Erfassung von Fluggastdaten bei innereuropäischen Flügen – Verstoß gegen Unionsrecht?

Verwaltungsgericht Wiesbaden

Beschluss vom 15.05.2020

Az.: 6 K 806/19.WI

Tenor

I. Das Verfahren wird ausgesetzt.

II. Das Verfahren wird gemäß Art. 267 AEUV zur Vorabentscheidung dem Gerichtshof der Europäischen Union hinsichtlich der folgenden Fragen vorgelegt:

1. Sind Art. 21 und Art. 67 Abs. 2 AEUV so auszulegen, dass sie einer nationalen Regelung entgegenstehen, die unter Anwendung der Öffnungsklausel des Art. 2 Abs. 1 der Richtlinie (EU) 2016/681 des Europäischen Parlaments und des Rates vom 27. April 2016 über die Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität (ABl. EU vom 4. Mai 2016, L 119 S. 132; im Folgenden als PNR-Richtlinie bezeichnet) auch bei Flügen innerhalb der Europäischen Union vorsieht, dass Luftfahrtunternehmen umfangreiche Datensätze hinsichtlich ausnahmslos aller Fluggäste an die in den jeweiligen Mitgliedstaaten eingerichteten PNR-Zentralstellen übermitteln und diese dort – von der Buchung einer Flugreise abgesehen – anlasslos gespeichert und für den Abgleich mit Datenbanken und Mustern verwendet und anschließend gespeichert werden müssen (hier: § 2 Abs. 3 Gesetz über die Verarbeitung von Fluggastdaten zur Umsetzung der Richtlinie (EU) 2016/681 vom 6. Juni 2017 (BGBl. I S. 1484), welches durch Artikel 2 des Gesetzes vom 6. Juni 2017 (BGBl. I S. 1484) geändert worden ist; im Folgenden FlugDaG)?

2. Folgt aus Art. 7 und Art. 8 GRCh, dass die nationalen Umsetzungsregelungen (hier: § 4 Abs. 1 FlugDaG) zu Art. 3 Nr. 9 in Verbindung mit Anhang II der PNR-Richtlinie die national einschlägigen Strafnormen abschließend und dezidiert aufzuzählen haben, auf die sich die in der PNR-Richtlinie bezeichneten strafbaren Handlungen beziehen?

3. Sind Art. 7 und Art. 8 GRCh so auszulegen, dass sie einer innerstaatlichen Regelung eines Mitgliedstaates (hier: § 6 Abs. 4 FlugDaG) entgegenstehen, die es den Behörden des betreffenden Mitgliedstaates, soweit sie Aufgaben der Strafverfolgung wahrnehmen, ermöglicht, die übermittelten PNR-Daten auch zu anderen Zwecken als der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität zu verarbeiten, wenn Erkenntnisse auch unter Einbeziehung weiterer Informationen den Verdacht einer bestimmten anderen Straftat begründen?

4. Ist die Öffnungsklausel des Art. 2 Abs. 1 PNR-Richtlinie, die eine nationale Regelung ermöglicht, wonach die PNR-Richtlinie auch für Flüge innerhalb der europäischen Union angewendet werden soll (hier: § 2 Abs. 3 FlugDaG) und die dazu führt, dass eine innereuropäische Doppelerfassung von PNR-Daten stattfindet (Start- und Zielland erfassen PNR-Daten) unter Berücksichtigung des Grundsatzes der Datensparsamkeit mit Art. 7 und Art. 8 GRCh vereinbar?

5. Für den Fall, dass die PNR-Richtlinie nicht gegen höherrangiges Recht verstößt (siehe VG Wiesbaden, Beschluss vom 13. Mai 2020, Az. 6 K 805/19.WI) und damit anwendbar ist:

a) Sind Art. 7 Abs. 4 und 5 PNR-Richtlinie so auszulegen, dass sie einer innerstaatlichen Regelung eines Mitgliedstaates (hier: § 6 Abs. 4 FlugDaG) entgegenstehen, die es den Behörden des betreffenden Mitgliedstaates, soweit sie Aufgaben der Strafverfolgung wahrnehmen, ermöglicht, die übermittelten PNR-Daten auch zu anderen Zwecken als der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität zu verarbeiten, wenn Erkenntnisse auch unter Einbeziehung weiterer Informationen den Verdacht einer bestimmten anderen Straftat begründen (sogenannter Beifang)?

b) Ist die Praxis eines Mitgliedstaates, eine Behörde (hier: Bundesamt für Verfassungsschutz), auf die Liste der zuständigen Behörden nach Art. 7 Abs. 1 PNR-Richtlinie zu setzen, die nach dem nationalen Recht (hier: § 5 Abs. 1 in Verbindung mit § 3 Abs. 1 Gesetz über die Zusammenarbeit des Bundes und der Länder in Angelegenheiten des Verfassungsschutzes und das Bundesamt für Verfassungsschutz) auf Grund eines innerstaatlichen Trennungsgebot nicht über polizeiliche Befugnisse verfügt, mit Art. 7 Abs. 2 PNR-Richtlinie vereinbar?

III. Es wird angeregt, diese Vorlage mit der Vorlage des Verwaltungsgerichts Wiesbaden in dem Verfahren 6 K 805/19.WI (Beschluss vom 13. Mai 2020) zu verbinden, da ein enger Sachzusammenhang besteht.

Gründe

I.

Gegenstand des Verfahrens ist eine Klage gegen die Bundesrepublik Deutschland, vertreten durch das Bundeskriminalamt. Der Kläger ist italienischer Staatsbürger mit Wohnsitz in A-Stadt, Belgien. Er flog am 2. November 2019 von A-Stadt nach B-Stadt und am 5. November von B-Stadt zurück nach A-Stadt. Der Kläger begehrt die Feststellung, dass die Verarbeitung seiner Fluggastdaten betreffend diese Flüge rechtswidrig gewesen ist sowie die Löschung dieser Daten.

Am 10. Juni 2017 trat das FlugDaG in Kraft. Das Gesetz dient der Umsetzung der PNR-Richtlinie. Die Richtlinie regelt die Übermittlung von PNR-Daten bei Flügen von Mitgliedstaaten der Europäischen Union in Drittstaaten und von Drittstaaten in Mitgliedstaaten der Europäischen Union und die Verarbeitung dieser Daten. Die PNR-Richtlinie enthält für die nationalen Gesetzgeber eine Öffnungsklausel dahingehend, dass auch Flüge innerhalb des EU-Mitgliedstaates bzw. zwischen EU-Mitgliedstaaten erfasst werden können. Das FlugDaG setzt diese Richtlinie in deutsches Recht um. Es erweitert, wie durch Art. 2 Abs. 1 PNR-Richtlinie ausdrücklich zugelassen, die Übermittlungspflicht auf alle zivilen Flüge, die in Deutschland starten und in einem anderen Staat landen oder von einem anderen Staat aus starten und in Deutschland landen, also auch auf Flüge innerhalb der Mitgliedstaaten der Europäischen Union, § 2 Abs. 3 FlugDaG. Somit werden von dieser nationalen Regelung auch Flügen zwischen Deutschland und einem anderen Mitgliedstaat der Europäischen Union erfasst. Die PNR-Richtlinie verpflichtet die Mitgliedstaaten zur Einrichtung sog. PNR-Zentralstellen (Art. 4 Abs. 1 PNR-Richtlinie), die zur Erreichung des Zwecks der Richtlinie – Bekämpfung von Terrorismus und schwerer Kriminalität – für die Erhebung von PNR-Daten bei Fluggesellschaften, für die Speicherung, Verarbeitung und Übermittlung dieser Daten an die zuständigen Behörden sowie für den Austausch der PNR-Daten selbst wie auch der Ergebnisse von deren Verarbeitung zuständig sind. Gemäß Art. 8 PNR-Richtlinie haben die Mitgliedstaaten alle Fluggesellschaften zu verpflichten, einen definierten Satz von PNR-Daten an die PNR-Zentralstellen desjenigen Mitgliedstaates zu übermitteln, in dessen Hoheitsgebiet die betreffenden Flüge ankommen oder von dem sie ausgehen. Gemäß Art. 9 PNR-Richtlinie können Mitgliedstaaten die PNR-Daten untereinander anfordern und aneinander übermitteln. Unter den Voraussetzungen von Art. 11 PNR-Richtlinie ist auch eine Übermittlung der Datensätze an Drittstaaten möglich. Gemäß Art. 12 Abs. 2 PNR-Richtlinie sollen die Fluggastdaten, die fünf Jahre lang gespeichert werden sollen, nach Ablauf von sechs Monaten „depersonalisiert“ werden, das heißt, die Datenelemente, mit denen die Identität des Fluggastes unmittelbar festgestellt werden könnte, sollen unkenntlich gemacht werden. Jedoch ist eine De-Depersonalisierung dieser Datenelemente unter den Voraussetzungen des Art. 12 Abs. 3 PNR-Richtlinie möglich. Art. 6 PNR-Richtlinie regelt die Verarbeitung der Daten, die insbesondere durch den automatisierten Abgleich derselben mit Datenbanken und sogenannten Mustern erfolgen soll.

II.

Die Charta der Grundrechte der Europäischen Union – GRCh – (ABl. 2016 Nr. C 202 vom 7. Juni 2016, S. 389) regelt:

Art. 7 GRCh – Achtung des Privat- und Familienlebens

Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation.

Art. 8 GRCh – Schutz personenbezogener Daten

(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.

(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.

Art. 52 GRCh – Tragweite und Auslegung der Rechte und Grundsätze

(1) Jede Einschränkung der Ausübung der in dieser Charta anerkannten Rechte und Freiheiten muss gesetzlich vorgesehen sein und den Wesensgehalt dieser Rechte und Freiheiten achten. Unter Wahrung des Grundsatzes der Verhältnismäßigkeit dürfen Einschränkungen nur vorgenommen werden, wenn sie erforderlich sind und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen.

