Unterrichtung durch die Bundesregierung
Vorschlag für einen Rahmenbeschluss des Rates über die Verwendung von Fluggastdatensätzen (PNR-Daten) zu Strafverfolgungszwecken KOM (2007) 654 endg.; Ratsdok. 14922/07

Übermittelt vom Bundesministerium für Wirtschaft und Technologie am 14. November 2007 gemäß § 2 des Gesetzes über die Zusammenarbeit von Bund und Ländern in Angelegenheiten der Europäischen Union vom 12. März 1993 (BGBl. I S. 313), zuletzt geändert durch das Föderalismusreform-Begleitgesetz vom 5. September 2006 (BGBl. I S. 2098).

Die Kommission der Europäischen Gemeinschaften hat die Vorlage am 9. November 2007 dem Bundesrat zugeleitet.

Die Vorlage ist von der Kommission am 6. November dem Generalsekretär/Hohen Vertreter des Rates der Europäischen Union übermittelt worden.

Das Europäische Parlament wird an den Beratungen beteiligt.

Hinweis: vgl.
AE-Nr. 031146, AE-Nr. 040199, AE-Nr. 041050 und
Drucksache 825/07 (PDF) = AE-Nr. 070882

Begründung

1. Hintergrund

- Gründe und Ziele des Vorschlags

Der Terrorismus stellt gegenwärtig eine der größten Bedrohungen für die Sicherheit, den Frieden, die Stabilität, die Demokratie und die Grundrechte - Werte, auf denen die Europäische Union fußt - dar. Zudem bedeutet er eine konkrete Bedrohung für die europäischen Bürger. Die Terrorismusgefahr ist nicht auf bestimmte geographische Räume begrenzt. Terroristen und terroristische Organisationen sind innerhalb und außerhalb der EU-Grenzen anzutreffen und haben bewiesen, dass sie auf allen Kontinenten und gegen jedes Land Anschläge und Gewaltakte ausüben können. Der Europol-Bericht "EU Terrorism Situation and Trend Report 2007" stellte fest, dass bei nahezu allen terroristischen Vorhaben länderübergreifend agiert wird. Innere und äußere Aspekte der Terrorismusbekämpfung sind daher nicht voneinander zu trennen und wenn die Maßnahmen greifen sollen, muss es zwischen Mitgliedstaaten bzw. zwischen deren jeweiligen Dienststellen sowie mit Europol und nötigenfalls auch mit den zuständigen Behörden von Drittstaaten eine enge Zusammenarbeit und einen stärkeren Austausch geben.

Seit dem 11. September 2001 sind Strafverfolgungsbehörden in aller Welt zu der Erkenntnis gelangt dass die Erhebung und Auswertung so genannter Fluggastdatensätze oder PNR-Daten zur Bekämpfung des Terrorismus und der organisierten Kriminalität zusätzlichen Nutzen bringt. PNR-Daten sind Daten, mit denen Reisebewegungen - für gewöhnlich per Flugzeug - erfasst werden. Hierzu gehören Passdaten, Name, Anschrift und Telefonnummer des Fluggastes, ausstellendes Reisebüro, Kreditkartennummer, Historie der Umbuchungen,

Vorlieben bei der Sitzplatzwahl u.a. Die PNR-Daten eines Fluggastes erstrecken sich in der Regel nicht auf alle PNR-Datenfelder, sondern nur auf die Angaben, die von dem Fluggast bei der Buchung gemacht und bei der Abfertigung und beim Einstieg erfasst werden. Hierzu ist anzumerken dass Fluggesellschaften die PNR-Daten schon länger für eigene kommerzielle Zwecke nutzen, wohingegen andere Beförderungsunternehmen keine solchen Daten erheben.

Durch die Erfassung und Auswertung von PNR-Daten können Strafverfolgungsbehörden Personen mit hohem Gefährdungspotenzial herausfiltern und geeignete Maßnahmen ergreifen.

Bis jetzt haben nur wenige Mitgliedstaaten gesetzliche Regelungen eingeführt, die die Fluggesellschaften zur Bereitstellung der einschlägigen PNR-Daten verpflichten und deren Auswertung durch die zuständigen Behörden ermöglichen. Die möglichen Vorteile einer EU weiten Regelung zur Bekämpfung von Terrorismus und organisierter Kriminalität bleiben somit weitgehend ungenutzt.

- Allgemeiner Kontext

In jüngerer Zeit sind zwischen der EU und den Vereinigten Staaten sowie Kanada im Rahmen der Terrorismusbekämpfung und der Bekämpfung der länderübergreifenden organisierten Kriminalität Abkommen geschlossen worden, die die Übermittlung von Fluggastdaten gestatten. Fluggesellschaften, die bereits PNR-Daten für eigene kommerzielle Zwecke erfassen sind danach verpflichtet, diese Daten an die zuständigen Behörden in den USA und Kanada zu übermitteln. Die EU hat sich mit den genannten Drittstaaten ausgetauscht und konnte sich so ein Bild machen vom Nutzen der PNR-Daten und von den Möglichkeiten, die sie im Rahmen der Strafverfolgung bieten. Sie konnte sich ferner die Erfahrungen dieser Staaten mit der Verwertung der PNR-Daten und die Erkenntnisse des Vereinigten Königreichs aus einem Pilotprojekt zunutze machen. Speziell das Vereinigte Königreich konnte in den zwei Jahren, in denen das Pilotprojekt lief, von zahlreichen Verhaftungen, der Aushebung eines Rings von Menschenhändlern und der Gewinnung wertvoller Erkenntnisse im Zusammenhang mit dem Terrorismus berichten.

Auf seiner Tagung am 25. und 26. März 2004 hatte der Europäische Rat die Kommission aufgefordert einen Vorschlag für ein gemeinsames EU-Konzept zur Verwendung von Passagierdaten zu Strafverfolgungszwecken vorzulegen. Die Aufforderung wurde noch bei zwei weiteren Anlässen wiederholt, einmal im Haager Programm vom 4. und 5. November 2004 sowie bei der außerordentlichen Ratstagung vom 13. Juli 2005. Eine europäische Politik in diesem Bereich war bereits in der Kommissionsmitteilung "Übermittlung von Fluggastdatensätzen (PNR): Ein sektorübergreifendes EU-Konzept" vom 16. Dezember 2003 angekündigt worden.

- Bestehende Rechtsvorschriften auf diesem Gebiet

Fluggesellschaften sind gegenwärtig gemäß der Richtlinie 2004/82/EG des Rates verpflichtet, den zuständigen Behörden der Mitgliedstaaten erweiterte Fluggastdaten zu übermitteln (Advance Passenger Information - API). Den Grenzkontrollbehörden soll damit ein Mittel an die Hand gegeben werden, um die Grenzkontrollen zu verbessern und gegen illegale Einwanderung vorzugehen. Die Richtlinie verlangt von den Mitgliedstaaten, durch entsprechende Maßnahmen auf nationaler Ebene sicherzustellen, dass Fluggesellschaften den für die Durchführung von Personenkontrollen an den Außengrenzen zuständigen Behörden Angaben zu den beförderten Fluggästen übermitteln. Dabei handelt es sich ausschließlich um API-Daten, d.h. im Wesentlichen um Angaben zur Person. Darin inbegriffen sind Nummer und Art des mitgeführten Reisedokuments, Staatsangehörigkeit, vollständiger Name und Geburtsdatum des Fluggastes, Grenzübergangsstelle, Beförderungs-Codenummer, Abreiseund Ankunftszeit, Gesamtzahl der mit der betreffenden Beförderung beförderten Fluggäste und ursprünglicher Abreiseort. Die Informationen in den API-Daten können auch dazu beitragen bekannte Terroristen und Straftäter durch Abgleich ihrer Namen mit den Daten von Frühwarnsystemen wie dem SIS ausfindig zu machen.

Im Rahmen der Terrorismusbekämpfung und der Bekämpfung der organisierten Kriminalität könnte mit den API-Daten im Verbund mit Frühwarnsystemen ausschließlich die Identität bekannter Terroristen und Straftäter festgestellt werden. API-Daten sind amtliche Daten, da sie aus Reisepässen stammen, und weisen die betreffende Person hinreichend genau aus. Im Vergleich dazu erfassen PNR-Daten eine sehr viel größere Anzahl von Datenelementen und sind früher verfügbar. Sie sind ein außerordentlich wichtiges Instrument, um Risikoanalysen in Bezug auf Personen vorzunehmen, neue Erkenntnisse zu sammeln und Verbindungen zwischen bekannten und unbekannten Personen herzustellen.

- Vereinbarkeit mit der Politik und den Zielen der Union in anderen Bereichen

Der Vorschlag steht im Einklang mit dem übergeordneten Ziel der Schaffung eines europäischen Raums der Freiheit, der Sicherheit und des Rechts. Er ist auch mit den Grundrechten, vor allem dem Recht auf Schutz der personenbezogenen Daten und auf Achtung der Privatsphäre, vereinbar.

