Viele unserer Kritikpunkte bestätigt
„Wir sehen viele unserer Kritikpunkte bestätigt und blicken optimistisch auf den weiteren Verlauf des Verfahrens.“, sagt Rechtsanwalt Wilhelm Achelpöhler, der die Klage von Digitalcourage gegen die Speicherpflicht für Fingerabdrücke in Personalausweisen vor Gericht vertritt. Digitalcourage hatte die Rechtmäßigkeit der EU-Verordnung angezweifelt, die regelt, dass in allen EU-Ländern Fingerabdrücke auf dem Chip von Ausweisdokumenten gespeichert werden müssen. Zu diesem Fall hat heute, am 14. März eine mündliche Anhörung vor dem Europäischen Gerichtshof (EuGH) stattgefunden. Das Urteil in diesem Fall wird rund 380 Millionen Bürger.innen der EU betreffen.
„Während EU-Rat, -Kommission, -Parlament sowie Vertreter der Mitgliedsstaaten Spanien und Belgien sich geschlossen gegen unsere Position gestellt haben, waren die Richter.innen des EuGH sehr offen für unsere Argumentation.”, resümiert Detlev Sieber, organisatorischer Geschäftsführer von Digitalcourage, der als Kläger in diesem Gerichtsverfahren auftritt. Die Richter.innen hakten an entscheidenden Stellen immer wieder nach und griffen dabei die Kritik von Digitalcourage auf.
Die Bundesregierung hat sich an der mündlichen Anhörung nicht beteiligt.
Rat gibt selber „Schwachpunkt” in der Regelung zu
Besonders kritische Nachfragen gab es von Seiten des EuGHs zu einer in der Verordnung eingeräumten Frist zwischen der Erhebung der Fingerabdruckdaten in den Behörden und der vorgeschriebenen Löschung. Diese Frist führt dazu, dass Fingerdrücke bis zu 90 Tage in den Behörden gespeichert werden dürfen. Außerdem sieht die Verordnung hier vor, dass die biometrischen Daten auch für andere Zwecke als die Ausweiserstellung genutzt werden können, wenn ein Gesetz der EU oder des Mitgliedsstaates das vorsieht. Das birgt zum einen die Gefahr, dass innerhalb dieser Zeit die Daten aus den Behörden entwendet werden können. Zum anderen können Mitgliedsstaaten diese Hintertür nutzen, um auf der Grundlage von nationalen Gesetzen auf die gespeicherten Fingerabdrücke zuzugreifen.
Ein Richter bemerkte dazu, dass der europäische Gesetzgeber mit dem Ziel, die Sicherheit der Ausweise zu erhöhen, hier de facto eine neue Sicherheitslücke geschaffen hat und stellte fest, dass die getroffenen Sicherheitsbestimmungen für diesen Zeitraum sehr schwach sind.
„Auch auf mehrere Nachfragen hin konnten EU-Kommission und Rat nicht erklären, wie eine Gefahr für die biometrischen Daten der betroffenen Bürger.innen ausgeschlossen werden soll. Das lässt sich auch gar nicht verhindern: wenn die Daten einmal erhoben werden besteht das Risiko des Datenlecks und des Missbrauchs. Darum sollte es erst gar keine Fingerabdruckpflicht geben.“, erklärt Konstantin Macher von Digitalcourage.
Eine Vertreterin des EU-Rats versuchte, die Verantwortung für die Sicherheit der Daten innerhalb dieses Zeitraumes den Mitgliedsstaaten zuzuschieben. Später gab sie zu, die Frist sei ein Schwachpunkt der Verordnung und resultiere aus einem Kompromiss in den Verhandlungen im Rat.
Wilhelm Achelpöhler, Fachanwalt für Verwaltungsrecht meint deshalb:
„Wir sind der Auffassung, dass die Fingerabdruckpflicht nicht gültig bleiben kann, wenn schon bei der Erstellung der Abdrücke und Ausweise die Sicherheit nicht gewährleistet werden kann.”
Es gibt keine absolute Sicherheit
Einige Argumente der anderen Verfahrensteilnehmer während der Anhörung ließen auf wenig Verständnis für Datensicherheit und Verschlüsselungstechnologien schließen. Die EU-Kommission behauptete beispielsweise, die Fingerabdrücke würden auf einem hochsicheren Medium gespeichert, das nicht geknackt werden könne. Diese Einschätzung hält Digitalcourage für kurzsichtig. Viele Technologien, die zunächst als sicher eingestuft wurden, waren kurze Zeit später überholt – zum Beispiel aufgrund steigender Rechenleistung. Auch einer der Richter stellte fest, dass es keine vollständige Sicherheit gibt und bemerkte sinngemäß: Die Frage ist nicht, ob ein System geknackt werden kann, sondern mit wie viel Aufwand.
Wie geht es weiter?
Der nächste Schritt im Verfahren ist die Veröffentlichung der Schlussanträge der Generalanwältin am 29. Juni 2023. Ein Termin für die Urteilsverkündung steht noch nicht fest.
Digitalcourage e. V.
https://digitalcourage.de