umwelt-online Suchausgabe: umwelt

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 82 Absatz 1 Buchstabe d und Artikel 87 Absatz 2 Buchstabe a,

(1) Die länderübergreifende Dimension der schweren Kriminalität und der organisierten Kriminalität und die anhaltende Bedrohung durch Terroranschläge auf europäischem Boden erfordern geeignete Maßnahmen auf Unionsebene, mit denen die Sicherheit in einem Raum der Freiheit, der Sicherheit und des Rechts ohne Binnengrenzen gewährleistet wird. Informationen über Fluggäste wie Fluggastdatensätze (Passenger Name Records - PNR) und insbesondere vorab übermittelte Fluggastdaten (Advance Passenger Information - API) sind unverzichtbar, wenn es darum geht, mit einem hohen Risiko behaftete Fluggäste, und zwar auch solche, die den Strafverfolgungsbehörden nicht anderweitig bekannt sind, zu identifizieren, Verbindungen zwischen den Mitgliedern krimineller Gruppen herzustellen und Terrorakte abzuwehren.

(2) Die Richtlinie 2004/82/EG des Rates ³ schafft einen Rechtsrahmen für die Erhebung und Übermittlung von API-Daten durch die Fluggesellschaften mit dem Ziel, die Grenzübertrittskontrollen zu verbessern und die illegale Einwanderung zu bekämpfen, gestattet den Mitgliedstaaten jedoch auch, API-Daten zu Strafverfolgungszwecken zu verwenden. Durch die bloße Eröffnung dieser Möglichkeit entstehen allerdings einige Regelungslücken. Denn daraus folgt, dass API-Daten nicht systematisch von den Fluggesellschaften für die Strafverfolgung erhoben und übermittelt werden. Die Möglichkeit, API-Daten zu Strafverfolgungszwecken zu verwenden, bedeutet außerdem, dass die Fluggesellschaften mit nach dem jeweils geltenden nationalen Recht unterschiedlichen Anforderungen in Bezug auf den Zeitpunkt und die Art der Erhebung und Übermittlung der API-Daten zu diesen Zwecken konfrontiert sind, wenn die Mitgliedstaaten von dieser Möglichkeit Gebrauch machen. Diese Unterschiede bedeuten nicht nur für die Fluggesellschaften unnötige Kosten und Komplikationen, sondern sie beeinträchtigen auch die innere Sicherheit der Union und die wirksame Zusammenarbeit zwischen den jeweils zuständigen Strafverfolgungsbehörden der Mitgliedstaaten. Darüber hinaus werden mit der Erleichterung der Grenzübertrittskontrollen und der Strafverfolgung sehr unterschiedliche Ziele verfolgt, und es wäre sinnvoll, für jedes einen eigenen Rechtsrahmen für die Erhebung und Übermittlung von API-Daten zu schaffen.

(3) Die Richtlinie (EU) 2016/681 des Europäischen Parlaments und des Rates ⁴ enthält Vorschriften für die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität. Nach dieser Richtlinie müssen die Mitgliedstaaten die erforderlichen Maßnahmen treffen, um sicherzustellen, dass die Fluggesellschaften die PNR-Daten einschließlich etwaiger API-Daten der nationalen PNR-Zentralstelle übermitteln, die nach Maßgabe dieser Richtlinie eingerichtet wurde, soweit sie solche Daten im Rahmen ihrer normalen Geschäftstätigkeit bereits erhoben haben. Folglich garantiert die Richtlinie die Erhebung und Übermittlung von API-Daten nicht in allen Fällen, da Fluggesellschaften für ihre Geschäftszwecke keine vollständigen Datensätze zu erheben brauchen. Es ist wichtig, dass die PNR-Zentralstellen die API-Daten zusammen mit den PNR-Daten empfangen, da die zuständigen Behörden der Mitgliedstaaten nur durch die gemeinsame Verarbeitung dieser Daten in die Lage versetzt werden, terroristische Straftaten und schwere Kriminalität wirksam verhüten, aufdecken, ermitteln und verfolgen zu können. Insbesondere können durch die gemeinsame Datenverarbeitung die Fluggäste genau identifiziert werden, die von diesen Behörden möglicherweise nach geltendem Recht weiter überprüft werden sollten. Außerdem ist in dieser Richtlinie nicht im Einzelnen festgelegt, welche Informationen die API-Daten umfassen. Aus diesen Gründen sollten ergänzende Vorschriften erlassen werden, um die Fluggesellschaften zu verpflichten, einen genau definierten Satz API-Daten zu erheben und anschließend zu übermitteln; diese Anforderungen sollten gelten, wenn die Fluggesellschaften nach der genannten Richtlinie verpflichtet sind, zu demselben Flug PNR-Daten zu erheben und zu übermitteln.

(4) Deshalb ist es notwendig, auf Unionsebene klare, einheitliche und wirksame Vorschriften für die Erhebung und Übermittlung von API-Daten zum Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität zu erlassen.

(5) Angesichts des engen Zusammenhangs zwischen den beiden Rechtsakten sollte diese Verordnung so verstanden werden, dass sie die Vorschriften der Richtlinie (EU) 2016/681 in der Auslegung des Gerichtshofs der Europäischen Union (EuGH) ergänzt. Daher dürfen API-Daten im Rahmen dieser Verordnung ausschließlich in Übereinstimmung mit den hierin festgelegten spezifischen Anforderungen erhoben und übermittelt werden, einschließlich der Situationen und der Art und Weise, in der dies zu erfolgen hat. Jedoch gelten die Vorschriften der Richtlinie für Angelegenheiten, die nicht in dieser Verordnung geregelt sind, insbesondere mit Blick auf die Vorschriften für die anschließende Verarbeitung der API-Daten, die die PNR-Zentralstellen empfangen haben, den Informationsaustausch zwischen den Mitgliedstaaten, die Bedingungen für den Zugang der Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol), die Übermittlung an Drittländer, die Speicherung und Depersonalisierung sowie den Schutz personenbezogener Daten. Sofern diese Vorschriften anwendbar sind, gelten ebenfalls die Vorschriften der Richtlinie über Sanktionen und die nationalen Aufsichtsbehörden. Diese Verordnung sollte diese Vorschriften und daher insbesondere die Anforderungen und Schutzvorkehrungen, die für die Verarbeitung von API-Daten durch die PNR-Zentralstellen gelten, unberührt lassen.

(6) Durch die Erhebung und Übermittlung von API-Daten wird in die Privatsphäre natürlicher Personen eingegriffen und ihre personenbezogenen Daten werden verarbeitet. Damit ihre Grundrechte, insbesondere das Recht auf Achtung des Privatlebens und das Recht auf den Schutz personenbezogener Daten nach der Charta der Grundrechte der Europäischen Union (im Folgenden " Charta"), in vollem Umfang geachtet werden, sollten geeignete Einschränkungen und Schutzvorkehrungen vorgesehen werden. Zum Beispiel sollte die Verarbeitung von API-Daten, insbesondere wenn es sich um personenbezogene Daten handelt, immer streng auf das beschränkt bleiben, was für die Erreichung der Ziele dieser Verordnung erforderlich und verhältnismäßig ist. Darüber hinaus sollte sichergestellt werden, dass die Verarbeitung von gemäß dieser Verordnung erhobenen und übermittelten API-Daten zu keiner unzulässigen Form der Diskriminierung im Sinne der Charta führt.

(7) Da diese Verordnung die Richtlinie (EU) 2016/681 ergänzt, sollten die in der Verordnung geregelten Verpflichtungen der Fluggesellschaften auch für alle Flüge gelten, für die die Mitgliedstaaten die Fluggesellschaften gemäß der Richtlinie (EU) 2016/681 zur Übermittlung von PNR-Daten verpflichten müssen, und zwar unabhängig vom Niederlassungsort der Fluggesellschaften, die diese Flüge durchführen. Diese Flüge sollten sowohl Linien- als auch Gelegenheitsflüge und Flüge zwischen Mitgliedstaaten und Drittländern (Drittstaatsflüge) ebenso wie Flüge zwischen verschiedenen Mitgliedstaaten (EU-Flüge) umfassen, sofern diese EU-Flüge im Hoheitsgebiet mindestens eines Mitgliedstaats starten, landen oder eine Zwischenlandung im Hoheitsgebiet mindestens eines Mitgliedstaats vornehmen, der seine Entscheidung mitgeteilt hat, die Richtlinie (EU) 2016/681 auf EU-Flüge gemäß Artikel 2 Absatz 1 der genannten Richtlinie und im Einklang mit der Rechtsprechung des EuGH anzuwenden. Für die unter diese Verordnung fallenden EU-Flüge sollte ein solcher gezielter Ansatz, der in Anwendung von Artikel 2 der Richtlinie (EU) 2016/681 eingeführt wurde und sich auf die Anforderungen einer wirksamen Strafverfolgung konzentriert, auch angesichts der Notwendigkeit, die Einhaltung der Anforderungen des Unionsrechts in Bezug auf die Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung, den freien Personenverkehr und die Abschaffung der Kontrollen an den Binnengrenzen sicherzustellen, erforderlich sein. Die Erhebung von Daten zu anderen zivilen Formen des Betriebs von Luftfahrzeugen, etwa Flügen von Flugschulen, Ambulanzflügen, Notflügen sowie Militärflügen, fällt nicht in den Anwendungsbereich dieser Verordnung. Diese Verordnung lässt die Erhebung von Daten zu solchen Flügen gemäß nationalen Rechtsvorschriften, die mit dem Unionsrecht vereinbar sind, unberührt. Die Kommission sollte die Durchführbarkeit einer Unionsregelung prüfen, mit der die Betreiber von Privatflügen verpflichtet werden, Fluggastdaten zu erheben und zu übermitteln.

(8) Die Verpflichtungen der Fluggesellschaften zur Erhebung und Übermittlung von API-Daten gemäß dieser Verordnung sollten sich auf alle Fluggäste und Besatzungsmitglieder auf Flügen in die Union, Transitfluggäste und Besatzungsmitglieder, deren endgültiges Reiseziel außerhalb der Union liegt, sowie auf alle Besatzungsmitglieder außer Dienst beziehen, die von einer Fluggesellschaft im Rahmen ihrer Aufgaben auf einem Flug befördert werden.

(9) Da die Richtlinie (EU) 2016/681 nicht für Inlandsflüge gilt, die im Hoheitsgebiet ein und desselben Mitgliedstaats ohne Zwischenlandung in einem anderen Mitgliedstaat oder einem Drittstaat starten und landen, und angesichts der länderübergreifenden Dimension terroristischer Straftaten und der schweren Kriminalität, auf die sich diese Verordnung bezieht, sollten diese Flüge auch nicht in den Geltungsbereich dieser Verordnung fallen. Diese Verordnung sollte nicht so verstanden werden, dass sie die Mitgliedstaaten in deren Möglichkeiten einschränkt, nach Maßgabe der nationalen Rechtsvorschriften und des Unionsrechts die Fluggesellschaften dazu zu verpflichten, API-Daten für solche Inlandsflüge zu erheben und zu übermitteln.

(10) Angesichts des engen Zusammenhangs zwischen den betreffenden Rechtsakten der Union und im Interesse der Einheitlichkeit und Kohärenz sollten die Begriffsbestimmungen dieser Verordnung gegebenenfalls an die Begriffsbestimmungen der Richtlinie (EU) 2016/681 und der Verordnung (EU) 2025/12 des Europäischen Parlaments und des Rates ⁵ angepasst und entsprechend ausgelegt und angewandt werden.

(11) Insbesondere sollten die Angaben, die zusammen die gemäß dieser Verordnung zu erhebenden und zu übermittelnden API-Daten bilden, klar und erschöpfend aufgeführt werden, und sowohl Informationen über jeden Fluggast und jedes Besatzungsmitglied als auch Angaben über den Flug des jeweiligen Fluggastes bzw. Besatzungsmitglieds umfassen. Gemäß dieser Verordnung und im Einklang mit internationalen Standards sollten diese Fluginformationen sofern verfügbar Angaben zu Sitzplätzen und Gepäck sowie Angaben zu der Grenzübergangsstelle der Einreise in das Hoheitsgebiet des betreffenden Mitgliedstaats nur dann umfassen, wenn sich die API-Daten nicht auf EU-Flüge beziehen. Wenn Angaben zu Gepäck oder Sitzplätzen in anderen IT-Systemen verfügbar sind, über die die Fluggesellschaft, ihr Abfertigungsdienstleister, ihr Systemanbieter oder die Flughafenbehörde verfügt, sollten die Fluggesellschaften diese Angaben in die API-Daten aufnehmen, die den PNR-Zentralstellen zu übermitteln sind. API-Daten im Sinne dieser Verordnung umfassen keine biometrischen Daten.

(12) Um das Reisen ohne Mitführen eines Reisedokuments in den Fällen zu ermöglichen, in denen die Mitgliedstaaten eine solche Praxis nach nationalem Recht im Einklang mit dem Unionsrecht, auch auf der Grundlage eines internationalen Übereinkommens, zulassen, sollte es einem Mitgliedstaat möglich sein, die Fluggesellschaften zu verpflichten, den Fluggästen die Möglichkeit zu geben, API-Daten freiwillig mithilfe automatisierter Verfahren hochzuladen und diese Daten bei der Fluggesellschaft zu speichern, damit die Daten für künftige Flüge übermittelt werden können.

(13) Zur Ermöglichung von Flexibilität und Innovation sollte es unter Berücksichtigung der verschiedenen Arten von Fluggesellschaften im Sinne dieser Verordnung und ihrer jeweiligen Geschäftsmodelle, unter anderem bezüglich der Zeiten für den Check-in und der Zusammenarbeit mit Flughäfen, grundsätzlich jeder Fluggesellschaft überlassen bleiben, wie sie ihren Verpflichtungen in Bezug auf die Erhebung von API-Daten gemäß dieser Verordnung nachkommt. Da es jedoch geeignete technische Lösungen gibt, die die automatische Erhebung bestimmter API-Daten ermöglichen und gleichzeitig sicherstellen, dass die betreffenden API-Daten korrekt, vollständig und aktuell sind, und angesichts der Vorteile des Einsatzes dieser Technologie hinsichtlich Wirksamkeit und Effizienz, sollten die Fluggesellschaften verpflichtet werden, diese API-Daten aus den maschinenlesbaren Daten des Reisedokuments automatisch zu erheben. Ist die Verwendung solcher automatisierter Verfahren technisch unter außergewöhnlichen Umständen nicht möglich, sollten die Fluggesellschaften die API-Daten ausnahmsweise entweder beim Online-Check-in oder beim Check-in am Flughafen manuell erheben, um die Einhaltung ihrer Verpflichtungen nach dieser Verordnung sicherzustellen.

(14) Die Erhebung von API-Daten mithilfe automatisierter Verfahren sollte strikt auf die im Reisedokument enthaltenen alphanumerischen Daten beschränkt sein und darf nicht zur Erhebung biometrischer Daten aus dem Reisedokument führen. Da die Erhebung von API-Daten Teil des Check-in ist, sei es online oder am Flughafen, enthält diese Verordnung keine Verpflichtung der Fluggesellschaften, die Reisedokumente der Fluggäste zum Zeitpunkt des Einsteigens zu prüfen. Zur Einhaltung dieser Verordnung ist es nicht erforderlich, dass die Fluggäste verpflichtet sind, beim Einsteigen ein Reisedokument mitzuführen. Dies sollte Verpflichtungen aus anderen Rechtsakten der Union oder nationalen Rechtsvorschriften, die mit dem Unionsrecht im Einklang stehen, unberührt lassen.

(15) Die Erhebung von API-Daten aus Reisedokumenten sollte auch mit den Standards der Internationalen Zivilluftfahrt-Organisation (ICAO) zu maschinenlesbaren Reisedokumenten im Einklang stehen, die mit der Verordnung (EU) 2019/1157 des Europäischen Parlaments und des Rates ⁶, der Verordnung (EG) Nr. 2252/2004 des Rates ⁷ und der Richtlinie (EU) 2019/997 des Rates ⁸ in das Unionsrecht aufgenommen wurden.

(16) Damit die Fluggesellschaften für die Übermittlung der im Rahmen dieser Verordnung erhobenen API-Daten nicht viele einzelne Anbindungen zu den PNR-Zentralstellen der Mitgliedstaaten einrichten und aufrechterhalten müssen und es nicht zu den damit verbundenen Ineffizienzen und Sicherheitsrisiken kommt, sollte im Einklang mit dieser Verordnung und der Verordnung (EU) 2025/12 als Anschluss- und Verteilungspunkt für diese Übermittlung nur ein einziger Router auf Unionsebene eingerichtet und betrieben werden. Im Interesse der Effizienz und Kosteneffizienz sollte sich der Router, soweit technisch möglich und unter uneingeschränkter Einhaltung der Vorschriften dieser Verordnung und der Verordnung (EU) 2025/12, auf technische Komponenten anderer einschlägiger Systeme stützen, die nach dem Unionsrecht geschaffen wurden, insbesondere den Web-Dienst gemäß der Verordnung (EU) 2017/2226 des Europäischen Parlaments und des Rates ⁹, den Zugang für Beförderungsunternehmen gemäß der Verordnung (EU) 2018/1240 des Europäischen Parlaments und des Rates ¹⁰ und den Zugang für Beförderungsunternehmen gemäß der Verordnung (EG) Nr. 767/2008 des Europäischen Parlaments und des Rates ¹¹. Um die Auswirkungen auf die Luftfahrtunternehmen zu verringern und sicherzustellen, dass für sie ein einheitlicher Ansatz gilt, sollte die mit der Verordnung (EU) 2018/1726 des Europäischen Parlaments und des Rates ¹² errichtete Agentur der Europäischen Union für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA) den Router - soweit technisch und betrieblich möglich - in einer Weise konzipieren, die im Einklang mit den Verpflichtungen steht, die den Luftfahrtunternehmen aus den Verordnungen (EG) Nr. 767/2008, (EU) 2017/2226 und (EU) 2018/1240 erwachsen.