2. Anhörung von interessierten Kreisen und Folgenabschätzung

- Anhörung von interessierten Kreisen

Gewähltes Verfahren, Zielgruppen und allgemeines Profil der Befragten

Im Zuge der Verhandlungen über die Übermittlung von PNR-Daten an die Vereinigten Staaten bzw. von API- und PNR-Daten an Kanada fanden mehrere Sitzungen und Anhörungen statt. Neben den von den Kommissionsdienststellen organisierten Treffen mit Vertretern von Luftverkehrsverbänden und computergestützten Buchungssystemen wurden im Rahmen des Forums zur Vorbeugung von organisiertem Verbrechen drei Sitzungen speziell über eine mögliche Initiative zur Entwicklung einer EU-Politik in der Frage der Verwendung von PNR-Daten abgehalten.

Im Vorfeld zu diesem Vorschlag konsultierten die Kommissionsdienststellen alle Beteiligten im Wege einer Fragebogenaktion, die im Dezember 2006 anlief. Anschließend wurden Vertreter der Mitgliedstaaten am 2. Februar 2007 zu einer Sitzung nach Brüssel eingeladen, die ihnen Gelegenheit zu einem Meinungsaustausch bot.

Die Fragebögen wurden an folgende Adressaten verschickt:

• - sämtliche Mitgliedstaaten
• - die Datenschutzbehörden der Mitgliedstaaten
• - den Europäischen Datenschutzbeauftragten
• - die Vereinigung Europäischer Fluggesellschaften (AEA)
• - die Air Transport Association of America (ATA)
• - die International Air Carrier Association (IACA)
• - die European Regions Airline Association (ERA) und
• - die International Air Transport Association (IATA).

Es gingen Antworten aus 24 Mitgliedstaaten ein; eine gemeinsame Antwort kam von den Datenschutzbehörden der Mitgliedstaaten. Ferner äußerten sich der Europäische Datenschutzbeauftragte, die Air Transport Association of America, die International Air Carrier Association (IACA), die Vereinigung europäischer Fluggesellschaften (AEA), die European Regions Airline Association (ERA), die International Air Transport Association (IATA), die polnische Fluggesellschaft LOT und die österreichische Fluggesellschaft Austrian Airlines.

Die Datenschutzbehörden der Mitgliedstaaten, die im Rahmen der Artikel 29-Datenschutzgruppe - einem Gremium mit beratender Funktion bei der Kommission - zusammenkommen haben mehrere Stellungnahmen zur Verwendung von PNR-Daten abgegeben.

Zusammenfassung der Antworten und Art ihrer Berücksichtigung

Das Anhörungsverfahren hatte maßgeblichen Einfluss auf die Ausgestaltung des Legislativvorschlags.

Dies gilt insbesondere für folgende Aspekte:

• - Wahl des Instruments: Die Antworten auf die Fragebogenaktion ließen eine deutliche Präferenz der Mitgliedstaaten zugunsten eines normativen Aktes erkennen, der die Rechtsgrundlage für ein gemeinsames Vorgehen in der Sache auf EU-Ebene schafft. Die Artikel 29-Datenschutzgruppe war von der Notwendigkeit eines solchen normativen Aktes nicht überzeugt und sprach sich daher dagegen aus, hielt jedoch fest, dass, wenn schon die Notwendigkeit festgestellt würde oder mehrere Mitgliedstaaten die Entwicklung nationaler PNR-Systeme in Erwägung zögen, einer Harmonisierung derartiger Maßnahmen auf EUEbene der Vorzug zu geben sei.
• - Sachlicher Geltungsbereich des Vorschlags (bezogen auf die Beförderungsmittel): Die Mehrheit der Befragten war sich einig, dass der Vorschlag auf den Luftverkehr beschränkt werden sollte.
• - Räumlicher Geltungsbereich: Die meisten Befragten waren der Ansicht, dass sich der räumliche Geltungsbereich des Vorschlags auf Flüge aus Drittstaaten in die EU und aus der EU in Drittstaaten beschränken sollte.
• - Zweck der Erhebung von PNR-Daten und deren Verarbeitung: PNR-Daten sollten ausschließlich für Zwecke der dritten Säule, d.h. Verhütung und Bekämpfung des Terrorismus und damit verknüpfter Straftaten sowie anderer schwerwiegender länderübergreifender Straftaten einschließlich der internationalen organisierten Kriminalität, erhoben und verarbeitet werden.
• - Speicherfrist: Es besteht gemeinhin Einigkeit darüber, dass, wenn das System einen Nutzen haben soll, die Daten für fünf Jahre vorgehalten werden müssen, es sei denn, sie wurden zwischenzeitlich für strafrechtliche Ermittlungen oder erkenntnisgestützte Maßnahmen verwendet.
• - Empfänger der PNR-Daten: Die Mehrheit der Mitgliedstaaten plädierte dafür, dass die Daten von einer nationalen zentralen Stelle entgegengenommen werden, die von jedem einzelnen Mitgliedstaat bestimmt wird, während eine Minderheit eine Zentralstelle auf EUEbene befürwortete, in der die Daten der Fluggesellschaften aus allen Mitgliedstaaten zusammenlaufen.
• - Art der Datenübermittlung: Von allen befragten Parteien wird die Übermittlung im "Push"Verfahren der "Pull"-Methode vorgezogen. Der Hauptunterschied zwischen beiden Verfahren besteht darin, dass bei der "Push"-Methode die Daten von der Fluggesellschaft an die nationale Behörde weitergeleitet werden, während beim "Pull"-Verfahren die nationale Behörde Zugriff auf das Buchungssystem der Fluggesellschaft erhält und die Daten extrahiert.
• - Weiterübermittlung der PNR-Daten: Die meisten Befragten plädieren dafür, dass die Daten an die zuständigen Stellen im eigenen Land und in anderen Mitgliedstaaten übermittelt werden dürfen. Einige Mitgliedstaaten sind auch für eine Übermittlung an die zuständigen Behörden in Drittstaaten.

- Einholung und Nutzung von Expertenwissen

Externes Expertenwissen war nicht erforderlich.

- Folgenabschätzung

Die Folgenabschätzung konzentrierte sich auf zwei Hauptalternativen - alles beim Alten zu belassen oder eine gesetzliche Regelung vorzuschlagen - mitsamt einer Reihe von Variationen. Bereits im Vorfeld war der Option, lediglich die Zusammenarbeit zwischen den Mitgliedstaaten auf diesem Gebiet stärker zu fördern, eine Absage erteilt worden, da nach allgemeinem Dafürhalten die angestrebten Ziele damit nicht erreicht würden. Einige Mitgliedstaaten hatten vorgeschlagen, den Geltungsbereich des Vorschlags auf See- und Bahnreisen auszudehnen. Auch diese Option wurde bereits zu einem frühen Zeitpunkt aus Kostengründen und wegen fehlender Datenerfassungssysteme fallengelassen.

Aus der Folgenabschätzung ergab sich, dass die bevorzugte Option ein Legislativvorschlag ist der eine dezentrale Verarbeitung der Daten vorsieht. Die Lösung, alles beim Alten zu belassen leistet keinen echten Beitrag zur Erhöhung der Sicherheit in der EU. Im Gegenteil - so wie sich die Dinge derzeit entwickeln, sind negative Auswirkungen in Form administrativer Hürden aufgrund vieler voneinander abweichender Systeme zu befürchten.

Die Möglichkeit eines Legislativvorschlags bietet den klaren Vorteil eines erhöhten Schutzes vor Terroranschlägen und schweren Straftaten sowie Straftaten im Rahmen der organisierten länderübergreifenden Kriminalität im EU-Raum. Zudem würde diese Lösung auch zu einer Harmonisierung der verschiedenen Aspekte des Austauschs und der Verwendung von PNR-Daten sowie der Mechanismen führen, die dafür sorgen sollen, dass das Recht auf Schutz ihrer Privatsphäre gewahrt bleibt.

Bei der Abwägung zwischen der Beibehaltung des Staus quo einerseits und der Vorlage eines Legislativvorschlags andererseits hat die letztgenannte Alternative eindeutige Vorteile.

Was die beiden Optionen für die Ausgestaltung eines solchen Legislativvorschlags betrifft, hat die dezentrale Erfassung der Daten gegenüber einer zentralisierten Erfassung Vorteile, weil diese Lösung mehr Sicherheit innerhalb der EU verspricht. Bei einer zentralen Datenerfassung wäre die Gefahr von Pannen groß, denn die Zentralstelle müsste große Datenmengen verarbeiten, was bei den unterschiedlichen Arten der Verarbeitung, die vorgenommen werden müssen, zu Komplikationen führen könnte. Damit eine solche Stelle überhaupt funktionieren kann, müsste sie außerdem Zugriff auf die verschiedenen nationalen Datenbanken der Mitgliedstaaten haben.

Hinsichtlich der Auswirkungen der vorgeschlagenen Regelung auf die Beziehungen mit Drittstaaten ist nicht auszuschließen, dass einige Länder nach dem Gegenseitigkeitsprinzip Zugang zu PNR-Daten im Zusammenhang mit Flügen von der EU in ihre Hoheitsgebiete verlangen auch wenn dies in der Praxis sehr unwahrscheinlich sein dürfte. Die bestehenden PNR-Abkommen der EU mit den USA und Kanada sehen eine derartige Verarbeitung nach dem Grundsatz der Gegenseitigkeit vor, die automatisch anwendbar ist.

