Judicialis Rechtsprechung

URTEIL DES GERICHTSHOFES (Große Kammer)

30. Mai 2006

"Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten - Luftverkehr - Beschluss 2004/496/EG - Abkommen zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika - Dem United States Bureau of Customs and Border Protection übermittelte Passenger Name Records - Richtlinie 95/46/EG - Artikel 25 - Drittstaaten - Entscheidung 2004/535/EG - Angemessenheit des Schutzes"

Parteien:

In den verbundenen Rechtssachen C-317/04 und C-318/04

betreffend Nichtigkeitsklagen nach Artikel 230 EG, eingereicht am 27. Juli 2004,

Europäisches Parlament, vertreten durch R. Passos, N. Lorenz, H. Duintjer Tebbens und A. Caiola als Bevollmächtigte, Zustellungsanschrift in Luxemburg,

Kläger,

unterstützt durch

Europäischer Datenschutzbeauftragter, vertreten durch H. Hijmans und V. Perez Asinari als Bevollmächtigte,

Streithelfer,

gegen

Rat der Europäischen Union, vertreten durch M. C. Giorgi Fort und M. Bishop als Bevollmächtigte,

Beklagter in der Rechtssache C-317/04,

unterstützt durch

Kommission der Europäischen Gemeinschaften, vertreten durch P. J. Kuijper, A. van Solinge und C. Docksey als Bevollmächtigte, Zustellungsanschrift in Luxemburg,

Vereinigtes Königreich Großbritannien und Nordirland, vertreten durch M. Bethell, C. White und T. Harris als Bevollmächtigte im Beistand von T. Ward, Barrister, Zustellungsanschrift in Luxemburg,

Streithelfer,

und gegen

Kommission der Europäischen Gemeinschaften, vertreten durch P. J. Kuijper, A. van Solinge, C. Docksey und F. Benyon als Bevollmächtigte, Zustellungsanschrift in Luxemburg,

Beklagte in der Rechtssache C-318/04,

unterstützt durch

Vereinigtes Königreich Großbritannien und Nordirland, vertreten durch M. Bethell, C. White und T. Harris als Bevollmächtigte im Beistand von T. Ward, Barrister, Zustellungsanschrift in Luxemburg,

Streithelfer,

erlässt

DER GERICHTSHOF (Große Kammer)

unter Mitwirkung des Präsidenten V. Skouris, der Kammerpräsidenten P. Jann, C. W. A. Timmermans, A. Rosas und J. Malenovský sowie der Richterin N. Colneric (Berichterstatterin), der Richter S. von Bahr und J. N. Cunha Rodrigues, der Richterin R. Silva de Lapuerta und der Richter G. Arestis, A. Borg Barthet, M. Ilesic und J. Klucka,

Generalanwalt: P. Léger,

Kanzler: M. Ferreira, Hauptverwaltungsrätin,

aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 18. Oktober 2005,

nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 22. November 2005

folgendes

Urteil

Entscheidungsgründe:

1 Mit seiner Klageschrift in der Rechtssache C-317/04 beantragt das Europäische Parlament die Nichtigerklärung des Beschlusses 2004/496/EG des Rates vom 17. Mai 2004 über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des United States Department of Homeland Security (ABl. L 183, S. 83, berichtigt im ABl. 2005, L 255, S. 168).

2 Mit seiner Klageschrift in der Rechtssache C-318/04 beantragt das Parlament die Nichtigerklärung der Entscheidung 2004/535/EG der Kommission vom 14. Mai 2004 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden (ABl. L 235, S. 11, im Folgenden: Angemessenheitsentscheidung).

Rechtlicher Rahmen

3 Artikel 8 der am 4. November 1950 in Rom unterzeichneten Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK) bestimmt:

"1. Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz.

2. Eine Behörde darf in die Ausübung dieses Rechts nur eingreifen, soweit der Eingriff gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist für die nationale oder öffentliche Sicherheit, für das wirtschaftliche Wohl des Landes, zur Aufrechterhaltung der Ordnung, zur Verhütung von Straftaten, zum Schutz der Gesundheit oder der Moral oder zum Schutz der Rechte und Freiheiten anderer."

4 Artikel 95 Absatz 1 Satz 2 EG lautet:

"Der Rat erlässt gemäß dem Verfahren des Artikels 251 und nach Anhörung des Wirtschafts- und Sozialausschusses die Maßnahmen zur Angleichung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten, welche die Errichtung und das Funktionieren des Binnenmarktes zum Gegenstand haben."

5 Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281, S. 31) in der Fassung der Verordnung (EG) Nr. 1882/2003 des Europäischen Parlaments und des Rates vom 29. September 2003 zur Anpassung der Bestimmungen über die Ausschüsse zur Unterstützung der Kommission bei der Ausübung von deren Durchführungsbefugnissen, die in Rechtsakten vorgesehen sind, für die das Verfahren des Artikels 251 des EG-Vertrags gilt, an den Beschluss 1999/468/EG des Rates (ABl. L 284, S. 1) (im Folgenden: Richtlinie) wurde auf der Grundlage von Artikel 100a EG-Vertrag (nach Änderung jetzt Artikel 95 EG) erlassen.

6 Ihre elfte Begründungserwägung lautet: "Die in dieser Richtlinie enthaltenen Grundsätze zum Schutz der Rechte und Freiheiten der Personen, insbesondere der Achtung der Privatsphäre, konkretisieren und erweitern die in dem Übereinkommen des Europarats vom 28. Januar 1981 zum Schutze der Personen bei der automatischen Verarbeitung personenbezogener Daten enthaltenen Grundsätze."

7 In der dreizehnten Begründungserwägung der Richtlinie heißt es:

"Die in den Titeln V und VI des Vertrags über die Europäische Union genannten Tätigkeiten, die die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates oder die Tätigkeiten des Staates im Bereich des Strafrechts betreffen, fallen unbeschadet der Verpflichtungen der Mitgliedstaaten gemäß Artikel 56 Absatz 2 sowie gemäß den Artikeln 57 und 100a des Vertrags zur Gründung der Europäischen Gemeinschaft nicht in den Anwendungsbereich des Gemeinschaftsrechts. ..."

8 Die siebenundfünfzigste Begründungserwägung der Richtlinie bestimmt:

"Bietet ... ein Drittland kein angemessenes Schutzniveau, so ist die Übermittlung personenbezogener Daten in dieses Land zu untersagen."

9 Artikel 2 der Richtlinie sieht vor:

"Im Sinne dieser Richtlinie bezeichnet der Ausdruck

a) 'personenbezogene Daten' alle Informationen über eine bestimmte oder bestimmbare natürliche Person ('betroffene Person'); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;

b) 'Verarbeitung personenbezogener Daten' ('Verarbeitung') jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten;

..."

10 In Artikel 3 der Richtlinie heißt es:

"Anwendungsbereich

(1) Diese Richtlinie gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.

(2) Diese Richtlinie findet keine Anwendung auf die Verarbeitung personenbezogener Daten,

- die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI des Vertrags über die Europäische Union, und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt) und die Tätigkeiten des Staates im strafrechtlichen Bereich;

..."

