EU-Datenschutzbeauftragte verlangen hohes Schutzniveau für biometrische Pässe
So sollen biometrische Daten, die für gesetzliche Zwecke wie Grenzkontrollen genutzt werden, strikt von solchen getrennt werden, die Unternehmen künftig für Vertragszwecke erheben könnten.
Kurz bevor Deutschland als erstes EU-Land den biometrischen Reisepass (PDF-Datei) einführt, haben die EU-Datenschutzbeauftragten (Artikel-29-Datenschutzgruppe) ein Papier zu biometrischen Merkmalen in Pässen und Reisedokumenten verabschiedet. In dem noch nicht online verfügbaren Dokument fordern sie eine öffentliche Debatte über die Aufnahme biometrischer Merkmale in Ausweisdokumenten.
Sie verlangen, dass biometrische Daten, die für gesetzliche Zwecke wie Grenzkontrollen genutzt werden, strikt von solchen zu trennen sind, die von Unternehmen für Vertragszwecke erhoben werden. So sollen biometrische Daten in Ausweisen nur dann zur Verifizierung der Identität verwendet werden dürfen, wenn die Dokumentdaten mit den Daten des Dokumenteninhabers bei Vorlage des Dokumentes abgeglichen werden können. Eine Speicherung biometrischer Daten in zentralen Datenbanken wäre so nicht nur unnötig, sondern auch unzulässig.
Die Datenschützer fordern außerdem wirksame Schutzmaßnahmen wie "Protection Profiles", um die Risiken der Biometrie zu vermindern. Nur die zuständigen Behörden sollen Zugriff auf die Daten erhalten. Wenn ab März 2007 auch Fingerabdrücke in die Pässe aufgenommen werden, würden zusätzliche technische Schutzmaßnahmen nötig. Sie sollen sollen mit der BSI-Spezifikation der Extended Access Control geschützt werden.
Der Zugriffsschutz für die Fingerabdrücke soll mit einem stärkeren Sitzungsschlüssel arbeiten, der über Public-Key-Mechanismen erzeugt werden wird. Der erweiterte Zugriffsschutz beinhaltet einen zusätzlichen Authentisierungsmechanismus, mit dem sich das Lesegerät als berechtigt ausweist. EU-Mitgliedstaaten könnten beispielsweise nur Ländern den Zugriff erlauben, die einen vergleichbaren Datenschutzstandard haben. Ob und wo den Bürgern mitgeteilt werden wird, welche Länder auf ihre biometrischen Daten zugreifen sollen, ist bislang nicht bekannt.
Die Spezifikation für den Extended Access Control wird noch immer innerhalb der Arbeitsgruppe zur technischen Standardisierung des EU-Reisepasses diskutiert. Die USA sehen derzeit nicht vor, die Spezifikation für ihre Ausweise zu übernehmen. Mit ihrer Forderung versuchen die europäischen Datenschützer daher das Konzept innerhalb der Europäischen Union zu unterstützen. (Christiane Schulzki-Haddouti) / (pmz)
