Biometrische Daten im Ausweis – sinnvoll oder gefährlich?

Wenn Sie im August einen neuen Personalausweis beantragt haben, haben Sie es vielleicht schon bemerkt: Ab sofort muss man beim Einwohnermeldeamt verpflichtend seine Fingerabdrücke abgeben – sie werden dann zusammen mit einem digitalen Foto auf einem Chip im Personalausweis gespeichert. Bisher war die Abgabe der Fingerabdrücke freiwillig, nun ist sie für die beiden Zeigefinger Pflicht.

Als Begründung für die neue Maßnahme, die im Rahmen einer EU-Verordnung eingeführt wurde, hält wieder einmal der Kampf gegen internationale Kriminalität und Terrorismus her – die gespeicherten Fingerabdrücke sollen den Personalausweis fälschungssicherer machen. Doch wie das immer so ist, bergen mehr Daten auch die Gefahr von mehr Missbrauch: So könnten die Fingerabdrücke gehackt oder nachgebildet werden. Biometrische Daten sind praktisch unveränderbar – wenn die Daten missbräuchlich in falsche Hände geraten, ergeben sich daraus für die Betroffenen also permanente Risiken. Passwörter kann man wechseln – Fingerabdruck und Iris nicht.

Schon jetzt können Handys, Computer und viele Apps alleine mit Fingerabdruck entsperrt werden. Sobald man also den Fingerabdruck z.B. aus einem gestohlenen Ausweis ausgelesen hat, stehen dem Missbrauch Tür und Tor offen – bis hin zum Identitätsdiebstahl. Dadurch könnten auch Straftaten auf Unschuldige geschoben werden.

Die Bundesregierung beschwichtigt, es sei „durch technische Anforderungen an das Speicher- und Verarbeitungsmedium sicherzustellen, dass nur gesetzlich definierte Berechtigte die Fingerabdrücke auslesen können.“ Berechtigt sollen aber neben den Personalausweis-, Pass- und Meldebehörden auch die Polizeivollzugsbehörden, die Zollverwaltung und die Steuerfahndungsstellen der Länder sein – und obendrein werden die Berechtigungszertifikate zum Auslesen der Fingerabdrücke zwischen den EU-Mitgliedstaaten ausgetauscht, wenn Zweifel an der Identität nach Abgleich des Passbildes bestünden.

Dass die biometrischen Daten grundsätzlich nur dezentral auf dem Personalausweis gespeichert würden, ist dann auch nur ein Tropfen auf den heißen Stein. Denn bei der Fertigung müssen die Fingerabdrücke ja doch zur zentralen Bundesdruckerei. Zumal es auch bei Einführung biometrischer Passbilder hieß, diese würden nur dezentral gespeichert. Seit 2017 darf die Polizei jedoch großflächig darauf zurückgreifen – und seit Mai 2021 nun sogar bundesweit! Als nächstes droht dann wohl der Abgleich der Passbilder-Datenbank mit Aufnahmen von Gesichtserkennungssystemen.

Die Initiative Digitalcourage hat angekündigt auf dem Klageweg zu versuchen, die Fingerabdruckpflicht zu kippen. Denn es gibt keine Möglichkeit, der Fingerabdruckpflicht zu entkommen: Wer keinen Ausweis oder Pass besitzt, riskiert hohe Bußgelder und kann z.B. nicht verreisen, kein Arbeitslosengeld beantragen etc. Und für den Reisepass sind Fingerabdrücke schon seit 2007 verpflichtend. Im letzten Jahr wurden übrigens genau solche Passdaten von 12.000 Deutschen in Argentinien gehackt und im Internet veröffentlicht – was wieder einmal zeigt: Daten ultimativ zu schützen, ist beinahe unmöglich. Deshalb ist das beste Mittel, sie gar nicht erst zu erheben. Das Stichwort lautet: Datensparsamkeit – was nicht gespeichert ist, kann auch nicht gehackt und geleakt werden.

Dass ein Missbrauch gar nicht so unrealistisch ist, zeigt sich gerade in Afghanistan – ja, auch beim Thema Datenschutz kommen wir leider nicht um das Thema herum: Dort sollen die Taliban Iris-Scanner und dazugehörige biometrische Daten erbeutet haben; eventuell sogar ganze Datenbanken – der Umfang ist noch unklar. Denn ihr Equipment mussten die vielen westlichen Soldaten bei ihrer fluchtartigen Evakuierung großteils zurücklassen. In den falschen Händen können einmal erhobene Daten eben nicht nur zur (vermeintlich) harmlosen Kontrolle am Flughafen genutzt werden, sondern theoretisch eben auch, um diejenigen aus einer Gruppe herauszufiltern, die man einsperren oder gar töten will.

Die Befürchtung: Wenn an Checkpoints oder bei Tür-zu-Tür-Kontrollen Fingerabdrücke oder Iris gescannt werden, wird es quasi unmöglich unterzutauchen. Die vormals oft als fiktiv verspottete Dystopie wird so – schneller als man denkt – zur Realität. Die ursprüngliche Absicht der USA, nur „Bad Guys“ erfassen – auch das liegt im Auge des Betrachters – mag nobel gewesen sein. Dass eine verantwortliche Technikfolgenabschätzung erfolgte, mag dennoch bezweifelt werden.

Zuletzt war wohl das Ziel, 80 Prozent der Bevölkerung Afghanistans zu erfassen, darunter insbesondere auch die, die in den letzten Wochen als unterstützende „Ortskräfte“ bekannt wurden, die den Taliban mutmaßlich ein besonderer Dorn im Auge sein dürften. Die afghanische Wahlkommission begrüßte die Instrumente, um z.B. doppelte Stimmabgaben bei Wahlen zu unterbinden. Auch das afghanische Ausweisdokument enthält biometrische Informationen.

Der grüne Digital- und Innenpolitiker Konstantin von Notz bringt es auf den Punkt: „Hier wird der ganz praktische Wert eines guten Daten- und Grundrechtsschutzes auf schreckliche Art und Weise mehr als deutlich, der eben keine Daten, sondern Menschen schützt.“ Und dass dies nicht nur für vermeintlich instabile oder gescheiterte Staaten gilt, hat beispielsweise die gefestigte Demokratie Ungarn in den letzten Jahren leider eindrucksvoll bewiesen. Eine einzelne zwielichtige Person an der Macht kann schon ausreichen.

Apropros zwielichtige Personen: Werfen wir nun einen kurzen Blick auf die Bundestagswahl. Heise.de hat sich die Wahlprogramme der Parteien genauer angeguckt und gegenübergestellt, was die Parteien von Datenschutz und Datenkraken halten und wie es überhaupt mit der Digitalisierung weiter gehen soll. Während Digitalisierung als Thema auf der Hand liegt, ist es doch auch schön zu sehen, dass sich alle großen Parteien auch explizit Gedanken zum Thema Datenschutz gemacht haben – auch wenn diese naturgemäß unterschiedlich ausfallen.

Dann hat vor ein paar Tagen noch Datenschutzaktivist Max Schrems Beschwerde gegen mehrere Verlage eingelegt, auf deren Internetseiten man „wählen“ kann, ob man getrackt werden und Werbung sehen möchte oder lieber für ein Abo zahlt. Max Schrems hält das für einen Verstoß gegen die DSGVO und das darin enthaltene Kopplungsverbot, da die Nutzer*innen eben nicht frei über die Verwendung ihrer Daten entscheiden könnten. Die Nutzung eines digitalen Angebots dürfte nicht an eine Dienstleistung gekoppelt sein. Außerdem seien die verlangten Gebühren viel zu hoch. Der Fall ist komplex, da eben Werbefreiheit und Nicht-Tracking Hand in Hand gehen und nicht separat darüber bestimmt werden. Der Fall liegt zunächst bei den Aufsichtsbehörden, könnte aber bis vor das Bundesverwaltungsgericht gehen. Das zumindest erwartet der klageerprobte Schrems selbst.

Jobcenter und Agenturen für Arbeit haben während der Lockdowns gegen Datenschutzregeln verstoßen, als die sogenannte öffentliche Zustellung (z.B. an Menschen, deren aktueller Aufenthaltsort nicht bekannt ist) nicht mehr per Aushang vor Ort, sondern über das Internet erfolgte. Auf diesem Wege wurden tausende sensible Daten veröffentlicht.

Und: TikTok verschärft seine Datenschutz-Einstellungen für Jugendliche. Allerdings kann man die immer noch relativ leicht umgehen, indem man einfach ein falsches Geburtsdatum angibt – das wird nämlich nicht aktiv verifiziert, höchstens durch automatisierte Gesichtserkennung im Nachhinein. TikTok geht intern davon aus, dass in den USA, Großbritannien, Frankreich und Deutschland weit mehr als ein Drittel seiner Nutzer*innen unter 14 Jahre alt (!) ist. 2019 verhängten die USA eine Rekordstrafe von 5,7 Millionen Dollar, da das Unternehmen Daten von Kindern unter 13 Jahren ohne Zustimmung der Eltern gesammelt hatte.

Indes verschärft das Mutterland der App, China, seine Tech-Regeln. Die Kommunistische Partei will vor allem die großen Tech-Riesen stärker regulieren. Der Staat selbst darf aber natürlich weiter Daten sammeln. Und eine Firma sammelt offenbar weltweit Gendaten von Schwangeren. Bleiben Sie wachsam!