9.2.2012   

DE

Amtsblatt der Europäischen Union

C 35/16

1.

Am 28. November 2011 nahm die Kommission einen Vorschlag für einen Beschluss des Rates über den Abschluss des Abkommens zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verwendung von Fluggastdatensätzen (PNR) und deren Übermittlung an das United States Department of Homeland Security (3) (nachstehend: „das Abkommen“) an.

2.

Am 9. November 2011 wurde der EDSB im Rahmen eines beschleunigten Verfahrens informell zu dem Entwurf des Vorschlags konsultiert. Am 11. November 2011 gab er eine Reihe eingeschränkter Kommentare ab Die Absicht dieser Stellungnahme ist es, diese Kommentare vor dem Hintergrund des vorliegenden Vorschlags zu ergänzen und die Ansichten des EDSB öffentlich zugänglich zu machen. Diese Stellungnahme baut auf einer Reihe von früheren Interventionen des EDSB und der Artikel-29-Arbeitsgruppe in Bezug auf PNR auf.

3.

Das Abkommen zielt auf die Schaffung einer soliden rechtlichen Grundlage für die Übermittlung von PNR-Daten von der Europäischen Union an die Vereinigten Staaten ab. Die Übermittlung basiert derzeit auf dem Abkommen von 2007 (4), weil das Parlament entschied, seine Abstimmung über die Zustimmung zu verschieben, bis den datenschutzrechtlichen Belangen Rechnung getragen wurde. Das Parlament bezog sich in seiner Entschließung vom 5. Mai 2010 (5) insbesondere auf die folgenden Anforderungen:

4.

Das vorliegende Abkommen muss im Kontext des globalen Ansatzes in Bezug auf PNR gesehen werden, das Verhandlungen mit anderen Drittländern (nämlich Australien (8) und Kanada (9)), und einen Vorschlag für eine PNR-Regelung auf EU-Ebene (10) umfasst. Es fällt auch in den Geltungsbereich der laufenden Verhandlungen für ein Abkommen zwischen der Europäischen Union und den Vereinigten Staaten über den Austausch von personenbezogenen Daten im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen (11). In einem breiteren Kontext ist das Abkommen einige Wochen vor der erwarteten Verabschiedung der Vorschläge für die Überarbeitung des allgemeinen Datenschutzrahmens vorbereitet worden (12).

5.

Der EDSB begrüßt diesen globalen Ansatz, dessen Absicht es ist, einen einheitlichen rechtlichen Rahmen für PNR-Abkommen gemäß den gesetzlichen Anforderungen der EU zu schaffen. Jedoch bedauert der EDSB, dass dieses Timing es in der Praxis nicht ermöglicht, die Einheitlichkeit dieser Abkommen mit den neuen EU-Vorschriften zum Datenschutz zu gewährleisten. Er möchte auch daran erinnern, dass das allgemeine Abkommen zwischen der Europäischen Union und den Vereinigten Staaten über Datenaustausch für das PNR-Abkommen der Europäischen Union und der Vereinigten Staaten anwendbar sein sollte.

6.

Gemäß der Charta der Grundrechte der Europäischen Union muss jegliche Einschränkung von Grundrechten und Freiheiten notwendig, verhältnismäßig und gesetzlich festgelegt sein. Wie vom EDSB (13) und der Artikel-29-Arbeitsgruppe (14) mehrfach festgestellt, sind die Notwendigkeit und Verhältnismäßigkeit der PNR-Regelungen und der Massenübermittlung von PNR-Daten an Drittstaaten bisher noch nicht bewiesen worden. Der Europäische Wirtschafts- und Sozialausschuss und die Agentur für Grundrechte teilen diese Ansicht ebenfalls (15). Die konkreten Kommentare unten gelten unbeschadet dieser einleitenden wesentlichen Überlegungen.

7.

Obwohl dieses Abkommen einige Verbesserungen im Vergleich zum Abkommen von 2007 umfasst und geeignete Schutzmaßnahmen zu Datensicherheit und Aufsicht beinhaltet, scheinen weder die Hauptanliegen in den oben genannten Stellungnahmen noch die vom Europäischen Parlament verlangten Bedingungen für dessen Zustimmung erfüllt worden zu sein (16).

8.

Artikel 4 Absatz 1 des Abkommens legt fest, dass die Vereinigten Staaten PNR-Daten zum Zwecke der Verhütung, Aufdeckung, Untersuchung und strafrechtlichen Verfolgung (a) terroristischer und damit verbundener Straftaten und (b) sonstiger Straftaten, die mit einer Freiheitsstrafe von drei oder mehr Jahren geahndet werden können und grenzübergreifender Art sind, verarbeitet. Einige dieser Konzepte werden genauer definiert.

9.

Obwohl diese Definitionen präziser sind als im Abkommen von 2007, gibt es weiterhin einige vage Konzepte und Ausnahmen, die die Zweckbindung außer Kraft setzen und die Rechtssicherheit unterminieren könnten. Insbesondere:

10.

Anhang I des Abkommens enthält 19 Arten von Daten, die den Vereinigten Staaten übermittelt werden. Die meisten dieser Arten umfassen verschiedene Kategorien von Daten und sind identisch mit den Datenfeldern im Abkommen von 2007, die vom EDSB und der Artikel-29-Arbeitsgruppe bereits als unverhältnismäßig erachtet worden sind (18).

11.

Dies bezieht sich insbesondere auf das Feld „Allgemeine Eintragungen einschließlich OSI- (19), SSI- (20) und SSR- (21) Informationen“, die Daten im Zusammenhang mit religiösem Glauben (z. B. kulinarische Präferenzen) oder Gesundheit (z. B. Antrag auf einen Rollstuhl) preisgeben können. Solche sensiblen Daten sollten explizit aus der Liste ausgeschlossen werden.

12.

Während der Einschätzung der Verhältnismäßigkeit der Liste sollte auch berücksichtigt werden, dass aufgrund von vorzeitiger Übermittlung (Artikel 15 Absatz 3 des Abkommens) diese Kategorien nicht nur auf die tatsächlichen Passagiere Bezug nehmen werden, sondern auch auf solche Personen, die letztlich nicht geflogen sind (z. B. aufgrund von Stornierung).

13.

Darüber hinaus könnte das Vorhandensein freier Datenfelder die Rechtssicherheit unterminieren. Kategorien wie beispielsweise „sämtliche verfügbaren Kontaktinformationen“, „sämtliche Informationen zum Gepäck“ und „Allgemeine Eintragungen“ sollten genauer definiert werden.

14.

Deshalb sollte die Liste eingeschränkt werden. Im Einklang mit der Stellungnahme der Artikel-29-Arbeitsgruppe (22) meinen wir, dass Daten auf die folgenden Informationen beschränkt werden sollten: PNR-Buchungscode (Record Locator Code), Datum bzw. Daten des geplanten Flugs, Name des Passagiers, andere Namen in dem PNR-Datensatz, sämtliche Reiserouten, Kennzeichnungen für Gratisflugscheine, Hinweis auf einen etwaigen einfachen Flug (One Way Tickets), Flugscheininformationen (Ticketing Information), ATFQ-Daten (Automatische Tarifanzeige), Flugscheinnummer, Datum der Ausstellung des Flugscheins, No-Show-History (nicht angetretene Flüge), Zahl der Gepäckstücke, Gepäckmarkennummern, Go-Show-Informationen (Flugreisender mit Flugschein, jedoch ohne Reservierung), Zahl der Gepäckstücke in jedem Abschnitt, freiwillige/unfreiwillige Upgrades, Historie aller Änderungen in Bezug auf die vorher genannten Punkte.

15.

Artikel 6 des Abkommens legt fest, dass das DHS sensible Daten automatisch herausfiltern und „unkenntlich machen“ soll. Allerdings werden sensible Daten mindestens 30 Tage gespeichert und könnten in konkreten Fällen verwendet werden (Artikel 6 Absatz 4). Der EDSB möchte betonen, dass auch nach dem „Unkenntlich machen” diese Daten weiterhin „sensibel“ sind und im Zusammenhang mit identifizierbaren natürlichen Personen stehen.

16.

Wie bereits vom EDSB erklärt, sollte das DHS keine sensiblen Daten in Bezug auf EU-Bürger verarbeiten, auch wenn diese bei Empfang „unkenntlich gemacht“ werden. Der EDSB empfiehlt, im Text des Abkommens anzugeben, dass Luftfahrtunternehmen dem DHS keine sensiblen Daten übermitteln sollten.

17.

Artikel 8 legt fest, dass PNR-Daten bis zu 5 Jahre in einer aktiven Datenbank gespeichert und dann auf eine ruhende Datenbank übertragen und dort bis zu 10 Jahre gespeichert werden. Dieser maximale Speicherzeitraum von 15 Jahren ist offenkundig unverhältnismäßig, unabhängig davon, ob die Daten in einer „aktiven“ oder einer „ruhenden“ Datenbank gehalten werden, wie bereits vom EDSB und der Artikel-29-Arbeitsgruppe betont.

18.

Artikel 8 Absatz 1 legt fest, dass die Daten nach den ersten sechs Monaten nach ihrem Eingang im DHS „anonymisiert und unkenntlich gemacht“ werden. Allerdings sind sowohl „unkenntlich gemachte“ Daten als auch in einer „ruhenden Datenbank“ gespeicherte Daten personenbezogene Daten, solange sie nicht anonymisiert wurden. Die Daten sollten daher (unwiderruflich) anonymisiert oder unverzüglich nach der Analyse oder nach einem maximalen Zeitraum von 6 Monaten gelöscht werden.

