Gesetzentwurf der Bundesregierung
Entwurf eines Gesetzes zu dem Abkommen vom 26. Juli 2007 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records - PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security (DHS)
(PNR-Abkommen 2007)

A. Problem und Ziel

B. Lösung

C. Alternativen

D. Finanzielle Auswirkungen

E. Sonstige Kosten

F. Bürokratiekosten

Gesetzentwurf der Bundesregierung
Entwurf eines Gesetzes zu dem Abkommen vom 26. Juli 2007 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records - PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security (DHS)(PNR-Abkommen 2007)

Bundesrepublik Deutschland Berlin, den 28. September 2007
Die Bundeskanzlerin

An den
Präsidenten des Bundesrates

Hiermit übersende ich gemäß Artikel 76 Absatz 2 des Grundgesetzes den von der Bundesregierung beschlossenen


mit Begründung und Vorblatt.
Der Gesetzentwurf ist besonders eilbedürftig im Sinne des Artikels 76 Absatz 2 Satz 4 GG, da ein zügiger Abschluss des innerstaatlichen Verfahrens für die Beziehungen zur EU und deren Mitgliedstaaten sowie für die auswärtigen Beziehungen zu den Vereinigten Staaten von Amerika angesichts der besonderen politischen Bedeutung des Abkommens von außerordentlicher Bedeutung ist.
Federführend ist das Bundesministerium des Innern.

Die Stellungnahme des Nationalen Normenkontrollrates gemäß § 6 Abs. 1 NKRG ist als Anlage beigefügt.

Dr. Angela Merkel

Entwurf
Gesetz zu dem Abkommen vom 26. Juli 2007 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records - PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security (DHS)(PNR-Abkommen 2007)

Vom ...

Der Bundestag hat das folgende Gesetz beschlossen:

Artikel 1

Artikel 2

Begründung zum Vertragsgesetz

Zu Artikel 1

Auf das Abkommen findet Artikel 59 Abs. 2 Satz 1 des Grundgesetzes Anwendung, da es sich auf Gegenstände der Bundesgesetzgebung bezieht.

Zu Artikel 2

Die Bestimmung des Absatzes 1 entspricht dem Erfordernis des Artikels 82 Abs. 2 Satz 1 des Grundgesetzes. Nach Absatz 2 ist der Zeitpunkt, in dem das Abkommen nach seinem Artikel 9 Satz 1 in Kraft tritt, im Bundesgesetzblatt bekannt zu geben.

Schlussbemerkung

Auswirkungen auf die Einzelpreise und auf das Preisniveau, insbesondere auf das Verbraucherpreisniveau, sind nicht zu erwarten, da auf die private Wirtschaft allenfalls relativ geringe Kosten für die Umstellung des Übermittlungsverfahrens entstehen die bereits im nationalen Datenschutzrecht angelegt ist. Die Durchführung der im ausländischen Recht begründeten Informationspflichten verursacht den betroffenen deutschen Fluggesellschaften Gesamtkosten, die nach einer groben Schätzung jährlich etwa 600 000 Euro betragen. Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records - PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security (DHS)(PNR-Abkommen 2007) *)

Die Europäische Union und die Vereinigten Staaten von Amerika - in dem Bestreben, als Mittel zum Schutz ihrer jeweiligen demokratischen Gesellschaft und ihrer gemeinsamen Werte Terrorismus und grenzüberschreitende Kriminalität wirksam zu verhüten und zu bekämpfen; in dem Bewusstsein, dass der Austausch von Informationen ein wesentlicher Faktor bei der Bekämpfung des Terrorismus und der grenzüberschreitenden Kriminalität ist und dass die Nutzung von PNR-Daten in diesem Zusammenhang ein wichtiges Instrument darstellt; in dem Bewusstsein, dass zum Schutz der öffentlichen Sicherheit und für Strafverfolgungszwecke Vorschriften für die Übermittlung von PNR-Daten durch die Fluggesellschaften an das DHS festgelegt werden sollten; in Anerkennung der Bedeutung der Verhütung und Bekämpfung des Terrorismus und damit zusammenhängender Straftaten sowie sonstiger schwerer Straftaten grenzüberschreitender Art, einschließlich der organisierten Kriminalität, bei gleichzeitiger Achtung der Grundrechte und -freiheiten, insbesondere des Schutzes der Privatsphäre; in der Erkenntnis, dass die Rechtsvorschriften und die Politik der Vereinigten Staaten und Europas zum Schutz der Privatsphäre auf einer gemeinsamen Grundlage beruhen und Unterschiede bei der Umsetzung dieser Grundsätze die Zusammenarbeit zwischen den Vereinigten Staaten und der Europäischen Union (EU) nicht behindern sollten; unter Berücksichtigung internationaler Übereinkommen, der Gesetze und Vorschriften der USA, nach denen jede Fluggesellschaft, die Auslands-Passagierflüge in die oder aus den Vereinigten Staaten durchführt, verpflichtet ist, dem DHS PNR-Daten zur Verfügung zu stellen, soweit solche Daten erhoben und in den computergestützten Buchungs- bzw. Abfertigungskontrollsystemen (nachstehend "Buchungssysteme" genannt) gespeichert werden sowie vergleichbarer Vorschriften, die in der EU angewandt werden; unter Berücksichtigung des Artikels 6 Absatz 2 des Vertrags über die Europäische Union über die Achtung der Grundrechte, insbesondere des sich daraus ableitenden Rechts auf Schutz personenbezogener Daten; unter Verweis auf die früheren Abkommen über PNR-Daten zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika vom 28. Mai 2004 und zwischen der Europäischen Union und den Vereinigten Staaten von Amerika vom 19. Oktober 2006; unter Berücksichtigung der einschlägigen Bestimmungen des Aviation Transportation Security Act von 2001, des Homeland Security Act von 2002, des Intelligence Reform and Terrorism Prevention Act von 2004 und des Executive Order 13388 über die Zusammenarbeit zwischen Regierungsstellen der Vereinigten Staaten bei der Terrorismusbekämpfung sowie des Privacy Act von 1974, des Freedom of Information Act und des E-Government Act von 2002; unter Hinweis darauf, dass die Europäische Union sicherstellen sollte dass die Fluggesellschaften, deren Buchungssysteme innerhalb der Europäischen Union betrieben werden, dem DHS PNR-Daten zur Verfügung stellen und die vom DHS im Einzelnen festgelegten technischen Anforderungen für diese Übermittlung einhalten unter Bekräftigung, dass dieses Abkommen keinen Präzedenzfall im Hinblick auf weitere Beratungen oder Verhandlungen zwischen den Vereinigten Staaten und der Europäischen Union oder zwischen einer der beiden Vertragsparteien und einem Staat über die Verarbeitung und Übermittlung von PNR-Daten oder Daten anderer Art darstellt; in dem Bestreben, die Zusammenarbeit zwischen den Vertragsparteien im Geiste einer transatlantischen Partnerschaft zu verstärken und zu stimulieren - sind wie folgt übereingekommen:

