|
13.8.2008 |
DE |
Amtsblatt der Europäischen Union |
L 218/129 |
BESCHLUSS 2008/633/JI DES RATES
vom 23. Juni 2008
über den Zugang der benannten Behörden der Mitgliedstaaten und von Europol zum Visa-Informationssystem (VIS) für Datenabfragen zum Zwecke der Verhütung, Aufdeckung und Ermittlung terroristischer und sonstiger schwerwiegender Straftaten
DER RAT DER EUROPÄISCHEN UNION —
gestützt auf den Vertrag über die Europäische Union, insbesondere auf Artikel 30 Absatz 1 Buchstabe b und Artikel 34 Absatz 2 Buchstabe c,
auf Vorschlag der Kommission,
nach Stellungnahme des Europäischen Parlaments,
in Erwägung nachstehender Gründe:
|
(1) |
Mit der Entscheidung 2004/512/EG des Rates vom 8. Juni 2004 zur Einrichtung des Visa-Informationssystems (VIS) (1) wurde das VIS als System für den Austausch von Visa-Daten zwischen Mitgliedstaaten geschaffen. Die Einrichtung des VIS stellt eine der wichtigsten Initiativen im Rahmen der Strategie der Europäischen Union zur Schaffung eines Raums der Freiheit, der Sicherheit und des Rechts dar. Ziel des VIS sollte eine verbesserte Durchführung der gemeinsamen Visumpolitik sein; das VIS sollte ferner zur inneren Sicherheit und zur Bekämpfung des Terrorismus unter genau bestimmten und kontrollierten Umständen beitragen. |
|
(2) |
Auf der Tagung vom 7. März 2005 nahm der Rat Schlussfolgerungen an, denen zufolge das „Ziel der Verbesserung der inneren Sicherheit und der Terrorismusbekämpfung nur dann uneingeschränkt erreicht werden kann, wenn sichergestellt wird, dass die für die innere Sicherheit zuständigen Behörden der Mitgliedstaaten bei der Ausübung ihrer Befugnisse im Bereich der Prävention von Straftaten sowie ihrer Aufdeckung und Ermittlung, einschließlich im Hinblick auf terroristische Handlungen und Bedrohungen, Zugang zur Abfrage des VIS haben“; dieser Zugang darf nur „unter strikter Einhaltung der Vorschriften für den Schutz personenbezogener Daten“ erfolgen. |
|
(3) |
Für die Bekämpfung des Terrorismus und sonstiger schwerwiegender Straftaten ist es von größter Wichtigkeit, dass die betreffenden Stellen in ihrem jeweiligen Zuständigkeitsbereich über möglichst umfassende und aktuelle Informationen verfügen. Die zuständigen Behörden der Mitgliedstaaten sind auf Informationen angewiesen, um ihre Aufgaben erfüllen zu können. Die im VIS erfassten Informationen werden möglicherweise im Hinblick auf die Verhütung und Bekämpfung des Terrorismus und schwerwiegender Straftaten benötigt und sollten daher unter den in diesem Beschluss festgelegten Bedingungen den benannten Behörden zu Abfragezwecken zugänglich gemacht werden. |
|
(4) |
Außerdem hat der Europäische Rat festgestellt, dass Europol im Rahmen der Zusammenarbeit zwischen den Behörden der Mitgliedstaaten bei der Ermittlungsarbeit zur grenzüberschreitenden Kriminalität eine Schlüsselrolle bei der Unterstützung der Kriminalitätsprävention sowie der Analysen und Ermittlungen zu Straftaten auf Unionsebene zukommt. Daher sollte Europol bei der Wahrnehmung seiner Aufgaben im Einklang mit dem Übereinkommen vom 26. Juli 1995 über die Errichtung eines Europäischen Polizeiamts (2) ebenfalls Zugang zu den VIS-Daten haben. |
|
(5) |
Dieser Beschluss ergänzt die Verordnung (EG) Nr. 767/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über das Visa-Informationssystem (VIS) und den Datenaustausch zwischen den Mitgliedstaaten über Visa für einen kurzfristigen Aufenthalt (VIS-Verordnung) (3) insofern, als er eine Rechtsgrundlage im Rahmen von Titel VI des Vertrags über die Europäische Union schafft, die den benannten Behörden und Europol den Zugang zum VIS gestattet. |
|
(6) |
Die zuständigen Behörden der Mitgliedstaaten und die zentralen Zugangsstellen, über die der Zugang erfolgt, müssen benannt werden, und es muss eine Liste der Organisationseinheiten der benannten Behörden, die speziell zum Zwecke der Verhütung, Aufdeckung und Ermittlung von terroristischen Straftaten und sonstigen schwerwiegenden Straftaten im Sinne des Rahmenbeschlusses 2002/584/JI des Rates vom 13. Juni 2002 über den Europäischen Haftbefehl und die Übergabeverfahren zwischen den Mitgliedstaaten (4) Zugang zum VIS haben sollen, geführt werden. Es ist von wesentlicher Bedeutung, dass der Kreis der ordnungsgemäß ermächtigten Bediensteten, die das Recht auf Zugang zum VIS erhalten, auf die Personen beschränkt wird, die Zugang zu den Daten benötigen und über angemessene Kenntnisse der Datensicherheits- und Datenschutzbestimmungen verfügen. |
|
(7) |
Anträge auf Zugang zum VIS sollten von den Organisationseinheiten innerhalb der benannten Behörden an die zentralen Zugangsstellen gerichtet werden. Diese zentralen Zugangsstellen sollten dann die Anträge auf Zugang zum VIS bearbeiten, nachdem geprüft wurde, ob alle Bedingungen für den Zugang erfüllt sind. In dringenden Ausnahmefällen sollten die zentralen Zugangsstellen den Antrag unverzüglich bearbeiten und die Überprüfung, ob die Bedingungen erfüllt sind, erst nachträglich durchführen. |
