Eurodac

Definition und Zielsetzung von Eurodac

Eurodac (Abkürzung für European Dactyloscopy, deutsch: Europäisches Fingerabdrucksystem) ist eine zentrale europäische Datenbank für Fingerabdrücke, die dem effizienten und einheitlichen Vollzug der Asylpolitik innerhalb der Europäischen Union dient. Sie ermöglicht einen Datenaustausch zwischen den Mitgliedstaaten sowie ausgewählten assoziierten Staaten und unterstützt die Identifikation von Asylsuchenden sowie bestimmter Drittstaatsangehöriger oder Staatenloser. Eurodac ist ein elementares Instrument zur Anwendung der sogenannten Dublin-Verordnung, die regelt, welcher Staat für die Prüfung eines in der EU gestellten Asylantrags zuständig ist.

Rechtsgrundlagen von Eurodac

Primär- und Sekundärrechtliche Einbettung

Eurodac wurde durch die Eurodac-Verordnung geschaffen, welche als Verordnung (EU) Nr. 603/2013 neugefasst und seitdem mehrfach geändert wurde (ursprünglich Verordnung (EG) Nr. 2725/2000). Die Verordnung steht im Kontext der gemeinsamen europäischen Asylpolitik, die wiederum auf Primärrecht wie Artikel 78 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) und der Charta der Grundrechte der Europäischen Union basiert.

Zielrichtung und Anwendungsbereich

Die rechtliche Zielsetzung besteht darin, „die wirksame Anwendung der [Dublin-]Verordnung […] zu unterstützen“, um zu verhindern, dass eine Person mehr als einen Asylantrag in mehreren Mitgliedstaaten stellt (sog. Mehrfachantragstellung oder Asylshopping).

Die Verordnung regelt u.a.:

• Erhebung, Übermittlung und Vergleich von Fingerabdrücken,
• Speicherfristen und Löschungsverfahren,
• Zugriffsbefugnisse verschiedener Behörden,
• Schutz der betroffenen Personenrechte.

Materieller Anwendungsbereich von Eurodac

Erfasste Personengruppen

Gemäß Artikel 9-11 Eurodac-Verordnung müssen folgende Gruppen erfasst werden:

• Personen, die einen Antrag auf internationalen Schutz (Asylantrag) stellen (Art. 9),
• Drittstaatsangehörige oder Staatenlose, die bei der irregulären Überschreitung einer Außengrenze aufgegriffen werden (Art. 14),
• Personen, die sich irregulär im Hoheitsgebiet eines Mitgliedstaates aufhalten und bei denen ein Abgleich mit Eurodac Aufschluss über den für ein Asylverfahren zuständigen Staat geben soll (Art. 17).

Erhobene und gespeicherte Daten

Für jede betroffene Personengruppe sieht Eurodac die Speicherung folgender Daten vor:

• Fingerabdrücke aller verfügbare Finger (vorzugsweise aller zehn Finger; mindestens jedoch aller erreichbaren Finger),
• Geschlecht,
• Geburtsdatum,
• Staat, der die Daten erhoben hat,
• Ort und Zeitpunkt der Erfassung,
• eine Referenznummer,
• Übermittlungsdatum.

Verfahren und technische Abläufe

Datenerhebung und Übermittlung

Die nationalen zuständigen Behörden nehmen die Fingerabdrücke mithilfe von Livescan-Systemen ab. Die erfassten Daten werden kodiert und über eine gesicherte Transmissionsstrecke an das zentrale Eurodac-System übermittelt, das bei der Agentur eu-LISA (Agentur für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts) in Straßburg angesiedelt ist.

Datenabgleich und Zuständigkeitsprüfung

Nach Eingang der Daten erfolgt ein automatisierter Abgleich mit dem Datenbestand des zentralen Eurodac-Systems. Wird ein Treffer festgestellt, kann der betreffende Mitgliedstaat Angaben über frühere Asylverfahren, bereits erfolgte Antragsstellungen oder unrechtmäßige Grenzübertritte erhalten. Dies bildet die Grundlage für die Dublin-Zuständigkeitsprüfung.