[…]

Der Vertrag über die Arbeitsweise der Europäischen Union -AEUV – (in der bereinigten Fassung vom 7. Juni 2016, ABl. Nr. C 202 S. 1, 47) regelt:

Art. 21 AEUV – Freizügigkeit

(1) Jeder Unionsbürger hat das Recht, sich im Hoheitsgebiet der Mitgliedstaaten vorbehaltlich der in den Verträgen und in den Durchführungsvorschriften vorgesehenen Beschränkungen und Bedingungen frei zu bewegen und aufzuhalten.

[…]

Art. 67 AEUV – Grundsätze

(1) Die Union bildet einen Raum der Freiheit, der Sicherheit und des Rechts, in dem die Grundrechte und die verschiedenen Rechtsordnungen und -traditionen der Mitgliedstaaten geachtet werden.

(2) Sie stellt sicher, dass Personen an den Binnengrenzen nicht kontrolliert werden, und entwickelt eine gemeinsame Politik in den Bereichen Asyl, Einwanderung und Kontrollen an den Außengrenzen, die sich auf die Solidarität der Mitgliedstaaten gründet und gegenüber Drittstaatsangehörigen angemessen ist. Für die Zwecke dieses Titels werden Staatenlose den Drittstaatsangehörigen gleichgestellt.

[…]

Die PNR-Richtlinie (ABl. EU vom 4. Mai 2016, L 119 S.132) regelt:

Art. 2 PNR-Richtlinie – Anwendung dieser Richtlinie auf EU-Flüge

(1) Ein Mitgliedstaat, der entscheidet, diese Richtlinie auf Flüge innerhalb der Europäischen Union (EU-Flüge) anzuwenden, teilt dies der Kommission schriftlich mit. Ein Mitgliedstaat kann eine solche Mitteilung jederzeit machen oder widerrufen. Die Kommission veröffentlicht diese Mitteilung und eventuelle Widerrufe derselben im Amtsblatt der Europäischen Union.

(2) Im Falle einer Mitteilung gemäß Absatz 1 gelten alle Bestimmungen dieser Richtlinie für EU-Flüge so, als handele es sich um Drittstaatsflüge, und für PNR-Daten zu EU-Flügen so, als handele es sich um PNR-Daten zu Drittstaatsflügen.

(3) Ein Mitgliedstaat kann beschließen, diese Richtlinie nur auf ausgewählte EU-Flüge anzuwenden. Der Mitgliedstaat wählt dabei diejenigen Flüge aus, die er für die Verfolgung der Ziele dieser Richtlinie für erforderlich hält. Der Mitgliedstaat kann jederzeit eine Änderung der von ihm ausgewählten EU-Flüge beschließen.

Art. 3 PNR-Richtlinie – Begriffsbestimmungen

Im Sinne dieser Richtlinie bezeichnet der Ausdruck

[…]

9. „schwere Kriminalität“ die in Anhang II aufgeführten strafbaren Handlungen, die nach dem nationalen Recht eines Mitgliedstaats mit einer Freiheitsstrafe oder einer freiheitsentziehenden Maßregel der Sicherung im Höchstmaß von mindestens drei Jahren bedroht sind;

[…]

Art. 6 PNR-Richtlinie – Verarbeitung der PNR-Daten

[…]

(4) Die Überprüfung von Fluggästen vor ihrer planmäßigen Ankunft in einem Mitgliedstaat oder vor ihrem Abflug von einem Mitgliedstaat anhand im Voraus festgelegter Kriterien gemäß Absatz 3 Buchstabe b erfolgt in nichtdiskriminierender Weise. Diese im Voraus festgelegten Kriterien müssen zielgerichtet, verhältnismäßig und bestimmt sein. Die Mitgliedstaaten stellen sicher, dass diese Kriterien von der PNR-Zentralstelle aufgestellt und von ihr in Zusammenarbeit mit den in Artikel 7 genannten zuständigen Behörden regelmäßig überprüft werden. Die rassische oder ethnische Herkunft, die politischen Meinungen, die religiösen oder weltanschaulichen Überzeugungen, die Mitgliedschaft in einer Gewerkschaft, der Gesundheitszustand, das Sexualleben oder die sexuelle Orientierung einer Person dürfen unter keinen Umständen als Grundlage für diese Kriterien dienen.

[…]

Art. 7 PNR-Richtlinie – Zuständige Behörden

(1) Jeder Mitgliedstaat erstellt eine Liste der zuständigen Behörden, die berechtigt sind, zum Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten oder schwerer Kriminalität PNR-Daten oder die Ergebnisse der Verarbeitung dieser Daten von den PNR-Zentralstellen anzufordern oder entgegenzunehmen, um sie einer weiteren Prüfung zu unterziehen oder um geeignete Maßnahmen zu veranlassen.

(2) Die in Absatz 1 genannten Behörden sind diejenigen Behörden, die für die Verhütung, Aufdeckung, Ermittlung oder Verfolgung von terroristischen Straftaten oder schwerer Kriminalität zuständig sind.

(3) Für die Zwecke des Artikels 9 Absatz 3 übermittelt jeder Mitgliedstaat der Kommission bis zum 25. Mai 2017 die Liste seiner zuständigen Behörden und kann seine Mitteilung jederzeit ändern. Die Kommission veröffentlicht die Mitteilung und eventuelle Änderungen derselben im Amtsblatt der Europäischen Union.

(4) Die PNR-Daten und die Ergebnisse der Verarbeitung dieser Daten, die aus der PNR-Zentralstelle eingehen, dürfen von den zuständigen Behörden der Mitgliedstaaten ausschließlich zum bestimmten Zweck der Verhütung, Aufdeckung, Ermittlung oder Verfolgung terroristischer Straftaten oder schwerer Kriminalität weiterverarbeitet werden.

(5) Absatz 4 berührt nicht die Befugnisse der Strafverfolgungs- oder Justizbehörden der Mitgliedstaaten in Fällen, in denen im Verlauf von Strafverfolgungsmaßnahmen im Anschluss an eine derartige Verarbeitung andere Straftaten festgestellt werden oder sich Anhaltspunkte für solche Straftaten ergeben.

(6) Die zuständigen Behörden treffen Entscheidungen, aus denen sich eine nachteilige Rechtsfolge oder ein sonstiger schwerwiegender Nachteil für die betroffene Person ergibt, unter keinen Umständen allein auf der Grundlage der automatisierten Verarbeitung der PNR-Daten. Ebenso wenig werden solche Entscheidungen aufgrund der rassischen oder ethnischen Herkunft, der politischen Meinungen, der religiösen oder weltanschaulichen Überzeugungen, der Mitgliedschaft in einer Gewerkschaft, des Gesundheitszustands, des Sexuallebens oder der sexuellen Orientierung einer Person getroffen.

Art. 8 PNR-Richtlinie – Datenübermittlungspflichten der Fluggesellschaften

(1) Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass Fluggesellschaften mittels der „Push-Methode“ die in Anhang I aufgelisteten PNR-Daten an die Datenbank der PNR-Zentralstelle des Mitgliedstaats übermitteln, in dessen Hoheitsgebiet der betreffende Flug ankommt oder von dem er abgeht, soweit sie solche Daten im Rahmen ihrer normalen Geschäftstätigkeit bereits erhoben haben. Bei Flügen mit Code-Sharing zwischen mehreren Fluggesellschaften liegt die Pflicht zur Übermittlung der PNR-Daten aller Fluggäste des Fluges bei der Fluggesellschaft, die den Flug durchführt. Erfolgen auf einem Drittstaatsflug eine oder mehrere Zwischenlandungen auf Flughäfen der Mitgliedstaaten, so übermitteln die Fluggesellschaften die PNR-Daten aller Fluggäste an die PNR-Zentralstellen aller betreffenden Mitgliedstaaten. Dies gilt auch, wenn bei einem EU-Flug eine oder mehrere Zwischenlandungen auf den Flughäfen verschiedener Mitgliedstaaten erfolgen, jedoch nur in Bezug auf Mitgliedstaaten, die PNR-Daten zu EU-Flügen erheben.

[…]

Die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates vom 27. April 2016 (ABl. EU vom 4. Mai 2016, L 119 S.89) regelt:

Art. 4 Richtlinie (EU) 2016/680 – Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten

(1) Die Mitgliedstaaten sehen vor, dass personenbezogene Daten

a) auf rechtmäßige Weise und nach Treu und Glauben verarbeitet werden,

b) für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden,

c) dem Verarbeitungszweck entsprechen, maßgeblich und in Bezug auf die Zwecke, für die sie verarbeitet werden, nicht übermäßig sind,

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sind; dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden,

e) nicht länger, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht,

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.

[…]

Art. 20 Richtlinie (EU) 2016/680 – Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

(1) Die Mitgliedstaaten sehen vor, dass der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung angemessene technische und organisatorische Maßnahmen – wie z.B. Pseudonymisierung – trifft, die dafür ausgelegt sind, Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Richtlinie zu genügen und die Rechte der betroffenen Personen zu schützen.

(2) Die Mitgliedstaaten sehen vor, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen trifft, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

Die Verordnung (EU) 2016/399 des Europäischen Parlaments und des Rates vom 9. März 2016 über einen Gemeinschaftskodex für das Überschreiten der grenzen durch Personen (Schengener Grenzkodex – Kodifizierter Text; ABl. EU vom 23. Juli 2017, L 77 S. 1, ber. 2018 L 272 S. 69) regelt:

Art. 2 Verordnung (EU) 2016/399 – Begriffsbestimmungen

[…]

11. „Grenzübertrittskontrollen“ die Kontrollen, die an den Grenzübergangsstellen erfolgen, um festzustellen, ob die betreffenden Personen mit ihrem Fortbewegungsmittel und den von ihnen mitgeführten Sachen in das Hoheitsgebiet der Mitgliedstaaten einreisen oder aus dem Hoheitsgebiet der Mitgliedstaaten ausreisen dürfen;

[…]

Art. 22 Verordnung (EU) 2016/399 – Überschreiten der Binnengrenzen

Die Binnengrenzen dürfen unabhängig von der Staatsangehörigkeit der betreffenden Personen an jeder Stelle ohne Personenkontrollen überschritten werden.

