Die Pressemitteilung des Gerichts: Klage abgewiesen - Fingerabdruckpflicht in Personalausweisen rechtmäßig
Die 6. Kammer des Verwaltungsgerichts Wiesbaden hat mit Urteil vom 18.12.2024 eine Klage abgewiesen, mit der der Kläger die Ausstellung eines Personalausweises ohne Speicherung der Fingerabdrücke auf dessen elektronischem Speichermedium (sog. „Chip“) begehrte.
Die Pflicht zur Speicherung von Fingerabdrücken bei Ausweisen beruht auf der europäischen Verordnung (EU) 2019/1157 des Europäischen Parlaments und des Rates vom 20.06.2019 zur Erhöhung der Sicherheit der Personalausweise von Unionsbürgern und der Aufenthaltsdokumente, die Unionsbürgern und deren Familienangehörigen ausgestellt werden, die ihr Recht auf Freizügigkeit ausüben (VO (EU) 2019/1157). Der Kläger trug vor, dass hierdurch seine Grundrechte auf Schutz des Privatlebens nach Art. 7 der Charta der Grundrechte der Europäischen Union (GRCh) und auf Schutz personenbezogener Daten nach Art. 8 GRCh verletzt würden.
Die 6. Kammer hatte das Verfahren zunächst ausgesetzt und dem Europäischen Gerichtshof (EuGH) in einem Vorabentscheidungsverfahren nach Art. 267 AEUV die Frage vorgelegt, ob die Pflicht zur Aufnahme von Fingerabdrücken in Personalausweisen mit höherrangigem Unionsrecht vereinbar ist. Mit Urteil vom 21.03.2024 – C-61/22 – hatte der EuGH entschieden, dass die Verordnung wegen der Durchführung eines ungeeigneten Gesetzgebungsverfahrens ungültig sei. Die Wirkungen der VO (EU) 2019/1157 würden jedoch aufrechterhalten bleiben, bis innerhalb einer angemessenen Frist, die zwei Jahre ab dem 01.01.2025 nicht überschreiten dürfe, eine neue, im korrekten Gesetzgebungsverfahrens erlassene Verordnung, die sie ersetzt, in Kraft trete. In materieller Hinsicht verstoße die Einschränkung der in Art. 7 und Art. 8 GRCh garantierten Rechte nicht gegen den Grundsatz der Verhältnismäßigkeit, sodass die Verordnung nicht aus diesem Grund ungültig sei.
Das Urteil des Verwaltungsgerichts Wiesbaden, dessen Gründe nun vorliegen, erging im Rahmen einer Beratung vom 18.12.2024. Die Prozessbeteiligten hatten auf mündliche Verhandlung verzichtet.
Die Ablehnung der Ausstellung eines Personalausweises ohne die Aufnahme von Fingerabdrücken sei rechtmäßig und verletze den Kläger deshalb auch nicht in seinen Rechten. Das Verwaltungsgericht Wiesbaden sei an das Urteil des EuGH, insbesondere bezüglich der Ausführungen zur materiellen Rechtmäßigkeit der VO (EU) 2019/1157 gebunden. Auch bezüglich der im konkreten Verfahren vorliegenden Frage der Rechtmäßigkeit der Ablehnung der Ausstellung eines Personalausweises ohne die Aufnahme von Fingerabdrücken durch die Landeshauptstadt Wiesbaden sei keine andere Beurteilung geboten. Der Grundsatz der Verhältnismäßigkeit sei auch im konkreten Fall gewahrt. In der Ablehnung der Ausstellung eines Personalausweises ohne die Aufnahme von Fingerabdrücken durch die Beklagte liege kein Verstoß gegen Grundrechte.
Auch habe das Verwaltungsgericht Wiesbaden für die Entscheidung über den vorliegenden Fall nicht den Fristablauf der Fortgeltung der VO (EU) 2019/1157 oder den Erlass einer neuen Verordnung abwarten müssen. Angesichts der Entscheidung des EuGH im Vorabentscheidungsverfahren sei die Sache entscheidungsreif. Der EuGH habe ausdrücklich entschieden, dass die Wirkungen der VO (EU) 2019/1157 aufrechterhalten blieben, weshalb im Zeitpunkt der gerichtlichen Entscheidung kein Anspruch des Klägers auf Ausstellung eines Personalausweises ohne Speicherung von Fingerabdrücken bestehe. Die Frage, ob sich ein solcher Anspruch möglicherweise in der Zukunft infolge einer Änderung der Rechtslage ergeben könnte, sei im vorliegenden Verfahren nicht von Relevanz.
Das Urteil (6 K 1563/21.WI) ist noch nicht rechtskräftig. Der Kläger kann binnen eines Monats den Antrag auf Zulassung der Berufung stellen, über den der Hessische Verwaltungsgerichtshof zu entscheiden hätte.
Der EuGH hat entschieden, dass die Transferregeln für Profifußballer der FIFA wegen unzulässiger Beschränkung bzw. Verhinderung des grenzüberschreitenden Wettbewerbs teilweise unionsrechtswidrig sind.
Die Pressemitteilung des EuGH: Fußball: Einige FIFA-Bestimmungen über internationale Transfers von Berufsfußballspielern verstoßen gegen das Unionsrecht
Diese Bestimmungen behindern die Freizügigkeit der Spieler und beschränken den Wettbewerb zwischen den Vereinen.
Ein ehemaliger Berufsfußballspieler mit Wohnsitz in Frankreich wendet sich vor den belgischen Gerichten gegen einige von der Fédération internationale de football association (FIFA), dem Verband, der weltweit für die Organisation und Kontrolle des Fußballs zuständig ist, erlassene Bestimmungen und macht geltend, sie hätten seine Verpflichtung durch einen belgischen Fußballverein behindert. Die fraglichen Bestimmungen finden sich im „FIFAReglement bezüglich Status und Transfer von Spielern“ (RSTS).
Diese Bestimmungen, die sowohl von der FIFA als auch von den ihr angehörenden nationalen Fußballverbänden wie dem belgischen Verband (URBSFA) angewandt werden sollen, gelten u. a. für den Fall, dass ein Verein der Ansicht ist, dass einer seiner Spieler seinen Arbeitsvertrag vorzeitig ohne „triftigen Grund“ aufgelöst hat. In einem solchen Fall haften der Spieler und jeder Verein, der ihn verpflichten möchte, gesamtschuldnerisch für die Zahlung einer Entschädigung an den ehemaligen Verein. Außerdem kann der neue Verein unter bestimmten Umständen mit einer sportlichen Sanktion in Form eines Verbots der Verpflichtung neuer Spieler für eine vorgegebene Periode geahndet werden. Schließlich muss der nationale Verband, dem der ehemalige Verein des Spielers angehört, es ablehnen, dem Verband, bei dem der neue Verein registriert ist, einen internationalen Freigabeschein auszustellen, solange zwischen dem ehemaligen Verein und dem Spieler eine Streitigkeit über die Auflösung des Vertrags besteht.
Die Cour d’appel de Mons (Appellationshof Mons, Belgien) fragt den Gerichtshof, ob diese unterschiedlichen Bestimmungen mit der Freizügigkeit der Arbeitnehmer und dem Wettbewerbsrecht vereinbar sind.
Der Gerichtshof entscheidet, dass alle diese Bestimmungen gegen das Unionsrecht verstoßen.
Zum einen sind die fraglichen Bestimmungen geeignet, die Freizügigkeit von Berufsfußballspielern zu behindern, die ihre Tätigkeit weiterentwickeln möchten, um für einen neuen Verein mit Sitz in einem anderen Mitgliedstaat der Union zu arbeiten. Diese Bestimmungen belasten diese Spieler und die Vereine, die sie einstellen möchten, nämlich mit erheblichen rechtlichen, unvorhersehbaren und potenziell sehr großen finanziellen sowie ausgeprägten sportlichen Risiken, die zusammen genommen geeignet sind, den internationalen Transfer dieser Spieler zu behindern. Zwar können Beschränkungen der Freizügigkeit von Berufsfußballspielern durch das im Allgemeininteresse liegende Ziel gerechtfertigt werden, die Ordnungsmäßigkeit der Fußballwettbewerbe zwischen den Vereinen zu gewährleisten, indem ein gewisser Grad an Beständigkeit in den Mannschaften der Profifußballvereine aufrechterhalten wird, im vorliegenden Fall scheinen die fraglichen Bestimmungen jedoch, vorbehaltlich einer Überprüfung durch die Cour d’appel de Mons, in mehrerlei Hinsicht über das hinauszugehen, was zur Erreichung dieses Ziels erforderlich ist.