11 Artikel 6 Absatz 1 der Richtlinie bestimmt:

"Die Mitgliedstaaten sehen vor, dass personenbezogene Daten

...

b) für festgelegte eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden. Die Weiterverarbeitung von Daten zu historischen, statistischen oder wissenschaftlichen Zwecken ist im Allgemeinen nicht als unvereinbar mit den Zwecken der vorausgegangenen Datenerhebung anzusehen, sofern die Mitgliedstaaten geeignete Garantien vorsehen;

c) den Zwecken entsprechen, für die sie erhoben und/oder weiterverarbeitet werden, dafür erheblich sind und nicht darüber hinausgehen;

...

e) nicht länger, als es für die Realisierung der Zwecke, für die sie erhoben oder weiterverarbeitet werden, erforderlich ist, in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen ermöglicht. ..."

12 Artikel 7 der Richtlinie bestimmt:

"Die Mitgliedstaaten sehen vor, dass die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfüllt ist:

...

c) die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt;

...

e) die Verarbeitung ist erforderlich für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt und dem für die Verarbeitung Verantwortlichen oder dem Dritten, dem die Daten übermittelt werden, übertragen wurde;

f) die Verarbeitung ist erforderlich zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Artikel 1 Absatz 1 geschützt sind, überwiegen."

13 Artikel 8 Absatz 5 Unterabsatz 1 der Richtlinie lautet:

"Die Verarbeitung von Daten, die Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln betreffen, darf nur unter behördlicher Aufsicht oder aufgrund von einzelstaatlichem Recht, das angemessene Garantien vorsieht, erfolgen, wobei ein Mitgliedstaat jedoch Ausnahmen aufgrund innerstaatlicher Rechtsvorschriften, die geeignete besondere Garantien vorsehen, festlegen kann. Ein vollständiges Register der strafrechtlichen Verurteilungen darf allerdings nur unter behördlicher Aufsicht geführt werden."

14 Artikel 12 der Richtlinie bestimmt:

"Die Mitgliedstaaten garantieren jeder betroffenen Person das Recht, vom für die Verarbeitung Verantwortlichen Folgendes zu erhalten:

a) frei und ungehindert in angemessenen Abständen ohne unzumutbare Verzögerung oder übermäßige Kosten

- die Bestätigung, dass es Verarbeitungen sie betreffender Daten gibt oder nicht gibt, sowie zumindest Informationen über die Zweckbestimmungen dieser Verarbeitungen, die Kategorien der Daten, die Gegenstand der Verarbeitung sind, und die Empfänger oder Kategorien der Empfänger, an die die Daten übermittelt werden;

- eine Mitteilung in verständlicher Form über die Daten, die Gegenstand der Verarbeitung sind, sowie die verfügbaren Informationen über die Herkunft der Daten;

- Auskunft über den logischen Aufbau der automatisierten Verarbeitung der sie betreffenden Daten, zumindest im Fall automatisierter Entscheidungen im Sinne von Artikel 15 Absatz 1;

b) je nach Fall die Berichtigung, Löschung oder Sperrung von Daten, deren Verarbeitung nicht den Bestimmungen dieser Richtlinie entspricht, insbesondere wenn diese Daten unvollständig oder unrichtig sind;

c) die Gewähr, dass jede Berichtigung, Löschung oder Sperrung, die entsprechend Buchstabe b) durchgeführt wurde, den Dritten, denen die Daten übermittelt wurden, mitgeteilt wird, sofern sich dies nicht als unmöglich erweist oder kein unverhältnismäßiger Aufwand damit verbunden ist."

15 Artikel 13 Absatz 1 der Richtlinie lautet:

"Die Mitgliedstaaten können Rechtsvorschriften erlassen, die die Pflichten und Rechte gemäß Artikel 6 Absatz 1, Artikel 10, Artikel 11 Absatz 1, Artikel 12 und Artikel 21 beschränken, sofern eine solche Beschränkung notwendig ist für

a) die Sicherheit des Staates;

b) die Landesverteidigung;

c) die öffentliche Sicherheit;

d) die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen;

e) ein wichtiges wirtschaftliches oder finanzielles Interesse eines Mitgliedstaats oder der Europäischen Union einschließlich Währungs-, Haushalts- und Steuerangelegenheiten;

f) Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben c), d) und e) genannten Zwecke verbunden sind;

g) den Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen."

16 Artikel 22 der Richtlinie sieht vor:

"Rechtsbehelfe

Unbeschadet des verwaltungsrechtlichen Beschwerdeverfahrens, das vor Beschreiten des Rechtsweges insbesondere bei der in Artikel 28 genannten Kontrollstelle eingeleitet werden kann, sehen die Mitgliedstaaten vor, dass jede Person bei der Verletzung der Rechte, die ihr durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einlegen kann."

17 Die Artikel 25 und 26 der Richtlinie bilden das Kapitel IV, das die Übermittlung personenbezogener Daten in Drittländer betrifft.

18 Der mit "Grundsätze" überschriebene Artikel 25 der Richtlinie lautet:

"(1) Die Mitgliedstaaten sehen vor, dass die Übermittlung personenbezogener Daten, die Gegenstand einer Verarbeitung sind oder nach der Übermittlung verarbeitet werden sollen, in ein Drittland vorbehaltlich der Beachtung der aufgrund der anderen Bestimmungen dieser Richtlinie erlassenen einzelstaatlichen Vorschriften zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet.

(2) Die Angemessenheit des Schutzniveaus, das ein Drittland bietet, wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen; insbesondere werden die Art der Daten, die Zweckbestimmung sowie die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die in dem betreffenden Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen sowie die dort geltenden Standesregeln und Sicherheitsmaßnahmen berücksichtigt.

(3) Die Mitgliedstaaten und die Kommission unterrichten einander über die Fälle, in denen ihres Erachtens ein Drittland kein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet.

(4) Stellt die Kommission nach dem Verfahren des Artikels 31 Absatz 2 fest, dass ein Drittland kein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels aufweist, so treffen die Mitgliedstaaten die erforderlichen Maßnahmen, damit keine gleichartige Datenübermittlung in das Drittland erfolgt.

(5) Zum geeigneten Zeitpunkt leitet die Kommission Verhandlungen ein, um Abhilfe für die gemäß Absatz 4 festgestellte Lage zu schaffen.

(6) Die Kommission kann nach dem Verfahren des Artikels 31 Absatz 2 feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen, die es insbesondere infolge der Verhandlungen gemäß Absatz 5 eingegangen ist, hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet.

Die Mitgliedstaaten treffen die aufgrund der Feststellung der Kommission gebotenen Maßnahmen."

