Spenden

Dieser Artikel ist mehr als 11 Jahre alt.

Urteil des Europäischen Gerichtshofes zu biometrischen Personalausweisen ignoriert Datenschutz

Letzte Woche hat der Gerichtshof der EU ein medial weitgehend unbeachtetes Urteil zu biometrischen Daten veröffentlicht. Das Urteil ist mehr als bedenklich, da es komplett den Einfluss des Datenschutzes auf die Erstellung biometrischer Ausweise verkennt. Zur Vorgeschichte: Der Niederländer W. P. Willems hatte die Ausstellung eines Reisepasses beantragt.

  • Anna Biselli
Anna Biselli
23
Sensibles biometrisches Merkmal: Fingerabruck in Ausweisen - CC BY-SA 3.0 via wikimedia

Letzte Woche hat der Gerichtshof der EU ein medial weitgehend unbeachtetes Urteil zu biometrischen Daten veröffentlicht. Das Urteil ist mehr als bedenklich, da es komplett den Einfluss des Datenschutzes auf die Erstellung biometrischer Ausweise verkennt.

Zur Vorgeschichte: Der Niederländer W. P. Willems hatte die Ausstellung eines Reisepasses beantragt. Dieser wurde ihm jedoch verweigert, da er nicht bereit war, seine Fingerabdrücke zur Verfügung zu stellen. Einer seiner Mitantragssteller versuchte selbiges für einen niederländischen Personalausweis – auch dieser wurde verweigert. Dagegen hat Willems geklagt und kritisierte insbesondere die Verletzung seines Rechts auf körperliche Unversehrheit und Privatspäre sowie die ungeklärte Frage, wer Zugang zu den gespeicherten Daten erhalte und ob eine strenge Zweckbindung durchgesetz wird. Nach Abweisung des Verfahrens durch niederländische Gerichte wurde die Klage dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt. Dabei ging es vor allem um die Frage, ob die EU-Verordnung 2252/2004 für „Normen für Sicherheitsmerkmale und biometrische Daten in von den Mitgliedstaaten ausgestellten Pässen und Reisedokumenten“ Anwendung findet. Sie regelt unter anderem die explizite Zweckbindung der biometrischen Daten.

Die Verordnung greift dem Wortlaut nach aber nur auf …

[…] von den Mitgliedstaaten ausgestellte Pässe und Reisedokumente Anwendung. Sie findet keine Anwendung auf Personalausweise, die Mitgliedstaaten eigenen Staatsangehörigen ausstellen, oder auf vorläufige Pässe und Reisedokumente mit einer Gültigkeitsdauer von zwölf Monaten oder weniger.

Da ein Personalausweis jedoch das Reisen in der EU ermöglicht, ist diese Definition schwierig. Der Gerichtshof gelangt allerdings zu der Auffassung das ein niederländischer Personalausweis trotzdem nicht in den Anwendungsbereich von 2252/2004 fällt. Die daraus gezogenen Schlüsse sind erschreckend:

Folglich ist auf die gestellten Fragen zu antworten, dass Art. 4 Abs. 3 der Verordnung Nr. 2252/2004 dahin auszulegen ist, dass er die Mitgliedstaaten nicht dazu verpflichtet, in ihren Rechtsvorschriften zu garantieren, dass die aufgrund der Verordnung erhobenen und gespeicherten biometrischen Daten nicht zu anderen Zwecken als zur Ausstellung eines Reisepasses oder Reisedokuments erhoben, verarbeitet und verwendet werden, da ein solcher Aspekt nicht in den Anwendungsbereich dieser Verordnung fällt.

