URTEIL DES GERICHTSHOFS (Große Kammer)
21. Juni 2022(*)
Inhaltsverzeichnis
„Vorlage zur Vorabentscheidung – Verarbeitung personenbezogener Daten – Fluggastdatensätze (PNR) – Verordnung (EU) 2016/679 – Art. 2 Abs. 2 Buchst. d – Anwendungsbereich – Richtlinie (EU) 2016/681 – Verwendung von PNR-Daten der Fluggäste von Flügen zwischen der Union und Drittstaaten – Befugnis zur Einbeziehung von Daten der Fluggäste von Flügen innerhalb der Union – Automatisierte Verarbeitungen dieser Daten – Speicherfrist – Bekämpfung terroristischer Straftaten und schwerer Kriminalität – Gültigkeit – Charta der Grundrechte der Europäischen Union – Art. 7, 8 und 21 sowie Art. 52 Abs. 1 – Nationale Rechtsvorschriften, mit denen die Anwendung des PNR-Systems auf andere Beförderungen innerhalb der Union ausgedehnt wird – Freizügigkeit innerhalb der Union – Charta der Grundrechte – Art. 45“
In der Rechtssache C‑817/19
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht von der Cour constitutionnelle (Verfassungsgerichtshof, Belgien) mit Entscheidung vom 17. Oktober 2019, beim Gerichtshof eingegangen am 31. Oktober 2019, in dem Verfahren
Ligue des droits humains
gegen
Conseil des ministres
erlässt
DER GERICHTSHOF (Große Kammer)
unter Mitwirkung des Präsidenten K. Lenaerts, der Kammerpräsidenten A. Arabadjiev, S. Rodin, I. Jarukaitis und N. Jääskinen, der Richter T. von Danwitz (Berichterstatter), M. Safjan, F. Biltgen, P. G. Xuereb und N. Piçarra, der Richterin L. S. Rossi sowie der Richter A. Kumin und N. Wahl,
Generalanwalt: G. Pitruzzella,
Kanzler: M. Krausenböck, Verwaltungsrätin,
aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 13. Juli 2021,
unter Berücksichtigung der Erklärungen
– der Ligue des droits humains, vertreten durch C. Forget, Avocate,
– der belgischen Regierung, vertreten durch P. Cottin, J.‑C. Halleux, C. Pochet und M. Van Regemorter als Bevollmächtigte im Beistand von C. Caillet, Advocaat, E. Jacubowitz, Avocat, sowie G. Ceuppens, V. Dethy und D. Vertongen,
– der tschechischen Regierung, vertreten durch T. Machovičová, O. Serdula, M. Smolek und J. Vláčil als Bevollmächtigte,
– der dänischen Regierung, vertreten durch M. Jespersen, J. Nymann-Lindegren, V. Pasternak Jørgensen und M. Søndahl Wolff als Bevollmächtigte,
– der deutschen Regierung, vertreten durch D. Klebs und J. Möller als Bevollmächtigte,
– der estnischen Regierung, vertreten durch N. Grünberg als Bevollmächtigte,
– Irlands, vertreten durch M. Browne, A. Joyce und J. Quaney als Bevollmächtigte im Beistand von D. Fennelly, BL,
– der spanischen Regierung, vertreten durch L. Aguilera Ruiz als Bevollmächtigten,
– der französischen Regierung, vertreten durch D. Dubois, E. de Moustier und T. Stehelin als Bevollmächtigte,
– der zyprischen Regierung, vertreten durch E. Neofytou als Bevollmächtigte,
– der lettischen Regierung, vertreten durch E. Bārdiņš, K. Pommere und V. Soņeca als Bevollmächtigte,
– der niederländischen Regierung, vertreten durch M. K. Bulterman, A. Hanje, J. Langer und C. S. Schillemans als Bevollmächtigte,
– der österreichischen Regierung, vertreten durch G. Kunnert, A. Posch und J. Schmoll als Bevollmächtigte,
– der polnischen Regierung, vertreten durch B. Majczyna als Bevollmächtigten,
– der slowakischen Regierung, vertreten durch B. Ricziová als Bevollmächtigte,
– der finnischen Regierung, vertreten durch A. Laine und H. Leppo als Bevollmächtigte,
– des Europäischen Parlaments, vertreten durch O. Hrstková Šolcová und P. López-Carceller als Bevollmächtigte,
– des Rates der Europäischen Union, vertreten durch J. Lotarski, N. Rouam, E. Sitbon und C. Zadra als Bevollmächtigte,
– der Europäischen Kommission, vertreten durch D. Nardi und M. Wasmeier als Bevollmächtigte,
– des Europäischen Datenschutzbeauftragten, vertreten durch P. Angelov, A. Buchta, F. Coudert und C.‑A. Marnier als Bevollmächtigte,
– der Agentur der Europäischen Union für Grundrechte, vertreten durch L. López, T. Molnar, M. Nespor und M. O’Flaherty als Bevollmächtigte,
nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 27. Januar 2022
folgendes
Urteil
1 Das Vorabentscheidungsersuchen betrifft im Wesentlichen
– die Auslegung von Art. 2 Abs. 2 Buchst. d und Art. 23 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO), der Richtlinie 2004/82/EG des Rates vom 29. April 2004 über die Verpflichtung von Beförderungsunternehmen, Angaben über die beförderten Personen zu übermitteln (ABl. 2004, L 261, S. 24, im Folgenden: API-Richtlinie), sowie der Richtlinie 2010/65/EU des Europäischen Parlaments und des Rates vom 20. Oktober 2010 über Meldeformalitäten für Schiffe beim Einlaufen in und/oder Auslaufen aus Häfen der Mitgliedstaaten und zur Aufhebung der Richtlinie 2002/6/EG (ABl. 2010, L 283, S. 1),
– die Auslegung und die Gültigkeit, im Hinblick auf die Art. 7 und 8 sowie Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta), von Art. 3 Nr. 4, der Art. 6 und 12 sowie von Anhang I der Richtlinie (EU) 2016/681 des Europäischen Parlaments und des Rates vom 27. April 2016 über die Verwendung von Fluggastdatensätzen (PNR) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität (ABl. 2016, L 119, S. 132, im Folgenden: PNR-Richtlinie) und
– die Auslegung und die Gültigkeit der API-Richtlinie im Hinblick auf Art. 3 Abs. 2 EUV und Art. 45 der Charta.
2 Es ergeht im Rahmen eines Rechtsstreits zwischen der Ligue des droits humains und dem Conseil des ministres (Ministerrat, Belgien) wegen der Rechtmäßigkeit des Gesetzes vom 25. Dezember 2016 über die Verarbeitung von Passagierdaten.
I. Rechtlicher Rahmen
A. Unionsrecht
1. Richtlinie 95/46/EG
3 Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31) wurde durch die DSGVO mit Wirkung vom 25. Mai 2018 aufgeboben. Ihr Art. 3 Abs. 2 lautete:
„Diese Richtlinie findet keine Anwendung auf die Verarbeitung personenbezogener Daten,
– die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI des Vertrags über die Europäische Union, und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt) und die Tätigkeiten des Staates im strafrechtlichen Bereich;
– die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird.“
2. API-Richtlinie
4 Die Erwägungsgründe 1, 7, 9 und 12 der API-Richtlinie lauten:
„(1) Um die illegale Einwanderung wirksam zu bekämpfen und die Grenzkontrollen zu verbessern, ist es von grundlegender Bedeutung, dass sich alle Mitgliedstaaten einen Regelungsrahmen geben, der die Verpflichtungen derjenigen Luftfahrtunternehmen festlegt, die beförderte Personen in das Hoheitsgebiet der Mitgliedstaaten verbringen. Damit dieses Ziel wirksamer erreicht werden kann, ist ferner unter Berücksichtigung der Unterschiede in den Rechtsordnungen und der Rechtspraxis der Mitgliedstaaten eine möglichst weitgehende Harmonisierung der in den Mitgliedstaaten vorgesehenen finanziellen Sanktionen bei einer Verletzung der den Beförderungsunternehmen obliegenden Verpflichtungen angezeigt.
…
(7) Die den Beförderungsunternehmen kraft dieser Richtlinie aufzuerlegenden Verpflichtungen ergänzen die Verpflichtungen, die nach Artikel 26 des Übereinkommens vom 19. Juni 1990 zur Durchführung des Übereinkommens von Schengen vom 14. Juni 1985, ergänzt durch die Richtlinie 2001/51/EG des Rates [vom 28. Juni 2001 zur Ergänzung der Regelungen nach Artikel 26 des Übereinkommens zur Durchführung des Übereinkommens von Schengen vom 14. Juni 1985 (ABl. 2001, L 187, S. 45)], festgelegt wurden; beide Arten von Verpflichtungen dienen demselben Ziel, nämlich der Eindämmung der Zuwanderungsströme und der Bekämpfung der illegalen Einwanderung.
…
(9) Zur wirksameren Bekämpfung der illegalen Einwanderung und zur Gewährleistung einer effizienteren Verwirklichung dieses Ziels ist es unbedingt erforderlich, unbeschadet der Richtlinie [95/46] etwaigen technologischen Innovationen frühestmöglich Rechnung zu tragen, insbesondere der Einbeziehung und Nutzung biometrischer Merkmale im Rahmen der von den Beförderungsunternehmen zu erteilenden Informationen.
…
(12) Die Richtlinie [95/46] findet auf die Verarbeitung personenbezogener Daten durch die Behörden der Mitgliedstaaten Anwendung. Das bedeutet, dass zwar die Verarbeitung von Angaben über die beförderten Personen, die zur Durchführung von Grenzkontrollen übermittelt wurden, auch zum Zweck ihrer Nutzung als Beweismittel in Verfahren, die der Durchsetzung von Rechtsvorschriften und Regelungen im Bereich der Einreise und der Einwanderung einschließlich der darin enthaltenen Bestimmungen zum Schutz der öffentlichen Ordnung und der nationalen Sicherheit dienen, rechtmäßig wäre, jede weitere Verarbeitung, die mit diesen Zwecken unvereinbar wäre, würde jedoch dem in Artikel 6 Absatz 1 Buchstabe b) der Richtlinie [95/46] festgelegten Grundsatz widersprechen. Die Mitgliedstaaten sollten eine Sanktionsregelung für den Fall vorsehen, dass diese Daten auf eine dem Zweck der vorliegenden Richtlinie zuwiderlaufende Weise verwendet werden.“
5 Art. 1 („Zweck“) der API-Richtlinie sieht vor:
„Zweck dieser Richtlinie ist es, die Grenzkontrollen zu verbessern und die illegale Einwanderung zu bekämpfen, indem die Beförderungsunternehmen Angaben über die beförderten Personen vorab an die zuständigen nationalen Behörden übermitteln.“
6 Art. 2 („Begriffsbestimmungen“) der API-Richtlinie bestimmt:
„Im Sinne dieser Richtlinie gelten folgende Begriffsbestimmungen:
a) ‚Beförderungsunternehmen‘: eine natürliche oder juristische Person, die gewerblich die Beförderung von Personen auf dem Luftweg durchführt;
b) ‚Außengrenzen‘: die Außengrenzen der Mitgliedstaaten zu Drittstaaten;
c) ‚Grenzkontrolle‘: eine an den Grenzen vorgenommene Kontrolle, die unabhängig von jedem anderen Anlass ausschließlich aufgrund des beabsichtigten Grenzübertritts durchgeführt wird;
d) ‚Grenzübergangsstelle‘: ein von den zuständigen Behörden für das Überschreiten der Außengrenzen zugelassener Übergang;
e) die Ausdrücke ‚personenbezogene Daten‘, ‚Verarbeitung personenbezogener Daten‘ und ‚Datei mit personenbezogenen Daten‘ haben die Bedeutung gemäß Artikel 2 der Richtlinie [95/46].“
7 Art. 3 („Datenübermittlung“) der API-Richtlinie bestimmt in den Abs. 1 und 2:
„(1) Die Mitgliedstaaten unternehmen die erforderlichen Schritte, um die Beförderungsunternehmen zu verpflichten, auf Anfrage der mit der Durchführung der Personenkontrollen an den Außengrenzen beauftragten Behörden bei Abschluss des Check-in die Angaben über die Personen zu übermitteln, die sie zu einer zugelassenen Grenzübergangsstelle befördern werden, über die diese Personen in das Hoheitsgebiet eines Mitgliedstaats einreisen werden.
(2) Zu diesen Angaben zählen:
– die Nummer und die Art des mitgeführten Reisedokuments,
– die Staatsangehörigkeit,
– der vollständige Name,
– das Geburtsdatum,
– die Grenzübergangsstelle für die Einreise in das Hoheitsgebiet der Mitgliedstaaten,
– die Beförderungs-Codenummer,
– die Abreise- und Ankunftszeit,
– die Gesamtzahl der mit der betreffenden Beförderung beförderten Personen,
– der ursprüngliche Abreiseort.“
8 Art. 6 („Datenverarbeitung“) der API-Richtlinie lautet:
„(1) Die personenbezogenen Daten gemäß Artikel 3 Absatz 1 werden an die Behörden übermittelt, die mit der Durchführung der Personenkontrolle an den Außengrenzen, über die die beförderte Person in das Hoheitsgebiet eines Mitgliedstaats einreisen wird, beauftragt sind; dies dient dem Zweck, die Durchführung der Kontrolle zur wirksameren Bekämpfung der illegalen Einwanderung zu erleichtern.
Die Mitgliedstaaten tragen dafür Sorge, dass diese Daten von den Beförderungsunternehmen erfasst und auf elektronischem oder, sollte die Übertragung nicht gelingen, auf jedem anderen geeigneten Weg an die Behörden übermittelt werden, die mit der Durchführung der Grenzkontrollen an der zugelassenen Grenzübergangsstelle beauftragt sind, über die die beförderte Person in das Hoheitsgebiet eines Mitgliedstaats einreisen wird. Die für die Personenkontrollen an den Außengrenzen zuständigen Behörden speichern die Daten in einer vorläufigen Datei.
Nach der Einreise der beförderten Personen werden die Daten von den genannten Behörden binnen 24 Stunden nach ihrer Übermittlung gelöscht, es sei denn, sie werden zu einem späteren Zeitpunkt nach Maßgabe der nationalen Rechtsvorschriften und unter Wahrung der Datenschutzbestimmungen der Richtlinie [95/46] zur Wahrnehmung der gesetzlichen Aufgaben durch die Behörden benötigt, die für die Personenkontrollen an den Außengrenzen zuständig sind.
Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um die Beförderungsunternehmen zu verpflichten, binnen 24 Stunden nach Ankunft des Beförderungsmittels die von ihnen gemäß Artikel 3 Absatz 1 für die Zwecke dieser Richtlinie erfassten und übermittelten personenbezogenen Daten zu löschen.
Nach Maßgabe ihrer nationalen Rechtsvorschriften und der Datenschutzbestimmungen der Richtlinie [95/46] können die Mitgliedstaaten die personenbezogenen Daten gemäß Artikel 3 Absatz 1 auch zu Strafverfolgungszwecken verwenden.
(2) Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um die Beförderungsunternehmen zu verpflichten, dass sie die beförderten Personen gemäß der Richtlinie [95/46] unterrichten. Dazu zählen auch die Informationen gemäß Artikel 10 Buchstabe c) und Artikel 11 Absatz 1 Buchstabe c) der Richtlinie [95/46].“
3. Richtlinie 2010/65
9 Die Richtlinie 2010/65 wird nach Art. 25 der Verordnung (EU) 2019/1239 des Europäischen Parlaments und des Rates vom 20. Juni 2019 zur Einrichtung eines europäischen Umfelds zentraler Meldeportale für den Seeverkehr und zur Aufhebung der Richtlinie 2010/65 (ABl. 2019, L 198, S. 64) mit Wirkung vom 15. August 2025 aufgehoben.
10 Im zweiten Erwägungsgrund der Richtlinie 2010/65 heißt es:
„Zur Erleichterung des Seeverkehrs und zur Verringerung des Verwaltungsaufwands für Seeschifffahrtsunternehmen müssen die von Rechtsakten der Union und von den Mitgliedstaaten vorgesehenen Meldeformalitäten so weit wie möglich vereinfacht und harmonisiert werden. …“
11 Art. 1 („Gegenstand und Anwendungsbereich“) der Richtlinie 2010/65 bestimmt in den Abs. 1 und 2:
„(1) Zweck dieser Richtlinie ist die Vereinfachung und Harmonisierung der Verwaltungsverfahren im Seeverkehr durch die allgemeine Nutzung elektronischer Systeme für die Datenübermittlung und durch die Rationalisierung der Meldeformalitäten.
(2) Diese Richtlinie gilt für die im Seeverkehr für Schiffe beim Einlaufen in und beim Auslaufen aus Häfen der Mitgliedstaaten geltenden Meldeformalitäten.“
12 Art. 8 („Vertraulichkeit“) der Richtlinie 2010/65 lautet:
„(1) Im Einklang mit den anwendbaren Rechtsakten der Union oder den einzelstaatlichen Rechtsvorschriften ergreifen die Mitgliedstaaten alle notwendigen Maßnahmen, um die Vertraulichkeit der nach dieser Richtlinie ausgetauschten geschäftlichen und anderen Informationen zu wahren.
(2) Die Mitgliedstaaten achten insbesondere darauf, den Schutz der gemäß dieser Richtlinie gesammelten geschäftlichen Daten zu gewährleisten. In Bezug auf personenbezogene Daten stellen die Mitgliedstaaten sicher, dass sie die Richtlinie [95/46] einhalten. Die Organe und Einrichtungen der [Europäischen] Union stellen sicher, dass sie die Verordnung (EG) Nr. 45/2001 [des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. 2001, L 8, S. 1)] einhalten.“
4. DSGVO
13 Im 19. Erwägungsgrund der DSGVO heißt es:
„Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, sowie der freie Verkehr dieser Daten sind in einem eigenen Unionsrechtsakt geregelt. Deshalb sollte diese Verordnung auf Verarbeitungstätigkeiten dieser Art keine Anwendung finden. Personenbezogene Daten, die von Behörden nach dieser Verordnung verarbeitet werden, sollten jedoch, wenn sie zu den vorstehenden Zwecken verwendet werden, einem spezifischeren Unionsrechtsakt, nämlich der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates [vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. 2016, L 119, S. 89)] unterliegen. Die Mitgliedstaaten können die zuständigen Behörden im Sinne der [Richtlinie 2016/680] mit Aufgaben betrauen, die nicht zwangsläufig für die Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, ausgeführt werden, so dass die Verarbeitung von personenbezogenen Daten für diese anderen Zwecke insoweit in den Anwendungsbereich dieser Verordnung fällt, als sie in den Anwendungsbereich des Unionsrechts fällt.
…“
14 Art. 2 („Sachlicher Anwendungsbereich“) der DSGVO bestimmt in den Abs. 1 und 2:
„(1) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
(2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,
b) durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
…
d) durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.“
15 Art. 4 („Begriffsbestimmungen“) der DSGVO sieht vor:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. ‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person … beziehen; …
2. ‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
…“
16 Art. 23 („Beschränkungen“) der DSGVO bestimmt:
„(1) Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:
a) die nationale Sicherheit;
b) die Landesverteidigung;
c) die öffentliche Sicherheit;
d) die Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;
…
h) Kontroll‑, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben a bis e und g genannten Zwecke verbunden sind[.]
(2) Jede Gesetzgebungsmaßnahme im Sinne des Absatzes 1 muss insbesondere gegebenenfalls spezifische Vorschriften enthalten zumindest in Bezug auf
a) die Zwecke der Verarbeitung oder die Verarbeitungskategorien,
b) die Kategorien personenbezogener Daten,
c) den Umfang der vorgenommenen Beschränkungen,
d) die Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder unrechtmäßige Übermittlung,
e) die Angaben zu dem Verantwortlichen oder den Kategorien von Verantwortlichen,
f) die jeweiligen Speicherfristen sowie die geltenden Garantien unter Berücksichtigung von Art, Umfang und Zwecken der Verarbeitung oder der Verarbeitungskategorien,
g) die Risiken für die Rechte und Freiheiten der betroffenen Personen und
h) das Recht der betroffenen Personen auf Unterrichtung über die Beschränkung, sofern dies nicht dem Zweck der Beschränkung abträglich ist.“
17 Art. 94 („Aufhebung der Richtlinie [95/46]“) der DSGVO lautet:
„(1) Die Richtlinie [95/46] wird mit Wirkung vom 25. Mai 2018 aufgehoben.
(2) Verweise auf die aufgehobene Richtlinie gelten als Verweise auf die vorliegende Verordnung. Verweise auf die durch Artikel 29 der Richtlinie [95/46] eingesetzte Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten gelten als Verweise auf den kraft dieser Verordnung errichteten Europäischen Datenschutzausschuss.“
5. Richtlinie 2016/680
18 Mit der Richtlinie 2016/680 wurde gemäß ihrem Art. 59 der Rahmenbeschluss 2008/977/JI des Rates vom 27. November 2008 über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden (ABl. 2008, L 350, S. 60), mit Wirkung vom 6. Mai 2018 aufgehoben und ersetzt.
19 Die Erwägungsgründe 9 bis 11 der Richtlinie 2016/680 lauten:
„(9) Auf dieser Grundlage sind in der [DSGVO] allgemeine Bestimmungen für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr personenbezogener Daten in der Union niedergelegt.
(10) In der Erklärung Nr. 21 zum Schutz personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit im Anhang zur Schlussakte der Regierungskonferenz, die den Vertrag von Lissabon annahm, erkannte die Regierungskonferenz an, dass es sich aufgrund der Besonderheiten dieser Bereiche als erforderlich erweisen könnte, auf Artikel 16 AEUV gestützte spezifische Vorschriften über den Schutz personenbezogener Daten und den freien Verkehr personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit zu erlassen.
(11) Daher sollte diesen Bereichen durch eine Richtlinie Rechnung getragen werden, die spezifische Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, enthält, wobei den Besonderheiten dieser Tätigkeiten Rechnung getragen wird. Diese zuständigen Behörden können nicht nur staatliche Stellen wie die Justizbehörden, die Polizei oder andere Strafverfolgungsbehörden einschließen, sondern auch alle anderen Stellen oder Einrichtungen, denen durch das Recht der Mitgliedstaaten die Ausübung öffentlicher Gewalt und hoheitlicher Befugnisse für die Zwecke dieser Richtlinie übertragen wurde. Wenn solche Stellen oder Einrichtungen jedoch personenbezogene Daten zu anderen Zwecken als denen dieser Richtlinie verarbeiten, gilt die [DSGVO]. Daher gilt die [DSGVO] in Fällen, in denen eine Stelle oder Einrichtung personenbezogene Daten zu anderen Zwecken erhebt und diese personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung, der sie unterliegt, weiterverarbeitet. Zum Beispiel speichern Finanzinstitute zum Zwecke der Ermittlung, Aufdeckung oder Verfolgung von Straftaten bestimmte personenbezogene Daten, die sie verarbeiten, und stellen sie nur den zuständigen nationalen Behörden in bestimmten Fällen und in Einklang mit dem Recht der Mitgliedstaaten zur Verfügung. Eine Stelle oder Einrichtung, die personenbezogene Daten im Rahmen des Anwendungsbereichs dieser Richtlinie für solche Behörden verarbeitet, sollte auf Grundlage eines Vertrags oder eines anderen Rechtsinstruments und durch die für Auftragsverarbeiter nach dieser Richtlinie geltenden Bestimmungen gebunden sein, wobei die Anwendung der [DSGVO] in Bezug auf die Verarbeitung personenbezogener Daten, die der Auftragsverarbeiter außerhalb des Anwendungsbereichs dieser Richtlinie durchführt, unberührt bleibt.“
20 Art. 1 („Gegenstand und Ziele“) der Richtlinie 2016/680, der im Wesentlichen Art. 1 des Rahmenbeschlusses 2008/977 entspricht, sieht in Abs. 1 vor:
„Diese Richtlinie enthält Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.“
21 In Art. 3 („Begriffsbestimmungen“) der Richtlinie 2016/680 heißt es:
„Im Sinne dieser Richtlinie bezeichnet der Ausdruck:
…
7. ‚zuständige Behörde‘
a) eine staatliche Stelle, die für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, zuständig ist, oder
b) eine andere Stelle oder Einrichtung, der durch das Recht der Mitgliedstaaten die Ausübung öffentlicher Gewalt und hoheitlicher Befugnisse zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder zur Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, übertragen wurde;
…“
6. PNR-Richtlinie
22 Die Erwägungsgründe 4 bis 12, 15, 19, 20, 22, 25, 27, 28, 33, 36 und 37 der PNR-Richtlinie lauten:
„(4) Die [API-Richtlinie] regelt die Vorabübermittlung von Angaben über die beförderten Personen (im Folgenden ‚API-Daten‘) durch die Fluggesellschaften an die zuständigen nationalen Behörden als Mittel zur Verbesserung der Grenzkontrollen und zur Bekämpfung der illegalen Einwanderung.
(5) Die Ziele dieser Richtlinie bestehen unter anderem darin, für Sicherheit zu sorgen, das Leben und die Sicherheit von Personen zu schützen und einen Rechtsrahmen für den Schutz von PNR-Daten in Bezug auf deren Verarbeitung durch die zuständigen Behörden zu schaffen.
(6) Die effektive Verwendung von PNR-Daten, indem z. B. PNR-Daten mit verschiedenen Datenbanken betreffend Personen und Gegenstände abgeglichen werden, ist notwendig, um terroristische Straftaten und schwere Kriminalität zu verhüten, aufzudecken, zu ermitteln und zu verfolgen und damit einen Beitrag zur inneren Sicherheit zu leisten, um Beweismaterial zusammenzutragen und gegebenenfalls Komplizen von Straftätern aufzuspüren und kriminelle Netze auszuheben.
(7) Anhand einer Überprüfung von PNR-Daten können Personen ermittelt werden, die vor einer solchen Überprüfung nicht im Verdacht standen, an terroristischen Straftaten oder schwerer Kriminalität beteiligt zu sein, und die von den zuständigen Behörden genauer überprüft werden sollten. Durch die Verwendung von PNR-Daten ist es möglich, die Bedrohung durch terroristische Straftaten und schwere Kriminalität anders anzugehen, als dies durch Verarbeitung anderer Kategorien personenbezogener Daten möglich wäre. Damit die Verarbeitung von PNR-Daten jedoch auf das Erforderliche beschränkt bleibt, sollten die Aufstellung und Anwendung von Prüfkriterien auf terroristische Straftaten und schwere Kriminalität, für die die Anwendung solcher Kriterien maßgeblich ist, beschränkt werden. Darüber hinaus sollten die Prüfkriterien so festgelegt werden, dass die Zahl unschuldiger Personen, die fälschlicherweise vom System identifiziert werden, auf ein Minimum beschränkt wird.
(8) Die Fluggesellschaften erheben und verarbeiten bereits PNR-Daten ihrer Fluggäste für ihre eigenen geschäftlichen Zwecke. Durch diese Richtlinie sollten weder Fluggesellschaften dazu verpflichtet werden, weitere Fluggastdaten zu erheben oder vorzuhalten, noch sollte von den Fluggästen verlangt werden, dass sie neben den Daten, die die Fluggesellschaften bereits von ihnen erhalten, noch zusätzliche Daten bereitstellen.
(9) Einige Fluggesellschaften halten API-Daten, die sie erheben, als Teil der PNR-Daten vor, während andere dies nicht tun. Die Verwendung von PNR-Daten zusammen mit API-Daten bietet einen Mehrwert, indem sie den Mitgliedstaaten die Feststellung der Identität einer Person erleichtert, mithin den Nutzen dieses Ergebnisses für die Verhütung, Aufdeckung und Ermittlung von Straftaten erhöht und die Gefahr minimiert, dass Überprüfungen und Ermittlungen zu unschuldigen Personen durchgeführt werden. Es muss daher sichergestellt werden, dass Fluggesellschaften, die API-Daten erheben, diese übermitteln, unabhängig davon, ob sie API-Daten auf andere technische Weise als PNR-Daten vorhalten.
(10) Für die Verhütung, Aufdeckung, Ermittlung und Verfolgung von Terrorismus und schwerer Kriminalität ist es außerordentlich wichtig, dass alle Mitgliedstaaten Vorschriften erlassen, mit denen Fluggesellschaften, die Drittstaatsflüge durchführen, dazu verpflichtet werden, von ihnen erhobene PNR-Daten, einschließlich API-Daten, zu übermitteln. Die Mitgliedstaaten sollten auch die Möglichkeit haben, diese Verpflichtung auf Fluggesellschaften auszudehnen, die EU-Flüge durchführen. Diese Bestimmungen sollten die [API-Richtlinie] unberührt lassen.
(11) Die Verarbeitung von personenbezogenen Daten sollte in einem angemessenen Verhältnis zu den mit dieser Richtlinie verfolgten bestimmten Sicherheitsinteressen stehen.
(12) Die in dieser Richtlinie zugrunde gelegte Definition für ‚terroristische Straftaten‘ sollte mit der Definition im Rahmenbeschluss 2002/475/JI des Rates [vom 13. Juni 2002 zur Bekämpfung des Terrorismus (ABl. 2002, L 164, S. 3)] identisch sein. Die Definition der schweren Kriminalität sollte die in Anhang II dieser Richtlinie genannten Kategorien von Straftaten umfassen.
…
(15) Eine Liste mit den PNR-Daten, die für eine PNR-Zentralstelle bestimmt sind, sollte erstellt [werden] und inhaltlich so zusammengesetzt sein, dass sie sowohl den legitimen Bedürfnissen der Behörden im Zusammenhang mit der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität gerecht werden und damit einen Beitrag zur inneren Sicherheit in der Union leisten als auch dem Grundrechtsschutz und insbesondere dem Schutz der Privatsphäre des Einzelnen und seiner personenbezogenen Daten Genüge tun. Zu diesem Zweck sollten hohe Standards zur Anwendung kommen, die mit der [Charta], dem Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Übereinkommen Nr. 108) und der [am 4. November 1950 in Rom unterzeichneten] Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK) im Einklang stehen. Eine solche Liste sollte nicht auf der Rasse oder ethnischen Herkunft, der Religion oder der Weltanschauung, der politischen oder sonstigen Meinungen, der Mitgliedschaft in einer Gewerkschaft, dem Gesundheitszustand, dem Sexualleben oder der sexuellen Orientierung einer Person beruhen. Die PNR-Daten sollten nur jene Details über den Buchungsvorgang und die Reiseroute von Fluggästen beinhalten, mit deren Hilfe die zuständigen Stellen diejenigen Fluggäste ermitteln können, die eine Bedrohung für die innere Sicherheit darstellen.
…
(19) Jeder Mitgliedstaat sollte eine Einschätzung der potenziellen Bedrohung durch terroristische Straftaten und schwere Kriminalität vornehmen.
(20) Um das Recht auf Schutz der personenbezogenen Daten und auf Nichtdiskriminierung umfassend zu wahren, sollten Entscheidungen, aus denen sich für die betreffende Person eine nachteilige Rechtsfolge oder ein sonstiger schwerwiegender Nachteil ergeben könnten, nicht allein aufgrund der automatisierten Verarbeitung von PNR-Daten getroffen werden dürfen. Ebenso wenig sollten solche Entscheidungen – in Anbetracht der Artikel 8 und 21 der Charta – eine Diskriminierung aus Gründen wie dem Geschlecht, der Rasse, der Hautfarbe, der ethnischen oder sozialen Herkunft, den genetischen Merkmalen, der Sprache, der Religion oder der Weltanschauung, der politischen oder sonstigen Anschauung, der Zugehörigkeit zu einer nationalen Minderheit, dem Vermögen, der Geburt, einer Behinderung, dem Alter oder der sexuellen Orientierung einer Person darstellen. Wenn die Kommission die Anwendung dieser Richtlinie überprüft, sollte sie auch diese Grundsätze berücksichtigen.
…
(22) Unter uneingeschränkter Berücksichtigung der in der jüngeren maßgeblichen Rechtsprechung des Gerichtshofs der Europäischen Union dargelegten Grundsätze sollte bei der Anwendung dieser Richtlinie sichergestellt werden, dass die Grundrechte, das Recht auf Privatsphäre und der Grundsatz der Verhältnismäßigkeit in vollem Umfang geachtet werden. Sie sollte auch wirklich den Zielen dessen, was erforderlich und verhältnismäßig ist, um die von der Union anerkannten allgemeinen Interessen zu wahren, und der Notwendigkeit entsprechen, die Rechte und Freiheiten anderer bei der Bekämpfung von terroristischen Straftaten und schwerer Kriminalität zu schützen. Die Anwendung dieser Richtlinie sollte ordnungsgemäß gerechtfertigt und die notwendigen Sicherheitsvorkehrungen [sollten] getroffen werden, um die Rechtmäßigkeit einer etwaigen Speicherung, Auswertung, Übermittlung oder Verwendung von PNR-Daten sicherzustellen.
…
(25) Der Zeitraum, für den die PNR-Daten vorgehalten werden sollen, sollte so lang sein, wie dies für den mit ihnen verfolgten Zweck der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten sowie schwerer Kriminalität erforderlich ist, und in einem angemessenen Verhältnis dazu stehen. Das Wesen der PNR-Daten und ihr Verwendungszweck bringen es mit sich, dass diese so lange gespeichert werden müssen wie nötig, um sie auswerten und für Ermittlungen nutzen zu können. Um einen unverhältnismäßigen Rückgriff auf die Daten auszuschließen, sollten die PNR-Daten nach der anfänglichen Speicherfrist durch Unkenntlichmachung von Datenelementen depersonalisiert werden. Um das höchste Datenschutzniveau zu gewährleisten, sollte Zugriff auf die vollständigen PNR-Daten, die die unmittelbare Identifizierung der betroffenen Person ermöglichen, nach dieser anfänglichen Frist nur unter eingeschränkten, sehr strengen Bedingungen gewährt werden.
…
(27) Für die Verarbeitung der PNR-Daten durch die PNR-Zentralstelle und die zuständigen Behörden der einzelnen Mitgliedstaaten sollte nationales Recht ein Datenschutzniveau im Einklang mit dem Rahmenbeschluss [2008/977] und den in dieser Richtlinie festgelegten bestimmten Anforderungen an den Datenschutz vorsehen. Bezugnahmen auf den Rahmenbeschluss [2008/977] sollten als Bezugnahmen auf derzeit geltende Rechtsvorschriften sowie auf Rechtsvorschriften, die an ihre Stelle treten werden, verstanden werden.
(28) Unter Berücksichtigung des Anspruchs auf Schutz der personenbezogenen Daten müssen die Rechte der betroffenen Personen in Bezug auf die Verarbeitung ihrer PNR-Daten, insbesondere das Recht auf Zugang, Berichtigung, Löschung oder Einschränkung der Verarbeitung und das Recht auf Schadenersatz und Rechtsbehelfe, mit dem Rahmenbeschluss [2008/977] und mit dem hohen Schutzniveau, das durch die Charta und die EMRK vorgesehen ist, im Einklang stehen.
…
(33) Die vorliegende Richtlinie hindert die Mitgliedstaaten nicht daran, nach ihrem jeweiligen nationalen Recht eine Regelung zur Erhebung und Verarbeitung von PNR-Daten durch Wirtschaftsteilnehmer, die keine Beförderungsunternehmen sind, wie etwa Reisebüros oder Reiseveranstalter, die Dienstleistungen im Zusammenhang mit Reisen – einschließlich Flugbuchungen – erbringen, für die sie PNR-Daten erheben und verarbeiten, oder durch andere als in dieser Richtlinie angegebene Beförderungsunternehmen vorzusehen, sofern dieses nationale Recht mit dem Unionsrecht in Einklang steht.
…
(36) Die vorliegende Richtlinie wahrt die Grundrechte und Grundsätze der Charta, insbesondere das in den Artikeln 8, 7 und 21 verankerte Recht auf Schutz der personenbezogenen Daten, das Recht auf Achtung der Privatsphäre und das Recht auf Nichtdiskriminierung; sie ist deshalb entsprechend umzusetzen. Diese Richtlinie ist mit den Datenschutzgrundsätzen vereinbar, und ihre Bestimmungen stehen im Einklang mit dem Rahmenbeschluss [2008/977]. Um dem Grundsatz der Verhältnismäßigkeit Rechnung zu tragen, sieht diese Richtlinie zudem in Bezug auf bestimmte Aspekte Datenschutzbestimmungen vor, die strenger sind als die des Rahmenbeschlusses [2008/977].
