Biometrischer Reisepass und Datenschutz

Dieses Buch steht im Regal EDV.


Zusammenfassung des Projekts

Bearbeiten

80% fertig „Biometrischer Reisepass und Datenschutz“ ist nach Einschätzung seiner Autoren zu 80 % fertig

  • Zielgruppe:
  • Lernziele:
  • Buchpatenschaft/Ansprechperson: Zur Zeit niemand. Buch darf übernommen werden.
  • Sind Co-Autoren gegenwärtig erwünscht? Ja, sehr gerne.
  • Richtlinien für Co-Autoren:
  • Projektumfang und Abgrenzung zu anderen Wikibooks:
  • Themenbeschreibung:
  • Aufbau des Buches:


Einleitung

Bearbeiten

Der elektronische Reisepass mit biometrischen Merkmalen (ePass) ist ein in den Medien zurzeit sehr beachtetes Thema.

Beim ePass handelt es sich um ein Ausweisdokument mit elektronischem Chip, dessen Erscheinungsbild dem des bisherigen Reisepasses entspricht. Der Unterschied besteht darin, dass der ePass einen integrierten RFID-Chip enthält und durch ein äußeres Symbol als elektronischer Pass gekennzeichnet ist.

Der Chip speichert dieselben Informationen, die auch auf der personalisierten Datenseite sichtbar sind:

  • Name,
  • Geburtsdatum,
  • Geschlecht,
  • Geburtsort,
  • Ausstellungs- und Ablaufdatum des Passes sowie
  • Passnummer

Die Verwendung von biometrischen Merkmalen im ePass verläuft in einem zweistufigen Verfahren. Im ersten Schritt wird zusätzlich zu den bestehenden Daten zur Identifizierung des Passinhabers ein digitales Passphoto gespeichert.[1] Im zweiten Schritt (Entscheidung des Bundestags am 24.5.2007, Entscheidung des Bundesrates am 8.6.2007[2]) werden ab November 2007 zusätzlich zwei Fingerabdrücke in den biometrischen Reisepass aufgenommen.

Die technischen Standards zur Realisierung eines elektronischen Reisepasses sind weltweit einheitlich. Neben den EU-Staaten werden auch Japan, die USA, Australien, Russland, Kanada, die Schweiz und andere Staaten elektronische Pässe einführen.[3]

Ob die biometrische Technik Vorteile besitzt, ist heftig umstritten. Dass biometrische Daten, also persönliche Daten, gespeichert werden, wirft ganz neue Risiken für den Datenschutz auf.

In diesem WIKI-Book werden der historische Hintergrund und die Technologie des neuen ePasses vorgestellt, ihre Vorteile aber auch die damit verbundenen Risiken.

Geschichte des elektronischen Passes

Bearbeiten

Die Anschläge vom 11. September 2001 haben viele politische und wirtschaftliche Folgen. So wurde u.a. die Einführung biometrischer Reisedokumente, die als ein Schlüssel zur wirksameren Bekämpfung von organisiertem Verbrechen und illegaler Einwanderung angesehen werden, stark beschleunigt.

Den ersten Schritt machte die UN mit der Resolution 1373 am 28. September 2001, in der u.a. beschlossen wurde, dass "alle Staaten [...] die Bewegung von Terroristen oder terroristischen Gruppen verhindern werden, indem sie wirksame Grenzkontrollen durchführen und die Ausgabe von Identitätsdokumenten und Reiseausweisen kontrollieren und Maßnahmen zur Verhütung der Nachahmung, Fälschung oder des betrügerischen Gebrauchs von Identitätsdokumenten und Reiseausweisen ergreifen".

Anfang 2002 zwei erfolgte in Deutschland eine entsprechende Anpassung des Passgesetzes, das ab dann die Einführung biometrischer Merkmale erlaubte[4].

Ebenfalls im Jahr 2002 erließ die USA im Rahmen des ihrem US-VISIT-Programms den Enhanced Border Security Act und verpflichtete die 27 Nationen, die an ihrem Visa-Waiver-Programm (VWP) teilnehmen, bis 26. Oktober 2004 Reisepässe einzuführen, die die Speicherung von biometrischen Daten nach ICAO-Standards ermöglichen, wenn sie im Visa-Waiver-Programm bleiben möchten. Im Laufe der weiteren Entwicklung verschoben die USA den Pflichttermin auf den 26. Oktober 2006.

Die Internationale Zivilluftfahrtbehörde ICAO (International Civil Aviation Organization) erhielt den Auftrag zu diesem Zweck Richtlinien (ICAO Dokument 9303) zu entwickeln. Diese Richtlinien fordern den Einsatz eines RFID-Chips in den Reisepass. Der RFID-Chip soll die Speicherung und die kabellose Übertragung von Daten ermöglichen. Die Richtlinie stellt bis dato einen de facto Standard dar. In Zukunft wird erwartet, dass sich diese Form der Identifikation weltweit durchsetzt.

Im Oktober 2004 begannen die USA, von allen visumspflichtigen Einreisenden Fingerabdrücke und Fotos zu erfassen. Einreisende müssen den linken und den rechten Zeigefinger von einem Fingerabdruckscanner erfassen und das Gesicht fotografieren lassen. Das System gleicht die Daten dann mit einer Liste gesuchter Personen ab. Dieses Verfahren soll nicht nur der Terrorismusbekämpfung dienen, sondern es auch ermöglichen, die Einhaltung der erteilten Aufenthaltsgenehmigungen besser zu überwachen.

Um ohne Visum durch einfaches Ausfüllen eines Formulars in die USA einreisen zu können, müssen Reisende ab diesem Zeitpunkt einen maschinenlesbaren Pass mit biometrischen Merkmalen vorlegen.[5]

ePass in der EU

Bearbeiten

Diese Forderungen der USA setzten die Europäische Union unter Druck: War der Zeitrahmen für die Einführung des neuen einheitlichen EU-Visums mit biometrischen Merkmalen europaweit auf mehrere Jahre angelegt, so verlautet aus EU-Diplomatenkreisen, dass man sich beim EU-Gipfel im griechischen Porto Carras am 20. Juni 2003 darauf geeinigt hat, biometrische Daten so schnell wie möglich in Reisedokumente aufzunehmen und nicht nur in Visa für Drittstaatsangehörige, sondern zugleich auch in Reisepässe für EU-Bürger.[6]

Diese Befugnis hat zwischenzeitlich die Europäische Union an sich gezogen und mit der am 18. Januar 2005 in Kraft getretenen „Verordnung (EG) Nr. 2252/2004 des Rates vom 13. Dezember 2004 über Normen für Sicherheitsmerkmale und biometrische Daten in von den Mitgliedstaaten ausgestellten Pässen und Reisedokumenten“ (ABl. EU Nr. L 385 S. 1) die Aufnahme biometrischer Merkmale in die Reisepässe der Unionsbürger verbindlich geregelt.