Das ist ungemein kurzsichtig – eine Betrachtung des europäischen Datenschutzrechts wird vollständig außer Acht gelassen und verkennt damit dessen fundamentale Rolle bei der Erhebung, Speicherung und Verarbeitung biometrischer Daten, die übrigens in der kommenden EU-Datenschutzgrundverordung als besonders sensible Daten eingestuft werden sollen. Dabei findet europäisches Datenschutzrecht auch da Anwendung, wo die Passregulierung keine Anwendung auf Mitgliedsstaaten findet. Insbesondere in Hinblick auf ein Urteil des EuGH von 2013, das die Rechtmäßigkeit von biometrischen Merkmalen in Reisepässen vor allem dadurch legitimiert, dass…

[…] die Fingerabdrücke nur zu dem Zweck verwendet werden dürfen, die Authentizität des Reisepasses und die Identität seines Inhabers zu überprüfen. Außerdem sieht sie die Speicherung der Fingerabdrücke nur im Pass selbst vor, der im ausschließlichen Besitz seines Inhabers bleibt.

In den Niederlanden erfolgt die Speicherung auf zwei, beziehungsweise zukünftig drei verschiedenen Medien. Neben der Speicherung auf dem Pass selbst werden die Daten aktuell in einem dezentralen Register vorgehalten. Zukünftig ist die Speicherung in einem Zentralregister vorgesehen.

Schade, dass der Gerichtshof trotz dieses Hintergrundes diesmal mit so viel Ignoranz reagiert.

Über die Autor:innen

  • Anna Biselli
    Anna Biselli

    Anna ist Co-Chefredakteurin bei netzpolitik.org. Sie interessiert sich vor allem für staatliche Überwachung und Dinge rund um digitalisierte Migrationskontrolle.

    Kontakt: E-Mail (OpenPGP), Mastodon, Telefon: +49-30-5771482-42 (Montag bis Freitag jeweils 8 bis 18 Uhr).

    Foto: Darja Preuss

Veröffentlicht

Kategorie

Schlagwörter

, , , , ,

Weiterlesen

Thema

Datenschutz

Thema

Biometrie

Thema

Datenschutz

Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.

23 Kommentare zu „Urteil des Europäischen Gerichtshofes zu biometrischen Personalausweisen ignoriert Datenschutz“

  1. Michael

    ,

    Es wäre wohl kaum rechtsstaatlicher, wenn der EuGH die Richtlinie über den Wortlaut hinaus für anwendbar erklärt. Auch wenn das Ergebnis wünschenswert erscheint, bleibt der EuGH auf eine Rechtsprüfung beschränkt.

  2. Sascha

    ,

    „Da ein Personalausweis jedoch das Reisen in der EU ermöglicht, ist diese Definition schwierig.“ So ein Schwachsinn! Es gibt eine ganue Abgrenzung zwischen Personalausweis und Reisepass…

    Die Definition ist ganz einfach: Personalausweis ist es freiwillig den Fingerabdruck abzugeben – Reisepass Pflicht. Ich weiß nicht, was da so schwer dran zu verstehen ist?!

    Also bitte!

    1. Todd

      ,

      Es geht um einen niederländischen Personalausweis und Reisepass. Dort ist die Speicherung der Fingerabdrücke in beiden Dokumenten Pflicht.