(37) Der Anwendungsbereich der Richtlinie wurde möglichst eng gefasst, denn: Sie beschränkt die Speicherfrist für die PNR-Daten bei den PNR-Zentralstellen auf maximal fünf Jahre, nach deren Ablauf die Daten gelöscht werden sollten; sie sieht vor, dass die Daten nach einer ersten Frist von sechs Monaten durch Unkenntlichmachung von Datenelementen depersonalisiert werden, und sie untersagt die Erhebung und Verwendung von sensiblen Daten. Um einen wirksamen und weitreichenden Datenschutz zu gewährleisten, haben die Mitgliedstaaten dafür zu sorgen, dass eine unabhängige nationale Kontrollstelle und insbesondere ein Datenschutzbeauftragter eine Beratungs- und Kontrollfunktion in Bezug auf die Art und Weise der Verarbeitung der PNR-Daten ausübt. Jede Verarbeitung von PNR-Daten sollte zum Zwecke der Überprüfung ihrer Rechtmäßigkeit, zur Selbstkontrolle sowie zur Gewährleistung der Unversehrtheit der Daten und der Sicherheit der Datenverarbeitung protokolliert oder dokumentiert werden. Des Weiteren sollten die Mitgliedstaaten dafür sorgen, dass die Fluggäste klar und präzise über die Erhebung von PNR-Daten und ihre Rechte informiert werden.“
23 Art. 1 („Gegenstand und Anwendungsbereich“) der PNR-Richtlinie bestimmt:
„(1) Diese Richtlinie regelt
a) die Übermittlung von Fluggastdatensätzen (PNR-Daten) zu Fluggästen von Drittstaatsflügen durch Fluggesellschaften;
b) die Verarbeitung von Daten gemäß Buchstabe a, unter anderem ihre Erhebung, Verwendung und Speicherung durch Mitgliedstaaten sowie den Austausch dieser Daten zwischen Mitgliedstaaten.
(2) Die nach Maßgabe dieser Richtlinie erhobenen PNR-Daten dürfen ausschließlich zum Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität gemäß Artikel 6 Absatz 2 Buchstaben a, b und c verarbeitet werden.“
24 Art. 2 („Anwendung dieser Richtlinie auf EU-Flüge“) der PNR-Richtlinie lautet:
„(1) Ein Mitgliedstaat, der entscheidet, diese Richtlinie auf Flüge innerhalb der Europäischen Union (EU-Flüge) anzuwenden, teilt dies der Kommission schriftlich mit. Ein Mitgliedstaat kann eine solche Mitteilung jederzeit machen oder widerrufen. Die Kommission veröffentlicht diese Mitteilung und eventuelle Widerrufe derselben im Amtsblatt der Europäischen Union.
(2) Im Falle einer Mitteilung gemäß Absatz 1 gelten alle Bestimmungen dieser Richtlinie für EU-Flüge so, als handele es sich um Drittstaatsflüge, und für PNR-Daten zu EU-Flügen so, als handele es sich um PNR-Daten zu Drittstaatsflügen.
(3) Ein Mitgliedstaat kann beschließen, diese Richtlinie nur auf ausgewählte EU-Flüge anzuwenden. Der Mitgliedstaat wählt dabei diejenigen Flüge aus, die er für die Verfolgung der Ziele dieser Richtlinie für erforderlich hält. Der Mitgliedstaat kann jederzeit eine Änderung der von ihm ausgewählten EU-Flüge beschließen.“
25 Art. 3 („Begriffsbestimmungen“) der PNR-Richtlinie bestimmt:
„Im Sinne dieser Richtlinie bezeichnet der Ausdruck
1. ‚Fluggesellschaft‘ ein Luftfahrtunternehmen mit einer gültigen Betriebsgenehmigung oder einer gleichwertigen Genehmigung, die es ihm gestattet, Fluggäste auf dem Luftweg zu befördern;
2. ‚Drittstaatsflug‘ jeden Linien- oder Gelegenheitsflug einer Fluggesellschaft, der von einem Drittstaat aus startet und das Hoheitsgebiet eines Mitgliedstaats zum Ziel hat … oder der vom Hoheitsgebiet eines Mitgliedstaats aus startet und einen Drittstaat zum Ziel hat, wobei in beiden Fällen Flüge mit Zwischenlandungen im Hoheitsgebiet von Mitgliedstaaten oder Drittstaaten eingeschlossen sind;
3. ‚EU-Flug‘ jeden Linien- oder Gelegenheitsflug einer Fluggesellschaft, der vom Hoheitsgebiet eines Mitgliedstaats aus startet und das Hoheitsgebiet eines oder mehrerer anderer Mitgliedstaaten zum Ziel hat, ohne Zwischenlandungen im Hoheitsgebiet eines Drittstaats;
4. ‚Fluggast‘ jede Person, einschließlich Transfer- oder Transitfluggästen, mit Ausnahme der Besatzungsmitglieder, die mit Zustimmung der Fluggesellschaft in einem Luftfahrzeug befördert wird oder befördert werden soll, wobei diese Zustimmung durch die Eintragung der Person in die Fluggastliste belegt wird;
5. ‚Fluggastdatensatz‘ oder ‚PNR-Daten‘ einen Datensatz mit den für die Reise notwendigen Angaben zu jedem einzelnen Fluggast, die die Bearbeitung und Überprüfung der von einer Person oder in ihrem Namen getätigten Reservierungen für jede Reise durch die buchenden und beteiligten Fluggesellschaften ermöglichen, unabhängig davon, ob er in Buchungssystemen, Abfertigungssystemen (Departure Control Systems) zum Einchecken von Passagieren auf Flüge … oder gleichwertigen Systemen, die die gleichen Funktionen bieten, enthalten ist;
6. ‚Buchungssysteme‘ das interne System einer Fluggesellschaft, in dem die PNR-Daten für die Bearbeitung von Buchungen erhoben werden;
7. ‚Push-Methode‘ das Verfahren, bei dem die Fluggesellschaft die in Anhang I aufgeführten PNR-Daten in die Datenbank der anfragenden Behörde übermittelt;
8. ‚terroristische Straftaten‘ die nach nationalem Recht strafbaren Handlungen im Sinne der Artikel 1 bis 4 des Rahmenbeschlusses [2002/475];
9. ‚schwere Kriminalität‘ die in Anhang II aufgeführten strafbaren Handlungen, die nach dem nationalen Recht eines Mitgliedstaats mit einer Freiheitsstrafe oder einer freiheitsentziehenden Maßregel der Sicherung im Höchstmaß von mindestens drei Jahren bedroht sind;
10. ‚Depersonalisierung durch Unkenntlichmachung von Datenelementen‘ die Vorgehensweise, mit der diejenigen Datenelemente, mit denen die Identität des Fluggastes unmittelbar festgestellt werden könnte, für einen Nutzer unsichtbar gemacht werden.“
26 Art. 4 („PNR-Zentralstelle“) der PNR-Richtlinie bestimmt in den Abs. 1 bis 3:
„(1) Jeder Mitgliedstaat errichtet oder benennt eine für die Verhütung, Aufdeckung, Ermittlung oder Verfolgung von terroristischen Straftaten und schwerer Kriminalität zuständige Behörde oder eine Abteilung einer solchen Behörde, die als seine PNR-Zentralstelle handelt.
(2) Die PNR-Zentralstelle ist verantwortlich für
a) die Erhebung der PNR-Daten bei Fluggesellschaften, für die Speicherung und Verarbeitung dieser Daten sowie die Übermittlung dieser Daten oder der Ergebnisse ihrer Verarbeitung an die zuständigen Behörden nach Artikel 7;
b) den Austausch sowohl von PNR-Daten als auch der Ergebnisse der Verarbeitung dieser Daten mit den PNR-Zentralstellen anderer Mitgliedstaaten und mit Europol gemäß den Artikeln 9 und 10.
(3) Das Personal der PNR-Zentralstelle kann aus Mitarbeitern zuständiger Behörden bestehen, die zu diesem Zweck abgeordnet wurden. Die Mitgliedstaaten stellen den PNR-Zentralstellen angemessene Ressourcen zur Verfügung, damit sie ihre Aufgaben erfüllen können.“
27 Art. 5 („Datenschutzbeauftragter der PNR-Zentralstelle“) der PNR-Richtlinie lautet:
„(1) Die PNR-Zentralstelle ernennt einen Datenschutzbeauftragten, der für die Überwachung der Verarbeitung der PNR-Daten und die Umsetzung der maßgeblichen Sicherheitsvorkehrungen zuständig ist.
(2) Die Mitgliedstaaten stellen den Datenschutzbeauftragten die Mittel zur Verfügung, damit sie ihre Pflichten und Aufgaben gemäß diesem Artikel wirksam und unabhängig wahrnehmen können.
(3) Die Mitgliedstaaten sorgen dafür, dass eine betroffene Person das Recht hat, den Datenschutzbeauftragten als zentrale Kontaktstelle im Zusammenhang mit allen Fragen bezüglich der Verarbeitung der PNR-Daten der betroffenen Person zu kontaktieren.“
28 Art. 6 („Verarbeitung der PNR-Daten“) der PNR-Richtlinie bestimmt:
„(1) Die von den Fluggesellschaften übermittelten PNR-Daten werden von der PNR-Zentralstelle des betreffenden Mitgliedstaats gemäß Artikel 8 erhoben. Wenn die von Fluggesellschaften übermittelten PNR-Daten andere als die in Anhang I genannten Daten beinhalten, werden diese Daten von der PNR-Zentralstelle unmittelbar nach ihrem Eingang dauerhaft gelöscht.
(2) Die PNR-Zentralstelle verarbeitet PNR-Daten ausschließlich zu folgenden Zwecken:
a) Überprüfung von Fluggästen vor ihrer planmäßigen Ankunft in einem Mitgliedstaat oder vor ihrem Abflug von einem Mitgliedstaat, um diejenigen Personen zu ermitteln, die von den zuständigen Behörden gemäß Artikel 7 und gegebenenfalls – im Einklang mit Artikel 10 – von Europol genauer überprüft werden müssen, da sie möglicherweise an einer terroristischen Straftat oder an schwerer Kriminalität beteiligt sind;
b) im Einzelfall Beantwortung von auf einer hinreichenden Grundlage gebührend begründeten Anfragen zuständiger Behörden hinsichtlich der Zurverfügungstellung und Verarbeitung von PNR-Daten in besonderen Fällen zum Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten oder schwerer Kriminalität, und der Zurverfügungstellung der Ergebnisse dieser Verarbeitung an die zuständigen Behörden oder gegebenenfalls an Europol, und
c) Analyse von PNR-Daten zwecks Aktualisierung der Kriterien oder Aufstellung neuer Kriterien zur Verwendung in gemäß Absatz 3 Buchstabe b durchgeführten Überprüfungen, die der Ermittlung von Personen gelten, die möglicherweise an einer terroristischen Straftat oder an schwerer Kriminalität beteiligt sind.
(3) Bei der Durchführung der in Absatz 2 Buchstabe a genannten Überprüfungen darf die PNR-Zentralstelle
a) die PNR-Daten mit Datenbanken, die zum Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität maßgeblich sind, einschließlich Datenbanken betreffend Personen oder Gegenstände, nach denen gefahndet wird oder die Gegenstand einer Ausschreibung sind, unter Einhaltung der für solche Datenbanken einschlägigen nationalen, internationalen und Unionsvorschriften abgleichen; oder
b) die PNR-Daten anhand im Voraus festgelegter Kriterien abgleichen.
(4) Die Überprüfung von Fluggästen vor ihrer planmäßigen Ankunft in einem Mitgliedstaat oder vor ihrem Abflug von einem Mitgliedstaat anhand im Voraus festgelegter Kriterien gemäß Absatz 3 Buchstabe b erfolgt in nichtdiskriminierender Weise. Diese im Voraus festgelegten Kriterien müssen zielgerichtet, verhältnismäßig und bestimmt sein. Die Mitgliedstaaten stellen sicher, dass diese Kriterien von der PNR-Zentralstelle aufgestellt und von ihr in Zusammenarbeit mit den in Artikel 7 genannten zuständigen Behörden regelmäßig überprüft werden. Die rassische oder ethnische Herkunft, die politischen Meinungen, die religiösen oder weltanschaulichen Überzeugungen, die Mitgliedschaft in einer Gewerkschaft, der Gesundheitszustand, das Sexualleben oder die sexuelle Orientierung einer Person dürfen unter keinen Umständen als Grundlage für diese Kriterien dienen.
(5) Die Mitgliedstaaten stellen sicher, dass jeder einzelne Treffer bei der automatisierten Verarbeitung von PNR-Daten nach Maßgabe von Absatz 2 Buchstabe a auf andere, nicht-automatisierte Art individuell überprüft wird, um zu klären, ob die zuständige Behörde gemäß Artikel 7 Maßnahmen im Einklang mit dem nationalen Recht ergreifen muss.
(6) Die PNR-Zentralstelle eines Mitgliedstaats übermittelt die PNR-Daten von nach Absatz 2 Buchstabe a ermittelten Personen oder die Ergebnisse der Verarbeitung dieser Daten zur weiteren Überprüfung an die zuständigen Behörden gemäß Artikel 7 desselben Mitgliedstaats. Derartige Übermittlungen dürfen nur im Einzelfall erfolgen und im Fall einer automatisierten Verarbeitung der PNR-Daten nur nach einer individuellen Überprüfung auf andere, nicht-automatisierte Art.
(7) Die Mitgliedstaaten stellen sicher, dass der Datenschutzbeauftragte Zugang zu sämtlichen von der PNR-Zentralstelle verarbeiteten Daten erhält. Wenn der Datenschutzbeauftragte der Auffassung ist, dass eine Verarbeitung von Daten nicht rechtmäßig war, kann er die Angelegenheit an die nationale Kontrollstelle verweisen.
…
(9) Das Recht zur Einreise von Personen, die im Hoheitsgebiet des betreffenden Mitgliedstaats gemäß der Richtlinie 2004/38/EG des Europäischen Parlaments und des Rates [vom 29. April 2004 über das Recht der Unionsbürger und ihrer Familienangehörigen, sich im Hoheitsgebiet der Mitgliedstaaten frei zu bewegen und aufzuhalten, zur Änderung der Verordnung (EWG) Nr. 1612/68 und zur Aufhebung der Richtlinien 64/221/EWG, 68/360/EWG, 72/194/EWG, 73/148/EWG, 75/34/EWG, 75/35/EWG, 90/364/EWG, 90/365/EWG und 93/96/EWG (ABl. 2004, L 158, S. 77, berichtigt in ABl. 2004, L 229, S. 35)] das Unionsrecht auf freien Personenverkehr genießen, darf von den Auswirkungen der Überprüfungen von Fluggästen gemäß Absatz 2 Buchstabe a dieses Artikels nicht beeinträchtigt werden. Darüber hinaus müssen, wenn Überprüfungen in Bezug auf EU-Flüge zwischen Mitgliedstaaten vorgenommen werden, für die die Verordnung (EG) Nr. 562/2006 des Europäischen Parlaments und des Rates [vom 15. März 2006 über einen Gemeinschaftskodex für das Überschreiten der Grenzen durch Personen (Schengener Grenzkodex) (ABl. 2006, L 105, S. 1)] gilt, die Auswirkungen solcher Überprüfungen mit der genannten Verordnung im Einklang stehen.“
29 In Art. 7 („Zuständige Behörden“) der PNR-Richtlinie heißt es:
„(1) Jeder Mitgliedstaat erstellt eine Liste der zuständigen Behörden, die berechtigt sind, zum Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten oder schwerer Kriminalität PNR-Daten oder die Ergebnisse der Verarbeitung dieser Daten von den PNR-Zentralstellen anzufordern oder entgegenzunehmen, um sie einer weiteren Prüfung zu unterziehen oder um geeignete Maßnahmen zu veranlassen.
(2) Die in Absatz 1 genannten Behörden sind diejenigen Behörden, die für die Verhütung, Aufdeckung, Ermittlung oder Verfolgung von terroristischen Straftaten oder schwerer Kriminalität zuständig sind.
…
(4) Die PNR-Daten und die Ergebnisse der Verarbeitung dieser Daten, die aus der PNR-Zentralstelle eingehen, dürfen von den zuständigen Behörden der Mitgliedstaaten ausschließlich zum bestimmten Zweck der Verhütung, Aufdeckung, Ermittlung oder Verfolgung terroristischer Straftaten oder schwerer Kriminalität weiterverarbeitet werden.
(5) Absatz 4 berührt nicht die Befugnisse der Strafverfolgungs- oder Justizbehörden der Mitgliedstaaten in Fällen, in denen im Verlauf von Strafverfolgungsmaßnahmen im Anschluss an eine derartige Verarbeitung andere Straftaten festgestellt werden oder sich Anhaltspunkte für solche Straftaten ergeben.
(6) Die zuständigen Behörden treffen Entscheidungen, aus denen sich eine nachteilige Rechtsfolge oder ein sonstiger schwerwiegender Nachteil für die betroffene Person ergibt, unter keinen Umständen allein auf der Grundlage der automatisierten Verarbeitung der PNR-Daten. Ebenso wenig werden solche Entscheidungen aufgrund der rassischen oder ethnischen Herkunft, der politischen Meinungen, der religiösen oder weltanschaulichen Überzeugungen, der Mitgliedschaft in einer Gewerkschaft, des Gesundheitszustands, des Sexuallebens oder der sexuellen Orientierung einer Person getroffen.“
30 Art. 8 („Datenübermittlungspflichten der Fluggesellschaften“) der PNR-Richtlinie sieht in den Abs. 1 bis 3 vor:
„(1) Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass Fluggesellschaften mittels der ‚Push-Methode‘ die in Anhang I aufgelisteten PNR-Daten an die Datenbank der PNR-Zentralstelle des Mitgliedstaats übermitteln, in dessen Hoheitsgebiet der betreffende Flug ankommt oder von dem er abgeht, soweit sie solche Daten im Rahmen ihrer normalen Geschäftstätigkeit bereits erhoben haben. Bei Flügen mit Code-Sharing zwischen mehreren Fluggesellschaften liegt die Pflicht zur Übermittlung der PNR-Daten aller Fluggäste des Fluges bei der Fluggesellschaft, die den Flug durchführt. Erfolgen auf einem Drittstaatsflug eine oder mehrere Zwischenlandungen auf Flughäfen der Mitgliedstaaten, so übermitteln die Fluggesellschaften die PNR-Daten aller Fluggäste an die PNR-Zentralstellen aller betreffenden Mitgliedstaaten. Dies gilt auch, wenn bei einem EU-Flug eine oder mehrere Zwischenlandungen auf den Flughäfen verschiedener Mitgliedstaaten erfolgen, jedoch nur in Bezug auf Mitgliedstaaten, die PNR-Daten zu EU-Flügen erheben.
(2) Falls die Fluggesellschaften in Anhang I Nummer 18 aufgelistete [API-Daten] erhoben haben, diese aber nicht auf die gleiche technische Weise wie andere PNR-Daten vorhalten, treffen die Mitgliedstaaten die erforderlichen Maßnahmen, um sicherzustellen, dass die Fluggesellschaften mittels der ‚Push-Methode‘ auch diese Daten der PNR-Zentralstelle des in Absatz 1 genannten Mitgliedstaats übermitteln. Im Fall einer solchen Übermittlung gelten sämtliche Bestimmungen dieser Richtlinie in Bezug auf diese API-Daten.
(3) Die Fluggesellschaften übermitteln die PNR-Daten auf elektronischem Wege unter Verwendung der nach dem Prüfverfahren des Artikels 17 Absatz 2 festzulegenden gemeinsamen Protokolle und unterstützten Datenformate oder bei technischen Störungen auf jede andere geeignete Weise, die ein angemessenes Datensicherheitsniveau gewährleistet, und zwar
a) 24 bis 48 Stunden vor der planmäßigen Abflugzeit sowie
b) sofort nach Abfertigungsschluss, d. h., unmittelbar nachdem sich die Fluggäste vor dem Start an Bord des Flugzeugs begeben haben und keine Fluggäste mehr an Bord kommen oder von Bord gehen können.“
31 Art. 12 („Speicherfrist und Depersonalisierung“) der Richtlinie bestimmt:
„(1) Die Mitgliedstaaten stellen sicher, dass die von den Fluggesellschaften an die PNR-Zentralstelle übermittelten PNR-Daten für einen Zeitraum von fünf Jahren ab ihrer Übermittlung an die PNR-Zentralstelle des Mitgliedstaats, in dessen Hoheitsgebiet der Flug angekommen beziehungsweise von dem er abgegangen ist, in einer bei dieser PNR-Zentralstelle angesiedelten Datenbank vorgehalten werden.
(2) Nach Ablauf einer Frist von sechs Monaten ab Übermittlung der PNR-Daten gemäß Absatz 1 werden alle PNR-Daten durch Unkenntlichmachung der folgenden Datenelemente, mit denen die Identität des Fluggasts, auf den sich die PNR-Daten beziehen, unmittelbar festgestellt werden könnte, depersonalisiert:
a) Name(n), auch die Namen und die Zahl der im PNR-Datensatz verzeichneten mitreisenden Personen;
b) Anschrift und Kontaktdaten;
c) alle Arten von Zahlungsinformationen einschließlich Rechnungsanschrift, die zur unmittelbaren Feststellung der Identität des Fluggasts, zu dem die PNR-Daten erstellt wurden, oder anderer Personen beitragen könnten;
d) Vielflieger-Eintrag;
e) allgemeine Hinweise, die zur unmittelbaren Feststellung der Identität des Fluggastes beitragen könnten, zu dem die PNR-Daten erstellt wurden, und
f) jedwede erhobenen API-Daten.
(3) Nach Ablauf der in Absatz 2 genannten Frist von sechs Monaten ist die Offenlegung der vollständigen PNR-Daten nur zulässig, wenn
a) berechtigter Grund zu der Annahme besteht, dass dies für die Zwecke des Artikels 6 Absatz 2 Buchstabe b erforderlich ist und
b) dies genehmigt wird durch
i) eine Justizbehörde oder
ii) eine andere nationale Behörde, die nach nationalem Recht dafür zuständig ist zu überprüfen, ob die Bedingungen für die Offenlegung erfüllt sind, vorbehaltlich der Unterrichtung des Datenschutzbeauftragten der PNR-Zentralstelle und einer Ex-Post-Überprüfung durch diesen Datenschutzbeauftragten.
(4) Die Mitgliedstaaten stellen sicher, dass die PNR-Daten nach Ablauf der Frist nach Absatz 1 dauerhaft gelöscht werden. Diese Verpflichtung lässt Fälle unberührt, in denen bestimmte PNR-Daten an eine zuständige Behörde übermittelt wurden und im Zusammenhang mit einem konkreten Fall zum Zwecke der Verhütung, Aufdeckung, Ermittlung oder Verfolgung terroristischer Straftaten oder schwerer Kriminalität verwendet werden; in diesem Fall richtet sich die Frist für die Speicherung dieser Daten durch die zuständige Behörde nach nationalem Recht.
(5) Die Ergebnisse der Verarbeitung nach Artikel 6 Absatz 2 Buchstabe a werden von der PNR-Zentralstelle nur so lange vorgehalten, wie dies erforderlich ist, um die zuständigen Behörden und die PNR-Zentralstellen anderer Mitgliedstaaten gemäß Artikel 9 Absatz 1 über einen Treffer zu informieren. Fällt die in Artikel 6 Absatz 5 genannte anschließende individuelle nicht-automatisierte Überprüfung eines Treffers bei der automatisierten Verarbeitung negativ aus, so kann dieses Ergebnis dennoch gespeichert werden, um künftige ‚falsche‘ Treffer zu vermeiden, solange die dazugehörigen Daten nicht gemäß Absatz 4 dieses Artikels gelöscht sind.“
32 Art. 13 („Schutz personenbezogener Daten“) der PNR-Richtlinie bestimmt in den Abs. 1 bis 5:
„(1) Jeder Mitgliedstaat sorgt im Zusammenhang mit der Verarbeitung personenbezogener Daten nach dieser Richtlinie dafür, dass die Rechte jedes Fluggasts in Bezug auf Schutz personenbezogener Daten, Zugang, Berichtigung, Löschung und Einschränkung der Verarbeitung sowie Schadenersatz und Rechtsbehelfe den Rechten entsprechen, die nach Unionsrecht und nationalem Recht sowie zur Umsetzung der Artikel 17, 18, 19 und 20 des Rahmenbeschlusses [2008/977] festgelegt sind. Diesbezüglich gelten daher jene Artikel.
(2) Jeder Mitgliedstaat sorgt dafür, dass die nach nationalem Recht erlassenen Bestimmungen zur Umsetzung der Artikel 21 und 22 des Rahmenbeschlusses [2008/977] betreffend die Vertraulichkeit der Verarbeitung und die Datensicherheit ebenfalls auf jede Verarbeitung personenbezogener Daten nach dieser Richtlinie Anwendung finden.
(3) Diese Richtlinie berührt nicht die Anwendbarkeit der Richtlinie [95/46] auf die Verarbeitung personenbezogener Daten durch Fluggesellschaften, insbesondere deren Pflichten, geeignete technische und organisatorische Maßnahmen zum Schutz der Sicherheit und Vertraulichkeit der personenbezogenen Daten zu treffen.
(4) Die Mitgliedstaaten untersagen die Verarbeitung von PNR-Daten, die die rassische oder ethnische Herkunft einer Person, ihre politischen Meinungen, ihre religiösen oder weltanschaulichen Überzeugungen, ihre Mitgliedschaft in einer Gewerkschaft, ihren Gesundheitszustand oder ihr Sexualleben oder ihre sexuelle Orientierung erkennen lassen. Bei der PNR-Zentralstelle eingehende PNR-Daten, aus denen derartige Informationen hervorgehen, werden umgehend gelöscht.
(5) Die Mitgliedstaaten sorgen dafür, dass die PNR-Zentralstellen alle ihrer Zuständigkeit unterliegenden Verarbeitungssysteme und ‑verfahren dokumentieren. Diese Dokumentation muss zumindest folgende Unterlagen enthalten:
a) den Namen und die Kontaktinformationen der Organisation und des Personals der PNR-Zentralstelle, die mit der Verarbeitung der PNR-Daten beauftragt sind, und die verschiedenen Ebenen der Zugangsberechtigungen;
b) die Anfragen von zuständigen Behörden und PNR-Zentralstellen anderer Mitgliedstaaten;
c) jede Anfrage und jede Übermittlung von PNR-Daten durch bzw. an Drittstaaten.
Die PNR-Zentralstelle stellt der nationalen Kontrollstelle auf Anfrage alle verfügbare Dokumentation zur Verfügung.“
33 Art. 15 („Nationale Kontrollstelle“) der PNR-Richtlinie lautet:
„(1) Jeder Mitgliedstaat sorgt dafür, dass die nationale Kontrollstelle gemäß Artikel 25 des Rahmenbeschlusses [2008/977] für die Beratung und Kontrolle hinsichtlich der Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen nationalen Vorschriften in seinem Hoheitsgebiet verantwortlich ist. Artikel 25 des Rahmenbeschlusses [2008/977] findet Anwendung.
(2) Diese nationalen Kontrollstellen erfüllen ihre Aufgaben gemäß Absatz 1, um die Grundrechte im Zusammenhang mit der Verarbeitung personenbezogener Daten zu schützen.
(3) Aufgaben jeder nationalen Kontrollstelle sind
a) die Behandlung von Beschwerden betroffener Personen, die Untersuchung der Angelegenheit und Unterrichtung der betroffenen Personen über den Fortgang und das Ergebnis der Beschwerde innerhalb einer angemessenen Frist;
b) die Prüfung der Rechtmäßigkeit der Datenverarbeitung, die Durchführung von Ermittlungen, Inspektionen und Audits gemäß nationalem Recht entweder aus eigener Initiative oder aufgrund einer Beschwerde gemäß Buchstabe a.
(4) Jede nationale Kontrollstelle berät auf Anfrage eine betroffene Person bei der Wahrnehmung der Rechte, die ihr aufgrund der nach Maßgabe dieser Richtlinie erlassenen Vorschriften zustehen.“
34 Art. 19 („Überprüfung“) der PNR-Richtlinie lautet:
„(1) Anhand von Informationen der Mitgliedstaaten, einschließlich der statistischen Daten nach Artikel 20 Absatz 2, nimmt die Kommission bis zum 25. Mai 2020 eine Überprüfung aller Elemente dieser Richtlinie vor und legt dem Europäischen Parlament und dem Rat [der Europäischen Union] einen Bericht vor und erläutert diesen.
(2) Bei der Vornahme ihrer Überprüfung berücksichtigt die Kommission insbesondere
a) die Einhaltung des einschlägigen Schutzstandards bezüglich personenbezogener Daten;
b) die Erforderlichkeit und Verhältnismäßigkeit der Erhebung und Verarbeitung von PNR-Daten für jeden der in dieser Richtlinie genannten Zwecke;
c) die Datenspeicherungsfristen;
d) die Effektivität des Informationsaustauschs zwischen den Mitgliedstaaten und
e) die Qualität der Prüfungen, einschließlich in Bezug auf die nach Maßgabe von Artikel 20 erhobenen statistischen Daten.
(3) Der Bericht gemäß Absatz 1 enthält zudem eine Überprüfung der Erforderlichkeit, Verhältnismäßigkeit und Wirksamkeit der Aufnahme der obligatorischen Erhebung und Übermittlung von PNR-Daten in Bezug auf sämtliche oder ausgewählte EU-Flüge in den Anwendungsbereich dieser Richtlinie. Die Kommission berücksichtigt dabei die Erfahrungen der Mitgliedstaaten, insbesondere jener Mitgliedstaaten, die gemäß [Artikel] 2 diese Richtlinie auf EU-Flüge anwenden. In dem Bericht wird auch geprüft, ob es erforderlich ist, Wirtschaftsteilnehmer, die keine Beförderungsunternehmen sind, wie etwa Reisebüros oder Reiseveranstalter, die Dienstleistungen im Zusammenhang mit Reisen – einschließlich Flugbuchungen – erbringen, in den Anwendungsbereich dieser Richtlinie aufzunehmen.
(4) Auf der Grundlage der Überprüfung nach diesem Artikel legt die Kommission dem Europäischen Parlament und dem Rat gegebenenfalls einen Gesetzgebungsvorschlag zur Änderung dieser Richtlinie vor.“
35 Art. 21 („Verhältnis zu anderen Rechtsakten“) der PNR-Richtlinie bestimmt in Abs. 2:
„Diese Richtlinie berührt nicht die Anwendbarkeit der Richtlinie [95/46] auf die Verarbeitung personenbezogener Daten durch Fluggesellschaften.“
36 In Anhang I („Von Fluggesellschaften erhobene PNR-Daten“) der PNR-Richtlinie sind aufgeführt:
„1. PNR-Buchungscode (Record Locator)
2. Datum der Buchung/Flugscheinausstellung
3. Planmäßiges Abflugdatum bzw. planmäßige Abflugdaten
4. Name(n)
5. Anschrift und Kontaktangaben (Telefonnummer, E‑Mail-Adresse)
6. Alle Arten von Zahlungsinformationen einschließlich Rechnungsanschrift
7. Gesamter Reiseverlauf für bestimmte PNR-Daten
8. Vielflieger-Eintrag
9. Reisebüro/Sachbearbeiter
10. Reisestatus des Fluggasts mit Angaben über Reisebestätigungen, Eincheckstatus, nicht angetretene Flüge (No show) und Fluggäste mit Flugschein, aber ohne Reservierung (Go show)
11. Angaben über gesplittete/geteilte PNR-Daten
12. Allgemeine Hinweise (einschließlich aller verfügbaren Angaben zu unbegleiteten Minderjährigen unter 18 Jahren, wie beispielsweise Name und Geschlecht des Minderjährigen, Alter, Sprache(n), Name und Kontaktdaten der Begleitperson beim Abflug und Angabe, in welcher Beziehung diese Person zu dem Minderjährigen steht, Name und Kontaktdaten der abholenden Person und Angabe, in welcher Beziehung diese Person zu dem Minderjährigen steht, begleitender Flughafenmitarbeiter bei Abflug und Ankunft)
13. Flugscheindaten einschließlich Flugscheinnummer, Ausstellungsdatum, einfacher Flug (One-way), automatische Tarifanzeige (Automated Ticket Fare Quote fields)
14. Sitzplatznummer und sonstige Sitzplatzinformationen
15. Code-Sharing
16. Vollständige Gepäckangaben
17. Zahl und Namen von Mitreisenden im Rahmen der PNR-Daten
18. Etwaige erhobene erweiterte Fluggastdaten (API-Daten) (einschließlich Art, Nummer, Ausstellungsland und Ablaufdatum von Identitätsdokumenten, Staatsangehörigkeit, Familienname, Vorname, Geschlecht, Geburtsdatum, Fluggesellschaft, Flugnummer, Tag des Abflugs, Tag der Ankunft, Flughafen des Abflugs, Flughafen der Ankunft, Uhrzeit des Abflugs und Uhrzeit der Ankunft)
19. Alle vormaligen Änderungen der unter den Nummern 1 bis 18 aufgeführten PNR-Daten“.
37 Anhang II („Liste der strafbaren Handlungen gemäß Artikel 3 Nummer 9“) der PNR-Richtlinie lautet:
„1. Beteiligung an einer kriminellen Vereinigung
2. Menschenhandel
3. Sexuelle Ausbeutung von Kindern und Kinderpornografie
4. Illegaler Handel mit Drogen und psychotropen Stoffen
5. Illegaler Handel mit Waffen, Munition und Sprengstoffen
6. Korruption
7. Betrugsdelikte, einschließlich Betrug zum Nachteil der finanziellen Interessen der Union
8. Wäsche von Erträgen aus Straftaten und Geldfälschung, einschließlich Euro-Fälschung
9. Computerstraftaten/Cyberkriminalität
10. Umweltkriminalität, einschließlich des illegalen Handels mit bedrohten Tierarten oder mit bedrohten Pflanzen- und Baumarten
11. Beihilfe zur illegalen Einreise und zum illegalen Aufenthalt
12. Vorsätzliche Tötung, schwere Körperverletzung
13. Illegaler Handel mit menschlichen Organen und menschlichem Gewebe
14. Entführung, Freiheitsberaubung und Geiselnahme
15. Diebstahl in organisierter Form oder mit Waffen
16. Illegaler Handel mit Kulturgütern, einschließlich Antiquitäten und Kunstgegenständen
17. Betrügerische Nachahmung und Produktpiraterie
18. Fälschung von amtlichen Dokumenten und Handel damit
19. Illegaler Handel mit Hormonen und anderen Wachstumsförderern
20. Illegaler Handel mit nuklearen und radioaktiven Substanzen
21. Vergewaltigung
22. Verbrechen, die in die Zuständigkeit des Internationalen Strafgerichtshofs fallen
23. Flugzeug- und Schiffsentführung
24. Sabotage
25. Handel mit gestohlenen Kraftfahrzeugen
26. Wirtschaftsspionage“.
7. Rahmenbeschluss 2002/475
38 In Art. 1 des Rahmenbeschlusses 2002/475 wurde der Begriff „terroristische Straftat“ definiert, indem in seinen Buchst. a bis i eine Reihe vorsätzlicher Handlungen aufgezählt wurde, die mit dem Ziel begangen werden, „die Bevölkerung auf schwerwiegende Weise einzuschüchtern“, „öffentliche Stellen oder eine internationale Organisation rechtswidrig zu einem Tun oder Unterlassen zu zwingen“ oder „die politischen, verfassungsrechtlichen, wirtschaftlichen oder sozialen Grundstrukturen eines Landes oder einer internationalen Organisation ernsthaft zu destabilisieren oder zu zerstören“. In den Art. 2 und 3 dieses Rahmenbeschlusses wurden die Begriffe „Straftaten im Zusammenhang mit einer terroristischen Vereinigung“ und „Straftaten im Zusammenhang mit terroristischen Aktivitäten“ definiert. Art. 4 des Rahmenbeschlusses regelte die Anstiftung zu diesen Straftaten, die Mittäterschaft und den Versuch ihrer Begehung.
39 Der Rahmenbeschluss 2002/475 wurde durch die Richtlinie (EU) 2017/541 des Europäischen Parlaments und des Rates vom 15. März 2017 zur Terrorismusbekämpfung und zur Ersetzung des Rahmenbeschlusses 2002/475 und zur Änderung des Beschlusses 2005/671/JI des Rates (ABl. 2017, L 88, S. 6) aufgehoben; deren Art. 3 bis 14 enthalten entsprechende Definitionen.
B. Belgisches Recht
1. Verfassung
40 Art. 22 der Verfassung lautet:
„Jeder hat ein Recht auf Achtung vor seinem Privat- und Familienleben, außer in den Fällen und unter den Bedingungen, die durch Gesetz festgelegt sind.