Zum anderen entscheidet der Gerichtshof im Hinblick auf das Wettbewerbsrecht, dass die beanstandeten Bestimmungen eine Beschränkung bzw. Verhinderung des grenzüberschreitenden Wettbewerbs bezwecken, der zwischen allen Profifußballvereinen in der Union bestehen kann, wenn sie einseitig Spieler verpflichten, die bei einem anderen Verein unter Vertrag stehen oder denen vorgeworfen wird, ihren Arbeitsvertrag ohne triftigen Grund aufgelöst zu haben. Hierzu führt der Gerichtshof aus, dass die Möglichkeit, miteinander in den Wettbewerb zu treten, indem man bereits ausgebildete Spieler verpflichtet, eine wesentliche Rolle im Bereich des professionellen Fußballs spielt und dass Bestimmungen, die diese Art des Wettbewerbs in allgemeiner Weise beschränken, indem sie die Verteilung der Arbeitnehmer auf die Arbeitgeber festschreiben sowie die Märkte abschotten, einer Abwerbeverbotsvereinbarung ähneln. Im Übrigen stellt der Gerichtshof fest, dass diese Bestimmungen – vorbehaltlich einer Überprüfung durch die Cour d’appel de Mons – nicht unerlässlich oder erforderlich zu sein scheinen.
Der EuGH hat entschieden, dass die Erfassung und Speicherung des Fingerabdrucks auf dem Personalausweis mit der DSGVO sowie Art. 7 und 8 der EU-Grundrechte-Charta vereinbar ist.
Aus den Entscheidungsgründen: B. Zum zweiten Ungültigkeitsgrund: Nichtbeachtung von Art. 35 Abs. 10 DSGVO
Der zweite vom vorlegenden Gericht angeführte Ungültigkeitsgrund stützt sich darauf, dass die Verordnung 2019/1157 unter Verstoß gegen Art. 35 Abs. 10 DSGVO ohne Durchführung einer Datenschutz-Folgenabschätzung erlassen worden sei.
Hierzu ist darauf hinzuweisen, dass nach Art. 35 Abs. 1 DSGVO der Verantwortliche, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführen muss. Art. 35 Abs. 3 DSGVO stellt klar, dass eine solche Folgenabschätzung im Fall umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO (wie biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person) erforderlich ist.
Da im vorliegenden Fall die Verordnung 2019/1157 selbst keinen Vorgang im Zusammenhang mit personenbezogenen Daten oder Sätzen von personenbezogenen Daten durchführt, sondern lediglich vorsieht, dass die Mitgliedstaaten im Fall der Beantragung eines Personalausweises bestimmte Verarbeitungen vornehmen, ist festzustellen, dass der Erlass dieser Verordnung nicht von der vorherigen Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge im Sinne von Art. 35 Abs. 1 DSGVO abhängig war. Art. 35 Abs. 10 DSGVO enthält insoweit eine Ausnahme von Art. 35 Abs. 1 DSGVO.
Da nach den vorstehenden Ausführungen Art. 35 Abs. 1 DSGVO beim Erlass der Verordnung 2019/1157 nicht anzuwenden war, konnte dieser Erlass folglich nicht gegen Art. 35 Abs. 10 der Verordnung 2016/679 verstoßen.
Nach alledem vermag der zweite Grund, der auf einen Verstoß gegen Art. 35 Abs. 10 DSGVO gestützt wird, nicht zur Ungültigkeit der Verordnung 2019/1157 zu führen.
C. Zum dritten Ungültigkeitsgrund: Unvereinbarkeit von Art. 3 Abs. 5 der Verordnung 2019/1157 mit den Art. 7 und 8 der Charta
Der dritte vom vorlegenden Gericht angeführte Grund für die Ungültigkeit der Verordnung 2019/1157 betrifft die Frage, ob die in Art. 3 Abs. 5 der Verordnung vorgesehene Verpflichtung, zwei vollständige Fingerabdrücke in das Speichermedium der von den Mitgliedstaaten ausgestellten Personalausweise aufzunehmen, eine nicht gerechtfertigte Einschränkung der in den Art. 7 und 8 der Charta garantierten Rechte mit sich bringt.
[...]
In die Beurteilung der Schwere des Eingriffs, den eine Einschränkung der in den Art. 7 und 8 der Charta garantierten Rechte bewirkt, sind die Art der betroffenen personenbezogenen Daten, insbesondere der möglicherweise sensible Charakter dieser Daten, sowie die Art und die konkreten Modalitäten der Datenverarbeitung, u. a. die Zahl der Personen, die Zugang zu diesen Daten haben, und die Modalitäten des Zugangs zu diesen Daten, einzubeziehen. Gegebenenfalls ist auch zu berücksichtigen, ob diese Daten nicht Gegenstand missbräuchlicher Verarbeitungen sind.
Im vorliegenden Fall kann die sich aus der Verordnung 2019/1157 ergebende Einschränkung der Ausübung der in den Art. 7 und 8 der Charta garantierten Rechte zwar eine große Zahl von Personen betreffen, wobei diese Zahl von der Kommission in ihrer Folgenabschätzung auf 370 Millionen der damals 440 Millionen Einwohner der Union geschätzt wurde. Fingerabdrücke sind als biometrische Daten naturgemäß besonders sensibel und genießen, wie u. a. aus dem 51. Erwägungsgrund der DSGVO hervorgeht, im Unionsrecht einen besonderen Schutz.
Die Erfassung und Speicherung von zwei vollständigen Fingerabdrücken ist nach der Verordnung 2019/1157 jedoch nur im Hinblick auf die Aufnahme dieser Fingerabdrücke in das Speichermedium von Personalausweisen gestattet.
Des Weiteren ergibt sich aus Art. 3 Abs. 5 in Verbindung mit Art. 10 Abs. 3 der Verordnung, dass, sobald diese Aufnahme erfolgt und der Personalausweis der betroffenen Person ausgehändigt worden ist, die erfassten Fingerabdrücke ausschließlich auf dem Speichermedium dieses Ausweises gespeichert werden, der sich grundsätzlich im physischen Besitz der betroffenen Person befindet.
Schließlich sieht die Verordnung 2019/1157 eine Reihe von Garantien vor, die die Risiken begrenzen sollen, dass bei ihrer Durchführung personenbezogene Daten zu anderen Zwecken als zur Erreichung der mit ihr verfolgten Ziele erhoben oder verwendet werden, und zwar nicht nur in Bezug auf die Vorgänge der Verarbeitung personenbezogener Daten, die diese Verordnung zwingend vorschreibt, sondern auch im Hinblick auf die hauptsächlichen Verarbeitungen, denen die in das Speichermedium der Personalausweise aufgenommenen Fingerabdrücke unterzogen werden können.
Was erstens die Datenerfassung betrifft, sieht Art. 10 Abs. 1 und 2 der Verordnung 2019/1157 vor, dass biometrische Identifikatoren „ausschließlich durch qualifiziertes und ordnungsgemäß befugtes Personal erfasst“ werden und dass dieses Personal „angemessene und wirksame Verfahren für die Erfassung biometrischer Identifikatoren“ einhalten muss, wobei diese Verfahren den in der Charta, in der EMRK und im Übereinkommen der Vereinten Nationen über die Rechte des Kindes verankerten Rechten und Grundsätzen entsprechen müssen. Zudem enthält Art. 3 Abs. 7 der Verordnung, wie in Rn. 93 des vorliegenden Urteils ausgeführt, Sonderregelungen für Kinder unter zwölf Jahren (Unterabs. 1 und 2) sowie für Personen, bei denen eine Abnahme von Fingerabdrücken physisch nicht möglich ist (Unterabs. 3), wobei die letztgenannten Personen „von der Pflicht zur Abgabe von Fingerabdrücken befreit“ sind.
Was zweitens die Speicherung der Daten betrifft, verpflichtet die Verordnung 2019/1157 zum einen die Mitgliedstaaten, ein Gesichtsbild und zwei Fingerabdrücke als biometrische Daten zu speichern. Insoweit stellt der 21. Erwägungsgrund der Verordnung ausdrücklich klar, dass diese „keine Rechtsgrundlage für die Einrichtung oder Aufrechterhaltung von Datenbanken auf nationaler Ebene zur Speicherung biometrischer Daten in den Mitgliedstaaten [darstellt], zumal es sich dabei um eine Frage des nationalen Rechts handelt, welches dem Unionsrecht im Bereich Datenschutz entsprechen muss“ und sie auch „keine Rechtsgrundlage für die Einrichtung oder Aufrechterhaltung einer zentralen Datenbank auf der Ebene der Union“ darstellt. Zum anderen sieht Art. 10 Abs. 3 der Verordnung vor, dass diese „biometrischen Identifikatoren … ausschließlich bis zu dem Tag der Abholung des Dokuments und keinesfalls länger als 90 Tage ab dem Tag der Ausstellung des Dokuments gespeichert“ werden, und stellt klar, dass „die biometrischen Identifikatoren [nach diesem Zeitraum] umgehend gelöscht oder vernichtet“ werden.
Daraus ergibt sich insbesondere, dass Art. 10 Abs. 3 der Verordnung 2019/1157 es den Mitgliedstaaten nicht gestattet, biometrische Daten zu anderen als den in dieser Verordnung vorgesehenen Zwecken zu verarbeiten. Außerdem steht diese Bestimmung einer zentralen Speicherung von Fingerabdrücken entgegen, die über die vorläufige Speicherung dieser Abdrücke zum Zweck der Personalisierung von Personalausweisen hinausgeht.
Schließlich weist Art. 11 Abs. 6 der Verordnung 2019/1157 auf die Möglichkeit hin, dass die im sicheren Speichermedium enthaltenen biometrischen Daten gemäß dem Unionsrecht und dem nationalen Recht von ordnungsgemäß befugten Mitarbeitern der zuständigen nationalen Behörden und Agenturen der Union verwendet werden dürfen.