(1) Der Europäische Rat hat auf seiner Tagung vom 19. und 20. Juni 2003 in Thessaloniki bekräftigt, dass in der Europäischen Union ein kohärenter Ansatz in Bezug auf biometrische Identifikatoren oder biometrische Daten für Dokumente für Drittstaatsangehörige, Pässe für Bürger der Europäischen Union und Informationssysteme (VIS und SIS II) verfolgt werden muss.[7]


Diese Verordnung ist in allen ihren Teilen verbindlich und gilt gemäß Artikel 249 des Vertrages zur Gründung der Europäischen Gemeinschaft unmittelbar in allen Mitgliedstaaten.

3) Diese Verordnung findet auf von den Mitgliedstaaten ausgestellte Pässe und Reisedokumente Anwendung. Sie findet keine Anwendung auf Personalausweise, die Mitgliedstaaten eigenen Staatsangehörigen ausstellen, oder auf vorläufige Pässe und Reisedokumente mit einer Gültigkeitsdauer von zwölf Monaten oder weniger.[7]


Art. 1 Abs. 2 Satz 1 EG-PassVO sieht vor, dass die Pässe und Reisedokumente mit einem Speichermedium zu versehen sind, das ein Gesichtsbild enthält. Die Mitgliedstaaten haben auch Fingerabdrücke in interoperablen Formaten hinzuzufügen.

Schließlich ist in Art. 1 Abs. 2 Satz 3 EG-PassVO vorgesehen, dass die Daten zu sichern sind und das Speichermedium eine ausreichende Kapazität aufweisen und geeignet sein muss, die Integrität, die Authentizität und die Vertraulichkeit der Daten sicherzustellen. Diese Verordnung ist in allen ihren Teilen verbindlich und gilt gemäß Artikel 249 des Vertrages zur Gründung der Europäischen Gemeinschaft unmittelbar in allen Mitgliedstaaten.

Artikel 1,(2) Die Pässe und Reisedokumente sind mit einem Speichermedium versehen, das ein Gesichtsbild enthält. Die Mitgliedstaaten fügen auch Fingerabdrücke in interoperablen Formaten hinzu. Die Daten sind zu sichern, und das Speichermedium muss eine ausreichende Kapazität aufweisen und geeignet sein, die Integrität, die Authentizität und die Vertraulichkeit der Daten sicherzustellen.[7]


Am 28. Juni 2005 folgte eine Entscheidung der Kommission der europäischen Gemeinschaften: „Entscheidung über die technischen Spezifikationen zu Normen für Sicherheitsmerkmale und biometrische Daten in von den Mitgliedstaaten ausgestellten Pässen und Reisedokumenten“.

Die Kommission hat in ihrer Entscheidung u. a. verbindliche Vorgaben zu den technischen Anforderungen an die im Pass gespeicherten biometrischen Merkmale (insbesondere die Fingerabdrucksdaten) sowie zu den Vorkehrungen zum Schutz dieser Daten vor Verfälschung und unbefugtem Zugriff gemacht, die ihrerseits größtenteils auf technische Standards und Normen u. a. der Internationalen Zivilluftfahrtorganisation (ICAO) der Vereinten Nationen verweisen.

Das Dokument stützt sich auf internationale Normen und Standards, in erster Linie ISO-Normen und die Empfehlungen der ICAO für maschinenlesbare Reisedokumente, und behandelt folgende Aspekte:

  • Spezifikationen für biometrische Identifikatoren: Gesicht und Fingerabdrücke
  • Datenträger (Chip)
  • Logische Datenstruktur auf dem Chip
  • Spezifikationen für die Sicherheit von digital gespeicherten Daten auf dem Chip
  • Beurteilung der Konformität des Chips und der Anwendungen
  • RF-Kompatibilität mit anderen elektronischen Reisedokumenten


Außerdem setzt sie eine Frist für die Einführung von Fingerabdrücken in Pässe. Mit ihrer Entscheidung hat die Kommission den Zeitrahmen für die Umsetzung der Anforderungen betreffend Fingerabdrücke festgelegt. In neuen Pässen müssen innerhalb von 36 Monaten nach dem 28. Juni 2006, d.h. spätestens am 28. Juni 2009, Fingerabdrücke gespeichert werden.[8]

ePass in Deutschland

Bearbeiten

In Deutschland wurde bereits mit Artikel 7 des Terrorismusbekämpfungsgesetzes vom 9. Januar 2002 eine Änderung des § 4 Abs. 3 PassG durchgeführt, wonach in den Pass neben dem Lichtbild und der Unterschrift weitere biometrische Merkmale von Fingern oder Händen oder Gesicht des Passinhabers auch in mit Sicherheitsverfahren verschlüsselter Form in den Pass eingebracht werden dürfen.

Mit dem Terrorismusbekämpfungsgesetz wird das Ziel verfolgt, die Inhaber staatlicher Ausweispapiere unter Verwendung biometrischer Verfahren eindeutig und automatisiert zu erfassen. Das in diesem Zusammenhang maßgebliche Gesetz ist das Passgesetz (PassG).
Das PassG enthält Vorschriften hinsichtlich:

  • Passmuster
  • Datenschutzrechtliche Bestimmungen
  • Automatischer Abruf aus Dateien und automatische Speicherung im öffentlichen Bereich
  • Verwendung im nichtöffentlichen Bereich
  • Passregister
 
Deutscher biometrischer Reisepass


Der ePass enthält gemäß § 4 Abs. 1 PassG folgende Merkmale (Passmuster):

  • Seriennummer,
  • Lichtbild des Passinhabers,
  • Unterschrift des Passinhabers,
  • Familienname und ggf. Geburtsname,
  • Vorname(n),
  • Doktorgrad,
  • Ordensname/ Künstlername,
  • Tag und Ort der Geburt,
  • Geschlecht,
  • Größe,
  • Farbe der Augen,
  • Wohnort und
  • Staatsangehörigkeit.


