airliners.de Logo
Luftrechtmanagement ist vielfältig. Kollage: © airliners.de / AirTeamImages.com, Fotolia.de, EASA, LBA

Die Verordnung (EU) Nr. 2016/679 des Europäischen Parlaments und des Rates hat den Unternehmen in Europa einigen Aufwand beschert. Denn mit dieser sogenannte Datenschutzgrundverordnung (DSGVO) sind einige altbekannte Grundzüge neu sortiert und zudem die Aufmerksamkeit der Öffentlichkeit auf den Datenschutz gerichtet worden.

Wie alle Verordnungen der Europäischen Union ist auch die Datenschutzgrundverordnung unmittelbar in jedem Mitgliedstaat anwendbar. In allen EU-Mitgliedstaaten gelten deshalb dieselben Datenschutzvorschriften. Ausnahmen gibt es nur, soweit die DS-GVO dies zulässt.

In der Luftfahrt stellen sich mit Blick auf die Datenschutzvorschriften besondere Herausforderungen, denn vom Urlaubsflug bis zur Geschäftsreise sind die Flugziele längst nicht immer nur in der Europäischen Union zu finden. Auch der Datentransfer an Unternehmen und Behörden außerhalb der Europäischen Union gehört deshalb für die Luftfahrt automatisch dazu. Dazu kommt noch, dass das Interesse staatlicher Stellen an den Passagierdaten besonders groß ist, meist begründet mit Belangen der nationalen Sicherheit. Grundwissen zum Datenschutz gehört deshalb auch in der Luftfahrt zwingend dazu.

Worum geht es in der DS-GVO?

Die Verordnung (EU) Nr. 2016/679 enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten (Artikel 1 Absatz 1 DS-GVO). Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Artikel 4 Nummer 1 DS-GVO).

Angebote und Dienstleistungen aus dem airliners.de-Firmenfinder
Aviation Staff Management
Aviation Staff Management AviationPower Group - ABSOLUT NEUTRAL, ABSOLUT LUFTFAHRTERFAHREN. Trotz der Zugehörigkeit zur AviationPowerGroup agiert die AviationStaffManagement GmbH 100% neutral, wenn... Mehr Informationen
Internationale Touristikassistenz (staatlich gepr.)
Internationale Touristikassistenz (staatlich gepr.) Schule für Touristik Weigand GmbH & Co. KG - Die 2-jährige Ausbildung „Internationale Touristikassistenz“ mit staatlich anerkanntem Abschluss vermittelt profunde Fachkenntnisse und vertieftes Wis... Mehr Informationen
Pilotenausbildung und gleichzeitig studieren
Pilotenausbildung und gleichzeitig studieren Hochschule Worms - Der Bachelor-Studiengang a Aviation Management and Piloting, den der Fachbereich Touristik/Verkehrswesen der Hochschule Worms im Praxisverbund mit der... Mehr Informationen
FCG OPS - Dispatch, Trip Support and Ground Handling
FCG OPS - Dispatch, Trip Support and Ground Handling Flight Consulting Group - FCG OPS ist eines der größten europäischen Betriebskontrollzentren, das internationale Reiseunterstützung und Abfertigungsdienste sowie Bodenabfertigu... Mehr Informationen
Bachelor - Aviation Management
Bachelor - Aviation Management IU International University of Applied Sciences - Im Rahmen Ihres Studiums zum Bachelor in Aviation Management lernen Sie die Besonderheiten der Luftverkehrsbranche mit ihren globalen Vernetzungen, Ma... Mehr Informationen
TRAINICO Groundhandling Services – Lehrgänge zur Fluggastabfertigung
TRAINICO Groundhandling Services – Lehrgänge zur Fluggastabfertigung TRAINICO GmbH - TRAINICO bietet neben einer großen Auswahl von Fachkursen in der Flugzeug-, Fluggast- und Gepäckabfertigung oder Luftverkehrsmanagement auch Schulunge... Mehr Informationen
ADV Gerätebörse
ADV Gerätebörse ADV Arbeitsgemeinschaft Deutscher Verkehrsflughäfen e.V. - Vom Friction Tester über Schlepper, Winterdienstfahrzeuge, Treppen, Röntgenstrecken bis zum Flugfeldlöschfahrzeug. In der ADV-Gerätebörse finden Sie g... Mehr Informationen
FBO & Ground Handling Services for Business Jets
FBO & Ground Handling Services for Business Jets GAS German Aviation Service GmbH - Ground Handling & Operations Coordinating all ground handling services such as water service, lavatory, fuel truck or GPU for your aircraft on time is... Mehr Informationen

