27.7.2021   

DE

Amtsblatt der Europäischen Union

L 267/1


DURCHFÜHRUNGSVERORDNUNG (EU) 2021/1217 DER KOMMISSION

vom 26. Juli 2021

zur Festlegung der Vorschriften und Bedingungen für Überprüfungsabfragen von Beförderungsunternehmern, Bestimmungen über Datenschutz und Sicherheit des Authentifizierungssystems der Beförderungsunternehmen sowie für Ausweichverfahren im Falle der technischen Unmöglichkeit

DIE EUROPÄISCHE KOMMISSION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) 2018/1240 des Europäischen Parlaments und des Rates vom 12. September 2018 über die Einrichtung eines Europäischen Reiseinformations- und -genehmigungssystems (ETIAS) und zur Änderung der Verordnungen (EU) Nr. 1077/2011, (EU) Nr. 515/2014, (EU) 2016/399, (EU) 2016/1624 und (EU) 2017/2226 (1), insbesondere auf Artikel 45 Absätze 2 und 3 sowie Artikel 46 Absatz 4,

in Erwägung nachstehender Gründe:

(1)

Mit der Verordnung (EU) 2018/1240 wurde das Europäische Reiseinformations- und -genehmigungssystem (European Travel Information and Authorisation System, im Folgenden „ETIAS“) eingerichtet, das für von der Visumpflicht befreite Drittstaatsangehörige gilt, die in das Hoheitsgebiet der Mitgliedstaaten einreisen möchten.

(2)

Ziel dieser Verordnung ist es, Vorschriften und Bedingungen für von Beförderungsunternehmern durchgeführte Überprüfungsabfragen festzulegen sowie Bestimmungen für Datenschutz und Sicherheit des Authentifizierungssystems der Beförderungsunternehmen und für Ausweichverfahren im Falle der technischen Unmöglichkeit zu erlassen. Die in dieser Verordnung festgelegten Verpflichtungen gelten für Beförderungsunternehmer im Luft- und Seeverkehr sowie für internationale Beförderungsunternehmer, die Gruppen von Personen in Autobussen befördern und sich in das Hoheitsgebiet der Mitgliedstaaten begeben.

(3)

Gemäß Artikel 45 Absatz 1 der Verordnung (EU) 2018/1240 müssen im Luft- und Seeverkehr tätige Beförderungsunternehmer sowie international tätige Beförderungsunternehmer, die Gruppen von Personen in Autobussen befördern, anhand einer ETIAS-Abfrage überprüfen, ob Reisende, die der Reisegenehmigungspflicht unterliegen, im Besitz einer gültigen Reisegenehmigung sind. Diese Abfrage hat über einen gesicherten Zugriff auf einen Zugang für Beförderungsunternehmen zu erfolgen.

(4)

Der Zugriff der Beförderungsunternehmer auf die Schnittstelle für Beförderungsunternehmer sollte über ein Authentifizierungssystem erfolgen. In dieser Durchführungsverordnung sollten Datenschutz- und Sicherheitsvorschriften festgelegt werden, die für das Authentifizierungssystem gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2018/1240 gelten, um Beförderungsunternehmern den ausschließlichen Zugriff auf den Zugang für Beförderungsunternehmen zu ermöglichen.

(5)

Damit Beförderungsunternehmer, die im Hoheitsgebiet der Mitgliedstaaten tätig sind und Passagiere dorthin befördern, ihre Verpflichtungen erfüllen können, sollten sie auf den Zugang für Beförderungsunternehmen zugreifen können.

(6)

Es sollten technische Vorschriften zum Nachrichtenformat und zum Authentifizierungssystem erlassen werden, um Beförderungsunternehmern die Verbindung mit dem und die Nutzung des Zugangs für Beförderungsunternehmen zu ermöglichen, der in den technischen Leitlinien zu spezifizieren ist, die zu den von der Agentur der Europäischen Union für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA) zu erlassenden technischen Spezifikationen gemäß Artikel 73 der Verordnung (EU) 2018/1240 gehören.

(7)

Die Beförderungsunternehmer sollten die Möglichkeit haben anzugeben, dass Passagiere nicht in den Anwendungsbereich der Verordnung (EU) 2018/1240 fallen; in diesem Fall sollten die Beförderungsunternehmer vom Zugang für Beförderungsunternehmen ohne Abfrage der Datenbank, auf die nur Lesezugriff besteht, und ohne Protokollierung eine automatische „Not applicable“-Antwort („nicht anwendbar“) erhalten.

(8)

Diese Verordnung sollte für Beförderungsunternehmer im Luft- und Seeverkehr sowie für internationale Beförderungsunternehmer gelten, die Gruppen von Personen in Autobussen befördern und sich in das Hoheitsgebiet der Mitgliedstaaten begeben. Vor dem Einsteigen können Grenzkontrollen hinsichtlich der Einreise in das Hoheitsgebiet der Mitgliedstaaten erfolgen. In diesen Fällen sollten Beförderungsunternehmer von der Pflicht entbunden werden, den Status der Reisegenehmigung der Reisenden zu überprüfen.

(9)

Im Einklang mit Artikel 83 der Verordnung (EU) 2018/1240 sollten während des Übergangszeitraums und der Schonfrist die für die Beförderungsunternehmer geltenden Vorschriften an die Besonderheiten dieser Zeiträume angepasst werden. Reisenden sollte es während des Übergangszeitraums gestattet sein, ohne Reisegenehmigung einzureisen, da diese Genehmigung fakultativ sein sollte. Auf den Übergangszeitraum folgt eine Schonfrist, während der es Reisenden erlaubt sein sollte, ohne Reisegenehmigung in das Schengen-Gebiet einzureisen, sofern es sich um ihre erste Einreise während dieser Schonfrist handelt.

(10)

Um sicherzustellen, dass die Informationen, auf denen die Überprüfungsabfrage beruht, so aktuell wie möglich sind, sollten Abfragen nicht früher als 48 Stunden vor dem geplanten Abreisezeitpunkt durchgeführt werden.

