BIOSIG 2009: Auf dem Weg zur zentralen biometrischen Bürgerdatenbank?

Neben vielen Referaten über die Einsatzmöglichkeiten und Grenzen biometrischer Verfahren beschäftigte sich die vom Darmstädter CAST e.V. veranstaltete BIOSIG 2009 mit zentralen Datenbanken, die biometrische Daten aller Bürger speichern könnten. Unmittelbarer Anlass war das Inkrafttreten des neuen niederländischen Passgesetzes zum 1. September 2009. Es schreibt vor, dass die Fingerabdrücke von Bürgern nicht nur in den Chips des ePasses gespeichert werden, sondern zusätzlich in eine zentrale Datenbank wandern, auf die Behörden zugreifen dürfen.

Gleich zu Beginn der BIOSIG 2009 redete Richard Rinkens Klartext. Rinkens ist als "Biometric Matching System Manager" bei der EU mit dem Aufbau des Visa Informationssystems VIS beschäftigt, das etwa ab Juni 2010 im Schengener Informationssystem II (SIS II) ein einheitliches Vorgehen aller EU-Staaten erforderlich macht.

"Machen wir uns nichts vor", sagte Rinkens, "die neuen ePässe sind praktisch nutzlos, soweit es die Fingerabdrücke anbelangt. Diese Fingerabdrücke können leicht von Gläsern und anderen Gegenständen kopiert werden. Mein Sohn kann das vormachen." Auch das Einkopieren der Daten in die Pässe sei von Hackern demonstriert worden. Darüber hinaus habe ein Test mit getauschten ePässen von zehn Personen gezeigt, dass man damit ohne Probleme die Passkontrollen eines Flughafens passieren kann. Nach dem Fälschen der Fingerabdrücke werde sicher das Fälschen der biometrischen Gesichtsinformationen folgen, danach das Fälschen der DNA. Eine mögliche Lösung in diesem Dauerrennen zwischen Behörden und Fälschern nannte Rinkens: "Multi-modal, high-quality Biometrics .... in central databases."

Diese zentralen Datenbanken, die von besonders geschulten Spezialisten für die Abnahme von Fingerabdrücken gefüllt werden, sollen zunächst einmal dem Visa-Betrug Einhalt gebieten. Rinkens spielte in seinem Referat mehrere Szenarien durch, wie heute Emigranten nach Europa einreisen, dann ihren Pass (mit Aufdruck-Visum) "verlieren" und anschließend in mehreren Ländern "Asyl" beantragen und daneben womöglich "als Terroristen oder Mafia-Killer arbeiten". Gegen all diese Bedrohungen könne nur ein Visa-System helfen, in dem erstklassige Fingerabdrücke von allen zehn Fingern in sämtlichen Konsulaten jedes EU-Landes erst national gespeichert und anschließend einer zentralen Datenbank zugeführt würden. Das zentrale VIS mit qualifizierten Fingerabdrücken müsse auch dann befragt werden, wenn EU-Fremde Europa verlassen, so Rinkens. Wer die Kontrollschlangen vermeiden wolle, werde sich rechtzeitig bei einem Programm wie der Border Control in Frankfurt anmelden müssen.

Die Kritik des EU-Experten am ePass bildete den einen Teil der Klammer, die den ersten Tag der BIOSIG 2009 einrahmte. Am Ende des Tages wurde über das neue niederländische Passgesetz diskutiert, das seit dem 1. September in Kraft getreten ist und allgemein als europäischer Vorreiter gilt: Alle Fingerabdrücke für den Reisepass werden zentral gespeichert und können von den Behörden abgefragt werden. Dieses System solle vor allem die Arbeit der niederländischen Ermittler in Katastrophenfällen und bei Großschadenslagen erleichtern, bei denen viele Tote zu beklagen sind, betonte Diskussionsleiter Max Snijder vom European Biometrics Forum. Daneben soll die Zentraldatenbank für Fahndungszwecke bei Kapitalverbrechen, aber auch allgemein in Situationen abgefragt werden können, die die innere Sicherheit des Staates bedrohen. Dem Datenschutz soll dadurch Rechnung getragen werden, dass Rasterabfragen nicht erlaubt sind, sondern nur 1:n-Abfragen der Art, ob ein Fingerabdruck gespeichert ist.

Gegen das System wandte Thomas Probst vom Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein ein, dass Begehrlichkeiten anderer (ausländischer) Behörden geweckt würden. Außerdem könnte auf die Speicherung von Fingerabdrücken die Speicherung biometrischer Gesichtsbilder folgen: "Die Privatsphäre wird Schritt für Schritt aufgelöst", kritisierte Probst. Klaus Keus vom BSI bezweifelte hingegen, dass ein vergleichbares System in den nächsten 10 bis 15 Jahren in Deutschland eingeführt werde, weil die Ängste der Bevölkerung zu groß seien. Ganz anders argumentierte Michiel van der Veen von priv-ID, einem Spin-off des niederländischen Philips-Konzerns. Er verglich die zentrale Fingerabdruck-Datenbank mit dem Banksystem, dem viele Menschen vertrauen würden. Von den Veranstaltern machte Christoph Busch darauf aufmerksam, dass ein solches System nur Templates von Fingerabdrücken speichern kann und damit ein gewisser Schutz der Privatsphäre vorhanden sei.

Inwieweit der niederländische Vorstoß eine Verpflichtung für andere EU-Partner bedeutet, ebenfalls eine zentrale Datenbank zu installieren, wurde nicht diskutiert. Immerhin beruft sich die niederländische Regierung auf die Verordnung 2252/2004 des EU-Rats vom 13. Dezember 2004, die ihrer Ansicht nach eine klare Aufforderung zu Gemeinschaftsmaßnahmen bei der zentralen Speicherung von Fingerabdrücken enthält. (Detlef Borchers) / (pmz)