Damit sagt die Datenschutz-Grundverordnung klar, dass es um Informationen über Menschen geht ("personenbezogene Daten") und darum, Verhaltensvorgaben zum Umgang mit solchen Daten zu machen.

Dabei gilt die Verordnung (EU) Nr. 2016/679 für die ganz, teilweise oder auch gar nicht automatisierte Verarbeitung von Daten, die in einem Dateisystem gespeichert sind oder werden sollen (Artikel 2 Absatz 1 DS-GVO). Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten (Artikel 4 Nummer 2 DS-GVO).

In jedem Unternehmen finden deshalb unvermeidbar viele unterschiedliche Arten der Datenverarbeitung statt. Dabei kann es um die Daten der Mitarbeiter von Kunden oder Lieferanten gehen, oder auch um die Daten der eigenen Mitarbeiter. Beispielsweise müssen Luftfahrtunternehmen sichergehen, dass die Pilotinnen und Piloten auch über den nach dem Luftsicherheitsrecht erforderlichen "background check" verfügen (Verordnung (EG) Nr. 300/2008 mit Verordnung (EU) Nr. 2015/1998). In Deutschland ist das die behördliche Zuverlässigkeitsüberprüfung nach Paragraph 7 des Luftsicherheitsgesetzes. Wenn ein Luftfahrtunternehmen sich den "ZÜP-Bescheid" vorlegen lässt und dafür eine Kopie für die Personalakte macht, ist das zwangsläufig die Verarbeitung personenbezogener Daten.

Grundregeln zum Umgang mit personenbezogenen Daten

Die Verordnung (EU) Nr. 2016/679 stellt verbindliche Grundregeln für die Verarbeitung personenbezogener Daten auf und legt fest, dass der Verantwortliche für die Einhaltung dieser Grundregeln verantwortlich ist und ihre Einhaltung nachweisen können muss (Artikel 5 Absatz 1 und Absatz 2 DS-GVO). Insbesondere müssen die Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Artikel 5 Absatz 1 Buchstabe a DS-GVO).

Auch dürfen die Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden ("Zweckbindung", Artikel 5 Absatz 1 Buchstabe b DS-GVO). Daneben gelten auch die Grundsätze der Datenminimierung, der Richtigkeit, der Speicherbegrenzung und der Integrität und Vertraulichkeit der personenbezogenen Daten (Artikel 5 Absatz 1 Buchstabe c bis f DS-GVO).

Angesichts der Unbestimmtheit dieser Grundregeln ist es allerdings nicht erstaunlich, dass die Vorstellungen dazu, was genau danach erlaubt ist, mitunter auseinandergehen. Manche erwarten, dass die normativen Anforderungen über die Zeit zu veränderten tatsächlichen Verhältnissen führen werden. So stützen Datenschützer beispielsweise in jüngerer Zeit immer wieder auch Vorwürfe gegen Social Media-Unternehmen auf die Datenschutzgrundverordnung.

Andere Stimmen verweisen hingegen nüchtern auf die Tatsachen und sehen in der Verordnung (EU) Nr. 2016/679 weniger Regeln zum Schutz von Menschen als vielmehr bürokratische Regulierung, die den großen Internetplattformen erhebliche Wettbewerbsvorteile gegenüber Startups und Newcomern bescheren.

