SCHLUSSANTRÄGE DES GENERALANWALTS
PHILIPPE LÉGER
vom 22. November 20051(1)
Rechtssache C‑317/04
Europäisches Parlament
gegen
Rat der Europäischen Union
„Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Nichtigkeitsklage – Beschluss 2004/496/EG des Rates – Abkommen zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung“
Rechtssache C‑318/04
Europäisches Parlament
gegen
Kommission der Europäischen Gemeinschaften
„Nichtigkeitsklage – Entscheidung 2004/535/EG der Kommission über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden – Richtlinie 95/46/EG“
Inhaltsverzeichnis
I – Die Vorgeschichte des Rechtsstreits
II – Rechtlicher Rahmen der beiden Rechtssachen
A – EU-Vertrag
B – Vertrag zur Gründung der Europäischen Gemeinschaft
C – Europäisches Recht über den Schutz personenbezogener Daten
III – Die angefochtenen Entscheidungen
A – Die Angemessenheitsentscheidung
B – Der Beschluss des Rates
IV – Die vom Parlament in beiden Rechtssachen geltend gemachten Klagegründe
V – Zur Klage auf Nichtigerklärung der Angemessenheitsentscheidung (Rechtssache C‑318/04)
A – Zu dem Klagegrund, die Kommission habe ihre Befugnis durch Erlass der Angemessenheitsentscheidung überschritten
1. Vorbringen der Beteiligten
2. Würdigung
B – Zu den Klagegründen eines Verstoßes gegen die Grundrechte und eines Verstoßes gegen den Verhältnismäßigkeitsgrundsatz
VI – Zur Klage auf Nichtigerklärung des Beschlusses des Rates (Rechtssache C‑317/04)
A – Zum Klagegrund, mit dem geltend gemacht wird, dass mit Artikel 95 EG eine falsche Rechtsgrundlage für den Beschluss des Rates gewählt worden sei
1. Vorbringen der Beteiligten
2. Würdigung
B – Zum Klagegrund, mit dem ein Verstoß gegen Artikel 300 Absatz 3 Unterabsatz 2 EG wegen einer Änderung der Richtlinie 95/46 geltend gemacht wird
1. Vorbringen der Beteiligten
2. Würdigung
C – Zu den Klagegründen des Verstoßes gegen das Recht auf Schutz personenbezogener Daten und des Verstoßes gegen den Verhältnismäßigkeitsgrundsatz
1. Vorbringen der Beteiligten
2. Würdigung
a) Zum Vorliegen eines Eingriffs in das Privatleben
b) Zur Rechtfertigung des Eingriffs in das Privatleben
i) Ist der Eingriff gesetzlich vorgesehen?
ii) Verfolgt der Eingriff ein legitimes Ziel?
iii) Ist der Eingriff zur Erreichung dieses Zieles in einer demokratischen Gesellschaft notwendig?
D – Zum Klagegrund der unzureichenden Begründung des Beschlusses des Rates
E – Zum Klagegrund des Verstoßes gegen den in Artikel 10 EG niedergelegten Grundsatz der loyalen Zusammenarbeit
VII – Kosten
VIII – Ergebnis
1. Das Europäische Parlament hat beim Gerichtshof zwei Nichtigkeitsklagen nach Artikel 230 EG erhoben. In der Rechtssache C‑317/04 (Parlament/Rat) wird mit der Klage die Nichtigerklärung des Beschlusses des Rates vom 17. Mai 2004 über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des United States Department of Homeland Security(2) begehrt. In der Rechtssache C‑318/04 (Parlament/Kommission) beantragt das Europäische Parlament die Nichtigerklärung der Entscheidung der Kommission vom 14. Mai 2004 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden(3).
2. In diesen beiden Rechtssachen hat sich der Gerichtshof zu der Problematik des Schutzes personenbezogener Daten von Fluggästen zu äußern, wenn die Übermittlung und Verarbeitung dieser Daten in einem Drittland, im vorliegenden Fall den Vereinigten Staaten von Amerika(4), mit Erfordernissen der öffentlichen Sicherheit und der Strafverfolgung wie der Verhütung und Bekämpfung des Terrorismus und anderer schwerer Straftaten gerechtfertigt wird.
3. Den beiden Rechtssachen liegt eine Reihe von Ereignissen zugrunde, die im Folgenden darzulegen sind. Im Anschluss hieran werde ich den rechtlichen Rahmen, in dem die Rechtssachen stehen, näher erläutern.
I – Die Vorgeschichte des Rechtsstreits
4. Nach den Terroranschlägen des 11. September 2001 erließen die Vereinigten Staaten von Amerika eine Rechtsvorschrift, nach der die Fluggesellschaften, die Flüge in die Vereinigten Staaten, von den Vereinigten Staaten oder über das Gebiet der Vereinigten Staaten durchführen, den amerikanischen Zollbehörden elektronischen Zugriff auf die Daten ihrer automatischen Reservierungs- und Abfertigungssysteme, die so genannten „Passenger Name Records“ (im Folgenden: PNR), gewähren(5). Unter Anerkennung der legitimen Sicherheitsinteressen teilte die Kommission der Europäischen Gemeinschaften den Vereinigten Staaten bereits im Juni 2002 mit, dass diese Bestimmungen mit den Vorschriften der Gemeinschaft und der Mitgliedstaaten zum Schutz personenbezogener Daten sowie mit einigen Bestimmungen der Verordnung über die Benutzung eines computergesteuerten Buchungssystems(6) in Widerspruch stehen könnten. Die Vereinigten Staaten verschoben das Inkrafttreten der neuen Bestimmungen, lehnten es jedoch ab, die Verhängung von Sanktionen gegen Fluggesellschaften, die sich nicht an diese Bestimmungen hielten, über den 5. März 2003 hinaus auszusetzen. Mehrere große Fluggesellschaften der Mitgliedstaaten haben seitdem Zugang zu ihren Fluggastdatensätzen gewährt.
5. Die Kommission nahm Verhandlungen mit den Vereinigten Staaten auf, die zu einer schriftlichen Verpflichtungserklärung des CBP führten. Ziel war der Erlass einer Entscheidung der Kommission mit der Feststellung nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr(7), dass das von den Vereinigten Staaten gebotene Schutzniveau für personenbezogene Daten angemessen ist.
6. Am 13. Juni 2003 gab die so genannte „Artikel-29-Gruppe“(8) für den Datenschutz eine Stellungnahme ab, in der sie Bedenken hinsichtlich des Schutzniveaus äußerte, das die genannte Verpflichtungserklärung für die vorgesehene Datenverarbeitung gewährleistet(9). Sie wiederholte ihre Bedenken in einer zweiten Stellungnahme vom 29. Januar 2004(10).
7. Am 1. März 2004 befasste die Kommission das Parlament mit dem Entwurf der Angemessenheitsentscheidung, dem der Entwurf der Verpflichtungserklärung des CBP beilag.
8. Am 17. März 2004 übermittelte die Kommission dem Parlament im Hinblick auf dessen Anhörung nach Artikel 300 Absatz 3 Satz 1 EG einen Vorschlag für einen Beschluss des Rates der Europäischen Union über den Abschluss eines Abkommens zwischen der Gemeinschaft und den Vereinigten Staaten. Mit Schreiben vom 25. März 2004 ersuchte der Rat unter Bezugnahme auf das Dringlichkeitsverfahren nach Artikel 112 der Geschäftsordnung des Parlaments (jetzt Artikel 134) das Parlament um Stellungnahme zu dem genannten Vorschlag bis spätestens zum 22. April 2004. In diesem Schreiben betont der Rat, dass „[d]er Kampf gegen den Terrorismus, der die vorgeschlagenen Maßnahmen rechtfertigt, ... für die Europäische Union hohe Priorität [hat]. Die Fluggesellschaften und Fluggäste befinden sich gegenwärtig in einer unsicheren Lage, der dringend abzuhelfen ist. Auch ist es wichtig, die finanziellen Interessen der Betroffenen zu schützen“.
9. Am 31. März 2004 nahm das Parlament gemäß Artikel 8 des Beschlusses des Rates vom 28. Juni 1999 zur Festlegung der Modalitäten für die Ausübung der der Kommission übertragenen Durchführungsbefugnisse(11) eine Entschließung an, in der eine Reihe von rechtlichen Vorbehalten gegen diese Vorgehensweise geltend gemacht wurde. Das Parlament vertrat insbesondere die Auffassung, dass der Entwurf der Angemessenheitsentscheidung über die Befugnisse der Kommission nach Artikel 25 der Richtlinie 95/46 hinausgehe. Es rief dazu auf, ein geeignetes völkerrechtliches Abkommen zu schließen, das die Grundrechte wahre, und ersuchte die Kommission, ihm einen neuen Entscheidungsentwurf zu unterbreiten. Es behielt sich ferner vor, den Gerichtshof anzurufen und um Prüfung der Rechtmäßigkeit des beabsichtigten völkerrechtlichen Abkommens, insbesondere dessen Vereinbarkeit mit dem Schutz des Rechts auf Achtung des Privatlebens, zu ersuchen.
10. Am 21. April 2004 nahm das Parlament auf Antrag des Präsidenten eine Empfehlung des Ausschusses für Recht und Binnenmarkt an, den Gerichtshof nach Artikel 300 Absatz 6 EG um ein Gutachten über die Vereinbarkeit des geplanten Abkommens mit dem Vertrag zu ersuchen. Das Verfahren wurde am selben Tag eingeleitet. Das Parlament beschloss an diesem Tag auch, den Bericht über den Vorschlag für einen Beschluss des Rates an den Ausschuss zu überweisen, und wies damit implizit den Dringlichkeitsantrag des Rates vom 25. März 2004 zurück.
11. Am 28. April 2004 forderte der Rat unter Berufung auf Artikel 300 Absatz 3 Unterabsatz 1 EG das Parlament in einem Schreiben auf, bis zum 5. Mai 2004 zum Abschluss des Abkommens Stellung zu nehmen. Zur Begründung der Dringlichkeit wiederholte er die in seinem Schreiben vom 25. März 2004 angeführten Gründe(12).
12. Am 30. April 2004 teilte der Kanzler des Gerichtshofes dem Parlament mit, dass der Gerichtshof die Frist für die Einreichung der Stellungnahmen der Mitgliedstaaten, des Rates und der Kommission in dem Gutachtenantrag 1/04 auf den 4. Juni 2004 festgesetzt habe.
13. Am 4. Mai 2004 wies das Parlament den Dringlichkeitsantrag zurück, den der Rat ihm am 28. April 2004 vorgelegt hatte(13). Am übernächsten Tag wandte sich der Präsident des Parlaments an den Rat und die Kommission mit der Bitte, ihr Vorhaben nicht weiter zu verfolgen, solange der Gerichtshof das am 21. April 2004 beantragte Gutachten nicht erstellt habe.
14. Am 14. Mai 2004 erließ die Kommission gemäß Artikel 25 Absatz 6 der Richtlinie 95/46 die Entscheidung über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem CBP übermittelt werden.
15. Am 17. Mai 2004 fasste der Rat den Beschluss über den Abschluss eines Abkommens zwischen der Gemeinschaft und den Vereinigten Staaten über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das CBP.
16. Mit Schreiben vom 9. Juli 2004 an den Gerichtshof nahm das Parlament seinen Gutachtenantrag 1/04 zurück(14). Es beschloss sodann, die Streitigkeiten mit dem Rat und der Kommission auf dem Klagewege fortzusetzen.
II – Rechtlicher Rahmen der beiden Rechtssachen
A – EU-Vertrag
17. Artikel 6 EU bestimmt:
„(1) Die Union beruht auf den Grundsätzen der Freiheit, der Demokratie, der Achtung der Menschenrechte und Grundfreiheiten sowie der Rechtsstaatlichkeit; diese Grundsätze sind allen Mitgliedstaaten gemeinsam.
(2) Die Union achtet die Grundrechte, wie sie in der am 4. November 1950 in Rom unterzeichneten Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten gewährleistet sind und wie sie sich aus den gemeinsamen Verfassungsüberlieferungen der Mitgliedstaaten als allgemeine Grundsätze des Gemeinschaftsrechts ergeben.
…“
B – Vertrag zur Gründung der Europäischen Gemeinschaft
18. Artikel 95 Absatz 1 EG lautet:
„Soweit in diesem Vertrag nichts anderes bestimmt ist, gilt abweichend von Artikel 94 für die Verwirklichung der Ziele des Artikels 14 die nachstehende Regelung. Der Rat erlässt gemäß dem Verfahren des Artikels 251 und nach Anhörung des Wirtschafts- und Sozialausschusses die Maßnahmen zur Angleichung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten, welche die Errichtung und das Funktionieren des Binnenmarktes zum Gegenstand haben.“
19. Bezüglich des Verfahrens beim Abschluss völkerrechtlicher Abkommen durch die Gemeinschaft sieht Artikel 300 Absatz 2 Unterabsatz 1 Satz 1 EG vor, dass „[v]orbehaltlich der Zuständigkeiten, welche die Kommission auf diesem Gebiet besitzt, ... die Unterzeichnung ... sowie der Abschluss der Abkommen vom Rat mit qualifizierter Mehrheit auf Vorschlag der Kommission beschlossen [werden]“.
20. Artikel 300 Absatz 3 EG lautet:
„Mit Ausnahme der Abkommen im Sinne des Artikels 133 Absatz 3 schließt der Rat die Abkommen nach Anhörung des Europäischen Parlaments, und zwar auch in den Fällen, in denen das Abkommen einen Bereich betrifft, bei dem für die Annahme interner Vorschriften das Verfahren des Artikels 251 oder des Artikels 252 anzuwenden ist. Das Europäische Parlament gibt seine Stellungnahme innerhalb einer Frist ab, die der Rat entsprechend der Dringlichkeit festlegen kann. Ergeht innerhalb dieser Frist keine Stellungnahme, so kann der Rat einen Beschluss fassen.
Abweichend von Unterabsatz 1 bedarf der Abschluss von Abkommen im Sinne des Artikels 310 sowie sonstiger Abkommen, die durch Einführung von Zusammenarbeitsverfahren einen besonderen institutionellen Rahmen schaffen, von Abkommen mit erheblichen finanziellen Folgen für die Gemeinschaft und von Abkommen, die eine Änderung eines nach dem Verfahren des Artikels 251 angenommenen Rechtsakts bedingen, der Zustimmung des Europäischen Parlaments.
Der Rat und das Europäische Parlament können in dringenden Fällen eine Frist für die Zustimmung vereinbaren.“
C – Europäisches Recht über den Schutz personenbezogener Daten
21. Artikel 8 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (im Folgenden: EMRK) bestimmt:
„(1) Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz.
(2) Eine Behörde darf in die Ausübung dieses Rechts nur eingreifen, soweit der Eingriff gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist für die nationale oder öffentliche Sicherheit, für das wirtschaftliche Wohl des Landes, zur Aufrechterhaltung der Ordnung, zur Verhütung von Straftaten, zum Schutz der Gesundheit oder der Moral oder zum Schutz der Rechte und Freiheiten anderer.“
22. Das europäische Datenschutzrecht entwickelte sich zuerst im Rahmen des Europarats. Das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten wurde zur Unterzeichnung durch die Mitgliedstaaten des Europarats am 28. Januar 1981 in Straßburg aufgelegt(15). Zweck des Übereinkommens ist es, im Hoheitsgebiet jeder Vertragspartei für jedermann ungeachtet seiner Staatsangehörigkeit oder seines Wohnorts sicherzustellen, dass seine Rechte und Grundfreiheiten, insbesondere sein Recht auf einen Persönlichkeitsbereich, bei der automatischen Verarbeitung personenbezogener Daten geschützt werden.
23. Was die Europäische Union angeht, so ist der Schutz personenbezogener Daten außer in Artikel 7, der die Achtung des Privat- und Familienlebens betrifft, speziell in Artikel 8 der Charta der Grundrechte der Europäischen Union(16) niedergelegt. Artikel 8 lautet wie folgt:
„(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.
(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.“
24. Was das primäre Gemeinschaftsrecht anbelangt, so sieht Artikel 286 Absatz 1 EG vor, dass „[a]b 1. Januar 1999 ... die Rechtsakte der Gemeinschaft über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und dem freien Verkehr solcher Daten auf die durch diesen Vertrag oder auf der Grundlage dieses Vertrags errichteten Organe und Einrichtungen der Gemeinschaft Anwendung [finden]“(17).
25. Im abgeleiteten Gemeinschaftsrecht ist die einschlägige Grundnorm die Richtlinie 95/46(18). Die Verbindung zu den Normen des Europarats ergibt sich vor allem aus der zehnten und elften Begründungserwägung der genannten Richtlinie. Die zehnte Begründungserwägung bestimmt: „Gegenstand der einzelstaatlichen Rechtsvorschriften über die Verarbeitung personenbezogener Daten ist die Gewährleistung der Achtung der Grundrechte und -freiheiten, insbesondere des auch in Artikel 8 [EMRK] und in den allgemeinen Grundsätzen des Gemeinschaftsrechts anerkannten Rechts auf die Privatsphäre. Die Angleichung dieser Rechtsvorschriften darf deshalb nicht zu einer Verringerung des durch diese Rechtsvorschriften garantierten Schutzes führen, sondern muss im Gegenteil darauf abzielen, in der Gemeinschaft ein hohes Schutzniveau sicherzustellen“. Die elfte Begründungserwägung der Richtlinie stellt weiter fest, dass „[d]ie in dieser Richtlinie enthaltenen Grundsätze zum Schutz der Rechte und Freiheiten der Personen, insbesondere der Achtung der Privatsphäre, ... die in dem Übereinkommen [Nr. 108] enthaltenen Grundsätze [konkretisieren und erweitern]“.
26. Die Richtlinie 95/46, die auf der Grundlage des Artikels 100a EG-Vertrag (nach Änderung jetzt Artikel 95 EG) erlassen wurde, beruht auf einem Gedanken, der in der dritten Begründungserwägung zum Ausdruck kommt. Dort heißt es: „Für die Errichtung und das Funktionieren des Binnenmarktes ... ist es nicht nur erforderlich, dass personenbezogene Daten von einem Mitgliedstaat in einen anderen Mitgliedstaat übermittelt werden können, sondern auch, dass die Grundrechte der Personen gewahrt werden.“ Insbesondere ist der Gemeinschaftsgesetzgeber von der Feststellung ausgegangen, dass „[d]as unterschiedliche Niveau des Schutzes der Rechte und Freiheiten von Personen, insbesondere der Privatsphäre, bei der Verarbeitung personenbezogener Daten in den Mitgliedstaaten ... die Übermittlung dieser Daten aus dem Gebiet eines Mitgliedstaats in das Gebiet eines anderen Mitgliedstaats verhindern [kann]“(19), was vor allem zu einem Hemmnis für die Ausübung von Wirtschaftstätigkeiten auf Gemeinschaftsebene werden und den Wettbewerb verfälschen kann. Auch vertrat der Gemeinschaftsgesetzgeber die Auffassung, dass „[z]ur Beseitigung der Hemmnisse für den Verkehr personenbezogener Daten ... ein gleichwertiges Schutzniveau hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten unerlässlich [ist]“(20). Dieser Ansatz muss zur Folge haben, dass „[d]ie Mitgliedstaaten ... aufgrund des gleichwertigen Schutzes, der sich aus der Angleichung der einzelstaatlichen Rechtsvorschriften ergibt, den freien Verkehr personenbezogener Daten zwischen ihnen nicht mehr aus Gründen behindern [dürfen], die den Schutz der Rechte und Freiheiten natürlicher Personen und insbesondere das Recht auf die Privatsphäre betreffen“(21).
27. Artikel 1 – Gegenstand der Richtlinie – der Richtlinie 95/46 setzt diesen Ansatz wie folgt um:
„(1) Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten.
(2) Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes.“
28. Artikel 2 der genannten Richtlinie bestimmt u. a. die Begriffe „personenbezogene Daten“, „Verarbeitung personenbezogener Daten“ und „für die Verarbeitung Verantwortlicher“.
29. Nach Artikel 2 Buchstabe a der Richtlinie 95/46 sind personenbezogene Daten „alle Informationen über eine bestimmte oder bestimmbare natürliche Person ...; als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind“.
30. Nach Artikel 2 Buchstabe b der Richtlinie bezeichnet die Verarbeitung personenbezogener Daten „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten“.
31. Artikel 2 Buchstabe d der Richtlinie 95/46 definiert den für die Verarbeitung Verantwortlichen als „die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.
32. Bezüglich des sachlichen Geltungsbereichs der Richtlinie 95/46 sieht Artikel 3 Absatz 1 vor, dass diese „für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten [gilt], die in einer Datei gespeichert sind oder gespeichert werden sollen“.
