EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52020DC0305

BERICHT DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT UND DEN RAT über die Überprüfung der Richtlinie (EU) 2016/681 über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität

COM/2020/305 final

Brüssel, den 24.7.2020

COM(2020) 305 final

BERICHT DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT UND DEN RAT

über die Überprüfung der Richtlinie (EU) 2016/681 über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität

{SWD(2020) 128 final}


BERICHT DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT UND DEN RAT

über die Überprüfung der Richtlinie (EU) 2016/681 über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität

1.Die Überprüfung – Umfang und Verfahren

Die Richtlinie (EU) 2016/681 über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität (im Folgenden „PNR-Richtlinie“) 1 wurde am 27. April 2016 vom Europäischen Parlament und vom Rat verabschiedet. Die Richtlinie regelt die Erhebung, Verarbeitung und Speicherung von PNR-Daten in der Europäischen Union und enthält wichtige Garantien für den Schutz der Grundrechte, insbesondere des Rechts auf Privatsphäre und auf den Schutz personenbezogener Daten. Die Mitgliedstaaten mussten die Richtlinie bis zum 25. Mai 2018 in nationales Recht umsetzen.

Mit diesem Bericht kommt die Kommission ihrer Verpflichtung aus Artikel 19 der PNR-Richtlinie nach, bis zum 25. Mai 2020 alle Elemente der Richtlinie zu überprüfen und diesen Bericht dem Europäischen Parlament und dem Rat vorzulegen. In dem Bericht wird die PNR-Richtlinie in ihren allgemeinen Kontext gestellt, und es werden die Ergebnisse der von der Kommission durchgeführten Überprüfung ihrer Anwendung zwei Jahre nach Ablauf der Umsetzungsfrist vorgestellt. Nach Maßgabe von Artikel 19 der Richtlinie umfasst die Überprüfung alle Elemente der Richtlinie, wobei insbesondere die Einhaltung der einschlägigen Schutzstandards bezüglich personenbezogener Daten, die Erforderlichkeit und Verhältnismäßigkeit der Erhebung und Verarbeitung von PNR-Daten für jeden der in dieser Richtlinie genannten Zwecke, die Datenspeicherungsfristen, die Effektivität des Informationsaustauschs zwischen den Mitgliedstaaten und die Qualität der Prüfungen, einschließlich in Bezug auf die nach Maßgabe von Artikel 20 erhobenen statistischen Daten, berücksichtigt werden. Außerdem umfasst die Überprüfung eine vorläufige Analyse der Erforderlichkeit, Verhältnismäßigkeit und Wirksamkeit der Ausweitung der obligatorischen Erhebung von PNR-Daten auf EU-Flüge sowie der Notwendigkeit der Aufnahme von Wirtschaftsteilnehmern, die keine Beförderungsunternehmen sind, in den Anwendungsbereich dieser Richtlinie. Darüber hinaus werden in diesem Bericht die wichtigsten Probleme und Herausforderungen bei der Umsetzung und praktischen Anwendung der Richtlinie beschrieben.

Bei der Vorbereitung der Überprüfung hat die Kommission aus einer Vielzahl von Quellen und im Wege gezielter Konsultationen Informationen und Rückmeldungen gesammelt. Dazu gehören die Ergebnisse der Bewertung der Einhaltung der PNR-Richtlinie auf der Grundlage einer Analyse der nationalen Umsetzungsmaßnahmen, der Diskussionen mit nationalen Behörden, die mit der Umsetzung der Richtlinie betraut sind, und mit der Reisebranche im Rahmen regelmäßiger Zusammenkünfte und spezieller Workshops, der statistischen Daten, die von den Mitgliedstaaten gemäß Artikel 20 der Richtlinie zur Verfügung gestellt wurden, und von Besuchen in sechs Mitgliedstaaten 2 . Um zu veranschaulichen, wie PNR-Daten in der Praxis zur Bekämpfung von Terrorismus und schwerer Kriminalität verwendet werden, bezieht sich der Bericht, soweit möglich, auf praktische Beispiele, die die nationalen Behörden auf der Grundlage ihrer operativen Erfahrungen genannt haben.

Die beigefügte Arbeitsunterlage der Kommissionsdienststellen enthält detailliertere Informationen und eine umfassende Analyse aller in diesem Bericht behandelten Themen.

2.Allgemeiner Kontext

In den vergangenen Jahren haben immer mehr Länder – nicht nur die Mitgliedstaaten – und internationale Organisationen den Wert der Verwendung von PNR-Daten als Instrument der Strafverfolgung anerkannt. Die Einrichtung eines PNR-Mechanismus und die Umsetzung der PNR-Richtlinie sind vor dem Hintergrund dieser breiteren internationalen Entwicklung zu sehen.

Die Verwendung von PNR-Daten ist schon seit fast 20 Jahren ein wichtiges Element der internationalen Zusammenarbeit der EU bei der Bekämpfung von Terrorismus und schwerer Kriminalität. In der Mitteilung über das sektorübergreifende Konzept aus dem Jahr 2010 wurde eine Reihe allgemeiner Kriterien festgelegt, die von nachfolgenden bilateralen PNR-Abkommen erfüllt werden mussten, darunter insbesondere verschiedene Datenschutzgrundsätze und -garantien. 3 Diese Kriterien bildeten die Grundlage für die Neuverhandlung der PNR-Abkommen mit Australien, Kanada und den USA, die zum Abschluss neuer PNR-Abkommen mit Australien 4 und den USA 5 führten. 