|
(8) |
Damit der Schutz personenbezogener Daten gewährleistet ist und insbesondere ein routinemäßiger Zugang ausgeschlossen wird, sollte die Verarbeitung von VIS-Daten nur im Einzelfall erfolgen. Solch ein Einzelfall ist insbesondere dann gegeben, wenn der Zugang zu Abfragezwecken mit einem besonderen Vorkommnis oder mit einer durch eine schwerwiegende Straftat hervorgerufenen Gefahr oder mit einer bestimmten Person oder mehreren bestimmten Personen in Verbindung steht, bei der bzw. denen ernsthafte Gründe für die Annahme bestehen, dass sie terroristische Straftaten oder andere schwerwiegende Straftaten verübt hat bzw. haben oder verüben wird bzw. werden oder in entsprechender Verbindung zu einer solchen Person oder zu solchen Personen steht bzw. stehen. Die benannten Behörden und Europol sollten daher nur dann die im VIS gespeicherten Daten abfragen, wenn berechtigte Gründe zu der Annahme bestehen, dass diese Abfrage zu Informationen führt, die zur Verhütung von schwerwiegenden Straftaten sowie zu deren Aufdeckung und Ermittlung erheblich beitragen. |
|
(9) |
Wenn der vorgeschlagene Rahmenbeschluss über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, in Kraft getreten ist, sollte er auf die Verarbeitung personenbezogener Daten nach dem vorliegenden Beschluss angewendet werden. Bis die Bestimmungen des Rahmenbeschlusses anwendbar sind und um sie zu ergänzen, müssen jedoch geeignete Bestimmungen zur Gewährleistung des erforderlichen Datenschutzes vorgesehen werden. Jeder Mitgliedstaat sollte in seinem innerstaatlichen Recht für einen angemessenen Datenschutzstandard sorgen, der zumindest dem entspricht, der sich aus dem Übereinkommen des Europarates vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten und der diesbezüglichen Rechtsprechung nach Artikel 8 der Konvention zum Schutze der Menschenrechte und Grundfreiheiten sowie — für diejenigen Mitgliedstaaten, die es ratifiziert haben — aus dem Zusatzprotokoll zu dem genannten Übereinkommen vom 8. November 2001 ergibt, und sollte dabei die Empfehlung R (87) 15 des Ministerkomitees des Europarates vom 17. September 1987 über die Nutzung personenbezogener Daten im Polizeibereich beachten. |
|
(10) |
Es sollte regelmäßig evaluiert werden, ob eine wirksame Überwachung der Anwendung dieses Beschlusses stattfindet. |
|
(11) |
Da sich das Ziel dieses Beschlusses, nämlich die Festlegung von Verpflichtungen und Bedingungen für die Abfrage von VIS-Daten durch die benannten Behörden der Mitgliedstaaten und durch Europol, auf Ebene der Mitgliedstaaten nicht ausreichend verwirklichen lässt und daher wegen des Umfangs und der Wirkungen der Maßnahme besser auf Ebene der Europäischen Union zu erreichen ist, kann der Rat im Einklang mit dem in Artikel 5 des Vertrags zur Gründung der Europäischen Gemeinschaft niedergelegten Subsidiaritätsprinzip, auf das in Artikel 2 des Vertrags über die Europäische Union Bezug genommen wird, tätig werden. Entsprechend dem in dem erstgenannten Artikel genannten Grundsatz der Verhältnismäßigkeit geht dieser Beschluss nicht über das zur Erreichung dieses Ziels erforderliche Maß hinaus. |
|
(12) |
Im Einklang mit Artikel 47 des Vertrags über die Europäische Union berührt dieser Beschluss nicht die Zuständigkeiten der Europäischen Gemeinschaft, insbesondere im Rahmen der Verordnung (EG) Nr. 767/2008 und der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (5). |
|
(13) |
Dieser Beschluss stellt eine Weiterentwicklung der Bestimmungen des Schengen-Besitzstands dar, an denen sich das Vereinigte Königreich gemäß dem Beschluss 2000/365/EG des Rates vom 29. Mai 2000 zum Antrag des Vereinigten Königreichs Großbritannien und Nordirland, einzelne Bestimmungen des Schengen-Besitzstands auf sie anzuwenden (6), nicht beteiligt. Das Vereinigte Königreich beteiligt sich daher nicht an der Annahme dieses Beschlusses, der für das Vereinigte Königreich nicht bindend oder anwendbar ist. |
|
(14) |
Dieser Beschluss stellt eine Weiterentwicklung der Bestimmungen des Schengen-Besitzstands dar, an denen sich Irland gemäß dem Beschluss 2002/192/EG des Rates vom 28. Februar 2002 zum Antrag Irlands auf Anwendung einzelner Bestimmungen des Schengen-Besitzstands auf Irland (7) nicht beteiligt. Irland beteiligt sich daher nicht an der Annahme dieses Beschlusses, der für Irland nicht bindend oder anwendbar ist. |
|
(15) |
