Bundesregierung Entwurf eines Gesetzes zur Weiterentwicklung der Digitalisierung in der Migrationsverwaltung Innenausschuss des Deutschen Bundestages; Ausweitung der Speicherung sensibler Daten im AZR

Vorblatt Ausschussdrucksache 21(4)167 G

Dem Ausschuss ist das vorliegende Dokument in nicht barrierefreier Form zugeleitet worden.

  1. Wahlperiode Innenausschuss Schriftliche Stellungnahme von Hans-Hermann Schild, Vorsitzender Richter am VG a.D. vom
  2. Mai 2026

Öffentliche Anhörung

Gesetzentwurf der Bundesregierung Entwurf eines Gesetzes zur Weiterentwicklung der Digitalisierung in der Migrationsverwaltung

BT-Drucksache 21/4080

Ausschussdrucksache 21(4)167 G vom 4. Mai 2026 21. Wahlperiode Innenausschuss

1

Hans-Hermann Schild

03.05.2026 Vorsitzender Richter am VG a.D. Wissenschaftlicher Mitarbeiter Universität Kassel Fachgebiet Öffentliches Recht, IT-Recht und Umweltrecht Lehrbeauftragter an der FernUniversität Hagen

An den Amtierenden Vorsitzenden des Innenausschusses des Deutschen Bundestages Herrn Josef Oster, MdB

Betr.: Gesetzentwurf der Bundesregierung Entwurf eines Gesetzes zur Weiterentwicklung der Digitalisierung in der Migrationsverwaltung (Migrationsverwaltungsdigitalisierungsweiterentwicklungsgesetz – MDWG) BT-Drucksache 21/4080 hier: Öffentliche Anhörung am Montag, 4. Mai 2026, 12.00 Uhr

Sehr geehrter Herr Vorsitzender,

sehr geehrte Damen und Herren Abgeordnete,

zu dem o.g. Gesetzentwurf möchte ich innerhalb des sehr kurzen Zeitfensters1 folgendes bemerken:

  1. Allgemeines

Das Ausländerzentralregister (AZR) enthält eine Vielzahl personenbezogener Daten und soll durch die Speicherung und die Übermittlung der im Register gespeicherten Daten von Ausländern die mit der Durchführung ausländer- oder asylrechtlicher Vorschriften betrauten Behörden und andere Stellen unterstützen (§ 1 Abs. 2 AZR- Gesetz). Damit werden eine Vielzahl personenbezogener Daten verarbeitet. Grundlage für ein solches nationales Regelwerk ist nunmehr spätestens seit Geltung der DS-GVO, also seit acht Jahren, Art. 6 Abs. 1 UAbs. 1 lit. e i.V. m. Abs. 3 DS-GVO.

Hiernach kann durch eine nationale Rechtsgrundlage die Verarbeitung personenbezogener Daten geregelt werden. Dabei muss der Zweck der Verarbeitung in dieser Rechtsgrundlage festgelegt und hinsichtlich der Verarbeitung gemäß Absatz 1 lit.

1 Die Ladung als Sachverständiger erfolgte am 30. April 2026.

2

e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Nach dem Wortlaut „kann“ diese Rechtsgrundlage spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften der DS-GVO enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und – verfahren angewandt werden dürfen, einschließlich der Maßnahmen zur Gewährleistung einer rechtmäßigen und nach Treu und Glauben erfolgenden Verarbeitung. Dabei muss das Recht des Mitgliedstaats ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.

Das nationale Recht hat dabei Art. 8 GRCh zu beachten, welcher nur im Rahmen des Art. 52 GRCh beschränkt werden kann. Dabei hat der nationale Gesetzgeber darauf zu achten, dass das Unionsrecht so angewendet wird, dass dieses seine praktische und volle wirksamkeit entfalten kann. Hergeleitet wird dieser Effet-utile-Grundsatz aus dem Loyalitätsgebot des Art. 4 Abs. 3 EUV2, dies mit der Folge, dass die Verwaltungsbehörden das Prinzip des Vorrangs des Unionsrechts und dessen effektiver Durchsetzung konsequent anzuwenden haben. Dies gilt auch für die Gerichte, welche ein unbeschränktes Recht und sogar die Pflicht zur Vorlage an den europäischen Gerichtshof im Rahmen des Vorabentscheidungsmechanismus gemäß Art. 267 AEUV haben.

