Nach Ansicht des Gerichtshofs erfordert die Achtung der Grundrechte eine Beschränkung der in der PNR-Richtlinie vorgesehenen Befugnisse auf das absolut Notwendige

Besteht keine reale und aktuelle oder vorhersehbare terroristische eines Mitgliedstaats, steht das
Unionsrecht nationalen Rechtsvorschriften entgegen, die eine Übermittlung und Verarbeitung von PNR-Daten
bei EU-Flügen sowie bei Beförderungen mit anderen Mitteln innerhalb der Union vorsehen, so der EUGH (C-817/19).

Die PNR- schreibt zur Bekämpfung von Terrorismus und schwerer Kriminalität die systematische Verarbeitung einer großen Zahl von PNR-Daten (Passager Name Record) der Fluggäste von Flügen zwischen der Union und Drittstaaten (Drittstaatsflüge) bei der Einreise in die bzw. der Ausreise aus der Union vor. Darüber hinaus können die Mitgliedstaaten diese Richtlinie nach ihrem Art. 2 auch auf Flüge innerhalb der Union (EU-Flüge) anwenden.

Hinweis: Die Entscheidung ist ein Meilenstein in der Bewertung der Zulässigkeit von KI-Lösungen speziell mit Blick auf Ethik und !

Sachverhalt

Die Ligue des droits humains (Liga für Menschenrechte, LDH) ist ein gemeinnütziger Verein, der im Juli 2017 beim belgischen Verfassungsgerichtshof eine gegen das Gesetz vom 25. Dezember 2016 erhoben hat, mit dem die PNR-Richtlinie, die API-Richtlinie2 und die Richtlinie 2010/653 in belgisches Recht umgesetzt wurden. Die LDH macht geltend, dieses Gesetz verletze das im belgischen Recht und im Unionsrecht garantierte Recht auf Achtung des Privatlebens und auf Schutz personenbezogener Daten.

Sie rügt den sehr großen Umfang der PNR-Daten sowie den allgemeinen Charakter ihrer Erhebung, Übermittlung und Verarbeitung. Außerdem schränke das Gesetz die Freizügigkeit ein, da mit ihm durch die Ausdehnung des „PNR-Systems“ auf EU-Flüge sowie auf Beförderungen mit anderen Mitteln innerhalb der Union indirekt wieder Grenzkontrollen eingeführt würden. Im Oktober 2019 hat der belgische Verfassungsgerichtshof dem Gerichtshof zehn Fragen zur Vorabentscheidung vorgelegt, die u. a. die Gültigkeit der PNR-Richtlinie sowie die Vereinbarkeit des Gesetzes vom 25. Dezember 2016 mit dem Unionsrecht betreffen.

Entscheidung des EUGH

In seinem Urteil stellt der Gerichtshof erstens fest, dass die Prüfung der vorgelegten Fragen nichts ergeben hat, was die Gültigkeit der PNR-Richtlinie berühren könnte, da seine Auslegung ihrer Bestimmungen im Licht der Grundrechte, die in den Art. 7, 8 und 21 sowie in Art. 52 Abs. 1 der Charta der Grundrechte der
Europäischen Union (im Folgenden: Charta) verankert sind, die Vereinbarkeit dieser Richtlinie mit den genannten Artikeln gewährleistet.

Zunächst weist der Gerichtshof darauf hin, dass ein Rechtsakt der Union so weit wie möglich in einer seine Gültigkeit nicht in Frage stellenden Weise und im Einklang mit dem gesamten Primärrecht und insbesondere mit den Bestimmungen der Charta auszulegen ist. Dabei müssen die Mitgliedstaaten darauf achten, dass sie sich nicht auf eine Auslegung des Rechtsakts stützen, die mit den durch die Rechtsordnung der Union geschützten Grundrechten oder mit anderen in dieser Rechtsordnung anerkannten allgemeinen Grundsätzen kollidiert.

Zur PNR-Richtlinie führt der Gerichtshof aus, dass eine ganze Reihe ihrer Erwägungsgründe und Bestimmungen eine solche Auslegung erfordern, und hebt die Bedeutung hervor, die der Unionsgesetzgeber – unter Bezugnahme auf ein hohes Datenschutzniveau – der uneingeschränkten Achtung der in der Charta verankerten Grundrechte beimisst.

