(1)   Die Fluggesellschaften erheben bei Flügen in die Union für jeden Fluggast API-Daten, die gemäß Artikel 6 an den Router zu übermitteln sind. Bei Flügen mit Code-Sharing zwischen Fluggesellschaften obliegt die Pflicht zur Übermittlung der API-Daten der Fluggesellschaft, die den Flug durchführt.

(2)   Die API-Daten umfassen für jeden Fluggast auf dem Flug ausschließlich die folgenden Daten:

(3)   Die API-Daten umfassen zudem ausschließlich die folgenden Fluginformationen für den Flug jedes Fluggastes:

(1)   Bei der Erhebung der API-Daten gemäß Artikel 4 stellen die Fluggesellschaften sicher, dass die API-Daten, die sie gemäß Artikel 6 übermitteln, korrekt, vollständig und aktuell sind.

(2)   Die Fluggesellschaften erheben die in Artikel 4 Absatz 2 Buchstaben a bis d genannten API-Daten mithilfe automatisierter Verfahren, um die maschinenlesbaren Daten des Reisedokuments des betreffenden Fluggastes zu erfassen. Dabei berücksichtigen sie die in Absatz 7 des vorliegenden Artikels genannten detaillierten technischen Anforderungen und operativen Vorschriften, sobald solche Vorschriften erlassen wurden und anwendbar sind.

Bieten Fluggesellschaften einen Online-Check-in-Prozess an, ermöglichen sie den Fluggästen, die in Artikel 4 Absatz 2 Buchstaben a bis d genannten API-Daten im Zuge dieses Online-Check-in mithilfe automatisierter Verfahren bereitzustellen. Fluggäste, die keinen Online-Check-in durchlaufen, erhalten von den Fluggesellschaften die Möglichkeit, diese API-Daten während der Abfertigung am Flughafen mithilfe automatisierter Verfahren mit der Unterstützung eines Self-Service-Kiosks oder des Personals am Schalter der Fluggesellschaft zur Verfügung zu stellen.

Ist der Einsatz automatisierter Verfahren technisch nicht möglich, erheben die Fluggesellschaften die in Artikel 4 Absatz 2 Buchstaben a bis d genannten API-Daten ausnahmsweise manuell, entweder beim Online-Check-in oder beim Check-in am Flughafen und stellen dabei die Einhaltung von Absatz 1 dieses Artikels sicher.

(3)   Alle automatisierten Verfahren, mit denen die Fluggesellschaften API-Daten gemäß dieser Verordnung erheben, müssen zuverlässig, sicher und auf dem neuesten Stand sein. Die Fluggesellschaften sorgen dafür, dass die Übermittlung der API-Daten vom Fluggast an die Fluggesellschaft in verschlüsselter Form erfolgt.

(4)   Zusätzlich zu den in Absatz 3 genannten automatisierten Verfahren müssen die Fluggesellschaften es den Fluggästen während eines Übergangszeitraums ermöglichen, API-Daten im Rahmen des Online-Check-in manuell bereitzustellen. In solchen Fällen müssen die Fluggesellschaften Techniken zur Verifizierung der Daten einsetzen, um die Einhaltung von Absatz 1 sicherzustellen.

(5)   Der in Absatz 4 genannte Übergangszeitraum berührt nicht das Recht der Fluggesellschaften, die im Rahmen des Online-Check-in erhobenen API-Daten am Flughafen vor dem Einsteigen in das Luftfahrzeug zu überprüfen, um die Einhaltung von Absatz 1 im Einklang mit dem geltenden Unionsrecht sicherzustellen.

(6)   Der Kommission wird die Befugnis übertragen, ab dem Tag vier Jahre nach Inbetriebnahme des Routers in Bezug auf die in Artikel 34 genannten API-Daten und auf der Grundlage einer Bewertung der Verfügbarkeit und Zugänglichkeit automatisierter Verfahren zur Erhebung von API-Daten einen delegierten Rechtsakt gemäß Artikel 44 zu erlassen, um den in Absatz 4 des vorliegenden Artikels genannten Übergangszeitraum zu beenden.

(7)   Der Kommission wird die Befugnis übertragen, gemäß Artikel 44 delegierte Rechtsakte zur Ergänzung dieser Verordnung zu erlassen, in denen sie detaillierte technische Anforderungen und operative Vorschriften für die Erhebung der in Artikel 4 Absatz 2 Buchstaben a bis d genannten API-Daten mithilfe automatisierter Verfahren gemäß den Absätzen 2 und 3 des vorliegenden Artikels sowie für die manuelle Erhebung von API-Daten unter außergewöhnlichen Umständen gemäß Absatz 2 des vorliegenden Artikels und während des in Absatz 4 des vorliegenden Artikels genannten Übergangszeitraums festlegt. Diese technischen Anforderungen und Betriebsvorschriften umfassen Anforderungen an die Datensicherheit und die Verwendung der zuverlässigsten automatisierten Verfahren, die zur Erhebung der maschinenlesbaren Daten eines Reisedokuments zur Verfügung stehen.

(8)   Fluggesellschaften, die die in Artikel 3 Absätze 1 und 2 der Richtlinie 2004/82/EG genannten Informationen mithilfe automatisierter Verfahren erheben, sind berechtigt, dies unter Einhaltung der in Absatz 7 dieses Artikels genannten technischen Anforderungen in Bezug auf diese Verwendung im Einklang mit der genannten Richtlinie zu tun.

(1)   Die Fluggesellschaften übermitteln die verschlüsselten API-Daten zwecks Übertragung an die zuständigen Grenzbehörden gemäß Artikel 14 auf elektronischem Wege an den Router. Bei der Übermittlung der API-Daten berücksichtigen die Fluggesellschaften die in Absatz 3 dieses Artikels genannten detaillierten Vorschriften, sobald solche Vorschriften erlassen wurden und anwendbar sind.

(2)   Die Fluggesellschaften übermitteln die API-Daten:

(3)   Der Kommission wird die Befugnis übertragen, gemäß Artikel 44 delegierte Rechtsakte zur Ergänzung dieser Verordnung zu erlassen, in denen sie die erforderlichen detaillierten Vorschriften über die gemeinsamen Protokolle und unterstützten Datenformate festlegt, die für die in Absatz 1 dieses Artikels genannte verschlüsselte Übermittlung von API-Daten an den Router zu verwenden sind, einschließlich der Übermittlung von API-Daten zum Zeitpunkt des Check-in sowie der Anforderungen an die Datensicherheit. Mit diesen detaillierten Vorschriften wird sichergestellt, dass die Fluggesellschaften API-Daten unter Verwendung der gleichen Struktur und des gleichen Inhalts übermitteln.

(1)   Die Fluggesellschaften speichern die gemäß Artikel 4 erhobenen API-Daten für einen Zeitraum von 48 Stunden ab dem Zeitpunkt, zu dem der Router gemäß Artikel 6 Absatz 2 Buchstaben a und b API-Daten empfangen hat. Nach Ablauf dieses Zeitraums haben sie diese API-Daten unverzüglich und dauerhaft zu löschen; dies gilt unbeschadet der Möglichkeit für die Fluggesellschaften, die Daten im Einklang mit geltendem Recht zu speichern und zu nutzen, wenn dies für die normale Ausübung ihrer Geschäftstätigkeit erforderlich ist, sowie unbeschadet von Artikel 16 Absätze 1 und 3.

(2)   Die zuständigen Grenzbehörden speichern die API-Daten, die ihnen gemäß Artikel 14 übertragen wurden, für einen Zeitraum von 48 Stunden ab dem Zeitpunkt des Empfangs der API-Daten im Einklang mit Artikel 6 Absatz 2 Buchstaben a und b. Nach Ablauf dieses Zeitraums löschen sie diese API-Daten unverzüglich und dauerhaft.

In Ausnahmefällen dürfen die zuständigen Grenzbehörden API-Daten nur dann für einen zusätzlichen Zeitraum von bis zu 48 Stunden speichern, wenn sich diese API-Daten auf Fluggäste beziehen, die sich während des in Unterabsatz 1 dieses Absatzes genannten Zeitraums nicht an einer Grenzübergangsstelle gemeldet haben.