33. Artikel 3 Absatz 2 der Richtlinie beschränkt den sachlichen Geltungsbereich der Richtlinie u. a. mit folgender Bestimmung:
„Diese Richtlinie findet keine Anwendung auf die Verarbeitung personenbezogener Daten,
– die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI des Vertrags über die Europäische Union, und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt) und die Tätigkeiten des Staates im strafrechtlichen Bereich;
…“
34. Kapitel II der Richtlinie 95/46 befasst sich mit den „Allgemeine[n] Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten“. Abschnitt I dieses Kapitels betrifft die „Grundsätze in Bezug auf die Qualität der Daten“. In Artikel 6 der Richtlinie werden diese Grundsätze, nämlich der Grundsatz von Treu und Glauben, der Grundsatz der Rechtmäßigkeit, der Zweckgebundenheit, der Verhältnismäßigkeit und der sachlichen Richtigkeit der Verarbeitung personenbezogener Daten aufgeführt. Der Artikel lautet wie folgt:
„(1) Die Mitgliedstaaten sehen vor, dass personenbezogene Daten
a) nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden;
b) für festgelegte eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden ...;
c) den Zwecken entsprechen, für die sie erhoben und/oder weiterverarbeitet werden, dafür erheblich sind und nicht darüber hinausgehen;
d) sachlich richtig und, wenn nötig, auf den neuesten Stand gebracht sind ...;
e) nicht länger, als es für die Realisierung der Zwecke, für die sie erhoben oder weiterverarbeitet werden, erforderlich ist, in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen ermöglicht …
(2) Der für die Verarbeitung Verantwortliche hat für die Einhaltung des Absatzes 1 zu sorgen.“
35. Abschnitt II des Kapitels II der genannten Richtlinie befasst sich mit den „Grundsätze[n] in Bezug auf die Zulässigkeit der Verarbeitung von Daten“. Artikel 7, der diesen Abschnitt bildet, lautet wie folgt:
„Die Mitgliedstaaten sehen vor, dass die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfüllt ist:
a) Die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben;
b) die Verarbeitung ist erforderlich für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen;
c) die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt;
…“
36. Bezüglich der personenbezogenen Daten, die gemeinhin als „sensibel“ bezeichnet werden, stellt Artikel 8 Absatz 1 ein grundsätzliches Verarbeitungsverbot auf. Er sieht vor, dass „[d]ie Mitgliedstaaten die Verarbeitung personenbezogener Daten [untersagen], aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben“. Dieses grundsätzliche Verbot erfährt jedoch mehrere Ausnahmen, deren Inhalt und Regelung in den nachfolgenden Absätzen des Artikels im Einzelnen ausgeführt werden.
37. Artikel 13 – Ausnahmen und Einschränkungen – Absatz 1 der Richtlinie 95/46 bestimmt:
„Die Mitgliedstaaten können Rechtsvorschriften erlassen, die die Pflichten und Rechte gemäß Artikel 6 Absatz 1, Artikel 10, Artikel 11 Absatz 1, Artikel 12 und Artikel 21 beschränken, sofern eine solche Beschränkung notwendig ist für
a) die Sicherheit des Staates;
b) die Landesverteidigung;
c) die öffentliche Sicherheit;
d) die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen;
e) ein wichtiges wirtschaftliches oder finanzielles Interesse eines Mitgliedstaats oder der Europäischen Union einschließlich Währungs-, Haushalts- und Steuerangelegenheiten;
f) Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben c), d) und e) genannten Zwecke verbunden sind;
g) den Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen.“
38. Der Gemeinschaftsgesetzgeber wollte diese Schutzregelung auch beachtet wissen, wenn die personenbezogenen Daten das Gebiet der Gemeinschaft verlassen. Es hatte sich nämlich gezeigt, dass eine Regelung, deren Wirksamkeit sich nur auf das Gebiet der Gemeinschaft erstreckt, angesichts des internationalen Maßstabs des Informationsflusses(22) unzureichend, wenn nicht gar sinnlos wäre. Der Gemeinschaftsgesetzgeber hat sich daher für ein System entschieden, das eine Übermittlung personenbezogener Daten in ein Drittland nur erlaubt, wenn das Drittland für diese Daten ein „angemessenes Schutzniveau“ gewährleistet.
39. Der Gemeinschaftsgesetzgeber stellt daher die Regel auf, dass, wenn „ein Drittland kein angemessenes Schutzniveau [bietet], ... die Übermittlung personenbezogener Daten in dieses Land zu untersagen [ist]“(23).
40. Dementsprechend stellt Artikel 25 der Richtlinie 95/46 die Grundsätze auf, nach denen sich die Übermittlung personenbezogener Daten in Drittländer richtet:
„(1) Die Mitgliedstaaten sehen vor, dass die Übermittlung personenbezogener Daten, die Gegenstand einer Verarbeitung sind oder nach der Übermittlung verarbeitet werden sollen, in ein Drittland vorbehaltlich der Beachtung der aufgrund der anderen Bestimmungen dieser Richtlinie erlassenen einzelstaatlichen Vorschriften zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet.
(2) Die Angemessenheit des Schutzniveaus, das ein Drittland bietet, wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen; insbesondere werden die Art der Daten, die Zweckbestimmung sowie die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die in dem betreffenden Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen sowie die dort geltenden Standesregeln und Sicherheitsmaßnahmen berücksichtigt.
(3) Die Mitgliedstaaten und die Kommission unterrichten einander über die Fälle, in denen ihres Erachtens ein Drittland kein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet.
(4) Stellt die Kommission nach dem Verfahren des Artikels 31 Absatz 2 fest, dass ein Drittland kein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels aufweist, so treffen die Mitgliedstaaten die erforderlichen Maßnahmen, damit keine gleichartige Datenübermittlung in das Drittland erfolgt.
(5) Zum geeigneten Zeitpunkt leitet die Kommission Verhandlungen ein, um Abhilfe für die gemäß Absatz 4 festgestellte Lage zu schaffen.
(6) Die Kommission kann nach dem Verfahren des Artikels 31 Absatz 2 feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen, die es insbesondere infolge der Verhandlungen gemäß Absatz 5 eingegangen ist, hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet.
Die Mitgliedstaaten treffen die aufgrund der Feststellung der Kommission gebotenen Maßnahmen.“
41. Schließlich wird im Rahmen des Titels VI des EU-Vertrags, der sich mit der polizeilichen und justiziellen Zusammenarbeit in Strafsachen befasst, der Schutz der personenbezogenen Daten durch mehrere spezifische Maßnahmen geregelt. Es handelt sich insbesondere um Maßnahmen, mit denen gemeinsame unionsweite Informationssysteme eingerichtet werden, wie das Übereinkommen zur Durchführung des Übereinkommens von Schengen(24), das eigene Bestimmungen über den Datenschutz im Schengener Informationssystem (SIS) enthält(25); das Übereinkommen aufgrund von Artikel K.3 des Vertrages über die Europäische Union über die Errichtung eines Europäischen Polizeiamts(26); der Beschluss des Rates über die Errichtung von Eurojust(27) und die Bestimmungen der Geschäftsordnung betreffend die Verarbeitung und den Schutz personenbezogener Daten bei Eurojust(28); das Übereinkommen aufgrund von Artikel K.3 des Vertrages über die Europäische Union über den Einsatz der Informationstechnologie im Zollbereich, das Bestimmungen über den Datenschutz für personenbezogene Daten enthält, die für das Zollinformationssystem gelten(29), und das Übereinkommen über die Rechtshilfe in Strafsachen zwischen den Mitgliedstaaten der Europäischen Union(30).
42. Am 4. Oktober 2005 legte die Kommission einen Vorschlag für einen Rahmenbeschluss des Rates über den Schutz personenbezogener Daten vor, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden(31).
III – Die angefochtenen Entscheidungen
43. Ich werde die beiden Entscheidungen in der chronologischen Reihenfolge ihres Erlasses prüfen.
A – Die Angemessenheitsentscheidung
44. Die Angemessenheitsentscheidung wurde von der Kommission auf der Grundlage des Artikels 25 Absatz 6 der Richtlinie 95/46 erlassen, der, wie erinnerlich, der Kommission die Befugnis verleiht festzustellen, dass ein Drittland im Hinblick auf die personenbezogenen Daten ein angemessenes Schutzniveau gewährleistet(32). Wie in der zweiten Begründungserwägung dieser Entscheidung festgestellt wird, „[können] [i]n diesem Fall ... die Mitgliedstaaten personenbezogene Daten übermitteln, ohne dass zusätzliche Garantien erforderlich sind“.
45. In der elften Begründungserwägung der Entscheidung führt die Kommission aus, dass „[d]ie Verarbeitung personenbezogener Daten aus den dem CBP übermittelten PNR durch das CBP ... den Bedingungen [unterliegt], die in der ‚Verpflichtungserklärung des Department of Homeland Security, Bureau of Customs and Border Protection (CBP) vom 11. Mai 2004‘ festgelegt sind, sowie den Rechtsvorschriften der Vereinigten Staaten, die in dieser Verpflichtungserklärung aufgeführt sind“. Ferner stellt die Kommission in der vierzehnten Begründungserwägung der Entscheidung fest, dass „[d]ie Vorschriften, nach denen das CBP aufgrund der Gesetze der Vereinigten Staaten und der Verpflichtungserklärung die Passagierdaten aus den PNR verarbeiten [wird], ... die Grundanforderungen für ein angemessenes Schutzniveau für natürliche Personen [erfüllen]“.
46. Artikel 1 der Angemessenheitsentscheidung bestimmt daher:
„Im Hinblick auf Artikel 25 Absatz 2 der Richtlinie 95/46/EG wird festgestellt, dass das [CBP] auf der Grundlage der als Anhang angefügten Verpflichtungserklärung einen angemessenen Schutz bietet für PNR-Daten über Flüge in die oder aus den Vereinigten Staaten, die aus der Gemeinschaft übermittelt werden.“
47. Ferner sieht Artikel 3 der Angemessenheitsentscheidung vor, dass die Datenübermittlung an das CBP auf Veranlassung der zuständigen Behörden in den Mitgliedstaaten unter folgenden Voraussetzungen ausgesetzt werden kann:
„1. Unbeschadet ihres Rechts, Maßnahmen zur Durchsetzung einzelstaatlicher Vorschriften zu ergreifen, die gemäß anderen Bestimmungen als denen des Artikels 25 der Richtlinie 95/46/EG angenommen wurden, können die zuständigen Behörden in den Mitgliedstaaten von ihrem Recht Gebrauch machen, zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten die Datenübermittlung an das CBP auszusetzen,
a) wenn eine zuständige US-Behörde feststellt, dass das CBP die geltenden Datenschutzvorschriften nicht einhält, oder
b) wenn eine hohe Wahrscheinlichkeit besteht, dass die im Anhang enthaltenen Schutzvorschriften verletzt werden, Grund zur Annahme besteht, dass das CBP nicht rechtzeitig angemessene Maßnahmen ergreift bzw. ergreifen wird, um den betreffenden Fall zu lösen, die Fortsetzung der Datenübermittlung den betroffenen Personen einen unmittelbar bevorstehenden schweren Schaden zuzufügen droht und die zuständigen Behörden in den Mitgliedstaaten sich unter den gegebenen Umständen in angemessener Weise bemüht haben, das CBP zu benachrichtigen, und ihm Gelegenheit zur Stellungnahme gegeben haben.
2. Die Aussetzung wird beendet, sobald sichergestellt ist, dass die Datenschutzvorschriften befolgt werden und die zuständigen Behörden in den jeweiligen Mitgliedstaaten davon in Kenntnis gesetzt sind.“
48. Die Mitgliedstaaten haben die Kommission zu informieren, wenn Maßnahmen nach Artikel 3 der Angemessenheitsentscheidung ergriffen werden. Außerdem haben die Mitgliedstaaten und die Kommission nach Artikel 4 Absatz 2 der Entscheidung einander über jedwede Änderung der Datenschutzvorschriften sowie über Fälle zu unterrichten, in denen diese Vorschriften offensichtlich unzureichend beachtet werden. In der Folge dieses Austauschs sieht Artikel 4 Absatz 3 der Angemessenheitsentscheidung vor, dass, wenn „die gemäß Artikel 3 und gemäß den Absätzen 1 und 2 des vorliegenden Artikels gewonnenen Erkenntnisse [ergeben], dass die Grundanforderungen für ein angemessenes Schutzniveau für natürliche Personen nicht mehr gewährleistet sind, oder dass eine für die Einhaltung der Vorschriften gemäß dem Anhang durch das CBP verantwortliche Einrichtung ihre Aufgabe nicht wirksam erfüllt, ... das CBP hiervon benachrichtigt und erforderlichenfalls das in Artikel 31 Absatz 2 der Richtlinie 95/46/EG genannte Verfahren zwecks Aufhebung oder Aussetzung der vorliegenden Entscheidung angewandt [wird]“.
49. Artikel 5 der Angemessenheitsentscheidung stellt ferner die Regel auf, dass die Anwendung der Entscheidung überwacht wird, und bestimmt, dass „relevante Erkenntnisse ... dem nach Artikel 31 der Richtlinie 95/46/EG eingesetzten Ausschuss mitgeteilt [werden]“.
50. Darüber hinaus bestimmt Artikel 7 der Angemessenheitsentscheidung, dass sie „3 Jahre und 6 Monate nach dem Datum ihrer Bekanntmachung [ausläuft], es sei denn, sie wird nach dem Verfahren von Artikel 31 Absatz 2 der Richtlinie 95/46/EG verlängert“.
51. Im Anhang der genannten Entscheidung befindet sich die Verpflichtungserklärung des CBP, in deren Einleitung festgestellt wird, dass sie die Absicht der Kommission unterstützen soll, ein angemessenes Schutzniveau für die an das CBP übermittelten Daten zu bescheinigen. Nach den Worten der Erklärung, die insgesamt 48 Absätze umfasst, werden durch sie „keinerlei Rechte oder Vergünstigungen für private oder öffentliche Personen oder Beteiligte begründet oder übertragen“(33).
52. Ich werde im Laufe meiner Ausführungen den Inhalt der für die Entscheidung des Rechtsstreits relevanten Verpflichtungen darlegen.
53. Schließlich enthält die Angemessenheitsentscheidung einen Anhang „A“, der 34 PNR-Daten aufführt, die das CBP von Fluggesellschaften verlangt(34).
54. Diese Entscheidung der Kommission wird ergänzt durch den Beschluss des Rates über den Abschluss eines völkerrechtlichen Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten.
B – Der Beschluss des Rates
55. Der Beschluss des Rates wurde auf der Grundlage des Artikels 95 EG in Verbindung mit Artikel 300 Absatz 2 Unterabsatz 1 Satz 1 EG gefasst.
56. In der ersten Begründungserwägung des Beschlusses wird festgestellt, dass „[a]m 23. Februar 2004 ... der Rat die Kommission ermächtigt [hat], im Namen der Gemeinschaft ein Abkommen mit den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das [CBP] auszuhandeln“(35). Die zweite Begründungserwägung des Beschlusses führt aus, dass „[d]as Europäische Parlament ... innerhalb der Frist, die der Rat in Anbetracht des dringenden Erfordernisses, der unsicheren Lage der Fluggesellschaften und der Fluggäste abzuhelfen und die finanziellen Interessen der Betroffenen zu schützen, gemäß Artikel 300 Absatz 3 Unterabsatz 1 festgelegt hat, keine Stellungnahme abgegeben [hat]“.
57. Gemäß Artikel 1 des Beschlusses des Rates wird das Abkommen im Namen der Gemeinschaft genehmigt. Gemäß Artikel 2 des Beschlusses wird der Präsident des Rates ermächtigt, die Personen zu benennen, die befugt sind, das Abkommen im Namen der Gemeinschaft zu unterzeichnen.
58. Der Wortlaut des Abkommens ist dem Beschluss des Rates beigefügt. Artikel 7 des Abkommens bestimmt, dass das Abkommen mit seiner Unterzeichnung in Kraft tritt. Nach Maßgabe dieses Artikels ist das Abkommen, das am 28. Mai 2004 unterzeichnet wurde, am selben Tag in Kraft getreten(36).
59. In der Präambel des Abkommens anerkennen die Gemeinschaft und die Vereinigten Staaten „[die] Bedeutung der Achtung grundlegender Rechte und Freiheiten, insbesondere des Schutzes der Privatsphäre, und deren Achtung bei gleichzeitiger Verhütung und Bekämpfung des Terrorismus und damit verbundener Verbrechen sowie sonstiger schwerer Verbrechen transnationaler Art, einschließlich der organisierten Kriminalität“.
60. Auf folgende Rechtstexte wird in der Präambel des Abkommens Bezug genommen: auf die Richtlinie 95/46, insbesondere auf deren Artikel 7 Buchstabe c, auf die Verpflichtungserklärung des CBP sowie auf die Angemessenheitsentscheidung(37).
61. Die Vertragsparteien weisen weiter darauf hin, dass „die Fluggesellschaften mit Buchungs-/Abfertigungssystemen im Hoheitsgebiet der Mitgliedstaaten der Europäischen Gemeinschaft die Übermittlung von PNR-Daten an das CBP – sobald technisch machbar – veranlassen sollten und dass bis dahin den US-Behörden gemäß diesem Abkommen der direkte Zugriff auf diese Daten gewährt werden sollte“(38).
62. Dementsprechend bestimmt Absatz 1 des Abkommens, dass „[d]as CBP ... elektronischen Zugriff auf PNR-Daten aus den von den Fluggesellschaften im Hoheitsgebiet der Mitgliedstaaten der Europäischen Gemeinschaft betriebenen Buchungs‑/Abfertigungssystemen streng nach Maßgabe des Beschlusses[(39)] [erhält], solange dieser Beschluss gilt und nur, solange kein befriedigendes System für die Übermittlung solcher Daten durch die Fluggesellschaften vorhanden ist“.
63. Ergänzend zu dem Recht auf direkten Zugriff auf PNR-Daten, das damit dem CBP eingeräumt ist, wird den Fluggesellschaften, die Auslands-Passagierflüge in die oder aus den Vereinigten Staaten durchführen, nach Absatz 2 des Abkommens die Verpflichtung auferlegt, die in ihren computergestützten Buchungssystemen enthaltenen Daten „nach den Vorgaben des CBP gemäß dem US-amerikanischen Recht und streng nach Maßgabe des Beschlusses[(40)] [zu verarbeiten], solange der Beschluss gilt“.
64. In Absatz 3 des Abkommens wird ferner festgestellt, dass das CBP die Angemessenheitsentscheidung „zur Kenntnis nimmt“ und „erklärt, den im Anhang beigefügten Verpflichtungen nachzukommen“. Außerdem bestimmt Absatz 4 des Abkommens: „Das CBP verarbeitet die übermittelten PNR-Daten und behandelt die von dieser Verarbeitung betroffenen Personen gemäß den geltenden US-Gesetzen und den verfassungsrechtlichen Erfordernissen ohne unrechtmäßige Diskriminierung insbesondere aufgrund ihrer Staatsangehörigkeit oder ihres Wohnlands“.
65. Das CBP und die Gemeinschaft verpflichten sich, das Abkommen in regelmäßigen Abständen einer gemeinsamen Überprüfung zu unterziehen(41). Das Abkommen sieht auch vor, dass, wenn „in der Europäischen Union ein Fluggast-Identifikationssystem eingeführt [wird], das die Fluggesellschaften verpflichtet, Behörden den Zugang zu PNR-Daten von Personen zu gestatten, deren Reiseweg einen Flug in die oder aus der EU einschließt, ... das [Department of Homeland Security], soweit dies möglich ist, aktiv und streng nach dem Gegenseitigkeitsprinzip die Zusammenarbeit der seiner Zuständigkeit unterliegenden Fluggesellschaften [fördert]“(42).
66. Absatz 7 des Abkommens sieht zunächst vor, dass das Abkommen mit seiner Unterzeichnung in Kraft tritt, und regelt ferner, dass das Abkommen von jeder Vertragspartei jederzeit gekündigt werden kann. Die Kündigung wird in diesem Fall 90 Tage nach dem Tag, an dem sie der anderen Vertragspartei notifiziert wurde, wirksam. Außerdem ist bestimmt, dass das Abkommen jederzeit im gegenseitigen schriftlichen Einvernehmen geändert werden kann.
67. Schließlich bestimmt Absatz 8 des Abkommens, dass „[d]ieses Abkommen ... nicht den Zweck [hat], Ausnahmen von den Gesetzen der Vertragsparteien zu regeln oder diese zu ändern; durch dieses Abkommen werden auch keinerlei Rechte oder Vergünstigungen für Dritte begründet oder übertragen“.
IV – Die vom Parlament in beiden Rechtssachen geltend gemachten Klagegründe
68. In der Rechtssache C‑317/04 führt das Parlament sechs Klagegründe gegen den Beschluss des Rates an:
– fehlerhafte Entscheidung für Artikel 95 EG als Rechtsgrundlage;
– Verstoß gegen Artikel 300 Absatz 3 Unterabsatz 2 EG wegen einer Änderung der Richtlinie 95/46;
– Verstoß gegen das Recht auf Schutz personenbezogener Daten;
– Verstoß gegen den Verhältnismäßigkeitsgrundsatz;
– unzureichende Begründung des streitigen Beschlusses;
– Verstoß gegen den in Artikel 10 EG niedergelegten Grundsatz der loyalen Zusammenarbeit.
69. Das Vereinigte Königreich Großbritannien und Nordirland sowie die Kommission wurden als Streithelfer zur Unterstützung der Anträge des Rates zugelassen(43). Ferner wurde der Europäische Datenschutzbeauftragte (im Folgenden: Datenschutzbeauftragter) als Streithelfer zur Unterstützung der Anträge des Parlaments zugelassen(44).
70. In der Rechtssache C‑318/04 führt das Parlament vier Klagegründe gegen die Angemessenheitsentscheidung an:
– Befugnisüberschreitung;
– Verstoß gegen die wesentlichen Grundsätze der Richtlinie 95/46;
– Verstoß gegen die Grundrechte;
– Verstoß gegen den Verhältnismäßigkeitsgrundsatz.
71. Das Vereinigte Königreich wurde als Streithelfer zur Unterstützung der Anträge der Kommission zugelassen(45). Ferner wurde der Europäische Datenschutzbeauftragte als Streithelfer zur Unterstützung der Anträge des Parlaments zugelassen(46).
72. Ich werde die beiden Klagen in der Reihenfolge prüfen, in der die angefochtenen Rechtsakte erlassen wurden. Ich werde somit zunächst die Klage auf Nichtigerklärung der Angemessenheitsentscheidung (Rechtssache C‑318/04) und sodann die Klage auf Nichtigerklärung des Beschlusses des Rates (Rechtssache C‑317/04) prüfen.
