Visa-Informationssystems die gebotenen modernen Techniken und Verfahren zur Sicherstellung eines hohen
Datensicherheitsniveaus immer noch nicht flächendeckend eingesetzt werden.
Einen weiteren Untersuchungsgegenstand bildete der Einsatz von externen Dienstleistern bei der Entgegennahme und Vorbereitung von Visumanträgen bei Vertretungen der Mitgliedstaaten im Ausland. Letztere Maßnahme
ist zwar nach Artikel 43 des Visakodex bzw. Verordnung (EG) 810/2009 des Europäischen Parlaments und des
Rates grundsätzlich zulässig. Nach Auffassung der VIS-Datenschutz-Gruppe darf dies aber nur unter Bedingungen gelten, die einen angemessenen Schutz der sehr sensiblen personenbezogenen Daten über den gesamten Be arbeitungsprozess hinweg bei allen Beteiligten gewährleisten.
5.18 EU-Staatsangehörige im Ausländerzentralregister
Die Änderung des Ausländerzentralregistergesetzes (AZRG) erfordert eine datenschutzgerechte Umsetzung.
Schon im Jahr 2008 hat der Europäische Gerichtshof (EuGH) die Speicherung von Daten zu Unionsbürgern in
einem zentralen Register wie dem AZR sowie deren Übermittlung an andere Behörden nur unter engen Voraussetzungen für zulässig erklärt (Urteil „Huber“ vom 16. Dezember 2008, Az. C-524/06). Wegen der Speicherung
und Nutzung von Daten eines freizügigkeitsberechtigten Unionsbürgers im AZR entschied das Gericht seinerzeit, personenbezogene Daten von Unionsbürgern, die nicht Staatsangehörige der Bundesrepublik Deutschland
sind, dürften nur dann im Register gespeichert und genutzt werden, wenn sie für die Anwendung aufenthalts rechtlicher Vorschriften durch die hierfür zuständigen Behörden erforderlich seien.
Der zur Umsetzung dieses Urteils vorgelegte Referentenentwurf zur Änderung des AZRG berücksichtigte die
datenschutzrechtlichen Vorgaben zunächst nur unzureichend. Erst im Laufe der Ressortabstimmung konnten
unter meiner Mitwirkung deutliche Verbesserungen (vgl. 24. TB Nr. 16.15) erzielt werden. Das Änderungsgesetz zum AZRG vom 20. Dezember 2012 ist am 1. September 2013 vollständig in Kraft getreten (vgl. BGBl. I
S. 2745).
Aufgrund dieser gesetzlichen Änderung musste im AZR zwischen freizügigkeitsberechtigten und nicht freizügigkeitsberechtigten Unionsbürgern sowie Drittstaatsangehörigen unterschieden werden. Diese Gruppen weisen
nun unterschiedlich viele Speichermerkmale sowie Differenzierungen bei der Datenübermittlung durch und an
Dritte auf.
Datenschutzrechtliche Probleme ergaben sich bei Betroffenen, die bisher keine EU-Bürger waren, dies aber zwischenzeitlich geworden sind. So stellte sich die Frage, ob und ggf. wie jetzt nicht mehr zum Datenempfang berechtigte Behörden durch die Registerbehörde im Falle einer Berichtigung, Löschung oder Sperrung (§ 38 Abs. 1
Satz 1 AZRG) benachrichtigt werden können, weil an diese für EU-Bürger keine Übermittlung mehr erfolgen
darf. Zur Lösung dieses Problems hatte ich mich in einem ersten Schritt für ein Rundschreiben seitens des Bundesamtes für Migration und Flüchtlinge an die betroffenen Dienststellen eingesetzt, um für eine Übergangszeit
ein einheitliches datenschutzgerechtes Verfahren vorzugeben. Seit Ende 2014 besteht eine den neuen Anforderungen entsprechende Lösung in rechtlicher und technischer Hinsicht, deren Umsetzung ich in meinen bereits
vorgesehenen Beratungs- und Kontrollbesuch beim Bundesverwaltungsamt einbeziehen werde.
5.19 Visa-Warndatei
Die Visa-Warndatei bedarf angesichts des sensiblen Datenbestandes einer datenschutzfreundlichen Betriebsführung.
BfDI 25. Tätigkeitsbericht 2013-2014
– 107 –