(1)   ECRIS-TCN setzt sich zusammen aus:

(2)   Das Zentralsystem ist an den technischen Betriebsstätten von eu-LISA angesiedelt.

(3)   Die Schnittstellensoftware wird in die ECRIS-Referenzimplementierung integriert. Die Mitgliedstaaten verwenden die ECRIS-Referenzimplementierung oder — in den Fällen und unter den Voraussetzungen der Absätze 4 bis 8 — die nationale ECRIS-Implementierungssoftware für Abfragen im ECRIS-TCN sowie für die Übermittlung darauffolgender Ersuchen um Strafregisterinformationen.

(4)   Die Mitgliedstaaten, die ihre nationale ECRIS-Implementierungssoftware verwenden, sind dafür verantwortlich, ihre nationale ECRIS-Implementierungssoftware so zu gestalten, dass die nationalen Strafregisterbehörden das ECRIS-TCN, mit Ausnahme der Schnittstellensoftware, nach Maßgabe dieser Verordnung nutzen können. Zu diesem Zweck gewährleisten sie vor dem Zeitpunkt der Aufnahme des Betriebs des ECRIS-TCN gemäß Artikel 35 Absatz 4, dass ihre nationale ECRIS-Implementierungssoftware gemäß den Protokollen und technischen Spezifikationen funktioniert, die mit den in Artikel 10 genannten Durchführungsrechtsakten festgelegt werden, sowie gemäß allen weiteren auf diesen Durchführungsrechtsakten beruhenden technischen Vorschriften, die von eu-LISA gemäß dieser Verordnung festgelegt werden.

(5)   Solange die Mitgliedstaaten, die ihre nationale ECRIS-Implementierungssoftware verwenden, die ECRIS-Referenzimplementierung nicht verwenden, stellen sie zudem sicher, dass alle späteren technischen Anpassungen ihrer nationalen ECRIS-Implementierungssoftware, die infolge etwaiger Änderungen der technischen Anforderungen erforderlich sind, die mit den in Artikel 10 genannten Durchführungsrechtsakten festgelegt werden, oder die infolge von Änderungen aller weiteren, auf diesen Rechtsakten beruhenden technischen Anforderungen von eu-LISA gemäß dieser Verordnung beschlossen werden, unverzüglich implementiert werden.

(6)   Die Mitgliedstaaten, die ihre nationale ECRIS-Implementierungssoftware verwenden, tragen alle Kosten im Zusammenhang mit der Implementierung, Wartung und Weiterentwicklung ihrer nationalen ECRIS-Implementierungssoftware und deren Verbindung zum ECRIS-TCN, mit Ausnahme der Schnittstellensoftware.

(7)   Ist ein Mitgliedstaat, der seine nationale ECRIS-Implementierungssoftware verwendet, nicht in der Lage, seine Verpflichtungen nach diesem Artikel zu erfüllen, so ist er verpflichtet, zur Nutzung des ECRIS-TCN die ECRIS-Referenzimplementierung einschließlich der integrierten Schnittstellensoftware zu verwenden.

(8)   Für die Zwecke der von der Kommission nach Artikel 36 Absatz 10 Buchstabe b durchzuführenden Bewertung stellen die betreffenden Mitgliedstaaten der Kommission alle erforderlichen Informationen bereit.

(1)   Für jeden verurteilten Drittstaatsangehörigen legt die Zentralbehörde des Urteilsmitgliedstaats einen Datensatz im Zentralsystem an. Der Datensatz enthält folgende Angaben:

(2)   Die Fingerabdruckdaten nach Absatz 1 Buchstabe b dieses Artikels müssen den technischen Spezifikationen an Qualität, Auflösung und Verarbeitung von Fingerabdruckdaten gemäß dem in Artikel 10 Absatz 1 Buchstabe b genannten Durchführungsakt entsprechen. Die Referenznummer der Fingerabdruckdaten der verurteilten Person muss die nationale Referenznummer des Urteilsmitgliedstaats enthalten.

(3)   Der Datensatz kann auch Gesichtsbilder des verurteilten Drittstaatsangehörigen enthalten, sofern gemäß dem nationalen Recht des Urteilsmitgliedstaats die Aufnahme und Speicherung von Gesichtsbildern verurteilter Personen zulässig sind.

(4)   Nach Erfassung der Verurteilung im Strafregister legt der Urteilsmitgliedstaat den Datensatz soweit möglich automatisch und unverzüglich an.

(5)   Die Urteilsmitgliedstaaten legen auch Datensätze zu Verurteilungen an, die vor dem Tag des Beginns der Dateneingabe nach Artikel 35 Absatz 1 erfolgt sind, soweit Daten zu verurteilten Personen in ihren nationalen Datenbanken erfasst werden. In diesen Fällen werden Fingerabdruckdaten nur aufgenommen, wenn sie im Rahmen von Strafverfahren gemäß dem nationalen Recht abgenommen wurden und wenn sie mit anderen Identitätsangaben in Strafregistern eindeutig übereinstimmen.

(6)   Um den Anforderungen des Absatzes 1 Buchstabe b Ziffern i und ii und des Absatzes 5 nachzukommen, können die Mitgliedstaaten Fingerabdruckdaten verwenden, die für andere Zwecke als Strafverfahren abgenommen wurden, sofern eine solche Verwendung nach nationalem Recht zulässig ist.

(1)   Bis zum Inkrafttreten des in Absatz 2 vorgesehenen delegierten Rechtsakts dürfen Gesichtsbilder nur verwendet werden, um die Identität eines Drittstaatsangehörigen, der infolge eines Abgleichs von alphanumerischen Daten oder Fingerabdruckdaten identifiziert wurde, nachzuweisen.

(2)   Der Kommission wird die Befugnis übertragen, gemäß Artikel 37 zur Ergänzung dieser Verordnung delegierte Rechtsakte über die Verwendung von Gesichtsbildern zur Identifizierung von Drittstaatsangehörigen zu erlassen, um — sobald das technisch möglich ist — auf der Grundlage dieses biometrischen Identifikators festzustellen, in welchen Mitgliedstaaten Informationen über frühere Verurteilungen dieser Personen vorliegen. Bevor die Kommission diese Befugnis ausübt, bewertet sie unter Berücksichtigung der Notwendigkeit und Verhältnismäßigkeit sowie der technischen Entwicklungen im Bereich der Gesichtserkennungssoftware die Verfügbarkeit und Einsatzfähigkeit der erforderlichen Technik.

(1)   Die Zentralbehörden nutzen das ECRIS-TCN zur Ermittlung der Mitgliedstaaten, in denen Strafregisterinformationen zu einem Drittstaatsangehörigen vorliegen, um über das ECRIS Informationen zu früheren Verurteilungen erhalten zu können, wenn in dem betreffenden Mitgliedstaat entsprechende Informationen zu dieser Person für die Zwecke eines gegen sie gerichteten Strafverfahrens oder für einen der folgenden, nach Maßgabe des nationalen Rechts vorgesehenen und zulässigen Zwecke benötigt werden:

In besonderen Fällen — außer in den Fällen, in denen ein Drittstaatsangehöriger bei der Zentralbehörde einen Antrag auf Informationen über die ihn betreffenden Strafregistereintragungen stellt, oder wenn der Antrag gestellt wird, um Strafregisterinformationen gemäß Artikel 10 Absatz 2 der Richtlinie 2011/93/EU zu erhalten — kann die Behörde, die Auskunft aus dem Strafregisterbeantragt, jedoch entscheiden, dass eine solche Nutzung des ECRIS-TCN nicht angezeigt ist.

(2)   Jeder Mitgliedstaat, der — sofern gemäß und entsprechend dem nationalen Recht vorgesehen — beschließt, das ECRIS-TCN für andere als die in Absatz 1 aufgeführten Zwecke zu nutzen, um über das ECRIS Informationen zu früheren Verurteilungen zu erhalten, teilt der Kommission bis zum Zeitpunkt der Aufnahme des Betriebs gemäß Artikel 35 Absatz 4 oder zu einem späteren Zeitpunkt diese anderen Zwecke sowie jede Änderung dieser Zwecke mit. Die Kommission veröffentlicht solche Mitteilungen im Amtsblatt der Europäischen Union innerhalb von 30 Tagen nach dem Eingang der Mitteilungen.

(3)   Eurojust, Europol und die EUStA sind berechtigt, gemäß den Artikeln 14 bis 18 das ECRIS-TCN abzufragen, um festzustellen, in welchen Mitgliedstaaten Strafregisterinformationen zu einem Drittstaatsangehörigen vorliegen. Diese Unionseinrichtungen und -agenturen sind allerdings nicht berechtigt, Daten in das ECRIS-TCN einzugeben oder darin enthaltene Daten zu berichtigen oder zu löschen.

(4)   Zu den Zwecken der Absätze 1, 2 und 3 können die zuständigen Behörden Abfragen im ECRIS-TCN auch durchführen, um zu überprüfen, ob zu einer Person, die die Unionsbürgerschaft besitzt, in einem Mitgliedstaat Strafregisterinformationen zu dieser Person als Drittstaatsangehörigem vorliegen.

(5)   Die zuständigen Behörden dürfen bei der Abfrage des ECRIS-TCN alle oder lediglich einige der in Artikel 5 Absatz 1 genannten Daten verwenden. Der zur Abfrage des Systems erforderliche Mindestdatensatz wird in einem Durchführungsrechtsakt festgelegt, der nach Artikel 10 Absatz 1 Buchstabe g erlassen wird.

(6)   Die zuständigen Behörden können Abfragen im ECRIS-TCN auch anhand von Gesichtsbildern durchführen, sofern diese Funktion gemäß Artikel 6 Absatz 2 in das System integriert ist.

(7)   Bei einem Treffer stellt das Zentralsystem der zuständigen Behörde automatisch Informationen darüber bereit, in welchen Mitgliedstaaten Strafregisterinformationen zu den betreffenden Drittstaatsangehörigen vorliegen, einschließlich der damit verbundenen nationalen Referenznummern und sämtlicher dazugehörigen Identitätsangaben. Diese Identitätsangaben dürfen nur verwendet werden, um die Identität des betreffenden Drittstaatsangehörigen nachzuweisen. Das Ergebnis einer Abfrage im Zentralsystem darf lediglich für die Zwecke eines Ersuchens nach Artikel 6 des Rahmenbeschlusses 2009/315/JI oder eines Ersuchens nach Artikel 17 Absatz 3 dieser Verordnung genutzt werden.

(8)   Wenn es keinen Treffer gibt, wird die zuständige Behörde automatisch vom Zentralsystem informiert.

(1)   Jeder Datensatz wird so lange im Zentralsystem gespeichert, wie die Daten zu der/den Verurteilung(en) der betreffenden Person in den Strafregistern gespeichert sind.

(2)   Nach Ablauf der in Absatz 1 genannten Speicherfrist löscht die Zentralbehörde des Urteilsmitgliedstaats den Datensatz einschließlich aller Fingerabdruckdaten oder Gesichtsbilder aus dem Zentralsystem. Die Löschung erfolgt nach Möglichkeit automatisch und in jedem Fall spätestens einen Monat nach Ablauf der Speicherfrist.

(1)   Die Mitgliedstaaten dürfen die Daten, die sie in das ECRIS-TCN eingespeist haben, ändern oder löschen.

(2)   Wenn Informationen in den Strafregistern, auf deren Grundlage ein Datensatz nach Artikel 5 angelegt wurde, geändert werden, so führt der Urteilsmitgliedstaat unverzüglich dieselbe Änderung des im Zentralsystem gespeicherten Datensatzes durch.

(3)   Hat ein Urteilsmitgliedstaat Grund zu der Annahme, dass die von ihm im Zentralsystem gespeicherten Daten unrichtig sind oder dass bei der Verarbeitung der Daten im Zentralsystem gegen Bestimmungen dieser Verordnung verstoßen wurde, so wird er wie folgt tätig:

(4)   Hat ein anderer Mitgliedstaat als der Urteilsmitgliedstaat, der die Daten eingespeist hat, Grund zu der Annahme, dass die im Zentralsystem gespeicherten Daten unrichtig sind oder dass bei der Verarbeitung der Daten im Zentralsystem gegen Bestimmungen dieser Verordnung verstoßen wurde, so benachrichtigt er unverzüglich die Zentralbehörde des Urteilsmitgliedstaats.

Der Urteilsmitgliedstaat wird wie folgt tätig:

(1)   Die Kommission erlässt so bald wie möglich die für die technische Entwicklung und Implementierung des ECRIS-TCN erforderlichen Durchführungsrechtsakte, insbesondere Bestimmungen über:

(2)   Die in Absatz 1 genannten Durchführungsrechtsakte werden nach dem in Artikel 38 Absatz 2 genannten Prüfverfahren erlassen.

(1)   Für die Entwicklung des ECRIS-TCN nach dem Grundsatz des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen ist eu-LISA verantwortlich. Außerdem ist eu-LISA für das Betriebsmanagement des ECRIS-TCN verantwortlich. Die Entwicklung umfasst die Ausarbeitung und Anwendung der technischen Spezifikationen, die Erprobung und die Projektgesamtkoordination.

(2)   eu-LISA ist auch für die Weiterentwicklung und Wartung der ECRIS-Referenzimplementierung verantwortlich.

(3)   eu-LISA legt das Konzept für die physische Architektur des ECRIS-TCN einschließlich der technischen Spezifikationen und der Weiterentwicklung des Zentralsystems, der zentralen nationalen Zugangsstelle und der Schnittstellensoftware fest. Dieses Konzept wird, vorbehaltlich einer befürwortenden Stellungnahme der Kommission, vom Verwaltungsrat von eu-LISA verabschiedet.

(4)   eu-LISA sorgt dafür, dass das ECRIS-TCN so bald wie möglich nach Inkrafttreten dieser Verordnung und nach Erlass der in Artikel 10 genannten Durchführungsrechtsakte durch die Kommission entwickelt und implementiert wird.

(5)   Vor der Konzeptions- und Entwicklungsphase des ECRIS-TCN richtet der Verwaltungsrat von eu-LISA einen Programmverwaltungsrat ein, der aus zehn Mitgliedern besteht.

Dem Programmverwaltungsrat gehören acht vom Verwaltungsrat ernannte Mitglieder, der Vorsitzende der Beratergruppe nach Artikel 39 sowie ein von der Kommission ernanntes Mitglied an. Die vom Verwaltungsrat ernannten Mitglieder werden nur aus dem Kreis derjenigen Mitgliedstaaten gewählt, die nach dem Unionsrecht in vollem Umfang durch die für das ECRIS geltenden Rechtsinstrumente gebunden sind und die sich am ECRIS-TCN beteiligen werden. Der Verwaltungsrat sorgt dafür, dass die von ihm ernannten Mitglieder im Programmverwaltungsrat über die notwendige Erfahrung und Fachkompetenz in der Entwicklung und Verwaltung von IT-Systemen zur Unterstützung der Justiz- und Strafregisterbehörden verfügen.

eu-LISA beteiligt sich an den Arbeiten des Programmverwaltungsrats. Zu diesem Zweck nehmen Vertreter von eu-LISA an den Sitzungen des Programmverwaltungsrats teil, um über die Arbeiten an der Konzeption und Entwicklung des ECRIS-TCN und über weitere damit zusammenhängende Arbeiten und Tätigkeiten zu berichten.

Der Programmverwaltungsrat tritt mindestens alle drei Monate zusammen, nötigenfalls auch häufiger. Er gewährleistet die angemessene Verwaltung der Konzeptions- und Entwicklungsphase des ECRIS-TCN sowie die Kohärenz zwischen zentralen und nationalen ECRIS-TCN-Projekten und der nationalen Implementierungssoftware. Der Programmverwaltungsrat erstattet dem Verwaltungsrat von eu-LISA regelmäßig — nach Möglichkeit monatlich — schriftlich Bericht über die Fortschritte des Projekts. Der Programmverwaltungsrat hat keine Entscheidungsbefugnis und kein Mandat zur Vertretung der Mitglieder des Verwaltungsrats.

(6)   Der Programmverwaltungsrat legt seine Geschäftsordnung fest, in der insbesondere Folgendes geregelt ist:

(7)   Den Vorsitz des Programmverwaltungsrats übernimmt ein Mitgliedstaat, der nach dem Unionsrecht in vollem Umfang durch die Rechtsinstrumente gebunden ist, die für das ECRIS und für die Entwicklung, die Errichtung, den Betrieb und die Nutzung aller von eu-LISA verwalteten IT-Großsysteme gelten.

(8)   eu-LISA trägt sämtliche Kosten für Reise und Aufenthalt, die den Mitgliedern des Programmverwaltungsrates entstehen. Artikel 10 der Geschäftsordnung von eu-LISA gilt entsprechend. Das Sekretariat des Programmverwaltungsrats wird von eu-LISA gestellt.

(9)   Während der Konzeptions- und Entwicklungsphase gehören der Beratergruppe nach Artikel 39 die nationalen ECRIS-TCN- -Projektmanager an, wobei eu-LISA den Vorsitz innehat. Während der Konzeptions- und Entwicklungsphase bis zur Aufnahme des Betriebs des ECRIS-TCN tritt die Gruppe regelmäßig, nach Möglichkeit mindestens einmal im Monat zusammen. Nach jeder Sitzung erstattet sie dem Programmverwaltungsrat Bericht. Sie stellt den technischen Sachverstand zur Unterstützung des Programmverwaltungsrats bei seinen Aufgaben bereit und überwacht den Stand der Vorbereitung in den Mitgliedstaaten.

(10)   Um die Vertraulichkeit und Integrität der im ECRIS-TCN gespeicherten Daten jederzeit zu gewährleisten, sorgt eu-LISA in Zusammenarbeit mit den Mitgliedstaaten für geeignete technische und organisatorische Maßnahmen, wobei der Stand der Technik, die Durchführungskosten und die durch die Verarbeitung entstehenden Risiken zu berücksichtigen sind.

(11)   eu-LISA ist für folgende Aufgaben im Zusammenhang mit der Kommunikationsinfrastruktur nach Artikel 4 Absatz 1 Buchstabe d zuständig:

(12)   Für alle sonstigen Aufgaben im Zusammenhang mit der Kommunikationsinfrastruktur gemäß Artikel 4 Absatz 1 Buchstabe d ist die Kommission zuständig, insbesondere für:

(13)   eu-LISA entwickelt und unterhält einen Mechanismus und Verfahren für die Durchführung von Kontrollen zur Qualität der im ECRIS-TCN gespeicherten Daten und erstattet den Mitgliedstaaten regelmäßig darüber Bericht. eu-LISA erstattet der Kommission regelmäßig Bericht über die aufgetretenen Probleme und die betroffenen Mitgliedstaaten.