Das Gesetz, das Dekret oder die in Artikel 134 erwähnte Regel gewährleistet den Schutz dieses Rechtes.“
2. Gesetz vom 25. Dezember 2016
41 In Art. 2 des Gesetzes vom 25. Dezember 2016 über die Verarbeitung von Passagierdaten (Moniteur belge vom 25. Januar 2017, S. 12905, im Folgenden: Gesetz vom 25. Dezember 2016) heißt es:
„Vorliegendes Gesetz und die Königlichen Erlasse, die zu seiner Ausführung ergehen werden, setzen die [API-Richtlinie] und die [PNR-Richtlinie] um. Das vorliegende Gesetz und der Königliche Erlass über den Seesektor setzen teilweise die Richtlinie [2010/65] um.“
42 Art. 3 dieses Gesetzes bestimmt:
„§ l – Vorliegendes Gesetz bestimmt die Verpflichtungen der Beförderungsunternehmen und Reiseunternehmen in Bezug auf die Übermittlung von Daten zu Passagieren, die in das nationale Hoheitsgebiet, aus dem nationalen Hoheitsgebiet oder durch das nationale Hoheitsgebiet befördert werden.
§ 2 – Der König bestimmt durch einen im Ministerrat beratenen Erlass für jeden Beförderungssektor und für die Reiseunternehmen die zu übermittelnden Passagierdaten sowie die Übermittlungsmodalitäten nach Stellungnahme des Ausschusses für den Schutz des Privatlebens.“
43 Art. 4 dieses Gesetzes sieht vor:
„Für die Anwendung des vorliegenden Gesetzes und seiner Ausführungserlasse versteht man unter:
…
8. ‚zuständige Behörden‘: die in Artikel 14 § 1 Nr. 2 erwähnten Dienste,
9. ‚PNR‘: den Datensatz mit den zu jedem einzelnen Passagier notwendigen Reisedaten, der die in Artikel 9 erwähnten Informationen enthält, die die Bearbeitung und Überprüfung der von einer Person oder in ihrem Namen getätigten Reservierungen für jede Reise durch die buchenden und beteiligten Beförderungsunternehmen und Reiseunternehmen ermöglichen, unabhängig davon, ob dieser Datensatz in Buchungssystemen, Abfertigungssystemen (zur Überprüfung der Passagiere beim Anbordgehen) oder gleichwertigen Systemen, die die gleichen Funktionen bieten, enthalten ist,
10. ‚Passagier‘: jede Person, einschließlich der Personen im Transfer- oder Transitverkehr, mit Ausnahme der Besatzungsmitglieder, die mit Zustimmung des Beförderungsunternehmens von ihm befördert wird oder befördert werden soll, wobei diese Zustimmung durch die Eintragung dieser Person in die Passagierliste belegt wird,
…“
44 In Art. 8 des Gesetzes vom 25. Dezember 2016 heißt es:
㤠1 РDie Passagierdaten werden zu folgenden Zwecken verarbeitet:
1. Ermittlung und Verfolgung, einschließlich Vollstreckung von Strafen oder freiheitsbeschränkenden Maßnahmen, in Bezug auf die in Artikel 90ter § 2 Nr. … 7, … 8, … 11, … 14, … 17, 18, 19 und § 3 des Strafprozessgesetzbuches erwähnten Straftaten,
2. Ermittlung und Verfolgung, einschließlich Vollstreckung von Strafen oder freiheitsbeschränkenden Maßnahmen, in Bezug auf die in Artikel 196, was die Fälschung authentischer und öffentlicher Urkunden betrifft, 198, 199, 199bis, 207, 213, 375 und 505 des Strafgesetzbuches erwähnten Straftaten,
…
4. Beaufsichtigung der in den Artikeln 7 Nr. 1 und 3/1 und 11 § 1 Nr. 1 bis 3 und 5 des Grundlagengesetzes vom 30. November 1998 über die Nachrichten- und Sicherheitsdienste erwähnten Aktivitäten,
5. Ermittlung und Verfolgung der Straftaten, erwähnt in Artikel 220 § 2 des allgemeinen Gesetzes vom 18. Juli 1977 über Zölle und Akzisen [und] in Artikel 45 Absatz 3 des Gesetzes vom 22. Dezember 2009 über die allgemeine Akzisenregelung …
§ 2 – Die Passagierdaten werden unter den in Kapitel 11 erwähnten Bedingungen ebenfalls verarbeitet, um die Personenkontrolle an den Außengrenzen zu verbessern und die illegale Einwanderung zu bekämpfen.“
45 Art. 14 § 1 dieses Gesetzes bestimmt:
„Die PNR-Zentralstelle setzt sich zusammen aus:
…
2. entsandten Mitgliedern, die aus folgenden zuständigen Diensten stammen:
a) den im Gesetz vom 7. Dezember 1998 zur Organisation eines auf zwei Ebenen strukturierten integrierten Polizeidienstes erwähnten Polizeidiensten,
b) der im Grundlagengesetz vom 30. November 1998 über die Nachrichten- und Sicherheitsdienste erwähnten Staatssicherheit,
c) dem im Grundlagengesetz vom 30. November 1998 über die Nachrichten- und Sicherheitsdienste erwähnten Allgemeinen Nachrichten- und Sicherheitsdienst,
…“
46 Art. 24 dieses Gesetzes, der zu Abschnitt 1 („Verarbeitung von Passagierdaten im Rahmen der Vorabüberprüfung der Passagiere“) seines Kapitels 10 („Datenverarbeitung“) gehört, lautet:
„§ 1 – Die Passagierdaten werden im Hinblick auf die Durchführung einer Vorabüberprüfung der Passagiere vor ihrer Ankunft im nationalen Hoheitsgebiet, ihrer Abreise aus dem nationalen Hoheitsgebiet oder ihrer Durchreise durch das nationale Hoheitsgebiet verarbeitet, um diejenigen Personen zu ermitteln, die genauer überprüft werden müssen.
§ 2 – Im Rahmen der Zwecke, die in Artikel 8 § 1 Nr. 1, 4 und 5 erwähnt sind oder sich auf Bedrohungen beziehen, die in den Artikeln 8 Nr. 1 Buchstabe a), b), c), d), f), g) und 11 § 2 des Grundlagengesetzes vom 30. November 1998 über die Nachrichten- und Sicherheitsdienste aufgeführt sind, beruht die Vorabüberprüfung der Passagiere auf einem Treffer aus einer Korrelation zwischen den Passagierdaten und:
1. den Datenbanken, die von den zuständigen Diensten verwaltet werden oder die ihnen im Rahmen ihrer Aufträge unmittelbar zur Verfügung stehen oder zugänglich sind, oder Personenlisten, die von den zuständigen Diensten im Rahmen ihrer Aufträge erstellt werden,
2. den Überprüfungskriterien, die von der PNR-Zentralstelle im Voraus festgelegt sind und in Artikel 25 erwähnt sind.
§ 3 – Im Rahmen der in Artikel 8 § 1 Nr. 3 erwähnten Zwecke beruht die Vorabüberprüfung der Passagiere auf einem Treffer aus einer Korrelation zwischen den Passagierdaten und den in § 2 Nr. 1 erwähnten Datenbanken.
§ 4 – Der Treffer wird innerhalb von vierundzwanzig Stunden nach Eingang der automatisierten Mitteilung des Treffers von der PNR-Zentralstelle validiert.
§ 5 – Ab dieser Validierung sorgt der zuständige Dienst, von dem der Treffer herkommt, schnellstmöglich für die weitere Bearbeitung.“
47 Kapitel 11 („Verarbeitung der Passagierdaten im Hinblick auf eine Verbesserung der Grenzkontrolle und die Bekämpfung der illegalen Einwanderung“) des Gesetzes vom 25. Dezember 2016 umfasst dessen Art. 28 bis 31.
48 Art. 28 dieses Gesetzes lautet:
„§ 1 – Vorliegendes Kapitel findet Anwendung auf die Verarbeitung der Passagierdaten durch die Polizeidienste, die mit der Grenzkontrolle beauftragt sind, und durch das Ausländeramt im Hinblick auf eine Verbesserung der Personenkontrolle an den Außengrenzen und die Bekämpfung der illegalen Einwanderung.
§ 2 – Es findet Anwendung unbeschadet der Verpflichtungen, die den mit der Grenzkontrolle beauftragten Polizeidiensten und dem Ausländeramt obliegen, personenbezogene Daten oder Informationen aufgrund von Gesetzes- oder Verordnungsbestimmungen zu übermitteln.“
49 In Art. 29 dieses Gesetzes heißt es:
„§ 1 – Die Passagierdaten werden den mit der Grenzkontrolle beauftragten Polizeidiensten und dem Ausländeramt innerhalb der im vorliegenden Artikel vorgesehenen Grenzen zu den in Artikel 28 § 1 erwähnten Zwecken übermittelt, damit sie ihre gesetzlichen Aufträge ausführen können.
§ 2 – Nur die in Artikel 9 § 1 Nr. 18 erwähnten Passagierdaten in Bezug auf folgende Kategorien von Passagieren werden übermittelt:
1. Passagiere, die beabsichtigen, über die Außengrenzen Belgiens ins Hoheitsgebiet zu kommen, oder bereits über die Außengrenzen Belgiens ins Hoheitsgebiet gekommen sind,
2. Passagiere, die beabsichtigen, das Hoheitsgebiet über die Außengrenzen Belgiens zu verlassen, oder die das Hoheitsgebiet bereits über die Außengrenzen Belgiens verlassen haben,
3. Passagiere, die beabsichtigen, sich in einer in Belgien gelegenen internationalen Transitzone aufzuhalten, sich dort aufhalten oder sich dort aufgehalten haben.
§ 3 – Die in § 2 erwähnten Passagierdaten werden den Polizeidiensten, die mit der Kontrolle an den Außengrenzen Belgiens beauftragt sind, unmittelbar nach ihrer Speicherung in der Passagierdatenbank übermittelt. Diese Polizeidienste bewahren diese Daten in einer temporären Datei auf und vernichten sie innerhalb von vierundzwanzig Stunden nach ihrer Übermittlung.
§ 4 – Wenn das Ausländeramt die in § 2 erwähnten Passagierdaten für die Ausführung seiner gesetzlichen Aufträge benötigt, werden sie ihm unmittelbar nach ihrer Speicherung in der Passagierdatenbank übermittelt. Das Ausländeramt bewahrt diese Daten in einer temporären Datei auf und vernichtet sie innerhalb von vierundzwanzig Stunden nach ihrer Übermittlung.
Wenn der Zugriff auf die in § 2 erwähnten Passagierdaten nach Ablauf dieser Frist noch notwendig ist, damit das Ausländeramt seine gesetzlichen Aufträge ausführen kann, richtet das Ausländeramt eine gebührend mit Gründen versehene Anfrage an die PNR-Zentralstelle.
…“
50 Der Anwendungsbereich des Gesetzes vom 25. Dezember 2016 wurde durch den Königlichen Erlass vom 18. Juli 2017 zur Ausführung des Gesetzes vom 25. Dezember 2016 und zur Festlegung der Pflichten der Fluggesellschaften (Moniteur belge vom 28. Juli 2017, S. 75934), den Königlichen Erlass vom 3. Februar 2019 zur Ausführung des Gesetzes vom 25. Dezember 2016 und zur Festlegung der Pflichten der HGZ-Beförderer und der HGZ-Ticketvertreiber (Moniteur belge vom 12. Februar 2019, S. 13018) und den Königlichen Erlass vom 3. Februar 2019 zur Ausführung des Gesetzes vom 25. Dezember 2016 und zur Festlegung der Pflichten der Busbeförderungsunternehmen (Moniteur belge vom 12. Februar 2019, S. 13023) auf Fluggesellschaften, auf Beförderungsunternehmen, die grenzüberschreitende Personenverkehrsdienste erbringen (HGZ-Beförderer), und Reisevermittler, die vertraglich an diese Beförderungsunternehmen gebunden sind (HGZ-Ticketvertreiber), sowie auf Busbeförderungsunternehmen ausgedehnt.
II. Ausgangsverfahren und Vorlagefragen
51 Mit Klageschrift vom 24. Juli 2017 erhob die Ligue des droits humains beim Verfassungsgerichtshof (Belgien) Klage auf vollständige oder teilweise Nichtigerklärung des Gesetzes vom 25. Dezember 2016.
52 Das vorlegende Gericht führt aus, mit diesem Gesetz würden die PNR-Richtlinie, die API-Richtlinie sowie teilweise die Richtlinie 2010/65 in innerstaatliches Recht umgesetzt. Nach den Gesetzesmaterialien ziele es darauf ab, „einen rechtlichen Rahmen zu schaffen, um es verschiedenen Sektoren der internationalen Personenbeförderung (Flug‑, Schienen‑, internationaler Straßen- und Seeverkehr) und Reiseunternehmen aufzuerlegen, ihre Passagierdaten an eine vom [Föderalen Öffentlichen Dienst Inneres (Belgien)] verwaltete Datenbank zu übermitteln“. Der nationale Gesetzgeber habe zudem angegeben, dass die Ziele des Gesetzes vom 25. Dezember 2016 zu drei Kategorien gehörten, und zwar erstens Verhütung, Aufdeckung, Ermittlung und Verfolgung von Straftaten und Strafvollstreckung, zweitens Aufträge der Nachrichten- und Sicherheitsdienste und drittens Verbesserung der Kontrollen an den Außengrenzen und Bekämpfung der illegalen Einwanderung.
53 Zur Stützung ihrer Klage führt die Ligue des droits humains zwei Klagegründe an, mit denen sie erstens einen Verstoß gegen Art. 22 der Verfassung in Verbindung mit Art. 23 der DSGVO, Art. 7, Art. 8 und Art. 52 Abs. 1 der Charta sowie Art. 8 der EMRK und zweitens, hilfsweise, einen Verstoß gegen Art. 22 der Verfassung in Verbindung mit Art. 3 Abs. 2 EUV und Art. 45 der Charta rügt.
54 Mit ihrem ersten Klagegrund macht die Ligue des droits humains im Wesentlichen geltend, das Gesetz vom 25. Dezember 2016 sei mit einem Eingriff in die Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten verbunden, der mit Art. 52 Abs. 1 der Charta und insbesondere mit dem Grundsatz der Verhältnismäßigkeit unvereinbar sei. Der Anwendungsbereich dieses Gesetzes und die Definition der erhobenen Daten, die sensible Informationen offenbaren könnten, seien nämlich zu weit. Desgleichen ermögliche der Begriff „Passagier“ im Sinne dieses Gesetzes eine ungezielte systematische und automatisierte Verarbeitung der Daten aller Passagiere. Außerdem seien die Natur und die Modalitäten der Pre-Screening-Methode sowie die Datenbanken, mit denen diese Daten nach ihrer Übermittlung abgeglichen würden, nicht hinreichend klar bestimmt. Überdies würden mit dem Gesetz vom 25. Dezember 2016 andere Ziele verfolgt als mit der PNR-Richtlinie. Schließlich sei die in diesem Gesetz für die Speicherung der betreffenden Daten vorgesehene Frist von fünf Jahren unverhältnismäßig.
55 Mit ihrem zweiten, Art. 3 § 1, Art. 8 § 2 und die Art. 28 bis 31 des Gesetzes vom 25. Dezember 2016 betreffenden Klagegrund macht die Ligue des droits humains geltend, mit diesen Bestimmungen würden durch die Ausdehnung des Systems der PNR-Richtlinie auf Beförderungen innerhalb der EU mittelbar wieder Kontrollen an den Binnengrenzen eingeführt, was gegen die Freizügigkeit verstoße. Die Daten einer im belgischen Hoheitsgebiet ankommenden, von dort abreisenden oder dort einen Zwischenstopp einlegenden Person würden nämlich automatisch erhoben.
56 Der Ministerrat tritt diesem Vorbringen entgegen. Insbesondere sei der erste Klagegrund unzulässig, da er sich auf die DSGVO beziehe, die für das Gesetz vom 25. Dezember 2016 nicht gelte. Im Übrigen stelle die in diesem Gesetz vorgesehene Datenverarbeitung im Einklang mit der PNR-Richtlinie ein wesentliches Instrument vor allem im Rahmen der Bekämpfung des Terrorismus und der Schwerkriminalität dar, und die darin vorgesehenen Maßnahmen seien zur Erreichung der verfolgten und verhältnismäßigen Ziele erforderlich.
57 In Bezug auf den ersten Klagegrund möchte das vorlegende Gericht zunächst wissen, ob der in der DSGVO vorgesehene Schutz auf die durch das Gesetz vom 25. Dezember 2016, mit dem in erster Linie die PNR-Richtlinie umgesetzt werden solle, eingeführten Verarbeitungen von Daten anwendbar sei. Es führt sodann unter Bezugnahme auf die auf das Gutachten 1/15 (PNR-Abkommen EU‑Kanada) vom 26. Juli 2017 (EU:C:2017:592) zurückgehende Rechtsprechung aus, die Definition der PNR-Daten in Art. 3 Nr. 5 und in Anhang I dieser Richtlinie könnte zum einen wegen des nicht erschöpfenden Charakters der Beschreibung einiger dieser Daten in den genannten Bestimmungen nicht hinreichend genau und klar sein und zum anderen mittelbar zur Offenlegung sensibler Daten führen. Außerdem könnte die Definition des Begriffs „Fluggast“ in Art. 3 Nr. 4 der PNR-Richtlinie zur Folge haben, dass die Erhebung, die Übermittlung, die Verarbeitung und die Speicherung von PNR-Daten generelle und undifferenzierte, für jede beförderte oder zu befördernde und in die Passagierliste aufgenommene Person geltende Verpflichtungen darstellten, unabhängig davon, ob ernsthafte Gründe für die Annahme bestünden, dass diese Person eine Straftat begangen habe oder begehen wolle oder dass sie einer Straftat für schuldig befunden worden sei.
58 Das vorlegende Gericht weist ferner darauf hin, dass die PNR-Daten gemäß den Bestimmungen der PNR-Richtlinie systematisch Gegenstand einer Vorabüberprüfung seien, bei der sie mit Datenbanken oder im Voraus festgelegten Kriterien abgeglichen würden, um Treffer zu erzielen. Der Beratende Ausschuss für das Übereinkommen Nr. 108 des Europarats habe in seiner Stellungnahme vom 19. August 2016 zu den datenschutzrechtlichen Auswirkungen der Verarbeitung von Passagierdaten (T‑PD[2016]18rev) ausgeführt, dass die Verarbeitung personenbezogener Daten alle Passagiere betreffe und nicht nur zielgerichtet diejenigen, bei denen der Verdacht bestehe, dass sie an einer Straftat beteiligt seien oder eine unmittelbare Gefahr für die nationale Sicherheit oder die öffentliche Ordnung darstellten, und dass die PNR-Daten nicht nur mit Datenbanken verglichen (data matching), sondern auch mittels prädiktiver Selektoren oder Algorithmen ausgewertet werden könnten (data mining), um zu ermitteln, wer an kriminellen Handlungen beteiligt sein oder sie begehen könnte; eine solche Überprüfung der Passagiere durch den Trefferabgleich von Daten könne Fragen nach der Vorhersehbarkeit aufwerfen, insbesondere wenn sie auf der Grundlage prädiktiver Algorithmen unter Heranziehung dynamischer, selbstlernender und daher einem ständigen Wandel unterworfener Kriterien durchgeführt werde. In diesem Kontext müssten die im Voraus festgelegten Kriterien zur Erstellung von Risikoprofilen zwar nach dem Gutachten 1/15 (PNR-Abkommen EU‑Kanada) vom 26. Juli 2017 (EU:C:2017:592) spezifisch, zuverlässig und nicht diskriminierend sein, aber es erscheine technisch unmöglich, sie näher zu definieren.
59 Zur Speicherfrist von fünf Jahren und zum Zugang zu den Daten gemäß Art. 12 der PNR-Richtlinie führt das vorlegende Gericht aus, der Ausschuss für den Schutz des Privatlebens (Belgien) habe in seiner Initiativstellungnahme Nr. 01/2010 vom 13. Januar 2010 zum Entwurf für das Zustimmungsgesetz zur Genehmigung des PNR-Abkommens zwischen der Europäischen Union und den Vereinigten Staaten die Auffassung vertreten, dass bei einer langen Speicherfrist und der massenhaften Speicherung von Daten das Risiko der Erstellung von Profilen der Betroffenen ebenso steige wie das Risiko einer Verwendung der Daten zu anderen als den ursprünglich vorgesehenen Zwecken. Außerdem ergebe sich aus der Stellungnahme des Beratenden Ausschusses für das Übereinkommen Nr. 108 des Europarats vom 19. August 2016, dass unkenntlich gemachte Daten immer noch die Identifizierung der Personen ermöglichten und somit personenbezogene Daten blieben und dass ihre Speicherung zeitlich begrenzt werden müsse, um einer permanenten allgemeinen Überwachung vorzubeugen.
60 Unter diesen Umständen wirft das vorlegende Gericht in Anbetracht der u. a. aus dem Gutachten 1/15 (PNR-Abkommen EU‑Kanada) vom 26. Juli 2017 (EU:C:2017:592) hervorgegangenen Rechtsprechung die Frage auf, ob davon ausgegangen werden könne, dass bei dem durch die PNR-Richtlinie geschaffenen System der Erhebung, Übermittlung, Verarbeitung und Speicherung von PNR-Daten die Grenzen des absolut Notwendigen eingehalten würden. Zudem bedürfe der Klärung, ob diese Richtlinie nationalen Rechtsvorschriften entgegenstehe, die eine Verarbeitung von PNR-Daten zu einem anderen als den in der Richtlinie vorgesehenen Zwecken erlaubten, und ob eine Übermittlung aller dieser Daten nach ihrer Depersonalisierung gemäß Art. 12 der Richtlinie von einer nationalen Behörde wie der durch das Gesetz vom 25. Dezember 2016 geschaffenen PNR-Zentralstelle genehmigt werden könne.
61 Zum zweiten Klagegrund stellt das vorlegende Gericht fest, dass Art. 3 § 1 des Gesetzes vom 25. Dezember 2016 die Verpflichtungen der Beförderungsunternehmen und Reiseunternehmen in Bezug auf die Übermittlung der Daten von Passagieren regele, „die in das nationale Hoheitsgebiet, aus dem nationalen Hoheitsgebiet oder durch das nationale Hoheitsgebiet befördert werden“. Was den Anwendungsbereich dieses Gesetzes angehe, habe der nationale Gesetzgeber beschlossen, unionsinterne Beförderungen in die Sammlung von Daten einzubeziehen, um einen umfassenderen Überblick über die Ortsveränderungen von Passagieren zu erhalten, die eine potenzielle Bedrohung für die innergemeinschaftliche und die nationale Sicherheit darstellten, wie es Art. 2 der PNR-Richtlinie in Verbindung mit ihrem zehnten Erwägungsgrund für Flüge innerhalb der Union vorsehe. Der Ausschuss für den Schutz des Privatlebens habe in seiner Stellungnahme Nr. 55/2015 vom 16. Dezember 2015 zum Vorentwurf des Gesetzes vom 25. Dezember 2016 die Frage aufgeworfen, ob es einen Konflikt zwischen dem belgischen PNR-System und dem Grundsatz der Freizügigkeit gebe, weil sich dieses System auf Beförderungen innerhalb der Union erstrecke.
62 Unter diesen Umständen hat der Verfassungsgerichtshof beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
1. Ist Art. 23 der DSGVO in Verbindung mit Art. 2 Abs. 2 Buchst. d dieser Verordnung so auszulegen, dass er auf einzelstaatliche Rechtsvorschriften wie das Gesetz vom 25. Dezember 2016, mit dem die PNR-Richtlinie sowie die API-Richtlinie und die Richtlinie 2010/65 umgesetzt werden, anwendbar ist?
2. Ist Anhang I der PNR-Richtlinie mit den Art. 7, 8 und 52 Abs. 1 der Charta in dem Sinne vereinbar, dass die darin aufgeführten Daten sehr weitgehend sind – insbesondere die in Nr. 18 von Anhang I dieser Richtlinie erwähnten Daten, die über die in Art. 3 Abs. 2 der API-Richtlinie erwähnten Daten hinausgehen –, insofern sie zusammen genommen sensible Daten offenlegen könnten und so über das „absolut Notwendige“ hinausgehen könnten?
3. Sind die Nrn. 12 und 18 des Anhangs I der PNR-Richtlinie mit den Art. 7, 8 und 52 Abs. 1 der Charta vereinbar, insofern unter Berücksichtigung des Wortes „einschließlich“ die dort aufgeführten Daten in beispielhafter und nicht erschöpfender Weise genannt werden, was somit gegen die Anforderung der Präzision und Klarheit der Regeln, die einen Eingriff in das Recht auf Achtung des Privatlebens und das Recht auf Schutz personenbezogener Daten nach sich ziehen, verstoßen könnte?
4. Sind Art. 3 Nr. 4 der PNR-Richtlinie und Anhang I dieser Richtlinie mit den Art. 7, 8 und 52 Abs. 1 der Charta vereinbar, insofern das System zur allgemeinen Erhebung, Übermittlung und Verarbeitung von Passagierdaten, das mit diesen Bestimmungen eingeführt wird, auf jede Person abzielt, die das betreffende Beförderungsmittel benutzt, unabhängig von einem objektiven Anhaltspunkt für die Annahme, dass von dieser Person eine Gefahr für die öffentliche Sicherheit ausgehen könnte?
5. Ist Art. 6 der PNR-Richtlinie in Verbindung mit den Art. 7, 8 und 52 Abs. 1 der Charta dahin auszulegen, dass er einzelstaatlichen Rechtsvorschriften wie dem angefochtenen Gesetz entgegensteht, das als Verarbeitungszweck der PNR-Daten die Beaufsichtigung der erwähnten Aktivitäten durch die Nachrichten- und Sicherheitsdienste zulässt und so diesen Zweck in die Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität aufnimmt?
6. Ist Art. 6 der PNR-Richtlinie mit den Art. 7, 8 und 52 Abs. 1 der Charta vereinbar, insofern die in ihm geregelte Vorabüberprüfung durch eine Korrelation mit Datenbanken und im Voraus festgelegten Kriterien systematisch und allgemein auf die Passagierdaten angewandt wird, unabhängig von einem objektiven Anhaltspunkt für die Annahme, dass von diesen Fluggästen eine Gefahr für die öffentliche Sicherheit ausgehen könnte?
7. Kann der in Art. 12 Abs. 3 der PNR-Richtlinie erwähnte Ausdruck „andere nationale Behörde, die … zuständig ist“ dahin ausgelegt werden, dass er sich auf die PNR-Zentralstelle bezieht, die durch das Gesetz vom 25. Dezember 2016 geschaffen wurde und die somit den Zugriff auf die PNR-Daten nach einer sechsmonatigen Frist im Rahmen von gezielten Recherchen gestatten dürfte?
8. Ist Art. 12 der PNR-Richtlinie in Verbindung mit den Art. 7, 8 und 52 Abs. 1 der Charta dahin auszulegen, dass er einzelstaatlichen Rechtsvorschriften wie dem angefochtenen Gesetz entgegensteht, das eine allgemeine Aufbewahrungsdauer für die Daten von fünf Jahren vorsieht, ohne eine Unterscheidung danach vorzunehmen, ob sich im Rahmen der Vorabüberprüfung herausstellt, dass die betroffenen Fluggäste ein Risiko für die öffentliche Sicherheit darstellen können oder nicht?
9. a) Ist die API-Richtlinie mit Art. 3 Abs. 2 EUV und mit Art. 45 der Charta vereinbar, insofern die Pflichten, die sie einführt, für Flüge innerhalb der Europäischen Union gelten?
b) Ist die API-Richtlinie in Verbindung mit Art. 3 Abs. 2 EUV und mit Art. 45 der Charta dahin auszulegen, dass sie einzelstaatlichen Rechtsvorschriften wie dem angefochtenen Gesetz entgegensteht, das zum Zwecke der Bekämpfung der illegalen Einwanderung und der Verbesserung der Grenzkontrollen ein System zur Erhebung und Verarbeitung der Daten „zu den in das nationale Hoheitsgebiet, aus dem nationalen Hoheitsgebiet oder durch das nationale Hoheitsgebiet“ beförderten Passagieren gestattet, was indirekt eine Wiedereinführung von Kontrollen an den Binnengrenzen bedeuten könnte?
10. Könnte der Verfassungsgerichtshof, falls er auf der Grundlage der Antworten auf die vorstehenden Vorabentscheidungsfragen zu dem Schluss gelangen sollte, dass das angefochtene Gesetz, mit dem insbesondere die PNR-Richtlinie umgesetzt wird, gegen eine oder mehrere der Verpflichtungen verstößt, die sich aus den in diesen Fragen genannten Bestimmungen ergeben, die Folgen des Gesetzes vom 25. Dezember 2016 vorläufig aufrechterhalten, um eine Rechtsunsicherheit zu vermeiden und es zu ermöglichen, dass die zuvor gesammelten und auf Vorrat gespeicherten Daten noch für die durch das Gesetz angestrebten Ziele benutzt werden können?
III. Zu den Vorlagefragen
A. Zur ersten Frage
63 Mit seiner ersten Frage möchte das vorlegende Gericht wissen, ob Art. 2 Abs. 2 Buchst. d und Art. 23 der DSGVO dahin auszulegen sind, dass diese Verordnung für Verarbeitungen personenbezogener Daten gilt, die in nationalen Rechtsvorschriften vorgesehen sind, mit denen die Bestimmungen sowohl der PNR-Richtlinie als auch der API-Richtlinie und der Richtlinie 2010/65 in innerstaatliches Recht umgesetzt werden sollen, insbesondere für die Übermittlung, die Speicherung und die Verarbeitung von PNR-Daten.
64 Nach Art. 2 Abs. 1 der DSGVO gilt diese Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung solcher Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Der Begriff „Verarbeitung“ wird in Art. 4 Nr. 2 der Verordnung weit definiert als u. a. das Erheben, das Erfassen, die Speicherung, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder das Löschen solcher Daten.
65 Die belgische Regierung macht jedoch geltend, dass die in Art. 1 Abs. 1 Buchst. a, Art. 1 Abs. 2 und Art. 8 der PNR-Richtlinie vorgesehene Übermittlung von PNR-Daten durch die Wirtschaftsteilnehmer an die PNR-Zentralstelle zur Verhütung und Aufdeckung von Straftaten, die ebenso wie ihre vorherige Erhebung eine „Verarbeitung“ personenbezogener Daten im Sinne von Art. 4 Nr. 2 der DSGVO darstelle, nach deren Art. 2 Abs. 2 Buchst. d nicht in ihren Anwendungsbereich falle, weil die auf das Urteil vom 30. Mai 2006, Parlament/Rat und Kommission (C‑317/04 und C‑318/04, EU:C:2006:346, Rn. 57 bis 59), zurückgehende Rechtsprechung zu Art. 3 Abs. 2 erster Gedankenstrich der Richtlinie 95/46 auf die genannte Bestimmung der Verordnung übertragbar sei.
66 Insoweit trifft es, wie der Gerichtshof bereits festgestellt hat, zu, dass nach Art. 3 Abs. 2 erster Gedankenstrich der Richtlinie 95/46, die mit Wirkung vom 25. Mai 2018 durch die DSGVO aufgehoben und ersetzt wurde, „Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung [und] die Sicherheit des Staates“ generell von ihrem Anwendungsbereich ausgenommen waren, ohne Unterscheidung anhand des Urhebers der betreffenden Verarbeitung von Daten. Daher konnten Verarbeitungen personenbezogener Daten durch private Wirtschaftsteilnehmer aufgrund behördlich auferlegter Verpflichtungen gegebenenfalls unter die in dieser Bestimmung vorgesehene Ausnahme fallen, denn sie erstreckte sich auf alle die öffentliche Sicherheit, die Landesverteidigung oder die Sicherheit des Staates betreffenden Verarbeitungen, unabhängig von deren Urheber (vgl. in diesem Sinne Urteil vom 6. Oktober 2020, La Quadrature du Net u. a., C‑511/18, C‑512/18 und C‑520/18, EU:C:2020:791, Rn. 101).
67 In Art. 2 Abs. 2 Buchst. d der DSGVO gibt es jedoch eine solche Unterscheidung, denn aus dem Wortlaut dieser Bestimmung geht, wie der Generalanwalt in den Nrn. 41 und 46 seiner Schlussanträge ausgeführt hat, klar hervor, dass zwei Voraussetzungen erfüllt sein müssen, damit eine Datenverarbeitung unter die dort vorgesehene Ausnahme fällt. Während die erste von ihnen die Zwecke der Verarbeitung – Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit – betrifft, geht es in der zweiten Voraussetzung um den Urheber der Verarbeitung, bei dem es sich um eine „zuständige Behörde“ im Sinne dieser Bestimmung handeln muss.
68 Wie der Gerichtshof ebenfalls festgestellt hat, ergibt sich aus Art. 23 Abs. 1 Buchst. d und h der DSGVO, dass Verarbeitungen personenbezogener Daten, die von Privatpersonen zu den in ihrem Art. 2 Abs. 2 Buchst. d genannten Zwecken vorgenommen werden, in ihren Anwendungsbereich fallen (vgl. in diesem Sinne Urteil vom 6. Oktober 2020, La Quadrature du Net u. a., C‑511/18, C‑512/18 und C‑520/18, EU:C:2020:791, Rn. 102).
69 Die auf das Urteil vom 30. Mai 2006, Parlament/Rat und Kommission (C‑317/04 und C‑318/04, EU:C:2006:346), zurückgehende Rechtsprechung, auf die sich die belgische Regierung beruft, ist daher nicht auf die Ausnahme vom Anwendungsbereich der DSGVO in ihrem Art. 2 Abs. 2 Buchst. d übertragbar.
70 Außerdem ist diese Ausnahme, wie die übrigen in Art. 2 Abs. 2 der DSGVO vorgesehenen Ausnahmen von ihrem Anwendungsbereich, eng auszulegen.
71 Nach dem 19. Erwägungsgrund der DSGVO beruht die genannte Ausnahme darauf, dass Verarbeitungen personenbezogener Daten, die von den zuständigen Behörden u. a. zum Zweck der Verhütung und Aufdeckung von Straftaten, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, vorgenommen werden, in einem spezifischeren Rechtsakt der Union geregelt sind, und zwar in der Richtlinie 2016/680, die am selben Tag wie die DSGVO erlassen wurde (Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 69).
72 Wie im Übrigen in den Erwägungsgründen 9 bis 11 der Richtlinie 2016/680 klargestellt wird, enthält sie spezifische Vorschriften zum Schutz natürlicher Personen bei diesen Verarbeitungen, wobei den Besonderheiten der Tätigkeiten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit Rechnung getragen wird, während in der DSGVO allgemeine Bestimmungen zum Schutz dieser Personen festgelegt werden, die auf die genannten Verarbeitungen Anwendung finden sollen, wenn die Richtlinie 2016/680 als der spezifischere Rechtsakt nicht anwendbar ist. Insbesondere gilt die DSGVO nach dem elften Erwägungsgrund dieser Richtlinie für die Verarbeitung personenbezogener Daten durch eine „zuständige Behörde“ im Sinne ihres Art. 3 Nr. 7, die aber anderen als den von ihr vorgesehenen Zwecken dient (vgl. in diesem Sinne Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 70).
73 Zur ersten oben in Rn. 67 genannten Voraussetzung und insbesondere zu den Zwecken, die mit den in der PNR-Richtlinie vorgesehenen Verarbeitungen personenbezogener Daten verfolgt werden, ist darauf hinzuweisen, dass nach Art. 1 Abs. 2 dieser Richtlinie die PNR-Daten ausschließlich zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität verarbeitet werden dürfen. Diese Zwecke gehören zu den in Art. 2 Abs. 2 Buchst. d der DSGVO und in Art. 1 Abs. 1 der Richtlinie 2016/680 genannten, so dass solche Verarbeitungen unter die in Art. 2 Abs. 2 Buchst. d der DSGVO vorgesehene Ausnahme und folglich in den Anwendungsbereich dieser Richtlinie fallen können.
74 Bei den in der API-Richtlinie und der Richtlinie 2010/65 vorgesehenen Verarbeitungen, die zu anderen als den in Art. 2 Abs. 2 Buchst. d der DSGVO und in Art. 1 Abs. 1 der Richtlinie 2016/680 vorgesehenen Zwecken dienen, ist dies hingegen nicht der Fall.
