MEMO/03/53
Brüssel, den 12. März 2003
Übermittlung von Fluggastdaten von der EU an die USA (Fluggastdatensätze)
– Häufig gestellte Fragen
Was ist ein Fluggastdatensatz und welche Daten enthält er?
Ein Fluggastdatensatz (Passenger Name Record, PNR) wird von den
Fluggesellschaften für jede Flugreise angelegt, die unter dem Namen eines
Fluggastes gebucht wird. Die Datensätze werden in den computergesteuerten
Buchungs- und Abfertigungssystemen der Fluggesellschaften gespeichert. Über
diese Datensätze können die an den verschiedenen Stellen beteiligten
Mitarbeiter (Reisebüro, computergesteuertes Buchungssystem, Fluggesellschaft,
Abfertiger am Flughafen) auf alle mit der Flugreise des jeweiligen Fluggastes
zusammenhängenden Daten zugreifen: Hin- und Rückflüge, gegebenenfalls
Anschlussflüge, bei der Buchung angefragte besondere Betreuungsleistungen an
Bord usw.
Anzahl und Inhalt der Felder mit Informationen in einem Fluggastdatensatz
variieren je nach Fluggesellschaft. Möglich sind etwa 20 bis 25 verschiedene
Datenfelder, von denen einige weitere untergeordnete Felder mit Informationen
enthalten, sodass insgesamt rund 60 Felder und untergeordnete Felder
auftreten.
Warum führt die Europäische Kommission Gespräche mit der
US amerikanischen Zoll- und Grenzschutzbehörde (CBP) über den Zugriff
auf Fluggastdatensätze von Fluggesellschaften?
Durch das US-amerikanische Luftsicherheitsgesetz (Aviation and
Transportation Security Act) vom 19. November 2001 wurde für
Fluggesellschaften, die Passagierflüge nach, von oder durch die USA
durchführen, die Verpflichtung eingeführt, dem US-Grenzschutz auf Verlangen
elektronischen Zugang zu Fluggastdatensätzen in ihren Buchungs- und
Abfertigungssystemen zu gewähren.
Nach Artikel 25 der Datenschutzrichtlinie (Richtlinie 95/46/EG des
Europäischen Parlaments und des Rates vom 24. Oktober 1995) dürfen
personenbezogene Daten nur dann an Drittländer weitergegeben werden, wenn das
betreffende Land ein angemessenes Schutzniveau gewährleistet. Nach
Artikel 25 Absatz 6 kann die Kommission feststellen, dass ein
Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder von ihm
eingegangener internationaler Verpflichtungen über angemessene
Datenschutzbestimmungen verfügt. Die Kommission ist somit für Fragen der
Außenbeziehungen, die sich im Bereich des Datenschutzes ergeben, zuständig.
Der Kommission kommt im Rahmen der Verordnung für computergesteuerte
Buchungssysteme auch unmittelbare Verantwortung zu.
Die Gespräche zwischen den Kommissionsdienststellen und der
US amerikanischen Zoll- und Grenzschutzbehörde (US Customs and Border
Protection, CBP) sollen den Sicherheitsinteressen der USA Rechnung tragen und
eine Feststellung der Europäischen Kommission hinsichtlich der Angemessenheit
des Datenschutzes auf der US-amerikanischen Seite vorbereiten, wobei die
amerikanische Seite jedoch noch weitere Informationen und Zusicherungen geben
muss, um die Feststellung der Angemessenheit zu rechtfertigen. Damit würde
eine europaweite Lösung ermöglicht, die in allen Mitgliedstaaten
rechtsverbindlich wäre und allen Betroffenen die nötige Rechtssicherheit
geben würde.
Wann hat die Kommission die Gespräche mit der CBP aufgenommen und welche
Ziele werden damit verfolgt?
