DSGVO: Wie schütze ich meine Fluggastdaten?
 

DSGVO: Wie schütze ich meine Fluggastdaten?

Am 27. April 2016 hat die EU die Richtlinie 2016/681 „über die Verwendung von Fluggastdatensätzen (in Folge: PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität“ (in Folge: PNR-RL) in Kraft gesetzt, die von den EU Mitgliedstaaten (in Folge: MS) bis 25. Mai 2018 im nationalen Recht umzusetzen ist (Art 18 Abs 1 PNR-RL).

Eine Reihe von MS, darunter Österreich und Deutschland, haben die PNR-RL bislang noch nicht umgesetzt.

Worum geht es?
Die PNR-RL geht in ihren Erwägungsgründen (in Folge: EG) davon aus, dass die Verwendung von PNR-Daten notwendig ist, um terroristische Straftaten und schwere Kriminalität zu verhüten, aufzudecken, zu ermitteln und zu verfolgen, und damit einen Beitrag zur inneren Sicherheit zu leisten (EG 6). Anhand der Überprüfung von PNR-Daten sollen Personen ermittelt werden, die noch nicht im Verdacht standen, an terroristischen Straftaten oder schwerer Kriminalität beteiligt zu sein, um von den zuständigen Behörden genauer überprüft zu werden. Damit die Verarbeitung von PNR-Daten auf das erforderliche Maß beschränkt bleibt, sind die Prüfkriterien auf terroristische Straftaten und schwere Kriminalität beschränkt. Darüber hinaus wurden die Prüfkriterien so festgelegt, dass die Zahl unschuldiger Personen, die fälschlicherweise vom System identifiziert werden, auf ein Minimum beschränkt wird (EG 7). Die Fluggesellschaften erheben und verarbeiten bereits PNR-Daten ihrer Fluggäste für ihre geschäftlichen Zwecke. Dazu gehören Name, Kontaktdaten, Adresse, Buchungs- und Flugdatum, Zahlungs- und Rechnungsinformationen, Kreditkartennummern, Reiseverlauf, Gepäck- und Sitzplatzinformationen, bei manchen Fluglinien auch sogenannte API-Daten (Advanced Passenger Information, siehe die Richtlinie 2004/82/EG), die neben dem Namen auch Geburtsdatum, Nationalität, Geschlecht und Passdaten umfassen. Durch die PNR-RL werden weder Fluggesellschaften dazu verpflichtet, weitere Fluggastdaten zu erheben, noch wird von den Fluggästen verlangt, dass sie neben den Daten, die von ihnen bereits erhoben werden, noch weitere bereitstellen (EG 8). Eine verpflichtende Nutzung von PNR-Daten ist nur für internationale Flüge vorgesehen. Den MS steht es aber frei, die PNR-RL auch auf ausgewählte oder alle EU-Flüge auszuweiten (Art 2 und 10 PNR-RL), was zu erwarten sein wird. Die Kommission wird bis 2020 die Erforderlichkeit der obligatorischen Einbeziehung von EU-Flügen prüfen (Art 19 PNR-RL). Zwei Methoden der Datenübermittlung sind erlaubt: die „Pull-Methode“, bei der die zuständigen Behörden des MS, der die PNR-Daten benötigt, direkt auf das Buchungssystem der Fluggesellschaft zugreift und eine Kopie der verlangten PNR-Daten extrahiert, und die „Push-Methode“, bei der die Fluggesellschaft die verlangten PNR-Daten an die anfragende Behörde übermittelt und damit die Kontrolle über die Art der übermittelten Daten behält. Die „Push-Methode“ gilt als die Methode, die ein höheres Datenschutzniveau bietet, und sollte für alle Fluggesellschaften verbindlich sein (EG 16).

