This document is an excerpt from the EUR-Lex website
Document 52010DC0492
COMMUNICATION FROM THE COMMISSION On the global approach to transfers of Passenger Name Record (PNR) data to third countries
MITTEILUNG DER KOMMISSION über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer
MITTEILUNG DER KOMMISSION über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer
/* COM/2010/0492 endg. */
/* COM/2010/0492 endg. */ MITTEILUNG DER KOMMISSION über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer
[pic] | EUROPÄISCHE KOMMISSION | Brüssel, den 21.9.2010 KOM(2010) 492 endgültig MITTEILUNG DER KOMMISSION über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer MITTEILUNG DER KOMMISSION über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer EINLEITUNG Die Terroranschläge in den Vereinigten Staaten von 2001 sowie die Bombenattentate in Madrid und London von 2004 bzw. 2005 zogen ein neues Konzept für innere Sicherheit nach sich. Wie Vorkommnisse aus der jüngsten Zeit, z.B. der versuchte Anschlag auf ein Flugzeug Weihnachten 2009 und das vereitelte Attentat auf dem New Yorker Times Square 2010 gezeigt haben, besteht die Terrorbedrohung unverändert weiter. Gleichzeitig nehmen die organisierte Kriminalität und insbesondere der Drogen- und Menschenhandel zu[1]. Als Reaktion auf diese anhaltenden Bedrohungen beschlossen die EU und einige Drittländer neue Maßnahmen wie die Erfassung und den Austausch personenbezogener Daten. Einen Überblick über diese Maßnahmen bietet die Kommission in ihrer Übersicht über das Informationsmanagement im Bereich Freiheit, Sicherheit und Recht[2]. Dazu zählt die Verwendung von Fluggastdatensätzen für Strafverfolgungszwecke. Am 16. Januar 2003 unterbreitete die Kommission dem Rat und dem Parlament die Mitteilung „Übermittlung von Fluggastdatensätzen (PNR): Ein sektorübergreifendes EU-Konzept“[3], in dem die Bestandteile des umfassenden EU-Konzepts für PNR vorgestellt werden. Die Mitteilung fordert einen rechtlich gesicherten Rahmen für die Übermittlung von PNR-Daten an das US Department of Homeland Security (US-Heimatschutzministerium) sowie eine interne Politik für PNR-Daten. Gefordert werden ferner die Entwicklung eines „Push“-Systems für die Übermittlung von Daten durch Fluggesellschaften[4] und eine internationale Initiative für die Übermittlung von PNR-Daten durch die Internationale Zivilluftfahrtorganisation (ICAO). Die Schlussfolgerungen der Mitteilung sind bereits großenteils umgesetzt worden, einige befinden sich noch in der Umsetzungsphase. So unterzeichnete die EU ein Abkommen mit dem amerikanischen Heimatschutzministerium über die Übermittlung von Fluggastdatensätzen für die Zwecke der Bekämpfung von Terrorismus und schwerer Kriminalität grenzüberschreitender Art, das die Übermittlung von Fluggastdatensätzen gewährleistet und den Schutz personenbezogener Daten vorsieht[5]. Darüber hinaus nahm die Kommission einen Vorschlag für einen Rahmenbeschluss über die Verwendung von Fluggastdatensätzen (PNR-Daten) zu Strafverfolgungszwecken an[6]. Die Kommission prüft derzeit auf der Grundlage einer Folgenabschätzung, ob dieser Vorschlag durch einen Vorschlag für eine Richtlinie über die Verwendung von PNR-Daten für Strafverfolgungszwecke ersetzt werden kann. Das "Push"-System für Datenübermittlungen wurde von den meisten Fluggesellschaften angemessen entwickelt, während die ICAO eine Reihe von Leitlinien für die Übermittlung von PNR-Daten an Regierungen erarbeitet hat. Neben dem Abkommen mit den USA unterzeichnete die EU ähnliche Abkommen mit Kanada[7] und Australien[8]. Neuseeland, Südkorea und Japan verwenden ebenfalls PNR-Daten, haben jedoch zum Zeitpunkt dieses Berichts keine Abkommen mit der EU geschlossen. In der EU hat das Vereinigte Königreich ein PNR-System eingerichtet, während andere Mitgliedstaaten entweder einschlägige Vorschriften in Kraft gesetzt haben oder die Verwendung von PNR-Daten erproben. Diese Entwicklungen lassen erkennen, dass die Verwendung von PNR-Daten zunimmt und immer häufiger als übliches, notwendiges Mittel für die Vereinfachung der Strafverfolgungsarbeit betrachtet wird. Auf der anderen Seite geht ihre Verwendung mit der Verarbeitung personenbezogener Daten einher und wirft daher wichtige Probleme im Zusammenhang mit Grundrechten wie dem Schutz des Privatlebens und dem Datenschutz auf. Somit sieht sich die EU neuen Herausforderungen im Zusammenhang mit der internationalen Übermittlung von PNR-Daten gegenüber. Weltweit wird sich die Zahl der Länder, die PNR-Systeme entwickeln, in den nächsten Jahren aller Wahrscheinlichkeit nach erhöhen. Überdies hat die EU durch ihre Erfahrung mit