Schon deutsche Gerichte hatten darauf hingewiesen, jetzt zeichnet sich auch vor dem Europäischen Gerichtshof (EuGH) ein ähnliches Bild ab: Der Fingerabdruckzwang steht auf wackeligen Rechtsbeinen. Gestern wurde der Fall mündlich in Luxemburg verhandelt.
Geklagt hatte Detlev Sieber von der Bürgerrechtsorganisation Digitalcourage, zunächst vor dem Verwaltungsgericht Wiesbaden: Sieber verlangte von der Stadt einen Personalausweis ohne dafür biometrische Daten in Form von Fingerabdrücken zu hinterlassen. Die Richter hatten den Fall dann an den Europäischen Gerichtshof (EuGH) weitergegeben.
Dass die rechtlichen Bedenken aus Wiesbaden kein Einzelfall sind, hat sich in der Zwischenzeit bestätigt: Das Verwaltungsgericht Hamburg hat Ende Februar angeordnet, dass einer Person ein Personalausweis ohne gespeicherte Fingerabdrücke ausgestellt werden soll.
Zweifel aus den eigenen Reihen
Die Sitzung am EuGH fand nun vor der Großen Kammer statt – ein Zeichen, dass das Gericht sich der Dimension bewusst ist. Mehr als 300 Millionen EU-Bürger:innen sind von der Verordnung 2019/1157 betroffen. Sie verpflichtet seit 2021 alle EU-Bürger:innen, zwei Fingerabdrücke abzugeben, sobald sie einen neuen Personalausweis beantragen. Die biometrischen Daten werden anschließen auf einem Chip im Personalausweis gespeichert.
Die EU sagt, die Verordnung diene dem Fälschungsschutz und soll es den Behörden einfacher machen, eine verlässliche Verbindung zwischen einer Person und ihrem Ausweis herzustellen. Laut dem Europäischen Datenschutzbeauftragten ist das allerdings nicht notwendig. Schon 2018 hat dieser empfohlen, auf Alternativen zurückzugreifen, die in gleichem Maße Fälschungen vorbeugen – dabei aber das Grundrecht auf Datenschutz schonen.
Neben dem Fälschungsschutz gibt es noch eine zweites Argument: Mit dem neuen Perso könnten sie EU-Bürger:innen frei in und zwischen den Staaten bewegen. Für Kritiker:innen ist auch diese Begründung vorgeschoben. Schließlich besitzen die meisten EU-Bürger:innen bereits einen Reisepass. Und bei Reisen innerhalb der EU wird der Perso ohnehin kaum kontrolliert.
Vorgeschobene Gründe
Jetzt also Luxemburg. Die Parteien trugen ihre Rechtsansicht am Dienstagvormittag im Grande Salle Palais vor den 15 anwesenden Richter:innen vor. Wilhelm Achelpöhler, der Anwalt des Klägers, begann mit seinem Hauptangriffspunkt: Die Fingerabdrücke dienten nicht ausschließlich dem Zweck, dass sich Unionsbürger:innen frei in und zwischen den Staaten bewegen könnten. Im Gegenteil: Die Verordnung ließe es ausdrücklich zu, dass nationale Behörden aus beliebigen Gründen – beispielsweise für die Strafverfolgung – auf die biometrischen Daten zugreifen. „Die Verordnung begrenzt die Verwendung der Daten nicht auf das erforderliche Maß“, sagte Achelpöhler.
Der Anwalt erklärte auch noch mal, welchen Weg die Daten nehmen. Sobald EU-Bürger:innen einen Antrag für einen neuen Personalausweis stellen, nimmt die zuständige Behörde biometrische Daten in Form von zwei Fingerabdrücken. Danach verbleiben die hochsensiblen Daten bis zu 90 Tage bei der Behörde sowie beim Unternehmen, das den Ausweis anschließend erstellt. Im Regelfall sollen die Daten zwar schon bei Abholung des Ausweises gelöscht werden. Doch auf der Grundlage von nationalen Gesetzen kann der Staat in diesem Zeitraum auf die Daten zugreifen.
Nach 90 Tagen verringert sich die Gefahr eines Zugriffs: Die Daten sind dann nur noch auf einem kleinen Chip im Personalausweis. Auf diesen können Behörden nur noch mit einem speziellen Lesegerät zugreifen. Und nur zu dem Zweck, um den Ausweis und die Identität der Person auf Echtheit zu überprüfen.
90 Tage Wilder Westen
90 Tage sind dennoch eine lange Zeit für die EU, die sich sonst gerne als Vorreiter in Fragen des Datenschutzes positioniert. Achelpöhler sagt in der Verhandlung dazu: „Warum soll man bei der Ausstellung eines Personalausweises Fingerabdrücke der Bürger erheben und diese für 90 Tage zu jedem potentiellen Zweck des nationalen Rechts verwenden?“ Ein solche Regelung verunsichere die Bürger:innen und führe zu der Befürchtung, dass der Staat anlasslos die Daten gegen sie verwendet.
Konstantin Macher, ein Sprecher von Digitalcourage, erhob in einer Pressemitteilung nach der Verhandlung noch einmal ganz grundsätzliche Kritik: „Auch auf mehrere Nachfragen hin konnten EU-Kommission und Rat nicht erklären, wie eine Gefahr für die biometrischen Daten der betroffenen Bürger.innen ausgeschlossen werden soll. Das lässt sich auch gar nicht verhindern: wenn die Daten einmal erhoben werden besteht das Risiko des Datenlecks und des Missbrauchs. Darum sollte es erst gar keine Fingerabdruckpflicht geben.“
Vertreter:innen von Kommission, Parlament und Rat verteidigten den Fingerabdruckzwang vor dem EuGH vehement. Das ist wenig überraschend, schließlich geht die Verordnung auf diese Institutionen zurück. Eine Vertreterin des Rats der Europäischen Union betonte in ihrem Statement immer wieder, dass die Daten vor Zugriff sicher seien.
Der nächste Schritt im Verfahren ist jetzt die Veröffentlichung der Schlussanträge der Generalanwältin am 29. Juni. In den allermeisten Fällen folgt das Gericht diesen Anträgen. Ein Termin für die endgültige Urteilsverkündung steht noch nicht fest.
Gibt es mittlerweile schon Rechtsprechung dazu, ob ein/e Antragsteller/in wählen kann, welche zwei Finger biometrisiert werden?
Gilt denn das Urteil in Hamburg nur für die Person, die geklagt hatte oder kann man sich beim Ausstellen eines Persos darauf berufen?
Es ist anzunehmen, daß dieses Urteil erst einmal für diese eine Person gilt. Aber weitere Antragsteller werden sich, sofern unter gleichen Umständen, sehr wahrscheinlich auf dieses Urteil berufen (können).
Die Scheiben werden immer dicker mit der Salamitaktik. Digital-ID CBDC, social credit score und Gesichtserkennung steht alles schon in der Pipeline.
Meines Wissens ist die Behauptung, die Daten würden nur 90 Tage gespeichert, nicht (ganz) richtig. Die Daten werden in zentrale Datenbanken (Land+Europa) kopiert, und bleiben dort gespeichert.
Eine lange lange Liste an Institutionen kann auf diese Daten zugreifen. Die Regelungen sind so breit formuliert („.. und weitere ..“), dass die Daten inzwischen fast schon öffentlich sind (z.B. werden die biometrischen Fotos für Ausweise verwendet).
Und warum kein Irisscan?
Das ist konzeptionell alles Käse.
Das kann nur funktionieren, wenn ihr euch nach dem Zufallsprinzip ausweisen müsst, ständig, so dass „doppelte Lottchen“ zukunftssicher detektiert werden können. Z.B. beim Einschalten von sogenannten Geräten.