Die Kommission hat, wie in ihrem Arbeitsprogramm vorgesehen, eine Folgenabschätzung vorgenommen1.

3. Rechtliche Aspekte

- Zusammenfassung des Vorschlags

Der Vorschlag bezweckt die Harmonisierung der Vorschriften der EU-Mitgliedstaaten über die Pflichten der Fluggesellschaften, die Flüge aus mindestens einem oder in mindestens einen EU-Mitgliedstaat durchführen, soweit sie die Übermittlung von PNR-Daten an die zuständigen Behörden zum Zwecke der Verhütung und Bekämpfung von terroristischen Straftaten und organisierter Kriminalität betreffen. Jegliche Verarbeitung von PNR-Daten gemäß diesem Vorschlag unterliegt dem Rahmenbeschluss (xx/xx) des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden.

- Rechtsgrundlage

Vertrag über die Europäische Union, insbesondere Artikel 29, Artikel 30 Absatz 1 Buchstabe b und Artikel 34 Absatz 2 Buchstabe b.

- Subsidiaritätsprinzip

Handlungen der Europäischen Union unterliegen dem Subsidiaritätsprinzip.

Die Ziele des Vorschlags können von den Mitgliedstaaten aus folgenden Gründen nicht ausreichend verwirklicht werden:

Der Hauptgrund, weshalb ein Tätigwerden der Mitgliedstaaten nicht ausreichen würde, um die angestrebten Ziele zu erreichen, besteht darin, dass die Mitgliedstaaten im Alleingang nicht in der Lage wären, eine angemessene Harmonisierung der diesbezüglichen gesetzlichen Pflichten für sämtliche Fluggesellschaften, die Flüge in die und aus der Europäischen Union durchführen durchzusetzen.

Die Mitgliedstaaten könnten im Alleingang ihre Interessen nicht durchsetzen, weil sie sich nicht sicher sein könnten, dass die Behörden anderer Mitgliedstaaten ihnen die einschlägigen PNR-Daten zur Verfügung stellen - dies ist nur durch eine EU-weite Regelung gewährleistet.

Die Ziele des Vorschlags können aus folgenden Gründen besser durch Maßnahmen der Union erreicht werden:

Sie lassen sich deshalb besser auf EU-Ebene verwirklichen, weil ein aufeinander abgestimmtes Vorgehen einen EU-weiten Austausch der betreffenden Informationen ermöglicht. Außerdem ist ein harmonisiertes Vorgehen auch gegenüber Drittstaaten von Vorteil.

Das qualitative Argument, das dafür spricht, dass das Ziel besser auf Ebene der Union erreicht werden kann, ist ein effektiveres Vorgehen gegen Terrorismus und die organisierte Kriminalität.

Der Vorschlag steht daher mit dem Subsidiaritätsprinzip im Einklang.

- Grundsatz der Verhältnismäßigkeit

Der Vorschlag entspricht aus folgenden Gründen dem Grundsatz der Verhältnismäßigkeit:

Der sachliche Geltungsbereich des Vorschlags beschränkt sich auf jene Aspekte, die ein harmonisiertes Vorgehen auf EU-Ebene erfordern; hierzu gehören die Beschreibung der Aufgaben der PNR-Zentralstellen, die Datenelemente, die erhoben werden sollen, die Zwecke, für die die Daten verwendet werden dürfen, der Austausch der Daten zwischen den PNR-Stellen der Mitgliedstaaten und die dafür erforderlichen technischen Voraussetzungen.

Als Maßnahme wird ein Rahmenbeschluss vorgeschlagen, der den einzelstaatlichen Entscheidungsträgern größtmöglichen Spielraum lässt. Die Entscheidung für ein dezentrales System bedeutet ferner, dass die Mitgliedstaaten selbst bestimmen können, wie sie ihr PNR-System ausgestalten wo sie es ansiedeln und welche technischen Merkmale es erhalten soll.

Die Harmonisierung beschränkt sich ausschließlich auf die unverzichtbaren Aspekte, wie die technische Abwicklung des Datenaustauschs mit anderen Mitgliedstaaten.

Der finanzielle und administrative Aufwand für die Gemeinschaft wurde durch die Entscheidung für ein dezentrales System so gering wie möglich gehalten. Der Aufbau und die Pflege eines zentralisierten EU-Erhebungs- und Verarbeitungssystems wären mit relativ hohen Kosten verbunden.

- Wahl des Rechtsinstruments

Vorgeschlagenes Rechtsinstrument: Rahmenbeschluss nach Artikel 34 Absatz 2 Buchstabe b EU-Vertrag.

Andere Instrumente wären aus folgendem Grund nicht angemessen:

Da eine Annäherung der Rechtsvorschriften der Mitgliedstaaten angestrebt wird, wären andere Rechtsinstrumente nicht angebracht.

4. Auswirkungen auf den Haushalt

Der Vorschlag hat keine Auswirkungen auf den Gemeinschaftshaushalt.

5. Sonstige Informationen

- Simulation, Pilotphase und Übergangsfrist

Der Vorschlag sieht eine Übergangsfrist vor.

- Überprüfungs-/Revisions-/Verfallsklausel

Der Vorschlag enthält eine Überprüfungsklausel.

Vorschlag für einen Rahmenbeschluss des Rates über die Verwendung von Fluggastdatensätzen (PNR-Daten) zu Strafverfolgungszwecken Der Rat der europäischen Union - gestützt auf den Vertrag über die Europäische Union, insbesondere auf Artikel 29, Artikel 30 Absatz 1 Buchstabe b und Artikel 34 Absatz 2 Buchstabe b, auf Vorschlag der Kommission2, nach Stellungnahme des Europäischen Parlaments3, in Erwägung nachstehender Gründe:

