Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Angriff auf den Datenschutz?

Die automatisch abgleichbaren biometrischen Daten aller EU-Bürger dauerhaft in einer Datenbank gespeichert - dieser Wunschtraum der Sicherheitsbehörden bedeutet nichts anderes als eine Abkehr von bisherigen Rechtsgrundsätzen.

In Pocket speichern vorlesen Druckansicht 4 Kommentare lesen
Lesezeit: 23 Min.
c't Magazin
Von
  • Dr. Thilo Weichert
Inhaltsverzeichnis

Als Peter Schaar bei der Vorstellung seines Tätigkeitsberichtes im April ein Moratorium bei der Einführung von Biometriepässen forderte, wetterte Bundesinnenminister Schily, der Bundesdatenschutzbeauftragte überschreite damit seine Kompetenzen [1]. Doch irrte er: Die Fragen des Ob und des Wie solcher Ausweise sind nicht rein technischer Natur. Sie berühren vielmehr den Kern der Aufgaben des obersten Datenschützers: den Schutz des Grundrechts auf informationelle Selbstbestimmung. Ohne Not demonstrierte der Innenminister blanke Nerven: Nicht die Sicherheit steht auf dem Spiel, sondern ein verfassungsmäßiges Grundrecht, das dem für den Schutz unserer Verfassung zuständigen Minister am Herzen liegen müsste.

Sich mit biometrischen Merkmalen zu identifizieren ist nichts Neues: Lichtbild und Unterschrift finden sich nicht nur auf dem Personalausweis und dem Reisepass, sondern unter anderem auch auf dem Führerschein und bald auf der Krankenversichertenkarte. Weitere biometrische Merkmale wie Größe oder Augenfarbe ergänzen diese Identifikationsmerkmale. Und schon seit langem nutzen die Sicherheitsbehörden im strafrechtlichen Ermittlungsverfahren den Fingerabdruck für eine besonders sichere Identifizierung.

Neues Recht in Deutschland ...

Eine neue Qualität wird jetzt damit erreicht, dass die biometrischen Identifikationsmerkmale elektronisch gespeichert und automatisiert gelesen werden können und dürfen. Hierin liegt die „Innovation“ des Terrorismusbekämpfungsgesetzes vom 09. 01. 2002 [2]. Dabei wurde im Personalausweisgesetz und im Passgesetz neu geregelt, dass die Ausweisdokumente „weitere biometrische Merkmale von Fingern oder Händen oder Gesicht enthalten“ dürfen, die „in mit Sicherheitsverfahren verschlüsselter Form“ eingebracht und „über eine Zone für das automatische Lesen“ erschlossen werden können. Während der Gesetzgebung wurde festgelegt: „Eine bundesweite Datei wird nicht eingerichtet“. Dahinter steht die grundsätzliche Idee, dass Strukturen, die man gar nicht erst schafft, auch von niemandem missbraucht werden können [3]. Alles Weitere sollte ergänzend „durch ein Bundesgesetz geregelt“ werden. Auf nationaler Ebene ist es dabei bis heute geblieben.

Gänzlich ungeregelt ist der Umgang mit den geplanten Ausweisdokumenten dennoch keineswegs. Die in den bisherigen nationalen Datenschutzregelungen festgelegten Grundsätze gelten, solange sie nicht explizit aufgehoben werden, natürlich auch für biometrische Pässe: Die Bundesdruckerei darf die persönlichen Angaben nur für die Herstellung der Ausweisdokumente verwenden - die gespeicherten Daten sind „anschließend zu löschen“. „Die Seriennummern dürfen nicht so verwendet werden, dass mit ihrer Hilfe ein Abruf personenbezogener Daten aus Dateien oder eine Verknüpfung von Dateien möglich ist.“

Außer der Polizei und den Grenzbehörden dürfen Behörden das Ausweisdokument „nicht zum automatischen Abruf personenbezogener Daten verwenden“. Im nichtöffentlichen Bereich, also durch Private, dürfen die Ausweisdokumente konventionell genutzt werden, aber „weder zum automatischen Abruf personenbezogener Daten noch zur automatischen Speicherung“.