Insoweit ist bedauerlich, dass - soweit ersichtlich - sich bisher bei keiner Änderung des AZR-Gesetzes aus der amtlichen Begründung der Bundesregierung auch nur im Ansatz ergibt, inwieweit europäisches Recht, vorliegend insbesondere Artikel 8 GRCh i.V.m. der DS-GVO (vgl. Art. 2 Abs. 2 DS-GVO), beachtet wurden.

  1. Zu dem Entwurf im Einzelnen

Der vorliegende Gesetzentwurf folgt dem GEAS-Anpassungsfolgegesetz vom 23.4.2026.3 Ziel des vorliegenden Entwurfes ist es, die Digitalisierung in der Migrationsverwaltung4 weiterzuentwickeln. Dies wird zugleich damit verbunden, dass weitere Daten (auch besondere Kategorien personenbezogener Daten gemäß Art. 9 DS-GVO) im AZR gespeichert werden sollen. 5

2 Dazu Schild/Horlbeck, Der Datenschutzverstoß, § 3 A. II, Rn. 11 . 3 Gesetz zur Änderung des AZR-Gesetzes und weiterer Gesetze infolge der Anpassung des nationalen Rechts an das Gemeinsame Europäische Asylsystem (GEAS-Anpassungsfolgegesetz) vom 23. April 2026, BGBl. Nr. 112 vom 28.04.2026. 4 Der Begriff Migrationsverwaltung ist eigentlich falsch - ja irreführend -, da Polizeibehörden, Staatsanwaltschaften und Gerichte sowie andere Leistungsträger mit erfasst werden. 5 „Die im AZR-Gesetz vorgesehen Änderungen erstaunen, zeugen sie von einem ungebrochenen Glauben, mit Hilfe der EDV alle Probleme lösen zu können. Erinnert man sich an die Entstehung des AZR-Gesetzes zurück, so wäre eine Aufnahme der meisten nun geplanten Informationen auf blankes Entsetzen gestoßen. Mithin zeigt der Gesetzentwurf sehr deutlich eine gesellschaftliche Weiterentwicklung mit vielleicht „ungebremstem" Glauben an die EDV als Allheilmittel.“ (Schild, Stellungnahme zur Sitzung des Innenausschusses am 11.01.2016, A-Drs. 18(4)472 B, S. 4). Diese Aussage ist 10 Jahren alt und bezieht sich auf das Datenaustauschverbesserungsgesetz, erscheint aber immer noch aktuell.

3

a) Informationsaustausch Strafverfahren

Es ist nicht zu erkennen, dass im Zusammenhang mit der weiteren Digitalisierung des AZR der Grundsatz der Datenminimierung (Art. 25 Abs. 1 DS-GVO) auch nur im Ansatz beachtet worden ist.

Zwar soll gemäß § 1 Abs. 1 AZR-Gesetz das Bundesverwaltungsamt als Auftragsverarbeiter tätig sein, nach diesseitigem Kenntnisstand bedient sich das Bundesverwaltungsamtes aber wiederum eines Unterauftragsverarbeiters, welcher allerdings wiederum wohl der Bundesverwaltung zuzurechnen ist. Tatsächlich handelt es sich bei dem AZR um ein gemeinsames Verfahren nach Art. 26 DS-GVO mit sehr vielen Verantwortlichen.6

Bei den inzwischen in das AZR einzustellenden Daten handelt es sich um eine riesige Datenbank mit personenbezogenen Daten, welche auch das Angriffsziel von Externen sein kann. Neben biometrischen Daten gemäß Art. 9 DS-GVO (dazu bezüglich des aktuellen Entwurfes unten) sollen nicht nur personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gespeichert werden, sondern auch bereits Informationen über die Einleitung eines Ermittlungsverfahrens. Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten darf jedoch nur erfolgen, wenn das Recht des Mitgliedstaats geeignete Garantien für die Rechte und Freiheiten der betroffenen Person vorsieht, Art. 10 DS-GVO. Dies gilt erst Recht für Ermittlungsverfahren, da hier die Unschuldsvermutung gilt.

Dass geeignete Garantien vorliegen, ist nicht zu erkennen. Zwar regelt § 87 Abs. 4 AufenthaltG, dass die für die Einleitung und Durchführung eines Straf- oder eines Bußgeldverfahrens zuständigen Stellen die zuständige Aufsichtsbehörde unverzüglich über die Einleitung eines Strafverfahrens sowie die weiteren Ergebnisse zu unterrichten haben. Dabei wird in der Gesetzesbegründung auf Nummer 42 MiStra Bezug genommen. Bei den Mitteilungen für Strafsachen handelt es sich jedoch um eine reine Verwaltungsvorschrift, welche keine Rechtsgrundlage im Sinne von Art. 8 JI-Richtlinie7 ist.