(14)   Das Betriebsmanagement des ECRIS-TCN umfasst alle Aufgaben, die erforderlich sind, um das ECRIS-TCN nach Maßgabe dieser Verordnung betriebsbereit zu halten; dazu gehören insbesondere die Wartungsarbeiten und technischen Entwicklungen, die erforderlich sind, um sicherzustellen, dass das ECRIS-TCN in Übereinstimmung mit den technischen Spezifikationen mit zufriedenstellender Betriebsqualität funktioniert.

(15)   eu-LISA führt Aufgaben im Zusammenhang mit Schulungen zur technischen Nutzung des ECRIS-TCN und der ECRIS-Referenzimplementierung durch.

(16)   Unbeschadet des Artikels 17 des Statuts der Beamten der Europäischen Union gemäß der Verordnung (EWG, Euratom, EGKS) Nr. 259/68 (17) wendet eu-LISA angemessene Regeln zur Gewährleistung der beruflichen Schweigepflicht oder einer anderen vergleichbaren Geheimhaltungspflicht auf alle Bediensteten an, die mit im Zentralsystem gespeicherten Daten arbeiten. Diese Pflicht besteht auch nach dem Ausscheiden dieser Bediensteten aus dem Amt oder der Beendigung ihres Dienstverhältnisses oder ihrer Tätigkeit weiter.

(1)   Jeder Mitgliedstaat ist zuständig für:

(2)   Jeder Mitgliedstaat stellt den Bediensteten seiner Zentralbehörden, die auf das ECRIS-TCN zugreifen dürfen, angemessene Schulungen insbesondere über die Vorschriften zu Datensicherheit und Datenschutz sowie über die anwendbaren Grundrechte bereit, bevor sie ermächtigt werden, im Zentralsystem gespeicherte Daten zu verarbeiten.

(1)   Gemäß den anwendbaren Datenschutzvorschriften der Union stellt jeder Mitgliedstaat sicher, dass die im ECRIS-TCN erfassten Daten rechtmäßig verarbeitet werden und insbesondere, dass

(2)   eu-LISA stellt sicher, dass das ECRIS-TCN gemäß dieser Verordnung, den delegierten Rechtsakten nach Artikel 6 Absatz 2 und den Durchführungsrechtsakten nach Artikel 10 sowie gemäß der Verordnung (EU) 2018/1725 betrieben wird. Insbesondere ergreift eu-LISA unbeschadet der Zuständigkeiten der einzelnen Mitgliedstaaten die nötigen Maßnahmen, um die Sicherheit des Zentralsystems und der Kommunikationsinfrastruktur gemäß Artikel 4 Absatz 1 Buchstabe d zu gewährleisten.

(3)   eu-LISA unterrichtet das Europäische Parlament, den Rat und die Kommission sowie den Europäischen Datenschutzbeauftragten so bald wie möglich über die Maßnahmen, die eu-LISA gemäß Absatz 2 für die Aufnahme des Betriebs des ECRIS-TCN ergreift.

(4)   Die Kommission stellt den Mitgliedstaaten und der Öffentlichkeit die in Absatz 3 genannten Informationen über eine regelmäßig aktualisierte öffentliche Website zur Verfügung.

(1)   Eurojust hat für die Durchführung des Artikels 17 und für die Erfüllung ihrer in Artikel 2 derVerordnung (EU) 2018/1727 genannten Aufgaben direkten Zugang zum ECRIS-TCN, um ermitteln zu können, in welchen Mitgliedstaaten Informationen zu vorherigen Verurteilungen von Drittstaatsangehörigen vorliegen.

(2)   Europol hat für die Erfüllung ihrer in Artikel 4 Absatz 1 Buchstaben a bis e und h der Verordnung (EU) 2016/794 genannten Aufgaben direkten Zugang zum ECRIS-TCN, um ermitteln zu können, in welchen Mitgliedstaaten Informationen zu vorherigen Verurteilungen von Drittstaatsangehörigen vorliegen.

(3)   Die EUStA hat für die Erfüllung ihrer in Artikel 4 der Verordnung (EU) 2017/1939 genannten Aufgaben direkten Zugang zum ECRIS-TCN, um ermitteln zu können, in welchen Mitgliedstaaten Informationen zu vorherigen Verurteilungen von Drittstaatsangehörigen vorliegen.

(4)   Wenn aus einem Treffer hervorgeht, in welchen Mitgliedstaaten Strafregisterinformationen zu einem Drittstaatsangehörigen vorliegen, können Eurojust, Europol und die EUStA die nationalen Behörden der betreffenden Mitgliedstaaten kontaktieren, um diese um Übermittlung der Strafregisterinformationen gemäß deren jeweiligen Gründungsrechtsakten zu ersuchen.

(1)   Drittstaaten und internationale Organisationen können für die Zwecke eines Strafverfahrens Ersuchen um Auskunft darüber, welche Mitgliedstaaten eventuell Strafregisterinformationen über Drittstaatsangehörige haben, an Eurojust richten. Dazu ist das Formblatt im Anhang dieser Verordnung zu verwenden.

(2)   Erhält Eurojust ein Ersuchen nach Absatz 1, so ermittelt es mit Hilfe des ECRIS-TCN die Mitgliedstaaten, in denen eventuell Strafregisterinformationen zu dem betreffenden Drittstaatsangehörigen vorliegen.

(3)   Gibt es einen Treffer, so fragt Eurojust bei dem Mitgliedstaat, in dem Strafregisterinformationen zu dem betreffenden Drittstaatsangehörigen vorliegen, an, ob dieser zustimmt, dass Eurojust dem Drittstaat oder der internationalen Organisation den Namen des betreffenden Mitgliedstaats mitteilt. Gibt der Mitgliedstaat seine Zustimmung, so teilt Eurojust dem Drittstaat oder der internationalen Organisation den Namen des betreffenden Mitgliedstaats mit und informiert den Drittstaat oder die internationale Organisation darüber, wie ein Ersuchen um Auszüge aus dem Strafregister bei diesem Mitgliedstaat nach Maßgabe der anwendbaren Verfahren eingereicht werden kann.

(4)   Gibt es keinen Treffer oder kann Eurojust ein nach diesem Artikel eingereichtes Ersuchen nicht gemäß Absatz 3 beantworten, so teilt Eurojust dem betreffenden Drittstaat oder der betreffenden internationalen Organisation mit, dass es das Verfahren abgeschlossen hat, ohne in irgendeiner Form anzugeben, ob in einem Mitgliedstaat Strafregisterinformationen zu der betreffenden Person vorliegen.

(1)   Unbeschadet der Zuständigkeiten der einzelnen Mitgliedstaaten ergreift eu-LISA die erforderlichen Maßnahmen, um unter Berücksichtigung der in Absatz 3 genannten Sicherheitsmaßnahmen die Sicherheit des ECRIS-TCN zu gewährleisten.

(2)   Für den Betrieb des ECRIS-TCN ergreift eu-LISA die erforderlichen Maßnahmen, um die in Absatz 3 genannten Ziele zu erreichen, einschließlich der Verabschiedung eines Sicherheitsplans sowie eines Notfallplans zur Aufrechterhaltung und eines Notfallplans zur Wiederherstellung des Betriebs, und um zu gewährleisten, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können.

(3)   Die Mitgliedstaaten gewährleisten die Datensicherheit vor und während der Übermittlung von Daten an die und während des Empfangs von Daten von der zentralen nationalen Zugangsstelle. Jeder Mitgliedstaat

(4)   eu-LISA und die Mitgliedstaaten arbeiten zusammen, um für ein kohärentes Vorgehen im Bereich der Datensicherheit zu sorgen, das auf einem das ganze ECRIS-TCN umfassenden Verfahren zum Management von Sicherheitsrisiken beruht.

(1)   Jede Person und jeder Mitgliedstaat, der bzw. dem durch eine rechtswidrige Verarbeitung oder durch andere gegen diese Verordnung verstoßende Handlungen ein materieller oder immaterieller Schaden entsteht, hat das Recht, Schadenersatz zu verlangen von

Der Mitgliedstaat, der für den entstandenen Schaden verantwortlich ist bzw. eu-LISA werden teilweise oder vollständig von ihrer Haftung befreit, wenn sie nachweisen, dass sie für den Umstand, durch den der Schaden eingetreten ist, nicht verantwortlich sind.

(2)   Für Schäden am ECRIS-TCN, die darauf zurückzuführen sind, dass ein Mitgliedstaat, Eurojust, Europol oder die EUStA seinen bzw. ihren Verpflichtungen aus dieser Verordnung nicht nachgekommen ist, haftet der betreffende Mitgliedstaat, Eurojust, Europol bzw. die EUSt, es sei denn und soweit eu-LISA oder ein anderer am ECRIS-TCN beteiligter Mitgliedstaat keine angemessenen Maßnahmen ergriffen hat, um den Schaden abzuwenden oder zu mindern.

(3)   Die Geltendmachung von Schadenersatzansprüchen nach den Absätzen 1 und 2 gegen einen Mitgliedstaat unterliegt dem Recht des beklagten Mitgliedstaats. Die Geltendmachung von Schadenersatzansprüchen nach den Absätzen 1 und 2 gegen eu-LISA, Eurojust, Europol oder die EUStA richtet sich nach deren jeweiligen Gründungsrechtsakten.

(1)   Jede Zentralbehörde gilt für die Verarbeitung personenbezogener Daten durch den Mitgliedstaat dieser Zentralbehörde im Rahmen dieser Verordnung als Datenverantwortlicher im Sinne der anwendbaren Datenschutzvorschriften der Union.

(2)   eu-LISA gilt für die von den Mitgliedstaaten in das Zentralsystem eingegebenen personenbezogenen Daten gemäß der Verordnung (EU) 2018/1725 als Datenverarbeiter.

(1)   Die in das Zentralsystem eingegebenen Daten dürfen nur verarbeitet werden, um festzustellen, in welchen Mitgliedstaaten Strafregisterinformationen zu Drittstaatsangehörigen vorliegen.

(2)   Mit Ausnahme der dazu ordnungsgemäß ermächtigten Bediensteten von Eurojust, Europol und der EUStA, die Zugang zum ECRIS-TCN für die Zwecke dieser Verordnung haben, ist der Zugang zum ECRIS-TCN allein den dazu ordnungsgemäß ermächtigten Bediensteten der Zentralbehörden vorbehalten. Der Zugang ist gemäß dem in Absatz 1 genannten Zweck auf das für die Wahrnehmung der Aufgaben erforderliche Maß beschränkt und geht nicht über das hinaus, was für die verfolgten Ziele erforderlich und verhältnismäßig ist.

(1)   Anträge von Drittstaatsangehörigen im Rahmen des in den geltenden Datenschutzbestimmungen der Union niedergelegten Rechts, Auskunft über personenbezogene Daten, die Berichtigung und Löschung sowie die Einschränkung der Verarbeitung personenbezogener Daten zu verlangen, können an die Zentralbehörde eines beliebigen Mitgliedstaats gerichtet werden.

(2)   Wird ein Antrag bei einem anderen als dem Urteilsmitgliedstaat gestellt, so leitet der Mitgliedstaat, bei dem der Antrag gestellt wurde, diesen unverzüglich, jedoch spätestens innerhalb von 10 Arbeitstagen nach Eingang des Antrags an den Urteilsmitgliedstaat weiter. Nach Eingang des Antrags geht der Urteilsmitgliedstaat wie folgt vor:

(3)   Wenn im ECRIS-TCN erfasste Daten unrichtig sind oder unrechtmäßig verarbeitet wurden, so berichtigt oder löscht der Urteilsmitgliedstaat die Daten gemäß Artikel 9. Der Urteilsmitgliedstaat oder gegebenenfalls der Mitgliedstaat, an den der Antrag gerichtet wurde, bestätigt der betroffenen Person unverzüglich schriftlich, dass Maßnahmen zur Berichtigung bzw. Löschung der sie betreffenden Daten ergriffen wurden. Ferner unterrichtet der Urteilsmitgliedstaat unverzüglich alle anderen Mitgliedstaaten, die infolge einer Abfrage im ECRIS-TCN Informationen zu Verurteilungen erhalten haben, über die ergriffenen Maßnahmen.

(4)   Ist der Urteilsmitgliedstaat nicht der Ansicht, dass die im ECRIS-TCN gespeicherten Daten unrichtig sind oder unrechtmäßig verarbeitet wurden, so erlässt er eine Verwaltungsentscheidung oder eine gerichtliche Entscheidung, in der er der betroffenen Person schriftlich erläutert, warum er nicht zu einer Berichtigung oder Löschung der sie betreffenden Daten bereit ist. Solche Fälle können erforderlichenfalls der nationalen Aufsichtsbehörden gemeldet werden.

(5)   Der Mitgliedstaat, der eine Entscheidung gemäß Absatz 4 erlassen hat, teilt der betroffenen Person ferner mit, welche Schritte sie ergreifen kann, wenn sie mit der Erläuterung gemäß Absatz 4 nicht einverstanden ist. Hierzu gehören Angaben darüber, auf welche Weise bei den zuständigen Behörden oder Gerichten dieses Mitgliedstaats Klage erhoben bzw. ein Rechtsbehelf eingelegt werden kann, und darüber, ob gemäß dem Recht dieses Mitgliedstaats eine Unterstützung, unter anderem durch die nationalen Aufsichtsbehörden, vorgesehen ist.

(6)   Jeder Antrag nach Absatz 1 muss die zur Identifizierung der betroffenen Person notwendigen Informationen enthalten. Diese Daten werden ausschließlich verwendet, um dem Antragsteller die Wahrnehmung der in Absatz 1 genannten Rechte zu ermöglichen, und anschließend unverzüglich gelöscht.

(7)   Findet Absatz 2 Anwendung, so hält die Zentralbehörde, an die der Antrag gerichtet wurde, schriftlich fest, dass ein solcher Antrag gestellt wurde, die Art und Weise seiner Bearbeitung sowie, an welche Behörde der Antrag weitergeleitet wurde. Auf Antrag der nationalen Aufsichtsbehörden stellt die Zentralbehörde diese Aufzeichnung unverzüglich dieser Aufsichtsbehörde zur Verfügung. Die Zentralbehörde und die nationale Aufsichtsbehörde löschen die Aufzeichnung drei Jahre nach ihrer Anfertigung.

(1)   Die Zentralbehörden arbeiten zusammen, um die Gewährleistung der in Artikel 25 genannten Rechte sicherzustellen.

(2)   Die nationale Aufsichtsbehörde jedes Mitgliedstaats informiert auf Antrag jede betroffene Person darüber, wie sie ihr Recht auf Berichtigung oder Löschung der sie betreffenden Daten gemäß den geltenden Datenschutzvorschriften der Union ausüben kann.

(3)   Für die Zwecke dieses Artikels arbeitet die nationale Aufsichtsbehörde des Mitgliedstaats, der die Daten übermittelt hat, sowie die nationale Aufsichtsbehörde des Mitgliedstaats, bei der der Antrag gestellt wurde, zusammen.

(1)   Jeder Mitgliedstaat stellt sicher, dass die nach den anwendbaren Datenschutzvorschriften der Union benannten nationalen Aufsichtsbehörden die Rechtmäßigkeit der Verarbeitung personenbezogener Daten gemäß Artikel 5 und 6 durch den betreffenden Mitgliedstaat, einschließlich der Übermittlung an das und aus dem ECRIS-TCN, kontrollieren.

(2)   Die nationale Aufsichtsbehörde gewährleistet, dass die Datenverarbeitungsvorgänge in den nationalen Strafregister- und Fingerabdruckdatenbanken, die mit dem Datenaustausch zwischen diesen Systemen und dem ECRIS-TCN zusammenhängen, ab dem Tag der Aufnahme des Betriebs des ECRIS-TCN mindestens alle drei Jahre gemäß einschlägigen internationalen Prüfungsnormen überprüft werden.

(3)   Die Mitgliedstaaten stellen sicher, dass ihre nationalen Aufsichtsbehörden über ausreichende Ressourcen zur Wahrnehmung der Aufgaben verfügt, die ihnen mit dieser Verordnung übertragen werden.

(4)   Jeder Mitgliedstaat erteilt alle von seinen nationalen Aufsichtsbehörden erbetenen Auskünfte, insbesondere zu den Tätigkeiten, die gemäß den Artikeln 12, 13 und 19 durchgeführt wurden. Jeder Mitgliedstaat gewährt seinen nationalen Aufsichtsbehörden Zugang zu seinen Aufzeichnungen nach Artikel 25 Absatz 7 und zu seinen Protokollen gemäß Artikel 31 Absatz 6 und ermöglicht ihnen jederzeit Zutritt zu allen seinen, mit dem ECRIS-TCN in Verbindung stehenden, Räumlichkeiten.

(1)   Der Europäische Datenschutzbeauftragte überwacht, dass die das ECRIS-TCN betreffende Verarbeitung personenbezogener Daten durch eu-LISA nach Maßgabe dieser Verordnung erfolgt.

(2)   Der Europäische Datenschutzbeauftragte trägt dafür Sorge, dass die Verarbeitung personenbezogener Daten durch eu-LISA mindestens alle drei Jahre gemäß einschlägigen internationalen Prüfungsnormen überprüft wird. Der Prüfbericht wird dem Europäischen Parlament, dem Rat, der Kommission, eu-LISA, den Aufsichtsbehörden übermittelt. eu-LISA erhält Gelegenheit, vor der Annahme des Berichts eine Stellungnahme abzugeben.

(3)   eu-LISA erteilt die vom Europäischen Datenschutzbeauftragten erbetenen Auskünfte, gewährt ihm Zugang zu allen Dokumenten und zu ihren Protokollen nach Artikel 31 und ermöglicht ihm jederzeit Zutritt zu allen ihren Gebäuden.

(1)   eu-LISA und die zuständigen Behörden stellen gemäß ihren jeweiligen Zuständigkeiten sicher, dass alle Datenverarbeitungsvorgänge im ECRIS-TCN gemäß Absatz 2 zur Prüfung der Zulässigkeit von Anträgen, zur Überwachung der Datenintegrität und -sicherheit und der Rechtmäßigkeit der Datenverarbeitung sowie zur Eigenkontrolle aufgezeichnet werden.

(2)   Das Protokoll enthält folgende Angaben:

(3)   Das Protokoll der Abfragen und Offenlegungen muss es ermöglichen, die Rechtmäßigkeit der Vorgänge nachzuvollziehen.

(4)   Die Protokolle dürfen nur zur Überwachung der Rechtmäßigkeit der Datenverarbeitung sowie zur Gewährleistung der Datenintegrität und -sicherheit verwendet werden. Für Kontrolle und Bewertung gemäß Artikel 36 dürfen nur Protokollen verwendet werden, die keine personenbezogenen Daten enthalten. Die Protokolle werden durch geeignete Maßnahmen vor unbefugtem Zugriff geschützt und nach drei Jahren gelöscht, sofern sie nicht für bereits eingeleitete Kontrollverfahren benötigt werden.

