Das Königliche Dekret 933/2021 verpflichtet Hotels, Reiseveranstalter, Autovermietungen und andere touristische Dienstleister, eine umfangreiche Menge personenbezogener Daten ihrer Kunden zu erfassen und an die Behörden zu übermitteln. Hierzu gehören Identifikationsdaten, Kontaktdaten, Angaben zur Reise sowie teilweise Informationen über verwendete Zahlungsmittel. Ziel der Regelung ist es, die öffentliche Sicherheit zu stärken und die Arbeit der Sicherheitsbehörden zu erleichtern.

Die Europäische Kommission vertritt jedoch die Auffassung, dass das spanische System möglicherweise gegen grundlegende Prinzipien des Unionsrechts verstößt, insbesondere im Bereich des Datenschutzes. Brüssel bezweifelt vor allem die Verhältnismäßigkeit der verlangten Datenmenge, den massenhaften und unterschiedslosen Charakter der Datenerhebung sowie die vorgesehene Speicherfrist von bis zu drei Jahren. Nach europäischem Recht müssen personenbezogene Daten, insbesondere im sicherheits- und polizeirechtlichen Bereich, auf das unbedingt Erforderliche beschränkt und durch konkrete Zwecke gerechtfertigt sein.

Die Bewertung der Kommission stützt sich zudem auf die Rechtsprechung des Europäischen Gerichtshofs (EuGH). Dieser hat in mehreren Entscheidungen zur sogenannten PNR-Richtlinie (Passenger Name Record) klargestellt, dass eine weitreichende Übermittlung personenbezogener Daten an staatliche Stellen nur unter besonderen Voraussetzungen zulässig ist, insbesondere wenn sie mit der Bekämpfung schwerwiegender Bedrohungen verbunden ist. Eine systematische und allgemeine Datenerfassung ohne hinreichende Differenzierung begegnet nach dieser Rechtsprechung erheblichen rechtlichen Bedenken.

Der spanische Hotel- und Beherbergungsverband CEHAT (Confederación Española de Hoteles y Alojamientos Turísticos) wertet die Einleitung des Verfahrens als Bestätigung seiner langjährigen Kritik. Nach Ansicht des Verbandes wurde die Regelung ohne ausreichende Berücksichtigung der tatsächlichen betrieblichen Abläufe im Tourismussektor geschaffen und führt zu einem erheblichen Verwaltungsaufwand. Darüber hinaus verweist CEHAT auf mögliche Risiken für die Cybersicherheit, da Unternehmen gezwungen werden, große Mengen sensibler personenbezogener Daten zu speichern und zu verarbeiten.

Gleichzeitig betont die Tourismusbranche, dass sie die Ziele der öffentlichen Sicherheit grundsätzlich unterstützt. Diese müssten jedoch mit Instrumenten verfolgt werden, die sowohl mit dem europäischen Datenschutzrecht vereinbar seien als auch die Unternehmen nicht unverhältnismäßig belasteten. CEHAT spricht sich daher für einen Dialog mit den staatlichen Stellen aus, um ein alternatives System zu entwickeln, das den Anforderungen der Sicherheitsbehörden gerecht wird und zugleich die Privatsphäre der Reisenden schützt.

Die Einleitung des Vertragsverletzungsverfahrens bedeutet noch keine unmittelbare Sanktion gegen Spanien. Vielmehr handelt es sich um den Beginn eines formellen Verfahrens, in dessen Verlauf die spanische Regierung Gelegenheit erhält, zu den Vorwürfen Stellung zu nehmen. Je nach Ausgang des Verfahrens könnte dies zu einer Änderung der nationalen Regelung oder letztlich sogar zu einer Klage vor dem Europäischen Gerichtshof führen.

Die weitere Entwicklung dieses Verfahrens dürfte sowohl für die rechtlichen Rahmenbedingungen des spanischen Tourismussektors als auch für die künftige Abwägung zwischen Sicherheitsinteressen und Datenschutz innerhalb der Europäischen Union von erheblicher Bedeutung sein.