VG Wiesbaden

[...]

Zunächst ist festzustellen. dass es keine deutsche nationale Zugangsstelle gibt, die mit dem Zentralsystem EURODAC Daten austauschen darf (Art. 2 Abs. 1 lit. a VO (EU) Nr. 603/2013 des Europäischen Parlaments und des Rates vom 26. Juni 2013 über die Errichtung von EURODAC für den Abgleich von Fingerabdruckdaten zum Zwecke der effektiven Anwendung der Verordnung (EU) Nr. 604/2013 zur Feststellung der Kriterien und Verfahren zur Bestimmung des Mitgliedsstaaten, der für die Prüfung eines von einem Drittstaatsangehörigen oder Staatenlosen in einem Mitgliedsstaat gestellten Antrages auf internationalen Schutz zuständig ist und über der Gefahrenabwehr und Strafverfolgung dienende Anträge der Gefahrenabwehr- und Strafverfolgungsbehörden der Mitgliedsstaaten und Europols auf den Abgleich mit EURODAC-Daten sowie zur Änderung der Verordnung (EU) Nr. 1077/2011 zur Errichtung einer europäischen Agentur für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechtes vom 26.06.2013 (ABl. L 180 vom 29.06.2013, S. 1 ff., zukünftig VO (EU) Nr. 603/2013).

Zwar trägt die Antragsgegnerin vor, dass das Bundeskriminalamt die zuständige nationale Stelle für EURODAC sei. Dies entspricht jedoch nicht der "Liste der benannten Behörden, die nach Art. 27 Abs. 2 der Verordnung (EU) Nr. 603/2013 Zugriff auf die im Zentralsystem von EURODAC gespeicherten Daten für die in Art. 1 Abs. 1 dieser Verordnung festgelegten Zwecke haben" (ABl. C vom 20.07.2015 Nr. 237, S. 1). Hier hat die Agentur eine konsolidierte Fassung der Liste im Amtsblatt der Union veröffentlicht. Nach dieser Liste, Stand: 20.07.2015, ist für die Bundesrepublik Deutschland das Bundesamt für Migration und Flüchtlinge mit diversesten Referaten und Außenstellen als Behörde benannt, welche Zugang zu dem Zentralsystem hat (Seite 3 bis 7 im ABl. C vom 20.07.2015 Nr. 237).

Dass das Bundesamt für Migration und Flüchtlinge die zuständige Stelle zum Zugriff auf das Zentralsystem sein könnte, könnte sich aus § 16 AsylG ergeben. Dieser regelt jedoch keine Zuständigkeit. Vielmehr ist gemäß § 88 AsylG das Bundesministerium des Inneren ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates die zuständigen Behörden für die Ausführung von Rechtsvorschriften der Europäischen Gemeinschaft und völkerrechtlichen Verträge über die Zuständigkeit für die Durchführung von Asylverfahren zu bestimmen. Dies gilt insbesondere (Abs. 1 Nr. 4) für die Erfassung, Übermittlung und den Vergleich von Fingerabdrücken der betroffenen Ausländer.

Nach der Verordnung zur Neufassung der Asylzuständigkeitsverordnung (AsylZBV v. 02.04.2008 <BGBl. I 2008, S. 645>) ist das Bundeskriminalamt zuständig für die Ausführung der Verordnung nach § 1 Nr. 4 AsylZBV. § 1 Nr. 4 AsylZBV benennt unter Nr. 4 die Verordnung (EG) Nr. 2725/2000 des Rates vom 11. Dezember 2000 über die Errichtung von "EURODAC" für den Vergleich von Fingerabdrücken zum Zwecke der effektiven Anwendung des Dubliner Übereinkommens (ABl. EG Nr. L 316, S. 1). Die Verweisung ist insoweit eine statische. Eine dynamische Verweisung auf die VO (EU) Nr. 603/2013 gibt es nicht. Eine Bestimmung des Bundesamtes als zuständige Behörde für die Zugriffe zu dem Zentralsystem existiert ebenfalls nicht.

