Language of document : ECLI:EU:C:2022:491

Rechtssache C817/19

Ligue des droits humains

gegen

Conseil des ministres

(Vorabentscheidungsersuchen der Cour constitutionnelle [Verfassungsgerichtshof, Belgien])

 Urteil des Gerichtshofs (Große Kammer) vom 21. Juni 2022

„Vorlage zur Vorabentscheidung – Verarbeitung personenbezogener Daten – Fluggastdatensätze (PNR) – Verordnung (EU) 2016/679 – Art. 2 Abs. 2 Buchst. d – Anwendungsbereich – Richtlinie (EU) 2016/681 – Verwendung von PNR-Daten der Fluggäste von Flügen zwischen der Union und Drittstaaten – Befugnis zur Einbeziehung von Daten der Fluggäste von Flügen innerhalb der Union – Automatisierte Verarbeitungen dieser Daten – Speicherfrist – Bekämpfung terroristischer Straftaten und schwerer Kriminalität – Gültigkeit – Charta der Grundrechte der Europäischen Union – Art. 7, 8 und 21 sowie Art. 52 Abs. 1 – Nationale Rechtsvorschriften, mit denen die Anwendung des PNR-Systems auf andere Beförderungen innerhalb der Union ausgedehnt wird – Freizügigkeit innerhalb der Union – Charta der Grundrechte – Art. 45“

1.        Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung 2016/679 – Anwendungsbereich – Verarbeitung personenbezogener Daten gemäß einer nationalen Regelung zur Umsetzung der Richtlinien 2004/82, 2010/65 und 2016/681 – Einbeziehung – Grenzen

(Verordnung 2016/679 des Europäischen Parlaments und des Rates, Art. 2 Abs. 2 Buchst. d und Art. 23; Richtlinien 2010/65, 2016/680 und 2016/681 des Europäischen Parlaments und des Rates; Richtlinie 2004/82 des Rates)

(vgl. Rn. 67, 68, 73, 74, 80, 83, 84, Tenor 1)

2.        Polizeiliche Zusammenarbeit – Justizielle Zusammenarbeit in Strafsachen – Verwendung von Fluggastdatensätzen (PNR) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität – Richtlinie 2016/681 – PNR-Daten – Umfang – Betroffene Fluggäste und Flüge – Automatisierte Verarbeitungen dieser Daten – Verletzung der Rechte auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten – Fehlen

(Charta der Grundrechte der Europäischen Union, Art. 7, 8, 21 und 52 Abs. 1; Richtlinie 2016/681 des Europäischen Parlaments und des Rates, Art. 1 Abs. 2, Art. 2 und 3 Nrn. 2, 4, 8 und 9, Art. 6, 12 sowie Anhänge I und II)

(vgl. Rn. 94-97, 111, 122, 123, 129, 131-140, 152, 157, 162, 169-175, 184, 188, 197, 202, 213, 218-220, 223, 225-228, Tenor 2)

3.        Grundrechte – Achtung des Privatlebens – Schutz personenbezogener Daten – Einschränkungen – Voraussetzungen

(Charta der Grundrechte der Europäischen Union, Art. 7, 8 und 52 Abs. 1)

(vgl. Rn. 115-118)

4.        Polizeiliche Zusammenarbeit – Justizielle Zusammenarbeit in Strafsachen – Verwendung von Fluggastdatensätzen (PNR) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität – Richtlinie 2016/681 – Verarbeitung der PNR-Daten – Zwecke – Verarbeitung zu anderen als den ausdrücklich vorgesehenen Zwecken – Unzulässigkeit

(Charta der Grundrechte der Europäischen Union, Art. 7, 8 und 52 Abs. 1; Richtlinie 2016/681 des Europäischen Parlaments und des Rates, Art. 1 Abs. 2 und Art. 6)

(vgl. Rn. 233, 235, 237, 288, 289, Tenor 3)

5.        Polizeiliche Zusammenarbeit – Justizielle Zusammenarbeit in Strafsachen – Verwendung von Fluggastdatensätzen (PNR) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität – Richtlinie 2016/681 – Offenlegung der PNR-Daten nach Ablauf einer Frist von sechs Monaten ab ihrer Übermittlung durch die Fluggesellschaften – Voraussetzung – Genehmigung durch eine zuständige nationale Behörde – Begriff – PNR-Zentralstelle – Ausschluss

