Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62004CC0317

Schlussanträge des Generalanwalts Léger vom 22. November 2005.
Europäisches Parlament gegen Rat der Europäischen Union (C-317/04) und Kommission der Europäischen Gemeinschaften (C-318/04).
Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten - Luftverkehr - Beschluss 2004/496/EG - Abkommen zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika - Dem United States Bureau of Customs and Border Protection übermittelte Passenger Name Records - Richtlinie 95/46/EG - Artikel 25 - Drittstaaten - Entscheidung 2004/535/EG - Angemessenheit des Schutzes.
Verbundene Rechtssachen C-317/04 und C-318/04.

European Court Reports 2006 I-04721

ECLI identifier: ECLI:EU:C:2005:710

SCHLUSSANTRÄGE DES GENERALANWALTS

PHILIPPE LÉGER

vom 22. November 20051(1)

Rechtssache C‑317/04

Europäisches Parlament

gegen

Rat der Europäischen Union

„Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Nichtigkeitsklage – Beschluss 2004/496/EG des Rates – Abkommen zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung“

Rechtssache C‑318/04

Europäisches Parlament

gegen

Kommission der Europäischen Gemeinschaften

„Nichtigkeitsklage – Entscheidung 2004/535/EG der Kommission über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden – Richtlinie 95/46/EG“





Inhaltsverzeichnis


I – Die Vorgeschichte des Rechtsstreits

II – Rechtlicher Rahmen der beiden Rechtssachen

A – EU-Vertrag

B – Vertrag zur Gründung der Europäischen Gemeinschaft

C – Europäisches Recht über den Schutz personenbezogener Daten

III – Die angefochtenen Entscheidungen

A – Die Angemessenheitsentscheidung

B – Der Beschluss des Rates

IV – Die vom Parlament in beiden Rechtssachen geltend gemachten Klagegründe

V – Zur Klage auf Nichtigerklärung der Angemessenheitsentscheidung (Rechtssache C‑318/04)

A – Zu dem Klagegrund, die Kommission habe ihre Befugnis durch Erlass der Angemessenheitsentscheidung überschritten

1. Vorbringen der Beteiligten

2. Würdigung

B – Zu den Klagegründen eines Verstoßes gegen die Grundrechte und eines Verstoßes gegen den Verhältnismäßigkeitsgrundsatz

VI – Zur Klage auf Nichtigerklärung des Beschlusses des Rates (Rechtssache C‑317/04)

A – Zum Klagegrund, mit dem geltend gemacht wird, dass mit Artikel 95 EG eine falsche Rechtsgrundlage für den Beschluss des Rates gewählt worden sei

1. Vorbringen der Beteiligten

2. Würdigung

B – Zum Klagegrund, mit dem ein Verstoß gegen Artikel 300 Absatz 3 Unterabsatz 2 EG wegen einer Änderung der Richtlinie 95/46 geltend gemacht wird

1. Vorbringen der Beteiligten

2. Würdigung

C – Zu den Klagegründen des Verstoßes gegen das Recht auf Schutz personenbezogener Daten und des Verstoßes gegen den Verhältnismäßigkeitsgrundsatz

1. Vorbringen der Beteiligten

2. Würdigung

a) Zum Vorliegen eines Eingriffs in das Privatleben

b) Zur Rechtfertigung des Eingriffs in das Privatleben

i) Ist der Eingriff gesetzlich vorgesehen?

ii) Verfolgt der Eingriff ein legitimes Ziel?

iii) Ist der Eingriff zur Erreichung dieses Zieles in einer demokratischen Gesellschaft notwendig?

D – Zum Klagegrund der unzureichenden Begründung des Beschlusses des Rates

E – Zum Klagegrund des Verstoßes gegen den in Artikel 10 EG niedergelegten Grundsatz der loyalen Zusammenarbeit

VII – Kosten

VIII – Ergebnis


1.     Das Europäische Parlament hat beim Gerichtshof zwei Nichtigkeitsklagen nach Artikel 230 EG erhoben. In der Rechtssache C‑317/04 (Parlament/Rat) wird mit der Klage die Nichtigerklärung des Beschlusses des Rates vom 17. Mai 2004 über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des United States Department of Homeland Security(2) begehrt. In der Rechtssache C‑318/04 (Parlament/Kommission) beantragt das Europäische Parlament die Nichtigerklärung der Entscheidung der Kommission vom 14. Mai 2004 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden(3).

2.     In diesen beiden Rechtssachen hat sich der Gerichtshof zu der Problematik des Schutzes personenbezogener Daten von Fluggästen zu äußern, wenn die Übermittlung und Verarbeitung dieser Daten in einem Drittland, im vorliegenden Fall den Vereinigten Staaten von Amerika(4), mit Erfordernissen der öffentlichen Sicherheit und der Strafverfolgung wie der Verhütung und Bekämpfung des Terrorismus und anderer schwerer Straftaten gerechtfertigt wird.

3.     Den beiden Rechtssachen liegt eine Reihe von Ereignissen zugrunde, die im Folgenden darzulegen sind. Im Anschluss hieran werde ich den rechtlichen Rahmen, in dem die Rechtssachen stehen, näher erläutern.

I –    Die Vorgeschichte des Rechtsstreits

4.     Nach den Terroranschlägen des 11. September 2001 erließen die Vereinigten Staaten von Amerika eine Rechtsvorschrift, nach der die Fluggesellschaften, die Flüge in die Vereinigten Staaten, von den Vereinigten Staaten oder über das Gebiet der Vereinigten Staaten durchführen, den amerikanischen Zollbehörden elektronischen Zugriff auf die Daten ihrer automatischen Reservierungs- und Abfertigungssysteme, die so genannten „Passenger Name Records“ (im Folgenden: PNR), gewähren(5). Unter Anerkennung der legitimen Sicherheitsinteressen teilte die Kommission der Europäischen Gemeinschaften den Vereinigten Staaten bereits im Juni 2002 mit, dass diese Bestimmungen mit den Vorschriften der Gemeinschaft und der Mitgliedstaaten zum Schutz personenbezogener Daten sowie mit einigen Bestimmungen der Verordnung über die Benutzung eines computergesteuerten Buchungssystems(6) in Widerspruch stehen könnten. Die Vereinigten Staaten verschoben das Inkrafttreten der neuen Bestimmungen, lehnten es jedoch ab, die Verhängung von Sanktionen gegen Fluggesellschaften, die sich nicht an diese Bestimmungen hielten, über den 5. März 2003 hinaus auszusetzen. Mehrere große Fluggesellschaften der Mitgliedstaaten haben seitdem Zugang zu ihren Fluggastdatensätzen gewährt.

5.     Die Kommission nahm Verhandlungen mit den Vereinigten Staaten auf, die zu einer schriftlichen Verpflichtungserklärung des CBP führten. Ziel war der Erlass einer Entscheidung der Kommission mit der Feststellung nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr(7), dass das von den Vereinigten Staaten gebotene Schutzniveau für personenbezogene Daten angemessen ist.

6.     Am 13. Juni 2003 gab die so genannte „Artikel-29-Gruppe“(8) für den Datenschutz eine Stellungnahme ab, in der sie Bedenken hinsichtlich des Schutzniveaus äußerte, das die genannte Verpflichtungserklärung für die vorgesehene Datenverarbeitung gewährleistet(9). Sie wiederholte ihre Bedenken in einer zweiten Stellungnahme vom 29. Januar 2004(10).

7.     Am 1. März 2004 befasste die Kommission das Parlament mit dem Entwurf der Angemessenheitsentscheidung, dem der Entwurf der Verpflichtungserklärung des CBP beilag.

8.     Am 17. März 2004 übermittelte die Kommission dem Parlament im Hinblick auf dessen Anhörung nach Artikel 300 Absatz 3 Satz 1 EG einen Vorschlag für einen Beschluss des Rates der Europäischen Union über den Abschluss eines Abkommens zwischen der Gemeinschaft und den Vereinigten Staaten. Mit Schreiben vom 25. März 2004 ersuchte der Rat unter Bezugnahme auf das Dringlichkeitsverfahren nach Artikel 112 der Geschäftsordnung des Parlaments (jetzt Artikel 134) das Parlament um Stellungnahme zu dem genannten Vorschlag bis spätestens zum 22. April 2004. In diesem Schreiben betont der Rat, dass „[d]er Kampf gegen den Terrorismus, der die vorgeschlagenen Maßnahmen rechtfertigt, ... für die Europäische Union hohe Priorität [hat]. Die Fluggesellschaften und Fluggäste befinden sich gegenwärtig in einer unsicheren Lage, der dringend abzuhelfen ist. Auch ist es wichtig, die finanziellen Interessen der Betroffenen zu schützen“.

9.     Am 31. März 2004 nahm das Parlament gemäß Artikel 8 des Beschlusses des Rates vom 28. Juni 1999 zur Festlegung der Modalitäten für die Ausübung der der Kommission übertragenen Durchführungsbefugnisse(11) eine Entschließung an, in der eine Reihe von rechtlichen Vorbehalten gegen diese Vorgehensweise geltend gemacht wurde. Das Parlament vertrat insbesondere die Auffassung, dass der Entwurf der Angemessenheitsentscheidung über die Befugnisse der Kommission nach Artikel 25 der Richtlinie 95/46 hinausgehe. Es rief dazu auf, ein geeignetes völkerrechtliches Abkommen zu schließen, das die Grundrechte wahre, und ersuchte die Kommission, ihm einen neuen Entscheidungsentwurf zu unterbreiten. Es behielt sich ferner vor, den Gerichtshof anzurufen und um Prüfung der Rechtmäßigkeit des beabsichtigten völkerrechtlichen Abkommens, insbesondere dessen Vereinbarkeit mit dem Schutz des Rechts auf Achtung des Privatlebens, zu ersuchen.

10.   Am 21. April 2004 nahm das Parlament auf Antrag des Präsidenten eine Empfehlung des Ausschusses für Recht und Binnenmarkt an, den Gerichtshof nach Artikel 300 Absatz 6 EG um ein Gutachten über die Vereinbarkeit des geplanten Abkommens mit dem Vertrag zu ersuchen. Das Verfahren wurde am selben Tag eingeleitet. Das Parlament beschloss an diesem Tag auch, den Bericht über den Vorschlag für einen Beschluss des Rates an den Ausschuss zu überweisen, und wies damit implizit den Dringlichkeitsantrag des Rates vom 25. März 2004 zurück.

11.   Am 28. April 2004 forderte der Rat unter Berufung auf Artikel 300 Absatz 3 Unterabsatz 1 EG das Parlament in einem Schreiben auf, bis zum 5. Mai 2004 zum Abschluss des Abkommens Stellung zu nehmen. Zur Begründung der Dringlichkeit wiederholte er die in seinem Schreiben vom 25. März 2004 angeführten Gründe(12).

12.   Am 30. April 2004 teilte der Kanzler des Gerichtshofes dem Parlament mit, dass der Gerichtshof die Frist für die Einreichung der Stellungnahmen der Mitgliedstaaten, des Rates und der Kommission in dem Gutachtenantrag 1/04 auf den 4. Juni 2004 festgesetzt habe.

13.   Am 4. Mai 2004 wies das Parlament den Dringlichkeitsantrag zurück, den der Rat ihm am 28. April 2004 vorgelegt hatte(13). Am übernächsten Tag wandte sich der Präsident des Parlaments an den Rat und die Kommission mit der Bitte, ihr Vorhaben nicht weiter zu verfolgen, solange der Gerichtshof das am 21. April 2004 beantragte Gutachten nicht erstellt habe.

14.   Am 14. Mai 2004 erließ die Kommission gemäß Artikel 25 Absatz 6 der Richtlinie 95/46 die Entscheidung über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem CBP übermittelt werden.

15.   Am 17. Mai 2004 fasste der Rat den Beschluss über den Abschluss eines Abkommens zwischen der Gemeinschaft und den Vereinigten Staaten über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das CBP.

16.   Mit Schreiben vom 9. Juli 2004 an den Gerichtshof nahm das Parlament seinen Gutachtenantrag 1/04 zurück(14). Es beschloss sodann, die Streitigkeiten mit dem Rat und der Kommission auf dem Klagewege fortzusetzen.

II – Rechtlicher Rahmen der beiden Rechtssachen

A –    EU-Vertrag

17.   Artikel 6 EU bestimmt:

„(1)      Die Union beruht auf den Grundsätzen der Freiheit, der Demokratie, der Achtung der Menschenrechte und Grundfreiheiten sowie der Rechtsstaatlichkeit; diese Grundsätze sind allen Mitgliedstaaten gemeinsam.

(2)      Die Union achtet die Grundrechte, wie sie in der am 4. November 1950 in Rom unterzeichneten Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten gewährleistet sind und wie sie sich aus den gemeinsamen Verfassungsüberlieferungen der Mitgliedstaaten als allgemeine Grundsätze des Gemeinschaftsrechts ergeben.

…“

B –    Vertrag zur Gründung der Europäischen Gemeinschaft

18.   Artikel 95 Absatz 1 EG lautet:

„Soweit in diesem Vertrag nichts anderes bestimmt ist, gilt abweichend von Artikel 94 für die Verwirklichung der Ziele des Artikels 14 die nachstehende Regelung. Der Rat erlässt gemäß dem Verfahren des Artikels 251 und nach Anhörung des Wirtschafts- und Sozialausschusses die Maßnahmen zur Angleichung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten, welche die Errichtung und das Funktionieren des Binnenmarktes zum Gegenstand haben.“

19.   Bezüglich des Verfahrens beim Abschluss völkerrechtlicher Abkommen durch die Gemeinschaft sieht Artikel 300 Absatz 2 Unterabsatz 1 Satz 1 EG vor, dass „[v]orbehaltlich der Zuständigkeiten, welche die Kommission auf diesem Gebiet besitzt, ... die Unterzeichnung ... sowie der Abschluss der Abkommen vom Rat mit qualifizierter Mehrheit auf Vorschlag der Kommission beschlossen [werden]“.

20.   Artikel 300 Absatz 3 EG lautet:

„Mit Ausnahme der Abkommen im Sinne des Artikels 133 Absatz 3 schließt der Rat die Abkommen nach Anhörung des Europäischen Parlaments, und zwar auch in den Fällen, in denen das Abkommen einen Bereich betrifft, bei dem für die Annahme interner Vorschriften das Verfahren des Artikels 251 oder des Artikels 252 anzuwenden ist. Das Europäische Parlament gibt seine Stellungnahme innerhalb einer Frist ab, die der Rat entsprechend der Dringlichkeit festlegen kann. Ergeht innerhalb dieser Frist keine Stellungnahme, so kann der Rat einen Beschluss fassen.

Abweichend von Unterabsatz 1 bedarf der Abschluss von Abkommen im Sinne des Artikels 310 sowie sonstiger Abkommen, die durch Einführung von Zusammenarbeitsverfahren einen besonderen institutionellen Rahmen schaffen, von Abkommen mit erheblichen finanziellen Folgen für die Gemeinschaft und von Abkommen, die eine Änderung eines nach dem Verfahren des Artikels 251 angenommenen Rechtsakts bedingen, der Zustimmung des Europäischen Parlaments.

Der Rat und das Europäische Parlament können in dringenden Fällen eine Frist für die Zustimmung vereinbaren.“

C –    Europäisches Recht über den Schutz personenbezogener Daten

21.   Artikel 8 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (im Folgenden: EMRK) bestimmt:

„(1)      Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz.

(2)      Eine Behörde darf in die Ausübung dieses Rechts nur eingreifen, soweit der Eingriff gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist für die nationale oder öffentliche Sicherheit, für das wirtschaftliche Wohl des Landes, zur Aufrechterhaltung der Ordnung, zur Verhütung von Straftaten, zum Schutz der Gesundheit oder der Moral oder zum Schutz der Rechte und Freiheiten anderer.“

22.   Das europäische Datenschutzrecht entwickelte sich zuerst im Rahmen des Europarats. Das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten wurde zur Unterzeichnung durch die Mitgliedstaaten des Europarats am 28. Januar 1981 in Straßburg aufgelegt(15). Zweck des Übereinkommens ist es, im Hoheitsgebiet jeder Vertragspartei für jedermann ungeachtet seiner Staatsangehörigkeit oder seines Wohnorts sicherzustellen, dass seine Rechte und Grundfreiheiten, insbesondere sein Recht auf einen Persönlichkeitsbereich, bei der automatischen Verarbeitung personenbezogener Daten geschützt werden.

23.   Was die Europäische Union angeht, so ist der Schutz personenbezogener Daten außer in Artikel 7, der die Achtung des Privat- und Familienlebens betrifft, speziell in Artikel 8 der Charta der Grundrechte der Europäischen Union(16) niedergelegt. Artikel 8 lautet wie folgt:

„(1)      Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

(2)      Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.

(3)      Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.“

24.   Was das primäre Gemeinschaftsrecht anbelangt, so sieht Artikel 286 Absatz 1 EG vor, dass „[a]b 1. Januar 1999 ... die Rechtsakte der Gemeinschaft über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und dem freien Verkehr solcher Daten auf die durch diesen Vertrag oder auf der Grundlage dieses Vertrags errichteten Organe und Einrichtungen der Gemeinschaft Anwendung [finden]“(17).

25.   Im abgeleiteten Gemeinschaftsrecht ist die einschlägige Grundnorm die Richtlinie 95/46(18). Die Verbindung zu den Normen des Europarats ergibt sich vor allem aus der zehnten und elften Begründungserwägung der genannten Richtlinie. Die zehnte Begründungserwägung bestimmt: „Gegenstand der einzelstaatlichen Rechtsvorschriften über die Verarbeitung personenbezogener Daten ist die Gewährleistung der Achtung der Grundrechte und -freiheiten, insbesondere des auch in Artikel 8 [EMRK] und in den allgemeinen Grundsätzen des Gemeinschaftsrechts anerkannten Rechts auf die Privatsphäre. Die Angleichung dieser Rechtsvorschriften darf deshalb nicht zu einer Verringerung des durch diese Rechtsvorschriften garantierten Schutzes führen, sondern muss im Gegenteil darauf abzielen, in der Gemeinschaft ein hohes Schutzniveau sicherzustellen“. Die elfte Begründungserwägung der Richtlinie stellt weiter fest, dass „[d]ie in dieser Richtlinie enthaltenen Grundsätze zum Schutz der Rechte und Freiheiten der Personen, insbesondere der Achtung der Privatsphäre, ... die in dem Übereinkommen [Nr. 108] enthaltenen Grundsätze [konkretisieren und erweitern]“.

26.   Die Richtlinie 95/46, die auf der Grundlage des Artikels 100a EG-Vertrag (nach Änderung jetzt Artikel 95 EG) erlassen wurde, beruht auf einem Gedanken, der in der dritten Begründungserwägung zum Ausdruck kommt. Dort heißt es: „Für die Errichtung und das Funktionieren des Binnenmarktes ... ist es nicht nur erforderlich, dass personenbezogene Daten von einem Mitgliedstaat in einen anderen Mitgliedstaat übermittelt werden können, sondern auch, dass die Grundrechte der Personen gewahrt werden.“ Insbesondere ist der Gemeinschaftsgesetzgeber von der Feststellung ausgegangen, dass „[d]as unterschiedliche Niveau des Schutzes der Rechte und Freiheiten von Personen, insbesondere der Privatsphäre, bei der Verarbeitung personenbezogener Daten in den Mitgliedstaaten ... die Übermittlung dieser Daten aus dem Gebiet eines Mitgliedstaats in das Gebiet eines anderen Mitgliedstaats verhindern [kann]“(19), was vor allem zu einem Hemmnis für die Ausübung von Wirtschaftstätigkeiten auf Gemeinschaftsebene werden und den Wettbewerb verfälschen kann. Auch vertrat der Gemeinschaftsgesetzgeber die Auffassung, dass „[z]ur Beseitigung der Hemmnisse für den Verkehr personenbezogener Daten ... ein gleichwertiges Schutzniveau hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten unerlässlich [ist]“(20). Dieser Ansatz muss zur Folge haben, dass „[d]ie Mitgliedstaaten ... aufgrund des gleichwertigen Schutzes, der sich aus der Angleichung der einzelstaatlichen Rechtsvorschriften ergibt, den freien Verkehr personenbezogener Daten zwischen ihnen nicht mehr aus Gründen behindern [dürfen], die den Schutz der Rechte und Freiheiten natürlicher Personen und insbesondere das Recht auf die Privatsphäre betreffen“(21).

27.   Artikel 1 – Gegenstand der Richtlinie – der Richtlinie 95/46 setzt diesen Ansatz wie folgt um:

„(1)      Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten.

(2)      Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes.“

28.   Artikel 2 der genannten Richtlinie bestimmt u. a. die Begriffe „personenbezogene Daten“, „Verarbeitung personenbezogener Daten“ und „für die Verarbeitung Verantwortlicher“.

29.   Nach Artikel 2 Buchstabe a der Richtlinie 95/46 sind personenbezogene Daten „alle Informationen über eine bestimmte oder bestimmbare natürliche Person ...; als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind“.

30.   Nach Artikel 2 Buchstabe b der Richtlinie bezeichnet die Verarbeitung personenbezogener Daten „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten“.

31.   Artikel 2 Buchstabe d der Richtlinie 95/46 definiert den für die Verarbeitung Verantwortlichen als „die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

32.   Bezüglich des sachlichen Geltungsbereichs der Richtlinie 95/46 sieht Artikel 3 Absatz 1 vor, dass diese „für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten [gilt], die in einer Datei gespeichert sind oder gespeichert werden sollen“.

33.   Artikel 3 Absatz 2 der Richtlinie beschränkt den sachlichen Geltungsbereich der Richtlinie u. a. mit folgender Bestimmung:

„Diese Richtlinie findet keine Anwendung auf die Verarbeitung personenbezogener Daten,

–      die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI des Vertrags über die Europäische Union, und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt) und die Tätigkeiten des Staates im strafrechtlichen Bereich;

…“

34.   Kapitel II der Richtlinie 95/46 befasst sich mit den „Allgemeine[n] Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten“. Abschnitt I dieses Kapitels betrifft die „Grundsätze in Bezug auf die Qualität der Daten“. In Artikel 6 der Richtlinie werden diese Grundsätze, nämlich der Grundsatz von Treu und Glauben, der Grundsatz der Rechtmäßigkeit, der Zweckgebundenheit, der Verhältnismäßigkeit und der sachlichen Richtigkeit der Verarbeitung personenbezogener Daten aufgeführt. Der Artikel lautet wie folgt:

„(1)      Die Mitgliedstaaten sehen vor, dass personenbezogene Daten

a)      nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden;

b)      für festgelegte eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden ...;

c)      den Zwecken entsprechen, für die sie erhoben und/oder weiterverarbeitet werden, dafür erheblich sind und nicht darüber hinausgehen;

d)      sachlich richtig und, wenn nötig, auf den neuesten Stand gebracht sind ...;

e)      nicht länger, als es für die Realisierung der Zwecke, für die sie erhoben oder weiterverarbeitet werden, erforderlich ist, in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen ermöglicht …

(2)      Der für die Verarbeitung Verantwortliche hat für die Einhaltung des Absatzes 1 zu sorgen.“

35.   Abschnitt II des Kapitels II der genannten Richtlinie befasst sich mit den „Grundsätze[n] in Bezug auf die Zulässigkeit der Verarbeitung von Daten“. Artikel 7, der diesen Abschnitt bildet, lautet wie folgt:

„Die Mitgliedstaaten sehen vor, dass die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfüllt ist:

a)      Die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben;

b)      die Verarbeitung ist erforderlich für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen;

c)      die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt;

…“

36.   Bezüglich der personenbezogenen Daten, die gemeinhin als „sensibel“ bezeichnet werden, stellt Artikel 8 Absatz 1 ein grundsätzliches Verarbeitungsverbot auf. Er sieht vor, dass „[d]ie Mitgliedstaaten die Verarbeitung personenbezogener Daten [untersagen], aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben“. Dieses grundsätzliche Verbot erfährt jedoch mehrere Ausnahmen, deren Inhalt und Regelung in den nachfolgenden Absätzen des Artikels im Einzelnen ausgeführt werden.

37.   Artikel 13 – Ausnahmen und Einschränkungen – Absatz 1 der Richtlinie 95/46 bestimmt:

„Die Mitgliedstaaten können Rechtsvorschriften erlassen, die die Pflichten und Rechte gemäß Artikel 6 Absatz 1, Artikel 10, Artikel 11 Absatz 1, Artikel 12 und Artikel 21 beschränken, sofern eine solche Beschränkung notwendig ist für

a)      die Sicherheit des Staates;

b)      die Landesverteidigung;

c)      die öffentliche Sicherheit;

d)      die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen;

e)      ein wichtiges wirtschaftliches oder finanzielles Interesse eines Mitgliedstaats oder der Europäischen Union einschließlich Währungs-, Haushalts- und Steuerangelegenheiten;

f)      Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben c), d) und e) genannten Zwecke verbunden sind;

g)      den Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen.“

38.   Der Gemeinschaftsgesetzgeber wollte diese Schutzregelung auch beachtet wissen, wenn die personenbezogenen Daten das Gebiet der Gemeinschaft verlassen. Es hatte sich nämlich gezeigt, dass eine Regelung, deren Wirksamkeit sich nur auf das Gebiet der Gemeinschaft erstreckt, angesichts des internationalen Maßstabs des Informationsflusses(22) unzureichend, wenn nicht gar sinnlos wäre. Der Gemeinschaftsgesetzgeber hat sich daher für ein System entschieden, das eine Übermittlung personenbezogener Daten in ein Drittland nur erlaubt, wenn das Drittland für diese Daten ein „angemessenes Schutzniveau“ gewährleistet.

39.   Der Gemeinschaftsgesetzgeber stellt daher die Regel auf, dass, wenn „ein Drittland kein angemessenes Schutzniveau [bietet], ... die Übermittlung personenbezogener Daten in dieses Land zu untersagen [ist]“(23).

40.   Dementsprechend stellt Artikel 25 der Richtlinie 95/46 die Grundsätze auf, nach denen sich die Übermittlung personenbezogener Daten in Drittländer richtet:

„(1)      Die Mitgliedstaaten sehen vor, dass die Übermittlung personenbezogener Daten, die Gegenstand einer Verarbeitung sind oder nach der Übermittlung verarbeitet werden sollen, in ein Drittland vorbehaltlich der Beachtung der aufgrund der anderen Bestimmungen dieser Richtlinie erlassenen einzelstaatlichen Vorschriften zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet.

(2)      Die Angemessenheit des Schutzniveaus, das ein Drittland bietet, wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen; insbesondere werden die Art der Daten, die Zweckbestimmung sowie die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die in dem betreffenden Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen sowie die dort geltenden Standesregeln und Sicherheitsmaßnahmen berücksichtigt.

(3)      Die Mitgliedstaaten und die Kommission unterrichten einander über die Fälle, in denen ihres Erachtens ein Drittland kein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet.

(4)      Stellt die Kommission nach dem Verfahren des Artikels 31 Absatz 2 fest, dass ein Drittland kein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels aufweist, so treffen die Mitgliedstaaten die erforderlichen Maßnahmen, damit keine gleichartige Datenübermittlung in das Drittland erfolgt.

(5)      Zum geeigneten Zeitpunkt leitet die Kommission Verhandlungen ein, um Abhilfe für die gemäß Absatz 4 festgestellte Lage zu schaffen.

(6)      Die Kommission kann nach dem Verfahren des Artikels 31 Absatz 2 feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen, die es insbesondere infolge der Verhandlungen gemäß Absatz 5 eingegangen ist, hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet.

Die Mitgliedstaaten treffen die aufgrund der Feststellung der Kommission gebotenen Maßnahmen.“

41.   Schließlich wird im Rahmen des Titels VI des EU-Vertrags, der sich mit der polizeilichen und justiziellen Zusammenarbeit in Strafsachen befasst, der Schutz der personenbezogenen Daten durch mehrere spezifische Maßnahmen geregelt. Es handelt sich insbesondere um Maßnahmen, mit denen gemeinsame unionsweite Informationssysteme eingerichtet werden, wie das Übereinkommen zur Durchführung des Übereinkommens von Schengen(24), das eigene Bestimmungen über den Datenschutz im Schengener Informationssystem (SIS) enthält(25); das Übereinkommen aufgrund von Artikel K.3 des Vertrages über die Europäische Union über die Errichtung eines Europäischen Polizeiamts(26); der Beschluss des Rates über die Errichtung von Eurojust(27) und die Bestimmungen der Geschäftsordnung betreffend die Verarbeitung und den Schutz personenbezogener Daten bei Eurojust(28); das Übereinkommen aufgrund von Artikel K.3 des Vertrages über die Europäische Union über den Einsatz der Informationstechnologie im Zollbereich, das Bestimmungen über den Datenschutz für personenbezogene Daten enthält, die für das Zollinformationssystem gelten(29), und das Übereinkommen über die Rechtshilfe in Strafsachen zwischen den Mitgliedstaaten der Europäischen Union(30).