Nach dem Rahmenbeschluss 2006/960/JI des Rates vom 18. Dezember 2006 über die Vereinfachung des Austauschs von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union (8) können jedoch die im VIS gespeicherten Informationen dem Vereinigten Königreich und Irland von den zuständigen Behörden der Mitgliedstaaten, deren benannte Behörden nach diesem Beschluss Zugang zum VIS haben, zur Verfügung gestellt werden. Die in den einzelstaatlichen Visumregistern des Vereinigten Königreichs und Irlands gespeicherten Informationen können den zuständigen Strafverfolgungsbehörden der anderen Mitgliedstaaten zur Verfügung gestellt werden. Jede Form des direkten Zugangs der Zentralbehörden des Vereinigten Königreichs und Irlands zum VIS würde entsprechend der derzeitigen Stellung der Beteiligung der beiden Staaten am Schengen-Besitzstand den Abschluss eines Abkommens zwischen der Gemeinschaft und den betreffenden Mitgliedstaaten erfordern, das möglicherweise noch durch weitere Regeln betreffend die Bedingungen und die Verfahren für den Zugang ergänzt werden müsste. |
|
(16) |
Für Island und Norwegen stellt dieser Beschluss mit Ausnahme von Artikel 7 eine Weiterentwicklung von Bestimmungen des Schengen-Besitzstands im Sinne des Übereinkommens zwischen dem Rat der Europäischen Union sowie der Republik Island und dem Königreich Norwegen über die Assoziierung der beiden letztgenannten Staaten bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands (9) dar, die in den in Artikel 1 Buchstabe B des Beschlusses 1999/437/EG des Rates (10) zum Erlass bestimmter Durchführungsvorschriften zu jenem Übereinkommen genannten Bereich fallen. |
|
(17) |
Für die Schweiz stellt dieser Beschluss mit Ausnahme von Artikel 7 eine Weiterentwicklung von Bestimmungen des Schengen-Besitzstands im Sinne des Abkommens zwischen der Europäischen Union, der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Assoziierung der Schweizerischen Eidgenossenschaft bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands dar, die zu dem in Artikel 1 Buchstabe B des Beschlusses 1999/437/EG genannten Bereich gehören; dieser Artikel ist in Verbindung mit Artikel 4 Absatz 1 des Beschlusses 2004/849/EG des Rates (11) zu lesen. |
|
(18) |
Dieser Beschluss stellt mit Ausnahme des Artikels 6 einen auf dem Schengen-Besitzstand aufbauenden oder anderweitig damit zusammenhängenden Rechtsakt im Sinne des Artikels 3 Absatz 2 der Beitrittsakte von 2003 und des Artikels 4 Absatz 2 der Beitrittsakte von 2005 dar. |
|
(19) |
Dieser Beschluss steht im Einklang mit den Grundrechten und Grundsätzen, wie sie insbesondere in der Charta der Grundrechte der Europäischen Union niedergelegt sind — |
BESCHLIESST:
Artikel 1
Gegenstand und Anwendungsbereich
Durch diesen Beschluss werden die Bedingungen festgelegt, unter denen die benannten Behörden der Mitgliedstaaten und das Europäische Polizeiamt (Europol) für Datenabfragen zum Zwecke der Verhütung, Aufdeckung und Ermittlung terroristischer und sonstiger schwerwiegender Straftaten Zugang zum Visa-Informationssystem (VIS) erhalten können.
Artikel 2
Begriffsbestimmungen
(1) Im Sinne dieses Beschlusses bezeichnet der Ausdruck
|
a) |
„Visa-Informationssystem (VIS)“ das durch die Entscheidung 2004/512/EG geschaffene Visa-Informationssystem; |
|
b) |
„Europol“ das durch das Übereinkommen über die Errichtung eines Europäischen Polizeiamts („Europol-Übereinkommen“) vom 26. Juli 1995 geschaffene Europäische Polizeiamt; |
|
c) |
„terroristische Straftaten“ Straftaten nach innerstaatlichem Recht, die den in den Artikeln 1 bis 4 des Rahmenbeschlusses 2002/475/JI des Rates vom 13. Juni 2002 zur Terrorismusbekämpfung (12) genannten Straftaten entsprechen oder gleichwertig sind; |
|
d) |
„schwerwiegende Straftaten“ Straftaten, die den in Artikel 2 Absatz 2 des Rahmenbeschlusses 2002/584/JI aufgeführten Straftaten entsprechen oder gleichwertig sind; |
|
e) |
„benannte Behörden“ die Behörden, die für die Verhütung, Aufdeckung oder Ermittlung von terroristischen Straftaten oder sonstigen schwerwiegenden Straftaten zuständig sind und von den Mitgliedstaaten gemäß Artikel 3 benannt wurden. |
(2) Des Weiteren gelten die Begriffsbestimmungen der Verordnung (EG) Nr. 767/2008.
Artikel 3
Benannte Behörden und zentrale Zugangsstellen
(1) Die Mitgliedstaaten benennen die nach Artikel 2 Absatz 1 Buchstabe e zum Zugang zum VIS gemäß diesem Beschluss berechtigten Behörden.
(2) Jeder Mitgliedstaat führt eine Liste der benannten Behörden. Jeder Mitgliedstaat teilt bis 2. Dezember 2008 der Kommission und dem Generalsekretariat des Rates in einer Erklärung, die er jederzeit ändern oder durch eine andere Erklärung ersetzen kann, seine benannten Behörden mit.
(3) Jeder Mitgliedstaat benennt die zentrale(n) Zugangsstelle(n), über die der Zugang erfolgt. Die Mitgliedstaaten können mehr als eine zentrale Zugangsstelle benennen, wenn dies ihrer Organisations- und Verwaltungsstruktur nach Maßgabe ihrer Verfassungsordnung oder ihres innerstaatlichen Rechts entspricht. Jeder Mitgliedstaat teilt bis 2. Dezember 2008 der Kommission und dem Generalsekretariat des Rates in einer Erklärung, die er jederzeit ändern oder durch eine andere Erklärung ersetzen kann, seine zentrale(n) Zugangsstelle(n) mit.