• (1) Am 25. März 2004 nahm der Europäische Rat eine Erklärung zur Terrorismusbekämpfung an4, in der die Kommission aufgefordert wurde, einen Vorschlag für ein gemeinsames EU-Konzept zur Verwendung von Passagierdaten zu Strafverfolgungszwecken vorzulegen.
• (2) Auch im Haager Programm5 und auf der außerordentlichen Ratstagung vom 13. Juli 2005 erging an die Kommission die Aufforderung, eine Vorschlag zur Verwendung von PNR-Daten zu unterbreiten6.
• (3) Die Europäische Union ist unter anderem bestrebt, in einem Raum der Freiheit, der Sicherheit und des Rechts ein hohes Maß an Sicherheit und Schutz zu bieten; hierzu gehört auch die Verhütung und Bekämpfung von terroristischen Straftaten und der organisierten Kriminalität mit angemessenen Mitteln. Die Begriffsbestimmungen für terroristische Straftaten bzw. organisierte Kriminalität sind den Artikeln 1 bis 4 des Rahmenbeschlusses 2002/475/JI des Rates zur Terrorismusbekämpfung7 bzw. Artikel 2 des Rahmenbeschlusses (xx/xx) des Rates zur Bekämpfung der organisierten Kriminalität8 entnommen.
• (4) Am 29. April 2004 nahm der Rat die Richtlinie 2004/82/EG über die Verpflichtung von Beförderungsunternehmen, Angaben über die beförderten Personen zu übermitteln9, an. Zweck dieser Richtlinie ist es, die Grenzkontrollen zu verbessern und die illegale Einwanderung zu bekämpfen, indem die Beförderungsunternehmen erweiterte Angaben zu den beförderten Personen an die zuständigen nationalen Behörden weiterleiten.
• (5) Fluggastdatensätze (Passenger Name Record Data - PNR-Daten) sind aufgrund der darin enthaltenen Informationen ein geeignetes Mittel, um terroristische Straftaten und Straftaten im Rahmen der organisierten Kriminalität wirksam zu verhüten und zu bekämpfen und damit die innere Sicherheit zu erhöhen. Die den Fluggesellschaften aufgrund dieses Rahmenbeschlusses auferlegten Verpflichtungen sind andere als die ihnen gemäß der Richtlinie 2004/82/EG obliegenden Pflichten.
• (6) PNR-Daten werden von Fluggesellschaften bereits für ihre eigenen geschäftlichen Zwecke erhoben. Mit diesem Rahmenbeschluss werden sie nicht zur Erhebung weiterer Informationen oder zur Aufbewahrung von Daten verpflichtet.
• (7) Um Terrorismus und organisierte Kriminalität wirksam verhüten und bekämpfen zu können ist es außerordentlich wichtig, dass alle Mitgliedstaaten Vorschriften erlassen, die festlegen, welchen Pflichten für Fluggesellschaften gelten, die Flüge vom Hoheitsgebiet eines oder mehrerer Mitgliedstaaten der Europäischen Union aus oder in das Hoheitsgebiet eines oder mehrerer EU-Mitgliedstaaten durchführen. Innergemeinschaftliche Flüge werden von diesem Rahmenbeschluss nicht erfasst, es sei denn, es handelt sich um einen Anschlussflug zwischen zwei EU-Flughäfen im Rahmen eines internationalen Fluges.
• (8) Zur Verhütung und Bekämpfung von Terrorismus und organisierter Kriminalität müssen die zuständigen einzelstaatlichen Behörden nach Maßgabe dieses Rahmenbeschlusses Zugang zu PNR-Daten erhalten. Die Regelung dieses Zuganges muss in angemessenem Verhältnis zu dem legitimen Sicherheitsinteresse stehen.
• (9) Der Zeitraum, für den die PNR-Daten von den zuständigen nationalen Behörden vorgehalten werden, muss in einem angemessenen Verhältnis zu den mit ihnen verfolgten Zwecken, nämlich Verhütung und Bekämpfung von terroristischen Straftaten sowie Straftaten im Rahmen der organisierten Kriminalität stehen. Die Art der Daten und ihre Verwendung bringt es mit sich, dass sie lange genug aufbewahrt werden müssen, damit sie für die Entwicklung von Risikoindikatoren und die Feststellung von Reise- und Verhaltensmustern verwendet werden können. Damit es zu keiner unverhältnismäßigen Verwendung kommt, müssen die Daten nach einigen Jahren in eine ruhende Datenbank verlagert werden und dürfen dort nur unter sehr strengen Voraussetzungen zugänglich sein. Damit wird zugleich gewährleistet, dass die Daten verfügbar sind, wenn sie unter festgelegten besonderen Umständen benötigt werden. Ferner muss eine Verlängerung der Speicherfrist der Daten zulässig sein, wenn sie für eine laufende polizeiliche Ermittlung oder ein laufendes Gerichtsverfahren verwendet werden.
• (10) Der Rahmenbeschluss (xx/x) des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, muss auch für alle nach Maßgabe dieses Rahmenbeschlusses verarbeiteten Daten gelten. Die Rechte der betroffenen Personen in Bezug auf eine derartige Datenverarbeitung, insbesondere das Recht auf Information, Zugang, Berichtigung, Löschung oder Sperrung sowie das Recht auf Schadenersatz und Rechtsmittel, sollten die gleichen wie die in dem Rahmenbeschluss vorgesehenen sein.
• (11) Um sicherzustellen, dass die Fluggesellschaften ihrer Verpflichtung zur Bereitstellung von PNR-Daten auch tatsächlich nachkommen, müssen die Mitgliedstaaten für den Fall der Nichterfüllung wirksame und angemessene Sanktionen mit abschreckender Wirkung vorsehen. Die Mitgliedstaaten sollten alle notwendigen Maßnahmen treffen, um die Fluggesellschaften in die Lage zu versetzen, ihren Verpflichtungen gemäß dem Rahmenbeschluss nachzukommen. Bei wiederholten ernsthaften Zuwiderhandlungen, die die grundlegenden Ziele dieses Rahmenbeschlusses in Frage stellen könnten, sind als Sanktionen Maßnahmen wie Außerbetriebnahme, Beschlagnahme und Einziehung des Verkehrsmittels oder die vorübergehende Einfrierung und Entziehung der Betriebsgenehmigung vorzusehen. Derartige Sanktionen sollten nur in außergewöhnlichen Fällen verhängt werden.
• (12) Von den Fluggesellschaften erhobene PNR-Daten müssen den zuständigen einzelstaatlichen Behörden zur Verfügung gestellt werden.
• (13) Aufgrund der sowohl in rechtlicher als auch in technischer Hinsicht von Mitgliedstaat zu Mitgliedstaat unterschiedlich geregelten Bereitstellung von Informationen und damit auch von PNR-Daten sind die Mitgliedstaaten mit unterschiedlichen Vorschriften in Bezug auf die Art der zu übermittelnden Informationen und die Weiterleitung an die zuständigen einzelstaatlichen Behörden konfrontiert.
• (14) Diese Unterschiede können einer wirksamen Zusammenarbeit zwischen den zuständigen nationalen Behörden abträglich sein.
• (15) In ihrer Mitteilung vom 16. Dezember 2003 "Übermittlung von Fluggastdatensätzen (PNR): Ein sektorübergreifendes EU-Konzept"10 hat die Kommission die Kernstücke einer EU-Politik in diesem Bereich erläutert. Außerdem unterstützte sie die multilaterale Initiative der Internationalen Zivilluftfahrt-Organisation ICAO und beteiligte sich aktiv an deren Arbeiten, die in die ICAO-Leitlinien für die Übermittlung von PNR-Daten einmündeten. Diese Leitlinien sind mit in Betracht zu ziehen. Rein nationale oder auch auf EU-Ebene getroffene Maßnahmen, die den Koordinierungs- und Kooperationsbestrebungen auf internationaler Ebene nicht Rechnung tragen, hätten nur eine sehr begrenzte Wirkung. Die Maßnahmen, die von der Union auf diesem Gebiet getroffen werden, sollten daher mit anderen Maßnahmen vereinbar sein, die in anderen internationalen Gremien eingeleitet worden sind.
• (16) Derzeit gibt es zwei Methoden der Datenübermittlung: die "Pull"-Methode, bei der die zuständigen Behörden des Staates, der die Daten benötigt, direkt auf das Buchungssystem der Fluggesellschaft zugreifen und eine Kopie der benötigten Daten extrahieren können, und die "Push"-Methode, bei der die Fluggesellschaften die benötigen Daten an die anfragende Behörde weiterleiten. Die "Push"-Methode gilt als die Methode, die den größeren Datenschutz bietet und sollte daher für alle in der Union niedergelassenen Beförderungsunternehmen vorgeschrieben werden. Bei Beförderungsunternehmen aus Drittstaaten sollte der "Push"-Methode immer dann der Vorzug gegeben werden, wenn dies für die betreffenden Unternehmen unter technischen wirtschaftlichen und betrieblichen Gesichtspunkten möglich ist.
• (17) Von einem Mitgliedstaat benötigte PNR-Daten sollten an eine einzige repräsentative Stelle des anfragenden Mitgliedstaates übermittelt werden.
• (18) Der Inhalt jedweder Liste mit PNR-Daten, die von den zuständigen nationalen Behörden angefordert und ihnen zur Verfügung gestellt wird, sollte ein angemessenes Gleichgewicht zwischen den legitimen Bedürfnissen des Staates im Zusammenhang mit der Verhütung und Bekämpfung von Terrorismus und organisierter Kriminalität zwecks Verbesserung der inneren Sicherheit der EU auf der einen und dem Schutz der Grundrechte und speziell der Privatsphäre der Bürger auf der anderen Seite widerspiegeln. Eine solche Liste darf daher keine personenbezogenen Daten enthalten, die Aufschluss geben über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Zugehörigkeit zu einer Gewerkschaft, den Gesundheitszustand oder das Sexualleben der betreffenden Person. Die PNR-Daten setzen sich zusammen aus Einzelheiten über den Buchungsvorgang und die Reiseroute des Fluggastes, mit deren Hilfe die zuständigen Stellen diejenigen Fluggäste herausfiltern können, die eine Gefahr für die innere Sicherheit darstellen.
• (19) Um die innere Sicherheit in der Europäischen Union insgesamt zu erhöhen, sollten die Mitgliedstaaten eine Einschätzung der Gefahrenlage durch drohende terroristische Straftaten und Straftaten im Rahmen der organisierten Kriminalität vornehmen. Der durch diesen Rahmenbeschluss eingesetzte Ausschuss sollte Leitlinien für gemeinsame allgemeine Kriterien für eine derartige Risikobewertung erarbeiten.
• (20) Aus grundsätzlichen Erwägungen des Datenschutzes muss gewährleistet sein, dass die zuständigen Behörden der Mitgliedstaaten Strafverfolgungsmaßnahmen nicht allein auf der Grundlage der automatisierten Verarbeitung von PNR-Daten oder der rassischen oder ethnischen Herkunft einer Person, ihrer religiösen oder philosophischen Überzeugungen, ihrer politischen Meinungen oder ihrer sexuellen Ausrichtung einleiten.
• (21) Die Mitgliedstaaten sollten sich die erhaltenen PNR-Daten, wann immer dies angemessen ist, gegenseitig zur Verfügung stellen. Für die Übermittlung von PNR-Daten an Drittstaaten und Bescheinigungen eines angemessenen Schutzniveaus sollte der Rahmenbeschluss (xx/xx) des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, maßgebend sein. Außerdem sollte die Datenübermittlung zusätzlichen Anforderungen in Bezug auf ihren Zweck unterworfen werden. Hat die Union internationale Abkommen über derartige Datenübermittlungen geschlossen, so ist den jeweiligen Bestimmungen sorgfältig Rechnung zu tragen.
• (22) Die Mitgliedstaaten müssen im Interesse einer größtmöglichen Datensicherheit dafür Sorge tragen, dass die Übermittlung der einschlägigen PNR-Daten von den Fluggesellschaften an die zuständigen nationalen Stellen unter Verwendung der jeweils neuesten Technik erfolgt.
• (23) Da die Ziele dieses Rahmenbeschlusses von den Mitgliedstaaten allein nicht hinreichend verwirklicht werden können, sondern sich angesichts des Umfangs und der Wirkungen der Maßnahme besser auf Ebene der Europäischen Union erreichen lassen kann der Rat gemäß dem in Artikel 5 EG-Vertrag verankerten Subsidiaritätsprinzip, auf das in Artikel 2 EU-Vertrag Bezug genommen wird, tätig werden. Der vorliegende Rahmenbeschluss steht zudem im Einklang mit dem an gleicher Stelle niedergelegten Grundsatz der Verhältnismäßigkeit, da er nicht über das hinausgeht was für die Erreichung der mit ihm verfolgten Ziele erforderlich ist.
• (24) Der Rahmenbeschluss steht im Einklang mit den Grundrechten und Grundsätzen, die insbesondere mit der Charta der Grundrechte der Europäischen Union anerkannt wurden -

