„Das Gutachten liest sich, als wäre die Generalanwältin in einer anderen Verhandlung gewesen als wir. Selbst die Anwältin des EU-Rats hat in der mündlichen Verhandlung teilweise die Schwächen der Verordnung eingestanden, nachdem die Richter.innen wiederholt nachgefragt haben. Die Generalanwältin klammert jetzt die offensichtlichen Probleme einfach aus.“, sagt Julia Witte von Digitalcourage.
Die Fingerabdruckpflicht in Personalausweisen ist eine unverhältnismäßige Einschränkung der Europäischen Grundrechtecharta und insbesondere den in Artikel 7 und 8 festgeschriebenen Grundrechten auf Achtung des Privatlebens und des Schutzes personenbezogener Daten. Diese Einschränkung wird mit Sicherheitsmerkmalen für Personalausweise zur Reduzierung von Fälschungen begründet. Dabei wurde im Verfahren eindeutig dargelegt, dass die Speicherung von Fingerabdrücken dazu nicht geeignet ist. Insbesondere da es sich nach Art. 9 Abs. 1 DSGVO bei biometrischen Daten um besonders schützenswerte Daten handelt. Außerdem gibt es andere, weniger invasive Mittel, um das Fälschen von Ausweisdokumenten zu erschweren: Zum Beispiel komplexere Druckverfahren oder 3D-Hologramme auf dem Dokument.
In ihren Schlussanträgen erkennt die Generalanwältin an, dass Fälschungen auch bei Personalausweisen mit gespeicherten Fingerabdrücken nicht ausgeschlossen werden können. Für sie ist es ausreichend, dass die Fingerabdrücke das Fälschungsrisiko verringern (Randnummer 83–86). Das wirft unsere sensiblen biometrischen Merkmale in die Waagschale für ein Katz-und-Maus-Spiel zwischen Behörden und Fälschungswerkstätten.
„Die Frage ist nicht ob, sondern wann das schief geht und die biometrischen Daten in die falschen Hände geraten. Die Konsequenzen für einen kurzfristigen Vorsprung der Sicherheitsbehörden vor Fälschungswerkstätten müssen dann Millionen EU-Bürger.innen tragen – für den Rest ihres Lebens.“, erklärt Konstantin Macher von Digitalcourage.
Dieser Grundrechtseingriff ist unverhältnismäßig und nicht notwendig, da die Sicherheit des Ausweises nach Auskunft des Bundesamt für Sicherheit in der Informationstechnik (BSI) schon alleine „durch die physischen Sicherheitsmerkmale gegeben” ist.
Keine Liebe für die DSGVO
Auf den Personalausweisen werden Bilder des gesamten Fingerabdrucks gespeichert. Das entspricht nicht dem in der Datenschutzgrundverordnung (DSGVO) festgelegten Prinzip der Datenminimierung bzw. Datensparsamkeit. Denn es gäbe auch datensparsamere Methoden, Fingerabdrücke abzugleichen, für die nur bestimmte Teilinformationen der Abdrücke nötig wären. Die Speicherung des gesamten Abdrucks auf den Ausweisen erhöht das Risiko des Identitätsdiebstahles, falls es zu einem Datenleck kommt. Eine zentrale Frage des Verwaltungsgerichtes Wiesbaden an den EuGH war deshalb, ob eine weniger invasive Methode möglich gewesen wäre, um diesen Anforderungen der DSGVO gerecht zu werden. In den Schlussanträgen beantwortet die Generalanwältin diese Frage nicht überzeugend: Sie verkehrt die Idee, weniger Daten zu speichern hier ins Gegenteil, indem sie behauptet, es müsse eine „umfassendere Datenverarbeitung“ vorgenommen werden, um aus den Vollbildern die Teilinformationen zu erstellen (Randnummer 92).
„Das führt an der Realität vorbei. Man könnte schon beim Erfassen der Fingerabdrücke die Muster berechnen und müsste die Vollbilder dann erst gar nicht speichern.”, meint Julia Witte von Digitalcourage.
Insgesamt wird die Bedeutung der europäischen Datenschutzgrundverordnung (DSGVO) in den Schlussanträgen nicht ausreichend wertgeschätzt. Die DSGVO ist mehr als eine EU-Verordnung unter vielen: sie kodifiziert europäische Grundrechte, insbesondere aus Artikel 7 (Privatleben) und Artikel 8 (Datenschutz). Das heißt: diese Grundrechte gehören zum Kern des europäischen Rechts und werden in der DSGVO nur verschriftlicht. Die Schlussanträge der Generalanwältin behandeln die von der DSGVO geschützten Lebensbereiche aber nur als zweitrangig und berücksichtigen sie daher nicht ausreichend. Nur so ist zu verstehen, dass die Generalanwältin die gesetzlich vorgeschriebene Folgenabschätzung als nicht erforderlich betrachtet (Randnummer 115).
