EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32019R0816

Verordnung (EU) 2019/816 des Europäischen Parlaments und des Rates vom 17. April 2019 zur Einrichtung eines zentralisierten Systems für die Ermittlung der Mitgliedstaaten, in denen Informationen zu Verurteilungen von Drittstaatsangehörigen und Staatenlosen (ECRIS-TCN) vorliegen, zur Ergänzung des Europäischen Strafregisterinformationssystems und zur Änderung der Verordnung (EU) 2018/1726

PE/88/2018/REV/1

OJ L 135, 22.5.2019, p. 1–26 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

In force: This act has been changed. Current consolidated version: 11/06/2019

ELI: http://data.europa.eu/eli/reg/2019/816/oj

22.5.2019   

DE

Amtsblatt der Europäischen Union

L 135/1


VERORDNUNG (EU) 2019/816 DES EUROPÄISCHEN PARLAMENTS UND DES RATES

vom 17. April 2019

zur Einrichtung eines zentralisierten Systems für die Ermittlung der Mitgliedstaaten, in denen Informationen zu Verurteilungen von Drittstaatsangehörigen und Staatenlosen (ECRIS-TCN) vorliegen, zur Ergänzung des Europäischen Strafregisterinformationssystems und zur Änderung der Verordnung (EU) 2018/1726

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 82 Absatz 1 Unterabsatz 2 Buchstabe d,

auf Vorschlag der Europäischen Kommission,

nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,

gemäß dem ordentlichen Gesetzgebungsverfahren (1),

in Erwägung nachstehender Gründe:

(1)

Die Union verfolgt das Ziel, ihren Bürgerinnen und Bürgern einen Raum der Freiheit, der Sicherheit und des Rechts ohne Binnengrenzen zu bieten, in dem der freie Personenverkehr gewährleistet ist. Dieses Ziel sollte unter anderem mittels geeigneter Maßnahmen zur Verhütung und Bekämpfung von Kriminalität, einschließlich organisierter Kriminalität und Terrorismus, erreicht werden.

(2)

Hierzu ist es nötig, dass Informationen zu Verurteilungen, die in den Mitgliedstaaten erfolgt sind, auch außerhalb des Urteilsmitgliedstaats herangezogen werden können, und zwar zur Berücksichtigung in neuen Strafverfahren, wie das im Rahmenbeschluss 2008/675/JI des Rates (2) vorgesehen ist, sowie zur Verhütung neuer Straftaten.

(3)

Damit dieses Ziel erreicht werden kann, müssen Informationen aus den Strafregistern zwischen den zuständigen Behörden der Mitgliedstaaten ausgetauscht werden. Ein entsprechender Informationsaustausch wird gemäß den Bestimmungen des Rahmenbeschlusses 2009/315/JI des Rates (3) und über das Europäische Strafregisterinformationssystem (European Criminal Records Information System — ECRIS), das durch den Beschluss 2009/316/JI des Rates (4) eingerichtet wurde, durchgeführt und erleichtert.

(4)

Der geltende Rechtsrahmen für das ECRIS trägt jedoch den Besonderheiten von Anfragen zu Drittstaatsangehörigen nicht in ausreichendem Maße Rechnung. Zwar ist ein Austausch von Informationen zu Drittstaatsangehörigen über ECRIS bereits möglich, jedoch gibt es kein einheitliches Unionsverfahren, um diesen Austausch effizient, schnell und präzise abzuwickeln.

(5)

Innerhalb der Union werden Informationen zu Drittstaatsangehörigen nicht wie bei Staatsangehörigen der Mitgliedstaaten im jeweiligen Herkunftsmitgliedstaat erhoben, sondern nur in den Mitgliedstaaten gespeichert, in denen die Verurteilungen erfolgt sind. Ein vollständiger Überblick über die Vorstrafen eines Drittstaatsangehörigen lässt sich daher nur gewinnen, wenn aus allen Mitgliedstaaten entsprechende Informationen angefordert werden.

(6)

Derartige generelle Auskunftsersuchen stellen einen unverhältnismäßig hohen Verwaltungsaufwand für alle Mitgliedstaaten dar, auch für diejenigen, die über keine Informationen zu dem betreffenden Drittstaatsangehörigen verfügen. In der Praxis hält dieser Aufwand die Mitgliedstaaten von Auskunftsersuchen zu Drittstaatsangehörigen bei anderen Mitgliedstaaten ab, wodurch der Informationsaustausch zwischen ihnen stark beeinträchtigt wird und ihr Zugang zu Strafregisterinformationen auf die im jeweiligen nationalen Strafregister gespeicherten Daten beschränkt bleibt. In der Folge erhöht sich die Gefahr eines ineffizienten und unvollständigen Austauschs von Informationen zwischen den Mitgliedstaaten, was sich wiederum auf die Sicherheit der Unionsbürger und der in der Union wohnhaften Personen auswirkt.

(7)

Zur Abhilfe sollte ein System eingerichtet werden, mit dem die Zentralbehörde eines Mitgliedstaats umgehend und effizient feststellen kann, welche anderen Mitgliedstaaten über Strafregisterinformationen zu einem Drittstaatsangehörigen (TCN — third country national) verfügen (, im Folgenden „ECRIS-TCN“). Anschließend könnte auf den bestehenden ECRIS-Rahmen zurückgegriffen werden, um die betreffenden Mitgliedstaaten gemäß dem Rahmenbeschluss 2009/315/JI um die Strafregisterinformationen zu ersuchen.

(8)

Diese Verordnung sollte daher Vorschriften über die Einrichtung eines zentralisierten Systems vorsehen, in dem auf Unionsebene personenbezogene Daten erfasst werden, und Vorschriften über die Aufteilung der Zuständigkeiten zwischen den Mitgliedstaaten sowie zur Bestimmung, welche Organisation für die Entwicklung und Wartung des zentralisierten Systems zuständig ist, sowie zusätzlich zu den bestehenden datenschutzrechtlichen Regelungen spezifische datenschutzrechtliche Bestimmungen, um einen insgesamt angemessenen Datenschutz, eine angemessene Datensicherheit und den Schutz der Grundrechte der betroffenen Personen zu gewährleisten.

(9)

Um den Bürgerinnen und Bürgern der Union ein Raum der Freiheit, der Sicherheit und des Rechts ohne Binnengrenzen zu bieten, in dem der freie Personenverkehr gewährleistet ist, müssen auch die Informationen über Verurteilungen von Unionsbürgern, die zusätzlich die Staatsangehörigkeit eines Drittstaats besitzen, vollständig sein. Da diese Personen mit einer oder mehreren Staatsangehörigkeiten auftreten können und in den Urteilsmitgliedstaaten, oder in dem Herkunftsmitgliedstaat verschiedene Verurteilungen gespeichert sein können, müssen Unionsbürger, die auch die Staatsangehörigkeit eines Drittstaats besitzen, in den Anwendungsbereich dieser Verordnung aufgenommen werden. Diese Personen auszuschließen würde dazu führen, dass die im ECRIS-TCN gespeicherte Information unvollständig wäre. Das würde die Zuverlässigkeit des Systems aufs Spiel setzen. Da jedoch diese Personen die Unionsbürgerschaft besitzen, sollten für die Einstellung ihrer Fingerabdruckdaten in das ECRIS-TCN vergleichbare Bedingungen wie für den Austausch von Fingerabdruckdaten von Unionsbürgern im Rahmen des durch den Rahmenbeschluss 2009/315/JI und den Beschluss 2009/316/JI geschaffenen ECRIS- zwischen den Mitgliedstaaten gelten. Somit sollten die Fingerabdruckdaten von Unionsbürgern, die auch die Staatsangehörigkeit eines Drittstaats besitzen, nur dann in das ECRIS-TCN eingestellt werden, wenn sie gemäß dem nationalen Recht während eines Strafverfahrens erhoben wurden, wobei die Mitgliedstaaten für diese Eingabe Fingerabdruckdaten nutzen dürfen, die zu anderen Zwecken als Strafverfahren abgenommen wurden, wenn diese Nutzung nach nationalem Recht zulässig ist.

(10)

Mit dem ECRIS-TCN sollte die Verarbeitung von Fingerabdruckdaten ermöglicht werden, um festzustellen, in welchen Mitgliedstaaten Informationen über Strafregistereinträge eines Drittstaatsangehörigen vorliegen. Außerdem sollte es die Verarbeitung von Gesichtsbildern ermöglichen, um die Identität des Drittstaatsangehörigen zu bestätigen. Es ist wesentlich, dass die Eingabe und Verwendung von Fingerabdruckdaten und Gesichtsbildern nicht über das zur Erreichung des Ziels unbedingt erforderliche Maß hinausgehen, die Grundrechte und das Kindeswohl wahren und mit den anwendbaren Datenschutzvorschriften der Union vereinbar sind.

(11)

Die Agentur der Europäischen Union für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA), die durch die Verordnung (EU) Nr. 2018/1726 des Europäischen Parlaments und des Rates (5) errichtet wurde, sollte aufgrund ihrer Erfahrung mit anderen Großsystemen im Bereich Justiz und Inneres mit der Entwicklung und dem Betrieb des ECRIS-TCN betraut werden. Diese neuen Aufgaben sollten auch in ihr Mandat aufgenommen werden.

(12)

eu-LISA sollte mit geeigneten Finanzressourcen und Personal ausgestattet werden, damit sie die Aufgaben gemäß dieser Verordnung erfüllen kann.

(13)

Da das gegenwärtige ECRIS-TCN und ECRIS technisch eng miteinander verknüpft werden müssen, sollte eu-LISA auch die Aufgabe übertragen werden, die ECRIS-Referenzimplementierung weiterzuentwickeln und zu warten, und das Mandat der Agentur sollte entsprechend angepasst werden.

(14)

Vier Mitgliedstaaten haben eine eigene nationale ECRIS-Implementierungssoftware gemäß dem Beschluss 2009/316/JI des Rates entwickelt und verwenden diese anstelle der ECRIS-Referenzimplementierung für den Austausch von Strafregisterinformationen. Angesichts der spezifischen Merkmale, die diese Mitgliedstaaten für nationale Anwendungszwecke in ihre Systeme aufgenommen haben, sowie der von ihnen getätigten Investitionen sollten sie ihre nationale ECRIS-Implementierungssoftware für die Zwecke des ECRIS-TCN ebenfalls verwenden dürfen, sofern die in dieser Verordnung genannten Bedingungen erfüllt sind.

(15)

Das ECRIS-TCN sollte nur Angaben zur Identität von Drittstaatsangehörigen enthalten, die von einem Strafgericht in der Union verurteilt wurden. Diese Identitätsangaben sollten alphanumerische Daten und Fingerabdruckdaten umfassen. Es sollte auch möglich sein, Gesichtsbilder aufzunehmen, sofern das Recht des Urteilsmitgliedstaats die Erhebung und Speicherung von Gesichtsbildern einer verurteilten Person zulässt.

(16)

Die alphanumerischen Daten, die von den Mitgliedstaaten in das Zentralsystem einzugeben sind, sollten den Nachnamen (Familiennamen) und den bzw. die Vornamen der verurteilten Person sowie — sofern die Zentralbehörde über solche Informationen verfügt — alle etwaigen Pseudonyme oder Aliasdaten dieser Person enthalten. Wenn dem betreffenden Mitgliedstaat andere abweichende personenbezogene Daten, wie z. B. die unterschiedliche Schreibweise eines Namens in einem anderen Alphabet, bekannt sind, so sollte es möglich sein, diese Daten als zusätzliche Informationen in das Zentralsystem einzugeben.

(17)

Die alphanumerischen Daten sollten ferner als zusätzliche Information die Identitätsnummer oder die Art und Nummer der Identitätsdokumente der Person sowie die Bezeichnung der Ausstellungsbehörde enthalten, sofern die Zentralbehörde über diese Informationen verfügt. Der Mitgliedstaat sollte versuchen, die Echtheit der Identitätsdokumente zu überprüfen, bevor die entsprechenden Daten in das Zentralsystem eingegeben werden. Da diese Informationen unzuverlässig sein könnten, sollten sie in jedem Fall mit Vorsicht verwendet werden.

(18)

Die Zentralbehörden sollten das ECRIS-TCN nutzen, um festzustellen, in welchen Mitgliedstaaten Strafregisterinformationen zu einem Drittstaatsangehörigen vorliegen, wenn in dem betreffenden Mitgliedstaat entsprechende Strafregisterinformationen zu dieser Person für die Zwecke eines gegen sie gerichteten Strafverfahrens oder für die in dieser Verordnung genannten Zwecke benötigt werden. Zwar sollte das ECRIS-TCN in derartigen Fällen grundsätzlich immer genutzt werden, doch sollte die für die Durchführung des Strafverfahrens zuständige Behörde entscheiden können, dass das System nicht verwendet werden sollte, wenn das im konkreten Fall nicht angezeigt wäre, zum Beispiel bei bestimmten Arten von Eilverfahren, bei Transitreisenden, wenn bereits kurz zuvor Strafregisterinformationen über das ECRIS abgerufen wurden oder bei geringfügigen Zuwiderhandlungen, insbesondere geringfügigen Verkehrsübertretungen, geringfügigen Zuwiderhandlungen gegen allgemeine Gemeindeverordnungen und geringfügigen Zuwiderhandlungen gegen die öffentliche Ordnung.

(19)

Die Mitgliedstaaten sollten ferner das ECRIS-TCN für andere als die in dieser Verordnung genannten Zwecke nutzen können, sofern das nach und gemäß dem nationalen Recht vorgesehen ist. Um die Nutzung des ECRIS-TCN transparenter zu gestalten, sollten die Mitgliedstaaten jedoch diese anderen Zwecke der Kommission mitteilen, die dafür sorgen sollte, dass alle diese Mitteilungen im Amtsblatt der Europäischen Union veröffentlicht werden.

(20)

Es sollte auch für andere Behörden, die Strafregisterinformationen anfordern, möglich sein zu entscheiden, dass das ECRIS-TCN nicht genutzt werden sollte, wenn das im konkreten Fall nicht angezeigt wäre, zum Beispiel wenn bestimmte administrative Standardabfragen im Zusammenhang mit den beruflichen Qualifikationen einer Person durchgeführt werden müssen, vor allem wenn bekannt ist, dass unabhängig vom Ergebnis der Suche im ECRIS-TCN keine Strafregisterinformationen aus anderen Mitgliedstaaten angefordert werden. Das ECRIS-TCN sollte allerdings stets genutzt werden, wenn die Abfrage der Strafregisterinformationen von einer Person initiiert wurde, die einen Antrag auf Informationen über die sie betreffenden Strafregistereintragungen gemäß dem Rahmenbeschluss 2009/315/JI stellt, oder wenn der Antrag gestellt wird, um Strafregisterinformationen gemäß Richtlinie 2011/93/EU des Europäischen Parlaments und des Rates (6) zu erhalten.

