Fingerabdrücke abgeben – das verbindet man erst einmal mit einer Straftat. Eine erkennungsdienstliche Behandlung wird in der Regel nach einer Festnahme wegen einer Straftat an einer Person vorgenommen. Doch seit dem 2. August 2021 werden alle behandelt, als wären sie tatverdächtig: Wer einen neuen Personalausweis beantragt, muss verpflichtend die Fingerabdrücke beider Zeigefinger scannen und speichern lassen (hierzu auch unser Beitrag vom 06.07.2021 „Mal eben die Zentralisierung biometrischer Daten beschlossen“).

Bundesbürger müssen sich beim Beantragen mit einem Scanner Abdrücke des linken und rechten Zeigefingers abnehmen lassen. Die Körpermerkmale werden zusammen mit dem biometrischen Gesichtsbild auf dem RFID-Chip des Dokuments gespeichert. Der Bundestag hatte dies zuvor mit dem Gesetz zur "Stärkung der Sicherheit im Pass-, Ausweis- und ausländerrechtlichen Dokumentenwesen" beschlossen. Die Verpflichtung für über dreihundert Millionen EU-Bürger, zwei Fingerabdrücke auf dem Ausweis in digitaler Form speichern zu lassen, geht auf die EU-Verordnung 2119/1175 zurück.

Ein Bundesbürger wehrt sich gegen die biometrische Erfassung und reichte Klage vor dem Verwaltungsgericht (VG) Wiesbaden ein. Das (VG) Wiesbaden hat erhebliche Zweifel daran, dass diese Pflicht zur Aufnahme von Fingerabdrücken in den Personalausweis, unionsrechtskonform ist. Die Richter führen bereits formale Gründe gegen die EU-Verordnung ins Feld. Ihnen zufolge wäre ein sogenanntes besonderes Gesetzgebungsverfahren nötig gewesen, welches nicht durchgeführt worden ist.

Nach Ansicht des Gerichts verletzt die Verordnung ferner Artikeln 7 und 8 der EU-Grundrechtecharta (CrCh), die das Recht zum Schutz der Privatsphäre festschreiben. Das Gericht hat das Verfahren daher ausgesetzt und den Fall dem Europäischen Gerichtshof (EuGH) zur Entscheidung vorgelegt (Beschluss vom 13.01.2022 [PDF]).

Das VG Wiesbaden führt aus, dass es sich bei den erfassten biometrischen Merkmalen um personenbezogene Daten handelt, die "objektiv unverwechselbare Informationen über natürliche Personen enthalten und deren genaue Identifizierung ermöglichen". Das Gericht argumentiert, dass die Grundrechte der Betroffenen unter Wahrung des Grundsatzes der Verhältnismäßigkeit nur eingeschränkt werden dürfen, wenn dies etwa dem Gemeinwohl diene oder "den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich" entspreche. Zudem ist in Art. 8 Abs. 2 CrCh bestimmt, dass personenbezogene Daten nur mit Einwilligung der betroffenen Person oder aufgrund einer sonstigen gesetzlichen Regelung verarbeitet werden dürfen. Eine Einwilligung in die Erfassung der Fingerabdrücke liegt nach Auffassung des Gerichts nicht vor. Art. 3 Abs. 5 VO (EU) 2019/1157 bestimmt die Erfassung jedoch als gesetzliche Regelung. Das vorlegende Gericht hat jedoch Zweifel daran, ob diese Vorschrift unionsrechtskonform ist.

Eine vergleichbare Pflicht gibt es bei Reisepässen (Verordnung 2252/2004) schon seit Längerem. Der Hauptzweck des Personalausweises liege, so das Gericht, anders als der Reisepass aber eben gerade nicht darin, "ein Reisedokument im Schengen-Raum zu sein". In Deutschland sowie in vielen anderen EU-Staaten bestehe eine Pflicht, einen Personalausweis zu besitzen, der im Alltag unter anderem für Interaktionen mit den nationalen Verwaltungsbehörden, Banken oder auch Fluggesellschaften genutzt würde.

Die Richter des VG Wiesbaden folgen der Ansicht des Europäischen Datenschutzbeauftragten, die in Anbetracht der Unterschiede zwischen beiden Dokumenten die Einführung von Sicherheitsmerkmalen für Reisepässe möglicherweise als angemessen ansehen, dies jedoch bei Personalausweisen nicht automatisch erfolgen dürfe. Das Gericht verweist auf die vom Europäischen Datenschutzbeauftragten vertretenen Auffassung, dass es dafür einer gründlichen Analyse bedürfe, die nicht erfolgt sei (Datenschutzfolgeabschätzung Artikel 35 DSGVO). Die "viel höhere Eingriffsintensität im Vergleich zu Reisepässen" hätte auch eine "stärkere Rechtfertigung" erfordert.
Bezweifelt wird sowohl vom Gericht als auch vom Europäischen Datenschutzbeauftragten zudem, dass die Aufnahme von Fingerabdrücken für den Fälschungsschutz geeignet ist und damit Betrug und Identitätsdiebstahl verhindern kann. Eine Übereinstimmung der biometrischen Daten, die auf dem Chip des Personalausweises gespeichert sind, mit den Fingerabdrücken des Besitzers bestätige lediglich, dass das Dokument zu diesem gehöre. Daraus folge aber noch kein Identitätsnachweis, solange nicht der Ausweis selbst als echt bestätigt worden sei.

Das Gericht weist zudem daraufhin, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärt habe, dass ein Ausweis mit funktionsunfähigem Chip seine Gültigkeit behalte, die Sicherheit als Ausweisdokument demnach "durch die physischen Sicherheitsmerkmale gegeben" sei. Damit stelle sich die Frage nach der Erforderlichkeit der Aufnahme von Fingerabdrücken umso deutlicher.

Moniert wird zudem, dass auch das Prinzip des sparsamen Umgangs mit persönlichen Informationen aus der Datenschutz-Grundverordnung (DSGVO) missachtet wird. In Frage gestellt wird durch das Gericht auch die Erforderlichkeit der Erfassung des gesamten Abdrucks. Angeführt wird, dass andere Systeme nur mit Minuzien, also Teilmengen von Charakteristiken, die aus Aufnahmen der Fingerabdrücke gewonnen werden, arbeiten. Diese Verfahrensweise reduziere die Risiken des Identitätsdiebstahls bei einem Datenleck. Eine datenschutzrechtliche Folgenabschätzung sei ferner nicht erfolgt. Schon allein dies könnte zur Ungültigkeit der umstrittenen Norm führen.

Der EuGH muss nun klären, ob die umstrittene Klausel in der EU-Verordnung gültig ist.