Menu Expand

Datenschutzkonflikte zwischen der EU und den USA

Cite BOOK

Style

Baumann, B. (2016). Datenschutzkonflikte zwischen der EU und den USA. Angemessenheit des Datenschutzniveaus am Beispiel der PNR-Abkommen. Duncker & Humblot. https://doi.org/10.3790/978-3-428-54783-8
Baumann, Bastian. Datenschutzkonflikte zwischen der EU und den USA: Angemessenheit des Datenschutzniveaus am Beispiel der PNR-Abkommen. Duncker & Humblot, 2016. Book. https://doi.org/10.3790/978-3-428-54783-8
Baumann, B (2016): Datenschutzkonflikte zwischen der EU und den USA: Angemessenheit des Datenschutzniveaus am Beispiel der PNR-Abkommen, Duncker & Humblot, [online] https://doi.org/10.3790/978-3-428-54783-8

Format

Datenschutzkonflikte zwischen der EU und den USA

Angemessenheit des Datenschutzniveaus am Beispiel der PNR-Abkommen

Baumann, Bastian

Beiträge zum Informationsrecht, Vol. 37

(2016)

Additional Information

Book Details

Pricing

About The Author

Bastian Baumann studierte Rechtswissenschaften an der Albert-Ludwigs-Universität Freiburg und an der University of Aberdeen. Nach der Ersten Juristischen Prüfung 2010 absolvierte er ein LL.M.-Studium am College of Europe in Brügge. Von 2011 bis 2013 war er wissenschaftlicher Mitarbeiter am Institut für Öffentliches Recht der Albert-Ludwigs-Universität Freiburg am Lehrstuhl von Herrn Prof. Dr. Friedrich Schoch. Einen zweimonatigen Forschungsaufenthalt verbrachte Bastian Baumann 2013 an der University of California in Berkeley. 2015 erfolgte die Promotion an der Albert-Ludwigs-Universität Freiburg. Seit 2014 ist er Rechtsreferendar am Oberlandesgericht Frankfurt am Main.

Abstract

Zwischen der EU und den USA existiert eine Vielzahl an Konflikten, die mit dem Datenschutz im Zusammenhang stehen. Ein Grund dafür ist das Erfordernis, Daten von einer Rechtsordnung in eine andere zu transferieren. Der Autor untersucht, welche Voraussetzungen erfüllt werden müssen, um Daten rechtskonform in eine andere Rechtsordnung zu übermitteln. Referenzgebiete sind mit der EU und den USA zwei Rechtsordnungen, die diesbezüglich unterschiedliche Ansätze verfolgen. So muss für einen rechtmäßigen Datentransfer von der EU in ein Drittland grundsätzlich ein »angemessenes Datenschutzniveau« im Drittland vorliegen. Problematisch ist aus Sicht der EU der Datenfluss in Rechtsordnungen, die - wie die USA - kein »angemessenes Datenschutzniveau« gewährleisten. Der Autor analysiert die sich daraus ergebenden Konflikte, bei denen neben dem Datenschutz auch wirtschaftliche oder sicherheitspolitische Interessen eine Rolle spielen. Besondere Berücksichtigung findet dabei die Übermittlung von Passagierdaten (PNR-Daten) von der EU in die USA.»Data Protection Conflicts between the EU and the USA«

The transfer of Passenger Name Records (PNR) from EU airlines to authorities in the US is one of the most controversially discussed data protection conflicts between the EU and the US. The author analyses the requirements for the transfer of data from the EU to Third Countries, especially regarding the EU legal principle of an »adequate protection of personal data«. He examines existing data protection conflicts with a focus on PNR data and possible problem solutions.