Die Kommission hat diese Frage in ihren bilateralen Kontakten mit den USA
seit Dezember 2001 zur Sprache gebracht. Aufgrund dieser Kontakte hat die CBP
den Fluggesellschaften, die sich auf ihre Verpflichtungen nach der
EU Datenschutzrichtlinie berufen, eine Fristverlängerung bis zum
5. März 2003 gewährt. Hochrangige Vertreter der Europäischen Kommission
und der CBP (vormals US Customs) kamen am 17./18. Februar 2003 in
Brüssel zusammen. Weitere Erörterungen fanden Ende Februar und Anfang März
statt. Beide Seiten waren sich einig, auf eine bilaterale Vereinbarung
hinzuarbeiten, die die US-Anforderungen mit den datenschutzrechtlichen
Anforderungen in der EU in Einklang bringt, wonach die Kommission eine
Feststellung nach Artikel 25 Absatz 6 trifft.
Die Kommission ist außerdem der Auffassung, dass längerfristig eine
multilaterale Übereinkunft im Rahmen der ICAO nötig ist, da es äußerst
unpraktisch ist, wenn sich die Fluggesellschaften, die Daten in der EU
erfassen und verarbeiten, nach ganz unterschiedlichen, einseitig auferlegten
oder bilateral vereinbarten Anforderungen richten müssen.
Die Gespräche zwischen der CBP und der Kommission dauern an. Die
Kommission hat die europäische Luftverkehrsbranche in dieser Angelegenheit
konsultiert.
Hat die Kommission eine Vereinbarung mit der CBP geschlossen?
Nein, die Kommission hat keine Vereinbarung mit den USA geschlossen.
Artikel 25 Absatz 6 der Datenschutzrichtlinie gibt der Kommission
die Befugnis, Feststellungen hinsichtlich der Angemessenheit des
Datenschutzes in Drittländern zu treffen. Es gab Erörterungen mit der CBP,
die gewisse Zusicherungen gemacht hat, und beide Seiten sind zu weiteren
Gesprächen bereit, um eine größere Rechtssicherheit für diejenigen zu
erreichen, die von dem Erfordernis der CBP nach Zugang zu
Fluggastdatensätzen betroffen sind.
Welche Auswirkungen hat die Gemeinsame Erklärung der Kommission und der
CBP?
Die CBP hat erklärt, dass sie Zugang zu Fluggastdatensätzen von
Fluggesellschaften aus anderen Teilen der Welt erhalten hat, die Flüge nach,
von und durch die USA durchführen, seit das US amerikanische
Luftsicherheitsgesetz am 19. November 2001 verabschiedet wurde.
Im Fall von Fluggesellschaften, die ihren Sitz in
EU Ländern haben und Flüge von EU Ländern durchführen, hat die CBP
nach Informationen der Kommission seit dem 5. März 2003 Zugang zu
Fluggastdatensätzen für Transatlantikflüge auf der Grundlage der US-Zusagen
in der Gemeinsamen Erklärung vom 18. Februar 2003 und dem Zusatz zu der
Erklärung vom 4. März 2003. Die Gemeinsame Erklärung finden Sie hier:
Joint Statement
Welche Fluggastdaten werden an den US-Zoll weitergegeben?
Wie in der Gemeinsamen Erklärung ausgeführt hat die CBP erklärt, dass sie
Zugang zu den Daten in Fluggastdatensätzen von Personen benötigt, deren
gegenwärtiger Reiseweg Flüge nach, von oder durch die USA
einschließt. Alle Schritte vom Zeitpunkt der ursprünglichen Buchung bis zum
Abschluss der Reise sind im Fluggastdatensatz dokumentiert.
Was geschieht mit sensiblen Daten?
