Polizeibehörden dürfen auf der Grundlage interner Vorschriften entscheiden, ob es erforderlich ist, die biometrischen und genetischen Daten einer strafrechtlich verfolgten oder einer Straftat verdächtigten Person zu speichern. Der EuGH hat auf Vorlage des tschechischen Obersten Verwaltungsgerichtshofs eine solche Regelung als mit der Richtlinie (EU) 2016/680 vereinbar angesehen (Urteil vom 20.11.2025 - C-57/23). 

Geklagt hatte ein tschechischer Beamter, der des Amtsmissbrauchs verdächtigt wurde. Im Ermittlungsverfahren gegen ihn waren seine Fingerabdrücke, ein Wangenabstrich, Lichtbilder und eine Personenbeschreibung aufgenommen worden. Im Jahr 2017 wurde der Mann rechtskräftig verurteilt. Seiner separaten Klage gegen die Identifizierungsmaßnahmen und die Speicherung der daraus gewonnenen Daten gab ein tschechisches Gericht zunächst statt: Die Maßnahmen seien ein erheblicher Eingriff in das Recht auf Achtung des Privatlebens und in den Schutz personenbezogener Daten aus Art. 8 EMRK sowie in die Rechte aus Art. 7 und 8 der Grundrechtecharta. Das tschechische Polizeigesetz enthalte über die Voraussetzung einer "vorsätzlichen Straftat" hinaus keine hinreichenden Kriterien, wann die Polizei solche Daten erheben dürfe.

Die tschechische Polizei legte hiergegen Kassationsbeschwerde beim Obersten Verwaltungsgerichtshof ein. Sie argumentierte im Kern, dass eine Verhältnismäßigkeitsprüfung anhand interner Leitlinien stattgefunden habe und dass das angewandte Gesetz vorsehe, die Daten zu löschen, wenn sie nicht mehr erforderlich seien. Der betroffene Beamte hielt dem entgegen, die internen Leitlinien seien intransparent; eine echte Verhältnismäßigkeitsprüfung finde nicht statt. Aus seiner Sicht bedurfte es für einen solchen Eingriff eines formellen Gesetzes.

Dritter Baustein der EuGH-Leitlinien zur Datenspeicherung

Der Oberste Verwaltungsgerichtshof legte dem EuGH die Fragen vor, 

1. ob eine nationale Regelung, die Identifizierungsmaßnahmen und Speicherung bei allen Personen vorsieht, die einer vorsätzlichen Straftat verdächtig sind, mit der Richtlinie 2016/680 zur Verarbeitung personenbezogener Daten durch Strafverfolgungsbehörden vereinbar ist, 
2. ob eine Entscheidung über die weitere Speicherung ohne ausdrückliche gesetzliche Grundlage erfolgen darf und 
3. inwieweit Erhebung, Speicherung und Löschung von Identifizierungsdaten im geschriebenen Recht geregelt sein müssen, insbesondere ob nationale Rechtsprechung als "Recht der Mitgliedstaaten" zu qualifizieren ist und damit als Rechtsgrundlage für Eingriffe genügen kann.

Der EuGH hatte also zu prüfen, wie konkret das nationale Recht derartige Eingriffe zu regeln hat. Seine Entscheidung bildet den dritten Baustein der Rechtsprechung zur Erhebung und Speicherung biometrischer und genetischer Daten. In seinem Urteil vom 26. Januar 2023 stellte der EuGH klar, dass Polizei und Gerichte jeweils prüfen müssen, ob die Erhebung personenbezogener Daten im Einzelfall notwendig und verhältnismäßig ist. Dabei sind Faktoren wie Art und Schwere der Straftat, individuelle Umstände und die Existenz weniger eingreifender Maßnahmen zu berücksichtigen. Mit Urteil vom 30. Januar 2024 (C 118/22) entschied der EuGH zudem, dass eine lebenslange, ungeprüfte Speicherung biometrischer und genetischer Daten von Straftäterinnen und Straftätern mit dem EU-Recht unvereinbar ist. Nationale Behörden sind verpflichtet, die Notwendigkeit der Speicherung regelmäßig zu überprüfen und Betroffenen wirksame Löschrechte einzuräumen.

Generalanwalt de la Tour war in seinen Schlussanträgen vom 27. Februar der Ansicht, dass die angegriffene undifferenzierte Regelung für alle Personen, die einer vorsätzlichen Straftat verdächtig sind oder deswegen verfolgt werden, nicht mit dem EU Recht vereinbar sei. Das Recht müsse bei der Datenerhebung nach Art und Schwere der Tat, Vorstrafen, Rückfallrisiko und anderen besonderen Umständen differenzieren. Hinsichtlich der Speicherdauer erachtete der Generalanwalt die tschechischen Regelungen mangels hinreichender Transparenz, Nachprüfbarkeit und Kontrolle ebenfalls als unvereinbar mit der Richtlinie: Zwar fordere diese keine starre Höchstfrist, geboten seien jedoch gesetzliche Überprüfungsmechanismen und klare Kriterien. Zum "Recht der Mitgliedstaaten" gehören nach seiner Ansicht Gesetzesrecht und gefestigte Rechtsprechung, nicht aber interne Richtlinien der Polizei oder nur punktuelle Gerichtsentscheidungen.

