Zwang

18. März 2023

Der Zwang zur Abgabe von Fingerabdrücken für den Personalausweis ist umstritten. In Luxemburg fand am Dienstag dieser Woche  eine Sitzung dazu vor dem Europäischen Gerichtshof statt. Ein Bürgerrechtler hatte geklagt. Netzpolitik.org informiert:

Rechtsanwalt Wilhelm Achelpöhler (rechts) und sein Mandant, der Kläger Detlev Sieber im Verhandlungssaal
Rechtsanwalt Wilhelm Achelpöhler (rechts) und sein Mandant, der Kläger Detlev Sieber CC-BY 4.0 Konstantin Macher

Schon deutsche Gerichte hatten darauf hingewiesen, jetzt zeichnet sich auch vor dem Europäischen Gerichtshof (EuGH) ein ähnliches Bild ab: Der Fingerabdruckzwang steht auf wackeligen Rechtsbeinen. Gestern wurde der Fall mündlich in Luxemburg verhandelt.

Geklagt hatte Detlev Sieber von der Bürgerrechtsorganisation Digitalcourage, zunächst vor dem Verwaltungsgericht Wiesbaden: Sieber verlangte von der Stadt einen Personalausweis ohne dafür biometrische Daten in Form von Fingerabdrücken zu hinterlassen. Die Richter hatten den Fall dann an den Europäischen Gerichtshof (EuGH) weitergegeben (Beschl. v. 13.01.2022, Az. 6 K 1563/21.WI).

Dass die rechtlichen Bedenken aus Wiesbaden kein Einzelfall sind, hat sich in der Zwischenzeit bestätigt: Das Verwaltungsgericht Hamburg hat am 22. Februar angeordnet, dass einer Person ein Personalausweis ohne gespeicherte Fingerabdrücke ausgestellt werden soll [Az 20 E 377/23]

Zweifel aus den eigenen Reihen

Die Sitzung am EuGH fand nun vor der Großen Kammer statt – ein Zeichen, dass das Gericht sich der Dimension bewusst ist. Mehr als 300 Millionen EU-Bürger:innen sind von der Verordnung 2019/1157 betroffen. Sie verpflichtet seit 2021 alle EU-Bürger:innen, zwei Fingerabdrücke abzugeben, sobald sie einen neuen Personalausweis beantragen. Die biometrischen Daten werden anschließen auf einem Chip im Personalausweis gespeichert.

Die EU sagt, die Verordnung diene dem Fälschungsschutz und soll es den Behörden einfacher machen, eine verlässliche Verbindung zwischen einer Person und ihrem Ausweis herzustellen. Laut dem Europäischen Datenschutzbeauftragten ist das allerdings nicht notwendig.Schon 2018 hat dieser empfohlen, auf Alternativen zurückzugreifen, die in gleichem Maße Fälschungen vorbeugen – dabei aber das Grundrecht auf Datenschutz schonen.

Neben dem Fälschungsschutz gibt es noch eine zweites Argument: Mit dem neuen Perso könnten sie EU-Bürger:innen frei in und zwischen den Staaten bewegen. Für Kritiker:innen ist auch diese Begründung vorgeschoben. Schließlich besitzen die meisten EU-Bürger:innen bereits einen Reisepass. Und bei Reisen innerhalb der EU wird der Perso ohnehin kaum kontrolliert.

Vorgeschobene Gründe

Jetzt also Luxemburg. Die Parteien trugen ihre Rechtsansicht am Dienstagvormittag im Grande Salle Palais vor den 15 anwesenden Richter:innen vor. Wilhelm Achelpöhler, der Anwalt des Klägers, begann mit seinem Hauptangriffspunkt: Die Fingerabdrücke dienten nicht ausschließlich dem Zweck, dass sich Unionsbürger:innen frei in und zwischen den Staaten bewegen könnten. Im Gegenteil: Die Verordnung ließe es ausdrücklich zu, dass nationale Behörden aus beliebigen Gründen – beispielsweise für die Strafverfolgung – auf die biometrischen Daten zugreifen. „Die Verordnung begrenzt die Verwendung der Daten nicht auf das erforderliche Maß“, sagte Achelpöhler.