(5)   Auf Antrag stellt eu-LISA die Aufzeichnungen über ihre Datenverarbeitungsvorgänge den Zentralbehörden unverzüglich zur Verfügung.

(6)   Die für die Prüfung der Zulässigkeit des Antrags, die Überwachung der Rechtmäßigkeit der Datenverarbeitung und der Datenintegrität und -sicherheit zuständigen nationalen Aufsichtsbehörden haben auf Antrag zur Erfüllung ihrer Aufgaben Zugang zu diesen Protokollen. Auf Antrag stellen die Zentralbehörden die Protokolle über ihre Datenverarbeitungsvorgänge den zuständigen nationalen Aufsichtsbehörden unverzüglich zur Verfügung.

(1)   Die dazu ordnungsgemäß ermächtigten Bediensteten von eu-LISA, der zuständigen Behörden und der Kommission dürfen auf die im ECRIS-TCN verarbeiteten Daten ausschließlich zur Erstellung von Berichten und Statistiken zugreifen, ohne dass die Identifizierung einzelner Personen möglich ist.

(2)   Für die Zwecke des Absatzes 1 sorgt eu-LISA an ihren technischen Standorten für die Einrichtung, die Bereitstellung und Betriebsführung eines Zentralregisters, das die Daten nach Absatz 1 enthält; dieses Register ermöglicht die Erstellung anpassbarer Berichte und Statistiken, ohne dass die Identifizierung einzelner Personen möglich ist. Der Zugang zum Zentralregister erfolgt durch einen gesicherten Zugang mit Zugangskontrollen und spezifischen Nutzerprofilen, die ausschließlich Berichterstattungs- und Statistikzwecken dienen.

(3)   Die von eu-LISA zur Überwachung der Funktionsweise des ECRIS-TCN eingeführten Verfahren gemäß Artikel 36 und die ECRIS-Referenzimplementierung schließen die Möglichkeit ein, regelmäßige Statistiken zu Überwachungszwecken zu erstellen.

eu-LISA übermittelt der Kommission jeden Monat Statistiken, die die Erfassung, die Speicherung und den über das ECRIS-TCN und die ECRIS-Referenzimplementierung erfolgten Austausch von Strafregisterinformationen betreffen. eu-LISA gewährleistet, dass eine Identifizierung einzelner Personen auf der Grundlage dieser Statistiken nicht möglich ist. eu-LISA stellt der Kommission auf deren Ersuchen Statistiken zu spezifischen Aspekten der Umsetzung dieser Verordnung zur Verfügung.

(4)   Die Mitgliedstaaten stellen eu-LISA die Statistiken zur Verfügung, die diese benötigt, um ihren in diesem Artikel genannten Pflichten nachzukommen. Sie stellen der Kommission Statistiken über die Zahl der verurteilten Drittstaatsangehörigen und über die Zahl der in ihrem Hoheitsgebiet erfolgten Verurteilungen von Drittstaatsangehörigen zur Verfügung.

(1)   Die Kosten im Zusammenhang mit der Einrichtung und dem Betrieb des Zentralsystems, der Kommunikationsinfrastruktur gemäß Artikel 4 Absatz 1 Buchstabe d, der Schnittstellensoftware und der ECRIS-Referenzimplementierung werden vom Gesamthaushaltsplans der Union getragen.

(2)   Die jeweiligen Kosten der Anbindung von Eurojust, Europol und der EUStA an das ECRIS-TCN gehen zulasten ihrer jeweiligen Haushalte.

(3)   Sonstige Kosten, insbesondere die Kosten der Anbindung der bestehenden nationalen Strafregister, der Fingerabdruckdatenbanken und der Zentralbehörden an das ECRIS-TCN sowie die Kosten der Betriebsführung der ECRIS-Referenzimplementierung gehen zulasten der Mitgliedstaaten.

(1)   Jeder Mitgliedstaat teilt eu-LISA seine Zentralbehörde oder -behörden mit, die berechtigt ist bzw. sind, Daten einzugeben, zu berichtigen, zu löschen, abzufragen oder zu durchsuchen; zudem teilt er ihr gegebenenfalls Änderungen daran mit.

(2)   eu-LISA sorgt dafür, dass sowohl im Amtsblatt der Europäischen Union als auch auf ihrer Webseite eine Liste der von den Mitgliedstaaten gemeldeten Zentralbehörden veröffentlicht wird. eu-LISA aktualisiert die Liste unverzüglich, sobald ihr ein Mitgliedstaat eine Veränderung bei seiner Zentralbehörde meldet.

(1)   Sobald sich die Kommission vergewissert hat, dass die folgenden Voraussetzungen erfüllt sind, bestimmt sie den Tag, ab dem die Mitgliedstaaten mit der Eingabe der Daten nach Artikel 5 in das ECRIS-TCN beginnen:

(2)   Nachdem die Kommission den Tag für den Beginn der Dateneingabe nach Absatz 1 bestimmt hat, teilt sie dieses Datum den Mitgliedstaaten mit. Binnen zweier Monate ab diesem Tag geben die Mitgliedstaaten unter Berücksichtigung von Artikel 41 Absatz 2 die Daten nach Artikel 5 in das ECRIS-TCN ein.

(3)   Nach Ablauf der in Absatz 2 genannten Frist führt eu-LISA in Zusammenarbeit mit den Mitgliedstaaten einen abschließenden Test des ECRIS-TCN durch.

(4)   Sobald der in Absatz 3 genannte Test erfolgreich abgeschlossen wurde und eu-LISA der Ansicht ist, dass das ECRIS-TCN betriebsbereit ist, teilt sie das der Kommission mit. Die Kommission unterrichtet das Europäische Parlament und den Rat über die Ergebnisse des Tests und legt den Termin für die Inbetriebnahme des ECRIS-TCN fest.

(5)   Der Beschluss der Kommission über den Tag der Inbetriebnahme des ECRIS-TCN gemäß Absatz 4 wird im Amtsblatt der Europäischen Union veröffentlicht.

(6)   Die Mitgliedstaaten beginnen mit der Nutzung des ECRIS-TCN ab dem von der Kommission gemäß Absatz 4 bestimmten Tag.

(7)   Bei Fassung der Beschlüsse nach diesem Artikel kann die Kommission unterschiedliche Termine für die Eingabe von alphanumerischen Daten und Fingerabdruckdaten gemäß Artikel 5 in das ECRIS-TCN sowie für die Inbetriebnahme für diese unterschiedlichen Datenkategorien angeben.

(1)   eu-LISA trägt dafür Sorge, dass Verfahren vorhanden sind, mit denen die Entwicklung des ECRIS-TCN anhand von Zielen für Planung und Kosten, sowie die Funktionsweise des ECRIS-TCN und der ECRIS-Referenzimplementierung anhand von Zielen für die technische Leistung, die Kostenwirksamkeit, die Sicherheit und die Dienstleistungsqualität überwacht werden kann.

(2)   Zur Überwachung der Funktionsweise des ECRIS-TCN und seiner technischen Wartung hat eu-LISA Zugang zu den erforderlichen Informationen über die Datenverarbeitungsvorgänge im ECRIS-TCN und in der ECRIS-Referenzimplementierung.

(3)   Bis zum 12. Dezember 2019 und danach alle sechs Monate während der Gestaltungs- und Entwicklungsphase übermittelt eu-LISA dem Europäischen Parlament und dem Rat einen Bericht über den Stand der Entwicklung des ECRIS-TCN und der ECRIS-Referenzimplementierung.

(4)   Der in Absatz 3 genannte Bericht umfasst einen Überblick über die aktuellen Kosten und den Projektfortschritt, eine Bewertung der finanziellen Auswirkungen sowie Informationen über alle technischen Probleme und Risiken, die sich auf die gemäß Artikel 33 vom Gesamthaushaltsplan der Union zu tragenden Gesamtkosten des ECRIS-TCN auswirken können.

(5)   Im Falle wesentlicher Verzögerungen des Entwicklungsprozesses informiert eu-LISA das Europäische Parlament und den Rat so bald wie möglich über die Gründe für diese Verzögerungen sowie über die zeitlichen und finanziellen Auswirkungen.

(6)   Sobald die Entwicklung des ECRIS-TCN und der ECRIS-Referenzimplementierung abgeschlossen ist, übermittelt eu-LISA dem Europäischen Parlament und dem Rat einen Bericht, in dem dargelegt wird, wie die Ziele, insbesondere bei Planung und Kosten, erreicht wurden, und in dem etwaige Abweichungen begründet werden.

(7)   Im Falle einer technischen Aufrüstung des ECRIS-TCN- s, die mit erheblichen Kosten verbunden sein könnte, unterrichtet eu-LISA das Europäische Parlament und den Rat entsprechend.

(8)   Zwei Jahre nach der Inbetriebnahme des ECRIS-TCN und danach jedes Jahr übermittelt eu-LISA der Kommission einen Bericht über die technische Funktionsweise des ECRIS-TCN und der ECRIS-Referenzimplementierung einschließlich ihrer Sicherheit, der insbesondere auf den Statistiken über die Funktionsweise und die Nutzung des ECRIS-TCN für den Austausch von Strafregisterinformationen über die ECRIS-Referenzimplementierung beruht.

(9)   Vier Jahre nach der Inbetriebnahme des ECRIS-TCN und danach alle vier Jahre nimmt die Kommission eine Gesamtbewertung des ECRIS-TCN und der ECRIS-Referenzimplementierung vor. In dem auf dieser Grundlage erstellten Gesamtbewertungsbericht wird die Anwendung dieser Verordnung bewertet und werden die erzielten Ergebnisse an den gesetzten Zielen gemessen und die Auswirkungen auf die Grundrechte untersucht. Im Bericht wird auch bewertet, ob die grundlegenden Prinzipien des Betriebs des ECRIS-TCN weiterhin Gültigkeit haben und ob die Verwendung biometrischer Daten für die Zwecke des ECRIS-TCN angemessen ist; ferner werden die Sicherheit des ECRIS-TCN und etwaige sicherheitsrelevante Auswirkungen auf den künftigen Betrieb bewertet. Die Bewertung umfasst erforderlichenfalls Empfehlungen. Die Kommission übermittelt den Bericht dem Europäischen Parlament, dem Rat, dem Europäischen Datenschutzbeauftragten und der Agentur der Europäischen Union für Grundrechte.

(10)   Bei der ersten Gesamtbewertung nach Absatz 5 wird außerdem auch

Der Bewertung können erforderlichenfalls Gesetzgebungsvorschläge beigefügt werden. Bei anschließenden Gesamtbewertungen können einer oder alle Aspekte bewertet werden.

(11)   Die Mitgliedstaaten, Eurojust, Europol und die EUStA stellen eu-LISA und der Kommission die Informationen zur Verfügung, die für die Ausarbeitung der in den Absätzen 3, 8 und 9 genannten Berichte entsprechend den von der Kommission und/oder eu-LISA zuvor festgelegten quantitativen Indikatoren erforderlich sind. Diese Informationen dürfen nicht zu einer Störung der Arbeitsverfahren führen oder Angaben enthalten, die Rückschlüsse auf Quellen, Bedienstete oder Ermittlungen gestatten.

(12)   Gegebenenfalls stellen die Aufsichtsbehörden eu-LISA und der Kommission die Informationen zur Verfügung, die für die Ausarbeitung der in Absatz 9 genannten Berichte entsprechend den von der Kommission und/oder eu-LISA zuvor festgelegten quantitativen Indikatoren erforderlich sind. Diese Informationen dürfen nicht zu einer Störung der Arbeitsverfahren führen oder Angaben enthalten, die Rückschlüsse auf Quellen, Bedienstete oder Ermittlungen gestatten.

(13)   eu-LISA stellt der Kommission die Informationen zur Verfügung, die zur Durchführung der in Absatz 9 genannten Gesamtbewertung erforderlich sind.

(1)   Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.

(2)   Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 6 Absatz 2 wird der Kommission auf unbestimmte Zeit ab dem 11. Juni 2019 übertragen.

(3)   Die Befugnisübertragung gemäß Artikel 6 Absatz 2 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem im Beschluss über den Widerruf angegebenen späteren Zeitpunkt wirksam. Die Gültigkeit von delegierten Rechtsakten, die bereits in Kraft sind, wird von dem Beschluss über den Widerruf nicht berührt.

(4)   Vor dem Erlass eines delegierten Rechtsakts konsultiert die Kommission die von den einzelnen Mitgliedstaaten benannten Sachverständigen im Einklang mit den in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung enthaltenen Grundsätzen.

(5)   Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.

(6)   Ein delegierter Rechtsakt, der gemäß Artikel 6 Absatz 2 erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von zwei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben haben oder wenn vor Ablauf dieser Frist sowohl das Europäische Parlament als auch der Rat der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Initiative des Europäischen Parlaments oder des Rates wird diese Frist um zwei Monate verlängert.

(1)   Die Kommission wird von einem Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.

(2)   Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.

Gibt der Ausschuss keine Stellungnahme ab, so erlässt die Kommission den Durchführungsrechtsakt nicht, und Artikel 5 Absatz 4 Unterabsatz 3 der Verordnung (EU) Nr. 182/2011 findet Anwendung.

(1)   Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um dieser Verordnung so bald wie möglich nachzukommen, um das ordnungsgemäße Funktionieren des ECRIS-TCN zu gewährleisten.

(2)   Die Zentralbehörden legen für Urteile, die vor dem Tag des Beginns der Dateneingabe gemäß Artikel 35 Absatz 1 ergangen sind, wie folgt individuelle Datensätze im Zentralsystem an:

Dieses Formblatt ist in allen 24 Amtssprachen der Organe der Union auf der Webseite www.eurojust.europa.eu abrufbar und ist in einer dieser Sprachen an ECRIS-TCN@eurojust.europa.eu zu übersenden.über einen Drittstaatsangehörigen vorliegen

Ersuchender Staat bzw. ersuchende internationale Organisation:

Name des Staates bzw. der internationalen Organisation:

Ersuchende Behörde:

Vertreten durch (Name der Person):

Titel:

Anschrift:

Telefonnummer:

E-Mail-Adresse:

Strafverfahren, in dessen Zusammenhang Informationen eingeholt werden:

Nationale Referenznummer:

Zuständige Behörde:

Art der Straftaten, die Gegenstand der Ermittlungen sind (bitte geben Sie den/die maßgeblichen Artikel des Strafgesetzbuchs an):

Sonstige relevante Angaben (z. B. Dringlichkeit des Ersuchens):

Angaben zur Identität der Person, die die Staatsangehörigkeit eines Drittstaats besitzt, zu der Informationen über den Urteilsmitgliedstaat eingeholt werden:

NB: Geben Sie bitte so viele verfügbare Informationen wie möglich an.

Nachname (Familienname):

Vorname(n):

Geburtsdatum:

Geburtsort (Gemeinde und Staat):

Staatsangehörigkeit(en):

Geschlecht:

(gegebenenfalls) frühere/r Name/n:

Namen der Eltern:

Identitätsnummer:

Art und Nummer des/der Identitätsdokuments/e der Person:

Behörde, die das/die Dokument(e) ausgestellt hat:

Pseudonyme oder Aliasnamen:

Handelt es sich um mehrere Personen, so führen Sie sie bitte einzeln auf.

Mithilfe eines Drop-Down-Menüs können weitere Personen aufgenommen werden.

Ort

Datum

(Elektronische) Unterschrift und Stempel:

(1)   Durch diese Verordnung und die Verordnung (EU) 2019/818 des Europäischen Parlaments und des Rates (34) wird ein Rahmen für die Sicherstellung der Interoperabilität zwischen dem Einreise-/Ausreisesystem (im Folgenden „EES“), dem Visa-Informationssystem (im Folgenden „VIS“), dem Europäischen Reiseinformations- und -genehmigungssystem (im Folgenden „ETIAS“), Eurodac, dem Schengener Informationssystem (im Folgenden „SIS“) und dem Europäischen Strafregisterinformationssystem für Drittstaatsangehörige (im Folgenden „ECRIS-TCN“) geschaffen.

(2)   Dieser Rahmen umfasst folgende Interoperabilitätskomponenten:

(3)   Zudem werden in dieser Verordnung Bestimmungen über die Datenqualitätsanforderungen, ein universelles Nachrichtenformat (Universal Message Format — im Folgenden „UMF“), einen zentralen Speicher für Berichte und Statistiken (central repository for reporting and statistics — im Folgenden „CRRS“) sowie die Verantwortlichkeiten der Mitgliedstaaten und der Agentur der Europäischen Union für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA) bei der Konzipierung, der Entwicklung und dem Betrieb der Interoperabilitätskomponenten festgelegt.

(4)   Diese Verordnung regelt ferner die Verfahren und Bedingungen für den Zugang der benannten Behörden und der Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) zum EES, zum VIS, zum ETIAS und zu Eurodac zum Zwecke der Verhinderung, Aufdeckung oder Untersuchung terroristischer oder sonstiger schwerer Straftaten.

(5)   Durch diese Verordnung wird auch ein Rahmen für die Überprüfung der Identitäten von Personen und für die Identifizierung von Personen festgelegt.

(1)   Durch die mittels dieser Verordnung sichergestellte Interoperabilität sollen folgende Ziele erreicht werden:

(2)   Die Ziele nach Absatz 1 sollen durch folgende Maßnahmen erreicht werden:

(1)   Diese Verordnung gilt für das EES, das VIS, das ETIAS und das SIS.

(2)   Diese Verordnung gilt für Personen, deren personenbezogene Daten in den in Absatz 1 genannten EU-Informationssystemen verarbeitet werden können und deren Daten für die Zwecke der Artikel 1 und 2 der Verordnung (EG) Nr. 767/2008, des Artikels 1 der Verordnung (EU) 2017/2226, der Artikel 1 und 4 der Verordnung (EU) 2018/1240, des Artikels 1 der Verordnung (EU) 2018/1860 und des Artikels 1 der Verordnung (EU) 2018/1861 erfasst werden.

(1)   Es wird ein Europäisches Suchportal (European search portal, im Folgenden „ESP“) geschaffen, das den mitgliedstaatlichen Behörden und den Stellen der Union einen raschen, unterbrechungsfreien, effizienten, systematischen und kontrollierten Zugang zu den EU-Informationssystemen, den Europol-Daten und den Interpol-Datenbanken zur Wahrnehmung ihrer Aufgaben und nach Maßgabe ihrer Zugangsrechte und im Einklang mit den Zielen und Zwecken des EES, des VIS, des ETIAS, von Eurodac, des SIS und des ECRIS-TCN erleichtern soll.

(2)   Das ESP umfasst

(3)   eu-LISA entwickelt das ESP und sorgt für seine technische Verwaltung.