Erheblich weniger datenschutzfreundlich sind die Regelungen zu den biometrischen Ausländerausweisen ausgefallen (nunmehr in § 78 AufenthG geregelt). Diese enthalten kein Verbot zentraler Dateien, keine Zweckbindung der Seriennummer und keine Einschränkung bezüglich der Nutzung durch Private. Dies war kein gesetzgeberisches Versehen, wie sich bei der Regelung zur Nutzung durch öffentliche Stellen und Behörden zeigt: „Öffentliche Stellen können die in der Zone für das automatische Lesen enthaltenen Daten zur Erfüllung ihrer gesetzlichen Aufgaben speichern, übermitteln und nutzen.“ Also unjuristisch formuliert: Öffentliche Stellen dürfen die Ausweisdaten von Ausländern unbegrenzt - auch elektronisch - verwenden.

Eine weitere Ungleichbehandlung der Ausländerdokumente mit denen von Deutschen liegt darin, dass es für die Konkretisierung des weiteren Verfahrens nicht eines vom Parlament zu verabschiedenden Gesetzes bedarf, sondern eine von der Exekutive erlassene Rechtsverordnung genügt. Diese Ungleichbehandlung von Ausländern und das Ungültigerklären von grundlegenden Datenschutzprinzipien wie der Zweckbindung führen zwangsläufig zur Bewertung „verfassungswidrig“ [4, 5].

Dass dies bisher nur Experten aufgefallen ist, liegt wohl vor allem daran, dass die Regelungen zu den Ausweisdokumenten auch mehr als drei Jahre nach der Verabschiedung des Terrorismusbekämpfungsgesetzes immer noch nicht umgesetzt wurden. Diese Untätigkeit beziehungsweise Verzögerung hat seine guten Gründe: Die in den Gesetzen vorgesehene Technik ist noch nicht ausgereift und erprobt. Dies gilt für den vorgesehenen Masseneinsatz biometrischer Verfahren, erst recht für die nunmehr geplante Funkkommunikation zwischen Karte und Hintergrundsystem (Radio Frequency Identification, RFID). Praktisch das gesamte Verfahren der Dokumentausgabe bis hin zur Nutzung der Hintergrundsysteme ist heute noch nicht ausgearbeitet. Technische Sicherheitsvorkehrungen wurden erst kurz vor der CeBIT 2005 der Öffentlichkeit vorgestellt [6]. Bis heute fehlen die konkretisierenden Rechtsverordnungen und Dienstvorschriften.

... und in der EU

Bewegung kam erst mit der vom Europäischen Rat am 13.12.2004 beschlossenen Verordnung zur europaweiten einheitlichen Einführung von biometrischen EU-Reisepässen [7]. Diese direkt gültige Verordnung regelt in Art. 1 Abs. 2: „Die Pässe und Reisedokumente sind mit einem Speichermedium versehen, das ein Gesichtsbild enthält. Die Mitgliedstaaten fügen auch Fingerabdrücke in interoperablen Formaten hinzu.“ Die Pflicht zur Umsetzung besteht in Bezug auf das Gesichtsbild für die Mitgliedsstaaten ab Juli 2006, in Bezug auf die Fingerabdrücke ab Januar 2008.

In Sachen Datenschutz ist die EU-Verordnung wenig aussagekräftig. Neben einem Auskunfts- und Korrekturanspruch sieht Art. 4 Abs. 3 der Verordnung vor, dass für die Zwecke dieser Verordnung, also für Grenzkontrollen, biometrische Daten nur verwendet werden dürfen, „um die Authentizität des Dokuments zu prüfen“ und „die Identität des Inhabers durch direkt verfügbare abgleichbare Merkmale zu überprüfen, wenn die Vorlage eines Passes oder eines anderen Reisedokuments gesetzlich vorgeschrieben ist.“