(17) Um die Lesbarkeit der PNR-Daten durch die PNR-Zentralstellen und das ordnungsgemäße Funktionieren ihrer PNR-Systeme zu gewährleisten, sollten die digitalen Nachrichten einer Fluggesellschaft, die einen oder mehrere Fluggastdatensätze enthalten (im Folgenden "PNR-Datensätze"), von den Fluggesellschaften übermittelt und vom Router hinsichtlich sowohl des Inhalts als auch der Struktur in einem standardisierten Format mittels standardisierter Datenfelder oder -codes übertragen werden. Bevor der Router in Bezug auf sonstige PNR-Daten seinen Betrieb aufnimmt, sollte mit den Tests, die von eu-LISA durchzuführen sind, sichergestellt werden, dass der Router über die erforderliche Fähigkeit, Geschwindigkeit und Zuverlässigkeit verfügt, um für eine solche Standardisierung zu sorgen. Zu diesem Zweck sollte die Kommission die erforderlichen Schritte unternehmen, um die bestehenden Durchführungsvorschriften, die gemäß Artikel 16 der Richtlinie (EU) 2016/681 erlassen wurden und gemeinsame Protokolle und unterstützte Datenformate enthalten, zu überarbeiten. Eine solche Überarbeitung sollte in enger Abstimmung mit Vertretern der Mitgliedstaaten erfolgen, um deren Fachwissen zu nutzen und sicherzustellen, dass die bewährten Verfahren, die sie bei der Umsetzung der Richtlinie (EU) 2016/681 auf nationaler Ebene ausgearbeitet haben, auf EU-Ebene für die Funktionsweise des Routers berücksichtigt werden. Die API-PNR-Kontaktgruppe sollte eine solche Überarbeitung unterstützen.

(18) Um die Effizienz der Übertragung von Flugverkehrsdaten zu verbessern und die Überwachung der an die PNR-Zentralstellen übertragenen API-Daten zu unterstützen, sollte der Router von anderen Organisationen wie der Europäischen Organisation für Flugsicherung ("Eurocontrol") erhobene Echtzeit-Flugverkehrsinformationen empfangen.

(19) Der Router sollte nur dazu dienen, die Übermittlung von API-Daten und anderen PNR-Daten an die PNR-Zentralstellen durch die Fluggesellschaften gemäß dieser Verordnung zu erleichtern, und keine API-Daten oder andere PNR-Daten abspeichern. Um das Risiko eines unbefugten Zugriffs oder sonstigen Missbrauchs möglichst gering zu halten und gemäß dem Grundsatz der Datenminimierung, sollte daher keine Speicherung stattfinden, es sei denn, sie wird auf das für technische Zwecke im Zusammenhang mit der Übertragung absolut Notwendige beschränkt, und die API-Daten oder anderen PNR-Daten sollten unverzüglich, dauerhaft und automatisch vom Router gelöscht werden, sobald die Übertragung abgeschlossen ist oder die API-Daten oder andere PNR-Daten gegebenenfalls nach der vorliegenden Verordnung überhaupt nicht übertragen werden dürfen.

(20) Damit die Fluggesellschaften so bald wie möglich von den Vorteilen der Nutzung des von der eu-LISA gemäß dieser Verordnung und der Verordnung (EU) 2025/12 entwickelten Routers profitieren und Erfahrungen mit dessen Nutzung sammeln können, sollten die Fluggesellschaften während eines Übergangszeitraums die Möglichkeit, aber nicht die Verpflichtung haben, den Router zur Übermittlung der Informationen zu nutzen, die sie im Rahmen der Richtlinie 2004/82/EG übermitteln müssen. Dieser Übergangszeitraum sollte beginnen, sobald der Router seinen Betrieb aufnimmt, und enden, wenn die Verpflichtungen aus der genannten Richtlinie nicht mehr gelten. Damit eine solche freiwillige Nutzung des Routers in verantwortungsvoller Weise erfolgt, sollte die vorherige schriftliche Zustimmung des Mitgliedstaats, der die Informationen erhalten soll, auf Antrag der Fluggesellschaft und gegebenenfalls nachdem dieser Mitgliedstaat Überprüfungen durchgeführt und Zusicherungen erhalten hat, erforderlich sein. Damit die Fluggesellschaften die Nutzung des Routers nicht wiederholt beginnen und beenden, sollten sie, sobald sie mit der Nutzung auf freiwilliger Basis begonnen haben, verpflichtet werden, diese fortzusetzen, es sei denn, es liegen objektive Gründe vor, den Router nicht mehr für die Übermittlung der Informationen an den betreffenden Mitgliedstaat zu verwenden, z.B. wenn sich herausstellt, dass die Informationen nicht rechtmäßig, sicher, wirksam und rasch übermittelt werden. Im Interesse der ordnungsgemäßen Anwendung der Möglichkeit der freiwilligen Nutzung des Routers und unter gebührender Berücksichtigung der Rechte und Interessen aller betroffenen Parteien sollte mit dieser Verordnung das dafür erforderliche Regelwerk für Beratung und für die Bereitstellung von Informationen geschaffen werden. Eine solche freiwillige Nutzung des Routers gemäß der Richtlinie 2004/82/EG, wie sie diese Verordnung vorsieht, sollte nicht so verstanden werden, dass sie die den Fluggesellschaften und den Mitgliedstaaten aus dieser Richtlinie erwachsenden Verpflichtungen in irgendeiner Weise berührt.

(21) Die in dieser Verordnung und in den entsprechenden delegierten Rechtsakten und Durchführungsrechtsakten festgelegten Anforderungen sollten zur einheitlichen Umsetzung dieser Verordnung durch die Fluggesellschaften führen, wodurch die Kosten für die Verknüpfung ihrer jeweiligen Systeme minimiert werden. Um eine harmonisierte Umsetzung dieser Anforderungen durch die Fluggesellschaften zu erleichtern, insbesondere in Bezug auf die Datenstruktur, das Datenformat und das Protokoll für die Übertragung der Daten, sollte die Kommission auf der Grundlage ihrer Zusammenarbeit mit den PNR-Zentralstellen, den anderen Behörden der Mitgliedstaaten, den Fluggesellschaften und den zuständigen Agenturen der Union sicherstellen, dass das von der Kommission zu erstellende Handbuch alle erforderlichen Leitlinien und Klarstellungen enthält.

(22) Zur Verbesserung der Qualität der API-Daten sollte der gemäß dieser Verordnung eingerichtete Router überprüfen, ob die API-Daten, die ihm von den Fluggesellschaften übermittelt werden, den unterstützten Datenformaten genügen. Wird bei der Überprüfung festgestellt, dass die Daten nicht mit diesen Datenformaten übereinstimmen, sollte der Router die betreffende Fluggesellschaft unverzüglich und automatisch davon in Kenntnis setzen.

(23) Die Fluggäste sollten die Möglichkeit haben, mithilfe von automatisierten Verfahren bestimmte API-Daten während eines Check-in-Prozesses online selbst bereitzustellen, beispielsweise über eine sichere App auf dem Smartphone des Fluggastes, einen Computer oder eine Webcam mit der Fähigkeit, die maschinenlesbaren Daten des Reisedokuments auszulesen. Wenn die Fluggäste den Online-Check-in nicht durchlaufen haben, sollten ihnen die Fluggesellschaften die Möglichkeit geben, die erforderlichen maschinenlesbaren API-Daten während des Check-in am Flughafen mit der Unterstützung eines Self-Service-Kiosks oder des Personals am Schalter der Fluggesellschaft zur Verfügung zu stellen. Unbeschadet der Freiheit der Fluggesellschaften, Flugpreise zu bestimmen und ihre Geschäftspolitik festzulegen, ist es wichtig, dass die Verpflichtungen im Rahmen dieser Verordnung nicht zu unverhältnismäßigen Hindernissen, etwa zu zusätzlichen Gebühren für die Bereitstellung von API-Daten am Flughafen, für Fluggäste führen, die nicht in der Lage sind, API-Daten online zur Verfügung zu stellen. Darüber hinaus sollte in dieser Verordnung ein Übergangszeitraum vorgesehen werden, in dem die Fluggäste die Möglichkeit erhalten, API-Daten im Rahmen des Online-Check-in manuell bereitzustellen. In solchen Fällen sollten die Fluggesellschaften Techniken zur Verifizierung der Daten anwenden.

(24) Es ist von grundlegender Bedeutung, dass die Systeme für die automatische Datenerhebung und anderen im Rahmen dieser Verordnung eingerichteten Verfahren sich nicht negativ auf die Beschäftigten in der Luftfahrtbranche auswirken, denen Weiterbildungen und Umschulungen angeboten werden sollen, wodurch die Effizienz und Zuverlässigkeit der Datenerhebung und -übermittlung sowie die Arbeits- und Beschäftigungsbedingungen in der Branche verbessert würden.

(25) Damit die gemeinsame Verarbeitung von API- und PNR-Daten sichergestellt wird - mit dem Ziel, Terrorismus und schwere Kriminalität in der Union wirksam zu bekämpfen und gleichzeitig die Eingriffe in die durch die Charta geschützten Grundrechte der Fluggäste auf ein Mindestmaß zu begrenzen -, sollten die zuständigen Behörden in den Mitgliedstaaten als PNR-Zentralstellen fungieren und die gemäß dieser Verordnung erhobenen und übermittelten API-Daten empfangen, verarbeiten und schützen. Aus Gründen der Effizienz und zur Minimierung der Sicherheitsrisiken sollte der Router, der von der eu-LISA gemäß dieser Verordnung und der Verordnung (EU) 2025/12 konzipiert, entwickelt, gehostet und technisch gewartet wird, den jeweils zuständigen PNR-Zentralstellen die API-Daten übertragen, die von den Fluggesellschaften im Rahmen dieser Verordnung erhoben und an den Router übermittelt werden. Da API-Daten, die personenbezogene Daten darstellen, besonders geschützt werden müssen und ihre Vertraulichkeit gewahrt werden muss, sollten sie den zuständigen PNR-Zentralstellen in einem automatisierten Verfahren vom Router übertragen werden. Diese Verordnung sollte die Möglichkeit der Mitgliedstaaten unberührt lassen, ein zentrales Dateneingangsportal einzurichten, das ihre Anbindung und Anpassung an den Router gewährleistet.

(26) Zur Gewährleistung der Einhaltung der in der Charta verankerten Rechte und zur Sicherstellung barrierefreier und inklusiver Reisemöglichkeiten, insbesondere für schutzbedürftige Gruppen und Menschen mit Behinderungen, und im Einklang mit den in der Verordnung (EG) Nr. 1107/2006 des Europäischen Parlaments und des Rates ¹³ festgelegten Rechten von behinderten Flugreisenden und Flugreisenden mit eingeschränkter Mobilität sollten die Fluggesellschaften mit Unterstützung der Mitgliedstaaten sicherstellen, dass jederzeit eine Möglichkeit zur Bereitstellung der erforderlichen Daten durch Fluggäste am Flughafen zur Verfügung steht.

(27) Bei Drittstaatsflügen sollte der Router die API-Daten für alle Flüge, für die gemäß der Richtlinie (EU) 2016/681 die PNR-Daten erhoben werden, der PNR-Zentralstelle des Mitgliedstaats übermitteln, in dessen Hoheitsgebiet der Flug ankommt oder startet. Der Router sollte den Flug und die entsprechenden PNR-Zentralstellen anhand der Informationen im PNR-Buchungscode identifizieren, einem Datenelement, das sowohl in den API-Datensätzen als auch in den PNR-Datensätzen enthalten ist und die gemeinsame Verarbeitung der API- und PNR-Daten durch die PNR-Zentralstellen ermöglicht.

(28) Für EU-Flüge gilt es, nach der Rechtsprechung des EuGH, zur Vermeidung unrechtmäßiger Eingriffe in die durch die Charta geschützten einschlägigen Grundrechte der Fluggäste und zur Gewährleistung der Vereinbarkeit mit der im Unionsrecht vorgesehenen Freizügigkeit und Abschaffung der Kontrollen an den Binnengrenzen ein Auswahlprinzip festzulegen. Da unbedingt sichergestellt werden muss, dass die API-Daten zusammen mit den PNR-Daten verarbeitet werden können, sollte dieser Ansatz mit den Bestimmungen der Richtlinie (EU) 2016/681 im Einklang stehen. Aus diesen Gründen sollten die API-Daten zu diesen Flügen nur dann vom Router an die zuständigen PNR-Zentralstellen übertragen werden, wenn die Mitgliedstaaten die betreffenden Flüge in Anwendung von Artikel 2 der Richtlinie (EU) 2016/681 und im Einklang mit dem Auswahlprinzip gemäß dieser Verordnung ausgewählt haben. Nur in Fällen einer tatsächlichen gegenwärtigen oder absehbaren terroristischen Bedrohung und auf der Grundlage eines Beschlusses, der auf einer Einschätzung der Bedrohungslage beruht, zeitlich auf das absolut Notwendige beschränkt ist und wirksam überprüft werden kann, sollten die Mitgliedstaaten die Richtlinie (EU) 2016/681 auf alle EU-Flüge anwenden können, die in ihrem Hoheitsgebiet ankommen oder von dort starten. In anderen Fällen sollte ein Auswahlprinzip vorgesehen werden. Die Auswahl bedeutet, wie der EuGH ausführt, dass die Mitgliedstaaten die fraglichen Verpflichtungen nur zielgerichtet unter anderem auf bestimmte Flugverbindungen, Reisemuster oder Flughäfen ausrichten und diese Auswahl regelmäßig überprüfen. Zudem sollte die Auswahl auf einer objektiven, hinreichend begründeten und diskriminierungsfreien Einschätzung beruhen, bei der ausschließlich Kriterien berücksichtigt werden, die für die Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität von Bedeutung sind und in einem objektiven, auch mittelbaren, Zusammenhang mit der Beförderung von Fluggästen stehen. Die Mitgliedstaaten sollten alle einschlägigen Unterlagen im Zusammenhang mit der Einschätzung aufbewahren, um eine ordnungsgemäße Kontrolle zu ermöglichen, und ihre Einschätzung regelmäßig, mindestens jedoch alle 12 Monate, gemäß Artikel 13 Absatz 7 dieser Verordnung überprüfen.

(29) Das Auswahlprinzip sollte im Rahmen dieser Verordnung auf EU-Flüge angewendet werden können, und so sollten die Mitgliedstaaten verpflichtet werden, Listen der von ihnen ausgewählten Flüge oder Flugverbindungen zu erstellen und diese in den Router einzugeben, damit die Agentur eu-LISA dafür sorgen kann, dass nur API-Daten für diese Flüge oder Flugverbindungen vom Router den betreffenden PNR-Zentralstellen übertragen werden und die API-Daten zu anderen EU-Flügen unverzüglich und dauerhaft gelöscht werden.

(30) Um die Kohärenz zwischen den Auswahlprinzipien der verschiedenen Mitgliedstaaten zu erhöhen, sollte die Kommission den regelmäßigen Austausch über die Wahl der Auswahlkriterien, einschließlich des Austausches über bewährte Verfahren und des Austausches auf freiwilliger Basis von Informationen über ausgewählte Flüge, erleichtern.

(31) Damit die Wirksamkeit des Systems, das auf der Erhebung und Übermittlung von API-Daten gemäß dieser Verordnung und von PNR-Daten im Rahmen des mit der Richtlinie (EU) 2016/681 eingerichteten Systems beruht, für die Verhütung, Aufdeckung, Ermittlung und Verfolgung terroristischer Straftaten und schwerer Kriminalität nicht insbesondere dadurch gefährdet wird, dass die Umgehung der Maßnahmen ermöglicht wird, sollte vertraulich behandelt werden, welche EU-Flüge von den Mitgliedstaaten ausgewählt werden. Weil diese Informationen deshalb nicht an die Fluggesellschaften weitergegeben werden sollten, sollten diese dazu verpflichtet werden, die API-Daten zu allen unter diese Verordnung fallenden Flügen, einschließlich aller EU-Flüge, zu erheben und an den Router zu übermitteln; dort sollte schließlich die erforderliche Auswahl getroffen werden. Wenn zu allen EU-Flügen API-Daten erhoben werden, erfahren außerdem die Fluggäste nicht, für welche Flüge entsprechend der Einschätzung der Mitgliedstaaten die API-Daten und damit auch die PNR-Daten an die PNR-Zentralstellen übertragen werden. Dadurch wird auch gewährleistet, dass Änderungen dieser Auswahl rasch und wirksam umgesetzt werden können, ohne dass den Fluggesellschaften unangemessene wirtschaftliche und betriebliche Belastungen entstünden.

(32) Diese Verordnung schließt im Einklang mit dem Unionsrecht und der Rechtsprechung des EuGH die Erhebung oder Übermittlung von API-Daten über EU-Flüge zum Zwecke der Bekämpfung der illegalen Einwanderung aus.

(33) Im Interesse der Achtung des Grundrechts auf den Schutz personenbezogener Daten sollten in der vorliegenden Verordnung der Verantwortliche und der Auftragsverarbeiter bestimmt und Vorschriften für Überprüfungen festgelegt werden. Damit eine wirksame Kontrolle stattfinden kann, die personenbezogenen Daten ausreichend geschützt und die Sicherheitsrisiken möglichst klein gehalten werden, sollten auch Vorschriften für die Protokollierung, die Sicherheit der Datenverarbeitung und die Selbstkontrolle erlassen werden. Soweit sich diese Vorschriften auf die Verarbeitung personenbezogener Daten beziehen, sollten sie mit den allgemein geltenden Rechtsakten der Union über den Schutz personenbezogener Daten im Einklang stehen, insbesondere den Verordnungen (EU) 2016/679 ¹⁴ und (EU) 2018/1725 ¹⁵ des Europäischen Parlaments und des Rates.

(34) Unbeschadet spezifischerer Vorschriften der vorliegenden Verordnung für die Verarbeitung personenbezogener Daten sollte die Verordnung (EU) 2016/679 für die Verarbeitung personenbezogener Daten durch die Fluggesellschaften im Rahmen dieser Verordnung gelten. Die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates ¹⁶ sollte auf die im Rahmen dieser Verordnung durchgeführte Verarbeitung personenbezogener Daten durch die zuständigen nationalen Behörden im Sinne der genannten Richtlinie zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, Anwendung finden. Für die Verarbeitung personenbezogener Daten durch die eu-LISA bei der Ausführung ihrer Verpflichtungen im Rahmen dieser Verordnung sollte die Verordnung (EU) 2018/1725 gelten.

(35) Unter Berücksichtigung des Rechts der Fluggäste, über die Verarbeitung ihrer personenbezogenen Daten informiert zu werden, sollten die Mitgliedstaaten sicherstellen, dass den Fluggästen zum Zeitpunkt der Buchung und zum Zeitpunkt des Check-in genaue, leicht zugängliche und leicht verständliche Informationen über die Erhebung von API-Daten, die Übermittlung dieser Daten an die PNR-Zentralstelle und ihre Rechte als betroffene Personen zur Verfügung gestellt werden.

(36) Die Überprüfungen in Bezug auf den Schutz personenbezogener Daten, für die die Mitgliedstaaten zuständig sind, sollten von den in Artikel 41 der Richtlinie (EU) 2016/680 genannten unabhängigen Aufsichtsbehörden oder von einer von der Aufsichtsbehörde mit dieser Aufgabe betrauten Prüfstelle durchgeführt werden.