42.   Am 4. Oktober 2005 legte die Kommission einen Vorschlag für einen Rahmenbeschluss des Rates über den Schutz personenbezogener Daten vor, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden(31).

III – Die angefochtenen Entscheidungen

43.   Ich werde die beiden Entscheidungen in der chronologischen Reihenfolge ihres Erlasses prüfen.

A –    Die Angemessenheitsentscheidung

44.   Die Angemessenheitsentscheidung wurde von der Kommission auf der Grundlage des Artikels 25 Absatz 6 der Richtlinie 95/46 erlassen, der, wie erinnerlich, der Kommission die Befugnis verleiht festzustellen, dass ein Drittland im Hinblick auf die personenbezogenen Daten ein angemessenes Schutzniveau gewährleistet(32). Wie in der zweiten Begründungserwägung dieser Entscheidung festgestellt wird, „[können] [i]n diesem Fall ... die Mitgliedstaaten personenbezogene Daten übermitteln, ohne dass zusätzliche Garantien erforderlich sind“.

45.   In der elften Begründungserwägung der Entscheidung führt die Kommission aus, dass „[d]ie Verarbeitung personenbezogener Daten aus den dem CBP übermittelten PNR durch das CBP ... den Bedingungen [unterliegt], die in der ‚Verpflichtungserklärung des Department of Homeland Security, Bureau of Customs and Border Protection (CBP) vom 11. Mai 2004‘ festgelegt sind, sowie den Rechtsvorschriften der Vereinigten Staaten, die in dieser Verpflichtungserklärung aufgeführt sind“. Ferner stellt die Kommission in der vierzehnten Begründungserwägung der Entscheidung fest, dass „[d]ie Vorschriften, nach denen das CBP aufgrund der Gesetze der Vereinigten Staaten und der Verpflichtungserklärung die Passagierdaten aus den PNR verarbeiten [wird], ... die Grundanforderungen für ein angemessenes Schutzniveau für natürliche Personen [erfüllen]“.

46.   Artikel 1 der Angemessenheitsentscheidung bestimmt daher:

„Im Hinblick auf Artikel 25 Absatz 2 der Richtlinie 95/46/EG wird festgestellt, dass das [CBP] auf der Grundlage der als Anhang angefügten Verpflichtungserklärung einen angemessenen Schutz bietet für PNR-Daten über Flüge in die oder aus den Vereinigten Staaten, die aus der Gemeinschaft übermittelt werden.“

47.   Ferner sieht Artikel 3 der Angemessenheitsentscheidung vor, dass die Datenübermittlung an das CBP auf Veranlassung der zuständigen Behörden in den Mitgliedstaaten unter folgenden Voraussetzungen ausgesetzt werden kann:

„1.      Unbeschadet ihres Rechts, Maßnahmen zur Durchsetzung einzelstaatlicher Vorschriften zu ergreifen, die gemäß anderen Bestimmungen als denen des Artikels 25 der Richtlinie 95/46/EG angenommen wurden, können die zuständigen Behörden in den Mitgliedstaaten von ihrem Recht Gebrauch machen, zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten die Datenübermittlung an das CBP auszusetzen,

a)      wenn eine zuständige US-Behörde feststellt, dass das CBP die geltenden Datenschutzvorschriften nicht einhält, oder

b)      wenn eine hohe Wahrscheinlichkeit besteht, dass die im Anhang enthaltenen Schutzvorschriften verletzt werden, Grund zur Annahme besteht, dass das CBP nicht rechtzeitig angemessene Maßnahmen ergreift bzw. ergreifen wird, um den betreffenden Fall zu lösen, die Fortsetzung der Datenübermittlung den betroffenen Personen einen unmittelbar bevorstehenden schweren Schaden zuzufügen droht und die zuständigen Behörden in den Mitgliedstaaten sich unter den gegebenen Umständen in angemessener Weise bemüht haben, das CBP zu benachrichtigen, und ihm Gelegenheit zur Stellungnahme gegeben haben.

2.      Die Aussetzung wird beendet, sobald sichergestellt ist, dass die Datenschutzvorschriften befolgt werden und die zuständigen Behörden in den jeweiligen Mitgliedstaaten davon in Kenntnis gesetzt sind.“

48.   Die Mitgliedstaaten haben die Kommission zu informieren, wenn Maßnahmen nach Artikel 3 der Angemessenheitsentscheidung ergriffen werden. Außerdem haben die Mitgliedstaaten und die Kommission nach Artikel 4 Absatz 2 der Entscheidung einander über jedwede Änderung der Datenschutzvorschriften sowie über Fälle zu unterrichten, in denen diese Vorschriften offensichtlich unzureichend beachtet werden. In der Folge dieses Austauschs sieht Artikel 4 Absatz 3 der Angemessenheitsentscheidung vor, dass, wenn „die gemäß Artikel 3 und gemäß den Absätzen 1 und 2 des vorliegenden Artikels gewonnenen Erkenntnisse [ergeben], dass die Grundanforderungen für ein angemessenes Schutzniveau für natürliche Personen nicht mehr gewährleistet sind, oder dass eine für die Einhaltung der Vorschriften gemäß dem Anhang durch das CBP verantwortliche Einrichtung ihre Aufgabe nicht wirksam erfüllt, ... das CBP hiervon benachrichtigt und erforderlichenfalls das in Artikel 31 Absatz 2 der Richtlinie 95/46/EG genannte Verfahren zwecks Aufhebung oder Aussetzung der vorliegenden Entscheidung angewandt [wird]“.

49.   Artikel 5 der Angemessenheitsentscheidung stellt ferner die Regel auf, dass die Anwendung der Entscheidung überwacht wird, und bestimmt, dass „relevante Erkenntnisse ... dem nach Artikel 31 der Richtlinie 95/46/EG eingesetzten Ausschuss mitgeteilt [werden]“.

50.   Darüber hinaus bestimmt Artikel 7 der Angemessenheitsentscheidung, dass sie „3 Jahre und 6 Monate nach dem Datum ihrer Bekanntmachung [ausläuft], es sei denn, sie wird nach dem Verfahren von Artikel 31 Absatz 2 der Richtlinie 95/46/EG verlängert“.

51.   Im Anhang der genannten Entscheidung befindet sich die Verpflichtungserklärung des CBP, in deren Einleitung festgestellt wird, dass sie die Absicht der Kommission unterstützen soll, ein angemessenes Schutzniveau für die an das CBP übermittelten Daten zu bescheinigen. Nach den Worten der Erklärung, die insgesamt 48 Absätze umfasst, werden durch sie „keinerlei Rechte oder Vergünstigungen für private oder öffentliche Personen oder Beteiligte begründet oder übertragen“(33).

52.   Ich werde im Laufe meiner Ausführungen den Inhalt der für die Entscheidung des Rechtsstreits relevanten Verpflichtungen darlegen.

53.   Schließlich enthält die Angemessenheitsentscheidung einen Anhang „A“, der 34 PNR-Daten aufführt, die das CBP von Fluggesellschaften verlangt(34).

54.   Diese Entscheidung der Kommission wird ergänzt durch den Beschluss des Rates über den Abschluss eines völkerrechtlichen Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten.

B –    Der Beschluss des Rates

55.   Der Beschluss des Rates wurde auf der Grundlage des Artikels 95 EG in Verbindung mit Artikel 300 Absatz 2 Unterabsatz 1 Satz 1 EG gefasst.

56.   In der ersten Begründungserwägung des Beschlusses wird festgestellt, dass „[a]m 23. Februar 2004 ... der Rat die Kommission ermächtigt [hat], im Namen der Gemeinschaft ein Abkommen mit den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das [CBP] auszuhandeln“(35). Die zweite Begründungserwägung des Beschlusses führt aus, dass „[d]as Europäische Parlament ... innerhalb der Frist, die der Rat in Anbetracht des dringenden Erfordernisses, der unsicheren Lage der Fluggesellschaften und der Fluggäste abzuhelfen und die finanziellen Interessen der Betroffenen zu schützen, gemäß Artikel 300 Absatz 3 Unterabsatz 1 festgelegt hat, keine Stellungnahme abgegeben [hat]“.

57.   Gemäß Artikel 1 des Beschlusses des Rates wird das Abkommen im Namen der Gemeinschaft genehmigt. Gemäß Artikel 2 des Beschlusses wird der Präsident des Rates ermächtigt, die Personen zu benennen, die befugt sind, das Abkommen im Namen der Gemeinschaft zu unterzeichnen.

58.   Der Wortlaut des Abkommens ist dem Beschluss des Rates beigefügt. Artikel 7 des Abkommens bestimmt, dass das Abkommen mit seiner Unterzeichnung in Kraft tritt. Nach Maßgabe dieses Artikels ist das Abkommen, das am 28. Mai 2004 unterzeichnet wurde, am selben Tag in Kraft getreten(36).

59.   In der Präambel des Abkommens anerkennen die Gemeinschaft und die Vereinigten Staaten „[die] Bedeutung der Achtung grundlegender Rechte und Freiheiten, insbesondere des Schutzes der Privatsphäre, und deren Achtung bei gleichzeitiger Verhütung und Bekämpfung des Terrorismus und damit verbundener Verbrechen sowie sonstiger schwerer Verbrechen transnationaler Art, einschließlich der organisierten Kriminalität“.

60.   Auf folgende Rechtstexte wird in der Präambel des Abkommens Bezug genommen: auf die Richtlinie 95/46, insbesondere auf deren Artikel 7 Buchstabe c, auf die Verpflichtungserklärung des CBP sowie auf die Angemessenheitsentscheidung(37).

61.   Die Vertragsparteien weisen weiter darauf hin, dass „die Fluggesellschaften mit Buchungs-/Abfertigungssystemen im Hoheitsgebiet der Mitgliedstaaten der Europäischen Gemeinschaft die Übermittlung von PNR-Daten an das CBP – sobald technisch machbar – veranlassen sollten und dass bis dahin den US-Behörden gemäß diesem Abkommen der direkte Zugriff auf diese Daten gewährt werden sollte“(38).

62.   Dementsprechend bestimmt Absatz 1 des Abkommens, dass „[d]as CBP ... elektronischen Zugriff auf PNR-Daten aus den von den Fluggesellschaften im Hoheitsgebiet der Mitgliedstaaten der Europäischen Gemeinschaft betriebenen Buchungs‑/Abfertigungssystemen streng nach Maßgabe des Beschlusses[(39)] [erhält], solange dieser Beschluss gilt und nur, solange kein befriedigendes System für die Übermittlung solcher Daten durch die Fluggesellschaften vorhanden ist“.

63.   Ergänzend zu dem Recht auf direkten Zugriff auf PNR-Daten, das damit dem CBP eingeräumt ist, wird den Fluggesellschaften, die Auslands-Passagierflüge in die oder aus den Vereinigten Staaten durchführen, nach Absatz 2 des Abkommens die Verpflichtung auferlegt, die in ihren computergestützten Buchungssystemen enthaltenen Daten „nach den Vorgaben des CBP gemäß dem US-amerikanischen Recht und streng nach Maßgabe des Beschlusses[(40)] [zu verarbeiten], solange der Beschluss gilt“.

64.   In Absatz 3 des Abkommens wird ferner festgestellt, dass das CBP die Angemessenheitsentscheidung „zur Kenntnis nimmt“ und „erklärt, den im Anhang beigefügten Verpflichtungen nachzukommen“. Außerdem bestimmt Absatz 4 des Abkommens: „Das CBP verarbeitet die übermittelten PNR-Daten und behandelt die von dieser Verarbeitung betroffenen Personen gemäß den geltenden US-Gesetzen und den verfassungsrechtlichen Erfordernissen ohne unrechtmäßige Diskriminierung insbesondere aufgrund ihrer Staatsangehörigkeit oder ihres Wohnlands“.

65.   Das CBP und die Gemeinschaft verpflichten sich, das Abkommen in regelmäßigen Abständen einer gemeinsamen Überprüfung zu unterziehen(41). Das Abkommen sieht auch vor, dass, wenn „in der Europäischen Union ein Fluggast-Identifikationssystem eingeführt [wird], das die Fluggesellschaften verpflichtet, Behörden den Zugang zu PNR-Daten von Personen zu gestatten, deren Reiseweg einen Flug in die oder aus der EU einschließt, ... das [Department of Homeland Security], soweit dies möglich ist, aktiv und streng nach dem Gegenseitigkeitsprinzip die Zusammenarbeit der seiner Zuständigkeit unterliegenden Fluggesellschaften [fördert]“(42).

66.   Absatz 7 des Abkommens sieht zunächst vor, dass das Abkommen mit seiner Unterzeichnung in Kraft tritt, und regelt ferner, dass das Abkommen von jeder Vertragspartei jederzeit gekündigt werden kann. Die Kündigung wird in diesem Fall 90 Tage nach dem Tag, an dem sie der anderen Vertragspartei notifiziert wurde, wirksam. Außerdem ist bestimmt, dass das Abkommen jederzeit im gegenseitigen schriftlichen Einvernehmen geändert werden kann.

67.   Schließlich bestimmt Absatz 8 des Abkommens, dass „[d]ieses Abkommen ... nicht den Zweck [hat], Ausnahmen von den Gesetzen der Vertragsparteien zu regeln oder diese zu ändern; durch dieses Abkommen werden auch keinerlei Rechte oder Vergünstigungen für Dritte begründet oder übertragen“.

IV – Die vom Parlament in beiden Rechtssachen geltend gemachten Klagegründe

68.   In der Rechtssache C‑317/04 führt das Parlament sechs Klagegründe gegen den Beschluss des Rates an:

–      fehlerhafte Entscheidung für Artikel 95 EG als Rechtsgrundlage;

–      Verstoß gegen Artikel 300 Absatz 3 Unterabsatz 2 EG wegen einer Änderung der Richtlinie 95/46;

–      Verstoß gegen das Recht auf Schutz personenbezogener Daten;

–      Verstoß gegen den Verhältnismäßigkeitsgrundsatz;

–      unzureichende Begründung des streitigen Beschlusses;

–      Verstoß gegen den in Artikel 10 EG niedergelegten Grundsatz der loyalen Zusammenarbeit.

69.   Das Vereinigte Königreich Großbritannien und Nordirland sowie die Kommission wurden als Streithelfer zur Unterstützung der Anträge des Rates zugelassen(43). Ferner wurde der Europäische Datenschutzbeauftragte (im Folgenden: Datenschutzbeauftragter) als Streithelfer zur Unterstützung der Anträge des Parlaments zugelassen(44).

70.   In der Rechtssache C‑318/04 führt das Parlament vier Klagegründe gegen die Angemessenheitsentscheidung an:

–      Befugnisüberschreitung;

–      Verstoß gegen die wesentlichen Grundsätze der Richtlinie 95/46;

–      Verstoß gegen die Grundrechte;

–      Verstoß gegen den Verhältnismäßigkeitsgrundsatz.

71.   Das Vereinigte Königreich wurde als Streithelfer zur Unterstützung der Anträge der Kommission zugelassen(45). Ferner wurde der Europäische Datenschutzbeauftragte als Streithelfer zur Unterstützung der Anträge des Parlaments zugelassen(46).

72.   Ich werde die beiden Klagen in der Reihenfolge prüfen, in der die angefochtenen Rechtsakte erlassen wurden. Ich werde somit zunächst die Klage auf Nichtigerklärung der Angemessenheitsentscheidung (Rechtssache C‑318/04) und sodann die Klage auf Nichtigerklärung des Beschlusses des Rates (Rechtssache C‑317/04) prüfen.

V –    Zur Klage auf Nichtigerklärung der Angemessenheitsentscheidung (Rechtssache C‑318/04)

A –    Zu dem Klagegrund, die Kommission habe ihre Befugnis durch Erlass der Angemessenheitsentscheidung überschritten

1.      Vorbringen der Beteiligten

73.   Zur Stützung dieses Klagegrundes trägt das Parlament, erstens, vor, die Angemessenheitsentscheidung verstoße gegen die Richtlinie 95/46, da sie ein Ziel verwirklichen solle, das unter die öffentliche Sicherheit und das Strafrecht falle, und damit ein Gebiet betreffe, das vom sachlichen Geltungsbereich der Richtlinie ausgeschlossen sei. Dieser Ausschluss sei ausdrücklich in Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie 95/46 vorgesehen und könne nicht im Wege der Auslegung eingeschränkt werden. Dass die personenbezogenen Daten bei Ausübung einer wirtschaftlichen Tätigkeit erhoben würden, d. h. beim Verkauf eines Flugscheins, der zu einer Dienstleistung berechtige, könne die Anwendung der Richtlinie, insbesondere die Anwendung ihres Artikels 25, auf einem Gebiet, das von ihrem Geltungsbereich ausgeschlossen sei, nicht rechtfertigen.

74.   Zweitens macht das Parlament geltend, das CBP sei kein Drittland im Sinne des Artikels 25 der Richtlinie 95/46. Artikel 25 Absatz 6 schreibe vor, dass sich die Entscheidung der Kommission, mit der sie ein angemessenes Schutzniveau für personenbezogene Daten feststelle, auf ein „Drittland“ beziehe, d. h. auf einen Staat oder eine gleichgestellte Einheit, nicht aber auf eine Verwaltungseinheit oder ‑stelle, die Teil der Exekutive eines Staates sei.

75.   Drittens vertritt das Parlament die Auffassung, der Erlass der Angemessenheitsentscheidung durch die Kommission stelle insofern eine Befugnisüberschreitung dar, da die Verpflichtungserklärung, die der Angemessenheitsentscheidung beigefügt sei, ausdrücklich erlaube, dass das CBP PNR-Daten an andere Regierungsbehörden in den Vereinigten Staaten oder in Drittländer liefere.

76.   Viertens ist das Parlament der Ansicht, die Angemessenheitsentscheidung beinhalte bestimmte Einschränkungen der in der Richtlinie 95/46 aufgeführten Grundsätze und Ausnahmen von ihnen, obwohl Artikel 13 der Richtlinie die Befugnis zur Regelung solcher Einschränkungen und Ausnahmen einzig und allein den Mitgliedstaaten vorbehalte. Mit dem Erlass der Angemessenheitsentscheidung habe sich die Kommission daher an die Stelle der Mitgliedstaaten gesetzt und damit gegen Artikel 13 der Richtlinie verstoßen. Durch einen Akt zur Durchführung der Richtlinie 95/46 habe sich die Kommission Zuständigkeiten angemaßt, die ausschließlich den Mitgliedstaaten vorbehalten seien.

77.   Fünftens trägt das Parlament vor, die Bereitstellung der personenbezogenen Daten im Wege des „Pull“-Systems stelle keine „Übermittlung“ im Sinne des Artikels 25 der Richtlinie 95/46 dar und könne somit nicht zugelassen werden.

78.   Sechstens schließlich müsse angesichts der gegenseitigen Abhängigkeit, die zwischen der Angemessenheitsentscheidung und dem Abkommen bestehe, die Angemessenheitsentscheidung als eine Maßnahme angesehen werden, die als Verpflichtungsgrund für die Übermittlung von PNR-Daten ungeeignet sei.

79.   Anders als das Parlament ist der Datenschutzbeauftragte der Ansicht, die Tatsache, dass einer Person oder einer Einrichtung eines Drittlands der Zugriff auf Daten gewährt werde, könne eine Übermittlung darstellen, und Artikel 25 der Richtlinie 95/46 sei somit anwendbar. Die Beschränkung des Begriffes auf die Übermittlung durch den Versender mache es möglich, die von diesem Artikel aufgestellten Voraussetzungen zu umgehen, und beeinträchtige daher den von dieser Vorschrift vorgesehenen Datenschutz.

80.   Die Kommission, unterstützt vom Vereinigten Königreich, vertritt die Ansicht, dass die Tätigkeiten der Fluggesellschaften in den Geltungsbereich des Gemeinschaftsrechts fielen und dass damit die Richtlinie 95/46 insgesamt anwendbar sei. Die Regelung, die im Rahmen der Übermittlung von PNR-Daten erlassen worden sei, beziehe sich nicht auf die Tätigkeiten eines Mitgliedstaats oder von staatlichen Stellen, die nicht zum Geltungsbereich des Gemeinschaftsrechts gehörten.

81.   Die Kommission weist ferner darauf hin, dass das Abkommen im Namen der Vereinigten Staaten und nicht im Namen einer Dienststelle der Regierung unterzeichnet worden sei. Bezüglich der späteren Übermittlungen der PNR-Daten durch das CBP ist die Kommission der Ansicht, der Schutz personenbezogener Daten sei mit der Genehmigung solcher Übermittlungen nicht unvereinbar, vorausgesetzt, die Übermittlungen unterlägen geeigneten und erforderlichen Beschränkungen.

82.   Die Kommission trägt schließlich vor, dass Artikel 13 der Richtlinie 95/46 in der vorliegenden Rechtssache nicht einschlägig sei und dass die „Übermittlung“ im Sinne des Artikels 25 der Richtlinie für die Fluggesellschaften darin bestehe, die PNR-Daten dem CBP aktiv zur Verfügung zu stellen. Die untersuchte Regelung beinhalte damit sehr wohl eine Übermittlung von Daten im Sinne der Richtlinie 95/46.

2.      Würdigung

83.   Mit diesem ersten Klagegrund macht das Parlament geltend, die Angemessenheitsentscheidung stelle einen Verstoß gegen die Richtlinie 95/46 dar, insbesondere gegen deren Artikel 3 Absatz 3, 13 und 25. Das Parlament führt insbesondere aus, die Entscheidung könne nicht wirksam auf den in der Richtlinie bestehenden Basisrechtsakt gestützt werden.

84.   Wie bereits dargelegt, soll die Richtlinie 95/46 zwecks Errichtung und Funktionieren des Binnenmarktes die Hemmnisse für den freien Verkehr personenbezogener Daten beseitigen, indem sie in den Mitgliedstaaten ein gleichwertiges Schutzniveau für die Rechte und Freiheiten der Personen bezüglich der Verarbeitung dieser Daten herstellt.

85.   Der Gemeinschaftsgesetzgeber wollte die vorgesehene Schutzregelung auch beachtet wissen, wenn die personenbezogenen Daten das Gebiet der Gemeinschaft verlassen. Er hat sich daher für ein System entschieden, das eine Übermittlung personenbezogener Daten in ein Drittland nur erlaubt, wenn das Drittland für diese Daten ein angemessenes Schutzniveau gewährleistet. Die Richtlinie 95/46 enthält somit den Grundsatz, dass die Übermittlung personenbezogener Daten in ein Drittland zu untersagen ist, wenn dieses Drittland kein angemessenes Schutzniveau bietet.

86.   Durch Artikel 25 der Richtlinie wird den Mitgliedstaaten und der Kommission eine Reihe von Verpflichtungen auferlegt, die den Zweck haben, die Übermittlung personenbezogener Daten in Drittländer unter Berücksichtigung des Schutzniveaus, das den Daten in diesen Ländern jeweils gewährt wird, einer Kontrolle zu unterwerfen. Artikel 25 der Richtlinie bestimmt auch das Verfahren und die Kriterien, anhand deren festgestellt werden kann, dass ein Drittland für die ihm übermittelten personenbezogenen Daten ein angemessenes Schutzniveau gewährleistet.

87.   Der Gerichtshof hat diese Regelung hinsichtlich der Übermittlung personenbezogener Daten in Drittländer als „Sonderregelung ..., die besondere Bestimmungen für die von den Mitgliedstaaten vorzunehmende Kontrolle der Übermittlung personenbezogener Daten in Drittländer enthält“, qualifiziert. Er hat weiter festgestellt, dass es „eine Regelung [ist], die die allgemeine Regelung von Kapitel II der Richtlinie 95/46, die die Rechtmäßigkeit der Verarbeitung personenbezogener Daten betrifft, ergänzt“(47).

88.   Die Eigenart der Vorschriften, die die Übermittlung personenbezogener Daten in Drittländer regeln, besteht großenteils in der Schlüsselrolle, die der Begriff des angemessenen Schutzes spielt. Um die Bedeutung dieses Begriffes zu klären, ist dieser klar von dem Begriff des gleichwertigen Schutzes zu unterscheiden, der verlangen würde, dass das Drittland die Grundsätze der Richtlinie 95/46 in ihrer Gesamtheit tatsächlich anerkennt und anwendet.

89.   Der Begriff des angemessenen Schutzes bedeutet, dass das Drittland in der Lage sein muss, einen Schutz zu garantieren, der ein annehmbares Schutzniveau für personenbezogene Daten aufweist. Diese Regelung, der die Angemessenheit des von einem Drittland gewährleisteten Schutzes zugrunde liegt, gewährt den Mitgliedstaaten und der Kommission ein weites Ermessen bei der Beurteilung der Garantien, die in dem Land, für das die Daten bestimmt sind, bestehen. Das Ermessen ist von den in Artikel 25 Absatz 2 der Richtlinie 95/46 aufgezählten Faktoren geleitet, die dabei Berücksichtigung finden können(48). Dem entspricht die vom Gemeinschaftsgesetzgeber aufgestellte Regel, dass „[d]ie Angemessenheit des Schutzniveaus, das ein Drittland bietet, ... unter Berücksichtigung aller Umstände beurteilt [wird], die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen“.

90.   Wie der Gerichtshof bereits festgestellt hat, definiert die Richtlinie 95/46 nicht den Begriff „Übermittlung in ein Drittland“(49). Sie erläutert insbesondere nicht, ob der Begriff nur die Handlung umfasst, mit der ein für die Verarbeitung Verantwortlicher die personenbezogenen Daten aktiv in ein Drittland weitergibt, oder ob er sich auch auf die Fälle erstreckt, in denen die Einrichtung eines Drittlands berechtigt ist, sich Zugang zu Daten in einem Mitgliedstaat zu verschaffen. Die Richtlinie schweigt somit zu der Frage, auf welche Weise die Daten in ein Drittland übermittelt werden können.

91.   Anders als das Parlament bin ich der Ansicht, dass in der vorliegenden Rechtssache der Zugang zu den PNR-Daten, den das CBP erhält, unter den Begriff „Übermittlung in ein Drittland“ fällt. Entscheidend für die Charakterisierung einer solchen Übermittlung ist nämlich meines Erachtens die Verbringung der Daten von einem Mitgliedstaat in ein Drittland, im vorliegenden Fall in die Vereinigten Staaten(50). Keine Rolle spielt dabei, ob die Übermittlung durch den Versender oder den Empfänger bewirkt wird. Wie der Datenschutzbeauftragte ausführt, könnten nämlich die Voraussetzungen des Artikels 25 der Richtlinie 95/46 leicht umgangen werden, wenn diese Vorschrift auf die Übermittlungen beschränkt wäre, die der Versender bewirkt.

92.   Zu betonen ist jedoch, dass Kapitel IV der Richtlinie, zu dem Artikel 25 gehört, nicht alle Übermittlungen personenbezogener Daten in Drittländer unabhängig von ihrer Art regeln soll. Das Kapitel umfasst gemäß Artikel 25 Absatz 1 der Richtlinie nur die Übermittlung personenbezogener Daten, „die Gegenstand einer Verarbeitung sind oder nach der Übermittlung verarbeitet werden sollen“.

93.   Wie erinnerlich, bezeichnet nach Artikel 2 Buchstabe b der Richtlinie 95/46 eine Verarbeitung personenbezogener Daten „jeden ... Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, ... das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung“(51).

94.   Unabhängig von ihrer Eigenart, die, wie wir gesehen haben, weitgehend auf dem Begriff der Angemessenheit beruht, muss die Regelung über die Übermittlung personenbezogener Daten in Drittländer die Vorschriften über den Geltungsbereich der Richtlinie 95/46 einhalten, zu der sie gehört(52).

95.   Auch ist eine Übermittlung in ein Drittland von den Bestimmungen des Artikels 25 der Richtlinie 95/46 nur erfasst, wenn sie personenbezogene Daten betrifft, deren Verarbeitung unabhängig davon, ob sie gegenwärtig innerhalb der Gemeinschaft stattfindet oder nur im Drittland geplant ist, in den Geltungsbereich der Richtlinie fällt. Nur unter dieser Voraussetzung kann eine Angemessenheitsentscheidung ein gültiger Akt zur Durchführung der Richtlinie 95/46 sein.