der Durchführung von gemeinsamen Überprüfungen der Abkommen mit den USA und Kanada wichtige Erkenntnisse über die Struktur und den Wert von PNR-Systemen gewonnen. Deshalb hält es die Kommission für erforderlich, ihr sektorübergreifendes Konzept für die Übermittlung von PNR-Daten an Drittländer zu überdenken. Ziel der Überprüfung dieses Konzepts sind wesentliche Datenschutzgarantien und die volle Achtung der Grundrechte; die Überprüfung soll den Grundsätzen der Politikgestaltung entsprechen, die in der Übersieht über das Informationsmanagement im Bereich Freiheit, Sicherheit und Recht niedergelegt wurden[9]. Die Haltung der wichtigsten Interessenträger, wie Mitgliedstaaten, Europäisches Parlament, Europäischer Datenschutzbeauftragte und Datenschutzgruppe nach Artikel 29, zu allgemeinen Fragen bezüglich PNR-Daten, ist im Zusammenhang mit der Entwicklung des überarbeiteten PNR-Konzepts von besonderer Bedeutung. Vorrangiges Ziel dieser Mitteilung ist es, erstmals eine Reihe allgemeiner Kriterien festzulegen, die die Grundlage für künftige Verhandlungen über PNR-Abkommen mit Drittländern bilden sollen. Dies wird der Kommission bei der Anpassung an die derzeitige Entwicklung hilfreich sein und sie dabei unterstützen, Drittländern, Mitgliedstaaten und Bürgern ihre externe PNR-Politik nahezubringen. Bei Empfehlungen der Kommission für die Aushandlung von PNR-Abkommen mit Drittländern sollten in Zukunft mindestens die in der Mitteilung fixierten allgemeinen Kriterien beachtet werden, wobei in jeder Empfehlung zusätzliche Kriterien festgelegt werden könnten. INTERNATIONALE TRENDS IM BEREICH PNR PNR-Daten und ihre Verwendung Bei PNR-Daten handelt es sich um nicht überprüfte Angaben der Fluggäste, welche die Fluggesellschaften zu Buchungs- und Abfertigungszwecken erfassen. Sie dokumentieren die Reisebedürfnisse der Fluggäste und sind in den Buchungs- und Abfertigungssystemen der Fluggesellschaften gespeichert. Enthalten sind verschiedene Arten von Informationen, wie Reisedaten und Reiseroute, Flugscheininformationen, Kontaktangaben wie Anschrift und Telefonnummer, Reisebüro, Zahlungsart, Sitznummer und Informationen zum Gepäck. PNR-Daten sind keine erweiterten Fluggastdaten (API-Daten). API-Daten sind die biografischen Informationen aus dem maschinenlesbaren Teil des Reisepasses und enthalten den Namen, den Wohn- und Geburtsort und die Staatsangehörigkeit der Person. Gemäß der API-Richtlinie[10] werden API-Daten den Grenzkontrollbehörden nur bei Flügen in das EU-Gebiet zur Verfügung gestellt; Ziel ist die Verbesserung der Grenzkontrollen und die Bekämpfung der illegalen Zuwanderung. Auch wenn die Richtlinie die Verwendung dieser Daten für andere Strafverfolgungszwecke zulässt, ist dies eher die Ausnahme als die Regel. Die Mitgliedstaaten bewahren die Daten 24 Stunden auf. Die API-Daten werden überwiegend zur Identitätskontrolle im Rahmen von Grenzkontrollen und der Grenzverwaltung verwendet; in einigen Fällen werden sie auch von Strafverfolgungsbehörden zur Identifizierung von Verdächtigen und zur Fahndung ausgeschriebenen Personen verwendet. Somit dienen API-Daten primär als Instrument des Identitätsmanagements. Die Verwendung dieser Daten wird immer gebräuchlicher: Mehr als 30 Länder verwenden sie systematisch, 40 Länder stehen im Begriff, API-Systeme einzurichten. Zusätzlich zu der Übermittlung von API-Daten verlangen einige Länder von Fluggesellschaften auch die Übermittlung von PNR-Daten. Letztere werden sodann bei der Bekämpfung von Terrorismus und sonstigen schweren Straftaten wie Drogen- oder Menschenhandel verwendet. Vor allem Zollbehörden, aber auch Strafverfolgungsbehörden in der ganzen Welt greifen seit fast 60 Jahren auf PNR-Daten zurück. Ein elektronischer Vorabzugriff war bis vor kurzem allerdings aus technischen Gründen nicht möglich, so dass diese Daten nur manuell und nur für einige wenige Flüge verarbeitet werden konnten. Inzwischen lassen sich dank des technischen Fortschritts Daten vorab elektronisch übermitteln. PNR-Daten dienen ganz anderen Zwecken als API-Daten, weil sie völlig andere Arten von Informationen enthalten. Sie werden hauptsächlich zur Erkenntnisgewinnung und weniger zur Identitätsüberprüfung verwendet. Im Wesentlichen handelt es sich dabei um folgende Zwecke: (i) Risikoanalysen in Bezug auf Fluggäste und Identifizierung "unbekannter" Personen, d. h. Personen, die für die Strafverfolgungsbehörden von Interesse sein könnten und bisher nicht verdächtig waren, (ii) schnellere Verfügbarkeit als API-Daten und Verschaffung eines Vorteils für die Strafverfolgungsbehörden, damit diesen mehr Zeit für die Verarbeitung, Analyse und