(Charta der Grundrechte der Europäischen Union, Art. 7 und 8; Richtlinie 2016/681 des Europäischen Parlaments und des Rates, Art. 4 Abs. 1 bis 3 und Art. 12 Abs. 3 Buchst. b)

(vgl. Rn. 244, 245, 247, Tenor 4)

6.        Polizeiliche Zusammenarbeit – Justizielle Zusammenarbeit in Strafsachen – Verwendung von Fluggastdatensätzen (PNR) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität – Richtlinie 2016/681 – Speicherfrist der PNR-Daten – Allgemeine, unterschiedslos für alle Fluggäste geltende Speicherfrist von fünf Jahren – Unzulässigkeit

(Charta der Grundrechte der Europäischen Union, Art. 7, 8, 45 und 52 Abs. 1; Richtlinie 2016/681 des Europäischen Parlaments und des Rates, Art. 12)

(vgl. Rn. 251, 255-259, 262, Tenor 5)

7.        Grenzkontrollen, Asyl und Einwanderung – Verpflichtung von Beförderungsunternehmen, Angaben über die beförderten Personen zu übermitteln – Richtlinie 2004/82 – Anwendungsbereich – EU-Flüge – Ausschluss

(Richtlinie 2016/681 des Europäischen Parlaments und des Rates, Art. 2; Richtlinie 2004/82 des Rates, Art. 2 Buchst. a, b und d, Art. 3 Abs. 1 und 2 sowie Art. 6 Abs. 1)

(vgl. Rn. 266-269, Tenor 6)

8.        Polizeiliche Zusammenarbeit – Justizielle Zusammenarbeit in Strafsachen – Verwendung von Fluggastdatensätzen (PNR) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität – Richtlinie 2016/681 – Anwendung der Richtlinie auf EU-Flüge – Anwendung auf alle EU-Flüge und Beförderungen mit anderen Mitteln innerhalb der Union, ohne dass eine reale und aktuelle oder vorhersehbare terroristische Bedrohung besteht – Unzulässigkeit – Beschränkte Anwendung – Zulässigkeit – Voraussetzungen

(Art. 3 Abs. 2 EUV; Art. 67 Abs. 2 AEUV; Charta der Grundrechte der Europäischen Union, Art. 7, 8, 45 und 52 Abs. 1; Richtlinie 2016/681 des Europäischen Parlaments und des Rates)

(vgl. Rn. 277-282, 285, 290, 291, Tenor 7)

9.        Recht der Europäischen Union – Vorrang – Richtlinie 2016/681 – Nichtigerklärung nationaler Bestimmungen, die mit dieser Richtlinie unvereinbar sind, durch das nationale Gericht – Möglichkeit, die Wirkungen der betreffenden Bestimmungen aufrechtzuerhalten – Fehlen – Zulässigkeit von Beweisen, die aufgrund dieser Bestimmungen erlangt wurden – Anwendung des nationalen Rechts – Grenzen – Beachtung der Grundsätze der Äquivalenz und der Effektivität

(Art. 3 Abs. 2 EUV; Art. 67 Abs. 2 AEUV; Charta der Grundrechte der Europäischen Union, Art. 7, 8, 45 und 52 Abs. 1; Richtlinie 2016/681 des Europäischen Parlaments und des Rates)

(vgl. Rn. 293-298, Tenor 8)

Zusammenfassung

Bei den PNR-Daten (Passenger Name Record) handelt es sich um Buchungsdaten, die von den Fluggesellschaften in ihren Buchungs- und Abfertigungssystemen gespeichert werden. Die PNR-Richtlinie(1) verpflichtet die Fluggesellschaften, zur Bekämpfung von Terrorismus und schwerer Kriminalität die Daten aller Fluggäste von Flügen zwischen einem Drittstaat und der Europäischen Union (Drittstaatsflüge) an die PNR-Zentralstelle des Mitgliedstaats, in dem der betreffende Flug angekommen bzw. von dem er abgegangen ist, zu übermitteln. Die übermittelten PNR-Daten werden einer Vorabüberprüfung durch die PNR-Zentralstelle(2) unterzogen und anschließend im Hinblick auf eine etwaige nachträgliche Überprüfung durch die zuständigen Behörden des betreffenden Mitgliedstaats oder eines anderen Mitgliedstaats gespeichert. Die Mitgliedstaaten können beschließen, die Richtlinie auch auf Flüge innerhalb der Union (EU-Flüge) anzuwenden(3).