Rechtmäßigkeit der Datenverarbeitung

Die Grundregeln zur Datenverarbeitung werden dabei besonders durch die Anforderungen an die Rechtmäßigkeit der Verarbeitung konkretisiert. Denn nach der Verordnung (EU) Nr. 2016/679 ist die Verarbeitung nur rechtmäßig, wenn sich der Verantwortliche auf einen der in der Datenschutzgrundverordnung geregelten Rechtfertigungsgründe berufen kann (Artikel 6 DS-GVO).

Vereinfacht gesagt ist die Verarbeitung personenbezogener Daten danach nur rechtmäßig, wenn

  • die betroffene Person ihre Einwilligung gegeben hat, oder
  • die Verarbeitung zur Vertragserfüllung oder für vorvertragliche Maßnahmen erforderlich ist,
  • die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen erforderlich ist,
  • die Verarbeitung zur Wahrung lebenswichtiger Interessen der betroffenen Person oder anderer natürlicher Personen erforderlich ist,
  • die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist, oder
  • die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist.

Die Einzelheiten dieser Rechtfertigungsgründe können juristisch durchaus kompliziert werden. Besonders schwierig ist die Lage deshalb, weil die Anforderungen, die zwischenzeitlich an das Vorliegen einer Einwilligung gestellt werden, erheblich gestiegen sind.

Für die Unternehmen der Luftfahrt ist jedoch die Datenverarbeitung vielfach unvermeidbar, weil sie gesetzlich gezwungen sind, bestimmte Informationen über ihre Mitarbeiter oder andere Menschen einzuholen und zu verarbeiten. Dazu gehört unter anderem auch die Pflicht, Fluggastdaten an die nationalen Behörden weiterzugeben.

In der Europäischen Union etwa schreibt die Richtlinie (EU) Nr. 2016/681 den Mitgliedstaaten vor, entsprechende Maßnahmen zu treffen. Die meisten EU-Mitgliedstaaten, darunter auch Deutschland, sind dem zwischenzeitlich nachgekommen. Entsprechend zwingt beispielsweise das deutsche Fluggastdatengesetz die Airlines dazu, den Namen jedes Fluggastes und Details zum Flug sowie weitere Einzelheiten, etwa zu Mitreisenden oder Essenswünschen, an das Bundeskriminalamt weiterzugeben.

Für die Fluggesellschaften ergibt deshalb auch das Fluggastdatengesetz die rechtliche Verpflichtung, die eine entsprechende Datenverarbeitung nach Artikel 6 Absatz 1 Buchstabe c rechtfertigt. Auf eine Einwilligung des Fluggastes kommt es aus diesem Grund auch nicht an.

Weitere Regeln zum Datenschutz und Drittstaaten

Die Verordnung (EU) Nr. 2016/679 auferlegt den für die Verarbeitung personenbezogener Daten Verantwortlichen und weiteren Beteiligten eine ganze Reihe weiterer Aufgaben und Pflichten. Den meisten Menschen bekannt ist beispielsweise die Notwendigkeit, bestimmte Datenschutzinformationen zur Verfügung zu stellen (Artikel 13 und 14 DS-GVO).

Besondere Anforderungen stellt die Verordnung (EU) Nr. 2016/679 dabei auch für die Übermittlung personenbezogener Daten an Stellen in Staaten außerhalb der Europäischen Union (sogenannte "Drittländer") oder an internationale Organisationen. Die Datenübermittlung darf in diesem Fall nur bei Einhaltung der dafür vorgesehenen Mechanismen erfolgen.

Eine Möglichkeit ist der Datentransfer auf der Grundlage eines Angemessenheitsbeschlusses der EU-Kommission, mit der diese ausdrückt, dass im Drittland ein ausreichendes Niveau des Datenschutzes besteht (Artikel 45 DS-GVO). Aktuell ist deshalb die Datenübermittlung zum Beispiel in die Schweiz grundsätzlich kein Problem. Es gibt auch noch eine Anzahl weiterer Staaten, für die bereits ein Angemessenheitsbeschluss vorliegt.