Was Art. 11 Abs. 6 Buchst. a der Verordnung betrifft, erlaubt diese Bestimmung die Verwendung von auf dem Speichermedium von Personalausweisen und Aufenthaltsdokumenten gespeicherten biometrischen Daten nur, um den Personalausweis oder das Aufenthaltsdokument auf seine Echtheit zu überprüfen.
Art. 11 Abs. 6 Buchst. b der Verordnung 2019/1157 sieht vor, dass die auf dem Speichermedium von Personalausweisen und Aufenthaltsdokumenten gespeicherten biometrischen Daten zur Überprüfung der Identität des Inhabers „anhand direkt verfügbarer abgleichbarer Merkmale …, wenn die Vorlage des Personalausweises oder Aufenthaltsdokuments gesetzlich vorgeschrieben ist“, verwendet werden können. Da eine solche Verarbeitung jedoch geeignet ist, zusätzliche Informationen über das Privatleben der betroffenen Personen zu liefern, kann sie nur zu Zwecken, die strikt auf die Identifizierung der betroffenen Person beschränkt sind, und unter durch gesetzliche Bestimmungen über die Vorlage des Personalausweises oder des Aufenthaltsdokuments genau abgegrenzten Voraussetzungen erfolgen.
Was drittens die Abfrage der auf dem Speichermedium von Personalausweisen gespeicherten biometrischen Daten anbelangt, ist darauf hinzuweisen, dass der 19. Erwägungsgrund der Verordnung 2019/1157 eine Rangfolge bei der Verwendung der Mittel zur Überprüfung der Echtheit des Dokuments und der Identität des Inhabers aufstellt, indem er vorsieht, dass die Mitgliedstaaten „vorrangig das Gesichtsbild überprüfen“ müssen und, falls zur zweifelsfreien Bestätigung der Echtheit des Dokuments und der Identität des Inhabers notwendig, „auch die Fingerabdrücke“.
Was viertens das Risiko des unbefugten Zugriffs auf die gespeicherten Daten betrifft, sieht Art. 3 Abs. 5 und 6 der Verordnung 2019/1157 zur Reduzierung dieses Risikos auf ein Minimum vor, dass die Fingerabdrücke auf einem „hochsicheren Speichermedium“ gespeichert werden, das „eine ausreichende Kapazität [aufweist] und geeignet [ist], die Integrität, die Authentizität und die Vertraulichkeit der Daten sicherzustellen“. Zudem geht aus Art. 3 Abs. 10 dieser Verordnung hervor, dass dann, wenn „die Mitgliedstaaten im Personalausweis Daten für elektronische Dienste wie elektronische Behördendienste und den elektronischen Geschäftsverkehr [speichern], … diese nationalen Daten physisch oder logisch getrennt sein [müssen]“, insbesondere von Fingerabdrücken, die auf der Grundlage der Verordnung erhoben und gespeichert wurden. Schließlich ergibt sich aus den Erwägungsgründen 41 und 42 sowie aus Art. 11 Abs. 4 dieser Verordnung, dass die Mitgliedstaaten für die ordnungsgemäße Verarbeitung biometrischer Daten verantwortlich bleiben, auch wenn sie mit externen Dienstleistungsanbietern zusammenarbeiten.
ii) Zur Bedeutung der verfolgten Zielsetzungen
Wie in Rn. 86 des vorliegenden Urteils ausgeführt, zielt die Aufnahme von zwei Fingerabdrücken in das Speichermedium von Personalausweisen darauf ab, die Herstellung gefälschter Personalausweise und den Identitätsdiebstahl zu bekämpfen sowie die Interoperabilität der Systeme zur Überprüfung von Identitätsdokumenten zu gewährleisten. Insoweit ist sie geeignet, zum Schutz des Privatlebens der betroffenen Personen sowie im weiteren Sinne zur Bekämpfung von Kriminalität und Terrorismus beizutragen.
Des Weiteren ermöglicht es eine solche Maßnahme, sowohl dem Bedürfnis jedes Unionsbürgers nachzukommen, über ein Mittel zu verfügen, um sich zuverlässig zu identifizieren, als auch dem der Mitgliedstaaten, sich zu vergewissern, dass den Personen, die sich auf durch das Unionsrecht anerkannte Rechte berufen, diese Rechte auch tatsächlich zustehen. Sie trägt somit insbesondere dazu bei, den Unionsbürgern die Ausübung ihres Freizügigkeits- und Aufenthaltsrecht zu erleichtern, das ebenfalls ein in Art. 45 der Charta verbürgtes Grundrecht ist. Somit haben die mit der Verordnung 2019/1157, insbesondere durch die Aufnahme von zwei Fingerabdrücken in das Speichermedium von Personalausweisen, verfolgten Zielsetzungen nicht nur für die Union und die Mitgliedstaaten, sondern auch für die Unionsbürger besondere Bedeutung.
Im Übrigen werden die Legitimität und Bedeutung dieser Zielsetzungen nicht durch den vom vorlegenden Gericht angeführten Umstand in Frage gestellt, dass in den Rn. 24 bis 26 der Stellungnahme 7/2018 darauf hingewiesen wurde, dass zwischen 2013 und 2017 nur 38 870 gefälschte Personalausweise festgestellt worden seien und dass diese Zahl seit mehreren Jahren abnehme.
Selbst wenn man nämlich von einer geringen Zahl der gefälschten Personalausweise ausginge, war der Unionsgesetzgeber nicht verpflichtet, bis zum Anstieg dieser Zahl zu warten, um Maßnahmen zur Vermeidung des Risikos der Verwendung solcher Ausweise zu erlassen, sondern konnte, insbesondere im Interesse der Risikokontrolle, eine solche Entwicklung vorwegnehmen, sofern die übrigen Voraussetzungen in Bezug auf die Achtung des Grundsatzes der Verhältnismäßigkeit gewahrt wurden.
iii) Abwägung
Nach alledem ist festzustellen, dass die Einschränkung der Ausübung der in den Art. 7 und 8 der Charta garantierten Rechte, die sich aus der Aufnahme von zwei Fingerabdrücken in das Speichermedium von Personalausweisen ergibt, angesichts der Art der in Rede stehenden Daten, der Art und der Modalitäten der Verarbeitungsvorgänge sowie der vorgesehenen Schutzmechanismen nicht so schwer erscheint, dass sie außer Verhältnis zur Bedeutung der verschiedenen mit dieser Maßnahme verfolgten Zielsetzungen stünde. Somit ist davon auszugehen, dass eine solche Maßnahme auf einer ausgewogenen Gewichtung zwischen diesen Zielsetzungen und den betroffenen Grundrechten beruht.
Folglich verstößt die Einschränkung der Ausübung der in den Art. 7 und 8 der Charta garantierten Rechte nicht gegen den Grundsatz der Verhältnismäßigkeit, so dass der dritte Ungültigkeitsgrund nicht zur Ungültigkeit der Verordnung 2019/1157 zu führen vermag.
Die EuGH-Generaltanwältin kommt in ihren Schlussanträgen zu dem Ergebnis, dass die obligatorische Erfassung und Speicherung des Fingerabdrucks auf dem Personalausweis mit der DSGVO und anderen unionsrechtlichen Vorgaben vereinbar ist.
Die Pressemitteilung des EuGH: Nach Ansicht von Generalanwältin Medina ist die obligatorische Erfassung und Speicherung von Fingerabdrücken in Personalausweisen gültig
Die Verordnung 2019/11571 enthält ab dem 2. August 2021 die Verpflichtung, in jeden von den Mitgliedstaaten neu ausgestellten Personalausweis Fingerabdrücke des Inhabers auf einem hochsicheren Speichermedium aufzunehmen.
Im November 2021 stellte ein deutscher Staatsbürger bei der Landeshauptstadt Wiesbaden (Deutschland) einen Antrag auf Ausstellung eines neuen Personalausweises. In seinem Antrag ersuchte er ausdrücklich darum, diesen Ausweis ohne die Aufnahme von Fingerabdrücken im Chip des Ausweises auszustellen.
Die Landeshauptstadt Wiesbaden lehnte diesen Antrag u. a. mit der Begründung ab, dass der Personalausweis nicht ohne ein Abbild von Fingerabdrücken des Inhabers ausgestellt werden könne, da seit dem 2. August 2021 die Verpflichtung bestehe, ein Fingerabdruckbild im Chip neuer Personalausweise zu speichern.
Das in diesem Zusammenhang angerufene Verwaltungsgericht Wiesbaden hegt Zweifel an der Gültigkeit der Verordnung 2019/1157 und demzufolge an dem verpflichtenden Charakter der Erfassung und Speicherung von Fingerabdrücken in deutschen Personalausweisen. Das Verwaltungsgericht Wiesbaden möchte insbesondere wissen, erstens, ob die richtige Rechtsgrundlage für den Erlass der Verordnung 2019/1157 Art. 21 Abs. 2 AEUV oder nicht vielmehr Art. 77 Abs. 3 AEUV gewesen sei, zweitens, ob die Verordnung 2019/1157 mit den Art. 7 und 8 der Charta in Verbindung mit deren Art. 52 Abs. 1 vereinbar sei und, drittens, ob diese Verordnung mit der Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 10 der Datenschutz-Grundverordnung im Einklang stehe.