96.   Vom sachlichen Geltungsbereich her gesehen gilt die Richtlinie nicht für jede Verarbeitung personenbezogener Daten, die zu einer der in Artikel 2 Buchstabe b genannten Arten von Vorgängen gehört. Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie 95/46 nämlich bestimmt, dass sie keine Anwendung auf die Verarbeitung personenbezogener Daten findet, „die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI des Vertrags über die Europäische Union, und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt) und die Tätigkeiten des Staates im strafrechtlichen Bereich“(53).

97.   Meines Erachtens stellen das Abfragen der Fluggästedaten aus den von den Fluggesellschaften im Hoheitsgebiet der Mitgliedstaaten betriebenen Buchungssystemen sowie die Benutzung und die Bereitstellung dieser Daten durch bzw. für das CBP eine Verarbeitung von personenbezogenen Daten dar, die die öffentliche Sicherheit betreffen und staatliche Tätigkeiten im strafrechtlichen Bereich zum Gegenstand haben. Diese Verarbeitung ist infolgedessen vom sachlichen Geltungsbereich der Richtlinie 95/46 ausgeschlossen.

98.   Der Wortlaut der Angemessenheitsentscheidung offenbart den Zweck der Verarbeitung, der die personenbezogenen Daten der Fluggäste unterliegen. So weist die Kommission zunächst darauf hin, dass die Rechtsgrundlagen für die geforderte Übermittlung personenbezogener Daten aus den PNR an das CBP ein im November 2001 in den USA erlassenes Gesetz sowie Durchführungsvorschriften seien, die das CBP aufgrund dieses Gesetzes erlassen habe(54), und stellt sodann fest, dass die amerikanischen Rechtsvorschriften u. a. „die Verbesserung der Sicherheitslage“ beträfen(55). Es wird auch darauf hingewiesen, dass „[d]ie Gemeinschaft ... die USA uneingeschränkt im Kampf gegen den Terrorismus innerhalb der Bestimmungen des Gemeinschaftsrechts [unterstützt]“(56).

99.   Ferner heißt es in der fünfzehnten Begründungserwägung der Angemessenheitsentscheidung, dass „PNR-Daten ... ausschließlich verwendet [werden] für Zwecke der Verhütung und Bekämpfung des Terrorismus und damit verknüpfter Straftaten, anderer schwerer, ihrem Wesen nach länderübergreifender Straftaten, einschließlich der internationalen organisierten Kriminalität, und der Flucht vor Haftbefehlen bzw. vor Gewahrsamnahme im Zusammenhang mit jenen Straftaten“.

100. Die Richtlinie 95/46, insbesondere Artikel 25 Absatz 6, ist meines Erachtens keine geeignete Rechtsgrundlage dafür, dass die Kommission einen Durchführungsakt wie die Entscheidung über die Angemessenheit des Schutzes von personenbezogenen Daten erlässt, die einer Verarbeitung unterliegen, für die die Richtlinie 95/46 ausdrücklich nicht gilt. Würde die Übermittlung dieser Daten auf der Grundlage dieser Richtlinie genehmigt, würde durch die Hintertür der Geltungsbereich der Richtlinie erweitert.

101. Man muss sich aber vor Augen halten, dass die Richtlinie 95/46, die aufgrund des Artikels 100a EG erlassen wurde, Schutzgrundsätze definiert, die auf die Verarbeitung personenbezogener Daten anzuwenden sind, sobald die Tätigkeiten des für die Verarbeitung Verantwortlichen in den Geltungsbereich des Gemeinschaftsrechts fallen, dass sie aber gerade wegen der Wahl der Rechtsgrundlage nicht geeignet ist, staatliche Tätigkeiten zu regeln, die nicht in den Geltungsbereich des Gemeinschaftsrechts fallen, wie z. B. solche, die die öffentliche Sicherheit betreffen oder Strafverfolgungszwecke verfolgen(57).

102. Zwar hat die Datenverarbeitung, die in der Erhebung und Speicherung von Fluggästedaten durch die Fluggesellschaften besteht, im Allgemeinen ein kommerzielles Ziel, da sie in unmittelbarem Zusammenhang mit dem Ablauf des von den Luftfahrtunternehmen durchgeführten Fluges steht. Auch ist davon auszugehen, dass die PNR-Daten von den Fluggesellschaften zunächst im Rahmen einer Tätigkeit erhoben werden, die unter das Gemeinschaftsrecht fällt, d. h. im Rahmen des Verkaufs eines Flugscheins, der zu einer Dienstleistung berechtigt. Die Datenverarbeitung jedoch, die in der Angemessenheitsentscheidung Berücksichtigung findet, ist von ganz anderer Art, da sie eine der ursprünglichen Datenerhebung nachfolgende Phase erfasst. Sie erstreckt sich, wie ausgeführt, auf das Abfragen der Fluggästedaten aus den von den Fluggesellschaften im Hoheitsgebiet der Mitgliedstaaten betriebenen Buchungssystemen sowie auf die Benutzung und die Bereitstellung dieser Daten durch bzw. für das CBP.

103. In Wirklichkeit bezieht sich die Angemessenheitsentscheidung nicht auf eine Datenverarbeitung, die für die Durchführung einer Dienstleistung erforderlich ist, sondern auf eine solche, die zum Schutz der öffentlichen Sicherheit und zu Strafverfolgungszwecken für erforderlich angesehen wird. Hierin liegt der Zweck der Übermittlung und Verarbeitung der PNR-Daten. Infolgedessen kann der Umstand, dass die personenbezogenen Daten in Ausübung einer wirtschaftlichen Tätigkeit erhoben wurden, nicht die Anwendung der Richtlinie 95/46, insbesondere nicht die des Artikels 25 der Richtlinie, auf einem Gebiet rechtfertigen, das vom Geltungsbereich der Richtlinie ausgeschlossen ist.

104. Diese Gesichtspunkte reichen meines Erachtens für den Schluss, dass, wie das Parlament meint, die Kommission nach Artikel 25 der Richtlinie 95/46 nicht befugt war, eine Entscheidung über die Angemessenheit des Schutzes von personenbezogenen Daten zu erlassen, die im Rahmen und zum Zwecke einer Verarbeitung übermittelt werden, die ausdrücklich vom Geltungsbereich der Richtlinie ausgeschlossen ist(58).

105. Die Angemessenheitsentscheidung stellt somit einen Verstoß gegen den in der Richtlinie 95/46 liegenden Basisrechtsakt dar, insbesondere gegen deren Artikel 25, der für sie nicht die richtige Rechtsgrundlage ist. Ich bin daher der Auffassung, dass sie aus diesem Grund für nichtig zu erklären ist.

106. Da ich ferner der Ansicht bin, dass die Angemessenheitsentscheidung nicht in den Geltungsbereich der Richtlinie 95/46 fällt, ist die Entscheidung nicht, wie das Parlament in seinem zweiten Klagegrund vorschlägt, im Hinblick auf die wesentlichen Grundsätze der Richtlinie 95/46 zu prüfen(59). Ich bin somit der Ansicht, dass der zweite Klagegrund nicht zu prüfen ist.

107. Der dritte und der vierte Klagegrund der vorliegenden Klage, die ich beide nur hilfsweise untersuchen werde, können meines Erachtens nicht getrennt geprüft werden, denn die Prüfung, ob die Angemessenheitsentscheidung gegen die Grundrechte verstößt, umfasst zwangsläufig die Prüfung, ob dieser Rechtsakt im Hinblick auf das von ihm verfolgte Ziel den Verhältnismäßigkeitsgrundsatz berücksichtigt. Ich schlage daher dem Gerichtshof vor, den dritten und den vierten Klagegrund zusammen zu prüfen.

B –    Zu den Klagegründen eines Verstoßes gegen die Grundrechte und eines Verstoßes gegen den Verhältnismäßigkeitsgrundsatz

108. Das Parlament führt aus, die Angemessenheitsentscheidung beachte nicht das Recht auf Schutz personenbezogener Daten, wie es in Artikel 8 EMRK garantiert werde. An diesem Artikel gemessen stelle die Entscheidung einen Eingriff in das Privatleben dar, der nicht gesetzlich vorgesehen sei, da es sich um eine Maßnahme handele, die weder zugänglich noch vorhersehbar sei. Die Maßnahme stehe ferner in keinem angemessenen Verhältnis zu dem angestrebten Ziel, insbesondere im Hinblick auf die überhöhte Anzahl der verlangten PNR-Datenelemente und die übermäßig lange Aufbewahrung der Daten.

109. Mit der Klage in der Rechtssache C‑317/04 auf Nichtigerklärung des Beschlusses des Rates macht das Parlament ebenfalls diese beiden Klagegründe geltend und bringt zu deren Begründung Argumente vor, die sich großenteils überschneiden. Meines Erachtens sind diese Klagegründe, die in den beiden dem Gerichtshof vorgelegten Rechtssachen vorgebracht werden, gemeinsam zu prüfen, was ich im Rahmen meiner Ausführungen in der Rechtssache C‑317/04 tun werde.

110. Aus dem schriftsätzlichen Vorbringen der Beteiligten ergibt sich nämlich, dass die einzelnen Teile der Regelung über die Verarbeitung der PNR-Daten durch das CBP(60), bestehend aus dem Abkommen, wie es durch den Beschluss des Rates genehmigt wurde, aus der Angemessenheitsentscheidung und aus der Verpflichtungserklärung des CBP, die der genannten Entscheidung der Kommission beigefügt ist, im Hinblick auf das Recht auf Achtung des Privatlebens nicht getrennt betrachtet werden können. Die Beteiligten nehmen zur Stützung ihrer Darlegungen auch wiederholt Bezug auf den einen oder anderen dieser Rechtsakte.

111. Die gegenseitige Abhängigkeit der drei Teile der PNR-Regelung voneinander geht ausdrücklich aus dem Abkommen selbst hervor. Sowohl die Verpflichtungserklärung des CBP als auch die Angemessenheitsentscheidung werden in der Präambel des Abkommens genannt. In Absatz 1 des Abkommens wird festgestellt, dass das CBP „streng nach Maßgabe [der Angemessenheitsentscheidung], solange [diese Entscheidung] gilt“, Zugriff auf PNR-Daten erhält. Auch verhalten sich nach Absatz 2 des Abkommens die dort beschriebenen Fluggesellschaften, wenn sie die PNR-Daten „nach den Vorgaben des CBP gemäß dem US-amerikanischen Recht“ zu verarbeiten haben, „streng nach Maßgabe [der Angemessenheitsentscheidung], solange [die Entscheidung] gilt“. Absatz 3 des Abkommens schließlich bestimmt, dass „[d]as CBP ... [die Entscheidung] zur Kenntnis [nimmt] und erklärt, den im Anhang beigefügten Verpflichtungen nachzukommen“.

112. Hieraus ergibt sich, dass das Recht auf Zugang zu den PNR-Daten, das dem CBP aufgrund des Abkommens eingeräumt wird, sowie die Verpflichtung zur Verarbeitung dieser Daten, die den im Abkommen beschriebenen Fluggesellschaften obliegt, strikt und konkret an die Angemessenheitsentscheidung gebunden sind.

113. Die gegenseitige Abhängigkeit der drei Teile der PNR-Regelung voneinander sowie der Umstand, dass die Klagegründe des Verstoßes gegen die Grundrechte und gegen den Verhältnismäßigkeitsgrundsatz vom Parlament in beiden dem Gerichtshof zur Entscheidung vorgelegten Rechtssachen geltend gemacht werden, veranlassen mich, diese Klagegründe dahin zu verstehen, dass sie auf die Feststellung der Unvereinbarkeit der PNR-Regelung in ihren drei Teilen mit dem von Artikel 8 EMRK garantierten Recht auf Achtung des Privatlebens gerichtet sind. Meines Erachtens wäre es gekünstelt, die Angemessenheitsentscheidung zu prüfen, ohne das Abkommen, das den Fluggesellschaften bestimmte Verpflichtungen auferlegt, zu berücksichtigen, und umgekehrt das Abkommen zu untersuchen, ohne die sonstigen anwendbaren Vorschriften zu würdigen, auf die das Abkommen ausdrücklich Bezug nimmt.

114. Da das System aus mehreren untrennbar miteinander verbundenen Elementen besteht, darf die Prüfung somit nicht willkürlich aufgespalten werden.

115. Der Eingriff in das Privatleben erfolgt unter diesem Aspekt durch die Gesamtregelung, die aus dem Abkommen, wie es durch den Beschluss des Rates genehmigt worden ist, der Angemessenheitsentscheidung und der Verpflichtungserklärung des CBP gebildet wird. Für die Prüfung, ob dieser Eingriff gesetzlich vorgesehen ist, ob mit dem Eingriff ein legitimes Ziel angestrebt wird und ob der Eingriff in einer demokratischen Gesellschaft erforderlich ist, ist, wie das Parlament es in seinen beiden Klageschriften getan hat, die Gesamtregelung dieses „dreigängigen“ Systems zu berücksichtigen. Um einen Blick auf die gesamte PNR-Regelung zu erhalten, werde ich diese Prüfung im Rahmen der Klage auf Nichtigerklärung des Beschlusses des Rates vornehmen.

VI – Zur Klage auf Nichtigerklärung des Beschlusses des Rates (Rechtssache C‑317/04)

A –    Zum Klagegrund, mit dem geltend gemacht wird, dass mit Artikel 95 EG eine falsche Rechtsgrundlage für den Beschluss des Rates gewählt worden sei

1.      Vorbringen der Beteiligten

116. Das Europäische Parlament macht geltend, Artikel 95 EG sei keine geeignete Rechtsgrundlage für den Beschluss des Rates. Dieser beinhalte und bezwecke nämlich nicht die Errichtung und das Funktionieren des Binnenmarktes. Ziel des Beschlusses sei es vielmehr, die Verarbeitung personenbezogener Daten zu legalisieren, die den Fluggesellschaften im Hoheitsgebiet der Gemeinschaft nach amerikanischem Recht vorgeschrieben sei. Der Beschluss lasse nicht erkennen, inwieweit diese Legalisierung der Datenübermittlung in ein Drittland zur Errichtung oder zum Funktionieren des Binnenmarktes beitrage.

117. Auch der Inhalt des Beschlusses des Rates rechtfertige nicht die Heranziehung des Artikels 95 EG als Rechtsgrundlage. Der Beschluss bestehe darin, für das CBP ein Recht auf Zugang zu den von den Fluggesellschaften im Hoheitsgebiet der Gemeinschaft betriebenen Buchungssystemen nach Maßgabe des amerikanischen Rechts zu begründen, und zwar zur Durchführung von Flügen zwischen den Vereinigten Staaten und den Mitgliedstaaten zwecks Verhütung und Bekämpfung des Terrorismus. Die Verwirklichung dieser Ziele falle jedoch nicht in den Geltungsbereich des Artikels 95 EG.

118. Artikel 95 EG könne die Zuständigkeit der Gemeinschaft für den Abschluss des Abkommens nicht begründen, da dieses sich auf eine Datenverarbeitung zum Zwecke der öffentlichen Sicherheit beziehe und somit vom Geltungsbereich der Richtlinie 95/46, die auf Artikel 95 EG beruhe, ausgeschlossen sei.

119. Der Rat vertritt demgegenüber die Auffassung, der Beschluss sei zu Recht auf Artikel 95 EG gestützt worden. Dieser Artikel sei als Rechtsgrundlage für Maßnahmen geeignet, die gewährleisten sollten, dass die Wettbewerbsbedingungen im Binnenmarkt nicht verfälscht würden. Das Abkommen solle Wettbewerbsverzerrungen zwischen den Fluggesellschaften der Mitgliedstaaten und zwischen diesen und den Fluggesellschaften der Drittländer beseitigen, die sich sonst in Anbetracht der amerikanischen Forderungen aufgrund des Schutzes der Rechte und Freiheiten von Personen einstellen könnten. Die Wettbewerbsbedingungen zwischen den Fluggesellschaften der Mitgliedstaaten, die Auslands-Passagierflüge in die oder aus den Vereinigten Staaten durchführten, hätten verfälscht werden können, wenn nur einige von ihnen den Vereinigten Staaten Zugang zu ihren Datenbeständen gewährt hätten.

120. Dem gleichen Gedankengang folgend führt der Rat aus, dass die Fluggesellschaften, die den amerikanischen Forderungen nicht Folge leisteten, von den Vereinigten Staaten mit Geldbußen hätten belegt werden können, eventuelle Verspätungen ihrer Flüge hätten hinnehmen müssen und Passagiere an andere Fluggesellschaften, die mit den Vereinigten Staaten Vereinbarungen getroffen hätten, hätten verlieren können. Andererseits hätten manche Mitgliedstaaten diejenigen Fluggesellschaften, die die fraglichen personenbezogenen Daten übermittelten, mit Sanktionen belegen können, wohingegen andere Mitgliedstaaten nicht zwangsläufig genauso vorgegangen wären.

121. Daher sei der Rat der Auffassung, dass mangels einer gemeinsamen Regelung des Zugangs der Vereinigten Staaten zu den PNR-Daten die Gefahr einer Verfälschung der Wettbewerbsbedingungen bestanden hätte und die Einheit des Binnenmarktes erheblich beeinträchtigt worden wäre. Es sei daher erforderlich gewesen, harmonisierte Bedingungen aufzustellen, die den Zugang der Vereinigten Staaten zu den genannten Daten unter Wahrung der Anforderungen der Gemeinschaft bezüglich der Achtung der Grundrechte regelten. Es handele sich um die Auferlegung harmonisierter Verpflichtungen zu Lasten aller betroffenen Fluggesellschaften und um den äußeren Aspekt der Errichtung und des Funktionierens des Binnenmarktes.

122. Der Rat weist schließlich darauf hin, dass das Abkommen nach der aufgrund von Artikel 25 Absatz 6 der Richtlinie 95/46 erlassenen Angemessenheitsentscheidung geschlossen worden sei. Es sei somit angebracht und richtig gewesen, den Beschluss über den Abschluss des Abkommens auf dieselbe Rechtsgrundlage wie die Richtlinie zu stützen, nämlich auf Artikel 95 EG.

123. Die Kommission führt in ihrem Streithilfeschriftsatz aus, die Bestimmungen der Präambel des Abkommens seien der Beleg dafür, dass für die Vereinigten Staaten das entscheidende Ziel der Kampf gegen den Terrorismus sei, während für die Gemeinschaft das Hauptziel darin liege, die wesentlichen Elemente ihrer Rechtsvorschriften über den Schutz der personenbezogenen Daten aufrechtzuerhalten.

124. Das Parlament beanstande zwar, dass Artikel 95 EG als Rechtsgrundlage für den Beschluss des Rates gewählt worden sei, biete jedoch keine überzeugende Alternative an. Artikel 95 EG sei die „natürliche“ Rechtsgrundlage für den Beschluss des Rates, da die externe Dimension des Schutzes der personenbezogenen Daten auf den Artikel des EG-Vertrags gestützt werden müsse, der die Grundlage der internen Maßnahme, d. h. der Richtlinie 95/46, sei, zumal dieser externe Aspekt ausdrücklich in den Artikeln 25 und 26 der Richtlinie vorgesehen sei. Außerdem erweise sich Artikel 95 EG angesichts des engen Bandes und der Wechselbeziehung zwischen dem Abkommen, der Angemessenheitsentscheidung und der Verpflichtungserklärung des CBP als richtige Rechtsgrundlage. Jedenfalls sei der Rat befugt gewesen, das Abkommen auf der Grundlage dieses Artikels zu schließen, denn die Richtlinie 95/46 wäre im Sinne des Urteils AETR(61) beeinträchtigt worden, wenn die Mitgliedstaaten getrennt oder gemeinsam ein derartiges Abkommen außerhalb des Rahmens der Gemeinschaft geschlossen hätten.

125. Die Kommission macht schließlich geltend, die ursprüngliche Verarbeitung der fraglichen Daten durch die Fluggesellschaften sei zu kommerziellen Zwecken erfolgt. Auch stelle die Benutzung der Daten durch die Vereinigten Staaten diese nicht außerhalb des Wirkungsbereichs der Richtlinie 95/46.

2.      Würdigung

126. Mit dem ersten Klagegrund ersucht das Parlament den Gerichtshof um Entscheidung, ob Artikel 95 EG die richtige Rechtsgrundlage für den Beschluss des Rates über den Abschluss eines völkerrechtlichen Abkommens wie des hier fraglichen durch die Gemeinschaft darstellt. Um diese Frage zu beantworten, ist die ständige Rechtsprechung heranzuziehen, der zufolge sich die Wahl der Rechtsgrundlage eines Gemeinschaftsrechtsakts auf objektive, gerichtlich nachprüfbare Umstände gründen muss, zu denen insbesondere das Ziel und der Inhalt des Rechtsakts gehören(62). „Im Rahmen des Zuständigkeitssystems der Gemeinschaft kann die Wahl der Rechtsgrundlage eines Rechtsakts nicht allein davon abhängen, welches nach der Überzeugung eines Organs das angestrebte Ziel ist“(63).

127. Der Gerichtshof hat festgestellt, dass „[d]ie Wahl der geeigneten Rechtsgrundlage ... verfassungsrechtliche Bedeutung [hat]. Da die Gemeinschaft nur über begrenzte Ermächtigungen verfügt, muss sie [den betreffenden völkerrechtlichen Vertrag] mit einer Bestimmung des EG-Vertrags verknüpfen, die sie ermächtigt, einen derartigen Rechtsakt zu genehmigen“. Der Gerichtshof ist der Auffassung, dass „[d]ie Heranziehung einer falschen Rechtsgrundlage ... daher zur Ungültigkeit des Abschlussaktes selbst und damit der Zustimmung der Gemeinschaft führen [kann], durch das von ihr geschlossene Abkommen gebunden zu sein“(64).

128. Nach der vom Gerichtshof angewandten Prüfungsmethode werde ich somit untersuchen, ob das Ziel und der Inhalt des Abkommens den Rat ermächtigten, auf der Grundlage des Artikels 95 EG einen Beschluss zu fassen, mit dem gemäß seinem Artikel 1 das Abkommen im Namen der Gemeinschaft genehmigt wurde.

129. Bezüglich des Zieles des Abkommens geht aus Absatz 1 seiner Präambel ausdrücklich hervor, dass das Abkommen zwei Ziele verfolgt, nämlich zum einen die Verhütung und Bekämpfung des Terrorismus und damit verbundener Verbrechen sowie sonstiger schwerer Verbrechen transnationaler Art einschließlich der organisierten Kriminalität(65) und zum anderen die Achtung grundlegender Rechte und Freiheiten, insbesondere den Schutz der Privatsphäre.

130. Die Verfolgung des Zieles des Kampfes gegen den Terrorismus und andere schwere Verbrechen wird durch die Bezugnahme in Absatz 2 der Präambel des Abkommens auf die nach den Terroranschlägen vom 11. September 2001 erlassenen Gesetze und Vorschriften der Vereinigten Staaten belegt, nach denen jede Fluggesellschaft, die Auslands-Passagierflüge in die oder aus den Vereinigten Staaten durchführt, verpflichtet ist, dem CBP elektronischen Zugriff auf die PNR-Daten zu gewähren, soweit solche Daten erfasst und in den computergestützten Buchungs-/Abfertigungssystemen gespeichert werden.

131. Was das Ziel der Achtung der Grundrechte, insbesondere des Schutzes der Privatsphäre angeht, so tritt dieses durch die Bezugnahme auf die Richtlinie 95/46 in Erscheinung. Es handelt sich folglich darum, den natürlichen Personen, die befördert werden, den Schutz ihrer personenbezogenen Daten zu garantieren.

132. Diese Garantie wird sowohl im Rahmen der Verpflichtungserklärung des CBP vom 11. Mai 2004 verfolgt, die laut Absatz 4 der Präambel des Abkommens im Federal Register veröffentlicht wird, als auch im Rahmen der Angemessenheitsentscheidung, die in Absatz 5 der genannten Präambel erwähnt wird.

133. Diese beiden Ziele müssen gemäß Absatz 1 der Präambel des Abkommens gleichzeitig angestrebt werden. Das Abkommen, das zwischen der Gemeinschaft und den Vereinigten Staaten geschlossen wurde, versucht somit, die beiden Ziele in Einklang zu bringen, d. h., es beruht auf dem Gedanken, dass der Kampf gegen den Terrorismus und andere schwere Verbrechen unter Wahrung der Grundrechte, insbesondere des Schutzes der Privatsphäre und vor allem des Schutzes der personenbezogenen Daten, geführt werden muss.

134. Der Inhalt des Abkommens bestätigt dieses Ergebnis. Absatz 1 des Abkommens sieht vor, dass das CBP elektronischen Zugriff auf PNR-Daten aus den von den Fluggesellschaften im Hoheitsgebiet der Mitgliedstaaten der Europäischen Gemeinschaft betriebenen Buchungs‑/Abfertigungssystemen „streng nach Maßgabe“ der Angemessenheitsentscheidung erhält, „solange dieser Beschluss gilt“. Hieraus entnehme ich, dass das aus dem Zugriff auf die PNR-Daten der Fluggäste bestehende Mittel zur Bekämpfung des Terrorismus und anderer schwerer Straftaten nach dem Abkommen nur zulässig ist, solange anerkannt ist, dass in den Vereinigten Staaten für diese Daten ein angemessenes Schutzniveau besteht. Der Inhalt dieser Bestimmung des Abkommens bringt damit zum Ausdruck, dass das Ziel des Kampfes gegen den Terrorismus und andere schwere Straftaten einerseits und das des Schutzes der personenbezogenen Daten andererseits gleichzeitig verfolgt werden.

135. Dieselbe Feststellung gilt auch bei der Prüfung des Absatzes 2 des Abkommens, nach dem die Fluggesellschaften, die Auslands-Passagierflüge in die oder aus den Vereinigten Staaten durchführen, verpflichtet sind, die in ihren computergestützten Buchungssystemen enthaltenen Daten „nach den Vorgaben des CBP gemäß dem US-amerikanischen Recht und streng nach Maßgabe [der Angemessenheitsentscheidung zu verarbeiten], solange der Beschluss gilt“. Auch hier ist die Verpflichtung, die die Fluggesellschaften künftig aus Gründen des Kampfes gegen den Terrorismus und andere schwere Straftaten trifft, eng mit einem angemessenen Schutz der personenbezogenen Daten der Fluggäste verbunden.

136. Andere Bestimmungen des Abkommens sollen das Ziel des Kampfes gegen den Terrorismus und andere schwere Straftaten sowie das des Schutzes personenbezogener Daten der Fluggäste durchführen.

137. So wird speziell zum Ziel des Schutzes der personenbezogenen Daten der Fluggäste in Absatz 3 des Abkommens festgestellt, dass „[d]as CBP [die Angemessenheitsentscheidung] zur Kenntnis [nimmt] und erklärt, den im Anhang beigefügten Verpflichtungen nachzukommen“.

138. Ferner befasst sich Absatz 6 des Abkommens mit der Möglichkeit, dass die Europäische Union ihrerseits ein Fluggast-Identifikationssystem einführt, das die Fluggesellschaften verpflichtet, den zuständigen Behörden den Zugang zu PNR-Daten von Personen zu gestatten, deren Reiseweg einen Flug in die oder aus der Europäischen Union einschließt. Für den Fall, dass die Europäische Union diese Maßnahme einführt, sieht das Abkommen vor, dass das Department of Homeland Security, „soweit dies möglich ist, aktiv und streng nach dem Gegenseitigkeitsprinzip die Zusammenarbeit der seiner Zuständigkeit unterliegenden Fluggesellschaften [fördert]“. Hierbei handelt es sich um eine Bestimmung, die wiederum das Ziel des Kampfes gegen den Terrorismus und andere schwere Straftaten zum Ausdruck bringt.

139. Entgegen bestimmten Ausführungen der Kommission ist es meines Erachtens daher schwer zu begründen, dass das Ziel des Kampfes gegen den Terrorismus und andere schwere Straftaten einseitig und ausschließlich von den Vereinigten Staaten verfolgt wird, während die Gemeinschaft nur den Schutz der personenbezogenen Daten der Fluggäste zum Ziel hat(66). Ich bin der Auffassung, dass das Ziel und der Inhalt des Abkommens aus der Sicht jeder Vertragspartei in Wirklichkeit gleichzeitig darin besteht, das Ziel des Kampfes gegen den Terrorismus und andere schwere Straftaten mit dem Ziel des Schutzes der personenbezogenen Daten der Fluggäste in Einklang zu bringen. Damit ruft das Abkommen eine Zusammenarbeit zwischen den Vertragsparteien ins Leben, mit deren Hilfe eben diese beiden Ziele gleichzeitig erreicht werden sollen.

140. Unter Berücksichtigung des Zieles und des Inhalts des Abkommens, wie sie hier beschrieben worden sind, bin ich der Ansicht, dass Artikel 95 EG nicht die richtige Rechtsgrundlage für den Beschluss des Rates darstellt.