(4) Die Kommission veröffentlicht die in den Absätzen 2 und 3 genannten Erklärungen im Amtsblatt der Europäischen Union.
(5) Jeder Mitgliedstaat führt auf nationaler Ebene eine Liste der bei den benannten Behörden angesiedelten Organisationseinheiten, die zum Zugang zum VIS über die zentrale(n) Zugangsstelle(n) ermächtigt sind.
(6) Der Zugang zum VIS nach Artikel 4 ist ausschließlich auf ordnungsgemäß befugtes Personal der Organisationseinheiten und der zentralen Zugangsstelle(n) beschränkt.
Artikel 4
Verfahren für den Zugang zum VIS
(1) Wenn die Bedingungen des Artikels 5 erfüllt sind, stellen die in Artikel 3 Absatz 5 genannten Organisationseinheiten in schriftlicher oder elektronischer Form einen begründeten Antrag auf Zugang zum VIS an die in Artikel 3 Absatz 3 genannten zentralen Zugangsstellen. Nach Eingang eines Antrags auf Zugang überprüft bzw. überprüfen die zentrale(n) Zugangsstelle(n), ob die Zugangsbedingungen des Artikels 5 erfüllt sind. Sind alle Bedingungen für den Zugang erfüllt, bearbeitet ordnungsgemäß befugtes Personal der zentrale(n) Zugangsstelle(n) die Anträge. Die VIS-Daten, auf die zugegriffen wird, werden den in Artikel 3 Absatz 5 genannten Organisationseinheiten so übermittelt, dass die Sicherheit der Daten nicht beeinträchtigt wird.
(2) In dringenden Ausnahmefällen kann bzw. können die zentrale(n) Zugangsstelle(n) schriftlich, elektronisch oder mündlich gestellte Anträge entgegennehmen. In diesen Fällen bearbeitet bzw. bearbeiten die zentrale(n) Zugangsstelle(n) den Antrag unverzüglich und überprüft bzw. überprüfen nachträglich, ob alle Bedingungen des Artikels 5 erfüllt sind; überprüft wird auch, ob tatsächlich ein dringender Ausnahmefall gegeben war. Die nachträgliche Überprüfung ist unverzüglich nach der Bearbeitung des Antrags durchzuführen.
Artikel 5
Bedingungen für den Zugang der benannten Behörden der Mitgliedstaaten zu VIS-Daten
(1) Der Zugang der benannten Behörden zum VIS zum Zwecke der Datenabfrage erfolgt im Rahmen ihrer Befugnisse und unter folgenden Bedingungen:
|
a) |
Der Zugang zum Zwecke der Datenabfrage muss für die Verhütung, Aufdeckung oder Ermittlung terroristischer oder sonstiger schwerwiegender Straftaten erforderlich sein; |
|
b) |
der Zugang zum Zwecke der Datenabfrage muss im Einzelfall erforderlich sein; |
|
c) |
es bestehen berechtigte Gründe zu der Annahme, dass die Abfrage von VIS-Daten zur Verhütung, Aufdeckung oder Ermittlung einer der genannten Straftaten erheblich beitragen wird. |
(2) Die Abfrage des VIS ist auf die Suche anhand der folgenden, im Antragsdatensatz enthaltenen VIS-Daten begrenzt:
|
a) |
Nachname, Geburtsname (frühere(r) Nachname(n)); Vorname(n); Geschlecht; Datum, Ort und Land der Geburt; |
|
b) |
derzeitige Staatsangehörigkeit und Staatsangehörigkeit zum Zeitpunkt der Geburt; |
|
c) |
Art und Nummer des Reisedokuments, ausstellende Behörde, Ausstellungsdatum und Ablauf der Gültigkeit; |
|
d) |
Hauptreiseziel und Dauer des geplanten Aufenthalts; |
|
e) |
Zweck der Reise; |
|
f) |
geplanter Tag der Ein- und Ausreise; |
|
g) |
geplanter Grenzpunkt der ersten Einreise oder geplante Durchreiseroute; |
|
h) |
Wohnort; |
|
i) |
Fingerabdrücke, |
|
j) |
Art des Visums und Nummer der Visummarke; |
|
k) |
Angaben zu der Person, die eine Einladung ausgesprochen hat und/oder verpflichtet ist, die Kosten für den Lebensunterhalt des Antragstellers während des Aufenthalts zu tragen. |
(3) Die Abfrage im VIS ermöglicht im Fall eines Treffers den Zugriff auf alle in Absatz 2 genannten Daten sowie auf
|
a) |
alle sonstigen Daten aus dem Antragsformular; |
|
b) |
Fotos; |
|
c) |
Daten, die in Bezug auf ein früher erteiltes, abgelehntes, annulliertes, aufgehobenes oder verlängertes Visum eingegeben wurden. |
Artikel 6
Bedingungen für den Zugang der benannten Behörden der Mitgliedstaaten, für die die Verordnung (EG) Nr. 767/2008 noch nicht in Kraft gesetzt wurde, zu VIS-Daten
(1) Der Zugang der benannten Behörden der Mitgliedstaaten, für die die Verordnung (EG) Nr. 767/2008 noch nicht in Kraft gesetzt wurde, zum VIS zum Zwecke der Datenabfrage erfolgt im Rahmen ihrer Befugnisse sowie
|
a) |
unter den in Artikel 5 Absatz 1 genannten Bedingungen und |
|
b) |
anhand eines hinreichend begründeten schriftlichen oder elektronischen Antrags an eine benannte Behörde eines unter die Verordnung (EG) Nr. 767/2008 fallenden Mitgliedstaats; Letztere ersucht daraufhin die zentrale(n) nationale(n) Zugangsstelle(n) um Datenabfrage im VIS. |
(2) Ein Mitgliedstaat, für den die Verordnung (EG) Nr. 767/2008 noch nicht in Kraft gesetzt wurde, stellt seine Visadaten den unter die Verordnung (EG) Nr. 767/2008 fallenden Mitgliedstaaten auf hinreichend begründeten schriftlichen oder elektronischen Antrag unter den in Artikel 5 Absatz 1 genannten Bedingungen zur Verfügung.
