Innere Sicherheit: Biometrische Reisepässe

Ab November sollen alle neu auszustellenden Reisepässe mit zusätzlichen biometrischen Daten ausgestattet werden.

Im Zuge der Anti-Terror-Bekämpfung nach dem 11.September 2001 sind - u.a. auf Druck der USA - auch in der EU und der Bundesrepublik neue Gesetze beschlossen worden. Unter anderem sollen ab November alle neu auszustellenden Reisepässe mit zusätzlichen biometrischen Daten ausgestattet werden.

Schon bisher waren Kennzeichen der Person auf dem Pass enthalten: vor allem das Gesichtsbild, Größe und weitere Angaben. Zusätzlich sollen nun Fingerabdrücke, Irisabbild, bis hin zu dreidimensionalen Gesichtsbildern möglich gemacht werden. Es wird davon ausgegangen, dass diese Merkmale Pass und Passträger sicherer und eindeutiger miteinander verbinden, als das bloße Foto.

Das Problem dabei ist, dass diese Merkmale bisher hauptsächlich für polizeiliche Zwecke verwendet wurden. Nun muss sich jede Person, die einen Pass beantragt, Fingerabdrücke nehmen lassen - eine Änderung, die alle Reisenden in die Nähe erkennungsdienstlicher Behandlung bringt. Fachleute bezweifeln allerdings, dass diese biometrischen Daten eine Passfälschung noch sicherer verhindern können als bisher - das ist schließlich eine Frage der Technik der Passherstellung und nicht der enthaltenen Datenmenge. Schließlich ist zu kritisieren, das erheblich mehr Daten erfasst werden, als für eine sichere Erkennung nötig sind. Gerade das scheint jedoch Absicht zu sein.

Der entscheidende Punkt ist jedoch, dass diese in den Pass aufzunehmenden Kennzeichen digitalisiert und damit maschinell lesbar gemacht werden sollen, so wie es bisher schon eine optisch maschinenlesbare Zone gibt. Die elektronisch erfassbare Speicherung auf dem Pass ermöglicht einen erheblich leichteren zusätzlichen Zugriff auf die Daten der Personen.

Neue Technik RFID

Als einzuführende Technik für die Speicherung der Daten in dem Pass wird das RFID (Radio Frequency Indentification Device - etwa: Funkidentifizierungsbaustein) genannt. Diese Technik ist bekannt aus Handel und Industrie und wird zur Identifizierung und Verfolgung von Waren bei der Produktion, Lagerung und Verkauf eingesetzt.

Anstelle des bzw. zusätzlich zum Barcode (Streifenmuster, das z.B. am Regal oder an der Kasse per Scan ausgelesen wird) werden diese RFIDs fest mit dem Produkt verbunden und enthalten wesentlich mehr Informationen, die sie per Funk, also berührungslos, an ein Lesegerät geben, wobei das Lesegerät mit seiner Funkkennung die RFID- Chips zum Senden der Daten auffordert. Einige Planungen gehen dahin, diese RFIDs dauerhaft z.B. in Schuhen einzubauen, um dann eine Verbindung zwischen Ware und Käufern auch später noch für Werbezwecke herstellen zu können, etwa wenn dasselbe Geschäft wieder betreten wird.

Gerade deswegen ist diese Technik in die Kritik geraten: die Vorstellung, dass digitalisierte Personenkennzeichen wie Fingerabdrücke ohne Kenntnis und "im Vorbeigehen" aus dem Pass ausgelesen werden könnten, hat nicht nur Datenschützer auf den Plan gerufen. Schließlich muss bisher bei einer Passkontrolle der Pass bewusst in ein Lesegerät eingeführt werden, die Kontrolle erfolgt über Bildgesichtsvergleich. Das soll nun alles automatisiert möglich werden. Ein Abhören des Funkverkehrs zwischen Lesegerät und Chip wird noch in mehr als 2 Metern Entfernung als technisch möglich bezeichnet. Dies wird ja zum Teil von Warenhäusern als Diebstahlsicherung eingesetzt - ein an der Kasse nicht entfernter oder entwerteter Chip (bisher andere Bauarten) wird an der Ausgangstür durch ein Lesegerät zum Funken angeregt und löst damit Alarm aus.

Mit einem RFID-versehenen Pass - und diese Technik soll womöglich auf weitere Indentifikationssysteme wie Personalausweise, Sozialversicherungskarte usw. ausgeweitet werden - erhält man einen Datenschattenwerfer ganz anderer Art als bisher der maschinenlesbare Ausweis.

Missbrauch per Datenbank

Fingerabdrücke, Gesichtskennung oder Irisscan erfordern eine erheblich größere Datenmenge als bisher, die im Ausweis verschlüsselt enthalten sein werden. Aber die technische Entwicklung ermöglicht seit längerem, dass diese Datenmengen in Datenbanken verwaltet und abgeglichen werden können. So gibt es für polizeiliche Zwecke inzwischen Fingerabdruckdatenbanken oder Genanalysedatenbanken, die den Vergleich zwischen den an einem Tatort gefundenen Merkmalen und gespeicherten Daten automatisch ermöglichen.

Die Rechtsprechung des Bundesverfassungsgerichts im Volkszählungsurteil, die die generelle zentrale Erfassung von Personenkennzeichen und Daten verbot, wird mit der neuen Technik umgangen werden können. Eine zentrale Speicherung wird im Terrorbekämpfungsgesetz zwar nicht vorgesehen, und die für die Erstellung der neuen Pässe zuständige Bundesdruckerei erklärte, dass alle Daten nach Fertigstellung des Passes gelöscht würden. Aber eine Speicherung in dezentralen Datenbanken wird dadurch möglich, dass jeder Passantrag mit dem Einlesen der biometrischen Daten verbunden ist, die dann gespeichert werden und als Hintergrundmaterial auf Anforderung von Polizei oder anderen Dienststellen eingesehen werden können. Durch Vergleich und - dem Eigentümer nicht bekannte - Zusammenführung mit anderen Datenbanken lassen sich schließlich Persönlichkeits- und Bewegungsbilder erstellen. Damit ist die Verfügungsgewalt über die Daten den Passbesitzern entzogen.

Eine Technik dagegen, die sowohl Daten als auch Lesevorgang nur innerhalb des Speichers im Pass selber ermöglicht, also ein Auslesen der Daten aus dem Pass unmöglich macht, gibt es bereits. Sie wird aber politisch offensichtlich nicht angestrebt, um den vermeintlichen Zweck der Sicherheit des Reisepasses mit ganz anderen Zwecken, nämlich dem der Datenerfassung von Bürgern im großen Stil, zu verbinden.

Andere großangelegte IT-Projekte der Bundesregierungen wie die kommende Sozialversicherungskarte deuten in eine ähnliche Richtung. Sie sind nicht nur ein wirtschaftlicher Faktor für die mit der Herstellung der Geräte und Programme betraute IT-Industrie, sondern ein Mittel der datenmäßigen Erfassung der ganzen Bevölkerung zu Zwecken, die weit über das Bekannte hinauszugehen scheinen. Motto: Sind die Daten erst einmal erfasst und gespeichert, werden sie auch ausgewertet.

Schlaue Bürger finden sich deswegen derzeit vor allem in den kommunalen Behörden, denn wer jetzt seinen alten Reisepass verlängert oder einen neuen beantragt, hat für zehn Jahre Ruhe - es sei denn, er möchte in die USA reisen.