02019R0818 — DE — 22.05.2019 — 000.001

---

Dieser Text dient lediglich zu Informationszwecken und hat keine Rechtswirkung. Die EU-Organe übernehmen keine Haftung für seinen Inhalt. Verbindliche Fassungen der betreffenden Rechtsakte einschließlich ihrer Präambeln sind nur die im Amtsblatt der Europäischen Union veröffentlichten und auf EUR-Lex verfügbaren Texte. Diese amtlichen Texte sind über die Links in diesem Dokument unmittelbar zugänglich

►B

VERORDNUNG (EU) 2019/818 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 20. Mai 2019 zur Errichtung eines Rahmens für die Interoperabilität zwischen EU-Informationssystemen (polizeiliche und justizielle Zusammenarbeit, Asyl und Migration) und zur Änderung der Verordnungen (EU) 2018/1726, (EU) 2018/1862 und (EU) 2019/816 (ABl. L 135 vom 22.5.2019, S. 85)

Berichtigt durch:

►C1	Berichtigung, ABl. L 010 vom 15.1.2020, S.  5 (2019/818)

---

▼B

VERORDNUNG (EU) 2019/818 DES EUROPÄISCHEN PARLAMENTS UND DES RATES

vom 20. Mai 2019

zur Errichtung eines Rahmens für die Interoperabilität zwischen EU-Informationssystemen (polizeiliche und justizielle Zusammenarbeit, Asyl und Migration) und zur Änderung der Verordnungen (EU) 2018/1726, (EU) 2018/1862 und (EU) 2019/816

KAPITEL I

Allgemeine Bestimmungen

Artikel 1

Gegenstand

(1)  Durch diese Verordnung und die Verordnung (EU) 2019/817 des Europäischen Parlaments und des Rates ( 1 ) wird ein Rahmen für die Sicherstellung der Interoperabilität zwischen dem Einreise-/Ausreisesystem (im Folgenden „EES“), dem Visa-Informationssystem (im Folgenden „VIS“), dem Europäischen Reiseinformations- und -genehmigungssystem (im Folgenden „ETIAS“), Eurodac, dem Schengener Informationssystem (im Folgenden „SIS“) und dem Europäischen Strafregisterinformationssystem für Drittstaatsangehörige (im Folgenden „ECRIS-TCN“) geschaffen.

(2)  Dieser Rahmen umfasst folgende Interoperabilitätskomponenten:

(3)  Zudem werden in dieser Verordnung Bestimmungen über die Datenqualitätsanforderungen, ein universelles Nachrichtenformat (Universal Message Format — im Folgenden „UMF“), einen zentralen Speicher für Berichte und Statistiken (central repository for reporting and statistics — im Folgenden „CRRS“) sowie die Verantwortlichkeiten der Mitgliedstaaten und der Agentur der Europäischen Union für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA) bei der Konzipierung, der Entwicklung und dem Betrieb der Interoperabilitätskomponenten festgelegt.

(4)  Diese Verordnung regelt ferner die Verfahren und Bedingungen für den Zugang der benannten Behörden und der Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) zum EES, zum VIS, zum ETIAS und zu Eurodac zum Zwecke der Verhinderung, Aufdeckung oder Untersuchung terroristischer oder sonstiger schwerer Straftaten.

(5)  Durch diese Verordnung wird auch ein Rahmen für die Überprüfung der Identitäten von Personen und für die Identifizierung von Personen festgelegt.

Artikel 2

Ziele

(1)  Durch die mittels dieser Verordnung sichergestellte Interoperabilität sollen folgende Ziele erreicht werden:

(2)  Die Ziele nach Absatz 1 sollen durch folgende Maßnahmen erreicht werden:

Artikel 3

Anwendungsbereich

(1)  Diese Verordnung gilt für Eurodac, das SIS und das ECRIS-TCN.

(2)  Diese Verordnung gilt zudem in dem Maße für Europol-Daten, wie es erforderlich ist, damit diese gleichzeitig zu den in Absatz 1 genannten EU-Informationssystemen abgefragt werden können.

(3)  Diese Verordnung gilt für Personen, deren personenbezogene Daten in den in Absatz 1 genannten EU-Informationssystemen und in den in Absatz 2 genannten Europol-Daten verarbeitet werden können.

Artikel 4

Begriffsbestimmungen

Für die Zwecke dieser Verordnung bezeichnet der Ausdruck

▼C1

▼B

Artikel 5

Nichtdiskriminierung und Grundrechte

Bei der Verarbeitung personenbezogener Daten für die Zwecke dieser Verordnung dürfen keine Personen aufgrund des Geschlechts, der Rasse, der Hautfarbe, der ethnischen oder sozialen Herkunft, der genetischen Merkmale, der Sprache, der Religion oder der Weltanschauung, einer politischen oder sonstigen Anschauung, der Zugehörigkeit zu einer nationalen Minderheit, des Vermögens, der Geburt, einer Behinderung, des Alters oder der sexuellen Ausrichtung diskriminiert werden. Die Menschenwürde und die Integrität sowie die Grundrechte der Betroffenen, darunter auch das Recht auf Achtung der Privatsphäre und auf Schutz der personenbezogenen Daten, müssen uneingeschränkt gewahrt werden. Besonderer Aufmerksamkeit bedürfen Kinder, ältere Menschen, Menschen mit Behinderungen und Menschen, die internationalen Schutz benötigen. Dem Kindeswohl ist vorrangig Rechnung zu tragen.

KAPITEL II

Europäisches Suchportal

Artikel 6

Europäisches Suchportal

(1)  Es wird ein Europäisches Suchportal (European search portal, im Folgenden „ESP“) geschaffen, das den mitgliedstaatlichen Behörden und den Stellen der Union einen raschen, unterbrechungsfreien, effizienten, systematischen und kontrollierten Zugang zu den EU-Informationssystemen, den Europol-Daten und den Interpol-Datenbanken zur Wahrnehmung ihrer Aufgaben und nach Maßgabe ihrer Zugangsrechte und im Einklang mit den Zielen und Zwecken des EES, des VIS, des ETIAS, von Eurodac, des SIS und des ECRIS-TCN erleichtern soll.

(2)  Das ESP umfasst

(3)  eu-LISA entwickelt das ESP und sorgt für seine technische Verwaltung.

Artikel 7

Nutzung des Europäischen Suchportals

(1)  Die Nutzung des ESP ist den mitgliedstaatlichen Behörden und den Stellen der Union vorbehalten, die auf mindestens eines der EU-Informationssysteme nach Maßgabe der für diese EU-Informationssysteme geltenden Rechtsinstrumente, den CIR und den MID nach Maßgabe der vorliegenden Verordnung, Europol-Daten nach Maßgabe der Verordnung (EU) 2016/794 oder die Interpol-Datenbanken nach Maßgabe der einschlägigen Bestimmungen des Unionsrechts oder des nationalen Rechts zugreifen können.

Diese mitgliedstaatlichen Behörden und Stellen der Union dürfen nur für die Ziele und Zwecke, die in den für diese EU-Informationssysteme geltenden Rechtsinstrumenten, der Verordnung (EU) 2016/794 und in der vorliegenden Verordnung festgelegt sind, auf das ESP und die von ihm bereitgestellten Daten zurückgreifen.

(2)  Die in Absatz 1 genannten mitgliedstaatlichen Behörden und Stellen der Union nutzen das ESP für die Abfrage von Daten zu Personen oder deren Reisedokumenten in den Zentralsystemen von Eurodac und des ECRIS-TCN nach Maßgabe ihrer jeweiligen Zugangsrechte gemäß den für diese EU-Informationssysteme geltenden Rechtsinstrumenten und dem nationalen Recht. Sie nutzen das ESP zudem nach Maßgabe ihrer in dieser Verordnung festgelegten Zugangsrechte für die Abfrage des CIR für die in den Artikeln 20, 21 und 22 genannten Zwecke.

(3)  Die in Absatz 1 genannten mitgliedstaatlichen Behörden können das ESP für die Abfrage von Daten zu Personen oder deren Reisedokumenten im in den Verordnungen (EU) 2018/1860 und (EU) 2018/1861 genannten zentralen SIS nutzen.

(4)  Wenn es nach dem Unionsrecht vorgesehen ist, können die in Absatz 1 genannten Stellen der Union das ESP für die Abfrage von Daten zu Personen oder deren Reisedokumenten im zentralen SIS nutzen.

(5)  Die in Absatz 1 genannten mitgliedstaatlichen Behörden und Stellen der Union können das ESP für die Abfrage von Daten zu Personen oder deren Reisedokumenten in den Europol-Daten nach Maßgabe ihrer jeweiligen Zugangsrechte nach dem Unionsrecht beziehungsweise nach nationalem Recht nutzen.

Artikel 8

Erstellung von ESP-Nutzerprofilen

(1)  Um die Nutzung des ESP zu ermöglichen, erstellt eu-LISA in Zusammenarbeit mit den Mitgliedstaaten auf der Grundlage jeder Kategorie von ESP-Nutzern und der Abfragezwecke ein Profil, das den in Absatz 2 genannten technischen Einzelheiten und Zugangsrechten Rechnung trägt. Jedes Profil enthält dabei nach Maßgabe des Unionsrechts und des nationalen Rechts folgende Informationen:

(2)  Die Kommission erlässt Durchführungsrechtsakte zur Festlegung der technischen Einzelheiten der in Absatz 1 genannten Profile gemäß der jeweiligen Zugangsrechte der ESP-Nutzer nach den geltenden Rechtsinstrumenten zur Regelung der EU-Informationssysteme und nach nationalem Recht. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 70 Absatz 2 genannten Prüfverfahren erlassen.

(3)  Die in Absatz 1 genannten Profile werden regelmäßig und mindestens einmal pro Jahr von eu-LISA in Zusammenarbeit mit den Mitgliedstaaten überprüft sowie erforderlichenfalls aktualisiert.

Artikel 9

Abfragen

(1)  Die ESP-Nutzer geben, um Abfragen vorzunehmen, alphanumerische und/oder biometrische Daten in das ESP ein. Bei einer Abfrage fragt das ESP anhand der vom Nutzer des ESP eingegebenen Daten und nach Maßgabe des jeweiligen Nutzerprofils gleichzeitig das EES, das ETIAS, das VIS, das SIS, Eurodac, das ECRIS-TCN, den CIR, die Europol-Daten und die Interpol-Datenbanken ab.

(2)  Die Kategorien von Daten für die Abfrage über das ESP entsprechen den Kategorien von Daten für Personen oder Reisedokumente, die für die Abfrage der verschiedenen EU-Informationssysteme, der Europol-Daten und der Interpol-Datenbanken nach Maßgabe der für sie geltenden Rechtsinstrumente verwendet werden können.

(3)  eu-LISA erstellt in Zusammenarbeit mit den Mitgliedstaaten für das ESP eine Dokumentation zur Schnittstellenansteuerung in dem in Artikel 38 genannten UMF.

(4)  Bei einer Abfrage durch einen ESP-Nutzer werden aus dem EES, dem ETIAS, dem VIS, dem SIS, Eurodac, dem ECRIS-TCN, dem CIR, dem MID, den Europol-Daten und aus den Interpol-Datenbanken von ihnen gehaltene Daten als Antwort auf die Abfrage bereitgestellt.

Unbeschadet des Artikels 20 wird in der vom ESP erteilten Antwort angegeben, aus welchem EU-Informationssystem beziehungsweise aus welcher Datenbank die betreffenden Daten stammen.

Das ESP liefert keine Angaben zu Daten in EU-Informationssystemen, zu Europol-Daten und zu den Interpol-Datenbanken, auf die der Nutzer nach dem anwendbaren Unionsrecht und nationalen Recht nicht zugreifen darf.

(5)  Über das ESP durchgeführte Abfragen der Interpol-Datenbanken erfolgen so, dass dem für die Interpol-Ausschreibung Verantwortlichen keine Informationen preisgegeben werden.

(6)  Sobald Daten aus einem der EU-Informationssysteme, den Europol-Daten oder den Interpol-Datenbanken verfügbar sind, werden dem Nutzer über das ESP Antworten erteilt. Diese Antworten enthalten lediglich die Daten, auf die der Nutzer nach dem Unionsrecht und dem nationalen Recht zugreifen darf.

(7)  Die Kommission erlässt einen Durchführungsrechtsakt, um das technische Verfahren für Abfragen der EU-Informationssysteme, Europol-Daten und Interpol-Datenbanken durch das ESP und das Format der vom ESP erteilten Antworten festzulegen. Dieser Durchführungsrechtsakt wird nach dem Prüfverfahren gemäß Artikel 70 Absatz 2 erlassen.

Artikel 10

Führen von Protokollen

(1)  Unbeschadet der Artikel 12 und 18 der Verordnung (EU) 2018/1862, des Artikels 29 der Verordnung (EG) 2019/816 und des Artikels 40 der Verordnung (EU) 2016/794 führt eu-LISA Protokolle sämtlicher im ESP erfolgenden Datenverarbeitungsvorgänge. Die Protokolle enthalten folgende Angaben:

(2)  Jeder Mitgliedstaat führt Protokolle über die Abfragen, die seine zur Nutzung des ESP ordnungsgemäß ermächtigten Behörden und deren Bedienstete durchführen. Jede Stelle der Union führt Protokolle über die Abfragen, die ihre ordnungsgemäß ermächtigten Bediensteten durchführen.

(3)  Die in den Absätzen 1 und 2 genannten Protokolle werden nur zur datenschutzrechtlichen Kontrolle, einschließlich der Prüfung der Zulässigkeit einer Abfrage und der Rechtmäßigkeit der Datenverarbeitung sowie zur Sicherstellung der Datensicherheit und -integrität verwendet. Die Protokolle werden in geeigneter Weise vor unbefugtem Zugriff geschützt und ein Jahr nach ihrer Erstellung gelöscht. Werden sie jedoch für ein bereits eingeleitetes Kontrollverfahren benötigt, werden sie gelöscht, sobald diese Protokolle nicht mehr für das Kontrollverfahren benötigt werden.

Artikel 11

Ausweichverfahren für den Fall, dass eine Nutzung des Europäischen Suchportals technisch nicht möglich ist

(1)  Wenn es wegen eines Ausfalls des ESP technisch nicht möglich ist, das ESP für die Abfrage eines oder mehrerer der EU-Informationssysteme oder des CIR zu nutzen, werden die ESP-Nutzer von eu-LISA automatisch entsprechend benachrichtigt.

(2)  Wenn es wegen eines Ausfalls der nationalen Infrastruktur eines Mitgliedstaats technisch nicht möglich ist, das ESP für die Abfrage eines oder mehrerer EU-Informationssysteme oder des CIR zu nutzen, benachrichtigt der betroffene Mitgliedstaat eu-LISA und die Kommission automatisch.

(3)  In den Fällen der Absätze 1 oder 2 des vorliegenden Artikels gilt die in Artikel 7 Absätze 2 und 4 festgelegte Pflicht nicht, bis das technische Versagen behoben ist, und die Mitgliedstaaten fragen die EU-Informationssysteme oder das CIR unmittelbar ab, wenn sie nach dem Unionsrecht oder dem nationalen Recht hierzu verpflichtet sind.

(4)  Wenn es wegen eines Ausfalls der Infrastruktur einer Stelle der Union technisch nicht möglich ist, das ESP für die Abfrage eines oder mehrerer EU-Informationssysteme oder des CIR zu nutzen, benachrichtigt die betroffene Stelle eu-LISA und die Kommission automatisch.

KAPITEL III

Gemeinsamer Dienst für den Abgleich biometrischer Daten

Artikel 12

Gemeinsamer Dienst für den Abgleich biometrischer Daten

(1)  Es wird ein gemeinsamer Dienst für den Abgleich biometrischer Daten (shared biometric matching service — im Folgenden „gemeinsamer BMS“) eingerichtet, der die Aufgabe hat, biometrische Templates, die aus den im CIR und im SIS gespeicherten biometrischen Daten nach Artikel 13 generiert wurden, zu speichern und die systemübergreifende Abfrage mehrerer EU-Informationssysteme anhand biometrischer Daten zu ermöglichen, um den CIR und den MID sowie die Ziele des EES, des VIS, von Eurodac, des SIS und des ECRIS-TCN zu unterstützen.

(2)  Der gemeinsame BMS umfasst

(3)  eu-LISA entwickelt den gemeinsamen BMS und sorgt für seine technische Verwaltung.