Hat folgenden Rahmenbeschluss angenommen:

Kapitel I
Allgemeine Vorschriften

Artikel 1
Ziele

• Der vorliegende Rahmenbeschluss ermöglicht die Weitergabe von PNR-Daten über Fluggäste auf internationalen Flügen durch Fluggesellschaften an die zuständigen Behörden der Mitgliedstaaten zum Zwecke der Verhütung und Bekämpfung terroristischer Straftaten und von Straftaten im Rahmen der organisierten Kriminalität. Ferner ermöglicht er die Sammlung und Speicherung dieser Daten durch die genannten Behörden sowie den gegenseitigen Austausch der Daten.

Artikel 2
Begriffsbestimmungen

• Im Sinne dieses Rahmenbeschlusses bezeichnet der Ausdruck a) "Fluggesellschaft" ein Unternehmen mit einer gültigen Lizenz oder einer vergleichbaren Betriebsgenehmigung;
  • b) "internationaler Flug" jeden Flug, dessen planmäßige Route von einem Drittstaat aus in das Hoheitsgebiet mindestens eines Mitgliedstaats der Europäischen Union oder vom Hoheitsgebiet mindestens eines Mitgliedstaats der Europäischen Union aus zu einem endgültigen Zielflughafen in einem Drittstaat führt;
  • c) "Passenger Name Record (PNR)" bzw. "Fluggastdatensatz" einen Datensatz mit den für den Reiseantritt notwendigen Angaben zu jedem einzelnen Fluggast, die die Bearbeitung und Überprüfung der von einer Person oder in ihrem Namen getätigten Reservierungen durch die an der Buchung beteiligten Fluggesellschaften ermöglichen. Für die Zwecke dieses Rahmenbeschlusses sind unter PNR-Daten die im Anhang aufgelisteten Datenelemente zu verstehen, soweit sie von den Fluggesellschaften erhoben werden;
  • d) "Fluggast" jede Person, außer Besatzungsmitglieder, die mit Zustimmung der Fluggesellschaft befördert wird;
  • e) "Buchungssysteme" das interne Datenverwaltungssystem einer Fluggesellschaft, in dem die PNR-Daten zu Reservierungen erfasst werden, die über computergestützte Buchungssysteme im Sinne der Verordnung (EWG) Nr. 2299/89 über einen Verhaltenskodex im Zusammenhang mit computergesteuerten Buchungssystemen oder über Direktbuchungssysteme wie Internetseiten, Call Center oder Verkaufsstellen der Fluggesellschaften getätigt werden;
  • f) "Push-Methode" das Verfahren, bei dem die Fluggesellschaft die verlangten PNR-Daten in die Datenbank der anfragenden Behörde einspeist;
  • g) "Pull-Methode" das Verfahren, bei dem die anfragende Behörde direkten Zugriff auf das Buchungssystem der Fluggesellschaft erhält und sich die benötigten Daten von dort in die eigene Datenbank herüberkopieren kann;
  • h) "terroristische Straftaten" Straftaten im Sinne der Artikel 1 bis 4 des Rahmenbeschlusses 2002/475/JI des Rates zur Terrorismusbekämpfung11, so wie sie nach einzelstaatlichem Recht definiert sind;
  • i) "organisierte Kriminalität" Straftaten im Sinne von Artikel 2 des Rahmenbeschlusses (xx/xx) des Rates zur Bekämpfung der organisierten Kriminalität, so wie sie nach einzelstaatlichem Recht definiert sind12.

Kapitel II
Zuständigkeiten der Mitgliedstaaten

Artikel 3
PNR-Zentralstelle

• 1. Die Mitgliedstaaten benennen innerhalb von zwölf Monaten nach Inkrafttreten dieses Rahmenbeschlusses gegenüber der Kommission und dem Generalsekretariat des Rates eine zuständige Behörde, nachstehend "PNR-Zentralstelle" genannt. Sie können ihre Angaben jederzeit aktualisieren. Die Kommission veröffentlicht die Angaben im Amtsblatt der Europäischen Union.
• 2. Die PNR-Zentralstelle erhebt bei den Fluggesellschaften oder Datenmittlern gemäß den Artikeln 5 und 6 die PNR-Daten für internationale Flüge, die im Hoheitsgebiet der Mitgliedstaaten, für die sie zuständig ist, ankommen oder von dort abgehen. Sofern die erfassten PNR-Daten zu einem Fluggast mehr als die im Anhang genannten Daten oder spezifische Kategorien personenbezogener Daten beinhalten, die Aufschluss geben über die rassische oder ethnische Herkunft, die politischen Meinungen, die religiösen oder philosophischen Überzeugungen, die Zugehörigkeit zu einer Gewerkschaft oder den Gesundheitszustand oder das Sexualleben der betreffenden Person, werden diese Daten von der PNR-Zentralstelle umgehend gelöscht.
• 3. Die PNR-Zentralstelle ist des Weiteren zuständig für die Auswertung der PNR-Daten und die Durchführung einer Risikoanlyse in Bezug auf die Fluggäste, um diejenigen Personen zu ermitteln, die für die in Absatz 5 genannten Zwecke genauer überprüft werden müssen. Die Risikoanalyse erfolgt unter Beachtung der nach innerstaatlichem Recht geltenden Kriterien und Garantien. Die PNR-Zentralstellen und die zuständigen Behörden der Mitgliedstaaten dürfen Strafverfolgungsmaßnahmen nicht allein auf der Grundlage der automatisierten Verarbeitung von PNR-Daten oder der rassischen oder ethnischen Herkunft einer Person, ihrer religiösen oder philosophischen Überzeugungen, ihrer politischen Meinungen oder ihrer sexuellen Ausrichtung einleiten.
• 4. Die PNR-Zentralstelle eines Mitgliedstaates leitet die PNR-Daten einer gemäß Absatz 3 ermittelten Person an die jeweils zuständigen Behörden im eigenen Land, auf die in Artikel 4 Bezug genommen wird, auf elektronischem Wege oder bei Systemausfällen auf sonstige geeignete Weise weiter.
• 5. Im Rahmen der Verhütung und Bekämpfung terroristischer Straftaten und der organisierten Kriminalität dürfen die PNR-Daten von Fluggästen von der PNR-Zentralstelle und den gemäß Artikel 4 zuständigen Behörden der Mitgliedstaaten nur für folgende Zwecke verarbeitet werden:
  • - zur Identifizierung von Personen und deren Komplizen, die an einer terroristischen oder der organisierten Kriminalität zugerechneten Straftat beteiligt sind oder sein könnten,
  • - zur Entwicklung und Aktualisierung von Risikoindikatoren, um derartige Personen besser einschätzen zu können,
  • - zur Gewinnung von Erkenntnissen über Reisegewohnheiten und sonstige Tendenzen im Zusammenhang mit terroristischen und der organisierten Kriminalität zugerechneten Straftaten,
  • - zur Verwendung im Rahmen polizeilicher Ermittlungen und der strafrechtlichen Verfolgung von terroristischen Straftaten und Straftaten im Rahmen der organisierten Kriminalität.

  Die automatisierte Verarbeitung der PNR-Daten allein bietet keine ausreichende Grundlage für die Einleitung von Strafverfolgungsmaßnahmen durch die PNR-Zentralstellen und die zuständigen Behörden.

• 6. Zwei Mitgliedstaaten oder mehr können dieselbe Behörde zu ihrer PNR-Zentralstelle bestimmen. Diese PNR-Zentralstelle gilt dann als nationale PNR-Zentralstelle aller angeschlossenen Mitgliedstaaten.

Artikel 4
Zuständige Behörden

• 1. Jeder Mitgliedstaat erstellt eine Liste der zuständigen Behörden, die berechtigt sind, PNR-Daten von den PNR-Zentralstellen zu empfangen und zu verarbeiten.
• 2. Dabei darf es sich nur um Strafverfolgungsbehörden handeln, die im Bereich der Verhütung und Bekämpfung terroristischer Straftaten und der organisierten Kriminalität tätig sind.
• 3. Die Mitgliedstaaten übermitteln innerhalb von zwölf Monaten nach Inkrafttreten dieses Rahmenbeschlusses der Kommission und dem Generalsekretariat des Rates die Liste mit den "zuständigen Behörden", die jederzeit aktualisiert werden kann. Die Kommission veröffentlicht die Angaben im Amtsblatt der Europäischen Union.

