Die Entscheidung des VG Wiesbaden betrifft einen weitreichenden Eingriff in die informationelle Selbstbestimmung von Flugreisenden. Für die datenschutzrechtliche Einordnung staatlicher Massendatenverarbeitung bleibt der Fall deshalb relevant – auch über den konkreten Flugkontext hinaus. Eine breitere Einordnung zu behördlicher Datenverarbeitung und DSGVO-nahen Datenschutzfragen finden Sie im Datenschutzrecht bei ITMR.
Schneller Einstieg
- Worum es geht: um die Frage, unter welchen Voraussetzungen Fluggastdaten überhaupt verdachtsunabhängig verarbeitet werden dürfen.
- Für wen das relevant ist: für Unternehmen, Verantwortliche und Reisende mit Sensibilität für staatliche Datenzugriffe, Compliance und Grundrechte.
- Was Sie mitnehmen: Der Altbeitrag trägt in seinem Kern weiter, muss heute aber zusammen mit der EuGH-Linie, dem Wiesbadener Urteil und dem späteren Reformdruck gelesen werden.
Das Wichtigste in Kürze
- Eine anlasslose und unterschiedslose Verarbeitung von Fluggastdaten stößt unionsrechtlich auf enge Grenzen.
- Für innereuropäische Flüge reicht ein pauschaler Datenabgleich nicht aus; es bedarf einer tragfähigen, grundrechtskonformen Eingrenzung.
- Auch bei Flügen mit Drittstaatsbezug legitimiert die Bekämpfung gewöhnlicher Kriminalität keine schrankenlose Datennutzung.
- Die praktische Relevanz ist hoch: Die Bundesregierung teilte für 2024 weiterhin ein sehr hohes Verarbeitungsvolumen im Fluggastdaten-Informationssystem mit.
Stand April 2026
Der rechtliche Kern des Beitrags ist nicht erledigt. Die maßgebliche EuGH-Entscheidung zum PNR-Komplex ist das Urteil vom 21. Juni 2022 in der Rechtssache C-817/19. Sie hat die PNR-Richtlinie nicht verworfen, ihre Anwendung aber unionsgrundrechtlich deutlich verengt.
Auch auf deutscher Ebene blieb das Thema in Bewegung. Das Bundesministerium des Innern veröffentlichte im Juni 2024 einen Entwurf zur Überarbeitung des Fluggastdatengesetzes, ausdrücklich zur Umsetzung der EuGH-Vorgaben.
Die praktische Tragweite bleibt erheblich: Laut Antwort der Bundesregierung vom 22. Oktober 2025 wurden im Jahr 2024 547.988.627 Fluggastdatensätze verarbeitet; die Zahl der betroffenen Fluggäste wurde mit 153.701.804 angegeben. Zugleich heißt es dort, dass bei Intra-EU-Flügen nur noch dafür bestimmte Strecken verarbeitet werden. Das unterstreicht den fortbestehenden Anpassungs- und Kontrolldruck.
Massenüberwachung von Flugdaten
Das hat die 6. Kammer des Verwaltungsgerichts Wiesbaden mit Urteil vom 6.12.2022 entschieden. Der Entscheidung war die Vorlage der Frage zur Vereinbarkeit der Verfahren nach dem Fluggastdatengesetz (FlugDaG), das auf der Fluggastdaten-Richtlinie beruht, mit höherrangigem EU-Recht, insbesondere der EU-Grundrechtscharta, vorangegangen. Der europäische Gerichtshof (EuGH) hatte mit Urteil vom 21.06.2022 (C-81/19) die Praxis der verdachtsunabhängigen Speicherung von Daten bereits im Juni eingeschränkt und entschieden, dass die Speicherung von Fluggastdaten auf das notwendigste beschränkt werden müsse.
Das Verwaltungsgericht hat sich mit der Sache zu beschäftigen, da zwei Fluggäste die Feststellung begehrten, dass die Verarbeitung ihrer Fluggastdaten rechtswidrig war. Die Kläger waren innereuropäisch bzw. von EU-Staaten aus in Drittstaaten und zurück geflogen. Dabei sind ihre Daten vom BKA ausgewertet worden, ohne Ergebnis.
Seit 2017 das FlugDaG, mit dem Ziel den Terrorismus zu bekämpfen, beschlossen wurde, wurde jeder der mit dem Flugzeug das Land verlässt von den Polizeibehörden durchleuchtet. Konkret hieß das bis zu dem nun ergangenen Urteil, dass Reiseanbieter oder Fluggesellschaften sämtliche die Reise betreffenden Daten an das Bundeskriminalamt (BKA) weiterleiten mussten. Dies umfasste die gesamte Reiseroute, Anschrift, Telefonnummer und sogar den Sitzplatz der Reisenden. Die Daten wurden dann vom BKA mit polizeilichen Datenbanken wie etwa Fahndungslisten abgeglichen.
Für diese Vorgehensweise fehlte es dem BKA in Deutschland an einer grundrechtskonformen Rechtsgrundlage. Das Gericht gab den Anträgen auf Feststellung der beiden Kläger statt und verwies dabei auch auf die Entscheidung des EuGH. So gilt für innereuropäische Flüge, dass die Daten von Fluggästen nur dann vom BKA verarbeitet werden dürfen, soweit es tatsächlich Anhaltspunkte für terroristische Bedrohungen gebe. Die verdachtsunabhängige Verbreitung, wie sie das deutsche FlugDaG vorsieht, sei daher grundsätzlich unzulässig. Auch im Einzelfall konnten solche Anhaltspunkte nicht nachgewiesen werden.