(11)

Passagiere, die im Besitz einer gültigen Reisegenehmigung sein müssen, sollten als im Besitz einer solchen Genehmigung gelten, wenn der Beförderungsunternehmer innerhalb von 48 Stunden vor dem geplanten Abreisezeitpunkt die Schnittstelle für Beförderungsunternehmer abgefragt und die Antwort „OK“ erhalten hat. Unter bestimmten Umständen ist ein Beförderungsunternehmer aufgrund eines technischen Ausfalls eines Teils des ETIAS-Informationssystems möglicherweise nicht in der Lage, eine Abfrage gemäß Artikel 45 Absatz 1 der Verordnung (EU) 2018/1240 durchzuführen. Um mögliche nachteilige Folgen eines solchen Ausfalls zu begrenzen, müssen detaillierte Bestimmungen für die Ausweichverfahren gemäß Artikel 46 der Verordnung (EU) 2018/1240 festgelegt werden.

(12)

Um sicherzustellen, dass die Daten, auf die die Beförderungsunternehmer zugreifen, richtig sind und mit den im ETIAS gespeicherten Daten übereinstimmen, sollte die in Artikel 45 Absatz 4 der Verordnung (EU) 2018/1240 benannte Datenbank, auf die nur Lesezugriff besteht, bei Bedarf aktualisiert werden.

(13)

Die Kommission, eu-LISA und die Mitgliedstaaten sollten sich bemühen, alle bekannten Beförderungsunternehmer darüber zu informieren, wie und wann sie sich registrieren können. Nach erfolgreichem Abschluss des Registrierungsverfahrens und gegebenenfalls erfolgreichem Abschluss der Tests sollte eu-LISA den Beförderungsunternehmer an die Schnittstelle für Beförderungsunternehmer anbinden.

(14)

Die Beförderungsunternehmer sollten auf ein Online-Formular auf einer öffentlichen Website zugreifen können, über das sie Unterstützung anfordern können. Bei der Anforderung von Unterstützung sollten Beförderungsunternehmer eine Eingangsbestätigung mit einer Ticketnummer erhalten. eu-LISA oder die ETIAS-Zentralstelle können Beförderungsunternehmer, die ein Ticket erhalten haben, mit allen erforderlichen Mitteln einschließlich per Telefon kontaktieren, um angemessen auf die Anforderung zu antworten.

(15)

Diese Verordnung berührt nicht die Anwendung der Richtlinie 2004/38/EG des Europäischen Parlaments und des Rates (2).

(16)

Nach den Artikeln 1 und 2 des dem Vertrag über die Europäische Union und dem Vertrag über die Arbeitsweise der Europäischen Union beigefügten Protokolls Nr. 22 über die Position Dänemarks hat sich Dänemark nicht an der Annahme der Verordnung (EU) 2018/1240 beteiligt und ist somit weder durch diese Verordnung gebunden noch zu ihrer Anwendung verpflichtet. Da die Verordnung (EU) 2018/1240 den Schengen-Besitzstand jedoch ergänzt, hat Dänemark im Einklang mit Artikel 4 des genannten Protokolls am 21. Dezember 2018 seinen Beschluss mitgeteilt, die Verordnung (EU) 2018/1240 in nationales Recht umzusetzen.

(17)

Diese Verordnung stellt eine Weiterentwicklung der Bestimmungen des Schengen-Besitzstands dar, an denen sich Irland nicht beteiligt. (3) Irland beteiligt sich daher nicht an der Annahme dieser Verordnung und ist weder durch diese Verordnung gebunden noch zu ihrer Anwendung verpflichtet.

(18)

Für Island und Norwegen stellt diese Verordnung eine Weiterentwicklung der Bestimmungen des Schengen-Besitzstands im Sinne des Übereinkommens zwischen dem Rat der Europäischen Union sowie der Republik Island und dem Königreich Norwegen über die Assoziierung der beiden letztgenannten Staaten bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands (4) dar, die zu dem in Artikel 1 Buchstabe A des Beschlusses 1999/437/EG des Rates (5) genannten Bereich gehören.

(19)

Für die Schweiz stellt diese Verordnung eine Weiterentwicklung der Bestimmungen des Schengen-Besitzstands im Sinne des Abkommens zwischen der Europäischen Union, der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Assoziierung der Schweizerischen Eidgenossenschaft bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands (6) dar, die zu dem in Artikel 1 Buchstabe A des Beschlusses 1999/437/EG des Rates in Verbindung mit Artikel 3 des Beschlusses 2008/146/EG des Rates (7) genannten Bereich gehören.

(20)

Für Liechtenstein stellt diese Verordnung eine Weiterentwicklung der Bestimmungen des Schengen-Besitzstands im Sinne des Protokolls zwischen der Europäischen Union, der Europäischen Gemeinschaft, der Schweizerischen Eidgenossenschaft und dem Fürstentum Liechtenstein über den Beitritt des Fürstentums Liechtenstein zu dem Abkommen zwischen der Europäischen Union, der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Assoziierung der Schweizerischen Eidgenossenschaft bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands (8) dar, die zu dem in Artikel 1 Buchstabe A des Beschlusses 1999/437/EG des Rates in Verbindung mit Artikel 3 des Beschlusses 2011/350/EU des Rates (9) genannten Bereich gehören.

(21)

Für Zypern, Bulgarien, Rumänien und Kroatien stellt diese Verordnung einen auf dem Schengen-Besitzstand aufbauenden oder anderweitig damit zusammenhängenden Rechtsakt jeweils im Sinne des Artikels 3 Absatz 1 der Beitrittsakte von 2003, des Artikels 4 Absatz 1 der Beitrittsakte von 2005 und des Artikels 4 Absatz 1 der Beitrittsakte von 2011 dar.

(22)

Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (10) angehört und hat am 30. April 2021 eine Stellungnahme abgegeben.

