Das Verarbeiten von Fluggastdaten durch die EU-Staaten muss nach einem Urteil des Europäischen Gerichtshofs auf das für den Kampf gegen Terror absolut Notwendige beschränkt werden.
Zudem machte das europäische Höchstgericht in dem Urteil vom Dienstag deutlich, dass die Verarbeitung der Daten bei Flügen innerhalb der EU gegen EU-Recht verstoße, sofern keine Terrorgefahr bestehe (Rechtssache C-817/19).
Die sogenannte PNR-Richtlinie (Passager Name Record) der Europäischen Union sieht vor, dass Fluggastdaten bei der Überschreitung einer EU-Außengrenze in großer Zahl systematisch verarbeitet werden. So sollen terroristische Straftaten und andere schwere Kriminalität verhindert und aufgedeckt werden. Zu den gespeicherten Daten gehören etwa Anschrift, Gepäckangaben, die Telefonnummer und die Namen der Mitreisenden.
Klage gegen belgische Umsetzung
Die belgische Menschenrechtsorganisation Ligue des droits humains (Liga für Menschenrechte) klagte dagegen, wie Belgien die EU-Regeln umsetzt. Sie sieht unter anderem das Recht auf Achtung des Privatlebens und auf Schutz personenbezogener Daten verletzt. Zudem würden durch die Ausdehnung des Systems auf Flüge innerhalb der EU und auf die Beförderung mit anderen Verkehrsmitteln als dem Flugzeug indirekt wieder Grenzkontrollen eingeführt.
Nach belgischem Recht sind Flug-, Bahn- Bus-, Fähr- und Reiseunternehmen dazu verpflichtet, die Daten ihrer Passagiere, die über die Landesgrenzen hinaus unterwegs sind, an eine Zentralstelle weiterzugeben, in der unter anderem Polizei und Geheimdienste vertreten sind. Das Urteil in dem belgischen Fall muss nun ein nationales Gericht treffen. Nach dem Richterspruch des EuGH dürften die belgischen Regeln jedoch gegen EU-Recht verstoßen.
Auch Klärung in Deutschland gefordert
Gleiches dürfte für die deutsche Umsetzung der EU-Richtlinie gelten, da Deutschland die Regeln auf alle innereuropäischen Flüge ausgeweitet hat. Das Verwaltungsgericht Wiesbaden und das Amtsgericht Köln legten dem EuGH 2020 Fragen zur PNR-Richtlinie vor. Auch hier soll der EuGH unter anderem klären, ob die Richtlinie mit Grundrechten auf Achtung des Privat- und Familienlebens und dem Schutz personenbezogener Daten vereinbar ist.
Mit Blick auf den belgischen Fall stellt der EuGH nun zunächst einmal fest, dass die Richtlinie mit den relevanten Teilen der europäischen Grundrechte-Charta in Einklang stehe. Zugleich betont der Gerichtshof, dass die Regeln fraglos einen schwerwiegenden Eingriff etwa in das Recht auf Achtung des Privat- und Familienlebens sowie den Schutz personenbezogener Daten darstellten.
Aufs absolut Notwendige beschränkt
Die Befugnisse unter der Richtlinie müssen nach Ansicht des EuGH eng ausgelegt werden. Dann könne die Übermittlung, Verarbeitung und Speicherung der fraglichen Daten auf das im Kampf gegen Terror und schwere Kriminalität absolut Notwendige beschränkt angesehen werden.
Dies bedeute, dass sich das durch die PNR-Richtlinie eingeführte System nur auf die im Anhang der Richtlinie genannten Informationen erstrecken dürfe. Auch müsse das System auf terroristische Straftaten und schwere Kriminalität mit einem objektiven Zusammenhang mit der Beförderung von Fluggästen beschränkt sein. Straftaten, die zwar in der Richtlinie genannt werden, aber in dem jeweiligen EU-Land unter gewöhnliche Kriminalität fallen, dürften nicht dazugehören.
Zudem müsse die Ausdehnung des Systems auf einen Teil oder alle EU-Flüge auf das absolut Notwendige beschränkt werden. Die PNR-Richtlinie dürfe nur dann auf alle EU-Flüge angewandt werden, wenn ein Land mit einer terroristischen Bedrohung konfrontiert sei. Grundsätzlich betont der EuGH, dass die Richtlinie nicht dazu genutzt werden dürfe, die Grenzkontrollen zu verbessern und den Kampf gegen illegale Einwanderung zu stärken.