Der Gerichtshof stellt fest, dass die PNR-Richtlinie mit fraglos schwerwiegenden Eingriffen in die durch die Art. 7 und 8 der Charta garantierten Rechte verbunden ist, insbesondere soweit sie auf die Schaffung eines Systems kontinuierlicher, nicht zielgerichteter und systematischer Überwachung abzielt, das die automatisierte Überprüfung personenbezogener Daten sämtlicher Personen einschließt, die Flugreisen unternehmen. Er weist darauf hin, dass die Möglichkeit für die Mitgliedstaaten, einen solchen Eingriff zu rechtfertigen, zu beurteilen ist, indem seine Schwere bestimmt und geprüft wird, ob die verfolgte dem Gemeinwohl dienende Zielsetzung dazu in angemessenem Verhältnis steht.

Der Gerichtshof kommt zu dem Schluss, dass die in der PNR-Richtlinie vorgesehene Übermittlung, Verarbeitung und Speicherung von PNR-Daten als auf das für die Bekämpfung terroristischer Straftaten und schwerer Kriminalität absolut Notwendige beschränkt angesehen werden kann, sofern die in der Richtlinie vorgesehenen Befugnisse eng ausgelegt werden. Hierzu enthält das Urteil unter anderem folgende
Ausführungen:

  • Das durch die PNR-Richtlinie eingeführte System darf sich nur auf die in den Rubriken ihres Anhangs I aufgeführten, klar identifizierbaren und umschriebenen Informationen erstrecken, die in Zusammenhang mit dem durchgeführten Flug und dem betreffenden Fluggast stehen. Dies bedeutet bei einigen Rubriken dieses Anhangs, dass nur die dort ausdrücklich genannten Angaben erfasst werden.
  • Die Anwendung des durch die PNR-Richtlinie geschaffenen Systems muss auf terroristische Straftaten und auf schwere Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit der Beförderung von Fluggästen beschränkt werden. Sie darf sich nicht auf strafbare Handlungen erstrecken, die zwar das in der Richtlinie vorgesehene Kriterium in Bezug auf den Schweregrad erfüllen und in ihrem Anhang II aufgeführt sind, angesichts der Besonderheiten des nationalen Strafrechtssystems aber zur gewöhnlichen Kriminalität gehören.
  • Die etwaige Ausdehnung der Anwendung der PNR-Richtlinie auf alle oder einen Teil der EU-Flüge aufgrund der den Mitgliedstaaten in der Richtlinie eingeräumten Befugnis muss sich auf das absolut Notwendige beschränken. Sie muss Gegenstand einer wirksamen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle sein können, deren Entscheidung bindend ist. Hierzu führt der Gerichtshof aus:
    • Nur in einer Situation, in der es nach der Einschätzung des betreffenden Mitgliedstaats hinreichend konkrete Umstände für die Annahme gibt, dass er mit einer als real und aktuell oder vorhersehbar einzustufenden terroristischen Bedrohung konfrontiert ist, werden die Grenzen des absolut Notwendigen nicht überschritten, wenn die PNR-Richtlinie für einen auf das absolut Notwendige begrenzten, aber verlängerbaren Zeitraum auf alle EU-Flüge aus oder nach diesem Mitgliedstaat angewandt wird.
    • Ohne eine solche terroristische Bedrohung darf die Anwendung der Richtlinie nicht auf alle EU-Flüge ausgedehnt werden, sondern muss sich auf EU-Flüge beschränken, die etwa bestimmte Flugverbindungen, bestimmte Reisemuster oder bestimmte Flughäfen betreffen, für die es nach der Einschätzung des betreffenden Mitgliedstaats Anhaltspunkte gibt, die eine Anwendung der Richtlinie rechtfertigen können. Die absolute Notwendigkeit ihrer Anwendung auf die ausgewählten EU-Flüge muss nach Maßgabe der Entwicklung der Bedingungen, die ihre Auswahl gerechtfertigt haben, regelmäßig überprüft werden.
  • Für die Zwecke der Vorabüberprüfung der PNR-Daten, die dazu dient, diejenigen Personen zu ermitteln, die vor ihrer Ankunft oder ihrem Abflug genauer überprüft werden müssen, und deren erster Schritt in automatisierten Verarbeitungen besteht, darf die PNR-Zentralstelle diese Daten zum einen nur mit Datenbanken betreffend Personen oder Gegenstände, nach denen gefahndet wird oder die Gegenstand einer Ausschreibung sind, abgleichen.

