EUROPÄISCHE KOMMISSION

Straßburg, den 13.12.2022

COM(2022) 731 final

2022/0425(COD)

Vorschlag für eine

VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES

über die Erhebung und Übermittlung von API-Daten zur Verhütung, Aufdeckung, Untersuchung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität und zur Änderung der Verordnung (EU) 2019/818

{SWD(2022) 424 final}

BEGRÜNDUNG

1.KONTEXT DES VORSCHLAGS

•Gründe und Ziele des Vorschlags

In den letzten zehn Jahren war in der EU und in anderen Teilen der Welt eine Zunahme der schweren und organisierten Kriminalität zu verzeichnen. Gemäß der von Europol vorgenommenen Bewertung der Bedrohungslage im Bereich der schweren und organisierten Kriminalität in der Europäischen Union ist die organisierte Kriminalität in den meisten Fällen mit Reisen in andere Länder verbunden, in der Regel mit dem Ziel, Menschen in die EU einzuschleusen oder Drogen oder sonstige illegale Waren in die EU zu schmuggeln. Dabei nutzen Kriminelle häufig die großen Flughäfen der EU sowie kleinere Regionalflughäfen, auf denen Billigfluggesellschaften tätig sind. 1 Ebenso zeigt der von Europol vorgelegte Tendenz- und Lagebericht über den Terrorismus in der EU, dass es nach wie vor eine reale und ernst zu nehmende Terrorgefahr in der EU gibt, 2 wobei darauf hingewiesen wird, dass die meisten terroristischen Vorhaben grenzübergreifender Natur sind und entweder länderübergreifende Kontakte oder Reisen in Drittstaaten beinhalten. Vor diesem Hintergrund sind Informationen über Flugreisende ein wichtiges Instrument für die Strafverfolgungsbehörden bei der Bekämpfung von schwerer Kriminalität und Terrorismus in der EU.

Die Daten von Flugreisenden umfassen vorab übermittelte Fluggastdaten (API) und Fluggastdatensätze (PNR-Daten), die in Kombination besonders wirksam sind, um Reisende, die ein hohes Risiko darstellen, zu identifizieren und Reisemuster verdächtiger Personen zu erkennen. Wenn ein Fluggast einen Flugschein bei einer Fluggesellschaft erwirbt, generiert diese über ihr Buchungssystem einen Fluggastdatensatz für ihre Geschäftszwecke. Dieser umfasst Daten zur kompletten Reiseroute, Zahlungsangaben, Kontaktdaten und Sonderwünsche des Fluggastes. Wenn eine entsprechende Verpflichtung besteht, werden diese PNR-Daten an die Zentralstelle für Fluggastdaten des Bestimmungslandes und oftmals des Abfluglandes übermittelt.

In der EU wurde 2016 die PNR-Richtlinie 3 verabschiedet, um sicherzustellen, dass alle Mitgliedstaaten die Vorschriften über die Erhebung von PNR-Daten von Fluggesellschaften zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität umsetzen, unbeschadet der bestehenden EU-Vorschriften über die Verpflichtung der Fluggesellschaften zur Erhebung von API-Daten im Sinne der API-Richtlinie 4 . Gemäß der PNR-Richtlinie müssen die Mitgliedstaaten die erforderlichen Maßnahmen treffen, um sicherzustellen, dass die Fluggesellschaften PNR-Daten übermitteln, soweit sie diese Daten bereits im Rahmen ihrer normalen Geschäftstätigkeit erhoben haben. Die PNR-Richtlinie ermöglicht die gemeinsame Verarbeitung von API- und PNR-Daten, da die Definition von PNR-Daten „etwaige erhobene erweiterte Fluggastdaten (API-Daten)“ umfasst. 5 Die PNR-Richtlinie verpflichtet die Fluggesellschaften jedoch nicht zur Erhebung von Daten über den normalen Geschäftsverlauf hinaus. Folglich führt die PNR-Richtlinie nicht dazu, dass komplette API-Datensätze erhoben werden, da die Fluggesellschaften keinen geschäftlichen Anlass zur Erhebung solcher Daten haben.

Nur wenn eine entsprechende Verpflichtung dazu besteht, werden API-Daten von der Fluggesellschaft während der Abfertigung des Fluggastes (bei der Online-Abfertigung und am Flughafen) erhoben. Anschließend werden diese den zuständigen Grenzbehörden als vollständige „Fluggastdatenliste“ übermittelt, die Daten zu allen Fluggästen enthält, die sich beim Abflug an Bord des Flugzeugs befinden. Während API-Daten als „verifizierte“ Informationen gelten, da sie sich auf Reisende beziehen, die schließlich das Luftfahrzeug bestiegen haben, und sie auch von den Strafverfolgungsbehörden zur Identifizierung von Verdächtigen und gesuchten Personen verwendet werden können, handelt es sich bei den PNR-Daten um „unverifizierte“ Informationen, die von den Fluggästen bereitgestellt werden. Die PNR-Daten eines bestimmten Fluggastes enthalten in der Regel nicht alle möglichen PNR-Elemente, sondern nur diejenigen, die vom Fluggast bereitgestellt werden und/oder für die Buchung und damit für den normalen Geschäftszweck der Fluggesellschaft erforderlich sind.

Seit der Annahme der API-Richtlinie im Jahr 2004 besteht weltweit ein Konsens darüber, dass API-Daten nicht nur ein Schlüsselinstrument für das Grenzmanagement, sondern auch ein wichtiges Instrument für Strafverfolgungszwecke sind, insbesondere zur Bekämpfung von schwerer Kriminalität und Terrorismus. So wurde auf internationaler Ebene seit 2014 in den Resolutionen des Sicherheitsrates der Vereinten Nationen wiederholt die Einrichtung und weltweite Einführung von API- und PNR-Systemen für Strafverfolgungszwecke gefordert. 6 Darüber hinaus bestätigt die Verpflichtungserklärung der teilnehmenden Staaten der Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE) zur Einrichtung von API-Systemen die Bedeutung der Verwendung dieser Daten für die Bekämpfung von Terrorismus und grenzüberschreitender Kriminalität.  7

Wie aus dem Bericht der Kommission über die Überprüfung der PNR-Richtlinie hervorgeht, kann durch die gemeinsame Verarbeitung von API- und PNR-Daten durch die zuständigen Strafverfolgungsbehörden – d. h. die Fluggesellschaften werden verpflichtet, neben den PNR-Daten, die sie für ihre normalen Geschäftszwecke erheben und die sie an die zuständigen Strafverfolgungsbehörden übermitteln, auch API-Daten zu erheben und zu übermitteln – die Wirksamkeit der Bekämpfung schwerer Straftaten und Terrorismus in der EU erheblich erhöht werden. 8 Die kombinierte Verwendung von API- und PNR-Daten ermöglicht es den zuständigen nationalen Behörden, die Identität von Fluggästen zu bestätigen, was die Zuverlässigkeit der PNR-Daten erheblich verbessert. Eine solche kombinierte Verwendung vor Ankunft der Fluggäste ermöglicht es den Strafverfolgungsbehörden außerdem, eine Überprüfung vorzunehmen und nur diejenigen Personen im Einklang mit dem geltenden Recht genauer zu kontrollieren, von denen unter Berücksichtigung objektiver Prüfkriterien und ‑verfahren am ehesten eine Gefahr für die Sicherheit ausgeht. Das erleichtert das Reisen für alle anderen Fluggäste und verringert das Risiko, dass Fluggäste bei ihrer Ankunft von den zuständigen Behörden aufgrund eines Ermessensspielraums bei Faktoren wie Rasse oder ethnischer Herkunft, die fälschlicherweise von den Strafverfolgungsbehörden mit Sicherheitsrisiken in Verbindung gebracht werden können, überprüft werden.

Über den derzeitigen EU-Rechtsrahmen ist jedoch nur die Verwendung von PNR-Daten zur Bekämpfung von schwerer Kriminalität und Terrorismus geregelt, und es gibt keine Regelung speziell für API-Daten, die nur für Flüge aus Drittländern angefordert werden können; daraus ergibt sich eine Sicherheitslücke, insbesondere bei EU-Flügen, für die die Mitgliedstaaten bei den Fluggesellschaften um Übermittlung der PNR-Daten ansuchen. Die Zentralstellen für Fluggastdaten erzielen die wirksamsten operativen Ergebnisse bei den Flügen, bei denen sowohl API- als auch PNR-Daten erhoben werden. Das bedeutet, dass die zuständigen Strafverfolgungsbehörden nicht von den Ergebnissen der gemeinsamen Verarbeitung von API-Daten und PNR-Daten für Flüge innerhalb der EU profitieren können, für die nur PNR-Daten übermittelt werden.

Um diese Lücke zu schließen, wurde in der Strategie der Kommission vom Juni 2021 für einen reibungslos funktionierenden und resilienten Schengen-Raum eine verstärkte Verwendung von API-Daten in Kombination mit PNR-Daten für Flüge innerhalb des Schengen-Raums gefordert, um die innere Sicherheit im Einklang mit dem Grundrecht auf Schutz personenbezogener Daten und dem Grundrecht auf Freizügigkeit erheblich zu verbessern. 9  

Die vorgeschlagene Verordnung zielt daher darauf ab, wirksamere Vorschriften für die Erhebung und Übermittlung von API-Daten durch Fluggesellschaften zum Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität festzulegen. Um die Einhaltung der in der Charta der Grundrechte der Europäischen Union (im Folgenden „Charta“) verankerten einschlägigen Grundrechte, insbesondere des Rechts auf Privatsphäre und auf Schutz personenbezogener Daten, und der sich daraus ergebenden Anforderungen an die Notwendigkeit und Verhältnismäßigkeit zu gewährleisten, ist der Vorschlag, wie weiter unten erläutert, in seinem Anwendungsbereich sorgfältig begrenzt und enthält strenge Beschränkungen und Schutzvorkehrungen für den Schutz personenbezogener Daten.

•Kohärenz mit den bestehenden Vorschriften in diesem Politikbereich

2.RECHTSGRUNDLAGE, SUBSIDIARITÄT UND VERHÄLTNISMÄẞIGKEIT

•Rechtsgrundlage

Für diese vorgeschlagene Verordnung über die Erhebung und Vorabübermittlung von Fluggastdaten (API-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität sind angesichts ihres Ziels und der vorgesehenen Maßnahmen Artikel 82 Absatz 1 Buchstabe d und Artikel 87 Absatz 2 Buchstabe a des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) die geeignete Rechtsgrundlage.

Nach Artikel 82 Absatz 1 Buchstabe d AEUV ist die Union befugt, Maßnahmen zu erlassen, um die Zusammenarbeit zwischen den Justizbehörden oder entsprechenden Behörden der Mitgliedstaaten im Rahmen der Strafverfolgung sowie des Vollzugs und der Vollstreckung von Entscheidungen zu erleichtern. Nach Artikel 87 Absatz 2 Buchstabe a AEUV ist die Union befugt, Maßnahmen zum Einholen, Speichern, Verarbeiten, Analysieren und Austauschen sachdienlicher Informationen für die Zwecke der polizeilichen Zusammenarbeit in der EU zu erlassen.

Dementsprechend wird für den vorliegenden Vorschlag dieselbe Rechtsgrundlage herangezogen wie für die PNR-Richtlinie, was nicht nur angemessen ist, weil mit der vorgeschlagenen Verordnung im Wesentlichen dasselbe Ziel verfolgt wird, sondern auch, weil damit die PNR-Richtlinie ergänzt werden soll.

•Subsidiarität

Den Strafverfolgungsbehörden müssen wirksame Instrumente zur Bekämpfung von Terrorismus und schwerer Kriminalität an die Hand gegeben werden. Da die meisten schweren Straftaten und Terroranschläge mit Reisen in andere Länder einhergehen, hat sich die Verwendung von PNR-Daten zum Schutz der inneren Sicherheit der EU als sehr effizient erwiesen. Außerdem sind die zuständigen Behörden der Mitgliedstaaten bei ihren Ermittlungen zu Zwecken der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten oder schwerer Kriminalität maßgeblich auf die internationale und grenzübergreifende Zusammenarbeit angewiesen.

In einem Raum ohne Kontrollen an den Binnengrenzen sind die Erhebung, die Verarbeitung und der Austausch von Fluggastdaten, einschließlich PNR- und API-Daten, durch die Mitgliedstaaten auch wirksame Ausgleichsmaßnahmen. Durch ein kohärentes Handeln auf EU-Ebene wird der Vorschlag dazu beitragen, die Sicherheit der Mitgliedstaaten und damit der gesamten EU zu erhöhen.

Die API-Richtlinie ist Teil des Schengen-Besitzstands in Bezug auf das Überschreiten der Außengrenzen. Die Erhebung und Übermittlung von API-Daten für EU-Flüge sind darin somit nicht geregelt. Da die PNR-Daten für diese Flüge nicht durch API-Daten ergänzt werden, haben die Mitgliedstaaten eine Reihe von unterschiedlichen Maßnahmen ergriffen, um das Problem der fehlenden Identitätsdaten von Fluggästen zu lösen. Dazu gehören physische Konformitätskontrollen, um die Übereinstimmung der Identitätsdaten auf dem Reisedokument mit der Bordkarte zu überprüfen, wodurch neue Problematiken auftreten, ohne dass damit das zugrunde liegende Problem des Fehlens von API-Daten gelöst wäre.

Mit dem Tätigwerden auf EU-Ebene kann die Anwendung harmonisierter Bestimmungen zum Schutz der Grundrechte, insbesondere des Schutzes personenbezogener Daten, in den Mitgliedstaaten sichergestellt werden. Für die Fluggesellschaften könnten die verschiedenen Systeme der Mitgliedstaaten, die bereits ähnliche Mechanismen geschaffen oder die Einführung solcher Maßnahmen geplant haben, mit negativen Auswirkungen verbunden sein, da die Fluggesellschaften unterschiedlichen nationalen Anforderungen nachkommen müssten, zum Beispiel in Bezug auf die Art der zu übermittelnden Informationen und die Voraussetzungen für die Übermittlung dieser Informationen an die Mitgliedstaaten. Diese Unterschiede sind auch einer wirksamen Zusammenarbeit zwischen den Mitgliedstaaten bei der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität abträglich. Die harmonisierten Vorschriften können nur auf EU-Ebene festgelegt werden.

Da die Ziele dieses Vorschlags auf Ebene der Mitgliedstaaten nicht ausreichend verwirklicht werden können und somit besser auf Unionsebene zu erreichen sind, ist die EU nicht nur berechtigt zu handeln, sondern auch besser dazu in der Lage als die unabhängig voneinander agierenden Mitgliedstaaten. Der Vorschlag steht daher mit dem in Artikel 5 des Vertrags über die Europäische Union niedergelegten Subsidiaritätsprinzip im Einklang.

•Verhältnismäßigkeit

Gemäß dem in Artikel 5 Absatz 4 EUV verankerten Grundsatz der Verhältnismäßigkeit müssen Art und Ausmaß einer Maßnahme auf das festgestellte Problem abgestimmt sein. Alle in dieser Gesetzgebungsinitiative angesprochenen Probleme erfordern in irgendeiner Form legislative Maßnahmen auf Unionsebene, um es den Mitgliedstaaten zu ermöglichen, diesen Problemen wirksam zu begegnen.

Die vorgeschlagenen Vorschriften für die Erhebung und Übermittlung von API-Daten werden – vorbehaltlich strenger Beschränkungen und Schutzvorkehrungen – die Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität stärken. Sie dienen daher dem festgestellten Bedarf, die innere Sicherheit zu verbessern, und sind eine wirksame Antwort auf das Problem, das sich aus der fehlenden gemeinsamen Verarbeitung von API- und PNR-Daten ergibt, auch bei den EU-Flügen, zu denen die Mitgliedstaaten PNR-Daten empfangen.

•Wahl des Instruments

Die vorgeschlagene Maßnahme ist eine Verordnung. In Anbetracht dessen, dass die vorgeschlagenen Maßnahmen unmittelbar gelten und in allen Mitgliedstaaten einheitlich angewendet werden müssen, ist eine Verordnung das geeignete Rechtsinstrument.

3.ERGEBNISSE DER EX-POST-BEWERTUNG, DER KONSULTATION DER INTERESSENTRÄGER UND DER FOLGENABSCHÄTZUNG

•Ex-post-Bewertung bestehender Rechtsvorschriften

Die API-Richtlinie steht der Verarbeitung von API-Daten zu Strafverfolgungszwecken gemäß den nationalen Rechtsvorschriften und vorbehaltlich der Anforderungen an den Schutz personenbezogener Daten nicht entgegen. Problematisch ist jedoch die Umsetzung dieser Möglichkeit in den Mitgliedstaaten, wie aus der Bewertung der API-Richtlinie hervorgeht, weil Sicherheitslücken auftreten, da es keine von der EU festgelegten Kriterien für die Erhebung und Übermittlung von API-Daten zu Strafverfolgungszwecken gibt: 17  

–Der Zweck der Strafverfolgung wird in den nationalen Rechtsvorschriften einiger Mitgliedstaaten relativ breit ausgelegt und reicht von Ordnungswidrigkeiten über die Verbesserung der inneren Sicherheit und der öffentlichen Ordnung bis hin zu Terrorismusbekämpfung und dem Schutz nationaler Sicherheitsinteressen. Die Bewertung der API-Richtlinie ergab auch, dass eine wirksame Verwendung von API-Daten für die Strafverfolgung ein spezielles Rechtsinstrument für diesen spezifischen Zweck erfordert. 18

–Aufgrund einer solchen Vielfalt an Zwecken für die Erhebung von API-Daten wird die Einhaltung des EU-Rahmens für den Schutz personenbezogener Daten zunehmend komplexer. Die Anforderung, API-Daten innerhalb von 24 Stunden zu löschen, ist nur für die Verwendung von API-Daten für das Hauptziel der API-Richtlinie, nämlich das Außengrenzenmanagement, festgelegt. Es ist unklar, ob diese Anforderung auch für die Verarbeitung zu Strafverfolgungszwecken gilt.

–Dass API-Datensätze zu Strafverfolgungszwecken von den Fluggesellschaften angefordert werden können, schafft zusätzlich zu der Praxis einiger Mitgliedstaaten, API-Daten anzufordern, die über die nicht erschöpfende Liste in der API-Richtlinie hinausgehen, weitere Hürden für die Fluggesellschaften, die unterschiedlichen Anforderungen bei der Beförderung von Fluggästen in die EU zu erfüllen.

–Ferner werden in der API-Richtlinie keine Hinweise darauf gegeben, für welche Flüge API-Daten angefordert werden können, an welche Behörde API-Daten übermittelt werden sollten oder welche Bedingungen für den Zugriff auf solche Daten zu Strafverfolgungszwecken gelten.

•Konsultation der Interessenträger

Bei der Ausarbeitung dieses Vorschlags wurde ein breites Spektrum an betroffenen Interessenträgern konsultiert, darunter die Behörden der Mitgliedstaaten (zuständige Grenzbehörden, Zentralstellen für Fluggastdaten), Vertreter der Verkehrsbranche und einzelne Beförderungsunternehmen. Auch EU-Agenturen – wie die Europäische Agentur für die Grenz- und Küstenwache (Frontex), die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol), die Agentur der Europäischen Union für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA) und die Agentur der Europäischen Union für Grundrechte (FRA) – leisteten Beiträge. Diese Initiative berücksichtigt auch die Stellungnahmen und Rückmeldungen, die während der Ende 2019 im Rahmen der Bewertung der API-Richtlinie durchgeführten öffentlichen Konsultation eingingen. 19

Bei der Konsultation zur Vorbereitung der Folgenabschätzung, die zur Untermauerung des vorliegenden Vorschlags dient, wurden anhand verschiedener Methoden Rückmeldungen von Interessenträgern eingeholt. Dazu gehörten insbesondere eine Folgenabschätzung in der Anfangsphase, eine externe unterstützende Studie und mehrere technische Workshops.

Vom 5. Juni 2020 bis zum 14. August 2020 wurde eine Folgenabschätzung in der Anfangsphase veröffentlicht, zu der insgesamt sieben Beiträge zur Ausweitung des Anwendungsbereichs der künftigen API-Richtlinie, zur Datenqualität, zu Sanktionen, zum Datenverhältnis von API- und PNR-Daten und zum Schutz personenbezogener Daten eingingen. 20  

Die externe unterstützende Studie wurde auf der Grundlage von Schreibtischstudien, Interviews und Umfragen mit Fachexperten durchgeführt, und es wurden verschiedene mögliche Maßnahmen für die Verarbeitung von API-Daten untersucht, die klare Regeln beinhalten, um das rechtmäßige Reisen zu erleichtern, und mit der Interoperabilität der EU-Informationssysteme, den Anforderungen der EU zum Schutz personenbezogener Daten und anderen bestehenden EU-Instrumenten und internationalen Standards vereinbar sind.

Die Kommissionsdienststellen organisierten auch eine Reihe von technischen Workshops mit Experten aus den Mitgliedstaaten und den assoziierten Schengen-Ländern. Ziel dieser Workshops war es, Experten zu einem Gedankenaustausch über mögliche Optionen zur Stärkung des künftigen API-Rahmens für Grenzmanagementzwecke sowie für die Bekämpfung von Kriminalität und Terrorismus zusammenzubringen.

Die beigefügte Folgenabschätzung enthält eine ausführlichere Beschreibung der Konsultation der Interessenträger (Anhang 2).

•Folgenabschätzung

Auf der Grundlage der Ergebnisse der Folgenabschätzung besteht die bevorzugte Option für ein API-Instrument zu Strafverfolgungszwecken darin, API-Daten zu allen Flügen in die und aus der EU zu erheben, sowie zu ausgewählten EU-Flügen, für die PNR-Daten übermittelt werden. Dadurch wird die erforderliche Analyse relevanter Daten über Flugreisende bei der Bekämpfung von schwerer Kriminalität und Terrorismus deutlich verbessert, da die Zentralstellen für Fluggastdaten für die Identifizierung von Personen, die in schwere Kriminalität oder Terrorismus verwickelt sind, von der Verfügbarkeit verifizierter und damit qualitativ besserer API-Daten profitieren. Die Erhebung und Übermittlung von API-Daten zu Strafverfolgungszwecken baut auf den Kapazitäten auf, die für die Übermittlung von API-Daten über den Router für das Außengrenzenmanagement entwickelt wurden, ohne dass dabei zusätzliche Kosten für eu-LISA entstehen. Die Fluggesellschaften übermitteln API-Daten nur an den Router, der diese Daten dann an die Zentralstelle für Fluggastdaten des jeweiligen betroffenen Mitgliedstaats weiterleitet. Die Folgenabschätzung kam zu dem Schluss, dass dies eine kosteneffiziente Lösung für die Fluggesellschaften ist, weil sich dadurch ihre Übertragungskosten verringern und gleichzeitig die Möglichkeiten für Fehler und Missbrauch einschränkt werden. Was sich für die Fluggesellschaften jedoch im Vergleich zur derzeitigen Situation ändert, ist, dass sie nach der vorgeschlagenen Verordnung API-Daten für alle betroffenen Flüge – unabhängig von ihrem normalen Bedarf für Geschäftszwecke – erheben und übermitteln müssen, darunter auch für EU-Flüge. Der Vorschlag steht im Einklang mit dem im Europäischen Klimagesetz festgelegten Ziel der Klimaneutralität 21 und den Zielen der Union für 2030 und 2040.

•Grundrechte

Diese Verordnung sieht vor, dass die Erhebung und Übermittlung von API-Daten nur zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität im Sinne der PNR-Richtlinie erfolgt. Die Bestimmungen dieses Vorschlags enthalten einheitliche Kriterien für die Erhebung und Übermittlung von API-Daten für (ankommende und abgehende) Drittstaatsflüge einerseits und ausgewählte EU-Flüge andererseits, die auf einer von den Mitgliedstaaten durchgeführten Bewertung beruhen und einer regelmäßigen Überprüfung, im Einklang mit den im Urteil in der Rechtssache Ligue des droits humains vom Gerichtshof festgelegten Anforderungen, unterliegen. Die Verpflichtung der Fluggesellschaften, API-Daten zu erheben und an den Router zu übermitteln, gilt für alle EU-Flüge. Die Übermittlung durch den Router an die Zentralstellen für Fluggastdaten stellt eine technische Lösung dar, mit der die Übermittlung von API-Daten an die Zentralstellen für Fluggastdaten auf ausgewählte Flüge beschränkt wird, ohne vertrauliche Informationen darüber offenzulegen, welche EU-Flüge ausgewählt wurden. Diese Informationen sind vertraulich zu behandeln; würden sie der Öffentlichkeit oder insbesondere Personen, die an schweren Straftaten oder terroristischen Aktivitäten beteiligt sind, bekannt werden, bestünde die Gefahr, dass diese Flüge umgangen werden.

4.AUSWIRKUNGEN AUF DEN HAUSHALT

Diese Gesetzgebungsinitiative zur Erhebung und Vorabübermittlung von Fluggastdaten (API-Daten) zur Erleichterung der Kontrollen an den Außengrenzen bzw. zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität wird sich auf den Haushalt und den Personalbedarf von eu-LISA und der zuständigen Behörden der Mitgliedstaaten auswirken.

Was eu-LISA betrifft, wird davon ausgegangen, dass zusätzliche Mittel in Höhe von rund 45 Mio. EUR (33 Mio. EUR im Rahmen des derzeitigen MFR) für die Einrichtung des Routers und ab 2029 von 9 Mio. EUR pro Jahr für dessen technische Verwaltung bereitgestellt werden müssen sowie rund 27 zusätzliche Stellen erforderlich sind, damit eu-LISA über die nötigen Ressourcen verfügt, um die ihr in dieser vorgeschlagenen Verordnung und in der vorgeschlagenen Verordnung über die Erhebung und Vorabübermittlung von Fluggastdaten (API-Daten) zur Erleichterung der Kontrollen an den Außengrenzen übertragenen Aufgaben zu erfüllen.

Schätzungen zufolge können für die Mitgliedstaaten 11 Mio. EUR (3 Mio. EUR im Rahmen des derzeitigen Mehrjährigen Finanzrahmens) für die Modernisierung der erforderlichen nationalen Systeme und Infrastrukturen für die Zentralstellen für Fluggastdaten aus dem Fonds für die innere Sicherheit 25 erstattet werden und ab 2028 schrittweise bis zu schätzungsweise 2 Mio. EUR pro Jahr. Ein solcher Erstattungsanspruch muss jedoch letztlich im Einklang mit den Vorschriften für diese Fonds und den in der vorgeschlagenen Verordnung enthaltenen Kostenregelungen festgelegt werden.

Da zwischen dieser vorgeschlagenen Verordnung und der vorgeschlagenen Verordnung über die Erhebung und Vorabübermittlung von Fluggastdaten (API-Daten) zur Erleichterung der Kontrollen an den Außengrenzen ein enger Zusammenhang besteht, insbesondere hinsichtlich der Übermittlung von API-Daten an den Router, bezieht sich der Finanzbogen im Anhang zu diesem Verordnungsvorschlag auf beide Vorschläge.

5.WEITERE ANGABEN

•Durchführungspläne sowie Monitoring-, Bewertungs- und Berichterstattungsmodalitäten

Die Kommission wird sicherstellen, dass die notwendigen Vorkehrungen getroffen werden, um das Funktionieren der vorgeschlagenen Maßnahmen zu überwachen und sie anhand der wichtigsten politischen Ziele zu bewerten. Es ist vorgesehen, dass die Kommission vier Jahre nach dem Beginn der Maßnahmen im Rahmen der vorgeschlagenen Verordnung und danach alle vier Jahre dem Europäischen Parlament und dem Rat einen Bericht vorlegt, in dem sie die Durchführung der Verordnung und ihren Mehrwert bewertet. In dem Bericht wird auch auf etwaige direkte oder indirekte Auswirkungen auf die Grundrechte eingegangen werden. Darin werden die Ergebnisse an den Zielen gemessen, und es wird beurteilt, ob die grundlegenden Prinzipien weiterhin Gültigkeit haben; außerdem werden etwaige Schlussfolgerungen für künftige Optionen gezogen.

Der verbindliche Charakter der Verpflichtung von Fluggesellschaften zur Erhebung von API-Daten zu Drittstaatsflügen und ausgewählten EU-Flügen sowie die Einführung des API-Routers ermöglichen einen klareren Überblick sowohl über die Übermittlung von API-Daten durch die Fluggesellschaften als auch über die Verwendung der API-Daten durch die Mitgliedstaaten im Einklang mit den geltenden nationalen und unionsrechtlichen Vorschriften. So wird die Kommission bei ihren Bewertungs- und Durchsetzungsaufgaben unterstützt, da sie dadurch auf zuverlässige Statistiken über das Volumen der übermittelten Daten und über die Flüge, für die API-Daten angefordert werden, zugreifen kann.

•Ausführliche Erläuterung einzelner Bestimmungen des Vorschlags

Kapitel 1 enthält die allgemeinen Bestimmungen für diese Verordnung, beginnend mit Vorschriften zu ihrem Gegenstand und Anwendungsbereich. Es enthält auch eine Liste von Begriffsbestimmungen.

Kapitel 2 enthält die Bestimmungen für die Erhebung von API-Daten, ihre Übermittlung an den Router und ihre Löschung durch die Fluggesellschaften sowie Vorschriften für die Übermittlung von API-Daten vom Router an die Zentralstellen für Fluggastdaten.

Kapitel 3 enthält spezifische Bestimmungen zu Protokollen, Angaben zu den für die Verarbeitung personenbezogener Daten Verantwortlichen im Zusammenhang mit der Verarbeitung von API-Daten, die personenbezogene Daten im Sinne dieser Verordnung darstellen, sowie zur Sicherheit und Selbstkontrolle durch die Fluggesellschaften und Zentralstellen für Fluggastdaten.

Kapitel 4 enthält ferner Vorschriften über die Anbindungen und die Anpassung an den Router aufseiten der Zentralstellen für Fluggastdaten und Fluggesellschaften sowie über die den Mitgliedstaaten dadurch entstehenden Kosten. Es enthält auch Bestimmungen zur Regelung des Falles, dass die Verwendung des Routers technisch teilweise oder gänzlich nicht möglich ist, und zur Haftung für am Router verursachte Schäden.

Kapitel 5 enthält Bestimmungen über die Überwachung, über mögliche Sanktionen gegen Fluggesellschaften bei Nichteinhaltung ihrer in dieser Verordnung festgelegten Verpflichtungen und über die Ausarbeitung eines Handbuchs durch die Kommission.

Kapitel 6 enthält Änderungen zu anderen bestehenden Instrumenten, d. h. der Verordnung (EU) 2019/818.

Kapitel 7 enthält die Schlussbestimmungen dieser Verordnung, die den Erlass von delegierten Rechtsakten, das Monitoring und die Bewertung dieser Verordnung sowie ihr Inkrafttreten und ihre Anwendung betreffen.

2022/0425 (COD)

Vorschlag für eine

VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES

über die Erhebung und Übermittlung von API-Daten zur Verhütung, Aufdeckung, Untersuchung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität und zur Änderung der Verordnung (EU) 2019/818

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 82 Absatz 1 Buchstabe d und Artikel 87 Absatz 2 Buchstabe a,

auf Vorschlag der Europäischen Kommission,

nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,

nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses 26 ,

gemäß dem ordentlichen Gesetzgebungsverfahren,

in Erwägung nachstehender Gründe:

(1)Die länderübergreifende Dimension der schweren und organisierten Kriminalität und die anhaltende Bedrohung durch Terroranschläge auf europäischem Boden erfordern geeignete Maßnahmen auf Unionsebene, mit denen die Sicherheit in einem Raum der Freiheit, der Sicherheit und des Rechts ohne Binnengrenzen gewährleistet wird. Informationen über Flugreisende wie Fluggastdatensätze (Passenger Name Records – PNR) und insbesondere vorab übermittelte Fluggastdaten (Advance Passenger Information – API) sind unverzichtbar, wenn es darum geht, mit einem hohen Risiko behaftete Reisende, und zwar auch solche, die den Strafverfolgungsbehörden nicht anderweitig bekannt sind, zu identifizieren, Verbindungen zwischen den Mitgliedern krimineller Gruppen herzustellen und Terrorakte abzuwehren.

(2)Die Richtlinie 2004/82/EG des Rates 27 schafft einen Rechtsrahmen für die Erhebung und Übermittlung von API-Daten durch die Fluggesellschaften mit dem Ziel, die Grenzkontrollen zu verbessern und die illegale Einwanderung zu bekämpfen, gestattet den Mitgliedstaaten jedoch auch, API-Daten zu Strafverfolgungszwecken zu verwenden. Durch die bloße Eröffnung dieser Möglichkeit entstehen allerdings einige Regelungslücken. Denn daraus folgt, dass nicht in allen Fällen von den Fluggesellschaften API-Daten für die Strafverfolgung erhoben und übermittelt werden, so wichtig sie dafür auch sein mögen. Auch gelten in dem Fall, dass die Mitgliedstaaten von dieser Möglichkeit Gebrauch machen, für die Fluggesellschaften nach dem jeweils geltenden nationalen Recht unterschiedliche Anforderungen in Bezug auf den Zeitpunkt und die Art der Erhebung und Übermittlung der API-Daten zu diesem Zweck. Diese Unterschiede bedeuten nicht nur für die Fluggesellschaften unnötige Kosten und Komplikationen, sondern beeinträchtigen auch die innere Sicherheit der Union und die wirksame Zusammenarbeit zwischen den jeweils zuständigen Strafverfolgungsbehörden der Mitgliedstaaten. Darüber hinaus werden mit der Erleichterung der Grenzkontrollen und der Strafverfolgung sehr unterschiedliche Ziele verfolgt, und es wäre sinnvoll, für jedes einen eigenen Rechtsrahmen für die Erhebung und Übermittlung von API-Daten zu schaffen.

(3)Die Richtlinie (EU) 2016/681 des Europäischen Parlaments und des Rates 28 enthält Vorschriften für die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität. Nach dieser Richtlinie müssen die Mitgliedstaaten die erforderlichen Maßnahmen treffen, um sicherzustellen, dass die Fluggesellschaften die PNR-Daten einschließlich etwaiger API-Daten der nationalen PNR-Zentralstelle (im Folgenden „PIU“) übermitteln, die nach Maßgabe dieser Richtlinie eingerichtet wurde, soweit sie solche Daten im Rahmen ihrer normalen Geschäftstätigkeit bereits erhoben haben. Folglich garantiert die Richtlinie die Erhebung und Übermittlung von API-Daten nicht in allen Fällen, da Fluggesellschaften für die Geschäftszwecke solche vollständigen Datensätze nicht zu erheben brauchen. Es ist wichtig, dass die PIUs die API-Daten zusammen mit den PNR-Daten empfangen, da nur durch die gemeinsame Verarbeitung dieser Daten die zuständigen Strafverfolgungsbehörden der Mitgliedstaaten in die Lage versetzt werden, terroristische Straftaten und schwere Kriminalität wirksam verhüten, aufdecken, untersuchen und verfolgen zu können. Insbesondere können durch die gemeinsame Datenverarbeitung die Fluggäste genau identifiziert werden, die von diesen Behörden möglicherweise nach geltendem Recht weiter überprüft werden sollten. Außerdem ist in dieser Richtlinie nicht im Einzelnen festgelegt, welche Informationen die API-Daten umfassen. Aus diesen Gründen sollten ergänzende Vorschriften erlassen werden, um die Fluggesellschaften zu verpflichten, einen genau definierten Satz API-Daten zu erheben und anschließend zu übermitteln; diese Anforderungen sollten gelten, wenn die Fluggesellschaften nach der genannten Richtlinie verpflichtet sind, zu demselben Flug PNR-Daten zu erheben und zu übermitteln.

(4)Deshalb ist es notwendig, auf Unionsebene klare, einheitliche und effektive Vorschriften für die Erhebung und Übermittlung von API-Daten zum Zwecke der Verhütung, Aufdeckung, Untersuchung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität zu erlassen.

(5)Angesichts des engen Zusammenhangs zwischen den beiden Rechtsakten sollte diese Verordnung so verstanden werden, dass sie die Vorschriften der Richtlinie (EU) 2016/681 ergänzt. Somit sind die besonderen Anforderungen dieser Verordnung maßgeblich für die Erhebung und Übermittlung der API-Daten, einschließlich der Angabe, in welchen Situationen und auf welche Art dies zu erfolgen hat. Jedoch gelten die Vorschriften der Richtlinie für Angelegenheiten, die nicht in dieser Verordnung geregelt sind, insbesondere die Vorschriften für die anschließende Verarbeitung der API-Daten, die die PIUs empfangen haben, den Informationsaustausch zwischen den Mitgliedstaaten, die Bedingungen für den Zugang der Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol), die Übermittlung an Drittländer, die Speicherung und Depersonalisierung sowie den Schutz personenbezogener Daten. Sofern diese Vorschriften anwendbar sind, gelten ebenfalls die Vorschriften der Richtlinie für Sanktionen und die nationalen Aufsichtsbehörden. Diese Verordnung sollte diese Vorschriften unberührt lassen.

(6)Durch die Erhebung und Übermittlung von API-Daten wird in die Privatsphäre natürlicher Personen eingegriffen, und es müssen personenbezogene Daten verarbeitet werden. Damit die Grundrechte, insbesondere das Recht auf Achtung des Privatlebens und das Recht auf den Schutz personenbezogener Daten nach der Charta der Grundrechte der Europäischen Union (im Folgenden „Charta“), in vollem Umfang geachtet werden, sollten geeignete Einschränkungen und Schutzvorkehrungen vorgesehen werden. Vor allem sollte die Verarbeitung von API-Daten, insbesondere wenn es sich um personenbezogene Daten handelt, immer auf den für die Zielsetzung dieser Verordnung erforderlichen und verhältnismäßigen Umfang beschränkt bleiben. Darüber hinaus sollte sichergestellt werden, dass die gemäß dieser Verordnung erhobenen und übermittelten API-Daten zu keiner unzulässigen Form der Diskriminierung im Sinne der Charta führen.

(7)Da diese Verordnung die Richtlinie (EU) 2016/681 ergänzt, sollten die in der Verordnung geregelten Verpflichtungen der Fluggesellschaften auch für alle Flüge gelten, für die die Mitgliedstaaten die Fluggesellschaften gemäß der Richtlinie (EU) 2016/681 zur Übermittlung von PNR-Daten verpflichten müssen, d. h. sowohl Linien- als auch Gelegenheitsflüge und Flüge zwischen Mitgliedstaaten und Drittländern (Drittstaatsflüge) ebenso wie Flüge zwischen verschiedenen Mitgliedstaaten (EU-Flüge), sofern diese Flüge gemäß der Richtlinie (EU) 2016/681 ausgewählt wurden, und zwar unabhängig vom Niederlassungsort der Fluggesellschaften, die diese Flüge durchführen.

(8)Da die Richtlinie (EU) 2016/681 nicht für Inlandsflüge gilt, d. h. für Flüge, die im Hoheitsgebiet ein und desselben Mitgliedstaats ohne Zwischenlandung in einem anderen Mitgliedstaat oder einem Drittstaat starten und landen, und angesichts der länderübergreifenden Dimension terroristischer Straftaten und der schweren Kriminalität, auf die sich diese Verordnung bezieht, sollten diese Flüge auch von deren Regelungsbereich ausgenommen sein. Diese Verordnung sollte allerdings nicht so verstanden werden, dass sie die Mitgliedstaaten in deren Möglichkeiten einschränkte, nach Maßgabe der nationalen Rechtsvorschriften und des Unionsrechts die Fluggesellschaften dazu zu verpflichten, API-Daten für solche Inlandsflüge zu erheben und zu übermitteln.

(9)Angesichts des engen Zusammenhangs zwischen den betreffenden Rechtsakten der Union und im Interesse der Einheitlichkeit und Kohärenz sollten die Begriffsbestimmungen dieser Verordnung so weit wie möglich an die Begriffsbestimmungen der Richtlinie (EU) 2016/681 und der Verordnung (EU) [API Grenzmanagement] 29 angepasst und entsprechend ausgelegt und angewandt werden.

(10)Insbesondere sollten die Angaben, die zusammen die gemäß dieser Verordnung zu erhebenden und zu übermittelnden API-Daten bilden, denjenigen entsprechen, die in der Verordnung (EU) [API Grenzmanagement] klar und erschöpfend aufgeführt sind und sowohl Informationen über jeden Fluggast als auch Angaben über den Flug dieses Reisenden umfassen. Gemäß dieser Verordnung sollten diese Fluginformationen Angaben zu der Grenzübergangsstelle der Einreise in das Hoheitsgebiet des betreffenden Mitgliedstaats nur dann umfassen, wenn sich die API-Daten nicht auf EU-Flüge beziehen.

(11)Um ein möglichst einheitliches Vorgehen bei der Erhebung und Übermittlung von API-Daten durch die Fluggesellschaften zu gewährleisten, sollten die Vorschriften dieser Verordnung gegebenenfalls an diejenigen der Verordnung (EU) [API Grenzmanagement] angepasst werden. Das betrifft insbesondere die Vorschriften für die Datenqualität, die Verwendung automatisierter Verfahren für die Datenerhebung durch die Fluggesellschaften, die genaue Art und Weise, in der die Fluggesellschaften die API-Daten an den Router übermitteln müssen, und die Löschung der API-Daten.

(12)Damit die gemeinsame Verarbeitung von API- und PNR-Daten sichergestellt wird – mit dem Ziel, Terrorismus und schwere Kriminalität in der Union wirksam zu bekämpfen und gleichzeitig die Eingriffe in die durch die Charta geschützten Grundrechte der Fluggäste auf ein Mindestmaß zu begrenzen –, sollten die zuständigen Behörden in den Mitgliedstaaten als PIUs fungieren und die gemäß dieser Verordnung erhobenen und übermittelten API-Daten empfangen, verarbeiten und schützen. Aus Gründen der Effizienz und zur Minimierung der Sicherheitsrisiken sollte der Router, der von der Agentur der Europäischen Union für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA) gemäß der Verordnung (EU) [API Grenzmanagement] konzipiert, entwickelt, gehostet und technisch gewartet wird, den jeweils zuständigen PIUs die API-Daten weiterleiten, die von den Fluggesellschaften im Rahmen dieser Verordnung erhoben und an den Router übermittelt werden. Da API-Daten, die personenbezogene Daten darstellen, besonders geschützt werden müssen und ihre Vertraulichkeit gewahrt werden muss, sollten sie in einem automatisierten Verfahren vom Router an die zuständigen PIUs übermittelt werden.

(13)Bei Drittstaatsflügen sollte der Router die API-Daten für alle Flüge der PIU des Mitgliedstaats übermitteln, in dessen Hoheitsgebiet der Flug ankommt oder startet, da gemäß der Richtlinie (EU) 2016/681 die PNR-Daten für all diese Flüge erhoben werden. Der Router sollte den Flug und die entsprechenden PIUs anhand der Informationen im PNR-Buchungscode identifizieren, einem Datenelement, das sowohl in den API- als auch in den PNR-Datensätzen enthalten ist und die gemeinsame Verarbeitung der API- und PNR-Daten durch die PIUs ermöglicht.

(14)Bei den EU-Flügen gilt es nach der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) stärker zu differenzieren, damit unrechtmäßige Eingriffe in die durch die Charta geschützten Grundrechte vermieden werden und die Vereinbarkeit mit der im Unionsrecht vorgesehenen Freizügigkeit und der Abschaffung der Kontrollen an den Binnengrenzen gewährleistet wird. Da sichergestellt werden muss, dass die API-Daten zusammen mit den PNR-Daten verarbeitet werden können, sollten die Vorschriften für die Auswahl der Flüge den Bestimmungen der Richtlinie (EU) 2016/681 entsprechen. Aus diesen Gründen sollten die API-Daten zu diesen Flügen nur dann vom Router an die zuständigen PIUs übermittelt werden, wenn die Mitgliedstaaten die betreffenden Flüge in Anwendung von Artikel 2 der Richtlinie (EU) 2016/681 ausgewählt haben. Auswahl bedeutet, wie der EuGH ausführt, dass die Mitgliedstaaten ihren Verpflichtungen zielgerichtet nur in Bezug auf bestimmte Flugverbindungen, Reisemuster oder Flughäfen nachkommen und diese Auswahl regelmäßig überprüfen.

(15)Das Auswahlprinzip sollte im Rahmen dieser Verordnung auf EU-Flüge angewendet werden können, und so sollten die Mitgliedstaaten verpflichtet werden, Listen der von ihnen ausgewählten Flüge zu erstellen und der Agentur eu-LISA vorzulegen, damit diese dafür sorgen kann, dass nur für diese Flüge API-Daten vom Router an die betreffenden PIUs übermittelt werden und die API-Daten zu anderen EU-Flügen sofort dauerhaft gelöscht werden.

(16)Damit die Wirksamkeit des Systems, das auf der Erhebung und Übermittlung von API-Daten gemäß dieser Verordnung und von PNR-Daten im Rahmen des mit der Richtlinie (EU) 2016/681 eingerichteten Systems beruht, für die Verhütung, Aufdeckung, Untersuchung und Verfolgung terroristischer Straftaten und schwerer Kriminalität nicht insbesondere dadurch gefährdet wird, dass die Umgehung der Maßnahmen ermöglicht wird, sollte die Angabe, welche EU-Flüge von den Mitgliedstaaten ausgewählt werden, vertraulich behandelt werden. Weil diese Informationen deshalb nicht an die Fluggesellschaften weitergegeben werden sollten, sollten diese dazu verpflichtet werden, die API-Daten zu allen unter diese Verordnung fallenden Flügen einschließlich aller EU-Flüge zu erheben und an den Router weiterzuleiten; dort sollte schließlich die erforderliche Auswahl getroffen werden. Wenn zu allen EU-Flügen API-Daten erhoben werden, erfahren außerdem die Fluggäste nicht, für welche Flüge entsprechend der Einschätzung der Mitgliedstaaten die API-Daten und damit auch die PNR-Daten an die PIUs übermittelt werden. Dadurch wird auch gewährleistet, dass Änderungen dieser Auswahl rasch und wirksam umgesetzt werden können, ohne dass den Fluggesellschaften unangemessene wirtschaftliche und betriebliche Belastungen entstünden.

(17)Im Interesse der Achtung des Grundrechts auf den Schutz personenbezogener Daten und entsprechend der Verordnung (EU) [API Grenzmanagement] sollten in der vorliegenden Verordnung die Verantwortlichen bestimmt werden. Damit eine effektive Kontrolle stattfinden kann, die personenbezogenen Daten ausreichend geschützt und die Sicherheitsrisiken möglichst klein gehalten werden, sollten auch Vorschriften für die Protokollierung, die Sicherheit der Datenverarbeitung und die Selbstkontrolle gelten. Soweit sich diese Bestimmungen auf die Verarbeitung personenbezogener Daten beziehen, sollten sie als Ergänzung zu den allgemein geltenden Rechtsakten der Union über den Schutz personenbezogener Daten verstanden werden, insbesondere der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates 30 , der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates 31 und der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates 32 . Diese Rechtsakte, die entsprechend den Bestimmungen der vorliegenden Verordnung auch für die Verarbeitung personenbezogener Daten im Rahmen der vorliegenden Verordnung gelten, sollten von ihr nicht berührt werden.

(18)Der Router, der gemäß der Verordnung (EU) [API Grenzmanagement] einzurichten und zu betreiben ist, sollte so konzipiert sein, dass für die Übermittlung der API-Daten weniger und einfachere technische Anbindungen nötig sind; diese sollten sich auf eine Anbindung je Fluggesellschaft und PIU beschränken. Deshalb erlegt diese Verordnung den PIUs und den Fluggesellschaften die Verpflichtung auf, eine solche Anbindung an den Router einzurichten und die erforderliche Anpassung daran vorzunehmen, damit das mit dieser Verordnung eingerichtete System zur Übermittlung von API-Daten ordnungsgemäß funktionieren kann.

(19)Angesichts des großen Interesses der Union sollten die Kosten, die den Mitgliedstaaten in Verbindung mit ihrer Anbindung und Anpassung an den Router gemäß dieser Verordnung entstehen, nach Maßgabe des anwendbaren Rechts und vorbehaltlich bestimmter Ausnahmen in angemessener Höhe vom Unionshaushalt getragen werden. Auf Ausnahmen entfallende Kosten sollte der betroffene Mitgliedstaat selbst tragen.

(20)Gemäß der Verordnung (EU) 2018/1726 können die Mitgliedstaaten eu-LISA mit der Aufgabe betrauen, die Konnektivität mit den Fluggesellschaften zu erleichtern, um die Mitgliedstaaten bei der Umsetzung der Richtlinie (EU) 2016/681 zu unterstützen, insbesondere was die Erhebung und Übermittlung der PNR-Daten über den Router angeht.

(21)Es ist nicht auszuschließen, dass der Router oder die Systeme oder die Infrastruktur, mit denen die PIUs und die Fluggesellschaften an den Router angebunden werden, aufgrund außergewöhnlicher Umstände und trotz aller angemessenen Maßnahmen, die gemäß dieser Verordnung und – in Bezug auf den Router – der Verordnung (EU) [API Grenzmanagement] ergriffen wurden, nicht ordnungsgemäß funktionieren und es dadurch technisch unmöglich wird, den Router für die Übermittlung der API-Daten zu verwenden. Wenn der Router nicht zur Verfügung steht und es den Fluggesellschaften somit nach vernünftigem Ermessen unmöglich ist, die vom Ausfall betroffenen API-Daten rechtmäßig, sicher, effektiv und rasch auf andere Weise zu übermitteln, sollte die Verpflichtung der Fluggesellschaften zur Übermittlung dieser API-Daten an den Router ausgesetzt werden, solange die Übermittlung technisch unmöglich ist. Um die Dauer und die negativen Folgen möglichst gering zu halten, sollten die betroffenen Parteien in einem solchen Fall sofort einander in Kenntnis setzen und die erforderlichen Maßnahmen ergreifen, um die technische Störung zu beheben. Von dieser Regelung sollten die in dieser Verordnung verankerten Verpflichtungen aller betroffenen Parteien, für den ordnungsgemäßen Betrieb des Routers und ihrer jeweiligen Systeme und Infrastruktur zu sorgen, unberührt bleiben, ebenso die Tatsache, dass gegen die Fluggesellschaften Sanktionen verhängt werden können, wenn sie diesen Verpflichtungen nicht nachkommen, und zwar auch dann, wenn sie sich in ungerechtfertigter Weise auf diese Regelung berufen. Zur Vorbeugung von Missbrauch und zur Erleichterung der Aufsicht und erforderlichenfalls der Verhängung von Sanktionen sollten die Fluggesellschaften der zuständigen Aufsichtsbehörde melden, wenn sie sich aufgrund eines Ausfalls ihres eigenen Systems oder ihrer eigenen Infrastruktur auf diese Regelung berufen.

(22)Um sicherzustellen, dass die Fluggesellschaften die Vorschriften dieser Verordnung auch befolgen, sollten Vorkehrungen für die Benennung und Ermächtigung der mit der Aufsicht über diese Vorschriften zu betrauenden nationalen Behörden getroffen werden. Die Vorschriften dieser Verordnung für eine solche Aufsicht, einschließlich gegebenenfalls der Verhängung von Sanktionen, sollten die Aufgaben und Befugnisse der nach Maßgabe der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 eingerichteten Aufsichtsbehörden unberührt lassen, auch in Bezug auf die Verarbeitung personenbezogener Daten nach der vorliegenden Verordnung.

(23)Die Mitgliedstaaten sollten wirksame, verhältnismäßige und abschreckende Sanktionen einschließlich Geldbußen für den Fall vorsehen, dass Fluggesellschaften ihren Verpflichtungen im Zusammenhang mit der Erhebung und Übermittlung von API-Daten gemäß dieser Verordnung nicht nachkommen.

(24)Damit die Kommission Vorgaben für die technischen Anforderungen und Betriebsvorschriften für die automatisierte Erhebung maschinenlesbarer API-Daten, die gemeinsamen Protokolle und Formate für die Übermittlung der API-Daten durch die Fluggesellschaften, die technischen und verfahrenstechnischen Vorschriften für die Übermittlung der API-Daten vom Router an die PIUs und die Anbindung und Anpassung der PIUs und der Fluggesellschaften an den Router machen kann, sollte ihr in Bezug auf die Artikel 4, 5, 10 bzw. 11 die Befugnis übertragen werden, gemäß Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union Rechtsakte zu erlassen. Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeit angemessene Konsultationen, auch auf der Ebene von Sachverständigen, durchführt, die mit den in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung 33 niedergelegten Grundsätzen vereinbar sind. Um insbesondere für eine gleichberechtigte Beteiligung an der Vorbereitung delegierter Rechtsakte zu sorgen, erhalten das Europäische Parlament und der Rat alle Dokumente zur gleichen Zeit wie die Sachverständigen der Mitgliedstaaten, und ihre Sachverständigen haben systematisch Zugang zu den Sitzungen der Sachverständigengruppen der Kommission, die mit der Vorbereitung der delegierten Rechtsakte befasst sind.

(25)Allen interessierten Parteien, insbesondere den Fluggesellschaften und den PIUs, sollte ausreichend Zeit eingeräumt werden, damit sie die notwendigen Vorbereitungen treffen können, um ihren jeweiligen Verpflichtungen aus dieser Verordnung nachkommen zu können; dabei ist zu berücksichtigen, dass diese Vorbereitungen, etwa in Bezug auf die Verpflichtung zur Anbindung und Anpassung an den Router, teilweise erst abgeschlossen werden können, wenn die Planungs- und Entwicklungsphasen des Routers beendet sind und er in Betrieb genommen wird. Deshalb sollte die vorliegende Verordnung erst nach einer angemessenen Frist nach der von der Kommission in der Verordnung (EU) [API Grenzmanagement] festgelegten Inbetriebnahme des Routers gelten. Die Kommission sollte jedoch bereits zu einem früheren Zeitpunkt delegierte Rechtsakte nach der vorliegenden Verordnung erlassen können, um sicherzustellen, dass das in deren Rahmen eingerichtete System so bald wie möglich betriebsbereit ist.

(26)Die Ziele dieser Verordnung, nämlich zur Verhütung, Aufdeckung, Untersuchung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität beizutragen, lassen sich von den Mitgliedstaaten allein nicht in ausreichendem Maß erreichen, sondern können besser auf Unionsebene verwirklicht werden, da es angesichts der länderübergreifenden Dimension der betreffenden Straftaten einer grenzüberschreitenden Zusammenarbeit bedarf, wenn wirksam dagegen vorgegangen werden soll. Die Union kann daher im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union niedergelegten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Verordnung nicht über das für die Verwirklichung dieses Ziels erforderliche Maß hinaus.

(27)Nach den Artikeln 1 und 2 des dem Vertrag über die Europäische Union und dem Vertrag über die Arbeitsweise der Europäischen Union beigefügten Protokolls Nr. 22 über die Position Dänemarks beteiligt sich Dänemark nicht an der Annahme dieser Verordnung, die daher weder für Dänemark bindend noch Dänemark gegenüber anwendbar ist.

(28)[Nach Artikel 3 des dem Vertrag über die Europäische Union und dem Vertrag über die Arbeitsweise der Europäischen Union beigefügten Protokolls Nr. 21 über die Position des Vereinigten Königreichs und Irlands hinsichtlich des Raums der Freiheit, der Sicherheit und des Rechts hat Irland mitgeteilt, dass es sich an der Annahme und Anwendung dieser Verordnung beteiligen möchte.] ODER [Nach den Artikeln 1 und 2 des dem Vertrag über die Europäische Union und dem Vertrag über die Arbeitsweise der Europäischen Union beigefügten Protokolls Nr. 21 über die Position des Vereinigten Königreichs und Irlands hinsichtlich des Raums der Freiheit, der Sicherheit und des Rechts und unbeschadet des Artikels 4 dieses Protokolls beteiligt sich Irland nicht an der Annahme dieser Verordnung, die daher weder für Irland bindend noch Irland gegenüber anwendbar ist.]

(29)Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 konsultiert und hat am [XX] eine Stellungnahme abgegeben. 34

HABEN FOLGENDE VERORDNUNG ERLASSEN:

KAPITEL 1

ALLGEMEINE BESTIMMUNGEN

Artikel 1

Gegenstand

Für die Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität werden in dieser Verordnung Vorschriften festgelegt für

a)die Erhebung von vorab zu übermittelnden Fluggastdaten („API-Daten“) zu Drittstaatsflügen und ausgewählten EU-Flügen durch Fluggesellschaften;

b)die Übermittlung der API-Daten durch Fluggesellschaften an den Router;

c)die Übermittlung der API-Daten zu Drittstaatsflügen und ausgewählten EU-Flügen vom Router an die Zentralstellen für Fluggastdaten („PIUs“).

Artikel 2

Anwendungsbereich

Diese Verordnung gilt für Fluggesellschaften, die Drittstaatsflüge oder EU-Flüge in Form von Linien- oder Gelegenheitsflügen durchführen.

Artikel 3

Begriffsbestimmungen

Für die Zwecke dieser Verordnung bezeichnet der Ausdruck

a)„Fluggesellschaft“ ein Luftfahrtunternehmen im Sinne des Artikels 3 Nummer 1 der Richtlinie (EU) 2016/681;

b)„Drittstaatsflug“ jeden Flug im Sinne des Artikels 3 Nummer 2 der Richtlinie (EU) 2016/681;

c)„EU-Flug“ jeden Flug im Sinne des Artikels 3 Nummer 3 der Richtlinie (EU) 2016/681;

d)„Linienflug“ einen Flug im Sinne des Artikels 3 Buchstabe e der Verordnung (EU) [API Grenzmanagement];

e)„Gelegenheitsflug“ einen Flug im Sinne des Artikels 3 Buchstabe f der Verordnung (EU) [API Grenzmanagement];

f)„Fluggast“ jede Person im Sinne des Artikels 3 Nummer 4 der Richtlinie (EU) 2016/681;

g)„Besatzung“ jede Person im Sinne des Artikels 3 Buchstabe h der Verordnung (EU) [API Grenzmanagement];

h)„Reisender“ jede Person im Sinne des Artikels 3 Buchstabe i der Verordnung (EU) [API Grenzmanagement];

i)„vorab übermittelte Fluggastdaten“ oder „API-Daten“ die Daten im Sinne des Artikels 3 Buchstabe j der Verordnung (EU) [API Grenzmanagement];

j)„Fluggastdatensatz“ oder „PNR-Daten“ einen Datensatz mit den für die Reise notwendigen Angaben zu jedem einzelnen Fluggast im Sinne des Artikels 3 Nummer 5 der Richtlinie (EU) 2016/681;

k)„Zentralstelle für Fluggastdaten“ oder „PIU“ (Passenger Information Unit) die gemäß Artikel 4 Absatz 1 bzw. 5 der Richtlinie (EU) 2016/681 von einem Mitgliedstaat errichtete und in den von der Kommission veröffentlichten Mitteilungen und Änderungen genannte zuständige Behörde;

l)„terroristische Straftaten“ strafbare Handlungen im Sinne der Artikel 3 bis 12 der Richtlinie (EU) 2017/541 des Europäischen Parlaments und des Rates 35 ;

m)„schwere Kriminalität“ strafbare Handlungen im Sinne des Artikels 3 Nummer 9 der Richtlinie (EU) 2016/681;

n)„der Router“ den Router im Sinne des Artikels 3 Buchstabe k der Verordnung (EU) [API Grenzmanagement];

o)„personenbezogene Daten“ Informationen im Sinne des Artikels 4 Nummer 1 der Verordnung (EU) 2016/679.

KAPITEL 2

VERARBEITUNG VON API-DATEN

Artikel 4

Erhebung, Übermittlung und Löschung von API-Daten durch Fluggesellschaften

(1)Die Fluggesellschaften erheben API-Daten von Reisenden auf den in Artikel 2 genannten Flügen zum Zwecke der Übermittlung dieser API-Daten an den Router gemäß Absatz 6. Bei Flügen mit Code-Sharing zwischen mehreren Fluggesellschaften liegt die Pflicht zur Übermittlung der API-Daten bei der Fluggesellschaft, die den Flug durchführt.

(2)Bei der Erhebung der API-Daten stellen die Fluggesellschaften sicher, dass die API-Daten, die sie gemäß Absatz 6 übermitteln, korrekt, vollständig und aktuell sind.

(3)Die Fluggesellschaften erheben die in Artikel 4 Absatz 2 Buchstaben a bis d der Verordnung (EU) [API Grenzmanagement] genannten API-Daten mithilfe automatisierter Verfahren, um die maschinenlesbaren Daten des Reisedokuments des betreffenden Reisenden zu erfassen. Dabei berücksichtigen sie die in Absatz 5 genannten detaillierten technischen Anforderungen und operativen Vorschriften, sofern solche Vorschriften erlassen wurden und anwendbar sind.

Ist ein solcher Einsatz automatisierter Verfahren jedoch nicht möglich, weil das Reisedokument keine maschinenlesbaren Daten enthält, so erheben die Fluggesellschaften diese Daten manuell und stellen dabei die Einhaltung von Absatz 2 sicher.

(4)Alle automatisierten Verfahren, mit denen die Fluggesellschaften API-Daten gemäß dieser Verordnung erheben, müssen zuverlässig, sicher und auf dem neuesten Stand sein.

(5)Der Kommission wird die Befugnis übertragen, gemäß Artikel 19 delegierte Rechtsakte zur Ergänzung dieser Verordnung zu erlassen, in denen sie detaillierte technische Anforderungen und operative Vorschriften für die Erhebung der API-Daten gemäß Artikel 4 Absatz 2 Buchstaben a bis d der Verordnung (EU) [API Grenzmanagement] mithilfe automatisierter Verfahren gemäß den Absätzen 3 und 4 dieses Artikels festlegt.

(6)Die Fluggesellschaften übermitteln die gemäß Absatz 1 erhobenen API-Daten auf elektronischem Wege an den Router. Dabei berücksichtigen sie die detaillierten Vorschriften gemäß Absatz 9, sofern solche Vorschriften erlassen wurden und anwendbar sind.

(7)Die Fluggesellschaften übermitteln die API-Daten sowohl zum Zeitpunkt der Abfertigung als auch sofort nach Abfertigungsschluss, d. h. unmittelbar nachdem sich die Reisenden vor dem Start an Bord des Flugzeugs begeben haben und keine Reisenden mehr an Bord kommen oder von Bord gehen können.

(8)Unbeschadet der Möglichkeit für die Fluggesellschaften, die Daten zu speichern und zu nutzen, wenn dies für die normale Ausübung ihrer Geschäftstätigkeit im Einklang mit den geltenden Rechtsvorschriften erforderlich ist, nehmen die Fluggesellschaften in beiden folgenden Situationen unverzüglich eine Berichtigung, Vervollständigung, Aktualisierung oder dauerhafte Löschung der betreffenden API-Daten vor:

a)Sie stellen fest, dass die erhobenen API-Daten unrichtig, unvollständig oder nicht mehr aktuell sind oder unrechtmäßig verarbeitet wurden oder dass es sich bei den übermittelten Daten nicht um API-Daten handelt;

b)die Übermittlung der API-Daten gemäß Absatz 3 ist abgeschlossen.

Erhalten die Fluggesellschaften von dem in Unterabsatz 1 Buchstabe a genannten Sachverhalt Kenntnis, nachdem die Datenübermittlung gemäß Absatz 6 abgeschlossen ist, so unterrichten sie unverzüglich die Agentur der Europäischen Union für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA). Nach Erhalt dieser Informationen unterrichtet eu-LISA unverzüglich die PIUs, die die über den Router übermittelten API-Daten erhalten haben.

(9)Der Kommission wird die Befugnis übertragen, gemäß Artikel 19 delegierte Rechtsakte zur Ergänzung dieser Verordnung zu erlassen, in denen sie die erforderlichen detaillierten Vorschriften über die gemeinsamen Protokolle und unterstützten Datenformate festlegt, die für die in Absatz 6 genannte Übermittlung von API-Daten an den Router zu verwenden sind.

Artikel 5

Übermittlung von API-Daten vom Router an die PIUs

(1)Der Router übermittelt die von den Fluggesellschaften gemäß Artikel 4 an ihn übermittelten API-Daten unverzüglich und automatisch an die PIUs des Mitgliedstaats, in dessen Hoheitsgebiet der Flug ankommt oder von dem der Flug abgeht, oder an beide im Falle von EU-Flügen. Erfolgen auf einem Flug eine oder mehrere Zwischenlandungen im Hoheitsgebiet anderer Mitgliedstaaten als dem Mitgliedstaat, von dem aus der Flug gestartet ist, so übermittelt der Router die API-Daten an die PIUs aller betroffenen Mitgliedstaaten. 

Für die Zwecke dieser Übermittlung erstellt und pflegt eu-LISA eine Entsprechungstabelle mit den verschiedenen Herkunfts- und Zielflughäfen und den Ländern, zu denen sie gehören.

Bei EU-Flügen jedoch übermittelt der Router der PIU nur die API-Daten für die Flüge, die in der in Absatz 2 genannten Liste aufgeführt sind.

Der Router übermittelt die API-Daten gemäß den in Absatz 3 genannten detaillierten Vorschriften, sofern solche Vorschriften erlassen wurden und anwendbar sind.

(2)Mitgliedstaaten, die gemäß Artikel 2 der Richtlinie (EU) 2016/681 entscheiden, diese Richtlinie auf EU-Flüge anzuwenden, erstellen jeweils eine Liste der betroffenen EU-Flüge und übermitteln diese Liste spätestens bis zu dem in Artikel 21 Absatz 2 genannten Geltungsbeginn dieser Verordnung an eu-LISA. Diese Mitgliedstaaten überprüfen die Listen im Einklang mit Artikel 2 der genannten Richtlinie regelmäßig, aktualisieren sie erforderlichenfalls und übermitteln eu-LISA unverzüglich etwaige aktualisierte Fassungen. Die in diesen Listen enthaltenen Informationen sind vertraulich zu behandeln.

(3)Der Kommission wird die Befugnis übertragen, gemäß Artikel 19 delegierte Rechtsakte zur Ergänzung dieser Verordnung zu erlassen, in denen sie die erforderlichen detaillierten technischen und verfahrenstechnischen Vorschriften für die in Absatz 1 genannte Übermittlung von API-Daten durch den Router festlegt.

KAPITEL 3

PROTOKOLLIERUNG, SCHUTZ PERSONENBEZOGENER DATEN UND SICHERHEIT

Artikel 6

Protokollierung

(1)Die Fluggesellschaften erstellen Protokolle über alle nach dieser Verordnung mithilfe der in Artikel 4 Absatz 3 genannten automatisierten Verfahren durchgeführten Verarbeitungsvorgänge. Die Protokolle umfassen Datum, Uhrzeit und Ort der Übermittlung der API-Daten.

(2)Die Protokolle nach Absatz 1 dürfen ausschließlich verwendet werden, um die Sicherheit und Integrität der API-Daten und die Rechtmäßigkeit der Verarbeitung zu gewährleisten, insbesondere im Hinblick auf die Einhaltung der Anforderungen dieser Verordnung, einschließlich der Verfahren für Sanktionen bei Verstößen gegen diese Anforderungen gemäß den Artikeln 15 und 16.

(3)Die Fluggesellschaften treffen geeignete Maßnahmen, um die von ihnen gemäß Absatz 1 erstellten Protokolle vor unbefugtem Zugriff und anderen Sicherheitsrisiken zu schützen.

(4)Die Fluggesellschaften speichern die gemäß Absatz 1 erstellten Protokolle ab dem Zeitpunkt ihrer Erstellung ein Jahr lang. Nach Ablauf dieser Frist löschen sie die Protokolle unverzüglich und dauerhaft.

Werden diese Protokolle jedoch für Verfahren zur Überwachung oder Gewährleistung der Sicherheit und Integrität der API-Daten oder der Rechtmäßigkeit der Verarbeitungsvorgänge gemäß Absatz 2 benötigt und sind diese Verfahren zum Zeitpunkt des Ablaufs der in Unterabsatz 1 genannten Frist bereits eingeleitet worden, so können die Fluggesellschaften die Protokolle so lange speichern, wie dies für diese Verfahren erforderlich ist. In diesem Fall löschen sie diese Protokolle unverzüglich, wenn sie für diese Verfahren nicht mehr erforderlich sind.

Artikel 7

Verantwortlicher für die Verarbeitung personenbezogener Daten

Die PIUs sind Verantwortliche im Sinne des Artikels 3 Nummer 8 der Richtlinie (EU) 2016/680 für die über den Router erfolgende Verarbeitung von API-Daten, die personenbezogene Daten im Sinne der vorliegenden Verordnung darstellen, einschließlich der Übermittlung dieser Daten und ihrer Speicherung im Router aus technischen Gründen.

Die Fluggesellschaften sind Verantwortliche im Sinne des Artikels 4 Nummer 7 der Verordnung (EU) 2016/679 für die Verarbeitung von API-Daten, die personenbezogene Daten darstellen, in Bezug auf die Erhebung dieser Daten und ihre Übermittlung an den Router gemäß der vorliegenden Verordnung.

Artikel 8

Sicherheit

Die PIUs und die Fluggesellschaften gewährleisten die Sicherheit der API-Daten, insbesondere personenbezogener API-Daten, die sie gemäß dieser Verordnung verarbeiten.

Die PIUs und die Fluggesellschaften arbeiten gemäß ihren jeweiligen Zuständigkeiten und im Einklang mit dem Unionsrecht untereinander und mit eu-LISA zusammen, um diese Sicherheit zu gewährleisten.

Artikel 9

Eigenkontrolle

Die Fluggesellschaften und die PIUs überwachen die Einhaltung der ihnen nach dieser Verordnung obliegenden Verpflichtungen, insbesondere in Bezug auf die Verarbeitung personenbezogener API-Daten, unter anderem durch häufige Überprüfung der Protokolle gemäß Artikel 7.

KAPITEL 4

BESTIMMUNGEN ZUM ROUTER

Artikel 10

Anbindung der PIUs an den Router

(1)Die Mitgliedstaaten gewährleisten die Anbindung ihrer PIUs an den Router. Sie sorgen dafür, dass ihre nationalen Systeme und ihre nationale Infrastruktur für den Empfang und die Weiterverarbeitung der gemäß dieser Verordnung übermittelten API-Daten an den Router angepasst werden.

Die Mitgliedstaaten stellen sicher, dass die Anbindung und Anpassung an den Router es ihren PIUs ermöglicht, die API-Daten zu empfangen und weiterzuverarbeiten sowie alle diesbezüglichen Mitteilungen auf rechtmäßige, sichere, wirksame und rasche Weise auszutauschen.

(2)Der Kommission wird die Befugnis übertragen, gemäß Artikel 19 delegierte Rechtsakte zur Ergänzung dieser Verordnung zu erlassen, in denen sie für die in Absatz 1 genannten Anbindungen und Anpassungen an den Router die erforderlichen detaillierten Vorschriften festlegt.

Artikel 11

Anbindung der Fluggesellschaften an den Router

(1)Die Fluggesellschaften gewährleisten ihre Anbindung an den Router. Sie sorgen dafür, dass ihre Systeme und Infrastruktur für die Übermittlung von API-Daten an den Router gemäß dieser Verordnung an den Router angepasst werden.

Die Fluggesellschaften stellen sicher, dass die Anbindung und Anpassung an den Router es ihnen ermöglicht, die API-Daten zu übermitteln sowie alle diesbezüglichen Mitteilungen auf rechtmäßige, sichere, wirksame und rasche Weise auszutauschen.

(2)Der Kommission wird die Befugnis übertragen, gemäß Artikel 19 delegierte Rechtsakte zur Ergänzung dieser Verordnung zu erlassen, in denen sie für die in Absatz 1 genannten Anbindungen und Anpassungen an den Router die erforderlichen detaillierten Vorschriften festlegt.

Artikel 12

Kosten der Mitgliedstaaten

(1)Die Kosten, die den Mitgliedstaaten im Zusammenhang mit ihrer Anbindung und Anpassung an den Router gemäß Artikel 10 entstehen, werden aus dem Gesamthaushaltsplan der Union finanziert.

Folgende Kosten sind jedoch hiervon ausgenommen und von den Mitgliedstaaten zu tragen:

a)Kosten für Projektmanagement, einschließlich Kosten für Sitzungen, Dienstreisen und Büros;

b)Kosten für das Hosting nationaler IT-Systeme, einschließlich Kosten für Räumlichkeiten, Implementierung, Stromversorgung und Kühlung;

c)Kosten für den Betrieb nationaler IT-Systeme, einschließlich Betreiber- und Unterstützungsverträgen;

d)Kosten für Konzeption, Entwicklung, Implementierung, Betrieb und Wartung nationaler Kommunikationsnetze.

(2)Die Mitgliedstaaten tragen auch die Kosten für die Verwaltung, Nutzung und Wartung ihrer Anbindung und Anpassung an den Router.

Artikel 13

Maßnahmen für den Fall, dass die Nutzung des Routers technisch nicht möglich ist

(1)Wenn es wegen eines Ausfalls des Routers technisch nicht möglich ist, den Router für die Übermittlung von API-Daten zu nutzen, benachrichtigt eu-LISA die Fluggesellschaften und PIUs unverzüglich auf automatisierte Weise über diese technische Unmöglichkeit. In diesem Fall ergreift eu-LISA unverzüglich Maßnahmen zur Behebung der technischen Unmöglichkeit der Nutzung des Routers und benachrichtigt die betreffenden Parteien unverzüglich, wenn das Problem erfolgreich behoben wurde.

Während des Zeitraums zwischen diesen Benachrichtigungen findet Artikel 4 Absatz 6 keine Anwendung, sofern die Übermittlung von API-Daten an den Router aufgrund der technischen Unmöglichkeit nicht erfolgen kann. In diesem Fall findet Artikel 4 Absatz 1 während dieses Zeitraums auch nicht auf die betreffenden API-Daten Anwendung.

(2)Wenn es wegen eines Ausfalls der in Artikel 10 genannten Systeme oder Infrastruktur eines Mitgliedstaats technisch nicht möglich ist, den Router für die Übermittlung von API-Daten zu nutzen, benachrichtigt die PIU des betreffenden Mitgliedstaats die Fluggesellschaften, die anderen PIUs, eu-LISA und die Kommission unverzüglich auf automatisierte Weise über diese technische Unmöglichkeit. In diesem Fall ergreift der betreffende Mitgliedstaat unverzüglich Maßnahmen zur Behebung der technischen Unmöglichkeit der Nutzung des Routers und benachrichtigt die betreffenden Parteien unverzüglich, wenn das Problem erfolgreich behoben wurde.

Während des Zeitraums zwischen diesen Benachrichtigungen findet Artikel 4 Absatz 6 keine Anwendung, sofern die Übermittlung von API-Daten an den Router aufgrund der technischen Unmöglichkeit nicht erfolgen kann. In diesem Fall findet Artikel 4 Absatz 1 während dieses Zeitraums auch nicht auf die betreffenden API-Daten Anwendung.

(3)Wenn es wegen eines Ausfalls der in Artikel 11 genannten Systeme oder Infrastruktur einer Fluggesellschaft technisch nicht möglich ist, den Router für die Übermittlung von API-Daten zu nutzen, benachrichtigt die betreffende Fluggesellschaft die PIUs, eu-LISA und die Kommission unverzüglich auf automatisierte Weise über diese technische Unmöglichkeit. In diesem Fall ergreift die betreffende Fluggesellschaft unverzüglich Maßnahmen zur Behebung der technischen Unmöglichkeit der Nutzung des Routers und benachrichtigt die betreffenden Parteien unverzüglich, wenn das Problem erfolgreich behoben wurde.

Während des Zeitraums zwischen diesen Benachrichtigungen findet Artikel 4 Absatz 6 keine Anwendung, sofern die Übermittlung von API-Daten an den Router aufgrund der technischen Unmöglichkeit nicht erfolgen kann. In diesem Fall findet Artikel 4 Absatz 1 während dieses Zeitraums auch nicht auf die betreffenden API-Daten Anwendung.

Wurde die technische Unmöglichkeit erfolgreich behoben, so legt die betreffende Fluggesellschaft der in Artikel 15 genannten zuständigen nationalen Aufsichtsbehörde unverzüglich einen Bericht mit allen erforderlichen Einzelheiten über die technische Unmöglichkeit vor, einschließlich der Gründe für die technische Unmöglichkeit, ihres Umfangs und ihrer Folgen sowie der ergriffenen Abhilfemaßnahmen.

Artikel 14

Haftung in Bezug auf den Router

Für Schäden am Router, die darauf zurückzuführen sind, dass ein Mitgliedstaat oder eine Fluggesellschaft den in dieser Verordnung festgelegten Verpflichtungen nicht nachgekommen ist, haftet dieser Mitgliedstaat bzw. diese Fluggesellschaft, sofern und soweit eu-LISA keine angemessenen Maßnahmen ergriffen hat, um den Schaden abzuwenden oder zu mindern.

KAPITEL 5

AUFSICHT, SANKTIONEN UND HANDBUCH

Artikel 15

Nationale Aufsichtsbehörde

(1)Die Mitgliedstaaten benennen eine oder mehrere nationale Aufsichtsbehörden, die dafür zuständig sind, die Anwendung der Bestimmungen dieser Verordnung durch die Fluggesellschaften in ihrem Hoheitsgebiet zu überwachen und die Einhaltung dieser Bestimmungen sicherzustellen.

(2)Die Mitgliedstaaten stellen sicher, dass die nationalen Aufsichtsbehörden über alle erforderlichen Mittel und alle erforderlichen Untersuchungs- und Durchsetzungsbefugnisse verfügen, um ihre Aufgaben gemäß dieser Verordnung wahrzunehmen und gegebenenfalls auch die in Artikel 16 festgelegten Sanktionen zu verhängen. Sie legen detaillierte Vorschriften für die Wahrnehmung dieser Aufgaben und die Ausübung dieser Befugnisse fest und stellen dabei sicher, dass die betreffenden Maßnahmen wirksam, verhältnismäßig und abschreckend sind und gemäß den im Unionsrecht garantierten Grundrechten geeigneten Schutzvorkehrungen unterliegen.

(3)    Die Mitgliedstaaten melden der Kommission bis zu dem in Artikel 21 Absatz 2 genannten Geltungsbeginn dieser Verordnung die Namen und Kontaktdaten der von ihnen gemäß Absatz 1 dieses Artikels benannten Behörden und übermitteln ihr die gemäß Absatz 2 dieses Artikels erlassenen detaillierten Vorschriften. Sie melden der Kommission unverzüglich alle diesbezüglichen Änderungen.

(4)Die Befugnisse der Aufsichtsbehörden nach Artikel 51 der Verordnung (EU) 2016/679 und Artikel 41 der Richtlinie (EU) 2016/680 bleiben von diesem Artikel unberührt.

Artikel 16

Sanktionen

Die Mitgliedstaaten erlassen Vorschriften über Sanktionen, die bei Verstößen gegen diese Verordnung zu verhängen sind, und treffen alle für die Anwendung der Sanktionen erforderlichen Maßnahmen. Die vorgesehenen Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.

Die Mitgliedstaaten teilen der Kommission diese Vorschriften und Maßnahmen bis zu dem in Artikel 21 Absatz 2 festgelegten Geltungsbeginn dieser Verordnung mit und melden ihr unverzüglich alle diesbezüglichen Änderungen.

Artikel 17

Handbuch

Die Kommission erstellt in enger Zusammenarbeit mit den PIUs, anderen einschlägigen Behörden der Mitgliedstaaten, den Fluggesellschaften und den zuständigen Agenturen der Union ein Handbuch mit Leitlinien, Empfehlungen und bewährten Verfahren für die Durchführung dieser Verordnung und macht dieses öffentlich zugänglich.

Das Handbuch berücksichtigt bereits bestehende einschlägige Handbücher.

Die Kommission nimmt das Handbuch in Form einer Empfehlung an.

KAPITEL 6

AUSWIRKUNGEN AUF ANDERE BESTEHENDE RECHTSAKTE

Artikel 18

Änderungen der Verordnung (EU) 2019/818

___________

Artikel 39 Absätze 1 und 2 erhalten folgende Fassung:

„(1) Es wird ein zentraler Speicher für Berichte und Statistiken (CRRS) eingerichtet, um die Ziele des SIS, von Eurodac sowie des ECRIS-TCN gemäß den entsprechenden geltenden Rechtsinstrumenten zu unterstützen und systemübergreifende statistische Daten und analytische Berichte für politische und operative Zwecke sowie für die Zwecke der Datenqualität bereitzustellen. Der CRRS unterstützt auch die Ziele der Verordnung (EU).../... des Europäischen Parlaments und des Rates* [diese Verordnung].

*    Verordnung (EU) [Nummer] des Europäischen Parlaments und des Rates vom xy über [amtlicher Titel] (ABl. L ...).

(2) eu-LISA sorgt an ihren technischen Standorten für die Einrichtung, die Implementierung und das Hosting des CRRS, das logisch nach den EU-Informationssystemen getrennt die Daten und Statistiken nach Artikel 74 der Verordnung (EU) 2018/1862 und Artikel 32 der Verordnung (EU) 2019/816 enthält. eu-LISA erhebt auch die Daten und Statistiken des in Artikel 13 Absatz 1 der Verordnung (EU) …/…* [diese Verordnung] genannten Routers. Der Zugang zum CRRS erfolgt in Form eines kontrollierten, gesicherten Zugangs und spezifischer Nutzerprofile und wird den in Artikel 74 der Verordnung (EU) 2018/1862, Artikel 32 der Verordnung (EU) 2019/816 und Artikel 13 Absatz 1 der Verordnung (EU) …/…* [diese Verordnung] genannten Behörden ausschließlich zu Berichterstattungs- und Statistikzwecken gewährt.“

KAPITEL 7

SCHLUSSBESTIMMUNGEN

Artikel 19

Ausübung der Befugnisübertragung

(1)Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.

(2)Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 4 Absätze 5 und 9, Artikel 5 Absatz 3, Artikel 10 Absatz 2 und Artikel 11 Absatz 2 wird der Kommission für einen Zeitraum von fünf Jahren ab dem [Tag des Erlasses der Verordnung] übertragen. Die Kommission erstellt spätestens neun Monate vor Ablauf des Zeitraums von fünf Jahren einen Bericht über die Befugnisübertragung. Die Befugnisübertragung verlängert sich stillschweigend um Zeiträume gleicher Länge, es sei denn, das Europäische Parlament oder der Rat widersprechen einer solchen Verlängerung spätestens drei Monate vor Ablauf des jeweiligen Zeitraums.

(3)Die Befugnisübertragung gemäß Artikel 4 Absätze 5 und 9, Artikel 5 Absatz 3, Artikel 10 Absatz 2 und Artikel 11 Absatz 2 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem im Beschluss über den Widerruf angegebenen späteren Zeitpunkt wirksam. Die Gültigkeit von delegierten Rechtsakten, die bereits in Kraft sind, wird von dem Beschluss über den Widerruf nicht berührt.

(4)Vor dem Erlass eines delegierten Rechtsakts konsultiert die Kommission die von den einzelnen Mitgliedstaaten benannten Sachverständigen im Einklang mit den in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung enthaltenen Grundsätzen.

(5)Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.

Artikel 20

Überwachung und Evaluierung

(1)Bis zum [vier Jahre nach Inkrafttreten dieser Verordnung] und danach alle vier Jahre erstellt die Kommission einen Bericht mit einer Gesamtevaluierung dieser Verordnung, einschließlich einer Bewertung

a)der Anwendung dieser Verordnung;

b)des Umfangs, in dem die Ziele der Verordnung erreicht wurden;

c)der Auswirkungen dieser Verordnung auf die durch das Unionsrecht geschützten Grundrechte.

d)Die Kommission übermittelt den Evaluierungsbericht dem Europäischen Parlament, dem Rat, dem Europäischen Datenschutzbeauftragten und der Agentur der Europäischen Union für Grundrechte. Auf der Grundlage der Evaluierung legt die Kommission dem Europäischen Parlament und dem Rat gegebenenfalls einen Gesetzgebungsvorschlag zur Änderung dieser Verordnung vor.

(2)Die Mitgliedstaaten und die Fluggesellschaften übermitteln der Kommission auf Anfrage die für die Ausarbeitung des Berichts nach Absatz 1 erforderlichen Informationen. Die Mitgliedstaaten können jedoch davon absehen, solche Informationen bereitzustellen, wenn und soweit dies erforderlich ist, um vertrauliche Arbeitsmethoden nicht offenzulegen oder um laufende Ermittlungen ihrer PIUs oder anderer Strafverfolgungsbehörden nicht zu gefährden. Die Kommission stellt sicher, dass alle übermittelten vertraulichen Informationen angemessen geschützt werden.

Artikel 21

Inkrafttreten und Anwendung

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Ihre Anwendung beginnt zwei Jahre nach dem von der Kommission gemäß Artikel 27 der Verordnung (EU) [API Grenzmanagement] festgelegten Zeitpunkt der Inbetriebnahme des Routers.

Artikel 4 Absätze 5 und 9, Artikel 5 Absatz 3, Artikel 10 Absatz 2, Artikel 11 Absatz 2 und Artikel 19 gelten jedoch ab dem [Tag des Inkrafttretens dieser Verordnung].

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt gemäß den Verträgen unmittelbar in den Mitgliedstaaten.

Geschehen zu Straßburg am […]

FINANZBOGEN ZU RECHTSAKTEN

Die finanziellen Auswirkungen dieses Vorschlags sind im gemeinsamen Finanzbogen im Anhang des Vorschlags für die Verordnung (EU) [API Grenzmanagement] dargelegt.

(1)    Europol, Serious and Organised Crime Threat Assessment (SOCTA), 2021, https://www.europol.europa.eu/cms/sites/default/files/documents/socta2021_1.pdf .

(2)    Europol, Terrorism Situation and Trend Report (Te-SAT), 2021, https://www.europol.europa.eu/cms/sites/default/files/documents/tesat_2021_0.pdf .

(3)    Richtlinie (EU) 2016/681 des Europäischen Parlaments und des Rates vom 27. April 2016 über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität.

(4)    Richtlinie 2004/82/EG des Rates vom 29. April 2004 über die Verpflichtung von Beförderungsunternehmen, Angaben über die beförderten Personen zu übermitteln.

(5)    Siehe Anhang 1 Nummer 18 der Richtlinie (EU) 2016/681.

(6)    Resolutionen 2178 (2014), 2309 (2016), 2396 (2017) und 2482 (2019) des Sicherheitsrates der Vereinten Nationen sowie Beschluss Nr. 6/16 des OSZE-Ministerrats vom 9. Dezember 2016 über die verstärkte Verwendung vorab übermittelter Fluggastdaten.

(7)     Beschluss Nr. 6/16 des OSZE-Ministerrats vom 9. Dezember 2016 über die verstärkte Verwendung vorab übermittelter Fluggastdaten.

(8)    Europäische Kommission, Arbeitsunterlage der Kommissionsdienststellen zum Bericht über die Überprüfung der Richtlinie 2016/681, SWD(2020) 128 final.

(9)    COM(2021) 277 final vom 2.6.2021.

(10)    In der PNR-Richtlinie sind Bedingungen für die Verarbeitung der Daten festgelegt, z. B. in Bezug auf die zuständigen Behörden (Artikel 7), die Speicherfrist (Artikel 12) und den Schutz personenbezogener Daten (Artikel 13).

(11)    Urteil des Gerichtshofs vom 21. Juni 2022, Ligue des droits humains, C-817/19, ECLI:EU:C:2022:491.

(12)    Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

(13)    Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr.

(14)    Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39).

(15)    ICAO, Dokument 9303, Machine Readable Travel Documents, 8. Ausgabe, 2021, abrufbar unter: https://www.icao.int/publications/documents/9303_p1_cons_en.pdf .

(16)    Urteil des Gerichtshofs vom 21. Juni 2022, Ligue des droits humains, C-817/19, ECLI:EU:C:2022:491.

(17)    Europäische Kommission, Arbeitsunterlage der Kommissionsdienststellen, Bewertung der Richtlinie 2004/82/EG des Rates über die Verpflichtung von Beförderungsunternehmen, Angaben über die beförderten Personen zu übermitteln (API-Richtlinie) (SWD(2020) 174 final vom 8.9.2020, S. 26 und S. 43).

(18)    SWD(2020) 174, S. 57.

(19)    SWD(2020) 174.

(20)     https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12434-Grenzen-und-Strafverfolgung-vorab-ubermittelte-Fluggastdaten-uberarbeitete-Vorschriften_de  

(21)    Artikel 2 Absatz 1 der Verordnung (EU) 2021/1119 vom 30. Juni 2021 zur Schaffung des Rahmens für die Verwirklichung der Klimaneutralität (Europäisches Klimagesetz).

(22)    Urteil des Gerichtshofs vom 9.11.2010, Volker und Markus Schecke und Eifert, verbundene Rechtssachen C-92/09 und C-93/09, ECLI:EU:C:2010:662.

(23)    Im Einklang mit Artikel 52 Absatz 1 der Charta kann die Ausübung des Rechts auf Datenschutz eingeschränkt werden, sofern diese Einschränkungen gesetzlich vorgesehen sind, den Wesensgehalt des Rechts und der Freiheiten achten, unter Wahrung des Grundsatzes der Verhältnismäßigkeit erforderlich sind und den von der Europäischen Union anerkannten, dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen.

(24)    Urteil des Gerichtshofs vom 5. Juni 2018, Coman, C‑673/16, ECLI:EU:C:2018:385.

(25)    Verordnung (EU) 2021/1149 des Europäischen Parlaments und des Rates vom 7. Juli 2021 zur Einrichtung des Fonds für die innere Sicherheit.

(26)    ABl. C … vom …, S. ….

(27)    Richtlinie 2004/82/EG des Rates vom 29. April 2004 über die Verpflichtung von Beförderungsunternehmen, Angaben über die beförderten Personen zu übermitteln (ABl. L 261 vom 6.8.2004, S. 24).

(28)    Richtlinie (EU) 2016/681 des Europäischen Parlaments und des Rates vom 27. April 2016 über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität (ABl. L 119 vom 4.5.2016, S. 132).

(29)    ABl. C … vom …, S. ….

(30)    Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).

(31)    Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89).

(32)    Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39).

(33)    ABl. L 123 vom 12.5.2016, S. 1.

(34)    [ABl. C …].

(35)    Richtlinie (EU) 2017/541 des Europäischen Parlaments und des Rates vom 15. März 2017 zur Terrorismusbekämpfung und zur Ersetzung des Rahmenbeschlusses 2002/475/JI des Rates und zur Änderung des Beschlusses 2005/671/JI des Rates (ABl. L 88 vom 31.3.2017, S. 6).