Art. 23 Verordnung (EU) 2016/399 – Kontrollen innerhalb des Hoheitsgebietes

Das Ausbleiben der Grenzkontrollen an den Binnengrenzen berührt nicht:

a) die Ausübung der polizeilichen Befugnisse durch die zuständigen Behörden der Mitgliedstaaten nach Maßgabe des nationalen Rechts, sofern die Ausübung solcher Befugnisse nicht die gleiche Wirkung wie Grenzübertrittskontrollen hat; dies gilt auch in Grenzgebieten. Im Sinne von Satz 1 darf die Ausübung der polizeilichen Befugnisse insbesondere nicht der Durchführung von Grenzübertrittskontrollen gleichgestellt werden, wenn die polizeilichen Maßnahmen

i) keine Grenzkontrollen zum Ziel haben;

ii) auf allgemeinen polizeilichen Informationen und Erfahrungen in Bezug auf mögliche Bedrohungen der öffentlichen Sicherheit beruhen und insbesondere auf die Bekämpfung der grenzüberschreitenden Kriminalität abzielen;

iii) in einer Weise konzipiert sind und durchgeführt werden, die sich eindeutig von systematischen Personenkontrollen an den Außengrenzen unterscheidet;

iv) auf der Grundlage von Stichproben durchgeführt werden;

[…]

Das FlugDaG (BGBl. I S. 1484) regelt:

§ 2 FlugDaG – Datenübermittlung durch Luftfahrtunternehmen

[…]

(3) Fluggastdaten sind für alle Flüge des Linien-, Charter- und Taxiverkehrs zu übermitteln, die nicht militärischen Zwecken dienen und die

1. von der Bundesrepublik Deutschland aus starten und in einem anderen Staat landen oder

2. von einem anderen Staat aus starten und in der Bundesrepublik Deutschland landen oder zwischenlanden.

§ 4 FlugDaG – Voraussetzungen für die Datenverarbeitung

(1) Die Fluggastdatenzentralstelle verarbeitet die von den Luftfahrtunternehmen übermittelten Fluggastdaten und gleicht sie mit Datenbeständen und Mustern nach Maßgabe der Absätze 2 und 5 ab, um Personen zu identifizieren, bei denen tatsächliche Anhaltspunkte dafür vorliegen, dass sie eine der folgenden Straftaten begangen haben oder innerhalb eines übersehbaren Zeitraumes begehen werden:

1. eine Straftat nach § 129a StGB, auch in Verbindung mit § 129b StGB, des Strafgesetzbuchs,

2. eine in § 129a Absatz 1 Nummer 1 und 2, Absatz 2 Nummer 1 bis 5 des Strafgesetzbuchs bezeichnete Straftat, wenn diese bestimmt ist, die Bevölkerung auf erhebliche Weise einzuschüchtern, eine Behörde oder eine internationale Organisation rechtswidrig mit Gewalt oder durch Drohung mit Gewalt zu nötigen oder die politischen, verfassungsrechtlichen, wirtschaftlichen oder sozialen Grundstrukturen eines Staates oder einer internationalen Organisation zu beseitigen oder erheblich zu beeinträchtigen und durch die Art ihrer Begehung oder ihre Auswirkungen einen Staat oder eine internationale Organisation erheblich schädigen kann,

3. eine Straftat, die darauf gerichtet ist, eine der in Nummer 2 bezeichneten Straftaten anzudrohen,

4. eine Straftat nach den §§ 89a bis 89c und 91 des Strafgesetzbuchs,

5. eine Straftat im unmittelbaren Zusammenhang mit terroristischen Aktivitäten nach Artikel 3 Absatz 2 des Rahmenbeschlusses 2002/475/JI des Rates vom 13. Juni 2002 zur Terrorismusbekämpfung (ABl. L 164 vom 22.6.2002, S. 3), der zuletzt durch Artikel 1 Nummer 1 des Rahmenbeschlusses 2008/919/JI (ABl. L 330 vom 9.12.2008, S. 21) geändert worden ist, oder

6. eine Straftat, die einer in Anhang II zur Richtlinie (EU) 2016/681 aufgeführten strafbaren Handlung entspricht und die mit einer Freiheitsstrafe im Höchstmaß von mindestens drei Jahren bedroht ist.

[…]

§ 6 FlugDaG – Datenübermittlung an die zuständigen Behörden im Inland

(1) Soweit dies zur Erfüllung von deren Aufgaben zur Verhütung oder Verfolgung von Straftaten nach § 4 Absatz 1 erforderlich ist, kann die Fluggastdatenzentralstelle die aus einem Abgleich nach § 4 Absatz 2 oder Absatz 5 resultierenden Fluggastdaten und die Ergebnisse der Verarbeitung dieser Daten zur weiteren Überprüfung oder zur Veranlassung geeigneter Maßnahmen übermitteln an

1. das Bundeskriminalamt,

2. die Landeskriminalämter,

3. die Zollverwaltung sowie

4. die Bundespolizei.

Die Übermittlung von Daten, die aus einem Abgleich nach § 4 Absatz 5 resultieren, an eine andere als an die ersuchende Behörde erfolgt nur im Einvernehmen mit der ersuchenden Behörde.

(2) Soweit dies zur Erfüllung von deren Aufgaben im Zusammenhang mit Straftaten nach § 4 Absatz 1 erforderlich ist, kann die Fluggastdatenzentralstelle die aus einem Abgleich nach § 4 Absatz 2 oder Absatz 5 resultierenden Fluggastdaten und die Ergebnisse der Verarbeitung dieser Daten zudem übermitteln an

1. das Bundesamt für Verfassungsschutz und die Verfassungsschutzbehörden der Länder,

2. den Militärischen Abschirmdienst sowie

3. den Bundesnachrichtendienst.

Absatz 1 Satz 2 gilt entsprechend.

(3) Die in Absatz 1 Satz 1 und Absatz 2 Satz 1 genannten Behörden dürfen die übermittelten Daten nur zu den Zwecken, zu denen sie ihnen übermittelt worden sind, verarbeiten.

(4) Die in Absatz 1 Satz 1 genannten Behörden können, soweit sie Aufgaben der Strafverfolgung wahrnehmen, die übermittelten Daten zu anderen Zwecken verarbeiten, wenn Erkenntnisse, auch unter Einbezug weiterer Informationen, den Verdacht einer bestimmten anderen Straftat begründen.

§ 16 FlugDaG – Geltung des Bundeskriminalamtgesetzes

Das Bundeskriminalamtgesetz findet entsprechende Anwendung, soweit in diesem Gesetz keine spezielleren Regelungen enthalten sind.

§ 17 FlugDaG – Gerichtliche Zuständigkeit, Verfahren

Für gerichtliche Entscheidungen nach diesem Gesetz ist das Amtsgericht zuständig, in dessen Bezirk das Bundeskriminalamt seinen Sitz hat. Für das Verfahren gelten die Bestimmungen des Gesetzes über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit entsprechend.

§ 12 Gesetz über das Bundeskriminalamt und die Zusammenarbeit des Bundes und der Länder in kriminalpolitischen Angelegenheiten (Bundeskriminalamtgesetzes -BKAG -), (BGBl. I S. 1254), lautet:

[…]

(2) Das Bundeskriminalamt kann zur Erfüllung seiner Aufgaben personenbezogene Daten zu anderen Zwecken, als denjenigen, zu denen sie erhoben worden sind, weiterverarbeiten, wenn

1. mindestens

a) vergleichbar schwerwiegende Straftaten verhütet, aufgedeckt oder verfolgt oder

b) vergleichbar bedeutsame Rechtsgüter geschützt

werden sollen und

2. sich im Einzelfall konkrete Ermittlungsansätze

a) zur Verhütung, Aufdeckung oder Verfolgung solcher Straftaten ergeben oder

b) zur Abwehr von in einem übersehbaren Zeitraum drohenden Gefahren für mindestens vergleichbar bedeutsame Rechtsgüter erkennen lassen.

Die §§ 21 und 22 bleiben unberührt.

[…]

Das Gesetz über die Zusammenarbeit des Bundes und der Länder in Angelegenheiten des Verfassungsschutzes und über das Bundesamt für Verfassungsschutz -BVerfSchG -, (BGBl. I S. 2954), regelt:

§ 3 BVerfSchG – Aufgaben der Verfassungsschutzbehörden

(1) Aufgabe der Verfassungsschutzbehörden des Bundes und der Länder ist die Sammlung und Auswertung von Informationen, insbesondere von sach- und personenbezogenen Auskünften, Nachrichten und Unterlagen, über

1. Bestrebungen, die gegen die freiheitliche demokratische Grundordnung, den Bestand oder die Sicherheit des Bundes oder eines Landes gerichtet sind oder eine ungesetzliche Beeinträchtigung der Amtsführung der Verfassungsorgane des Bundes oder eines Landes oder ihrer Mitglieder zum Ziele haben,

2. sicherheitsgefährdende oder geheimdienstliche Tätigkeiten im Geltungsbereich dieses Gesetzes für eine fremde Macht,

3. Bestrebungen im Geltungsbereich dieses Gesetzes, die durch Anwendung von Gewalt oder darauf gerichtete Vorbereitungshandlungen auswärtige Belange der Bundesrepublik Deutschland gefährden,

4. Bestrebungen im Geltungsbereich dieses Gesetzes, die gegen den Gedanken der Völkerverständigung (Artikel 9 Abs. 2 des Grundgesetzes), insbesondere gegen das friedliche Zusammenleben der Völker (Artikel 26 Abs. 1 des Grundgesetzes) gerichtet sind.