Neben diese Merkmalen enthält der ePass im Gegensatz zum herkömmlichen Pass noch zwei weitere Merkmale auf dem RFID-Chip:

  • ein digitales Passfoto und
  • zwei Fingerabdruckbilder


Das Passregister dient der Ausstellung von Pässen und der Feststellung ihrer Echtheit (§ 21 Abs. 3 PassG). Weiterhin dient es der Identitätsfeststellung der Person, die den Pass besitzt oder für die er ausgestellt ist.

Die im Passregister vorhandenen personenbezogenen Daten sind mindestens bis zur Ausstellung eines neuen Passes, höchstens jedoch bis zu fünf Jahren nach dem Ablauf der Gültigkeit des Passes, auf den sie sich beziehen, zu speichern und anschließend zu löschen (§ 21 Abs. 4 PassG).

Gemäß § 21 Abs. 1 PassG führen die Passbehörden ein Passregister. Dieses Passregister darf laut § 21 Abs. 2 PassG folgende Merkmale und Angaben enthalten:

  • Lichtbild des Passinhabers,
  • Unterschrift des Passinhabers,
  • Familienname und ggf. Geburtsname,
  • Vorname(n),
  • Doktorgrad,
  • Ordensname/ Künstlername,
  • Tag und Ort der Geburt,
  • Geschlecht,
  • Größe,
  • Farbe der Augen,
  • gegenwärtige Anschrift,
  • Staatsangehörigkeit,
  • Seriennummer,
  • Gültigkeitsdatum,
  • Familienname, Vorname(n), Tag der Geburt und Geschlecht der in den Pass eingetragenen Kinder,
  • Familienname, Vorname(n), Tag der Geburt und Unterschrift von gesetzlichen Vertretern
  • ausstellende Behörde,
  • Vermerke über Anordnungen gemäß §§ 7, 8 und 10 PassG,
  • Angaben zur Erklärungspflicht des Ausweisinhabers


Gemäß § 4 Abs. 2 PassG enthält der Reisepass eine Zone für das automatische Lesen. Diese enthält:

  • Die Abkürzung „P“ für Reisepass,
  • die Abkürzung „D“ für Bundesrepublik Deutschland,
  • den Familiennamen,
  • den oder die Vornamen,
  • die Seriennummer des Reisepasses, die sich aus der Behördenkennzahl der Passbehörde und einer fortlaufend zu vergebenden Passnummer zusammensetzt,
  • die Abkürzung „D“ für die Eigenschaft als Deutscher,
  • den Tag der Geburt,
  • die Abkürzung „F“ für Passinhaber weiblichen Geschlechts und „M“ für Passinhaber männlichen Geschlechts,
  • die Gültigkeitsdauer des Reisepasses,
  • die Prüfziffern und
  • Leerstellen.


§4 PassG (Passmuster) wurde am 3. Dezember 2001 geändert[9]. Nach Absatz 2 werden die folgenden Absätze 3 und 4 eingefügt:

(3) Der Pass darf neben dem Lichtbild und der Unterschrift weitere biometrische Merkmale von Fingern oder Händen oder Gesicht des Passinhabers enthalten. Das Lichtbild, die Unterschrift und die weiteren biometrischen Merkmale dürfen auch in mit Sicherheits- verfahren verschlüsselter Form in den Pass eingebracht werden. Auch die in Absatz 1 Satz 2 aufgeführten Angaben über die Person dürfen in mit Sicherheitsverfahren verschlüsselter Form in den Pass eingebracht werden.


(4) Die Arten der biometrischen Merkmale, ihre Einzelheiten und die Einbringung von Merkmalen und Angaben in verschlüsselter Form nach Absatz 3 sowie die Art ihrer Speicherung, ihrer sonstigen Verarbeitung und ihrer Nutzung werden durch Bundesgesetz geregelt. Eine bundesweite Datei wird nicht eingerichtet.


Im Juni 2005 hat das Bundeskabinett den Vorschlag von Bundesinnenminister Otto Schily zur Ausgabe biometriegestützter EU-Reisepässe ab 1. November 2005 gebilligt. Das Kabinett stimmte einem entsprechenden Entwurf einer Verordnung zur Änderung passrechtlicher Vorschriften zu.

Ziele des ePasses

Bearbeiten

Der ehemalige Bundesinnenminister Otto Schily hat in einer Pressekonferenz in Berlin am 1. Juni 2005 die folgenden Vorteile des neuen ePasses geschildert.[10]

Erhöhte Sicherheit der Reisedokumente

Bearbeiten

Deutsche Pässe sind schon heute sehr fälschungssicher. Das nutzt aber wenig, wenn bereits innerhalb der Europäischen Union ein großes Gefälle bei den Sicherheitsstandards herrscht. Es soll verhindert werden, dass gefälschte europäische Pässe zur Begehung von Straftaten benutzt werden. Deshalb wird mit dem ePass auf den hohen deutschen Standards aufgesetzt, ergänzt durch eine zusätzliche Fälschungshürde – die Biometrie. Damit soll ein neuer hoher, EU-weiter Standard definiert werden. Auf diese Weise wird zum einen eine höhere Fälschungssicherheit erreicht, zum anderen eine maschinelle Überprüfbarkeit anhand der Biometrie, ob ein Dokument zu der verwendenden Person gehört oder nicht.

Verbesserte Identifizierung von Reisenden

Bearbeiten

Bei Visumantragstellern muss schon zum Zeitpunkt der Antragstellung gründlich überprüft werden, ob Zweifel an der Identität bestehen. Zukünftig wird die biometrische Identifizierung von Visumantragstellern vor der Einreise der Regelfall sein. Bis Ende 2007 richtet die EU ein zentrales Visum-Informationssystem ein, in dem die Lichtbilder und Fingerabdrücke aller Antragsteller gespeichert werden. Mit Hilfe der Fingerabdrücke wird dann vor der Einreise festgestellt, ob ein Antragsteller zu einem früheren Zeitpunkt bereits ein Visum erhalten oder verweigert bekommen hat. Nach und nach werden an allen Grenzübergängen Geräte aufgestellt, mit deren Hilfe ein biometrischer Vergleich möglich wird – entweder zwischen dem Dokument und dem, der es benutzt, oder zwischen dem Reisenden und einer biometrischen Datenbank. Bei EU-Bürgern und visumfrei Reisenden wird das Dokument verwendet, bei Visuminhabern wird auf das Visuminformationssystem zugegriffen werden können. Die Nutzung gefälschter Schengen-Visa oder echter Schengen-Visa anderer Personen wird erheblich erschwert.

