von Eric Töpfer
Die Zahl der großen IT-Systeme der EU zur Kontrolle von Grenzen, Migration und Kriminalität wird sich in den kommenden Jahren verdoppeln. Zugleich werden sie mit dem Ziel, die Datenbanken interoperabel zu machen, immer enger zusammengeführt. Allen Widerständen zum Trotz sind die Kommission und ihre Agenturen die Gewinner dieser Entwicklung. Verlierer sind insbesondere jene, die nicht das Privileg der Unionsbürgerschaft haben.
Seit 27 Jahren brummen in einem Bunker bei Straßburg die Server des Schengen-Informationssystems (SIS). Gedacht war das polizeiliche Fahndungssystem als „Ausgleichsmaßnahme“ für den befürchteten Sicherheitsverlust durch den Wegfall der Grenzkontrollen zwischen den Schengen-Staaten. Sein Personendatenbestand wird seit jeher durch Ausschreibungen von Nicht-EU-Bürger*innen zur Einreise- und Aufenthaltsverweigerung dominiert. 2003 gesellte sich die zentrale Einheit für Eurodac hinzu, ein automatisches Fingerabdruckidentifizierungssystem (AFIS) zur biometrischen Erfassung von Asylsuchenden und irregulären Migrant*innen. Zwar dient Eurodac primär der Umsetzung des Dublin-Regimes und soll sicherstellen, dass Asylanträge im Land der Ersteinreise bearbeitet werden. Da die Verordnung von 2000 es den teilnehmenden Staaten aber freistellte, auch Menschen zu erfassen, die im Hinterland beim unerlaubten Aufenthalt erwischt werden, zielte Eurodac von Anfang an auch auf die Kontrolle irregulärer Migration. Im Jahr 2011 nahm das Visa-Informationssystem (VIS) seinen Betrieb auf, das der alphanumerischen und biometrischen Registrierung von Menschen dient, die Anträge auf EU-Kurzzeitvisa stellen. Etwa 80 Millionen Personendatensätze waren Ende 2020 in den drei Systemen erfasst: 73 Mio. im VIS,[1] 5,8 Mio. in Eurodac[2] und etwa 965.000 im SIS.[3] Bereits seit Mitte der 2000er Jahre plant die EU den weiteren Ausbau von SIS, Eurodac und VIS, den Aufbau neuer Datenbanken und die enge Verschränkung all dieser Systeme.[4]
SIS: Schengens digitaler Wachturm
Das SIS wurde erstmals 2006 erweitert, indem neue Kategorien für Sachfahndungen aufgenommen wurden und Staatsanwaltschaften, KfZ-Zulassungsstellen, Europol und Eurojust als neue Nutzende neben Polizei-, Grenz-, Zoll-, Visa- und Ausländerbehörden Lese-Rechte erhielten.[5]
Mit der „zweiten Generation“ des SIS, die 2006/2007 beschlossen,[6] aber erst bis 2013 technisch umgesetzt wurde, hielten biometrische Merkmale Einzug, indem die Datenkategorien um Fingerabdrücke und Gesichtsbilder ergänzt wurden. Seitdem dürfen auch Verknüpfungen zwischen Ausschreibungen hergestellt werden und so z. B. Personen einem gesuchten Fahrzeug zugeordnet werden. Wurden die biometrischen Daten zuerst nur genutzt, um die Identität von Personen zu verifizieren, die bereits durch eine alphanumerische Suche im Datenbestand des SIS gefunden wurden, wurde im März 2018 mit dem Start des AFIS im SIS die rechtliche Option umgesetzt, Menschen allein durch Abgleich ihrer Fingerabdrücke mit dem Datenbestand des SIS zu identifizieren.[7]
Der Schritt zur vorerst letzten Ausbaustufe des SIS wurde genommen, als 2018 nach knapp zweijährigen Verhandlungen drei neue Verordnungen verabschiedet wurden, die bis Ende 2021 schrittweise in Kraft getreten sind.[8] Gebracht haben sie neue Ausschreibungs- und Datenkategorien: So sind die teilnehmenden Staaten nun verpflichtet, jede „Rückkehrentscheidung“ ans SIS zu melden, um es Betroffenen zu erschweren, sich durch Untertauchen einer Abschiebung zu entziehen. Verpflichtend wurde auch die Ausschreibung zur Einreise- und Aufenthaltsverweigerung in nicht sicherheitsrelevanten Fällen, die bis dahin lediglich auf freiwilliger Basis stattfand. Außerdem können mit Finger- und Handabdrücken, die als Spuren an Tatorten gefunden wurden, erstmals Daten von Personen gespeichert werden, die nicht namentlich bekannt sind. Neu sind die Möglichkeiten, Personen zur Befragung auszuschreiben und Menschen präventiv ans SIS zu melden, die zu ihrem eigenen Schutz am Reisen gehindert werden sollen. Zudem können zur Fahndung ausgeschriebene Personen als selbstmordgefährdet, als Gesundheitsgefahr oder als an terroristischen Aktivitäten Beteiligte markiert und DNA-Profile von Vermissten eingestellt werden.