  3. initiative 146

    ,

    An diesem Thema ist sogar ein Rechtsanwalt in eigener Sache gescheitert. Dieser war mit der Speicherung seiner Fingerabdrücke in seinem Reisepass nicht einverstanden und reichte daraufhin Klage beim Verwaltungsgericht Düsseldorf ein. Vier Jahre lang passierte nichts. Daraufhin zog der Kläger mit einer Beschwerde vor das Bundesverfassungsgericht, die ohne Begründung abgelehnt wurde. Erst danach war das Verwaltungsgericht bemüht, diesen Fall an den Europäischen Gerichtshof zu verweisen. Leider ohne Erfolg. Wie der betreffende Anwalt der Presse mitteilte, wird nach deutschem Recht eine dreistufige Güterabwägung vorgenommen. Für den EuGH hingegen gäbe es nur zwei Kriterien: «Erstens, ob eine Maßnahme geeignet ist, die Zielsetzung der Regierung durchzuführen; zweitens, ob die Maßnahme zum Erreichen des Ziels erforderlich ist und nicht ein milderes Urteil genügen würde. Die grundsätzliche Frage nach der Angemessenheit der Maßnahme klammere der Europäische Gerichtshof im Gegenteil zum Bundesverfassungsgericht aus.» Dies wäre, so der Kläger weiter «ein Armutszeugnis für die Gestaltung der Menschenrechte in der EU. Die Datenschutzkonvention von 1981 existiert nicht, sie steht nur noch auf dem Papier. » Die weitere Vorgehensweise dieser Odyssee ist noch nicht bekannt. Wenn das Verfahren an das Verwaltungsgericht zurückgegeben wird, wird dies dem übergeordneten EuGH folgen. Wie eine Revision nach dem EuGH aussehen soll, weiß noch keiner wirklich. Für den Kläger wurden Fakten geschaffen. Er muss einen biometrischen Reisepass mit seinen Fingerabdrücken akzeptieren oder er verzichtet auf seine Rechte als Bürger und schlichtweg auf Reisefreiheit. Ein weiterer Grund, nicht nur Regierung und Justiz zu überdenken sondern auch zu reformieren. Unserer Meinung nach muss jeder Bürger das uneingeschränkte Recht haben, sich einen Reisepass ohne biometrische Daten und ohne Fingerabdrücke ausstellen zu lassen. Auf Verlangen des Bürgers ist ein zweiter Pass mit biometrischen Merkmalen ergänzend auszustellen. Den Einreisebestimmungen kann er oder sie dann jeweils individuell Folge leisten.

    1. Sascha

      ,

      So ein Schwachsinn…

      1. Sascha

        ,

        Wenn man keine biometrischen Merkmale drauf hat (Passbild ist ja auch eins) macht ein Pass schon garkeinen Sinn mehr.

  4. Aras Abbasi

    ,

    Ich hab kein Problem mit dem Fingerabdruck im Reisepass, sofern dieser eben nicht ausgelesen oder in einem zentralen Register gespeichert werden darf/kann. Mit ausgelesen ist das runterladen des Musters gemeint. Eine Erzeugung eines Schlüssels aus dem Fingerabdruck wäre gut.
    Soweit ich weiss war Deutschland das einzige Land, das die Chance nicht ergriffen hat eine Fingerabdruckdatenbank aufzubauen… Zumindest offiziell.

    1. Sascha

      ,

      Es gibt in Deutschland keine Speicherung. Weder die Meldebehörde, noch die Bundesdruckerei speichert die Fingerabdrücke. Sie sind nur im Chip von den Ausweisen und Pässen gespeichert.

      1. ty

        ,

        Wenn es im Herstellungsverfahren des Reisepasses erforderlich ist, die Daten des Fingerabdrucks zu speichern, und das wird so sein, sei es nur um sie vom Antrag auf den Chip zu übertragen dann werden sie gespeichert. Und wenn die Daten schon mal da sind…

      2. Almöli

        ,

        Wer es klaubt wirs selig ha,ha,ha

      3. Jens

        ,

        Es ist zwar schon älter, aber noch aktuell. Wer glaubt dass die Fingerabdrücke gelöscht werden wenn sie einmal in Behördenhand sind der glaubt auch an den Weihnachtsmann. Das ist eine Vorverurteilung aller Bürger und ein Erster und weiterer Schritt hin zum Polizeistaat. Zweck ist einzig der Nachweis von Aufenthalten und das Erstellen von Bewegungsprofilen von Reisenden, sowie der Nachweis von zeitlichen und örtlichen Kontakten zwischen Personen.

        1. alte Fragen, neu betrachtet

          ,

          > Wer glaubt dass die Fingerabdrücke gelöscht werden wenn sie einmal in Behördenhand sind …

          Gegen Glauben hilft Wissen. Eine durchaus aktuelle Frage:

          In welchen Fällen müssen erfasste Fingerabdrücke gelöscht werden?
          Gibt es Höchstspeicherfristen? Werden sie beachtet? Wer kontrolliert?

          Das wär doch mal ein interessantes Thema für ein NPP, Anna?

  5. ElJenso

    ,

    Was passiert eigentlich, wenn der Chip kaputt gegangen und damit unlesbar ist? Darf man dann nicht reisen?

