Basiswissen Luftrecht (7) Gastautor werden

Datenschutzrecht in der Luftfahrt

Unternehmen in der Luftfahrt müssen viel Juristisches beachten. Die Rechtsanwältin Nina Naske erläutert im Luftrecht-Tutorial auf airliners.de das rechtliche Basiswissen – nicht nur für Manager. Dieses Mal: Datenschutzrecht in der Luftfahrt.

Luftrechtmanagement ist vielfältig. Kollage: © airliners.de / AirTeamImages.com, Fotolia.de, EASA, LBA

Die Verordnung (EU) Nr. 2016/679 des Europäischen Parlaments und des Rates hat den Unternehmen in Europa einigen Aufwand beschert. Denn mit dieser sogenannte Datenschutzgrundverordnung (DSGVO) sind einige altbekannte Grundzüge neu sortiert und zudem die Aufmerksamkeit der Öffentlichkeit auf den Datenschutz gerichtet worden.

Wie alle Verordnungen der Europäischen Union ist auch die Datenschutzgrundverordnung unmittelbar in jedem Mitgliedstaat anwendbar. In allen EU-Mitgliedstaaten gelten deshalb dieselben Datenschutzvorschriften. Ausnahmen gibt es nur, soweit die DS-GVO dies zulässt.

In der Luftfahrt stellen sich mit Blick auf die Datenschutzvorschriften besondere Herausforderungen, denn vom Urlaubsflug bis zur Geschäftsreise sind die Flugziele längst nicht immer nur in der Europäischen Union zu finden. Auch der Datentransfer an Unternehmen und Behörden außerhalb der Europäischen Union gehört deshalb für die Luftfahrt automatisch dazu. Dazu kommt noch, dass das Interesse staatlicher Stellen an den Passagierdaten besonders groß ist, meist begründet mit Belangen der nationalen Sicherheit. Grundwissen zum Datenschutz gehört deshalb auch in der Luftfahrt zwingend dazu.

Worum geht es in der DS-GVO?

Die Verordnung (EU) Nr. 2016/679 enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten (Artikel 1 Absatz 1 DS-GVO). Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Artikel 4 Nummer 1 DS-GVO).

Damit sagt die Datenschutz-Grundverordnung klar, dass es um Informationen über Menschen geht ("personenbezogene Daten") und darum, Verhaltensvorgaben zum Umgang mit solchen Daten zu machen.

Dabei gilt die Verordnung (EU) Nr. 2016/679 für die ganz, teilweise oder auch gar nicht automatisierte Verarbeitung von Daten, die in einem Dateisystem gespeichert sind oder werden sollen (Artikel 2 Absatz 1 DS-GVO). Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten (Artikel 4 Nummer 2 DS-GVO).

In jedem Unternehmen finden deshalb unvermeidbar viele unterschiedliche Arten der Datenverarbeitung statt. Dabei kann es um die Daten der Mitarbeiter von Kunden oder Lieferanten gehen, oder auch um die Daten der eigenen Mitarbeiter. Beispielsweise müssen Luftfahrtunternehmen sichergehen, dass die Pilotinnen und Piloten auch über den nach dem Luftsicherheitsrecht erforderlichen "background check" verfügen (Verordnung (EG) Nr. 300/2008 mit Verordnung (EU) Nr. 2015/1998). In Deutschland ist das die behördliche Zuverlässigkeitsüberprüfung nach Paragraph 7 des Luftsicherheitsgesetzes. Wenn ein Luftfahrtunternehmen sich den "ZÜP-Bescheid" vorlegen lässt und dafür eine Kopie für die Personalakte macht, ist das zwangsläufig die Verarbeitung personenbezogener Daten.

Grundregeln zum Umgang mit personenbezogenen Daten

Die Verordnung (EU) Nr. 2016/679 stellt verbindliche Grundregeln für die Verarbeitung personenbezogener Daten auf und legt fest, dass der Verantwortliche für die Einhaltung dieser Grundregeln verantwortlich ist und ihre Einhaltung nachweisen können muss (Artikel 5 Absatz 1 und Absatz 2 DS-GVO). Insbesondere müssen die Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Artikel 5 Absatz 1 Buchstabe a DS-GVO).

Auch dürfen die Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden ("Zweckbindung", Artikel 5 Absatz 1 Buchstabe b DS-GVO). Daneben gelten auch die Grundsätze der Datenminimierung, der Richtigkeit, der Speicherbegrenzung und der Integrität und Vertraulichkeit der personenbezogenen Daten (Artikel 5 Absatz 1 Buchstabe c bis f DS-GVO).