Einbürgerungs- und Waffenbehörden sowie die Zulassungsstellen für Wasser- und Luftfahrzeuge wurden in den Kreis zugriffsberechtigter Stellen aufgenommen, und Europol hat nun lesenden Zugriff auf den gesamten Datenbestand des SIS. Gleiches gilt mit den drei neuen Verordnungen erstmals auch für Frontex-Personal bei Einsätzen zur Grenzkontrolle oder -überwachung oder zur Abschiebung. In Sachen Biometrie wurde die Nutzung des SIS-AFIS zu Identifizierung von Personen, die bislang nur einige Teilnehmerstaaten praktizierten, für verbindlich erklärt, wenn deren Identität durch andere Mittel nicht festgestellt werden kann. Nach dem Vorbild des AFIS soll ein System zur automatisierten Gesichtserkennung implementiert werden, „sobald die technische Möglichkeit dazu besteht“ – zunächst einmal an Grenzübergängen; später kann die Kommission „weitere Umstände“ bestimmen.
Eurodac: Von Dublin zur Kontrolle irregulärer Migration
Auch für Eurodac, das bereits durch die Verordnung (EU) Nr. 603/2013 trotz massiver Kritik im Juli 2015 für Abfragen zur Verhütung und Verfolgung von schweren Straftaten durch nationale Polizeien, Staatsanwaltschaften und Europol geöffnet worden war, steht ein weiterer Ausbau an: 2016 hatte die Kommission Vorschläge vorgelegt,[9] die zum einen auf eine deutliche Intensivierung der Erfassung und Verarbeitung der Daten von irregulären Migrant*innen abzielten, um das System ausdrücklich in den Dienst der Migrationskontrolle und einer europäischen Abschiebungspolitik zu stellen – nicht zuletzt auch durch die Möglichkeit, Eurodac-Daten zur „Re-Dokumentierung“ an Drittstaaten zu übermitteln. Zum anderen will die Kommission die Altersgrenze für die biometrische Registrierung von 14 auf sechs Jahre absenken, das System durch die Erweiterung um Lichtbilder und Software für automatisierte Gesichtserkennung auf multimodale Biometrie umrüsten und zudem alphanumerische Informationen wie Namen, Nationalität und Geburtsdaten ergänzen, so dass es insbesondere für die Polizei, die Eurodac bisher wenig nutzt, zu einem veritablen Informationssystem würde. Daneben sollen Frontex-Beamt*innen und Expert*innen des Europäischen Unterstützungsbüros für Asylfragen (Anfang 2022 in der EU-Asylagentur aufgegangen) schreibenden Zugriff erhalten, um Geflüchtete, die sie etwa in „Hot Spots“ an den Außengrenzen registrieren, in Eurodac erfassen zu können.
