7.12.2013 |
DE |
Amtsblatt der Europäischen Union |
C 358/19 |
Zusammenfassung der Stellungnahme des Europäischen Datenschutzbeauftragten zum Vorschlag der Kommission für eine Verordnung über die Meldung von Ereignissen in der Zivilluftfahrt zur Aufhebung der Richtlinie 2003/42/EG, der Verordnung (EG) Nr. 1321/2007 der Kommission, der Verordnung (EG) Nr. 1330/2007 der Kommission und Artikel 19 der Verordnung (EU) Nr. 996/2010
(Der vollständige Text dieser Stellungnahme ist in englischer, französischer und deutscher Sprache auf der Internetpräsenz des EDSB unter http://www.edps.europa.eu erhältlich)
2013/C 358/11
1. Einleitung
1.1 Konsultation des EDSB
1. |
Am 18. Dezember 2012 nahm die Kommission einen Vorschlag für eine Verordnung über die Meldung von Ereignissen in der Zivilluftfahrt zur Aufhebung der Richtlinie 2003/42/EG, der Verordnung (EG) Nr. 1321/2007 der Kommission, der Verordnung (EG) Nr. 1330/2007 der Kommission und Artikel 19 der Verordnung (EU) Nr. 996/2010 (im Folgenden „der Vorschlag“ genannt) (1) an. Dieser Vorschlag wurde dem EDSB am 8. Januar 2013 zur Konsultation übermittelt. |
2. |
Der EDSB begrüßt es, dass er von der Kommission konsultiert und ein Verweis auf die vorliegende Stellungnahme in die Präambel des Vorschlags eingefügt wird. Vor der Annahme des Vorschlags hatte der EDSB die Möglichkeit, informell zum Entwurf Stellung zu nehmen. |
1.2 Zielsetzungen und Anwendungsbereich des Vorschlags
3. |
In den drei durch den Vorschlag aufzuhebenden Instrumenten wird die Meldung von Ereignissen wie folgt organisiert: Die Richtlinie 2003/42/EG (2) schreibt jedem Mitgliedstaat vor, ein System zur Erfassung meldepflichtiger Ereignisse einzurichten. Gemäß diesem Rechtsinstrument ist das Luftfahrtpersonal verpflichtet, während der täglichen Arbeit auftretende Ereignisse (3) über das von ihrer Organisation eingerichtete System zu melden (4). Außerdem sind die Mitgliedstaaten gehalten, Informationen über Ereignisse zu erfassen, zu speichern, zu schützen und untereinander zu verbreiten. Diese Rechtsvorschriften wurden durch zwei Durchführungsverordnungen ergänzt: die Verordnung (EG) Nr. 1321/2007 der Kommission (5) für die Zusammenführung der von den Mitgliedstaaten erfassten Informationen über Ereignisse in der Zivilluftfahrt in einem Europäischen Zentralspeicher und die Verordnung (EG) Nr. 1330/2007 (6), die Vorschriften bezüglich der Weitergabe von Informationen des Europäischen Zentralspeichers enthält. |
4. |
Der Vorschlag baut auf der Richtlinie 2003/42/EG auf und zielt darauf ab, die bestehenden Systeme zur Meldung von Ereignissen in der Zivilluftfahrt sowohl auf nationaler als auch auf europäischer Ebene zu verbessern. Neben anderen Änderungen verfolgt der Vorschlag folgende Zielsetzungen:
|
1.3 Ziel der Stellungnahme des EDSB
5. |
Dem Vorschlag ist zu entnehmen, dass Ereignisse den Organisationen von ihren Beschäftigten gemeldet werden, die diese in einer Datenbank speichern und an die zuständigen Behörden der Mitgliedstaaten oder an die Europäische Agentur für Flugsicherheit (EASA) übermitteln. Diese Behörden übermitteln — zusammen mit der EASA und der Kommission — Informationen über Ereignisse in der Zivilluftfahrt an den von der Kommission unterhaltenen Europäischen Zentralspeicher. Außerdem wird die Kommission Daten über die interessierten Kreise verarbeiten, die Zugang zu den im Europäischen Zentralspeicher gespeicherten Informationen beantragen. |
6. |