Auf Antrag des Europäischen Parlaments gab der Gerichtshof der Europäischen Union am 26. Juli 2017 ein Gutachten ab, in dem er erklärte, dass das geplante Abkommen mit Kanada nicht in der beabsichtigten Form geschlossen werden kann, da einige seiner Bestimmungen nicht den Anforderungen aus der Charta der Grundrechte entsprechen. 6 Um den Bedenken des Gerichtshofs gerecht zu werden, nahmen die EU und Kanada neue Verhandlungen über das Abkommen auf. Diese Verhandlungen wurden auf technischer Ebene im März 2019 abgeschlossen. Der Abschluss des Abkommens steht derzeit noch unter dem Vorbehalt der rechtlichen Überprüfung und der politischen Billigung des Wortlauts durch Kanada. 7 Darüber hinaus ermächtigte der Rat die Kommission am 18. Februar 2020 zur Aufnahme von Verhandlungen mit Japan über den Abschluss eines Abkommens über die Übermittlung von PNR-Daten. 8 Die Verhandlungen mit Mexiko, die im Juli 2015 aufgenommen worden waren, ruhen zurzeit. 

Auf EU-Ebene war die Annahme der PNR-Richtlinie im April 2016 ein wichtiger Meilenstein der EU-internen Politik in Sachen Fluggastdaten. Wie bereits dargelegt, wird durch die Richtlinie ein harmonisierter Rahmen für die Verarbeitung der von den Fluggesellschaften an die Mitgliedstaaten übermittelten PNR-Daten festgelegt. Die Kommission hat die Mitgliedstaaten durch die Koordinierung regelmäßiger Zusammenkünfte, die Förderung des Austauschs bewährter Verfahren und gegenseitiger Unterstützung und durch die Bereitstellung finanzieller Hilfen bei der Umsetzung der Richtlinie unterstützt. Insbesondere hat die Haushaltsbehörde im Unionshaushalt 2017 insgesamt 70 Millionen EUR für das Instrument für die finanzielle Unterstützung der polizeilichen Zusammenarbeit, der Kriminalprävention und Kriminalitätsbekämpfung und des Krisenmanagements (ISF-P) und speziell für PNR-spezifische Maßnahmen bereitgestellt. 9 Die Kommission hat zudem vier PNR-bezogene Projekte im Rahmen der im Wege dieses Instruments durchgeführten EU-Maßnahmen finanziert. Diese Projekte zielten darauf ab, dass die PNR-Zentralstellen der Mitgliedstaaten die erforderlichen Fähigkeiten entwickeln können, um Fluggastdaten oder die Ergebnisse der Verarbeitung solcher Daten untereinander und mit Europol auszutauschen.

Im Jahr 2016 modernisierte die EU zudem ihre Gesetzgebung zum Schutz personenbezogener Daten im Wege der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO) 10 und der Richtlinie (EU) 2016/680 (Richtlinie zum Datenschutz bei der Strafverfolgung) 11 . Am 24. Juni 2020 nahm die Kommission eine Mitteilung über das weitere Vorgehen hinsichtlich der Angleichung des früheren Besitzstands des dritten Pfeilers an die Datenschutzvorschriften 12 an und veröffentlichte die Ergebnisse der ersten Überprüfung und Bewertung der Datenschutz-Grundverordnung 13 .

Im Zusammenhang mit dieser Überprüfung ist anzumerken, dass der belgische Verfassungsgerichtshof ein Vorabentscheidungsersuchen bezüglich der Vereinbarkeit der Richtlinie mit der Charta der Grundrechte und dem Vertrag über die Europäische Union an den Gerichtshof der Europäischen Union gerichtet hat. 14 Unlängst hat auch das Amtsgericht Köln ein Vorabentscheidungsersuchen im Zusammenhang mit der PNR-Richtlinie eingereicht. 15 Die Kommission hat im ersten Vorabentscheidungsverfahren Stellung genommen und wird dies zu gegebener Zeit auch im zweiten Verfahren tun.

Auf globaler Ebene haben die Vereinten Nationen im Dezember 2017 die Resolution 2396 des Sicherheitsrats der Vereinten Nationen verabschiedet, in der alle Mitgliedstaaten der Vereinten Nationen aufgefordert werden, Kapazitäten zur Sammlung, Verarbeitung und Analyse von PNR-Daten aufzubauen und dafür zu sorgen, dass alle ihre zuständigen nationalen Behörden diese Daten nutzen und weitergeben. 16 Um die Mitgliedstaaten der Vereinten Nationen beim Aufbau dieser Kapazitäten zu unterstützen, leitete die Internationale Zivilluftfahrt-Organisation (ICAO) im März 2019 den Prozess zur Ausarbeitung neuer PNR-Standards ein. Diese Standards, die für alle Mitgliedsländer der ICAO verbindlich sein werden, sofern sie keine Abweichungen melden, wurden am 23. Juni 2020 vom ICAO-Rat verabschiedet. Die Kommission hat sich als Beobachterin in Vertretung der EU aktiv an diesem Prozess beteiligt, um die Vereinbarkeit dieser Standards mit den rechtlichen Anforderungen der EU zu gewährleisten, damit sie dazu beitragen können, die Übermittlung von PNR-Daten zu erleichtern.