etwaige Folgemaßnahmen bleibt, (iii) Feststellung der Personen, denen bestimmte Anschriften, Kreditkarten usw. zuzuordnen sind und die mit Straftaten in Verbindung gebracht werden, sowie (iv) Abgleich von PNR-Daten mit anderen PNR-Daten zwecks Identifizierung der Komplizen von Verdächtigen, beispielsweise durch die Feststellung gemeinsam reisender Personen. PNR-Daten sind von ihrem Wesen und ihrer Verwendung her einzigartig. Die Verwendung kann sich wie folgt gestalten: reaktiv (historische Daten): Verwendung bei Ermittlungen, bei der Strafverfolgung und bei der Zerschlagung von Netzen, wenn eine Straftat begangen wurde. Damit die Strafverfolgungsbehörden bei ihren Ermittlungen weit genug in die Vergangenheit zurückgehen können, brauchen sie eine entsprechend lange Vorhaltezeit. Echtzeit (aktuelle Daten): Verwendung, um eine Straftat zu verhindern, Personen zu überwachen oder festzunehmen, bevor eine Straftat begangen wird oder weil eine Straftat begangen wird bzw. wurde. In diesen Fällen sind PNR-Daten erforderlich, um zuvor bestimmte faktenbasierte Risikoindikatoren per Abgleich ausschließen zu können, um bisher "unbekannte" Verdächtige zu identifizieren und um einen Datenabgleich mit verschiedenen Datenbanken für gesuchte Personen und Gegenstände durchzuführen. proaktiv (Mustererkennung): Verwendung für die Analyse von Trends und die Erkennung faktenbasierter Reisemuster und allgemeiner Verhaltensmuster, die sodann in Echtzeit genutzt werden können. Für die Erkennung von Reise- und Verhaltensmustern muss Analysten ausreichend Zeit für die Verwendung der Daten gegeben werden. Die Strafverfolgungsbehörden benötigen in diesen Fällen eine entsprechend lange Vorhaltezeit. Aktuelle Trends Einige Drittstaaten (USA, Kanada, Australien, Neuseeland und Südkorea) verwenden bereits PNR-Daten für Strafverfolgungszwecke. Japan, Saudi-Arabien, Südafrika und Singapur haben entweder einschlägige Vorschriften in Kraft gesetzt und/oder erproben gegenwärtig die Verwendung von PNR-Daten. Einige andere Drittstaaten tragen sich mit dem Gedanken, PNR-Daten zu verwenden, haben aber noch keine entsprechenden Vorschriften erlassen. In der EU verfügt das Vereinigte Königreich bereits über ein PNR-System. Belgien, Dänemark, Frankreich, die Niederlande und Schweden haben entweder entsprechende Vorschriften erlassen und/oder erproben gegenwärtig die Verwendung von PNR-Daten. Mehrere andere Mitgliedstaaten erwägen die Einrichtung von PNR-Systemen. Die Europäische Kommission ist sich der Notwendigkeit von PNR-Daten für die Verhütung und Bekämpfung von Terrorismus und schwerer Kriminalität bewusst und unterbreitete daher entsprechend der Mitteilung von 2003 einen Vorschlag für einen Rahmenbeschluss über die Verwendung von Fluggastdatensätzen (PNR-Daten) zu Strafverfolgungszwecken. Nach dem Inkrafttreten des Vertrags von Lissabon erwägt die Kommission nunmehr, diesen Vorschlag durch einen Vorschlag für eine Richtlinie über die Verwendung von PNR-Daten für Strafverfolgungszwecke zu ersetzen. Die Fluggesellschaften sollen verpflichtet werden, den Mitgliedstaaten PNR-Daten zu übermitteln, die im Kampf gegen terroristische Handlungen und sonstige schwere Straftaten verwendet werden sollen. Auf internationaler Ebene gelten Fluggastdaten zunehmend als notwendiges Instrument für die Bekämpfung von Terrorismus und schwerer Kriminalität. Diese Entwicklung ergibt sich aus drei Parametern. Erstens stellen internationaler Terrorismus und Kriminalität eine ernsthafte Bedrohung der Gesellschaft dar, gegen die Schritte unternommen werden müssen. Dazu zählt der Zugriff auf Fluggastdaten und deren Analyse, die aus der Sicht der Strafverfolgung notwendig sind. Zweitens sind, was vor einigen Jahren noch unvorstellbar war, heute dank neuester technologischer Entwicklungen der Zugriff und die Analyse dieser Daten möglich. Aber auch Straftäter machen sich diese technischen Entwicklungen bei der Planung, Vorbereitung und Begehung von Straftaten zunutze. Angesichts der raschen Zunahme des internationalen Reise- und Fluggastaufkommens werden die Sicherheits- und Grenzkontrollen durch die elektronische Datenverarbeitung vor Ankunft der Fluggäste wesentlich erleichtert und beschleunigt, da Risikobewertungen bereits vor der Ankunft durchgeführt werden können. Strafverfolgungsbehörden können sich somit ganz auf jene Fluggäste konzentrieren, bei denen konkret angenommen wird, dass sie ein Sicherheitsrisiko darstellen könnten, und müssen nicht mehr nach Gefühl gehen oder sich von Vorurteilen oder Profilen leiten lassen. Auswirkungen der aktuellen Trends auf die Europäische Union Nach den EU-Datenschutzbestimmungen