Table of Contents

Section Title Page Action Price
Vorwort 7
Inhaltsübersicht 9
Inhaltsverzeichnis 11
Abkürzungsverzeichnis 31
Einleitung 37
§ 1 Gegenstand der Untersuchung 37
§ 2 Gang der Darstellung 39
Teil 1: Datenfluss im internationalen Kontext 41
§ 3 Grundlagen zum Datenfluss im internationalen Kontext 41
A. Terminologie 41
I. Daten 42
II. Fluss von Daten 44
III. Internationaler Kontext 46
B. Datenfluss im internationalen Kontext 47
I. Punkt zu Punkt Übermittlungen 47
II. Globale Netzwerke, Cloud Computing und soziale Netzwerke 48
III. Transit von Daten 48
IV. Hochladen von Inhalten in das Internet 49
1. Die Rechtssache Lindqvist 50
2. Tatsächliche Komponente 52
3. Eine Entscheidung im politischen Kontext 52
§ 4 Realbereichsanalyse 54
A. Dimensionen des Datenflusses 54
B. Unlimitierte Gründe für Datenfluss und Feststellung eines Informationsbedarfs 55
C. Internationale Dimension des Datenflusses 57
D. Akteure im Bereich des Datenflusses 57
I. Natürliche Personen 58
II. Unternehmen 58
III. Hoheitsträger wie Staaten und Staatenverbund 59
IV. Internationale Organisationen 59
V. Mögliche Bildung weiterer Kategorien 59
E. Individuelle und wechselseitige Komponente des Datenflusses 60
F. Ausblick 60
§ 5 Allgemeiner Regelungsrahmen 60
A. Historische Einordnung 61
B. Gründe für Regelungen des Datenflusses im internationalen Kontext 64
I. Regelungen zum Zwecke des Datenschutzes 64
1. Daten und Datenverarbeitung als Regelungsgegenstand 64
2. Datenschutz als Regelungszweck 65
a) Verhinderung der Umgehung nationaler Datenschutzgesetze 65
b) Schutz gegen Risiken der Datenverarbeitung in anderen Ländern 66
c) Schwierigkeiten bei der Durchsetzung von Datenschutzrechten im Ausland 66
d) Förderung des Vertrauens von Konsumenten und Individuen 67
3. Rechtsverbindliche Regelung 67
4. Zusammenfassung 67
II. Regelungen zum Zwecke der Ermöglichung und Verhinderung von Datenflüssen 68
1. Datenfluss auch ohne Regelungen 68
2. Ermöglichung im Zusammenhang mit sachbezogenen Daten 68
3. Ermöglichung im Zusammenhang mit personenbezogenen Daten 69
4. Verhinderung des Datenflusses im internationalen Kontext 70
a) Protektionistische Gründe 70
b) Schutz der staatlichen Souveränität 70
c) Politische Gründe 71
5. Zusammenfassung 72
III. Zusammenfassung 72
C. Zusammenhang von Regelungen und Akteuren 72
D. Risiken und Herausforderungen 73
I. Unterschiedliche Arten von Datenschutzregelungen 73
II. Probleme durch das Outsourcen von Datenverarbeitungen 74
III. Herausforderungen durch Datenbanken und Data-Mining 75
IV. Sicherheitsgesetze als Herausforderung für den Datenschutz 75
V. Herausforderungen in Bezug auf das anwendbare Recht und Extraterritorialität 76
VI. Herausforderungen durch Cloud Computing 79
VII. Weitere Risiken des Datenflusses im internationalen Kontext 81
E. Arten von Regelungen des Datenflusses im internationalen Kontext 82
I. Explizite und implizite Regelungen 82
1. Explizite Regelungen 82
2. Implizite Regelungen 83
II. Rechtsverbindliche und unverbindliche Regelungen 84
1. Rechtsverbindliche Regelungen 84
2. Unverbindliche bzw. freiwillige Regelungen 84
III. Hoheitliche Regelungen und privatrechtliche Regelungen 85
1. Hoheitliche Regelungen 85
2. Privatrechtliche Regelungen 85
IV. Unilaterale, bilaterale und multilaterale Regelungen 85
1. Unilaterale Regelungen 85
2. Bilaterale Regelungen 85
3. Multilaterale Regelungen 86
V. Geographiebasierte und organisationsbasierte Regelungen 86
1. Geographiebasierte Regelungen 86
2. Organisationsbasierte Regelungen 87
VI. Regelungen zum Grundrechtsschutz und für sonstige Zwecke 88
VII. Kombination der unterschiedlichen Kriterien 88
§ 6 Die bestehenden Regelungen in der EU und den USA 88
A. Recht der EU 90
I. Primärrechtliche Grundlagen 91
II. Sekundärrechtliche Regelungen zum Datenfluss im internationalen Kontext de lege lata 91
1. EU-Datenschutzrichtlinie 91
a) Entstehungsgeschichte der Datenschutzrichtlinie 91
b) Zweck und Anwendungsbereich der Datenschutzrichtlinie 93
c) Art. 25 DSRL: Grundsätze – Die Bedeutung des Kriteriums der Angemessenheit 95
aa) Ziele und Funktionen des Art. 25 DSRL 95
bb) Art. 25 I DSRL: Die Angemessenheit des Schutzniveaus 96
cc) Art. 25 II DSRL: Kriterien zur Bestimmung der Angemessenheit des Schutzniveaus 97
dd) Art. 25 III DSRL: Unterrichtung über nicht bestehendes angemessenes Schutzniveau 103
ee) Art. 25 IV DSRL: Reaktion der Mitgliedstaaten bei fehlendem angemessenem Schutzniveau 105
ff) Art. 25 V DSRL: Reaktion der Kommission bei fehlendem angemessenem Schutzniveau 105
gg) Art. 25 VI DSRL: Möglichkeit der Feststellung eines angemessenen Schutzniveaus 107
(1) Bisher ergangene Angemessenheitsentscheidungen 108