3.Wichtigste Ergebnisse

Die wichtigsten Ergebnisse der Überprüfung lassen sich wie folgt zusammenfassen:

3.1.Einrichtung eines EU-weiten PNR-Systems 

Die Kommission begrüßt die von den nationalen Behörden unternommenen Anstrengungen zur Umsetzung der PNR-Richtlinie. Zum Ende des Überprüfungszeitraums hatten 24 von 26 Mitgliedstaaten der Kommission die vollständige Umsetzung der Richtlinie mitgeteilt. Von den beiden verbleibenden Mitgliedstaaten hat Slowenien die teilweise Umsetzung mitgeteilt, während gegen Spanien, das keine Umsetzungsmaßnahmen mitgeteilt hat, am 2. Juli 2020 wegen Nichtumsetzung der Richtlinie Klage vor dem Gerichtshof erhoben wurde. Die weitaus meisten Mitgliedstaaten haben voll funktionsfähige PNR-Zentralstellen eingerichtet, die für die Erhebung und Verarbeitung von PNR-Daten zuständig sind. Die Zusammenarbeit der PNR-Zentralstellen mit anderen zuständigen nationalen Behörden und den PNR-Zentralstellen anderer Mitgliedstaaten funktioniert gut. Alle Mitgliedstaaten haben zuständige Behörden benannt, die berechtigt sind, zum Zwecke der Verhütung, Aufdeckung, Untersuchung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität PNR-Daten von ihren PNR-Zentralstellen, etwa der Polizei oder anderen für die Verbrechensbekämpfung zuständigen Behörden, anzufordern oder entgegenzunehmen.

3.2.Einhaltung der Datenschutzstandards der Richtlinie

Die Ergebnisse der Analyse der nationalen Umsetzungsmaßnahmen deuten darauf hin, dass die Datenschutzanforderungen der PNR-Richtlinie insgesamt eingehalten werden, auch wenn einige Mitgliedstaaten es versäumt haben, sämtliche Datenschutzanforderungen in ihren nationalen Rechtsvorschriften vollständig umzusetzen. 17 Darüber hinaus bestätigt der Blick auf ihre Anwendung, dass die nationalen Behörden gewillt sind, diese Garantien zu wahren und sie in der Praxis anzuwenden. Die Kommission wird die Verbreitung der diesbezüglich entwickelten bewährten Verfahren durch ihre regelmäßigen Treffen mit den Mitgliedstaaten und die im Rahmen der ISF-P-Unionsmaßnahmen finanzierten Projekte weiterhin fördern. Zugleich wird die Kommission als Hüterin der Verträge nicht zögern, alle ihre Befugnisse – auch die Befugnis zur Einleitung von Vertragsverletzungsverfahren – dazu nutzen, sicherzustellen, dass die Mitgliedstaaten die in der Richtlinie festgelegten Anforderungen, insbesondere in Bezug auf den Schutz personenbezogener Daten, in vollem Umfang einhalten.

Die in der Richtlinie vorgesehenen Datenschutzgarantien stellen bei korrekter Umsetzung (was bei der Mehrheit der Mitgliedstaaten der Fall ist) die Verhältnismäßigkeit der Verarbeitung von PNR-Daten sicher und zielen darauf ab, Missbrauch durch nationale Behörden oder andere Akteure zu verhindern. Durch die Zweckbindung wird sichergestellt, dass jede Datenverarbeitung ausschließlich zum Zweck der Bekämpfung von Terrorismus und schwerer Kriminalität erfolgt. Das Verbot der Erhebung und Verarbeitung von sensiblen Daten stellt eine wichtige Garantie dar, durch die verhindert wird, dass PNR-Daten in diskriminierender Weise verwendet werden. Die Tatsache, dass die Mitgliedstaaten, wie in der Richtlinie vorgesehen, Aufzeichnungen über die Verarbeitungsvorgänge führen, erhöht die Transparenz und ermöglicht eine wirksame Kontrolle der Rechtmäßigkeit der Datenverarbeitung. Datenschutzbeauftragte können die Rechtmäßigkeit der Datenverarbeitung unabhängig kontrollieren, insbesondere wenn sie nicht dem Personal der PNR-Zentralstelle angehören und nicht dem Leiter der PNR-Zentralstelle unterstellt sind. Darüber hinaus wird durch ihre Anwesenheit in den PNR-Zentralstellen sichergestellt, dass die Datenschutzaspekte bei der täglichen Arbeit dieser Stellen beachtet werden.

