EuGH kippt Flugpassagierdaten-Weitergabe an USA

Der Gerichtshof erklärt den Beschluss des Rates über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung und die Übermittlung personenbezogener Daten sowie die Entscheidung der Kommission über die Angemessenheit des Schutzes dieser Daten für nichtig.

Weder die Entscheidung der Kommission, mit der die Angemessenheit des Schutzes dieser Daten durch die Vereinigten Staaten festgestellt wird, noch der Beschluss des Rates, mit dem ein Abkommen über deren Übermittlung an dieses Land genehmigt wird, beruhen auf einer geeigneten Rechtsgrundlage.

Nach den Terroranschlägen des 11. September 2001 erließen die Vereinigten Staaten Rechtsvorschriften, wonach Fluggesellschaften, die Flüge in die oder aus den Vereinigten Staaten oder über deren Gebiet durchführen, den amerikanischen Behörden einen elektronischen Zugriff auf die Daten ihrer automatischen Reservierungs- und Abfertigungssysteme, die so genannten „Passenger Name Records” (PNR), gewähren müssen.

Da die Kommission der Auffassung war, dass diese Bestimmungen mit den Rechtsvorschriften der Gemeinschaft und der Mitgliedstaaten über den Schutz personenbezogener Daten in Konflikt geraten könnten, nahm sie Verhandlungen mit den amerikanischen Behörden auf. Nach Abschluss dieser Verhandlungen erließ die Kommission am 14. Mai 2004 eine Entscheidung1 (die Angemessenheitsentscheidung), mit der festgestellt wird, dass das United States Bureau of Customs and Border Protection (CBP) einen angemessenen Schutz für PNR-Daten gewährleistet, die aus derGemeinschaft übermittelt werden.

Der Rat erließ am 17. Mai 2004 einen Beschluss2, mit dem der Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die im Hoheitsgebiet der Mitgliedstaaten der Gemeinschaft ansässigen Fluggesellschaften an das CBP genehmigt wurde. Dieses Abkommen wurde am 28. Mai 2004 in Washington unterzeichnet und ist am selben Tag in Kraft getreten.

Das Europäische Parlament beantragt beim Gerichtshof der Europäischen Gemeinschaften, den Beschluss des Rates (Rechtssache C-317/04) und die Angemessenheitsentscheidung (Rechtssache C-318/04) für nichtig zu erklären. Es macht u. a. geltend, die Angemessenheitsentscheidung sei ultra vires ergangen, Artikel 95 EG3 sei keine geeignete Rechtsgrundlage für den Beschluss über die Genehmigung des Abkommens, und in beiden Fällen seien Grundrechte verletzt.

Zur Unterstützung der Anträge des Parlaments in beiden Rechtssachen ist der Europäische Datenschutzbeauftragte - erstmals seit der Schaffung dieses Amtes - als Streithelfer vor dem Gerichtshof aufgetreten.

In seinem gestrigen Urteil erklärt der Gerichtshof beide Rechtsakte für nichtig.

Zur Angemessenheitsentscheidung

Der Gerichtshof prüft zunächst, ob die Kommission die Angemessenheitsentscheidung rechtsgültig auf der Grundlage der Richtlinie 95/46/EG4 erlassen konnte. Er weist dazu darauf hin, dass die Richtlinie nach ihrem Artikel 3 Absatz 2 erster Gedankenstrich keine Anwendung auf die Verarbeitung personenbezogener Daten findet, die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates und die Tätigkeiten des Staates im strafrechtlichen Bereich.

Aus der Angemessenheitsentscheidung ergibt sich, dass amerikanische Rechtsvorschriften, die u. a. die Verbesserung der Sicherheitslage betreffen, die Rechtsgrundlage für die Datenübermittlung sind, dass die Gemeinschaft die Vereinigten Staaten uneingeschränkt im Kampf gegen den Terrorismus unterstützt und dass die PNR-Daten ausschließlich für Zwecke der Verhütung und Bekämpfung des Terrorismus und damit verknüpfter Straftaten sowie anderer schwerer Straftaten, einschließlich der internationalen organisierten Kriminalität, verwendet werden. Daraus folgt, dass die Übermittlung der PNR-Daten an das CBP eine Verarbeitung darstellt, die die öffentliche Sicherheit und die Tätigkeiten des Staates im strafrechtlichen Bereich betrifft.

Es trifft zwar zu, dass die PNR-Daten von den Fluggesellschaften ursprünglich im Rahmen einer unter das Gemeinschaftsrecht fallenden Tätigkeit erhoben worden sind, nämlich im Rahmen des Verkaufs eines Flugscheins, der zu einer Dienstleistung berechtigt; die Datenverarbeitung, die in der Angemessenheitsentscheidung Berücksichtigung findet, ist jedoch von ganz anderer Art. Denn diese Entscheidung bezieht sich auf eine Datenverarbeitung, die nicht für die Erbringung einer Dienstleistung erforderlich ist, sondern zum Schutz der öffentlichen Sicherheit und zu Strafverfolgungszwecken als erforderlich angesehen wird.

Die Tatsache, dass es private Wirtschaftsteilnehmer sind, die die PNR-Daten zu gewerblichen Zwecken erhoben haben und in einen Drittstaat übermitteln, hindert nicht daran, diese Übermittlung als eine vom Anwendungsbereich der Richtlinie ausgenommene Datenverarbeitung anzusehen. Die Übermittlung findet nämlich in einem von staatlichen Stellen geschaffenen Rahmen statt und dient der öffentlichen Sicherheit.

Der Gerichtshof gelangt demnach zu dem Ergebnis, dass die Angemessenheitsentscheidung nicht in den Anwendungsbereich der Richtlinie fällt, da sie eine davon ausgenommene Verarbeitung personenbezogener Daten betrifft. Folglich erklärt der Gerichtshof die Angemessenheitsentscheidung für nichtig. Die anderen Klagegründe des Parlaments brauchen nicht mehr geprüft zu werden.

Zum Beschluss des Rates

Der Gerichtshof stellt fest, dass Artikel 95 EG in Verbindung mit Artikel 25 der Richtlinie5 die Zuständigkeit der Gemeinschaft für den Abschluss des fraglichen Abkommens mit den Vereinigten Staaten nicht begründen kann. Das Abkommen betrifft nämlich die gleiche Datenübermittlung wie die Angemessenheitsentscheidung und damit eine Verarbeitung von Daten, die nicht in den Anwendungsbereich der Richtlinie fällt. Daher erklärt der Gerichtshof den Beschluss des Rates über die Genehmigung des Abkommens für nichtig und führt aus, dass die anderen Klagegründe des Parlaments nicht geprüft zu werden brauchen.

Zur Beschränkung der Wirkungen des Urteils

Da das Abkommen während eines Zeitraums von 90 Tagen nach seiner Kündigung wirksam bleibt, entscheidet der Gerichtshof aus Gründen der Rechtssicherheit und zum Schutz der betroffenen Personen, die Wirkungen der Angemessenheitsentscheidung bis zum 30. September 2006 aufrechtzuerhalten.

Quelle: PM des europäischen Gerichtshofs

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.