|
9.8.2022 |
DE |
Amtsblatt der Europäischen Union |
L 207/1 |
DURCHFÜHRUNGSVERORDNUNG (EU) 2022/1380 DER KOMMISSION
vom 8. August 2022
zur Festlegung der Vorschriften und Bedingungen für Überprüfungsabfragen von Beförderungsunternehmern, Bestimmungen über Datenschutz und Sicherheit des Authentifizierungssystems für Beförderungsunternehmen sowie für Ausweichverfahren im Falle der technischen Unmöglichkeit und zur Aufhebung der Durchführungsverordnung (EU) 2021/1217
DIE EUROPÄISCHE KOMMISSION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Verordnung (EU) 2018/1240 des Europäischen Parlaments und des Rates vom 12. September 2018 über die Einrichtung eines Europäischen Reiseinformations- und -genehmigungssystems (ETIAS) und zur Änderung der Verordnungen (EU) Nr. 1077/2011, (EU) Nr. 515/2014, (EU) 2016/399, (EU) 2016/1624 und (EU) 2017/2226 (1), insbesondere auf Artikel 45 Absatz 2 Unterabsatz 3, Artikel 45 Absatz 3 sowie Artikel 46 Absätze 4 und 5,
in Erwägung nachstehender Gründe:
|
(1) |
Mit der Verordnung (EU) 2018/1240 wurde das Europäische Reiseinformations- und -genehmigungssystem (European Travel Information and Authorisation System, im Folgenden „ETIAS“) eingerichtet, das für von der Visumpflicht befreite Drittstaatsangehörige gilt, die in das Hoheitsgebiet der Mitgliedstaaten einreisen möchten. |
|
(2) |
Ziel dieser Verordnung ist es, Vorschriften und Bedingungen für von Beförderungsunternehmern durchgeführte Überprüfungsabfragen festzulegen sowie Bestimmungen für Datenschutz und Sicherheit des Authentifizierungssystems für Beförderungsunternehmen und für Ausweichverfahren im Falle der technischen Unmöglichkeit zu erlassen. Die in dieser Verordnung festgelegten Verpflichtungen gelten für Beförderungsunternehmer im Luft- und Seeverkehr sowie für internationale Beförderungsunternehmer, die Gruppen von Personen in Autobussen befördern und sich in das Hoheitsgebiet der Mitgliedstaaten begeben. |
|
(3) |
Gemäß Artikel 45 Absatz 1 der Verordnung (EU) 2018/1240 müssen im Luft- und Seeverkehr tätige Beförderungsunternehmer sowie international tätige Beförderungsunternehmer, die Gruppen von Personen in Autobussen befördern, anhand einer ETIAS-Abfrage überprüfen, ob Reisende, die der Reisegenehmigungspflicht unterliegen, im Besitz einer gültigen Reisegenehmigung sind oder nicht. Diese Abfrage hat über einen gesicherten Zugriff auf einen Zugang für Beförderungsunternehmen zu erfolgen. |
|
(4) |
Der Zugriff der Beförderungsunternehmer auf die Schnittstelle für Beförderungsunternehmen sollte über ein Authentifizierungssystem erfolgen. In dieser Durchführungsverordnung sollten Datenschutz- und Sicherheitsvorschriften festgelegt werden, die für das Authentifizierungssystem gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2018/1240 gelten, um Beförderungsunternehmern den ausschließlichen Zugriff auf den Zugang für Beförderungsunternehmen zu ermöglichen. |
|
(5) |
Damit Beförderungsunternehmer, die im Hoheitsgebiet der Mitgliedstaaten tätig sind und Passagiere dorthin befördern, ihre Verpflichtungen erfüllen können, sollten sie auf den Zugang für Beförderungsunternehmen zugreifen können. |
|
(6) |
Es sollten technische Vorschriften zum Nachrichtenformat und zum Authentifizierungssystem erlassen werden, um Beförderungsunternehmern die Verbindung mit dem und die Nutzung des Zugangs für Beförderungsunternehmen zu ermöglichen, der in den technischen Leitlinien zu spezifizieren ist, die zu den von der Agentur der Europäischen Union für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA) zu erlassenden technischen Spezifikationen gemäß Artikel 73 der Verordnung (EU) 2018/1240 gehören. |
|
(7) |
Die Beförderungsunternehmer sollten die Möglichkeit haben anzugeben, dass Passagiere nicht in den Anwendungsbereich der Verordnung (EU) 2018/1240 fallen; in diesem Fall sollten die Beförderungsunternehmer vom Zugang für Beförderungsunternehmen ohne Abfrage der Datenbank, auf die nur Lesezugriff besteht, und ohne Protokollierung eine automatische „Not applicable“-Antwort („nicht anwendbar“) erhalten. |
|
(8) |
Diese Verordnung sollte für Beförderungsunternehmer im Luft- und Seeverkehr sowie für internationale Beförderungsunternehmer gelten, die Gruppen von Personen in Autobussen befördern und sich in das Hoheitsgebiet der Mitgliedstaaten begeben. Vor dem Einsteigen können Grenzkontrollen hinsichtlich der Einreise in das Hoheitsgebiet der Mitgliedstaaten erfolgen. In diesen Fällen sollten Beförderungsunternehmer von der Pflicht entbunden werden, den Status der Reisegenehmigung der Reisenden zu überprüfen. |
|
(9) |
Im Einklang mit Artikel 83 der Verordnung (EU) 2018/1240 sollten während des Übergangszeitraums und der Schonfrist die für die Beförderungsunternehmer geltenden Vorschriften an die Besonderheiten dieser Zeiträume angepasst werden. Reisenden sollte es während des Übergangszeitraums gestattet sein, ohne Reisegenehmigung einzureisen, da diese Genehmigung fakultativ sein sollte. Auf den Übergangszeitraum folgt eine Schonfrist, während der es Reisenden erlaubt sein sollte, ohne Reisegenehmigung in das Hoheitsgebiet der Mitgliedstaaten einzureisen, sofern es sich um ihre erste Einreise während dieser Schonfrist handelt. |
|
(10) |
