Datenschutz

Urteil des Europäischen Gerichtshofes zu biometrischen Personalausweisen ignoriert Datenschutz

Sensibles biometrisches Merkmal: Fingerabruck in Ausweisen - CC BY-SA 3.0 via wikimedia

Letzte Woche hat der Gerichtshof der EU ein medial weitgehend unbeachtetes Urteil zu biometrischen Daten veröffentlicht. Das Urteil ist mehr als bedenklich, da es komplett den Einfluss des Datenschutzes auf die Erstellung biometrischer Ausweise verkennt.

Wir finanzieren uns fast vollständig aus Spenden von Leserinnen und Lesern. Unterstütze unsere Arbeit mit einer Spende oder einem Dauerauftrag.

Zur Vorgeschichte: Der Niederländer W. P. Willems hatte die Ausstellung eines Reisepasses beantragt. Dieser wurde ihm jedoch verweigert, da er nicht bereit war, seine Fingerabdrücke zur Verfügung zu stellen. Einer seiner Mitantragssteller versuchte selbiges für einen niederländischen Personalausweis – auch dieser wurde verweigert. Dagegen hat Willems geklagt und kritisierte insbesondere die Verletzung seines Rechts auf körperliche Unversehrheit und Privatspäre sowie die ungeklärte Frage, wer Zugang zu den gespeicherten Daten erhalte und ob eine strenge Zweckbindung durchgesetz wird. Nach Abweisung des Verfahrens durch niederländische Gerichte wurde die Klage dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt. Dabei ging es vor allem um die Frage, ob die EU-Verordnung 2252/2004 für „Normen für Sicherheitsmerkmale und biometrische Daten in von den Mitgliedstaaten ausgestellten Pässen und Reisedokumenten“ Anwendung findet. Sie regelt unter anderem die explizite Zweckbindung der biometrischen Daten.

Die Verordnung greift dem Wortlaut nach aber nur auf …

[…] von den Mitgliedstaaten ausgestellte Pässe und Reisedokumente Anwendung. Sie findet keine Anwendung auf Personalausweise, die Mitgliedstaaten eigenen Staatsangehörigen ausstellen, oder auf vorläufige Pässe und Reisedokumente mit einer Gültigkeitsdauer von zwölf Monaten oder weniger.

Da ein Personalausweis jedoch das Reisen in der EU ermöglicht, ist diese Definition schwierig. Der Gerichtshof gelangt allerdings zu der Auffassung das ein niederländischer Personalausweis trotzdem nicht in den Anwendungsbereich von 2252/2004 fällt. Die daraus gezogenen Schlüsse sind erschreckend:

Folglich ist auf die gestellten Fragen zu antworten, dass Art. 4 Abs. 3 der Verordnung Nr. 2252/2004 dahin auszulegen ist, dass er die Mitgliedstaaten nicht dazu verpflichtet, in ihren Rechtsvorschriften zu garantieren, dass die aufgrund der Verordnung erhobenen und gespeicherten biometrischen Daten nicht zu anderen Zwecken als zur Ausstellung eines Reisepasses oder Reisedokuments erhoben, verarbeitet und verwendet werden, da ein solcher Aspekt nicht in den Anwendungsbereich dieser Verordnung fällt.

Das ist ungemein kurzsichtig – eine Betrachtung des europäischen Datenschutzrechts wird vollständig außer Acht gelassen und verkennt damit dessen fundamentale Rolle bei der Erhebung, Speicherung und Verarbeitung biometrischer Daten, die übrigens in der kommenden EU-Datenschutzgrundverordung als besonders sensible Daten eingestuft werden sollen. Dabei findet europäisches Datenschutzrecht auch da Anwendung, wo die Passregulierung keine Anwendung auf Mitgliedsstaaten findet. Insbesondere in Hinblick auf ein Urteil des EuGH von 2013, das die Rechtmäßigkeit von biometrischen Merkmalen in Reisepässen vor allem dadurch legitimiert, dass…

[…] die Fingerabdrücke nur zu dem Zweck verwendet werden dürfen, die Authentizität des Reisepasses und die Identität seines Inhabers zu überprüfen. Außerdem sieht sie die Speicherung der Fingerabdrücke nur im Pass selbst vor, der im ausschließlichen Besitz seines Inhabers bleibt.

In den Niederlanden erfolgt die Speicherung auf zwei, beziehungsweise zukünftig drei verschiedenen Medien. Neben der Speicherung auf dem Pass selbst werden die Daten aktuell in einem dezentralen Register vorgehalten. Zukünftig ist die Speicherung in einem Zentralregister vorgesehen.

Schade, dass der Gerichtshof trotz dieses Hintergrundes diesmal mit so viel Ignoranz reagiert.

Weitersagen und Unterstützen. Danke!
20 Kommentare
  1. Es wäre wohl kaum rechtsstaatlicher, wenn der EuGH die Richtlinie über den Wortlaut hinaus für anwendbar erklärt. Auch wenn das Ergebnis wünschenswert erscheint, bleibt der EuGH auf eine Rechtsprüfung beschränkt.

