Die zunehmende Vernetzung der Systeme ist mit erheblichen Eingriffen in die Rechte der Betroffenen verbunden und stellt datenschutzrechtliche Grundsätze in Frage. Wesentliche Schutzmechanismen für das Persönlichkeitsrecht des Einzelnen müssen aber erhalten bleiben. Hierzu gehören Zweckbindung, Datensparsamkeit,
Löschfristen, Zugriffsbeschränkungen und Kontrollierbarkeit der Datenverarbeitung. Ich werde daher die geplanten Regelungen weiterhin kritisch begleiten.
2.3.1
Smart borders und Interoperabilität - Mit EES und ETIAS auf dem Weg zu vernetzten
Grenzen
Hinter diesen Abkürzungen verbergen sich Vorhaben, mit denen umfassend Personen erfasst werden sollen, die
Schengen-Grenzen übertreten. Datenbanken sollen verknüpft, die Daten über Jahre hinweg aus allgemeinen
Sicherheitserwägungen gespeichert bleiben. Grundlegende Prinzipien des Datenschutzes sind gefährdet.
Die unter dem Schlagwort „smart borders“ verfolgten Projekte habe ich schon in vorangegangenen Tätigkeitsberichten kritisch betrachtet (24. TB Nr. 2.5.3.4., 25. TB Nr. 3.3). Der Vorschlag der Kommission für die Errichtung eines Ein- und Ausreiseregisters (Entry-Exit-System, kurz EES) sieht vor, künftig alle Grenzübertritte
von Drittstaatsangehörigen im Zusammenhang mit Kurzaufenthalten zentral zu erfassen. Dabei sollen biographische Daten, Fingerabdrücke und biometrische Gesichtsbilder sowie Einträge zu Grenzübertritten und Zurückweisungen (sog. entry-exit-records) verarbeitet werden. Das System soll mit dem Visainformationssystem (VIS) gekoppelt werden, so dass Grenzbehörden aus dem EES unmittelbar auf VIS zugreifen können und
alle Daten nur einmal gespeichert werden. Visum- und Asylbehörden sollen auf das EES für laufende Verfahren
zugreifen können, Polizeibehörden sowie Nachrichtendienste für die Abwehr und Verfolgung terroristischer und
sonstiger schwerer Straftaten.
Die umfangreichen Zugriffsmöglichkeiten, einschließlich solcher für die Nachrichtendienste, stellen den Grundsatz der Zweckbindung ebenso in Frage wie die Verknüpfung des Zugangs zu verschiedenen Datenbanken.
Hiermit wird ein System geschaffen, das umfangreich Drittstaatsangehörige erfasst, die Schengen-Grenzen
übertreten, und das diese Daten über Jahre hinweg aus allgemeinen Sicherheitserwägungen speichert. Denn ob
die Datenbank ihren Primärzweck, die Erleichterung der Grenzkontrollen, tatsächlich erreichen kann, erscheint
angesichts der komplexen Prozesse innerhalb des EES eher fraglich. Die Einrichtung einer Großdatenbank mit
biometrischen Daten zur Verfahrenserleichterung begegnet außerdem erheblichen Bedenken bei der Verhältnismäßigkeit.
Nach dem Vorschlag zur Einrichtung eines Reiseinformations- und -genehmigungssystems (European Travel
Information and Authorisation System, kurz ETIAS) sollen künftig alle visabefreit einreisenden Drittstaatsangehörigen vor einer Einreise in den Schengen-Raum über ETIAS eine Reisegenehmigung beantragen müssen.
Dieses Verfahren soll insbesondere eine vorgezogene Bewertung von Sicherheitsrisiken, Migrationsrisiken und
Gesundheitsgefahren ermöglichen. Dazu sollen biographische Daten bis hin zum Ausbildungsstand und der
aktuellen Beschäftigung erfasst werden sowie Antworten auf verschiedene Hintergrundfragen und die
IP-Adresse, von der aus der Antrag gestellt wurde. Im weitgehend automatisierten Genehmigungsverfahren
erfolgt anschließend ein Datenabgleich mit allen relevanten EU-weiten Reise-, Asyl- und Polizeiinformationssystemen sowie bestimmten Risikoindikatoren und einer Kontrollliste. Bei Treffern erfolgt eine manuelle Entscheidung über den Antrag. Neben den Genehmigungs- und Grenzkontrollbehörden erhalten insbesondere Sicherheitsbehörden Zugriff zur Abwehr und Verfolgung terroristischer und anderer schwerer Straftaten.
Das vorgeschlagene System mag einen Beitrag dazu leisten, Zurückweisungen an der Außengrenze zu vermeiden und insoweit die Grenzkontrollen zu entlasten. Im Übrigen bestehen jedoch Zweifel, ob das System überhaupt geeignet ist, Personen mit Sicherheits-, Migrations- und Gesundheitsrisiken vorab herauszufiltern. Überzeugende Beispiele sind bislang nicht vorgetragen. Der pauschale Verweis auf gute Erfahrungen in anderen
Staaten überzeugt an dieser Stelle nicht. Das gilt insbesondere, soweit die erhobenen Daten noch über die im
Visumverfahren erhobenen Daten hinausgehen. Hier stellt sich die Frage, mit welcher Berechtigung von visumbefreit Reisenden mehr Daten verlangt werden können als von denen, die ein Visum beantragen. Auch ein Be-
– 56 –
BfDI 26. Tätigkeitsbericht 2015-2016