19 Der mit "Ausnahmen" überschriebene Artikel 26 der Richtlinie bestimmt in Absatz 1:

"Abweichend von Artikel 25 sehen die Mitgliedstaaten vorbehaltlich entgegenstehender Regelungen für bestimmte Fälle im innerstaatlichen Recht vor, dass eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogener Daten in ein Drittland, das kein angemessenes Schutzniveau im Sinne des Artikels 25 Absatz 2 gewährleistet, vorgenommen werden kann, sofern

a) die betroffene Person ohne jeden Zweifel ihre Einwilligung gegeben hat oder

b) die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist oder

c) die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse der betroffenen Person vom für die Verarbeitung Verantwortlichen mit einem Dritten geschlossen wurde oder geschlossen werden soll, oder

d) die Übermittlung entweder für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich oder gesetzlich vorgeschrieben ist oder

e) die Übermittlung für die Wahrung lebenswichtiger Interessen der betroffenen Person erforderlich ist oder

f) die Übermittlung aus einem Register erfolgt, das gemäß den Rechts- oder Verwaltungsvorschriften zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind."

20 Auf der Grundlage der Richtlinie und insbesondere ihres Artikels 25 Absatz 6 erließ die Kommission der Europäischen Gemeinschaften die Angemessenheitsentscheidung.

21 Die elfte Begründungserwägung dieser Entscheidung lautet:

"Die Verarbeitung personenbezogener Daten aus den dem CBP [United States Bureau of Customs and Border Protection (Zoll- und Grenzschutzbehörde der Vereinigten Staaten)] übermittelten PNR ['Passenger Name Records' (Fluggastdatensätze)] durch das CBP unterliegt den Bedingungen, die in der 'Verpflichtungserklärung des Department of Homeland Security, Bureau of Customs and Border Protection (CBP)' (nachstehend 'Verpflichtungserklärung' genannt) vom 11. Mai 2004 festgelegt sind, sowie den Rechtsvorschriften der Vereinigten Staaten, die in dieser Verpflichtungserklärung aufgeführt sind."

22 Nach der fünfzehnten Begründungserwägung dieser Entscheidung werden PNR-Daten ausschließlich verwendet für Zwecke der Verhütung und Bekämpfung des Terrorismus und damit verknüpfter Straftaten, anderer schwerer, ihrem Wesen nach länderübergreifender Straftaten, einschließlich der internationalen organisierten Kriminalität, und der Flucht vor Haftbefehlen bzw. vor Gewahrsamnahme im Zusammenhang mit jenen Straftaten.

23 Die Artikel 1 bis 4 der Angemessenheitsentscheidung lauten:

"Artikel 1

Im Hinblick auf Artikel 25 Absatz 2 der Richtlinie 95/46/EG wird festgestellt, dass das United States Bureau of Customs and Border Protection (CBP) auf der Grundlage der als Anhang angefügten Verpflichtungserklärung einen angemessenen Schutz bietet für PNR-Daten über Flüge in die oder aus den Vereinigten Staaten, die aus der Gemeinschaft übermittelt werden.

Artikel 2

Diese Entscheidung betrifft die Angemessenheit des Schutzes, den das CBP im Hinblick auf die Anforderungen des Artikels 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet; andere zur Umsetzung sonstiger Vorschriften der Richtlinie festgelegte Bestimmungen und Einschränkungen hinsichtlich der Verarbeitung personenbezogener Daten in den Mitgliedstaaten bleiben davon unberührt.

Artikel 3

1. Unbeschadet ihres Rechts, Maßnahmen zur Durchsetzung einzelstaatlicher Vorschriften zu ergreifen, die gemäß anderen Bestimmungen als denen des Artikels 25 der Richtlinie 95/46/EG angenommen wurden, können die zuständigen Behörden in den Mitgliedstaaten von ihrem Recht Gebrauch machen, zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten die Datenübermittlung an das CBP auszusetzen,

a) wenn eine zuständige US-Behörde feststellt, dass das CBP die geltenden Datenschutzvorschriften nicht einhält, oder

b) wenn eine hohe Wahrscheinlichkeit besteht, dass die im Anhang enthaltenen Schutzvorschriften verletzt werden, Grund zur Annahme besteht, dass das CBP nicht rechtzeitig angemessene Maßnahmen ergreift bzw. ergreifen wird, um den betreffenden Fall zu lösen, die Fortsetzung der Datenübermittlung den betroffenen Personen einen unmittelbar bevorstehenden schweren Schaden zuzufügen droht und die zuständigen Behörden in den Mitgliedstaaten sich unter den gegebenen Umständen in angemessener Weise bemüht haben, das CBP zu benachrichtigen, und ihm Gelegenheit zur Stellungnahme gegeben haben.

2. Die Aussetzung wird beendet, sobald sichergestellt ist, dass die Datenschutzvorschriften befolgt werden und die zuständigen Behörden in den jeweiligen Mitgliedstaaten davon in Kenntnis gesetzt sind.

Artikel 4

1. Die Mitgliedstaaten informieren die Kommission unverzüglich, wenn Maßnahmen gemäß Artikel 3 ergriffen wurden.

2. Die Mitgliedstaaten und die Kommission benachrichtigen einander auch über jedwede Änderung der Datenschutzvorschriften sowie über Fälle, in denen die Maßnahmen der für die Einhaltung der Vorschriften gemäß dem Anhang durch das CBP verantwortlichen Einrichtungen nicht ausreichen, um die Einhaltung zu gewährleisten.

3. Ergeben die gemäß Artikel 3 und gemäß den Absätzen 1 und 2 des vorliegenden Artikels gewonnenen Erkenntnisse, dass die Grundanforderungen für ein angemessenes Schutzniveau für natürliche Personen nicht mehr gewährleistet sind oder dass eine für die Einhaltung der Vorschriften gemäß dem Anhang durch das CBP verantwortliche Einrichtung ihre Aufgabe nicht wirksam erfüllt, so wird das CBP hiervon benachrichtigt und erforderlichenfalls das in Artikel 31 Absatz 2 der Richtlinie 95/46/EG genannte Verfahren zwecks Aufhebung oder Aussetzung der vorliegenden Entscheidung angewandt."

24 In der "Verpflichtungserklärung des Department of Homeland Security, Bureau of Customs and Border Protection (CBP)", die der Angemessenheitsentscheidung beigefügt ist, heißt es:

"Zur Unterstützung der Absicht der Europäischen Kommission ..., die ihr durch Artikel 25 Absatz 6 der Richtlinie 95/46/EG ... verliehenen Befugnisse auszuüben und eine Entscheidung zu verabschieden, mit der dem [CBP] des Department of Homeland Security ein angemessenes Datenschutzniveau bescheinigt und den Fluggesellschaften damit die Übermittlung von [PNR-Daten] ermöglicht wird, die unter Umständen in den Geltungsbereich der Richtlinie fallen, sichert das CBP Folgendes zu ..."

25 Diese Verpflichtungen umfassen 48 Punkte, die unter folgenden Überschriften zusammengefasst sind: "Rechtsgrundlage für den Zugriff auf PNR", "Nutzung von PNR-Daten durch das CBP", "Verlangte Daten", "Behandlung 'sensibler' Daten", "Verfahren für den Zugriff auf PNR-Daten", "Speicherung von PNR-Daten", "Sicherheit der Computersysteme des CBP", "Behandlung und Schutz von PNR-Daten durch das CBP", "Übermittlung von PNR-Daten an andere Behörden", "Informations-, Auskunfts- und Widerspruchsrecht der betroffenen Passagiere", "Einhaltung der Verpflichtungen", "Gegenseitigkeit", "Überprüfung und Geltungsdauer der Verpflichtungserklärung" und "Begründung von Rechten oder Präzedenzfällen".