Nutzung biometrischer Hilfsmittel bei der Personenfahndung

Bearbeiten

Mit Hilfe erkennungsdienstlicher Behandlungen können die Polizeien des Bundes und der Länder bereits heute Fingerabdrücke und Lichtbilder Verdächtiger aufnehmen und mit den Beständen im Bundeskriminalamt vergleichen. Mit biometrischen Technologien wird die biometrische Unterstützung der Personenfahndung erheblich einfacher sein. Die anzustrebende technische Erweiterung der AFIS‑Datenbank um die Möglichkeit der Echtzeit-Suche in Teildatenbeständen sowie die vorgesehene Ausstattung der Grenzübergänge mit Fingerabdruckscannern wird eine Fahndungsabfrage mit Fingerabdruck möglich machen – zukünftig auch unter Einsatz mobiler Geräte. Zur Unterstützung grenzüberschreitender Fahndungen werden darüber hinaus in der nächsten Generation des europaweiten polizeilichen Informationssystems – SIS II – Fingerabdrücke und Lichtbilder gespeichert. Ziel ist es hier, in einer künftigen Entwicklungsstufe des SIS, Fahndungsabfragen im SIS auf der Grundlage solcher biometrischer Daten durchzuführen.

Erleichterter Reiseverkehr durch biometrieunterstützte Kontrolle

Bearbeiten

Die technische Unterstützung der Grenzkontrollen durch Biometrie kann genutzt werden, um die Kontrolle von vertrauenswürdigen Personen zu erleichtern – mit Zeitgewinn für den Reisenden und die Bundespolizei.

Sicherheitsmerkmale des ePasses

Bearbeiten

Radio-Frequenz IDentification

Bearbeiten

Der neue elektronische Reisepass ist mit einem Radio-Frequenc (RF)-Chip ausgestattet. Bei diesem RF-Chip handelt es sich um einen zertifizierten Sicherheitschip mit kryptographischem Koprozessor, auf dem neben den bisher üblichen Passdaten auch biometrische Merkmale gespeichert werden.

 
RF-Chip in einem britischen ePass

Im RF-Chip werden in der ersten Stufe des EU-Reisepasses im wesentlichen folgende personenbezogenen Daten gespeichert: der Name, der Geburtstag, das Geschlecht und das Gesichtsbild des Inhabers. Bereits jetzt sind alle diese Daten in maschinenlesbarer Form in der so genannten MRZ (Machine Readable Zone) auf der Datenseite des Reisepasses enthalten (mit Ausnahme des Gesichtsbilds, welches zwar auf der Datenseite abgedruckt, jedoch nur bedingt maschinenlesbar ist).

RFID (Radio-Frequenz IDentification) ist ein Verfahren zur automatischen Identifizierung von Objekten über Funk. Der Einsatz von RFID-Systemen eignet sich grundsätzlich überall dort, wo automatisch gekennzeichnet, erkannt, registriert, gelagert, überwacht oder transportiert werden muss.

Jedes RFID-System ist durch die folgenden Eigenschaften definiert:

  • Elektronische Identifikation - Das System ermöglicht eine eindeutige Kennzeichnung von Objekten durch elektronisch gespeicherten Daten.
  • Kontaktlose Datenübertragung - Die Daten können zur Identifikation des Objektes drahtlos über einen Funkfrequenzkanal ausgelesen werden.
  • Senden auf Abruf - Ein gekennzeichnetes Objekt sendet seine Daten nur dann, wenn ein dafür vorgesehenes Lesegerät diesen Vorgang abruft.


Ein RFID-System besteht technologisch betrachtet aus zwei Komponenten, einem Transponder und einem Lesegerät:

  • Der Transponder ist der eigentliche Datenträger. Er wird in ein Objekt integriert (z. B. eine Chip-Karte) und kann kontaktlos über Funktechnologie ausgelesen und wieder beschrieben werden. Grundsätzlich setzt sich der Transponder aus einer integrierten Schaltung und einem Radiofrequenzmodul zusammen. Auf dem Transponder sind eine Identifikationsnummer und weitere Daten über den Transponder selbst bzw. das Objekt, mit dem dieser verbunden ist, gespeichert.
  • Das Lesegerät besteht je nach eingesetzter Technologie aus einer Lese- bzw. einer Schreib-/Lese-Einheit sowie aus einer Antenne. Das Lesegerät liest Daten vom Transponder und weist ggf. den Transporder an, weitere Daten zu speichern. Weiterhin kontrolliert das Lesegerät die Qualität der Datenübermittlung. Die Lesegeräte sind typischerweise mit einer zusätzlichen Schnittstelle ausgestattet, um die empfangenen Daten an ein anderes System (z. B. PC, Automatensteuerung) weiterzuleiten und dort weiter zu verarbeiten.[11]


Zugriffschutz

Bearbeiten

Die Mechanismen des Zugriffschutzes stellen sicher, dass ein unautorisiertes Auslesen der Daten aus dem RF-Chip sowie ein Belauschen der Kommunikation unterbunden werden. Der Begriff "unautorisiert" muss hierbei genauer differenziert werden: Primär ist darunter der Zugriff auf die Daten eines Passbuches im zugeklappten Zustand zu verstehen, also z. B. während sich der Pass in einer Reisetasche befindet (Basic Access Control). Für das Auslesen der Fingerabdrucksdaten aus Reisepässen der zweiten Stufe wird diese Anforderung insofern erweitert, als dass lediglich durch berechtigte Lesegeräte ein Zugriff erfolgen kann (Extended Access Control).[12]

Basic Access Control

Bearbeiten

Dieser Zugriffsschutz soll für die im RF-Chip abgelegten Daten genau die Eigenschaften des bisherigen Reisepasses nachbilden:

 
Basic Access Control

Um auf die im RF-Chip gespeicherten Daten zugreifen zu können, muss das Lesegerät auch tatsächlich optischen Zugriff auf die Datenseite des Reisepasses haben. Technisch wird das dadurch umgesetzt, dass sich das Lesegerät gegenüber dem RF-Chip authentisieren muss. Für diese Authentisierung benötigt das Lesegerät einen geheimen Zugriffsschlüssel, der sich aus der maschinenlesbaren Zone des Reisepasses berechnet. Das Lesegerät muss also die maschinenlesbare Zone erst optisch lesen, daraus den Zugriffsschlüssel berechnen und kann sich dann erst gegenüber dem RF-Chip authentisieren. In die Berechnung des Zugriffsschlüssels gehen die durch Prüfziffern gegen Lesefehler gesicherten Felder der MRZ ein: die Passnummer, das Geburtsdatum des Inhabers und das Ablaufdatum des Reisepasses. Geht man vom derzeitigen Reisepass aus, ist die Passnummer eine neunstellige Zahl, das heißt, es gibt 109 Möglichkeiten. Für das Geburtsdatum gibt es näherungsweise 365 * 102 Möglichkeiten und für das Ablaufdatum gibt es – bei einer Gültigkeit des Reisepasses von zehn Jahren – 365 * 10 Möglichkeiten. Insgesamt ist die Stärke des Zugriffschlüssels daher mit etwa 56 Bit (3652 * 1012 ≈ 256) zu bewerten und entspricht somit der Stärke eines normalen DES-Schlüssels.[13]

Extended Access Control

Bearbeiten

In der zweiten Stufe des EU-Reisepasses ist geplant, zusätzlich Fingerabdrücke auf dem RF-Chip zu speichern. Derart sensitive Daten bedürfen eines besonders starken Schutzes und vor allem der Vorgabe einer engen Zweckbindung. Innerhalb der Arbeitsgruppe zur technischen Standardisierung des EU-Reisepasses findet daher zur Zeit die Spezifikation eines erweiterten Zugriffsschutzes statt. Dieser erweiterte Zugriffsschutz spezifiziert einen zusätzlichen Public-Key Authentisierungsmechanismus mit dem sich das Lesegerät als zum Lesen von Fingerabdrücken berechtigt ausweist. Dazu muss das Lesegerät mit einem eigenen Schlüsselpaar und einem vom RF-Chip verifizierbaren Zertifikat ausgestattet werden. In diesem Zertifikat sind dann die Rechte des Lesegerätes exakt festgelegt. Dabei bestimmt immer das Land, das den Reisepass herausgegeben hat, auf welche Daten ein Lesegerät zugreifen kann.[13]

Digitale Signatur

Bearbeiten

Die Integrität und die Authentizität der im RF-Chip gespeicherten Daten wird über eine digitale Signatur gesichert, so dass jede Form von manipulierten Daten zu erkennen ist. Somit kann überprüft werden, dass die signierten Daten von einer berechtigten Stelle erzeugt und seit der Erzeugung nicht mehr verändert wurden.

Zum Signieren und Überprüfen der digitalen Dokumente wird eine global interoperable Public Key Infrastruktur (PKI) benötigt. Jedes teilnehmende Land erzeugt dazu eine zweistufige PKI, die aus genau einer Country Signing CA (CA – Certification Authority) und mindestens einem Document Signer besteht:

  • Country Signing CA: Die Country Signing CA ist im Kontext der Reisepässe die oberste Zertifizierungsstelle eines Landes. International gibt es keine übergeordnete Zertifizierungsstelle, da nur so garantiert werden kann, dass jedes Land die volle Kontrolle über seine eigenen Schlüssel besitzt. Das von der Country Signing CA erzeugte Schlüsselpaar wird ausschließlich zur Zertifizierung von Document Signern verwendet. Die Verwendungsdauer des privaten Schlüssels der Country Signing CA wurde auf drei bis fünf Jahre festgelegt. Entsprechend der Gültigkeitsdauer der Reisepässe von derzeit zehn Jahren muss der zugehörige öffentliche Schlüssel zwischen 13 und 15 Jahren gültig sein.
  • Document Signer: Document Signer sind zum Signieren der digitalen Dokumente berechtigte Stellen, zum Beispiel die Druckereien, die auch die physikalischen Dokumente produzieren. Jeder Document Signer besitzt mindestens ein von ihm erzeugtes Schlüsselpaar. Der private Schlüssel wird ausschließlich zum Signieren der digitalen Dokumente verwendet, der öffentliche Schlüssel muss von der nationalen Country Signing CA zertifiziert werden. Die Verwendungsdauer des privaten Schlüssels des Document Signers beträgt maximal drei Monate, so dass im Falle einer Kompromittierung des Schlüssels möglichst wenig Pässe von den Auswirkungen betroffen sind. Entsprechend muss der zugehörige öffentliche Schlüssel zehn Jahre und 3 Monate gültig sein.[13]


Biometrische Merkmale im ePass

Bearbeiten

Der neue ePass soll zwei biometrische Merkmale enthalten, anhand derer der Eigentümer identifiziert werden kann. Das ist zum einen ein Bild des Gesichts und zum anderen zwei Fingerabdruckbilder.

Was ist Biometrie?

Etymologisch ist die Biometrie die Technik der Erkennung einer Person anhand persönlicher Charakteristika: Biometrie, die, Wissenschaft von der Zählung und (Körper-)messung an Lebewesen (griechisch: bios=Leben, metron=Maß oder metrein=messen). Biometrische Erkennung erfolgt anhand messbarer, individueller Körpermerkmale.

Die Erkennung von Personen anhand von biometrischen Merkmalen ist ein Ansatz zur Authentifizierung von Personen. Biometrie bietet sich in Ergänzung oder als Ersatz herkömmlicher Methoden wie PIN/ Passwort und Karte oder anderer Token deshalb an, weil die körperlichen Merkmale im Gegensatz zu Wissens- und Besitzelementen unmittelbar personengebunden sind. Ziel einer biometrischen Erkennung ist stets, die Identität einer Person zu ermitteln (Identifikation) oder eine behauptete Identität zu bestätigen bzw. zu widerlegen (Verifikation).