75 Die API-Richtlinie bezweckt nämlich nach ihren Erwägungsgründen 1, 7 und 9 sowie ihrem Art. 1, die Grenzkontrollen zu verbessern und die illegale Einwanderung zu bekämpfen, indem die Beförderungsunternehmen Angaben über die beförderten Personen vorab an die zuständigen nationalen Behörden übermitteln. Überdies zeigen mehrere Erwägungsgründe und Bestimmungen dieser Richtlinie, dass die zu ihrer Durchführung vorgesehenen Verarbeitungen von Daten in den Anwendungsbereich der DSGVO fallen. So heißt es in ihrem zwölften Erwägungsgrund: „Die Richtlinie [95/46] findet auf die Verarbeitung personenbezogener Daten durch die Behörden der Mitgliedstaaten Anwendung.“ Außerdem können die Mitgliedstaaten die API-Daten nach Art. 6 Abs. 1 Unterabs. 5 der API-Richtlinie auch zu Strafverfolgungszwecken verwenden, sofern die „Datenschutzbestimmungen der Richtlinie [95/46]“ gewahrt werden; diese Wendung findet sich ferner in Art. 6 Abs. 1 Unterabs. 3. Desgleichen wird u. a. im neunten Erwägungsgrund der API-Richtlinie die Wendung „unbeschadet der Richtlinie [95/46]“ verwendet. Schließlich sieht Art. 6 Abs. 2 der API-Richtlinie vor, dass die beförderten Personen von den Beförderungsunternehmern „gemäß der Richtlinie [95/46]“ zu unterrichten sind.
76 Was die Richtlinie 2010/65 betrifft, geht aus ihrem zweiten Erwägungsgrund und aus ihrem Art. 1 Abs. 1 hervor, dass ihr Zweck die Vereinfachung und Harmonisierung der Verwaltungsverfahren im Seeverkehr durch die allgemeine Nutzung elektronischer Systeme für die Datenübermittlung und durch die Rationalisierung der Meldeförmlichkeiten ist, um den Seeverkehr zu erleichtern und den Verwaltungsaufwand für Seeschifffahrtsunternehmen zu verringern. Art. 8 Abs. 2 dieser Richtlinie bestätigt, dass die zu ihrer Umsetzung vorgesehenen Datenverarbeitungen in den Anwendungsbereich der DSGVO fallen, da die Mitgliedstaaten durch diese Bestimmung verpflichtet werden, in Bezug auf personenbezogene Daten die Einhaltung der Richtlinie 95/46 sicherzustellen.
77 Daraus folgt, dass die in nationalen Rechtsvorschriften, mit denen die Bestimmungen der API-Richtlinie und der Richtlinie 2010/65 in innerstaatliches Recht umgesetzt werden, vorgesehenen Verarbeitungen von Daten in den Anwendungsbereich der DSGVO fallen. Dagegen können die in nationalen Rechtsvorschriften, mit denen die PNR-Richtlinie in innerstaatliches Recht umgesetzt wird, vorgesehenen Verarbeitungen von Daten nach der in Art. 2 Abs. 2 Buchst. d der DSGVO enthaltenen Ausnahme von ihrem Anwendungsbereich ausgenommen sein, sofern die zweite oben in Rn. 67 genannte Voraussetzung erfüllt ist, dass der Urheber der Verarbeitungen eine zuständige Behörde im Sinne der letztgenannten Bestimmung ist.
78 Zu dieser zweiten Voraussetzung hat der Gerichtshof entschieden, dass die in Art. 3 Abs. 7 der Richtlinie 2016/680 enthaltene Definition des Begriffs „zuständige Behörde“ auf Art. 2 Abs. 2 Buchst. d der DSGVO entsprechend anzuwenden ist (vgl. in diesem Sinne Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 69).
79 Nach den Art. 4 und 7 der PNR-Richtlinie muss jeder Mitgliedstaat eine für die Verhütung, Aufdeckung, Ermittlung oder Verfolgung von terroristischen Straftaten und schwerer Kriminalität zuständige Behörde als seine PNR-Zentralstelle benennen und eine Liste der zuständigen Behörden erstellen, die berechtigt sind, PNR-Daten oder die Ergebnisse der Verarbeitung dieser Daten von der PNR-Zentralstelle anzufordern oder entgegenzunehmen, wobei Letztere auch die in diesem Bereich zuständigen Behörden sind (Art. 7 Abs. 2 der PNR-Richtlinie).
80 Daraus ergibt sich, dass die Verarbeitungen von PNR-Daten durch die PNR-Zentralstelle und die erwähnten zuständigen Behörden zu solchen Zwecken die beiden oben in Rn. 67 genannten Voraussetzungen erfüllen, so dass für diese Verarbeitungen – neben den Bestimmungen der PNR-Richtlinie selbst – die Bestimmungen der Richtlinie 2016/680 und nicht der DSGVO gelten, was im Übrigen durch den 27. Erwägungsgrund der PNR-Richtlinie bestätigt wird.
81 Da Wirtschaftsteilnehmer wie die Fluggesellschaften, auch wenn sie gesetzlich zur Übermittlung von PNR-Daten verpflichtet sind, durch diese Richtlinie weder mit der Ausübung öffentlicher Gewalt betraut noch mit hoheitlichen Befugnissen ausgestattet werden, können sie hingegen nicht als zuständige Behörden im Sinne von Art. 3 Abs. 7 der Richtlinie 2016/680 und Art. 2 Abs. 2 Buchst. d der DSGVO angesehen werden, so dass die Erhebung dieser Daten und ihre Übermittlung an die PNR-Zentralstelle durch die Fluggesellschaften unter diese Verordnung fallen. Das Gleiche gilt in einer Situation wie der im Gesetz vom 25. Dezember 2016 vorgesehenen, wonach die Erfassung und Übermittlung der Daten von anderen Beförderungsunternehmen oder von den Reisebüros vorgenommen werden.
82 Schließlich wirft das vorlegende Gericht die Frage nach den etwaigen Auswirkungen des Erlasses nationaler Rechtsvorschriften zur Umsetzung der Bestimmungen sowohl der PNR-Richtlinie als auch der API-Richtlinie und der Richtlinie 2010/65 auf. Insoweit ist darauf hinzuweisen, dass die in den beiden letztgenannten Richtlinien vorgesehenen Datenverarbeitungen in den Anwendungsbereich der DSGVO fallen, die allgemeine Regeln zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten enthält (siehe oben, Rn. 72 und 75 bis 77).
83 Fällt eine auf der Grundlage dieser Rechtsvorschriften vorgenommene Datenverarbeitung unter die API-Richtlinie und/oder die Richtlinie 2010/65, ist die DSGVO somit darauf anwendbar. Das Gleiche gilt für eine auf dieser Grundlage vorgenommene Datenverarbeitung, die hinsichtlich ihres Zwecks nicht nur unter die PNR-Richtlinie fällt, sondern auch unter die API-Richtlinie und/oder die Richtlinie 2010/65. Schließlich ist, wenn eine auf dieser Grundlage vorgenommene Datenverarbeitung hinsichtlich ihres Zwecks nur unter die PNR-Richtlinie fällt, die DSGVO anwendbar, sofern es sich um die Erhebung von PNR-Daten und ihre Übermittlung an die PNR-Zentralstelle durch Fluggesellschaften handelt. Erfolgt eine solche Verarbeitung durch die PNR-Zentralstelle oder die zuständigen Behörden zu den in Art. 1 Abs. 2 der PNR-Richtlinie genannten Zwecken, fällt sie hingegen unter das nationale Recht sowie die Richtlinie 2016/680.
84 Nach alledem ist auf die erste Frage zu antworten, dass Art. 2 Abs. 2 Buchst. d und Art. 23 der DSGVO dahin auszulegen sind, dass diese Verordnung für die Verarbeitung personenbezogener Daten gilt, die in nationalen Rechtsvorschriften vorgesehen ist, mit denen die Bestimmungen sowohl der API-Richtlinie als auch der Richtlinie 2010/65 und der PNR-Richtlinie in Bezug auf die Verarbeitung von Daten durch private Wirtschaftsteilnehmer sowie in Bezug auf die nur oder auch unter die API-Richtlinie oder die Richtlinie 2010/65 fallende Verarbeitung von Daten durch Behörden in innerstaatliches Recht umgesetzt werden sollen. Die Verordnung gilt hingegen nicht für die in nationalen Rechtsvorschriften vorgesehene, nur unter die PNR-Richtlinie fallende Verarbeitung von Daten durch die PNR-Zentralstelle oder die zuständigen Behörden zu den in Art. 1 Abs. 2 dieser Richtlinie genannten Zwecken.
B. Zu den Fragen 2 bis 4 und 6
85 Mit seinen Fragen 2 bis 4 und 6, die zusammen zu prüfen sind, möchte das vorlegende Gericht vom Gerichtshof wissen, ob die PNR-Richtlinie gemessen an den Art. 7 und 8 sowie an Art. 52 Abs. 1 der Charta gültig ist. Diese Fragen betreffen insbesondere
– Anhang I der PNR-Richtlinie und namentlich die dort in den Nrn. 12 und 18 aufgeführten Daten im Hinblick auf die Erfordernisse der Klarheit und Genauigkeit (zweite und dritte Frage),
– Art. 3 Nr. 4 und Anhang I der PNR-Richtlinie, soweit das durch diese Bestimmungen geschaffene System der allgemeinen Erhebung, Übermittlung und Verarbeitung von PNR-Daten auf jede Person Anwendung finden kann, die an Bord eines unter die Bestimmungen der Richtlinie fallenden Fluges geht (vierte Frage), und
– Art. 6 der PNR-Richtlinie, soweit er eine Vorabüberprüfung mittels eines Abgleichs der PNR-Daten mit Datenbanken und/oder ihrer Verarbeitung anhand im Voraus festgelegter Kriterien vorsieht, die systematisch und allgemein auf diese Daten angewandt wird, unabhängig von jeglichem objektiven Anhaltspunkt für die Annahme, dass von den betreffenden Fluggästen eine Gefahr für die öffentliche Sicherheit ausgehen könnte (sechste Frage).
86 Insoweit ist zunächst darauf hinzuweisen, dass ein Rechtsakt der Union nach einem allgemeinen Auslegungsgrundsatz so weit wie möglich in einer seine Gültigkeit nicht in Frage stellenden Weise und im Einklang mit dem gesamten Primärrecht und insbesondere mit den Bestimmungen der Charta auszulegen ist. Lässt eine Vorschrift des abgeleiteten Unionsrechts mehr als eine Auslegung zu, ist daher die Auslegung, bei der die Bestimmung mit dem Primärrecht vereinbar ist, derjenigen vorzuziehen, die zur Feststellung ihrer Unvereinbarkeit mit dem Primärrecht führt (Urteil vom 2. Februar 2021, Consob, C‑481/19, EU:C:2021:84, Rn. 50 und die dort angeführte Rechtsprechung).
87 Ferner müssen die Mitgliedstaaten nach ständiger Rechtsprechung, wenn die Bestimmungen einer Richtlinie ihnen einen Beurteilungsspielraum für die Festlegung der an die verschiedenen denkbaren Sachverhalte angepassten Umsetzungsmaßnahmen lassen, bei der Durchführung dieser Maßnahmen nicht nur ihr nationales Recht in einer mit der fraglichen Richtlinie konformen Weise auslegen, sondern auch darauf achten, dass sie sich nicht auf eine Auslegung der Richtlinie stützen, die mit den durch die Rechtsordnung der Union geschützten Grundrechten oder mit anderen in dieser Rechtsordnung anerkannten allgemeinen Grundsätzen kollidiert (vgl. in diesem Sinne Urteile vom 15. Februar 2016, N., C‑601/15 PPU, EU:C:2016:84, Rn. 60 und die dort angeführte Rechtsprechung, sowie vom 16. Juli 2020, État belge [Familienzusammenführung – Minderjähriges Kind], C‑133/19, C‑136/19 und C‑137/19, EU:C:2020:577, Rn. 33 und die dort angeführte Rechtsprechung).
88 Zur PNR-Richtlinie ist festzustellen, dass u. a. in ihren Erwägungsgründen 15, 20, 22, 25, 36 und 37 die Bedeutung hervorgehoben wird, die der Unionsgesetzgeber – unter Bezugnahme auf ein hohes Datenschutzniveau – der uneingeschränkten Achtung der in den Art. 7, 8 und 21 der Charta verankerten Grundrechte sowie dem Grundsatz der Verhältnismäßigkeit beimisst, so dass diese Richtlinie, wie es in ihrem 36. Erwägungsgrund heißt, „entsprechend umzusetzen [ist]“.
89 Insbesondere wird im 22. Erwägungsgrund der PNR-Richtlinie ausgeführt: „Unter uneingeschränkter Berücksichtigung der in der jüngeren maßgeblichen Rechtsprechung des [Gerichtshofs] dargelegten Grundsätze sollte bei der Anwendung dieser Richtlinie sichergestellt werden, dass die Grundrechte, das Recht auf Privatsphäre und der Grundsatz der Verhältnismäßigkeit in vollem Umfang geachtet werden. Sie sollte auch wirklich den Zielen dessen, was erforderlich und verhältnismäßig ist, um die von der Union anerkannten allgemeinen Interessen zu wahren, und der Notwendigkeit entsprechen, die Rechte und Freiheiten anderer bei der Bekämpfung von terroristischen Straftaten und schwerer Kriminalität zu schützen.“ Weiter heißt es dort, dass die „Anwendung dieser Richtlinie … ordnungsgemäß gerechtfertigt [werden sollte] und die notwendigen Sicherheitsvorkehrungen getroffen werden [sollten], um die Rechtmäßigkeit einer etwaigen Speicherung, Auswertung, Übermittlung oder Verwendung von PNR-Daten sicherzustellen“.
90 Im Übrigen muss die Kommission bei der Überprüfung der PNR-Richtlinie nach deren Art. 19 Abs. 2 insbesondere „die Einhaltung des einschlägigen Schutzstandards bezüglich personenbezogener Daten“, „die Erforderlichkeit und Verhältnismäßigkeit der Erhebung und Verarbeitung von PNR-Daten für jeden der in dieser Richtlinie genannten Zwecke“ sowie „die Datenspeicherungsfristen“ berücksichtigen.
91 Somit ist zu prüfen, ob die PNR-Richtlinie, im Einklang mit den Anforderungen, die u. a. in ihren oben in den Rn. 88 bis 90 genannten Erwägungsgründen und Bestimmungen aufgestellt werden, in einer Weise ausgelegt werden kann, bei der die uneingeschränkte Achtung der durch die Art. 7 und 8 der Charta garantierten Grundrechte sowie des in ihrem Art. 52 Abs. 1 verankerten Grundsatzes der Verhältnismäßigkeit gewährleistet ist.
1. Zu den Eingriffen in die durch die Art. 7 und 8 der Charta garantierten Grundrechte, die sich aus der PNR-Richtlinie ergeben
92 Nach Art. 7 der Charta hat jede Person das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation, während in Art. 8 Abs. 1 der Charta jeder Person ausdrücklich das Recht auf Schutz der sie betreffenden personenbezogenen Daten zuerkannt wird.
93 Wie sich aus Art. 3 Nr. 5 der PNR-Richtlinie und der Aufzählung in ihrem Anhang I ergibt, gehören zu den von ihr erfassten PNR-Daten – neben dem Namen des Fluggasts bzw. der Fluggäste – insbesondere für die Reservierung erforderliche Informationen wie die Daten des geplanten Flugs und die Reiseroute, Flugscheindaten, Informationen zu unter derselben Reservierungsnummer registrierten Personengruppen, die Kontaktdaten des Fluggasts bzw. der Fluggäste, Zahlungs- oder Abrechnungsinformationen, Informationen zum Gepäck sowie allgemeine Hinweise zu den Fluggästen.
94 Da die PNR-Daten somit Informationen über bestimmte natürliche Personen, und zwar die betreffenden Fluggäste, enthalten, berühren die verschiedenen Verarbeitungen, die mit diesen Daten vorgenommen werden können, das durch Art. 7 der Charta garantierte Grundrecht auf Achtung des Privatlebens (vgl. in diesem Sinne Gutachten 1/15 [PNR-Abkommen EU–Kanada] vom 26. Juli 2017, EU:C:2017:592, Rn. 121 und 122 sowie die dort angeführte Rechtsprechung).
95 Zudem fallen die von der PNR-Richtlinie erfassten Verarbeitungen von PNR-Daten unter Art. 8 der Charta, weil sie Verarbeitungen personenbezogener Daten im Sinne dieses Artikels darstellen und deshalb zwangsläufig die dort vorgesehenen Erfordernisse des Datenschutzes erfüllen müssen (vgl. in diesem Sinne Gutachten 1/15 [PNR-Abkommen EU–Kanada] vom 26. Juli 2017, EU:C:2017:592, Rn. 123 und die dort angeführte Rechtsprechung).
96 Nach ständiger Rechtsprechung stellt die Weitergabe personenbezogener Daten an einen Dritten, etwa eine Behörde, unabhängig von der späteren Verwendung der übermittelten Informationen einen Eingriff in die in den Art. 7 und 8 der Charta verankerten Grundrechte dar. Dasselbe gilt für die Speicherung personenbezogener Daten und den Zugang zu ihnen zwecks ihrer Verwendung durch die Behörden. Dabei kommt es nicht darauf an, ob die betreffenden Informationen über das Privatleben als sensibel anzusehen sind oder ob die Betroffenen durch den Vorgang irgendwelche Nachteile erlitten haben (Gutachten 1/15 [PNR-Abkommen EU–Kanada] vom 26. Juli 2017, EU:C:2017:592, Rn. 124 und 126 sowie die dort angeführte Rechtsprechung).
97 Somit stellen sowohl die in Art. 1 Abs. 1 Buchst. a der PNR-Richtlinie in Verbindung mit deren Art. 8 vorgesehene Übermittlung der PNR-Daten durch die Fluggesellschaften an die PNR-Zentralstelle des betreffenden Mitgliedstaats als auch die Festlegung der Bedingungen für die Speicherung dieser Daten, ihre Verwendung und ihre etwaige Weitergabe an die zuständigen Behörden dieses Mitgliedstaats, an die PNR-Zentralstellen und die zuständigen Behörden der übrigen Mitgliedstaaten, an Europol oder an die Behörden von Drittstaaten, wie es insbesondere die Art. 6, 7, 9 und 10 bis 12 dieser Richtlinie gestatten, Eingriffe in die durch die Art. 7 und 8 der Charta garantierten Rechte dar.
98 Zur Schwere dieser Eingriffe ist erstens festzustellen, dass die PNR-Richtlinie nach ihrem Art. 1 Abs. 1 Buchst. a in Verbindung mit ihrem Art. 8 die systematische und kontinuierliche Übermittlung der PNR-Daten aller Fluggäste von Drittstaatsflügen im Sinne von Art. 3 Nr. 2 der Richtlinie, d. h. von Flügen zwischen Drittstaaten und der Union, an die PNR-Zentralstelle vorsieht. Wie der Generalanwalt in Nr. 73 seiner Schlussanträge ausgeführt hat, ist mit einer solchen Übermittlung ein allgemeiner Zugang der PNR-Zentralstellen zu allen übermittelten PNR-Daten sämtlicher Personen verbunden, die Luftverkehrsdienstleistungen nutzen, und zwar unabhängig von der späteren Verwendung dieser Daten.
99 Zweitens können die Mitgliedstaaten nach Art. 2 Abs. 1 der PNR-Richtlinie entscheiden, diese Richtlinie auf EU-Flüge im Sinne ihres Art. 3 Nr. 3 anzuwenden, und nach Art. 2 Abs. 2 gelten in diesem Fall alle Bestimmungen der Richtlinie „für EU-Flüge so, als handele es sich um Drittstaatsflüge, und für PNR-Daten zu EU-Flügen so, als handele es sich um PNR-Daten zu Drittstaatsflügen“.
100 Drittens können, auch wenn einige der in Anhang I der PNR-Richtlinie aufgezählten und oben in Rn. 93 zusammengefassten PNR-Daten für sich genommen nicht geeignet sein dürften, genaue Informationen über das Privatleben der betreffenden Personen zu liefern, diese Daten zusammen betrachtet u. a. einen gesamten Reiseverlauf, Reisegewohnheiten, Beziehungen zwischen zwei oder mehreren Personen sowie Informationen über die finanzielle Situation der Fluggäste, ihre Ernährungsgewohnheiten oder ihren Gesundheitszustand offenbaren, und sie könnten sogar sensible Daten über die Fluggäste liefern (vgl. in diesem Sinne Gutachten 1/15 [PNR-Abkommen EU–Kanada] vom 26. Juli 2017, EU:C:2017:592, Rn. 128).
101 Viertens sollen nach Art. 6 Abs. 2 Buchst. a und b der PNR-Richtlinie die von den Fluggesellschaften übermittelten Daten nicht nur einer Vorabüberprüfung vor der planmäßigen Ankunft der Fluggäste oder ihrem geplanten Abflug unterzogen werden, sondern auch einer nachträglichen Überprüfung.
102 Zur Vorabüberprüfung ergibt sich aus Art. 6 Abs. 2 Buchst. a und Abs. 3 der PNR-Richtlinie, dass sie von den PNR-Zentralstellen der Mitgliedstaaten systematisch und automatisiert durchgeführt wird, d. h. kontinuierlich und unabhängig davon, ob es irgendeinen Anhaltspunkt dafür gibt, dass die betreffenden Personen an terroristischen Straftaten oder an schwerer Kriminalität beteiligt sein könnten. Zu diesem Zweck sehen die genannten Bestimmungen vor, dass die PNR-Daten mit „maßgeblichen“ Datenbanken und anhand „im Voraus festgelegter Kriterien“ abgeglichen werden können.
103 In diesem Zusammenhang hat der Gerichtshof bereits entschieden, dass der Umfang des mit automatisierten Analysen der PNR-Daten verbundenen Eingriffs in die in den Art. 7 und 8 der Charta verankerten Rechte im Wesentlichen von den im Voraus festgelegten Modellen und Kriterien sowie von den Datenbanken abhängt, auf denen diese Art der Datenverarbeitung beruht (Gutachten 1/15 [PNR-Abkommen EU‑Kanada] vom 26. Juli 2017, EU:C:2017:592, Rn. 172).
104 Wie der Generalanwalt in Nr. 78 seiner Schlussanträge ausgeführt hat, kann die in Art. 6 Abs. 3 Buchst. a der PNR-Richtlinie vorgesehene Verarbeitung in Form des Abgleichs der PNR-Daten mit „maßgeblichen“ Datenbanken zusätzliche Informationen über das Privatleben der Fluggäste liefern und insoweit sehr genaue Schlüsse ermöglichen.
105 Was die Verarbeitung der PNR-Daten anhand „im Voraus festgelegter Kriterien“ (Art. 6 Abs. 3 Buchst. b der PNR-Richtlinie) betrifft, verlangt Art. 6 Abs. 4 der Richtlinie zwar, dass die Überprüfung von Fluggästen mittels dieser Kriterien in nicht diskriminierender Weise erfolgen muss und insbesondere nicht auf einer ganzen Reihe von Eigenschaften beruhen darf, die im letzten Satz von Art. 6 Abs. 4 aufgeführt sind. Außerdem müssen die herangezogenen Kriterien zielgerichtet, verhältnismäßig und bestimmt sein.
106 Der Gerichtshof hat allerdings bereits befunden, dass die automatisierten Analysen der PNR-Daten, da sie anhand von nicht überprüften personenbezogenen Daten durchgeführt werden und auf im Voraus festgelegten Modellen und Kriterien beruhen, zwangsläufig mit einer gewissen Fehlerquote behaftet sind (vgl. entsprechend Gutachten 1/15 [PNR-Abkommen EU–Kanada] vom 26. Juli 2017, EU:C:2017:592, Rn. 169). Insbesondere geht, wie der Generalanwalt in Nr. 78 seiner Schlussanträge im Wesentlichen ausgeführt hat, aus dem Arbeitspapier der Kommission (SWD[2020] 128 endg.), das ihrem Bericht vom 24. Juli 2020 über die Überprüfung der PNR-Richtlinie beigefügt ist, hervor, dass die Anzahl der aus der automatisierten Verarbeitung gemäß Art. 6 Abs. 3 Buchst. a und b dieser Richtlinie resultierenden Treffer, die sich nach der individuellen Überprüfung mit nicht automatisierten Mitteln als falsch erwiesen haben, erheblich war und sich in den Jahren 2018 und 2019 auf wenigstens fünf von sechs identifizierten Personen belief. Diese Verarbeitungen führen somit zu einer eingehenden Analyse der PNR-Daten für die genannten Personen.
107 Zu der in Art. 6 Abs. 2 Buchst. b der PNR-Richtlinie vorgesehenen nachträglichen Überprüfung der PNR-Daten ergibt sich aus dieser Bestimmung, dass die PNR-Zentralstelle während des in Art. 12 Abs. 2 der Richtlinie genannten Zeitraums von sechs Monaten ab der Übermittlung der PNR-Daten verpflichtet ist, den zuständigen Behörden auf deren Anfrage die PNR-Daten zur Verfügung zu stellen und sie in besonderen Fällen zur Bekämpfung terroristischer Straftaten oder schwerer Kriminalität zu verarbeiten.
108 Außerdem kann die PNR-Zentralstelle, auch wenn die PNR-Daten nach Ablauf der Frist von sechs Monaten durch Unkenntlichmachung bestimmter Datenelemente depersonalisiert werden, gleichwohl nach Art. 12 Abs. 3 der PNR-Richtlinie verpflichtet sein, auf eine solche Anfrage hin die vollständigen PNR-Daten in einer die Identifizierung der betroffenen Person ermöglichenden Form zu übermitteln, sofern berechtigter Grund zu der Annahme besteht, dass dies für die Zwecke des Art. 6 Abs. 2 Buchst. b der Richtlinie erforderlich ist; eine solche Übermittlung bedarf allerdings der Genehmigung durch eine Justizbehörde oder eine „andere nationale Behörde“.
109 Fünftens sieht die PNR-Richtlinie in ihrem Art. 12 Abs. 1 ohne nähere Angaben vor, dass die PNR-Daten für einen Zeitraum von fünf Jahren ab ihrer Übermittlung an die PNR-Zentralstelle des Mitgliedstaats, in dessen Hoheitsgebiet der Flug angekommen bzw. von dem er abgegangen ist, in einer Datenbank vorgehalten werden. Angesichts der Tatsache, dass die PNR-Daten, obwohl sie nach Ablauf der ursprünglichen Frist von sechs Monaten durch Unkenntlichmachung bestimmter Datenelemente depersonalisiert werden, in dem in der vorstehenden Randnummer genannten Fall weiterhin in vollständiger Form offengelegt werden können, macht die Richtlinie damit Informationen über das Privatleben der Fluggäste für einen Zeitraum verfügbar, den der Gerichtshof bereits in seinem Gutachten 1/15 (PNR-Abkommen EU–Kanada) vom 26. Juli 2017 (EU:C:2017:592, Rn. 132) als besonders lang bezeichnet hat.
110 In Anbetracht der Üblichkeit der Inanspruchnahme des Luftverkehrs führt eine solche Speicherfrist dazu, dass die PNR-Daten weiter Teile der Bevölkerung der Union im Rahmen des durch die PNR-Richtlinie geschaffenen Systems möglicherweise wiederholt gespeichert und damit während eines erheblichen Zeitraums oder – im Fall von Personen, die mehr als einmal in fünf Jahren mit dem Flugzeug reisen – sogar auf unbestimmte Zeit für Analysen im Rahmen von Vorabüberprüfungen und nachträglichen Überprüfungen der PNR-Zentralstelle und der zuständigen Behörden zur Verfügung stehen.
111 Nach alledem ist davon auszugehen, dass die PNR-Richtlinie mit fraglos schwerwiegenden Eingriffen in die durch die Art. 7 und 8 der Charta garantierten Rechte verbunden ist, insbesondere soweit sie auf die Schaffung eines Systems kontinuierlicher, nicht zielgerichteter und systematischer Überwachung abzielt, das die automatisierte Überprüfung personenbezogener Daten sämtlicher Personen einschließt, die Luftverkehrsdienste in Anspruch nehmen.
2. Zur Rechtfertigung der mit der PNR-Richtlinie verbundenen Eingriffe
112 Die in den Art. 7 und 8 der Charta verankerten Grundrechte können keine uneingeschränkte Geltung beanspruchen, sondern müssen im Hinblick auf ihre gesellschaftliche Funktion gesehen werden (Gutachten 1/15 [PNR-Abkommen EU‑Kanada] vom 26. Juli 2017, EU:C:2017:592, Rn. 136 und die dort angeführte Rechtsprechung, sowie Urteil vom 6. Oktober 2020, Privacy International, C‑623/17, EU:C:2020:790, Rn. 63 und die dort angeführte Rechtsprechung).
113 Nach Art. 52 Abs. 1 Satz 1 der Charta muss jede Einschränkung der Ausübung der in der Charta anerkannten Rechte und Freiheiten gesetzlich vorgesehen sein und ihren Wesensgehalt achten. Nach Art. 52 Abs. 1 Satz 2 der Charta dürfen Einschränkungen dieser Rechte und Freiheiten unter Wahrung des Grundsatzes der Verhältnismäßigkeit nur vorgenommen werden, wenn sie erforderlich sind und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen. Insoweit heißt es in Art. 8 Abs. 2 der Charta, dass personenbezogene Daten u. a. nur „für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage“ verarbeitet werden dürfen.
114 Hinzuzufügen ist, dass das Erfordernis einer gesetzlichen Grundlage für jede Einschränkung der Ausübung der Grundrechte bedeutet, dass der Rechtsakt, der den Eingriff in die Grundrechte ermöglicht, den Umfang der Einschränkung der Ausübung des betreffenden Rechts selbst festlegen muss. Dieses Erfordernis schließt zum einen aber nicht aus, dass die fragliche Einschränkung hinreichend offen formuliert ist, um Anpassungen an verschiedene Fallgruppen und an Änderungen der Lage zu erlauben (vgl. in diesem Sinne Urteil vom 26. April 2022, Polen/Parlament und Rat, C‑401/19, EU:C:2022:297, Rn. 64 und 74 sowie die dort angeführte Rechtsprechung). Zum anderen kann der Gerichtshof gegebenenfalls die konkrete Tragweite der Einschränkung im Wege der Auslegung präzisieren, und zwar anhand sowohl des Wortlauts als auch der Systematik und der Ziele der fraglichen Unionsregelung, wie sie im Licht der durch die Charta garantierten Grundrechte auszulegen sind.
115 Was die Wahrung des Grundsatzes der Verhältnismäßigkeit angeht, verlangt der Schutz des Grundrechts auf Achtung des Privatlebens auf Unionsebene nach ständiger Rechtsprechung des Gerichtshofs, dass sich die Ausnahmen vom Schutz personenbezogener Daten und dessen Einschränkungen auf das absolut Notwendige beschränken. Außerdem kann eine dem Gemeinwohl dienende Zielsetzung nicht verfolgt werden, ohne dem Umstand Rechnung zu tragen, dass sie mit den von der Maßnahme betroffenen Grundrechten in Einklang gebracht werden muss, indem eine ausgewogene Gewichtung der dem Gemeinwohl dienenden Zielsetzung und der fraglichen Rechte vorgenommen wird (Gutachten 1/15 [PNR-Abkommen EU–Kanada] vom 26. Juli 2017, EU:C:2017:592, Rn. 140, und Urteil vom 5. April 2022, Commissioner of An Garda Síochána u. a., C‑140/20, EU:C:2022:258, Rn. 52 und die dort angeführte Rechtsprechung).
116 Insbesondere ist die Möglichkeit für die Mitgliedstaaten, eine Einschränkung der durch die Art. 7 und 8 der Charta garantierten Rechte zu rechtfertigen, zu beurteilen, indem die Schwere des mit einer solchen Einschränkung verbundenen Eingriffs bestimmt und geprüft wird, ob die mit ihr verfolgte dem Gemeinwohl dienende Zielsetzung in angemessenem Verhältnis zu dessen Schwere steht (vgl. in diesem Sinne Urteile vom 2. Oktober 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, Rn. 55 und die dort angeführte Rechtsprechung, sowie vom 5. April 2022, Commissioner of An Garda Síochána u. a., C‑140/20, EU:C:2022:258, Rn. 53 und die dort angeführte Rechtsprechung).
117 Um dem Erfordernis der Verhältnismäßigkeit zu genügen, muss die betreffende Regelung, die den Eingriff enthält, klare und präzise Regeln für die Tragweite und die Anwendung der vorgesehenen Maßnahmen sowie Mindesterfordernisse aufstellen, so dass die Personen, deren Daten übermittelt wurden, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer personenbezogenen Daten vor Missbrauchsrisiken ermöglichen. Sie muss insbesondere angeben, unter welchen Umständen und unter welchen Voraussetzungen eine Maßnahme, die die Verarbeitung solcher Daten vorsieht, getroffen werden darf, damit gewährleistet ist, dass der Eingriff auf das absolut Notwendige beschränkt wird. Die Notwendigkeit, über solche Garantien zu verfügen, ist umso bedeutsamer, wenn die personenbezogenen Daten automatisiert verarbeitet werden. Diese Erwägungen gelten in besonderem Maß, wenn sich den PNR-Daten sensible Informationen über die beförderten Personen entnehmen lassen (Gutachten 1/15 [PNR-Abkommen EU–Kanada] vom 26. Juli 2017, EU:C:2017:592, Rn. 141, und Urteil vom 6. Oktober 2020, La Quadrature du Net u. a., C‑511/18, C‑512/18 und C‑520/18, EU:C:2020:791, Rn. 132 und die dort angeführte Rechtsprechung).
118 Eine Regelung, die eine Vorratsspeicherung personenbezogener Daten vorsieht, muss daher stets objektiven Kriterien genügen, die einen Zusammenhang zwischen den zu speichernden Daten und dem verfolgten Ziel herstellen (vgl. in diesem Sinne Gutachten 1/15 [PNR-Abkommen EU–Kanada] vom 26. Juli 2017, EU:C:2017:592, Rn. 191 und die dort angeführte Rechtsprechung, sowie Urteile vom 3. Oktober 2019, A u. a., C‑70/18, EU:C:2019:823, Rn. 63, und vom 6. Oktober 2020, La Quadrature du Net u. a., C‑511/18, C‑512/18 und C‑520/18, EU:C:2020:791, Rn. 133).
a) Zur Achtung des Grundsatzes der Gesetzmäßigkeit und des Wesensgehalts der fraglichen Grundrechte
119 Die Einschränkung der Ausübung der durch die Art. 7 und 8 der Charta garantierten Grundrechte, die sich aus dem durch die PNR-Richtlinie geschaffenen System ergibt, ist in einem Gesetzgebungsakt der Union vorgesehen. Zur Frage, ob im Einklang mit der oben in Rn. 114 angeführten Rechtsprechung die Richtlinie als Unionsrechtsakt, der den Eingriff in diese Rechte ermöglicht, den Umfang der Einschränkung ihrer Ausübung selbst festlegt, ist festzustellen, dass die Bestimmungen der PNR-Richtlinie sowie ihre Anhänge I und II zum einen eine Aufzählung der PNR-Daten enthalten und zum anderen ihre Verarbeitungen regeln, indem sie insbesondere deren Zwecke und Modalitäten festlegen. Im Übrigen deckt sich diese Frage weitgehend mit der oben in Rn. 117 angesprochenen Frage der Wahrung des Erfordernisses der Verhältnismäßigkeit (vgl. in diesem Sinne Urteil vom 16. Juli 2020, Facebook Ireland und Schrems, C‑311/18, EU:C:2020:559, Rn. 180) und wird in den Rn. 125 ff. des vorliegenden Urteils geprüft.
120 Was die Achtung des Wesensgehalts der in den Art. 7 und 8 der Charta verankerten Grundrechte anbelangt, können die PNR-Daten zwar unter Umständen sehr genaue Informationen über das Privatleben einer Person offenbaren. Da sich diese Informationen aber ihrer Art nach auf bestimmte, insbesondere die Flugreisen dieser Person betreffende Aspekte des Privatlebens beschränken und da die PNR-Richtlinie in ihrem Art. 13 Abs. 4 die Verarbeitung sensibler Daten im Sinne von Art. 9 Abs. 1 der DSGVO ausdrücklich verbietet, ermöglichen die von der Richtlinie erfassten Daten für sich genommen keinen umfassenden Einblick in das Privatleben einer Person. Außerdem werden in Art. 1 Abs. 2 in Verbindung mit Art. 3 Nrn. 8 und 9 sowie in Anhang II der Richtlinie die Zwecke der Verarbeitung dieser Daten abgegrenzt. Schließlich enthält die Richtlinie in ihren Art. 4 bis 15 Regeln für die Übermittlung, die Verarbeitungen und die Speicherung der Daten sowie Regeln, die insbesondere die Sicherheit, die Vertraulichkeit und die Unversehrtheit der Daten gewährleisten und sie vor rechtswidrigen Zugriffen und Verarbeitungen schützen sollen. Unter diesen Umständen berühren die mit der PNR-Richtlinie verbundenen Eingriffe nicht den Wesensgehalt der in den Art. 7 und 8 der Charta verankerten Grundrechte.
b) Zu der dem Gemeinwohl dienenden Zielsetzung und zur Eignung der Verarbeitungen der PNR-Daten in Anbetracht dieser Zielsetzung
121 Zur Frage, ob mit dem durch die PNR-Richtlinie geschaffenen System eine dem Gemeinwohl dienende Zielsetzung verfolgt wird, geht aus ihren Erwägungsgründen 5, 6 und 15 hervor, dass die Richtlinie die innere Sicherheit in der Union gewährleisten und damit das Leben und die Sicherheit von Personen schützen soll und zugleich einen Rechtsrahmen schaffen soll, der ein hohes Schutzniveau der Grundrechte der Fluggäste garantiert, insbesondere der Rechte auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten bei der Verarbeitung von PNR-Daten durch die zuständigen Behörden.