26 Zu den genannten Verpflichtungen gehören insbesondere Folgende:

"1. Aufgrund der gesetzlichen Bestimmungen (title 49, United States Code, section 44909[c][3]) und der entsprechenden (vorläufigen) Durchführungsbestimmungen (title 19, Code of Federal Regulations, section 122.49b) muss jede Fluggesellschaft, die Auslands-Passagierflüge aus den oder in die Vereinigten Staaten durchführt, dem CBP (vormals U. S. Customs Service) elektronischen Zugriff auf PNR-Daten gewähren, soweit sie mit den computergestützten Reservierungs-/Abfertigungssystemen ('Reservierungssysteme') der Fluggesellschaft erhoben und darin gespeichert werden.

...

3. Das CBP verwendet PNR-Daten ausschließlich zum Zwecke der Verhütung und Bekämpfung 1. des Terrorismus und damit verknüpfter Straftaten, 2. anderer schwerer länderübergreifender Straftaten, einschließlich internationaler organisierter Kriminalität, und 3. der Flucht vor Haftbefehlen bzw. vor Ingewahrsamnahme im Zusammenhang mit den oben genannten Straftaten. Durch die Nutzung von PNR-Daten für diese Zwecke kann das CBP seine Ressourcen auf Hochrisikobereiche konzentrieren und damit das Reisen gutgläubiger Passagiere erleichtern und gewährleisten.

4. Die Datenelemente, die das CBP verlangt, sind in Anhang 'A' aufgeführt. ...

...

27. Bei allen Rechts- oder Verwaltungsverfahren im Zusammenhang mit einem Antrag gemäß FOIA [Freedom of Information Act (Informationsfreiheitsgesetz)] auf Zugang zu PNR-Daten, die von Fluggesellschaften stammen, wird sich das CBP darauf berufen, dass diese Informationen von der Offenlegung gemäß FOIA ausgenommen sind.

...

29. Das CBP liefert im Rahmen seines Ermessens nur von Fall zu Fall PNR-Daten an andere Regierungsbehörden, auch solche in Drittländern, die Terrorismusbekämpfungs- oder Strafverfolgungsaufgaben wahrnehmen, und nur zum Zwecke der Verhütung oder Bekämpfung der unter [Punkt] 3 aufgeführten Straftaten. (Behörden, an die das CBP derartige Daten weitergibt, werden im Folgenden als 'designierte Behörden' bezeichnet.)

30. Das CBP wird von seinem Ermessen in Bezug auf die Übermittlung von PNR-Daten zu den erklärten Zwecken umsichtig Gebrauch machen. Das CBP wird zunächst prüfen, ob die Offenlegung der PNR-Daten gegenüber einer anderen designierten Behörde dem erklärten Zweck dient (siehe [Punkt] 29). Wenn dies der Fall ist, wird das CBP prüfen, ob diese designierte Behörde für die Verhütung, Aufklärung oder Verfolgung von Verstößen gegen einschlägige Gesetze oder sonstige Vorschriften oder für die Um- oder Durchsetzung dieser Gesetze oder Vorschriften zuständig ist, sofern das CBP über Anhaltspunkte für eine tatsächliche oder potenzielle Rechtsverletzung verfügt. Die sachliche Begründetheit der Offenlegung muss im Lichte aller dargelegten Umstände gewürdigt werden.

...

35. Keine der hier aufgeführten Bestimmungen darf der Nutzung oder Offenlegung von PNR-Daten im Zusammenhang mit Strafprozessen oder anderen gesetzlichen Erfordernissen im Wege stehen. Das CBP wird die Europäische Kommission über die Verabschiedung aller US-Rechtsvorschriften informieren, die sich substanziell auf die in dieser Verpflichtungserklärung gemachten Zusagen auswirken.

...

46. Diese Verpflichtungserklärung gilt drei Jahre und sechs Monate (3,5 Jahre), gerechnet ab dem Tag, an dem eine Vereinbarung zwischen den Vereinigten Staaten und der Europäischen Gemeinschaft in Kraft tritt, die die Verarbeitung von PNR-Daten durch Fluggesellschaften zum Zweck ihrer Weiterleitung an das CBP im Einklang mit der Richtlinie erlaubt. ...

47. Durch diese Verpflichtungserklärung werden keinerlei Rechte oder Vergünstigungen für private oder öffentliche Personen oder Beteiligte begründet oder übertragen.

..."

27 Anhang "A" der Verpflichtungserklärung enthält die PNR-Daten, die das CBP von Fluggesellschaften verlangt. Dazu gehören insbesondere der "PNR-Buchungscode [Record Locator)", das Datum der Reservierung, der Name, die Anschrift, die Zahlungsart, die Telefonnummern, das Reisebüro, der Reisestatus des Passagiers ("travel status of passenger"), die E-Mail-Adresse, allgemeine Bemerkungen, die Sitzplatznummer, die Historie über nicht angetretene Flüge sowie etwaige "APIS-Informationen".

28 Der Rat erließ den Beschluss 2004/496 insbesondere auf der Grundlage von Artikel 95 EG in Verbindung mit Artikel 300 Absatz 2 Unterabsatz 1 Satz 1 EG.

29 Die drei Begründungserwägungen dieses Beschlusses lauten:

"(1) Am 23. Februar 2004 hat der Rat die Kommission ermächtigt, im Namen der Gemeinschaft ein Abkommen mit den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des United States Department of Homeland Security auszuhandeln.

(2) Das Europäische Parlament hat innerhalb der Frist, die der Rat in Anbetracht des dringenden Erfordernisses, der unsicheren Lage der Fluggesellschaften und der Fluggäste abzuhelfen und die finanziellen Interessen der Betroffenen zu schützen, gemäß Artikel 300 Absatz 3 Unterabsatz 1 festgelegt hat, keine Stellungnahme abgegeben.

(3) Dieses Abkommen sollte genehmigt werden ..."

30 Artikel 1 des Beschlusses 2004/496 bestimmt:

"Das Abkommen zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des United States Department of Homeland Security wird im Namen der Gemeinschaft genehmigt.

Der Wortlaut des Abkommens ist diesem Beschluss beigefügt."