Die Ligue des droits humains (Liga für Menschenrechte) hat beim belgischen Verfassungsgerichtshof eine Nichtigkeitsklage gegen das Gesetz vom 25. Dezember 2016(4) erhoben, mit dem die PNR-Richtlinie und die API-Richtlinie(5) in belgisches Recht umgesetzt wurden. Sie macht geltend, dieses Gesetz verletze das Recht auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten. Sie rügt den sehr großen Umfang der PNR-Daten sowie den allgemeinen Charakter ihrer Erhebung, Übermittlung und Verarbeitung. Außerdem schränke das Gesetz die Freizügigkeit ein, da mit ihm durch die Ausdehnung des PNR-Systems auf EU-Flüge sowie auf Beförderungen mit anderen Mitteln innerhalb der Union indirekt wieder Grenzkontrollen eingeführt würden.

In diesem Kontext hat der belgische Verfassungsgerichtshof dem Gerichtshof zehn Fragen zur Vorabentscheidung vorgelegt, die u. a. die Gültigkeit und die Auslegung der PNR-Richtlinie sowie die Anwendbarkeit der DSGVO(6) betreffen.

Aufgrund dieser Fragen befasst sich der Gerichtshof erneut mit der Verarbeitung der PNR-Daten im Hinblick auf die Grundrechte auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten(7), die in der Charta der Grundrechte der Europäischen Union(8) verankert sind. Die Große Kammer des Gerichtshofs bestätigt in ihrem Urteil die Gültigkeit der PNR-Richtlinie, da sie im Einklang mit der Charta ausgelegt werden kann, und nimmt Klarstellungen zur Auslegung einiger Bestimmungen der Richtlinie(9) vor.

Würdigung durch den Gerichtshof

Nach der Klärung der Frage, auf welche der in nationalen Rechtsvorschriften, die wie die in Rede stehenden sowohl die API-Richtlinie als auch die PNR-Richtlinie umsetzen sollen, vorgesehenen Verarbeitungen personenbezogener Daten die allgemeinen Regeln der DSGVO Anwendung finden(10), prüft der Gerichtshof die Gültigkeit der PNR-Richtlinie.

Zur Gültigkeit der PNR-Richtlinie

In seinem Urteil entscheidet der Gerichtshof, dass die Prüfung der vorgelegten Fragen nichts ergeben hat, was die Gültigkeit der PNR-Richtlinie berühren könnte, da seine Auslegung ihrer Bestimmungen im Licht der Grundrechte, die in den Art. 7, 8 und 21 sowie in Art. 52 Abs. 1 der Charta(11) verankert sind, die Vereinbarkeit dieser Richtlinie mit den genannten Artikeln gewährleistet.

Zunächst weist der Gerichtshof darauf hin, dass ein Rechtsakt der Union so weit wie möglich in einer seine Gültigkeit nicht in Frage stellenden Weise und im Einklang mit dem gesamten Primärrecht und insbesondere mit den Bestimmungen der Charta auszulegen ist. Dabei müssen die Mitgliedstaaten darauf achten, dass sie sich nicht auf eine Auslegung des Rechtsakts stützen, die mit den durch die Rechtsordnung der Union geschützten Grundrechten oder mit anderen in dieser Rechtsordnung anerkannten allgemeinen Grundsätzen kollidiert. Zur PNR-Richtlinie führt der Gerichtshof aus, dass eine ganze Reihe ihrer Erwägungsgründe und Bestimmungen eine solche Auslegung erfordern, und hebt die Bedeutung hervor, die der Unionsgesetzgeber – unter Bezugnahme auf ein hohes Datenschutzniveau – der uneingeschränkten Achtung der in der Charta verankerten Grundrechte beimisst.

