Der Bundesrat hat in seiner 881. Sitzung am 18. März 2011 gemäß §§ 3 und 5 EUZBLG die folgende Stellungnahme beschlossen:
- 1. Der Bundesrat erinnert an seine Stellungnahme zum "Vorschlag für einen Rahmenbeschluss des Rates über die Verwendung von Fluggastdatensätzen (PNR-Daten) zu Strafverfolgungszwecken" (KOM (2007) 654 endg., vom 15. Februar 2008 (BR-Drucksache 826/07(B) ). Den dort zum Ausdruck gebrachten Bedenken kommt der nunmehrige Richtlinienvorschlag nicht in hinreichendem Maße nach.
Der Bundesrat weist insbesondere auf folgende Gesichtspunkte hin:
- 2. Der Bundesrat teilt das mit der vorgeschlagenen Richtlinie verfolgte Anliegen, geeignete EU-weite Maßnahmen zur Bekämpfung von Terrorismus und organisierter bzw. schwerer Kriminalität zu entwickeln und deren Bekämpfung durch solche Maßnahmen weiter zu verbessern. Bei der Verfolgung dieses Ziels ist das Verhältnis zwischen der Wahrung der Freiheitsrechte und dem Schutz der öffentlichen Sicherheit in ein angemessenes Gleichgewicht zu bringen. Der vorliegende Richtlinienvorschlag stellt dieses Gleichgewicht trotz erheblicher Nachbesserungen im Rahmen des Legislativverfahrens nicht her.
- 3. Der Bundesrat teilt darüber hinaus das mit dem Richtlinienvorschlag verfolgte Anliegen zur Verhütung und strafrechtlichen Verfolgung von terroristischen Straftaten oder schwerer Kriminalität einheitliche Handlungsvorgaben für die Verwendung von Fluggastdatensätzen vorzugeben, um ein größtmögliches Maß an Rechtssicherheit sowie ein einheitliches Schutzniveau bei personenbezogenen Daten zu erreichen.
- 4. Bei einer Datenerhebung und -verarbeitung des mit dem Richtlinienvorschlag vorgesehenen Ausmaßes muss ein Höchstmaß an Datenschutz gewährleistet sein. Der Vorschlag lässt insoweit noch Fragen offen. Gegen den vorliegenden Richtlinienvorschlag bestehen nach wie vor erhebliche Bedenken.
- 5. Mit Bezugnahme auf das Urteil des BVerfG zum Thema Vorratsdatenspeicherung vom 2. März 2010 hält der Bundesrat eine umfassende verfassungsrechtliche Prüfung des Fluggastdatenkonzepts des Richtlinienvorschlags für notwendig. Die strenge Wahrung der Geeignetheit, Erforderlichkeit und Angemessenheit ist grundlegende Voraussetzung für Grundrechtseingriffe. Die Notwendigkeit und Verhältnismäßigkeit eines solchen Systems im Hinblick auf den Nutzen der Bekämpfung schwerer grenzüberschreitender Kriminalität und des Terrorismus ist sorgfältig zu prüfen und nachzuweisen.
- 6. Der Verabschiedung der vorgeschlagenen Richtlinie in der vorgelegten Fassung stehen auch einige wichtige Gesichtspunkte entgegen. Der Vorschlag setzt in folgenden Hinsichten falsche Akzente:
- 7. Die Speicherung von PNR-Daten ohne Anlass, das heißt ohne Anknüpfung an ein zurechenbar vorwerfbares Verhalten, eine auch nur abstrakte - Gefährlichkeit oder sonst qualifizierte Situation, stellt einen besonders schweren Eingriff in das Recht auf informationelle Selbstbestimmung und das Recht auf Achtung des Privatlebens dar. Ein solcher Eingriff kann allenfalls dann zulässig sein, wenn für ihn im Hinblick auf den verfolgten Zweck ein Bedürfnis besteht und der Grundsatz der Verhältnismäßigkeit gewahrt wird. Ein entsprechender Nachweis wurde nach Auffassung des Bundesrates bislang nicht erbracht.
- 8. Unter anderem fehlt es bereits an hinreichenden Erläuterungen seitens der Kommission, warum die bereits zulässige Verwendung der sogenannten "API-Daten" für die dargestellten Zwecke nicht ausreichend sein soll. Belastbare Aussagen dazu, welchen konkreten Mehrwert die Verarbeitung der PNR-Daten gegenüber bestehenden Instrumenten erwarten lässt, enthält weder der Richtlinienvorschlag selbst noch die begleitende Folgenabschätzung. Neben der Verwendung von API-Daten existieren bereits jetzt in Form des Visa-Informationssystems (VIS) und des Schengener Informationssystems (SIS) weitere groß angelegte Systeme zur Überwachung der Bewegung von Personen innerhalb der EU bzw. an deren Grenzen, auf die in gewissen Grenzen auch für Strafverfolgungszwecke zugegriffen werden kann. Die Kommission beruft sich darauf, dass diese Systeme der Identitätskontrolle und dem Grenzmanagement dienten und sich zur Überprüfung von Personen und zum Aufspüren bislang unbekannter Straftäter nicht eigneten. Diese pauschale Aussage kann nicht als ausreichend angesehen werden. Soweit ersichtlich, ist bislang nicht eingehend untersucht worden, wie die vorhandenen Instrumente zur Bekämpfung des Terrorismus und der schweren Kriminalität nutzbar gemacht werden könnten.