(2) Safe Harbor-Vereinbarung 109
(3) Angemessenheitsentscheidung zur Übermittlung von Fluggastdaten 116
d) Art. 26 DSRL: Ausnahmen 117
aa) Ziele und Funktionen des Art. 26 DSRL 117
bb) Art. 26 I lit. a DSRL: Einwilligung des Betroffenen 118
cc) Art. 26 I lit. b DSRL: Erfüllung eines Vertrags oder Durchführung vorvertraglicher Maßnahmen 119
dd) Art. 26 I lit. c DSRL: Abschluss oder Erfüllung eines Vertrags im Interesse der betroffenen Person 120
ee) Art. 26 I lit. d DSRL: Wahrung eines wichtigen öffentlichen Interesses oder Durchsetzung von Rechtsansprüchen 120
ff) Art. 26 I lit. e DSRL: Wahrung lebenswichtiger Interessen 121
gg) Art. 26 I lit. f DSRL: Übermittlung aus einem Register 122
hh) Art. 26 II DSRL: Ausreichende Garantien 122
(1) Standardvertragsklauseln 125
(2) Verbindliche Unternehmensregelungen 127
ii) Art. 26 III DSRL: Unterrichtungspflicht 129
jj) Art. 26 IV DSRL: Standardvertragsklauseln 130
e) Gleichwertiges Schutzniveau innerhalb der EU 130
2. Datenschutz-Rahmenbeschluss 131
a) Entstehungsgeschichte des Datenschutz-Rahmenbeschlusses 132
b) Zweck und Anwendungsbereich des Datenschutz-Rahmenbeschlusses 133
c) Art. 13 DSRB 134
aa) Ziele und Funktionen des Art. 13 DSRB 134
bb) Art. 13 I lit. a-c, II DSRB – Voraussetzungen für eine Übermittlung 135
cc) Art. 13 I lit. d, III lit. a, b, IV DSRB – Das Kriterium der Angemessenheit 136
3. Weitere exemplarische Regelungen auf EU-Ebene 139
a) Verordnung zum Datenschutz durch die Organe und Einrichtungen der Gemeinschaft 139
b) Eurojust 139
c) Europol 140
III. Sekundärrechtliche Regelungen zum Datenfluss im internationalen Kontext de lege ferenda 141
1. Kommissionsvorschlag für eine Datenschutzgrundverordnung 143
a) Zweck der Verordnung und Referenzen zum Datenfluss im internationalen Kontext 144
b) Art. 40 DSGVO: Allgemeine Grundsätze der Datenübermittlung 145
aa) Ziele und Funktionen des Art. 40 DSGVO 145
bb) Inhalt des Art. 40 DSGVO 145
c) Art. 41 DSGVO: Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses 146
aa) Ziele und Funktionen des Art. 41 DSGVO 146
bb) Inhalt des Art. 41 I DSGVO 147
cc) Inhalt des Art. 41 II DSGVO 147
dd) Inhalt des Art. 41 III–IV DSGVO 149
ee) Inhalt des Art. 41 V–VI DSGVO 150
ff) Inhalt des Art. 41 VII DSGVO 151
gg) Inhalt des Art. 41 VIII DSGVO 151
d) Art. 42 DSGVO: Datenübermittlung auf der Grundlage geeigneter Garantien 152
aa) Ziele und Funktionen des Art. 42 DSGVO 152
bb) Inhalt des Art. 42 I–IV DSGVO 153
cc) Inhalt des Art. 42 V DSGVO 154
e) Art. 43 DSGVO: Datenübermittlung auf der Grundlage verbindlicher unternehmensinterner Vorschriften 154
aa) Ziele und Funktionen des Art. 43 DSGVO 154
bb) Inhalt des Art. 43 I–II DSGVO 155
cc) Inhalt des Art. 43 III–IV DSGVO 156
f) Art. 44 DSGVO: Ausnahmen 157
aa) Ziele und Funktionen des Art. 44 DSGVO 157
bb) Inhalt des Art. 44 I lit. a DSGVO 158
cc) Inhalt des Art. 44 I lit. b, IV DSGVO 158
dd) Inhalt des Art. 44 I lit. c; IV DSGVO 158
ee) Inhalt des Art. 44 I lit. d, V, VII DSGVO 159
ff) Inhalt des Art. 44 I lit. e DSGVO 159
gg) Inhalt des Art. 44 I lit. f DSGVO 159
hh) Inhalt des Art. 44 I lit. g, II DSGVO 160
ii) Inhalt des Art. 44 I lit. h, III, IV, VI, VII DSGVO 160
g) Art. 45 DSGVO: Internationale Zusammenarbeit zum Schutz personenbezogener Daten 162
aa) Ziele und Funktionen des Art. 45 DSGVO 162
bb) Inhalt des Art. 45 I–II DSGVO 163
h) Die (Wieder-)Einführung des ursprünglich geplanten Art. 42 DSGVO als Art. 43a DSGVO 164
2. Kommissionsvorschlag für eine Richtlinie für die Datenverarbeitung bei Polizei und Justiz in Europa 166
a) Zweck der Verordnung und Referenzen zum Datenfluss im internationalen Kontext 166
b) Art. 33 DSRL-PJ: Allgemeine Grundsätze für die Übermittlung personenbezogener Daten 168
aa) Ziele und Funktionen des Art. 33 DSRL-PJ 168
bb) Inhalt des Art. 33 DSRL-PJ 168
c) Art. 34 DSRL-PJ: Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses 170
aa) Ziele und Funktionen des Art. 34 DSRL-PJ 170
bb) Inhalt des Art. 34 I DSRL-PJ 170
cc) Inhalt des Art. 34 II DSRL-PJ 171
dd) Inhalt des Art. 34 III–IV DSRL-PJ 172
ee) Inhalt des Art. 34 V–VI DSRL-PJ 172
ff) Inhalt des Art. 34 VII DSRL-PJ 174
gg) Inhalt des Art. 34 VIII DSRL-PJ 174
d) Art. 35 DSRL-PJ: Datenübermittlung auf der Grundlage geeigneter Garantien 174
aa) Ziele und Funktionen des Art. 35 der Richtlinie 174
bb) Inhalt des Art. 35 I–II DSRL-PJ 175
e) Art. 36 DSRL-PJ: Ausnahmen 176
aa) Ziele und Funktionen des Art. 36 DSRL-PJ 176
bb) Inhalt des Art. 36 lit. a DSRL-PJ 177
cc) Inhalt des Art. 36 lit. b DSRL-PJ 177
dd) Inhalt des Art. 36 lit. c DSRL-PJ 177
ee) Inhalt des Art. 36 lit. d DSRL-PJ 177
