6.8.2008   

DE

Amtsblatt der Europäischen Union

C 200/1

1.

Die Europäische Kommission hat dem Europäischen Parlament und dem Rat am 18. Oktober 2007 einen Vorschlag für eine Verordnung (nachstehend „Vorschlag“ genannt) zur Änderung der Verordnung (EG) Nr. 2252/2004 (1) vorgelegt. Der Europäische Datenschutzbeauftragte (EDSB) wurde zu diesem Vorschlag nicht konsultiert, obwohl die Kommission gemäß Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 den Datenschutzbeauftragten konsultieren muss, wenn sie einen Vorschlag für Rechtsvorschriften bezüglich des Schutzes der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten annimmt.

2.

Der EDSB bedauert, dass die Kommission ihrer rechtlichen Verpflichtung zur Konsultation nicht nachgekommen ist und erwartet, dass er künftig zu allen Vorschlägen, die in den Geltungsbereich von Artikel 28 Absatz 2 fallen, konsultiert wird. Der EDSB hat beschlossen, von sich aus eine Stellungnahme abzugeben. Da es sich bei Artikel 28 Absatz 2 um eine bindende Vorschrift handelt, sollte in der Präambel des Textes auf diese Stellungnahme Bezug genommen werden.

3.

Der Vorschlag hat folgenden Hintergrund: Der Rat hat am 13. Dezember 2004 die Verordnung (EG) Nr. 2252/2004 über Normen für Sicherheitsmerkmale und biometrische Daten in von den Mitgliedstaaten ausgestellten Pässen und Reisedokumenten angenommen, damit biometrische Daten in Pässe aufgenommen werden können. Zusammen mit den Sicherheitselementen sollen die biometrischen Daten die Verknüpfung zwischen dem Pass und dem Inhaber des Dokuments verstärken. Die Kommission hat am 28. Februar 2005 den ersten Teil der technischen Spezifikationen angenommen (2), der sich auf die Speicherung des Lichtbilds des Inhabers auf einem kontaktlosen Mikrochip bezieht. Die Kommission hat am 28. Juni 2006 eine zweite Entscheidung (3) über die zusätzliche Speicherung von zwei Fingerabdrücken auf dem Pass-Chip angenommen.

4.

Im Hinblick auf die Harmonisierung der Ausnahmen zu den biometrischen Pässen wurden mit dem Vorschlag die folgenden Maßnahmen hinzugefügt: Kinder unter 6 Jahren sind von der Fingerabdruckabnahmepflicht befreit; das Gleiche soll für Personen gelten, bei denen eine Abnahme von Fingerabdrücken physisch unmöglich ist.

5.

Zusätzlich wird mit dem Vorschlag das verbindliche Konzept „Eine Person — ein Pass“ eingeführt, das als ergänzende Sicherheitsmaßnahme und zusätzlicher Kinderschutz beschrieben wird.

6.

Der EDSB begrüßt, dass die Kommission den Punkt bezüglich der Ausweichverfahren berücksichtigt hat, den er in seinen früheren Stellungnahmen dargelegt hat, wie in der Begründung zu dem Vorschlag angegeben.

7.

Der EDSB bedauert jedoch, dass die Kommission keine Folgenabschätzung zu diesem Vorschlag durchgeführt hat. Es ist daher unklar, wie die Kommission in der Lage war, ohne Untermauerung durch eine strenge Folgenabschätzung die Notwendigkeit und die Verhältnismäßigkeit des Vorschlags im Zusammenhang mit Datenschutzfragen angemessen zu bewerten. Eine solche Abschätzung sollte nicht auf die Kosten beschränkt sein, die durch die neuen Maßnahmen verursacht werden; sie könnte sich ferner an ähnliche Fragen anlehnen, die bereits im Kontext anderer Vorschläge aufgeworfen wurden, wie z.B. dem Vorschlag zur Überprüfung der Gemeinsamen Konsularischen Instruktion (4). Das Fehlen einer Folgenabschätzung unterstreicht auch die Notwendigkeit, die in dem Vorschlag vorgesehene Altersgrenze zu überprüfen, wie unter Abschnitt 2.1 dieser Stellungnahme näher erläutert wird.