Um sicherzustellen, dass die Informationen, auf denen die Überprüfungsabfrage beruht, so aktuell wie möglich sind, sollten Abfragen nicht früher als 48 Stunden vor dem geplanten Abreisezeitpunkt durchgeführt werden. |
|
(11) |
Passagiere, die im Besitz einer gültigen Reisegenehmigung sein müssen, sollten als im Besitz einer solchen Genehmigung gelten, wenn der Beförderungsunternehmer innerhalb von 48 Stunden vor dem geplanten Abreisezeitpunkt die Schnittstelle für Beförderungsunternehmen abgefragt und die Antwort „OK“ erhalten hat. Unter bestimmten Umständen ist ein Beförderungsunternehmer aufgrund eines technischen Ausfalls eines Teils des ETIAS möglicherweise nicht in der Lage, eine Abfrage gemäß Artikel 45 Absatz 1 der Verordnung (EU) 2018/1240 durchzuführen. Um mögliche nachteilige Folgen eines solchen Ausfalls zu begrenzen, müssen detaillierte Bestimmungen für die Ausweichverfahren gemäß Artikel 46 der Verordnung (EU) 2018/1240 festgelegt werden. |
|
(12) |
Um sicherzustellen, dass die Daten, auf die die Beförderungsunternehmer zugreifen, richtig sind und mit den im ETIAS gespeicherten Daten übereinstimmen, sollte die in Artikel 45 Absatz 4 der Verordnung (EU) 2018/1240 benannte Datenbank, auf die nur Lesezugriff besteht, bei Bedarf aktualisiert werden. |
|
(13) |
Die Kommission, eu-LISA und die Mitgliedstaaten sollten sich bemühen, alle bekannten Beförderungsunternehmer darüber zu informieren, wie und wann sie sich registrieren können. Nach erfolgreichem Abschluss des Registrierungsverfahrens und gegebenenfalls erfolgreichem Abschluss der Tests sollte eu-LISA den Beförderungsunternehmer an die Schnittstelle für Beförderungsunternehmen anbinden. |
|
(14) |
Die Beförderungsunternehmer sollten auf ein Online-Formular auf einer öffentlichen Website zugreifen können, über das sie Unterstützung anfordern können. Bei der Anforderung von Unterstützung sollten Beförderungsunternehmer eine Eingangsbestätigung mit einer Ticketnummer erhalten. eu-LISA oder die ETIAS-Zentralstelle können Beförderungsunternehmer, die ein Ticket erhalten haben, mit allen erforderlichen Mitteln einschließlich per Telefon kontaktieren, um angemessen reagieren zu können. |
|
(15) |
Mit der Durchführungsverordnung (EU) 2021/1217 der Kommission (2) wurden Vorschriften und Bedingungen für Überprüfungsabfragen von Beförderungsunternehmern, Bestimmungen über Datenschutz und Sicherheit des Authentifizierungssystems für Beförderungsunternehmen sowie für Ausweichverfahren im Falle der technischen Unmöglichkeit festgelegt. Es ist erforderlich, die Ausweichverfahren im Falle der technischen Unmöglichkeit zu präzisieren. Aus Gründen der Klarheit empfiehlt es sich, die genannte Verordnung zu ersetzen. |
|
(16) |
Da die Verordnung (EU) 2018/1240 den Schengen-Besitzstand ergänzt, hat Dänemark am 21. Dezember 2018 gemäß Artikel 4 des dem Vertrag über die Europäische Union und dem Vertrag über die Arbeitsweise der Europäischen Union beigefügten Protokolls Nr. 22 über die Position Dänemarks seinen Beschluss mitgeteilt, die Verordnung (EU) 2018/1240 in nationales Recht umzusetzen. Dänemark ist daher durch diese Verordnung gebunden. |
|
(17) |
Diese Verordnung stellt eine Weiterentwicklung der Bestimmungen des Schengen-Besitzstands dar, an denen sich Irland nicht beteiligt, da sie nicht in den Anwendungsbereich der Maßnahmen gemäß dem Beschluss 2002/192/EG des Rates (3) fällt. Irland beteiligt sich daher nicht an der Annahme dieser Verordnung und ist weder durch diese Verordnung gebunden noch zu ihrer Anwendung verpflichtet. |
|
(18) |
Für Island und Norwegen stellt diese Verordnung eine Weiterentwicklung der Bestimmungen des Schengen-Besitzstands im Sinne des Übereinkommens zwischen dem Rat der Europäischen Union sowie der Republik Island und dem Königreich Norwegen über die Assoziierung der beiden letztgenannten Staaten bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands (4) dar, die zu dem in Artikel 1 Buchstabe A des Beschlusses 1999/437/EG des Rates (5) genannten Bereich gehören. |
|
(19) |
Für die Schweiz stellt diese Verordnung eine Weiterentwicklung der Bestimmungen des Schengen-Besitzstands im Sinne des Abkommens zwischen der Europäischen Union, der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Assoziierung der Schweizerischen Eidgenossenschaft bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands (6) dar, die zu dem in Artikel 1 Buchstabe A des Beschlusses 1999/437/EG in Verbindung mit Artikel 3 des Beschlusses 2008/146/EG des Rates (7) genannten Bereich gehören. |
|
(20) |
Für Liechtenstein stellt diese Verordnung eine Weiterentwicklung der Bestimmungen des Schengen-Besitzstands im Sinne des Protokolls zwischen der Europäischen Union, der Europäischen Gemeinschaft, der Schweizerischen Eidgenossenschaft und dem Fürstentum Liechtenstein über den Beitritt des Fürstentums Liechtenstein zu dem Abkommen zwischen der Europäischen Union, der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Assoziierung der Schweizerischen Eidgenossenschaft bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands (8) dar, die zu dem in Artikel 1 Buchstabe A des Beschlusses 1999/437/EG in Verbindung mit Artikel 3 des Beschlusses 2011/350/EU des Rates (9) genannten Bereich gehören. |
|
(21) |
