Zum Inhalt springen Zur Navigation springen
Schengener-Informationssystem: Datenbank unzulässig kopiert

Schengener-Informationssystem: Datenbank unzulässig kopiert

Artikel von Dr. Datenschutz·1. August 2019

Nach Informationen des EU Observers soll Großbritannien personenbezogene Daten aus dem Schengener-Informationssystem kopiert haben. Großbritannien soll diese Daten auch an Unternehmen in die USA weitergeleitet haben. Die EU-Kommission hat eingeräumt, dass es Schwierigkeiten mit dem Schengener-Informationssystem (SIS) in einzelnen Mitgliedstaaten gibt.

Was ist der Schengen-Raum?

Im Schengen-Raum wurden 1990 durch internationale Abkommen die Grenzkontrollen an den Binnengrenzen abgeschafft. Der Schengen-Raum erstreckt sich über einen großen Teil des europäischen Kontinents. Mitglieder des Abkommens sind, mit Ausnahme von Großbritannien und Irland, die Mitgliedstaaten der Europäischen Union sowie Lichtenstein, Island, Norwegen und die Schweiz. Um die Außengrenzen zu sichern wurden dafür Ausgleichsmaßnahmen geschaffen.

Was ist das Schengener-Informationssystem (SIS)?

Beim SIS handelt es sich um eine Ausgleichsmaßnahme zur Sicherung der Außengrenze. Das SIS ermöglicht nationalen Grenz-, Zoll- und Polizeibehörden als Fahndungs- und Informationssystem auf rund 80 Millionen Datensätze zuzugreifen.

Die Behörden können im SIS Angaben zu gesuchten Personen oder Objekten machen. Mögliche Gründe für die Eintragung sind:

  • Einreiseverweigerung für Personen, die nicht das Recht haben, den Schengen-Raum zu betreten bzw. sich darin aufzuhalten
  • Aufenthaltsermittlung und Festnahme von Personen, für die ein Europäischer Haftbefehl ausgestellt wurde
  • Unterstützung bei der Personenfahndung gemäß den Anforderungen von Strafverfolgungs- und Justizbehörden
  • Suchen und Schützen von Vermissten
  • Auffindung gestohlener bzw. verloren gegangenen Eigentums

Welche (personenbezogene) Daten werden im SIS erhoben?

Im SIS werden gem. Art. 36 Abs. 3 EU-Rechtsverordnung SIS II neben den allgemeinen personenbezogene Daten (Name, Geburtsdatum, Adresse) auch Daten gespeichert, die notwendig sind, um eine Person zu identifizieren. Dazu gehören auch Lichtbilder und Fingerabdrücke. Unter bestimmten Voraussetzungen dürfen auch weitergehende Daten, wie die zu ergreifende Maßnahme erfasst werden. Eine Verarbeitung sensibler Daten ist hingegen verboten.

Im Bereich der Sachfahndungen kann das SIS Daten zu Kraftfahrzeugen, Feuerwaffen, Schiffen oder Identitätsdokumenten enthalten, die verloren gingen, gestohlen oder für Straftaten benutzt wurden.

Welche Behörden haben Zugang zu Daten aus SIS?

Der Zugang ist den nationalen Strafverfolgungs-, Justiz- und Verwaltungsbehörden vorbehalten. Ihre Zugriffsberechtigung beschränkt sich aber nur auf die Daten, die zur jeweiligen Aufgabenerfüllung notwendig sind. Jeder Mitgliedsstaat hat eine Nationale Zentralstelle (SIRENE) einzurichten, die den Nachrichtenaustausch koordiniert. In Deutschland wurde diese Stelle beim Bundeskriminalamt (BKA) eingerichtet.

Daneben haben die EU-Agenturen EUROPOL und EUROJUST einen beschränkten Zugang.

Wie wird der Schutz der personenbezogenen Daten gewährleistet?

Für das SIS gelten strenge Datenschutzanforderungen. Die Regelungen finden sich in Kapitel 5 der Rechtsverordnung SIS II. Es sind bereichsspezifische Datenschutzregelungen im Sicherheitsbereich, die die Grundvorstellungen der DSGVO nicht unterlaufen dürfen.

