Systematische Erhebung biometrischer und genetischer Daten aller beschuldigten Personen für die Zwecke ihrer polizeilichen Registrierung unzulässig

Die systematische Erhebung biometrischer und genetischer Daten aller beschuldigten Personen für die Zwecke ihrer polizeilichen Registrierung verstößt gegen die Anforderung, einen erhöhten Schutz gegen die Verarbeitung sensibler personenbezogener Daten zu gewährleisten.

Der Sachverhalt:
V. S. wurde im Rahmen eines von den bulgarischen Behörden eingeleiteten Strafverfahrens wegen Steuerhinterziehung beschuldigt, an einer kriminellen Vereinigung beteiligt zu sein, die zu Bereicherungszwecken gebildet worden sei, um in abgestimmter Weise im bulgarischen Hoheitsgebiet Straftaten zu begehen. Auf diese Beschuldigung hin forderte die bulgarische Polizei V. S. auf, sich der Erhebung daktyloskopischer und fotografischer Daten für die Zwecke ihrer Registrierung sowie der Entnahme von Proben zum Zweck der Erstellung ihres DNAProfils zu unterziehen. V. S. verweigerte diese Erhebung.

Gestützt auf das nationale Recht, das die „polizeiliche Registrierung“ von Personen vorsieht, die einer vorsätzlichen, von Amts wegen verfolgten Straftat (im Folgenden: vorsätzliche Offizialstraftat) beschuldigt werden, beantragten die Polizeibehörden beim Spetsializiran nakazatelen sad (Spezialisiertes Strafgericht, Bulgarien), die zwangsweise Durchführung der Erhebung genetischer und biometrischer Daten von V. S. zu bewilligen. Dem Antrag der Polizeibehörden waren lediglich Kopien des Beschlusses über die Beschuldigung von V. S. und von deren Erklärung, dass sie die Erhebung ihrer Daten verweigere, beigefügt.

Das genannte Gericht hegte Zweifel an der Vereinbarkeit der für diese „polizeiliche Registrierung“ geltenden bulgarischen Rechtsvorschriften mit der Richtlinie 2016/680 in Verbindung mit der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) und hat den Gerichtshof daher um Vorabentscheidung ersucht.

In seinem Urteil präzisiert der Gerichtshof zunächst die Voraussetzungen, unter denen die Verarbeitung biometrischer und genetischer Daten durch die Polizeibehörden als nach nationalem Recht im Sinne der Richtlinie 2016/680 zulässig angesehen werden kann. Sodann äußert er sich zur Umsetzung der in dieser Richtlinie aufgestellten Anforderung betreffend die Verarbeitung von Daten einer Kategorie von Personen, bezüglich deren der begründete Verdacht der Beteiligung an einer Straftat besteht, sowie zur Achtung des Rechts auf effektiven gerichtlichen Rechtsschutz und des Grundsatzes der Unschuldsvermutung in Fällen, in denen das nationale Recht dem zuständigen nationalen Gericht gestattet, die zwangsweise Erhebung dieser Daten, die vom Unionsgesetzgeber als „sensibel“ angesehen werden, zu bewilligen. Schließlich befasst er sich mit der Frage, ob die nationalen Rechtsvorschriften, die die systematische Erhebung dieser Daten vorsehen, mit den die Verarbeitung dieser Daten betreffenden Bestimmungen der Richtlinie 2016/680 unter Berücksichtigung der dort verankerten Grundsätze vereinbar sind.