In ihren Schlussanträgen vom heutigen Tag kommt Generalanwältin Laila Medina zunächst zu dem Ergebnis, dass die Verordnung 2019/1157 zu Recht auf der Grundlage von Art. 21 Abs. 2 AEUV erlassen worden sei, um die Ausübung des Rechts der Unionbürger, sich in den Mitgliedstaaten frei zu bewegen und aufzuhalten, zu erleichtern.
In diesem Zusammenhang stellt sie fest, dass dieses Recht es den Unionsbürgern ermögliche, am Alltagsleben der anderen Einwohner des Aufnahmemitgliedstaats teilzuhaben. Die nationalen Personalausweise hätten somit die gleichen Funktionen wie die Personalausweise der Gebietsansässigen, was bedeute, dass nur ein zuverlässiger und authentischer Identitätsnachweis die uneingeschränkte Inanspruchnahme der Freizügigkeit erleichtere.
Die Vereinheitlichung des Formats der Personalausweise und die Verbesserung ihrer Zuverlässigkeit durch Sicherheitsstandards, einschließlich digitaler Fingerabdrücke, wirkten sich unmittelbar auf die Ausübung dieses Rechts aus, indem sie diese Ausweise vertrauenswürdiger machten und damit die Akzeptanz bei den Behörden der Mitgliedstaaten und den Dienstleistern stärkten. Letztendlich bedeute dies eine Verringerung der Unannehmlichkeiten, Kosten und administrativen Hindernisse für mobile Unionsbürger.
Schließlich ist sie der Auffassung, dass die dem Rat durch Art. 77 Abs. 3 AEUV verliehene Zuständigkeit dahin zu verstehen sei, dass sie sich ausschließlich auf den Kontext der Grenzkontrollpolitik beziehe. Eine Unionsmaßnahme, die über diesen spezifischen Zusammenhang hinausgehe, wie dies bei der Verordnung 2019/1157 der Fall sei, falle nicht in den Anwendungsbereich dieser Bestimmung.
Die Generalanwältin wendet sich dann der Prüfung zu, ob die Verpflichtung, ein Abbild von zwei Fingerabdrücken zu erfassen und in Personalausweisen zu speichern, eine nicht gerechtfertigte Einschränkung des Grundrechts auf Achtung des Privatlebens im Hinblick auf die Verarbeitung personenbezogener Daten darstelle.
Die Verordnung 2019/1157, die Maßnahmen einführe, die den vom Gerichtshof im Urteil Schwarz in Bezug auf Reisepässe geprüften vergleichbar seien, stelle eine Einschränkung der von den Art. 7 und 8 gewährleisteten Rechte dar. Daher sei zu prüfen, ob diese Verarbeitung auf der Grundlage von Art. 52 Abs. 1 der Charta gerechtfertigt werden könne.
Zur Frage, ob die sich aus der Verordnung 2019/1157 ergebenden Einschränkungen einer dem Gemeinwohl dienenden Zielsetzung entsprechen, vertritt die Generalanwältin die Auffassung, dass, da die fehlende Einheitlichkeit der Formate und Sicherheitsmerkmale der nationalen Personalausweise die Gefahr von Fälschungen und Dokumentenbetrug erhöhe, die von der Verordnung 2019/1157 eingeführten Einschränkungen, die diese Gefahr bekämpfen und damit die Akzeptanz solcher Ausweise fördern sollten, eine solche Zielsetzung verfolgten.
Sie ist außerdem der Ansicht, dass diese Einschränkungen geeignet und erforderlich seien und nicht über das hinausgingen, was zur Erreichung des Hauptziels dieser Verordnung absolut notwendig sei. Insbesondere scheine es keine im Vergleich zur Abnahme und Speicherung von Fingerabdrücken gleichermaßen geeignete, aber weniger in die Privatsphäre eingreifende Methode zu geben, um das Ziel der Verordnung 2019/1157 auf ähnlich wirksame Weise zu erreichen. Darüber hinaus biete die Verordnung 2019/1157 hinreichende und geeignete Maßnahmen, die sicherstellten, dass die Erfassung, Speicherung und Verwendung biometrischer Identifikatoren wirksam vor Missbrauch oder Fehlgebrauch geschützt sei. Diese Maßnahmen garantierten, dass in einem neu ausgestellten Ausweis gespeicherte biometrische Identifikatoren nach Ausstellung dieses Ausweises ausschließlich dem Ausweisinhaber zur Verfügung stünden und dass sie nicht öffentlich zugänglich seien. Ferner enthalte die Verordnung 2019/1157 keine Rechtsgrundlage für die Einrichtung oder Aufrechterhaltung nationaler Datenbanken oder einer zentralen Datenbank auf der Ebene der Europäischen Union.
Was schließlich die Frage angeht, ob die Verordnung 2019/1157 mit der Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 Abs. 10 DSGVO im Einklang stehe, weist die Generalanwältin darauf hin, dass die DSGVO und die Verordnung 2019/117 Rechtsakte des Sekundärrechts seien, die in der Hierarchie der Quellen des Unionsrechts gleichrangig seien. Außerdem ergebe sich aus der DSGVO an keiner Stelle, dass die Verpflichtung zur Durchführung einer Folgenabschätzung, wie sie in Art. 35 Abs. 1 DSGVO vorgesehen ist, für den Unionsgesetzgeber verbindlich sei, noch lege diese Bestimmung irgendein Kriterium fest, anhand dessen die Gültigkeit einer anderen sekundärrechtlichen Rechtsvorschrift der Europäischen Union zu beurteilen wäre. Die Generalanwältin ist daher der Ansicht, dass das Europäische Parlament und der Rat in dem Gesetzgebungsverfahren, das zum Erlass der Verordnung 2019/1157 geführt habe, nicht zur Durchführung einer Folgenabschätzung verpflichtet gewesen seien.
Die Pressemitteilung des Gerichts: Gegenvorstellungsverfahren nach dem Netzwerkdurchsetzungsgesetz teilweise nicht anwendbar
Die in § 3b des Gesetzes zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken (Netzwerkdurchsetzungsgesetz - NetzDG) vorgesehene Pflicht, ein Gegenvorstellungsverfahren vorzuhalten, ist auf in anderen EU-Mitgliedstaaten ansässige Anbieter sozialer Netzwerke teilweise nicht anwendbar. Das hat das Oberverwaltungsgericht heute vorläufig festgestellt und damit einen Eilbeschluss des Verwaltungsgerichts Köln teilweise geändert.
Die in Irland ansässige Antragstellerin ist ein Unternehmen des Meta-Konzerns und bietet die sozialen Netzwerke Facebook und Instagram für Nutzer in Deutschland an. Sie hatte im Wege des Eilrechtsschutzes gegenüber der Bundesrepublik Deutschland die vorläufige Feststellung begehrt, dass sie den Pflichten nach § 3a und § 3b NetzDG nicht unterliegt. § 3a NetzDG verpflichtet Anbieter sozialer Netzwerke, ihnen gemeldete rechtswidrige Inhalte auf das Vorliegen konkreter Anhaltspunkte für bestimmte Straftatbestände zu prüfen und die fraglichen Inhalte zusammen mit bestimmten Nutzerangaben gegebenenfalls an das Bundeskriminalamt zu melden. § 3b NetzDG verlangt von Anbietern sozialer Netzwerke, ein wirksames und transparentes Gegenvorstellungsverfahren vorzuhalten. Das soll Nutzern ermöglichen, eine Entscheidung des Anbieters des sozialen Netzwerks darüber, ob er einen bestimmten Inhalt entfernt bzw. den Zugang zu ihm sperrt, durch den Anbieter überprüfen zu lassen. Das Verwaltungsgericht Köln hat dem Eilantrag am 1. März 2022 hinsichtlich der Verpflichtungen nach § 3a NetzDG stattgegeben; insoweit ist der Beschluss nicht angegriffen worden. Im Übrigen, also in Bezug auf das Gegenvorstellungsverfahren nach § 3b NetzDG, hat das Verwaltungsgericht den Eilantrag abgelehnt. Hiergegen wandte sich die Antragstellerin mit ihrer Beschwerde.