31 Das genannte Abkommen (im Folgenden: Abkommen) lautet:

"Die Europäische Gemeinschaft und die Vereinigten Staaten von Amerika

in Anerkennung der Bedeutung der Achtung grundlegender Rechte und Freiheiten, insbesondere des Schutzes der Privatsphäre, und deren Achtung bei gleichzeitiger Verhütung und Bekämpfung des Terrorismus und damit verbundener Verbrechen sowie sonstiger schwerer Verbrechen transnationaler Art, einschließlich der organisierten Kriminalität;

unter Berücksichtigung der Gesetze und Vorschriften der USA, nach denen jede Fluggesellschaft, die Auslands-Passagierflüge in die oder aus den Vereinigten Staaten durchführt, verpflichtet ist, dem [CBP] des Department of Homeland Security (im Folgenden 'DHS') elektronischen Zugriff auf [PNR-Daten] zu gewähren, soweit solche Daten erfasst und in den computergestützten Buchungs-/Abfertigungssystemen gespeichert werden;

unter Berücksichtigung der Richtlinie 95/46/EG ..., insbesondere des Artikels 7 Buchstabe c);

unter Berücksichtigung der Verpflichtungserklärung des CBP vom 11. Mai 2004, die im Federal Register veröffentlicht wird (im Folgenden 'Verpflichtungen');

unter Berücksichtigung der Entscheidung 2004/535/EG der Kommission vom 14. Mai 2004 nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG, mit de[r] festgestellt wird, dass das CBP im Einklang mit der beigefügten Verpflichtungserklärung einen ausreichenden Schutz der aus der Europäischen Gemeinschaft (im Folgenden 'Gemeinschaft') übermittelten Daten über Flüge in [die] oder aus den Vereinigten Staaten gewährleistet (im Folgenden 'der Beschluss');

unter Hinweis darauf, dass die Fluggesellschaften mit Buchungs-/Abfertigungssystemen im Hoheitsgebiet der Mitgliedstaaten der Europäischen Gemeinschaft die Übermittlung von PNR-Daten an das CBP - sobald technisch machbar - veranlassen sollten und dass bis dahin den US-Behörden gemäß diesem Abkommen der direkte Zugriff auf diese Daten gewährt werden sollte;

...

sind wie folgt übereingekommen:

1. Das CBP erhält elektronischen Zugriff auf PNR-Daten aus den von den Fluggesellschaften im Hoheitsgebiet der Mitgliedstaaten der Europäischen Gemeinschaft betriebenen Buchungs-/Abfertigungssystemen streng nach Maßgabe des Beschlusses, solange dieser Beschluss gilt und nur, solange kein befriedigendes System für die Übermittlung solcher Daten durch die Fluggesellschaften vorhanden ist.

[Die englische Fassung lautet: "CBP may electronically access the PNR data from air carriers' reservation/departure control systems ('reservation systems') located within the territory of the Member States of the European Community strictly in accordance with the Decision and for so long as the Decision is applicable and only until there is a satisfactory system in place allowing for transmission of such data by the air carriers."]

2. Die Fluggesellschaften, die Auslands-Passagierflüge in die oder aus den Vereinigten Staaten durchführen, verarbeiten die in ihren computergestützten Buchungssystemen enthaltenen Daten nach den Vorgaben des CBP gemäß dem US-amerikanischen Recht und streng nach Maßgabe des Beschlusses, solange der Beschluss gilt.

3. Das CBP nimmt den Beschluss zur Kenntnis und erklärt, den im Anhang beigefügten Verpflichtungen nachzukommen.

4. Das CBP verarbeitet die übermittelten PNR-Daten und behandelt die von dieser Verarbeitung betroffenen Personen gemäß den geltenden US-Gesetzen und den verfassungsrechtlichen Erfordernissen ohne unrechtmäßige Diskriminierung insbesondere aufgrund ihrer Staatsangehörigkeit oder ihres Wohnlands.

...

7. Dieses Abkommen tritt mit seiner Unterzeichnung in Kraft. Dieses Abkommen kann von jeder Vertragspartei jederzeit durch Notifikation auf diplomatischem Wege gekündigt werden. Die Kündigung wird neunzig (90) Tage nach dem Tag, an dem sie der anderen Vertragspartei notifiziert wurde, wirksam. Dieses Abkommen kann jederzeit im gegenseitigen schriftlichen Einvernehmen geändert werden.

8. Dieses Abkommen hat nicht den Zweck, Ausnahmen von den Gesetzen der Vertragsparteien zu regeln oder diese zu ändern; durch dieses Abkommen werden auch keinerlei Rechte oder Vergünstigungen für Dritte begründet oder übertragen."

32 Das am 28. Mai 2004 in Washington von einem Vertreter der amtierenden Ratspräsidentschaft und vom Secretary of the United States Department of Homeland Security unterzeichnete Abkommen ist, wie aus der Unterrichtung über den Zeitpunkt seines Inkrafttretens durch den Rat (ABl. 2004, C 158, S. 1) hervorgeht, gemäß seinem Punkt 7 am Tag seiner Unterzeichnung in Kraft getreten.

Vorgeschichte der Rechtsstreitigkeiten

33 Nach den Terroranschlägen des 11. September 2001 erließen die Vereinigten Staaten im November 2001 Rechtsvorschriften, wonach Fluggesellschaften, die Flüge in die oder aus den Vereinigten Staaten oder über deren Gebiet durchführen, den Zollbehörden der Vereinigten Staaten einen elektronischen Zugriff auf die Daten ihrer automatischen Reservierungs- und Abfertigungssysteme, die so genannten "Passenger Name Records" (im Folgenden: PNR-Daten), gewähren müssen. Unter Anerkennung der bestehenden berechtigten Sicherheitsinteressen teilte die Kommission den Behörden der Vereinigten Staaten bereits im Juni 2002 mit, dass diese Bestimmungen mit den Rechtsvorschriften der Gemeinschaft und der Mitgliedstaaten über den Schutz personenbezogener Daten und mit einigen Bestimmungen der Verordnung (EWG) Nr. 2299/89 des Rates vom 24. Juli 1989 über einen Verhaltenskodex im Zusammenhang mit computergesteuerten Buchungssystemen (ABl. L 220, S. 1) in der Fassung der Verordnung (EG) Nr. 323/1999 des Rates vom 8. Februar 1999 (ABl. L 40, S. 1) in Konflikt geraten könnten. Die Behörden der Vereinigten Staaten verschoben das Inkrafttreten der neuen Bestimmungen, lehnten es jedoch letztlich ab, die Verhängung von Sanktionen gegen Fluggesellschaften, die sich nicht an die Rechtsvorschriften über den elektronischen Zugriff auf PNR-Daten hielten, über den 5. März 2003 hinaus auszusetzen. Mehrere große Fluggesellschaften der Europäischen Union haben diesen Behörden seitdem den Zugriff auf ihre PNR-Daten gewährt.

34 Die Kommission nahm mit dem Ziel, eine Angemessenheitsentscheidung auf der Grundlage von Artikel 25 Absatz 6 der Richtlinie zu erlassen, Verhandlungen mit den Behörden der Vereinigten Staaten auf, die zu schriftlichen Verpflichtungen ("undertakings") des CBP führten.

35 Am 13. Juni 2003 gab die durch Artikel 29 der Richtlinie eingesetzte Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten eine Stellungnahme ab, in der sie Bedenken hinsichtlich des durch die genannten Verpflichtungen für die vorgesehene Datenverarbeitung gewährleisteten Datenschutzniveaus äußerte. Sie wiederholte diese Bedenken in einer Stellungnahme vom 29. Januar 2004.