(1)   Stellt eine Fluggesellschaft fest, dass die Daten, die sie gemäß dieser Verordnung speichert, unrechtmäßig verarbeitet wurden oder dass es sich bei den Daten nicht um API-Daten handelt, so hat sie diese Daten unverzüglich und dauerhaft zu löschen. Wurden diese Daten an den Router übermittelt, so hat die Fluggesellschaft unverzüglich die Agentur der Europäischen Union für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA) davon in Kenntnis zu setzen. Nach Erhalt dieser Informationen unterrichtet die eu-LISA unverzüglich die zuständige Grenzbehörde, die die über den Router übertragenen Daten empfangen hat. Die zuständige Grenzbehörde hat diese Daten unverzüglich und dauerhaft zu löschen.

(2)   Stellt eine Fluggesellschaft fest, dass die gemäß dieser Verordnung gespeicherten Daten unrichtig, unvollständig oder nicht mehr aktuell sind, so hat sie diese Daten unverzüglich zu berichtigen, zu vervollständigen oder zu aktualisieren. Dies gilt unbeschadet der Möglichkeit für die Fluggesellschaften, die Daten im Einklang mit dem geltenden Recht zu speichern und zu nutzen, wenn dies für die normale Ausübung ihrer Geschäftstätigkeit erforderlich ist.

(3)   Stellt eine Fluggesellschaft nach der Übermittlung von API-Daten gemäß Artikel 6 Absatz 2 Buchstabe a, aber vor der Übermittlung gemäß Artikel 6 Absatz 2 Buchstabe b fest, dass die von ihr übermittelten Daten unrichtig sind, so übermittelt sie die berichtigten API-Daten unverzüglich an den Router.

(4)   Stellt eine Fluggesellschaft nach der Übermittlung von API-Daten gemäß Artikel 6 Absatz 2 Buchstaben a oder b fest, dass die von ihr übermittelten Daten unrichtig, unvollständig oder nicht mehr aktuell sind, so übermittelt sie die berichtigten, vervollständigten oder aktualisierten API-Daten unverzüglich an den Router.

(5)   Stellt eine zuständige Grenzbehörde nach der Übertragung von API-Daten gemäß Artikel 14 fest, dass die Daten unrichtig, unvollständig oder nicht mehr aktuell sind, so löscht sie diese Daten unverzüglich, es sei denn, diese Daten sind erforderlich, um die Einhaltung der in dieser Verordnung festgelegten Verpflichtungen sicherzustellen.

(6)   Der Kommission wird die Befugnis übertragen, gemäß Artikel 44 delegierte Rechtsakte zur Ergänzung dieser Verordnung zu erlassen, in denen sie die erforderlichen detaillierten Vorschriften für die Berichtigung, Vervollständigung und Aktualisierung von API-Daten im Sinne dieses Artikels festlegt.

(1)   Die Erhebung und Verarbeitung personenbezogener Daten gemäß dieser Verordnung und der Verordnung (EU) 2025/13 durch Fluggesellschaften und zuständige Behörden darf nicht zu einer Diskriminierung von Personen aus den in Artikel 21 der Charta der Grundrechte der Europäischen Union (im Folgenden „die Charta“) aufgeführten Gründen führen.

(2)   Bei der Anwendung dieser Verordnung sind die Menschenwürde und die Grundrechte uneingeschränkt zu achten und die in der Charta anerkannten Grundsätze zu wahren, darunter auch das Recht auf Achtung der Privatsphäre, auf Asyl, auf Schutz personenbezogener Daten, auf Freizügigkeit und auf wirksame Rechtsbehelfe.

(3)   Besondere Aufmerksamkeit ist dabei Kindern, älteren Menschen und Menschen mit einer Behinderung und schutzbedürftigen Menschen zu widmen. Bei der Anwendung dieser Verordnung ist dem Kindeswohl Vorrang einzuräumen.

(1)   Gemäß den Artikeln 25 und 26 übernimmt die eu-LISA die Konzeption, die Entwicklung, das Hosting und die technische Verwaltung eines Routers, um die Übermittlung von verschlüsselten API-Daten durch die Fluggesellschaften an die zuständigen Grenzbehörden gemäß dieser Verordnung zu erleichtern.

(2)   Der Router besteht aus:

(3)   Unbeschadet des Artikels 12 der vorliegenden Verordnung werden erforderlichenfalls und soweit technisch möglich die technischen Komponenten des Web-Dienstes gemäß Artikel 13 der Verordnung (EU) 2017/2226, einschließlich Hardware- und Softwarekomponenten, des Zugangs für Beförderungsunternehmen gemäß Artikel 6 Absatz 2 Buchstabe k der Verordnung (EU) 2018/1240 und des Carrier Gateways gemäß Artikel 45c der Verordnung (EG) Nr. 767/2008, vom Router mitgenutzt und wiederverwendet.

Die eu-LISA konzipiert den Router — soweit technisch und operativ möglich — in einer Weise, die im Einklang mit den Verpflichtungen steht, die den Fluggesellschaften aus den Verordnungen (EG) Nr. 767/2008, (EU) 2017/2226 und (EU) 2018/1240 erwachsen.

(4)   Der Router extrahiert automatisch die Daten und stellt sie gemäß Artikel 38 dieser Verordnung dem durch Artikel 39 der Verordnung (EU) 2019/817 eingerichteten zentralen Speicher für Berichte und Statistiken (CRRS) zur Verfügung.

(5)   Die eu-LISA konzipiert und entwickelt den Router so, dass bei jeder Übermittlung von API-Daten von den Fluggesellschaften an den Router gemäß Artikel 6 und bei jeder Übertragung von API-Daten vom Router an die zuständigen Grenzbehörden gemäß Artikel 14 und an den CRRS gemäß Artikel 38 Absatz 2 die Übertragung der API-Daten mittels Ende-zu-Ende-Verschlüsselung erfolgt.

(1)   Der Router verifiziert automatisch und auf der Grundlage von Echtzeit-Flugverkehrsdaten, ob die Fluggesellschaft die API-Daten gemäß Artikel 6 Absatz 1 übermittelt hat.

(2)   Der Router verifiziert unverzüglich und automatisch, ob die API-Daten, die ihm gemäß Artikel 6 Absatz 1 übermittelt wurden, den in Artikel 6 Absatz 3 genannten detaillierten Vorschriften über die unterstützten Datenformate entsprechen.

(3)   Ergibt die Verifizierung nach Absatz 1 dieses Artikels, dass die Daten von der Fluggesellschaft nicht übermittelt wurden, oder ergibt die Verifizierung nach Absatz 2 dieses Artikels, dass die Daten nicht den detaillierten Vorschriften hinsichtlich der unterstützten Datenformate entsprechen, setzt der Router die betreffende Fluggesellschaft und die zuständigen Grenzbehörden der Mitgliedstaaten, an die die Daten gemäß Artikel 14 Absatz 1 übermittelt werden sollten, darüber unverzüglich und automatisch in Kenntnis. In solchen Fällen überträgt die Fluggesellschaft die API-Daten unverzüglich in Einklang mit Artikel 6.

(4)   Die Kommission erlässt Durchführungsrechtsakte zur Festlegung der erforderlichen detaillierten technischen und verfahrenstechnischen Vorschriften für die in den Absätzen 1, 2 und 3 dieses Artikels genannten Verifizierungen und Benachrichtigungen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 43 Absatz 2 genannten Prüfverfahren erlassen.

(1)   Nach der in Artikel 13 genannten Verifizierung des Datenformats und der Datenübertragung überträgt der Router die ihm gemäß Artikel 6 oder Artikel 9 Absätze 3 und 4 übermittelten verschlüsselten API-Daten an die zuständigen Grenzbehörden des Mitgliedstaats oder, wenn der Flug auf einem oder mehreren Flughäfen im Hoheitsgebiet eines oder mehrerer Mitgliedstaaten, für die diese Verordnung gilt, landen soll, an die in Artikel 4 Absatz 3 Buchstabe c genannten zuständigen Grenzbehörden der Mitgliedstaaten. Er überträgt diese Daten unverzüglich und automatisch, ohne ihren Inhalt in irgendeiner Weise zu verändern, gemäß den in Absatz 5 dieses Artikels genannten detaillierten Vorschriften, sobald solche Vorschriften erlassen wurden und anwendbar sind.