Auf praktischer Ebene scheint das Zusammenwirken der PNR-Zentralstellen mit ihren Datenschutzbeauftragten gut zu funktionieren, und die Funktion des Datenschutzbeauftragten wird als für die Arbeit der PNR-Zentralstellen förderlich angesehen. Die Datenschutzbeauftragten spielen eine besonders wichtige Rolle bei der Überwachung von Datenverarbeitungsvorgängen, bei der Genehmigung und Überprüfung vorab festgelegter Kriterien und bei der Beratung der Mitarbeiter der PNR-Zentralstellen in Datenschutzfragen. In den meisten Mitgliedstaaten wurden Datenschutzbeauftragte per Gesetz als Ansprechpartner für die betroffenen Personen benannt, und auch in der Praxis wird die Kontaktaufnahme mit ihnen erleichtert.

3.3.Andere Elemente der Überprüfung

Erforderlichkeit und Verhältnismäßigkeit der Erhebung und Verarbeitung von PNR-Daten

Die Überprüfung hat mehrere Elemente ergeben, an denen sich die Erforderlichkeit und Verhältnismäßigkeit der Erhebung und Verarbeitung von PNR-Daten für die Zwecke der Richtlinie festmachen lässt. In der kurzen Zeit seit dem Ablauf der Umsetzungsfrist hat sich das PNR-System im Hinblick auf die Erreichung seines Ziels, das von allgemeinem Interesse ist, nämlich den Schutz der öffentlichen Sicherheit durch die Gewährleistung der Verhütung, Aufdeckung, Untersuchung und Verfolgung von schwerer Kriminalität und Terrorismus im Raum der Union ohne Binnengrenzen, als wirksam erwiesen.

Nach Auffassung der Mitgliedstaaten haben die verschiedenen Mittel, die ihnen für die Verarbeitung von PNR-Daten zur Verfügung stehen (Echtzeitverarbeitung, reaktive und proaktive Verarbeitung), bereits spürbare Ergebnisse bei der Bekämpfung von Terrorismus und Kriminalität geliefert. Unter anderem haben die Mitgliedstaaten der Kommission qualitative Nachweise 18 vorgelegt, die veranschaulichen, wie der Abgleich von PNR-Daten mit Datenbanken und vorab festgelegten Kriterien dazu beigetragen hat, dass potenzielle Täter von terroristischen Handlungen oder Personen, die an anderen schweren Straftaten wie Drogenhandel, Cyberkriminalität, Menschenhandel, sexuellem Missbrauch von Kindern, Kindesentführung oder Straftaten organisierter krimineller Vereinigungen beteiligt sind, ermittelt werden konnten. In einigen Fällen hat der Rückgriff auf PNR-Daten zur Festnahme von Personen geführt, die der Polizei zuvor nicht bekannt waren, oder den zuständigen Behörden die weitere Untersuchung von Fluggästen ermöglicht, die sonst nicht kontrolliert worden wären. Auch die Überprüfung von Fluggästen vor ihrem Abflug oder vor ihrer Ankunft hat einen Beitrag zur Verbrechensverhütung geleistet. Die nationalen Behörden betonen, dass diese Ergebnisse ohne die Verarbeitung von PNR-Daten, z. B. durch die ausschließliche Verwendung anderer Instrumente wie vorab übermittelter Fluggastdaten (API-Daten), nicht hätten erreicht werden können. 

Gemäß der PNR-Richtlinie betrifft die Verarbeitung von PNR-Daten alle Fluggäste auf ein- und ausgehenden Drittstaatsflügen. Die Überprüfung hat ergeben, dass ein solch breiter Geltungsbereich unbedingt notwendig ist, um die Ziele der Richtlinie zu verwirklichen. Was die erhobenen Daten betrifft, so entsprechen die Kategorien in Anhang I international vereinbarten Standards, insbesondere auf Ebene der ICAO. Die nationalen Behörden haben bestätigt, dass die Möglichkeit, diese Kategorien von PNR-Daten zu erheben, dem entspricht, was zur Erreichung der verfolgten Ziele unbedingt erforderlich ist.

Hinsichtlich des Ausmaßes des Eingriffs in das Grundrecht auf Schutz der Privatsphäre und das Grundrecht auf den Schutz personenbezogener Daten sind die folgenden Überlegungen relevant: Es ist wichtig, dass die PNR-Richtlinie die Verarbeitung von sensiblen Daten strikt untersagt. PNR-Daten können zwar spezifische Informationen über das Privatleben einer Person offenbaren, doch sind diese auf einen bestimmten Aspekt des Privatlebens (nämlich auf Flugreisen) beschränkt. Zudem sieht die PNR-Richtlinie strenge Garantien vor, um das Ausmaß des Eingriffs weiter auf ein absolutes Minimum zu begrenzen und die Verhältnismäßigkeit der Verarbeitungsmethoden, die den nationalen Behörden zur Verfügung stehen, zu gewährleisten, auch im Hinblick auf die automatisierte Verarbeitung. Dank dieser Garantien werden nur die personenbezogenen Daten einer sehr begrenzten Anzahl von Fluggästen zur Weiterverarbeitung an die zuständigen Behörden übermittelt. Dies bedeutet, dass die PNR-Systeme gezielte Ergebnisse liefern, sodass sich der Eingriff in das Recht auf Privatsphäre und das Recht auf den Schutz personenbezogener Daten in Grenzen hält. PNR-Daten werden auch nicht zur individuellen Profilerstellung verwendet, sondern zur Erstellung von Risikoszenarien und anonymen Szenarien, d. h. von „abstrakten Profilen“.