122 Insoweit bestimmt Art. 1 Abs. 2 der PNR-Richtlinie, dass die nach Maßgabe dieser Richtlinie erhobenen PNR-Daten ausschließlich zum Zweck der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität gemäß ihrem Art. 6 Abs. 2 Buchst. a bis c verarbeitet werden dürfen. Dabei handelt es sich unzweifelhaft um dem Gemeinwohl dienende Zielsetzungen, die auch schwere Eingriffe in die in den Art. 7 und 8 der Charta niedergelegten Grundrechte rechtfertigen können (vgl. in diesem Sinne Urteil vom 8. April 2014, Digital Rights Ireland u. a., C‑293/12 und C‑594/12, EU:C:2014:238, Rn. 42, sowie Gutachten 1/15 [PNR-Abkommen EU–Kanada] vom 26. Juli 2017, EU:C:2017:592, Rn. 148 und 149).
123 Was die Eignung des durch die PNR-Richtlinie geschaffenen Systems zur Erreichung der verfolgten Ziele betrifft, vermag zwar die Möglichkeit „falsch negativer“ Ergebnisse und die erhebliche Zahl „falsch positiver“ Ergebnisse, die, wie oben in Rn. 106 ausgeführt, in den Jahren 2018 und 2019 bei den in der Richtlinie vorgesehenen automatisierten Verarbeitungen auftraten, die Eignung dieses Systems zu begrenzen. Das bedeutet aber nicht, dass dieses System ungeeignet ist, einen Beitrag zur Verwirklichung des Ziels der Bekämpfung terroristischer Straftaten und schwerer Kriminalität zu leisten. Wie nämlich aus dem oben in Rn. 106 erwähnten Arbeitspapier der Kommission hervorgeht, haben die automatisierten Verarbeitungen nach dieser Richtlinie tatsächlich bereits die Identifizierung von Fluggästen ermöglicht, die im Rahmen der Bekämpfung terroristischer Straftaten und schwerer Kriminalität eine Bedrohung darstellten.
124 Außerdem hängt die Eignung des durch die PNR-Richtlinie geschaffenen Systems – angesichts der einer automatisierten Verarbeitung der PNR-Daten innewohnenden Fehlerquote und insbesondere der erheblichen Zahl „falsch positiver“ Ergebnisse – im Wesentlichen vom ordnungsgemäßen Ablauf der anschließenden Überprüfung der im Rahmen dieser Verarbeitungen erzielten Ergebnisse mit nicht automatisierten Mitteln ab, was nach der PNR-Richtlinie Aufgabe der PNR-Zentralstelle ist. Die dafür in der Richtlinie vorgesehenen Bestimmungen tragen somit zur Verwirklichung dieser Ziele bei.
c) Zur Erforderlichkeit der mit der PNR-Richtlinie verbundenen Eingriffe
125 Nach der oben in den Rn. 115 bis 118 angeführten Rechtsprechung ist zu prüfen, ob die Eingriffe, die sich aus der PNR-Richtlinie ergeben, auf das absolut Notwendige beschränkt sind, und insbesondere, ob diese Richtlinie klare und präzise Regeln für den Umfang und die Anwendung der von ihr vorgesehenen Maßnahmen enthält und ob das durch sie geschaffene System stets objektiven Kriterien entspricht, die einen Zusammenhang zwischen den eng mit der Buchung und Durchführung von Flugreisen verbundenen PNR-Daten und den mit der Richtlinie verfolgten Zielen – Bekämpfung terroristischer Straftaten und schwerer Kriminalität – herstellen.
1) Zu den von der PNR-Richtlinie erfassten Fluggastdaten
126 Zu prüfen ist, ob die in Anhang I der PNR-Richtlinie zu findenden Datenrubriken klar und präzise definieren, welche PNR-Daten eine Fluggesellschaft der PNR-Zentralstelle mitzuteilen hat.
127 Zunächst ist darauf hinzuweisen, dass, wie sich aus dem 15. Erwägungsgrund der PNR-Richtlinie ergibt, nach dem Willen des Unionsgesetzgebers eine Liste der an eine PNR-Zentralstelle zu übermittelnden PNR-Daten erstellt werden und inhaltlich so zusammengesetzt sein sollte, „dass sie sowohl den legitimen Bedürfnissen der Behörden im Zusammenhang mit der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität gerecht werden und damit einen Beitrag zur inneren Sicherheit in der Union leisten als auch dem Grundrechtsschutz und insbesondere dem Schutz der Privatsphäre des Einzelnen und seiner personenbezogenen Daten Genüge tun“. Insbesondere sollten die PNR-Daten nach diesem Erwägungsgrund „nur jene Details über den Buchungsvorgang und die Reiseroute von Fluggästen beinhalten, mit deren Hilfe die zuständigen Stellen diejenigen Fluggäste ermitteln können, die eine Bedrohung für die innere Sicherheit darstellen“. Außerdem verbietet die PNR-Richtlinie in ihrem Art. 13 Abs. 4 Satz 1 „die Verarbeitung von PNR-Daten, die die rassische oder ethnische Herkunft einer Person, ihre politischen Meinungen, ihre religiösen oder weltanschaulichen Überzeugungen, ihre Mitgliedschaft in einer Gewerkschaft, ihren Gesundheitszustand oder ihr Sexualleben oder ihre sexuelle Orientierung erkennen lassen“.
128 Folglich müssen die im Einklang mit Anhang I der PNR-Richtlinie erhobenen und übermittelten PNR-Daten in unmittelbarem Zusammenhang mit dem durchgeführten Flug und dem betreffenden Fluggast stehen und müssen in der Weise begrenzt sein, dass sie zum einen nur den legitimen Bedürfnissen der Behörden im Zusammenhang mit der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität gerecht werden und zum anderen sensible Daten ausnehmen.
129 Die Rubriken 1 bis 4, 7, 9, 11, 15, 17 und 19 des Anhangs I der PNR-Richtlinie genügen diesen Anforderungen sowie den Anforderungen an Klarheit und Genauigkeit, da es sich bei ihnen um klar identifizierbare und umschriebene Informationen in unmittelbarem Zusammenhang mit dem durchgeführten Flug und dem betreffenden Fluggast handelt. Wie der Generalanwalt in Nr. 165 seiner Schlussanträge ausgeführt hat, gilt dies trotz ihres offenen Wortlauts auch für die Rubriken 10, 13, 14 und 16.
130 Für die Auslegung der Rubriken 5, 6, 8, 12 und 18 bedarf es hingegen einiger Klarstellungen.
131 In Rubrik 5 – „Anschrift und Kontaktdaten (Telefonnummer, E‑Mail-Adresse)“ – wird nicht ausdrücklich klargestellt, ob sich die Anschrift und die Kontaktdaten nur auf den Fluggast beziehen oder auch auf Dritte, die den Flug für den Fluggast gebucht haben, auf Dritte, über die ein Fluggast erreicht werden kann, oder auf Dritte, die in Notfällen zu verständigen sind. Wie der Generalanwalt in Nr. 162 seiner Schlussanträge im Wesentlichen ausgeführt hat, kann diese Rubrik in Anbetracht der Erfordernisse der Klarheit und Genauigkeit jedoch nicht dahin ausgelegt werden, dass sie implizit auch die Erhebung und Übermittlung von personenbezogenen Daten solcher Dritter erlaubt. Sie ist folglich dahin auszulegen, dass sie sich nur auf die Postanschrift und die Kontaktdaten, d. h. Telefonnummer und E‑Mail-Adresse, des Fluggasts bezieht, in dessen Namen die Buchung getätigt wird.
132 Rubrik 6 – „Alle Arten von Zahlungsinformationen einschließlich Rechnungsanschrift“ – ist, um den Anforderungen an Klarheit und Genauigkeit zu genügen, dahin auszulegen, dass sie lediglich Informationen über die Modalitäten der Zahlung und die Abrechnung des Flugscheins betrifft, nicht aber andere Informationen, die keinen direkten Bezug zum Flug aufweisen (vgl. entsprechend Gutachten 1/15 [PNR-Abkommen EU–Kanada] vom 26. Juli 2017, EU:C:2017:592, Rn. 159).
133 Rubrik 8 – „Vielflieger-Eintrag“ – ist, wie der Generalanwalt in Nr. 164 seiner Schlussanträge ausgeführt hat, dahin auszulegen, dass sie sich ausschließlich auf Angaben zum Status des betreffenden Fluggasts im Kontext des Vielfliegerprogramms einer bestimmten Fluggesellschaft oder einer bestimmten Gruppe von Fluggesellschaften sowie auf die Nummer bezieht, die dieser Fluggast als „Vielflieger“ trägt. Rubrik 8 ermöglicht es daher nicht, Informationen zu den Transaktionen zu erheben, mit denen dieser Status erworben wurde.
134 Rubrik 12 betrifft „Allgemeine Hinweise (einschließlich aller verfügbaren Angaben zu unbegleiteten Minderjährigen unter 18 Jahren, wie beispielsweise Name und Geschlecht des Minderjährigen, Alter, Sprache(n), Name und Kontaktdaten der Begleitperson beim Abflug und Angabe, in welcher Beziehung diese Person zu dem Minderjährigen steht, Name und Kontaktdaten der abholenden Person und Angabe, in welcher Beziehung diese Person zu dem Minderjährigen steht, begleitender Flughafenmitarbeiter bei Abflug und Ankunft)“.
135 Insoweit ist zunächst festzustellen, dass zwar die Worte „Allgemeine Hinweise“ nicht den Anforderungen an Klarheit und Genauigkeit genügen, da sie als solche Art und Umfang der gemäß Rubrik 12 zu erhebenden und einer PNR-Zentralstelle zu übermittelnden Informationen nicht begrenzen (vgl. in diesem Sinne Gutachten 1/15 [PNR-Abkommen EU–Kanada] vom 26. Juli 2017, EU:C:2017:592, Rn. 160); dagegen genügt die Aufzählung in Klammern diesen Anforderungen.
136 Infolgedessen ist, um Rubrik 12, in Anwendung der oben in Rn. 86 angeführten Rechtsprechung, eine Auslegung zu geben, die mit den Anforderungen an Klarheit und Genauigkeit und, allgemeiner, mit den Art. 7 und 8 sowie mit Art. 52 Abs. 1 der Charta im Einklang steht, davon auszugehen, dass sich die Erhebung und die Übermittlung nur auf die in dieser Rubrik ausdrücklich aufgezählten Angaben erstrecken dürfen, nämlich Name und Geschlecht des minderjährigen Fluggasts, sein Alter, Sprache(n), Name und Kontaktdaten der Begleitperson beim Abflug und Angabe, in welcher Beziehung diese Person zu dem Minderjährigen steht, Name und Kontaktdaten der abholenden Person und Angabe, in welcher Beziehung diese Person zu dem Minderjährigen steht, begleitender Flughafenmitarbeiter bei Abflug und Ankunft.
137 Schließlich betrifft Rubrik 18 „Etwaige erhobene erweiterte Fluggastdaten (API-Daten) (einschließlich Art, Nummer, Ausstellungsland und Ablaufdatum von Identitätsdokumenten, Staatsangehörigkeit, Familienname, Vorname, Geschlecht, Geburtsdatum, Fluggesellschaft, Flugnummer, Tag des Abflugs, Tag der Ankunft, Flughafen des Abflugs, Flughafen der Ankunft, Uhrzeit des Abflugs und Uhrzeit der Ankunft)“.
138 Wie der Generalanwalt in den Nrn. 156 bis 160 seiner Schlussanträge im Wesentlichen ausgeführt hat, ergibt sich aus Rubrik 18 im Licht der Erwägungsgründe 4 und 9 der PNR-Richtlinie, dass die Angaben, auf die sie sich bezieht, allein die in dieser Rubrik und in Art. 3 Abs. 2 der API-Richtlinie genannten API-Daten sind.
139 Somit kann, sofern Rubrik 18 dahin ausgelegt wird, dass sie nur die in dieser Rubrik und in Art. 3 Abs. 2 der API-Richtlinie ausdrücklich genannten Angaben erfasst, davon ausgegangen werden, dass sie den Anforderungen an Klarheit und Genauigkeit genügt (vgl. entsprechend Gutachten 1/15 [PNR-Abkommen EU‑Kanada] vom 26. Juli 2017, EU:C:2017:592, Rn. 161).
140 Daher ist festzustellen, dass Anhang I der PNR-Richtlinie unter der Voraussetzung, dass er im Einklang mit den insbesondere oben in den Rn. 130 bis 139 dargelegten Erwägungen ausgelegt wird, insgesamt hinreichend klar und präzise ist und damit die Tragweite des Eingriffs in die Grundrechte abgrenzt, die in den Art. 7 und 8 der Charta verankert sind.
2) Zu den Zielsetzungen der Verarbeitungen von PNR-Daten
141 Wie aus Art. 1 Abs. 2 der PNR-Richtlinie hervorgeht, sollen die Verarbeitungen der nach Maßgabe dieser Richtlinie erhobenen PNR-Daten zur Bekämpfung von „terroristischen Straftaten“ und „schwerer Kriminalität“ dienen.
142 Zu der Frage, ob die PNR-Richtlinie in diesem Bereich klare und präzise Regeln vorsieht, die die Anwendung des durch sie geschaffenen Systems auf das zu diesen Zwecken absolut Notwendige beschränken, ist zum einen festzustellen, dass der Begriff „terroristische Straftaten“ in Art. 3 Nr. 8 der Richtlinie unter Bezugnahme auf „die nach nationalem Recht strafbaren Handlungen im Sinne der Artikel 1 bis 4 des Rahmenbeschlusses [2002/475]“ definiert wird.
143 Abgesehen davon, dass in den Art. 1 bis 3 des Rahmenbeschlusses 2002/475 klar und präzise definiert wurde, welche „terroristischen Straftaten“, „Straftaten im Zusammenhang mit einer terroristischen Vereinigung“ und „Straftaten im Zusammenhang mit terroristischen Aktivitäten“ die Mitgliedstaaten gemäß diesem Rahmenbeschluss strafrechtlich verfolgen sollten, werden die betreffenden Straftaten auch in den Art. 3 bis 14 der Richtlinie (EU) 2017/541 des Europäischen Parlaments und des Rates vom 15. März 2017 zur Terrorismusbekämpfung und zur Ersetzung des Rahmenbeschlusses 2002/475 und zur Änderung des Beschlusses 2005/671/JI des Rates (ABl. 2017, L 88, S. 6) klar und präzise definiert.
144 Zum anderen wird in Art. 3 Nr. 9 der PNR-Richtlinie der Begriff „schwere Kriminalität“ unter Bezugnahme auf „die in Anhang II [dieser Richtlinie] aufgeführten strafbaren Handlungen, die nach dem nationalen Recht eines Mitgliedstaats mit einer Freiheitsstrafe oder einer freiheitsentziehenden Maßregel der Sicherung im Höchstmaß von mindestens drei Jahren bedroht sind“, definiert.
145 Zunächst werden in diesem Anhang die verschiedenen Kategorien strafbarer Handlungen, die zur „schweren Kriminalität“ im Sinne von Art. 3 Nr. 9 der PNR-Richtlinie gehören können, abschließend aufgezählt.
146 Sodann konnte sich der Unionsgesetzgeber – angesichts der Besonderheiten, die die Strafrechtssysteme der Mitgliedstaaten beim Erlass der genannten Richtlinie mangels einer Harmonisierung der betreffenden Straftaten aufwiesen – damit begnügen, auf Kategorien strafbarer Handlungen Bezug zu nehmen, ohne ihre Tatbestandsmerkmale zu definieren, zumal diese Merkmale zwangsläufig im nationalen Recht, auf das Art. 3 Nr. 9 der PNR-Richtlinie verweist, definiert werden, da die Mitgliedstaaten den Grundsatz der Gesetzmäßigkeit im Zusammenhang mit Straftaten und Strafen als Bestandteil des gemeinsamen, mit der Union geteilten Wertes der Rechtsstaatlichkeit (Art. 2 EUV) beachten müssen (vgl. entsprechend Urteil vom 16. Februar 2022, Ungarn/Parlament und Rat, C‑156/21, EU:C:2022:97, Rn. 136, 160 und 234), einen Grundsatz, der überdies in Art. 49 Abs. 1 der Charta verankert ist und an den sich die Mitgliedstaaten bei der Umsetzung eines Rechtsakts der Union wie der PNR-Richtlinie halten müssen (vgl. in diesem Sinne Urteil vom 10. November 2011, QB, C‑405/10, EU:C:2011:722, Rn. 48 und die dort angeführte Rechtsprechung). Somit ist auch unter Berücksichtigung des gewöhnlichen Sinns der in Anhang II verwendeten Begriffe davon auszugehen, dass die strafbaren Handlungen, die schwere Kriminalität darstellen können, dort hinreichend klar und präzise bestimmt werden.
147 Die Nrn. 7, 8, 10 und 16 des Anhangs II betreffen zwar sehr allgemeine Kategorien strafbarer Handlungen (Betrugsdelikte, Wäsche von Erträgen aus Straftaten und Geldfälschung, Umweltkriminalität, illegaler Handel mit Kulturgütern), nehmen dabei aber gleichwohl Bezug auf konkrete strafbare Handlungen, die zu diesen allgemeinen Kategorien gehören. Zur Gewährleistung der auch nach Art. 49 der Charta erforderlichen hinreichenden Genauigkeit sind sie dahin auszulegen, dass sie sich auf die genannten strafbaren Handlungen in ihrer Ausgestaltung durch das einschlägige nationale Recht und/oder Unionsrecht beziehen. Werden sie in dieser Weise ausgelegt, kann davon ausgegangen werden, dass sie den Anforderungen an Klarheit und Genauigkeit genügen.
148 Schließlich ist darauf hinzuweisen, dass nach dem Grundsatz der Verhältnismäßigkeit das Ziel der Bekämpfung schwerer Kriminalität zwar geeignet ist, den mit der PNR-Richtlinie verbundenen schweren Eingriff in die durch die Art. 7 und 8 der Charta garantierten Grundrechte zu rechtfertigen; anders verhält es sich jedoch mit dem Ziel der Bekämpfung der Kriminalität im Allgemeinen, das nur Eingriffe rechtfertigen kann, die nicht schwer sind (vgl. entsprechend Urteil vom 5. April 2022, Commissioner of An Garda Síochána u. a., C‑140/20, EU:C:2022:258, Rn. 59 und die dort angeführte Rechtsprechung). Somit muss diese Richtlinie durch klare und präzise Regeln sicherstellen, dass sich die Anwendung des durch sie geschaffenen Systems allein auf strafbare Handlungen beschränkt, die der schweren Kriminalität zuzurechnen sind, und damit Taten aus dem Bereich der gewöhnlichen Kriminalität ausschließt.
149 Hierzu hat der Generalanwalt in Nr. 121 seiner Schlussanträge ausgeführt, dass etliche der in Anhang II der PNR-Richtlinie aufgeführten strafbaren Handlungen – wie Menschenhandel, sexuelle Ausbeutung von Kindern und Kinderpornografie, illegaler Handel mit Waffen, Munition und Sprengstoffen, Geldwäsche, Cyberkriminalität, illegaler Handel mit menschlichen Organen und menschlichem Gewebe, illegaler Handel mit Drogen und psychotropen Stoffen, illegaler Handel mit nuklearen und radioaktiven Substanzen, Flugzeug- und Schiffsentführung, Verbrechen, die in die Zuständigkeit des Internationalen Strafgerichtshofs fallen, vorsätzliche Tötung, Vergewaltigung, Entführung, Freiheitsberaubung und Geiselnahme – ihrem Wesen nach einen unbestreitbar hohen Schweregrad aufweisen.
150 Außerdem können andere, ebenfalls in Anhang II aufgeführte strafbare Handlungen zwar a priori nicht so leicht mit schwerer Kriminalität in Verbindung gebracht werden, doch ergibt sich bereits aus dem Wortlaut von Art. 3 Nr. 9 der PNR-Richtlinie, dass diese strafbaren Handlungen nur dann als schwere Kriminalität eingestuft werden können, wenn sie nach dem nationalen Recht des betreffenden Mitgliedstaats mit einer Freiheitsstrafe oder einer freiheitsentziehenden Maßregel der Sicherung im Höchstmaß von mindestens drei Jahren bedroht sind. Die aus dieser Bestimmung resultierenden Anforderungen, die sich auf Art und Schwere der verwirkten Strafe beziehen, sind grundsätzlich geeignet, die Anwendung des durch die Richtlinie geschaffenen Systems auf strafbare Handlungen mit hinreichendem Schweregrad zu beschränken, die den mit dem durch die Richtlinie geschaffenen System verbundenen Eingriff in die Grundrechte, die in den Art. 7 und 8 der Charta verankert sind, rechtfertigen können.
151 Da sich Art. 3 Nr. 9 der PNR-Richtlinie nicht auf die jeweilige Mindeststrafe, sondern auf die jeweilige Höchststrafe bezieht, ist jedoch nicht ausgeschlossen, dass die PNR-Daten Gegenstand einer Verarbeitung zur Bekämpfung strafbarer Handlungen sein können, die, obwohl sie das in dieser Bestimmung vorgesehene Kriterium in Bezug auf den Schweregrad erfüllen, angesichts der Besonderheiten des nationalen Strafrechtssystems nicht zur schweren Kriminalität gehören, sondern zur gewöhnlichen Kriminalität.
152 Es ist daher Sache der Mitgliedstaaten, dafür zu sorgen, dass die Anwendung des durch die PNR-Richtlinie geschaffenen Systems tatsächlich auf die Bekämpfung schwerer Kriminalität beschränkt bleibt und dass dieses System nicht auf strafbare Handlungen erstreckt wird, die zur gewöhnlichen Kriminalität gehören.
3) Zum Zusammenhang zwischen den PNR-Daten und den Zielsetzungen der Verarbeitung dieser Daten
153 Es trifft zu, dass, wie der Generalanwalt in Nr. 119 seiner Schlussanträge im Wesentlichen ausgeführt hat, in Art. 3 Nr. 8 und in Art. 3 Nr. 9 der PNR-Richtlinie in Verbindung mit ihrem Anhang II nicht ausdrücklich auf ein Kriterium abgestellt wird, das geeignet wäre, den Anwendungsbereich der Richtlinie auf strafbare Handlungen zu beschränken, die ihrem Wesen nach – zumindest mittelbar – einen objektiven Zusammenhang mit Flugreisen und infolgedessen mit den nach der Richtlinie zu übermittelnden, zu verarbeitenden und zu speichernden Datenkategorien aufweisen können.
154 Wie der Generalanwalt in Nr. 121 seiner Schlussanträge ausgeführt hat, können jedoch bestimmte in Anhang II der PNR-Richtlinie genannte strafbare Handlungen wie Menschenhandel, Handel mit Drogen oder Waffen, Beihilfe zur illegalen Einreise und zum illegalen Aufenthalt sowie Flugzeugentführung ihrem Wesen nach einen unmittelbaren Zusammenhang mit der Beförderung von Fluggästen aufweisen. Gleiches gilt für bestimmte terroristische Straftaten wie schwerwiegende Zerstörungen an einem Verkehrsmittel oder einer Infrastruktur oder das Kapern von Luftfahrzeugen, die in Art. 1 Abs. 1 Buchst. d und e des Rahmenbeschlusses 2002/475, auf den Art. 3 Nr. 8 der PNR-Richtlinie verweist, genannt waren, sowie für Reisen zu terroristischen Zwecken und die Organisation oder sonstige Erleichterung solcher Reisen (Art. 9 und 10 der Richtlinie 2017/541).
155 In diesem Zusammenhang ist ferner darauf hinzuweisen, dass die Kommission zur Begründung ihres Vorschlags für eine Richtlinie des Europäischen Parlaments und des Rates über die Verwendung von Fluggastdatensätzen zu Zwecken der Verhütung, Aufdeckung, Aufklärung und strafrechtlichen Verfolgung von terroristischen Straftaten und schwerer Kriminalität vom 2. Februar 2011 (KOM[2011] 32 endgültig), auf dem die PNR-Richtlinie beruht, hervorgehoben hat, dass „[d]ie Terroranschläge in den Vereinigten Staaten von 2001, der vereitelte Terroranschlag vom August 2006, bei dem mehrere Flugzeuge auf dem Weg von Großbritannien in die Vereinigten Staaten in die Luft gesprengt werden sollten, und der Anschlagsversuch an Bord eines Fluges von Amsterdam nach Detroit vom Dezember 2009 … deutlich [machen], dass Terroristen in der Lage sind, in jedem Land Anschläge zu begehen und dabei internationale Flüge ins Visier zu nehmen“, und dass „die meisten terroristischen Aktivitäten grenzüberschreitenden Charakter haben und mit Reisen in andere Länder, unter anderem in Ausbildungslager außerhalb der EU, verbunden sind“. Außerdem verwies die Kommission zur Rechtfertigung des Erfordernisses einer Auswertung der PNR-Daten zur Bekämpfung schwerer Kriminalität als Beispiel auf den Fall eines Menschenhändlerrings, der bei der Abfertigung für einen Flug gefälschte Reisedokumente vorgelegt hatte, sowie auf einen Fall von Menschen- und Drogenhandel im großen Maßstab, bei dem Opfer von Menschenhandel zum Schmuggel von Drogen in verschiedene europäische Länder eingesetzt und deren Flugscheine mit gestohlenen Kreditkarten gekauft wurden. Alle diese Fälle betrafen strafbare Handlungen, bei denen insofern ein unmittelbarer Zusammenhang mit der Beförderung von Fluggästen bestand, als die strafbaren Handlungen auf die Beförderung von Fluggästen abzielten oder anlässlich oder mit Hilfe einer Flugreise begangen wurden.
156 Überdies ist festzustellen, dass auch strafbare Handlungen, die keinen solchen unmittelbaren Zusammenhang mit der Beförderung von Fluggästen aufweisen, je nach den Umständen des Einzelfalls einen mittelbaren Zusammenhang mit der Beförderung der Fluggäste aufweisen können. Dies gilt insbesondere dann, wenn die Beförderung auf dem Luftweg als Mittel zur Vorbereitung solcher strafbarer Handlungen dient oder dazu, sich nach deren Begehung der strafrechtlichen Verfolgung zu entziehen. Dagegen können strafbare Handlungen, die keinen auch nur mittelbaren objektiven Zusammenhang mit der Beförderung von Fluggästen haben, die Anwendung des durch die PNR-Richtlinie geschaffenen Systems nicht rechtfertigen.
157 Unter diesen Umständen verlangt Art. 3 Nrn. 8 und 9 der PNR-Richtlinie in Verbindung mit deren Anhang II und im Licht der Anforderungen, die sich aus den Art. 7 und 8 sowie aus Art. 52 Abs. 1 der Charta ergeben, von den Mitgliedstaaten, u. a. bei der in Art. 6 Abs. 5 der Richtlinie vorgesehenen individuellen Überprüfung auf nicht automatisierte Art dafür zu sorgen, dass die Anwendung des durch die Richtlinie geschaffenen Systems auf terroristische Straftaten und auf schwere Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit der Beförderung von Fluggästen beschränkt wird.
4) Zu den betroffenen Fluggästen und Flügen
158 Das durch die PNR-Richtlinie geschaffene System erstreckt sich auf die PNR-Daten sämtlicher Personen, die unter den Begriff „Fluggast“ im Sinne von Art. 3 Nr. 4 der Richtlinie fallen und auf Flügen befördert werden, die in den Anwendungsbereich der Richtlinie fallen.
159 Nach Art. 8 Abs. 1 der PNR-Richtlinie werden diese Daten an die PNR-Zentralstelle des Mitgliedstaats übermittelt, in dessen Hoheitsgebiet der betreffende Flug ankommt oder von dem er abgeht, unabhängig davon, ob es irgendwelche objektiven Anhaltspunkte dafür gibt, dass die betreffenden Fluggäste in terroristische Straftaten oder schwere Kriminalität verwickelt sein könnten. Die übermittelten Daten werden u. a. automatisierten Verarbeitungen im Rahmen der Vorabüberprüfung gemäß Art. 6 Abs. 2 Buchst. a und Abs. 3 der PNR-Richtlinie unterzogen; anhand dieser Überprüfung sollen, wie sich aus dem siebten Erwägungsgrund der Richtlinie ergibt, Personen ermittelt werden, die zuvor nicht im Verdacht standen, an terroristischen Straftaten oder schwerer Kriminalität beteiligt zu sein, und die von den zuständigen Behörden genauer überprüft werden sollten.
160 Insbesondere ergibt sich aus Art. 1 Abs. 1 Buchst. a und Art. 2 der PNR-Richtlinie, dass diese zwischen Fluggästen von Drittstaatsflügen zwischen der Union und Drittstaaten und Fluggästen von EU-Flügen zwischen verschiedenen Mitgliedstaaten unterscheidet.
161 Was die Fluggäste von Drittstaatsflügen betrifft, hat der Gerichtshof in Bezug auf Fluggäste von Flügen zwischen der Union und Kanada bereits entschieden, dass die automatisierte Verarbeitung ihrer PNR-Daten vor ihrer Ankunft in Kanada die Sicherheitskontrollen, insbesondere an den Grenzen, erleichtert und beschleunigt. Der Ausschluss bestimmter Kategorien von Personen oder bestimmter Herkunftsländer könnte dem Ziel der automatisierten Verarbeitung der PNR-Daten zuwiderlaufen, das darin besteht, unter sämtlichen Fluggästen mittels einer Überprüfung dieser Daten die Personen zu ermitteln, von denen eine Gefahr für die öffentliche Sicherheit ausgehen kann. Außerdem könnte diese Überprüfung umgangen werden (vgl. in diesem Sinne Gutachten 1/15 [PNR-Abkommen EU‑Kanada] vom 26. Juli 2017, EU:C:2017:592, Rn. 187).
162 Diese Erwägungen lassen sich mutatis mutandis auf die Situation der Fluggäste von Flügen zwischen der Union und sämtlichen Drittstaaten übertragen, die die Mitgliedstaaten gemäß Art. 1 Abs. 1 Buchst. a in Verbindung mit Art. 3 Nrn. 2 und 4 der PNR-Richtlinie dem durch diese geschaffenen System unterwerfen müssen. Die Übermittlung und Vorabüberprüfung der PNR-Daten von Fluggästen, die in die Union ein- oder aus der Union ausreisen, können nämlich angesichts der Art der Bedrohungen für die öffentliche Sicherheit, die sich aus terroristischen Straftaten und schwerer Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit der Beförderung von Fluggästen zwischen der Union und Drittstaaten ergeben können, nicht auf einen bestimmten Kreis von Fluggästen beschränkt werden. Somit ist davon auszugehen, dass es den erforderlichen Zusammenhang zwischen diesen Daten und dem Ziel der Bekämpfung solcher strafbarer Handlungen gibt, so dass die PNR-Richtlinie nicht allein deshalb über das absolut Notwendige hinausgeht, weil sie den Mitgliedstaaten vorschreibt, die PNR-Daten aller dieser Fluggäste systematisch zu übermitteln und vorab zu überprüfen.
163 Für die Fluggäste von Flügen zwischen verschiedenen Mitgliedstaaten der Union sieht Art. 2 Abs. 1 der PNR-Richtlinie in Verbindung mit ihrem zehnten Erwägungsgrund lediglich vor, dass die Mitgliedstaaten die Anwendung des durch diese Richtlinie geschaffenen Systems auf EU-Flüge ausdehnen können.
164 Somit hatte der Unionsgesetzgeber nicht die Absicht, den Mitgliedstaaten die Verpflichtung aufzuerlegen, die Anwendung des durch die PNR-Richtlinie geschaffenen Systems auf EU-Flüge auszudehnen, sondern er hat, wie sich aus Art. 19 Abs. 3 der Richtlinie ergibt, seine Entscheidung über eine solche Ausweitung zurückgestellt, in der Annahme, dass ihr eine eingehende Prüfung ihrer rechtlichen Auswirkungen, insbesondere auf die Grundrechte der Betroffenen, vorausgehen sollte.
165 Insoweit ist darauf hinzuweisen, dass nach Art. 19 Abs. 3 der PNR-Richtlinie der in Art. 19 Abs. 1 genannte Bericht der Kommission „zudem eine Überprüfung der Erforderlichkeit, Verhältnismäßigkeit und Wirksamkeit der Aufnahme der obligatorischen Erhebung und Übermittlung von PNR-Daten in Bezug auf sämtliche oder ausgewählte EU-Flüge in den Anwendungsbereich dieser Richtlinie [enthält]“ und dass die Kommission dabei „die Erfahrungen der Mitgliedstaaten, insbesondere jener Mitgliedstaaten, die gemäß [Artikel] 2 diese Richtlinie auf EU-Flüge anwenden“, berücksichtigen muss; damit zeigt diese Vorschrift, dass für den Unionsgesetzgeber das durch die PNR-Richtlinie geschaffene System nicht zwangsläufig auf alle EU-Flüge ausgedehnt werden muss.
166 Im gleichen Sinne bestimmt Art. 2 Abs. 3 der PNR-Richtlinie, dass die Mitgliedstaaten beschließen können, diese Richtlinie nur auf ausgewählte EU-Flüge anzuwenden, wenn sie dies für die Verfolgung der Ziele der Richtlinie für erforderlich halten, und dass sie die Auswahl der Flüge jederzeit ändern können.
167 Die Befugnis der Mitgliedstaaten, die Anwendung des durch die PNR-Richtlinie geschaffenen Systems auf EU-Flüge auszudehnen, muss jedenfalls, wie sich aus ihrem 22. Erwägungsgrund ergibt, so ausgeübt werden, dass die durch die Art. 7 und 8 der Charta garantierten Grundrechte in vollem Umfang geachtet werden. Insoweit ist es zwar nach dem 19. Erwägungsgrund der Richtlinie Sache der Mitgliedstaaten, eine Einschätzung der Bedrohung durch terroristische Straftaten und schwere Kriminalität vorzunehmen, doch setzt die Ausübung dieser Befugnis voraus, dass die Mitgliedstaaten bei ihrer Einschätzung zu dem Ergebnis gelangen, dass eine Bedrohung durch solche strafbaren Handlungen vorliegt, die geeignet ist, die Anwendung der Richtlinie auch auf EU-Flüge zu rechtfertigen.
168 Unter diesen Umständen ist ein Mitgliedstaat, der von der in Art. 2 der PNR-Richtlinie vorgesehenen Befugnis – sei es für alle EU-Flüge (Art. 2 Abs. 2) oder nur für einige von ihnen (Art. 2 Abs. 3) – Gebrauch machen möchte, nicht von der Prüfung befreit, ob die Ausdehnung der Anwendung dieser Richtlinie auf alle oder einen Teil der EU-Flüge tatsächlich zur Verwirklichung des in Art. 1 Abs. 2 der Richtlinie genannten Ziels erforderlich ist und in angemessenem Verhältnis steht.
169 Unter Berücksichtigung der Erwägungsgründe 5 bis 7, 10 und 22 der PNR-Richtlinie muss ein solcher Mitgliedstaat daher prüfen, ob die in dieser Richtlinie vorgesehenen Verarbeitungen der PNR-Daten der Fluggäste aller oder einiger EU-Flüge in Anbetracht der Schwere des Eingriffs in die durch die Art. 7 und 8 der Charta garantierten Grundrechte zur Gewährleistung der inneren Sicherheit der Union oder zumindest des betreffenden Mitgliedstaats und damit zum Schutz des Lebens und der Sicherheit von Personen absolut notwendig ist.
