EuGH: EU-Fluggastdatenspeicherung rechtens, nationale Umsetzung teils nicht

Der Europäische Gerichtshof hält die EU-Richtlinie zum Rastern von Flugpassagierdaten aufrecht. Für nationale Vorschriften gibt es aber hohe Auflagen.

Lesezeit: 7 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 8 Beiträge

(Bild: Bignai/Shutterstock.com)

Von
  • Stefan Krempl

Viele EU-Mitgliedsstaaten werden ihre nationalen Gesetze zur Umsetzung der umstrittenen EU-Richtlinie zum Rastern von Flugpassagierdaten von 2016 voraussichtlich neu fassen und die damit einhergehende Informationssammlung einschränken müssen. Dies hat der Europäische Gerichtshof (EuGH) in einem am Dienstag veröffentlichten Urteil auf eine Klage der Menschenrechtsorganisation Ligue des droits humains (LDH) vor dem belgischen Verfassungsgerichtshof hin klargemacht und die Hürden für einschlägige Maßnahmen hochgelegt.

Mit der Richtlinie können die sogenannten Passenger Name Records (PNR) grundsätzlich bis zu fünf Jahre lang gespeichert werden. Zu den PNR gehört eine Vielzahl sensibler Informationen, die vom Geburtsdatum über die Namen der Begleitpersonen, eventuelle Vielfliegernummern oder die zum Kauf des Fluges verwendeten Zahlungsmittel bis hin zu einem nicht näher definierten Freitextfeld reichen.

Der EuGH betont nun, dass die Achtung der Grundrechte eine Beschränkung der in der PNR-Richtlinie vorgesehenen Befugnisse zur Übermittlung, Verarbeitung und Speicherung von Fluggastdaten auf das "absolut notwendige" erfordert. Bestehe keine "reale und aktuelle oder vorhersehbare terroristische Bedrohung eines Mitgliedstaats", seien nationalen Gesetze nicht mit dem EU-Recht vereinbar, die eine anlasslose Übermittlung und Verarbeitung von Fluggastdaten etwa bei Flügen innerhalb der EU sowie bei Beförderungen mit anderen Mitteln wie per Bahn oder Schiff innerhalb der Gemeinschaft vorsehen.

Mit dem Urteil in der Rechtssache C-817/19 stellen die Luxemburger Richter zunächst fest, dass die Prüfung der vom belgischen Verfassungsgerichtshof 2019 vorgelegten Fragen nichts ergeben hat, was die Gültigkeit der PNR-Richtlinie an sich berühren könnte. Die EU-Vorgaben legen sie damit so aus, dass diese mit der Grundrechte-Charta der Gemeinschaft vereinbar sind. Eine ganze Reihe ihrer Erwägungsgründe und Bestimmungen erfordere eine solche Interpretation.

Zugleich räumt der EuGH aber ein, dass die PNR-Richtlinie "mit fraglos schwerwiegenden Eingriffen" in Grundrechte wie das auf Privatsphäre und Datenschutz verbunden sei. Sie ziele "auf die Schaffung eines Systems kontinuierlicher, nicht zielgerichteter und systematischer Überwachung ab", das die "automatisierte Überprüfung personenbezogener Daten" sämtlicher Flugreisender einschließe. Dies machen es erforderlich, die vorgesehenen Kompetenzen in der nationalen Umsetzung eng auszulegen.

Zu den vorzusehenden Schranken führen die Richter unter anderem aus, dass "die Anwendung des durch die Richtlinie geschaffenen Systems auf terroristische Straftaten und auf schwere Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit der Beförderung von Fluggästen beschränkt werden" müsse. Sie dürfe sich etwa nicht auf strafbare Handlungen erstrecken, die zwar das in den EU-Vorgaben vorgesehene Kriterium in Bezug auf den Schweregrad erfüllten, angesichts der Besonderheiten des nationalen Strafrechtssystems aber zur "gewöhnlichen Kriminalität" gehörten.

Die etwaige Ausdehnung der Anwendung der Richtlinie auf alle oder einen Teil der EU-Flüge muss sich laut dem EuGH "auf das absolut Notwendige beschränken". Nötig sei ferner eine Möglichkeit der wirksamen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle, deren Entscheidung bindend ist. Ohne reale, aktuelle oder vorhersehbare terroristische Bedrohung dürften nur EU-Flüge einbezogen werden, die etwa auf Basis konkreter Gefahrenanhaltspunkte bestimmte Flugverbindungen, Reisemuster oder Flughäfen betreffen.