Vor einer Einführung der neuen Pässe muss das derzeit noch gültige deutsche Passgesetz geändert werden: Da die gesamten Umstände der Datenverarbeitung in ihr nicht geregelt sind, geht die Verordnung für eine Umsetzung noch nicht weit genug. Trotzdem gibt es beispielsweise durch die vorgegebene Nutzung von zwei Biometrieverfahren nebeneinander statt nur von einem inhaltliche Widersprüche zwischen deutschem und EU-Recht. Eine explizite Festlegung auf die RFID-Technologie enthält die Verordnung übrigens nicht. Allenfalls über den Art. 2, der auch „geheime“ technische Spezifikationen erlaubt, können derartige Festlegungen erfolgen. Für andere als Passdokumente, also insbesondere den ebenfalls geplanten biometrischen Personalausweis, gilt die EU-Verordnung nicht.

Verfassungsschutz gefragt

Welche Regeln für die Nutzung persönlicher Daten gelten sollen, ist nicht einfach ins Belieben des Gesetzgebers gestellt: Dass der Datenschutz seit dem Volkszählungsurteil des Bundesverfassungsgerichtes in Deutschland Verfassungsrang hat, ist inzwischen akzeptiertes Allgemeingut. Weniger bekannt ist, dass dies auch für die gesamte Europäische Union gilt, die in Art. 8 der Grundrechtecharta ein Grundrecht auf Datenschutz normiert hat, das sich inhaltlich vom deutschen „Recht auf informationelle Selbstbestimmung“ nicht unterscheidet. Dieses im Volkszählungsurteil formulierte Recht gewährleistet „die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“. Damit wären „eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über ihn weiß.

Die Regeln zur Beachtung des Grundrechtes auf Datenschutz haben allesamt hohe Relevanz bei der Einführung biometrischer Ausweise: So sind Eingriffe in das Grundrecht nur per Gesetz und nur bei überwiegendem Allgemeininteresse erlaubt. Der Erforderlichkeitsgrundsatz verbietet das Erfassen und Verarbeiten von Daten in einem Umfang, der über das unbedingt Notwendige hinausgeht. Unzulässig ist die Einführung von universellen Personenkennziffern (PKZ) und die Erstellung - eventuell mit Hilfe solcher PKZ - von umfassenden Persönlichkeitsprofilen. Personenbezogene Daten dürfen in der Regel nur für den Zweck genutzt werden, für welchen sie erhoben wurden.

Zur Gewährleistung des Selbstbestimmungsrechtes der Betroffenen sind Daten im Allgemeinen direkt bei diesen selbst zu erheben; das heißt, das heimliche Erheben von Daten ist nur in gesetzlich geregelten, besonders begründeten Ausnahmefällen erlaubt. Zu beachten sind schließlich die Grundsätze der Datenvermeidung und Datensparsamkeit: Bei der Gestaltung eines informationstechnischen Verfahrens ist zu beachten, dass möglichst wenige personenbezogene Daten mit möglichst geringer Sensibilität so dezentral wie möglich verarbeitet werden.

Zieldiagnose

Die mit dem biometrischen Ausweis verfolgten Ziele müssen sich an diesen Regeln messen lassen: So soll die Fälschungssicherheit der Passdokumente erhöht werden. Inwieweit hierfür ein Bedarf besteht, ist aber äußerst umstritten. Die Fälschungssicherheit des bisherigen deutschen Passes ist derart hoch, dass durch den technologischen Wechsel kaum ein zusätzlicher Gewinn erzielt werden kann, zumindest kein Gewinn, der zusätzliche massive Risiken für den Datenschutz rechtfertigen würde.