8.

Der EDSB hat mehrfach auf die Vorteile hingewiesen, die die Verwendung biometrischer Daten mit sich bringt; er hat jedoch auch betont, dass diese Vorteile von der Anwendung strenger Schutzmaßnahmen abhängig sind. In seiner Stellungnahme zum SIS II (5) hat der EDSB eine nicht erschöpfende Liste gemeinsamer Verpflichtungen oder Anforderungen vorgeschlagen, die beachtet werden müssen, wenn biometrische Daten in einem System verwendet werden. Diese Elemente sollen dazu beitragen, dass dem Passinhaber nicht die Mängel des Systems aufgebürdet werden, wie z.B. die Folgen einer falschen Identifizierung oder einer Nichterfassung der Fingerabdrücke.

9.

Daher unterstützt der EDSB nachdrücklich den Vorschlag der Kommission, Ausnahmen von der Abnahme von Fingerabdrücken auf der Grundlage des Alters der Person oder der physischen Unmöglichkeit, bei der Person Fingerabdrücke abzunehmen, vorzusehen. Diese Ausnahmen sind Teil der Ausweichmaßnahmen, die umgesetzt werden sollten. Der EDSB begrüßt ferner die Bemühungen der Kommission, einen kohärenten Ansatz bei den verschiedenen Rechtsinstrumenten zu verfolgen, die ähnliche Fragen betreffen; so wurde beispielsweise auch ein Vorschlag für Ausnahmen in den Vorschlag zur Überprüfung der Gemeinsamen Konsularischen Instruktion aufgenommen.

10.

Der EDSB hält diese Ausnahmen jedoch weiterhin für nicht zufriedenstellend, da sie nicht alle möglichen und relevanten Probleme behandeln, die durch die inhärenten Mängel biometrischer Systeme verursacht werden, insbesondere die Probleme in Bezug auf Kinder und ältere Personen.

11.

In der Begründung zu dem Vorschlag weist die Kommission auf Pilotprojekte in einigen Mitgliedstaaten hin, die gezeigt haben, dass „die Qualität der Fingerabdrücke von Kindern unter 6 Jahren für einen Eins-zu-eins-Vergleich nicht ausreicht“. Es sind jedoch nur wenig bis gar keine Informationen über diese Pilotprojekte und die Umstände, unter denen sie durchgeführt wurden, verfügbar; bislang wurde weder erklärt noch definiert, was unter „ausreichende Qualität“ zu verstehen ist.

12.

Nach Ansicht des EDSB sollte die Altersgrenze für die Abnahme von Fingerabdrücken bei Kindern durch eine einheitliche und eingehende Studie definiert werden, die die Genauigkeit der Systeme unter realen Bedingungen angemessen ermitteln sollte, und die der Unterschiedlichkeit der verarbeiteten Daten Rechnung tragen sollte. Die Pilotprojekte als solche bieten nicht genug Informationen, auf die sich der Gemeinschaftsgesetzgeber bei grundlegenden Entscheidungen stützen könnte.

13.

Der EDSB hat bereits in seiner Stellungnahme (6) zu dem Vorschlag für eine Verordnung zur Änderung der Gemeinsamen Konsularischen Instruktion darauf hingewiesen, dass vor der Festlegung einer Altersgrenze eine derartige Studie durchgeführt werden muss. Weder die verfügbare Fachliteratur noch die zuvor im Rahmen des Vorschlags über das Visa-Informationssystem (7) durchgeführte Folgenabschätzung der Kommission liefern schlüssige Anhaltspunkte für eine solide begründete Altersgrenze bei Kindern.

14.