Der Gerichtshof stellt fest, dass die PNR-Richtlinie mit fraglos schwerwiegenden Eingriffen in die durch die Art. 7 und 8 der Charta garantierten Rechte verbunden ist, insbesondere soweit sie auf die Schaffung eines Systems kontinuierlicher, nicht zielgerichteter und systematischer Überwachung abzielt, das die automatisierte Überprüfung personenbezogener Daten sämtlicher Personen einschließt, die Flugreisen unternehmen. Er weist darauf hin, dass die Möglichkeit für die Mitgliedstaaten, einen solchen Eingriff zu rechtfertigen, zu beurteilen ist, indem seine Schwere bestimmt und geprüft wird, ob die verfolgte dem Gemeinwohl dienende Zielsetzung dazu in angemessenem Verhältnis steht.

Der Gerichtshof kommt zu dem Schluss, dass die in der PNR-Richtlinie vorgesehene Übermittlung, Verarbeitung und Speicherung von PNR-Daten als auf das für die Bekämpfung terroristischer Straftaten und schwerer Kriminalität absolut Notwendige beschränkt angesehen werden kann, sofern die in der Richtlinie vorgesehenen Befugnisse eng ausgelegt werden. Hierzu enthält sein Urteil unter anderem folgende Ausführungen:

–        Das durch die PNR-Richtlinie eingeführte System darf sich nur auf die in den Rubriken ihres Anhangs I aufgeführten, klar identifizierbaren und umschriebenen Informationen erstrecken, die in Zusammenhang mit dem durchgeführten Flug und dem betreffenden Fluggast stehen. Dies bedeutet bei einigen Rubriken dieses Anhangs, dass nur die dort ausdrücklich genannten Angaben erfasst werden(12).

–        Die Anwendung des durch die PNR-Richtlinie geschaffenen Systems muss auf terroristische Straftaten und auf schwere Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit der Beförderung von Fluggästen beschränkt werden. Sie darf sich nicht auf strafbare Handlungen erstrecken, die zwar das in der Richtlinie vorgesehene Kriterium in Bezug auf den Schweregrad erfüllen und in ihrem Anhang II aufgeführt sind, angesichts der Besonderheiten des nationalen Strafrechtssystems aber zur gewöhnlichen Kriminalität gehören.

–        Die etwaige Ausdehnung der Anwendung der PNR-Richtlinie auf alle oder einen Teil der EU-Flüge aufgrund der den Mitgliedstaaten in der Richtlinie eingeräumten Befugnis muss sich auf das absolut Notwendige beschränken. Sie muss Gegenstand einer wirksamen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle sein können, deren Entscheidung bindend ist. Hierzu führt der Gerichtshof aus:

–        Nur in einer Situation, in der es nach der Einschätzung des betreffenden Mitgliedstaats hinreichend konkrete Umstände für die Annahme gibt, dass er mit einer als real und aktuell oder vorhersehbar einzustufenden terroristischen Bedrohung konfrontiert ist, werden die Grenzen des absolut Notwendigen nicht überschritten, wenn die PNR-Richtlinie für einen auf das absolut Notwendige begrenzten, aber verlängerbaren Zeitraum auf alle EU-Flüge aus oder nach diesem Mitgliedstaat angewandt wird(13).

–        Ohne eine solche terroristische Bedrohung darf die Anwendung der Richtlinie nicht auf alle EU-Flüge ausgedehnt werden, sondern muss sich auf EU-Flüge beschränken, die etwa bestimmte Flugverbindungen, bestimmte Reisemuster oder bestimmte Flughäfen betreffen, für die es nach der Einschätzung des betreffenden Mitgliedstaats Anhaltspunkte gibt, die eine Anwendung der Richtlinie rechtfertigen können. Die absolute Notwendigkeit ihrer Anwendung auf die ausgewählten EU-Flüge muss nach Maßgabe der Entwicklung der Bedingungen, die ihre Auswahl gerechtfertigt haben, regelmäßig überprüft werden.