ff) Inhalt des Art. 36 lit. e DSRL-PJ 179
f) Art. 37 DSRL-PJ: Besondere Bedingungen für die Übermittlung personenbezogener Daten 179
aa) Ziele und Funktionen des Art. 37 DSRL-PJ 179
bb) Inhalt des Art. 37 DSRL-PJ 179
g) Art. 38 DSRL-PJ: Internationale Zusammenarbeit zum Schutz personenbezogener Daten 180
aa) Ziele und Funktionen des Art. 38 DSRL-PJ 180
bb) Inhalt des Art. 38 DSRL-PJ 181
B. Recht der USA 181
I. Keine allgemeinen Regelungen zum Datenfluss im internationalen Kontext 182
II. Explizite und implizite sektorielle Regelungen 182
1. Explizite Regelung: Internal Revenue Service Rule 183
2. Beispiel für eine implizite Regelung: Gramm-Leach-Bliley Act of 1999 185
III. Gesetzesinitiativen 187
1. Privacy Act of 1974 188
a) Inhalt des Privacy Act of 1974 188
b) Entwurf einer Regelung zum Datenfluss im internationalen Kontext 189
c) Vereinzelte positive Stellungnahme zum Datenfluss im internationalen Kontext 190
d) Ablehnende Haltung von Seiten der Privatwirtschaft 191
e) Ablehnende Haltung von Seiten des öffentlichen Sektors 192
2. Der erste Entwurf eines SAFE-ID Act of 2004 193
3. Der zweite Entwurf eines SAFE-ID Act of 2004 195
4. Personal Data Offshoring Protection Act of 2004 196
5. Increasing Notice of Foreign Outsourcing Act of 2004 198
6. Weitere Initiativen im Jahr 2005 199
§ 7 Ausblick auf Herausforderungen des Datenflusses im internationalen Kontext 200
Teil 2: Datenschutzkonflikte zwischen der EU und den USA 203
§ 8 „Right to Privacy“ und der Umgang mit Daten und Datenschutz in den USA 203
A. Privacy, Privatheit, Privatsphäre, Datenschutz – eine terminologische Abgrenzung 204
B. Grundlagen und Entwicklung eines „Right to Privacy“ 205
I. Der Aufsatz von Warren/Brandeis 205
II. Deliktsrecht (Common Law Torts) 206
III. Verfassungsrechtliche Vorgaben 207
1. Bundesebene 208
a) 4. Verfassungszusatz – Orientierung am Eigentumsrecht 208
b) 4. Verfassungszusatz – Orientierung an der Person 209
2. Ebene der Bundesstaaten 211
C. Verschiedene Ausformungen des Right to Privacy 211
I. The right to be let alone 213
II. Limited Access to the Self 214
III. Secrecy 214
IV. Control over personal Information 215
V. Personhood (Decisional privacy) 216
VI. Intimacy 217
VII. Kombination der Ansätze 218
D. Insbesondere: Information Privacy Law 218
I. Verfassungsrecht 219
II. Einfachgesetzliche Regelungen 222
1. Fair Credit Reporting Act of 1970 223
2. Privacy Act of 1974 223
3. Family Educational Rights and Privacy Act of 1974 224
4. Cable Communication Policy Act of 1984 224
5. Electronic Communications Privacy Act of 1986 224
6. Video Privacy Protection Act of 1988 225
7. Driver’s Privacy Protection Act of 1994 225
8. Children’s Online Privacy Protection Act of 1998 225
III. Common Law 226
IV. Selbstregulierung 228
1. Das Konzept der Selbstregulierung in den USA 228
2. Die Rolle der FTC 229
3. Datenschutzerklärungen – Privacy Statements 232
4. Privacy Seals 232
§ 9 Ursachen für unterschiedlichen Datenschutz in der EU und den USA 233
A. Untersuchungsgegenstand 233
I. Untersuchungsobjekt 233
II. Fragestellung 234
III. Untersuchungstechnik 234
IV. Vorbemerkung 235
V. Gang der Untersuchung 236
B. Ähnliche Ausgangslage 236
C. Gründe für die vorgenommenen Regelungen in der EU 238
I. Bestehende Be- und Empfindlichkeiten im Umgang mit Daten und Datenschutz in der EU 238
1. Der Zusammenhang zwischen rechtlichen Regelungen und Positionen 239
2. Unterschiedliche Hintergründe innerhalb der EU 240
3. Der Einfluss der DSRL und weiterer EU-Regelungen zum Datenschutz 240
4. Be- und Empfindlichkeiten im Umgang mit Daten in der EU 241
II. Die Bedeutung der „Würde“ in Europa 246
III. Die Bedeutung von Vorsorge und Vorbeugung in der EU 249
IV. Verfassungsrecht 250
1. Interpretationsoffene Verfassungen 250
2. Detaillierte und moderne Grundrechtskataloge mit positiven Schutzpflichten 251
3. Normierung des Datenschutzes in Verfassungstexten 251
4. Die Rolle eines Verfassungsgerichts 252
V. Einfluss der Erfahrungen mit dem Nationalsozialismus und anderen autoritären Regimen 252
VI. Die Entscheidung für eine bestimmte Strategie zur Rechtsdurchsetzung 254
VII. Die anfängliche Entscheidung für einen allumfassenden Datenschutz 255
D. Gründe für die vorgenommenen Regelungen in den USA 255
I. Bestehende Be- und Empfindlichkeiten im Umgang mit Daten und Datenschutz in den USA 255
II. Die anfängliche Auffassung zur Rolle des Privatsektors bei der Datenverarbeitung 257
III. Die Bedeutung der „Freiheit“ in den USA als Freiheit gegenüber dem Staat 258
IV. Verfassungsrecht 259
1. Keine Normierung des Datenschutzes in der Bundesverfassung 260
2. Grundrechte als staatsgerichtete Abwehrrechte 260