Der Anwalt erklärte auch noch mal, welchen Weg die Daten nehmen. Sobald EU-Bürger:innen einen Antrag für einen neuen Personalausweis stellen, nimmt die zuständige Behörde biometrische Daten in Form von zwei Fingerabdrücken. Danach verbleiben die hochsensiblen Daten bis zu 90 Tage bei der Behörde sowie beim Unternehmen, das den Ausweis anschließend erstellt. Im Regelfall sollen die Daten zwar schon bei Abholung des Ausweises gelöscht werden. Doch auf der Grundlage von nationalen Gesetzen kann der Staat in diesem Zeitraum auf die Daten zugreifen.

Nach 90 Tagen verringert sich die Gefahr eines Zugriffs: Die Daten sind dann nur noch auf einem kleinen Chip im Personalausweis. Auf diesen können Behörden nur noch mit einem speziellen Lesegerät zugreifen. Und nur zu dem Zweck, um den Ausweis und die Identität der Person auf Echtheit zu überprüfen.

90 Tage Wilder Westen

90 Tage sind dennoch eine lange Zeit für die EU, die sich sonst gerne als Vorreiter in Fragen des Datenschutzes positioniert. Achelpöhler sagt in der Verhandlung dazu: „Warum soll man bei der Ausstellung eines Personalausweises Fingerabdrücke der Bürger erheben und diese für 90 Tage zu jedem potentiellen Zweck des nationalen Rechts verwenden?“ Ein solche Regelung verunsichere die Bürger:innen und führe zu der Befürchtung, dass der Staat anlasslos die Daten gegen sie verwendet.

Konstantin Macher, ein Sprecher von Digitalcourage, erhob in einer Pressemitteilung nach der Verhandlung noch einmal ganz grundsätzliche Kritik: „Auch auf mehrere Nachfragen hin konnten EU-Kommission und Rat nicht erklären, wie eine Gefahr für die biometrischen Daten der betroffenen Bürger.innen ausgeschlossen werden soll. Das lässt sich auch gar nicht verhindern: wenn die Daten einmal erhoben werden besteht das Risiko des Datenlecks und des Missbrauchs. Darum sollte es erst gar keine Fingerabdruckpflicht geben.“

Vertreter:innen von Kommission, Parlament und Rat verteidigten den Fingerabdruckzwang vor dem EuGH vehement. Das ist wenig überraschend, schließlich geht die Verordnung auf diese Institutionen zurück. Eine Vertreterin des Rats der Europäischen Union betonte in ihrem Statement immer wieder, dass die Daten vor Zugriff sicher seien.

Der nächste Schritt im Verfahren ist jetzt die Veröffentlichung der Schlussanträge der Generalanwältin am 29. Juni. In den allermeisten Fällen folgt das Gericht diesen Anträgen. Ein Termin für die endgültige Urteilsverkündung steht noch nicht fest.

Ein Beitrag von Jan Lutz auf netzpolitik.org, Creative Commons BY-NC-SA 4.0.

Posted by Robert Koop
Filed in Europäische Union, International, Justiz und Verwaltung, Menschenrechte ·Schlagwörter: , , , , , , , , , , , , , , , , , , ,
Leave a Comment »

jede Minute

18. Mai 2022

Firmen greifen jede Minute deine Daten ab: Technologieunternehmen machen dann ihr Geld mit Online-Werbung. Ein neuer Bericht des Irish Council for Civil Liberties (ICCL) zeigt, in welchem Ausmaß sie dafür Daten abgreifen – und wo diese Daten landen.

die welt bei nacht aus dem weltraum fotografiert
Ein neuer Bericht zeigt, wie persönliche Daten dank Google und Co. bei Firmen in der ganzen Welt landen. Gemeinfrei-ähnlich freigegeben durch unsplash.com NASA