Für Zypern, Bulgarien, Rumänien und Kroatien stellt diese Verordnung einen auf dem Schengen-Besitzstand aufbauenden oder anderweitig damit zusammenhängenden Rechtsakt jeweils im Sinne des Artikels 3 Absatz 1 der Beitrittsakte von 2003, des Artikels 4 Absatz 1 der Beitrittsakte von 2005 und des Artikels 4 Absatz 1 der Beitrittsakte von 2011 dar. |
|
(22) |
Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (10) angehört und hat am 30. April 2021 eine Stellungnahme abgegeben. |
|
(23) |
Die in dieser Verordnung vorgesehenen Maßnahmen stehen mit der Stellungnahme des Ausschusses „Intelligente Grenzen“ (ETIAS) im Einklang — |
HAT FOLGENDE VERORDNUNG ERLASSEN:
Artikel 1
Gegenstand
Mit dieser Verordnung wird Folgendes festgelegt:
|
a) |
die detaillierten Bestimmungen und Voraussetzungen für den Betrieb des Zugangs für Beförderungsunternehmen sowie die Datenschutz- und Sicherheitsvorschriften für den Zugang für Beförderungsunternehmen gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1240; |
|
b) |
ein Authentifizierungssystem für Beförderungsunternehmen, das ihnen die Erfüllung ihrer Verpflichtungen gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2018/1240 ermöglicht, sowie detaillierte Bestimmungen und Voraussetzungen für die Registrierung der Beförderungsunternehmer beim Authentifizierungssystem; |
|
c) |
Einzelheiten gemäß Artikel 46 Absatz 4 der Verordnung (EU) 2018/1240 zu den Verfahren, die zu befolgen sind, wenn es den Beförderungsunternehmern technisch nicht möglich ist, auf den Zugang für Beförderungsunternehmen zuzugreifen. |
Artikel 2
Begriffsbestimmungen
Für die Zwecke dieser Verordnung bezeichnet der Ausdruck
|
a) |
„Schnittstelle für Beförderungsunternehmen“ den Zugang für Beförderungsunternehmen, der von eu-LISA im Einklang mit Artikel 73 Absatz 3 der Verordnung (EU) 2018/1240 zu entwickeln ist, bestehend aus einer IT-Schnittstelle, die an eine Datenbank, auf die nur Lesezugriff besteht, angebunden ist; |
|
b) |
„technische Leitlinien“ den Teil der in Artikel 73 Absatz 3 der Verordnung (EU) 2018/1240 genannten technischen Spezifikationen, der für Beförderungsunternehmer relevant ist für die Implementierung des Authentifizierungssystems und die Entwicklung des Nachrichtenformats der in Artikel 4 Absatz 2 Buchstabe a der vorliegenden Verordnung genannten Programmierschnittstelle; |
|
c) |
„gebührend ermächtigte Mitarbeiter“ vom Beförderungsunternehmer oder von sonstigen der Weisung oder Aufsicht des Beförderungsunternehmers unterstehenden juristischen oder natürlichen Personen beschäftigte oder vertraglich verpflichtete Mitarbeiter, die damit beauftragt sind, im Namen des Beförderungsunternehmers und im Einklang mit Artikel 45 Absatz 1 der Verordnung (EU) 2018/1240 den Status der Reisenden zu überprüfen. |
Artikel 3
Pflichten der Beförderungsunternehmer
(1) Die Beförderungsunternehmer senden eine Abfrage gemäß Artikel 45 Absatz 1 der Verordnung (EU) 2018/1240 („Überprüfungsabfrage“) über die Schnittstelle für Beförderungsunternehmen.
(2) Die Überprüfungsabfrage darf frühestens 48 Stunden vor dem geplanten Abreisezeitpunkt gesendet werden.
(3) Die Beförderungsunternehmer stellen sicher, dass nur gebührend ermächtigte Mitarbeiter auf die Schnittstelle für Beförderungsunternehmen zugreifen können. Die Beförderungsunternehmer richten mindestens die folgenden Mechanismen ein:
|
a) |
physische und logische Zugriffskontrollmechanismen, um unbefugten Zugriff auf die Infrastruktur oder Systeme, die von den Beförderungsunternehmern verwendet werden, zu verhindern; |
|
b) |
Authentifizierung; |
|
c) |
Protokollierung zur Sicherstellung der Rückverfolgbarkeit von Zugriffen; |
|
d) |
regelmäßige Prüfung der Zugriffsrechte. |
Artikel 4
Verbindung mit der und Zugriff auf die Schnittstelle für Beförderungsunternehmen
(1) Die Beförderungsunternehmer verbinden sich über eine der folgenden Arten mit der Schnittstelle für Beförderungsunternehmen:
|
a) |
über eine spezifische Netzwerkverbindung; |
|
b) |
über eine Internetverbindung. |
(2) Die Beförderungsunternehmer greifen über eine der folgenden Arten auf die Schnittstelle für Beförderungsunternehmen zu:
|
a) |
über eine Schnittstelle zwischen Systemen (Programmierschnittstelle); |
|
b) |
über eine Web-Schnittstelle (Browser); |
|
c) |
über eine Anwendung für Mobilgeräte. |
Artikel 5
Abfragen
(1) Um die Überprüfungsabfrage zu senden, muss der Beförderungsunternehmer die folgenden Daten von Reisenden angeben:
|
a) |
Nachname (Familienname); Vorname oder Vornamen; |
|
b) |
Geburtsdatum, Geschlecht und Staatsangehörigkeit; |
|
c) |
Art und Nummer des Reisedokuments sowie den aus drei Buchstaben bestehenden Code des ausstellenden Staates; |
|
d) |
Datum des Ablaufs der Gültigkeitsdauer des Reisedokuments; |
|
e) |
geplanter Tag der Ankunft an der Grenze des Mitgliedstaats der Einreise; |
|
f) |
eine der folgenden Angaben:
|
|
g) |
Einzelheiten (lokales Datum und Ortszeit der geplanten Abreise, Identifizierungsnummer — sofern vorhanden — oder sonstiges Mittel zur Identifizierung des Beförderungsmittels) über das zur Einreise in das Hoheitsgebiet eines Mitgliedstaats verwendete Beförderungsmittel. |
(2) Um die in Absatz 1 Buchstaben a bis d genannten Informationen bereitzustellen, muss es den Beförderungsunternehmern gestattet sein, den maschinenlesbaren Bereich des Reisedokuments zu scannen.
