airliners.de Logo
Luftrechtmanagement ist vielfältig. Kollage: © airliners.de / AirTeamImages.com, Fotolia.de, EASA, LBA

Die Verordnung (EU) Nr. 2016/679 des Europäischen Parlaments und des Rates hat den Unternehmen in Europa einigen Aufwand beschert. Denn mit dieser sogenannte Datenschutzgrundverordnung (DSGVO) sind einige altbekannte Grundzüge neu sortiert und zudem die Aufmerksamkeit der Öffentlichkeit auf den Datenschutz gerichtet worden.

Wie alle Verordnungen der Europäischen Union ist auch die Datenschutzgrundverordnung unmittelbar in jedem Mitgliedstaat anwendbar. In allen EU-Mitgliedstaaten gelten deshalb dieselben Datenschutzvorschriften. Ausnahmen gibt es nur, soweit die DS-GVO dies zulässt.

In der Luftfahrt stellen sich mit Blick auf die Datenschutzvorschriften besondere Herausforderungen, denn vom Urlaubsflug bis zur Geschäftsreise sind die Flugziele längst nicht immer nur in der Europäischen Union zu finden. Auch der Datentransfer an Unternehmen und Behörden außerhalb der Europäischen Union gehört deshalb für die Luftfahrt automatisch dazu. Dazu kommt noch, dass das Interesse staatlicher Stellen an den Passagierdaten besonders groß ist, meist begründet mit Belangen der nationalen Sicherheit. Grundwissen zum Datenschutz gehört deshalb auch in der Luftfahrt zwingend dazu.

Worum geht es in der DS-GVO?

Die Verordnung (EU) Nr. 2016/679 enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten (Artikel 1 Absatz 1 DS-GVO). Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Artikel 4 Nummer 1 DS-GVO).

Damit sagt die Datenschutz-Grundverordnung klar, dass es um Informationen über Menschen geht ("personenbezogene Daten") und darum, Verhaltensvorgaben zum Umgang mit solchen Daten zu machen.

Dabei gilt die Verordnung (EU) Nr. 2016/679 für die ganz, teilweise oder auch gar nicht automatisierte Verarbeitung von Daten, die in einem Dateisystem gespeichert sind oder werden sollen (Artikel 2 Absatz 1 DS-GVO). Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten (Artikel 4 Nummer 2 DS-GVO).

In jedem Unternehmen finden deshalb unvermeidbar viele unterschiedliche Arten der Datenverarbeitung statt. Dabei kann es um die Daten der Mitarbeiter von Kunden oder Lieferanten gehen, oder auch um die Daten der eigenen Mitarbeiter. Beispielsweise müssen Luftfahrtunternehmen sichergehen, dass die Pilotinnen und Piloten auch über den nach dem Luftsicherheitsrecht erforderlichen "background check" verfügen (Verordnung (EG) Nr. 300/2008 mit Verordnung (EU) Nr. 2015/1998). In Deutschland ist das die behördliche Zuverlässigkeitsüberprüfung nach Paragraph 7 des Luftsicherheitsgesetzes. Wenn ein Luftfahrtunternehmen sich den "ZÜP-Bescheid" vorlegen lässt und dafür eine Kopie für die Personalakte macht, ist das zwangsläufig die Verarbeitung personenbezogener Daten.

Grundregeln zum Umgang mit personenbezogenen Daten

Die Verordnung (EU) Nr. 2016/679 stellt verbindliche Grundregeln für die Verarbeitung personenbezogener Daten auf und legt fest, dass der Verantwortliche für die Einhaltung dieser Grundregeln verantwortlich ist und ihre Einhaltung nachweisen können muss (Artikel 5 Absatz 1 und Absatz 2 DS-GVO). Insbesondere müssen die Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Artikel 5 Absatz 1 Buchstabe a DS-GVO).