  6. Die Woche im Datenschutz (KW17 2015) | Externer Datenschutzbeauftragter Bayern |

    ,

    […] Urteil des Europäischen Gerichtshofes zu biometrischen Personalausweisen ignoriert Datenschutz Anna Biselli, netzpolitik.org…..  […]

  7. Datenschutz und Datenwoche: Gesundheits-Apps, Disaster Recovery, EuGH Biometrie, Cloud-Umgebung Office 365, Bestellung Datenschutzbeauftragter, Dashcam-Aufzeichnungen als Beweismittel, Bundestrojaner einsatzbereit, NSA: BND informierte Kanzleramt | Das Da

    ,

    […] Urteil des Europäischen Gerichtshofes zu biometrischen Personalausweisen ignoriert Datenschutz. Anna Biselli, netzpolitik.org… […]

  8. nerdsingetorix

    ,

    moin,
    ich möchte mal mit den gezeigten schwachsinnsvorstellungen von ausweisen,pässen u.a. aufräumen.Viele/ alle setzen deutsches recht voraus, das ist aber in ‑wieviel Länder hat die erde?- ganz anders! Us- amerikaner denken genauso, ..„an diesem wesen soll die welt genesen“..-ist aber purer kollonialismus.
    Bis zur erfindung“ der biometrie durch überwachungsfanatiker war der fingerabdruck nur
    im pässen faschistischer regimes (deutschland, paraguay…)zu finden. Auch die der usa hatten selbstverständlich KEINE.
    Und natürlich gibt es auch normale identifikations-möglichkeiten: “ krimminalistische personen- identifikation nach den merkmalen des äuszeren “
    Aber dazu gehört natürlich bildung, die bei den der polizei-ausbildung ja eingespart wird.und so wird aus einer mangelausbildung ein überwachungs-staat gezimmert.
    Was sagt der herr kollege über den rfid- chip? ‑Vollständig zu lesen bei CCC-.
    Der schnüffelchp sendet selbsttätig!Wohin, das bleibt sein geheimnis?…oder doch überall hin??
    Aber für alle , die tiefschürfende antwortenwollen- bzgl. schnüffelchip , …an Prof. U.Meyenberg, fraunhofer zentrum f. logistikforschung. Das wird alle ernüchtern!

    best regards
    Ihr, Euer nerdsingetorix

  9. Johan

    ,

    Das Urteil des Europäischen Gerichtshof verkennt tatsächlich den Einfluss des Datenschutzes und mehr im Allgemeinen das Recht auf Privatsphäre und körperliche Unversehrtheit. Es ist jedoch ein Trugschluss dass diese Verkennung mit der Feststellung das ein Personalausweis kein Reisedokument ist, zu erklären wäre. Hier liegt ein Missverständnis vor und zwar deswegen weil zur Zeit der Entstehung der EU Verordnung, der Niederländischer Personalausweis nun tatsächlich ein Reisedokument war und deswegen nicht den gleichen Status hatte wie Ausweise in Bzw. Deutschland, Frankreich, Belgien oder Spanien. Hinzu kommt noch dass vom Anfang an bei der Verabschiedung der EU Verordnung 2252/2004 eine klare Antwort ausgewichen worden ist ob die biometrischen Merkmale auch für andere Zwecke einzusetzen wären. Dies sei den Mitgliedstaaten überlassen.