Die Beschwerde war teilweise erfolgreich. Die Antragstellerin ist vorläufig nicht verpflichtet, Gegenvorstellungsverfahren zu Entscheidungen über die Löschung oder Sperrung strafrechtlich relevanter Inhalte bei sogenannten NetzDG-Beschwerden vorzuhalten (§ 3b Abs. 1 und 2 NetzDG). Der 13. Senat hat dazu ausgeführt, dass die Anwendung dieser Vorschrift auf Anbieter sozialer Netzwerke, die wie die Antragstellerin in einem anderen Mitgliedstaat der Europäischen Union ansässig sind, gegen das in der Richtlinie über den elektronischen Geschäftsverkehr (E-Commerce-Richtlinie) verankerte Herkunftslandprinzip verstoßen dürfte. Das unionsrechtliche Herkunftslandprinzip dient dem freien Dienstleistungsverkehr und bestimmt, dass Dienste der Informationsgesellschaft, zu denen auch soziale Netzwerke gehören, grundsätzlich nur dem Recht des Mitgliedstaats unterliegen, in dem der Anbieter niedergelassen ist (hier also Irland). Soweit die E-Commerce-Richtlinie den Mitgliedstaaten die Befugnis einräumt, Verfahren für die Löschung einer Information oder die Sperrung des Zugangs zu ihr festzulegen, dürfte sie nur Regelungen für in dem jeweiligen Mitgliedstaat ansässige Anbieter erlauben. Eine Abweichung vom Herkunftslandprinzip wäre daher nur unter den dafür ausdrücklich vorgesehenen Voraussetzungen zulässig. Diese dürften hier aber schon deshalb nicht erfüllt sein, weil die Bundesrepublik Deutschland die maßgeblichen verfahrensrechtlichen Anforderungen nicht eingehalten hat. Vor der Einführung von § 3b NetzDG hat sie die EU-Kommission sowie die betroffenen Sitzmitgliedstaaten der Anbieter sozialer Netzwerke nicht informiert bzw. letztere nicht erfolglos dazu aufgefordert, selbst Maßnahmen zu ergreifen. Davon durfte sie auch nicht im Rahmen eines sogenannten Dringlichkeitsverfahrens abweichen.
Hinsichtlich der Pflicht zur Vorhaltung eines Gegenvorstellungsverfahrens zu Entscheidungen über die Löschung oder Sperrung sonstiger Inhalte (§ 3b Abs. 3 NetzDG) - dies betrifft etwa gegen die Gemeinschaftsstandards bzw. -richtlinien von Facebook oder Instagram verstoßende Inhalte - hatte die Beschwerde hingegen keinen Erfolg. Das Verwaltungsgericht hat den auf vorbeugenden Rechtsschutz gerichteten Eilantrag insoweit zu Recht als unzulässig abgelehnt. Anders als die Pflicht nach § 3b Abs. 1 und 2 NetzDG ist die Pflicht zu einem Gegenvorstellungsverfahren nach § 3b Abs. 3 NetzDG nicht bußgeldbewehrt. Der Antragstellerin ist es daher insoweit zuzumuten, sich gegen etwaige Maßnahmen der zuständigen Aufsichtsbehörde (Bundesamt für Justiz) im Wege des nachträglichen Rechtsschutzes zur Wehr zu setzen.
(1) 1Der Anbieter eines sozialen Netzwerks muss ein wirksames und transparentes Verfahren nach Absatz 2 vorhalten, mit dem sowohl der Beschwerdeführer als auch der Nutzer, für den der beanstandete Inhalt gespeichert wurde, eine Überprüfung einer zu einer Beschwerde über rechtswidrige Inhalte getroffenen Entscheidung über die Entfernung oder die Sperrung des Zugangs zu einem Inhalt (ursprüngliche Entscheidung) herbeiführen kann; ausgenommen sind die Fälle des § 3 Absatz 2 Satz 1 Nummer 3 Buchstabe b. 2Der Überprüfung bedarf es nur, wenn der Beschwerdeführer oder der Nutzer, für den der beanstandete Inhalt gespeichert wurde, unter Angabe von Gründen einen Antrag auf Überprüfung innerhalb von zwei Wochen nach der Information über die ursprüngliche Entscheidung stellt (Gegenvorstellung). 3Der Anbieter des sozialen Netzwerks muss zu diesem Zweck ein leicht erkennbares Verfahren zur Verfügung stellen, das eine einfache elektronische Kontaktaufnahme und eine unmittelbare Kommunikation mit ihm ermöglicht. 4Die Möglichkeit der Kontaktaufnahme muss auch im Rahmen der Unterrichtung nach § 3 Absatz 2 Satz 1 Nummer 5 Buchstabe b eröffnet werden.
(2) Das Verfahren nach Absatz 1 Satz 1 muss gewährleisten, dass der Anbieter des sozialen Netzwerks
1. für den Fall, dass er der Gegenvorstellung abhelfen möchte, im Fall einer Gegenvorstellung des Beschwerdeführers den Nutzer und im Fall einer Gegenvorstellung des Nutzers den Beschwerdeführer über den Inhalt der Gegenvorstellung unverzüglich informiert sowie im ersten Fall dem Nutzer und im zweiten Fall dem Beschwerdeführer Gelegenheit zur Stellungnahme innerhalb einer angemessenen Frist gibt,
2. darauf hinweist, dass der Inhalt einer Stellungnahme des Nutzers an den Beschwerdeführer sowie der Inhalt einer Stellungnahme des Beschwerdeführers an den Nutzer weitergegeben werden kann,
3. seine ursprüngliche Entscheidung unverzüglich einer Überprüfung durch eine mit der ursprünglichen Entscheidung nicht befasste Person unterzieht,
4. seine Überprüfungsentscheidung dem Beschwerdeführer und dem Nutzer unverzüglich übermittelt und einzelfallbezogen begründet, in den Fällen der Nichtabhilfe dem Beschwerdeführer und dem Nutzer jedoch nur insoweit, wie diese am Gegenvorstellungsverfahren bereits beteiligt waren, und
5. sicherstellt, dass eine Offenlegung der Identität des Beschwerdeführers und des Nutzers in dem Verfahren nicht erfolgt.
(3) 1Sofern einer Entscheidung über die Entfernung oder die Sperrung des Zugangs zu einem Inhalt keine Beschwerde über rechtswidrige Inhalte zugrunde liegt, gelten die Absätze 1 und 2 entsprechend. 2Liegt der Entscheidung eine Beanstandung des Inhalts durch Dritte zugrunde, tritt an die Stelle des Beschwerdeführers diejenige Person, welche die Beanstandung dem Anbieter des sozialen Netzwerks übermittelt hat. 3Abweichend von Absatz 2 Nummer 3 ist es nicht erforderlich, dass die Überprüfung durch eine mit der ursprünglichen Entscheidung nicht befasste Person erfolgt. 4Abweichend von Absatz 1 Satz 2 bedarf es der Überprüfung nach Satz 1 dann nicht, wenn es sich bei dem Inhalt um erkennbar unerwünschte oder gegen die Allgemeinen Geschäftsbedingungen des Anbieters verstoßende kommerzielle Kommunikation handelt, die vom Nutzer in einer Vielzahl von Fällen mit anderen Nutzern geteilt oder der Öffentlichkeit zugänglich gemacht wurde und die Gegenvorstellung offensichtlich keine Aussicht auf Erfolg hat.
VG Köln
Beschlüsse vom 01.03.2022 6 L 1277/21 (Google Ireland Ltd.) 6 L 1354/21 (Meta Platforms Ireland Limited)
Das VG Köln hat entschieden, dass die Neuregelungen im Netzwerkdurchsetzungsgesetzes (NetzDG) teilweise unionsrechtswidrig sind. Das Gericht hat den Eilanträgen von Google und Meta / Facebook teilweise stattgegeben.
Die Pressemitteilung des Gerichts: Gericht entscheidet über Eilanträge von Google und Meta: Netzwerkdurchsetzungsgesetz verstößt teilweise gegen Unionsrecht
Zentrale Vorschriften des novellierten Netzwerkdurchsetzungsgesetzes (NetzDG) sind wegen Verstoßes gegen unionsrechtliche Vorschriften unanwendbar. Dies hat das Verwaltungsgericht Köln heute entschieden und damit Eilanträgen der Google Ireland Ltd. und der Meta Platforms Ireland Limited gegen die Bundesrepublik Deutschland teilweise stattgegeben.
Das novellierte NetzDG verpflichtet mit dem neu eingefügten § 3a Anbieter sozialer Netzwerke dazu, Inhalte, die ihnen im Rahmen einer Beschwerde über rechtswidrige Inhalte (sog. NetzDG-Beschwerde) gemeldet worden sind und welche sie entfernt oder zu denen sie den Zugang gesperrt haben, auf das Vorliegen konkreter Anhaltspunkte für bestimmte Straftatbestände zu überprüfen. Liegen solche Anhaltspunkte vor, müssen die Inhalte zusammen mit bestimmten Nutzerangaben an das Bundeskriminalamt übermittelt werden. § 3b NetzDG verpflichtet die Anbieter sozialer Netzwerke dazu, ein Gegenvorstellungsverfahren in Bezug auf Entscheidungen über die Entfernung oder die Sperrung des Zugangs zu einem Inhalt einzuführen. In § 4a NetzDG wird das Bundesamt für Justiz als für die Überwachung der Einhaltung der Vorschriften des NetzDG zuständige Behörde bestimmt.
Die in Irland niedergelassenen Anbieter der sozialen Netzwerke Youtube (Google), Facebook und Instagram (beide Meta) haben mit ihren Eilanträgen jeweils die Feststellung beantragt, dass sie nicht den neu geschaffenen Pflichten des NetzDG unterliegen. Zur Begründung machten sie Verstöße gegen Unionsrecht sowie nationales Verfassungsrecht geltend.
Dem ist das Gericht teilweise gefolgt. Beide Eilverfahren seien nur zum Teil zulässig. Soweit sie sich auch auf die Pflicht bezögen, ein Gegenvorstellungsverfahren in Bezug auf Entscheidungen über die Entfernung oder die Sperrung des Zugangs zu einem Inhalt einzuführen, denen keine NetzDG-Beschwerde zugrunde liege, fehle es am Rechtsschutzbedürfnis. Insoweit müssten sich die Antragstellerinnen auf den Rechtsschutz gegen etwaige aufsichtsbehördliche Verfügungen verweisen lassen.
