Eurodac und die IT Agentur: Zur Digitalisierung der europäischen Grenze

von Brigitta Kuster und Vassilis S. Tsianos

Der folgende Text beschäftigt sich am Beispiel von Eurodac mit der Digitalisierung der europäischen Grenzkontrolle. Eurodac, eine Informations-, Kommunikations- und Kontrolltechnologie, operiert mittels einer europäischen Datenbank, in der die Fingerabdrücke von Asylsuchenden und irregulären MigrantInnen in einem so genannten Automatischen Fingerabdruck-Identifikations-System (AFIS) gespeichert werden. Der politische Geltungsraum dieses Systems bildet die Dublin II Regulation. Sie wurde als Antwort auf die Krise des europäischen Asylsystems konzipiert, die die Konstruktion und den Gebrauch von flapsigen Begriffen wie “refugees in orbit” und “asylum shopping” begleiteten.[1] Dublin II folgt dem Verursacherprinzip, welches besagt, dass der Mitgliedstaat, der die Einreise eine_r Asylantragssteller_in „verursacht“ hat (etwa durch Vergabe eines Visums oder aufgrund mangelnder Sicherung der Grenze), das Asylverfahren durchführen muss. Indem es mit Hilfe der Datenbank Eurodac die Zuständigkeit eines und nur eines Mitgliedstaates pro Asylantrag rekonstruiert, bildet Dublin II das innere Regulativ der Mobilität von Nicht-EU-Staatsbürger_innen ohne Visum innerhalb der EU.

Erhoben werden die Zahlen entlang des Geschlechts und Alters der FingerträgerIn, des Ortes ihres Aufenthalts zum Zeitpunkt der Registrierung ihrer Finger und einer möglicherweise folgenreichen Eurodac-Kategorisierung: Kategorie 1 steht für AsylbewerberInnen, Kategorie 2 für AusländerInnen, die illegal die EU-Außengrenze überschritten haben und Kategorie 3 für illegale MigrantInnen innerhalb von Schengen.[2] Diese kategorisierende Zählung zielt – wie Irma van der Ploeg prägnant gezeigt hat – weniger auf eine bessere Kenntnis von Drittstaatenangehörigen, sondern auf eine „Informatisierung des Körpers“ (Ploeg 2005a), der die Flüchtigkeit der grenzüberschreitenden migrantischen Körper lesbar machen soll (Ploeg/Sprenkels 2011). So etablieren die Eurodac-Zahlen und -Kategorien eine verkörperte Identität der Migration im Schengener Raum[3], die sich verifizieren lässt und die alljährlich von einem öffentlichen Bericht reflektiert wird.- Um eine Vorstellung von der Größe zu bekommen: Im Jahr 2011 wurden insgesamt 412.303 erfolgreiche Dateneingaben bei der Zentraleinheit von Eurodac verzeichnet.

