6.9.2005   

DE

Amtsblatt der Europäischen Union

C 218/6

1.

Der EDPS begrüßt es, dass er nach Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 konsultiert wird. Dies bestätigt den Standpunkt, den er in seinem Grundsatzpapier vom 18. März 2005 („The EDPS as an advisor to the Community Institutions on proposals for legislation and related documents“) zum Ausdruck gebracht hat, nämlich dass sich seine Beraterfunktion auch auf den Abschluss von Vereinbarungen zwischen der EG und Drittstaaten und/oder internationalen Organisationen erstreckt, die die Verarbeitung personenbezogener Daten betreffen.

2.

Da es sich bei Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 um eine zwingende Vorschrift handelt, sollte die vorliegende Stellungnahme in der Präambel des Ratsbeschlusses erwähnt werden.

3.

Nach den Erwägungsgründen des zu prüfenden Abkommens zwischen der Europäischen Gemeinschaft und Kanada nimmt dieses Bezug auf einen Beschluss der Kommission nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG, wonach die zuständige kanadische Behörde nach Ansicht der Kommission einen ausreichenden Schutz der API/PNR-Daten gewährleistet (im Folgenden „Beschluss der Kommission“ genannt). Nach Auffassung des EDPS hätte der Beschluss der Kommission ebenfalls zur Stellungnahme vorgelegt werden sollen, da er Teil des gemeinsamen Legislativpakets ist.

4.

Dieser Vorschlag ist der zweite dieser Art nach dem Abkommen vom 17. Mai 2004 (1) zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika, dessen Rechtmäßigkeit vom Parlament nach Artikel 230 des EG-Vertrags angefochten wurde. Vor dem Gerichtshof hat der EDPS als Streithelfer den Antrag des Europäischen Parlaments, das Abkommen für nichtig zu erklären, unterstützt.

5.

Dieser Vorschlag für ein Abkommen entspricht in vielen Punkten dem Abkommen mit den Vereinigten Staaten von Amerika. Er ist mit einem Beschluss der Kommission nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG verknüpft, er dient der Verbesserung der öffentlichen Sicherheit und er verpflichtet die Fluggesellschaften zur Weitergabe von Daten an einen Drittstaat.

6.

Inhaltlich sind allerdings wesentliche Unterschiede festzustellen, wie die Datenschutzgruppe „Artikel 29“ (2) in zwei Stellungnahmen hervorgehoben hat. Der EDPS hebt vier wesentliche Unterschiede hervor, die in der gesamten Stellungnahme eine Rolle spielen werden. Als erstes sieht der Vorschlag ein Push-System (und kein Pull-System) vor, was zur Folge hat, dass die Fluggesellschaften in der Europäischen Gemeinschaft die Weitergabe von Daten an die kanadischen Behörden kontrollieren können. Zweitens sind die Verpflichtungen der kanadischen Behörden rechtsverbindlich (Artikel 2 Absatz 1 des Abkommens), was im Vergleich zum Abkommen mit den Vereinigten Staaten von Amerika zu einer ausgewogeneren Regelung beiträgt. Drittens ist die Liste der weiterzugebenden Fluggastdaten kürzer und enthält keine „offenen Kategorien“ von Fluggastdaten, die sensible Informationen offen legen könnten. Schließlich profitiert das Abkommen von einer weitaus fortschrittlicheren gesetzlichen Datenschutzregelung, die der betroffenen Person einen Schutz bietet, der auch die Aufsicht durch einen unabhängigen Datenschutzbeauftragten umfasst. Allerdings bieten die kanadischen Rechtsvorschriften den Bürgern der Europäischen Union keinen umfassenden Schutz. Die kanadischen Behörden haben sich verpflichtet, eine Lösung für diese Bürger zu finden.

7.

Nach der Richtlinie 95/46/EG fällt die Weitergabe von Daten an einen Drittstaat unter die Definition der Verarbeitung personenbezogener Daten (nach Artikel 2 Buchstabe b der Richtlinie „jeder Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“), so dass folglich Kapitel II der Richtlinie („Allgemeine Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten“) auf die Weitergabe Anwendung findet. In diesem Zusammenhang soll Artikel 25 der Richtlinie einen zusätzlichen Schutz im Falle der Weitergabe an ein Drittland bieten, da nach erfolgter Weitergabe die Daten nicht länger der Gerichtsbarkeit eines Mitgliedstaates unterliegen.