Für die automatisierte Vorabüberprüfung von Flugpassagierdaten, mit der Personen ermittelt werden sollen, die vor ihrer Ankunft oder ihrem Abflug genauer überprüft werden müssen, dürfen nationale PNR-Zentralstellen wie die beim Bundeskriminalamt (BKA) diese Angaben laut dem Urteil nur mit Datenbanken für Personen oder Gegenstände abgleichen, nach denen gefahndet wird oder die Gegenstand einer Ausschreibung sind. Diese Informationssysteme müssen ferner frei von Diskriminierung sein und von den zuständigen Behörden im Kontext der Bekämpfung terroristischer Straftaten und schwerer Kriminalität im Zusammenhang mit Flugreisenden betrieben werden.

Die Zentralstelle darf der Entscheidung zufolge bei der Auslese zudem anhand im Voraus festgelegter Kriterien keine Technologien der Künstlichen Intelligenz (KI) in Form selbstlernender Systeme ("machine learning") heranziehen, die ohne menschliche Einwirkung und Kontrolle den Bewertungsprozess und insbesondere die genutzten Kriterien sowie deren Gewichtung ändern können. Die genannten Merkmale seien so festzulegen, "dass sie speziell auf Personen abzielen, bei denen der begründete Verdacht einer Beteiligung an terroristischen Straftaten oder schwerer Kriminalität im Sinne dieser Richtlinie bestehen könnte". Dabei müssten "belastende" kund "entlastende" Gesichtspunkte berücksichtigt werden, um Diskriminierungen zu vermeiden.

Angesichts der Fehlerquote, die solchen automatisierten PNR-Verarbeitungen innewohnt, und der erheblichen Zahl der bereits aufgetretenen "falsch positiven" Ergebnisse, hänge die Eignung des durch die Richtlinie geschaffenen Systems zur Erreichung der verfolgten Ziele im Wesentlichen vom ordnungsgemäßen Ablauf der manuellen Überprüfung der im Rahmen der automatisierten Verarbeitungen erzielten Treffer ab, unterstreichen die Richter. Dafür müssten die EU-Staaten klare und präzise Regeln mit Kriterien für eine objektive Kontrolle vorgeben. Hierzulande lag die Trefferquote für potenzielle Gefährder 2019 bei 0,082 Promille.

Nach Ankunft oder Abflug der betreffenden Person dürfen PNR laut dem EuGH nur aufgrund neuer einschlägiger Umstände und objektiver Anhaltspunkte zur Verfügung gestellt und überprüft werden.

Parallel verdeutlichen die Richter, dass Artikel 12 der Richtlinie nationalen Vorschriften entgegenstehe, "die eine allgemeine, unterschiedslos für alle Fluggäste geltende Speicherfrist" der einschlägigen Daten von fünf Jahren vorsehen. Nach Ablauf des ursprünglichen sechsmonatigen Zeitraums, in dem PNR im Klartext personenbezogen aufbewahrt werden dürfen, müsse die Speicherung der Daten wiederum "auf das absolut Notwendige beschränkt" werden. Reisen mit anderen Beförderungsmitteln etwa zu Bahnhöfen oder Seehäfen könnten prinzipiell zwar mit erfasst werden – aber nur bei einem akuten Terrorbezug.

Der belgische Verfassungsgerichtshof muss nun klären, inwieweit das nationale PNR-System mit den EuGH-Leitlinien konform geht. Die LDH rügte hier den sehr großen Umfang der Daten sowie den allgemeinen Charakter ihrer Erhebung, Übermittlung und Verarbeitung. Außerdem schränke das Gesetz die Freizügigkeit ein, da mit ihm auch alle Flüge innerhalb der EU sowie etwa Bus- und Bahnreisen erfasst und so indirekt wieder Grenzkontrollen eingeführt würden.

Weitere Beschwerden gegen die PNR-Sammlung aus anderen Mitgliedsstaaten sind anhängig. Hierzulande klagten mehrere Personen 2019 mit Unterstützung der Gesellschaft für Freiheitsrechte vor einigen deutschen Gerichten gegen den automatisierten Transfer von Fluggastdaten durch Airlines wie die Lufthansa an das BKA. Unter anderem das Amtsgericht Köln legte dem EuGH daraufhin etwa die Frage vor, ob die hiesige Himmels-Rasterfahndung mit dem EU-Recht vereinbar sei. Die Bundesregierung bezeichnete das Vorgehen 2020 als verhältnismäßig. Die Fluggastdatenzentrale im BKA verarbeitete im gleichen Jahr rund 105 Millionen Passagierdatensätze, während es 2019 noch etwa 78 Millionen waren.

(mho)