(1)   Die Nutzung des ESP ist den mitgliedstaatlichen Behörden und den Stellen der Union vorbehalten, die auf mindestens eines der EU-Informationssysteme nach Maßgabe der für diese EU-Informationssysteme geltenden Rechtsinstrumente, den CIR und den MID nach Maßgabe der vorliegenden Verordnung, Europol-Daten nach Maßgabe der Verordnung (EU) 2016/794 oder die Interpol-Datenbanken nach Maßgabe der einschlägigen Bestimmungen des Unionsrechts oder des nationalen Rechts zugreifen können.

Diese mitgliedstaatlichen Behörden und Stellen der Union dürfen nur für die Ziele und Zwecke, die in den für diese EU-Informationssysteme geltenden Rechtsinstrumenten, der Verordnung (EU) 2016/794 und in der vorliegenden Verordnung festgelegt sind, auf das ESP und die von ihm bereitgestellten Daten zurückgreifen.

(2)   Die in Absatz 1 genannten mitgliedstaatlichen Behörden und Stellen der Union nutzen das ESP für die Abfrage von Daten zu Personen oder deren Reisedokumenten in den Zentralsystemen des EES, des VIS und des ETIAS nach Maßgabe ihrer jeweiligen Zugangsrechte gemäß den für diese EU-Informationssysteme geltenden Rechtsinstrumenten und dem nationalen Recht. Sie nutzen das ESP zudem nach Maßgabe ihrer in dieser Verordnung festgelegten Zugangsrechte für die Abfrage des CIR für die in den Artikeln 20, 21 und 22 genannten Zwecke.

(3)   Die in Absatz 1 genannten mitgliedstaatlichen Behörden können das ESP für die Abfrage von Daten zu Personen oder deren Reisedokumenten im in den Verordnungen (EU) 2018/1860 und (EU) 2018/1861 genannten zentralen SIS nutzen.

(4)   Wenn es nach dem Unionsrecht vorgesehen ist, können die in Absatz 1 genannten Stellen der Union das ESP für die Abfrage von Daten zu Personen oder deren Reisedokumenten im zentralen SIS nutzen.

(5)   Die in Absatz 1 genannten mitgliedstaatlichen Behörden und der Stellen der Union können das ESP für die Abfrage von Daten zu Reisedokumenten in den Interpol-Datenbanken nach Maßgabe ihrer jeweiligen Zugangsrechte nach dem Unionsrecht beziehungsweise nach nationalem Recht nutzen, sofern das nach Unionsrecht oder nationalem Recht vorgesehen ist.

(1)   Um die Nutzung des ESP zu ermöglichen, erstellt eu-LISA in Zusammenarbeit mit den Mitgliedstaaten auf der Grundlage jeder Kategorie von ESP-Nutzern und der Abfragezwecke ein Profil, das den in Absatz 2 genannten technischen Einzelheiten und Zugangsrechten Rechnung trägt. Jedes Profil enthält dabei nach Maßgabe des Unionsrechts und des nationalen Rechts folgende Informationen:

(2)   Die Kommission erlässt Durchführungsrechtsakte zur Festlegung der technischen Einzelheiten der in Absatz 1 genannten Profile gemäß der jeweiligen Zugangsrechte der ESP-Nutzer nach den geltenden Rechtsinstrumenten zur Regelung der EU-Informationssysteme und nach nationalem Recht. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 74 Absatz 2 genannten Prüfverfahren erlassen.

(3)   Die in Absatz 1 genannten Profile werden regelmäßig und mindestens einmal pro Jahr von eu-LISA in Zusammenarbeit mit den Mitgliedstaaten überprüft sowie erforderlichenfalls aktualisiert.

(1)   Die ESP-Nutzer geben, um Abfragen vorzunehmen, alphanumerische und/oder biometrische Daten in das ESP ein. Bei einer Abfrage fragt das ESP anhand der vom Nutzer des ESP eingegebenen Daten und nach Maßgabe des jeweiligen Nutzerprofils gleichzeitig das EES, das ETIAS, das VIS, das SIS, Eurodac, das ECRIS-TCN, den CIR, die Europol-Daten und die Interpol-Datenbanken ab.

(2)   Die Kategorien von Daten für die Abfrage über das ESP entsprechen den Kategorien von Daten für Personen oder Reisedokumente, die für die Abfrage der verschiedenen EU-Informationssysteme, der Europol-Daten und der Interpol-Datenbanken nach Maßgabe der für sie geltenden Rechtsinstrumente verwendet werden können.

(3)   Die eu-LISA erstellt in Zusammenarbeit mit den Mitgliedstaaten für das ESP eine Dokumentation zur Schnittstellenansteuerung in dem in Artikel 38 genannten UMF.

(4)   Bei einer Abfrage durch einen ESP-Nutzer werden aus dem EES, dem ETIAS, dem VIS, dem SIS, Eurodac, dem ECRIS-TCN, dem CIR, dem MID, den Europol-Daten und aus den Interpol-Datenbanken von ihnen gehaltene Daten als Antwort auf die Abfrage bereitgestellt.

Unbeschadet des Artikels 20 wird in der vom ESP erteilten Antwort angegeben, aus welchem EU-Informationssystem beziehungsweise aus welcher Datenbank die betreffenden Daten stammen.

Das ESP liefert keine Angaben zu Daten in EU-Informationssystemen, zu Europol-Daten und zu den Interpol-Datenbanken, auf die der Nutzer nach dem anwendbaren Unionsrecht und nationalen Recht nicht zugreifen darf.

(5)   Über das ESP durchgeführte Abfragen der Interpol-Datenbanken erfolgen so, dass dem für die Interpol-Ausschreibung Verantwortlichen keine Informationen preisgegeben werden.

(6)   Sobald Daten aus einem der EU-Informationssysteme, den Europol-Daten oder den Interpol-Datenbanken verfügbar sind, werden dem Nutzer über das ESP Antworten erteilt. Diese Antworten enthalten lediglich die Daten, auf die der Nutzer nach dem Unionsrecht und dem nationalen Recht zugreifen darf.

(7)   Die Kommission erlässt einen Durchführungsrechtsakt, um das technische Verfahren für Abfragen der EU-Informationssysteme, Europol-Daten und Interpol-Datenbanken durch das ESP und das Format der vom ESP erteilten Antworten festzulegen. Dieser Durchführungsrechtsakt wird nach dem Prüfverfahren gemäß Artikel 74 Absatz 2 erlassen.

(1)   Unbeschadet des Artikels 46 der Verordnung (EU) 2017/2226, des Artikels 34 der Verordnung (EG) Nr. 767/2008, des Artikels 69 der Verordnung (EU) 2018/1240 und der Artikel 12 und 18 der Verordnung (EU) 2018/1861 führt eu-LISA Protokolle sämtlicher im ESP erfolgenden Datenverarbeitungsvorgänge. Die Protokolle enthalten folgende Angaben:

(2)   Jeder Mitgliedstaat führt Protokolle über die Abfragen, die seine zur Nutzung des ESP ordnungsgemäß ermächtigten Behörden und deren Bedienstete durchführen. Jede Stelle der Union führt Protokolle über die Abfragen, die ihre ordnungsgemäß ermächtigten Bediensteten durchführen.

(3)   Die in den Absätzen 1 und 2 genannten Protokolle werden nur zur datenschutzrechtlichen Kontrolle, einschließlich der Prüfung der Zulässigkeit einer Abfrage und der Rechtmäßigkeit der Datenverarbeitung sowie zur Sicherstellung der Datensicherheit und -integrität verwendet. Die Protokolle werden in geeigneter Weise vor unbefugtem Zugriff geschützt und ein Jahr nach ihrer Erstellung gelöscht. Werden sie jedoch für ein bereits eingeleitetes Kontrollverfahren benötigt, werden sie gelöscht, sobald die Protokolle nicht mehr für das Kontrollverfahren benötigt werden.

(1)   Wenn es wegen eines Ausfalls des ESP technisch nicht möglich ist, das ESP für die Abfrage eines oder mehrerer EU-Informationssysteme oder des CIR zu nutzen, werden die ESP-Nutzer von eu-LISA automatisch entsprechend benachrichtigt.

(2)   Wenn es wegen eines Ausfalls der nationalen Infrastruktur eines Mitgliedstaats technisch nicht möglich ist, das ESP für die Abfrage eines oder mehrerer EU-Informationssysteme oder des CIR zu nutzen, benachrichtigt der betroffene Mitgliedstaat eu-LISA und die Kommission automatisch.

(3)   In den Fällen der Absätze 1 oder 2 des vorliegenden Artikels gilt die in Artikel 7 Absätze 2 und 4 festgelegte Pflicht nicht, bis das technische Versagen behoben ist, und die Mitgliedstaaten fragen die EU-Informationssysteme oder das CIR unmittelbar ab, wenn sie nach dem Unionsrecht oder dem nationalen Recht hierzu verpflichtet sind.

(4)   Wenn es wegen eines Ausfalls der Infrastruktur einer Stelle der Union technisch nicht möglich ist, das ESP für die Abfrage eines oder mehrerer EU-Informationssysteme oder des CIR zu nutzen, benachrichtigt die betroffene Stelle eu-LISA und die Kommission automatisch.

(1)   Es wird ein gemeinsamer Dienst für den Abgleich biometrischer Daten (shared biometric matching service — im Folgenden „gemeinsamer BMS“) eingerichtet, der die Aufgabe hat, biometrische Templates, die aus den im CIR und im SIS gespeicherten biometrischen Daten nach Artikel 13 generiert wurden, zu speichern und die systemübergreifende Abfrage mehrerer EU-Informationssysteme anhand biometrischer Daten zu ermöglichen, um den CIR und den MID sowie die Ziele des EES, des VIS, von Eurodac, des SIS und des ECRIS-TCN zu unterstützen.

(2)   Der gemeinsame BMS umfasst

(3)   eu-LISA entwickelt den gemeinsamen BMS und sorgt für seine technische Verwaltung.

(1)   Der gemeinsame BMS speichert die biometrischen Templates, die er aus folgenden biometrischen Daten generiert:

Die biometrischen Templates werden im gemeinsamen BMS logisch voneinander getrennt nach den EU-Informationssystemen, aus denen sie stammen, gespeichert.

(2)   Für jeden Satz der in Absatz 1 genannten Daten fügt der gemeinsame BMS jedem biometrischen Template einen Verweis auf die EU-Informationssysteme, in denen die betreffenden biometrischen Daten gespeichert sind, und einen Verweis auf die tatsächlichen Datensätze in diesen EU-Informationssystemen hinzu.

(3)   Die biometrischen Templates dürfen erst in den gemeinsamen BMS eingegeben werden, nachdem der gemeinsame BMS die einem der EU-Informationssysteme hinzugefügten biometrischen Daten einer automatischen Qualitätskontrolle unterzogen hat, um sicherzustellen, dass ein Mindestdatenqualitätsstandard eingehalten wird.

(4)   Bei der Speicherung der in Absatz 1 genannten Daten sind die in Artikel 37 Absatz 2 genannten Qualitätsstandards einzuhalten.

(5)   Die Kommission legt im Wege eines Durchführungsrechtsakts die Leistungsanforderungen und praktischen Vorkehrungen für die Überwachung der Leistung des gemeinsamen BMS fest, um sicherzustellen, dass die Wirksamkeit biometrischer Suchvorgänge auch bei Verfahren gewährleistet ist, bei denen die Zeit eine Rolle spielt, wie etwa Grenzkontrollen und Identifizierungen. Dieser Durchführungsrechtsakt wird gemäß dem in Artikel 74 Absatz 2 genannten Prüfverfahren erlassen.

1.   Unbeschadet des Artikels 46 der Verordnung (EU) 2017/2226, des Artikels 34 der Verordnung (EG) Nr. 767/2008 und der Artikel 12 und 18 der Verordnung (EU) 2018/1861 führt eu-LISA Protokolle sämtlicher im gemeinsamen BMS erfolgenden Datenverarbeitungsvorgänge. Die Protokolle enthalten folgende Angaben:

(2)   Jeder Mitgliedstaat führt Protokolle über die Abfragen, die seine zur Nutzung des gemeinsamen BMS ordnungsgemäß ermächtigten Behörden und deren Bedienstete durchführen. Jede Stelle der Union führt Protokolle über die Abfragen, die ihre ordnungsgemäß ermächtigten Bediensteten durchführen.

(3)   Die in den Absätzen 1 und 2 genannten Protokolle dürfen nur zur datenschutzrechtlichen Kontrolle, einschließlich der Prüfung der Zulässigkeit einer Abfrage und der Rechtmäßigkeit der Datenverarbeitung sowie zur Sicherstellung der Datensicherheit und -integrität verwendet werden. Die Protokolle werden in geeigneter Weise vor unbefugtem Zugriff geschützt und ein Jahr nach ihrer Erstellung gelöscht. Werden sie jedoch für ein bereits eingeleitetes Kontrollverfahren benötigt, werden sie gelöscht, sobald die Protokolle nicht mehr für das Kontrollverfahren benötigt werden.

(1)   Es wird ein gemeinsamer Speicher für Identitätsdaten (CIR) geschaffen, in dem für jede im EES, im VIS, im ETIAS, in Eurodac oder im ECRIS-TCN erfasste Person eine individuelle Datei mit den in Artikel 18 genannten Daten angelegt wird und der dazu dient, die korrekte Identifizierung von im EES, im VIS, im ETIAS, in Eurodac und im ECRIS-TCN gemäß Artikel 20 erfassten Personen zu erleichtern und zu unterstützen, das Funktionieren des MID gemäß Artikel 21 zu unterstützen und den etwaig erforderlichen Zugang von benannten Behörden und Europol zu dem EES, dem VIS, dem ETIAS und Eurodac zum Zwecke der Verhinderung, Aufdeckung oder Untersuchung terroristischer und anderer schwerer Straftaten gemäß Artikel 22 zu erleichtern und einheitlich zu regeln.

(2)   Der CIR umfasst

(3)   eu-LISA entwickelt den CIR und sorgt für seine technische Verwaltung.

(4)   Ist es aufgrund eines Ausfalls des CIR technisch nicht möglich, den CIR zur Identifizierung einer Person gemäß Artikel 20, zur Aufdeckung von Mehrfachidentitäten gemäß Artikel 21 oder zum Zwecke der Verhinderung, Aufdeckung oder Untersuchung terroristischer und anderer schwerer Straftaten gemäß Artikel 22 zu nutzen, werden die CIR-Nutzer automatisch von eu-LISA benachrichtigt.

(5)   eu-LISA erstellt in Zusammenarbeit mit den Mitgliedstaaten für den CIR eine Dokumentation zur Schnittstellenansteuerung in dem in Artikel 38 genannten UMF.

(1)   Im CIR werden folgende Daten logisch voneinander getrennt nach den Informationssystemen, aus denen sie stammen, gespeichert:

(2)   Für jeden Satz der in Absatz 1 genannten Daten fügt der CIR einen Verweis auf die EU-Informationssysteme hinzu, aus denen die betreffenden Daten stammen.

(3)   Die Behörden, die auf das CIR zugreifen, tun das gemäß ihren jeweiligen Zugangsrechten nach den für diese EU-Informationssysteme geltenden Rechtsinstrumenten und nach dem nationalen Recht sowie nach Maßgabe ihrer in dieser Verordnung festgelegten Zugangsrechte für die Zwecke nach den Artikeln 20, 21 und 22.

(4)   Für jeden Satz der in Absatz 1 genannten Daten fügt der CIR einen Verweis auf den tatsächlichen Datensatz in den EU-Informationssystemen, aus dem die Daten stammen, hinzu.

(5)   Bei der Speicherung der in Absatz 1 genannten Daten sind die in Artikel 37 Absatz 2 genannten Qualitätsstandards einzuhalten.

(1)   Bei jeder Hinzufügung, Änderung oder Löschung von Daten im EES, im VIS und im ETIAS werden die in den individuellen Dateien im CIR gespeicherten Daten nach Artikel 18 automatisch entsprechend hinzugefügt, geändert oder gelöscht.

(2)   Wird im MID nach Maßgabe der Artikel 32 oder 33 eine weiße oder eine rote Verknüpfung zwischen Daten von zwei oder mehr EU-Informationssystemen, die Bestandteil des CIR sind, erstellt, werden vom CIR keine neuen individuellen Dateien angelegt, sondern die neuen Daten der individuellen Datei der verknüpften Daten hinzugefügt.

(1)   Abfragen im CIR werden von einer Polizeibehörde gemäß den Absätzen 2 und 5 nur in den folgenden Situationen vorgenommen:

Eine solche Abfrage zu Minderjährigen unter zwölf Jahren ist unzulässig, es sei denn, sie erfolgt zum Wohl des Kindes.

(2)   Ist eine der in Absatz 1 aufgeführten Situationen gegeben, und wurden einer Polizeibehörde mittels nationaler Gesetzgebungsmaßnahmen die in Absatz 5 genannten Befugnisse übertragen, darf sie ausschließlich zum Zwecke der Identifizierung einer Person anhand der bei einer Identitätskontrolle direkt vor Ort erhobenen biometrischen Daten dieser Person Abfragen im CIR vornehmen, sofern das Verfahren im Beisein dieser Person eingeleitet wurde.

(3)   Falls eine solche Abfrage ergibt, dass im CIR Daten zu der betreffenden Person gespeichert sind, darf die betreffende Polizeibehörde die in Artikel 18 Absatz 1 genannten Daten einsehen.

Falls die biometrischen Daten der betreffenden Person nicht verwendet werden können oder die Abfrage anhand dieser Daten nicht erfolgreich ist, ist die Abfrage anhand von Identitätsdaten dieser Person in Verbindung mit Reisedokumentendaten oder anhand der von der betreffenden Person bereitgestellten Identitätsdaten vorzunehmen.

(4)   Sind einer Polizeibehörde mittels nationaler Legislativmaßnahmen die in Absatz 6 genannten Befugnisse übertragen worden, darf sie im Falle einer Naturkatastrophe, eines Unfalls oder eines Terroranschlags und ausschließlich zum Zwecke der Identifizierung unbekannter Personen, die sich nicht ausweisen können, oder nicht identifizierter menschlicher Überreste mit den biometrischen Daten dieser Personen Abfragen im CIR vornehmen.

(5)   Mitgliedstaaten, die die in Absatz 2 vorgesehene Möglichkeit nutzen möchten, erlassen entsprechende nationale Gesetzgebungsmaßnahmen. Dabei berücksichtigen die Mitgliedstaaten, dass jede Diskriminierung von Drittstaatsangehörigen vermieden werden muss. Durch derartige Gesetzgebungsmaßnahmen sind die genauen Zwecke der zu den in Artikel 2 Absatz 1 Buchstaben b und c genannten Zwecken erfolgenden Identifizierung festzulegen. Durch derartige Gesetzgebungsmaßnahmen sind zudem die zuständigen Polizeibehörden zu benennen sowie die Verfahren, Bedingungen und Kriterien derartiger Kontrollen festzulegen.

