darf für die vorgesehenen Zugriffsmöglichkeiten der Sicherheitsbehörden ist bisher nicht überzeugend dargelegt. Ähnlich wie beim EES-Vorschlag soll eher rein vorsorglich eine mehrjährige Vorratsspeicherung über
Daten von Einreisewilligen eingerichtet werden. Die vorgesehene Abgleichfunktion über IP-Adressen bietet
zahlreiche Verknüpfungsmöglichkeiten.
Weitere Vernetzungsmöglichkeiten verfolgt die Kommission unter der Zielvorgabe der Interoperabilität. In
deren Langzeitvision sollen die relevanten Informationssysteme aus den Bereichen Grenzmanagement, Migration und Strafverfolgung zu einem neuen Gesamtsystem mit einer zentralen Identitätsdatenbank (Kernmodul) und
damit verknüpften Fachmodulen verschmelzen.
Die Pläne für ein solches Kernmodul sehe ich mit großer Besorgnis. Der Schritt zu einer EU-weiten Bevölkerungsdatenbank ist nicht mehr weit entfernt. Ein solches System ist mit europäischem Datenschutzrecht kaum
zu vereinbaren. Elementare Grundsätze wie die Zweckbindung, das Recht auf Löschung/Vergessen, die Kontrollierbarkeit, die Datenminimierung und die Datensparsamkeit („need to know“) sind erheblich gefährdet.
Auch die Artikel-29-Gruppe hat sich in einem Brief an Rat, Kommission und Europäisches Parlament zu EES,
ETIAS und Interoperabilität kritisch geäußert.
2.3.2
Fluggastdaten: Das nächste Kapitel
Der europäische Gesetzgeber hat nach Jahren eine Richtlinie zur Erfassung und Speicherung von Fluggastdaten (PNR-Daten) für Sicherheitszwecke verabschiedet. Während die Regierungen der Mitgliedstaaten bereits
die Umsetzung vorbereiten, richtet sich der Blick auf den Europäischen Gerichtshof in Luxemburg.
Bereits in meinem 22. Tätigkeitsbericht (Nr. 13.5.3) habe ich von ersten Vorschlägen berichtet, so genannte
passenger name records (PNR-Daten) für Sicherheitszwecke zu nutzen und auf Jahre zu speichern. Es handelt
sich hierbei um einen Datensatz, den die Fluggesellschaften erstellen, um die Passagiere zu befördern. Die
PNR-Richtlinie verpflichtet nun die Fluggesellschaften, diese Daten schon vor Abflug einer Sicherheitsbehörde
zu übermitteln.
Insbesondere das Europäische Parlament stand dem Vorhaben lange skeptisch gegenüber, doch unter dem Eindruck der schrecklichen Terroranschläge von Brüssel und Paris hat der europäische Gesetzgeber schließlich im
April 2016 die Richtlinie verabschiedet. Danach haben alle Mitgliedstaaten bis zum Mai 2018 Zeit, bei einer
Sicherheitsbehörde eine Fluggastzentrale einzurichten, die PNR-Daten erfasst und für fünf Jahre speichert, und
zwar nach den Vorstellungen der Innenminister bei allen Flügen, die nicht rein nationale Flüge sind.
Das PNR-System verfolgt im Wesentlichen zwei Zwecke. Zunächst dient es dem Abgleich aller Flugpassagiere
mit abstrakten Gefährdungsmustern. Ein Flugpassagier gerät in das Visier für eine Kontrolle an der Grenze,
wenn er verschiedene Kriterien erfüllt, die bei zuvor gefassten Straftätern vorlagen (z. B. Art der Buchung, gewählte Flugroute etc.). Ausdrückliches Ziel ist es also, bestimmte Passagiere in den Fokus zu nehmen, gegen die
bislang gerade kein Verdacht bestand, deren PNR-Datensatz aber einem Gefährdungsmuster entspricht. Nach
der Richtlinie muss die Entscheidung über die konkrete Kontrolle an der Grenze immer ein Mensch treffen,
doch folgt die Vorauswahl zukünftig der Programmierung der Muster.
Der andere wesentliche Zweck ist die Nutzung der gespeicherten Daten für die Zwecke der Verhütung oder
Verfolgung von terroristischen Straftaten und schwerer Kriminalität. Einer Vorratsdatenspeicherung entsprechend werden die Fluggastdaten für fünf Jahre verdachtsunabhängig gespeichert, allerdings nach sechs Monaten
„depersonalisiert“. Der Zugriff auf einen vollständigen Datensatz ist hiernach nur noch zulässig, wenn ein Richter die Überzeugung gewonnen hat, dass die Daten im Einzelfall für die Verfolgung schwerer Kriminalität erforderlich sind.
BfDI 26. Tätigkeitsbericht 2015-2016
– 57 –