Datenspeicherungsfristen

Die Speicherung der PNR-Daten sämtlicher Fluggäste für einen Zeitraum von fünf Jahren ist erforderlich, um die festgelegten Ziele zu erreichen, die darin bestehen, durch die Verhütung, Aufdeckung, Untersuchung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität für Sicherheit zu sorgen und das Leben und die Sicherheit der Menschen zu schützen.

Erstens ergibt sich die Notwendigkeit, Daten fünf Jahre lang vorzuhalten, aus dem Wesen des PNR-Systems als einem Analyseinstrument, das nicht nur auf die Identifizierung bekannter Bedrohungen, sondern auch auf die Aufdeckung unbekannter Risiken abzielt. Die in Form von PNR-Daten erfassten Reisepläne werden dazu verwendet, bestimmte Verhaltensmuster und Verbindungen zwischen bekannten und unbekannten Personen zu ermitteln. Zur Ermittlung solcher Muster und Verbindungen bedarf es definitionsgemäß der Möglichkeit einer Langzeitanalyse. Eine solche Analyse setzt einen hinreichenden Datenpool voraus, der der PNR-Zentralstelle über einen relativ langen Zeitraum zur Verfügung steht. Diese Daten können dann den zuständigen Behörden im Rahmen strafrechtlicher Ermittlungen im Einzelfall – allerdings nur auf „hinreichend begründete“ Ersuchen – übermittelt werden.

Zweitens ist die Speicherung von PNR-Daten für einen Zeitraum von fünf Jahren erforderlich, um die wirksame Untersuchung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität zu gewährleisten. Die Untersuchung und Verfolgung solcher Straftaten erfordert in der Regel monate- und oft jahrelange Arbeit. Diesbezüglich haben die Mitgliedstaaten bestätigt, dass die fünfjährige Speicherfrist aus operativer Sicht notwendig ist. Durch die Verfügbarkeit historischer Daten wird sichergestellt, dass es möglich ist, das Reiseverhalten von Personen, die beschuldigt werden, ein schweres Verbrechen begangen zu haben oder an terroristischen Handlungen beteiligt gewesen zu sein, zu prüfen, etwaige Mitreisende zu ermitteln und potenzielle Komplizen oder andere Mitglieder einer kriminellen Gruppierung sowie potenzielle Opfer zu identifizieren.

Darüber hinaus hat sich gezeigt, dass die Garantien, die in der PNR-Richtlinie in Bezug auf den Zugriff der zuständigen Behörden auf die von der PNR-Zentralstelle gespeicherten Daten und in Bezug auf die Depersonalisierung und Repersonalisierung von Daten vorgesehen sind, robust genug sind, um Missbrauch zu vermeiden.

Der Gerichtshof der Europäischen Union hat die Fristen für die Speicherung von PNR-Daten in seinem Gutachten 1/15 zum geplanten PNR-Abkommen zwischen der EU und Kanada geprüft, woraufhin die Kommission mit Kanada einen neuen Abkommensentwurf ausgehandelt hat, um den Bedenken des Gerichtshofs Rechnung zu tragen. Nach Auffassung der Kommission unterscheiden sich die tatsächlichen und die rechtlichen Umstände der PNR-Richtlinie gleichwohl von denen, die der Gerichtshof in diesem Fall geprüft hat: Insbesondere wird mit der PNR-Richtlinie eindeutig das Ziel verfolgt, in der Union und ihrem Raum ohne Binnengrenzen, in dem die Mitgliedstaaten gemeinsam für die öffentliche Sicherheit verantwortlich sind, für Sicherheit zu sorgen. Ferner betrifft die Richtlinie im Gegensatz zum Entwurf des Abkommens mit Kanada nicht die Datenübermittlung an Drittländer, sondern die Erhebung von Fluggastdaten zu Flügen in die EU und aus der EU durch die Mitgliedstaaten. In diesem Zusammenhang bedeutet der Umstand, dass es sich bei der PNR-Richtlinie um einen sekundären Rechtsakt handelt, dass ihre Anwendung der Kontrolle durch die nationalen Gerichte der Mitgliedstaaten und in letzter Instanz durch den Gerichtshof der Europäischen Union unterliegt. Des Weiteren gelten die nationalen Rechtsvorschriften zur Umsetzung der Richtlinie zum Datenschutz bei der Strafverfolgung auch für die in der PNR-Richtlinie vorgesehenen Datenverarbeitungen einschließlich etwaiger Weiterverarbeitungen durch die zuständigen Behörden.