Die Behörden, die die Daten in das SIS eingeben, müssen als Verantwortliche die Qualität der Daten überprüfen. Darüber hinaus stehen den betroffenen Personen verschiedene Rechte zu. Der Betroffene kann Auskunft über die gespeicherten Daten und gegebenenfalls Korrektur oder Löschung der Daten verlangen. Jedoch steht dieses Recht nur natürlichen Personen zu. Juristische Personen können nicht Betroffene im Sinne des Datenschutzes sein. In Deutschland können Betroffene ihr Auskunftsersuchen an das BKA als zuständige Stelle oder an den Bundesbeauftragten für Datenschutz und Informationssicherheit (BfDI) richten. Jedoch kann ein Auskunftsersuchen aufgrund der Durchführung einer rechtmäßigen Aufgabe und zum Schutz der Rechte und Freiheiten Dritter zurückgewiesen werden.

Der Missbrauch des SIS durch Großbritannien

Großbritannien ist kein Mitglied des Schengen-Raums, hat aber seit 2015, vergleichbar mit EUROPOL und EUROJUS, einen beschränkten Zugang zu SIS. Nach Informationen des EU Observer wurden in einem internen Dokument der Europäischen Kommission jahrelange Verstöße von Großbritannien aufgezeigt. Die britischen Behörden haben danach die Daten aus dem SIS kopiert und an die Grenzbehörden weitergeleitet. Insbesondere befanden sich die Daten bei einer Kontrolle im Herbst 2018 im Besitz von verschiedenen privaten Dienstleistern, die die Systeme der britischen Behörden verwalten. Die Systeme erhielten aber keine regelmäßigen Updates aus dem SIS.

Aufgrund der fehlenden Aktualisierung waren die Daten teilweise fehlerhaft beziehungsweise veraltet. Dies kann dazu führen, dass ernsthafte und unmittelbare Risiken für die betroffene Person entstehen. Aber auch die Speicherung in Rechenzentren von externen Dienstleistern führt zu einem erhöhten Risiko der Datensicherheit. Bei einem der Dienstleister soll es sich um ein amerikanisch-kanadisches Unternehmen handeln, sodass die Gefahr besteht, dass dieses Unternehmen verpflichtet ist, die Daten aus dem SIS an die amerikanische Regierung herauszugeben, wenn der Patriot Act dies verlangt.

Großbritannien möchte auch nach dem geplanten Austritt aus der EU auf das SIS zugreifen. Die britische Regierung hat auch angekündigt, die bereits kopierten Daten behalten und weiter nutzen zu wollen. Die EU Kommission wurde durch die Abgeordnete Sophie in ‚t Veld aufgefordert, den Missbrauch rasch aufzuklären.

Welche (datenschutz-)rechtlichen Konsequenzen können sich aus dem Missbrauch ergeben?

Werden die kopierten personenbezogenen Daten weiterhin verwendet, ohne dass eine Aktualisierung der Daten erfolgt, können die Betroffenen in ihren Grundrechten eingeschränkt werden. Auf der veralteten Liste stehende Personen könnten aufgrund der fehlerhaften Daten zum Beispiel an der Grenze zurückgewiesen oder in Haft genommen werden. Obwohl die betroffenen Personen eventuell auf Anfrage die Auskunft erhalten, dass keine Daten im SIS enthalten sind (negativ Auskunft), könnten in der kopierten Version der britischen Behörden immer noch Daten vorhanden sein. Dies hätte zur Folge, dass der Betroffene auch keine Korrektur oder Löschung dieser Daten verlangen kann.

Auch in Bezug auf die Objektdaten, zum Beispiel ein Kraftfahrzeug betreffend, können die Rechte des Betroffenen durch die veralteten Daten eingeschränkt werden. So könnten die Objekte aufgrund der Sachfahndung beschlagnahmt werden. Die Belastung der Sache mit der Eintragung im SIS stellt nach dem BGH auch einen Rechtsmangel dar, der zu weitreichenden zivilrechtlichen Ansprüchen führt.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Aus meiner Sicht sollte man das SIS komplett einstampfen !, seid der Flüchtlingskrise weiss jeder normal denkende Mensch, dass das Schengensicherheitssystem nur eine Blackdoor für abgetauchte ist.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.