Angesichts der Unbestimmtheit dieser Grundregeln ist es allerdings nicht erstaunlich, dass die Vorstellungen dazu, was genau danach erlaubt ist, mitunter auseinandergehen. Manche erwarten, dass die normativen Anforderungen über die Zeit zu veränderten tatsächlichen Verhältnissen führen werden. So stützen Datenschützer beispielsweise in jüngerer Zeit immer wieder auch Vorwürfe gegen Social Media-Unternehmen auf die Datenschutzgrundverordnung.

Andere Stimmen verweisen hingegen nüchtern auf die Tatsachen und sehen in der Verordnung (EU) Nr. 2016/679 weniger Regeln zum Schutz von Menschen als vielmehr bürokratische Regulierung, die den großen Internetplattformen erhebliche Wettbewerbsvorteile gegenüber Startups und Newcomern bescheren.

Rechtmäßigkeit der Datenverarbeitung

Die Grundregeln zur Datenverarbeitung werden dabei besonders durch die Anforderungen an die Rechtmäßigkeit der Verarbeitung konkretisiert. Denn nach der Verordnung (EU) Nr. 2016/679 ist die Verarbeitung nur rechtmäßig, wenn sich der Verantwortliche auf einen der in der Datenschutzgrundverordnung geregelten Rechtfertigungsgründe berufen kann (Artikel 6 DS-GVO).

Vereinfacht gesagt ist die Verarbeitung personenbezogener Daten danach nur rechtmäßig, wenn

  • die betroffene Person ihre Einwilligung gegeben hat, oder
  • die Verarbeitung zur Vertragserfüllung oder für vorvertragliche Maßnahmen erforderlich ist,
  • die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen erforderlich ist,
  • die Verarbeitung zur Wahrung lebenswichtiger Interessen der betroffenen Person oder anderer natürlicher Personen erforderlich ist,
  • die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist, oder
  • die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist.

Die Einzelheiten dieser Rechtfertigungsgründe können juristisch durchaus kompliziert werden. Besonders schwierig ist die Lage deshalb, weil die Anforderungen, die zwischenzeitlich an das Vorliegen einer Einwilligung gestellt werden, erheblich gestiegen sind.

Für die Unternehmen der Luftfahrt ist jedoch die Datenverarbeitung vielfach unvermeidbar, weil sie gesetzlich gezwungen sind, bestimmte Informationen über ihre Mitarbeiter oder andere Menschen einzuholen und zu verarbeiten. Dazu gehört unter anderem auch die Pflicht, Fluggastdaten an die nationalen Behörden weiterzugeben.

In der Europäischen Union etwa schreibt die Richtlinie (EU) Nr. 2016/681 den Mitgliedstaaten vor, entsprechende Maßnahmen zu treffen. Die meisten EU-Mitgliedstaaten, darunter auch Deutschland, sind dem zwischenzeitlich nachgekommen. Entsprechend zwingt beispielsweise das deutsche Fluggastdatengesetz die Airlines dazu, den Namen jedes Fluggastes und Details zum Flug sowie weitere Einzelheiten, etwa zu Mitreisenden oder Essenswünschen, an das Bundeskriminalamt weiterzugeben.

Für die Fluggesellschaften ergibt deshalb auch das Fluggastdatengesetz die rechtliche Verpflichtung, die eine entsprechende Datenverarbeitung nach Artikel 6 Absatz 1 Buchstabe c rechtfertigt. Auf eine Einwilligung des Fluggastes kommt es aus diesem Grund auch nicht an.

Weitere Regeln zum Datenschutz und Drittstaaten

Die Verordnung (EU) Nr. 2016/679 auferlegt den für die Verarbeitung personenbezogener Daten Verantwortlichen und weiteren Beteiligten eine ganze Reihe weiterer Aufgaben und Pflichten. Den meisten Menschen bekannt ist beispielsweise die Notwendigkeit, bestimmte Datenschutzinformationen zur Verfügung zu stellen (Artikel 13 und 14 DS-GVO).

Besondere Anforderungen stellt die Verordnung (EU) Nr. 2016/679 dabei auch für die Übermittlung personenbezogener Daten an Stellen in Staaten außerhalb der Europäischen Union (sogenannte "Drittländer") oder an internationale Organisationen. Die Datenübermittlung darf in diesem Fall nur bei Einhaltung der dafür vorgesehenen Mechanismen erfolgen.

