EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 02019R0816-20190611

Consolidated text: Verordnung (EU) 2019/816 des Europäischen Parlaments und des Rates vom 17. April 2019 zur Einrichtung eines zentralisierten Systems für die Ermittlung der Mitgliedstaaten, in denen Informationen zu Verurteilungen von Drittstaatsangehörigen und Staatenlosen (ECRIS-TCN) vorliegen, zur Ergänzung des Europäischen Strafregisterinformationssystems und zur Änderung der Verordnung (EU) 2018/1726

ELI: http://data.europa.eu/eli/reg/2019/816/2019-06-11

02019R0816 — DE — 11.06.2019 — 001.001


Dieser Text dient lediglich zu Informationszwecken und hat keine Rechtswirkung. Die EU-Organe übernehmen keine Haftung für seinen Inhalt. Verbindliche Fassungen der betreffenden Rechtsakte einschließlich ihrer Präambeln sind nur die im Amtsblatt der Europäischen Union veröffentlichten und auf EUR-Lex verfügbaren Texte. Diese amtlichen Texte sind über die Links in diesem Dokument unmittelbar zugänglich

►B

VERORDNUNG (EU) 2019/816 DES EUROPÄISCHEN PARLAMENTS UND DES RATES

vom 17. April 2019

zur Einrichtung eines zentralisierten Systems für die Ermittlung der Mitgliedstaaten, in denen Informationen zu Verurteilungen von Drittstaatsangehörigen und Staatenlosen (ECRIS-TCN) vorliegen, zur Ergänzung des Europäischen Strafregisterinformationssystems und zur Änderung der Verordnung (EU) 2018/1726

(ABl. L 135 vom 22.5.2019, S. 1)

Geändert durch:

 

 

Amtsblatt

  Nr.

Seite

Datum

►M1

VERORDNUNG (EU) 2019/818 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 20. Mai 2019

  L 135

85

22.5.2019




▼B

VERORDNUNG (EU) 2019/816 DES EUROPÄISCHEN PARLAMENTS UND DES RATES

vom 17. April 2019

zur Einrichtung eines zentralisierten Systems für die Ermittlung der Mitgliedstaaten, in denen Informationen zu Verurteilungen von Drittstaatsangehörigen und Staatenlosen (ECRIS-TCN) vorliegen, zur Ergänzung des Europäischen Strafregisterinformationssystems und zur Änderung der Verordnung (EU) 2018/1726



KAPITEL I

Allgemeine Bestimmungen

Artikel 1

Gegenstand

Mit dieser Verordnung

a) wird ein System zur Ermittlung der Mitgliedstaaten eingerichtet, in denen Informationen zu früheren Verurteilungen von Drittstaatsangehörigen vorliegen („ECRIS-TCN“);

b) wird festgelegt, unter welchen Bedingungen die Zentralbehörden das ECRIS-TCN zu verwenden haben, um Informationen zu solchen früheren Verurteilungen über das mit dem Beschluss 2009/316/JI eingerichtete Europäische Strafregisterinformationssystem (ECRIS) zu erhalten, und unter welchen Bedingungen Eurojust, Europol und die EUStA das ECRIS-TCN zu verwenden haben;

▼M1

c) werden die Bedingungen festgelegt, unter denen das ECRIS-TCN durch die Speicherung von Identitätsdaten, Reisedokumentendaten und biometrischen Daten in dem CIR zur Erleichterung und Unterstützung bei der korrekten Identifizierung von im ECRIS-TCN erfassten Personen unter den Voraussetzungen und für die Zwecke des Artikels 20 der Verordnung (EU) 2019/818 des Europäischen Parlaments und des Rates ( 1 ) beiträgt.

▼M1

Artikel 2

Anwendungsbereich

Diese Verordnung gilt für die Verarbeitung von Identitätsangaben zu in Mitgliedstaaten verurteilten Drittstaatsangehörigen zum Zwecke der Ermittlung der Mitgliedstaaten, in denen solche Verurteilungen ergangen sind. Mit Ausnahme von Artikel 5 Absatz 1 Buchstabe b Ziffer ii gelten die für Drittstaatsangehörige geltenden Bestimmungen dieser Verordnung auch für Unionsbürger, die auch die Staatsangehörigkeit eines Drittstaats besitzen und in den Mitgliedstaaten verurteilt worden sind. Diese Verordnung dient auch zum Zwecke der Erleichterung und Unterstützung bei der korrekten Identifizierung von Personen gemäß dieser Verordnung und der Verordnung (EU) 2019/818.

▼B

Artikel 3

Begriffsbestimmungen

Für die Zwecke dieser Verordnung bezeichnet der Ausdruck

1. „Verurteilung“ jede rechtskräftige Entscheidung eines Strafgerichts gegen eine natürliche Person im Zusammenhang mit einer Straftat, sofern diese Entscheidung in das Strafregister des Urteilsmitgliedstaats eingetragen wird;

2. „Strafverfahren“ die Phase vor dem Strafverfahren, das Strafverfahren und die Strafvollstreckung;

3. „Strafregister“ das nationale oder die nationalen Register, in das bzw. die Verurteilungen nach Maßgabe des nationalen Rechts eingetragen werden;

4. „Urteilsmitgliedstaat“ den Mitgliedstaat, in dem ein Verurteilung erfolgt ist;

5. „Zentralbehörde“ eine gemäß Artikel 3 Absatz 1 des Rahmenbeschlusses 2009/315/JI des Rates benannte Behörde;

6. „zuständige Behörden“ die Zentralbehörden und Eurojust, Europol und die EUStA, die gemäß der vorliegenden Verordnung Zugang zum ECRIS-TCN haben und dieses System abfragen dürfen;

7. „Drittstaatsangehöriger“ eine Person, die kein Bürger der Union im Sinne des Artikels 20 Absatz 1 AEUV ist, oder eine staatenlose Person oder eine Person, deren Staatsangehörigkeit nicht bekannt ist;

▼M1 —————

▼B

9. „Schnittstellensoftware“ die Software der zuständigen Behörden, mittels deren sie über die Kommunikationsinfrastruktur nach Artikel 4 Absatz 1 Buchstabe d Zugang zum Zentralsystem erhalten;

10. „Identitätsangaben“ alphanumerische Daten, Fingerabdruckdaten und Gesichtsbilder, die verwendet werden, um eine Verbindung zwischen diesen Daten und einer natürlichen Person herzustellen;

11. „alphanumerische Daten“ Daten in Form von Buchstaben, Ziffern, Sonderzeichen, Leerzeichen und Satzzeichen;

12. „Fingerabdruckdaten“ die Daten zu den flachen und abgerollten Abdrücken aller Finger einer Person;

13. „Gesichtsbild“ ein digitales Bild des Gesichts einer Person;

14. „Treffer“ eine oder mehrere festgestellte Übereinstimmungen zwischen den im Zentralsystem gespeicherten Identitätsangaben und den für eine Suche verwendeten Identitätsangaben;

15. „zentrale nationale Zugangsstelle“ den nationalen Zugangspunkt zur Kommunikationsinfrastruktur nach Artikel 4 Absatz 1 Buchstabe d;

16. „ECRIS-Referenzimplementierung“ die Software, die die Kommission entwickelt und den Mitgliedstaaten für den Austausch von Strafregisterinformationen über das ECRIS zur Verfügung stellt.

17. „nationale Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß den dafür geltenden Datenschutzbestimmungen der Union eingerichtete unabhängige staatliche Stelle;

18. „Aufsichtsbehörden“ der Europäische Datenschutzbeauftragte und die nationalen Aufsichtsbehörden;

▼M1

19. „CIR“ den durch Artikel 17 Absatz 1 der Verordnung (EU) 2019/818 eingerichteten gemeinsamen Speicher für Identitätsdaten;

20. „ECRIS-TCN-Daten“ sämtliche Daten, die gemäß Artikel 5 im Zentralsystem und im CIR gespeichert sind;

21. „ESP“ das durch Artikel 6 Absatz 1 der Verordnung (EU) 2019/818 eingerichtete Europäische Suchportal.

▼B

Artikel 4

Technische Architektur des ECRIS-TCN

(1)  ECRIS-TCN setzt sich zusammen aus:

▼M1

a) ein Zentralsystem;

▼M1

aa) das CIR;

▼B

b) einer nationalen zentralen Zugangsstelle in jedem Mitgliedstaat;

c) einer Schnittstellensoftware, mittels deren die zuständigen Behörden über die zentrale nationale Zugangsstelle und die in Buchstabe d genannte Kommunikationsinfrastruktur Zugang zum Zentralsystem erhalten;

d) einer Kommunikationsinfrastruktur zwischen dem Zentralsystem und den zentralen nationalen Zugangsstellen;

▼M1

e) einer Kommunikationsinfrastruktur zwischen dem Zentralsystem und den zentralen Infrastrukturen des ESP und des CIR .

▼B

(2)  Das Zentralsystem ist an den technischen Betriebsstätten von eu-LISA angesiedelt.

(3)  Die Schnittstellensoftware wird in die ECRIS-Referenzimplementierung integriert. Die Mitgliedstaaten verwenden die ECRIS-Referenzimplementierung oder — in den Fällen und unter den Voraussetzungen der Absätze 4 bis 8 — die nationale ECRIS-Implementierungssoftware für Abfragen im ECRIS-TCN sowie für die Übermittlung darauffolgender Ersuchen um Strafregisterinformationen.

(4)  Die Mitgliedstaaten, die ihre nationale ECRIS-Implementierungssoftware verwenden, sind dafür verantwortlich, ihre nationale ECRIS-Implementierungssoftware so zu gestalten, dass die nationalen Strafregisterbehörden das ECRIS-TCN, mit Ausnahme der Schnittstellensoftware, nach Maßgabe dieser Verordnung nutzen können. Zu diesem Zweck gewährleisten sie vor dem Zeitpunkt der Aufnahme des Betriebs des ECRIS-TCN gemäß Artikel 35 Absatz 4, dass ihre nationale ECRIS-Implementierungssoftware gemäß den Protokollen und technischen Spezifikationen funktioniert, die mit den in Artikel 10 genannten Durchführungsrechtsakten festgelegt werden, sowie gemäß allen weiteren auf diesen Durchführungsrechtsakten beruhenden technischen Vorschriften, die von eu-LISA gemäß dieser Verordnung festgelegt werden.

(5)  Solange die Mitgliedstaaten, die ihre nationale ECRIS-Implementierungssoftware verwenden, die ECRIS-Referenzimplementierung nicht verwenden, stellen sie zudem sicher, dass alle späteren technischen Anpassungen ihrer nationalen ECRIS-Implementierungssoftware, die infolge etwaiger Änderungen der technischen Anforderungen erforderlich sind, die mit den in Artikel 10 genannten Durchführungsrechtsakten festgelegt werden, oder die infolge von Änderungen aller weiteren, auf diesen Rechtsakten beruhenden technischen Anforderungen von eu-LISA gemäß dieser Verordnung beschlossen werden, unverzüglich implementiert werden.

