EURODAC (European Dactyloscopy) ist ein Fingerabdruck-Identifizierungssystem für den Abgleich der Fingerabdruckdaten aller Asylbewerber sowie von bestimmten Drittstaatsangehörigen und Staatenlosen, wenn die betreffenden Personen älter als 14 Jahre sind. Der Datenabgleich soll verhindern, dass Personen in mehreren EU-Mitgliedstaaten Asyl beantragen können. Unter bestimmten Bedingungen kann ein Abgleich von Fingerabdruckdaten mit Eurodac-Daten zur Verhütung, Aufdeckung und Untersuchung terroristischer oder sonstiger schwerer Straftaten erfolgen. EURODAC wurde am 15. Januar 2003 gestartet.[1]
Fünf verschiedene Rechtsakte der Europäischen Union bilden den Kern des Gemeinsamen Europäischen Asylsystems: das Dubliner Übereinkommen der EU-Staaten, die Neufassung der Asylverfahrensrichtlinie, die Neufassung der Anerkennungsrichtlinie, die Neufassung der Richtlinie über Aufnahmebedingungen und die EURODAC-Vorschriften.[2]
EURODAC erwies 2020 sich in Teilen als funktionsunfähig, nachdem griechische Behörden nach Presseinformationen begannen, die Datensätze von Flüchtlingen, denen bereits Asyl zugesprochen worden war, entweder zu löschen oder den Zugang für andere europäische Behörden zu beschränken, nachdem sie den Personen Reisedokumente für den Schengenraum ausgestellt hatten. Wenn die Flüchtlinge dann etwa in Deutschland einen zweiten Asylantrag stellten, konnten sie Griechenland nicht mehr zugeordnet werden.[3]
Rechtsgrundlage ist die Verordnung (EU) Nr. 603/2013 (Eurodac-Verordnung) vom 26. Juni 2013 über die Einrichtung der Datenbank EURODAC für den Abgleich von Fingerabdruckdaten zum Zwecke der effektiven Anwendung der Verordnung (EU) Nr. 604/2013.[4] Diese EU-Verordnung legt die Kriterien und Verfahren zur Bestimmung des Mitgliedstaats der Europäischen Union (EU) fest, der für die Prüfung eines von einem Drittstaatsangehörigen oder Staatenlosen in einem EU-Mitgliedstaat gestellten Antrags auf internationalen Schutz[5][6] zuständig ist.[7] Die Anwendung der Verordnung (EU) Nr. 604/2013 soll durch das Eurodac-System, das mit Verordnung (EU) Nr. 603/2013 eingerichtet worden ist, erleichtert werden.[8]
EURODAC wurde auf Basis der Verordnung (EG) Nr. 2725/2000 vom 11. Dezember 2000 zum Zweck der effektiven Anwendung des Dubliner Übereinkommens eingeführt.[9] Hierzu hieß es in der alten Fassung der Eurodac-Verordnung:
„Zum Zwecke der Anwendung des Dubliner Übereinkommens ist es erforderlich, die Identität von Asylbewerbern und Personen festzustellen, die in Verbindung mit dem illegalen Überschreiten der Außengrenzen der Gemeinschaft aufgegriffen werden. Zur effektiven Anwendung des Dubliner Übereinkommens, insbesondere des Artikels 10 Absatz 1 Buchstaben c) und e), sollte außerdem jeder Mitgliedstaat prüfen können, ob ein Ausländer, der sich illegal in seinem Hoheitsgebiet aufhält, in einem anderen Mitgliedstaat Asyl beantragt hat.“
Durch Anwendung der Eurodac-Verordnung soll verhindert werden, dass ein Asylbewerber in mehreren Mitgliedstaaten zeitgleich oder nacheinander ein Asylverfahren betreiben kann.[10] Unter bestimmten Bedingungen kann aber auch ein Abgleich von Fingerabdruckdaten mit Eurodac-Daten zur Verhütung, Aufdeckung und Untersuchung terroristischer oder sonstiger schwerer Straftaten erfolgen.