141. Hierzu ist daran zu erinnern, dass der Rat nach Artikel 95 Absatz 1 EG die Maßnahmen zur Angleichung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten erlässt, welche die Errichtung und das Funktionieren des Binnenmarktes zum Gegenstand haben.

142. Die Zuständigkeit, die der Gemeinschaft durch diesen Artikel des EG-Vertrags zugewiesen wird, hat einen horizontalen Charakter, d. h., sie ist nicht auf ein bestimmtes Gebiet beschränkt. Der Umfang der Gemeinschaftszuständigkeit wird somit „nach Maßgabe eines funktionellen Kriteriums [bestimmt], das sich horizontal auf sämtliche zur Verwirklichung des ‚Binnenmarkts‘ bestimmten Maßnahmen erstreckt“(67).

143. Aus der Rechtsprechung des Gerichtshofes ergibt sich ferner, dass Maßnahmen nach Artikel 95 Absatz 1 EG die Bedingungen für die Errichtung und das Funktionieren des Binnenmarktes verbessern sollen und tatsächlich dieses Ziel verfolgen müssen, indem sie zur Beseitigung von Hemmnissen für den freien Waren- oder Dienstleistungsverkehr oder aber von Wettbewerbsverzerrungen beitragen(68). Auch kann nach dieser Rechtsprechung Artikel 95 EG zwar als Rechtsgrundlage herangezogen werden, um der Entstehung neuer Hindernisse für den Handel infolge einer heterogenen Entwicklung der nationalen Rechtsvorschriften vorzubeugen, doch muss das Entstehen solcher Hindernisse wahrscheinlich sein und die fragliche Maßnahme ihre Vermeidung bezwecken(69).

144. Wie ich bereits ausgeführt habe, trägt der Rat vor, sein Beschluss sei zu Recht auf der Grundlage des Artikels 95 EG erlassen worden, da das Abkommen mit den Vereinigten Staaten jede Wettbewerbsverzerrung zwischen den Fluggesellschaften der Mitgliedstaaten sowie zwischen diesen und den Fluggesellschaften der Drittländer beseitigt und damit dazu beigetragen habe, dass eine schwere Beeinträchtigung der Einheit des Binnenmarktes verhindert worden sei.

145. Zwar ist festzustellen, dass die zweite Begründungserwägung des Beschlusses des Rates Bezug nimmt auf das „[dringende Erfordernis], der unsicheren Lage der Fluggesellschaften und der Fluggäste abzuhelfen und die finanziellen Interessen der Betroffenen zu schützen“. Dieser Satz könnte so zu verstehen sein, dass er auf die Sanktionen hinweist, die die Vereinigten Staaten gegen die Fluggesellschaften verhängen können, die den Zugang zu den PNR-Daten ihrer Fluggäste verweigern; solche Sanktionen könnten finanzielle Konsequenzen für die genannten Fluggesellschaften haben. Es wäre vorstellbar, dass in einem solchen Fall die Sanktionen, die für bestimmte Fluggesellschaften nachteilige finanzielle Folgen haben, zu Wettbewerbsverzerrungen zwischen der Gesamtheit der Fluggesellschaften im Hoheitsgebiet der Mitgliedstaaten führen könnten.

146. Vorstellbar ist auch, dass ein unterschiedliches Verhalten der Mitgliedstaaten, von denen einige den Fluggesellschaften in ihrem Hoheitsgebiet unter Androhung von Sanktionen verbieten könnten, in die Übermittlung der PNR-Daten ihrer Fluggäste einzuwilligen, andere dagegen sich nicht in dieser Weise verhielten, wegen der eventuellen Wettbewerbsverzerrungen, die zwischen den Fluggesellschaften entstehen könnten, – sei es auch nur mittelbare – Auswirkungen auf das Funktionieren des Binnenmarktes haben könnte.

147. Indessen ist ein solches Ziel, Wettbewerbsverzerrungen zu verhindern, soweit es vom Rat tatsächlich verfolgt wird, nur akzessorischer Natur im Verhältnis zu den beiden Hauptzielen, dem Ziel des Kampfes gegen den Terrorismus und andere schwere Straftaten sowie dem Ziel des Schutzes der personenbezogenen Daten der Fluggäste, die beide, wie dargelegt, in den Bestimmungen des Abkommens ausdrücklich genannt und verwirklicht werden.

148. Das Ziel, die Wettbewerbsverzerrungen zwischen den Fluggesellschaften der Mitgliedstaaten – wie der Rat behauptet – oder zwischen diesen und den Fluggesellschaften der Drittländer zu verhindern, ist in den Bestimmungen des Abkommens nicht ausdrücklich aufgeführt. Dieses Ziel ist stillschweigender Natur und somit zwangsläufig gegenüber den beiden anderen Zielen akzessorisch.

149. Ich erinnere aber daran, dass, wie der Gerichtshof entschieden hat, „der bloße Umstand, dass durch einen Rechtsakt die Errichtung oder das Funktionieren des Binnenmarktes betroffen ist, nicht [genügt], um den Rückgriff auf diese Bestimmung als Rechtsgrundlage des Aktes zu rechtfertigen“(70).

150. Vor allem gilt nach ständiger Rechtsprechung des Gerichtshofes, dass ein Gemeinschaftsrechtsakt, dessen Prüfung zeigt, dass er eine mehrfache Zielsetzung hat oder mehrere Komponenten aufweist, von denen sich eine als wesentliche oder überwiegende ausmachen lässt, während die andere nur von untergeordneter Bedeutung ist, nur auf eine Rechtsgrundlage zu stützen ist, und zwar auf diejenige, die die wesentliche oder überwiegende Zielsetzung oder Komponente erfordert(71). Nur ausnahmsweise, wenn feststeht, dass gleichzeitig Ziele verfolgt werden, die untrennbar miteinander verbunden sind, ohne dass das eine im Verhältnis zum anderen zweitrangig ist und mittelbaren Charakter hat, kann ein solcher Rechtsakt auf die verschiedenen einschlägigen Rechtsgrundlagen gestützt werden(72). Dies ist meines Erachtens vorliegend nicht der Fall.

151. Selbst wenn davon auszugehen wäre, dass das Abkommen die drei Ziele in untrennbarer Weise verfolgte, müsste die Entscheidung des Rates, seinen Beschluss rechtlich nur auf Artikel 95 EG zu stützen, nach dieser Rechtsprechung dennoch als unangebracht angesehen werden.

152. Aus dem Wortlaut der zweiten Begründungserwägung des Beschlusses des Rates in ihrer Gesamtheit geht in Wirklichkeit hervor, dass mit dem „dringenden Erfordernis“, auf das sich der Rat bezieht, im Wesentlichen begründet werden soll, weshalb der Rat dem Parlament eine Frist zur Stellungnahme gemäß der Vorschrift des Artikels 300 Absatz 3 Unterabsatz 1 EG gesetzt hat, der zufolge im Rahmen des Verfahrens beim Abschluss der Abkommen „[d]as Europäische Parlament ... seine Stellungnahme innerhalb einer Frist [abgibt], die der Rat entsprechend der Dringlichkeit festlegen kann“. Dieser Artikel bestimmt auch, dass, wenn „innerhalb dieser Frist keine Stellungnahme [ergeht], ... der Rat einen Beschluss fassen [kann]“. So lag es im Verfahren, nach dem der Beschluss des Rates erlassen wurde.

153. Mit anderen Worten, falls „[das dringende Erfordernis], der unsicheren Lage der Fluggesellschaften und der Fluggäste abzuhelfen und die finanziellen Interessen der Betroffenen zu schützen“, im Verfahren zur Einführung einer Regelung der PNR-Daten tatsächlich Berücksichtigung finden konnte, so hat diese Berücksichtigung meiner Meinung nach eher im Rahmen des Verfahrens als bei der Festlegung des Zieles und des Inhalts des Abkommens eine Rolle gespielt.

154. Was das Vorbringen des Rates und der Kommission anbelangt, ein Rechtsakt bezüglich der externen Dimension des Schutzes personenbezogener Daten müsse auf dieselbe Rechtsgrundlage wie die interne Maßnahme, d. h. die Richtlinie 95/46, gestützt werden, so ergibt sich nach einer Entscheidung des Gerichtshofes daraus, dass eine besondere Bestimmung des EG-Vertrags als Rechtsgrundlage für den Erlass interner Rechtsakte gewählt worden ist, nicht schon, dass für die Billigung einer völkerrechtlichen Übereinkunft mit ähnlichem Gegenstand die gleiche Rechtsgrundlage zu wählen wäre(73). Überdies habe ich gezeigt, dass es weder wesentliches Ziel noch Inhalt des Abkommens ist, die Bedingungen für das Funktionieren des Binnenmarktes zu verbessern, während die auf der Grundlage von Artikel 95 EG erlassene Richtlinie 95/46 „durch die Harmonisierung der nationalen Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten den freien Verkehr dieser Daten zwischen Mitgliedstaaten sicherstellen [soll]“(74).

155. Nach alledem hat die Prüfung des Zieles und des Inhalts des Abkommens meines Erachtens ergeben, dass Artikel 95 EG nicht die richtige Rechtsgrundlage für den Beschluss des Rates darstellt.

156. Ich schlage daher dem Gerichtshof vor, dem ersten Klagegrund des Parlaments stattzugeben. Der Beschluss des Rates ist somit wegen der Wahl einer falschen Rechtsgrundlage für nichtig zu erklären.

157. Es wäre an dieser Stelle zwar interessant, der Frage nachzugehen, welches die richtige Rechtsgrundlage für diesen Beschluss wäre. Der Gerichtshof ist jedoch mit dieser schwierigen Frage im Rahmen der vorliegenden Rechtssache nicht befasst. Ich werde daher zu dieser Frage und allgemeiner zum Wesen der PNR-Regelung, wie sie mit den Vereinigten Staaten ausgehandelt wurde, nur einige Bemerkungen machen.

158. Entgegen einer vom Rat vertretenen Auffassung kann der Umstand, dass die PNR-Regelung nicht im Rahmen der Bestimmungen des EU-Vertrags erlassen wurde, meines Erachtens kein Beweis dafür sein, dass die Betrachtungsweise des Rates und der Kommission rechtlich zutreffend ist.

159. Allgemeiner gesagt, meine ich, dass ein Rechtsakt über das Abfragen und die Benutzung personenbezogener Daten durch eine Einheit, die die innere Sicherheit eines Staates gewährleisten soll, sowie über die Bereitstellung dieser Daten für eine solche Einheit vergleichbar ist mit einem Akt der Zusammenarbeit zwischen staatlichen Stellen (75).

160. Wird ferner eine juristische Person zu einer solchen Datenverarbeitung und zur Übermittlung dieser Daten verpflichtet, so scheint mir dies nicht weit ab von einem unmittelbaren Datenaustausch zwischen staatlichen Stellen zu liegen(76). Entscheidend ist die verbindliche Weitergabe von Daten für Sicherheits- und Strafverfolgungszwecke, nicht aber ihre spezielle Ausgestaltung in dem einen oder anderen Fall. Die vorliegende Rechtssache betrifft in Wirklichkeit eine neue Fragestellung, die die Benutzung geschäftlicher Daten für Strafverfolgungszwecke betrifft(77).

161. Das Gericht schließlich hat festgestellt, dass „der Kampf gegen den internationalen Terrorismus ... mit keinem der Ziele in Verbindung gebracht werden [kann], die die Artikel 2 EG und 3 EG der Gemeinschaft ausdrücklich zuweisen“(78).

162. Da ich nach dem Ergebnis meiner Untersuchung des ersten Klagegrundes dem Gerichtshof vorschlagen möchte, den Beschluss des Rates wegen der Wahl einer falschen Rechtsgrundlage für nichtig zu erklären, werde ich die übrigen vom Parlament zur Stützung der vorliegenden Klage geltend gemachten Klagegründe nur hilfsweise prüfen.

B –    Zum Klagegrund, mit dem ein Verstoß gegen Artikel 300 Absatz 3 Unterabsatz 2 EG wegen einer Änderung der Richtlinie 95/46 geltend gemacht wird

1.      Vorbringen der Beteiligten

163. Mit dem zweiten Klagegrund macht das Parlament geltend, das Abkommen zwischen der Gemeinschaft und den Vereinigten Staaten hätte nur unter Einhaltung des Verfahrens nach Artikel 300 Absatz 3 Unterabsatz 2 EG im Namen der Gemeinschaft genehmigt werden können. Diese Bestimmung sieht vor, dass „der Abschluss ... von Abkommen, die eine Änderung eines nach dem Verfahren des Artikels 251 angenommenen Rechtsakts bedingen, der Zustimmung des Europäischen Parlaments [bedarf]“. Das Parlament ist der Ansicht, das fragliche Abkommen bedinge eine Änderung der Richtlinie 95/46, die nach dem Verfahren des Artikels 251 EG angenommen worden sei.

164. Das Parlament meint, die Verpflichtungserklärung, deren Anwendung die Vereinigten Staaten nach dem Abkommen zugestimmt hätten, erfülle nicht die in der Richtlinie 95/46 festgelegten Bedingungen für die Datenverarbeitung. Daher habe das Abkommen zur Folge, dass von bestimmten wesentlichen Grundsätzen der Richtlinie abgewichen und eine Datenverarbeitung gerechtfertigt werde, die nach der Richtlinie nicht zulässig sei. In diesem Sinne ändere das Abkommen die Richtlinie 95/46. Das Parlament nennt insbesondere folgende Änderungen.

165. Erstens bezwecke das Abkommen die Verhütung und Bekämpfung des Terrorismus und anderer schwerer Straftaten, während Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie 95/46 die Datenübermittlung an staatliche Stellen eines Drittlandes aus Gründen, die mit der öffentlichen Sicherheit dieses Staates zusammenhingen, vom Anwendungsbereich der Richtlinie ausschließe. Die Mitgliedstaaten hätten hierzu spezielle Bestimmungen im Europol-Übereinkommen vorgesehen, und es könne somit davon ausgegangen werden, dass sich auf diesem Gebiet die beiden Regelungen, die auf zwei unterschiedlichen Rechtsgrundlagen beruhten, gegenseitig ergänzten.

166. Zweitens stelle die den Vereinigten Staaten eingeräumte Befugnis, unmittelbar auf personenbezogene Daten im Hoheitsgebiet der Gemeinschaft („Pull“-System) zuzugreifen, ebenfalls eine Änderung der Richtlinie 95/46 dar. Die Artikel 25 und 26 der Richtlinie enthielten nämlich keine Bestimmungen, die einem Drittland den unmittelbaren Zugriff auf diese Daten gestatteten.

167. Drittens gestatte das Abkommen, indem es auf die Verpflichtungserklärung Bezug nehme, dem CBP, im Rahmen seines Ermessens im Einzelfall PNR-Daten an andere ausländische Regierungsbehörden zu liefern, die für Terrorbekämpfung und Strafverfolgung zuständig seien. Dieses den Vereinigten Staaten eingeräumte Ermessen verstoße gegen die Richtlinie 95/46, insbesondere gegen Artikel 25 Absatz 1, wonach „die Übermittlung personenbezogener Daten ... in ein Drittland zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet“. Das Parlament ist nämlich der Ansicht, dass das Schutzsystem der Richtlinie hinfällig wäre, wenn es dem Drittland, das Gegenstand einer positiven Angemessenheitsentscheidung gewesen sei, freistünde, später die personenbezogenen Daten in andere Länder zu übermitteln, die selbst nicht Gegenstand einer Bewertung durch die Kommission gewesen seien.

168. Viertens beinhalte das Abkommen insofern eine Änderung der Richtlinie 95/46, als das CBP selbst dann, wenn es beschließen sollte, die „sensiblen“ personenbezogenen Daten nicht zu benutzen, berechtigt sei, diese zu erheben, was bereits eine Verarbeitung im Sinne des Artikels 2 Buchstabe b der Richtlinie darstelle.

169. Fünftens ändere das Abkommen die genannte Richtlinie insofern, als bei einer Verletzung der Rechte, die jeder Person durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert seien, der Rechtsschutz, wie er in Artikel 22 der Richtlinie 95/46 vorgesehen sei, nicht hinreichend gewährleistet sei. Insbesondere habe eine von der Übermittlung ihrer PNR-Daten betroffene Person keinen Rechtsbehelf, und zwar auch nicht beispielsweise im Fall von unzutreffenden Daten, bei der Benutzung sensibler Daten oder bei der Übermittlung von Daten an eine andere Behörde.

170. Sechstens schließlich macht das Parlament geltend, die Aufbewahrungsdauer der an das CBP übermittelten PNR-Daten sei übermäßig lang, was eine Änderung der Richtlinie 95/46 darstelle, insbesondere ihres Artikels 6 Absatz 1 Buchstabe e, der vorsehe, dass die Daten „nicht länger, als es für die Realisierung der Zwecke, für die sie erhoben oder weiterverarbeitet werden, erforderlich ist, ... aufbewahrt werden“.

171. Der Datenschutzbeauftragte unterstützt die Auffassung des Parlaments; seiner Ansicht nach hat das Abkommen Auswirkungen auf die Richtlinie 95/46. Das Abkommen hätte nur unter der demokratischen Kontrolle des Parlaments geschlossen werden dürfen, weil es Folgen für den Harmonisierungsgrad der nationalen Rechtsvorschriften, wie er von der Richtlinie festgelegt werde, und für die Wahrung der Grundrechte habe. Die Beeinträchtigung des von der Richtlinie vorgesehenen Schutzniveaus bezüglich der personenbezogenen Daten folge insbesondere daraus, dass die Fluggesellschaften sowohl nach dem „Pull“-System als auch nach dem „Push“-System genötigt seien, gegen die Richtlinie zu verstoßen, insbesondere gegen Artikel 6 Absatz 1 Buchstaben b und c. Da diese Beeinträchtigung des Schutzniveaus für die Daten eine Änderung der Richtlinie 95/46 beinhalte, hätten die Verfahrensgarantien des Artikels 300 Absatz 3 Unterabsatz 2 EG beachtet werden müssen. Der Datenschutzbeauftragte ist überdies der Ansicht, dass die „substantiellen Garantien“ ebenfalls nicht beachtet worden seien, vor allem deswegen, weil die Verpflichtungserklärung des CBP nicht bindend sei.

172. Demgegenüber ist der Rat, unterstützt von der Kommission, der Ansicht, dass das Abkommen keine Änderung der Richtlinie 95/46 beinhalte. Zur Begründung zitiert der Rat Absatz 8 des Abkommens, wonach das Abkommen „nicht den Zweck [hat], Ausnahmen von den Gesetzen der Vertragsparteien zu regeln oder diese zu ändern“. Er führt auch aus, dass die Richtlinie bei der Beurteilung der Angemessenheit des von einem Drittland gewährleisteten Schutzes der Kommission ein weites Ermessen einräume. Die Frage, ob die Kommission hier die Grenzen ihres Ermessens überschritten habe, sei eher Gegenstand der Klage auf Nichtigerklärung der Angemessenheitsentscheidung in der Rechtssache C‑318/04.

173. Der Rat weist weiter darauf hin, dass seiner Meinung nach die Gründe (Sicherheit, Kampf gegen den Terrorismus u. a.), aus denen das CBP die Übermittlung der PNR-Daten verlangt habe, aus der Sicht der Gemeinschaft weder Gegenstand noch Inhalt des Abkommens seien. Auch lasse die Richtlinie 95/46 zu, dass die personenbezogenen Daten im Geltungsbereich des Binnenmarktes zu legitimen Zwecken wie dem Schutz der Sicherheit eines Staates benutzt werden können.

174. Selbst wenn man davon ausgehe, dass die Gemeinschaft für den Abschluss des Abkommens keine Zuständigkeit gehabt habe, so folge hieraus doch nicht, dass das Parlament mit der Begründung, das Abkommen ändere die Richtlinie 95/46, seine Zustimmung hätte erteilen müssen. Die Zustimmung des Parlaments nämlich könne in keinem Fall dazu führen, dass sich der Zuständigkeitsbereich der Gemeinschaft erweitere.

175. Was die Befugnis des CBP zum unmittelbaren Zugriff auf die PNR-Daten angehe („Pull“-System, das gegenwärtig bis zur Installation eines „Push“-Systems Anwendung finde), so erwähne die Richtlinie 95/46 diese Möglichkeit zwar nicht ausdrücklich, doch verbiete sie sie auch nicht. Aus Sicht der Gemeinschaft seien die Bedingungen für den Datenzugriff von entscheidender Bedeutung.

176. Die Kommission fügt diesem Vorbringen hinzu, die personenbezogenen Daten seien und blieben unabhängig von dem Zweck, zu dem das CBP sie verwende, für die Fluggesellschaften in der Gemeinschaft gleichwohl geschäftliche Daten, die unter die Richtlinie 95/46 fielen und die damit nach Maßgabe dieser Richtlinie geschützt und verarbeitet werden müssten.

2.      Würdigung

177. Beim Abschluss völkerrechtlicher Verträge durch die Gemeinschaft ist die Anhörung des Parlaments, abgesehen vom Bereich der gemeinsamen Handelspolitik, als die Regel anzusehen. Die Anhörung des Parlaments findet nach Artikel 300 Absatz 3 Unterabsatz 1 EG auch dann statt, wenn das Abkommen einen Bereich betrifft, in dem für die Annahme interner Vorschriften das Verfahren der Mitentscheidung des Artikels 251 EG vorgesehen ist.

178. Abweichend von der Regel schreibt Artikel 300 Absatz 3 Unterabsatz 2 EG die Zustimmung des Parlaments in vier Fällen vor, zu denen, soweit hier von Bedeutung, der Fall gehört, dass ein Abkommen „eine Änderung eines nach dem Verfahren des Artikels 251 angenommenen Rechtsakts“ bedingt. Damit wird die Kontrolle des Parlaments als Mitgesetzgeber über die etwaige Änderung eines von ihm angenommenen Rechtsakts durch ein völkerrechtliches Abkommen sichergestellt.

179. Die Richtlinie 95/46 wurde nach dem Verfahren der Mitentscheidung angenommen. Das Parlament macht somit geltend, dass der Beschluss des Rates über die Genehmigung des Abkommens im Namen der Gemeinschaft für eine Annahme unter Beachtung der Vorschriften des EG-Vertrags der Zustimmung des Parlaments bedurft hätte, da das Abkommen eine Änderung der Richtlinie bedinge.

180. Zunächst ist es für die Prüfung der Begründetheit dieses Klagegrundes meines Erachtens unerheblich, dass das Abkommen in Absatz 8 bestimmt, es habe „nicht den Zweck, Ausnahmen von den Gesetzen der Vertragsparteien zu regeln oder diese zu ändern“. Entscheidend dafür, dass Artikel 300 Absatz 3 Unterabsatz 2 EG Anwendung finden kann, ist nämlich die Frage, ob das völkerrechtliche Abkommen eine Änderung des internen Gemeinschaftsrechtsakts bedingt, d. h., ob es eine Änderung des Rechtsakts bewirkt, und zwar unabhängig von dem Umstand, dass es eine solche Änderung nicht bezweckt.

181. Der Gerichtshof hat sich zur Bedeutung des relativ unscharfen Ausdrucks „Änderung eines nach dem Verfahren des Artikels 251 angenommenen Rechtsakts“ offenbar noch nicht geäußert(79). Einige Autoren haben sich die Frage gestellt, ob das Wort „Änderung“ eine Änderung meint, die der Vorschrift des internen Rechtsakts widerspricht, oder ob jede Änderung des internen Rechtsakts, selbst wenn sie dem Sinn der Vorschrift folgt, genügt, um die Einhaltung des Zustimmungsverfahrens erforderlich zu machen(80).

182. Der in Artikel 300 Absatz 3 Unterabsatz 2 EG benutzte Ausdruck gibt auch Anlass zu der Frage, ob die Zustimmung nur geboten ist, wenn sich der Geltungsbereich des beabsichtigten Abkommens zumindest teilweise mit dem Geltungsbereich des angenommenen internen Rechtsakts deckt, oder ob die bloße Tatsache genügt, dass ein interner Rechtsakt auf der Rechtsgrundlage zustande gekommen ist, die für den Abschluss des Abkommens genutzt wird(81).

183. Allgemein gesagt bin ich der Auffassung, dass eine „Änderung“ eines nach dem Verfahren der Mitentscheidung angenommenen internen Gemeinschaftsrechtsakts durch ein völkerrechtliches Abkommen nur vorliegen kann, wenn sich der Geltungsbereich des Abkommens mit dem Geltungsbereich dieses internen Rechtsakts überschneidet. In diesem Fall nämlich kann eine Änderung des internen Rechtsakts durch das völkerrechtliche Abkommen entweder deshalb eintreten, weil das Abkommen eine Bestimmung enthält, die einer der Bestimmungen des internen Rechtsakts widerspricht, oder weil das Abkommen den internen Rechtsakt inhaltlich ergänzt, ohne ihm unmittelbar zu widersprechen.

184. In der vorliegenden Rechtssache bin ich der Ansicht, dass das Abkommen den Inhalt der Richtlinie 95/46 nicht ändern konnte.

185. Meine Auffassung gründet sich erstens darauf, dass, wie sich aus meiner Prüfung des ersten Klagegrundes ergibt, das Abkommen grundsätzlich den Kampf gegen den Terrorismus und andere schwere Straftaten bezweckt, zugleich jedoch die personenbezogenen Daten der Fluggäste schützen soll. Die Richtlinie 95/46 dagegen soll durch die Harmonisierung der nationalen Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten den freien Verkehr dieser Daten zwischen Mitgliedstaaten sicherstellen. Die beiden Rechtsakte haben somit zwei durchaus unterschiedliche Ziele; dies gilt auch dann, wenn beide den Bereich des Schutzes personenbezogener Daten betreffen(82).

186. Zweitens haben das Abkommen und die Richtlinie 95/46 unterschiedliche Geltungsbereiche, was mit der Feststellung übereinstimmt, dass ihre Ziele verschieden sind. Während nämlich das Abkommen auf die Verarbeitung personenbezogener Daten für die Ausübung von Tätigkeiten im Zusammenhang mit der inneren Sicherheit der Vereinigten Staaten und zugleich und vor allem auf Tätigkeiten im Zusammenhang mit dem Kampf gegen den Terrorismus und andere schwere Straftaten Anwendung findet, schließt Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie ausdrücklich die Verarbeitung personenbezogener Daten vom Geltungsbereich der Richtlinie aus, „die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI des Vertrages über die Europäische Union, und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt) und die Tätigkeiten des Staates im strafrechtlichen Bereich“(83).

187. Angesichts der Tatsache, dass vorliegend die beiden Rechtsakte unterschiedliche Ziele und unterschiedliche Geltungsbereiche haben, sehe ich nicht, wie der Inhalt des einen den Inhalt des anderen ändern könnte. In Wahrheit betrifft das Abkommen die Verarbeitung personenbezogener Daten, für die der Gemeinschaftsgesetzgeber klar ausgeschlossen hat, dass sie von dem durch die Richtlinie 95/46 eingerichteten Schutzsystem erfasst werden kann. Dieses Konzept des Gemeinschaftsgesetzgebers entspricht auch der Wahl der Rechtsgrundlage für die Richtlinie, nämlich Artikel 95 EG.

188. Dieser Feststellung kann meines Erachtens nicht mit dem Argument der Kommission entgegengetreten werden, die personenbezogenen Daten seien und blieben unabhängig von dem Ziel, zu dem das CBP sie verwende, für die Fluggesellschaften in der Gemeinschaft gleichwohl geschäftliche Daten, die unter die Richtlinie 95/46 fielen und die nach Maßgabe dieser Richtlinie geschützt und verarbeitet werden müssten.

189. Die Datenverarbeitung, die in der Erhebung und Speicherung von Fluggästedaten durch die Fluggesellschaften besteht, hat zwar, wie erinnerlich, im Allgemeinen ein kommerzielles Ziel, da sie im unmittelbaren Zusammenhang mit dem Ablauf des von den Luftfahrtunternehmen durchgeführten Fluges steht. Die vom Abkommen geregelte Datenverarbeitung ist jedoch ganz anderer Art, da sie eine nach der Datenerhebung liegende Phase abdeckt und einen Sicherheitszweck verfolgt.

190. Nach alledem bin ich der Ansicht, dass der zweite Klagegrund des Parlaments unbegründet und somit zurückzuweisen ist.

191. Aus denselben Gründen wie im Rahmen meiner Prüfung der Rechtssache C‑318/04(84) werde ich jetzt den dritten und vierten Klagegrund des Parlaments gemeinsam prüfen, d. h. den Verstoß gegen das Recht auf Schutz personenbezogener Daten und den Verstoß gegen den Verhältnismäßigkeitsgrundsatz.

