Zuletzt aktualisiert am 7. April 2026

Nach einer Entscheidung des Europäischen Gerichtshofs (EuGH) geht die bisherige Fluggastüberwachung des Bundeskriminalamtes (BKA) zu weit. Eine anlasslose Speicherung wie sie von August 2018 bis April 2022 stattfand, ist demnach unzulässig.

Erfahren Sie hier die Details.

Bisheriges Vorgehen des BKA

Im Zeitraum von August 2018 bis April 2022 hat das BKA laut eigener Aussage im Rahmen der Fluggastüberwachung Datensätze von 145.821.880 Fluggästen gespeichert und ausgewertet. Etwa 61% dieser Datensätze wurden anlasslos erhoben und gespeichert.

Gestützt ist dieses Vorgehen auf eine EU-Richtlinie zu den sogenannten Passenger Name Records (PNR). Diese Richtlinie dient dem Kampf gegen Terror und schwere Kriminalität. Die deutschen Polizeibehörden haben die Datensätze aller Flugpassagiere dazu in ein Abgleichsystem eingespeist. Hier findet zum Beispiel ein Abgleich der Fluggastdaten mit polizeilichen Datenbanken statt. Dies dient beispielsweise der Identifizierung flüchtiger Straftäter. Findet das Abgleichsystem einen Treffer, schließt sich laut BKA anschließend noch eine händische Überprüfung an.

Bisher wurden diese Daten unterschiedslos für alle Flugpassagiere fünf Jahre lang gespeichert. Nach sechs Monaten fand allerdings eine „Depersonalisierung“ statt, die aber auf richterlichen Beschluss hin umkehrbar war. Der Fall einer solchen Umkehr soll laut BKA in den vergangenen Jahren in 670 Fällen eingetreten sein.

Entscheidung des EuGH

Der EuGH stellte in einer Entscheidung (Rechtssache C-817/19) fest, dass die Verarbeitung von Fluggastdaten in der EU auf das Nötigste beschränkt werden muss.

Auf der einen Seite sieht die europäische PNR-Richtlinie zwar die systematische Verarbeitung von Fluggastdaten bei der Überschreitung einer EU-Außengrenze vor. Dabei sind Daten wie Anschrift, Gepäckangaben, Telefonnummer und Namen von Mitreisenden betroffen.

Auf der anderen Seite stellt der EuGH nun klar, dass die Richtlinie eng auszulegen ist. Die Übermittlung, Verarbeitung und Speicherung von Fluggastdaten zur Bekämpfung von Terror und schwerer Kriminalität ist demnach auf das absolut Notwendigste zu beschränken. Der EuGH führt weiter aus, dass nur die im Anhang der PNR-Richtlinie aufgeführten Informationen erfasst werden dürfen. Zudem müsse bei den erfassten Daten immer ein objektiver Zusammenhang zwischen Terror beziehungsweise schwerer Kriminalität und der Beförderung von Fluggästen bestehen. Eine Ausdehnung auf alle Flüge sei dann nur zulässig, soweit ein Land mit terroristischer Bedrohung konfrontiert ist.

Die PNR-Richtlinie dürfe gerade nicht zu anderen Zwecken wie der Verbesserung der Grenzkontrolle oder dem Kampf gegen illegale Einwanderung missbraucht werden, betont der EuGH.

Neben der Menge an erfassten Daten fordert der EuGH auch eine Reduzierung der Speicherdauer.

Reaktionen auf die EuGH-Entscheidung

Das BKA äußerte, dass es die neuen Einschränkungen für „nicht förderlich“ für eine effektive Strafverfolgung und die Gewährleistung von Sicherheit halte.

Eine entsprechende Anpassung des deutschen Fluggastdatengesetzes steht noch aus. Bundesinnenministerin Nancy Faeser gab an, die Entscheidung erst noch auszuwerten, bevor sie eine entsprechende Änderung anstoße.

Die PNR-Richtlinie im Detail

Die EU-Richtlinie 2016/681, besser bekannt als PNR-Richtlinie (Passenger Name Record), wurde im April 2016 verabschiedet und bis Mai 2018 von den Mitgliedstaaten umgesetzt. Ihr erklärtes Ziel ist die Bekämpfung von Terrorismus und schwerer Kriminalität durch die systematische Auswertung von Fluggastdaten.

Die Richtlinie sieht vor, dass Fluggesellschaften bestimmte Passagierdaten an die zuständigen nationalen Behörden übermitteln. Zu diesen Daten gehören unter anderem der vollständige Name, das Geburtsdatum, die Staatsangehörigkeit, die Reiseroute, der Buchungscode, die Gepäckangaben, die Sitzplatznummer sowie die Zahlungsinformationen. Insgesamt umfasst der Datenkatalog 19 verschiedene Datenkategorien.