Artikel 13

Speicherung biometrischer Templates im gemeinsamen Dienst für den Abgleich biometrischer Daten

(1)  Der gemeinsame BMS speichert die biometrischen Templates, die er aus folgenden biometrischen Daten generiert:

Die biometrischen Templates werden im gemeinsamen BMS logisch voneinander getrennt nach den Informationssystemen, aus denen die Daten stammen, gespeichert.

(2)  Für jeden Satz der in Absatz 1 genannten Daten fügt der gemeinsame BMS jedem biometrischen Template einen Verweis auf die EU-Informationssysteme, in denen die betreffenden biometrischen Daten gespeichert sind, und einen Verweis auf die tatsächlichen Datensätze in diesen EU-Informationssystemen hinzu.

(3)  Die biometrischen Templates dürfen erst in den gemeinsamen BMS eingegeben werden, nachdem der gemeinsame BMS die einem der EU-Informationssysteme hinzugefügten biometrischen Daten einer automatischen Qualitätskontrolle unterzogen hat, um sicherzustellen, dass ein Mindestdatenqualitätsstandard eingehalten wird.

(4)  Bei der Speicherung der in Absatz 1 genannten Daten sind die in Artikel 37 Absatz 2 genannten Qualitätsstandards einzuhalten.

(5)  Die Kommission legt im Wege eines Durchführungsrechtsakts die Leistungsanforderungen und praktischen Vorkehrungen für die Überwachung der Leistung des gemeinsamen BMS fest, um sicherzustellen, dass die Wirksamkeit biometrischer Suchvorgänge auch bei Verfahren gewährleistet ist, bei denen die Zeit eine Rolle spielt, wie etwa Grenzkontrollen und Identifizierungen. Dieser Durchführungsrechtsakt wird gemäß dem in Artikel 70 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 14

Abfrage biometrischer Daten mithilfe des gemeinsamen Dienstes für den Abgleich biometrischer Daten

Um die im CIR und im SIS gespeicherten biometrischen Daten abzufragen, nutzen der CIR und das SIS die im gemeinsamen BMS gespeicherten biometrischen Templates. Die Abfragen anhand biometrischer Daten werden zu den Zwecken vorgenommen, die in dieser Verordnung sowie in den Verordnungen (EG) Nr. 767/2008, (EU) 2017/2226, (EU) 2018/1860, (EU) 2018/1861, (EU) 2018/1862 und (EU) 2019/816 vorgesehen sind.

Artikel 15

Datenspeicherung im gemeinsamen Dienst für den Abgleich biometrischer Daten

Die in Artikel 13 Absätze 1 und 2 genannten Daten werden im gemeinsamen BMS nur so lange gespeichert, wie die entsprechenden biometrischen Daten im CIR beziehungsweise im SIS gespeichert werden. Die Daten werden automatisch aus dem gemeinsamen BMS gelöscht.

Artikel 16

Führen von Protokollen

(1)  Unbeschadet der Artikel 12 und 18 der Verordnung (EG) Nr. 2018/1862 und des Artikels 29 der Verordnung (EU) 2019/816 führt eu-LISA Protokolle sämtlicher im gemeinsamen BMS erfolgenden Datenverarbeitungsvorgänge. Die Protokolle enthalten folgende Angaben:

(2)  Jeder Mitgliedstaat führt Protokolle über die Abfragen, die seine zur Nutzung des gemeinsamen BMS ordnungsgemäß ermächtigten Behörden und deren Bedienstete durchführen. Jede Stelle der Union führt Protokolle über die Abfragen, die ihre ordnungsgemäß ermächtigten Bediensteten durchführen.

(3)  Die in den Absätzen 1 und 2 genannten Protokolle dürfen nur zur datenschutzrechtlichen Kontrolle, einschließlich der Prüfung der Zulässigkeit einer Abfrage und der Rechtmäßigkeit der Datenverarbeitung sowie zur Sicherstellung der Datensicherheit und -integrität verwendet werden. Die Protokolle werden in geeigneter Weise vor unbefugtem Zugriff geschützt und ein Jahr nach ihrer Erstellung gelöscht. Werden sie jedoch für ein bereits eingeleitetes Kontrollverfahren benötigt, werden sie gelöscht, sobald die Protokolle nicht mehr für das Kontrollverfahren benötigt werden.

KAPITEL IV

Gemeinsamer Speicher für Identitätsdaten

Artikel 17

Gemeinsamer Speicher für Identitätsdaten

(1)  Es wird ein gemeinsamer Speicher für Identitätsdaten (CIR) geschaffen, in dem für jede im EES, im VIS, im ETIAS, in Eurodac oder im ECRIS-TCN erfasste Person eine individuelle Datei mit den in Artikel 18 genannten Daten angelegt wird und der dazu dient, die korrekte Identifizierung von im EES, im VIS, im ETIAS, in Eurodac und im ECRIS-TCN gemäß Artikel 20 erfassten Personen zu erleichtern und zu unterstützen, das Funktionieren des MID gemäß Artikel 21 zu unterstützen und den etwaig erforderlichen Zugang von benannten Behörden und Europol zu dem EES, dem VIS, dem ETIAS und Eurodac zum Zwecke der Verhinderung, Aufdeckung oder Untersuchung terroristischer und anderer schwerer Straftaten gemäß Artikel 22 zu erleichtern und einheitlich zu regeln.

(2)  Der CIR umfasst

(3)  eu-LISA entwickelt den CIR und sorgt für seine technische Verwaltung.

(4)  Ist es aufgrund eines Ausfalls des CIR technisch nicht möglich, den CIR zur Identifizierung einer Person gemäß Artikel 20, zur Aufdeckung von Mehrfachidentitäten gemäß Artikel 21 oder zum Zwecke der Verhinderung, Aufdeckung oder Untersuchung terroristischer und anderer schwerer Straftaten gemäß Artikel 22 zu nutzen, werden die CIR-Nutzer automatisch von eu-LISA benachrichtigt.

(5)  eu-LISA erstellt in Zusammenarbeit mit den Mitgliedstaaten für den CIR eine Dokumentation zur Schnittstellenansteuerung in dem in Artikel 38 genannten UMF.

Artikel 18

Im gemeinsamen Speicher für Identitätsdaten gespeicherte Daten

(1)  Im CIR werden folgende Daten logisch voneinander getrennt nach den Informationssystemen, aus denen sie stammen, gespeichert: Daten nach Artikel 5 Absatz 1 Buchstabe b und Artikel 5 Absatz 2 sowie folgende Daten nach Artikel 5 Absatz 1 Buchstabe a der Verordnung (EU) 2019/816: Nachname (Familienname), Vorname(n), Geburtsdatum, Geburtsort (Gemeinde und Staat), Staatsangehörigkeit(en), Geschlecht, gegebenenfalls frühere Namen, soweit vorhanden Pseudonyme und/oder Aliasnamen sowie, soweit vorhanden, Informationen zu Reisedokumenten.

(2)  Für jeden Satz der in Absatz 1 genannten Daten fügt der CIR einen Verweis auf die EU-Informationssysteme hinzu, aus denen die betreffenden Daten stammen.

(3)  Die Behörden, die auf das CIR zugreifen, tun das gemäß ihren jeweiligen Zugangsrechten nach den für diese EU-Informationssysteme geltenden Rechtsinstrumenten und nach dem nationalen Recht sowie nach Maßgabe ihrer in dieser Verordnung festgelegten Zugangsrechte für die Zwecke nach den Artikeln 20, 21 und 22.

(4)  Für jeden Satz der in Absatz 1 genannten Daten fügt der CIR einen Verweis auf den tatsächlichen Datensatz in den EU-Informationssystemen, aus dem die Daten stammen, hinzu.

(5)  Bei der Speicherung der in Absatz 1 genannten Daten sind die in Artikel 37 Absatz 2 genannten Qualitätsstandards einzuhalten.

Artikel 19

Hinzufügung, Änderung und Löschung von Daten im gemeinsamen Speicher für Identitätsdaten

(1)  Bei jeder Hinzufügung, Änderung oder Löschung von Daten in Eurodac oder im ECRIS-TCN werden die in den individuellen Dateien im CIR gespeicherten Daten nach Artikel 18 automatisch entsprechend hinzugefügt, geändert oder gelöscht.

(2)  Wird im MID nach Maßgabe der Artikel 32 oder 33 eine weiße oder eine rote Verknüpfung zwischen Daten von zwei oder mehr EU-Informationssystemen, die Bestandteil des CIR sind, erstellt, werden vom CIR keine neuen individuellen Dateien angelegt, sondern die neuen Daten der individuellen Datei der verknüpften Daten hinzugefügt.

Artikel 20

Zugang zum gemeinsamen Speicher für Identitätsdaten zwecks Identifizierung

(1)  Abfragen im CIR werden von einer Polizeibehörde gemäß den Absätzen 2 und 5 nur in den folgenden Situationen vorgenommen:

Eine solche Abfrage zu Minderjährigen unter zwölf Jahren ist unzulässig, es sei denn, sie erfolgt zum Wohl des Kindes.

(2)  Ist eine der in Absatz -1 aufgeführten Situationen gegeben, und wurden einer Polizeibehörde mittels nationaler Gesetzgebungsmaßnahmen die in Absatz 5 genannten Befugnisse übertragen, darf sie ausschließlich zum Zwecke der Identifizierung einer Person anhand der bei einer Identitätskontrolle direkt vor Ort erhobenen biometrischen Daten dieser Person Abfragen im CIR vornehmen, sofern das Verfahren im Beisein dieser Person eingeleitet wurde.

(3)  Falls eine solche Abfrage ergibt, dass im CIR Daten zu der betreffenden Person gespeichert sind, darf die betreffende Polizeibehörde die in Artikel 18 Absatz 1 genannten Daten einsehen.

Falls die biomettrischen Daten der betreffenden Person nicht verwendet werden können oder die Abfrage anhand dieser Daten nicht erfolgreich ist, ist die Abfrage anhand von Identitätsdaten dieser Person in Verbindung mit Reisedokumentendaten oder anhand der von der betreffenden Person bereitgestellten Identitätsdaten vorzunehmen.

(4)  Sind einer Polizeibehörde mittels nationaler Legislativmaßnahmen die in Absatz 6 genannten Befugnisse übertragen worden, darf sie im Falle einer Naturkatastrophe, eines Unfalls oder eines Terroranschlags und ausschließlich zum Zwecke der Identifizierung unbekannter Personen, die sich nicht ausweisen können, oder nicht identifizierter menschlicher Überreste mit den biometrischen Daten dieser Personen Abfragen im CIR vornehmen.

(5)  Mitgliedstaaten, die die in Absatz 2 vorgesehene Möglichkeit nutzen möchten, erlassen entsprechende nationale Gesetzgebungsmaßnahmen. Dabei berücksichtigen die Mitgliedstaaten, dass jede Diskriminierung von Drittstaatsangehörigen vermieden werden muss. Durch derartige Gesetzgebungsmaßnahmen sind die genauen Zwecke der zu den in Artikel 2 Absatz 1 Buchstaben b und c genannten Zwecken erfolgenden Identifizierung festzulegen. Durch derartige Gesetzgebungsmaßnahmen sind zudem die zuständigen Polizeibehörden zu benennen sowie die Verfahren, Bedingungen und Kriterien derartiger Kontrollen festzulegen.

(6)  Mitgliedstaaten, die die in Absatz 4 vorgesehene Möglichkeit nutzen möchten, erlassen entsprechende nationale Legislativmaßnahmen, in denen die hierfür geltenden Verfahren, Bedingungen und Kriterien festgelegt sind.

Artikel 21

Zugang zum gemeinsamen Speicher für Identitätsdaten zwecks Aufdeckung etwaiger Mehrfachidentitäten

(1)  Falls bei der Abfrage des CIR eine gelbe Verknüpfung gemäß Artikel 28 Absatz 4 angezeigt wird, darf die Behörde, die für die manuelle Verifizierung verschiedener Identitäten gemäß Artikel 29 zuständig ist, ausschließlich zu Verifizierungszwecken auf die im CIR gespeicherten, durch die gelbe Verknüpfung bezeichneten Daten nach Artikel 18 Absätze 1 und 2 zugreifen.

(2)  Falls bei der Abfrage des CIR eine rote Verknüpfung gemäß Artikel 32 angezeigt wird, dürfen die in Artikel 26 Absatz 2 genannten Behörden ausschließlich zur Bekämpfung von Identitätsbetrug auf die im CIR gespeicherten, durch die rote Verknüpfung bezeichneten Daten nach Artikel 18 Absätze 1 und 2 zugreifen.

Artikel 22

Abfrage des gemeinsamen Speichers für Identitätsdaten zu Zwecken der Verhinderung, Aufdeckung oder Untersuchung terroristischer Straftaten oder sonstiger schwerer Straftaten

(1)  Gibt es in einem konkreten Einzelfall vernünftige Gründe dafür, dass die Abfrage der EU-Informationssysteme zur Verhinderung, Aufdeckung oder Untersuchung terroristischer Straftaten oder sonstiger schwerer Straftaten beitragen kann, insbesondere, wenn der Verdacht besteht, dass der Verdächtige, Täter oder das Opfer einer terroristischen Straftat oder sonstiger schwerer Straftaten eine Person ist, die in Eurodac gespeichert ist, können die benannten Behörden und Europol den CIR abfragen, um in Erfahrung zu bringen, ob in Eurodac Daten zu einer spezifischen Person gespeichert sind.

(2)  Falls die Abfrage im CIR ergibt, dass in Eurodac Daten zu der betreffenden Person gespeichert sind, zeigt der CIR den benannten Behörden und Europol durch einen Verweis nach Artikel 18 Absatz 2 an, dass in Eurodac übereinstimmende Daten gespeichert sind. Alle vom CIR ausgegebenen Antworten müssen so beschaffen sein, dass die Sicherheit der Daten nicht gefährdet wird.

Die Antwort, aus der hervorgeht, dass Daten zu dieser Person in Eurodac gespeichert sind, darf ausschließlich für die Zwecke der Übermittlung eines Antrags auf uneingeschränkten Zugang vorbehaltlich der Bedingungen und Verfahren, die in dem einschlägigen Rechtsinstrument festgelegt sind, verwendet werden.

Bei einer Übereinstimmung oder mehreren Übereinstimmungen stellt die benannte Behörde oder Europol einen Antrag auf uneingeschränkten Zugang zu mindestens einem der Informationssysteme, aus dem eine Übereinstimmung generiert wurde.

Wenn ein solcher uneingeschränkter Zugang ausnahmsweise nicht beantragt wird, verzeichnet die benannte Behörde die Begründung für die Nichtbeantragung, die in der nationalen Datei rückverfolgbar sein muss. Europol verzeichnet die Begründung in der entsprechenden Datei.

(3)  Der vollständige Zugang zu den im Eurodac gespeicherten Daten, welche für die Zwecke der Verhinderung, Aufdeckung oder Untersuchung terroristischer Straftaten oder sonstiger schwerer Straftaten erforderlich sind, unterliegt weiterhin den Bedingungen und Verfahren, die im entsprechenden Rechtsinstrument festgelegt sind.

Artikel 23

Datenspeicherung im gemeinsamen Speicher für Identitätsdaten

(1)  Die in Artikel 18 Absätze 1, 2 und 4 genannten Daten werden im CIR automatisch nach Maßgabe der Datenspeicherungsbestimmungen der Verordnung (EU) 2019/816 gelöscht.

(2)  Die individuellen Dateien werden im CIR nur so lange gespeichert, wie die entsprechenden Daten in mindestens einem der EU-Informationssysteme gespeichert werden, von dem Daten im CIR enthalten sind. Durch die Erstellung einer Verknüpfung wird die Speicherfrist der einzelnen durch die Verknüpfung bezeichneten Daten nicht berührt.

Artikel 24

Führen von Protokollen

(1)  Unbeschadet des Artikels 29 der Verordnung (EU) 2019/816 führt eu-LISA Protokolle sämtlicher im CIR erfolgenden Datenverarbeitungsvorgänge gemäß den Absätzen 2, 3 und 4 des vorliegenden Artikels.

(2)  eu-LISA führt Protokolle sämtlicher im CIR gemäß Artikel 20 erfolgenden Datenverarbeitungsvorgänge. Die Protokolle enthalten folgende Angaben:

(3)  eu-LISA führt Protokolle sämtlicher im CIR gemäß Artikel 21 erfolgenden Datenverarbeitungsvorgänge. Die Protokolle enthalten folgende Angaben:

(4)  eu-LISA führt Protokolle sämtlicher im CIR gemäß Artikel 22 erfolgenden Datenverarbeitungsvorgänge. Die Protokolle enthalten folgende Angaben:

Die zuständige Aufsichtsbehörde nach Artikel 41 der Richtlinie (EU) 2016/680 oder der Europäische Datenschutzbeauftragte nach Artikel 43 der Verordnung (EU) 2016/794 überprüft regelmäßig, spätestens jedoch alle sechs Monate, die betreffenden Zugangsprotokolle darauf, ob die Verfahren und Bedingungen nach Artikel 22 Absätze 1 und 2 der vorliegenden Verordnung eingehalten wurden.

(5)  Jeder Mitgliedstaat führt Protokolle über die Abfragen, die seine zur Nutzung des CIR ordnungsgemäß ermächtigten Behörden und die Bediensteten dieser Behörden gemäß den Artikeln 20, 21 und 22 durchführen. Jede Stelle der Union führt Protokolle über die Abfragen, die ihre ordnungsgemäß ermächtigten Bediensteten gemäß den Artikeln 21 und 22 durchführen.

Zusätzlich führt jeder Mitgliedstaat für jeden Zugang zum CIR nach Artikel 22 folgende Protokolle:

(6)  Gemäß der Verordnung (EU) 2016/794 führt Europol für jeden Zugang zum CIR nach Artikel 22 der vorliegenden Verordnung Protokolle der eindeutigen Nutzerkennung des Beamten, der die Abfrage vorgenommen hat, und des Beamten, der die Abfrage angeordnet hat.

(7)  Die in den Absätzen 2 bis 6genannten Protokolle dürfen nur zur datenschutzrechtlichen Kontrolle, einschließlich der Prüfung der Zulässigkeit einer Abfrage und der Rechtmäßigkeit der Datenverarbeitung sowie zur Sicherstellung der Datensicherheit und -integrität verwendet werden. Die Protokolle werden in geeigneter Weise vor unbefugtem Zugriff geschützt und ein Jahr nach ihrer Erstellung gelöscht. Werden sie jedoch für ein bereits eingeleitetes Kontrollverfahren benötigt, werden sie gelöscht, sobald die Protokolle nicht mehr für das Kontrollverfahren benötigt werden.

(8)  eu-LISA speichert die Protokolle über die Chronik der Daten in individuellen Dateien. eu-LISA löscht solche Protokolle automatisch, sobald die Daten gelöscht werden.

KAPITEL V

Detektor für Mehrfachidentitäten

Artikel 25

Detektor für Mehrfachidentitäten

(1)  Zur Unterstützung des Funktionierens des CIR und der Ziele des EES, des VIS, des ETIAS, von Eurodac, des SIS und des ECRIS-TCN wird ein Detektor für Mehrfachidentitäten (MID) eingerichtet, der Identitätsbestätigungsdateien nach Artikel 34 erstellt und speichert, die Verknüpfungen zwischen in den EU-Informationssystemen einschließlich des CIR und des SIS enthaltenen Daten enthält und die Aufdeckung von Mehrfachidentitäten ermöglicht, mit dem doppelten Ziel, Identitätsprüfungen zu vereinfachen und Identitätsbetrug zu bekämpfen.

(2)  Der MID umfasst

(3)  eu-LISA entwickelt den MID und sorgt für seine technische Verwaltung.

Artikel 26

Zugriff auf den Detektor für Mehrfachidentitäten

(1)  Für die Zwecke der manuellen Verifizierung verschiedener Identitäten nach Artikel 29 erhalten folgende Stellen Zugriff auf die im MID gespeicherten Daten nach Artikel 34:

(2)  Die mitgliedstaatlichen Behörden und die Stellen der Union, die Zugang zu mindestens einem in den CIR integrierten EU-Informationssystem oder zum SIS haben, erhalten über rote Verknüpfungen nach Artikel 32 Zugang zu den in Artikel 34 Buchstaben a und b genannten Daten.

(3)  Die mitgliedstaatlichen Behörden und die Stellen der Union haben Zugang zu weißen Verknüpfungen nach Artikel 33, wenn sie Zugang zu den beiden EU-Informationssystemen haben, die die Daten enthalten, zwischen denen die weiße Verknüpfung erstellt wurde.

(4)  Die mitgliedstaatlichen Behörden und die Stellen der Union haben Zugang zu grünen Verknüpfungen nach Artikel 31, wenn sie Zugang zu den beiden EU-Informationssystemen haben, die die Daten enthalten, zwischen denen die grüne Verknüpfung erstellt wurde, und eine Abfrage dieser Informationssysteme eine Übereinstimmung bei den beiden verknüpften Datensätzen ergeben hat.

Artikel 27

Prüfung auf Mehrfachidentitäten

(1)  Im CIR und im SIS wird eine Prüfung auf Mehrfachidentitäten eingeleitet, wenn

(2)  Wenn die in einem EU-Informationssystem enthaltenen Daten nach Absatz 1 biometrische Daten umfassen, nutzen der CIR und das zentrale SIS den gemeinsamen BMS für die Prüfung auf Mehrfachidentitäten. Der gemeinsame BMS vergleicht die aus neuen biometrischen Daten generierten biometrischen Templates mit den bereits im gemeinsamen BMS vorhandenen biometrischen Templates, um zu überprüfen, ob die zu derselben Person gehörenden Daten bereits im CIR oder im zentralen SIS gespeichert sind.

(3)  Zusätzlich zu dem in Absatz 2 genannten Vorgang nutzen der CIR und das zentrale SIS das ESP, um anhand der folgenden Daten die im zentralen SIS bzw. im CIR gespeicherten Daten zu durchsuchen:

(4)  Zusätzlich zu dem in den Absätzen 2 und 3 genannten Vorgang nutzen der CIR und das zentrale SIS das ESP, um anhand der Reisedokumentendaten die im zentralen SIS bzw. im CIR gespeicherten Daten zu durchsuchen.

(5)  Die Prüfung auf Mehrfachidentitäten wird nur durchgeführt, um Daten, die in einem EU-Informationssystem vorhanden sind, mit Daten, die in anderen EU-Informationssystemen vorhanden sind, zu vergleichen.

Artikel 28

Ergebnisse der Prüfung auf Mehrfachidentitäten

(1)  Wenn die Abfragen nach Artikel 27 Absätze 2, 3 und 4 keine Übereinstimmung ergeben, werden die in Artikel 27 Absatz 1 genannten Verfahren gemäß den einschlägigen Rechtsinstrumenten fortgesetzt.

(2)  Wenn die Abfrage nach Artikel 27 Absätze 2, 3 und 4 eine oder mehrere Übereinstimmungen ergibt, erstellen der CIR und gegebenenfalls das SIS eine Verknüpfung zwischen den für die Abfrage verwendeten Daten und den Daten, die zu der Übereinstimmung geführt haben.

Wenn mehrere Übereinstimmungen gemeldet werden, wird eine Verknüpfung zwischen allen Daten, die zu der Übereinstimmung geführt haben, erstellt. Wenn die Daten bereits verknüpft waren, wird die bestehende Verknüpfung auf die zur Abfrage verwendeten Daten ausgeweitet.

(3)  Wenn die Abfrage nach Artikel 27 Absätze 2, 3 und 4 eine oder mehrere Übereinstimmungen ergibt und die Identitätsdaten der verknüpften Dateien gleich oder ähnlich sind, wird eine weiße Verknüpfung nach Artikel 33 erstellt.

(4)  Wenn die Abfrage nach Artikel 27 Absätze 2, 3 und 4 eine oder mehrere Übereinstimmungen ergibt und die Identitätsdaten der verknüpften Dateien nicht als ähnlich angesehen werden können, wird eine gelbe Verknüpfung nach Artikel 30 erstellt, und das Verfahren nach Artikel 29 gelangt zur Anwendung.

(5)  Die Kommission erlässt gemäß Artikel 69 delegierte Rechtsakte zur Festlegung der Verfahren für die Bestimmung der Fälle, in denen Identitätsdaten als identisch oder ähnlich angesehen werden können.

(6)  Die Verknüpfungen werden in der Identitätsbestätigungsdatei gemäß Artikel 34 gespeichert.

(7)  Die Kommission legt in Zusammenarbeit mit eu-LISA die technischen Vorschriften für die Erstellung von Verknüpfungen zwischen Daten aus unterschiedlichen EU-Informationssystemen im Wege von Durchführungsrechtsakten fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 70 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 29

Manuelle Verifizierung verschiedener Identitäten und zuständige Behörden

(1)  Unbeschadet von Absatz 2 sind für die manuelle Verifizierung verschiedener Identitäten folgende Behörden zuständig:

Der MID gibt die für die manuelle Verifizierung verschiedener Identitäten zuständige Behörde in der Identitätsbestätigungsdatei an.

(2)  Die für die manuelle Verifizierung verschiedener Identitäten in der Identitätsbestätigungsdatei zuständige Behörde ist das SIRENE-Büro des Mitgliedstaats, der die Ausschreibung eingegeben hat, wenn eine Verknüpfung zu Daten erstellt wird, die in einer Ausschreibung

(3)  Die für die manuelle Verifizierung verschiedener Identitäten zuständige Behörde erhält Zugriff auf die in der betreffenden Identitätsbestätigungsdatei enthaltenen verknüpften Daten und auf die im CIR und gegebenenfalls im SIS verknüpften Identitätsdaten. Sie prüft die verschiedenen Identitäten unverzüglich. Sobald die Prüfung abgeschlossen ist, aktualisiert sie die Verknüpfung gemäß den Artikeln 31, 32 und 33 und fügt diese unverzüglich zur Identitätsbestätigungsdatei hinzu.

(4)  Wenn mehr als eine Verknüpfung erstellt wird, prüft die für die manuelle Verifizierung verschiedener Identitäten zuständige Behörde jede Verknüpfung gesondert.

(5)  Wenn Daten, die zu einer Übereinstimmung geführt haben, bereits verknüpft sind, berücksichtigt die für die manuelle Verifizierung verschiedener Identitäten zuständige Behörde die bestehenden Verknüpfungen bei der Prüfung, ob neue Verknüpfungen erstellt werden müssen.

Artikel 30

Gelbe Verknüpfung

(1)  Wurde noch keine manuelle Verifizierung verschiedener Identitäten vorgenommen, wird eine Verknüpfung zwischen Daten aus zwei oder mehr EU-Informationssystemen in folgenden Fällen als gelb klassifiziert:

(2)  Wenn eine Verknüpfung gemäß Absatz 1 als gelb klassifiziert wird, gelangt das Verfahren nach Artikel 29 zur Anwendung.

Artikel 31

Grüne Verknüpfung

(1)  Eine Verknüpfung zwischen Daten aus zwei oder mehr EU-Informationssystemen wird als grün klassifiziert, wenn

(2)  Wenn eine Abfrage im CIR oder im SIS durchgeführt wird und eine grüne Verknüpfung zwischen Daten aus zwei oder mehr EU-Informationssystemen besteht, zeigt der MID an, dass die Identitätsdaten der verknüpften Daten nicht ein und dieselbe Person bezeichnen.

(3)  Wenn eine mitgliedstaatliche Behörde Belege hat, aus denen hervorgeht, dass eine grüne Verknüpfung im MID unrichtig erfasst wurde, dass eine grüne Verknüpfung nicht dem neuesten Stand entspricht oder dass mit der Verarbeitung der Daten im MID oder den EU-Informationssystemen gegen diese Verordnung verstoßen wurde, muss sie die betreffenden im CIR und im SIS gespeicherten Daten überprüfen und die Verknüpfung gegebenenfalls unverzüglich berichtigen oder aus dem MID löschen. Diese mitgliedstaatliche Behörde setzt unverzüglich den für die manuelle Verifizierung verschiedener Identitäten zuständigen Mitgliedstaat in Kenntnis.

Artikel 32

Rote Verknüpfung

(1)  Eine Verknüpfung zwischen Daten aus zwei oder mehr EU-Informationssystemen wird in folgenden Fällen als rot klassifiziert:

(2)  Wenn eine Abfrage im CIR oder im SIS durchgeführt wird und eine rote Verknüpfung zwischen Daten in zwei oder mehr EU-Informationssystemen besteht, zeigt der MID die in Artikel 34 genannten Daten an. Bei etwaigen Folgemaßnahmen zu einer roten Verknüpfung sind die einschlägigen Bestimmungen des Unionsrechts und des nationalen Rechts einzuhalten, wobei sich etwaige rechtliche Folgen für die betreffende Person nur auf die einschlägigen Daten zu dieser Person gründen dürfen. Aufgrund der bloßen Existenz einer roten Verknüpfung entstehen für die betroffene Person keine rechtlichen Folgen.

(3)  Wenn eine rote Verknüpfung zwischen Daten im EES, im VIS, im ETIAS, in Eurodac oder im ECRIS-TCN erstellt wird, wird die im CIR gespeicherte individuelle Datei gemäß Artikel 19 Absatz 2 aktualisiert.

(4)  Unbeschadet der Bestimmungen für die Handhabung von Ausschreibungen im SIS in den Verordnungen (EU) 2018/1860, (EU) 2018/1861 und (EU) 2018/1862 und unbeschadet der erforderlichen Einschränkungen zum Schutz der Sicherheit und der öffentlichen Ordnung, zur Verhinderung von Kriminalität und zur Gewährleistung, dass bei der Erstellung einer roten Verknüpfung keine nationalen Ermittlungen beeinträchtigt werden, teilt die für die manuelle Verifizierung verschiedener Identitäten zuständige Behörde der betroffenen Person mit, dass illegale Mehrfachidentitätsdaten vorliegen, und teilt der Person die einmalige Kennnummer gemäß Artikel 34 Buchstabe c der vorliegenden Verordnung, die für die manuelle Verifizierung verschiedener Identitäten zuständige Behörde gemäß Artikel 34 Buchstabe d der vorliegenden Verordnung und die Adresse des nach Artikel 49 der vorliegenden Verordnung eingerichteten Web-Portals mit.

(5)  Die in Absatz 4 genannten Informationen werden von der für die manuelle Verifizierung verschiedener Identitäten zuständigen Behörde schriftlich anhand eines Standardformulars zur Verfügung gestellt. Die Kommission legt den Inhalt und die Darstellung dieses Formulars im Wege von Durchführungsrechtsakten fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 70 Absatz 2 genannten Prüfverfahren erlassen.

(6)  Wenn eine rote Verknüpfung erstellt wird, unterrichtet der MID automatisch die Behörden, die für die verknüpften Daten zuständig sind.

(7)  Wenn eine Behörde eines Mitgliedstaates oder eine Stelle der Union mit Zugriff auf den CIR oder das SIS Belege dafür hat, dass eine rote Verknüpfung im MID unrichtig erfasst wurde oder dass mit der Verarbeitung der Daten im MID, im CIR oder im SIS gegen diese Verordnung verstoßen wurde, muss die Behörde oder Stelle die betreffenden im CIR oder SIS gespeicherten Daten überprüfen und,

Wird ein SIRENE-Büro gemäß Unterabsatz 1 Buchstabe a kontaktiert, verifiziert es die von der mitgliedstaatlichen Behörde oder Stelle der Union vorgelegten Belege unverzüglich und berichtigt gegebenenfalls umgehend die Verknüpfung oder löscht diese aus dem MID.

Die mitgliedstaatliche Behörde, die die Belege erhält, informiert unverzüglich die Behörde des Mitgliedstaats, die für die manuelle Verifizierung verschiedener Identitäten zuständig ist, über jegliche Berichtigung oder Löschung einer roten Verknüpfung.

Artikel 33

Weiße Verknüpfung

(1)  Eine Verknüpfung zwischen Daten aus zwei oder mehr EU-Informationssystemen wird in folgenden Fällen als weiß klassifiziert:

(2)  Wenn eine Abfrage im CIR oder im SIS durchgeführt wird und eine weiße Verknüpfung zwischen Daten in zwei oder mehr EU-Informationssystemen besteht, zeigt der MID an, dass die Identitätsdaten der verknüpften Daten ein und dieselbe Person bezeichnen. In der Antwort der abgefragten EU-Informationssysteme werden gegebenenfalls alle verknüpften Daten zu der Person angezeigt, wodurch eine Übereinstimmung auf Basis der Daten, die durch die weiße Verknüpfung verknüpft sind, erfolgt, soweit die Behörde, welche die Abfrage durchführt, nach dem Unionsrecht oder nationalen Recht Zugriff auf die verknüpften Daten hat.