(3) Artikel 8 Absatz 1 und Absätze 3 bis 6, Artikel 9 Absatz 1, Artikel 10 Absätze 1 und 3, Artikel 12, Artikel 13 Absätze 1 und 3 gelten entsprechend.
Artikel 7
Bedingungen für den Zugang von Europol zu VIS-Daten
(1) Der Zugang von Europol zum VIS zum Zwecke der Datenabfrage erfolgt im Rahmen des Mandats von Europol und
|
a) |
soweit er zur Erfüllung der Aufgaben von Europol gemäß Artikel 3 Absatz 1 Nummer 2 des Europol-Übereinkommens sowie für spezifische Analysezwecke gemäß Artikel 10 des Europol-Übereinkommens erforderlich ist oder |
|
b) |
soweit er zur Erfüllung der Aufgaben von Europol gemäß Artikel 3 Absatz 1 Nummer 2 des Europol-Übereinkommens sowie für allgemeine und strategische Analysen gemäß Artikel 10 des Europol-Übereinkommens erforderlich ist, sofern die betreffenden VIS-Daten vor dieser Verarbeitung durch Europol anonymisiert und in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen unmöglich macht. |
(2) Artikel 5 Absätze 2 und 3 gilt entsprechend.
(3) Europol benennt für die Zwecke dieses Beschlusses eine spezialisierte, mit ordnungsgemäß befugtem Europol-Personal ausgestattete Organisationseinheit als zentrale Zugangsstelle, die Zugang zum VIS zum Zwecke der Datenabfrage hat.
(4) Die Verarbeitung der von Europol durch Zugriff auf das VIS erlangten Informationen unterliegt der Zustimmung des Mitgliedstaats, der die betreffenden Daten in das VIS eingegeben hat. Die Zustimmung ist über die nationale Europol-Stelle des betreffenden Mitgliedstaats einzuholen.
Artikel 8
Schutz personenbezogener Daten
(1) Die Verarbeitung der im Rahmen dieses Beschlusses abgefragten personenbezogenen Daten erfolgt nach Maßgabe der nachstehenden Bestimmungen und des innerstaatlichen Rechts des abfragenden Mitgliedstaats. In Bezug auf die Verarbeitung der im Rahmen dieses Beschlusses abgefragten personenbezogenen Daten sorgt jeder Mitgliedstaat in seinem innerstaatlichen Recht für einen angemessenen Datenschutzstandard, der zumindest dem entspricht, der sich aus dem Übereinkommen des Europarates vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten und — für diejenigen Mitgliedstaaten, die es ratifiziert haben — aus dem Zusatzprotokoll zu diesem Übereinkommen vom 8. November 2001 ergibt, und beachtet dabei die Empfehlung R (87) 15 des Ministerkomitees des Europarates vom 17. September 1987 über die Nutzung personenbezogener Daten im Polizeibereich.
(2) Die Verarbeitung personenbezogener Daten durch Europol im Sinne dieses Beschlusses erfolgt in Übereinstimmung mit dem Europol-Übereinkommen und den zu seiner Durchführung erlassenen Vorschriften und wird von der durch Artikel 24 des Übereinkommens eingesetzten unabhängigen gemeinsamen Kontrollinstanz überwacht.
(3) Die nach diesem Beschluss aus dem VIS erlangten personenbezogenen Daten dürfen lediglich für die Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung terroristischer oder anderer schwerwiegender Straftaten verarbeitet werden.
(4) Die nach diesem Beschluss aus dem VIS erlangten personenbezogenen Daten dürfen nicht Drittländern oder internationalen Organisationen übermittelt oder zugänglich gemacht werden. In dringenden Ausnahmefällen dürfen solche Daten jedoch einem Drittland oder einer internationalen Organisation ausschließlich zum Zwecke der Verhütung und Aufdeckung terroristischer und sonstiger schwerwiegender Straftaten und unter den in Artikel 5 Absatz 1 genannten Bedingungen übermittelt oder zugänglich gemacht werden, sofern der Mitgliedstaat, der die Daten in das VIS eingegeben hat, zustimmt und die innerstaatlichen Rechtsvorschriften des Mitgliedstaats, der die Daten weitergibt oder sie zugänglich macht, eingehalten werden. Die Mitgliedstaaten sorgen nach Maßgabe ihres innerstaatlichen Rechts dafür, dass solche Übermittlungen protokolliert werden und dass diese Protokolle den nationalen Datenschutzbehörden auf Anfrage zur Verfügung gestellt werden. Für die Übermittlung der Daten durch den Mitgliedstaat, der sie gemäß der Verordnung (EG) Nr. 767/2008 in das VIS eingegeben hat, gilt dessen innerstaatliches Recht.
(5) Die nach innerstaatlichem Recht für die Überwachung der Verarbeitung personenbezogener Daten durch die nach diesem Beschluss benannten Behörden zuständigen Stellen überwachen die Rechtmäßigkeit der Verarbeitung personenbezogener Daten nach diesem Beschluss. Die Mitgliedstaaten gewährleisten, dass diese Stellen über ausreichende Mittel zur Erfüllung der ihr durch diesen Beschluss übertragenen Aufgaben verfügen.