[…]

§ 5 BVerfSchG – Zuständigkeiten des Bundesamtes für Verfassungsschutz

(1) Das Bundesamt für Verfassungsschutz darf in einem Lande im Benehmen mit der Landesbehörde für Verfassungsschutz Informationen, Auskünfte, Nachrichten und Unterlagen im Sinne des § 3 sammeln. Bei Bestrebungen und Tätigkeiten im Sinne des § 3 Abs. 1 Nr. 1 bis 4 ist Voraussetzung, dass

1. sie sich ganz oder teilweise gegen den Bund richten,

2. sie darauf gerichtet sind, Gewalt anzuwenden, Gewaltanwendung vorzubereiten, zu unterstützen oder zu befürworten,

3. sie sich über den Bereich eines Landes hinaus erstrecken,

4. sie auswärtige Belange der Bundesrepublik Deutschland berühren oder

5. eine Landesbehörde für Verfassungsschutz das Bundesamt für Verfassungsschutz um ein Tätigwerden ersucht.

6. Das Benehmen kann für eine Reihe gleichgelagerter Fälle hergestellt werden.

[…]

§ 8 BVerfSchG – Befugnisse des Bundesamtes für Verfassungsschutz

[…]

(3) Polizeiliche Befugnisse oder Weisungsbefugnisse stehen dem Bundesamt für Verfassungsschutz nicht zu; es darf die Polizei auch nicht im Wege der Amtshilfe um Maßnahmen ersuchen, zu denen es selbst nicht befugt ist.

[…]

III.

Das vorlegende Gericht ist für die Entscheidung des Verwaltungsstreitverfahrens – und mithin auch für das vorliegende Vorabentscheidungsersuchen an den Europäischen Gerichtshof – zuständig. Dem steht insbesondere nicht § 17 FlugDaG entgegen, wonach für gerichtliche Entscheidungen nach diesem Gesetz das Amtsgericht zuständig ist, in dessen Bezirk das Bundeskriminalamt seinen Sitz hat. „Entscheidungen nach diesem Gesetz“ sind nämlich nur solche nach § 5 Abs. 2 FlugDaG. Vorliegend ist nicht „eine Entscheidung nach diesem Gesetz“, sondern eine Entscheidung über dieses Gesetz zu treffen.

Vorliegend kommt es zur Entscheidung darauf an, ob die PNR-Richtlinie oder Teile davon gegen den Vertrag über die Arbeitsweise der Europäischen Union oder die Grundrechtecharta verstoßen. In diesem Fall wäre das Umsetzungsgesetz (FlugDaG) – auch soweit es auf der Öffnungsklausel beruht – nicht anwendbar, sodass die Datenverarbeitung insgesamt unzulässig wäre und der Löschungsanspruch bestünde.

Zu Frage 1 Freizügigkeit Art. 21 AEUV

Nach Art. 1 Abs. 1 PNR-Richtlinie sind die Luftfahrtunternehmen dazu verpflichtet, bei jedem Drittstaatsflug die PNR-Daten ausnahmslos aller Fluggäste an die PNR-Zentralstellen der Mitgliedstaaten zu übermitteln, bei denen diese Daten automatisiert verarbeitet und fünf Jahre lang gespeichert werden. Art. 2 Abs. 1 PNR-Richtlinie enthält eine Öffnungsklausel, die es den Mitgliedstaaten erlaubt, die Richtlinie auch auf Flüge innerhalb der Europäischen Union anzuwenden. Gemäß § 2 Abs. 2 PNR-Richtlinie gelten in diesem Fall alle Bestimmungen der PNR-Richtlinie für innereuropäische Flüge so, als handele es sich um Drittstaatsflüge.

Von dieser Möglichkeit hat Deutschland durch § 2 Abs. 3 FlugDaG Gebrauch gemacht. Denn danach sind PNR-Daten für alle Flüge des Linien-, Charter- und Taxiverkehrs zu übermitteln, die nicht militärischen Zwecken dienen und die von der Bundesrepublik aus starten und in einem anderen Staat landen oder von einem anderen Staat aus starten und in der Bundesrepublik Deutschland landen oder zwischenlanden. Insofern gelten nach deutschem Recht für sämtliche Flüge innerhalb der Europäischen Union von und nach Deutschland dieselben Regelungen wie für Drittstaatflüge.

Eines bestimmten Anlasses, beispielweise konkreter Anhaltspunkte für eine Verbindung zum internationalen Terrorismus oder zur organisierten Kriminalität, bedarf es für die Datenverarbeitung nach der PNR-Richtlinie bzw. dem FlugDaG nicht. Dies muss dazu führen, dass innerhalb kurzer Zeiträume hunderte Billionen Datensätze verarbeitet und gespeichert werden. Die „Vorratsdatenspeicherung“ von Fluggastdaten betrifft daher die Grundrechte eines sehr weiten Teils der gesamten europäischen Bevölkerung in evidenter Weise (siehe allein das touristische Flugaufkommen vor der sogenannten Corona-Krise; schon 226.764.086 beförderte Personen im Luftverkehr 2019 in Deutschland; innerhalb der Europäischen Union 928.634.652 Passagiere im Jahr 2019, wobei ein jeder Flug zur Erfassung führt – bei 513,5 Millionen Einwohnern der Europäischen Union im Jahr 2019, https://ec.europa.eu/eurostat/databrowser/view/ttr00012/default/table?lang=de, Stand 15. Mai 2020).

Die zu übermittelnden Datensätze, die durch § 2 Abs. 2 FlugDaG vorgegeben werden, sind sehr umfangreich und umfassen neben den Namen und Adressen der Fluggäste sowie dem gesamten Reiseverlauf auch Angaben über ihr Gepäck, ihre Mitreisenden, alle Arten von Zahlungsinformationen sowie nicht näher definierte „allgemeine Hinweise“. Aus der Gesamtheit dieser Daten lassen sich sehr genaue Rückschlüsse auf das Privat- und Geschäftsleben der betroffenen Personen ziehen. Aus ihnen ergibt sich nämlich, wer wann in wessen Begleitung wohin gereist ist, welches Zahlungsmittel dabei genutzt und welche Kontaktdaten angegeben wurden und ob die betroffene Person mit leichtem oder schwerem Gepäck gereist ist. Über das Freitextfeld der „allgemeinen Hinweise“ können noch weitere Daten, deren Umfang völlig unklar ist, anfallen.

Das vorlegende Gericht sieht hier eine Vergleichbarkeit der PNR-Daten-Verarbeitung und -speicherung mit der Vorratsdatenspeicherung im Telekommunikationsbereich. Zu dieser hat der Europäische Gerichtshof richtigerweise ausgeführt, dass sie einen Eingriff von großem Ausmaß und besonderer Schwere in die Art. 7 und Art. 8 GRCh darstellt. Denn eine massenhafte, anlasslose Speicherung umfangreicher Datensätze, die Rückschlüsse auf das Privat- und Geschäftsleben der betroffenen Personen zulassen, sind geeignet, bei ihnen ein Gefühl ständiger Überwachung zu erzeugen (EuGH, Urteil vom 8. April 2014, Digital Rights Ireland u.a., C-293/12 und C-594/12, ECLI:EU:C:2014:238, Rn. 37).

Bereits in diesem ersten Verfahren des Europäischen Gerichtshofes betreffend die Vorratsdatenspeicherung hatte der High Court, dessen Vorabentscheidungsersuchen Gegenstand des Verfahrens war, die Frage nach der Vereinbarkeit der Richtlinie 2006/24 mit dem in Art. 21 AEUV verankerten Recht der Bürger, sich im Hoheitsgebiet der Mitgliedstaaten frei zu bewegen und aufzuhalten, aufgeworfen (EuGH, Urteil vom 8. April 2014, Digital Rights Ireland u.a., C-293/12 und C-594/12, EU:C:2014:238, Rn. 18). Da der Europäische Gerichtshof die Richtlinie bereits wegen Verstößen gegen Art. 7 und Art. 8 GRCh für ungültig erklärte, sah er von einer Beantwortung der Art. 21 AEUV betreffenden Vorlagefrage des High Courts ab (EuGH, Urteil vom 8. April 2014, Digital Rights Ireland u.a., C-293/12 und C-594/12, EU:C:2014:238, Rn. 72).

Für einen Eingriff in Art. 21 AEUV durch die umfangreiche PNR-Daten-Verarbeitung spricht, dass diese ein Gefühl des Überwachtwerdens bei den betroffenen Personen erzeugen kann. Zwar wird Unionsbürgern durch die Fluggastdatenverarbeitung der Aufenthalt oder die Bewegung im Hoheitsgebiet der Mitgliedstaaten nicht untersagt oder unmittelbar beschränkt. In der Rechtsprechung des Europäischen Gerichtshofes ist jedoch anerkannt, dass auch nur mittelbare Beschränkungen von Art. 21 AEUV rechtfertigungsbedürftig sind (vgl. EuGH, Urteil vom 13. Juni 2019, Topfit und Biffi, C-22/18, ECLI:EU:C:2019:497, Rn. 47; EuGH und Urteil vom 2. Juni 2016, Bogendorff und Wolfersdorff, C-438/14, Rn. 37). Es ist anzunehmen, dass ein Gefühl ständiger staatlicher Überwachung bei vielen Bürgern dazu führen wird, dass sie von der Wahrnehmung ihrer Unionsgrundrechte wie dem Recht, sich frei zu bewegen und aufzuhalten, keinen oder nur noch eingeschränkten Gebrauch machen werden. Insoweit liegt ein mittelbarer Eingriff in Art. 21 AEUV vor.

Das vorlegende Gericht hat erhebliche Zweifel daran, ob dieser Eingriff gerechtfertigt ist. Das von der PNR-Richtlinie verfolgte Ziel, Terrorismus und schwere Kriminalität zu bekämpfen, stellt zwar nach der Rechtsprechung des Europäischen Gerichtshofes eine dem Gemeinwohl dienende und damit legitime Zielsetzung der Union dar (vgl. EuGH-Gutachten 1/15 vom 26. Juli 2017, ECLI:EU:C:2017:592, Rn. 139).

