Fingerabdrücken in Ausweis ist rechtswidrig

Die europäischen und deutschen Vorgaben zum Einsatz biometrischer Identifizierungsdaten missachten laut einer Studie elementare Datenschutzgrundsätze.

Vom 2. August an müssen Bundesbürger mit dem Antrag eines neuen Personalausweises Abdrücke des linken und rechten Zeigefingers abgeben, die auf dem Funkchip des Dokuments gespeichert werden. Das Netzwerk Datenschutzexpertise hat die entsprechende Gesetzesnovelle zum Anlass genommen, den staatlichen Einsatz biometrischer Identifizierungsverfahren zu hinterfragen. Es kommt zu dem Ergebnis, dass einschlägige europäische und deutsche Regeln gegen das nationale Verfassungsrecht und das Europarecht verstoßen.

Das hiesige Gesetz zur „Stärkung der Sicherheit im Pass-, Ausweis- und ausländerrechtlichen Dokumentenwesen“ missachtet laut der am Montag veröffentlichten Analyse genauso wie die ihm entsprechende EU-Vorschrift und andere europäische Biometrie Bestimmungen grundlegende Datenschutzgrundsätze: Datenminimierung, Zweckbindung, Transparenz und andere Vorkehrungen zum Absichern der Grundrechte kämen zu kurz.

Datensparsamkeit angemahnt

„Für die eindeutige Identifizierung mithilfe von Fingerabdruckdaten genügt der Abdruck eines Fingers“, führt der Gutachter Thilo Weichert aus. Der Nachweis der Erforderlichkeit weiterer biometrischer Merkmale sei nicht erbracht. Aus Gründen der Pflicht zur Datensparsamkeit sei daher grundsätzlich „nur die Speicherung der Minutien eines Ringfingers oder kleinen Fingers zulässig“. Dies wäre „weniger missbrauchsanfällig, für Identifizierungszwecke aber ebenso geeignet“. Wegen des Fehlens europarechtlicher Vorgaben hätte der nationale Gesetzgeber auch den Spielraum gehabt, in diesem Sinne „eine weniger eingreifende Maßnahme vorzusehen“.

Die Eingriffsintensität erhöhe sich bei Ausländern aus Drittstaaten und insbesondere Flüchtlingen, bei denen zur eindeutigen Identifizierung nicht nur zwei Fingerabdrücke, sondern zehn erhoben würden, heißt es. Diese würden zudem unter anderem in deutschen und europäischen Datenbanken wie Eurodac, der Fingerabdruckdatei AFIS, dem dem Visa-Informationssystem (VIS) und im Ausländerzentralregister gespeichert.

Bei der Wahl des genutzten biometrischen Merkmals und des Verfahrens ist laut dem früheren schleswig-holsteinischen Datenschutzbeauftragten generell darauf zu achten, dass diesem eine möglichst geringe invasive Wirkung zukomme. Die Iris-Identifikation sei wegen der geringeren Missbrauchsgefahr als milderes Mittel einer Erkennung über das Gesichtsbild oder Fingerabdrücke grundsätzlich vorzuziehen. Genüge ein Lichtbild, sei bereits auf ein weiteres biometrisches Merkmal zu verzichten. Reiche eine lokale Verarbeitung auf einem Ausweis, sei die Speicherung in einem Hintergrundsystem unzulässig: „eine dezentrale Speicherung ist weniger eingriffsintensiv als eine zentrale“.

Zugriff von Sicherheitsbehörden

Die hiesigen Vorgaben für Ausweise und Pässe enthielten für Sicherheitsbehörden eine generelle automatisierte Abruf- und Speicherbefugnis „im Rahmen ihrer Aufgaben und Befugnisse“, gibt der Autor zu bedenken. Dies könnte Fahndungsabgleiche einschließen und verstoße gegen den Zweckbindungsgrundsatz sowie höherrangiges europäisches Recht. Eine Identitätsprüfung sei hier allenfalls für Grenzkontrollen als angemessen anzusehen. Das in der Praxis bestehende „unbegrenzte Zugriffsrecht für Geheimdienste auf Lichtbilder von Deutschen im Pass- und Personalausweisregister“ sei unverhältnismäßig.

Die breite Erlaubnis zur Datennutzung für Sicherheitszwecke bei Flüchtlingen lässt laut der Studie zusätzlich das Diskriminierungsverbot wegen Staatsangehörigkeit außer Acht. Insgesamt sei es „irritierend, mit welcher Nonchalance die Zweckbindungsanforderungen bei der Verarbeitung biometrischer Identifizierungsdaten im Ausländer- und insbesondere im Flüchtlingsrecht ignoriert werden“.

Eine besondere Gefahr biometrischer Hoheitsdokumente liegt laut Weichert darin, dass anlässlich von Ausweiskontrollen in außereuropäischen Drittstaaten dortige Behörden die Biometrie Daten abspeicherten und dann zur behördlichen oder gar geheimdienstlichen Zwecken gebrauchten beziehungsweise missbrauchten. Vorkehrungen dagegen seien nicht vorgesehen.

Unverhältnismäßig

Angesichts hoher Fehlerrisiken der biometrischen Gesichtserkennung, der Streubreite der Technik und dem damit verknüpften massiven Grundrechtseingriff könne deren Einsatz im öffentlichen Raum derzeit nicht als verhältnismäßig angesehen werden, ist dem Gutachten zu entnehmen. Welche Risiken hier auch für einen automatisierten Abgleich von Lichtbilddaten mit externen Fahndungsdateien lägen, hätten die polizeilichen Ermittlungen im Rahmen des G20-Gipfels gezeigt.

Weichert fordert, die Transparenz der Nutzung biometrischer Identifizierungsdaten zu verbessern und den demokratische Diskussionsprozess dringend zu intensivieren. Fingerabdrücke und Gesichtsbilder sind ihm zufolge „die Vorreiter biometrischer Identifizierungsmerkmale, mit denen die analoge Welt mit der digitalen Welt verknüpfbar wird und Menschen aus dem Schutz der Anonymität in der Menge herausgezogen werden“.