Generalanwalt Pitruzzella im Verfahren C-817/19 vor dem Europäischen Gerichtshof: Übermittlung sowie allgemeine und unterschiedslose automatisierte Verarbeitung von Fluggastdatensätzen sind mit den Grundrechten auf Achtung des Privatlebens und auf Schutz personenbezogener Daten vereinbar.
Eine allgemeine und unterschiedslose Speicherung von Fluggastdatensätzen in nicht unkenntlich gemachter Form könne hingegen nur zur Abwendung einer realen, aktuellen oder vorhersehbaren ernsten Bedrohung für die Sicherheit der Mitgliedstaaten gerechtfertigt werden und sofern die Dauer dieser Speicherung auf das unbedingt Notwendige beschränkt ist.
Die in der Fluggastdaten-Richtlinie vorgesehene Übermittlung von Daten der Rubrik „Allgemeine Hinweise“ genüge zudem nicht den Anforderungen der Grundrechtecharte in Bezug auf Klarheit und Bestimmtheit.
Die Nutzung von Fluggastdaten ist ein wesentliches Element der Bekämpfung von Terrorismus und schwerer Kriminalität. Zu diesem Zweck schreibt die Fluggastdaten-Richtlinie (PNR-Richtlinie)1 die systematische Verarbeitung einer großen Zahl von Fluggastdaten bei der Einreise in die bzw. bei der Ausreise aus der Europäischen Union vor. Darüber hinaus sieht Art. 2 dieser Richtlinie für die Mitgliedstaaten die Möglichkeit vor, diese Richtlinie auch auf Flüge innerhalb der Europäischen Union anzuwenden.
Die Ligue des droits humains (Liga für Menschenrechte) ist ein gemeinnütziger Verein, der im Juli 2017 bei der belgischen Cour constitutionnelle (Verfassungsgerichtshof) eine Nichtigkeitsklage gegen das Gesetz vom 25. Dezember 2016 zur Umsetzung der PNR-Richtlinie und der Richtlinie über die Übermittlung von Angaben über beförderte Personen (API-Richtlinie)2 in das belgische Recht erhob. Nach Auffassung der Liga für Menschenrechte verletzt dieses Gesetz das im belgischen und im Unionsrecht garantierte Recht auf Achtung des Privatlebens und auf Schutz personenbezogener Daten. Der Verein beanstandet die sehr weite Definition der Fluggastdaten und den allgemeinen Charakter der Erhebung, Übermittlung und Verarbeitung dieser Daten. Die Liga für Menschenrechte ist der Ansicht, dass das Gesetz darüber hinaus die Personenfreizügigkeit einschränke, da es indirekt wieder Grenzkontrollen einführe, indem es das „PNR-System“ auf Flüge innerhalb der EU ausweite.
Im Oktober 2019 legte der belgische Verfassungsgerichtshof dem Europäischen Gerichtshof zehn Vorabentscheidungsfragen zur Gültigkeit und Auslegung der PNR-Richtlinie und der API-Richtlinie sowie zur Auslegung der Datenschutz-Grundverordnung (DSGVO)3 vor.
In seinen heutigen Schlussanträgen führt Generalanwalt Giovanni Pitruzzella zunächst aus, wenn Maßnahmen, die in die Grundrechte gemäß der Charta der Grundrechte der Europäischen Union (Charta) eingriffen, auf einem Unionsrechtsakt beruhten, sei es Aufgabe des Unionsgesetzgebers, die wesentlichen Elemente, die die Tragweite dieser Grundrechtseingriffe ausmachen, festzulegen.
Nach der Rechtsprechung des Gerichtshofs seien Bestimmungen, die die Übermittlung personenbezogener Daten natürlicher Personen an Dritte, etwa eine Behörde, vorschreiben oder gestatten, bei fehlender Einwilligung dieser natürlichen Personen unabhängig von der späteren Verwendung der in Rede stehenden Daten als Eingriff in ihr Privatleben sowie als Eingriff in das Grundrecht auf Schutz personenbezogener Daten einzustufen4. Diese Eingriffe könnten nur gerechtfertigt werden, wenn sie gesetzlich vorgesehen seien, den Wesensgehalt dieser Rechte achteten sowie unter Wahrung des Grundsatzes der Verhältnismäßigkeit erforderlich seien und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprächen.