(3)  Wenn eine weiße Verknüpfung zwischen Daten im EES, im VIS, im ETIAS, in Eurodac oder im ECRIS-TCN erstellt wird, wird die im CIR gespeicherte individuelle Datei gemäß Artikel 19 Absatz 2 aktualisiert.

(4)  Wenn nach einer manuellen Verifizierung von verschiedenen Identitäten eine weiße Verknüpfung erstellt wird, teilt die für die manuelle Verifizierung verschiedener Identitäten zuständige Behörde der betreffenden Person unbeschadet der Bestimmungen für die Handhabung von Ausschreibungen im SIS in den Verordnungen (EU) 2018/1860, (EU) 2018/1861 und (EU) 2018/1862 und unbeschadet der erforderlichen Einschränkungen zum Schutz der Sicherheit und der öffentlichen Ordnung, zur Verhinderung von Kriminalität und zur Gewährleistung, dass keine nationalen Ermittlungen beeinträchtigt werden, mit, dass ähnliche oder verschiedene Identitätsdaten vorliegen, und teilt der Person die einmalige Kennnummer gemäß Artikel 34 Buchstabe c der vorliegenden Verordnung, die für die manuelle Verifizierung verschiedener Identitäten zuständige Behörde gemäß Artikel 34 Buchstabe d der vorliegenden Verordnung und die Adresse des nach Artikel 49 der vorliegenden Verordnung eingerichteten Web-Portals mit.

(5)  Wenn eine mitgliedstaatliche Behörde Belege hat, aus denen hervorgeht, dass eine weiße Verknüpfung im MID unrichtig erfasst wurde, dass eine weiße Verknüpfung nicht dem neuesten Stand entspricht oder dass mit der Verarbeitung der Daten im MID oder in den EU-Informationssystemen gegen diese Verordnung verstoßen wurde, muss sie die betreffenden im CIR und im SIS gespeicherten Daten überprüfen und die Verknüpfung gegebenenfalls unverzüglich berichtigen oder aus dem MID löschen. Diese mitgliedstaatliche Behörde setzt unverzüglich den für die manuelle Verifizierung verschiedener Identitäten zuständigen Mitgliedstaat in Kenntnis.

(6)  Die in Absatz 4 genannten Informationen werden von der für die manuelle Verifizierung verschiedener Identitäten zuständigen Behörde schriftlich anhand eines Standardformulars zur Verfügung gestellt. Die Kommission legt den Inhalt und die Darstellung dieses Formulars im Wege von Durchführungsrechtsakten fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 70 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 34

Identitätsbestätigungsdatei

Die Identitätsbestätigungsdatei enthält folgende Daten:

Artikel 35

Datenspeicherung im Detektor für Mehrfachidentitäten

Die Identitätsbestätigungsdateien und die in ihnen enthaltenen Daten einschließlich der Verknüpfungen werden im MID nur so lange gespeichert, wie die verknüpften Daten in zwei oder mehr EU-Informationssystemen gespeichert werden. Sie werden automatisch aus dem MID gelöscht.

Artikel 36

Führen von Protokollen

(1)  eu-LISA führt Protokolle über alle Datenverarbeitungsvorgänge im MID. Die Protokolle enthalten folgende Angaben:

(2)  Jeder Mitgliedstaat führt Protokolle über die Abfragen, die seine zur Nutzung des MID ordnungsgemäß ermächtigten Behörden und deren Bedienstete durchführen. Jede Stelle der Union führt Protokolle über die Abfragen, die ihre ordnungsgemäß ermächtigten Bediensteten durchführen.

(3)  Die in den Absätzen 1 und 2 genannten Protokolle dürfen nur zur datenschutzrechtlichen Kontrolle, einschließlich der Prüfung der Zulässigkeit einer Abfrage und der Rechtmäßigkeit der Datenverarbeitung sowie zur Sicherstellung der Datensicherheit und -integrität verwendet werden. Die Protokolle werden in geeigneter Weise vor unbefugtem Zugriff geschützt und ein Jahr nach ihrer Erstellung gelöscht. Werden sie jedoch für ein bereits eingeleitetes Kontrollverfahren benötigt, werden sie gelöscht, sobald die Protokolle nicht mehr für das Kontrollverfahren benötigt werden.

KAPITEL VI

Maßnahmen zur Unterstützung der Interoperabilität

Artikel 37

Datenqualität

(1)  Unbeschadet der Verantwortlichkeiten der Mitgliedstaaten für die Qualität der in die Systeme eingegebenen Daten führt eu-LISA für die im SIS, in Eurodac, im ECRIS-TCN, im gemeinsamen BMS und im CIR gespeicherten Daten Mechanismen und Verfahren für die automatische Datenqualitätskontrolle ein.

(2)  eu-LISA setzt Mechanismen für die Bewertung der Richtigkeit des gemeinsamen BMS, gemeinsame Datenqualitätsindikatoren und die Mindestqualitätsstandards für die Speicherung von Daten im SIS, in Eurodac, im ECRIS-TCN, im gemeinsamen BMS und im CIR um.

Nur Daten, die den Mindestqualitätsstandards genügen, dürfen in das SIS, Eurodac, das ECRIS-TCN, den gemeinsamen BMS, den CIR und den MID eingegeben werden.

(3)  eu-LISA legt den Mitgliedstaaten regelmäßig Berichte über die Mechanismen und Verfahren für die automatische Datenqualitätskontrolle sowie die gemeinsamen Datenqualitätsindikatoren vor. Ferner legt eu-LISA der Kommission regelmäßig Berichte über die festgestellten Probleme und die betroffenen Mitgliedstaaten vor. eu-LISA legt diese Berichte auf Anfrage auch dem Europäischen Parlament und dem Rat vor. Keiner der in diesem Absatz genannten Berichte darf personenbezogene Daten enthalten.

(4)  Die Einzelheiten der Mechanismen und Verfahren für die automatische Datenqualitätskontrolle sowie der gemeinsamen Datenqualitätsindikatoren und der Mindestqualitätsstandards für die Speicherung von Daten im SIS, in Eurodac, im ECRIS-TCN, im gemeinsamen BMS und im CIR, insbesondere bei biometrischen Daten, werden in Durchführungsrechtsakten festgelegt. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 70 Absatz 2 genannten Prüfverfahren erlassen.

(5)  Ein Jahr nach der Einführung der Mechanismen und Verfahren für die automatische Datenqualitätskontrolle, der gemeinsamen Datenqualitätsindikatoren und der Mindestdatenqualitätsstandards und danach jedes Jahr evaluiert die Kommission die Umsetzung der Datenqualität durch die Mitgliedstaaten und gibt erforderlichenfalls Empfehlungen ab. Die Mitgliedstaaten legen der Kommission einen Aktionsplan zur Beseitigung etwaiger im Evaluierungsbericht festgestellter Mängel und insbesondere zur Lösung von Problemen bei der Datenqualität, die sich aus fehlerhaften Daten in EU-Informationssystemen ergeben, vor. Die Mitgliedstaaten erstatten der Kommission regelmäßig Bericht über die Fortschritte bei der Umsetzung dieses Aktionsplans, bis dieser vollständig umgesetzt ist.

Die Kommission übermittelt den Evaluierungsbericht dem Europäischen Parlament, dem Rat, dem Europäischen Datenschutzbeauftragten, dem Europäischen Datenschutzausschuss und der durch die Verordnung (EG) Nr. 168/2007 des Rates ( 10 ) eingerichteten Agentur der Europäischen Union für Grundrechte.

Artikel 38

Universelles Nachrichtenformat (Universal Message Format)

(1)  Das universelle Nachrichtenformat (UMF) wird eingeführt. Mit dem UMF werden Standards für bestimmte inhaltliche Elemente des grenzüberschreitenden Informationsaustauschs zwischen Informationssystemen, Behörden und/oder Organisationen im Bereich Justiz und Inneres festgelegt.

(2)  Der UMF-Standard ist bei der Entwicklung von Eurodac, des ECRIS-TCN, des ESP, des CIR und des MID sowie gegebenenfalls bei der Entwicklung neuer Modelle für den Informationsaustausch und neuer Informationssysteme im Bereich Justiz und Inneres durch eu-LISA oder eine andere Stelle der Union zu verwenden.

(3)  Die Kommission erlässt einen Durchführungsrechtsakt zur Festlegung und Entwicklung des in Absatz 1 dieses Artikels genannten UMF-Standards. Dieser Durchführungsrechtsakt wird gemäß dem in Artikel 70 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 39

Zentraler Speicher für Berichte und Statistiken

(1)  Es wird ein zentraler Speicher für Berichte und Statistiken (CRRS) eingerichtet, um die Ziele von Eurodac, des SIS sowie des ECRIS-TCN gemäß den geltenden Rechtsinstrumenten zu unterstützen und systemübergreifende statistische Daten und analytische Berichte für politische und operative Zwecke sowie für die Zwecke der Datenqualität bereitzustellen.

(2)  eu-LISA sorgt an ihren technischen Standorten für die Einrichtung, die Implementierung und das Hosting des CRRS, das logisch nach den EU-Informationssystemen getrennt die Daten und Statistiken nach Artikel 74 der Verordnung (EU) 2018/1862 und Artikel 32 der Verordnung (EU) 2019/816 enthält. Der Zugang zum CRRS erfolgt in Form eines kontrollierten, gesicherten Zugangs und spezifischen Nutzerprofilen und wird den in Artikel 74 der Verordnung (EU) 2018/1862 und Artikel 32 der Verordnung (EU) 2019/816 genannten Behörden ausschließlich zu Berichterstattungs- und Statistikzwecken gewährt.

(3)  eu-LISA anonymisiert die Daten und speichert diese anonymisierten Daten im CRRS. Die Anonymisierung der Daten erfolgt nach einem automatisierten Verfahren.

Die im CRRS enthaltenen Daten dürfen keine Identifizierung von Einzelpersonen ermöglichen.

(4)  Der CRRS umfasst

(5)  Die Kommission erlässt einen delegierten Rechtsakt gemäß Artikel 69, um detaillierte Bestimmungen über den Betrieb des CRRS, einschließlich spezifischer Garantien für die Verarbeitung personenbezogener Daten gemäß den Absätzen 2 und 3 des vorliegenden Artikels und der für den Speicher geltenden Sicherheitsvorschriften festzulegen.

KAPITEL VII

Datenschutz

Artikel 40

Für die Verarbeitung Verantwortlicher

(1)  Für die Verarbeitung von Daten im gemeinsamen BMS sind die mitgliedstaatlichen Behörden, die jeweils für die Verarbeitung in Eurodac, im SIS und im ECRIS-TCN verantwortlich sind, Verantwortliche im Sinne des Artikels 4 Nummer 7 der Verordnung (EU) 2016/679 oder des Artikels 3 Nummer 8 der Richtlinie (EU) 2016/680 für die aus den in Artikel 13 der vorliegenden Verordnung genannten Daten generierten biometrischen Templates, die sie in die zugrunde liegenden Systeme eingeben, und tragen die Verantwortung für die Verarbeitung der biometrischen Templates im gemeinsamen BMS.

(2)  Für die Verarbeitung von Daten im CIR sind die mitgliedstaatlichen Behörden, die jeweils für die Verarbeitung in Eurodac und im ECRIS-TCN verantwortlich sind, Verantwortliche im Sinne des Artikels 4 Nummer 7 der Verordnung (EU) 2016/679 oder Artikel 3 Nummer 8 der Richtlinie (EU) 2016/680 für die in Artikel 18 der vorliegenden Verordnung genannten Daten, die sie in die zugrunde liegenden Systeme eingeben, und tragen die Verantwortung für die Verarbeitung dieser personenbezogenen Daten im CIR.

(3)  Für die Verarbeitung von Daten im MID

(4)  Zum Zwecke der datenschutzrechtlichen Kontrolle, einschließlich zur Prüfung der Zulässigkeit einer Abfrage und der Rechtmäßigkeit der Datenverarbeitung, haben die für die Verarbeitung Verantwortlichen Zugang zu den Protokollen nach den Artikeln 10, 16, 24 und 36 für die Eigenkontrolle nach Artikel 44.

Artikel 41

Datenauftragsverarbeiter

Für die Verarbeitung personenbezogener Daten im gemeinsamen BMS, im CIR und im MID ist eu-LISA Datenauftragsverarbeiter im Sinne des Artikels 3 Nummer 12 Buchstabe a der Verordnung (EU) 2018/1725.

Artikel 42

Sicherheit der Verarbeitung

(1)  eu-LISA, die ETIAS-Zentralstelle, Europol und die mitgliedstaatlichen Behörden gewährleisten die Sicherheit der Verarbeitung personenbezogener Daten nach Maßgabe dieser Verordnung. Bei der Erfüllung sicherheitsbezogener Aufgaben arbeiten eu-LISA, die ETIAS-Zentralstelle, Europol und die mitgliedstaatlichen Behörden zusammen.

(2)  Unbeschadet des Artikels 33 der Verordnung (EU) 2018/1725 ergreift eu-LISA die erforderlichen Maßnahmen, um die Sicherheit der Interoperabilitätskomponenten und der mit ihnen verbundenen Kommunikationsinfrastruktur sicherzustellen.

(3)  Insbesondere trifft eu-LISA die erforderlichen Maßnahmen, einschließlich der Annahme eines Sicherheitsplans, eines Betriebskontinuitätsplans und eines Notfallwiederherstellungsplans, um

(4)  Die Mitgliedstaaten, Europol und die ETIAS-Zentralstelle treffen für die Verarbeitung personenbezogener Daten durch die Behörden, die das Recht auf Zugang zu Interoperabilitätskomponenten haben, Sicherheitsmaßnahmen, die den in Absatz 3 genannten entsprechen.

Artikel 43

Sicherheitsvorfälle

(1)  Jedes Ereignis, das sich auf die Sicherheit der Interoperabilitätskomponenten auswirkt oder auswirken kann und darin gespeicherte Daten beschädigen oder ihren Verlust herbeiführen kann, ist als Sicherheitsvorfall anzusehen; das gilt insbesondere, wenn möglicherweise ein unbefugter Datenzugriff erfolgt ist oder die Verfügbarkeit, die Integrität und die Vertraulichkeit von Daten tatsächlich oder möglicherweise nicht mehr gewährleistet war.

(2)  Sicherheitsvorfällen ist durch eine rasche, wirksame und angemessene Reaktion zu begegnen.

(3)  Unbeschadet der Meldung und Mitteilung einer Verletzung des Schutzes personenbezogener Daten gemäß Artikel 33 der Verordnung (EU) 2016/679, Artikel 30 der Richtlinie (EU) 2016/680 oder beiden Artikeln unterrichten die Mitgliedstaaten die Kommission, eu-LISA, die zuständigen Aufsichtsbehörden und den Europäischen Datenschutzbeauftragten unverzüglich über etwaige Sicherheitsvorfälle.

Unbeschadet der Artikel 34 und 35 der Verordnung (EU) 2018/1725 und Artikel 34 der Verordnung (EU) 2016/794 unterrichten die ETIAS-Zentralstelle und Europol die Kommission, eu-LISA und den Europäischen Datenschutzbeauftragten unverzüglich über etwaige Sicherheitsvorfälle.

Im Falle eines Sicherheitsvorfalls in Verbindung mit der zentralen Infrastruktur der Interoperabilitätskomponenten unterrichtet eu-LISA die Kommission und den Europäischen Datenschutzbeauftragten unverzüglich.

(4)  Informationen über einen Sicherheitsvorfall, der sich auf den Betrieb der Interoperabilitätskomponenten oder die Verfügbarkeit, die Integrität und die Vertraulichkeit der Daten auswirkt oder auswirken kann, werden den Mitgliedstaaten, der ETIAS-Zentralstelle und Europol unverzüglich bereitgestellt und nach Maßgabe des von eu-LISA bereitzustellenden Plans für die Bewältigung von Sicherheitsvorfällen gemeldet.