Für die Zwecke dieser Übertragung erstellt und pflegt die eu-LISA eine Entsprechungstabelle mit den verschiedenen Herkunfts- und Zielflughäfen und den Ländern, zu denen sie gehören.

(2)   Die Mitgliedstaaten benennen zuständige Grenzbehörden, die befugt sind, die API-Daten, die ihnen gemäß dieser Verordnung vom Router übertragen werden, zu empfangen. Sie melden der eu-LISA und der Kommission bis zu dem in Artikel 46 Absatz 2 genannten Geltungsbeginn dieser Verordnung den Namen und die Kontaktdaten der zuständigen Grenzbehörden und setzen die eu-LISA und die Kommission erforderlichenfalls über Aktualisierungen dieser Informationen in Kenntnis.

Die Kommission erstellt auf der Grundlage dieser Meldungen und Aktualisierungen eine Liste der gemeldeten zuständigen Grenzbehörden, einschließlich ihrer Kontaktdaten, und veröffentlicht diese.

(3)   Die Mitgliedstaaten stellen sicher, dass ihre zuständigen Grenzbehörden, die API-Daten gemäß Absatz 1 empfangen, unverzüglich und automatisch den Empfang dieser Daten an den Router bestätigen.

(4)   Die Mitgliedstaaten stellen sicher, dass nur die dazu ordnungsgemäß ermächtigten und entsprechend geschulten Bediensteten ihrer zuständigen Grenzbehörden, die gemäß Absatz 2 benannt wurden, Zugang zu den API-Daten haben, die ihnen über den Router übertragen werden. Sie legen die hierzu erforderlichen Vorschriften fest. Diese Vorschriften umfassen Vorschriften für die Erstellung und regelmäßige Aktualisierung einer Liste dieser Bediensteten und ihrer Profile.

(5)   Die Kommission erlässt Durchführungsrechtsakte, in denen sie die detaillierten technischen und verfahrenstechnischen Vorschriften, einschließlich der Anforderungen an die Datensicherheit, festlegt, die für die in Absatz 1 dieses Artikels genannte Übertragung von API-Daten durch den Router erforderlich sind. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 43 Absatz 2 genannten Prüfverfahren erlassen.

(1)   Wenn es wegen eines Ausfalls des Routers technisch nicht möglich ist, den Router für die Übertragung von API-Daten zu nutzen, benachrichtigt die eu-LISA die Fluggesellschaften und die zuständigen Grenzbehörden unverzüglich und automatisch über diese technische Unmöglichkeit. In diesem Fall ergreift die eu-LISA unverzüglich Maßnahmen zur Behebung der technischen Unmöglichkeit der Nutzung des Routers und informiert die Fluggesellschaften und die zuständigen Grenzbehörden unverzüglich, wenn das Problem erfolgreich behoben wurde.

Während des Zeitraums zwischen diesen Benachrichtigungen findet Artikel 6 Absatz 1 und Artikel 8 Absatz 1 keine Anwendung, sofern es aus technischen Gründen nicht möglich ist, API-Daten an den Router zu übermitteln. Die Fluggesellschaften speichern die API-Daten, bis die technischen Schwierigkeiten erfolgreich behoben wurden. Sobald die technischen Schwierigkeiten erfolgreich behoben wurden, übermitteln Fluggesellschaften die Daten gemäß Artikel 6 Absatz 1 an den Router.

Gehen die API-Daten später als 96 Stunden nach dem Abflug gemäß Artikel 4 Absatz 3 Buchstabe f ein, so überträgt der Router die API-Daten nicht an die zuständigen Grenzbehörden, sondern löscht die entsprechenden Daten.

Wenn es aus technischen Gründen nicht möglich ist, den Router zu nutzen sowie in Ausnahmefällen im Zusammenhang mit den Zielen dieser Verordnung, die es erforderlich machen, dass die zuständigen Grenzbehörden während der technischen Unmöglichkeit, den Router zu nutzen, API-Daten unverzüglich empfangen, können die zuständigen Grenzbehörden die Fluggesellschaften auffordern, jedes andere geeignete Mittel zu nutzen, das das erforderliche Maß an Datensicherheit, Datenqualität und Datenschutz bietet, um die API-Daten direkt an die zuständigen Grenzbehörden zu übermitteln. Die zuständigen Grenzbehörden verarbeiten die API-Daten, die sie auf andere geeignete Weise erhalten haben, im Einklang mit den Vorschriften und Sicherheitsvorkehrungen der Verordnung (EU) 2016/399 und dem geltenden nationalen Recht.

Nachdem die eu-LISA mitgeteilt hat, dass der technische Fehler erfolgreich behoben wurde, und wenn im Einklang mit Artikel 14 Absatz 3 bestätigt wurde, dass die Übertragung der API-Daten über den Router an die entsprechende zuständige Grenzbehörde abgeschlossen ist, löscht die zuständige Grenzbehörde unverzüglich die API-Daten, die sie durch andere geeignete Mittel empfangen hat.

(2)   Wenn es wegen eines Ausfalls der in Artikel 23 genannten Systeme oder Infrastruktur eines Mitgliedstaats technisch nicht möglich ist, den Router für die Übertragung von API-Daten zu nutzen, benachrichtigen die zuständigen Grenzbehörden des betreffenden Mitgliedstaats die Fluggesellschaften, die zuständigen Behörden der anderen Mitgliedstaaten, die eu-LISA und die Kommission unverzüglich und automatisch über diese technische Unmöglichkeit. In diesem Fall ergreift der betreffende Mitgliedstaat unverzüglich Maßnahmen zur Behebung der technischen Unmöglichkeit der Nutzung des Routers und informiert die Fluggesellschaften, die zuständigen Behörden der anderen Mitgliedstaaten, die eu-LISA und die Kommission unverzüglich, sobald das Problem erfolgreich behoben wurde. Der Router speichert die API-Daten, bis die technischen Schwierigkeiten erfolgreich behoben wurden. Sobald die technischen Schwierigkeiten erfolgreich behoben wurden, überträgt der Router die Daten gemäß Artikel 14 Absatz 1.

In der Zeit zwischen diesen Benachrichtigungen finden Artikel 6 Absatz 1 und Artikel 8 Absatz 1 keine Anwendung, soweit es aus technischen Gründen nicht möglich ist, API-Daten an den Router zu übermitteln. Die Fluggesellschaften speichern die API-Daten, bis die technischen Schwierigkeiten erfolgreich behoben wurden. Sobald die technischen Schwierigkeiten erfolgreich behoben wurden, übermitteln Fluggesellschaften die Daten gemäß Artikel 6 Absatz 1 an den Router.

Gehen die API-Daten später als 96 Stunden nach dem Abflug gemäß Artikel 4 Absatz 3 Buchstabe f ein, so überträgt der Router die API-Daten nicht an die zuständigen Grenzbehörden, sondern löscht die entsprechenden Daten.

Wenn es aus technischen Gründen nicht möglich ist, den Router zu nutzen sowie in Ausnahmefällen im Zusammenhang mit den Zielen dieser Verordnung, die es erforderlich machen, dass die zuständigen Grenzbehörden während der technischen Unmöglichkeit, den Router zu nutzen, API-Daten unverzüglich empfangen, können die zuständigen Grenzbehörden die Fluggesellschaften auffordern, jedes andere geeignete Mittel zu nutzen, das das erforderliche Maß an Datensicherheit, Datenqualität und Datenschutz bietet, um die API-Daten direkt an die zuständigen Grenzbehörden zu übermitteln. Die zuständigen Grenzbehörden verarbeiten die API-Daten, die sie auf andere geeignete Weise erhalten haben, im Einklang mit den Vorschriften und Sicherheitsvorkehrungen der Verordnung (EU) 2016/399 und dem geltenden nationalen Recht.