(23)

Die in dieser Verordnung vorgesehenen Maßnahmen stehen mit der Stellungnahme des Ausschusses „Intelligente Grenzen“ (ETIAS) im Einklang —

HAT FOLGENDE VERORDNUNG ERLASSEN:

Artikel 1

Gegenstand

Mit dieser Verordnung wird Folgendes festgelegt:

a)

die detaillierten Bestimmungen und Voraussetzungen für den Betrieb des Zugangs für Beförderungsunternehmen und die für den Zugang für Beförderungsunternehmen geltenden Datenschutz- und Sicherheitsvorschriften gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1240;

b)

ein Authentifizierungssystem für Beförderungsunternehmer, das ihnen die Erfüllung ihrer Verpflichtungen gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2018/1240 ermöglicht, sowie detaillierte Bestimmungen und Voraussetzungen für die Registrierung der Beförderungsunternehmer, damit diese Zugriff auf das Authentifizierungssystem erhalten;

c)

Einzelheiten gemäß Artikel 46 Absatz 4 der Verordnung (EU) 2018/1240 zu den Verfahren, die zu befolgen sind, wenn es den Beförderungsunternehmern technisch nicht möglich ist, auf den Zugang für Beförderungsunternehmen zuzugreifen.

Artikel 2

Begriffsbestimmungen

Für die Zwecke der vorliegenden Verordnung bezeichnet der Ausdruck

1.

„Schnittstelle für Beförderungsunternehmer“ den Zugang für Beförderungsunternehmen, der von eu-LISA im Einklang mit Artikel 73 Absatz 3 der Verordnung (EU) 2018/1240 zu entwickeln ist und aus einer IT-Schnittstelle besteht, die an eine Datenbank, auf die nur Lesezugriff besteht, angebunden ist;

2.

„technische Leitlinien“ den Teil der in Artikel 73 Absatz 3 der Verordnung (EU) 2018/1240 genannten technischen Spezifikationen, der für Beförderungsunternehmer relevant ist für die Implementierung des Authentifizierungssystems und die Entwicklung des Nachrichtenformats der in Artikel 4 Absatz 2 Buchstabe a genannten Programmierschnittstelle;

3.

„gebührend ermächtigte Mitarbeiter“ vom Beförderungsunternehmer beschäftigte oder vertraglich verpflichtete natürliche Personen sowie sonstige der Weisung oder Aufsicht des Beförderungsunternehmers unterstehende juristische oder natürliche Personen, die damit beauftragt sind, im Namen des Beförderungsunternehmers und im Einklang mit Artikel 45 Absatz 1 der Verordnung (EU) 2018/1240 den Status der Reisenden zu überprüfen.

Artikel 3

Pflichten der Beförderungsunternehmer

(1)   Die Beförderungsunternehmer führen über die Schnittstelle für Beförderungsunternehmer eine Abfrage gemäß Artikel 45 Absatz 1 der Verordnung (EU) 2018/1240 („Überprüfungsabfrage“) durch.

(2)   Die Überprüfungsabfrage darf frühestens 48 Stunden vor dem geplanten Abreisezeitpunkt erfolgen.

(3)   Die Beförderungsunternehmer stellen sicher, dass nur gebührend ermächtigte Mitarbeiter auf die Schnittstelle für Beförderungsunternehmer zugreifen können. Die Beförderungsunternehmer richten mindestens die folgenden Mechanismen ein:

a)

physische und logische Zugriffskontrollmechanismen, um unbefugten Zugriff auf die Infrastruktur oder Systeme, die von den Beförderungsunternehmern verwendet werden, zu verhindern;

b)

Authentifizierung;

c)

Protokollierung zur Sicherstellung der Rückverfolgbarkeit von Zugriffen;

d)

regelmäßige Prüfung der Zugriffsrechte.

Artikel 4

Verbindung mit der und Zugriff auf die Schnittstelle für Beförderungsunternehmer

(1)   Die Beförderungsunternehmer verbinden sich über eine der folgenden Arten mit der Schnittstelle für Beförderungsunternehmer:

a)

über eine spezifische Netzwerkverbindung;

b)

über eine Internetverbindung.

(2)   Die Beförderungsunternehmer greifen über eine der folgenden Arten auf die Schnittstelle für Beförderungsunternehmer zu:

a)

über eine Schnittstelle zwischen Systemen (Programmierschnittstelle);

b)

über eine Web-Schnittstelle (Browser);

c)

über eine Anwendung für Mobilgeräte.

Artikel 5

Abfragen

(1)   Um die Überprüfungsabfrage zu senden, muss der Beförderungsunternehmer die folgenden Daten von Reisenden angeben:

a)

Nachname (Familienname); Vorname oder Vornamen;

b)

Geburtsdatum, Geschlecht und Staatsangehörigkeit;

c)

Art und Nummer des Reisedokuments sowie den aus drei Buchstaben bestehenden Code des ausstellenden Staates;

d)

Datum des Ablaufs der Gültigkeitsdauer des Reisedokuments;

e)

geplanter Tag der Ankunft an der Grenze des Mitgliedstaats der Einreise;

f)

eine der folgenden Angaben:

i)

den Mitgliedstaat der geplanten Einreise;

ii)

sofern es möglich ist, den Mitgliedstaat der geplanten Einreise zu ermitteln, einen Flughafen im Mitgliedstaat der Einreise;

g)

Einzelheiten (lokales Datum und Ortszeit der geplanten Abreise, Identifizierungsnummer — sofern vorhanden — oder sonstiges Mittel zur Identifizierung des Beförderungsmittels) über das zur Einreise in das Hoheitsgebiet eines Mitgliedstaats verwendete Beförderungsmittel.

(2)   Um die in Absatz 1 Buchstaben a bis d genannten Informationen bereitzustellen, können die Beförderungsunternehmer den maschinenlesbaren Bereich des Reisedokuments scannen.

(3)   Fällt der Passagier im Einklang mit Artikel 2 der Verordnung (EU) 2018/1240 nicht in den Anwendungsbereich der vorgenannten Verordnung sowie im Falle eines Flughafentransits muss der Beförderungsunternehmer die Möglichkeit haben, dies in der Überprüfungsabfrage anzugeben.

(4)   Die Beförderungsunternehmer müssen die Möglichkeit haben, Überprüfungsabfragen für einen oder mehrere Passagiere gleichzeitig zu senden. Die Schnittstelle für Beförderungsunternehmer muss für jeden zur Abfrage gehörenden Passagier die in Artikel 6 genannte Antwort enthalten.

Artikel 6

Antwort

(1)   Fällt der Passagier im Einklang mit Artikel 2 der Verordnung (EU) 2018/1240 nicht in den Anwendungsbereich der vorgenannten Verordnung sowie im Falle eines Flughafentransits muss die Antwort „Not applicable“ („nicht anwendbar“) lauten. In allen anderen Fällen muss die Antwort „OK“ oder „NOT OK“ (OK/NICHT OK) lauten.

Wird bei einer Überprüfungsabfrage die Antwort „NOT OK“ zurückgegeben, muss in der Antwort angegeben sein, dass diese aus dem ETIAS stammt.

(2)   Während des Übergangszeitraums gemäß Artikel 83 Absatz 1 der Verordnung (EU) 2018/1240 bestimmen sich die Antworten auf Überprüfungsabfragen nach folgenden Regeln:

a)

Wenn der Drittstaatsangehörige über eine zum Datum der Einreise gültige Reisegenehmigung verfügt: „OK“;

b)

wenn der Drittstaatsangehörige nicht über eine zum Datum der Einreise gültige Reisegenehmigung verfügt: „OK“;

c)

wenn der Drittstaatsangehörige nicht über eine zum Datum der Einreise gültige Reisegenehmigung verfügt, aber der Beförderungsunternehmer in der Überprüfungsabfrage bestätigt, dass eine der Voraussetzungen nach Absatz 1 Satz 1 erfüllt sind: „Not applicable“;

d)

wenn der Drittstaatsangehörige über eine zum Datum der Einreise gültige Reisegenehmigung mit räumlich beschränkter Gültigkeit verfügt und der Mitgliedstaat der Einreise mit dem Mitgliedstaat, auf den sich die räumlich beschränkte Gültigkeit erstreckt, übereinstimmt: „OK“;

e)

wenn der Drittstaatsangehörige über eine zum Datum der Einreise gültige Reisegenehmigung mit räumlich beschränkter Gültigkeit verfügt und der Mitgliedstaat der Einreise nicht mit dem Mitgliedstaat, auf den sich die räumlich beschränkte Gültigkeit erstreckt, übereinstimmt: „OK“.

(3)   Während der Schonfrist gemäß Artikel 83 Absatz 3 der Verordnung (EU) 2018/1240 bestimmen sich die Antworten auf Überprüfungsabfragen nach folgenden Regeln:

a)

Wenn der Drittstaatsangehörige über eine zum Datum der Einreise gültige Reisegenehmigung verfügt: „OK“;

b)

wenn der Drittstaatsangehörige nicht über eine zum Datum der Einreise gültige Reisegenehmigung verfügt und erstmals seit Ende des Übergangszeitraums in das Hoheitsgebiet eines Mitgliedstaats einreist, der sich am Einreise-/Ausreisesystem (EES) beteiligt: „OK“;

c)

wenn der Drittstaatsangehörige über eine zum Datum der Einreise gültige Reisegenehmigung mit räumlich beschränkter Gültigkeit verfügt und erstmals seit Ende des Übergangszeitraums in das Hoheitsgebiet eines Mitgliedstaats einreist, der sich am Einreise-/Ausreisesystem beteiligt, und der Mitgliedstaat der Einreise mit dem Mitgliedstaat, auf den sich die räumlich beschränkte Gültigkeit erstreckt, übereinstimmt: „OK“;

d)

wenn der Drittstaatsangehörige über eine zum Datum der Einreise gültige Reisegenehmigung mit räumlich beschränkter Gültigkeit verfügt und mindestens zum zweiten Mal seit Ende des Übergangszeitraums in das Hoheitsgebiet eines Mitgliedstaats einreist, der sich am Einreise-/Ausreisesystem beteiligt, und der Mitgliedstaat der Einreise mit dem Mitgliedstaat, auf den sich die räumlich beschränkte Gültigkeit erstreckt, übereinstimmt: „OK“;

e)

wenn der Drittstaatsangehörige nicht über eine zum Datum der Einreise gültige Reisegenehmigung verfügt und mindestens zum zweiten Mal seit Ende des Übergangszeitraums in das Hoheitsgebiet eines Mitgliedstaats einreist, der sich am Einreise-/Ausreisesystem beteiligt: „NOT OK“;

f)

wenn der Drittstaatsangehörige nicht über eine zum Datum der Einreise gültige Reisegenehmigung verfügt, aber der Beförderungsunternehmer in der Überprüfungsabfrage bestätigt, dass eine der Voraussetzungen nach Absatz 1 Satz 1 erfüllt sind: „Not applicable“;

g)

wenn der Drittstaatsangehörige über eine zum Datum der Einreise gültige Reisegenehmigung mit räumlich beschränkter Gültigkeit verfügt und erstmals seit Ende des Übergangszeitraums in das Hoheitsgebiet eines Mitgliedstaats einreist, der sich am Einreise-/Ausreisesystem beteiligt, und der Mitgliedstaat der Einreise nicht mit dem Mitgliedstaat, auf den sich die räumlich beschränkte Gültigkeit erstreckt, übereinstimmt: „OK“;

h)

wenn der Drittstaatsangehörige über eine zum Datum der Einreise gültige Reisegenehmigung mit räumlich beschränkter Gültigkeit verfügt und mindestens zum zweiten Mal seit Ende des Übergangszeitraums in das Hoheitsgebiet eines Mitgliedstaats einreist, der sich am Einreise-/Ausreisesystem beteiligt, und der Mitgliedstaat der Einreise nicht mit dem Mitgliedstaat, auf den sich die räumlich beschränkte Gültigkeit erstreckt, übereinstimmt: „NOT OK“;

i)

wenn der Drittstaatsangehörige nicht über eine zum Datum der Einreise gültige Reisegenehmigung verfügt und in das Hoheitsgebiet eines Mitgliedstaats einreist, der sich nicht am Einreise-/Ausreisesystem beteiligt: „NOT OK“.