(21)

Drittstaatsangehörige sollten das Recht haben, schriftliche Auskunft über die eigenen Strafregisterinformationen gemäß dem Recht des Mitgliedstaats, in dem sie die Bereitstellung solcher Informationen beantragen, und gemäß dem Rahmenbeschluss 2009/315/JI zu erhalten. Bevor der betreffende Mitgliedstaat diese Auskunft einem Drittstaatsangehörigen erteilt, sollte er das ECRIS-TCN abfragen.

(22)

Unionsbürger, die auch die Staatsangehörigkeit eines Drittstaats besitzen, werden nur dann in das ECRIS-TCN aufgenommen, wenn den zuständigen Behörden bekannt ist, dass die betreffenden Personen die Staatsangehörigkeit eines Drittstaats besitzen. Ist den zuständigen Behörden nicht bekannt, dass Unionsbürger auch die Staatsangehörigkeit eines Drittstaats besitzen, so kann es dennoch vorkommen, dass diese Personen früher bereits als Staatsangehörige eines Drittstaats verurteilt worden sind. Damit sichergestellt ist, dass die zuständigen Behörden einen vollständigen Überblick über Vorstrafen erhalten, sollte es möglich sein, Abfragen im ECRIS-TCN durchzuführen, um zu überprüfen, ob zu einem Unionsbürger in einem Mitgliedstaat Strafregisterinformationen zu dieser Person als Drittstaatsangehörigem vorliegen.

(23)

Wenn es zwischen den von einem Mitgliedstaat verwendeten Suchanfragedaten und den im Zentralsystem gespeicherten Daten eine Übereinstimmung gibt (im Folgenden „Treffer“), sollten die Identitätsangaben, auf die sich der Treffer bezieht, zusammen mit dem Treffer angezeigt werden. Das Suchergebnis sollte von den Zentralbehörden nur zum Zweck eines Auskunftsersuchens über ECRIS, oder von der Agentur der Europäischen Union für justizielle Zusammenarbeit in Strafsachen (Eurojust), errichtet durch die Verordnung (EU) 2018/1727 des Europäischen Parlamentes und des Rates (7), von der Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol), errichtet durch die Verordnung (EU) 2016/794 des Europäischen Parlaments und des Rates (8) und von der Europäischen Staatsanwaltschaft (EPPO), errichtet durch die Verordnung (EU) 2017/1939 des Rates (9), nur zum Zweck eines Auskunftsersuchens zu Verurteilungen gemäß der vorliegenden Verordnung genutzt werden.

(24)

Vorerst sollten im ECRIS-TCN enthaltene Gesichtsbilder ausschließlich für die Bestätigung der Identität eines Drittstaatsangehörigen verwendet werden, um die Mitgliedstaaten zu ermitteln, in denen Informationen über frühere Verurteilungen dieses Drittstaatsangehörigen vorliegen. In Zukunft sollte es möglich sein, Gesichtsbilder für den automatisierten Abgleich biometrischer Daten zu verwenden, sofern die technischen und politischen Voraussetzungen dafür erfüllt sind. Die Kommission sollte unter Berücksichtigung der Notwendigkeit und Verhältnismäßigkeit sowie der technischen Entwicklungen auf dem Gebiet der Gesichtserkennungssoftware die Verfügbarkeit und Einsatzfähigkeit der benötigten Technologie bewerten, bevor sie einen delegierten Rechtsaktüber die Verwendung von Gesichtsbildern zur Identifizierung von Drittstaatsangehörigen erlässt, um festzustellen, in welchen Mitgliedstaaten Informationen über frühere Verurteilungen der betreffenden Personen vorliegen.

(25)

Biometrische Daten werden benötigt, weil sie die zuverlässigste Grundlage für die Identifizierung von Drittstaatsangehörigen im Hoheitsgebiet der Mitgliedstaaten bieten, die oftmals weder Ausweispapiere noch sonstige Identitätsdokumente mit sich führen, und zudem einen zuverlässigeren Abgleich der Angaben zu Drittstaatsangehörigen ermöglichen.

(26)

Die Mitgliedstaaten sollten in das Zentralsystem Fingerabdruckdaten eingeben, die verurteilten Drittstaatsangehörigen nach Maßgabe des nationalen Rechts im Rahmen eines Strafverfahrens abgenommen wurden. Damit das Zentralsystem möglichst vollständige Identitätsangaben enthält, sollten die Mitgliedstaaten in dieses System auch Fingerabdruckdaten eingeben können, die für andere Zwecke als die eines Strafverfahrens abgenommen wurden, sofern diese Fingerabdruckdaten gemäß nationalem Recht in Strafverfahren genutzt werden können.

(27)

In dieser Verordnung sollten Mindestkriterien für Fingerabdruckdaten festgelegt werden, die die Mitgliedstaaten in das Zentralsystem einstellen sollten. Die Mitgliedstaaten sollten wählen können, ob sie entweder die Fingerabdruckdaten von Drittstaatsangehörigen eingeben, die zu einer Freiheitsstrafe von mindestens sechs Monaten verurteilt wurden, oder ob sie die Fingerabdruckdaten von Drittstaatsangehörigen eingeben, die wegen einer Tat verurteilt wurden, die nach dem Recht des jeweiligen Mitgliedstaats mit einer Freiheitsstrafe im Höchstmaß von mindestens zwölf Monaten bedroht ist.

(28)

Die Mitgliedstaaten sollten im ECRIS-TCN Datensätze über verurteilte Drittstaatsangehörige anlegen. Das sollte, soweit möglich, automatisch und unverzüglich nach Erfassung der Verurteilung im nationalen Strafregister erfolgen. Die Mitgliedstaaten sollten gemäß dieser Verordnung alphanumerische Daten und Fingerabdruckdaten im Zusammenhang mit Verurteilungen in das Zentralsystem eingeben, die nach dem Tag des Beginns der Dateneingabe in das ECRIS-TCN erfolgt sind. Ab demselben oder einem späteren Zeitpunkt sollten die Mitgliedstaaten Gesichtsbilder in das Zentralsystem eingeben können.

(29)

Die Mitgliedstaaten sollten gemäß dieser Verordnung auch im ECRIS-TCN Datensätze für Verurteilungen von Drittstaatsangehörigen anlegen, die vor dem Zeitpunkt des Beginns der Dateneingabe ergangen sind, um eine größtmögliche Wirksamkeit des Systems zu gewährleisten. In diesem Zusammenhang sollten die Mitgliedstaaten jedoch nicht verpflichtet sein, Informationen zu erheben, die vor dem Beginn der Dateneingabe noch nicht in ihrem Strafregister erfasst waren. Die Fingerabdruckdaten von Drittstaatsangehörigen, die im Zusammenhang mit solchen früheren Verurteilungen abgenommen werden, sollten nur dann gespeichert werden, wenn sie im Rahmen von Strafverfahren abgenommen wurden und der betreffende Mitgliedstaat der Auffassung ist, dass sie anderen Identitätsangaben in Strafregistern eindeutig zugeordnet werden können.

(30)

Ein besserer Austausch von Informationen zu Verurteilungen sollte den Mitgliedstaaten die Umsetzung des Rahmenbeschlusses 2008/675/JI erleichtern, dem zufolge die Mitgliedstaaten verpflichtet sind, frühere Verurteilungen in anderen Mitgliedstaaten im Rahmen neuer Strafverfahren in dem Maße zu berücksichtigen, wie Vorstrafen nach innerstaatlichem Recht berücksichtigt werden.

(31)

Wenn eine Abfrage im ECRIS-TCN einen Treffer ergibt, sollte das nicht automatisch so verstanden werden, dass der betreffende Drittstaatsangehörige in dem bzw. den angegebenen Mitgliedstaaten verurteilt worden ist. Das Vorliegen von Vorstrafen sollte ausschließlich anhand der Angaben aus dem Strafregister der betreffenden Mitgliedstaaten nachgewiesen werden.

(32)

Ungeachtet der Möglichkeit, die Finanzprogramme der Union nach Maßgabe der geltenden Vorschriften in Anspruch zu nehmen, sollten die Mitgliedstaaten ihre eigenen Kosten tragen, die aus der Umsetzung, Verwaltung, Verwendung und Wartung ihrer Strafregisterdatenbanken und ihrer nationalen Fingerabdruckdatenbanken sowie aus der Umsetzung, Verwaltung, Verwendung und Wartung der für die Nutzung des ECRIS-TCN benötigten technischen Änderungen, einschließlich der Anbindung der Datenbanken an die zentrale nationale Zugangsstelle, entstehen.

(33)

Eurojust, Europol und die EUStA sollten Zugang zum ECRIS-TCN haben, damit sie ermitteln können, in welchen Mitgliedstaaten Strafregisterinformationen zu einem Drittstaatsangehörigen vorliegen, und somit ihre gesetzlichen Aufgaben effizienter erfüllen können. Unbeschadet der Anwendung der Grundsätze der justiziellen Zusammenarbeit in Strafsachen einschließlich der Vorschriften über die Rechtshilfe sollte Eurojust ebenfalls direkten Zugang zum ECRIS-TCN haben, um so die gemäß dieser Verordnung zugewiesene Aufgabe wahrnehmen zu können, als Ansprechpartner für Drittländer und internationale Organisationen zu dienen. Zwar sollte der Standpunkt der nicht an der Verstärkten Zusammenarbeit zur Errichtung der EUStA beteiligten Mitgliedstaaten berücksichtigt werden, doch sollte der EUStA der Zugang zu Informationen zu Verurteilungen nicht allein aufgrund der Tatsache verweigert werden, dass sich der betreffende Mitgliedstaat nicht an dieser Verstärkten Zusammenarbeit beteiligt.

(34)

Diese Verordnung sieht strenge Vorschriften für den Zugang zum ECRIS-TCN und die notwendigen Garantien vor, einschließlich der Verantwortung der Mitgliedstaaten für die Erhebung und Verwendung der Daten. Außerdem ist festgelegt, wie Einzelpersonen ihr Recht auf Schadenersatz, Auskunft, Berichtigung, Löschung und Regress ausüben können, insbesondere das Recht, einen wirksamen Rechtsbehelf einzulegen, und dass die Datenverarbeitung von unabhängigen Behörden überwacht wird. Somit steht diese Verordnung im Einklang mit den Grundrechten und -freiheiten und den Grundsätzen, die insbesondere mit der Charta der Grundrechte der Europäischen Union anerkannt wurden, darunter das Recht auf den Schutz personenbezogener Daten, der Grundsatz der Gleichheit vor dem Gesetz und das allgemeine Diskriminierungsverbot. In dieser Hinsicht trägt sie auch der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten, dem Internationalen Pakt über bürgerliche und politische Rechte und anderen völkerrechtlichen Menschenrechtsverpflichtungen Rechnung.

(35)

Die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates (10) sollte für die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor Gefahren für die öffentliche Sicherheit und deren Abwehr gelten. Sofern die Verarbeitung personenbezogener Daten durch nationale Behörden nicht in den Anwendungsbereich der Richtlinie (EU) 2016/680 fällt, sollte für diese Verarbeitung die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (11) gelten. Gemäß der Verordnung (EU) 2018/1725 (12), die auch für die Verarbeitung personenbezogener Daten durch eu-LISA gelten sollte, sollte eine koordinierte Aufsicht sichergestellt werden.

(36)

Die Zentralbehörden sollten die alphanumerischen Daten zu früheren Verurteilungen bis zum Ablauf der Frist für die Eingabe von Daten gemäß dieser Verordnung und die Fingerabdruckdaten innerhalb von zwei Jahren nach dem Tag der Inbetriebnahme des ECRIS-TCN- eingeben. Die Mitgliedstaaten sollten befugt sein, auch alle Daten zum gleichen Zeitpunkt einzugeben, sofern diese Fristen eingehalten werden.

(37)

Ferner sollten Vorschriften erlassen werden über die Haftung der Mitgliedstaaten, von Eurojust, von Europol, der EUStA und von eu-LISAfür Schäden aufgrund eines Verstoßes gegen diese Verordnung.

(38)

Damit besser ermittelt werden kann, in welchen Mitgliedstaaten Informationen über frühere Verurteilungen von Drittstaatsangehörigen vorliegen, sollte der Kommission die Befugnis übertragen werden, gemäß Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union Rechtsakte zur Ergänzung dieser Verordnung durch Bestimmungen über die Verwendung von Gesichtsbildern zur Identifizierung von Drittstaatsangehörigen zu erlassen, um festzustellen, in welchen Mitgliedstaaten Informationen über frühere Verurteilungen vorliegen. Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeit angemessene Konsultationen, auch auf der Ebene von Sachverständigen, durchführt, die mit den Grundsätzen in Einklang stehen, die in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung (13) niedergelegt wurden. Um insbesondere für eine gleichberechtigte Beteiligung an der Vorbereitung delegierter Rechtsakte zu sorgen, erhalten das Europäische Parlament und der Rat alle Dokumente zur gleichen Zeit wie die Sachverständigen der Mitgliedstaaten, und ihre Sachverständigen haben systematisch Zugang zu den Sitzungen der Sachverständigengruppen der Kommission, die mit der Vorbereitung der delegierten Rechtsakte befasst sind.

(39)

Um einheitliche Bedingungen für die Einrichtung und das Betriebsmanagement des ECRIS-TCN zu gewährleisten, sollten der Kommission Durchführungsbefugnisse übertragen werden. Diese Befugnisse sollten gemäß der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates ausgeübt werden (14).

(40)

Die Mitgliedstaaten sollten die erforderlichen Maßnahmen treffen, um dieser Verordnung so bald wie möglich nachzukommen, damit das ordnungsgemäße Funktionieren des ECRIS-TCN gewährleistet ist, und dabei der Zeit Rechnung tragen, die eu-LISA für die Entwicklung und Umsetzung des ECRIS-TCN benötigt. Die Mitgliedstaaten sollten jedoch nach Inkrafttreten dieser Verordnung mindestens 36 Monate Zeit haben, um Maßnahmen zur Einhaltung dieser Verordnung zu treffen.

