VIS soll eine Datenbank werden, in der die Schengenstaaten Informationen über die von ihnen ausgestellten Visa austauschen, inklusive Fingerabdrücke der Antragsteller (Größenordnung: 20 Millionen Datensätze pro Jahr). 2009 lief noch nichts.

Die EU sagt, sie wolle mit VIS

• das Antragsverfahren vereinfachen,
• Visabetrug bekämpfen
• Kontrollen an Grenzen und im Inneren erleichtern

• AusländerInnen leichter identifizieren

• Asylverfahren "vereinheitlichen" (nach [[http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2003:050:0001:0010:DE:PDF|Verordnung 343/2003])

• innere Sicherheit ausweiten

(VISV, Artikel 1) -- im Groben ist VIS also als umfassendes Repressionsinstrument gegen Menschen ohne EU-Pass angelegt.

Die Datenbank dürfte BürgerInnen der EU im wesentlichen nicht bedrohen, da sie keine Visa für den Schengenraum beantragen dürften.

Geschichte

Nach 9/11 wollte der Rat eine Verschärfung der durch den Schengen-Acquis vorgeschriebenen gegenseitigen Konsultation in Visafragen über ein "Netzwerk" namens VISION (vgl. Ratsmitteilung 5148/02). Dazu sollte eine Visa-Datenbank eingerichtet werden; genauere Pläne dafür wurden beim Sevilla-Gipfel 2002 geschmiedet, der Ratsbeschluss 2004/512/EC hat dann die VIS-Entwicklung in die Wege geleitet.

Nach diesem Beschluss soll sich VIS in seiner Struktur eng an SIS anlehnen. Näheres zu VIS folgte dann 2005 in der Beschlussvorlage 15142/05 Darin werden u.a. folgende Punkte festgehalten:

1. Die Staatssicherheitsbehörden der Mitgliedsstaaten sollen auf jeden Fall Zugriff auf VIS haben.
2. Europol soll Zugriff auf VIS haben.
3. Aber natürlich nur, wenn sie Terrorismus schreiben können. VIS soll erstmal keine "regular crime fighting database" werden.

Zu diesem Zweck sollten Daten zu 20 Millionen Visa-Anträgen pro Jahr gespeichert werden, inklusive Fingerabdrücke. Bei einer Speicherfrist von fünf Jahren rechnete die Kommission mit 70 Millionen Fingerabdrucksätzen, die in VIS vorliegen sollen. Um das Nehmen von Fingerabdrücken mit dem Vorsatz "individuals whose data are processed in the VIS [...] are to be treated as innocent individuals and not as suspects in a criminal investigation" (15142/05, S. 6) zusammenzubringen, forderte der Rat die Mitgliedsstaaten auf, "to lay down effective, proportionate and dissuasive sanctions to be imposed in case of infringement of data protection provisions, including criminal sanctions for particularly serious and intentionally committed infringements," was durch einen jährlichen Audit unterstützt werden soll. Ob der Rat an diese Sorte Märchen glaubte, ist nicht überliefert.

2008 verabschiedeten Rat und Parlament dann die Verordnung 767/2008, die die Rechtsgrundlage von VIS darstellt.

2009 wird beschlossen, VIS von der IT-Agentur betreiben zu lassen, die auch SIS betreiben soll.

VIS nach Verordnung

VIS ist geregelt in Verordnung 767/2008; hier ist das als VISV abgekürzt.

Grundsätzlich folgt VIS in vielem SIS, insbesondere in der Struktur einer zentralen Datenbank, die national gespiegelt wird (VISV Art. 28). Allerdings scheint es, als sei bei VIS nur ein Übergabepunkt ("NI-VIS", national interface) definiert und die Systeme dahinter je nach Staat unterschiedlich (Art. 28 (4)).

Hinter dem national interface sitzt eine nationale Kontaktstelle analog zu den SIRENEn. Offenbar waren die Erfahrungen mit Murks bei VISION so traumatisierend, dass Art. 26 (5) allerlei eigentlich selbstverständliche Forderungen an die nationalen Kontaktstellen formuliert ("back up and guarantee the continuous functioning").

VIS untersteht der Kommission (Art. 26).