Verfahren zur Erkennung der Iris wurde erst Mitte der 80er Jahre entwickelt. Eine Automatisierung der Gesichtserkennung, wie sie im neuen biometrischen Reisepass notwendig ist, sogar erst seit Mitte der 90 Jahre. Der erste Wettbewerb von Gesichtserkennungsverfahren wurde vom US-amerikanischen Verteidigungsministerium 1994 ausgeschrieben und veranstaltet. Darauf hin entstand die erste Kommerzialisierungswelle biometrischer Systeme, an die sich die Entwicklung des Marktwettbewerbs entsprechender Produkte anschloss.[14]

Überblick biometrische Merkmale

Bearbeiten

Biometrische Merkmale lassen sich in zwei Merkmalsgruppen einteilen:[15]

  • verhaltenstypische Merkmale und
  • physiologische Merkmale.


Bei den verhaltenstypischen Merkmalen jedoch spricht man von dynamischen Merkmalen, da diese sich in Abhängigkeit von der Umgebung oder der Verfassung der Person ändern. Verhaltenstypische Merkmale sind

  • die Erzeugung einer persönlichen Unterschrift,
  • die Bewegung der Lippen beim Sprechen,
  • der Klangcharakter der Stimme,
  • die Gangart und
  • das Tippverhalten an einer Tastatur.

Die physiologischen Merkmale sind sogenannte statische Merkmale, das bedeutet, dass diese eine nahezu unveränderliche Struktur vorweisen. Physiologische Merkmale sind

  • der Fingerabdruck,
  • die Handgeometrie, das heißt beispielsweise Form und Maße der Finger und des Handballens,
  • das Gesicht und die Anordnung der Attribute wie z.B. Nase, Mund,
  • die Iris, deren Gewebemuster gemessen werden kann,
  • die Aderhaut mit ihrem Blutgefäßmuster sowie
  • der Geruch,
  • die menschliche DNS und das Blut.

Anwendung im ePass

Bearbeiten

Auf den neuen biometrische Reisepass (ePass) bezogen können keine verhaltenstypischen Merkmale zur Erkennung einer Person herangezogen werden. Der Grund ist, dass diese, wie zuvor beschrieben von der Verfassung der Person und der Umgebung abhängig sind. Außerdem können einige Merkmale, wie zum Beispiel eine Unterschrift, durch Übung, sehr gut nachgeahmt werden.

Bei den physiologischen Merkmalen können keine Merkmale genutzt werden, die einen körperlichen Eingriff erfordern. Das heißt, dass die menschliche DNS und das Blut nicht zur biometrischen Erkennung herangezogen werden können.

Daraus resultierend bleiben die folgenden Merkmale als mögliche Merkmale übrig[16]:

  • Der Fingerabdruck,
  • die Geometrie der Hand,
  • das Gesicht,
  • die Iris und
  • die Blutgefäßmuster.


Aus diesen Möglichkeiten hat sich die Europäische Union dazu entschieden, folgende Merkmale in den neuen biometrischen Reisepass aufzunehmen:[17]

  • seit November 2005 ein Bild des Gesichts und
  • ab November 2007 auch zwei Fingerabdruckbilder.


Das Gesichtbild wurde aufgrund der Empfehlung der UN-Zivilluftfahrt-Organisation (International Civil Aviation Organization, ICAO) ausgewählt.
„Für Fingerabdrücke als zweites Merkmal sprach die hohe Praxistauglichkeit der hierzu entwickelten Abnahme- und Erkennungssysteme. Die Festlegung der EU auf zwei biometrische Merkmale war erforderlich, um Flexibilität bei der Kontrolle zu ermöglichen. An Stellen, an denen die Gesichtserkennung nicht praktikabel ist (z. B. bei schlechten Beleuchtungsverhältnissen oder bei Massenandrang), soll eine Verifikation durch Fingerabdrücke möglich sein.“[18]

Durchführung einer biometrischen Erkennung

Bearbeiten

Erstmalige Erfassung

Bearbeiten
 
Fingerabdruckscanner

Zunächst müssen die benötigten biometrischen Merkmale erstmalig erfasst werden und dienen bei der späteren Erfassung zur Wiedererkennung. Die Erfassung geschieht mit Hilfe von Sensoren wie einer Kamera für das Erfassen des Gesichts und einem so genannter Fingerabdruckscanner für die Erfassung des Fingerabdrucks. Diese Erfassung geschieht beim ePass in den Meldebehörden. Die so erfassten Daten werden als Rohdaten bezeichnet und können durch eine Person wahrgenommen werden und als Vergleich herangezogen werden.

Damit auch computergestützte Systeme diese Daten nutzen können, werden die Rohdaten durch mathematische und statistische Merkmale so abstrahiert, dass die wesentlichen Merkmale als so genannte Referenzmuster oder Templates bezeichnet werden. So wird zum Beispiel ein erfasster Fingerabdruck so aufbereitet, dass man trotz Schmutzpartikeln die Rillen auf den Fingerkuppen gut erkennen und damit auch gut vergleichen kann. Eine Alternative zu den sogenannten Templates stellen templatefreie Verfahren dar. Dieses Verfahrne wird auch „anonymes Verfahren“ genannt, da hierbei keine Templates aus Rohdaten erstellt, sondern kryptografische Schlüssel errechnet werden. Jedoch steckt diese Entwicklung noch in den Anfängen.[19]


Vergleich von biometrischen Merkmalen

Bearbeiten

Der Vergleich biometrischer Merkmale basiert auf dem Vergleich aktueller biometrischer Daten und Referenzdaten, die zum Beispiel auf dem RFID-Chip des ePass gespeichert werden.

Durchführen eines Matchings

Beim sogenannten Matching wird ein Vergleich zwischen dem gespeicherten Template auf dem ePass und der bei der erneuten Präsentation des Merkmals gegenüber dem biometrischen System erstellt wird, vorgenommen. Bei Übereinstimmung meldet das Gerät, dass das Matching durchführt, die Wiedererkennung der Person, die ihr biometrisches Merkmal präsentiert hat.