In der Sache hat das Gericht entschieden, der Gesetzgeber habe bei der Einführung des § 3a NetzDG gegen das Herkunftslandprinzip der Richtlinie über den elektronischen Geschäftsverkehr (ECRL) verstoßen. Nach diesem Prinzip richten sich die rechtlichen Anforderungen an einen in einem Mitgliedsstaat der EU niedergelassenen Anbieter elektronischer Dienste nach dem Recht seines Sitzstaates. Die Antragsgegnerin könne sich nicht auf Ausnahmen von diesem Prinzip berufen, da der Gesetzgeber weder das für Ausnahmen vorgesehene Konsultations- und Informationsverfahren durchgeführt habe noch die Voraussetzungen eines Dringlichkeitsverfahrens vorgelegen hätten.
§ 4a NetzDG, der nur im Verfahren von Google Streitgegenstand war, verstoße gegen die Richtlinie über audiovisuelle Mediendienste, die auf Videosharingplattform-Dienste Anwendung finde. Diese statuiere den Grundsatz der rechtlichen und funktionellen Unabhängigkeit der zur Überwachung der Pflichtenerfüllung der Diensteanbieter zuständigen Medienbehörden. Da das als Bundesoberbehörde eingerichtete Bundesamt für Justiz mit Sitz in Bonn dem Bundesministerium für Justiz und Verbraucherschutz unterstehe und von diesem Weisungen entgegennehme, könne von der von der Richtlinie geforderten Staatsferne beim Bundesamt für Justiz keine Rede sein.
Im Verfahren der Meta Platforms Ireland Limited hat das Gericht den Antrag in Bezug auf das mit § 3b Abs. 1 NetzDG eingeführte Gegenvorstellungsverfahren nach Entscheidungen über NetzDG-Beschwerden abgelehnt. Zur Begründung führte das Gericht aus, die Vorschrift sei von der Befugnis der EU-Mitgliedstaaten zur Festlegung von Verfahren für die Entfernung einer Information oder die Sperrung des Zugangs zu ihr (Art. 14 Abs. 3 ECRL) gedeckt. Auch ein Verstoß gegen die in der Charta der Grundrechte der Europäischen Union gewährleistete unternehmerische Freiheit oder nationales Verfassungsrecht sei nicht gegeben.
Die gerichtlichen Beschlüsse wirken nur zwischen den jeweiligen Verfahrensbeteiligten.
Gegen die Beschlüsse können die Beteiligten jeweils Beschwerde einlegen, über die das Oberverwaltungsgericht in Münster entscheiden würde.
VG Wiesbaden
Beschluss vom 13.01.2022 6 K 1563/21.WI
Das VG Wiesbaden hat dem EuGH zur Entscheidung vorgelegt, ob die Speicherung des Fingerabdrucks auf dem Personalausweis mit der DSGVO und anderen unionsrechtlichen Vorgaben vereinbar ist.
Aus den Entscheidungsgründen: 1. Zur Überzeugung des Gerichts hätte für den Erlass der das besondere Gesetzgebungsverfahren des Art. 77 AEUV durchgeführt werden müssen.
Der AEUV unterscheidet in dessen Art. 289 zwischen dem ordentlichen Gesetzgebungsverfahren und den besonderen Gesetzgebungsverfahren. Die wurde auf Art. 21 Abs. 2 AEUV gestützt und auf Vorschlag der Europäischen Kommission nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente, nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses und nach Anhörung des Ausschusses der Regionen gemäß dem ordentlichen Gesetzgebungsverfahren erlassen.
Laut Art. 21 Abs. 2 AEUV können das Europäische Parlament und der Rat gemäß dem ordentlichen Gesetzgebungsverfahren Vorschriften erlassen, mit denen die Ausübung des Freizügigkeitsrechts erleichtert wird, wenn zur Erreichung dieses Ziels ein Tätigwerden der Union erforderlich erscheint und die Verträge hierfür keine Befugnisse vorsehen.
Art. 77 Abs. 3 S. 1 AEUV enthält eine weitere Kompetenznorm, die sich unter anderem auf Regelungen zu Personalausweisen bezieht. Gemäß dieser Norm kann der Rat gemäß einem besonderen Gesetzgebungsverfahren Bestimmungen betreffend Pässe, Personalausweise, Aufenthaltstitel oder diesen gleichgestellte Dokumente erlassen, sofern die Verträge hierfür anderweitig keine Befugnisse vorsehen, falls zur Erleichterung der Freizügigkeit ein Tätigwerden der Union erforderlich ist. Der Rat beschließt einstimmig nach Anhörung des Europäischen Parlaments. Durch dieses Erfordernis der Einstimmigkeit wird den Mitgliedstaaten auf diesem Gebiet ein Höchstmaß an Souveränität belassen (von der Groeben/Schwarze/Sarah Progin-Theuerkauf, 7. Aufl. 2015, AEUV Art. 77, Rn 22).
Art. 77 AEUV entspricht dem damaligen Art. 62 EGV (EG-Vertrag). Die , in deren Art. 1 Abs. 2 bestimmt ist, dass Fingerabdrücke in Reisepässen gespeichert werden, wurde damals vom Verordnungsgeber auf Art. 62 EGV gestützt. Mit Urteil vom 17.10.2013 entschied der Europäische Gerichthof, dass Art. 62 Nr. 2 Buchst. a EGV eine geeignete Rechtsgrundlage für den Erlass der , insbesondere deren Art. 1 Abs. 2, darstellte (EuGH, Urteil vom 17.10.2013 – C-291/12 –, Rn. 20; CELEX 62012CJ0291).
Die Kompetenz nach Art. 77 Abs. 3 AEUV geht Art. 21 Abs. 2 AEUV vor, da Art. 77 Abs. 3 AEUV als dem Inhalt nach speziellere Vorschrift höhere Anforderungen an das Gesetzgebungsverfahren stellt (Schwarze/Becker/Hatje/Schoo, EU-Kommentar, AEUV Art. 77 Rn. 20, beck-online) und Art. 21 Abs. 2 AEUV nur dann einschlägig ist, wenn die Verträge für das Erreichen des Ziels der Förderung der Freizügigkeit keine anderen Befugnisse vorsehen. Die bezieht sich zwar nicht auf die Weiterentwicklung des Schengen-Besitzstandes, intendiert aber wie die die Angleichung der Sicherheitsmerkmale und die Aufnahme biometrischer Identifikatoren als wichtigen Schritt zur Verwendung neuer Elemente im Hinblick auf künftige Entwicklungen auf europäischer Ebene. Hierdurch soll wie bei der die Sicherheit von Dokumenten (hier: Personalausweisen statt Reisepässen) erhöht werden.
Nach alledem ist das Gericht der Auffassung, dass es für den wirksamen Erlass der – und damit auch des Art. 3 Abs. 5 dieser Verordnung – des besonderen Gesetzgebungsverfahrens nach Art. 77 Abs. 3 AEUV bedurft hätte.
2. Zudem bestehen inhaltliche Zweifel an der Vereinbarkeit der Erfassung und Speicherung von Fingerabdrücken bei Personalausweisen mit Art. 7 und 8 GrCh.
Nach Art. 7 GrCh hat jede Person das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation. Aus Art. 8 GrCh folgt das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten.
Bereits im Urteil vom 17.10.2013 hat der Europäische Gerichtshof festgestellt, dass die Erfassung und die Speicherung von Fingerabdrücken durch die nationalen Behörden in Reisepässen, die in Art. 1 Abs. 2 der geregelt sind, einen Eingriff in die Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellen (EuGH, Urteil vom 17.10.2013 – C-291/12 –, Rn. 30, CELEX 62012CJ0291). Fingerabdrücke sind personenbezogene Daten, da sie objektiv unverwechselbare Informationen über natürliche Personen enthalten und deren genaue Identifizierung ermöglichen (EuGH, Urteil vom 17.10.2013 – C-291/12 –, Rn. 27, CELEX 62012CJ0291, unter Verweis auf EGMR, Urteil vom 04.12.2008, S. und Marper/Vereinigtes Königreich, Reports of judgments and decisions 2008-V, S. 213, §§ 68 und 84). Dieselben Grundrechte sind auch bei der Erfassung und Speicherung von Fingerabdrücken bei Personalausweisen betroffen.
Das Gericht hat Zweifel daran, ob die Erfassung der Fingerabdrücke und damit ein Eingriff in Art. 7 und 8 GrCh auch bei Personalausweisen gerechtfertigt ist.
Nach Art. 52 GrCh muss jede Einschränkung der Ausübung der in dieser Charta anerkannten Rechte und Freiheiten gesetzlich vorgesehen sein und den Wesensgehalt dieser Rechte und Freiheiten achten. Unter Wahrung des Grundsatzes der Verhältnismäßigkeit dürfen Einschränkungen nur vorgenommen werden, wenn sie erforderlich sind und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen.
Zudem ist in Art. 8 Abs. 2 GrCh bestimmt, dass personenbezogene Daten nur mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden dürfen.