Zum selben Ergebnis kommt das Gericht auch hinsichtlich des Fluges in einen Drittstaat. So rechtfertige die Bekämpfung gewöhnlicher Kriminalität keine ansatzlose und verdachtsunabhängige Verarbeitung von Personendaten. Die Aufgabe die sich für die Mitgliedsstaaten im Wesentlichen aus der Richtlinie ergibt ist die Bekämpfung schwerer Kriminalität und Terrorismus. Um die Verhältnismäßigkeit zwischen den Rechten der Passagiere und der Kriminalitätsbekämpfung zu wahren, bedürfe es der konkreten Benennung der entsprechenden Straftaten, etwa in Form eines Strafenkataloges. Einen solchen sucht man im deutschen FlugDaG vergeblich.
Die Entscheidung des Verwaltungsgerichts stärkt die Rechte der Bürger. Der EuGH bleibt seiner Linie treu und zieht wie schon bei der Vorratsdatenspeicherung klare Grenzen beim Thema Überwachung und Speicherung von Daten durch den Staat. Das Urteil ist noch nicht rechtskräftig. Sollte es bestandskräftig werden, so erwartet die Regierung die nächste herausfordernde Gesetzesänderung.
Unsere IT-Kanzlei ist auf Datenrecht und Datenschutzrecht spezialisiert und steht Ihnen bei Fragen zur Seite.
Was davon heute fortgilt
Rechtliche Einordnung
Die Grundaussage des Altbeitrags trägt weiter: Fluggastdaten dürfen nicht ohne tragfähige gesetzliche Eingrenzung pauschal und unterschiedslos verarbeitet werden. Die unionsrechtliche Leitplanke bleibt die Verhältnismäßigkeit. Entscheidend sind Zweckbindung, Eingrenzung auf schwere Kriminalität und Terrorismus sowie wirksame gesetzliche und praktische Begrenzungen.
Für die heutige Lektüre ist deshalb wichtig: Der Beitrag ist kein allgemeiner Einstieg in das gesamte Datenschutzrecht, sondern eine weiterhin aussagekräftige Fallvertiefung zur Grenze staatlicher Massendatenverarbeitung.
Praktische Folge
Für Unternehmen und Verantwortliche zeigt der Fall, wie schnell großvolumige Datenverarbeitung an Bestimmtheit, Zweckbindung und Grundrechtskontrolle scheitern kann. Das gilt nicht nur im Sicherheitsrecht. Ähnliche Fragen stellen sich in anderen datenintensiven Systemen immer dort, wo gesetzliche Zwecke sehr weit formuliert, Prüfmaßstäbe unklar oder Zugriffs- und Abgleichslogiken zu breit angelegt sind.
Wer behördliche Datenverarbeitung, Meldepflichten, Datenzugriffe oder grundrechtsnahe Verarbeitungsstrukturen einordnen muss, sollte die Reichweite solcher Eingriffe immer auch praktisch und nicht nur formal lesen.
Worauf es in vergleichbaren Konstellationen ankommt
Terrorismusbekämpfung und schwere Kriminalität tragen weitergehende Eingriffe eher als unbestimmte Verweise auf gewöhnliche Kriminalität.
Je umfassender Daten erhoben und abgeglichen werden, desto klarer müssen Streckenbezug, Anlass, Kataloge und Kontrollmechanismen gesetzlich vorgegeben sein.
Bei Massendatenverarbeitung reicht technische Machbarkeit nicht aus. Erforderlich sind belastbare Rechtsgrundlagen und eine tatsächlich wirksame Aufsicht.
Offizielle Quellen und Hinweise
-
VG Wiesbaden, Pressemitteilung vom 22. Dezember 2022
Verarbeitung von Fluggastdaten rechtswidrig -
EuGH, Urteil vom 21. Juni 2022
Rechtssache C-817/19 -
Fluggastdatengesetz in amtlicher Fassung
FlugDaG bei Gesetze im Internet -
BMI, Gesetzgebungsverfahren vom 27. Juni 2024
Entwurf zur Überarbeitung des FlugDaG -
Bundestagsdrucksache 21/2365 vom 22. Oktober 2025
Sachstand und Gesetzgebungsvorhaben zur Fluggastdatenspeicherung in Deutschland
Weiterführender Zusammenhang
-
Vorratsdatenspeicherung und unionsrechtliche Grenzen staatlicher Datenspeicherung
Wer die Linie des EuGH bei anlasslosen Speicher- und Überwachungsregimen weiterverfolgen möchte, findet hier eine thematisch passende Vertiefung: EuGH: Es bleibt dabei – Vorratsdatenspeicherung ist nur ausnahmsweise denkbar.
Zuständige Rechtsanwälte bei ITMR
Der Beitrag betrifft die Schnittstelle von staatlicher Datenverarbeitung, Grundrechtsschutz und praktischer Datenschutz-Einordnung. Deshalb liegt die fachliche Zuständigkeit hier naheliegend im Datenschutz- und IT-Recht.
Andreas Buchholz
Fachanwalt für IT-Recht · Datenschutzrecht · Prozessrecht
Besonders passend, wenn Datenverarbeitung nicht nur materiell-rechtlich, sondern auch prozessual und strategisch eingeordnet werden muss.
Jean Paul Bohne, LL.M., MM
Fachanwalt für IT-Recht · Fachanwalt für Urheber- und Medienrecht · Datenschutzrecht
Besonders passend, wenn datenschutzrechtliche Grundsatzfragen mit digitaler Regulierung, Plattformlogik oder unternehmensbezogener Risikoabwägung zusammenlaufen.