(6)  Die Mitgliedstaaten, die ihre nationale ECRIS-Implementierungssoftware verwenden, tragen alle Kosten im Zusammenhang mit der Implementierung, Wartung und Weiterentwicklung ihrer nationalen ECRIS-Implementierungssoftware und deren Verbindung zum ECRIS-TCN, mit Ausnahme der Schnittstellensoftware.

(7)  Ist ein Mitgliedstaat, der seine nationale ECRIS-Implementierungssoftware verwendet, nicht in der Lage, seine Verpflichtungen nach diesem Artikel zu erfüllen, so ist er verpflichtet, zur Nutzung des ECRIS-TCN die ECRIS-Referenzimplementierung einschließlich der integrierten Schnittstellensoftware zu verwenden.

(8)  Für die Zwecke der von der Kommission nach Artikel 36 Absatz 10 Buchstabe b durchzuführenden Bewertung stellen die betreffenden Mitgliedstaaten der Kommission alle erforderlichen Informationen bereit.



KAPITEL II

Eingabe und Verwendung von Daten durch Zentralbehörden

Artikel 5

Eingabe von Daten in das ECRIS-TCN

▼M1

1.  Die Zentralbehörde des Urteilsmitgliedstaats erstellt für jeden verurteilten Drittstaatsangehörigen einen Datensatz im ECRIS-TCN. Dieser Datensatz enthält folgende Angaben:

▼B

a) alphanumerische Daten:

i) einzufügende Informationen, es sei denn, diese Informationen sind der Zentralbehörde im Einzelfall nicht bekannt (obligatorische Informationen):

 Nachname (Familienname);

 Vorname(n);

 Geburtsdatum;

 Geburtsort (Gemeinde und Staat);

 Staatsangehörigkeit(en);

 Geschlecht;

 gegebenenfalls frühere Namen;

 nationale Referenznummer des Urteilsmitgliedstaats;

ii) Informationen, die aufzunehmen sind, wenn sie in das Strafregister eingetragen sind (fakultative Informationen):

 Namen der Eltern;

iii) Informationen, die aufzunehmen sind, wenn sie der Zentralbehörde vorliegen (zusätzliche Informationen):

 Identitätsnummer der Person oder Art und Nummer der Identitätsdokumente der Person sowie Name der ausstellenden Behörde;

 Pseudonyme oder Aliasnamen;

b) Fingerabdruckdaten:

i) Fingerabdrückedruckdaten, die gemäß dem nationalen Recht im Rahmen eines Strafverfahrens abgenommen wurden;

ii) mindestens Fingerabdruckdaten, die nach einem der folgenden Kriterien abgenommen wurden:

 wenn der Drittstaatsangehörige zu einer Freiheitsstrafe von mindestens sechs Monaten verurteilt wurde;

 wenn der Drittstaatsangehörige für eine Straftat verurteilt wurde, die nach dem Recht des Mitgliedstaats mit einer Freiheitsstrafe im Höchstmaß von mindestens zwölf Monaten bedroht ist.

▼M1

(1a)  Der CIR enthält die Daten nach Absatz 1 Buchstabe b und folgende Daten nach Absatz 1 Buchstabe a: Nachname (Familienname), Vornamen, Geburtsdatum, Geburtsort (Gemeinde und Staat), Staatsangehörigkeit(en), Geschlecht, gegebenenfalls frühere Namen, Pseudonyme und/oder Aliasnamen (sofern vorhanden); falls verfügbar, Art und Nummer der Reisedokumente der Person sowie Bezeichnung der ausstellenden Behörde. Der CIR kann die in Absatz 3 genannten Daten enthalten. Die übrigen ECRIS-TCN-Daten werden im Zentralsystem gespeichert.

▼B

(2)  Die Fingerabdruckdaten nach Absatz 1 Buchstabe b dieses Artikels müssen den technischen Spezifikationen an Qualität, Auflösung und Verarbeitung von Fingerabdruckdaten gemäß dem in Artikel 10 Absatz 1 Buchstabe b genannten Durchführungsakt entsprechen. Die Referenznummer der Fingerabdruckdaten der verurteilten Person muss die nationale Referenznummer des Urteilsmitgliedstaats enthalten.

(3)  Der Datensatz kann auch Gesichtsbilder des verurteilten Drittstaatsangehörigen enthalten, sofern gemäß dem nationalen Recht des Urteilsmitgliedstaats die Aufnahme und Speicherung von Gesichtsbildern verurteilter Personen zulässig sind.

(4)  Nach Erfassung der Verurteilung im Strafregister legt der Urteilsmitgliedstaat den Datensatz soweit möglich automatisch und unverzüglich an.

(5)  Die Urteilsmitgliedstaaten legen auch Datensätze zu Verurteilungen an, die vor dem Tag des Beginns der Dateneingabe nach Artikel 35 Absatz 1 erfolgt sind, soweit Daten zu verurteilten Personen in ihren nationalen Datenbanken erfasst werden. In diesen Fällen werden Fingerabdruckdaten nur aufgenommen, wenn sie im Rahmen von Strafverfahren gemäß dem nationalen Recht abgenommen wurden und wenn sie mit anderen Identitätsangaben in Strafregistern eindeutig übereinstimmen.

(6)  Um den Anforderungen des Absatzes 1 Buchstabe b Ziffern i und ii und des Absatzes 5 nachzukommen, können die Mitgliedstaaten Fingerabdruckdaten verwenden, die für andere Zwecke als Strafverfahren abgenommen wurden, sofern eine solche Verwendung nach nationalem Recht zulässig ist.

Artikel 6

Gesichtsbilder

(1)  Bis zum Inkrafttreten des in Absatz 2 vorgesehenen delegierten Rechtsakts dürfen Gesichtsbilder nur verwendet werden, um die Identität eines Drittstaatsangehörigen, der infolge eines Abgleichs von alphanumerischen Daten oder Fingerabdruckdaten identifiziert wurde, nachzuweisen.

(2)  Der Kommission wird die Befugnis übertragen, gemäß Artikel 37 zur Ergänzung dieser Verordnung delegierte Rechtsakte über die Verwendung von Gesichtsbildern zur Identifizierung von Drittstaatsangehörigen zu erlassen, um — sobald das technisch möglich ist — auf der Grundlage dieses biometrischen Identifikators festzustellen, in welchen Mitgliedstaaten Informationen über frühere Verurteilungen dieser Personen vorliegen. Bevor die Kommission diese Befugnis ausübt, bewertet sie unter Berücksichtigung der Notwendigkeit und Verhältnismäßigkeit sowie der technischen Entwicklungen im Bereich der Gesichtserkennungssoftware die Verfügbarkeit und Einsatzfähigkeit der erforderlichen Technik.

Artikel 7

Nutzung des ECRIS-TCN für die Ermittlung der Mitgliedstaaten, in denen Strafregisterinformationen vorliegen

(1)  Die Zentralbehörden nutzen das ECRIS-TCN zur Ermittlung der Mitgliedstaaten, in denen Strafregisterinformationen zu einem Drittstaatsangehörigen vorliegen, um über das ECRIS Informationen zu früheren Verurteilungen erhalten zu können, wenn in dem betreffenden Mitgliedstaat entsprechende Informationen zu dieser Person für die Zwecke eines gegen sie gerichteten Strafverfahrens oder für einen der folgenden, nach Maßgabe des nationalen Rechts vorgesehenen und zulässigen Zwecke benötigt werden:

 Überprüfung der eigenen Strafregistereintragungen einer Person auf deren Antrag hin;

 Sicherheitsüberprüfungen;

 Einholung einer Genehmigung oder Lizenz;

 Überprüfung bei Personaleinstellung;

 Überprüfung auf ehrenamtliche Tätigkeiten, bei denen es zu direkten und regelmäßigen Kontakten mit Kindern oder schutzbedürftigen Personen kommt;

 Visa-, Einbürgerungs- und Migrationsverfahren, einschließlich Asylverfahren, und

 Überprüfungen im Zusammenhang mit öffentlichen Aufträgen und öffentlichen Auswahlverfahren.

In besonderen Fällen — außer in den Fällen, in denen ein Drittstaatsangehöriger bei der Zentralbehörde einen Antrag auf Informationen über die ihn betreffenden Strafregistereintragungen stellt, oder wenn der Antrag gestellt wird, um Strafregisterinformationen gemäß Artikel 10 Absatz 2 der Richtlinie 2011/93/EU zu erhalten — kann die Behörde, die Auskunft aus dem Strafregisterbeantragt, jedoch entscheiden, dass eine solche Nutzung des ECRIS-TCN nicht angezeigt ist.

(2)  Jeder Mitgliedstaat, der — sofern gemäß und entsprechend dem nationalen Recht vorgesehen — beschließt, das ECRIS-TCN für andere als die in Absatz 1 aufgeführten Zwecke zu nutzen, um über das ECRIS Informationen zu früheren Verurteilungen zu erhalten, teilt der Kommission bis zum Zeitpunkt der Aufnahme des Betriebs gemäß Artikel 35 Absatz 4 oder zu einem späteren Zeitpunkt diese anderen Zwecke sowie jede Änderung dieser Zwecke mit. Die Kommission veröffentlicht solche Mitteilungen im Amtsblatt der Europäischen Union innerhalb von 30 Tagen nach dem Eingang der Mitteilungen.

(3)  Eurojust, Europol und die EUStA sind berechtigt, gemäß den Artikeln 14 bis 18 das ECRIS-TCN abzufragen, um festzustellen, in welchen Mitgliedstaaten Strafregisterinformationen zu einem Drittstaatsangehörigen vorliegen. Diese Unionseinrichtungen und -agenturen sind allerdings nicht berechtigt, Daten in das ECRIS-TCN einzugeben oder darin enthaltene Daten zu berichtigen oder zu löschen.

(4)  Zu den Zwecken der Absätze 1, 2 und 3 können die zuständigen Behörden Abfragen im ECRIS-TCN auch durchführen, um zu überprüfen, ob zu einer Person, die die Unionsbürgerschaft besitzt, in einem Mitgliedstaat Strafregisterinformationen zu dieser Person als Drittstaatsangehörigem vorliegen.

(5)  Die zuständigen Behörden dürfen bei der Abfrage des ECRIS-TCN alle oder lediglich einige der in Artikel 5 Absatz 1 genannten Daten verwenden. Der zur Abfrage des Systems erforderliche Mindestdatensatz wird in einem Durchführungsrechtsakt festgelegt, der nach Artikel 10 Absatz 1 Buchstabe g erlassen wird.

(6)  Die zuständigen Behörden können Abfragen im ECRIS-TCN auch anhand von Gesichtsbildern durchführen, sofern diese Funktion gemäß Artikel 6 Absatz 2 in das System integriert ist.