(6) Die in Absatz 5 genannten Stellen sorgen dafür, dass mindestens alle vier Jahre gegebenenfalls nach internationalen Prüfungsstandards eine Überprüfung der Verarbeitung personenbezogener Daten nach diesem Beschluss durchgeführt wird.
(7) Die Mitgliedstaaten und Europol gestatten es den in den Absätzen 2 und 5 genannten zuständigen Stellen, die für die Durchführung ihrer Aufgaben nach diesem Artikel erforderlichen Informationen zu erhalten.
(8) Die Bediensteten der Behörden mit Zugangsberechtigung zum VIS erhalten eine angemessene Schulung über die Vorschriften betreffend Datensicherheit und Datenschutz und werden über alle einschlägigen Straftaten und Strafen informiert, bevor sie ermächtigt werden, im VIS gespeicherte Daten zu verarbeiten.
Artikel 9
Datensicherheit
(1) Der verantwortliche Mitgliedstaat gewährleistet die Datensicherheit vor und während der Übermittlung sowie beim Empfang durch die benannten Behörden.
(2) Die Mitgliedstaaten treffen die erforderlichen Sicherheitsmaßnahmen in Bezug auf Daten, die gemäß diesem Beschluss aus dem VIS abgefragt und anschließend gespeichert werden sollen, insbesondere um
|
a) |
die Daten physisch zu schützen, auch durch die Aufstellung von Notfallplänen für den Schutz kritischer Infrastrukturen; |
|
b) |
Unbefugten den Zugang zu nationalen Einrichtungen zu verwehren, in denen der Mitgliedstaat Daten speichert (Zugangskontrollen zu diesen Einrichtungen); |
|
c) |
das unbefugte Lesen, Kopieren, Verändern oder Entfernen von Datenträgern zu verhindern (Datenträgerkontrolle); |
|
d) |
die unbefugte Kenntnisnahme, Veränderung oder Löschung von gespeicherten personenbezogenen Daten zu verhindern (Speicherkontrolle); |
|
e) |
die unbefugte Verarbeitung von Daten aus dem VIS zu verhindern (Kontrolle der Datenverarbeitung); |
|
f) |
sicherzustellen, dass die zum Zugang zum VIS berechtigten Personen nur mittels einer persönlichen und eindeutigen Benutzerkennung und vertraulicher Zugriffsverfahren ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle); |
|
g) |
zu gewährleisten, dass alle zum Zugang zum VIS berechtigten Behörden Profile mit einer Beschreibung der Aufgaben und Zuständigkeiten der Personen erstellen, die zum Zugriff auf die Daten sowie zu ihrer Abfrage berechtigt sind, und diese Profile den nationalen Kontrollstellen nach Artikel 8 Absatz 5 auf deren Anfrage unverzüglich zur Verfügung stellen (Personalprofile); |
|
h) |
zu gewährleisten, dass überprüft und festgestellt werden kann, welchen Stellen personenbezogene Daten durch Einrichtungen zur Datenübertragung übermittelt werden können (Übermittlungskontrolle); |
|
i) |
sicherzustellen, dass überprüft und festgestellt werden kann, welche Daten wann, von wem und zu welchem Zweck aus dem VIS abgefragt wurden (Kontrolle der Datenaufzeichnung); |
|
j) |
das unbefugte Lesen und Kopieren von personenbezogenen Daten während der Übermittlung aus dem VIS zu verhindern, insbesondere durch geeignete Verschlüsselungstechniken (Übertragungskontrolle); |
|
k) |
die Wirksamkeit der in diesem Absatz genannten Sicherheitsmaßnahmen zu überwachen und die erforderlichen organisatorischen Maßnahmen bezüglich der internen Überwachung zu treffen, um die Einhaltung der Bestimmungen dieses Beschlusses sicherzustellen (Eigenkontrolle). |
Artikel 10
Haftung
(1) Jede Person oder jeder Mitgliedstaat, der/dem durch eine rechtswidrige Verarbeitung oder durch andere gegen diesen Beschluss verstoßende Handlungen ein Schaden entsteht, hat das Recht, von dem für den Schaden verantwortlichen Mitgliedstaat Schadensersatz zu verlangen. Dieser Mitgliedstaat wird teilweise oder vollständig von seiner Haftung befreit, wenn er nachweist, dass er für den Umstand, durch den der Schaden eingetreten ist, nicht verantwortlich ist.
(2) Verursacht eine Verletzung der in diesem Beschluss festgelegten Pflichten durch einen Mitgliedstaat einen Schaden am VIS, haftet dieser Mitgliedstaat für den entstandenen Schaden, sofern und soweit es nicht ein anderer Mitgliedstaat versäumt hat, angemessene Maßnahmen zur Verhütung des Schadens oder zur Verringerung seiner Auswirkungen zu ergreifen.
(3) Die Geltendmachung von Schadensersatzansprüchen nach den Absätzen 1 und 2 gegen einen Mitgliedstaat unterliegt dem innerstaatlichen Recht des beklagten Mitgliedstaats.
Artikel 11
Eigenkontrolle
Die Mitgliedstaaten stellen sicher, dass jede Behörde mit Zugriffsberechtigung zu den Daten des VIS die erforderlichen Maßnahmen zur Einhaltung der Bestimmungen dieses Beschlusses trifft und erforderlichenfalls mit der/den nationalen Stelle(n) nach Artikel 8 Absatz 5 zusammenarbeitet.
Artikel 12
Sanktionen
Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass jede Nutzung von VIS-Daten, die den Bestimmungen dieses Beschlusses zuwiderläuft, mit wirksamen, verhältnismäßigen und abschreckenden Sanktionen, einschließlich verwaltungs- und/oder strafrechtlicher Sanktionen, geahndet wird.
Artikel 13
Aufbewahrung von VIS-Daten in nationalen Dateien
(1) Daten aus dem VIS dürfen unter Berücksichtigung der in diesem Beschluss aufgeführten Zwecke und in Übereinstimmung mit den einschlägigen rechtlichen Regelungen einschließlich derjenigen zum Datenschutz in nationalen Dateien nur gespeichert werden, wenn und solange es im Einzelfall erforderlich ist.
(2) Die innerstaatlichen Bestimmungen eines Mitgliedstaats über die Speicherung von VIS-Daten, die der betreffende Mitgliedstaat gemäß der Verordnung (EG) Nr. 767/2008 in das VIS eingegeben hat, durch die von ihm benannten Behörden in den nationalen Dateien bleiben von Absatz 1 unberührt.
(3) Jede Verwendung von Daten, die den Bestimmungen nach Absatz 1 und 2 widerspricht, ist als Missbrauch gemäß den nationalen gesetzlichen Vorschriften des Mitgliedstaats anzusehen.
Artikel 14
Recht auf Auskunft, Korrektur und Löschung
(1) Das Recht jeder Person, über die nach diesem Beschluss aus dem VIS abgefragten Daten zu ihrer Person Auskunft zu erhalten, richtet sich nach dem Recht des Mitgliedstaats, in dem das Auskunftsrecht beansprucht wird.
(2) Soweit das innerstaatliche Recht dies vorsieht, entscheidet die nationale Kontrollstelle, ob und in welcher Weise Auskunft erteilt wird.
(3) Ein anderer Mitgliedstaat als derjenige, der die Daten gemäß der Verordnung (EG) Nr. 767/2008 in das VIS eingegeben hat, darf Auskunft zu diesen Daten nur erteilen, wenn er vorher dem Mitgliedstaat, der die Daten eingegeben hat, Gelegenheit zur Stellungnahme gegeben hat.
(4) Die Auskunftserteilung an den Betroffenen unterbleibt, wenn dies zur Durchführung einer rechtmäßigen Aufgabe im Zusammenhang mit den Daten oder zum Schutz der Rechte und Freiheiten Dritter unerlässlich ist.
(5) Jeder hat das Recht, auf seine Person bezogene sachlich unrichtige Daten berichtigen oder unrechtmäßig gespeicherte Daten löschen zu lassen. Erhalten die benannten Behörden ein entsprechendes Ersuchen oder liegen ihnen Anhaltspunkte dafür vor, dass im VIS verarbeitete Daten unrichtig sind, so teilen sie dies unverzüglich der Visumbehörde des Mitgliedstaats mit, die die Daten in das VIS eingegeben hat; diese Visumbehörde überprüft die betreffenden Daten und berichtigt oder löscht sie erforderlichenfalls unverzüglich gemäß Artikel 24 der Verordnung (EG) Nr. 767/2008.
(6) Der Betroffene wird so schnell wie möglich informiert, spätestens jedoch 60 Tage nach Stellung seines Antrags auf Auskunft oder früher, wenn die innerstaatlichen Rechtsvorschriften dies vorsehen.
(7) Der Betroffene wird so schnell wie möglich, spätestens jedoch drei Monate nach Stellung seines Antrags auf Berichtigung oder Löschung, oder früher, wenn die innerstaatlichen Rechtsvorschriften dies vorsehen, davon in Kenntnis gesetzt, welche Maßnahmen zur Wahrung seines Rechts auf Berichtigung oder Löschung getroffen wurden.
(8) In allen Mitgliedstaaten hat jede Person das Recht, bei den zuständigen Behörden oder Gerichten des Mitgliedstaats Klage zu erheben oder Beschwerde einzulegen, in dem ihr das in diesem Artikel vorgesehene Zugangsrecht oder Recht auf Korrektur oder Löschung der sie betreffenden Daten verweigert wird.
Artikel 15
Kosten
Die einzelnen Mitgliedstaaten und Europol errichten und unterhalten auf eigene Kosten die für die Durchführung dieses Beschlusses erforderliche technische Infrastruktur und tragen die Kosten, die sich aus dem Zugang zum VIS zum Zwecke dieses Beschlusses ergeben.
Artikel 16
Führen von Aufzeichnungen
(1) Die einzelnen Mitgliedstaaten und Europol gewährleisten, dass alle Datenverarbeitungsvorgänge, die aus dem Zugang zum VIS für Datenabfragen gemäß diesem Beschluss resultieren, zum Zwecke der Prüfung der Zulässigkeit der Abfrage, der Überwachung der Rechtmäßigkeit der Datenverarbeitung und der Selbstkontrolle sowie zur Gewährleistung der einwandfreien Funktionsweise des Systems, der Datenintegrität und -sicherheit aufgezeichnet werden.
Diese Aufzeichnungen umfassen folgende Angaben:
|
a) |
den genauen Zweck der Datenabfrage nach Artikel 5 Absatz 1 Buchstabe a, einschließlich der betreffenden Art der terroristischen und sonstigen schwerwiegenden Straftat, und im Falle Europols den genauen Zweck der Datenabfrage nach Artikel 7 Absatz 1; |
|
b) |
das betreffende nationale Aktenzeichen; |
|
c) |
das Datum und den genauen Zeitpunkt des Zugriffs; |
|
d) |
die gegebenenfalls erfolgte Anwendung des Verfahrens nach Artikel 4 Absatz 2; |
|
e) |
die für die Abfrage verwendeten Daten; |
|
f) |
die Art der abgefragten Daten; |
|
g) |
nach Maßgabe der innerstaatlichen Rechtsvorschriften oder der Bestimmungen des Europol-Übereinkommens die Kennung des Beamten, der die Abfrage vorgenommen hat, und desjenigen Beamten, der die Abfrage oder Übermittlung angeordnet hat. |
(2) Aufzeichnungen mit personenbezogenen Daten dürfen nur zur datenschutzrechtlichen Kontrolle der Rechtmäßigkeit der Datenverarbeitung sowie zur Gewährleistung der Datensicherheit verwendet werden. Für die Überwachung und Bewertung gemäß Artikel 17 dürfen nur Aufzeichnungen verwendet werden, die keine personenbezogenen Daten enthalten.
(3) Diese Aufzeichnungen werden in geeigneter Weise vor unbefugtem Zugriff und Missbrauch geschützt und nach einer Frist von einem Jahr nach Ablauf der Frist für die Speicherung der Daten nach Artikel 23 Absatz 1 der Verordnung (EG) Nr. 767/2008 gelöscht, sofern sie nicht für bereits eingeleitete Kontrollverfahren nach Absatz 2 erforderlich sind.
Artikel 17
Überwachung und Bewertung
(1) Die in der Verordnung (EG) Nr. 767/2008 genannte Verwaltungsbehörde stellt sicher, dass Systeme vorhanden sind, um die Funktionsweise des VIS gemäß diesem Beschluss im Hinblick auf seine Ziele hinsichtlich der Leistung, Kostenwirksamkeit, Sicherheit und Qualität des Dienstes zu überwachen.
(2) Zum Zwecke der technischen Wartung hat die Verwaltungsbehörde Zugang zu den erforderlichen Informationen über die Verarbeitungsvorgänge im VIS.
(3) Zwei Jahre nach Inbetriebnahme des VIS und danach alle zwei Jahre übermittelt die Verwaltungsbehörde dem Europäischen Parlament, dem Rat und der Kommission einen Bericht über die technische Funktionsweise des VIS gemäß diesem Beschluss. Der Bericht enthält Informationen über die Leistung des VIS im Hinblick auf von der Kommission zuvor bestimmte quantitative Indikatoren und insbesondere über die Erforderlichkeit und Anwendung des Artikels 4 Absatz 2.
(4) Drei Jahre nach Inbetriebnahme des VIS und danach alle vier Jahre erstellt die Kommission eine Gesamtbewertung des VIS gemäß diesem Beschluss. Dabei misst sie die Ergebnisse an den Zielen, überprüft, ob die grundlegenden Prinzipien dieses Beschlusses weiterhin Gültigkeit haben, bewertet dessen Anwendung in Bezug auf das VIS und die Sicherheit des VIS und zieht alle gebotenen Schlussfolgerungen für den künftigen Betrieb. Die Kommission übermittelt die Bewertungsberichte dem Europäischen Parlament und dem Rat.
(5) Die Mitgliedstaaten und Europol stellen der Verwaltungsbehörde und der Kommission die für die Ausarbeitung der Berichte nach den Absätzen 3 und 4 erforderlichen Informationen zur Verfügung. Diese Informationen dürfen nicht zu einer Störung von Arbeitsverfahren führen oder Angaben enthalten, die Rückschlüsse auf Quellen, Bedienstete oder Ermittlungen der benannten Behörden gestatten.
(6) Die Verwaltungsbehörde stellt der Kommission die für die Erstellung der Gesamtbewertungen nach Absatz 4 erforderlichen Informationen zur Verfügung.
(7) Bis die Verwaltungsbehörde ihre Tätigkeit aufnimmt, ist während der Übergangszeit die Kommission für die Erstellung und Vorlage der Berichte gemäß Absatz 3 zuständig.
Artikel 18
Inkrafttreten und Anwendung
(1) Dieser Beschluss tritt am zwanzigsten Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
(2) Dieser Beschluss gilt ab dem Zeitpunkt, der vom Rat festzulegen ist, sobald ihm die Kommission mitgeteilt hat, dass die Verordnung (EG) Nr. 767/2008 in Kraft getreten und voll anwendbar ist.
Das Generalsekretariat des Rates veröffentlicht diesen Zeitpunkt im Amtsblatt der Europäischen Union.
Geschehen zu Luxemburg am 23. Juni 2008.
Im Namen des Rates
Der Präsident
I. JARC
(1) ABl. L 213 vom 15.6.2004, S. 5.
(2) ABl. C 316 vom 27.11.1995, S. 2. Zuletzt geändert durch das Protokoll zur Änderung dieses Übereinkommens (ABl. C 2 vom 6.1.2004, S. 3).
(3) Siehe Seite 60 dieses Amtsblatts.
(4) ABl. L 190 vom 18.7.2002, S. 1.
(5) ABl. L 281 vom 23.11.1995, S. 31. Richtlinie geändert durch die Verordnung (EG) Nr. 1882/2003 (ABl. L 284 vom 31.10.2003, S. 1).
(6) ABl. L 131 vom 1.6.2000, S. 43.
(7) ABl. L 64 vom 7.3.2002, S. 20.
(8) ABl. L 386 vom 18.12.2006, S. 89.
(9) ABl. L 176 vom 10.7.1999, S. 36.
(10) ABl. L 176 vom 10.7.1999, S. 31.
(11) Beschluss 2004/849/EG des Rates vom 25. Oktober 2004 über die Unterzeichnung — im Namen der Europäischen Union — des Abkommens zwischen der Europäischen Union, der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Assoziierung der Schweizerischen Eidgenossenschaft bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands und die vorläufige Anwendung einiger Bestimmungen dieses Abkommens (ABl. L 368 vom 15.12.2004, S. 26).
(12) ABl. L 164 vom 22.6.2002, S. 3.