Nachdem das Europäische Parlament eine separate Zustimmung zur neuen Eurodac-Verordnung bis zu seiner Neuwahl 2019 verweigert hatte, um diese nicht als Faustpfand in den Verhandlungen um die „Reform“ des Gemeinsamen Europäischen Asylsystems aus der Hand zu geben, legte die Kommission im September 2020 einen geänderten Vorschlag vor.[10] Aufbauend auf dem Vorschlag von 2016 legte sie dabei noch eine Schippe drauf: U. a. sollen die angelieferten Fingerabdruckdatensätze automatisiert zu einer Sequenz aller zu einer Person gespeicherten Vorgänge verknüpft werden; die Daten über Personen sollen um zusätzliche Hinweise über die Ablehnung eines Asylantrags und die Erteilung eines Visums oder eine „freiwillige Rückkehr“ ergänzt werden können. Vorgeschlagen wurde außerdem, Menschen, die im Rahmen des geplanten „Screenings“ von Geflüchteten unter Verdacht geraten, als „Gefahren für die innere Sicherheit“ zu flaggen. Obwohl der Rat Druck macht, den Entwurf für die Eurodac-Verordnung separat zu verhandeln, ist derzeit unklar, wann und wie sich das Parlament entscheiden wird. Der grundsätzliche Umbau Eurodacs vom technischen Rückgrat des Dublin-Regimes zu einem Mehrzwecksystem für die möglichst lückenlose Registrierung und Kontrolle von Geflüchteten wird dabei aber kaum zur Debatte stehen.[11]
VIS: Ein Ausländerzentralregister für die EU
Die Aufrüstung des VIS begann bereits, als es noch nicht einmal richtig aus der Taufe gehoben war. Weniger als ein Jahr nach der Grundsatzentscheidung über seine Einrichtung[12] votierte der Rat 2005 dafür, es auch für die Verhütung und Verfolgung von schweren Straftaten zu nutzen. Rechtlich umgesetzt wurde diese Entscheidung durch den Ratsbeschluss von 2008.[13] Die fast zeitgleich verabschiedete VIS-Verordnung erlaubt zudem Abfragen im Rahmen von Asylverfahren und bei polizeilichen Personenkontrollen im Hinterland.[14] Auch wenn die Umnutzung der primär für Visaverfahren erhobenen Daten in der Gesamtbetrachtung nicht groß ins Gewicht fällt, ist sie in absoluten Zahlen durchaus beeindruckend: Zwischen 2017 und 2019 wurde das VIS in knapp 1,6 Mio. Fällen bei Personenkontrollen im Hinterland abgefragt und in etwa 19.000 Fällen zur Abwehr oder Verfolgung von Straftaten.[15]
Doch damit nicht genug. 2018 schlug die Kommission eine Änderung der VIS-Rechtsrahmens vor,[16] die nach dreijährigen Verhandlungen 2021 angenommen wurde.[17] Die Inbetriebnahme des modernisierten VIS wird nicht vor Ende 2023 erfolgen, in jedem Fall aber bedeutet sie einen fundamentalen Wandel seiner Funktion. Denn mit seiner Ausweitung auch auf nationale Visa für einen längerfristigen Aufenthalt und Aufenthaltstitel wird sich das VIS mittelfristig zu einem europäischen Ausländerzentralregister entwickeln. Mit der dadurch anstehenden zentralen biometrischen Erfassung auch von dauerhaft in der EU aufhältigen Nicht-EU-Bürger*innen übertrifft das neue VIS sogar das deutsche Ausländerzentralregister, das seit seiner „Ertüchtigung“ durch das Datenaustauschverbesserungsgesetz von 2016 „nur“ Asylsuchende und irreguläre Migrant*innen biometrisch erfasst. Zusätzlich kommt – ähnlich wie für Eurodac geplant – die Absenkung der Altersgrenze für die biometrische Erfassung von zwölf auf sechs Jahre. Erstmals erhält auch Frontex-Personal Zugriff; abgesenkt werden außerdem die Hürden für Abfragen durch Polizei- und Strafverfolgungsbehörden.
EES: Datenspeicher für 300 Millionen Reisende
Parallel zum Ausbau der drei großen IT-Systeme wurde gegen erhebliche Widerstände und mit zahlreichen Brüchen der Aufbau vermeintlich „intelligenter Grenzen“ vorangetrieben. Ihre zentrale Komponente soll ein Einreise/Ausreisesystem („Entry/Exit System“ – EES) sein. Ursprünglich im Zusammenhang mit der Planung für das VIS und im Tandem mit einem „Registered Traveller Programme“ (RTP) für vorab sicherheitsüberprüfte „bona fide“-Reisende erdacht, gewannen die Pläne mit dem Grenzpaket der Europäischen Kommission von 2008 erstmals an Kontur.[18] Als mit dem „arabischen Frühling“ 2011 die Geflüchtetenzahlen stiegen, machte der Europäische Rat Druck, die Arbeiten zu beschleunigen. Ein erster Anlauf, die kostspieligen Pläne in Recht zu gießen, scheiterte allerdings vor dem Hintergrund der Finanz- und Euro-Krise und aufgrund von grund- und datenschutzrechtlichen Bedenken des EU-Parlaments 2013. Erst unter dem Eindruck der dschihadistischen Anschläge von Paris (2015) und Brüssel (2016) und der großen Flucht vor dem Blutbad in Syrien gewann das Projekt neue Dynamik. Nach Wiedervorlage durch die Kommission einigten sich die EU-Institutionen in nur 20 Monaten und beschlossen 2017 die Einrichtung des EES im Paket mit notwendigen Anpassungen des Schengener Grenzkodex;[19] fallen gelassen wurden dabei allerdings die Pläne für das RTP.