V – Zur Klage auf Nichtigerklärung der Angemessenheitsentscheidung (Rechtssache C‑318/04)
A – Zu dem Klagegrund, die Kommission habe ihre Befugnis durch Erlass der Angemessenheitsentscheidung überschritten
1. Vorbringen der Beteiligten
73. Zur Stützung dieses Klagegrundes trägt das Parlament, erstens, vor, die Angemessenheitsentscheidung verstoße gegen die Richtlinie 95/46, da sie ein Ziel verwirklichen solle, das unter die öffentliche Sicherheit und das Strafrecht falle, und damit ein Gebiet betreffe, das vom sachlichen Geltungsbereich der Richtlinie ausgeschlossen sei. Dieser Ausschluss sei ausdrücklich in Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie 95/46 vorgesehen und könne nicht im Wege der Auslegung eingeschränkt werden. Dass die personenbezogenen Daten bei Ausübung einer wirtschaftlichen Tätigkeit erhoben würden, d. h. beim Verkauf eines Flugscheins, der zu einer Dienstleistung berechtige, könne die Anwendung der Richtlinie, insbesondere die Anwendung ihres Artikels 25, auf einem Gebiet, das von ihrem Geltungsbereich ausgeschlossen sei, nicht rechtfertigen.
74. Zweitens macht das Parlament geltend, das CBP sei kein Drittland im Sinne des Artikels 25 der Richtlinie 95/46. Artikel 25 Absatz 6 schreibe vor, dass sich die Entscheidung der Kommission, mit der sie ein angemessenes Schutzniveau für personenbezogene Daten feststelle, auf ein „Drittland“ beziehe, d. h. auf einen Staat oder eine gleichgestellte Einheit, nicht aber auf eine Verwaltungseinheit oder ‑stelle, die Teil der Exekutive eines Staates sei.
75. Drittens vertritt das Parlament die Auffassung, der Erlass der Angemessenheitsentscheidung durch die Kommission stelle insofern eine Befugnisüberschreitung dar, da die Verpflichtungserklärung, die der Angemessenheitsentscheidung beigefügt sei, ausdrücklich erlaube, dass das CBP PNR-Daten an andere Regierungsbehörden in den Vereinigten Staaten oder in Drittländer liefere.
76. Viertens ist das Parlament der Ansicht, die Angemessenheitsentscheidung beinhalte bestimmte Einschränkungen der in der Richtlinie 95/46 aufgeführten Grundsätze und Ausnahmen von ihnen, obwohl Artikel 13 der Richtlinie die Befugnis zur Regelung solcher Einschränkungen und Ausnahmen einzig und allein den Mitgliedstaaten vorbehalte. Mit dem Erlass der Angemessenheitsentscheidung habe sich die Kommission daher an die Stelle der Mitgliedstaaten gesetzt und damit gegen Artikel 13 der Richtlinie verstoßen. Durch einen Akt zur Durchführung der Richtlinie 95/46 habe sich die Kommission Zuständigkeiten angemaßt, die ausschließlich den Mitgliedstaaten vorbehalten seien.
77. Fünftens trägt das Parlament vor, die Bereitstellung der personenbezogenen Daten im Wege des „Pull“-Systems stelle keine „Übermittlung“ im Sinne des Artikels 25 der Richtlinie 95/46 dar und könne somit nicht zugelassen werden.
78. Sechstens schließlich müsse angesichts der gegenseitigen Abhängigkeit, die zwischen der Angemessenheitsentscheidung und dem Abkommen bestehe, die Angemessenheitsentscheidung als eine Maßnahme angesehen werden, die als Verpflichtungsgrund für die Übermittlung von PNR-Daten ungeeignet sei.
79. Anders als das Parlament ist der Datenschutzbeauftragte der Ansicht, die Tatsache, dass einer Person oder einer Einrichtung eines Drittlands der Zugriff auf Daten gewährt werde, könne eine Übermittlung darstellen, und Artikel 25 der Richtlinie 95/46 sei somit anwendbar. Die Beschränkung des Begriffes auf die Übermittlung durch den Versender mache es möglich, die von diesem Artikel aufgestellten Voraussetzungen zu umgehen, und beeinträchtige daher den von dieser Vorschrift vorgesehenen Datenschutz.
80. Die Kommission, unterstützt vom Vereinigten Königreich, vertritt die Ansicht, dass die Tätigkeiten der Fluggesellschaften in den Geltungsbereich des Gemeinschaftsrechts fielen und dass damit die Richtlinie 95/46 insgesamt anwendbar sei. Die Regelung, die im Rahmen der Übermittlung von PNR-Daten erlassen worden sei, beziehe sich nicht auf die Tätigkeiten eines Mitgliedstaats oder von staatlichen Stellen, die nicht zum Geltungsbereich des Gemeinschaftsrechts gehörten.
81. Die Kommission weist ferner darauf hin, dass das Abkommen im Namen der Vereinigten Staaten und nicht im Namen einer Dienststelle der Regierung unterzeichnet worden sei. Bezüglich der späteren Übermittlungen der PNR-Daten durch das CBP ist die Kommission der Ansicht, der Schutz personenbezogener Daten sei mit der Genehmigung solcher Übermittlungen nicht unvereinbar, vorausgesetzt, die Übermittlungen unterlägen geeigneten und erforderlichen Beschränkungen.
82. Die Kommission trägt schließlich vor, dass Artikel 13 der Richtlinie 95/46 in der vorliegenden Rechtssache nicht einschlägig sei und dass die „Übermittlung“ im Sinne des Artikels 25 der Richtlinie für die Fluggesellschaften darin bestehe, die PNR-Daten dem CBP aktiv zur Verfügung zu stellen. Die untersuchte Regelung beinhalte damit sehr wohl eine Übermittlung von Daten im Sinne der Richtlinie 95/46.
2. Würdigung
83. Mit diesem ersten Klagegrund macht das Parlament geltend, die Angemessenheitsentscheidung stelle einen Verstoß gegen die Richtlinie 95/46 dar, insbesondere gegen deren Artikel 3 Absatz 3, 13 und 25. Das Parlament führt insbesondere aus, die Entscheidung könne nicht wirksam auf den in der Richtlinie bestehenden Basisrechtsakt gestützt werden.
84. Wie bereits dargelegt, soll die Richtlinie 95/46 zwecks Errichtung und Funktionieren des Binnenmarktes die Hemmnisse für den freien Verkehr personenbezogener Daten beseitigen, indem sie in den Mitgliedstaaten ein gleichwertiges Schutzniveau für die Rechte und Freiheiten der Personen bezüglich der Verarbeitung dieser Daten herstellt.
85. Der Gemeinschaftsgesetzgeber wollte die vorgesehene Schutzregelung auch beachtet wissen, wenn die personenbezogenen Daten das Gebiet der Gemeinschaft verlassen. Er hat sich daher für ein System entschieden, das eine Übermittlung personenbezogener Daten in ein Drittland nur erlaubt, wenn das Drittland für diese Daten ein angemessenes Schutzniveau gewährleistet. Die Richtlinie 95/46 enthält somit den Grundsatz, dass die Übermittlung personenbezogener Daten in ein Drittland zu untersagen ist, wenn dieses Drittland kein angemessenes Schutzniveau bietet.
86. Durch Artikel 25 der Richtlinie wird den Mitgliedstaaten und der Kommission eine Reihe von Verpflichtungen auferlegt, die den Zweck haben, die Übermittlung personenbezogener Daten in Drittländer unter Berücksichtigung des Schutzniveaus, das den Daten in diesen Ländern jeweils gewährt wird, einer Kontrolle zu unterwerfen. Artikel 25 der Richtlinie bestimmt auch das Verfahren und die Kriterien, anhand deren festgestellt werden kann, dass ein Drittland für die ihm übermittelten personenbezogenen Daten ein angemessenes Schutzniveau gewährleistet.
87. Der Gerichtshof hat diese Regelung hinsichtlich der Übermittlung personenbezogener Daten in Drittländer als „Sonderregelung ..., die besondere Bestimmungen für die von den Mitgliedstaaten vorzunehmende Kontrolle der Übermittlung personenbezogener Daten in Drittländer enthält“, qualifiziert. Er hat weiter festgestellt, dass es „eine Regelung [ist], die die allgemeine Regelung von Kapitel II der Richtlinie 95/46, die die Rechtmäßigkeit der Verarbeitung personenbezogener Daten betrifft, ergänzt“(47).
88. Die Eigenart der Vorschriften, die die Übermittlung personenbezogener Daten in Drittländer regeln, besteht großenteils in der Schlüsselrolle, die der Begriff des angemessenen Schutzes spielt. Um die Bedeutung dieses Begriffes zu klären, ist dieser klar von dem Begriff des gleichwertigen Schutzes zu unterscheiden, der verlangen würde, dass das Drittland die Grundsätze der Richtlinie 95/46 in ihrer Gesamtheit tatsächlich anerkennt und anwendet.
89. Der Begriff des angemessenen Schutzes bedeutet, dass das Drittland in der Lage sein muss, einen Schutz zu garantieren, der ein annehmbares Schutzniveau für personenbezogene Daten aufweist. Diese Regelung, der die Angemessenheit des von einem Drittland gewährleisteten Schutzes zugrunde liegt, gewährt den Mitgliedstaaten und der Kommission ein weites Ermessen bei der Beurteilung der Garantien, die in dem Land, für das die Daten bestimmt sind, bestehen. Das Ermessen ist von den in Artikel 25 Absatz 2 der Richtlinie 95/46 aufgezählten Faktoren geleitet, die dabei Berücksichtigung finden können(48). Dem entspricht die vom Gemeinschaftsgesetzgeber aufgestellte Regel, dass „[d]ie Angemessenheit des Schutzniveaus, das ein Drittland bietet, ... unter Berücksichtigung aller Umstände beurteilt [wird], die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen“.
90. Wie der Gerichtshof bereits festgestellt hat, definiert die Richtlinie 95/46 nicht den Begriff „Übermittlung in ein Drittland“(49). Sie erläutert insbesondere nicht, ob der Begriff nur die Handlung umfasst, mit der ein für die Verarbeitung Verantwortlicher die personenbezogenen Daten aktiv in ein Drittland weitergibt, oder ob er sich auch auf die Fälle erstreckt, in denen die Einrichtung eines Drittlands berechtigt ist, sich Zugang zu Daten in einem Mitgliedstaat zu verschaffen. Die Richtlinie schweigt somit zu der Frage, auf welche Weise die Daten in ein Drittland übermittelt werden können.
91. Anders als das Parlament bin ich der Ansicht, dass in der vorliegenden Rechtssache der Zugang zu den PNR-Daten, den das CBP erhält, unter den Begriff „Übermittlung in ein Drittland“ fällt. Entscheidend für die Charakterisierung einer solchen Übermittlung ist nämlich meines Erachtens die Verbringung der Daten von einem Mitgliedstaat in ein Drittland, im vorliegenden Fall in die Vereinigten Staaten(50). Keine Rolle spielt dabei, ob die Übermittlung durch den Versender oder den Empfänger bewirkt wird. Wie der Datenschutzbeauftragte ausführt, könnten nämlich die Voraussetzungen des Artikels 25 der Richtlinie 95/46 leicht umgangen werden, wenn diese Vorschrift auf die Übermittlungen beschränkt wäre, die der Versender bewirkt.
92. Zu betonen ist jedoch, dass Kapitel IV der Richtlinie, zu dem Artikel 25 gehört, nicht alle Übermittlungen personenbezogener Daten in Drittländer unabhängig von ihrer Art regeln soll. Das Kapitel umfasst gemäß Artikel 25 Absatz 1 der Richtlinie nur die Übermittlung personenbezogener Daten, „die Gegenstand einer Verarbeitung sind oder nach der Übermittlung verarbeitet werden sollen“.
93. Wie erinnerlich, bezeichnet nach Artikel 2 Buchstabe b der Richtlinie 95/46 eine Verarbeitung personenbezogener Daten „jeden ... Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, ... das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung“(51).
94. Unabhängig von ihrer Eigenart, die, wie wir gesehen haben, weitgehend auf dem Begriff der Angemessenheit beruht, muss die Regelung über die Übermittlung personenbezogener Daten in Drittländer die Vorschriften über den Geltungsbereich der Richtlinie 95/46 einhalten, zu der sie gehört(52).
95. Auch ist eine Übermittlung in ein Drittland von den Bestimmungen des Artikels 25 der Richtlinie 95/46 nur erfasst, wenn sie personenbezogene Daten betrifft, deren Verarbeitung unabhängig davon, ob sie gegenwärtig innerhalb der Gemeinschaft stattfindet oder nur im Drittland geplant ist, in den Geltungsbereich der Richtlinie fällt. Nur unter dieser Voraussetzung kann eine Angemessenheitsentscheidung ein gültiger Akt zur Durchführung der Richtlinie 95/46 sein.
96. Vom sachlichen Geltungsbereich her gesehen gilt die Richtlinie nicht für jede Verarbeitung personenbezogener Daten, die zu einer der in Artikel 2 Buchstabe b genannten Arten von Vorgängen gehört. Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie 95/46 nämlich bestimmt, dass sie keine Anwendung auf die Verarbeitung personenbezogener Daten findet, „die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI des Vertrags über die Europäische Union, und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt) und die Tätigkeiten des Staates im strafrechtlichen Bereich“(53).
97. Meines Erachtens stellen das Abfragen der Fluggästedaten aus den von den Fluggesellschaften im Hoheitsgebiet der Mitgliedstaaten betriebenen Buchungssystemen sowie die Benutzung und die Bereitstellung dieser Daten durch bzw. für das CBP eine Verarbeitung von personenbezogenen Daten dar, die die öffentliche Sicherheit betreffen und staatliche Tätigkeiten im strafrechtlichen Bereich zum Gegenstand haben. Diese Verarbeitung ist infolgedessen vom sachlichen Geltungsbereich der Richtlinie 95/46 ausgeschlossen.
98. Der Wortlaut der Angemessenheitsentscheidung offenbart den Zweck der Verarbeitung, der die personenbezogenen Daten der Fluggäste unterliegen. So weist die Kommission zunächst darauf hin, dass die Rechtsgrundlagen für die geforderte Übermittlung personenbezogener Daten aus den PNR an das CBP ein im November 2001 in den USA erlassenes Gesetz sowie Durchführungsvorschriften seien, die das CBP aufgrund dieses Gesetzes erlassen habe(54), und stellt sodann fest, dass die amerikanischen Rechtsvorschriften u. a. „die Verbesserung der Sicherheitslage“ beträfen(55). Es wird auch darauf hingewiesen, dass „[d]ie Gemeinschaft ... die USA uneingeschränkt im Kampf gegen den Terrorismus innerhalb der Bestimmungen des Gemeinschaftsrechts [unterstützt]“(56).
99. Ferner heißt es in der fünfzehnten Begründungserwägung der Angemessenheitsentscheidung, dass „PNR-Daten ... ausschließlich verwendet [werden] für Zwecke der Verhütung und Bekämpfung des Terrorismus und damit verknüpfter Straftaten, anderer schwerer, ihrem Wesen nach länderübergreifender Straftaten, einschließlich der internationalen organisierten Kriminalität, und der Flucht vor Haftbefehlen bzw. vor Gewahrsamnahme im Zusammenhang mit jenen Straftaten“.
100. Die Richtlinie 95/46, insbesondere Artikel 25 Absatz 6, ist meines Erachtens keine geeignete Rechtsgrundlage dafür, dass die Kommission einen Durchführungsakt wie die Entscheidung über die Angemessenheit des Schutzes von personenbezogenen Daten erlässt, die einer Verarbeitung unterliegen, für die die Richtlinie 95/46 ausdrücklich nicht gilt. Würde die Übermittlung dieser Daten auf der Grundlage dieser Richtlinie genehmigt, würde durch die Hintertür der Geltungsbereich der Richtlinie erweitert.
101. Man muss sich aber vor Augen halten, dass die Richtlinie 95/46, die aufgrund des Artikels 100a EG erlassen wurde, Schutzgrundsätze definiert, die auf die Verarbeitung personenbezogener Daten anzuwenden sind, sobald die Tätigkeiten des für die Verarbeitung Verantwortlichen in den Geltungsbereich des Gemeinschaftsrechts fallen, dass sie aber gerade wegen der Wahl der Rechtsgrundlage nicht geeignet ist, staatliche Tätigkeiten zu regeln, die nicht in den Geltungsbereich des Gemeinschaftsrechts fallen, wie z. B. solche, die die öffentliche Sicherheit betreffen oder Strafverfolgungszwecke verfolgen(57).
102. Zwar hat die Datenverarbeitung, die in der Erhebung und Speicherung von Fluggästedaten durch die Fluggesellschaften besteht, im Allgemeinen ein kommerzielles Ziel, da sie in unmittelbarem Zusammenhang mit dem Ablauf des von den Luftfahrtunternehmen durchgeführten Fluges steht. Auch ist davon auszugehen, dass die PNR-Daten von den Fluggesellschaften zunächst im Rahmen einer Tätigkeit erhoben werden, die unter das Gemeinschaftsrecht fällt, d. h. im Rahmen des Verkaufs eines Flugscheins, der zu einer Dienstleistung berechtigt. Die Datenverarbeitung jedoch, die in der Angemessenheitsentscheidung Berücksichtigung findet, ist von ganz anderer Art, da sie eine der ursprünglichen Datenerhebung nachfolgende Phase erfasst. Sie erstreckt sich, wie ausgeführt, auf das Abfragen der Fluggästedaten aus den von den Fluggesellschaften im Hoheitsgebiet der Mitgliedstaaten betriebenen Buchungssystemen sowie auf die Benutzung und die Bereitstellung dieser Daten durch bzw. für das CBP.
103. In Wirklichkeit bezieht sich die Angemessenheitsentscheidung nicht auf eine Datenverarbeitung, die für die Durchführung einer Dienstleistung erforderlich ist, sondern auf eine solche, die zum Schutz der öffentlichen Sicherheit und zu Strafverfolgungszwecken für erforderlich angesehen wird. Hierin liegt der Zweck der Übermittlung und Verarbeitung der PNR-Daten. Infolgedessen kann der Umstand, dass die personenbezogenen Daten in Ausübung einer wirtschaftlichen Tätigkeit erhoben wurden, nicht die Anwendung der Richtlinie 95/46, insbesondere nicht die des Artikels 25 der Richtlinie, auf einem Gebiet rechtfertigen, das vom Geltungsbereich der Richtlinie ausgeschlossen ist.
104. Diese Gesichtspunkte reichen meines Erachtens für den Schluss, dass, wie das Parlament meint, die Kommission nach Artikel 25 der Richtlinie 95/46 nicht befugt war, eine Entscheidung über die Angemessenheit des Schutzes von personenbezogenen Daten zu erlassen, die im Rahmen und zum Zwecke einer Verarbeitung übermittelt werden, die ausdrücklich vom Geltungsbereich der Richtlinie ausgeschlossen ist(58).
105. Die Angemessenheitsentscheidung stellt somit einen Verstoß gegen den in der Richtlinie 95/46 liegenden Basisrechtsakt dar, insbesondere gegen deren Artikel 25, der für sie nicht die richtige Rechtsgrundlage ist. Ich bin daher der Auffassung, dass sie aus diesem Grund für nichtig zu erklären ist.
106. Da ich ferner der Ansicht bin, dass die Angemessenheitsentscheidung nicht in den Geltungsbereich der Richtlinie 95/46 fällt, ist die Entscheidung nicht, wie das Parlament in seinem zweiten Klagegrund vorschlägt, im Hinblick auf die wesentlichen Grundsätze der Richtlinie 95/46 zu prüfen(59). Ich bin somit der Ansicht, dass der zweite Klagegrund nicht zu prüfen ist.
107. Der dritte und der vierte Klagegrund der vorliegenden Klage, die ich beide nur hilfsweise untersuchen werde, können meines Erachtens nicht getrennt geprüft werden, denn die Prüfung, ob die Angemessenheitsentscheidung gegen die Grundrechte verstößt, umfasst zwangsläufig die Prüfung, ob dieser Rechtsakt im Hinblick auf das von ihm verfolgte Ziel den Verhältnismäßigkeitsgrundsatz berücksichtigt. Ich schlage daher dem Gerichtshof vor, den dritten und den vierten Klagegrund zusammen zu prüfen.
B – Zu den Klagegründen eines Verstoßes gegen die Grundrechte und eines Verstoßes gegen den Verhältnismäßigkeitsgrundsatz
108. Das Parlament führt aus, die Angemessenheitsentscheidung beachte nicht das Recht auf Schutz personenbezogener Daten, wie es in Artikel 8 EMRK garantiert werde. An diesem Artikel gemessen stelle die Entscheidung einen Eingriff in das Privatleben dar, der nicht gesetzlich vorgesehen sei, da es sich um eine Maßnahme handele, die weder zugänglich noch vorhersehbar sei. Die Maßnahme stehe ferner in keinem angemessenen Verhältnis zu dem angestrebten Ziel, insbesondere im Hinblick auf die überhöhte Anzahl der verlangten PNR-Datenelemente und die übermäßig lange Aufbewahrung der Daten.
109. Mit der Klage in der Rechtssache C‑317/04 auf Nichtigerklärung des Beschlusses des Rates macht das Parlament ebenfalls diese beiden Klagegründe geltend und bringt zu deren Begründung Argumente vor, die sich großenteils überschneiden. Meines Erachtens sind diese Klagegründe, die in den beiden dem Gerichtshof vorgelegten Rechtssachen vorgebracht werden, gemeinsam zu prüfen, was ich im Rahmen meiner Ausführungen in der Rechtssache C‑317/04 tun werde.