Technisch gesehen handelt es sich bei Eurodac um eine Anwendung, die biometrische Identifikationstechnologie mit computerisierter Datenverarbeitung kombiniert. In diesem Sinne kann Eurodac als Beispiel eines „smart border“ verstanden werden: eine diffuse Grenze, die sich nicht geographisch lokalisieren lässt, sondern auf einer Vielzahl von physischen und virtuellen Schauplätzen der Kontrolle und der Überwachung beruht, die miteinander über ein digitales Datennetzwerk verbunden sind. Rechtsgrundlage für die Inbetriebnahme und die Ausgestaltung von Eurodac bildeten bislang die vom Rat der Europäischen Union im Februar 2002 verabschiedete Eurodac-II-Verordnung (Verordnung (EG) Nr. 407/2002), die Vorschriften zum administrativen Betrieb und Vollzug enthält, sowie die ebenfalls vom Rat am 11.12.2000 verabschiedete Eurodac-Verordnung (Verordnung (EG) Nr. 2725/2000). Sie umfasste den eigentlichen Rechtsakt, der es ermöglichte, das IT-basierte europäische daktylographische System technisch betriebsfertig zu machen und hat dessen Operationen direkt an den politischen Rahmen der Dublin II Verordnung gebunden.[4] Die politische Begründung des Dubliner Übereinkommens über Asyl von 1990 wiederum zielte in erster Linie auf die Verhinderung unkontrollierter Bewegungen von AsylbewerberInnen innerhalb der EU. Zwischenstaatliche Verhandlungen über Eurodac waren allerdings bereits seit 1996 im Gange und hatten ihre Vorläufer etwa im Automated Fingerprint System (AFIS) für AsylbewerberInnen, welches das deutsche Bundeskriminalamt (BKA) Anfang der 1990er Jahre, mitten in der so genannten Asylkrise, aufgebaut hat. Als Instrument der Europäischen Gemeinschaft zur wirksamen Anwendung der Dublin II-Verordnung im Bereich Asyl, war Eurodac zunächst auf potenzielle Flüchtlinge ausgerichtet, wurde dann aber auf die Initiative Deutschlands hin auch auf illegale Einwanderer und illegale Drittstaatsangehörige auf dem Territorium eines EU-Mitgliedstaates ausgeweitet. Dass die Personengruppen im Geltungsbereich von Eurodac Asyl- und Einwanderungsbelange repräsentieren, macht Eurodac de facto zu einem Instrument des Migrationsmanagements und der Mobilitätskontrolle, welches nicht zuletzt auch auf die politische Kontrolle und die Ausgrenzung einer irregulären europäischen Bevölkerung zielt, indem es der Re-identifikation irregulärer, von der Abschiebung bedrohter MigrantInnen innerhalb des Schengener Territoriums zudient. Verschwommen ist die Grenze in der Eurodac Informations-Architektur allerdings auch im Bezug auf die Scheidung von Belangen der Grenzkontrollen und des Strafrechts bzw. der Terrorismus-Bekämpfung, wie sich etwa anhand der Genese der aktuellen Eurodac Revision  belegen lässt.

Eurodac reloaded

KOM(2012)254 final ist ein fast hundert seitiges Dokument, das am 30.5.2012 von der Kommission angenommen und veröffentlicht worden ist. Es bezieht sich auf die mit dem seit dem 1. Dezember 2009 in Kraft getretenen Vertrag über die Arbeitsweise der Europäischen Union (AEUV) kompatible Einrichtung von Eurodac. Oder anders: Es ist der Vorschlag zur revidierten Eurodac Verordnung, die nun in einem einzigen Rechtsakt nicht nur Richtlinien zum Abgleich von Fingerabdruckdaten „zur Festlegung der Kriterien und Verfahren zur Bestimmung des Mitgliedstaats, der für die Prüfung eines von einem Drittstaatsangehörigen oder Staatenlosen in einem Mitgliedstaat gestellten Antrags auf internationalen Schutz zuständig ist“, formuliert, sondern auch Richtlinien „für der Strafverfolgung dienende Anträge der Strafverfolgungsbehörden der Mitgliedstaaten und Europols auf den Abgleich mit Eurodac-Daten“ und jene zur Verordnung (EU) Nr. 1077/2011 über die Errichtung einer Europäischen Agentur für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts. Technisch gesehen managt diese Europäische IT-Agentur den Betrieb einer so genannten BMS (Biometric Matching System)-Plattform, eine Verwaltungs- und Suchmaschine für biometrische Daten, auf der neben Eurodac auch das Schengener Informationssystem SIS II sowie das Visa-Informationssystem VIS laufen. Mit dem Plattformansatz, der eine offene und flexible Architektur vorsieht, welche Kompatibilität (harmonisierte Datenformate), Interoperabilität (europäischer Standard zur Datenspeicherung und -übertragung) und Ausbau gewährleistet, d.h. Austauschbewegungen innerhalb sowie zwischen Sub-Systemen, -Netzen und -Organisationen erlaubt, sofern die gesetzlichen Grundlagen dafür vorhanden sind, scheint hier offenbar eine virtuelle Konvergenz der Datenbanksysteme VIS, SIS II und Eurodac im Entstehen begriffen zu sein. Am 17. Dezember 2012, nur wenige Tage, nachdem diese Agentur ihre Arbeit aufgenommen hatte, wurde im Innenausschuss des Europäischen Parlaments[5] der oben beschriebene neue Vorschlag zur Eurodac Revision mit einer deutlichen Mehrheit gutgeheißen. Allem Anschein nach wird zur Zeit in einem Trilog zwischen Parlament, Rat und Kommission die finale Textversion für die neue Verordnung erarbeitet. – Aber wie kam es zu diesen – auch in kritischen Kreisen recht unbemerkt gebliebenen – Reformulierungen der Eurodac Architektur? Was waren die Vorgänge, die dazu führten, dass die Neuverhandlung der Eurodac Verordnung mit einer so erheblichen Zentralisierung des e-borderings einhergeht, welche das Risiko des so genannten function creep mit sich bringt – d.h. die heikle Situation, dass ein Verfahren, das für einen bestimmten Zweck eingeführt wurde, für andere Zwecke verwendet wird? Wie konnte es passieren, dass infolge einer (mit dem Zugangsrecht von Strafverfolgungsbehörden und Europol) nunmehr verbrieften Änderung der ursprünglichen Zweckbestimmung die neue Eurodac Verordnung Gefahr läuft, zudem einer generellen Aufkündigung der Unschuldsvermutung bei Asylsuchenden  das Wort zu reden?[6] Bereits am 3. Dezember 2008 stellte die Kommission erstmals Vorschläge für eine Veränderung der Eurodac Rechtsakte vor, die insbesondere die Einrichtung eines neuen Managementrahmens, d.h. der IT-Agentur umfasste (KOM(2008)825 endg.). – Eine neu erneut angepasste Fassung der Eurodac-Verordnung wurde dann im September 2009 vorgestellt (KOM(2009)342 endg. / KOM(2009) 344 endg.). Sie sah zusätzlich die Möglichkeit eines Zugriffs der Strafverfolgungsbehörden auf Eurodac-Daten vor. Allerdings wurde diese Revisionsfassung mit dem Inkrafttreten des Vertrags von Lissabon hinfällig. Im Oktober 2010 präsentierte die Kommission erneut einen revidierten Vorschlag: Nun wurde der Zugang der Strafverfolgungsbehörden – insbesondere auch aufgrund der heftigen Kritik, etwa durch die Europäische Datenschutzbehörde – wieder zurückgenommen (KOM(2010)555 endg.). Als Grund dafür wurde angegeben, man wolle den Prozess der Revision, die sich auf eine verbesserte Systemsicherheit oder verkürzte Datenspeicherung von Kategorie 2-Einträgen bezieht, nicht verzögern und zudem auch die rechtzeitige Einrichtung der IT-Agentur (Verordnung Nr. 1077/2011) ermöglichen.[7] Ausserdem müssten dringend die Verhandlungen über das Asylpaket vorangebracht werden. Am 21. Oktober 2011 teilte der polnische Vorsitz dem Rat in einem Vermerk Folgendes mit: „Die Arbeit an der Eurodac-Verordnung ist ausgesetzt.“ (Ratsdokument Nr. 15843/11.) Damit wurden die Verhandlungen über den Vorschlag von 2010 (der den Zugriff der Strafverfolgungsbehörden auf Eurodac nicht vorsah) abgebrochen, denn angeblich waren inzwischen die Mehrheit der Mitgliedstaaten für einen Zugriff der Strafverfolgungsbehörden und des Europäischen Polizeiamts (Europol) als Teil der Verhandlungen über das Gemeinsame Europäische Asylsystem, welches als Teil des Europäischen Pakt über Einwanderung und Asyl im Oktober 2008 vom Europäische Rat  angenommen worden ist und die Schaffung eines einheitlichen Asylverfahrens mit gemeinsamen Garantien und einem einheitlichen Status für Flüchtlinge und Personen, die subsidiären Schutz genießen, vorsieht.

Neben der sehr prominenten Kritik des EDSB[8] an der Möglichkeit eines Zugriffs der Strafverfolgungsbehörden auf Eurodac, hat etwa auch die deutsche Grüne Europarlamentarierin Ska Keller bemängelt, dass der aktuelle Eurodac-Vorschag „das Ergebnis eines billigen Kuhhandels mit dem Rat“ sei: „Die Mitgliedsstaaten kriegen den Polizeizugriff auf Eurodac, damit sie im Gegenzug wenigstens einigen Verbesserungen bei gemeinsamen EU-Standards für Asylverfahren und die Aufnahme von AsylbewerberInnen zustimmen.“[9] Die Rekonstruktion der neuen Eurodac-Verordnung zeigt, wie die Europäische Kommission in Sachen Migrations- und Asylpolitik arbeitet: Drei Schritte voraus, einer zurück und zwei zur Seite. – Allerdings haben politische Projekte, die uns als neue Verschärfungen erscheinen mögen, nur allzu oft einen sehr langen Atem und stellen eher eine umkämpfte Kompromissform dar, in der ein restriktives Regieren der Migration in Europa durchaus mit der Einführung humanitären Verbesserungsmaßnahmen ausgehandelt wird. Dies gilt insbesondere für die aktuelle Eurodac Verordnung (KOM(2012)254 final), welche in der Tat gegenüber der bisherigen Situation eine deutliche Verbesserung des Datenschutzes von der Datenverarbeitung betroffenen Personen vorsieht, etwa eine Vertiefung der Informationspflicht der so genannten Datensubjekte (Artikel 29). Des Weiteren wird zur Gewährleistung des Datenschutzgrundsatzes der Verhältnismäßigkeit und der Kohärenz des Asyl-Besitzstands vorgeschlagen, die Aufbewahrungszeit für Daten von Drittstaatsangehörigen oder Staatenlosen (früher „Ausländer“) deren Daten infolge eines rechtswidrigen Überschreiten der Grenze eines Mitgliedstaats auf dem Land-, See- oder Luftwege erhoben werden („Kategorie 2“) dem Zeitraum anzugleichen, der in der Dublin-Verordnung (Artikel 10 Absatz 1) auf dieser Informationsgrundlage Zuständigkeit zuweist – d. h. ein Jahr lang statt wie bislang zwei.[10] Weitere Neuerungen der Verordnung (Artikel 9 und 14) betreffen eine Befristung der Übermittlungszeiten der Fingerabdruckdaten an den nunmehr Zentralsystem genannten Server mit Sitz in Straßburg bzw. St. Johann im Pongau (Österreich) in den 300 Meter unter der Erde liegenden „Regierungsbunker“. „So rasch als möglich, spätestens aber“ nach 72 Stunden müssen die Daten dort eintreffen. Fälle, in denen „aufgrund des Zustands der Fingerkuppen keine Fingerabdrücke in einer Qualität abgenommen werden“ können, sind als Gründe für die Nichteinhaltung der Frist von 72 Stunden vorgesehen. Sie verpflichten den Herkunftsmitgliedstaat ausdrücklich weiterhin dazu, die Fingerabdruckdaten zu erheben und zu übermitteln – spätestens 48 Stunden nach schließlich erfolgreicher Abnahme der Fingerabdrücke. Statt von AsylbewerberInnen wird neu von „Personen, die internationalen Schutz beantragen“ gesprochen, deren Datensätze 10 Jahre aufbewahrt werden (Artikel 12 und 13). – Nur die Erlangung einer Staatsbürgerschaft ist Grund für deren vorzeitige Löschung.

Der  Regierungsmodus, der etwa das Zustandekommen der neuen Eurodac Verordnung verantwortet, kann deutlich nicht als das zielgerichtete, konspirative Machwerk einer durch Verschwörung agierenden Kommission verstanden werden, sondern muss als ein Gefüge transnationaler Netzwerke neuer und alter Akteure gelten, welche das Migrations- und Grenzregime stabilisieren. Die Aktualität der Schengener Krise des Jahres 2011 im Verhältnis zur Dublin II-Regelung, die mittlerweile in eine permanente Legitimationskrise geraten ist, erweist sich zwar gegenwärtig als deutlich von längerer Dauer. Anders als wir erwartet hatten, führte sie aber genau nicht dazu, dass Eurodac neu zur Disposition gestellt würde. Vielmehr zeigt sich in der Revision der Verordnung, dass eine Verstärkung und Verstetigung des Subsidiaritätsprinzips[11] angestrebt wird, während man auf der anderen Seite zugleich die Vertiefung der grenzüberschreitenden Zusammenarbeit betont, indem etwa festgehalten wird, dass die Eurodac-Datenbank zwar bisher für den intendierten Zweck gut geeignet gewesen sei, aber dennoch gewisse Verbesserungen und Anpassungen notwendig geworden seien, damit die Datenbank für die Umsetzung des Dublin-Systems besser genutzt werden könne.[12] Eine diesbezüglich vorgesehene neue Maßnahme etwa ist, dass die Mitgliedstaaten die Fälle in EURODAC angeben müssen, in denen sie die Souveränitäts- oder die humanitäre Klausel der Verordnung anwenden[13]; d. h. jene Fälle, in denen denen ein Mitgliedstaat die Verantwortung für die Prüfung des Asylantrags einer Person übernimmt, für die er normalerweise nach den Kriterien der Dublin-Verordnung nicht zuständig wäre, soll  besonders verzeichnet werden.

[1]   Wie Dublin II ist auch Eurodac eine Regulation, die vom Europäischen Rat am 11. Dezember 2000 als Dublin bezogene Maßnahme erlassen wurde. Für eine Regulation bedarf es keiner parlamentarischen Zustimmung, sondern sie kann direkt von der Europäischen Kommission veranlasst werden. Die Eurodac Regulation lieferte die legale Grundlage für die Einrichtung eines Europäischen digitalen daktyloskopisches Systems, welches biometrische Identifikationstechnologie und Informationstechnologie miteinander verbindet (Council Regulation (EC) 2725/2000). Die Eurodac II Regulation vom Februar 2002 stellt den legalen Rahmen für die technische Operationalisierung des Systems bereit. Sie umfasst Regeln für den administrativen Unterhalt und die administrative Umsetzung wie etwa die Altersbeschränkung der daktyloskopisch zu Identifizierenden (Council Regulation (EC) No 407/2002).
[2]   Siehe Council Regulation (EC) 2725/2000.
[3]   In der Sprache der Programmierung entspricht die „Identifikation“ einer Eins-zu-Viele-Suche innerhalb einer gegebenen Datenbank mittels Mustererkennungsalgorithmen. Im Gegensatz dazu entspricht eine „Verifikation“ einem Eins-zu-Eins-Treffer. Diese Unterscheidung widerspiegelt den Unterschied zwischen Wahrheit und Identität, wie sie im westlichen (Alltags-)Denken etabliert ist. Während die Wahrheit zu erlangen dem Versuch entspricht, die Vermittlung zu liquidieren und auf diese Weise Deckungsgleichheit zu erreichen, ist Identität immer schon konfrontiert mit den Schwierigkeiten des Prozesses, Vielheit abzuziehen. Authentizität wiederum versucht, die Subtraktion der Vielheit der Identität im Singulären anzutreffen. In der Sprache der biometrischen Matcher haben verification und authentication die gleiche Bedeutung. (Siehe auch: The Biometrics Blog online: www.360biometrics.com/blog/difference-between-identification-authentication/
[4]     Eurodac ist seit dem 15. Januar 2003 online und wird heute in 27 EU Mitgliedsstaaten sowie in Island, Norwegen (beide seit 2001), der Schweiz (seit 2008) und in Liechtenstein (seit 2011) angewendet.
[5]   Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE).