192. Ich weise auch darauf hin, dass angesichts der Wechselbeziehung zwischen dem Abkommen, wie es durch den Beschluss des Rates genehmigt wurde, der Angemessenheitsentscheidung und der Verpflichtungserklärung des CBP, die der genannten Entscheidung der Kommission beigefügt ist, meines Erachtens die gesamte PNR-Regelung im Hinblick auf diese Klagegründe untersucht werden muss(85).

C –    Zu den Klagegründen des Verstoßes gegen das Recht auf Schutz personenbezogener Daten und des Verstoßes gegen den Verhältnismäßigkeitsgrundsatz

1.      Vorbringen der Beteiligten

193. Das Parlament macht geltend, die PNR-Regelung verstoße gegen das Recht auf Schutz personenbezogener Daten, wie es insbesondere in Artikel 8 EMRK anerkannt werde.

194. Mit der Bestimmung, dass das CBP elektronischen Zugriff auf PNR-Daten aus den von den Fluggesellschaften im Hoheitsgebiet der Mitgliedstaaten betriebenen Buchungssystemen erhalte, und mit der Vereinbarung, dass die Fluggesellschaften, wenn sie Auslands-Passagierflüge in die oder aus den Vereinigten Staaten durchführten, die fraglichen PNR-Daten nach den Vorgaben des CBP gemäß dem US-amerikanischen Recht verarbeiteten, stelle das Abkommen bezüglich einer Verarbeitung personenbezogener Daten einen Eingriff in das Privatleben im Sinne des Artikels 8 EMRK dar. Auch die Angemessenheitsentscheidung verstoße gegen diese Vorschrift.

195. Ein derartiger Eingriff verstoße dann nicht gegen Artikel 8 EMRK, wenn er gesetzlich vorgesehen sei, ein legitimes Ziel verfolge und in einer demokratischen Gesellschaft zur Erreichung dieses Zieles erforderlich sei. Das Parlament ist der Auffassung, dass das Abkommen und die Angemessenheitsentscheidung diese Voraussetzungen nicht erfüllten.

196. Bezüglich, erstens, der Voraussetzung, dass der Eingriff gesetzlich vorgesehen sein müsse, macht das Parlament geltend, weder das Abkommen noch die Angemessenheitsentscheidung erfüllten die von der Rechtsprechung des Europäischen Gerichtshofes für Menschenrechte aufgestellten Erfordernisse der Zugänglichkeit und der Voraussehbarkeit des Gesetzes. Was zum einen das Erfordernis der Zugänglichkeit des Gesetzes anbelange, so gäben das Abkommen und die Angemessenheitsentscheidung angesichts des allgemeinen und unbestimmten Verweises auf das anwendbare Recht der Vereinigten Staaten nicht selbst Auskunft über die Rechte und Pflichten der Fluggäste und europäischen Fluggesellschaften. Nach dem Gebot der Rechtssicherheit aber müsse ein Gemeinschaftsrechtsakt, der Rechtspflichten begründe, es den Betroffenen ermöglichen, den Umfang der ihnen durch diesen Rechtsakt auferlegten Verpflichtungen genau zu erkennen(86). Ferner seien entgegen dem Erfordernis der Zugänglichkeit des Gesetzes die anwendbaren Gesetze der Vereinigten Staaten nicht in allen Amtssprachen der Gemeinschaft verfügbar. Außerdem sei in der Präambel des Abkommens die Bezugnahme und das Datum des Erlasses der Angemessenheitsentscheidung fehlerhaft. Was zum anderen das Erfordernis der Voraussehbarkeit des Gesetzes anbelange, so fehle die Voraussehbarkeit, denn das Abkommen und die Angemessenheitsentscheidung gäben nicht hinreichend bestimmt Auskunft über die Rechte und Pflichten der in der Gemeinschaft ansässigen Luftfahrtunternehmen und Bürger. Die Fluggäste bekämen nur eine allgemeine Auskunft, was im Widerspruch zur Informationspflicht stehe, wie sie in den Artikeln 10 und 11 der Richtlinie 95/46 und 8 Buchstabe a des Übereinkommens Nr. 108 vorgesehen sei. Schließlich enthielten das Abkommen und die Verpflichtungserklärung des CBP eine Reihe von Ungenauigkeiten, die mit Artikel 8 EMRK nicht vereinbar seien.

197. Bezüglich, zweitens, der Voraussetzung, dass nach Artikel 8 Absatz 2 EMRK der Eingriff in das Recht auf Achtung des Privatlebens ein legitimes Ziel verfolgen müsse, räumt das Parlament ein, dass diese Voraussetzung erfüllt sei. Es erinnert an die Unterstützung, die es im Kampf gegen den Terrorismus dem Rat gegenüber wiederholt zum Ausdruck gebracht habe.

198. Bezüglich, drittens, der Voraussetzung, dass der Eingriff in einer demokratischen Gesellschaft notwendig sein müsse für die nationale oder öffentliche Sicherheit, für das wirtschaftliche Wohl des Landes, zur Aufrechterhaltung der Ordnung, zur Verhütung von Straftaten, zum Schutz der Gesundheit oder der Moral oder zum Schutz der Rechte und Freiheiten anderer, ist das Parlament der Auffassung, dass diese Voraussetzung aus folgenden Gründen nicht erfüllt sei:

–      Aus Absatz 3 der Verpflichtungserklärung des CBP ergebe sich, dass die Datenverarbeitung nicht nur auf den Zweck der Terrorbekämpfung beschränkt sei, sondern auch der Verhütung und Bekämpfung anderer schwerer Straftaten einschließlich organisierter Kriminalität und der Flucht vor Haftbefehlen bzw. vor Ingewahrsamnahme im Zusammenhang mit den oben genannten Straftaten dienen solle. Da die Datenverarbeitung über die bloße Terrorbekämpfung hinausgehe, sei sie für die Verwirklichung des verfolgten legitimen Zieles nicht notwendig.

–      Das Abkommen sehe die Übermittlung einer überhöhten Anzahl von Daten vor (34) und verstoße damit gegen den Verhältnismäßigkeitsgrundsatz. Unter dem Aspekt der Wahrung eines angemessenen Schutzniveaus für personenbezogene Daten seien 19 dieser 34 Daten annehmbar. Es bestehe eine „erhebliche Diskrepanz“ zwischen der Anzahl von Daten, die nach den in der Europäischen Union maßgeblichen vergleichbaren Regelungen vorgesehen sei, und der Anzahl von Daten, die nach dem Abkommen erforderlich seien(87). Überdies könnten einige der verlangten PNR-Datenelemente sensible Daten enthalten.

–      Die Daten würden von den Vereinigten Staaten im Hinblick auf das verfolgte Ziel zu lange gespeichert. Aus der Verpflichtungserklärung des CBP gehe nämlich hervor, dass nach dem Online-Zugriff auf die Daten, der für die berechtigten Personen des CBP sieben Tage lang möglich sei, alle Daten während eines Zeitraums von dreieinhalb Jahren aufbewahrt würden. Danach würden die Daten, auf die während des genannten Zeitraums manuell zugegriffen worden sei, vom CBP als Rohdaten in eine Datei für gelöschte Datensätze überführt, wo sie während acht Jahren verblieben, bevor sie vernichtet würden. Der Vergleich mit den Informationssystemen, die z. B. im Rahmen des Übereinkommens zur Durchführung des Übereinkommens von Schengen, des Europol-Übereinkommens und des Eurojust-Beschlusses errichtet worden seien und die eine Speicherungsdauer von ein bis drei Jahren vorsähen, zeige, dass die in der Verpflichtungserklärung angeführte Dauer überzogen sei.

–      Das Abkommen sehe für die Datenverarbeitung durch die Vereinigten Staaten keine gerichtliche Nachprüfung vor. Da ferner das Abkommen und die Verpflichtungserklärung den Personen, deren personenbezogene Daten verarbeitet würden, keine Rechte einräumten, sehe das Parlament nicht, wie diese sich vor den Gerichten der Vereinigten Staaten auf Rechte berufen könnten.

–      Das Abkommen erlaube die Datenübermittlung an andere staatliche Stellen; es gehe damit über das hinaus, was für die Terrorbekämpfung erforderlich sei.

199. Der Datenschutzbeauftragte vertritt die Auffassung, die Verarbeitung von sechs Datenkategorien stelle eindeutig eine Verletzung des Rechts auf die Privatsphäre dar(88). Diese Verletzung ergebe sich auch daraus, dass es möglich sei, aus diesen Daten Persönlichkeitsprofile zu erstellen. Der Datenschutzbeauftragte unterstützt das Vorbringen des Parlaments, dass der Eingriff nicht nach Artikel 8 Absatz 2 EMRK gerechtfertigt sei. Er ist auch der Ansicht, das vom CBP gebotene Schutzniveau sei nicht angemessen im Sinne des Artikels 25 der Richtlinie 95/46, vor allem weil Artikel 8 EMRK nicht beachtet werde.

200. Demgegenüber sind der Rat und die Kommission der Auffassung, die PNR-Regelung beachte die Voraussetzungen des Artikels 8 Absatz 2 EMRK in der Auslegung des Europäischen Gerichtshofes für Menschenrechte.

201. Bezüglich, erstens, der Voraussetzung, dass der Eingriff gesetzlich vorgesehen sein müsse, vertritt der Rat die Ansicht, dass das Abkommen das Erfordernis der Zugänglichkeit des Gesetzes auch dann erfüllen könne, wenn es nicht selbst alle Bestimmungen enthalte, die die Betroffenen möglicherweise berühren könnten. Es sei nicht rechtswidrig, dass in dem Abkommen auf die Angemessenheitsentscheidung sowie auf die im Anhang dieser Entscheidung aufgeführte Verpflichtungserklärung des CBP verwiesen werde, da alle diese Bestimmungen im Amtsblatt der Europäischen Union veröffentlicht worden seien. Außerdem sei es nicht Aufgabe des Amtsblatts, Gesetze von Drittländern zu veröffentlichen. Zur fehlerhaften Bezugnahme auf die Angemessenheitsentscheidung, die in der Präambel des Abkommens enthalten sei, weist der Rat darauf hin, dass er die erforderlichen Maßnahmen für die Veröffentlichung einer Berichtigung im Amtsblatt treffen werde, doch ist er der Ansicht, dass diese Fehler technischer Art nicht die Zugänglichkeit der betreffenden Rechtsakte im Sinne der Rechtsprechung des Gerichtshofes für Menschenrechte in Frage stellten. Zum Erfordernis der Voraussehbarkeit des Gesetzes meint der Rat, es stelle keinen Verstoß gegen dieses Erfordernis dar, dass die Verpflichtungserklärung des CBP sowie die Gesetze und verfassungsrechtlichen Vorschriften der Vereinigten Staaten nicht in vollem Wortlaut im Abkommen selbst wiedergegeben würden. Außerdem erlaube die Verpflichtungserklärung des CBP, deren Wortlaut hinreichend bestimmt sei, den Betroffenen, ihr Verhalten entsprechend einzurichten.

202. Bezüglich, zweitens, der Voraussetzung, dass der Eingriff ein legitimes Ziel verfolgen müsse, führt der Rat aus, der Kampf gegen andere schwere Straftaten als den Terrorismus falle unter mehrere der in Artikel 8 Absatz 2 EMRK genannten Kategorien von legitimen Interessen (insbesondere die öffentliche Sicherheit, die Aufrechterhaltung der Ordnung und die Verhütung von Straftaten). Das Abkommen und die Verpflichtungserklärung des CBP verfolgten daher ein legitimes Ziel auch insoweit, als sie auf die sonstigen schweren Straftaten abstellten.

203. Der Rat ist, drittens, der Auffassung, der Eingriff stehe in einem angemessenen Verhältnis zum angestrebten Ziel. Die vom CBP aufgestellten PNR-Datenkategorien seien für die Verhütung von Terrorakten und von organisierter Kriminalität sowie für die Durchführung von Ermittlungen, die auf Anschläge folgten, in der Weise zweckdienlich, dass sie die Aufgabe erleichterten, die Personen zu identifizieren, die an terroristischen Gruppen oder an organisierter Kriminalität beteiligt seien. Bezüglich der Anzahl der zu übermittelnden Daten sei der Vergleich mit den Informationssystemen, die in der Europäischen Union errichtet worden seien, nicht erheblich, denn abgesehen davon, dass diese Systeme ein anderes Ziel und einen anderen Inhalt als die Systeme der PNR-Regelung hätten, setze die Notwendigkeit, das Profil potenzieller Terroristen zu erstellen, den Zugang zu einer größeren Anzahl von Daten voraus. Was die drei PNR-Datenelemente angehe, die nach Auffassung des Parlaments sensible Daten enthalten könnten(89), so sei der Zugang des CBP zu diesen drei Elementen gemäß Absatz 5 der Verpflichtungserklärung des CBP(90) eng begrenzt. Ferner sei es nach den Absätzen 9, 10 und 11 der Verpflichtungserklärung ausgeschlossen, dass das CBP sensible Daten verwenden könne(91). Bezüglich der Speicherungsdauer der PNR-Daten sei eine gewöhnliche Speicherungsdauer, die außer in besonderen Fällen, in denen die Dauer länger sein könne, dreieinhalb Jahre betrage, angesichts der Tatsache, dass die Ermittlungen nach Anschlägen bisweilen mehrere Jahre dauerten, eine ausgewogene Lösung. Zudem gebe es keinen Grund für die Annahme, dass ein unabhängiges Kontrollsystem fehle. Schließlich sei die Übermittlung der Daten an andere staatliche Stellen durch hinreichende Garantien abgesichert; insbesondere dürfe das CBP Daten an andere staatliche Stellen nur im Einzelfall und nur zur Verhütung oder Bekämpfung des Terrorismus oder anderer schwerer Straftaten übermitteln.

204. Nach Auffassung der Kommission lässt die Gesamtregelung aus Abkommen, Angemessenheitsentscheidung und Verpflichtungserklärung des CBP einen gewissen Eingriff in das Privatleben – je nach den übermittelten Daten mit unterschiedlichem Gewicht – zweifellos zu. Dieser Eingriff sei gesetzlich, d. h. in der Gesamtregelung, vorgesehen, verfolge ein legitimes Ziel, nämlich die Beilegung eines Konflikts zwischen den amerikanischen Sicherheitsgesetzen und den Gemeinschaftsnormen über den Schutz personenbezogener Daten, und sei in einer demokratischen Gesellschaft zur Erreichung dieses Zieles erforderlich.

205. Das Vereinigte Königreich ist der Auffassung, dass bei der Untersuchung eines etwaigen Verstoßes gegen das Recht auf Schutz der personenbezogenen Daten der Beschluss des Rates, das Abkommen, die Angemessenheitsentscheidung und die Verpflichtungserklärung des CBP gemeinsam zu prüfen seien, denn sie seien Rechtsvorschriften, die eng miteinander verbunden seien. Auch seien die Zugänglichkeit und die Voraussehbarkeit des geltenden Gemeinschaftsrechts, nicht aber der Gesetze zu prüfen, die im Hoheitsgebiet der Vereinigten Staaten Anwendung fänden. Nehme man das Abkommen, die Angemessenheitsentscheidung und die Verpflichtungserklärung des CBP zusammen, enthalte das Gemeinschaftsrecht eine klare und vollständige Darlegung der Rechtsstellung aller betroffenen Parteien. Das Vereinigte Königreich teile ferner nicht die Auffassung, dass die Verpflichtungserklärung des CBP ihrem Wesen nach einseitig sei und von den Vereinigten Staaten ungestraft geändert oder widerrufen werden könne.

206. Zur Notwendigkeit des Eingriffs trägt das Vereinigte Königreich, erstens, vor, der Kampf gegen andere schwere Straftaten werde klar als ein Zweck des Abkommens bezeichnet und stelle ein unverzichtbares Ziel dar, das ebenso legitim wie der Kampf gegen den Terrorismus sei. Zweitens ständen die Anzahl der Daten, die übermittelt werden könnten, die Dauer ihrer Aufbewahrung sowie die Möglichkeit ihrer Übermittlung an andere Behörden mit diesen Zielen in Einklang und seien ihnen in Anbetracht vor allem der zahlreichen Garantien, die in der Verpflichtungserklärung und der Angemessenheitsentscheidung enthalten seien, um die für das Privatleben der Fluggäste entstehende Gefahr einzudämmen, angemessen. Drittens schließlich sei das Kriterium der Verhältnismäßigkeit sowohl nach der Rechtsprechung des Gerichtshofes als auch nach der des Europäischen Gerichtshofes für Menschenrechte im Licht des Wesens und der Bedeutung der betreffenden Ziele anzuwenden.

2.      Würdigung

207. Mit diesen Klagegründen macht das Parlament geltend, der Beschluss des Rates und die Angemessenheitsentscheidung verstießen gegen das Recht auf Schutz personenbezogener Daten, wie es insbesondere in Artikel 8 EMRK garantiert werde.

208. Nach ständiger Rechtsprechung gehören die Grundrechte zu den allgemeinen Rechtsgrundsätzen, die der Gerichtshof zu wahren hat(92). Dabei geht der Gerichtshof von den gemeinsamen Verfassungstraditionen der Mitgliedstaaten sowie von den Hinweisen aus, die die völkerrechtlichen Verträge über den Schutz der Menschenrechte geben, an deren Abschluss die Mitgliedstaaten beteiligt waren oder denen sie beigetreten sind. Er ist der Auffassung, dass die Europäische Menschenrechtskonvention hierbei „eine besondere Bedeutung“ habe(93). In der Gemeinschaft können somit keine Maßnahmen als rechtens anerkannt werden, die mit der Achtung der damit anerkannten und garantierten Menschenrechte unvereinbar sind(94). Diese Grundsätze wurden in Artikel 6 Absatz 2 EU übernommen.

209. Im Verlauf dieser Rechtsprechung hat der Gerichtshof das Recht auf Achtung des Privatlebens als Grundsatz in das Gemeinschaftsrecht aufgenommen(95). Das Recht auf Schutz personenbezogener Daten ist einer der Aspekte des Rechts auf Achtung des Privatlebens und somit durch Artikel 8 EMRK und in der Rechtsordnung der Gemeinschaft auch über die allgemeinen Rechtsgrundsätze geschützt.

210. Die Prüfung, ob die PNR-Regelung gegen das Recht auf Achtung des Privatlebens verstößt, werde ich gemäß dem Prüfungsschema vornehmen, das sich aus Artikel 8 EMRK ergibt. Ich werde daher zunächst prüfen, ob die PNR-Regelung einen Eingriff in das Privatleben der Fluggäste darstellt, und dann, ob dieser Eingriff gerechtfertigt ist.

a)      Zum Vorliegen eines Eingriffs in das Privatleben

211. Dass die Gesamtregelung aus dem Beschluss mit der Genehmigung des Abkommens, der Angemessenheitsentscheidung und der Verpflichtungserklärung des CBP in das Privatleben eingreift, ist meines Erachtens nicht zweifelhaft. Offenkundig stellt das Abfragen der Fluggästedaten aus den von den Fluggesellschaften im Hoheitsgebiet der Mitgliedstaaten betriebenen Buchungssystemen sowie die Benutzung und die Bereitstellung dieser Daten durch bzw. für das CBP einen Eingriff staatlicher Stellen in das Privatleben der Fluggäste dar.

212. Der Eingriff in das Privatleben der Fluggäste stellt meines Erachtens ungeachtet dessen fest, dass bestimmte PNR-Datenelemente für sich genommen das Privatleben der betroffenen Fluggäste individuell nicht beeinträchtigen. Die Liste der PNR-Datenelemente, die vom CBP verlangt werden, muss nämlich als Ganzes betrachtet werden, und zwar deshalb, weil durch Abgleich der Daten Persönlichkeitsprofile erstellt werden können.

213. Ein Eingriff in das Privatleben verstößt gegen das Recht auf Achtung des Privatlebens, es sei denn, der Eingriff ist gerechtfertigt.

b)      Zur Rechtfertigung des Eingriffs in das Privatleben

214. Ein Eingriff ist zulässig, wenn drei Voraussetzungen vorliegen: Der Eingriff ist gesetzlich vorgesehen, verfolgt ein legitimes Ziel und ist in einer demokratischen Gesellschaft notwendig.

i)      Ist der Eingriff gesetzlich vorgesehen?

215. Nach ständiger Rechtsprechung des Europäischen Gerichtshofes für Menschenrechte beinhaltet diese Voraussetzung, dass die beanstandete Maßnahme eine gesetzliche Grundlage hat, und sie betrifft auch die „Qualität“ des in Frage stehenden Gesetzes(96). Die Prüfung der „Qualität“ des Gesetzes geht dahin, ob das Gesetz für die Bürger zugänglich sowie bestimmt und in seinen Wirkungen voraussehbar ist. Dies setzt voraus, dass das Gesetz die Voraussetzungen und Modalitäten der Beschränkungen des garantierten Rechts so genau festlegt, dass der Bürger sein Verhalten danach richten und geeigneten Schutz vor Willkür in Anspruch nehmen kann(97).

216. Das Parlament macht geltend, die Maßnahme, die den Eingriff vorsehe, sei weder zugänglich noch in ihren Wirkungen voraussehbar. Ich teile diese Auffassung nicht.

217. Ich bin vielmehr der Ansicht, dass der Wortlaut des Beschlusses des Rates und des Abkommens, das dem Beschluss beigefügt ist, sowie der Wortlaut der Angemessenheitsentscheidung, die als Anhang die Verpflichtungserklärung des CBP enthält, es den Betroffenen, also den Fluggesellschaften und den Fluggästen, erlaubt, so genau informiert zu sein, dass sie ihr Verhalten danach richten können.

218. Dazu ist festzustellen, dass die 48 Absätze der Verpflichtungserklärung des CBP, in denen der anwendbare rechtliche Rahmen erläutert wird, recht detailliert sind. Außerdem enthält die Präambel der Angemessenheitsentscheidung Verweisungen auf das einschlägige Gesetz der Vereinigten Staaten und die Durchführungsvorschriften, die das CBP aufgrund dieses Gesetzes erlassen hat(98). Es wäre übertrieben, zu verlangen, dass die anwendbaren Rechts- und Verwaltungsvorschriften der Vereinigten Staaten vollständig im Amtsblatt der Europäischen Union veröffentlicht werden. Abgesehen davon, dass, wie der Rat ausführt, es nicht Aufgabe des Amtsblatts ist, Gesetze von Drittländern zu veröffentlichen, enthält die Verpflichtungserklärung des CBP, die im Amtsblatt veröffentlicht wurde, die wesentlichen Informationen über das Verfahren zur Nutzung der Daten durch das CBP und über die für dieses Verfahren geltenden Garantien.

219. Gemäß dem Gebot der Rechtssicherheit werden die von der PNR-Regelung erfassten Fluggesellschaften über ihre Verpflichtungen nach dem Abkommen und die Fluggäste über ihre Rechte, insbesondere über ihre Rechte auf Datenzugang und Datenberichtigung, informiert(99).

220. Angesichts der zwischen den einzelnen Teilen der PNR-Regelung bestehenden Wechselbeziehung ist es zwar bedauerlich, dass in der Präambel des Abkommens der Bezug und das Datum der Angemessenheitsentscheidung falsch angegeben sind. Diese Fehler machen das Vorgehen eines europäischen Bürgers, der sich über den Inhalt der mit den Vereinigten Staaten ausgehandelten Regelung informieren will, komplizierter. Sie erschweren jedoch meines Erachtens eine solche Suche nicht übermäßig, da die Angemessenheitsentscheidung im Amtsblatt veröffentlicht wurde und aufgrund der Suchinstrumente, vor allem im Bereich der Datenverarbeitung, mühelos ausfindig gemacht werden kann. Zudem hat der Rat zugesagt, dass im Amtsblatt eine Berichtigung veröffentlicht wird, was tatsächlich geschehen ist(100).

221. Aufgrund dieser Erwägungen bin ich der Ansicht, dass der Eingriff in das Privatleben der betroffenen Fluggäste als „gesetzlich vorgesehen“ im Sinne des Artikels 8 Absatz 2 EMRK zu betrachten ist.

ii)    Verfolgt der Eingriff ein legitimes Ziel?

222. Unter Berücksichtigung der unterschiedlichen Ziele, die in Artikel 8 Absatz 2 EMRK genannt werden, bin ich der Auffassung, dass der im vorliegenden Fall in Frage stehende Eingriff in das Privatleben ein legitimes Ziel verfolgt. Dies ist insbesondere der Fall bezüglich des Kampfes gegen den Terrorismus.

223. Ebenso wie der Rat bin ich der Meinung, dass auch der Kampf gegen andere schwere Straftaten als den Terrorismus(101) unter mehrere der in Artikel 8 Absatz 2 EMRK genannten Kategorien von legitimen Interessen fällt, wie die nationale Sicherheit, die öffentliche Sicherheit, die Aufrechterhaltung der Ordnung oder die Verhütung von Straftaten. Ich bin daher der Auffassung, dass die PNR-Regelung ein legitimes Ziel auch insoweit verfolgt, als sie sich auf diese anderen schweren Straftaten bezieht.

224. Nunmehr ist die Verhältnismäßigkeit des Eingriffs und damit die Frage zu prüfen, ob der Eingriff in einer demokratischen Gesellschaft zur Verhütung und Bekämpfung des Terrorismus und anderer schwerer Straftaten notwendig ist.

iii) Ist der Eingriff zur Erreichung dieses Zieles in einer demokratischen Gesellschaft notwendig?

225. Bevor ich im Einzelnen prüfe, ob der Eingriff verhältnismäßig ist, mache ich zunächst einige Bemerkungen zur Dichte der vom Gerichtshof auszuübenden Kontrolle.

226. Nach der Rechtsprechung des Europäischen Gerichtshofes für Menschenrechte bedeutet das Eigenschaftswort „notwendig“ in Artikel 8 Absatz 2 EMRK, dass „ein zwingendes gesellschaftliches Bedürfnis“ bestehen und die Maßnahme „in einem angemessenen Verhältnis zum verfolgten Zweck“ stehen muss(102). Zudem „[verfügen] [d]ie nationalen Behörden ... über einen Beurteilungsspielraum, dessen Umfang nicht nur von der Zielsetzung, sondern auch vom Wesen des Eingriffs abhängt“(103).

227. Im Rahmen der Nachprüfung des Beurteilungsspielraums der Staaten prüft der Europäische Gerichtshof für Menschenrechte herkömmlich zunächst, ob die Eingriffe ausreichend begründet sind, dann, ob der Eingriff in einem angemessenen Verhältnis zum verfolgten legitimen Zweck steht, und schließlich, ob eine Abwägung zwischen dem Allgemeininteresse und den Individualinteressen stattgefunden hat(104). Aus dieser Rechtsprechung hat man den Schluss gezogen, dass der Grundsatz der Verhältnismäßigkeit, der das Gebot des angemessenen Verhältnisses zwischen legitimem Zweck und den zu seiner Erreichung eingesetzten Mitteln zum Ausdruck bringt, das wichtigste Element der Nachprüfung des nationalen Beurteilungsspielraums ist(105).

228. Die Verhältnismäßigkeitsprüfung des Europäischen Gerichtshofes für Menschenrechte richtet sich nach Parametern wie der Art des Rechts und der betreffenden Tätigkeiten, des Zieles des Eingriffs und der Frage, ob die Rechtssysteme der Staaten einen gemeinsamen Nenner haben.

229. Bezüglich der Art des Rechts und der betreffenden Tätigkeiten vertritt der Europäische Gerichtshof für Menschenrechte, soweit es um ein Recht geht, das die Intimsphäre des Einzelnen berührt, wie das Recht auf Wahrung der Vertraulichkeit personenbezogener Gesundheitsdaten(106), die Auffassung, dass der Beurteilungsspielraum des Staates beschränkt sei und die gerichtliche Nachprüfung strenger sein müsse(107).

230. Sofern jedoch der Zweck des Eingriffs im Schutz der nationalen Sicherheit(108) oder im Kampf gegen den Terrorismus besteht(109), gesteht der Europäische Gerichtshof für Menschenrechte den Staaten einen größeren Beurteilungsspielraum zu.

231. Angesichts des Wesens und der Bedeutung des Zieles der Terrorismusbekämpfung, das im Rahmen der PNR-Regelung von ausschlaggebender Bedeutung ist, und unter Berücksichtigung des politisch sensiblen Kontextes, in dem die Verhandlungen zwischen der Gemeinschaft und den Vereinigten Staaten stattgefunden haben, sollte der Gerichtshof in der vorliegenden Rechtssache meines Erachtens Rat und Kommission für die Verhandlungen mit den Vereinigten Staaten über den Inhalt der PNR-Regelung einen weiten Beurteilungsspielraum zugestehen. Demgemäß sollte sich die Kontrolle des Gerichtshofes über die Notwendigkeit des Eingriffs auf die Prüfung eines etwaigen offensichtlichen Beurteilungsfehlers der beiden Organe beschränken(110). Eine solche eingeschränkte Kontrolle verhindert, dass der Gerichtshof die Beurteilung der politischen Stellen der Gemeinschaft bezüglich der Frage, welche Maßnahmen im Kampf gegen den Terrorismus und andere schwere Straftaten ihrem Wesen nach angemessen und zweckmäßig sind, durch seine eigene Beurteilung ersetzt.