19.

Der EDSB begrüßt Artikel 15 Absatz 1, der festlegt, dass Daten unter Verwendung des „Push“-Verfahrens übermittelt werden. Allerdings verlangt Artikel 15 Absatz 5 von den Luftfahrtunternehmen, in Ausnahmefällen PNR-Daten „zur Verfügung zu stellen“. Um das „Pull“-System definitiv auszuschließen und in Anbetracht der kürzlich erneut von der Artikel-29-Arbeitsgruppe betonten Bedenken (23), empfehlen wir Ihnen dringend, dass das Abkommen die Möglichkeit des separaten Zugriffs auf die Daten über ein „Pull“-System für Beamte der Vereinigten Staaten ausdrücklich untersagt.

20.

Die Zahl und die Häufigkeit der Übermittlungen von Luftfahrtunternehmen an das DHS sollten im Abkommen festgelegt werden. Um die Rechtssicherheit zu erhöhen, sollten die Bedingungen, unter denen zusätzliche Übermittlungen erlaubt wären, detaillierter sein.

21.

Der EDSB begrüßt Artikel 5 des Abkommens über Datensicherheit und Integrität und insbesondere die Verpflichtung, die von einem Datenschutzvorfall betroffenen Personen zu benachrichtigen. Jedoch sollten die folgenden Elemente des Datenschutzverstoßes verdeutlicht werden:

22.

Der EDSB unterstützt die Verpflichtung, sämtliche Zugriffe auf und Verarbeitungen von PNR zu protokollieren oder zu dokumentieren, da dadurch eine Überprüfung ermöglicht wird, ob das DHS angemessenen Gebrauch der PNR-Daten gemacht hat und ob es unerlaubte Zugriffe auf das System gab.

23.

Der EDSB begrüßt die Tatsache, dass die Einhaltung der Datenschutzgarantien von unabhängigen Datenschutzbeauftragten der jeweiligen Einrichtung, wie dem Obersten Datenschutzbeauftragten des DHS (DHS Chief Privacy Officer), überprüft und beaufsichtigt wird, wie in Artikel 14 Absatz 1 festgelegt. Allerdings sollten der EDBS und die nationalen Datenschutzbehörden bezüglich Verfahren und Modalitäten zur Ausübung der Rechte der betroffenen Person mit dem DHS zusammenarbeiten, um eine wirksame Ausübung dieser Rechte zu gewährleisten (24). Der EDSB würde eine Bezugnahme auf die Zusammenarbeit im Abkommen begrüßen.

24.

Der EDSB unterstützt nachdrücklich den Rückgriffsanspruch „unabhängig von ihrer Staatsangehörigkeit, ihrem Herkunfts- oder Wohnsitzland“, der in Artikel 14 Absatz 1, zweiter Unterabsatz festgelegt ist. Allerdings bedauert er, dass Artikel 21 ausdrücklich festlegt, dass durch dieses Abkommen „nach US-amerikanischem Recht keinerlei Rechte oder Vergünstigungen für Personen (…) begründet oder auf diese übertragen (werden)“. Auch wenn ein Recht auf „gerichtliche Kontrolle“ in den Vereinigten Staaten gemäß diesem Abkommen eingeräumt wird, kann solch ein Recht nicht gleichwertig mit einem Recht auf einen wirksamen gerichtlichen Rechtsbehelf in der Europäischen Union sein, insbesondere angesichts der in Artikel 21 genannten Einschränkung.

25.

Artikel 16 des Abkommens untersagt die Übermittlung der Daten an Inlandsbehörden, die nicht über mit PNR „gleichwertigen oder vergleichbaren“ Schutzmaßnahmen wie die in diesem Abkommen dargelegten verfügen. Der EDSB begrüßt diese Bestimmung. Die Liste der Behörden, die PNR-Daten empfangen könnten, sollte dennoch genauer bestimmt werden. In puncto internationale Übermittlungen bestimmt das Abkommen, dass sie nur erfolgen dürfen, wenn die vom Empfänger beabsichtigte Verwendung mit diesem Abkommen vereinbar ist und über Datenschutzgarantien verfügt, die „vergleichbar“ mit den im Abkommen bestimmten sind, abgesehen von Notfällen.

26.

Im Hinblick auf die in dem Abkommen verwendeten Formulierungen „vergleichbar” oder „gleichwertig” möchte der EDSB betonen, dass keine inländischen oder internationalen späteren Übermittlungen vom DHS stattfinden sollten, solange der Empfänger nicht über Schutzmaßnahmen verfügt, die nicht weniger streng sind als die in diesem Abkommen geltenden. Im Abkommen sollte auch verdeutlicht werden, dass die Übermittlung von PNR-Daten basierend auf Einzelfällen erfolgen soll, womit gewährleistet wird, dass nur die notwendigen Daten an die zuständigen Empfänger übermittelt werden und keine Ausnahmen erlaubt sein sollten. Darüber hinaus empfiehlt der EDSB, dass Datenübermittlungen an Drittstaaten Gegenstand vorheriger richterlicher Genehmigungen sein sollten.

27.

Artikel 17 Absatz 4 legt fest, dass, wenn Daten eines Bürgers eines EU-Mitgliedstaats an Drittländer weitergegeben werden, die zuständigen Behörden des betreffenden Mitgliedstaats unterrichtet werden sollten, wenn dem DHS die Situation bekannt ist. Diese Bedingung sollte gelöscht werden, da das DHS immer Kenntnis von späteren Übermittlungen an Drittstaaten haben sollte.

28.

Es ist nicht klar, welche Rechtsform die Vereinigten Staaten gewählt haben, um dieses Abkommen einzugehen und wie dieses Abkommen für die Vereinigten Staaten rechtlich bindend werden wird. Dies sollte verdeutlich werden.

29.

Artikel 20 Absatz 2 spricht Kohärenz mit der möglichen PNR-Regelung der EU an. Der EDSB merkt an, dass Konsultationen bezüglich der Anpassung des Abkommens insbesondere untersuchen sollen, „ob bei einem künftigen PNR-System der EU weniger strenge Datenschutzstandards angewendet werden als nach diesem Abkommen“. Um Einheitlichkeit zu gewährleisten, sollte jegliche Angleichung auch (und insbesondere) strengere Schutzmaßnahmen in sämtlichen zukünftigen PNR-Regelungen berücksichtigen.

30.

Das Abkommen sollte auch im Hinblick auf den neuen Datenschutzrahmen und den möglichen Abschluss eines Abkommens zwischen der Europäischen Union und den Vereinigten Staaten über den Austausch von personenbezogenen Daten im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen überarbeitet werden. Eine neue Bestimmung ähnlich der in Artikel 20 Absatz 2 könnte hinzugefügt werden, mit der festgelegt wird, dass „falls und sobald die EU einen neuen Datenschutzrechtsrahmen einführt oder ein neues Abkommen über den Austausch von Daten zwischen der Europäischen Union und den Vereinigten Staaten geschlossen wird, sich die Parteien darüber beraten sollen, ob dieses Abkommen entsprechend geändert werden muss. Insbesondere ist dabei zu prüfen, ob nach künftigen Änderungen am Datenschutzrechtsrahmen der EU oder nach künftigen Datenschutzabkommen zwischen der Europäischen Union und den Vereinigten Staaten strengere Datenschutzgarantien anwendbar sind als nach diesem Abkommen“.

31.

In Bezug auf die Überprüfung des Abkommens (Artikel 23) ist der EDSB der Auffassung, dass nationale Datenschutzbehörden ausdrücklich in das Überprüfungsteam eingeschlossen werden sollten. Die Überprüfung sollte sich auch auf die Abschätzung der Notwendigkeit und Verhältnismäßigkeit der Maßnahmen, auf die wirksame Ausübung der Rechte der betroffenen Personen und die Überprüfung des Weges, auf dem Anträge der betroffenen Personen in der Praxis verarbeitet werden, konzentrieren, insbesondere wo kein direkter Zugang erlaubt ist. Die Häufigkeit der Überarbeitungen sollte definiert werden.

32.

Der EDSB begrüßt die Schutzmaßnahmen in Bezug auf Datensicherheit und Aufsicht, die im Abkommen vorgesehen sind ebenso wie die Verbesserungen im Vergleich zum Abkommen von 2007. Allerdings bleiben viele Bedenken, insbesondere im Hinblick auf die Kohärenz des globalen Konzepts in Bezug auf PNR, die Zweckbindung, die Kategorien von an das DHS zu übermittelnden Daten, die Verarbeitung von sensiblen Daten, den Speicherzeitraum, die Ausnahmen der „Push“-Methode, die Rechte der betroffenen Person und spätere Übermittlungen.

33.

Diese Überlegungen berühren nicht die Anforderungen an die Notwendigkeit und Verhältnismäßigkeit für rechtmäßige PNR-Regelungen und Abkommen, die für die Massenübermittlung von PNR-Daten von der EU an Drittstaaten vorgesehen sind. Das Europäische Parlament bestätigte in seiner Resolution vom 5. Mai nochmals: „Notwendigkeit und Verhältnismäßigkeit sind Grundprinzipien, ohne die der Kampf gegen Terrorismus niemals wirksam sein wird“.