Der Europäische Gerichtshof (EuGH) hat entschieden, dass Strafverfolgungsbehörden biometrische und personenbezogene Daten von Straftätern nicht ohne weiteres bis zu deren Tod speichern dürfen. Dies geht aus einem am Dienstag (30. Januar) veröffentlichten Urteil hervor.
Biometrische Daten sind persönliche Informationen, die zur Identifizierung einer Person dienen und Teil eines digitalen Identitätsprüfungsverfahrens sein können. Solche Daten können Fingerabdrücke, Gesichtserkennungssysteme oder Iris-Scans umfassen.
Personenbezogene Daten sind persönliche Daten über die Merkmale einer Person, wie Geschlecht, Herkunft, Größe oder Gewicht. Sie können auch spezifischer sein und Informationen über den psychischen oder physischen Gesundheitszustand liefern.
Diese Arten von Daten sind Teil der Informationen, die über Straftäter in den EU-Mitgliedstaaten gesammelt werden, und konnten bis zu deren Tod gespeichert werden. Der oberste Gerichtshof der EU hat nun festgestellt, dass diese Vorgehensweise gegen das EU-Recht verstößt.
„Das Ergebnis des Urteils ist begrüßenswert und nicht überraschend“, sagte Lorenzo Dalla Corte, Assistenzprofessor für Datenschutz- und Cybersicherheitsrecht an der Universität Tilburg, gegenüber Euractiv.
„Die Rechtsprechung des Gerichtshofs zur Vorratsdatenspeicherung war ziemlich eindeutig in Bezug auf die Tatsache, dass allgemeine und willkürliche Maßnahmen zur Vorratsdatenspeicherung, die zur Prävention, Untersuchung und Verfolgung von (schweren) Straftaten durchgeführt werden, gegen das EU-Recht verstoßen“, erklärte er.
Dalla Corte fügte hinzu, dass „sich diese Rechtsprechung zwar auf andere Themen wie Telekommunikationsdaten und Passagierlisten bezog, es aber logisch ist, ihre Prinzipien auf die Richtlinie 2016/680 und den vorliegenden Fall anzuwenden, wie es der Gerichtshof getan hat.“
Das Urteil erging im Anschluss an einen Fall in Bulgarien, bei dem es um einen Eintrag in das Strafregister einer Person ging, die als Zeuge vor Gericht falsch oder unvollständig ausgesagt hatte. Dieser Fall führte zu einer einjährigen Bewährungsstrafe, nach der die Person rechtlich rehabilitiert wurde.
Nach bulgarischem Recht werden die Daten der Person in den Akten aufbewahrt. Diese können von den Behörden verarbeitet werden, die ohne zeitliche Begrenzung – außer nach dem Tod der Person – darauf zugreifen können.
Der Antrag auf Löschung der Daten wurde abgelehnt, da eine rechtskräftige strafrechtliche Verurteilung auch nach einer gerichtlichen Rehabilitierung nicht aus dem Strafregister gelöscht werden kann. In der Berufung legte das Oberste Verwaltungsgericht Bulgariens dem Europäischen Gerichtshof Fragen vor.
Der Europäische Gerichtshof wies darauf hin, dass die bulgarischen Strafregister Fingerabdrücke, ein Foto, eine DNA-Probe und Daten über die Straftaten enthalten. Diese können wichtig sein, um zu überprüfen, ob eine Person eine Straftat begangen hat oder rechtskräftig verurteilt wurde.
Nach Ansicht des EU-Gerichtshofs besteht für diese Personen jedoch nicht dasselbe Risiko, in eine Straftat verwickelt zu werden, und daher ist es nicht gerechtfertigt, eine einheitliche Speicherfrist für ihre Daten festzulegen, die bis zu ihrem Tod andauern würde. Ein solcher Zeitrahmen sollte nur in bestimmten Fällen gelten.
„Der kritische Punkt ist hier nicht die Rechtmäßigkeit der vom Gerichtshof geprüften Maßnahme und auch nicht ihre Eignung als Instrument zur Verbrechensprävention, -aufklärung und -verfolgung“, sagte Dalla Corte.
„Das Problem bei dieser Art von Maßnahme ist vielmehr, dass die generelle und willkürliche Speicherung von [sensiblen] personenbezogenen Daten nicht als ’notwendig‘ angesehen werden kann, da geeignete Alternativen denkbar sind, die zu einem geringeren Eingriff in die Grundrechte der betroffenen Personen führen würden.“
Nach EU-Recht müssen nationale Gesetze die Verantwortlichen für die Datenverarbeitung verpflichten, in regelmäßigen Abständen zu überprüfen, ob die Speicherung von Daten noch notwendig ist oder nicht. Im letzteren Fall müssen sie den Betroffenen auch die Möglichkeit bieten, die Informationen zu löschen.
Dalla Corte sagte abschließend, dass „die Gesetzgeber der EU-Mitgliedstaaten letztendlich damit rechnen müssen, dass die Aufbewahrung von Daten bis zum Tod einer Person nur unter besonderen Umständen als ‚angemessen‘ angesehen werden kann, und dass sie ihre Rechtsvorschriften entsprechend anpassen müssen.“
[Bearbeitet von Luca Bertuzzi/Zoran Radosavljevic]