ist es Fluggesellschaften, die Ziele außerhalb der EU anfliegen, untersagt, PNR-Daten an Drittländer zu übermitteln, die, weil sie keine angemessenen Schutzvorkehrungen treffen, keinen angemessenen Schutz personenbezogener Daten bieten. Als die Vereinigten Staaten, Kanada und Australien von den Fluggesellschaften verlangten, für Flüge in ihre Länder Fluggastdaten zu übermitteln, sahen sich diese folglich in einer sehr schwierigen Situation. Deshalb schaltete sich die EU ein und unterzeichnete mit jedem dieser Länder getrennt ausgehandelte internationale Abkommen[11], die den EU-Strafverfolgungsbehörden die Übermittlung von PNR-Daten an diese Drittländer ermöglichen. Ziel war es, das Problem der Fluggesellschaften zu lösen und einen angemessenen Schutz für Fluggastdaten zu gewährleisten; außerdem wurde damit anerkannt, dass die Verwendung von PNR-Daten für die Bekämpfung von Terrorismus und schwerer Kriminalität wichtig und notwendig ist. Da weitere Länder PNR-Systeme einrichten, dürfte sich dieses Problem in Zukunft noch häufiger stellen. Falls die Kommission den Vorschlag für eine PNR-Richtlinie der EU weiterverfolgt, könnte es zudem häufiger zu entsprechenden Ersuchen kommen, wenn die betreffenden Drittländer gegenüber der EU das Gegenseitigkeitsprinzip geltend machen. Bisher wurden internationale Abkommen über Fluggastdaten je nach Bedarf und auf Einzelfallbasis abgeschlossen. Obwohl alle Abkommen gemeinsame Fragestellungen betreffen und dieselben Angelegenheiten regeln, sind die Bestimmungen nicht identisch. Deswegen galten bisweilen unterschiedliche Regeln für Fluggesellschaften und für den Datenschutz. Da in naher Zukunft mit einer Zunahme des "Bedarfs" zu rechnen ist, könnte eine Strategie die EU dabei unterstützen, diesem Bedarf in strukturierter Weise zu begegnen, wodurch sich die Unterschiede zwischen den verschiedenen Abkommen verringern ließen. EIN ÜBERARBEITETES SEKTORÜBERGREIFENDES PNR-KONZEPT FÜR DIE EU Gründe für die Überarbeitung des sektorübergreifenden PNR-Konzepts Die Umsetzung der Schlussfolgerungen der Mitteilung von 2003 ist im Gange, und die EU sieht sich neuen Trends und Herausforderungen gegenüber. Diesen Trends und Herausforderungen muss die EU durch Weiterentwicklung ihres sektorübergreifenden Konzepts für die Übermittlung von Fluggastdaten an Drittländer angemessen Rechnung tragen. Dafür lassen sich folgende Gründe anführen: Bekämpfung von Terrorismus und schwerer Kriminalität grenzüberschreitender Art: Die EU muss nicht nur in ihrem eigenen Interesse, sondern auch im Interesse von Drittländern mit diesen gemeinsam gegen solche Bedrohungen vorgehen. Diese Zusammenarbeit findet u. a. durch Datenaustausch mit Drittländern statt. Die Bereitstellung von PNR-Daten für die Zwecke der Strafverfolgung ist unerlässlicher Bestandteil der Bekämpfung von Terrorismus und schwerer Kriminalität grenzüberschreitender Art. Sowohl die Strategie für die Außendimension der Innen- und Rechtspolitik[12] als auch die Strategie der Europäischen Union zur Terrorismusbekämpfung[13] und das Stockholmer Programm[14] verweisen auf die Notwendigkeit einer engen Zusammenarbeit mit Drittländern. Gewährleistung des Schutzes der personenbezogenen Daten und der Privatsphäre: Die EU setzt sich dafür ein, einen hohen und wirksamen Schutz personenbezogener Daten zu gewährleisten. Dazu gehört, dass alle PNR-Daten an Drittländer auf sichere Weise übermittelt werden und Fluggäste die Möglichkeit haben, ihre Rechte in Bezug auf die Verarbeitung ihrer Daten geltend zu machen. Notwendigkeit der Gewährleistung von Rechtssicherheit und der Erleichterung der Verpflichtungen für Fluggesellschaften: Es ist wichtig, dass die EU einen schlüssigen Rechtsrahmen für die Übermittlung von PNR-Daten durch Fluggesellschaften an Drittländer bietet. Nur so lassen sich Fluggesellschaften vor Sanktionen schützen und die für die weltweite Übermittlung von Daten geltenden Bedingungen und Modalitäten so einheitlich und harmonisiert wie möglich gestalten, damit die Kosten für diesen Wirtschaftszweig verringert und gleiche Wettbewerbsbedingungen gewährleistet werden können. Festlegung allgemeiner Bedingungen zur Sicherung der Kohärenz und der Weiterentwicklung eines internationalen Vorgehens: Die PNR-Abkommen der EU mit Drittländern gleichen sich hinsichtlich ihrer Zweckbestimmung, unterscheiden sich aber inhaltlich in Bezug auf die Modalitäten der Übermittlungen und die Art der vom Drittland eingegangenen Verpflichtungen. Angesichts unterschiedlicher Erfordernisse und verschiedener Rechtssysteme in den einzelnen Ländern sind Abweichungen bei den Verpflichtungen bis zu einem gewissen