Zentraler Ansatzpunkt der biometrischen RFID-Ausweise ist die Ermöglichung der eindeutigen automatisierten Identifikation durch hoheitliche Stellen, insbesondere Grenzbehörden und Polizei, durch einen Karte-Körper-Datenabgleich. Der Vergleich der Erscheinung des Passinhabers mit den auf der Karte enthaltenen Angaben und dem Bild sollen vom störungs- und irrtumsanfälligen Menschen auf die Maschine verlagert werden. Dies hätte zweifellos einen großen Rationalisierungseffekt. Auch eine Verfahrensbeschleunigung bei der Kontrolle lässt sich erzielen. Ungeklärt ist aber weiterhin, ob die Fehlerraten der technischen Systeme und die dadurch nötigen Rückfallsicherungen, wenn beispielsweise die Fingerabdrücke nicht elektronisch gelesen werden können, den Einsatz der neuen Technik und die damit verbundene Erfassung legitimieren können.

Mehr oder weniger offen wird eine weitere Intention verfolgt, die dringend intensiv diskutiert werden muss: Die biometrischen Daten sollen in zentralen oder vernetzten Datenbanken für Sicherheitszwecke, insbesondere für die Strafverfolgung, zur Verfügung stehen. Elektronisch gespeicherte Fingerabdrücke können mit Tatortspuren abgeglichen werden, um Straftatverdächtige ausfindig zu machen. Digitale Gesichtsbilder erlauben über den Einsatz von Mustererkennungsverfahren den Abgleich mit Videobildern. Diese und viele weitere biometrische Daten sind für die Personenidentifizierung bei Ermittlungen der Sicherheitsbehörden von großem Interesse.

Voraussetzung für die polizeiliche Nutzung der biometrischen Daten ist, dass diese in einer für die Polizei zugänglichen Form gespeichert sind. Dass eine grundsätzliche Bereitschaft zu einer solchen zentralen Speicherung und zur polizeilichen Nutzung besteht, signalisierte der nationale Gesetzgeber mit der Speicherung von und der polizeilichen Zugriffsmöglichkeit auf Fingerabdrücke von Flüchtlingen im beim Bundeskriminalamt geführten „Automatisierten Fingerabdruckidentifikationssystem“ (AFIS). Der Europäische Rat formulierte das Ziel, ein „auf biometrischen Identifikatoren gestütztes Passregister auf Ebene der EU“ zu schaffen [8].

Derzeit sind die Lichtbilder in den lokalen Personalausweisregistern schon für die Verfolgung unter anderem von Geschwindigkeitsüberschreitungen eine gern genutzte Quelle: Die bei den Radarkontrollen geblitzten Bilder werden mit den Fotos des Ausweisregisters verglichen, um den Fahrer zu identifizieren. Die digitale Speicherung und weitere Verarbeitung dieser Bilder wird aktuell vorangetrieben. Deren zentrale Verfügbarkeit würde faktisch eine bundesweite Bevölkerungslichtbild-Datenbank zur Folge haben. Mit der Anreicherung dieser Datenbank um Fingerabdruckdaten würde das Interesse hieran weiter massiv zunehmen.

Rechtsabweichung

Ob derartige biometrische Bevölkerungsdatenbanken in einem Rechtsstaat polizeilich genutzt werden dürfen, steht auf einem anderen Blatt. Die bisherige Verfassungsrechtsprechung ist da eigentlich eindeutig. So stellte das Bundesverfassungsgericht im Volkszählungsurteil fest, dass eine Vorratsdatenspeicherung auch für allgemeine polizeiliche Zwecke von ihm abgelehnt wird: „Ein Zwang zur Angabe personenbezogener Daten setzt voraus, dass der Gesetzgeber den Verwendungszweck bereichsspezifisch und präzise bestimmt und dass die Angaben für diesen Zweck geeignet und erforderlich sind. Damit wäre die Sammlung nicht anonymisierter Daten auf Vorrat zu unbestimmten oder noch nicht bestimmbaren Zwecken nicht zu vereinbaren. Auch werden sich alle Stellen, die zur Erfüllung ihrer Aufgaben personenbezogene Daten sammeln, auf das zum Erreichen des angegebenen Zieles erforderliche Minimum beschränken müssen.“

