Datenschutz hat viele Facetten. Ein sehr wichtiger Bereich ist der Schutz vor staatlicher Überwachung. Natürlich bin ich (spätestens seit Edward Snowden's Veröffentlichungen) nicht so naiv anzunehmen, dass die DSGVO mich als Bürger davor umfänglich schützt. Und natürlich vertraue ich gleichzeitig auf die Funktion von demokratischen, rechtsstaatlichen Strukturen.
Trotzdem muss man in diesem Bereich genau hinschauen, was in der Gesetzgebung passiert, sowohl auf Europäischer als auch Bundes-Ebene.
Update 13.11.2020:
Nach der öffentlichen Anhörung vom 26.10.2020 (externer Link, Bundestag Mediathek) zum Gesetzentwurf im Ausschuss für Inneres, die größtenteils mit Blick auf die Technik und die mögliche Monopolstellung der Bundesdruckerei geführt wurde, ist das Gesetz seit Herbst durch den Bundestag. Erhebliche Datenschutzbedenken spielten letztendlich wohl keine große Rolle.
Digitalcourage e.V. prüft die rechtlichen Möglichkeiten dagegen.
Unterstützung notwendig (externer Link, Digitalcourage)
Häufig ist es so, dass Änderungen an Gesetzen, die Polizei, Justiz und andere Behörden hier regulieren, kurz und lautstark diskutiert werden. Und dann gerät das Ganze in Vergessenheit (bzw. nur noch kleinere privat organisierte Menschenrechts- und Datenschutz-Organisationen protestieren, so lautstark sie können. Sehr selten gelingt es, mit Unterstützung von Presse und Medien, eine breite Basis gegen solche teilweise einschneidenden und manchmal schleichenden Änderungen zu mobilisieren.
Ein solcher Bereich ist die Änderung der EU-Gesetzgebung und damit Anpassung der nationalen Gesetzgebung zur verpflichtenden Speicherung eines zweiten biometrischen Merkmals auf Personalausweisen (ID-Karten).
EU-Gesetzgebung sollte plötzlich die Freizügigkeit verbessern
Bereits 2016 wurde der "Action plan to strengthen the European response to travel document fraud" von der EU-Kommission veröffentlicht. Dabei ging es im Wesentlichen um Dokumenten-Fälschung im Kontext von Terrorabwehr, organisierter Kriminalität und Schleuserei.
In der Einleitung hieß es:
"The increasingly significant problem of travel document fraud has come under the spotlight in the context of the recent terrorist attacks in Europe and current migration flows.
Document fraud has become an enabler of terrorism and organised crime, and is linked to the trafficking of human beings and migrant smuggling.
It is vital that we enhance the security of travel documents, including the underlying identity management infrastructure. "[...]
Was sagte der Europäische Datenschutzbeauftragte (EDPS) dazu?
Die Stellungnahme des EDPS (Dokument, PDF auf der Webseite Europäischer Rat, https://data.consilium.europa.eu) vom 17. August 2018 zum Entwurf für eine Europäische Gesetzesgrundlage sieht eine Verschiebung der von der EU-Kommission benannten Zielsetzung in Richtung "Verbesserung der Freizügigkeit", also weniger Hindernisse in der Bewegungsfreiheit von EU-Bürgern innerhalb der Europäischen Union.
Diese Änderung der vorgeblichen Zielsetzung des Vorhabens durch die Kommission (ohne Änderung der eigentlichen Zielsetzung, nämlich 2 biometrische Merkmale auf Ausweise hinterlegen zu lassen) hätte eigentlich eine kleine "Fußangel" für das ganze Vorhaben sein können. So weist der EDPS darauf hin, dass er eine Erforderlichkeit in diesem Zusammenhang nicht sieht.
Angemessenheit und Erforderlichkeit
Ebenso wenig sieht er eine Angemessenheit dieser Maßnahme hinsichtlich der Tatsache, dass die Fälle von Fälschungen von Ausweisdokumenten vergleichsweise gering sind und seit 2013 stetig gesunken sind. Auch die praktische Gleichsetzung von Pass und Personalausweis-Dokumenten ist für ihn nicht gerechtfertigt, da gerade Personalausweise nicht nur für Reisen, sondern für eine Vielzahl anderer Anwendungsfälle benötigt werden (Behörden-Gänge, etc.)