Effektivität des Informationsaustauschs zwischen den Mitgliedstaaten

Die Zusammenarbeit und der Austausch von PNR-Daten zwischen den PNR-Zentralstellen gehören zu den wichtigsten Elementen der Richtlinie. Während der Datenaustausch zwischen den Mitgliedstaaten auf der Grundlage ordnungsgemäß begründeter Ersuchen wirksam funktioniert, ist die Möglichkeit der Übermittlung von PNR-Daten auf eigene Initiative der PNR-Zentralstelle weitaus weniger verbreitet. Die von den Mitgliedstaaten bereitgestellten Informationen lassen darauf schließen, dass Strafverfolgungsbehörden eher bereit sind, Verfahren der Zusammenarbeit auf der Grundlage klarer und präziser Vorschriften (z. B. für die Übermittlung auf Ersuchen) anzuwenden. Die allgemein gefasste, vergleichsweise unklare Formulierung der in der Richtlinie enthaltenen Bestimmung über die spontane Datenübermittlung hingegen hat zu einer gewissen Zurückhaltung in Bezug auf ihre Anwendung geführt.

Qualität der Prüfungen, einschließlich in Bezug auf die nach Maßgabe von Artikel 20 erhobenen statistischen Daten

Nach Artikel 20 der PNR-Richtlinie sind die Mitgliedstaaten verpflichtet, Statistiken mindestens über die Gesamtzahl der Fluggäste, deren PNR-Daten erhoben und ausgetauscht worden sind, sowie über die Zahl der Fluggäste, bei denen eine weitere Überprüfung für angezeigt erachtet wurde, zu erstellen. Die Analyse dieser Statistiken hat ergeben, dass nur die Daten einer sehr begrenzten Anzahl von Fluggästen zur weiteren Überprüfung an die zuständigen Behörden übermittelt werden. Die verfügbaren Statistiken zeigen, dass die PNR-Systeme insgesamt so funktionieren, dass das angestrebte Ziel, Fluggäste mit hohem Risiko zu identifizieren, ohne die Bona-fide-Reisebewegungen zu beeinträchtigen, erreicht wird.

Diesbezüglich ist darauf hinzuweisen, dass die der Kommission zur Verfügung gestellten Statistiken noch nicht vollständig standardisiert und einer harten quantitativen Analyse daher nicht zugänglich sind. Ebenso muss daran erinnert werden, dass PNR-Daten bei den meisten Untersuchungen ein Hilfsmittel oder ein Beweisstück unter anderen darstellen und dass es oft nicht möglich ist, die Ergebnisse, die allein auf die Verwendung von PNR-Daten zurückzuführen sind, zu isolieren und zu quantifizieren. Die Kommission hat diese Schwierigkeiten in dieser Analyse gemildert, indem sie unterschiedliche Arten sachdienlicher Daten gesammelt hat, um eine solide Evidenzbasis für die Überprüfung zur Verfügung zu haben. Die Kommission wird auch weiterhin eng mit den Mitgliedstaaten zusammenarbeiten, um die Qualität der nach Maßgabe der Richtlinie erhobenen statistischen Daten zu verbessern.

Rückmeldungen aus den Mitgliedstaaten über die mögliche Ausweitung der Pflichten und die Verwendung von Daten im Rahmen der PNR-Richtlinie

Alle Mitgliedstaaten außer einem haben die Erhebung von PNR-Daten auf Flüge innerhalb der EU ausgeweitet. Die nationalen Behörden sehen in der Erhebung von PNR-Daten zu Flügen innerhalb der EU (und insbesondere innerhalb des Schengen-Raums) ein wichtiges Instrument der Strafverfolgung, das dazu eingesetzt werden kann, die Bewegungen bekannter verdächtiger Personen zu verfolgen und verdächtige Reisemuster unbekannter Personen zu ermitteln, die an kriminellen oder terroristischen Aktivitäten innerhalb des Schengen-Raums beteiligt sein könnten. Da die Mitgliedstaaten bereits effektiv PNR-Daten zu EU-Flügen erheben, hält es die Kommission zum gegenwärtigen Zeitpunkt nicht für wesentlich, die Erhebung von PNR-Daten zu EU-Flügen verbindlich vorzuschreiben.

Die Überprüfung hat ergeben, dass die Mitgliedstaaten der Auffassung sind, dass Daten von Wirtschaftsteilnehmern, die keine Beförderungsunternehmen sind, aus operativer Sicht einen entscheidenden Mehrwert haben. Angesichts der Zahl der von Reiseveranstaltern und Reisebüros getätigten Reservierungen wird ein großer Teil der Fluggastdaten derzeit nicht durch die PNR-Zentralstellen erhoben und verarbeitet, wodurch eine erhebliche Sicherheitslücke entsteht. Die darin liegende Herausforderung ist der Kommission bewusst. Nichtsdestoweniger wird jede etwaige Ausweitung der Pflicht zur Erhebung von PNR-Daten auf Wirtschaftsteilnehmer, die keine Beförderungsunternehmen sind, eine gründliche Bewertung der rechtlichen, technischen und finanziellen Auswirkungen einer solchen Erhebung einschließlich einer Überprüfung der Wahrung der Grundrechte erfordern, insbesondere in Anbetracht der mangelnden Standardisierung der Datenformate.