Im vorliegenden Fall liegt zur Überzeugung des Gerichts – ebenso wie der Europäische Gerichtshof zu Reisepässen entschieden hat – keine Einwilligung der einen Personalausweis beantragenden Personen in die Erfassung ihrer Fingerabdrücke vor. Jedoch bestimmt dies Art. 3 Abs. 5 als gesetzliche Regelung für alle Personalausweise.
Gemäß sind alle Deutschen verpflichtet, einen gültigen Ausweis zu besitzen, sobald sie 16 Jahre alt sind und der allgemeinen Meldepflicht unterliegen oder, ohne ihr zu unterliegen, sich überwiegend in Deutschland aufhalten. Zur Ausstellung dieses Dokuments ist die Abnahme von Fingerabdrücken damit zwingend vorgeschrieben. Da eine Personalausweispflicht besteht, kann nicht davon ausgegangen werden, dass diejenigen, die einen Personalausweis beantragen, in eine solche Datenverarbeitung eingewilligt haben (so auch EuGH, Urteil vom 17.10.2013 – C-291/12 – Rn. 31, CELEX 62012CJ0291).
Mithin bedarf es nach Art. 52 Abs. 1 GrCh einer legitimen gesetzlichen Grundlage.
Zwar ist die Aufnahme von Fingerabdrücken in Personalausweisen in Art. 3 Abs. 5 gesetzlich vorgesehen. Auch entspricht dies zumindest in Teilen den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen.
Ausweislich der Erwägungsgründe (1), (4) und (46) dient die dazu, die Freizügigkeit zu stärken und der Fälschung von Dokumenten und der Vorspiegelung falscher Tatsachen in Bezug auf die an das Aufenthaltsrecht geknüpften Bedingungen vorzubeugen. Die Freizügigkeit schließt das Recht ein, mit einem gültigen Personalausweis oder Reisepass Mitgliedstaaten zu verlassen und in Mitgliedstaaten einzureisen, Erwägungsgrund (2). Nach Erwägungsgrund (18) dient die Aufnahme von Fingerabdrücken dazu, dass in Kombination mit dem Gesichtsbild eine zuverlässige Identifizierung des Inhabers und eine Verringerung des Betrugsrisikos erreicht werden kann.
Innerhalb der Europäischen Union kann der Personalausweis im Rahmen der Grenzüberschreitung genutzt werden. Außerdem erlauben auch Staaten, die nicht der EU angehören, die Einreise mit dem Personalausweis, so etwa insbesondere die Schweiz, Island, Norwegen, Albanien und Montenegro. Der Personalausweis wird vor diesem Hintergrund zumindest auch als Reisedokument genutzt, sodass hierdurch die Regelung auch dem Zweck dient, die illegale Einreise aus diesen Ländern zu verhindern. Dies würde eine von der Union anerkannte dem Gemeinwohl dienende Zielsetzung darstellen (EuGH, Urteil vom 17.10.2013 – C-291/12 –, Rn. 38, CELEX 62012CJ0291). Allerdings liegt der Hauptzweck des Personalausweises gerade nicht primär darin, ein Reisedokument im Schengen-Raum wie der Reisepass zu sein. Insoweit verweisen die Erwägungsgründe der zu Recht, entgegen denen in der , gerade nicht auf den Schengen-Raum als Raum der Freiheit.
Auch regelt die die Nutzung der gespeicherten biometrischen Daten nicht in diesem Sinne, wenn in Art. 11 Abs. 6 festlegt ist, dass die gespeicherten biometrischen Daten nur verwendet werden dürfen, um die Echtheit oder Identität des Inhabers zu überprüfen. Mithin lässt die offen, wie die Freizügigkeit erleichtert werden soll. Das Ziel der Verhinderung illegaler Einreise kann insoweit nicht mit der Erleichterung der Freizügigkeit gleichgesetzt werden.
Selbst wenn die Regelung eine dem Gemeinwohl dienende Zielsetzung verfolgen sollte, bestehen jedoch Zweifel daran, ob Art. 3 Abs. 5 verhältnismäßig ist. Dies wäre nur dann der Fall, wenn die Einschränkungen dieser Rechte aus der GrCh gemessen an den mit der verfolgten Zielen und damit gemessen am Zweck, die illegale Einreise von Personen in das Unionsgebiet zu verhindern und eine zuverlässige Identifizierung des Ausweisinhabers zu ermöglichen, verhältnismäßig sind. Hierfür müssen die mit dieser Verordnung eingesetzten Mittel zur Erreichung dieser Ziele geeignet sein und nicht über das dazu Erforderliche hinausgehen (EuGH, Urteil vom 17.10.2013 – C-291/12 –, Rn. 40, Rn. 38, CELEX 62012CJ0291).
Hierbei muss der Ansicht des Gerichts nach berücksichtigt werden, dass der Personalausweis in tatsächlicher und rechtlicher Hinsicht nicht mit dem Reisepass gleichgesetzt werden kann, sondern dass hinsichtlich der Verwendung dieser Dokumente deutliche Unterschiede bestehen. Dennoch werden durch Art. 3 Abs. 5 die beiden Dokumente hinsichtlich der Fingerabdrücke gleich behandelt.
Zwar kann der Personalausweis – wie oben bereits dargestellt – auch als Reisedokument verwendet werden. Dennoch unterscheiden sich Personalausweise und Reisepässe sowohl in rechtlicher, als auch praktischer Hinsicht. Selbst wenn Personalausweise auch als Reisedokumente im Freizügigkeitskontext genutzt werden, erfolgt keine routinemäßige Kontrolle zumindest bei Reisen zwischen EU-Mitgliedsstaaten. Zudem dürfte für die meisten Unionsbürger die primäre Funktion der nationalen Identitätskarte nicht mit der Freizügigkeit verknüpft sein. Personalausweise weisen nämlich über diese hinausgehende Nutzungsarten auf. So werden Personalausweise im Alltag unter anderem für Interaktionen mit den nationalen Verwaltungsbehörden oder mit privaten Dritten, wie etwa Banken oder Fluggesellschaften genutzt. Unionsbürger, die ihre Freizügigkeit ausüben wollen würden, können dies bereits mit ihrem Reisepass tun (in diesem Sinne auch: Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf S. 10).
Zudem besteht in Deutschland eine Pflicht, einen Personalausweis zu besitzen, . Der Bürger kann im Gegensatz zum Reisepass nicht selbst entscheiden, ob er einen Personalausweis beantragt oder nicht. Auch der Europäische Datenschutzbeauftragte ist der Ansicht, dass die Aufnahme und Speicherung von Fingerabdrücken weitreichende Auswirkungen auf bis zu 370 Mio. EU-Bürger hätte, da er bei 85 % der EU-Bevölkerung die obligatorische Abnahme von Fingerabdrücken verlangen würde. Dieser breit angelegte Anwendungsbereich sowie die höchst sensiblen Daten, die verarbeitet werden (Gesichtsbilder in Kombination mit Fingerabdrücken), verlangen eine gründliche Prüfung auf der Grundlage einer strengen Prüfung der Notwendigkeit (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf S. 9, 10 m.w.N). Das Gericht folgt der Überlegung des Europäische Datenschutzbeauftragte, dass in Anbetracht der Unterschiede zwischen Personalausweisen und Reisepässen die Einführung von Sicherheitsmerkmalen, die für Reisepässe möglicherweise als angemessen gelten, für Personalausweise nicht automatisch gelten darf, sondern dies der Überlegung und einer gründlichen Analyse bedarf (ABl. C 338 vom 21.09.2018, S. 22). Diese fehlt vorliegend.
Das Gericht ist der Ansicht, dass sich in Kombination mit den oben geschilderten weit gefassten Verwendungsmöglichkeiten und der Vielzahl der betroffenen Unionsbürger nach eine viel höhere Eingriffsintensität im Vergleich zu Reisepässen ergibt, die im Gegenzug auch eine stärkere Rechtfertigung erfordert.
Im Rahmen der Auslegung der Art. 7 und 8 GrCh sind auch die Wertungen der DS-GVO zu berücksichtigen. Ausweislich der Erwägungsgründe (1) und (2) der DS-GVO ist der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ein Grundrecht. Die Grundsätze und Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sollten gewährleisten, dass ihre Grundrechte und Grundfreiheiten und insbesondere ihr Recht auf Schutz personenbezogener Daten ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gewahrt bleiben. Die DS-GVO soll zur Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts und einer Wirtschaftsunion, zum wirtschaftlichen und sozialen Fortschritt, zur Stärkung und zum Zusammenwachsen der Volkswirtschaften innerhalb des Binnenmarkts sowie zum Wohlergehen natürlicher Personen beitragen.
Daktyloskopische Daten sind besondere Arten personenbezogener Daten nach Art. 9 Abs. 1 DS-GVO, nämlich biometrische Daten. Diese werden in Art. 4 Nr. 14 DS-GVO definiert als mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten. Gemäß Art. 9 Abs. 1 DS-GVO ist die Verarbeitung solcher biometrischen Daten im Grundsatz untersagt und nur in eng gefassten Ausnahmefällen zulässig.