Schlussanträge ignorieren Sicherheitslücken
Die der Fingerabdruckpflicht zugrunde liegende EU-Verordnung lässt zu, dass die Fingerabdrücke auch für andere Zwecke als die Ausweiserstellung genutzt werden können, wenn ein EU-weites oder ein nationales Gesetz das vorsieht. Die Fingerabdrücke werden keineswegs sofort gelöscht, wenn der Personalausweis hergestellt worden ist. Sie können bis zu 90 Tagen lang weiter gespeichert werden. Auf diese Fingerabdrücke kann dann auf der Grundlage nationalen Rechts zugegriffen werden, etwa auf der Grundlage der Vorschriften über die Durchsuchung nach den Polizeigesetzen und der Strafprozessordnung. EuGH Richter Dannwitz hatte in der Verhandlung die Frage gestellt, ob hier nicht über den Personalausweis millionenfach Fingerabdrücke erhoben werden, auf die dann die staatlichen Behörden zugreifen können. Auf diese weit offen stehende Hintertür zur Zweckentfremdung der sensiblen biometrischen Daten gehen die Schlussanträge nur unzureichend ein. Die Generalanwältin sieht den EuGH bisher nicht als zuständig für die Überprüfung dieser Gefahr an, obwohl das Risiko der Zweckentfremdung erst durch diese Regelung entsteht (Randnummer 104–107).
„Die Verordnung zeichnet den Bauplan für eine Hintertür, über den die gespeicherten Fingerabdrücke für andere Zwecke verwendet werden können, überlässt den Einbau aber anderen Gesetzen. Es greift zu kurz, sich hier aus der Verantwortung zu ziehen, frei nach dem Motto: Hier ist die Waffe, aber ich habe nichts damit zu tun, wenn du damit schießt. Diese Argumentation ist für uns völlig unverständlich.“, Konstantin Macher, Digitalcourage.
In den bis zu 90 Tagen, in denen die Abdrücke bei den Behörden gespeichert werden, könnten außerdem die Behörden gehackt und die Daten gestohlen werden. Diese klaffenden Sicherheitslücken haben auch die EuGH-Richter.innen während der mündlichen Verhandlung festgestellt und mehrfach nachgefragt, ob der Gesetzgeber diese Risiken nachvollziehbar abgewogen hat. Eine befriedigende Antwort konnte keine der anwesenden Parteien geben. Die Generalanwältin klammert das Problem nun einfach aus, indem sie sagt, dass Daten bei Behörden sehr sicher gespeichert werden müssen. Leider zeigt die Erfahrung, dass es immer wieder zu Angriffen auf Behörden kommt, bei denen sensible Informationen entwendet werden. Auch der missbräuchliche Zugriff auf Daten durch die Behörden selbst kann nicht alleine dadurch ausgeschlossen werden, dass er nicht erlaubt ist.
Ausgang des Verfahrens offen
Einen Termin für die Urteilsverkündung des Europäischen Gerichtshofs gibt es noch nicht. Die Richter.innen sind bei ihrem Urteil nicht an die Schlussanträge der Generalanwältin gebunden.
Digitalcourage zeigt sich zuversichtlich, dass die Richter.innen des EuGH im Urteil den europäischen Grundrechten ein stärkeres Gewicht geben werden.
„In der Verhandlung haben mehrere Richterinnen und Richter die Gefahren für die Sicherheit meiner biometrischen Daten sehr ernst genommen. In der Anhörung waren sie von den Sicherheitslücken sichtlich irritiert. Wir setzen darauf, dass das Urteil diese Punkte berücksichtigen wird.”, sagt Detlev Sieber, Kläger und Geschäftsführer von Digitalcourage
Hintergrund
Seit August 2021 gilt in Deutschland: Wer einen neuen Personalausweis beantragt, muss verpflichtend die Fingerabdrücke beider Zeigefinger scannen und speichern lassen. Das Gesetz, das dies Speicherpflicht in Deutschland regelt, ist die Umsetzung einer EU-Verordnung. Gegen diese Verordnung klagt Digitalcourage vor dem EuGH.
Unser Kläger Detlev Sieber, Geschäftsführer von Digitalcourage, hat im November 2021 einen Personalausweise ohne gespeicherte Fingerabdrücke beantragt. Das Verwaltungsgericht Wiesbaden, an das der Fall daraufhin übergeben wurde, ist unserer Argumentation gefolgt und hat uns mit unserer Klage direkt an den Europäischen Gerichtshof verwiesen (Aktenzeichen C-61/22). Dort wird nun entschieden, ob die Speicherpflicht – mit Wirkung für alle EU-Staaten – gekippt wird.
Weiterführende Informationen zum Thema
Schlussanträge der Generalanwältin:
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:62022CC0061
Unsere juristische Argumentation:
https://digitalcourage.de/blog/2021/fingerabdruecke-klage-juristische-argumentation
Vorlagebeschluss des Verwaltungsgerichtes Wiesbaden:
https://digitalcourage.de/blog/2022/fingerabdruckpflicht-wird-eugh-vorgelegt
Übersichtsseite mit unseren Argumenten und allen wichtigen Dokumenten:
https://digitalcourage.de/keine-fingerabdruecke-personalausweis
Digitalcourage engagiert sich seit 1987 für Grundrechte, Datenschutz und eine lebenswerte Welt im digitalen Zeitalter. Wir sind technikaffin; doch wir wehren uns dagegen, dass unsere Demokratie „verdatet und verkauft“ wird. Wir klären auf und mischen uns in Politik ein. Digitalcourage ist gemeinnützig, finanziert sich durch private Spenden und lebt durch die Arbeit vieler Freiwilliger. Seit 2000 verleiht Digitalcourage jährlich die BigBrotherAwards.
digitalcourage e.V.
Marktstraße 18
33602 Bielefeld
Telefon: +49 (521) 16391639
Telefax: +49 (521) 61172
http://digitalcourage.de
Telefon: +49 (521) 1639-1639
E-Mail: presse@digitalcourage.de
Telefon: +49 (521) 1639-1639
E-Mail: presse@digitalcourage.de