In Bezug auf die polizeiliche Datensammlung war das Landesverfassungsgericht Mecklenburg-Vorpommern noch deutlicher: „Der Freiheitsanspruch des Einzelnen verlangt, dass er von polizeilichen Maßnahmen verschont bleibt, die nicht durch eine hinreichende Beziehung zwischen ihm und einer Gefährdung eines zu schützenden Rechtsgutes oder einer Gefahrennähe legitimiert sind. Anderenfalls wird gegen das aus dem Rechtsstaatsprinzip folgende Verbot unnötiger Eingriffe ... verstoßen. Ebenso wie im Rechtsstaat nicht jedermann als potenzieller Verbrecher behandelt werden darf ..., darf im Polizeirecht die Unterscheidung zwischen Störer und Nichtstörer nicht nivelliert werden.“ [9]

Praktische Konsequenzen

Die Auswahl der zur Identifizierung verwendeten biometrischen Merkmale hängen von mehreren Faktoren ab: Die Merkmale müssen prinzipiell den gewünschten Zweck erfüllen, was man gegebenenfalls durch die Kombination von zwei Merkmalen erreicht. Bei der zu ihrer Erfassung verwendeten Technik müssen Fälschbarkeit, Fehlerquote und Ausfallquote möglichst gering sein. Die Frage, ob die biometrischen Daten als Rohdaten oder als Template gespeichert werden sollen, hat keine entscheidende persönlichkeitsrelevante Bedeutung. Für eine Speicherung der Rohdaten spricht, dass diese visuell verglichen werden können und die Lesbarkeit nicht von einer bestimmten Technologie abhängig ist. Gegen Rohdaten spricht, dass mehr Speicherkapazität benötigt wird und der Abgleichsvorgang mit Medienbrüchen verbunden ist. Die absehbare Tendenz hin zu Templateverfahren ist aus technischer Sicht zweifellos sinnvoll.

Aus Datenschutzsicht ist vor allem wichtig, inwieweit die Merkmale allgegenwärtig und damit leicht erfass- und vergleichbar sind und inwieweit aus den biometrischen Daten Zusatzinformationen abgeleitet werden können. Allgegenwärtige biometrische Merkmale, die von allen Menschen - von Unschuldslämmern ebenso wie von Straftätern - unwillkürlich im Alltagsleben hinterlassen werden, begründen eine hohe Gefahr der Zweckentfremdung, zum Beispiel durch die Polizei. Dies sollte niemandem gleichgültig sein, da auch völlig Unverdächtige fast zwangsläufig in Ermittlungsverfahren hineingezogen werden, deren biometrische Spuren am Tatort gefunden wurden, wenn die Biometriedaten zugeordnet werden können. Zum Vergleich, um welche Größenordnungen es bei polizeilichen Ermittlungen in der Summe gehen kann: So waren beispielsweise allein von den 29 000 im Jahr 2004 in Deutschland richterlich genehmigten Telefonabhöraktionen 1,5 Millionen Menschen betroffen.

Biometrische Verfahren wie die Erfassung der Handgeometrie oder des Irismusters verlangen in der Regel eine bewusste Kooperation des Betroffenen und können nicht so leicht missbraucht werden. Stimme, Fingerabdruck, körperliches Gewebe (genetischer Fingerabdruck), Gesichtsprofil oder die Gangart hinterlassen wir dagegen ohne größeres Nachdenken bei vielen Gelegenheiten. Oft offenbaren wir unsere biometrischen Merkmale gar in elektronischer Form, etwa unsere Stimme beim Telefonieren oder unser Gesicht im Blickfeld einer digitalen Videokamera. Die derzeit favorisierten Merkmale Fingerabdruck und Gesichtsbild sind höchst missbrauchsanfällig und daher aus Datenschutzsicht für eine biometrische Identifikation besonders wenig geeignet.

Noch weitgehend unerforscht ist, welche Zusatzinformationen aus biometrischen Merkmalen abgelesen werden können, etwa inwieweit aus dem Bild der Iris auf den Gesundheitszustand geschlossen werden kann. Am riskantesten sind insofern genetische und biochemische Identifizierungsmethoden, da hierbei insbesondere medizinische Rückschlüsse nie völlig ausgeschlossen werden können.