(3) Fällt der Passagier im Einklang mit Artikel 2 der Verordnung (EU) 2018/1240 nicht in den Anwendungsbereich der vorgenannten Verordnung sowie im Falle eines Flughafentransits muss der Beförderungsunternehmer die Möglichkeit haben, dies in der Überprüfungsabfrage anzugeben.
(4) Die Beförderungsunternehmer müssen eine Überprüfungsabfrage für einen oder mehrere Passagiere senden können. Die Schnittstelle für Beförderungsunternehmen muss für jeden zur Abfrage gehörenden Passagier die in Artikel 6 genannte Antwort enthalten.
Artikel 6
Antwort
(1) Fällt der Passagier im Einklang mit Artikel 2 der Verordnung (EU) 2018/1240 nicht in den Anwendungsbereich der vorgenannten Verordnung sowie im Falle eines Flughafentransits muss die Antwort „Not applicable“ („nicht anwendbar“) lauten. In allen anderen Fällen muss die Antwort „OK“ oder „NOT OK“ (NICHT OK) lauten. Wird bei einer Überprüfungsabfrage die Antwort „NOT OK“ zurückgegeben, muss in der Antwort angegeben sein, dass diese aus dem ETIAS stammt.
(2) Während des Übergangszeitraums gemäß Artikel 83 Absatz 1 der Verordnung (EU) 2018/1240 bestimmen sich die Antworten auf Überprüfungsabfragen nach folgenden Regeln:
|
a) |
Wenn der Drittstaatsangehörige über eine zum Datum der Einreise gültige Reisegenehmigung verfügt: „OK“; |
|
b) |
wenn der Drittstaatsangehörige nicht über eine zum Datum der Einreise gültige Reisegenehmigung verfügt: „OK“; |
|
c) |
wenn der Drittstaatsangehörige nicht über eine zum Datum der Einreise gültige Reisegenehmigung verfügt, aber der Beförderungsunternehmer angibt, dass eine der Voraussetzungen in Absatz 1 erfüllt sind: „Not applicable“; |
|
d) |
wenn der Drittstaatsangehörige über eine zum Datum der Einreise gültige Reisegenehmigung mit räumlich beschränkter Gültigkeit verfügt und der Mitgliedstaat der Einreise mit dem Mitgliedstaat, auf den sich die räumlich beschränkte Gültigkeit erstreckt, übereinstimmt: „OK“; |
|
e) |
wenn der Drittstaatsangehörige über eine zum Datum der Einreise gültige Reisegenehmigung mit räumlich beschränkter Gültigkeit verfügt und der Mitgliedstaat der Einreise nicht mit dem Mitgliedstaat, auf den sich die räumlich beschränkte Gültigkeit erstreckt, übereinstimmt: „OK“. |
(3) Während der Schonfrist gemäß Artikel 83 Absatz 3 der Verordnung (EU) 2018/1240 bestimmen sich die Antworten auf Überprüfungsabfragen nach folgenden Regeln:
|
a) |
Wenn der Drittstaatsangehörige über eine zum Datum der Einreise gültige Reisegenehmigung verfügt: „OK“; |
|
b) |
wenn der Drittstaatsangehörige nicht über eine zum Datum der Einreise gültige Reisegenehmigung verfügt und erstmals seit Ende des Übergangszeitraums in das Hoheitsgebiet eines Mitgliedstaats einreist, der die ETIAS-Verordnung anwendet: „OK“; |
|
c) |
wenn der Drittstaatsangehörige über eine zum Datum der Einreise gültige Reisegenehmigung mit räumlich beschränkter Gültigkeit verfügt und erstmals seit Ende des Übergangszeitraums in das Hoheitsgebiet eines Mitgliedstaats einreist, der die ETIAS-Verordnung anwendet, und der Mitgliedstaat der Einreise mit dem Mitgliedstaat, auf den sich die räumlich beschränkte Gültigkeit erstreckt, übereinstimmt: „OK“; |
|
d) |
wenn der Drittstaatsangehörige über eine zum Datum der Einreise gültige Reisegenehmigung mit räumlich beschränkter Gültigkeit verfügt und mindestens zum zweiten Mal seit Ende des Übergangszeitraums in das Hoheitsgebiet eines Mitgliedstaats einreist, der die ETIAS-Verordnung anwendet, und der Mitgliedstaat der Einreise mit dem Mitgliedstaat, auf den sich die räumlich beschränkte Gültigkeit erstreckt, übereinstimmt: „OK“; |
|
e) |
wenn der Drittstaatsangehörige nicht über eine zum Datum der Einreise gültige Reisegenehmigung verfügt und mindestens zum zweiten Mal seit Ende des Übergangszeitraums in das Hoheitsgebiet eines Mitgliedstaats einreist, der die ETIAS-Verordnung anwendet: „NOT OK“; |
|
f) |
wenn der Drittstaatsangehörige nicht über eine zum Datum der Einreise gültige Reisegenehmigung verfügt, aber der Beförderungsunternehmer in der Überprüfungsabfrage bestätigt, dass eine der Voraussetzungen in Absatz 1 erfüllt sind: „Not applicable“; |
|
g) |