Artikel 5
Pflichten der Fluggesellschaften

• 1. Die Mitgliedstaaten stellen durch entsprechende Maßnahmen sicher, dass Fluggesellschaften die PNR-Daten von Fluggästen auf internationalen Flügen gemäß den in diesem Rahmenbeschluss festgelegten Bedingungen der PNR-Zentralstelle des Mitgliedstaates zur Verfügung stellen, in dessen Hoheitsgebiet der betreffende internationale Flug ankommt, von dem er abgeht oder in dem eine Zwischenlandung erfolgt.
• 2. Die Fluggesellschaften übermitteln der PNR-Zentralstelle die im Anhang aufgeführten PNR-Daten, soweit sie in ihren Buchungssystemen erfasst und verarbeitet werden.
• 3. Die Fluggesellschaften übermitteln die Daten auf elektronischem Wege oder bei Systemausfällen auf andere geeignete Weise
  • a) im Voraus, und zwar 24 Stunden vor dem geplanten Abflug, sowie
  • b) sofort nach Abfertigungsschluss.

  Die jeweils zuständige PNR-Zentralstelle kann die PNR-Daten früher als 24 Stunden vor dem geplanten Abflugtermin anfordern, wenn es Hinweise darauf gibt, dass ein früher Zugriff erforderlich ist, um auf eine spezifische Bedrohung durch Terrorismus und die organisierte Kriminalität zu reagieren. Die PNR-Stelle übt dieses Ermessen nach dem Grundsatz der Verhältnismäßigkeit aus.

• 4. Fluggesellschaften, deren Passagierdatenbanken in einem Mitgliedstaat der Europäischen Union gelegen sind, stellen durch entsprechende technische Maßnahmen sicher, dass die PNR-Daten mit der "Push-Methode" an die PNR-Zentralstelle oder die designierten Datenmittler gemäß Artikel 6 weitergeleitet werden.
• 5. Fluggesellschaften, deren Datenbanken außerhalb eines Mitgliedstaates der Europäischen Union gelegen sind,
  • - verwenden die "Push"-Methode zur Weiterleitung der Daten an die PNR-Zentralstelle oder den designierten Datenmittler im Sinne von Artikel 6;
  • - gestatten der PNR-Zentralstelle oder dem designierten Datenmittler im Sinne von Artikel 6, die Daten mit Hilfe der "Pull"-Methode aus ihren Datenbanken zu extrahieren wenn sie nicht über die für die "Push"-Methode erforderliche Systemarchitektur verfügen.

  Sie teilen den PNR-Zentralstellen und den jeweiligen Datenmittlern mit, ob sie die Daten im Wege der "Push"- oder der "Pull"-Methode bereitstellen.

• 6. Die Mitgliedstaaten sorgen dafür, dass die Fluggesellschaften die Fluggäste auf internationalen Flügen darüber informieren, dass PNR-Daten an die PNR-Zentralstelle bzw. gegebenenfalls an den Datenmittler weitergegeben werden. Sie klären sie über die Zwecke der Verarbeitung, den Zeitraum ihrer Speicherung, die möglichen Arten ihrer Verwertung im Zusammenhang mit der Verhütung und Bekämpfung terroristischer Straftaten und der organisierten Kriminalität und die Möglichkeit des Austauschs und der gemeinsamen Nutzung der Daten auf.

Artikel 6
Datenmittler

• 1. Die Mitgliedstaaten tragen dafür Sorge, dass Fluggesellschaften, die internationale Flüge durchführen, gemäß den Absätzen 2 bis 6 einen Datenmittler benennen können dem sie die PNR-Daten von Fluggästen übermitteln, anstatt sie direkt an die PNR-Zentralstelle weiterzuleiten.
• 2. Fluggesellschaften, die vertragliche Beziehungen mit Datenmittlern eingehen, melden dies den PNR-Zentralstellen aller Mitgliedstaaten. Die Datenmittler handeln im Namen der Fluggesellschaft, von der sie ausgewählt wurden, und gelten für die Zwecke dieses Rahmenbeschlusses als Vertreter der Fluggesellschaft.
• 3. Die von Fluggesellschaften benannten Datenmittler sind für die Erhebung der PNR-Daten bei den Fluggesellschaften zuständig. Sofern die erfassten PNR-Daten zu einem Fluggast mehr als die im Anhang genannten Daten oder spezifische Kategorien personenbezogener Daten beinhalten, die Aufschluss geben über die rassische oder ethnische Herkunft, die politischen Meinungen, die religiösen oder philosophischen Überzeugungen, die Zugehörigkeit zu einer Gewerkschaft oder den Gesundheitszustand oder das Sexualleben der betreffenden Person, werden sie von dem Datenmittler umgehend gelöscht.
• 4. Der Datenmittler leitet die PNR-Daten auf elektronischem Wege oder bei Systemausfällen auf sonstige geeignete Weise an die PNR-Zentralstelle des Mitgliedstaates weiter, in dessen Hoheitsgebiet der betreffende internationale Flug ankommt von dem er abgeht oder in dem eine Zwischenlandung erfolgt. Die Übermittlung der Daten an die PNR-Zentralstelle erfolgt mittels der "Push"-Methode.
• 5. Die Datenbanken der Datenmittler müssen im Hoheitsgebiet der Europäischen Union gelegen sein, wo auch die Verarbeitung der PNR-Daten stattfinden muss.
• 6. Den Datenmittlern ist die Verarbeitung der von den Fluggesellschaften erhobenen und an die PNR-Zentralstellen übermittelten Daten zu anderen als den in diesem Artikel genannten Zwecken untersagt. Die Daten sind nach ihrer Übermittlung an die zuständige PNR-Zentralstelle umgehend zu löschen.

Artikel 7
Datenaustausch

• 1. Die Mitgliedstaaten stellen sicher, dass die PNR-Daten von Personen, die von einer PNR-Zentralstelle gemäß Artikel 3 Absatz 3 herausgefiltert wurden, von letzterer nur dann an die PNR-Zentralstellen anderer Mitgliedstaaten weitergegeben werden, wenn dies zur Bekämpfung und Verhütung von terroristischen Straftaten und der organisierten Kriminalität erforderlich ist. Die PNR-Zentralstelle des Empfängermitgliedstaates hält die PNR-Daten gemäß den Bestimmungen von Artikel 9 vor und leitet sie an ihre jeweils zuständigen Behörden im Sinne von Artikel 4 weiter.
• 2. Die PNR-Zentralstelle oder eine der designierten zuständigen Behörden eines Mitgliedstaates können bei der PNR-Zentralstelle eines jeden anderen Mitgliedstaates spezielle PNR-Daten aus deren aktiver Datenbank gemäß Artikel 9 Absatz 1 anfordern. Die Anforderung dieser Daten kann ein Datenelement oder eine Kombination von Datenelementen betreffen, je nachdem, was die anfragende Stelle im Hinblick auf die Verhütung und Bekämpfung von terroristischen Straftaten und Straftaten im Rahmen der organisierten Kriminalität für zweckmäßig erachtet. Die PNR-Zentralstellen beantworten die Anfragen, sobald sie in der Lage sind, die Daten zu extrahieren.
• 3. Fordert ein Mitgliedstaat von einem anderen Mitgliedstaat bestimmte PNR-Daten an, die in der ruhenden Datenbank gemäß Artikel 9 Absatz 2 gespeichert sind, ist die Anfrage an die Behörde zu richten, die in dem Mitgliedstaat für die Datenbank zuständig ist, in der die PNR-Daten gespeichert sind; eine solche Anfrage ist auf Ausnahmefälle zu beschränken, in der auf eine bestimmte, akute Bedrohung reagiert werden muss, die mit der Verhütung und Bekämpfung des Terrorismus und der organisierten Kriminalität in Zusammenhang steht. Der Zugang zu diesen Daten ist auf Bedienstete der zuständigen Behörden beschränkt, die dafür eigens befugt sein müssen.
• 4. In Ausnahmefällen, in denen es Hinweise darauf gibt, dass ein früher Zugriff erforderlich ist, um auf eine spezifische, akute Bedrohung im Zusammenhang mit der Verhütung und Bekämpfung terroristischer Straftaten und der organisierten Kriminalität zu reagieren, dürfen die PNR-Zentralstelle eines Mitgliedstaates oder die designierten zuständigen Behörden bei der PNR-Zentralstelle eines anderen Mitgliedstaates PNR-Daten über in dessen Hoheitsgebiet ankommende oder abgehende Flüge früher als 24 Stunden vor dem geplanten Abflugtermin anfordern.