- 9. Die vorgeschlagene Richtlinie führt zu einer enormen Belastung der Luftverkehrswirtschaft, setzt sich aber mit den wirtschaftlichen Folgen für die Luftverkehrswirtschaft nur unzureichend auseinander. So wird nicht nachvollziehbar dargestellt, welchen Erkenntnisgewinn der einzelne Datensatz auch in Abgrenzung der bereits zu übermittelnden API-Daten bringen soll.
- 10. Der Bundesrat hält die vorgesehene Speicherfrist für PNR-Daten von insgesamt fünf Jahren und einem Monat für unverhältnismäßig lang. Er verkennt dabei nicht, dass die Daten nach Ablauf von 30 Tagen so zu speichern sind, dass die Datenelemente nicht sichtbar sind, die eine Identifizierung des Fluggastes zulassen. Es handelt sich dabei nämlich um eine nur scheinbare Anonymisierung. Denn auch nach Ablauf der 30 Tage soll der Zugriff auf die vollständigen PNR-Daten unter bestimmten Voraussetzungen zulässig sein, was voraussetzt, dass sie so gespeichert werden, dass der Personenbezug jederzeit wieder herstellbar ist.
- 11. Darüber hinaus bestehen Bedenken, ob die in Artikel 9 Absatz 2 des Vorschlags genannten Voraussetzungen für eine Re-Identifizierung nach 30 Tagen dem Ausnahmecharakter dieses Eingriffs in der erforderlichen Normenklarheit gerecht werden. Deshalb sollten schon aus Transparenzgründen alle Voraussetzungen für die Rücknahme der Pseudonymisierung vollständig in Artikel 9 Absatz 2 ohne Verweise auf andere Artikel aufgeführt werden. Zur Wahrung des Verhältnismäßigkeitsgrundsatzes ist zu gewährleisten, dass die nachträgliche Re-Identifizierung auf das unabweisbar erforderliche Maß begrenzt bleibt. Die Möglichkeit eines Datenabrufs nach der 30-Tage-Frist über einen weiteren erheblichen Zeitraum hinweg prägt maßgeblich die Tiefe des Grundrechtseingriffs. Eine Re-Identifizierung aus präventiven Gründen ist deshalb nur bei einer durch Tatsachen hinreichend belegten konkreten Gefahr für besonders schutzwürdige Rechtsgüter wie Leib, Leben oder Freiheit geboten. Im Bereich der Strafverfolgung ist eine Re-Identifizierung auf abschließend benannte Straftatbestände besonders schwerer Kriminalität bei Vorliegen eines hinreichend konkreten Tatverdachts zu beschränken.
- 12. Der Bundesrat weist darauf hin, dass der Richtlinienvorschlag die Kriterien, anhand derer eine Auswertung der Fluggastdaten erfolgt, nicht definiert, so dass es für die Betroffenen an Rechtssicherheit über die Art und Weise der Verwendung ihrer Daten mangelt. Artikel 4 Absatz 3 des Richtlinienvorschlags bestimmt nur, dass die Überprüfung der Fluggäste "in nichtdiskriminierender Weise anhand von Kriterien, die von der PNR-Zentralstelle erarbeitet wurden", erfolgen soll. Das Fehlen einheitlicher Überprüfungsstandards macht es Personen, die von der PNR-Zentralstelle als "Treffer" eingeordnet werden, schwer, gegen diese Einordnung vorzugehen. In Fällen eines anfänglich positiven automatisierten Datenabgleichs lehnt es der Bundesrat ab, falsche "Treffer" dennoch bis zu drei Jahre zu speichern. Im Übrigen lässt das Fehlen einheitlicher Überprüfungskriterien den Mehrwert des vorgesehenen europäischen PNR-Systems zweifelhaft erscheinen. Welchen Vorteil ein Vorgehen auf EU-Ebene gegenüber mitgliedstaatlichen Einzelregelungen haben soll, wenn zwar in allen Mitgliedstaaten PNR-Zentralstellen eingerichtet werden, diese die Daten aber nach möglicherweise sehr unterschiedlichen Maßstäben auswerten, wird jedenfalls nach den bisherigen Darlegungen der Kommission im Richtlinienvorschlag und in der begleitenden Folgenabschätzung nicht hinreichend deutlich.
