© fotoflash, Fotolia.com

Sherlock Holmes wirft die Lupe weg und den Laptop an: Fingerabdrücke bekommt er jetzt digital und nicht mehr allein auf schmutzige Weise über das Stempelkissen. Biometrische Daten in Reisepass und Personalausweis sorgen für Missbrauchsgefahr und sind Herausforderungen für Linux & Co.

Biometrie im täglichen Leben – Frühstücksbrötchen nur gegen Fingerabdruck; Zutritt zu Fußballstadion und Diskothek nur nach positivem Face-Scan. Zukunftsmusik zwar, doch die Partitur dafür ist schon geschrieben.

Die technischen Voraussetzungen sind da: Seit 2005 enthalten bundesdeutsche Reisepässe das digitale Foto, seit Ende letzten Jahres zusätzlich den digitalisierten Fingerabdruck des Besitzers. Der nächste Schritt ist bereits beschlossene Sache: Das Bundeskabinett hat den Gesetzesentwurf abgesegnet, der den elektronischen Personalausweis einführt, ebenfalls mit digital gespeichertem Foto und – zunächst freiwillig – Fingerabdruck [1]. Dieser neue Personalausweis löst ab November 2010 den alten ab.

Gläserne Bürger

Die Erfahrungen der letzten Jahre, die die Behörden mit dem E-Pass machen konnten, scheinen positiv und so folgt der nächste Schritt zum “gläsernen Bürger” auf dem Fuße. Während der Reisepass ein Dokument ist, das nur der braucht, der sich außerhalb Europas bewegen will, handelt es sich beim Personalausweis um ein Pflichtdokument, das einzige, mit dem sich Otto Normalbürger zuverlässig gegenüber Staat und Dritten identifizieren kann. Ausnahmen, bei denen die Vorlage des Führerscheins oder eines anderen amtlich ausgestellten Identitätsnachweises genügen, sind reine Kulanz und dürften als solche künftig verstärkt ins Abseits geraten.

Das Innenministerium stellt besonders die Vorteile für den Bürger im Internetverkehr heraus. Als Standard-Identitätsnachweis für das Internet beworben, soll der E-Personalausweis vermeiden, dass – wie bisher – bei jedem Diensteanbieter gesondert Anmeldeverfahren, Passwörter und PINs einzugeben sind. Das soll Sicherheitsrisiken und Datenschutzdefizite bannen. Dass dergleichen im weltumspannenden Internet mit einem rein deutschen E-Dokument nur unzureichend funktioniert, liegt auf der Hand. Oder sollen etwa Diensteanbieter aus den USA künftig Durchgriff auf die persönlichen Daten deutscher Bürger erhalten? Oder kurbelt es gezielt die deutsche Internetwirtschaft an, wenn nur hiesige Unternehmen die Vorteile im Leistungsaustausch mit deutschen Kunden nutzen können?

Gebremste Sammelwut

Vor dem Hintergrund, dass der neue Personalausweis auch dem Internetverkehr dienen soll, ist es wichtig, zu wissen, welche Daten so ein Dokument speichert. Name, Adresse, Geburtsdatum und Foto sind ja ohnehin bereits in traditioneller Form enthalten. Eigentlich sah der Gesetzesentwurf sogar vor, den digitalen Fingerabdruck verpflichtend in den E-Personalausweis aufzunehmen, doch der heftige Widerstand von Datenschützern und Politikern – von einzelnen “Ausreißern” bis zu geschlossenen Bundestagsfraktionen – verhindert das nun, vorerst.

Die Begründung scheint zwar verständlich, hingegen kaum tragfähig: Wenn die beanstandete Speicherung biometrischer Daten, also des Fingerabdrucks, tatsächlich zu tief in die Bürgerrechte eingreift, weshalb sollte sie dann beim Personalausweis unzulässig, beim Pass dagegen rechtmäßig sein?

Das Interesse fremder Staaten, zu wissen, wer bei ihnen einreist, dürfte kaum höher zu bewerten sein als das eigene staatliche Interesse an der Identifizierung seiner Bürger. Oder ist im Umkehrschluss die Angst vor der Einreise potenzieller Unruhestifter und Verdächtiger ins eigene Land so groß, dass im Zuge internationaler Abkommen derart große Zugeständnisse an Persönlichkeitsrechtsverletzungen unumgänglich sind und das Recht auf informationelle Selbstbestimmung vom Tisch gewischt wird?

Zum Wohl!

Die Begründung für die Einführung des E-Personalausweises ist dann auch subtiler und überzeugend aufgebaut. Nicht nur das reine Sicherheitsinteresse des Staates gilt als Grund, auch der Vorteil für Bürger und Wirtschaft (und damit wieder für den Bürger) wird herausgestellt. Ein ganz entscheidender Vorteil sei nämlich, dass der neue Ausweis auch die eindeutige Identifizierung im Wirtschaftsleben erlaubt.