(5)  Die betroffenen Mitgliedstaaten, die ETIAS-Zentralstelle, Europol und eu-LISA arbeiten im Falle eines Sicherheitsvorfalls zusammen. Die Kommission legt die genauen Modalitäten dieser Zusammenarbeit im Wege von Durchführungsrechtsakten fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 70 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 44

Eigenkontrolle

Die Mitgliedstaaten und die zuständigen Stellen der Union stellen sicher, dass jede zum Zugriff auf die Interoperabilitätskomponenten berechtigte Behörde die erforderlichen Maßnahmen zur Überwachung der Einhaltung dieser Verordnung trifft und erforderlichenfalls mit der Aufsichtsbehörde zusammenarbeitet.

Die für die Verarbeitung Verantwortlichen im Sinne des Artikels 40 treffen die erforderlichen Maßnahmen, um die Ordnungsgemäßheit der Datenverarbeitung gemäß dieser Verordnung zu überwachen, unter anderem durch häufige Überprüfung der Protokolle gemäß den Artikeln 10, 16, 24 und 36, und arbeiten erforderlichenfalls mit den Aufsichtsbehörden und dem Europäischen Datenschutzbeauftragten zusammen.

Artikel 45

Sanktionen

Die Mitgliedstaaten stellen sicher, dass jeder Missbrauch von Daten, jede Verarbeitung von Daten oder jeder Austausch von Daten, die dieser Verordnung zuwiderläuft, gemäß nationalem Recht geahndet werden können. Die vorgesehenen Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.

Artikel 46

Haftung

(1)  Unbeschadet des Anspruchs auf Schadenersatz durch den für die Verarbeitung Verantwortlichen oder den Datenauftragsverarbeiter und unbeschadet ihrer Haftung gemäß der Verordnung (EU) 2016/679, der Richtlinie (EU) 2016/680 und der Verordnung (EU) 2018/1725

ter betreffende Mitgliedstaat, Europol, die Europäische Agentur für die Grenz- und Küstenwache oder eu-LISA werden vollständig oder teilweise von ihrer Haftung nach Unterabsatz 1 befreit, wenn sie nachweisen, dass sie für den Umstand, durch den der Schaden eingetreten ist, nicht verantwortlich sind.

(2)  Verursacht eine Verletzung der in dieser Verordnung festgelegten Pflichten durch einen Mitgliedstaat einen Schaden an den Interoperabilitätskomponenten, haftet dieser Mitgliedstaat für den entstandenen Schaden, sofern und soweit es eu-LISA oder ein anderer durch diese Verordnung gebundener Mitgliedstaat nicht versäumt haben, angemessene Maßnahmen zur Verhinderung des Schadens oder zur Verringerung seiner Auswirkungen zu ergreifen.

(3)  Die Geltendmachung von Schadenersatzansprüchen nach den Absätzen 1 und 2 gegen einen Mitgliedstaat unterliegt dem nationalen Recht des beklagten Mitgliedstaats. Die Geltendmachung von Schadenersatzansprüchen nach den Absätzen 1 und 2 gegen den für die Verarbeitung Verantwortlichen oder eu-LISA unterliegt den in den Verträgen vorgesehenen Voraussetzungen.

Artikel 47

Recht auf Information

(1)  Die Behörde, die die personenbezogenen Daten erfasst, die im gemeinsamen BMS, im CIR oder im MID zu speichern sind, stellt den Personen, deren Daten erfasst werden, die Informationen zur Verfügung, die nach den Artikeln 13 und 14 der Verordnung (EU) 2016/679, den Artikeln 12 und 13 der Richtlinie (EU) 2016/680 und den Artikeln 15 und 16 der Verordnung (EU) 2018/1725 vorgeschrieben sind. Die Behörde stellt die Informationen zum Zeitpunkt der Datenerfassung zur Verfügung.

(2)  Alle Informationen werden in einer in klarer und einfacher Sprache verfassten Sprachfassung, die die betreffende Person versteht oder von der vernünftigerweise angenommen werden darf, dass sie sie versteht, bereitgestellt. Die Informationen müssen für Minderjährige auch in einer dem Alter angemessenen Weise bereitgestellt werden.

(3)  Die Vorschriften über das Recht auf Information, die in den anwendbaren Datenschutzvorschriften der Union enthalten sind, gelten für die im ECRIS-TCN gespeicherten und für die Zwecke dieser Verordnung verarbeiteten personenbezogenen Daten.

Artikel 48

Recht auf Auskunft, Berichtigung und Löschung von im MID gespeicherten personenbezogenen Daten sowie auf Einschränkung ihrer Verarbeitung

(1)  Personen, die von ihren Rechten nach den Artikeln 15 bis 18 der Verordnung (EU) 2016/679, den Artikeln 17 bis 20 der Verordnung (EU) 2018/1725 und den Artikeln 14, 15 und 16 der Richtlinie (EU) 2016/680 Gebrauch machen möchten, können sich an die zuständige Behörde eines beliebigen Mitgliedstaats wenden, der den Antrag prüft und beantwortet.

(2)  Der Mitgliedstaat, der einen solchen Antrag prüft, antwortet unverzüglich, in jedem Fall jedoch innerhalb von 45 Tagen nach Antragseingang. Diese Frist kann um weitere 15 Tage verlängert werden, wenn das unter Berücksichtigung der Komplexität und der Zahl der Anträge erforderlich ist. Der Mitgliedstaat, der den Antrag prüft, unterrichtet die betroffene Person innerhalb von 45 Tagen nach Antragseingang über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Die Mitgliedstaaten können entscheiden, dass die Antworten von Zentralstellen zu erteilen sind.

(3)  Wird ein Antrag auf Berichtigung oder Löschung personenbezogener Daten bei einem anderen Mitgliedstaat als dem für die manuelle Verifizierung verschiedener Identitäten zuständigen Mitgliedstaat gestellt, so kontaktiert der Mitgliedstaat, an den der Antrag gerichtet wurde, innerhalb von sieben Tagen die Behörden des für die manuelle Verifizierung verschiedener Identitäten zuständigen Mitgliedstaats. Der für die manuelle Verifizierung verschiedener Identitäten zuständige Mitgliedstaat überprüft die Richtigkeit der Daten und die Rechtmäßigkeit der Datenverarbeitung unverzüglich, in jedem Fall jedoch innerhalb von 30 Tagen nach der Kontaktaufnahme. Diese Frist kann um weitere 15 Tage verlängert werden, wenn das unter Berücksichtigung der Komplexität und der Zahl der Anträge erforderlich ist. Der für die manuelle Verifizierung verschiedener Identitäten zuständige Mitgliedstaat unterrichtet den Mitgliedstaat, der ihn kontaktiert hat, von jeder solchen Fristverlängerung und nennt die Gründe für die Verzögerung. Der Mitgliedstaat, der die Behörde des für die manuelle Verifizierung verschiedener Identitäten zuständigen Mitgliedstaats kontaktiert hat, informiert die betroffene Person über das weitere Verfahren.

(4)  Wird ein Antrag auf Berichtigung oder Löschung personenbezogener Daten bei einem Mitgliedstaat gestellt, in dem die ETIAS-Zentralstelle für die manuelle Verifizierung verschiedener Identitäten zuständig war, so kontaktiert der Mitgliedstaat, an den der Antrag gerichtet wurde, die ETIAS-Zentralstelle innerhalb von sieben Tagen, um sie darum zu ersuchen, eine Stellungnahme abzugeben. Die ETIAS-Zentralstelle gibt ihre Stellungnahme unverzüglich, in jedem Fall jedoch innerhalb von 30 Tagen nach der Kontaktaufnahme ab. Diese Frist kann um weitere 15 Tage verlängert werden, wenn das unter Berücksichtigung der Komplexität und der Zahl der Anträge erforderlich ist. Die betroffene Person wird von dem Mitgliedstaat, der die ETIAS-Zentralstelle kontaktiert hat, über das weitere Verfahren informiert.

(5)  Falls bei einer Prüfung festgestellt wird, dass die im MID gespeicherten Daten unrichtig sind oder unrechtmäßig erfasst wurden, werden diese Daten vom für die manuelle Verifizierung verschiedener Identitäten zuständigen Mitgliedstaat oder, wenn kein Mitgliedstaat für die manuelle Verifizierung verschiedener Identitäten zuständig war oder wenn die ETIAS-Zentralstelle für die manuelle Verifizierung verschiedener Identitäten zuständig war, von dem Mitgliedstaat, an den der Antrag gerichtet wurde, unverzüglich berichtigt oder gelöscht. Die betroffene Person wird schriftlich darüber informiert, dass ihre Daten berichtigt oder gelöscht worden sind.

(6)  Falls im MID gespeicherte Daten während ihrer Speicherfrist von einem Mitgliedstaat geändert werden, nimmt dieser Mitgliedstaat die Verarbeitung nach Artikel 27 und gegebenenfalls die Verarbeitung nach Artikel 29 vor, um zu ermitteln, ob die geänderten Daten verknüpft werden müssen. Ergibt sich bei der Verarbeitung keine Übereinstimmung, so löscht dieser Mitgliedstaat die Daten aus der Identitätsbestätigungsdatei. Falls bei der automatisierten Verarbeitung ein oder mehrere Übereinstimmungen gemeldet werden, erstellt oder aktualisiert dieser Mitgliedstaat die betreffende Verknüpfung gemäß den einschlägigen Bestimmungen dieser Verordnung.

(7)  Ist der für die manuelle Verifizierung verschiedener Identitäten zuständige Mitgliedstaat oder gegebenenfalls der Mitgliedstaat, an den der Antrag gerichtet wurde, nicht der Ansicht, dass die im MID gespeicherten Daten unrichtig sind oder unrechtmäßig gespeichert wurden, so erlässt er eine Verwaltungsentscheidung, in der er der betroffenen Person unverzüglich schriftlich erläutert, warum er nicht zu einer Berichtigung oder Löschung der sie betreffenden Daten bereit ist.

(8)  In der Entscheidung gemäß Absatz 7 wird die betroffene Person zudem darüber belehrt, dass sie die Entscheidung über ihren Antrag auf Auskunft über personenbezogene Daten bzw. Berichtigung, Löschung oder Einschränkung der Verarbeitung personenbezogener Daten anfechten und wie sie gegebenenfalls bei den zuständigen Gerichten oder Behörden Klage erheben oder Beschwerde einlegen kann, einschließlich diesbezüglicher Hilfe, auch der Aufsichtsbehörden.

(9)  Jeder Antrag auf Auskunft über personenbezogene Daten bzw. Berichtigung, Löschung oder Einschränkung der Verarbeitung personenbezogener Daten enthält die zur Identifizierung der betroffenen Person notwendigen Informationen. Diese Informationen werden ausschließlich dazu verwendet, die Wahrnehmung der in diesem Artikel genannten Rechte zu ermöglichen, und anschließend unverzüglich gelöscht.

(10)  Der für die manuelle Verifizierung verschiedener Identitäten zuständige Mitgliedstaat oder gegebenenfalls der Mitgliedstaat, an den der Antrag gerichtet wurde, führt eine schriftliche Aufzeichnung darüber, dass ein Antrag auf Auskunft über personenbezogene Daten bzw. Berichtigung, Löschung oder Einschränkung der Verarbeitung personenbezogener Daten gestellt und wie dieser bearbeitet wurde, und stellt diese Aufzeichnung unverzüglich den Aufsichtsbehörden zur Verfügung.

(11)  Dieser Artikel gilt unbeschadet etwaiger Beschränkungen und Einschränkungen der in diesem Artikel festgelegten Rechte gemäß der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680.

Artikel 49

Web-Portal

(1)  Um die Ausübung der Rechte auf Auskunft über personenbezogene Daten bzw. Berichtigung, Löschung oder Einschränkung der Verarbeitung personenbezogener Daten zu erleichtern, wird ein Web-Portal eingerichtet.

(2)  Das Web-Portal enthält Informationen über die Rechte und Verfahren nach den Artikeln 47 und 48 und eine Benutzerschnittstelle, die es Personen, deren Daten im MID verarbeitet werden und die davon unterrichtet wurden, dass eine rote Verknüpfung nach Artikel 32 Absatz 4 angezeigt wurde, ermöglicht, die Kontaktinformationen der zuständigen Behörde des für die manuelle Verifizierung verschiedener Identitäten zuständigen Mitgliedstaats zu erhalten.

(3)  Um die Kontaktinformationen der zuständigen Behörde des für die manuelle Verifizierung verschiedener Identitäten zuständigen Mitgliedstaats zu erhalten, sollte die Person, deren Daten im MID verarbeitet werden, die Angaben zu der für die manuelle Verifizierung verschiedener Identitäten zuständigen Behörde nach Artikel 34 Buchstabe d eingeben. Das Web-Portal benutzt diese Angaben, um die Kontaktinformationen der zuständigen Behörde des für die manuelle Verifizierung verschiedener Identitäten zuständigen Mitgliedstaats abzurufen. Das Web-Portal umfasst auch eine E-Mail-Vorlage, um die Kommunikation zwischen dem Portalnutzer und der zuständigen Behörde des für die manuelle Verifizierung verschiedener Identitäten zuständigen Mitgliedstaats zu erleichtern. Diese E-Mail enthält ein Eingabefeld für die einmalige Kennnummer nach Artikel 34 Buchstabe c, um der zuständigen Behörde des für die manuelle Verifizierung verschiedener Identitäten zuständigen Mitgliedstaats zu ermöglichen, die betreffenden Daten zu identifizieren.

(4)  Die Mitgliedstaaten stellen eu-LISA die Kontaktdaten aller Behörden zur Verfügung, die für die Prüfung und Beantwortung von Anträgen nach den Artikeln 47 und 48 zuständig sind, und überprüfen regelmäßig, ob diese Kontaktdaten aktuell sind.

(5)  eu-LISA entwickelt das Web-Portal und sorgt für seine technische Verwaltung.

(6)  Die Kommission erlässt einen delegierten Rechtsakt gemäß Artikel 69, um detaillierte Bestimmungen über den Betrieb des Web-Portals festzulegen, einschließlich der Benutzerschnittstelle, der Sprachen, in denen das Web-Portal zur Verfügung stehen soll, und der E-Mail-Vorlage.

Artikel 50

Übermittlung personenbezogener Daten an Drittstaaten, internationale Organisationen und private Stellen

Unbeschadet des Artikels 31 der Verordnung (EU) 2018/2008, der Artikel 25 und 26 der Verordnung (EU) 2016/794, des Artikels 41 der Verordnung (EU) 2017/2226, des Artikels 65 der Verordnung (EU) 2018/1240 und der Abfrage von Interpol-Datenbanken durch das ESP gemäß Artikel 9 Absatz 5 der vorliegenden Verordnung, die gemäß den Bestimmungen des Kapitels V der Verordnung (EU) 2018/1725 und des Kapitels V der Verordnung (EU) 2016/679 stehen, dürfen personenbezogene Daten, die in den Interoperabilitätskomponenten gespeichert sind, verarbeitet werden oder auf die über die Interoperabilitätskomponenten zugegriffen wird, nicht an Drittstaaten, internationale Organisationen oder private Stellen übermittelt oder diesen zur Verfügung gestellt werden.

Artikel 51

Kontrolle durch die Aufsichtsbehörden

(1)  Jeder Mitgliedstaat stellt sicher, dass die Aufsichtsbehörden die Rechtmäßigkeit der Verarbeitung personenbezogener Daten gemäß der vorliegenden Verordnung durch den betreffenden Mitgliedstaat, einschließlich der Übermittlung an die und von den Interoperabilitätskomponenten, unabhängig überwachen.

(2)  Jeder Mitgliedstaat trägt dafür Sorge, dass die gemäß der Richtlinie (EU) 2016/680 erlassenen nationalen Rechts- und Verwaltungsvorschriften gegebenenfalls auch für den Zugang von Polizeibehörden und benannten Behörden zu den Interoperabilitätskomponenten gelten, auch hinsichtlich der Rechte der Personen, auf deren Daten auf diese Weise zugegriffen wird.

(3)  Die Aufsichtsbehörden stellen sicher, dass mindestens alle vier Jahre die durch die zuständigen nationalen Behörden erfolgenden Verarbeitungsvorgänge von personenbezogenen Daten für die Zwecke der vorliegenden Verordnung nach den einschlägigen internationalen Prüfungsstandards überprüft werden.

Die Aufsichtsbehörden veröffentlichen jährlich die Zahl der Anträge auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung personenbezogener Daten, die getroffenen Folgemaßnahmen und die Zahl der Berichtigungen, Löschungen und Einschränkungen der Verarbeitung, die auf Antrag der betroffenen Personen vorgenommen wurden.

