Lückenhafte Schlussanträge
Heute wurden die Schlussanträge der Generalanwältin Laila Medina am Europäischen Gerichtshof zu unserer Klage gegen die Speicherpflicht für Fingerabdrücke in Personalausweisen veröffentlicht. Diese Anträge sind eine Entscheidungsempfehlung der Generalanwältin, die Richterinnen und Richter können aber auch noch ganz anders entscheiden. Zum Glück.
Wir halten die heute veröffentlichten Schlussanträge für lückenhaft. Schwerpunkte der mündlichen Verhandlung wurden von der Generalanwältin nicht ausreichend gewürdigt. Wichtig zu wissen: Die Schlussanträge sind nicht bindend. Wir sind zuversichtlich, dass der EuGH die angegriffenen Grundrechtseinschränkungen im Urteil stärker gewichten wird.
„Das Gutachten liest sich, als wäre die Generalanwältin in einer anderen Verhandlung gewesen als wir. Selbst die Anwältin des EU-Rats hat in der mündlichen Verhandlung teilweise die Schwächen der Verordnung eingestanden, nachdem die Richter.innen wiederholt nachgefragt haben. Die Generalanwältin klammert jetzt die offensichtlichen Probleme einfach aus.“, sagt Julia Witte von Digitalcourage.
Die Fingerabdruckpflicht in Personalausweisen ist eine unverhältnismäßige Einschränkung der Europäischen Grundrechtecharta und insbesondere den in Artikel 7 und 8 festgeschriebenen Grundrechte auf Achtung des Privatlebens und des Schutzes personenbezogener Daten. Diese Einschränkung wird mit Sicherheitsmerkmalen für Personalausweise zur Reduzierung von Fälschungen begründet. Dabei wurde im Verfahren eindeutig dargelegt, dass die Speicherung von Fingerabdrücken dazu nicht geeignet ist. Insbesondere da es sich nach Art. 9 Abs. 1 DSGVO bei biometrischen Daten um besonders schützenwerte Daten handelt. Außerdem gibt es andere, weniger invasive Mittel, um das Fälschen von Ausweisdokumenten zu erschweren: Zum Beispiel komplexere Druckverfahren oder 3D-Hologramme auf dem Dokument.
In ihren Schlussanträgen erkennt die Generalwältin an, dass Fälschungen auch bei Personalausweisen mit gespeicherten Fingerabdrücken nicht ausgeschlossen werden können. Für sie ist es ausreichend, dass die Fingerabdrücke das Fälschungsrisiko verringern. (Randnummer 83-86) Das wirft unsere sensiblen biometrischen Merkmale in die Waagschale für ein Katz-und-Maus-Spiel zwischen Behörden und Fälschungswerkstätten.
„Die Frage ist nicht ob, sondern wann das schief geht und die biometrischen Daten in die falschen Hände geraten. Die Konsequenzen für einen kurzfristigen Vorsprung der Sicherheitsbehörden vor Fälschungswerkstätten müssen dann Millionen EU-Bürger.innen tragen – für den Rest ihres Lebens.“, erklärt Konstantin Macher von Digitalcourage.
Dieser Grundrechtseingriff ist unverhältnismäßig und nicht notwendig, da die Sicherheit des Ausweises nach Auskunft des Bundesamt für Sicherheit in der Informationstechnik (BSI) schon alleine „durch die physischen Sicherheitsmerkmale gegeben” ist.
Keine Liebe für die DSGVO
Auf den Personalausweisen werden Bilder des gesamten Fingerabdrucks gespeichert. Das entspricht nicht dem in der Datenschutzgrundverordnung (DSGVO) festgelegten Prinzip der Datenminimierung bzw. Datensparsamkeit. Denn es gäbe auch datensparsamere Methoden, Fingerabdrücke abzugleichen, für die nur bestimmte Teilinformationen der Abdrücke nötig wären. Die Speicherung des gesamten Abdrucks auf den Ausweisen erhöht das Risiko des Identitätsdiebstahles, falls es zu einem Datenleck kommt. Eine zentrale Frage des Verwaltungsgerichtes Wiesbaden an den EuGH war deshalb, ob eine weniger invasive Methode möglich gewesen wäre, um diesen Anforderungen der DSGVO gerecht zu werden. In den Schlussanträgen beantwortet die Generalanwältin diese Frage nicht überzeugend: Sie verkehrt die Idee, weniger Daten zu speichern hier ins Gegenteil, indem sie behauptet, es müsse eine „umfassendere Datenverarbeitung“ vorgenommen werden, um aus den Vollbildern die Teilinformationen zu erstellen. (Randnummer 92)
„Das führt an der Realität vorbei. Man könnte schon beim Erfassen der Fingerabdrücke die Muster berechnen und müsste die Vollbilder dann erst gar nicht speichern.”, meint Julia Witte von Digitalcourage.
Insgesamt wird die Bedeutung der europäischen Datenschutzgrundverordnung (DSGVO) in den Schlussanträgen nicht ausreichend wertgeschätzt. Die DSGVO ist mehr als eine EU-Verordnung unter vielen: sie kodifiziert europäische Grundrechte, insbesondere aus Artikel 7 (Privatleben) und Artikel 8 (Datenschutz). Das heißt: diese Grundrechte gehören zum Kern des europäischen Rechts und werden in der DSGVO nur verschriftlicht. Die Schlussanträge der Generalanwältin behandeln die von der DSGVO geschützten Lebensbereiche aber nur als zweitrangig und berücksichtigen sie daher nicht ausreichend. Nur so ist zu verstehen, dass die Generalanwältin die gesetzlich vorgeschriebene Folgenabschätzung als nicht erforderlich betrachtet (Randnummer 115).
Schlussanträge ignorieren Sicherheitslücken
Die der Fingerabdruckpflicht zugrunde liegende EU-Verordnung lässt zu, dass die Fingerabdrücke auch für andere Zwecke als die Ausweiserstellung genutzt werden können, wenn ein EU-weites oder ein nationales Gesetz das vorsieht. Die Fingerabdrücke werden keineswegs sofort gelöscht, wenn der Personalausweis hergestellt worden ist. Sie können bis zu 90 Tagen lang weiter gespeichert werden. Auf diese Fingerabdrücke kann dann auf der Grundlage nationalen Rechts zugegriffen werden, etwa auf der Grundlage der Vorschriften über die Durchsuchung nach den Polizeigesetzen und der Strafprozessordnung. EuGH Richter Dannwitz hatte in der Verhandlung die Frage gestellt, ob hier nicht über den Personalausweis millionenfach Fingerabdrücke erhoben werden, auf die dann die staatlichen Behörden zugreifen können. Auf diese weit offen stehende Hintertür zur Zweckentfremdung der sensiblen biometrischen Daten gehen die Schlussanträge nur unzureichend ein. Die Generalanwältin sieht den EuGH bisher nicht als zuständig für die Überprüfung dieser Gefahr an, obwohl das Risiko der Zweckentfremdung erst durch diese Regelung entsteht (Randnummer 104-107).
„Die Verordnung zeichnet den Bauplan für eine Hintertür, über den die gespeicherten Fingerabdrücke für andere Zwecke verwendet werden können, überlässt den Einbau aber anderen Gesetzen. Es greift zu kurz, sich hier aus der Verantwortung zu ziehen, frei nach dem Motto: Hier ist die Waffe, aber ich habe nichts damit zu tun, wenn du damit schießt. Diese Argumentation ist für uns völlig unverständlich.“, Konstantin Macher, Digitalcourage.
In den bis zu 90 Tagen, in denen die Abdrücke bei den Behörden gespeichert werden, könnten außerdem die Behörden gehackt und die Daten gestohlen werden. Diese klaffenden Sicherheitslücken haben auch die EuGH-Richter.innen während der mündlichen Verhandlung festgestellt und mehrfach nachgefragt, ob der Gesetzgeber diese Risiken nachvollziehbar abgewogen hat. Eine befriedigende Antwort konnte keine der anwesenden Parteien geben. Die Generalanwältin klammert das Problem nun einfach aus, indem sie sagt, dass Daten bei Behörden sehr sicher gespeichert werden müssen. Leider zeigt die Erfahrung, dass es immer wieder zu Angriffen auf Behörden kommt, bei denen sensible Informationen entwendet werden. Auch der missbräuchliche Zugriff auf Daten durch die Behörden selbst kann nicht alleine dadurch ausgeschlossen werden, dass er nicht erlaubt ist.
Unterstützen Sie die gute Sache: Freiheit, Grundrechte und Demokratie.
Viele Menschen engagieren sich bei uns in ihrer Freizeit, seien auch Sie dabei!
Bleiben Sie auf dem Laufenden über unsere Arbeit und unsere Themen.
Ausgang des Verfahrens offen
Einen Termin für die Urteilsverkündung des Europäischen Gerichtshofs gibt es noch nicht. Die Richter.innen sind bei ihrem Urteil nicht an die Schlussanträge der Generalanwältin gebunden.
Wir sind zuversichtlich, dass die Richter.innen des EuGH im Urteil den europäischen Grundrechten ein stärkeres Gewicht geben werden.
„In der Verhandlung haben mehrere Richterinnen und Richter die Gefahren für die Sicherheit meiner biometrischen Daten sehr ernst genommen. In der Anhörung waren sie von den Sicherheitslücken sichtlich irritiert. Wir setzen darauf, dass das Urteil diese Punkte berücksichtigen wird.”, sagt Detlev Sieber, Kläger und Geschäftsführer von Digitalcourage