CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:520

FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT

LAILA MEDINA

föredraget den 29 juni 2023(1)

Mål C‑61/22

mot

Landeshauptstadt Wiesbaden

(begäran om förhandsavgörande från Verwaltungsgericht Wiesbaden (Förvaltningsdomstolen i Wiesbaden, Tyskland))

”Begäran om förhandsavgörande – Förordning (EU) 2019/1157 – Säkrare identitetskort för unionsmedborgare – Artikel 3.5 – Skyldighet att samla in fingeravtryck och lagra dem i ett mycket säkert lagringsmedium – Giltighet – Rättslig grund – Artikel 21.2 FEUF – Artikel 77.3 FEUF – Europeiska unionens stadga om de grundläggande rättigheterna – Artiklarna 7 och 8 – Respekt för privatlivet och familjelivet – Skydd av personuppgifter – Artikel 52.1 – Proportionalitetsprincipen – Allmän dataskyddsförordning – Artikel 35.10 – Konsekvensbedömning avseende dataskydd”

I. Inledning

1. Begäran om förhandsavgörande avser giltigheten av artikel 3.5 i förordning 2019/1157,(2) i vilken det föreskrivs en skyldighet att i alla nya identitetskort som utfärdas av medlemsstaterna införa en bild av innehavarens fingeravtryck i ett mycket säkert lagringsmedium.(3) Begäran har framställts inom ramen för en tvist mellan RL och Landeshauptstadt Wiesbaden (delstatshuvudstaden Wiesbaden, Tyskland) rörande ett förvaltningsbeslut genom vilket den sistnämnda vägrade att utfärda ett identitetskort utan att lagra en fingeravtrycksbild i chipet på det.

2. Genom sin begäran vill den hänskjutande domstolen få klarhet i, för det första, huruvida artikel 21.2 FEUF utgjorde en lämplig grund för antagandet av förordning 2019/1157, för det andra, huruvida artikel 3.5 i förordningen är förenlig med artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan), jämförda med artikel 52.1 däri, och, för det tredje, huruvida nämnda förordning är förenlig med skyldigheten att genomföra en konsekvensbedömning avseende dataskydd enligt artikel 35.10 i den allmänna dataskyddsförordningen.(4)

3. Trots skillnaderna mellan identitetskort och pass utgör förevarande mål en tematisk förlängning av domen i målet Schwarz.(5) I den domen prövade domstolen giltigheten av artikel 1.2 i förordning nr 2252/2004,(6) i vilken det föreskrivs om obligatorisk insamling av fingeravtryck och lagring av dem i pass och andra resehandlingar som utfärdas av medlemsstaterna.(7)

II. Tillämpliga bestämmelser

A. Unionsrätt

1. Förordning 2019/1157

4. I skälen 1, 2, 3, 4, 5, 15, 17, 18, 21 och 28 i förordning 2019/1157 anges följande:

”(1) Fördraget om Europeiska unionen (EU‑fördraget) föresatte sig att underlätta fri rörlighet för personer, samtidigt som säkerheten och tryggheten för Europas folk säkerställs, genom att upprätta ett område med frihet, säkerhet och rättvisa, i enlighet med bestämmelserna i EU‑fördraget och i fördraget om Europeiska unionens funktionssätt (EUF‑fördraget).

(2) Unionsmedborgarskap ger varje medborgare i unionen rätt till fri rörlighet, inom vissa begränsningar och på vissa villkor. [Direktiv 2004/38]^[(8)^] genomför denna rättighet. Artikel 45 i [stadgan] innehåller också bestämmelser om fri rörlighet och fri bosättning. Fri rörlighet medför rätt att resa ut ur och in i medlemsstaterna med giltigt identitetskort eller pass.

(3) Enligt [direktiv 2004/38] ska medlemsstaterna utfärda och förnya identitetskort eller pass till sina medborgare i enlighet med nationell rätt. …

(4) [Direktiv 2004/38] föreskriver att medlemsstaterna får vidta nödvändiga åtgärder för att neka, avbryta eller dra tillbaka en rättighet enligt det direktivet i händelse av missbruk av rättigheter eller bedrägerier. Förfalskning av handlingar eller felaktig information om sakförhållanden som påverkar rätten att uppehålla sig i landet har i det direktivet fastställts som typiska fall av bedrägerier.

(5) Det är stora skillnader på säkerhetsnivån i nationella identitetskort utfärdade av medlemsstaterna och uppehållstillstånd för unionsmedborgare bosatta i en annan medlemsstat samt deras familjemedlemmar. Dessa skillnader ökar risken för förfalskning och dokumentbedrägerier och medför också praktiska svårigheter för medborgare som önskar utöva sin rätt till fri rörlighet. …

…

(15) … Förbättringar av identitetskorten bör underlätta identifiering och bidra till bättre tillgång till tjänster.

…

(17) Säkerhetsdetaljer krävs för att kontrollera om en handling är äkta och för att fastställa en persons identitet. Införande av minimisäkerhetsstandarder och införlivande av biometriska uppgifter på identitetskort … är viktiga steg på vägen för att göra användningen av dessa handlingar säkrare i unionen. Införlivande av sådana biometriska kännetecken bör ge unionsmedborgarna möjlighet att till fullo utnyttja sin rätt till fri rörlighet.

(18) Lagring av en ansiktsbild och två fingeravtryck (nedan kallat biometriska uppgifter) på identitets- och uppehållskort, vilket redan finns för biometriska pass och uppehållstillstånd för tredjelandsmedborgare, är en lämplig kombination av tillförlitlig identifiering och autentisering och minskad bedrägeririsk, i syfte att stärka identitets- och uppehållskorts säkerhet.

…

(21) Denna förordning utgör inte någon rättslig grund för att upprätta eller underhålla databaser på nationell nivå för lagring av biometriska uppgifter i medlemsstaterna, vilket är en fråga för nationell rätt som måste vara förenlig med unionsrätten avseende dataskydd. Denna förordning utgör heller inte någon rättslig grund för att upprätta eller underhålla en centraliserad databas på unionsnivå.

…

(28) Införande av minimisäkerhetsstandarder och normer för formatet på identitetskort bör göra det möjligt för medlemsstaterna att lita på handlingarnas äkthet när unionsmedborgare utövar sin rätt till fri rörlighet. Införande av skärpta säkerhetsstandarder bör ge offentliga myndigheter och privata aktörer tillräckliga garantier för att de ska kunna lita på identitetskortens äkthet när de används av unionsmedborgare i identifieringssyfte.”

5. I artikel 1 i förordning 2019/1157, under rubriken ”Syfte”, föreskrivs följande:

”Denna förordning skärper säkerhetskraven i fråga om identitetskort som medlemsstaterna utfärdar till sina medborgare … när de utövar sin rätt till fri rörlighet inom unionen.”

6. I artikel 3 i förordning 2019/1157, under rubriken ”Säkerhetsstandarder/format/specifikationer”, anges följande:

”1. Identitetskort som utfärdas av medlemsstaterna ska ha format ID-1 och ska innehålla ett maskinläsbart fält (MRZ). Sådana identitetskort ska utgå från specifikationerna och minimisäkerhetsstandarderna i Icaos dokument 9303 och ska uppfylla kraven i c, d, f och g i bilagan till förordning (EG) nr 1030/2002 i dess ändrade lydelse av förordning (EU) 2017/1954.

…

5. Identitetskort ska innefatta ett mycket säkert lagringsmedium som innehåller en ansiktsbild av innehavaren och två fingeravtryck i interoperabla digitala format. Vid insamlingen av biometriska kännetecken ska medlemsstaterna tillämpa de tekniska specifikationer som fastställs i kommissionens genomförandebeslut C(2018)7767.^[(9)^]

6. Lagringsmediet ska ha tillräcklig kapacitet och möjlighet att garantera uppgifternas integritet, äkthet och sekretess. De lagrade uppgifterna ska vara tillgängliga i kontaktlös form och ska säkras på det sätt som anges i genomförandebeslut C(2018)7767. Medlemsstaterna ska utbyta sådan information som krävs för att autentisera lagringsmediet och för att komma åt och kontrollera de biometriska uppgifterna enligt punkt 5.

7. Barn under tolv år får undantas från kravet att lämna fingeravtryck.

Barn under sex år ska undantas från kravet att lämna fingeravtryck.

Personer för vilka upptagning av fingeravtryck är fysiskt omöjlig ska undantas från kravet att lämna fingeravtryck.

…”

7. I artikel 10 i förordning 2019/1157, med rubriken ”Insamling av biometriska kännetecken”, föreskrivs följande:

”1. Biometriska kännetecken ska samlas in endast av kvalificerad och vederbörligen bemyndigad personal, som utsetts av de myndigheter som ansvarar för att utfärda identitetskort eller uppehållskort, i syfte att integreras i det mycket säkra lagringsmediet enligt artikel 3.5 när det gäller identitetskort …

För att säkerställa överensstämmelse mellan de biometriska kännetecknen och sökandens identitet ska sökanden infinna sig personligen minst en gång under utfärdandeförfarandet för varje ansökan.

2. Medlemsstaterna ska säkerställa att det finns lämpliga och effektiva förfaranden för insamling av biometriska kännetecken, och att dessa förfaranden är förenliga med de rättigheter och principer som fastställs i stadgan, konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna och Förenta nationernas konvention om barnets rättigheter.

…

3. Utom när de krävs för behandling i enlighet med unionsrätten och nationell rätt ska biometriska kännetecken som lagras för personalisering av identitetskort eller uppehållshandlingar förvaras på ett mycket säkert sätt och endast fram till den dag då handlingen hämtas ut, dock aldrig längre än 90 dagar från den dag då handlingen utfärdats. Efter denna period ska de biometriska kännetecknen omedelbart raderas eller förstöras.”

8. Artikel 11 i förordning 2019/1157, med rubriken ”Skydd av personuppgifter och ansvar”, har följande lydelse:

”1. Utan att det påverkar [den allmänna dataskyddsförordningen] ska medlemsstaterna säkerställa säkerheten, integriteten, äktheten och sekretessen med avseende på de uppgifter som samlas in och lagras vid tillämpningen av denna förordning.

2. Vid tillämpningen av denna förordning ska de myndigheter som ansvarar för att utfärda identitetskort och uppehållshandlingar anses vara personuppgiftsansvariga enligt artikel 4.7 i [den allmänna dataskyddsförordningen] och ansvara för behandlingen av personuppgifter.

3. Medlemsstaterna ska säkerställa att tillsynsmyndigheterna till fullo kan utföra sina uppgifter enligt [den allmänna dataskyddsförordningen] och bland annat få tillgång till alla personuppgifter och all nödvändig information samt tillgång till de behöriga myndigheternas lokaler eller deras utrustning för behandling av personuppgifter.

…

5. Uppgifter i maskinläsbar form ska bara inkluderas i identitetskort … i enlighet med denna förordning och nationell rätt i den utfärdande medlemsstaten.

6. Biometriska uppgifter som lagrats på lagringsmedium på identitetskort och uppehållshandlingar får bara användas i enlighet med unionsrätten och nationell rätt av vederbörligen bemyndigad personal vid behöriga nationella myndigheter och unionsbyråer i syfte att kontrollera följande:

a) Identitetskortets eller uppehållshandlingens äkthet.

b) Innehavarens identitet genom direkt tillgängliga jämförbara detaljer, när uppvisande av identitetskort eller uppehållshandling krävs enligt lag eller annan författning.

…”

2. Den allmänna dataskyddsförordningen

9. Artikel 6 i den allmänna dataskyddsförordningen, under rubriken ”Laglig behandling av personuppgifter”, har följande lydelse:

”1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

…

c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

…”

10. I artikel 35 i den allmänna dataskyddsförordningen, under rubriken ”Konsekvensbedömning avseende dataskydd”, föreskrivs följande:

”1. Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga risker.

…

10. Om behandling enligt artikel 6.1 c eller e har en rättslig grund i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av, reglerar den rätten den aktuella specifika behandlingsåtgärden eller serien av åtgärder i fråga och en konsekvensbedömning avseende dataskydd redan har genomförts som en del av en allmän konsekvensbedömning i samband med antagandet av denna rättsliga grund, ska punkterna 1–7 inte gälla, om inte medlemsstaterna anser det nödvändigt att utföra en sådan bedömning före behandlingen.”

3. Direktiv 2004/38

11. I artikel 4 i direktiv 2004/38, under rubriken ”Rätt till utresa”, föreskrivs följande:

”1. Utan att det påverkar tillämpningen av bestämmelserna för kontroll av resehandlingar vid de nationella gränserna skall alla unionsmedborgare med giltigt identitetskort eller pass och deras familjemedlemmar, som inte är medborgare i en medlemsstat, och som har giltigt pass, ha rätt att lämna en medlemsstats territorium för att resa till en annan medlemsstat.