Soweit die Fingerabdrücke in Personalausweisen aufgenommen werden sollen, um die Fälschungssicherheit zu fördern, ist festzuhalten, dass in den Jahren 2013-2017 lediglich 38.870 gefälschte Identitätskarten festgestellt worden sein sollen und seit Jahren die Nutzung gefälschter Identitätskarten abnimmt (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf,S.11).
Es ist bereits nicht hinreichend deutlich, ob die Aufnahme von Fingerabdrücken die Sicherheit vor Fälschungen tatsächlich zu fördern vermag. Eine Übereinstimmung der biometrischen Daten, die auf dem Chip des Personalausweises gespeichert sind mit den Fingerabdrücken des Besitzers des Ausweises bestätigt lediglich, dass das Dokument zum Besitzer gehört. Aus der Übereinstimmung an sich folgt noch kein Nachweis der Identität, solange nicht der Personalausweis selbst als echt festgestellt wurde. Zwar ist anerkannt, dass die Nutzung biometrischer Daten die Wahrscheinlichkeit der erfolgreichen Fälschung eines Dokumentes reduziert, so dass die Aufnahme von Fingerabdrücken zumindest teilweise den Zweck fördern kann (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf S. 13).
Ob jedoch diese Möglichkeit den weitreichenden Eingriff zu rechtfertigen vermag, erscheint höchst fraglich, zumal auch ein Personalausweis mit defektem Chip entgegen der nach nationalem Recht weiterhin gültig ist. Hierzu führt das Bundesamt für Sicherheit in der Informationstechnik aus, dass "ein Ausweis mit funktionsunfähigem Chip seine Gültigkeit [behält], auch wenn der integrierte Chip erkennbar defekt ist. Die Sicherheit als Ausweisdokument ist durch die physischen Sicherheitsmerkmale gegeben" (https://www.bsi.bund.de/DE/Themen/ Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Digitale-Verwaltung/Online-Ausweisfunktion/FAQ-Online-Ausweisfunktion/faq-online-ausweisfunktion_node.html). Wenn jedoch die Sicherheit allein durch die physischen Sicherheitsmerkmale (insbesondere Mikroschriften, UV-Aufdrucke etc.) gegeben ist, stellt sich die Frage nach der Erforderlichkeit der Aufnahme von Fingerabdrücken umso deutlicher.
Auch der Europäische Datenschutzbeauftragte betonte, dass Sicherheitsmaßnahmen bezogen auf den Druck des Dokuments, wie etwa die Verwendung von Hologrammen oder Wassermarken, eine deutlich geringere Eingriffsintensität hätten. Diese Methoden würden keine Verarbeitung von personenbezogenen Daten beinhalten, wären jedoch auch dazu in der Lage, die Fälschung von Ausweisdokumenten zu verhindern und die Authentizität eines Dokuments zu verifizieren (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf S. 16).
In diesem Rahmen ist auch eines der wichtigsten Prinzipien des europäischen Datenschutzrechts zu beachten: Das Prinzip der Datenminimierung bzw. Datensparsamkeit. Hiernach muss die Erhebung und Nutzung von persönlichen Daten verhältnismäßig und erforderlich, sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
Sollte es nötig sein, Fingerabdrücke zu erfassen, stellt sich auch die Frage, warum es der Ablichtung des gesamten Abdrucks bedarf. Hierdurch wird zwar die Interoperabilität der verschiedenen Arten der Systeme, die Fingerabdrücke erkennen können, gefördert. Diese Systeme können in drei Unterkategorien eingeteilt werden. Zum einen gibt es die Systeme, die komplette Ablichtungen der Fingerabdrücke speichern und vergleichen. Andere Systeme verwenden so genannte Minuzien. Diese Minuzien beschreiben eine Teilmenge von Charakteristiken, die aus den Ablichtungen der Fingerabdrücke gewonnen werden. Die dritte Kategorie sind Systeme, die mit einzelnen Mustern, die aus Ablichtungen der Fingerabdrücke extrahiert werden, arbeiten. Falls lediglich eine Minuzie gespeichert würde, könnte ein Mitgliedstaat, der mit einem System arbeitet, das eine Ablichtung des gesamten Fingerabdrucks verwendet, diese nicht nutzen. Die Speicherung des gesamten Fingerabdrucks fördert die Interoperabilität, jedoch erhöht sie die Anzahl der gespeicherten persönlichen Daten und damit das Risiko des Identitätsdiebstahles, falls es zu einem Datenleck kommt (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf S. 14).
Die in den Personalausweisen verwendeten RFID-Chips lassen sich unter Umständen auch von nicht autorisierten Scannern auslesen. Dies liegt daran, dass sie über ein Funkfeld aktiviert werden und im Anschluss die Daten in verschlüsselter Form übertragen. Damit hängt die Sicherheit des Verfahrens letztlich an der Qualität der Übertragungs- und Verschlüsselungstechnologie. Gerade die Verwendung des gesamten Fingerabdrucks wirkt sich in diesem Zusammenhang risikoerhöhend aus (in diesem Zusammenhang zu elektronischen Aufenthaltstiteln: NK-AuslR/Schild, 2. Aufl. 2016, AufenthG § 78 Rn. 37).
Bei alledem ist auch zu beachten, dass es sich bei Fingerabdrücken um biometrische Daten handelt. Der Verordnungsgeber hat unter anderem durch die Einführung von Art. 9 DS-GVO gezeigt, dass diese einem besonderen Schutz unterliegen.
Selbst die verzichtet auf das "Sicherheitsmerkmal" des Fingerabdrucks bei Kindern unter 12 Jahren und befreit Kinder unter 6 Jahren vollständig von der Pflicht zur Abgabe, Art. 3 Abs. 7 . Viel wichtiger ist aber, dass bei Personen, denen eine Abnahme von Fingerabdrücken physisch nicht möglich ist (z.B. bei Adermatoglyphie), diese von der Pflicht zur Abgabe befreit sind. Wozu dann dieses Sicherheitsmerkmal noch dienen soll, bleibt in der ungeregelt und schlicht offen.
3. Der Europäische Datenschutzbeauftragte unterstreicht in seiner Stellungnahme vom 10.08.2018 ferner, dass Artikel 35 Abs. 10 DS-GVO auf die Erfassung und Verarbeitung der Fingerabdrücke Anwendung findet. Nach Artikel 35 Abs. 1 DS-GVO ist eine Datenschutz-Folgenabschätzung durchzuführen, bevor eine Verarbeitung erfolgt, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Diese Datenschutz-Folgeabschätzung sollte sich insbesondere mit einer Beurteilung der Risiken für die Rechte und Freiheiten der betroffenen Personen sowie mit den Maßnahmen beschäftigen, mit denen gegen diese Risiken vorgegangen werden soll, wie Garantien und Sicherheitsvorkehrungen (Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen vom 10.08.2018, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/18-08-10_opinion_eid_en.pdf, S. 12).
Da die Rechtsgrundlage auf Unionsrecht, dem der Verantwortliche unterliegt, beruht und da diese Rechtsvorschriften den konkreten Verarbeitungsvorgang regeln, hat die allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage zu erfolgen (Art. 35 Abs. 10 DS-GVO). Eine solche Folgenabschätzung wäre daher bei Erlass der durchzuführen gewesen. Sie ist ausweislich der Erwägungsgründe nicht erfolgt.
Das Gericht ist, wie der Europäische Datenschutzbeauftragte in seiner Stellungnahme vom 10.08.2018, der Auffassung, dass die Folgenabschätzung die obligatorische Aufnahme sowohl von Gesichtsbildern als auch von (zwei) Fingerabdrücken in Personalausweise nicht tragen würde. Bereits in Gesetzgebungsverfahren hat der Europäische Datenschutzbeauftragte empfohlen, vor diesem Hintergrund die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung biometrischer Daten (Gesichtsbild in Kombination mit Fingerabdrücken) erneut zu prüfen (ABl. C 338 vom 21.09.2018, S. 22).
Der Verordnungsgeber geht in Erwägungsgrund (40) auf diese Problematik in Bezug auf die DS-GVO nur sehr allgemein ein. Es verbleibt bei unbestimmten Aussagen, wie etwa, dass die Unionsbürger über das Speichermedium informiert werden solle und weiter präzisiert werden müsste, welche Garantien für die verarbeiteten personenbezogenen Daten sowie insbesondere für sensible Daten wie beispielsweise biometrische Identifikatoren gelten. Das Speichermedium sollte hochsicher sein, und die auf ihm gespeicherten personenbezogenen Daten sollten wirksam vor unbefugtem Zugriff geschützt sein. Es bleibt vage, was mit "hochsicher" gemeint ist und wie die Garantien und Schutzvorkehrungen ausgestaltet sein sollen. Insbesondere ist keine Abwägung mit den Risiken bei einem Datenleck des Chips und dem Eingriff in Art. 7 und 8 GrCh ersichtlich.
Es stellt sich daher die Frage, ob das Unterlassen einer verpflichtenden Risikofolgeabschätzung die Wirksamkeit einer Norm unberührt lassen kann oder nicht vielmehr bei zwingender Verpflichtung des Normgebers zur Durchführung einer Risikofolgeabschätzung sein Unterlassen zu einer Ungültigkeit der Norm führen muss. Andernfalls würde der Normgeber für sein Fehlverhalten belohnt werden.
