EU-Staaten müssen Weitergabe der Fluggastdaten stark einschränken

Die sogenannte »Passenger Name Record EU-Richtlinie« (PNR-RL) erlaubt den EU-Mitgliedsstaaten die systematische Verarbeitung einer großen Menge an Fluggastdaten bei der Überschreitung der Grenzen der EU. Zu den Daten gehören Informationen wie der Name des Fluggastes, Reisedaten, Reiserouten, Sitznummern, Gepäckangaben, Kontaktangaben und Zahlungsarten.

Die belgische Menschenrechtsorganisation Ligue des Droits Humains klagte gegen die Umsetzung der PNR-RL durch Belgien. Das umsetzende belgische Gesetz sieht eine zentrale Meldestelle unter Zugriff des staatlichen Sicherheitsapparats vor (z.B. Polizei, Geheimdienst). An diese Stellen sollen sämtliche Flug-, Bahn-, Bus- und sonstigen Reiseunternehmen PNR-Daten übermitteln.

Die Menschenrechtsorganisation monierte, das belgische Gesetz verletze das Persönlichkeitsrecht und den Datenschutz. Das befasste belgische Gericht legte dem Europäischen Gerichtshof (EuGH) die Frage nach der Vereinbarkeit der belgischen Umsetzung mit EU-Recht vor.

Der EuGH entschied, die PNR-RL ist zwar grundsätzlich mit der europäischen Grundrechte-Charta vereinbar. Allerdings ermöglichen die Regeln einen schwerwiegenden Eingriff etwa in das Recht auf Achtung des Privat- und Familienlebens sowie den Schutz personenbezogener Daten.

Deshalb sind die Befugnisse unter der Richtlinie sehr eng auszulegen. Folge: Die Übermittlung, Verarbeitung und Speicherung der fraglichen Daten sind auf das im Kampf gegen Terror und schwere Kriminalität absolut Notwendige zu beschränken.

Konkret: Die Richtlinie darf nur angewandt werden, wenn ein Land mit einer terroristischen Bedrohung konfrontiert ist. Eine Ausdehnung auf andere Verkehrsmittel ist nur in engen Grenzen zulässig, wenn eine reale, aktuelle, vorhersehbare terroristische Bedrohung vorliegt und die Übermittlung und Verarbeitung von PNR-Daten sich auf einzelne Verbindungen, Reisemuster oder bestimmte Flughäfen, Bahnhöfe oder Seehäfen beschränkt.

Die Daten aller Fluggäste dürfen nicht für fünf Jahre gespeichert werden, sondern im Normalfall nur sechs Monate. Längere Speicherzeiten sind nur für Daten von Menschen zulässig, bei denen es Hinweise auf Gefahren durch Terrorismus oder schwere Kriminalität im Zusammenhang mit Flügen gibt.

Unzulässig ist es, die Richtlinie dafür zu nutzen, die Grenzkontrollen zu verbessern und den Kampf gegen illegale Einwanderung zu stärken.

EuGH, Urteil vom 21.6.2022, C-817/19

Anmerkung der Redaktion:

Diese Grundsätze des EuGH gelten dem Grunde nach entsprechend für die deutsche Umsetzung der EU-Richtlinie.