Dieses Abkommen gilt vorläufig ab dem Tag der Unterzeichnung.

Dieses Abkommen kann von jeder Vertragspartei jederzeit durch Notifizierung auf diplomatischem Wege gekündigt oder ausgesetzt werden. Die Kündigung wird dreißig(30) Tage nach dem Tag, an dem sie der anderen Vertragspartei notifiziert wurde wirksam, es sei denn, eine der Vertragsparteien hält im Interesse ihrer nationalen Sicherheit oder inneren Sicherheit eine kürzere Kündigungsfrist für unabdingbar. Dieses Abkommen und alle daraus abgeleiteten Verpflichtungen treten sieben Jahre nach dem Tag der Unterzeichnung außer Kraft bzw. verlieren ihre Gültigkeit, es sei denn, die Vertragsparteien vereinbaren gegenseitig, das Abkommen zu ersetzen.

Dieses Abkommen hat nicht den Zweck, Ausnahmen von den Gesetzen der Vereinigten Staaten von Amerika oder der Europäischen Union oder ihrer Mitgliedstaaten zu regeln oder diese zu ändern.

Durch dieses Abkommen werden keinerlei Rechte oder Vergünstigungen für andere Personen oder Einrichtungen privater oder öffentlicher Art begründet oder übertragen.

Dieses Abkommen ist in zwei Urschriften in englischer Sprache abgefasst. Es wird ebenfalls in bulgarischer, dänischer, deutscher estnischer, finnischer, französischer, griechischer, italienischer, lettischer litauischer, maltesischer, niederländischer, polnischer portugiesischer, rumänischer, schwedischer, slowakischer, slowenischer spanischer, tschechischer und ungarischer Sprache abgefasst und die Vertragsparteien genehmigen diese Sprachfassungen. Nach ihrer Genehmigung ist der Wortlaut in diesen Sprachfassungen gleichermaßen verbindlich.*)


Geschehen zu Brüssel am 23. Juli 2007 und in Washington am 26. Juli 2007.
Für die Europäische Union
Luis Amado
Für die Vereinigten Staaten von Amerika
Michael Chertoff

Schreiben der USA an die EU


Herrn Luis Amado
Präsident des Rates der Europäischen Union
175 Rue de la Loi
1048 Brüssel Belgien

Um die Fragen der Europäischen Union zu beantworten und um zu unterstreichen, welche Bedeutung die Regierung der Vereinigten Staaten dem Schutz der Privatsphäre beimisst, soll in diesem Schreiben erläutert werden, wie das United States Department of Homeland Security (DHS) die Erhebung, die Nutzung und die Speicherung von Fluggastdatensätzen (Passenger Name Records - PNR) handhabt. Mit keiner der in diesem Schreiben genannten Regelungen werden andere Rechte oder Vergünstigungen für Personen oder Einrichtungen privater oder öffentlicher Art begründet oder übertragen oder andere Rechtsmittel eingeräumt als diejenigen, die in dem im Juli 2007 unterzeichneten Abkommen zwischen der EU und den USA über die Verarbeitung von PNR und deren Übermittlung durch die Fluggesellschaften an das DHS (nachstehend "Abkommen" genannt) genannt sind. Vielmehr werden in diesem Schreiben die Zusicherungen und Regelungen dargelegt, die das DHS in Bezug auf die PNR-Daten abgibt bzw. anwendet, die gemäß den Rechtsvorschriften der USA im Rahmen des Flugverkehrs zwischen den USA und der Europäischen Union erhoben werden (nachstehend "EU-PNR" genannt).

I. Verwendungszweck der PNR:

Das DHS verwendet die EU-PNR ausschließlich zum Zwecke der Verhütung und Bekämpfung

II. Austausch von PNR:

Das DHS gibt EU-PNR-Daten nur für die in Abschnitt I genannten Zwecke weiter.

Das DHS behandelt EU-PNR-Daten gemäß dem US-Recht als sensibel und vertraulich und gibt PNR-Daten in eigenem Ermessen nur an andere US-Regierungsbehörden mit Aufgaben im Bereich der Strafverfolgung, der öffentlichen Sicherheit oder der Terrorismusbekämpfung weiter, um diese in mit der Terrorismusbekämpfung, der grenzüberschreitenden Kriminalität und der öffentlichen Sicherheit zusammenhängenden Fällen (zu denen unter anderem Bedrohungen, Flüge, Einzelpersonen und problematische Strecken gehören), die von ihnen geprüft oder untersucht werden, zu unterstützen; dies erfolgt gemäß dem geltenden Recht und in Übereinstimmung mit schriftlichen Vereinbarungen und den US-Rechtsvorschriften über den Austausch von Informationen zwischen US-Regierungsbehörden.

Der Zugang wird streng und sorgfältig auf die vorstehend beschriebenen Fälle beschränkt und muss in einem angemessenen Verhältnis zur Art des jeweiligen Falles stehen. EU-PNR-Daten werden nur dann mit Regierungsbehörden von Drittstaaten ausgetauscht, wenn zuvor die vom Empfänger beabsichtigte(n) Verwendung(en) und die Fähigkeit des Empfängers zum Schutz der Informationen geprüft wurden. Abgesehen von Notsituationen erfolgt jeder derartige Datenaustausch gemäß ausdrücklichen Vereinbarungen zwischen den Parteien, die

Datenschutzmaßnahmen umfassen, die mit denen vergleichbar sind die das DHS, wie in Absatz 2 dieses Abschnitts beschrieben, auf EU-PNR anwendet.