Was erstens die personenbezogenen Daten anbelangt, die gemäß der PNR-Richtlinie von den Fluggesellschaften an die PNR-Zentralstellen zu übermitteln sind, führt der Generalanwalt aus, dass die Intensität und Schwere des Eingriffs in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, der mit einer die Ausübung dieser Rechte einschränkenden Maßnahme verbunden ist, vor allem von Umfang und Art der verarbeiteten Daten abhängt. Die Ermittlung dieser Daten sei daher ein wesentlicher Vorgang, der für jede Rechtsgrundlage, die eine solche Maßnahme einführt, zwingend – so klar und bestimmt wie möglich – vorzunehmen sei. Nach der Feststellung, dass es den Anforderungen der Charta in Bezug auf Klarheit und Bestimmtheit nicht genüge, auf allgemeine Kategorien von Angaben zurückzugreifen, die die Art und den Umfang der zu übermittelnden Daten unzureichend festlegten, folgert der Generalanwalt, dass Anhang I Nr. 12 der PNR-Richtlinie ungültig sei, da diese Bestimmung in den Kategorien der zur übermittelnden Daten die Rubrik „Allgemeine Hinweise“ enthalte, die sämtliche Angaben erfassen solle, die von den Fluggesellschaften – zusätzlich zu den ausdrücklich in den anderen Ziffern dieses Anhangs I angeführten – bei ihrer Dienstleistungserbringung erhoben werden.
Im Übrigen ist der Generalanwalt der Ansicht, dass die Daten, die gemäß der PNR-Richtlinie von den Fluggesellschaften den PNR-Zentralstellen zu übermitteln seien, für die mit dieser Richtlinie verfolgten Ziele erheblich seien, ihnen entsprächen und nicht über sie hinausgingen, und dass ihr Umfang nicht über das hinausgehe, was zur Erreichung dieser Ziele unbedingt erforderlich sei. Darüber hinaus sei diese Übermittlung mit hinreichenden Garantien versehen, die darauf abzielten, dass nur die ausdrücklich genannten Daten übermittelt sowie Sicherheit und Vertraulichkeit der übermittelten Daten gewährleistet würden. Ferner lege die PNR-Richtlinie ein generelles Verbot der Verarbeitung sensibler Daten fest, welches auch ihre Erhebung umfasse, so dass das „PNR-System“ ausreichende Garantien vorsehe, die es in jeder Phase der Verarbeitung erhobener Daten ermöglichten auszuschließen, dass diese Verarbeitung geschützte Merkmale direkt oder indirekt berücksichtige.
Zweitens ist der Generalanwalt der Auffassung, der allgemeine und unterschiedslose Charakter der Übermittlung der PNR-Daten und der Vorabüberprüfung der Fluggäste durch den automatisierten Abgleich dieser Daten sei mit Art. 7 und 8 der Charta vereinbar, in denen die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten verankert seien. Insbesondere sei die Rechtsprechung des Gerichtshofs zu Speicherung von Daten und Zugang zu Daten im Bereich der elektronischen Kommunikation5 nicht auf das in der PNR-Richtlinie vorgesehene System übertragbar. Mit der Einführung eines auf Unionsebene harmonisierten Systems der PNR-Datenverarbeitung sowohl für Drittstaatsflüge als auch – bei den Staaten, die von Art. 2 der PNR-Richtlinie Gebrauch gemacht haben – für Flüge innerhalb EU könne gewährleistet werden, dass die Verarbeitung dieser Daten unter Einhaltung des durch diese Richtlinie festgelegten hohen Schutzniveaus für die Grundrechte der Art. 7 und 8 der Charta erfolge.
Allgemein unterstreicht der Generalanwalt die grundlegende Bedeutung der Kontrolle durch eine unabhängige Kontrollstelle im Rahmen des von der PNR-Richtlinie geschaffenen Garantiesystems, die befugt ist, die Rechtmäßigkeit der Datenverarbeitung zu prüfen, Ermittlungen, Inspektionen und Audits durchzuführen sowie Beschwerden betroffener Personen zu bearbeiten. Insofern sei es von größter Wichtigkeit, dass die Mitgliedstaaten bei der Umsetzung dieser Richtlinie in nationales Recht ihrer nationalen Kontrollstelle diese Befugnisse in vollem Umfang zuerkennen und sie mit den zur Erfüllung ihrer Aufgabe erforderlichen materiellen und personellen Mitteln ausstatten.