(7)  Bei einem Treffer stellt das Zentralsystem der zuständigen Behörde automatisch Informationen darüber bereit, in welchen Mitgliedstaaten Strafregisterinformationen zu den betreffenden Drittstaatsangehörigen vorliegen, einschließlich der damit verbundenen nationalen Referenznummern und sämtlicher dazugehörigen Identitätsangaben. Diese Identitätsangaben dürfen nur verwendet werden, um die Identität des betreffenden Drittstaatsangehörigen nachzuweisen. Das Ergebnis einer Abfrage im Zentralsystem darf lediglich für die Zwecke eines Ersuchens nach Artikel 6 des Rahmenbeschlusses 2009/315/JI oder eines Ersuchens nach Artikel 17 Absatz 3 dieser Verordnung genutzt werden.

(8)  Wenn es keinen Treffer gibt, wird die zuständige Behörde automatisch vom Zentralsystem informiert.



KAPITEL III

Speicherung und Änderung der Daten

Artikel 8

Speicherfrist

▼M1

(1)  Jeder Datensatz wird so lange im Zentralsystem und im CIR gespeichert, wie die Daten zu den Verurteilungen der betreffenden Person in den Strafregistern gespeichert sind.

(2)  Nach Ablauf der in Absatz 1 genannten Speicherfrist löscht die Zentralbehörde des Urteilsmitgliedstaats den Datensatz, einschließlich Fingerabdruckdaten oder Gesichtsbildern, aus dem Zentralsystem und aus dem CIR. Die Löschung erfolgt nach Möglichkeit automatisch und in jedem Fall spätestens einen Monat nach Ablauf der Speicherfrist.

▼B

Artikel 9

Änderung und Löschung von Daten

(1)  Die Mitgliedstaaten dürfen die Daten, die sie ►M1  in das Zentralsystem und in das CIR ◄ eingespeist haben, ändern oder löschen.

(2)  Wenn Informationen in den Strafregistern, auf deren Grundlage ein Datensatz nach Artikel 5 angelegt wurde, geändert werden, so führt der Urteilsmitgliedstaat unverzüglich dieselbe Änderung des ►M1  aus dem Zentralsystem ◄ gespeicherten Datensatzes durch.

(3)  Hat ein Urteilsmitgliedstaat Grund zu der Annahme, dass die von ihm ►M1  im Zentralsystem und im CIR ◄ gespeicherten Daten unrichtig sind oder dass bei der Verarbeitung der Daten ►M1  im Zentralsystem und im CIR ◄ gegen Bestimmungen dieser Verordnung verstoßen wurde, so wird er wie folgt tätig:

a) Er leitet umgehend ein Verfahren zur Überprüfung der Richtigkeit der betreffenden Daten oder gegebenenfalls der Rechtmäßigkeit ihrer Verarbeitung ein;

b) erforderlichenfalls berichtigt er die Daten unverzüglich oder löscht sie unverzüglich ►M1  aus dem Zentralsystem und aus dem CIR ◄ .

(4)  Hat ein anderer Mitgliedstaat als der Urteilsmitgliedstaat, der die Daten eingespeist hat, Grund zu der Annahme, dass die ►M1  im Zentralsystem und im CIR ◄ gespeicherten Daten unrichtig sind oder dass bei der Verarbeitung der Daten ►M1  im Zentralsystem und im CIR ◄ gegen Bestimmungen dieser Verordnung verstoßen wurde, so benachrichtigt er unverzüglich die Zentralbehörde des Urteilsmitgliedstaats.

Der Urteilsmitgliedstaat wird wie folgt tätig:

a) Er leitet umgehend ein Verfahren zur Überprüfung der Richtigkeit der betreffenden Daten oder gegebenenfalls der Rechtmäßigkeit ihrer Verarbeitung ein;

b) erforderlichenfalls berichtigt er die Daten unverzüglich oder löscht sie unverzüglich ►M1  aus dem Zentralsystem und aus dem CIR ◄ ;

c) er unterrichtet den anderen Mitgliedstaat unverzüglich über die Berichtigung oder Löschung der Daten oder über die Gründe, weshalb von einer Berichtigung oder Löschung abgesehen wurde.



KAPITEL IV

Entwicklung, Betrieb und Zuständigkeiten

Artikel 10

Erlass von Durchführungsrechtsakten durch die Kommission

(1)  Die Kommission erlässt so bald wie möglich die für die technische Entwicklung und Implementierung des ECRIS-TCN erforderlichen Durchführungsrechtsakte, insbesondere Bestimmungen über:

a) die technischen Spezifikationen für die Verarbeitung von alphanumerischen Daten;

b) die technischen Spezifikationen für die Qualität, Auflösung und Verarbeitung von Fingerabdruckdaten;

c) die technischen Spezifikationen für die Schnittstellensoftware;

d) die technischen Spezifikationen für die Qualität, Auflösung und Verarbeitung von Gesichtsbildern für die Zwecke und nach Maßgabe des Artikels 6;

e) die Qualität der Daten, einschließlich eines Mechanismus und Verfahren zur Durchführung von Kontrollen zur Datenqualität;

f) die Dateneingabe gemäß Artikel 5;

g) den Zugang zum ECRIS-TCN und dessen Abfrage gemäß Artikel 7;

h) die Änderung und Löschung von Daten gemäß den Artikeln 8 und 9;

i) das Führen von Protokollen und den Zugang zu diesen gemäß Artikel 31;

▼M1 —————

▼B

k) die Erstellung von Statistiken gemäß Artikel 32;

l) die Leistungs- und Verfügbarkeitskriterien des ECRIS-TCN, einschließlich Mindestspezifikationen und -anforderungen an die Verarbeitung und Speicherung biometrischer Daten des ECRIS-TCN insbesondere zu den maximal zulässigen Quoten der falsch positiven Identifizierungen und der falsch negativen Identifizierungen.

(2)  Die in Absatz 1 genannten Durchführungsrechtsakte werden nach dem in Artikel 38 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 11

Entwicklung und Betriebsmanagement des ECRIS-TCN

(1)  Für die Entwicklung des ECRIS-TCN nach dem Grundsatz des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen ist eu-LISA verantwortlich. Außerdem ist eu-LISA für das Betriebsmanagement des ECRIS-TCN verantwortlich. Die Entwicklung umfasst die Ausarbeitung und Anwendung der technischen Spezifikationen, die Erprobung und die Projektgesamtkoordination.

(2)  eu-LISA ist auch für die Weiterentwicklung und Wartung der ECRIS-Referenzimplementierung verantwortlich.

(3)  eu-LISA legt das Konzept für die physische Architektur des ECRIS-TCN einschließlich der technischen Spezifikationen und der Weiterentwicklung des Zentralsystems, der zentralen nationalen Zugangsstelle und der Schnittstellensoftware fest. Dieses Konzept wird, vorbehaltlich einer befürwortenden Stellungnahme der Kommission, vom Verwaltungsrat von eu-LISA verabschiedet.

(4)  eu-LISA sorgt dafür, dass das ECRIS-TCN so bald wie möglich nach Inkrafttreten dieser Verordnung und nach Erlass der in Artikel 10 genannten Durchführungsrechtsakte durch die Kommission entwickelt und implementiert wird.

(5)  Vor der Konzeptions- und Entwicklungsphase des ECRIS-TCN richtet der Verwaltungsrat von eu-LISA einen Programmverwaltungsrat ein, der aus zehn Mitgliedern besteht.

Dem Programmverwaltungsrat gehören acht vom Verwaltungsrat ernannte Mitglieder, der Vorsitzende der Beratergruppe nach Artikel 39 sowie ein von der Kommission ernanntes Mitglied an. Die vom Verwaltungsrat ernannten Mitglieder werden nur aus dem Kreis derjenigen Mitgliedstaaten gewählt, die nach dem Unionsrecht in vollem Umfang durch die für das ECRIS geltenden Rechtsinstrumente gebunden sind und die sich am ECRIS-TCN beteiligen werden. Der Verwaltungsrat sorgt dafür, dass die von ihm ernannten Mitglieder im Programmverwaltungsrat über die notwendige Erfahrung und Fachkompetenz in der Entwicklung und Verwaltung von IT-Systemen zur Unterstützung der Justiz- und Strafregisterbehörden verfügen.

eu-LISA beteiligt sich an den Arbeiten des Programmverwaltungsrats. Zu diesem Zweck nehmen Vertreter von eu-LISA an den Sitzungen des Programmverwaltungsrats teil, um über die Arbeiten an der Konzeption und Entwicklung des ECRIS-TCN und über weitere damit zusammenhängende Arbeiten und Tätigkeiten zu berichten.

Der Programmverwaltungsrat tritt mindestens alle drei Monate zusammen, nötigenfalls auch häufiger. Er gewährleistet die angemessene Verwaltung der Konzeptions- und Entwicklungsphase des ECRIS-TCN sowie die Kohärenz zwischen zentralen und nationalen ECRIS-TCN-Projekten und der nationalen Implementierungssoftware. Der Programmverwaltungsrat erstattet dem Verwaltungsrat von eu-LISA regelmäßig — nach Möglichkeit monatlich — schriftlich Bericht über die Fortschritte des Projekts. Der Programmverwaltungsrat hat keine Entscheidungsbefugnis und kein Mandat zur Vertretung der Mitglieder des Verwaltungsrats.

(6)  Der Programmverwaltungsrat legt seine Geschäftsordnung fest, in der insbesondere Folgendes geregelt ist:

a) Vorsitz,

b) Sitzungsorte,

c) Vorbereitung von Sitzungen,

d) Zulassung von Sachverständigen zu den Sitzungen,

e) Kommunikationspläne, durch die gewährleistet ist, dass die nichtteilnehmenden Mitglieder des Verwaltungsrats lückenlos unterrichtet werden.

(7)  Den Vorsitz des Programmverwaltungsrats übernimmt ein Mitgliedstaat, der nach dem Unionsrecht in vollem Umfang durch die Rechtsinstrumente gebunden ist, die für das ECRIS und für die Entwicklung, die Errichtung, den Betrieb und die Nutzung aller von eu-LISA verwalteten IT-Großsysteme gelten.

(8)  eu-LISA trägt sämtliche Kosten für Reise und Aufenthalt, die den Mitgliedern des Programmverwaltungsrates entstehen. Artikel 10 der Geschäftsordnung von eu-LISA gilt entsprechend. Das Sekretariat des Programmverwaltungsrats wird von eu-LISA gestellt.

(9)  Während der Konzeptions- und Entwicklungsphase gehören der Beratergruppe nach Artikel 39 die nationalen ECRIS-TCN- -Projektmanager an, wobei eu-LISA den Vorsitz innehat. Während der Konzeptions- und Entwicklungsphase bis zur Aufnahme des Betriebs des ECRIS-TCN tritt die Gruppe regelmäßig, nach Möglichkeit mindestens einmal im Monat zusammen. Nach jeder Sitzung erstattet sie dem Programmverwaltungsrat Bericht. Sie stellt den technischen Sachverstand zur Unterstützung des Programmverwaltungsrats bei seinen Aufgaben bereit und überwacht den Stand der Vorbereitung in den Mitgliedstaaten.

(10)  Um die Vertraulichkeit und Integrität der im ECRIS-TCN gespeicherten Daten jederzeit zu gewährleisten, sorgt eu-LISA in Zusammenarbeit mit den Mitgliedstaaten für geeignete technische und organisatorische Maßnahmen, wobei der Stand der Technik, die Durchführungskosten und die durch die Verarbeitung entstehenden Risiken zu berücksichtigen sind.

(11)  eu-LISA ist für folgende Aufgaben im Zusammenhang mit der Kommunikationsinfrastruktur nach Artikel 4 Absatz 1 Buchstabe d zuständig:

a) Überwachung,

b) Sicherheit,

c) Koordinierung der Beziehungen zwischen den Mitgliedstaaten und dem Betreiber der Kommunikationsinfrastruktur.

(12)  Für alle sonstigen Aufgaben im Zusammenhang mit der Kommunikationsinfrastruktur gemäß Artikel 4 Absatz 1 Buchstabe d ist die Kommission zuständig, insbesondere für:

a) Aufgaben im Zusammenhang mit dem Haushaltsvollzug,

b) Anschaffung und Erneuerung,

c) vertragliche Fragen.

(13)  eu-LISA entwickelt und unterhält einen Mechanismus und Verfahren für die Durchführung von Kontrollen zur Qualität der im ECRIS-TCN gespeicherten Daten und erstattet den Mitgliedstaaten regelmäßig darüber Bericht. eu-LISA erstattet der Kommission regelmäßig Bericht über die aufgetretenen Probleme und die betroffenen Mitgliedstaaten.

(14)  Das Betriebsmanagement des ECRIS-TCN umfasst alle Aufgaben, die erforderlich sind, um das ECRIS-TCN nach Maßgabe dieser Verordnung betriebsbereit zu halten; dazu gehören insbesondere die Wartungsarbeiten und technischen Entwicklungen, die erforderlich sind, um sicherzustellen, dass das ECRIS-TCN in Übereinstimmung mit den technischen Spezifikationen mit zufriedenstellender Betriebsqualität funktioniert.

(15)  eu-LISA führt Aufgaben im Zusammenhang mit Schulungen zur technischen Nutzung des ECRIS-TCN und der ECRIS-Referenzimplementierung durch.

(16)  Unbeschadet des Artikels 17 des Statuts der Beamten der Europäischen Union gemäß der Verordnung (EWG, Euratom, EGKS) Nr. 259/68 ( 2 ) wendet eu-LISA angemessene Regeln zur Gewährleistung der beruflichen Schweigepflicht oder einer anderen vergleichbaren Geheimhaltungspflicht auf alle Bediensteten an, die mit im Zentralsystem gespeicherten Daten arbeiten. Diese Pflicht besteht auch nach dem Ausscheiden dieser Bediensteten aus dem Amt oder der Beendigung ihres Dienstverhältnisses oder ihrer Tätigkeit weiter.

Artikel 12

Zuständigkeiten der Mitgliedstaaten

(1)  Jeder Mitgliedstaat ist zuständig für:

a) die Gewährleistung einer sicheren Verbindung zwischen seinen nationalen Strafregister- und Fingerabdruckdatenbanken und der zentralen nationalen Zugangsstelle;

b) die Entwicklung, den Betrieb und die Wartung der Verbindung gemäß Buchstabe a;

c) die Gewährleistung einer Verbindung zwischen seinen nationalen Systemen und der ECRIS-Referenzimplementierung;

d) die Verwaltung und die Regelung des Zugangs von dazu ermächtigten Bediensteten der Zentralbehörden zum ECRIS-TCN gemäß dieser Verordnung, sowie die Erstellung und regelmäßige Aktualisierung eines Verzeichnisses der betreffenden Bediensteten und ihres jeweiligen, in Artikel 19 Absatz 3 Buchstabe g genannten Profils.

(2)  Jeder Mitgliedstaat stellt den Bediensteten seiner Zentralbehörden, die auf das ECRIS-TCN zugreifen dürfen, angemessene Schulungen insbesondere über die Vorschriften zu Datensicherheit und Datenschutz sowie über die anwendbaren Grundrechte bereit, bevor sie ermächtigt werden, ►M1  im Zentralsystem und im CIR ◄ gespeicherte Daten zu verarbeiten.

Artikel 13

Verantwortung für die Verwendung von Daten

(1)  Gemäß den anwendbaren Datenschutzvorschriften der Union stellt jeder Mitgliedstaat sicher, dass die im ECRIS-TCN erfassten Daten rechtmäßig verarbeitet werden und insbesondere, dass

a) nur dazu ordnungsgemäß ermächtigte Bedienstete zum Zweck der Wahrnehmung ihrer Aufgaben Zugang zu den Daten haben;

b) die Daten rechtmäßig und unter uneingeschränkter Achtung der Menschenwürde und der Grundrechte des Drittstaatsangehörigen erhoben werden;

c) die Daten rechtmäßig in das ECRIS-TCN eingespeist werden;

d) die Daten richtig und aktuell sind, wenn sie in das ECRIS-TCN eingespeist werden.

(2)  eu-LISA stellt sicher, dass das ECRIS-TCN gemäß dieser Verordnung, den delegierten Rechtsakten nach Artikel 6 Absatz 2 und den Durchführungsrechtsakten nach Artikel 10 sowie gemäß der Verordnung (EU) 2018/1725 betrieben wird. Insbesondere ergreift eu-LISA unbeschadet der Zuständigkeiten der einzelnen Mitgliedstaaten die nötigen Maßnahmen, um die Sicherheit ►M1  des Zentralsystems, des CIR ◄ und der Kommunikationsinfrastruktur gemäß Artikel 4 Absatz 1 Buchstabe d zu gewährleisten.

(3)  eu-LISA unterrichtet das Europäische Parlament, den Rat und die Kommission sowie den Europäischen Datenschutzbeauftragten so bald wie möglich über die Maßnahmen, die eu-LISA gemäß Absatz 2 für die Aufnahme des Betriebs des ECRIS-TCN ergreift.

(4)  Die Kommission stellt den Mitgliedstaaten und der Öffentlichkeit die in Absatz 3 genannten Informationen über eine regelmäßig aktualisierte öffentliche Website zur Verfügung.

Artikel 14

Zugang von Eurojust, Europol und der EUStA

(1)  Eurojust hat für die Durchführung des Artikels 17 und für die Erfüllung ihrer in Artikel 2 derVerordnung (EU) 2018/1727 genannten Aufgaben direkten Zugang zum ECRIS-TCN, um ermitteln zu können, in welchen Mitgliedstaaten Informationen zu vorherigen Verurteilungen von Drittstaatsangehörigen vorliegen.

(2)  Europol hat für die Erfüllung ihrer in Artikel 4 Absatz 1 Buchstaben a bis e und h der Verordnung (EU) 2016/794 genannten Aufgaben direkten Zugang zum ECRIS-TCN, um ermitteln zu können, in welchen Mitgliedstaaten Informationen zu vorherigen Verurteilungen von Drittstaatsangehörigen vorliegen.

(3)  Die EUStA hat für die Erfüllung ihrer in Artikel 4 der Verordnung (EU) 2017/1939 genannten Aufgaben direkten Zugang zum ECRIS-TCN, um ermitteln zu können, in welchen Mitgliedstaaten Informationen zu vorherigen Verurteilungen von Drittstaatsangehörigen vorliegen.

(4)  Wenn aus einem Treffer hervorgeht, in welchen Mitgliedstaaten Strafregisterinformationen zu einem Drittstaatsangehörigen vorliegen, können Eurojust, Europol und die EUStA die nationalen Behörden der betreffenden Mitgliedstaaten kontaktieren, um diese um Übermittlung der Strafregisterinformationen gemäß deren jeweiligen Gründungsrechtsakten zu ersuchen.

Artikel 15

Zugang der ermächtigten Bediensteten von Eurojust, Europol und der EUStA

Eurojust, Europol und die EUStA sind zuständig für die Verwaltung und die Regelung des Zugangs von dazu ordnungsgemäß ermächtigten Bediensteten zum ECRIS-TCN gemäß dieser Verordnung und für die Erstellung und regelmäßige Aktualisierung eines Verzeichnisses dieser Bediensteten und ihres jeweiligen Profils.

Artikel 16

Zuständigkeiten von Eurojust, Europol und der EUStA

Eurojust, Europol und die EUStA

a) treffen die technischen Vorkehrungen für eine Verbindung zum ECRIS-TCN und sind für die Aufrechterhaltung dieser Verbindung zuständig;

b) lassen ihren Bediensteten, die auf das ECRIS-TCN zugreifen dürfen, angemessene Schulungen, insbesondere über die Vorschriften über Datensicherheit und Datenschutz sowie die einschlägigen Grundrechte zukommen, bevor diese ermächtigt werden, im Zentralsystem gespeicherte Daten zu verarbeiten;

c) sorgen dafür, dass die von ihnen im Rahmen dieser Verordnung verarbeiteten personenbezogenen Daten gemäß den geltenden Datenschutzbestimmungen geschützt sind.

Artikel 17

Kontaktstelle für Drittstaaten und internationale Organisationen

(1)  Drittstaaten und internationale Organisationen können für die Zwecke eines Strafverfahrens Ersuchen um Auskunft darüber, welche Mitgliedstaaten eventuell Strafregisterinformationen über Drittstaatsangehörige haben, an Eurojust richten. Dazu ist das Formblatt im Anhang dieser Verordnung zu verwenden.

(2)  Erhält Eurojust ein Ersuchen nach Absatz 1, so ermittelt es mit Hilfe des ECRIS-TCN die Mitgliedstaaten, in denen eventuell Strafregisterinformationen zu dem betreffenden Drittstaatsangehörigen vorliegen.

(3)  Gibt es einen Treffer, so fragt Eurojust bei dem Mitgliedstaat, in dem Strafregisterinformationen zu dem betreffenden Drittstaatsangehörigen vorliegen, an, ob dieser zustimmt, dass Eurojust dem Drittstaat oder der internationalen Organisation den Namen des betreffenden Mitgliedstaats mitteilt. Gibt der Mitgliedstaat seine Zustimmung, so teilt Eurojust dem Drittstaat oder der internationalen Organisation den Namen des betreffenden Mitgliedstaats mit und informiert den Drittstaat oder die internationale Organisation darüber, wie ein Ersuchen um Auszüge aus dem Strafregister bei diesem Mitgliedstaat nach Maßgabe der anwendbaren Verfahren eingereicht werden kann.

(4)  Gibt es keinen Treffer oder kann Eurojust ein nach diesem Artikel eingereichtes Ersuchen nicht gemäß Absatz 3 beantworten, so teilt Eurojust dem betreffenden Drittstaat oder der betreffenden internationalen Organisation mit, dass es das Verfahren abgeschlossen hat, ohne in irgendeiner Form anzugeben, ob in einem Mitgliedstaat Strafregisterinformationen zu der betreffenden Person vorliegen.

Artikel 18

Übermittlung von Informationen an einen Drittstaat, eine internationale Organisation oder eine private Stelle

Weder Eurojust, noch Europol, noch die EUStA noch eine Zentralbehörde darf Informationen aus dem ECRIS-TCN über einen Drittstaatsangehörigen an einen Drittstaat, eine internationale Organisation oder eine private Stelle weitergeben oder diesen zur Verfügung stellen. Dieser Artikel gilt unbeschadet des Artikels 17 Absatz 3.

Artikel 19

Datensicherheit

(1)  Unbeschadet der Zuständigkeiten der einzelnen Mitgliedstaaten ergreift eu-LISA die erforderlichen Maßnahmen, um unter Berücksichtigung der in Absatz 3 genannten Sicherheitsmaßnahmen die Sicherheit des ECRIS-TCN zu gewährleisten.

(2)  Für den Betrieb des ECRIS-TCN ergreift eu-LISA die erforderlichen Maßnahmen, um die in Absatz 3 genannten Ziele zu erreichen, einschließlich der Verabschiedung eines Sicherheitsplans sowie eines Notfallplans zur Aufrechterhaltung und eines Notfallplans zur Wiederherstellung des Betriebs, und um zu gewährleisten, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können.

(3)  Die Mitgliedstaaten gewährleisten die Datensicherheit vor und während der Übermittlung von Daten an die und während des Empfangs von Daten von der zentralen nationalen Zugangsstelle. Jeder Mitgliedstaat

a) sorgt für den physischen Schutz der Daten, unter anderem durch Aufstellung von Notfallplänen für den Schutz der Infrastruktur;

b) verwehrt Unbefugten den Zugang zu nationalen Einrichtungen, in denen der Mitgliedstaat Tätigkeiten im Zusammenhang mit dem ECRIS-TCN durchführt;

c) verhindert, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können;

d) verhindert die unbefugte Dateneingabe sowie die unbefugte Kenntnisnahme, Änderung oder Löschung gespeicherter personenbezogener Daten;

e) verhindert die unbefugte Verarbeitung von Daten im ECRIS-TCN und die unbefugte Änderung oder Löschung von Daten, die im ECRIS-TCN verarbeitet werden;

f) stellt sicher, dass die zum Zugang zum ECRIS-TCN berechtigten Personen nur mittels einer persönlichen Benutzerkennung und vertraulicher Zugriffsverfahren und ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können;

g) stellt sicher, dass alle zum Zugang zum ECRIS-TCN berechtigten Behörden Profile mit einer Beschreibung der Aufgaben und Befugnisse der Personen erstellen, die berechtigt sind, die Daten einzugeben, zu berichtigen, zu löschen, abzufragen und zu durchsuchen, und stellt diese Profile den nationalen Aufsichtsbehörden auf deren Anfrage unverzüglich zur Verfügung;

h) stellt sicher, dass überprüft und festgestellt werden kann, welchen Einrichtungen, Stellen und Agenturen der Union personenbezogene Daten unter Verwendung von Einrichtungen zur Datenübertragung übermittelt werden dürfen;

i) stellt sicher, dass überprüft und festgestellt werden kann, welche Daten wann, von wem und zu welchem Zweck im ECRIS-TCN verarbeitet wurden;

j) verhindert das unbefugte Lesen, Kopieren, Ändern oder Löschen von personenbezogenen Daten während der Übermittlung personenbezogener Daten an das oder aus dem ECRIS-TCN oder während des Transports von Datenträgern, insbesondere durch geeignete Verschlüsselungstechniken;

k) überwacht die Wirksamkeit der in diesem Absatz genannten Sicherheitsmaßnahmen und trifft die erforderlichen organisatorischen Maßnahmen zur Eigenkontrolle und zur Kontrolle, um die Einhaltung dieser Verordnung sicherzustellen.

(4)  eu-LISA und die Mitgliedstaaten arbeiten zusammen, um für ein kohärentes Vorgehen im Bereich der Datensicherheit zu sorgen, das auf einem das ganze ECRIS-TCN umfassenden Verfahren zum Management von Sicherheitsrisiken beruht.

Artikel 20

Haftung

(1)  Jede Person und jeder Mitgliedstaat, der bzw. dem durch eine rechtswidrige Verarbeitung oder durch andere gegen diese Verordnung verstoßende Handlungen ein materieller oder immaterieller Schaden entsteht, hat das Recht, Schadenersatz zu verlangen von

a) dem für den Schaden verantwortlichen Mitgliedstaat oder

b) eu-LISA, wenn eu-Lisa ihren Verpflichtungen gemäß dieser Verordnung oder der Verordnung (EU) 2018/1725 nicht nachgekommen ist.

Der Mitgliedstaat, der für den entstandenen Schaden verantwortlich ist bzw. eu-LISA werden teilweise oder vollständig von ihrer Haftung befreit, wenn sie nachweisen, dass sie für den Umstand, durch den der Schaden eingetreten ist, nicht verantwortlich sind.

(2)  Für Schäden am ECRIS-TCN, die darauf zurückzuführen sind, dass ein Mitgliedstaat, Eurojust, Europol oder die EUStA seinen bzw. ihren Verpflichtungen aus dieser Verordnung nicht nachgekommen ist, haftet der betreffende Mitgliedstaat, Eurojust, Europol bzw. die EUSt, es sei denn und soweit eu-LISA oder ein anderer am ECRIS-TCN beteiligter Mitgliedstaat keine angemessenen Maßnahmen ergriffen hat, um den Schaden abzuwenden oder zu mindern.

(3)  Die Geltendmachung von Schadenersatzansprüchen nach den Absätzen 1 und 2 gegen einen Mitgliedstaat unterliegt dem Recht des beklagten Mitgliedstaats. Die Geltendmachung von Schadenersatzansprüchen nach den Absätzen 1 und 2 gegen eu-LISA, Eurojust, Europol oder die EUStA richtet sich nach deren jeweiligen Gründungsrechtsakten.

Artikel 21

Eigenkontrolle

Die Mitgliedstaaten stellen sicher, dass jede Zentralbehörde die erforderlichen Maßnahmen zur Einhaltung der Bestimmungen dieser Verordnung trifft und erforderlichenfalls mit den Aufsichtsbehörden zusammenarbeitet.

Artikel 22

Sanktionen

Jeder Missbrauch der in das ECRIS-TCN eingegebenen Daten wird gemäß einzelstaatlichem Recht oder Unionsrecht mit Sanktionen oder Disziplinarmaßnahmen geahndet, die wirksam, verhältnismäßig und abschreckend sind.



KAPITEL V

Datenschutzrechte und Datenschutzaufsicht

Artikel 23

Datenverantwortlicher und Datenverarbeiter

(1)  Jede Zentralbehörde gilt für die Verarbeitung personenbezogener Daten durch den Mitgliedstaat dieser Zentralbehörde im Rahmen dieser Verordnung als Datenverantwortlicher im Sinne der anwendbaren Datenschutzvorschriften der Union.

(2)  eu-LISA gilt für die von den Mitgliedstaaten in ►M1  das Zentralsystem und den CIR ◄ eingegebenen personenbezogenen Daten gemäß der Verordnung (EU) 2018/1725 als Datenverarbeiter.

Artikel 24

Zweck der Verarbeitung personenbezogener Daten

▼M1

(1)  Die in das Zentralsystem und in den CIR eingegebenen Daten dürfen nur zum Zweck der Ermittlung der Mitgliedstaaten, in denen Strafregisterinformationen zu Drittstaatsangehörigen vorliegen, verarbeitet werden. Die in den CIR eingegebenen Daten werden zur Erleichterung und Unterstützung bei der korrekten Identifizierung von gemäß dieser Verordnung im ECRIS-TCN erfassten Personen ebenfalls gemäß der Verordnung (EU) 2019/818 verarbeitet.

▼B

(2)  Mit Ausnahme der dazu ordnungsgemäß ermächtigten Bediensteten von Eurojust, Europol und der EUStA, die Zugang zum ECRIS-TCN für die Zwecke dieser Verordnung haben, ist der Zugang zum ECRIS-TCN allein den dazu ordnungsgemäß ermächtigten Bediensteten der Zentralbehörden vorbehalten. Der Zugang ist gemäß dem in Absatz 1 genannten Zweck auf das für die Wahrnehmung der Aufgaben erforderliche Maß beschränkt und geht nicht über das hinaus, was für die verfolgten Ziele erforderlich und verhältnismäßig ist.

▼M1

(3)  Unbeschadet des Absatzes 2 ist der Zugang zum Zwecke der Abfrage der im CIR gespeicherten Daten ebenfalls den dazu ordnungsgemäß ermächtigten Bediensteten der nationalen mitgliedstaatlichen Behörden und den dazu ordnungsgemäß ermächtigten Bediensteten der Stellen der Union vorbehalten, die für die in den Artikeln 20 und 21 der Verordnung (EU) 2019/818 genannten Aufgaben zuständig sind. Dieser Zugang ist auf das Maß beschränkt, in dem die Daten für die Wahrnehmung ihrer Aufgaben zu diesen Zwecken erforderlich sind, und steht in einem angemessenen Verhältnis zu den verfolgten Zielen.

▼B

Artikel 25

Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung

(1)  Anträge von Drittstaatsangehörigen im Rahmen des in den geltenden Datenschutzbestimmungen der Union niedergelegten Rechts, Auskunft über personenbezogene Daten, die Berichtigung und Löschung sowie die Einschränkung der Verarbeitung personenbezogener Daten zu verlangen, können an die Zentralbehörde eines beliebigen Mitgliedstaats gerichtet werden.

(2)  Wird ein Antrag bei einem anderen als dem Urteilsmitgliedstaat gestellt, so leitet der Mitgliedstaat, bei dem der Antrag gestellt wurde, diesen unverzüglich, jedoch spätestens innerhalb von 10 Arbeitstagen nach Eingang des Antrags an den Urteilsmitgliedstaat weiter. Nach Eingang des Antrags geht der Urteilsmitgliedstaat wie folgt vor:

a) Er leitet umgehend ein Verfahren zur Überprüfung der Richtigkeit der betreffenden Daten und der Rechtmäßigkeit ihrer Verarbeitung im ECRIS-TCN ein und

b) er antwortet unverzüglich dem Mitgliedstaat, der den Antrag weitergeleitet hat.

(3)  Wenn im ECRIS-TCN erfasste Daten unrichtig sind oder unrechtmäßig verarbeitet wurden, so berichtigt oder löscht der Urteilsmitgliedstaat die Daten gemäß Artikel 9. Der Urteilsmitgliedstaat oder gegebenenfalls der Mitgliedstaat, an den der Antrag gerichtet wurde, bestätigt der betroffenen Person unverzüglich schriftlich, dass Maßnahmen zur Berichtigung bzw. Löschung der sie betreffenden Daten ergriffen wurden. Ferner unterrichtet der Urteilsmitgliedstaat unverzüglich alle anderen Mitgliedstaaten, die infolge einer Abfrage im ECRIS-TCN Informationen zu Verurteilungen erhalten haben, über die ergriffenen Maßnahmen.