Andere Möglichkeiten sind das Vorliegen geeigneter Garantien, zu denen insbesondere die von der Kommission erlassenen Standardvertragsklauseln gehören (Artikel 46 DS-GVO). Das bedeutet, dass der Verantwortliche mit der Stelle im Drittstaat, an die Daten übermittelt werden, einen entsprechenden Vertrag schließen muss. Für Fluggesellschaften kann das eine sehr hilfreiche Lösung sein, beispielsweise wenn sie Dienstleister vor Ort in Drittstaaten einsetzen müssen. Allerdings müssen insbesondere für Flüge in die USA noch ein paar Sonderregeln ("Privacy Shield") beachtet werden.

In vielen Konstellationen aber fehlt es an den geeigneten Garantien im Sinne von Artikel 46 der Verordnung (EU) Nr. 2016/679, auch weil eine Vertragslösung für die Airlines bei weitem nicht für alle erforderlichen Datentransfers umsetzbar ist. Dann bleibt jedoch immer noch die Möglichkeit, sich auf die "Ausnahmen für bestimmte Fälle" nach Artikel 47 der Verordnung (EU) Nr. 2016/679 zu berufen. Spätestens an dieser Stelle jedoch wird die Fluggesellschaft spezialisierte Beratung für ihre Zwecke benötigen. Beispielsweise muss aufmerksam durchdacht werden, wie damit umzugehen ist, wenn ein Unternehmen einen Flug in einen Drittstaat für seine Mitarbeiterin bucht, und dann die Weitergabe der Fluggastdaten von den Drittstaatsbehörden zwingend gefordert wird. Die Ausnahmen nach Artikel 47 passen dazu auf den ersten Blick nur schlecht.

So gibt es gerade für Fluggesellschaften eine ganze Reihe von Sachverhalten, die häufig vorkommen, sich aber keineswegs einfach so nach Artikel 47 behandeln lassen, sondern für eine rechtmäßige Datenverarbeitung geeignete Arbeitsanweisungen und Dienstvorschriften für die Airline-Mitarbeiter erfordern, damit die Anforderungen auch wirklich nachweisbar eingehalten sind.

Über die Autorin

Regelmäßig beschäftigt sich Luftrechtsexpertin Nina Naske auf airliners.de in ihrer Kolumne mit aktuellen Entwicklungen im Luftrecht. Im Basiswissen Luftrecht erklärt sie juristische Grundlagen.

Nina NaskeMit langjähriger Branchenerfahrung und Expertenwissen im Luftrecht betreuen und beraten Naske Rechtsanwälte die Unternehmen der Luftfahrt. Die Kanzlei unterstützt die Rechtsabteilung und ist Ansprechpartner für Geschäftsleitung, Safety Manager, Compliance Officer, Luftsicherheitsbeauftragte und andere Fachbereiche.

Interessante Einträge aus dem airliners.de-Firmenfinder

SFT Schule für Tourismus Berlin GmbH

Ihre Reise zu neuen beruflichen Zielen!

Zum Firmenprofil

Flight Consulting Group

Dispatch, Trip Support and Ground Handling

Zum Firmenprofil

Flughafen Memmingen GmbH

Bayerns drittgrößter Verkehrsflughafen

Zum Firmenprofil

Schule für Touristik Weigand GmbH & Co. KG

Schulung für Luftfahrt und Tourismus

Zum Firmenprofil

IU International University of Applied Sciences

WIR SIND DIE IU!

Zum Firmenprofil

ch-aviation GmbH

Knowing is better than wondering.

Zum Firmenprofil

DEKRA Akademie GmbH Aviation Services

Weiterbildung? Mit Sicherheit.

Zum Firmenprofil

Wildau Institute of Technology e. V. (WIT)

Berufsbegleitender Aviation-Master und Weiterbildungsformate

Zum Firmenprofil

TRAINICO GmbH

Kompetenz & Leidenschaft für die Luftfahrt

Zum Firmenprofil