Fingerabdrücke werden von allen Asylbewerbern genommen sowie von Drittstaatsangehörigen und Staatenlosen, die bei der illegalen Überschreitung einer Außengrenze eines EU-Mitgliedstaats angetroffen werden oder sich illegal im Hoheitsgebiet eines EU-Mitgliedstaats aufhalten. Die Fingerabdruckdaten werden an ein Zentralsystem übermittelt.
Behörden, die für die innere Sicherheit zuständig sind, können in genau bestimmten Fällen Zugang zu EURODAC erhalten, wenn der begründete Verdacht besteht, dass der Täter einer terroristischen Straftat oder einer sonstigen schweren Straftat einen Asylantrag gestellt hat.[14]
Das Fingerabdruck-Identifizierungssystem EURODAC besteht aus einer automatisierten Datenbank für Fingerabdruckdaten und elektronischen Einrichtungen für die Datenübertragung zwischen den EU-Mitgliedstaaten und einem als „Kommunikationsinfrastruktur“ bezeichneten Zentralsystem.[15]
Die Verantwortung ist geteilt. Die Kommission ist verantwortlich für die Zentraleinheit (Präamb. 5, Art. 3 Eurodac-VO), die Mitgliedstaaten für die Bearbeitung und die Übermittlung der Daten (vgl. Art. 13 ff. Eurodac-VO).
Mit dem Betriebsmanagement von EURODAC und bestimmten infrastrukturellen Aufgaben wurde die Europäische Agentur für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (EU-LISA) betraut. Die Agentur wurde auf Basis der Verordnung (EU) Nr. 1077/2011 eingerichtet und hat ihren Sitz in der estnischen Hauptstadt Tallinn. Sie nahm am 1. Dezember 2012 ihre Arbeit auf.[16]
Die Zentraleinheit – das automatisierte Fingerabdruckidentifizierungssystem (AFIS) – befindet sich in einem Rechenzentrum im EU-Gebäude in Luxemburg. In ihr werden alle Fingerabdruckdaten gespeichert. Auf diese kann im Rahmen eines Hit/no-hit-Verfahrens zugegriffen werden.
Das Identifizierungssystem der Fingerabdrücke wurde vom französischen IT-Dienstleister Steria entwickelt und basiert auf einer Hardware des Computer–Unternehmens Bull und Biometrie–Systemen von Cogent Systems. Die Zentraldatenbank sollte bis zum Jahr 2004 zwei Millionen Einwanderungs- und Asylanträge verwalten. Die Abfragegeschwindigkeit wird mit 500.000 Vergleichen pro Sekunde, die Treffergenauigkeit mit 99,9 % angegeben.[1]
Bei der Arbeit mit dem europaweites Fingerabdruck-Identifizierungssystem EURODAC müssen bestimmte Verfahrensgrundsätze bei Registrierung, Übermittlung, Speicherung und Abgleich der Fingerabdrucksdaten eingehalten werden. Diese sind in der Eurodac-Verordnung festgeschrieben.
Vom eingebenden Staat (Herkunftsmitgliedstaat)[17] werden folgende Daten an die zentralen Fingerabdruck-Datenbank (Zentralsystem)[18] von EURODAC übervermittelt und dort gespeichert:[19]
Die Zentralsystem speichert diese Daten wiederum unter einer Kennnummer und unter Angabe des eingebenden Staats. Name und Adresse der betroffenen Person bleiben nur dem eingebenden Staat bekannt.
Nach Überstellungen, Rückführungen oder Abschiebungen müssen schon im Zentralsystem vorhandene Daten von den dafür zuständigen EU-Mitgliedstaaten aktualisiert werden.[22]
Bei Fingerabdruckdaten von Asylbewerbern (vgl. Art. 4 ff. Eurodac-VO) werden diese Daten von der Zentraleinheit direkt mit vorhandenen Daten verglichen und bei einem Treffer die Daten an den Mitgliedstaat mitgeteilt. Die Daten werden i. d. R. nach zehn Jahren gelöscht; eine vorzeitige Löschung erfolgt, wenn der Betroffene die Staatsangehörigkeit eines Mitgliedstaates erhalten hat.