(37) Die Verarbeitungsvorgänge im Rahmen dieser Verordnung, d. h. die Übertragung von API-Daten von Fluggesellschaften über den Router an die PNR-Zentralstellen der Mitgliedstaaten, dienen der Unterstützung dieser Behörden bei der Erfüllung ihrer Pflichten und Aufgaben im Einklang mit der Richtlinie (EU) 2016/681. Daher sollten die Mitgliedstaaten Behörden benennen, die für die Verarbeitung der Daten im Router, die Übertragung der Daten vom Router an die PNR-Zentralstellen und die anschließende Verarbeitung dieser Daten im Einklang mit der Richtlinie (EU) 2016/681 verantwortlich sind. Die Mitgliedstaaten sollten der Kommission und der eu-LISA mitteilen, welche Behörden sie benannt haben. Für die Verarbeitung personenbezogener Daten im Router sollten die Mitgliedstaaten gemeinsam Verantwortliche gemäß Artikel 21 der Richtlinie (EU) 2016/680 sein. Separat sollten die Fluggesellschaften ihrerseits Verantwortliche für die Verarbeitung von API-Daten sein, bei denen es sich um personenbezogene Daten nach der genannten Verordnung handelt. Auf dieser Grundlage sollten voneinander unabhängig sowohl die Fluggesellschaften als auch die PNR-Zentralstellen Verantwortliche für die Verfahren zur Verarbeitung von API-Daten nach dieser Verordnung sein. Da die eu-LISA für die Konzeption, die Entwicklung, das Hosting und die technische Verwaltung des Routers verantwortlich ist, sollte sie Auftragsverarbeiterin für die Verarbeitung von API-Daten, bei denen es sich um personenbezogene Daten handelt, über den Router sein, einschließlich der Übertragung der Daten vom Router an die PNR-Zentralstellen und der Speicherung dieser Daten auf dem Router, sofern eine solche Speicherung für technische Zwecke erforderlich ist.

(38) Der Router, der gemäß dieser Verordnung und der Verordnung (EU) 2025/12 einzurichten und zu betreiben ist, sollte so konzipiert sein, dass für die Übermittlung der API-Daten gemäß dieser Verordnung weniger und einfachere technische Anbindungen nötig sind; diese sollten sich auf eine Anbindung je Fluggesellschaft und PNR-Zentralstelle beschränken. Deshalb sollten die PNR-Zentralstellen und die Fluggesellschaften mit dieser Verordnung verpflichtet werden, eine solche Anbindung an den Router einzurichten und die dafür erforderlichen Anpassungen vorzunehmen, damit das mit dieser Verordnung eingerichtete System zur Übermittlung von API-Daten ordnungsgemäß funktionieren kann. Die Konzeption und Entwicklung des Routers durch die eu-LISA sollte die wirksame und effiziente Anbindung und Anpassung der Systeme und Infrastrukturen der Fluggesellschaften ermöglichen, indem alle einschlägigen Standards und technischen Anforderungen festgelegt werden. Um das ordnungsgemäße Funktionieren des durch diese Verordnung geschaffenen Systems zu gewährleisten, sollten detaillierte Vorschriften festgelegt werden. Bei der Konzeption und Entwicklung des Routers sollte die eu-LISA sicherstellen, dass die von den Fluggesellschaften an die PNR-Zentralstellen übermittelten API-Daten und sonstigen PNR-Daten während der Übertragung verschlüsselt werden.

(39) Angesichts der in Rede stehenden Interessen der Union sollten alle Kosten, die der eu-LISA bei der Wahrnehmung ihrer Aufgaben gemäß dieser Verordnung in Bezug auf den Router entstehen, vom Unionshaushalt getragen werden, einschließlich der Kosten für die Konzeption und Entwicklung des Routers, das Hosting und die technische Verwaltung des Routers sowie für die Governance-Struktur der eu-LISA zur Unterstützung der Konzeption und Entwicklung, des Hostings und der technischen Verwaltung des Routers. Dies könnte nach Maßgabe des anwendbaren Unionsrechts auch Kosten einbeziehen, die den Mitgliedstaaten im Zusammenhang mit ihrer Anbindung und Anpassung an den Router sowie der Wartung des Routers gemäß dieser Verordnung entstehen. Es ist wichtig, dass die Mitgliedstaaten für diese Kosten aus dem Unionshaushalt eine angemessene finanzielle Unterstützung erhalten. Zu diesem Zweck sollte der Finanzbedarf der Mitgliedstaaten aus dem Gesamthaushaltsplan der Union im Einklang mit den in den einschlägigen Rechtsakten der Union festgelegten Bestimmungen über die Förderfähigkeit und Kofinanzierungssätzen gedeckt werden. Der der eu-LISA jährlich zugewiesene EU-Beitrag sollte den Bedarf im Zusammenhang mit dem Hosting und der technischen Verwaltung des Routers auf der Grundlage einer von der eu-LISA durchgeführten Bewertung decken. Die Haushaltsmittel der Union sollten auch die Unterstützung von Fluggesellschaften und den PNR-Zentralstellen durch die eu-LISA, etwa durch Schulungen, abdecken, um die wirksame Übermittlung und Übertragung von API-Daten über den Router zu ermöglichen. Die Kosten, die den unabhängigen nationalen Aufsichtsbehörden im Zusammenhang mit den ihnen gemäß dieser Verordnung übertragenen Aufgaben entstehen, sollten von den betreffenden Mitgliedstaaten getragen werden.

(40) Gemäß der Verordnung (EU) 2018/1726 können die Mitgliedstaaten die eu-LISA mit der Aufgabe betrauen, die Konnektivität mit den Fluggesellschaften zu erleichtern, um die Mitgliedstaaten bei der Umsetzung der Richtlinie (EU) 2016/681 zu unterstützen, insbesondere was die Erhebung und Übermittlung der PNR-Daten über einen Router angeht. Zu diesem Zweck und aus Gründen der Kostenwirksamkeit und Effizienz sowohl für die Mitgliedstaaten als auch für die Fluggesellschaften sollte diese Verordnung die Fluggesellschaften dazu verpflichten, zur Übermittlung anderer PNR-Daten, die unter die Richtlinie (EU) 2016/681 fallen, an die Datenbanken ihrer jeweiligen PNR-Zentralstellen im Rahmen nationaler Maßnahmen zur Umsetzung der Bestimmung der genannten Richtlinie bezüglich der Verpflichtung der Mitgliedstaaten, sicherzustellen, dass die Fluggesellschaften den PNR-Zentralstellen PNR-Daten mit der "Push-Methode" übermitteln, den Router zu nutzen.

(41) Um sicherzustellen, dass die betreffenden Daten rechtmäßig, sicher, wirksam und rasch verarbeitet werden, sollten die in dieser Verordnung festgelegten Vorschriften in Bezug auf den Router und die Übertragung von API-Daten vom Router an die PNR-Zentralstellen entsprechend für andere PNR-Daten gelten. Diese Vorschriften umfassen auch die Verpflichtungen dieser Verordnung in Bezug auf die Übermittlung und Übertragung von Daten im Zusammenhang mit EU-Flügen im Einklang mit der Rechtsprechung des EuGH sowie in Bezug auf die Anbindung der Fluggesellschaften und der PNR-Zentralstelle an den Router. Hinsichtlich der Vorschriften über den Zeitpunkt der Übertragung, die Übertragungsprotokolle und die Datenformate, in denen die PNR-Datensätze an den Router zu übermitteln sind, gelten die einschlägigen Bestimmungen der Richtlinie (EU) 2016/681.

(42) Es sollte klargestellt werden, dass sich die Verwendung des Routers im Zusammenhang mit anderen PNR-Daten nur auf die Art und Weise auswirkt, in der diese Daten übermittelt und an die Datenbanken der PNR-Zentralstellen der betreffenden Mitgliedstaaten übertragen werden. Die Verpflichtungen dieser Verordnung gelten in Bezug auf die Erhebung von API-Daten nicht für alle diese anderen PNR-Daten. Eine solche Erhebung sollte vielmehr weiterhin nur insoweit ausschließlich durch die Richtlinie (EU) 2016/681 geregelt werden, als die Fluggesellschaften solche Daten bereits im Rahmen ihrer normalen Geschäftstätigkeit im Sinne der einschlägigen Bestimmungen der genannten Richtlinie erhoben haben. Darüber hinaus sollten, wie bei API-Daten, die von den Fluggesellschaften erhoben und den PNR-Zentralstellen gemäß dieser Verordnung übermittelt werden, die Vorschriften der genannten Richtlinie in Bezug auf Angelegenheiten, die nicht ausdrücklich unter diese Verordnung fallen, insbesondere die Vorschriften über die anschließende Verarbeitung anderer von den PNR-Zentralstellen empfangener PNR-Daten, unberührt bleiben. Daher gelten diese Vorschriften weiterhin für diese Daten.

(43) Es ist nicht auszuschließen, dass die zentrale Infrastruktur, eine der technischen Komponenten des Routers oder die Kommunikationsinfrastruktur, mit denen die PNR-Zentralstellen und die Fluggesellschaften an den Router angebunden werden, aufgrund außergewöhnlicher Umstände und trotz aller angemessenen Maßnahmen gemäß dieser Verordnung nicht ordnungsgemäß funktionieren und es dadurch den Fluggesellschaften oder den PNR-Zentralstellen technisch unmöglich wird, API-Daten zu übermitteln bzw. zu empfangen. Wenn der Router nicht zur Verfügung steht und es den Fluggesellschaften somit in der Regel nach vernünftigem Ermessen unmöglich ist, die vom Ausfall betroffenen API-Daten rechtmäßig, sicher, wirksam und rasch auf andere Weise zu übermitteln, sollte die Verpflichtung der Fluggesellschaften zur Übermittlung dieser API-Daten an den Router ausgesetzt werden, solange das technisch nicht möglich ist. Um jedoch die Verfügbarkeit von API-Daten zu gewährleisten, die für die Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität erforderlich sind, sollten die Fluggesellschaften weiterhin API-Daten erheben und speichern, damit diese übermittelt werden können, sobald das technisch wieder möglich ist. Um die Dauer und die negativen Folgen eines jeglichen technischen Versagens möglichst gering zu halten, sollten die Betroffenen in einem solchen Fall einander unverzüglich unterrichten und die erforderlichen Maßnahmen ergreifen, um das technische Versagen zu beheben. Von dieser Regelung sollten die in dieser Verordnung verankerten Verpflichtungen aller betroffenen Parteien, für den ordnungsgemäßen Betrieb des Routers und seiner jeweiligen Systeme und Infrastruktur zu sorgen, unberührt bleiben, ebenso die Tatsache, dass gegen die Fluggesellschaften Sanktionen verhängt werden können, wenn sie diesen Verpflichtungen nicht nachkommen, und zwar auch dann, wenn sie sich in ungerechtfertigter Weise auf diese Regelung berufen. Zur Vorbeugung von Missbrauch und zur Erleichterung der Aufsicht und erforderlichenfalls der Verhängung von Sanktionen sollten die Fluggesellschaften der zuständigen Aufsichtsbehörde melden, wenn sie sich aufgrund eines Ausfalls ihres eigenen Systems oder ihrer eigenen Infrastruktur auf diese Regelung berufen.

(44) Unterhalten Fluggesellschaften für die Übermittlung von API-Daten direkte Anbindungen an die PNR-Zentralstellen, so können diese Anbindungen geeignete Mittel bieten, die das erforderliche Maß an Datensicherheit gewährleisten, damit API-Daten direkt an die PNR-Zentralstellen übermittelt werden können, falls die Nutzung des Routers technisch nicht möglich ist. Die PNR-Zentralstellen sollten Fluggesellschaften in Ausnahmefällen, in denen es technisch nicht möglich ist, den Router zu nutzen, auffordern können, diese geeigneten Mittel einzusetzen. Dies sollte nicht bedeuten, dass die Fluggesellschaften verpflichtet sind, solche direkten Anbindungen oder andere geeignete Mittel aufrechtzuerhalten oder aufzubauen, die das erforderliche Maß an Datensicherheit gewährleisten, damit API-Daten direkt an die PNR-Zentralstellen übermittelt werden können. Bei der Übermittlung von API-Daten durch andere geeignete Mittel im Ausnahmefall, wie z.B. durch eine verschlüsselte E-Mail oder ein sicheres Webportal, unter Ausschluss der Verwendung nicht standardisierter elektronischer Formate, sollte das erforderliche Maß an Datensicherheit, Datenqualität und Datenschutz gewährleistet werden. API-Daten, die die PNR-Zentralstellen über solche andere geeignete Mittel empfangen, sollten im Einklang mit den Vorschriften und Datenschutzvorkehrungen der Richtlinie (EU) 2016/681 weiterverarbeitet werden. Wenn die eu-LISA mitgeteilt hat, dass das technische Versagen erfolgreich behoben wurde, und bestätigt wurde, dass die Übertragung der API-Daten über den Router an die PNR-Zentralstelle abgeschlossen ist, sollte die PNR-Zentralstelle die API-Daten, die sie zuvor durch andere geeignete Mittel empfangen hat, unverzüglich löschen. Diese Löschung sollte bestimmte Fälle unberührt lassen, in denen API-Daten, die die PNR-Zentralstellen durch andere geeignete Mittel empfangen haben, inzwischen im Einklang mit der Richtlinie (EU) 2016/681 zum spezifischen Zweck der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität weiterverarbeitet wurden.

(45) Um sicherzustellen, dass die Fluggesellschaften die Vorschriften dieser Verordnung befolgen, sollte die Benennung und Ermächtigung von nationalen Behörden geregelt werden, die als nationale API-Aufsichtsbehörden mit der Aufsicht über diese Vorschriften betraut werden. Die Mitgliedstaaten können ihre PNR-Zentralstellen als nationale API-Aufsichtsbehörden benennen. Die Vorschriften dieser Verordnung für eine solche Aufsicht, einschließlich gegebenenfalls der Verhängung von Sanktionen, sollten die Aufgaben und Befugnisse der nach Maßgabe der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 eingerichteten Aufsichtsbehörden unberührt lassen, auch in Bezug auf die Verarbeitung personenbezogener Daten nach der vorliegenden Verordnung.

(46) Die Mitgliedstaaten sollten wirksame, verhältnismäßige und abschreckende Sanktionen, darunter auch finanzielle und nichtfinanzielle Sanktionen, gegen Fluggesellschaften vorsehen, die ihren Verpflichtungen gemäß dieser Verordnung nicht nachkommen, auch in Bezug auf die Erhebung von API-Daten mithilfe automatisierter Verfahren und die Übermittlung der Daten unter Berücksichtigung der vorgeschriebenen Fristen, Formate und Protokolle. Insbesondere sollten die Mitgliedstaaten sicherstellen, dass gegen Fluggesellschaften, die als juristische Person wiederholt gegen die Verpflichtung verstoßen, API-Daten gemäß dieser Verordnung an den Router zu übermitteln, verhältnismäßige finanzielle Sanktionen in Höhe von bis zu 2 % des Gesamtumsatzes der Fluggesellschaft im vorangegangenen Geschäftsjahr verhängt werden. Darüber hinaus sollten die Mitgliedstaaten gegen Fluggesellschaften Sanktionen, darunter auch finanzielle Sanktionen, wegen anderer Formen der Nichteinhaltung der Verpflichtungen nach dieser Verordnung verhängen können.

(47) Bei der Festlegung der Vorschriften über die Sanktionen, die gemäß dieser Verordnung gegen Fluggesellschaften zu verhängen sind, könnten die Mitgliedstaaten die technische und betriebliche Durchführbarkeit der Sicherstellung einer vollständigen Korrektheit der Daten berücksichtigen können. Darüber hinaus sollte bei der Verhängung von Sanktionen deren Anwendung und Höhe bestimmt werden. Nationale API-Aufsichtsbehörden könnten den von der Fluggesellschaft zur Minderung des Problems ergriffenen Maßnahmen sowie dem Umfang ihrer Zusammenarbeit mit den nationalen Behörden Rechnung tragen.

(48) Da der Router von der eu-LISA konzipiert, entwickelt, gehostet und technisch verwaltet werden sollte, muss die Verordnung (EU) 2018/1726 geändert und diese Aufgabe zu den Aufgaben der eu-LISA hinzugefügt werden. Zur Speicherung der Berichte und Statistiken des Routers im mit der Verordnung (EU) 2019/818 des Europäischen Parlaments und des Rates ¹⁷ eingerichteten zentralen Speicher für Berichte und Statistiken (CRRS) muss die genannte Verordnung geändert werden. Um die Durchsetzung dieser Verordnung durch die nationalen API-Aufsichtsbehörden zu unterstützen, ist es erforderlich, dass die Änderungen der Verordnung (EU) 2019/818 Bestimmungen zu Statistiken darüber umfassen, ob die API-Daten korrekt und vollständig sind, z.B. indem angegeben wird, ob die Daten mithilfe automatisierter Verfahren erhoben wurden. Es ist zudem wichtig, dass im Rahmen der Durchführung dieser Verordnung zuverlässige und nützliche Statistiken erstellt werden, um zur Erreichung der Ziele dieser Verordnung beizutragen und die darin vorgesehenen Evaluierungen mit Informationen zu unterfüttern. Die eu-LISA sollte der Kommission auf deren Ersuchen hin Statistiken zu spezifischen Aspekten im Zusammenhang mit der Durchführung dieser Verordnung zur Verfügung stellen, wie z.B. aggregierte Statistiken über die Übertragung von API-Daten an die PNR-Zentralstellen. Solche Statistiken sollten keine personenbezogenen Daten enthalten. Daher sollten Statistiken auf der Grundlage von API-Daten über den CRRS nur zum Zwecke der Durchführung dieser Verordnung und der wirksamen Aufsicht über ihre Anwendung bereitgestellt werden. Anhand der Daten, die der Router zu diesem Zweck automatisch an den CRRS übertragen, sollte keine Identifizierung der betreffenden Fluggäste möglich sein.

(49) Um für mehr Klarheit und Rechtssicherheit zu sorgen, einen Beitrag zur Gewährleistung der Datenqualität zu leisten, die verantwortungsvolle Nutzung der automatisierten Mittel für die Erhebung maschinenlesbarer API-Daten im Rahmen dieser Verordnung und die manuelle Erhebung von API-Daten unter außergewöhnlichen Umständen und während des Übergangszeitraums sicherzustellen, um Klarheit in Bezug auf die technischen Anforderungen zu schaffen, die für die Fluggesellschaften gelten und für die sichere, wirksame und rasche Übermittlung der von ihnen gemäß dieser Verordnung erhobenen API-Daten an den Router erforderlich sind, damit die Auswirkungen auf die Reisen der Fluggäste und die Fluggesellschaften sich auf das nötige Maß beschränken und um sicherzustellen, dass nicht korrekte, unvollständige oder nicht mehr aktuelle Daten berichtigt bzw. vervollständigt oder aktualisiert werden, sollte der Kommission die Befugnis übertragen werden, gemäß Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union ( AEUV) Rechtsakte zu erlassen, um den Übergangszeitraum für die manuelle Erhebung von API-Daten zu beenden; um Vorgaben bezüglich der technischen Anforderungen und Betriebsvorschriften zu erlassen, die die Fluggesellschaften bei der Nutzung automatisierter Mittel zur Erhebung maschinenlesbarer API-Daten im Rahmen dieser Verordnung sowie bei der manuellen Erhebung von API-Daten unter außergewöhnlichen Umständen und im Übergangszeitraum einhalten sollten, einschließlich Anforderungen an die Datensicherheit; um detaillierte Vorschriften bezüglich der gemeinsamen Protokolle und der unterstützten Datenformate festzulegen, die für die verschlüsselte Übermittlung von API-Daten an den Router zu verwenden sind, einschließlich Anforderungen an die Datensicherheit; und um detaillierte Vorschriften für die Berichtigung, Vervollständigung und Aktualisierung von API-Daten festzulegen. Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeit angemessene Konsultationen mit relevanten Interessenträgern, einschließlich Fluggesellschaften, auch auf der Ebene von Sachverständigen, durchführt, die mit den in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung ¹⁸ niedergelegten Grundsätzen vereinbar sind. Um insbesondere für eine gleichberechtigte Beteiligung an der Vorbereitung delegierter Rechtsakte zu sorgen, erhalten das Europäische Parlament und der Rat alle Dokumente zur gleichen Zeit wie die Sachverständigen der Mitgliedstaaten, und ihre Sachverständigen haben systematisch Zugang zu den Sitzungen der Sachverständigengruppen der Kommission, die mit der Vorbereitung der delegierten Rechtsakte befasst sind. Unter Berücksichtigung des Stands der Technik können sich diese technischen Anforderungen und Betriebsvorschriften im Laufe der Zeit ändern.

(50) Zur Gewährleistung einheitlicher Bedingungen für die Durchführung dieser Verordnung, insbesondere in Bezug auf die Inbetriebnahme des Routers, die technischen Vorschriften und Betriebsvorschriften für die Überprüfung von Daten und für Benachrichtigungen, die technischen Vorschriften und Betriebsvorschriften für die Übertragung von API-Daten vom Router an die PNR-Zentralstellen in einer Weise, die eine sichere, wirksame und rasche Übertragung gewährleistet und sich nicht mehr als nötig auf die Reisen der Fluggäste und die Fluggesellschaften auswirkt, sowie die Anbindungen der PNR-Zentralstellen an den Router und die entsprechenden Anpassungen daran und zur Festlegung der Zuständigkeiten der Mitgliedstaaten als gemeinsam für die Verarbeitung Verantwortliche, z.B. in Bezug auf die Feststellung und Bewältigung von Sicherheitsvorfällen, einschließlich Verletzungen des Schutzes personenbezogener Daten, sowie des Verhältnisses zwischen den gemeinsam Verantwortlichen und der eu-LISA als Auftragsverarbeiterin, einschließlich der Unterstützung der für die Verarbeitung Verantwortlichen durch die eu-LISA mit geeigneten technischen und organisatorischen Maßnahmen, soweit dies möglich ist, um den Verpflichtungen der für die Verarbeitung Verantwortlichen zur Bearbeitung von Anträgen auf Ausübung der Rechte der betroffenen Person nachzukommen, sollten der Kommission Durchführungsbefugnisse übertragen werden. Diese Befugnisse sollten im Einklang mit der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates ¹⁹ ausgeübt werden.

(51) Allen interessierten Parteien, insbesondere den Fluggesellschaften und den PNR-Zentralstellen, sollte ausreichend Zeit eingeräumt werden, damit sie die notwendigen Vorbereitungen treffen können, um ihren jeweiligen Verpflichtungen aus dieser Verordnung nachkommen zu können, wobei zu berücksichtigen ist, dass manche Vorbereitungen, etwa in Bezug auf die Verpflichtung zur Anbindung und Anpassung an den Router, erst dann abgeschlossen werden können, wenn die Planungs- und Entwicklungsphase des Routers beendet ist und er in Betrieb genommen wird. Deshalb sollte die vorliegende Verordnung erst nach einer angemessenen Frist nach der von der Kommission gemäß dieser Verordnung und der Verordnung (EU) 2025/12 festgelegten Inbetriebnahme des Routers zur Anwendung kommen. Die Kommission sollte jedoch die Möglichkeit haben, bereits ab einem früheren Zeitpunkt delegierte Rechtsakte und Durchführungsrechtsakte im Rahmen der vorliegenden Verordnung zu erlassen, um sicherzustellen, dass das mit dieser Verordnung eingerichtete System so bald wie möglich einsatzbereit ist.

(52) Die Phasen der Konzeption und Entwicklung des in der vorliegenden Verordnung und der Verordnung (EU) 2025/12 vorgesehenen Routers sollten schnellstmöglich begonnen und abgeschlossen werden, damit der Router den Betrieb so bald wie möglich aufnehmen kann; dies erfordert auch die Annahme der in dieser Verordnung vorgesehenen einschlägigen Durchführungsrechtsakte. Für einen reibungslosen und wirksamen Ablauf dieser Phasen sollte ein spezieller Programmverwaltungsrat eingerichtet werden, der dafür zuständig ist, die eu-LISA bei der Erfüllung ihrer Aufgaben in diesen Phasen zu überwachen. Er sollte zwei Jahre nach Aufnahme des Betriebs des Routers aufgelöst werden. Darüber hinaus sollte ein spezielles Beratungsgremium, die API-PNR-Beratergruppe, gemäß der Verordnung (EU) 2018/1726 eingerichtet werden, um der eu-LISA und dem Programmverwaltungsrat Fachwissen über die Phasen der Konzeption und Entwicklung des Routers sowie der eu-LISA Fachwissen in Bezug auf das Hosting und die Verwaltung des Routers zur Verfügung zu stellen. Der Programmverwaltungsrat und die API-PNR-Beratergruppe sollten in Anlehnung an bestehende Programmverwaltungsräte und Beratungsgruppen eingerichtet und betrieben werden.

(53) Die in dieser Verordnung vorgesehene Klarstellung in Bezug auf die Anwendung von Bestimmungen für die Nutzung automatisierter Verfahren bei der Anwendung der Richtlinie 2004/82/EG sollte ebenfalls unverzüglich erfolgen. Daher sollten die diesbezüglichen Bestimmungen ab dem Tag des Inkrafttretens dieser Verordnung gelten. Damit der Router so bald wie möglich freiwillig genutzt werden kann, sollten außerdem die Bestimmungen über eine solche Nutzung sowie bestimmte andere, für die Gewährleistung der verantwortungsvollen Nutzung erforderliche Bestimmungen ab dem frühestmöglichen Zeitpunkt gelten, d. h. ab der Inbetriebnahme des Routers.

(54) Für die Zwecke dieser Verordnung und der Verordnung (EU) 2025/12 sollte es eine einheitliche Governance-Struktur geben. Um die Kommunikation zwischen den Vertretern der Fluggesellschaften und den nach dieser Verordnung und der Verordnung (EU) 2025/12 für die Übertragung von API-Daten durch den Router zuständigen Vertretern der Behörden der Mitgliedstaaten zu ermöglichen und zu fördern, sollten spätestens zwei Jahre nach Inbetriebnahme des Routers zwei spezielle Gremien eingerichtet werden. Technische Fragen im Zusammenhang mit der Nutzung und Funktionsweise des Routers sollten in der API-PNR-Kontaktgruppe erörtert werden, an der auch Vertreter der eu-LISA teilnehmen sollten. Fragen der Vorgehensweise wie zum Beispiel im Zusammenhang mit Sanktionen sollten in der API-Expertengruppe erörtert werden.

(55) Diese Verordnung sollte regelmäßigen Evaluierungen unterliegen, um sicherzustellen, dass ihre wirksame Anwendung überwacht wird. Insbesondere sollte die Erhebung von API-Daten nicht zulasten des Reiseerlebnisses rechtmäßig reisender Fluggäste gehen. Daher sollte die Kommission eine Bewertung der Auswirkungen dieser Verordnung auf das Reiseerlebnis rechtmäßig reisender Fluggäste in ihre regelmäßigen Evaluierungsberichte über die Anwendung dieser Verordnung aufnehmen. Die Evaluierung sollte auch eine Bewertung der Qualität der vom Router übermittelten Daten sowie der Leistung des Routers in Bezug auf die PNR-Zentralstellen umfassen.

(56) Da diese Verordnung zusätzliche Anpassungs- und Verwaltungskosten für die Fluggesellschaften mit sich bringt, sollte der Regelungsaufwand für die Luftverkehrsbranche insgesamt fortlaufend genau überprüft werden. Vor diesem Hintergrund sollte in dem Bericht zur Evaluierung des Funktionierens dieser Verordnung geprüft werden, inwieweit die Ziele dieser Verordnung erreicht wurden und inwieweit sie sich auf die Wettbewerbsfähigkeit der Branche ausgewirkt hat.

(57) Die Ziele dieser Verordnung, nämlich zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität beizutragen, von den Mitgliedstaaten nicht ausreichend verwirklicht werden können, sondern auf Unionsebene besser zu verwirklichen sind, da es angesichts der länderübergreifenden Dimension der betreffenden Straftaten einer grenzüberschreitenden Zusammenarbeit bedarf, wenn wirksam dagegen vorgegangen werden soll. Die Union kann daher im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union ( EUV) verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Verordnung nicht über das zur Verwirklichung dieser Ziele erforderliche Maß hinaus.

(58) Diese Verordnung lässt die Zuständigkeiten der Mitgliedstaaten in Bezug auf nationale Rechtsvorschriften über die nationale Sicherheit unberührt, sofern diese Rechtsvorschriften mit dem Unionsrecht vereinbar sind.

(59) Diese Verordnung lässt die Zuständigkeit der Mitgliedstaaten unberührt, gemäß ihren nationalen Rechtsvorschriften Fluggastdaten von anderen als den in dieser Verordnung genannten Beförderungsunternehmen zu erheben, sofern diese nationalen Rechtsvorschriften mit dem Unionsrecht vereinbar sind.

(60) Nach den Artikeln 1 und 2 des dem EUV und dem AEUV beigefügten Protokolls Nr. 22 über die Position Dänemarks beteiligt sich Dänemark nicht an der Annahme dieser Verordnung und ist weder durch diese Verordnung gebunden noch zu ihrer Anwendung verpflichtet.

(61) Nach Artikel 3 des dem EUV und dem AEUV beigefügten Protokolls Nr. 21 über die Position des Vereinigten Königreichs und Irlands hinsichtlich des Raums der Freiheit, der Sicherheit und des Rechts hat Irland mitgeteilt, dass es sich an der Annahme und Anwendung dieser Verordnung beteiligen möchte.

(62) Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 angehört und hat am 8. Februar 2023 ²⁰ eine Stellungnahme abgegeben

Für die Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität werden in dieser Verordnung Vorschriften festgelegt für

Diese Verordnung lässt die Verordnung (EU) 2016/679, die Verordnung (EU) 2018/1725 und die Richtlinie (EU) 2016/680 unberührt.

(1) Die Fluggesellschaften erheben bei den in Artikel 2 genannten Flügen für jeden Fluggast und jedes Besatzungsmitglied API-Daten, die gemäß Artikel 5 an den Router zu übermitteln sind. Bei Flügen mit Code-Sharing zwischen Fluggesellschaften obliegt die Pflicht zur Übermittlung der API-Daten der Fluggesellschaft, die den Flug durchführt.

(2) Die API-Daten umfassen für jeden Fluggast und jedes Besatzungsmitglied auf dem Flug ausschließlich die folgenden Daten:

(3) Die API-Daten umfassen zudem ausschließlich die folgenden Fluginformationen für den Flug jedes Fluggastes und Besatzungsmitglieds:

(4) Bei der Erhebung der API-Daten stellen die Fluggesellschaften sicher, dass die API-Daten, die sie gemäß Artikel 5 übermitteln, korrekt, vollständig und aktuell sind. Die Einhaltung dieser Verpflichtung verpflichtet die Fluggesellschaften nicht dazu, das Reisedokument zum Zeitpunkt des Einsteigens in das Flugzeug zu überprüfen, unbeschadet nationaler Rechtsvorschriften, die mit dem Unionsrecht vereinbar sind.

(5) Unbeschadet anderer Rechtsakte der Union oder nationaler Rechtsvorschriften, die mit dem Unionsrecht vereinbar sind, werden Fluggäste durch diese Verordnung nicht verpflichtet, bei der Reise ein Reisedokument mit sich zu führen.

(6) Ein Mitgliedstaat kann Fluggesellschaften verpflichten, Fluggästen die Möglichkeit einzuräumen, die in Artikel 4 Absatz 2 Buchstaben a bis d der Verordnung (EU) 2025/12 genannten Daten freiwillig und mithilfe automatisierter Verfahren hochzuladen und diese Daten zwecks Übermittlung der Daten für künftige Flüge durch die Fluggesellschaft gemäß Artikel 5 der vorliegenden Verordnung und im Einklang mit den in den Absätzen 4, 7 und 8 dieses Artikels genannten Anforderungen speichern zu lassen. Ein Mitgliedstaat, der eine solche Verpflichtung auferlegt, legt die Datenschutzvorschriften und -garantien im Einklang mit der Verordnung (EU) 2016/679 fest, einschließlich Vorschriften über den Speicherzeitraum. Die Daten werden jedoch gelöscht, wenn der Fluggast der Speicherung der Daten nicht mehr zustimmt, spätestens jedoch am Tag des Ablaufs der Gültigkeitsdauer des Reisedokuments.

(7) Die Fluggesellschaften erheben die in Absatz 2 Buchstaben a bis d genannten API-Daten mithilfe automatisierter Verfahren, um die maschinenlesbaren Daten des Reisedokuments des betreffenden Fluggastes zu erfassen. Dabei berücksichtigen sie die in Absatz 12 genannten detaillierten technischen Anforderungen und operativen Vorschriften, sobald solche Vorschriften erlassen wurden und anwendbar sind.

Bieten Fluggesellschaften einen Online-Check-in-Prozess an, ermöglichen sie den Fluggästen, die in Absatz 2 Buchstaben a bis d genannten API-Daten im Zuge dieses Online-Check-in mithilfe automatisierter Verfahren bereitzustellen. Fluggäste, die keinen Online-Check-in durchlaufen, erhalten von den Fluggesellschaften die Möglichkeit, diese API-Daten während des Check-in am Flughafen mithilfe automatisierter Verfahren mit der Unterstützung eines Self-Service-Kiosks oder des Personals am Schalter der Fluggesellschaft zur Verfügung zu stellen.

Ist der Einsatz automatisierter Verfahren technisch nicht möglich, erheben die Fluggesellschaften die in Absatz 2 Buchstaben a bis d genannten API-Daten ausnahmsweise manuell, entweder beim Online-Check-in oder beim Check-in am Flughafen und stellen dabei die Einhaltung von Absatz 4 sicher.

(8) Alle automatisierten Verfahren, mit denen die Fluggesellschaften API-Daten gemäß dieser Verordnung erheben, müssen zuverlässig, sicher und auf dem neuesten Stand sein. Die Fluggesellschaften sorgen dafür, dass die Übermittlung der API-Daten vom Fluggast an die Fluggesellschaften in verschlüsselter Form erfolgt.

(9) Zusätzlich zu den in Absatz 7 genannten automatisierten Verfahren müssen die Fluggesellschaften es den Fluggästen während eines Übergangszeitraums ermöglichen, API-Daten im Rahmen des Online-Check-in manuell bereitzustellen. In solchen Fällen müssen die Fluggesellschaften Techniken zur Verifizierung der Daten einsetzen, um die Einhaltung von Absatz 4 sicherzustellen.

(10) Der in Absatz 9 genannte Übergangszeitraum berührt nicht das Recht der Fluggesellschaften, die im Rahmen des Online-Check-in erhobenen API-Daten am Flughafen vor dem Einsteigen in das Luftfahrzeug zu überprüfen, um die Einhaltung von Absatz 4 im Einklang mit dem geltenden Unionsrecht sicherzustellen.

(11) Der Kommission wird die Befugnis übertragen, ab dem Tag vier Jahre nach Inbetriebnahme des Routers in Bezug auf die in Artikel 34 genannten API-Daten und auf der Grundlage einer Bewertung der Verfügbarkeit und Zugänglichkeit automatisierter Verfahren zur Erhebung von API-Daten einen delegierten Rechtsakt gemäß Artikel 43 zu erlassen, um den in Absatz 9 dieses Artikels genannten Übergangszeitraum zu beenden.

(12) Der Kommission wird die Befugnis übertragen, gemäß Artikel 43 delegierte Rechtsakte zur Ergänzung dieser Verordnung zu erlassen, in denen sie detaillierte technische Anforderungen und operative Vorschriften für die Erhebung der in Absatz 2 Buchstaben a bis d des vorliegenden Artikels genannten API-Daten mithilfe automatisierter Verfahren gemäß den Absätzen 7 und 8 des vorliegenden Artikels und für die manuelle Erhebung von API-Daten unter außergewöhnlichen Umständen gemäß Absatz 7 des vorliegenden Artikels und während des in Absatz 9 des vorliegenden Artikels genannten Übergangszeitraums festlegt. Diese technischen Anforderungen und operativen Vorschriften umfassen Anforderungen an die Datensicherheit und die Verwendung der zuverlässigsten automatisierten Verfahren, die zur Erhebung der maschinenlesbaren Daten eines Reisedokuments zur Verfügung stehen.

Artikel 5 Pflichten der Fluggesellschaften im Zusammenhang mit der Übermittlung von API-Daten und sonstigen PNR-Daten

(1) Die Fluggesellschaften übermitteln die verschlüsselten API-Daten zwecks Übertragung an die PNR-Zentralstellen gemäß Artikel 12 auf elektronischem Wege an den Router. Bei der Übermittlung der API-Daten berücksichtigen die Fluggesellschaften die in Absatz 4 dieses Artikels genannten detaillierten Vorschriften, sobald solche Vorschriften erlassen wurden und anwendbar sind.

(2) Beim Erlass von Maßnahmen gemäß Artikel 8 Absatz 1 der Richtlinie (EU) 2016/681 verpflichten die Mitgliedstaaten die Fluggesellschaften, sonstige PNR-Daten, die sie im Rahmen ihrer normalen Geschäftstätigkeit erheben, gemäß den in Artikel 16 der genannten Richtlinie aufgeführten gemeinsamen Protokollen und Datenformaten ausschließlich an den Router zu übermitteln.