110. Aus dem schriftsätzlichen Vorbringen der Beteiligten ergibt sich nämlich, dass die einzelnen Teile der Regelung über die Verarbeitung der PNR-Daten durch das CBP(60), bestehend aus dem Abkommen, wie es durch den Beschluss des Rates genehmigt wurde, aus der Angemessenheitsentscheidung und aus der Verpflichtungserklärung des CBP, die der genannten Entscheidung der Kommission beigefügt ist, im Hinblick auf das Recht auf Achtung des Privatlebens nicht getrennt betrachtet werden können. Die Beteiligten nehmen zur Stützung ihrer Darlegungen auch wiederholt Bezug auf den einen oder anderen dieser Rechtsakte.
111. Die gegenseitige Abhängigkeit der drei Teile der PNR-Regelung voneinander geht ausdrücklich aus dem Abkommen selbst hervor. Sowohl die Verpflichtungserklärung des CBP als auch die Angemessenheitsentscheidung werden in der Präambel des Abkommens genannt. In Absatz 1 des Abkommens wird festgestellt, dass das CBP „streng nach Maßgabe [der Angemessenheitsentscheidung], solange [diese Entscheidung] gilt“, Zugriff auf PNR-Daten erhält. Auch verhalten sich nach Absatz 2 des Abkommens die dort beschriebenen Fluggesellschaften, wenn sie die PNR-Daten „nach den Vorgaben des CBP gemäß dem US-amerikanischen Recht“ zu verarbeiten haben, „streng nach Maßgabe [der Angemessenheitsentscheidung], solange [die Entscheidung] gilt“. Absatz 3 des Abkommens schließlich bestimmt, dass „[d]as CBP ... [die Entscheidung] zur Kenntnis [nimmt] und erklärt, den im Anhang beigefügten Verpflichtungen nachzukommen“.
112. Hieraus ergibt sich, dass das Recht auf Zugang zu den PNR-Daten, das dem CBP aufgrund des Abkommens eingeräumt wird, sowie die Verpflichtung zur Verarbeitung dieser Daten, die den im Abkommen beschriebenen Fluggesellschaften obliegt, strikt und konkret an die Angemessenheitsentscheidung gebunden sind.
113. Die gegenseitige Abhängigkeit der drei Teile der PNR-Regelung voneinander sowie der Umstand, dass die Klagegründe des Verstoßes gegen die Grundrechte und gegen den Verhältnismäßigkeitsgrundsatz vom Parlament in beiden dem Gerichtshof zur Entscheidung vorgelegten Rechtssachen geltend gemacht werden, veranlassen mich, diese Klagegründe dahin zu verstehen, dass sie auf die Feststellung der Unvereinbarkeit der PNR-Regelung in ihren drei Teilen mit dem von Artikel 8 EMRK garantierten Recht auf Achtung des Privatlebens gerichtet sind. Meines Erachtens wäre es gekünstelt, die Angemessenheitsentscheidung zu prüfen, ohne das Abkommen, das den Fluggesellschaften bestimmte Verpflichtungen auferlegt, zu berücksichtigen, und umgekehrt das Abkommen zu untersuchen, ohne die sonstigen anwendbaren Vorschriften zu würdigen, auf die das Abkommen ausdrücklich Bezug nimmt.
114. Da das System aus mehreren untrennbar miteinander verbundenen Elementen besteht, darf die Prüfung somit nicht willkürlich aufgespalten werden.
115. Der Eingriff in das Privatleben erfolgt unter diesem Aspekt durch die Gesamtregelung, die aus dem Abkommen, wie es durch den Beschluss des Rates genehmigt worden ist, der Angemessenheitsentscheidung und der Verpflichtungserklärung des CBP gebildet wird. Für die Prüfung, ob dieser Eingriff gesetzlich vorgesehen ist, ob mit dem Eingriff ein legitimes Ziel angestrebt wird und ob der Eingriff in einer demokratischen Gesellschaft erforderlich ist, ist, wie das Parlament es in seinen beiden Klageschriften getan hat, die Gesamtregelung dieses „dreigängigen“ Systems zu berücksichtigen. Um einen Blick auf die gesamte PNR-Regelung zu erhalten, werde ich diese Prüfung im Rahmen der Klage auf Nichtigerklärung des Beschlusses des Rates vornehmen.
VI – Zur Klage auf Nichtigerklärung des Beschlusses des Rates (Rechtssache C‑317/04)
A – Zum Klagegrund, mit dem geltend gemacht wird, dass mit Artikel 95 EG eine falsche Rechtsgrundlage für den Beschluss des Rates gewählt worden sei
1. Vorbringen der Beteiligten
116. Das Europäische Parlament macht geltend, Artikel 95 EG sei keine geeignete Rechtsgrundlage für den Beschluss des Rates. Dieser beinhalte und bezwecke nämlich nicht die Errichtung und das Funktionieren des Binnenmarktes. Ziel des Beschlusses sei es vielmehr, die Verarbeitung personenbezogener Daten zu legalisieren, die den Fluggesellschaften im Hoheitsgebiet der Gemeinschaft nach amerikanischem Recht vorgeschrieben sei. Der Beschluss lasse nicht erkennen, inwieweit diese Legalisierung der Datenübermittlung in ein Drittland zur Errichtung oder zum Funktionieren des Binnenmarktes beitrage.
117. Auch der Inhalt des Beschlusses des Rates rechtfertige nicht die Heranziehung des Artikels 95 EG als Rechtsgrundlage. Der Beschluss bestehe darin, für das CBP ein Recht auf Zugang zu den von den Fluggesellschaften im Hoheitsgebiet der Gemeinschaft betriebenen Buchungssystemen nach Maßgabe des amerikanischen Rechts zu begründen, und zwar zur Durchführung von Flügen zwischen den Vereinigten Staaten und den Mitgliedstaaten zwecks Verhütung und Bekämpfung des Terrorismus. Die Verwirklichung dieser Ziele falle jedoch nicht in den Geltungsbereich des Artikels 95 EG.
118. Artikel 95 EG könne die Zuständigkeit der Gemeinschaft für den Abschluss des Abkommens nicht begründen, da dieses sich auf eine Datenverarbeitung zum Zwecke der öffentlichen Sicherheit beziehe und somit vom Geltungsbereich der Richtlinie 95/46, die auf Artikel 95 EG beruhe, ausgeschlossen sei.
119. Der Rat vertritt demgegenüber die Auffassung, der Beschluss sei zu Recht auf Artikel 95 EG gestützt worden. Dieser Artikel sei als Rechtsgrundlage für Maßnahmen geeignet, die gewährleisten sollten, dass die Wettbewerbsbedingungen im Binnenmarkt nicht verfälscht würden. Das Abkommen solle Wettbewerbsverzerrungen zwischen den Fluggesellschaften der Mitgliedstaaten und zwischen diesen und den Fluggesellschaften der Drittländer beseitigen, die sich sonst in Anbetracht der amerikanischen Forderungen aufgrund des Schutzes der Rechte und Freiheiten von Personen einstellen könnten. Die Wettbewerbsbedingungen zwischen den Fluggesellschaften der Mitgliedstaaten, die Auslands-Passagierflüge in die oder aus den Vereinigten Staaten durchführten, hätten verfälscht werden können, wenn nur einige von ihnen den Vereinigten Staaten Zugang zu ihren Datenbeständen gewährt hätten.
120. Dem gleichen Gedankengang folgend führt der Rat aus, dass die Fluggesellschaften, die den amerikanischen Forderungen nicht Folge leisteten, von den Vereinigten Staaten mit Geldbußen hätten belegt werden können, eventuelle Verspätungen ihrer Flüge hätten hinnehmen müssen und Passagiere an andere Fluggesellschaften, die mit den Vereinigten Staaten Vereinbarungen getroffen hätten, hätten verlieren können. Andererseits hätten manche Mitgliedstaaten diejenigen Fluggesellschaften, die die fraglichen personenbezogenen Daten übermittelten, mit Sanktionen belegen können, wohingegen andere Mitgliedstaaten nicht zwangsläufig genauso vorgegangen wären.
121. Daher sei der Rat der Auffassung, dass mangels einer gemeinsamen Regelung des Zugangs der Vereinigten Staaten zu den PNR-Daten die Gefahr einer Verfälschung der Wettbewerbsbedingungen bestanden hätte und die Einheit des Binnenmarktes erheblich beeinträchtigt worden wäre. Es sei daher erforderlich gewesen, harmonisierte Bedingungen aufzustellen, die den Zugang der Vereinigten Staaten zu den genannten Daten unter Wahrung der Anforderungen der Gemeinschaft bezüglich der Achtung der Grundrechte regelten. Es handele sich um die Auferlegung harmonisierter Verpflichtungen zu Lasten aller betroffenen Fluggesellschaften und um den äußeren Aspekt der Errichtung und des Funktionierens des Binnenmarktes.
122. Der Rat weist schließlich darauf hin, dass das Abkommen nach der aufgrund von Artikel 25 Absatz 6 der Richtlinie 95/46 erlassenen Angemessenheitsentscheidung geschlossen worden sei. Es sei somit angebracht und richtig gewesen, den Beschluss über den Abschluss des Abkommens auf dieselbe Rechtsgrundlage wie die Richtlinie zu stützen, nämlich auf Artikel 95 EG.
123. Die Kommission führt in ihrem Streithilfeschriftsatz aus, die Bestimmungen der Präambel des Abkommens seien der Beleg dafür, dass für die Vereinigten Staaten das entscheidende Ziel der Kampf gegen den Terrorismus sei, während für die Gemeinschaft das Hauptziel darin liege, die wesentlichen Elemente ihrer Rechtsvorschriften über den Schutz der personenbezogenen Daten aufrechtzuerhalten.
124. Das Parlament beanstande zwar, dass Artikel 95 EG als Rechtsgrundlage für den Beschluss des Rates gewählt worden sei, biete jedoch keine überzeugende Alternative an. Artikel 95 EG sei die „natürliche“ Rechtsgrundlage für den Beschluss des Rates, da die externe Dimension des Schutzes der personenbezogenen Daten auf den Artikel des EG-Vertrags gestützt werden müsse, der die Grundlage der internen Maßnahme, d. h. der Richtlinie 95/46, sei, zumal dieser externe Aspekt ausdrücklich in den Artikeln 25 und 26 der Richtlinie vorgesehen sei. Außerdem erweise sich Artikel 95 EG angesichts des engen Bandes und der Wechselbeziehung zwischen dem Abkommen, der Angemessenheitsentscheidung und der Verpflichtungserklärung des CBP als richtige Rechtsgrundlage. Jedenfalls sei der Rat befugt gewesen, das Abkommen auf der Grundlage dieses Artikels zu schließen, denn die Richtlinie 95/46 wäre im Sinne des Urteils AETR(61) beeinträchtigt worden, wenn die Mitgliedstaaten getrennt oder gemeinsam ein derartiges Abkommen außerhalb des Rahmens der Gemeinschaft geschlossen hätten.
125. Die Kommission macht schließlich geltend, die ursprüngliche Verarbeitung der fraglichen Daten durch die Fluggesellschaften sei zu kommerziellen Zwecken erfolgt. Auch stelle die Benutzung der Daten durch die Vereinigten Staaten diese nicht außerhalb des Wirkungsbereichs der Richtlinie 95/46.
2. Würdigung
126. Mit dem ersten Klagegrund ersucht das Parlament den Gerichtshof um Entscheidung, ob Artikel 95 EG die richtige Rechtsgrundlage für den Beschluss des Rates über den Abschluss eines völkerrechtlichen Abkommens wie des hier fraglichen durch die Gemeinschaft darstellt. Um diese Frage zu beantworten, ist die ständige Rechtsprechung heranzuziehen, der zufolge sich die Wahl der Rechtsgrundlage eines Gemeinschaftsrechtsakts auf objektive, gerichtlich nachprüfbare Umstände gründen muss, zu denen insbesondere das Ziel und der Inhalt des Rechtsakts gehören(62). „Im Rahmen des Zuständigkeitssystems der Gemeinschaft kann die Wahl der Rechtsgrundlage eines Rechtsakts nicht allein davon abhängen, welches nach der Überzeugung eines Organs das angestrebte Ziel ist“(63).
127. Der Gerichtshof hat festgestellt, dass „[d]ie Wahl der geeigneten Rechtsgrundlage ... verfassungsrechtliche Bedeutung [hat]. Da die Gemeinschaft nur über begrenzte Ermächtigungen verfügt, muss sie [den betreffenden völkerrechtlichen Vertrag] mit einer Bestimmung des EG-Vertrags verknüpfen, die sie ermächtigt, einen derartigen Rechtsakt zu genehmigen“. Der Gerichtshof ist der Auffassung, dass „[d]ie Heranziehung einer falschen Rechtsgrundlage ... daher zur Ungültigkeit des Abschlussaktes selbst und damit der Zustimmung der Gemeinschaft führen [kann], durch das von ihr geschlossene Abkommen gebunden zu sein“(64).
128. Nach der vom Gerichtshof angewandten Prüfungsmethode werde ich somit untersuchen, ob das Ziel und der Inhalt des Abkommens den Rat ermächtigten, auf der Grundlage des Artikels 95 EG einen Beschluss zu fassen, mit dem gemäß seinem Artikel 1 das Abkommen im Namen der Gemeinschaft genehmigt wurde.
129. Bezüglich des Zieles des Abkommens geht aus Absatz 1 seiner Präambel ausdrücklich hervor, dass das Abkommen zwei Ziele verfolgt, nämlich zum einen die Verhütung und Bekämpfung des Terrorismus und damit verbundener Verbrechen sowie sonstiger schwerer Verbrechen transnationaler Art einschließlich der organisierten Kriminalität(65) und zum anderen die Achtung grundlegender Rechte und Freiheiten, insbesondere den Schutz der Privatsphäre.
130. Die Verfolgung des Zieles des Kampfes gegen den Terrorismus und andere schwere Verbrechen wird durch die Bezugnahme in Absatz 2 der Präambel des Abkommens auf die nach den Terroranschlägen vom 11. September 2001 erlassenen Gesetze und Vorschriften der Vereinigten Staaten belegt, nach denen jede Fluggesellschaft, die Auslands-Passagierflüge in die oder aus den Vereinigten Staaten durchführt, verpflichtet ist, dem CBP elektronischen Zugriff auf die PNR-Daten zu gewähren, soweit solche Daten erfasst und in den computergestützten Buchungs-/Abfertigungssystemen gespeichert werden.
131. Was das Ziel der Achtung der Grundrechte, insbesondere des Schutzes der Privatsphäre angeht, so tritt dieses durch die Bezugnahme auf die Richtlinie 95/46 in Erscheinung. Es handelt sich folglich darum, den natürlichen Personen, die befördert werden, den Schutz ihrer personenbezogenen Daten zu garantieren.
132. Diese Garantie wird sowohl im Rahmen der Verpflichtungserklärung des CBP vom 11. Mai 2004 verfolgt, die laut Absatz 4 der Präambel des Abkommens im Federal Register veröffentlicht wird, als auch im Rahmen der Angemessenheitsentscheidung, die in Absatz 5 der genannten Präambel erwähnt wird.
133. Diese beiden Ziele müssen gemäß Absatz 1 der Präambel des Abkommens gleichzeitig angestrebt werden. Das Abkommen, das zwischen der Gemeinschaft und den Vereinigten Staaten geschlossen wurde, versucht somit, die beiden Ziele in Einklang zu bringen, d. h., es beruht auf dem Gedanken, dass der Kampf gegen den Terrorismus und andere schwere Verbrechen unter Wahrung der Grundrechte, insbesondere des Schutzes der Privatsphäre und vor allem des Schutzes der personenbezogenen Daten, geführt werden muss.
134. Der Inhalt des Abkommens bestätigt dieses Ergebnis. Absatz 1 des Abkommens sieht vor, dass das CBP elektronischen Zugriff auf PNR-Daten aus den von den Fluggesellschaften im Hoheitsgebiet der Mitgliedstaaten der Europäischen Gemeinschaft betriebenen Buchungs‑/Abfertigungssystemen „streng nach Maßgabe“ der Angemessenheitsentscheidung erhält, „solange dieser Beschluss gilt“. Hieraus entnehme ich, dass das aus dem Zugriff auf die PNR-Daten der Fluggäste bestehende Mittel zur Bekämpfung des Terrorismus und anderer schwerer Straftaten nach dem Abkommen nur zulässig ist, solange anerkannt ist, dass in den Vereinigten Staaten für diese Daten ein angemessenes Schutzniveau besteht. Der Inhalt dieser Bestimmung des Abkommens bringt damit zum Ausdruck, dass das Ziel des Kampfes gegen den Terrorismus und andere schwere Straftaten einerseits und das des Schutzes der personenbezogenen Daten andererseits gleichzeitig verfolgt werden.
135. Dieselbe Feststellung gilt auch bei der Prüfung des Absatzes 2 des Abkommens, nach dem die Fluggesellschaften, die Auslands-Passagierflüge in die oder aus den Vereinigten Staaten durchführen, verpflichtet sind, die in ihren computergestützten Buchungssystemen enthaltenen Daten „nach den Vorgaben des CBP gemäß dem US-amerikanischen Recht und streng nach Maßgabe [der Angemessenheitsentscheidung zu verarbeiten], solange der Beschluss gilt“. Auch hier ist die Verpflichtung, die die Fluggesellschaften künftig aus Gründen des Kampfes gegen den Terrorismus und andere schwere Straftaten trifft, eng mit einem angemessenen Schutz der personenbezogenen Daten der Fluggäste verbunden.
136. Andere Bestimmungen des Abkommens sollen das Ziel des Kampfes gegen den Terrorismus und andere schwere Straftaten sowie das des Schutzes personenbezogener Daten der Fluggäste durchführen.
137. So wird speziell zum Ziel des Schutzes der personenbezogenen Daten der Fluggäste in Absatz 3 des Abkommens festgestellt, dass „[d]as CBP [die Angemessenheitsentscheidung] zur Kenntnis [nimmt] und erklärt, den im Anhang beigefügten Verpflichtungen nachzukommen“.
138. Ferner befasst sich Absatz 6 des Abkommens mit der Möglichkeit, dass die Europäische Union ihrerseits ein Fluggast-Identifikationssystem einführt, das die Fluggesellschaften verpflichtet, den zuständigen Behörden den Zugang zu PNR-Daten von Personen zu gestatten, deren Reiseweg einen Flug in die oder aus der Europäischen Union einschließt. Für den Fall, dass die Europäische Union diese Maßnahme einführt, sieht das Abkommen vor, dass das Department of Homeland Security, „soweit dies möglich ist, aktiv und streng nach dem Gegenseitigkeitsprinzip die Zusammenarbeit der seiner Zuständigkeit unterliegenden Fluggesellschaften [fördert]“. Hierbei handelt es sich um eine Bestimmung, die wiederum das Ziel des Kampfes gegen den Terrorismus und andere schwere Straftaten zum Ausdruck bringt.
139. Entgegen bestimmten Ausführungen der Kommission ist es meines Erachtens daher schwer zu begründen, dass das Ziel des Kampfes gegen den Terrorismus und andere schwere Straftaten einseitig und ausschließlich von den Vereinigten Staaten verfolgt wird, während die Gemeinschaft nur den Schutz der personenbezogenen Daten der Fluggäste zum Ziel hat(66). Ich bin der Auffassung, dass das Ziel und der Inhalt des Abkommens aus der Sicht jeder Vertragspartei in Wirklichkeit gleichzeitig darin besteht, das Ziel des Kampfes gegen den Terrorismus und andere schwere Straftaten mit dem Ziel des Schutzes der personenbezogenen Daten der Fluggäste in Einklang zu bringen. Damit ruft das Abkommen eine Zusammenarbeit zwischen den Vertragsparteien ins Leben, mit deren Hilfe eben diese beiden Ziele gleichzeitig erreicht werden sollen.
140. Unter Berücksichtigung des Zieles und des Inhalts des Abkommens, wie sie hier beschrieben worden sind, bin ich der Ansicht, dass Artikel 95 EG nicht die richtige Rechtsgrundlage für den Beschluss des Rates darstellt.
141. Hierzu ist daran zu erinnern, dass der Rat nach Artikel 95 Absatz 1 EG die Maßnahmen zur Angleichung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten erlässt, welche die Errichtung und das Funktionieren des Binnenmarktes zum Gegenstand haben.
142. Die Zuständigkeit, die der Gemeinschaft durch diesen Artikel des EG-Vertrags zugewiesen wird, hat einen horizontalen Charakter, d. h., sie ist nicht auf ein bestimmtes Gebiet beschränkt. Der Umfang der Gemeinschaftszuständigkeit wird somit „nach Maßgabe eines funktionellen Kriteriums [bestimmt], das sich horizontal auf sämtliche zur Verwirklichung des ‚Binnenmarkts‘ bestimmten Maßnahmen erstreckt“(67).
143. Aus der Rechtsprechung des Gerichtshofes ergibt sich ferner, dass Maßnahmen nach Artikel 95 Absatz 1 EG die Bedingungen für die Errichtung und das Funktionieren des Binnenmarktes verbessern sollen und tatsächlich dieses Ziel verfolgen müssen, indem sie zur Beseitigung von Hemmnissen für den freien Waren- oder Dienstleistungsverkehr oder aber von Wettbewerbsverzerrungen beitragen(68). Auch kann nach dieser Rechtsprechung Artikel 95 EG zwar als Rechtsgrundlage herangezogen werden, um der Entstehung neuer Hindernisse für den Handel infolge einer heterogenen Entwicklung der nationalen Rechtsvorschriften vorzubeugen, doch muss das Entstehen solcher Hindernisse wahrscheinlich sein und die fragliche Maßnahme ihre Vermeidung bezwecken(69).
