Stellen Sie sich Folgendes vor: Voller Vorfreude auf Ihren lang ersehnten Urlaub steigen Sie aus dem Flieger. Schnell ins Hotel und dann nichts wie an den Strand, denken Sie gerade, als sie an der freundlich nickenden Grenzbeamtin vorbei wollen. Plötzlich reißt Sie ein Signalton aus Ihren Träumen. Die Grenzbeamtin hält Sie auf, alle Mitreisenden starren Sie an. Pech gehabt. Die in ihrem Pass gespeicherten biometrischen Gesichtsmerkmale stimmen zu wenig mit den Daten überein, die die Kamera vor Ihnen dem System soeben von Ihnen geliefert hat. Ein unwirkliches Szenario?
Nun, zumindest hat seit November 2005 jeder neu ausgestellte deutsche Reisepass einen Funkchip, auf dem die persönlichen Daten des Inhabers sowie ein digitalisiertes Gesichtsbild gespeichert sind (siehe Kasten). Von März 2007 an sollen bei der Passbeantragung zusätzlich die Abdrücke beider Zeigefinger eingescannt werden. An der Grenze können dann die mit Hilfe von Kamera und Fingerabdruckleser aktuell aufgenommenen biometrischen Daten eines Reisenden mit den gespeicherten Daten verglichen werden. Bis 2008 sollen dafür überall entsprechende Lesegeräte vorhanden sein. Ziel ist es herauszufinden, ob der Pass auch wirklich dem gehört, der ihn vorzeigt.
Das Ergebnis dieses Abgleichs ist nach Meinung von Experten oft falsch. Der Leiter der Datenschutz- und Sicherheitsgruppe an der TU Dresden, Professor Andreas Pfitzmann, macht sogar "eine unakzeptabel hohe Fehlerrate" aus. "Seit mehr als 20 Jahren wird angekündigt, die biometrische Forschung würde dies in zwei, spätestens vier Jahren ändern. Langsam zweifle ich daran, ob es solch ein biometrisches Verfahren überhaupt gibt", sagt er. Das Bundesinnenministerium (BMI) hält dagegen, die Erkennungsleistung erfülle die grenzpolizeilichen Einsatzzwecke. An Grenzübergängen, die über Lesegeräte mit internationalem Standard verfügten, "sollten die Chips problemlos ausgelesen werden können. Verzögerungen bei der Grenzkontrolle werden nicht erwartet", erläutert BMI-Sprecherin Gabriele Hermani. Erst vor wenigen Wochen sei Experten aus 38 Nationen in Berlin der bisher größte Funktionsfähigkeitstest geglückt.
Unangenehme Überraschungen - wie an der Grenze nicht erkannt zu werden - sind allerdings auch nicht das Hauptproblem, das Datenschützer mit dem ePass haben. Vielmehr sehen sie die informationelle Selbstbestimmung der Bürger in Gefahr. Sie verweisen darauf, dass sich über den integrierten Funkchip die gespeicherten Daten ohne Einwilligung und ohne Kenntnis des Passinhabers auslesen lassen - kontaktlos und auf eine Distanz bis zu 30 Meter.
Diesen Vorwurf weist Hermani zurück. Die Daten seien "umfassend geschützt". Wie die Zugriffskontrolle funktioniert, erläutert das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Homepage. Um auf die im RFID-Chip gespeicherten Daten zugreifen zu können, müsse das Lesegerät gegenüber dem Chip beweisen, dass es optischen Zugriff auf den Pass hatte. Ein Auslesen der Daten "im Vorbeigehen" sei mit dieser "Basic Access Control" (BAC) nicht möglich. Auch das Mitlesen der übertragenen Daten durch Unbefugte - etwa im Rahmen einer Passkontrolle - scheidet laut BSI als Gefahrenquelle aus. Schließlich werde die Kommunikation zwischen RF-Chip und Lesegerät bereits im Rahmen der Zugriffskontrolle automatisch verschlüsselt. Pfitzmann ist dagegen überzeugt, dass sich mit der BAC Datenmissbrauch nicht ausschließen lasse. Habe beispielsweise ein Händler für einen Mobilfunkvertrag eine Fotokopie des Passes erhalten, könne er den Chip auslesen, wann immer er in der Nähe sei.
Für den digitalen Fingerabdruck hat die Europäische Kommission am 29. Juni in Brüssel einen zusätzlichen Zugriffsschutz verabschiedet. Mit der "Extended Access Control" (EAC) wird für das Auslesen dieser Daten ein geheimer Signaturschlüssel notwendig, dessen Gültigkeit durch ein elektronisches Zertifikat des Landes, das den Reisepass ausgestellt hat, bestätigt werden muss. Der RF-Chip des Reisepasses gestatte dem Lesegerät erst nach Prüfung des Zertifikats und erfolgreicher Authentisierung den Zugang zum Fingerabdruck, so die BMI-Sprecherin.
Der Chaos Computer Club (CCC) warnt dennoch, mit dem ePass sei weiteren Überwachungsmaßnahmen Tür und Tor geöffnet. So wisse niemand, was andere Staaten mit Fingerabdrücken und Gesichtsmerkmalen machten. Andreas Pfitzmann fügt hinzu, selbst bei der Anwendung der EAC bestehe die Gefahr, dass in irgendeinem an dem System beteiligten Land "der Klon eines Lesegerätes" gebaut werde.
Bislang ist das Erfassen von Fingerabdrücken auf erkennungsdienstliche Maßnahmen bei der Verbrechensbekämpfung beschränkt. Eine Ausdehnung auf die gesamte Bevölkerung ist zumindest nach Auffassung des Bundesdatenschutzbeauftragten Peter Schaar heikel. Unbeantwortet sei etwa, wie Missbrauch und eine generelle Überwachung ausgeschlossen werden könnten. Die entsprechende EU-Verordnung sieht vor, dass die im Chip gespeicherten Daten in Reisedokumenten nur verwendet werden, um die Authentizität des Dokuments zu prüfen und die Identität des Passinhabers zu verifizieren, erläutert die BMI-Sprecherin. Noch gibt es weder für das Erfassen noch für das Auslesen der Abdrücke eine Rechtsgrundlage. Deshalb steht in Kürze eine Novelle des Passgesetzes an. Der entsprechende Gesetzentwurf befinde sich zurzeit in der Ressort- und Länderabstimmung, so Hermani.
Datenschützer bringen noch einen weiteren Kritikpunkt vor: die datenbankmäßige Erfassung von Körpermerkmalen. Zwar ist in der EU eine zentrale Datenspeicherung nicht vorgesehen, allerdings sei nicht auszuschließen, dass die bei den kommunalen Melderegistern gespeicherten Dateien rasch verlinkt werden könnten und ein zentrales Melderegister durch die Hintertür entstehe. Das BMI verteidigt die neuen Dokumente. Es sei beabsichtigt, den Fingerabdruck "als unter datenschutzrechtlichen Gesichtspunkten besonders sensibel zu behandelndes Merkmal weder in den Passbehörden noch an anderer Stelle zu speichern", hebt die Ministeriumssprecherin hervor.
Der Informatiker Pfitzmann bleibt jedoch besorgt. Der Dresdner Professor ist sogar der Auffassung, dass biometrische Verfahren im Passwesen nicht nur missbraucht werden können, sondern sogar neue gravierende Sicherheitsprobleme verursachen. "Datenbanken mit Fingerabdrücken oder weit verbreitetes qualitativ hochwertiges ‚Abgeben' des eigenen Fingerabdrucks erleichtern den Nachbau von ‚Fingern' und damit das Hinterlassen falscher Fingerabdrücke am Tatort erheblich", betont er. Schon kursieren im Internet Anleitungen zum Bau von künstlichen Fingern.
Neben dem Reisepass soll ab 2008 auch der Personalausweis mit RFID-Funkchip ausgestattet werden. Der ePersonalausweis soll noch mehr können als der ePass, nämlich auch eine elektronische Identifizierungsmöglichkeit für Geschäftsvorgänge sein. Die BMI-Sprecherin sagt, dass dieser "datenschutzfreundlicher" werde als der bisherige. So würden momentan beispielsweise bei einer Kontoeröffnung alle Daten des Personalausweises übermittelt. Mit dem neuen Ausweis könne sichergestellt werden, dass Daten "unter alleiniger Kontrolle des Ausweisinhabers" weitergegeben würden. Professor Pfitzmann bemerkt dazu, wenn der Staat so etwas wie einen allgemein akzeptierten Füllfederhalter zur Unterzeichnung digitaler Verträge verschenke, sei dagegen nichts einzuwenden. "Absolut abenteuerlich" und sicherlich nicht verfassungsgemäß wäre es aus seiner Sicht aber, wenn Firmen Zugang zu biometrischen Daten erhielten.