wenn der Drittstaatsangehörige über eine zum Datum der Einreise gültige Reisegenehmigung mit räumlich beschränkter Gültigkeit verfügt und erstmals seit Ende des Übergangszeitraums in das Hoheitsgebiet eines Mitgliedstaats einreist, der die ETIAS-Verordnung anwendet, und der Mitgliedstaat der Einreise nicht mit dem Mitgliedstaat, auf den sich die räumlich beschränkte Gültigkeit erstreckt, übereinstimmt: „OK“; |
|
h) |
wenn der Drittstaatsangehörige über eine zum Datum der Einreise gültige Reisegenehmigung mit räumlich beschränkter Gültigkeit verfügt und mindestens zum zweiten Mal seit Ende des Übergangszeitraums in das Hoheitsgebiet eines Mitgliedstaats einreist, der die ETIAS-Verordnung anwendet, und der Mitgliedstaat der Einreise nicht mit dem Mitgliedstaat, auf den sich die räumlich beschränkte Gültigkeit erstreckt, übereinstimmt: „NOT OK“; |
|
i) |
wenn der Drittstaatsangehörige nicht über eine zum Datum der Einreise gültige Reisegenehmigung verfügt und in das Hoheitsgebiet eines Mitgliedstaats einreist, der die ETIAS-Verordnung anwendet: „NOT OK“. |
(4) Nach Ablauf der Schonfrist gemäß Artikel 83 Absatz 3 der Verordnung (EU) 2018/1240 bestimmen sich die Antworten auf Überprüfungsabfragen nach folgenden Regeln:
|
a) |
Bis zur Inbetriebnahme des Visa-Informationssystems gemäß der Verordnung (EG) Nr. 767/2008:
|
|
b) |
Ab der Inbetriebnahme des Visa-Informationssystems:
|
Artikel 7
Nachrichtenformat
eu-LISA legt in den technischen Leitlinien die Datenformate und die Struktur der Nachrichten fest, die für die Übermittlung von Überprüfungsabfragen und Antworten auf diese Abfragen über die Schnittstelle für Beförderungsunternehmen zu verwenden sind. eu-LISA sieht dabei die Nutzung mindestens folgender Datenformate vor:
|
a) |
UN/EDIFACT; |
|
b) |
PAXLST/CUSRES; |
|
c) |
XML; |
|
d) |
JSON. |
Artikel 8
Anforderungen an die Schnittstelle für Beförderungsunternehmen im Hinblick auf die Datenextraktion und Datenqualität
(1) Daten zu erteilten, annullierten oder aufgehobenen Reisegenehmigungen werden mindestens täglich automatisiert aus dem ETIAS extrahiert und in die Datenbank, auf die nur Lesezugriff besteht, übertragen.
(2) Alle Datenextraktionen mit Übertragung in die Datenbank, auf die nur Lesezugriff besteht, gemäß Absatz 1 werden protokolliert.
(3) eu-LISA ist verantwortlich für die Sicherheit der Schnittstelle für Beförderungsunternehmen und der darin enthaltenen personenbezogenen Daten sowie für den Vorgang der Extraktion der Daten gemäß Absatz 1 aus dem ETIAS und deren Übertragung in die Datenbank, auf die nur Lesezugriff besteht. Die Einzelheiten der technischen Implementierung werden nach Abschluss des Risikobewertungsverfahrens aus dem Sicherheitsplan abgeleitet.
(4) Es darf nicht möglich sein, Daten aus der Datenbank, auf die nur Lesezugriff besteht, in das ETIAS zu übertragen.
Artikel 9
Authentifizierungssystem
(1) eu-LISA entwickelt unter Berücksichtigung von Informationen über das Sicherheitsrisikomanagement sowie der Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen sowie der Grundsätze für die Zugriffskontrolle, einschließlich der Verantwortlichkeit, ein Authentifizierungssystem, das es ermöglicht, den Veranlasser der Überprüfungsabfrage rückzuverfolgen.
(2) Die Einzelheiten des Authentifizierungssystems werden in den technischen Leitlinien festgelegt.
(3) Das Authentifizierungssystem ist im Einklang mit Artikel 12 zu testen.
(4) Wenn Beförderungsunternehmer über die Programmierschnittstelle gemäß Artikel 4 Absatz 2 Buchstabe a auf die Schnittstelle für Beförderungsunternehmen zugreifen, muss das Authentifizierungssystem mittels gegenseitiger Authentifizierung implementiert werden.
Artikel 10
Registrierung beim Authentifizierungssystem
(1) Beförderungsunternehmer gemäß Artikel 45 Absatz 1 der Verordnung (EU) 2018/1240, die im Hoheitsgebiet der Mitgliedstaaten tätig sind und Passagiere dorthin befördern, müssen sich zunächst registrieren, bevor sie Zugriff auf das Authentifizierungssystem erhalten.
(2) eu-LISA stellt auf einer öffentlichen Website ein Registrierungsformular zur Verfügung, das online ausgefüllt wird. Das Registrierungsformular kann nur eingereicht werden, wenn alle Felder ordnungsgemäß ausgefüllt wurden.