–        Für die Zwecke der Vorabüberprüfung der PNR-Daten, die dazu dient, diejenigen Personen zu ermitteln, die vor ihrer Ankunft oder ihrem Abflug genauer überprüft werden müssen, und deren erster Schritt in automatisierten Verarbeitungen besteht, darf die PNR-Zentralstelle diese Daten zum einen nur mit Datenbanken betreffend Personen oder Gegenstände, nach denen gefahndet wird oder die Gegenstand einer Ausschreibung sind(14), abgleichen. Diese Datenbanken müssen frei von Diskriminierung sein und von den zuständigen Behörden im Zusammenhang mit der Bekämpfung terroristischer Straftaten und schwerer Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit der Beförderung von Fluggästen betrieben werden. Zum anderen darf die PNR-Zentralstelle bei der Vorabüberprüfung anhand im Voraus festgelegter Kriterien keine Technologien der künstlichen Intelligenz im Rahmen selbstlernender Systeme (machine learning) heranziehen, die – ohne menschliche Einwirkung und Kontrolle – den Bewertungsprozess und insbesondere die Bewertungskriterien, auf denen das Ergebnis der Anwendung dieses Prozesses beruht, sowie die Gewichtung der Kriterien ändern können. Die genannten Kriterien sind so festzulegen, dass sie speziell auf Personen abzielen, bei denen der begründete Verdacht einer Beteiligung an terroristischen Straftaten oder schwerer Kriminalität bestehen könnte, und dass sowohl „belastende“ als auch „entlastende“ Gesichtspunkte berücksichtigt werden; sie dürfen nicht zu unmittelbaren oder mittelbaren Diskriminierungen führen(15).

–        Angesichts der Fehlerquote, die solchen automatisierten Verarbeitungen der PNR-Daten innewohnt, und der erheblichen Zahl „falsch positiver“ Ergebnisse, die in den Jahren 2018 und 2019 bei ihrer Anwendung auftraten, hängt die Eignung des durch die PNR-Richtlinie geschaffenen Systems zur Erreichung der verfolgten Ziele im Wesentlichen vom ordnungsgemäßen Ablauf der Überprüfung der im Rahmen dieser Verarbeitungen erzielten Treffer ab, die von der PNR-Zentralstelle in einem zweiten Schritt mit nicht automatisierten Mitteln vorgenommen wird. Insoweit müssen die Mitgliedstaaten klare und präzise Regeln vorsehen, die Leitlinien und einen Rahmen für die von den Bediensteten der PNR-Zentralstelle, die mit der individuellen Überprüfung betraut sind, vorzunehmende Analyse vorgeben, um für die uneingeschränkte Achtung der in den Art. 7, 8 und 21 der Charta verankerten Grundrechte zu sorgen und insbesondere eine dem Diskriminierungsverbot Rechnung tragende kohärente Verwaltungspraxis innerhalb der PNR-Zentralstelle zu gewährleisten. Insbesondere müssen sie sich vergewissern, dass die PNR-Zentralstelle Kriterien für die objektive Überprüfung aufstellt, die es ihren Bediensteten ermöglichen, zum einen zu prüfen, ob und inwieweit ein Treffer (hit) tatsächlich eine Person betrifft, die möglicherweise an terroristischen Straftaten oder an schwerer Kriminalität beteiligt ist, und zum anderen, ob die automatisierten Verarbeitungen keinen diskriminierenden Charakter haben. Dabei müssen sich die zuständigen Behörden vergewissern, dass der Betroffene die Funktionsweise der im Voraus festgelegten Prüfkriterien und der Programme zu ihrer Anwendung verstehen und deshalb in Kenntnis aller Umstände entscheiden kann, ob er von seinem Recht auf Einlegung von Rechtsbehelfen Gebrauch macht. Desgleichen müssen im Rahmen eines solchen Rechtsbehelfs das mit der Rechtmäßigkeitsprüfung der Entscheidung der zuständigen Behörden betraute Gericht sowie, außer in Fällen einer Bedrohung der Sicherheit des Staates, der Betroffene selbst sowohl von allen Gründen als auch von den Beweisen, auf deren Grundlage diese Entscheidung getroffen wurde, Kenntnis erlangen können, einschließlich der im Voraus festgelegten Prüfkriterien und der Funktionsweise der Programme, mit denen diese Kriterien angewandt werden.