(6)   Mitgliedstaaten, die die in Absatz 4 vorgesehene Möglichkeit nutzen möchten, erlassen entsprechende nationale Legislativmaßnahmen, in denen die hierfür geltenden Verfahren, Bedingungen und Kriterien festgelegt sind.

(1)   Falls bei der Abfrage des CIR eine gelbe Verknüpfung gemäß Artikel 28 Absatz 4 angezeigt wird, darf die Behörde, die für die manuelle Verifizierung verschiedener Identitäten gemäß Artikel 29 zuständig ist, ausschließlich zu Verifizierungszwecken auf die im CIR gespeicherten, durch die gelbe Verknüpfung bezeichneten Daten nach Artikel 18 Absätze 1 und 2 zugreifen.

(2)   Falls bei der Abfrage des CIR eine rote Verknüpfung gemäß Artikel 32 angezeigt wird, dürfen die in Artikel 26 Absatz 2 genannten Behörden ausschließlich zur Bekämpfung von Identitätsbetrug auf die im CIR gespeicherten, durch die rote Verknüpfung bezeichneten Daten nach Artikel 18 Absätze 1 und 2 zugreifen.

(1)   Gibt es in einem konkreten Einzelfall vernünftige Gründe dafür, dass die Abfrage der EU-Informationssysteme zur Verhinderung, Aufdeckung oder Untersuchung terroristischer Straftaten oder sonstiger schwerer Straftaten beitragen kann, insbesondere, wenn der Verdacht besteht, dass der Verdächtige, Täter oder das Opfer einer terroristischen Straftat oder sonstiger schwerer Straftaten eine Person ist, die im EES, im VIS oder im ETIAS gespeichert ist, können die benannten Behörden und Europol den CIR abfragen, um in Erfahrung zu bringen, ob im EES, im VIS oder im ETIAS Daten zu einer spezifischen Person gespeichert sind.

(2)   Wenn die Abfrage im CIR ergibt, dass im EES, im VIS oder im ETIAS Daten zu der betreffenden Person gespeichert sind, zeigt der CIR den benannten Behörden und Europol durch einen Verweis nach Artikel 18 Absatz 2 an, in welchem dieser EU-Informationssysteme die übereinstimmende Daten gespeichert sind. Alle vom CIR ausgegebenen Antworten müssen so beschaffen sein, dass die Sicherheit der Daten nicht gefährdet wird.

Die Antwort, aus der hervorgeht, dass Daten zu dieser Person in einem der in Absatz 1 genannten EU-Informationssysteme gespeichert sind, darf ausschließlich für die Zwecke der Übermittlung eines Antrags auf uneingeschränkten Zugang vorbehaltlich der Bedingungen und Verfahren, die in den einschlägigen Rechtsinstrumenten festgelegt sind, verwendet werden.

Bei einer Übereinstimmung oder mehreren Übereinstimmungen stellt die benannte Behörde oder Europol einen Antrag auf uneingeschränkten Zugang zu mindestens einem der Informationssysteme, aus dem eine Übereinstimmung generiert wurde.

Wenn ein solcher uneingeschränkter Zugang ausnahmsweise nicht beantragt wird, verzeichnet die benannte Behörde die Begründung für die Nichtbeantragung, die in der nationalen Datei rückverfolgbar sein muss. Europol verzeichnet die Begründung in der entsprechenden Datei.

(3)   Der vollständige Zugang zu den im EES, im VIS oder im ETIAS gespeicherten Daten, welche für die Zwecke der Verhinderung, Aufdeckung oder Untersuchung terroristischer Straftaten oder sonstiger schwerer Straftaten erforderlich sind, unterliegt weiterhin den Bedingungen und Verfahren, die in den einschlägigen Rechtsinstrumenten festgelegt sind.

(1)   Die in Artikel 18 Absätze 1, 2 und 4 genannten Daten werden im CIR automatisch nach Maßgabe der Datenspeicherungsbestimmungen der Verordnungen (EU) 2017/2226, (EG) Nr. 767/2008 beziehungsweise (EU) 2018/1240 gelöscht.

(2)   Die individuellen Dateien werden im CIR nur so lange gespeichert, wie die entsprechenden Daten in mindestens einem der EU-Informationssysteme gespeichert werden, von dem Daten im CIR enthalten sind. Durch die Erstellung einer Verknüpfung wird die Speicherfrist der einzelnen durch die Verknüpfung bezeichneten Daten nicht berührt.

(1)   Unbeschadet des Artikels 46 der Verordnung (EU) 2017/2226, des Artikels 34 der Verordnung (EG) Nr. 767/2008 und des Artikels 69 der Verordnung (EU) 2018/1240 führt eu-LISA Protokolle sämtlicher im CIR erfolgenden Datenverarbeitungsvorgänge gemäß den Absätzen 2, 3 und 4 des vorliegenden Artikels.

(2)   eu-LISA führt Protokolle sämtlicher im CIR gemäß Artikel 20 erfolgenden Datenverarbeitungsvorgänge. Die Protokolle enthalten folgende Angaben:

(3)   eu-LISA führt Protokolle sämtlicher im CIR gemäß Artikel 21 erfolgenden Datenverarbeitungsvorgänge. Die Protokolle enthalten folgende Angaben:

(4)   eu-LISA führt Protokolle sämtlicher im CIR gemäß Artikel 22 erfolgenden Datenverarbeitungsvorgänge. Die Protokolle enthalten olgende Angaben:

Die zuständige Aufsichtsbehörde nach Artikel 41 der Richtlinie (EU) 2016/680 oder der Europäische Datenschutzbeauftragte nach Artikel 43 der Verordnung (EU) 2016/794 überprüft regelmäßig, spätestens jedoch alle sechs Monate, die betreffenden Zugangsprotokolle darauf, ob die Verfahren und Bedingungen nach Artikel 22 Absätze 1 und 2 der vorliegenden Verordnung eingehalten wurden.

(5)   Jeder Mitgliedstaat führt Protokolle über die Abfragen, die seine zur Nutzung des CIR ordnungsgemäß ermächtigten Behörden und die Bediensteten dieser Behörden gemäß den Artikeln 20, 21 und 22 durchführen. Jede Stelle der Union führt Protokolle über die Abfragen, die ihre ordnungsgemäß ermächtigten Bediensteten gemäß den Artikeln 21 und 21 durchführen.

Zusätzlich führt jeder Mitgliedstaat für jeden Zugang zum CIR nach Artikel 22 folgende Protokolle:

(6)   Gemäß der Verordnung (EU) 2016/794 führt Europol für jeden Zugang zum CIR nach Artikel 22 der vorliegenden Verordnung Protokolle der eindeutigen Nutzerkennung des Beamten, der die Abfrage vorgenommen hat, und des Beamten, der die Abfrage angeordnet hat.

(7)   Die in den Absätzen 2 bis 6 genannten Protokolle dürfen nur zur datenschutzrechtlichen Kontrolle, einschließlich der Prüfung der Zulässigkeit einer Abfrage und der Rechtmäßigkeit der Datenverarbeitung sowie zur Sicherstellung der Datensicherheit und -integrität verwendet werden. Die Protokolle werden in geeigneter Weise vor unbefugtem Zugriff geschützt und ein Jahr nach ihrer Erstellung gelöscht. Werden sie jedoch für ein bereits eingeleitetes Kontrollverfahren benötigt, werden sie gelöscht, sobald die Protokolle nicht mehr für das Kontrollverfahren benötigt werden.

(8)   eu-LISA speichert die Protokolle über die Chronik der Daten in individuellen Dateien. eu-LISA löscht solche Protokolle automatisch, sobald die Daten gelöscht werden.

(1)   Zur Unterstützung des Funktionierens des CIR und der Ziele des EES, des VIS, des ETIAS, von Eurodac, des SIS und des ECRIS-TCN wird ein Detektor für Mehrfachidentitäten (MID) eingerichtet, der Identitätsbestätigungsdateien nach Artikel 34 erstellt und speichert, die Verknüpfungen zwischen in den EU-Informationssystemen einschließlich des CIR und des SIS enthaltenen Daten enthält und die Aufdeckung von Mehrfachidentitäten ermöglicht, mit dem doppelten Ziel, Identitätsprüfungen zu vereinfachen und Identitätsbetrug zu bekämpfen.

(2)   Der MID umfasst

(3)   eu-LISA entwickelt den MID und sorgt für seine technische Verwaltung.

(1)   Für die Zwecke der manuellen Verifizierung verschiedener Identitäten nach Artikel 29 erhalten folgende Stellen Zugriff auf die im MID gespeicherten Daten nach Artikel 34:

(2)   Die mitgliedstaatlichen Behörden und die Stellen der Union, die Zugang zu mindestens einem in den CIR integrierten EU-Informationssystem oder zum SIS haben, erhalten über rote Verknüpfungen nach Artikel 32 Zugang zu den in Artikel 34 Buchstaben a und b genannten Daten.

(3)   Die mitgliedstaatlichen Behörden und die Stellen der Union haben Zugang zu weißen Verknüpfungen nach Artikel 33, wenn sie Zugang zu den beiden EU-Informationssystemen haben, die die Daten enthalten, zwischen denen die weiße Verknüpfung erstellt wurde.

(4)   Die mitgliedstaatlichen Behörden und die Stellen der Union haben Zugang zu grünen Verknüpfungen nach Artikel 31, wenn sie Zugang zu den beiden EU-Informationssystemen haben, die die Daten enthalten, zwischen denen die grüne Verknüpfung erstellt wurde, und eine Abfrage dieser Informationssysteme eine Übereinstimmung bei den beiden verknüpften Datensätzen ergeben hat.

(1)   Im CIR und im SIS wird eine Prüfung auf Mehrfachidentitäten eingeleitet, wenn

(2)   Wenn die in einem EU-Informationssystem enthaltenen Daten nach Absatz 1 biometrische Daten umfassen, nutzen der CIR und das zentrale SIS den gemeinsamen BMS für die Prüfung auf Mehrfachidentitäten. Der gemeinsame BMS vergleicht die aus neuen biometrischen Daten generierten biometrischen Templates mit den bereits im gemeinsamen BMS vorhandenen biometrischen Templates, um zu überprüfen, ob die zu derselben Person gehörenden Daten bereits im CIR oder im zentralen SIS gespeichert sind.

(3)   Zusätzlich zu dem in Absatz 2 genannten Vorgang nutzen der CIR und das zentrale SIS das ESP, um anhand der folgenden Daten die im zentralen SIS bzw. im CIR gespeicherten Daten zu durchsuchen:

(4)   Zusätzlich zu dem in den Absätzen 2 und 3 genannten Vorgang nutzen der CIR und das zentrale SIS das ESP, um anhand der Reisedokumentendaten die im zentralen SIS bzw. im CIR gespeicherten Daten zu durchsuchen.

(5)   Die Prüfung auf Mehrfachidentitäten wird nur durchgeführt, um Daten, die in einem EU-Informationssystem vorhanden sind, mit Daten, die in anderen EU-Informationssystemen vorhanden sind, zu vergleichen.

(1)   Wenn die Abfragen nach Artikel 27 Absätze 2, 3 und 4 keine Übereinstimmung ergeben, werden die in Artikel 27 Absatz 1 genannten Verfahren gemäß den einschlägigen Rechtsinstrumenten fortgesetzt.

(2)   Wenn die Abfrage nach Artikel 27 Absätze 2, 3 und 4 eine oder mehrere Übereinstimmungen ergibt, erstellen der CIR und gegebenenfalls das SIS eine Verknüpfung zwischen den für die Abfrage verwendeten Daten und den Daten, die zu der Übereinstimmung geführt haben.

Wenn mehrere Übereinstimmungen gemeldet werden, wird eine Verknüpfung zwischen allen Daten, die zu der Übereinstimmung geführt haben, erstellt. Wenn die Daten bereits verknüpft waren, wird die bestehende Verknüpfung auf die zur Abfrage verwendeten Daten ausgeweitet.

(3)   Wenn die Abfrage nach Artikel 27 Absätze 2, 3 und 4 eine oder mehrere Übereinstimmungen ergibt und die Identitätsdaten der verknüpften Dateien gleich oder ähnlich sind, wird eine weiße Verknüpfung nach Artikel 33 erstellt.

(4)   Wenn die Abfrage nach Artikel 27 Absätze 2, 3 und 4 eine oder mehrere Übereinstimmungen ergibt und die Identitätsdaten der verknüpften Dateien nicht als ähnlich angesehen werden können, wird eine gelbe Verknüpfung nach Artikel 30 erstellt, und das Verfahren nach Artikel 29 gelangt zur Anwendung.

(5)   Die Kommission erlässt gemäß Artikel 73 delegierte Rechtsakte zur Festlegung der Verfahren für die Bestimmung der Fälle, in denen Identitätsdaten als identisch oder ähnlich angesehen werden können.

(6)   Die Verknüpfungen werden in der Identitätsbestätigungsdatei gemäß Artikel 34 gespeichert.

(7)   Die Kommission legt in Zusammenarbeit mit eu-LISA die technischen Vorschriften für die Erstellung von Verknüpfungen zwischen Daten aus unterschiedlichen EU-Informationssystemen im Wege von Durchführungsrechtsakten fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 74 Absatz 2 genannten Prüfverfahren erlassen.

(1)   Unbeschadet von Absatz 2 sind für die manuelle Verifizierung verschiedener Identitäten folgende Behörden zuständig:

Der MID gibt die für die manuelle Verifizierung verschiedener Identitäten zuständige Behörde in der Identitätsbestätigungsdatei an.

(2)   Die für die manuelle Verifizierung verschiedener Identitäten in der Identitätsbestätigungsdatei zuständige Behörde ist das SIRENE-Büro des Mitgliedstaats, der die Ausschreibung eingegeben hat, wenn eine Verknüpfung zu Daten erstellt wird, die in einer Ausschreibung

(3)   Die für die manuelle Verifizierung verschiedener Identitäten zuständige Behörde erhält unbeschadet des Absatzes 4 dieses Artikels Zugriff auf die in der betreffenden Identitätsbestätigungsdatei enthaltenen verknüpften Daten und auf die im CIR und gegebenenfalls im SIS verknüpften Identitätsdaten. Sie prüft die verschiedenen Identitäten unverzüglich. Sobald die Prüfung abgeschlossen ist, aktualisiert sie die Verknüpfung gemäß den Artikeln 31, 32 und 33 und fügt diese unverzüglich zur Identitätsbestätigungsdatei hinzu.

(4)   Wenn die für die manuelle Verifizierung verschiedener Identitäten in der Identitätsbestätigungsdatei zuständige Behörde die gemäß Artikel 9 Absatz 2 der Verordnung (EU) 2017/2226 benannte zuständige Behörde ist, die im EES ein persönliches Dossier nach Artikel 14 der genannten Verordnung anlegt oder aktualisiert, und wenn eine gelbe Verknüpfung erstellt wird, führt diese Behörde zusätzliche Überprüfungen durch. Diese Behörde erhält nur für diesen Zweck Zugriff auf die in der betreffenden Identitätsbestätigungsdatei enthaltenen einschlägigen Daten. Sie prüft die verschiedenen Identitäten, aktualisieren die Verknüpfung gemäß den Artikeln 31, 32 und 33 der vorliegenden Verordnung und fügt diese unverzüglich zur Identitätsbestätigungsdatei hinzu.

Diese manuelle Verifizierung verschiedener Identitäten wird im Beisein der betroffenen Person eingeleitet, die Gelegenheit erhält, die Umstände der zuständigen Behörde zu erläutern, die diese Erläuterungen zu berücksichtigen hat.

Wenn die manuelle Verifizierung verschiedener Identitäten an der Grenze erfolgt, wird sie möglichst innerhalb von zwölf Stunden nach der Erstellung einer gelben Verknüpfung gemäß Artikel 28 Absatz 4 vorgenommen.

(5)   Wenn mehr als eine Verknüpfung erstellt wird, prüft die für die manuelle Verifizierung verschiedener Identitäten zuständige Behörde jede Verknüpfung gesondert.

(6)   Wenn Daten, die zu einer Übereinstimmung geführt haben, bereits verknüpft sind, berücksichtigt die für die manuelle Verifizierung verschiedener Identitäten zuständige Behörde die bestehenden Verknüpfungen bei der Prüfung, ob neue Verknüpfungen erstellt werden müssen.

(1)   Wurde noch keine manuelle Verifizierung verschiedener Identitäten vorgenommen, wird eine Verknüpfung zwischen Daten aus zwei oder mehr EU-Informationssystemen in folgenden Fällen als gelb klassifiziert:

(2)   Wenn eine Verknüpfung gemäß Absatz 1 als gelb klassifiziert wird, gelangt das Verfahren nach Artikel 29 zur Anwendung.

(1)   Eine Verknüpfung zwischen Daten aus zwei oder mehr EU-Informationssystemen wird als grün klassifiziert, wenn

(2)   Wenn eine Abfrage im CIR oder im SIS durchgeführt wird und eine grüne Verknüpfung zwischen Daten aus zwei oder mehr EU-Informationssystemen besteht, zeigt der MID an, dass die Identitätsdaten der verknüpften Daten nicht ein und dieselbe Person bezeichnen.

(3)   Wenn eine mitgliedstaatliche Behörde Belege hat, aus denen hervorgeht, dass eine grüne Verknüpfung im MID unrichtig erfasst wurde, dass eine grüne Verknüpfung nicht dem neuesten Stand entspricht oder dass mit der Verarbeitung der Daten im MID oder den EU-Informationssystemen gegen diese Verordnung verstoßen wurde, muss sie die betreffenden im CIR und im SIS gespeicherten Daten überprüfen und die Verknüpfung gegebenenfalls unverzüglich berichtigen oder aus dem MID löschen. Diese mitgliedstaatliche Behörde setzt unverzüglich den für die manuelle Verifizierung verschiedener Identitäten zuständigen Mitgliedstaat in Kenntnis.

(1)   Eine Verknüpfung zwischen Daten aus zwei oder mehr EU-Informationssystemen wird in folgenden Fällen als rot klassifiziert:

(2)   Wenn eine Abfrage im CIR oder im SIS durchgeführt wird und eine rote Verknüpfung zwischen Daten in zwei oder mehr EU-Informationssystemen besteht, zeigt der MID die in Artikel 34 genannten Daten an. Bei etwaigen Folgemaßnahmen zu einer roten Verknüpfung sind die einschlägigen Bestimmungen des Unionsrechts und des nationalen Rechts einzuhalten, wobei sich etwaige rechtliche Folgen für die betroffene Person nur auf die einschlägigen Daten zu dieser Person gründen dürfen. Aufgrund der bloßen Existenz einer roten Verknüpfung entstehen für die betroffene Person keine rechtlichen Folgen.