36 Am 1. März 2004 befasste die Kommission das Parlament mit dem Entwurf der Angemessenheitsentscheidung gemäß Artikel 25 Absatz 6 der Richtlinie, dem der Entwurf der Verpflichtungen des CBP beigefügt war.

37 Am 17. März 2004 übermittelte die Kommission dem Parlament im Hinblick auf seine Anhörung nach Artikel 300 Absatz 3 Unterabsatz 1 EG einen Vorschlag für einen Beschluss des Rates über den Abschluss eines Abkommens mit den Vereinigten Staaten. Mit Schreiben vom 25. März 2004 ersuchte der Rat das Parlament unter Bezugnahme auf das Dringlichkeitsverfahren, zu dem Vorschlag bis spätestens 22. April 2004 Stellung zu nehmen. In diesem Schreiben betonte der Rat, dass der Kampf gegen den Terrorismus, der die vorgeschlagenen Maßnahmen rechtfertige, für die Europäische Union hohe Priorität habe, dass sich die Fluggesellschaften und Fluggäste aktuell in einer unsicheren Lage befänden, der dringend abzuhelfen sei, und dass es auch wichtig sei, die finanziellen Interessen der Betroffenen zu schützen.

38 Am 31. März 2004 nahm das Parlament gemäß Artikel 8 des Beschlusses 1999/468/EG des Rates vom 28. Juni 1999 zur Festlegung der Modalitäten für die Ausübung der der Kommission übertragenen Durchführungsbefugnisse (ABl. L 184, S. 23) eine Entschließung an, in der eine Reihe rechtlicher Vorbehalte gegen den ihm übermittelten Vorschlag geäußert wurde. In dieser Entschließung vertrat das Parlament insbesondere die Auffassung, dass der Entwurf der Angemessenheitsentscheidung über die Befugnisse der Kommission nach Artikel 25 der Richtlinie hinausgehe. Es rief dazu auf, ein geeignetes völkerrechtliches Abkommen zu schließen, das in einer Reihe in der Entschließung aufgeführter Punkte die Grundrechte wahre, und ersuchte die Kommission, ihm einen neuen Entscheidungsentwurf zu unterbreiten. Es behielt sich ferner vor, zwecks Prüfung der Rechtmäßigkeit des geplanten völkerrechtlichen Abkommens und insbesondere seiner Vereinbarkeit mit dem Schutz des Rechts auf Privatsphäre den Gerichtshof anzurufen.

39 Am 21. April 2004 nahm das Parlament auf Antrag seines Präsidenten eine Empfehlung des Ausschusses für Recht und Binnenmarkt an, den Gerichtshof nach Artikel 300 Absatz 6 EG um ein Gutachten über die Vereinbarkeit des geplanten Abkommens mit den Bestimmungen des Vertrages zu ersuchen. Dieses Verfahren wurde am selben Tag eingeleitet.

40 Zugleich beschloss das Parlament, den Bericht über den Vorschlag für einen Beschluss des Rates an den Ausschuss zu überweisen, und lehnte damit in diesem Stadium implizit das Ersuchen des Rates vom 25. März 2004 um eine dringliche Prüfung des Vorschlags ab.

41 Mit Schreiben vom 28. April 2004 forderte der Rat das Parlament unter Berufung auf Artikel 300 Absatz 3 Unterabsatz 1 EG auf, bis 5. Mai 2004 zum Vorschlag für den Beschluss über den Abschluss des Abkommens Stellung zu nehmen. Zur Begründung der Dringlichkeit dieses Ersuchens wiederholte er die in seinem Schreiben vom 25. März 2004 genannten Gründe.

42 Nach Kenntnisnahme von der Tatsache, dass der Vorschlag für den Beschluss des Rates nach wie vor nicht in allen Sprachfassungen vorlag, lehnte das Parlament am 4. Mai 2004 das Ersuchen des Rates vom 28. April um eine dringliche Prüfung dieses Vorschlags ab.

43 Am 14. Mai 2004 erließ die Kommission die Angemessenheitsentscheidung, die Gegenstand der Rechtssache C-318/04 ist. Am 17. Mai 2004 erließ der Rat den Beschluss 2004/496, der Gegenstand der Rechtssache C-317/04 ist.

44 Mit Schreiben vom 4. Juni 2004 teilte die amtierende Ratspräsidentschaft dem Parlament mit, dass der Beschluss 2004/496 dem - für die Union vorrangigen - Kampf gegen den Terrorismus, aber auch dem Erfordernis, einer Situation der Rechtsunsicherheit für die Fluggesellschaften abzuhelfen, sowie deren finanziellen Interessen Rechnung trage.

45 Mit Schreiben vom 9. Juli 2004 teilte das Parlament dem Gerichtshof mit, dass es seinen unter der Nummer 1/04 in das Register eingetragenen Antrag auf ein Gutachten zurücknehme.

46 In der Rechtssache C-317/04 sind die Kommission und das Vereinigte Königreich Großbritannien und Nordirland durch Beschlüsse des Präsidenten des Gerichtshofes vom 18. November 2004 und 18. Januar 2005 als Streithelfer zur Unterstützung der Anträge des Rates zugelassen worden.

47 In der Rechtssache C-318/04 ist das Vereinigte Königreich durch Beschluss des Präsidenten des Gerichtshofes vom 17. Dezember 2004 als Streithelfer zur Unterstützung der Anträge der Kommission zugelassen worden.

48 Durch Beschlüsse des Gerichtshofes vom 17. März 2005 ist der Europäische Datenschutzbeauftragte als Streithelfer zur Unterstützung der Anträge des Parlaments in diesen beiden Rechtssachen zugelassen worden.

49 Da die genannten Rechtssachen, wie auch die mündliche Verhandlung bestätigt hat, miteinander in Zusammenhang stehen, sind sie nach Artikel 43 der Verfahrensordnung zu gemeinsamer Entscheidung zu verbinden.

Zur Klage in der Rechtssache C-318/04

50 Das Parlament macht vier Nichtigkeitsgründe geltend, die auf eine Befugnisüberschreitung, einen Verstoß gegen wesentliche Grundsätze der Richtlinie, eine Verletzung von Grundrechten und einen Verstoß gegen den Grundsatz der Verhältnismäßigkeit gestützt werden.

Zum ersten Teil des ersten Klagegrundes: Verletzung von Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie

Vorbringen der Verfahrensbeteiligten

51 Das Parlament trägt vor, die Entscheidung der Kommission sei ultra vires ergangen, da die Bestimmungen der Richtlinie nicht eingehalten worden seien; insbesondere liege eine Verletzung von Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie vor, der Tätigkeiten ausschließe, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fielen.

52 Es bestehe kein Zweifel daran, dass die Verarbeitung der PNR-Daten nach der Übermittlung an die in der Angemessenheitsentscheidung genannte amerikanische Behörde für die Ausübung spezifischer Tätigkeiten der Staaten im Sinne von Randnummer 43 des Urteils vom 6. November 2003 in der Rechtssache C-101/01 (Lindqvist, Slg. 2003, I-12971) erfolge und erfolgen werde.