(4)  Die Mitgliedstaaten stellen sicher, dass ihre Aufsichtsbehörden über ausreichende Ressourcen und Fachkenntnisse zur Wahrnehmung der Aufgaben verfügen, die ihnen gemäß dieser Verordnung übertragen werden.

(5)  Die Mitgliedstaaten stellen alle Informationen, die von einer in Artikel 51 Absatz 1 der Verordnung (EU) 2016/679 genannten Aufsichtsbehörde angefordert werden, zur Verfügung, insbesondere Informationen zu den Tätigkeiten, die entsprechend ihren Verantwortlichkeiten gemäß der vorliegenden Verordnung durchgeführt werden. Die Mitgliedstaaten gewähren den in Artikel 51 Absatz 1 der Verordnung (EU) 2016/679 genannten Aufsichtsbehörden Zugang zu ihren Protokollen nach den Artikeln 10, 16, 24 und 36 der vorliegenden Verordnung sowie zu den Begründungen nach Artikel 22 Absatz 2 der vorliegenden Verordnung und gestatten ihnen jederzeit Zutritt zu allen ihren für Interoperabilitätszwecke genutzten Räumlichkeiten.

Artikel 52

Prüfungen durch den Europäischen Datenschutzbeauftragten

Der Europäische Datenschutzbeauftragte trägt dafür Sorge, dass die durch eu-LISA, die ETIAS-Zentralstelle und Europol für die Zwecke der vorliegenden Verordnung erfolgenden Verarbeitungsvorgänge von personenbezogenen Daten mindestens alle vier Jahre nach den einschlägigen internationalen Prüfungsstandards überprüft werden. Der Prüfbericht wird dem Europäischen Parlament, dem Rat, eu-LISA, der Kommission, den Mitgliedstaaten und der betreffenden Stelle der Union übermittelt. eu-LISA, die ETIAS-Zentralstelle und Europol erhalten vor der Annahme des Berichts Gelegenheit zur Stellungnahme.

eu-LISA, die ETIAS-Zentralstelle und Europol liefern die vom Europäischen Datenschutzbeauftragten angeforderten Informationen, gewähren dem Europäischen Datenschutzbeauftragten Zugang zu allen von ihm angeforderten Dokumenten und zu ihren Protokollen nach den Artikeln 10, 16, 24 und 36 und gestatten dem Europäischen Datenschutzbeauftragten jederzeit Zutritt zu allen ihren Räumlichkeiten.

Artikel 53

Zusammenarbeit zwischen den Aufsichtsbehörden und dem Europäischen Datenschutzbeauftragten

(1)  Die Aufsichtsbehörden und der Europäische Datenschutzbeauftragte arbeiten — jeweils innerhalb ihres Kompetenzbereichs — im Rahmen ihrer jeweiligen Zuständigkeiten aktiv zusammen und sorgen für eine koordinierte Aufsicht der Nutzung der Interoperabilitätskomponenten und der Anwendung anderer Bestimmungen dieser Verordnung, insbesondere wenn der Europäische Datenschutzbeauftragte oder eine Aufsichtsbehörde größere Diskrepanzen zwischen den Verfahrensweisen der Mitgliedstaaten feststellt oder möglicherweise unrechtmäßige Übermittlungen über die Kommunikationskanäle der Interoperabilitätskomponenten bemerkt.

(2)  In den in Absatz 1 dieses Artikels genannten Fällen wird eine koordinierte Aufsicht gemäß Artikel 62 der Verordnung (EU) 2018/1725 sichergestellt.

(3)  Bis zum 12. Juni 2021 und danach alle zwei Jahre übermittelt der Europäische Datenschutzausschuss einen gemeinsamen Bericht über seine Tätigkeiten im Rahmen dieses Artikels an das Europäische Parlament, den Rat, die Kommission, Europol, die Europäische Agentur für die Grenz- und Küstenwache und eu-LISA. Dieser Bericht enthält für jeden Mitgliedstaat ein Kapitel, das von der Aufsichtsbehörde des betreffenden Mitgliedstaats erstellt wird.

KAPITEL VIII

Verantwortlichkeiten

Artikel 54

Verantwortlichkeiten von eu-LISA während der Konzept- und Entwicklungsphase

(1)  eu-LISA stellt sicher, dass die zentralen Infrastrukturen der Interoperabilitätskomponenten gemäß dieser Verordnung betrieben werden.

(2)  Die Interoperabilitätskomponenten werden an den technischen Standorten von eu-LISA betrieben und bieten die in dieser Verordnung vorgesehenen Funktionen gemäß den in Artikel 55 Absatz 1 festgelegten Bedingungen für die Sicherheit, Verfügbarkeit, Qualität und Leistung.

(3)  eu-LISA ist verantwortlich für die Entwicklung der Interoperabilitätskomponenten sowie für jegliche Anpassungen, die erforderlich sind, um die Interoperabilität zwischen den Zentralsystemen des EES, des VIS, des ETIAS, des SIS, von Eurodac, dem ECRIS-TCN, dem ESP, dem gemeinsamen BMS, dem CIR, dem MID und dem CRRS herzustellen.

Unbeschadet des Artikels 62 hat eu-LISA keinen Zugang zu den personenbezogenen Daten, die über das ESP, den gemeinsamen BMS, den CIR oder den MID verarbeitet werden.

eu-LISA konzipiert die Architektur der Interoperabilitätskomponenten einschließlich ihrer Kommunikationsinfrastrukturen, legt ihre technischen Spezifikationen fest und bestimmt ihre Weiterentwicklung in Bezug auf die zentrale Infrastruktur und die sichere Kommunikationsinfrastruktur, die vom Verwaltungsrat vorbehaltlich einer befürwortenden Stellungnahme der Kommission angenommen werden. eu-LISA nimmt zudem etwaige erforderliche Anpassungen am SIS, an Eurodac oder am ECRIS-TCN vor, die für die Herstellung der Interoperabilität notwendig und in dieser Verordnung vorgesehen sind.

eu-LISA entwickelt und implementiert die Interoperabilitätskomponenten so bald wie möglich nach dem Inkrafttreten dieser Verordnung und nach Erlass der in Artikel 8 Absatz 2, Artikel 9 Absatz 7, Artikel 28 Absätze 5 und 7, Artikel 37 Absatz 4, Artikel 38 Absatz 3, Artikel 39 Absatz 5, Artikel 43 Absatz 5 und Artikel 74 Absatz 10 vorgesehenen Maßnahmen durch die Kommission.

Die Entwicklung umfasst die Ausarbeitung und Umsetzung der technischen Spezifikationen, die Erprobung und die gesamte Projektverwaltung und -koordination.

(4)  Während der Konzept- und Entwicklungsphase wird ein Programmverwaltungsrat eingerichtet, der aus höchstens zehn Mitgliedern besteht. Dem Programmverwaltungsrat gehören sieben Mitglieder, die vom Verwaltungsrat von eu-LISA aus dem Kreis seiner Mitglieder oder stellvertretenen Mitglieder ernannt werden, der Vorsitzende der Beratergruppe für Interoperabilität gemäß Artikel 71, ein vom Exekutivdirektor ernannter Vertreter von eu-LISA sowie ein von der Kommission ernanntes Mitglied an. Die vom Verwaltungsrat von eu-LISA ernannten Mitglieder werden ausschließlich aus dem Kreis derjenigen Mitgliedstaaten gewählt, die nach dem Unionsrecht in vollem Umfang durch die Rechtsinstrumente gebunden sind, welche für die Entwicklung, die Errichtung, den Betrieb und die Nutzung aller EU-Informationssysteme gelten, und die sich an den Interoperabilitätskomponenten beteiligen werden.

(5)  Der Programmverwaltungsrat tritt regelmäßig, mindestens jedoch dreimal pro Quartal zusammen. Er stellt die angemessene Verwaltung der Konzept- und Entwicklungsphase der Interoperabilitätskomponenten sicher.

Der Programmverwaltungsrat legt dem Verwaltungsrat von eu-LISA monatlich schriftliche Berichte über den Fortschritt des Projekts vor. Der Programmverwaltungsrat hat keine Entscheidungsbefugnis und kein Mandat zur Vertretung der Mitglieder des Verwaltungsrats von eu-LISA.

(6)  Der Verwaltungsrat von eu-LISA legt die Geschäftsordnung des Programmverwaltungsrats fest, in der insbesondere Folgendes geregelt ist:

Den Vorsitz übernimmt ein Mitgliedstaat, der nach dem Unionsrecht in vollem Umfang durch die Rechtsinstrumente gebunden ist, die für die Entwicklung, die Errichtung, den Betrieb und die Nutzung aller EU-Informationssysteme gelten, und die sich an den Interoperabilitätskomponenten beteiligen werden.

Sämtliche Reise- und Aufenthaltskosten, die den Mitgliedern des Programmverwaltungsrats entstehen, werden von eu-LISA erstattet, wobei Artikel 10 der Geschäftsordnung von eu-LISA sinngemäß gilt. eu-LISA stellt das Sekretariat des Programmverwaltungsrats.

Die in Artikel 71 genannte Beratergruppe für Interoperabilität tritt bis zur Inbetriebnahme der Interoperabilitätskomponenten regelmäßig zusammen. Nach jeder Sitzung erstattet sie dem Programmverwaltungsrat Bericht. Sie stellt den technischen Sachverstand für die Unterstützung des Programmverwaltungsrats bei seinen Aufgaben bereit und überwacht den Stand der Vorbereitung in den Mitgliedstaaten.

Artikel 55

Verantwortlichkeiten von eu-LISA nach der Inbetriebnahme

(1)  Nach der Inbetriebnahme der einzelnen Interoperabilitätskomponenten übernimmt eu-LISA die technische Verwaltung der zentralen Infrastruktur der Interoperabilitätskomponenten, einschließlich ihrer Wartung und von Technologieentwicklungen. In Zusammenarbeit mit den Mitgliedstaaten stellt eu-LISA sicher, dass vorbehaltlich einer Kosten-Nutzen-Analyse die beste verfügbare Technologie eingesetzt wird. eu-LISA ist zudem für die technische Verwaltung der in den Artikeln 6,12,17,25 und 39 genannten Kommunikationsinfrastruktur verantwortlich.

Die technische Verwaltung der Interoperabilitätskomponenten umfasst alle Aufgaben und technischen Lösungen, die erforderlich sind, um die Interoperabilitätskomponenten gemäß dieser Verordnung betriebsbereit zu halten und um den Mitgliedstaaten und den Stellen der Union 24 Stunden am Tag und 7 Tage in der Woche ununterbrochene Dienste zu erbringen. Dazu gehören die Wartungsarbeiten und technischen Anpassungen, die erforderlich sind, um sicherzustellen, dass die Komponenten gemäß den technischen Spezifikationen und insbesondere bei der Reaktionszeit bei Abfragen der zentralen Infrastrukturen mit zufriedenstellender technischer Qualität arbeiten.

Alle Interoperabilitätskomponenten werden so entwickelt und verwaltet, dass ein schneller, unterbrechungsfreier, effizienter und kontrollierter Zugang, die volle, ununterbrochene Verfügbarkeit der Komponenten und der im MID, im gemeinsamen BMS und im CIR gespeicherten Daten sowie eine Reaktionszeit entsprechend den operativen Erfordernissen der mitgliedstaatlichen Behörden und der Stellen der Union sichergestellt sind.

(2)  Unbeschadet des Artikels 17 des Statuts der Beamten der Europäischen Union wendet eu-LISA angemessene Regeln zur Gewährleistung der beruflichen Schweigepflicht oder einer anderen vergleichbaren Geheimhaltungspflicht auf ihre Bediensteten an, die mit in den Interoperabilitätskomponenten gespeicherten Daten arbeiten. Diese Pflicht besteht auch nach dem Ausscheiden dieser Bediensteten aus dem Amt oder Dienstverhältnis oder der Beendigung ihrer Tätigkeit weiter.

Unbeschadet des Artikels 62 hat eu-LISA keinen Zugang zu den personenbezogenen Daten, die über das ESP, den gemeinsamen BMS, den CIR und den MID verarbeitet werden.

(3)  eu-LISA entwickelt und pflegt einen Mechanismus und Verfahren für die Durchführung von Qualitätskontrollen der im gemeinsamen BMS und im CIR gespeicherten Daten gemäß Artikel 37.

(4)  eu-LISA nimmt zudem Aufgaben im Zusammenhang mit Schulungen zur technischen Nutzung der Interoperabilitätskomponenten wahr.

Artikel 56

Zuständigkeiten der Mitgliedstaaten

(1)  Jeder Mitgliedstaat ist zuständig für

(2)  Jeder Mitgliedstaat bindet seine benannten Behörden mit dem CIR.

Artikel 57

Zuständigkeiten von Europol

(1)  Europol sorgt dafür, dass über das ESP durchgeführte Abfragen von Europol-Daten verarbeitet werden. Europol passt seine Schnittstelle für die Abfrage von Europol-Systemen (Querying Europol Systems — QUEST) für die Verwendung von BPL-Daten (BPL — basic protection level — Basisschutzniveau) entsprechend an.

(2)  Europol ist zuständig für die Verwaltung und die Regelung des Zugangs seiner dazu ordnungsgemäß ermächtigten Mitarbeiter zum ESP und zum CIR und der Nutzung dieser Komponenten durch diese Mitarbeiter gemäß dieser Verordnung sowie für die Erstellung und regelmäßige Aktualisierung eines Verzeichnisses dieser Bediensteten und ihrer Profile.

Artikel 58

Zuständigkeiten der ETIAS-Zentralstelle

Die ETIAS-Zentralstelle ist zuständig für

KAPITEL IX

Änderung anderer Rechtsakte der Union

Artikel 59

Änderung der Verordnung (EU) 2018/1726

Die Verordnung (EU) 2018/1726 wird wie folgt geändert:

Artikel 60

Änderung der Verordnung (EU) 2018/1862

Die Verordnung (EU) 2018/1862 wird wie folgt geändert:

Artikel 61

Änderungen der Verordnung (EU) 2019/816

Die Verordnung (EU) 2019/816 wird wie folgt geändert:

KAPITEL X

Schlussbestimmungen

Artikel 62

Berichte und Statistiken

(1)  Das dazu ordnungsgemäß ermächtigte Personal der zuständigen mitgliedstaatlichen Behörden, der Kommission und von eu-LISA hat Zugang zur Zahl der Abfragen pro ESP-Nutzerprofil ausschließlich zur Erstellung von Berichten und Statistiken.

Es darf nicht möglich sein, einzelne Personen anhand der Daten zu identifizieren.

(2)  Die folgenden Daten zum CIR dürfen von dazu ordnungsgemäß ermächtigten Bediensteten der zuständigen mitgliedstaatlichen Behörden, der Kommission und von eu-LISA ausschließlich zur Erstellung von Berichten und Statistiken abgefragt werden:

Die Identifizierung einzelner Personen auf der Grundlage der Daten darf nicht möglich sein.

(3)  Die folgenden Daten zum MID dürfen von dazu ordnungsgemäß ermächtigten Bediensteten der zuständigen mitgliedstaatlichen Behörden, der Kommission und von eu-LISA ausschließlich zur Erstellung von Berichten und Statistiken abgefragt werden:

Die Identifizierung einzelner Personen auf der Grundlage der Daten darf nicht möglich sein.

(4)  Die ordnungsgemäß ermächtigten Bediensteten der Europäischen Agentur für die Grenz- und Küstenwache können zur Durchführung von Risikoanalysen und Schwachstellenbeurteilungen nach den Artikeln 11 und 13 der Verordnung (EU) 2016/1624 des Europäischen Parlaments und des Rates ( 11 ) auf die in den Absätzen 1, 2 und 3 des vorliegenden Artikels genannten Daten zugreifen.

(5)  Die ordnungsgemäß ermächtigten Bediensteten von Europol können auf die in den Absätzen 2 und 3 des vorliegenden Artikels genannten Daten zur Durchführung von strategischen, themenbezogenen und operativen Analysen nach Artikel 18 Absatz 2 Buchstaben b und c der Verordnung (EU) 2016/794 zugreifen.