Die in der Verordnung zur Neufassung der Asylzuständigkeitsbestimmungsverordnung erwähnte Verordnung EG Nr. 2725/2000 wurde jedoch ausdrücklich gemäß Art. 45 VO (EU) Nr. 603/2013 mit Wirkung ab dem 20. Juli 2015 aufgehoben.

Mithin ist die Meldung des Bundeskriminalamtes ebenso wenig wie die des Bundesamtes für Migration und Flüchtlinge, durch die Bundesrepublik Deutschland als zugriffsberechtigte Behörde, die nach Art. 27 Abs. 2 VO (EU) Nr. 603/2013 Zugriff auf das Zentralsystem von EURODAC haben darf, durch keine nationale Ermächtigungsvorschrift gedeckt. Sie wäre auch insoweit falsch, als nach der Verordnung zur Neubestimmung der Asylzuständigkeitsbestimmungsverordnung das Bundeskriminalamt gerade den EU-Behörden nicht gemeldet worden ist (siehe so ausdrücklich die "Liste der benannten Behörden, die nach Art. 27 Abs. 2 der Verordnung (EU) Nr. 603/2013 Zugriff auf die im Zentralsystem von EURODAC gespeicherten Daten für die in Art. 1 Abs. 1 dieser Verordnung festgelegten Zwecke haben" (ABl. C vom 20.07.2015 Nr. 237, S. 1). Auch wenn die Antragsgegnerin - ohne Nachweis – behauptet, dass das Bundeskriminalamt gem. Art. 3 Abs. 2 VO (EU) Nr. 603/2013 benannt sei.

Mithin bleibt im Ergebnis festzustellen, dass Deutschland keine Behörde zum Zugriff auf das EURODAC-System bestimmt hat, mit der Folge, dass alle Zugriffe auf das EURODAC-System rechtswidrig sind.

Unabhängig davon, dass es an einer institutionell zuständigen Behörde mangelt, ist der Bescheid vom 31.05.201 7 auch deshalb rechtswidrig, als das Bundesamt für Migration und Flüchtlinge eine "Markierung" zur Grundlage ihrer Entscheidung gemacht hat, auf welche diese für diesen Zweck nicht hätte zugreifen dürfen.

Dem liegt folgendes zugrunde: Gemäß Art. 18 VO 603/2013 hat ein Herkunftsstaat, der einer Person, die internationalen Schutz beantragt hat und deren Daten zuvor im Zentralsystem gespeichert wurden, die einschlägigen Daten im Einklang mit den von der Agentur festgelegten Bestimmungen für elektronische Kommunikation im Zentralsystem zu erfassen. Zweck der Markierung ist es, aktuelle Daten zur Prüfung eines von einem Drittstaatsangehörigen oder Staatenlosen in einem Mitgliedstaat gestellten Antrags auf internationalen Schutz zu haben, um eine zügige Bestimmung des Mitgliedstaates zu erreichen. Dabei sind der Übermittlung der Fingerabdruckdaten an das Zentralsystem, der Speicherung dieser und sonstiger relevanter Daten im Zentralsystem, ihre Aufbewahrung, der Abgleich mit anderen Fingerabdruckdaten, die Übermittlung, die Abgleichsergebnisse sowie die Markierung und Löschung von gespeicherten Daten nach klar umrissenen Regelungen vorzunehmen (Erwägungsgrund 18). Die Fingerabdruckdaten sollen eine angemessene Qualität aufweisen. Die Markierung dient der Löschung der Daten zu einem früheren Zeitraum (3 Jahre). Die Daten nach Art. 11 VO (EU) 603/2013 dienen zugleich dem Abgleich von Fingerabdruckdaten mit dem Zentralsystem zum Zwecke der Gefahrenabwehr und Strafverfolgung (Art. 2 Abs. 2 VO (EU) 603/2013).

