(1) Das nach § 16 Absatz 1 Satz 1 und 2 erhobene biometrische Lichtbild des Ausländers darf mit allgemein öffentlich zugänglichen personenbezogenen Daten aus dem Internet mittels einer automatisierten Anwendung zur Datenverarbeitung biometrisch abgeglichen werden, wenn der Ausländer keinen gültigen Pass oder Passersatz besitzt, der Abgleich für die Feststellung der Identität oder Staatsangehörigkeit des Ausländers erforderlich ist und der Zweck der Maßnahme nicht durch mildere Mittel erreicht werden kann. Ein Abgleich mit Daten nach Satz 1 aus im Internet allgemein öffentlich zugänglichen in Echtzeit erhobenen Daten ist ausgeschlossen.
(2) Liegen tatsächliche Anhaltspunkte für die Annahme vor, dass durch eine Maßnahme nach Absatz 1 Satz 1 allein Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt werden, ist die Maßnahme unzulässig. Erkenntnisse aus dem Kernbereich privater Lebensgestaltung, die durch den Abgleich erlangt wurden, dürfen nicht verwertet werden. Aufzeichnungen hierüber sind unverzüglich zu löschen. Die Tatsache ihrer Erlangung und Löschung ist aktenkundig zu machen. Bei Maßnahmen nach Absatz 1 Satz 1 ist, soweit möglich, technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden.
(3) Die Treffer des Abgleichs sind durch Inaugenscheinnahme zu überprüfen. Zweifel an der Richtigkeit der Treffer gehen nicht zu Lasten des Ausländers.
(4) Die im Rahmen des Abgleichs nach Absatz 1 erhobenen Daten sind nach Durchführung des Abgleichs unverzüglich zu löschen, sobald sie für die Feststellung der Identität oder Staatsangehörigkeit nicht mehr erforderlich sind. Die Weiterverarbeitung der beim Abgleich erhobenen Daten zu anderen Zwecken ist unzulässig. Der Abgleich, das Ergebnis des Abgleichs und das Löschen von Daten sind in der Asylakte zu dokumentieren.
(5) Bei jeder Maßnahme nach Absatz 1 sind die Bezeichnung der eingesetzten automatisierten Anwendung zur Datenverarbeitung, der Zeitpunkt ihres Einsatzes, die Organisationseinheit und die Person, die die Maßnahme durchführen, zu protokollieren. Nach Beendigung einer Maßnahme nach Absatz 1 ist die Stelle zu unterrichten, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz bei öffentlichen Stellen zuständig ist.
(6) Die betroffene Person ist über den Zweck, den Umfang und die Durchführung des biometrischen Abgleichs vorab in verständlicher Weise zu informieren. Bestehen auf Grund der Maßnahme nach Absatz 1 Anhaltspunkte, dass die betroffene Person die erforderlichen Angaben zu ihrer Identität nicht, nicht richtig oder nicht vollständig gemacht hat, ist diese hierzu anzuhören.
(7) Durch geeignete technische und organisatorische Maßnahmen ist sicherzustellen, dass kein unberechtigter Zugriff auf die erhobenen Daten erfolgt und insbesondere der Herkunftsstaat des Ausländers sowie Drittstaaten, in denen der Ausländer eine Verfolgung oder einen ernsthaften Schaden zu befürchten hat, keine Kenntnis über die Maßnahme nach Absatz 1 erlangen.
(8) Für die in den Absätzen 1 bis 7 genannten Maßnahmen ist das Bundesamt zuständig. Es hat dabei sicherzustellen, dass diskriminierende Algorithmen weder herausgebildet noch verwendet werden. Soweit technisch möglich, muss die Nachvollziehbarkeit des verwendeten Verfahrens sichergestellt werden.
(9) Soweit zur Durchführung des Abgleichs nach Absatz 1 Dritte im Wege der Auftragsverarbeitung für das Bundesamt tätig werden, müssen diese ihren Sitz in der Europäischen Union oder einem Schengen-assoziierten Staat haben. Die Übermittlung personenbezogener Daten zur Durchführung der Maßnahme nach Absatz 1 ist nur innerhalb der Europäischen Union, einschließlich der Schengen-assoziierten Staaten, zulässig. Die Weiterverarbeitung durch Dritte von personenbezogenen Daten, die aus Maßnahmen nach Absatz 1 erlangt wurden, ist ausgeschlossen. Personenbezogene Daten werden nur an solche Personen übermittelt, die Amtsträger oder für den öffentlichen Dienst besonders Verpflichtete sind oder die zur Geheimhaltung verpflichtet worden sind. § 1 Absatz 2, 3 und 4 Nummer 1 des Verpflichtungsgesetzes ist auf die Verpflichtung zur Geheimhaltung entsprechend anzuwenden. Durch organisatorische und technische Maßnahmen ist zu gewährleisten, dass die Daten gegen unbefugte Kenntnisnahme geschützt sind.
(10) Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit führt Kontrollen bezüglich der Datenverarbeitung der Maßnahme nach Absatz 1 Satz 1 mindestens alle zwei Jahre durch.
(11) Die Bundesregierung bestimmt vor dem Einsatz von Maßnahmen nach Absatz 1 durch Rechtsverordnung ohne Zustimmung des Bundesrates nach Anhörung der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit das Nähere zu dem technischen Verfahren, den Sicherungsmaßnahmen zur Verhinderung unbefugter Datenzugriffe und, soweit eine Speicherung der abzugleichenden, allgemein öffentlich zugänglichen Lichtbild- und Videodateien für die Durchführung von Maßnahmen nach Absatz 1 technisch erforderlich ist, nähere Vorgaben zu Art, Umfang und Dauer. In der Rechtsverordnung nach Satz 1 bestimmt sie insbesondere
- 1.
Eingabe- und Zugangsberechtigung,
- 2.
Speicher- und Löschfristen,
- 3.
Art der zu speichernden Daten,
- 4.
Personenkreis, der von der Speicherung betroffen ist,
- 5.
Dauer der Speicherung,
- 6.
Protokollierung.