(4)   Nach Ablauf der Schonfrist gemäß Artikel 83 Absatz 3 der Verordnung (EU) 2018/1240 bestimmen sich die Antworten auf Überprüfungsabfragen nach folgenden Regeln:

a)

Wenn der Drittstaatsangehörige über eine zum Datum der Einreise gültige Reisegenehmigung verfügt: „OK“;

b)

wenn der Drittstaatsangehörige nicht über eine zum Datum der Einreise gültige Reisegenehmigung verfügt: „NOT OK“;

c)

wenn der Drittstaatsangehörige nicht über eine zum Datum der Einreise gültige Reisegenehmigung verfügt, aber der Beförderungsunternehmer in der Überprüfungsabfrage bestätigt, dass eine der Voraussetzungen in Absatz 1 Satz 1 erfüllt sind: „Not applicable“;

d)

wenn der Drittstaatsangehörige über eine zum Datum der Einreise gültige Reisegenehmigung mit räumlich beschränkter Gültigkeit verfügt und der Mitgliedstaat der Einreise mit dem Mitgliedstaat, auf den sich die räumlich beschränkte Gültigkeit erstreckt, übereinstimmt: „OK“;

e)

wenn der Drittstaatsangehörige über eine zum Datum der Einreise gültige Reisegenehmigung mit räumlich beschränkter Gültigkeit verfügt und der Mitgliedstaat der Einreise nicht mit dem Mitgliedstaat, auf den sich die räumlich beschränkte Gültigkeit erstreckt, übereinstimmt: „NOT OK“.

Artikel 7

Nachrichtenformat

eu-LISA legt in den technischen Leitlinien die Datenformate und die Struktur der Nachrichten fest, die für die Übermittlung von Überprüfungsabfragen und Antworten auf diese Abfragen über die Schnittstelle für Beförderungsunternehmer zu verwenden sind. eu-LISA verwendet dabei mindestens die folgenden Datenformate:

a)

UN/EDIFACT;

b)

PAXLST/CUSRES;

c)

XML;

d)

JSON.

Artikel 8

Anforderungen an die Schnittstelle für Beförderungsunternehmer im Hinblick auf die Datenextraktion und Datenqualität

(1)   Daten zu erteilten, annullierten oder aufgehobenen Reisegenehmigungen müssen regelmäßig automatisiert aus ETIAS extrahiert und in die Datenbank, auf die nur Lesezugriff besteht, übertragen werden.

(2)   Alle Datenextraktionen mit Übertragung in die Datenbank, auf die nur Lesezugriff besteht, gemäß Absatz 1 werden protokolliert.

(3)   eu-LISA ist verantwortlich für die Sicherheit der Schnittstelle für Beförderungsunternehmer und der darin enthaltenen personenbezogenen Daten sowie für den Vorgang der Extraktion der personenbezogenen Daten gemäß Absatz 1 aus ETIAS und deren Übertragung in die Datenbank, auf die nur Lesezugriff besteht.

(4)   Es darf nicht möglich sein, Daten aus der Datenbank, auf die nur Lesezugriff besteht, in das ETIAS zu übertragen.

Artikel 9

Authentifizierungssystem

(1)   eu-LISA entwickelt unter Berücksichtigung von Informationen über das Sicherheitsrisikomanagement sowie der Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen ein Authentifizierungssystem, das es ermöglicht, den Veranlasser der Überprüfungsabfrage nachzuverfolgen.

(2)   Die Einzelheiten des Authentifizierungssystems werden in den technischen Leitlinien festgelegt.

(3)   Das Authentifizierungssystem ist im Einklang mit Artikel 12 zu testen.

(4)   Wenn Beförderungsunternehmer über die Programmierschnittstelle gemäß Artikel 4 Absatz 2 Buchstabe a auf die Schnittstelle für Beförderungsunternehmer zugreifen, muss das Authentifizierungssystem mittels gegenseitiger Authentifizierung umgesetzt werden.

Artikel 10

Registrierung beim Authentifizierungssystem

(1)   Beförderungsunternehmer gemäß Artikel 45 Absatz 1 der Verordnung (EU) 2018/1240, die im Hoheitsgebiet der Mitgliedstaaten tätig sind und Passagiere dorthin befördern, müssen sich zunächst registrieren, bevor sie Zugriff auf das Authentifizierungssystem erhalten.

(2)   eu-LISA stellt auf einer öffentlichen Website ein Registrierungsformular zur Verfügung, das online ausgefüllt wird. Das Registrierungsformular kann nur eingereicht werden, wenn alle Felder ordnungsgemäß ausgefüllt wurden.

(3)   Über die Felder des Registrierungsformulars müssen die Beförderungsunternehmer folgende Informationen bereitstellen:

a)

Firmenname und Kontaktdaten (E-Mail-Adresse, Telefonnummer und Postanschrift) des Beförderungsunternehmers;

b)

Kontaktdaten des gesetzlichen Vertreters des Unternehmens, das die Registrierung beantragt, und der Ersatz-Ansprechpartner (Namen, Telefonnummern, E-Mail-Adressen und Postanschriften) sowie die funktionale E-Mail-Adresse und sonstigen Kommunikationsmittel, die der Beförderungsunternehmer beabsichtigt, für die Zwecke der Artikel 13 und 14 einzusetzen;

c)

Mitgliedstaat oder Drittstaat, der die amtliche Unternehmenseintragung gemäß Absatz 6 ausgestellt hat, und Eintragungsnummer, sofern vorhanden;

d)

sofern der Beförderungsunternehmer eine amtliche Unternehmenseintragung gemäß Absatz 6 beigefügt hat, die von einem Drittstaat ausgestellt wurde: die Mitgliedstaaten, in denen der Beförderungsunternehmer tätig ist oder beabsichtigt, innerhalb des kommenden Jahres tätig zu sein.