Nachdem die eu-LISA mitgeteilt hat, dass der technische Fehler erfolgreich behoben wurde, und wenn im Einklang mit Artikel 14 Absatz 3 bestätigt wird, dass die Übertragung der API-Daten über den Router an die einschlägige zuständige Grenzbehörde abgeschlossen ist, löscht die zuständige Grenzbehörde unverzüglich die API-Daten, die sie durch andere geeignete Mittel empfangen hat.

(3)   Wenn es wegen eines Ausfalls der in Artikel 24 genannten Systeme oder Infrastruktur einer Fluggesellschaft technisch nicht möglich ist, den Router für die Übermittlung von API-Daten zu nutzen, benachrichtigt die betreffende Fluggesellschaft die zuständigen Grenzbehörden, die eu-LISA und die Kommission unverzüglich und automatisch über diese technische Unmöglichkeit. In diesem Fall ergreift die Fluggesellschaft unverzüglich Maßnahmen zur Behebung der technischen Unmöglichkeit der Nutzung des Routers und benachrichtigt die eu-LISA und die Kommission unverzüglich, sobald das Problem erfolgreich behoben wurde.

In der Zeit zwischen diesen Benachrichtigungen finden Artikel 6 Absatz 1 und Artikel 8 Absatz 1 keine Anwendung, soweit es aus technischen Gründen nicht möglich ist, API-Daten an den Router zu übermitteln. Die Fluggesellschaften speichern die API-Daten, bis die technischen Schwierigkeiten erfolgreich behoben wurden. Sobald die technischen Schwierigkeiten erfolgreich behoben wurden, übermitteln Fluggesellschaften die Daten gemäß Artikel 6 Absatz 1 an den Router. Der Router darf die API-Daten jedoch nicht an die zuständigen Grenzbehörden übertragen, sondern muss die Daten löschen, wenn sie später als 96 Stunden nach Abflug gemäß Artikel 4 Absatz 3 Buchstabe f eingehen.

Wenn es aus technischen Gründen nicht möglich ist, den Router zu nutzen sowie in Ausnahmefällen im Zusammenhang mit den Zielen dieser Verordnung, die es erforderlich machen, dass die zuständigen Grenzbehörden während der technischen Unmöglichkeit, den Router zu nutzen, API-Daten unverzüglich empfangen, können die zuständigen Grenzbehörden die Fluggesellschaften auffordern, jedes andere geeignete Mittel zu nutzen, das das erforderliche Maß an Datensicherheit, Datenqualität und Datenschutz bietet, um die API-Daten direkt an die zuständigen Grenzbehörden zu übermitteln. Die zuständigen Grenzbehörden verarbeiten die API-Daten, die sie auf andere geeignete Weise erhalten haben, im Einklang mit den Vorschriften und Sicherheitsvorkehrungen der Verordnung (EU) 2016/399 und dem geltenden nationalen Recht.

Nachdem die eu-LISA mitgeteilt hat, dass der technische Fehler erfolgreich behoben wurde, und wenn im Sinne von Artikel 14 Absatz 3 bestätigt wird, dass die Übertragung der API-Daten über den Router an die entsprechende zuständige Grenzbehörde abgeschlossen ist, löscht die zuständige Grenzbehörde unverzüglich die API-Daten, die sie durch andere geeignete Mittel empfangen hat.

Wurde die technische Unmöglichkeit erfolgreich behoben, so legt die betreffende Fluggesellschaft der in Artikel 36 genannten nationalen API-Aufsichtsbehörde unverzüglich einen Bericht mit allen erforderlichen Einzelheiten über die technische Unmöglichkeit vor, einschließlich der Gründe für die technische Unmöglichkeit, ihres Umfangs und ihrer Folgen sowie der ergriffenen Abhilfemaßnahmen.

(1)   Die Fluggesellschaften erstellen Protokolle über alle nach dieser Verordnung mithilfe der in Artikel 5 Absatz 2 genannten automatisierten Verfahren durchgeführten Verarbeitungsvorgänge im Zusammenhang mit API-Daten. Die Protokolle umfassen Datum, Uhrzeit und Ort der Übermittlung der API-Daten. Diese Protokolle dürfen keine anderen personenbezogenen Daten als die Angaben enthalten, die zur Identifizierung des betreffenden Bediensteten der Fluggesellschaft erforderlich sind.

(2)   Die eu-LISA protokolliert alle Verarbeitungsvorgänge im Zusammenhang mit der Übermittlung und Übertragung von API-Daten über den Router gemäß dieser Verordnung. Diese Protokolle enthalten folgende Angaben:

Diese Protokolle dürfen keine anderen personenbezogenen Daten als die Angaben enthalten, die zur Identifizierung des betreffenden Bediensteten der eu-LISA gemäß Unterabsatz 1 Buchstabe d erforderlich sind.

(3)   Die Protokolle nach den Absätzen 1 und 2 dieses Artikels dürfen ausschließlich verwendet werden, um die Sicherheit und Integrität der API-Daten und die Rechtmäßigkeit der Verarbeitung sicherzustellen, insbesondere im Hinblick auf die Einhaltung der Anforderungen dieser Verordnung, einschließlich der Verfahren für Sanktionen bei Verstößen gegen diese Anforderungen gemäß den Artikeln 36 und 37.

(4)   Die Fluggesellschaften und die eu-LISA treffen geeignete Maßnahmen, um die von ihnen gemäß den Absätzen 1 bzw. 2 erstellten Protokolle vor unbefugtem Zugriff und anderen Sicherheitsrisiken zu schützen.

(5)   Die in Artikel 36 genannte nationale API-Aufsichtsbehörde und die zuständigen Grenzbehörden erhalten Zugriff auf die in Absatz 1 des vorliegenden Artikels vorgesehenen Protokolle, sofern für die in Absatz 3 des vorliegenden Artikels angegebenen Zwecke erforderlich.

(6)   Die Fluggesellschaften und die eu-LISA speichern die gemäß den Absätzen 1 bzw. Absatz 2 erstellten Protokolle ab dem Zeitpunkt ihrer Erstellung ein Jahr lang. Nach Ablauf dieses Zeitraums löschen sie die Protokolle unverzüglich und dauerhaft.

Werden diese Protokolle jedoch für Verfahren zur Überwachung oder Gewährleistung der Sicherheit und Integrität der API-Daten oder der Rechtmäßigkeit der Verarbeitungsvorgänge gemäß Absatz 3 benötigt und sind diese Verfahren zum Zeitpunkt des Ablaufs der in Unterabsatz 1 des vorliegenden Absatzes genannten Zeitspanne bereits eingeleitet worden, so speichern die eu-LISA und die Fluggesellschaften die Protokolle so lange, wie dies für diese Verfahren erforderlich ist. In diesem Fall löschen sie diese Protokolle unverzüglich, wenn sie für die Verfahren nicht mehr erforderlich sind.

(1)   Die Fluggesellschaften sind Verantwortliche im Sinne des Artikels 4 Nummer 7 der Verordnung (EU) 2016/679 für die Verarbeitung von personenbezogenen API-Daten im Rahmen der Erhebung dieser Daten und deren Übermittlung an den Router gemäß der vorliegenden Verordnung.

(2)   Jeder Mitgliedstaat benennt eine zuständige Behörde als Verantwortlichen gemäß diesem Artikel. Die Mitgliedstaaten setzen die Kommission, die eu-LISA und die anderen Mitgliedstaaten über diese nationalen Behörden in Kenntnis.

Alle von den Mitgliedstaaten benannten zuständigen Behörden sind für die Zwecke der Verarbeitung personenbezogener Daten im Router gemeinsam Verantwortliche gemäß Artikel 26 der Verordnung (EU) 2016/679.

(3)   Die eu-LISA ist ein Auftragsverarbeiter im Sinne von Artikels 3 Nummer 12 der Verordnung (EU) 2018/1725 für die Zwecke der Verarbeitung von API-Daten, die personenbezogene Daten im Sinne dieser Verordnung darstellen, über den Router, einschließlich der Übertragung der Daten vom Router an die zuständigen Grenzbehörden und der Speicherung dieser Daten auf dem Router aus technischen Gründen. Die eu-LISA stellt sicher, dass der Router im Einklang mit dieser Verordnung betrieben wird.

(4)   Die Kommission erlässt Durchführungsrechtsakte, in denen die jeweiligen Zuständigkeiten der gemeinsam Verantwortlichen und der jeweiligen Pflichten der gemeinsam Verantwortlichen und des Auftragsverarbeiters festgelegt werden. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 43 Absatz 2 genannten Prüfverfahren erlassen.

(1)   Die eu-LISA stellt die Sicherheit und Verschlüsselung der API-Daten, insbesondere personenbezogener API-Daten, die sie gemäß dieser Verordnung verarbeitet. Die zuständigen Grenzbehörden und die Fluggesellschaften gewährleisten die Sicherheit der API-Daten, insbesondere personenbezogener API-Daten, die sie gemäß dieser Verordnung verarbeiten. Die eu-LISA, die zuständigen Grenzbehörden und die Fluggesellschaften arbeiten gemäß ihren jeweiligen Zuständigkeiten und im Einklang mit dem Unionsrecht zusammen, um diese Sicherheit zu gewährleisten.

(2)   Die eu-LISA ergreift die erforderlichen Maßnahmen, um die Sicherheit des Routers und der über den Router übertragenen API-Daten, insbesondere personenbezogener API-Daten, sicherzustellen, unter anderem durch Erstellung, Umsetzung und regelmäßige Aktualisierung eines Sicherheitsplans, eines Betriebskontinuitätsplans und eines Notfallwiederherstellungsplans, um

Die in Unterabsatz 1 dieses Absatzes genannten Maßnahmen berühren nicht Artikel 32 der Verordnung (EU) 2016/679 oder Artikel 33 der Verordnung (EU) 2018/1725.

(1)   Die in Artikel 51 der Verordnung (EU) 2016/679 genannten unabhängigen Aufsichtsbehörden überprüfen mindestens alle vier Jahre die Verarbeitungsvorgänge von personenbezogenen API-Daten, die die zuständigen Grenzbehörden für die Zwecke dieser Verordnung durchführen. Die Mitgliedstaaten stellen sicher, dass ihre unabhängigen Aufsichtsbehörden über ausreichende Ressourcen und Fachkenntnisse zur Wahrnehmung der Aufgaben verfügen, die ihnen gemäß dieser Verordnung übertragen werden.

(2)   Der Europäische Datenschutzbeauftragte überprüft die Verarbeitungsvorgänge von personenbezogenen API-Daten, die die eu-LISA für die Zwecke dieser Verordnung durchführt, mindestens einmal jährlich nach den einschlägigen internationalen Prüfungsstandards. Der Prüfbericht wird dem Europäischen Parlament, dem Rat, der Kommission, den Mitgliedstaaten und der eu-LISA übermittelt. Die eu-LISA erhält vor der Annahme des Berichts Gelegenheit zur Stellungnahme.

(3)   Auf Verlangen stellt die eu-LISA im Zusammenhang mit den in Absatz 2 dieses Artikels genannten Verarbeitungsvorgängen die vom Europäischen Datenschutzbeauftragten angeforderten Informationen bereit, gewährt dem Europäischen Datenschutzbeauftragten Zugang zu allen von ihm angeforderten Dokumenten und zu den in Artikel 17 Absatz 2 genannten Protokollen und gestattet dem Europäischen Datenschutzbeauftragten jederzeit Zutritt zu allen Räumlichkeiten der eu-LISA.

(1)   Die Mitgliedstaaten stellen die Anbindung ihrer zuständigen Grenzbehörden an den Router sicher. Sie sorgen dafür, dass die Systeme und Infrastruktur der zuständigen Grenzbehörden für den Empfang und die Weiterverarbeitung der gemäß dieser Verordnung übermittelten API-Daten an den Router angepasst werden.

Die Mitgliedstaaten stellen sicher, dass ihre zuständigen Grenzbehörden durch die Anbindung und Anpassung an den Router in der Lage sind, die API-Daten zu empfangen und weiterzuverarbeiten sowie alle diesbezüglichen Mitteilungen auf rechtmäßige, sichere, wirksame und rasche Weise auszutauschen.

(2)   Die Kommission erlässt Durchführungsrechtsakte, in denen sie für die in Absatz 1 dieses Artikels genannten Anbindungen und Anpassungen an den Router die erforderlichen detaillierten Vorschriften, einschließlich zu Anforderungen an die Datensicherheit, festlegt. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 43 Absatz 2 genannten Prüfverfahren erlassen.

(1)   Die Fluggesellschaften stellen ihre Anbindung an den Router sicher. Sie sorgen dafür, dass ihre Systeme und Infrastruktur für den Zweck der Übermittlung der gemäß dieser Verordnung an den Router zu übermittelnden API-Daten an den Router angepasst werden.

Die Fluggesellschaften stellen sicher, dass die Anbindung und Anpassung an den Router es ihnen ermöglichen, die API-Daten zu übermitteln sowie alle diesbezüglichen Mitteilungen auf rechtmäßige, sichere, wirksame und rasche Weise auszutauschen. Zu diesem Zweck testen die Fluggesellschaften in Zusammenarbeit mit der eu-LISA die Übermittlung von API-Daten an den Router gemäß Artikel 27 Absatz 3.

(2)   Die Kommission erlässt Durchführungsrechtsakte, in denen sie für die in Absatz 1 dieses Artikels genannten Anbindungen und Anpassungen an den Router die erforderlichen detaillierten Vorschriften einschließlich zu Anforderungen an die Datensicherheit festlegt. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 43 Absatz 2 genannten Prüfverfahren erlassen.

(1)   Die eu-LISA ist für den Entwurf der physischen Architektur des Routers sowie für die Festlegung der technischen Spezifikationen verantwortlich.

(2)   Die eu-LISA ist für die Entwicklung des Routers und für alle technischen Anpassungen, die für den Betrieb des Routers erforderlich sind, verantwortlich.

Die Entwicklung des Routers umfasst die Ausarbeitung und Umsetzung der technischen Spezifikationen, die Erprobung und die gesamte Projektverwaltung und -koordinierung in der Entwicklungsphase.

(3)   Die eu-LISA sorgt dafür, dass der Router so konzipiert und entwickelt wird, dass er die in dieser Verordnung festgelegten Funktionen bereitstellt und dass er nach Erlass der Durchführungsrechtsakte und delegierten Rechtsakte gemäß Artikel 5 Absatz 7, Artikel 6 Absatz 3, Artikel 9 Absatz 6, Artikel 23 Absatz 2 und Artikel 24 Absatz 2 der vorliegenden Verordnung durch die Kommission und nach der Durchführung der Datenschutz-Folgenabschätzung gemäß Artikel 35 der Verordnung (EU) 2016/679 so bald wie möglich in Betrieb geht.

(4)   Die eu-LISA stellt den zuständigen Grenzbehörden, den anderen zuständigen Behörden der Mitgliedstaaten und den Fluggesellschaften einen Konformitätstestsatz zur Verfügung. Der Konformitätstestsatz umfasst eine Testumgebung, einen Simulator, Testdatensätze und einen Testplan. Der Konformitätstestsatz muss einen umfassenden Test des Routers im Sinne von Absatz 5 ermöglichen und auch nach Abschluss dieses Tests verfügbar bleiben.

(5)   Ist die eu-LISA der Auffassung, dass die Entwicklungsphase abgeschlossen ist, so führt sie in Abstimmung mit den zuständigen Grenzbehörden und anderen zuständigen Behörden der Mitgliedstaaten sowie den Fluggesellschaften unverzüglich einen umfangreichen Test des Routers durch und unterrichtet die Kommission über das Ergebnis dieses Tests.

(1)   Die eu-LISA hostet den Router an den technischen Standorten der Agentur.

(2)   Die eu-LISA ist für die technische Verwaltung des Routers verantwortlich, was seine Wartung und seine technischen Entwicklungen einschließt, und stellt dabei sicher, dass die API-Daten im Einklang mit dieser Verordnung sicher, wirksam und rasch über den Router übertragen werden.

Die technische Verwaltung des Routers umfasst die Wahrnehmung aller Aufgaben und die Umsetzung aller technischen Lösungen, die für das ordnungsgemäße Funktionieren des Routers gemäß dieser Verordnung im ununterbrochenen Betrieb (rund um die Uhr, sieben Tage in der Woche) erforderlich sind. Dazu gehören die Wartungsarbeiten und technischen Anpassungen, die erforderlich sind, um sicherzustellen, dass die Routerfunktionen insbesondere hinsichtlich der Verfügbarkeit, Richtigkeit und Zuverlässigkeit der API-Datenübertragung mit zufriedenstellender technischer Qualität arbeiten und dabei den technischen Spezifikationen und so weit wie möglich auch den betrieblichen Anforderungen der zuständigen Grenzbehörden und Fluggesellschaften Rechnung tragen.

(3)   Die Bediensteten der eu-LISA haben keinen Zugriff auf die über den Router übertragenen API-Daten. Dieses Verbot schließt jedoch nicht aus, dass die Bediensteten der eu-LISA einen entsprechenden Zugang erhalten, soweit dies für die Wartung und die technische Verwaltung des Routers unbedingt erforderlich ist.

(4)   Unbeschadet des Absatzes 3 dieses Artikels und des Artikels 17 des in der Verordnung (EWG, Euratom, EGKS) Nr. 259/68 des Rates (28) festgelegten Statuts der Beamten der Europäischen Union wendet die eu-LISA geeignete Regeln für die berufliche Schweigepflicht bzw. eine vergleichbare Geheimhaltungspflicht auf ihre Bediensteten an, die mit über den Router übertragenen API-Daten arbeiten. Diese Pflicht besteht auch nach dem Ausscheiden dieser Bediensteten aus dem Amt oder Dienstverhältnis oder der Beendigung ihrer Tätigkeit weiter.

(1)   Auf Ersuchen der zuständigen Grenzbehörden, anderer zuständiger Behörden der Mitgliedstaaten oder von Fluggesellschaften bietet die eu-LISA diesen Schulungen zur technischen Nutzung des Routers und zu ihrer Anbindung und Anpassung an den Router an.

(2)   Die eu-LISA unterstützt die zuständigen Grenzbehörden beim Empfang von API-Daten über den Router gemäß dieser Verordnung, insbesondere bei der Anwendung der Artikel 14 und 23.

(3)   Gemäß Artikel 24 Absatz 1 führt die eu-LISA unter Verwendung des in Artikel 25 Absatz 4 genannten Konformitätstestsatzes in Zusammenarbeit mit den Fluggesellschaften Tests der Übermittlung von API-Daten an den Router durch.

(1)   Bis zum 28. Januar 2025 richtet der Verwaltungsrat der eu-LISA einen Programmverwaltungsrat ein. Er setzt sich aus zehn Mitgliedern zusammen und besteht aus:

In Bezug auf Buchstabe a werden die vom Verwaltungsrat der eu-LISA ernannten Mitglieder nur aus dem Kreis seiner Mitglieder oder seiner Stellvertreter aus den Mitgliedstaaten gewählt, für die diese Verordnung gilt.

(2)   Der Programmverwaltungsrat gibt sich eine vom Verwaltungsrat der eu-LISA anzunehmende Geschäftsordnung.

Den Vorsitz führt ein Mitgliedstaat, der Mitglied des Programmverwaltungsrates ist.

(3)   Der Programmverwaltungsrat überwacht die wirksame Erfüllung der Aufgaben der eu-LISA im Zusammenhang mit der Konzeption und Entwicklung des Routers gemäß Artikel 25.

Die eu-LISA stellt auf Ersuchen des Programmverwaltungsrates detaillierte und aktualisierte Informationen über die Konzeption und Entwicklung des Routers, einschließlich der von der eu-LISA zugewiesenen Ressourcen, zur Verfügung.

(4)   Der Programmverwaltungsrat legt dem Verwaltungsrat der eu-LISA regelmäßig, mindestens jedoch dreimal pro Quartal, schriftliche Berichte über die Fortschritte bei der Konzeption und Entwicklung des Routers vor.

(5)   Der Programmverwaltungsrat hat keine Entscheidungsbefugnis und kein Mandat zur Vertretung des Verwaltungsrats der eu-LISA oder seiner Mitglieder.

(6)   Der Programmverwaltungsrat gilt ab dem in Artikel 46 Absatz 2 dieser Verordnung festgelegten Geltungsbeginn als aufgelöst.

(1)   Ab dem 28. Januar 2025 stellt die gemäß Artikel 27 Absatz 1 Buchstabe de der Verordnung (EU) 2018/1726 eingesetzte API-PNR-Beratungsgruppe dem Verwaltungsrat von eu-LISA das erforderliche Fachwissen in Bezug auf API-PNR zur Verfügung, insbesondere im Zusammenhang mit der Ausarbeitung ihres Jahresarbeitsprogramms und ihres jährlichen Tätigkeitsberichts.

(2)   Die eu-LISA stellt der API-PNR-Beratungsgruppe soweit verfügbar Fassungen — auch vorläufige Fassungen — der technischen Spezifikationen und der in Artikel 25 Absätze 1, 2 und 4 genannten Konformitätstests zur Verfügung.

(3)   Die API-PNR-Beratungsgruppe nimmt folgende Aufgaben wahr:

(4)   Die API-PNR-Beratungsgruppe hat keine Entscheidungsbefugnis und kein Mandat zur Vertretung des Verwaltungsrats der eu-LISA oder seiner Mitglieder.

(1)   Der Verwaltungsrat der eu-LISA richtet bis zu dem in Artikel 46 Absatz 2 genannten Geltungsbeginn dieser Verordnung eine API-PNR-Kontaktgruppe ein.

(2)   Die API-PNR-Kontaktgruppe ermöglicht die Kommunikation zwischen den zuständigen Behörden der Mitgliedstaaten und den Fluggesellschaften über technische Fragen im Zusammenhang mit ihren jeweiligen Aufgaben und Pflichten gemäß dieser Verordnung.

(3)   Die API-PNR-Kontaktgruppe setzt sich aus Vertretern der zuständigen Behörden der Mitgliedstaaten und Vertretern der Fluggesellschaften, dem Vorsitz der API-PNR-Beratungsgruppe und Sachverständigen der eu-LISA zusammen.

(4)   Der Verwaltungsrat der eu-LISA legt nach Stellungnahme der API-PNR-Beratungsgruppe die Geschäftsordnung der API-PNR-Kontaktgruppe fest.

(5)   Der Verwaltungsrat der eu-LISA kann erforderlichenfalls auch Untergruppen der API-PNR-Kontaktgruppe einsetzen, um spezifische technische Fragen im Zusammenhang mit den jeweiligen im Rahmen dieser Verordnung bestehenden Aufgaben und Pflichten der zuständigen Behörden der Mitgliedstaaten und der Fluggesellschaften zu erörtern.

(6)   Die API-PNR-Kontaktgruppe, einschließlich ihrer Untergruppen, hat keine Entscheidungsbefugnis und kein Mandat zur Vertretung des Verwaltungsrats der eu-LISA oder seiner Mitglieder.

(1)   Die Kommission setzt bis zu dem in Artikel 46 Absatz 2 genannten Tag des Geltungsbeginns dieser Verordnung im Einklang mit den horizontalen Bestimmungen über die Einsetzung und Arbeitsweise von Sachverständigengruppen der Kommission eine API-Sachverständigengruppe ein.

(2)   Die API-Sachverständigengruppe dient der Kommunikation zwischen den zuständigen Behörden der Mitgliedstaaten sowie zwischen den zuständigen Behörden der Mitgliedstaaten und den Fluggesellschaften über strategische Fragen im Zusammenhang mit ihren jeweiligen Aufgaben und Pflichten aus dieser Verordnung, auch in Bezug auf die in Artikel 37 genannten Sanktionen.