Speicherung und Löschung der Daten

Die Speicherdauer ist gesetzlich präzise geregelt:

• In Bezug auf Asylsuchende werden die Daten maximal zehn Jahre gespeichert (Art. 12),
• Bei irregulären Grenzübertritten beträgt die Speicherfrist 18 Monate,
• Bei Personen, die sich unrechtmäßig aufhalten und nicht als Asylsuchende erfasst wurden, erfolgt in der Regel keine Speicherung, sondern lediglich ein Datenabgleich („hit/no hit“).

Eine vorzeitige Löschung findet statt, wenn etwa ein Asylverfahren endgültig beendet wird, Schutz gewährt wird oder die Person sich nachweislich nicht mehr im Hoheitsgebiet befindet.

Datenschutz und Betroffenenrechte

Vereinbarkeit mit der Datenschutz-Grundverordnung (DSGVO) und spezifischen Vorgaben

Die Verarbeitung personenbezogener Daten in Eurodac erfolgt konform zu den Vorgaben der Datenschutz-Grundverordnung (EU) 2016/679 sowie spezialgesetzlichen Vorgaben der Eurodac-Verordnung selbst. Insbesondere werden Grundsätze wie Zweckbindung, Datenminimierung und Integrität durchgesetzt.

Rechte betroffener Personen

Betroffene Personen haben das Recht:

• auf Auskunft über zu ihrer Person gespeicherte Daten,
• Berichtigung unrichtiger Daten,
• Löschung unrechtmäßig gespeicherter Daten,
• Widerspruch gegen die Verarbeitung unter bestimmten Voraussetzungen.

Die Rechte können bei den zuständigen Behörden des jeweiligen Mitgliedstaates geltend gemacht werden, deren Kontaktdaten mitgeteilt werden müssen.

Datenschutzaufsicht

Die Einhaltung der datenschutzrechtlichen Bedingungen wird überwacht durch jeweils nationale Aufsichtsbehörden und, auf europäischer Ebene, durch den Europäischen Datenschutzbeauftragten (EDSB).

Zugriffsbefugnisse und Behörden

Zugriffsberechtigte Behörden

Nach geltender Verordnung erhalten nur speziell benannte Behörden der Mitgliedstaaten, die für Asyl, Grenzschutz oder Strafverfolgung zuständig sind, Zugriff auf Eurodac. Im Rahmen von Terrorismusbekämpfung oder schweren Straftaten wird der Zugang besonders geregelt und streng überwacht.

Protokollierung und Kontrolle

Alle Zugriffe auf das zentrale System werden protokolliert, um den Missbrauch von Daten nachweisbar zu machen. Die Protokolle dienen sowohl der Überprüfung von Zugriffsberechtigungen als auch der Nachverfolgung datenschutzrechtlicher Verstöße.

Verhältnis zu weiteren EU-Instrumenten

Eurodac ist eingebettet in ein Gesamtsystem europäischer IT-Strukturen des Bereiches Asyl und Migration, wie etwa das Schengener Informationssystem (SIS), das Visa-Informationssystem (VIS) und die dem Gemeinsamen Europäischen Asylsystem (GEAS) zugehörigen weiteren Instrumente. Der im Jahr 2023 mit dem Pakt über Migration und Asyl auf den Weg gebrachte Reformprozess sieht eine tiefgehende Anpassung und Erweiterung des Eurodac-Systems vor. Vorgesehen sind u. a. die Speicherung weiterer biometrischer Daten und die Ausweitung auf zusätzliche Personengruppen.

Rechtsschutz und Kontrollen

Individualrechtsschutz

Gegen unrechtmäßige Datenerhebung, -verarbeitung oder -speicherung können betroffene Personen nach nationalem Recht den Verwaltungs- oder Gerichtsweg beschreiten. Zudem besteht das Recht auf Anrufung der Datenschutzaufsichtsbehörde.

Systemkontrolle

Regelmäßige Audits und technische Sicherheitsüberprüfungen sichern die Integrität und Zuverlässigkeit des Gesamtsystems. Zudem ist eu-LISA gesetzlich verpflichtet, den Betrieb, die Wartung sowie die Weiterentwicklung des Systems entsprechend dem Stand der Technik auszuführen.