170 Speziell zu den Bedrohungen durch terroristische Straftaten ergibt sich aus der Rechtsprechung des Gerichtshofs, dass terroristische Aktivitäten geeignet sind, die tragenden Strukturen eines Landes im Bereich der Verfassung, Politik oder Wirtschaft oder im sozialen Bereich in schwerwiegender Weise zu destabilisieren und insbesondere die Gesellschaft, die Bevölkerung oder den Staat als solchen unmittelbar zu bedrohen, und dass es ein zentrales Anliegen jedes Mitgliedstaats ist, die wesentlichen Funktionen des Staates und die grundlegenden Interessen der Gesellschaft durch die Verhütung und Repression solcher Tätigkeiten zu schützen, um die nationale Sicherheit zu wahren. Derartige Bedrohungen unterscheiden sich somit in ihrer Art, in ihrer besonderen Schwere und im spezifischen Charakter der sie begründenden Umstände von der allgemeinen und permanenten Gefahr des Auftretens schwerer Straftaten (vgl. in diesem Sinne Urteile vom 6. Oktober 2020, La Quadrature du Net u. a., C‑511/18, C‑512/18 und C‑520/18, EU:C:2020:791, Rn. 135 und 136, sowie vom 5. April 2022, Commissioner of An Garda Síochána u. a., C‑140/20, EU:C:2022:258, Rn. 61 und 62).
171 In einer Situation, in der es nach der Einschätzung eines Mitgliedstaats hinreichend konkrete Umstände für die Annahme gibt, dass er mit einer als real und aktuell oder vorhersehbar einzustufenden terroristischen Bedrohung konfrontiert ist, werden die Grenzen des absolut Notwendigen nicht überschritten, wenn dieser Mitgliedstaat vorsieht, dass die PNR-Richtlinie gemäß ihrem Art. 2 Abs. 1 für begrenzte Zeit Anwendung auf alle EU-Flüge aus oder nach diesem Mitgliedstaat findet. Das Vorliegen einer derartigen Bedrohung ist nämlich als solches geeignet, einen Zusammenhang zwischen der Übermittlung und Verarbeitung der betreffenden Daten und der Bekämpfung des Terrorismus herzustellen (vgl. entsprechend Urteil vom 6. Oktober 2020, La Quadrature du Net u. a., C‑511/18, C‑512/18 und C‑520/18, EU:C:2020:791, Rn. 137).
172 Die Anordnung dieser Anwendung muss Gegenstand einer wirksamen, zur Prüfung des Vorliegens einer solchen Situation sowie der Beachtung der vorzusehenden Bedingungen und Garantien dienenden Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle sein können, deren Entscheidung bindend ist. Ferner muss der Zeitraum der Anwendung auf das absolut Notwendige begrenzt, aber im Fall des Fortbestands der Bedrohung verlängerbar sein (vgl. entsprechend Urteile vom 6. Oktober 2020, La Quadrature du Net u. a., C‑511/18, C‑512/18 und C‑520/18, EU:C:2020:791, Rn. 168, und vom 5. April 2022, Commissioner of An Garda Síochána u. a., C‑140/20, EU:C:2022:258, Rn. 58).
173 In Ermangelung einer realen und aktuellen oder vorhersehbaren terroristischen Bedrohung des betreffenden Mitgliedstaats kann dagegen nicht von einer Beschränkung auf das absolut Notwendige ausgegangen werden, wenn das durch die PNR-Richtlinie geschaffene System unterschiedslos nicht nur auf Drittstaatsflüge, sondern auch auf alle EU-Flüge angewandt wird.
174 Die Anwendung des durch die PNR-Richtlinie geschaffenen Systems auf bestimmte EU-Flüge muss sich in einem solchen Fall auf die Übermittlung und Verarbeitung der PNR-Daten von Flügen beschränken, die etwa bestimmte Flugverbindungen, bestimmte Reisemuster oder bestimmte Flughäfen betreffen, für die es Anhaltspunkte gibt, die eine solche Anwendung rechtfertigen können. Es ist Sache des betreffenden Mitgliedstaats, in einem solchen Fall die EU-Flüge anhand der Ergebnisse der Einschätzung auszuwählen, die er auf der Grundlage der oben in den Rn. 163 bis 169 dargelegten Anforderungen vorzunehmen hat, und sie nach Maßgabe der Entwicklung der Bedingungen, die ihre Auswahl gerechtfertigt haben, regelmäßig zu überprüfen, um sicherzustellen, dass sich die Anwendung des durch die PNR-Richtlinie geschaffenen Systems auf EU-Flüge stets auf das absolut Notwendige beschränkt.
175 Aus den vorstehenden Erwägungen folgt, dass diese Auslegung von Art. 2 und Art. 3 Nr. 4 der PNR-Richtlinie im Licht der Art. 7 und 8 sowie von Art. 52 Abs. 1 der Charta zu gewährleisten vermag, dass diese Bestimmungen die Grenzen des absolut Notwendigen einhalten.
5) Zur Vorabüberprüfung der PNR-Daten mittels automatisierter Verarbeitungen
176 Nach Art. 6 Abs. 2 Buchst. a der PNR-Richtlinie sollen durch die dort vorgesehene Vorabüberprüfung diejenigen Personen ermittelt werden, die u. a. von den zuständigen Behörden gemäß Art. 7 der Richtlinie genauer überprüft werden müssen, da sie möglicherweise an einer terroristischen Straftat oder an schwerer Kriminalität beteiligt sind.
177 Diese Vorabüberprüfung vollzieht sich in zwei Schritten. Zunächst nimmt die PNR-Zentralstelle des betreffenden Mitgliedstaats automatisierte Verarbeitungen der PNR-Daten in Form eines Abgleichs mit Datenbanken oder anhand im Voraus festgelegter Kriterien vor (Art. 6 Abs. 3 der PNR-Richtlinie). Falls diese automatisierten Verarbeitungen zu einem Treffer („hit“) führen, nimmt die Zentralstelle sodann die in Art. 6 Abs. 5 der Richtlinie vorgeschriebene individuelle Überprüfung auf andere, nicht automatisierte Art vor, um zu klären, ob die in der Richtlinie genannten zuständigen Behörden gemäß Art. 7 Maßnahmen im Einklang mit dem nationalen Recht ergreifen müssen („match“).
178 Wie oben in Rn. 106 ausgeführt, weisen automatisierte Verarbeitungen zwangsläufig eine erhebliche Fehlerquote auf, da sie anhand von nicht überprüften personenbezogenen Daten durchgeführt werden und auf im Voraus festgelegten Kriterien beruhen.
179 Unter diesen Umständen – und in Anbetracht der im vierten Erwägungsgrund der Präambel der Charta hervorgehobenen Notwendigkeit, den Schutz der Grundrechte insbesondere angesichts der wissenschaftlichen und technologischen Entwicklungen zu stärken – ist sicherzustellen, dass die zuständigen Behörden Entscheidungen, aus denen sich eine nachteilige Rechtsfolge oder ein sonstiger schwerwiegender Nachteil für die betroffene Person ergibt, unter keinen Umständen allein auf der Grundlage der automatisierten Verarbeitung der PNR-Daten treffen (20. Erwägungsgrund und Art. 7 Abs. 6 der PNR-Richtlinie). Zudem darf die PNR-Zentralstelle selbst die PNR-Daten erst nach einer individuellen Überprüfung auf andere, nicht automatisierte Art an die zuständigen Behörden übermitteln (Art. 6 Abs. 6 der Richtlinie). Neben diesen von der PNR-Zentralstelle und den zuständigen Behörden selbst vorzunehmenden Prüfungen muss die Rechtmäßigkeit sämtlicher automatisierter Verarbeitungen schließlich vom Datenschutzbeauftragten und von der nationalen Kontrollstelle (Art. 6 Abs. 7 und Art. 15 Abs. 3 Buchst. b der Richtlinie) sowie von den nationalen Gerichten im Rahmen eines gerichtlichen Rechtsbehelfs (Art. 13 Abs. 1 der Richtlinie) überprüft werden können.
180 Wie der Generalanwalt in Nr. 207 seiner Schlussanträge im Wesentlichen ausgeführt hat, müssen die nationale Kontrollstelle, der Datenschutzbeauftragte und die PNR-Zentralstelle mit den nötigen materiellen und personellen Mitteln für die Ausübung der ihnen nach der PNR-Richtlinie obliegenden Kontrolle ausgestattet werden. Außerdem müssen in der nationalen Regelung, mit der diese Richtlinie in innerstaatliches Recht umgesetzt wird und die darin vorgesehenen automatisierten Verarbeitungen gebilligt werden, klare und präzise Vorschriften für die Bestimmung der Datenbanken sowie der herangezogenen Analysekriterien aufgestellt werden; auf andere Methoden, die in Art. 6 Abs. 2 der Richtlinie nicht ausdrücklich vorgesehen sind, darf für die Zwecke der Vorabüberprüfung nicht zurückgegriffen werden.
181 Im Übrigen folgt aus Art. 6 Abs. 9 der PNR-Richtlinie, dass die Auswirkungen der Vorabüberprüfung gemäß Art. 6 Abs. 2 Buchst. a der PNR-Richtlinie nicht das Einreiserecht von Personen, die im Hoheitsgebiet des betreffenden Mitgliedstaats gemäß der Richtlinie 2004/38 das Recht auf Freizügigkeit genießen, beeinträchtigen dürfen und mit der Verordnung Nr. 562/2006 im Einklang stehen müssen. Das durch die PNR-Richtlinie geschaffene System erlaubt es den zuständigen Behörden somit nicht, dieses Recht über das in der Richtlinie 2004/38 und der Verordnung Nr. 562/2006 vorgesehene Maß hinaus zu beschränken.
i) Zum Datenbankabgleich der PNR-Daten
182 Nach Art. 6 Abs. 3 Buchst. a der PNR-Richtlinie „darf“ die PNR-Zentralstelle bei der Durchführung der in Art. 6 Abs. 2 Buchst. a genannten Überprüfungen die PNR-Daten mit Datenbanken abgleichen, die zum Zweck der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität „maßgeblich“ sind, „einschließlich Datenbanken betreffend Personen oder Gegenstände, nach denen gefahndet wird oder die Gegenstand einer Ausschreibung sind, unter Einhaltung der für solche Datenbanken einschlägigen nationalen, internationalen und Unionsvorschriften“.
183 Zwar ergibt sich bereits aus dem Wortlaut von Art. 6 Abs. 3 Buchst. a der PNR-Richtlinie, insbesondere aus dem Wort „einschließlich“, dass die Datenbanken betreffend Personen oder Gegenstände, nach denen gefahndet wird oder die Gegenstand einer Ausschreibung sind, zu den „maßgeblichen“ Datenbanken im Sinne dieser Bestimmung gehören. Indes geht aus ihr nicht hervor, welche anderen Datenbanken angesichts der mit dieser Richtlinie verfolgten Ziele ebenfalls als „maßgeblich“ angesehen werden könnten. Wie der Generalanwalt in Nr. 217 seiner Schlussanträge ausgeführt hat, gibt es in der genannten Bestimmung nämlich keine ausdrücklichen Angaben zur Art der Daten, die solche Datenbanken enthalten können, und zu ihrem Verhältnis zu den mit der Richtlinie verfolgten Zielen; aus ihr geht auch nicht hervor, ob die PNR-Daten ausschließlich mit behördlich verwalteten Datenbanken abzugleichen sind oder ob sie auch mit Datenbanken abgeglichen werden können, die von Privatpersonen verwaltet werden.
184 Unter diesen Umständen könnte Art. 6 Abs. 3 Buchst. a der PNR-Richtlinie auf den ersten Blick dahin ausgelegt werden, dass die PNR-Daten als bloße Suchkriterien für die Durchführung von Analysen anhand verschiedener Datenbanken verwendet werden können, einschließlich solcher, die von den Sicherheits- und Nachrichtendiensten der Mitgliedstaaten in Verfolgung anderer Ziele als der der Richtlinie verwaltet und betrieben werden, und dass solche Analysen die Form einer Datenexploration (data mining) annehmen können. Bestünde die Möglichkeit, solche Analysen durchzuführen und die PNR-Daten mit solchen Datenbanken abzugleichen, könnte aber bei den Fluggästen der Eindruck entstehen, dass ihr Privatleben einer Art der Überwachung unterliegt. Auch wenn die in dieser Bestimmung vorgesehene Vorabüberprüfung von einer relativ begrenzten Gesamtheit von Daten – den PNR-Daten – ausgeht, kann einer solchen Auslegung von Art. 6 Abs. 3 Buchst. a daher nicht gefolgt werden, da sie zu einer unverhältnismäßigen Nutzung dieser Daten führen könnte, die es ermöglichen würde, ein genaues Profil der betreffenden Personen zu erstellen, nur weil sie eine Flugreise unternehmen wollen.
185 Daher ist Art. 6 Abs. 3 Buchst. a der PNR-Richtlinie im Einklang mit der oben in den Rn. 86 und 87 angeführten Rechtsprechung so auszulegen, dass die uneingeschränkte Achtung der in den Art. 7 und 8 der Charta verankerten Grundrechte gewährleistet ist.
186 Insoweit ergibt sich aus den Erwägungsgründen 7 und 15 der PNR-Richtlinie, dass die in ihrem Art. 6 Abs. 3 Buchst. a vorgesehene automatisierte Verarbeitung auf das zur Bekämpfung terroristischer Straftaten und schwerer Kriminalität absolut Notwendige beschränkt werden und zugleich ein hohes Niveau des Schutzes dieser Grundrechte gewährleisten muss.
187 Außerdem gestattet es, wie die Kommission in Beantwortung einer Frage des Gerichtshofs im Wesentlichen ausgeführt hat, der Wortlaut dieser Bestimmung, wonach die PNR-Zentralstelle die PNR-Daten mit den dort genannten Datenbanken abgleichen „darf“, dieser Stelle, nach Maßgabe der konkreten Situation eine auf das absolut Notwendige beschränkte Modalität der Verarbeitung zu wählen. In Anbetracht der zur Gewährleistung des Schutzes der in den Art. 7 und 8 der Charta verankerten Grundrechte erforderlichen Beachtung der Anforderungen an Klarheit und Genauigkeit ist die PNR-Zentralstelle verpflichtet, die in Art. 6 Abs. 3 Buchst. a der PNR-Richtlinie vorgesehene automatisierte Verarbeitung allein auf die Datenbanken zu beschränken, die sich anhand dieser Bestimmung ermitteln lassen. Insoweit ist zwar die darin enthaltene Bezugnahme auf „maßgebliche“ Datenbanken keiner die erfassten Datenbanken hinreichend klar und genau präzisierenden Auslegung zugänglich. Anders verhält es sich aber bei der Bezugnahme auf „Datenbanken betreffend Personen oder Gegenstände, nach denen gefahndet wird oder die Gegenstand einer Ausschreibung sind, unter Einhaltung der für solche Datenbanken einschlägigen nationalen, internationalen und Unionsvorschriften“.
188 Daher ist, wie der Generalanwalt im Wesentlichen in Nr. 219 seiner Schlussanträge ausgeführt hat, Art. 6 Abs. 3 Buchst. a der PNR-Richtlinie im Licht dieser Grundrechte dahin auszulegen, dass die PNR-Zentralstelle die PNR-Daten allein mit den letztgenannten Datenbanken abgleichen darf.
189 Zu den Anforderungen, denen diese Datenbanken genügen müssen, ist festzustellen, dass nach Art. 6 Abs. 4 der PNR-Richtlinie die Vorabüberprüfung anhand im Voraus festgelegter Kriterien gemäß Art. 6 Abs. 3 Buchst. b der Richtlinie in nicht diskriminierender Weise erfolgen muss, dass diese Kriterien zielgerichtet, verhältnismäßig und bestimmt sein müssen und dass sie von den PNR-Zentralstellen aufgestellt und von ihnen in Zusammenarbeit mit den in Art. 7 der Richtlinie genannten zuständigen Behörden regelmäßig überprüft werden müssen. Zwar bezieht sich Art. 6 Abs. 4 der Richtlinie – aufgrund des Verweises auf Art. 6 Abs. 3 Buchst. b – nur auf die Verarbeitung von PNR-Daten anhand im Voraus festgelegter Kriterien, doch er ist im Licht der Art. 7, 8 und 21 der Charta dahin auszulegen, dass die Anforderungen, die er aufstellt, mutatis mutandis für den Abgleich dieser Daten mit den in der vorstehenden Randnummer genannten Datenbanken gelten müssen, zumal diese Anforderungen im Wesentlichen denen entsprechen, die in der aus dem Gutachten 1/15 (PNR-Abkommen EU‑Kanada) vom 26. Juli 2017 (EU:C:2017:592, Rn. 172) hervorgegangenen Rechtsprechung für den Abgleich von PNR-Daten mit Datenbanken herangezogen wurden.
190 Insoweit ist klarzustellen, dass das Erfordernis des nicht diskriminierenden Charakters der genannten Datenbanken u. a. voraussetzt, dass die Eintragung in Datenbanken betreffend Personen, nach denen gefahndet wird oder die Gegenstand einer Ausschreibung sind, auf objektiven und nicht diskriminierenden Kriterien beruht, die durch die für solche Datenbanken geltenden nationalen, internationalen und unionsrechtlichen Vorschriften festgelegt werden (vgl. entsprechend Urteil vom 5. April 2022, Commissioner of An Garda Síochána u. a., C‑140/20, EU:C:2022:258, Rn. 78).
191 Um dem Erfordernis zu genügen, dass die im Voraus festgelegten Kriterien zielgerichtet, verhältnismäßig und bestimmt sind, müssen die oben in Rn. 188 genannten Datenbanken außerdem im Zusammenhang mit der Bekämpfung terroristischer Straftaten und schwerer Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit der Beförderung von Fluggästen betrieben werden.
192 Überdies müssen die gemäß Art. 6 Abs. 3 Buchst. a der PNR-Richtlinie genutzten Datenbanken in Anbetracht der oben in den Rn. 183 und 184 angestellten Erwägungen von den in Art. 7 der Richtlinie genannten zuständigen Behörden verwaltet werden oder, soweit es sich um Unionsdatenbanken und um internationale Datenbanken handelt, von diesen Behörden im Rahmen ihrer Aufgabe der Bekämpfung terroristischer Straftaten und schwerer Kriminalität betrieben werden. Dies ist bei Datenbanken betreffend Personen oder Gegenstände, nach denen gefahndet wird oder die Gegenstand einer Ausschreibung sind, gemäß den für solche Datenbanken geltenden nationalen, internationalen und unionsrechtlichen Vorschriften der Fall.
ii) Zur Verarbeitung der PNR-Daten anhand im Voraus festgelegter Kriterien
193 Nach Art. 6 Abs. 3 Buchst. b der PNR-Richtlinie darf die PNR-Zentralstelle die PNR-Daten auch anhand im Voraus festgelegter Kriterien abgleichen. Aus Art. 6 Abs. 2 Buchst. a dieser Richtlinie geht hervor, dass die Vorabüberprüfung und damit die Verarbeitung der PNR-Daten anhand im Voraus festgelegter Kriterien im Wesentlichen zur Ermittlung von Personen dient, die möglicherweise an einer terroristischen Straftat oder an schwerer Kriminalität beteiligt sind.
194 Zu den Kriterien, die die PNR-Zentralstelle dabei heranziehen kann, ist zunächst festzustellen, dass sie nach dem Wortlaut von Art. 6 Abs. 3 Buchst. b der PNR-Richtlinie „im Voraus festgelegt“ worden sein müssen. Wie der Generalanwalt in Nr. 228 seiner Schlussanträge ausgeführt hat, steht dieses Erfordernis der Heranziehung von Technologien der künstlichen Intelligenz im Rahmen selbstlernender Systeme („machine learning“) entgegen, die – ohne menschliche Einwirkung und Kontrolle – den Bewertungsprozess und insbesondere die Bewertungskriterien, auf denen das Ergebnis der Anwendung dieses Prozesses beruht, sowie die Gewichtung der Kriterien ändern können.
195 Darüber hinaus brächte der Rückgriff auf solche Technologien die Gefahr mit sich, dass der nach den Bestimmungen der PNR-Richtlinie erforderlichen individuellen Überprüfung der Treffer und der Rechtmäßigkeitsprüfung die praktische Wirksamkeit genommen wird. Wie der Generalanwalt in Nr. 228 seiner Schlussanträge im Wesentlichen ausgeführt hat, kann es sich nämlich angesichts der für die Funktionsweise von Technologien der künstlichen Intelligenz kennzeichnenden mangelnden Nachvollziehbarkeit als unmöglich erweisen, den Grund zu erkennen, aus dem ein bestimmtes Programm einen Treffer erzielt hat. Unter diesen Umständen könnte die Nutzung solcher Technologien den Betroffenen auch ihr in Art. 47 der Charta verankertes Recht auf einen wirksamen gerichtlichen Rechtsbehelf nehmen, das nach dem 28. Erwägungsgrund der PNR-Richtlinie auf hohem Schutzniveau gewährleistet werden soll, damit insbesondere gerügt werden kann, dass die erzielten Ergebnisse nicht frei von Diskriminierung seien.
196 Was sodann die aus Art. 6 Abs. 4 der PNR-Richtlinie resultierenden Anforderungen betrifft, heißt es dort in Satz 1, dass die Vorabüberprüfung anhand im Voraus festgelegter Kriterien in nicht diskriminierender Weise erfolgt, und in Satz 4 wird hinzugefügt, dass die rassische oder ethnische Herkunft, die politischen Meinungen, die religiösen oder weltanschaulichen Überzeugungen, die Mitgliedschaft in einer Gewerkschaft, der Gesundheitszustand, das Sexualleben oder die sexuelle Orientierung einer Person unter keinen Umständen als Grundlage für diese Kriterien dienen dürfen.
197 Die Mitgliedstaaten dürfen daher Kriterien, die auf den in der vorstehenden Randnummer genannten Merkmalen beruhen und deren Verwendung zu Diskriminierungen führen kann, nicht als im Voraus festgelegte Kriterien heranziehen. Insoweit ergibt sich aus dem Wortlaut von Art. 6 Abs. 4 Satz 4 der PNR-Richtlinie, wonach die im Voraus festgelegten Kriterien „unter keinen Umständen“ auf diesen Merkmalen beruhen dürfen, dass die Bestimmung sowohl unmittelbare als auch mittelbare Diskriminierungen erfasst. Diese Auslegung wird im Übrigen durch Art. 21 Abs. 1 der Charta bestätigt, in dessen Licht die genannte Bestimmung auszulegen ist und der Diskriminierungen aufgrund dieser Merkmale generell verbietet. Unter diesen Umständen sind die im Voraus festgelegten Kriterien so zu bestimmen, dass ihre Anwendung, auch wenn sie neutral formuliert sind, nicht geeignet ist, Personen mit den geschützten Merkmalen besonders zu benachteiligen.
198 Aus dem in Art. 6 Abs. 4 Satz 2 der PNR-Richtlinie aufgestellten Erfordernis, wonach die im Voraus festgelegten Kriterien zielgerichtet, verhältnismäßig und bestimmt sein müssen, ist abzuleiten, dass die bei der Vorabüberprüfung herangezogenen Kriterien so festzulegen sind, dass sie speziell auf Personen abzielen, bei denen der begründete Verdacht einer Beteiligung an terroristischen Straftaten oder schwerer Kriminalität im Sinne dieser Richtlinie bestehen könnte. Diese Auslegung wird durch den Wortlaut von Art. 6 Abs. 2 Buchst. a der Richtlinie bestätigt, der darauf abstellt, dass die betreffenden Personen „möglicherweise“ „an einer“ terroristischen Straftat oder „an“ schwerer Kriminalität beteiligt sind. Desgleichen wird im siebten Erwägungsgrund der Richtlinie ausgeführt, dass die Aufstellung und die Anwendung von Prüfkriterien auf terroristische Straftaten und schwere Kriminalität beschränkt werden sollten, „für die die Anwendung solcher Kriterien maßgeblich ist“.
199 Um die genannten Personen in dieser Weise zu erfassen, können sich die PNR-Zentralstelle und die zuständigen Behörden – angesichts der mit Kriterien, die auf den in Art. 6 Abs. 4 Satz 4 der PNR-Richtlinie genannten Merkmalen beruhen, verbundenen Gefahr einer Diskriminierung – grundsätzlich nicht auf diese Merkmale stützen. Dagegen können sie, wie die deutsche Regierung in der mündlichen Verhandlung ausgeführt hat, u. a. den Besonderheiten des tatsächlichen Verhaltens von Personen im Zusammenhang mit der Vorbereitung und Durchführung von Flugreisen Rechnung tragen, die nach den von den zuständigen Behörden getroffenen Feststellungen und nach den von ihnen gewonnenen Erfahrungen darauf hindeuten könnten, dass Personen, die sich in dieser Weise verhalten, möglicherweise an terroristischen Straftaten oder an schwerer Kriminalität beteiligt sind.
200 In diesem Kontext sind, wie die Kommission in Beantwortung einer Frage des Gerichtshofs ausgeführt hat, die im Voraus festgelegten Kriterien so zu bestimmen, dass sowohl „belastende“ als auch „entlastende“ Gesichtspunkte berücksichtigt werden. Dieses Erfordernis kann zur Zuverlässigkeit der Kriterien beitragen und insbesondere ihre Verhältnismäßigkeit sicherstellen, wie es Art. 6 Abs. 4 Satz 2 der PNR-Richtlinie verlangt.
201 Schließlich müssen nach Art. 6 Abs. 4 Satz 3 der PNR-Richtlinie die im Voraus festgelegten Kriterien regelmäßig überprüft werden. Im Rahmen dieser Überprüfung müssen die Kriterien nach Maßgabe der Entwicklung der Bedingungen, die ihre Heranziehung bei der Vorabüberprüfung gerechtfertigt haben, angepasst werden, damit u. a. auf Entwicklungen bei der Bekämpfung terroristischer Straftaten und schwerer Kriminalität in dem oben in Rn. 157 dargelegten Sinne reagiert werden kann (vgl. entsprechend Urteil vom 5. April 2022, Commissioner of An Garda Síochána u. a., C‑140/20, EU:C:2022:258, Rn. 82). Bei der Überprüfung muss insbesondere die im Rahmen der Anwendung der im Voraus festgelegten Kriterien gewonnene Erfahrung berücksichtigt werden, um die Zahl „falsch positiver“ Ergebnisse so weit wie möglich zu verringern und dadurch dazu beizutragen, dass die Anwendung dieser Kriterien absolut notwendig ist.
iii) Zu den Garantien im Zusammenhang mit der automatisierten Verarbeitung von PNR-Daten
202 Die Beachtung der in Art. 6 Abs. 4 der PNR-Richtlinie aufgestellten Anforderungen an die automatisierte Verarbeitung von PNR-Daten ist nicht nur im Rahmen der Aufstellung und Überprüfung der Datenbanken sowie der in dieser Bestimmung vorgesehenen im Voraus festgelegten Kriterien geboten, sondern auch, wie der Generalanwalt in Nr. 230 seiner Schlussanträge ausgeführt hat, während des gesamten Prozesses der Verarbeitung dieser Daten.
203 Speziell in Bezug auf die im Voraus festgelegten Kriterien ist zunächst darauf hinzuweisen, dass die PNR-Zentralstelle zwar, wie es im siebten Erwägungsgrund der PNR-Richtlinie heißt, die Prüfkriterien so festlegen muss, dass die Zahl unschuldiger Personen, die fälschlicherweise mit dem durch die Richtlinie geschaffenen System identifiziert werden, auf ein Minimum beschränkt wird. Gemäß Art. 6 Abs. 5 und 6 der Richtlinie muss sie gleichwohl jeden einzelnen Treffer auf nicht automatisierte Art individuell überprüfen, um etwaige „falsch positive“ Ergebnisse so weit wie möglich zu erkennen. Außerdem muss sie, ungeachtet dessen, dass sie die Prüfkriterien in nicht diskriminierender Weise festzulegen hat, eine solche Überprüfung durchführen, um etwaige diskriminierende Ergebnisse auszuschließen. Die gleiche Prüfpflicht obliegt der PNR-Zentralstelle beim Abgleich der PNR-Daten mit den Datenbanken.
204 Dabei muss die PNR-Zentralstelle von der Übermittlung der Ergebnisse dieser automatisierten Verarbeitungen an die zuständigen Behörden im Sinne von Art. 7 der PNR-Richtlinie absehen, wenn sie in Anbetracht der oben in Rn. 198 angestellten Erwägungen im Anschluss an die Überprüfung nicht über Anhaltspunkte verfügt, aus denen sich in rechtlich hinreichender Weise der begründete Verdacht einer Beteiligung der mittels der automatisierten Verarbeitungen identifizierten Personen an terroristischen Straftaten oder schwerer Kriminalität ergibt oder wenn sie über Anhaltspunkte dafür verfügt, dass die genannten Verarbeitungen zu diskriminierenden Ergebnissen führen.
205 Hinsichtlich der von der PNR-Zentralstelle insoweit vorzunehmenden Überprüfungen ergibt sich aus Art. 6 Abs. 5 und 6 der PNR-Richtlinie in Verbindung mit ihren Erwägungsgründen 20 und 22, dass die Mitgliedstaaten klare und präzise Regeln vorsehen müssen, die Leitlinien und einen Rahmen für die von den Bediensteten, die mit der individuellen Überprüfung betraut sind, vorzunehmende Analyse vorgeben, um für die uneingeschränkte Achtung der in den Art. 7, 8 und 21 der Charta verankerten Grundrechte zu sorgen und insbesondere eine dem Diskriminierungsverbot Rechnung tragende kohärente Verwaltungspraxis innerhalb der PNR-Zentralstelle zu gewährleisten.
206 Angesichts der oben in Rn. 106 erwähnten erheblichen Zahl „falsch positiver“ Ergebnisse müssen sich die Mitgliedstaaten insbesondere vergewissern, dass die PNR-Zentralstelle in klarer und präziser Weise Kriterien für die objektive Überprüfung aufstellt, die es ihren Bediensteten ermöglichen, zum einen zu prüfen, ob und inwieweit ein Treffer („hit“) tatsächlich eine Person betrifft, die möglicherweise an terroristischen Straftaten oder an schwerer Kriminalität in dem oben in Rn. 157 dargelegten Sinne beteiligt ist und deshalb einer weiteren Überprüfung durch die zuständigen Behörden gemäß Art. 7 der Richtlinie unterzogen werden muss, und zum anderen, ob die in der Richtlinie vorgesehenen automatisierten Verarbeitungen und namentlich die im Voraus festgelegten Kriterien und die herangezogenen Datenbanken keinen diskriminierenden Charakter haben.
207 In diesem Kontext haben die Mitgliedstaaten dafür zu sorgen, dass die PNR-Zentralstelle im Einklang mit Art. 13 Abs. 5 der PNR-Richtlinie in Verbindung mit ihrem 37. Erwägungsgrund jede Verarbeitung von PNR-Daten, die im Rahmen der Vorabüberprüfung, einschließlich der individuellen Überprüfung auf nicht automatisierte Art, vorgenommen wird, zum Zweck der Überprüfung ihrer Rechtmäßigkeit und zur Selbstkontrolle dokumentiert.
208 Ferner dürfen die zuständigen Behörden Entscheidungen, aus denen sich eine nachteilige Rechtsfolge oder ein sonstiger schwerwiegender Nachteil für die betroffene Person ergibt, unter keinen Umständen allein auf der Grundlage der automatisierten Verarbeitung der PNR-Daten treffen (Art. 7 Abs. 6 Satz 1 der PNR-Richtlinie); dies bedeutet, dass sie im Rahmen der Vorabüberprüfung dem Ergebnis der individuellen Überprüfung auf nicht automatisierte Art durch die PNR-Zentralstelle Rechnung tragen und ihm gegebenenfalls Vorrang vor dem Ergebnis der automatisierten Verarbeitungen einräumen müssen. Nach Art. 7 Abs. 6 Satz 2 dürfen solche Entscheidungen nicht diskriminierend sein.
209 In diesem Rahmen müssen sich die zuständigen Behörden vergewissern, dass sowohl die automatisierten Verarbeitungen als auch die individuelle Überprüfung rechtmäßig sind und namentlich keinen diskriminierenden Charakter haben.
210 Insbesondere müssen sich die zuständigen Behörden vergewissern, dass der Betroffene – ohne es ihm im Verwaltungsverfahren zwangsläufig zu ermöglichen, von den im Voraus festgelegten Prüfkriterien und den Programmen zu ihrer Anwendung Kenntnis zu erlangen – die Funktionsweise dieser Kriterien und Programme verstehen und deshalb in Kenntnis aller Umstände entscheiden kann, ob er von seinem in Art. 13 Abs. 1 der PNR-Richtlinie garantierten Recht auf Einlegung von Rechtsbehelfen Gebrauch macht, um gegebenenfalls zu rügen, dass die genannten Kriterien rechtswidrig und namentlich diskriminierend seien (vgl. entsprechend Urteil vom 24. November 2020, Minister van Buitenlandse Zaken, C‑225/19 und C‑226/19, EU:C:2020:951, Rn. 43 und die dort angeführte Rechtsprechung). Das Gleiche muss für die oben in Rn. 206 genannten Kriterien der Überprüfung gelten.
211 Im Rahmen eines gemäß Art. 13 Abs. 1 der PNR-Richtlinie eingelegten Rechtsbehelfs müssen schließlich das Gericht, das mit der Rechtmäßigkeitsprüfung der Entscheidung der zuständigen Behörden betraut ist, sowie, außer in Fällen einer Bedrohung der Sicherheit des Staates, der Betroffene selbst sowohl von allen Gründen als auch von den Beweisen, auf deren Grundlage diese Entscheidung getroffen wurde, Kenntnis erlangen können (vgl. entsprechend Urteil vom 4. Juni 2013, ZZ, C‑300/11, EU:C:2013:363, Rn. 54 bis 59), einschließlich der im Voraus festgelegten Prüfkriterien und der Funktionsweise der Programme, mit denen diese Kriterien angewandt werden.
212 Im Übrigen obliegt es nach Art. 6 Abs. 7 bzw. Art. 15 Abs. 3 Buchst. b der PNR-Richtlinie dem Datenschutzbeauftragten und der nationalen Kontrollbehörde, die Kontrolle der Rechtmäßigkeit der von der PNR-Zentralstelle im Rahmen der Vorabüberprüfung vorgenommenen automatisierten Verarbeitungen zu gewährleisten. Diese Kontrolle erstreckt sich insbesondere darauf, dass die Verarbeitungen keinen diskriminierenden Charakter haben. In der erstgenannten Bestimmung heißt es hierzu, dass der Datenschutzbeauftragte Zugang zu sämtlichen von der PNR-Zentralstelle verarbeiteten Daten erhält, wobei sich dieser Zugang zwangsläufig auf die im Voraus festgelegten Kriterien und die von der Zentralstelle genutzten Datenbanken erstrecken muss, damit der vom Datenschutzbeauftragten nach dem 37. Erwägungsgrund der Richtlinie zu gewährleistende wirksame und weitreichende Datenschutz sichergestellt ist. Desgleichen können sich auch die von der nationalen Kontrollstelle nach der letztgenannten Bestimmung durchgeführten Ermittlungen, Inspektionen und Audits auf die im Voraus festgelegten Kriterien und die Datenbanken beziehen.
213 Nach alledem lassen sich die Bestimmungen der PNR-Richtlinie über die Vorabüberprüfung der PNR-Daten gemäß Art. 6 Abs. 2 Buchst. a der Richtlinie in einer Weise auslegen, die mit den Art. 7, 8 und 21 der Charta im Einklang steht und die Grenzen des absolut Notwendigen einhält.
6) Zur nachträglichen Zurverfügungstellung und Überprüfung der PNR-Daten
214 Nach Art. 6 Abs. 2 Buchst. b der PNR-Richtlinie können die PNR-Daten ferner den zuständigen Behörden auf deren Anfrage zur Verfügung gestellt und nach der planmäßigen Ankunft in einem Mitgliedstaat oder nach dem Abflug von dort überprüft werden.
215 Zu den Voraussetzungen, unter denen eine solche Zurverfügungstellung und eine solche Überprüfung stattfinden können, ergibt sich aus dem Wortlaut dieser Bestimmung, dass die PNR-Zentralstelle die PNR-Daten verarbeiten darf, um „im Einzelfall … auf einer hinreichenden Grundlage gebührend begründete Anfragen“ der zuständigen Behörden hinsichtlich der Zurverfügungstellung und Verarbeitung dieser Daten „in besonderen Fällen zum Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten oder schwerer Kriminalität“ zu beantworten. Für den Fall, dass die Anfrage nach Ablauf einer Frist von sechs Monaten ab der Übermittlung der PNR-Daten an die PNR-Zentralstelle erfolgt – so dass nach Art. 12 Abs. 2 der Richtlinie alle PNR-Daten durch Unkenntlichmachung bestimmter Datenelemente depersonalisiert werden –, bestimmt Art. 12 Abs. 3 der Richtlinie, dass die Offenlegung der vollständigen PNR-Daten – d. h. einer nicht depersonalisierten Fassung – nur zulässig ist, wenn zum einen berechtigter Grund zu der Annahme besteht, dass dies für die Zwecke des Art. 6 Abs. 2 Buchst. b der Richtlinie erforderlich ist, und es zum anderen durch eine Justizbehörde oder eine andere nationale Behörde, die dafür nach nationalem Recht zuständig ist, genehmigt wird.