(3)   Den Vorsitz in der API-Sachverständigengruppe hat die Kommission inne, und die Sachverständigengruppe wird entsprechend den horizontalen Bestimmungen über die Einsetzung und die Arbeitsweise von Expertengruppen der Kommission eingerichtet. Sie setzt sich aus Vertretern der zuständigen Behörden der Mitgliedstaaten, Vertretern der Fluggesellschaften und Sachverständigen der eu-LISA zusammen. Die API-Sachverständigengruppe kann betroffene Interessenträger, insbesondere Vertreter des Europäischen Parlaments, des Europäischen Datenschutzbeauftragten und der unabhängigen nationalen Aufsichtsbehörden, einladen, sich an ihrer Arbeit zu beteiligen, sofern dies für die Erfüllung ihrer Aufgaben relevant ist.

(4)   Die API-Sachverständigengruppe nimmt ihre Aufgaben gemäß dem Grundsatz der Transparenz wahr. Die Kommission veröffentlicht auf ihrer Internetseite die Protokolle der Sitzungen der API-Sachverständigengruppe sowie andere einschlägige Dokumente.

(1)   Die Kosten, die der eu-LISA im Zusammenhang mit der Einrichtung und dem Betrieb des Routers gemäß dieser Verordnung entstehen, werden aus dem Gesamthaushaltsplan der Union finanziert.

(2)   Die Kosten, die den Mitgliedstaaten im Zusammenhang mit der Durchführung dieser Verordnung, insbesondere ihrer Anbindung und Anpassung an den Router gemäß Artikel 23, entstehen, werden aus dem Gesamthaushaltsplan der Union im Einklang mit den in den geltenden Rechtsakten der Union festgelegten Bestimmungen über die Förderfähigkeit und Kofinanzierungssätzen unterstützt.

(3)   Die Kosten, die dem Europäischen Datenschutzbeauftragten im Zusammenhang mit den ihm gemäß dieser Verordnung übertragenen Aufgaben entstehen, werden aus dem Gesamthaushalt der Union finanziert.

(4)   Die Kosten, die den unabhängigen nationalen Aufsichtsbehörden im Zusammenhang mit den ihnen gemäß dieser Verordnung übertragenen Aufgaben entstehen, werden von den Mitgliedstaaten getragen.

(1)   Die Fluggesellschaften sind berechtigt, den Router zu nutzen, um die in Artikel 3 Absätze 1 und 2 der Richtlinie 2004/82/EG genannten Informationen gemäß der genannten Richtlinie an eine oder mehrere der dort genannten zuständigen Behörden zu übertragen, sofern der betreffende Mitgliedstaat dieser Nutzung zugestimmt und einen geeigneten Zeitpunkt für den Nutzungsbeginn festgelegt hat. Bevor der Mitgliedstaat dieser Nutzung zustimmt, vergewissert er sich, dass die Informationen insbesondere in Anbetracht der Anbindung der eigenen zuständigen Behörden an den Router und derjenigen der betreffenden Fluggesellschaft rechtmäßig, sicher, wirksam und rasch übertragen werden können.

(2)   Beginnt eine Fluggesellschaft mit der Nutzung des Routers gemäß Absatz 1 dieses Artikels, so überträgt sie diese Informationen bis zu dem in Artikel 46 Absatz 2 genannten Geltungsbeginn dieser Verordnung weiterhin über den Router an die zuständigen Behörden des betreffenden Mitgliedstaats. Wenn jedoch nach Auffassung dieses Mitgliedstaats objektive Gründe eine Einstellung dieser Nutzung rechtfertigen und er die Fluggesellschaft entsprechend unterrichtet, stellt die Fluggesellschaft die Nutzung ab dem von dem Mitgliedstaat festgelegten geeigneten Zeitpunkt wieder ein.

(3)   Der betroffene Mitgliedstaat

(1)   Die Mitgliedstaaten benennen eine oder mehrere nationale API-Aufsichtsbehörden, die dafür zuständig sind, die Anwendung der Bestimmungen dieser Verordnung durch die Fluggesellschaften in ihrem Hoheitsgebiet zu überwachen und die Einhaltung dieser Bestimmungen sicherzustellen.

(2)   Die Mitgliedstaaten stellen sicher, dass die nationalen API-Aufsichtsbehörden über alle erforderlichen Mittel und alle erforderlichen Ermittlungs- und Durchsetzungsbefugnisse verfügen, um ihre Aufgaben gemäß dieser Verordnung wahrzunehmen und gegebenenfalls auch die in Artikel 37 genannten Sanktionen zu verhängen. Die Mitgliedstaaten stellen sicher, dass die Ausübung der der nationalen API-Aufsichtsbehörde übertragenen Befugnisse gemäß den im Unionsrecht gewährleisteten Grundrechten geeigneten Schutzvorkehrungen unterliegt.

(3)   Die Mitgliedstaaten melden der Kommission bis zu dem in Artikel 46 Absatz 2 genannten Geltungsbeginn dieser Verordnung die Namen und Kontaktdaten der von ihnen gemäß Absatz 1 des vorliegenden Artikels benannten Behörden. Sie melden der Kommission unverzüglich alle diesbezüglichen Änderungen.

(4)   Die Befugnisse der Aufsichtsbehörden nach Artikel 51 der Verordnung (EU) 2016/679 bleiben von diesem Artikel unberührt.

(1)   Die Mitgliedstaaten erlassen Vorschriften über Sanktionen, die bei Verstößen gegen diese Verordnung zu verhängen sind, und treffen alle für die Anwendung der Sanktionen erforderlichen Maßnahmen. Die vorgesehenen Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.

(2)   Die Mitgliedstaaten teilen der Kommission diese Vorschriften und Maßnahmen bis zu dem in Artikel 46 Absatz 2 festgelegten Geltungsbeginn dieser Verordnung mit und melden ihr unverzüglich alle diesbezüglichen Änderungen.

(3)   Die Mitgliedstaaten stellen sicher, dass die nationalen API-Aufsichtsbehörden bei der Entscheidung darüber, ob sie Sanktionen verhängen, und bei der Festlegung von Art und Höhe der Sanktionen die relevanten Umstände berücksichtigen, darunter eventuell

(4)   Die Mitgliedstaaten stellen sicher, dass bei dem wiederholten Versäumnis, API-Daten gemäß Artikel 6 Absatz 1 zu übermitteln, verhältnismäßige finanzielle Sanktionen in Höhe von bis zu 2 % des von der Fluggesellschaft im vorangegangenen Geschäftsjahr erwirtschafteten weltweiten Jahresumsatzes verhängt werden können. Die Mitgliedstaaten stellen sicher, dass die Nichteinhaltung anderer in dieser Verordnung festgelegter Verpflichtungen mit verhältnismäßigen Sanktionen, auch finanzieller Art, geahndet wird.

(1)   Um die Durchführung und Überwachung der Anwendung dieser Verordnung zu unterstützen, veröffentlicht die eu-LISA auf der Grundlage der in Absatz 5 genannten statistischen Informationen vierteljährlich Statistiken über die Funktionsweise des Routers und über die Einhaltung der in dieser Verordnung festgelegten Verpflichtungen durch die Fluggesellschaften. Diese Statistiken dürfen keine Identifizierung von Einzelpersonen ermöglichen.

(2)   Für die in Absatz 1 genannten Zwecke überträgt der Router die in Absatz 5 aufgeführten Daten automatisch an den CRRS.

(3)   Um die Durchführung und Überwachung der Anwendung dieser Verordnung zu unterstützen, stellt eu-LISA jährlich statistische Daten in einem Jahresbericht über das vergangene Jahr zusammen. Sie veröffentlicht diesen Jahresbericht und übermittelt ihn dem Europäischen Parlament, dem Rat, der Kommission, dem Europäischen Datenschutzbeauftragten, der Europäischen Agentur für die Grenz- und Küstenwache und den nationalen API-Aufsichtsbehörden nach Artikel 36. In dem Jahresbericht dürfen weder vertrauliche Arbeitsmethoden offengelegt werden, noch darf er laufende Ermittlungen der zuständigen Behörden der Mitgliedstaaten gefährden.

(4)   Die eu-LISA stellt der Kommission auf deren Ersuchen hin Statistiken zu spezifischen Aspekten im Zusammenhang mit der Durchführung dieser Verordnung sowie die in Absatz 3 genannten Statistiken zur Verfügung.

(5)   Der CRRS stellt der eu-LISA die für die Berichterstattung gemäß Artikel 45 und für die Erstellung der folgenden Statistiken gemäß diesem Artikel erforderlichen statistischen Angaben zur Verfügung, wobei diese Statistiken zu API-Daten keine Identifizierung der betreffenden Fluggäste ermöglichen dürfen:

(6)   Für die Zwecke der Berichterstattung nach Artikel 45 und zur Erstellung der Statistiken gemäß diesem Artikel speichert die eu-LISA die Daten nach Absatz 5 dieses Artikels in dem CRRS. Sie speichert solche Daten gemäß Absatz 2 für einen Zeitraum von fünf Jahren, wobei sichergestellt wird, dass die Daten keine Identifizierung der betreffenden Fluggäste ermöglichen dürfen. Zur Durchführung und Überwachung der Anwendung dieser Verordnung stellt der CRRS ordnungsgemäß ermächtigten Bediensteten der zuständigen Grenzbehörden und anderer zuständiger Behörden der Mitgliedstaaten anpassbare Berichte und Statistiken zu API-Daten gemäß Absatz 5 dieses Artikels bereit.

(7)   Die Verwendung der in Absatz 5 genannten Daten darf nicht zu dem Profiling von Personen gemäß Artikel 22 der Verordnung (EU) 2016/679 oder einer Diskriminierung von Personen aus den in Artikel 21 der Charta aufgeführten Gründen führen. Die in Absatz 5 genannten Daten dürfen weder für den Vergleich und den Abgleich noch für eine Kombination mit personenbezogenen Daten verwendet werden.

(8)   Die von der eu-LISA zur Überwachung der Entwicklung und der Funktionsweise des Routers eingeführten Verfahren gemäß Artikel 39 Absatz 2 der Verordnung (EU) 2019/817 umfassen die Möglichkeit, regelmäßige Statistiken zur Sicherstellung dieser Überwachung zu erstellen.

(1)   Die Kommission wird von einem Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.

(2)   Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011. Gibt der Ausschuss keine Stellungnahme ab, erlässt die Kommission den Entwurf des Durchführungsrechtsaktes nicht, und Artikel 5 Absatz 4 Unterabsatz 3 der Verordnung (EU) Nr. 182/2011 findet Anwendung.

(1)   Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.

(2)   Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 5 Absätze 6 und 7, Artikel 6 Absatz 3 und Artikel 9 Absatz 6 wird der Kommission für einen Zeitraum von fünf Jahren ab dem 28. Januar 2025 übertragen. Die Kommission erstellt spätestens neun Monate vor Ablauf des Zeitraums von fünf Jahren einen Bericht über die Befugnisübertragung. Die Befugnisübertragung verlängert sich stillschweigend um Zeiträume gleicher Länge, es sei denn, das Europäische Parlament oder der Rat widerspricht einer solchen Verlängerung spätestens drei Monate vor Ablauf des jeweiligen Zeitraums.

Was einen delegierten Rechtsakt betrifft, der gemäß Artikel 5 Absatz 6 erlassen wurde, lehnt weder das Europäische Parlament noch der Rat die stillschweigende Verlängerung nach Unterabsatz 1 des vorliegenden Absatzes ab, wenn das Europäische Parlament oder der Rat gemäß Absatz 6 des vorliegenden Artikels Einwände erhoben hat.

(3)   Die Befugnisübertragung gemäß Artikel 5 Absatz 7, Artikel 6 Absatz 3 und Artikel 9 Absatz 6 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder an einem im Beschluss über den Widerruf angegebenen späteren Tag wirksam. Die Gültigkeit von delegierten Rechtsakten, die bereits in Kraft sind, wird von dem Beschluss über den Widerruf nicht berührt.

(4)   Vor dem Erlass eines delegierten Rechtsakts konsultiert die Kommission die von den einzelnen Mitgliedstaaten benannten Sachverständigen im Einklang mit den in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung enthaltenen Grundsätzen.

(5)   Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.

(6)   Ein delegierter Rechtsakt, der gemäß Artikel 5 Absätze 6 oder 7, Artikel 6 Absatz 3 oder Artikel 9 Absatz 6 erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von zwei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben haben oder wenn vor Ablauf dieser Frist das Europäische Parlament und der Rat beide der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Initiative des Europäischen Parlaments oder des Rates wird diese Frist um zwei Monate verlängert.

(1)   Die eu-LISA stellt sicher, dass zur Überwachung der Entwicklung und der Funktionsweise des Routers geeignete Verfahren vorhanden sind, wobei für die Entwicklung Ziele in Bezug auf Planung und Kosten und für die Funktionsweise Ziele in Bezug auf die technische Leistung, Kostenwirksamkeit, Sicherheit und Dienstleistungsqualität festzulegen sind.

(2)   Bis zum 29. Januar 2026 und danach jedes Jahr während der Entwicklungsphase des Routers erstellt eu-LISA einen Bericht über den Stand der Entwicklung des Routers und legt diesen Bericht dem Europäischen Parlament und dem Rat vor. Der Bericht enthält genaue Angaben über die angefallenen Kosten und über etwaige Risiken, welche sich auf die Gesamtkosten auswirken könnten, die gemäß Artikel 32 zulasten des Gesamthaushaltsplans der Union gehen.

(3)   Sobald der Router in Betrieb geht, erstellt eu-LISA einen Bericht, in dem detailliert dargelegt wird, wie die Ziele, insbesondere in Bezug auf die Planung und die Kosten, erreicht wurden, und in dem Gründe für etwaige Abweichungen angegeben werden, und übermittelt diesen dem Europäischen Parlament und dem Rat.

(4)   Die Kommission erstellt bis zum 29. Januar 2029 und danach alle vier Jahre einen Bericht mit einer Gesamtevaluierung dieser Verordnung, in deren Rahmen die Notwendigkeit und der Zusatznutzen der Erhebung von API-Daten aufgezeigt wird, einschließlich einer Bewertung

Für die Zwecke von Buchstabe e des ersten Unterabsatzes befasst sich der Bericht der Kommission auch mit der Wechselwirkung dieser Verordnung mit anderen einschlägigen Gesetzgebungsakten der Union, insbesondere der Verordnungen (EG) Nr. 767/2008, (EU) 2017/2226 und (EU) 2018/1240, um die Gesamtauswirkungen der damit verbundenen Meldepflichten auf die Fluggesellschaften zu bewerten, Bestimmungen zu ermitteln, die zur Verringerung der Belastung der Fluggesellschaften gegebenenfalls aktualisiert und vereinfacht werden können, und Aktionen und Maßnahmen zu prüfen, die zur Senkung des Gesamtkostendrucks auf die Fluggesellschaften ergriffen werden könnten;

(5)   Die Kommission übermittelt den Evaluierungsbericht dem Europäischen Parlament, dem Rat, dem Europäischen Datenschutzbeauftragten und der Agentur der Europäischen Union für Grundrechte. Auf der Grundlage der Evaluierung legt die Kommission dem Europäischen Parlament und dem Rat gegebenenfalls einen Gesetzgebungsvorschlag zur Änderung dieser Verordnung vor.

(6)   Die Mitgliedstaaten und die Fluggesellschaften stellen der eu-LISA und der Kommission auf deren Ersuchen die Informationen zur Verfügung, die für die Erstellung der in den Absätzen 2, 3 und 4 genannten Berichte erforderlich sind, wie Daten zu den Ergebnissen der anhand von API-Daten an den Außengrenzen über die Informationssysteme der Union und die nationalen Datenbanken durchgeführten Vorabkontrollen. Insbesondere stellen die Mitgliedstaaten quantitative und qualitative Informationen über die Erhebung von API-Daten aus operativer Sicht zur Verfügung. Bei den bereitgestellten Informationen handelt es sich nicht um personenbezogene Daten. Die Mitgliedstaaten können davon absehen, solche Informationen bereitzustellen, soweit dies erforderlich ist, um vertrauliche Arbeitsmethoden nicht offenzulegen oder um laufende Ermittlungen ihrer zuständigen Grenzbehörden nicht zu gefährden. Die Kommission stellt sicher, dass alle übermittelten vertraulichen Informationen angemessen geschützt werden.