Die Überprüfung hat zudem gezeigt, dass einige Mitgliedstaaten auf der Grundlage ihrer nationalen Rechtsvorschriften PNR-Daten zu anderen Beförderungsarten wie der Beförderung auf See, auf der Schiene oder auf der Straße erheben. Ungeachtet des operativen Wertes der Erhebung solcher Daten wirft diese gleichwohl erhebliche rechtliche, praktische und operative Fragen auf. Bevor etwaige Schritte zur Ausweitung der Pflicht zur Erhebung von PNR-Daten nach Maßgabe der Richtlinie unternommen werden, wird die Kommission eine gründliche Folgenabschätzung vornehmen, wie es auch in den Schlussfolgerungen des Rates zur Ausweitung des Umfangs der Nutzung von PNR-Daten auf andere Beförderungsformen als den Luftverkehr 19 vom Dezember 2019 empfohlen wird.

Während PNR-Daten nach Maßgabe der PNR-Richtlinie nur zu Zwecken der Bekämpfung von Terrorismus und schwerer Kriminalität verarbeitet werden dürfen, haben zudem mehrere Mitgliedstaaten darauf hingewiesen, dass die Verwendung von PNR-Daten ein wertvolles Instrument zum Schutz der öffentlichen Gesundheit und zur Verhinderung der Ausbreitung von Infektionskrankheiten darstellen könnte, weil sie beispielsweise die Ermittlung von Personen erleichtern könnte, die in der Nähe eines infizierten Fluggastes gesessen haben. Dieser Punkt hat seit dem Ausbruch der COVID-19-Pandemie noch mehr an Bedeutung gewonnen, und weitere Mitgliedstaaten haben darauf hingewiesen, wie wichtig es nach ihrem Dafürhalten ist, die Verwendung von PNR-Daten zur Bewältigung solcher gesundheitlichen Krisenfälle zuzulassen.

3.4.Wichtigste operative Herausforderungen

Die Kommission hat die von den Mitgliedstaaten gemeldeten Herausforderungen, die auf den begrenzten Erfahrungen mit der PNR-Richtlinie in den ersten zwei Jahren ihrer Anwendung beruhen, zur Kenntnis genommen. Insbesondere könnten zusätzliche Maßnahmen, etwa die obligatorische Erfassung des Geburtsdatums der Fluggäste durch die Fluggesellschaften, notwendig sein, um die Datenqualität zu verbessern, was wichtig ist, um eine noch gezieltere und effizientere Datenverarbeitung zu ermöglichen. Verbesserungen der Datenqualität sowie ein sorgfältiges Überdenken der Zwecke, für die PNR-Daten verwendet werden dürfen, könnten ebenfalls erforderlich sein, wenn es darum geht, die PNR-Richtlinie besser mit anderen EU-Instrumenten für die Zusammenarbeit zwischen den Strafverfolgungsbehörden in Einklang zu bringen. Derartige Änderungen der Richtlinie erfordern eine gründliche Folgenabschätzung, vor allem hinsichtlich ihrer Auswirkungen auf die Grundrechte.

Um zu vermeiden, dass Fluggesellschaften mit Normenkollisionen konfrontiert sind, die sie daran hindern, PNR-Daten in die und aus den Mitgliedstaaten zu übermitteln, müssen im Rahmen der externen PNR-Politik der Kommission weiterhin Möglichkeiten geprüft werden, wie die Übermittlung von PNR-Daten an Drittländer im Einklang mit den Anforderungen des EU-Rechts gestattet werden kann. 

4.Schlussfolgerungen

Die von der Kommission durchgeführte Überprüfung der Anwendung der Richtlinie in den ersten zwei Jahren fällt insgesamt positiv aus. Die wichtigste Schlussfolgerung der Überprüfung ist, dass die Richtlinie einen positiven Beitrag zu ihrem Hauptziel leistet, das darin besteht, die Einrichtung wirksamer PNR-Systeme in den Mitgliedstaaten als Instrument zur Bekämpfung von Terrorismus und schwerer Kriminalität zu gewährleisten. Die Kommission hat die Mitgliedstaaten während des gesamten Umsetzungsprozesses unterstützt, indem sie regelmäßige Zusammenkünfte organisiert, die Zusammenarbeit zwischen den nationalen Behörden erleichtert und finanzielle Unterstützung geleistet hat. Zugleich hat die Kommission nicht gezögert, Vertragsverletzungsverfahren gegen Mitgliedstaaten einzuleiten, die die Richtlinie nicht fristgerecht umgesetzt haben.

Die Kommission wird weiterhin eng mit den Mitgliedstaaten zusammenarbeiten, damit allen vorgenannten Problemen und Herausforderungen angemessen begegnet wird, um die Wirksamkeit des PNR-Mechanismus der EU weiter zu steigern und gleichzeitig die uneingeschränkte Achtung der Grundrechte zu gewährleisten. Die Kommission wird die Überwachung der Umsetzung der PNR-Richtlinie über den Abschluss dieser Überprüfung hinaus fortsetzen. Dieser Bericht, der keineswegs als endgültige Bewertung der Konformität der nationalen Umsetzungsmaßnahmen angesehen werden sollte, wird den Dialog mit den Mitgliedstaaten bei der Behandlung etwaiger Abweichungen von den Anforderungen der Richtlinie erleichtern. Die Notwendigkeit der Einleitung etwaiger Vertragsverletzungsverfahren wegen nicht konformer Umsetzung wird in diesem Zusammenhang ebenfalls geprüft.

Die Kommission ist der Auffassung, dass zum gegenwärtigen Zeitpunkt keine Änderungen an der PNR-Richtlinie vorgeschlagen werden sollten. Nach einer ersten Phase, in der die vollständige Umsetzung Priorität hatte, ist es nun an der Zeit, sich auf die ordnungsgemäße Umsetzung der Richtlinie zu konzentrieren. Ferner werden einige der oben beschriebenen Fragen, die sich aus der praktischen Anwendung der PNR-Richtlinie ergeben, einer weiteren Prüfung bedürfen. Dies gilt beispielsweise für eine mögliche Ausweitung des Anwendungsbereichs der Richtlinie. Dabei sollten auch die zusätzlichen Erkenntnisse berücksichtigt werden, die sich aus der laufenden Evaluierung der Richtlinie über vorab übermittelte Fluggastdaten (API-Richtlinie) ergeben. Die Entscheidung darüber, ob eine Überarbeitung der PNR-Richtlinie vorgeschlagen werden soll, wird sich auch auf den Ausgang der derzeit beim Gerichtshof anhängigen Vorabentscheidungsverfahren 20 stützen.

(1)

     Richtlinie (EU) 2016/681 des Europäischen Parlaments und des Rates vom 27. April 2016 über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität (ABl. L 119 vom 4.5.2016, S. 132).

(2)

     In Belgien, Bulgarien, Frankreich, Deutschland, Lettland und in den Niederlanden.

(3)

     KOM(2010) 492 endg. vom 21. September 2010.

(4)

     Abkommen zwischen der Europäischen Union und Australien über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) und deren Übermittlung durch die Fluggesellschaften an den Australian Customs and Border Protection Service (ABl. L 186 vom 14.7.2012, S. 4). Das Abkommen ist derzeit Gegenstand einer gemeinsamen Überprüfung und Evaluierung.

(5)

     Abkommen zwischen den Vereinigten Staaten von Amerika und der Europäischen Union über die Verwendung von Fluggastdatensätzen und deren Übermittlung an das United States Department of Homeland Security (ABl. L 215 vom 11.8.2012, S. 5). Das Abkommen ist derzeit Gegenstand einer gemeinsamen Evaluierung.

(6)

     Gutachten 1/15 des Gerichtshofs (Große Kammer), ECLI:EU:C:2017:592.

(7)

     Gemeinsame Erklärung des Gipfeltreffens EU-Kanada, Montreal, 17./18. Juli 2019.

(8)

     Beschluss des Rates zur Ermächtigung zur Aufnahme von Verhandlungen mit Japan über ein Abkommen zwischen der Europäischen Union und Japan über die Übermittlung und Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung und Bekämpfung von Terrorismus und schwerer Kriminalität, Ratsdokument 5378/20.

(9)

     Diese finanzielle Unterstützung wurde nach dem für das Instrument geltenden Standardverteilungsschlüssel auf die Mitgliedstaaten verteilt, d. h. zu 30 % im Verhältnis zur Bevölkerungsgröße, zu 10 % im Verhältnis zur Größe des Hoheitsgebiets, zu 15 % im Verhältnis zur Zahl der See- und Flugpassagiere, zu 10 % im Verhältnis zur Gesamtmenge der Luft- und Seefrachttonnen und zu 35 % im umgekehrten Verhältnis zum BIP.

(10)

     Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Text von Bedeutung für den EWR) (ABl. L 119 vom 4.5.2016, S. 1).

(11)

   Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89).

(12)

     COM(2020) 262 final vom 24. Juni 2020.

(13)

     COM(2020) 264 final vom 24. Juni 2020.

(14)

   Vorabentscheidungsersuchen in der Rechtssache C-817/19, Ligue des droits humains, ABl. C 36 vom 3.2.2020, S. 16 (anhängig).

(15)

   Vorabentscheidungsersuchen in den verbundenen Rechtssachen C-148/20, C-149/20 und C-150/20, Deutsche Lufthansa, noch nicht veröffentlicht (anhängig).

(16)

     Entschließung 2396 (2017), angenommen vom Sicherheitsrat auf seiner 8148. Tagung vom 21. Dezember 2017.

(17)

     Eine umfassende Beurteilung der Vollständigkeit und Konformität der nationalen Umsetzungsmaßnahmen und ihrer Durchführung in der Praxis ist im Rahmen der Konformitätsbewertung erfolgt, die von einem externen Auftragnehmer unter Aufsicht der Kommission durchgeführt wurde. In Bezug auf 23 Mitgliedstaaten, die die vollständige Umsetzung bis zum 10. Juni 2019 mitgeteilt hatten, ist die Bewertung abgeschlossen. In Bezug auf drei Mitgliedstaaten, die die vollständige Umsetzung nach diesem Datum mitgeteilt haben, wurde bislang nur die Erstbewertung abgeschlossen.

(18)

     Einige der Beispiele finden sich in den Abschnitten 5.1 und 5.2 der Arbeitsunterlage der Kommissionsdienststellen.

(19)

     Ratsdokument 14746/19, angenommen am 2. Dezember 2019.

(20)

     Siehe Fußnoten 15 und 16.

Top