(3)   Wenn eine rote Verknüpfung zwischen Daten im EES, im VIS, im ETIAS, in Eurodac oder im ECRIS-TCN erstellt wird, wird die im CIR gespeicherte individuelle Datei gemäß Artikel 19 Absatz 2 aktualisiert.

(4)   Unbeschadet der Bestimmungen für die Handhabung von Ausschreibungen im SIS in den Verordnungen (EU) 2018/1860, (EU) 2018/1861 und (EU) 2018/1862 und unbeschadet der erforderlichen Einschränkungen zum Schutz der Sicherheit und der öffentlichen Ordnung, zur Verhinderung von Kriminalität und zur Gewährleistung, dass bei der Erstellung einer roten Verknüpfung keine nationalen Ermittlungen beeinträchtigt werden, teilt die für die manuelle Verifizierung verschiedener Identitäten zuständige Behörde der betroffenen Person mit, dass illegale Mehrfachidentitätsdaten vorliegen, und teilt der Person die einmalige Kennnummer gemäß Artikel 34 Buchstabe c der vorliegenden Verordnung, die für die manuelle Verifizierung verschiedener Identitäten zuständige Behörde gemäß Artikel 34 Buchstabe d der vorliegenden Verordnung und die Adresse des nach Artikel 49 der vorliegenden Verordnung eingerichteten Web-Portals mit.

(5)   Die in Absatz 4 genannten Informationen werden von der für die manuelle Verifizierung verschiedener Identitäten zuständigen Behörde schriftlich anhand eines Standardformulars zur Verfügung gestellt. Die Kommission legt den Inhalt und die Darstellung dieses Formulars im Wege von Durchführungsrechtsakten fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 74 Absatz 2 genannten Prüfverfahren erlassen.

(6)   Wenn eine rote Verknüpfung erstellt wird, unterrichtet der MID automatisch die Behörden, die für die verknüpften Daten zuständig sind.

(7)   Wenn eine Behörde eines Mitgliedstaates oder eine Stelle der Union mit Zugriff auf den CIR oder das SIS Belege dafür hat, dass eine rote Verknüpfung im MID unrichtig erfasst wurde oder dass mit der Verarbeitung der Daten im MID, im CIR oder im SIS gegen diese Verordnung verstoßen wurde, muss die Behörde oder Stelle die betreffenden im CIR und im SIS gespeicherten Daten überprüfen und,

Wird ein SIRENE-Büro gemäß Unterabsatz 1 Buchstabe a kontaktiert, verifiziert es die von der mitgliedstaatlichen Behörde oder Stelle der Union vorgelegten Belege unverzüglich und berichtigt gegebenenfalls umgehend die Verknüpfung oder löscht diese aus dem MID.

Die mitgliedstaatliche Behörde, die die Belege erhält, informiert unverzüglich die Behörde des Mitgliedstaats, die für die manuelle Verifizierung verschiedener Identitäten zuständig ist, über jegliche Berichtigung oder Löschung einer roten Verknüpfung.

(1)   Eine Verknüpfung zwischen Daten aus zwei oder mehr EU-Informationssystemen wird in folgenden Fällen als weiß klassifiziert:

(2)   Wenn eine Abfrage im CIR oder im SIS durchgeführt wird und eine weiße Verknüpfung zwischen Daten in zwei oder mehr EU-Informationssystemen besteht, zeigt der MID an, dass die Identitätsdaten der verknüpften Daten ein und dieselbe Person bezeichnen. In der Antwort der abgefragten EU-Informationssysteme werden gegebenenfalls alle verknüpften Daten zu der Person angezeigt, wodurch eine Übereinstimmung auf Basis der Daten, die durch die weiße Verknüpfung verknüpft sind, erfolgt, soweit die Behörde, welche die Abfrage durchführt, nach dem Unionsrecht oder nationalem Recht Zugriff auf die verknüpften Daten hat.

(3)   Wenn eine weiße Verknüpfung zwischen Daten im EES, im VIS, im ETIAS, in Eurodac oder im ECRIS-TCN erstellt wird, wird die im CIR gespeicherte individuelle Datei gemäß Artikel 19 Absatz 2 aktualisiert.

(4)   Wenn nach einer manuellen Verifizierung von verschiedener Identitäten eine weiße Verknüpfung erstellt wird, teilt die für die manuelle Verifizierung verschiedener Identitäten zuständige Behörde der betreffenden Person unbeschadet der Bestimmungen für die Handhabung von Ausschreibungen im SIS in den Verordnungen (EU) 2018/1860, (EU) 2018/1861 und (EU) 2018/1862 und unbeschadet der erforderlichen Einschränkungen zum Schutz der Sicherheit und der öffentlichen Ordnung, zur Verhinderung von Kriminalität und zur Gewährleistung, dass keine nationalen Ermittlungen beeinträchtigt werden, mit, dass ähnliche oder unterschiedliche Identitätsdaten vorliegen, und teilt der Person die einmalige Kennnummer gemäß Artikel 34 Buchstabe c der vorliegenden Verordnung, die für die manuelle Verifizierung verschiedener Identitäten zuständige Behörde gemäß Artikel 34 Buchstabe d der vorliegenden Verordnung und die Adresse des nach Artikel 49 der vorliegenden Verordnung eingerichteten Web-Portals mit.

(5)   Wenn eine mitgliedstaatliche Behörde Belege hat, aus denen hervorgeht, dass eine weiße Verknüpfung im MID unrichtig erfasst wurde, dass eine weiße Verknüpfung nicht dem neuesten Stand entspricht oder dass mit der Verarbeitung der Daten im MID oder in den EU-Informationssystemen gegen diese Verordnung verstoßen wurde, muss sie die betreffenden im CIR und im SIS gespeicherten Daten überprüfen und die Verknüpfung gegebenenfalls unverzüglich berichtigen oder aus dem MID löschen. Diese mitgliedstaatliche Behörde setzt unverzüglich den für die manuelle Verifizierung verschiedener Identitäten zuständigen Mitgliedstaat in Kenntnis.

(6)   Die in Absatz 4 genannten Informationen werden von der für die manuelle Verifizierung verschiedener Identitäten zuständigen Behörde schriftlich anhand eines Standardformulars zur Verfügung gestellt. Die Kommission legt den Inhalt und die Darstellung dieses Formulars im Wege von Durchführungsrechtsakten fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 74 Absatz 2 genannten Prüfverfahren erlassen.

(1)   eu-LISA führt Protokolle über alle Datenverarbeitungsvorgänge im MID. Die Protokolle enthalten folgende Angaben:

(2)   Jeder Mitgliedstaat führt Protokolle über die Abfragen, die seine zur Nutzung des MID ordnungsgemäß ermächtigten Behörden und deren Bedienstete durchführen. Jede Stelle der Union führt Protokolle über die Abfragen, die ihre ordnungsgemäß ermächtigten Behörden durchführen.

(3)   Die in den Absätzen 1 und 2 genannten Protokolle dürfen nur zur datenschutzrechtlichen Kontrolle, einschließlich der Prüfung der Zulässigkeit einer Abfrage und der Rechtmäßigkeit der Datenverarbeitung sowie zur Sicherstellung der Datensicherheit und -integrität verwendet werden. Die Protokolle werden in geeigneter Weise vor unbefugtem Zugriff geschützt und ein Jahr nach ihrer Erstellung gelöscht. Werden sie jedoch für ein bereits eingeleitetes Kontrollverfahren benötigt, werden sie gelöscht, sobald die Protokolle nicht mehr für das Kontrollverfahren benötigt werden.

(1)   Unbeschadet der Verantwortlichkeiten der Mitgliedstaaten für die Qualität der in die Systeme eingegebenen Daten führt eu-LISA für die im EES, im VIS, im ETIAS, im SIS, im gemeinsamer BMS und im CIR gespeicherten Daten Mechanismen und Verfahren für die automatische Datenqualitätskontrolle ein.

(2)   eu-LISA setzt Mechanismen für die Bewertung der Richtigkeit des gemeinsamen BMS, gemeinsame Datenqualitätsindikatoren und die Mindestqualitätsstandards für die Speicherung von Daten im EES, im VIS, im ETIAS, im SIS, im gemeinsamen BMS und im CIR um.

Nur Daten, die den Mindestqualitätsstandards genügen, dürfen in das EES, das VIS, das ETIAS, das SIS, den gemeinsamen BMS, den CIR und den MID eingegeben werden.

(3)   eu-LISA legt den Mitgliedstaaten regelmäßig Berichte über die Mechanismen und Verfahren für die automatische Datenqualitätskontrolle sowie die gemeinsamen Datenqualitätsindikatoren vor. Ferner legt eu-LISA der Kommission regelmäßig Berichte über die festgestellten Probleme und die betroffenen Mitgliedstaaten vor. eu-LISA legt diese Berichte auf Anfrage auch dem Europäischen Parlament und dem Rat vor. Keiner der in diesem Absatz genannten Berichte darf personenbezogene Daten enthalten.

(4)   Die Einzelheiten der Mechanismen und Verfahren für die automatische Datenqualitätskontrolle sowie der gemeinsamen Datenqualitätsindikatoren und der Mindestqualitätsstandards für die Speicherung von Daten im EES, im VIS, im ETIAS, im SIS und im gemeinsamen BMS und im CIR, insbesondere bei biometrischen Daten, werden in Durchführungsrechtsakten festgelegt. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 74 Absatz 2 genannten Prüfverfahren erlassen.

(5)   Ein Jahr nach der Einführung der Mechanismen und Verfahren für die automatische Datenqualitätskontrolle, der gemeinsamen Datenqualitätsindikatoren und der Mindestdatenqualitätsstandards und danach jedes Jahr evaluiert die Kommission die Umsetzung der Datenqualität durch die Mitgliedstaaten und gibt erforderlichenfalls Empfehlungen ab. Die Mitgliedstaaten legen der Kommission einen Aktionsplan zur Beseitigung etwaiger im Evaluierungsbericht festgestellter Mängel und insbesondere zur Lösung von Problemen bei der Datenqualität, die sich aus fehlerhaften Daten in EU-Informationssystemen ergeben, vor. Die Mitgliedstaaten erstatten der Kommission regelmäßig Bericht über die Fortschritte bei der Umsetzung dieses Aktionsplans, bis dieser vollständig umgesetzt ist.

Die Kommission übermittelt den Evaluierungsbericht dem Europäischen Parlament, dem Rat, dem Europäischen Datenschutzbeauftragten, dem Europäischen Datenschutzausschuss und der durch die Verordnung (EG) Nr. 168/2007 des Rates (39) eingerichteten Agentur der Europäischen Union für Grundrechte.

(1)   Das universelle Nachrichtenformat (UMF) wird eingeführt. Mit dem UMF werden Standards für bestimmte inhaltliche Elemente des grenzüberschreitenden Informationsaustauschs zwischen Informationssystemen, Behörden und/oder Organisationen im Bereich Justiz und Inneres festgelegt.

(2)   Der UMF-Standard ist bei der Entwicklung des EES, des ETIAS, des ESP, des CIR und des MID sowie gegebenenfalls bei der Entwicklung neuer Modelle für den Informationsaustausch und neuer Informationssysteme im Bereich Justiz und Inneres durch eu-LISA oder eine andere Stelle der Union zu verwenden.

(3)   Die Kommission erlässt einen Durchführungsrechtsakt zur Festlegung und Entwicklung des in Absatz 1 dieses Artikels genannten UMF-Standards. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 74 Absatz 2 genannten Prüfverfahren erlassen.

(1)   Es wird ein zentraler Speicher für Berichte und Statistiken (CRRS) eingerichtet, um die Ziele des EES, des VIS, des ETIAS sowie des SIS gemäß den entsprechenden geltenden Rechtsinstrumenten zu unterstützen und systemübergreifende statistische Daten und analytische Berichte für politische und operative Zwecke sowie für die Zwecke der Datenqualität bereitzustellen.

(2)   eu-LISA sorgt an ihren technischen Standorten für die Einrichtung, die Implementierung und das Hosting des CRRS, das logisch nach den EU-Informationssystemen getrennt die Daten und Statistiken nach Artikel 63 der Verordnung (EU) 2017/2226, Artikel 17 der Verordnung (EG) Nr. 767/2008, Artikel 84 der Verordnung (EU) 2018/1240 und Artikel 60 der Verordnung (EU) 2018/1861 sowie Artikel 16 der Verordnung (EU) 2018/1860 enthält. Der Zugang zum CRRS erfolgt in Form eines kontrollierten, gesicherten Zugangs und spezifischen Nutzerprofilen und wird den in Artikel 63 der Verordnung (EU) 2017/2226, Artikel 17 der Verordnung (EG) Nr. 767/2008, Artikel 84 der Verordnung (EU) 2018/1240 und Artikel 60 der Verordnung (EU) 2018/1861 genannten Behörden ausschließlich zu Berichterstattungs- und Statistikzwecken gewährt.

(3)   eu-LISA anonymisiert die Daten und speichert diese anonymisierten Daten im CRRS. Die Anonymisierung der Daten erfolgt nach einem automatisierten Verfahren.

Die im CRRS enthaltenen Daten dürfen keine Identifizierung von Einzelpersonen ermöglichen.

(4)   Der CRRS umfasst

(5)   Die Kommission erlässt einen delegierten Rechtsakt gemäß Artikel 73, um detaillierte Bestimmungen über den Betrieb des CRRS, einschließlich spezifischer Garantien für die Verarbeitung personenbezogener Daten gemäß den Absätzen 2 und 3 des vorliegenden Artikels und der für den Speicher geltenden Sicherheitsvorschriften festzulegen.

(1)   Für die Verarbeitung von Daten im gemeinsamen BMS sind die mitgliedstaatlichen Behörden, die jeweils für die Verarbeitung im EES, im VIS und im SIS verantwortlich sind, Verantwortliche im Sinne des Artikels 4 Nummer 7 der Verordnung (EU) 2016/679 oder des Artikels 3 Nummer 8 der Richtlinie (EU) 2016/680 für die aus den in Artikel 13 der vorliegenden Verordnung genannten Daten generierten biometrischen Templates, die sie in die zugrunde liegenden Systeme eingeben, und tragen die Verantwortung für die Verarbeitung der biometrischen Templates im gemeinsamen BMS.

(2)   Für die Verarbeitung von Daten im CIR sind die mitgliedstaatlichen Behörden, die jeweils für die Verarbeitung im EES, im VIS und im ETIAS verantwortlich sind, Verantwortliche im Sinne des Artikels 4 Nummer 7 der Verordnung (EU) 2016/679 für die in Artikel 18 der vorliegenden Verordnung genannten Daten, die sie in die zugrunde liegenden Systeme eingeben, und tragen die Verantwortung für die Verarbeitung dieser personenbezogenen Daten im CIR.

(3)   Für die Verarbeitung von Daten im MID

(4)   Zum Zwecke der datenschutzrechtlichen Kontrolle, einschließlich zur Prüfung der Zulässigkeit einer Abfrage und der Rechtmäßigkeit der Datenverarbeitung, haben die für die Verarbeitung Verantwortlichen Zugang zu den Protokollen nach den Artikeln 10, 16, 24 und 36 für die Eigenkontrolle nach Artikel 44.

(1)   eu-LISA, die ETIAS-Zentralstelle, Europol und die mitgliedstaatlichen Behörden gewährleisten die Sicherheit der Verarbeitung personenbezogener Daten nach Maßgabe dieser Verordnung. Bei der Erfüllung sicherheitsbezogener Aufgaben arbeiten eu-LISA, die ETIAS-Zentralstelle, Europol und die mitgliedstaatlichen Behörden zusammen.

(2)   Unbeschadet des Artikels 33 der Verordnung (EU) 2018/1725 ergreift eu-LISA die erforderlichen Maßnahmen, um die Sicherheit der Interoperabilitätskomponenten und der mit ihnen verbundenen Kommunikationsinfrastruktur sicherzustellen.

(3)   Insbesondere trifft eu-LISA die erforderlichen Maßnahmen, einschließlich der Annahme eines Sicherheitsplans, eines Betriebskontinuitätsplans und eines Notfallwiederherstellungsplans, um

(4)   Die Mitgliedstaaten, Europol und die ETIAS-Zentralstelle treffen für die Verarbeitung personenbezogener Daten durch die Behörden, die das Recht auf Zugang zu Interoperabilitätskomponenten haben, Sicherheitsmaßnahmen, die den in Absatz 3 genannten entsprechen.

(1)   Jedes Ereignis, das sich auf die Sicherheit der Interoperabilitätskomponenten auswirkt oder auswirken kann und darin gespeicherte Daten beschädigen oder ihren Verlust herbeiführen kann, ist als Sicherheitsvorfall anzusehen; das gilt insbesondere, wenn möglicherweise ein unbefugter Datenzugriff erfolgt ist oder die Verfügbarkeit, die Integrität und die Vertraulichkeit von Daten tatsächlich oder möglicherweise nicht mehr gewährleistet war.

(2)   Sicherheitsvorfällen ist durch eine rasche, wirksame und angemessene Reaktion zu begegnen.

(3)   Unbeschadet der Meldung und Mitteilung einer Verletzung des Schutzes personenbezogener Daten gemäß Artikel 33 der Verordnung (EU) 2016/679, Artikel 30 der Richtlinie (EU) 2016/680 oder beiden Artikeln unterrichten die Mitgliedstaaten die Kommission, eu-LISA, die zuständigen Aufsichtsbehörden und den Europäischen Datenschutzbeauftragten unverzüglich über etwaige Sicherheitsvorfälle.

Unbeschadet der Artikel 34 und 35 der Verordnung (EU) 2018/1725 und Artikel 34 der Verordnung (EU) 2016/794 unterrichten die ETIAS-Zentralstelle und Europol die Kommission, eu-LISA und den Europäischen Datenschutzbeauftragten unverzüglich über etwaige Sicherheitsvorfälle.

Im Falle eines Sicherheitsvorfalls in Verbindung mit der zentralen Infrastruktur der Interoperabilitätskomponenten unterrichtet eu-LISA die Kommission und den Europäischen Datenschutzbeauftragten unverzüglich.

(4)   Informationen über einen Sicherheitsvorfall, der sich auf den Betrieb der Interoperabilitätskomponenten oder die Verfügbarkeit, die Integrität und die Vertraulichkeit der Daten auswirkt oder auswirken kann, werden den Mitgliedstaaten, der ETIAS-Zentralstelle und Europol unverzüglich bereitgestellt und nach Maßgabe des von eu-LISA bereitzustellenden Plans für die Bewältigung von Sicherheitsvorfällen gemeldet.