III. Arten der erhobenen Informationen:

Die meisten Einzelbestandteile von PNR-Daten kann das DHS bei der Überprüfung des Flugscheins und anderer Reisedokumente eines Fluggastes im Rahmen seiner normalen Grenzkontrollbefugnis erhalten aber dadurch, dass das DHS diese Daten auf elektronischem Wege erhalten kann, ist es wesentlich besser in der Lage, seine Ressourcen auf Hochrisikobereiche zu konzentrieren und dadurch Bonafide-Reisenden Erleichterungen zu gewähren und sie besser zu schützen.

Arten der erhobenen EU-PNR:

Soweit sensible EU-PNR-Daten (d. h. personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie Daten über Gesundheit oder Sexualleben einer Person) gemäß den PNR-Codes und -Bezeichnungen, die das DHS im Benehmen mit der Europäischen Kommission festgelegt hat, in den oben genannten Arten von EU-PNR-Daten enthalten sind, verwendet das DHS ein automatisiertes System, das diese sensiblen PNR-Codes und -Bezeichnungen herausfiltert, und nutzt derartige Informationen nicht. Das DHS löscht die sensiblen EU-PNR-Daten unverzüglich, sofern nicht in einem Ausnahmefall (siehe folgenden Absatz) auf sie zugegriffen wird.

In Ausnahmefällen, in denen das Leben von betroffenen Personen oder Dritten gefährdet oder ernsthaft beeinträchtigt werden könnte dürfen Beamte des DHS erforderlichenfalls andere als die vorstehend aufgelisteten Informationen in EU-PNR, einschließlich sensibler Daten, anfordern und verwenden. In einem solchen Fall wird das DHS ein Protokoll über den Zugang zu allen sensiblen Daten in EU-PNR führen und die Daten innerhalb von 30 Tagen löschen, sobald der Zweck, für den auf die Daten zugegriffen wurde, erfüllt ist und die weitere Speicherung der Daten nicht gesetzlich vorgeschrieben ist. Das DHS wird der Europäischen Kommission (GD JLS) in der Regel innerhalb von 48 Stunden mitteilen, dass auf derartige Daten, einschließlich sensibler Daten, zugegriffen wurde.

IV. Zugang und Rechtsmittel:

Das DHS hat eine Grundsatzentscheidung getroffen, wonach die administrativen Schutzvorkehrungen des Gesetzes über den Schutz der Privatsphäre (Privacy Act) ohne Ansehen der Staatsangehörigkeit oder des Wohnsitzlandes des Betroffenen auf im ATS gespeicherte PNR-Daten ausgeweitet werden, was auch die Daten europäischer Bürger einschließt. Im Einklang mit dem US-Recht verwaltet das DHS ferner ein System, das Einzelpersonen ohne Ansehen ihrer Staatsangehörigkeit oder ihres Wohnsitzlandes zugänglich ist und Rechtsmittel für Personen vorsieht, die Zugang zu PNR oder deren Berichtigung beantragen wollen. Die entsprechenden Regelungen können auf der Website des DHS (www.dhs.gov) abgerufen werden.

Außerdem werden PNR, die von oder für eine Einzelperson übermittelt wurden, der betreffenden Person gemäß dem U.S. Privacy Act und dem U.S. Freedom of Information Act (FOIA) zur Einsicht freigegeben. Gemäß dem FOIA hat jede Person (ohne Ansehen ihrer Staatsangehörigkeit oder ihres Wohnsitzlandes)

Recht auf Zugang zu den Aufzeichnungen einer US-Bundesbehörde, es sei denn, dass die betreffenden Aufzeichnungen (oder ein Teil davon) durch eine gemäß dem FOIA anwendbare Ausnahmebestimmung vor der Offenlegung geschützt sind. Das DHS gestattet der Öffentlichkeit keinen Zugang zu PNR-Daten; ausgenommen davon sind die Betroffenen oder deren Bevollmächtigte gemäß den US-Rechtsvorschriften.

Anträge auf Zugang zu persönlich identifizierbaren Daten in PNR, die vom Antragsteller bereitgestellt wurden, können bei folgender Stelle eingereicht werden:


FOIA/PA Unit,
Office of Field Operations, U.S. Customs and Border Protection,
Room 5.5-C,
1300 Pennsylvania Avenue, NW,
Washington, DC 20229
(Tel.: (202) 344-1850;
Fax: (202) 344-2791).

In bestimmten Ausnahmefällen ist das DHS aufgrund des FOIA befugt, gemäß Titel 5 des United States Code, Abschnitt 552 Buchstabe b einem Antragsteller als unmittelbar Betroffenem die Einsicht in die PNR-Daten ganz oder teilweise zu verweigern oder diese aufzuschieben. Nach dem FOIA ist jeder Antragsteller berechtigt, die Entscheidung des DHS, die Informationen nicht offenzulegen, auf administrativem oder gerichtlichem Wege anzufechten.

V. Durchsetzung:

Verwaltungs-, zivil- und strafrechtliche Durchsetzungsmaßnahmen bestehen nach US-Recht in Bezug auf Verletzungen der US-Vorschriften über den Schutz der Privatsphäre und die unerlaubte Offenlegung von Aufzeichnungen der US-Behörden. Einschlägige Vorschriften finden sich - unter anderem - in Titel 18 des United States Code, Abschnitte 641 und 1030 sowie in Titel 19 des Code of Federal Regulations, Abschnitt 103.34.

VI. Bekanntmachung:

Das DHS hat die Reisenden durch Veröffentlichungen im Federal Register (US-Bundesanzeiger) und auf seiner Website darüber unterrichtet dass es PNR-Daten verarbeitet. Das DHS wird den Fluggesellschaften ferner ein zum öffentlichen Aushang bestimmtes Hinweisblatt zu den PNR-Erhebungs- und Rechtsmittelverfahren zur Verfügung stellen. Das DHS und die EU werden mit den betroffenen Kreisen in der Luftverkehrsbranche zusammenarbeiten, um diese Hinweise besser bekannt zu machen.