(6)  Für die Zwecke der Absätze 1, 2 und 3 speichert eu-LISA die in diesen Absätzen genannten Daten im CRRS. Die Identifizierung einzelner Personen auf der Grundlage der im CRRS enthaltenen Daten darf nicht möglich sein; jedoch müssen die Daten den in den Absätzen 1, 2 und 3 genannten Behörden die Möglichkeit geben, anpassbare Berichte und Statistiken abzurufen, um die Effizienz von Grenzübertrittskontrollen zu steigern, Behörden bei der Bearbeitung von Visumanträgen zu unterstützen und eine faktengestützte Gestaltung der Migrations- und Sicherheitspolitik der Union zu fördern.

(7)  Auf Anfrage werden der Agentur der Europäischen Union für Grundrechte relevante Informationen von der Kommission zur Verfügung gestellt, damit sie die Auswirkungen dieser Verordnung auf die Grundrechte bewerten kann.

Artikel 63

Übergangszeitraum für die Nutzung des Europäischen Suchportals

(1)  Während eines Zeitraums von zwei Jahren nach dem Datum der Inbetriebnahme des ESP gelten die Pflichten nach Artikel 7 Absätze 2 und 4 nicht, und die Benutzung des ESP ist fakultativ.

(2)  Der Kommission wird die Befugnis übertragen, gemäß Artikel 69 einen delegierten Rechtsakt zur Änderung dieser Verordnung zu erlassen, durch die der in Absatz 1 des vorliegenden Artikels genannte Zeitraum einmal um höchstens ein Jahr verlängert wird, wenn eine Bewertung der praktischen Umsetzung des ESP ergeben hat, dass eine solche Verlängerung insbesondere angesichts der Auswirkungen, die die Inbetriebnahme des ESP auf die Organisation und die Dauer der Grenzübertrittskontrollen hätte, notwendig ist.

Artikel 64

Übergangszeit für die Bestimmungen über den Zugriff auf den gemeinsamen Speicher für Identitätsdaten zu Zwecken der Verhinderung, Aufdeckung und Untersuchung terroristischer Straftaten oder sonstiger schwerer Straftaten

Artikel 22 gilt ab dem Tag der Inbetriebnahme des CIR gemäß Artikel 68 Absatz 3.

Artikel 65

Übergangszeitraum für die Prüfung auf Mehrfachidentitäten

(1)  Für die Dauer eines Jahres, nachdem eu-LISA den Abschluss des Tests des MID nach Artikel 68 Absatz 4 Buchstabe b mitgeteilt hat, und vor der Inbetriebnahme des MID ist die ETIAS-Zentralstelle für die Prüfung der im EES, im VIS, in Eurodac und im SIS gespeicherten Daten auf Mehrfachidentitäten zuständig. Die Prüfungen auf Mehrfachidentitäten werden ausschließlich anhand biometrischer Daten durchgeführt.

(2)  Wenn die Abfrage eine oder mehrere Übereinstimmungen ergibt und die Identitätsdaten der verknüpften Dateien gleich oder ähnlich sind, wird eine weiße Verknüpfung nach Artikel 33 erstellt.

Wenn die Abfrage eine oder mehrere Übereinstimmungen ergibt und die Identitätsdaten der verknüpften Dateien nicht als ähnlich angesehen werden können, wird eine gelbe Verknüpfung nach Artikel 30 erstellt, und das Verfahren nach Artikel 29 gelangt zur Anwendung.

Wenn mehrere Übereinstimmungen gemeldet werden, wird zwischen jedem Datenelement, das zu einer Übereinstimmung geführt hat, eine Verknüpfung erstellt.

(3)  Wenn eine gelbe Verknüpfung erstellt wird, gewährt der MID der ETIAS-Zentralstelle Zugang zu den in den verschiedenen EU-Informationssystemen gespeicherten Identitätsdaten.

(4)  Wenn eine Verknüpfung zu einer Ausschreibung im SIS erstellt wird, bei der es sich nicht um eine Ausschreibung nach Artikel 3 der Verordnung (EU) 2018/1860, den Artikeln 24 und 25 der Verordnung (EU) 2018/1861 oder Artikel 38 der Verordnung (EU) 2018/1862 handelt, gewährt der MID dem SIRENE-Büro des Mitgliedstaats, der die Ausschreibung eingegeben hat, Zugang zu den in den verschiedenen Informationssystemen gespeicherten Identitätsdaten.

(5)  Die ETIAS-Zentralstelle beziehungsweise - in den in Absatz 4 dieses Artikels genannten Fällen - das SIRENE-Büro des Mitgliedstaats, der die Ausschreibung eingegeben hat, greift auf die in der Identitätsbestätigungsdatei enthaltenen Daten zu, prüft die verschiedenen Identitäten, aktualisiert die Verknüpfung gemäß den Artikeln 31, 32 und 33 und fügt diese zur Identitätsbestätigungsdatei hinzu.

(6)  Die ETIAS-Zentralstelle unterrichtet die Kommission gemäß Artikel 67 Absatz 3 erst, sobald alle gelben Verknüpfungen manuell überprüft und deren Status entweder in grüne, weiße oder rote Verknüpfungen aktualisiert worden sind.

(7)  Die Mitgliedstaaten unterstützen die ETIAS-Zentralstelle gegebenenfalls bei der Prüfung auf Mehrfachidentitäten gemäß diesem Artikel.

(8)  Der Kommission wird die Befugnis übertragen, gemäß Artikel 69 einen delegierten Rechtsakt zur Änderung dieser Verordnung zu erlassen, durch die der in Absatz 1 dieses Artikels genannte Zeitraum um sechs Monate verlängert wird, wobei zweimal eine weitere Verlängerung um jeweils sechs Monate möglich ist. Eine solche Verlängerung wird nur gewährt, wenn eine Bewertung der geschätzten Zeit für den Abschluss der Prüfung auf Mehrfachidentitäten nach diesem Artikel ergibt, dass die Prüfung auf Mehrfachidentitäten aus Gründen, auf die die ETIAS-Zentralstelle keinen Einfluss hat, nicht vor Ende des Zeitraums gemäß Absatz 1 dieses Artikels oder einer laufenden Verlängerung abgeschlossen werden kann, und dass keine korrektiven Maßnahmen getroffen werden können. Die Bewertung wird spätestens drei Monate vor Auslaufen eines solchen Zeitraums oder einer solchen laufenden Verlängerung durchgeführt.

Artikel 66

Kosten

(1)  Die Kosten im Zusammenhang mit der Einrichtung und dem Betrieb des ESP, des gemeinsamen BMS, des CIR und des MID gehen zulasten des Gesamthaushaltsplans der Union.

(2)  Die Kosten im Zusammenhang mit der Integration der bestehenden nationalen Infrastrukturen, deren Anbindung an die einheitlichen nationalen Schnittstellen und dem Hosting der einheitlichen nationalen Schnittstellen gehen zulasten des Gesamthaushaltsplans der Union.

Hiervon ausgenommen sind die Kosten für

(3)  Unbeschadet der Zuweisung weiterer Finanzierungsmittel für diesen Zweck aus anderen Quellen des Gesamthaushaltsplans der Union werden 32 077 000  EUR aus der Dotation von 791 000 000  EUR mobilisiert, die gemäß Artikel 5 Absatz 5 Buchstabe b der Verordnung (EU) Nr. 515/2014 vorgesehen ist, um die Kosten für die Umsetzung dieser Verordnung abzudecken, wie das in den Absätzen 1 und 2 dieses Artikels vorgesehen ist.

(4)  Von der in Absatz 3 genannten Dotation werden 22 861 000  EUR eu-LISA, 9 072 000  EUR Europol und 144 000  EUR der Agentur der Europäischen Union für die Aus- und Fortbildung auf dem Gebiet der Strafverfolgung (CEPOL) zugewiesen, um diese Stellen bei der Wahrnehmung ihrer jeweiligen Aufgaben nach dieser Verordnung zu unterstützen. Die Umsetzung erfolgt im Wege der indirekten Mittelverwaltung.

(5)  Die Kosten im Zusammenhang mit den benannten Behörden gehen zulasten der jeweils benennenden Mitgliedstaaten. Die Kosten für die Anbindung jeder benannten Behörde an den CIR gehen zulasten der einzelnen Mitgliedstaaten.

Die Kosten, die Europol entstehen, einschließlich der Kosten für die Anbindung an den CIR, gehen zulasten von Europol.

Artikel 67

Mitteilungen

(1)  Die Mitgliedstaaten teilen eu-LISA die Behörden gemäß den Artikeln 7, 20, 21 und 26 mit, die das ESP, den CIR beziehungsweise den MID nutzen dürfen oder Zugang zum ESP, zum CIR beziehungsweise zum MID haben.

Innerhalb von drei Monaten nach dem Datum, an dem die einzelnen Interoperabilitätskomponenten gemäß Artikel 68 ihren Betrieb aufgenommen haben, wird eine konsolidierte Liste dieser Behörden im Amtsblatt der Europäischen Union veröffentlicht. Werden Änderungen an der Liste vorgenommen, so veröffentlicht eu-LISA einmal im Jahr eine aktualisierte konsolidierte Liste.

(2)  eu-LISA teilt der Kommission den erfolgreichen Abschluss der Tests nach Artikel 68 Absatz 1 Buchstabe b, Absatz 2 Buchstabe b, Absatz 3 Buchstabe b, Absatz 4 Buchstabe b, Absatz 5 Buchstabe b und Absatz 6 Buchstabe b mit.

(3)  Die ETIAS-Zentralstelle teilt der Kommission den erfolgreichen Abschluss des Übergangszeitraums nach Artikel 65 mit.

(4)  Die Kommission stellt den Mitgliedstaaten und der Öffentlichkeit die gemäß Absatz 1 mitgeteilten Informationen über eine fortlaufend aktualisierte öffentliche Website bereit.

Artikel 68

Aufnahme des Betriebs

(1)  Die Kommission bestimmt im Wege eines Durchführungsrechtsaktes, zu welchem Zeitpunkt das ESP seinen Betrieb aufnimmt, sobald folgende Voraussetzungen erfüllt wurden:

Abfragen der Interpol-Datenbanken über das ESP erfolgen erst, wenn die technischen Vorkehrungen die Einhaltung von Artikel 9 Absatz 5 ermöglichen. Eine Unmöglichkeit der Einhaltung von Artikel 9 Absatz 5 führt dazu, dass eine Abfrage der Interpol-Datenbanken über das ESP unterbleibt, die Aufnahme des Betriebs des ESP wird aber nicht verzögert.

Die Kommission legt den in Unterabsatz 1 genannten Zeitpunkt so fest, dass er innerhalb von 30 Tagen nach dem Erlass des Durchführungsrechtsakts liegt.

(2)  Die Kommission bestimmt im Wege eines Durchführungsrechtsaktes, zu welchem Zeitpunkt der gemeinsamer BMS seinen Betrieb aufnimmt, sobald folgende Voraussetzungen erfüllt wurden:

Die Kommission legt den in Unterabsatz 1 genannten Zeitpunkt so fest, dass er innerhalb von 30 Tagen nach dem Erlass des Durchführungsrechtsakts liegt.

(3)  Die Kommission bestimmt im Wege eines Durchführungsrechtsaktes, zu welchem Zeitpunkt der CIR seinen Betrieb aufnimmt, sobald folgende Voraussetzungen erfüllt wurden:

Die Kommission legt den in Unterabsatz 1 genannten Zeitpunkt so fest, dass er innerhalb von 30 Tagen nach dem Erlass des Durchführungsrechtsakts liegt.

(4)  Die Kommission bestimmt im Wege eines Durchführungsrechtsaktes, zu welchem Zeitpunkt der MID seinen Betrieb aufnimmt, sobald folgende Voraussetzungen erfüllt wurden:

Die Kommission legt den in Unterabsatz 1 genannten Zeitpunkt so fest, dass er innerhalb von 30 Tagen nach dem Erlass des Durchführungsrechtsakts liegt.

(5)  Die Kommission bestimmt im Wege eines Durchführungsrechtsaktes, ab welchem Zeitpunkt die Mechanismen und Verfahren für die automatische Datenqualitätskontrolle sowie die gemeinsamen Datenqualitätsindikatoren und die Mindestqualitätsstandards für Daten zu nutzen sind, sobald folgende Voraussetzungen erfüllt wurden:

Die Kommission legt den in Unterabsatz 1 genannten Zeitpunkt so fest, dass er innerhalb von 30 Tagen nach dem Erlass des Durchführungsrechtsakts liegt.

(6)  Die Kommission beschließt im Wege eines Durchführungsrechtsaktes, zu welchem Zeitpunkt der CRRS seinen Betrieb aufnimmt, sobald folgende Voraussetzungen erfüllt wurden:

Die Kommission legt den in Unterabsatz 1 genannten Zeitpunkt so fest, dass er innerhalb von 30 Tagen nach dem Erlass des Durchführungsrechtsakts liegt.

(7)  Die Kommission unterrichtet das Europäische Parlament und den Rat über die Ergebnisse der gemäß Absatz 1 Buchstabe b, Absatz 2 Buchstabe b, Absatz 3 Buchstabe b, Absatz 4 Buchstabe b, Absatz 5 Buchstabe und Absatz 6 Buchstabe b durchgeführten Tests.

(8)  Die Mitgliedstaaten, die ETIAS-Zentraleinheit und Europol beginnen mit der Nutzung der einzelnen Interoperabilitätskomponenten ab dem von der Kommission gemäß den Absätzen 1, 2, 3 bzw. 4 jeweils festgelegten Zeitpunkt.

Artikel 69

Ausübung der Befugnisübertragung

(1)  Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.

(2)  Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 28 Absatz 5, Artikel 39 Absatz 5, Artikel 49 Absatz 6, Artikel 63 Absatz 2 und Artikel 65 Absatz 8 wird der Kommission für einen Zeitraum von fünf Jahren ab dem 11. Juni 2019 übertragen. Die Kommission erstellt spätestens neun Monate vor Ablauf des Zeitraums von fünf Jahren einen Bericht über die Befugnisübertragung. Die Befugnisübertragung verlängert sich stillschweigend um Zeiträume gleicher Länge, es sei denn, das Europäische Parlament oder der Rat widersprechen einer solchen Verlängerung spätestens drei Monate vor Ablauf des jeweiligen Zeitraums.

(3)  Die Befugnisübertragung gemäß Artikel 28 Absatz 5, Artikel 39 Absatz 5, Artikel 49 Absatz 6, Artikel 63 Absatz 2 und Artikel 65 Absatz 8 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnisse. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem im Beschluss über den Widerruf angegebenen späteren Zeitpunkt wirksam. Die Gültigkeit von delegierten Rechtsakten, die bereits in Kraft sind, wird von dem Beschluss über den Widerruf nicht berührt.

(4)  Vor dem Erlass eines delegierten Rechtsakts konsultiert die Kommission die von den einzelnen Mitgliedstaaten benannten Sachverständigen, im Einklang mit den in der Interinstitutionellen Vereinbarung über bessere Rechtsetzung vom 13. April 2016 festgelegten Grundsätzen.

(5)  Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.

(6)  Ein delegierter Rechtsakt, der gemäß Artikel 28 Absatz 5, Artikel 39 Absatz 5, Artikel 49 Absatz 6, Artikel 63 Absatz 2 und Artikel 65 Absatz 8 erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von zwei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben haben oder wenn vor Ablauf dieser Frist das Europäische Parlament und der Rat beide der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Initiative des Europäischen Parlaments oder des Rates wird diese Frist um zwei Monate verlängert.

Artikel 70

Ausschussverfahren

(1)  Die Kommission wird von einem Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.

(2)  Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.

Gibt der Ausschuss keine Stellungnahme ab, so erlässt die Kommission den Durchführungsrechtsakt nicht, und Artikel 5 Absatz 4 Unterabsatz 3 der Verordnung (EU) Nr. 182/2011 findet Anwendung.

Artikel 71

Beratergruppe

eu-LISA setzt eine Beratergruppe für Interoperabilität ein. Während der Konzept- und Entwicklungsphase der Interoperabilitätskomponenten findet Artikel 54 Absätze 4, 5 und 6 Anwendung.

Artikel 72

Schulung

eu-LISA nimmt Aufgaben im Zusammenhang mit Schulungen in der technischen Nutzung der Interoperabilitätskomponenten gemäß der Verordnung (EU) 2018/1726 wahr.

Die mitgliedstaatlichen Behörden und die Stellen der Union stellen ihren Bediensteten, die zur Verarbeitung von Daten mittels der Interoperabilitätskomponenten ermächtigt sind, ein geeignetes Schulungsprogramm zu Datensicherheit, Datenqualität, Datenschutzvorschriften, Datenverarbeitungsverfahren und den Informationspflichten gemäß Artikel 32 Absatz 4, Artikel 33 Absatz 4 und Artikel 47 zur Verfügung.