Risikominimierung?

Die wichtigste Entscheidung für eine aus Datenschutzsicht akzeptable Gestaltung biometrischer Ausweise muss sein, dass die biometrischen Daten an keinem Ort außerhalb der - in der Hand des Berechtigten befindlichen - Karte gespeichert werden. Die Authentifizierung des Berechtigten erfolgt dann - wie bisher durch den geübten Blick des Grenzbeamten - durch einen Vergleich der auf der Karte gespeicherten Daten mit der biologischen Realität (1:1-Abgleich). Sind die Daten dagegen in einer Referenzdatei gespeichert, sei es zu Zwecken des Backup oder zum Zweck des Abgleichs beim Kontrollvorgang, so hat der Betroffene überhaupt keine Verfügungsmöglichkeit mehr hierüber. Es besteht die Gefahr, dass die biometrischen Merkmale oder die damit erschlossenen Daten des Ausweisdokumentes als Personenkennzeichen (PKZ) genutzt werden, mit dem unterschiedliche Dateien zusammengeführt und aus dessen Dateisätzen Persönlichkeitsbilder erstellt werden können.

Würde der Sensor für das automatische Lesen des Fingerabdrucks dagegen direkt auf der Karte aufgebracht, so besteht nicht einmal das Risiko des Auslesens und des unbefugten Speicherns der Biometriedaten beim Kontrollvorgang. Solche datenschutzfreundlichen Lösungen, bei denen die biometrischen Daten überhaupt nicht aus der Karte ausgelesen werden können und die Karte dem Lesegerät lediglich die Identität von Berechtigtem und Nutzendem bestätigt, sind heute State of the Art. Doch sie werden in politischen Zusammenhängen noch nicht einmal im Ansatz diskutiert.

Es ist schon verblüffend, dass die zentrale Datenschutzforderung an biometrische Ausweise - der Verzicht auf biometrische stationäre Datenbanken - bisher von der Politik geflissentlich übergangen wurde. Die Formulierung des Terrorismusbekämpfungsgesetzes - das Verbot zentraler Datenbanken - schließt dezentrale per Netz erschlossene Datenbanken nicht definitiv aus. Zwar wagt niemand, öffentlich die biometrische Bevölkerungsdatenbank zu fordern. Doch scheint es unausgesprochener Konsens zu sein, dass die biometrischen Daten (zumindest auch) in einem Hintergrundsystem gespeichert werden sollen. Die (verfassungswidrigen) Verlockungen dieses Datenschatzes scheinen doch zu groß zu sein.

Passt nicht in Standardlesegeräte: Der elektronische Reisepass soll einen RFID-Chip zum Speichern der biometrischen Daten enthalten, um kontaktlos auslesbar zu sein.

(Bild: Bundesdruckerei)

Ebenfalls keine rein technische Frage, sondern datenschutzrechtlich hoch bedeutsam ist die Entscheidung für die Auslesbarkeit des Dokuments per Kontaktchip oder per RFID. Gegen den Kontaktchip werden dessen Defektanfälligkeit, die bisherige Größe des Reisepasses, der in kein normales Lesegerät passt, und der länger dauernde Lesevorgang ins Feld geführt. Persönlichkeitsrechtlich hat der Kontaktchip dagegen den Vorteil, dass nur dann ein Lesen des Ausweises möglich ist, wenn er bewusst in ein Lesegerät eingeführt wird.

RFID-Chips sind grundsätzlich unwissentlich auslesbar; die Karten-Lesegerät-Kommunikation kann zudem leichter abgehört werden. Ob die Gefahr des heimlichen Auslesens mit dem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgestellten kombinierten Verfahren des optoelektronischen Lesens zur Freischaltung des Funkkontaktes wirksam ausgeschlossen wird [10, 11], muss noch weiter geprüft werden.