Auch dürfen die Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden ("Zweckbindung", Artikel 5 Absatz 1 Buchstabe b DS-GVO). Daneben gelten auch die Grundsätze der Datenminimierung, der Richtigkeit, der Speicherbegrenzung und der Integrität und Vertraulichkeit der personenbezogenen Daten (Artikel 5 Absatz 1 Buchstabe c bis f DS-GVO).

Angesichts der Unbestimmtheit dieser Grundregeln ist es allerdings nicht erstaunlich, dass die Vorstellungen dazu, was genau danach erlaubt ist, mitunter auseinandergehen. Manche erwarten, dass die normativen Anforderungen über die Zeit zu veränderten tatsächlichen Verhältnissen führen werden. So stützen Datenschützer beispielsweise in jüngerer Zeit immer wieder auch Vorwürfe gegen Social Media-Unternehmen auf die Datenschutzgrundverordnung.

Andere Stimmen verweisen hingegen nüchtern auf die Tatsachen und sehen in der Verordnung (EU) Nr. 2016/679 weniger Regeln zum Schutz von Menschen als vielmehr bürokratische Regulierung, die den großen Internetplattformen erhebliche Wettbewerbsvorteile gegenüber Startups und Newcomern bescheren.

Rechtmäßigkeit der Datenverarbeitung

Die Grundregeln zur Datenverarbeitung werden dabei besonders durch die Anforderungen an die Rechtmäßigkeit der Verarbeitung konkretisiert. Denn nach der Verordnung (EU) Nr. 2016/679 ist die Verarbeitung nur rechtmäßig, wenn sich der Verantwortliche auf einen der in der Datenschutzgrundverordnung geregelten Rechtfertigungsgründe berufen kann (Artikel 6 DS-GVO).

Vereinfacht gesagt ist die Verarbeitung personenbezogener Daten danach nur rechtmäßig, wenn

  • die betroffene Person ihre Einwilligung gegeben hat, oder
  • die Verarbeitung zur Vertragserfüllung oder für vorvertragliche Maßnahmen erforderlich ist,
  • die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen erforderlich ist,
  • die Verarbeitung zur Wahrung lebenswichtiger Interessen der betroffenen Person oder anderer natürlicher Personen erforderlich ist,
  • die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist, oder
  • die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist.

Die Einzelheiten dieser Rechtfertigungsgründe können juristisch durchaus kompliziert werden. Besonders schwierig ist die Lage deshalb, weil die Anforderungen, die zwischenzeitlich an das Vorliegen einer Einwilligung gestellt werden, erheblich gestiegen sind.

Für die Unternehmen der Luftfahrt ist jedoch die Datenverarbeitung vielfach unvermeidbar, weil sie gesetzlich gezwungen sind, bestimmte Informationen über ihre Mitarbeiter oder andere Menschen einzuholen und zu verarbeiten. Dazu gehört unter anderem auch die Pflicht, Fluggastdaten an die nationalen Behörden weiterzugeben.

In der Europäischen Union etwa schreibt die Richtlinie (EU) Nr. 2016/681 den Mitgliedstaaten vor, entsprechende Maßnahmen zu treffen. Die meisten EU-Mitgliedstaaten, darunter auch Deutschland, sind dem zwischenzeitlich nachgekommen. Entsprechend zwingt beispielsweise das deutsche Fluggastdatengesetz die Airlines dazu, den Namen jedes Fluggastes und Details zum Flug sowie weitere Einzelheiten, etwa zu Mitreisenden oder Essenswünschen, an das Bundeskriminalamt weiterzugeben.

Für die Fluggesellschaften ergibt deshalb auch das Fluggastdatengesetz die rechtliche Verpflichtung, die eine entsprechende Datenverarbeitung nach Artikel 6 Absatz 1 Buchstabe c rechtfertigt. Auf eine Einwilligung des Fluggastes kommt es aus diesem Grund auch nicht an.