–        Nachträglich, d. h. nach der Ankunft oder dem Abflug der betreffenden Person, darf eine Zurverfügungstellung und Überprüfung der PNR-Daten nur aufgrund neuer Umstände und objektiver Anhaltspunkte erfolgen, die entweder geeignet sind, den begründeten Verdacht einer Beteiligung dieser Person an schwerer Kriminalität, die – zumindest mittelbar – einen objektiven Zusammenhang mit der Beförderung von Fluggästen aufweist, zu wecken, oder den Schluss zulassen, dass diese Daten in einem konkreten Fall einen wirksamen Beitrag zur Bekämpfung terroristischer Straftaten, die einen solchen Zusammenhang aufweisen, leisten könnten. Die Zurverfügungstellung der PNR-Daten zum Zweck einer solchen nachträglichen Überprüfung muss grundsätzlich – außer in hinreichend begründeten Eilfällen – einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle im Anschluss an einen mit Gründen versehenen Antrag der zuständigen Behörden unterworfen werden, unabhängig davon, ob der Antrag vor oder nach Ablauf der Frist von sechs Monaten ab der Übermittlung dieser Daten an die PNR-Zentralstelle gestellt wurde(16).

Zur Auslegung der PNR-Richtlinie

Im Anschluss an die Feststellung der Gültigkeit der PNR-Richtlinie gibt der Gerichtshof zusätzliche Erläuterungen zu ihrer Auslegung. Erstens führt er aus, dass in der Richtlinie die mit der Verarbeitung von PNR-Daten verfolgten Ziele abschließend aufgezählt werden. Daher steht sie nationalen Rechtsvorschriften entgegen, nach denen die Verarbeitung der PNR-Daten zu anderen Zwecken als zur Bekämpfung terroristischer Straftaten und schwerer Kriminalität zulässig ist. Somit sind nationale Rechtsvorschriften, die als Zweck der Verarbeitung der PNR-Daten überdies die Beaufsichtigung der erwähnten Aktivitäten durch die Nachrichten- und Sicherheitsdienste zulassen, geeignet, den abschließenden Charakter dieser Aufzählung zu missachten. Desgleichen darf das durch die PNR-Richtlinie geschaffene System nicht zum Zweck der Verbesserung der Grenzkontrollen und der Bekämpfung illegaler Einwanderung herangezogen werden(17). Daraus folgt ferner, dass die PNR-Daten nicht in einer einheitlichen Datenbank gespeichert werden dürfen, die zur Verfolgung sowohl der Ziele der PNR-Richtlinie als auch anderer Ziele konsultiert werden kann.

Zweitens erläutert der Gerichtshof den Begriff der unabhängigen nationalen Behörde, die für die Prüfung, ob die Bedingungen für die Offenlegung der PNR-Daten zum Zweck ihrer nachträglichen Überprüfung erfüllt sind, und für die Genehmigung ihrer Offenlegung zuständig ist. Insbesondere darf die als PNR-Zentralstelle errichtete Behörde diese Aufgabe nicht wahrnehmen, da sie gegenüber der den Zugriff auf die Daten begehrenden Behörde nicht die Eigenschaft eines Dritten hat. Das Personal der PNR-Zentralstelle kann nämlich aus Mitarbeitern bestehen, die von Behörden abgeordnet wurden, die befugt sind, einen solchen Zugriff zu beantragen, so dass die PNR-Zentralstelle zwangsläufig mit diesen Behörden verbunden ist. Daher steht die PNR-Richtlinie nationalen Rechtsvorschriften entgegen, nach denen die als PNR-Zentralstelle errichtete Behörde zugleich die für die Genehmigung der Offenlegung der PNR-Daten nach Ablauf der Frist von sechs Monaten ab ihrer Übermittlung an die PNR-Zentralstelle zuständige nationale Behörde ist.

Drittens entscheidet der Gerichtshof in Bezug auf die Speicherfrist der PNR-Daten, dass Art. 12 der PNR-Richtlinie im Licht der Art. 7 und 8 sowie von Art. 52 Abs. 1 der Charta nationalen Rechtsvorschriften entgegensteht, die eine allgemeine, unterschiedslos für alle Fluggäste geltende Speicherfrist dieser Daten von fünf Jahren vorsehen.