Veränderung eines biometrischen Merkmals

Bei Veränderung eines biometrischen Merkmals, wie zum Beispiel, der Änderung des Fingerabdrucks durch Verletzung eines Fingers, sind die biometrischen Systeme in der Lage die Referenzdaten in der Datenbank anzupassen. Wichtig ist des Weiteren, das biometrische Merkmale vor dem Zugriff Unbefugter gesichert werden müssen, da diese wenn sie allgemein bekannt sind, nicht mehr zur Authentifizierung einer bestimmten Person genutzt werden können. Dies müssen entsprechende Systeme sicherstellen.

Automatisierter Vergleich von biometrischen Merkmalen

Da die Erfassung und der Vergleich von biometrischen Merkmalen täglich in großer Menge erfolgt, können hierfür nur computergestützte Systeme eingesetzt werden, da mit Hilfe dieser die Bewältigung in einer akzeptablen Zeit zu bewältigen ist. Exemplarisch soll an dieser Stelle an die Passabfertigung an einem Großflughafen gedacht werden. Bei der Kontrolle eines biometrischen Merkmals mit einer Referenzdatenbank bietet der Computer mehrere Vorteile:

  • immer wiederkehrende monotone Arbeiten werden von computergestützte Systeme in der immer gleichbleibenden Qualität ausgeführt,
  • die Geschwindigkeit, mit der die Arbeit durch ein computergestütztes System ausgeführt wird, ist um ein vielfaches schneller als bei der Ausführung durch eine Person,
  • das computergestützt System ist, im Vergleich zu einer Person, in der Lage, kleinste Unterschiede der biometrischen Merkmale zu erfassen und
  • computergestützte Systeme bieten, in Verbindung mit Datenbank, die Möglichkeit, die biometrischen Merkmale vor dem Zugriff von Dritten zu schützen.

Veränderung eines biometrischen Merkmals Bei Veränderung eines biometrischen Merkmals, wie zum Beispiel, der Änderung des Fingerabdrucks durch Verletzung eines Fingers, sind die biometrischen Systeme in der Lage die Referenzdaten in der Datenbank anzupassen. Wichtig ist des Weiteren, das biometrische Merkmale vor dem Zugriff Unbefugter gesichert werden müssen, da diese wenn sie allgemein bekannt sind, nicht mehr zur Authentifizierung einer bestimmten Person genutzt werden können. Dies müssen entsprechende Systeme sicherstellen.


Toleranzbereich während des Abgleichs

Bearbeiten

Ein exakter Datenabgleich zwischen dem erstmalig erfassten Merkmal und einer zu einem späteren Zeitpunkt durchgeführten Erfassung kann nicht erreicht werden. Dies ist darin begründet, das sich zum einen die Merkmale im laufe der Zeit verändern können. Beispielsweise wird eine Iris mit und ohne Kontaktlinse nicht als identisch erkannt. Zum anderem werden die Merkmale nie auf die gleiche Art und Weise dargebracht. Der Blickwinkel des Gesichts ist bei jeder Messung immer ein wenig unterschiedlich, da eine Person kein starres Objekt ist.

Die tatsächliche Entscheidung, ob eine Übereinstimmung vorliegt oder nicht, beruht auf zuvor eingestellten Parametern, die einen Toleranzbereich bilden, in dem biometrische Daten vom System als „gleich“ erkannt werden. Die biometrischen Merkmale werden nicht auf Gleichheit, sondern nur auf „annähernde Ähnlichkeit“ geprüft.

Dies hat zur Folge, dass biometrische Systeme nur mit systemtypischer Wahrscheinlichkeit bestimmen können, ob es sich um die vorgegebene Person handelt.

Fallen die Vergleichswerte außerhalb des zutreffenden Toleranzbereichs, so tritt ein Fehler auf: entweder ein false reject oder ein false accept. Die Wahrscheinlichkeit, mit der dies geschieht, wird mit der False Rejection Rate (FRR) oder Falschrückweisungsrate bzw. der False Acceptance Rate (FAR) oder Falschakzeptanzrate bezeichnet.[20]

Vor- und Nachteile biometrischer Systeme

Bearbeiten

Biometrische Verfahren weisen sowohl Vor- als auch Nachteile auf, die im Folgenden erläutert werden.

Vorteile biometrischer Verfahren

Bearbeiten
  • Biometrische Merkmale sind personengebunden. Das bedeutet, dass eine Person anhand seiner Individualität erkannt wird. Sie sind mit dem Körper der Person verbunden und müssen nicht künstlich zugeordnet werden wie etwa ein Name.
    Daraus können ganz neue und einfachere Formen der resultieren Authentifizierung von Personen geschaffen werden. Hierbei sei gedacht an das „Bezahlen per Fingerabdruck“ oder „Zugangskontrolle mit Hilfe der Iris“.
  • „In einer zunehmend elektronisch kommunizierenden Welt wächst das Bedürfnis nach vertrauenswürdiger und automatisierter Personenidentifikation.“
    [14]Diesem Bedürfnis kann durch den neuen biometrischen Reisepass, also dem ePass, entgegen gekommen werden, da mit dessen Hilfe die Identifikation einer Person, mit Unterstützung der Informationstechnologie, automatisiert durchgeführt werden kann.


Nachteile biometrischer Verfahren

Bearbeiten
  • Für die Massennutzung biometrischer Systeme muss sichergestellt sein, dass die Fehlerrate solcher Systeme relativ gering ist, da ansonsten deren Praxistauglichkeit in Frage gestellt werden kann.
  • Sicherheitsaspekte im Bereich der Informationstechnologie, von denen man regelmäßig in der Presse hört, sind teilweise auch für den Bereich des ePass relevant. So ist beispielsweise kritisch zu hinterfragen, was passiert, wenn die auf dem Chip gespeicherten biometrischen Daten in die Hände Dritter gelangen. Im Gegensatz zu kryptografischen Schlüsseln kann man biometrische Daten nicht als ungültig erklären und beliebig neue verwenden.
    Leider zeigt sich immer wieder, dass biometrische Systeme ohne allzu großen Aufwand zu umgehen sind, wie zum Beispiel der „Chaos Computer Club“ (CCC) bereits bewiesen hat(CCC-Link)
  • Keine Informationstransparenz. Viele Personen sind nicht oder nur unzureichend aufgeklärt, was mit den biometrischen Daten geschieht, wenn die Kontrolle beendet ist. Konkret stellt sich diese Frage bei der Einreise in die USA.


ePass und Datenschutz

Bearbeiten

Datenschutzrechtliche Bestimmungen

Bearbeiten
Was ist Datenschutz?