VII. Speicherung von Daten:

Das DHS speichert EU-PNR-Daten sieben Jahre lang in einer aktiven analytischen Datenbank; danach werden die Daten in einen ruhenden, nicht operationellen Status überführt. Auf ruhende Daten, die acht Jahre lang gespeichert werden, kann nur mit Zustimmung eines hochrangigen, vom US-Heimatschutzminister benannten DHS-Beamten zugegriffen werden, und zwar nur dann, wenn auf einen erkennbaren Fall, eine erkennbare Bedrohung oder ein erkennbares Risiko reagiert werden soll. Wir erwarten dass EU-PNR-Daten am Ende dieses Zeitraums gelöscht werden; die Frage, ob und wann gemäß diesem Schreiben erhobene PNR-Daten vernichtet werden, wird im Rahmen weiterer Gespräche zwischen dem DHS und der EU erörtert werden. Daten, die mit einem bestimmten Fall oder einer bestimmten Ermittlung in Zusammenhang stehen, können in einer aktiven Datenbank gespeichert werden, bis der Fall bzw. die Ermittlung archiviert ist. Das DHS hat die Absicht, anhand der in den nächsten sieben Jahren gewonnenen Erfahrungen zu überprüfen wie sich die Speicherungsvorschriften auf die Maßnahmen und Ermittlungen auswirken. Das DHS wird die Ergebnisse dieser Überprüfung mit der EU erörtern.

Die genannten Speicherungsfristen gelten auch für EU-PNR-Daten, die aufgrund der Abkommen zwischen der EU und den Vereinigten Staaten vom 28. Mai 2004 und vom 19. Oktober 2006 erhoben wurden.

VIII. Übermittlung:

In unseren jüngsten Verhandlungen haben wir darauf hingewiesen, dass das DHS bereit ist, so rasch wie möglich zu einem "Push"-System für die Übermittlung der PNR von den zwischen der EU und den Vereinigten Staaten operierenden Fluggesellschaften an das DHS überzugehen. Dreizehn Fluggesellschaften haben sich bereits für dieses Verfahren entschieden. Die Initiative für den Übergang zum Push-System liegt bei den Fluggesellschaften; diese müssen Ressourcen für die Umstellung ihrer Systeme bereitstellen und mit dem DHS zusammenarbeiten, um die technischen Anforderungen des DHS zu erfüllen. Das DHS wird für die Übermittlung von Daten durch diese Fluggesellschaften spätestens bis zum 1. Januar 2008 unmittelbar zu einem solchen System bei sämtlichen Fluggesellschaften übergehen, die ein den technischen Anforderungen des DHS entsprechendes System eingerichtet haben. Für die Fluggesellschaften, die kein derartiges System einrichten, bleibt das bisherige System so lange in Kraft, bis sie ein System eingerichtet haben, das den technischen Anforderungen des DHS für die Übermittlung von PNR-Daten entspricht. Der Übergang zum Push-System bedeutet jedoch nicht, dass die Fluggesellschaften in eigenem Ermessen entscheiden können, wann oder wie sie welche Daten im Rahmen dieses Systems übermitteln. Diese Entscheidung liegt nach US-Recht beim DHS.

Im Normalfall werden dem DHS erstmals 72 Stunden vor dem geplanten Abflug PNR-Daten übermittelt, die anschließend - soweit erforderlich - aktualisiert werden, damit ihre Richtigkeit gewährleistet ist. Die Gewährleistung, dass Entscheidungen auf der Grundlage rechtzeitig übermittelter und vollständiger Daten getroffen werden, gehört zu den wichtigsten Sicherungsmaßnahmen für den Schutz personenbezogener Daten, und das DHS arbeitet mit einzelnen Fluggesellschaften an der Einbeziehung dieses Konzepts in ihre Push-Systeme. Das DHS kann PNR früher als 72 Stunden vor dem geplanten Abflugtermin anfordern wenn es Hinweise darauf gibt, dass ein früher Zugriff erforderlich ist, damit auf eine spezifische Bedrohung für einen Flug, eine Reihe von Flügen, eine Strecke oder andere Umstände im Zusammenhang mit den in Abschnitt I genannten Zwecken reagiert werden kann. Das DHS wird diesen Ermessensspielraum mit aller Umsicht und unter Wahrung der Verhältnismäßigkeit nutzen.

IX. Gegenseitigkeit:

Während unserer jüngsten Verhandlungen bestand Einvernehmen darüber dass das DHS erwartet, dass von ihm nicht verlangt wird, im Rahmen seines PNR-Systems Datenschutzmaßnahmen zu ergreifen, die strenger sind als diejenigen, die europäische Behörden für ihre innerstaatlichen PNR-Systeme anwenden. Das DHS verlangt von europäischen Behörden nicht, in ihren PNR-Systemen Datenschutzmaßnahmen zu ergreifen, die strenger sind als diejenigen, die die USA für ihr PNR-System anwenden. Werden die Erwartungen des DHS nicht erfüllt, behält es sich vor, einschlägige Regelungen des DHS-Schreibens auszusetzen und gleichzeitig Konsultationen mit der EU zu führen um eine schnelle und zufrieden stellende Lösung herbeizuführen.

Wird in der Europäischen Union oder in einem oder mehreren ihrer Mitgliedstaaten ein Fluggast-Informationssystem eingeführt das die Fluggesellschaften verpflichtet, den Behörden PNR-Daten von Personen zur Verfügung zu stellen, deren Reiseweg einen Flug zwischen den USA und der Europäischen Union einschließt, so beabsichtigt das DHS, die Zusammenarbeit der seiner Zuständigkeit unterliegenden Fluggesellschaften aktiv und streng nach dem Gegenseitigkeitsprinzip zu fördern.