Maßnahmen, durch die in eine Grundfreiheit wie Art. 21 AEUV eingegriffen wird, können jedoch nur dann durch objektive Erwägungen gerechtfertigt werden, wenn sie zum Schutz der Belange, die sie gewährleisten sollen, erforderlich sind, und auch nur insoweit, als diese Ziele nicht mit weniger einschränkenden Maßnahmen erreicht werden können (EuGH, Urteil vom 6. September 2016, Aleksei Petruhhin, C-182/15, ECLI:EU:C:2016:630, Rn. 38).

Hinsichtlich der Erforderlichkeit ist sehr fraglich, ob die mit der Fluggastdatenverarbeitung verbundenen Eingriffe nicht durch weniger einschränkende Maßnahmen erreicht werden könnten. Das vorlegende Gericht ist der Ansicht, dass die anlasslose Erhebung und Speicherung sehr umfangreicher Datensätze ausnahmslos aller Fluggäste für fünf Jahre sowie der automatisierte Abgleich der PNR-Daten mit Datenbanken und im Voraus festgelegten Kriterien (sog. Mustern) ein angemessenes Verhältnis zu dem verfolgten Zweck nicht mehr wahrt.

Dies liegt bereits deshalb sehr nahe, weil sich die PNR-Daten-Verarbeitung nach dem Vortrag der Beklagten als kaum effektiv darstellt. Die Beklagte hat mitgeteilt, dass seit der Aktivierung des Systems durch sie allein bis zum 19. August 2019 insgesamt 31.617.068 Passagierdatensätze verarbeitet wurden, obwohl zu diesem Zeitpunkt nur etwa 10 % des insgesamt zu erwartenden Datenvolumens verarbeitet wurde. Bis zum 14. August 2019 wurden dabei im Rahmen des vorzeitigen Abgleichs mit Fahndungsdatenbanken 237.643 technische Personenfahndungstreffer erzielt, die insgesamt 99.214 Personenvorgänge betrafen. 50 bis 60 % dieser Personenvorgänge bezogen sich nach Schätzungen der Beklagten auf Flüge innerhalb der Europäischen Union. Aus den technischen Personenfahndungstreffern ergaben sich ergaben sich 910 sogenannte fachliche (manuell überprüfte) Personenfahndungstreffer. Aus diesen 910 Treffern konnten nach den Angaben der Beklagten in 514 Fällen Fahndungsmaßnahmen erfolgreich durchgeführt werden. Bei diesen Fahndungsmaßnahmen handelte es sich um 57 Festnahmen, 10 gezielte offene Kontrollen, 66 verdeckte Kontrollen bzw. Beobachtungen und 381 Aufenthaltsermittlungen. Bei Kontrollen und Aufenthaltsermittlungen, also bei 457 von 514 „erfolgreichen Fahndungsmaßnahmen“, handelt es sich jedoch um reine Vorfeldmaßnahmen, die nicht unmittelbar der Gefahrenabwehr oder Strafverfolgung der in der PNR-Richtlinie bezeichneten Straftaten dienen. Zur Durchführung solcher Vorfeldmaßnahmen sind die mit der PNR-Daten-Verarbeitung verbundenen Grundrechtseingriffe aber nach Auffassung des vorlegenden Gerichts nicht verhältnismäßig. Dass bei 99.214 Treffern beim Datenbankabgleich (nicht dem Abgleich mit Kriterien!) letztlich nur 57 Fälle tatsächlichen Einschreitens verbleiben – dies entspricht einer Quote von 0,057 % –, erweckt zudem Zweifel an der generellen Geeignetheit der PNR-Daten-Verarbeitung zur Erreichung der Ziele der PNR-Richtlinie. Umgangssprachlich wird hier mit Kanonen auf Spatzen geschossen.

Im Übrigen nimmt die Kammer auch auf ihren Beschluss vom 13. Mai 2020 in dem Verfahren 6 K 805/19.WI Bezug.

Zudem ist auch die Vereinbarkeit der massenhaften und anlasslosen PNR-Daten-Verarbeitung mit Art. 67 Abs. 2 AEUV zweifelhaft. Danach hat die Union sicherzustellen, dass Personen an den Binnengrenzen nicht kontrolliert werden. Diesen Grundsatz hat der Unionsgesetzgeber umgesetzt, indem er die Verordnung Nr. 562/2006/EG erlassen hat (EuGH, Urteil vom 22. Juni 2010, Aziz Melki und Sélim Abdeli, C-188/10 und C-189/10, ECLI:EU:C:2010:363, Rn. 66). Diese Verordnung wurde mit dem Erlass der Verordnung (EU) 2016/399 des Europäischen Parlaments und des Rates vom 9. März 2016 über einen Unionskodex für das Überschreiten der Grenzen durch Personen (Schenger Grenzkodex, im Folgenden Verordnung (EU) 2016/399) aufgehoben. Nach Art. 22 Verordnung (EU) 2016/399 dürfen die Binnengrenzen unabhängig von der Staatsangehörigkeit der betreffenden Personen an jeder Stelle ohne Personenkontrollen überschritten werden. Das Ausbleiben der Grenzkontrollen berührt gemäß Art. 23 Verordnung (EU) 2016/399 nicht die Ausübung der polizeilichen Befugnisse durch die zuständigen Behörden der Mitgliedstaaten nach Maßgabe des nationalen Rechts, sofern die Ausübung solcher Befugnisse nicht die gleiche Wirkung wie Grenzübertrittskontrollen hat. Grenzübertrittskontrollen sind gemäß Art. 2 Nr. 11 Verordnung (EU) 2016/399 die Kontrollen, die an den Grenzübergangsstellen erfolgen, um festzustellen, ob die betreffenden Personen mit ihrem Fortbewegungsmittel und den von ihnen mitgeführten Sachen in das Hoheitsgebiet der Mitgliedstaaten einreisen oder aus dem Hoheitsgebiet der Mitgliedstaaten ausreisen dürfen.

Nach Ansicht des Gerichts geht von der PNR-Daten-Verarbeitung aber eine gleiche Wirkung wie von Grenzübertrittskontrollen aus. Denn dabei erfolgt ein automatischer Abgleich der PNR-Daten aller Flugpassagiere und Drittbetroffenen mit Datenbanken und im Voraus festgelegten Kriterien. Es werden mithin alle Personen, die in ein Land der Europäischen Union einreisen, völlig unabhängig von konkreten Verdachtsmomenten oder besonderen Umständen des einzelnen Falles, unterschiedslos einer automatisierten Kontrolle unterzogen. Auf Grundlage dieser Kontrollen können Personen, die beispielsweise auf einer Fahndungsliste stehen, an der Einreise in den betreffenden Mittgliedstaat der Europäischen Union gehindert werden. Dies erfolgt auch gerade anlässlich des Grenzübertritts, wie sich aus der „Erfolgsmeldung“ des Bundeskriminalamtes (s. o.) ergibt.

Zudem ist die Rechtsprechung des Europäischen Gerichtshofes zu Art. 21 lit. a) Satz 2 der alten Verordnung Nr. 562/2006/EG, der dem jetzigen Art. 23 lit. a) Satz 2 Verordnung (EU) 2016/399 entspricht, zu beachten, wonach die dort aufgeführten Indizien zugleich Hinweise darauf sind, dass eine gleiche Wirkung wie bei Grenzübertrittskontrollen besteht (EuGH, Urteil vom 13. Dezember 2018, Bundesrepublik Deutschland/Touring Tours, Travel GmbH und Sociedad de Transportes SA, C-412/17 und C-474/17, ECLI:EU:C:2018:1005, Rn. 54). Diese Indizien bzw. Hinweise sind vorliegend zumindest insofern gegeben, als dass die PNR-Daten-Verarbeitung nicht nur auf der Grundlage von Stichproben, sondern generell für alle Fluggäste durchzuführen ist und auch erfolgt. Aus diesem Grund beruht die Verarbeitung, zumindest was den Abgleich der PNR-Daten mit Datenbanken angeht, auch nicht auf allgemeinen polizeilichen Informationen und Erfahrungen in Bezug auf mögliche Bedrohungen der öffentlichen Sicherheit, da sie ja gerade verdachtsunabhängig erfolgt.

Zu Frage 2 Straftatenkatalog

Gemäß § 4 Abs. 1 FlugDaG verarbeitet die deutsche PNR-Zentralstelle die von den Luftfahrtunternehmen übermittelten PNR-Daten und gleicht diese mit Datenbeständen und Mustern ab, um Personen zu identifizieren, bei denen tatsächliche Anhaltspunkte dafür vorliegen, dass sie eine Straftat begangen haben oder begehen werden, die in einem anschließenden Katalog aufgeführt ist.

Diese Verarbeitung der PNR-Daten stellt für die davon Betroffenen einen Eingriff in Art. 7 und Art. 8 GRCh dar. Das Grundrecht auf Achtung des Privatlebens, das in Art. 7 GRCh garantiert ist, erstreckt sich auf jede Information, die eine bestimmte oder bestimmbare natürliche Person betrifft (vgl. nur EuGH, Urteil vom 9. November 2010, Volker und Markus Schecke und Eifert, C-92/09 und C-93/09, EU:C:2010:662, Rn. 52). Die im FlugDaG vorgesehenen Verarbeitungen der PNR-Daten fallen zudem unter Art. 8 GRCh, weil sie Verarbeitungen personenbezogener Daten im Sinne dieses Artikels darstellen, sodass sie zwangsläufig die dort vorgesehenen Erfordernisse des Datenschutzes erfüllen müssen (vgl. nur EuGH-Gutachten 1/15 vom 26. Juli 2017, ECLI:EU:C:2017:592, Rn. 123).