3. Befugnisse der Exekutive und Sicherheitsgesetze nach dem 11. September 2001 262
V. Die Bedeutung der Selbstregulierung des Marktes und der Entwicklung von Technologieunternehmen 264
VI. Die Entscheidung für eine bestimmte Strategie zur Rechtsdurchsetzung 264
1. Rechtsdurchsetzung durch Privatklagen 265
2. Das weitgehende Fehlen von Aufsichts- und Kontrollorganen 266
VII. Die anfängliche Entscheidung für begrenzte Datenschutzregelungen 266
E. Unterschiedliche Herangehensweisen und deren Folgen 267
§ 10 Datenschutzkonflikte und Lösungsansätze 268
A. Datenschutzkonflikte zwischen der EU und den USA 268
I. Konfliktbereich I: Übermittlung von Daten an Unternehmen aus kommerziellen Interessen 268
1. Gegenstand des Konflikts 268
2. Lösungsansätze 268
II. Konfliktbereich II: Übermittlung von Passagierdaten zu Sicherheitszwecken 270
Teil 3: Die Übermittlung von PNR-Daten in die USA 284
§ 11 PNR-Daten – Grundlagen 284
A. Begriffsbestimmung 285
B. Nutzung von PNR-Daten zu kommerziellen Zwecken 286
C. Nutzung von PNR-Daten zu Sicherheitszwecken 287
I. Reaktive Nutzung 289
II. Nutzung in Echtzeit 289
III. Proaktive Nutzung 290
§ 12 Nutzung von PNR-Daten zu kommerziellen Zwecken 290
A. Entwicklung von der manuellen Flugbuchung zu Globalen Distributionssystemen 290
I. Manuelle Flugbuchung 291
II. Airline-Reservierungssysteme (ARS) 292
III. Computer Reservierungssysteme (CRS) 293
1. Entwicklung 293
2. Akteure 294
a) Systemteilnehmer 294
b) Systembetreiber 294
c) Systemnutzer 295
3. Bedeutung der Deregulierung 295
IV. Globale Distributionssysteme (GDS) 296
1. Entwicklung 296
2. Charakteristika von GDS 297
a) Eigentumsverhältnisse 297
b) Systembeteiligte 298
c) Produktpalette 298
d) Verbreitungsgrad 298
B. Einzelne Funktionen der Globalen Distributionssysteme 298
I. Darstellung der angebotenen Produkte 299
II. Darstellung und Berechnung der erhältlichen Tarife 299
III. Reservierungen und Erhebung von PNR-Daten 299
IV. Hilfe bei der Abwicklung von Flügen 300
V. Inventarmanagement 300
VI. Datenquelle 301
VII. Gewährleistung technischer Funktionalität 301
VIII. Weitere Zusatzfunktionen 302
C. Aufbau eines PNR-Datensatzes 302
I. Kopfteil 302
II. Leistungsteil 303
III. Informationsteil 303
IV. Nachverfolgungsmöglichkeit von Änderungen 304
V. Transitional Stored Ticket 304
D. Fluggesellschaften und CRS bzw. GDS als verantwortliche Stellen 304
§ 13 Nutzung von PNR-Daten und weiteren Datenarten zu Sicherheitszwecken 309
A. PNR-Daten und weitere Datenarten 310
I. API-Daten 310
1. API-Daten in der EU 311
2. API-Daten in den USA 312
II. Daten auf Beobachtungslisten (watchlists) 314
III. Secure Flight-Passagierdaten 316
IV. Electronic System for Travel Authorization-Daten 317
B. Die Position der USA 319
I. Die Nutzung von PNR-Daten und weiteren Datenarten vor den Anschlägen des 11. September 2001 319
II. Die Nutzung von PNR-Daten und weiteren Datenarten nach den Anschlägen des 11. September 2001 320
1. Gesetze und Entwicklungen nach dem 11. September 2001 321
a) Der Aviation and Transportation Security Act 321
b) Der USA Patriot Act of 2001 323
c) Der Enhanced Border Security and Visa Entry Reform Act of 2002 323
d) Der Homeland Security Act of 2002 324
e) Die Homeland Security Presidential Directive 6 324
f) Der National Intelligence Reform and Terrorism Prevention Act of 2004 325
g) Der Implementing Recommendations of the 9/11 Commission Act of 2007 325
2. Verantwortliche Stellen nach den Anschlägen des 11. September 2001 326
a) Department of Homeland Security (DHS) 326
aa) Custom and Border Protection (CBP) 327
bb) Transportation Security Administration (TSA) 328
b) Terrorist Screening Center als Teil der National Security Branch 329
C. Die Position der EU 330
I. Die API-Richtlinie von 2004 331
II. PNR-Systeme in den Mitgliedstaaten 331
III. Initiativen für ein einheitliches PNR-System in der EU 333
1. Vorschlag eines Rahmenbeschlusses des Rates zur Speicherung von Passagierdaten 333
2. Vorschlag einer Richtlinie zur Speicherung von Passagierdaten 2011 335
3. Ausblick 342
IV. Abkommen zwischen der EU und Drittländern 342
1. Abkommen mit den USA 343
2. Abkommen mit Australien 344
3. Abkommen mit Kanada 344
4. Mögliche Abkommen mit weiteren Drittländern 345
V. EU-Konzepte für die Übermittlung von Fluggastdaten 346
1. EU-Konzept für die Übermittlung von Fluggastdaten 2003 346
2. EU-Konzept für die Übermittlung von Fluggastdaten 2010 348
a) Ziele des Konzepts 349
aa) Ausführungen der Kommission 349
bb) Stellungnahme des EU-Datenschutzbeauftragten 350
cc) Stellungnahme der Art. 29-Datenschutzgruppe 351
b) Grundprinzipien zum Schutz personenbezogener Daten 351
aa) Angemessenheit 352