Literatur und weiterführende Rechtsquellen

• Verordnung (EU) Nr. 603/2013 über die Einrichtung von „Eurodac“
• Dublin-Verordnung (EU) Nr. 604/2013
• Datenschutz-Grundverordnung (EU) 2016/679
• Charta der Grundrechte der Europäischen Union
• Website der Agentur eu-LISA

Eurodac ist ein zentrales Element des europäischen Asylsystems, das unter strengen datenschutzrechtlichen und verfahrensrechtlichen Auflagen betrieben wird. Die fortlaufende rechtliche Entwicklung spiegelt die Herausforderungen und Reformbedarfe der gemeinsamen Migrations- und Asylpolitik in der EU wider.

Häufig gestellte Fragen

Wer ist rechtlich befugt, auf die Daten in Eurodac zuzugreifen?

Im Sinne der Eurodac-Verordnung (Verordnung (EU) Nr. 603/2013) sind ausschließlich bestimmte Behörden der Mitgliedstaaten sowie Europol berechtigt, auf die in Eurodac gespeicherten Daten zuzugreifen. Diese Behörden müssen entweder für Asylangelegenheiten, zur Identitätsfeststellung, zur Aufnahme und Prüfung von Anträgen auf internationalen Schutz oder für die Bekämpfung schwerer Straftaten und Terrorismus zuständig sein. Der Zugriff auf Eurodac-Daten ist streng reglementiert und setzt eine vorherige Überprüfung der Notwendigkeit und Verhältnismäßigkeit voraus. Für Zwecke der Strafverfolgung dürfen die Daten im Regelfall nur abgerufen werden, wenn nationale Datendateien bereits ohne Ergebnis abgefragt wurden. Die Zugriffe werden protokolliert und stehen unter Aufsicht unabhängiger Datenschutzbehörden, um Missbrauch zu verhindern.

Wie lange dürfen personenbezogene Daten im Eurodac-System gespeichert werden?

Die Speicherdauer personenbezogener Daten in Eurodac hängt von der jeweiligen Kategorie ab. Für Asylbewerber (Kategorie 1) gilt gemäß Artikel 12 der Eurodac-Verordnung eine Speicherdauer von maximal 10 Jahren ab dem Zeitpunkt der Abnahme der Fingerabdrücke. Für Personen, die beim irregulären Grenzübertritt angetroffen werden (Kategorie 2), beträgt die Speicherdauer 18 Monate; für illegale Aufenthaltsnehmer (Kategorie 3) beträgt die Speicherdauer 18 Monate ab dem Zeitpunkt der Registrierung. Werden während der jeweiligen Speicherdauer bestimmte Bedingungen erfüllt (z. B. Zuerkennung des Flüchtlingsstatus oder Erlangung der Staatsangehörigkeit eines Mitgliedstaates), sind die betreffenden Daten unverzüglich zu löschen. Die Verantwortlichkeit für die Löschung liegt bei dem Mitgliedstaat, der die Daten eingegeben hat.

Welche rechtlichen Pflichten haben Mitgliedstaaten im Zusammenhang mit Datenschutz und Datensicherheit bei Eurodac?

Mitgliedstaaten unterliegen weitreichenden Pflichten hinsichtlich Datenschutz und Datensicherheit. Die Verarbeitung personenbezogener Daten im Rahmen von Eurodac muss gemäß der Datenschutz-Grundverordnung (DSGVO, VO (EU) 2016/679), der Richtlinie (EU) 2016/680 und den spezifischen Vorschriften der Eurodac-Verordnung erfolgen. Sie sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen. Jeder Mitgliedstaat muss eine unabhängige Aufsichtsbehörde benennen, die die Verarbeitung kontrolliert. Zudem muss sichergestellt sein, dass jeder Zugriff und jede Verarbeitung protokolliert werden und die betroffenen Personen über ihre Rechte (z. B. Recht auf Auskunft, Berichtigung und Löschung) informiert werden. Datenübertragungen an Drittstaaten oder internationale Organisationen unterliegen besonders strengen Voraussetzungen und sind nur in Ausnahmefällen zulässig.