Nach der Rechtsprechung des Europäischen Gerichtshofes stellt die Weitergabe personenbezogener Daten an einen Dritten, etwa eine Behörde, unabhängig von der späteren Verwendung der übermittelten Informationen, bereits einen Eingriff in das in Art. 7 GRCh verankerte Grundrecht dar. Dasselbe gilt für die Speicherung personenbezogener Daten und den Zugang zu den Daten zu ihrer Verwendung durch die Behörden. Für die Feststellung eines solchen Eingriffs kommt es nicht darauf an, ob die übermittelten Informationen als sensibel anzusehen sind oder ob die Betroffenen durch den Vorgang irgendwelche Nachteile erlitten haben (vgl. EuGH-Gutachten 1/15 vom 26. Juli 2017, ECLI:EU:C:2017:592, Rn. 124). Entsprechendes gilt auch für Art. 8 GRCh, soweit es um die Verarbeitung personenbezogener Daten geht. (vgl. EuGH-Gutachten 1/15 vom 26. Juli 2017, ECLI:EU:C:2017:592, Rn. 126).

Zwar können die in den Art. 7 und Art. 8 GRCh niedergelegten Rechte keine uneingeschränkte Geltung beanspruchen, sondern müssen im Hinblick auf ihre gesellschaftliche Funktion gesehen werden (vgl. EuGH-Gutachten 1/15 vom 26. Juli 2017, ECLI:EU:C:2017:592, Rn. 136). Eine Einschränkung dieser Rechte kann zur Erreichung von Gemeinwohlzwecken, durchaus zulässig sein. Die Bekämpfung von terroristischen Straftaten und schwerer Kriminalität, die erklärten Zielen, der durch das FlugDaG umgesetzten Richtlinie, sind solche Gemeinwohlzwecke. Die Eingriffe in die Grundrechte müssen jedoch geeignet und erforderlich zur Erreichung dieser Ziele sein und dürfen sich nicht als unverhältnismäßig im engeren Sinne erweisen. Überdies muss nach Art. 52 Abs. 1 GRCh jede Einschränkung der Ausübung der Unionsgrundrechte und -freiheiten gesetzlich vorgesehen sein und den Wesensgehalt dieser Rechte und Freiheiten achten. Unter Wahrung des Grundsatzes der Verhältnismäßigkeit dürfen Einschränkungen nur vorgenommen werden, wenn sie erforderlich sind und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen (vgl. EuGH-Gutachten 1/15 vom 26. Juli 2017, ECLI:EU:C:2017:592, Rn. 138).

Der Grundsatz der Verhältnismäßigkeit verlangt nach ständiger Rechtsprechung des Europäischen Gerichtshofes, dass die Handlungen der Unionsorgane geeignet sind, die mit der fraglichen Regelung zulässigerweise verfolgten Ziele zu erreichen, und nicht die Grenzen dessen überschreiten, was zur Erreichung dieser Ziele geeignet und erforderlich ist (EuGH, Urteil vom 8. April 2014, Digital Rights Ireland u.a., C-293/12 und C-594/12, EU:C:2014:238, Rn. 46). In Bezug auf das Grundrecht auf Achtung des Privatlebens ist nach der Rechtsprechung des EuGH zu verlangen, dass sich die Ausnahmen und Einschränkungen in Bezug auf den Schutz personenbezogener Daten auf das absolut Notwendige beschränken (EuGH, Urteil vom 8. April 2014, Digital Rights Ireland u.a., C-293/12 und C-594/12, EU:C:2014:238, Rn. 52).

Um diesem Erfordernis zu genügen, muss die betreffende Regelung, die den Eingriff enthält, klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme vorsehen. Außerdem muss sie Mindesterfordernisse aufstellen, sodass die Personen, deren Daten übermittelt werden, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer personenbezogenen Daten vor Missbrauchsrisiken ermöglichen. Die Regelung muss insbesondere angeben, unter welchen Umständen und unter welchen Voraussetzungen eine Maßnahme, die die Verarbeitung solcher Daten vorsieht, getroffen werden darf, damit gewährleistet ist, dass der Eingriff auf das absolut Notwendige beschränkt wird. Das Erfordernis solcher Garantien ist umso bedeutsamer, wenn die personenbezogenen Daten automatisch verarbeitet werden. Dies gilt insbesondere, wenn es um den Schutz der besonderen Kategorie sensibler personenbezogener Daten geht (EuGH, Urteil vom 8. April 2014, Digital Rights Ireland u.a., C-293/12 und C-594/12, EU:C:2014:238, Rn. 54 f.).

Der Straftatenkatalog des § 4 Abs. 1 FlugDaG enthält zunächst Straftatbestände des deutschen Strafgesetzbuches (§ 4 Abs. 1 Nr. 1 bis 4 FlugDaG) und Verweise auf die Begehung einer Straftat im unmittelbaren Zusammenhang mit terroristischen Aktivitäten nach Art. 3 Abs. 2 des Rahmenbeschlusses 2002/475/JI des Rates vom 13. Juni 2002 zur Terrorismusbekämpfung (§ 4 Abs. 1 Nr. 5 FlugDaG). Schließlich verweist der Katalog auf Straftaten, die einer in Anhang II zur Richtlinie (EU) 2016/681 aufgeführten strafbaren Handlung entsprechen und die mit einer Freiheitsstrafe im Höchstmaß von mindestens drei Jahren bedroht sind (§ 4 Abs. 1 Nr. 6 FlugDaG).

§ 4 Abs. 1 Nr. 6 FlugDaG verweist somit nicht auf Straftaten des nationalen Strafgesetzbuches (StGB), sondern lediglich auf strafbare Handlungen, die im deutschen Strafrecht keine genaue Entsprechung haben. So enthält Anhang II der PNR-Richtlinie beispielsweise die Begriffe der Korruption (Nr. 6), der Computerstraftaten/Cyberkriminalität (Nr. 9) oder der Umweltkriminalität, einschließlich des illegalen Handels mit bedrohten Tierarten oder mit bedrohten Pflanzen- und Baumarten (Nr. 10). Diese Handlugen stellen keine Straftatbestände des StGB dar. Dieses kennt beispielsweise keinen Straftatbestand der „Korruption“. Korruption bildet vielmehr einen Oberbegriff für eine Vielzahl von denkbaren Straftaten. Für deutsche Behörden und insbesondere auch für die betroffenen Personen ist somit nicht normenklar und eindeutig definiert, welche Delikte genau unter diese Regelung fallen sollen. Selbiges gilt auch für die Begriffe der Cyberkriminalität und der Umweltkriminalität. Auch sie stellen nichts als unbestimmte Oberbegriffe dar, unter die eine Mehrzahl von mehr oder weniger konkreten Delikten subsummiert werden kann. Insofern führt der bloße Verweis auf Anhang II der PNR-Richtlinie in § 4 Abs. 1 Nr. 6 FlugDaG zu einer ganz erheblichen Unbestimmtheit des FlugDaG, die zu einer Rechtsunsicherheit bei den von der PNR-Daten-Verarbeitung Betroffenen und bei der PNR-Zentralstelle selbst führt.

Damit genügt § 4 Abs. 1 FlugDaG nicht dem Erfordernis der klaren und präzisen Regelung für die Tragweite und Anwendung der betreffenden Maßnahmen (vgl. nur EuGH-Gutachten 1/15 vom. 27. Juli 2017, EU:C:2017:592, Rn. 141). Hierzu wäre nach Ansicht des Gerichts vielmehr ein eigenständiger abgeschlossener Katalog von Straftaten erforderlich, die national einschlägigen Strafnormen abschließend und dezidiert aufzählt, um sowohl für die (potenziell) Betroffenen als auch für die innerstaatlichen Behörden in sachlicher Hinsicht Klarheit über den Anwendungsbereich des FlugDaG zu gewährleisten.

Zu Frage 3 Zweckänderung am Maßstab der GRCh

Nach § 6 Abs. 4 FlugDaG sind die in § 6 Abs. 1 FlugDaG genannten inländischen Behörden berechtigt, die ihnen zur Erfüllung der Aufgaben nach § 4 Abs. 1 FlugDaG (Verhütung und Verfolgung von Terrorismus und schwerer Kriminalität) übermittelten PNR-Daten auch zu anderen Zwecken zu verarbeiten, soweit diese Behörden Aufgaben der Strafverfolgung wahrnehmen und Erkenntnisse, auch unter Einbeziehung weiterer Informationen, den Verdacht einer bestimmten anderen Straftat begründen (sogenannter Beifang). Somit stellt § 6 Abs. 4 FlugDaG eine Ausnahme vom Regelfall des § 6 Abs. 3 FlugDaG dar, wonach die übermittelten Daten nur zu den Zwecken, zu denen sie übermittelt wurden, verarbeitet werden dürfen und führt zu einer unbestimmten Anzahl von Zweckänderungen.

Die Unionsgrundrechtskonformität dieser Regelung ist fragwürdig. Schon die in der PNR-Richtlinie selbst enthaltenen Regelungen hinsichtlich der Delikte, die durch die PNR-Daten-Verarbeitung bekämpft werden sollen, begegnet Bedenken des vorlegenden Gerichts (vgl. Vorlagebeschluss der Kammer vom 13.05.2020, Az. 6 K 805/19.WI). Denn der Maßstab – strafbare Handlungen, die nach dem nationalen Recht eines Mitgliedstaates mit einer Freiheitsstrafe oder einer freiheitsentziehenden Maßregel der Sicherung im Höchstmaß von mindestens drei Jahren bedroht sind – ist sehr niedrig angesetzt und insofern bestehen Zweifel, inwieweit alle darunterfallenden Delikte noch als „schwere Kriminalität“ angesehen werden können.

