– 34 –
Es wird Aufgabe der deutschen Ratspräsidentschaft im
ersten Halbjahr 2007 sein, ein neues und langfristig geltendes PNR-Abkommen auszuhandeln, das in der Zukunft den Datenschutz angemessen berücksichtigt und die
Rechte und Freiheiten der Flugpassagiere sichert.
3.3.3
Umsetzung der Richtlinie 2004/82/EG zur
Übermittlung von Flugpassagierdaten
Die Richtlinie 2004/82/EG des Rates über die Verpflichtung von Beförderungsunternehmen, Passagierdaten zu
übermitteln, ist noch nicht in nationales Recht umgesetzt,
obwohl die Frist hierzu bereits am 5. September 2006 abgelaufen ist.
Auch in der EU sollen von Fluggesellschaften erhobene
Passagierdaten genutzt werden, um den Gefahren des
internationalen Terrorismus zu begegnen. Allerdings
wurde die diesbezügliche Richtlinie (APl-Richtlinie –
Abl. L 261/24 vom 6. August 2004, vgl. 20. TB Nr. 3.3.5)
im Berichtszeitraum noch nicht in nationales Recht umgesetzt. Der vom BMI im Juli 2005 vorgelegte Gesetzentwurf erlangte keine Kabinettreife.
Die Artikel 29-Gruppe (vgl. Nr. 3.3) hat in einer Stellungnahme zu der API-Richtlinie (WP 127 vom 28. September 2006) kritisiert, dass diese zuviel Raum für abweichende Interpretation und Durchführung lasse. Sie hat die
Mitgliedstaaten deshalb aufgefordert, ihren Ermessensspielraum für eine harmonisierte Umsetzung zu nutzen
und dabei ein ausgewogenes Verhältnis zwischen dem
Kampf gegen illegale Einwanderung und dem Recht auf
Datenschutz zu wahren.
Im Herbst 2006 hat das BMI einen neuen Entwurf eines
Fluggastdatengesetzes in die Ressortabstimmung eingebracht. Dieser sieht vor, die Richtlinie durch eine Ergänzung des Bundespolizeigesetzes – BPolG – umzusetzen.
Obwohl dies zu begrüßen ist, stößt der Entwurf aus datenschutzrechtlichen Gründen auf erhebliche Bedenken:
– Der personelle Anwendungsbereich der Richtlinie 2004/82/EG gilt zwar für sämtliche Flugpassagiere, also auch für EU-Staatsangehörige. Damit den
Regelungen des Schengener Durchführungsübereinkommens Rechnung getragen wird, sollte das Gesetz
aber auf Beförderungen von Drittstaatsangehörigen
über die Außengrenzen in das Bundesgebiet beschränkt werden.
– Die Liste der von den Luftverkehrsunternehmen zu
übermittelnden Daten geht erheblich über den Datenkatalog in der Richtlinie hinaus. Problematisch erscheint mir insbesondere die Kopie der Lichtbildseite
des Personaldokuments.
– Die übermittelten Daten sollen binnen 24 Stunden
nach der Einreise des jeweiligen Flugzeuges bei der
Bundespolizei gelöscht werden, sofern sie nicht zur
Erfüllung einer dieser obliegenden gesetzlichen Aufgabe benötigt werden. Eine solche Öffnungsklausel,
die datenschutzrechtlich eine sehr weitgehende
Zweckänderungserlaubnis darstellt, erscheint mir unverhältnismäßig und auch mit dem Prinzip der Normenklarheit nicht vereinbar. Angesichts des weit gespannten Aufgabenbereichs der BPol (vgl. §§ 1
bis 13 BPolG) habe ich eine Begrenzung der Verwen-
dung der Daten im Hinblick auf die Zielrichtung der
Richtlinie, insbesondere die Einreisekontrolle zu verbessern und die illegale Einwanderung zu bekämpfen,
gefordert.
Die Ressortabstimmung über den Gesetzentwurf war bei
Redaktionsschluss noch nicht abgeschlossen. Ich werde
darauf achten, dass dabei die datenschutzrechtlichen Belange angemessen berücksichtigt werden.
3.3.4
Europaweite Datenschutzprüfung im
Krankenversicherungssektor
Die erste europaweite Überprüfung bei Krankenversicherungen unterstreicht die Wichtigkeit gemeinsamen Vorgehens der nationalen Aufsichtsbehörden.
Im März 2006 startete die Artikel 29-Gruppe eine europaweite Initiative mit dem Ziel, gemeinsam in allen europäischen Mitgliedstaaten die Anwendung und Umsetzung
von datenschutzrechtlichen Bestimmungen im Krankenversicherungssektor zu überprüfen. Mit der Aktion sollten Erkenntnisse darüber gewonnen werden, wie hier personenbezogene Daten erhoben und verarbeitet werden,
um daraus ggf. Schlüsse für weitere Maßnahmen ziehen
zu können. Der Sektor war ausgewählt worden, weil er einen sehr großen Teil der Bevölkerung betrifft und dort bei
den Versicherungsnehmern in besonderem Maße sensible
Daten erhoben werden. Die Artikel 29-Gruppe hatte sich
zuvor auf einen Fragenkatalog verständigt, der repräsentativen Unternehmen und Branchenverbänden zugesandt
wurde. In die Vorbereitung der Aktion waren auch Vertreter des Europäischen Verbandes der Versicherungsunternehmer einbezogen worden. Von deutscher Seite wurden
5 Versicherungsunternehmen angeschrieben, die zusammen gut 50 Prozent des Marktes abdecken.
Für die Artikel 29-Gruppe ist eine solche gemeinsame
koordinierte europaweite Überprüfung von großer Bedeutung. Sie zeigt, dass die Aufsichtsbehörden der EU-Mitgliedstaaten nicht nur eng zusammenarbeiten, sondern
auch gemeinsam entwickelte Positionen zum Datenschutz
durchsetzen können. Für die betroffenen Unternehmen
hat dieses gemeinsame Vorgehen unterstrichen, dass die
datenschutzrechtlichen Vorgaben im europäischen Raum
einheitlich umgesetzt werden. Schließlich hat diese Aktion bei den Versicherungsnehmern das Bewusstsein für
den Datenschutz gestärkt und sie über ihre Rechte aufgeklärt. Einzelergebnisse der Aktion werden im ersten
Halbjahr 2007 erwartet.
3.3.5
Safe Harbor
Das zwischen der EU und den USA geschlossene Safe
Harbor Abkommen hat sich bewährt und soll weiter ausgebaut werden.
Als im Jahr 2000 das Abkommen zwischen den Vereinigten Staaten und der Europäischen Union über einen „sicheren Hafen“ (vgl. Kasten zu Nr. 3.3.5) abgeschlossen
wurde, wurde dies allseits als Experiment betrachtet. Inzwischen kann es als Erfolg bewertet werden. Zwei Veranstaltungen, die 2005 und 2006 gemeinsam vom US-Handelsministerium, der Europäischen Kommission und den
in der Artikel 29-Gruppe zusammengeschlossenen Datenschutzbeauftragten der europäischen Staaten organisiert
R
e
BfDI 21. Tätigkeitsbericht 2005-2006