Datenschutz über den Wolken – EU-Fluggastdatenrichtlinie verabschiedet

Die Verabschiedung der Datenschutzgrundverordnung ist in aller Munde und aktuell wohl das „Datenschutzthema Nr. 1“. Bei aller Aufmerksamkeit für die Grundverordnung geht oftmals aber unter, dass zeitgleich mit der Verordnung auch zwei Richtlinien mit datenschutzrechtlichem Bezug verabschiedet wurden. Neben einer Richtlinie zum Datenschutz bei der Verfolgung von Straftaten (Richtlinie (EU) 2016/680) ist dies die Richtlinie (EU) 2016/681 über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität. Diese soll nun bei der folgenden Betrachtung im Mittelpunkt stehen.

Wir berichteten bereits im vergangenen Jahr über die Sorgen einer möglichen Vorratsdatenspeicherung im Zusammenhang mit der Aufbewahrung von Fluggastdaten. Jetzt, da die Richtlinie nun im Amtsblatt der Union veröffentlicht wurde, ist es also an der Zeit, sich die endgültige Ausgestaltung anzusehen.

Welchen Inhalt hat die Richtlinie?

Wie der Name der Richtlinie (EU) 2016/681 schon vermuten lässt, geht es im Wesentlichen um die Verarbeitung von Fluggastdatensätzen, den sog. „PNR“ (Passenger Name Record). Über welche Datenarten sprechen wir dabei? Diese sind abschließend im Anhang 1 der Richtlinie gelistet und beinhalten unter anderem sowohl Daten zum Fluggast (Name, Anschrift, Kontaktangaben, Flugscheindaten, Sitzplatz), Angaben zum Buchungsprozess (Datum der Buchung, Zahlungsinformationen einschließlich Rechnungsanschrift, Vielflieger-Nummer) wie auch Angaben zum Reisebüro und zum aufgegebenen Gepäck. Diese Daten werden von den Fluggesellschaften erhoben und sollen von einer „PNR-Zentralstelle“ verarbeitet werden, die die EU-Mitgliedstaaten einzurichten haben. Eine Verarbeitung der Daten soll immer dann erfolgen, wenn es sich um einen sog. „Drittstaatsflug“ handelt, die Flüge also in einem Mitgliedstaat der Union starten und in einem Drittstaat (außerhalb der EU) landen oder aber die Flüge aus einem Drittstaat das Hoheitsgebiet eines Mitgliedstaates zum Ziel haben (die Mitgliedstaaten haben jedoch die Möglichkeit den Anwendungsbereich der Richtlinie auch auf innereuropäische Flüge auszuweiten). Darüber hinaus darf die Datenverarbeitung auch nur zweckgebunden vorgenommen werden. Nach Art. 6 der Richtlinie sind dies die Überprüfung von Fluggästen vor ihrer planmäßigen Ankunft anhand von vorgegebenen Risikokriterien oder der Listenabgleich bestimmter Personen, behördliche Anfragen in Verfahren zu Strafverfolgungszwecken oder die Aktualisierung der Prüfungskriterien. Diese im Voraus festgelegten Prüfungskriterien müssen zielgerichtet, verhältnismäßig und bestimmt sein und eine Überprüfung vor Ankunft darf nur in nichtdiskriminierender Weise erfolgen.

Und was ist mit der Vorratsdatenspeicherung?

Die PNR-Zentralstellen müssen die Fluggastdaten für einen Zeitraum von fünf Jahren vorhalten, wobei die Daten nach dem Ablauf von sechs Monaten unkenntlich gemacht werden müssen, bspw. durch das Entfernen von Merkmalen wie Name, Anschrift und Kontaktdaten. Soll der depersonalisierte Datensatz innerhalb der Fünfjahresfrist wieder offengelegt werden, so darf dies nur nach einer Erforderlichkeitsprüfung und kumulativer behördlicher Genehmigung erfolgen. Nach Ablauf der Frist ist der Datensatz unwiederbringlich zu löschen.

Im Ergebnis liegt damit kein Unterschied zum Richtlinienentwurf vor. Die Kritiken, wonach diese Art der Datenspeicherung nicht mit dem Urteil des EuGH aus dem April 2014 zur Vorratsdatenspeicherung in Einklang zu bringen sei, wurden damit wohl nicht berücksichtigt.

Dennoch versucht die Richtlinie durch verschiedene Schutzmaßnahmen zum Datenschutz den Bedenken einer unverhältnismäßigen Vorratsdatenspeicherung Rechnung zu tragen. Die wichtigsten Vorgaben lauten dabei wie folgt:

• Die PNR-Zentralstellen der Mitgliedstaaten haben einen Datenschutzbeauftragten zu benennen, der für die Überwachung der Verarbeitung der PNR-Daten und die Umsetzung der maßgeblichen Sicherheitsvorkehrungen zuständig ist.
• Es sind hohe Anforderungen an die Rückführung der Personenbeziehbarkeit des Datensatzes nach Ablauf der Sechsmonatsfrist zu stellen.
• Die Mitgliedstaaten haben dafür Sorge zu tragen, dass die Rechte eines jeden Fluggastes denjenigen entsprechen, wie sie im jeweiligen nationalen Recht und im Unionsrecht niedergelegt sind.
• Besondere personenbezogene Daten, wie sie auch im BDSG niedergelegt sind, dürfen nicht für den Kriterienkatalog herangezogen werden.
• Die PNR-Zentralstellen haben jeden Treffer bei der automatisierten Verarbeitung der PNR-Daten manuell und individuell ein zweites Mal zu überprüfen.

Wie geht es nun weiter?

Die Richtlinie wurde am 4. Mai 2016 im Amtsblatt der EU veröffentlicht und trat am 25. Mai 2016 in Kraft. Die Mitgliedstaaten haben nun bis zum 25. Mai 2018 Zeit, die Richtlinie in nationales Recht umzusetzen.