Was insbesondere die Vorabüberprüfung der Fluggäste anbelangt, weist der Generalanwalt in Bezug auf den ersten Teil dieser Überprüfung, den Abgleich der PNR-Daten mit Datenbanken, die zum Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität maßgeblich sind, darauf hin, dass der Begriff der „maßgeblichen Datenbanken“ im Einklang mit den Anforderungen der Charta in Bezug auf Klarheit und Bestimmtheit und unter Berücksichtigung der Ziele der PNR-Richtlinie auszulegen sei. In einer solchen Auslegung erfasse dieser Begriff nur die von den zuständigen Behörden betriebenen nationalen Datenbanken sowie die Unions- und internationalen Datenbanken, die von diesen Behörden unmittelbar im Rahmen ihrer Aufgabe benutzt würden und die zudem in direktem und engem Zusammenhang mit den mit der PNR-Richtlinie verfolgten Zielen der Bekämpfung von Terrorismus und schwerer Kriminalität stehen müssten − was bedeute, dass sie für diese Ziele entwickelt worden seien. Was den zweiten Teil dieser Vorabüberprüfung, den automatisierten Abgleich von PNR-Daten anhand im Voraus festgelegter Kriterien, anbelangt, ist der Generalanwalt der Ansicht, dass dieser Abgleich nicht mittels auf maschinellem Lernen basierenden Systemen künstlicher Intelligenz erfolgen darf, die keine Rückschlüsse darauf ermöglichten, aus welchen Gründen der Algorithmus eine positive Übereinstimmung feststellt.
Drittens und im Hinblick auf die Frage, ob das Unionsrecht einer nationalen Regelung entgegensteht, die für PNR-Daten eine allgemeine Speicherfrist von fünf Jahren vorsieht, ohne danach zu unterscheiden, ob sich im Rahmen der Vorabüberprüfung herausstellt, dass die betroffenen Fluggäste ein Risiko für die öffentliche Sicherheit darstellen können oder nicht, schlägt der Generalanwalt vor, die PNR-Richtlinie im Einklang mit der Charta dahin auszulegen, dass die Speicherung der von den Fluggesellschaften an die PNR-Zentralstelle übermittelten PNR-Daten für einen Zeitraum von fünf Jahren nach Durchführung der Vorabüberprüfung nur dann zulässig sei, wenn auf der Grundlage objektiver Kriterien ein Zusammenhang zwischen diesen Daten und der Bekämpfung von Terrorismus und schwerer Kriminalität festgestellt werde. Eine allgemeine und unterschiedslose Speicherung von PNR-Daten in nicht unkenntlich gemachter Form könne nur zur Abwendung einer als real, aktuell oder vorhersehbar einzustufenden ernsten Bedrohung für die Sicherheit der Mitgliedstaaten gerechtfertigt werden, beispielsweise im Zusammenhang mit terroristischen Aktivitäten, und sofern die Dauer dieser Speicherung auf das unbedingt Notwendige beschränkt ist.
1 Richtlinie (EU) 2016/681 des Europäischen Parlaments und des Rates vom 27. April 2016 über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität (ABl. 2016, L 119, S. 132).
2 Richtlinie 2004/82/EG des Rates vom 29. April 2004 über die Verpflichtung von Beförderungsunternehmen, Angaben über die beförderten Personen zu übermitteln (ABl. 2004, L 261, S. 24).
3 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (ABl. 2016, L 119, S. 1).
4 Vgl. unter anderem Urteil des Gerichtshofs vom 18. Juni 2020, Kommission/Ungarn, C-78/18 (Rn. 124 und die dort angeführte Rechtsprechung) und Pressemitteilung Nr. 73/20.
5 Vgl. unter anderem Urteile vom 21. Dezember 2016, Tele2 Sverige, C-203/15 und C-698/15 (vgl. auch Pressemitteilung Nr. 145/16), und vom 6. Oktober 2020, La Quadrature du Net u. a., C-511/18, C-512/18 und C-520/18 (vgl. auch Pressemitteilung Nr. 123/20).