Aber selbst dieser bereits niedrige Maßstab wird durch die Regelung des § 6 Abs. 4 FlugDaG vollständig aufgegeben. Die PNR-Daten sollen danach verarbeitet werden dürfen, wenn der Verdacht einer „bestimmten anderen Straftat“ begründet ist. An den „neuen Straftatbestand“ und das dann möglicherweise zu verfolgende Delikt werden keinerlei qualifizierte Voraussetzungen mehr gestellt. Selbst leichteste strafbewehrte Vergehen dürfen dem Wortlaut des § 6 Abs. 4 FlugDaG nach mithilfe der PNR-Daten-Verarbeitung bzw. der daraus gewonnenen Erkenntnisse verfolgt werden.

Hieran ändert, anders als die Beklagte vorgetragen hat, auch § 16 FlugDaG i.V.m. § 12 Abs. 2 BKAG nichts. Nach § 12 Abs. 2 Satz 1 Nr. 1 BKAG darf das Bundeskriminalamt, welches die deutsche PNR-Zentralstelle ist, personenbezogene Daten zu anderen Zwecken verarbeiten, als denjenigen, zu denen sie erhoben worden sind, wenn mindestens vergleichbar schwerwiegende Straftaten verhütet, aufgedeckt oder verfolgt oder vergleichbare bedeutsame Rechtsgüter geschützt werden sollen. Gemäß § 16 FlugDaG findet das Bundeskriminalamtgesetz (BKAG) aber nur entsprechende Anwendung, soweit im FlugDaG keine spezielleren Regelungen enthalten sind. Dadurch, dass § 6 Abs. 4 FlugDaG die zweckändernde Verarbeitung der PNR-Daten explizit regelt, stellt sie eine speziellere Vorschrift als der allgemein für das Bundeskriminalamt geltende § 12 BKAG dar, sodass der Verweis auf das BKAG in § 16 FlugDaG in Bezug auf die zweckändernde Verarbeitung der PNR-Daten ins Leere geht. Auch würden gegen die allgemeine Regelung des BKAG erhebliche Bedenken bestehen, da damit die Zweckbindung ebenfalls vollständig durchbrochen würde.

Insoweit ist aus Sicht des Gerichts eine Verhältnismäßigkeit der Regelung in keiner Weise mehr gegeben. Die nach der Rechtsprechung des Europäischen Gerichtshofes erforderliche Beschränkung der Grundrechtseingriffe auf das absolut Notwendige kann hier nicht mehr festgestellt werden. Denn die durch § 6 Abs. 4 FlugDaG ermöglichte nahezu uferlose Verwendung der PNR-Daten hat mit der Bekämpfung von Terrorismus und auch mit der Verhinderung bzw. Bekämpfung und Verfolgung von schwerer Kriminalität, die in diesem Zusammenhang als Pendent zu terroristischen Straftaten auch ein vergleichbares Gewicht haben müsste, nichts mehr zu tun. Die Regelung § 6 Abs. 4 FlugDaG entfernt sich somit von den der durch die PNR-Richtlinie verfolgten Zielen und geht über diese deutlich hinaus. Es drängt sich daher für das vorlegende Gericht der Eindruck auf, dass die Regelung weniger der Bekämpfung von Terrorismus und schwerer Kriminalität dienen soll, sondern vielmehr darauf ausgelegt ist, eine Vielzahl geringfügiger Straftaten als „Beifang“ verfolgen zu können (so auch bei der Richtlinie (EU) 2015/849 in der Fassung der Richtlinie (EU) 2018/843 des Europäischen Parlaments und des Rates vom 30. Mai 2018 zur Änderung der Richtlinie (EU) 2015/849 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung und zur Änderung der Richtlinien 2009/138/EG und 2013/36/EU, welche in der praktischen Umsetzung im Wesentlichen der Aufdeckung von Steuerdelikten, wie Erbschaftssteuerhinterziehung, also gerade nicht der Terrorismusfinanzierung, führt; siehe dazu Antwort des Bundesministeriums der Finanzen auf die Kleine Anfrage des Abgeordneten Fabia De Masi vom 26. Juli 2018, Nr. 3 h), wonach es keine Erkenntnisse der Terrorismusfinanzierung bekannt sind – https://www.linksfraktion.de/
fileadmin/user_upload/PDF_Dokumente/180814-Antwort-KA-Geldwa-schebeka-mpfung-193586.pdf, Stand 1. Mai 2020).

Zu Frage 4 Doppelerfassung

Art. 2 Abs. 1 PNR-Richtlinie enthält eine Öffnungsklausel, die es den Mitgliedstaaten erlaubt, die Richtlinie auch auf Flüge innerhalb der Europäischen Union anzuwenden. Von dieser Möglichkeit hat Deutschland Gebrauch gemacht durch § 2 Abs. 3 FlugDaG. Denn danach sind PNR-Daten für alle Flüge zu übermitteln, die von der Bundesrepublik aus starten und in einem anderen Staat landen oder von einem anderen Staat aus starten und in der Bundesrepublik Deutschland landen oder zwischenlanden. Sowie in dem anderen Staat, soweit dieser von der Öffnungsklausel des Art. 2 Abs. 1 PNR-Richtlinie Gebrauch gemacht hat.

Art. 8 Abs. 1 PNR-Richtlinie sieht vor, dass die Mitgliedstaaten die erforderlichen Maßnahmen treffen, um sicherzustellen, dass die Fluggesellschaften die PNR-Daten an die Datenbank der PNR-Zentralstelle des Mitgliedstaates übermitteln, in dessen Hoheitsgebiet der betreffende Flug ankommt oder von dem er abgeht.

Da eine Vielzahl von Mitgliedstaaten von der Öffnungsklausel in Art. 2 Abs. 1 PNR-Richtlinie Gebrauch gemacht haben (auch das im vorliegend zu entscheidenden Fall als Start- und Zielland beteiligte Königreich Belgien), müssen bei innereuropäischen Flügen PNR-Datensätze sowohl an das Startland als auch an das Zielland des Fluges, sowie im Falle von Zwischenlandungen auch an die Transitländer übermittelt werden. Insoweit kommt es bei innereuropäischen Flügen bei jedem Fluggast oder Drittbetroffenen zu einer mindestens doppelten Verarbeitung und Speicherung der PNR-Daten, im vorliegenden Fall auch beim Kläger. Auch bei Flügen, die in Drittstaaten aus starten oder Drittsaaten zum Ziel haben, und die in einem Mitgliedstaat der Europäischen Union zwischenlanden, kommt es durch diese Regelung zu einer mehrfachen Erfassung der PNR-Daten der betroffenen Fluggäste.

Dies ist unter Beachtung des Grundsatzes der Datensparsamkeit mit Art. 7 und Art. 8 GRCh nicht vereinbar, da sich die mit der PNR-Daten-Verarbeitung verbundenen Eingriffe in diese Unionsgrundrechte nicht auf das absolut Notwendige beschränken.

In der Richtlinie (EU) 2016/680 ist der Grundsatz der Datensparsamkeit bzw. Datenminimierung normativ verankert. Sie wurde mit der PNR-Richtlinie gemeinsam erlassen und dient als Ergänzung derselben. Aus Art. 4 Abs. 1 lit. c) Richtlinie (EU) 2016/680 lässt sich zunächst entnehmen, dass personenbezogene Daten in Bezug auf die Zwecke, für die sie verarbeitet werden, nicht „übermäßig“ sein sollen. Art. 20 Abs. 1 Richtlinie (EU) 2016/680 konkretisiert diesen Grundsatz dahingehend, dass die Mitgliedstaaten vorsehen sollen, dass der für die Datenverarbeitung Verantwortliche Maßnahmen trifft, um die Datenschutzgrundsätze wie etwa die Datenminimierung wirksam umzusetzen. Zudem regelt Art. 20 Abs. 2 Richtlinie (EU) 2016/680, dass nur personenbezogene Daten, deren Verarbeitung für den jeweiligen Verarbeitungszweck erforderlich sind, verarbeitet werden dürfen. Dies ist Ausfluss von Art. 7 GRCh, wenn in Erwägungsgrund 26 ausgeführt wird: „Es sollte insbesondere sichergestellt werden, dass nicht übermäßige personenbezogene Daten erhoben werden und sie nicht länger aufbewahrt werden, als dies für den Zweck, zu dem sie verarbeitet werden, erforderlich ist.“

Eine Mehrfachverarbeitung identischer Daten durch mehrere Stellen entspricht gerade nicht dem Grundsatz der Datensparsamkeit. Denn sie führt, auch wenn sie sich auf dieselben PNR-Daten betrifft, zu einer Vertiefung der mit der Fluggastdatenverarbeitung verbundenen Grundrechtseingriffe. Dies schon allein deshalb, weil die Daten mehrfach erfasst werden und jeder Mitgliedstaat selbst für die Aufstellung seiner eigenen Kriterien für den automatisierten Musterabgleich zuständig ist, vgl. Art. 6 Abs. 4 Satz 3 PNR-Richtlinie. Die Mehrfachverarbeitung der PNR-Daten ließe sich beispielsweise dadurch vermeiden, dass die PNR-Daten grundsätzlich nur an das Zielland eines Fluges übermittelt würden und die Mitgliedstaaten sich im Falle des Vorliegens konkreter Verdachtsmomente infolge der PNR-Daten-Verarbeitung untereinander austauschten. Dieser Gedanke ist bereits im Erwägungsgrund 23 zur PNR-Richtlinie angelegt. Dort heißt es, dass die Mitgliedstaaten sich untereinander austauschen sollten, wenn dies zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität für erforderlich erachtet wird. Alternativ wäre es auch denkbar, eine zentrale europäische PNR-Zentralstelle einzurichten, um eine unnötige Mehrfachverarbeitung der personenbezogenen Daten zu vermeiden. Bereits Art. 4 Abs. 4 PNR-Richtlinie deutet diese Möglichkeit an, indem er regelt, dass zwei oder mehr Mitgliedstaaten gemeinsam eine einzige Behörde als ihre gemeinsame PNR-Zentralstelle benennen können. Es stehen somit Möglichkeiten zur Verfügung, die Eingriffe in Art. 7 und Art. 8 GRCh abzuschwächen, weshalb sich nationale Regelungen wie § 2 Abs. 3 FlugDaG nicht auf das absolut Notwenige beschränken.