(41)

Da das Ziel dieser Verordnung, nämlich die Ermöglichung eines raschen und effizienten Austauschs von richtigen Strafregisterinformationen zu Drittstaatsangehörigen, auf Ebene der Mitgliedstaaten nicht ausreichend verwirklicht werden kann sondern vielmehr durch die Einführung gemeinsamer Vorschriften auf Unionsebene besser zu verwirklichen ist, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Verordnung nicht über das zur Verwirklichung dieses Ziels erforderliche Maß hinaus.

(42)

Nach den Artikeln 1 und 2 des dem EUV und dem AEUV beigefügten Protokolls Nr. 22 über die Position Dänemarks beteiligt sich Dänemark nicht an der Annahme dieser Verordnung und ist weder durch diese Verordnung gebunden noch zu ihrer Anwendung verpflichtet.

(43)

Nach den Artikeln 1 und 2 sowie Artikel 4a Absatz 1 des dem EUV und dem AEUV beigefügten Protokolls Nr. 21 über die Position des Vereinigten Königreichs und Irlands hinsichtlich des Raums der Freiheit, der Sicherheit und des Rechts und unbeschadet des Artikels 4 dieses Protokolls beteiligt sich Irland nicht an der Annahme dieser Verordnung und ist weder durch diese Verordnung gebunden noch zu ihrer Anwendung verpflichtet.

(44)

Nach Artikel 3 und Artikel 4a Absatz 1 des Protokolls Nr. 21 hat das Vereinigte Königreich mitgeteilt, dass es sich an der Annahme und Anwendung dieser Verordnung beteiligen möchte.

(45)

Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates (15) gehört und hat am 12. Dezember 2017 (16) eine Stellungnahme abgegeben —

HABEN FOLGENDE VERORDNUNG ERLASSEN:

KAPITEL I

Allgemeine Bestimmungen

Artikel 1

Gegenstand

Mit dieser Verordnung

a)

wird ein System zur Ermittlung der Mitgliedstaaten eingerichtet, in denen Informationen zu früheren Verurteilungen von Drittstaatsangehörigen vorliegen („ECRIS-TCN“);

b)

wird festgelegt, unter welchen Bedingungen die Zentralbehörden das ECRIS-TCN zu verwenden haben, um Informationen zu solchen früheren Verurteilungen über das mit dem Beschluss 2009/316/JI eingerichtete Europäische Strafregisterinformationssystem (ECRIS) zu erhalten, und unter welchen Bedingungen Eurojust, Europol und die EUStA das ECRIS-TCN zu verwenden haben.

Artikel 2

Anwendungsbereich

Diese Verordnung gilt für die Verarbeitung von Informationen zu der Person eines in Mitgliedstaaten verurteilten Drittstaatsangehörigen zum Zweck der Feststellung, in welchen Mitgliedstaaten solche Verurteilungen erfolgt sind. Mit Ausnahme von Artikel 5 Absatz 1 Buchstabe b Ziffer ii finden die für Drittstaatsangehörige geltenden Bestimmungen dieser Verordnung auch auf Unionsbürger Anwendung, die auch die Staatsangehörigkeit eines Drittstaats haben und in den Mitgliedstaaten verurteilt worden sind.

Artikel 3

Begriffsbestimmungen

Für die Zwecke dieser Verordnung bezeichnet der Ausdruck

1.

„Verurteilung“ jede rechtskräftige Entscheidung eines Strafgerichts gegen eine natürliche Person im Zusammenhang mit einer Straftat, sofern diese Entscheidung in das Strafregister des Urteilsmitgliedstaats eingetragen wird;

2.

„Strafverfahren“ die Phase vor dem Strafverfahren, das Strafverfahren und die Strafvollstreckung;

3.

„Strafregister“ das nationale oder die nationalen Register, in das bzw. die Verurteilungen nach Maßgabe des nationalen Rechts eingetragen werden;

4.

„Urteilsmitgliedstaat“ den Mitgliedstaat, in dem ein Verurteilung erfolgt ist;

5.

„Zentralbehörde“ eine gemäß Artikel 3 Absatz 1 des Rahmenbeschlusses 2009/315/JI des Rates benannte Behörde;

6.

„zuständige Behörden“ die Zentralbehörden und Eurojust, Europol und die EUStA, die gemäß der vorliegenden Verordnung Zugang zum ECRIS-TCN haben und dieses System abfragen dürfen;

7.

„Drittstaatsangehöriger“ eine Person, die kein Bürger der Union im Sinne des Artikels 20 Absatz 1 AEUV ist, oder eine staatenlose Person oder eine Person, deren Staatsangehörigkeit nicht bekannt ist;

8.

„Zentralsystem“ die von eu-LISA entwickelte(n) und gewartete(n) Datenbank(en), in der/denen Identitätsangaben zu den in den Mitgliedstaaten verurteilten Drittstaatsangehörigen gespeichert werden;

9.

„Schnittstellensoftware“ die Software der zuständigen Behörden, mittels deren sie über die Kommunikationsinfrastruktur nach Artikel 4 Absatz 1 Buchstabe d Zugang zum Zentralsystem erhalten;

10.

„Identitätsangaben“ alphanumerische Daten, Fingerabdruckdaten und Gesichtsbilder, die verwendet werden, um eine Verbindung zwischen diesen Daten und einer natürlichen Person herzustellen;

11.

„alphanumerische Daten“ Daten in Form von Buchstaben, Ziffern, Sonderzeichen, Leerzeichen und Satzzeichen;

12.

„Fingerabdruckdaten“ die Daten zu den flachen und abgerollten Abdrücken aller Finger einer Person;

13.

„Gesichtsbild“ ein digitales Bild des Gesichts einer Person;

14.

„Treffer“ eine oder mehrere festgestellte Übereinstimmungen zwischen den im Zentralsystem gespeicherten Identitätsangaben und den für eine Suche verwendeten Identitätsangaben;

15.

„zentrale nationale Zugangsstelle“ den nationalen Zugangspunkt zur Kommunikationsinfrastruktur nach Artikel 4 Absatz 1 Buchstabe d;

16.

„ECRIS-Referenzimplementierung“ die Software, die die Kommission entwickelt und den Mitgliedstaaten für den Austausch von Strafregisterinformationen über das ECRIS zur Verfügung stellt.

17.

„nationale Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß den dafür geltenden Datenschutzbestimmungen der Union eingerichtete unabhängige staatliche Stelle;

18.

„Aufsichtsbehörden“ der Europäische Datenschutzbeauftragte und die nationalen Aufsichtsbehörden.

Artikel 4

Technische Architektur des ECRIS-TCN

(1)   ECRIS-TCN setzt sich zusammen aus:

a)

einem Zentralsystem, in dem Identitätsangaben zu verurteilten Drittstaatsangehörigen gespeichert sind;

b)

einer nationalen zentralen Zugangsstelle in jedem Mitgliedstaat;

c)

einer Schnittstellensoftware, mittels deren die zuständigen Behörden über die zentrale nationale Zugangsstelle und die in Buchstabe d genannte Kommunikationsinfrastruktur Zugang zum Zentralsystem erhalten;

d)

einer Kommunikationsinfrastruktur zwischen dem Zentralsystem und den zentralen nationalen Zugangsstellen.

(2)   Das Zentralsystem ist an den technischen Betriebsstätten von eu-LISA angesiedelt.

(3)   Die Schnittstellensoftware wird in die ECRIS-Referenzimplementierung integriert. Die Mitgliedstaaten verwenden die ECRIS-Referenzimplementierung oder — in den Fällen und unter den Voraussetzungen der Absätze 4 bis 8 — die nationale ECRIS-Implementierungssoftware für Abfragen im ECRIS-TCN sowie für die Übermittlung darauffolgender Ersuchen um Strafregisterinformationen.

(4)   Die Mitgliedstaaten, die ihre nationale ECRIS-Implementierungssoftware verwenden, sind dafür verantwortlich, ihre nationale ECRIS-Implementierungssoftware so zu gestalten, dass die nationalen Strafregisterbehörden das ECRIS-TCN, mit Ausnahme der Schnittstellensoftware, nach Maßgabe dieser Verordnung nutzen können. Zu diesem Zweck gewährleisten sie vor dem Zeitpunkt der Aufnahme des Betriebs des ECRIS-TCN gemäß Artikel 35 Absatz 4, dass ihre nationale ECRIS-Implementierungssoftware gemäß den Protokollen und technischen Spezifikationen funktioniert, die mit den in Artikel 10 genannten Durchführungsrechtsakten festgelegt werden, sowie gemäß allen weiteren auf diesen Durchführungsrechtsakten beruhenden technischen Vorschriften, die von eu-LISA gemäß dieser Verordnung festgelegt werden.

(5)   Solange die Mitgliedstaaten, die ihre nationale ECRIS-Implementierungssoftware verwenden, die ECRIS-Referenzimplementierung nicht verwenden, stellen sie zudem sicher, dass alle späteren technischen Anpassungen ihrer nationalen ECRIS-Implementierungssoftware, die infolge etwaiger Änderungen der technischen Anforderungen erforderlich sind, die mit den in Artikel 10 genannten Durchführungsrechtsakten festgelegt werden, oder die infolge von Änderungen aller weiteren, auf diesen Rechtsakten beruhenden technischen Anforderungen von eu-LISA gemäß dieser Verordnung beschlossen werden, unverzüglich implementiert werden.

(6)   Die Mitgliedstaaten, die ihre nationale ECRIS-Implementierungssoftware verwenden, tragen alle Kosten im Zusammenhang mit der Implementierung, Wartung und Weiterentwicklung ihrer nationalen ECRIS-Implementierungssoftware und deren Verbindung zum ECRIS-TCN, mit Ausnahme der Schnittstellensoftware.

(7)   Ist ein Mitgliedstaat, der seine nationale ECRIS-Implementierungssoftware verwendet, nicht in der Lage, seine Verpflichtungen nach diesem Artikel zu erfüllen, so ist er verpflichtet, zur Nutzung des ECRIS-TCN die ECRIS-Referenzimplementierung einschließlich der integrierten Schnittstellensoftware zu verwenden.

(8)   Für die Zwecke der von der Kommission nach Artikel 36 Absatz 10 Buchstabe b durchzuführenden Bewertung stellen die betreffenden Mitgliedstaaten der Kommission alle erforderlichen Informationen bereit.

KAPITEL II

Eingabe und Verwendung von Daten durch Zentralbehörden

Artikel 5

Eingabe von Daten in das ECRIS-TCN

(1)   Für jeden verurteilten Drittstaatsangehörigen legt die Zentralbehörde des Urteilsmitgliedstaats einen Datensatz im Zentralsystem an. Der Datensatz enthält folgende Angaben:

a)

alphanumerische Daten:

i)

einzufügende Informationen, es sei denn, diese Informationen sind der Zentralbehörde im Einzelfall nicht bekannt (obligatorische Informationen):

Nachname (Familienname);

Vorname(n);

Geburtsdatum;

Geburtsort (Gemeinde und Staat);

Staatsangehörigkeit(en);

Geschlecht;

gegebenenfalls frühere Namen;

nationale Referenznummer des Urteilsmitgliedstaats;

ii)

Informationen, die aufzunehmen sind, wenn sie in das Strafregister eingetragen sind (fakultative Informationen):

Namen der Eltern;

iii)

Informationen, die aufzunehmen sind, wenn sie der Zentralbehörde vorliegen (zusätzliche Informationen):

Identitätsnummer der Person oder Art und Nummer der Identitätsdokumente der Person sowie Name der ausstellenden Behörde;

Pseudonyme oder Aliasnamen;

b)

Fingerabdruckdaten:

i)

Fingerabdrückedruckdaten, die gemäß dem nationalen Recht im Rahmen eines Strafverfahrens abgenommen wurden;

ii)

mindestens Fingerabdruckdaten, die nach einem der folgenden Kriterien abgenommen wurden:

wenn der Drittstaatsangehörige zu einer Freiheitsstrafe von mindestens sechs Monaten verurteilt wurde;

wenn der Drittstaatsangehörige für eine Straftat verurteilt wurde, die nach dem Recht des Mitgliedstaats mit einer Freiheitsstrafe im Höchstmaß von mindestens zwölf Monaten bedroht ist.

(2)   Die Fingerabdruckdaten nach Absatz 1 Buchstabe b dieses Artikels müssen den technischen Spezifikationen an Qualität, Auflösung und Verarbeitung von Fingerabdruckdaten gemäß dem in Artikel 10 Absatz 1 Buchstabe b genannten Durchführungsakt entsprechen. Die Referenznummer der Fingerabdruckdaten der verurteilten Person muss die nationale Referenznummer des Urteilsmitgliedstaats enthalten.

(3)   Der Datensatz kann auch Gesichtsbilder des verurteilten Drittstaatsangehörigen enthalten, sofern gemäß dem nationalen Recht des Urteilsmitgliedstaats die Aufnahme und Speicherung von Gesichtsbildern verurteilter Personen zulässig sind.

(4)   Nach Erfassung der Verurteilung im Strafregister legt der Urteilsmitgliedstaat den Datensatz soweit möglich automatisch und unverzüglich an.

(5)   Die Urteilsmitgliedstaaten legen auch Datensätze zu Verurteilungen an, die vor dem Tag des Beginns der Dateneingabe nach Artikel 35 Absatz 1 erfolgt sind, soweit Daten zu verurteilten Personen in ihren nationalen Datenbanken erfasst werden. In diesen Fällen werden Fingerabdruckdaten nur aufgenommen, wenn sie im Rahmen von Strafverfahren gemäß dem nationalen Recht abgenommen wurden und wenn sie mit anderen Identitätsangaben in Strafregistern eindeutig übereinstimmen.

(6)   Um den Anforderungen des Absatzes 1 Buchstabe b Ziffern i und ii und des Absatzes 5 nachzukommen, können die Mitgliedstaaten Fingerabdruckdaten verwenden, die für andere Zwecke als Strafverfahren abgenommen wurden, sofern eine solche Verwendung nach nationalem Recht zulässig ist.

Artikel 6

Gesichtsbilder

(1)   Bis zum Inkrafttreten des in Absatz 2 vorgesehenen delegierten Rechtsakts dürfen Gesichtsbilder nur verwendet werden, um die Identität eines Drittstaatsangehörigen, der infolge eines Abgleichs von alphanumerischen Daten oder Fingerabdruckdaten identifiziert wurde, nachzuweisen.