232. Zur Bestimmung der Dichte der von ihm auszuübenden Kontrolle könnte sich der Gerichtshof über die angeführte Rechtsprechung des Europäischen Gerichtshofes für Menschenrechte hinaus auf seine eigene Rechtsprechung stützen, nach der, wenn ein Gemeinschaftsorgan in einem bestimmten Bereich über ein weites Ermessen verfügt, „die Rechtmäßigkeit einer in diesem Bereich erlassenen Maßnahme nur dann beeinträchtigt sein [kann], wenn diese Maßnahme zur Erreichung des Ziels, das das zuständige Organ verfolgt, offensichtlich ungeeignet ist“(111). Diese Einschränkung der Kontrolle der Verhältnismäßigkeit ist „insbesondere dann geboten“, wenn „sich der Rat veranlasst sieht, ... einen Ausgleich zwischen divergierenden Interessen herbeizuführen und auf diese Weise im Rahmen der in seine eigene Verantwortung fallenden politischen Entscheidungen eine Auswahl zu treffen“(112). Die Einschränkung der Kontrolle kann auch dadurch gerechtfertigt sein, dass ein Gemeinschaftsorgan in einem Maßnahmebereich zu komplexen Abwägungen veranlasst ist(113).

233. Diese Rechtsprechung und die ihr zugrunde liegenden Gründe sind meines Erachtens in der vorliegenden Rechtssache anzuwenden, da der Rat und die Kommission bei der Ausarbeitung der PNR-Regelung politisch zwischen unterschiedlichen, schwer miteinander in Einklang zu bringenden Interessen zu entscheiden hatten und mit komplexen Abwägungen konfrontiert waren(114). Dies entspräche dem Prinzip der Gewaltenteilung, das vom Gerichtshof verlangt, die politische Verantwortung der gesetzgebenden Organe und Verwaltungsbehörden der Gemeinschaft zu achten und sich bei den von diesen zu treffenden politischen Entscheidungen nicht an ihre Stelle zu setzen.

234. Nunmehr ist im Einzelnen zu prüfen, ob der Rat und die Kommission mit der Annahme der verschiedenen Teile der PNR-Regelung im Hinblick auf das Recht auf Achtung des Privatlebens, insbesondere das Recht auf Schutz der personenbezogenen Daten der Fluggäste, die Grenzen ihres Beurteilungsspielraums unter Berücksichtigung des verfolgten legitimen Zieles offensichtlich überschritten haben.

235. Im Rahmen dieser Prüfung hat der Inhalt der Verpflichtungserklärung des CBP besondere Bedeutung, da diese im Einzelnen die für die PNR-Regelung geltenden Garantien enthält. Dabei wäre meines Erachtens die Annahme irrig, dass die Verpflichtungserklärung keine bindende Wirkung hat und Verpflichtungen enthält, die von den Vereinigten Staaten frei geändert oder widerrufen werden könnten.

236. Die Verpflichtungserklärung, die, wie erinnerlich, der Angemessenheitsentscheidung beigefügt ist, ist eines der Bestandteile der PNR-Regelung, und angesichts dessen hätte ihre Nichtbeachtung eine Blockade der gesamten Regelung zur Folge. Ich weise hierzu darauf hin, dass die Absätze 1 und 2 des Abkommens die Verpflichtung der Fluggesellschaften zur Verarbeitung der PNR-Daten streng an die Anwendung der Angemessenheitsentscheidung knüpfen, da die Verpflichtung nur gültig ist, „solange dieser Beschluss gilt“. Ferner erklärt das CBP gemäß Absatz 3 des Abkommens, „den im Anhang beigefügten Verpflichtungen nachzukommen“. Schließlich werden in den Artikeln 3, 4 und 5 der Angemessenheitsentscheidung die Maßnahmen festgelegt, die bei einem Verstoß gegen die in der Verpflichtungserklärung enthaltenen Schutzvorschriften zu ergreifen sind. Zu diesen Maßnahmen gehört, dass die zuständigen Behörden der Mitgliedstaaten die Datenübermittlung an das CBP aussetzen können und dass die Angemessenheitsentscheidung ausgesetzt oder aufgehoben werden kann, wenn die Grundanforderungen für ein angemessenes Schutzniveau für die betreffenden Personen nicht gewährleistet sind, was zur Folge hätte, dass die Absätze 1 und 2 des Abkommens keine Anwendung mehr finden würden.

237. Für seinen Antrag auf Feststellung, dass der Eingriff in das Privatleben der Fluggäste gegen den Grundsatz der Verhältnismäßigkeit verstößt, beruft sich das Parlament, erstens, auf die überhöhte Anzahl von Daten, die das CBP von den Fluggesellschaften verlange. Überdies ist es der Auffassung, einige der verlangten PNR-Datenelemente könnten sensible Daten enthalten.

238. Meines Erachtens hat die Kommission mit der Entscheidung über die Liste mit 34 personenbezogenen Daten, wie sie der Angemessenheitsentscheidung beigefügt ist, keine Maßnahme angenommen, die zur Erreichung des Zieles der Terrorismusbekämpfung und anderer schwerer Straftaten offensichtlich ungeeignet ist. Zum einen nämlich ist die Bedeutung hervorzuheben, die die Aufklärung im Kampf gegen den Terrorismus hat, weil die Sicherheitsdienste eines Staates durch die Beschaffung geeigneter Informationen eventuelle Terroranschläge verhüten können. So gesehen kann die Notwendigkeit, die Profile potenzieller Terroristen zu erstellen, den Zugang zu einer größeren Anzahl von Daten voraussetzen. Zum anderen reicht der Umstand, dass andere innerhalb der Europäischen Union erlassene Vorschriften über den Informationsaustausch die Weitergabe einer geringeren Anzahl von Daten vorsehen, nicht als Beweis dafür aus, dass die Anzahl von Daten, die in der spezifischen Terrorbekämpfungsnorm der PNR-Regelung verlangt wird, überhöht ist(115).

239. Ferner ist zwar richtig, wie das Parlament vorträgt, dass drei der insgesamt verlangten Datenelemente sensible Daten enthalten können(116), doch ist zum einen der Zugriff des CBP auf diese drei Datenelemente nach Absatz 5 der Verpflichtungserklärung eng begrenzt, zum anderen ist es nach den Absätzen 9 bis 11 der Verpflichtungserklärung ausgeschlossen, dass das CBP sensible Daten verwenden kann, und schließlich wurde vom CBP gemäß der von ihm übernommenen Verpflichtung ein Filtersystem für die genannten Daten in Betrieb genommen(117).

240. Zweitens ist das Parlament der Ansicht, die PNR-Daten der Fluggäste würden von den Behörden der Vereinigten Staaten im Hinblick auf das verfolgte Ziel zu lange gespeichert.

241. Die Speicherungsdauer dieser Daten wird in Absatz 15 der Verpflichtungserklärung erwähnt, der im Wesentlichen den Online-Zugriff auf die genannten Daten für zugriffsberechtigte CBP-Nutzer während eines Zeitraums von zunächst sieben Tagen vorsieht. Danach kann eine beschränkte Zahl berechtigter Bediensteter während eines Zeitraums von drei Jahren und sechs Monaten auf die Daten zugreifen. Nach diesem Zeitraum schließlich werden die Daten, auf die in dem Zeitraum nicht manuell zugegriffen wurde, vernichtet, während die Daten, auf die während der Frist von drei Jahren und sechs Monaten manuell zugegriffen wurde, vom CBP in eine Datei für gelöschte Datensätze überführt werden, wo sie während acht Jahren verbleiben, bevor sie vernichtet werden(118).

242. Aus dieser Bestimmung geht hervor, dass die normale Speicherungsdauer für PNR-Daten drei Jahre und sechs Monate beträgt; eine Ausnahme gilt für Daten, auf die während dieser Frist manuell zugegriffen wurde. Meines Erachtens ist diese Dauer unter Berücksichtigung insbesondere der Tatsache nicht unverhältnismäßig, dass, wie der Rat vorträgt, die Ermittlungsverfahren, die sich an Terroranschläge oder andere schwere Straftaten anschließen können, manchmal mehrere Jahre dauern. Darüber hinaus ist es zwar grundsätzlich wünschenswert, dass personenbezogene Daten nur kurzfristig gespeichert werden, doch ist in der vorliegenden Rechtssache die Speicherungsdauer der PNR-Daten zusammen mit dem Nutzen zu sehen, den die Daten nicht nur für die Verhütung des Terrorismus, sondern darüber hinaus allgemein für Strafverfolgungszwecke haben.

243. Aufgrund dieser Erwägungen erscheint mir die Regelung über die Datenspeicherung, wie sie in Absatz 15 der Verpflichtungserklärung vorgesehen ist, keine offensichtliche Verkennung des Rechts auf Achtung des Privatlebens zu sein.

244. Drittens beanstandet das Parlament, dass die PNR-Regelung keine gerichtliche Nachprüfung bezüglich der Verarbeitung der personenbezogenen Daten durch die Vereinigten Staaten vorsehe.

245. Ich weise darauf hin, dass sowohl das Übereinkommen Nr. 108 als auch die Richtlinie 95/46 einen gerichtlichen Rechtsbehelf für Verstöße gegen die Vorschriften des innerstaatlichen Rechts vorsehen, die die in den beiden rechtlichen Regelungen enthaltenen Regeln anwenden(119).

246. Im Hinblick auf Artikel 8 Absatz 2 EMRK bin ich der Meinung, dass die Bestimmungen in den Absätzen 36 ff. der Verpflichtungserklärung, die eine Reihe von Garantien bezüglich des Informations-, Auskunfts- und Widerspruchsrechts der betroffenen Fluggäste vorsehen, einen etwaigen Missbrauch verhindern können. Aus diesen Garantien in ihrer Gesamtheit ist zu schließen, dass unter Berücksichtigung des weiten Beurteilungsspielraums, der dem Rat und der Kommission im vorliegenden Fall zugestanden werden muss, der Eingriff in das Privatleben der Fluggäste, gemessen an dem legitimen Ziel, das von der PNR-Regelung verfolgt wird, verhältnismäßig ist.

247. Des Näheren sieht Absatz 37 der Verpflichtungserklärung zusätzlich zu den allgemeinen Informationen, die das CBP den Fluggästen mitzuteilen hat(120), vor, dass die Betroffenen gemäß dem Freedom of Information Act(121) eine Kopie der PNR-Daten, die über sie in den Datenbanken des CBP gespeichert sind, erhalten(122).

248. Zwar sieht Absatz 38 der Verpflichtungserklärung vor, dass das CBP befugt ist, „[i]n bestimmten Ausnahmefällen“ die Offenlegung des ganzen PNR oder eines Teils davon zu verweigern bzw. aufzuschieben, falls z. B. die Offenlegung „etwaige Strafverfahren beeinträchtigen könnte“ oder falls damit „Techniken und Verfahren der Strafverfolgung ... preisgegeben würden“. Abgesehen jedoch davon, dass diese Befugnis des CBP gesetzlich beschränkt ist, ist darauf hinzuweisen, dass nach demselben Absatz der Verpflichtungserklärung der FOIA vorsieht, dass „jeder Antragsteller das Recht [hat], die Entscheidung des CBP, den Informationszugang zu verweigern, bei der Verwaltung und vor Gericht anzufechten“(123).

249. Bezüglich der Anträge auf Berichtigung von in CBP-Datenbanken gespeicherten PNR-Daten und der Beschwerden der Betroffenen über die Behandlung ihrer PNR-Daten durch das CBP bestimmt Absatz 40 der Verpflichtungserklärung ferner, dass sie beim „Assistant Commissioner“ des CBP einzureichen sind(124).

250. Falls das CBP einer Beschwerde nicht abhelfen kann, ist die Beschwerde beim „Chief Privacy Officer, Department of Homeland Security“ einzureichen(125).

251. Außerdem sieht Absatz 42 der Verpflichtungserklärung vor, dass „sich das DHS Privacy Office umgehend mit Beschwerden befassen [wird], die die Datenschutzbehörden der EU-Mitgliedstaaten im Auftrag EU-ansässiger Betroffener an ihn richten, weil die Betroffenen zu der Auffassung gelangt sind, dass ihre Datenschutzbeschwerden bezüglich PNR-Daten nicht zufrieden stellend vom CBP (gemäß den Absätzen 37 bis 41) oder vom DHS Privacy Office behandelt wurden“.

252. Absatz 42 sieht weiter vor, dass das DHS Privacy Office „seine Schlussfolgerungen mitteilen und die betreffende(n) Datenschutzbehörde(n) über etwaige Maßnahmen informieren [wird]“ und dass der Chief Privacy Officer „in seinem Bericht an den Kongress auch auf die Zahl, den Gegenstand und die Lösung von Beschwerdefällen im Zusammenhang mit der Behandlung personenbezogener Daten vom Typ PNR eingehen [wird]“(126).

253. Das Parlament betont zu Recht, dass der Chief Privacy Officer kein Rechtsprechungsorgan sei. Es ist jedoch darauf hinzuweisen, dass es sich um ein Verwaltungsorgan handelt, das mit einem gewissen Grad an Unabhängigkeit gegenüber dem Department of Homeland Security ausgestattet ist und dessen Entscheidungen bindende Wirkung haben(127).

254. Diese Befugnis der Fluggäste, eine Beschwerde beim Chief Privacy Officer einzulegen und im Rahmen des FOIA Klage zu erheben, sind daher wesentliche Garantien im Hinblick auf das den Fluggästen zustehende Recht auf Achtung des Privatlebens. Aufgrund dieser Garantien bin ich der Ansicht, dass der Rat und die Kommission die Grenzen ihres Beurteilungsspielraums bei der Annahme der PNR-Regelung nicht überschritten haben.

255. Das Parlament ist schließlich der Ansicht, die PNR-Regelung gehe über das hinaus, was für die Bekämpfung des Terrorismus und anderer schwerer Straftaten erforderlich sei, da sie die Übermittlung der Fluggästedaten an andere staatliche Stellen erlaube. Das CBP verfüge bei der Übermittlung der PNR-Daten an andere staatliche Behörden, und zwar auch an ausländische Regierungsbehörden, über ein Ermessen, was mit Artikel 8 Absatz 2 EMRK unvereinbar sei.

256. Ich teile diese Auffassung nicht. Auch hier sprechen nämlich die für die Übermittlung von PNR-Daten an andere Regierungsbehörden geltenden Garantien dafür, dass der Eingriff in das Privatleben der Fluggäste gemessen an dem von der PNR-Regelung verfolgten Ziel verhältnismäßig ist.

257. Auch wenn die Verpflichtungserklärung dem CBP ein weites Ermessen einräumt, so ist dieses Ermessen doch nicht unbeschränkt. So erfolgt gemäß Absatz 29 der Verpflichtungserklärung die Übermittlung von PNR-Daten an andere Regierungsbehörden, „die Terrorismusbekämpfungs- oder Strafverfolgungsaufgaben wahrnehmen“, „auch solche in Drittländern“, „nur von Fall zu Fall“ und grundsätzlich nur „zum Zwecke der Verhütung oder Bekämpfung der unter Absatz 3 aufgeführten Straftaten“. Das CBP hat gemäß Absatz 30 der Verpflichtungserklärung zu prüfen, ob die Offenlegung der Daten gegenüber einer anderen Behörde diesem Zweck dient.

258. Zwar erweitern die Absätze 34 und 35 der Verpflichtungserklärung den genannten Zweck insofern, als sie dazu führen, dass zum einen die Nutzung oder die Weitergabe von PNR-Daten an die zuständigen Regierungsbehörden, „wenn die Offenlegung zum Schutz lebenswichtiger Interessen des Betroffenen oder anderer Personen, insbesondere im Falle erheblicher Gesundheitsrisiken, erforderlich ist“, und zum anderen die Nutzung oder die Offenlegung der PNR-Daten „im Zusammenhang mit Strafprozessen oder anderen gesetzlichen Erfordernissen“ gestattet wird.

259. Abgesehen jedoch davon, dass dieser Zweck großenteils im Zusammenhang mit dem von der PNR-Regelung verfolgten Ziel steht, enthält die Verpflichtungserklärung eine Reihe von Garantien. So bestimmt z. B. Absatz 31 der Verpflichtungserklärung, dass „[b]ei der etwaigen Weitergabe von PNR-Daten an andere designierte Behörden ... das CBP als ‚Eigentümer‘ der Daten [gilt]. Den designierten Stellen obliegen aufgrund der ausdrücklichen Offenlegungsbestimmungen“ eine Reihe von Pflichten. Zu diesen Pflichten der Empfängerbehörden zählen insbesondere die Pflicht „[sicherzustellen], dass die bereitgestellten PNR-Informationen ordnungsgemäß und im Einklang mit den Datenspeicherverfahren der designierten Stelle vernichtet werden“, sowie die Pflicht, „für die Weiterverbreitung die ausdrückliche Genehmigung des CBP [einzuholen]“.

260. Außerdem heißt es in Absatz 32 der Verpflichtungserklärung, dass „[j]ede Offenlegung von PNR-Daten durch das CBP ... davon abhängig gemacht [wird], dass die Empfängerbehörde diese Daten als vertrauliche Geschäftsinformationen und als strafverfolgungsrelevante, vertrauliche personenbezogene Daten des Betroffenen ... behandelt, die als von der Offenlegung nach dem Freedom of Information Act ... ausgenommen behandelt werden sollten“. Ferner ist in demselben Absatz bestimmt, dass „der Empfängerbehörde mitgeteilt [wird], dass eine Weiterverbreitung derartiger Informationen ohne ausdrückliche vorherige Genehmigung durch das CBP nicht zulässig ist“, wobei das CBP darüber hinaus „eine Weiterübermittlung von PNR-Daten zu Zwecken, die nicht in den Absätzen 29, 34 und 35 aufgeführt sind“, nicht genehmigen wird. Schließlich heißt es in Absatz 33 der Verpflichtungserklärung, dass „Mitarbeiter designierter Behörden, die ohne entsprechende Befugnis PNR-Daten offen legen, ... sich strafbar machen [können]“.

261. Unter Berücksichtigung all dieser Garantien ist meines Erachtens auszuschließen, dass Rat und Kommission die Grenzen des weiten Beurteilungsspielraums überschritten haben, der ihnen bei der Bekämpfung des Terrorismus und anderer schwerer Straftaten einzuräumen ist.

262. Die Klagegründe des Verstoßes gegen das Recht auf Schutz personenbezogener Daten und des Verstoßes gegen den Verhältnismäßigkeitsgrundsatz sind daher unbegründet und somit zurückzuweisen.

D –    Zum Klagegrund der unzureichenden Begründung des Beschlusses des Rates

263. Das Parlament macht geltend, der Beschluss des Rates genüge nicht dem Begründungserfordernis des Artikels 253 EG. Es beanstandet insbesondere, dass der Beschluss keine Ausführungen darüber enthalte, ob und inwieweit dieser Rechtsakt das Funktionieren des Binnenmarktes zum Gegenstand habe.

264. Der Rat, unterstützt vom Vereinigten Königreich und der Kommission, ist dagegen der Auffassung, dass die Begründung seines Beschlusses im Einklang mit den vom Gerichtshof aufgestellten Erfordernissen stehe.

265. Ich bin der Ansicht, dass die Begründung des Beschlusses des Rates zwar kurz, aber ausreichend ist.

266. Nach ständiger Rechtsprechung des Gerichtshofes muss die nach Artikel 253 EG „vorgeschriebene Begründung der Natur des betreffenden Rechtsakts angepasst sein und die Überlegungen des Gemeinschaftsorgans, das den Rechtsakt erlassen hat, so klar und eindeutig zum Ausdruck bringen, dass die Betroffenen ihr die Gründe für die erlassene Maßnahme entnehmen können und der Gerichtshof seine Kontrolle ausüben kann“. Ferner brauchen nach dieser Rechtsprechung „[i]n der Begründung eines Rechtsakts ... nicht alle tatsächlich oder rechtlich einschlägigen Gesichtspunkte genannt zu werden, da die Frage, ob die Begründung eines Rechtsakts den Erfordernissen des [Artikels 253 EG] genügt, nicht nur im Hinblick auf ihren Wortlaut zu beurteilen ist, sondern auch anhand ihres Kontexts sowie sämtlicher Rechtsvorschriften auf dem betreffenden Gebiet“(128).

267. Was die Natur des Rechtsakts angeht, so handelt es sich um einen Beschluss, dessen Hauptgegenstand es ist, im Namen der Gemeinschaft das zwischen der Gemeinschaft und den Vereinigten Staaten geschlossene Abkommen zu genehmigen. Der Beschluss enthält alle hierfür erforderlichen Angaben über das Verfahren, nämlich Angaben über eine Entscheidung des Rates nach dem Verfahren des Artikels 300 Absatz 2 Unterabsatz 1 EG, sowie den Hinweis, dass das Parlament innerhalb der Frist, die der Rat ihm gemäß Artikel 300 Absatz 3 Unterabsatz 1 EG gesetzt hatte, keine Stellungnahme abgegeben hat. Der Beschluss des Rates nennt außerdem in seinen Bezugsvermerken Artikel 95 EG.

268. Angesichts der besonderen Natur des Beschlusses, der nicht ganz von dem völkerrechtlichen Abkommen zu trennen ist, auf das er sich bezieht, hat die Prüfung, ob die Begründung des Beschlusses ausreichend ist, auch die Präambel des Abkommens mit einzubeziehen. Anhand des Beschlusses des Rates in Verbindung mit der Präambel des Abkommens kann der Gerichtshof, wie die Prüfung der vorstehenden Klagegründe zeigt, seine Kontrolle ausüben, insbesondere in Bezug auf die Frage, ob die gewählte Rechtsgrundlage geeignet ist.

269. Ich bin daher der Ansicht, dass der Klagegrund der unzureichenden Begründung des Beschlusses des Rates unbegründet und somit zurückzuweisen ist.

E –    Zum Klagegrund des Verstoßes gegen den in Artikel 10 EG niedergelegten Grundsatz der loyalen Zusammenarbeit

270. Mit diesem Klagegrund macht das Parlament geltend, dass der Rat im Rahmen des Verfahrens für die Annahme des Abkommens gegen seine Pflicht zur loyalen Zusammenarbeit aus Artikel 10 EG verstoßen habe, auch wenn der Rat ihm nach Artikel 300 Absatz 3 Unterabsatz 1 EG entsprechend der Dringlichkeit eine Frist zur Stellungnahme setzen könne und das in Artikel 300 Absatz 6 EG vorgesehene Verfahren über die vorherige Beantragung eines Gutachtens beim Gerichtshof keine aufschiebende Wirkung habe.

271. Der Rat, unterstützt von der Kommission und dem Vereinigten Königreich, trägt vor, er habe dadurch, dass er das Abkommen abgeschlossen habe, obwohl das Parlament beim Gerichtshof einen Gutachtenantrag nach Artikel 300 Absatz 6 EG gestellt habe, nicht gegen den Grundsatz der loyalen Zusammenarbeit verstoßen.

272. Artikel 10 EG erlegt den Mitgliedstaaten eine Pflicht zur loyalen Zusammenarbeit gegenüber den Gemeinschaftsorganen auf, verankert jedoch nicht ausdrücklich den Grundsatz der loyalen Zusammenarbeit zwischen den Organen. Wie der Gerichtshof jedoch entschieden hat, „gelten im Rahmen des Dialogs der Organe, auf dem insbesondere das Anhörungsverfahren beruht, die gleichen gegenseitigen Pflichten zu redlicher Zusammenarbeit, wie sie die Beziehungen zwischen den Mitgliedstaaten und den Gemeinschaftsorganen prägen“(129).

273. Aus dem Sachverhalt der vorliegenden Rechtssache geht hervor, dass die Kommission am 17. März 2004 dem Parlament einen Vorschlag für einen Beschluss des Rates übermittelte und dass der Rat mit Schreiben vom 25. März 2004 das Parlament ersuchte, seine Stellungnahme zu diesem Vorschlag bis spätestens 22. April 2004 abzugeben. In seinem Schreiben betont der Rat, dass „[d]er Kampf gegen den Terrorismus, der die vorgeschlagenen Maßnahmen rechtfertigt, ... für die Europäische Union hohe Priorität [hat]. Die Fluggesellschaften und Fluggäste befinden sich gegenwärtig in einer unsicheren Lage, der dringend abzuhelfen ist. Auch ist es wichtig, die finanziellen Interessen der Betroffenen zu schützen.“

274. Am 21. April 2004 beschloss das Parlament gemäß Artikel 300 Absatz 6 EG, ein Gutachten des Gerichtshofes über die Vereinbarkeit des vorgesehenen Abkommens mit den Bestimmungen des EG-Vertrags einzuholen.

275. Am 28. April 2004 richtete der Rat unter Berufung auf Artikel 300 Absatz 3 Unterabsatz 1 EG ein Schreiben an das Parlament, in dem er es aufforderte, bis zum 5. Mai 2004 zum Abschluss des Abkommens Stellung zu nehmen. Zur Begründung der Dringlichkeit wiederholte er die in seinem Schreiben vom 25. März 2004 angeführten Gründe.

276. Diesen Dringlichkeitsantrag wies das Parlament zurück. Der Präsident des Parlaments forderte den Rat und die Kommission zudem auf, ihr Vorhaben nicht weiter zu verfolgen, solange der Gerichtshof das am 21. April 2004 beantragte Gutachten nicht erstellt habe. Der Rat fasste dennoch am 17. Mai 2004 den angefochtenen Beschluss.

277. Meines Erachtens hat der Rat dadurch, dass er den Beschluss über die Genehmigung des Abkommens im Namen der Gemeinschaft fasste, bevor das Verfahren über den vom Parlament beim Gerichtshof nach Artikel 300 Absatz 6 EG eingereichten Gutachtenantrag abgeschlossen war, nicht gegen seine Pflicht zur loyalen Zusammenarbeit mit dem Parlament verstoßen.

278. Wie das Parlament im Übrigen selbst einräumt, hat nämlich die Einleitung eines Verfahrens über die Einholung eines Gutachtens beim Gerichtshof keine aufschiebende Wirkung. Die Einleitung eines solchen Verfahrens hindert somit den Rat nicht daran, einen Beschluss über die Genehmigung des Abkommens zu fassen, obwohl das Verfahren noch nicht abgeschlossen ist; dies gilt auch dann, wenn der Zeitraum zwischen der Einreichung des Gutachtenantrags beim Gerichtshof und dem Beschluss über die Genehmigung des Abkommens, wie im vorliegenden Fall, relativ kurz ist.

279. Dass ein gemäß Artikel 300 Absatz 6 EG eingereichter Antrag auf Abgabe eines Gutachtens des Gerichtshofes keine aufschiebende Wirkung hat, kann sowohl dem Wortlaut dieses Artikels, der eine solche aufschiebende Wirkung nicht ausdrücklich vorsieht, als auch der Rechtsprechung des Gerichtshofes entnommen werden. Der Gerichtshof hat nämlich in seinem Gutachten 3/94(130) festgestellt, dass ein solcher Gutachtenantrag gegenstandslos werde und der Gerichtshof diesem Antrag nicht nachzukommen brauche, wenn das Abkommen, auf das sich der Antrag beziehe und das im Zeitpunkt der Anrufung des Gerichtshofes geplant gewesen sei, in der Zwischenzeit abgeschlossen worden sei. Der Gerichtshof hat weiterhin ausgeführt, das Verfahren nach Artikel 300 Absatz 6 EG solle „in erster Linie den Schwierigkeiten vorbeugen, die sich aus der Unvereinbarkeit von völkerrechtlichen Abkommen, die die Gemeinschaft verpflichten, mit dem Vertrag ergeben, und nicht die Interessen und Rechte des Mitgliedstaats oder des Gemeinschaftsorgans schützen, der oder das den Gutachtenantrag gestellt hat“(131), und dass „[j]edenfalls ... der Mitgliedstaat oder das Gemeinschaftsorgan, der oder das den Gutachtenantrag gestellt hat, über den Rechtsbehelf der Nichtigkeitsklage gegen den Beschluss des Rates [verfügt], das Abkommen zu schließen“(132).