(1) Ausführungen der Kommission 352
(2) Stellungnahme des EU-Datenschutzbeauftragten 352
(3) Stellungnahme der Art. 29-Datenschutzgruppe 352
bb) Verwendung von Daten 353
(1) Ausführungen der Kommission 353
(2) Stellungnahme des EU-Datenschutzbeauftragten 354
cc) Umfang der Daten 354
(1) Ausführungen der Kommission 355
(2) Stellungnahme des EU-Datenschutzbeauftragten 355
dd) Sensible Daten 356
(1) Ausführungen der Kommission 356
(2) Stellungnahme des EU-Datenschutzbeauftragten 356
(3) Stellungnahme der Art. 29-Datenschutzgruppe 357
ee) Datensicherheit 357
(1) Ausführungen der Kommission 357
(2) Stellungnahme des EU-Datenschutzbeauftragten 357
ff) Beaufsichtigung und Rechenschaft 358
(1) Ausführungen der Kommission 358
(2) Stellungnahme des EU-Datenschutzbeauftragten 359
gg) Transparenz und Bekanntmachung 359
hh) Zugriff, Berichtigung und Löschung der Daten 359
(1) Ausführungen der Kommission 359
(2) Stellungnahme des EU-Datenschutzbeauftragten 360
ii) Rechtsbehelf 360
jj) Automatisierte Einzelentscheidungen 361
kk) Vorhaltezeiten 361
(1) Ausführungen der Kommission 361
(2) Stellungnahme des EU-Datenschutzbeauftragten 362
(3) Stellungnahme der Art. 29-Datenschutzgruppe 362
ll) Weiterübermittlung an andere Behörden 363
(1) Ausführungen der Kommission 363
(2) Stellungnahme des EU-Datenschutzbeauftragten 364
mm) Weiterübermittlung an Drittländer 364
(1) Ausführungen der Kommission 364
(2) Stellungnahme des EU-Datenschutzbeauftragten 365
(3) Stellungnahme der Art. 29-Datenschutzgruppe 365
c) Grundprinzipien in Bezug auf Übermittlungsmodalitäten 366
aa) Art der Übermittlung 367
(1) Ausführungen der Kommission 367
(2) Stellungnahme des EU-Datenschutzbeauftragten 367
(3) Stellungnahme der Art. 29-Datenschutzgruppe 367
bb) Häufigkeit der Übermittlung 368
(1) Ausführungen der Kommission 368
(2) Stellungnahme des EU-Datenschutzbeauftragten 369
(3) Stellungnahme der Art. 29-Datenschutzgruppe 369
cc) Keine Verpflichtung zur Erhebung zusätzlicher Daten 369
d) Übergeordnete Konzepte 370
aa) Geltungsdauer und Überprüfung 370
(1) Ausführungen der Kommission 370
(2) Stellungnahme der Art. 29-Datenschutzgruppe 370
bb) Überwachung 371
(1) Ausführungen der Kommission 371
(2) Stellungnahme des EU-Datenschutzbeauftragten 371
(3) Stellungnahme der Art. 29-Datenschutzgruppe 371
cc) Streitbeilegung 372
dd) Gegenseitigkeit 372
e) Zusammenfassende Stellungnahmen 373
aa) Stellungnahme des EU-Datenschutzbeauftragten 373
bb) Stellungnahme der Art. 29-Datenschutzgruppe 374
f) Bedeutung und Aussagegehalt des EU-Konzepts – Kriterien der Angemessenheit? 374
§ 14 Grundlagen der Datenauswertung und Auswertungssysteme 377
A. Data-Mining 377
B. Datenauswertung für den Sicherheitsbereich 379
I. Anfänge der Auswertung von Fluggastdaten 379
II. CAPS bzw. CAPPS 380
III. CAPPS-II 383
IV. Secure Flight-System 386
V. APIS 392
VI. ESTA 395
VII. ATS 399
C. Nutzen der Systeme für den Sicherheitsbereich 405
I. Fehlen von passenden Rastern und Verhaltensmustern 405
II. Fehlerfreiheit der vorhandenen Daten und Zuverlässigkeit der Auswertungssysteme 407
III. Wahrscheinlichkeit falscher Treffer 408
1. Fehler 1. Art 408
2. Fehler 2. Art 408
3. Ausgleich zwischen den Fehlerarten 409
4. Überlegungen zu möglichen Kosten 410
D. Ausblick 411
§ 15 Die PNR-Abkommen zwischen der EU und den USA 412
A. Die Situation vor dem Erlass konkreter Regelungen 413
I. Die Ausgangssituation nach dem 11. September 2001 und die Situation der Fluggesellschaften 413
II. Kritik an den Forderungen der USA durch die Art. 29-Datenschutzgruppe 414
1. Grundsatz der Zweckbindung und Grundsatz der Verarbeitung sensibler Daten 415
2. Übermittlung in Drittländer und das Kriterium der Angemessenheit 415
3. Schlussfolgerungen der Art. 29-Datenschutzgruppe 417
B. Vorläufige Regelung in Form einer Verpflichtungserklärung der USA 418
C. Aktualisierung der Verpflichtungserklärung 421
I. Zugeständnisse durch eine Verpflichtungserklärung seitens der USA 421
II. Stellungnahme der Art. 29-Datenschutzgruppe 423
III. Inhalt der aktualisierten Verpflichtungserklärung 423
D. Die Angemessenheitsentscheidung und das PNR-Abkommen zwischen der EU und den USA 2004 424
I. Erlass einer Angemessenheitsentscheidung 425
1. Beginn der Verhandlungen zum Erlass einer Angemessenheitsentscheidung 425
2. Stellungnahme der Art. 29-Datenschutzgruppe 425
3. Übermittlung des Entwurfs der Angemessenheitsentscheidung an das Parlament 426
4. Erlass der Angemessenheitsentscheidung 427
II. Abschluss des PNR-Abkommens zwischen der EU und den USA 2004 427
1. Gründe für den zusätzlichen Abschluss eines Abkommens 427
2. Beginn der Verhandlungen 428
3. Anhörung des Parlaments 429