Weitere Regeln zum Datenschutz und Drittstaaten

Die Verordnung (EU) Nr. 2016/679 auferlegt den für die Verarbeitung personenbezogener Daten Verantwortlichen und weiteren Beteiligten eine ganze Reihe weiterer Aufgaben und Pflichten. Den meisten Menschen bekannt ist beispielsweise die Notwendigkeit, bestimmte Datenschutzinformationen zur Verfügung zu stellen (Artikel 13 und 14 DS-GVO).

Besondere Anforderungen stellt die Verordnung (EU) Nr. 2016/679 dabei auch für die Übermittlung personenbezogener Daten an Stellen in Staaten außerhalb der Europäischen Union (sogenannte "Drittländer") oder an internationale Organisationen. Die Datenübermittlung darf in diesem Fall nur bei Einhaltung der dafür vorgesehenen Mechanismen erfolgen.

Eine Möglichkeit ist der Datentransfer auf der Grundlage eines Angemessenheitsbeschlusses der EU-Kommission, mit der diese ausdrückt, dass im Drittland ein ausreichendes Niveau des Datenschutzes besteht (Artikel 45 DS-GVO). Aktuell ist deshalb die Datenübermittlung zum Beispiel in die Schweiz grundsätzlich kein Problem. Es gibt auch noch eine Anzahl weiterer Staaten, für die bereits ein Angemessenheitsbeschluss vorliegt.

Andere Möglichkeiten sind das Vorliegen geeigneter Garantien, zu denen insbesondere die von der Kommission erlassenen Standardvertragsklauseln gehören (Artikel 46 DS-GVO). Das bedeutet, dass der Verantwortliche mit der Stelle im Drittstaat, an die Daten übermittelt werden, einen entsprechenden Vertrag schließen muss. Für Fluggesellschaften kann das eine sehr hilfreiche Lösung sein, beispielsweise wenn sie Dienstleister vor Ort in Drittstaaten einsetzen müssen. Allerdings müssen insbesondere für Flüge in die USA noch ein paar Sonderregeln ("Privacy Shield") beachtet werden.

In vielen Konstellationen aber fehlt es an den geeigneten Garantien im Sinne von Artikel 46 der Verordnung (EU) Nr. 2016/679, auch weil eine Vertragslösung für die Airlines bei weitem nicht für alle erforderlichen Datentransfers umsetzbar ist. Dann bleibt jedoch immer noch die Möglichkeit, sich auf die "Ausnahmen für bestimmte Fälle" nach Artikel 47 der Verordnung (EU) Nr. 2016/679 zu berufen. Spätestens an dieser Stelle jedoch wird die Fluggesellschaft spezialisierte Beratung für ihre Zwecke benötigen. Beispielsweise muss aufmerksam durchdacht werden, wie damit umzugehen ist, wenn ein Unternehmen einen Flug in einen Drittstaat für seine Mitarbeiterin bucht, und dann die Weitergabe der Fluggastdaten von den Drittstaatsbehörden zwingend gefordert wird. Die Ausnahmen nach Artikel 47 passen dazu auf den ersten Blick nur schlecht.

So gibt es gerade für Fluggesellschaften eine ganze Reihe von Sachverhalten, die häufig vorkommen, sich aber keineswegs einfach so nach Artikel 47 behandeln lassen, sondern für eine rechtmäßige Datenverarbeitung geeignete Arbeitsanweisungen und Dienstvorschriften für die Airline-Mitarbeiter erfordern, damit die Anforderungen auch wirklich nachweisbar eingehalten sind.

Über die Autorin

Regelmäßig beschäftigt sich Luftrechtsexpertin Nina Naske auf airliners.de in ihrer Kolumne mit aktuellen Entwicklungen im Luftrecht. Im Basiswissen Luftrecht erklärt sie juristische Grundlagen.