Artikel 8
Datenübermittlung an Drittstaaten

• 1. Über die Voraussetzungen und Garantien gemäß dem Rahmenbeschluss des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, hinaus gilt, dass ein Mitgliedstaat PNR-Daten nur dann an Strafverfolgungsbehörden eines Drittstaates weitergeben darf, wenn er sich sicher ist, dass
  • a) die Behörden des Drittstaates die Daten ausschließlich für Zwecke der Verhütung und Bekämpfung des Terrorismus und der organisierten Kriminalität verwenden,
  • b) der Drittstaat die Daten nicht ohne ausdrückliche Zustimmung des Mitgliedstaates an einen anderen Drittstaat weitergibt.
• 2. Derartige Datenübermittlungen dürfen überdies nur im Einklang mit den innerstaatlichen Rechtsvorschriften des betreffenden Mitgliedstaates und etwaigen geltenden internationalen Abkommen erfolgen.

Artikel 9
Speicherfrist

• 1. Die Mitgliedstaaten stellen sicher, dass die von den Fluggesellschaften oder Datenmittlern an die PNR-Zentralstelle übermittelten PNR-Daten für einen Zeitraum von fünf Jahren nach ihrer Übermittlung an die PNR-Zentralstelle des ersten Mitgliedstaates, in dessen Hoheitsgebiet der internationale Flug abgegangen oder angekommen ist oder in dem eine Zwischenlandung erfolgt ist, gespeichert werden.
• 2. Nach Ablauf der Fünfjahresfrist gemäß Absatz 1 werden die PNR-Daten für weitere acht Jahre vorgehalten. In dieser Zeit ist ein Zugriff auf die PNR-Daten sowie deren Verarbeitung und Verwertung nur mit Genehmigung der zuständigen Behörde und nur in Ausnahmefällen zulässig, in denen auf eine bestimmte, akute Bedrohung reagiert werden muss, die mit der Verhütung und Bekämpfung terroristischer Straftaten oder von Straftaten im Rahmen der organisierten Kriminalität in Zusammenhang steht. Der Zugang zu diesen Daten ist auf Bedienstete der zuständigen Behörden beschränkt, die dafür eigens befugt sein müssen.
• 3. Die Mitgliedstaaten stellen sicher, dass die PNR-Daten nach Ablauf des Achtjahreszeitraums gemäß Absatz 2 aus den Datenbanken ihrer PNR-Zentralstellen gelöscht werden.
• 4. Abweichend von den Absätzen 1, 2 und 3 darf die PNR-Zentralstelle die PNR-Daten für einen längeren Zeitraum vorhalten, wenn die Daten für eine laufende polizeiliche Ermittlung in Bezug auf eine Person verwendet werden, die mit einer terroristischen oder einer Straftat im Rahmen der organisierten Kriminalität in Zusammenhang gebracht wird. Nach Abschluss eines solchen Vorgangs sind die Daten aus allen Aufzeichnungen und Dateien zu löschen.

Artikel 10
Sanktionen

• Die Mitgliedstaaten stellen im Einklang mit ihrem innerstaatlichen Recht sicher, dass wirksame und verhältnismäßige Abschreckungsmaßnahmen einschließlich Geldstrafen gegen Fluggesellschaften und Datenmittler verhängt werden, die keine, unvollständige oder fehlerhafte Daten übermitteln oder auf sonstige Weise gegen die auf der Grundlage dieses Rahmenbeschlusses auf nationaler Ebene beschlossenen Vorschriften verstoßen. Bei wiederholten schwerwiegenden Zuwiderhandlungen sind als Sanktionen Maßnahmen wie Außerbetriebnahme, Beschlagnahme und Einziehung des Verkehrsmittels oder die vorübergehende Einfrierung und Entziehung der Betriebsgenehmigung vorzusehen.

Kapitel III
Schutz personenbezogener Daten

Artikel 11
Schutz personenbezogener Daten

• 1. Die Mitgliedstaaten sorgen dafür, dass der Rahmenbeschluss (xx/xx) des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden13, auf die gemäß diesem Rahmenbeschluss verarbeiteten personenbezogenen Daten Anwendung findet.
• 2. Daten, die gemäß diesem Rahmenbeschluss bei der PNR-Zentralstelle, den Datenmittlern und den bezeichneten zuständigen Behörden der Mitgliedstaaten eingehen dürfen ausschließlich zu Zwecken der Verhütung, Aufdeckung, Untersuchung und Verfolgung terroristischer Straftaten oder von Straftaten im Rahmen der organisierten Kriminalität verarbeitet werden.
• 3. Die PNR-Zentralstellen und die zuständigen Behörden der Mitgliedstaaten dürfen Strafverfolgungsmaßnahmen nicht allein auf der Grundlage der automatisierten Verarbeitung von PNR-Daten oder der rassischen oder ethnischen Herkunft einer Person, ihrer religiösen oder philosophischen Überzeugungen, ihrer politischen Meinungen oder ihrer sexuellen Ausrichtung einleiten.

Artikel 12
Datensicherheit

• Die Mitgliedstaaten sorgen dafür, dass die PNR-Zentralstellen, die Datenmittler und die zuständigen Behörden der einzelnen Mitgliedstaaten in Bezug auf die gemäß diesem Rahmenbeschluss verarbeiteten PNR-Daten die Sicherheitsmaßnahmen treffen, die erforderlich sind, um
  • a) die Daten physisch zu schützen;
  • b) den Zugang Unbefugter zu staatlichen Einrichtungen, in denen die Mitgliedstaaten Daten speichern, zu unterbinden (Zugangskontrolle);
  • c) zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle);
  • d) die Sichtung, Veränderung oder Löschung gespeicherter personenbezogener Daten durch Unbefugte unmöglich zu machen (Speicherkontrolle);
  • e) die Verarbeitung der Daten durch Unbefugte zu verhindern (Datenverarbeitungskontrolle);
  • f) zu gewährleisten, dass zugangsberechtigte Personen aufgrund persönlicher, eindeutiger Benutzerkennungen und vertraulicher Zugriffsverfahren nur auf die Daten zugreifen können, für die sie die Berechtigung besitzen (Zugriffskontrolle);
  • g) zu gewährleisten, dass alle zuständigen Behörden mit Zugriffsrecht auf die Daten Profile mit einer Beschreibung der Aufgaben und Zuständigkeiten der Personen erstellen, die zum Zugriff auf die Daten sowie zu ihrer Eingabe, Aktualisierung, Löschung und Abfrage berechtigt sind, und diese Profile den nationalen Aufsichtsinstanzen umgehend zur Verfügung stellen (Personalprofile);
  • h) dafür zu sorgen, dass überprüfbar und feststellbar ist, an welche Stellen personenbezogene Daten mittels Datenübertragungseinrichtungen übermittelt werden dürfen (Übermittlungskontrolle);
  • i) das Lesen und Kopieren personenbezogener Daten durch Unbefugte während des Übertragungsvorgangs unter anderem durch geeignete gemeinsame Protokolle und Verschlüsselungsstandards zu verhindern (Übertragungsgkontrolle).

Kapitel IV
Komitologie

Artikel 13
Gemeinsame Protokolle und Verschlüsselungsstandards

• 1. Bis zum Ablauf der in Absatz 6 dieses Artikels genannten Frist erfolgen alle für die Zwecke dieses Rahmenbeschlusses vorgenommenen Übermittlungen von PNR-Daten auf elektronischem Wege oder bei Systemausfällen auf sonstige geeignete Weise.
• 2. Nach Ablauf der in Absatz 6 dieses Artikels genannten Frist erfolgen alle für die Zwecke dieses Rahmenbeschlusses vorgenommenen Übermittlungen von PNR-Daten in elektronischer Form unter Verwendung einheitlicher sicherer Übertragungsverfahren, die die Datensicherheit während der Übertragung und deren Lesbarkeit für die Beteiligten garantieren und Folgendes beinhalten:
  • a) gemeinsame Protokolle und
  • b) gemeinsame Verschlüsselungsstandards.
• 3. Die gemeinsamen Protokolle und Verschlüsselungsstandards werden nach dem Verfahren des Artikels 15 festgelegt und im Bedarfsfall angepasst.
• 4. In Ermangelung des in den Absätzen 2 und 3 bezeichneten Übertragungsmodus gilt Absatz 1 solange, wie der Modus nicht verfügbar ist.
• 5. Die Mitgliedstaaten sorgen dafür, dass die erforderlichen technischen Anpassungen vorgenommen werden, damit die gemeinsamen Protokolle und Verschlüsselungsstandards für alle Übermittlungen von PNR-Daten für die Zwecke dieses Rahmenbeschlusses zur Anwendung kommen können. Sie teilen der Kommission mit, ab wann Übermittlungen in dieser Form möglich sind. Die Kommission setzt den Ausschuss gemäß Artikel 14 umgehend hiervon in Kenntnis.
• 6. Die in Absatz 5 genannten technischen Anpassungen werden binnen eines Jahres nach Festlegung der gemeinsamen Protokolle und Verschlüsselungsstandards vorgenommen.
• 7. Die zur Umsetzung der Absätze 2 und 3 erforderlichen Maßnahmen werden nach dem Regelungsverfahren gemäß Artikel 15 beschlossen.