Gegebenenfalls werden auf Unionsebene gemeinsame Schulungskurse zu diesen Themen organisiert, um die Zusammenarbeit und den Austausch bewährter Verfahren zwischen den Bediensteten der mitgliedstaatlichen Behörden und der Stellen der Union, die zur Verarbeitung von Daten mittels der Interoperabilitätskomponenten ermächtigt sind, zu verbessern. Besonderes Augenmerk gilt dem Verfahren der Prüfung auf Mehrfachidentitäten, einschließlich der manuellen Verifizierung verschiedener Identitäten und der damit einhergehenden Notwendigkeit, angemessene Schutzmechanismen für Grundrechte beizubehalten.

Artikel 73

Handbuch

Die Kommission stellt in enger Zusammenarbeit mit den Mitgliedstaaten, eu-LISA und anderen zuständigen Stellen der Union ein Handbuch für die Umsetzung und den Betrieb der Interoperabilitätskomponenten zur Verfügung. Das Handbuch enthält technische und operative Leitlinien, Empfehlungen und bewährte Verfahren. Die Kommission nimmt dieses Handbuch in Form einer Empfehlung an.

Artikel 74

Überwachung und Bewertung

(1)  eu-LISA stellt sicher, dass Verfahren vorhanden sind, um die Entwicklung der Interoperabilitätskomponenten und ihrer Anbindung an die einheitliche nationale Schnittstelle anhand von Zielen für Planung und Kosten sowie die Funktionsweise der Interoperabilitätskomponenten anhand von Zielen für die technische Leistung, Kostenwirksamkeit, Sicherheit und Qualität des Dienstes zu überwachen

(2)  Bis zum 12. Dezember 2019 und danach alle sechs Monate während der Entwicklungsphase der Interoperabilitätskomponenten übermittelt eu-LISA dem Europäischen Parlament und dem Rat einen Bericht über den Stand der Entwicklung der Interoperabilitätskomponenten und ihrer Anbindung an die einheitliche nationale Schnittstelle. Sobald die Entwicklung abgeschlossen ist, wird dem Europäischen Parlament und dem Rat ein Bericht übermittelt, in dem detailliert dargelegt wird, wie die Ziele, insbesondere für die Planung und die Kosten, erreicht wurden, und in dem etwaige Abweichungen begründet werden.

(3)  Vier Jahre nach Inbetriebnahme der einzelnen Interoperabilitätskomponenten gemäß Artikel 68 und danach alle vier Jahre übermittelt eu-LISA dem Europäischen Parlament, dem Rat und der Kommission einen Bericht über die technische Funktionsweise der Interoperabilitätskomponenten einschließlich ihrer Sicherheit.

(4)  Ferner erstellt die Kommission ein Jahr nach jedem Bericht von eu-LISA eine Gesamtbewertung der Interoperabilitätskomponenten, die Folgendes beinhaltet:

Die Gesamtbewertung gemäß Unterabsatz 1 dieses Absatzes schließt etwaige erforderliche Empfehlungen ein. Die Kommission übermittelt den Bewertungsbericht dem Europäischen Parlament, dem Rat, dem Europäischen Datenschutzbeauftragten und der Agentur der Europäischen Union für Grundrechte.

(5)  Die Kommission übermittelt dem Europäischen Parlament und dem Rat bis zum 12. Juni 2020 und danach jedes Jahr, bis die Durchführungsrechtsakte der Kommission nach Artikel 68 erlassen wurden, einen Bericht über den Stand der Vorbereitungen für die vollumfängliche Durchführung dieser Verordnung. Dieser Bericht enthält auch genaue Angaben über die angefallenen Kosten und Informationen über sämtliche Risiken, die Auswirkungen auf die Gesamtkosten haben könnten.

(6)  Zwei Jahre nach Inbetriebnahme des MID gemäß Artikel 68 Absatz 4 nimmt die Kommission eine Analyse der Auswirkungen des MID auf das Recht auf Nichtdiskriminierung vor. Nach diesem ersten Bericht ist die Analyse der Auswirkungen des MID auf das Recht auf Nichtdiskriminierung Teil der in Absatz 4 Buchstabe b des vorliegenden Artikels genannten Analyse.

(7)  Die Mitgliedstaaten und Europol stellen eu-LISA und der Kommission die für die Ausarbeitung der Berichte nach den Absätzen 3 bis 6 erforderlichen Informationen zur Verfügung. Diese Informationen dürfen nicht zu einer Beeinträchtigung der Arbeitsverfahren führen oder Angaben enthalten, die Rückschlüsse auf Quellen, Bedienstete oder Ermittlungen der benannten Behörden ermöglichen.

(8)  eu-LISA stellt der Kommission die Informationen zur Verfügung, die zur Durchführung der in Absatz 4 genannten Gesamtbewertung erforderlich sind.

(9)  Die Mitgliedstaaten und Europol erstellen unter Einhaltung der nationalen Rechtsvorschriften über die Veröffentlichung von sensiblen Informationen und unbeschadet der erforderlichen Einschränkungen zum Schutz der Sicherheit und der öffentlichen Ordnung, zur Verhinderung von Kriminalität und zur Gewährleistung, dass keine nationalen Ermittlungen beeinträchtigt werden, Jahresberichte über die Wirksamkeit des Zugangs zu im CIR gespeicherten Daten zum Zwecke der Verhinderung, Aufdeckung oder Untersuchung terroristischer Straftaten oder sonstiger schwerer Straftaten; diese Berichte enthalten Informationen und Statistiken über

Die Jahresberichte der Mitgliedstaaten und von Europol werden der Kommission bis zum 30. Juni des Folgejahres vorgelegt.

(10)  Zur Verwaltung von Anträgen der Nutzer auf Zugang gemäß Artikel 22 und zur Erleichterung der Erhebung der in den Absätzen 7 und 9 des vorliegenden Artikels aufgeführten Informationen für die Zwecke der Erstellung der in jenen Absätzen genannten Berichte und Statistiken wird den Mitgliedstaaten eine technische Lösung bereitgestellt. Die Kommission erlässt Durchführungsrechtsakte zur Festlegung der Spezifikationen der technischen Lösung. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 70 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 75

Inkrafttreten und Anwendbarkeit

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Die Bestimmungen dieser Verordnung über das ESP gelten ab dem von der Kommission gemäß Artikel 68 Absatz 1 bestimmten Zeitpunkt.

Die Bestimmungen dieser Verordnung über den gemeinsamen BMS gelten ab dem von der Kommission gemäß Artikel 68 Absatz 2 bestimmten Zeitpunkt.

Die Bestimmungen dieser Verordnung über den CIR gelten ab dem von der Kommission gemäß Artikel 68 Absatz 3 bestimmten Zeitpunkt.

Die Bestimmungen dieser Verordnung über den MID gelten ab dem von der Kommission gemäß Artikel 68 Absatz 4 bestimmten Zeitpunkt.

Die Bestimmungen dieser Verordnung über die Mechanismen und Verfahren für die automatische Datenqualitätskontrolle, die gemeinsamen Datenqualitätsindikatoren und die Mindestqualitätsstandards gelten ab dem von der Kommission gemäß Artikel 68 Absatz 5 bestimmten Zeitpunkt.

Die Bestimmungen dieser Verordnung über den CRRS gelten ab dem von der Kommission gemäß Artikel 68 Absatz 6 bestimmten Zeitpunkt.

Artikel 6, 12, 17, 25, 38, 42, 54, 56, 58, 66, 67, 69, 70, 71, 73 und 74 Absatz 1, gelten ab dem 11. Juni 2019.

Diese Verordnung gilt für Eurodac ab dem Tag der Anwendbarkeit der Neufassung der Verordnung (EU) Nr. 603/2013.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt gemäß den Verträgen unmittelbar in den Mitgliedstaaten.

---

( 1 ) Verordnung (EU) 2019/817 des Europäischen Parlaments und des Rates vom 20. Mai 2019 zur Errichtung eines Rahmens für die Interoperabilität zwischen EU-Informationssystemen in den Bereichen Grenzen und Visa und zur Änderung der Verordnungen (EG) Nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 und (EU) 2018/1861 des Europäischen Parlaments und des Rates, der Entscheidung 2004/512/EG des Rates und des Beschlusses 2008/633/JI des Rates (siehe Seite 27 dieses Amtsblatts).

( 2 ) Verordnung (EU) 2016/399 des Europäischen Parlaments und des Rates vom 9. März 2016 über einen Gemeinschaftskodex für das Überschreiten der Grenzen durch Personen (Schengener Grenzkodex) (ABl. L 77 vom 23.3.2016, S. 1).

( 3 ) Verordnung (EU) 2017/2226 des Europäischen Parlaments und des Rates vom 30. November 2017 über ein Einreise-/Ausreisesystem (EES) zur Erfassung der Ein- und Ausreisedaten sowie der Einreiseverweigerungsdaten von Drittstaatsangehörigen an den Außengrenzen der Mitgliedstaaten und zur Festlegung der Bedingungen für den Zugang zum EES zu Gefahrenabwehr- und Strafverfolgungszwecken und zur Änderung des Übereinkommens zur Durchführung des Übereinkommens von Schengen sowie der Verordnungen (EG) Nr. 767/2008 und (EU) Nr. 1077/2011 (ABl. L 327 vom 9.12.2017, S. 20).

( 4 ) Beschluss 2008/633/JI des Rates vom 23. Juni 2008 über den Zugang der benannten Behörden der Mitgliedstaaten und von Europol zum Visa-Informationssystem (VIS) für Datenabfragen zum Zwecke der Verhütung, Aufdeckung und Ermittlung terroristischer und sonstiger schwerwiegender Straftaten (ABl. L 218 vom 13.8.2008, S. 129).

( 5 ) Verordnung (EU) 2018/1240 des Europäischen Parlaments und des Rates vom 12. September 2018 über die Einrichtung eines Europäischen Reiseinformations- und -genehmigungssystems (ETIAS) und zur Änderung der Verordnungen (EU) Nr. 1077/2011, (EU) Nr. 515/2014, (EU) 2016/399, (EU) 2016/1624 und (EU) 2017/2226 (ABl. L 236 vom 19.9.2018, S. 1).

( 6 ) Richtlinie (EU) 2017/541 des Europäischen Parlaments und des Rates vom 15. März 2017 zur Terrorismusbekämpfung und zur Ersetzung des Rahmenbeschlusses 2002/475/JI des Rates und zur Änderung des Beschlusses 2005/671/JI des Rates (ABl. L 88 vom 31.3.2017, S. 6).

( 7 ) Rahmenbeschluss 2002/584/JI des Rates vom 13. Juni 2002 über den Europäischen Haftbefehl und die Übergabeverfahren zwischen den Mitgliedstaaten (ABl. L 190 vom 18.7.2002, S. 1).

( 8 ) Verordnung (EG) Nr. 767/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über das Visa-Informationssystem (VIS) und den Datenaustausch zwischen den Mitgliedstaaten über Visa für einen kurzfristigen Aufenthalt (VIS-Verordnung) (ABl. L 218 vom 13.8.2008, S. 60).

( 9 ) Verordnung (EU) Nr. 603/2013 des Europäischen Parlaments und des Rates vom 26. Juni 2013 über die Einrichtung von Eurodac für den Abgleich von Fingerabdruckdaten zum Zwecke der effektiven Anwendung der Verordnung (EU) Nr. 604/2013 zur Festlegung der Kriterien und Verfahren zur Bestimmung des Mitgliedstaats, der für die Prüfung eines von einem Drittstaatsangehörigen oder Staatenlosen in einem Mitgliedstaat gestellten Antrags auf internationalen Schutz zuständig ist und über der Gefahrenabwehr und Strafverfolgung dienende Anträge der Gefahrenabwehr- und Strafverfolgungsbehörden der Mitgliedstaaten und Europols auf den Abgleich mit Eurodac-Daten sowie zur Änderung der Verordnung (EU) Nr. 1077/2011 zur Errichtung einer Europäischen Agentur für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (ABl. L 180 vom 29.6.2013, S. 1).

( 10 ) Verordnung (EG) Nr. 168/2007 des Rates vom 15. Februar 2007 zur Errichtung einer Agentur der Europäischen Union für Grundrechte (ABl. L 53 vom 22.2.2007, S. 1).

( *1 ) Verordnung (EU) 2019/817 des Europäischen Parlaments und des Rates vom 20. Mai 2019 zur Errichtung eines Rahmens für die Interoperabilität zwischen EU-Informationssystemen in den Bereichen Grenzen und Visa und zur Änderung der Verordnungen (EG) Nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 und (EU) 2018/1861 des Europäischen Parlaments und des Rates und der Entscheidung 2004/512/EG des Rates und des Beschlusses 2008/633/JI des Rates (ABl. L 135 vom 22.5.2019, S. 27).

( *2 ) Verordnung (EU) 2019/818 des Europäischen Parlaments und des Rates vom 20. Mai 2019 zur Errichtung eines Rahmens für die Interoperabilität zwischen EU-Informationssystemen (polizeiliche und justizielle Zusammenarbeit, Asyl und Migration) und zur Änderung der Verordnungen (EU) 2018/1726, (EU) 2018/1862 und (EU) 2019/816 (ABl. L 135 vom 22.5.2019, S. 85)“

( *3 ) Verordnung (EU) 2018/1861 des Europäischen Parlaments und des Rates vom 28. November 2018 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems (SIS) im Bereich der Grenzkontrollen, zur Änderung des Übereinkommens zur Durchführung des Übereinkommens von Schengen und zur Änderung und Aufhebung der Verordnung (EG) Nr. 1987/2006 (ABl. L 312 vom 7.12.2018, S. 14).

( *4 ) Verordnung (EU) 2018/1862 des Europäischen Parlaments und des Rates vom 28. November 2018 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems (SIS) im Bereich der polizeilichen Zusammenarbeit und der justiziellen Zusammenarbeit in Strafsachen, zur Änderung und Aufhebung des Beschlusses 2007/533/JI des Rates und zur Aufhebung der Verordnung (EG) Nr. 1986/2006 des Europäischen Parlaments und des Rates und des Beschlusses 2010/261/EU der Kommission (ABl. L 312 vom 7.12.2018, S. 56).

( *5 ) Verordnung (EU) 2019/816 des Europäischen Parlaments und des Rates vom 17. April 2019 zur Einrichtung eines zentralisierten Systems für die Ermittlung der Mitgliedstaaten, in denen Informationen zu Verurteilungen von Drittstaatsangehörigen und Staatenlosen (ECRIS-TCN) vorliegen, sowie zur Ergänzung des Europäischen Strafregisterinformationssystems und zur Änderung der Verordnung (EU) Nr. 2018/1726 (ABl. L 135 vom 22.5.2019, S. 1).“

( *6 ) Verordnung (EU) 2019/818 des Europäischen Parlaments und des Rates vom 20. Mai 2019 zur Errichtung eines Rahmens für die Interoperabilität zwischen EU-Informationssystemen (polizeiliche und justizielle Zusammenarbeit, Asyl und Migration) und zur Änderung der Verordnungen (EU) 2018/1726, (EU) 2018/1862 und (EU) 2019/816 (ABl. L 135 vom 22.5.2019, S. 85).“.

( *7 ) Verordnung (EU) 2019/818 des Europäischen Parlaments und des Rates vom 20. Mai 2019 zur Errichtung eines Rahmens für die Interoperabilität zwischen EU-Informationssystemen (polizeiliche und justizielle Zusammenarbeit, Asyl und Migration) und zur Änderung der Verordnungen (EU) 2018/1726, (EU) 2018/1862, und (EU) 2019/816 (ABl. L 135 vom 22.5.2019, S. 85).“.

( 11 ) Verordnung (EU) 2016/1624 des Europäischen Parlaments und des Rates vom 14. September 2016 über die Europäische Grenz- und Küstenwache und zur Änderung der Verordnung (EU) 2016/399 des Europäischen Parlaments und des Rates sowie zur Aufhebung der Verordnung (EG) Nr. 863/2007 des Europäischen Parlaments und des Rates, der Verordnung (EG) Nr. 2007/2004 des Rates und der Entscheidung des Rates 2005/267/EG (ABl. L 251 vom 16.9.2016, S. 1).