Ein Bürger beantragte bei der Stadt Wiesbaden, ihm einen Personalausweis ohne Aufnahme seiner Fingerabdrücke auszustellen. Das lehnte die Stadt erwartungsgemäß ab. Denn seit August 2021 sind zwei Fingerabdrücke im Personalausweis verpflichtend, Deutschland hat mit der entsprechenden Regelung im PAuswG eine EU-Verordnung umgesetzt.
Das anschließend vom Bürger, unterstützt von Digitalcourage e.V., eingeschaltete VG Wiesbaden rief den EuGH an, der klären sollte, ob die Speicherung gegen das Grundrecht auf Schutz der personenbezogenen Daten verstößt. Das VG hatte Zweifel an der Verhältnismäßigkeit: Zwar senke die Verwendung biometrischer Daten das Risiko einer Dokumentenfälschung. Es gebe aber mildere Mittel, um Ausweisdokumente fälschungssicher zu machen, etwa Hologramme.
Schutz vor Fälschung und Identitätsdiebstahl
Der EuGH sah das, wie zuvor schon die Generalanwältin, anders (EuGH, Urteil vom 21.03.2024 - C-61/22). Zwar würden die Grundrechte auf Achtung des Privatlebens (Art. 7 Grundrechte-Charta) und Schutz der personenbezogenen Daten (Art. 8 Grundrechte-Charta) eingeschränkt. Dies sei aber gerechtfertigt, um die Herstellung gefälschter Personalausweise, Identitätsdiebstahl zu bekämpfen und Überprüfungen zu erleichtern. Die Speicherung diene damit der Bekämpfung von Kriminalität und Terrorismus. Außerdem ermögliche eine zuverlässige Identifizierung es EU-Bürgern auch, ihr Recht auf Freizügigkeit in der EU leichter auszuüben.
Allein ein Foto als Identifizierungsmittel wäre weniger wirksam, so der EuGH. Er verweist zudem auf ausreichende Schutzmechanismen, um das Missbrauchsrisiko auf ein Minimum zu reduzieren, zudem dürften die Daten nicht in anderen Datenbanken weiterverwendet werden. Bei den Behörden, die die Abdrücke nehmen, dürften die Daten nur zeitlich begrenzt (höchstens 90 Tage) für die Erstellung des Ausweises gespeichert werden.
Verordnung aber auf falsche Rechtsgrundlage gestützt
Dennoch hat der EuGH die Verordnung für ungültig erklärt. Denn der EU-Gesetzgeber habe sie auf die falsche Rechtsgrundlage gestützt, nämlich auf Art. 21 Abs. 2 AEUV (Freizügigkeit) statt auf die einschlägige spezifischere in Art. 77 Abs. 3 AEUV zur Grenzschutzpolitik. Dadurch sei sie im falschen Gesetzgebungsverfahren erlassen worden. Nach dem korrekterweise anzuwendenden besonderen Gesetzgebungsverfahren wäre insbesondere ein einstimmiges Ergebnis im Rat erforderlich gewesen, so der EuGH.
Wegen der schwerwiegenden negativen Folgen, die eine sofortige Ungültigkeit der Verordnung für eine erhebliche Zahl von Unionsbürgern und für ihre Sicherheit haben könnte, bleibt sie aber wirksam, bis eine neue Verordnung in Kraft tritt. Dafür hat der EuGH dem EU-Gesetzgeber Zeit bis Ende 2026 gegeben.
Für den Reisepass hatte der EuGH schon 2013 entschieden, dass die Speicherung von Fingerabdrücken darin rechtmäßig ist. Die Argumentation war ähnlich: Die Fälschung und betrügerische Verwendung von Pässen solle verhindert werden, um illegale Einreise in die EU zu verhindern.