53 Die Kommission, unterstützt vom Vereinigten Königreich, vertritt die Ansicht, dass die Tätigkeiten der Fluggesellschaften eindeutig in den Anwendungsbereich des Gemeinschaftsrechts fielen. Diese privaten Wirtschaftsteilnehmer verarbeiteten die PNR-Daten innerhalb der Gemeinschaft und übermittelten sie in einen Drittstaat. Es handele sich somit um Tätigkeiten von Einzelpersonen und nicht um Tätigkeiten des Mitgliedstaats, in dem die betreffenden Fluggesellschaften agierten, oder seiner Behörden im Sinne der Definition des Gerichtshofes in Randnummer 43 des Urteils Lindqvist. Das von den Fluggesellschaften bei der Verarbeitung der PNR-Daten verfolgte Ziel bestehe lediglich darin, die Anforderungen des Gemeinschaftsrechts einschließlich der Verpflichtung nach Punkt 2 des Abkommens einzuhalten. Artikel 3 Absatz 2 der Richtlinie nehme auf behördliche Tätigkeiten Bezug, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fielen.

Würdigung durch den Gerichtshof

54 Nach ihrem Artikel 3 Absatz 2 erster Gedankenstrich findet die Richtlinie keine Anwendung auf die Verarbeitung personenbezogener Daten, die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI des Vertrags über die Europäische Union, und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates und die Tätigkeiten des Staates im strafrechtlichen Bereich.

55 Die Angemessenheitsentscheidung betrifft nur die dem CBP übermittelten PNR-Daten. Nach der sechsten Begründungserwägung dieser Entscheidung sind die Rechtsgrundlagen für diese Übermittlung ein im November 2001 in den Vereinigten Staaten erlassenes Gesetz sowie Durchführungsvorschriften, die das CBP aufgrund dieses Gesetzes erlassen hat. Nach der siebten Begründungserwägung der Entscheidung betreffen die fraglichen Rechtsvorschriften der Vereinigten Staaten die Verbesserung der Sicherheitslage in diesem Land sowie die Voraussetzungen, unter denen Personen dort ein- und ausreisen dürfen. Nach der achten Begründungserwägung unterstützt die Gemeinschaft die Vereinigten Staaten uneingeschränkt im Kampf gegen den Terrorismus innerhalb der Bestimmungen des Gemeinschaftsrechts. In der fünfzehnten Begründungserwägung der Entscheidung heißt es, dass die PNR-Daten ausschließlich für Zwecke der Verhütung und Bekämpfung des Terrorismus und damit verknüpfter Straftaten, anderer schwerer, ihrem Wesen nach länderübergreifender Straftaten, einschließlich der internationalen organisierten Kriminalität, und der Flucht vor Haftbefehlen bzw. vor Gewahrsamnahme im Zusammenhang mit jenen Straftaten verwendet werden.

56 Daraus folgt, dass die Übermittlung der PNR-Daten an das CBP eine Verarbeitung darstellt, die die öffentliche Sicherheit und die Tätigkeiten des Staates im strafrechtlichen Bereich betrifft.

57 Es trifft zwar zu, dass die PNR-Daten von den Fluggesellschaften ursprünglich im Rahmen einer unter das Gemeinschaftsrecht fallenden Tätigkeit erhoben worden sind, nämlich im Rahmen des Verkaufs eines Flugscheins, der zu einer Dienstleistung berechtigt; die Datenverarbeitung, die in der Angemessenheitsentscheidung Berücksichtigung findet, ist jedoch von ganz anderer Art. Denn diese Entscheidung bezieht sich, wie in Randnummer 55 des vorliegenden Urteils ausgeführt, auf eine Datenverarbeitung, die nicht für die Erbringung einer Dienstleistung erforderlich ist, sondern zum Schutz der öffentlichen Sicherheit und zu Strafverfolgungszwecken als erforderlich angesehen wird.

58 In Randnummer 43 des von der Kommission in ihrer Klagebeantwortung angeführten Urteils Lindqvist hat der Gerichtshof entschieden, dass die in Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie beispielhaft aufgeführten Tätigkeiten jedenfalls spezifische Tätigkeiten der Staaten oder der staatlichen Stellen sind und mit den Tätigkeitsbereichen von Einzelpersonen nichts zu tun haben. Aus der Tatsache, dass es private Wirtschaftsteilnehmer sind, die die PNR-Daten zu gewerblichen Zwecken erhoben haben und in einen Drittstaat übermitteln, folgt jedoch nicht, dass diese Übermittlung nicht in den Anwendungsbereich dieser Bestimmung fällt. Die Übermittlung findet nämlich in einem von staatlichen Stellen geschaffenen Rahmen statt und dient der öffentlichen Sicherheit.

59 Aus den vorstehenden Erwägungen folgt, dass die Angemessenheitsentscheidung eine Verarbeitung personenbezogener Daten im Sinne von Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie betrifft. Diese Entscheidung fällt daher nicht in den Anwendungsbereich der Richtlinie.

60 Der erste Teil des ersten Klagegrundes, der auf eine Verletzung von Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie gestützt wird, ist demnach begründet.

61 Folglich ist die Angemessenheitsentscheidung für nichtig zu erklären, ohne dass die anderen Teile des ersten Klagegrundes und die anderen Klagegründe des Parlaments geprüft zu werden brauchen.

Zur Klage in der Rechtssache C-317/04

62 Das Parlament trägt sechs Nichtigkeitsgründe vor, die darauf gestützt werden, dass mit Artikel 95 EG eine falsche Rechtsgrundlage für den Beschluss 2004/496 gewählt worden sei, dass Artikel 300 Absatz 3 Unterabsatz 2 EG und Artikel 8 EMRK verletzt worden seien und dass gegen den Grundsatz der Verhältnismäßigkeit, das Begründungserfordernis und den Grundsatz loyaler Zusammenarbeit verstoßen worden sei.

Zum ersten Klagegrund, der dahin geht, dass mit Artikel 95 EG eine falsche Rechtsgrundlage für den Beschluss 2004/496 gewählt worden sei

Vorbringen der Verfahrensbeteiligten

63 Das Parlament macht geltend, Artikel 95 EG sei keine geeignete Rechtsgrundlage für den Beschluss 2004/496. Zweck und Inhalt dieses Beschlusses seien nämlich nicht die Errichtung und das Funktionieren des Binnenmarktes in Form eines Beitrags zur Beseitigung von Hemmnissen für den freien Dienstleistungsverkehr, und der Beschluss enthalte keine Bestimmungen, die einem solchen Zweck dienten. Er solle vielmehr die nach den Rechtsvorschriften der Vereinigten Staaten vorgeschriebene Verarbeitung personenbezogener Daten legalisieren. Im Übrigen könne aus Artikel 95 EG keine Zuständigkeit der Gemeinschaft für den Abschluss des Abkommens hergeleitet werden, da dieses eine nicht in den Anwendungsbereich der Richtlinie fallende Verarbeitung von Daten betreffe.