In Deutschland wurde die Richtlinie durch das Fluggastdatengesetz (FlugDaG) umgesetzt. Das BKA wurde als nationale Fluggastdatenzentralstelle eingerichtet und ist für die Entgegennahme, Speicherung und Auswertung der Daten verantwortlich.

Grundrechtliche Bedenken und Verhältnismäßigkeit

Die massenhafte Speicherung von Fluggastdaten wirft erhebliche grundrechtliche Bedenken auf. Das Recht auf informationelle Selbstbestimmung schützt den Einzelnen vor der unkontrollierten Erhebung, Speicherung und Verwendung seiner personenbezogenen Daten.

Der EuGH hat in seiner Entscheidung besonders auf den Grundsatz der Verhältnismäßigkeit abgestellt. Die anlasslose Speicherung der Daten aller Fluggäste über einen Zeitraum von fünf Jahren stellt einen erheblichen Eingriff in die Grundrechte dar. Dieser Eingriff ist nur dann gerechtfertigt, wenn er zur Erreichung des verfolgten Ziels geeignet, erforderlich und angemessen ist.

Die Richter stellten fest, dass eine pauschale Erhebung und Speicherung der Daten aller Fluggäste nicht dem Grundsatz der Verhältnismäßigkeit entspricht. Vielmehr muss ein konkreter Bezug zwischen den erhobenen Daten und der Bekämpfung von Terrorismus oder schwerer Kriminalität bestehen.

Auswirkungen auf den Datenschutz im Unternehmen

Die Entscheidung des EuGH hat auch Auswirkungen auf den unternehmerischen Datenschutz. Fluggesellschaften sind verpflichtet, die Passagierdaten an die nationalen Behörden zu übermitteln und dabei sicherzustellen, dass die Übermittlung im Einklang mit der DSGVO erfolgt.

Für Unternehmen, deren Mitarbeiter häufig geschäftlich fliegen, ist die Entscheidung ebenfalls relevant. Die Daten der Geschäftsreisenden werden vom BKA gespeichert und ausgewertet. Unternehmen sollten ihre Mitarbeiter daher über die Fluggastdatenverarbeitung informieren und diese in ihre Verarbeitungsverzeichnisse aufnehmen.

Die Entscheidung zeigt einmal mehr, dass staatliche Überwachungsmaßnahmen nicht grenzenlos sind. Der EuGH setzt damit wichtige Leitplanken für den Schutz personenbezogener Daten.

Vergleich mit der Vorratsdatenspeicherung

Die Fluggastdatenüberwachung reiht sich in eine Serie von EuGH-Entscheidungen zur anlasslosen Massenüberwachung ein. Bereits 2014 hatte der EuGH die EU-Richtlinie zur Vorratsdatenspeicherung für ungültig erklärt. Auch dort wurde die anlasslose, massenhafte Speicherung von Kommunikationsdaten als unverhältnismäßiger Eingriff bewertet.

Die Parallelen zwischen beiden Entscheidungen sind offensichtlich. In beiden Fällen ging es um die Frage, ob der Staat das Recht hat, Daten aller Bürger ohne konkreten Anlass zu sammeln und zu speichern. Der EuGH hat in beiden Fällen klar gemacht, dass solche Maßnahmen nur unter strengen Voraussetzungen zulässig sind.

Für die Praxis bedeutet dies, dass auch künftige Überwachungsmaßnahmen streng am Grundsatz der Verhältnismäßigkeit gemessen werden. Die Entscheidung sendet ein wichtiges Signal an die Gesetzgeber der Mitgliedstaaten: Sicherheit darf nicht auf Kosten der Grundrechte gehen.

Auswirkungen auf das deutsche Fluggastdatengesetz

Die Entscheidung des EuGH erfordert eine Anpassung des deutschen Fluggastdatengesetzes (FlugDaG). Das bisherige Gesetz erlaubte die anlasslose Speicherung der Daten aller Fluggäste über einen Zeitraum von fünf Jahren, was nach der EuGH-Entscheidung nicht mehr zulässig ist. Der Gesetzgeber muss nun Kriterien definieren, unter welchen Voraussetzungen eine Speicherung zulässig ist und wie lange die Daten aufbewahrt werden dürfen.

Die Umsetzung der EuGH-Vorgaben stellt den Gesetzgeber vor erhebliche Herausforderungen. Einerseits muss ein effektiver Schutz vor Terrorismus und schwerer Kriminalität gewährleistet bleiben, andererseits dürfen die Grundrechte der Fluggäste nicht unverhältnismäßig eingeschränkt werden. Eine mögliche Lösung wäre die Einführung risikobezogener Kriterien, die eine gezielte Auswertung bestimmter Flugrouten oder Reisemuster ermöglichen, ohne alle Passagiere gleichermaßen zu erfassen.