…”

12. I artikel 5 i direktiv 2004/38, under rubriken ”Rätt till inresa”, anges följande:

”1. Utan att det påverkar tillämpningen av bestämmelserna för kontroll av resehandlingar vid de nationella gränserna skall medlemsstaterna tillåta unionsmedborgare att resa in på deras territorium med ett giltigt identitetskort eller pass och tillåta familjemedlemmar som inte är medborgare i en medlemsstat att resa in på deras territorium med ett giltigt pass.

…”

B. Nationell rätt

13. Den skyldighet som fastställs i artikel 3.5 i förordning 2019/1157 har införlivats i tysk rätt genom Gesetz über Personalausweise und den elektronischen Identitätsnachweis (lag om identitetskort och elektronisk identifiering).(10)

14. I 1 § punkt 1 PAuswG, under rubriken ”Identifieringsskyldighet; rätt till identifiering”, föreskrivs följande:

”Tyskar enligt definitionen i artikel 116.1 i grundlagen är förpliktade att inneha ett identitetskort så snart de har nått en ålder av 16 år och omfattas av det allmänna registreringskravet eller, utan att omfattas av detta krav, huvudsakligen vistas sig i Tyskland. De måste visa upp sitt identitetskort på begäran av en myndighet som har rätt att kontrollera identiteten. Innehavare av identitetskort får inte åläggas att lämna in sitt identitetskort eller på annat sätt lämna ifrån sig det. Detta gäller inte i fråga om myndigheter som har rätt att kontrollera identiteten och inte heller i fall av förverkande eller beslagtagande.”

15. I 5 § punkt 9 PAuswG, under rubriken ”Utfärdande av identitetskort”, föreskrivs följande:

”Den ansökande personens två fingeravtryck, som enligt [förordning 2019/1157] ska lagras på det elektroniska lagringsmediet, ska lagras på det elektroniska mediet för lagring och behandling i identitetskortet i form av ett platt avtryck av sökandens vänstra och högra pekfinger. Om ett pekfinger saknas, om fingeravtrycket är av otillräcklig kvalitet eller om fingertoppen är skadad, ska ett platt avtryck av antingen tummen, långfingret eller ringfingret lagras i stället. Fingeravtryck ska inte lagras om det är omöjlig att ta fingeravtryck på grund av medicinska skäl som inte är av övergående art.”

III. Bakgrund till målet vid den nationella domstolen och giltighetsfrågan

16. I november 2021 ansökte RL vid Landeshauptstadt Wiesbaden om utfärdande av ett nytt identitetskort, eftersom chipet i hans gamla identitetskort var defekt. I ansökan begärde RL särskilt att kortet skulle utfärdas utan att en fingeravtrycksbild fördes in i chipet.

17. Landeshauptstadt Wiesbaden avslog RL:s ansökan, för det första eftersom ett identitetskort är giltigt enligt tysk rätt även om chipet är defekt. Eftersom RL redan innehade en giltig identitetshandling hade han inte rätt att få ett nytt identitetskort utfärdat. Landeshauptstadt Wiesbaden ansåg för det andra att ett identitetskort under inga omständigheter kunde utfärdas utan en bild av innehavarens fingeravtryck, eftersom det sedan den 2 augusti 2021 är obligatoriskt enligt 5 § punkt 9 PAuswG att lagra en fingeravtrycksbild i chipet i nya identitetskort.

18. RL överklagade Landeshauptstadt Wiesbadens beslut till Verwaltungsgericht Wiesbaden (Förvaltningsdomstolen i Wiesbaden, Tyskland), som är hänskjutande domstol i förevarande mål, och yrkade att myndigheten skulle föreläggas att utfärda ett nytt identitetskort till honom utan att en fingeravtrycksbild lagrades i det.

19. Den hänskjutande domstolen är osäker på huruvida artikel 3.5 i förordning 2019/1157, som ligger till grund för 5 § punkt 9 PAuswG, är giltig och således på huruvida det är obligatoriskt att samla in och lagra fingeravtryck i tyska identitetskort. Den hänskjutande domstolen har härvid erinrat om att enligt artikel 3.5 i förordning 2019/1157 ska identitetskort som utfärdas av medlemsstaterna innefatta ett mycket säkert lagringsmedium som innehåller en ansiktsbild av innehavaren och två fingeravtryck i interoperabla digitala format.

20. Den hänskjutande domstolen har särskilt angett tre skäl till att artikel 3.5 i förordning 2019/1157 skulle vara ogiltig.

21. För det första vill den hänskjutande domstolen få klarhet i huruvida förordning 2019/1157 borde ha antagits på grundval av artikel 77.3 FEUF, i vilken det föreskrivs om tillämpning av ett särskilt lagstiftningsförfarande enligt vilket rådet beslutar med enhällighet, i stället för på grundval av artikel 21.2 FEUF, enligt vilken det ordinarie lagstiftningsförfarandet ska tillämpas, vilket innebär medbeslutande av Europaparlamentet tillsammans med Europeiska unionens råd. Den hänskjutande domstolen har påpekat att domstolen i domen i målet Schwarz konstaterade att artikel 62 led 2 a EG, det vill säga den bestämmelse som senare blev artikel 77.3 FEUF, utgjorde en lämplig rättslig grund för att anta förordning nr 2252/2004, i vilken det föreskrivs om obligatorisk insamling och lagring av unionsmedborgarnas fingeravtryck i pass. Den hänskjutande domstolen vill därför få klarhet i huruvida samma rättsliga grund borde ha använts för att anta förordning 2019/1157.

22. För det andra är den hänskjutande domstolen osäker på huruvida artikel 3.5 i förordning 2019/1157 är förenlig med artiklarna 7 och 8 i stadgan. Den har påpekat att enligt domen i målet Schwarz innebär obligatorisk insamling och lagring av fingeravtryck i identitetskort en begränsning av de rättigheter som erkänns i dessa båda bestämmelser. Den anser att denna begränsning inte uppfyller villkoren i artiklarna 8.2 och 52.1 i stadgan och således inte är motiverad. Den hänskjutande domstolen vill särskilt få klarhet i huruvida artikel 3.5 i förordning 2019/1157 eftersträvar ett legitimt intresse och huruvida den skyldighet som följer av denna bestämmelse kan anses vara lämplig, nödvändig och proportionerlig.

23. För det tredje vill den hänskjutande domstolen få klarhet i skyldigheten att genomföra en konsekvensbedömning avseende dataskydd, vilken fastställs i artikel 35.10 i den allmänna dataskyddsförordningen. Den har särskilt, med hänvisning till det yttrande som Europeiska datatillsynsmannen utfärdade om förslaget till förordning,(11) påpekat att denna bestämmelse är tillämplig på den behandling av fingeravtryck som föreskrivs i förordning 2019/1157. Emellertid genomförde unionslagstiftaren inte någon sådan konsekvensbedömning när förordningen antogs.

24. Mot denna bakgrund beslutade Verwaltungsgericht Wiesbaden (Förvaltningsdomstolen i Wiesbaden) att vilandeförklara målet och ställa följande fråga till EU-domstolen:

”Ska skyldigheten att införa och lagra fingeravtryck i identitetskort enligt artikel 3.5 i [förordning 2019/1157] anses strida mot överordnad unionsrätt, i synnerhet

a) mot artikel 77.3 FEUF

b) mot artiklarna 7 och 8 i stadgan

c) mot artikel 35.10 i den allmänna dataskyddsförordningen

och därmed anses vara ogiltig på någon av dessa grunder?”

25. Begäran om förhandsavgörande inkom till EU-domstolens kansli den 1 februari 2022. Skriftliga yttranden har inkommit från den tyska, den spanska och den polska regeringen, parlamentet, rådet, Europeiska kommissionen samt RL. Förhandling i målet hölls den 14 mars 2023.

IV. Bedömning

26. Den hänskjutande domstolen har ställt sin fråga för att få klarhet i huruvida förordning 2019/1157 är giltig mot bakgrund av unionsrätten. Den vill särskilt få klarhet i följande:

– För det första huruvida artikel 21.2 FEUF utgjorde en lämplig rättslig grund för antagandet av förordning 2019/1157, särskilt artikel 3.5, i enlighet med det ordinarie lagstiftningsförfarande som föreskrivs däri.

– För det andra huruvida artikel 3.5 i förordning 2019/1157 är förenlig med artiklarna 7 och 8 i stadgan, jämförda med artikel 52.1 däri.

– För det tredje huruvida artikel 3.5 i förordning 2019/1157 är förenlig med skyldigheten att göra en konsekvensbedömning avseende dataskydd enligt artikel 35.10 i den allmänna dataskyddsförordningen.

27. Jag kommer att bedöma var och en av dessa ogiltighetsgrunder i tur och ordning.

A. Den rättsliga grunden för antagandet av förordning 2019/1157

28. Den första ogiltighetsgrunden avser den rättsliga grunden för antagandet av förordning 2019/1157. Den hänskjutande domstolen är osäker på huruvida denna förordning borde ha antagits på grundval av artikel 77.3 FEUF i stället för på grundval av artikel 21.2 i samma fördrag. Förutom valet av lämplig rättslig grund för förordning 2019/1157 ur ett formellt perspektiv rör den hänskjutande domstolens frågor även det lagstiftningsförfarande som är tillämpligt enligt respektive bestämmelse.

29. Artikel 21 FEUF ingår i andra delen av detta fördrag, som handlar om ”Icke-diskriminering och unionsmedborgarskap”. I artikel 21.1 FEUF föreskrivs att varje unionsmedborgare ska ha rätt att fritt röra sig och uppehålla sig inom medlemsstaternas territorier, om inte annat följer av de begränsningar och villkor som föreskrivs i fördragen och i bestämmelserna om genomförande av fördragen. Vidare föreskrivs i artikel 21.2 FEUF att unionen ska ha möjlighet att anta bestämmelser i syfte att underlätta utövandet av denna rättighet, om en åtgärd är nödvändig för att uppnå detta mål och om inte befogenheter för detta föreskrivs i fördragen. I detta fall är det ordinarie lagstiftningsförfarandet tillämpligt, vilket innebär att rådet fattar beslut tillsammans med parlamentet.

30. Artikel 77.3 FEUF, som avser ”Politik som gäller gränskontroll, asyl och invandring”, ingår däremot i avdelning V i tredje delen av samma fördrag, som handlar om ”Ett område med frihet, säkerhet och rättvisa”. I denna artikel föreskrivs att om en åtgärd från unionens sida är nödvändig för att underlätta utövandet av den rätt som avses i artikel 20.2 a FEUF – rätten att fritt röra sig och uppehålla sig inom medlemsstaternas territorier – får rådet anta bestämmelser om bland annat pass och identitetskort. Tillämpningen av artikel 77.3 FEUF är också, enligt dess lydelse, beroende av att nödvändiga befogenheter inte föreskrivs i fördragen. I detta fall är ett särskilt lagstiftningsförfarande tillämpligt, varvid rådet beslutar med enhällighet efter att ha hört parlamentet.