144. Wie ich bereits ausgeführt habe, trägt der Rat vor, sein Beschluss sei zu Recht auf der Grundlage des Artikels 95 EG erlassen worden, da das Abkommen mit den Vereinigten Staaten jede Wettbewerbsverzerrung zwischen den Fluggesellschaften der Mitgliedstaaten sowie zwischen diesen und den Fluggesellschaften der Drittländer beseitigt und damit dazu beigetragen habe, dass eine schwere Beeinträchtigung der Einheit des Binnenmarktes verhindert worden sei.
145. Zwar ist festzustellen, dass die zweite Begründungserwägung des Beschlusses des Rates Bezug nimmt auf das „[dringende Erfordernis], der unsicheren Lage der Fluggesellschaften und der Fluggäste abzuhelfen und die finanziellen Interessen der Betroffenen zu schützen“. Dieser Satz könnte so zu verstehen sein, dass er auf die Sanktionen hinweist, die die Vereinigten Staaten gegen die Fluggesellschaften verhängen können, die den Zugang zu den PNR-Daten ihrer Fluggäste verweigern; solche Sanktionen könnten finanzielle Konsequenzen für die genannten Fluggesellschaften haben. Es wäre vorstellbar, dass in einem solchen Fall die Sanktionen, die für bestimmte Fluggesellschaften nachteilige finanzielle Folgen haben, zu Wettbewerbsverzerrungen zwischen der Gesamtheit der Fluggesellschaften im Hoheitsgebiet der Mitgliedstaaten führen könnten.
146. Vorstellbar ist auch, dass ein unterschiedliches Verhalten der Mitgliedstaaten, von denen einige den Fluggesellschaften in ihrem Hoheitsgebiet unter Androhung von Sanktionen verbieten könnten, in die Übermittlung der PNR-Daten ihrer Fluggäste einzuwilligen, andere dagegen sich nicht in dieser Weise verhielten, wegen der eventuellen Wettbewerbsverzerrungen, die zwischen den Fluggesellschaften entstehen könnten, – sei es auch nur mittelbare – Auswirkungen auf das Funktionieren des Binnenmarktes haben könnte.
147. Indessen ist ein solches Ziel, Wettbewerbsverzerrungen zu verhindern, soweit es vom Rat tatsächlich verfolgt wird, nur akzessorischer Natur im Verhältnis zu den beiden Hauptzielen, dem Ziel des Kampfes gegen den Terrorismus und andere schwere Straftaten sowie dem Ziel des Schutzes der personenbezogenen Daten der Fluggäste, die beide, wie dargelegt, in den Bestimmungen des Abkommens ausdrücklich genannt und verwirklicht werden.
148. Das Ziel, die Wettbewerbsverzerrungen zwischen den Fluggesellschaften der Mitgliedstaaten – wie der Rat behauptet – oder zwischen diesen und den Fluggesellschaften der Drittländer zu verhindern, ist in den Bestimmungen des Abkommens nicht ausdrücklich aufgeführt. Dieses Ziel ist stillschweigender Natur und somit zwangsläufig gegenüber den beiden anderen Zielen akzessorisch.
149. Ich erinnere aber daran, dass, wie der Gerichtshof entschieden hat, „der bloße Umstand, dass durch einen Rechtsakt die Errichtung oder das Funktionieren des Binnenmarktes betroffen ist, nicht [genügt], um den Rückgriff auf diese Bestimmung als Rechtsgrundlage des Aktes zu rechtfertigen“(70).
150. Vor allem gilt nach ständiger Rechtsprechung des Gerichtshofes, dass ein Gemeinschaftsrechtsakt, dessen Prüfung zeigt, dass er eine mehrfache Zielsetzung hat oder mehrere Komponenten aufweist, von denen sich eine als wesentliche oder überwiegende ausmachen lässt, während die andere nur von untergeordneter Bedeutung ist, nur auf eine Rechtsgrundlage zu stützen ist, und zwar auf diejenige, die die wesentliche oder überwiegende Zielsetzung oder Komponente erfordert(71). Nur ausnahmsweise, wenn feststeht, dass gleichzeitig Ziele verfolgt werden, die untrennbar miteinander verbunden sind, ohne dass das eine im Verhältnis zum anderen zweitrangig ist und mittelbaren Charakter hat, kann ein solcher Rechtsakt auf die verschiedenen einschlägigen Rechtsgrundlagen gestützt werden(72). Dies ist meines Erachtens vorliegend nicht der Fall.
151. Selbst wenn davon auszugehen wäre, dass das Abkommen die drei Ziele in untrennbarer Weise verfolgte, müsste die Entscheidung des Rates, seinen Beschluss rechtlich nur auf Artikel 95 EG zu stützen, nach dieser Rechtsprechung dennoch als unangebracht angesehen werden.
152. Aus dem Wortlaut der zweiten Begründungserwägung des Beschlusses des Rates in ihrer Gesamtheit geht in Wirklichkeit hervor, dass mit dem „dringenden Erfordernis“, auf das sich der Rat bezieht, im Wesentlichen begründet werden soll, weshalb der Rat dem Parlament eine Frist zur Stellungnahme gemäß der Vorschrift des Artikels 300 Absatz 3 Unterabsatz 1 EG gesetzt hat, der zufolge im Rahmen des Verfahrens beim Abschluss der Abkommen „[d]as Europäische Parlament ... seine Stellungnahme innerhalb einer Frist [abgibt], die der Rat entsprechend der Dringlichkeit festlegen kann“. Dieser Artikel bestimmt auch, dass, wenn „innerhalb dieser Frist keine Stellungnahme [ergeht], ... der Rat einen Beschluss fassen [kann]“. So lag es im Verfahren, nach dem der Beschluss des Rates erlassen wurde.
153. Mit anderen Worten, falls „[das dringende Erfordernis], der unsicheren Lage der Fluggesellschaften und der Fluggäste abzuhelfen und die finanziellen Interessen der Betroffenen zu schützen“, im Verfahren zur Einführung einer Regelung der PNR-Daten tatsächlich Berücksichtigung finden konnte, so hat diese Berücksichtigung meiner Meinung nach eher im Rahmen des Verfahrens als bei der Festlegung des Zieles und des Inhalts des Abkommens eine Rolle gespielt.
154. Was das Vorbringen des Rates und der Kommission anbelangt, ein Rechtsakt bezüglich der externen Dimension des Schutzes personenbezogener Daten müsse auf dieselbe Rechtsgrundlage wie die interne Maßnahme, d. h. die Richtlinie 95/46, gestützt werden, so ergibt sich nach einer Entscheidung des Gerichtshofes daraus, dass eine besondere Bestimmung des EG-Vertrags als Rechtsgrundlage für den Erlass interner Rechtsakte gewählt worden ist, nicht schon, dass für die Billigung einer völkerrechtlichen Übereinkunft mit ähnlichem Gegenstand die gleiche Rechtsgrundlage zu wählen wäre(73). Überdies habe ich gezeigt, dass es weder wesentliches Ziel noch Inhalt des Abkommens ist, die Bedingungen für das Funktionieren des Binnenmarktes zu verbessern, während die auf der Grundlage von Artikel 95 EG erlassene Richtlinie 95/46 „durch die Harmonisierung der nationalen Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten den freien Verkehr dieser Daten zwischen Mitgliedstaaten sicherstellen [soll]“(74).
155. Nach alledem hat die Prüfung des Zieles und des Inhalts des Abkommens meines Erachtens ergeben, dass Artikel 95 EG nicht die richtige Rechtsgrundlage für den Beschluss des Rates darstellt.
156. Ich schlage daher dem Gerichtshof vor, dem ersten Klagegrund des Parlaments stattzugeben. Der Beschluss des Rates ist somit wegen der Wahl einer falschen Rechtsgrundlage für nichtig zu erklären.
157. Es wäre an dieser Stelle zwar interessant, der Frage nachzugehen, welches die richtige Rechtsgrundlage für diesen Beschluss wäre. Der Gerichtshof ist jedoch mit dieser schwierigen Frage im Rahmen der vorliegenden Rechtssache nicht befasst. Ich werde daher zu dieser Frage und allgemeiner zum Wesen der PNR-Regelung, wie sie mit den Vereinigten Staaten ausgehandelt wurde, nur einige Bemerkungen machen.
158. Entgegen einer vom Rat vertretenen Auffassung kann der Umstand, dass die PNR-Regelung nicht im Rahmen der Bestimmungen des EU-Vertrags erlassen wurde, meines Erachtens kein Beweis dafür sein, dass die Betrachtungsweise des Rates und der Kommission rechtlich zutreffend ist.
159. Allgemeiner gesagt, meine ich, dass ein Rechtsakt über das Abfragen und die Benutzung personenbezogener Daten durch eine Einheit, die die innere Sicherheit eines Staates gewährleisten soll, sowie über die Bereitstellung dieser Daten für eine solche Einheit vergleichbar ist mit einem Akt der Zusammenarbeit zwischen staatlichen Stellen (75).
160. Wird ferner eine juristische Person zu einer solchen Datenverarbeitung und zur Übermittlung dieser Daten verpflichtet, so scheint mir dies nicht weit ab von einem unmittelbaren Datenaustausch zwischen staatlichen Stellen zu liegen(76). Entscheidend ist die verbindliche Weitergabe von Daten für Sicherheits- und Strafverfolgungszwecke, nicht aber ihre spezielle Ausgestaltung in dem einen oder anderen Fall. Die vorliegende Rechtssache betrifft in Wirklichkeit eine neue Fragestellung, die die Benutzung geschäftlicher Daten für Strafverfolgungszwecke betrifft(77).
161. Das Gericht schließlich hat festgestellt, dass „der Kampf gegen den internationalen Terrorismus ... mit keinem der Ziele in Verbindung gebracht werden [kann], die die Artikel 2 EG und 3 EG der Gemeinschaft ausdrücklich zuweisen“(78).
162. Da ich nach dem Ergebnis meiner Untersuchung des ersten Klagegrundes dem Gerichtshof vorschlagen möchte, den Beschluss des Rates wegen der Wahl einer falschen Rechtsgrundlage für nichtig zu erklären, werde ich die übrigen vom Parlament zur Stützung der vorliegenden Klage geltend gemachten Klagegründe nur hilfsweise prüfen.
B – Zum Klagegrund, mit dem ein Verstoß gegen Artikel 300 Absatz 3 Unterabsatz 2 EG wegen einer Änderung der Richtlinie 95/46 geltend gemacht wird
1. Vorbringen der Beteiligten
163. Mit dem zweiten Klagegrund macht das Parlament geltend, das Abkommen zwischen der Gemeinschaft und den Vereinigten Staaten hätte nur unter Einhaltung des Verfahrens nach Artikel 300 Absatz 3 Unterabsatz 2 EG im Namen der Gemeinschaft genehmigt werden können. Diese Bestimmung sieht vor, dass „der Abschluss ... von Abkommen, die eine Änderung eines nach dem Verfahren des Artikels 251 angenommenen Rechtsakts bedingen, der Zustimmung des Europäischen Parlaments [bedarf]“. Das Parlament ist der Ansicht, das fragliche Abkommen bedinge eine Änderung der Richtlinie 95/46, die nach dem Verfahren des Artikels 251 EG angenommen worden sei.
164. Das Parlament meint, die Verpflichtungserklärung, deren Anwendung die Vereinigten Staaten nach dem Abkommen zugestimmt hätten, erfülle nicht die in der Richtlinie 95/46 festgelegten Bedingungen für die Datenverarbeitung. Daher habe das Abkommen zur Folge, dass von bestimmten wesentlichen Grundsätzen der Richtlinie abgewichen und eine Datenverarbeitung gerechtfertigt werde, die nach der Richtlinie nicht zulässig sei. In diesem Sinne ändere das Abkommen die Richtlinie 95/46. Das Parlament nennt insbesondere folgende Änderungen.
165. Erstens bezwecke das Abkommen die Verhütung und Bekämpfung des Terrorismus und anderer schwerer Straftaten, während Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie 95/46 die Datenübermittlung an staatliche Stellen eines Drittlandes aus Gründen, die mit der öffentlichen Sicherheit dieses Staates zusammenhingen, vom Anwendungsbereich der Richtlinie ausschließe. Die Mitgliedstaaten hätten hierzu spezielle Bestimmungen im Europol-Übereinkommen vorgesehen, und es könne somit davon ausgegangen werden, dass sich auf diesem Gebiet die beiden Regelungen, die auf zwei unterschiedlichen Rechtsgrundlagen beruhten, gegenseitig ergänzten.
166. Zweitens stelle die den Vereinigten Staaten eingeräumte Befugnis, unmittelbar auf personenbezogene Daten im Hoheitsgebiet der Gemeinschaft („Pull“-System) zuzugreifen, ebenfalls eine Änderung der Richtlinie 95/46 dar. Die Artikel 25 und 26 der Richtlinie enthielten nämlich keine Bestimmungen, die einem Drittland den unmittelbaren Zugriff auf diese Daten gestatteten.
167. Drittens gestatte das Abkommen, indem es auf die Verpflichtungserklärung Bezug nehme, dem CBP, im Rahmen seines Ermessens im Einzelfall PNR-Daten an andere ausländische Regierungsbehörden zu liefern, die für Terrorbekämpfung und Strafverfolgung zuständig seien. Dieses den Vereinigten Staaten eingeräumte Ermessen verstoße gegen die Richtlinie 95/46, insbesondere gegen Artikel 25 Absatz 1, wonach „die Übermittlung personenbezogener Daten ... in ein Drittland zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet“. Das Parlament ist nämlich der Ansicht, dass das Schutzsystem der Richtlinie hinfällig wäre, wenn es dem Drittland, das Gegenstand einer positiven Angemessenheitsentscheidung gewesen sei, freistünde, später die personenbezogenen Daten in andere Länder zu übermitteln, die selbst nicht Gegenstand einer Bewertung durch die Kommission gewesen seien.
168. Viertens beinhalte das Abkommen insofern eine Änderung der Richtlinie 95/46, als das CBP selbst dann, wenn es beschließen sollte, die „sensiblen“ personenbezogenen Daten nicht zu benutzen, berechtigt sei, diese zu erheben, was bereits eine Verarbeitung im Sinne des Artikels 2 Buchstabe b der Richtlinie darstelle.
169. Fünftens ändere das Abkommen die genannte Richtlinie insofern, als bei einer Verletzung der Rechte, die jeder Person durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert seien, der Rechtsschutz, wie er in Artikel 22 der Richtlinie 95/46 vorgesehen sei, nicht hinreichend gewährleistet sei. Insbesondere habe eine von der Übermittlung ihrer PNR-Daten betroffene Person keinen Rechtsbehelf, und zwar auch nicht beispielsweise im Fall von unzutreffenden Daten, bei der Benutzung sensibler Daten oder bei der Übermittlung von Daten an eine andere Behörde.
170. Sechstens schließlich macht das Parlament geltend, die Aufbewahrungsdauer der an das CBP übermittelten PNR-Daten sei übermäßig lang, was eine Änderung der Richtlinie 95/46 darstelle, insbesondere ihres Artikels 6 Absatz 1 Buchstabe e, der vorsehe, dass die Daten „nicht länger, als es für die Realisierung der Zwecke, für die sie erhoben oder weiterverarbeitet werden, erforderlich ist, ... aufbewahrt werden“.
171. Der Datenschutzbeauftragte unterstützt die Auffassung des Parlaments; seiner Ansicht nach hat das Abkommen Auswirkungen auf die Richtlinie 95/46. Das Abkommen hätte nur unter der demokratischen Kontrolle des Parlaments geschlossen werden dürfen, weil es Folgen für den Harmonisierungsgrad der nationalen Rechtsvorschriften, wie er von der Richtlinie festgelegt werde, und für die Wahrung der Grundrechte habe. Die Beeinträchtigung des von der Richtlinie vorgesehenen Schutzniveaus bezüglich der personenbezogenen Daten folge insbesondere daraus, dass die Fluggesellschaften sowohl nach dem „Pull“-System als auch nach dem „Push“-System genötigt seien, gegen die Richtlinie zu verstoßen, insbesondere gegen Artikel 6 Absatz 1 Buchstaben b und c. Da diese Beeinträchtigung des Schutzniveaus für die Daten eine Änderung der Richtlinie 95/46 beinhalte, hätten die Verfahrensgarantien des Artikels 300 Absatz 3 Unterabsatz 2 EG beachtet werden müssen. Der Datenschutzbeauftragte ist überdies der Ansicht, dass die „substantiellen Garantien“ ebenfalls nicht beachtet worden seien, vor allem deswegen, weil die Verpflichtungserklärung des CBP nicht bindend sei.
172. Demgegenüber ist der Rat, unterstützt von der Kommission, der Ansicht, dass das Abkommen keine Änderung der Richtlinie 95/46 beinhalte. Zur Begründung zitiert der Rat Absatz 8 des Abkommens, wonach das Abkommen „nicht den Zweck [hat], Ausnahmen von den Gesetzen der Vertragsparteien zu regeln oder diese zu ändern“. Er führt auch aus, dass die Richtlinie bei der Beurteilung der Angemessenheit des von einem Drittland gewährleisteten Schutzes der Kommission ein weites Ermessen einräume. Die Frage, ob die Kommission hier die Grenzen ihres Ermessens überschritten habe, sei eher Gegenstand der Klage auf Nichtigerklärung der Angemessenheitsentscheidung in der Rechtssache C‑318/04.
173. Der Rat weist weiter darauf hin, dass seiner Meinung nach die Gründe (Sicherheit, Kampf gegen den Terrorismus u. a.), aus denen das CBP die Übermittlung der PNR-Daten verlangt habe, aus der Sicht der Gemeinschaft weder Gegenstand noch Inhalt des Abkommens seien. Auch lasse die Richtlinie 95/46 zu, dass die personenbezogenen Daten im Geltungsbereich des Binnenmarktes zu legitimen Zwecken wie dem Schutz der Sicherheit eines Staates benutzt werden können.
174. Selbst wenn man davon ausgehe, dass die Gemeinschaft für den Abschluss des Abkommens keine Zuständigkeit gehabt habe, so folge hieraus doch nicht, dass das Parlament mit der Begründung, das Abkommen ändere die Richtlinie 95/46, seine Zustimmung hätte erteilen müssen. Die Zustimmung des Parlaments nämlich könne in keinem Fall dazu führen, dass sich der Zuständigkeitsbereich der Gemeinschaft erweitere.
175. Was die Befugnis des CBP zum unmittelbaren Zugriff auf die PNR-Daten angehe („Pull“-System, das gegenwärtig bis zur Installation eines „Push“-Systems Anwendung finde), so erwähne die Richtlinie 95/46 diese Möglichkeit zwar nicht ausdrücklich, doch verbiete sie sie auch nicht. Aus Sicht der Gemeinschaft seien die Bedingungen für den Datenzugriff von entscheidender Bedeutung.
176. Die Kommission fügt diesem Vorbringen hinzu, die personenbezogenen Daten seien und blieben unabhängig von dem Zweck, zu dem das CBP sie verwende, für die Fluggesellschaften in der Gemeinschaft gleichwohl geschäftliche Daten, die unter die Richtlinie 95/46 fielen und die damit nach Maßgabe dieser Richtlinie geschützt und verarbeitet werden müssten.
2. Würdigung
177. Beim Abschluss völkerrechtlicher Verträge durch die Gemeinschaft ist die Anhörung des Parlaments, abgesehen vom Bereich der gemeinsamen Handelspolitik, als die Regel anzusehen. Die Anhörung des Parlaments findet nach Artikel 300 Absatz 3 Unterabsatz 1 EG auch dann statt, wenn das Abkommen einen Bereich betrifft, in dem für die Annahme interner Vorschriften das Verfahren der Mitentscheidung des Artikels 251 EG vorgesehen ist.
178. Abweichend von der Regel schreibt Artikel 300 Absatz 3 Unterabsatz 2 EG die Zustimmung des Parlaments in vier Fällen vor, zu denen, soweit hier von Bedeutung, der Fall gehört, dass ein Abkommen „eine Änderung eines nach dem Verfahren des Artikels 251 angenommenen Rechtsakts“ bedingt. Damit wird die Kontrolle des Parlaments als Mitgesetzgeber über die etwaige Änderung eines von ihm angenommenen Rechtsakts durch ein völkerrechtliches Abkommen sichergestellt.
179. Die Richtlinie 95/46 wurde nach dem Verfahren der Mitentscheidung angenommen. Das Parlament macht somit geltend, dass der Beschluss des Rates über die Genehmigung des Abkommens im Namen der Gemeinschaft für eine Annahme unter Beachtung der Vorschriften des EG-Vertrags der Zustimmung des Parlaments bedurft hätte, da das Abkommen eine Änderung der Richtlinie bedinge.
180. Zunächst ist es für die Prüfung der Begründetheit dieses Klagegrundes meines Erachtens unerheblich, dass das Abkommen in Absatz 8 bestimmt, es habe „nicht den Zweck, Ausnahmen von den Gesetzen der Vertragsparteien zu regeln oder diese zu ändern“. Entscheidend dafür, dass Artikel 300 Absatz 3 Unterabsatz 2 EG Anwendung finden kann, ist nämlich die Frage, ob das völkerrechtliche Abkommen eine Änderung des internen Gemeinschaftsrechtsakts bedingt, d. h., ob es eine Änderung des Rechtsakts bewirkt, und zwar unabhängig von dem Umstand, dass es eine solche Änderung nicht bezweckt.