Unzweifelhaft muss zumindest eine Zugriffskontrolle durch eine Karten-Lesegerät-Authentifizierung erfolgen. Die bisher international diskutierten Verfahren können allenfalls bei der Speicherung von Lichtbildern akzeptiert werden, bei denen aus biometrietechnischer Sicht noch große Unschärfen bestehen. Bei der zusätzlichen Nutzung von Fingerabdrücken oder Iris-Images fordert selbst die für die Standardisierung der Biometriepässe zuständige Internationale Luftfahrtorganisation ICAO zusätzliche Sicherungen. Da hier sensible eindeutige Personenkennzeichen genutzt werden, sind über die bisher vorgeschlagenen Standards hinausgehende Verschlüsselungsstandards zwingend geboten [12].

Datenbanken weltweit

Die elektronische Authentifizierung geht nicht ohne Standardisierung der Schnittstelle; die Standards müssen bei allen staatlichen Stellen auf der Welt verfügbar sein, die zur Ausweiskontrolle berechtigt sind. Dabei handelt es sich nicht nur um rechtsstaatlich kontrollierte Behörden. Werden elektronische Reisepässe eingeführt, so geht kein Weg daran vorbei, dass diese auch von Unrechtsstaaten und Diktaturen gelesen werden können. Dies begründet eine bisher nur wenig erörterte Gefahr der neuen elektronisch lesbaren Biometrieausweise: Anders als bei der bisherigen Sichtkontrolle hinterlässt die elektronische Identifikation einen Datenschatten, der von der kontrollierenden Stelle problemlos abgespeichert werden kann. Da dieser Vorgang technisch wenig aufwendig ist, werden von dieser Möglichkeit alle die Staaten Gebrauch machen, die nicht durch eine wirksame Datenschutzgesetzgebung am Erstellen von Vorratsdatenbanken gehindert werden.

Die biometrischen Ausweise werden dazu führen, dass insbesondere „Schurken-Staaten“, aber sicher auch bisher als zivilisiert geltende Staaten ohne wirksamen Datenschutz wie die USA „feindliche (Biometrie-)Datenbanken“ aufbauen. Solche Datenbanken liefern die biometrischen Merkmale sämtlicher einreisenden beziehungsweise kontrollierten Personen plus die auf dem Ausweis gespeicherten sonstigen personenbezogenen Daten.

Erfasst werden nicht nur Terrorismusverdächtige, sondern jede und jeder, seien diese nun Christen oder Moslems, Touristen oder Handelsreisende, einfache Angestellte oder gut ausgebildete Akademiker. Die dadurch entstehenden Datenbanken sind geradezu ideale Grundlagen zur Diskriminierung wegen bestimmter persönlicher Merkmale, sei es von kritischen Journalisten, engagierten Bürgerrechtlern, staatlichen oder wirtschaftlichen Geheimnisträgern, Angehörigen bestimmter Glaubensrichtungen oder Organisationen ...

Schlussfolgerungen

Eine unvoreingenommene Hinterfragung der aktuellen Pläne zur Einführung von Biometrieausweisen unter dem Aspekt des Datenschutzes fördert ein wenig positives Ergebnis zu Tage: Die Verbesserung der Fälschungssicherheit ist zu vernachlässigen - da die elektronischen Neuerungen eine Standardisierung und damit weltweite Offenlegung erzwingen, ist hieraus kein zusätzlicher Gewinn zu ziehen. Sicherheitsgewinne lassen sich nicht nachweisen. Die Technik ist bisher nur wenig erprobt, zu wenig, um schon in einem bevölkerungsweiten Massenverfahren eingesetzt zu werden. Hochgefährlich ist der Medienwechsel bei der Ausweiskontrolle, der zum Aufbau von bevölkerungsweiten Datenbanken führen kann, die für andere als die ursprünglichen Zwecke genutzt werden.