(2)   Der Kommission wird die Befugnis übertragen, gemäß Artikel 37 zur Ergänzung dieser Verordnung delegierte Rechtsakte über die Verwendung von Gesichtsbildern zur Identifizierung von Drittstaatsangehörigen zu erlassen, um — sobald das technisch möglich ist — auf der Grundlage dieses biometrischen Identifikators festzustellen, in welchen Mitgliedstaaten Informationen über frühere Verurteilungen dieser Personen vorliegen. Bevor die Kommission diese Befugnis ausübt, bewertet sie unter Berücksichtigung der Notwendigkeit und Verhältnismäßigkeit sowie der technischen Entwicklungen im Bereich der Gesichtserkennungssoftware die Verfügbarkeit und Einsatzfähigkeit der erforderlichen Technik.

Artikel 7

Nutzung des ECRIS-TCN für die Ermittlung der Mitgliedstaaten, in denen Strafregisterinformationen vorliegen

(1)   Die Zentralbehörden nutzen das ECRIS-TCN zur Ermittlung der Mitgliedstaaten, in denen Strafregisterinformationen zu einem Drittstaatsangehörigen vorliegen, um über das ECRIS Informationen zu früheren Verurteilungen erhalten zu können, wenn in dem betreffenden Mitgliedstaat entsprechende Informationen zu dieser Person für die Zwecke eines gegen sie gerichteten Strafverfahrens oder für einen der folgenden, nach Maßgabe des nationalen Rechts vorgesehenen und zulässigen Zwecke benötigt werden:

Überprüfung der eigenen Strafregistereintragungen einer Person auf deren Antrag hin;

Sicherheitsüberprüfungen;

Einholung einer Genehmigung oder Lizenz;

Überprüfung bei Personaleinstellung;

Überprüfung auf ehrenamtliche Tätigkeiten, bei denen es zu direkten und regelmäßigen Kontakten mit Kindern oder schutzbedürftigen Personen kommt;

Visa-, Einbürgerungs- und Migrationsverfahren, einschließlich Asylverfahren, und

Überprüfungen im Zusammenhang mit öffentlichen Aufträgen und öffentlichen Auswahlverfahren.

In besonderen Fällen — außer in den Fällen, in denen ein Drittstaatsangehöriger bei der Zentralbehörde einen Antrag auf Informationen über die ihn betreffenden Strafregistereintragungen stellt, oder wenn der Antrag gestellt wird, um Strafregisterinformationen gemäß Artikel 10 Absatz 2 der Richtlinie 2011/93/EU zu erhalten — kann die Behörde, die Auskunft aus dem Strafregisterbeantragt, jedoch entscheiden, dass eine solche Nutzung des ECRIS-TCN nicht angezeigt ist.

(2)   Jeder Mitgliedstaat, der — sofern gemäß und entsprechend dem nationalen Recht vorgesehen — beschließt, das ECRIS-TCN für andere als die in Absatz 1 aufgeführten Zwecke zu nutzen, um über das ECRIS Informationen zu früheren Verurteilungen zu erhalten, teilt der Kommission bis zum Zeitpunkt der Aufnahme des Betriebs gemäß Artikel 35 Absatz 4 oder zu einem späteren Zeitpunkt diese anderen Zwecke sowie jede Änderung dieser Zwecke mit. Die Kommission veröffentlicht solche Mitteilungen im Amtsblatt der Europäischen Union innerhalb von 30 Tagen nach dem Eingang der Mitteilungen.

(3)   Eurojust, Europol und die EUStA sind berechtigt, gemäß den Artikeln 14 bis 18 das ECRIS-TCN abzufragen, um festzustellen, in welchen Mitgliedstaaten Strafregisterinformationen zu einem Drittstaatsangehörigen vorliegen. Diese Unionseinrichtungen und -agenturen sind allerdings nicht berechtigt, Daten in das ECRIS-TCN einzugeben oder darin enthaltene Daten zu berichtigen oder zu löschen.

(4)   Zu den Zwecken der Absätze 1, 2 und 3 können die zuständigen Behörden Abfragen im ECRIS-TCN auch durchführen, um zu überprüfen, ob zu einer Person, die die Unionsbürgerschaft besitzt, in einem Mitgliedstaat Strafregisterinformationen zu dieser Person als Drittstaatsangehörigem vorliegen.

(5)   Die zuständigen Behörden dürfen bei der Abfrage des ECRIS-TCN alle oder lediglich einige der in Artikel 5 Absatz 1 genannten Daten verwenden. Der zur Abfrage des Systems erforderliche Mindestdatensatz wird in einem Durchführungsrechtsakt festgelegt, der nach Artikel 10 Absatz 1 Buchstabe g erlassen wird.

(6)   Die zuständigen Behörden können Abfragen im ECRIS-TCN auch anhand von Gesichtsbildern durchführen, sofern diese Funktion gemäß Artikel 6 Absatz 2 in das System integriert ist.

(7)   Bei einem Treffer stellt das Zentralsystem der zuständigen Behörde automatisch Informationen darüber bereit, in welchen Mitgliedstaaten Strafregisterinformationen zu den betreffenden Drittstaatsangehörigen vorliegen, einschließlich der damit verbundenen nationalen Referenznummern und sämtlicher dazugehörigen Identitätsangaben. Diese Identitätsangaben dürfen nur verwendet werden, um die Identität des betreffenden Drittstaatsangehörigen nachzuweisen. Das Ergebnis einer Abfrage im Zentralsystem darf lediglich für die Zwecke eines Ersuchens nach Artikel 6 des Rahmenbeschlusses 2009/315/JI oder eines Ersuchens nach Artikel 17 Absatz 3 dieser Verordnung genutzt werden.

(8)   Wenn es keinen Treffer gibt, wird die zuständige Behörde automatisch vom Zentralsystem informiert.

KAPITEL III

Speicherung und Änderung der Daten

Artikel 8

Speicherfrist

(1)   Jeder Datensatz wird so lange im Zentralsystem gespeichert, wie die Daten zu der/den Verurteilung(en) der betreffenden Person in den Strafregistern gespeichert sind.

(2)   Nach Ablauf der in Absatz 1 genannten Speicherfrist löscht die Zentralbehörde des Urteilsmitgliedstaats den Datensatz einschließlich aller Fingerabdruckdaten oder Gesichtsbilder aus dem Zentralsystem. Die Löschung erfolgt nach Möglichkeit automatisch und in jedem Fall spätestens einen Monat nach Ablauf der Speicherfrist.

Artikel 9

Änderung und Löschung von Daten

(1)   Die Mitgliedstaaten dürfen die Daten, die sie in das ECRIS-TCN eingespeist haben, ändern oder löschen.

(2)   Wenn Informationen in den Strafregistern, auf deren Grundlage ein Datensatz nach Artikel 5 angelegt wurde, geändert werden, so führt der Urteilsmitgliedstaat unverzüglich dieselbe Änderung des im Zentralsystem gespeicherten Datensatzes durch.

(3)   Hat ein Urteilsmitgliedstaat Grund zu der Annahme, dass die von ihm im Zentralsystem gespeicherten Daten unrichtig sind oder dass bei der Verarbeitung der Daten im Zentralsystem gegen Bestimmungen dieser Verordnung verstoßen wurde, so wird er wie folgt tätig:

a)

Er leitet umgehend ein Verfahren zur Überprüfung der Richtigkeit der betreffenden Daten oder gegebenenfalls der Rechtmäßigkeit ihrer Verarbeitung ein;

b)

erforderlichenfalls berichtigt er die Daten unverzüglich oder löscht sie unverzüglich aus dem Zentralsystem.

(4)   Hat ein anderer Mitgliedstaat als der Urteilsmitgliedstaat, der die Daten eingespeist hat, Grund zu der Annahme, dass die im Zentralsystem gespeicherten Daten unrichtig sind oder dass bei der Verarbeitung der Daten im Zentralsystem gegen Bestimmungen dieser Verordnung verstoßen wurde, so benachrichtigt er unverzüglich die Zentralbehörde des Urteilsmitgliedstaats.

Der Urteilsmitgliedstaat wird wie folgt tätig:

a)

Er leitet umgehend ein Verfahren zur Überprüfung der Richtigkeit der betreffenden Daten oder gegebenenfalls der Rechtmäßigkeit ihrer Verarbeitung ein;

b)

erforderlichenfalls berichtigt er die Daten unverzüglich oder löscht sie unverzüglich aus dem Zentralsystem;

c)

er unterrichtet den anderen Mitgliedstaat unverzüglich über die Berichtigung oder Löschung der Daten oder über die Gründe, weshalb von einer Berichtigung oder Löschung abgesehen wurde.

KAPITEL IV

Entwicklung, Betrieb und Zuständigkeiten

Artikel 10

Erlass von Durchführungsrechtsakten durch die Kommission

(1)   Die Kommission erlässt so bald wie möglich die für die technische Entwicklung und Implementierung des ECRIS-TCN erforderlichen Durchführungsrechtsakte, insbesondere Bestimmungen über:

a)

die technischen Spezifikationen für die Verarbeitung von alphanumerischen Daten;

b)

die technischen Spezifikationen für die Qualität, Auflösung und Verarbeitung von Fingerabdruckdaten;

c)

die technischen Spezifikationen für die Schnittstellensoftware;

d)

die technischen Spezifikationen für die Qualität, Auflösung und Verarbeitung von Gesichtsbildern für die Zwecke und nach Maßgabe des Artikels 6;

e)

die Qualität der Daten, einschließlich eines Mechanismus und Verfahren zur Durchführung von Kontrollen zur Datenqualität;

f)

die Dateneingabe gemäß Artikel 5;

g)

den Zugang zum ECRIS-TCN und dessen Abfrage gemäß Artikel 7;

h)

die Änderung und Löschung von Daten gemäß den Artikeln 8 und 9;

i)

das Führen von Protokollen und den Zugang zu diesen gemäß Artikel 31;

j)

den Betrieb des Zentralregisters und die für das Zentralregister geltenden Datenschutz- und Sicherheitsvorschriften gemäß Artikel 32;

k)

die Erstellung von Statistiken gemäß Artikel 32;

l)

die Leistungs- und Verfügbarkeitskriterien des ECRIS-TCN, einschließlich Mindestspezifikationen und -anforderungen an die Verarbeitung und Speicherung biometrischer Daten des ECRIS-TCN insbesondere zu den maximal zulässigen Quoten der falsch positiven Identifizierungen und der falsch negativen Identifizierungen.

(2)   Die in Absatz 1 genannten Durchführungsrechtsakte werden nach dem in Artikel 38 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 11

Entwicklung und Betriebsmanagement des ECRIS-TCN

(1)   Für die Entwicklung des ECRIS-TCN nach dem Grundsatz des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen ist eu-LISA verantwortlich. Außerdem ist eu-LISA für das Betriebsmanagement des ECRIS-TCN verantwortlich. Die Entwicklung umfasst die Ausarbeitung und Anwendung der technischen Spezifikationen, die Erprobung und die Projektgesamtkoordination.

(2)   eu-LISA ist auch für die Weiterentwicklung und Wartung der ECRIS-Referenzimplementierung verantwortlich.

(3)   eu-LISA legt das Konzept für die physische Architektur des ECRIS-TCN einschließlich der technischen Spezifikationen und der Weiterentwicklung des Zentralsystems, der zentralen nationalen Zugangsstelle und der Schnittstellensoftware fest. Dieses Konzept wird, vorbehaltlich einer befürwortenden Stellungnahme der Kommission, vom Verwaltungsrat von eu-LISA verabschiedet.

(4)   eu-LISA sorgt dafür, dass das ECRIS-TCN so bald wie möglich nach Inkrafttreten dieser Verordnung und nach Erlass der in Artikel 10 genannten Durchführungsrechtsakte durch die Kommission entwickelt und implementiert wird.

(5)   Vor der Konzeptions- und Entwicklungsphase des ECRIS-TCN richtet der Verwaltungsrat von eu-LISA einen Programmverwaltungsrat ein, der aus zehn Mitgliedern besteht.

Dem Programmverwaltungsrat gehören acht vom Verwaltungsrat ernannte Mitglieder, der Vorsitzende der Beratergruppe nach Artikel 39 sowie ein von der Kommission ernanntes Mitglied an. Die vom Verwaltungsrat ernannten Mitglieder werden nur aus dem Kreis derjenigen Mitgliedstaaten gewählt, die nach dem Unionsrecht in vollem Umfang durch die für das ECRIS geltenden Rechtsinstrumente gebunden sind und die sich am ECRIS-TCN beteiligen werden. Der Verwaltungsrat sorgt dafür, dass die von ihm ernannten Mitglieder im Programmverwaltungsrat über die notwendige Erfahrung und Fachkompetenz in der Entwicklung und Verwaltung von IT-Systemen zur Unterstützung der Justiz- und Strafregisterbehörden verfügen.

eu-LISA beteiligt sich an den Arbeiten des Programmverwaltungsrats. Zu diesem Zweck nehmen Vertreter von eu-LISA an den Sitzungen des Programmverwaltungsrats teil, um über die Arbeiten an der Konzeption und Entwicklung des ECRIS-TCN und über weitere damit zusammenhängende Arbeiten und Tätigkeiten zu berichten.

Der Programmverwaltungsrat tritt mindestens alle drei Monate zusammen, nötigenfalls auch häufiger. Er gewährleistet die angemessene Verwaltung der Konzeptions- und Entwicklungsphase des ECRIS-TCN sowie die Kohärenz zwischen zentralen und nationalen ECRIS-TCN-Projekten und der nationalen Implementierungssoftware. Der Programmverwaltungsrat erstattet dem Verwaltungsrat von eu-LISA regelmäßig — nach Möglichkeit monatlich — schriftlich Bericht über die Fortschritte des Projekts. Der Programmverwaltungsrat hat keine Entscheidungsbefugnis und kein Mandat zur Vertretung der Mitglieder des Verwaltungsrats.

(6)   Der Programmverwaltungsrat legt seine Geschäftsordnung fest, in der insbesondere Folgendes geregelt ist:

a)

Vorsitz,

b)

Sitzungsorte,

c)

Vorbereitung von Sitzungen,

d)

Zulassung von Sachverständigen zu den Sitzungen,

e)

Kommunikationspläne, durch die gewährleistet ist, dass die nichtteilnehmenden Mitglieder des Verwaltungsrats lückenlos unterrichtet werden.