Welche Rechte haben Fluggäste?
Die MS haben sicherzustellen, dass Fluggäste über die Erhebung ihrer PNR-Daten, deren Übermittlung und über ihre Rechte korrekt und auf leicht zugängliche und verständliche Weise informiert werden (EG 29 und 37). Die Listen an PNR-Daten werden einer nationalen PNR-Zentralstelle übermittelt, sind nach sechs Monaten zu anonymisieren, dürfen maximal fünf Jahre gespeichert und müssen dann gelöscht werden. Sie müssen zudem den legitimen Bedürfnissen der Behörden zur Bekämpfung von terroristischen Straftaten und schwerer Kriminalität gerecht werden und damit einen Beitrag zur inneren Sicherheit leisten, haben aber auch die Grund- und Menschenrechte, insbesondere das Recht auf Datenschutz gemäß Artikel 8 der EU-Grundrechtecharta und Artikel 8 der Europäischen Menschenrechtskonvention, zu beachten (EG 37). Diese Listen dürfen keine „sensiblen Daten“ enthalten, das sind solche über Rasse oder ethnische Herkunft, Religion oder Weltanschauung, politische oder sonstige Meinungen, Mitgliedschaft in einer Gewerkschaft, Gesundheitszustand, Sexualleben oder sexuelle Orientierung einer Person (EG 37). Die PNR-Daten dürfen nur jene Details über den Buchungsvorgang und die Reiseroute von Fluggästen beinhalten, mit deren Hilfe die zuständigen Stellen diejenigen Fluggäste ermitteln können, die eine Bedrohung für die innere Sicherheit darstellen (EG 15). Ebenso wenig darf eine Diskriminierung aus Gründen des Geschlechts, der Rasse, der Hautfarbe, der ethnischen oder sozialen Herkunft, der genetischen Merkmale, der Sprache, der Religion oder der Weltanschauung, der politischen oder sonstigen Anschauung, der Zugehörigkeit zu einer nationalen Minderheit, des Vermögens, der Geburt, einer Behinderung, des Alters oder der sexuellen Orientierung einer Person erfolgen (EG 20). Jede Verarbeitung von PNR-Daten muss zum Zwecke der Überprüfung ihrer Rechtmäßigkeit, zur Selbstkontrolle sowie zur Gewährleistung der Unversehrtheit der Daten und der Sicherheit der Datenverarbeitung protokolliert oder dokumentiert werden (EG 37).

Wer sorgt für die Einhaltung der Rechte?
Um einen wirksamen und weitreichenden Datenschutz zu gewährleisten, haben die MS dafür zu sorgen, dass eine unabhängige nationale Kontrollstelle und ein Datenschutzbeauftragter eine Beratungs- und Kontrollfunktion auf die Art und Weise der Verarbeitung der PNR-Daten ausübt (EG 37). In Entsprechung des Rechts auf Datenschutz sowie des EU Rahmenbeschlusses 2008/977/JI vom 27. November 2008 „über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden“, haben Fluggäste hinsichtlich der Verarbeitung ihrer PNR-Daten insbesondere das Recht auf Zugang, Berichtigung, Löschung oder Einschränkung der Verarbeitung und das Recht auf Schadenersatz (EG 28). Darüber hinaus haben alle von einer Datenanwendung betroffenen Fluggäste gemäß Artikel 47 der EU-Grundrechtecharta das Recht auf einen wirksamen Rechtsbehelf vor einem unabhängigen und unparteiischen, auf Gesetz beruhenden Gericht, das in einem fairen Verfahren darüber zu entscheiden hat, ob sie von der Datenanwendung in einem Recht der Charta verletzt wurden. Die PNR-RL berührt nicht die Anwendung der Datenschutz-Richtlinie 95/46/EG auf die Verarbeitung personenbezogener Daten durch – private – Fluggesellschaften (Art 21 PNR-RL) und hindert die MS auch nicht, die Erhebung und Verarbeitung von PNR-Daten durch Wirtschaftsteilnehmer, die keine Beförderungsunternehmen sind (wie etwa Reisebüros oder Reiseveranstalter) entsprechend dieser RL zu regeln (EG 33). Insofern haben Fluggäste auch die Möglichkeit, die datenschutzwidrige Verwendung ihrer PNR-Daten, insbesondere auch der speziell geschützten sensiblen Daten, gegenüber Fluglinien und Reisebüros geltend zu machen. In diesem Zusammenhang ist anzumerken, dass die Datenschutz-Richtlinie am 25. Mai 2018 von der neuen Datenschutz-Grundverordnung (EU) 2016/679 vom 27. April 2016 abgelöst wird, wobei sich an den hier maßgeblichen zentralen datenschutzrechtlichen Grundsätzen und Regeln der PNR-RL nichts ändern wird.
stats