Die CBP hat zugesagt, weiterhin keine Fluggastdaten zu verwenden, die in
Artikel 8 Absatz 1 der EG-Datenschutzrichtlinie besonders geschützt
werden (z. B. Daten, die Aufschluss über Rassen- oder
Religionszugehörigkeit oder den Gesundheitszustand geben), um möglicherweise
den CBP-Grenzkontrollen zu unterziehende Personen zu ermitteln. Die CBP hat
zugesagt, besondere Filter einzubauen, um den Zugang zu solchen sensiblen
Daten, die von der CBP gesammelt werden, zu beschränken. Eine anderweitige
Verwendung sensibler Fluggastdaten durch die CBP oder die Übermittlung
solcher Daten an andere Strafverfolgungsbehörden zur Verhinderung oder
Bekämpfung von terroristischen oder schwerkriminellen Aktivitäten (z. B.
zur Unterstützung von Ermittlungen, die durch andere Informationen ausgelöst
wurden) kann nur vorbehaltlich einer besonderen Genehmigung durch den Deputy
Commissioner der CBP erfolgen.
Wollen die USA Zugang zu Informationen in Fluggastdatensätzen über die
Art der Mahlzeiten, die Fluggäste vorbestellt haben, oder zu ihrem
Gesundheitszustand?
Solche Informationen dienen den Fluggesellschaften dazu, besondere
Dienstleistungen für bestimmte Kunden zu erbringen, und können daher in
manchen Fluggastdatensätzen vorhanden sein. Die CBP hat jedoch erklärt, dass
solche Informationen nicht dazu benutzt werden, möglicherweise den
CBP-Grenzkontrollen zu unterziehende Personen zu ermitteln.
Kann sich die CBP die Daten in Fluggastdatensätzen nicht auch auf andere
Weise verschaffen?
Die CBP hat ausgeführt, dass sie die meisten Angaben in
Fluggastdatensätzen bereits jetzt im Rahmen der normalen Grenzüberwachung
auch dem Flugschein und anderen Reisedokumenten der Fluggäste entnehmen
kann. Die wenigen weiteren Informationen, die sich nicht aus den Dokumenten
ergeben, können von der CBP bei der Grenzkontrolle in der Regel mündlich vom
Fluggast eingeholt werden. Solche Kontrollen würden jedoch zu erheblichen
Verspätungen bei der Abfertigung von Flügen nach, von und durch die USA
führen. Laut CBP wird der elektronische Zugang zu den Daten die
Grenzübertrittsformalitäten wesentlich beschleunigen und den legitimen
Passagierverkehr vereinfachen und schützen.
Müssen bei der Buchung zusätzliche Angaben gemacht werden, um die
amerikanischen CBP Vorschriften zu erfüllen?
Die CBP hat erklärt, dass sie von den Fluggesellschaften nur die
Übermittlung derjenigen Felder in Fluggastdatensätzen verlangt, die diese
bereits routinemäßig in ihren Buchungs- und Abfertigungssystemen erfassen,
und dass die Durchführungsvorschriften nicht vorschreiben, dass die
Fluggesellschaften alle Felder eines Fluggastdatensatzes ausfüllen
müssen.
Werden andere US-Behörden Zugang zu den Fluggastdaten haben, die der CBP
von den Fluggesellschaften übermittelt werden?
Die CBP hat erklärt, dass keine ausländische, föderale, einzelstaatliche
oder örtliche Behörde über CBP-Datenbanken unmittelbaren Zugang zu
Fluggastdatensätzen (PNR) haben wird. Nach US-Recht können
Strafverfolgungsbehörden PNR-Informationen von der CBP jedoch ausdrücklich
anfordern, und die CBP kann solche Informationen nach eigenem Ermessen für
bestimmte Zwecke bereitstellen. Die CBP hat zugesagt, in Ausübung ihres
Ermessens anderen Strafverfolgungsbehörden Fluggastdaten nur für den Zweck
der Verhinderung und Bekämpfung von Terrorismus und sonstiger
Schwerkriminalität bereitzustellen.
Die CBP hat ferner zugesichert, dass bei einer Prüfung, ob Fluggastdaten
an andere Strafverfolgungsbehörden weitergegeben werden sollen, der
Verwendungszweck der Daten mit dem Zweck vereinbar sein muss, zu dem die CBP
solche Informationen sammelt (d. h. zur Verhinderung und Bekämpfung von
Terrorismus und sonstiger Schwerkriminalität). Hinsichtlich Anfragen nach
Fluggastdaten, die nach Artikel 8 der EU Datenschutzrichtlinie als
sensibel gelten, hat die CBP zugesagt, dass die CBP vor der Weitergabe
solcher Daten an andere Strafverfolgungsbehörden ein besonderes
Genehmigungsverfahren anwenden wird, das den Deputy Commissioner der CBP
einbezieht.
Gibt es nach US-Recht einen Schutz vor der Weitergabe von Fluggastdaten
von Nicht-US-Bürgern, zu denen die CBP Zugang hat?
Die CBP hat erklärt, dass die Weitergabe von Fluggastdaten, zu denen
die CBP Zugang hat, allgemein durch das US-Gesetz über die
Informationsfreiheit (Freedom of Information Act, FOIA) geregelt wird, wonach
Unterlagen der US-Bundesregierung öffentlich zugänglich sind, ausgenommen
insoweit solche Unterlagen (oder Teile davon) im Rahmen von
FOIA-Ausnahmeregelungen vor der Weitergabe geschützt sind. Die CBP erachtet
Informationen aus Fluggastdatensätzen von Personen unabhängig ihrer
Herkunft als sensible strafverfolgungsrelevante und vertrauliche
personenbezogene Daten des Betroffenen sowie als vertrauliche kommerzielle
Daten der Fluggesellschaft. Durch Verordnung legt die CBP fest, dass die
FOIA-Weitergabeanforderungen für Daten dieser Kategorien nicht gelten
(vorbehaltlich begrenzter Ausnahmen im Fall von Anfragen des Betroffenen).
Die CBP hat zugesagt, diesen Standpunkt in allen Verwaltungs- und
Gerichtsverfahren zu vertreten, die sich aus FOIA-Anfragen zu Informationen
aus Fluggastdatensätzen ergeben.
Was können EU-Bürger tun, wenn sie der Meinung sind, dass Fluggastdaten,
zu denen die CBP Zugang hat und die sie speichert, unzutreffend sind?
Laut der CBP kann jede Person, die annimmt, dass PNR-Daten, auf die
die CBP Zugriff hat und die von ihr gespeichert werden, unzutreffende
Informationen enthalten, nach dem US-Gesetz über die Informationsfreiheit
(Freedom of Information Act, FOIA) Einblick in ihre PNR-Daten nehmen. Falls
die Person mit der Beantwortung ihres Antrags auf Einsichtnahme durch die CBP
nicht einverstanden ist, ermöglicht das FOIA verwaltungsverfahrensrechtliche
oder gerichtliche Maßnahmen zur Anfechtung der CBP-Entscheidung bezüglich der
Einsichtnahme. Eine Person, um deren Daten es geht (oder ihr
Bevollmächtigter), die der Auffassung ist, dass ihre Daten unzutreffend sind,
kann sich unmittelbar oder über die Fluggesellschaft mit dem "Office of
Field Operations" der CBP in Verbindung setzen und eine Änderung der vom
CBP gespeicherten Fluggastdaten beantragen. Die CBP hat zugesagt, dass sie
aufgrund eines solchen Antrags, sofern dieser begründet ist, nach eigenem
Ermessen Änderungen vornehmen kann.
Unbeschadet dessen erinnert die Europäische Kommission daran, dass
jedermann innerhalb der EU rechtlich gegen Verstöße gegen die
einzelstaatlichen Rechtsvorschriften der jeweiligen EU-Mitgliedstaaten für
die Verarbeitung von Daten vorgehen kann. Außerdem erinnert die Kommission
daran, dass jedermann Beschwerde bei der Aufsichtsbehörde des jeweiligen
Mitgliedstaats, die für den Datenschutz bei der Verarbeitung
personenbezogener Daten zuständig ist, einlegen kann.
© Europäische Kommission, 12. März 2003