(5)   Die betroffenen Mitgliedstaaten, die ETIAS-Zentralstelle, Europol und eu-LISA arbeiten im Falle eines Sicherheitsvorfalls zusammen. Die Kommission legt die genauen Modalitäten dieser Zusammenarbeit im Wege von Durchführungsrechtsakten fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 74 Absatz 2 genannten Prüfverfahren erlassen.

(1)   Unbeschadet des Anspruchs auf Schadenersatz durch den für die Verarbeitung Verantwortlichen oder den Datenauftragsverarbeiter und unbeschadet ihrer Haftung gemäß der Verordnung (EU) 2016/679, der Richtlinie (EU) 2016/680 und der Verordnung (EU) 2018/1725

Der betreffende Mitgliedstaat, Europol, die Europäische Agentur für die Grenz- und Küstenwache oder eu-LISA werden vollständig oder teilweise von ihrer Haftung nach Unterabsatz 1 befreit, wenn sie nachweisen, dass sie für den Umstand, durch den der Schaden eingetreten ist, nicht verantwortlich sind.

(2)   Verursacht eine Verletzung der in dieser Verordnung festgelegten Pflichten durch einen Mitgliedstaat einen Schaden an den Interoperabilitätskomponenten, haftet dieser Mitgliedstaat für den entstandenen Schaden, sofern und soweit es eu-LISA oder ein anderer durch diese Verordnung gebundener Mitgliedstaat nicht versäumt haben, angemessene Maßnahmen zur Verhinderung des Schadens oder zur Verringerung seiner Auswirkungen zu ergreifen.

(3)   Die Geltendmachung von Schadenersatzansprüchen nach den Absätzen 1 und 2 gegen einen Mitgliedstaat unterliegt dem nationalen Recht des beklagten Mitgliedstaats. Die Geltendmachung von Schadenersatzansprüchen nach den Absätzen 1 und 2 gegen den für die Verarbeitung Verantwortlichen oder eu-LISA unterliegt den in den Verträgen vorgesehenen Voraussetzungen.

(1)   Die Behörde, die die personenbezogenen Daten erfasst, die im gemeinsamen BMS, im CIR oder im MID zu speichern sind, stellt den Personen, deren Daten erfasst werden, die Informationen zur Verfügung, die nach den Artikeln 13 und 14 der Verordnung (EU) 2016/679, den Artikeln 12 und 13 der Richtlinie (EU) 2016/680 und den Artikeln 15 und 16 der Verordnung (EU) 2018/1725 vorgeschrieben sind. Die Behörde stellt die Informationen zum Zeitpunkt der Datenerfassung zur Verfügung.

(2)   Alle Informationen werden in einer in klarer und einfacher Sprache verfassten Sprachfassung, die die betreffende Person versteht oder von der vernünftigerweise angenommen werden darf, dass sie sie versteht, bereitgestellt. Die Informationen müssen für Minderjährige auch in einer dem Alter angemessenen Weise bereitgestellt werden.

(3)   Personen, deren Daten im EES, im VIS oder im ETIAS gespeichert sind, werden über die Verarbeitung personenbezogener Daten für die Zwecke dieser Verordnung gemäß Absatz 1 informiert, wenn

(1)   Personen, die von ihren Rechten nach den Artikeln 15 bis 18 der Verordnung (EU) 2016/679, den Artikeln 17 bis 20 der Verordnung (EU) 2018/1725 und den Artikeln 14, 15 und 16 der Richtlinie (EU) 2016/680 Gebrauch machen möchten, können sich an die zuständige Behörde eines beliebigen Mitgliedstaats wenden, der den Antrag prüft und beantwortet.

(2)   Der Mitgliedstaat, der einen solchen Antrag prüft, antwortet unverzüglich, in jedem Fall jedoch innerhalb von 45 Tagen nach Antragseingang. Diese Frist kann um weitere 15 Tage verlängert werden, wenn das unter Berücksichtigung der Komplexität und der Zahl der Anträge erforderlich ist. Der Mitgliedstaat, der den Antrag prüft, unterrichtet die betroffene Person innerhalb von 45 Tagen nach Antragseingang über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Die Mitgliedstaaten können entscheiden, dass die Antworten von Zentralstellen zu erteilen sind.

(3)   Wird ein Antrag auf Berichtigung oder Löschung personenbezogener Daten bei einem anderen Mitgliedstaat als dem für die manuelle Verifizierung verschiedener Identitäten zuständigen Mitgliedstaat gestellt, so kontaktiert der Mitgliedstaat, an den der Antrag gerichtet wurde, innerhalb von sieben Tagen die Behörden des für die manuelle Verifizierung verschiedener Identitäten zuständigen Mitgliedstaats. Der für die manuelle Verifizierung verschiedener Identitäten zuständige Mitgliedstaat überprüft die Richtigkeit der Daten und die Rechtmäßigkeit der Datenverarbeitung unverzüglich, in jedem Fall jedoch innerhalb von 30 Tagen nach der Kontaktaufnahme. Diese Frist kann um weitere 15 Tage verlängert werden, wenn das unter Berücksichtigung der Komplexität und der Zahl der Anträge erforderlich ist. Der für die manuelle Verifizierung verschiedener Identitäten zuständige Mitgliedstaat unterrichtet den Mitgliedstaat, der ihn kontaktiert hat, von jeder solchen Fristverlängerung und nennt die Gründe für die Verzögerung. Der Mitgliedstaat, der die Behörde des für die manuelle Verifizierung verschiedener Identitäten zuständigen Mitgliedstaats kontaktiert hat, informiert die betroffene Person über das weitere Verfahren.

(4)   Wird ein Antrag auf Berichtigung oder Löschung personenbezogener Daten bei einem Mitgliedstaat gestellt, in dem die ETIAS-Zentralstelle für die manuelle Verifizierung verschiedener Identitäten zuständig war, so kontaktiert der Mitgliedstaat, an den der Antrag gerichtet wurde, die ETIAS-Zentralstelle innerhalb von sieben Tagen, um sie darum zu ersuchen, eine Stellungnahme abzugeben. Die ETIAS-Zentralstelle gibt ihre Stellungnahme unverzüglich, in jedem Fall jedoch innerhalb von 30 Tagen nach der Kontaktaufnahme ab. Diese Frist kann um weitere 15 Tage verlängert werden, wenn das unter Berücksichtigung der Komplexität und der Zahl der Anträge erforderlich ist. Die betroffene Person wird von dem Mitgliedstaat, der die ETIAS-Zentralstelle kontaktiert hat, über das weitere Verfahren informiert.

(5)   Falls bei einer Prüfung festgestellt wird, dass die im MID gespeicherten Daten unrichtig sind oder unrechtmäßig erfasst wurden, werden diese Daten vom für die manuelle Verifizierung verschiedener Identitäten zuständigen Mitgliedstaat oder, wenn kein Mitgliedstaat für die manuelle Verifizierung verschiedener Identitäten zuständig war oder wenn die ETIAS-Zentralstelle für die manuelle Verifizierung verschiedener Identitäten zuständig war, von dem Mitgliedstaat, an den der Antrag gerichtet wurde, unverzüglich berichtigt oder gelöscht. Die betroffene Person wird schriftlich darüber informiert, dass ihre Daten berichtigt oder gelöscht worden sind.

(6)   Falls im MID gespeicherte Daten während ihrer Speicherfrist von einem Mitgliedstaat geändert werden, nimmt dieser Mitgliedstaat die Verarbeitung nach Artikel 27 und gegebenenfalls die Verarbeitung nach Artikel 29 vor, um zu ermitteln, ob die geänderten Daten verknüpft werden müssen. Ergibt sich bei der Verarbeitung keine Übereinstimmung, so löscht dieser Mitgliedstaat die Daten aus der Identitätsbestätigungsdatei. Falls bei der automatisierten Verarbeitung ein oder mehrere Übereinstimmungen gemeldet werden, erstellt oder aktualisiert dieser Mitgliedstaat die betreffende Verknüpfung gemäß den einschlägigen Bestimmungen dieser Verordnung.

(7)   Ist der für die manuelle Verifizierung verschiedener Identitäten zuständige Mitgliedstaat oder gegebenenfalls der Mitgliedstaat, an den der Antrag gerichtet wurde, nicht der Ansicht, dass die im MID gespeicherten Daten unrichtig sind oder unrechtmäßig gespeichert wurden, so erlässt er eine Verwaltungsentscheidung, in der er der betroffenen Person unverzüglich schriftlich erläutert, warum er nicht zu einer Berichtigung oder Löschung der sie betreffenden Daten bereit ist.

(8)   In der Entscheidung gemäß Absatz 7 wird die betroffene Person zudem darüber belehrt, dass sie die Entscheidung über ihren Antrag auf Auskunft über personenbezogene Daten bzw. Berichtigung, Löschung oder Einschränkung der Verarbeitung personenbezogener Daten anfechten und wie sie gegebenenfalls bei den zuständigen Gerichten oder Behörden Klage erheben oder Beschwerde einlegen kann, einschließlich diesbezüglicher Hilfe, auch der Aufsichtsbehörden.

(9)   Jeder Antrag auf Auskunft über personenbezogene Daten bzw. Berichtigung, Löschung oder Einschränkung der Verarbeitung personenbezogener Daten enthält die zur Identifizierung der betroffenen Person notwendigen Informationen. Diese Informationen werden ausschließlich dazu verwendet, die Wahrnehmung der in diesem Artikel genannten Rechte zu ermöglichen, und anschließend unverzüglich gelöscht.

(10)   Der für die manuelle Verifizierung verschiedener Identitäten zuständige Mitgliedstaat oder gegebenenfalls der Mitgliedstaat, an den der Antrag gerichtet wurde, führt eine schriftliche Aufzeichnung darüber, dass ein Antrag auf Auskunft über personenbezogene Daten bzw. Berichtigung, Löschung oder Einschränkung der Verarbeitung personenbezogener Daten gestellt und wie dieser bearbeitet wurde, und stellt diese Aufzeichnung unverzüglich den Aufsichtsbehörden zur Verfügung.

(11)   Dieser Artikel gilt unbeschadet etwaiger Beschränkungen und Einschränkungen der in diesem Artikel festgelegten Rechte gemäß der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680.

(1)   Um die Ausübung der Rechte auf Auskunft über personenbezogene Daten bzw. Berichtigung, Löschung oder Einschränkung der Verarbeitung personenbezogener Daten zu erleichtern, wird ein Web-Portal eingerichtet.

(2)   Das Web-Portal enthält Informationen über die Rechte und Verfahren nach den Artikeln 47 und 48 und eine Benutzerschnittstelle, die es Personen, deren Daten im MID verarbeitet werden und die davon unterrichtet wurden, dass eine rote Verknüpfung nach Artikel 32 Absatz 4 angezeigt wurde, ermöglicht, die Kontaktinformationen der zuständigen Behörde des für die manuelle Verifizierung verschiedener Identitäten zuständigen Mitgliedstaats zu erhalten.

(3)   Um die Kontaktinformationen der zuständigen Behörde des für die manuelle Verifizierung verschiedener Identitäten zuständigen Mitgliedstaats zu erhalten, sollte die Person, deren Daten im MID verarbeitet werden, die Angaben zu der für die manuelle Verifizierung verschiedener Identitäten zuständigen Behörde nach Artikel 34 Buchstabe d eingeben. Das Web-Portal benutzt diese Angaben, um die Kontaktinformationen der zuständigen Behörde des für die manuelle Verifizierung verschiedener Identitäten zuständigen Mitgliedstaats abzurufen. Das Web-Portal umfasst auch eine E-Mail-Vorlage, um die Kommunikation zwischen dem Portalnutzer und der zuständigen Behörde des für die manuelle Verifizierung verschiedener Identitäten zuständigen Mitgliedstaats zu erleichtern. Diese E-Mail enthält ein Eingabefeld für die einmalige Kennnummer nach Artikel 34 Buchstabe c, um der zuständigen Behörde des für die manuelle Verifizierung verschiedener Identitäten zuständigen Mitgliedstaats zu ermöglichen, die betreffenden Daten zu identifizieren.

(4)   Die Mitgliedstaaten stellen eu-LISA die Kontaktdaten aller Behörden zur Verfügung, die für die Prüfung und Beantwortung von Anträgen nach den Artikeln 47 und 48 zuständig sind, und überprüfen regelmäßig, ob diese Kontaktdaten aktuell sind.

(5)   eu-LISA entwickelt das Web-Portal und sorgt für seine technische Verwaltung.

(6)   Die Kommission erlässt einen delegierten Rechtsakt gemäß Artikel 73, um detaillierte Bestimmungen über den Betrieb des Web-Portals festzulegen, einschließlich der Benutzerschnittstelle, der Sprachen, in denen das Web-Portal zur Verfügung stehen soll, und der E-Mail-Vorlage.

(1)   Jeder Mitgliedstaat stellt sicher, dass die Aufsichtsbehörden die Rechtmäßigkeit der Verarbeitung personenbezogener Daten gemäß der vorliegenden Verordnung durch den betreffenden Mitgliedstaat, einschließlich der Übermittlung an die und von den Interoperabilitätskomponenten, unabhängig überwachen.

(2)   Jeder Mitgliedstaat trägt dafür Sorge, dass die gemäß der Richtlinie (EU) 2016/680 erlassenen nationalen Rechts- und Verwaltungsvorschriften gegebenenfalls auch für den Zugang von Polizeibehörden und benannten Behörden zu den Interoperabilitätskomponenten gelten, auch hinsichtlich der Rechte der Personen, auf deren Daten auf diese Weise zugegriffen wird.

(3)   Die Aufsichtsbehörden stellen sicher, dass mindestens alle vier Jahre die durch die zuständigen nationalen Behörden erfolgenden Verarbeitungsvorgänge von personenbezogenen Daten für die Zwecke der vorliegenden Verordnung nach den einschlägigen internationalen Prüfungsstandards überprüft werden.

Die Aufsichtsbehörden veröffentlichen jährlich die Zahl der Anträge auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung personenbezogener Daten, die getroffenen Folgemaßnahmen und die Zahl der Berichtigungen, Löschungen und Einschränkungen der Verarbeitung, die auf Antrag der betroffenen Personen vorgenommen wurden.

(4)   Die Mitgliedstaaten stellen sicher, dass ihre Aufsichtsbehörden über ausreichende Ressourcen und Fachkenntnisse zur Wahrnehmung der Aufgaben verfügen, die ihnen gemäß dieser Verordnung übertragen werden.

(5)   Die Mitgliedstaaten stellen alle Informationen, die von einer in Artikel 51 Absatz 1 der Verordnung (EU) 2016/679 genannten Aufsichtsbehörde angefordert werden, zur Verfügung, insbesondere Informationen zu den Tätigkeiten, die entsprechend ihren Verantwortlichkeiten gemäß der vorliegenden Verordnung durchgeführt werden. Die Mitgliedstaaten gewähren den in Artikel 51 Absatz 1 der Verordnung (EU) 2016/679 genannten Aufsichtsbehörden Zugang zu ihren Protokollen nach den Artikeln 10, 16, 24 und 36 der vorliegenden Verordnung sowie zu den Begründungen nach Artikel 22 Absatz 2 der vorliegenden Verordnung und gestatten ihnen jederzeit Zutritt zu allen ihren für Interoperabilitätszwecke genutzten Räumlichkeiten.

(1)   Die Aufsichtsbehörden und der Europäische Datenschutzbeauftragte arbeiten — jeweils innerhalb ihres Kompetenzbereichs — im Rahmen ihrer jeweiligen Zuständigkeiten aktiv zusammen und sorgen für eine koordinierte Aufsicht der Nutzung der Interoperabilitätskomponenten und der Anwendung anderer Bestimmungen dieser Verordnung, insbesondere wenn der Europäische Datenschutzbeauftragte oder eine Aufsichtsbehörde größere Diskrepanzen zwischen den Verfahrensweisen der Mitgliedstaaten feststellt oder möglicherweise unrechtmäßige Übermittlungen über die Kommunikationskanäle der Interoperabilitätskomponenten bemerkt.

(2)   In den in Absatz 1 dieses Artikels genannten Fällen wird eine koordinierte Aufsicht gemäß Artikel 62 der Verordnung (EU) 2018/1725 sichergestellt.

(3)   Bis zum 12. Juni 2021 und danach alle zwei Jahre übermittelt der Europäische Datenschutzausschuss einen gemeinsamen Bericht über seine Tätigkeiten im Rahmen dieses Artikels an das Europäische Parlament, den Rat, die Kommission, Europol, die Europäische Agentur für die Grenz- und Küstenwache und eu-LISA. Dieser Bericht enthält für jeden Mitgliedstaat ein Kapitel, das von der Aufsichtsbehörde des betreffenden Mitgliedstaats erstellt wird.

(1)   eu-LISA stellt sicher, dass die zentralen Infrastrukturen der Interoperabilitätskomponenten gemäß dieser Verordnung betrieben werden.

(2)   Die Interoperabilitätskomponenten werden an den technischen Standorten von eu-LISA betrieben und bieten die in dieser Verordnung vorgesehenen Funktionen gemäß den in Artikel 55 Absatz 1 festgelegten Bedingungen für die Sicherheit, Verfügbarkeit, Qualität und Leistung.

(3)   eu-LISA ist verantwortlich für die Entwicklung der Interoperabilitätskomponenten sowie für jegliche Anpassungen, die erforderlich sind, um die Interoperabilität zwischen den Zentralsystemen des EES, des VIS, des ETIAS, des SIS, von Eurodac, dem ECRIS-TCN, dem ESP, dem BMS, dem CIR, dem MID und dem CRRS herzustellen.

Unbeschadet des Artikels 66 hat eu-LISA keinen Zugang zu den personenbezogenen Daten, die über das ESP, den gemeinsamen BMS, den CIR oder den MID verarbeitet werden.

eu-LISA konzipiert die Architektur der Interoperabilitätskomponenten einschließlich ihrer Kommunikationsinfrastrukturen, legt ihre technischen Spezifikationen fest und bestimmt ihre Weiterentwicklung in Bezug auf die zentrale Infrastruktur und die sichere Kommunikationsinfrastruktur, die vom Verwaltungsrat vorbehaltlich einer befürwortenden Stellungnahme der Kommission angenommen werden. eu-LISA nimmt zudem etwaige erforderliche Anpassungen am EES, VIS, ETIAS oder SIS vor, die für die Herstellung der Interoperabilität notwendig und in dieser Verordnung vorgesehen sind.

eu-LISA entwickelt und implementiert die Interoperabilitätskomponenten so bald wie möglich nach dem Inkrafttreten dieser Verordnung und nach Erlass der in Artikel 8 Absatz 2, Artikel 9 Absatz 7, Artikel 28 Absätze 5 und 7, Artikel 37 Absatz 4, Artikel 38 Absatz 3, Artikel 39 Absatz 5, Artikel 43 Absatz 5 und Artikel 78 Absatz 10 vorgesehenen Maßnahmen durch die Kommission.

