Gutachten: Aufnahme von Fingerabdrücken in Ausweis ist rechtswidrig

Die europäischen und deutschen Vorgaben zum Einsatz biometrischer Identifizierungsdaten missachten laut einer Studie elementare Datenschutzgrundsätze.

In Pocket speichern vorlesen Druckansicht 316 Kommentare lesen

(Bild: HQuality/Shutterstock.com)

Lesezeit: 5 Min.
Inhaltsverzeichnis

Vom 2. August an müssen Bundesbürger mit dem Antrag eines neuen Personalausweises Abdrücke des linken und rechten Zeigefingers abgeben, die auf dem Funkchip des Dokuments gespeichert werden. Das Netzwerk Datenschutzexpertise hat die entsprechende Gesetzesnovelle zum Anlass genommen, den staatlichen Einsatz biometrischer Identifizierungsverfahren zu hinterfragen. Es kommt zu dem Ergebnis, dass einschlägige europäische und deutsche Regeln gegen das nationale Verfassungsrecht und das Europarecht verstoßen.

Das hiesige Gesetz zur "Stärkung der Sicherheit im Pass-, Ausweis- und ausländerrechtlichen Dokumentenwesen" missachtet laut der am Montag veröffentlichten Analyse genauso wie die ihm entsprechende EU-Vorschrift und andere europäische Biometriebestimmungen grundlegende Datenschutzgrundsätze: Datenminimierung, Zweckbindung, Transparenz und andere Vorkehrungen zum Absichern der Grundrechte kämen zu kurz.

"Für die eindeutige Identifizierung mithilfe von Fingerabdruckdaten genügt der Abdruck eines Fingers", führt der Gutachter Thilo Weichert aus. Der Nachweis der Erforderlichkeit weiterer biometrischer Merkmale sei nicht erbracht. Aus Gründen der Pflicht zur Datensparsamkeit sei daher grundsätzlich "nur die Speicherung der Minutien eines Ringfingers oder kleinen Fingers zulässig". Dies wäre "weniger missbrauchsanfällig, für Identifizierungszwecke aber ebenso geeignet". Wegen des Fehlens europarechtlicher Vorgaben hätte der nationale Gesetzgeber auch den Spielraum gehabt, in diesem Sinne "eine weniger eingreifende Maßnahme vorzusehen".

Die Eingriffsintensität erhöhe sich bei Ausländern aus Drittstaaten und insbesondere Flüchtlingen, bei denen zur eindeutigen Identifizierung nicht nur zwei Fingerabdrücke, sondern zehn erhoben würden, heißt es. Diese würden zudem unter anderem in deutschen und europäischen Datenbanken wie Eurodac, der Fingerabdruckdatei AFIS, dem dem Visa-Informationssystem (VIS) und im Ausländerzentralregister gespeichert.

Bei der Wahl des genutzten biometrischen Merkmals und des Verfahrens ist laut dem früheren schleswig-holsteinischen Datenschutzbeauftragten generell darauf zu achten, dass diesem eine möglichst geringe invasive Wirkung zukomme. Die Iris-Identifikation sei wegen der geringeren Missbrauchsgefahr als milderes Mittel einer Erkennung über das Gesichtsbild oder Fingerabdrücke grundsätzlich vorzuziehen. Genüge ein Lichtbild, sei bereits auf ein weiteres biometrisches Merkmal zu verzichten. Reiche eine lokale Verarbeitung auf einem Ausweis, sei die Speicherung in einem Hintergrundsystem unzulässig: "eine dezentrale Speicherung ist weniger eingriffsintensiv als eine zentrale".

Die hiesigen Vorgaben für Ausweise und Pässe enthielten für Sicherheitsbehörden eine generelle automatisierte Abruf- und Speicherbefugnis "im Rahmen ihrer Aufgaben und Befugnisse", gibt der Autor zu bedenken. Dies könnte Fahndungsabgleiche einschließen und verstoße gegen den Zweckbindungsgrundsatz sowie höherrangiges europäisches Recht. Eine Identitätsprüfung sei hier allenfalls für Grenzkontrollen als angemessen anzusehen. Das in der Praxis bestehende "unbegrenzte Zugriffsrecht für Geheimdienste auf Lichtbilder von Deutschen im Pass- und Personalausweisregister" sei unverhältnismäßig.

Die breite Erlaubnis zur Datennutzung für Sicherheitszwecke bei Flüchtlingen lässt laut der Studie zusätzlich das Diskriminierungsverbot wegen Staatsangehörigkeit außer acht. Insgesamt sei es "irritierend, mit welcher Nonchalance die Zweckbindungsanforderungen bei der Verarbeitung biometrischer Identifizierungsdaten im Ausländer- und insbesondere im Flüchtlingsrecht ignoriert werden".

Eine besondere Gefahr biometrischer Hoheitsdokumente liegt laut Weichert darin, dass anlässlich von Ausweiskontrollen in außereuropäischen Drittstaaten dortige Behörden die Biometriedaten abspeicherten und dann zur behördlichen oder gar geheimdienstlichen Zwecken gebrauchten beziehungsweise missbrauchten. Vorkehrungen dagegen seien nicht vorgesehen.

Angesichts hoher Fehlerrisiken der biometrischen Gesichtserkennung, der Streubreite der Technik und dem damit verknüpften massiven Grundrechtseingriff könne deren Einsatz im öffentlichen Raum derzeit nicht als verhältnismäßig angesehen werden, ist dem Gutachten zu entnehmen. Welche Risiken hier auch für einen automatisierten Abgleich von Lichtbilddaten mit externen Fahndungsdateien lägen, hätten die polizeilichen Ermittlungen im Rahmen des G20-Gipfels 2017 gezeigt.

Weichert fordert, die Transparenz der Nutzung biometrischer Identifizierungsdaten zu verbessern und den demokratische Diskussionsprozess dringend zu intensivieren. Fingerabdrücke und Gesichtsbilder sind ihm zufolge "die Vorreiter biometrischer Identifizierungsmerkmale, mit denen die analoge Welt mit der digitalen Welt verknüpfbar wird und Menschen aus dem Schutz der Anonymität in der Menge herausgezogen werden".

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Es drohe eine Totalüberwachung von Menschen, die Anlage umfassender Persönlichkeitsprofile, die Einschränkung individueller Freiheitsrechte, aber auch "die Kontrolle einer gesamten Gesellschaft", warnt der Experte. Welche Auswirkungen sich aus einem normativ nicht eingehegten Einsatz von Biometriedaten ergeben könnten, demonstriere etwa China. Seit Ende 2019 bekomme man dort nur noch einen Internet-Anschluss oder eine Mobilfunknummer, wenn zuvor zur Überprüfung der Identität das Gesicht gescannt worden sei. Zur Unterdrückung der uigurischen Bewohner der Provinz Xinjiang sei eine umfassende DNA-Bevölkerungsdatenbank etabliert worden.

"Die Ultima Ratio dürfte künftig die an Eindeutigkeit nicht zu überbietende genetische Identifizierung anhand der menschlichen DNA werden", prognostiziert der Gutachter. Damit seien Fragen verbunden, die teils "weit über die der biometrischen Identifizierung hinausgehen". In der Datenschutz-Grundverordnung (DSGVO) würden biometrische Daten wegen ihrer Sensitivität unter einen besonderen Schutz gestellt. Dies liege daran, dass sie mit modernen technischen Mitteln einfach zu erlangen und vom Betroffenen nicht oder nur schwer beeinflussbar seien.

(olb)