Eine Person, die in Deutschland im Internet unterwegs ist, wird im Schnitt jede Minute vermessen. Was schaut sie an? Wo geht sie hin? Auf das so geschnürte Datenpaket können Tausende Firmen zugreifen. Das geht aus einem neuen Bericht des Irish Council for Civil Liberties (ICCL) hervor. Firmen auf der ganzen Welt haben demnach Zugang zu teils sehr privaten Daten wie sexuellen Vorlieben oder politischer Haltung. Die Bürgerrechtsorganisation prangert die Aktivitäten der Tech-Giganten als „größtes Datenleck“ an.

Anhand interner Dokumente aus der Werbeindustrie beleuchtet der Bericht das so genannte Real-Time-Bidding, ein Verfahren, mit dem in Echtzeit Anzeigenplätze auf Webseiten oder Apps versteigert werden. Dafür wird erhoben, welche Inhalte sich Nutzer:innen ansehen oder wo sie sich befinden, um ihnen zielgenau passende Werbeanzeigen zeigen zu können. Die Zahlen des Berichts beziehen sich auf Europa und die Vereinigten Staaten. Pro Tag würden in Europa demnach 197 Milliarden mal Daten abgegriffen.

„Google und Microsoft größte Datensammler“

Der größte Akteur ist dem Bericht zufolge Google. Doch auch Microsoft sei in die obere Liga aufgestiegen, seit es Ende 2021 die Real-Time-Bidding Firma Xandr kaufte. Zwei weitere Unternehmen, die ebenfalls im großen Stil mit Daten handeln – Facebook und Amazon – sind in den ausgewerteten Dokumenten nicht berücksichtigt, so der ICCL. Laut den recherchierten Zahlen ist Google in Deutschland und Europa der größte Händler. Pro Jahr beläuft sich der Wert des Real-Time-Bidding dem Bericht zufolge auf 117 Milliarden Dollar in den USA und Europa. In der EU sollen es 2019 23 Milliarden Euro gewesen sein. Aus den Dokumenten geht außerdem hervor, dass der Umfang des Datensammeln in Europa deutlich geringer ist als in den Vereinigten Staaten.

Technisch ist das Real-Time-Bidding leicht nachvollziehbar: Sobald man eine entsprechende Seiten öffnet, sammelt ein Dienst im Hintergrund Gebote für die Anzeigenplätze. Die Bietenden analysieren sämtliche Daten der Person, die die Anzeige sehen soll und entscheiden, ob und wie hoch geboten wird. Der höchstbietende Dienst bekommt anschließend den Anzeigenplatz. All das läuft in Echtzeit, also innerhalb weniger Millisekunden ab. Zu den Daten, die alle Dienste während des Prozesses abgreifen können, zählen nicht nur Standort oder Alter. Sie beinhalten oft auch persönliche Vorlieben oder religiöse Orientierung.

Daten enden auf der ganzen Welt

Die Daten, die gesammelt werden, sind nicht nur für die Bieterdienste zugänglich. Laut dem Bericht des ICCL teilt in Europa allein Google die gesammelten Daten mit 1.058 Unternehmen. Darunter seien auch Firmen aus China und Russland. Ein weiteres Dokument aus der Tracking-Industrie zeigt, welche privaten Informationen gesammelt werden, darunter zum Beispiel, ob eine Person Suchtprobleme oder Geschlechtskrankheiten hat. Welche Konsequenzen das haben kann, zeigte erst kürzlich ein Fall in den USA, bei dem ein katholischer Newsletter-Dienst mithilfe von kommerziell zugänglichen Daten aus der Dating-App Grindr einen Priester als homosexuell outete.

Ein Beitrag von Philipp Gröschel
auf Netzpolitik.org / Creative Commons BY-NC-SA 4.0.

Posted by Robert Koop
Filed in Europäische Union, Justiz und Verwaltung, Virtuelle Welt ·Schlagwörter: , , , , , , , , ,
Leave a Comment »