(4)   Mit dem Registrierungsformular werden die Beförderungsunternehmer über die Mindestsicherheitsanforderungen informiert, mit denen sichergestellt wird, dass die folgenden Ziele eingehalten werden:

a)

Ermittlung und Bewältigung von Sicherheitsrisiken im Zusammenhang mit der Verbindung mit der Schnittstelle für Beförderungsunternehmer;

b)

Schutz der Umgebungen und Geräte, die mit der Schnittstelle für Beförderungsunternehmer verbunden sind;

c)

Feststellung und Analyse von Cyber-Sicherheitsvorfällen, Reaktion darauf sowie Wiederherstellung nach solchen Vorfällen.

(5)   Mit dem Registrierungsformular müssen die Beförderungsunternehmer folgende Erklärungen abgeben:

a)

dass sie im Hoheitsgebiet der Mitgliedstaaten tätig sind und Passagiere dorthin befördern oder beabsichtigen, dies innerhalb der kommenden sechs Monate zu tun;

b)

dass sie beim Zugriff auf die Schnittstelle für Beförderungsunternehmer und deren Nutzung die im Registrierungsformular festgelegten Mindestsicherheitsanforderungen gemäß Absatz 4 einhalten werden;

c)

dass nur gebührend ermächtigte Mitarbeiter auf die Schnittstelle für Beförderungsunternehmer zugreifen können.

(6)   Mit dem Registrierungsformular müssen die Beförderungsunternehmer eine elektronische Kopie ihrer Errichtungsakte einschließlich der Satzung sowie als elektronische Kopie einen Auszug ihrer amtlichen Unternehmenseintragung einreichen, die entweder, soweit zutreffend, von mindestens einem Mitgliedstaat oder von einem Drittstaat ausgestellt wurde; dieser Auszug muss in einer der Amtssprachen der Union oder einer der Sprachen der assoziierten Schengen-Staaten oder in amtlicher Übersetzung in eine der vorgenannten Sprachen vorliegen. Anstelle der amtlichen Unternehmenseintragung kann auch eine in einem oder mehreren Mitgliedstaaten geltende Betriebsgenehmigung, etwa ein Luftverkehrsbetreiberzeugnis, als elektronische Kopie beigefügt werden.

(7)   Mit dem Registrierungsformular muss den Beförderungsunternehmern das Folgende mitgeteilt werden:

a)

dass sie eu-LISA über jegliche Änderungen im Hinblick auf die in Absatz 3, 4 und 5 genannten Informationen sowie über technische Änderungen, die ihre zwischen Systemen ausgeführte Verbindung mit der Schnittstelle für Beförderungsunternehmer betreffen und möglicherweise zusätzliche Tests nach Artikel 12 erfordern, informieren und dabei die für diese Zwecke vorgesehenen eu-LISA-Kontaktdaten verwenden müssen;

b)

dass die Registrierung eines Beförderungsunternehmers beim Authentifizierungssystem automatisch aufgehoben wird, falls aus den Protokollen hervorgeht, dass er die Schnittstelle für Beförderungsunternehmer über einen Zeitraum von einem Jahr nicht genutzt hat;

c)

dass die Registrierung eines Beförderungsunternehmers beim Authentifizierungssystem aufgehoben werden kann, wenn der Beförderungsunternehmer gegen die Bestimmungen dieser Verordnung, die Sicherheitsanforderungen gemäß Absatz 4 oder die technischen Leitlinien verstößt, einschließlich durch Missbrauch der Schnittstelle für Beförderungsunternehmer;

d)

dass die Beförderungsunternehmer eu-LISA über jegliche etwaige Verletzung des Schutzes personenbezogener Daten unterrichten und regelmäßig die Zugriffsrechte ihrer für den Zugriff eingesetzten Mitarbeiter überprüfen müssen.

(8)   Wenn das Registrierungsformular ordnungsgemäß eingereicht wurde, registriert eu-LISA den Beförderungsunternehmer und teilt ihm mit, dass er registriert wurde. Wurde das Registrierungsformular nicht ordnungsgemäß eingereicht, verweigert eu-LISA die Registrierung und teilt dem Beförderungsunternehmer die Gründe der Verweigerung mit.

Artikel 11

Löschung der Registrierung aus dem Authentifizierungssystem

(1)   Wenn ein Beförderungsunternehmer eu-LISA mitteilt, dass er nicht mehr im Hoheitsgebiet der Mitgliedstaaten tätig ist oder Passagiere dorthin befördert, hebt eu-LISA die Registrierung des Beförderungsunternehmers auf.

(2)   Geht aus den Protokollen hervor, dass der Beförderungsunternehmer die Schnittstelle für Beförderungsunternehmer über einen Zeitraum von einem Jahr nicht genutzt hat, wird seine Registrierung automatisch aufgehoben.

(3)   Erfüllt ein Beförderungsunternehmer die Bedingungen nach Artikel 10 Absatz 5 nicht mehr oder hat er anderweitig gegen die Bestimmungen dieser Verordnung, die Sicherheitsanforderungen gemäß Artikel 10 Absatz 4 oder die technischen Leitlinien verstoßen, einschließlich durch Missbrauch der Schnittstelle für Beförderungsunternehmer, kann eu-LISA die Registrierung des Beförderungsunternehmers aufheben.