Nina NaskeMit langjähriger Branchenerfahrung und Expertenwissen im Luftrecht betreuen und beraten Naske Rechtsanwälte die Unternehmen der Luftfahrt. Die Kanzlei unterstützt die Rechtsabteilung und ist Ansprechpartner für Geschäftsleitung, Safety Manager, Compliance Officer, Luftsicherheitsbeauftragte und andere Fachbereiche.

Interessante Einträge aus dem airliners.de-Firmenfinder

Lufthansa Technical Training GmbH

Von Experten - Für Experten.

Zum Firmenprofil

AviationPower Group

Für jede Flugroute die passenden Jobs.

Zum Firmenprofil

RBF-Originals.de

Ihr Spezialist für "Remove Before Flight"-Anhänger

Zum Firmenprofil

Hochschule Worms

Wissen, worauf es ankommt!

Zum Firmenprofil

German Airways

Your partner for aviation mobility.

Zum Firmenprofil

ch-aviation GmbH

Knowing is better than wondering.

Zum Firmenprofil

Naske Rechtsanwälte

Spezialisten im Luftrecht

Zum Firmenprofil

Schule für Touristik Weigand GmbH & Co. KG

Schulung für Luftfahrt und Tourismus

Zum Firmenprofil

STI Security Training International GmbH

Wir trainieren Ihre Sicherheit.

Zum Firmenprofil

Angebote und Dienstleistungen aus dem airliners.de-Firmenfinder
B777-200/300 (GE90) General Familiarization Theoretical Lufthansa Technical Training GmbH - This course is in compliance with the ATA Specification 104, Level I and provides a brief overview of the airplane, systems and powerplant as outlined... Mehr Informationen
Ausbilder gesucht - Karriere bei TRAINICO
Ausbilder gesucht - Karriere bei TRAINICO TRAINICO GmbH - Machen Sie Karriere bei TRAINICO! Seit der Gründung im Jahr 1993 qualifiziert die TRAINICO GmbH Menschen erfolgreich in kaufmännischen und technischen... Mehr Informationen
Tourismuskaufmann/frau (für Privat- und Geschäftsreisen) IHK - Umschulung
Tourismuskaufmann/frau (für Privat- und Geschäftsreisen) IHK - Umschulung SFT Schule für Tourismus Berlin GmbH - Die Umschulung richtet sich an alle, die einen neuen Beruf erlernen wollen und in der Tourismusbranche arbeiten möchten. Mehr Informationen
Condor-Anhänger - Remove Before Flight - 3 Stück
Condor-Anhänger - Remove Before Flight - 3 Stück RBF-Originals.de - **Zwei Textilanhänger mit aufgesticktem "Condor"-Logo und "Remove Before Flight" in den Farben Rot/Weiß und Grau/Gelb. Ein Textilanhänger mit beidseit... Mehr Informationen
Jetzt Air Traffic Management studieren
Jetzt Air Traffic Management studieren Hochschule Worms - Der englischsprachige Bachelor-Studiengang Air Traffic Management – dual ist ein ausbildungsintegriertes Studium in Kooperation mit der DFS Deutsche F... Mehr Informationen
GFS German Fuel Service - Jet Fuel and more
GFS German Fuel Service - Jet Fuel and more GAS German Aviation Service GmbH - GFS German Fuel Service is our in-house fuel company and located at Frankfurt Airport (EDDF/FRA). Our fuel experts on site take care of your kerosene... Mehr Informationen
Master of Business Administration (Aviation)
Master of Business Administration (Aviation) The Hong Kong Polytechnic University - The PolyU Master of Business Administration (MBA) programme has been developing General Managers in Hong Kong since 1990. Its structure, content, and... Mehr Informationen
ch-aviation ACMI report
ch-aviation ACMI report ch-aviation GmbH - Get a complete overview of all long-term ACMI deals Find or sell an ACMI aircraft with our extensive ACMI deal database If you have an aircraft you w... Mehr Informationen