Der EDSB empfiehlt daher, dass die in dem Vorschlag vorgesehene Altersgrenze als vorläufig betrachtet werden sollte. Nach drei Jahren sollte die Altersgrenze überprüft und durch eine umfassende und eingehende Studie untermauert werden. In Anbetracht des sensiblen Charakters biometrischer Daten sowie der wettbewerblichen Aspekte biometrischer Systeme schlägt der EDSB vor, dass diese Studie von einer einzigen europäischen Einrichtung verwaltet werden sollte, die über eindeutige Fachkenntnisse und geeignete Prüfvorrichtungen in diesem Bereich verfügt (8). Alle einschlägigen Beteiligten — aus der Industrie und aus den Behörden der Mitgliedstaaten — sollten eingeladen werden, einen Beitrag zu dieser Studie zu leisten.

15.

Bevor die Altersgrenze durch diese Studie klar festgelegt ist, und um jede mit Unsicherheiten behaftete Durchführung zu vermeiden, empfiehlt der EDSB, dass die angewandte Altersgrenze jenen Altersgrenzen entspricht, die bereits für umfassende Personengruppen im Rahmen der Verordnung über das Eurodac-System (9) in Bezug auf Asylbewerber (Altersgrenze von 14 Jahren für die Abnahme von Fingerabdrücken von Kindern) oder des US-Visit-Programms (10) (Altersgrenze ebenfalls 14 Jahre) verschlossen wurden. Diese Grenzen könnten sogar etwas niedriger angesetzt sein, da die Verwendung biometrischer Daten gemäß Artikel 4 Absatz 3 der Verordnung (EG) Nr. 2252/2004 strikt auf Zwecke der Überprüfung (Abgleich „eins zu eins“) beschränkt ist. In der Tat kommt es hierbei in der Regel zu weniger Fehlern als bei einem Identifizierungsverfahren (Abgleich „eins zu n“), das höhere Fehlerquoten aufweist.

16.

Die Mängel von Fingerabdrucksystemen zeigen sich nicht nur bei Kindern, sondern auch bei älteren Menschen. So wurde in der Tat nachgewiesen, dass die Genauigkeit und die Nutzbarkeit von Fingerabdrücken mit zunehmendem Alter abnehmen (11); ferner spielen auch hier die praktische Handhabung und die Ergonomie eine Rolle. Entsprechend der Argumentation zur Altersgrenze bei Kindern empfiehlt der EDSB, dass eine Altersgrenze für ältere Menschen, die auf bereits bestehende vergleichbare Erfahrungen gestützt werden kann (das US-Visit-Programm sieht eine Altersgrenze von 79 Jahren vor), als zusätzliche Ausnahme eingeführt wird. Die Qualität der Fingerabdrücke älterer Menschen im Hinblick auf die Erfassung und die Abgleichung muss ebenfalls Teil der weiter oben vorgeschlagenen Studie sein.

17.

Schließlich weist der EDSB darauf hin, dass diese Ausnahmen in keiner Weise zu einer Stigmatisierung oder Diskriminierung der davon betroffenen Personen führen sollten, gleich, ob die Ausnahme auf dem Alter der Personen (Vorsorgeprinzip) oder darauf beruht, dass es bei ihnen physisch unmöglich ist, Fingerabdrücke abzunehmen.

18.

Wie den Erläuterungen auf der Website der Internationalen Zivilluftfahrt-Organisation (ICAO) zu entnehmen ist, wurde die Empfehlung zum Konzept „Eine Person — ein Pass“ (12) hauptsächlich als mögliche Lösung für die mangelnde Standardisierung hinsichtlich Familienpässen und das Aufkommen maschinenlesbarer Pässe erarbeitet. Der EDSB verkennt nicht, dass ein weiterer Vorteil dieses Konzepts darin bestehen könnte, dass es zur Bekämpfung des Kinderhandels beiträgt. Der Hauptzweck eines Passes liegt jedoch darin, den europäischen Bürgerinnen und Bürgern das Reisen zu erleichtern, und nicht in der Bekämpfung der Kindesentführung, für die andere konkrete und wirksame Maßnahmen entwickelt werden.

19.

