem Minderjährigen steht, begleitender Flughafenmitarbeiter bei Abflug und Ankunft)

13.

Flugscheindaten einschließlich Flugscheinnummer, Ausstellungsdatum, einfacher Flug (One-way), automatische Tarifanzeige (Automated Ticket Fare Quote fields)

14.

Sitzplatznummer und sonstige Sitzplatzinformationen

15.

Code-Sharing

16.

Vollständige Gepäckangaben

17.

Zahl und Namen von Mitreisenden im Rahmen der PNR-Daten

18.

Etwaige erhobene erweiterte Fluggastdaten (API-Daten) (einschließlich Art, Nummer, Ausstellungsland und Ablaufdatum von Identitätsdokumenten, Staatsangehörigkeit, Familienname, Vorname, Geschlecht, Geburtsdatum, Fluggesellschaft, Flugnummer, Tag des Abflugs, Tag der Ankunft, Flughafen des Abflugs, Flughafen der Ankunft, Uhrzeit des Abflugs und Uhrzeit der Ankunft)

19.

Alle vormaligen Änderungen der unter den Nummern 1 bis 18 aufgeführten PNR-Daten.


ANHANG II

Liste der strafbaren Handlungen gemäß Artikel 3 Nummer 9

1.

Beteiligung an einer kriminellen Vereinigung

2.

Menschenhandel

3.

Sexuelle Ausbeutung von Kindern und Kinderpornografie

4.

Illegaler Handel mit Drogen und psychotropen Stoffen

5.

Illegaler Handel mit Waffen, Munition und Sprengstoffen

6.

Korruption

7.

Betrugsdelikte, einschließlich Betrug zum Nachteil der finanziellen Interessen der Union

8.

Wäsche von Erträgen aus Straftaten und Geldfälschung, einschließlich Euro-Fälschung

9.

Computerstraftaten/Cyberkriminalität

10.

Umweltkriminalität, einschließlich des illegalen Handels mit bedrohten Tierarten oder mit bedrohten Pflanzen- und Baumarten

11.

Beihilfe zur illegalen Einreise und zum illegalen Aufenthalt

12.

Vorsätzliche Tötung, schwere Körperverletzung

13.

Illegaler Handel mit menschlichen Organen und menschlichem Gewebe

14.

Entführung, Freiheitsberaubung und Geiselnahme

15.

Diebstahl in organisierter Form oder mit Waffen

16.

Illegaler Handel mit Kulturgütern, einschließlich Antiquitäten und Kunstgegenständen

17.

Betrügerische Nachahmung und Produktpiraterie

18.

Fälschung von amtlichen Dokumenten und Handel damit

19.

Illegaler Handel mit Hormonen und anderen Wachstumsförderern

20.

Illegaler Handel mit nuklearen und radioaktiven Substanzen

21.

Vergewaltigung

22.

Verbrechen, die in die Zuständigkeit des Internationalen Strafgerichtshofs fallen

23.

Flugzeug- und Schiffsentführung

24.

Sabotage

25.

Handel mit gestohlenen Kraftfahrzeugen

26.

Wirtschaftsspionage


Top