31. Enligt domstolens fasta praxis ska valet av rättslig grund för en unionsrättsakt grundas på objektiva omständigheter som kan bli föremål för domstolsprövning, däribland rättsaktens syfte och innehåll.(12) Domstolen har dessutom fastslagit att vid fastställandet av den lämpliga rättsliga grunden för en unionsrättsakt kan hänsyn tas till det rättsliga sammanhang som en ny lagstiftning ingår i, särskilt då ett sådant sammanhang kan ge upplysningar om syftet med nämnda lagstiftning.(13)

32. Vad gäller det nu aktuella målet ska det inledningsvis påpekas att i motsats till vad den hänskjutande domstolen anser, så är den omständigheten att domstolen i domen i målet Schwarz konstaterade att artikel 77.3 FEUF utgjorde en lämplig rättslig grund för förordning nr 2252/2004, i vilken det föreskrivs om obligatorisk insamling och lagring av fingeravtryck i unionsmedborgarnas pass,(14) inte i sig avgörande när det gäller att avgöra huruvida det var korrekt att grunda antagandet av förordning 2019/1157 på artikel 21.2 FEUF. I linje med ovannämnda rättspraxis har domstolen nämligen konsekvent fastslagit att det är den granskade rättsaktens syfte och innehåll som ska beaktas för att fastställa dess korrekta rättsliga grund, och inte vilken rättslig grund som valts för andra unionsrättsakter som eventuellt har liknande särdrag.(15)

33. Vad, för det första, gäller syftet med förordning 2019/1157 ska det påpekas att det i artikel 1 i denna förordning, under rubriken ”Syfte”, föreskrivs att denna förordning skärper säkerhetskraven i fråga om bland annat identitetskort som medlemsstaterna utfärdar till sina medborgare när de utövar sin rätt till fri rörlighet. Denna bestämmelse ger normativt uttryck åt skälen 1–5 i förordningen, i vilka det med hänvisning till EU-fördraget, EUF-fördraget, artikel 45 i stadgan och direktiv 2004/38 erinras om målet att underlätta unionsmedborgarnas utövande av rätten till fri rörlighet i en säker miljö.(16)

34. I skäl 4 i förordning 2019/1157 påpekas särskilt att förfalskning av handlingar eller felaktig information om sakförhållanden som påverkar rätten att uppehålla sig i landet har fastställts som typiska fall av bedrägerier i samband med fri rörlighet. I skäl 5 i förordning 2019/1157 förklaras vidare att förfalskning av handlingar och dokumentbedrägerier är resultatet av de stora skillnaderna på säkerhetsnivå i nationella identitetskort utfärdade av medlemsstaterna. Enligt vad som anges i samma skäl ökar dessa skillnader risken för förfalskning och dokumentbedrägerier och medför praktiska svårigheter för medborgare som önskar utöva sin rätt till fri rörlighet. I skäl 28 i förordning 2019/1157, slutligen, anges att införandet av skärpta säkerhetsstandarder bör ge offentliga myndigheter och privata aktörer tillräckliga garantier för att de ska kunna lita på identitetskortens äkthet när de används av unionsmedborgare i identifieringssyfte.

35. Vad, för det andra, gäller innehållet i förordning 2019/1157 ingår den obligatoriska insamling och lagring av en fingeravtrycksbild som föreskrivs i den förordningen och som avses i förevarande mål i en vidare grupp av bestämmelser som är tillämpliga vid utfärdandet av nya nationella identitetskort och som till största delen återfinns i artikel 3 under rubriken ”Säkerhetsstandarder/format/specifikationer”.

36. När dessa bestämmelser jämförs med skäl 17 i förordning 2019/1157 framgår det att de är avsedda att tjäna säkerhetsändamål som krävs för att kontrollera om en handling är äkta och för att fastställa en persons identitet.(17) I skäl 18 i förordning 2019/1157 förklaras vidare att lagringen av biometriska uppgifter på identitetskort – en ansiktsbild och en bild av två fingeravtryck – är en lämplig kombination av tillförlitlig identifiering och autentisering och minskad bedrägeririsk, i syfte att stärka identitetskortens säkerhet.

37. Av det ovan anförda följer att parlamentets och rådets syfte med förordning 2019/1157 huvudsakligen är att underlätta unionsmedborgarnas rätt att resa till och uppehålla sig i vilken medlemsstat som helst med sitt identitetskort och där kunna visa upp ett sådant kort som ett äkta och tillförlitligt identitetsbevis. Detta var också det syfte som kommissionen angav i sitt förslag till förordning,(18) i vilket det liksom i förordning 2019/1157 betonas att det är nödvändigt att minska risken för förfalskningar och dokumentbedrägerier i syfte att förbättra acceptansen av dessa kort i andra medlemsstater än den som har utfärdat dem.(19) Detta mål ska enligt bestämmelserna i förordning 2019/1157 uppnås genom att i de nationella identitetskorten införa gemensamma säkerhetsdetaljer, vilka i samma förordning kategoriseras som i) minimisäkerhetsstandarder och format samt ii) skärpta säkerhetsstandarder.(20) Sistnämnda kategori omfattar obligatorisk insamling av fingeravtryck och lagring av en bild av dem i ett mycket säkert medium.

38. Nu återstår frågan huruvida unionslagstiftaren, mot bakgrund av det ovan beskrivna syftet med och innehållet i förordning 2019/1157, med rätta kunde anse att artikel 21.2 FEUF utgjorde en lämplig rättslig grund för antagandet av förordningen i fråga. Mot bakgrund av lydelsen i den bestämmelsen, som det hänvisas till i punkt 29 ovan, kräver denna fråga att domstolen prövar, för det första, huruvida förordning 2019/1157 kan anses ha antagits i syfte att underlätta utövandet av rätten att fritt röra sig och uppehålla sig inom medlemsstaternas territorier, för det andra, huruvida en unionsåtgärd var nödvändig för att uppnå det målet och, för det tredje, huruvida nödvändiga befogenheter inte föreskrivs i fördragen.

1. Huruvida utövandet av rätten till fri rörlighet underlättas

39. Vad först gäller frågan huruvida förordning 2019/1157 korrekt antogs i syfte att underlätta utövandet av rätten till fri rörlighet är det viktigt att erinra om att det framgår av artikel 4 i direktiv 2004/38 att alla unionsmedborgare har rätt att lämna en medlemsstats territorium för att resa till en annan medlemsstat (rätt till utresa). På liknande sätt måste medlemsstaterna enligt artikel 5 i det direktivet tillåta unionsmedborgare att resa in på deras territorium (rätt till inresa). Som det framgår av direktiv 2004/38 – och upprepas i skäl 2 i förordning 2019/1157 – utgör båda dessa rättigheter det väsentliga innehållet i rätten till fri rörlighet och utgör som sådana en av pelarna i unionsmedborgarskapet.

40. Enligt ovannämnda bestämmelser är rätten till utresa och rätten till inresa emellertid beroende av kravet att ett giltigt identitetskort eller ett giltigt pass förebringas. Såsom framgår av domstolens praxis är syftet med detta krav att förenkla lösningen av de problem som är förknippade med bevisningsförfarandet avseende rätten att uppehålla sig i landet, inte bara för unionsmedborgare utan också för de nationella myndigheterna.(21) Medlemsstaternas förtroende när de välkomnar en unionsmedborgare till sina respektive territorier och den medborgarens utövande av rätten till fri rörlighet är i sista hand beroende av tillförlitligheten hos hans eller hennes identitetskort eller pass när det gäller äkthet och identifiering.(22) Detta gäller särskilt – såsom framgår av skäl 4 i förordning 2019/1157 – eftersom medlemsstaterna enligt direktiv 2004/38 får neka, avbryta eller dra tillbaka en rättighet enligt det direktivet i händelse av bedrägeri.(23)

41. Det är också viktigt att komma ihåg att utövandet av rätten till fri rörlighet inte är begränsat till gränskontroller(24) eller administrativ registrering, såsom RL har hävdat. Rätten att fritt röra sig och uppehålla sig ger unionsmedborgare möjlighet att delta i det dagliga livet för andra invånare i värdmedlemsstaten. Nationella identitetskort har således samma funktioner som de har för dessa invånare, vilket innebär att endast ett tillförlitligt och äkta identitetsbevis som har utfärdats i enlighet med gemensamma säkerhetsstandarder och format, underlättar ett fullständigt åtnjutande av den fria rörligheten. Utan sådana gemensamma standarder och format och, och med beaktande av avsaknaden av homogenitet mellan de nuvarande nationella identitetskorten inom Europeiska unionen, som jag kommer att behandla nedan,(25) kan hinder och svårigheter lättare uppkomma, vilket är det huvudsakliga problem som anges i skäl 5 i förordning 2019/1157.

42. Illustrerande i detta sammanhang är användningen av nationella identitetskort för att få tillgång till offentliga eller privata tjänster, särskilt i fall där det enligt nationell rätt krävs en identitetshandling för sådana identifieringssyften. Ett sådant krav kan till exempel gälla för att få tillgång till offentliga tjänster såsom sjukvård eller vid kontakter med banker, flygbolag, nöjesinrättningar, hotell och andra besöksanläggningar, och så vidare. Härtill kommer att användning av nationella identitetskort är av väsentlig betydelse för att kunna åtnjuta rättigheter som har nära samband med rätten till fri rörlighet och uppehållsrätten, såsom rösträtt och valbarhet vid val till Europaparlamentet och lokala val.(26)

43. Mot bakgrund av syftet med och innehållet i förordning 2019/1157 anser jag att det i detta sammanhang knappast kan hävdas att denna förordning inte har något samband med målet att underlätta utövandet av rätten till fri rörlighet. Snarare gäller det motsatta. En homogenisering av formatet för nationella identitetskort och en förbättring av deras tillförlitlighet genom säkerhetsstandarder, däribland de som införts genom artikel 3.5 i förordning 2019/1157, inverkar nämligen direkt på utövandet av denna rättighet, genom att göra dessa identitetskort tillförlitligare – både ur teknisk synvinkel och enligt allmänhetens uppfattning, såsom kommissionen har påpekat – och därmed lättare att acceptera av medlemsstaternas myndigheter och aktörer som tillhandahåller tjänster.(27) I slutändan leder detta till en minskning av olägenheterna, kostnaderna och de administrativa hindren för rörliga unionsmedborgare.

44. Jag vill kort tillägga att även om pass, vilka redan omfattas av en obligatorisk insamling och lagring av fingeravtryck enligt förordning nr 2252/2004, är handlingar som alternativt kan användas för medborgarnas utövande av rätten till fri rörlighet, utesluter detta inte att nationella identitetskort tjänar samma syfte på grund av direktiv 2004/38(28) och att det ur unionslagstiftarens perspektiv kan krävas mer harmoniserade format och skärpta säkerhetsstandarder för sådana identitetskort i syfte att göra dem tillförlitligare och följaktligen lättare att acceptera.

45. Det första villkoret i artikel 21.2 FEUF, det vill säga kravet att förordning 2019/1157 på korrekt sätt har antagits i syfte att underlätta utövandet av rätten att fritt röra sig och uppehålla sig inom medlemsstaternas territorier, är således enligt min mening uppfyllt.

2. Huruvida en åtgärd från unionens sida var nödvändig

46. Vad därefter gäller frågan huruvida en åtgärd från unionens sida var nödvändig för att uppnå målet att underlätta utövandet av rätten till fri rörlighet ska det påpekas att detta inte är en omständighet som särskilt har tagits upp av den hänskjutande domstolen eller som har ifrågasatts av RL. Jag vill under alla omständigheter uppmärksamma domstolen på den konsekvensbedömning som utfördes av kommissionen och som åtföljde dess förslag till förordning.(29)

47. I konsekvensbedömningen förklarade kommissionen att unionsmedborgarna blir allt rörligare – inom och utanför Europeiska unionen – vilket utan tvekan är en av den europeiska integrationens större vinningar.(30) I det sammanhanget påpekade kommissionen att även om villkoren för utövande av rätten att fritt röra sig och uppehålla sig fastställs i direktiv 2004/38, regleras inte formatet och säkerhetsstandarderna för nationella identitetskort i det direktivet, vilket är skälet till att mer än 250 giltiga versioner av sådana identitetskort används inom Europeiska unionen.(31) I kommissionens konsekvensbedömning identifierades under dessa omständigheter, som problem för utövandet av rätten till fri rörlighet, den omständigheten att medlemsstaterna inte i tillräcklig utsträckning accepterar nationella identitetskort, de ökande dokumentbedrägerierna och avsaknaden av äkthetsbevisning vad gäller nationella identitetskort samt komplexiteten vid utfärdandet och administrationen av dem.(32) I kommissionens bedömning drogs slutsatsen att det finns ett ökande behov av att använda nationella identitetskort och att i avsaknad av en lämplig åtgärd kommer de avsevärda svårigheterna i utövandet av rätten till fri rörlighet att kvarstå eller öka.(33)

48. Ovanstående omständigheter, som utvecklades i kommissionens konsekvensbedömning, illustrerar enligt min mening unionsmedborgarnas ökande användning av rätten till fri rörlighet, som är ett välkänt faktum. Samtidigt visar dessa omständigheter tydligt de nuvarande svårigheterna och riskerna som uppkommer i samband med utövandet av denna rättighet på grund av att det inte finns någon homogenitet mellan de nationella identitetskortens format och säkerhetsdetaljer. Med beaktande av det vidsträckta utrymme för skönsmässig bedömning som unionslagstiftarens har när det krävs komplexa bedömningar(34) bör det inte råda något tvivel om att parlamentet och rådet inte gjorde något fel när de ansåg att denna unionsåtgärd var nödvändig för att uppnå målet att underlätta utövandet av den fria rörligheten.