(4)  Ist der Urteilsmitgliedstaat nicht der Ansicht, dass die im ECRIS-TCN gespeicherten Daten unrichtig sind oder unrechtmäßig verarbeitet wurden, so erlässt er eine Verwaltungsentscheidung oder eine gerichtliche Entscheidung, in der er der betroffenen Person schriftlich erläutert, warum er nicht zu einer Berichtigung oder Löschung der sie betreffenden Daten bereit ist. Solche Fälle können erforderlichenfalls der nationalen Aufsichtsbehörden gemeldet werden.

(5)  Der Mitgliedstaat, der eine Entscheidung gemäß Absatz 4 erlassen hat, teilt der betroffenen Person ferner mit, welche Schritte sie ergreifen kann, wenn sie mit der Erläuterung gemäß Absatz 4 nicht einverstanden ist. Hierzu gehören Angaben darüber, auf welche Weise bei den zuständigen Behörden oder Gerichten dieses Mitgliedstaats Klage erhoben bzw. ein Rechtsbehelf eingelegt werden kann, und darüber, ob gemäß dem Recht dieses Mitgliedstaats eine Unterstützung, unter anderem durch die nationalen Aufsichtsbehörden, vorgesehen ist.

(6)  Jeder Antrag nach Absatz 1 muss die zur Identifizierung der betroffenen Person notwendigen Informationen enthalten. Diese Daten werden ausschließlich verwendet, um dem Antragsteller die Wahrnehmung der in Absatz 1 genannten Rechte zu ermöglichen, und anschließend unverzüglich gelöscht.

(7)  Findet Absatz 2 Anwendung, so hält die Zentralbehörde, an die der Antrag gerichtet wurde, schriftlich fest, dass ein solcher Antrag gestellt wurde, die Art und Weise seiner Bearbeitung sowie, an welche Behörde der Antrag weitergeleitet wurde. Auf Antrag der nationalen Aufsichtsbehörden stellt die Zentralbehörde diese Aufzeichnung unverzüglich dieser Aufsichtsbehörde zur Verfügung. Die Zentralbehörde und die nationale Aufsichtsbehörde löschen die Aufzeichnung drei Jahre nach ihrer Anfertigung.

Artikel 26

Zusammenarbeit zur Gewährleistung der Datenschutzrechte

(1)  Die Zentralbehörden arbeiten zusammen, um die Gewährleistung der in Artikel 25 genannten Rechte sicherzustellen.

(2)  Die nationale Aufsichtsbehörde jedes Mitgliedstaats informiert auf Antrag jede betroffene Person darüber, wie sie ihr Recht auf Berichtigung oder Löschung der sie betreffenden Daten gemäß den geltenden Datenschutzvorschriften der Union ausüben kann.

(3)  Für die Zwecke dieses Artikels arbeitet die nationale Aufsichtsbehörde des Mitgliedstaats, der die Daten übermittelt hat, sowie die nationale Aufsichtsbehörde des Mitgliedstaats, bei der der Antrag gestellt wurde, zusammen.

Artikel 27

Rechtsbehelfe

Jede Person hat gemäß dem nationalen Recht oder dem Unionsrecht das Recht, eine Beschwerde oder einen Rechtsbehelf im Urteilsmitgliedstaat einzulegen, wenn dieser das in Artikel 25 vorgesehene Recht auf Auskunft über die diese Person betreffenden Daten oder das Recht auf Berichtigung oder Löschung dieser Daten verweigert hat.

Artikel 28

Kontrolle durch die nationalen Aufsichtsbehörden

(1)  Jeder Mitgliedstaat stellt sicher, dass die nach den anwendbaren Datenschutzvorschriften der Union benannten nationalen Aufsichtsbehörden die Rechtmäßigkeit der Verarbeitung personenbezogener Daten gemäß Artikel 5 und 6 durch den betreffenden Mitgliedstaat, einschließlich der Übermittlung an das und aus dem ECRIS-TCN, kontrollieren.

(2)  Die nationale Aufsichtsbehörde gewährleistet, dass die Datenverarbeitungsvorgänge in den nationalen Strafregister- und Fingerabdruckdatenbanken, die mit dem Datenaustausch zwischen diesen Systemen und dem ECRIS-TCN zusammenhängen, ab dem Tag der Aufnahme des Betriebs des ECRIS-TCN mindestens alle drei Jahre gemäß einschlägigen internationalen Prüfungsnormen überprüft werden.

(3)  Die Mitgliedstaaten stellen sicher, dass ihre nationalen Aufsichtsbehörden über ausreichende Ressourcen zur Wahrnehmung der Aufgaben verfügt, die ihnen mit dieser Verordnung übertragen werden.

(4)  Jeder Mitgliedstaat erteilt alle von seinen nationalen Aufsichtsbehörden erbetenen Auskünfte, insbesondere zu den Tätigkeiten, die gemäß den Artikeln 12, 13 und 19 durchgeführt wurden. Jeder Mitgliedstaat gewährt seinen nationalen Aufsichtsbehörden Zugang zu seinen Aufzeichnungen nach Artikel 25 Absatz 7 und zu seinen Protokollen gemäß Artikel 31 Absatz 6 und ermöglicht ihnen jederzeit Zutritt zu allen seinen, mit dem ECRIS-TCN in Verbindung stehenden, Räumlichkeiten.

Artikel 29

Kontrolle durch den Europäischen Datenschutzbeauftragten

(1)  Der Europäische Datenschutzbeauftragte überwacht, dass die das ECRIS-TCN betreffende Verarbeitung personenbezogener Daten durch eu-LISA nach Maßgabe dieser Verordnung erfolgt.

(2)  Der Europäische Datenschutzbeauftragte trägt dafür Sorge, dass die Verarbeitung personenbezogener Daten durch eu-LISA mindestens alle drei Jahre gemäß einschlägigen internationalen Prüfungsnormen überprüft wird. Der Prüfbericht wird dem Europäischen Parlament, dem Rat, der Kommission, eu-LISA, den Aufsichtsbehörden übermittelt. eu-LISA erhält Gelegenheit, vor der Annahme des Berichts eine Stellungnahme abzugeben.

(3)  eu-LISA erteilt die vom Europäischen Datenschutzbeauftragten erbetenen Auskünfte, gewährt ihm Zugang zu allen Dokumenten und zu ihren Protokollen nach Artikel 31 und ermöglicht ihm jederzeit Zutritt zu allen ihren Gebäuden.

Artikel 30

Zusammenarbeit zwischen den nationalen Aufsichtsbehörden und dem Europäischen Datenschutzbeauftragten

Eine koordinierte Aufsicht des ECRIS-TCN gemäß Artikel 62 der Verordnung (EU) 2018/1725 wird sichergestellt.

Artikel 31

Führen von Protokollen

(1)  eu-LISA und die zuständigen Behörden stellen gemäß ihren jeweiligen Zuständigkeiten sicher, dass alle Datenverarbeitungsvorgänge im ECRIS-TCN gemäß Absatz 2 zur Prüfung der Zulässigkeit von Anträgen, zur Überwachung der Datenintegrität und -sicherheit und der Rechtmäßigkeit der Datenverarbeitung sowie zur Eigenkontrolle aufgezeichnet werden.

(2)  Das Protokoll enthält folgende Angaben:

a) den Zweck des Antrags auf Zugang zu ECRIS-TCN- Daten;

b) die gemäß Artikel 5 übermittelten Daten;

c) die nationale Referenznummer;

d) das Datum und den genauen Zeitpunkt des Vorgangs;

e) die für die Abfrage verwendeten Daten;

f) die Kennung des Bediensteten, der die Abfrage vorgenommen hat.

(3)  Das Protokoll der Abfragen und Offenlegungen muss es ermöglichen, die Rechtmäßigkeit der Vorgänge nachzuvollziehen.

(4)  Die Protokolle dürfen nur zur Überwachung der Rechtmäßigkeit der Datenverarbeitung sowie zur Gewährleistung der Datenintegrität und -sicherheit verwendet werden. Für Kontrolle und Bewertung gemäß Artikel 36 dürfen nur Protokollen verwendet werden, die keine personenbezogenen Daten enthalten. Die Protokolle werden durch geeignete Maßnahmen vor unbefugtem Zugriff geschützt und nach drei Jahren gelöscht, sofern sie nicht für bereits eingeleitete Kontrollverfahren benötigt werden.

(5)  Auf Antrag stellt eu-LISA die Aufzeichnungen über ihre Datenverarbeitungsvorgänge den Zentralbehörden unverzüglich zur Verfügung.

(6)  Die für die Prüfung der Zulässigkeit des Antrags, die Überwachung der Rechtmäßigkeit der Datenverarbeitung und der Datenintegrität und -sicherheit zuständigen nationalen Aufsichtsbehörden haben auf Antrag zur Erfüllung ihrer Aufgaben Zugang zu diesen Protokollen. Auf Antrag stellen die Zentralbehörden die Protokolle über ihre Datenverarbeitungsvorgänge den zuständigen nationalen Aufsichtsbehörden unverzüglich zur Verfügung.



KAPITEL VI

Schlussbestimmungen

Artikel 32

Datenverwendung zur Erstellung von Berichten und Statistiken

(1)  Die dazu ordnungsgemäß ermächtigten Bediensteten von eu-LISA, der zuständigen Behörden und der Kommission dürfen auf die im ECRIS-TCN verarbeiteten Daten ausschließlich zur Erstellung von Berichten und Statistiken zugreifen, ohne dass die Identifizierung einzelner Personen möglich ist.

▼M1

(2)  Für die Zwecke von Absatz 1 speichert eu-LISA die Daten nach Absatz 1 in dem zentralen Speicher für Berichte und Statistiken nach Artikel 39 der Verordnung (EU) 2019/818.

▼B

(3)  Die von eu-LISA zur Überwachung der Funktionsweise des ECRIS-TCN eingeführten Verfahren gemäß Artikel 36 und die ECRIS-Referenzimplementierung schließen die Möglichkeit ein, regelmäßige Statistiken zu Überwachungszwecken zu erstellen.

eu-LISA übermittelt der Kommission jeden Monat Statistiken, die die Erfassung, die Speicherung und den über das ECRIS-TCN und die ECRIS-Referenzimplementierung erfolgten Austausch von Strafregisterinformationen betreffen. eu-LISA gewährleistet, dass eine Identifizierung einzelner Personen auf der Grundlage dieser Statistiken nicht möglich ist. eu-LISA stellt der Kommission auf deren Ersuchen Statistiken zu spezifischen Aspekten der Umsetzung dieser Verordnung zur Verfügung.

