Systematische Erhebung biometrischer und genetischer Daten für Zwecke polizeilicher Registrierung unzulässig

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 26.01.2023 (C-205/21) entschieden, dass die systematische Erhebung biometrischer und genetischer Daten aller beschuldigten Personen für die Zwecke ihrer polizeilichen Registrierung unzulässig ist.

Sie verstoße gegen die Anforderung, einen erhöhten Schutz gegen die Verarbeitung sensibler personenbezogener Daten zu gewährleisten.

Der EuGH stellte zunächst fest, dass die Richtlinie 2016/680 im Licht der Charta dahin auszulegen sei, dass die Verarbeitung biometrischer und genetischer Daten durch die Polizeibehörden für ihre Untersuchungstätigkeiten zu Zwecken der Kriminalitätsbekämpfung und der Aufrechterhaltung der öffentlichen Ordnung nach nationalem Recht zulässig sei, wenn Letzteres eine hinreichend klare und präzise Rechtsgrundlage für die Zulässigkeit dieser Verarbeitung enthalte. Der Umstand, dass der nationale Gesetzgebungsakt, der eine solche Rechtsgrundlage enthalte, im Übrigen auf die Datenschutz-Grundverordnung und nicht auf die Richtlinie 2016/680 Bezug nehme, sei für sich genommen nicht geeignet, diese Zulässigkeit in Frage zu stellen, sofern die Auslegung aller anwendbaren Bestimmungen des nationalen Rechts hinreichend klar, präzise und unmissverständlich ergebe, dass die fragliche Verarbeitung biometrischer und genetischer Daten in den Anwendungsbereich dieser Richtlinie und nicht in den der DSGVO falle.

In diesem Zusammenhang stellte der Gerichtshof in Anbetracht dessen, dass sich die einschlägigen nationalen Rechtsvorschriften auf die Bestimmungen der DSGVO zur Regelung der Verarbeitung sensibler Daten bezögen und dabei den Inhalt der Bestimmungen der Richtlinie 2016/680 wiedergaben, die die Verarbeitung eben dieser Daten beträffen, fest, dass diese Bestimmungen nicht gleichwertig seien. Während nämlich eine Verarbeitung sensibler Daten durch die zuständigen Behörden u. a. für die unter die Richtlinie 2016/680 fielen, den Zwecke der Verhütung und Aufdeckung von Straftaten nur erlaubt sein könne, wenn sie unbedingt erforderlich sein und mit geeigneten Garantien einhergingen und im Unionsrecht oder im nationalen Recht vorgesehen sein müsse, sehe die DSGVO ein grundsätzliches Verbot der Verarbeitung solcher Daten, versehen mit einer Liste von Ausnahmen, vor. Der nationale Gesetzgeber könne zwar im Rahmen ein und desselben legislativen Instruments die Verarbeitung personenbezogener Daten zu Zwecken, die unter die Richtlinie 2016/680 fallen, und zu anderen Zwecken, die unter die DSGVO fallen, vorsähen, jedoch sei er verpflichtet, sich zu vergewissern, dass keine Unklarheiten hinsichtlich der Anwendbarkeit des einen oder des anderen Unionsrechtsakts auf die Erhebung sensibler Daten bestünden.

Des Weiteren wies der Gerichtshof in Bezug auf eine etwaige nicht ordnungsgemäße Umsetzung der Richtlinie 2016/680, die das vorlegende Gericht vorgebracht habe, darauf hin, dass diese Richtlinie nicht verlange, dass die nationalen Vorschriften, die die in ihren Anwendungsbereich fallende Verarbeitung von Daten erlaubten, eine Bezugnahme auf diese Richtlinie enthalten müssten. Er stellt klar, dass der nationale Gesetzgeber, wenn er die Verarbeitung biometrischer und genetischer Daten durch die zuständigen Behörden vorsehe, die entweder in den Anwendungsbereich dieser Richtlinie oder in den der DSGVO fallen könnten, aus Gründen der Klarheit und Genauigkeit zum einen ausdrücklich auf die Vorschriften des nationalen Rechts, die die Umsetzung dieser Richtlinie gewährleisten, und zum anderen auf die DSGVO Bezug nehmen könne, ohne verpflichtet zu sein, die genannte Richtlinie zu erwähnen. Bei einem offensichtlichen Widerspruch zwischen den nationalen Bestimmungen, die die in Rede stehende Datenverarbeitung erlaubten, und jenen, die sie auszuschließen scheinen, müsse das nationale Gericht diese Bestimmungen jedoch so auslegen, dass die praktische Wirksamkeit der Richtlinie 2016/680 gewahrt bleibe.

Die rechtswidrige Speicherung von Daten durch öffentliche oder nichtöffentliche kann nicht nur zu Ansprüchen auf Löschung, sondern auch auf Schadenersatz nach Art. 82  DSGVO führen.

Wenn Sie Anhaltspunkte für eine solche Speicherung haben, hilft zunächst das Auskunftsrecht nach Art. 15 DSGVO.

Gerne setzen wir Ihre Auskunfts-, Schadenersatz- und Löschungsansprüche für Sie durch.