49. Det andra villkoret i artikel 21.2 FEUF är därför enligt min mening också uppfyllt.

3. Nödvändiga befogenheter

50. För att anta en unionsåtgärd på grundval av artikel 21.2 FEUF krävs, för det tredje, att ”befogenheter för detta [inte] föreskrivs i fördragen”. Den hänskjutande domstolen har i begäran om förhandsavgörande angett att artikel 77.3 FEUF utgör en specifikare rättslig grund för införande av nya säkerhetsdetaljer i medlemsstaternas nationella identitetskort. Den anser att förordning 2019/1157 därför borde ha antagits med stöd av artikel 77.3 FEUF i stället för artikel 21.2 FEUF.

51. Det ska inledningsvis erinras om att enligt fast rättspraxis är en kumulering av två rättsliga grunder utesluten om de förfaranden som föreskrivs för de båda grunderna inte överensstämmer med varandra.(35) I förevarande fall är det lagstiftningsförfarande som är tillämpligt enligt å ena sidan artikel 21.2 FEUF och å andra sidan artikel 77.3 FEUF ömsesidigt uteslutande. Detta innebär att valet att anta förordning 2019/1157 med stöd av artikel 21.2 FEUF inte kan anses vara korrekt om domstolen kommer fram till att korrekt rättslig grund för antagandet av förordningen borde varit artikel 77.3 FEUF.

52. Under alla omständigheter anser jag, mot bakgrund av ordalydelsen och utformningen av artikel 77.3 FEUF samt EUF-fördragets systematik, att den hänskjutande domstolen inte har fog för sin uppfattning.

53. Såsom angetts ovan i punkt 30 ska det nämligen först påpekas att artikel 77.3 FEUF ingår i avdelning V (”Ett område med frihet, säkerhet och rättvisa”) i EUF-fördragets tredje del, närmare bestämt i avdelningens kapitel 2 (”Politik som gäller gränskontroll, asyl och invandring”). Denna bestämmelse följer efter artikel 77.1 FEUF, i vilken det föreskrivs att Europeiska unionen ska utforma en politik med syftet att uppnå vissa mål som främst avser gränskontroller. Den följer också efter artikel 77.2 FEUF, enligt vilken parlamentet och rådet i enlighet med det ordinarie lagstiftningsförfarandet får besluta om åtgärder rörande samma politik.

54. Mot bakgrund av det samlade innehållet i och utformningen av artikel 77 FEUF måste det således anses att även om rådet enligt artikel 77.3 FEUF har befogenhet att anta bestämmelser om pass och identitetskort i syfte att underlätta utövandet av rätten att fritt röra sig och uppehålla sig, måste denna befogenhet förstås så, att den gäller inom ramen för politiken för gränskontroll. En unionsåtgärd som sträcker sig utöver detta specifika innehåll – oberoende av det tillämpliga lagstiftningsförfarandets krav – kan inte anses omfattas av tillämpningsområdet för artikel 77.3 FEUF.

55. I förevarande fall kan införandet av enhetliga standarder, format och specifikationer rörande säkerheten hos nationella identitetskort, inbegripet de som anges i artikel 3.5 i förordning 2019/1157, säkerligen ha en inverkan på gränskontrollerna.(36) Som jag har angett ovan täcker den förordningen emellertid ett vidare område av unionsmedborgarnas liv, vilket hindrar att den begränsas endast till området för gränskontroll. Det kan vara lämpligt att erinra om att om prövningen av en unionsrättsakt visar att den har flera syften, och om ett av dessa syften kan identifieras som det huvudsakliga eller dominerande, medan de övriga endast är av underordnad betydelse, ska rättsakten ha en enda rättslig grund, nämligen den som motsvarar detta syfte.(37) När det gäller förordning 2019/1157 är det uppenbart att den i många olika avseenden påverkar rätten att fritt röra sig och uppehålla sig, medan den endast har en delvis inverkan på gränskontrollerna.

56. För det andra är det viktigt att påpeka att enligt lydelsen i artikel 77.3 FEUF är denna artikel endast tillämplig om de befogenheter som är nödvändiga för att uppnå dess mål inte föreskrivs i andra bestämmelser i fördragen, och att det är en underordnad klausul med liknande lydelse som artikel 21.2 FEUF. Den fråga som uppkommer är huruvida artikel 21.2 FEUF eller artikel 77.3 FEUF utgör en specifikare bestämmelse i förhållande till den andra, särskilt vad gäller rätten att fritt röra sig och uppehålla sig inom medlemsstaternas territorier.

57. I detta sammanhang ska det påpekas att det i artikel 77.3 FEUF uttryckligen hänvisas till artikel 20 i samma fördrag, genom vilken unionsmedborgarskapet införs, och mer specifikt till artikel 20.2 a, i vilken det föreskrivs att unionsmedborgarskapet omfattar rätten att fritt röra sig och uppehålla sig inom medlemsstaternas territorier. I artikel 77.3 FEUF föreskrivs vidare att rådet har befogenhet att anta bestämmelser om bland annat identitetskort i syfte att underlätta den rätt som föreskrivs i artikel 20.2 a FEUF, om inte nödvändiga befogenheter föreskrivs i fördragen. I artikel 21 FEUF utvecklas, som jag redan har påpekat, innehållet i artikel 20.2 a FEUF genom att det bland annat föreskrivs att den i sistnämnda bestämmelse föreskrivna rätten är beroende av att inte annat följer av de begränsningar och villkor som föreskrivs i fördragen och i bestämmelserna om genomförande av fördragen, särskilt de som antagits med stöd av artikel 21.2 i fördraget. I detta sammanhang är jag därför benägen att anse att när det gäller artikel 20.2 FEUF, framstår artikel 21 FEUF som den specifikare bestämmelsen, vilket innebär att uppsamlingsregeln i artikel 77.3 FEUF, och därmed det däri angivna särskilda lagstiftningsförfarandet, inte är tillämpliga.

58. Som kommissionen har hävdat förefaller det vidare som om tillämpningsområdet för klausulen i artikel 21.2 FEUF, enligt vilken bestämmelser får antas i syfte att underlätta den fria rörligheten för personer om inte nödvändiga befogenheter föreskrivs i fördraget, är begränsat vad gäller de artiklar i EUF-fördraget som ingår i avdelning IV i tredje delen av det fördraget, nämligen artikel 45, om den fria rörligheten för arbetstagare, och artiklarna 49 och 56, om etableringsrätt och rätten att tillhandahålla tjänster i andra medlemsstater. Detta framgår ur ett systematiskt perspektiv, med hänsyn till den risk för överlappning som följer av fördragets bestämmelser om å ena sidan unionsmedborgares rätt att fritt röra sig och uppehålla sig inom unionen och å andra sidan rättigheterna om fri rörlighet som en väsentlig del av den inre marknaden. Domstolens praxis ger visserligen stöd för denna tolkning,(38) i den del det därav framgår att artikel 21 FEUF kommer till särskilt uttryck i bestämmelserna om fri rörlighet och vidare att om ett ärende omfattas av tillämpningsområdet för någon av de ovannämnda artiklarna förlorar artikel 21 FEUF sin ställning som korrekt rättslig grund för antagandet av bestämmelser som syftar till att underlätta rätten att fritt röra sig och uppehålla sig.(39)

59. Det ska slutligen kortfattat påpekas att den omständigheten att det i artikel 77.3 FEUF, som den hänskjutande domstolen har påpekat, särskilt hänvisas till identitetskort inte är avgörande för huruvida denna bestämmelse ska anses vara en specifikare bestämmelse i förhållande till artikel 21.2 FEUF. I artikel 77.3 FEUF hänvisas det nämligen också till exempel till uppehållstillstånd för tredjelandsmedborgare, för vilka det fastställs en enhetlig utformning i förordning nr 1030/2002,(40) inbegripet minimisäkerhetsdetaljer och en skyldighet att lagra biometriska uppgifter. Den förordningen och ändringarna till den antogs emellertid genom det ordinarie lagstiftningsförfarandet på grundval av artikel 63.3 EG, vilken senare blev artikel 79 FEUF, och inte på grundval av föregångaren till artikel 77.3 FEUF. Detta beror på att uppehållstillstånd är handlingar som ska användas på nationell nivå i den utfärdande medlemsstaten och inte ska användas för gränskontroller, såsom vanligen också är fallet med nationella identitetskort.

60. Av detta följer att artikel 77.3 FEUF inte utgör en specifikare bestämmelse i förhållande till artikel 21.2 FEUF när det gäller att underlätta utövandet av rätten att fritt röra sig och uppehålla sig inom medlemsstaternas territorier och att det tredje villkoret i sistnämnda bestämmelse följaktligen är uppfyllt.

61. Mot bakgrund av det ovan anförda och eftersom det av den bedömning som jag har föreslagit framgår att de tre villkor som anges i artikel 21.2 FEUF är uppfyllda, drar jag slutsatsen att det var korrekt av parlamentet och rådet att använda denna bestämmelse som rättslig grund för förordning 2019/1157.

62. Den första av de ogiltighetsgrunder som har angetts av den hänskjutande domstolen kan inte anses ge EU-domstolen anledning att slå fast att förordning 2019/1157, och särskilt artikel 3.5, är ogiltig.

B. Artiklarna 7 och 8 i stadgan

63. Den andra av de ogiltighetsgrunder som anges i begäran om förhandsavgörande avser huruvida skyldigheten enligt artikel 3.5 i förordning 2019/1157 att införa och lagra en bild av två fingeravtryck i nya identitetskort som utfärdas av medlemsstaterna utgör en omotiverad begränsning av de rättigheter som garanteras i artiklarna 7 och 8 i stadgan, jämförda med artikel 52.1 däri.

1. Begränsningen

64. I artikel 7 i stadgan föreskrivs att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Enligt artikel 8.1 i stadgan har var och en rätt till skydd av de personuppgifter som rör honom eller henne. Även om dessa båda bestämmelser avser två olika grundläggande rättigheter har domstolen vanligen tillämpat dem samtidigt när den såsom i förevarande mål har haft att pröva huruvida unionsbestämmelser eller nationella bestämmelser om behandling av personuppgifter är förenliga med stadgan.(41)

65. Domstolen har också förklarat att rätten till respekt för privatlivet vad avser behandling av personuppgifter, vilken erkänns i artiklarna 7 och 8 i stadgan, omfattar varje uppgift som rör en fysisk person som är namngiven eller som på annat sätt kan identifieras.(42) Detta är helt klart fallet med de biometriska kännetecken och särskilt de digitala fingeravtryck som avses i förordning 2019/1157, vilka innehåller unika uppgifter om fysiska personer och gör det möjligt att exakt identifiera dem.(43)

66. I domen i målet Schwarz slog domstolen vidare fast att det obligatoriska införandet av digitala fingeravtryck i nya pass som utfärdas av medlemsstaterna, vilket föreskrivs i förordning nr 2252/2004, ska anses utgöra behandling av personuppgifter och att detta införande utgör en begränsning av de rättigheter som garanteras i artiklarna 7 och 8 i stadgan.(44) Mot bakgrund av den domen ska det i linje med det synsätt som har anförts av alla de som har yttrat sig i förevarande mål anses att förordning 2019/1157, genom vilken liknande åtgärder införs rörande nationella identitetskort, inför en begränsning av båda de grundläggande rättigheter som skyddas enligt dessa artiklar.

67. Denna begränsning bör mer specifikt definieras med hänsyn till de båda åtgärder som anges i artikel 3.5 i förordning 2019/1157, nämligen själva insamlingen av fingeravtryck – för vilken förfarandet fastställs närmare i artikel 10.1 i den förordningen – och det slutliga införandet av fingeravtryck i ett mycket säkert lagringsmedium i varje nytt identitetskort som utfärdas av medlemsstaterna.(45)

68. Såsom parlamentet har angett bör hänsyn dessutom tas till den åtgärd som anges i artikel 10.3 i förordning 2019/1157. I den bestämmelsen fastställs att biometriska kännetecken som lagras för personalisering av identitetskort ska förvaras av offentliga myndigheter endast fram till den dag då identitetskortet hämtas ut av innehavaren, dock aldrig längre än 90 dagar från den dag då det utfärdats. Att kännetecknen lagras på detta sätt ökar risken för att offentliga myndigheter får otillbörlig tillgång till de biometriska kännetecken som samlas in i enlighet med artikel 3.5 i förordning 2019/1157 och bör därför inte ignoreras när man beaktar den begränsning av de rättigheter som garanteras i artiklarna 7 och 8 i stadgan som har införts genom den bestämmelsen.