8.

Der Vorschlag für ein Abkommen mit Kanada in Verbindung mit dem Beschluss der Kommission verpflichtet die Fluggesellschaften zur Weitergabe von Daten an Kanada. Zu klären ist, ob dies die Fluggesellschaften an der Erfüllung ihrer Verpflichtungen hindert, denen sie auf Grund der nationalen Rechtsvorschriften zur Umsetzung der Richtlinie 95/46/EG und insbesondere von Kapitel II nachkommen müssen, und ob hierdurch die Wirksamkeit der Richtlinie beeinträchtigt wird.

9.

Artikel 5 des Vorschlags verpflichtet europäische Fluggesellschaften zur Verarbeitung der in ihren computergestützten Buchungs- und Abfertigungssystemen gespeicherten API/PNR-Daten entsprechend den Erfordernissen der zuständigen kanadischen Behörden nach Maßgabe des kanadischen Rechts. Der Vorschlag legt nicht fest, dass das Gemeinschaftsrecht und insbesondere die Regeln zur Verarbeitung personenbezogener Daten nach Kapitel II der Richtlinie 95/46/EG Anwendung finden. In Abwesenheit einer solchen Bestimmung können die Fluggesellschaften zur Verarbeitung von Daten gezwungen werden, auch wenn diese Datenverarbeitung nicht in jeder Hinsicht Kapitel II der Richtlinie 95/46/EG entspricht. Sie sind lediglich verpflichtet, gemäß den einschlägigen kanadischen Rechtsvorschriften vorzugehen.

10.

Obgleich — wie bereits oben erwähnt und in der Folge näher erläutert werden wird — Kanada eine weit entwickelte Datenschutzregelung hat und es keinerlei Grund zu der Annahme gibt, dass das kanadische Datenschutzrecht die Interessen der betroffenen Person innerhalb der Europäischen Gemeinschaft ernsthaft beeinträchtigt, fehlt andererseits auch jeglicher Grund für die Annahme, dass sich das kanadische Datenschutzrecht in jeder Hinsicht mit den Bestimmungen des Kapitels II der Richtlinie 95/46/EG deckt. Eine solche Annahme lässt sich weder von dem Abkommen selbst noch von dessen Begründung ableiten. Zudem ist diese Annahme schon deshalb nicht denkbar, weil die kanadischen Behörden nicht durch eine (künftige) Auslegung der Richtlinie durch den Gerichtshof gebunden sind und auch nicht gewährleistet werden kann, dass spätere Änderungen des kanadischen Rechts (oder neue Auslegungen durch die kanadische Gerichte) mit dem Gemeinschaftsrecht vereinbar sind.

11.

Auf der Grundlage dieser Analyse kommt der EDPS zu dem Schluss, dass das Abkommen eine Änderung der Richtlinie 95/46/EG nach sich zieht. Aus diesem Grund sollte — ungeachtet eventueller gravierender Schäden für die betroffene Person — die Zustimmung des Europäischen Parlaments nach Artikel 300 Absatz 4 des EG-Vertrags eingeholt werden.

12.

Diesbezüglich vertritt der EDPS die Auffassung, dass im Allgemeinen institutionelle Fragen nicht in seinen Aufgabenbereich fallen. In diesem Fall allerdings nimmt der EDPS zu einer institutionellen Frage Stellung, da die Nichteinhaltung der Vorrechte des Parlaments eine Änderung der Richtlinie herbeiführt und hierdurch das Datenschutzniveau im Gebiet der Europäischen Gemeinschaft beeinflusst wird.

13.

Als Alternative könnte durch eine Anpassung des Abkommens sichergestellt werden, dass die Verarbeitung von API/PNR-Daten durch europäische Fluggesellschaften im Einklang mit der Richtlinie 95/46/EG erfolgt. Durch Aufnahme einer Bestimmung in diesem Sinne würde das Abkommen nicht länger eine Änderung der Richtlinie nach sich ziehen.

14.

Ungeachtet der Verfahrensvorschriften für die Annahme des Vorschlags hat der EDPS geprüft, ob das vorgeschlagene Abkommen inhaltlich einen ausreichenden Schutz der betroffenen Person, insbesondere ihrer Grundrechte im Sinne von Artikel 6 des EU-Vertrags, bietet.