(4) Der Kommission wird die Befugnis übertragen, gemäß Artikel 43 delegierte Rechtsakte zur Ergänzung dieser Verordnung zu erlassen, in denen sie die erforderlichen detaillierten Vorschriften über die gemeinsamen Protokolle und unterstützten Datenformate festlegt, die für die in Absatz 1 dieses Artikels genannte verschlüsselte Übermittlung von API-Daten an den Router zu verwenden sind, einschließlich der Übermittlung von API-Daten zum Zeitpunkt des Check-in sowie der Anforderungen an die Datensicherheit. Mit diesen detaillierten Vorschriften wird sichergestellt, dass die Fluggesellschaften API-Daten unter Verwendung der gleichen Struktur und des gleichen Inhalts übermitteln.

Die Fluggesellschaften speichern die gemäß Artikel 4 erhobenen API-Daten für einen Zeitraum von 48 Stunden ab dem Zeitpunkt, zu dem der Router gemäß Artikel 5 Absatz 3 Buchstabe a Ziffer ii und Artikel 5 Absatz 3 Buchstabe b API-Daten zu allen Fluggästen und Besatzungsmitgliedern empfangen hat. Nach Ablauf dieses Zeitraums haben sie diese API-Daten unverzüglich und dauerhaft zu löschen; dies gilt unbeschadet der Möglichkeit für die Fluggesellschaften, die Daten im Einklang mit geltendem Recht zu speichern und zu nutzen, wenn dies für die normale Ausübung ihrer Geschäftstätigkeit erforderlich ist, sowie unbeschadet von Artikel 16 Absätze 1 und 3.

(1) Stellt eine Fluggesellschaft fest, dass die Daten, die sie gemäß dieser Verordnung speichert, unrechtmäßig verarbeitet wurden oder dass es sich bei den Daten nicht um API-Daten handelt, so hat sie diese Daten unverzüglich und dauerhaft zu löschen. Wurden diese Daten an den Router übermittelt, so hat die Fluggesellschaft unverzüglich die Agentur der Europäischen Union für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA) davon in Kenntnis zu setzen. Nach Erhalt dieser Informationen unterrichtet die eu-LISA unverzüglich die PNR-Zentralstellen, die die über den Router übertragenen Daten empfangen haben.

(2) Stellt eine Fluggesellschaft fest, dass die gemäß dieser Verordnung gespeicherten Daten unrichtig, unvollständig oder nicht mehr aktuell sind, so hat sie diese Daten unverzüglich zu berichtigen, zu vervollständigen oder zu aktualisieren. Dies gilt unbeschadet der Möglichkeit für die Fluggesellschaften, die Daten im Einklang mit dem geltenden Recht zu speichern und zu nutzen, wenn dies für die normale Ausübung ihrer Geschäftstätigkeit erforderlich ist.

(3) Stellt eine Fluggesellschaft nach der Übermittlung von API-Daten gemäß Artikel 5 Absatz 3 Buchstabe a Ziffer i, aber vor der Übermittlung gemäß Artikel 5 Absatz 3 Buchstabe a Ziffer ii fest, dass die von ihr übermittelten Daten unrichtig sind, so übermittelt sie die berichtigten API-Daten unverzüglich an den Router.

(4) Stellt eine Fluggesellschaft nach der Übermittlung von API-Daten gemäß Artikel 5 Absatz 3 Buchstabe a Ziffer ii oder Buchstabe b fest, dass die von ihr übermittelten Daten unrichtig, unvollständig oder nicht mehr aktuell sind, so übermittelt sie die berichtigten, vervollständigten oder aktualisierten API-Daten unverzüglich an den Router.

(5) Der Kommission wird die Befugnis übertragen, gemäß Artikel 43 delegierte Rechtsakte zur Ergänzung dieser Verordnung zu erlassen, in denen sie die erforderlichen detaillierten Vorschriften für die Berichtigung, Vervollständigung und Aktualisierung von API-Daten im Sinne dieses Artikels festlegt.

(1) Die Erhebung und Verarbeitung personenbezogener Daten gemäß dieser Verordnung und der Verordnung (EU) 2025/12 durch Fluggesellschaften und zuständige Behörden darf nicht zu einer Diskriminierung von Personen aus den in Artikel 21 der Charta der Grundrechte der Europäischen Union (im Folgenden " Charta") aufgeführten Gründen führen.

(2) Bei der Anwendung dieser Verordnung sind die Menschenwürde und die Grundrechte uneingeschränkt zu achten und die in der Charta anerkannten Grundsätze zu wahren, darunter auch das Recht auf Achtung der Privatsphäre, auf Asyl, auf Schutz personenbezogener Daten, auf Freizügigkeit und auf wirksame Rechtsbehelfe.

(3) Besondere Aufmerksamkeit ist dabei Kindern, älteren Menschen und Menschen mit einer Behinderung und schutzbedürftigen Menschen zu widmen. Bei der Anwendung dieser Verordnung ist dem Kindeswohl Vorrang einzuräumen.

(1) Gemäß den Artikeln 25 und 26 übernimmt die eu-LISA die Konzeption, die Entwicklung, das Hosting und die technische Verwaltung eines Routers, um die Übermittlung von verschlüsselten API-Daten und sonstigen PNR-Daten durch die Fluggesellschaften an die PNR-Zentralstellen im Einklang mit dieser Verordnung zu erleichtern.

(3) Unbeschadet des Artikels 10 der vorliegenden Verordnung werden erforderlichenfalls und soweit technisch möglich die technischen Komponenten des Web-Dienstes gemäß Artikel 13 der Verordnung (EU) 2017/2226, einschließlich Hardware- und Softwarekomponenten, des Zugangs für Beförderungsunternehmen gemäß Artikel 6 Absatz 2 Buchstabe k der Verordnung (EU) 2018/1240 und des Carrier Gateways gemäß Artikel 45c der Verordnung (EG) Nr. 767/2008, vom Router mitgenutzt und wiederverwendet.

Die eu-LISA konzipiert den Router - soweit technisch und operativ möglich - in einer Weise, die im Einklang mit den Verpflichtungen steht, die den Fluggesellschaften aus den Verordnungen (EG) Nr. 767/2008, (EU) 2017/2226 und (EU) 2018/1240 erwachsen.

(4) Der Router extrahiert automatisch die Daten und stellt sie gemäß Artikel 39 dieser Verordnung dem durch Artikel 39 der Verordnung (EU) 2019/818 eingerichteten zentralen Speicher für Berichte und Statistiken (CRRS) zur Verfügung.

(5) Die eu-LISA konzipiert und entwickelt den Router so, dass bei jeder Übermittlung von API-Daten und sonstigen PNR-Daten von den Fluggesellschaften an den Router gemäß Artikel 5 und bei jeder Übertragung von API-Daten und sonstigen PNR-Daten vom Router an die PNR-Zentralstellen gemäß Artikel 12 und an den CRRS gemäß Artikel 39 Absatz 2 die Übertragung der API-Daten und sonstigen PNR-Daten mittels Ende-zu-Ende-Verschlüsselung erfolgt.

Für die Zwecke dieser Verordnung darf der Router ausschließlich genutzt werden

(1) Der Router verifiziert automatisch und auf der Grundlage von Echtzeit-Flugverkehrsdaten, ob die Fluggesellschaft die API-Daten gemäß Artikel 5 Absatz 1 oder die sonstigen PNR-Daten gemäß Artikel 5 Absatz 2 übermittelt hat.

(2) Der Router verifiziert unverzüglich und automatisch, ob die API-Daten, die ihm gemäß Artikel 5 Absatz 1 übermittelt wurden, den in Artikel 5 Absatz 4 genannten detaillierten Vorschriften über die unterstützten Datenformate entsprechen.

(3) Der Router verifiziert unverzüglich und automatisch, ob die sonstigen PNR-Daten, die ihm gemäß Artikel 5 Absatz 2 übermittelt wurden, den in Artikel 16 der Richtlinie (EU) 2016/681 genannten detaillierten Vorschriften über die unterstützten Datenformate entsprechen.

(4) Ergibt die Verifizierung nach Absatz 1, dass die Daten von der Fluggesellschaft nicht übermittelt wurden, oder ergibt die Verifizierung nach Absatz 2 oder 3, dass die Daten nicht den detaillierten Vorschriften hinsichtlich der unterstützten Datenformate entsprechen, setzt der Router die betreffende Fluggesellschaft und die PNR-Zentralstellen der Mitgliedstaaten, an die die Daten gemäß Artikel 12 Absatz 1 übermittelt werden sollten, darüber unverzüglich und automatisch in Kenntnis. In solchen Fällen überträgt die Fluggesellschaft die API-Daten und die sonstigen PNR-Daten unverzüglich im Einklang mit Artikel 5.

(5) Die Kommission erlässt Durchführungsrechtsakte zur Festlegung der erforderlichen detaillierten technischen und verfahrenstechnischen Vorschriften für die in den Absätzen 1 bis 4 dieses Artikels genannten Verifizierungen und Benachrichtigungen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 42 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 12 Übertragung von API-Daten und sonstigen PNR-Daten vom Router an die PNR-Zentralstellen

(1) Nach der in Artikel 11 genannten Verifizierung des Datenformats und der Datenübermittlung überträgt der Router die ihm von den Fluggesellschaften gemäß Artikel 5 Absätze 1 und 2 und gegebenenfalls Artikel 7 Absätze 3 und 4 übermittelten verschlüsselten API-Daten und sonstigen PNR-Daten an die PNR-Zentralstellen des Mitgliedstaats, in dessen Hoheitsgebiet der Flug ankommt oder von dem der Flug abgeht, oder an beide im Falle von EU-Flügen. Er überträgt diese Daten unverzüglich und automatisch, ohne ihren Inhalt in irgendeiner Weise zu ändern. Erfolgen auf einem Flug eine oder mehrere Zwischenlandungen im Hoheitsgebiet anderer Mitgliedstaaten als dem Mitgliedstaat, von dem aus der Flug gestartet ist, so überträgt der Router die API-Daten und alle sonstigen PNR-Daten an die PNR-Zentralstellen aller betroffenen Mitgliedstaaten.

Für die Zwecke dieser Übertragung erstellt und pflegt die eu-LISA eine Entsprechungstabelle mit den verschiedenen Herkunfts- und Zielflughäfen und den Ländern, zu denen sie gehören.

Bei EU-Flügen jedoch überträgt der Router nur API-Daten und sonstige PNR-Daten für die Flüge, die in der in Absatz 4 genannten Liste aufgeführt sind, an die entsprechenden PNR-Zentralstellen.

(2) Der Router überträgt die API-Daten und sonstigen PNR-Daten gemäß den in Absatz 6 genannten detaillierten Vorschriften, sobald solche Vorschriften erlassen wurden und anwendbar sind.

(3) Die Mitgliedstaaten stellen sicher, dass ihre PNR-Zentralstellen, die API-Daten und die sonstigen PNR-Daten gemäß Absatz 1 empfangen, unverzüglich und automatisch den Empfang dieser Daten an den Router bestätigen.

(4) Mitgliedstaaten, die gemäß Artikel 2 der Richtlinie (EU) 2016/681 entscheiden, diese Richtlinie auf EU-Flüge anzuwenden, erstellen jeweils eine Liste der ausgewählten EU-Flüge oder Strecken. Für die Angabe der ausgewählten Flüge oder Strecken können die Mitgliedstaaten den Code des Abflugflughafens und des Ankunftsflughafens verwenden. Diese Mitgliedstaaten überprüfen die Listen im Einklang mit Artikel 2 der genannten Richtlinie und Artikel 13 der vorliegenden Verordnung regelmäßig und aktualisieren sie erforderlichenfalls. Ein Mitgliedstaat kann gemäß der Richtlinie (EU) 2016/681 und Artikel 13 der vorliegenden Verordnung alle EU-Flüge oder Strecken innerhalb der EU auswählen, wenn dies hinreichend begründet ist.

Die Mitgliedstaaten geben bis zu dem entsprechenden in Artikel 45 Absatz 2 genannten Geltungsbeginn dieser Verordnung die ausgewählten Flüge oder Strecken in den Router mithilfe automatisierter Verfahren über den in Artikel 9 Absatz 2 Buchstabe b genannten sicheren Kommunikationskanal ein und stellen dem Router anschließend etwaige Aktualisierungen dieser Flüge oder Strecken zur Verfügung.

(5) Die von den Mitgliedstaaten in den Router eingegebenen Informationen sind vertraulich zu behandeln, und der Zugang des Personals von der eu-LISA zu diesen Informationen wird auf das zur Lösung technischer Probleme unbedingt erforderliche Maß beschränkt. Die eu-LISA stellt sicher, dass der Router die API-Daten und die sonstigen PNR-Daten für die ausgewählten Flüge oder Strecken gemäß Absatz 1 unverzüglich an die PNR-Zentralstelle dieses Mitgliedstaats überträgt, sobald der Router diese Informationen oder deren Aktualisierungen von einem Mitgliedstaat empfangen hat.

(6) Die Kommission erlässt Durchführungsrechtsakte, in denen sie die erforderlichen detaillierten technischen und verfahrenstechnischen Vorschriften, einschließlich der Anforderungen an die Datensicherheit, für die in Absatz 1 dieses Artikels genannte Übertragung von API-Daten und sonstigen PNR-Daten durch den Router und für die in Absatz 4 dieses Artikels genannte Eingabe von Informationen in den Router festlegt. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 42 Absatz 2 genannten Prüfverfahren erlassen.

(1) Die Mitgliedstaaten, die gemäß Artikel 2 der Richtlinie (EU) 2016/681 beschließen, die genannte Richtlinie und folglich die vorliegende Verordnung auf EU-Flüge anzuwenden, wählen solche EU-Flüge gemäß dem vorliegenden Artikel aus.

(2) Die Mitgliedstaaten dürfen die Richtlinie (EU) 2016/681 und folglich die vorliegende Verordnung nur dann auf sämtliche EU-Flüge anwenden, die in ihrem Hoheitsgebiet ankommen oder von dort abgehen, wenn eine tatsächliche und gegenwärtige oder absehbare terroristische Bedrohung vorliegt, und zwar auf der Grundlage einer Entscheidung, die auf einer Einschätzung der Bedrohungslage beruht, die zeitlich auf das absolut Notwendige beschränkt ist und die durch ein Gericht oder eine unabhängige Verwaltungsstelle, dessen bzw. deren Entscheidung bindend ist, wirksam überprüft werden kann.

(3) Liegt keine tatsächliche und gegenwärtige oder absehbare terroristische Bedrohung vor, so wählen die Mitgliedstaaten, die die Richtlinie (EU) 2016/681 und folglich die vorliegende Verordnung auf EU-Flüge anwenden, diese EU-Flüge entsprechend dem Ergebnis einer Einschätzung aus, die auf der Grundlage der Anforderungen in den Absätzen 4 bis 7 des vorliegenden Artikels durchgeführt wurde.

(5) Auf der Grundlage der in Absatz 3 genannten Einschätzung wählen die Mitgliedstaaten nur EU-Flüge aus, die sich unter anderem auf bestimmte Strecken, Reisemuster oder Flughäfen beziehen, bei denen es Hinweise auf terroristische Straftaten und schwere Kriminalität gibt und die die Verarbeitung von API-Daten und sonstigen PNR-Daten rechtfertigen. Die Auswahl der EU-Flüge beschränkt sich auf das zur Erreichung der Ziele der Richtlinie (EU) 2016/681 und der vorliegenden Verordnung absolut Notwendige.

(6) Die Mitgliedstaaten bewahren alle Unterlagen über die in Absatz 3 genannte Einschätzung auf, gegebenenfalls einschließlich etwaiger Überprüfungen, und stellen sie gemäß der Richtlinie (EU) 2016/680 ihren unabhängigen Aufsichtsbehörden und nationalen Aufsichtsbehörden auf Anfrage zur Verfügung.

(7) Die Mitgliedstaaten überprüfen im Einklang mit Artikel 2 der Richtlinie (EU) 2016/681 ihre Einschätzung nach Absatz 3 regelmäßig, mindestens jedoch alle zwölf Monate, um Änderungen der Umstände, die die Auswahl von EU-Flügen gerechtfertigt haben, Rechnung zu tragen und um sicherzustellen, dass die Auswahl der EU-Flüge weiterhin auf das absolut Notwendige beschränkt bleibt.

(8) Die Kommission setzt sich für einen regelmäßigen Meinungsaustausch über die Auswahlkriterien für die in Absatz 3 genannte Einschätzung ein, einschließlich des Austausches über bewährte Verfahren und des Austausches auf freiwilliger Basis von Informationen über ausgewählte Flüge.

API-Daten und sonstige PNR-Daten, die gemäß dieser Verordnung an den Router übermittelt werden, werden im Router nur insoweit gespeichert, als dies für den Abschluss der Übertragung an die jeweils zuständigen PNR-Zentralstellen gemäß dieser Verordnung erforderlich ist, und werden in den beiden folgenden Fällen unverzüglich, dauerhaft und automatisch vom Router gelöscht:

Die eu-LISA und die PNR-Zentralstellen werden vom Router automatisch über die in Buchstabe b genannte unverzügliche Löschung von EU-Flügen informiert.

Artikel 15 Verarbeitung von API-Daten und sonstigen PNR-Daten durch PNR-Zentralstellen

API-Daten und sonstige PNR-Daten, die den PNR-Zentralstellen gemäß dieser Verordnung übertragen werden, werden anschließend von den PNR-Zentralstellen im Einklang mit der Richtlinie (EU) 2016/681 verarbeitet, insbesondere in Bezug auf die Vorschriften für die Verarbeitung von API-Daten und sonstigen PNR-Daten durch die PNR-Zentralstellen, einschließlich der in den Artikeln 6, 10, 12 und 13 der genannten Richtlinie festgelegten Vorschriften, und ausschließlich zum Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung terroristischer Straftaten und schwerer Kriminalität.

Die PNR-Zentralstellen oder andere zuständige Behörden verarbeiten unter keinen Umständen API-Daten oder sonstige PNR-Daten für die Zwecke des in Artikel 11 Absatz 3 der Richtlinie (EU) 2016/680 genannten Profilings.

Artikel 16 Maßnahmen für den Fall, dass die Nutzung des Routers technisch nicht möglich ist

(1) Wenn es wegen eines Ausfalls des Routers technisch nicht möglich ist, den Router für die Übertragung von API- oder sonstigen PNR-Daten zu nutzen, benachrichtigt die eu-LISA die Fluggesellschaften und PNR-Zentralstellen unverzüglich auf automatisierte Weise über diese technische Unmöglichkeit. In diesem Fall ergreift die eu-LISA unverzüglich Maßnahmen zur Behebung der technischen Unmöglichkeit der Nutzung des Routers und informiert die Fluggesellschaften und die PNR-Zentralstellen unverzüglich, wenn das Problem erfolgreich behoben wurde.

Während des Zeitraums zwischen diesen Benachrichtigungen findet Artikel 5 Absatz 1 keine Anwendung, sofern es aus technischen Gründen nicht möglich ist, API- oder sonstige PNR-Daten an den Router zu übermitteln. Die Fluggesellschaften speichern die API-Daten oder sonstigen PNR-Daten, bis die technischen Schwierigkeiten erfolgreich behoben wurden. Sobald die technischen Schwierigkeiten erfolgreich behoben wurden, übermitteln Fluggesellschaften die Daten gemäß Artikel 5 Absatz 1 an den Router.

Wenn es aus technischen Gründen nicht möglich ist, den Router zu nutzen sowie in Ausnahmefällen im Zusammenhang mit den Zielen dieser Verordnung, die es erforderlich machen, dass die PNR-Zentralstellen während der technischen Unmöglichkeit, den Router zu nutzen, API-Daten oder sonstige PNR-Daten unverzüglich empfangen, können die PNR-Zentralstellen die Fluggesellschaften auffordern, jedes andere geeignete Mittel zu nutzen, das das erforderliche Maß an Datensicherheit, Datenqualität und Datenschutz bietet, um die API-Daten oder sonstige PNR-Daten direkt an die PNR-Zentralstellen zu übermitteln. Die PNR-Zentralstellen verarbeiten die API-Daten oder sonstigen PNR-Daten, die sie auf andere geeignete Weise erhalten haben, im Einklang mit den Vorschriften und Sicherheitsvorkehrungen der Richtlinie (EU) 2016/681.

Nachdem die eu-LISA mitgeteilt hat, dass der technische Fehler erfolgreich behoben wurde, und wenn im Einklang mit Artikel 12 Absatz 3 bestätigt wurde, dass die Übertragung der API-Daten oder sonstigen PNR-Daten über den Router an die entsprechende PNR-Zentralstelle abgeschlossen ist, löscht die PNR-Zentralstelle unverzüglich die API-Daten oder andere PNR-Daten, die sie auf eine andere geeignete Weise empfangen hat.

(2) Wenn es wegen eines Ausfalls der in Artikel 23 genannten Systeme oder Infrastruktur eines Mitgliedstaats technisch nicht möglich ist, den Router für die Übertragung von API- oder sonstigen PNR-Daten zu nutzen, benachrichtigt die PNR-Zentralstelle des betreffenden Mitgliedstaats die anderen PNR-Zentralstellen, die eu-LISA und die Kommission unverzüglich auf automatisierte Weise über diese technische Unmöglichkeit. In diesem Fall ergreift der Mitgliedstaat unverzüglich Maßnahmen zur Behebung der technischen Unmöglichkeit der Nutzung des Routers und benachrichtigt die anderen PNR-Zentralstellen, die eu-LISA und die Kommission unverzüglich, sobald das Problem erfolgreich behoben wurde. Der Router speichert die API-Daten oder sonstigen PNR-Daten, bis die technischen Schwierigkeiten erfolgreich behoben wurden. Sobald die technischen Schwierigkeiten erfolgreich behoben wurden, überträgt der Router die Daten gemäß Artikel 12 Absatz 1.

Nachdem die eu-LISA mitgeteilt hat, dass der technische Fehler erfolgreich behoben wurde, und wenn im Einklang mit Artikel 12 Absatz 3 bestätigt wurde, dass die Übertragung der betreffenden API-Daten über den Router an die entsprechende PNR-Zentralstelle abgeschlossen ist, löscht die PNR-Zentralstelle unverzüglich die API-Daten oder sonstigen PNR-Daten, die sie zuvor auf eine andere geeignete Weise erhalten hat.

(3) Wenn es wegen eines Ausfalls der in Artikel 24 genannten Systeme oder Infrastruktur einer Fluggesellschaft technisch nicht möglich ist, den Router für die Übermittlung von API- oder sonstigen PNR-Daten zu nutzen, benachrichtigt die betreffende Fluggesellschaft die PNR-Zentralstellen, die eu-LISA und die Kommission unverzüglich auf automatisierte Weise über diese technische Unmöglichkeit. In diesem Fall ergreift die Fluggesellschaft unverzüglich Maßnahmen zur Behebung der technischen Unmöglichkeit der Nutzung des Routers und benachrichtigt PNR-Zentralstellen, die eu-LISA und die Kommission unverzüglich, sobald das Problem erfolgreich behoben wurde.

Nachdem die eu-LISA mitgeteilt hat, dass der technische Fehler erfolgreich behoben wurde, und wenn im Einklang mit Artikel 12 Absatz 3 bestätigt wurde, dass die Übertragung der betreffenden API-Daten über den Router an die entsprechende PNR-Zentralstelle abgeschlossen ist, löscht die PNR-Zentralstelle unverzüglich die API-Daten oder sonstigen PNR-Daten, die sie zuvor auf eine andere geeignete Weise erhalten hat.

Wurde die technische Unmöglichkeit erfolgreich behoben, so legt die betreffende Fluggesellschaft der in Artikel 37 genannten nationalen API-Aufsichtsbehörde unverzüglich einen Bericht mit allen erforderlichen Einzelheiten über die technische Unmöglichkeit vor, einschließlich der Gründe für die technische Unmöglichkeit, ihres Umfangs und ihrer Folgen sowie der ergriffenen Abhilfemaßnahmen.

(1) Die Fluggesellschaften erstellen Protokolle über alle nach dieser Verordnung mithilfe der in Artikel 4 Absatz 7 genannten automatisierten Verfahren durchgeführten Verarbeitungsvorgänge im Zusammenhang mit API-Daten. Die Protokolle umfassen Datum, Uhrzeit und Ort der Übermittlung der API-Daten. Diese Protokolle dürfen keine anderen personenbezogenen Daten als die Angaben enthalten, die zur Identifizierung des betreffenden Bediensteten der Fluggesellschaft erforderlich sind.

(2) Die eu-LISA protokolliert alle Verarbeitungsvorgänge im Zusammenhang mit der Übermittlung und Übertragung von API-Daten und sonstigen PNR-Daten über den Router gemäß dieser Verordnung. Diese Protokolle enthalten folgende Angaben:

Diese Protokolle dürfen keine anderen personenbezogenen Daten als die Angaben enthalten, die zur Identifizierung des betreffenden Bediensteten der eu-LISA gemäß Unterabsatz 1 Buchstabe f erforderlich sind.

(3) Die Protokolle nach den Absätzen 1 und 2 dieses Artikels dürfen ausschließlich verwendet werden, um die Sicherheit und Integrität der API-Daten und der sonstigen PNR-Daten und die Rechtmäßigkeit der Verarbeitung sicherzustellen, insbesondere im Hinblick auf die Einhaltung der Anforderungen dieser Verordnung, einschließlich der Verfahren für Sanktionen bei Verstößen gegen diese Anforderungen gemäß den Artikeln 37 und 38.

(4) Die Fluggesellschaften und die eu-LISA treffen geeignete Maßnahmen, um die von ihnen gemäß den Absätzen 1 bzw. 2 erstellten Protokolle vor unbefugtem Zugriff und anderen Sicherheitsrisiken zu schützen.

(5) Die in Artikel 37 genannte nationale API-Aufsichtsbehörde und die PNR-Zentralstellen erhalten Zugriff auf die in Absatz 1 des vorliegenden Artikels vorgesehenen Protokolle, sofern für die in Absatz 3 des vorliegenden Artikels angegebenen Zwecke erforderlich.

(6) Die Fluggesellschaften und die eu-LISA speichern die gemäß den Absätzen 1 bzw. 2 erstellten Protokolle ab dem Zeitpunkt ihrer Erstellung ein Jahr lang. Nach Ablauf dieses Zeitraums löschen sie die Protokolle unverzüglich und dauerhaft.

Werden diese Protokolle jedoch für Verfahren zur Überwachung oder Gewährleistung der Sicherheit und Integrität der API-Daten oder der Rechtmäßigkeit der Verarbeitungsvorgänge gemäß Absatz 3 benötigt und sind diese Verfahren zum Zeitpunkt des Ablaufs der in Unterabsatz 1 des vorliegenden Absatzes genannten Zeitspanne bereits eingeleitet worden, so speichern die Fluggesellschaften und die eu-LISA die Protokolle so lange, wie dies für diese Verfahren erforderlich ist. In diesem Fall löschen sie diese Protokolle unverzüglich, wenn sie für die Verfahren nicht mehr erforderlich sind.

(1) Die Fluggesellschaften sind Verantwortliche im Sinne des Artikels 4 Nummer 7 der Verordnung (EU) 2016/679 für die Verarbeitung von API-Daten und sonstigen PNR-Daten, die personenbezogene Daten darstellen, im Rahmen der Erhebung dieser Daten und deren Übermittlung an den Router gemäß der vorliegenden Verordnung.

(2) Jeder Mitgliedstaat benennt eine zuständige Behörde als Verantwortlichen gemäß diesem Artikel. Die Mitgliedstaaten setzen die Kommission, die eu-LISA und die anderen Mitgliedstaaten über diese nationalen Behörden in Kenntnis.

Alle von den Mitgliedstaaten benannten zuständigen Behörden sind für die Zwecke der Verarbeitung personenbezogener Daten im Router gemeinsam Verantwortliche gemäß Artikel 21 der Richtlinie (EU) 2016/680.

(3) Die eu-LISA ist ein Auftragsverarbeiter im Sinne von Artikel 3 Nummer 12 der Verordnung (EU) 2018/1725 für die Zwecke der Verarbeitung von API-Daten und sonstigen PNR-Daten, die personenbezogene Daten im Sinne dieser Verordnung darstellen, über den Router, einschließlich der Übertragung der Daten vom Router an die PNR-Zentralstellen und der Speicherung dieser Daten auf dem Router aus technischen Gründen. Die eu-LISA stellt sicher, dass der Router im Einklang mit dieser Verordnung betrieben wird.

(4) Die Kommission erlässt Durchführungsrechtsakte, in denen die jeweiligen Zuständigkeiten der gemeinsam Verantwortlichen und der jeweiligen Pflichten der gemeinsam Verantwortlichen und des Auftragsverarbeiters festgelegt werden. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 42 Absatz 2 genannten Prüfverfahren erlassen.

Im Einklang mit Artikel 13 der Verordnung (EU) 2016/679 stellen die Fluggesellschaften den Fluggästen auf Flügen, die unter diese Verordnung fallen, Informationen über den Zweck der Erhebung ihrer personenbezogenen Daten, die Art der erhobenen personenbezogenen Daten, die Empfänger der personenbezogenen Daten und die Mittel zur Ausübung ihrer Rechte als betroffene Personen zur Verfügung.

Diese Informationen werden den Fluggästen zum Zeitpunkt der Buchung und zum Zeitpunkt des Check-in schriftlich und in einem leicht zugänglichen Format mitgeteilt, unabhängig davon, mit welchen Mitteln die personenbezogenen Daten zum Zeitpunkt des Check-in gemäß Artikel 4 erhoben werden.

(1) Die eu-LISA sorgt für die Sicherheit und Verschlüsselung der API-Daten und der sonstigen PNR-Daten, insbesondere personenbezogener Daten, die sie gemäß dieser Verordnung verarbeitet. Die PNR-Zentralstellen und die Fluggesellschaften gewährleisten die Sicherheit der API-Daten, insbesondere personenbezogener API-Daten, die sie gemäß dieser Verordnung verarbeiten. Die eu-LISA, die PNR-Zentralstellen und die Fluggesellschaften arbeiten gemäß ihren jeweiligen Zuständigkeiten und im Einklang mit dem Unionsrecht zusammen, um diese Sicherheit zu gewährleisten.

(2) Die eu-LISA stellt Sicherheit und Vertraulichkeit der Daten im Zusammenhang mit Flügen und Strecken sicher, die von den Mitgliedstaaten gemäß Artikel 12 Absatz 4 ausgewählt wurden. Die PNR-Zentralstellen und die Fluggesellschaften stellen die Sicherheit der API-Daten sicher, insbesondere der personenbezogenen API-Daten, die sie gemäß dieser Verordnung verarbeiten. Die eu-LISA, die PNR-Zentralstellen und die Fluggesellschaften arbeiten gemäß ihren jeweiligen Zuständigkeiten und im Einklang mit dem Unionsrecht zusammen, um für diese Sicherheit zu sorgen.

(3) Die eu-LISA ergreift die erforderlichen Maßnahmen, um die Sicherheit des Routers und der über den Router übertragenen API-Daten und sonstigen PNR-Daten, insbesondere personenbezogener Daten, sicherzustellen, unter anderem durch Erstellung, Umsetzung und regelmäßige Aktualisierung eines Sicherheitsplans, eines Betriebskontinuitätsplans und eines Notfallwiederherstellungsplans, um

Die in Unterabsatz 1 dieses Absatzes genannten Maßnahmen berühren nicht Artikel 32 der Verordnung (EU) 2016/679, Artikel 33 der Verordnung (EU) 2018/1725 oder Artikel 29 der Richtlinie (EU) 2016/680.

Die Fluggesellschaften und die PNR-Zentralstellen überwachen die Einhaltung der ihnen nach dieser Verordnung obliegenden Verpflichtungen, insbesondere in Bezug auf die Verarbeitung personenbezogener API-Daten. Bei den Fluggesellschaften umfasst die Überwachung eine häufige Verifizierung der in Artikel 17 genannten Protokolle.

(1) Die in Artikel 41 der Richtlinie (EU) 2016/680 genannten unabhängigen Aufsichtsbehörden überprüfen mindestens alle vier Jahre die Verarbeitungsvorgänge von personenbezogenen API-Daten, die die PNR-Zentralstellen für die Zwecke dieser Verordnung durchführen. Die Mitgliedstaaten stellen sicher, dass ihre unabhängigen Aufsichtsbehörden über ausreichende Ressourcen und Fachkenntnisse zur Wahrnehmung der Aufgaben verfügen, die ihnen gemäß dieser Verordnung übertragen werden.

(2) Der Europäische Datenschutzbeauftragte überprüft die Verarbeitungsvorgänge von personenbezogenen API-Daten und sonstigen PNR-Daten, die die eu-LISA für die Zwecke dieser Verordnung durchführt, mindestens einmal jährlich nach den einschlägigen internationalen Prüfungsstandards. Der Prüfbericht wird dem Europäischen Parlament, dem Rat, der Kommission, den Mitgliedstaaten und der eu-LISA übermittelt. Die eu-LISA erhält vor der Annahme des Berichts Gelegenheit zur Stellungnahme.

(3) Auf Verlangen stellt die eu-LISA im Zusammenhang mit den in Absatz 2 genannten Verarbeitungsvorgängen die vom Europäischen Datenschutzbeauftragten angeforderten Informationen bereit, gewährt dem Europäischen Datenschutzbeauftragten Zugang zu allen von ihm angeforderten Dokumenten und zu den in Artikel 17 Absatz 2 genannten Protokollen und gestattet dem Europäischen Datenschutzbeauftragten jederzeit Zutritt zu allen Räumlichkeiten der eu-LISA.

(1) Die Mitgliedstaaten stellen die Anbindung ihrer PNR-Zentralstellen an den Router sicher. Sie sorgen dafür, dass ihre nationalen Systeme und ihre nationale Infrastruktur für den Empfang und die Weiterverarbeitung der gemäß dieser Verordnung übermittelten API-Daten und sonstigen PNR-Daten an den Router angepasst werden.

Die Mitgliedstaaten stellen sicher, dass die PNR-Zentralstellen durch die Anbindung und Anpassung an den Router in der Lage sind, diese API-Daten und sonstigen PNR-Daten zu empfangen und weiterzuverarbeiten sowie alle diesbezüglichen Mitteilungen auf rechtmäßige, sichere, wirksame und rasche Weise auszutauschen.

(2) Die Kommission erlässt Durchführungsrechtsakte, in denen sie für die in Absatz 1 dieses Artikels genannten Anbindungen und Anpassungen an den Router die erforderlichen detaillierten Vorschriften, einschließlich zu Anforderungen an die Datensicherheit, festlegt. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 42 Absatz 2 genannten Prüfverfahren erlassen.

(1) Die Fluggesellschaften stellen ihre Anbindung an den Router sicher. Sie sorgen dafür, dass ihre Systeme und Infrastruktur für die Übermittlung von API-Daten und sonstigen PNR-Daten an den Router gemäß dieser Verordnung an den Router angepasst werden.

Die Fluggesellschaften stellen sicher, dass die Anbindung und Anpassung an den Router es ihnen ermöglicht, diese API-Daten und sonstigen PNR-Daten zu übermitteln sowie alle diesbezüglichen Mitteilungen auf rechtmäßige, sichere, wirksame und rasche Weise auszutauschen. Zu diesem Zweck testen die Fluggesellschaften in Zusammenarbeit mit der eu-LISA die Übermittlung von API-Daten und sonstigen PNR-Daten an den Router gemäß Artikel 27 Absatz 3.

(2) Die Kommission erlässt Durchführungsrechtsakte, in denen sie für die in Absatz 1 dieses Artikels genannten Anbindungen und Anpassungen an den Router die erforderlichen detaillierten Vorschriften einschließlich zu Anforderungen an die Datensicherheit festlegt. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 42 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 25 Aufgaben der eu-LISA im Hinblick auf die Konzeption und Entwicklung des Routers

(1) Die eu-LISA ist für den Entwurf der physischen Architektur des Routers sowie für die Festlegung der technischen Spezifikationen verantwortlich.

(2) Die eu-LISA ist für die Entwicklung des Routers und für alle technischen Anpassungen, die für den Betrieb des Routers erforderlich sind, verantwortlich.

Die Entwicklung des Routers umfasst die Ausarbeitung und Umsetzung der technischen Spezifikationen, die Erprobung und die gesamte Projektverwaltung und -koordinierung in der Entwicklungsphase.

(3) Die eu-LISA sorgt dafür, dass der Router so konzipiert und entwickelt wird, dass er die in dieser Verordnung festgelegten Funktionen bereitstellt und dass er nach Erlass der delegierten Rechtsakte gemäß Artikel 4 Absatz 12, Artikel 5 Absatz 3 und Artikel 7 Absatz 2 sowie nach Erlass der Durchführungsrechtsakte gemäß Artikel 11 Absatz 5, Artikel 12 Absatz 4, Artikel 23 Absatz 2 und Artikel 24 Absatz 2 der vorliegenden Verordnung sowie nach Erlass der Durchführungsrechtsakte gemäß Artikel 16 Absatz 3 der Richtlinie (EU) 2016/681 durch die Kommission und nach der Durchführung der Datenschutz-Folgenabschätzung gemäß Artikel 35 der Verordnung (EU) 2016/679 so bald wie möglich in Betrieb geht.

(4) Die eu-LISA stellt den PNR-Zentralstellen, den anderen zuständigen Behörden der Mitgliedstaaten und den Fluggesellschaften einen Konformitätstestsatz zur Verfügung. Der Konformitätstestsatz umfasst eine Testumgebung, einen Simulator, Testdatensätze und einen Testplan. Der Konformitätstestsatz muss einen umfassenden Test des Routers im Sinne der Absätze 5 und 6 ermöglichen und auch nach Abschluss dieser Tests verfügbar bleiben.

(5) Ist die eu-LISA der Auffassung, dass die Entwicklungsphase in Bezug auf API-Daten abgeschlossen ist, so führt die Agentur in Abstimmung mit den PNR-Zentralstellen und anderen zuständigen Behörden der Mitgliedstaaten sowie den Fluggesellschaften unverzüglich einen umfangreichen Test des Routers durch und unterrichtet die Kommission über das Ergebnis dieses Tests.

(6) Ist die eu-LISA der Auffassung, dass die Entwicklungsphase in Bezug auf sonstige PNR-Daten abgeschlossen ist, so führt sie unverzüglich umfangreiche Tests des Routers durch, um die Zuverlässigkeit der Verbindungen des Routers zu Fluggesellschaften und PNR-Zentralstellen, die erforderliche standardisierte Übertragung sonstiger PNR-Daten durch die Fluggesellschaften und die Übermittlung und Übertragung sonstiger PNR-Daten gemäß Artikel 16 der Richtlinie (EU) 2016/681 sicherzustellen, einschließlich der Verwendung der gemeinsamen Protokolle und unterstützten standardisierten Datenformate gemäß Artikel 16 Absätze 2 und 3 der genannten Richtlinie, um die Lesbarkeit der sonstigen PNR-Daten sicherzustellen. Diese Tests werden in Zusammenarbeit mit den PNR-Zentralstellen und anderen einschlägigen Behörden der Mitgliedstaaten und Fluggesellschaften durchgeführt. Die eu-LISA unterrichtet die Kommission über die Ergebnisse dieser Tests.

Artikel 26 Aufgaben der eu-LISA im Hinblick auf das Hosting und die technische Verwaltung des Routers

(2) Die eu-LISA ist für die technische Verwaltung des Routers verantwortlich, was seine Wartung und seine technischen Entwicklungen einschließt, und stellt dabei sicher, dass die API-Daten und die sonstigen PNR-Daten im Einklang mit dieser Verordnung sicher, wirksam und rasch über den Router übertragen werden.

Die technische Verwaltung des Routers umfasst die Wahrnehmung aller Aufgaben und die Umsetzung aller technischen Lösungen, die für das ordnungsgemäße Funktionieren des Routers gemäß dieser Verordnung im ununterbrochenen Betrieb (rund um die Uhr, sieben Tage in der Woche) erforderlich sind. Dazu gehören die Wartungsarbeiten und technischen Anpassungen, die erforderlich sind, um sicherzustellen, dass die Routerfunktionen insbesondere hinsichtlich der Verfügbarkeit, Richtigkeit und Zuverlässigkeit der Übertragung von API-Daten und sonstigen PNR-Daten mit zufriedenstellender technischer Qualität arbeiten und dabei den technischen Spezifikationen und so weit wie möglich auch den betrieblichen Anforderungen der PNR-Zentralstellen und Fluggesellschaften Rechnung tragen.

(3) Die Bediensteten der eu-LISA haben keinen Zugriff auf die über den Router übertragenen API-Daten oder sonstigen PNR-Daten. Dieses Verbot schließt jedoch nicht aus, dass die Bediensteten der eu-LISA einen entsprechenden Zugang erhalten, soweit dies für die Wartung und die technische Verwaltung des Routers unbedingt erforderlich ist.

(4) Unbeschadet des Absatzes 3 dieses Artikels und des Artikels 17 des in der Verordnung (EWG, Euratom, EGKS) Nr. 259/68 des Rates ²² festgelegten Statuts der Beamten der Europäischen Union wendet die eu-LISA geeignete Regeln für die berufliche Schweigepflicht bzw. eine vergleichbare Geheimhaltungspflicht auf ihre Bediensteten an, die mit über den Router übertragenen API-Daten und sonstigen PNR-Daten arbeiten. Diese Pflicht besteht auch nach dem Ausscheiden dieser Bediensteten aus dem Amt oder Dienstverhältnis oder der Beendigung ihrer Tätigkeit weiter.

(1) Auf Ersuchen von PNR-Zentralstellen, anderer zuständiger Behörden der Mitgliedstaaten oder von Fluggesellschaften bietet die eu-LISA diesen Schulungen zur technischen Nutzung des Routers und zu ihrer Anbindung und Anpassung an den Router an.

(2) Die eu-LISA unterstützt die PNR-Zentralstellen beim Empfang von API-Daten und sonstigen PNR-Daten über den Router gemäß dieser Verordnung, insbesondere bei der Anwendung der Artikel 12 und 23.

(3) Gemäß Artikel 24 Absatz 1 führt die eu-LISA unter Verwendung des in Artikel 25 Absatz 4 genannten Konformitätstestsatzes in Zusammenarbeit mit den Fluggesellschaften Tests der Übermittlung von API-Daten und sonstigen PNR-Daten an den Router durch.

(1) Bis zum 28. Januar 2025 richtet der Verwaltungsrat der eu-LISA einen Programmverwaltungsrat ein. Er setzt sich aus zehn Mitgliedern zusammen und besteht aus:

In Bezug auf Buchstabe a werden die vom Verwaltungsrat der eu-LISA ernannten Mitglieder nur aus dem Kreis seiner Mitglieder oder seiner Stellvertreter aus den Mitgliedstaaten gewählt, für die diese Verordnung gilt.

(2) Der Programmverwaltungsrat gibt sich eine vom Verwaltungsrat der eu-LISA anzunehmende Geschäftsordnung.

Den Vorsitz führt ein Mitgliedstaat, der Mitglied des Programmverwaltungsrates ist.

(3) Der Programmverwaltungsrat überwacht die wirksame Erfüllung der Aufgaben der eu-LISA im Zusammenhang mit der Konzeption und Entwicklung des Routers gemäß Artikel 25.

Die eu-LISA stellt auf Ersuchen des Programmverwaltungsrates detaillierte und aktualisierte Informationen über die Konzeption und Entwicklung des Routers, einschließlich der von der eu-LISA zugewiesenen Ressourcen, zur Verfügung.

(4) Der Programmverwaltungsrat legt dem Verwaltungsrat der eu-LISA regelmäßig, mindestens jedoch dreimal pro Quartal, schriftliche Berichte über die Fortschritte bei der Konzeption und Entwicklung des Routers vor.

(5) Der Programmverwaltungsrat hat keine Entscheidungsbefugnis und kein Mandat zur Vertretung des Verwaltungsrats der eu-LISA oder seiner Mitglieder.

(6) Der Programmverwaltungsrat gilt ab dem in Artikel 45 Absatz 2 dieser Verordnung festgelegten Geltungsbeginn als aufgelöst.

(1) Ab dem 28. Januar 2025 stellt die gemäß Artikel 27 Absatz 1 Buchstabe de der Verordnung (EU) 2018/1726 eingesetzte API-PNR-Beratungsgruppe dem Verwaltungsrat von eu-LISA das erforderliche Fachwissen in Bezug auf API-PNR zur Verfügung, insbesondere im Zusammenhang mit der Ausarbeitung ihres Jahresarbeitsprogramms und ihres jährlichen Tätigkeitsberichts.

(2) Die eu-LISA stellt der API-PNR-Beratungsgruppe soweit verfügbar Fassungen - auch vorläufige Fassungen - der technischen Spezifikationen und der in Artikel 25 Absätze 1, 2 und 4 genannten Konformitätstests zur Verfügung.

(4) Die API-PNR-Beratungsgruppe hat keine Entscheidungsbefugnis und kein Mandat zur Vertretung des Verwaltungsrats der eu-LISA oder seiner Mitglieder.

(1) Bis zu dem in Artikel 45 Absatz 2 genannten entsprechenden Geltungsbeginn dieser Verordnung richtet der Verwaltungsrat der eu-LISA eine API-PNR-Kontaktgruppe ein.

(2) Die API-PNR-Kontaktgruppe ermöglicht die Kommunikation zwischen den zuständigen Behörden der Mitgliedstaaten und den Fluggesellschaften über technische Fragen im Zusammenhang mit ihren jeweiligen Aufgaben und Pflichten gemäß dieser Verordnung.

(3) Die API-PNR-Kontaktgruppe setzt sich aus Vertretern der zuständigen Behörden der Mitgliedstaaten und der Fluggesellschaften, dem Vorsitz der API-PNR-Beratungsgruppe und Sachverständigen der eu-LISA zusammen.

(4) Der Verwaltungsrat der eu-LISA legt nach Stellungnahme der API-PNR-Beratungsgruppe die Geschäftsordnung der API-PNR-Kontaktgruppe fest.

(5) Der Verwaltungsrat der eu-LISA kann erforderlichenfalls auch Untergruppen der API-PNR-Kontaktgruppe einsetzen, um spezifische technische Fragen im Zusammenhang mit den jeweiligen im Rahmen dieser Verordnung bestehenden Aufgaben und Pflichten der zuständigen Behörden der Mitgliedstaaten und der Fluggesellschaften zu erörtern.

(6) Die API-PNR-Kontaktgruppe, einschließlich ihrer Untergruppen, hat keine Entscheidungsbefugnis und kein Mandat zur Vertretung des Verwaltungsrats der eu-LISA oder seiner Mitglieder.

(1) Die Kommission setzt bis zu dem in Artikel 45 Absatz 2 Buchstabe a genannten Tag des Geltungsbeginns dieser Verordnung im Einklang mit den horizontalen Bestimmungen über die Einsetzung und Arbeitsweise von Sachverständigengruppen der Kommission eine API-Sachverständigengruppe ein.

(2) Die API-Sachverständigengruppe dient der Kommunikation zwischen den zuständigen Behörden der Mitgliedstaaten sowie zwischen den zuständigen Behörden der Mitgliedstaaten und den Fluggesellschaften über strategische Fragen im Zusammenhang mit ihren jeweiligen Aufgaben und Pflichten aus dieser Verordnung, auch in Bezug auf die in Artikel 38 genannten Sanktionen.

(3) Den Vorsitz in der API-Sachverständigengruppe hat die Kommission inne, und die Sachverständigengruppe wird entsprechend den horizontalen Bestimmungen über die Einsetzung und die Arbeitsweise von Expertengruppen der Kommission eingerichtet. Sie setzt sich aus Vertretern der zuständigen Behörden der Mitgliedstaaten, Vertretern der Fluggesellschaften und Sachverständigen der eu-LISA zusammen. Die API-Sachverständigengruppe kann betroffene Interessenträger, insbesondere Vertreter des Europäischen Parlaments, des Europäischen Datenschutzbeauftragten und der unabhängigen nationalen Aufsichtsbehörden, einladen, sich an ihrer Arbeit zu beteiligen, sofern dies für die Erfüllung ihrer Aufgaben relevant ist.

(4) Die API-Sachverständigengruppe nimmt ihre Aufgaben gemäß dem Grundsatz der Transparenz wahr. Die Kommission veröffentlicht auf ihrer Internetseite die Protokolle der Sitzungen der API-Sachverständigengruppe sowie andere einschlägige Dokumente.

Artikel 32 Kosten für die eu-LISA, den Europäischen Datenschutzbeauftragten, die nationalen Aufsichtsbehörden und die Mitgliedstaaten

(1) Die Kosten, die der eu-LISA im Zusammenhang mit der Einrichtung und dem Betrieb des Routers gemäß dieser Verordnung entstehen, werden aus dem Gesamthaushaltsplan der Union finanziert.

(2) Die Kosten, die den Mitgliedstaaten im Zusammenhang mit der Durchführung dieser Verordnung, insbesondere ihrer Anbindung und Anpassung an den Router gemäß Artikel 23, entstehen, werden aus dem Gesamthaushaltsplan der Union im Einklang mit den in den geltenden Rechtsakten der Union festgelegten Bestimmungen über die Förderfähigkeit und Kofinanzierungssätzen unterstützt.

(3) Die Kosten, die dem Europäischen Datenschutzbeauftragten im Zusammenhang mit den ihm gemäß dieser Verordnung übertragenen Aufgaben entstehen, werden aus dem Gesamthaushalt der Union finanziert.

(4) Die Kosten, die den unabhängigen nationalen Aufsichtsbehörden im Zusammenhang mit den ihnen gemäß dieser Verordnung übertragenen Aufgaben entstehen, werden von den Mitgliedstaaten getragen.

Für Schäden am Router, die darauf zurückzuführen sind, dass ein Mitgliedstaat oder eine Fluggesellschaft den in dieser Verordnung festgelegten Verpflichtungen nicht nachgekommen ist, haftet dieser Mitgliedstaat bzw. diese Fluggesellschaft wie im geltenden Unionsrecht oder nationalen Recht vorgesehen, es sei denn, es wurde nachgewiesen, dass die eu-LISA, ein anderer Mitgliedstaat oder eine andere Fluggesellschaft keine angemessenen Maßnahmen ergriffen hat, um den Schaden abzuwenden oder zu mindern.

Sobald die eu-LISA die Kommission über den erfolgreichen Abschluss des umfangreichen Tests des Routers gemäß Artikel 25 Absatz 5 unterrichtet hat, legt die Kommission unverzüglich im Wege eines Durchführungsrechtsakts den Zeitpunkt fest, an dem der Router seinen Betrieb in Bezug auf API-Daten aufnimmt. Dieser Durchführungsrechtsakt wird gemäß dem in Artikel 42 Absatz 2 genannten Prüfverfahren erlassen.

Die Kommission legt den in Absatz 1 genannten Zeitpunkt so fest, dass er innerhalb von 30 Tagen nach dem Erlass des Durchführungsrechtsakts liegt.

Die Kommission legt im Wege eines Durchführungsrechtsakts unverzüglich den Zeitpunkt fest, ab dem der Router seinen Betrieb in Bezug auf sonstige PNR-Daten aufnimmt, sobald die eu-LISA die Kommission über den erfolgreichen Abschluss der umfassenden Tests des Routers gemäß Artikel 25 Absatz 6 unterrichtet hat, einschließlich der Zuverlässigkeit der Verbindungen des Routers zu Fluggesellschaften und PNR-Zentralstellen und der Lesbarkeit sonstiger PNR-Daten, die von den Fluggesellschaften übermittelt und vom Router in dem erforderlichen standardisierten Format gemäß Artikel 16 der Richtlinie (EU) 2016/681 übertragen wurden. Dieser Durchführungsrechtsakt wird gemäß dem in Artikel 42 Absatz 2 genannten Prüfverfahren erlassen.

Die Kommission legt den in Absatz 1 genannten Zeitpunkt so fest, dass er innerhalb von 30 Tagen nach dem Erlass des Durchführungsrechtsakts liegt.

(1) Die Fluggesellschaften sind berechtigt, den Router zu nutzen, um die in Artikel 3 Absätze 1 und 2 der Richtlinie 2004/82/EG genannten Informationen oder sonstige gemäß Artikel 8 der Richtlinie (EU) 2016/681 erhobenen PNR-Daten gemäß den genannten Richtlinien an eine oder mehrere der zuständigen PNR-Zentralstellen zu übertragen, sofern der betreffende Mitgliedstaat dieser Nutzung zugestimmt und einen geeigneten Zeitpunkt für den Nutzungsbeginn festgelegt hat. Bevor der Mitgliedstaat dieser Nutzung zustimmt, vergewissert er sich, dass die Informationen insbesondere in Anbetracht der Anbindung der eigenen PNR-Zentralstellen an den Router und derjenigen der betreffenden Fluggesellschaft rechtmäßig, sicher, wirksam und rasch übertragen werden können.

(2) Beginnt eine Fluggesellschaft mit der Nutzung des Routers gemäß Absatz 1 dieses Artikels, so überträgt sie diese Informationen bis zu dem in Artikel 45 Absatz 2 genannten entsprechenden Geltungsbeginn dieser Verordnung weiterhin über den Router an die PNR-Zentralstellen des betreffenden Mitgliedstaats. Wenn jedoch nach Auffassung dieses Mitgliedstaats objektive Gründe eine Einstellung dieser Nutzung rechtfertigen und er die Fluggesellschaft entsprechend unterrichtet, stellt die Fluggesellschaft die Nutzung ab dem von dem Mitgliedstaat festgelegten geeigneten Zeitpunkt wieder ein.

(1) Die Mitgliedstaaten benennen eine oder mehrere nationale API-Aufsichtsbehörden, die dafür zuständig sind, die Anwendung der Bestimmungen dieser Verordnung durch die Fluggesellschaften in ihrem Hoheitsgebiet zu überwachen und die Einhaltung dieser Bestimmungen sicherzustellen.

(2) Die Mitgliedstaaten stellen sicher, dass die nationalen API-Aufsichtsbehörden über alle erforderlichen Mittel und alle erforderlichen Ermittlungs- und Durchsetzungsbefugnisse verfügen, um ihre Aufgaben gemäß dieser Verordnung wahrzunehmen und gegebenenfalls auch die in Artikel 38 genannten Sanktionen zu verhängen. Die Mitgliedstaaten stellen sicher, dass die Ausübung der der nationalen API-Aufsichtsbehörde übertragenen Befugnisse gemäß den im Unionsrecht gewährleisteten Grundrechten geeigneten Schutzvorkehrungen unterliegt.

(3) Die Mitgliedstaaten melden der Kommission bis zu dem in Artikel 45 Absatz 2 genannten entsprechenden Geltungsbeginn dieser Verordnung die Namen und Kontaktdaten der von ihnen gemäß Absatz 1 des vorliegenden Artikels benannten Behörden. Sie melden der Kommission unverzüglich alle diesbezüglichen Änderungen.

(4) Die Befugnisse der Aufsichtsbehörden nach Artikel 51 der Verordnung (EU) 2016/679, Artikel 41 der Richtlinie (EU) 2016/680 und Artikel 15 der Richtlinie (EU) 2016/681 bleiben von diesem Artikel unberührt.

(1) Die Mitgliedstaaten erlassen Vorschriften über Sanktionen, die bei Verstößen gegen diese Verordnung zu verhängen sind, und treffen alle für die Anwendung der Sanktionen erforderlichen Maßnahmen. Die Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.

(2) Die Mitgliedstaaten teilen der Kommission diese Vorschriften und Maßnahmen bis zu dem in Artikel 45 Absatz 2 festgelegten entsprechenden Geltungsbeginn dieser Verordnung mit und melden ihr unverzüglich alle diesbezüglichen Änderungen.

(3) Die Mitgliedstaaten stellen sicher, dass die nationalen API-Aufsichtsbehörden bei der Entscheidung darüber, ob sie Sanktionen verhängen, und bei der Festlegung von Art und Höhe der Sanktionen die relevanten Umstände berücksichtigen, darunter eventuell

(4) Die Mitgliedstaaten stellen sicher, dass bei dem wiederholten Versäumnis, API-Daten gemäß Artikel 5 Absatz 1 zu übermitteln, verhältnismäßige finanzielle Sanktionen in Höhe von bis zu 2 % des von der Fluggesellschaft im vorangegangenen Geschäftsjahr erwirtschafteten weltweiten Jahresumsatzes verhängt werden können. Die Mitgliedstaaten stellen sicher, dass die Nichteinhaltung anderer in dieser Verordnung festgelegter Verpflichtungen mit verhältnismäßigen Sanktionen, auch finanzieller Art, geahndet wird.