69. Enligt artikel 11 i förordning 2019/1157, som har rubriken ”Skydd av personuppgifter och ansvar”, särskilt punkt 6, får slutligen nationella identitetskort som innehåller lagrade fingeravtryck användas av behöriga nationella myndigheter och unionsbyråer i syfte att kontrollera identitetskortets äkthet och innehavarens identitet. Även i samband med sådan användning kan en risk uppkomma med avseende på de biometriska kännetecken som samlats in enligt artikel 3.5 i förordning 2019/1157.

70. Av det ovan anförda följer att i syfte att i förevarande mål definiera begränsningen av de rättigheter som garanteras i artiklarna 7 och 8 i stadgan och fastställa huruvida denna begränsning kan motiveras, bör domstolen vid sin prövning inte endast ta hänsyn till upptagningen av fingeravtryck och införandet av dem i nya nationella identitetskort som utfärdas av medlemsstaterna, utan också ta hänsyn till de två ovannämnda ytterligare åtgärderna, vilka på grund av den nära kopplingen till de biometriska kännetecken som anges i artikel 3.5 i förordning 2019/1157 avseende lagring och vidare användning inte bör lämnas obeaktade vid prövningen.

2. Huruvida begränsningen är motiverad

71. När det gäller huruvida den ovan beskrivna begränsningen, vilken följer av förordning 2019/1157, kan anses vara motiverad, bör det inledningsvis påpekas att enligt artikel 8.2 i stadgan får personuppgifter behandlas om den berörda personen ger sitt samtycke eller om någon annan legitim och lagenlig grund är tillämplig. Eftersom de åtgärder som föreskrivs i artikel 3.5 i förordning 2019/1157 är av en obligatorisk karaktär, är det uppenbart att medborgare i medlemsstaterna som ansöker om utfärdande av ett nationellt identitetskort inte kan motsätta sig att deras fingeravtryck behandlas.(46) Följaktligen är det nödvändigt att fastställa huruvida behandlingen i fråga kan motiveras på grundval av någon annan legitim och lagenlig grund.

72. Domstolen har konsekvent slagit fast att de rättigheter som erkänns i artiklarna 7 och 8 i stadgan inte är några absoluta rättigheter, utan måste bedömas utifrån deras funktion i samhället.(47) I detta sammanhang föreskrivs i artikel 52.1 första meningen i stadgan att varje begränsning i utövandet av de rättigheter och friheter som erkänns i denna stadga ska vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Enligt artikel 52.1 andra meningen får begränsningar, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.(48)

73. I förevarande mål uppkommer det, såsom den hänskjutande domstolen har medgett, inga problem med avseende på de krav som anges i artikel 52.1 första meningen i stadgan. De begränsningar av artiklarna 7 och 8 i stadgan som följer av förordning 2019/1157 är nämligen föreskrivna i lag i form av en förordning, vilken har införlivats i Förbundsrepubliken Tysklands nationella lagstiftning.(49) Med beaktande av de olika garantier som föreskrivs i artiklarna 3.5, 10.1, 10.3 och 11.6 i förordning 2019/1157, särskilt med avseende på insamling, lagring och användning av fingeravtryck i nyutfärdade nationella identitetskort, och som jag beskriver nedan(50) respekteras dessutom det väsentliga innehållet i de rättigheter som stadfästs i dessa båda bestämmelser.

74. Nu återstår frågan huruvida dessa begränsningar är förenliga med proportionalitetsprincipen och särskilt huruvida de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av Europeiska unionen, i enlighet med artikel 52.1 andra meningen i stadgan.

75. När det gäller huruvida de begränsningar som följer av förordning 2019/1157 svarar mot ett mål av allmänt samhällsintresse har jag redan, i min bedömning av den första ogiltighetsgrunden,(51) förklarat att denna förordning syftar till att underlätta unionsmedborgarnas rätt till fri rörlighet genom att göra nationella identitetskort tillförlitligare när det gäller äkthet och identitet. Av artikel 1 i förordning 2019/1157, jämförd med bland annat skälen 4, 5, 18 och 28 däri, följer det att avsaknaden av homogenitet mellan de nationella identitetskortens format och säkerhetsdetaljer ökar risken för förfalskningar och dokumentbedrägerier samt att ett av förordningens mål är att förhindra detta, som ett sätt att förbättra acceptansen av dessa kort i andra medlemsstater än den som har utfärdat dem.

76. Jag anser därför att i den mån den insamling och lagring av fingeravtryck i nyutfärdade nationella identitetskort som föreskrivs i artikel 3.5 i förordning 2019/1157 är avsedd att förhindra att identitetskorten blir föremål för förfalskning eller används av andra än den faktiska innehavaren på ett bedrägligt sätt – och därigenom underlätta utövandet av rätten till fri rörlighet, som föreskrivs bland annat i artikel 45 i stadgan – eftersträvar de begränsningar som har införts genom förordning 2019/1157 ett mål av allmänt samhällsintresse i den mening som avses i artikel 52.1 i stadgan.(52) Domstolen gjorde en liknande tolkning i domen i målet Schwarz,(53) som enligt min mening är analogt med förevarande mål.

77. När det gäller huruvida de begränsningar som införts genom förordning 2019/1157 är proportionerliga, följer det av domstolens fasta praxis att proportionalitetsprincipen kräver att unionsinstitutionernas åtgärder ska vara ägnade att uppnå de legitima mål som eftersträvas med bestämmelserna i fråga och att de inte går utöver vad som är lämpligt och nödvändigt för att uppnå dessa mål.(54)

78. När det är fråga om ingrepp i grundläggande rättigheter kan unionslagstiftarens utrymme för skönsmässig bedömning dessutom vara begränsat på grund av ett antal omständigheter, såsom bland annat det område som berörs, beskaffenheten av den rättighet som garanteras genom stadgan, ingreppets beskaffenhet och allvar samt ingreppets syfte.(55)

79. Det är riktigt att i förevarande mål innebär insamlingen av fingeravtryck och lagringen av dem i nyutfärdade nationella identitetskort inte i sig någon särskilt stor begränsning av de rättigheter som garanteras i artiklarna 7 och 8 i stadgan. Dels är insamlingen av fingeravtryck inte en åtgärd som innebär något ingrepp i intimsfären,(56) dels är det endast kortinnehavaren som förfogar över de biometriska kännetecken som lagrats i ett nyutfärdat identitetskort i enlighet med förordning 2019/1157.

80. Den begränsning som har införts genom förordning 2019/1157 rör emellertid skyddet av personuppgifter, som enligt domstolens praxis har en viktig roll mot bakgrund av den grundläggande rätten till respekt för privatlivet.(57) Dessutom kan de åtgärder som åtföljer insamlingen och lagringen av fingeravtryck, vilka jag har beskrivit i punkterna 68 och 69 ovan, öka risken för att offentliga myndigheter får otillbörlig tillgång till biometriska kännetecken och att de missbrukas. Slutligen anser jag, i likhet med vad den hänskjutande domstolen har påpekat, att hänsyn ska tas till den samlade inverkan som förordning 2019/1157 har för befolkningen i unionen, mot bakgrund av att den där angivna skyldigheten att införa en bild av innehavarens fingeravtryck vid utfärdandet av nya identitetskort kan beröra upp till 85 procent av unionsmedborgarna, eftersom identitetskort är obligatoriska i en majoritet av medlemsstaterna.(58)

81. Av samtliga dessa skäl bör unionslagstiftaren enligt min mening anses ha ett minskat utrymme för skönsmässig bedömning, vilket innebär att kontrollen av detta utrymme bör vara strikt. Jag anser dock att de begränsningar som följer av förordning 2019/1157 och särskilt av artikel 3.5 är lämpliga, nödvändiga och inte går utöver vad som är nödvändigt för att uppnå förordningens huvudsakliga mål.

82. Vad först gäller frågan om huruvida upptagning och lagring av fingeravtryck i nyutfärdade nationella identitetskort är en åtgärd som är ägnad att uppnå det mål som eftersträvas med förordning 2019/1157, får det anses – och ansågs de facto av domstolen i domen i målet Schwarz(59) – att lagring av fingeravtryck i ett mycket säkert lagringsmedium kan minska risken för att nationella handlingar förfalskas, med beaktande av den unika identifiering som fingeravtryck möjliggör och den tekniskt sofistikerade lösning som tillämpas för lagringen.(60) Genom att minska risken för förfalskning av nationella identitetskort kommer acceptansen av dessa kort i andra medlemsstater än den som har utfärdat dem att öka, vilket i slutänden kommer att underlätta unionsmedborgarnas utövande av rätten till fri rörlighet.(61) Ur detta perspektiv anser jag att det inte bör kvarstå några tvivel om att användningen av fingeravtryck är av en lämplig karaktär för att uppnå målet med förordning 2019/1157.(62)

83. Den hänskjutande domstolen har påpekat att insamlingen och lagringen av fingeravtryck dock endast möjliggör kontroll av huruvida de biometriska uppgifterna i ett särskilt nationellt identitetskort motsvarar innehavarens biometriska uppgifter, men inte identifiering av personen i sig. Den anser att en sådan identifiering endast kan göras genom att jämföra, å ena sidan, de biometriska uppgifter som lagras i identitetskortet och, å andra sidan, de biometriska uppgifter som lagras i en databas som är absolut säker mot förfalskningar. Den hänskjutande domstolen vill ur detta perspektiv få klarhet i huruvida det obligatoriska införandet av fingeravtryck i nationella identitetskort kan uppfylla målet med förordning 2019/1157.

84. Det ska härvid betonas att den hänskjutande domstolens argument inte kan påverka den omständigheten att införandet av fingeravtryck i nationella identitetskort i sig är ett effektivt sätt att förbättra äktheten och tillförlitligheten hos sådana identitetskort, vilket därmed bidrar till att korten accepteras vid utövande av rätten till fri rörlighet. Dess argument grundar sig endast på premissen att införandet av digitala fingeravtryck i nationella identitetskort kanske inte är helt tillförlitligt, eftersom de fortfarande kan förfalskas, vilket innebär att det mål som eftersträvas med förordning 2019/1157 inte kan uppnås fullständigt.

85. Huruvida nationella identitetskort är absolut säkra mot förfalskningar efter antagandet av förordning 2019/1157, inbegripet de åtgärder som föreskrivs i artikel 3.5, är en fråga som inte kan bedömas mot bakgrund av den bevisning som domstolen har tillgång till. Av domen i målet Schwarz följer emellertid att den omständigheten att en metod för att motverka förfalskning och bedrägeri inte är helt tillförlitlig inte är avgörande för huruvida den ska anses vara olämplig mot bakgrund av artikel 52.1 i stadgan. Det räcker faktiskt att metoden betydligt minskar den risk för förfalskning som skulle föreligga om metoden inte användes.(63)

86. Även om insamling och lagring av fingeravtryck i nyutfärdade identitetskort inte kan anses vara en åtgärd som är absolut säker mot förfalskning, påverkar detta inte att åtgärden är ägnad att förhindra förfalskning och dokumentbedrägeri och därigenom underlätta unionsmedborgarnas rätt till fri rörlighet. Inte heller påverkas detta av den omständigheten – som också har påpekats av den hänskjutande domstolen – att insamlingen och införandet av fingeravtryck endast gäller vid utfärdandet av nya identitetskort och att äldre kort är fortsatt giltiga under en viss begränsad period.(64) Också i detta fall minskar det gradvisa införandet av denna åtgärd avseende nationella identitetskort risken för att nationella handlingar förfalskas och bidrar stegvis till uppnåendet av målet med förordning 2019/1157.

87. Vad därefter gäller frågan om huruvida upptagning och lagring av fingeravtryck i identitetskort också är nödvändig – eftersom det inte finns någon lika lämplig men mindre ingripande metod att uppnå samma legitima mål – har den hänskjutande domstolen nämnt två alternativ till denna åtgärd, varav det första ingående granskades av kommissionen i den konsekvensbedömning som åtföljde förslaget till förordning.(65)

88. Det första alternativet skulle vara att begränsa kraven för skydd mot förfalskning till en ansiktsbild av kortets innehavare, vilket är en metod som också skulle tjäna syftet att harmonisera de olika säkerhetsstandarderna för nationella identitetskort på nationell nivå.

