EU-Gericht beschränkt Überwachung von Flugpassagieren

Der Europäische Gerichtshof hat in einem richtungsweisenden Urteil strenge Beschränkungen für die Richtlinie über Fluggastdatensätze festgelegt. [Billion Photos/Shutterstock]

Der Europäische Gerichtshof hat am Dienstag (21. Juni) entschieden, dass die EU-Richtlinie über Fluggastdatensätze (PNR) eingeschränkt werden muss, um mit den Grundrechten vereinbar zu sein.

Die Fluggastdaten-Richtlinie wurde 2016 verabschiedet und führte einen Mechanismus ein, nach dem Fluggesellschaften den nationalen Behörden die Daten aller Passagier:innen, die in die Europäische Union ein- oder ausreisen, übermitteln müssen, um terroristische Aktivitäten und schwere Straftaten zu verhindern, aufzudecken oder zu untersuchen.

Die Richtlinie erlaubt es den Mitgliedstaaten, die gleichen Kontrollverfahren auch auf Flüge aus anderen EU-Ländern auszuweiten, sofern sie die Europäische Kommission darüber informieren. Alle EU-Länder außer Österreich und Irland haben der Kommission ihre Absicht mitgeteilt, dies zu tun.

In Belgien wurde die Umsetzung der Richtlinie in nationales Recht von der Ligue des droits humains angefochten, die im Juli 2017 vor dem belgischen Verfassungsgericht eine Nichtigkeitsklage einreichte. Laut der NGO verstoßt die Rechtsvorschrift, eine allgemeine Überwachung einzuführen, gegen die Grundrechte auf Privatsphäre und Datenschutz.

Darüber hinaus beanstandete die Organisation, dass die Vorschrift auch gegen die Bewegungsfreiheit, eines der Grundprinzipien der EU, verstoße, da die Erhebung und Verarbeitung personenbezogener Daten auf Flügen innerhalb der EU de facto wieder Grenzkontrollen einführe.

Da Belgien Zweifel an der Auslegung in Verbindung mit einigen zentralen Grundsätzen des europäischen Rechts hatte, verwies es den Fall an den Gerichtshof der Europäischen Union, was zu diesem bahnbrechenden Urteil führte.

Auf das „unbedingt Notwendige“ beschränkt

In seinem Urteil ging das EU-Gericht nicht so weit, die gesamte Gesetzgebung für ungültig zu erklären – wie von der belgischen NGO gewünscht -, obwohl es anerkannte, dass die Norm schwerwiegende Eingriffe in das Recht auf Privatsphäre und Datenschutz darstellte, da sie einen kontinuierlichen, ungezielten und systemischen Überwachungsmechanismus einführte.

Daher stellten die Richter:innen klar, dass das EU-Recht soweit möglich so ausgelegt werden muss, dass es die Gültigkeit des Primärrechts, in diesem Fall der Charta der Grundrechte der Europäischen Union, nicht beeinträchtigt.

Mit anderen Worten: Das Gericht legte die Befugnis, die die Richtlinie den Behörden einräumt, restriktiv aus und ordnete an, dass die Datenverarbeitung und -speicherung auf das beschränkt werden muss, was zur Bekämpfung von Terrorismus und schwerer Kriminalität unbedingt erforderlich sei.

„Der Gerichtshof hat zwar davon abgesehen, die Richtlinie insgesamt für ungültig zu erklären, aber er hat zahlreiche detaillierte und anspruchsvolle Bedingungen und Beschränkungen für die Verwendung von Fluggastdatensätzen festgelegt – insbesondere für die Auswertung der Daten zur Erstellung von individuellen Profilen“, so Douwe Korff, emeritierter Professor für internationales Recht an der London Metropolitan University.

Korff interpretierte das Urteil so, dass es breitere Auswirkungen auf künftige EU-Rechtsvorschriften hat, und betonte, dass „anstatt die allgemeine Datenerfassung und -auswertung sowie die Profilerstellung auszuweiten, wie es die EU mit Europol vorhat, diese invasiven Maßnahmen fallen gelassen werden sollten.“

EU-Institutionen erweitern Europol-Mandat für die Datenbeschaffung

Die europäischen Mitgesetzgeber haben sich auf ein neues Mandat für Europol geeinigt und damit eine Kontroverse über die Datenverarbeitungspraktiken der Agentur beendet.

Das Urteil stellt in der Praxis fest, dass die Behörden nur die Informationen verwenden dürfen, die nicht ausdrücklich von der Richtlinie abgedeckt sind. Außerdem dürfen die Daten von Fluggästen nur dann überprüft werden, wenn ein objektiver Zusammenhang zwischen einer terroristischen Aktivität oder einer schweren Straftat und einem Fluggast an Bord des Flugzeugs besteht.

Auch die Ausweitung der Überprüfung auf Flüge innerhalb der EU muss sich auf eine gegenwärtige oder vorhersehbare terroristische Bedrohung beschränken. Diese Entscheidung muss von einem unabhängigen nationalen Gericht oder einer Verwaltungsbehörde überprüft werden.

Wenn keine unmittelbare Bedrohung vorliegt, kann der Mitgliedstaat nur bestimmte Routen, Reisemuster oder Flughäfen überwachen, sofern dies angemessen begründet ist.

Menschliche Überprüfung und Vorratsdatenspeicherung

In ähnlicher Weise schreibt das Urteil vor, dass die automatisierten Systeme, die zur Identifizierung verdächtiger Individuen eingesetzt werden, auf objektiven, nicht-diskriminierenden Kriterien beruhen müssen. Eine menschliche Überprüfung muss dann die erfassten Personen gegen die Fahndungsliste abgleichen.

In der Entscheidung wird auch betont, dass die automatisierten Systeme keine Techniken des maschinellen Lernens verwenden dürfen, denn „angesichts der Undurchsichtigkeit, die die Funktionsweise der Technologie der künstlichen Intelligenz kennzeichnet, könnte es schwierig sein nachzuvollziehen, warum ein bestimmtes Programm zu einem positiven Ergebnis gekommen ist.“

„In diesen Monaten, in denen die europäischen Institutionen an der KI-ACT arbeiten, betont der Gerichtshof, wie wichtig es ist, keine maschinellen Lernsysteme zu verwenden, die die Methoden zur Überprüfung potenzieller Verdächtiger ohne menschliche Aufsicht verändern können. Der Gerichtshof will damit auch das Risiko einer automatisierten Massenüberwachung abwenden“, sagte Vincenzo Tiani, Partner bei der Anwaltskanzlei Panetta.

Darüber hinaus hat das EU-Gericht beschlossen, dass die auf diese Weise gesammelten Passagierdaten nicht für andere als die in der Richtlinie festgelegten Zwecke verwendet werden dürfen. Außerdem müssen die Passagierdaten, die keinerlei Auffälligkeiten aufweisen, nach sechs Monaten gelöscht werden.

„Alle EU-Staaten müssen nun die Verwendung von Fluggastdaten einschränken, weil sie zu intrusiv sind. Sie müssen dieses Urteil zügig umsetzen und ihre skandalöse Missachtung von Gerichtsurteilen beenden – insbesondere im Bereich der Vorratsdatenspeicherung“, sagte Estelle Massé, Leiterin der Abteilung für europäische Gesetzgebung bei Access Now.

[Bearbeitet von Nathalie Weatherald]

Subscribe to our newsletters

Subscribe