181. Der Gerichtshof hat sich zur Bedeutung des relativ unscharfen Ausdrucks „Änderung eines nach dem Verfahren des Artikels 251 angenommenen Rechtsakts“ offenbar noch nicht geäußert(79). Einige Autoren haben sich die Frage gestellt, ob das Wort „Änderung“ eine Änderung meint, die der Vorschrift des internen Rechtsakts widerspricht, oder ob jede Änderung des internen Rechtsakts, selbst wenn sie dem Sinn der Vorschrift folgt, genügt, um die Einhaltung des Zustimmungsverfahrens erforderlich zu machen(80).
182. Der in Artikel 300 Absatz 3 Unterabsatz 2 EG benutzte Ausdruck gibt auch Anlass zu der Frage, ob die Zustimmung nur geboten ist, wenn sich der Geltungsbereich des beabsichtigten Abkommens zumindest teilweise mit dem Geltungsbereich des angenommenen internen Rechtsakts deckt, oder ob die bloße Tatsache genügt, dass ein interner Rechtsakt auf der Rechtsgrundlage zustande gekommen ist, die für den Abschluss des Abkommens genutzt wird(81).
183. Allgemein gesagt bin ich der Auffassung, dass eine „Änderung“ eines nach dem Verfahren der Mitentscheidung angenommenen internen Gemeinschaftsrechtsakts durch ein völkerrechtliches Abkommen nur vorliegen kann, wenn sich der Geltungsbereich des Abkommens mit dem Geltungsbereich dieses internen Rechtsakts überschneidet. In diesem Fall nämlich kann eine Änderung des internen Rechtsakts durch das völkerrechtliche Abkommen entweder deshalb eintreten, weil das Abkommen eine Bestimmung enthält, die einer der Bestimmungen des internen Rechtsakts widerspricht, oder weil das Abkommen den internen Rechtsakt inhaltlich ergänzt, ohne ihm unmittelbar zu widersprechen.
184. In der vorliegenden Rechtssache bin ich der Ansicht, dass das Abkommen den Inhalt der Richtlinie 95/46 nicht ändern konnte.
185. Meine Auffassung gründet sich erstens darauf, dass, wie sich aus meiner Prüfung des ersten Klagegrundes ergibt, das Abkommen grundsätzlich den Kampf gegen den Terrorismus und andere schwere Straftaten bezweckt, zugleich jedoch die personenbezogenen Daten der Fluggäste schützen soll. Die Richtlinie 95/46 dagegen soll durch die Harmonisierung der nationalen Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten den freien Verkehr dieser Daten zwischen Mitgliedstaaten sicherstellen. Die beiden Rechtsakte haben somit zwei durchaus unterschiedliche Ziele; dies gilt auch dann, wenn beide den Bereich des Schutzes personenbezogener Daten betreffen(82).
186. Zweitens haben das Abkommen und die Richtlinie 95/46 unterschiedliche Geltungsbereiche, was mit der Feststellung übereinstimmt, dass ihre Ziele verschieden sind. Während nämlich das Abkommen auf die Verarbeitung personenbezogener Daten für die Ausübung von Tätigkeiten im Zusammenhang mit der inneren Sicherheit der Vereinigten Staaten und zugleich und vor allem auf Tätigkeiten im Zusammenhang mit dem Kampf gegen den Terrorismus und andere schwere Straftaten Anwendung findet, schließt Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie ausdrücklich die Verarbeitung personenbezogener Daten vom Geltungsbereich der Richtlinie aus, „die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI des Vertrages über die Europäische Union, und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt) und die Tätigkeiten des Staates im strafrechtlichen Bereich“(83).
187. Angesichts der Tatsache, dass vorliegend die beiden Rechtsakte unterschiedliche Ziele und unterschiedliche Geltungsbereiche haben, sehe ich nicht, wie der Inhalt des einen den Inhalt des anderen ändern könnte. In Wahrheit betrifft das Abkommen die Verarbeitung personenbezogener Daten, für die der Gemeinschaftsgesetzgeber klar ausgeschlossen hat, dass sie von dem durch die Richtlinie 95/46 eingerichteten Schutzsystem erfasst werden kann. Dieses Konzept des Gemeinschaftsgesetzgebers entspricht auch der Wahl der Rechtsgrundlage für die Richtlinie, nämlich Artikel 95 EG.
188. Dieser Feststellung kann meines Erachtens nicht mit dem Argument der Kommission entgegengetreten werden, die personenbezogenen Daten seien und blieben unabhängig von dem Ziel, zu dem das CBP sie verwende, für die Fluggesellschaften in der Gemeinschaft gleichwohl geschäftliche Daten, die unter die Richtlinie 95/46 fielen und die nach Maßgabe dieser Richtlinie geschützt und verarbeitet werden müssten.
189. Die Datenverarbeitung, die in der Erhebung und Speicherung von Fluggästedaten durch die Fluggesellschaften besteht, hat zwar, wie erinnerlich, im Allgemeinen ein kommerzielles Ziel, da sie im unmittelbaren Zusammenhang mit dem Ablauf des von den Luftfahrtunternehmen durchgeführten Fluges steht. Die vom Abkommen geregelte Datenverarbeitung ist jedoch ganz anderer Art, da sie eine nach der Datenerhebung liegende Phase abdeckt und einen Sicherheitszweck verfolgt.
190. Nach alledem bin ich der Ansicht, dass der zweite Klagegrund des Parlaments unbegründet und somit zurückzuweisen ist.
191. Aus denselben Gründen wie im Rahmen meiner Prüfung der Rechtssache C‑318/04(84) werde ich jetzt den dritten und vierten Klagegrund des Parlaments gemeinsam prüfen, d. h. den Verstoß gegen das Recht auf Schutz personenbezogener Daten und den Verstoß gegen den Verhältnismäßigkeitsgrundsatz.
192. Ich weise auch darauf hin, dass angesichts der Wechselbeziehung zwischen dem Abkommen, wie es durch den Beschluss des Rates genehmigt wurde, der Angemessenheitsentscheidung und der Verpflichtungserklärung des CBP, die der genannten Entscheidung der Kommission beigefügt ist, meines Erachtens die gesamte PNR-Regelung im Hinblick auf diese Klagegründe untersucht werden muss(85).
C – Zu den Klagegründen des Verstoßes gegen das Recht auf Schutz personenbezogener Daten und des Verstoßes gegen den Verhältnismäßigkeitsgrundsatz
1. Vorbringen der Beteiligten
193. Das Parlament macht geltend, die PNR-Regelung verstoße gegen das Recht auf Schutz personenbezogener Daten, wie es insbesondere in Artikel 8 EMRK anerkannt werde.
194. Mit der Bestimmung, dass das CBP elektronischen Zugriff auf PNR-Daten aus den von den Fluggesellschaften im Hoheitsgebiet der Mitgliedstaaten betriebenen Buchungssystemen erhalte, und mit der Vereinbarung, dass die Fluggesellschaften, wenn sie Auslands-Passagierflüge in die oder aus den Vereinigten Staaten durchführten, die fraglichen PNR-Daten nach den Vorgaben des CBP gemäß dem US-amerikanischen Recht verarbeiteten, stelle das Abkommen bezüglich einer Verarbeitung personenbezogener Daten einen Eingriff in das Privatleben im Sinne des Artikels 8 EMRK dar. Auch die Angemessenheitsentscheidung verstoße gegen diese Vorschrift.
195. Ein derartiger Eingriff verstoße dann nicht gegen Artikel 8 EMRK, wenn er gesetzlich vorgesehen sei, ein legitimes Ziel verfolge und in einer demokratischen Gesellschaft zur Erreichung dieses Zieles erforderlich sei. Das Parlament ist der Auffassung, dass das Abkommen und die Angemessenheitsentscheidung diese Voraussetzungen nicht erfüllten.
196. Bezüglich, erstens, der Voraussetzung, dass der Eingriff gesetzlich vorgesehen sein müsse, macht das Parlament geltend, weder das Abkommen noch die Angemessenheitsentscheidung erfüllten die von der Rechtsprechung des Europäischen Gerichtshofes für Menschenrechte aufgestellten Erfordernisse der Zugänglichkeit und der Voraussehbarkeit des Gesetzes. Was zum einen das Erfordernis der Zugänglichkeit des Gesetzes anbelange, so gäben das Abkommen und die Angemessenheitsentscheidung angesichts des allgemeinen und unbestimmten Verweises auf das anwendbare Recht der Vereinigten Staaten nicht selbst Auskunft über die Rechte und Pflichten der Fluggäste und europäischen Fluggesellschaften. Nach dem Gebot der Rechtssicherheit aber müsse ein Gemeinschaftsrechtsakt, der Rechtspflichten begründe, es den Betroffenen ermöglichen, den Umfang der ihnen durch diesen Rechtsakt auferlegten Verpflichtungen genau zu erkennen(86). Ferner seien entgegen dem Erfordernis der Zugänglichkeit des Gesetzes die anwendbaren Gesetze der Vereinigten Staaten nicht in allen Amtssprachen der Gemeinschaft verfügbar. Außerdem sei in der Präambel des Abkommens die Bezugnahme und das Datum des Erlasses der Angemessenheitsentscheidung fehlerhaft. Was zum anderen das Erfordernis der Voraussehbarkeit des Gesetzes anbelange, so fehle die Voraussehbarkeit, denn das Abkommen und die Angemessenheitsentscheidung gäben nicht hinreichend bestimmt Auskunft über die Rechte und Pflichten der in der Gemeinschaft ansässigen Luftfahrtunternehmen und Bürger. Die Fluggäste bekämen nur eine allgemeine Auskunft, was im Widerspruch zur Informationspflicht stehe, wie sie in den Artikeln 10 und 11 der Richtlinie 95/46 und 8 Buchstabe a des Übereinkommens Nr. 108 vorgesehen sei. Schließlich enthielten das Abkommen und die Verpflichtungserklärung des CBP eine Reihe von Ungenauigkeiten, die mit Artikel 8 EMRK nicht vereinbar seien.
197. Bezüglich, zweitens, der Voraussetzung, dass nach Artikel 8 Absatz 2 EMRK der Eingriff in das Recht auf Achtung des Privatlebens ein legitimes Ziel verfolgen müsse, räumt das Parlament ein, dass diese Voraussetzung erfüllt sei. Es erinnert an die Unterstützung, die es im Kampf gegen den Terrorismus dem Rat gegenüber wiederholt zum Ausdruck gebracht habe.
198. Bezüglich, drittens, der Voraussetzung, dass der Eingriff in einer demokratischen Gesellschaft notwendig sein müsse für die nationale oder öffentliche Sicherheit, für das wirtschaftliche Wohl des Landes, zur Aufrechterhaltung der Ordnung, zur Verhütung von Straftaten, zum Schutz der Gesundheit oder der Moral oder zum Schutz der Rechte und Freiheiten anderer, ist das Parlament der Auffassung, dass diese Voraussetzung aus folgenden Gründen nicht erfüllt sei:
– Aus Absatz 3 der Verpflichtungserklärung des CBP ergebe sich, dass die Datenverarbeitung nicht nur auf den Zweck der Terrorbekämpfung beschränkt sei, sondern auch der Verhütung und Bekämpfung anderer schwerer Straftaten einschließlich organisierter Kriminalität und der Flucht vor Haftbefehlen bzw. vor Ingewahrsamnahme im Zusammenhang mit den oben genannten Straftaten dienen solle. Da die Datenverarbeitung über die bloße Terrorbekämpfung hinausgehe, sei sie für die Verwirklichung des verfolgten legitimen Zieles nicht notwendig.
– Das Abkommen sehe die Übermittlung einer überhöhten Anzahl von Daten vor (34) und verstoße damit gegen den Verhältnismäßigkeitsgrundsatz. Unter dem Aspekt der Wahrung eines angemessenen Schutzniveaus für personenbezogene Daten seien 19 dieser 34 Daten annehmbar. Es bestehe eine „erhebliche Diskrepanz“ zwischen der Anzahl von Daten, die nach den in der Europäischen Union maßgeblichen vergleichbaren Regelungen vorgesehen sei, und der Anzahl von Daten, die nach dem Abkommen erforderlich seien(87). Überdies könnten einige der verlangten PNR-Datenelemente sensible Daten enthalten.
– Die Daten würden von den Vereinigten Staaten im Hinblick auf das verfolgte Ziel zu lange gespeichert. Aus der Verpflichtungserklärung des CBP gehe nämlich hervor, dass nach dem Online-Zugriff auf die Daten, der für die berechtigten Personen des CBP sieben Tage lang möglich sei, alle Daten während eines Zeitraums von dreieinhalb Jahren aufbewahrt würden. Danach würden die Daten, auf die während des genannten Zeitraums manuell zugegriffen worden sei, vom CBP als Rohdaten in eine Datei für gelöschte Datensätze überführt, wo sie während acht Jahren verblieben, bevor sie vernichtet würden. Der Vergleich mit den Informationssystemen, die z. B. im Rahmen des Übereinkommens zur Durchführung des Übereinkommens von Schengen, des Europol-Übereinkommens und des Eurojust-Beschlusses errichtet worden seien und die eine Speicherungsdauer von ein bis drei Jahren vorsähen, zeige, dass die in der Verpflichtungserklärung angeführte Dauer überzogen sei.
– Das Abkommen sehe für die Datenverarbeitung durch die Vereinigten Staaten keine gerichtliche Nachprüfung vor. Da ferner das Abkommen und die Verpflichtungserklärung den Personen, deren personenbezogene Daten verarbeitet würden, keine Rechte einräumten, sehe das Parlament nicht, wie diese sich vor den Gerichten der Vereinigten Staaten auf Rechte berufen könnten.
– Das Abkommen erlaube die Datenübermittlung an andere staatliche Stellen; es gehe damit über das hinaus, was für die Terrorbekämpfung erforderlich sei.
199. Der Datenschutzbeauftragte vertritt die Auffassung, die Verarbeitung von sechs Datenkategorien stelle eindeutig eine Verletzung des Rechts auf die Privatsphäre dar(88). Diese Verletzung ergebe sich auch daraus, dass es möglich sei, aus diesen Daten Persönlichkeitsprofile zu erstellen. Der Datenschutzbeauftragte unterstützt das Vorbringen des Parlaments, dass der Eingriff nicht nach Artikel 8 Absatz 2 EMRK gerechtfertigt sei. Er ist auch der Ansicht, das vom CBP gebotene Schutzniveau sei nicht angemessen im Sinne des Artikels 25 der Richtlinie 95/46, vor allem weil Artikel 8 EMRK nicht beachtet werde.
200. Demgegenüber sind der Rat und die Kommission der Auffassung, die PNR-Regelung beachte die Voraussetzungen des Artikels 8 Absatz 2 EMRK in der Auslegung des Europäischen Gerichtshofes für Menschenrechte.
201. Bezüglich, erstens, der Voraussetzung, dass der Eingriff gesetzlich vorgesehen sein müsse, vertritt der Rat die Ansicht, dass das Abkommen das Erfordernis der Zugänglichkeit des Gesetzes auch dann erfüllen könne, wenn es nicht selbst alle Bestimmungen enthalte, die die Betroffenen möglicherweise berühren könnten. Es sei nicht rechtswidrig, dass in dem Abkommen auf die Angemessenheitsentscheidung sowie auf die im Anhang dieser Entscheidung aufgeführte Verpflichtungserklärung des CBP verwiesen werde, da alle diese Bestimmungen im Amtsblatt der Europäischen Union veröffentlicht worden seien. Außerdem sei es nicht Aufgabe des Amtsblatts, Gesetze von Drittländern zu veröffentlichen. Zur fehlerhaften Bezugnahme auf die Angemessenheitsentscheidung, die in der Präambel des Abkommens enthalten sei, weist der Rat darauf hin, dass er die erforderlichen Maßnahmen für die Veröffentlichung einer Berichtigung im Amtsblatt treffen werde, doch ist er der Ansicht, dass diese Fehler technischer Art nicht die Zugänglichkeit der betreffenden Rechtsakte im Sinne der Rechtsprechung des Gerichtshofes für Menschenrechte in Frage stellten. Zum Erfordernis der Voraussehbarkeit des Gesetzes meint der Rat, es stelle keinen Verstoß gegen dieses Erfordernis dar, dass die Verpflichtungserklärung des CBP sowie die Gesetze und verfassungsrechtlichen Vorschriften der Vereinigten Staaten nicht in vollem Wortlaut im Abkommen selbst wiedergegeben würden. Außerdem erlaube die Verpflichtungserklärung des CBP, deren Wortlaut hinreichend bestimmt sei, den Betroffenen, ihr Verhalten entsprechend einzurichten.
202. Bezüglich, zweitens, der Voraussetzung, dass der Eingriff ein legitimes Ziel verfolgen müsse, führt der Rat aus, der Kampf gegen andere schwere Straftaten als den Terrorismus falle unter mehrere der in Artikel 8 Absatz 2 EMRK genannten Kategorien von legitimen Interessen (insbesondere die öffentliche Sicherheit, die Aufrechterhaltung der Ordnung und die Verhütung von Straftaten). Das Abkommen und die Verpflichtungserklärung des CBP verfolgten daher ein legitimes Ziel auch insoweit, als sie auf die sonstigen schweren Straftaten abstellten.
203. Der Rat ist, drittens, der Auffassung, der Eingriff stehe in einem angemessenen Verhältnis zum angestrebten Ziel. Die vom CBP aufgestellten PNR-Datenkategorien seien für die Verhütung von Terrorakten und von organisierter Kriminalität sowie für die Durchführung von Ermittlungen, die auf Anschläge folgten, in der Weise zweckdienlich, dass sie die Aufgabe erleichterten, die Personen zu identifizieren, die an terroristischen Gruppen oder an organisierter Kriminalität beteiligt seien. Bezüglich der Anzahl der zu übermittelnden Daten sei der Vergleich mit den Informationssystemen, die in der Europäischen Union errichtet worden seien, nicht erheblich, denn abgesehen davon, dass diese Systeme ein anderes Ziel und einen anderen Inhalt als die Systeme der PNR-Regelung hätten, setze die Notwendigkeit, das Profil potenzieller Terroristen zu erstellen, den Zugang zu einer größeren Anzahl von Daten voraus. Was die drei PNR-Datenelemente angehe, die nach Auffassung des Parlaments sensible Daten enthalten könnten(89), so sei der Zugang des CBP zu diesen drei Elementen gemäß Absatz 5 der Verpflichtungserklärung des CBP(90) eng begrenzt. Ferner sei es nach den Absätzen 9, 10 und 11 der Verpflichtungserklärung ausgeschlossen, dass das CBP sensible Daten verwenden könne(91). Bezüglich der Speicherungsdauer der PNR-Daten sei eine gewöhnliche Speicherungsdauer, die außer in besonderen Fällen, in denen die Dauer länger sein könne, dreieinhalb Jahre betrage, angesichts der Tatsache, dass die Ermittlungen nach Anschlägen bisweilen mehrere Jahre dauerten, eine ausgewogene Lösung. Zudem gebe es keinen Grund für die Annahme, dass ein unabhängiges Kontrollsystem fehle. Schließlich sei die Übermittlung der Daten an andere staatliche Stellen durch hinreichende Garantien abgesichert; insbesondere dürfe das CBP Daten an andere staatliche Stellen nur im Einzelfall und nur zur Verhütung oder Bekämpfung des Terrorismus oder anderer schwerer Straftaten übermitteln.
204. Nach Auffassung der Kommission lässt die Gesamtregelung aus Abkommen, Angemessenheitsentscheidung und Verpflichtungserklärung des CBP einen gewissen Eingriff in das Privatleben – je nach den übermittelten Daten mit unterschiedlichem Gewicht – zweifellos zu. Dieser Eingriff sei gesetzlich, d. h. in der Gesamtregelung, vorgesehen, verfolge ein legitimes Ziel, nämlich die Beilegung eines Konflikts zwischen den amerikanischen Sicherheitsgesetzen und den Gemeinschaftsnormen über den Schutz personenbezogener Daten, und sei in einer demokratischen Gesellschaft zur Erreichung dieses Zieles erforderlich.
205. Das Vereinigte Königreich ist der Auffassung, dass bei der Untersuchung eines etwaigen Verstoßes gegen das Recht auf Schutz der personenbezogenen Daten der Beschluss des Rates, das Abkommen, die Angemessenheitsentscheidung und die Verpflichtungserklärung des CBP gemeinsam zu prüfen seien, denn sie seien Rechtsvorschriften, die eng miteinander verbunden seien. Auch seien die Zugänglichkeit und die Voraussehbarkeit des geltenden Gemeinschaftsrechts, nicht aber der Gesetze zu prüfen, die im Hoheitsgebiet der Vereinigten Staaten Anwendung fänden. Nehme man das Abkommen, die Angemessenheitsentscheidung und die Verpflichtungserklärung des CBP zusammen, enthalte das Gemeinschaftsrecht eine klare und vollständige Darlegung der Rechtsstellung aller betroffenen Parteien. Das Vereinigte Königreich teile ferner nicht die Auffassung, dass die Verpflichtungserklärung des CBP ihrem Wesen nach einseitig sei und von den Vereinigten Staaten ungestraft geändert oder widerrufen werden könne.
206. Zur Notwendigkeit des Eingriffs trägt das Vereinigte Königreich, erstens, vor, der Kampf gegen andere schwere Straftaten werde klar als ein Zweck des Abkommens bezeichnet und stelle ein unverzichtbares Ziel dar, das ebenso legitim wie der Kampf gegen den Terrorismus sei. Zweitens ständen die Anzahl der Daten, die übermittelt werden könnten, die Dauer ihrer Aufbewahrung sowie die Möglichkeit ihrer Übermittlung an andere Behörden mit diesen Zielen in Einklang und seien ihnen in Anbetracht vor allem der zahlreichen Garantien, die in der Verpflichtungserklärung und der Angemessenheitsentscheidung enthalten seien, um die für das Privatleben der Fluggäste entstehende Gefahr einzudämmen, angemessen. Drittens schließlich sei das Kriterium der Verhältnismäßigkeit sowohl nach der Rechtsprechung des Gerichtshofes als auch nach der des Europäischen Gerichtshofes für Menschenrechte im Licht des Wesens und der Bedeutung der betreffenden Ziele anzuwenden.
2. Würdigung
207. Mit diesen Klagegründen macht das Parlament geltend, der Beschluss des Rates und die Angemessenheitsentscheidung verstießen gegen das Recht auf Schutz personenbezogener Daten, wie es insbesondere in Artikel 8 EMRK garantiert werde.
208. Nach ständiger Rechtsprechung gehören die Grundrechte zu den allgemeinen Rechtsgrundsätzen, die der Gerichtshof zu wahren hat(92). Dabei geht der Gerichtshof von den gemeinsamen Verfassungstraditionen der Mitgliedstaaten sowie von den Hinweisen aus, die die völkerrechtlichen Verträge über den Schutz der Menschenrechte geben, an deren Abschluss die Mitgliedstaaten beteiligt waren oder denen sie beigetreten sind. Er ist der Auffassung, dass die Europäische Menschenrechtskonvention hierbei „eine besondere Bedeutung“ habe(93). In der Gemeinschaft können somit keine Maßnahmen als rechtens anerkannt werden, die mit der Achtung der damit anerkannten und garantierten Menschenrechte unvereinbar sind(94). Diese Grundsätze wurden in Artikel 6 Absatz 2 EU übernommen.
209. Im Verlauf dieser Rechtsprechung hat der Gerichtshof das Recht auf Achtung des Privatlebens als Grundsatz in das Gemeinschaftsrecht aufgenommen(95). Das Recht auf Schutz personenbezogener Daten ist einer der Aspekte des Rechts auf Achtung des Privatlebens und somit durch Artikel 8 EMRK und in der Rechtsordnung der Gemeinschaft auch über die allgemeinen Rechtsgrundsätze geschützt.
210. Die Prüfung, ob die PNR-Regelung gegen das Recht auf Achtung des Privatlebens verstößt, werde ich gemäß dem Prüfungsschema vornehmen, das sich aus Artikel 8 EMRK ergibt. Ich werde daher zunächst prüfen, ob die PNR-Regelung einen Eingriff in das Privatleben der Fluggäste darstellt, und dann, ob dieser Eingriff gerechtfertigt ist.
a) Zum Vorliegen eines Eingriffs in das Privatleben
211. Dass die Gesamtregelung aus dem Beschluss mit der Genehmigung des Abkommens, der Angemessenheitsentscheidung und der Verpflichtungserklärung des CBP in das Privatleben eingreift, ist meines Erachtens nicht zweifelhaft. Offenkundig stellt das Abfragen der Fluggästedaten aus den von den Fluggesellschaften im Hoheitsgebiet der Mitgliedstaaten betriebenen Buchungssystemen sowie die Benutzung und die Bereitstellung dieser Daten durch bzw. für das CBP einen Eingriff staatlicher Stellen in das Privatleben der Fluggäste dar.
212. Der Eingriff in das Privatleben der Fluggäste stellt meines Erachtens ungeachtet dessen fest, dass bestimmte PNR-Datenelemente für sich genommen das Privatleben der betroffenen Fluggäste individuell nicht beeinträchtigen. Die Liste der PNR-Datenelemente, die vom CBP verlangt werden, muss nämlich als Ganzes betrachtet werden, und zwar deshalb, weil durch Abgleich der Daten Persönlichkeitsprofile erstellt werden können.
213. Ein Eingriff in das Privatleben verstößt gegen das Recht auf Achtung des Privatlebens, es sei denn, der Eingriff ist gerechtfertigt.
b) Zur Rechtfertigung des Eingriffs in das Privatleben
214. Ein Eingriff ist zulässig, wenn drei Voraussetzungen vorliegen: Der Eingriff ist gesetzlich vorgesehen, verfolgt ein legitimes Ziel und ist in einer demokratischen Gesellschaft notwendig.
i) Ist der Eingriff gesetzlich vorgesehen?
215. Nach ständiger Rechtsprechung des Europäischen Gerichtshofes für Menschenrechte beinhaltet diese Voraussetzung, dass die beanstandete Maßnahme eine gesetzliche Grundlage hat, und sie betrifft auch die „Qualität“ des in Frage stehenden Gesetzes(96). Die Prüfung der „Qualität“ des Gesetzes geht dahin, ob das Gesetz für die Bürger zugänglich sowie bestimmt und in seinen Wirkungen voraussehbar ist. Dies setzt voraus, dass das Gesetz die Voraussetzungen und Modalitäten der Beschränkungen des garantierten Rechts so genau festlegt, dass der Bürger sein Verhalten danach richten und geeigneten Schutz vor Willkür in Anspruch nehmen kann(97).
216. Das Parlament macht geltend, die Maßnahme, die den Eingriff vorsehe, sei weder zugänglich noch in ihren Wirkungen voraussehbar. Ich teile diese Auffassung nicht.
217. Ich bin vielmehr der Ansicht, dass der Wortlaut des Beschlusses des Rates und des Abkommens, das dem Beschluss beigefügt ist, sowie der Wortlaut der Angemessenheitsentscheidung, die als Anhang die Verpflichtungserklärung des CBP enthält, es den Betroffenen, also den Fluggesellschaften und den Fluggästen, erlaubt, so genau informiert zu sein, dass sie ihr Verhalten danach richten können.
218. Dazu ist festzustellen, dass die 48 Absätze der Verpflichtungserklärung des CBP, in denen der anwendbare rechtliche Rahmen erläutert wird, recht detailliert sind. Außerdem enthält die Präambel der Angemessenheitsentscheidung Verweisungen auf das einschlägige Gesetz der Vereinigten Staaten und die Durchführungsvorschriften, die das CBP aufgrund dieses Gesetzes erlassen hat(98). Es wäre übertrieben, zu verlangen, dass die anwendbaren Rechts- und Verwaltungsvorschriften der Vereinigten Staaten vollständig im Amtsblatt der Europäischen Union veröffentlicht werden. Abgesehen davon, dass, wie der Rat ausführt, es nicht Aufgabe des Amtsblatts ist, Gesetze von Drittländern zu veröffentlichen, enthält die Verpflichtungserklärung des CBP, die im Amtsblatt veröffentlicht wurde, die wesentlichen Informationen über das Verfahren zur Nutzung der Daten durch das CBP und über die für dieses Verfahren geltenden Garantien.
219. Gemäß dem Gebot der Rechtssicherheit werden die von der PNR-Regelung erfassten Fluggesellschaften über ihre Verpflichtungen nach dem Abkommen und die Fluggäste über ihre Rechte, insbesondere über ihre Rechte auf Datenzugang und Datenberichtigung, informiert(99).
220. Angesichts der zwischen den einzelnen Teilen der PNR-Regelung bestehenden Wechselbeziehung ist es zwar bedauerlich, dass in der Präambel des Abkommens der Bezug und das Datum der Angemessenheitsentscheidung falsch angegeben sind. Diese Fehler machen das Vorgehen eines europäischen Bürgers, der sich über den Inhalt der mit den Vereinigten Staaten ausgehandelten Regelung informieren will, komplizierter. Sie erschweren jedoch meines Erachtens eine solche Suche nicht übermäßig, da die Angemessenheitsentscheidung im Amtsblatt veröffentlicht wurde und aufgrund der Suchinstrumente, vor allem im Bereich der Datenverarbeitung, mühelos ausfindig gemacht werden kann. Zudem hat der Rat zugesagt, dass im Amtsblatt eine Berichtigung veröffentlicht wird, was tatsächlich geschehen ist(100).
221. Aufgrund dieser Erwägungen bin ich der Ansicht, dass der Eingriff in das Privatleben der betroffenen Fluggäste als „gesetzlich vorgesehen“ im Sinne des Artikels 8 Absatz 2 EMRK zu betrachten ist.
ii) Verfolgt der Eingriff ein legitimes Ziel?
222. Unter Berücksichtigung der unterschiedlichen Ziele, die in Artikel 8 Absatz 2 EMRK genannt werden, bin ich der Auffassung, dass der im vorliegenden Fall in Frage stehende Eingriff in das Privatleben ein legitimes Ziel verfolgt. Dies ist insbesondere der Fall bezüglich des Kampfes gegen den Terrorismus.
223. Ebenso wie der Rat bin ich der Meinung, dass auch der Kampf gegen andere schwere Straftaten als den Terrorismus(101) unter mehrere der in Artikel 8 Absatz 2 EMRK genannten Kategorien von legitimen Interessen fällt, wie die nationale Sicherheit, die öffentliche Sicherheit, die Aufrechterhaltung der Ordnung oder die Verhütung von Straftaten. Ich bin daher der Auffassung, dass die PNR-Regelung ein legitimes Ziel auch insoweit verfolgt, als sie sich auf diese anderen schweren Straftaten bezieht.
224. Nunmehr ist die Verhältnismäßigkeit des Eingriffs und damit die Frage zu prüfen, ob der Eingriff in einer demokratischen Gesellschaft zur Verhütung und Bekämpfung des Terrorismus und anderer schwerer Straftaten notwendig ist.
iii) Ist der Eingriff zur Erreichung dieses Zieles in einer demokratischen Gesellschaft notwendig?
225. Bevor ich im Einzelnen prüfe, ob der Eingriff verhältnismäßig ist, mache ich zunächst einige Bemerkungen zur Dichte der vom Gerichtshof auszuübenden Kontrolle.
226. Nach der Rechtsprechung des Europäischen Gerichtshofes für Menschenrechte bedeutet das Eigenschaftswort „notwendig“ in Artikel 8 Absatz 2 EMRK, dass „ein zwingendes gesellschaftliches Bedürfnis“ bestehen und die Maßnahme „in einem angemessenen Verhältnis zum verfolgten Zweck“ stehen muss(102). Zudem „[verfügen] [d]ie nationalen Behörden ... über einen Beurteilungsspielraum, dessen Umfang nicht nur von der Zielsetzung, sondern auch vom Wesen des Eingriffs abhängt“(103).
227. Im Rahmen der Nachprüfung des Beurteilungsspielraums der Staaten prüft der Europäische Gerichtshof für Menschenrechte herkömmlich zunächst, ob die Eingriffe ausreichend begründet sind, dann, ob der Eingriff in einem angemessenen Verhältnis zum verfolgten legitimen Zweck steht, und schließlich, ob eine Abwägung zwischen dem Allgemeininteresse und den Individualinteressen stattgefunden hat(104). Aus dieser Rechtsprechung hat man den Schluss gezogen, dass der Grundsatz der Verhältnismäßigkeit, der das Gebot des angemessenen Verhältnisses zwischen legitimem Zweck und den zu seiner Erreichung eingesetzten Mitteln zum Ausdruck bringt, das wichtigste Element der Nachprüfung des nationalen Beurteilungsspielraums ist(105).
228. Die Verhältnismäßigkeitsprüfung des Europäischen Gerichtshofes für Menschenrechte richtet sich nach Parametern wie der Art des Rechts und der betreffenden Tätigkeiten, des Zieles des Eingriffs und der Frage, ob die Rechtssysteme der Staaten einen gemeinsamen Nenner haben.
229. Bezüglich der Art des Rechts und der betreffenden Tätigkeiten vertritt der Europäische Gerichtshof für Menschenrechte, soweit es um ein Recht geht, das die Intimsphäre des Einzelnen berührt, wie das Recht auf Wahrung der Vertraulichkeit personenbezogener Gesundheitsdaten(106), die Auffassung, dass der Beurteilungsspielraum des Staates beschränkt sei und die gerichtliche Nachprüfung strenger sein müsse(107).
230. Sofern jedoch der Zweck des Eingriffs im Schutz der nationalen Sicherheit(108) oder im Kampf gegen den Terrorismus besteht(109), gesteht der Europäische Gerichtshof für Menschenrechte den Staaten einen größeren Beurteilungsspielraum zu.
231. Angesichts des Wesens und der Bedeutung des Zieles der Terrorismusbekämpfung, das im Rahmen der PNR-Regelung von ausschlaggebender Bedeutung ist, und unter Berücksichtigung des politisch sensiblen Kontextes, in dem die Verhandlungen zwischen der Gemeinschaft und den Vereinigten Staaten stattgefunden haben, sollte der Gerichtshof in der vorliegenden Rechtssache meines Erachtens Rat und Kommission für die Verhandlungen mit den Vereinigten Staaten über den Inhalt der PNR-Regelung einen weiten Beurteilungsspielraum zugestehen. Demgemäß sollte sich die Kontrolle des Gerichtshofes über die Notwendigkeit des Eingriffs auf die Prüfung eines etwaigen offensichtlichen Beurteilungsfehlers der beiden Organe beschränken(110). Eine solche eingeschränkte Kontrolle verhindert, dass der Gerichtshof die Beurteilung der politischen Stellen der Gemeinschaft bezüglich der Frage, welche Maßnahmen im Kampf gegen den Terrorismus und andere schwere Straftaten ihrem Wesen nach angemessen und zweckmäßig sind, durch seine eigene Beurteilung ersetzt.
232. Zur Bestimmung der Dichte der von ihm auszuübenden Kontrolle könnte sich der Gerichtshof über die angeführte Rechtsprechung des Europäischen Gerichtshofes für Menschenrechte hinaus auf seine eigene Rechtsprechung stützen, nach der, wenn ein Gemeinschaftsorgan in einem bestimmten Bereich über ein weites Ermessen verfügt, „die Rechtmäßigkeit einer in diesem Bereich erlassenen Maßnahme nur dann beeinträchtigt sein [kann], wenn diese Maßnahme zur Erreichung des Ziels, das das zuständige Organ verfolgt, offensichtlich ungeeignet ist“(111). Diese Einschränkung der Kontrolle der Verhältnismäßigkeit ist „insbesondere dann geboten“, wenn „sich der Rat veranlasst sieht, ... einen Ausgleich zwischen divergierenden Interessen herbeizuführen und auf diese Weise im Rahmen der in seine eigene Verantwortung fallenden politischen Entscheidungen eine Auswahl zu treffen“(112). Die Einschränkung der Kontrolle kann auch dadurch gerechtfertigt sein, dass ein Gemeinschaftsorgan in einem Maßnahmebereich zu komplexen Abwägungen veranlasst ist(113).
233. Diese Rechtsprechung und die ihr zugrunde liegenden Gründe sind meines Erachtens in der vorliegenden Rechtssache anzuwenden, da der Rat und die Kommission bei der Ausarbeitung der PNR-Regelung politisch zwischen unterschiedlichen, schwer miteinander in Einklang zu bringenden Interessen zu entscheiden hatten und mit komplexen Abwägungen konfrontiert waren(114). Dies entspräche dem Prinzip der Gewaltenteilung, das vom Gerichtshof verlangt, die politische Verantwortung der gesetzgebenden Organe und Verwaltungsbehörden der Gemeinschaft zu achten und sich bei den von diesen zu treffenden politischen Entscheidungen nicht an ihre Stelle zu setzen.
234. Nunmehr ist im Einzelnen zu prüfen, ob der Rat und die Kommission mit der Annahme der verschiedenen Teile der PNR-Regelung im Hinblick auf das Recht auf Achtung des Privatlebens, insbesondere das Recht auf Schutz der personenbezogenen Daten der Fluggäste, die Grenzen ihres Beurteilungsspielraums unter Berücksichtigung des verfolgten legitimen Zieles offensichtlich überschritten haben.
235. Im Rahmen dieser Prüfung hat der Inhalt der Verpflichtungserklärung des CBP besondere Bedeutung, da diese im Einzelnen die für die PNR-Regelung geltenden Garantien enthält. Dabei wäre meines Erachtens die Annahme irrig, dass die Verpflichtungserklärung keine bindende Wirkung hat und Verpflichtungen enthält, die von den Vereinigten Staaten frei geändert oder widerrufen werden könnten.
236. Die Verpflichtungserklärung, die, wie erinnerlich, der Angemessenheitsentscheidung beigefügt ist, ist eines der Bestandteile der PNR-Regelung, und angesichts dessen hätte ihre Nichtbeachtung eine Blockade der gesamten Regelung zur Folge. Ich weise hierzu darauf hin, dass die Absätze 1 und 2 des Abkommens die Verpflichtung der Fluggesellschaften zur Verarbeitung der PNR-Daten streng an die Anwendung der Angemessenheitsentscheidung knüpfen, da die Verpflichtung nur gültig ist, „solange dieser Beschluss gilt“. Ferner erklärt das CBP gemäß Absatz 3 des Abkommens, „den im Anhang beigefügten Verpflichtungen nachzukommen“. Schließlich werden in den Artikeln 3, 4 und 5 der Angemessenheitsentscheidung die Maßnahmen festgelegt, die bei einem Verstoß gegen die in der Verpflichtungserklärung enthaltenen Schutzvorschriften zu ergreifen sind. Zu diesen Maßnahmen gehört, dass die zuständigen Behörden der Mitgliedstaaten die Datenübermittlung an das CBP aussetzen können und dass die Angemessenheitsentscheidung ausgesetzt oder aufgehoben werden kann, wenn die Grundanforderungen für ein angemessenes Schutzniveau für die betreffenden Personen nicht gewährleistet sind, was zur Folge hätte, dass die Absätze 1 und 2 des Abkommens keine Anwendung mehr finden würden.
237. Für seinen Antrag auf Feststellung, dass der Eingriff in das Privatleben der Fluggäste gegen den Grundsatz der Verhältnismäßigkeit verstößt, beruft sich das Parlament, erstens, auf die überhöhte Anzahl von Daten, die das CBP von den Fluggesellschaften verlange. Überdies ist es der Auffassung, einige der verlangten PNR-Datenelemente könnten sensible Daten enthalten.
238. Meines Erachtens hat die Kommission mit der Entscheidung über die Liste mit 34 personenbezogenen Daten, wie sie der Angemessenheitsentscheidung beigefügt ist, keine Maßnahme angenommen, die zur Erreichung des Zieles der Terrorismusbekämpfung und anderer schwerer Straftaten offensichtlich ungeeignet ist. Zum einen nämlich ist die Bedeutung hervorzuheben, die die Aufklärung im Kampf gegen den Terrorismus hat, weil die Sicherheitsdienste eines Staates durch die Beschaffung geeigneter Informationen eventuelle Terroranschläge verhüten können. So gesehen kann die Notwendigkeit, die Profile potenzieller Terroristen zu erstellen, den Zugang zu einer größeren Anzahl von Daten voraussetzen. Zum anderen reicht der Umstand, dass andere innerhalb der Europäischen Union erlassene Vorschriften über den Informationsaustausch die Weitergabe einer geringeren Anzahl von Daten vorsehen, nicht als Beweis dafür aus, dass die Anzahl von Daten, die in der spezifischen Terrorbekämpfungsnorm der PNR-Regelung verlangt wird, überhöht ist(115).
239. Ferner ist zwar richtig, wie das Parlament vorträgt, dass drei der insgesamt verlangten Datenelemente sensible Daten enthalten können(116), doch ist zum einen der Zugriff des CBP auf diese drei Datenelemente nach Absatz 5 der Verpflichtungserklärung eng begrenzt, zum anderen ist es nach den Absätzen 9 bis 11 der Verpflichtungserklärung ausgeschlossen, dass das CBP sensible Daten verwenden kann, und schließlich wurde vom CBP gemäß der von ihm übernommenen Verpflichtung ein Filtersystem für die genannten Daten in Betrieb genommen(117).
240. Zweitens ist das Parlament der Ansicht, die PNR-Daten der Fluggäste würden von den Behörden der Vereinigten Staaten im Hinblick auf das verfolgte Ziel zu lange gespeichert.
241. Die Speicherungsdauer dieser Daten wird in Absatz 15 der Verpflichtungserklärung erwähnt, der im Wesentlichen den Online-Zugriff auf die genannten Daten für zugriffsberechtigte CBP-Nutzer während eines Zeitraums von zunächst sieben Tagen vorsieht. Danach kann eine beschränkte Zahl berechtigter Bediensteter während eines Zeitraums von drei Jahren und sechs Monaten auf die Daten zugreifen. Nach diesem Zeitraum schließlich werden die Daten, auf die in dem Zeitraum nicht manuell zugegriffen wurde, vernichtet, während die Daten, auf die während der Frist von drei Jahren und sechs Monaten manuell zugegriffen wurde, vom CBP in eine Datei für gelöschte Datensätze überführt werden, wo sie während acht Jahren verbleiben, bevor sie vernichtet werden(118).
242. Aus dieser Bestimmung geht hervor, dass die normale Speicherungsdauer für PNR-Daten drei Jahre und sechs Monate beträgt; eine Ausnahme gilt für Daten, auf die während dieser Frist manuell zugegriffen wurde. Meines Erachtens ist diese Dauer unter Berücksichtigung insbesondere der Tatsache nicht unverhältnismäßig, dass, wie der Rat vorträgt, die Ermittlungsverfahren, die sich an Terroranschläge oder andere schwere Straftaten anschließen können, manchmal mehrere Jahre dauern. Darüber hinaus ist es zwar grundsätzlich wünschenswert, dass personenbezogene Daten nur kurzfristig gespeichert werden, doch ist in der vorliegenden Rechtssache die Speicherungsdauer der PNR-Daten zusammen mit dem Nutzen zu sehen, den die Daten nicht nur für die Verhütung des Terrorismus, sondern darüber hinaus allgemein für Strafverfolgungszwecke haben.
243. Aufgrund dieser Erwägungen erscheint mir die Regelung über die Datenspeicherung, wie sie in Absatz 15 der Verpflichtungserklärung vorgesehen ist, keine offensichtliche Verkennung des Rechts auf Achtung des Privatlebens zu sein.