89. Såsom anförts ovan har domstolen därvid redan slagit fast att åtgärden att ta fingeravtryck, liksom att ta ansiktsbilder, inte innebär något ingrepp i intimsfären. Den medför inte något större fysiskt eller psykiskt obehag, vilket också gäller för åtgärden att ta ett ansiktsfoto av sökanden.(66) Domstolen har vidare ansett att även om fingeravtryck tas som ett tillägg till ansiktsfotot kan den omständigheten att två åtgärder med syfte att identifiera personer kombineras dock inte i sig anses medföra ett mer betydande intrång i de rättigheter som erkänns i artiklarna 7 och 8 i stadgan än om varje åtgärd ses separat.(67)

90. Eftersom de anatomiska detaljerna i en persons ansikte kan förändras betydligt till följd av förändringar i personens liv, såsom åldrande eller sjukdom, är det dessutom mer sannolikt att enbart en jämförelse av ansiktsbilden på det nationella identitetskortet och kortinnehavarens ansikte resulterar i fel vid identifieringen än en kontroll av ansiktsbilden på identitetskortet och av innehavarens fingeravtryck. Som den tyska regeringen har påpekat i detta avseende kan också en jämförelse med en biometrisk bild vara vilseledande till följd av modern morfningsteknik, genom vilken olika ansikten förenas till en enda ansiktsbild.

91. Varken en manuell eller en automatisk jämförelse av ansiktsbilden på ett nationellt identitetskort med kortinnehavarens ansikte,(68) det vill säga de metoder som användes i många medlemsstater innan förordning 2019/1157 antogs, kan följaktligen ge ett effektivare resultat än kombinationen av de biometriska kännetecken som anges i artikel 3.5 i förordningen, det vill säga en ansiktsbild av kortets innehavare och två fingeravtryck.(69) Jag anser att en liknande slutsats kan dras beträffande den metod som den hänskjutande domstolen också har nämnt, nämligen att kombinera kortinnehavarens ansiktsbild enbart med hologram eller vattenmärken.

92. Det andra alternativet skulle vara att lagra en mindre mängd fingeravtrycksuppgifter i form av så kallade minutiae (distinkta egenskaper i fingermönstret) eller genom krav på upptagning av ett enda fingeravtryck. Det är härvid viktigt att förklara att för att införa minutiae i nationella identitetskort skulle det krävas att det i ett första steg tas ett helt fingeravtryck för att därefter i ett andra steg extrahera dessa minutiae, vilket innebär att en mer omfattande uppgiftsbehandling skulle behöva genomföras utöver insamlingen och lagringen av enskilda fingeravtryck. Jag anser därför att denna metod inte kan anses vara mindre ingripande.

93. Enligt den vetenskapliga litteraturen förefaller lagringen av minutiae dessutom inte att erbjuda samma säkerhet när det gäller att kontrollera identiteten som användningen av kompletta fingeravtryck,(70) vilket är ett övervägande som kan läggas till de farhågor som användningen av minutiae föranleder vad gäller interoperabiliteten. Som de flesta av de som har yttrat sig i målet påpekade under förhandlingen finns det inget fastställt enhetligt förfarande eller ens någon tillgänglig programvara, vare sig på unionsnivå eller på nationell nivå, för att avläsa minutiae från nationella identitetskort, vilket skulle medföra oöverstigliga svårigheter vid utbyte av uppgifter mellan nationella myndigheter.(71)

94. Detta gäller även på internationell nivå, där specifikationerna i dokument 9303 från Internationella civila luftfartsorganisationen (ICAO) måste uppfyllas för att identitetskort ska få användas vid internationella flygresor.(72) I dessa specifikationer fastställs att om en stat förskriver att fingeravtryck ska införas i maskinläsbara resehandlingar, är det obligatoriskt att lagra fingeravtrycksbilden för att möjliggöra global interoperabilitet.(73) Lagring av minutiae uppfyller inte dessa krav.

95. Vad gäller upptagning och lagring av ett enda fingeravtryck är jag benägen att anse att även om mängden data som lagras är mindre än vid lagring av två fingeravtryck, är denna metod inte lika lämplig, eftersom den ger en lägre tillförlitlighet. Det kan till exempel inträffa att upptagningen av fingeravtrycket varit bristfällig eller att det finger av vilket avtrycket togs har skadats. Av domstolens praxis framgår under alla omständigheter att också upptagning av ett större antal fingeravtryck kan anses vara proportionerligt.(74)

96. Av det ovan anförda följer att det inte verkar finnas någon metod som är lika lämplig som – men mindre ingripande än – upptagning och lagring av två fingeravtryck för att på ett lika effektivt sätt uppnå målet med förordning 2019/1157.

97. Slutligen vill jag påpeka att artikel 3.5 i förordning 2019/1157 endast kan anses vara motiverad mot bakgrund av förordningens mål under förutsättning att behandlingen av med stöd av bestämmelsen upptagna fingeravtryck inte går utöver vad som är nödvändigt för att uppnå det eftersträvade målet. Det ska härvid påpekas att lagstiftaren är skyldig att försäkra sig om att det föreligger specifika och effektiva garantier mot att dessa personuppgifter används på ett olämpligt sätt eller att de missbrukas.(75) Nämnda artikel kan anses vara motiverad endast om särskilda begränsningar av behandlingen föreskrivs i syfte att förhindra eventuellt missbruk.(76)

98. Vad gäller det nu aktuella fallet ska det påpekas att artiklarna 3.5, 3.6, 10 och 11 i förordning 2019/1157 innehåller tydliga bestämmelser om insamling, lagring och användning av biometriska kännetecken, däribland fingeravtryck.(77)

99. Vad först särskilt gäller insamling av fingeravtryck anges villkoren för detta i artikel 10 i förordning 2019/1157. Av denna bestämmelse framgår uttryckligen att insamling av biometriska kännetecken endast får utföras av kvalificerad och behörig personal, som utsetts av de myndigheter som ansvarar för att utfärda identitetskort eller uppehållskort, och enbart i syfte att kännetecknen ska integreras i det mycket säkra lagringsmediet enligt artikel 3 i förordning 2019/1157. Vidare framgår att medlemsstaterna ska se till att det finns lämpliga och effektiva förfaranden för insamling av biometriska kännetecken, och att dessa förfaranden är förenliga med de rättigheter och principer som fastställs inte bara i stadgan, utan även i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna och i konventionen om barnets rättigheter.(78) Förfarandena ska även vara av sådant slag att de garanterar att den berörda personens värdighet respekteras om problem uppstår vid insamlingen av biometriska kännetecken.

100. Vad därefter gäller lagring av biometriska kännetecken efter det att de samlats in, framgår det uttryckligen av artikel 3.6 i förordning 2019/1157 att lagringsmediet på de nationella identitetskorten ska garantera uppgifternas integritet, äkthet och sekretess och att uppgifterna ska säkras i enlighet med instruktionerna i kommissionens beslut C(2018) 7767.(79) Vidare framgår av artikel 10.3 i förordningen att de behöriga myndigheternas lagring av biometriska kännetecken efter det att de samlats in ska vara begränsad till tiden mellan insamlingen av uppgifterna och den dag då identitetskortet utfärdas. Lagringstiden får dock aldrig vara längre än 90 dagar från utfärdandedagen. Under lagringstiden ska uppgifterna förvaras på ett mycket säkert sätt. Efter lagringstidens utgång ska de insamlade fingeravtrycken omedelbart raderas eller förstöras.

101. Vad slutligen gäller frågan om användning kan det konstateras att tillgången till de fingeravtryck som lagras på lagringsmediet är mycket begränsad enligt artikel 11 i förordning 2019/1157. Det är endast vederbörligen bemyndigad personal vid de behöriga myndigheterna som har tillgång till dem(80) och denna tillgång är begränsad till fall där det enligt unionsrätt eller nationell rätt krävs att identitetskortet uppvisas. Vidare gäller att det enda tillåtna syftet med sådan tillgång är att kontrollera identitetskortets äkthet och/eller kortinnehavarens identitet. Härtill kommer att denna äkthets- och identitetskontroll i första hand ska ske genom en kontroll av ansiktsbilden, vilket innebär att medlemsstaterna, som allmän praxis, endast ska kontrollera fingeravtrycken om detta behövs för att med säkerhet bekräfta handlingens äkthet och kortinnehavarens identitet.(81)

102. Mot bakgrund av det ovan anförda anser jag att förordning 2019/1157 innehåller tillräckliga och lämpliga bestämmelser som garanterar att insamling, lagring och användning av biometriska kännetecken, särskilt digitala fingeravtryck, effektivt skyddas mot felaktig användning och missbruk.

103. Mer konkret säkerställer dessa bestämmelser att insamlingsförfarandena genomförs av ett begränsat antal specialiserade personer i personalen och att förfarandena på ett korrekt sätt fastställs på förhand av medlemsstaterna, så att de berörda personernas grundläggande rättigheter och värdighet respekteras. Bestämmelserna säkerställer även att biometriska kännetecken som lagras på ett nyligen utfärdat identitetskort endast är tillgängliga för kortinnehavaren efter utfärdandet och att de inte är tillgängliga för allmänheten.(82) De offentliga myndigheterna ska lagra biometriska kännetecken endast i syfte att utfärda identitetskortet på ett mycket säkert sätt, och ingen annan tillgång ska ges till dem eller någon annan person. Biometriska kännetecken ska under alla omständigheter raderas och förstöras efter en tydligt fastställd och rimlig lagringsperiod av de offentliga myndigheterna om kortet inte utfärdas. Slutligen bekräftar de åtgärder som införts genom förordning 2019/1157 tillgången till biometriska kännetecken och deras användning under strikt begränsade omständigheter som är fastställda i förväg i lag och endast i syfte att kontrollera kortets äkthet och kortinnehavarens identitet, i enlighet med förordningens huvudsakliga syfte.

104. För fullständighetens skull vill jag hänvisa till den inledande bestämmelsen i artikel 10.3 i förordning 2019/1157, vilken var föremål för flera frågor som domstolen ställde under förhandlingen. Den första meningen i artikel 10.3 innehåller – innan det hänvisas till de offentliga myndigheternas tillfälliga lagring av fingeravtryck och skyldigheten att förvara dessa biometriska kännetecken på ett mycket säkert sätt – som jag redan har nämnt förbehållet ”utom när de krävs för behandling i enlighet med unionsrätten och nationell rätt”. Denna bestämmelse förefaller att härröra från den interinstitutionella förhandling – eller trilog – som hölls mellan parlamentet, rådet och kommissionen under det ordinarie lagstiftningsförfarande som ledde fram till antagandet av förordning 2019/1157.(83)

105. Det är riktigt att detta förbehåll skulle kunna innebära att de offentliga myndigheterna efter insamlingen får lagra biometriska kännetecken såsom fingeravtryck under en längre period än den som anges i artikel 10.3 i förordning 2019/1157 och att dessa myndigheter får använda dem för ytterligare syften som inte precist anges i den förordningen, såsom till exempel upprättandet av nationella databaser.

106. En noggrann läsning av artikel 10.3 i förordning 2019/1157 visar emellertid att det i detta förbehåll inte fastställs någon rättslig grund för något annat syfte än de som specifikt anges i den förordningen. I förbehållet hänvisas de facto uttryckligen till ytterligare lagstiftning som härrör antingen från Europeiska unionen eller från medlemsstaterna, vilket innebär att varje begränsning av de rättigheter som garanteras i artiklarna 7 och 8 i stadgan ska prövas endast mot bakgrund av denna andra lagstiftning och inte som om den vore en del av förordning 2019/1157. Denna tolkning förstärks särskilt om man beaktar skäl 21 i förordning 2019/1157,(84) i vilket det entydigt förklaras att denna förordning inte utgör någon rättslig grund för att upprätta eller underhålla databaser på nationell nivå för lagring av biometriska uppgifter i medlemsstaterna, eftersom detta är en fråga för nationell rätt som måste vara förenlig med unionsrätten avseende dataskydd. I samma skäl anges vidare att denna förordning inte utgör någon rättslig grund för att upprätta eller underhålla en centraliserad databas på unionsnivå.

107. Det är av detta skäl som jag anser att det inledande förbehållet i artikel 10.3 i förordning 2019/1157 inte kan påverka slutsatsen i punkt 102 ovan, att förordning 2019/1157 innehåller tillräckliga garantier för att förhindra att behandlingen av biometriska kännetecken, särskilt digitala fingeravtryck, används felaktigt eller missbrukas.

108. Mot bakgrund av det ovan anförda drar jag slutsatsen att förordning 2019/1157 och särskilt artikel 3.5 inte utgör en omotiverad begränsning av artiklarna 7 och 8 i stadgan, jämförda med artikel 52.1 i den.

109. Den andra av de ogiltighetsgrunder som har angetts av den hänskjutande domstolen kan inte anses ge EU-domstolen anledning att slå fast att förordning 2019/1157 är ogiltig.