Eine Möglichkeit ist der Datentransfer auf der Grundlage eines Angemessenheitsbeschlusses der EU-Kommission, mit der diese ausdrückt, dass im Drittland ein ausreichendes Niveau des Datenschutzes besteht (Artikel 45 DS-GVO). Aktuell ist deshalb die Datenübermittlung zum Beispiel in die Schweiz grundsätzlich kein Problem. Es gibt auch noch eine Anzahl weiterer Staaten, für die bereits ein Angemessenheitsbeschluss vorliegt.

Andere Möglichkeiten sind das Vorliegen geeigneter Garantien, zu denen insbesondere die von der Kommission erlassenen Standardvertragsklauseln gehören (Artikel 46 DS-GVO). Das bedeutet, dass der Verantwortliche mit der Stelle im Drittstaat, an die Daten übermittelt werden, einen entsprechenden Vertrag schließen muss. Für Fluggesellschaften kann das eine sehr hilfreiche Lösung sein, beispielsweise wenn sie Dienstleister vor Ort in Drittstaaten einsetzen müssen. Allerdings müssen insbesondere für Flüge in die USA noch ein paar Sonderregeln ("Privacy Shield") beachtet werden.

In vielen Konstellationen aber fehlt es an den geeigneten Garantien im Sinne von Artikel 46 der Verordnung (EU) Nr. 2016/679, auch weil eine Vertragslösung für die Airlines bei weitem nicht für alle erforderlichen Datentransfers umsetzbar ist. Dann bleibt jedoch immer noch die Möglichkeit, sich auf die "Ausnahmen für bestimmte Fälle" nach Artikel 47 der Verordnung (EU) Nr. 2016/679 zu berufen. Spätestens an dieser Stelle jedoch wird die Fluggesellschaft spezialisierte Beratung für ihre Zwecke benötigen. Beispielsweise muss aufmerksam durchdacht werden, wie damit umzugehen ist, wenn ein Unternehmen einen Flug in einen Drittstaat für seine Mitarbeiterin bucht, und dann die Weitergabe der Fluggastdaten von den Drittstaatsbehörden zwingend gefordert wird. Die Ausnahmen nach Artikel 47 passen dazu auf den ersten Blick nur schlecht.

So gibt es gerade für Fluggesellschaften eine ganze Reihe von Sachverhalten, die häufig vorkommen, sich aber keineswegs einfach so nach Artikel 47 behandeln lassen, sondern für eine rechtmäßige Datenverarbeitung geeignete Arbeitsanweisungen und Dienstvorschriften für die Airline-Mitarbeiter erfordern, damit die Anforderungen auch wirklich nachweisbar eingehalten sind.

Über die Autorin

Regelmäßig beschäftigt sich Luftrechtsexpertin Nina Naske auf airliners.de in ihrer Kolumne mit aktuellen Entwicklungen im Luftrecht. Im Basiswissen Luftrecht erklärt sie juristische Grundlagen.

Nina NaskeMit langjähriger Branchenerfahrung und Expertenwissen im Luftrecht betreuen und beraten Naske Rechtsanwälte die Unternehmen der Luftfahrt. Die Kanzlei unterstützt die Rechtsabteilung und ist Ansprechpartner für Geschäftsleitung, Safety Manager, Compliance Officer, Luftsicherheitsbeauftragte und andere Fachbereiche.

Von: Nina Naske für airliners.de Jetzt Gastautor werden

Lesen Sie jetzt

So muss sich Fliegen früher angefühlt haben

Die Corona-Krise hat den Flugverkehr weitgehend zum Erliegen gebracht. Wer im arg ausgedünnten europäischen Streckennetz unterwegs ist, erlebt bizarre Situationen. Eine Reportage über die neue Normalität des Fliegens.

Als die Welt bis 2020 noch ein Dorf war

Gastbeitrag Corona verändert die Weltwirtschaft grundlegend. Wird man in zehn Jahren feststellen, dass der Luftverkehr, wie wir ihn bislang kennen, nicht Teil der Lösung, sondern Teil des Problems war? Eine Rückwärts-Prognose der Frankfurt University of Applied Sciences.

Lesen Sie mehr über

Rahmenbedingungen Recht Fluggesellschaften Basiswissen Luftrecht Gastbeitrag Flughäfen