Dazu führt der Gerichtshof aus, dass sich nach Ablauf der ursprünglichen sechsmonatigen Speicherfrist die Speicherung von PNR-Daten nicht auf das absolut Notwendige beschränkt, wenn sie sich auf Fluggäste bezieht, bei denen weder die Vorabüberprüfung noch etwaige Überprüfungen während der ursprünglichen sechsmonatigen Speicherfrist oder irgendein anderer Umstand objektive Anhaltspunkte – wie die Tatsache, dass die PNR-Daten der betreffenden Fluggäste im Rahmen der Vorabüberprüfung zu einem überprüften Treffer führten – geliefert haben, die eine Gefahr im Bereich terroristischer Straftaten oder schwerer Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit ihrer Flugreise belegen können. Während des ursprünglichen Zeitraums von sechs Monaten überschreitet die Speicherung der PNR-Daten aller Fluggäste, für die das durch die PNR-Richtlinie geschaffene System gilt, dagegen grundsätzlich nicht die Grenzen des absolut Notwendigen.

Viertens befasst sich der Gerichtshof damit, ob die Anwendung der PNR-Richtlinie zur Bekämpfung terroristischer Straftaten und schwerer Kriminalität auf andere Arten der Personenbeförderung innerhalb der Union erstreckt werden kann. Er kommt zu dem Ergebnis, dass die Richtlinie, im Licht von Art. 3 Abs. 2 EUV, Art. 67 Abs. 2 AEUV und Art. 45 der Charta, einem System entgegensteht, wonach die PNR-Daten aller Beförderungen mit anderen Mitteln innerhalb der Union übermittelt und verarbeitet werden, ohne dass der betreffende Mitgliedstaat mit einer realen und aktuellen oder vorhersehbaren terroristischen Bedrohung konfrontiert ist. In einer solchen Situation muss die Anwendung des durch die PNR-Richtlinie geschaffenen Systems – wie bei den EU-Flügen – auf die PNR-Daten von Beförderungen beschränkt werden, die insbesondere bestimmte Verbindungen, bestimmte Reisemuster oder bestimmte Bahnhöfe oder Seehäfen betreffen, für die es Anhaltspunkte gibt, die seine Anwendung rechtfertigen können. Es ist Sache des betreffenden Mitgliedstaats, die Beförderungen, für die es solche Anhaltspunkte gibt, auszuwählen und sie nach Maßgabe der Entwicklung der Bedingungen, die ihre Auswahl gerechtfertigt haben, regelmäßig zu überprüfen.

1      Richtlinie (EU) 2016/681 des Europäischen Parlaments und des Rates vom 27. April 2016 über die Verwendung von Fluggastdatensätzen (PNR) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität (ABl. 2016, L 119, S. 132) (im Folgenden: PNR-Richtlinie).

2      Die Vorabüberprüfung dient dazu, diejenigen Personen zu ermitteln, die von den zuständigen Behörden genauer überprüft werden müssen, da sie möglicherweise an einer terroristischen Straftat oder an schwerer Kriminalität beteiligt sind. Sie wird systematisch und automatisiert durchgeführt, indem die PNR-Daten mit „maßgeblichen“ Datenbanken abgeglichen oder anhand im Voraus festgelegter Kriterien verarbeitet werden (Art. 6 Abs. 2 Buchst. a und Abs. 3 der PNR-Richtlinie).

3      Unter Inanspruchnahme der in Art. 2 der PNR-Richtlinie vorgesehenen Möglichkeit.

4      Gesetz vom 25. Dezember 2016 über die Verarbeitung von Passagierdaten (Moniteur belge vom 25. Januar 2017, S. 12905).

5      Richtlinie 2004/82/EG des Rates vom 29. April 2004 über die Verpflichtung von Beförderungsunternehmen, Angaben über die beförderten Personen zu übermitteln (ABl. 2004, L 261, S. 24, im Folgenden: API-Richtlinie). Diese Richtlinie regelt die Vorabübermittlung von Angaben über die beförderten Personen (wie Nummer und Art des mitgeführten Reisedokuments sowie die Staatsangehörigkeit) durch die Fluggesellschaften an die zuständigen nationalen Behörden als Mittel zur Verbesserung der Grenzkontrollen und zur Bekämpfung der illegalen Einwanderung.

6      Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO).

7      Der Gerichtshof hat bereits geprüft, ob das im Entwurf des Abkommens zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen vorgesehene System der Sammlung und Verarbeitung von PNR-Daten mit diesen Rechten vereinbar ist (Gutachten 1/15 [PNR-Abkommen EU–Kanada] vom 26. Juli 2017, EU:C:2017:592).