    Diese Datenbanken müssen frei von Diskriminierung sein und von den zuständigen Behörden im Zusammenhang mit der Bekämpfung terroristischer Straftaten und schwerer Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit der Beförderung von Fluggästen betrieben werden. Zum anderen darf die PNR-Zentralstelle bei der Vorabüberprüfung anhand im Voraus festgelegter Kriterien keine Technologien der künstlichen Intelligenz im Rahmen selbstlernender Systeme („machine learning“) heranziehen, die – ohne menschliche Einwirkung und Kontrolle – den Bewertungsprozess und insbesondere die Bewertungskriterien, auf denen das Ergebnis der Anwendung dieses Prozesses beruht, sowie die Gewichtung der Kriterien ändern können. Die genannten Kriterien sind so festzulegen, dass sie speziell auf Personen abzielen, bei denen der begründete Verdacht einer Beteiligung an terroristischen Straftaten oder schwerer Kriminalität im Sinne dieser Richtlinie bestehen könnte, und dass sowohl „belastende“ als auch „entlastende“ Gesichtspunkte berücksichtigt werden; sie dürfen nicht zu unmittelbaren oder mittelbaren Diskriminierungen führen.
  • Angesichts der Fehlerquote, die solchen automatisierten Verarbeitungen der PNR-Daten innewohnt, und der erheblichen Zahl „falsch positiver“ Ergebnisse, die in den Jahren 2018 und 2019 bei ihrer Anwendung auftraten, hängt die Eignung des durch die PNR-Richtlinie geschaffenen Systems zur Erreichung der verfolgten Ziele im Wesentlichen vom ordnungsgemäßen Ablauf der Überprüfung der im Rahmen dieser Verarbeitungen erzielten Treffer ab, die von der PNR-Zentralstelle in einem zweiten Schritt mit nicht-automatisierten Mitteln vorgenommen wird. Insoweit müssen die Mitgliedstaaten klare und präzise Regeln vorsehen, die Leitlinien und einen Rahmen für die von den Bediensteten der PNR-Zentralstelle, die mit der individuellen Überprüfung betraut sind, vorzunehmende Analyse vorgeben, um für die uneingeschränkte Achtung der in den Art. 7, 8 und 21 der Charta verankerten Grundrechte zu sorgen und insbesondere eine dem Diskriminierungsverbot Rechnung tragende kohärente Verwaltungspraxis innerhalb der PNR-Zentralstelle zu gewährleisten. Insbesondere müssen sie sich vergewissern, dass die PNR-Zentralstelle Kriterien für die objektive Überprüfung aufstellt, die es ihren Bediensteten ermöglichen, zum einen zu prüfen, ob und inwieweit ein Treffer (hit) tatsächlich eine Person betrifft, die möglicherweise an terroristischen Straftaten oder an schwerer Kriminalität beteiligt ist, und zum anderen, ob die automatisierten Verarbeitungen keinen diskriminierenden Charakter haben. Dabei müssen sich die zuständigen Behörden vergewissern, dass der Betroffene die Funktionsweise der im Voraus festgelegten Prüfkriterien und der Programme zu ihrer Anwendung verstehen und deshalb in Kenntnis aller Umstände entscheiden kann, ob er von seinem Recht auf Einlegung von Rechtsbehelfen Gebrauch macht.