15.

Der EDPS stellt fest, dass sich der Vorschlag wesentlich von dem Abkommen mit den Vereinigten Staaten von Amerika unterscheidet (siehe Nummer 6). Dieser Umstand hat zur Folge, dass die Defizite des letztgenannten Abkommens in Bezug auf drei Kernpunkte den vorliegenden Vorschlag nicht — oder nicht im selben Ausmaß — betreffen.

16.

Der EDPS stellt ferner fest, dass die Datenschutzgruppe „Artikel 29“ in ihrer Stellungnahme vom 19. Januar 2005 die Kernpunkte des (vorgeschlagenen) Beschlusses der Kommission über den von der Canadian Border Service Agency (CBSA) gebotenen ausreichenden Schutz gebilligt hat. Bei dieser Einschätzung haben die Verpflichtungen der CBSA (im Anhang des Kommissionsbeschlusses) eine wichtige Rolle gespielt. Der EDPS schließt sich den Ergebnissen der Datenschutzgruppe „Artikel 29“ an, wobei er auch berücksichtigt, dass der unabhängige Datenschutzbeauftragte Kanadas die Einschränkungen des Zugangs zu API/PNR-Daten für Regierungs- und Strafverfolgungszwecke billigt (3).

17.

Der EDPS hält es für sehr wichtig, dass die Push-Regelung für API/PNR-Daten den europäischen Fluggesellschaften eine Kontrolle über die Verarbeitung und Weitergabe der Daten ermöglicht. Diese Tätigkeiten fallen demnach in die Zuständigkeit der Mitgliedstaaten und werden durch Gemeinschaftsrecht geregelt.

18.

Von gleichrangiger Bedeutung ist, dass Artikel 2 des Vorschlags ausdrücklich festhält, dass die Vertragsparteien übereingekommen sind, die API/PNR-Daten im Einklang mit den Verpflichtungen zu verarbeiten. Die Verpflichtungen im Anhang des Beschlusses der Kommission sind demnach rechtsverbindlich.

19.

Schließlich unterstreicht der EDPS die Bedeutung der Einsetzung eines gemeinsamen Ausschusses, der unter anderem gemeinsame Überprüfungen ausrichten wird. Hierdurch kann die Durchführung der Rechtsakten überwacht werden. Dies ist umso wichtiger, da es sich um neue Rechtsinstrumente handelt und jegliche Erfahrung mit der Durchführung dieser Art von Rechtsakten fehlt.

20.

In diesem Kontext und in Anbetracht der in Nummer 4.2 des Grundsatzpapiers (siehe Nummer 1 dieser Stellungnahme) vorgesehenen Analyse billigt der EDPS die Kernpunkte des Vorschlags und beschränkt sich bei seinen Bemerkungen auf einige spezifische Punkte, insbesondere:

21.

Der Anhang II des Vorschlags enthält keine sensiblen Daten im Sinne von Artikel 8 der Richtlinie 95/46/EG; er enthält auch keine „offenen Kategorien“ von Fluggastdaten, die je nachdem wie diese Kategorien auf einem Vordruck ausgefüllt werden, sensible Daten offen legen könnten (z.B. Ernährungsbedürfnisse, die Aufschluss über Glaubensangehörigkeit oder den Gesundheitszustand geben).

22.

Allerdings enthält die Liste der zu erfassenden PNR-Datenelemente (Anhang II des Vorschlags) Daten, die für den Schutz der Grundrechte der Fluggäste, insbesondere ihrer Privatsphäre, von Bedeutung sein könnten. Der EDPS verweist auf die Kategorie 10 (Vielflieger-Angaben), die Fakten über das Verhalten des Fluggastes offen legen könnten (obgleich nicht alle Vielflieger-Informationen erfasst werden) sowie Kategorie 23 (etwaig erfasste APIS-Daten), die nicht nur den Namen sondern auch andere Informationen aus dem Reisepass des Fluggastes enthalten.

23.

Der EDPS ist nicht davon überzeugt, dass die Aufnahme dieser Kategorien notwendig und verhältnismäßig ist und empfiehlt daher, die Notwendigkeit der Aufnahme dieser Kategorien in den Anhang des Abkommens erneut zu prüfen. Allerdings ist die Tatsache, dass diese Kategorien in die Liste der Datenelemente aufgenommen wurden, an sich nicht so bedenklich, dass neue Verhandlungen über das Abkommen erforderlich wären, und sollte nach Auffassung des EDPS nicht zu einer Annullierung des Abkommens führen.