Bis zur Anpassung des Fluggastdatengesetzes herrscht eine gewisse Rechtsunsicherheit. Das BKA hat angekündigt, die Vorgaben des EuGH bereits vor der gesetzlichen Umsetzung zu beachten. Die Speicherdauer wurde vorsorglich reduziert und die Kriterien für die Datenauswertung überprüft. Dennoch bleibt abzuwarten, wie die konkrete gesetzliche Umsetzung aussehen wird.

Betroffenenrechte und Rechtsschutzmöglichkeiten

Die EuGH-Entscheidung stärkt die Rechte der Fluggäste erheblich. Betroffene haben nach Art. 15 DSGVO das Recht auf Auskunft über die zu ihrer Person gespeicherten Fluggastdaten. Sie können beim BKA eine Anfrage stellen und erhalten Auskunft darüber, ob und welche Daten gespeichert sind, zu welchem Zweck sie verarbeitet werden und wie lange sie aufbewahrt werden.

Außerdem haben Betroffene nach Art. 17 DSGVO das Recht auf Löschung, wenn die Daten unrechtmäßig verarbeitet wurden oder für den ursprünglichen Zweck nicht mehr erforderlich sind. Angesichts der EuGH-Entscheidung könnten zahlreiche der bislang gespeicherten Datensätze als unrechtmäßig erhoben gelten, was einen Löschungsanspruch begründen würde.

Bei Verstößen gegen die Fluggastdatenverarbeitung können Betroffene sich an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) wenden. Dieser kann als Aufsichtsbehörde gegenüber dem BKA tätig werden und die Einhaltung der datenschutzrechtlichen Vorgaben durchsetzen.

Internationale Perspektive: PNR-Systeme weltweit

Die EU ist nicht die einzige Region, die Fluggastdaten systematisch erhebt und auswertet. Die USA betreiben mit dem Automated Targeting System (ATS) seit den Terroranschlägen vom 11. September 2001 eines der umfangreichsten Fluggastüberwachungssysteme weltweit. Australien, Kanada und das Vereinigte Königreich verfügen über ähnliche Systeme. Die internationale Zusammenarbeit bei der Auswertung von Fluggastdaten nimmt stetig zu.

Die Entscheidung des EuGH könnte auch auf internationaler Ebene Auswirkungen haben. Andere Länder und Regionen könnten die strengen europäischen Maßstäbe als Vorbild für die eigene Gesetzgebung heranziehen. Gleichzeitig besteht die Gefahr, dass die EU durch die Einschränkung der Fluggastdatenauswertung bei der internationalen Terrorismusbekämpfung an Einfluss verliert.

Für Vielreisende und international tätige Unternehmen bedeutet die unterschiedliche Handhabung von Fluggastdaten in verschiedenen Ländern eine komplexe datenschutzrechtliche Landschaft. Während die EU die Datenverarbeitung streng begrenzt, erheben andere Länder deutlich mehr Daten und speichern diese länger. Unternehmen sollten ihre Mitarbeiter über die jeweiligen Regelungen in den Zielländern informieren und diese Informationen in ihre Reiserichtlinien aufnehmen. Die Zusammenarbeit mit einem erfahrenen Datenschutzbeauftragten ist hierbei von großem Vorteil.

Die EuGH-Entscheidung zur Fluggastüberwachung ist ein Meilenstein für den europäischen Datenschutz. Sie zeigt, dass auch im Bereich der inneren Sicherheit die Grundrechte gewahrt werden müssen und eine anlasslose Massenüberwachung nicht mit den europäischen Werten vereinbar ist. Für die Praxis bedeutet dies, dass Sicherheitsbehörden ihre Überwachungsmaßnahmen zielgenauer gestalten und die Verhältnismäßigkeit laufend im Blick behalten müssen. Die Entscheidung stärkt die Rechte aller Reisenden und setzt wichtige Standards für den Umgang mit personenbezogenen Daten im Sicherheitsbereich.

Die praktischen Konsequenzen der EuGH-Entscheidung werden sich in den kommenden Monaten und Jahren zeigen, wenn der deutsche Gesetzgeber das Fluggastdatengesetz entsprechend anpasst und die neuen Vorgaben in die Praxis umsetzt.

Sie suchen fachkundige Unterstützung im Bereich Datenschutz und Datensicherheit? Unser Team an Experten steht Ihnen mit Rat und Tat zur Seite. Kontaktieren Sie uns!

Datenschutz für Ihr Unternehmen

• DSGVO-Beratung
• Verarbeitungsverzeichnis
• TOM Datenschutz
• Datenschutz-Schulung

Erstberatung anfragen