Wenn nun die Daten im Zusammenhang mit strafrechtlichen Ermittlungen auch an das AZR übermittelt werden sollen, bedarf dies einer klaren gesetzlichen normierten Regelung entsprechend der JI-Richtlinie. Dabei stellt sich bereits die Frage der „Verhältnismäßigkeit“ nach Art. 52 GRCh, also der „Angemessenheit“. Dass es bei jeder Einleitung eines jeglichen Strafverfahrens einer Übermittlung an die Ausländerbehörde bedürfte, ist mehr als zweifelhaft. Insoweit fehlt es bereits an einer Erforderlichkeit, was letztendlich einen schwerwiegenden Eingriff in die Rechte der Betroffenen darstellt. Verstärkt wird dies, wenn die Daten im AZR nun einem größeren Kreis als der alleinig zuständigen Ausländerbehörde zugänglich gemacht werden oder diese Informationen im AZR verbleiben.

6 BeckOK DatenschutzR/Schild, 55. Ed. 1.2.2026, DS-GVO Art. 4 Rn. 93 ff. 7 RICHTLINIE (EU) 2016/680 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl.EU L 119 vom 4.5.2016, S. 89. Zur Abgrenzung beider Normkomplexe siehe BeckOK DatenschutzR/Schild, 55. Ed. 1.2.2026, DS-GVO Art. 4 Rn. 93.

4

Die europäischen Anforderungen an den nationalen Gesetzgeber erfüllt die geplante Änderung von § 87 AufenthG unter Art. 3 Nr.10 b) MDWG-E nicht.

Soweit die zuständige Ausländerbehörde nach Abruf der Daten aus dem AZR diese im AZR unverzüglich löschen soll, erscheint schon fraglich, wie dies in der Praxis dann tatsächlich umgesetzt werden wird. Im Rahmen einer Digitalisierung müsste dann auch eine automatische Löschroutine eine Löschung der Daten im AZR sicherstellen. Andernfalls verbleiben diese Mitteilungen im AZR, was gegen den Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DS-GVO verstößt.

Zwar sollen auch Ordnungswidrigkeitenverfahren gemeldet werden, der Gesetzentwurf lässt jedoch vollständig offen, welche Ordnungswidrigkeitenverfahren im Einzelnen gemeldet werden sollen.8 Zu beachten ist dabei, dass entgegen § 45 BDSG Ordnungswidrigkeitenverfahren nicht unter die JI-Richtlinie fallen (Art. 2 lit. d DS-GVO enthält keine Ordnungswidrigkeitenverfahren)9, sondern der Umgang - also die Verarbeitung dieser personenbezogenen Daten - sich nach der DS-GVO richtet.

Es wird angeregt, hinsichtlich des geplanten elektronischen Austausches eine Rechtsgrundlage zu schaffen, welche europarechtskonform ist und nicht gegen Art. 52 GRCh verstößt, sondern gerade eine wirksame Einschränkung von Art. 8 GRCh gemäß Art. 52 GRCh darstellt. Andernfalls sollte man die hier geplanten Regelungen derzeit nicht weiter verfolgen, da sie gegebenenfalls ansonsten europarechtlich unangewendet zu lassen wären. Dies müssten insbesondere die Staatsanwaltschaften prüfen.

b) Biometrische Daten (Fingerabdrücke und Lichtbilder)

Biometrische Daten sind Daten, die mit speziellen technischen Verfahren gewonnen worden sind, um die eindeutige Identifizierung einer natürlichen Person zu ermöglichen oder zu bestätigen; hierunter fallen Gesichtsbilder oder daktyloskopische Daten (Fingerabdrücke), Art. 4 Nr. 14 DS-GVO. Diese sollen zur Verlängerung oder Änderung eines elektronischen Aufenthaltstitels länger gespeichert werden. Eine solche Regelung fällt unter Art. 9 Abs. 2 DS-GVO. Gleiches ist im Visaverfahren angedacht.

Elektronische Aufenthaltstitel sind Dokumente mit Chip nach § 78 Absatz 1 AufenthG (Anlage D 14a