Grundrechts- und Datenschutz-Überlegungen müssten eigentlich überwiegen
Recht eindrücklich zeigt eine kleine Anfrage von Bundestags-Abgeordneten und der Fraktion DIE LINKE an die Bundesregierung (Deutscher Bundestag, Drucksache 19/22133 vom 04.09.2020), dass es für einen so massiven Grundrechts-Eingriff (der letzte Vorstoß in diese Richtung geschah übrigens 1938) nur recht wackelige Grundlagen gibt. Möglicherweise könnte man sogar behaupten, dass hier die Einschätzung des EDPS einfach "weggewischt" wurde.
In der Antwort der Bundesregierung auf die Anfrage hört sich das so an:
[...]"Das mit dem im April 2018 von der Europäischen Kommission (EU Kommission) vorgelegten Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Erhöhung der Sicherheit der Personalausweise von Unionsbürgern und der Aufenthaltsdokumente, die Unionsbürgern und ihren Familienangehörigen in Ausübung ihres Rechts auf Freizügigkeit ausgestellt werden (COM(2018) 212 final) verfolgte Ziel, die Sicherheitsmerkmale von vorgenannten Dokumenten zu stärken und damit insgesamt zur Erhöhung der Sicherheit in der Europäischen Union (EU) beizutragen, wurde vom Europäischen Datenschutzbeauftragten in seiner Stellungnahme vom 10. August 2018 (Ratsdokument 11629/18 vom 17. August 2018) nach Auffassung der Bundesregierung grundsätzlich begrüßt." [...]
Die Aussage des EDPS in seiner Stellungnahme zu Punkt 2 "Objectives and context of the proposal":
Also - die Auffassung der Bundesregierung ist grundsätzlich richtig, wenn man weglässt, das der Europäische Datenschutzbeauftragte ausdrücklich betonte, dass es keine ausreichende Rechtfertigung für die Speicherung zweier biometrischer Merkmale für die verfolgte Zielsetzung gäbe und "ein weniger Eingriffs-intensiver Ansatz" diese Zielsetzung auch erfüllen könnte.
Biometrische Merkmale - na und?
Das wird sich so mancher fragen, der ganz selbstverständlich sein Mobil-Telefon per Gesichtserkennung oder Fingerabdruck entsperrt. Und das nächste Argument ist dann gleich noch "ich hab doch nix zu verbergen".
Die Diskussion ist alt und ich will hier nicht wieder auf die Einzigartigkeit von biometrischen Merkmalen eingehen (die bei Kompromittierung auch nicht einfach ersetzbar sind wie ein Wechsel eines Passworts oder einer PIN).
Nur ist eben die Verwendung von Gesichtserkennung, Fingerabdrücken und anderen biometrischen Merkmalen beim Einsatz durch Staat und Behörden mit etwas mehr Sensibilität zu betrachten. Staatliche Strukturen und politische Rahmenbedingungen sind nicht "in Stein gemeißelt".
Wieso hat der sich jetzt so?
Wie gesagt - ich vertraue auf unsere Demokratie und unsere rechtsstaatlichen Strukturen. Trotzdem möchte ich nicht, dass so sensible persönliche Merkmale für den vorgeblichen Schutz der Sicherheit oder gar für "bessere Freizügigkeit innerhalb der EU" (wer kennt das nicht, dass er stundenlang am Grenzübergang zu Österreich warten muss, bis die Grenzer überprüft haben, ob das Bild auf dem Personalausweis mit der Person übereinstimmt?) ohne wirklich triftigen Grund (z. B. weil ich eben eine kriminelle Handlung begangen habe und dabei erwischt wurde) gespeichert werden.
Ein besserer Schutz vor Ausweisfälschung ist - vor allem wenn man nachfolgende Statistik betrachtet (aus der Bundestagsdrucksache Drucksache 19/22133 entnommen) - einfach kein Grund für mich, mit ca. 370 Millionen anderer EU-Bürger unter Generalverdacht gestellt zu werden.
Und bei 71 von der Bundespolizei festgestellten gefälschten deutschen ID-Karten 2019 stellt sich mir die etwas zugespitzte Frage, welchen Wert Datenschutz-Grundsätze wie Angemessenheit und Erforderlichkeit im Umfeld des Gesetzgebers und der EU-Kommission überhaupt haben.
Und deshalb finde ich auch die Initiative #PersoOhneFinger von DigitalCourage e.V. (externer Link, Digital Courage e.V.) unterstützenswert.