  2. „Da ein Personalausweis jedoch das Reisen in der EU ermöglicht, ist diese Definition schwierig.“ So ein Schwachsinn! Es gibt eine ganue Abgrenzung zwischen Personalausweis und Reisepass…

    Die Definition ist ganz einfach: Personalausweis ist es freiwillig den Fingerabdruck abzugeben – Reisepass Pflicht. Ich weiß nicht, was da so schwer dran zu verstehen ist?!

    Also bitte!

    1. Es geht um einen niederländischen Personalausweis und Reisepass. Dort ist die Speicherung der Fingerabdrücke in beiden Dokumenten Pflicht.

  3. An diesem Thema ist sogar ein Rechtsanwalt in eigener Sache gescheitert. Dieser war mit der Speicherung seiner Fingerabdrücke in seinem Reisepass nicht einverstanden und reichte daraufhin Klage beim Verwaltungsgericht Düsseldorf ein. Vier Jahre lang passierte nichts. Daraufhin zog der Kläger mit einer Beschwerde vor das Bundesverfassungsgericht, die ohne Begründung abgelehnt wurde. Erst danach war das Verwaltungsgericht bemüht, diesen Fall an den Europäischen Gerichtshof zu verweisen. Leider ohne Erfolg. Wie der betreffende Anwalt der Presse mitteilte, wird nach deutschem Recht eine dreistufige Güterabwägung vorgenommen. Für den EuGH hingegen gäbe es nur zwei Kriterien: «Erstens, ob eine Maßnahme geeignet ist, die Zielsetzung der Regierung durchzuführen; zweitens, ob die Maßnahme zum Erreichen des Ziels erforderlich ist und nicht ein milderes Urteil genügen würde. Die grundsätzliche Frage nach der Angemessenheit der Maßnahme klammere der Europäische Gerichtshof im Gegenteil zum Bundesverfassungsgericht aus.» Dies wäre, so der Kläger weiter «ein Armutszeugnis für die Gestaltung der Menschenrechte in der EU. Die Datenschutzkonvention von 1981 existiert nicht, sie steht nur noch auf dem Papier. » Die weitere Vorgehensweise dieser Odyssee ist noch nicht bekannt. Wenn das Verfahren an das Verwaltungsgericht zurückgegeben wird, wird dies dem übergeordneten EuGH folgen. Wie eine Revision nach dem EuGH aussehen soll, weiß noch keiner wirklich. Für den Kläger wurden Fakten geschaffen. Er muss einen biometrischen Reisepass mit seinen Fingerabdrücken akzeptieren oder er verzichtet auf seine Rechte als Bürger und schlichtweg auf Reisefreiheit. Ein weiterer Grund, nicht nur Regierung und Justiz zu überdenken sondern auch zu reformieren. Unserer Meinung nach muss jeder Bürger das uneingeschränkte Recht haben, sich einen Reisepass ohne biometrische Daten und ohne Fingerabdrücke ausstellen zu lassen. Auf Verlangen des Bürgers ist ein zweiter Pass mit biometrischen Merkmalen ergänzend auszustellen. Den Einreisebestimmungen kann er oder sie dann jeweils individuell Folge leisten.

  4. Ich hab kein Problem mit dem Fingerabdruck im Reisepass, sofern dieser eben nicht ausgelesen oder in einem zentralen Register gespeichert werden darf/kann. Mit ausgelesen ist das runterladen des Musters gemeint. Eine Erzeugung eines Schlüssels aus dem Fingerabdruck wäre gut.
    Soweit ich weiss war Deutschland das einzige Land, das die Chance nicht ergriffen hat eine Fingerabdruckdatenbank aufzubauen… Zumindest offiziell.

    1. Es gibt in Deutschland keine Speicherung. Weder die Meldebehörde, noch die Bundesdruckerei speichert die Fingerabdrücke. Sie sind nur im Chip von den Ausweisen und Pässen gespeichert.

      1. Wenn es im Herstellungsverfahren des Reisepasses erforderlich ist, die Daten des Fingerabdrucks zu speichern, und das wird so sein, sei es nur um sie vom Antrag auf den Chip zu übertragen dann werden sie gespeichert. Und wenn die Daten schon mal da sind…

  5. moin,
    ich möchte mal mit den gezeigten schwachsinnsvorstellungen von ausweisen,pässen u.a. aufräumen.Viele/ alle setzen deutsches recht voraus, das ist aber in -wieviel Länder hat die erde?- ganz anders! Us- amerikaner denken genauso, ..“an diesem wesen soll die welt genesen“..-ist aber purer kollonialismus.
    Bis zur erfindung“ der biometrie durch überwachungsfanatiker war der fingerabdruck nur
    im pässen faschistischer regimes (deutschland, paraguay…)zu finden. Auch die der usa hatten selbstverständlich KEINE.
    Und natürlich gibt es auch normale identifikations-möglichkeiten: “ krimminalistische personen- identifikation nach den merkmalen des äuszeren “
    Aber dazu gehört natürlich bildung, die bei den der polizei-ausbildung ja eingespart wird.und so wird aus einer mangelausbildung ein überwachungs-staat gezimmert.
    Was sagt der herr kollege über den rfid- chip? -Vollständig zu lesen bei CCC-.
    Der schnüffelchp sendet selbsttätig!Wohin, das bleibt sein geheimnis?…oder doch überall hin??
    Aber für alle , die tiefschürfende antwortenwollen- bzgl. schnüffelchip , …an Prof. U.Meyenberg, fraunhofer zentrum f. logistikforschung. Das wird alle ernüchtern!