Die Gründe:
Der Gerichtshof stellt zunächst fest, dass die Richtlinie 2016/680 im Licht der Charta dahin auszulegen ist, dass die Verarbeitung biometrischer und genetischer Daten durch die Polizeibehörden für ihre Untersuchungstätigkeiten zu Zwecken der Kriminalitätsbekämpfung und der Aufrechterhaltung der öffentlichen Ordnung nach nationalem Recht zulässig ist, wenn Letzteres eine hinreichend klare und präzise Rechtsgrundlage für die Zulässigkeit dieser Verarbeitung enthält. Der Umstand, dass der nationale Gesetzgebungsakt, der eine solche Rechtsgrundlage enthält, im Übrigen auf die Datenschutz-Grundverordnung und nicht auf die Richtlinie 2016/680 Bezug nimmt, ist für sich genommen nicht geeignet, diese Zulässigkeit in Frage zu stellen, sofern die Auslegung aller anwendbaren Bestimmungen des nationalen Rechts hinreichend klar, präzise und unmissverständlich ergibt, dass die fragliche Verarbeitung biometrischer und genetischer Daten in den Anwendungsbereich dieser Richtlinie und nicht in den der DSGVO fällt.

In diesem Zusammenhang stellt der Gerichtshof in Anbetracht dessen, dass sich die einschlägigen nationalen Rechtsvorschriften auf die Bestimmungen der DSGVO zur Regelung der Verarbeitung sensibler Daten beziehen und dabei den Inhalt der Bestimmungen der Richtlinie 2016/680 wiedergeben, die die Verarbeitung eben dieser Daten betreffen, fest, dass diese Bestimmungen nicht gleichwertig sind. Während nämlich eine Verarbeitung sensibler Daten durch die zuständigen Behörden u. a. für die unter die Richtlinie 2016/680 fallenden Zwecke der Verhütung und Aufdeckung von Straftaten nur erlaubt sein kann, wenn sie unbedingt erforderlich ist, und mit geeigneten Garantien einhergehen und im Unionsrecht oder im nationalen Recht vorgesehen sein muss, sieht die DSGVO ein grundsätzliches Verbot der Verarbeitung solcher Daten, versehen mit einer Liste von Ausnahmen, vor. Der nationale Gesetzgeber kann zwar im Rahmen ein und desselben legislativen Instruments die Verarbeitung personenbezogener Daten zu Zwecken, die unter die Richtlinie 2016/680 fallen, und zu anderen Zwecken, die unter die DSGVO fallen, vorsehen, jedoch ist er verpflichtet, sich zu vergewissern, dass keine Unklarheiten hinsichtlich der Anwendbarkeit des einen oder des anderen Unionsrechtsakts auf die Erhebung sensibler Daten bestehen.

Des Weiteren weist der Gerichtshof in Bezug auf eine etwaige nicht ordnungsgemäße Umsetzung der Richtlinie 2016/680, die das vorlegende Gericht vorgebracht hat, darauf hin, dass diese Richtlinie nicht verlangt, dass die nationalen Vorschriften, die die in ihren Anwendungsbereich fallende Verarbeitung von Daten erlauben, eine Bezugnahme auf diese Richtlinie enthalten müssten. Er stellt klar, dass der nationale Gesetzgeber, wenn er die Verarbeitung biometrischer und genetischer Daten durch die zuständigen Behörden vorsieht, die entweder in den Anwendungsbereich dieser Richtlinie oder in den der DSGVO fallen können, aus Gründen der Klarheit und Genauigkeit zum einen ausdrücklich auf die Vorschriften des nationalen Rechts, die die Umsetzung dieser Richtlinie gewährleisten, und zum anderen auf die DSGVO Bezug nehmen kann, ohne verpflichtet zu sein, die genannte Richtlinie zu erwähnen. Bei einem offensichtlichen Widerspruch zwischen den nationalen Bestimmungen, die die in Rede stehende Datenverarbeitung erlauben, und jenen, die sie auszuschließen scheinen, muss das nationale Gericht diese Bestimmungen jedoch so auslegen, dass die praktische Wirksamkeit der Richtlinie 2016/680 gewahrt bleibt.

Mehr zum Thema:

Beratermodul Datenschutzrecht:
Die perfekte Online-Ausstattung für das Datenschutzrecht. Jetzt mit den Inhalten der aktuellen Neuauflage von Moos, Datenschutz und Datennutzung. Mit über 50 topaktuellen praxiserprobten Mustern. 4 Wochen gratis nutzen!