216 Insoweit ergibt sich zunächst schon aus dem Wortlaut von Art. 6 Abs. 2 Buchst. b der PNR-Richtlinie, dass die PNR-Zentralstelle nicht systematisch die PNR-Daten aller Fluggäste zur Verfügung stellen und nachträglich überprüfen darf, sondern nur „im Einzelfall“ Anfragen hinsichtlich solcher Verarbeitungen „in besonderen Fällen“ beantworten kann. Da in dieser Bestimmung von „besonderen Fällen“ die Rede ist, müssen sich die Verarbeitungen allerdings nicht unbedingt auf die PNR-Daten eines einzigen Fluggasts beschränken, sondern können sich, wie die Kommission in Beantwortung einer Frage des Gerichtshofs ausgeführt hat, auch auf eine größere Zahl von Personen beziehen, sofern die betreffenden Personen eine Reihe gemeinsamer Merkmale aufweisen, die es erlauben, sie für die Zwecke der begehrten Zurverfügungstellung und Überprüfung zusammen als „besonderen Fall“ anzusehen.
217 Was sodann die materiellen Voraussetzungen dafür betrifft, dass die PNR-Daten von Fluggästen zur Verfügung gestellt und nachträglich überprüft werden dürfen, beziehen sich Art. 6 Abs. 2 Buchst. b und Art. 12 Abs. 3 Buchst. a der PNR-Richtlinie zwar auf „gebührend begründete Anfragen“ bzw. auf einen „berechtigten Grund“, ohne die Art dieser Gründe ausdrücklich zu präzisieren, doch ergibt sich schon aus dem Wortlaut der erstgenannten Bestimmung, der auf die in Art. 1 Abs. 2 der Richtlinie angegebenen Zwecke Bezug nimmt, dass die nachträgliche Zurverfügungstellung und Überprüfung der PNR-Daten nur erfolgen dürfen, um zu prüfen, ob Anhaltspunkte für eine mögliche Beteiligung der betreffenden Personen an terroristischen Straftaten oder an schwerer Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit der Beförderung von Fluggästen bestehen (siehe oben, Rn. 157).
218 Im Rahmen des durch die PNR-Richtlinie geschaffenen Systems betreffen die Zurverfügungstellung und die Verarbeitung von PNR-Daten gemäß Art. 6 Abs. 2 Buchst. b der PNR-Richtlinie die Daten von Personen, die bereits vor ihrer planmäßigen Ankunft in dem betreffenden Mitgliedstaat oder vor ihrem Abflug von dort Gegenstand einer Vorabüberprüfung waren. Außerdem wird sich eine Anfrage zwecks nachträglicher Überprüfung vor allem auf Personen beziehen, deren PNR-Daten den zuständigen Behörden im Anschluss an die Vorabüberprüfung nicht übermittelt wurden, da sich keine Anhaltspunkte für ihre mögliche Beteiligung an terroristischen Straftaten oder an schwerer Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit der Beförderung von Fluggästen ergeben hatten. Unter diesen Umständen müssen die Zurverfügungstellung und die Verarbeitung dieser Daten zum Zweck ihrer nachträglichen Überprüfung auf neue Umstände gestützt werden, die eine solche Verwendung rechtfertigen (vgl. in diesem Sinne Gutachten 1/15 [PNR-Abkommen EU–Kanada] vom 26. Juli 2017, EU:C:2017:592, Rn. 200 und die dort angeführte Rechtsprechung).
219 Was die Art der Umstände betrifft, die eine Zurverfügungstellung und Verarbeitung von PNR-Daten zum Zweck ihrer nachträglichen Überprüfung rechtfertigen können, so muss sich nach ständiger Rechtsprechung die betreffende Regelung, sei es die Unionsregelung oder eine nationale Vorschrift zu ihrer Umsetzung, bei der Festlegung der Umstände und Voraussetzungen, unter denen den zuständigen nationalen Behörden Zugriff auf die fraglichen Daten zu gewähren ist, auf objektive Kriterien stützen, denn ein allgemeiner Zugang zu allen gespeicherten Daten kann unabhängig davon, ob irgendein – zumindest mittelbarer – Zusammenhang mit dem verfolgten Ziel besteht, nicht als auf das absolut Notwendige beschränkt angesehen werden. Insoweit darf im Zusammenhang mit dem Ziel, die Kriminalität zu bekämpfen, Zugriff grundsätzlich nur auf die Daten von Personen gewährt werden, die im Verdacht stehen, eine schwere Straftat zu planen, zu begehen oder begangen zu haben oder auf irgendeine Weise in eine solche Straftat verwickelt zu sein. Allerdings kann in besonderen Situationen wie etwa solchen, in denen vitale Interessen der nationalen Sicherheit, der Landesverteidigung oder der öffentlichen Sicherheit durch terroristische Aktivitäten bedroht sind, auch Zugriff auf die Daten anderer Personen gewährt werden, wenn es objektive Anhaltspunkte dafür gibt, dass diese Daten in einem konkreten Fall einen wirksamen Beitrag zur Bekämpfung derartiger Aktivitäten leisten könnten (Urteile vom 2. März 2021, Prokuratuur [Voraussetzungen für den Zugang zu Daten über die elektronische Kommunikation], C‑746/18, EU:C:2021:152, Rn. 50 und die dort angeführte Rechtsprechung, sowie vom 5. April 2022, Commissioner of An Garda Síochána u. a., C‑140/20, EU:C:2022:258, Rn. 105).
220 Daher sind die Wendungen „gebührend begründete Anfragen“ und „berechtigter Grund“ in Art. 6 Abs. 2 Buchst. b bzw. Art. 12 Abs. 3 Buchst. a der PNR-Richtlinie im Licht der Art. 7 und 8 der Charta dahin auszulegen, dass sie sich auf objektive Anhaltspunkte beziehen, die geeignet sind, den begründeten Verdacht einer irgendwie gearteten Beteiligung der betreffenden Person an schwerer Kriminalität zu wecken, die – zumindest mittelbar – einen objektiven Zusammenhang mit der Beförderung von Fluggästen aufweist, während dieses Erfordernis bei terroristischen Straftaten, die einen solchen Zusammenhang aufweisen, erfüllt ist, wenn es objektive Anhaltspunkte dafür gibt, dass die PNR-Daten in einem konkreten Fall einen wirksamen Beitrag zur Bekämpfung derartiger Straftaten leisten könnten.
221 Was schließlich die das Verfahren betreffenden Voraussetzungen für die Zurverfügungstellung und die Verarbeitung von PNR-Daten zum Zweck ihrer nachträglichen Überprüfung angeht, verlangt Art. 12 Abs. 3 Buchst. b der PNR-Richtlinie für den Fall einer Anfrage, die nach Ablauf einer Frist von sechs Monaten ab der Übermittlung der PNR-Daten an die PNR-Zentralstelle erfolgt – so dass nach Art. 12 Abs. 2 die PNR-Daten durch Unkenntlichmachung der dort genannten Datenelemente depersonalisiert wurden –, dass die Offenlegung der vollständigen PNR-Daten, d. h. die Übermittlung einer nicht depersonalisierten Fassung, durch eine Justizbehörde oder eine andere nationale Behörde, die dafür nach nationalem Recht zuständig ist, genehmigt wird. In diesem Kontext haben die genannten Behörden die Begründetheit der Anfrage in vollem Umfang zu prüfen; ihre Prüfung muss sich insbesondere darauf erstrecken, ob die zur Stützung der Anfrage vorgelegten Beweise geeignet sind, die in der vorstehenden Randnummer genannte materielle Voraussetzung des Vorliegens eines „berechtigten Grundes“ zu untermauern.
222 Für den Fall, in dem die nachträgliche Zurverfügungstellung und Überprüfung der PNR-Daten vor Ablauf der Frist von sechs Monaten nach ihrer Übermittlung angefragt werden, sieht Art. 6 Abs. 2 Buchst. b der PNR-Richtlinie zwar eine solche das Verfahren betreffende Voraussetzung nicht ausdrücklich vor. Bei der Auslegung der genannten Bestimmung ist jedoch der 25. Erwägungsgrund der PNR-Richtlinie zu berücksichtigen, aus dem hervorgeht, dass der Unionsgesetzgeber mit dieser das Verfahren betreffenden Voraussetzung für den Zugang zu PNR-Daten in einer Form, die eine unmittelbare Identifizierung der betroffenen Person ermöglicht, „das höchste Datenschutzniveau … gewährleisten“ wollte. Jede Anfrage zwecks nachträglicher Zurverfügungstellung und Überprüfung geht aber mit einem solchen Zugang zu diesen Daten einher, unabhängig davon, ob die Anfrage vor Ablauf der Sechsmonatsfrist nach Übermittlung der PNR-Daten an die PNR-Zentralstelle oder nach deren Ablauf gestellt wird.
223 Um in der Praxis die uneingeschränkte Achtung der Grundrechte in dem durch die PNR-Richtlinie geschaffenen System und insbesondere die oben in den Rn. 218 und 219 genannten Bedingungen zu gewährleisten, ist es insbesondere unabdingbar, dass die Zurverfügungstellung der PNR-Daten zum Zweck einer nachträglichen Überprüfung grundsätzlich – außer in hinreichend begründeten Eilfällen – einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterworfen wird und dass die Entscheidung dieses Gerichts oder dieser Stelle im Anschluss an einen mit Gründen versehenen Antrag ergeht, der von den zuständigen Behörden insbesondere im Rahmen von Verfahren zur Verhütung, Aufdeckung oder Verfolgung von Straftaten gestellt wird. In hinreichend begründeten Eilfällen muss die Kontrolle kurzfristig erfolgen (vgl. entsprechend Gutachten 1/15 [PNR-Abkommen EU–Kanada] vom 26. Juli 2017, EU:C:2017:592, Rn. 202 und die dort angeführte Rechtsprechung, sowie Urteil vom 5. April 2022, Commissioner of An Garda Síochána u. a., C‑140/20, EU:C:2022:258, Rn. 110).
224 Unter diesen Umständen muss das in Art. 12 Abs. 3 Buchst. b der PNR-Richtlinie für Anfragen zwecks Zurverfügungstellung der PNR-Daten, die nach Ablauf der Sechsmonatsfrist ab der Übermittlung dieser Daten an die PNR-Zentralstelle gestellt werden, vorgesehene Erfordernis einer vorherigen Kontrolle mutatis mutandis gelten, wenn die Anfrage vor Ablauf dieser Frist gestellt wird.
225 Überdies geht zwar aus Art. 12 Abs. 3 Buchst. b der PNR-Richtlinie nicht ausdrücklich hervor, welchen Anforderungen die mit der vorherigen Kontrolle betraute Behörde genügen muss. Nach ständiger Rechtsprechung muss diese Behörde jedoch, um sicherzustellen, dass sich der mit einem Zugang zu personenbezogenen Daten verbundene Eingriff in die durch die Art. 7 und 8 der Charta garantierten Grundrechte auf das absolut Notwendige beschränkt, über alle Befugnisse verfügen und alle Garantien aufweisen, die erforderlich sind, um zu gewährleisten, dass die verschiedenen einander gegenüberstehenden Interessen und Rechte miteinander in Einklang gebracht werden. Speziell im Fall strafrechtlicher Ermittlungen verlangt eine solche Kontrolle, dass die Behörde in der Lage ist, für einen gerechten Ausgleich zwischen den Interessen, die sich aus den Erfordernissen der Ermittlungen im Rahmen der Kriminalitätsbekämpfung ergeben, und den Grundrechten auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten der Personen, auf deren Daten zugegriffen wird, zu sorgen (Urteil vom 5. April 2022, Commissioner of An Garda Síochána u. a., C‑140/20, EU:C:2022:258, Rn. 107 und die dort angeführte Rechtsprechung).
226 Hierzu muss eine solche Behörde über eine Stellung verfügen, die es ihr erlaubt, bei der Wahrnehmung ihrer Aufgaben objektiv und unparteiisch zu handeln, ohne jede Einflussnahme von außen. Das Erfordernis der Unabhängigkeit gebietet, dass es sich bei ihr um eine andere Stelle als die den Zugang zu den Daten begehrende Behörde handelt, damit diese Stelle in der Lage ist, ihre Kontrolle objektiv und unparteiisch, geschützt vor jeder Einflussnahme von außen, auszuüben. Im strafrechtlichen Bereich impliziert das Erfordernis der Unabhängigkeit insbesondere, dass die mit der vorherigen Kontrolle betraute Behörde zum einen nicht an der Durchführung des fraglichen Ermittlungsverfahrens beteiligt ist und zum anderen eine Position der Neutralität gegenüber den Beteiligten am Strafverfahren hat (vgl. in diesem Sinne Urteil vom 5. April 2022, Commissioner of An Garda Síochána u. a., C‑140/20, EU:C:2022:258, Rn. 108 und die dort angeführte Rechtsprechung).
227 Folglich lassen sich die Bestimmungen der PNR-Richtlinie über die nachträgliche Zurverfügungstellung und Überprüfung der PNR-Daten gemäß Art. 6 Abs. 2 Buchst. b der Richtlinie in einer Weise auslegen, die mit den Art. 7 und 8 sowie mit Art. 52 Abs. 1 der Charta im Einklang steht und die Grenzen des absolut Notwendigen einhält.
228 Nach alledem hat, da eine Auslegung der PNR-Richtlinie im Licht der Art. 7, 8 und 21 sowie von Art. 52 Abs. 1 der Charta die Vereinbarkeit dieser Richtlinie mit den genannten Artikeln der Charta gewährleistet, die Prüfung der Fragen 2 bis 4 und 6 nichts ergeben, was die Gültigkeit der Richtlinie berühren könnte.
C. Zur fünften Frage
229 Mit seiner fünften Frage möchte das vorlegende Gericht wissen, ob Art. 6 der PNR-Richtlinie im Licht der Art. 7 und 8 sowie von Art. 52 Abs. 1 der Charta dahin auszulegen ist, dass er nationalen Rechtsvorschriften entgegensteht, nach denen die Verarbeitung der PNR-Daten, die im Einklang mit der Richtlinie erhoben wurden, zur Beaufsichtigung von Aktivitäten durch die Nachrichten- und Sicherheitsdienste zulässig ist.
230 Aus dem Vorabentscheidungsersuchen geht hervor, dass diese Frage des vorlegenden Gerichts insbesondere Aktivitäten betrifft, mit denen die Sûreté de l’État (Staatssicherheit, Belgien) und der Service général du renseignement et de la sécurité (Allgemeiner Nachrichten- und Sicherheitsdienst, Belgien) im Rahmen ihrer jeweiligen den Schutz der nationalen Sicherheit betreffenden Aufgaben befasst sind.
231 Insoweit hat der Unionsgesetzgeber, damit die insbesondere in Art. 52 Abs. 1 der Charta genannten Grundsätze der Gesetzmäßigkeit und der Verhältnismäßigkeit gewahrt werden, klare und präzise Regeln für die Ziele der in der PNR-Richtlinie vorgesehenen Maßnahmen aufgestellt, die mit Eingriffen in die durch die Art. 7 und 8 der Charta garantierten Grundrechte verbunden sind.
232 In Art. 1 Abs. 2 der PNR-Richtlinie heißt es nämlich ausdrücklich, dass die nach Maßgabe dieser Richtlinie erhobenen PNR-Daten „ausschließlich zum Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität gemäß Artikel 6 Absatz 2 Buchstaben a, b und c [dieser Richtlinie]“ verarbeitet werden dürfen. Die letztgenannte Bestimmung bestätigt den in Art. 1 Abs. 2 aufgestellten Grundsatz, indem sie systematisch auf die Begriffe „terroristische Straftat“ und „schwere Kriminalität“ Bezug nimmt.
233 Aus dem Wortlaut dieser Bestimmungen geht somit klar hervor, dass die darin enthaltene Aufzählung der mit der Verarbeitung von PNR-Daten gemäß der PNR-Richtlinie verfolgten Ziele abschließend ist.
234 Diese Auslegung wird insbesondere durch den elften Erwägungsgrund der PNR-Richtlinie bestätigt, wonach die Verarbeitung von PNR-Daten in einem angemessenen Verhältnis zu den mit der Richtlinie verfolgten „bestimmten Sicherheitsinteressen“ stehen sollte, und durch ihren Art. 7 Abs. 4, wonach die PNR-Daten und die Ergebnisse ihrer Verarbeitung, die aus der PNR-Zentralstelle eingehen, „ausschließlich zum bestimmten Zweck der Verhütung, Aufdeckung, Ermittlung oder Verfolgung terroristischer Straftaten oder schwerer Kriminalität“ weiterverarbeitet werden dürfen.
235 Überdies folgt aus dem abschließenden Charakter der in Art. 1 Abs. 2 der PNR-Richtlinie genannten Ziele, dass die PNR-Daten auch nicht in einer einheitlichen Datenbank gespeichert werden dürfen, die zur Verfolgung sowohl dieser als auch anderer Ziele konsultiert werden kann. Die Speicherung dieser Daten in einer solchen Datenbank brächte nämlich die Gefahr einer Verwendung der Daten zu anderen als den in Art. 1 Abs. 2 genannten Zwecken mit sich.
236 Da im vorliegenden Fall nach den Angaben des vorlegenden Gerichts die im Ausgangsverfahren in Rede stehenden nationalen Rechtsvorschriften als Zweck der Verarbeitung der PNR-Daten die Beaufsichtigung der erwähnten Aktivitäten durch die Nachrichten- und Sicherheitsdienste zulassen und damit diesen Zweck in die Verhütung, Aufdeckung, Ermittlung und Verfolgung terroristischer Straftaten und schwerer Kriminalität einbeziehen, missachten diese Rechtsvorschriften möglicherweise den abschließenden Charakter der Aufzählung der mit der Verarbeitung von PNR-Daten nach der PNR-Richtlinie verfolgten Ziele; dies zu prüfen ist Sache des vorlegenden Gerichts.
237 Daher ist auf die fünfte Frage zu antworten, dass Art. 6 der PNR-Richtlinie im Licht der Art. 7 und 8 sowie von Art. 52 Abs. 1 der Charta dahin auszulegen ist, dass er nationalen Rechtsvorschriften entgegensteht, nach denen die Verarbeitung der PNR-Daten, die im Einklang mit dieser Richtlinie erhoben wurden, zu anderen als den in Art. 1 Abs. 2 der Richtlinie ausdrücklich genannten Zwecken zulässig ist.
D. Zur siebten Frage
238 Mit seiner siebten Frage möchte das vorlegende Gericht wissen, ob Art. 12 Abs. 3 Buchst. b der PNR-Richtlinie dahin auszulegen ist, dass er nationalen Rechtsvorschriften entgegensteht, nach denen die als PNR-Zentralstelle errichtete Behörde zugleich die für die Genehmigung der Offenlegung der PNR-Daten nach Ablauf der Frist von sechs Monaten ab ihrer Übermittlung an die PNR-Zentralstelle zuständige nationale Behörde ist.
239 Die belgische Regierung hat Zweifel an der Zuständigkeit des Gerichtshofs für die Beantwortung dieser Frage in ihrer vom vorlegenden Gericht gewählten Formulierung geäußert, da allein dieses Gericht für die Auslegung der nationalen Vorschriften und insbesondere die Würdigung der Anforderungen, die sich aus dem Gesetz vom 25. Dezember 2016 ergeben, im Hinblick auf Art. 12 Abs. 3 Buchst. b der PNR-Richtlinie zuständig sei.
240 Hierzu genügt die Feststellung, dass das vorlegende Gericht mit seiner Frage um die Auslegung einer Vorschrift des Unionsrechts ersucht. Außerdem ist zwar im Rahmen eines nach Art. 267 AEUV eingeleiteten Verfahrens die Auslegung der nationalen Vorschriften Sache der Gerichte der Mitgliedstaaten und nicht des Gerichtshofs, und es kommt ihm nicht zu, sich zur Vereinbarkeit von Vorschriften des innerstaatlichen Rechts mit den Bestimmungen des Unionsrechts zu äußern; der Gerichtshof ist aber befugt, dem nationalen Gericht alle Hinweise zur Auslegung des Unionsrechts zu geben, die es diesem Gericht ermöglichen, die Vereinbarkeit solcher Vorschriften mit dem Unionsrecht zu beurteilen (Urteil vom 30. April 2020, CTT – Correios de Portugal, C‑661/18, EU:C:2020:335, Rn. 28 und die dort angeführte Rechtsprechung). Daraus folgt, dass der Gerichtshof für die Beantwortung der siebten Frage zuständig ist.
241 In der Sache ist festzustellen, dass der Wortlaut von Art. 12 Abs. 3 Buchst. b der PNR-Richtlinie, in dessen Ziff. i und ii von einer „Justizbehörde“ und einer „andere[n] nationale[n] Behörde, die nach nationalem Recht dafür zuständig ist zu überprüfen, ob die Bedingungen für die Offenlegung erfüllt sind“, die Rede ist, diese beiden Behörden auf die gleiche Stufe stellt, wie sich aus der Verwendung der Konjunktion „oder“ zwischen den Ziff. i und ii ergibt. Aus diesem Wortlaut ergibt sich somit, dass die „andere“ zuständige nationale Behörde eine Alternative zur Justizbehörde darstellt und daher ein mit ihr vergleichbares Niveau an Unabhängigkeit und Unparteilichkeit aufweisen muss.
242 Dieses Ergebnis wird durch das im 25. Erwägungsgrund der PNR-Richtlinie genannte Ziel bestätigt, hinsichtlich des Zugriffs auf die vollständigen PNR-Daten, die eine unmittelbare Identifizierung der betroffenen Person ermöglichen, das höchste Datenschutzniveau zu gewährleisten. Ferner heißt es dort, dass ein solcher Zugriff nach Ablauf der Frist von sechs Monaten ab Übermittlung der PNR-Daten an die PNR-Zentralstelle nur unter sehr strengen Bedingungen gewährt werden sollte.
243 Das genannte Ergebnis wird zudem durch die Entstehungsgeschichte der PNR-Richtlinie bestätigt. Während nämlich der oben in Rn. 155 erwähnte Richtlinienvorschlag, auf dem die PNR-Richtlinie beruht, lediglich vorsah, dass „[d]er Zugriff auf die vollständigen PNR-Daten … vom Leiter der PNR-Zentralstelle genehmigt werden muss“, werden in der letztlich vom Unionsgesetzgeber gewählten Fassung von Art. 12 Abs. 3 Buchst. b der Richtlinie die Justizbehörde und eine „andere nationale Behörde“, die für die Prüfung zuständig ist, ob die Bedingungen für die Offenlegung der vollständigen PNR-Daten erfüllt sind, benannt und auf die gleiche Stufe gestellt.
244 Überdies und vor allem ist es im Einklang mit der oben in den Rn. 223, 225 und 226 angeführten ständigen Rechtsprechung unabdingbar, dass der Zugriff der zuständigen Behörden auf die gespeicherten Daten einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterworfen wird und dass die Entscheidung dieses Gerichts oder dieser Stelle im Anschluss an einen mit Gründen versehenen Antrag ergeht, der von diesen Behörden insbesondere im Rahmen von Verfahren zur Verhütung, Aufdeckung oder Verfolgung von Straftaten gestellt wird. Das Erfordernis der Unabhängigkeit der mit der Wahrnehmung der vorherigen Kontrolle betrauten Stelle gebietet es zudem, dass sie gegenüber der den Zugriff auf die Daten begehrenden Behörde die Eigenschaft eines Dritten hat, damit diese Stelle in der Lage ist, ihre Kontrolle in objektiver und unparteiischer Weise, geschützt vor jeder Einflussnahme von außen, auszuüben. Insbesondere impliziert das Erfordernis der Unabhängigkeit im strafrechtlichen Bereich, dass die mit der vorherigen Kontrolle betraute Behörde zum einen nicht an der Durchführung des fraglichen Ermittlungsverfahrens beteiligt ist und zum anderen eine Position der Neutralität gegenüber den Beteiligten am Strafverfahren einnimmt.
245 Wie der Generalanwalt in Nr. 271 seiner Schlussanträge ausgeführt hat, sieht Art. 4 der PNR-Richtlinie in seinen Abs. 1 und 3 vor, dass die in jedem Mitgliedstaat errichtete oder benannte PNR-Zentralstelle eine für die Verhütung, Aufdeckung, Ermittlung und Verfolgung terroristischer Straftaten und schwerer Kriminalität zuständige Behörde ist und dass ihr Personal aus zu diesem Zweck abgeordneten Mitarbeitern zuständiger Behörden im Sinne von Art. 7 der Richtlinie bestehen kann, so dass die PNR-Zentralstelle zwangsläufig mit diesen Behörden verbunden ist. Die PNR-Zentralstelle kann zudem nach Art. 6 Abs. 2 Buchst. b der Richtlinie PNR-Daten verarbeiten und stellt die Ergebnisse dieser Verarbeitung den genannten Behörden zur Verfügung. In Anbetracht dessen kann nicht davon ausgegangen werden, dass die PNR-Zentralstelle gegenüber diesen Behörden die Eigenschaft eines Dritten hat und damit alle Merkmale der Unabhängigkeit und Unparteilichkeit aufweist, die erforderlich sind, um die in der vorstehenden Randnummer genannte vorherige Kontrolle auszuüben und zu prüfen, ob die in Art. 12 Abs. 3 Buchst. b der Richtlinie vorgesehenen Voraussetzungen für die Offenlegung der vollständigen PNR-Daten erfüllt sind.
246 Im Übrigen vermag der Umstand, dass die letztgenannte Bestimmung in Ziff. ii für den Fall der Genehmigung einer Offenlegung der vollständigen PNR-Daten durch eine „andere nationale Behörde“ den Vorbehalt „der Unterrichtung des Datenschutzbeauftragten der PNR-Zentralstelle und einer Ex-Post-Überprüfung durch diesen Datenschutzbeauftragten“ aufstellt, während dies bei der Genehmigung durch eine Justizbehörde nicht der Fall ist, diese Beurteilung nicht in Frage zu stellen. Nach gefestigter Rechtsprechung ermöglicht eine nachträgliche Kontrolle wie die vom Datenschutzbeauftragten vorgenommene es nämlich nicht, das Ziel der vorherigen Kontrolle zu erreichen, das darin besteht, zu verhindern, dass ein über das absolut Notwendige hinausgehender Zugang zu den fraglichen Daten genehmigt wird (vgl. in diesem Sinne Urteil vom 5. April 2022, Commissioner of An Garda Síochána u. a., C‑140/20, EU:C:2022:258, Rn. 110 und die dort angeführte Rechtsprechung).
247 Nach alledem ist auf die siebte Frage zu antworten, dass Art. 12 Abs. 3 Buchst. b der PNR-Richtlinie dahin auszulegen ist, dass er nationalen Rechtsvorschriften entgegensteht, nach denen die als PNR-Zentralstelle errichtete Behörde zugleich die für die Genehmigung der Offenlegung der PNR-Daten nach Ablauf der Frist von sechs Monaten ab ihrer Übermittlung an die PNR-Zentralstelle zuständige nationale Behörde ist.
E. Zur achten Frage
248 Mit seiner achten Frage möchte das vorlegende Gericht wissen, ob Art. 12 der PNR-Richtlinie in Verbindung mit den Art. 7 und 8 sowie mit Art. 52 Abs. 1 der Charta dahin auszulegen ist, dass er nationalen Rechtsvorschriften entgegensteht, die eine allgemeine Speicherfrist der PNR-Daten von fünf Jahren vorsehen, ohne danach zu unterscheiden, ob die betreffenden Fluggäste eine Gefahr im Bereich terroristischer Straftaten oder schwerer Kriminalität darstellen oder nicht.
249 Nach Art. 12 Abs. 1 und 4 dieser Richtlinie werden von der PNR-Zentralstelle des Mitgliedstaats, in dessen Hoheitsgebiet der betreffende Flug angekommen bzw. von dem er abgegangen ist, die von den Fluggesellschaften übermittelten PNR-Daten für einen Zeitraum von fünf Jahren ab ihrer Übermittlung an diese Stelle in einer Datenbank vorgehalten und nach Ablauf dieses Zeitraums von fünf Jahren dauerhaft gelöscht.
250 Im 25. Erwägungsgrund der PNR-Richtlinie heißt es: „Der Zeitraum, für den die PNR-Daten vorgehalten werden sollen, sollte so lang sein, wie dies für den mit ihnen verfolgten Zweck der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten sowie schwerer Kriminalität erforderlich ist, und in einem angemessenen Verhältnis dazu stehen.“
251 Folglich ist die Speicherung von PNR-Daten nach Art. 12 Abs. 1 der PNR-Richtlinie nicht gerechtfertigt, wenn kein objektiver Zusammenhang zwischen dieser Speicherung und den mit der Richtlinie verfolgten Zielen der Bekämpfung terroristischer Straftaten und schwerer Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit der Beförderung von Fluggästen besteht.
252 Insoweit ist, wie sich aus dem 25. Erwägungsgrund der PNR-Richtlinie ergibt, zwischen der ursprünglichen Speicherfrist von sechs Monaten (Art. 12 Abs. 2 der Richtlinie) und dem Folgezeitraum (Art. 12 Abs. 3 der Richtlinie) zu unterscheiden.
253 Bei der Auslegung von Art. 12 Abs. 1 der PNR-Richtlinie sind die Bestimmungen in dessen Abs. 2 und 3 zu berücksichtigen, die die Speicherung der vorgehaltenen PNR-Daten und den Zugriff auf sie nach Ablauf der ursprünglichen Speicherfrist von sechs Monaten regeln. Wie aus dem 25. Erwägungsgrund der Richtlinie hervorgeht, kommt in diesen Bestimmungen zum einen das Ziel zum Ausdruck, sicherzustellen, dass die PNR-Daten „so lange gespeichert werden … wie nötig, um sie auswerten und für [die bereits während der ursprünglichen Speicherfrist von sechs Monaten durchführbaren] Ermittlungen nutzen zu können“. Zum anderen sollen sie nach den Ausführungen im 25. Erwägungsgrund durch die Unkenntlichmachung der Daten „einen unverhältnismäßigen Rückgriff“ auf diese ausschließen und „das höchste Datenschutzniveau … gewährleisten“, indem der Zugriff auf die Daten in einer Form, die eine unmittelbare Identifizierung der betroffenen Person ermöglicht, „nach dieser anfänglichen Frist nur unter eingeschränkten, sehr strengen Bedingungen“ gewährt wird; damit wird der Tatsache Rechnung getragen, dass der mit der Speicherung der PNR-Daten verbundene Eingriff umso schwerwiegender ist, je länger die Speicherung dauert.
254 Die Unterscheidung zwischen der ursprünglichen Speicherfrist von sechs Monaten (Art. 12 Abs. 2 der PNR-Richtlinie) und dem Folgezeitraum (Art. 12 Abs. 3 der Richtlinie) gilt aber auch für die nötige Beachtung der oben in Rn. 251 genannten Anforderung.
255 Während des ursprünglichen Zeitraums von sechs Monaten ist somit – angesichts der Ziele der PNR-Richtlinie und der Erfordernisse der Ermittlungs- und Verfolgungsmaßnahmen im Bereich terroristischer Straftaten und schwerer Kriminalität – davon auszugehen, dass die Speicherung der PNR-Daten aller Fluggäste, für die das durch die Richtlinie geschaffene System gilt, grundsätzlich auch dann nicht die Grenzen des absolut Notwendigen überschreitet, wenn es keine Anhaltspunkte für ihre Beteiligung an terroristischen Straftaten oder schwerer Kriminalität gibt, da sie es ermöglicht, die nötigen Recherchen zur Ermittlung von Personen anzustellen, die nicht im Verdacht standen, an terroristischen Straftaten oder schwerer Kriminalität beteiligt zu sein.
256 Hinsichtlich des von Art. 12 Abs. 3 der PNR-Richtlinie erfassten Folgezeitraums steht die Speicherung der PNR-Daten aller Fluggäste, für die das durch die Richtlinie geschaffene System gilt – abgesehen davon, dass ihr aufgrund der großen Menge an Daten, die kontinuierlich gespeichert werden können, Risiken unverhältnismäßiger Nutzung und des Missbrauchs innewohnen (vgl. entsprechend Urteil vom 6. Oktober 2020, La Quadrature du Net u. a., C‑511/18, C‑512/18 und C‑520/18, EU:C:2020:791, Rn. 119) –, dagegen im Widerspruch zu dem im 25. Erwägungsgrund der Richtlinie aufgestellten Erfordernis, wonach der Zeitraum, in dem die PNR-Daten vorgehalten werden, nur so lang sein sollte, wie es für den mit ihnen verfolgten Zweck erforderlich ist, und in einem angemessenen Verhältnis dazu stehen sollte, da der Unionsgesetzgeber das höchste Datenschutzniveau für PNR-Daten schaffen wollte, die eine unmittelbare Identifizierung der betroffenen Personen ermöglichen.
257 Im Fall von Fluggästen, bei denen weder die Vorabüberprüfung nach Art. 6 Abs. 2 Buchst. a der PNR-Richtlinie noch etwaige Überprüfungen während der in Art. 12 Abs. 2 dieser Richtlinie genannten Frist von sechs Monaten oder irgendein anderer Umstand objektive Anhaltspunkte geliefert haben, die eine Gefahr im Bereich terroristischer Straftaten oder schwerer Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit ihrer Flugreise belegen können, ist nämlich unter solchen Umständen kein auch nur mittelbarer Zusammenhang zwischen den PNR-Daten dieser Fluggäste und dem mit der Richtlinie verfolgten Ziel ersichtlich, der die Speicherung der Daten rechtfertigen würde (vgl. entsprechend Gutachten 1/15 [PNR-Abkommen EU–Kanada] vom 26. Juli 2017, EU:C:2017:592, Rn. 204 und 205).
258 Die kontinuierliche Speicherung der PNR-Daten sämtlicher Fluggäste nach dem ursprünglichen Zeitraum von sechs Monaten beschränkt sich somit nicht auf das absolut Notwendige (vgl. entsprechend Gutachten 1/15 [PNR-Abkommen EU‑Kanada] vom 26. Juli 2017, EU:C:2017:592, Rn. 206).
259 Gibt es in besonderen Fällen objektive Anhaltspunkte – wie bei den PNR-Daten der Fluggäste, die zu einem überprüften Treffer geführt haben – dafür, dass von bestimmten Fluggästen eine Gefahr im Bereich terroristischer Straftaten oder schwerer Kriminalität ausgehen könnte, erscheint eine Speicherung ihrer PNR-Daten über den ursprünglichen Zeitraum hinaus jedoch zulässig (vgl. entsprechend Gutachten 1/15 [PNR-Abkommen EU–Kanada] vom 26. Juli 2017, EU:C:2017:592, Rn. 207 und die dort angeführte Rechtsprechung).
260 Das Vorliegen dieser objektiven Anhaltspunkte wäre nämlich geeignet, einen Zusammenhang mit den Zielen herzustellen, die mit den Verarbeitungen gemäß der PNR-Richtlinie verfolgt werden, so dass die Speicherung der PNR-Daten dieser Fluggäste während des nach der Richtlinie maximal zulässigen Zeitraums von fünf Jahren gerechtfertigt wäre.
261 Da die im Ausgangsverfahren in Rede stehenden Rechtsvorschriften offenbar eine allgemeine Speicherfrist der PNR-Daten von fünf Jahren vorsehen, die unterschiedslos für alle Fluggäste gilt, einschließlich derjenigen, bei denen weder die Vorabüberprüfung nach Art. 6 Abs. 2 Buchst. a der PNR-Richtlinie noch etwaige Überprüfungen während des ursprünglichen Zeitraums von sechs Monaten oder irgendein anderer Umstand objektive Anhaltspunkte geliefert haben, die eine Gefahr im Bereich terroristischer Straftaten oder schwerer Kriminalität belegen können, verstoßen diese Rechtsvorschriften im Licht der Art. 7 und 8 sowie von Art. 52 Abs. 1 der Charta gegen Art. 12 Abs. 1 der Richtlinie, es sei denn, sie können in einer mit diesen Bestimmungen vereinbaren Weise ausgelegt werden; dies zu prüfen ist Sache des vorlegenden Gerichts.