Zu Frage 5 a Zweckänderung am Maßstab der PNR-Richtlinie

Gemäß Art. 7 Abs. 4 PNR-Richtlinie dürfen die PNR-Daten und die Ergebnisse der Verarbeitung dieser Daten von den zuständigen Behörden der Mitgliedstaaten ausschließloch zum bestimmten Zweck der Verhütung, Aufdeckung, Ermittlung oder Verfolgung terroristischer Straftaten oder schwerer Kriminalität weiterverarbeitet werden. Gemäß Art. 7 Abs. 5 PNR-Richtlinie berührt Art. 7 Abs. 4 PNR-Richtlinie nicht die Befugnisse der Strafverfolgungs- oder Justizbehörden der Mitgliedstaaten in Fällen, in denen im Verlauf von Strafverfolgungsmaßnahmen im Anschluss an eine derartige Verarbeitung andere Straftaten festgestellt werden oder sich Anhaltspunkte für solche Straftaten ergeben.

Nach § 6 Abs. 4 FlugDaG sind die in § 6 Abs. 1 FlugDaG genannten inländischen Behörden berechtigt, die ihnen zur Erfüllung der Aufgaben nach § 4 Abs. 1 FlugDaG (Verhütung und Verfolgung von Terrorismus und schwerer Kriminalität) übermittelten PNR-Daten zu anderen Zwecken zu verarbeiten, soweit diese Behörden Aufgaben der Strafverfolgung wahrnehmen und Erkenntnisse, auch unter Einbezug weiterer Informationen, den Verdacht einer bestimmten anderen Straftat begründen.

Für den Fall, dass der Europäische Gerichtshof § 6 Abs. 4 FlugDaG für mit den Art. 7 und Art. 8 GRCh (siehe Frage 3) vereinbar halten sollte, ist fraglich, ob er mit Art. 7 Abs. 4 und 5 PNR-Richtlinie vereinbar ist. Nach Ansicht des vorlegenden Gerichts ist dies nicht der Fall.

Bei § 6 Abs. 4 FlugDaG handelt es sich um eine überschießende Umsetzung der PNR-Richtlinie. Denn diese Regelung geht über Art. 7 Abs. 5 PNR-Richtlinie hinaus. Die in Art. 7 Abs. 5 PNR-Richtlinie enthaltende Voraussetzung, dass sich die Erkenntnisse hinsichtlich anderer Straftaten (also solcher, die weder terroristisch motiviert noch schwere Kriminalität im Sinne der PNR-Richtlinie sind) im Verlauf von Strafverfolgungsmaßnahmen im Anschluss an die PNR-Datenverarbeitung ergeben haben müssen, enthält § 6 Abs. 4 FlugDaG nämlich nicht. Er erlaubt nach seinem Wortlaut vielmehr unmittelbar eine Verarbeitung der PNR-Daten zu anderen Zwecken als der Verfolgung bzw. Bekämpfung von Terrorismus und schwerer Kriminalität, und zwar nicht nur dann, wenn diese Erkenntnisse im Anschluss an eine PNR-Datenverarbeitung zur Terrorismusbekämpfung bzw. Bekämpfung schwerer Kriminalität festgestellt werden, sondern auch, wenn sie aus anderen Quellen stammen. Damit gestattet § 6 Abs. 4 FlugDaG also eine zweckändernde Nutzung der PNR-Daten auch, wenn die PNR-Datenverarbeitung selbst keine Erkenntnisse hinsichtlich bereits verübter oder bevorstehender Straftaten ergeben hat. Dies führt zu einer wesentlichen Vertiefung des durch die Datenverarbeitung bewirkten Grundrechtseingriffs, für die die PNR-Richtlinie keine Grundlage bietet.

Zu Frage 5 b Bundesamt für Verfassungsschutz

Gemäß Art. 7 Abs. 1 PNR-Richtlinie erstellt jeder Mitgliedstaat eine Liste der zuständigen Behörden, die berechtigt sind, zum Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten oder schwerer Kriminalität PNR-Daten oder die Ergebnisse der Verarbeitung dieser Daten von den PNR-Zentralstellen anzufordern oder entgegenzunehmen, um sie einer weiteren Prüfung zu unterziehen oder um geeignete Maßnahmen zu veranlassen. Laut Art. 7 Abs. 2 PNR-Richtlinie sind die in Art. 7 Abs. 1 PNR-Richtlinie genannten Behörden diejenigen Behörden, die für die Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten oder schwerer Kriminalität zuständig sind.

Die von Deutschland erstellte Liste der zuständigen Behörden im Sinne von Art. 7 Abs. 1 PNR-Richtlinie umfasst 22 Behörden, zu denen auch das Bundesamt für Verfassungsschutz gehört (vgl. Amtsblatt der Europäischen Union 2018/C 194/01). Gemäß § 5 Abs. 1 i.V.m. § 3 Abs. 1 BVerfSchG hat das Bundesamt für Verfassungsschutz die Aufgabe, Informationen, insbesondere über Bestrebungen gegen die freiheitlich-demokratische Grundordnung, sicherheitsgefährdende oder geheimdienstliche Tätigkeiten sowie über Bestrebungen, die auswärtige Belange der Bundesrepublik Deutschland gefährden oder gegen den Gedanken der Völkerverständigung gerichtet sind, zu sammeln und auszuwerten.

Gemäß § 8 Abs. 3 Halbsatz 1 Alt. 1 BVerfSchG stehen dem Bundesamt für Verfassungsschutz keine polizeilichen Befugnisse zu. Dies verdeutlich den Charakter des Bundesamtes für Verfassungsschutz als reiner Nachrichtendienst, der nicht selbst Gefahren abzuwehren hat, sondern neben der Unterrichtung von Regierung und Öffentlichkeit als Hilfsorgan zur Informationsbeschaffung tätig wird und hierdurch andere Stellen, insbesondere die Polizeibehörden, in die Lage versetzt, gegebenenfalls einzuschreiten. Insofern ist § 8 Abs. 3 Halbsatz 1 Alt. 1 BVerfSchG Ausdruck des Trennungsgebotes zwischen Polizei und Nachrichtendiensten (Schreiben der Militärgouverneure der westdeutschen Besatzungszonen vom 14. April 1949 an den Parlamentarischen Rat; veröffentlicht unter: https://www.verfassungen.de/de49/grundgesetz-schreiben49-3.htm). Dieses Trennungsgebot folgt nach der Rechtsprechung des Bundesverfassungsgerichts auch aus dem Rechtsstaatsprinzip, dem Bundesstaatprinzip und dem Schutz der Grundrechte (Bundesverfassungsgericht, Beschluss vom 28. Januar 1998 – 2 BvF 3/92 -, Rn. 87; siehe auch https://www.kriminalpolizei.de/ausgaben/2006/september/detailansicht-september/artikel/das-trennungsgebot-teil-1.html, Stand 15. Mai 2020). Andere Mitgliedstaaten, wie etwa Frankreich, kennen dies nicht; hier sind die Verfassungsschutzbehörden mit polizeilichen Befugnissen ausgestattet (BT- Wissenschaftliche Dienste, Zusammenarbeit zwischen Polizeibehörden und Nachrichtendiensten in ausgewählten EU-Staaten, WD3-3000-083/17).

Somit ist sehr zweifelhaft, ob das Bundesamt für Verfassungsschutz eine Behörde ist, die im Sinne von Art. 7 Abs. 2 PNR-Richtlinie für die Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten oder schwerer Kriminalität zuständig ist. Denn die Gefahrenabwehr zählt gerade nicht zu den Aufgaben des Bundesamtes für Verfassungsschutzes. Dessen Zuständigkeit erstreckt sich lediglich auf die Informationsbeschaffung im „Vorfeld“. Eine Erstreckung der Zugriffsmöglichkeit auf PNR-Daten und auf die Ergebnisse von deren Auswertung auf Behörden, die nur reine Vorfeldmaßnahmen vornehmen dürfen, ist zur Überzeugung des vorlegenden Gerichts nicht von Art. 7 Abs. 2 PNR-Richtlinie gedeckt. Dies gilt insbesondere vor dem Hintergrund, dass die Polizeibehörden des Bundes und der Länder selbst auf der Liste der Zugriffsberechtigten Behörden nach Art. 7 Abs. 1 PNR-Richtlinie stehen, sodass für eine zusätzliche Zugriffsmöglichkeit des Bundesamtes für Verfassungsschutz keine Notwendigkeit besteht.

IV.

Nach alledem ist eine Vorlage an den Europäischen Gerichtshof geboten.

Das Ergebnis des Rechtsstreits hängt von den Vorlagefragen ab. Denn sollten Regelungen des AEUV, der GRCH oder der PNR-Richtlinie den in Frage stehenden Regelungen des FlugDaG entgegenstehen, so wären diese wegen Verstoßes gegen das vorrangige Europarecht unanwendbar. Somit würden sie als Rechtsgrundlage für die PNR-Daten-Verarbeitung durch die Beklagte ausscheiden, was zu einer Rechtswidrigkeit der Datenverarbeitung und somit letztlich zum Bestehen des Löschungsanspruches des Klägers führen würde. Sollte sich die Öffnungsklausel der PNR-Richtlinie als unvereinbar mit der GRCh erweisen (siehe Frage 4), so entfiele hiermit die Befugnis des deutschen Gesetzgebers, die PNR-Daten-Verarbeitung auch auf innereuropäische Flüge zu erstrecken. Auch dann hätte der Kläger einen Anspruch auf Löschung seiner personenbezogenen Daten, sodass die Klage Erfolg haben würde.

V.

Dieser Beschluss ist unanfechtbar.