    best regards
    Ihr, Euer nerdsingetorix

  6. Das Urteil des Europäischen Gerichtshof verkennt tatsächlich den Einfluss des Datenschutzes und mehr im Allgemeinen das Recht auf Privatsphäre und körperliche Unversehrtheit. Es ist jedoch ein Trugschluss dass diese Verkennung mit der Feststellung das ein Personalausweis kein Reisedokument ist, zu erklären wäre. Hier liegt ein Missverständnis vor und zwar deswegen weil zur Zeit der Entstehung der EU Verordnung, der Niederländischer Personalausweis nun tatsächlich ein Reisedokument war und deswegen nicht den gleichen Status hatte wie Ausweise in Bzw. Deutschland, Frankreich, Belgien oder Spanien. Hinzu kommt noch dass vom Anfang an bei der Verabschiedung der EU Verordnung 2252/2004 eine klare Antwort ausgewichen worden ist ob die biometrischen Merkmale auch für andere Zwecke einzusetzen wären. Dies sei den Mitgliedstaaten überlassen.

    Im zweiten Weltkrieg gab es in den Niederlanden eine Ausweispflicht die jedoch nach 1945 abgeschafft wurde und somit wurde auch der Personalausweis abgeschaft. In 1994 und 2005 wurden wieder neue Ausweisverpflichtungen eingeführt doch weil ein dazugehöriger Ausweis fehlte hatte die Regierung aus pragmatische Gründen auf die bereits existierende Reisedokumenten zurückgegriffen. Mehr Einzelheiten im Buch ‚Histories of State Surveillance in Europe and Beyond‘ erschienen bei Routledge Universty Press, Seite 150.
    http://cryptome.org/2014/06/histories-state-spying-eu-plus.pdf
    In 2006 wurde auch in den Niederlanden der ‚Schilypass‘ mit Schnüffelchip eingeführt und ab 2009 mit Fingerabdrücken versehen die auch in Datenbanken gespeichert wurden. Als jedoch die Kritik wegen der Fingerabdruckabnahme sich verbreitete und gerichtliche Klagen eingereicht wurden, kam schließlich heraus das die gespeicherten Fingerabdrücken von sehr bedenklicher Qualität waren mit Fehlerraten von etwa 25%. Daraufhin wurde beschlossen den Status des Niederländischen Personalausweises zu ändern damit der nicht mehr unter der EU Verordnung fällt. So könnte man auf die obligatorischen Fingerabdrücke verzichten. Doch die Antragsteller hatten bereits gerichtliche Schritte eingeleitet und weil sie sich vom Gericht eine Klare Aussage erhofften, haben sie zu diesem Zweck eine Vorabentscheidung verlangt.

    Der Gerichtshof bestätigt dass Personalausweise nicht unter der Verordnung fallen aber weicht eine klare Positionierung hinsichtlich des Datenschutzes auf die Erstellung biometrischer Ausweise aus. Im Falle des Bochumer Anwalts Schwarz, hat der Gerichtshof die Abnahme von Fingerabdrücken für rechtens gehalten weil dies dem Zweck der Europäischen Verordnung entspricht, doch in der Urteilsbegründung fehlt die notwendige Beweisführung vollständig hinsichtlich der Frage warum dieser massiver Eingriff in die Privatsphäre von Millionen Europäischen Bürgern notwendig wäre. Das ist mehr als bedenklich, nicht nur wegen des Reisepasses sondern auch weil immer mehr Datenbanken mit biometrischen Merkmalen errichtet werden deren Zielsetzung nicht genau geprüft und festgelegt wird.

  7. Ich habe meinen Fingerabdruck speichern lassen und habe überhaupt kein Problem damit. Mir ist es viel wichtiger, das alles dafür getan wird, den Ausweis dem Inhaber zweifelsfrei zuordnen zu können. Ich denke man muss mit der Zeit gehen von daher begrüße ich so ein Urteil. Jeder hinterlässt Im Alltag massenhaft seine Fingerabdrücke. Ich kenne keinen der ständig mit Handschuhen durch die Welt geht.

  8. Das aufregendere ist die Inkompetenz einzelner Instanzen oder Institutionen technologische Fortschritte anzunehmen! Es wäre ohne weiteres möglich in der heutigen Zeit Fingerabdrücke (und weitere biometrische Daten) so zu speichern, dass die Daten international jederzeit mit dem Tatsächlichen Fingerabdruck verifizierbar sind, jedoch niemand den tatsächlichen Fingerabdruck einsehen und zuordnen kann. Stichwort public key und private key in der Kryptografie. Kombiniert mit ein paar Initialien wäre das die perfekte Maßnahme für Datenschutz. Aber nein, um jeden Willen muss der Bürger durchsichtig bleiben…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.