Das Zentralsystem informiert alle Herkunftsmitgliedstaaten über die Markierung von anderen Staaten durch einen anderen Herkunftsstaat, nachdem dieser mit Daten, die zu einer Person nach Art. 9 Abs. 1 oder Art. 14 Abs. 1 VO (EU) 603/2013 übermittelt hatte, einen Treffer erzielt hat.

Die Datenmarkierung ist insoweit ein technischer Vorgang zur Sicherung der Datenqualität, nicht aber zur Datenspeicherung gemäß Art. 11 VO (EU) Nr. 603/2013 oder gar der Datenverwendung für asylrelevante Maßnahmen, denn die Markierung ist gerade kein Datum, welches nach Art. 11 VO (EU) Nr. 603/2013 zu speichern und zu übermitteln ist.

Mithin ist die Nutzung der Markierung zum Zwecke eines Asylbescheides mangels Rechtsgrundlage unzulässig. Denn personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben, in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz). Art. 5 Abs. 1 lit. a Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung = DSGVO) <ABl. EU vom 4.5.2016, L 119 S. 1> (entspricht Art. 6 Abs. 1 lit. a Richtlinie 95/46 EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 <ABl. v. 23.11.1995, Nr. L 281 S. 31>).

Auf die VO (EU) 603/2013 finden die Grundsätze der Richtlinie 95/46 EG Anwendung (Erwägungsgrund 40). Dies hat zur Folge, dass gemäß Art. 94 Abs. 2 DSGVO die EURODAC-VO im Einklang mit den Vorgaben der Datenschutzgrundverordnung stehen muss. Dies mit der Folge, dass die Datenschutzgrundverordnung insoweit immer ergänzend heranzuziehen ist. Mithin bedarf es gemäß Art. 6 Abs. 3 lit. a DSGVO einer Rechtsgrundlage, die die Zwecke, für die die personenbezogenen Daten verarbeitet werden dürfen, festlegt.

Die DSGVO ist am 25.05.2016 in Kraft getreten und gilt ab dem 25.05.2018 (Art. 99 Abs. 2 DSGVO). Die Verordnung ist daher auf das vorliegende Verfahren anzuwenden. Denn der Gesetzgebungsakt entfaltet vom Zeitpunkt seiner Bekanntgabe an Rechtswirkungen (EUGH, Urteil v. 18.12.1997, Az. C-129/96 - zur Richtlinienumsetzung, was im Falle einer Verordnung jedoch erst recht gelten muss (so FG Düsseldorf, Beschluss vom 09.08.2017, Az. 4 K 1404/17.Z - nach Juris).

Vorliegend ist in der VO (EU) Nr. 603/2013 keine Ermächtigung gegeben, die Markierung für Asylentscheidungen heranzuziehen. Vielmehr bezweckt die VO mit den in Art. 11 VO (EU) Nr. 604/2013 gespeicherten Daten die Bestimmung des zuständigen Mitgliedsstaaten und der Anwendung der VO (EU) 604/2013 (sog. Dublin III-VO).

Insoweit hätte das Bundesamt für Migration und Flüchtlinge aufgrund der Treffermeldung eine Anfrage an Rumänien durchführen müssen. Soweit Rumänien dann mitgeteilt hätte, dass dieses dem Antragsteller internationalen Schutz gewährt hat, wäre diese Information (dieses Datum) für die weitere Verarbeitung und den Bescheid, so, wie er ergangen ist, nutzbar gewesen. Personenbezogene Daten, die unrechtmäßig verarbeitet wurden, sind zu löschen, Art. 17 Abs. 1 lit. d DSGVO. Wenn Daten aber zu löschen sind, können sie nicht für andere Zwecke genutzt werden.

Nach alledem liegt vorliegend eine rechtswidrige Datenverarbeitung vor mit der Folge, dass der Bescheid in toto rechtswidrig ist. [...]