Zur Förderung der polizeilichen und justiziellen Zusammenarbeit wird das DHS den zuständigen US-Behörden nahelegen, den Polizei- und Justizbehörden der betroffenen Mitgliedstaaten sowie gegebenenfalls Europol und Eurojust analytische Informationen, die aus PNR-Daten abgeleitet wurden, zu übermitteln.

Das DHS erwartet, dass die EU und ihre Mitgliedstaaten ebenfalls ihren zuständigen Behörden nahelegen, dem DHS und anderen betroffenen US-Behörden analytische Informationen, die aus PNR-Daten abgeleitet wurden, zur Verfügung zu stellen.

X. Überprüfung:

Das DHS und die EU werden die Durchführung des Abkommens, dieses Schreibens, der PNR-Regelungen und -Verfahren der Vereinigten Staaten und der EU sowie alle Stellen, die Zugriff auf sensible Daten hatten, regelmäßig überprüfen, um dazu beizutragen dass unsere Verfahren zur Verarbeitung von PNR ordnungsgemäß und unter Gewährleistung des Schutzes der Privatsphäre durchgeführt werden. Bei der Überprüfung werden die EU durch das für den Bereich Recht, Freiheit und Sicherheit zuständige Mitglied der Kommission und das DHS durch den Heimatschutzminister oder durch einen für beide Seiten akzeptablen Beamten, den jede Seite im Einvernehmen benennen kann, vertreten. Die EU und das DHS werden die Einzelheiten der Überprüfungsmodalitäten gemeinsam festlegen.

Die Vereinigten Staaten werden auf Gegenseitigkeit im Rahmen dieser regelmäßigen Überprüfung um Informationen über die PNR-Systeme der Mitgliedstaaten bitten, und die Vertreter von Mitgliedstaaten, die PNR-Systeme betreiben, werden zur Teilnahme an den Gesprächen eingeladen.

Wir vertrauen darauf, dass diese Erläuterungen Ihnen das Verständnis unserer Verfahrensweise bei der Behandlung von EU-PNR-Daten erleichtert haben.

Schreiben der EU an die Vereinigten Staaten Secretary Michael Chertoff U.S. Departement for Homeland Security Washington DC 20258

Wir danken Ihnen für Ihr Schreiben an den Vorsitz des Rates und an die Kommission, in dem Sie erläutern, wie das DHS mit PNR-Daten verfährt.

Ihre in Ihrem Schreiben an die Europäische Union erläuterten Zusicherungen ermöglichen es der Europäischen Union, davon auszugehen dass das DHS zu den Zwecken des im Juli 2007 von den Vereinigten Staaten und der Europäischen Union unterzeichneten internationalen Abkommens über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records - PNR) und deren Übermittlung einen angemessenen Schutz der Daten gewährleistet.

Die EU wird ausgehend von dieser Feststellung alle erforderlichen Schritte unternehmen, um internationale Organisationen oder Drittländer davon abzuhalten, sich in die Übermittlung von PNR-Daten der EU an die Vereinigten Staaten einzumischen. Die EU und ihre Mitgliedstaaten werden außerdem ihren zuständigen Behörden nahelegen, dem DHS und anderen zuständigen Behörden der Vereinigten Staaten analytische Informationen, die aus PNR-Daten abgeleitet wurden, zur Verfügung zu stellen.

Wir nehmen in Aussicht, mit Ihnen und der Luftverkehrsbranche zusammenzuarbeiten um sicherzustellen, dass die Fluggäste darüber informiert werden, auf welche Weise staatliche Stellen ihre Informationen nutzen dürfen.

Denkschrift

I. Allgemeines

Nach den Terroranschlägen des 11. September 2001 erließen die Vereinigten Staaten von Amerika im November 2001 Rechtsvorschriften, wonach Fluggesellschaften, die Flüge in die oder aus den Vereinigten Staaten durchführen, den Zollbehörden der Vereinigten Staaten einen elektronischen Zugriff auf die Daten ihrer automatischen Buchungs- und Abfertigungssysteme, die sogenannten "Passenger Name Records" (PNR), gewähren müssen.

Die EU-Kommission hatte hierauf mit dem Bureau of Customs and Border Protection des amerikanischen Department of Homeland Security eine Datenschutz-Verpflichtungserklärung ausgehandelt und auf dieser Grundlage am 14. Mai 2004 die Angemessenheit des Datenschutzes festgestellt (ABl. EU 2004 Nr. L 235 S. 11).

Die Europäischen Gemeinschaft und die Vereinigten Staaten von Amerika hatten infolge am 28. Mai 2004 ein Abkommen über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften (ABl. EU 2004 Nr. L 183 S. 84) geschlossen. Mit Urteil vom 30. Mai 2006 (C-317/04 und C-318/04) hatte der EuGH jedoch den zugrunde liegenden, auf Artikel 95 EGV ("1. Säule") gestützten Ratsbeschluss und die vorausgegangene Angemessenheitsentscheidung der Kommission für nichtig erklärt, da die herangezogenen Kompetenzgrundlagen nicht anwendbar waren. Hierauf wurde das Abkommen am 3. Juli 2006 gekündigt und trat am 30. September 2006 außer Kraft.

Nach der Abkommenskündigung zeichneten die EU, gestützt auf Artikel 24 und 38 EUV ("3. Säule"), und die Vereinigten Staaten von Amerika am 16. bzw. 19. Oktober 2006 ein bis zum 31. Juli 2007 befristetes Interimsabkommen (ABl. EU 2006 Nr. L 298 S. 29; interpretierender

Briefwechsel: ABl. EU 2006 Nr. C 259 S. 1), das gemäß seinem Artikel 7 Satz 2 und einer Erklärung der EU*) nach Zeichnung vorläufig im Rahmen der in den Vertragsstaaten geltenden Rechtsvorschriften angewendet wurde.

Die zum Inkrafttreten des Abkommens nach dessen Artikel 7 Satz 1 erforderliche Notifizierung des Abschlusses der einschlägigen internen Verfahren ist nicht erfolgt.

Am 22. Februar 2007 ermächtigte der Rat den Vorsitz, mit Unterstützung der Kommission ein neues, auf sieben Jahre zu schließendes Abkommen auszuhandeln. Nachdem die Vereinigten Staaten von Amerika anfangs dem Abschluss eines weiteren völkerrechtlichen Vertrages zunächst ablehnend begegneten, konnte nach schwierigen Verhandlungen ein Abkommen noch unter deutschem Ratsvorsitz am 28. Juni 2007 paraphiert werden, dessen Unterzeichnung der Rat am 23. Juli 2007, gestützt auf Artikel 24 und 38 EUV, genehmigt hat (ABl. EU 2007 Nr. L 204 S. 16-17). Das Abkommen ist noch am gleichen Tag in Brüssel namens der EU und am 26. Juli 2007 in Washington von den Vereinigten Staaten von Amerika unterzeichnet worden, wobei die EU die als Anlage beigefügte Erklärung abgegeben hat. Wie andere Mitgliedstaaten hat die Bundesrepublik Deutschland zuvor in der EU gemäß Artikel 24 Abs. 5 EUV erklärt, dass - unbeschadet der vorläufigen Anwendung im Rahmen des nationalen Rechts - die Bindung Deutschlands an das Abkommen voraussetzt, dass bestimmte innerstaatliche verfassungsrechtliche Vorschriften eingehalten werden und der Abschluss dieses innerstaatlichen Verfahrens der EU notifiziert wird.

Das Abkommen knüpft an die vorausgegangenen Verträge sowie die amerikanische Datenschutz-Verpflichtungserklärung an deren Kerngehalt in dem begleitenden Briefwechsel aufgegriffen und unter Datenschutzerwägungen und Sicherheitsgesichtspunkten fortentwickelt wurde.

Dieser Auslegungszusammenhang wird im 8. Erwägungsgrund der Präambel verdeutlicht.

II. Zu den einzelnen Vorschriften

Das Vertragswerk besteht aus einem Abkommen mit 9 Artikeln und einem begleitenden Briefwechsel, in dem die USA und die EU ergänzende Zusicherungen geben.

Zu Artikel 1

Artikel 1 bezieht die von der US-Seite in dem begleitenden Briefwechsel gegebenen Zusicherungen in den Vertrag ein. Auf dieser Grundlage wird Deutschland als EU-Mitgliedstaat verpflichtet unter seiner Jurisdiktion sicherzustellen, dass Fluggesellschaften, die Auslands-Passagierflüge in die oder aus den Vereinigten Staaten von Amerika durchführen, in ihren Buchungssystemen enthaltene PNR-Daten dem DHS zur Verfügung stellen.

In Verbindung mit Artikel 1 des Vertragsgesetzes begründet die Bestimmung als gesetzliche Anordnung nach § 4 Abs. 1 BDSG die innerstaatliche Übermittlungsgrundlage für die Fluggesellschaften.

Zu Artikel 2

Artikel 2 wird durch Abschnitt VIII der amerikanischen Zusicherungen ergänzt. Das DHS ist hiernach verpflichtet, auf die Möglichkeit zu verzichten, sich die Daten im automatisierten Abrufverfahren selbst zu beschaffen ("pull"; solcher Abrufzugriff besteht bislang unter anderem auf das in Deutschland betriebene Buchungssystem "Amadeus", das auch die Deutsche Lufthansa nutzt).

Künftig sollen die Fluggesellschaften die Daten von sich aus übermitteln ("push"). Die Umstellung soll so rasch wie möglich erfolgen, das DHS wird jedoch spätestens zum 1. Januar 2008 auf den Abrufzugriff verzichten. Dies setzt allerdings voraus, dass die Fluggesellschaften bis dahin zu den geforderten Übermittlungen - unter Berücksichtigung der technischen Anforderungen des DHS - in der Lage sind.

Mit der Umstellung des Übermittlungsverfahrens ist keine Beschränkung der Übermittlungspflicht verbunden.

Die Fluggesellschaften müssen sämtliche von der DHS geforderten Datenarten, wie sie in Abschnitt III der US-Zusicherungen festgelegt sind, übermitteln. Ebenso liegen weder die technischen Anforderungen der Übermittlungen, noch der Übermittlungszeitpunkt im Ermessen der Fluggesellschaften.

Vor dem Hintergrund der Fußnote 5 der vorausgegangenen amerikanischen Verpflichtungserklärung (Anlage zur Angemessenheitsentscheidung der Kommission, a. a. O.) ist das DHS allerdings gehalten, bei seinen Anforderungen die wirtschaftliche Belastung der Fluggesellschaften so gering wie möglich zu halten. Zum Übermittlungszeitpunkt ist in den Zusicherungen (Abschnitt VIII) festgelegt, dass die erste Regelübermittlung 72 Stunden vor dem geplanten Abflug erfolgt und der Turnus der nachfolgenden Aktualisierungsübermittlungen im Benehmen von DHS und Fluggesellschaften ausgearbeitet wird. Orientierung hierfür gibt die hier im Kern aufgegriffene Nummer 14 der vorausgegangenen amerikanischen Verpflichtungserklärung, wonach höchstens 3 Aktualisierungsübermittlungen gefordert sind.

Ausnahmsweise kann das DHS im Einzelfall eine Übermittlung auch früher als 72 Stunden vor dem geplanten Abflugtermin anfordern, wenn es Hinweise darauf gibt, dass dies erforderlich ist, um im Rahmen der Abkommenszwecke (Abschnitt I der Zusicherungen) auf eine spezifische Bedrohung reagieren zu können. Das DHS wird dies allerdings nur zurückhaltend nutzen.

Zu Artikel 3

Artikel 3 gewährleistet die gesetzmäßige und diskriminierungsfreie Datenverwendung und Behandlung Betroffener.

Nähere Festlegungen dazu sind in den amerikanischen Zusicherungen enthalten.

Zu Artikel 4

Artikel 4 wird durch Abschnitt X der amerikanischen Zusicherungen ergänzt. Die Bestimmungen sehen eine regelmäßige gemeinsame Überprüfung der Durchführung des Vertragswerks vor. Bei der Überprüfung werden die EU durch das für den Bereich Recht, Freiheit und Sicherheit zuständige Mitglied der Kommission und das DHS durch den Heimatschutzminister vertreten; im Einvernehmen können dazu andere Beamte bestimmt werden.

Die Einzelheiten der Überprüfungen werden einvernehmlich festgelegt.

Ergänzend ist auch ein allgemeiner Erfahrungsaustausch zwischen dem DHS und solchen EU-Mitgliedstaaten vorgesehen, die ihrerseits für Sicherheitszwecke PNR-Auswertesysteme betreiben.

Zu Artikel 5

Die Bestimmung, die von Abschnitt IX des US-Zusicherungsschreibens ergänzt wird, trägt der Planung innerhalb der EU Rechnung, eine eigene systematische PNR-Verwendung zur Kriminalitätsbekämpfung einzuführen.

Sie gewährleistet hierzu einerseits, dass das DHS streng nach Gegenseitigkeit für die Zusammenarbeit der seiner Zuständigkeit unterliegenden Fluggesellschaften sorgt, ohne seinerseits weiter gehende Restriktionen zu verlangen, als in dem Vertragswerk vereinbart. Andererseits eröffnet die Bestimmung für den - nicht zu erwartenden - Fall, dass die europäischen Datenschutzstandards eines solchen Systems hinter den Regelungen des Vertragswerkes zurückbleiben eine entsprechende Vertragsanpassung durch das DHS in Konsultation mit der EU.

Im Übrigen werden die Vertragsparteien ihren zuständigen Behörden nahelegen, sich wechselseitig analytische Informationen aus der Auswertung von PNR-Daten zur Verfügung zu stellen (Abschnitt IX Abs. 2 des US-Zusicherungsschreibens und Absatz 3 Satz 2 des EU-Antwortschreibens).

Zu Artikel 6

Der Artikel stellt klar, dass mit den Bestimmungen des Vertragswerks ein angemessener Datenschutz gewährleistet wird. Außerdem versichert die EU, sich nicht in die bilateralen Beziehungen der USA mit Drittstaaten in Ansehung des Austauschs von Informationen über Fluggäste einzumischen. Es bleibt den USA also unbenommen, mit anderen Staaten die PNR-Übermittlung nach Maßgabe anderer Standards zu vereinbaren. Dies betrifft allerdings nicht die Weitergabe der aus der EU erlangten PNR durch die USA, da insoweit Abschnitt II Abs. 3 der amerikanischen Zusicherungen vorsieht, dass hierzu grundsätzlich eine Vereinbarung mit dem Drittstaat notwendig ist die einen Datenschutzstandard gewährleistet, der vergleichbar ist zu dem vom DHS gemäß diesem Vertragswerk angewendeten.

Zu Artikel 7

Die Regelung zielt auf Verfahrenstransparenz für die betroffenen Fluggäste. Dazu arbeiten die Vereinigten Staaten von Amerika und die EU mit der Luftverkehrsbranche zusammen um bei den Fluggästen den Umgang mit ihren Daten und ihre dies betreffenden Rechte besser bekannt zu machen. Es wird angestrebt, dass die Fluggesellschaften solche Hinweise in ihre Beförderungsverträge aufnehmen. Ergänzende Maßgaben trifft Abschnitt VI des US-Zusicherungsschreibens, der das DHS verpflichtet, den Fluggesellschaften ein zur Veröffentlichung bestimmtes Hinweisblatt zum Umgang mit den PNR-Daten und den Betroffenenrechten zur Verfügung zu stellen.

Zu Artikel 8

Der Artikel regelt die völkerrechtsförmlichen Folgen von

Vertragsverstößen. Sonstige tatsächliche Sanktionen oder politische Reaktionen werden hierdurch nicht berührt.

Zu Artikel 9

Der Artikel regelt das Inkrafttreten und die Geltungsdauer des Abkommens. Danach erfolgt nach der Zeichnung zunächst eine vorläufige Anwendung ( Satz 2 ) , die gemäß der zeichnungsbegleitenden Erklärung der EU (Anlage) nur im Rahmen der jeweils geltenden nationalen Rechtsvorschriften durchgeführt wird. Nach Abschluss der internen Verfahren (in Deutschland des Vertragsgesetzverfahrens) wird dies wechselseitig notifiziert; am ersten Tag des auf die letzte Notifikation folgenden Monats tritt das Abkommen in Kraft ( Satz 1 ) . Deutschland hat EU-intern - wie andere Mitgliedstaaten auch - durch eine Erklärung gemäß Artikel 24 Abs. 5 EUV sichergestellt, dass die EU den Verfahrensabschluss gegenüber den Vereinigten Staaten von Amerika nicht notifizieren darf bevor Deutschland der EU den Abschluss seines (Vertragsgesetz-)Verfahrens mitgeteilt hat.

Sätze 3 und 4 regeln die Abkommenskündigung, Satz 5 die Abkommensbefristung. Danach gilt das Abkommen vorbehaltlich seiner Kündigung oder Verlängerung sieben Jahre.

Zu den Schlussbestimmungen des Abkommens

Nach dem vorletzten Absatz des Abkommens zielt es nicht darauf, Ausnahmen von Gesetzen zu regeln oder diese zu ändern. Allerdings wäre eine Gesetzgebung, die die Abkommenspflichten leerlaufen ließe, nicht mit Ziel und Zweck des Abkommens vereinbar. Insoweit begründet das Abkommen auch gesetzesinhaltliche Verpflichtungen.

Satz 2 dieses Absatzes stellt klar, dass das Abkommen lediglich völkerrechtliche Staatenverpflichtungen und keine Individualrechte begründet. Soweit die Vereinigten Staaten von Amerika in dem Vertragswerk Individualrechte zusichern sind sie mithin gegenüber der EU völkerrechtlich zur Umsetzung verpflichtet, ohne dass einzelne Betroffene unmittelbar Rechte bereits aufgrund des völkerrechtlichen Vertragswerkes beanspruchen können.

Der letzte Absatz regelt die verbindlichen Sprachfassungen des Abkommens.

Zu Abschnitt I des US-Zusicherungsschreibens

Die Bestimmung fasst die entsprechenden Zweck-Regelungen in den Nummern 3 und 34 f. der vorausgegangenen US-Verpflichtungserklärung (Anlage zur Angemessenheitsentscheidung der Kommission, a. a. O.) zusammen.

Zu Abschnitt II des US-Zusicherungsschreibens

Der Abschnitt regelt die Weiterübermittlung der vom DHS erlangten PNR-Daten.

Zu Abschnitt III des US-Zusicherungsschreibens

Der Abschnitt regelt zum einen die Datenarten, die vom DHS erhoben werden dürfen. Die Liste beruht auf der Liste der vorausgegangenen amerikanischen Verpflichtungserklärung (Anlage zur Angemessenheitsentscheidung der Kommission, a. a. O., dort Anhang A), fasst jedoch einige Datenarten systematisch zusammen und lässt einzelne fort. Die unter Nr. 17 aufgeführten Abkürzungen bezeichnen "Other Service Information" (OSI), "Special Service Information" (SSI) und "Special Service Requests". In solchen Feldern können spezielle Hinweise aufgenommen werden, z.B. auf besondere Essenswünsche, besonders großes Handgepäck oder auch besondere Betreuungsanforderungen (z.B. dass der Passagier einen Rollstuhl benötigt).

Außerdem regelt der Abschnitt den Umgang mit so genannten "sensiblen" Daten, die vom DHS herausgefiltert, grundsätzlich gelöscht und nur in Ausnahmefällen - bei Lebensgefahr - und unter bestimmten verfahrensmäßigen Sicherungen genutzt werden.

Zu den Abschnitten IV und V des US-Zusicherungsschreibens

Die Abschnitte regeln die Auskunftsrechte und Rechtsbehelfe von Betroffenen.

Zu Abschnitt VI des US-Zusicherungsschreibens

Der Abschnitt ergänzt Artikel 7 des Abkommens und ist bereits dort erläutert.

Zu Abschnitt VII des US-Zusicherungsschreibens

Der Abschnitt regelt die Speicherungsdauer. Die Vereinigten Staaten von Amerika unterscheiden zwischen sogenannter "aktiver" und "ruhender" Speicherung, wobei Letzteres eine Speicherung in nicht unmittelbar recherchierbarer Form meint (vgl. Fn. 7 der vorausgegangenen amerikanischen Verpflichtungserklärung, Anlage zur Angemessenheitsentscheidung der Kommission, a.a.O.).

Die "aktive" Speicherung wird gegenüber der bisherigen Regelung von 3,5 auf 7 Jahre verlängert. Die Dauer einer "ruhenden Speicherung", in die bislang allerdings nur die zuvor im 3,5 Jahres-Zeitraum manuell abgerufenen Datensätze einbezogen wurden, bleibt bei 8 Jahren; neu sind die besonderen Verfahrensvorkehrungen, wonach diese Daten nur noch genutzt werden, wenn ein vom US-Minister benannter hochrangiger Beamter dies nach Prüfung des konkreten Bedarfs im Einzelfall genehmigt.

Die Höchstspeicherdauer verlängert sich danach von 11,5 auf 15 Jahre, wobei für die letzten 8 Jahre nunmehr besondere Verfahrenssicherungen gelten.

In die verlängerte Speicherung und die zusätzlichen Schutzvorkehrungen für "inaktive" Daten werden auch die nach den vorausgegangenen Abkommen erhobenen Daten einbezogen.

Zu Abschnitt VIII des US-Zusicherungsschreibens

Der Abschnitt ergänzt Artikel 2 des Abkommens und ist bereits dort erläutert.

Zu Abschnitt IX des US-Zusicherungsschreibens

Der Abschnitt ergänzt Artikel 5 des Abkommens und ist bereits dort erläutert.

Zu Abschnitt X des US-Zusicherungsschreibens

Der Abschnitt ergänzt Artikel 4 des Abkommens und ist bereits dort erläutert.

Antwortschreiben der EU

Absatz 2 und 4 bekräftigen Artikel 6 Satz 1 und Artikel 7 des Abkommens.

Absatz 3 Satz 1 ergänzt Artikel 6 Satz 2 des Abkommens durch die Zusicherung, dass die EU sich dagegen wenden wird falls sich internationale Organisationen oder Drittstaaten in die mit dem Vertragswerk geregelten Angelegenheiten einmischen.

Absatz 3 Satz 2 stellt die Gegenseitigkeit zu Abschnitt IX Abs. 2 des US-Zusicherungsschreibens her und ergänzt Artikel 5 des Abkommens.

Anlage zur Denkschrift

Bei der Unterzeichnung des Abkommens im Namen der EU abgegebene Erklärung (Übersetzung)

->

Anlage
Stellungnahme des Nationalen Normenkontrollrates gem. § 6 Abs. 1 NKR-Gesetz vom 6. September 2007: Entwurf des Gesetzes zu dem Abkommen vom 26. Juli 2007 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records - PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security (DHS) (PNR-Abkommen 2007)

Der Nationale Normenkontrollrat hat den Entwurf des o. g. Gesetzes auf Bürokratiekosten geprüft, die durch Informationspflichten begründet werden.

Nach US-amerikanischem Recht sind Fluggesellschaften bei Flügen in und aus den USA verpflichtet, der zuständigen US-Behörde Daten über ihre Fluggäste zu übermitteln. Das nun vorliegende Vertragsgesetz ermöglicht es den betroffenen Fluggesellschaften, dieser Informationspflicht auf innerstaatlich rechtssicherer Grundlage nachzukommen.

Das Gesetz enthält damit eine Informationspflicht für Fluggesellschaften. Für Bürger und Verwaltung sind keine Informationspflichten vorgesehen.

Das Bundesministerium schätzt die sich aus dieser Informationspflicht ergebenden Bürokratiekosten auf etwa 600 000 € pro Jahr.

Der Nationale Normenkontrollrat hat im Rahmen seines gesetzlichen Prüfauftrages keine Bedenken gegen das Regelungsvorhaben.

Dr. Ludewig Bachmaier
Vorsitzender Berichterstatter