EuGH widerspricht dem Generalanwalt: Interne Richtlinien reichen aus

Der EuGH ist den Anträgen des Generalanwalts allerdings nun nicht gefolgt. Für den Begriff "Recht der Mitgliedstaaten", durch das Richtlinien grundsätzlich umzusetzen sind, genügen nach Ansicht der Luxemburger Richterinnen und Richter eine allgemeine gesetzliche Bestimmung, die die Mindestvoraussetzungen für die Datenverarbeitung festlegt, sowie zugängliche und hinreichend vorhersehbare nationale Rechtsprechung dazu. Eine nationale Regelung, die unterschiedslos die Erhebung biometrischer und genetischer Daten aller verdächtigen Personen erlaubt, ist damit zulässig. Insbesondere stehen Art. 6 und Art. 4 Abs. 1 Buchst. c der Richtlinie 2016/680 in Verbindung mit Art. 10 dieser Richtlinie einer solchen Regelung nicht entgegen.

Zwei Einschränkungen macht der EuGH allerdings:

Zum einen gilt die unterschiedslose Erhebungsmöglichkeit nur dann, wenn die Anwendungsfälle nicht eine Differenzierung zwischen verfolgten und lediglich verdächtigten Personen erfordern. Das EU Recht sieht nämlich eine abgestufte Verarbeitung personenbezogener Daten je nach Betroffenheit vor. Nach Art. 6 der Richtlinie 2016/680 ist unter anderem zwischen einer Straftat Verdächtigen und einem verurteilten Straftäter zu differenzieren.

Zum anderen müssen die Verantwortlichen nach nationalem Recht verpflichtet sein, sämtliche für die Datenverarbeitung geltenden Grundsätze und besonderen Anforderungen einzuhalten. Gemeint sind vor allem die in Art. 4 und Art. 10 der Richtlinie 2016/680 enthaltenen Prinzipien. Art. 4 enthält die Grundsätze der Verarbeitung personenbezogener Daten; Art. 10 regelt die Voraussetzungen für die Verarbeitung besonderer Kategorien, unter anderem genetischer und biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person. Zulässig ist die Verarbeitung in diesem Zusammenhang nur, wenn sie "unbedingt erforderlich" und "nach dem Unionsrecht und dem Recht der Mitgliedstaaten zulässig" ist. Auf die strenge Anforderung der "unbedingten Erforderlichkeit" hat der Generalanwalt seine Schlussanträge gestützt und – restriktiver als der Gerichtshof – spezifische gesetzliche Regelungen oder gefestigte Rechtsprechung verlangt.

Gesetzliches "One size fits all" reicht, aber …

Im Ergebnis hält der EuGH eine allgemeine gesetzliche Grundlage zur Erhebung biometrischer und genetischer Daten im Strafverfahren für ausreichend, auch wenn diese materielle Regelung die Differenzierungsgebote der Richtlinie nicht unmittelbar und im Detail enthält. Dass diese wichtigen Details in internen Polizei-Direktiven ausgearbeitet werden, genügt demnach. Auch eine Höchstdauer für die Speicherung muss nicht gesetzlich festgelegt sein, solange das nationale Recht – einschließlich gefestigter Rechtsprechung – angemessene Fristen und Verfahren für die Überprüfung der Speicherdauer vorsieht.

Die Entscheidung bedeutet nicht, dass alle von einem Strafverfahren betroffenen Personen gleich behandelt werden oder erhobene Daten unbegrenzt gespeichert werden dürften. Der EuGH hat lediglich festgestellt, dass es ausreichen kann, wenn die in der Richtlinie geforderten Differenzierungs- und Verhältnismäßigkeitsgebote in überprüfbaren internen Leitlinien niedergelegt und durch Rechtsprechung flankiert sind. Der tschechische Oberste Verwaltungsgerichtshof hat nun anhand der EuGH-Vorgaben zu prüfen, ob die internen Leitlinien der tschechischen Polizei den Anforderungen der Richtlinie sowie den Anforderungen an Transparenz, Nachprüfbarkeit und effektive Kontrolle genügen.

Konsequenzen für das nationale Strafprozessrecht

Aus der Entscheidung des EuGH lassen sich prima vista Rückschlüsse auf die Vereinbarkeit der Regelungen der deutschen Strafprozessordnung zur erkennungsdienstlichen Behandlung mit EU-Recht ziehen. Die §§ 81b bis 81g StPO dürften als Rechtsgrundlagen zur Umsetzung der Vorgaben der Richtlinie 2016/680 allgemein tauglich sein. Insbesondere geht die gesetzliche adressatenbezogene Differenzierung bei der Erhebung von DNA beim Beschuldigten (§ 81e StPO), bei anderen Personen (§ 81f StPO) oder in Form von Reihenuntersuchungen (§ 81f StPO) über die Anforderungen, die der EuGH in der heutigen Entscheidung an das materielle Recht aufgestellt hat, hinaus. 

Letztlich kommt es darauf an, dass die Anwendung einschlägiger Vorschriften im Einzelfall unionsrechtskonform erfolgen muss – mit strikter Zweckbindung, individueller Erforderlichkeitsprüfung, abgestufter Behandlung je nach Betroffenenstatus, überprüften Speicherfristen und ausreichender Transparenz und Kontrollmöglichkeit.

Der Autor Dr. André-M. Szesny ist Rechtsanwalt, Partner und Leiter der Praxisgruppe Wirtschafts- und Steuerstrafrecht bei Heuking.