Mehr (Un-)Sicherheit durch neue Personalausweise und Reisepässe?
Gläserne Bürger
Von Markus Pachali
Die auf dem Chip gespeicherten Daten können über eine Distanz von bis zu 10 Metern kontaktlos ausgelesen werden. Begründet wurde diese Neuerung mit der verbesserten Fälschungssicherheit und dem Kampf gegen den internationalen Terrorismus. Ab 2008 soll die RFID-Technik auch Einzug in den deutschen Personalausweis halten. Diese Vorstöße der Regierung sind jedoch bei weitem nicht so ungefährlich wie immer behauptet wird, sondern bergen große Risiken.
Es begann mit Otto Schily
Schily mit Schlagstock
Quelle: NRhZ-Archiv
Will man heute einen Reisepass beantragen, kommt man um Maßnahmen, die sehr stark an die erkennungsdienstliche Behandlung (ED-Behandlung) von Verbrechern erinnern, nicht mehr herum. Bei Antragstellung muss man wie gewohnt ein Foto mitbringen, welches jedoch, damit es von den Computersystemen an den Grenzen mit dem Gesicht verglichen werden kann, gewisse Normen erfüllen muss. Werden diese nicht erfüllt, kann der Pass nicht ausgestellt werden. Des weiteren müssen die Fingerabdrücke von beiden Zeigefingern abgegeben werden. Können diese nicht verwendet werden, kann alternativ der Abdruck von Daumen, Mittel- oder Ringfinger verwendet werden. Sind alle Abdrücke unbrauchbar, wird entweder der beste genommen oder der Sachbearbeiter kann die Option "keine Hand" im Antragsformular auswählen [1].
Software noch nicht ausgereift
Dass die Fotos einer bestimmten Norm entsprechen müssen, liegt daran, dass die Software, welche an den Grenzen verwendet wird, noch nicht ausgereift genug ist, um auch Gesichter zu erkennen, die so aussehen wie man sie bisher von Passfotos kannte. Hierbei gibt es jedoch ein sehr großes Problem: Nicht alle Gesichter entsprechen dieser Norm. Mutter Natur ist hier sehr eigenwillig und deshalb hat jeder Mensch ein ganz eigenes Gesicht, kaum zwei ähneln einander, schon gar nicht aus der Sicht eines Computers. Dies führt dazu, dass einige Gesichter einfach nicht in diese Norm passen und die Bilder auch nicht in den Pässen verwendet werden können, so dass die Antragsteller immer wieder abgewiesen werden. Damit diese Personen trotzdem zu einem Pass kommen, gehen mittlerweile einige Fotographen soweit, die Bilder mit Bildbearbeitungsprogrammen solange zu bearbeiten, bis das Gesicht die Norm erfüllt [2]. Mit diesem bearbeiteten Bild kann dann zwar endlich der Pass beantragt werden, jedoch kann es zu erheblichen Problemen bei den Grenzkontrollen führen, da man für den Computer nicht die Person ist, die auf dem Bild zu sehen ist.
Demonstration gegen Freiheitsabbau am 24. November 2007 in Köln:
„Freiheit ist Sicherheit"
Ähnliche Probleme gibt es mit den Fingerabdrücken. Berichten von Sachbearbeitern bei den Antragsstellen zufolge gibt es teilweise erhebliche Probleme beim Erfassen der Abdrücke [3]. Da die Abdrücke mit einem optischen Lesegerät und nicht mit einem wesentlich besseren Ultraschall-Lesegerät abgenommen werden, kommt es bereits bei Personen ab dem 40sten Lebensjahr vermehrt zu Problemen, da hier die Fingerabdrücke - teilweise berufsbedingt - wesentlich schwächer ausgeprägt sind. Hinzu kommt, dass mit zunehmendem Alter die Fettschicht auf der Haut zurückgeht. Diese wird jedoch zur optischen Erfassung zwingend benötigt. Dieses Problem tritt häufig bei Senioren auf. Können aufgrund dieser Probleme keine oder nur unzureichende Fingerabdrücke abgenommen werden, kann der Pass trotzdem ausgestellt werden, jedoch kann auch dies zu Benachteiligungen der Betroffenen an den Grenzen führen.