280. Außerdem ergibt sich sowohl aus dem Akteninhalt als auch aus der zweiten Begründungserwägung des Beschlusses des Rates, dass dieser die Dringlichkeit, auf die er sich berufen hat, um die Stellungnahme des Parlaments gemäß Artikel 300 Absatz 3 Unterabsatz 1 EG kurzfristig zu erhalten, hinreichend begründet hat. Schließlich weise ich darauf hin, dass die genannte Bestimmung ausdrücklich vorsieht, dass, wenn „innerhalb dieser Frist keine Stellungnahme [ergeht], ... der Rat einen Beschluss fassen [kann]“.

281. Nach alledem bin ich der Auffassung, dass der Klagegrund, mit dem geltend gemacht wird, dass der Rat gegen die Pflicht zur loyalen Zusammenarbeit verstoßen habe, unbegründet und somit zurückzuweisen ist.

VII – Kosten

282. In der Rechtssache C‑318/04 führt die Begründetheit der Klage des Parlaments dazu, dass die Kommission nach Artikel 69 § 2 der Verfahrensordnung des Gerichtshofes die Kosten trägt. Ferner tragen nach Artikel 69 § 4 der Verfahrensordnung die Streithelfer, nämlich das Vereinigte Königreich und der Datenschutzbeauftragte, ihre eigenen Kosten.

283. In der Rechtssache C‑317/04 führt die Begründetheit der Klage des Parlaments dazu, dass der Rat nach Artikel 69 § 2 der Verfahrensordnung des Gerichtshofes die Kosten trägt. Ferner tragen nach Artikel 69 § 4 der Verfahrensordnung die Streithelfer, nämlich das Vereinigte Königreich, die Kommission und der Datenschutzbeauftragte, ihre eigenen Kosten.

VIII – Ergebnis

284. Aufgrund dessen schlage ich dem Gerichtshof vor,

–      in der Rechtssache C‑318/04 die Entscheidung 2004/535/EG der Kommission vom 14. Mai 2004 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden, für nichtig zu erklären;

–      in der Rechtssache C‑317/04 den Beschluss 2004/496/EG des Rates vom 17. Mai 2004 über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des United States Department of Homeland Security für nichtig zu erklären.


1 – Originalsprache: Französisch.


2 – Beschluss 2004/496/EG (ABl. L 183, S. 83, im Folgenden: Beschluss des Rates).


3 – Entscheidung 2004/535/EG (ABl. L 235, S. 11, im Folgenden: Angemessenheitsentscheidung).


4 – Diese Problematik betrifft auch die Beziehungen der Gemeinschaft zu anderen Drittländern. So wurde zwischen der Europäischen Gemeinschaft und Kanada am 3. Oktober 2005 ein Abkommen derselben Art wie das unterzeichnet, um das es in der Rechtssache C‑317/04 geht.


5 – Siehe Aviation and Transportation Security Act (ATSA) vom 19. November 2001 (Public Law 107-71, 107. Kongress, Title 49, United States Code, Section 44909(c)(3). Diesem Gesetz folgten Durchführungsvorschriften des Bureau of Customs and Border Protection (im Folgenden: CBP) des United States Department of Homeland Security wie die „Passenger and Crew Manifests Required for Passengers Flights in Foreign Air Transportation to the United States“, die am 31. Dezember 2001 im Federal Register (US-amerikanisches Bundesregister) veröffentlicht wurde, und die „Passenger Name Record Information Required for Passengers on Flights in Foreign Air Transportation to or from the United States“, die am 25. Juni 2002 im Federal Register veröffentlicht wurde (Title 19, Code of Federal Regulations, Section 122.49b).


6 – Verordnung (EWG) Nr. 2299/89 des Rates vom 24. Juli 1989 über einen Verhaltenskodex im Zusammenhang mit computergesteuerten Buchungssystemen (ABl. L 220, S. 1) in der durch die Verordnung (EG) Nr. 323/1999 des Rates vom 8. Februar 1999 (ABl. L 40, S. 1) geänderten Fassung.


7 – ABl. L 281, S. 31, Richtlinie in der Fassung der Verordnung (EG) Nr. 1882/2003 des Europäischen Parlaments und des Rates vom 29. September 2003 zur Anpassung der Bestimmungen über die Ausschüsse zur Unterstützung der Kommission bei der Ausübung von deren Durchführungsbefugnissen, die in Rechtsakten vorgesehen sind, für die das Verfahren des Artikels 251 des EG-Vertrags gilt, an den Beschluss 1999/468/EG des Rates (ABl. L 284, S. 1).


8 – Die Gruppe ist gemäß Artikel 29 der Richtlinie 95/46 eingesetzt worden. Sie ist ein unabhängiges Beratungsgremium, das in Fragen des Schutzes von Personen bei der Verarbeitung personenbezogener Daten tätig wird. Ihre Aufgaben sind in Artikel 30 der genannten Richtlinie sowie in Artikel 15 Absatz 3 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201, S. 37) festgelegt.


9 – Stellungnahme 4/2003 zum gewährleisteten Schutzniveau in den Vereinigten Staaten für die Übermittlung von Passagierdaten. Siehe Webseite: http://europa.eu.int/comm/justice_home/fsj/privacy/workinggroup/wpdocs/2003_de.htm.


10 – Stellungnahme 2/2004 zur Angemessenheit des Schutzes der personenbezogenen Daten, die in den Fluggastdatensätzen (Passenger Name Records – PNR) enthalten sind, welche dem United States Bureau of Customs and Border Protection (US CBP – Zoll- und Grenzschutzbehörde der Vereinigten Staaten) übermittelt werden sollen. Siehe Webseite: http://europa.eu.int/comm/justice_home/fsj/privacy/workinggroup/wpdocs/2004_de.htm.


11 – Beschluss 1999/468/EG (ABl. L 184, S. 23).


12 – Siehe Nr. 8 der vorliegenden Schlussanträge.


13 – In seinen Klageschriften begründete das Parlament die Zurückweisung des Antrags mit der Feststellung, dass der Vorschlag für einen Beschluss des Rates nach wie vor nicht in allen sprachlichen Fassungen vorgelegen habe.


14 – Der Gutachtenantrag ist auf Beschluss des Präsidenten des Gerichtshofes vom 16. Dezember 2004 im Register des Gerichtshofes gestrichen worden.


15 – European Treaty Series Nr. 108 (im Folgenden: Übereinkommen Nr. 108). Dieses Übereinkommen ist am 1. Oktober 1985 in Kraft getreten. Änderungen dieses Übereinkommens wurden vom Ministerrat des Europarats am 15. Juni 1999 beschlossen, um den Europäischen Gemeinschaften den Beitritt zu ermöglichen (diese Änderungen sind bisher nicht von allen Vertragsstaaten des Übereinkommens Nr. 108 genehmigt worden). Siehe auch Zusatzprotokoll zum Übereinkommen Nr. 108 bezüglich Kontrollstellen und grenzüberschreitendem Datenverkehr, das am 8. November 2001 zur Unterzeichnung aufgelegt wurde und am 1. Juli 2004 in Kraft getreten ist (European Treaty Series Nr. 181).


16 – ABl. 2000, C 364, S. 1. Diese Charta, die von den Präsidenten des Parlaments, vom Rat und von der Kommission auf der Tagung des Europäischen Rates in Nizza am 7. Dezember 2000 unterzeichnet und proklamiert wurde, ist in Teil II des Vertrages über eine Verfassung für Europa enthalten, der bisher noch nicht in Kraft getreten ist (ABl. 2004, C 310, S. 41). Wie das Gericht erster Instanz der Europäischen Gemeinschaften festgestellt hat, „[hat die Charta der Grundrechte der Europäischen Union] zwar keine rechtliche Bindungswirkung, [zeigt] aber die Bedeutung der in ihr genannten Rechte in der Gemeinschaftsrechtsordnung“. Siehe Urteil vom 15. Januar 2003 in den Rechtssachen T‑377/00, T‑379/00, T‑380/00, T‑260/01 und T‑272/01 (Philip Morris International u. a./Kommission, Slg. 2003, II‑1, Randnr. 122).


17 – Artikel 286 Absatz 2 EG lautet wie folgt:


„Vor dem in Absatz 1 genannten Zeitpunkt beschließt der Rat gemäß dem Verfahren des Artikels 251 die Errichtung einer unabhängigen Kontrollinstanz, die für die Überwachung der Anwendung solcher Rechtsakte der Gemeinschaft auf die Organe und Einrichtungen der Gemeinschaft verantwortlich ist, und erlässt erforderlichenfalls andere einschlägige Bestimmungen.“


Auf der Grundlage des Artikels 286 EG wurde die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. 2001, L 8, S. 1) erlassen.


18 – Eine ausführliche Darstellung des allgemeinen Entstehungszusammenhangs dieser Richtlinie und ihrer Bestimmungen bietet der Aufsatz von M.‑H. Boulanger, C. de Terwangne, T. Léonard, S. Louveaux, D. Moreau und Y. Poullet, „La protection des données à caractère personnel en droit communautaire“, JTDE, 1997, Nrn. 40, 41 und 42. Siehe auch S. Simitis, „Data Protection in the European Union – the Quest for Common Rules“, Collected Courses of the Academy of European Law, Band VIII, Buch I, 2001, S. 95. Ich weise auch darauf hin, dass eine spezielle Richtlinie, nämlich die Richtlinie 2002/58, die elektronische Kommunikation regeln soll.


19 – Siebte Begründungserwägung.


20 – Achte Begründungserwägung.


21 – Neunte Begründungserwägung.


22 – Beispielhaft sind zu nennen die Datenflüsse, die mit der persönlichen Mobilität, dem elektronischen Geschäftsverkehr und den Mitteilungen innerhalb eines Konzerns verbunden sind.


23 – Siebenundfünfzigste Begründungserwägung der Richtlinie 95/46.


24 – Übereinkommen zur Durchführung des Übereinkommens von Schengen vom 14. Juni 1985 zwischen den Regierungen der Staaten der Benelux-Wirtschaftsunion, der Bundesrepublik Deutschland und der Französischen Republik betreffend den schrittweisen Abbau der Kontrollen an den gemeinsamen Grenzen (ABl. 2000, L 239, S. 19), unterzeichnet in Schengen am 19. Juni 1990.


25 – Siehe die Artikel 102 bis 118 des genannten Übereinkommens. Zum Schengener Informationssystem der zweiten Generation (SIS II) hat die Kommission Vorschläge zur Annahme eines Beschlusses des Rates (KOM[2005] 230 endg.) und zum Erlass zweier Verordnungen (KOM[2005] 236 endg. und KOM[2005] 237 endg.) vorgelegt.


26 – ABl. 1995, C 316, S. 2, im Folgenden: Europol-Übereinkommen.


27 – Beschluss 2002/187/JI vom 28. Februar 2002 über die Errichtung von Eurojust zur Verstärkung der Bekämpfung der schweren Kriminalität (ABl. L 63, S. 1, im Folgenden: Eurojust‑Beschluss). Siehe die Artikel 14 ff. dieses Beschlusses.


28 – ABl. 2005, C 68, S. 1.


29 – ABl. 1995, C 316, S. 34. Siehe insbesondere die Artikel 13 bis 15, 17 und 18 des Übereinkommens.


30 – Rechtsakt des Rates vom 29. Mai 2000 über die Erstellung des Übereinkommens, gemäß Artikel 34 des Vertrages über die Europäische Union (ABl. 2000, C 197, S. 1). Siehe insbesondere Artikel 23 des Übereinkommens.


31 – KOM(2005) 475 endg. Dieser Vorschlag für einen Rahmenbeschluss ist auf die Artikel 30 EU, 31 EU und 34 Absatz 2 Buchstabe b EU gestützt. Er ist eine der im Aktionsplan des Rates und der Kommission zur Umsetzung des Haager Programms zur Stärkung von Freiheit, Sicherheit und Recht in der Europäischen Union (ABl. 2005, C 198, S. 1, Abschnitt 3.1) vorgesehenen Maßnahmen.


32 – Da es sich um eine Maßnahme zur Durchführung der Richtlinie 95/46 handelt, wurde die Angemessenheitsentscheidung nach dem Verfahren des Artikels 31 Absatz 2 der Richtlinie erlassen, der wiederum die Anwendung der Artikel 4, 7 und 8 des Beschlusses 1999/468 voraussetzt. Erlässt die Kommission eine Maßnahme zur Durchführung der genannten Richtlinie, wird sie demgemäß von einem Ausschuss unterstützt, der sich aus den Vertretern der Mitgliedstaaten zusammensetzt und in dem der Vertreter der Kommission den Vorsitz führt. Im vorliegenden Fall handelt es sich um den so genannten Artikel-31-Ausschuss.


33 – Siehe Absatz 47 der Verpflichtungserklärung.


34 – Es handelt sich um folgende Daten: „1. PNR-Buchungscode (Record Locator); 2. Datum der Reservierung; 3. Geplante Abflugdaten; 4. Name; 5. Andere Namen im PNR; 6. Anschrift; 7. Zahlungsart; 8. Rechnungsanschrift; 9. Telefonnummern; 10. Gesamter Reiseverlauf für den jeweiligen PNR; 11. Vielflieger-Eintrag (beschränkt auf abgeflogene Meilen und Anschrift[en]); 12. Reisebüro; 13. Bearbeiter; 14. Codeshare-Information im PNR; 15. Reisestatus des Passagiers; 16. Informationen über die Splittung/Teilung einer Buchung; 17. E-Mail-Adresse; 18. Informationen über Flugscheinausstellung (Ticketing); 19. Allgemeine Bemerkungen; 20. Flugscheinnummer; 21. Sitzplatznummer; 22. Datum der Flugscheinausstellung; 23. Historie über nicht angetretene Flüge (no show); 24. Nummern der Gepäckanhänger; 25. Fluggäste mit Flugschein aber ohne Reservierung (Go show); 26. Spezielle Service-Anforderungen (OSI – Special Service Requests); 27. Spezielle Service-Anforderungen (SSI/SSR – Special Service Requests); 28. Information über den Auftraggeber (received from); 29. Alle Änderungen der PNR (PNR-History); 30. Zahl der Reisenden im PNR; 31. Sitzplatzstatus; 32. Flugschein für einfache Strecken (one-way); 33. Etwaige APIS-Informationen APIS (Advanced Passenger Information System); 34. ATFQ-Felder (automatische Tarifabfrage)“.


35 – Im Folgenden: Abkommen.


36 – Siehe Unterrichtung über den Zeitpunkt des Inkrafttretens des Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des United States Department of Homeland Security (ABl. 2004, C 158, S. 1).


37 – Die Präambel des Abkommens nennt eine falsche Fundstelle für die Angemessenheitsentscheidung. In Wirklichkeit handelt es sich um die Entscheidung 2004/535/EG vom 14. Mai 2004, bekannt gegeben unter dem Aktenzeichen K(2004) 1914, und nicht um die Entscheidung K(2004) 1799 vom 17. Mai 2004. Dieser Fehler war Gegenstand einer im Amtsblatt der Europäischen Union veröffentlichten Berichtigung. Siehe Protokoll über die Berichtigung des Abkommens (ABl. 2005, L 255, S. 168).


38 – Die Übermittlung der Daten durch die Fluggesellschaften entspricht dem so genannten „Push“-System, während der direkte Zugriff des CBP auf die Daten dem „Pull“-System entspricht.


39 – Es handelt sich um die Angemessenheitsentscheidung, die in der Präambel des Abkommens (nach der Berichtigung) nur „Entscheidung“ genannt wird.


40 – Es gilt derselbe Hinweis wie in der vorangegangenen Fußnote.


41 – Absatz 5 des Abkommens.


42 – Absatz 6 des Abkommens.


43 – Beschlüsse des Präsidenten des Gerichtshofes vom 18. Januar 2005 bzw. 18. November 2004.


44 – Beschluss des Gerichtshofes vom 17. März 2005.


45 – Beschluss des Präsidenten des Gerichtshofes vom 17. Dezember 2004.


46 – Beschluss des Gerichtshofes vom 17. März 2005.


47 – Urteil vom 6. November 2003 in der Rechtssache C‑101/01 (Lindqvist, Slg. 2003, I‑12971, Randnr. 63).


48 – Zu diesen Faktoren gehören insbesondere die Art der Daten sowie die Zweckbestimmung und die Dauer der geplanten Verarbeitung.


49 – Urteil Lindqvist (Randnr. 56). In dieser Rechtssache hat der Gerichtshof entschieden, dass die Aufnahme personenbezogener Daten in eine Internetseite nicht schon deshalb eine Übermittlung dieser Daten in ein Drittland im Sinne von Artikel 25 der Richtlinie 95/46 darstelle, weil die Daten durch diese Aufnahme den im Drittland befindlichen Personen zugänglich gemacht würden. Hierzu berücksichtigte der Gerichtshof zum einen die technische Seite der betreffenden Vorgänge und zum anderen den Zweck und die Systematik von Kapitel IV der Richtlinie, zu dem Artikel 25 gehört.


50 – Und zwar auch dann, wenn die Daten von einem besonderen Teil der innerstaatlichen Verwaltungsstruktur des genannten Drittlands entgegengenommen werden.


51 – Interessant ist die Feststellung, dass sich die Begriffe Verarbeitung und Übermittlung personenbezogener Daten teilweise decken. So können meines Erachtens die Weitergabe durch Übermittlung, die Verbreitung oder die Bereitstellung personenbezogener Daten sowohl eine Verarbeitung als auch eine Übermittlung der Daten im Sinne der Richtlinie darstellen. In der vorliegenden Rechtssache decken sich die Begriffe Verarbeitung und Übermittlung insoweit, als die eingeführte Regelung vor allem die Bereitstellung der PNR-Daten für das CBP bezweckt. Diese Feststellung erklärt sich meines Erachtens aus der sehr weiten Definition der Verarbeitung, die ein breites Spektrum von Vorgängen erfasst. Letztendlich stellt in diesem Fall die Übermittlung von Daten in ein Drittland eine besondere Form der Verarbeitung dar. Siehe in diesem Sinne Vorschlag für einen Rahmenbeschluss der Kommission: Artikel 15 dieses Vorschlags über die „Übertragung an die zuständigen Behörden in Drittländern oder an internationale Einrichtungen“ gehört zu Kapitel III mit dem Titel „Formen der Datenverarbeitung“.


52 – Beispielsweise bestimmt die Entscheidung 2000/519/EG der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46 über die Angemessenheit des Schutzes personenbezogener Daten in Ungarn (ABl. L 215, S. 4) in Artikel 1, dass „festgestellt [wird], dass Ungarn für sämtliche unter die Richtlinie 95/46/EG fallenden Tätigkeiten ein im Sinne des Artikels 25 Absatz 2 der Richtlinie angemessenes Schutzniveau für personenbezogene Daten gewährleistet, die aus der Gemeinschaft übermittelt werden“ (Hervorhebung von mir).


53 – Hervorhebung von mir. Im Urteil Lindqvist hat der Gerichtshof festgestellt, dass „[d]ie in Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie 95/46 beispielhaft aufgeführten Tätigkeiten ... jedenfalls spezifische Tätigkeiten der Staaten oder der staatlichen Stellen [sind] und ... mit den Tätigkeitsbereichen von Einzelpersonen nichts zu tun [haben]“ (Randnr. 43).


54 – Sechste Begründungserwägung.


55 – Siebte Begründungserwägung.


56 – Achte Begründungserwägung.


57 – Siehe in diesem Sinne Aufsatz von Y. Poullet und M. V. Peres Asinan, „Données des voyageurs aériens: le débat Europe – États-Unis“, JTDE, Nr. 113, November 2004, S. 274. Die Verfasser vertreten die Auffassung, dass „eine Lösung, die diesen grenzüberschreitenden Informationsfluss eigener Art rechtfertigt, ... sicherstellen [muss], dass eine Datenübermittlung an ausländische öffentliche Verwaltungen zum Zwecke der Terrorbekämpfung gültig ist ..., was offenkundig über den Geltungsbereich einer Richtlinie der ersten Säule hinausgeht“. Sie fügen hinzu, dass „[d]ies ... auf europäischer Ebene einem Bereich der dritten Säule [entspricht], was die Zuständigkeit der Kommission in diesem Bereich in Frage stellt“. Siehe auch O. De Schutter, „La Convention européenne des droits de l’homme à l’épreuve de la lutte contre le terrorisme“, Lutte contre le terrorisme et droits fondamentaux, E. Bribosia und A. Weyembergh (Hrsg.), Collection droit et justice, Bruylant, Brüssel, 2002, S. 112, Anmerkung Nr. 43: Der Verfasser zitiert Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie 95/46 und fährt fort: „Diese Einschränkung im Anwendungsbereich der Richtlinie erklärt sich aus den beschränkten Zuständigkeiten der Europäischen Gemeinschaft, die über keine allgemeine Gesetzgebungszuständigkeit auf dem Gebiet der Menschenrechte verfügt, jedoch in diesem Bereich insbesondere dann tätig werden kann, wenn und soweit, wie im Fall [dieser Richtlinie], es darum geht, die Verwirklichung eines Binnenmarkts zu fördern, zu dem insbesondere die Beseitigung der Beschränkungen des freien Waren- und Dienstleistungsverkehrs gehört“.


58 – Die PNR-Daten sind Gegenstand einer Verarbeitung innerhalb der Gemeinschaft, die darin besteht, dass die Daten für das CBP bereitgestellt werden. Wegen ihrer Benutzung durch das CBP sind sie auch dazu bestimmt, nach ihrer Übermittlung verarbeitet zu werden.


59 – Dies bedeutet nicht, dass eine Angemessenheitsentscheidung, die in einem der vorliegenden Rechtssache entsprechenden Kontext erlassen wird, nach der Rechtsordnung der Europäischen Union die wesentlichen Garantien im Bereich des Schutzes personenbezogener Daten, wie sie insbesondere im Übereinkommen Nr. 108 aufgeführt sind, nicht einzuhalten braucht. Nur bin ich bei dieser Betrachtungsweise der Ansicht, dass die Richtlinie 95/46 nicht die geeignete Bezugsnorm darstellt, da, wie ausgeführt, das Ziel der Angemessenheitsentscheidung außerhalb des Geltungsbereichs der Grundnorm, d. h. der Richtlinie, liegt. Da es somit keine abgeleitete Rechtsnorm gibt, die bei einer Verarbeitung personenbezogener Daten zu Strafverfolgungszwecken und zu Zwecken der öffentlichen Sicherheit anwendbar ist, besteht keine Möglichkeit, die genannten Garantien einer abstrakten richterlichen Nachprüfung zu unterziehen. In einem solchen Fall fehlt es jedoch nicht an einem Rechtsschutz. Die Überprüfung der wesentlichen Garantien im Bereich des Schutzes personenbezogener Daten ist, wie zu zeigen sein wird, eng mit der Prüfung der Voraussetzungen des Artikels 8 Absatz 2 EMRK verbunden.


60 – Im Folgenden: PNR-Regelung.


61 – Urteil vom 31. März 1971 in der Rechtssache 22/70 (Kommission/Rat, „AETR“, Slg. 1971, 263).


62 – Siehe insbesondere Urteile vom 11. Juni 1991 in der Rechtssache C‑300/89 (Kommission/Rat, „Titandioxid“, Slg. 1991, I‑2867, Randnr. 10), vom 12. November 1996 in der Rechtssache C‑84/94 (Vereinigtes Königreich/Rat, Slg. 1996, I‑5755, Randnr. 25), vom 25. Februar 1999 in den Rechtssachen C‑164/97 und C‑165/97 (Parlament/Rat, Slg. 1999, I‑1139, Randnr. 12), vom 4. April 2000 in der Rechtssache C‑269/97 (Kommission/Rat, Slg. 2000, I‑2257, Randnr. 43), vom 19. September 2002 in der Rechtssache C‑336/00 (Huber, Slg. 2002, I‑7699, Randnr. 30), vom 29. April 2004 in der Rechtssache C‑338/01 (Kommission/Rat, Slg. 2004, I‑4829, Randnr. 54) und vom 13. September 2005 in der Rechtssache C‑176/03 (Kommission/Rat, Slg. 2005, I‑0000, Randnr. 45).


63 – Urteil vom 26. März 1987 in der Rechtssache 45/86 (Kommission/Rat, Slg. 1987, 1493, Randnr. 11).


64 – Gutachten 2/00 vom 6. Dezember 2001, erstellt gemäß Artikel 300 Absatz 6 EG (Slg. 2001, I‑9713, Randnr. 5).


65 – In den nachfolgenden Ausführungen werde ich den Ausdruck „Kampf gegen den Terrorismus und andere schwere Verbrechen“ zur Bezeichnung dieses Ziels verwenden.


66 – Der Terrorismus stellt im Übrigen ein internationales Phänomen dar, das die Abschottung der Räume spielend überwindet.


67 – Siehe Nr. 10 der Schlussanträge des Generalanwalts Tesauro in der Rechtssache Titandioxid.


68 – Urteile vom 5. Oktober 2000 in der Rechtssache C‑376/98 (Deutschland/Parlament und Rat, Slg. 2000, I‑8419, Randnrn. 83, 84 und 95) und vom 10. Dezember 2002 in der Rechtssache C‑491/01 (British American Tobacco [Investments] und Imperial Tobacco, Slg. 2002, I‑11453, Randnr. 60).


69 – Siehe in diesem Sinne Urteil vom 13. Juli 1995 in der Rechtssache C‑350/92 (Spanien/Rat, Slg. 1995, I‑1985, Randnr. 35) sowie Urteile Deutschland/Parlament und Rat (Randnr. 86), vom 9. Oktober 2001 in der Rechtssache C‑377/98 (Niederlande/Parlament und Rat, Slg. 2001, I‑7079, Randnr. 15), British American Tobacco (Investments) und Imperial Tobacco (Randnr. 61) und vom 14. Dezember 2004 in der Rechtssache C‑434/02 (Arnold André, Slg. 2004, I‑11825, Randnr. 31).


70 – Siehe insbesondere Urteil vom 9. November 1995 in der Rechtssache C‑426/93 (Deutschland/Rat, Slg. 1995, I‑3723, Randnr. 33).


71 – Siehe insbesondere Urteile vom 17. März 1993 in der Rechtssache C‑155/91 (Kommission/Rat, Slg. 1993, I‑939, Randnrn. 19 und 21), vom 23. Februar 1999 in der Rechtssache C‑42/97 (Parlament/Rat, Slg. 1999, I‑869, Randnrn. 39 und 40), vom 30. Januar 2001 in der Rechtssache C‑36/98 (Spanien/Rat, Slg. 2001, I‑779, Randnr. 59) und vom 12. Dezember 2002 in der Rechtssache C‑281/01 (Kommission/Rat, Slg. 2002, I‑12049, Randnr. 34).


72 – Siehe insbesondere Urteile Titandioxid (Randnrn. 13 und 17), vom 23. Februar 1999 (Parlament/Rat, Randnrn. 38 und 43), Huber (Randnr. 31) und vom 12. Dezember 2002 (Kommission/Rat, Randnr. 35).


73 – Urteil vom 12. Dezember 2002 (Kommission/Rat, Randnr. 46).


74 – Urteil vom 20. Mai 2003 in den Rechtssachen C‑465/00, C‑138/01 und C‑139/01 (Österreichischer Rundfunk u. a., Slg. 2003, I‑4989, Randnr. 39). Angesichts der Verschiedenheit des Zieles und des Inhalts des Abkommens einerseits und der Richtlinie 95/46 andererseits ist es meines Erachtens auch unwahrscheinlich, dass, wie die Kommission meint, die Richtlinie im Sinne des Urteils AETR beeinträchtigt worden wäre, wenn die Mitgliedstaaten getrennt oder gemeinsam ein Abkommen dieser Art außerhalb des Gemeinschaftsrahmens geschlossen hätten.


75 – Ich weise darauf hin, dass gelegentlich für die Übermittlung personenbezogener Daten durch die Fluggesellschaften an die Vereinigten Staaten der Bereich der „dritten Säule“ angeführt wird. So hat die „Artikel-29-Gruppe“ für Datenschutz in einer Stellungnahme vom 24. Oktober 2002 (Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten) folgende Auffassung vertreten: „Grundsätzlich sind Datenübermittlungen an öffentliche Behörden eines Drittstaats aus Gründen der öffentlichen Ordnung dieses Staats im Zusammenhang mit den Kooperationsmechanismen zu sehen, die im Rahmen der dritten Säule der EU (Zusammenarbeit der Justiz- und Strafverfolgungsbehörden) eingerichtet wurden. ... Es scheint wichtig zu vermeiden, dass die Kooperationsmechanismen der dritten Säule über die erste Säule umgangen werden.“ Siehe Webseite: http://europa.eu.int/comm/justice_home/fsj/privacy/workinggroup/wpdocs/2002_de.htm.