    Im zweiten Weltkrieg gab es in den Niederlanden eine Ausweispflicht die jedoch nach 1945 abgeschafft wurde und somit wurde auch der Personalausweis abgeschaft. In 1994 und 2005 wurden wieder neue Ausweisverpflichtungen eingeführt doch weil ein dazugehöriger Ausweis fehlte hatte die Regierung aus pragmatische Gründen auf die bereits existierende Reisedokumenten zurückgegriffen. Mehr Einzelheiten im Buch ‚Histories of State Surveillance in Europe and Beyond’ erschienen bei Routledge Universty Press, Seite 150.
    http://cryptome.org/2014/06/histories-state-spying-eu-plus.pdf
    In 2006 wurde auch in den Niederlanden der ‚Schilypass’ mit Schnüffelchip eingeführt und ab 2009 mit Fingerabdrücken versehen die auch in Datenbanken gespeichert wurden. Als jedoch die Kritik wegen der Fingerabdruckabnahme sich verbreitete und gerichtliche Klagen eingereicht wurden, kam schließlich heraus das die gespeicherten Fingerabdrücken von sehr bedenklicher Qualität waren mit Fehlerraten von etwa 25%. Daraufhin wurde beschlossen den Status des Niederländischen Personalausweises zu ändern damit der nicht mehr unter der EU Verordnung fällt. So könnte man auf die obligatorischen Fingerabdrücke verzichten. Doch die Antragsteller hatten bereits gerichtliche Schritte eingeleitet und weil sie sich vom Gericht eine Klare Aussage erhofften, haben sie zu diesem Zweck eine Vorabentscheidung verlangt.

    Der Gerichtshof bestätigt dass Personalausweise nicht unter der Verordnung fallen aber weicht eine klare Positionierung hinsichtlich des Datenschutzes auf die Erstellung biometrischer Ausweise aus. Im Falle des Bochumer Anwalts Schwarz, hat der Gerichtshof die Abnahme von Fingerabdrücken für rechtens gehalten weil dies dem Zweck der Europäischen Verordnung entspricht, doch in der Urteilsbegründung fehlt die notwendige Beweisführung vollständig hinsichtlich der Frage warum dieser massiver Eingriff in die Privatsphäre von Millionen Europäischen Bürgern notwendig wäre. Das ist mehr als bedenklich, nicht nur wegen des Reisepasses sondern auch weil immer mehr Datenbanken mit biometrischen Merkmalen errichtet werden deren Zielsetzung nicht genau geprüft und festgelegt wird.

  10. Datenschutz: Jahresrückblick 2015 | Das Datenschutz-Blog

    ,

    […] Urteil des Europäischen Gerichtshofes zu biometrischen Personalausweisen ignoriert Datenschutz. Anna Biselli, netzpolitik.org… […]

  11. Rückblick 2015 | Externer Datenschutzbeauftragter Bayern |

    ,

    […] Urteil des Europäischen Gerichtshofes zu biometrischen Personalausweisen ignoriert Datenschutz. Anna Biselli, netzpolitik.org… […]

  12. Rainer

    ,

    Ich habe meinen Fingerabdruck speichern lassen und habe überhaupt kein Problem damit. Mir ist es viel wichtiger, das alles dafür getan wird, den Ausweis dem Inhaber zweifelsfrei zuordnen zu können. Ich denke man muss mit der Zeit gehen von daher begrüße ich so ein Urteil. Jeder hinterlässt Im Alltag massenhaft seine Fingerabdrücke. Ich kenne keinen der ständig mit Handschuhen durch die Welt geht.

    1. So wie Rainer kanns keiner!

      ,

      Na dann mach mal!

  13. Ivan

    ,

    Das aufregendere ist die Inkompetenz einzelner Instanzen oder Institutionen technologische Fortschritte anzunehmen! Es wäre ohne weiteres möglich in der heutigen Zeit Fingerabdrücke (und weitere biometrische Daten) so zu speichern, dass die Daten international jederzeit mit dem Tatsächlichen Fingerabdruck verifizierbar sind, jedoch niemand den tatsächlichen Fingerabdruck einsehen und zuordnen kann. Stichwort public key und private key in der Kryptografie. Kombiniert mit ein paar Initialien wäre das die perfekte Maßnahme für Datenschutz. Aber nein, um jeden Willen muss der Bürger durchsichtig bleiben…

  14. Datenschutz: Jahresrückblick 2015

    ,

    […] Urteil des Europäischen Gerichtshofes zu biometrischen Personalausweisen ignoriert Datenschutz. Anna Biselli, netzpolitik.org… […]

Dieser Artikel ist älter als 11 Jahre, daher sind die Ergänzungen geschlossen.