(7)   Den Vorsitz des Programmverwaltungsrats übernimmt ein Mitgliedstaat, der nach dem Unionsrecht in vollem Umfang durch die Rechtsinstrumente gebunden ist, die für das ECRIS und für die Entwicklung, die Errichtung, den Betrieb und die Nutzung aller von eu-LISA verwalteten IT-Großsysteme gelten.

(8)   eu-LISA trägt sämtliche Kosten für Reise und Aufenthalt, die den Mitgliedern des Programmverwaltungsrates entstehen. Artikel 10 der Geschäftsordnung von eu-LISA gilt entsprechend. Das Sekretariat des Programmverwaltungsrats wird von eu-LISA gestellt.

(9)   Während der Konzeptions- und Entwicklungsphase gehören der Beratergruppe nach Artikel 39 die nationalen ECRIS-TCN- -Projektmanager an, wobei eu-LISA den Vorsitz innehat. Während der Konzeptions- und Entwicklungsphase bis zur Aufnahme des Betriebs des ECRIS-TCN tritt die Gruppe regelmäßig, nach Möglichkeit mindestens einmal im Monat zusammen. Nach jeder Sitzung erstattet sie dem Programmverwaltungsrat Bericht. Sie stellt den technischen Sachverstand zur Unterstützung des Programmverwaltungsrats bei seinen Aufgaben bereit und überwacht den Stand der Vorbereitung in den Mitgliedstaaten.

(10)   Um die Vertraulichkeit und Integrität der im ECRIS-TCN gespeicherten Daten jederzeit zu gewährleisten, sorgt eu-LISA in Zusammenarbeit mit den Mitgliedstaaten für geeignete technische und organisatorische Maßnahmen, wobei der Stand der Technik, die Durchführungskosten und die durch die Verarbeitung entstehenden Risiken zu berücksichtigen sind.

(11)   eu-LISA ist für folgende Aufgaben im Zusammenhang mit der Kommunikationsinfrastruktur nach Artikel 4 Absatz 1 Buchstabe d zuständig:

a)

Überwachung,

b)

Sicherheit,

c)

Koordinierung der Beziehungen zwischen den Mitgliedstaaten und dem Betreiber der Kommunikationsinfrastruktur.

(12)   Für alle sonstigen Aufgaben im Zusammenhang mit der Kommunikationsinfrastruktur gemäß Artikel 4 Absatz 1 Buchstabe d ist die Kommission zuständig, insbesondere für:

a)

Aufgaben im Zusammenhang mit dem Haushaltsvollzug,

b)

Anschaffung und Erneuerung,

c)

vertragliche Fragen.

(13)   eu-LISA entwickelt und unterhält einen Mechanismus und Verfahren für die Durchführung von Kontrollen zur Qualität der im ECRIS-TCN gespeicherten Daten und erstattet den Mitgliedstaaten regelmäßig darüber Bericht. eu-LISA erstattet der Kommission regelmäßig Bericht über die aufgetretenen Probleme und die betroffenen Mitgliedstaaten.

(14)   Das Betriebsmanagement des ECRIS-TCN umfasst alle Aufgaben, die erforderlich sind, um das ECRIS-TCN nach Maßgabe dieser Verordnung betriebsbereit zu halten; dazu gehören insbesondere die Wartungsarbeiten und technischen Entwicklungen, die erforderlich sind, um sicherzustellen, dass das ECRIS-TCN in Übereinstimmung mit den technischen Spezifikationen mit zufriedenstellender Betriebsqualität funktioniert.

(15)   eu-LISA führt Aufgaben im Zusammenhang mit Schulungen zur technischen Nutzung des ECRIS-TCN und der ECRIS-Referenzimplementierung durch.

(16)   Unbeschadet des Artikels 17 des Statuts der Beamten der Europäischen Union gemäß der Verordnung (EWG, Euratom, EGKS) Nr. 259/68 (17) wendet eu-LISA angemessene Regeln zur Gewährleistung der beruflichen Schweigepflicht oder einer anderen vergleichbaren Geheimhaltungspflicht auf alle Bediensteten an, die mit im Zentralsystem gespeicherten Daten arbeiten. Diese Pflicht besteht auch nach dem Ausscheiden dieser Bediensteten aus dem Amt oder der Beendigung ihres Dienstverhältnisses oder ihrer Tätigkeit weiter.

Artikel 12

Zuständigkeiten der Mitgliedstaaten

(1)   Jeder Mitgliedstaat ist zuständig für:

a)

die Gewährleistung einer sicheren Verbindung zwischen seinen nationalen Strafregister- und Fingerabdruckdatenbanken und der zentralen nationalen Zugangsstelle;

b)

die Entwicklung, den Betrieb und die Wartung der Verbindung gemäß Buchstabe a;

c)

die Gewährleistung einer Verbindung zwischen seinen nationalen Systemen und der ECRIS-Referenzimplementierung;

d)

die Verwaltung und die Regelung des Zugangs von dazu ermächtigten Bediensteten der Zentralbehörden zum ECRIS-TCN gemäß dieser Verordnung, sowie die Erstellung und regelmäßige Aktualisierung eines Verzeichnisses der betreffenden Bediensteten und ihres jeweiligen, in Artikel 19 Absatz 3 Buchstabe g genannten Profils.

(2)   Jeder Mitgliedstaat stellt den Bediensteten seiner Zentralbehörden, die auf das ECRIS-TCN zugreifen dürfen, angemessene Schulungen insbesondere über die Vorschriften zu Datensicherheit und Datenschutz sowie über die anwendbaren Grundrechte bereit, bevor sie ermächtigt werden, im Zentralsystem gespeicherte Daten zu verarbeiten.

Artikel 13

Verantwortung für die Verwendung von Daten

(1)   Gemäß den anwendbaren Datenschutzvorschriften der Union stellt jeder Mitgliedstaat sicher, dass die im ECRIS-TCN erfassten Daten rechtmäßig verarbeitet werden und insbesondere, dass

a)

nur dazu ordnungsgemäß ermächtigte Bedienstete zum Zweck der Wahrnehmung ihrer Aufgaben Zugang zu den Daten haben;

b)

die Daten rechtmäßig und unter uneingeschränkter Achtung der Menschenwürde und der Grundrechte des Drittstaatsangehörigen erhoben werden;

c)

die Daten rechtmäßig in das ECRIS-TCN eingespeist werden;

d)

die Daten richtig und aktuell sind, wenn sie in das ECRIS-TCN eingespeist werden.

(2)   eu-LISA stellt sicher, dass das ECRIS-TCN gemäß dieser Verordnung, den delegierten Rechtsakten nach Artikel 6 Absatz 2 und den Durchführungsrechtsakten nach Artikel 10 sowie gemäß der Verordnung (EU) 2018/1725 betrieben wird. Insbesondere ergreift eu-LISA unbeschadet der Zuständigkeiten der einzelnen Mitgliedstaaten die nötigen Maßnahmen, um die Sicherheit des Zentralsystems und der Kommunikationsinfrastruktur gemäß Artikel 4 Absatz 1 Buchstabe d zu gewährleisten.

(3)   eu-LISA unterrichtet das Europäische Parlament, den Rat und die Kommission sowie den Europäischen Datenschutzbeauftragten so bald wie möglich über die Maßnahmen, die eu-LISA gemäß Absatz 2 für die Aufnahme des Betriebs des ECRIS-TCN ergreift.

(4)   Die Kommission stellt den Mitgliedstaaten und der Öffentlichkeit die in Absatz 3 genannten Informationen über eine regelmäßig aktualisierte öffentliche Website zur Verfügung.

Artikel 14

Zugang von Eurojust, Europol und der EUStA

(1)   Eurojust hat für die Durchführung des Artikels 17 und für die Erfüllung ihrer in Artikel 2 derVerordnung (EU) 2018/1727 genannten Aufgaben direkten Zugang zum ECRIS-TCN, um ermitteln zu können, in welchen Mitgliedstaaten Informationen zu vorherigen Verurteilungen von Drittstaatsangehörigen vorliegen.

(2)   Europol hat für die Erfüllung ihrer in Artikel 4 Absatz 1 Buchstaben a bis e und h der Verordnung (EU) 2016/794 genannten Aufgaben direkten Zugang zum ECRIS-TCN, um ermitteln zu können, in welchen Mitgliedstaaten Informationen zu vorherigen Verurteilungen von Drittstaatsangehörigen vorliegen.

(3)   Die EUStA hat für die Erfüllung ihrer in Artikel 4 der Verordnung (EU) 2017/1939 genannten Aufgaben direkten Zugang zum ECRIS-TCN, um ermitteln zu können, in welchen Mitgliedstaaten Informationen zu vorherigen Verurteilungen von Drittstaatsangehörigen vorliegen.

(4)   Wenn aus einem Treffer hervorgeht, in welchen Mitgliedstaaten Strafregisterinformationen zu einem Drittstaatsangehörigen vorliegen, können Eurojust, Europol und die EUStA die nationalen Behörden der betreffenden Mitgliedstaaten kontaktieren, um diese um Übermittlung der Strafregisterinformationen gemäß deren jeweiligen Gründungsrechtsakten zu ersuchen.

Artikel 15

Zugang der ermächtigten Bediensteten von Eurojust, Europol und der EUStA

Eurojust, Europol und die EUStA sind zuständig für die Verwaltung und die Regelung des Zugangs von dazu ordnungsgemäß ermächtigten Bediensteten zum ECRIS-TCN gemäß dieser Verordnung und für die Erstellung und regelmäßige Aktualisierung eines Verzeichnisses dieser Bediensteten und ihres jeweiligen Profils.

Artikel 16

Zuständigkeiten von Eurojust, Europol und der EUStA

Eurojust, Europol und die EUStA

a)

treffen die technischen Vorkehrungen für eine Verbindung zum ECRIS-TCN und sind für die Aufrechterhaltung dieser Verbindung zuständig;

b)

lassen ihren Bediensteten, die auf das ECRIS-TCN zugreifen dürfen, angemessene Schulungen, insbesondere über die Vorschriften über Datensicherheit und Datenschutz sowie die einschlägigen Grundrechte zukommen, bevor diese ermächtigt werden, im Zentralsystem gespeicherte Daten zu verarbeiten;

c)

sorgen dafür, dass die von ihnen im Rahmen dieser Verordnung verarbeiteten personenbezogenen Daten gemäß den geltenden Datenschutzbestimmungen geschützt sind.

Artikel 17

Kontaktstelle für Drittstaaten und internationale Organisationen

(1)   Drittstaaten und internationale Organisationen können für die Zwecke eines Strafverfahrens Ersuchen um Auskunft darüber, welche Mitgliedstaaten eventuell Strafregisterinformationen über Drittstaatsangehörige haben, an Eurojust richten. Dazu ist das Formblatt im Anhang dieser Verordnung zu verwenden.

(2)   Erhält Eurojust ein Ersuchen nach Absatz 1, so ermittelt es mit Hilfe des ECRIS-TCN die Mitgliedstaaten, in denen eventuell Strafregisterinformationen zu dem betreffenden Drittstaatsangehörigen vorliegen.

(3)   Gibt es einen Treffer, so fragt Eurojust bei dem Mitgliedstaat, in dem Strafregisterinformationen zu dem betreffenden Drittstaatsangehörigen vorliegen, an, ob dieser zustimmt, dass Eurojust dem Drittstaat oder der internationalen Organisation den Namen des betreffenden Mitgliedstaats mitteilt. Gibt der Mitgliedstaat seine Zustimmung, so teilt Eurojust dem Drittstaat oder der internationalen Organisation den Namen des betreffenden Mitgliedstaats mit und informiert den Drittstaat oder die internationale Organisation darüber, wie ein Ersuchen um Auszüge aus dem Strafregister bei diesem Mitgliedstaat nach Maßgabe der anwendbaren Verfahren eingereicht werden kann.

(4)   Gibt es keinen Treffer oder kann Eurojust ein nach diesem Artikel eingereichtes Ersuchen nicht gemäß Absatz 3 beantworten, so teilt Eurojust dem betreffenden Drittstaat oder der betreffenden internationalen Organisation mit, dass es das Verfahren abgeschlossen hat, ohne in irgendeiner Form anzugeben, ob in einem Mitgliedstaat Strafregisterinformationen zu der betreffenden Person vorliegen.

Artikel 18

Übermittlung von Informationen an einen Drittstaat, eine internationale Organisation oder eine private Stelle

Weder Eurojust, noch Europol, noch die EUStA noch eine Zentralbehörde darf Informationen aus dem ECRIS-TCN über einen Drittstaatsangehörigen an einen Drittstaat, eine internationale Organisation oder eine private Stelle weitergeben oder diesen zur Verfügung stellen. Dieser Artikel gilt unbeschadet des Artikels 17 Absatz 3.

Artikel 19

Datensicherheit

(1)   Unbeschadet der Zuständigkeiten der einzelnen Mitgliedstaaten ergreift eu-LISA die erforderlichen Maßnahmen, um unter Berücksichtigung der in Absatz 3 genannten Sicherheitsmaßnahmen die Sicherheit des ECRIS-TCN zu gewährleisten.

(2)   Für den Betrieb des ECRIS-TCN ergreift eu-LISA die erforderlichen Maßnahmen, um die in Absatz 3 genannten Ziele zu erreichen, einschließlich der Verabschiedung eines Sicherheitsplans sowie eines Notfallplans zur Aufrechterhaltung und eines Notfallplans zur Wiederherstellung des Betriebs, und um zu gewährleisten, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können.