    Desgleichen müssen im Rahmen eines solchen Rechtsbehelfs das mit der Rechtmäßigkeitsprüfung der Entscheidung der zuständigen Behörden betraute Gericht sowie, außer in Fällen einer Bedrohung der Sicherheit des Staates, der Betroffene selbst sowohl von allen Gründen als auch von den Beweisen, auf deren Grundlage diese Entscheidung getroffen wurde, Kenntnis erlangen können, einschließlich der im Voraus festgelegten Prüfkriterien und der Funktionsweise der Programme, mit denen diese Kriterien angewandt werden.
  • Nachträglich, d. h. nach der Ankunft oder dem Abflug der betreffenden Person, darf eine Zurverfügungstellung und Überprüfung der PNR-Daten nur aufgrund neuer Umstände und objektiver Anhaltspunkte erfolgen, die entweder geeignet sind, den begründeten Verdacht einer Beteiligung dieser Person an schwerer Kriminalität, die – zumindest mittelbar – einen objektiven Zusammenhang mit der Beförderung von Fluggästen aufweist, zu wecken, oder den Schluss zulassen, dass diese Daten in einem konkreten Fall einen wirksamen Beitrag zur Bekämpfung terroristischer Straftaten, die einen solchen Zusammenhang aufweisen, leisten könnten. Die Zurverfügungstellung der PNR-Daten zum Zweck einer solchen nachträglichen Überprüfung muss grundsätzlich – außer in hinreichend begründeten Eilfällen – einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle im Anschluss an einen mit Gründen versehenen Antrag der zuständigen Behörden unterworfen werden, unabhängig davon, ob der Antrag vor oder nach Ablauf der Frist von sechs Monaten ab der Übermittlung dieser Daten an die PNRZentralstelle gestellt wurde.

Zweitens stellt der Gerichtshof fest, dass die PNR-Richtlinie im Licht der Charta nationalen Rechtsvorschriften entgegensteht, nach denen die Verarbeitung der PNR-Daten, die im Einklang mit dieser Richtlinie erhoben wurden, zu anderen als den in Art. 1 Abs. 2 der Richtlinie ausdrücklich genannten Zwecken zulässig ist.

Drittens entscheidet der Gerichtshof in Bezug auf die Speicherfrist der PNR-Daten, dass Art. 12 der PNR-Richtlinie
im Licht der Art. 7 und 8 sowie von Art. 52 Abs. 1 der Charta nationalen Rechtsvorschriften entgegensteht, die eine allgemeine, unterschiedslos für alle Fluggäste geltende Speicherfrist dieser Daten von fünf Jahren vorsehen.

Dazu führt der Gerichtshof aus, dass sich nach Ablauf der ursprünglichen sechsmonatigen Speicherfrist die Speicherung von PNR-Daten nicht auf das absolut Notwendige beschränkt, wenn sie sich auf Fluggäste bezieht, bei denen weder die Vorabüberprüfung noch etwaige Überprüfungen während der ursprünglichen sechsmonatigen Speicherfrist oder irgendein anderer Umstand objektive Anhaltspunkte – wie die Tatsache, dass die PNR-Daten der betreffenden Fluggäste im Rahmen der Vorabüberprüfung zu einem überprüften Treffer führten – geliefert haben, die eine Gefahr im Bereich terroristischer Straftaten oder schwerer Kriminalität mit einem – zumindest
mittelbaren – objektiven Zusammenhang mit ihrer Flugreise belegen können. Während des ursprünglichen Zeitraums von sechs Monaten überschreitet die Speicherung der PNR-Daten aller Fluggäste, für die das durch die PNR-Richtlinie geschaffene System gilt, dagegen grundsätzlich nicht die Grenzen des absolut Notwendigen.

Viertens entscheidet der Gerichtshof, dass das Unionsrecht nationalen Rechtsvorschriften entgegensteht, die, ohne dass der betreffende Mitgliedstaat mit einer realen und aktuellen oder vorhersehbaren terroristischen Bedrohung konfrontiert ist, ein System vorsehen, wonach die PNR-Daten aller EU-Flüge und
aller Beförderungen mit anderen Mitteln innerhalb der Union aus diesem, in diesen oder durch diesen Mitgliedstaat zur Bekämpfung terroristischer Straftaten und schwerer Kriminalität von den Beförderungsunternehmen und den Reiseunternehmen übermittelt sowie von den zuständigen Behörden verarbeitet werden.

In einer solchen Situation muss die Anwendung des durch die PNR-Richtlinie geschaffenen Systems auf die Übermittlung und Verarbeitung der PNR-Daten von Flügen und/oder Beförderungen beschränkt werden, die insbesondere bestimmte Verbindungen, bestimmte Reisemuster oder bestimmte Flughäfen, Bahnhöfe oder Seehäfen betreffen, für die es Anhaltspunkte gibt, die seine Anwendung rechtfertigen können. Überdies steht das Unionsrecht nationalen Rechtsvorschriften entgegen, die zum Zweck der Verbesserung der Grenzkontrollen und der Bekämpfung illegaler Einwanderung ein solches System der Übermittlung und Verarbeitung der genannten Daten vorsehen.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.