24.

Wie wir bereits bei früheren Rechtsakten gesehen haben, die die Verarbeitung personenbezogener Daten zur Terrorismusbekämpfung erfordern, hat der Gesetzgeber den Zweck der Verarbeitung nicht auf den Terrorismus an sich beschränkt, sondern hat den Verarbeitungszweck so weit gefasst, dass eine Datenverarbeitung auch im Zusammenhang mit anderen schweren Verbrechen und in einigen Fällen sogar mit der Strafverfolgung im Allgemeinen möglich ist.

25.

Der vorliegende Vorschlag erwähnt die Bekämpfung sonstiger schwerer Verbrechen transnationaler Art, einschließlich der organisierten Kriminalität. Entsprechend den Verpflichtungen der CBSA (Abschnitt 12) können die Informationen nur mit anderen kanadischen Behörden ausgetauscht werden, wenn sie dem selben Zweck dienen. Den Behörden von Drittländern werden nur dann Informationen übermittelt, wenn sie diesen Zwecken dienen und wenn für das betreffende Drittland eine Angemessenheitsfeststellung nach Artikel 25 der Richtlinie 95/46/EG gilt. Diese Zweckbeschränkung an sich verstößt weder gegen die Bestimmungen der Richtlinie noch gegen ihre Grundsätze.

26.

Das Abkommen enthält ausdrückliche Bestimmungen zum Schutz der Interessen der betroffenen Person. Diesbezüglich verweist der EDPS ausdrücklich auf Artikel 3 des Abkommens über Zugang, Berichtigung und Anbringen von Bestreitungsvermerken. Nach diesem Artikel kann die betroffene Person, die im Gebiet der Europäischen Union ansässig ist, unter den selben Bedingungen wie in Kanada ansässige Personen ihr Recht auf Zugang, Berichtigung und Anbringen von Bestreitungsvermerken ausüben.

27.

Für sich allein gewährleistet die Einräumung dieser Rechte noch nicht das erforderliche Schutzniveau. Es muss gewährleistet werden, dass die Rechte auch wirksam ausgeübt werden können.

28.

Der Anwendungsbereich und der Wesensgehalt dieser Rechte werden durch das kanadische Recht bestimmt. Zur Gewährleistung des erforderlichen Schutzniveaus für europäische Datensubjekte müssen die einschlägigen Rechtsvorschriften für sie zugänglich sein und sie müssen zudem einschätzen können, welche persönlichen Auswirkungen diese haben können. Damit dieser Verpflichtung nachgekommen wird, hat die Datenschutzgruppe „Artikel 29“ vorgeschlagen, das einschlägige kanadische Regelwerk als Anhang dem Beschluss der Kommission beizufügen.

29.

Dieser Vorschlag wurde abgelehnt; allerdings enthalten der Beschluss der Kommission und die Verpflichtungen der CBSA Erläuterungen zum einschlägigen Rechtsrahmen. Die betreffenden Abschnitte der Verpflichtungen ermöglichen den Fluggästen die Kenntnisnahme ihrer Rechte.

30.

Der EDPS stellt fest, dass nicht nur der Zugang der in der Europäischen Gemeinschaft ansässigen Fluggäste zu den betreffenden Rechtsakten von großer Bedeutung ist, sondern dass es gleichermaßen wichtig ist, dass diese Fluggäste einen wirksamen Zugang zu Rechtsmitteln haben.

31.

Diesbezüglich befürwortet der EDPS das in Abschnitt 31 der Verpflichtungen genannte Verfahren. Hiernach kann der kanadische Datenschutzbeauftragte Beschwerden bearbeiten, mit denen er von den Datenschutzbehörden der Mitgliedstaaten im Namen einer in der Europäischen Union ansässigen Person befasst wird. Nach Auffassung des EDPS könnte ein solches Verfahren in der Praxis sogar noch wirksamer sein als ein förmliches ius standi der in Europa ansässigen Personen vor kanadischen Gerichten.

32.

Der EDPS stellt abschließend Folgendes fest: