Straßburg, den 13.12.2022

SWD(2022) 423 final

ARBEITSUNTERLAGE DER KOMMISSIONSDIENSTSTELLEN

BERICHT ÜBER DIE FOLGENABSCHÄTZUNG (ZUSAMMENFASSUNG)

Begleitunterlage zur

Verordnung des Europäischen Parlament und des Rates über die Erhebung und Übermittlung vorab übermittelter Fluggastdaten (API) zur Verbesserung und Erleichterung der Kontrollen an den Außengrenzen, zur Änderung der Verordnung (EU) 2019/817 und der Verordnung (EU) 2018/1726 sowie zur Aufhebung der Richtlinie 2004/82/EG des Rates

und zur

Verordnung des Europäischen Parlament und des Rates über die Erhebung und Übermittlung von API-Daten zur Verhütung, Aufdeckung, Untersuchung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität und zur Änderung der Verordnung (EU) 2019/818

{COM(2022) 729 final} - {SEC(2022) 444 final} - {SWD(2022) 421 final} - {SWD(2022) 422 final}


Zusammenfassung

Folgenabschätzung zur Überarbeitung der Richtlinie über vorab übermittelte Fluggastdaten (API)

A. Handlungsbedarf

Warum? Worum geht es?

In den letzten Jahrzehnten wurden Flugreisen zunehmend mehr genutzt, und die EU verzeichnete (im Jahr 2019) rund 1 Milliarde Fluggäste, von denen die Hälfte in die EU ein- oder aus der EU ausgereist sind. Das stellt eine Belastung für ihre Luftaußengrenzen dar. Vor diesem Hintergrund sind vorab übermittelte Fluggastdaten (Advanced Passenger Information – API) ein wirksames Instrument, um die Grenzbehörden vorab über die Zahl und die Identität der Flugreisenden zu informieren, sodass vor ihrer Ankunft an der Außengrenze Vorabkontrollen durchgeführt werden können. Es gibt jedoch zwei Hauptprobleme, die zu Lücken und Unstimmigkeiten in der Art und Weise führen, wie die Mitgliedstaaten API-Daten sowohl für das Grenzmanagement als auch für Strafverfolgungszwecke verarbeiten.

·Erstens bedarf es für ein wirksames Grenzmanagement, dass alle Flugreisenden, die die Schengen-Außengrenzen überschreiten, systematisch wirksamen Vorabkontrollen anhand der API-Daten unterzogen werden. Allerdings fordern nicht alle Mitgliedstaaten die Fluggesellschaften dazu auf, API-Daten zu übermitteln. Darüber hinaus wurde bei der Bewertung der API-Richtlinie im Jahr 2020 festgestellt, dass die Mitgliedstaaten, die ein API-System eingerichtet haben, die Möglichkeit der Verarbeitung von API-Daten nicht ausreichend für ein verbessertes Grenzmanagement nutzen. Die wirksame Verwendung von API-Daten erfordert zudem die Erhebung zuverlässiger und verifizierter Daten, was heute mitunter nicht der Fall ist. Die API-Richtlinie schreibt nämlich nicht vor, wie API-Daten von Fluggästen erhoben werden sollen; dies kann dazu führen, dass unvollständige oder unrichtige Daten an die nationalen Behörden übermittelt werden. Aufgrund dieser Faktoren und der Flexibilität, die durch die Anforderungen der API-Richtlinie ermöglicht wird, bestehen große Unterschiede in der Art und Weise, wie die Mitgliedstaaten die API-Richtlinie umsetzen. Folglich wird nicht jeder Fluggast, der die Schengen-Außengrenze überschreitet, einer Vorabkontrolle anhand der API-Daten unterzogen.

·Zweitens ist die gemeinsame Verarbeitung von API-Daten und Fluggastdatensätzen (PNR-Daten) ein wirksames Instrument für die Strafverfolgungsbehörden, um Terroristen und andere schwere Straftäter aufzuspüren. Die Bekämpfung von schwerer Kriminalität und Terrorismus ist ein klarer Zweck der Verarbeitung von API-Daten; das kann jedoch nur dann wirksam erfolgen, wenn die Daten in Verbindung mit den in den PNR-Daten enthaltenen Buchungsinformationen verarbeitet werden. Die oben festgestellten Mängel bei der Verarbeitung von API-Daten untergraben die Verwendung der Daten für Strafverfolgungszwecke. Da der derzeitige EU-Rahmen darüber hinaus die gemeinsame Verarbeitung von API-Daten und PNR-Daten nur für Flüge aus oder in Drittstaaten ermöglicht, besteht eine erhebliche Sicherheitslücke bei der Verarbeitung von Fluggastdaten durch die Behörden der Mitgliedstaaten bei EU-Flügen und bei Inlandsflügen. Um diese Lücke zu schließen, wurde in der Strategie der Kommission vom Juni 2021 für einen reibungslos funktionierenden und resilienten Schengen-Raum eine verstärkte Verwendung von API-Daten in Kombination mit PNR-Daten für Flüge innerhalb des Schengen-Raums gefordert, um die innere Sicherheit im Einklang mit dem Grundrecht auf Schutz personenbezogener Daten und dem Grundrecht auf Freizügigkeit erheblich zu verbessern. 1

Was soll mit dieser Initiative erreicht werden?

Mit dieser Initiative soll das Management an den Schengen-Außengrenzen verbessert werden, indem sichergestellt wird, dass jeder Fluggast, der in den Schengen-Raum reist oder diesen verlässt, vor der Ankunft an der Schengen-Außengrenze einer Vorabkontrolle anhand von API-Daten unterzogen wird. Mit dieser Initiative soll auch die innere Sicherheit der EU verbessert werden, indem den Strafverfolgungsbehörden der Mitgliedstaaten ein Zugang zu zuverlässigen Fluggastdaten ermöglicht wird, um Terrorismus und schwere Kriminalität wirksam zu verhindern und zu bekämpfen. Zur Erreichung dieser allgemeinen Ziele werden in der Initiative drei Einzelziele festgelegt:

·Sicherstellung von Vorabkontrollen anhand der API-Daten an den Schengen-Außengrenzen: Die Erhebung von API-Daten ermöglicht es den nationalen Behörden, Fluggastdaten systematisch mit Informationen in nationalen, Unions- und internationalen Datenbanken abzugleichen und dies zu tun, bevor ein Fluggast tatsächlich an der Grenzübergangsstelle eintrifft. Dank der API-Daten haben die Grenzschutzbeamten mehr Zeit, um die Informationen zu analysieren, und sie können ihre Arbeit besser organisieren.

·Erleichterung des Reiseflusses für Bona-fide-Reisende an den Schengen-Außengrenzen: Anhand der API-Daten wird die Abfertigung von Fluggästen, die ein geringes Risiko darstellen, erleichtert. Die Kontrolle bestimmter Fluggäste lässt sich besser vorbereiten, indem sie anhand der API-Daten vor ihrer Ankunft identifiziert werden, was die Grenzübertrittskontrollen beschleunigt, da die Fluggäste, die einer zweiten Kontrolle unterzogen werden sollten, von den anderen Fluggästen getrennt werden können, sodass Letztere nicht in einer langen Warteschlange stehen müssen.

·Wirksame Bekämpfung von schwerer Kriminalität und Terrorismus durch die gemeinsame Verarbeitung von API-Daten und PNR-Daten: Die mit automatisierten Mitteln erhobenen API-Daten ermöglichen es, diejenigen Fluggäste zuverlässig zu identifizieren, die für die im Bereich schwere Kriminalität und Terrorismus ermittelnden zuständigen Behörden von besonderem Interesse sind. Um die gemeinsame Verarbeitung von API-Daten und PNR-Daten zu ermöglichen, sollte jeder von den zuständigen Behörden empfangene PNR-Datensatz durch vollständige und korrekte API-Daten ergänzt werden, wobei das Grundrecht auf Schutz personenbezogener Daten und das Grundrecht auf Freizügigkeit zu achten sind.

Worin besteht der Mehrwert des Tätigwerdens auf EU-Ebene? 

Die API-Richtlinie hat zu uneinheitlichen und voneinander abweichenden Vorgehensweisen geführt, wie aus der Bewertung der Richtlinie im Jahr 2020 hervorgeht, sodass weitere Maßnahmen in diesem Bereich erforderlich sind, um die Wirksamkeit und Kohärenz der Verwendung der API-Daten für Vorabkontrollen an den Schengen-Außengrenzen zu gewährleisten. Durch das Tätigwerden auf EU-Ebene werden auch EU-weite Kriterien für die Erhebung und Übermittlung von API-Daten für Strafverfolgungszwecke bereitgestellt, was die Wirksamkeit der Verarbeitung von PNR-Daten zur Bekämpfung von schwerer Kriminalität und Terrorismus in der EU erhöht.

Klarere Kriterien für die Erhebung von API-Daten werden eine bessere Akzeptanz und Einhaltung durch die Luftverkehrsbranche gewährleisten und Effizienzgewinne bringen, insbesondere durch die Einführung der Verpflichtung zur Übermittlung von API-Daten an eine Eingangsstelle (Schnittstelle für Beförderungsunternehmen und API-Router) statt an mehrere nationale Behörden, wie es derzeit der Fall ist. Die nationalen Behörden und andere Interessenträger, die bei der Vorbereitung dieser Folgenabschätzung konsultiert wurden, forderten eine Überarbeitung der API-Richtlinie, um Kohärenz und Rechtsklarheit zu gewährleisten.

B. Lösungen

Welche legislativen und nichtlegislativen politischen Optionen wurden erwogen? Wird eine Option bevorzugt? Warum? 

Es wurde eine Reihe legislativer Optionen in Betracht gezogen; mit nichtlegislativen Optionen können die festgestellten Probleme nicht wirksam bewältigt werden. Nach einer Vorauswahl wurden einige Optionen rasch verworfen. Die in der Folgenabschätzung analysierten Optionen lassen sich in drei Gruppen zusammenfassen:

(1)Optionen in Bezug auf den Anwendungsbereich der Erhebung von API-Daten für das Management der Schengen-Außengrenzen mit zwei kumulativen Optionen:

-Politische Option 1.1 Erhebung von API-Daten zu allen von außerhalb des Schengen-Raums ankommenden Flügen;

-Politische Option 1.2: Erhebung von API-Daten zu allen von außerhalb des Schengen-Raums ankommenden und den dahin abgehenden Flügen.

(2)Optionen in Bezug auf den Anwendungsbereich der Erhebung von API-Daten zu Strafverfolgungszwecken, um die gemeinsame Verarbeitung von API- und PNR-Daten zu ermöglichen, mit zwei kumulativen Optionen:

-Politische Option 2.1: Erhebung von API-Daten zu allen ankommenden und abgehenden Drittstaatsflügen;

-Politische Option 2.2: Erhebung von API-Daten zu allen (ankommenden und abgehenden) Drittstaatsflügen, EU-Flügen und Inlandsflügen, für die PNR-Daten erhoben werden.

(3)Optionen im Hinblick auf die Qualität und die Erhebung von API-Daten als horizontaler Aspekt. Diese betreffen die Erhebung von API-Daten zu allen in Frage kommenden Flügen und Zwecken, was sich sowohl auf die Erhebung von API-Daten für das Management der Schengen-Außengrenzen als auch für Strafverfolgungszwecke auswirkt. Es gibt zwei alternative Optionen:

-Politische Option 3.1: Erhebung von API-Daten entweder mit automatisierten Mitteln oder manuell;

-Politische Option 3.2: Erhebung von API-Daten nur mit automatisierten Mitteln.

Bei den bevorzugten Optionen werden die Erhebungen von API-Daten zu ankommenden Flügen von außerhalb des Schengen-Raums für das Management der Schengen-Außengrenzen (politische Option 1.1), zu Drittstaatsflügen, zu ausgewählten EU-Flügen und zu Inlandsflügen, bei denen PNR-Daten zu Strafverfolgungszwecken erhoben werden, kombiniert (politische Option 2.2). Zu den bevorzugten Optionen gehört auch die Verpflichtung der Fluggesellschaften, einen kompletten API-Datensatz sowohl für das Management der Schengen-Außengrenzen als auch für Strafverfolgungszwecke ausschließlich unter Verwendung automatisierter Mittel zu übermitteln (politische Option 3.2).

Wer unterstützt welche Option? 

Im Zuge der Vorbereitung der Folgenabschätzung wurde ein breites Spektrum von Interessenträgern konsultiert, darunter nationale Behörden in den Mitgliedstaaten, EU-Agenturen, zivilgesellschaftliche Organisationen sowie Vertreter des Privatsektors und internationaler Organisationen. Zu den Konsultationstätigkeiten gehörten Umfragen, Interviews und Workshops mit den wichtigsten Interessenträgern. Die Mehrheit der konsultierten Interessenträger befürwortet die bevorzugte Option.

C. Auswirkungen der bevorzugten Option

Worin bestehen die Vorteile der bevorzugten Option bzw. der wesentlichen Optionen? 

Ein API-Instrument für das Außengrenzenmanagement verbessert die Fähigkeit der Mitgliedstaaten, API-Daten zu verwenden, um Flugreisende vor ihrer Ankunft an den Schengen-Außengrenzen einer wirksamen und effizienten Vorabkontrolle zu unterziehen. Durch die Standardisierung der Anforderungen an die Erhebung und Übermittlung von API-Daten wird die Einhaltung der Vorschriften durch die Luftverkehrsbranche verbessert, da in diesem Fall in allen Mitgliedstaaten die gleichen Anforderungen gelten. Durch zuverlässigere und verifizierte API-Daten, die mit automatisierten Mitteln erhoben werden, können Reisende identifiziert werden, die ein hohes Risiko darstellen, und es wird eine schnellere Abwicklung der Grenzübertrittskontrollen an den Außengrenzen und der Abfertigung der Fluggäste bei der Ankunft gewährleistet.

Durch ein separates API-Instrument für Strafverfolgungszwecke kann die Erhebung von API-Daten bei allen Flügen aus und in Drittstaaten sowie bei ausgewählten EU-Flügen und bei Inlandsflügen, für die PNR-Daten erhoben werden, geregelt werden. Eine gemeinsame Verarbeitung von API- und PNR-Daten kann die Schlagkraft der PNR-Richtlinie bei der Bekämpfung von schwerer Kriminalität und Terrorismus stärken. Die zuständigen nationalen Behörden (Zentralstellen für Fluggastdaten) können sich bei der Untersuchung von schweren Straftaten und Terrorismus und der Ermittlung der an diesen schweren Straftaten beteiligten Täter auf hochwertigere und verifizierte API-Daten stützen.

Welche Kosten entstehen bei der bevorzugten Option bzw. den wesentlichen Optionen? 

Die bevorzugte Option erfordert sowohl bei den nationalen Behörden als auch bei den Fluggesellschaften Investitionen. Die Kosten des API-Instruments für das Außengrenzenmanagement hängt für die Behörden der Mitgliedstaaten von der Größe des Landes und der Gesamtzahl der ankommenden Flüge ab. Die nationalen API-Systeme müssen geändert werden, damit zusätzliche Datenströme von zuvor nicht erhobenen Daten empfangen und verarbeitet werden können. Die Kosten werden auf durchschnittlich insgesamt 13,5 Mio. EUR geschätzt. Das Hauptkostenelement für die Fluggesellschaften sind die Kosten für die Übermittlung von API-Daten. Durch eine Verpflichtung zur systematischen Übermittlung von API-Daten für alle ankommenden Flüge erhöht sich das Volumen der übermittelten Daten, sodass zusätzliche Übermittlungskosten anfallen. Mit dieser Initiative sollen API-Daten jedoch nur an eine einzige Stelle übermittelt werden, nämlich an die Schnittstelle für Beförderungsunternehmen, zu der ein API-Router gehört, was die Übertragungskosten erheblich senken wird. Die diesbezüglichen Nettoeinsparungen werden auf 2,53 Mio. EUR pro Jahr geschätzt. Fluggesellschaften, die bei ihren Abfertigungsverfahren keine automatisierten Mittel verwenden, müssen außerdem entweder in ein solches System investieren oder Änderungen an ihren Systemen vornehmen, um API-Daten mithilfe automatisierter Mittel erheben zu können; die diesbezüglichen einmaligen Kosten werden auf 50 Mio. EUR geschätzt.