8      Im Folgenden: Charta.

9      Insbesondere von Art. 2 („Anwendung [der] Richtlinie auf EU-Flüge“), Art. 6 („Verarbeitung der PNR-Daten“) und Art. 12 („Speicherfrist und Depersonalisierung“) der PNR-Richtlinie.

10      Der Gerichtshof führt aus, dass die DSGVO für die Verarbeitung personenbezogener Daten gilt, die in Rechtsvorschriften über die Verarbeitung von Daten durch private Wirtschaftsteilnehmer sowie über die nur oder auch unter die API-Richtlinie fallende Verarbeitung von Daten durch Behörden vorgesehen ist. Die DSGVO gilt hingegen nicht für die in Rechtsvorschriften vorgesehene, nur unter die PNR-Richtlinie fallende Verarbeitung von Daten durch die PNR-Zentralstelle oder die zuständigen Behörden zur Bekämpfung terroristischer Straftaten und schwerer Kriminalität.

11      Nach dieser Bestimmung muss jede Einschränkung der Ausübung der in der Charta anerkannten Rechte und Freiheiten gesetzlich vorgesehen sein und ihren Wesensgehalt achten. Außerdem dürfen Einschränkungen dieser Rechte und Freiheiten nur vorgenommen werden, wenn sie erforderlich sind und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen.

12      So müssen sich die „Zahlungsinformationen“ (Rubrik 6 des Anhangs) auf die Modalitäten der Zahlung und die Abrechnung des Flugscheins beschränken, unter Ausschluss anderer Informationen ohne direkten Bezug zum Flug, und die „Allgemeinen Hinweise“ (Rubrik 12) dürfen sich nur auf die in dieser Rubrik ausdrücklich aufgezählten Angaben zu minderjährigen Fluggästen erstrecken.

13      Das Vorliegen einer derartigen Bedrohung ist nämlich als solches geeignet, einen Zusammenhang zwischen der Übermittlung und Verarbeitung der betreffenden Daten und der Bekämpfung des Terrorismus herzustellen. Daher werden die Grenzen des absolut Notwendigen nicht überschritten, wenn die PNR-Richtlinie für begrenzte Zeit Anwendung auf alle EU-Flüge aus oder nach dem betreffenden Mitgliedstaat findet; die Anordnung ihrer Anwendung muss Gegenstand einer Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle sein können.

14      Das heißt mit Datenbanken betreffend Personen oder Gegenstände, nach denen gefahndet wird oder die Gegenstand einer Ausschreibung sind (Art. 6 Abs. 3 Buchst. a der PNR-Richtlinie). Dagegen könnten Analysen anhand verschiedener Datenbanken die Form einer Datenexploration (data mining) annehmen und zu einer unverhältnismäßigen Nutzung dieser Daten führen, die es ermöglichen würde, ein genaues Profil der betreffenden Personen zu erstellen, nur weil sie eine Flugreise unternehmen wollen.

15      Die im Voraus festgelegten Kriterien müssen zielgerichtet, verhältnismäßig und bestimmt sein und regelmäßig überprüft werden (Art. 6 Abs. 4 der PNR-Richtlinie). Die Vorabüberprüfung anhand im Voraus festgelegter Kriterien muss in nicht diskriminierender Weise erfolgen. Nach Art. 6 Abs. 4 Satz 4 der PNR-Richtlinie dürfen die rassische oder ethnische Herkunft, die politischen Meinungen, die religiösen oder weltanschaulichen Überzeugungen, die Mitgliedschaft in einer Gewerkschaft, der Gesundheitszustand, das Sexualleben oder die sexuelle Orientierung einer Person unter keinen Umständen als Grundlage für diese Kriterien dienen.

16      Nach Art. 12 Abs. 1 und 3 der PNR-Richtlinie ist eine solche Kontrolle nur für Anfragen zwecks Zurverfügungstellung der PNR-Daten, die nach Ablauf der Sechsmonatsfrist ab der Übermittlung dieser Daten an die PNR-Zentralstelle gestellt werden, ausdrücklich vorgesehen.

17      Das heißt dem Zweck der API-Richtlinie.