Der EDSB ist sich bewusst, dass in diesem Fall der Zweck des Vorschlags nicht die Verarbeitung personenbezogener Daten ist. Die gespeicherten, gemeldeten und übermittelten Informationen können sich jedoch auf natürliche Personen beziehen, die direkt oder indirekt bestimmbar sein könnten, wie die Meldenden, Dritte, die am gemeldeten Ereignis beteiligt sind, und interessierte Kreise, die um Zugang ersuchen (7). Die gemeldeten Informationen könnten sich nicht nur auf technische Probleme beziehen, sondern beispielsweise auch auf gewalttätige Fluggäste, auf die Einsatzunfähigkeit der Flugbesatzung oder auf gesundheitsrelevante Zwischenfälle (8). |
7. |
Aus diesem Grund wird in der vorliegenden Stellungnahme auf diejenigen Elemente des Vorschlags eingegangen, welche die Verarbeitung personenbezogener Daten betreffen. Die Stellungnahme baut auf einer früheren Stellungnahme des EDSB (9) zu einer der Verordnungen auf, die durch den Vorschlag aufgehoben werden (10). |
4. Schlussfolgerungen
46. |
Der EDSB begrüßt die Aufmerksamkeit, die dem Schutz personenbezogener Daten gewidmet wurde, insbesondere im Hinblick auf die eingegangene Verpflichtung, einen Großteil der im Rahmen der Ereignismeldungen verarbeiteten Daten zu „anonymisieren“. Er erinnert jedoch daran, dass die verarbeiteten Daten dennoch personenbezogene Daten bleiben und begrüßt folglich die Verweise auf die Anwendbarkeit der EU-Datenschutzvorschriften. Was im Vorschlag vorgesehen ist, entspricht höchstens einer teilweise Anonymisierung. |
47. |
Der EDSB empfiehlt, dass der Anwendungsbereich der „Anonymisierung“ geklärt wird. Insbesondere schlägt er folgende Verbesserungen des Textes vor:
|
48. |
Der EDSB empfiehlt, im Vorschlag anzugeben, wer der für die Verarbeitung Verantwortliche jeder Datenbank sein wird. Er empfiehlt auch, dass in den Anhängen I und II und in Artikel 5 Absatz 6 alle zu verarbeitenden Kategorien von Daten definiert werden und dass Artikel 7 Absatz 1 und Artikel 11 Absatz 1 entsprechend geklärt werden. Falls es nicht möglich ist, alle gemäß Artikel 7 Absatz 1, Artikel 5 Absatz 3, Artikel 5 Absatz 6 und Artikel 11 Absatz 1 zu verarbeitenden Ereignisse und Datenfelder anzugeben, sollte in diesen Artikeln zumindest erwähnt werden, dass die zusätzlichen, im Vorschlag nicht vorgesehenen Angaben keine besonderen Kategorien von Daten enthalten sollten, wie in Artikel 8 der Richtlinie 95/46/EG und Artikel 10 der Verordnung (EG) Nr. 45/2001 definiert („sensible Daten“). |
49. |
Der EDSB empfiehlt auch, dass die Aufbewahrungszeiträume der Daten in den Datenbanken sowie die Rechte der betroffenen Personen und die umzusetzenden Sicherheitsmaßnahmen angegeben werden. |
50. |
Im Fall der Übermittlung an Organisationen von Drittländern oder internationale Organisationen sollten diese sich im Rahmen eines verbindlichen Instruments verpflichten, angemessene Garantien zu gewähren. Diese Garantien könnten auf den Datenschutzgrundsätzen der von der Kommission angenommenen Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer basieren und in den Anhang des Vorschlags aufgenommen werden. |
51. |
Was die Verarbeitung der Daten interessierter Kreise angeht, die um Zugang zum Europäischen Zentralspeicher ersuchen, empfiehlt der EDSB, dass im Vorschlag die Datenschutzmaßnahmen angegeben werden, die für die Verarbeitung der Daten im Zusammenhang mit Dritten Anwendung finden (z. B. wie lange die Daten aufbewahrt werden, nachdem der Zugang gewährt oder verweigert wurde und wer Zugang zu diesen Daten hat). Außerdem sollte das in Anhang IV enthaltene Formular neben der Erklärung zum Zugriff auf Informationen (12) auch eine Datenschutzerklärung enthalten. |