Die Entwicklung umfasst die Ausarbeitung und Umsetzung der technischen Spezifikationen, die Erprobung und die gesamte Projektverwaltung und -koordination.

(4)   Während der Konzept- und Entwicklungsphase wird ein Programmverwaltungsrat eingerichtet, der aus höchstens zehn Mitgliedern besteht. Dem Programmverwaltungsrat gehören sieben Mitglieder, die vom Verwaltungsrat von eu-LISA aus dem Kreis seiner Mitglieder oder stellvertretenen Mitglieder ernannt werden, der Vorsitzende der Beratergruppe für Interoperabilität gemäß Artikel 75, ein vom Exekutivdirektor ernannter Vertreter von eu-LISA sowie ein von der Kommission ernanntes Mitglied an. Die vom Verwaltungsrat von eu-LISA ernannten Mitglieder werden ausschließlich aus dem Kreis derjenigen Mitgliedstaaten gewählt, die nach dem Unionsrecht in vollem Umfang durch die Rechtsinstrumente gebunden sind, welche für die Entwicklung, die Errichtung, den Betrieb und die Nutzung aller EU-Informationssysteme gelten, und die sich an den Interoperabilitätskomponenten beteiligen werden.

(5)   Der Programmverwaltungsrat tritt regelmäßig, mindestens jedoch dreimal pro Quartal zusammen. Er stellt die angemessene Verwaltung der Konzept- und Entwicklungsphase der Interoperabilitätskomponenten sicher.

Der Programmverwaltungsrat legt dem Verwaltungsrat von eu-LISA monatlich schriftliche Berichte über den Fortschritt des Projekts vor. Der Programmverwaltungsrat hat keine Entscheidungsbefugnis und kein Mandat zur Vertretung der Mitglieder des Verwaltungsrats von eu-LISA.

(6)   Der Verwaltungsrat von eu-LISA legt die Geschäftsordnung des Programmverwaltungsrats fest, in der insbesondere Folgendes geregelt ist:

Den Vorsitz übernimmt ein Mitgliedstaat, der nach dem Unionsrecht in vollem Umfang durch die Rechtsinstrumente gebunden ist, die für die Entwicklung, die Errichtung, den Betrieb und die Nutzung aller EU-Informationssysteme gelten, und die sich an den Interoperabilitätskomponenten beteiligen werden.

Sämtliche Reise- und Aufenthaltskosten, die den Mitgliedern des Programmverwaltungsrats entstehen, werden von eu-LISA erstattet, wobei Artikel 10 der Geschäftsordnung von eu-LISA sinngemäß gilt. eu-LISA stellt das Sekretariat des Programmverwaltungsrats.

Die in Artikel 75 genannte Beratergruppe für Interoperabilität tritt bis zur Inbetriebnahme der Interoperabilitätskomponenten regelmäßig zusammen. Nach jeder Sitzung erstattet sie dem Programmverwaltungsrat Bericht. Sie stellt den technischen Sachverstand für die Unterstützung des Programmverwaltungsrats bei seinen Aufgaben bereit und überwacht den Stand der Vorbereitung in den Mitgliedstaaten.

(1)   Nach der Inbetriebnahme der einzelnen Interoperabilitätskomponenten übernimmt eu-LISA die technische Verwaltung der zentralen Infrastruktur der Interoperabilitätskomponenten, einschließlich ihrer Wartung und von Technologieentwicklungen. In Zusammenarbeit mit den Mitgliedstaaten stellt eu-LISA sicher, dass vorbehaltlich einer Kosten-Nutzen-Analyse die beste verfügbare Technologie eingesetzt wird. eu-LISA ist zudem für die technische Verwaltung der in den Artikeln 6, 12, 17, 25 und 39 genannten Kommunikationsinfrastruktur verantwortlich.

Die technische Verwaltung der Interoperabilitätskomponenten umfasst alle Aufgaben und technischen Lösungen, die erforderlich sind, um die Interoperabilitätskomponenten gemäß dieser Verordnung betriebsbereit zu halten und um den Mitgliedstaaten und den Stellen der Union 24 Stunden am Tag und 7 Tage in der Woche ununterbrochene Dienste zu erbringen. Dazu gehören die Wartungsarbeiten und technischen Anpassungen, die erforderlich sind, um sicherzustellen, dass die Komponenten gemäß den technischen Spezifikationen und insbesondere bei der Reaktionszeit bei Abfragen der zentralen Infrastrukturen mit zufriedenstellender technischer Qualität arbeiten.

Alle Interoperabilitätskomponenten werden so entwickelt und verwaltet, dass ein schneller, unterbrechungsfreier, effizienter und kontrollierter Zugang, die volle, ununterbrochene Verfügbarkeit der Komponenten und der im MID, im gemeinsamen BMS und im CIR gespeicherten Daten sowie eine Reaktionszeit entsprechend den operativen Erfordernissen der mitgliedstaatlichen Behörden und der Stellen der Union sichergestellt sind.

(2)   Unbeschadet des Artikels 17 des Statuts der Beamten der Europäischen Union wendet eu-LISA angemessene Regeln zur Gewährleistung der beruflichen Schweigepflicht oder einer anderen vergleichbaren Geheimhaltungspflicht auf ihre Bediensteten an, die mit in den Interoperabilitätskomponenten gespeicherten Daten arbeiten. Diese Pflicht besteht auch nach dem Ausscheiden dieser Bediensteten aus dem Amt oder Dienstverhältnis oder der Beendigung ihrer Tätigkeit weiter.

Unbeschadet des Artikels 66 hat eu-LISA keinen Zugang zu den personenbezogenen Daten, die über das ESP, den gemeinsamen BMS, den CIR und den MID verarbeitet werden.

(3)   eu-LISA entwickelt und pflegt einen Mechanismus und Verfahren für die Durchführung von Qualitätskontrollen der im gemeinsamen BMS und im CIR gespeicherten Daten gemäß Artikel 37.

(4)   eu-LISA nimmt zudem Aufgaben im Zusammenhang mit Schulungen zur technischen Nutzung der Interoperabilitätskomponenten wahr.

(1)   Jeder Mitgliedstaat ist zuständig für

(2)   Jeder Mitgliedstaat verbindet seine benannten Behörden mit dem CIR.

(1)   Die folgenden Daten zum ESP dürfen von dazu ordnungsgemäß ermächtigten Bediensteten der zuständigen mitgliedstaatlichen Behörden, der Kommission und von eu-LISA ausschließlich zur Erstellung von Berichten und Statistiken abgefragt werden:

Die Identifizierung einzelner Personen auf der Grundlage der Daten darf nicht möglich sein.

(2)   Die folgenden Daten zum CIR dürfen von dazu ordnungsgemäß ermächtigten Bediensteten der zuständigen mitgliedstaatlichen Behörden, der Kommission und von eu-LISA ausschließlich zur Erstellung von Berichten und Statistiken abgefragt werden:

Die Identifizierung einzelner Personen auf der Grundlage der Daten darf nicht möglich sein.

(3)   Die folgenden Daten zum MID dürfen von dazu ordnungsgemäß ermächtigten Bediensteten der zuständigen mitgliedstaatlichen Behörden, der Kommission und von eu-LISA ausschließlich zur Erstellung von Berichten und Statistiken abgefragt werden:

Die Identifizierung einzelner Personen auf der Grundlage der Daten darf nicht möglich sein.

(4)   Die ordnungsgemäß ermächtigten Bediensteten der Europäischen Agentur für die Grenz- und Küstenwache können zur Durchführung von Risikoanalysen und Schwachstellenbeurteilungen nach den Artikeln 11 und 13 der Verordnung (EU) 2016/1624 des Europäischen Parlaments und des Rates (40) auf die in den Absätzen 1, 2 und 3 des vorliegenden Artikels genannten Daten zugreifen.

(5)   Die ordnungsgemäß ermächtigten Bediensteten von Europol können auf die in den Absätzen 2 und 3 des vorliegenden Artikels genannten Daten zur Durchführung von strategischen, themenbezogenen und operativen Analysen nach Artikel 18 Absatz 2 Buchstaben b und c der Verordnung (EU) 2016/794 zugreifen.

(6)   Für die Zwecke der Absätze 1, 2 und 3 speichert eu-LISA die in diesen Absätzen genannten Daten im CRRS. Die Identifizierung einzelner Personen auf der Grundlage der im CRRS enthaltenen Daten darf nicht möglich sein, jedoch müssen die Daten den in den Absätzen 1, 2 und 3 genannten Behörden die Möglichkeit geben, anpassbare Berichte und Statistiken abzurufen, um die Effizienz von Grenzübertrittskontrollen zu steigern, Behörden bei der Bearbeitung von Visumanträgen zu unterstützen und eine faktengestützte Gestaltung der Migrations- und Sicherheitspolitik der Union zu fördern.

(7)   Auf Anfrage werden der Agentur der Europäischen Union für Grundrechte relevante Informationen von der Kommission zur Verfügung gestellt, damit sie die Auswirkungen dieser Verordnung auf die Grundrechte bewerten kann.

(1)   Während eines Zeitraums von zwei Jahren nach dem Datum der Inbetriebnahme des ESP gelten die Pflichten nach Artikel 7 Absätze 2 und 4 nicht, und die Benutzung des ESP ist fakultativ.

(2)   Der Kommission wird die Befugnis übertragen, gemäß Artikel 73 einen delegierten Rechtsakt zur Änderung dieser Verordnung zu erlassen, durch die der in Absatz 1 des vorliegenden Artikels genannte Zeitraum einmal um höchstens ein Jahr verlängert wird, wenn eine Bewertung der Umsetzung des ESP ergeben hat, dass eine solche Verlängerung insbesondere angesichts der Auswirkungen, die die Inbetriebnahme des ESP auf die Organisation und die Dauer der Grenzübertrittskontrollen hätte, notwendig ist.

(1)   Für die Dauer eines Jahres, nachdem eu-LISA den Abschluss des Tests des MID nach Artikel 72 Absatz 4 Buchstabe b mitgeteilt hat, und vor der Inbetriebnahme des MID ist die ETIAS-Zentralstelle für die Prüfung der im EES, im VIS, in Eurodac und im SIS gespeicherten Daten auf Mehrfachidentitäten zuständig. Die Prüfungen auf Mehrfachidentitäten werden ausschließlich anhand biometrischer Daten durchgeführt.

(2)   Wenn die Abfrage eine oder mehrere Übereinstimmungen ergibt und die Identitätsdaten der verknüpften Dateien gleich oder ähnlich sind, wird eine weiße Verknüpfung nach Artikel 33 erstellt.

Wenn die Abfrage eine oder mehrere Übereinstimmungen ergibt und die Identitätsdaten der verknüpften Dateien nicht als ähnlich angesehen werden können, wird eine gelbe Verknüpfung nach Artikel 30 erstellt, und das Verfahren nach Artikel 29 gelangt zur Anwendung.

Wenn mehrere Übereinstimmungen gemeldet werden, wird zwischen jedem Datenelement, das zu einer Übereinstimmung geführt hat, eine Verknüpfung erstellt.

(3)   Wenn eine gelbe Verknüpfung erstellt wird, gewährt der MID der ETIAS-Zentralstelle Zugang zu den in den verschiedenen EU-Informationssystemen gespeicherten Identitätsdaten.

(4)   Wenn eine Verknüpfung zu einer Ausschreibung im SIS erstellt wird, bei der es sich nicht um eine Ausschreibung nach Artikel 3 der Verordnung (EU) 2018/1860, den Artikeln 24 und 25 der Verordnung (EU) 2018/1861 oder Artikel 38 der Verordnung (EU) 2018/1862 handelt, gewährt der MID dem SIRENE-Büro des Mitgliedstaats, der die Ausschreibung eingegeben hat, Zugang zu den in den verschiedenen Informationssystemen gespeicherten Identitätsdaten.

(5)   Die ETIAS-Zentralstelle beziehungsweise - in den in Absatz 4 dieses Artikels genannten Fällen - das SIRENE-Büro des Mitgliedstaats, der die Ausschreibung eingegeben hat, greift auf die in der Identitätsbestätigungsdatei enthaltenen Daten zu, prüft die verschiedenen Identitäten, aktualisiert die Verknüpfung gemäß den Artikeln 31, 32 und 33 und fügt diese zur Identitätsbestätigungsdatei hinzu.

(6)   Die ETIAS-Zentralstelle unterrichtet die Kommission gemäß Artikel 71 Absatz 3 erst, sobald alle gelben Verknüpfungen manuell überprüft und deren Status entweder in grüne, weiße oder rote Verknüpfungen aktualisiert worden sind.

(7)   Die Mitgliedstaaten unterstützen die ETIAS-Zentralstelle gegebenenfalls bei der Prüfung auf Mehrfachidentitäten gemäß diesem Artikel.

(8)   Der Kommission wird die Befugnis übertragen, gemäß Artikel 73 einen delegierten Rechtsakt zur Änderung dieser Verordnung zu erlassen, durch die der in Absatz 1 dieses Artikels genannte Zeitraum um sechs Monate verlängert wird, wobei zweimal eine weitere Verlängerung um jeweils sechs Monate möglich ist. Eine solche Verlängerung wird nur gewährt, wenn eine Bewertung der geschätzten Zeit für den Abschluss der Prüfung auf Mehrfachidentitäten nach diesem Artikel ergibt, dass die Prüfung auf Mehrfachidentitäten aus Gründen, auf die die ETIAS-Zentralstelle keinen Einfluss hat, nicht vor Ende des Zeitraums gemäß Absatz 1 dieses Artikels oder einer laufenden Verlängerung abgeschlossen werden kann, und dass keine korrektiven Maßnahmen getroffen werden können. Die Bewertung wird spätestens drei Monate vor Auslaufen eines solchen Zeitraums oder einer solchen laufenden Verlängerung durchgeführt.

(1)   Die Kosten im Zusammenhang mit der Einrichtung und dem Betrieb des ESP, des gemeinsamen BMS, des CIR und des MID gehen zulasten des Gesamthaushaltsplans der Union.

(2)   Die Kosten im Zusammenhang mit der Integration der bestehenden nationalen Infrastrukturen, deren Anbindung an die einheitlichen nationalen Schnittstellen und dem Hosting der einheitlichen nationalen Schnittstellen gehen zulasten des Gesamthaushaltsplans der Union.

Hiervon ausgenommen sind die Kosten für

(3)   Unbeschadet der Zuweisung weiterer Finanzierungsmittel für diesen Zweck aus anderen Quellen des Gesamthaushaltsplans der Union werden 32 077 000 EUR aus der Dotation von 791 000 000 EUR mobilisiert, die gemäß Artikel 5 Absatz 5 Buchstabe b der Verordnung (EU) Nr. 515/2014 vorgesehen ist, um die Kosten für die Umsetzung dieser Verordnung abzudecken, wie das in den Absätzen 1 und 2 des vorliegenden Artikels vorgesehen ist.

(4)   Von der in Absatz 3 genannten Dotation werden 22 861 000 EUR eu-LISA, 9 072 000 EUR Europol und 144 000 EUR der Agentur der Europäischen Union für die Aus- und Fortbildung auf dem Gebiet der Strafverfolgung (CEPOL) zugewiesen, um diese Stellen bei der Wahrnehmung ihrer jeweiligen Aufgaben nach dieser Verordnung zu unterstützen. Die Umsetzung erfolgt im Wege der indirekten Mittelverwaltung.

(5)   Die Kosten im Zusammenhang mit den benannten Behörden gehen zulasten der jeweils benennenden Mitgliedstaaten. Die Kosten für die Anbindung jeder benannten Behörde an den CIR gehen zulasten der einzelnen Mitgliedstaaten.

Die Kosten, die Europol entstehen, einschließlich der Kosten für die Anbindung an den CIR, gehen zulasten von Europol.

(1)   Die Mitgliedstaaten teilen eu-LISA die Behörden gemäß den Artikeln 7, 20, 21 und 26 mit, die das ESP, den CIR beziehungsweise den MID nutzen dürfen oder Zugang zum ESP, zum CIR beziehungsweise zum MID haben.

Innerhalb von drei Monaten nach dem Datum, an dem die einzelnen Interoperabilitätskomponenten gemäß Artikel 72 ihren Betrieb aufgenommen haben, wird eine konsolidierte Liste dieser Behörden im Amtsblatt der Europäischen Union veröffentlicht. Werden Änderungen an der Liste vorgenommen, so veröffentlicht eu-LISA einmal im Jahr eine aktualisierte konsolidierte Liste.

(2)   eu-LISA teilt der Kommission den erfolgreichen Abschluss der Tests nach Artikel 72 Absatz 1 Buchstabe b, Absatz 2 Buchstabe b, Absatz 3 Buchstabe b, Absatz 4 Buchstabe b. Absatz 5 Buchstabe b und Absatz 6 Buchstabe b mit.

(3)   Die ETIAS-Zentralstelle teilt der Kommission den erfolgreichen Abschluss des Übergangszeitraums nach Artikel 69 mit.

(4)   Die Kommission stellt den Mitgliedstaaten und der Öffentlichkeit die gemäß Absatz 1 mitgeteilten Informationen über eine fortlaufend aktualisierte öffentliche Website bereit.

(1)   Die Kommission bestimmt im Wege eines Durchführungsrechtsaktes, zu welchem Zeitpunkt das ESP seinen Betrieb aufnimmt, sobald folgende Voraussetzungen erfüllt wurden:

Abfragen der Interpol-Datenbanken über das ESP erfolgen erst, wenn die technischen Vorkehrungen die Einhaltung des Artikels 9 Absatz 5 ermöglichen. Eine Unmöglichkeit der Einhaltung von Artikel 9 Absatz 5 führt dazu, dass eine Abfrage der Interpol-Datenbanken über das ESP unterbleibt, die Aufnahme des Betriebs des ESP wird aber nicht verzögert.

Die Kommission legt den in Unterabsatz 1 genannten Zeitpunkt so fest, dass er innerhalb von 30 Tagen nach dem Erlass des Durchführungsrechtsakts liegt.

(2)   Die Kommission bestimmt im Wege eines Durchführungsrechtsaktes, zu welchem Zeitpunkt der gemeinsame BMS seinen Betrieb aufnimmt, sobald folgende Voraussetzungen erfüllt wurden:

Die Kommission legt den in Unterabsatz 1 genannten Zeitpunkt so fest, dass er innerhalb von 30 Tagen nach dem Erlass des Durchführungsrechtsakts liegt.

(3)   Die Kommission bestimmt im Wege eines Durchführungsrechtsaktes, zu welchem Zeitpunkt der CIR seinen Betrieb aufnimmt, sobald folgende Voraussetzungen erfüllt wurden: