Die größte europäische Fahndungsdatenbank ist in den letzten Jahren ausgebaut worden. Die Zahl der Speicherungen und Abfragen steigt deutlich. Jetzt werden schrittweise weitere Funktionen eingeführt, und der Kreis der Zugriffsberechtigten wird erweitert.
Das Schengener Informationssystem (SIS) wird seit 25 Jahren von Grenz-, Polizei-, Zoll- oder Ausländerbehörden genutzt, auch Geheimdienste greifen lesend und schreibend zu. Am heutigen SIS II sind 26 EU-Mitgliedstaaten (alle außer Irland und Zypern) sowie Island, Norwegen, Liechtenstein und die Schweiz beteiligt. Obwohl Einträge in der größten europäischen Fahndungsdatenbank einer Speicherfrist unterliegen, nimmt ihre Zahl deutlich zu. Zum 1. Januar 2020 waren mehr als 90 Millionen Personen und Gegenstände im SIS II gespeichert.[1] 2018 waren es noch 82 Millionen, 2017 etwa 76 Millionen. Die meisten Einträge (rund 22 Millionen) kamen 2018 aus Italien, gefolgt von Frankreich (15 Millionen) und Deutschland (fast 12 Millionen).[2]
Die Zahl der Abfragen steigt ebenfalls: 2018 haben über sechs Milliarden Zugriffe rund 267.000 Ergebnisse erzielt (jede 22.000 Abfrage ein „Treffer“), im letzten Jahr soll es fast sieben Milliarden Suchläufe gegeben haben. Diese Angaben stammen aus Statistiken, die Anfang jedes Jahres von der Europäischen Agentur für das Betriebsmanagement von IT-Großsystemen (eu-LISA) veröffentlicht werden.[3] Die Agentur mit Sitz in Tallinn (Estland) ist seit 2013, seit dem Abschluss der sechs Jahre dauernden Migration des SIS zum SIS II, für das System verantwortlich.[4]
Fast 99 Prozent aller SIS-Ausschreibungen sind Sachfahndungen. Bei rund drei Viertel davon geht es um als gestohlen oder vermisst gemeldete Ausweispapiere. An zweiter Stelle folgen Daten über gestohlene, verlorene oder für ungültig erklärte Wertpapiere und Zahlungsmittel. Fünf Prozent beziehen sich auf gestohlene Fahrzeuge, darunter auch Boote und Flugzeuge.
Personenfahndungen bilden mit rund 983.000 den kleineren Teil der Einträge. Über die Hälfte sind Aufenthaltsverweigerungen oder Einreisesperren nach Artikel 24 des SIS-II-Ratsbeschlusses. An zweiter Stelle steht der Artikel 36, mit dem im Dezember 2019 rund 207.000 Personen zur „verdeckten“ oder zur „gezielten Kontrolle“ ausgeschrieben waren (2018: 156.534). An dritter Stelle stehen Aufenthaltsermittlungen nach Artikel 34 von Beschuldigten oder Zeug*innen, die in einem Strafverfahren vor Gericht aussagen oder denen Schriftstücke zugestellt werden sollen. Mit Artikel 32 wurde 2018 mithilfe des SIS II nach rund 77.500 vermissten Jugendlichen und 38.000 Erwachsenen gesucht. Schlusslicht sind die rund 39.000 Europäischen Haftbefehle.
Möglich sind auch Ausschreibungen aus Drittstaaten. Diese „Fremdspeicherungen“ müssen von einem regulären SIS-Teilnehmer vorgenommen werden. Tschechien übernimmt beispielsweise geheimdienstliche Ausschreibungen zur verdeckten Kontrolle (Artikel 36 Absatz 3) von Nicht-EU-Staaten des Westbalkans.[5] Unklar ist, wie die tschechischen Behörden prüfen, ob die Voraussetzungen für eine Speicherung vorliegen oder ob die Daten womöglich wieder gelöscht werden müssen. Mittlerweile dürften im SIS auch Ausschreibungen zu finden sein, die aus „Gefechtsfeldinformationen“ stammen, die US-Behörden in Syrien oder dem Irak einsammeln. Dies hatte die finnische Ratspräsidentschaft in einer gemeinsamen Sitzung der Ratsarbeitsgruppen „Terrorismus“, „Schengen Angelegenheiten“ und „SIS/SIRENE“ im Sommer vergangenen Jahres für die Verfolgung „ausländischer terroristischer Kämpfer“ angeregt.[6]
Upgrade für biometrische Daten
Seit zwei Jahren können die SIS-Teilnehmer mit einem Automatisierten Fingerabdruck-Identifizierungssystem (AFIS) auch die im SIS gespeicherten Fingerabdrücke durchsuchen. Nach Angaben des Bundesinnenministeriums (BMI) machen derzeit Behörden aus zehn Ländern von dieser Möglichkeit Gebrauch.[7] Auf diese Weise können etwa Tatortspuren unbekannter Verdächtiger mit SIS II-Fingerabdruckdaten bekannter Personen abgeglichen werden. Nach einem Upgrade ist es außerdem möglich, sogenannte Slaps zu durchsuchen.[8] Dabei handelt es sich um „flache Fingerabdrücke“, wie sie demnächst im Rahmen des neuen „Einreise-/Ausreisesystems“ (EES) mit Selbstbedienungskiosken an allen EU-Außengrenzen abgenommen werden. Auch Gesichtsbilder oder DNA-Daten können zu „Identifizierungszwecken“ im SIS II gespeichert werden, sie sind aber noch nicht durchsuchbar.[9]
Seit der Einrichtung des Fingerabdrucksystems im Jahre 2018 hat sich die Zahl der dort gespeicherten „Fingerabdruckblätter“ auf rund 273.000 verdreifacht. Davon wurden rund 56.000 von deutschen Kriminalämtern eingegeben. Auch die biometrischen Suchläufe nehmen deutlich zu. Allein die deutschen Behörden haben 2019 über 9.000 „Treffer“ erzielt, etwa viermal mehr als 2018. Der Präsident des Bundeskriminalamtes (BKA), Holger Münch, beschreibt die neue Ermittlungsmaßnahme deshalb als „sehr erfolgreich“.[10]
Drei neue Verordnungen
Jetzt erhält das SIS II weitere neue Funktionen. Dafür hat die EU Ende 2018 drei neue Verordnungen beschlossen, die nun unter Aufsicht der Ratsarbeitsgruppe „Schengen-Angelegenheiten“ in mehreren Phasen umgesetzt werden.[11] Nach einem Jahr sollen Europol und Frontex über einen vollen Zugang zum SIS II verfügen. Nach weiteren zwei Jahren müssen alle SIS-Teilnehmer das AFIS obligatorisch eingeführt haben. Alle übrigen Bestimmungen der drei Verordnungen sollen dann innerhalb von drei Jahren erfüllt werden.
Europol darf künftig nicht nur Ergebnisse von Ausschreibungen im SIS II auswerten, sondern auch zusätzliche Informationen mit den Mitgliedstaaten austauschen. Die nationalen Behörden müssen Europol außerdem informieren, wenn zu einer Person im Zusammenhang mit einer terroristischen Straftat im eigenen Vorgangsbearbeitungssystem ein Treffer erzielt wurde. Das bei Europol angesiedelte Europäische Zentrum zur Terrorismusbekämpfung (ECTC) prüft dann, ob in den Europol-Dateien weitere Informationen zu der Person vorliegen.
Neu ist ferner, dass Entscheidungen zur „Rückführung“ von „illegal aufhältigen Drittstaatsangehörigen“ ins SIS II eingegeben werden können. Die Speicherung von Einreiseverboten nach einer vollzogenen Abschiebung wird jetzt verpflichtend. Kinder können „präventiv“ ausgeschrieben werden, wenn sie von Entführung durch ein Elternteil bedroht sind. Weitere Kategorien gibt es zu Personen, die „zu ihrem eigenen Schutz“ an einer Reise gehindert werden sollen – etwa Minderjährige, denen eine Zwangsheirat oder die Genitalverstümmelung droht, oder Erwachsene, die von Menschenhandel bedroht sind. Ausgeweitet wurde zudem die Liste der Sachen, nach denen per SIS II gesucht werden kann.
Neue Möglichkeiten gibt es auch für das AFIS. Dort kann im Falle schwerer Straftaten oder „terroristischer Zwischenfälle“ künftig nach Finger‑ oder Handballenabdrücken unbekannter Tatverdächtiger gefahndet werden. Die ausschreibende Stelle erhält eine Nachricht, wenn eine andere Polizei oder ein anderer Geheimdienst die gleichen Abdrücke ins SIS II eingibt. Diese Funktion wird derzeit noch nicht genutzt; laut Artikel 79 der Verordnung 2018/1862 muss die EU-Kommission in den nächsten zwei Jahren über den Start entscheiden. Derzeit untersucht eu-LISA, ob in allen nationalen Kontaktstellen (den sogenannten SIRENE-Büros) die technischen Voraussetzungen vorliegen.
Neben dem technischen Upgrade des SIS II wird auch die Steuerung für das Informationssystem umgebaut. Die Ratsarbeitsgruppe „SIS/ SIRENE“, die derzeit SIS-Angelegenheiten behandelt, soll aufgelöst werden. Sie wird in die Arbeitsgruppe „Informationsaustausch und Datenschutz“ (DAPIX) eingegliedert, aus der jedoch der Datenschutz herausgelöst und ebenfalls einer eigenen, neuen Gruppe überantwortet wird. Das neue Gebilde firmiert dann als Arbeitsgruppe „Informationsaustausch“ (IXIM).
„Projekt SIS 3.0“
Beim BKA firmiert die Umsetzung der drei neuen SIS-Verordnungen als „Projekt SIS 3.0“, das Amt veranschlagt hierfür bis 2024 rund 68,5 Millionen Euro. Die Bundesregierung will zusätzliche zehn Millionen Euro aus dem EU-Fonds für die Innere Sicherheit (ISF) abrufen. Weitere Kosten entstehen im Rahmen des Projekts „Interoperabilität“, mit dem die Informationssysteme der Europäischen Union neu geordnet werden. Die im SIS II, dem Visa-Informationssystem (VIS) und der Fingerabdruckdatei Eurodac gespeicherten Fingerabdrücke und Gesichtsbilder werden mit den dazugehörigen Personendaten in einem „Gemeinsamen Identitätsspeicher“ abgelegt. Hinzu kommen biometrische Daten aus dem Strafregister ECRIS und dem noch zu errichtenden „Ein-/Ausreise-system“. Ebenfalls geplant ist ein „gemeinsamer Dienst für den Abgleich biometrischer Daten“, der jeden neuen Eintrag mit bereits vorhandenen Daten überprüft.
Das BMI bewertet die Umsetzung der „Interoperabilitäts“-Verordnungen als „insgesamt hochkomplex“.[12] Allein auf EU-Ebene müssen hierfür bis zu 70 Rechtsakte beschlossen oder erneuert werden. Derzeit liegt die EU-Kommission weitgehend im Zeitplan, laut BMI seien aber „Interdependenzen nicht auszuschließen“. Der Grund sind neue Verordnungen für VIS und Eurodac, die derzeit vom Rat, der Kommission und dem Parlament beraten werden. Im Falle von Eurodac blockiert das EU-Parlament seit 2016 die Vorschläge des Rates und knüpft seine Zustimmung an Verhandlungen zur Reform des Gemeinsamen Europäischen Asylsystems.
Großbritannien und das SIS
Der „Brexit“ bringt auch Probleme für das SIS. Erst 2015 hat die EU-Kommission den britischen Behörden den Zugang zum SIS II gewährt. Das Land ist aber nicht Mitglied des Schengener Abkommens, das die Abschaffung der Grenzkontrollen innerhalb der EU regelt, und setzte auch die Freizügigkeit nicht um. Deshalb dürfen britische Behörden keine Daten eingeben oder abfragen, die etwa irreguläre Migration betreffen.
Der vor fünf Jahren vollzogene Anschluss an das SIS II war vorläufig, der endgültige Beitritt sollte erst erfolgen, nachdem die Kommission die Umsetzung der geltenden SIS-Verordnung überprüft hat. Bei einer ersten Evaluierung 2015 zeigten sich laut dem Bewertungsausschuss zahlreiche Mängel. Wenige Monate später hat der Rat der EU deshalb in seinen Schlussfolgerungen eine weitere Überprüfung gefordert. Ein solcher Besuch erfolgte jedoch erst zwei Jahre später. Der Grund für die Verzögerung war ein neuer EU-Beschluss zur Schengen-Bewertung.[13] Demnach muss jedes teilnehmende Land künftig alle fünf Jahre eine solche Prozedur über sich ergehen lassen. Zuständig sind die Kommission und (in einem rotierenden Verfahren) die Schengen-Mitgliedstaaten.[14]
Die zweite Schengen-Überprüfung in Großbritannien erfolgte gemäß dem neuen Mechanismus. Der daraus folgende Evaluierungsbericht[15] dokumentiert erneut zahlreiche Versäumnisse und Verstöße. Auch nach dem ersten Kontrollbesuch 2015 seien „größere Mängel“ nicht abgestellt worden. Britische Behörden verfügen demnach über „eine beträchtliche Anzahl vollständiger oder teilweiser Kopien“ des SIS II. Das ist nicht ungewöhnlich, denn die SIRENE-Büros dürfen Backups anlegen oder Spiegelungen der Daten aufbewahren. So argumentiert auch die Kommission in der Antwort auf eine parlamentarische Anfrage.[16] Einige der britischen Kopien liegen jedoch in den Räumen von privaten IT-Dienstleistern, die die britische Regierung mit dem Betrieb des SIS II und anderer, angeschlossener Datenbanken beauftragt hat.[17] Dies widerspricht den Schengen-Regeln. Die Daten werden außerdem in nationale Datenbanken kopiert, etwa in die britische Warndatei („Warning Index“). In einigen Fällen sollen sich sogar SIS-Daten auf Laptops befinden.
Zu den Prinzipien des SIS II gehört die Gegenseitigkeit und die gegenseitige Anerkennung. Alle teilnehmenden Staaten sollen Einträge aus anderen Ländern wie eigene behandeln. Die EU-Prüfer*innen haben den britischen Behörden 2015 und 2017 allerdings eine „begrenzte Reziprozität“ attestiert. So werden etwa von den assoziierten Schengen-Ländern herausgegebene Auslieferungsersuchen nicht umgesetzt. Auch Haftbefehle aus EU-Mitgliedstaaten werden erst nach einer teils langwierigen Validierung in britische Systeme übernommen, eine „hohe Zahl“ werde erst gar nicht anerkannt. Ähnlich nachlässig sind britische Beamt*innen laut dem Prüfbericht mit der Sachfahndung. So würden beispielsweise Fahrzeuge, die in einem anderen Mitgliedstaat gestohlen wurden, in Großbritannien nicht beschlagnahmt.
Großbritannien hat zwar vergleichsweise wenige Ausschreibungen ins SIS eingegeben, liegt aber bei Abfragen auf den vorderen Plätzen. 2016 führten britische Behörden rund 500 Millionen Abfragen durch, die zweithöchste Zahl unter den Mitgliedstaaten. Die Abfragen von Behörden anderer Schengen-Staaten in den britischen Ausschreibungen ergaben im selben Jahr aber nicht einmal 10.000 Treffer. Der Prüfbericht bezeichnet dieses Verhältnis als „nicht angemessen“. Von den fast eine Million Personenfahndungen im SIS II stammen nur rund 37.000 aus Großbritannien. Das ist zwar ein eher niedriger Wert. Bei über der Hälfte dieser Einträge handelt es sich jedoch um Ausschreibungen zur verdeckten Kontrolle nach Artikel 36. Bei diesen heimlichen Fahndungen liegt Großbritannien im SIS II auf Platz drei nach Frankreich und Italien.
Trotz der hohen Anzahl eigener Fahndungen gemäß Artikel 36 behalten britische Behörden die Treffer nach Ausschreibungen aus anderen Ländern offenbar zunächst für sich. Erst wenn eigene Geheimdienste eine Überprüfung vorgenommen und die Informationen freigegeben haben, wird die Behörde des anderen Landes benachrichtigt. Dies erfolgt laut der Schengen-Evaluierung sogar bei Ausschreibungen mit dem Zusatz „unverzügliche Meldung“, der nach den terroristischen Anschlägen 2015 in Frankreich im SIS II eingerichtet wurde.
„Sicherheitspartnerschaft“ mit Großbritannien?
Ein Schengen-Staat, der die Regeln des SIS II nicht umsetzt, müsste eigentlich von der Zusammenarbeit ausgeschlossen werden. Nach den Evaluierungen von 2015 und 2017 stand tatsächlich zur Debatte, Großbritannien abzukoppeln. Die Regierungen der EU-Mitgliedstaaten entschieden jedoch im Sommer 2018, das Evaluierungsverfahren trotz der „sehr schweren Mängel“ weiterzuführen.[18] Mit dem Beginn der „Brexit“-Verhandlungen wurde die Evaluierung des SIS II jedoch wenige Monate nach dem Ratsbeschluss gestoppt.
Gemäß dem Austrittsabkommen zum „Brexit“ darf Großbritannien in der Übergangsphase bis zum 31. Dezember 2020 weiterhin an EU-Informationssystemen teilnehmen.[19] Das bedeutet jedoch, dass die Überprüfung der britischen Umsetzung des SIS II wieder aufgenommen werden muss. Die EU-Kommission hat deshalb Empfehlungen ausgesprochen, wie die Mängel behoben werden sollen. Am 5. März 2020 veröffentlichte der EU-Rat einen Durchführungsbeschluss mit 34 Forderungen an Großbritannien, den Missbrauch des SIS II zu beheben.[20] Das britische Innenministerium muss nun mitteilen, wie es die Probleme angehen will. Anderenfalls droht erneut die Abkopplung vom SIS II, womöglich sogar noch vor dem Brexit.
Vermutlich will die Regierung in London den Zugriff auf das wertvolle EU-Informationssystem behalten. Würde Großbritannien nach dem vollzogenen Austritt aber wieder Mitglied des SIS II, müsste sich das Land zur weiteren Evaluierung bereit erklären und unterläge auch EU-Datenschutzregeln. Alternativ könnte die EU für die Teilnahme als Drittstaat am SIS II einen neuen Rahmenbeschluss ähnlich der „Schwedischen Initiative“ erlassen. Zur Debatte steht auch, den SIS II-Informationsaustausch mit britischen Behörden über Europol abzuwickeln. Einzelheiten sollen nun in Verhandlungen über eine „Sicherheitspartnerschaft“ geklärt werden.[21]