Anstatt schneller eher langsamer
Eines der Argumente für die Einführung von elektronischen Reisepässen war, dass damit die Abfertigung an den Grenzen schneller erfolgen könne. Dies entspricht jedoch nicht der Realität. Die Kontrolle der Fingerabdrücke und des Gesichtsbildes erfolgen zusätzlich zu den bereits vorher bestehenden Kontrollen. Die Abfertigung erfolgt also nicht schneller, sondern im Gegenteil wesentlich langsamer. Auch bei der Kontrolle von Gesichtsbild und Fingerabdrücken kann es zu Problemen kommen, selbst wenn es bei der Erfassung bei der Beantragung des Passes keine Probleme gab. Am Flughafen herrschen mit hoher Wahrscheinlichkeit andere Lichtverhältnisse als beim Fotografen, bei dem das Bild, welches sich im Pass befindet, aufgenommen wurde. Dies kann dazu führen, dass der Computer die Person nicht identifizieren kann. Fingerabdrücke verändern sich zwar im Laufe des Lebens nicht, aber sie können zum Beispiel durch Verletzungen verändert werden, was ebenfalls dazu führen kann, dass der Computer den Abgleich nicht erfolgreich durchführen kann. Alle Personen, die durch den Computer anhand der im Pass gespeicherten Daten nicht identifiziert werden können, werden einer "verschärften Kontrolle" durch die Beamten der Bundespolizei (ehemals BGS) unterzogen. Es spielt dabei keine Rolle, ob die Probleme bereits beim Erfassen der Daten aufgetreten sind oder erst bei der Kontrolle an der Grenze. Dies geschieht auch wenn der RFID-Chip beschädigt oder zerstört ist und somit nicht mehr ausgelesen werden kann.
Fotos:: arbeiterfotografie
Milliardengeschäft für die Industrie
Das Hauptargument des Bundesinnenministeriums, warum dringend ein RFID-Chip in die Pässe und Ausweise integriert werden muss, war immer die "Erhöhung der Sicherheit". Gerhard Schabhüser vom Bundesamt für Sicherheit in der Informationstechnik (BSI) führt jedoch ganz andere Gründe an, und zwar "industriepolitische" [4]. In Deutschland wurden die elektronischen Reisepässe ein halbes Jahr eher eingeführt als dies von der EU vorgesehen war. Dadurch hatten die Industriezweige, die auf diesem Gebiet forschen und entwickeln, einen erheblichen Vorsprung vor ihren Konkurrenten in anderen Ländern, welche ihre Produkte erst zu einem späteren Zeitpunkt fertig haben mussten. Die Ausstattung von allen Grenzübergängen, Flughäfen und ausstellenden Behörden ist allein im Inland schon ein Milliardengeschäft. Das "Büro für Technikfolgenabschätzung" rechnet mit einmaligen Kosten in Höhe von 670 Millionen Euro und 610 Millionen Euro an laufenden Kosten pro Jahr nur für Deutschland [5]. Bei diesem Auftragsvolumen ist es nachvollziehbar, wenn die Industrie hier daran interessiert ist, ihre Produkte in so viele Länder wie möglich exportieren zu können. Hinzu kommt, dass die deutschen Pässe bisher auch ohne RFID-Chip zu den sichersten Dokumenten weltweit zählten [6]. Im Zeitraum von 2001 bis 2006 konnte die Bundespolizei in gerade einmal 6 Fällen Fälschungen von Pässen feststellen [7]. Hätte man also fälschungssicherere Pässe haben wollen, hätte man einfach das deutsche Passmodell auf alle anderen EU-Staaten übertragen können.
Kein Datenschutz
Die von den Antragsstellen aufgenommenen Daten werden elektronisch über das Internet an die Bundesdruckerei GmbH übertragen, welche die Pässe herstellt. Bei einer stichprobenartigen Kontrolle des Landesdatenschutzbeauftragten von Mecklenburg-Vorpommern, Karsten Neumann, wurde festgestellt, dass keine der überprüften Passbehörden die vorgeschriebenen Verfahren zur sicheren Übertragung nutzt. "Die technischen und organisatorischen Maßnahmen bei der Erfassung von Passantragsdaten in den Passbehörden Mecklenburg-Vorpommerns und bei der Übermittlung der Daten an den Passhersteller sind völlig unzureichend“, so Neumann. Die stichprobenartige Anfrage bei weiteren Passbehörden ergab, dass in keinem Fall die datenschutzrechtlichen Vorschriften eingehalten wurden. Die geprüften Passbehörden arbeiten durchweg mit automatisierten Verfahren, die nicht für die Nutzung freigegeben sind [8]. Es besteht also die Gefahr, dass die Daten aufgrund unzureichender Sicherheitsmaßnahmen während der Übermittlung von unbefugten Dritten mitgelesen und mißbraucht werden können. Unternommen wurde dagegen – soweit bis jetzt bekannt ist – nichts.
Karikatur: Kostas Koufogiorgos
www.koufogiorgos.de
Kritiker befürchten, dass in absehbarer Zeit sämtliche Daten, welche auf den Pässen gespeichert sind, zusätzlich noch in einer Datenbank abgelegt werden sollen, entweder an einer zentralen Stelle oder dezentral bei den ausstellenden Behörden, und dass Ermittlungsbehörden und Geheimdienste auf diese Daten zugreifen dürfen. Man befürchtet hier, dass genau das gleiche geschehen wird wie bei den Daten, die erst nur für die Abrechnung der LKW-Maut auf den Autobahnen erfasst wurden und durch die nach dem 11. September 2001 eingeführten Regelungen zur Überwachung von Kontobewegungen von Terrororganisationen. Diese Daten werden mittlerweile auch für andere Zwecke verwendet. Basierend auf den Regelungen zur Kontodatenabfrage können mittlerweile auch HartzIV und BAfÖG-Empfänger überprüft werden. Wirklich dementiert wird dies vom Bundesinnenministerium auch nicht. Auf die Frage der taz, ob geplant ist, in Zukunft diese Daten in einer zentralen Datenbank zu speichern, antwortete Bundesinnenminister Wolfgang Schäuble: "Ich bin mit Aussagen für die Ewigkeit sehr zurückhaltend." In den Ausweisen und Pässen befindliche Lichtbilder können bereits heute zur Verfolgung von Straftaten und Verkehrsordnungswidrigkeiten von Polizei- und Ordnungsbehörden abgefragt werden (§22a Abs.2 Passgesetz).
Bis jetzt sind von den Problemen nur die Antragssteller von Reisepässen betroffen. Die Bundesregierung plant jedoch für das Jahr 2008 auch die Einführung eines neuen Personalausweises [9]. Dieser soll dann genau wie der Reisepass einen RFID-Chip beinhalten und es werden auch hier zusätzlich zwei Fingerabdrücke gespeichert. Kein Bundesbürger ist dazu verpflichtet, einen Reisepass zu besitzen, jedoch muss jeder Bundesbürger ab dem 16. Lebensjahr einen gültigen Personalausweis besitzen. Spätestens zehn Jahre nach Einführung dieser elektronischen Personalausweise würden dann alle Bundesbürger, die älter als 16 Jahre sind, diesen Ausweis besitzen. Der Staat würde damit in die Lage versetzt, alle diese Daten in einer großen Datenbank zu speichern. Diese könnte bei Bedarf mit den Daten aus anderen Datenbanken, zum Beispiel von Steuerbehörden oder denen, in denen die Daten der Vorratsdatenspeicherung liegen, verknüpft werden und die Erstellung eines genauen Bildes des Bürgers ermöglichen. Der gläserne Bürger würde entstehen. Von den so geschaffenen Möglichkeiten konnte der Überwachungsapparat der ehemaligen DDR nur träumen. (PK)
Sehr geehrte Damen und Herren,
in den anglo-amerikanischen und vielen anderen Ländern gibt etwas Vergleichbares wie unseren Personalausweis nicht, die Menschen würden sich dagegen auch ganz erheblich wehren. In Spanien wurden Personalausweise mit Fingerabdruck nach der Franco-Diktatur abgeschafft. In Deutschland gab es Personalausweise mit Fingerabdrücken das letzte Mal zur Zeit der Nazi-Diktatur.
Ihr Schreiben fordert mich auf, meinen Personalausweis erneuern zu lassen. Ich bin ein unbescholtener Bürger und nie straffällig geworden. Nun soll ich einen Personalausweis beantragen, der meine biometrischen Daten bzw. den "digitalen Fingerabdruck" enthält. Ich fühle mich durch diese Regelung von vornherein kriminalisiert. Dafür, dass die gegenwärtige CDU-SPD-Regierung Bürgerinnen und Bürger aber präventiv erfasst und deshalb pauschal von vorn herein kriminalisiert, ist sie sicher nicht gewählt worden! Es handelt sich dabei in meinen Augen um ein undemokratisches Mittel.
Die Erfassung biometrischer Daten im Personalausweis wurde angeblich zur Terrorismusabwehr beschlossen. Da ein Zusammenhang hierzu aber bisher nicht nachgewiesen werden kann, ist davon auszugehen, dass der Grund vorgeschoben ist und es sich bei dieser Maßnahme um ein weiteres Mittel der Totalüberwachung von uns Bürgerinnen und Bürgern handelt. Zudem ist das Verfahren äußerst fehlerbelastet.
Die zusätzliche Erfassung biometrischer Daten ist zudem datenschutzrechtlich bedenklich, weil sich die erfassten Daten mit anderen Dateien ohne weiteres verknüpfen lassen. Im Internet können inzwischen Geschäfte mit dem digitalen Personalausweis getätigt werden oder ein Austausch zwischen Verwaltung und Internethändlern kann stattfinden, die wiederum mit anderen Daten ohne weiteres verknüpft werden können. Doch ihre Verknüpfung hat das Bundesverfassungsgericht längst als verfassungswidrig erklärt.
Ich halte daher die Erfassung biometrischer Daten weder für sinnvoll noch für angemessen und für rechtlich fragwürdig.
Ich stelle an Sie folgende Fragen:
1. Sind in diesem neuen Personalausweis, den ich jetzt beantragen soll, der "digitale Fingerabdruck" oder andere biometrische Daten enthalten?
2. Ich besitze einen gültigen Reisepass. Ist dieser Ausweis auch im Inland zur Feststellung der Identität gültig und ausreichend?
3. Ich bitte um Zusendung eines Bescheides, damit ich gegebenenfalls den Personalausweis mit biometrischen Daten Rechtsmittel einlegen kann.
Mit freundlichen Grüßen
[1] Vortrag "Meine Finger gehören mir" auf dem 24. Chaos Communication Congress von Constanze Kurz und Starbug
[2] http://www.phenoelit.net/lablog/inputValidation.sl
[3] http://www.heise.de/newsticker/meldung/101143
[4] Datenschleuder Ausgabe 97 Seite 2
[5] http://www.ccc.de/epass/stellungnahme-bmi
[6] Geschäftsbericht der Bundesdruckerei für das Jahr 2003 Seite 18 http://www.bundesdruckerei.de/de/support/download/bdr_gb03.pdf
[7] http://dip.bundestag.de/btd/16/055/1605507.pdf
[8] Pressemitteilung des Landesbeauftragten für Datenschutz des Landes Mecklenburg-Vorpommern vom 14.11.2007 http://www.datenschutz-mv.de/dschutz/presse/pm-epass.pdf
[9] Bundesregierung
Online-Flyer Nr. 133 vom 13.02.2008