Bei Fingerabdruckdaten von Ausländern, die beim illegalen Überschreiten einer Außengrenze angetroffen worden sind (vgl. Art. 14 ff. Eurodac-VO), erfolgt eine Speicherung nur zum Vergleich mit später eintreffenden Daten über Asylbewerber. Es findet ansonsten kein Vergleich statt. Diese Daten werden nach zwei Jahren automatisch gelöscht.
Bei Fingerabdruckdaten eines sich illegal in einem Mitgliedstaat aufhaltenden Ausländers (vgl. Art. 17 ff. Eurodac-VO) ist die Übermittlung in das Ermessen des Mitgliedstaats gestellt. Ein Vergleich findet nicht mit Daten aus derselben Gruppe statt. Die Daten werden gelöscht, wenn die Ergebnisse des Vergleichs an die Mitgliedstaaten übermittelt worden sind.
Im Zuge der Flüchtlingskrise in Deutschland ab 2015 wurden erhebliche Probleme bei Registrierung und Abgleich von Fingerabdrücken deutlich.
Auf die Eurodac-VO anwendbar ist die Datenschutzrichtlinie 95/46/EG vom 24. Oktober 1995. Weiterhin schützt auf europäischer Ebene Art. 8 I der Europäischen Menschenrechtskonvention (EMRK) die Verarbeitung personenbezogener Daten, und etwa in Deutschland das Recht auf informationelle Selbstbestimmung aus Art. 2 I, 1 I Grundgesetz. Gemäß den Vorgaben der Richtlinie ist die Zweckbindung der Eurodac-Verordnung an das Dubliner Übereinkommen eng.
Weiterhin wird auf nationaler Ebene eine unabhängige Kontrollinstanz eingefordert, in Deutschland ist dies der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit.
Jede betroffene Person hat den Anspruch auf Unterrichtung über die Speicherung ihrer Daten und gegebenenfalls auf Löschung fälschlich gespeicherter Daten. Das Recht auf Löschung hat aber jeweils nur der eingebende Staat, auch wenn der Antrag in jedem Mitgliedstaat gestellt werden kann (Art. 18 ff. Eurodac-VO).
In Deutschland richtet sich die Abnahme der Fingerabdrücke nach § 81b Strafprozessordnung.
Entsprechend einem von der EU–Kommission im Mai 2016 veröffentlichten Entwurf zur Reform der Eurodac-Verordnung[23] sollen künftig neben Fingerabdrücken auch Gesichtsbilder und biometrische Daten von Kindern ab sechs Jahren gesammelt werden. Begründet wird die beabsichtigte Reform damit, dass junge Kinder nicht nur mit ihren Eltern in die EU kämen, sondern auch allein geschickt würden und es derzeit kein Mittel gäbe, um diese identifizieren zu können. Erstmals sollen auch die biometrischen Merkmale von illegal eingereisten Drittausländern erfasst werden, die erst auf dem Gebiet von Mitgliedstaaten aufgegriffen werden. Die technische Gesichtserkennung soll möglichst bald nachgerüstet und Daten weiterhin bis zu zehn Jahre gespeichert werden, die Zugriffsmöglichkeiten für Strafverfolger bei Flüchtlingen aber zunächst auf drei Jahre eingeschränkt sein. Erstmals sollen Informationen aus Eurodac mit Drittstaaten geteilt werden. So soll sichergestellt werden, dass illegale Migranten identifiziert und in ihre Herkunftsländer zurückgeführt werden können. Die Europäische Agentur für das Betriebsmanagement von IT-Großsystemen im Bereich Freiheit, Sicherheit und Recht (EU-Lisa)[24] soll das finanzielle und operationelle Management für das mit 30 Millionen Euro veranschlagte IT-Großprojekt übernehmen. Ziel des Projektes ist der Aufbau einer biometrischen Super–Datenbank mit einem „Kernsystem“ für Fingerabdrücke und Gesichtsbilder – auch aus anderen Dateien.[25] Der Entwurf zur Reform der Eurodac-Verordnung der EU-Kommission vom 6. Mai 2016 ging dem Europäischen Rat jedoch nicht weit genug und soll deshalb deutlich verschärft werden. Es ist vorgesehen, dass die EU-Staaten auch Zwangsmittel einsetzen dürfen, wenn illegal eingereiste Drittausländer biometrische Daten nicht freiwillig abgeben.[26]