64 Der Rat trägt vor, die rechtsgültig auf der Grundlage von Artikel 100a EG-Vertrag erlassene Richtlinie enthalte in Artikel 25 Bestimmungen, nach denen personenbezogene Daten in einen Drittstaat übermittelt werden könnten, der ein angemessenes Schutzniveau gewährleiste; dies schließe die Möglichkeit ein, erforderlichenfalls Verhandlungen einzuleiten, die zum Abschluss eines Abkommens der Gemeinschaft mit diesem Land führten. Das Abkommen betreffe den freien Verkehr von PNR-Daten zwischen der Gemeinschaft und den Vereinigten Staaten unter Bedingungen, die die Grundfreiheiten und -rechte von Personen, insbesondere die Privatsphäre, beachteten. Das Abkommen solle Wettbewerbsverzerrungen zwischen den Fluggesellschaften der Mitgliedstaaten und zwischen ihnen und den Fluggesellschaften von Drittstaaten beseitigen, die sich aus den von den Vereinigten Staaten aus Gründen des Schutzes der Rechte und Freiheiten von Personen aufgestellten Anforderungen ergeben könnten. Die Wettbewerbsbedingungen zwischen den Fluggesellschaften der Mitgliedstaaten, die Auslands-Passagierflüge in die oder aus den Vereinigten Staaten durchführten, hätten dadurch verfälscht werden können, dass nur einige von ihnen den Behörden der Vereinigten Staaten einen Zugriff auf ihre Datenbestände gewährten. Das Abkommen ziele darauf ab, allen betroffenen Gesellschaften harmonisierte Verpflichtungen aufzuerlegen.

65 Die Kommission weist darauf hin, dass zwischen den Gesetzen der Vereinigten Staaten und der Gemeinschaftsregelung eine "Normenkollision" im Sinne des Völkerrechts bestehe und dass sie miteinander in Einklang gebracht werden müssten. Sie wirft dem Parlament, das bestreite, dass Artikel 95 EG eine Rechtsgrundlage für den Beschluss 2004/496 sein könne, vor, es habe keine geeignete Rechtsgrundlage vorgeschlagen. Der genannte Artikel sei die "natürliche Rechtsgrundlage" für diesen Beschluss, da das Abkommen die externe Dimension des Schutzes personenbezogener Daten bei ihrer Übermittlung innerhalb der Gemeinschaft betreffe. Die Artikel 25 und 26 der Richtlinie begründeten eine ausschließliche externe Zuständigkeit der Gemeinschaft.

66 Außerdem sei die ursprüngliche Verarbeitung dieser Daten durch die Fluggesellschaften zu gewerblichen Zwecken erfolgt. Ihre Verwendung durch die Behörden der Vereinigten Staaten entziehe sie nicht dem Wirkungsbereich der Richtlinie.

Würdigung durch den Gerichtshof

67 Artikel 95 EG in Verbindung mit Artikel 25 der Richtlinie kann die Zuständigkeit der Gemeinschaft für den Abschluss des Abkommens nicht begründen.

68 Das Abkommen betrifft nämlich die gleiche Datenübermittlung wie die Angemessenheitsentscheidung und damit eine Verarbeitung von Daten, die, wie oben ausgeführt, nicht in den Anwendungsbereich der Richtlinie fällt.

69 Der Beschluss 2004/496 konnte folglich nicht rechtsgültig auf der Grundlage von Artikel 95 EG erlassen werden.

70 Dieser Beschluss ist daher für nichtig zu erklären, ohne dass die anderen Klagegründe des Parlaments geprüft zu werden brauchen.

Zur Beschränkung der Wirkungen des Urteils

71 Das Abkommen kann nach Punkt 7 von jeder Vertragspartei jederzeit gekündigt werden, wobei die Kündigung 90 Tage nach dem Tag, an dem sie der anderen Vertragspartei notifiziert wurde, wirksam wird.

72 Nach den Punkten 1 und 2 des Abkommens bestehen das Zugriffsrecht des CBP auf die PNR-Daten und die Verpflichtung der Fluggesellschaften zu ihrer Verarbeitung nach den Vorgaben des CBP jedoch nur, solange die Angemessenheitsentscheidung gilt. In Punkt 3 des Abkommens erklärt das CBP, den im Anhang dieser Entscheidung beigefügten Verpflichtungen nachzukommen.

73 Angesichts der Tatsache, dass sich die Gemeinschaft zur Rechtfertigung der Nichtdurchführung des Abkommens, das während eines Zeitraums von 90 Tagen nach seiner Kündigung wirksam bleibt, nicht auf ihr eigenes Recht berufen kann, und des engen Zusammenhangs zwischen dem Abkommen und der Angemessenheitsentscheidung erscheint es aus Gründen der Rechtssicherheit und zum Schutz der betroffenen Personen gerechtfertigt, die Wirkungen der Angemessenheitsentscheidung während dieses Zeitraums aufrechtzuerhalten. Außerdem ist die Frist zu berücksichtigen, die für den Erlass der sich aus dem vorliegenden Urteil ergebenden Maßnahmen benötigt wird.

74 Die Wirkungen der Angemessenheitsentscheidung sind daher bis zum 30. September 2006, jedoch nicht über den Zeitpunkt des Außerkrafttretens des Abkommens hinaus, aufrechtzuerhalten.

Kostenentscheidung:

Kosten

75 Nach Artikel 69 § 2 der Verfahrensordnung ist die unterliegende Partei auf Antrag zur Tragung der Kosten zu verurteilen. Da das Parlament die Verurteilung des Rates und der Kommission beantragt hat und diese mit ihrem Vorbringen unterlegen sind, sind ihnen die Kosten aufzuerlegen. Nach § 4 Absatz 1 dieses Artikels tragen die Streithelfer in den vorliegenden Rechtsstreitigkeiten ihre eigenen Kosten.

Tenor:

Aus diesen Gründen hat der Gerichtshof (Große Kammer) für Recht erkannt und entschieden:

1. Der Beschluss 2004/496/EG des Rates vom 17. Mai 2004 über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des United States Department of Homeland Security und die Entscheidung 2004/535/EG der Kommission vom 14. Mai 2004 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden, werden für nichtig erklärt.

2. Die Wirkungen der Entscheidung 2004/535 werden bis zum 30. September 2006, jedoch nicht über den Zeitpunkt des Außerkrafttretens des genannten Abkommens hinaus, aufrechterhalten.

3. Der Rat der Europäischen Union trägt die Kosten des Verfahrens in der Rechtssache C-317/04.

4. Die Kommission der Europäischen Gemeinschaften trägt die Kosten des Verfahrens in der Rechtssache C-318/04.

5. Die Kommission der Europäischen Gemeinschaften trägt ihre eigenen Kosten in der Rechtssache C-317/04.

6. Das Vereinigte Königreich Großbritannien und Nordirland und der Europäische Datenschutzbeauftragte tragen ihre eigenen Kosten.

Ende der Entscheidung