[6]     Die entsprechende Formulierung in der Verordnung, die als Voraussetzung für den Zugang von Strafverfolgungsbehörden besteht, ist das Bestehen eines „begründeten Verdachts“ darauf, „dass der Urheber einer schweren Straftat einen Asylantrag gestellt hat“ sowie gemäß der Kondition der Verhältnismäßigkeit nur, „wenn ein überwiegendes öffentliches Sicherheitsinteresse besteht, d. h. wenn die von dem Straftäter oder Terroristen begangene Straftat so gravierend ist, dass die Abfrage einer Datenbank, in der Personen ohne kriminelle Vergangenheit registriert sind, gerechtfertigt ist“ (Erwägungsgrund 5, Absatz 9, COM(2012)254 final). Zudem sollen die Mitgliedstaaten und Europol nunmehr der Kommission Jahresberichte über die Wirksamkeit des Abgleichs von Fingerabdruckdaten mit Eurodac-Daten für Strafverfolgungszwecke vorlegen. Diese sollen auch Auskunft über die genauen Zwecke von Abgleichen sowie die Anzahl der Fälle geben (Artikel 40, Absatz 8,  COM(2012)254 final).
[7]     Ab Beginn Dezember 2012 sollte Eurodac von der IT Agentur für das Betriebsmanagement von IT-Großsystemen im Bereich Freiheit, Sicherheit und Recht verwaltet werden.
[8]   Siehe etwa die Pressemitteilung des EDPS (EDPS/12/12) vom 5. September 2012 unter dem Titel „Eurodac: Schleichende Erosion der Grundrechte geht weiter“. Zur Kritik an der Stigmatisierung von Asylsuchenden heißt es dort: „Wird zum Beispiel am Tatort eines Verbrechens ein Fingerabdruck gefunden, so können Asylbewerber potentiell durch Eurodac identifiziert werden, während dies für andere Personen nicht möglich ist, weil entsprechende Datenbestände nicht für alle gesellschaftlichen Gruppen bereitstehen.“
[9]     www.ska-keller.de/neues-aus-dem-libe-ausschuss/item/598-libe-spezial-zu-eurodac.
[10] Neu ist zudem eine Spezifizierung der Löschung der in dieser Kategorie erhobenen  Daten: Sie hat unverzüglich zu erfolgen, wenn der entsprechenden Person ein Aufenthaltstitel erteilt worden ist, diese das Hoheitsgebiet der Mitgliedstaaten verlassen  oder die Staatsbürgerschaft angenommen hat. – Zudem wird diese bislang recht schwammig mit infolge eines irregulären Grenzübertritts umschriebene und als Kategorie 2 taxierte Datensparte spezifiziert, aber auch ausgeweitet: Es handelt sich neu um „Drittstaatsangehörige oder Staatenlose, die beim rechtswidrigen Überschreiten der Grenze eines Mitgliedstaats auf dem Land-, See- oder Luftwege von den zuständigen Kontrollbehörden aufgegriffen und nicht zurückgewiesen werden oder sich weiterhin im Hoheitsgebiet der Mitgliedstaaten aufhalten und während des Zeitraums zwischen dem Aufgreifen und der Abschiebung auf der Grundlage eines Rückführungsbeschlusses nicht in Haft oder Gewahrsam genommen wurden oder deren Bewegungsfreiheit nicht in anderer Weise räumlich beschränkt wurde“ (siehe Artikel 14).
[11] Das aus der christlichen Soziallehre stammende und mit dem Maastrichter Vertrag 1993 in Kraft getretene Prinzip besagt, so das Europa-ABC, dass „in den Bereichen, die nicht in ihre ausschließliche Zuständigkeit fallen, die Gemeinschaft nur tätig wird, sofern und soweit die Ziele der in Betracht gezogenen Maßnahmen von den Mitgliedstaaten weder auf zentraler noch auf regionaler oder lokaler Ebene ausreichend verwirklicht werden können, sondern vielmehr wegen ihres Umfangs oder ihrer Wirkungen auf Unionsebene besser zu verwirklichen sind“. (Werner, Weidenfeld, Wolfgang Wessels (Hg.), Europa von A bis Z. Taschenbuch der europäischen Integration, Berlin, 2011, S. 451.)
[12]   KOM(2012)254 final, S. 83.
[13]            KOM(2012)254 final, S. 82.