(1) Um die Durchführung und Überwachung der Anwendung dieser Verordnung zu unterstützen, veröffentlicht die eu-LISA auf der Grundlage der in den Absätzen 5 und 6 genannten statistischen Informationen vierteljährlich Statistiken über die Funktionsweise des Routers und über die Einhaltung der in dieser Verordnung festgelegten Verpflichtungen durch die Fluggesellschaften. Diese Statistiken dürfen keine Identifizierung von Einzelpersonen ermöglichen.

(2) Für die in Absatz 1 genannten Zwecke überträgt der Router die in den Absätzen 5 und 6 aufgeführten Daten automatisch an den CRRS.

(3) Um die Durchführung und Überwachung der Anwendung dieser Verordnung zu unterstützen, stellt eu-LISA jährlich statistische Daten in einem Jahresbericht über das vergangene Jahr zusammen. Sie veröffentlicht diesen Jahresbericht und übermittelt ihn dem Europäischen Parlament, dem Rat, der Kommission, dem Europäischen Datenschutzbeauftragten, der Europäischen Agentur für die Grenz- und Küstenwache und den nationalen API-Aufsichtsbehörden nach Artikel 37. In dem Jahresbericht dürfen weder vertrauliche Arbeitsmethoden offengelegt werden, noch darf er laufende Ermittlungen der zuständigen Behörden der Mitgliedstaaten gefährden.

(4) Die eu-LISA stellt der Kommission auf deren Ersuchen hin Statistiken zu spezifischen Aspekten im Zusammenhang mit der Durchführung dieser Verordnung sowie die in Absatz 3 genannten Statistiken zur Verfügung.

(5) Der CRRS stellt der eu-LISA die für die Berichterstattung gemäß Artikel 44 und für die Erstellung der folgenden Statistiken gemäß diesem Artikel erforderlichen statistischen Angaben zur Verfügung, wobei diese Statistiken zu API-Daten keine Identifizierung der betreffenden Fluggäste ermöglichen dürfen:

(6) Der CRRS stellt der eu-LISA die folgenden für die Berichterstattung gemäß Artikel 44 und für die Erstellung der Statistiken gemäß diesem Artikel erforderlichen statistischen Angaben zur Verfügung, wobei diese Statistiken zu sonstigen PNR-Daten keine Identifizierung der betreffenden Fluggäste ermöglichen dürfen:

(7) Für die Zwecke der Berichterstattung nach Artikel 44 und zur Erstellung der Statistiken gemäß diesem Artikel speichert die eu-LISA die Daten nach den Absätzen 5 und 6 dieses Artikels in dem CRRS. Sie speichert solche Daten gemäß Absatz 2 für einen Zeitraum von fünf Jahren, wobei sichergestellt wird, dass die Daten keine Identifizierung der betreffenden Fluggäste ermöglichen dürfen. Zur Durchführung und Überwachung der Anwendung dieser Verordnung stellt der CRRS ordnungsgemäß ermächtigten Bediensteten der PNR-Zentralstellen und anderer zuständiger Behörden der Mitgliedstaaten anpassbare Berichte und die in Absatz 5 dieses Artikels genannten Statistiken zu API-Daten und die in Absatz 6 dieses Artikels genannten Statistiken zu sonstigen PNR-Daten bereit.

(8) Die Verwendung der in den Absätzen 5 und 6 genannten Daten darf nicht zu dem in Artikel 11 Absatz 3 der Richtlinie (EU) 2016/680 genannten Profiling von Personen oder einer Diskriminierung von Personen aus den in Artikel 21 der Charta aufgeführten Gründen führen. Die in den Absätzen 5 und 6 genannten Daten dürfen weder für den Vergleich und den Abgleich noch für eine Kombination mit personenbezogenen Daten verwendet werden.

(9) Die von der eu-LISA zur Überwachung der Entwicklung und der Funktionsweise des Routers eingeführten Verfahren gemäß Artikel 39 Absatz 2 der Verordnung (EU) 2019/818 umfassen die Möglichkeit, regelmäßige Statistiken zur Sicherstellung dieser Überwachung zu erstellen.

Die Kommission erstellt in enger Zusammenarbeit mit den PNR-Zentralstellen, anderen zuständigen Behörden der Mitgliedstaaten, den Fluggesellschaften und den zuständigen Einrichtungen und Agenturen der Union ein Handbuch mit Leitlinien, Empfehlungen und bewährten Verfahren für die Durchführung dieser Verordnung, unter anderem in Bezug auf die Vereinbarkeit mit den Grundrechten und auf Sanktionen gemäß Artikel 38, und macht dieses öffentlich zugänglich.

Artikel 39 Absätze 1 und 2 der Verordnung (EU) 2019/818 erhalten folgende Fassung:

"(1) Es wird ein zentraler Speicher für Berichte und Statistiken (CRRS) eingerichtet, um die Ziele von Eurodac, des SIS sowie des ECRIS-TCN gemäß den entsprechenden geltenden Rechtsinstrumenten zu unterstützen und systemübergreifende statistische Daten und analytische Berichte für politische und operative Zwecke sowie für die Zwecke der Datenqualität bereitzustellen. Der CRRS unterstützt auch die Ziele der Verordnung (EU) 2025/13 des Europäischen Parlaments und des Rates *.

(2) Die eu-LISA sorgt an ihren technischen Standorten für die Einrichtung, die Implementierung und das Hosting des CRRS, das logisch nach den EU-Informationssystemen getrennt die Daten und Statistiken nach Artikel 74 der Verordnung (EU) 2018/1862 und Artikel 32 der Verordnung (EU) 2019/816 enthält. Die eu-LISA erhebt auch die Daten und Statistiken des in Artikel 39 Absatz 1 der vorliegenden Verordnung (EU) 2025/13 genannten Routers. Der Zugang zum CRRS erfolgt in Form eines kontrollierten, gesicherten Zugangs und spezifischer Nutzerprofile und wird den in Artikel 74 der Verordnung (EU) 2018/1862, Artikel 32 der Verordnung (EU) 2019/816 und Artikel 13 Absatz 1 der vorliegenden Verordnung (EU) 2025/13 genannten Behörden ausschließlich zu Berichterstattungs- und Statistikzwecken gewährt.

___
*) Verordnung (EU) 2025/13 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 über die Erhebung und Übermittlung von vorab übermittelten Fluggastdaten zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität und zur Änderung der Verordnung (EU) 2019/818 (ABl. L, 2025/13, 8.1.2025, ELI: http://data.europa.eu/eli/reg/2025/13/oj)."

(1) Die Kommission wird von einem Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.

(2) Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011. Gibt der Ausschuss keine Stellungnahme ab, erlässt die Kommission den Entwurf des Durchführungsrechtsaktes nicht, und Artikel 5 Absatz 4 Unterabsatz 3 der Verordnung (EU) Nr. 182/2011 findet Anwendung.

(1) Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.

(2) Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 4 Absätze 11 und 12, Artikel 5 Absatz 4 und Artikel 7 Absatz 5 wird der Kommission für einen Zeitraum von fünf Jahren ab dem 28. Januar 2025 übertragen. Die Kommission erstellt spätestens neun Monate vor Ablauf des Zeitraums von fünf Jahren einen Bericht über die Befugnisübertragung. Die Befugnisübertragung verlängert sich stillschweigend um Zeiträume gleicher Länge, es sei denn, das Europäische Parlament oder der Rat widerspricht einer solchen Verlängerung spätestens drei Monate vor Ablauf des jeweiligen Zeitraums.

Was einen delegierten Rechtsakt betrifft, der gemäß Artikel 4 Absatz 11 erlassen wurde, lehnt weder das Europäische Parlament noch der Rat die stillschweigende Verlängerung nach Unterabsatz 1 des vorliegenden Absatzes ab, wenn das Europäische Parlament oder der Rat gemäß Absatz 6 des vorliegenden Artikels Einwände erhoben hat.

(3) Die Befugnisübertragung gemäß Artikel 4 Absatz 12, Artikel 5 Absatz 4 und Artikel 7 Absatz 5 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem im Beschluss über den Widerruf angegebenen späteren Zeitpunkt wirksam. Die Gültigkeit von delegierten Rechtsakten, die bereits in Kraft sind, wird von dem Beschluss über den Widerruf nicht berührt.

(4) Vor dem Erlass eines delegierten Rechtsakts konsultiert die Kommission die von den einzelnen Mitgliedstaaten benannten Sachverständigen im Einklang mit den in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung enthaltenen Grundsätzen.

(5) Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.

(6) Ein delegierter Rechtsakt, der gemäß Artikel 4 Absatz 11 oder 12, Artikel 5 Absatz 4 oder Artikel 7 Absatz 5 erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von zwei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben haben oder wenn vor Ablauf dieser Frist das Europäische Parlament und der Rat beide der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Initiative des Europäischen Parlaments oder des Rates wird diese Frist um zwei Monate verlängert.

(1) Die eu-LISA stellt sicher, dass zur Überwachung der Entwicklung und der Funktionsweise des Routers geeignete Verfahren vorhanden sind, wobei für die Entwicklung Ziele in Bezug auf Planung und Kosten und für die Funktionsweise Ziele in Bezug auf die technische Leistung, Kostenwirksamkeit, Sicherheit und Dienstleistungsqualität festzulegen sind.

(2) Bis zum 29. Januar 2026 und danach jedes Jahr während der Entwicklungsphase des Routers erstellt eu-LISA einen Bericht über den Stand der Entwicklung des Routers und legt diesen Bericht dem Europäischen Parlament und dem Rat vor. Der Bericht enthält genaue Angaben über die angefallenen Kosten und über etwaige Risiken, welche sich auf die Gesamtkosten auswirken könnten, die gemäß Artikel 32 zulasten des Gesamthaushaltsplans der Union gehen.

(3) Sobald der Router in Betrieb geht, erstellt eu-LISA einen Bericht, in dem detailliert dargelegt wird, wie die Ziele, insbesondere in Bezug auf die Planung und die Kosten, erreicht wurden, und in dem Gründe für etwaige Abweichungen angegeben werden, und übermittelt diesen dem Europäischen Parlament und dem Rat.

(4) Die Kommission erstellt bis zum 29. Januar 2029 und danach alle vier Jahre einen Bericht mit einer Gesamtevaluierung dieser Verordnung, in deren Rahmen die Notwendigkeit und der Zusatznutzen der Erhebung von API-Daten aufgezeigt wird, einschließlich einer Bewertung

Für die Zwecke von Unterabsatz 1 Buchstabe e befasst sich der Bericht der Kommission auch mit der Wechselwirkung dieser Verordnung mit anderen einschlägigen Gesetzgebungsakten der Union, insbesondere der Verordnungen (EG) Nr. 767/2008, (EU) 2017/2226 und (EU) 2018/1240 und, um die Gesamtauswirkungen der damit verbundenen Meldepflichten auf die Fluggesellschaften zu bewerten, Bestimmungen zu bewerten, die zur Verringerung der Belastung der Fluggesellschaften gegebenenfalls aktualisiert und vereinfacht werden können, und Aktionen und Maßnahmen zu prüfen, die zur Senkung des Gesamtkostendrucks auf die Fluggesellschaften ergriffen werden könnten.

(5) Die in Absatz 4 genannte Evaluierung umfasst auch eine Überprüfung der Frage, ob die Einbeziehung der Verpflichtung zur Erhebung und Übermittlung von API-Daten über EU-Flüge in den Anwendungsbereich dieser Verordnung notwendig, verhältnismäßig und wirksam ist.

(6) Die Kommission übermittelt den Evaluierungsbericht dem Europäischen Parlament, dem Rat, dem Europäischen Datenschutzbeauftragten und der Agentur der Europäischen Union für Grundrechte. Auf der Grundlage der Evaluierung legt die Kommission dem Europäischen Parlament und dem Rat gegebenenfalls einen Gesetzgebungsvorschlag zur Änderung dieser Verordnung vor.

(7) Die Mitgliedstaaten und die Fluggesellschaften übermitteln eu-LISA und der Kommission auf Anfrage die für die Ausarbeitung der Berichte nach den Absätzen 2, 3 und 4 erforderlichen Informationen. Insbesondere stellen die Mitgliedstaaten quantitative und qualitative Informationen über die Erhebung von API-Daten aus operativer Sicht zur Verfügung. Bei den bereitgestellten Informationen handelt es sich nicht um personenbezogene Daten. Die Mitgliedstaaten können davon absehen, solche Informationen bereitzustellen, wenn und soweit dies erforderlich ist, um vertrauliche Arbeitsmethoden nicht offenzulegen oder um laufende Ermittlungen ihrer PNR-Zentralstellen oder anderer zuständiger Behörden nicht zu gefährden. Die Kommission stellt sicher, dass alle übermittelten vertraulichen Informationen angemessen geschützt werden.

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt gemäß den Verträgen unmittelbar in den Mitgliedstaaten.

1) ABl. C 228 vom 29.06.2023 S. 97.

2) Standpunkt des Europäischen Parlaments vom 25. April 2024 (noch nicht im Amtsblatt veröffentlicht) und Beschluss des Rates vom 12. Dezember 2024.

3) Richtlinie 2004/82/EG des Rates vom 29. April 2004 über die Verpflichtung von Beförderungsunternehmen, Angaben über die beförderten Personen zu übermitteln (ABl. L 261 vom 06.08.2004 S. 24).

4) Richtlinie (EU) 2016/681 des Europäischen Parlaments und des Rates vom 27. April 2016 über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität (ABl. L 119 vom 04.05.2016 S. 132).

5) Verordnung (EU) 2025/12 des Europäischen Parlaments und des Rates vom 19. Dezember 2024 über die Erhebung und Übermittlung vorab übermittelter Fluggastdaten zur Verbesserung und Erleichterung der Kontrollen an den Außengrenzen, zur Änderung der Verordnungen (EU) 2019/817 und (EU) 2018/1726 sowie zur Aufhebung der Richtlinie 2004/82/EG des Rates (ABl. L, 2025/12, 8.1.2025, ELI: http://data.europa.eu/eli/reg/2025/12/oj).

6) Verordnung (EU) 2019/1157 des Europäischen Parlaments und des Rates vom 20. Juni 2019 zur Erhöhung der Sicherheit der Personalausweise von Unionsbürgern und der Aufenthaltsdokumente, die Unionsbürgern und deren Familienangehörigen ausgestellt werden, die ihr Recht auf Freizügigkeit ausüben (ABl. L 188 vom 12.07.2019 S. 67).

7) Verordnung (EG) Nr. 2252/2004 des Rates vom 13. Dezember 2004 über Normen für Sicherheitsmerkmale und biometrische Daten in von den Mitgliedstaaten ausgestellten Pässen und Reisedokumenten (ABl. L 385 vom 29.12.2004 S. 1).

8) Richtlinie (EU) 2019/997 des Rates vom 18. Juni 2019 zur Festlegung eines EU-Rückkehrausweises und zur Aufhebung des Beschlusses 96/409/GASP (ABl. L 163 vom 20.06.2019 S. 1).

9) Verordnung (EU) 2017/2226 des Europäischen Parlaments und des Rates vom 30. November 2017 über ein Einreise-/Ausreisesystem (EES) zur Erfassung der Ein- und Ausreisedaten sowie der Einreiseverweigerungsdaten von Drittstaatsangehörigen an den Außengrenzen der Mitgliedstaaten und zur Festlegung der Bedingungen für den Zugang zum EES zu Gefahrenabwehr- und Strafverfolgungszwecken und zur Änderung des Übereinkommens zur Durchführung des Übereinkommens von Schengen sowie der Verordnungen (EG) Nr. 767/2008 und (EU) Nr. 1077/2011 (ABl. L 327 vom 09.12.2017 S. 20).

10) Verordnung (EU) 2018/1240 des Europäischen Parlaments und des Rates vom 12. September 2018 über die Einrichtung eines Europäischen Reiseinformations- und -genehmigungssystems (ETIAS) und zur Änderung der Verordnungen (EU) Nr. 1077/2011, (EU) Nr. 515/2014, (EU) 2016/399, (EU) 2016/1624 und (EU) 2017/2226 (ABl. L 236 vom 19.09.2018 S. 1).

11) Verordnung (EG) Nr. 767/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über das Visa-Informationssystem (VIS) und den Datenaustausch zwischen den Mitgliedstaaten über Visa für einen kurzfristigen Aufenthalt (VIS-Verordnung) (ABl. L 218 vom 13.08.2008 S. 60).

12) Verordnung (EU) 2018/1726 des Europäischen Parlaments und des Rates vom 14. November 2018 über die Agentur der Europäischen Union für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA), zur Änderung der Verordnung (EG) Nr. 1987/2006 und des Beschlusses 2007/533/JI des Rates sowie zur Aufhebung der Verordnung (EU) Nr. 1077/2011 (ABl. L 295 vom 21.11.2018 S. 99).

13) Verordnung (EG) Nr. 1107/2006 des Europäischen Parlaments und des Rates vom 5. Juli 2006 über die Rechte von behinderten Flugreisenden und Flugreisenden mit eingeschränkter Mobilität (ABl. L 204 vom 26.07.2006 S. 1).

14) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG ( Datenschutz-Grundverordnung) (ABl. L 119 vom 04.05.2016 S. 1).

15) Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018 S. 39).

16) Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 04.05.2016 S. 89).

17) Verordnung (EU) 2019/818 des Europäischen Parlaments und des Rates vom 20. Mai 2019 zur Errichtung eines Rahmens für die Interoperabilität zwischen EU-Informationssystemen (polizeiliche und justizielle Zusammenarbeit, Asyl und Migration) und zur Änderung der Verordnungen (EU) 2018/1726, (EU) 2018/1862 und (EU) 2019/816 (ABl. L 135 vom 22.05.2019 S. 85).

18) ABl. L 123 vom 12.05.2016 S. 1.

19) Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren (ABl. L 55 vom 28.02.2011 S. 13, ELI: http://data.europa.eu/eli/reg/2011/182/oj).

20) ABl. C 84 vom 07.03.2023 S. 2.

21) Richtlinie (EU) 2017/541 des Europäischen Parlaments und des Rates vom 15. März 2017 zur Terrorismusbekämpfung und zur Ersetzung des Rahmenbeschlusses 2002/475/JI des Rates und zur Änderung des Beschlusses 2005/671/JI des Rates (ABl. L 88 vom 31.03.2017 S. 6).

22) ABl. L 56 vom 04.03.1968 S. 1.