52. |
Abschließend sollte die Notwendigkeit der Verarbeitung sensibler Daten aus den in Artikel 8 Absätze 2-4 der Richtlinie 95/46/EG und Artikel 10 Absätze 2-4 der Verordnung (EG) Nr. 45/2001 genannten Gründen in der Präambel gerechtfertigt werden. Der EDSB empfiehlt die Umsetzung zusätzlicher Garantien im Hinblick auf die Verarbeitung besonderer Kategorien von Daten, wie strengere Sicherheitsmaßnahmen, das Verbot, die verbundenen Kategorien von Daten Dritten offenzulegen, die nicht den EU-Datenschutzbestimmungen unterliegen und die Einschränkung der Offenlegung an andere interessierte Kreise. Außerdem kann die Verarbeitung dieser Kategorien von Daten einer Vorabkontrolle durch die nationalen Datenschutzbehörden der Mitgliedstaaten und durch den EDSB unterliegen. |
Brüssel, den 10. April 2013
Giovanni BUTTARELLI
Stellvertretender Europäischer Datenschutzbeauftragter
(1) COM(2012) 776 final.
(2) Richtlinie 2003/42/EG des Europäischen Parlaments und des Rates vom 13. Juni 2003 über die Meldung von Ereignissen in der Zivilluftfahrt (ABl. L 167 vom 4.7.2003, S. 23).
(3) „Ereignis“ ist ein Ereignis, das in Zusammenhang mit der Sicherheit in der Luftfahrt von wesentlicher Bedeutung ist oder sein könnte und insbesondere Unfälle und schwere Störungen (siehe Artikel 2 Absatz 8 des Vorschlags).
(4) „Organisation“ ist im Vorschlag definiert als „jede Art von Organisation, die Produkte und/oder Dienstleistungen der Luftfahrtbranche bereitstellt, und insbesondere Luftfahrzeugbetreiber, genehmigte Instandhaltungsbetriebe, für Musterbauart und/oder die Herstellung von Luftfahrzeugen zuständige Organisationen, Flugsicherungsorganisationen und zertifizierte Flugplätze“ (siehe Artikel 2 Absatz 9 des Vorschlags).
(5) Verordnung (EG) Nr. 1321/2007 der Kommission vom 12. November 2007 zur Festlegung von Durchführungsbestimmungen für die Zusammenführung der ausgetauschten Informationen über Ereignisse in der Zivilluftfahrt in einem Zentralspeicher (ABl. L 294 vom 13.11.2007, S. 3).
(6) Verordnung (EG) Nr. 1330/2007 der Kommission vom 24. September 2007 zur Festlegung von Durchführungsbestimmungen für die Weitergabe von Informationen über Ereignisse in der Zivilluftfahrt an interessierte Kreise (ABl. L 295 vom 14.11.2007, S. 7).
(7) Im Hinblick auf die personenbezogenen Daten siehe insbesondere Abschnitt 3.1.
(8) Siehe Anhang I des Vorschlags „Verzeichnis der Störungen, die nach dem System zur Erfassung meldepflichtiger Ereignisse zu melden sind“.
(9) Siehe Stellungnahme des Europäischen Datenschutzbeauftragten zum Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Untersuchung und Verhütung von Unfällen und Störungen in der Zivilluftfahrt (ABl. C 132 vom 21.5.2010, S. 1).
(10) Verordnung (EU) Nr. 996/2010 des Europäischen Parlaments und des Rates vom 20. Oktober 2010 über die Untersuchung und Verhütung von Unfällen und Störungen in der Zivilluftfahrt und zur Aufhebung der Richtlinie 94/56/EG (Text von Bedeutung für den EWR) (ABl. L 295 vom 12.11.2010, S. 35).
(11) Das heißt, indem sichergestellt wird, dass die Personen unter Berücksichtigung aller Mittel, die entweder von dem für die Verarbeitung Verantwortlichen oder jeden anderen Person nach vernünftiger Einschätzung genutzt werden können, nicht bestimmt werden können.
(12) Anhang IV Punkt 7.