(3) Das Registrierungsformular enthält Felder, in denen die Beförderungsunternehmer folgende Informationen bereitstellen müssen:
|
a) |
Firmenname und Kontaktdaten (E-Mail-Adresse, Telefonnummer und Postanschrift) des Beförderungsunternehmers; |
|
b) |
Kontaktdaten des gesetzlichen Vertreters des Unternehmens, das die Registrierung beantragt, und der Ersatz-Ansprechpartner (Namen, Telefonnummern, E-Mail-Adressen und Postanschriften) sowie die funktionale E-Mail-Adresse und sonstigen Kommunikationsmittel, die der Beförderungsunternehmer beabsichtigt, für die Zwecke der Artikel 13 und 14 zu nutzen; |
|
c) |
Mitgliedstaat oder Drittstaat, der die amtliche Unternehmenseintragung gemäß Absatz 6 ausgestellt hat, und Eintragungsnummer, sofern vorhanden; |
|
d) |
sofern der Beförderungsunternehmer eine amtliche Unternehmenseintragung gemäß Absatz 6 beigefügt hat, die von einem Drittstaat ausgestellt wurde: die Mitgliedstaaten, in denen der Beförderungsunternehmer tätig ist oder beabsichtigt, innerhalb des kommenden Jahres tätig zu sein. |
(4) Mit dem Registrierungsformular werden die Beförderungsunternehmer über die Mindestsicherheitsanforderungen informiert. Die Beförderungsunternehmer stellen sicher, dass die folgenden Ziele eingehalten werden:
|
a) |
Ermittlung und Bewältigung von Sicherheitsrisiken im Zusammenhang mit der Verbindung mit der Schnittstelle für Beförderungsunternehmen; |
|
b) |
Schutz der Umgebungen und Geräte, die mit der Schnittstelle für Beförderungsunternehmen verbunden sind; |
|
c) |
Feststellung und Analyse von Cyber-Sicherheitsvorfällen, Reaktion darauf sowie Wiederherstellung nach solchen Vorfällen. |
(5) Mit dem Registrierungsformular müssen die Beförderungsunternehmer folgende Erklärungen abgeben:
|
a) |
dass sie im Hoheitsgebiet der Mitgliedstaaten tätig sind und Passagiere dorthin befördern oder beabsichtigen, dies innerhalb der kommenden sechs Monate zu tun; |
|
b) |
dass sie beim Zugriff auf die Schnittstelle für Beförderungsunternehmen und deren Nutzung die im Registrierungsformular festgelegten Mindestsicherheitsanforderungen gemäß Absatz 4 einhalten werden; |
|
c) |
dass nur gebührend ermächtigte Mitarbeiter auf die Schnittstelle für Beförderungsunternehmen zugreifen können. |
(6) Mit dem Registrierungsformular müssen die Beförderungsunternehmer eine elektronische Kopie ihrer Errichtungsakte einschließlich der Satzung sowie als elektronische Kopie einen Auszug ihrer amtlichen Unternehmenseintragung einreichen, die entweder, soweit zutreffend, von mindestens einem Mitgliedstaat oder von einem Drittstaat ausgestellt wurde; dieser Auszug muss in einer der Amtssprachen der Union oder in isländischer oder norwegischer Sprache oder in amtlicher Übersetzung in eine der vorgenannten Sprachen vorliegen. Anstelle der amtlichen Unternehmenseintragung kann auch eine in einem oder mehreren Mitgliedstaaten geltende Betriebsgenehmigung, etwa ein Luftverkehrsbetreiberzeugnis, als elektronische Kopie beigefügt werden.
(7) Mit dem Registrierungsformular muss den Beförderungsunternehmern das Folgende mitgeteilt werden:
|
a) |
dass sie eu-LISA über jegliche Änderungen im Hinblick auf die in den Absätzen 3, 4 und 5 dieses Artikels genannten Informationen sowie über technische Änderungen, die ihre zwischen Systemen ausgeführte Verbindung mit der Schnittstelle für Beförderungsunternehmen betreffen und möglicherweise zusätzliche Tests nach Artikel 12 erfordern, informieren und dabei die für diese Zwecke vorgesehenen eu-LISA-Kontaktdaten verwenden müssen; |
|
b) |
dass die Registrierung eines Beförderungsunternehmers beim Authentifizierungssystem automatisch aufgehoben wird, falls aus den Protokollen hervorgeht, dass er die Schnittstelle für Beförderungsunternehmen über einen Zeitraum von einem Jahr nicht genutzt hat; |
|
c) |
dass die Registrierung eines Beförderungsunternehmers beim Authentifizierungssystem aufgehoben werden kann, wenn der Beförderungsunternehmer gegen die Bestimmungen dieser Verordnung, die Sicherheitsanforderungen gemäß Absatz 4 oder die technischen Leitlinien verstößt, einschließlich durch Missbrauch der Schnittstelle für Beförderungsunternehmen; |
|
d) |
dass die Beförderungsunternehmer eu-LISA über jegliche etwaige Verletzung des Schutzes personenbezogener Daten unterrichten und regelmäßig die Zugriffsrechte ihrer für den Zugriff eingesetzten Mitarbeiter überprüfen müssen. |
(8) Wenn das Registrierungsformular ordnungsgemäß eingereicht wurde, registriert eu-LISA den Beförderungsunternehmer und teilt ihm mit, dass er registriert wurde. Wurde das Registrierungsformular nicht ordnungsgemäß eingereicht, verweigert eu-LISA die Registrierung und teilt dem Beförderungsunternehmer die Gründe der Verweigerung mit.
(9) eu-LISA führt ein aktuelles Register der registrierten Beförderungsunternehmer. Personenbezogene Daten, die bei der Registrierung eines Beförderungsunternehmers mitgeteilt wurden, werden spätestens ein Jahr nach dem Aufheben der Registrierung des Beförderungsunternehmers gelöscht.
Artikel 11
Aufheben der Registrierung beim Authentifizierungssystem
(1) Wenn ein Beförderungsunternehmer eu-LISA mitteilt, dass er nicht mehr im Hoheitsgebiet der Mitgliedstaaten tätig ist oder Passagiere dorthin befördert, hebt eu-LISA die Registrierung des Beförderungsunternehmers auf.
(2) Geht aus den Protokollen hervor, dass der Beförderungsunternehmer die Schnittstelle für Beförderungsunternehmen über einen Zeitraum von einem Jahr nicht genutzt hat, wird seine Registrierung automatisch aufgehoben.
(3) Erfüllt ein Beförderungsunternehmer die Bedingungen nach Artikel 10 Absatz 5 nicht mehr oder hat er anderweitig gegen die Bestimmungen dieser Verordnung, die Sicherheitsanforderungen gemäß Artikel 10 Absatz 4 oder die technischen Leitlinien verstoßen, einschließlich durch Missbrauch der Schnittstelle für Beförderungsunternehmen, kann eu-LISA die Registrierung des Beförderungsunternehmers aufheben.