Seine Funktion setzt auf drei Säulen: Zum einen die Identitätsfeststellung durch Behörden wie die Polizei, zum anderen eine eindeutige ID und drittens ein freier Speicherbereich, der etwa für die qualifizierte elektronische Signatur gedacht ist. Also drei Fliegen mit einer Klappe: Der Staat kann den Inhaber leichter und zuverlässiger identifizieren. Der Benutzer nutzt die ID für seine Geschäfte und der – bislang nur schleppend akzeptierte – Einsatz der signierten Textform, dem elektronischen Pendant zur Schriftform, erfährt eine Förderung. Das digitale Foto ist verpflichtend enthalten, die qualifizierte elektronische Signatur, zwei Fingerabdrücke und die ID auf Wunsch. Dabei sind Fingerabdrücke und ID bereits in den Gebühren eingerechnet, sind also stets mitbezahlt – ein geschickter Zug, um die Nutzung zu bewerben.

Universelle Kundenkarte

Aus datenschutzrechtlicher Sicht besonders zu beachten ist die Säule der integrierten ID. Diese soll auch die Wirtschaft nutzen – der RFID-Chip für den Käufer sozusagen. Die großen Kundenkarten-Konsortien und Dienstleister dürften dem neuen Personalausweis mit gemischten Gefühlen gegenübertreten, schließlich kommt mit ihm die universelle Kundenkarte für jedermann verpflichtend. Das bedeutet zum einen, dass die Warenhäuser und Ketten, die bisher auf die Kundenkartensysteme zurückgegriffen haben, zumindest auf die “Hardware”-Komponente verzichten können. Die Kassenkraft bittet den Käufer um seinen Personalausweis, gegebenenfalls kurz motiviert durch den Hinweis auf die Möglichkeit, ein paar Prozent Rabatt zu erhalten, und schon ist der Ausweis gescannt.

Zum anderen liegt aber der Wert der Kundenkartensysteme nicht in den bunten Plastikkarten und der damit verbundenen teuren Logistik, sondern in der Software und der dahinter stehenden IT-Infrastruktur, die die gesammelten Informationen speichert und verknüpft. Die Datensammler haben also mit dem neuen Personalausweis ein erhebliches Einsparpotenzial in der Hand, das sie nur noch geschickt umsetzen müssen. Der Vorteil besteht darin, dass die Bundesrepublik kostenfrei die Hardware stellt, der Nachteil, dass die Marke wegfällt, weil es (noch) keine Werbeflächen auf amtlichen Dokumenten gibt und damit der Konkurrenzkampf der Kundenkartensystemdienstleister wachsen könnte. Statt des Hinweises, Mitglied im unternehmens- und kettenübergreifenden Cashback-, Repay- oder Value-add-System zu sein, reicht damit eventuell ein PA-Symbol neben dem bekannten EC-Symbol an Kassen und Ladentür.

Die Datensammler verkaufen uns die Durchleuchtung mit schlagkräftigen Argumenten: Es gehe nicht darum, individuell-persönliche Profile aufzubauen, sondern nur darum, Angebote zielgruppengerecht dem Markt anzupassen – ganz im Interesse des Konsumenten. Und wenn doch das persönliche Profil gefordert ist, dann nur, um dem Kunden individuell auf ihn maßgeschneiderte Angebote vorlegen zu können.

Gerade hier helfen persönliche Daten wie Alter oder Anschrift, die Rückschlüsse auf wirtschaftliche Leistungsfähigkeit, Bedarf und Konsumverhalten zulassen. Gebündelt zeigen diese Informationen das detaillierte Käuferprofil: Der Kunde mit dieser ID hat im letzten Jahr hochwertige Konsumgüter im genau bestimmbaren Wert erworben, hat regelmäßig Treibstoff in bestimmter Menge getankt und sich Markenartikel nicht nur in den ersten Tagen des Monats an seine Zweitwohnung in teurer Lage liefern lassen. Er gehört also – auch schon vom Alter her – in die Gruppe der Besserverdiener und Vielfahrer, lenkt vermutlich einen Wagen dieser oder jener Preisklasse und könnte sich für unser Produkt X interessieren. Raus mit unserer Werbebroschüre an ihn! Alles noch leichter mit dem neuen amtlichen Personalsweis. Schwarzmalerei? Vielleicht.

Abbildung 1: Der E-Ausweis hat das Zeug zur staatlich subventionierten Kundenkarte für den Einkauf. Die Kundenkarten-Konsortien dürften das mit skeptischem Blick betrachten.

Datenschutz?