Artikel 5 und 8-14 VISV regeln, welche Daten über die Menschen gespeichert werden sollen:

• Eine Antragsnummer (aus dem Visumsantrag), ggf. Visumnummer
• Statusinformation (Visum beantragt, erteilt, zuückgezogen, verweigert, verlängert)
• Stelle, die den Antrag angenommen bzw. das Visum erteilt, verweigert oder zurückgezogen hat

• ggf. EinladerIn: Name und Adresse

• Namen, Geschlecht, Geburtsdatum, Geburtsort (I)

• Beruf, Arbeitsstelle (etwa auch: Schule, Uni bei SchülerInnen und Studis)

• Bei Minderjährigen Namen der Mutter und des Vaters (I)
• Nationalität, aktuell und bei der Geburt (I)
• Ausweispapiere mit Details zu Ausstellung und Gültigkeit (I)
• Visumtyp, Gebiet, für das das Visum gültig ist, Gültigkeit
• Reiseziel und -zweck, geplante Aufenthaltsdauer, Einreisedatum, Ausreisedatum
• Eintrittsort
• Wohnort (I)
• Fotografien (bereits bei der Antragstellung)
• Fingerabdrücke (bereits bei Antragstellung!)
• ggf. Verweigerungsgründe (z.B. gefälschte Papiere, Risiko illegaler Immigration, SIS-Ausschreibung, "Terrorliste" usf).

Diese Daten müssen von den Behörden, die Visa ausstellen, in VIS eingegeben werden, und zwar für alle Mitreisenden (VISV, Art. 8).

Zugiff haben

• die Visumbehörden der Mitgliedsstaaten (VISV, Art. 6, wobei Art. 15 noch sagt, welche Felder suchbar sein sollen); wenn VIS mal läuft, wird eine Liste der berechtigten Behörden veröffentlicht.
• die Grenzbehörden (Art. 18), die über Visumsnummer oder Fingerabdruck suchen und reglär Status, Fotos und Gültigkeitsdaten kriegen, aber Wunsch aber auch mehr.
• Polizeien im Scheninneren (Art. 19); sie werden im Wesentlichen wie Grenzbehörden behandelt, nur, dass nicht vorgeschrieben ist, dass sie drei Jahre nach VIS-Start über Fingerabdrücke zugreifen müssen.
• Asylbehörden suchen auch über Fingerabdrücke oder, wenn "the search with the fingerprints fail", mit fast allem anderen. Sie sollen so rauskriegen, wo jemand eingereist ist und wer den "Fall an der Backe" hat (Art. 21), oder ob es einfache Gründe gibt, das Ayslverfahren gleich abzubrechen (Art. 22). Sie bekommen einfache Daten über eventuelle Visa zurück. Das ganze soll über die nationalen Zentralstellen laufen, es ist also offenbar erstmal nicht dran gedacht, dass die Asylbehörden direkten Zugriff auf VIS haben.

Speicherfrist (ab letzter Änderung des Datensatzes) in VIS ist fünf Jahre (Art. 23); das ist keine Aussonderungsprüffrist, es muss also gelöscht werden. Ebenfalls gelöscht wird nach Einbürgerung (Art. 25).

VISV kennt umfangreiche Informationspflichten der Behörden gegenüber ihren Opfern (Art. 37: Information über Speicherung, ihren Zweck, das Auskunftsrecht usf). Das Auskunfts- und Berichtigungsrecht steht in Art. 38; merkwürdig ist die Regelung "Each Member State shall record any requests for such access." Was bedeutet das? Warum diese Regelung? An wen Auskunftsersuchen zu stellen sind, ist erstmal unklar, aber der BfDI wäre nach Art. 39 (2) wohl die erste Adresse. Er darf auch eine Kontrolle der Speicherungen aus der BRD vornehmen (Art. 41). Das ganze Ding hingegen soll nicht von einer JSB (wie bei SIS und Europol) begutachtet werden, sondern von einem "European Data Protection Supervisor" (Art. 42).

Die Daten in VIS sollen zweckgebunden sein, können aber in andere Systeme kopiert werden (Art. 30), wenn diese den Zweck von VIS erfüllen. Angesichts von Zwecken wie "innere Sicherheit" dürfte das kein Hindernis sein. Auch an Drittstaaten können Daten übermittelt werden (Art. 31), allerdings nur die in der Liste oben mit I markierten Daten.

Zwecks der Datenschutzkontrolle sollen sämtliche Operationen an VIS mit Zweckbestimmung geloggt werden, also insbesondere auch Abfragen. Offenbar wollten die Gesetzesmacher dokumentieren, wie ernst sie es meinen (oder hatten wirklich keine Sorge, dass je wer nachguckt); jedenfalls sollen die Zugriffsprotokolle ein Jahr länger aufgehoben werden als die betreffenden Daten, was wohl die längste vorgeschriebene Speicherfrist für Log-Dateien überhaupt ist (Art. 34).

VISV ist insofern bemerkenswert, als Haftungsregeln in Art. 33 formuliert werden. Die sind zwar selbstverständlich und in der Regel ohnehin kaum einklagbar, aber es sieht doch gut aus. Art. 36 betont nochmal, dass Missbrauch von VIS strafbar sein muss. Schade, dass das Papier den Streicherteppich dazu nicht hergibt.

VIS wird physikalisch in Straßburg stehen, mit einem Backup in Sankt Johann im Pongau/Österreich (VISV Art. 27); das deckt sich mit den Plänen für SIS II.

Datenbanken EU