4. Abschluss der Verhandlungen 431
III. Nichtigkeitsklagen des EU-Parlaments 431
1. Klagegegenstände der Nichtigkeitsklagen 432
a) Nichtigkeitsklage gegen die Angemessenheitsentscheidung der Kommission (Rs. C-318/04) 432
b) Nichtigkeitsklage gegen den Ratsbeschluss über den Abschluss des Abkommens (Rs. C-317/04) 432
2. Schlussanträge des Generalanwalts Léger 433
a) Stellungnahme zur Klage gegen die Angemessenheitsentscheidung der Kommission 433
aa) Klagegrund 1: Befugnisüberschreitung der Kommission 433
bb) Klagegrund 2: Verstoß gegen die wesentlichen Grundsätze der DSRL 434
cc) Klagegründe 3 und 4: Verstoß gegen Grundrechte und den Verhältnismäßigkeitsgrundsatz 435
b) Stellungnahme zur Klage gegen den Ratsbeschluss über den Abschluss des Abkommens 435
aa) Klagegrund 1: Fehlerhafte Entscheidung für Art. 95 EGV als Rechtsgrundlage 435
bb) Klagegrund 2: Verstoß gegen das Zustimmungserfordernis des Parlaments bei Änderung der DSRL 438
cc) Klagegründe 3 und 4: Verstoß gegen Grundrechte und den Verhältnismäßigkeitsgrundsatz 439
(1) Vorbringen der Beteiligten 439
(2) Ausführungen des Generalanwalts 440
dd) Klagegrund 5: Fehlende hinreichende Begründung 444
ee) Klagegrund 6: Verstoß gegen den Grundsatz des Art. 10 EGV 444
c) Ergebnis der Schlussanträge 445
3. Urteil des EuGH hinsichtlich der Angemessenheitsentscheidung und des Abkommens 446
a) Urteil in Bezug auf die Angemessenheitsentscheidung 446
b) Urteil in Bezug auf den Ratsbeschluss 447
c) Auswirkung des Urteils auf die Regelungen 447
d) Auswirkung des Urteils auf die Rechtsgrundlage von PNR-Abkommen 447
E. Das vorläufige PNR-Abkommen zwischen der EU und den USA 2006 452
I. Initiative zur Verhandlung des Abkommens 452
II. Rechtsgrundlage 452
III. Versuch des Parlaments, an den Verhandlungen beteiligt zu werden 454
IV. Positionen des Parlaments 455
V. Abschluss des Abkommens ohne spürbare Berücksichtigung der Parlamentspositionen 456
VI. Neuinterpretation der Verpflichtungserklärungen durch ein Schreiben des US Department of Homeland Security 457
VII. Antwort der EU auf die Neuinterpretation der Verpflichtungserklärung 460
F. Das Abkommen zwischen der EU und den USA 2007 461
I. Zweck und Rechtsgrundlage des Abkommens 461
II. Verhandlung und Vorgehensweise bei der Regelung 461
III. Einfluss des Parlaments auf die Verhandlungen 463
IV. Brief des EU-Datenschutzbeauftragten 466
V. Die Regelungskonstruktion aus Abkommen und Briefwechsel 467
1. Abkommen zwischen der EU und den USA 467
2. Schreiben der USA an die EU 468
3. Antwortschreiben der EU an die USA 468
VI. Stellungnahme der Art. 29-Datenschutzgruppe 469
VII. Briefwechsel zur Vertraulichkeit der Verhandlungsdokumente 471
1. Anfrage der USA 471
2. Antwort der EU 472
VIII. Bedeutung der vorläufigen Geltung des Abkommens 473
IX. Ratifikation in den Mitgliedstaaten 475
G. Das Abkommen zwischen der EU und den USA 2012 476
I. Auswirkungen des Vertrages von Lissabon auf bestehende Abkommen 476
1. Neue Rechtsgrundlage 476
2. Zustimmungsaufforderung an das Parlament 476
3. Entschließung des Parlaments mit Mindestanforderungen an PNR-Abkommen 477
4. Anwendbares Datenschutzrecht und das Kriterium der Angemessenheit 478
II. Position der USA zu erneuten Verhandlungen 482
III. Beginn der Verhandlungen zu einem neuen Abkommen 484
IV. Erste Version des Abkommensentwurfs 485
1. Leak des Abkommensentwurfs durch den Guardian 485
2. Inhalt der ersten Version des Abkommensentwurfs 485
3. Stellungnahme des Juristischen Dienstes zur ersten Version des Abkommensentwurfs 486
V. Zweite Version des Abkommensentwurfs 488
1. Die gewählte Regelungskonstruktion 488
a) Das eigentliche Abkommen 488
b) Die Erklärung der EU zum Abkommen 489
2. Der Inhalt des Kommissionsvorschlags 489
a) Das eigentliche Abkommen 489
b) Die Erklärung der EU zum Abkommen 490
VI. Stellungnahme des Europäischen Datenschutzbeauftragten zu dem Vorschlag 491
VII. Beschluss des Rates über die Unterzeichnung 494
VIII. Verfahren im Parlament 494
1. Beratung im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres 494
a) Entwurf einer Empfehlung des Ausschusses durch die Berichterstatterin 494
b) Stellungnahme des Ausschusses für auswärtige Angelegenheiten 497
c) Empfehlung des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres 498
d) Minderheitsansicht 499
2. Plenardebatte zum PNR-Abkommen 2012 499
a) Stellungnahme der Berichterstatterin Sophia in ’t Veld 500
b) Stellungnahme von Justizminister Morten Bødskov als Vertreter der dänischen Ratspräsidentschaft 501
c) Stellungnahme von Innenkommissarin Cecilia Malmström 501
aa) Grund 1 für den Abschluss des Abkommens: Notwendigkeit 502