(4)  Die Mitgliedstaaten stellen eu-LISA die Statistiken zur Verfügung, die diese benötigt, um ihren in diesem Artikel genannten Pflichten nachzukommen. Sie stellen der Kommission Statistiken über die Zahl der verurteilten Drittstaatsangehörigen und über die Zahl der in ihrem Hoheitsgebiet erfolgten Verurteilungen von Drittstaatsangehörigen zur Verfügung.

Artikel 33

Kosten

(1)  Die Kosten im Zusammenhang mit der Einrichtung und dem Betrieb ►M1  des Zentralsystems und des CIR ◄ , der Kommunikationsinfrastruktur gemäß Artikel 4 Absatz 1 Buchstabe d, der Schnittstellensoftware und der ECRIS-Referenzimplementierung werden vom Gesamthaushaltsplans der Union getragen.

(2)  Die jeweiligen Kosten der Anbindung von Eurojust, Europol und der EUStA an das ECRIS-TCN gehen zulasten ihrer jeweiligen Haushalte.

(3)  Sonstige Kosten, insbesondere die Kosten der Anbindung der bestehenden nationalen Strafregister, der Fingerabdruckdatenbanken und der Zentralbehörden an das ECRIS-TCN sowie die Kosten der Betriebsführung der ECRIS-Referenzimplementierung gehen zulasten der Mitgliedstaaten.

Artikel 34

Mitteilungen

(1)  Jeder Mitgliedstaat teilt eu-LISA seine Zentralbehörde oder -behörden mit, die berechtigt ist bzw. sind, Daten einzugeben, zu berichtigen, zu löschen, abzufragen oder zu durchsuchen; zudem teilt er ihr gegebenenfalls Änderungen daran mit.

(2)  eu-LISA sorgt dafür, dass sowohl im Amtsblatt der Europäischen Union als auch auf ihrer Webseite eine Liste der von den Mitgliedstaaten gemeldeten Zentralbehörden veröffentlicht wird. eu-LISA aktualisiert die Liste unverzüglich, sobald ihr ein Mitgliedstaat eine Veränderung bei seiner Zentralbehörde meldet.

Artikel 35

Eingabe von Daten und Aufnahme des Betriebs

(1)  Sobald sich die Kommission vergewissert hat, dass die folgenden Voraussetzungen erfüllt sind, bestimmt sie den Tag, ab dem die Mitgliedstaaten mit der Eingabe der Daten nach Artikel 5 in das ECRIS-TCN beginnen:

a) Die einschlägigen Durchführungsakte nach Artikel 10 sind angenommen worden;

b) die Mitgliedstaaten haben die technischen und rechtlichen Vorkehrungen zur Erhebung der Daten nach Artikel 5 und zu ihrer Übermittlung an das ECRIS-TCN bestätigt und der Kommission mitgeteilt;

c) eu-Lisa hat in Zusammenarbeit mit den Mitgliedstaaten einen umfassenden Test des ECRIS-TCN unter Verwendung anonymer Testdaten durchgeführt.

(2)  Nachdem die Kommission den Tag für den Beginn der Dateneingabe nach Absatz 1 bestimmt hat, teilt sie dieses Datum den Mitgliedstaaten mit. Binnen zweier Monate ab diesem Tag geben die Mitgliedstaaten unter Berücksichtigung von Artikel 41 Absatz 2 die Daten nach Artikel 5 in das ECRIS-TCN ein.

(3)  Nach Ablauf der in Absatz 2 genannten Frist führt eu-LISA in Zusammenarbeit mit den Mitgliedstaaten einen abschließenden Test des ECRIS-TCN durch.

(4)  Sobald der in Absatz 3 genannte Test erfolgreich abgeschlossen wurde und eu-LISA der Ansicht ist, dass das ECRIS-TCN betriebsbereit ist, teilt sie das der Kommission mit. Die Kommission unterrichtet das Europäische Parlament und den Rat über die Ergebnisse des Tests und legt den Termin für die Inbetriebnahme des ECRIS-TCN fest.

(5)  Der Beschluss der Kommission über den Tag der Inbetriebnahme des ECRIS-TCN gemäß Absatz 4 wird im Amtsblatt der Europäischen Union veröffentlicht.

(6)  Die Mitgliedstaaten beginnen mit der Nutzung des ECRIS-TCN ab dem von der Kommission gemäß Absatz 4 bestimmten Tag.

(7)  Bei Fassung der Beschlüsse nach diesem Artikel kann die Kommission unterschiedliche Termine für die Eingabe von alphanumerischen Daten und Fingerabdruckdaten gemäß Artikel 5 in das ECRIS-TCN sowie für die Inbetriebnahme für diese unterschiedlichen Datenkategorien angeben.

Artikel 36

Kontrolle und Bewertung

(1)  eu-LISA trägt dafür Sorge, dass Verfahren vorhanden sind, mit denen die Entwicklung des ECRIS-TCN anhand von Zielen für Planung und Kosten, sowie die Funktionsweise des ECRIS-TCN und der ECRIS-Referenzimplementierung anhand von Zielen für die technische Leistung, die Kostenwirksamkeit, die Sicherheit und die Dienstleistungsqualität überwacht werden kann.

(2)  Zur Überwachung der Funktionsweise des ECRIS-TCN und seiner technischen Wartung hat eu-LISA Zugang zu den erforderlichen Informationen über die Datenverarbeitungsvorgänge im ECRIS-TCN und in der ECRIS-Referenzimplementierung.

(3)  Bis zum 12. Dezember 2019 und danach alle sechs Monate während der Gestaltungs- und Entwicklungsphase übermittelt eu-LISA dem Europäischen Parlament und dem Rat einen Bericht über den Stand der Entwicklung des ECRIS-TCN und der ECRIS-Referenzimplementierung.

(4)  Der in Absatz 3 genannte Bericht umfasst einen Überblick über die aktuellen Kosten und den Projektfortschritt, eine Bewertung der finanziellen Auswirkungen sowie Informationen über alle technischen Probleme und Risiken, die sich auf die gemäß Artikel 33 vom Gesamthaushaltsplan der Union zu tragenden Gesamtkosten des ECRIS-TCN auswirken können.

(5)  Im Falle wesentlicher Verzögerungen des Entwicklungsprozesses informiert eu-LISA das Europäische Parlament und den Rat so bald wie möglich über die Gründe für diese Verzögerungen sowie über die zeitlichen und finanziellen Auswirkungen.

(6)  Sobald die Entwicklung des ECRIS-TCN und der ECRIS-Referenzimplementierung abgeschlossen ist, übermittelt eu-LISA dem Europäischen Parlament und dem Rat einen Bericht, in dem dargelegt wird, wie die Ziele, insbesondere bei Planung und Kosten, erreicht wurden, und in dem etwaige Abweichungen begründet werden.

(7)  Im Falle einer technischen Aufrüstung des ECRIS-TCN- s, die mit erheblichen Kosten verbunden sein könnte, unterrichtet eu-LISA das Europäische Parlament und den Rat entsprechend.

(8)  Zwei Jahre nach der Inbetriebnahme des ECRIS-TCN und danach jedes Jahr übermittelt eu-LISA der Kommission einen Bericht über die technische Funktionsweise des ECRIS-TCN und der ECRIS-Referenzimplementierung einschließlich ihrer Sicherheit, der insbesondere auf den Statistiken über die Funktionsweise und die Nutzung des ECRIS-TCN für den Austausch von Strafregisterinformationen über die ECRIS-Referenzimplementierung beruht.

(9)  Vier Jahre nach der Inbetriebnahme des ECRIS-TCN und danach alle vier Jahre nimmt die Kommission eine Gesamtbewertung des ECRIS-TCN und der ECRIS-Referenzimplementierung vor. In dem auf dieser Grundlage erstellten Gesamtbewertungsbericht wird die Anwendung dieser Verordnung bewertet und werden die erzielten Ergebnisse an den gesetzten Zielen gemessen und die Auswirkungen auf die Grundrechte untersucht. Im Bericht wird auch bewertet, ob die grundlegenden Prinzipien des Betriebs des ECRIS-TCN weiterhin Gültigkeit haben und ob die Verwendung biometrischer Daten für die Zwecke des ECRIS-TCN angemessen ist; ferner werden die Sicherheit des ECRIS-TCN und etwaige sicherheitsrelevante Auswirkungen auf den künftigen Betrieb bewertet. Die Bewertung umfasst erforderlichenfalls Empfehlungen. Die Kommission übermittelt den Bericht dem Europäischen Parlament, dem Rat, dem Europäischen Datenschutzbeauftragten und der Agentur der Europäischen Union für Grundrechte.

(10)  Bei der ersten Gesamtbewertung nach Absatz 5 wird außerdem auch

a) bewertet, inwieweit laut den einschlägigen statistischen Angaben und weiteren Informationen der Mitgliedstaaten die Aufnahme von Identitätsangaben von Unionsbürgern, die auch die Staatsangehörigkeit eines Drittstaats besitzen, in das ECRIS-TCN zur Verwirklichung der Ziele dieser Verordnung beigetragen hat;

b) überprüft, ob es für einige Mitgliedstaaten möglich ist, weiterhin die nationale ECRIS-Implementierungssoftware nach Artikel 4 zu verwenden;

c) die Aufnahme von Fingerabdruckdaten in das ECRIS-TCN, insbesondere die Anwendung der Mindestkriterien gemäß Artikel 5 Absatz 1 Buchstabe b Ziffer ii bewertet;

d) die Auswirkung des ECRIS und des ECRIS-TCN auf den Schutz personenbezogener Daten bewertet.

Der Bewertung können erforderlichenfalls Gesetzgebungsvorschläge beigefügt werden. Bei anschließenden Gesamtbewertungen können einer oder alle Aspekte bewertet werden.

(11)  Die Mitgliedstaaten, Eurojust, Europol und die EUStA stellen eu-LISA und der Kommission die Informationen zur Verfügung, die für die Ausarbeitung der in den Absätzen 3, 8 und 9 genannten Berichte entsprechend den von der Kommission und/oder eu-LISA zuvor festgelegten quantitativen Indikatoren erforderlich sind. Diese Informationen dürfen nicht zu einer Störung der Arbeitsverfahren führen oder Angaben enthalten, die Rückschlüsse auf Quellen, Bedienstete oder Ermittlungen gestatten.

(12)  Gegebenenfalls stellen die Aufsichtsbehörden eu-LISA und der Kommission die Informationen zur Verfügung, die für die Ausarbeitung der in Absatz 9 genannten Berichte entsprechend den von der Kommission und/oder eu-LISA zuvor festgelegten quantitativen Indikatoren erforderlich sind. Diese Informationen dürfen nicht zu einer Störung der Arbeitsverfahren führen oder Angaben enthalten, die Rückschlüsse auf Quellen, Bedienstete oder Ermittlungen gestatten.

(13)  eu-LISA stellt der Kommission die Informationen zur Verfügung, die zur Durchführung der in Absatz 9 genannten Gesamtbewertung erforderlich sind.

Artikel 37

Ausübung der Befugnisübertragung

(1)  Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.

(2)  Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 6 Absatz 2 wird der Kommission auf unbestimmte Zeit ab dem 11. Juni 2019 übertragen.

(3)  Die Befugnisübertragung gemäß Artikel 6 Absatz 2 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem im Beschluss über den Widerruf angegebenen späteren Zeitpunkt wirksam. Die Gültigkeit von delegierten Rechtsakten, die bereits in Kraft sind, wird von dem Beschluss über den Widerruf nicht berührt.

(4)  Vor dem Erlass eines delegierten Rechtsakts konsultiert die Kommission die von den einzelnen Mitgliedstaaten benannten Sachverständigen im Einklang mit den in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung enthaltenen Grundsätzen.

(5)  Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.

(6)  Ein delegierter Rechtsakt, der gemäß Artikel 6 Absatz 2 erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von zwei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben haben oder wenn vor Ablauf dieser Frist sowohl das Europäische Parlament als auch der Rat der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Initiative des Europäischen Parlaments oder des Rates wird diese Frist um zwei Monate verlängert.

Artikel 38

Ausschussverfahren

(1)  Die Kommission wird von einem Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.

(2)  Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.

Gibt der Ausschuss keine Stellungnahme ab, so erlässt die Kommission den Durchführungsrechtsakt nicht, und Artikel 5 Absatz 4 Unterabsatz 3 der Verordnung (EU) Nr. 182/2011 findet Anwendung.

Artikel 39

Beratergruppe

eu-LISA setzt eine Beratergruppe ein, um Fachkenntnisse über das ECRIS-TCN und die ECRIS-Referenzimplementierung insbesondere bei der Vorbereitung ihres Jahresarbeitsprogramms und ihres Jahrestätigkeitsberichts einzuholen. Während der Gestaltungs- und Entwicklungsphase findet Artikel 11 Absatz 9 Anwendung.

Artikel 40

Änderung der Verordnung (EU) 2018/1726

Die Verordnung (EU) 2018/1726 wird wie folgt geändert:

1. Artikel 1 Absatz 4 erhält folgende Fassung:

„(4)  Die Agentur ist für die Konzeption, die Entwicklung und das Betriebsmanagement des Einreise-/Ausreisesystems (EES), von DubliNet, des Europäischen Reiseinformations- und -genehmigungssystems (ETIAS), des ECRIS-TCN und der ECRIS-Referenzimplementierung verantwortlich.“

2. Folgender Artikel wird eingefügt:

„Artikel 8a

Aufgaben im Zusammenhang mit dem ECRIS-TCN und der ECRIS-Referenzimplementierung

Im Zusammenhang mit dem ECRIS-TCN und der ECRIS-Referenzimplementierung nimmt die Agentur die folgenden Aufgaben wahr:

a) die ihr mit der Verordnung (EU) 2019/816 des Europäischen Parlaments und des Rates übertragenen Aufgaben ( *1 );

b) Aufgaben im Zusammenhang mit Schulungen zur technischen Nutzung des ECRIS-TCN und der ECRIS-Referenzimplementierung.

3. Artikel 14 Absatz 1 erhält folgende Fassung:

„(1)  Die Agentur verfolgt die Entwicklungen in der Forschung, die für das Betriebsmanagement des SIS II, des VIS, des Eurodac, des EES, des ETIAS, des DubliNet, des ECRIS-TCN und anderer IT-Großsysteme im Sinne des Artikels 1 Absatz 5 von Belang sind.“

4. Artikel 19 Absatz 1 wird wie folgt geändert:

a) Buchstabe ee erhält folgende Fassung:

„ee) die Berichte über den Stand der Entwicklung des EES nach Artikel 72 Absatz 2 der Verordnung (EU) 2017/2226, über den Stand der Entwicklung des ETIAS nach Artikel 92 Absatz 2 der Verordnung (EU) 2018/1240 und über den Stand der Entwicklung des ECRIS-TCN und der ECRIS-Referenzimplementierung nach Artikel 36 Absatz 3 der Verordnung (EU) 2019/816 anzunehmen;“

b) Buchstabe ff. erhält folgende Fassung:

„ff) die Berichte über die technische Funktionsweise des SIS II nach Artikel 50 Absatz 4 der Verordnung (EG) Nr. 1987/2006 und Artikel 66 Absatz 4 des Beschlusses 2007/533/JI, des VIS nach Artikel 50 Absatz 3 der Verordnung (EG) Nr. 767/2008 und Artikel 17 Absatz 3 des Beschlusses 2008/633/JI, des EES nach Artikel 72 Absatz 4 der Verordnung (EU) 2017/2226 und des ETIAS nach Artikel 92 Absatz 4 der Verordnung (EU) 2018/1240 sowie des ECRIS-TCN und der ECRIS-Referenzimplementierung nach Artikel 36 Absatz 8 der Verordnung (EU) 2019/816 anzunehmen;“

c) Buchstabe hh erhält folgende Fassung:

„hh) zu den Berichten des Europäischen Datenschutzbeauftragten über die Überprüfungen gemäß nach Artikel 45 Absatz 2 der Verordnung (EG) Nr. 1987/2006, Artikel 42 Absatz 2 der Verordnung (EG) Nr. 767/2008, Artikel 31 Absatz 2 der Verordnung (EU) Nr. 603/2013, Artikel 56 Absatz 2 der Verordnung (EU) 2017/2226, Artikel 67 der Verordnung (EU) 2018/1240 und Artikel 29 Absatz 2 der Verordnung (EU) 2019/816 förmliche Stellungnahmen anzunehmen und für geeignete Folgemaßnahmen zu diesen Überprüfungen zu sorgen;“

d) Folgender Buchstabe wird eingefügt:

„lla) der Kommission Statistiken zum ECRIS-TCN und zur ECRIS-Referenzimplementierung gemäß Artikel 32 Absatz 4 Unterabsatz 2 der Verordnung (EU) 2019/816 vorzulegen;“

e) Buchstabe mm erhält folgende Fassung:

„mm) die jährliche Veröffentlichung folgender Auflistungen sicherzustellen: der Liste der zuständigen Behörden, die nach Artikel 31 Absatz 8 der Verordnung (EG) Nr. 1987/2006 und Artikel 46 Absatz 8 des Beschlusses 2007/533/JI berechtigt sind, die im SIS II gespeicherten Daten unmittelbar abzufragen, zusammen mit einer Liste der Stellen der nationalen Systeme des SIS II (N.SIS-II-Stellen) und der SIRENE-Büros nach Artikel 7 Absatz 3 der Verordnung (EG) Nr. 1987/2006 und Artikel 7 Absatz 3 des Beschlusses 2007/533/JI und der Liste der zuständigen Behörden nach Artikel 65 Absatz 2 der Verordnung (EU) 2017/2226, der Liste der zuständigen Behörden nach Artikel 87 Absatz 2 der Verordnung (EU) 2018/1240 und der Liste der Zentralbehörden nach Artikel 34 Absatz 2 der Verordnung (EU) 2019/816;“

5. In Artikel 22 Absatz 4 wird nach dem dritten Unterabsatz folgender Unterabsatz eingefügt:

„Eurojust, Europol und die EUStA können auch an den Sitzungen des Verwaltungsrats als Beobachter teilnehmen, wenn eine Angelegenheit des ECRIS-TCN s, die die Anwendung der Verordnung (EU) 2019/816 betrifft, auf der Tagesordnung steht.“

6. Artikel 24 Absatz 3 Buchstabe p erhält folgende Fassung:

„p) unbeschadet des Artikels 17 des Statuts der Beamten Geheimhaltungsvorschriften festzulegen, um Artikel 17 der Verordnung (EG) Nr. 1987/2006, Artikel 17 des Beschlusses 2007/533/JI, Artikel 26 Absatz 9 der Verordnung (EG) Nr. 767/2008, Artikel 4 Absatz 4 der Verordnung (EU) Nr. 603/2013, Artikel 37 Absatz 4 der Verordnung (EU) 2017/2226, Artikel 74 Absatz 2 der Verordnung (EU) 2018/2140 und Artikel 11 Absatz 16 der Verordnung (EU) 2019/816 nachzukommen;“

7. In Artikel 27 Absatz 1 wird folgender Buchstabe eingefügt:

„(da) die ECRIS-TCN Beratergruppe;“.

Artikel 41

Umsetzung und Übergangsbestimmungen

(1)  Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um dieser Verordnung so bald wie möglich nachzukommen, um das ordnungsgemäße Funktionieren des ECRIS-TCN zu gewährleisten.

▼M1

(2)  Die Zentralbehörden legen für Urteile, die vor dem Tag des Beginns der Dateneingabe gemäß Artikel 35 Absatz 1 ergangen sind, wie folgt individuelle Datensätze im Zentralsystem und im CIR an:

a) alphanumerische Daten werden bis zum Ablauf der in Artikel 35 Absatz 2 genannten Frist in das Zentralsystem und in CIR eingegeben;

b) Fingerabdruckdaten werden innerhalb von zwei Jahren nach der Inbetriebnahme gemäß Artikel 35 Absatz 5 in das Zentralsystem und in CIR eingegeben.

▼B

Artikel 42

Inkrafttreten

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt gemäß den Verträgen unmittelbar in den Mitgliedstaaten.




ANHANG

STANDARDFORMBLATT FÜR AUSKUNFTSERSUCHEN GEMÄSS ARTIKEL 17 ABSATZ 1 DER VERORDNUNG (EU) 2019/816 ZUR EINHOLUNG VON INFORMATIONEN DARÜBER, IN WELCHEM MITGLIEDSTAAT EVENTUELL STRAFREGISTERINFORMATIONEN ÜBER EINEN DRITTSTAATSANGEHÖRIGEN VORLIEGEN

image



( 1 ) Verordnung (EU) 2019/818 des Europäischen Parlaments und des Rates vom 20. Mai 2019 zur Errichtung eines Rahmens für die Interoperabilität zwischen EU-Informationssystemen (polizeiliche und justizielle Zusammenarbeit, Asyl und Migration) und zur Änderung der Verordnungen (EU) 2018/1726, (EU) 2018/1862, und (EU) 2019/816 (ABl. L 135 vom 22.5.2019, S. 85).

( 2 ) ABl. L 56 vom 4.3.1968, S. 1.

( *1 ) Verordnung (EU) 2019/816 des Europäischen Parlaments und des Rates vom 17. April 2019 zur Einrichtung eines zentralisierten Systems für die Ermittlung der Mitgliedstaaten, in denen Informationen zu Verurteilungen von Drittstaatsangehörigen und Staatenlosen vorliegen, sowie zur Ergänzung des Europäischen Strafregisterinformationssystems (ECRIS-TCN) und zur Änderung der Verordnung (EU) 2018/1726 (ABl. L 135 vom 22.5.2019, S. 1).“

Top