C. Artikel 35.10 i den allmänna dataskyddsförordningen

110. Den tredje av de ogiltighetsgrunder som den hänskjutande domstolen har angett syftar till att få klarhet i huruvida artikel 3.5 i förordning 2019/1157 strider mot artikel 35.10 i den allmänna dataskyddsförordningen. I överensstämmelse med den ståndpunkt som EDPS intog i sitt yttrande av den 10 augusti 2018(85) är den hänskjutande domstolen osäker på huruvida en konsekvensbedömning avseende dataskydd borde ha genomförts av unionslagstiftaren efter antagandet av förordning 2019/1157.

111. Artikel 35 i den allmänna dataskyddsförordningen återfinns i avsnitt 3, som handlar om konsekvensbedömning avseende dataskydd samt föregående samråd och ingår i kapitel IV, vilket har rubriken ”Personuppgiftsansvarig och personuppgiftsbiträde”.

112. I artikel 35.1 föreskrivs att om en typ av behandling, särskilt med användning av ny teknik, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. I artikel 35.2–35.7 i samma förordning vidareutvecklas innehållet i den personuppgiftsansvariges skyldighet att genomföra en konsekvensbedömning. Det anges särskilt i vilka fall en sådan bedömning krävs och beskrivs även vad en sådan bedömning åtminstone ska innehålla.

113. I artikel 35.10 i den allmänna dataskyddsförordningen fastställs dock ett undantag från skyldigheten att genomföra en konsekvensbedömning, förutsatt att de villkor som anges i den bestämmelsen är uppfyllda. Så är fallet särskilt om i) behandlingen av uppgifter är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, ii) den aktuella lagstiftningen reglerar den specifika behandlingsåtgärden eller serien av åtgärder i fråga, och iii) en konsekvensbedömning avseende dataskydd redan har genomförts som en del av en allmän konsekvensbedömning i samband med antagandet av den aktuella lagstiftningen.

114. I förevarande fall ska det inledningsvis påpekas att även om den hänskjutande domstolen i förevararande ogiltighetsgrund har hänvisat till ett åsidosättande av artikel 35.10 i den allmänna dataskyddsförordningen, framgår det av uppgifterna i begäran om förhandsavgörande att förevarande ogiltighetsgrund de facto baseras på ett åsidosättande av artikel 35.1 i förordningen. Det är nämligen genom sistnämnda bestämmelse som den personuppgiftsansvarige, enligt definitionen i artikel 4.7 i den allmänna dataskyddsförordningen, åläggs en skyldighet att genomföra en konsekvensbedömning, om det finns en hög risk för fysiska personers rättigheter och friheter. Enligt den hänskjutande domstolen var det denna skyldighet som unionslagstiftaren omfattades av när förordning 2019/1157 antogs och som enligt samma domstol inte förefaller att ha uppfyllts.

115. Det ska vidare påpekas att den allmänna dataskyddsförordningen och förordning 2019/1157 är sekundärrättsakter som har samma rang i unionens rättskällshierarki. Detta innebär att den allmänna dataskyddsförordningen, i motsats till vad den hänskjutande domstolen har angett i sin fråga, inte kan betraktas som ”överordnad” i förhållande till förordning 2019/1157. Av domstolens praxis följer härvid att om en sekundärrättsakt inte innehåller en uttrycklig bestämmelse som ger den företräde framför en annan sekundärrättsakt, kan den sistnämnda rättsaktens giltighet inte bedömas mot bakgrund av den förstnämnda rättsakten. I det fallet är det endast nödvändigt att se till att respektive rättsakt tillämpas på ett sätt som är förenligt med den andra rättsakten för att därigenom säkerställa en tillämpning som är koherent.(86)

116. Vad gäller förordning 2019/1157 ska det påpekas att det i denna förordning, särskilt i artikel 11 om skydd av personuppgifter, uttryckligen hänvisas till den allmänna dataskyddsförordningen. Av den bestämmelsen, som ska jämföras med skälen 40, 41 och 43 i samma förordning, framgår att den allmänna dataskyddsförordningen är tillämplig med avseende på de personuppgifter som behandlas i samband med tillämpningen av förordning 2019/1157. Av artikel 11.2 i förordning 2019/1157 framgår särskilt att de myndigheter som ansvarar för att utfärda identitetskort ska anses vara personuppgiftsansvariga enligt artikel 4.7 i den allmänna dataskyddsförordningen och ska ansvara för behandlingen av personuppgifter. Vidare ska medlemsstaterna enligt artikel 11.3 i förordning 2019/1157 säkerställa att tillsynsmyndigheterna till fullo kan utföra sina uppgifter enligt den allmänna dataskyddsförordningen och bland annat kan få tillgång till alla personuppgifter samt tillgång till de behöriga myndigheternas lokaler eller deras utrustning för behandling av personuppgifter.

117. Av förordning 2019/1157 följer att den allmänna dataskyddsförordningen kan medföra skyldigheter för nationella organ och behöriga myndigheter när de tillämpar förordning 2019/1157. Detta har medgetts av de unionsinstitutioner och regeringar som har yttrat sig vid domstolen. Ingenstans i den allmänna dataskyddsförordningen framgår det emellertid att skyldigheten att genomföra en konsekvensbedömning enligt artikel 35.1 är bindande för unionslagstiftaren, inte heller fastställs det i denna bestämmelse något kriterium mot bakgrund av vilket till exempel giltigheten av en annan av unionens sekundärrättsakter ska bedömas.

118. Mot bakgrund av det ovan anförda drar jag således slutsatsen att artikel 35.1 i den allmänna dataskyddsförordningen inte är tillämplig på unionslagstiftaren när denne antar en sekundärrättsakt och att kravet på att genomföra en konsekvensbedömning därför inte kan anses ha åsidosatts under den lagstiftningsprocess som ledde fram till antagandet av förordning 2019/1157 och särskilt artikel 3.5 i den.

119. Av det ovan anförda följer att den tredje av de ogiltighetsgrunder som har angetts av den hänskjutande domstolen inte kan anses ge EU-domstolen anledning att slå fast att förordning 2019/1157 är ogiltig.

120. Vid prövningen av den fråga som har ställts av den hänskjutande domstolen har det inte framkommit någon omständighet som kan påverka giltigheten av förordning 2019/1157 och särskilt artikel 3.5.

V. Förslag till avgörande

121. Mot bakgrund av det ovan anförda föreslår jag att domstolen besvarar den fråga som ställts av Verwaltungsgericht Wiesbaden (Förvaltningsdomstolen i Wiesbaden, Tyskland) på följande sätt:

Vid prövningen av den fråga som har ställts av den hänskjutande domstolen har det inte framkommit någon omständighet som kan påverka giltigheten av förordning 2019/1157, särskilt artikel 3.5.

1 Originalspråk: engelska.

2 Europaparlamentets och rådets förordning (EU) 2019/1157 av den 20 juni 2019 om säkrare identitetskort för unionsmedborgare och uppehållshandlingar som utfärdas till unionsmedborgare och deras familjemedlemmar när de utövar rätten till fri rörlighet (EUT L 188, 2019, s. 67) (nedan kallad förordning 2019/1157).

3 Denna skyldighet är tillämplig från och med den 2 augusti 2021. Se artikel 16 i förordning 2019/1157.

4 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1) (nedan kallad den allmänna dataskyddsförordningen).

5 Dom av den 17 oktober 2013, Schwarz (C‑291/12, EU:C:2013:670) (nedan kallad domen i målet Schwarz).

6 Rådets förordning (EG) nr 2252/2004 av den 13 december 2004 om standarder för säkerhetsdetaljer och biometriska kännetecken i pass och resehandlingar som utfärdas av medlemsstaterna (EUT L 385, 2004, s. 1) (nedan kallad förordning nr 2252/2004).

7 Det nu aktuella målet har även ett nära samband med mål C‑280/22, Kinderrechtencoalitie Vlaanderen och Liga voor Mensenrechten, som ännu inte har avgjorts av EU-domstolen.

8 Europaparlamentets och rådets direktiv 2004/38/EG av den 29 april 2004 om unionsmedborgares och deras familjemedlemmars rätt att fritt röra sig och uppehålla sig inom medlemsstaternas territorier och om ändring av förordning (EEG) nr 1612/68 och om upphävande av direktiven 64/221/EEG, 68/360/EEG, 72/194/EEG, 73/148/EEG, 75/34/EEG, 75/35/EEG, 90/364/EEG, 90/365/EEG och 93/96/EEG (EUT L 158, 2004, s. 77), i dess ändrade lydelse (nedan kallat direktiv 2004/38).

9 Kommissionens genomförandebeslut C(2018)7767 av den 30 november 2018 om tekniska specifikationer för en enhetlig utformning av uppehållstillstånd för medborgare i tredjeland och om upphävande av beslut C(2002)3069 (C(2018) 7767 final) (nedan kallat kommissionens beslut C(2018) 7767).

10 Lag av den 18 juni 2009 (BGBl. I s. 1346), i dess lydelse enligt artikel 2 i lagen av den 5 juli 2021 (BGBl. I s. 2281) (nedan kallad PAuswG).

11 Europeiska datatillsynsmannens yttrande 7/2018 av den 10 augusti 2018 om förslaget till förordning om säkrare identitetskort för unionsmedborgare och andra handlingar (EUT C 338, 2018, s. 22) (nedan kallat datatillsynsmannens yttrande 7/2018).

12 Dom av den 3 december 2019, Republiken Tjeckien/Parlamentet och rådet (C‑482/17, EU:C:2019:1035, punkt 31 och där angiven rättspraxis).

13 Ibidem (punkt 32 och där angiven rättspraxis).

14 Domen i målet Schwarz, punkt 20.

15 Se dom av den 18 december 2014, Förenade kungariket/rådet (C‑81/13, EU:C:2014:2449, punkterna 35 och 36 och där angiven rättspraxis).

16 Se även skäl 46 i förordning 2019/1157.

17 I detta skäl anges uttryckligen att införande av minimisäkerhetsstandarder och införlivande av biometriska uppgifter på identitetskort är viktiga steg på vägen för att göra användningen av dessa handlingar säkrare i unionen och för att ge unionsmedborgarna möjlighet att till fullo utnyttja sin rätt till fri rörlighet.

18 Se, för ett liknande resonemang, förslag till Europaparlamentets och rådets förordning om säkrare identitetskort för unionsmedborgare och uppehållshandlingar som utfärdas till unionsmedborgare och deras familjemedlemmar när de utövar rätten till fri rörlighet (COM(2018) 212 final), sida 4 (nedan kallat kommissionens förslag till förordning).

19 För en konceptuell ram för de allmänna och särskilda målen med kommissionens förslag till förordning, se Commission Staff Working Document – Impact Assessment av den 17 april 2018 (SWD(2018) 110 final), sida 24 (nedan kallad kommissionens konsekvensbedömning).

20 Se skäl 28 i förordning 2019/1157.

21 Dom av den 17 februari 2005, Oulane (C‑215/03, EU:C:2005:95, punkt 22).

22 Se även artikel 8.3 i direktiv 2004/38, under rubriken ”Administrativa formaliteter för unionsmedborgare”.

23 Se artikel 35 i direktiv 2004/38.

24 Såsom är fallet till exempel när det gäller medlemsstater som Irland, där inre gränskontroller fortsatt är i kraft, eller när det gäller det tillfälliga återinförandet av gränskontroller vid de inre gränserna i enlighet med artikel 23 och följande artiklar i Europaparlamentets och rådets förordning (EU) 2016/399 av den 9 mars 2016 om en unionskodex om gränspassage för personer (kodex om Schengengränserna) (EUT L 77, 2016, s. 1), i dess ändrade lydelse.

25 Se punkt 47 nedan.

26 I kommissionens konsekvensbedömning (punkt 6.1) nämns även fördelar för europeiska demokratiska rättigheter och för medborgarinitiativet.

27 Se, för ett liknande resonemang, sista meningen i skäl 15 i förordning 2019/1157 och skäl 28 i samma förordning, i vilket det, som jag angett ovan, anges att båda typerna av åtgärder för det första hjälper medlemsstaterna att lita på handlingarnas äkthet och för det andra ger offentliga myndigheter och privata aktörer tillräckliga garantier för att de ska kunna lita på identitetskorten när de används av unionsmedborgare i identifieringssyfte.

28 Se, för ett liknande resonemang, dom av den 16 april 2015, Willems m.fl. (C‑446/12–C‑449/12, EU:C:2015:238, punkt 39).

29 Commission Staff Working Document – Impact Assessment av den 17 april 2018, som det hänvisas till i fotnot 19 ovan.

30 Se kommissionens konsekvensbedömning (punkt 1.1), i vilken det anges att mer än 15 miljoner unionsmedborgare uppehåller sig i en annan medlemsstat och att mer än 11 miljoner medborgare arbetar i en annan medlemsstat, utöver de många studerande som flyttar inom Europeiska unionen för utbildning eller praktik.

31 Kommissionens konsekvensbedömning, punkt 1.2 och bilaga 5.

32 Kommissionens konsekvensbedömning, punkt 2.1 och figur 2.1.

33 Kommissionens konsekvensbedömning, punkt 2.2.

34 Se bland annat, för ett liknande resonemang, dom av den 22 juni 2017, E.ON Biofor Sverige (C‑549/15, EU:C:2017:490, punkt 50 och där angiven rättspraxis).

35 Se, bland annat, dom av den 11 juni 2014, kommissionen/rådet (C‑377/12, EU:C:2014:1903, punkt 34).

36 Som den spanska regeringen har påpekat antogs förordning 2019/1157 i syfte att bidra till målet att förbättra säkerheten för resehandlingar, särskilt till följd av ändringen av kodexen om Schengengränserna, genom vilken det infördes en skyldighet att systematiskt kontrollera alla personer och deras resehandlingar – oavsett innehavarens nationalitet – i Schengens informationssystem (SIS) och i databasen över stulna och förkomna resehandlingar (SLTD). Se, för ett liknande resonemang Europaparlamentets och rådets förordning (EU) 2017/458 av den 15 mars 2017 om ändring av förordning (EU) 2016/399 vad gäller stärkandet av kontroller mot relevanta databaser vid de yttre gränserna (EUT L 74, 2017, s. 1). Se även kommissionens konsekvensbedömning, punkt 1.2 (sida 5).

37 Se, bland annat, dom av den 20 november 2018, kommissionen/rådet (Marina skyddsområden Antarktis) (C‑626/15 och C‑659/16, EU:C:2018:925, punkt 77 och där angiven rättspraxis).

38 Se, för ett liknande resonemang, dom av den 20 maj 2010, Zanotti (C‑56/09, EU:C:2010:288).

39 Ibidem (punkt 24 och där angiven rättspraxis).

40 Se artikel 4b i rådets förordning (EG) nr 1030/2002 av den 13 juni 2002 om en enhetlig utformning av uppehållstillstånd för medborgare i tredjeland (EGT L 157, 2002, s. 1).

41 Se domen i målet Schwarz (punkt 25), och dom av den 8 april 2014, Digital Rights Ireland m.fl. (C‑293/12 och C‑594/12, EU:C:2014:238, punkt 29). Jämför med förslaget till avgörande av generaladvokaten Cruz Villalón i de förenade målen Digital Rights Ireland m.fl. (C‑293/12 och C‑594/12, EU:C:2013:845, punkt 64), i vilket han hävdade att i mål som rör personuppgifter som inte avser privatlivet ska endast artikel 8 i stadgan tillämpas.

42 Dom av den 3 oktober 2019, A m.fl. (C‑70/18, EU:C:2019:823, punkt 54 och där angiven rättspraxis).

43 Ibidem (punkt 55 och där angiven rättspraxis). Se även kommissionens konsekvensbedömning, punkt 6.1 (sidorna 34 och 35), i vilken det påpekas att biometriska uppgifter måste krypteras och att för detta ändamål behöver krypteringsnycklar utbytas med de särskilda myndigheterna – nämligen gränsbevakningen och polisen.

44 Domen i målet Schwarz (punkterna 24–30).

45 Denna insamling måste utföras i enlighet med de tekniska specifikationer som fastställs i kommissionens beslut C(2018) 7767 (se fotnot 9 ovan).

46 Se, beträffande den obligatoriska karaktären hos nationella identitetskort i Förbundsrepubliken Tyskland, 1 § punkt 1 PAuswG, som det hänvisas till i punkt 14 ovan.

47 Domen i målet Schwarz (punkt 33 och där angiven rättspraxis).

48 Ibidem (punkt 34). Se även dom av den 8 april 2014, Digital Rights Ireland m.fl. (C‑293/12 och C‑594/12, EU:C:2014:238, punkt 38).

49 Se 5 § punkt 9 PAuswG, som återges i punkt 15 ovan.

50 Se punkterna 97–107 nedan.

51 Se punkterna 33–37 ovan.

52 Se även kommissionens konsekvensbedömning, punkt 6.1 (sida 34), i vilken det även anges att utövandet av grundläggande politiska rättigheter (artiklarna 39 och 40 i stadgan) samt utövandet av rätten att göra framställningar (artikel 44 i stadgan) kommer att påverkas positivt genom att säkerhetsdetaljerna i nationella identitetskort förstärks.

53 Domen i målet Schwarz (punkt 36).

54 Se dom av den 8 april 2014, Digital Rights Ireland m.fl. (C‑293/12 och C‑594/12, EU:C:2014:238, punkt 46 och där angiven rättspraxis).

55 Ibidem (punkt 47). Se även, beträffande artikel 8 i Europakonventionen, Europadomstolens dom i målet S och Marper mot Förenade kungariket [SK], nr 30562/04 och 30566/04, § 102, CEDH 2008-V).

56 Domen i målet Schwarz (punkt 48).

57 Ibidem

58 Se datatillsynsmannens yttrande 7/2018 (sida 3).

59 Se, för ett liknande resonemang, domen i målet Schwarz (punkt 41).

60 Det finns inte två människor, inte ens identiska tvillingar, som har samma fingeravtryck. Fingeravtrycken ändras inte heller, inte ens på grund av ålder, utom om det djupare lagret, eller basallagret, förstörs eller avsiktligt ändras med plastikkirurgi. Det finns tre huvudsakliga mönster i fingeravtryck, vilka benämns bågar, slingor och virvlar. Formen, storleken, antalet och arrangemanget av mindre detaljer i dessa mönster gör varje fingeravtryck unikt. Se https://www.interpol.int/How-we-work/Forensics/Fingerprints.

61 Se skäl 28 i förordning 2019/1157, som det hänvisas till i fotnot 27 ovan.

62 Som jag har angett ovan fastställs det redan i unionsrätten, för liknande syften, standarder för säkerhetsdetaljer och biometriska kännetecken i pass och resehandlingar som utfärdas av medlemsstaterna (förordning nr 2252/2004), en enhetlig utformning av visumhandlingar (förordning nr 1683/95 (EGT L 164, 1995, s. 1)) och en enhetlig utformning av uppehållstillstånd för medborgare i tredjeland (förordning nr 1030/2002), vilka bygger på en enhetlig strategi från unionslagstiftaren.

63 Domen i målet Schwarz (punkterna 43 och 44), där domstolen vidare konstaterade att även om det är riktigt att det finns en risk att metoden att kontrollera personers identitet med hjälp av fingeravtryck i undantagsfall inte ger ett optimalt resultat, leder en bristande samstämmighet mellan innehavarens biometriska uppgifter normalt till att de behöriga myndigheterna uppmärksammar den berörda personen och utför en grundligare kontroll för att slutgiltigt fastställa dennes identitet.

64 Se artikel 5 i förordning 2019/1157, i vilken det föreskrivs att identitetskort som inte uppfyller kraven i artikel 3 i förordningen blir ogiltiga när deras giltighetstid löper ut eller senast den 3 augusti 2031, beroende på vilket som infaller först.

65 Se kommissionens konsekvensbedömning, punkterna 5.2 och 6.1 och tabell 6.1, där det hänvisas till ”Alternativ ID 1”. Detta alternativ utgörs av ett format med vissa gemensamma detaljer såsom informationen på kortet och minimisäkerhetsdetaljer med beaktande av ICAO:s dokument 9303 samt ett chip som innehåller en obligatorisk ansiktsbild.

66 Domen i målet Schwarz (punkt 48).

67 Ibidem (punkt 49).

68 Till exempel vid användning av system för automatisk gränskontroll. Se Europaparlamentets och rådets förordning (EU) 2017/2225 av den 30 november 2017 om ändring av förordning (EU) 2016/399 vad gäller användningen av in- och utresesystemet (EUT L 327, 2017, s. 1).

69 Se kommissionens konsekvensbedömning, punkt 7.1 (sida 49), i vilken kommissionen, efter att ha jämfört de olika alternativens effektivitet, drog slutsatsen att kombinationen av en ansiktsbild och två fingeravtryck är effektivare när det gäller att uppnå de särskilda målen att minska dokumentbedrägerier och förbättra autentiseringen av handlingar. Se även punkt 7.4 (sida 56) i samma dokument, där det anges att i syfte att förbättra acceptansen av nationella identitetskort och således främja målet med fri rörlighet är kombinationen av en ansiktsbild och två fingeravtryck att föredra framför ett krav på endast en ansiktsbild.

70 Maltoni, D., m.fl., Handbook of fingerprint recognition, Springer, andra utgåvan, Springer, 2009, s. 53.

71 Medlemsstaterna har däremot standardiserat interoperabilitetsinstrumenten för de biometriska kännetecken som avses i förordning 2019/1157. Se artikel 3.6 i denna förordning och kommissionens beslut C(2018) 7767.

72 Se skäl 23 i förordning 2019/1157.

73 ”Machine readable travel documents”, dokument 9303, åttonde utgåvan, ICAO, 2021 (del 9, kapitel 4).

74 Även tio fingeravtryck kan anses proportionerligt. Se, för ett liknande resonemang, dom av den 3 oktober 2019, A m.fl. (C‑70/18, EU:C:2019:823, punkt 58).

75 Se domen i målet Schwarz, (punkt 55). Se även Europadomstolens dom i målet S och Marper mot Förenade kungariket [SK], nr 30562/04 och 30566/04, § 103, CEDH 2008-V.

76 Dom av den 8 april 2014, Digital Rights Ireland m.fl. (C‑293/12 och C‑594/12, EU:C:2014:238, punkt 54 och följande punkter).

77 Se även skäl 22 i förordning 2019/1157.

78 Antagen av Förenta nationernas generalförsamling genom resolution 44/25 den 20 november 1989. Konventionen trädde i kraft den 2 september 1990.

79 Se, bland annat, bilaga III till kommissionens beslut C(2018) 7767, punkt 5, under rubriken ”Frågor om uppgifternas säkerhet och integritet”.

80 Se artikel 11.7 i förordning 2019/1157, enligt vilken medlemsstaterna varje år ska överlämna en förteckning till kommissionen över behöriga myndigheter som har tillgång till biometriska uppgifter. Kommissionen ska offentliggöra en sammanställning av dessa nationella förteckningar på internet.

81 Se skäl 19 i förordning 2019/1157. Se även artikel 4.3 i förordning nr 2252/2004, där samma begränsade användning fastställs för pass och resehandlingar.

82 Såsom kommissionen förklarade vid förhandlingen framgår det av kommissionens beslut C(2018) 7767 att terminalautentisering går till så att avläsningsutrustningen skickar meddelande om tillstånd till avläsning i form av olika digitala certifikat till chipet i identitetskortet. Chipet i identitetskortet kan således kontrollera terminalcertifikatets äkthet. Detta innebär i praktiken att endast de behöriga myndigheter som räknas upp i artikel 11.7 i förordning 2019/1157 och inga andra myndigheter eller personer kan få åtkomst till biometriska uppgifter.

83 Se interinstitutionellt ärende av den 22 februari 2019, i vilket det förklaras att ”enligt kompromisstexten behåller rådet alla de centrala delarna av sitt förhandlingsmandat, framför allt vad gäller … medlemsstaternas förmåga att upprätta och underhålla biometriska databaser i linje med nationell lagstiftning”, och vilket finns på https://data.consilium.europa.eu/doc/document/ST-6412–2019-INIT/en/pdf.

84 Se även kommissionens konsekvensbedömning, punkt 6 (sidorna 33 och 35), där det anges att ”inget i dessa initiativ ska utgöra en rättslig grund för centraliserad lagring av insamlade uppgifter … eller för användning av sådana uppgifter för andra ändamål än att kontrollera handlingens äkthet och innehavarens identitet …”, och att ”varje genomförande måste vara förenligt med unionsrätten och de grundläggande rättigheter som den skyddar”.

85 Se fotnot 11 ovan.

86 Se, för ett liknande resonemang, dom av den 28 juni 2012, kommissionen/Éditions Odile Jacob (C‑404/10 P, EU:C:2012:393, punkt 110), och dom av den 29 juni 2010, kommissionen/Bavarian Lager (C‑28/08 P, EU:C:2010:378, punkt 56). Se även förslag till avgörande av generaladvokaten Pitruzzella i de förenade målen Luxembourg Business Registers (C‑37/20 och C‑601/20, EU:C:2022:43, punkt 66).