76 – Im Hinblick auf den unmittelbaren Informationsaustausch zwischen staatlichen Behörden nenne ich den Beschluss des Rates vom 27. März 2000 zur Ermächtigung des Direktors von Europol, Verhandlungen über den Abschluss von Vereinbarungen mit Drittstaaten und Nicht‑EU-Stellen aufzunehmen (ABl. C 106, S. 1). Auf dieser Grundlage wurde am 20. Dezember 2002 zwischen Europol und den Vereinigten Staaten von Amerika ein Abkommen über den Austausch personenbezogener Daten unterzeichnet.


77 – Diese Fragestellung steht im Mittelpunkt der gegenwärtigen interinstitutionellen Diskussion über die Vorratsspeicherung der Daten durch die Anbieter von Telefon- und elektronischen Kommunikationsdiensten. Die gegensätzlichen Diskussionsbeiträge einerseits derjenigen, die diese Fragestellung im Rahmen der ersten Säule berücksichtigen wollen, und andererseits derjenigen, die demgegenüber meinen, dass dieses Gebiet zur dritten Säule gehöre, sind Beweis sowohl für die Neuartigkeit als auch für die Komplexität der Fragestellung, die sich hinsichtlich der Benutzung geschäftlicher Daten für Strafverfolgungszwecke ergibt. Siehe hierzu Vorschlag für einen Rahmenbeschluss über die Vorratsspeicherung von Daten, die in Verbindung mit der Bereitstellung öffentlicher elektronischer Kommunikationsdienste verarbeitet und aufbewahrt werden, oder von Daten, die in öffentlichen Kommunikationsnetzen vorhanden sind, für die Zwecke der Vorbeugung, Ermittlung, Aufdeckung und Verfolgung von Straftaten einschließlich Terrorismus (Vorschlag vom 28. April 2004 auf Initiative der Französischen Republik, Irlands, des Königreichs Schweden und des Vereinigten Königreichs) sowie konkurrierenden Vorschlag der Kommission für eine Richtlinie des Europäischen Parlaments und des Rates über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlicher elektronischer Kommunikationsdienste verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG vom 21. September 2005 (KOM[2005] 438 endg.).


78 – Zur Verhängung wirtschaftlicher und finanzieller Sanktionen – wie das Einfrieren von Geldern – gegenüber Privatpersonen und Organisationen, die im Verdacht stehen, zur Finanzierung des Terrorismus beizutragen, siehe Urteile des Gerichts vom 21. September 2005 in der Rechtssache T‑306/01 (Yusuf und Al Barakaat International Foundation/Rat und Kommission, Slg. 2005, I‑0000, Randnr. 152) und in der Rechtssache T‑315/01 (Kadi/Rat und Kommission, Slg. 2005, I‑0000, Randnr. 116). Im speziellen Zusammenhang jener Rechtssachen hat das Gericht jedoch „das bei der Überarbeitung durch den Vertrag von Maastricht geschaffene spezielle Bindeglied zwischen dem mit wirtschaftlichen Sanktionen verbundenen Handeln der Gemeinschaft gemäß den Artikeln 60 EG und 301 EG und den Zielen des EU-Vertrags im Bereich der auswärtigen Beziehungen“ berücksichtigt (Randnr. 159 des Urteils T‑306/01 und Randnr. 123 des Urteils T‑315/01). Allgemeiner hat das Gericht auch festgestellt, dass „der Kampf gegen den internationalen Terrorismus und dessen Finanzierung unbestreitbar zu den in Artikel 11 EU festgelegten Zielen der Union im Rahmen der GASP [gehört]“ (Randnr. 167 des Urteils T‑306/01 und Randnr. 131 des Urteils T‑315/01). Ich füge hinzu, dass nach Artikel 2 EU „[d]ie Union ... sich folgende Ziele [setzt]: ... die Erhaltung und Weiterentwicklung der Union als Raum der Freiheit, der Sicherheit und des Rechts, in dem in Verbindung mit geeigneten Maßnahmen in Bezug auf die Kontrollen an den Außengrenzen, das Asyl, die Einwanderung sowie die Verhütung und Bekämpfung der Kriminalität der freie Personenverkehr gewährleistet ist“ (Hervorhebung von mir). Überdies wird nach Artikel 29 Absatz 2 EU das Ziel der Union, den Bürgern in einem Raum der Freiheit, der Sicherheit und des Rechts ein hohes Maß an Sicherheit zu bieten, „durch die Verhütung und Bekämpfung der – organisierten oder nicht organisierten – Kriminalität, insbesondere des Terrorismus [erreicht]“ (Hervorhebung von mir). Zur externen Dimension des Europäischen Strafrechtsraums siehe G. de Kerchove und A. Weyembergh, Sécurité et justice: enjeu de la politique extérieure de l’Union européenne, Éditions de l’Université de Bruxelles, 2003.


79 – Der Gerichtshof hat sich dagegen bereits zu einem anderen Fall geäußert, in dem die Zustimmung des Parlaments geboten ist, nämlich dem Fall bezüglich der „Abkommen mit erheblichen finanziellen Folgen für die Gemeinschaft“: Urteil vom 8. Juli 1999 in der Rechtssache C‑189/97 (Parlament/Rat, Slg. 1999, I‑4741).


80 – Siehe C. Schmitter, „Article 228“, in V. Constantinesco, R. Kovar und D. Simon, Traité sur l’Union européenne, commentaire article par article, Économica, 1995, S. 725, insbesondere Nr. 43.


81 – So C. Schmitter (a. a. O.).


82 – Insoweit ist das Konzept im Vertrag über eine Verfassung für Europa umfassender und spricht eher für die Zustimmung des Parlaments: Artikel III‑325 dieses Vertrages, der das Verfahren beim Abschluss internationaler Übereinkünfte betrifft, sieht in Absatz 5 Buchstabe a Ziffer V vor, dass der Rat den Beschluss über den Abschluss nach Zustimmung des Parlaments erlässt, insbesondere im Fall der „Übereinkünfte in Bereichen, für die entweder das ordentliche Gesetzgebungsverfahren oder, wenn die Zustimmung des Europäischen Parlaments erforderlich ist, das besondere Gesetzgebungsverfahren gilt“ (Hervorhebung von mir).


83 – Hervorhebung von mir.


84 – Nr. 107 dieser Schlussanträge.


85 – Siehe Nrn. 109 ff. dieser Schlussanträge.


86 – Das Parlament zitiert hierzu das Urteil vom 20. Mai 2003 in der Rechtssache C‑108/01 (Consorzio del Prosciutto di Parma und Salumificio S. Rita, Slg. 2003, I‑5121, Randnr. 89).


87 –      Das Parlament zitiert hierzu insbesondere das Europol-Übereinkommen, das in Artikel 8 Absatz 2 die Verarbeitung von fünf Daten vorsieht, sowie die Richtlinie 2004/82/EG des Rates vom 29. April 2004 über die Verpflichtung von Beförderungsunternehmen, Angaben über die beförderten Personen zu übermitteln (ABl. L 261, S. 24). Diese Richtlinie, die auf den Artikeln 62 Absatz 2 Buchstabe a EG und 63 Absatz 3 Buchstabe b EG beruht, sieht in Artikel 3 vor, dass die Luftfahrtunternehmen verpflichtet werden, auf Anfrage der mit der Durchführung der Personenkontrollen an den Außengrenzen beauftragten Behörden insgesamt neun personenbezogene Daten zu übermitteln.


88 – Es handelt sich um die Datenelemente Nr. 11 „Vielflieger-Eintrag (beschränkt auf abgeflogene Meilen und Anschrift[en])“, Nr. 19 „Allgemeine Bemerkungen“, Nr. 26 „Spezielle Service-Anforderungen (OSI – Special Service Requests)“, Nr. 27 „Spezielle Service-Anforderungen (SSI/SSR – Special Service Requests)“, Nr. 30 „Zahl der Reisenden im PNR“ und Nr. 33 „Etwaige APIS [Advanced Passenger Information System]-Informationen“.


89 – Es handelt sich um die Datenelemente Nrn. 19, 26 und 27 (siehe vorhergehende Fußnote).


90 – Absatz 5 der Verpflichtungserklärung bestimmt:


„Was die ‚OSI‘- und ‚SSI/SSR‘-Datenelemente angeht (die normalerweise als Felder für allgemeine Anmerkungen oder als offene Datenfelder bezeichnet werden), so wird das automatische System des CBP diese Felder nach allen anderen in [der Liste der verlangten PNR-Daten] aufgeführten Datenelementen durchsuchen. Die Mitarbeiter des CBP werden nicht befugt sein, die vollständigen OSI- und SSI/SSR-Felder manuell zu durchsuchen, es sei denn, das CBP hat die Person, auf die sich der PNR-Datensatz bezieht, als besonders risikoträchtig (‚high risk‘) in Bezug auf einen oder mehrere der in Absatz 3 aufgeführten Sachverhalte eingestuft.“


91 – Absatz 9 der Verpflichtungserklärung sieht vor:


„Das CBP wird keine ‚sensiblen‘ Daten (d. h. personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, die politische Meinung, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftsmitgliedschaft hervorgeht, sowie Daten über Gesundheit oder Sexualleben) aus den PNR wie unten beschrieben verwenden.“


Absatz 10 der Verpflichtungserklärung bestimmt:


„Das CBP wird so rasch wie möglich ein automatisiertes System einführen, das bestimmte ‚sensible‘ PNR-Codes und -Bezeichnungen, die das CBP in Absprache mit der Europäischen Kommission festlegt, herausfiltert und löscht.“


Absatz 11 der Verpflichtungserklärung lautet:


„Bis solche automatischen Filter eingesetzt werden können, verpflichtet sich das CBP, keine ‚sensiblen‘ PNR-Daten zu verwenden und aus PNR-Daten, die gemäß den Absätzen 28 bis 34 weitergegeben werden dürfen, ‚sensible‘ Datenelemente zu löschen.“


Die genannten Absätze betreffen die Übermittlung von PNR-Daten an andere Behörden.


92 – Siehe insbesondere Urteile vom 12. November 1969 in der Rechtssache 29/69 (Stauder, Slg. 1969, 419, Randnr. 7), vom 17. Dezember 1970 in der Rechtssache 11/70 (Internationale Handelsgesellschaft, Slg. 1970, 1125, Randnr. 4) und vom 14. Mai 1974 in der Rechtssache 4/73 (Nold/Kommission, Slg. 1974, 491, Randnr. 13).


93 – Siehe insbesondere Urteile vom 18. Juni 1991 in der Rechtssache C‑260/89 (ERT, Slg. 1991, I‑2925, Randnr. 41), vom 29. Mai 1997 in der Rechtssache C‑299/95 (Kremzow, Slg. 1997, I‑2629, Randnrn. 14) und vom 6. März 2001 in der Rechtssache C‑274/99 P (Connolly/Kommission, Slg. 2001, I‑1611, Randnr. 37).


94 – Urteil vom 13. Juli 1989 in der Rechtssache 5/88 (Wachauf, Slg. 1989, 2609, Randnr. 19).


95 – Urteil vom 26. Juni 1980 in der Rechtssache 136/79 (National Panasonic/Kommission, Slg. 1980, 2033, Randnrn. 18 und 19). Dieses Recht umfasst insbesondere das Recht auf Schutz des Arztgeheimnisses (siehe Urteile vom 8. April 1992 in der Rechtssache C‑62/90, Kommission/Deutschland, Slg. 1992, I‑2575, und vom 5. Oktober 1994 in der Rechtssache C‑404/92 P, X/Kommission, Slg. 1994, I‑4737). Zum Recht auf Schutz personenbezogener Daten beziehe ich mich wiederum auf die Urteile Österreichischer Rundfunk u. a. und Lindqvist.


96 – Siehe EGMR, Urteil Kruslin/Frankreich vom 24. April 1990, Serie A Nr. 176, § 27.


97 – Siehe EGMR, Urteil Olsson/Schweden vom 24. März 1988, Serie A Nr. 130, §§ 61 und 62. Die Einschränkungen müssen in Rechtsnormen vorgesehen sein, die so genau formuliert sind, dass die Betroffenen ihr Verhalten, gegebenenfalls nach Einholung sachkundigen Rates, danach richten können (EGMR, Urteil Sunday Times/Vereinigtes Königreich vom 26. April 1979, Serie A Nr. 30, § 49).


98 – Siehe sechste Begründungserwägung der Angemessenheitsentscheidung sowie die Fußnoten 2 und 3 dieser Entscheidung.


99 – Siehe Absätze 36 bis 42 der Verpflichtungserklärung.


100 – Siehe Protokoll über die Berichtigung des Abkommens, das, wie dargelegt, im ABl. L 255 vom 30. September 2005 veröffentlicht wurde.


101 – Wie erinnerlich nennt die Präambel des Abkommens die Verhütung und Bekämpfung des Terrorismus „und damit verbundener Verbrechen sowie sonstiger schwerer Verbrechen transnationaler Art, einschließlich der organisierten Kriminalität“. Ferner bestimmt Absatz 3 der Verpflichtungserklärung: „Das CBP verwendet PNR-Daten ausschließlich zum Zwecke der Verhütung und Bekämpfung 1. des Terrorismus und damit verknüpfter Straftaten, 2. anderer schwerer länderübergreifenden Straftaten, einschließlich internationaler organisierter Kriminalität, und 3. der Flucht vor Haftbefehlen bzw. vor Ingewahrsamnahme im Zusammenhang mit den oben genannten Straftaten.“ Siehe auch fünfzehnte Begründungserwägung der Angemessenheitsentscheidung mit demselben Wortlaut.


102 – Siehe insbesondere EGMR, Urteil Gillow/Vereinigtes Königreich vom 24. November 1986, Serie A Nr. 109, § 55.


103 – Siehe EGMR, Urteil Leander/Schweden vom 26. März 1987, Serie A Nr. 116, § 59.


104 – Siehe z. B. EGMR, Urteil Klass vom 6. September 1978, Serie A Nr. 28, § 59 zur geheimen Überwachung des Brief-, Post- und Fernmeldeverkehrs bei der Terrorbekämpfung. In diesem Urteil stellte der Gerichtshof fest, dass „ein gewisser Kompromiss zwischen den Erfordernissen der Verteidigung der demokratischen Gesellschaft und den Erfordernissen des Schutzes der Individualrechte zum Wesen der Konvention gehöre“.


105 – F. Sudre, Droit européen et international des droits de l’homme, 7. Neuauflage, PUF, 2005, S. 219. Der Verfasser stellt weiter fest, dass der Menschenrechtsgerichtshof je nachdem, ob er den Grundsatz der Verhältnismäßigkeit enger oder weiter fasse – ein strenges, billiges oder vernünftiges Verhältnis –, die Intensität seiner Nachprüfung anpasse und damit den Umfang des staatlichen Beurteilungsspielraums ändere.


106 – Siehe EGMR, Urteil Z/Finnland vom 25. Februar 1997, Reports of Judgments and Decisions, 1997-I.


107 – In diesem Sinne F. Sudre, a. a. O., S. 219. Siehe auch P. Wachsmann, „Le droit au secret de la vie privée“, in Le droit au respect de la vie privée au sens de la Convention européenne des droits de l’homme, S. Sudre (Hrsg.), Bruylant, 2005, S. 141. Zum Urteil Z/Finnland stellt der Verfasser fest, dass die Notwendigkeit des Eingriffs im vorliegenden Fall einer strengen Prüfung unterzogen wurde, was sich daraus erklärt, dass die Offenbarung der HIV-Infektion einer Person gegenüber Dritten eine äußerst sensible Frage ist.


108 – Urteil Leander/Schweden. Leander war Haustechniker in einem Schiffsmuseum in Schweden und verlor seine Stellung nach einer Personalüberprüfung, bei der geheime Informationen über ihn zusammengetragen worden waren, die zu dem Schluss führten, dass er nicht in einem Museum arbeiten könne, bei dem mehrere Lagerräume auf militärischem Sperrgebiet lägen. In dieser Sache bestätigte der Europäische Gerichtshof für Menschenrechte ausdrücklich den Grundsatz, dass die Speicherung und die Weitergabe personenbezogener Daten ohne die Möglichkeit, diese zu widerlegen, gegen das Gebot der Achtung des Privatlebens verstößt. Bei der Prüfung der Rechtfertigung eines solchen Verstoßes führte der Europäische Gerichtshof für Menschenrechte an, dass „[z]um Schutz der nationalen Sicherheit ... die Vertragsstaaten zweifellos Gesetze [benötigen], die die zuständigen innerstaatlichen Behörden ermächtigen, Informationen über Personen zu sammeln und in geheimen Dateien zu speichern und dann zu nutzen, wenn die Eignung von Personen zu prüfen ist, die sich für Stellen beworben haben, die unter dem Gesichtspunkt der nationalen Sicherheit bedeutsam sind“ (§ 59). Angesichts der Garantien, mit denen das schwedische System zur Personalüberprüfung versehen ist, und des weiten Ermessens des Staates entschied der Gerichtshof, dass „[d]ie beklagte Regierung ... zu Recht der Auffassung [war], dass die nationalen Sicherheitsinteressen im vorliegenden Fall schwerer wiegen als die Individualinteressen des Beschwerdeführers“. Der Eingriff, dem Leander ausgesetzt war, war somit in Bezug auf das verfolgte legitime Ziel nicht unverhältnismäßig (§ 67).


109 – Siehe EGMR, Urteil Murray/Vereinigtes Königreich vom 28. Oktober 1994, Serie A Nr. 300, §§ 47 und 90. Nach dieser Entscheidung kann mit dem Ziel der Terrorbekämpfung gerechtfertigt werden, dass die Streitkräfte persönliche Angaben über den ersten Beschwerdeführer in eine Niederschrift aufnehmen. Der Europäische Gerichtshof für Menschenrechte stellte insbesondere fest, er habe nicht „die Beurteilung der Frage, welches der bestmögliche Weg der Verfolgung terroristischer Straftaten ist, durch seine eigene Beurteilung zu ersetzen“ (§ 90). Siehe auch Urteil Klass, § 49.


110 – Nach Auffassung von D. Ritleng liegt ein offensichtlicher Ermessensfehler bzw. eine gleichbedeutende „offensichtliche Verkennung“ bei schwerem und offensichtlichem Verstoß gegen gesetzliche Vorschriften vor. Wie groß auch das Ermessen sein möge, dürfe die Würdigung des Sachverhalts nicht zu beliebigen Entscheidungen der Gemeinschaftsorgane führen; durch die Überprüfung auf offensichtliche Ermessensfehler verhindere der Richter, dass von der Ermessensfreiheit in schwerwiegend fehlerhafter Weise Gebrauch gemacht werde. Siehe „Le contrôle de le légalité des actes communautaires par la Cour de justice et le Tribunal de première instance des Communautés européennes“, Dissertation vom 24. Januar 1998, Universität Robert Schuman, Straßburg, S. 538, Randnr. 628.


111 – Siehe für die gemeinsame Agrarpolitik Urteil des Gerichtshofes vom 13. November 1990 in der Rechtssache C‑331/88 (Fedesa u. a., Slg. 1990, I‑4023, Randnr. 14). Siehe auch für die Antidumpingzölle Urteil des Gerichts vom 5. Juni 1996 in der Rechtssache T‑162/94 (NMB Frankreich u. a./Kommission, Slg. 1996, II‑427, Randnr. 70).


112 – Siehe für die gemeinsame Agrarpolitik Urteil vom 5. Oktober 1994 in der Rechtssache C‑280/93 (Deutschland/Rat, Slg. 1994, I‑4973, Randnr. 91). Diese Rechtsprechung erstreckt sich auf andere Bereiche, z. B. den Bereich der Sozialpolitik, in dem nach den Feststellungen des Gerichtshofes dem Rat „ein weiter Ermessensspielraum zuzuerkennen [ist], wenn es sich ... um ein Gebiet handelt, auf dem der Gesetzgeber sozialpolitische Entscheidungen zu treffen und komplexe Abwägungen zu tätigen hat“ (Urteil Vereinigtes Königreich, Randnr. 58). Ich weise auch darauf hin, dass das Gericht dem Rat im Bereich des Zugangs der Öffentlichkeit zu Dokumenten der Gemeinschaftsorgane und bezüglich des Umfangs der gerichtlichen Nachprüfung der Rechtmäßigkeit eines abschlägigen Bescheids, der auf den Schutz des öffentlichen Interesses im Bereich der internationalen Beziehungen oder auf den Schutz des öffentlichen Interesses im Hinblick auf die öffentliche Sicherheit gestützt war, ein weites Ermessen zugestanden hat: siehe insbesondere für den Kampf gegen den Terrorismus Urteil des Gerichts vom 26. April 2005 in den Rechtssachen T‑110/03, T‑150/03 und T‑405/03 (Sison/Rat, Slg. 2005, II‑0000, Randnrn. 46 und 71 bis 82).


113 – Außer dem Urteil Vereinigtes Königreich/Rat gibt es zahlreiche Beispiele, in denen der Gemeinschaftsrichter davon ausgegangen ist, dass die Gemeinschaftsorgane komplexe Abwägungen vorzunehmen haben: siehe insbesondere im Bereich der Niederlassungsfreiheit Urteil vom 13. Mai 1997 in der Rechtssache C‑233/94 (Deutschland/Parlament und Rat, Slg. 1997, I‑2405, Randnr. 55). Als Beispiel für einen Fall, in dem das Gericht „komplexe wirtschaftliche und soziale Wertungen“ anerkannt hat, siehe Urteil vom 13. September 1995 in den Rechtssachen T‑244/93 und T‑486/93 (TWD/Kommission, Slg. 1995, II‑2268, Randnr. 82).


114 – So verfügte z. B. die Kommission meines Erachtens über einen weiten Beurteilungsspielraum bei der Entscheidung, ob die Vereinigten Staaten im besonderen Rahmen der Übermittlung von PNR-Daten ein angemessenes Schutzniveau für die genannten personenbezogenen Daten gewährleisten konnten.


115 – Nach Auffassung der Kommission stellt die PNR-Regelung eine spezifische Lösung für ein spezifisches Problem bereit. Die Gemeinschaft und die Vereinigten Staaten hätten nämlich ein auf das CBP zugeschnittenes geschlossenes Datenschutzsystem ausgehandelt, das sich vom amerikanischen System unterscheide und für das zusätzliche Verwaltungsgarantien der amerikanischen Aufsicht und europäische Kontrollen durch die Verwaltung und das Gesetz gälten (Nr. 13 ihrer Erklärungen zum Streithilfeschriftsatz des Datenschutzbeauftragten in der Rechtssache C‑318/04).


116 – Wie erinnerlich, handelt es sich um die Datenelemente Nr. 19 „Allgemeine Bemerkungen“, Nr. 26 „Spezielle Service-Anforderungen (OSI – Special Service Requests)“ und Nr. 27 „Spezielle Service-Anforderungen (SSI/SSR – Special Service Requests)“.


117 – Siehe Nrn. 20 und 21 der Erklärungen der Kommission zum Streithilfeschriftsatz des Datenschutzbeauftragten in der Rechtssache C‑318/04.


118 – In Fußnote 7 der Verpflichtungserklärung wird ferner erläutert, dass die PNR-Daten bei der Überführung in eine Datei für gelöschte Datensätze als Rohdaten gespeichert werden, also in einer nicht unmittelbar recherchierbaren Form und damit unbrauchbar für „traditionelle“ Ermittlungen der Strafverfolgungsbehörden.


119 – Siehe die Artikel 8 Buchstabe d und 10 des Übereinkommens Nr. 108 sowie Artikel 22 der Richtlinie 95/46.


120 – Siehe Absatz 36 der Verpflichtungserklärung, in dem es heißt:


„Das CBP wird Reisende über die Erhebung von PNR-Daten informieren sowie über die Fragen im Zusammenhang mit deren Nutzung (allgemeine Informationen über die Rechtsgrundlage für die Datenerhebung, über den Zweck der Erhebung, den Schutz der Daten, die Weitergabe der Daten, die Identität des zuständigen Bediensteten, die verfügbaren Rechtsbehelfe, Kontaktadressen bei etwaigen Fragen oder Anliegen usw.; diese Informationen sollen über die Web-Site des CB, über Reisebroschüren usw. vermittelt werden).“


121 – Title 5, United States Code, Section 552 (im Folgenden: FOIA). Bezüglich der Dokumente des CBP sind diese Bestimmungen des FOIA in Verbindung mit Title 19, Code of Federal Regulations, Section 103.0 ff., zu verstehen.


122 – Der FOIA stellt die Vermutung auf, dass dem Einzelnen alle Dokumente der Bundesregierung offen zu legen sind. Die betreffende Regierungsstelle kann die Vermutung einer Offenlegungspflicht widerlegen, sofern sie beweist, dass die begehrte Information einer Kategorie von Informationen angehört, die nicht unter die Offenlegungspflicht fallen. Hierzu bestimmt Artikel 37 der Verpflichtungserklärung: „Wenn ein unmittelbar Betroffener einen Antrag stellt, wird die Tatsache, dass das CBP die Daten eigentlich als vertrauliche personenbezogene Daten des Betroffenen und als vertrauliche Geschäftsinformationen der Fluggesellschaften ansieht, dem CBP nicht als Vorwand dienen, dem Betroffenen die PNR-Daten unter Berufung auf den FOIA vorzuenthalten.“


123 – Hervorhebung von mir. Absatz 38 der Verpflichtungserklärung verweist hierzu auf Title 5, United States Code, Section 552(a)(4)(B), sowie auf Title 19, Code of Federal Regulations, Section 103.7 bis 103.9. Aus diesen Vorschriften geht hervor, dass der Klage („judicial review“) gegen die Ablehnung des Antrags auf Offenlegung ein Verwaltungsverfahren vor dem FOIA Appeals Officer vorauszugehen hat (Title 19, Code of Federal Regulations, Section 103.7). Wird die Ablehnung der Offenlegung im Verwaltungsverfahren nicht aufgehoben, kann der Antragsteller vor dem District Court des Bundes Klage erheben, der für die Anordnung der Offenlegung einer zu Unrecht von einer Regierungsstelle verweigerten Information zuständig ist.


124 – Die Adresse des „Assistant Commissioner“ wird in dem genannten Absatz der Verpflichtungserklärung angegeben.


125 – Seine Adresse wird in Absatz 41 der Verpflichtungserklärung angegeben.


126 – Siehe in diesem Sinne Section 222(5) des Homeland Security Act 2002 (Public Law 107-296 vom 25. November 2002), wo bestimmt wird, dass der Chief Privacy Officer dem Kongress jährlich Bericht über die datenschutzrelevanten Tätigkeiten des Department of Homeland Security und über etwaige Fälle von Verletzung der Privatsphäre zu erstatten hat.


127 – Siehe Fußnote 11 der Verpflichtungserklärung, aus der sich ergibt, dass der Chief Privacy Officer „unabhängig von allen Abteilungen des Department of Homeland Security [ist]. Er hat laut Gesetz sicherzustellen, dass personenbezogene Informationen im Einklang mit einschlägigen Gesetzen ... verwendet werden. Die Entscheidungen des Chief Privacy Officer sind für das [Department of Homeland Security] verbindlich und können nicht aus politischen Erwägungen übergangen werden.“ Das Erfordernis, dass ein Rechtsbehelf bei einem unabhängigen, mit Entscheidungsbefugnis ausgestatteten Organ eingelegt werden kann, ergibt sich insbesondere aus dem Urteil des Europäischen Gerichtshofes für Menschenrechte vom 7. Juli 1989 (Gaskin/Vereinigtes Königreich, Serie A Nr. 160, § 49). Darauf hinzuweisen ist auch, dass Artikel 8 der Charta der Grundrechte der Europäischen Union in Absatz 3 bestimmt, dass die Einhaltung der in der Charta aufgeführten Vorschriften „von einer unabhängigen Stelle überwacht [wird]“.


128 – Siehe z. B. Urteil vom 29. Februar 1996 in der Rechtssache C‑56/93 (Belgien/Kommission, Slg. 1996, I‑723, Randnr. 86).


129 – Urteile vom 27. September 1988 in der Rechtssache 204/86 (Griechenland/Rat, Slg. 1988, 5323, Randnr. 16) und vom 30. März 1995 in der Rechtssache C‑65/93 (Parlament/Rat, Slg. 1995, I‑643, Randnr. 23).


130 – Gutachten vom 13. Dezember 1995 (Slg. 1995, I‑4577) auf Antrag der Bundesrepublik Deutschland über die Vereinbarkeit des Rahmenabkommens über Bananen zwischen der Europäischen Gemeinschaft und Kolumbien, Costa Rica, Nicaragua und Venezuela mit dem Vertrag.


131 – Randnr. 21 des Gutachtens (Hervorhebung von mir).


132 – Randnr. 22 des Gutachtens.

Top