(4) Einen Monat vor dem Aufheben der Registrierung des Beförderungsunternehmers informiert eu-LISA den Beförderungsunternehmer über die beabsichtigte Aufhebung der Registrierung gemäß den Absätzen 1, 2 oder 3 und teilt ihm dabei den Grund für die Aufhebung mit. Vor dem Aufheben der Registrierung gibt eu-LISA dem Beförderungsunternehmer Gelegenheit zur schriftlichen Stellungnahme.
(5) Bei dringenden Bedenken hinsichtlich der IT-Sicherheit, einschließlich des Falls, dass der Beförderungsunternehmer die Sicherheitsanforderungen gemäß Artikel 10 Absatz 4 oder die technischen Leitlinien nicht einhält, kann eu-LISA die Verbindung eines Beförderungsunternehmers unverzüglich trennen. In diesem Fall informiert eu-LISA den Beförderungsunternehmer über die Trennung der Verbindung und teilt ihm den Grund der Verbindungstrennung mit.
(6) eu-LISA unterstützt Beförderungsunternehmer, die eine Benachrichtigung über das Aufheben der Registrierung oder die Trennung der Verbindung erhalten haben, in angemessenem Umfang dabei, die für die Benachrichtigung ausschlaggebenden Mängel zu beheben, und bietet soweit möglich Beförderungsunternehmern, deren Verbindung getrennt wurde, für einen begrenzten Zeitraum sowie unter strikten Bedingungen die Möglichkeit, Überprüfungsabfragen auf andere Weise als in Artikel 4 genannt zu übermitteln.
(7) Beförderungsunternehmer, deren Verbindung getrennt wurde, können erneut an die Schnittstelle für Beförderungsunternehmen angebunden werden, nachdem sie die für die Trennung der Verbindung ausschlaggebenden Sicherheitsbedenken erfolgreich beseitigt haben. Beförderungsunternehmer, deren Registrierung aufgehoben wurde, können einen neuen Antrag auf Registrierung einreichen.
(8) Nach der Registrierung der Beförderungsunternehmer gemäß Artikel 10 kann eu-LISA jederzeit und insbesondere, wenn ein begründeter Verdacht besteht, dass ein oder mehrere Beförderungsunternehmer die Schnittstelle für Beförderungsunternehmen missbrauchen oder die Bedingungen gemäß Artikel 10 Absatz 4 nicht erfüllen, Erkundigungen bei Mitgliedstaaten oder Drittstaaten einziehen.
(9) Steht das Registrierungsformular gemäß Artikel 10 Absatz 2 für einen längeren Zeitraum nicht zur Verfügung, stellt eu-LISA sicher, dass die Registrierung im Einklang mit dem vorgenannten Artikel auf andere Art und Weise vorgenommen werden kann.
Artikel 12
Entwicklung, Test und Verbindung der Schnittstelle für Beförderungsunternehmen
(1) eu-LISA stellt den Beförderungsunternehmern die technischen Leitlinien zur Verfügung, damit sie die Schnittstelle für Beförderungsunternehmen entwickeln und testen können.
(2) Entscheiden sich Beförderungsunternehmer dafür, die Verbindung über die in Artikel 4 Absatz 2 Buchstabe a genannte Programmierschnittstelle herzustellen, muss die Umsetzung des Nachrichtenformats nach Artikel 7 und des Authentifizierungssystems nach Artikel 9 getestet werden.
(3) Entscheiden sich Beförderungsunternehmer für die Verbindung über die Web-Schnittstelle (Browser) oder die Anwendung für Mobilgeräte, müssen sie eu-LISA mitteilen, dass sie ihre Verbindung mit der Schnittstelle für Beförderungsunternehmen erfolgreich getestet haben und dass ihre gebührend ermächtigten Mitarbeiter erfolgreich in der Nutzung der Schnittstelle für Beförderungsunternehmen geschult wurden.
(4) Für die Zwecke des Absatzes 2 entwickelt eu-LISA einen Testplan, eine Testumgebung und einen Simulator, mit denen eu-LISA und die Beförderungsunternehmer die Verbindung der Beförderungsunternehmer mit der Schnittstelle für Beförderungsunternehmen testen können, und stellt diese zur Verfügung. Für die Zwecke des Absatzes 3 entwickelt eu-LISA eine Testumgebung, die es Beförderungsunternehmern ermöglicht, ihre Mitarbeiter zu schulen, und stellt diese Testumgebung zur Verfügung.
(5) Nachdem das Registrierungsverfahren gemäß Artikel 10 erfolgreich abgeschlossen wurde und die Tests gemäß Absatz 2 dieses Artikels erfolgreich durchgeführt wurden oder eu-LISA die Mitteilung gemäß Absatz 3 dieses Artikels erhalten hat, bindet eu-LISA den Beförderungsunternehmer an die Schnittstelle für Beförderungsunternehmen an.
Artikel 13
Technische Unmöglichkeit
(1) Wenn es aufgrund eines Ausfalls einer ETIAS-Komponente technisch nicht möglich ist, eine Überprüfungsabfrage zu senden, gilt das Folgende:
|
a) |
Wird der Ausfall von einem Beförderungsunternehmer festgestellt, benachrichtigt er die ETIAS-Zentralstelle, sobald er den Ausfall bemerkt, über die in Artikel 14 genannten Mittel. |
|
b) |
Wird der Ausfall von eu-LISA festgestellt oder bestätigt, informiert die ETIAS-Zentralstelle die betroffenen Beförderungsunternehmer und Mitgliedstaaten per E-Mail oder über ein anderes Kommunikationsmittel über den Ausfall, sobald sie davon Kenntnis erhält, sowie, nachdem das Problem behoben wurde, über das Ende des Ausfalls. |
(2) Wenn es aus anderen Gründen als dem Ausfall einer ETIAS-Komponente technisch nicht möglich ist, eine Überprüfungsabfrage zu senden, benachrichtigt der Beförderungsunternehmer die ETIAS-Zentralstelle über die in Artikel 14 genannten Mittel.
