zum Referentenentwurf eines Gesetzes über die Verarbeitung von Fluggastdaten zur Umsetzung der Richtlinie (EU) 2016/681 (Fluggastdatengesetz – FlugDaG)

A. Tenor der Stellungnahme

Der Deutsche Richterbund lehnt den Entwurf eines Gesetzes über die Verarbeitung von Fluggastdaten wegen rechtsstaatlicher Bedenken ab.

Die anlassunabhängige Erhebung und Verarbeitung sämtlicher Fluggastdaten verletzt in eklatanter Weise die Persönlichkeitsrechte aller Flugreisenden. Die Anlasstaten für die Verarbeitung der Daten sind zu weit und unbestimmt formuliert. Darüber hinaus sieht der Gesetzentwurf einen Datenaustausch mit anderen Stellen und Ländern zum großen Teil ohne justizielle Einbindung und Kontrolle vor. An verschiedenen Stellen werden die Vorgaben der EU-Richtlinie nicht eingehalten.
Einer Verhältnismäßigkeitsprüfung hält der Gesetzentwurf unter Abwägung der betroffenen Persönlichkeitsrechte der Fluggäste, den hohen öffentlichen wie privaten Kosten der Maßnahme sowie der fraglichen Effektivität der Fluggastdatenverarbeitung nicht stand.
 

B. Bewertung im Einzelnen

1. Recht auf informationelle Selbstbestimmung/Datenschutz

Der Deutsche Richterbund hat grundsätzliche, auch verfassungsrechtliche Bedenken hinsichtlich der gemäß §§ 5 ff. FlugDaG-E geregelten massenweisen, verdachtsunabhängigen Erhebung, Speicherung und Verarbeitung in Form der automatisierten Rasterung sämtlicher Fluggastdaten. Bei den gesammelten Daten handelt es sich um sensible und umfassende persönliche, finanzielle als auch soziale Informationen der Fluggäste, so dass ein ganz erheblicher Eingriff in die grundrechtlich geschützten Interessen der Betroffenen hinsichtlich ihrer informationellen Selbstbestimmung stattfindet. Die Menge der Daten wird auch dadurch erheblich erhöht, dass nicht nur die Flüge aus und in Drittstaaten erfasst werden, wie dies Artikel 1 Absatz 1 Buchstabe a der Richtlinie fordert, sondern auch die Flüge aus und nach Deutschland in und aus Mitgliedstaaten der EU betroffen sein sollen. Der Gesetzentwurf sieht eine Speicherung und damit Verarbeitung dieser Fluggastdaten für jeweils fünf Jahre vor, ohne dass im Gesetzentwurf die Datenbestände und Muster in § 5 Abs. 2 Satz 1 FlugDaG-E bzw. Abs. 3 FlugDaG-E, mit denen eine solche Überprüfung erfolgt, nachvollziehbar konkretisiert werden. Diese Weite und Unbestimmtheit ist nicht nur aus datenschutzrechtlicher Hinsicht besorgniserregend, sondern verhindert darüber hinaus eine Beurteilung der Geeignetheit der Maßnahme.

Sofern in der Begründung des Entwurfs ausgeführt wird, die Erhebung und Verarbeitung sämtlicher Fluggastdaten sei zur Diskriminierungsfreiheit erforderlich und im Übrigen mit dem Einsatz von Metalldetektoren bzw. Körperscannern an Flughäfen vergleichbar, so kann diese Argumentation nicht überzeugen. Denn zum einen dient die Sicherheitskontrolle am Flughafen lediglich der unmittelbaren Sicherheit an dem konkreten Flughafen bzw. auf dem Flug, den der anwesende Fluggast nutzt. Des Weiteren dient die Maßnahme auch dem Schutz vor Gefahrgütern und der Einhaltung der Zollbestimmungen. Zum anderen ist fraglich, ob die Erhebung und Verarbeitung der Fluggastdaten eines unverdächtigen und im Übrigen auch unschuldigen Fluggastes inklusive Personen-, Kontakt- und Kontodaten, Vielfliegereintrag, Mitreisenden und Gepäckangaben über fünf Jahre nicht auch eine diskriminierungsgleiche Stigmatisierung darstellt, insbesondere wenn der Flug gar nicht angetreten wird.

2. Zuständigkeiten/Datenübermittlung

Das Bundeskriminalamt ist nach § 1 Abs. 1 FlugDaG-E die Fluggastdatenzentralstelle. Nach § 1 Abs. 3 FlugDaG-E verarbeitet das Bundesverwaltungsamt die Fluggastdaten im Auftrag und nach Weisung des Bundeskriminalamtes. Der Gesetzentwurf überlässt es demnach vollständig dem Bundeskriminalamt zu entscheiden, inwieweit das Bundesverwaltungsamt die Fluggastdaten verarbeitet. Die Aufgabenverteilung zwischen den beiden Behörden bleibt damit unklar.

In § 6 Absatz 2 FlugDaG-E wird für den repressiven Bereich die Sachleitungsbefugnis der Staatsanwaltschaft missachtet. Insofern bedarf es dringend einer Regelung der Zuständigkeiten entsprechend der präventiven und repressiven Zielrichtungen. Ob im Übrigen im sogenannten Eilfall eine Entscheidung des Präsidenten des BKA oder seines Vertreters ausreichend ist, erscheint fraglich. Denn insofern legalisiert die Daten verarbeitende Stelle ihre Entscheidung ohne Kontrolle durch Dritte - vorläufig - selbst.

Weiter sieht der Gesetzentwurf den Datenaustausch mit Mitgliedstaaten sowie Drittstaaten in §§ 8 Abs. 2 Satz 1 Nr. 1, 11 Abs. 2 FlugDaG-E ohne Einbindung justizieller Stellen vor. Dies begegnet Bedenken. In diesem Zusammenhang ist auch das Verhältnis von § 11 Abs. 1 Satz 2 zu Satz 3 FlugDaG-E unklar. Im Übrigen fehlt eine Regelung, nach der vor der Übermittlung von Daten zu prüfen ist, ob der Empfängerstaat die Gewähr dafür bietet, die Daten nicht zu menschenrechtswidrigen Zwecken zu nutzen. In allen Fällen der Datenübermittlung müssen die Zuständigkeiten entsprechend der Zielrichtung formuliert sein, so dass auch der adäquate Rechtshilfeweg eingehalten wird.

Sofern im Gesetzentwurf hinsichtlich der Übermittlung von Daten (vgl. §§ 5 Abs. 5 Satz 1, 8 Abs. 2 Satz 1 Nr. 2, Abs. 3 Satz 1 Nr. 2, 11 Abs. 1 Satz 1 FlugDaG-E) eine „hinreichende Begründung“ gefordert wird, bleiben dessen Anforderungen unklar.

§ 7 Abs. 4 FlugDaG-E sieht die Nutzung der Daten auch zu anderen Zwecken als der Abwehr und Verfolgung von Terrorismus und schwerer Kriminalität vor. Dies widerspricht Artikel 7 Absatz 4 der Richtlinie. Auch Artikel 7 Absatz 5 der Richtlinie regelt nicht die im Entwurf normierten weiteren Nutzungsmöglichkeiten. Ferner ist § 7 Abs. 4 FlugDaG-E zu unbestimmt und zu weitgehend, was insbesondere mit Blick auf den erheblichen Grundrechtseingriff bedenklich ist.

Auch an anderen Stellen weicht der Gesetzentwurf ohne nähere Begründung von den Vorgaben der Richtlinie ab, so in § 2 Abs. 5 Nr. 2 FlugDaG-E hinsichtlich des Übermittlungszeitpunktes der Fluggastdaten. In § 2 Abs. 7 FlugDaG-E sollten die in Art. 16 Abs. 1 Satz 1 der Richtlinie genannten Sicherheitsmaßnahmen und organisatorischen Vorkehrungen ausdrücklich aufgeführt werden.

Die Regelungen zu Gemeinsamen Verfahren der systematischen Zusammenarbeit in § 9 FlugDaG-E sind zu unbestimmt und weit und können in dieser Form keinen Bestand haben.

Aus datenschutzrechtlicher Sicht sollte § 15 FlugDaG-E konkret regeln, welche Personen unter welchen Bedingungen Zugriff auf die Protokolldaten haben.

Soweit nach der Begründung des Gesetzentwurfs zur Synchronisierung des Umsetzungsprojekts zu Fluggastdaten im BKA mit dem Umsetzungsprojekt im Bundesverwaltungsamt die Nutzung eines externen Dienstleisters vorgesehen ist, ist ferner zu prüfen, inwieweit diesem die erhobenen bzw. verarbeiteten Daten zugänglich gemacht werden. Gegebenenfalls sollte eine entsprechende Regelung im Gesetz zur Auftragsdatenverarbeitung implementiert werden.

3. Zweckbestimmung

Die vorgenannten Einwände wiegen umso schwerer, als der Gesetzentwurf hinsichtlich der Konkretisierung der „Schweren Kriminalität“ in § 5 Abs. 1 Satz 2 FlugDaG-E zu weit gefasst ist. Der Entwurf entspricht weder den Maßgaben der Richtlinie, noch der eigenen Zielsetzung, erheblichen Gefahren bzw. Straftaten im grenzüberschreitenden Bereich insbesondere mit organisierten Strukturen begegnen zu wollen. Dies zeigt auch der Vergleich mit den enger gefassten Straftatenkatalogen ähnlicher Begriffe wie „Schwere Straftaten“ nach § 100a Abs. 2 StPO oder „Straftaten von erheblicher Bedeutung“ nach § 98a Abs. 1 StPO im nationalen Recht.

Die im Gesetzentwurf vorgesehene Nutzung der Fluggastdaten für Infektionsschutzzwecke widerspricht den in Artikel 1 Abs. 2 der Richtlinie ausschließlich formulierten Zwecken. Wenn auch der in § 1 Abs. 2 S. 2 FlugDaG-E genannte Zweck grundsätzlich im Hinblick auf das Schutzgut von Leib und Leben durch übertragbare Krankheiten bei einer Vielzahl von Menschen von überragender Bedeutung ist, erscheint zudem fraglich, inwieweit alle der in § 2 Abs. 2 FlugDaG-E genannten Daten für die Erreichung dieses Zweckes erforderlich sind. Die Gesetzesbegründung bleibt insoweit viel zu allgemein. Es steht daher zu besorgen, dass der Grundsatz der Datensparsamkeit nicht im ausreichenden Umfang Beachtung findet. Dieser Erweiterung ist darüber hinaus aufgrund der zusätzlichen und anders gelagerten Schutzrichtung sowie der unterschiedlichen Zuständigkeiten für die Folgemaßnahmen die Geeignetheit abzusprechen.

4. Verhältnismäßigkeit

Bei einer Gesamtbetrachtung des Gesetzentwurfs unter Einbeziehung insbesondere der datenschutzrechtlichen Problematik wird nach Ansicht des Deutschen Richterbundes die – mehrfach in der Richtlinie angemahnte – Verhältnismäßigkeit der Maßnahme nicht eingehalten. Dies gilt umso mehr, als die Effektivität der Maßnahme – bei den erheblichen Kosten sowohl für den Bund als auch für die Privatwirtschaft – nicht geklärt ist.