244. Drittens beanstandet das Parlament, dass die PNR-Regelung keine gerichtliche Nachprüfung bezüglich der Verarbeitung der personenbezogenen Daten durch die Vereinigten Staaten vorsehe.
245. Ich weise darauf hin, dass sowohl das Übereinkommen Nr. 108 als auch die Richtlinie 95/46 einen gerichtlichen Rechtsbehelf für Verstöße gegen die Vorschriften des innerstaatlichen Rechts vorsehen, die die in den beiden rechtlichen Regelungen enthaltenen Regeln anwenden(119).
246. Im Hinblick auf Artikel 8 Absatz 2 EMRK bin ich der Meinung, dass die Bestimmungen in den Absätzen 36 ff. der Verpflichtungserklärung, die eine Reihe von Garantien bezüglich des Informations-, Auskunfts- und Widerspruchsrechts der betroffenen Fluggäste vorsehen, einen etwaigen Missbrauch verhindern können. Aus diesen Garantien in ihrer Gesamtheit ist zu schließen, dass unter Berücksichtigung des weiten Beurteilungsspielraums, der dem Rat und der Kommission im vorliegenden Fall zugestanden werden muss, der Eingriff in das Privatleben der Fluggäste, gemessen an dem legitimen Ziel, das von der PNR-Regelung verfolgt wird, verhältnismäßig ist.
247. Des Näheren sieht Absatz 37 der Verpflichtungserklärung zusätzlich zu den allgemeinen Informationen, die das CBP den Fluggästen mitzuteilen hat(120), vor, dass die Betroffenen gemäß dem Freedom of Information Act(121) eine Kopie der PNR-Daten, die über sie in den Datenbanken des CBP gespeichert sind, erhalten(122).
248. Zwar sieht Absatz 38 der Verpflichtungserklärung vor, dass das CBP befugt ist, „[i]n bestimmten Ausnahmefällen“ die Offenlegung des ganzen PNR oder eines Teils davon zu verweigern bzw. aufzuschieben, falls z. B. die Offenlegung „etwaige Strafverfahren beeinträchtigen könnte“ oder falls damit „Techniken und Verfahren der Strafverfolgung ... preisgegeben würden“. Abgesehen jedoch davon, dass diese Befugnis des CBP gesetzlich beschränkt ist, ist darauf hinzuweisen, dass nach demselben Absatz der Verpflichtungserklärung der FOIA vorsieht, dass „jeder Antragsteller das Recht [hat], die Entscheidung des CBP, den Informationszugang zu verweigern, bei der Verwaltung und vor Gericht anzufechten“(123).
249. Bezüglich der Anträge auf Berichtigung von in CBP-Datenbanken gespeicherten PNR-Daten und der Beschwerden der Betroffenen über die Behandlung ihrer PNR-Daten durch das CBP bestimmt Absatz 40 der Verpflichtungserklärung ferner, dass sie beim „Assistant Commissioner“ des CBP einzureichen sind(124).
250. Falls das CBP einer Beschwerde nicht abhelfen kann, ist die Beschwerde beim „Chief Privacy Officer, Department of Homeland Security“ einzureichen(125).
251. Außerdem sieht Absatz 42 der Verpflichtungserklärung vor, dass „sich das DHS Privacy Office umgehend mit Beschwerden befassen [wird], die die Datenschutzbehörden der EU-Mitgliedstaaten im Auftrag EU-ansässiger Betroffener an ihn richten, weil die Betroffenen zu der Auffassung gelangt sind, dass ihre Datenschutzbeschwerden bezüglich PNR-Daten nicht zufrieden stellend vom CBP (gemäß den Absätzen 37 bis 41) oder vom DHS Privacy Office behandelt wurden“.
252. Absatz 42 sieht weiter vor, dass das DHS Privacy Office „seine Schlussfolgerungen mitteilen und die betreffende(n) Datenschutzbehörde(n) über etwaige Maßnahmen informieren [wird]“ und dass der Chief Privacy Officer „in seinem Bericht an den Kongress auch auf die Zahl, den Gegenstand und die Lösung von Beschwerdefällen im Zusammenhang mit der Behandlung personenbezogener Daten vom Typ PNR eingehen [wird]“(126).
253. Das Parlament betont zu Recht, dass der Chief Privacy Officer kein Rechtsprechungsorgan sei. Es ist jedoch darauf hinzuweisen, dass es sich um ein Verwaltungsorgan handelt, das mit einem gewissen Grad an Unabhängigkeit gegenüber dem Department of Homeland Security ausgestattet ist und dessen Entscheidungen bindende Wirkung haben(127).
254. Diese Befugnis der Fluggäste, eine Beschwerde beim Chief Privacy Officer einzulegen und im Rahmen des FOIA Klage zu erheben, sind daher wesentliche Garantien im Hinblick auf das den Fluggästen zustehende Recht auf Achtung des Privatlebens. Aufgrund dieser Garantien bin ich der Ansicht, dass der Rat und die Kommission die Grenzen ihres Beurteilungsspielraums bei der Annahme der PNR-Regelung nicht überschritten haben.
255. Das Parlament ist schließlich der Ansicht, die PNR-Regelung gehe über das hinaus, was für die Bekämpfung des Terrorismus und anderer schwerer Straftaten erforderlich sei, da sie die Übermittlung der Fluggästedaten an andere staatliche Stellen erlaube. Das CBP verfüge bei der Übermittlung der PNR-Daten an andere staatliche Behörden, und zwar auch an ausländische Regierungsbehörden, über ein Ermessen, was mit Artikel 8 Absatz 2 EMRK unvereinbar sei.
256. Ich teile diese Auffassung nicht. Auch hier sprechen nämlich die für die Übermittlung von PNR-Daten an andere Regierungsbehörden geltenden Garantien dafür, dass der Eingriff in das Privatleben der Fluggäste gemessen an dem von der PNR-Regelung verfolgten Ziel verhältnismäßig ist.
257. Auch wenn die Verpflichtungserklärung dem CBP ein weites Ermessen einräumt, so ist dieses Ermessen doch nicht unbeschränkt. So erfolgt gemäß Absatz 29 der Verpflichtungserklärung die Übermittlung von PNR-Daten an andere Regierungsbehörden, „die Terrorismusbekämpfungs- oder Strafverfolgungsaufgaben wahrnehmen“, „auch solche in Drittländern“, „nur von Fall zu Fall“ und grundsätzlich nur „zum Zwecke der Verhütung oder Bekämpfung der unter Absatz 3 aufgeführten Straftaten“. Das CBP hat gemäß Absatz 30 der Verpflichtungserklärung zu prüfen, ob die Offenlegung der Daten gegenüber einer anderen Behörde diesem Zweck dient.
258. Zwar erweitern die Absätze 34 und 35 der Verpflichtungserklärung den genannten Zweck insofern, als sie dazu führen, dass zum einen die Nutzung oder die Weitergabe von PNR-Daten an die zuständigen Regierungsbehörden, „wenn die Offenlegung zum Schutz lebenswichtiger Interessen des Betroffenen oder anderer Personen, insbesondere im Falle erheblicher Gesundheitsrisiken, erforderlich ist“, und zum anderen die Nutzung oder die Offenlegung der PNR-Daten „im Zusammenhang mit Strafprozessen oder anderen gesetzlichen Erfordernissen“ gestattet wird.
259. Abgesehen jedoch davon, dass dieser Zweck großenteils im Zusammenhang mit dem von der PNR-Regelung verfolgten Ziel steht, enthält die Verpflichtungserklärung eine Reihe von Garantien. So bestimmt z. B. Absatz 31 der Verpflichtungserklärung, dass „[b]ei der etwaigen Weitergabe von PNR-Daten an andere designierte Behörden ... das CBP als ‚Eigentümer‘ der Daten [gilt]. Den designierten Stellen obliegen aufgrund der ausdrücklichen Offenlegungsbestimmungen“ eine Reihe von Pflichten. Zu diesen Pflichten der Empfängerbehörden zählen insbesondere die Pflicht „[sicherzustellen], dass die bereitgestellten PNR-Informationen ordnungsgemäß und im Einklang mit den Datenspeicherverfahren der designierten Stelle vernichtet werden“, sowie die Pflicht, „für die Weiterverbreitung die ausdrückliche Genehmigung des CBP [einzuholen]“.
260. Außerdem heißt es in Absatz 32 der Verpflichtungserklärung, dass „[j]ede Offenlegung von PNR-Daten durch das CBP ... davon abhängig gemacht [wird], dass die Empfängerbehörde diese Daten als vertrauliche Geschäftsinformationen und als strafverfolgungsrelevante, vertrauliche personenbezogene Daten des Betroffenen ... behandelt, die als von der Offenlegung nach dem Freedom of Information Act ... ausgenommen behandelt werden sollten“. Ferner ist in demselben Absatz bestimmt, dass „der Empfängerbehörde mitgeteilt [wird], dass eine Weiterverbreitung derartiger Informationen ohne ausdrückliche vorherige Genehmigung durch das CBP nicht zulässig ist“, wobei das CBP darüber hinaus „eine Weiterübermittlung von PNR-Daten zu Zwecken, die nicht in den Absätzen 29, 34 und 35 aufgeführt sind“, nicht genehmigen wird. Schließlich heißt es in Absatz 33 der Verpflichtungserklärung, dass „Mitarbeiter designierter Behörden, die ohne entsprechende Befugnis PNR-Daten offen legen, ... sich strafbar machen [können]“.
261. Unter Berücksichtigung all dieser Garantien ist meines Erachtens auszuschließen, dass Rat und Kommission die Grenzen des weiten Beurteilungsspielraums überschritten haben, der ihnen bei der Bekämpfung des Terrorismus und anderer schwerer Straftaten einzuräumen ist.
262. Die Klagegründe des Verstoßes gegen das Recht auf Schutz personenbezogener Daten und des Verstoßes gegen den Verhältnismäßigkeitsgrundsatz sind daher unbegründet und somit zurückzuweisen.
D – Zum Klagegrund der unzureichenden Begründung des Beschlusses des Rates
263. Das Parlament macht geltend, der Beschluss des Rates genüge nicht dem Begründungserfordernis des Artikels 253 EG. Es beanstandet insbesondere, dass der Beschluss keine Ausführungen darüber enthalte, ob und inwieweit dieser Rechtsakt das Funktionieren des Binnenmarktes zum Gegenstand habe.
264. Der Rat, unterstützt vom Vereinigten Königreich und der Kommission, ist dagegen der Auffassung, dass die Begründung seines Beschlusses im Einklang mit den vom Gerichtshof aufgestellten Erfordernissen stehe.
265. Ich bin der Ansicht, dass die Begründung des Beschlusses des Rates zwar kurz, aber ausreichend ist.
266. Nach ständiger Rechtsprechung des Gerichtshofes muss die nach Artikel 253 EG „vorgeschriebene Begründung der Natur des betreffenden Rechtsakts angepasst sein und die Überlegungen des Gemeinschaftsorgans, das den Rechtsakt erlassen hat, so klar und eindeutig zum Ausdruck bringen, dass die Betroffenen ihr die Gründe für die erlassene Maßnahme entnehmen können und der Gerichtshof seine Kontrolle ausüben kann“. Ferner brauchen nach dieser Rechtsprechung „[i]n der Begründung eines Rechtsakts ... nicht alle tatsächlich oder rechtlich einschlägigen Gesichtspunkte genannt zu werden, da die Frage, ob die Begründung eines Rechtsakts den Erfordernissen des [Artikels 253 EG] genügt, nicht nur im Hinblick auf ihren Wortlaut zu beurteilen ist, sondern auch anhand ihres Kontexts sowie sämtlicher Rechtsvorschriften auf dem betreffenden Gebiet“(128).
267. Was die Natur des Rechtsakts angeht, so handelt es sich um einen Beschluss, dessen Hauptgegenstand es ist, im Namen der Gemeinschaft das zwischen der Gemeinschaft und den Vereinigten Staaten geschlossene Abkommen zu genehmigen. Der Beschluss enthält alle hierfür erforderlichen Angaben über das Verfahren, nämlich Angaben über eine Entscheidung des Rates nach dem Verfahren des Artikels 300 Absatz 2 Unterabsatz 1 EG, sowie den Hinweis, dass das Parlament innerhalb der Frist, die der Rat ihm gemäß Artikel 300 Absatz 3 Unterabsatz 1 EG gesetzt hatte, keine Stellungnahme abgegeben hat. Der Beschluss des Rates nennt außerdem in seinen Bezugsvermerken Artikel 95 EG.
268. Angesichts der besonderen Natur des Beschlusses, der nicht ganz von dem völkerrechtlichen Abkommen zu trennen ist, auf das er sich bezieht, hat die Prüfung, ob die Begründung des Beschlusses ausreichend ist, auch die Präambel des Abkommens mit einzubeziehen. Anhand des Beschlusses des Rates in Verbindung mit der Präambel des Abkommens kann der Gerichtshof, wie die Prüfung der vorstehenden Klagegründe zeigt, seine Kontrolle ausüben, insbesondere in Bezug auf die Frage, ob die gewählte Rechtsgrundlage geeignet ist.
269. Ich bin daher der Ansicht, dass der Klagegrund der unzureichenden Begründung des Beschlusses des Rates unbegründet und somit zurückzuweisen ist.
E – Zum Klagegrund des Verstoßes gegen den in Artikel 10 EG niedergelegten Grundsatz der loyalen Zusammenarbeit
270. Mit diesem Klagegrund macht das Parlament geltend, dass der Rat im Rahmen des Verfahrens für die Annahme des Abkommens gegen seine Pflicht zur loyalen Zusammenarbeit aus Artikel 10 EG verstoßen habe, auch wenn der Rat ihm nach Artikel 300 Absatz 3 Unterabsatz 1 EG entsprechend der Dringlichkeit eine Frist zur Stellungnahme setzen könne und das in Artikel 300 Absatz 6 EG vorgesehene Verfahren über die vorherige Beantragung eines Gutachtens beim Gerichtshof keine aufschiebende Wirkung habe.
271. Der Rat, unterstützt von der Kommission und dem Vereinigten Königreich, trägt vor, er habe dadurch, dass er das Abkommen abgeschlossen habe, obwohl das Parlament beim Gerichtshof einen Gutachtenantrag nach Artikel 300 Absatz 6 EG gestellt habe, nicht gegen den Grundsatz der loyalen Zusammenarbeit verstoßen.
272. Artikel 10 EG erlegt den Mitgliedstaaten eine Pflicht zur loyalen Zusammenarbeit gegenüber den Gemeinschaftsorganen auf, verankert jedoch nicht ausdrücklich den Grundsatz der loyalen Zusammenarbeit zwischen den Organen. Wie der Gerichtshof jedoch entschieden hat, „gelten im Rahmen des Dialogs der Organe, auf dem insbesondere das Anhörungsverfahren beruht, die gleichen gegenseitigen Pflichten zu redlicher Zusammenarbeit, wie sie die Beziehungen zwischen den Mitgliedstaaten und den Gemeinschaftsorganen prägen“(129).
273. Aus dem Sachverhalt der vorliegenden Rechtssache geht hervor, dass die Kommission am 17. März 2004 dem Parlament einen Vorschlag für einen Beschluss des Rates übermittelte und dass der Rat mit Schreiben vom 25. März 2004 das Parlament ersuchte, seine Stellungnahme zu diesem Vorschlag bis spätestens 22. April 2004 abzugeben. In seinem Schreiben betont der Rat, dass „[d]er Kampf gegen den Terrorismus, der die vorgeschlagenen Maßnahmen rechtfertigt, ... für die Europäische Union hohe Priorität [hat]. Die Fluggesellschaften und Fluggäste befinden sich gegenwärtig in einer unsicheren Lage, der dringend abzuhelfen ist. Auch ist es wichtig, die finanziellen Interessen der Betroffenen zu schützen.“
274. Am 21. April 2004 beschloss das Parlament gemäß Artikel 300 Absatz 6 EG, ein Gutachten des Gerichtshofes über die Vereinbarkeit des vorgesehenen Abkommens mit den Bestimmungen des EG-Vertrags einzuholen.
275. Am 28. April 2004 richtete der Rat unter Berufung auf Artikel 300 Absatz 3 Unterabsatz 1 EG ein Schreiben an das Parlament, in dem er es aufforderte, bis zum 5. Mai 2004 zum Abschluss des Abkommens Stellung zu nehmen. Zur Begründung der Dringlichkeit wiederholte er die in seinem Schreiben vom 25. März 2004 angeführten Gründe.
276. Diesen Dringlichkeitsantrag wies das Parlament zurück. Der Präsident des Parlaments forderte den Rat und die Kommission zudem auf, ihr Vorhaben nicht weiter zu verfolgen, solange der Gerichtshof das am 21. April 2004 beantragte Gutachten nicht erstellt habe. Der Rat fasste dennoch am 17. Mai 2004 den angefochtenen Beschluss.
277. Meines Erachtens hat der Rat dadurch, dass er den Beschluss über die Genehmigung des Abkommens im Namen der Gemeinschaft fasste, bevor das Verfahren über den vom Parlament beim Gerichtshof nach Artikel 300 Absatz 6 EG eingereichten Gutachtenantrag abgeschlossen war, nicht gegen seine Pflicht zur loyalen Zusammenarbeit mit dem Parlament verstoßen.
278. Wie das Parlament im Übrigen selbst einräumt, hat nämlich die Einleitung eines Verfahrens über die Einholung eines Gutachtens beim Gerichtshof keine aufschiebende Wirkung. Die Einleitung eines solchen Verfahrens hindert somit den Rat nicht daran, einen Beschluss über die Genehmigung des Abkommens zu fassen, obwohl das Verfahren noch nicht abgeschlossen ist; dies gilt auch dann, wenn der Zeitraum zwischen der Einreichung des Gutachtenantrags beim Gerichtshof und dem Beschluss über die Genehmigung des Abkommens, wie im vorliegenden Fall, relativ kurz ist.
279. Dass ein gemäß Artikel 300 Absatz 6 EG eingereichter Antrag auf Abgabe eines Gutachtens des Gerichtshofes keine aufschiebende Wirkung hat, kann sowohl dem Wortlaut dieses Artikels, der eine solche aufschiebende Wirkung nicht ausdrücklich vorsieht, als auch der Rechtsprechung des Gerichtshofes entnommen werden. Der Gerichtshof hat nämlich in seinem Gutachten 3/94(130) festgestellt, dass ein solcher Gutachtenantrag gegenstandslos werde und der Gerichtshof diesem Antrag nicht nachzukommen brauche, wenn das Abkommen, auf das sich der Antrag beziehe und das im Zeitpunkt der Anrufung des Gerichtshofes geplant gewesen sei, in der Zwischenzeit abgeschlossen worden sei. Der Gerichtshof hat weiterhin ausgeführt, das Verfahren nach Artikel 300 Absatz 6 EG solle „in erster Linie den Schwierigkeiten vorbeugen, die sich aus der Unvereinbarkeit von völkerrechtlichen Abkommen, die die Gemeinschaft verpflichten, mit dem Vertrag ergeben, und nicht die Interessen und Rechte des Mitgliedstaats oder des Gemeinschaftsorgans schützen, der oder das den Gutachtenantrag gestellt hat“(131), und dass „[j]edenfalls ... der Mitgliedstaat oder das Gemeinschaftsorgan, der oder das den Gutachtenantrag gestellt hat, über den Rechtsbehelf der Nichtigkeitsklage gegen den Beschluss des Rates [verfügt], das Abkommen zu schließen“(132).
280. Außerdem ergibt sich sowohl aus dem Akteninhalt als auch aus der zweiten Begründungserwägung des Beschlusses des Rates, dass dieser die Dringlichkeit, auf die er sich berufen hat, um die Stellungnahme des Parlaments gemäß Artikel 300 Absatz 3 Unterabsatz 1 EG kurzfristig zu erhalten, hinreichend begründet hat. Schließlich weise ich darauf hin, dass die genannte Bestimmung ausdrücklich vorsieht, dass, wenn „innerhalb dieser Frist keine Stellungnahme [ergeht], ... der Rat einen Beschluss fassen [kann]“.
281. Nach alledem bin ich der Auffassung, dass der Klagegrund, mit dem geltend gemacht wird, dass der Rat gegen die Pflicht zur loyalen Zusammenarbeit verstoßen habe, unbegründet und somit zurückzuweisen ist.
VII – Kosten
282. In der Rechtssache C‑318/04 führt die Begründetheit der Klage des Parlaments dazu, dass die Kommission nach Artikel 69 § 2 der Verfahrensordnung des Gerichtshofes die Kosten trägt. Ferner tragen nach Artikel 69 § 4 der Verfahrensordnung die Streithelfer, nämlich das Vereinigte Königreich und der Datenschutzbeauftragte, ihre eigenen Kosten.
283. In der Rechtssache C‑317/04 führt die Begründetheit der Klage des Parlaments dazu, dass der Rat nach Artikel 69 § 2 der Verfahrensordnung des Gerichtshofes die Kosten trägt. Ferner tragen nach Artikel 69 § 4 der Verfahrensordnung die Streithelfer, nämlich das Vereinigte Königreich, die Kommission und der Datenschutzbeauftragte, ihre eigenen Kosten.
VIII – Ergebnis
284. Aufgrund dessen schlage ich dem Gerichtshof vor,
– in der Rechtssache C‑318/04 die Entscheidung 2004/535/EG der Kommission vom 14. Mai 2004 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden, für nichtig zu erklären;
– in der Rechtssache C‑317/04 den Beschluss 2004/496/EG des Rates vom 17. Mai 2004 über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des United States Department of Homeland Security für nichtig zu erklären.