Nach den Terroranschlägen vom 11. September 2001 erließen die USA Rechtsvorschriften, wonach Fluggesellschaften, die Flüge in die oder aus den Vereinigten Staaten oder über deren Gebiet durchführen, den amerikanischen Behörden einen elektronischen Zugriff auf die Daten ihrer automatischen Reservierungs- und Abfertigungssysteme, die sog. „Passenger Name Re-cords“ (PNR), gewähren müssen. Die EU-Kommission stellte mit Entscheidung vom 14.05.2004 (2004/535/EG) fest, dass in den USA ein angemessener Schutz für PNR-Daten gewährleistet sei (sog. Angemessenheitsentscheidung). Der Rat erließ am 17.05.2004 einen Beschluss (2004/496/EG), mit dem der Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die im Hoheitsgebiet der Mitgliedstaaten der Gemeinschaft ansässigen Fluggesellschaften genehmigt wurde.
Hiergegen erhob das Europäische Parlament Nichtigkeitsklage (Art. 230, 231 EG). Es hat u.a. geltend gemacht, die Angemessenheitsentscheidung sei ultra vires ergangen, Artikel 95 EG sei keine geeignete Rechtsgrundlage für den Beschluss über die Genehmigung des Abkommens, und in beiden Fällen seien Grundrechte verletzt. Zur Unterstützung der Anträge ist der Europäische Datenschutzbeauftragte - erstmals seit der Schaffung dieses Amtes - als Streithelfer vor dem Gerichtshof aufgetreten.
In seinem Urteil hat der EuGH beide Rechtsakte für nichtig erklärt. Nach Auffassung des EuGH beruhen weder die Entscheidung der Kommission, mit der die Angemessenheit des Schutzes der Daten durch die Vereinigten Staaten festgestellt wurde, noch der Beschluss des Rates, mit dem das Abkommen über deren Übermittlung an die USA genehmigt wurde, auf einer geeigneten Rechtsgrundlage.
Zur Angemessenheitsentscheidung:Der Gerichtshof prüft zunächst, ob die Kommission die Angemessenheitsentscheidung rechtsgültig auf der Grundlage der Richtlinie 95/46/EG (sog. Datenschutzrichtlinie) erlassen konnte. Er weist dazu darauf hin, dass die Richtlinie keine Anwendung auf die Verarbeitung personenbezogener Daten findet, die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates und die Tätigkeiten des Staates im strafrechtlichen Bereich.
Aus der Angemessenheitsentscheidung ergibt sich, dass amerikanische Rechtsvorschriften, die u.a. die Verbesserung der Sicherheitslage betreffen, die Rechtsgrundlage für die Daten-übermittlung sind, dass die Gemeinschaft die Vereinigten Staaten uneingeschränkt im Kampf gegen den Terrorismus unterstützt und dass die PNR-Daten ausschließlich für Zwecke der Verhütung und Bekämpfung des Terrorismus und damit verknüpfter Straftaten sowie anderer schwerer Straftaten, einschließlich der internationalen organisierten Kriminalität, verwendet werden. Daraus folgt, dass die Übermittlung der PNR-Daten eine Verarbeitung darstellt, die die öffentliche Sicherheit und die Tätigkeiten des Staates im strafrechtlichen Bereich betrifft.
Es trifft zwar zu, dass die PNR-Daten von den Fluggesellschaften ursprünglich im Rahmen einer unter das Gemeinschaftsrecht fallenden Tätigkeit erhoben worden sind, nämlich im Rahmen des Verkaufs eines Flugscheins, der zu einer Dienstleistung berechtigt; die Datenverarbeitung, die in der Angemessenheitsentscheidung Berücksichtigung findet, ist jedoch von ganz anderer Art. Denn diese Entscheidung bezieht sich auf eine Datenverarbeitung, die nicht für die Erbringung einer Dienstleistung erforderlich ist, sondern zum Schutz der öffentlichen Sicherheit und zu Strafverfolgungszwecken als erforderlich angesehen wird.
Die Tatsache, dass es private Wirtschaftsteilnehmer sind, die die PNR-Daten zu gewerblichen Zwecken erhoben haben und in einen Drittstaat übermitteln, hindert nicht daran, diese Über-mittlung als eine vom Anwendungsbereich der Richtlinie ausgenommene Datenverarbeitung anzusehen. Die Übermittlung findet nämlich in einem von staatlichen Stellen geschaffenen Rahmen statt und dient der öffentlichen Sicherheit.
Da die Angemessenheitsrichtlinie nicht in den Anwendungsbereich der Datenschutzrichtlinie fällt, scheidet diese als Ermächtigungsgrundlage aus. Folglich hat der Gerichtshof die Ange-messenheitsentscheidung für nichtig erklärt.
Zum Beschluss des Rates:Der Gerichtshof stellt fest, dass Artikel 95 EG in Verbindung mit Artikel 25 der Datenschutz-richtlinie die Zuständigkeit der Gemeinschaft für den Abschluss des fraglichen Abkommens mit den Vereinigten Staaten nicht begründen kann. Das Abkommen betrifft nämlich die gleiche Datenübermittlung wie die Angemessenheitsentscheidung und damit eine Verarbeitung von Daten, die nicht in den Anwendungsbereich der Richtlinie fällt. Daher hat der Gerichtshof den Beschluss des Rates über die Genehmigung des Abkommens ebenfalls für nichtig erklärt
Zur Beschränkung der Wirkungen des Urteils:
Da das Abkommen mit den USA während eines Zeitraums von 90 Tagen nach seiner Kündigung wirksam bleibt, hat der EuGH aus Gründen der Rechtssicherheit und zum Schutz der betroffenen Personen die Wirkungen der Angemessenheitsentscheidung bis zum 30.09.2006 aufrechtzuerhalten.
Quelle:
Pressemitteilung des EuGH Nr. 46/06Urteil des EuGH vom 30.05.2006 - C 317/04 und C 318/04
Quelle/Autor:
Horst Wüstenbecker