Unter welchen rechtlichen Voraussetzungen dürfen Daten aus Eurodac zur Strafverfolgung genutzt werden?

Die Weitergabe und Nutzung von Eurodac-Daten für Zwecke der Strafverfolgung richten sich nach Kapitel VI der Eurodac-Verordnung. Ein Zugriff ist nur bei schwerwiegenden Straftaten oder terroristischen Handlungen erlaubt und unterliegt strengen Voraussetzungen: Eine Anfrage kann erst gestellt werden, wenn bereits nationale Fingerabdruckdatenbanken ohne Erfolg durchsucht wurden. Ferner darf der Zugriff nur zur Identifizierung oder Feststellung des Aufenthaltsorts einer Person dienen. Die anfragende Behörde muss die Erforderlichkeit der Maßnahme begründen. Die Verarbeitung, Nutzung und Speicherung im Rahmen von Strafverfolgung ist zudem auf den Zweck und die Dauer der jeweiligen Untersuchung beschränkt. Die Protokollierung und Nachkontrolle aller Zugriffe durch unabhängige Aufsichtsbehörden ist gesetzlich vorgeschrieben.

Welche Rechte haben betroffene Personen hinsichtlich ihrer im Eurodac gespeicherten Daten?

Betroffenen Personen stehen verschiedene Rechte zu, die sowohl aus der DSGVO als auch der Eurodac-Verordnung resultieren. Dazu zählen das Recht auf Auskunft über die gespeicherten Daten, das Recht auf Berichtigung unrichtiger Daten, das Recht auf Löschung („Recht auf Vergessenwerden“), das Recht auf Einschränkung der Verarbeitung sowie das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde. Die Ausübung dieser Rechte erfolgt in der Regel beim Mitgliedstaat, der die Daten eingegeben hat. Die Behörden müssen den Betroffenen auf deren Antrag hin unverzüglich, spätestens jedoch innerhalb eines Monats, die gesetzten Maßnahmen mitteilen. Sollten etwaige Rechte auf Löschung oder Berichtigung nicht gewährt werden, besteht die Möglichkeit eines gerichtlichen oder behördlichen Rechtsschutzes.

Welche rechtlichen Regelungen gelten bei der Übertragung von Eurodac-Daten an Drittstaaten oder internationale Organisationen?

Die Übermittlung von Daten aus Eurodac an Drittstaaten oder internationale Organisationen ist grundsätzlich verboten und nur in ausdrücklich geregelten Ausnahmefällen erlaubt. Die Eurodac-Verordnung sieht vor, dass eine Übermittlung nur zulässig ist, wenn sie zwingend für die Bearbeitung eines Asylantrags, den Schutz der Rechte der betroffenen Person oder zur Feststellung der Identität aus Gründen schwerer Kriminalität erforderlich ist und der betroffene Mitgliedstaat zustimmt. Zudem sind dabei stets die einschlägigen Vorschriften der DSGVO und der Richtlinie (EU) 2016/680 zu beachten. Eine Übertragung darf keinesfalls erfolgen, wenn Grund zu der Annahme besteht, dass dadurch der Person ein Schaden entsteht, insbesondere Gefahr von Folter, unmenschlicher oder erniedrigender Behandlung oder Strafe.

Inwieweit besteht eine Pflicht zur Protokollierung und Kontrolle der Datenverwendung in Eurodac?

Jeder Zugriff auf Eurodac-Daten ist nach Art. 34 der Eurodac-Verordnung fortlaufend zu protokollieren. Diese Protokolle müssen Angaben über den Zweck, Datum und Uhrzeit des Zugriffs, die abrufende Behörde und die aufgerufenen Datensätze enthalten. Die Protokolle dienen der Überprüfung der Zulässigkeit und Korrektheit der Datenverarbeitung und werden regelmäßig von unabhängigen Datenschutzbehörden überprüft. Die Protokollierungs- und Kontrollpflichten sind ein zentrales Element zur Sicherstellung der Transparenz und Nachvollziehbarkeit der Datenverarbeitungsprozesse in Eurodac. Verstöße gegen die Protokollierungspflicht können disziplinar- und strafrechtliche Konsequenzen für die verantwortlichen Behörden und Personen zur Folge haben.