(3)   Die Mitgliedstaaten gewährleisten die Datensicherheit vor und während der Übermittlung von Daten an die und während des Empfangs von Daten von der zentralen nationalen Zugangsstelle. Jeder Mitgliedstaat

a)

sorgt für den physischen Schutz der Daten, unter anderem durch Aufstellung von Notfallplänen für den Schutz der Infrastruktur;

b)

verwehrt Unbefugten den Zugang zu nationalen Einrichtungen, in denen der Mitgliedstaat Tätigkeiten im Zusammenhang mit dem ECRIS-TCN durchführt;

c)

verhindert, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können;

d)

verhindert die unbefugte Dateneingabe sowie die unbefugte Kenntnisnahme, Änderung oder Löschung gespeicherter personenbezogener Daten;

e)

verhindert die unbefugte Verarbeitung von Daten im ECRIS-TCN und die unbefugte Änderung oder Löschung von Daten, die im ECRIS-TCN verarbeitet werden;

f)

stellt sicher, dass die zum Zugang zum ECRIS-TCN berechtigten Personen nur mittels einer persönlichen Benutzerkennung und vertraulicher Zugriffsverfahren und ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können;

g)

stellt sicher, dass alle zum Zugang zum ECRIS-TCN berechtigten Behörden Profile mit einer Beschreibung der Aufgaben und Befugnisse der Personen erstellen, die berechtigt sind, die Daten einzugeben, zu berichtigen, zu löschen, abzufragen und zu durchsuchen, und stellt diese Profile den nationalen Aufsichtsbehörden auf deren Anfrage unverzüglich zur Verfügung;

h)

stellt sicher, dass überprüft und festgestellt werden kann, welchen Einrichtungen, Stellen und Agenturen der Union personenbezogene Daten unter Verwendung von Einrichtungen zur Datenübertragung übermittelt werden dürfen;

i)

stellt sicher, dass überprüft und festgestellt werden kann, welche Daten wann, von wem und zu welchem Zweck im ECRIS-TCN verarbeitet wurden;

j)

verhindert das unbefugte Lesen, Kopieren, Ändern oder Löschen von personenbezogenen Daten während der Übermittlung personenbezogener Daten an das oder aus dem ECRIS-TCN oder während des Transports von Datenträgern, insbesondere durch geeignete Verschlüsselungstechniken;

k)

überwacht die Wirksamkeit der in diesem Absatz genannten Sicherheitsmaßnahmen und trifft die erforderlichen organisatorischen Maßnahmen zur Eigenkontrolle und zur Kontrolle, um die Einhaltung dieser Verordnung sicherzustellen.

(4)   eu-LISA und die Mitgliedstaaten arbeiten zusammen, um für ein kohärentes Vorgehen im Bereich der Datensicherheit zu sorgen, das auf einem das ganze ECRIS-TCN umfassenden Verfahren zum Management von Sicherheitsrisiken beruht.

Artikel 20

Haftung

(1)   Jede Person und jeder Mitgliedstaat, der bzw. dem durch eine rechtswidrige Verarbeitung oder durch andere gegen diese Verordnung verstoßende Handlungen ein materieller oder immaterieller Schaden entsteht, hat das Recht, Schadenersatz zu verlangen von

a)

dem für den Schaden verantwortlichen Mitgliedstaat oder

b)

eu-LISA, wenn eu-Lisa ihren Verpflichtungen gemäß dieser Verordnung oder der Verordnung (EU) 2018/1725 nicht nachgekommen ist.

Der Mitgliedstaat, der für den entstandenen Schaden verantwortlich ist bzw. eu-LISA werden teilweise oder vollständig von ihrer Haftung befreit, wenn sie nachweisen, dass sie für den Umstand, durch den der Schaden eingetreten ist, nicht verantwortlich sind.

(2)   Für Schäden am ECRIS-TCN, die darauf zurückzuführen sind, dass ein Mitgliedstaat, Eurojust, Europol oder die EUStA seinen bzw. ihren Verpflichtungen aus dieser Verordnung nicht nachgekommen ist, haftet der betreffende Mitgliedstaat, Eurojust, Europol bzw. die EUSt, es sei denn und soweit eu-LISA oder ein anderer am ECRIS-TCN beteiligter Mitgliedstaat keine angemessenen Maßnahmen ergriffen hat, um den Schaden abzuwenden oder zu mindern.

(3)   Die Geltendmachung von Schadenersatzansprüchen nach den Absätzen 1 und 2 gegen einen Mitgliedstaat unterliegt dem Recht des beklagten Mitgliedstaats. Die Geltendmachung von Schadenersatzansprüchen nach den Absätzen 1 und 2 gegen eu-LISA, Eurojust, Europol oder die EUStA richtet sich nach deren jeweiligen Gründungsrechtsakten.

Artikel 21

Eigenkontrolle

Die Mitgliedstaaten stellen sicher, dass jede Zentralbehörde die erforderlichen Maßnahmen zur Einhaltung der Bestimmungen dieser Verordnung trifft und erforderlichenfalls mit den Aufsichtsbehörden zusammenarbeitet.

Artikel 22

Sanktionen

Jeder Missbrauch der in das ECRIS-TCN eingegebenen Daten wird gemäß einzelstaatlichem Recht oder Unionsrecht mit Sanktionen oder Disziplinarmaßnahmen geahndet, die wirksam, verhältnismäßig und abschreckend sind.

KAPITEL V

Datenschutzrechte und Datenschutzaufsicht

Artikel 23

Datenverantwortlicher und Datenverarbeiter

(1)   Jede Zentralbehörde gilt für die Verarbeitung personenbezogener Daten durch den Mitgliedstaat dieser Zentralbehörde im Rahmen dieser Verordnung als Datenverantwortlicher im Sinne der anwendbaren Datenschutzvorschriften der Union.

(2)   eu-LISA gilt für die von den Mitgliedstaaten in das Zentralsystem eingegebenen personenbezogenen Daten gemäß der Verordnung (EU) 2018/1725 als Datenverarbeiter.

Artikel 24

Zweck der Verarbeitung personenbezogener Daten

(1)   Die in das Zentralsystem eingegebenen Daten dürfen nur verarbeitet werden, um festzustellen, in welchen Mitgliedstaaten Strafregisterinformationen zu Drittstaatsangehörigen vorliegen.

(2)   Mit Ausnahme der dazu ordnungsgemäß ermächtigten Bediensteten von Eurojust, Europol und der EUStA, die Zugang zum ECRIS-TCN für die Zwecke dieser Verordnung haben, ist der Zugang zum ECRIS-TCN allein den dazu ordnungsgemäß ermächtigten Bediensteten der Zentralbehörden vorbehalten. Der Zugang ist gemäß dem in Absatz 1 genannten Zweck auf das für die Wahrnehmung der Aufgaben erforderliche Maß beschränkt und geht nicht über das hinaus, was für die verfolgten Ziele erforderlich und verhältnismäßig ist.

Artikel 25

Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung

(1)   Anträge von Drittstaatsangehörigen im Rahmen des in den geltenden Datenschutzbestimmungen der Union niedergelegten Rechts, Auskunft über personenbezogene Daten, die Berichtigung und Löschung sowie die Einschränkung der Verarbeitung personenbezogener Daten zu verlangen, können an die Zentralbehörde eines beliebigen Mitgliedstaats gerichtet werden.

(2)   Wird ein Antrag bei einem anderen als dem Urteilsmitgliedstaat gestellt, so leitet der Mitgliedstaat, bei dem der Antrag gestellt wurde, diesen unverzüglich, jedoch spätestens innerhalb von 10 Arbeitstagen nach Eingang des Antrags an den Urteilsmitgliedstaat weiter. Nach Eingang des Antrags geht der Urteilsmitgliedstaat wie folgt vor:

a)

Er leitet umgehend ein Verfahren zur Überprüfung der Richtigkeit der betreffenden Daten und der Rechtmäßigkeit ihrer Verarbeitung im ECRIS-TCN ein und

b)

er antwortet unverzüglich dem Mitgliedstaat, der den Antrag weitergeleitet hat.

(3)   Wenn im ECRIS-TCN erfasste Daten unrichtig sind oder unrechtmäßig verarbeitet wurden, so berichtigt oder löscht der Urteilsmitgliedstaat die Daten gemäß Artikel 9. Der Urteilsmitgliedstaat oder gegebenenfalls der Mitgliedstaat, an den der Antrag gerichtet wurde, bestätigt der betroffenen Person unverzüglich schriftlich, dass Maßnahmen zur Berichtigung bzw. Löschung der sie betreffenden Daten ergriffen wurden. Ferner unterrichtet der Urteilsmitgliedstaat unverzüglich alle anderen Mitgliedstaaten, die infolge einer Abfrage im ECRIS-TCN Informationen zu Verurteilungen erhalten haben, über die ergriffenen Maßnahmen.

(4)   Ist der Urteilsmitgliedstaat nicht der Ansicht, dass die im ECRIS-TCN gespeicherten Daten unrichtig sind oder unrechtmäßig verarbeitet wurden, so erlässt er eine Verwaltungsentscheidung oder eine gerichtliche Entscheidung, in der er der betroffenen Person schriftlich erläutert, warum er nicht zu einer Berichtigung oder Löschung der sie betreffenden Daten bereit ist. Solche Fälle können erforderlichenfalls der nationalen Aufsichtsbehörden gemeldet werden.

(5)   Der Mitgliedstaat, der eine Entscheidung gemäß Absatz 4 erlassen hat, teilt der betroffenen Person ferner mit, welche Schritte sie ergreifen kann, wenn sie mit der Erläuterung gemäß Absatz 4 nicht einverstanden ist. Hierzu gehören Angaben darüber, auf welche Weise bei den zuständigen Behörden oder Gerichten dieses Mitgliedstaats Klage erhoben bzw. ein Rechtsbehelf eingelegt werden kann, und darüber, ob gemäß dem Recht dieses Mitgliedstaats eine Unterstützung, unter anderem durch die nationalen Aufsichtsbehörden, vorgesehen ist.

(6)   Jeder Antrag nach Absatz 1 muss die zur Identifizierung der betroffenen Person notwendigen Informationen enthalten. Diese Daten werden ausschließlich verwendet, um dem Antragsteller die Wahrnehmung der in Absatz 1 genannten Rechte zu ermöglichen, und anschließend unverzüglich gelöscht.

(7)   Findet Absatz 2 Anwendung, so hält die Zentralbehörde, an die der Antrag gerichtet wurde, schriftlich fest, dass ein solcher Antrag gestellt wurde, die Art und Weise seiner Bearbeitung sowie, an welche Behörde der Antrag weitergeleitet wurde. Auf Antrag der nationalen Aufsichtsbehörden stellt die Zentralbehörde diese Aufzeichnung unverzüglich dieser Aufsichtsbehörde zur Verfügung. Die Zentralbehörde und die nationale Aufsichtsbehörde löschen die Aufzeichnung drei Jahre nach ihrer Anfertigung.

Artikel 26

Zusammenarbeit zur Gewährleistung der Datenschutzrechte

(1)   Die Zentralbehörden arbeiten zusammen, um die Gewährleistung der in Artikel 25 genannten Rechte sicherzustellen.

(2)   Die nationale Aufsichtsbehörde jedes Mitgliedstaats informiert auf Antrag jede betroffene Person darüber, wie sie ihr Recht auf Berichtigung oder Löschung der sie betreffenden Daten gemäß den geltenden Datenschutzvorschriften der Union ausüben kann.

(3)   Für die Zwecke dieses Artikels arbeitet die nationale Aufsichtsbehörde des Mitgliedstaats, der die Daten übermittelt hat, sowie die nationale Aufsichtsbehörde des Mitgliedstaats, bei der der Antrag gestellt wurde, zusammen.

Artikel 27

Rechtsbehelfe

Jede Person hat gemäß dem nationalen Recht oder dem Unionsrecht das Recht, eine Beschwerde oder einen Rechtsbehelf im Urteilsmitgliedstaat einzulegen, wenn dieser das in Artikel 25 vorgesehene Recht auf Auskunft über die diese Person betreffenden Daten oder das Recht auf Berichtigung oder Löschung dieser Daten verweigert hat.

Artikel 28

Kontrolle durch die nationalen Aufsichtsbehörden

(1)   Jeder Mitgliedstaat stellt sicher, dass die nach den anwendbaren Datenschutzvorschriften der Union benannten nationalen Aufsichtsbehörden die Rechtmäßigkeit der Verarbeitung personenbezogener Daten gemäß Artikel 5 und 6 durch den betreffenden Mitgliedstaat, einschließlich der Übermittlung an das und aus dem ECRIS-TCN, kontrollieren.

(2)   Die nationale Aufsichtsbehörde gewährleistet, dass die Datenverarbeitungsvorgänge in den nationalen Strafregister- und Fingerabdruckdatenbanken, die mit dem Datenaustausch zwischen diesen Systemen und dem ECRIS-TCN zusammenhängen, ab dem Tag der Aufnahme des Betriebs des ECRIS-TCN mindestens alle drei Jahre gemäß einschlägigen internationalen Prüfungsnormen überprüft werden.

(3)   Die Mitgliedstaaten stellen sicher, dass ihre nationalen Aufsichtsbehörden über ausreichende Ressourcen zur Wahrnehmung der Aufgaben verfügt, die ihnen mit dieser Verordnung übertragen werden.

(4)   Jeder Mitgliedstaat erteilt alle von seinen nationalen Aufsichtsbehörden erbetenen Auskünfte, insbesondere zu den Tätigkeiten, die gemäß den Artikeln 12, 13 und 19 durchgeführt wurden. Jeder Mitgliedstaat gewährt seinen nationalen Aufsichtsbehörden Zugang zu seinen Aufzeichnungen nach Artikel 25 Absatz 7 und zu seinen Protokollen gemäß Artikel 31 Absatz 6 und ermöglicht ihnen jederzeit Zutritt zu allen seinen, mit dem ECRIS-TCN in Verbindung stehenden, Räumlichkeiten.

Artikel 29

Kontrolle durch den Europäischen Datenschutzbeauftragten

(1)   Der Europäische Datenschutzbeauftragte überwacht, dass die das ECRIS-TCN betreffende Verarbeitung personenbezogener Daten durch eu-LISA nach Maßgabe dieser Verordnung erfolgt.

(2)   Der Europäische Datenschutzbeauftragte trägt dafür Sorge, dass die Verarbeitung personenbezogener Daten durch eu-LISA mindestens alle drei Jahre gemäß einschlägigen internationalen Prüfungsnormen überprüft wird. Der Prüfbericht wird dem Europäischen Parlament, dem Rat, der Kommission, eu-LISA, den Aufsichtsbehörden übermittelt. eu-LISA erhält Gelegenheit, vor der Annahme des Berichts eine Stellungnahme abzugeben.

(3)   eu-LISA erteilt die vom Europäischen Datenschutzbeauftragten erbetenen Auskünfte, gewährt ihm Zugang zu allen Dokumenten und zu ihren Protokollen nach Artikel 31 und ermöglicht ihm jederzeit Zutritt zu allen ihren Gebäuden.

Artikel 30

Zusammenarbeit zwischen den nationalen Aufsichtsbehörden und dem Europäischen Datenschutzbeauftragten

Eine koordinierte Aufsicht des ECRIS-TCN gemäß Artikel 62 der Verordnung (EU) 2018/1725 wird sichergestellt.

Artikel 31

Führen von Protokollen

(1)   eu-LISA und die zuständigen Behörden stellen gemäß ihren jeweiligen Zuständigkeiten sicher, dass alle Datenverarbeitungsvorgänge im ECRIS-TCN gemäß Absatz 2 zur Prüfung der Zulässigkeit von Anträgen, zur Überwachung der Datenintegrität und -sicherheit und der Rechtmäßigkeit der Datenverarbeitung sowie zur Eigenkontrolle aufgezeichnet werden.

(2)   Das Protokoll enthält folgende Angaben:

a)

den Zweck des Antrags auf Zugang zu ECRIS-TCN- Daten;

b)

die gemäß Artikel 5 übermittelten Daten;

c)

die nationale Referenznummer;

d)

das Datum und den genauen Zeitpunkt des Vorgangs;

e)

die für die Abfrage verwendeten Daten;

f)

die Kennung des Bediensteten, der die Abfrage vorgenommen hat.

(3)   Das Protokoll der Abfragen und Offenlegungen muss es ermöglichen, die Rechtmäßigkeit der Vorgänge nachzuvollziehen.

(4)   Die Protokolle dürfen nur zur Überwachung der Rechtmäßigkeit der Datenverarbeitung sowie zur Gewährleistung der Datenintegrität und -sicherheit verwendet werden. Für Kontrolle und Bewertung gemäß Artikel 36 dürfen nur Protokollen verwendet werden, die keine personenbezogenen Daten enthalten. Die Protokolle werden durch geeignete Maßnahmen vor unbefugtem Zugriff geschützt und nach drei Jahren gelöscht, sofern sie nicht für bereits eingeleitete Kontrollverfahren benötigt werden.

(5)   Auf Antrag stellt eu-LISA die Aufzeichnungen über ihre Datenverarbeitungsvorgänge den Zentralbehörden unverzüglich zur Verfügung.

(6)   Die für die Prüfung der Zulässigkeit des Antrags, die Überwachung der Rechtmäßigkeit der Datenverarbeitung und der Datenintegrität und -sicherheit zuständigen nationalen Aufsichtsbehörden haben auf Antrag zur Erfüllung ihrer Aufgaben Zugang zu diesen Protokollen. Auf Antrag stellen die Zentralbehörden die Protokolle über ihre Datenverarbeitungsvorgänge den zuständigen nationalen Aufsichtsbehörden unverzüglich zur Verfügung.

KAPITEL VI

Schlussbestimmungen

Artikel 32

Datenverwendung zur Erstellung von Berichten und Statistiken

(1)   Die dazu ordnungsgemäß ermächtigten Bediensteten von eu-LISA, der zuständigen Behörden und der Kommission dürfen auf die im ECRIS-TCN verarbeiteten Daten ausschließlich zur Erstellung von Berichten und Statistiken zugreifen, ohne dass die Identifizierung einzelner Personen möglich ist.

(2)   Für die Zwecke des Absatzes 1 sorgt eu-LISA an ihren technischen Standorten für die Einrichtung, die Bereitstellung und Betriebsführung eines Zentralregisters, das die Daten nach Absatz 1 enthält; dieses Register ermöglicht die Erstellung anpassbarer Berichte und Statistiken, ohne dass die Identifizierung einzelner Personen möglich ist. Der Zugang zum Zentralregister erfolgt durch einen gesicherten Zugang mit Zugangskontrollen und spezifischen Nutzerprofilen, die ausschließlich Berichterstattungs- und Statistikzwecken dienen.

(3)   Die von eu-LISA zur Überwachung der Funktionsweise des ECRIS-TCN eingeführten Verfahren gemäß Artikel 36 und die ECRIS-Referenzimplementierung schließen die Möglichkeit ein, regelmäßige Statistiken zu Überwachungszwecken zu erstellen.

eu-LISA übermittelt der Kommission jeden Monat Statistiken, die die Erfassung, die Speicherung und den über das ECRIS-TCN und die ECRIS-Referenzimplementierung erfolgten Austausch von Strafregisterinformationen betreffen. eu-LISA gewährleistet, dass eine Identifizierung einzelner Personen auf der Grundlage dieser Statistiken nicht möglich ist. eu-LISA stellt der Kommission auf deren Ersuchen Statistiken zu spezifischen Aspekten der Umsetzung dieser Verordnung zur Verfügung.

(4)   Die Mitgliedstaaten stellen eu-LISA die Statistiken zur Verfügung, die diese benötigt, um ihren in diesem Artikel genannten Pflichten nachzukommen. Sie stellen der Kommission Statistiken über die Zahl der verurteilten Drittstaatsangehörigen und über die Zahl der in ihrem Hoheitsgebiet erfolgten Verurteilungen von Drittstaatsangehörigen zur Verfügung.

Artikel 33

Kosten

(1)   Die Kosten im Zusammenhang mit der Einrichtung und dem Betrieb des Zentralsystems, der Kommunikationsinfrastruktur gemäß Artikel 4 Absatz 1 Buchstabe d, der Schnittstellensoftware und der ECRIS-Referenzimplementierung werden vom Gesamthaushaltsplans der Union getragen.

(2)   Die jeweiligen Kosten der Anbindung von Eurojust, Europol und der EUStA an das ECRIS-TCN gehen zulasten ihrer jeweiligen Haushalte.

(3)   Sonstige Kosten, insbesondere die Kosten der Anbindung der bestehenden nationalen Strafregister, der Fingerabdruckdatenbanken und der Zentralbehörden an das ECRIS-TCN sowie die Kosten der Betriebsführung der ECRIS-Referenzimplementierung gehen zulasten der Mitgliedstaaten.

Artikel 34

Mitteilungen

(1)   Jeder Mitgliedstaat teilt eu-LISA seine Zentralbehörde oder -behörden mit, die berechtigt ist bzw. sind, Daten einzugeben, zu berichtigen, zu löschen, abzufragen oder zu durchsuchen; zudem teilt er ihr gegebenenfalls Änderungen daran mit.

(2)   eu-LISA sorgt dafür, dass sowohl im Amtsblatt der Europäischen Union als auch auf ihrer Webseite eine Liste der von den Mitgliedstaaten gemeldeten Zentralbehörden veröffentlicht wird. eu-LISA aktualisiert die Liste unverzüglich, sobald ihr ein Mitgliedstaat eine Veränderung bei seiner Zentralbehörde meldet.

Artikel 35

Eingabe von Daten und Aufnahme des Betriebs

(1)   Sobald sich die Kommission vergewissert hat, dass die folgenden Voraussetzungen erfüllt sind, bestimmt sie den Tag, ab dem die Mitgliedstaaten mit der Eingabe der Daten nach Artikel 5 in das ECRIS-TCN beginnen:

a)

Die einschlägigen Durchführungsakte nach Artikel 10 sind angenommen worden;

b)

die Mitgliedstaaten haben die technischen und rechtlichen Vorkehrungen zur Erhebung der Daten nach Artikel 5 und zu ihrer Übermittlung an das ECRIS-TCN bestätigt und der Kommission mitgeteilt;

c)

eu-Lisa hat in Zusammenarbeit mit den Mitgliedstaaten einen umfassenden Test des ECRIS-TCN unter Verwendung anonymer Testdaten durchgeführt.

(2)   Nachdem die Kommission den Tag für den Beginn der Dateneingabe nach Absatz 1 bestimmt hat, teilt sie dieses Datum den Mitgliedstaaten mit. Binnen zweier Monate ab diesem Tag geben die Mitgliedstaaten unter Berücksichtigung von Artikel 41 Absatz 2 die Daten nach Artikel 5 in das ECRIS-TCN ein.

(3)   Nach Ablauf der in Absatz 2 genannten Frist führt eu-LISA in Zusammenarbeit mit den Mitgliedstaaten einen abschließenden Test des ECRIS-TCN durch.

(4)   Sobald der in Absatz 3 genannte Test erfolgreich abgeschlossen wurde und eu-LISA der Ansicht ist, dass das ECRIS-TCN betriebsbereit ist, teilt sie das der Kommission mit. Die Kommission unterrichtet das Europäische Parlament und den Rat über die Ergebnisse des Tests und legt den Termin für die Inbetriebnahme des ECRIS-TCN fest.

(5)   Der Beschluss der Kommission über den Tag der Inbetriebnahme des ECRIS-TCN gemäß Absatz 4 wird im Amtsblatt der Europäischen Union veröffentlicht.

(6)   Die Mitgliedstaaten beginnen mit der Nutzung des ECRIS-TCN ab dem von der Kommission gemäß Absatz 4 bestimmten Tag.

(7)   Bei Fassung der Beschlüsse nach diesem Artikel kann die Kommission unterschiedliche Termine für die Eingabe von alphanumerischen Daten und Fingerabdruckdaten gemäß Artikel 5 in das ECRIS-TCN sowie für die Inbetriebnahme für diese unterschiedlichen Datenkategorien angeben.

Artikel 36

Kontrolle und Bewertung

(1)   eu-LISA trägt dafür Sorge, dass Verfahren vorhanden sind, mit denen die Entwicklung des ECRIS-TCN anhand von Zielen für Planung und Kosten, sowie die Funktionsweise des ECRIS-TCN und der ECRIS-Referenzimplementierung anhand von Zielen für die technische Leistung, die Kostenwirksamkeit, die Sicherheit und die Dienstleistungsqualität überwacht werden kann.

(2)   Zur Überwachung der Funktionsweise des ECRIS-TCN und seiner technischen Wartung hat eu-LISA Zugang zu den erforderlichen Informationen über die Datenverarbeitungsvorgänge im ECRIS-TCN und in der ECRIS-Referenzimplementierung.

(3)   Bis zum 12. Dezember 2019 und danach alle sechs Monate während der Gestaltungs- und Entwicklungsphase übermittelt eu-LISA dem Europäischen Parlament und dem Rat einen Bericht über den Stand der Entwicklung des ECRIS-TCN und der ECRIS-Referenzimplementierung.

(4)   Der in Absatz 3 genannte Bericht umfasst einen Überblick über die aktuellen Kosten und den Projektfortschritt, eine Bewertung der finanziellen Auswirkungen sowie Informationen über alle technischen Probleme und Risiken, die sich auf die gemäß Artikel 33 vom Gesamthaushaltsplan der Union zu tragenden Gesamtkosten des ECRIS-TCN auswirken können.

(5)   Im Falle wesentlicher Verzögerungen des Entwicklungsprozesses informiert eu-LISA das Europäische Parlament und den Rat so bald wie möglich über die Gründe für diese Verzögerungen sowie über die zeitlichen und finanziellen Auswirkungen.

(6)   Sobald die Entwicklung des ECRIS-TCN und der ECRIS-Referenzimplementierung abgeschlossen ist, übermittelt eu-LISA dem Europäischen Parlament und dem Rat einen Bericht, in dem dargelegt wird, wie die Ziele, insbesondere bei Planung und Kosten, erreicht wurden, und in dem etwaige Abweichungen begründet werden.

(7)   Im Falle einer technischen Aufrüstung des ECRIS-TCN- s, die mit erheblichen Kosten verbunden sein könnte, unterrichtet eu-LISA das Europäische Parlament und den Rat entsprechend.

(8)   Zwei Jahre nach der Inbetriebnahme des ECRIS-TCN und danach jedes Jahr übermittelt eu-LISA der Kommission einen Bericht über die technische Funktionsweise des ECRIS-TCN und der ECRIS-Referenzimplementierung einschließlich ihrer Sicherheit, der insbesondere auf den Statistiken über die Funktionsweise und die Nutzung des ECRIS-TCN für den Austausch von Strafregisterinformationen über die ECRIS-Referenzimplementierung beruht.

(9)   Vier Jahre nach der Inbetriebnahme des ECRIS-TCN und danach alle vier Jahre nimmt die Kommission eine Gesamtbewertung des ECRIS-TCN und der ECRIS-Referenzimplementierung vor. In dem auf dieser Grundlage erstellten Gesamtbewertungsbericht wird die Anwendung dieser Verordnung bewertet und werden die erzielten Ergebnisse an den gesetzten Zielen gemessen und die Auswirkungen auf die Grundrechte untersucht. Im Bericht wird auch bewertet, ob die grundlegenden Prinzipien des Betriebs des ECRIS-TCN weiterhin Gültigkeit haben und ob die Verwendung biometrischer Daten für die Zwecke des ECRIS-TCN angemessen ist; ferner werden die Sicherheit des ECRIS-TCN und etwaige sicherheitsrelevante Auswirkungen auf den künftigen Betrieb bewertet. Die Bewertung umfasst erforderlichenfalls Empfehlungen. Die Kommission übermittelt den Bericht dem Europäischen Parlament, dem Rat, dem Europäischen Datenschutzbeauftragten und der Agentur der Europäischen Union für Grundrechte.

(10)   Bei der ersten Gesamtbewertung nach Absatz 5 wird außerdem auch

a)

bewertet, inwieweit laut den einschlägigen statistischen Angaben und weiteren Informationen der Mitgliedstaaten die Aufnahme von Identitätsangaben von Unionsbürgern, die auch die Staatsangehörigkeit eines Drittstaats besitzen, in das ECRIS-TCN zur Verwirklichung der Ziele dieser Verordnung beigetragen hat;

b)

überprüft, ob es für einige Mitgliedstaaten möglich ist, weiterhin die nationale ECRIS-Implementierungssoftware nach Artikel 4 zu verwenden;

c)

die Aufnahme von Fingerabdruckdaten in das ECRIS-TCN, insbesondere die Anwendung der Mindestkriterien gemäß Artikel 5 Absatz 1 Buchstabe b Ziffer ii bewertet;

d)

die Auswirkung des ECRIS und des ECRIS-TCN auf den Schutz personenbezogener Daten bewertet.

Der Bewertung können erforderlichenfalls Gesetzgebungsvorschläge beigefügt werden. Bei anschließenden Gesamtbewertungen können einer oder alle Aspekte bewertet werden.

(11)   Die Mitgliedstaaten, Eurojust, Europol und die EUStA stellen eu-LISA und der Kommission die Informationen zur Verfügung, die für die Ausarbeitung der in den Absätzen 3, 8 und 9 genannten Berichte entsprechend den von der Kommission und/oder eu-LISA zuvor festgelegten quantitativen Indikatoren erforderlich sind. Diese Informationen dürfen nicht zu einer Störung der Arbeitsverfahren führen oder Angaben enthalten, die Rückschlüsse auf Quellen, Bedienstete oder Ermittlungen gestatten.

(12)   Gegebenenfalls stellen die Aufsichtsbehörden eu-LISA und der Kommission die Informationen zur Verfügung, die für die Ausarbeitung der in Absatz 9 genannten Berichte entsprechend den von der Kommission und/oder eu-LISA zuvor festgelegten quantitativen Indikatoren erforderlich sind. Diese Informationen dürfen nicht zu einer Störung der Arbeitsverfahren führen oder Angaben enthalten, die Rückschlüsse auf Quellen, Bedienstete oder Ermittlungen gestatten.

(13)   eu-LISA stellt der Kommission die Informationen zur Verfügung, die zur Durchführung der in Absatz 9 genannten Gesamtbewertung erforderlich sind.

Artikel 37

Ausübung der Befugnisübertragung

(1)   Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.

(2)   Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 6 Absatz 2 wird der Kommission auf unbestimmte Zeit ab dem 11. Juni 2019 übertragen.

(3)   Die Befugnisübertragung gemäß Artikel 6 Absatz 2 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem im Beschluss über den Widerruf angegebenen späteren Zeitpunkt wirksam. Die Gültigkeit von delegierten Rechtsakten, die bereits in Kraft sind, wird von dem Beschluss über den Widerruf nicht berührt.

(4)   Vor dem Erlass eines delegierten Rechtsakts konsultiert die Kommission die von den einzelnen Mitgliedstaaten benannten Sachverständigen im Einklang mit den in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung enthaltenen Grundsätzen.

(5)   Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.

(6)   Ein delegierter Rechtsakt, der gemäß Artikel 6 Absatz 2 erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von zwei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben haben oder wenn vor Ablauf dieser Frist sowohl das Europäische Parlament als auch der Rat der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Initiative des Europäischen Parlaments oder des Rates wird diese Frist um zwei Monate verlängert.

Artikel 38

Ausschussverfahren

(1)   Die Kommission wird von einem Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.

(2)   Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.

Gibt der Ausschuss keine Stellungnahme ab, so erlässt die Kommission den Durchführungsrechtsakt nicht, und Artikel 5 Absatz 4 Unterabsatz 3 der Verordnung (EU) Nr. 182/2011 findet Anwendung.

Artikel 39

Beratergruppe

eu-LISA setzt eine Beratergruppe ein, um Fachkenntnisse über das ECRIS-TCN und die ECRIS-Referenzimplementierung insbesondere bei der Vorbereitung ihres Jahresarbeitsprogramms und ihres Jahrestätigkeitsberichts einzuholen. Während der Gestaltungs- und Entwicklungsphase findet Artikel 11 Absatz 9 Anwendung.

Artikel 40

Änderung der Verordnung (EU) 2018/1726

Die Verordnung (EU) 2018/1726 wird wie folgt geändert:

1.

Artikel 1 Absatz 4 erhält folgende Fassung:

„(4)   Die Agentur ist für die Konzeption, die Entwicklung und das Betriebsmanagement des Einreise-/Ausreisesystems (EES), von DubliNet, des Europäischen Reiseinformations- und -genehmigungssystems (ETIAS), des ECRIS-TCN und der ECRIS-Referenzimplementierung verantwortlich.“

2.

Folgender Artikel wird eingefügt:

„Artikel 8a

Aufgaben im Zusammenhang mit dem ECRIS-TCN und der ECRIS-Referenzimplementierung

Im Zusammenhang mit dem ECRIS-TCN und der ECRIS-Referenzimplementierung nimmt die Agentur die folgenden Aufgaben wahr:

a)

die ihr mit der Verordnung (EU) 2019/816 des Europäischen Parlaments und des Rates übertragenen Aufgaben (*1);

b)

Aufgaben im Zusammenhang mit Schulungen zur technischen Nutzung des ECRIS-TCN und der ECRIS-Referenzimplementierung.

(*1)  Verordnung (EU) 2019/816 des Europäischen Parlaments und des Rates vom 17. April 2019 zur Einrichtung eines zentralisierten Systems für die Ermittlung der Mitgliedstaaten, in denen Informationen zu Verurteilungen von Drittstaatsangehörigen und Staatenlosen vorliegen, sowie zur Ergänzung des Europäischen Strafregisterinformationssystems (ECRIS-TCN) und zur Änderung der Verordnung (EU) 2018/1726 (ABl. L 135 vom 22.5.2019, S. 1).“"

3.

Artikel 14 Absatz 1 erhält folgende Fassung:

„(1)   Die Agentur verfolgt die Entwicklungen in der Forschung, die für das Betriebsmanagement des SIS II, des VIS, des Eurodac, des EES, des ETIAS, des DubliNet, des ECRIS-TCN und anderer IT-Großsysteme im Sinne des Artikels 1 Absatz 5 von Belang sind.“

4.

Artikel 19 Absatz 1 wird wie folgt geändert:

a)

Buchstabe ee erhält folgende Fassung:

„ee)

die Berichte über den Stand der Entwicklung des EES nach Artikel 72 Absatz 2 der Verordnung (EU) 2017/2226, über den Stand der Entwicklung des ETIAS nach Artikel 92 Absatz 2 der Verordnung (EU) 2018/1240 und über den Stand der Entwicklung des ECRIS-TCN und der ECRIS-Referenzimplementierung nach Artikel 36 Absatz 3 der Verordnung (EU) 2019/816 anzunehmen;“

b)

Buchstabe ff. erhält folgende Fassung:

„ff)

die Berichte über die technische Funktionsweise des SIS II nach Artikel 50 Absatz 4 der Verordnung (EG) Nr. 1987/2006 und Artikel 66 Absatz 4 des Beschlusses 2007/533/JI, des VIS nach Artikel 50 Absatz 3 der Verordnung (EG) Nr. 767/2008 und Artikel 17 Absatz 3 des Beschlusses 2008/633/JI, des EES nach Artikel 72 Absatz 4 der Verordnung (EU) 2017/2226 und des ETIAS nach Artikel 92 Absatz 4 der Verordnung (EU) 2018/1240 sowie des ECRIS-TCN und der ECRIS-Referenzimplementierung nach Artikel 36 Absatz 8 der Verordnung (EU) 2019/816 anzunehmen;“

c)

Buchstabe hh erhält folgende Fassung:

„hh)

zu den Berichten des Europäischen Datenschutzbeauftragten über die Überprüfungen gemäß nach Artikel 45 Absatz 2 der Verordnung (EG) Nr. 1987/2006, Artikel 42 Absatz 2 der Verordnung (EG) Nr. 767/2008, Artikel 31 Absatz 2 der Verordnung (EU) Nr. 603/2013, Artikel 56 Absatz 2 der Verordnung (EU) 2017/2226, Artikel 67 der Verordnung (EU) 2018/1240 und Artikel 29 Absatz 2 der Verordnung (EU) 2019/816 förmliche Stellungnahmen anzunehmen und für geeignete Folgemaßnahmen zu diesen Überprüfungen zu sorgen;“

d)

Folgender Buchstabe wird eingefügt:

„lla)

der Kommission Statistiken zum ECRIS-TCN und zur ECRIS-Referenzimplementierung gemäß Artikel 32 Absatz 4 Unterabsatz 2 der Verordnung (EU) 2019/816 vorzulegen;“

e)

Buchstabe mm erhält folgende Fassung:

„mm)

die jährliche Veröffentlichung folgender Auflistungen sicherzustellen: der Liste der zuständigen Behörden, die nach Artikel 31 Absatz 8 der Verordnung (EG) Nr. 1987/2006 und Artikel 46 Absatz 8 des Beschlusses 2007/533/JI berechtigt sind, die im SIS II gespeicherten Daten unmittelbar abzufragen, zusammen mit einer Liste der Stellen der nationalen Systeme des SIS II (N.SIS-II-Stellen) und der SIRENE-Büros nach Artikel 7 Absatz 3 der Verordnung (EG) Nr. 1987/2006 und Artikel 7 Absatz 3 des Beschlusses 2007/533/JI und der Liste der zuständigen Behörden nach Artikel 65 Absatz 2 der Verordnung (EU) 2017/2226, der Liste der zuständigen Behörden nach Artikel 87 Absatz 2 der Verordnung (EU) 2018/1240 und der Liste der Zentralbehörden nach Artikel 34 Absatz 2 der Verordnung (EU) 2019/816;“

5.

In Artikel 22 Absatz 4 wird nach dem dritten Unterabsatz folgender Unterabsatz eingefügt:

„Eurojust, Europol und die EUStA können auch an den Sitzungen des Verwaltungsrats als Beobachter teilnehmen, wenn eine Angelegenheit des ECRIS-TCN s, die die Anwendung der Verordnung (EU) 2019/816 betrifft, auf der Tagesordnung steht.“

6.

Artikel 24 Absatz 3 Buchstabe p erhält folgende Fassung:

„p)

unbeschadet des Artikels 17 des Statuts der Beamten Geheimhaltungsvorschriften festzulegen, um Artikel 17 der Verordnung (EG) Nr. 1987/2006, Artikel 17 des Beschlusses 2007/533/JI, Artikel 26 Absatz 9 der Verordnung (EG) Nr. 767/2008, Artikel 4 Absatz 4 der Verordnung (EU) Nr. 603/2013, Artikel 37 Absatz 4 der Verordnung (EU) 2017/2226, Artikel 74 Absatz 2 der Verordnung (EU) 2018/2140 und Artikel 11 Absatz 16 der Verordnung (EU) 2019/816 nachzukommen;“

7.

In Artikel 27 Absatz 1 wird folgender Buchstabe eingefügt:

„(da)

die ECRIS-TCN Beratergruppe;“.

Artikel 41

Umsetzung und Übergangsbestimmungen

(1)   Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um dieser Verordnung so bald wie möglich nachzukommen, um das ordnungsgemäße Funktionieren des ECRIS-TCN zu gewährleisten.

(2)   Die Zentralbehörden legen für Urteile, die vor dem Tag des Beginns der Dateneingabe gemäß Artikel 35 Absatz 1 ergangen sind, wie folgt individuelle Datensätze im Zentralsystem an:

a)

alphanumerische Daten werden bis zum Ablauf der in Artikel 35 Absatz 2 genannten Frist in das Zentralsystem eingegeben;

b)

Fingerabdruckdaten werden innerhalb von zwei Jahren nach der Inbetriebnahme gemäß Artikel 35 Absatz 5 in das Zentralsystem eingegeben.

Artikel 42

Inkrafttreten

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt gemäß den Verträgen unmittelbar in den Mitgliedstaaten.

Geschehen zu Straßburg am 17. April 2019.

Im Namen des Europäischen Parlaments

Der Präsident

A. TAJANI

Im Namen des Rates

Der Präsident

G. CIAMBA


(1)  Stellungnahme des Europäischen Parlaments vom 12. März 2019 (noch nicht im Amtsblatt veröffentlicht) und Beschluss des Rates vom 9. April 2019.

(2)  Rahmenbeschluss 2008/675/JI des Rates vom 24. Juli 2008 zur Berücksichtigung der in anderen Mitgliedstaaten der Europäischen Union ergangenen Verurteilungen in einem neuen Strafverfahren (ABl. L 220 vom 15.8.2008, S. 32).

(3)  Rahmenbeschluss 2009/315/JI des Rates vom 26. Februar 2009 über die Durchführung und den Inhalt des Austauschs von Informationen aus dem Strafregister zwischen den Mitgliedstaaten (ABl. L 93 vom 7.4.2009, S. 23).

(4)  Beschluss 2009/316/JI des Rates vom 6. April 2009 zur Einrichtung des Europäischen Strafregisterinformationssystems (ECRIS) gemäß Artikel 11 des Rahmenbeschlusses 2009/315/JI (ABl. L 93 vom 7.4.2009, S. 33).

(5)  Verordnung (EU) 2018/1726 des Europäischen Parlaments und des Rates vom 14. November 2018 über die Agentur der Europäischen Union für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA), zur Änderung der Verordnung (EG) Nr. 1987/2006 und des Beschlusses 2007/533/JI des Rates sowie zur Aufhebung der Verordnung (EU) Nr. 10772011 (ABl. L 295 vom 21.11.2018, S. 99).

(6)  Richtlinie 2011/92/EU des Europäischen Parlaments und des Rates vom 13. Dezember 2011 zur Bekämpfung des sexuellen Missbrauchs und der sexuellen Ausbeutung von Kindern sowie der Kinderpornografie sowie zur Ersetzung des Rahmenbeschlusses 2004/68/JI des Rates (ABl. L 335 vom 17.12.2011, S. 1).

(7)  Verordnung (EU) 2018/1727 des Europäischen Parlaments und des Rates vom 14. November 2018 betreffend die Agentur der Europäischen Union für justizielle Zusammenarbeit in Strafsachen (Eurojust) und zur Ersetzung und Aufhebung des Beschlusses 2002/187/JI des Rates (ABl. L 295 vom 21.11.2018, S. 138).

(8)  Verordnung (EU) 2016/794 des Europäischen Parlaments und des Rates vom 11. Mai 2016 über die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) und zur Ersetzung und Aufhebung der Beschlüsse 2009/371/JI, 2009/934/JI, 2009/935/JI, 2009/936/JI und 2009/968/JI des Rates (ABl. L 135 vom 24.5.2016, S. 53).

(9)  Verordnung (EU) 2017/1939 des Rates vom 12. Oktober 2017 zur Durchführung einer Verstärkten Zusammenarbeit zur Errichtung der Europäischen Staatsanwaltschaft (EUStA) (ABl. L 283 vom 31.10.2017, S. 1).

(10)  Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89).

(11)  Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).

(12)  Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39).

(13)  ABl. L 123 vom 12.5.2016, S. 1.

(14)  Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13).

(15)  Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1).

(16)  ABl. C 55 vom 14.2.2018, S. 4.

(17)  ABl. L 56 vom 4.3.1968, S. 1.


ANHANG

STANDARDFORMBLATT FÜR AUSKUNFTSERSUCHEN GEMÄSS ARTIKEL 17 ABSATZ 1 DER VERORDNUNG (EU) 2019/816 ZUR EINHOLUNG VON INFORMATIONEN DARÜBER, IN WELCHEM MITGLIEDSTAAT EVENTUELL STRAFREGISTERINFORMATIONEN ÜBER EINEN DRITTSTAATSANGEHÖRIGEN VORLIEGEN

Image 1 Text von Bild

Top