Artikel 14
Ausschussverfahren

• 1. Die Kommission wird von einem Ausschuss unterstützt, der sich aus Vertretern der Mitgliedstaaten zusammensetzt und in dem ein Vertreter der Kommission den Vorsitz führt.
• 2. Der Ausschuss gibt sich auf der Grundlage der im Amtsblatt der Europäischen Union veröffentlichten Standardgeschäftsordnung auf Vorschlag seines Vorsitzenden eine Geschäftsordnung.
• 3. Er kann seinen Mitgliedern adäquate Empfehlungen zur Annahme gemeinsamer Protokolle und Verschlüsselungsstandards, die für alle Übermittlungen von PNR-Daten gemäß diesem Rahmenbeschluss gelten sollen, sowie zu den allgemeinen gemeinsamen Kriterien, Methoden und Praktiken der Risikobewertung gemäß Artikel 3 Absatz 3 geben.

Artikel 15
Verfahren

• 1. Wann immer auf diesen Artikel Bezug genommen wird, legt der Kommissionsvertreter dem Ausschuss einen Entwurf der zu treffenden Maßnahmen vor. Der Ausschuss gibt hierzu innerhalb der vom Ausschussvorsitzenden entsprechend der Dringlichkeit der Sache festgesetzten Frist seine Stellungnahme ab.

  Die Stellungnahme wird mit der Mehrheit abgegeben, die in Artikel 205 Absatz 2 des Vertrags zur Gründung der Europäischen Gemeinschaft für die Annahme der vom Rat auf Vorschlag der Kommission zu fassenden Beschlüsse vorgesehen ist. Bei der Abstimmung im Ausschuss werden die Stimmen der Vertreter der Mitgliedstaaten gemäß vorgenanntem Artikel gewogen. Der Vorsitzende nimmt an der Abstimmung nicht teil.

• 2. Die Kommission erlässt die geplanten Maßnahmen, wenn sie im Einklang mit der Stellungnahme des Ausschusses stehen.
• 3. Stimmen die geplanten Maßnahmen mit der Stellungnahme des Ausschusses nicht überein oder liegt keine Stellungnahme vor, so unterbreitet die Kommission dem Rat unverzüglich einen Vorschlag für die zu treffenden Maßnahmen und unterrichtet das Europäische Parlament.
• 4. Der Rat kann innerhalb von drei Monaten ab seiner Befassung mit qualifizierter Mehrheit über den Vorschlag befinden.

  Hat sich der Rat innerhalb dieser Frist mit qualifizierter Mehrheit gegen den Vorschlag ausgesprochen, so überprüft die Kommission den Vorschlag erneut. Sie kann dem Rat einen geänderten Vorschlag vorlegen, ihren Vorschlag erneut vorlegen oder einen Vorschlag für einen Rechtsakt auf der Grundlage des Vertrags vorlegen.

  Hat der Rat nach Ablauf dieser Frist weder den vorgeschlagenen Durchführungsrechtsakt erlassen noch sich gegen den Vorschlag für die Durchführungsmaßnahmen ausgesprochen, so wird der vorgeschlagene Durchführungsrechtsakt von der Kommission erlassen.

Kapitel V
Schlussbestimmungen

Artikel 16
Durchführung

• 1. Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um diesem Rahmenbeschluss vor dem 31. Dezember 2010 nachzukommen. Bis dahin teilen sie dem Generalsekretariat des Rates und der Kommission den Wortlaut der Rechtsvorschriften mit, mit denen sie die ihnen aus diesem Rahmenbeschluss erwachsenden Verpflichtungen in innerstaatliches Recht umgesetzt haben, und fügen eine Entsprechungstabelle dieser Rechtsvorschriften und des Rahmenbeschlusses bei.

  Bei Erlass dieser Vorschriften nehmen die Mitgliedstaaten in den Vorschriften selbst oder durch einen Hinweis bei der amtlichen Veröffentlichung auf diesen Rahmenbeschluss Bezug. Die Mitgliedstaaten regeln die Einzelheiten der Bezugnahme.

• 2. Auf der Grundlage eines anhand dieser Angaben von der Kommission erstellten Berichts überprüft der Rat vor dem 31. Dezember 2011, inwieweit die Mitgliedstaaten diesem Rahmenbeschluss nachgekommen sind.

Artikel 17
Überprüfung

• Anhand von Informationen der Mitgliedstaaten überprüft die Kommission die praktische Wirkungsweise des Rahmenbeschlusses und übermittelt drei Jahre nach seinem Inkrafttreten einen Sachstandsbericht. Diese Überprüfung erstreckt sich auf alle Elemente des Rahmenbeschlusses und insbesondere auf die Durchführung der "Push"-Methode, den Grad der Beachtung der Datenschutzgarantien, die Einschätzung der Länge der Datenspeicherfrist und die Qualität der Risikobewertungen.

Artikel 18
Statistische Daten

• 1. Die Mitgliedstaaten tragen dafür Sorge, dass Statistiken über die PNR-Daten, die an die PNR-Zentralstellen weitergegeben wurden, zur Verfügung stehen.
• 2. Diese Statistiken sollten pro Fluggesellschaft und Flugziel zumindest die Zahl der übermittelten Datenelemente, die Zahl der ermittelten Personen mit hohem Gefährdungspotenzial und die Zahl der sich daran anschließenden Strafverfolgungsmaßnahmen ausweisen.
• 3. Die statistischen Angaben dürfen keine personenbezogenen Informationen enthalten. Sie sind alljährlich dem Generalsekretariat des Rates und der Kommission zu übermitteln.

Artikel 19
Verhältnis zu anderen Übereinkünften

• 1. Es steht den Mitgliedstaaten frei, die bei Annahme dieses Rahmenbeschlusses geltenden bilateralen oder multilateralen Übereinkünfte oder Vereinbarungen auch weiterhin anzuwenden, sofern diese mit den Zielen dieses Rahmenbeschlusses in Einklang stehen.
• 2. Es steht den Mitgliedstaaten frei, nach Inkrafttreten dieses Rahmenbeschlusses bilaterale oder multilaterale Übereinkünfte oder Regelungen abzuschließen oder in Kraft zu setzen, sofern diese mit den Zielen dieses Rahmenbeschlusses in Einklang stehen.

Artikel 20
Inkrafttreten

• Dieser Rahmenbeschluss tritt am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Geschehen zu Brüssel am
Im Namen des Rates
Der Präsident

Anhang
PNR-Daten gemäß Artikel 2

Angaben für alle Fluggäste

• (1) PNR-Buchungscode (Record Locator)
• (2) Datum der Buchung/Flugscheinausstellung
• (3) Geplantes Abflugdatum bzw. geplante Abflugdaten
• (4) Name(n)
• (5) Anschrift und Kontaktangaben (Telefonnummer, E-Mail-Adresse)
• (6) Alle Arten von Zahlungsinformationen einschließlich Rechnungsanschrift
• (7) Gesamter Reiseverlauf für eine Buchung
• (8) Vielflieger-Eintrag
• (9) Reisebüro/Sachbearbeiter
• (10) Reisestatus des Flugreisenden mit Angaben über Reisebestätigungen, Eincheckstatus, nicht angetretene Flüge (No show) und Flugreisende mit Flugschein, aber ohne Reservierung (Go show)
• (11) Angaben über gesplittete/geteilte Buchungen
• (12) Allgemeine Hinweise (sensible Daten ausgenommen)
• (13) Flugscheindaten (Flugscheinnummer, Ausstellungsdatum, einfacher Flug (Oneway), automatische Tarifanzeige (Automated Ticket Fare Quote fields)
• (14) Sitzplatznummer und sonstige Sitzplatzinformationen
• (15) Code-Sharing
• (16) Vollständige Gepäckangaben
• (17) Zahl und Namen von Mitreisenden im Rahmen einer Buchung
• (18) Etwaige API-Daten
• (19) Historie aller Änderungen in Bezug auf die unter den Nummern 1 bis 18 aufgeführten PNR-Daten

Zusätzliche Angaben für unbegleitete Minderjährige unter 18 Jahren

• (1) Name und Geschlecht des Kindes
• (2) Alter
• (3) Sprachen
• (4) Name und Kontaktangaben zur Begleitperson beim Abflug; Angabe, in welchem Verhältnis diese Person zu dem Kind steht
• (5) Name und Kontaktangaben zur abholenden Person; Angabe, in welchem Verhältnis diese Person zu dem Kind steht
• (6) Begleitender Flughafenmitarbeiter bei Abflug und Ankunft

• 1 SEK(2007) 1453.
• 2 ABl.
• 3 ABl.
• 4 Erklärung zum Kampf gegen den Terrorismus vom 25. März 2004.
• 5 Programm zur Stärkung von Freiheit, Sicherheit und Recht in der Europäischen Union, Abschnitt 2.2 - Terrorismus.
• 6 Erklärung des Rates zur Reaktion der EU auf die Bombenanschläge von London - Punkt 6.
• 7 ABl. L 164 vom 22.6.2002, S. 3.
• 8 ABl.
• 9 ABl. L 261 vom 6.8.2004, S. 24.
• 10 KOM (2003) 826 vom 16.12.2003.
• 11 ABl. L 164 vom 22.6.2002, S. 3.
• 12 ABl.
• 13 ABl.