262 In Anbetracht der vorstehenden Erwägungen ist auf die achte Frage zu antworten, dass Art. 12 Abs. 1 der PNR-Richtlinie in Verbindung mit den Art. 7 und 8 sowie mit Art. 52 Abs. 1 der Charta dahin auszulegen ist, dass er nationalen Rechtsvorschriften entgegensteht, die eine allgemeine Speicherfrist der PNR-Daten von fünf Jahren vorsehen, die unterschiedslos für alle Fluggäste gilt, einschließlich derjenigen, bei denen weder die Vorabüberprüfung nach Art. 6 Abs. 2 Buchst. a der PNR-Richtlinie noch etwaige Überprüfungen während des in Art. 12 Abs. 2 der Richtlinie genannten Zeitraums von sechs Monaten oder irgendein anderer Umstand objektive Anhaltspunkte geliefert haben, die eine Gefahr im Bereich terroristischer Straftaten oder schwerer Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit der Reise der Fluggäste belegen können.
F. Zu Buchst. a der neunten Frage
263 Mit Buchst. a seiner neunten Frage möchte das vorlegende Gericht wissen, ob die API-Richtlinie gemessen an Art. 3 Abs. 2 EUV und Art. 45 der Charta gültig ist, ausgehend von der Prämisse, dass die mit dieser Richtlinie eingeführten Verpflichtungen für EU-Flüge gelten.
264 Wie der Generalanwalt in Nr. 277 seiner Schlussanträge ausgeführt hat und wie der Rat, die Kommission und mehrere Regierungen dargelegt haben, ist diese Prämisse falsch.
265 Art. 3 Abs. 1 der API-Richtlinie sieht nämlich vor, dass die Mitgliedstaaten die erforderlichen Schritte unternehmen müssen, um die Beförderungsunternehmen zu verpflichten, auf Anfrage der mit der Durchführung der Personenkontrollen an den Außengrenzen beauftragten Behörden bei Abschluss des Check-in die Angaben über die Personen zu übermitteln, die sie zu einer zugelassenen Grenzübergangsstelle befördern werden, über die diese Personen in das Hoheitsgebiet eines Mitgliedstaats einreisen werden. Diese Daten werden nach Art. 6 Abs. 1 der Richtlinie an die mit der Durchführung von Kontrollen an den Außengrenzen, über die die beförderte Person in dieses Hoheitsgebiet einreisen wird, beauftragten Behörden übermittelt und werden unter den in dieser Bestimmung vorgesehenen Bedingungen verarbeitet.
266 Aus diesen Bestimmungen geht im Licht der Definitionen der Begriffe „Beförderungsunternehmen“, „Außengrenzen“ und „Grenzübergangsstelle“ in Art. 2 Buchst. a, b und d der API-Richtlinie klar hervor, dass die Richtlinie die Luftfahrtunternehmen zur Übermittlung der in ihrem Art. 3 Abs. 2 genannten Daten an die mit der Durchführung von Kontrollen an den Außengrenzen, über die die beförderte Person in dieses Hoheitsgebiet einreisen wird, beauftragten Behörden nur für Flüge verpflichtet, bei denen die Fluggäste zu einem für das Überschreiten der Außengrenzen der Mitgliedstaaten zu Drittstaaten zugelassenen Übergang befördert werden, und nur für die Verarbeitung der diese Flüge betreffenden Daten.
267 Dagegen erlegt die Richtlinie keine Verpflichtung in Bezug auf Fluggastdatensätze bei Flügen auf, die nur Binnengrenzen zwischen den Mitgliedstaaten überschreiten.
268 Hinzuzufügen ist, dass dadurch, dass die PNR-Richtlinie, wie aus ihrem neunten Erwägungsgrund und ihrem Art. 8 Abs. 2 hervorgeht, die von Art. 3 Abs. 2 der API-Richtlinie erfassten, im Einklang mit dieser Richtlinie erhobenen und von bestimmten Fluggesellschaften vorgehaltenen Daten in die PNR-Daten einbezieht und dass die PNR-Richtlinie den Mitgliedstaaten in ihrem Art. 2 die Befugnis einräumt, sie auf die von den Mitgliedstaaten festgelegten EU-Flüge anzuwenden, weder die Tragweite der Bestimmungen der API-Richtlinie noch die sich aus ihr ergebenden Beschränkungen geändert werden.
269 Nach alledem ist auf Buchst. a der neunten Frage zu antworten, dass die API-Richtlinie dahin auszulegen ist, dass sie nicht für EU-Flüge gilt.
G. Zu Buchst. b der neunten Frage
270 In Buchst. b seiner neunten Frage nimmt das vorlegende Gericht zwar auf die API-Richtlinie in Verbindung mit Art. 3 Abs. 2 EUV und Art. 45 der Charta Bezug, doch geht aus dem Vorabentscheidungsersuchen hervor, dass es wissen möchte, ob das durch das Gesetz vom 25. Dezember 2016 eingeführte System der Übermittlung und Verarbeitung von Passagierdaten, das für Beförderungen innerhalb der Union nach oder aus Belgien ohne Überschreitung der Außengrenzen zu Drittstaaten gilt, und zwar nicht nur für Beförderungen auf dem Luftweg, sondern auch für Beförderungen auf dem Schienen‑, Land- oder Wasserweg, mit der im Unionsrecht vorgesehenen Freizügigkeit und der Abschaffung der Kontrollen an den Binnengrenzen vereinbar ist.
271 Da die API-Richtlinie, wie oben in den Rn. 265 bis 269 dargelegt, nicht für EU-Flüge gilt und keine Pflicht zur Übermittlung und Verarbeitung der Daten von beförderten Personen vorsieht, die auf dem Luftweg oder mit einem anderen Beförderungsmittel innerhalb der Union reisen, ohne die Außengrenzen zu Drittstaaten zu überschreiten, ist sie für die Beantwortung dieser Frage nicht relevant.
272 Obwohl die Union nach Art. 67 Abs. 2 AEUV sicherstellt, dass Personen an den Binnengrenzen nicht kontrolliert werden, ermächtigt Art. 2 der PNR-Richtlinie, auf den sich der belgische Gesetzgeber nach den Angaben im Vorabentscheidungsersuchen beim Erlass des im Ausgangsverfahren in Rede stehenden Gesetzes vom 25. Dezember 2016 gestützt hat, die Mitgliedstaaten hingegen zur Anwendung dieser Richtlinie auf EU-Flüge.
273 Unter diesen Umständen ist Buchst. b der neunten Frage, um dem vorlegenden Gericht eine sachdienliche Antwort zu geben, in der Weise umzuformulieren, dass geklärt werden soll, ob das Unionsrecht, insbesondere Art. 2 der PNR-Richtlinie, im Licht von Art. 3 Abs. 2 EUV, Art. 67 Abs. 2 AEUV und Art. 45 der Charta dahin auszulegen ist, dass es nationalen Rechtsvorschriften entgegensteht, die ein System vorsehen, wonach die PNR-Daten der Flüge und anderweitigen Beförderungen innerhalb der Union, die in den, aus dem oder durch den Mitgliedstaat, der die betreffenden Rechtsvorschriften erlassen hat, durchgeführt werden, von den Beförderungsunternehmen und Reiseunternehmen übermittelt und von den zuständigen Behörden verarbeitet werden.
274 Zunächst ist in Art. 45 der Charta die Freizügigkeit verankert, die im Übrigen eine der Grundfreiheiten des Binnenmarkts darstellt (vgl. in diesem Sinne Urteil vom 22. Juni 2021, Ordre des barreaux francophones et germanophone u. a. [Präventive Maßnahmen im Hinblick auf eine Ausweisung], C‑718/19, EU:C:2021:505, Rn. 54).
275 Dieser Artikel gewährleistet in Abs. 1 das Recht jedes Unionsbürgers, sich im Hoheitsgebiet der Mitgliedstaaten frei zu bewegen und aufzuhalten. Dieses Recht, entspricht nach den Erläuterungen zur Charta der Grundrechte (ABl. 2007, C 303, S. 17) dem in Art. 20 Abs. 2 Unterabs. 1 Buchst. a AEUV garantierten Recht und wird gemäß Art. 20 Abs. 2 Unterabs. 2 AEUV und Art. 52 Abs. 2 der Charta unter den Bedingungen und innerhalb der Grenzen ausgeübt, die in den Verträgen und durch die in Anwendung der Verträge erlassenen Maßnahmen festgelegt sind.
276 Sodann bietet die Union nach Art. 3 Abs. 2 EUV ihren Bürgerinnen und Bürgern einen Raum der Freiheit, der Sicherheit und des Rechts ohne Binnengrenzen, in dem der freie Personenverkehr gewährleistet ist, in Verbindung mit dem Erlass geeigneter Maßnahmen u. a. in Bezug auf die Kontrollen an den Außengrenzen sowie die Verhütung und Bekämpfung der Kriminalität. Desgleichen stellt die Union nach Art. 67 Abs. 2 AEUV sicher, dass Personen an den Binnengrenzen nicht kontrolliert werden, und entwickelt eine gemeinsame Politik u. a. im Bereich der Kontrollen an den Außengrenzen.
277 Nach ständiger Rechtsprechung des Gerichtshofs stellt eine nationale Regelung, durch die bestimmte Angehörige eines Mitgliedstaats allein deswegen benachteiligt werden, weil sie von ihrer Freiheit, sich in einen anderen Mitgliedstaat zu begeben und sich dort aufzuhalten, Gebrauch gemacht haben, eine Beschränkung der Freiheiten dar, die Art. 45 Abs. 1 der Charta jedem Unionsbürger zuerkennt (vgl. in diesem Sinne, zu Art. 21 Abs. 1 AEUV, Urteile vom 8. Juni 2017, Freitag, C‑541/15, EU:C:2017:432, Rn. 35 und die dort angeführte Rechtsprechung, sowie vom 19. November 2020, ZW, C‑454/19, EU:C:2020:947, Rn. 30).
278 Nationale Rechtsvorschriften wie die im Ausgangsverfahren in Rede stehenden, mit denen das in der PNR-Richtlinie vorgesehene System nicht nur auf Drittstaatsflüge, sondern gemäß Art. 2 Abs. 1 der Richtlinie auch auf EU-Flüge sowie, über den Inhalt dieser Bestimmung hinaus, auf Beförderungen mit anderen Mitteln innerhalb der Union angewandt wird, haben zur Folge, dass die PNR-Daten aller mit diesen Mitteln innerhalb der Union beförderten Personen systematisch und kontinuierlich übermittelt und verarbeitet werden.
279 Wie oben in den Rn. 98 bis 111 festgestellt, führen die Übermittlung und Verarbeitung der Daten der Fluggäste von Drittstaatsflügen und von EU-Flügen aufgrund des durch die PNR-Richtlinie geschaffenen Systems zu fraglos schwerwiegenden Eingriffen in die in den Art. 7 und 8 der Charta verankerten Grundrechte der betroffenen Personen. Die Schwere eines solchen Eingriffs erhöht sich noch, wenn die Anwendung dieses Systems auf andere Beförderungsmittel innerhalb der Union ausgedehnt wird. Solche Eingriffe sind aus den in den genannten Randnummern dargelegten Gründen zudem geeignet, die Staatsangehörigen der Mitgliedstaaten, die solche Rechtsvorschriften vorsehen, und allgemein die Unionsbürger, die diese Beförderungsmittel für Reisen innerhalb der Union aus den oder in die betreffenden Mitgliedstaaten nutzen, zu benachteiligen und infolgedessen davon abzuhalten, von ihrer Freizügigkeit im Sinne von Art. 45 der Charta Gebrauch zu machen, so dass die betreffenden Rechtsvorschriften zu einer Beschränkung dieser Grundfreiheit führen.
280 Nach ständiger Rechtsprechung kann eine Beschränkung der Freizügigkeit nur gerechtfertigt sein, wenn sie auf objektiven Erwägungen beruht und in angemessenem Verhältnis zu dem mit dem nationalen Recht in legitimer Weise verfolgten Ziel steht. Eine Maßnahme ist verhältnismäßig, wenn sie zur Erreichung des verfolgten Ziels geeignet ist und nicht über das hinausgeht, was dafür notwendig ist (vgl. in diesem Sinne Urteil vom 5. Juni 2018, Coman u. a., C‑673/16, EU:C:2018:385, Rn. 41 und die dort angeführte Rechtsprechung).
281 Hinzuzufügen ist, dass eine nationale Maßnahme, die geeignet ist, die Ausübung der Freizügigkeit zu behindern, nur dann gerechtfertigt sein kann, wenn sie mit den durch die Charta verbürgten Grundrechten vereinbar ist, deren Beachtung der Gerichtshof sichert (Urteil vom 14. Dezember 2021, Stolichna obshtina, rayon „Pancharevo“, C‑490/20, EU:C:2021:1008, Rn. 58 und die dort angeführte Rechtsprechung).
282 Insbesondere kann nach der oben in den Rn. 115 und 116 angeführten Rechtsprechung eine dem Gemeinwohl dienende Zielsetzung nicht verfolgt werden, ohne dem Umstand Rechnung zu tragen, dass sie mit den von der Maßnahme betroffenen Grundrechten in Einklang gebracht werden muss, indem eine ausgewogene Gewichtung der dem Gemeinwohl dienenden Zielsetzung und der fraglichen Rechte vorgenommen wird. Insoweit ist die Möglichkeit für die Mitgliedstaaten, eine Einschränkung des durch Art. 45 Abs. 1 der Charta garantierten Grundrechts zu rechtfertigen, zu beurteilen, indem die Schwere des mit einer solchen Einschränkung verbundenen Eingriffs bestimmt und geprüft wird, ob die mit ihr verfolgte dem Gemeinwohl dienende Zielsetzung in angemessenem Verhältnis zur Schwere des Eingriffs steht.
283 Wie oben in Rn. 122 ausgeführt, ist das mit der PNR-Richtlinie verfolgte Ziel der Bekämpfung terroristischer Straftaten und schwerer Kriminalität unzweifelhaft eine dem Gemeinwohl dienende Zielsetzung der Union.
284 In Bezug auf die Frage, ob nationale Rechtsvorschriften, die zur Umsetzung der PNR-Richtlinie erlassen wurden und mit denen das in dieser Richtlinie vorgesehene System auf EU-Flüge und andere Beförderungsmittel innerhalb der Union ausgedehnt wird, zur Erreichung des verfolgten Ziels geeignet sind, geht aus den dem Gerichtshof vorliegenden Akten hervor, dass die Heranziehung der PNR-Daten es gestattet, Personen zu ermitteln, die nicht im Verdacht standen, an terroristischen Straftaten oder schwerer Kriminalität beteiligt zu sein, und die genauer überprüft werden sollten, so dass solche Rechtsvorschriften zur Erreichung des angestrebten Ziels der Bekämpfung terroristischer Straftaten und schwerer Kriminalität geeignet erscheinen.
285 Was die Erforderlichkeit solcher Rechtsvorschriften betrifft, muss sich die Ausübung der in Art. 2 Abs. 1 der PNR-Richtlinie vorgesehenen Befugnis durch die Mitgliedstaaten im Licht der Art. 7 und 8 der Charta auf das in Anbetracht der oben in den Rn. 163 bis 174 genannten Anforderungen zur Erreichung dieses Ziels absolut Notwendige beschränken.
286 Diese Anforderungen gelten erst recht, wenn das in der PNR-Richtlinie vorgesehene System auf andere Beförderungsmittel innerhalb der Union angewandt wird.
287 Im Übrigen werden nach den Angaben im Vorabentscheidungsersuchen mit den im Ausgangsverfahren in Rede stehenden nationalen Rechtsvorschriften die PNR-Richtlinie, die API-Richtlinie und teilweise die Richtlinie 2010/65 in einem Rechtsakt umgesetzt. Dabei sehen sie die Anwendung des in der PNR-Richtlinie vorgesehenen Systems auf alle EU-Flüge sowie auf alle Beförderungen auf dem Schienen‑, Land- oder Wasserweg innerhalb der Union nach, von und durch Belgien vor, sie gelten auch für Reiseunternehmen und verfolgen weitere Ziele neben der bloßen Bekämpfung terroristischer Straftaten und schwerer Kriminalität. Nach diesen Angaben werden offenbar alle Daten, die im Rahmen des durch diese nationalen Rechtsvorschriften geschaffenen Systems erhoben wurden, von der PNR-Zentralstelle in einer einzigen Datenbank gespeichert, die die PNR-Daten, einschließlich der in Art. 3 Abs. 2 der API-Richtlinie genannten Daten, für alle Passagiere der von diesen Rechtsvorschriften erfassten Beförderungen enthält.
288 Soweit das vorlegende Gericht in diesem Zusammenhang in Buchst. b seiner neunten Frage auf das mit der API-Richtlinie verfolgte Ziel der Verbesserung der Grenzkontrollen und der Bekämpfung illegaler Einwanderung Bezug genommen hat, ist darauf hinzuweisen, dass die Aufzählung der mit der Verarbeitung von PNR-Daten gemäß der PNR-Richtlinie verfolgten Ziele abschließend ist (siehe oben, Rn. 233, 234 und 237), so dass nationale Rechtsvorschriften, die es gestatten, gemäß dieser Richtlinie erhobene PNR-Daten zu anderen als den von ihr vorgesehenen Zwecken, insbesondere zur Verbesserung der Grenzkontrollen und zur Bekämpfung illegaler Einwanderung zu verarbeiten, im Licht der Charta gegen Art. 6 der Richtlinie verstoßen.
289 Außerdem dürfen die Mitgliedstaaten keine einheitliche Datenbank errichten, die sowohl die gemäß der PNR-Richtlinie erhobenen PNR-Daten für Drittstaatsflüge und für EU-Flüge enthält als auch die Daten der Nutzer anderer Beförderungsmittel sowie die in Art. 3 Abs. 2 der API-Richtlinie genannten Daten, insbesondere wenn diese Datenbank nicht nur zur Verfolgung der in Art. 1 Abs. 2 der PNR-Richtlinie genannten Zwecke konsultiert werden kann, sondern auch zur Verfolgung anderer Zwecke (siehe oben, Rn. 235).
290 Schließlich können, wie der Generalanwalt in Nr. 281 seiner Schlussanträge ausgeführt hat, die Art. 28 bis 31 des Gesetzes vom 25. Dezember 2016 jedenfalls nur dann mit dem Unionsrecht, insbesondere mit Art. 67 Abs. 2 AEUV, vereinbar sein, wenn sie dahin ausgelegt und angewandt werden, dass sie nur die Übermittlung und Verarbeitung der API‑Daten beförderter Personen betreffen, die die Außengrenzen Belgiens zu Drittstaaten überschreiten. Eine Maßnahme, mit der ein Mitgliedstaat die Bestimmungen der API-Richtlinie, insbesondere die in ihrem Art. 3 Abs. 1 vorgesehene Pflicht zur Übermittlung der Angaben über die beförderten Personen, zum Zweck der Verbesserung der Grenzkontrollen und der Bekämpfung illegaler Einwanderung auf EU-Flüge oder gar auf andere Arten der Personenbeförderung innerhalb der Union aus dem, in den oder durch den Mitgliedstaat ausdehnen würde, liefe nämlich darauf hinaus, es den zuständigen Behörden zu gestatten, sich bei der Überschreitung der Binnengrenzen des betreffenden Mitgliedstaats systematisch zu vergewissern, dass diese Personen in sein Hoheitsgebiet einreisen oder es verlassen dürfen, und hätte damit die gleiche Wirkung wie Kontrollen an den Außengrenzen zu Drittstaaten.
291 Nach alledem ist auf Buchst. b der neunten Frage zu antworten, dass das Unionsrecht, insbesondere Art. 2 der PNR-Richtlinie, im Licht von Art. 3 Abs. 2 EUV, Art. 67 Abs. 2 AEUV und Art. 45 der Charta wie folgt auszulegen ist:
– Es steht nationalen Rechtsvorschriften entgegen, die, ohne dass der betreffende Mitgliedstaat mit einer realen und aktuellen oder vorhersehbaren terroristischen Bedrohung konfrontiert ist, ein System vorsehen, wonach die PNR-Daten aller EU-Flüge und aller Beförderungen mit anderen Mitteln innerhalb der Union aus diesem, in diesen oder durch diesen Mitgliedstaat zur Bekämpfung terroristischer Straftaten und schwerer Kriminalität von den Beförderungsunternehmen und den Reiseunternehmen übermittelt sowie von den zuständigen Behörden verarbeitet werden. In einer solchen Situation muss die Anwendung des durch die PNR-Richtlinie geschaffenen Systems auf die Übermittlung und Verarbeitung der PNR-Daten von Flügen und/oder Beförderungen beschränkt werden, die insbesondere bestimmte Verbindungen, bestimmte Reisemuster oder bestimmte Flughäfen, Bahnhöfe oder Seehäfen betreffen, für die es Anhaltspunkte gibt, die seine Anwendung rechtfertigen können. Es ist Sache des betreffenden Mitgliedstaats, die EU-Flüge und/oder die Beförderungen mit anderen Mitteln innerhalb der Union, für die es solche Anhaltspunkte gibt, auszuwählen und sie nach Maßgabe der Entwicklung der Bedingungen, die ihre Auswahl gerechtfertigt haben, regelmäßig zu überprüfen, um sicherzustellen, dass sich die Anwendung dieses Systems auf solche EU-Flüge und/oder Beförderungen stets auf das absolut Notwendige beschränkt.
– Es steht nationalen Rechtsvorschriften entgegen, die zum Zweck der Verbesserung der Grenzkontrollen und der Bekämpfung illegaler Einwanderung ein solches System der Übermittlung und Verarbeitung der genannten Daten vorsehen.
H. Zur zehnten Frage
292 Mit seiner zehnten Frage möchte das vorlegende Gericht wissen, ob das Unionsrecht dahin auszulegen ist, dass ein nationales Gericht die Wirkungen einer ihm nach nationalem Recht obliegenden Feststellung der Rechtswidrigkeit nationaler Rechtsvorschriften, die – in einer Weise, die im Licht von Art. 3 Abs. 2 EUV, Art. 67 Abs. 2 AEUV sowie der Art. 7, 8 und 45 und von Art. 52 Abs. 1 der Charta mit den Bestimmungen der PNR-Richtlinie unvereinbar ist – den Beförderungsunternehmen des Luft‑, Schienen- und Landwegs sowie den Reiseunternehmen die Übermittlung von PNR-Daten vorschreiben sowie eine Verarbeitung und Speicherung dieser Daten vorsehen, zeitlich beschränken darf.
293 Der Grundsatz des Vorrangs des Unionsrechts besagt, dass das Unionsrecht dem Recht der Mitgliedstaaten vorgeht. Dieser Grundsatz verpflichtet daher alle mitgliedstaatlichen Stellen, den verschiedenen Bestimmungen des Unionsrechts volle Wirksamkeit zu verschaffen, wobei das Recht der Mitgliedstaaten die diesen Bestimmungen zuerkannte Wirkung im Hoheitsgebiet dieser Staaten nicht beeinträchtigen darf. Nach diesem Grundsatz ist ein nationales Gericht, das im Rahmen seiner Zuständigkeit die Bestimmungen des Unionsrechts anzuwenden hat und nationale Rechtsvorschriften nicht im Einklang mit den Anforderungen des Unionsrechts auslegen kann, verpflichtet, für die volle Wirksamkeit dieser Bestimmungen Sorge zu tragen, indem es erforderlichenfalls jede – auch spätere – entgegenstehende Vorschrift des nationalen Rechts aus eigener Entscheidungsbefugnis unangewendet lässt, ohne dass es die vorherige Beseitigung dieser Vorschrift auf gesetzgeberischem Weg oder durch irgendein anderes verfassungsrechtliches Verfahren beantragen oder abwarten müsste (Urteile vom 15. Juli 1964, Costa, 6/64, EU:C:1964:66, S. 1270 und 1271, vom 6. Oktober 2020, La Quadrature du Net u. a., C‑511/18, C‑512/18 und C‑520/18, EU:C:2020:791, Rn. 214 und 215, sowie vom 5. April 2022, Commissioner of An Garda Síochána u. a., C‑140/20, EU:C:2022:258, Rn. 118).
294 Nur der Gerichtshof kann ausnahmsweise und aus zwingenden Erwägungen der Rechtssicherheit eine vorübergehende Aussetzung der Verdrängungswirkung herbeiführen, die eine unionsrechtliche Vorschrift gegenüber mit ihr unvereinbarem nationalem Recht ausübt. Eine solche zeitliche Beschränkung der Wirkungen einer Auslegung des Unionsrechts durch den Gerichtshof kann nur in dem Urteil vorgenommen werden, in dem über die erbetene Auslegung entschieden wird. Der Vorrang und die einheitliche Anwendung des Unionsrechts würden beeinträchtigt, wenn nationale Gerichte befugt wären, nationalen Bestimmungen, sei es auch nur vorübergehend, Vorrang vor dem Unionsrecht einzuräumen, gegen das sie verstoßen (Urteil vom 5. April 2022, Commissioner of An Garda Síochána u. a., C‑140/20, EU:C:2022:258, Rn. 119 und die dort angeführte Rechtsprechung).
295 Anders als das Fehlen einer das Verfahren betreffenden Verpflichtung wie der vorherigen Umweltverträglichkeitsprüfung eines Projekts, um die es in der Rechtssache ging, in der das Urteil vom 29. Juli 2019, Inter-Environnement Wallonie und Bond Beter Leefmilieu Vlaanderen (C‑411/17, EU:C:2019:622, Rn. 175, 176, 179 und 181), ergangen ist, in der der Gerichtshof eine vorübergehende Aussetzung der Verdrängungswirkung gebilligt hat, kann ein Verstoß gegen die Bestimmungen der PNR-Richtlinie im Licht der Art. 7, 8 und 45 sowie von Art. 52 Abs. 1 der Charta nicht Gegenstand einer Legalisierung im Wege eines vergleichbaren Verfahrens wie in dieser Rechtssache sein. Würden die Wirkungen nationaler Rechtsvorschriften wie des Gesetzes vom 25. Dezember 2016 aufrechterhalten, würde dies nämlich bedeuten, dass durch die betreffenden Rechtsvorschriften den Luftfahrtunternehmen, anderen Beförderungsunternehmen und Reiseunternehmen weiterhin Verpflichtungen auferlegt würden, die gegen das Unionsrecht verstoßen und mit schwerwiegenden Eingriffen in die Grundrechte der Personen verbunden sind, deren Daten übermittelt, gespeichert und verarbeitet wurden, sowie mit Beschränkungen der Freizügigkeit dieser Personen, die über das erforderliche Maß hinausgehen (vgl. entsprechend Urteil vom 5. April 2022, Commissioner of An Garda Síochána u. a., C‑140/20, EU:C:2022:258, Rn. 122 und die dort angeführte Rechtsprechung).
296 Das vorlegende Gericht darf somit die ihm nach nationalem Recht obliegende Feststellung der Rechtswidrigkeit der im Ausgangsverfahren in Rede stehenden nationalen Rechtsvorschriften nicht in ihren zeitlichen Wirkungen beschränken (vgl. entsprechend Urteil vom 5. April 2022, Commissioner of An Garda Síochána u. a., C‑140/20, EU:C:2022:258, Rn. 123 und die dort angeführte Rechtsprechung).
297 Soweit das vorlegende Gericht schließlich wissen möchte, wie sich die Feststellung einer etwaigen Unvereinbarkeit des Gesetzes vom 25. Dezember 2016 mit den Bestimmungen der PNR-Richtlinie im Licht der Charta auf die Zulässigkeit und die Auswertung der Beweise und Informationen, die mittels der von den betreffenden Beförderungs- und Reiseunternehmen übermittelten Daten erlangt wurden, im Rahmen von Strafverfahren auswirkt, genügt es, auf die dazu ergangene Rechtsprechung des Gerichtshofs zu verweisen, insbesondere auf die in den Rn. 41 bis 44 des Urteils vom 2. März 2021, Prokuratuur (Voraussetzungen für den Zugang zu Daten über die elektronische Kommunikation) (C‑746/18, EU:C:2021:152), angeführten Grundsätze, aus denen sich ergibt, dass diese Zulässigkeit nach dem Grundsatz der Verfahrensautonomie der Mitgliedstaaten dem nationalen Recht unterliegt, vorbehaltlich der Beachtung u. a. der Grundsätze der Äquivalenz und der Effektivität (vgl. entsprechend Urteil vom 5. April 2022, Commissioner of An Garda Síochána u. a., C‑140/20, EU:C:2022:258, Rn. 127).
298 Nach alledem ist auf die zehnte Frage zu antworten, dass das Unionsrecht dahin auszulegen ist, dass es ein nationales Gericht daran hindert, die Wirkungen einer ihm nach nationalem Recht obliegenden Feststellung der Rechtswidrigkeit nationaler Rechtsvorschriften, die – in einer Weise, die im Licht von Art. 3 Abs. 2 EUV, Art. 67 Abs. 2 AEUV sowie der Art. 7, 8 und 45 und von Art. 52 Abs. 1 der Charta mit den Bestimmungen der PNR-Richtlinie unvereinbar ist – den Beförderungsunternehmen des Luft‑, Schienen- und Landwegs und den Reiseunternehmen die Übermittlung von PNR-Daten vorschreiben sowie eine Verarbeitung und Speicherung dieser Daten vorsehen, zeitlich zu beschränken. Die Zulässigkeit der in dieser Weise erlangten Beweise unterliegt nach dem Grundsatz der Verfahrensautonomie der Mitgliedstaaten dem nationalen Recht, vorbehaltlich der Beachtung u. a. der Grundsätze der Äquivalenz und der Effektivität.
IV. Kosten
299 Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des bei dem vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Aus diesen Gründen hat der Gerichtshof (Große Kammer) für Recht erkannt:
1. Art. 2 Abs. 2 Buchst. d und Art. 23 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass diese Verordnung für die Verarbeitung personenbezogener Daten gilt, die in nationalen Rechtsvorschriften vorgesehen ist, mit denen die Bestimmungen sowohl der Richtlinie 2004/82/EG des Rates vom 29. April 2004 über die Verpflichtung von Beförderungsunternehmen, Angaben über die beförderten Personen zu übermitteln, als auch der Richtlinie 2010/65/EU des Europäischen Parlaments und des Rates vom 20. Oktober 2010 über Meldeformalitäten für Schiffe beim Einlaufen in und/oder Auslaufen aus Häfen der Mitgliedstaaten und zur Aufhebung der Richtlinie 2002/6/EG und der Richtlinie (EU) 2016/681 des Europäischen Parlaments und des Rates vom 27. April 2016 über die Verwendung von Fluggastdatensätzen (PNR) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität in Bezug auf die Verarbeitung von Daten durch private Wirtschaftsteilnehmer sowie in Bezug auf die nur oder auch unter die Richtlinie 2004/82 oder die Richtlinie 2010/65 fallende Verarbeitung von Daten durch Behörden in innerstaatliches Recht umgesetzt werden sollen. Die Verordnung gilt hingegen nicht für die in nationalen Rechtsvorschriften vorgesehene, nur unter die Richtlinie 2016/681 fallende Verarbeitung von Daten durch die PNR-Zentralstelle oder die zuständigen Behörden zu den in Art. 1 Abs. 2 dieser Richtlinie genannten Zwecken.
2. Da eine Auslegung der Richtlinie 2016/681 im Licht der Art. 7, 8 und 21 sowie von Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union die Vereinbarkeit dieser Richtlinie mit den genannten Artikeln der Charta der Grundrechte gewährleistet, hat die Prüfung der Fragen 2 bis 4 und 6 nichts ergeben, was die Gültigkeit der Richtlinie berühren könnte.
3. Art. 6 der Richtlinie 2016/681 ist im Licht der Art. 7 und 8 sowie von Art. 52 Abs. 1 der Charta dahin auszulegen, dass er nationalen Rechtsvorschriften entgegensteht, nach denen die Verarbeitung von Fluggastdatensätzen (PNR-Daten), die im Einklang mit dieser Richtlinie erhoben wurden, zu anderen als den in Art. 1 Abs. 2 der Richtlinie ausdrücklich genannten Zwecken zulässig ist.
4. Art. 12 Abs. 3 Buchst. b der Richtlinie 2016/681 ist dahin auszulegen, dass er nationalen Rechtsvorschriften entgegensteht, nach denen die als PNR-Zentralstelle errichtete Behörde zugleich die für die Genehmigung der Offenlegung der PNR-Daten nach Ablauf der Frist von sechs Monaten ab ihrer Übermittlung an die PNR-Zentralstelle zuständige nationale Behörde ist.
5. Art. 12 Abs. 1 der Richtlinie 2016/681 in Verbindung mit den Art. 7 und 8 sowie mit Art. 52 Abs. 1 der Charta der Grundrechte ist dahin auszulegen, dass er nationalen Rechtsvorschriften entgegensteht, die eine allgemeine Speicherfrist der PNR-Daten von fünf Jahren vorsehen, die unterschiedslos für alle Fluggäste gilt, einschließlich derjenigen, bei denen weder die Vorabüberprüfung nach Art. 6 Abs. 2 Buchst. a der Richtlinie 2016/681 noch etwaige Überprüfungen während des in Art. 12 Abs. 2 der Richtlinie genannten Zeitraums von sechs Monaten oder irgendein anderer Umstand objektive Anhaltspunkte geliefert haben, die eine Gefahr im Bereich terroristischer Straftaten oder schwerer Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit der Reise der Fluggäste belegen können.
6. Die Richtlinie 2004/82 ist dahin auszulegen, dass sie nicht für Linien- oder Gelegenheitsflüge einer Fluggesellschaft, die vom Hoheitsgebiet eines Mitgliedstaats aus starten und das Hoheitsgebiet eines oder mehrerer anderer Mitgliedstaaten zum Ziel haben, ohne Zwischenlandungen im Hoheitsgebiet eines Drittstaats (EU-Flüge), gilt.
7. Das Unionsrecht, insbesondere Art. 2 der Richtlinie 2016/681, ist im Licht von Art. 3 Abs. 2 EUV, Art. 67 Abs. 2 AEUV und Art. 45 der Charta der Grundrechte wie folgt auszulegen:
– Es steht nationalen Rechtsvorschriften entgegen, die, ohne dass der betreffende Mitgliedstaat mit einer realen und aktuellen oder vorhersehbaren terroristischen Bedrohung konfrontiert ist, ein System vorsehen, wonach die PNR-Daten aller EU-Flüge und aller Beförderungen mit anderen Mitteln innerhalb der Union aus diesem, in diesen oder durch diesen Mitgliedstaat zur Bekämpfung terroristischer Straftaten und schwerer Kriminalität von den Beförderungsunternehmen und den Reiseunternehmen übermittelt sowie von den zuständigen Behörden verarbeitet werden. In einer solchen Situation muss die Anwendung des durch die PNR-Richtlinie geschaffenen Systems auf die Übermittlung und Verarbeitung der PNR-Daten von Flügen und/oder Beförderungen beschränkt werden, die insbesondere bestimmte Verbindungen, bestimmte Reisemuster oder bestimmte Flughäfen, Bahnhöfe oder Seehäfen betreffen, für die es Anhaltspunkte gibt, die seine Anwendung rechtfertigen können. Es ist Sache des betreffenden Mitgliedstaats, die EU-Flüge und/oder die Beförderungen mit anderen Mitteln innerhalb der Union, für die es solche Anhaltspunkte gibt, auszuwählen und sie nach Maßgabe der Entwicklung der Bedingungen, die ihre Auswahl gerechtfertigt haben, regelmäßig zu überprüfen, um sicherzustellen, dass sich die Anwendung dieses Systems auf solche EU-Flüge und/oder Beförderungen stets auf das absolut Notwendige beschränkt.
– Es steht nationalen Rechtsvorschriften entgegen, die zum Zweck der Verbesserung der Grenzkontrollen und der Bekämpfung illegaler Einwanderung ein solches System der Übermittlung und Verarbeitung der genannten Daten vorsehen.
8. Das Unionsrecht ist dahin auszulegen, dass es ein nationales Gericht daran hindert, die Wirkungen einer ihm nach nationalem Recht obliegenden Feststellung der Rechtswidrigkeit nationaler Rechtsvorschriften, die – in einer Weise, die im Licht von Art. 3 Abs. 2 EUV, Art. 67 Abs. 2 AEUV sowie der Art. 7, 8 und 45 und von Art. 52 Abs. 1 der Charta der Grundrechte mit den Bestimmungen der Richtlinie 2016/681 unvereinbar ist – den Beförderungsunternehmen des Luft‑, Schienen- und Landwegs und den Reiseunternehmen die Übermittlung von PNR-Daten vorschreiben sowie eine Verarbeitung und Speicherung dieser Daten vorsehen, zeitlich zu beschränken. Die Zulässigkeit der in dieser Weise erlangten Beweise unterliegt nach dem Grundsatz der Verfahrensautonomie der Mitgliedstaaten dem nationalen Recht, vorbehaltlich der Beachtung u. a. der Grundsätze der Äquivalenz und der Effektivität.
Unterschriften