Erfasst werden sollen im EES alle Ein- und Ausreisen von Nicht-EU-Bürger*innen, die Europa mit oder ohne Visum für Kurzzeitaufenthalte besuchen, sowie solche, denen die Einreise versagt wird. Gleichzeitig soll die Pflicht entfallen, die Reisepässe bei der Einreise abzustempeln. Erhofft wird dadurch eine Beschleunigung der Grenzkontrollen, die Detektion von „overstayers“ – Menschen, die ihre zulässige Aufenthaltsdauer überziehen – und bessere Statistiken über das Reisegeschehen. Dafür sollen Name, Fingerabdrücke, Gesichtsbilder und Informationen zu den Reisedokumenten für drei Jahre in einer zentralen Datenbank gespeichert werden, bei „overstayers“ für fünf Jahre. Mit Blick auf die jährlichen Einreisezahlen wird geschätzt, dass im EES nach Inbetriebnahme binnen kurzem 300 Mio. Personen erfasst sein werden. Zugriff auf diese Daten werden dann nicht nur Grenz-, Visa- und Ausländerbehörden haben, sondern auch weitere von den Teilnehmerstaaten zu benennende Behörden sowie Europol für Zwecke der „Verhütung, Aufdeckung und Untersuchung terroristischer oder sonstiger schwerer Straftaten“. Zwar dürfte es sich dabei i.d.R. um Polizeibehörden und Staatsanwaltschaften handeln, anders als bei Eurodac fehlt in der EES-Verordnung jedoch ein ausdrückliches Verbot für den Zugriff von Geheimdiensten. Begrenzt und kanalisiert werden sollen solche Abfragen über „zentrale Zugangsstellen“, die prüfen, ob die Voraussetzungen für Abfragen des EES erfüllt sind. Wer jedoch glaubt, dass hier eine unabhängige Aufsicht ins Spiel käme, dürfte enttäuscht werden. Bei vergleichbaren Stellen für die Prüfung von Polizeiabfragen in Eurodac und VIS schaut sich die Polizei meist selbst auf die Finger.
ETIAS: Automatisiertes „Screening“ vor Einreise
Flankiert wird der Aufbau des EES durch die Entwicklung eines Europäischen Reiseinformations- und Genehmigungssystems („European Travel Information and Authorisation System“ – ETIAS), durch das von der Visumspflicht befreite Nicht-EU-Bürger*innen bereits im Vorfeld ihrer Einreise durchleuchtet werden sollen. Insbesondere bei der Kontrolle der Mobilität über die Landgrenzen nach Osteuropa und zum Westbalkan fürchtete die Kommission eine „Informationslücke“[20] und legte daher im November 2016 ihren Vorschlag für die Einrichtung von ETIAS vor, der knapp zwei Jahre später verabschiedet wurde.[21]
Sobald ETIAS in Betrieb geht, müssen von der Visumspflicht befreite Reisenden ihren Einreisewunsch vorab online anmelden. Die Angaben zur Person sollen dann automatisiert mit dem SIS, VIS, Eurodac, EES, ECRIS-TCN (siehe unten), Dateien von Europol sowie Interpol abgeglichen und anhand einer von Europol geführten „Watchlist“ und spezifischen Indikatoren überprüft werden, um Gefahren für Sicherheit, öffentliche Gesundheit und unerlaubte Migration zu erkennen. Was genau bei diesem algorithmischen Profiling als Risiko gilt, legt die Kommission – beraten von Frontex, Europol und nationalen Stellen – alle sechs Monate fest. Sollte es bei automatischen Datenabgleich und Profiling zu einem „Treffer“ kommen, werden die Anträge automatisch zur händischen Überprüfung an ETIAS-Stellen weitergeleitet, die aktuell bei Frontex und in den Mitgliedstaaten aufgebaut werden. Ansonsten wird der Einreiseantrag für die Dauer von drei Jahren durch das System genehmigt; so lange werden auch die Daten gespeichert – im Falle einer Verweigerung oder späteren Annullierung für fünf Jahre. So wie die anderen Systeme auch, kann ETIAS auch für Zwecke der Gefahrenabwehr und Strafverfolgung abgefragt werden.