Infolge des API-Instruments für Strafverfolgungszwecke erhöht sich auch die Zahl der Fluggäste, zu denen die Fluggesellschaften Daten an die Behörden übermitteln müssen, wobei diese Kosten auch dadurch begrenzt werden, dass die Daten nur einmal an die Schnittstelle für Beförderungsunternehmen, zu der ein API-Router gehört, übermittelt werden. Diese Kosten werden auf insgesamt 75 Mio. EUR einmalige Kosten und 16,13 Mio. EUR wiederkehrende Kosten für die Übermittlung von API-Daten zu EU-Flügen sowie 4,21 Mio. EUR wiederkehrende Kosten für abgehende Flüge geschätzt. Auf die Mitgliedstaaten werden voraussichtlich keine Kosten zukommen, da die Verarbeitung zusätzlicher API-Daten mit den bestehenden Kapazitäten möglich ist.

Worin bestehen die Auswirkungen auf Unternehmen, KMU und Kleinstunternehmen?

Die vorgeschlagenen Maßnahmen werden voraussichtlich keine erheblichen Auswirkungen auf kleine und mittlere Unternehmen haben.

Wird es spürbare Auswirkungen auf nationale Haushalte und Behörden geben?

Die Summe der erwarteten Investitionskosten auf nationaler Ebene wird auf durchschnittlich 13,5 Mio. EUR geschätzt.

Wird es andere nennenswerte Auswirkungen geben? 

Alle bevorzugten Optionen stehen in Verbindung mit der Verarbeitung personenbezogener Daten. Folglich haben diese politischen Optionen Auswirkungen auf die Grundrechte, insbesondere auf das Recht auf Schutz personenbezogener Daten (Artikel 8 der EU-Grundrechtecharta) und auf Achtung des Privat- und Familienlebens (Artikel 7 der Charta). Die Erhebung von API-Daten zu ausgewählten EU-Flügen und zu Inlandsflügen könnte die Ausübung der in Artikel 45 der Charta garantierten Freizügigkeit behindern. Um die uneingeschränkte Einhaltung der Grundrechte zu gewährleisten, werden in der Folgenabschätzung die Grundrechte während der gesamten Analyse eingehend berücksichtigt, und es wird eine Reihe von erforderlichen wirksamen Schutzvorkehrungen genannt. Konkret soll die Erhebung von API-Daten zu EU-Flügen und zu Inlandsflügen zu Strafverfolgungszwecken nicht systematisch erfolgen und auf Flüge beschränkt sein, für die PNR-Daten erhoben werden. Bei der Erhebung von API-Daten sollen die im Urteil des Gerichtshofs in der Rechtssache Ligue des droits humains festgelegten Anforderungen und Schutzvorkehrungen angewandt werden. Die bevorzugten Optionen sollen alle einem Ziel von allgemeinem Interesse – dem wirksamen Management der Schengen-Außengrenzen und der Bekämpfung von schwerer Kriminalität und Terrorismus – entsprechen und strikt auf das zur Erreichung dieses Ziels erforderliche und verhältnismäßige Maß beschränkt sein.  

D. Folgemaßnahmen

Wann wird die Maßnahme überprüft?

Die Kommission wird sicherstellen, dass die notwendigen Vorkehrungen getroffen werden, um das Funktionieren der vorgeschlagenen Maßnahmen zu überwachen und sie anhand der wichtigsten politischen Ziele zu bewerten.

Nach Beginn der Anwendung der neuen API-Instrumente wird die Kommission dem Europäischen Parlament und dem Rat einen Bericht vorlegen, in dem die Umsetzung der Instrumente und ihr Mehrwert bewertet werden. In dem Bericht wird auch auf etwaige direkte oder indirekte Auswirkungen auf die Grundrechte eingegangen werden. Darin werden die Ergebnisse an den Zielen gemessen, und es wird beurteilt, ob die grundlegenden Prinzipien weiterhin Gültigkeit haben; außerdem werden etwaige Schlussfolgerungen für künftige Optionen gezogen.

Dabei berücksichtigt die Kommission die von den Mitgliedstaaten übermittelten Informationen und alle sonstigen sachdienlichen Informationen im Zusammenhang mit der Umsetzung der beiden Instrumente. Darüber hinaus wird die Übermittlung der API-Daten an die Schnittstelle für Beförderungsunternehmen und die Weiterleitung an die zuständigen nationalen Behörden über einen API-Router die Kommission bei ihren Bewertungs- und Durchsetzungsaufgaben unterstützen, da sie dadurch auf zuverlässige Statistiken über das Volumen der übermittelten Daten und über die Flüge, für die API-Daten angefordert werden, zugreifen kann.

(1)

   COM(2021) 277 final vom 2.6.2021.