bb) Grund 2 für den Abschluss des Abkommens: Verbesserung 502
cc) Grund 3 für den Abschluss des Abkommens: Alternativlosigkeit 503
3. Abstimmung über die Legislative Entschließung des Parlaments 504
IX. Formelle Annahme durch den Rat 505
§ 16 Rechtliche Würdigung der PNR-Regelungen 506
A. Grundrecht auf Datenschutz aus Art. 8 GRCh bzw. Art. 8 EMRK 506
I. Schutzbereich 507
II. Eingriff 507
III. Rechtfertigung gemäß Art. 52 I 1 GRCh 508
1. Eingriff in das Grundrecht gesetzlich vorgesehen 508
2. Gemeinwohlziel 509
3. Verhältnismäßigkeit 509
a) Prüfungsmaßstab 509
b) Objektiv-rechtliche Bindung 510
c) Prüfungsdichte 514
d) Anzahl und Art der erhobenen Datenelemente 519
aa) Geeignetheit 520
bb) Erforderlichkeit – Problematik 521
cc) Erforderlichkeit der Übermittlung des PNR-Buchungscodes 522
dd) Erforderlichkeit der Übermittlung des Datums der Buchung 523
ee) Erforderlichkeit der Übermittlung des Datums des geplanten Fluges 523
ff) Erforderlichkeit der Übermittlung des Namens des Reisenden 523
gg) Erforderlichkeit der Übermittlung von Vielflieger- und Bonusdaten 524
hh) Erforderlichkeit der Übermittlung von anderen im PNR-Datensatz enthaltenen Namen 525
ii) Erforderlichkeit der Übermittlung von sämtlichen verfügbaren Kontaktinformationen 525
jj) Erforderlichkeit der Übermittlung von Zahlungs- bzw. Abrechnungsinformationen 526
kk) Erforderlichkeit der Übermittlung der Reiseroute 526
ll) Erforderlichkeit der Übermittlung von Informationen über das Reisebüro 527
mm) Erforderlichkeit der Übermittlung von Code-Sharing-Informationen 527
nn) Erforderlichkeit der Übermittlung von Informationen über Buchungssplitting 528
oo) Erforderlichkeit der Übermittlung des Reisestatus des Fluggastes 528
pp) Erforderlichkeit der Übermittlung von Flugscheininformationen 529
qq) Erforderlichkeit der Übermittlung von Informationen zum Gepäck 530
rr) Erforderlichkeit der Übermittlung von Sitzplatzinformationen 530
ss) Erforderlichkeit der Übermittlung von allgemeinen Eintragungen 531
tt) Erforderlichkeit der Übermittlung von APIS-Informationen 533
uu) Erforderlichkeit der Übermittlung der Historie aller Änderungen 539
vv) Ausblick hinsichtlich Anzahl und Art der erhobenen Daten 540
e) Speicherungsdauer 541
aa) Geeignetheit 543
bb) Erforderlichkeit 543
IV. Rechtfertigung gemäß Art. 8 II GRCh 546
1. Prüfungsmaßstab – Komponenten der Zweckbindung 546
a) Bestimmung des Zwecks 547
b) Verbot der mit dem Zweck unvereinbaren Weiterverarbeitung 547
2. Bestimmung des Prüfungsgegenstandes 548
3. Bestimmung der Zwecke der Datenverwendung 549
4. Übermittlung der Daten innerhalb der USA sowie an Drittländer 552
V. Verstoß gegen Rechte der Betroffenen 556
1. Recht auf Auskunft (Zugang von Einzelpersonen) 557
2. Recht auf Berichtigung, Sperrung und Löschung 559
3. Rechtsbehelfe für Einzelpersonen 561
a) Der Fall Hasbrouck 563
b) Das DHS-System TRIP 569
VI. Aufsicht 572
B. Angemessenheit und Optimierungspotenzial 574
§ 17 Optimierungsmöglichkeiten zur Herstellung einer Interessenbalance 575
A. Überwachungs- und Spionageaffäre 2013 577
B. Evaluierung des Abkommens 578
I. Ablauf der Evaluierung 578
II. Zusammenfassung der Evaluierungsergebnisse 579
III. Vorschläge der EU zur Verbesserung 582
C. Optimierungsmöglichkeiten im tatsächlichen Sinne 584
I. Auswertung weniger grundrechtsrelevanter Daten anstelle von PNR-Daten 584
II. Stärkung des Bewusstseins für unterschiedliche Herangehensweisen im Umgang mit Daten 585
III. Notwendigkeit eines gemeinsamen Vorgehens innerhalb der EU 586
IV. Einrichtung einer Schlichtungsstelle 586
V. Verbesserung der Informationspolitik für Passagiere 587
VI. Verhinderung von Umgehungsmöglichkeiten der Abkommen 588
D. Optimierungsmöglichkeiten im rechtlichen Sinne 590
I. Optimierungsmöglichkeiten im Hinblick auf ein neues PNR-Abkommen mit den USA 590
1. Anzahl und Art der erhobenen Datenelemente 590
2. Speicherungsdauer 593
3. Bestimmung der Datenverwendung 593
4. Übermittlung der Daten innerhalb der USA sowie an Drittländer 595
5. Recht auf Auskunft 596
6. Recht auf Berichtigung, Sperrung und Löschung 597
7. Rechtsbehelfe bei Gericht 598
8. Aufsichtsstrukturen 598
9. Rechtsverbindlichkeit von Abkommen 599
10. Stärkere Einbindung der Fluggesellschaften 601
11. Institutionalisierung von Gesprächen und Evaluierungen 602
II. Stärkung internationaler Standards für den Datenaustausch 602
III. Schaffung rechtlicher Grundlagen für eine Übermittlung von API- und Secure Flight-Daten 606
IV. Schaffung expliziter rechtlicher Grundlagen für die Tätigkeit von DHS-Beamten in Europa 607
E. Ausblick 610
Zusammenfassung und Schlussbetrachtung 612
Literaturverzeichnis 614
Sachwortverzeichnis 654