Das Terrorismusbekämpfungsgesetz vom 9. Januar 2002 gestattet die Aufnahme von weiteren biometrischen Merkmalen in Paß und Personalausweis. Seitdem wurden diverse Machbarkeitsstudien in Auftrag gegeben und Pilotprojekte durchgeführt. Ein genaues Datum für die Einführung der biometrischen Ausweis und der damit verbundenen biometriegestützten Grenzkontrollen liegt noch nicht vor.
1. Recht
Die Terroranschläge vom 11. September 2001 lösten auch in der Bundesrepublik populistische Mechanismen aus, um der scheinbar allgegenwärtigen Gefahr des internationalen Terrorismus entgegen zu treten. Vom Gesetzgeber wurden unter anderem die so genannten „Otto-Kataloge“ verabschiedet, die den rechtlichen Rahmen für eine effektive Terrorismusbekämpfung und vor allem für den Einsatz weitreichender präventiver Maßnahmen bilden sollen.
Am 9. Januar 2002 kanalisierte die deutsche Bundesregierung die nach dem Innenminister Otto Schily benannten juristischen Schnellschüsse im so genannten Terrorismusbekämpfungsgesetz. Dieses ändert als Artikelgesetz, unter anderem das Gesetz über Personalausweise (PersAuswG) und das Paßgesetz (PaßG). Die Änderungen betreffen
- im PaßG die § 4 Paßmuster und § 16 Datenschutzrechtliche Bestimmungen,
- im PersAuswG die § 1 Ausweispflicht und § 3 Datenschutzrechtliche Bestimmungen.
In den Paß oder Personalausweis dürfen demnach neben dem Lichtbild und der Unterschrift weitere biometrische Merkmale von Fingern oder Händen oder Gesicht aufgenommen werden. Das Lichtbild, die Unterschrift und die weiteren biometrischen Merkmale dürfen auch in verschlüsselter Form eingebracht werden. Das gilt auch für die anderen Eintragungen in Paß oder Personalausweis.
Auf Verlangen hat die Paß- oder Personalausweisbehörde dem Inhaber von Paß oder Personalausweis Auskunft über den Inhalt der verschlüsselten Merkmale und Angaben zu erteilen. Die verschlüsselten Merkmale und Angaben dürfen nur zur Überprüfung der Echtheit des Dokumentes und zur Identitätsprüfung ausgelesen und verwendet werden.
Weiterhin wird, und das ist eine wichtigster und zugleich positiver Punkt, keine bundesweite Datei eingerichtet. Dieser Zusatz ist der kritischen Intervention des Bundesdatenschutzbeauftragten Dr. Joachim Jacob zu verdanken. In der Strafverfolgung gibt es nämlich bereits zwei biometrische Datenbanken. Einmal die bundesweite Datei aller mit Fingerabdrücke beim Bundeskriminalamt und die Datenbank der genetischen Fingerabdrücke von Sexualverbrechern.
Die Datei der Fingerabdrücke ist unter dem Namen ,AFIS‘ (automatisiertes Fingerabdruckidentifizierungssystem) vor mehr als zehn Jahren eingeführt worden. Aktuell sind in AFIS die Fingerabdrücke von mehr als 3 Millionen Personen gespeichert; dazu kommen täglich bis zu 1.400 neue Datensätze. Die AFIS kommt jedoch nicht nur in der krimalistischen Praxis zum Einsatz, sondern auch bei der Überprüfung von Asylbewerbern und Ausländern. Die DNA-Analyse-Datei existiert seit 1998 und enthält gegenwärtig über 130.000 Datensätze von Sexualstraftätern. Es ist aber angedacht, diese Form der Personenidentifikation auch auf andere Straftatbestände auszuweiten.