- 13. Obwohl Ziel der Richtlinie vor allem eine Harmonisierung der Regelungen in den Mitgliedstaaten sein soll, wird bei der Datenerfassung und -übermittlung auf eine dezentrale Struktur gesetzt, d.h. die Luftverkehrsgesellschaften müssen auf ihre Kosten gegebenenfalls 27 verschiedene Systeme bedienen. Hier sind auch Wettbewerbsverzerrungen zwischen den europäischen Luftverkehrsgesellschaften nicht ausgeschlossen.
- 14. Der Richtlinienvorschlag sieht in Artikel 8 eine Weitergabe von Daten an Drittländer vor. Voraussetzung hierfür soll u.a. gemäß Buchstabe c sein, dass sich der Drittstaat bereit erklärt, die Daten ausschließlich zu den in Artikel 1 Absatz 2 genannten Zwecken und nur mit ausdrücklicher Zustimmung des Mitgliedstaats an einen anderen Drittstaat weiterzugeben. Aus Sicht des Bundesrates ist diese Formulierung zu offen. Im Sinne einer strengen Zweckbindung sollten sich Drittstaaten nicht nur bereit erklären, die Daten ausschließlich zu dem genannten Zweck zu verarbeiten, sondern sich hierzu rechtsverbindlich verpflichten.
- 15. Der Bundesrat bittet, den Richtlinienvorschlag um eine Regelung zu ergänzen, nach der betroffene Personen grundsätzlich über eine Weitergabe der Daten an Drittstaaten zu unterrichten sind. Ausnahmen hiervon müssen sich an den Vorgaben des innerstaatlichen Rechts orientieren (vgl. Artikel 16 des Rahmenbeschlusses 2008/977/JI für den Datenaustausch zwischen den Mitgliedstaaten).
- 16. Der Bundesrat lehnt es ab, dass vor Ablauf der zweijährigen Umsetzungsfrist bereits die PNR-Daten von mindestens 30 Prozent aller Flüge erfasst werden müssen, ohne dass möglicherweise feststeht, wer jeweils in den Mitgliedstaaten als PNR-Zentralstelle benannt wird und wer die weiterverarbeitenden zuständigen Behörden in den Mitgliedstaaten sein sollen.
- 17. Der Bundesrat fordert, dass die Überprüfung der Funktionsweise der vorgeschlagenen Richtlinie (Artikel 17 Buchstabe b) zeitgleich mit der Überprüfung, ob Flüge innerhalb der EU in den Anwendungsbereich dieser Richtlinie aufgenommen werden (Artikel 17 Buchstabe a), bereits nach zwei Jahren erfolgt. Diese Überprüfung muss ergebnisoffen erfolgen und darf nicht intendieren, dass nach dieser Zeit Flüge innerhalb der EU in den Anwendungsbereich dieser Richtlinie aufgenommen werden. Die Evaluierung muss zunächst aufzeigen, ob die Zwecke der Richtlinie, namentlich die Verhütung, Aufdeckung, Aufklärung und strafrechtliche Verfolgung von terroristischen Straftaten und schwerer Kriminalität, in nennenswertem Umfang bei gleichzeitiger Einhaltung des Verhältnismäßigkeitsgrundsatzes und Datenschutzes erfüllt wurden.
- 18. Die Bundesregierung wird gebeten, auf eine entsprechende Änderung der vorgeschlagenen Richtlinie zu dringen.
- 19. Der Bundesrat geht im Hinblick auf die Umsetzung der vorgeschlagenen Richtlinie davon aus, dass die zu errichtende PNR-Zentralstelle bei einer Behörde des Bundes angesiedelt sein wird, und erwartet, dass die Errichtung und der Betrieb des PNR-Systems für die Länder nicht zu zusätzlichen Kosten führen werden.
- 20. Der Bundesrat sieht sich weiter veranlasst, auf Folgendes hinzuweisen: Nach ständiger Rechtsprechung des Bundesverfassungsgerichts (z.B. Urteil vom 2. März 2010 - 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 -, Rn. 218, juris) gehört zur verfassungsrechtlichen Identität der Bundesrepublik Deutschland, dass die Freiheitswahrnehmung der Bürger nicht total erfasst und registriert werden darf. Dies hat zur Folge, dass die vorhandenen Datensammlungen immer auch in ihrer Gesamtheit betrachtet werden müssen. Mit der Umsetzung der vorgeschlagenen Richtlinie würde deshalb auch der verfassungsrechtliche Spielraum für andere bereits vorhandene (z.B. ELENA) oder diskutierte (z.B. Vorratsdatenspeicherung von Telekommunikationsdaten) - anlasslose Datensammlungen erheblich geringer. Der Bundesrat bittet die Bundesregierung, die Gesamtbelastung der Bürgerinnen und Bürger mit anlasslosen Datensammlungen bei jedem einschlägigen Rechtsetzungsverfahren auf nationaler und europäischer Ebene, also auch bei den Beratungen über den vorliegenden Richtlinienvorschlag, wachsam im Auge zu behalten und gegebenenfalls die notwendigen Konsequenzen zu ziehen.
- 21. Der Bundesrat übermittelt diese Stellungnahme direkt an die Kommission.