ECRIS-TCN: Register nicht nur für Drittstaatsangehörige
Der sechste Baustein im Puzzle der IT-Systeme ist das Europäische Strafregister für Drittstaatsangehörige („European Criminal Records Information System – Third Country Nationals“ – ECRIS-TCN). Ergänzen soll es das seit 2012 existierende Netzwerk ECRIS für den europäischen Informationsaustausch von Daten aus nationalen Strafregistern, weil dessen Architektur das schnelle Auffinden von Einträgen zu Nicht-EU-Bürger*innen verhindert. Obwohl Alternativen bestanden, stimmten Rat und Parlament 2019 für die Einrichtung eines zentralen Systems.[22] Erfasst werden sollen dann neben allen verurteilten straffälligen Nicht-EU-Bürger*innen auch verurteilte Bürger*innen von EU-Staaten, die daneben die Staatsbürgerschaft eines Drittstaates haben. Unabhängig von bislang existierenden nationalen Regelungen ist zudem die Erfassung von Fingerabdrücken zwingend vorgeschrieben. Getrieben wurden die Pläne für die rassistische Sondererfassung nicht etwa von Erforderlichkeitsüberlegungen, sondern von der Vision, interoperable Systeme zu schaffen.[23]
Das Projekt Interoperabilität: Kerndaten für alle Fälle
Schon seit mehr als 15 Jahren geistert der Begriff „Interoperabilität“ durch Papiere der Kommission. In einer Mitteilung von 2005 wird er definiert als „Fähigkeit von IT-Systemen und der von ihnen unterstützten Geschäftsprozesse, Daten miteinander auszutauschen und die gemeinsame Nutzung von Informationen und Kenntnissen zu ermöglichen“ und galt bereits damals als Leitschnur für die langfristige Strategie zur Weiterentwicklung der großen IT-Systeme.[24] Im April 2016, auf dem Höhepunkt der sogenannten „Flüchtlingskrise“, war die Zeit dann reif, die Katze aus dem Sack zu lassen. Gemeinsam mit der Wiedervorlage der Pläne zum Aufbau des EES kündigte die Kommission an, „einen Prozess zur Verbesserung der Interoperabilität bestehender Informationssysteme einzuleiten“.[25] Obwohl die Ausarbeitung der Details erst in den kommenden Monaten folgte, war die Richtung damit vorgegeben: Das Ziel ist die Schaffung einer zentralen Schnittstelle zur gleichzeitigen Abfrage der großen IT-Systeme, automatisierte Abfragen von Daten zwischen diesen, der Abgleich der in ihnen gespeicherten biometrischen Daten und die Einrichtung eines „Kernmoduls“ als gemeinsamen Datenspeicher. 2019 wurden die Interoperabilitäts-Verordnungen verabschiedet.[26]
Konkret geplant ist nun die Einrichtung eines Europäischen Suchportals für registerübergreifende Abfragen sowie die enge Verknüpfung der existierenden und projektierten Datenbanken durch einen Gemeinsamen Identitätsspeicher („Common Identity Repository“ – CIR) und einen Dienst für den Abgleich biometrischer Daten („Biometric Matching Service“ – BMS). Im CIR sollen alphanumerische und biometrische Grunddaten aus Eurodac, VIS, EES, ETIAS und ECRIS-TCN zusammengeführt werden. Das BMS soll aus den im CIR und SIS registrierten Fingerabdrücken und Gesichtsbildern sogenannte biometrische Templates generieren, und diese für schnelle und systemübergreifende Abfragen vorhalten. Aufbauend auf dieser Infrastruktur soll ein „Detektor für Mehrfachidentitäten“ alle neuen oder aktualisierten Personendaten mit dem Bestand des CIR und SIS abgleichen, um mutmaßlichen Identitätsbetrug aufzudecken. Realisiert werden soll also der alte „Traum von der restlosen Erfassung“[27] aller nach Europa einreisenden – und mit dem Umbau des VIS mittelfristig auch aller hier lebenden – Drittstaatsangehörigen und die breite Verfügbarmachung ihrer Daten zur Kontrolle von Mobilität und Kriminalität. Bis Ende 2023, so heißt es, soll das dystopische Projekt umgesetzt sein.