Grad hinnehmbar, doch sollten alle Länder bestimmte allgemeine Kriterien einhalten (siehe Abschnitte 3.2 und 3.3). Im Interesse einer möglichst einheitlichen Behandlung der Fluggäste und niedrigerer Kosten für den Sektor sollten künftige Abkommen mit Drittländern inhaltlich und von den Standards her so ähnlich wir möglich angelegt sein. Dies könnte dann die Grundlage für den nächsten Schritt, ein stärker harmonisiertes multilaterales Konzept für den Austausch von PNR-Daten, bilden. Erleichterungen für Fluggäste: Wegen der in unserer Gesellschaft bestehenden Sicherheitsbedrohungen werden Reisende beim Grenzübertritt immer eingehenderen und aufwändigeren Kontrollen unterzogen. Darüber hinaus nimmt das internationale Reiseaufkommen kontinuierlich zu, was an den Grenzen zu längeren Wartezeiten führt. Dank der elektronischen Übermittlung von PNR-Daten können die Fluggäste bereits vor dem Grenzübertritt kontrolliert werden und deshalb die Grenze schneller und leichter übertreten; den Strafverfolgungsbehörden ermöglicht dies, sich ausschließlich auf die identifizierten Personen zu konzentrieren, die für sie relevant sind. Allgemeine Erwägungen Das überarbeitete sektorübergreifende PNR-Konzept soll der EU als Grundlage für ihre Entscheidung darüber dienen, wie sie Ersuchen von Drittländern um Übermittlung von PNR-Daten in Zukunft am besten begegnet. Neben den im Überblick über das Informationsmanagement im Bereich Freiheit, Sicherheit und Recht festgehaltenen Grundsätzen sind folgende Punkte von Bedeutung: Gemeinsame Sicherheitsinteressen: Terrorismus und schwere Kriminalität haben eine internationale Dimension. Bestimmte Länder sind der zunehmenden terroristischen Bedrohung und des Risikos schwerer Kriminalität stärker ausgesetzt als andere. Die EU ist entschlossen, mit ihnen zusammenzuarbeiten und sie bei der Bekämpfung dieser Sicherheitsbedrohungen zu unterstützen. Schutz personenbezogener Daten: Da die Übermittlung, Verwendung und Verarbeitung von Fluggastdaten Auswirkungen auf das Grundrecht auf den Schutz personenbezogener Daten hat, ist es wichtig, dass sich die EU auf die Zusammenarbeit mit solchen Drittstaaten beschränkt, die einen angemessenen Schutz von Fluggastdaten aus der EU bieten können. Außenbeziehungen: Auch die Außenbeziehungen der EU mit dem Drittland sollten insgesamt in Betracht gezogen werden. Das Funktionieren der Polizei- und Justizbehörden und die Zusammenarbeit mit ihnen, sowie Rechtsstaatlichkeit und die allgemeine Achtung der Grundrechte sind wichtige Aspekte. Standards, Inhalt und Kriterien Aus dem sektorübergreifenden Konzept sollte hervorgehen, welchen allgemeinen Standards internationale Abkommen zwischen der EU und Drittländern entsprechen müssten, damit ein Höchstmaß an Kohärenz in Bezug auf die von diesen Ländern erwarteten Datenschutzgarantien und die Modalitäten für die Datenübermittlung durch die Fluggesellschaften erreicht wird. Der EU müssten außerdem Verfahren zur Überwachung der ordnungsgemäßen Durchführung, beispielsweise in Form einer regelmäßigen gemeinsamen Überprüfung der Durchführung der Abkommen, und zur wirksamen Streitbeilegung an die Hand gegeben werden. Schutz personenbezogener Daten Die Erfassung und Übermittlung von PNR-Daten an Drittländer hat Auswirkungen für zahlreiche Personen und deren personenbezogene Daten. Deshalb muss dem wirkungsvollen Schutz personenbezogener Daten besondere Aufmerksamkeit geschenkt werden. In Europa basieren die Grundrechte auf Achtung der Privatsphäre und auf den Schutz personenbezogener Daten auf Artikel 8 der Europäischen Menschenrechtskonvention (EMRK) sowie auf den Artikeln 7 und 8 der Charta der Grundrechte der Europäischen Union[15]. Diese Grundrechte gelten für jedermann ungeachtet seiner Staatsangehörigkeit oder seines Wohnsitzes. Weitere Datenschutznormen sind enthalten im Übereinkommen 108 des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten aus dem Jahre 1981 und seinem Zusatzprotokoll 181 aus dem Jahre 2001. Jede Einschränkung der Ausübung der in dieser Charta anerkannten Rechte und Freiheiten muss gesetzlich vorgesehen sein und den Wesensgehalt dieser Rechte und Freiheiten achten. Vorbehaltlich des Grundsatzes der Verhältnismäßigkeit sind Einschränkungen nur zulässig, wenn sie erforderlich sind und von der Union anerkannten Zielen des Allgemeininteresses dienen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer entsprechen. Da in Drittländern andere Datenschutzregelungen als in der EU gelten können, ist es wichtig, dass bei allen Übermittlungen von Fluggastdaten aus den EU-Mitgliedstaaten an Drittländer das jeweilige Drittland auf der Basis einer soliden Rechtsgrundlage einen angemessenen Datenschutz gewährleistet. Ein solcher angemessener Datenschutz kann entweder im Recht des Drittlands vorgesehen sein oder durch rechtsverbindliche Verpflichtungen im internationalen Abkommen über die Verarbeitung personenbezogener Daten zugesichert werden. Ob der von einem Drittland gebotene Datenschutz angemessen ist, muss im Lichte aller bei einer Datenübermittlung zum Tragen kommenden Umstände bewertet werden. In diesem Zusammenhang wird die EU auch prüfen, inwieweit das Drittland internationale Standards einhält bzw. ob es internationale Rechtsakte zum Datenschutz und generell zu den Menschenrechten ratifiziert hat. Bereits von der Europäischen Kommission angenommene Angemessenheitsentscheidungen sollten bei der Beurteilung der Angemessenheit als Orientierung dienen. Der ersuchende Drittstaat muss folgende Grundprinzipien für den Schutz personenbezogener Daten einhalten: - Zweckbindung – Verwendung von Daten: In dem Abkommen sollten klar und präzise die Möglichkeiten für die Verwendung der Daten festgelegt sein, die nicht umfassender als zur Erreichung der Ziele erforderlich sein sollten. Die Erfahrung mit den derzeitigen PNR-Abkommen zeigt, dass Fluggastdaten einzig für Strafverfolgungs- und Sicherheitszwecke im Zusammenhang mit der Bekämpfung von Terrorismus und schwerer Kriminalität verwendet werden sollten. Schlüsselbegriffe wie Terrorismus und schwere Kriminalität grenzüberschreitender Art sollten entsprechend den Definitionsansätzen in einschlägigen EU-Rechtsakten bestimmt werden. - Zweckbindung – Umfang der Daten: Der Datenaustausch sollte auf das Mindestmaß beschränkt werden und dem Gebot der Verhältnismäßigkeit entsprechen. In allen Abkommen sollten die Kategorien der zu übermittelnden PNR-Daten erschöpfend genannt sein. - Besondere Kategorien von personenbezogenen Daten (sensible Daten): PNR-Daten, aus denen die Rasse oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie Daten über Gesundheit oder Sexualleben dürfen nicht bzw. nur unter außergewöhnlichen Umständen verwendet werden, wenn unmittelbare Lebensgefahr besteht und das Drittland angemessene Sicherheitsvorkehrungen vorsieht, beispielsweise, dass die betreffenden Daten nur auf Einzelfallbasis, nach Genehmigung eines hohen Beamten und unter strikter Begrenzung auf die Zwecke der ursprünglichen Übermittlung verwendet werden dürfen. - Datensicherheit: PNR-Daten müssen mit allen angemessenen technischen Mitteln und Sicherheitsverfahren und –maßnahmen gegen Missbrauch und unrechtmäßigen Zugriff geschützt werden, um allen Risiken in Bezug auf Sicherheit, Vertraulichkeit oder Integrität der Daten vorzubeugen. - Beaufsichtigung und Rechenschaft: Vorgesehen ist ein System zur Beaufsichtigung der Behörden, die PNR-Daten verwenden. Eine unabhängige Datenschutzbehörde mit konkreten Eingriffs- und Durchsetzungsbefugnissen wird die Aufsicht führen. Die Behörden, die PNR-Daten verwenden, sind verpflichtet, die bestehenden Vorschriften für den Schutz personenbezogener Daten einzuhalten, und sollten zur Anhörung von Beschwerden Einzelner in Bezug auf die Verarbeitung von PNR-Daten berechtigt sein. - Transparenz und Bekanntmachung: Jede Person wird zumindest darüber aufgeklärt, welchem Zweck die Verarbeitung der personenbezogenen Daten dient, wer die Daten verarbeitet, nach welchen Regeln oder Gesetzen dies geschieht, gegenüber welchen Dritten die Daten offengelegt werden, und wie und bei welcher Stelle ein Rechtsbehelf eingelegt werden kann. - Zugriff, Berichtigung und Löschung: Jede Person erhält Zugang zu ihren PNR-Daten; gegebenenfalls wird das Recht auf Berichtigung oder Löschung der PNR-Daten gewährt. - Rechtsbehelf: Jede Person hat bei der Verletzung ihrer Privatsphäre oder dem Verstoß gegen Datenschutzbestimmungen das Recht auf wirksamen Rechtsbehelf bei Gerichten oder Behörden ohne Diskriminierung aufgrund der Staatsangehörigkeit oder des Wohnsitzes. Für sämtliche Verstöße sind angemessene und wirksame Sanktionen und/oder Rechtsbehelfe vorzusehen. - Automatisierte Einzelentscheidungen: Entscheidungen, die für eine Person nachteilige Handlungen oder Auswirkungen nach sich ziehen können, dürfen nicht ausschließlich auf eine automatisierte, ohne menschliches Zutun erfolgende Verarbeitung personenbezogener Daten gestützt sein. - Vorhaltezeiten: PNR-Daten sollten nicht länger als für die festgelegten Aufgaben erforderlich vorgehalten werden dürfen. Bei der Vorhaltezeit sollten die verschiedenen Arten der Verwendung von PNR-Daten (siehe Abschnitt 1.2.1) und die Möglichkeiten der Beschränkung von Zugangsrechten während der Vorhaltezeit (beispielsweise durch die schrittweise Anonymisierung der Daten) berücksichtigt werden. - Beschränkungen der Weiterübermittlung an andere Behörden: PNR-Daten sollten nur solchen anderen Behörden gegenüber offengelegt werden dürfen, die über Befugnisse im Kampf gegen Terrorismus und schwere Kriminalität grenzüberschreitender Art verfügen und die sich gegenüber der Empfängerbehörde verpflichten, denselben Schutz zu gewähren wie die Regierungsstelle, die gemäß dem Abkommen die Empfängerbehörde ist. PNR-Daten sollten niemals pauschal, sondern nur auf Einzelfallbasis offengelegt werden. - Beschränkungen der Weiterübermittlung an Drittländer: Dies betrifft vornehmlich Beschränkungen der Verwendung und Weiterverbreitung mit dem Ziel, eine Umgehung des Abkommens zu verhindern, wenn PNR-Daten einem anderen Drittland zugänglich gemacht werden. Angemessene Sicherheitsvorkehrungen sind zu gewährleisten. Das Empfänger-Drittland sollte beispielsweise diese Informationen an eine zuständige Behörde eines anderen Drittlands nur dann übermitteln, wenn dieses andere Drittland sich verpflichtet, bei der Verarbeitung der Daten dasselbe Maß an Schutz zu gewährleisten, wie im Abkommen vereinbart, und wenn die Weiterübermittlung auf den Zweck der Erstübermittlung beschränkt bleibt. PNR-Daten sollen niemals pauschal, sondern nur auf Einzelfallbasis offengelegt werden. Übermittlungsmodalitäten Um Fluggesellschaften Rechtssicherheit zu bieten und ihre finanzielle Belastung so gering wie möglich zu halten, ist es wichtig, die Regeln für die Übermittlung von Daten durch Fluggesellschaften an Drittländer einfach zu gestalten. Einheitliche Verpflichtungen würden die finanzielle Belastung der Fluggesellschaften wesentlich verringern, da letztere für die Erfüllung ihrer Pflichten weniger investieren müssten. Deshalb wäre es wünschenswert, wenn mindestens eine der folgenden Übermittlungsmodalitäten standardisiert würde: - Art der Übermittlung: Um die in den Datenbanken der Fluggesellschaften gespeicherten Daten zu schützen und die Kontrolle über die Daten zu behalten, sollte die Übermittlung ausschließlich durch das "Push"-System erfolgen. - Häufigkeit der Übermittlung: Die Häufigkeit der Übermittlung von Daten an das Drittland sollte auf ein vertretbares Maß beschränkt werden, durch das ein angemessener Sicherheitsgewinn erreicht wird und gleichzeitig die Kosten der Fluggesellschaften auf ein Minimum begrenzt werden. - Keine Verpflichtung der Fluggesellschaften zur Erhebung zusätzlicher Daten: Die Fluggesellschaften sollten nicht verpflichtet werden, mehr Daten als bisher zu erheben oder zwingend bestimmte Arten von Daten zu erheben; sie sollten lediglich zur Übermittlung von Daten, die sie bereits im Rahmen ihrer Geschäftstätigkeit erheben, verpflichtet werden. Übergeordnete Konzepte - Geltungsdauer und Überprüfung: Die Bedingungen für die Zusammenarbeit mit Drittländern sollten für eine feste Dauer gelten und für jede Vertragspartei die Möglichkeit der Kündigung einschließen. Es müsste möglich sein, die Bedingungen der Zusammenarbeit zu überprüfen, wenn dies angemessen erscheint. - Überwachung: Es ist von wesentlicher Bedeutung, dass der EU Verfahren zur Überwachung der ordnungsgemäßen Durchführung an die Hand gegeben werden; dabei könnte es sich beispielsweise um regelmäßige gemeinsame Überprüfungen der Durchführung sämtlicher Bestandteile des Abkommens – einschließlich der Zweckbeschränkung, der Fluggastrechte und der Weiterübermittlung von Daten – handeln, bei denen die Verhältnismäßigkeit der vorgehaltenen Daten danach bewertet wird, welchen Nutzen sie in Bezug auf die Zwecke haben, für die sie übermittelt wurden. Die Ergebnisse einer solchen Überprüfung sollten dem Rat und dem Europäischen Parlament vorgelegt werden. - Streitbeilegung: Es sollten wirksame Verfahren zur Beilegung von Streitigkeiten über die Auslegung, Anwendung und Umsetzung der Abkommen vorgesehen werden. - Gegenseitigkeit: Es sollte Gegenseitigkeit gewährleistet sein, insbesondere in Form der von den zuständigen Behörden des Empfänger-Drittlandes vorgenommenen Übermittlung von aus PNR-Daten abgeleiteten analytischen Informationen an die Polizei- und Justizbehörden der Mitgliedstaaten sowie an Europol und Eurojust. LÄNGERFRISTIGE PERSPEKTIVE Weltweit nimmt die Zahl der Länder, die auf PNR-Daten zurückgreifen, ständig zu. Deshalb betreffen die Probleme, die sich aus dieser Nutzung ergeben, die gesamte internationale Gemeinschaft. Der seinerzeit von der EU gewählte bilaterale Ansatz war unter den gegebenen Bedingungen am besten geeignet und scheint auch für die nahe Zukunft optimal zu sein, sofern nicht zahlreiche weitere Länder dazu übergehen, PNR-Daten zu verwenden. Deshalb sollte die EU bereits jetzt prüfen, ob es möglich wäre, auf internationaler Ebene Standards für die Übermittlung und Verwendung von PNR-Daten festzulegen. Die von der ICAO im Jahr 2004 entwickelten Leitlinien für den Zugang zu PNR-Daten bieten eine solide Grundlage für die Angleichung der Modalitäten für PNR-Datenübermittlungen. Diese Leitlinien sind nicht verbindlich und behandeln datenschutzrechtliche Fragestellungen nur unzulänglich. Mithin sind sie für sich allein genommen nicht ausreichend und sollten insbesondere im Zusammenhang mit Angelegenheiten die Fluggesellschaften betreffen, eher zur Orientierung herangezogen werden. Die EU sollte daher Gespräche mit internationalen Partnern, die PNR-Daten verwenden oder dies in Erwägung ziehen, aufnehmen, um zu ergründen, ob ein gemeinsames Interesse an einer Lösung der Problematik der PNR-Datenübermittlung auf multilateraler Ebene besteht. Falls die Gespräche erfolgreich verlaufen, sollte die EU mit den interessierten internationalen Partnern förmliche Verhandlungen aufnehmen und auf eine multilaterale Lösung hinarbeiten. ZUSAMMENFASSUNG Diese Mitteilung bietet einen Überblick über die aktuellen Trends bei der Verwendung von PNR-Daten in der EU und in der ganzen Welt. Die Kommission hat es für erforderlich gehalten, auf diese Entwicklungen und die Gefahren, die die EU und die Welt weiterhin bedrohen, mit einem überarbeiteten sektorübergreifenden PNR-Konzept zu reagieren. Dabei hat die Kommission den Positionen wichtiger Interessenträger zu allgemeinen Fragen im Zusammenhang mit PNR-Daten Rechnung getragen und die im Überblick über das Informationsmanagement im Bereich Freiheit, Sicherheit und Recht formulierten Grundsätze der Politikgestaltung berücksichtigt. In der Mitteilung werden erstmals allgemeine Erwägungen niedergelegt, die die EU bei der Aushandlung von PNR-Abkommen mit Drittländern leiten sollten. Die Beachtung dieser Grundsätze sollte zu einer größeren Kohärenz zwischen den verschiedenen PNR-Abkommen führen und die Achtung der Grundrechte auf Achtung der Privatsphäre und den Schutz personenbezogener Daten gewährleisten. Gleichzeitig ist die Mitteilung in Bezug auf die besonderen Sicherheitsbelange und die nationalen Rechtsordnungen der einzelnen Drittländer hinreichend flexibel und anpassungsfähig. Mit Blick auf die längerfristige Perspektive für die weltweite Entwicklung von Maßnahmen im Bereich PNR kommt die Mitteilung zu dem Schluss, dass die EU prüfen sollte, ob sich die einschlägigen bilateralen Abkommen mittelfristig durch ein multilaterales Übereinkommen zwischen allen Ländern, die PNR-Daten verwenden, ersetzen ließen. [1] Eurostat 36/2009. [2] KOM(2010) 385. [3] KOM(2003) 826. [4] Dabei übermitteln die Fluggesellschaften ihrerseits die Daten an Drittländer, anstatt ihnen Zugang zu ihren Datenbanken zu gewähren. [5] ABl. L 204 vom 4.8.2007, S. 16. [6] KOM(2007) 654. [7] ABl. L 91 vom 29.3.2006, S.53, ABl. L 91 vom 29.3.2006, S.49 und ABl. L 82 vom 21.3.2006, S.15. [8] ABl. L 213 vom 8.8.2008, S. 49. [9] KOM(2010) 385. [10] Richtlinie 2004/82/EG vom 29.8.2004 über die Verpflichtung von Beförderungsunternehmen, Angaben über die beförderten Personen zu übermitteln. [11] EG-US PNR-Abkommen von 2004, (ABl. L 183 vom 20.5.2004, S. 84) und Beschluss der Kommission vom 14. Mai 2004 (ABl. L 235 vom 6.7.2004, S. 11); EU-US PNR-Abkommen von 2006 (ABl. L 298 vom 27.10.2006, S. 29) und Begleitschreiben (ABl. C 259 vom 27.10.2006, S. 1), EU-US PNR-Abkommen von 2007 (ABl. L 204 vom 4.8.2007, S. 18), PNR-Abkommen EU-Kanada (ABl. L 82 vom 21.3.2006, S. 15 und ABl. L 91 vom 29.3.2006, S. 49) und PNR-Abkommen EU-Australien (ABl. L 213 vom 8.8.2008, S. 47). [12] KOM(2005) 491. [13] Ratsdokument 14469/4/05 vom 30.11.2005. [14] Ratsdokument Nr. 17024/09 vom 2.12.2009. [15] Ähnliche Datenschutzgrundsätze enthalten internationale Rechtsakte zum Schutz der Privatsphäre und von personenbezogenen Daten, z. B.: Art. 17 des Internationalen Pakts über bürgerliche und politische Rechte vom 16. Dezember 1966, die Leitlinien der Vereinten Nationen für die Regelung der personenbezogenen Datenbanken (Resolution 45/95 der Generalversammlung der Vereinten Nationen vom 14. Dezember 1990), Empfehlung des OECD-Rates über Leitlinien für den Schutz der Vertraulichkeit und für den grenzüberschreitenden Austausch personenbezogener Daten sowie das Übereinkommen des Europarats über den Schutz des Menschen bei der Verarbeitung personenbezogener Daten (Konvention Nr. 108) und das dazugehörige Zusatzprotokoll (Konvention Nr.181), denen auch Drittländer beitreten können.