Zweifellos lassen sich in einem rechtsstaatlich organisierten Europa technische und rechtliche Sicherungen implementieren, wenn die Verantwortlichen dies wollen. Diese liegen zum Beispiel in der Auswahl von gegen eine Zweckänderung resistenten Verfahren wie dem Irisscan, in der ausschließlichen Speicherung der biometrischen Ausweisdaten auf dem Dokument selbst und in engen Zweckbindungsregelungen.

Doch die Züge drohen auch in Deutschland und in Europa in eine andere Richtung zu fahren: Nutzung von Allerweltsbiometrie, zentrale Bevölkerungs-Biometrie-Datenbanken, Aufhebung der Zweckbindung. Dies stellt eine Gefahr für die freiheitlich-demokratische Verfasstheit von Deutschland und Europa dar. Dies ist aber erst recht eine Gefahr für die informationelle Selbstbestimmung der Europäerinnen und Europäer überall sonst in der Welt - und durch die Vorreiterfunktion der jetzt gewählten technischen Lösung gilt dies mittelfristig auch für alle anderen Menschen weltweit.

Eines ist sicher: Kosten werden die biometrischen Ausweise erheblich mehr als die bisherigen konventionellen Identifizierungsdokumente. Daran verdienen wird eine nach dem 11.09.2001 boomende Sicherheitsbranche. Die Zeche bezahlen müssen diejenigen, deren Grundrechte mit der neuen Technologie gefährdet werden. Die Menschen werden also gezwungen, die Erhöhung des sich gegen sie selbst richtenden Überwachungs- und Kontrollpotenzials zu finanzieren.

Wesentlicher als die finanziellen Kosten dürften die gesellschaftlichen, die grundrechtlichen Kosten dieser Technologie sein. Es scheint zwar, dass der Zug in Richtung Biometrieausweise schon abgefahren wäre. In einer demokratischen Gesellschaft sollte aber vor einer derart weitreichenden Entscheidung ein demokratischer Diskussionsprozess erfolgen, den es bis heute nicht gegeben hat. Und in einer demokratischen Gesellschaft muss es möglich sein, sich in einer offenen Diskussion als gefährlich erweisende Entwicklungen zu stoppen. In diesem Sinne ist zu hoffen, dass sich Europa weder von den USA noch von europäischen Law-and-Order-Politikern biometrische Reisedokumente aufzwingen lässt.

[1] Richard Sietmann, Lücken, Löcher, Lauschangriffe, Der Datenschutzbeauftragte legt sich mit der Bundesregierung an, c't 10, S. 46

[2] Bundesgesetzblatt, BGBl. I 2002, S. 361

[3] Angela Meyer, Im Namen des Antiterrors, Weltweiter Trend zu mehr Überwachung, c't 15/2004, S. 58

[4] Petermann/Schwerz/Sauter, Biometrie und Ausweisdokumente, 2. TAB-Arbeitsbericht, Dezember 2003, S. 111

[5] Thilo Weichert, Datenschutz für Ausländer nach dem 11. September 2001, Datenschutz und Datensicherheit 2002, S. 425

[6] Dr. Dennis Kügler, Risiko Reisepass, Schutz der biometrischen Daten im RF-Chip, c't 5/05, S. 84

[7] Verordnung (EG) Nr. 2252/2004 des Rates vom 13. Dezember 2004 über Normen für Sicherheitsmerkmale und biometrische Daten in von den Mitgliedstaaten ausgestellten Pässen und Reisedokumenten, ABl. Nr. L 385 v. 29.12.2004, S. 1

[8] Vorschlag des Rates KOM (2004) 116 endg.; Ratsdok. 6406/04

[9] LVerfG Mecklenburg-Vorpommern, LKV 2000, 153

[10] Bundesamt für Sicherheit in der Informationstechnik (BSI), Golden Reader Tool - Die Basis für interoperable elektronische Reisepässe

[11] Christiane Schulzki-Haddouti, Biometrie ohne Nebenwirkungen?, Kritik an den geplanten Reisepässen, c't 10/05, S. 94

[12] ICAO, Technical Report, PKI for Machine Readable Travel Documents offering ICC read-only access, 2.5 (anm)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten