Der EuGH wurde vom VG Wiesbaden angerufen und hatte zu entscheiden, ob die Speicherung des Fingerabdrucks auf dem Personalausweis zulässig war. In einer ausführlichen Abwägung der Verhältnismäßigkeit bewertet der Gerichtshof die Verwendung von Fingerabdrücken als rechtmäßig, wenngleich andere (mildere?!) Mittel zur Verfügung stehen könnten.
Der Inhalt im Überblick
Zum Sachverhalt
Ein Bürger strebte bei der Stadt Wiesbaden an, einen Personalausweis ohne die Aufnahme seiner Fingerabdrücke ausgestellt zu bekommen. Die Stadt Wiesbaden lehnte dies erwartungsgemäß ab, weil das Führen von zwei Fingerabdrücken seit August 2021 im Personalausweis verpflichtend ist. Deutschland hatte seinerzeit durch die Regelungen im PAuswG eine EU-Verordnung umgesetzt.
Verfahren vor dem VG Wiesbaden
Nachdem die Stadt Wiesbaden die Ausstellung ohne Fingerabdrücke ablehnte, wendete sich der Bürger mit Unterstützung von Digitalcourage e.V. an das Verwaltungsgericht Wiesbaden, um einen „fingerabdrucklosen“ Personalausweis zu erstreiten. Das VG Wiesbaden rief im Rahmen eines Vorabentscheidungsersuchens im Sinne von Art. 267 AEUV den EuGH an. Der EuGH hatte zu klären, ob die Speicherung der Fingerabdrücke gegen das Grundrecht auf Schutz der personenbezogenen Daten verstößt. Hintergrund des Vorabentscheidungsersuchens waren die Zweifel des VG Wiesbaden an der Verhältnismäßigkeit. Vor allem wäre zu klären, ob es nicht auch mildere Mittel gäbe, die das Risiko einer Dokumentenfälschung senken würden als die Verwendung von biometrischen Daten.
Entscheidung des EuGH
Grundsätzlich ist festzustellen, dass der EuGH entschieden hat, dass die Erfassung und Speicherung des Fingerabdrucks auf dem Personalausweis mit der DSGVO sowie Art. 7 und 8 der EU-Grundrechte-Charta vereinbar ist. Der EuGH stellte zunächst fest, dass die Grundrechte auf Achtung des Privatlebens (Art. 7 der Charta der Grundrechte) und Schutz personenbezogener Daten (Art. 8 der Charta der Grundrechte) eingeschränkt würden, diese Eingriffe jedoch gerechtfertigt wären.
„Nach ständiger Rechtsprechung können die in Art. 7 bzw. Art. 8 der Charta garantierten Rechte auf Achtung des Privatlebens bzw. auf Schutz personenbezogener Daten keine uneingeschränkte Geltung beanspruchen, sondern müssen im Hinblick auf ihre gesellschaftliche Funktion gesehen werden (vgl. in diesem Sinne Urteil vom 20. September 2022, SpaceNet und Telekom Deutschland, C‑793/19 und C‑794/19, EU:C:2022:702, Rn. 63)“
Darüber hinaus:
„Einschränkungen dieser Rechte sind daher zulässig, sofern sie gemäß Art. 52 Abs. 1 Satz 1 der Charta gesetzlich vorgesehen sind und den Wesensgehalt dieser Rechte achten. Zudem dürfen nach Art. 52 Abs. 1 Satz 2 der Charta unter Wahrung des Grundsatzes der Verhältnismäßigkeit solche Einschränkungen nur vorgenommen werden, wenn sie erforderlich sind und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen. Insoweit stellt Art. 8 Abs. 2 der Charta klar, dass personenbezogene Daten insbesondere nur „für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage“ verarbeitet werden dürfen.“
Ziel der Verwendung der Fingerabdrücke ist die Bekämpfung der Herstellung gefälschter Personalausweise und der damit verbundene Identitätsdiebstahl. Zudem erleichtern die gespeicherten Fingerabdrücke Kontrollen und Identitätsprüfung. Der EuGH arbeitet in seiner Begründung heraus, dass die Speicherung der Bekämpfung von Kriminalität und Terrorismus diene. Die Freizügigkeit der EU-Bürger kann nur aufrecht erhalten werden, wenn gleichzeitig die Sicherheit gewährleistet werden kann. Hierbei sind Sicherheitsstandards einzuhalten, um einen Rechtsmissbrauch weitestgehend zu verhindern.
Die Eingriffsintensität ist dennoch erheblich. Bei der Speicherung eines Gesichtsbildes und den Fingerabdrücken handelt es sich um biometrische Daten im Sinnen von Art. 9 Abs. 1 DSGVO. Die damit verbundene Frage des VG Wiesbaden zur Verhältnismäßigkeit griff der EuGH entsprechend auf.
Milderes Mittel
Das VG Wiesbaden gab zu bedenken, dass es möglicherweise auch mildere Mittel gäbe, um Ausweisdokumente fälschungssicher zu gestalten (Rn. 34, 36). Zu denken wäre in diesem Zusammenhang beispielsweise an nur eine Verwendung eines Fotos. Auch der EDSB hatte in seiner Stellungnahme darauf verwiesen, dass Hologramme oder Wasserzeichen eine geringere Eingriffsintensität hätten. Der EuGH stellte nunmehr jedoch fest, dass ein Foto allein als Identifizierungsmittel weniger wirksam wäre. Die Zweck-Mittel-Abwägung fiele zu Gunsten der Verarbeitung der Fingerabdrücke aus. Das Gericht verwies darüber hinaus auf ausreichende Schutzmechanismen, um das Missbrauchsrisiko auf ein Minimum zu reduzieren. Die Daten dürften demnach nicht in anderen Datenbanken weiterverwendet und bei den zuständigen Behörden nur für eine zeitlich stark begrenzte Zeit (höchstens 90 Tage) gespeichert werden. Offengeblieben ist, ob auch langfristig die Abgabe der Fingerabdrücke verpflichtend sein wird. Digitalcourage e.V. hatte bereits im Vorfeld die rechtliche Grundlage zur Verwendung der Fingerabdrücke gerügt. Der EuGH folgt an dieser Stelle der Position des Klägers.
„Diese Verordnung stellt keine Rechtsgrundlage für die Einrichtung oder Aufrechterhaltung von Datenbanken auf nationaler Ebene zur Speicherung biometrischer Daten in den Mitgliedstaaten dar, zumal es sich dabei um eine Frage des nationalen Rechts handelt, welches dem Unionsrecht im Bereich Datenschutz entsprechen muss. Diese Verordnung stellt ferner keine Rechtsgrundlage für die Einrichtung oder Aufrechterhaltung einer zentralen Datenbank auf der Ebene der Union dar.“
Alles bleibt zunächst, wie es war…
Der EuGH hat den Gesetzgeber aufgefordert eine neue Gesetzesgrundlage mit einem konkreten Verfahren zu schaffen, um auch langfristig die Abgabe der Fingerabdrücke rechtmäßig zu gestalten. Das bedeutet aber, dass die Speicherung der Fingerabdrücke zunächst fortbesteht. Es bleibt also spannend, ob auch in Zukunft die Fingerabdrücke verpflichtend abgegeben werden müssen.