(3) Sobald das Problem behoben wurde, teilt der Beförderungsunternehmer dies der ETIAS-Zentralstelle über die in Artikel 14 genannten Mittel mit.
(4) Die ETIAS-Zentralstelle teilt den betroffenen Mitgliedstaaten mit, dass der betreffende Beförderungsunternehmer die Überprüfungsabfrage nicht senden kann.
(5) Für die Zwecke dieses Artikels und des Artikels 14 stellt eu-LISA der ETIAS-Zentralstelle ein Ticketing-Tool zur Verfügung. Das Tool bietet Zugriff auf das Register der Beförderungsunternehmer.
(6) Die ETIAS-Zentralstelle bestätigt den Eingang von Benachrichtigungen gemäß den Absätzen 1 und 2.
Artikel 14
Unterstützung von Beförderungsunternehmern
(1) Den Beförderungsunternehmern wird über eine öffentliche Website ein zum Ticketing-Tool gehörendes Online-Formular bereitgestellt, über das sie Unterstützung anfordern können.
Über das Online-Formular können die Beförderungsunternehmer mindestens folgende Informationen bereitstellen:
|
a) |
Identifizierungsangaben des Beförderungsunternehmers; |
|
b) |
Zusammenfassung der Unterstützungsanfrage; |
|
c) |
Angabe, ob es sich um eine technische Unterstützungsanfrage handelt, und wenn ja, Datum und Uhrzeit des Beginns des technischen Problems. |
(2) Die ETIAS-Zentralstelle bestätigt den Beförderungsunternehmern den Eingang der Unterstützungsanfrage. Diese Eingangsbestätigung enthält eine Ticketnummer.
(3) Wenn es sich um eine technische Unterstützungsanfrage handelt, sendet die ETIAS-Zentralstelle die Anfrage an eu-LISA. eu-LISA ist dafür zuständig, den Beförderungsunternehmern technische Unterstützung bereitzustellen.
(4) Wenn es sich nicht um eine technische Unterstützungsanfrage handelt, unterstützt die ETIAS-Zentralstelle die Beförderungsunternehmer, indem sie sie auf die relevanten Informationen verweist.
(5) Ist es technisch nicht möglich, gemäß Absatz 1 Unterstützung über das Online-Formular anzufordern, muss der Beförderungsunternehmer einen Telefonnotruf verwenden können, der mit der ETIAS-Zentralstelle oder eu-LISA verbunden ist.
(6) Die Unterstützung durch die ETIAS-Zentralstelle und eu-LISA wird an sieben Tagen in der Woche rund um die Uhr auf Englisch bereitgestellt.
(7) Die ETIAS-Zentralstelle stellt eine Liste mit häufig gestellten Fragen, die für Beförderungsunternehmer relevant sind, und Antworten darauf online zur Verfügung. Die Liste wird in allen Amtssprachen der Union bereitgestellt. Sie ist getrennt von den Fragen und Antworten, die für Reisende relevant sind.
Artikel 15
Aufhebung der Durchführungsverordnung (EU) 2021/1217
Die Durchführungsverordnung (EU) 2021/1217 wird aufgehoben.
Artikel 16
Inkrafttreten
Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt gemäß den Verträgen unmittelbar in den Mitgliedstaaten.
Brüssel, den 8. August 2022
Für die Kommission
Die Präsidentin
Ursula VON DER LEYEN
(1) ABl. L 236 vom 19.9.2018, S. 1.
(2) Durchführungsverordnung (EU) 2021/1217 der Kommission vom 26. Juli 2021 zur Festlegung der Vorschriften und Bedingungen für Überprüfungsabfragen von Beförderungsunternehmern, Bestimmungen über Datenschutz und Sicherheit des Authentifizierungssystems der Beförderungsunternehmen sowie für Ausweichverfahren im Falle der technischen Unmöglichkeit (ABl. L 267 vom 27.7.2021, S. 1).
(3) Beschluss 2002/192/EG des Rates vom 28. Februar 2002 zum Antrag Irlands auf Anwendung einzelner Bestimmungen des Schengen-Besitzstands auf Irland (ABl. L 64 vom 7.3.2002, S. 20).
(4) ABl. L 176 vom 10.7.1999, S. 36.
(5) Beschluss 1999/437/EG des Rates vom 17. Mai 1999 zum Erlass bestimmter Durchführungsvorschriften zu dem Übereinkommen zwischen dem Rat der Europäischen Union und der Republik Island und dem Königreich Norwegen über die Assoziierung dieser beiden Staaten bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands (ABl. L 176 vom 10.7.1999, S. 31).
(6) ABl. L 53 vom 27.2.2008, S. 52.
(7) Beschluss 2008/146/EG des Rates vom 28. Januar 2008 über den Abschluss — im Namen der Europäischen Gemeinschaft — des Abkommens zwischen der Europäischen Union, der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Assoziierung der Schweizerischen Eidgenossenschaft bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands (ABl. L 53 vom 27.2.2008, S. 1).
(8) ABl. L 160 vom 18.6.2011, S. 21.
(9) Beschluss 2011/350/EU des Rates vom 7. März 2011 über den Abschluss — im Namen der Europäischen Union — des Protokolls zwischen der Europäischen Union, der Europäischen Gemeinschaft, der Schweizerischen Eidgenossenschaft und dem Fürstentum Liechtenstein über den Beitritt des Fürstentums Liechtenstein zum Abkommen zwischen der Europäischen Union, der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Assoziierung der Schweizerischen Eidgenossenschaft bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands in Bezug auf die Abschaffung der Kontrollen an den Binnengrenzen und den freien Personenverkehr (ABl. L 160 vom 18.6.2011, S. 19).
(10) Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39).