Einer neueren Studie (13) zufolge sind vor allem alleinreisende Minderjährige von Kinderhandel oder Entführung bedroht. Der Besitz eines persönlichen Reisedokuments stellt für diese Kategorie von Reisenden eindeutig ein zusätzliches Element des Schutzes dar. Es muss jedoch unterstrichen werden, dass Kinder unter sechs Jahren gemäß dem Verband des Internationalen Luftverkehrs (IATA) nicht ohne Begleitung einer aufsichtsberechtigten Person reisen dürfen.

20.

Die Kommission veranschaulicht in der Begründung zu ihrem Vorschlag die Notwendigkeit dieser Sicherheitsmaßnahme anhand des Beispiels eines Elternteils und Kindern, die im gleichen Pass eingetragen sind, und der Tatsache, dass nur die biometrischen Daten des Elternteils, nicht aber jene der Kinder auf dem Chip gespeichert wären. Es sei darauf hingewiesen, dass bei Kindern unterhalb der von der Kommission vorgeschlagenen Altersgrenze in jedem Fall keine biometrischen Daten im Pass gespeichert würden. In diesem Fall erscheint die Belastung der Eltern durch zusätzliche Kosten und Verfahren sowie die zusätzliche Erhebung personenbezogener Daten der Kinder übermäßig angesichts des möglichen Mehrwerts dieser Maßnahme.

21.

Ferner sollte hervorgehoben werden, dass dadurch der Zugang zu Daten oder deren Erfassung technisch ermöglicht wird (indem Kindern, die unter die Ausnahmeregelung fallen, ein biometrischer Pass ausgestellt wird), der tatsächliche Zugang zu diesen Daten bzw. ihre Erhebung in vielen Fällen beträchtlich stimuliert wird. Man kann sicher davon ausgehen, dass technische Mittel auch genutzt werden, wenn sie einmal zur Verfügung stehen, oder anders gesagt: Manchmal heiligt das Mittel den Zweck und nicht umgekehrt. Dies kann in der Folge zu der Forderung nach weniger strengen rechtlichen Anforderungen (und einer niedrigeren Altersgrenze) führen, um die verfügbaren technischen Mittel leichter nutzen zu können. Rechtliche Änderungen könnten dann lediglich eine bereits bestehende Praxis bestätigen.

22.

Der EDSB empfiehlt, dass der Grundsatz „Eine Person — ein Pass“ nur auf Kinder angewandt wird, die die von der Kommission vorgeschlagene Altersgrenze oder die durch die vorerwähnte Studie überprüfte und bestätigte Altersgrenze überschritten haben.

23.

Die Ausstellung von Pässen in den EU-Mitgliedstaaten erfolgt nach Maßgabe der einzelstaatlichen Rechtsvorschriften dieser Mitgliedstaaten. Die einzelstaatlichen Rechtsvorschriften verlangen die Vorlage verschiedener Dokumente, wie z.B. Geburtsurkunde, Staatsangehörigkeitsbescheinigung, Familienbuch, elterliche Einwilligung, Fahrerlaubnis, Rechnung eines Versorgungsunternehmens usw. Diese Dokumente werden gewöhnlich als „breeder documents“ („Ausgangsdokumente“) bezeichnet, da sie als Grundlage für die Ausstellung eines Passes dienen.

24.

Es gibt diesbezüglich wesentliche Unterschiede zwischen den Rechtsvorschriften der EU-Mitgliedstaaten. Hinsichtlich der Art und Weise der Ausfertigung der Ausgangsdokumente in den Mitgliedstaaten sowie der Art der für die Ausstellung eines Passes erforderlichen Dokumente besteht eine große Vielfalt an Konstellationen und Verfahren, die oft zu einer Verringerung der Qualität der in den Pass aufgenommenen Daten führt und sogar die Gefahr des Identitätsdiebstahls erhöhen kann.

25.

Da die Ausgangsdokumente in der Regel weniger Sicherheitsmerkmale aufweisen, werden sie eher gefälscht oder nachgeahmt, im Gegensatz zu sicherheitstechnisch verbesserten Pässen, die durch PKI-Systeme geschützte biometrische Daten enthalten.

26.

Der EDSB begrüßt zwar das Ziel der Kommission, die Sicherheitsmerkmale von Pässen zu verbessern, möchte jedoch betonen, dass der Pass nur ein Glied in der Sicherheitskette ist, die bei den Ausgangsdokumenten beginnt und an den Grenzkontrollstellen endet, und dass diese Kette immer nur so sicher wie ihr schwächstes Glied ist. Der EDSB empfiehlt daher, dass die Kommission zusätzliche Maßnahmen vorschlägt, die darauf abzielen, die Art und Weise der Ausfertigung der Ausgangsdokumente zu harmonisieren und einheitlich festzulegen, welche dieser Ausgangsdokumente für die Ausstellung eines Passes erforderlich sind.

27.

Gemäß einer eingehenden Untersuchung (14), die von der Datenschutzgruppe „Artikel 29“ auf Ersuchen des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (LIBE) des Europäischen Parlaments durchgeführt wurde und die sich auf die Durchführungspraxis in Bezug auf die Verordnung (EG) Nr. 2252/2004 konzentriert, haben mehrere Mitgliedstaaten die Einrichtung einer zentralen Datenbank für die Speicherung der biometrischen Daten des Passes vorgesehen. Zwar ist es den Mitgliedstaaten möglich, die zentralisierte Datenbank nur zur Überprüfung der biometrischen Daten zu nutzen, entsprechend der in der Verordnung vorgesehenen strikten Beschränkungen, jedoch beinhaltet dies zusätzliche Risiken hinsichtlich des Schutzes personenbezogener Daten, wie z.B. die Entwicklung weiterer Verwendungszwecke, die nicht in der Verordnung vorgesehen sind, oder sogar die Datenausforschung, die nur schwierig einzudämmen sind (15).

28.

Der EDSB empfiehlt, dass die Kommission weitere Maßnahmen zur Harmonisierung vorschlägt, damit bezüglich der für die Pässe der EU-Mitgliedstaaten erhobenen biometrischen Daten nur eine dezentralisierte Speicherung (d.h. im kontaktlosen Chip im Pass) vorgesehen wird.

29.

In der Entscheidung der Kommission (16) K(2006) 2909 vom 28. Juni 2006 wird nur das Format und die Qualität der zu verarbeitenden Fingerabdruckabbildungen definiert sowie die Art und Weise, in der sie geschützt werden müssen (Zusätzliche Zugangskontrolle). In dem Vorschlag sind weder Angaben zur Quote der etwaigen Erfassungsfehler (Failure to Enrol Rate (FER)) noch zu den Trefferquoten bezüglich der Abgleichung enthalten. Der Vorschlag sieht in der Tat Ausweichmaßnahmen für kleine Kinder vor (Altersgrenze), doch ist die Schwelle für die Feststellung, dass die Fingerabdrücke keine ausreichende Qualität aufweisen, um erfasst zu werden, nicht definiert.

30.

Bezüglich der Abgleichung wird in dem Vorschlag ferner nicht definiert, welche Falschrückweisungsrate an der Grenze angewandt und wie mit Personen, die offensichtlich fälschlich zurückgewiesen wurden, umgegangen werden soll. Diese fehlenden einheitlichen Raten könnten zu unterschiedlichen Verfahren der Verarbeitung der biometrischen Daten von EU-Bürgern führen, und zwar je nach der Grenze, die für die Einreise in den Schengen-Raum gewählt wird; es könnte sich somit eine Ungleichbehandlung europäischer Bürgerinnen und Bürger in Bezug auf das Restrisiko biometrischer Systeme ergeben. Da als Verfahren eine Eins-zu-eins-Überprüfung vorgesehen ist, räumt der EDSB ein, dass die Falschrückweisungsrate niedriger sein wird als bei einem Identifizierungsverfahren; daher werden weniger Fälle zu bearbeiten sein. Trotzdem müssen zufriedenstellende Ausweichverfahren für diese Personen auf harmonisierte Weise festgelegt werden.

31.

Der EDSB empfiehlt, dass die Kommission gemeinsame Raten für die Erfassung und Abgleichung vorschlägt, die durch Ausweichmaßnahmen in Zusammenarbeit mit den Behörden der Mitgliedstaaten ergänzt werden.

32.

Die vorgeschlagenen Änderungen der bestehenden Vorschriften über Normen für Sicherheitsmerkmale und biometrische Daten in von den Mitgliedstaaten ausgestellten Pässen und Reisedokumenten werfen ähnliche Fragen auf wie die in früheren Stellungnahmen behandelten Themen; gleichwohl begrüßt der EDSB, dass die Notwendigkeit von Ausweichmaßnahmen nun berücksichtigt worden ist.

33.

Der EDSB begrüßt ferner die Aufnahme von Ausnahmen auf der Grundlage des Alters der Person oder der physischen Unmöglichkeit, bei der Person Fingerabdrücke abzunehmen, sowie die Bemühungen um einen kohärenten Ansatz bei verschiedenen Rechtsinstrumenten, die ähnliche Themen behandeln.

34.

Der EDSB hält diese Ausnahmen jedoch weiterhin für nicht zufriedenstellend, da sie nicht alle möglichen und relevanten Probleme berücksichtigen, die durch die inhärenten Mängel biometrischer Systeme verursacht werden, insbesondere jene in Verbindung mit Kindern und älteren Personen.

35.

Die Altersgrenze für die Abnahme von Fingerabdrücken bei Kindern sollte durch eine einheitliche und eingehende Studie bestimmt werden, die die Genauigkeit der Systeme unter realen Bedingungen angemessen ermitteln und der Unterschiedlichkeit der verarbeiteten Daten Rechnung tragen sollte. Diese Studie sollte von einer europäischen Einrichtung durchgeführt werden, die über eindeutige Fachkenntnisse und angemessene Vorrichtungen in diesem Bereich verfügt.

36.

Bevor die Altersgrenze durch diese Studie bestimmt ist, und um jede mit Unsicherheiten behaftete Durchführung zu vermeiden, sollte die vorläufige Altersgrenze jenen Altersgrenzen entsprechen, die bereits für umfassende Personengruppen festgelegt wurden, entweder im Rahmen des Eurodac-Systems oder des US-Visit-Programms (14 Jahre), oder geringfügig niedriger angesetzt sein, da es hier nur um ein Überprüfungsverfahren geht.

37.

Als zusätzliche Ausnahme sollte eine Altersgrenze für ältere Menschen eingeführt werden, die auf ähnliche Erfahrungen gestützt sein könnte (US-Visit-Programm: 79 Jahre). Diese Ausnahmen sollten die betroffenen Personen in keiner Weise stigmatisieren oder diskriminieren.

38.

Das Konzept „Eine Person — ein Pass“ sollte nur auf Kinder angewandt werden, die die entsprechende Altersgrenze überschritten haben.

39.

Angesichts der bestehenden Vielfalt der Dokumente, die gemäß den einzelstaatlichen Rechtsvorschriften für die Ausstellung von Pässen erforderlich sind, sollte die Kommission zusätzliche Maßnahmen zur Harmonisierung der Ausfertigung und Nutzung solcher „Ausgangsdokumente“ vorschlagen.

40.

Die Kommission sollte ferner weitere Harmonisierungsmaßnahmen vorschlagen, um ausschließlich eine dezentralisierte Speicherung der für die Pässe der Mitgliedstaaten erhobenen biometrischen Daten vorzusehen.

41.

Schließlich sollte die Kommission gemeinsame Raten für die Erfassung und Abgleichung vorschlagen, die durch Ausweichmaßnahmen in Zusammenarbeit mit den Behörden der Mitgliedstaaten ergänzt werden.