(4)   Einen Monat vor dem Aufheben der Registrierung des Beförderungsunternehmers informiert eu-LISA den Beförderungsunternehmer über die beabsichtigte Aufhebung der Registrierung gemäß den Absätzen 1, 2 oder 3 und teilt ihm dabei den Grund für die Aufhebung mit. Vor dem Aufheben der Registrierung gibt eu-LISA dem Beförderungsunternehmer Gelegenheit zur schriftlichen Stellungnahme.

(5)   Bei dringenden Bedenken hinsichtlich der IT-Sicherheit, einschließlich des Falls, dass der Beförderungsunternehmer die Sicherheitsanforderungen gemäß Artikel 10 Absatz 4 oder die technischen Leitlinien nicht einhält, kann eu-LISA die Verbindung eines Beförderungsunternehmers unverzüglich trennen. In diesem Fall informiert eu-LISA den Beförderungsunternehmer über die Trennung der Verbindung und teilt ihm den Grund der Verbindungstrennung mit.

(6)   eu-LISA unterstützt Beförderungsunternehmer, die eine Benachrichtigung über das Aufheben der Registrierung oder die Trennung der Verbindung erhalten haben, in angemessenem Umfang dabei, die für die Benachrichtigung ausschlaggebenden Mängel zu beheben, und bietet soweit möglich Beförderungsunternehmern, deren Verbindung getrennt wurde, für einen begrenzten Zeitraum sowie unter sehr strikten Bedingungen die Möglichkeit, Überprüfungsabfragen auf andere Weise als in Artikel 4 genannt zu übermitteln.

(7)   Beförderungsunternehmer, deren Verbindung getrennt wurde, können erneut an die Schnittstelle für Beförderungsunternehmer angebunden werden, nachdem sie die für die Trennung der Verbindung ausschlaggebenden Sicherheitsbedenken erfolgreich beseitigt haben. Beförderungsunternehmer, deren Registrierung aufgehoben wurde, können einen neuen Antrag auf Registrierung einreichen.

(8)   eu-LISA führt ein aktuelles Register der registrierten Beförderungsunternehmer. Personenbezogene Daten, die bei der Registrierung eines Beförderungsunternehmers mitgeteilt wurden, werden spätestens ein Jahr nach dem Aufheben der Registrierung des Beförderungsunternehmers gelöscht.

(9)   Nach der Registrierung der Beförderungsunternehmer gemäß Artikel 10 kann eu-LISA jederzeit und insbesondere, wenn ein begründeter Verdacht besteht, dass ein oder mehrere Beförderungsunternehmer die Schnittstelle für Beförderungsunternehmer missbrauchen oder die Bedingungen gemäß Artikel 10 Absatz 4 nicht erfüllen, Untersuchungen in Mitgliedstaaten oder Drittstaaten durchführen.

(10)   Steht das Registrierungsformular gemäß Artikel 10 Absatz 2 für einen längeren Zeitraum nicht zur Verfügung, stellt eu-LISA sicher, dass die Registrierung im Einklang mit dem vorgenannten Artikel auf andere Art und Weise vorgenommen werden kann.

Artikel 12

Entwicklung, Test und Verbindung der Schnittstelle für Beförderungsunternehmer

(1)   eu-LISA stellt den Beförderungsunternehmern die technischen Leitlinien zur Verfügung, damit sie die Schnittstelle für Beförderungsunternehmer entwickeln und testen können.

(2)   Entscheiden sich Beförderungsunternehmer dafür, die Verbindung über die in Artikel 4 Absatz 2 Buchstabe a genannte Programmierschnittstelle herzustellen, muss die Umsetzung des Nachrichtenformats nach Artikel 7 und des Authentifizierungssystems nach Artikel 9 getestet werden.

(3)   Entscheiden sich Beförderungsunternehmer für die Verbindung über die Web-Schnittstelle (Browser) oder die Anwendung für Mobilgeräte, müssen sie eu-LISA mitteilen, dass sie ihre Verbindung mit der Schnittstelle für Beförderungsunternehmer erfolgreich getestet haben und dass ihre gebührend ermächtigten Mitarbeiter erfolgreich in der Nutzung der Schnittstelle für Beförderungsunternehmer geschult wurden.

(4)   Für die Zwecke des Absatzes 2 entwickelt eu-LISA einen Testplan, eine Testumgebung und einen Simulator, mit denen eu-LISA und die Beförderungsunternehmer die Verbindung der Beförderungsunternehmer mit der Schnittstelle für Beförderungsunternehmer testen können, und stellt diese den Beförderungsunternehmern zur Verfügung. Für die Zwecke des Absatzes 3 entwickelt eu-LISA eine Testumgebung, die es Beförderungsunternehmern ermöglicht, ihre Mitarbeiter zu schulen, und stellt den Beförderungsunternehmern diese Testumgebung zur Verfügung.

(5)   Nachdem das Registrierungsverfahren gemäß Artikel 10 erfolgreich abgeschlossen wurde und die Tests gemäß Absatz 2 in diesem Artikel erfolgreich durchgeführt wurden oder eu-LISA die Mitteilung gemäß Absatz 3 in diesem Artikel erhalten hat, bindet eu-LISA den Beförderungsunternehmer an die Schnittstelle für Beförderungsunternehmer an.

Artikel 13

Technische Unmöglichkeit

(1)   Wenn es aufgrund eines Ausfalls eines Teils des ETIAS-Informationssystems technisch nicht möglich ist, eine Überprüfungsabfrage zu senden, gilt das Folgende:

a)

Wird der Ausfall von einem Beförderungsunternehmer festgestellt, benachrichtigt er die ETIAS-Zentralstelle, sobald er den Ausfall bemerkt, über die in Artikel 14 genannten Mittel.

b)

Wird der Ausfall von eu-LISA festgestellt oder bestätigt, informiert die ETIAS-Zentralstelle die Beförderungsunternehmer per E-Mail oder über ein anderes Kommunikationsmittel über den Ausfall, sobald sie davon Kenntnis erhält, sowie, nachdem das Problem behoben wurde, über das Ende des Ausfalls.