Brüsseler Technokratie und die Macht der Agenturen
Mit der Umsetzung der ehrgeizigen Pläne beauftragt ist eu-LISA, die 2012 gegründete Agentur der EU für das Betriebsmanagement der großen IT-Systeme. Ursprünglich nur für SIS, Eurodac und VIS zuständig, ist die Agentur mit den neuen Aufgaben deutlich gewachsen. Ihr Personal hat sich seit Gründung verdreifacht, das Jahresbudget ist sogar um das Zehnfache angestiegen und beträgt 2022 rund 330 Mio. Euro.[28] Insgesamt hat die Agentur von 2021 bis 2027 mehr als 1,4 Mrd. Euro zur Verfügung, die – meist als üppige Aufträge an private IT-Firmen und -Dienstleister – nahezu ausschließlich in die Entwicklung der großen IT-Systeme und das Projekt Interoperabilität fließen. Während eu-LISA zuständig ist für die Zentraleinheiten und die diversen Schnittstellen zur Anbindung nationaler Behörden, müssen die Teilnehmerstaaten den Aufbau bzw. die Anpassung ihrer IT-Infrastrukturen selbst übernehmen, inklusive der erheblichen Kosten, die etwa anfallen, um die fast 2.000 Übergänge an den EU-Außengrenzen mit Anlagen zur biometrischen Erfassung fürs EES auszurüsten. Um Widerstände gering zu halten, greift die Kommission den Ländern dabei mit Milliardenbeträgen aus diversen Fördertöpfen unter die Arme.[29] eu-LISA unterstützt – in enger Zusammenarbeit mit Frontex – in Form von Schulungen, Technologiemonitoring, Industriekontakten und Forschung, setzt aber auch Rahmenbedingungen durch Standardisierung und Vorgaben zur Datenqualität. In diesem Sinne versteht sich die Agentur nicht nur als „Ermöglicher“, sondern auch als „Treiber von Innovation und digitaler Transformation“ in der EU-Innenpolitik.[30]
Derweil kümmert sich die Kommission um das Kleingedruckte. Das kafkaeske Geflecht von EU-Recht, das rund um die großen IT-Systeme gewachsen ist, ist bereits auf Ebene der diversen einschlägigen Verordnungen das Gegenteil von rechtsstaatlicher Normenklarheit. Weitgehend unbeobachtet von einer demokratischen Öffentlichkeit ist die Kommission nun dabei, Dutzende delegierte Rechtsakte und Durchführungsrechtsakte zu verabschieden, welche Details regeln, die für die Praxis der Systeme von zentraler Bedeutung sein werden, etwa die Frage, was ein biometrischer „Treffer“ ist oder welche Fragen Reisende bei der Anmeldung im ETIAS zu beantworten haben.
Ob sich die ehrgeizigen Zeitpläne für die Realisierung der gigantischen Projekte halten lassen, wird sich zeigen. Aufgrund von Verzögerungen durch die Pandemie und Lieferkettenengpässen bei der Hardwarebeschaffung hat der Rat im Oktober 2021 erste Korrekturen vorgenommen. Das EES soll nun erst im September 2022 in Betrieb gehen, ETIAS im Mai 2023 und die dritte Generation des SIS im Juni 2022.[31] Unabhängig davon, ob die Deadlines zu halten sind, werden die Projekte jedoch nie wirklich abgeschlossen sein. In ihrer sozio-technischen Komplexität entziehen sie sich einer Steuerung im Sinne der Erfinder*innen, die daher ständig nachjustieren und aufrüsten müssen, um ihren technokratischen Traum von der restlosen Erfassung weiter zu träumen. Für die betroffenen Menschen bleibt der maßlose Irrsinn in jedem Fall ein Albtraum.