Das Terrorismusbekämpfungsgesetz gestattet nun zwar die Aufnahme weiterer biometrischer Merkmale in Paß und Personalausweis. Die Arten der biometrischen Merkmale, ihre Einzelheiten und die Einbringung von Merkmalen und Angaben in verschlüsselter Form sowie die Art ihrer Speicherung, ihrer sonstigen Verarbeitung und ihrer Nutzung müssen jedoch durch ein eigenes Bundesgesetz geregelt werden. Bis heute gibt es dazu jedoch kein konkretes Gesetzesvorhaben. Vorerst wurden entsprechende Machbarkeitsstudien in Auftrag gegeben. Zu nennen sind hier in unter anderen folgende Untersuchungen:
- BioIS: Eine vergleichende Untersuchung biometrische Erkennungsmethoden zur Authentisierung von Personen des Bundesamt für Sicherheit in der Informationstechnik in Zusammenarbeit mit dem Fraunhofer Institut für Graphische Datenverarbeitung und diverse Herstellern biometrischer Systeme.
- TAB-Studie: Vorbereitende Studie „Biometrische Identifikationssysteme“ des Büros für Technikfolgen-Abschätzung beim deutschen Bundestag. Das Ergebnis der TAB-Studie wurde nach monatelangen Verzögerungen im Februar 2002 endlich veröffentlicht.
- BioTrusT: Ein interdisziplinärer Pilotversuch der TeleTrusT Arbeitsgruppe 6 zur Anwendung biometrischer Identifikationsverfahren im Bankenbereich. TeleTrusT ist ein Verein zur Förderung der Vertrauenswürdigkeit von Informations- und Kommunikationstechnik. Gefördert wird BioTrusT durch das Bundesministerium für Wirtschaft und Arbeit sowie durch die Sparkassen-Gruppe.
2. Technik
Biometrische Merkmale bieten durch ihre unmittelbare Personenbindung die Möglichkeit, die Fälschungssicherheit von Ausweispapieren weiter zu erhöhen. Eine Dopplung des Fingerabdrucks ist mit 1:1.000.000 sehr unwahrscheinlich. Bei der Augeniris liegt die Einzigartigkeit heute sogar bei 1:6.000.000. In unseren Pässen und Personalausweisen finden sich bis heute das Lichtbild und die Unterschrift als biometrische Merkmale. Beide sind unverschlüsselt. Zukünftige Eintragungen biometrischer Merkmale werden fast ausschließlich in verschlüsselter Form erfolgen. Betrachten wir exemplarisch den Fingerabdruck.
Während der Fingerabdruck früher mit Druckerschwärze aufgenommen wurde, geschieht dies heute mittels so genannter Livescans. Dabei wird die Fingerkuppe mittels eines Scanners – vergleichbar mit einem Flachbettscanner für den Hausgebrauch – aufgenommen. Anschließend wird die digitale Photographie der Fingerkuppe verschlüsselt. Als praktikabel hat sich dafür ein zweidimensionaler Barcode herausgestellt. Darunter versteht man eine Erweiterung des eindimensionalen Barcodes, den wir umgangssprachlich als Strichcode auf Lebensmitteln oder anderen Konsumartikeln finden. Man kann sich den 2D-Barcode als Überlagerung zweier 1D-Barcodes vorstellen, wobei der zweite Strichcode um 90° gedreht wird. Dieser 2D-Barcode wird nun auf ein haltbares Sicherheitslaminat aufgebracht und schließlich in den Paß eingeschweißt.
Die Identifikation des Inhaber – wir nennen ihn Herr Mustermann – eines solchen Ausweises funktioniert ähnlich. Möchte Herr Mustermann etwa in den Urlaub in die Schweiz fahren, so wird an der Grenze wieder ein Livescan der Fingerkuppe gemacht und dann mit dem 2D-Barcode auf dem Ausweis verglichen. Ist die Übereinstimmung hinreichend groß, kann er passieren.
Wie für den Fingerabdruck läuft die Prozedur der Merkmalsaufnahme und der biometriegestützten Kontrolle etwa an der Grenze ganz analog ab. Bei automatischen Kontrollen, wo auf das Lichtbild zurückgegriffen wird, entfällt lediglich die Verschlüsselung. Der Nachteil des Lichtbildes als biometrisches Merkmal ist in dessen unterschiedlicher und oft minderwertiger Qualität begründet. Für eine ausreichend sichere Identifikation wäre eine gut und gleichmäßig ausgeleuchtete Frontalaufnahme des Gesichtes notwendig. Tatsächlich finden wir oft zu dunkle, zu helle oder zu kontrastarme Aufnahmen, welche die Person teilweise manchmal auch im Halbprofil abbilden. Die Unterschrift ist wenig sicher, weil man auf dem Ausweis wichtige Aspekte, wie Schreibpausen, Druckstärke oder ähnliches, nicht ablesen kann.
Die Marktverteilung bei biometriegestützten Identifikationssystemen gibt dem Fingerabdruck bzw. der Handgeometrie die größten Chancen. Das Gesichtsbild wird etwa nur halb so oft eingesetzt. Dennoch gibt es gerade bei Fingerabdrucksystemen eine Reihe technischer Unzulänglichkeiten. Etwa ist es Hobbybastlern in einigen Fällen gelungen, den Scanner mit Hilfe eines Gelatine-Imitates zu überlisten. Außerdem versagen entsprechende Systeme häufig bei klammen und kalten Fingern oder Kindern. Auch die fehlende Prägnanz der Papillarmuster (die Linien-Muster auf den Fingern) etwa bei stark beanspruchten Händen, wie wir sie zum Beispiel bei Bauarbeitern finden kann Probleme verursachen. Zudem hat sich herausgestellt, daß ein signifikanter Anteil der Papillarmuster aus physiologischen Gründen überhaupt nicht nutzbar ist. Auch Verletzungen an Händen und Fingern stellen aufgrund ihrer relativen Häufigkeit ein ernstzunehmendes Hindernis bei der Umsetzung biometriegestützter Kontrollen dar. Nicht zuletzt unterliegen biometrische Merkmale altersbiologischen Veränderungen. Davon ist vor allem das Gesicht betroffen. Man hat ausgerechnet, daß die Paßbilder ungefähr alle sechs Monate erneuert werden müßten, um eine ausreichende Identifikationsquote zu sichern.
Die ständige Erneuerung der Lichtbilder ist sehr kostenintensiv, was um so mehr für das Gesamtsystem gilt. Bisher gibt es keine sicheren Prognosen bezüglich der anfallenden Investitionen bei der Einführung von biometrischer Merkmale in Paß und Personalausweis und damit verbundenen biometriegestützten Grenzkontrollen. Vorsichtigen Schätzungen zufolge bewege man sich da aber wohl im zweistelligen Milliardenbereich. An dieser Stelle wird sich der ein oder andere zurecht fragen, inwiefern man sich solch ein System ungeachtet aller datenschutzrechtlichen Bedenken überhaupt leisten kann und ob biometrische Merkmale in Pässen überhaupt so dringend notwendig sind. Schon heute sind neue deutsche Pässe durch holographische Sicherheitsmerkmale (dem Identigram) ausgesprochen fälschungssicher.
3. Pilotprojekte
Weltweit sind bisher unzählige Pilotprojekte durchgeführt wurden. Es sei an dieser Stelle auf vier Testläufe in Deutschland verwiesen:
- Gesichtserkennung am Flughafen Nürnberg
- Versuche zum Irisscan am Flughafen Frankfurt/Main
- Biometrische Kontrolle mittels Lichtbild am Grenzübergang Waidhaus
- Fingerabdruck und Gesichtserkennung am Zoo Hannover
Wenngleich das Pilotprojekt am Flughafen wegen fehlender Gelder eingestellt worden ist und somit keine brauchbaren Ergebnisse liefern konnte, laufen die Vorbereitungen für eine sechsmonatige Praxisstudie am Flughafen Frankfurt/Main. Die hier zu testende Iriserkennung spielt jedoch eine untergeordnete Rolle, weil in deutschen Pässen keine biometrischen Daten der Augen aufgenommen werden sollen. Dennoch ist nicht auszuschließen, daß über den Brüsseler Umweg entsprechende gesamteuropäische Regelungen noch Änderungen im Terrorismusbekämpfungsgesetz nach sich ziehen. Am Amsterdamer Flughafen Schiphol ersetzt die Iriserkennung für ausgewählte Passagiere bereits heute die Paßkontrolle im Non-Schengen-Verkehr. Datenschutzrechtlich ist dieses System mit dem Namen ,Privium‘ weniger bedenklich, weil die Daten allein auf einer entsprechenden Chipkarte des Betreffenden gespeichert werden und nur zur Identifikation ausgelesen werden.
Bei dem Pilotprojekt an der Grenze Waidhaus zu Tschechien ging es primär um die automatisierte Kennzeichenerfassung von Kraftfahrzeugen. Gleichzeitig hat man auch die Gesichtserkennung getestet. Ein Abschlußbericht des sechsmonatigen Projektes im Winterhalbjahr 2003/04 noch nicht vor. Aus den Pressemitteilungen des Bayerischen Ministerium des Inneren ist lediglich die erfolgreiche Beendigung der Kennzeichenerfassung zu entnehmen.
Im Falle des Zoos in Hannover haben wir es nicht mehr nur mit einem Pilotprojekt zu tun. Hier war das Fingerabdrucksystem zwei Jahre lang im Alltagseinsatz. Es sollte den Jahreskartenbesitzern einen bequemen Eintritt in den Zoo ermöglichen. Da es gerade bei Kindern und im Winter bei klammen Fingern zu häufigen Störungen kam und der notwendige dreifache Scan Schlangen vor den Eingängen verursachte, wechselte der Zoo jetzt zur Gesichtserkennung. Das „Smile & go“ getaufte System wurde von den Firmen Bosch GmbH und ZN Vision Technologies AG entwickelt. Bisher gibt es keine veröffentlichten Berichte bezüglich der Effektivität dieses Systems.
4. Datenschutz
Aus datenschutzrechtlicher Sicht stellen sich Fragen zur Nutzerkontrolle, der Datensicherheit, den Zugriffsrechten, dem eindeutigen Verwendungszweck, der Systemtransparenz und der Datensparsamkeit. Bezüglich der Nutzerkontrolle darf man vorerst aufatmen, da eben eine bundesweite Datei biometrischer Merkmale nicht angelegt werden darf. Inwieweit es aber länderspezifische Möglichkeiten der Zusammenführung dieser Daten gibt, ist nicht geklärt. Es ist daher anzustreben, die biometrischen Daten nur auf dem Ausweis zu speichern. Somit wäre eine beachtliche Datenhoheit seitens des Inhabers gewährleistet.
Entsprechend wären die Daten insofern recht sicher, was den unberechtigten Zugriff angeht. Rechtlich ist ja auch nur eine identitätsfeststellende Nutzung bzw. für die Echtheitsprüfung des Ausweisdokumentes der verschlüsselten Merkmale zugelassen. Dabei muß man sich jedoch vor Augen halten, daß auch das Lichtbild neben der Unterschrift ein biometrisches Merkmal ist, welches als unverschlüsseltes Datum nicht unter diese Regelung fällt. Hier muß genau geprüft werden, ob nicht etwa Abgleiche mit Fahndungsfotos durchgeführt werden. Weiterhin spricht der Gesetzgeber bezüglich der Datensparsamkeit von biometrischen Merkmalen von Fingern oder Händen oder Gesicht. Wie dieses ,oder‘ aber zu lesen ist, bleibt unklar. Ist nur jeweils ein Merkmal zugelassen oder auch Merkmalskombinationen?
Der Punkt Systemtransparenz wird gesetzlich bisher nur soweit geregelt, als daß die Paß- oder Ausweisbehörde verpflichtet ist, über den Inhalt der verschlüsselten Datensätze Auskunft zu geben. Wie genau das aussehen soll, ist noch nicht entschieden. Ähnlich wie bei der SCHUFA kann man sich hier denkbar kostenpflichtige und unpraktische Prozeduren für den Bürger vorstellen.