Das Privacy-Konzept des Innenministeriums sieht vor, dass nicht jedermann die Daten nutzen darf, die auf dem E-Personalausweis gespeichert sind. Diensteanbieter oder Verkäufer, die Daten online abfragen möchten, müssen über ein amtliches Berechtigungszertifikat verfügen und einen Grund für die Nutzung darlegen. Biometrischen Daten, also digitales Foto und die Fingerabdrücke, sind ausschließlich staatlichen Stellen für Zwecke der Identifizierung, etwa durch Polizei und Grenzbehörden, vorbehalten.

Den Schutz dieser biometrischen Daten besorgen nicht weiter preisgegebene “technische Maßnahmen”. Daraus folgt im Umkehrschluss, dass die ID, also Name, Anschrift oder Geburtsdatum, nicht mit diesen technischen Maßnahmen geschützt ist und immer dann auslesbar wäre, wenn man den Personalausweis aus der Hand gibt.

Abbildung 2: Die Verwendung des gespeicherten Fingerabdrucks und des Fotos bleiben staatlichen Stellen zu Zwecken der Identifizierung vorbehalten. Soweit zumindest die Theorie.

Datenhandel

Gerade als Kundenkarte missbraucht, geht jeglicher Datenschutz flöten: Die Aha-Erlebnisse, die die Meldungen der letzten Wochen über illegalen Datenhandel oder auch nur einzelnen Behörden abhanden gekommene Bürgerdaten beschert haben, zeigen, dass effektiver Datenschutz ein Trugbild ist.

Zum einen liegt das an konzeptbedingten Problemen des Datenschutzrechts selbst, das mehr auf einzelne personenbezogene Daten fokussiert, als sich um den jeweiligen Bezug und die Ziele der Datenspeicherungs- und Bearbeitungsvorgänge zu kümmern. Zum anderen liegt es an fehlender Kontrolle: Die Datenschutzbeauftragten in Unternehmen sind keine unabhängigen Kontrollinstanzen und selbst der Datenschutzbeauftragte des Bundes [2] erfüllt mehr die Rolle eines Beraters und Anmahners als die eines bestimmenden Kontrolleurs.

Die Verarbeitung personenbezogener Daten in und durch Unternehmen ist unkontrollierbar. Dazu kommt, dass elektronische Daten jederzeit an beliebige Orte transferierbar sind – auch in Länder, in denen man nicht weiß, wie Datenschutz buchstabiert wird. Im Rahmen der Globalisierung ist schnell auch ein Abrechnungsdienstleister im Ausland beauftragt. Löscht der Auftraggeber die Daten der eigenen Kunden dann pflichtgemäß nach erfolgter Abrechnung, hat er seine gesetzliche Pflicht erfüllt und ist fein raus, aber der Abrechnungsdienstleister sitzt immer noch – und für die deutsche Justiz völlig unerreichbar – auf den Daten. Eventuell handelt es sich dabei sogar um ein Tochterunternehmen.

Zwickmühle für Open Source

Die technischen Anforderungen definiert das Innenministerium knapp: Neben PC mit Internetzugang und zertifiziertem Kartenlesegerät ist die passende Software für die Kommunikation zwischen Rechner und Kartenleser nötig. Welche das ist, entscheidet das Bundesamt für Sicherheit in der Informationstechnik (BSI). Natürlich gelangt freie Software stets dann ins Hintertreffen, wenn für Zertifizierungen Investitionen zu leisten sind, das ist schon konzeptbedingt. Bislang spielen Linux & Co. im Bereich der qualifizierten elektronischen Signatur und insbesondere in Zusammenarbeit mit Kartenlesegeräten keine öffentlich wahrnehmbare Rolle.

Ob das auch in Zukunft so bleibt und das Prinzip quelloffener Software wirklich den Einsatz in offiziellen, amtlichen Sicherungsverfahren lähmt oder ausschließt, wird sich zeigen. Schließlich genießt das BSI auch in der Community den Ruf einer kompetenten, fairen Institution. Und das Amt verfolgt nicht die Interessen großer Wirtschaftsunternehmen, die freie Software bislang in erster Linie als Konkurrenz ansehen. Die Sicherheitsargumente des BSI und der Kostenfaktor, den staatliche Behörden wie auch private Unternehmen gleichermaßen berücksichtigen müssen, dürfte ebenfalls eine Rolle spielen.

Inzwischen gibt es eine ganze Reihe entsprechender Anwendungsgebiete unter Linux und Erfolge freier Softwareprojekte in Bereichen, die von Homebanking [3] bis zur Verwaltung der digitalen Gesundheitskarte [4] reichen, – dank entsprechender Treiber von rührigen Entwicklern, etwa Libchipcard [5]. Jetzt ist es für die Community vielleicht an der Zeit, auf den Zug aufzuspringen. Es sei denn, sie will dem ganzen Biometrie- und Sicherheitswirbel nicht auch noch ungewollt Vorschub leisten. (uba)