(2)   Wenn es aus anderen Gründen als dem Ausfall eines Teils des ETIAS-Informationssystems technisch nicht möglich ist, eine Überprüfungsabfrage zu senden, benachrichtigt der Beförderungsunternehmer die ETIAS-Zentralstelle über die in Artikel 14 genannten Mittel.

(3)   Sobald das Problem behoben wurde, teilt der Beförderungsunternehmer dies der ETIAS-Zentralstelle über die in Artikel 14 genannten Mittel mit.

(4)   Für die Zwecke dieses Artikels und des Artikels 14 stellt eu-LISA der ETIAS-Zentralstelle ein Ticketing-Tool zur Verfügung, das Zugriff auf das Register der Beförderungsunternehmer bietet.

(5)   Die ETIAS-Zentralstelle bestätigt den Eingang von Benachrichtigungen gemäß den Absätzen 1 und 2.

Artikel 14

Unterstützung von Beförderungsunternehmern

(1)   Den Beförderungsunternehmern wird über eine öffentliche Website ein zum Ticketing-Tool gehörendes Online-Formular bereitgestellt, über das sie Unterstützung anfordern können.

Über das Online-Formular können die Beförderungsunternehmer mindestens folgende Informationen bereitstellen:

a)

Identifizierungsangaben des Beförderungsunternehmers;

b)

Zusammenfassung der Unterstützungsanfrage;

c)

Angabe, ob es sich um eine technische Unterstützungsanfrage handelt, und wenn ja, Datum und Uhrzeit des Beginns des technischen Problems.

(2)   Die ETIAS-Zentralstelle bestätigt den Beförderungsunternehmern den Eingang der Unterstützungsanfrage. Diese Eingangsbestätigung enthält eine Ticketnummer.

(3)   Wenn es sich um eine technische Unterstützungsanfrage handelt, sendet die ETIAS-Zentralstelle die Anfrage an eu-LISA. eu-LISA ist dafür zuständig, den Beförderungsunternehmern technische Unterstützung bereitzustellen.

(4)   Wenn es sich nicht um eine technische Unterstützungsanfrage handelt, unterstützt die ETIAS-Zentralstelle die Beförderungsunternehmer, indem sie sie auf die relevanten Informationen verweist.

(5)   Ist es technisch nicht möglich, gemäß Absatz 1 Unterstützung über das Online-Formular anzufordern, kann der Beförderungsunternehmer einen Telefonnotruf verwenden, der mit der ETIAS-Zentralstelle oder eu-LISA verbunden ist.

(6)   Die Unterstützung durch die ETIAS-Zentralstelle und eu-LISA wird an sieben Tagen in der Woche rund um die Uhr auf Englisch bereitgestellt.

(7)   Die ETIAS-Zentralstelle stellt eine Liste mit häufig gestellten Fragen, die für Beförderungsunternehmer relevant sind, und Antworten darauf online zur Verfügung. Diese Liste liegt in allen Amtssprachen der Union vor und ist getrennt von den Fragen und Antworten, die für Reisende relevant sind.

Artikel 15

Inkrafttreten und Anwendbarkeit

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in den Mitgliedstaaten.

Brüssel, den 26. Juli 2021

Für die Kommission

Die Präsidentin

Ursula VON DER LEYEN


(1)   ABl. L 236 vom 19.9.2018, S. 1.

(2)  Richtlinie 2004/38/EG des Europäischen Parlaments und des Rates vom 29. April 2004 über das Recht der Unionsbürger und ihrer Familienangehörigen, sich im Hoheitsgebiet der Mitgliedstaaten frei zu bewegen und aufzuhalten, zur Änderung der Verordnung (EWG) Nr. 1612/68 und zur Aufhebung der Richtlinien 64/221/EWG, 68/360/EWG, 72/194/EWG, 73/148/EWG, 75/34/EWG, 75/35/EWG, 90/364/EWG, 90/365/EWG und 93/96/EWG (ABl. L 158 vom 30.4.2004, S. 77).

(3)  Diese Verordnung fällt nicht in den Anwendungsbereich der Maßnahmen gemäß dem Beschluss 2002/192/EG des Rates vom 28. Februar 2002 zum Antrag Irlands auf Anwendung einzelner Bestimmungen des Schengen-Besitzstands auf Irland (ABl. L 64 vom 7.3.2002, S. 20).

(4)   ABl. L 176 vom 10.7.1999, S. 36.

(5)  Beschluss 1999/437/EG des Rates vom 17. Mai 1999 zum Erlass bestimmter Durchführungsvorschriften zu dem Übereinkommen zwischen dem Rat der Europäischen Union und der Republik Island und dem Königreich Norwegen über die Assoziierung dieser beiden Staaten bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands (ABl. L 176 vom 10.7.1999, S. 31).

(6)   ABl. L 53 vom 27.2.2008, S. 52.

(7)  Beschluss 2008/146/EG des Rates vom 28. Januar 2008 über den Abschluss — im Namen der Europäischen Gemeinschaft — des Abkommens zwischen der Europäischen Union, der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Assoziierung der Schweizerischen Eidgenossenschaft bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands (ABl. L 53 vom 27.2.2008, S. 1).

(8)   ABl. L 160 vom 18.6.2011, S. 21.

(9)  Beschluss 2011/350/EU des Rates vom 7. März 2011 über den Abschluss — im Namen der Europäischen Union — des Protokolls zwischen der Europäischen Union, der Europäischen Gemeinschaft, der Schweizerischen Eidgenossenschaft und dem Fürstentum Liechtenstein über den Beitritt des Fürstentums Liechtenstein zum Abkommen zwischen der Europäischen Union, der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Assoziierung der Schweizerischen Eidgenossenschaft bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands in Bezug auf die Abschaffung der Kontrollen an den Binnengrenzen und den freien Personenverkehr (ABl. L 160 vom 18.6.2011, S. 19).

(10)  Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39).