Datenschutz bezeichnet ursprünglich den Schutz personenbezogener Daten vor Missbrauch. Der Begriff wurde gleichgesetzt mit Schutz der Daten, Schutz vor Daten oder auch Schutz vor „Verdatung“. Im englischen Sprachraum spricht man von „privacy“ (Schutz der Privatsphäre) und von „data privacy“ (Datenschutz im engeren Sinne). Im europäischen Rechtsraum wird in der Gesetzgebung auch der Begriff „data protection” verwendet.

Heute wird der Zweck des Datenschutzes darin gesehen, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Recht auf informationelle Selbstbestimmung beeinträchtigt wird. Datenschutz steht für die Idee, dass jeder Mensch grundsätzlich selbst entscheiden kann, wem wann welche seiner persönlichen Daten zugänglich sein sollen.[21]

Zu den Gruppen, die Zugriff auf biometrische Daten verlangen, gehören u. a. private Unternehmen (z. B. Flughafenbetreiber, Fluglinien) und Sicherheitsbehörden (z. B. zur Strafverfolgung). Die Nutzung biometrischer Daten zu diesen Zwecken wird rechtlich legitimiert. Nachfolgend werden die derzeit gültigen rechtlichen Rahmenbedingungen zur Haltung biometrischer Daten in staatlichen Ausweisen, deren Nutzung und datenschutzrechtlichen Anforderunge aufgeführt.

Gemäß § 4 Abs. 3 PassG darf der ePass neben dem Lichtbild und der Unterschrift des Passinhabers weitere biometrische Merkmale von Fingern oder Händen oder Gesicht enthalten. Diese dürfen auch in mit Sicherheitsverfahren verschlüsselter Form in den Pass eingebracht werden. Auch die in § 4 Abs. 1 Satz 2 PassG aufgeführten Angaben über die Person dürfen in mit Sicherheitsverfahren verschlüsselter Form in den Pass eingebracht werden.

Die drei alternativ festgelegten biometrischen Merkmale sollen eine zweifelsfreie Identifizierung der Passinhaber ermöglichen. Die Verbesserung der Ausweisdokumente durch Aufnahme biometrischer Merkmale gegenüber den bisherigen Ausweisen, wird darin gesehen, dass eine Identifizierung durch einen bloßen visuellen Abgleich von Merkmalen von der subjektiven Wahrnehmungsfähigkeit der Kontrollperson abhängt. Die Wahrnehmungsfähigkeit könnte durch weitere Faktoren (z. B. Lichtbildqualität, Differenz zwischen Bild und Wirklichkeit wegen Alter und Änderungen des Erscheinungsbildes durch Brille, Haarfrisur, Bart) beeinträchtigt werden.

Die Arten der biometrischen Merkmale, ihre Einzelheiten und die Einbringung von Merkmalen und Angaben in verschlüsselter Form nach § 4 Abs. 3 PassG sowie die Art ihrer Speicherung, ihrer sonstigen Verarbeitung und ihrer Nutzung werden durch Bundesgesetz geregelt. Eine bundesweite Datei wird nicht eingerichtet (§ 4 Abs. 5 PassG).

Bei diesen biometrischen Daten handelt es sich gemäß § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) um personenbezogene (personenbeziehbare) Daten, wodurch ihre Erhebung, Speicherung und Verarbeitung nur zulässig ist, wenn entweder eine gesetzliche Grundlage (in diesem Fall das PassG) oder eine freiwillige und informierte Einwilligung des Betroffenen vorliegt.[22]

Laut Information des Bundesbeauftragten für den Datenschutz besteht die Möglichkeit eines datenschutzgerechten Einsatzes der biometrischen Daten. Unter datenschutzrechtlichen Aspekten sollten bei der Verwendung von biometrischen Merkmalen im ePass folgende Punkte Berücksichtigung finden:

  • nur solche Verfahren zum Einsatz kommen, die eine Benachteiligung bestimmter Personengruppen weitgehend ausschließen;
  • nur die für den späteren Vergleich notwendigen Merkmale und keine Überschussinformationen aufgenommen und gespeichert werden;
  • wenn von der Anwendung nicht anders vorgegeben, nur Templates der Merkmale gespeichert werden;
  • eine strenge Zweckbindung der Daten sichergestellt ist; die Datensätze nur in einer gesicherten Umgebung (Netzwerk, Datenbank) verarbeitet werden;
  • nach Möglichkeit auf eine zentrale Speicherung der Daten verzichtet wird, z.B. durch Speicherung der Daten auf einer Chipkarte oder einem Ausweis;
  • nur kooperative biometrische Verfahren eingesetzt werden (die zu überprüfende Person muss aktiv in die Überprüfung einbezogen werden, keine verdeckte Erfassung);
  • eine umfassende Information über die gesamte Anwendung beim beteiligten Personenkreis erfolgt bzw. eine gesetzliche Regelung für den Einsatz vorliegt;
  • die Biometrie nicht dazu herangezogen wird, über Auswerteprogramme Bewegungs- und Verhaltensprofile zu erstellen;
  • Transparenz der Verfahren und der Sicherheitsmechanismen gegeben ist;
  • Schutz der biometrischen Daten vor unbefugter Kenntnisnahme (Einsatz von Verschlüsselung) und
  • eine sofortige Löschung der Daten vorgenommen wird, sobald ein Betroffener nicht mehr an der Anwendung teilnimmt.


Gemäß § 16 Abs. 1 PassG dürfen die Seriennummer und die Prüfziffern keine Daten über die Person des Passinhabers oder Hinweise auf solche Daten enthalten; jeder Pass erhält eine neue Seriennummer.

Die Beantragung, Ausstellung und Ausgabe von Pässen dürfen nicht zum Anlass genommen werden, die hierfür erforderlichen Angaben außer bei den zuständigen Passbehörden zu speichern. Entsprechendes gilt für die zur Ausstellung des Passes erforderlichen Antragsunterlagen sowie für personenbezogene fotografische Datenträger (§ 16 Abs. 2 PassG).

Laut § 16 Abs. 3 PassG darf eine zentrale, alle Seriennummern umfassende Speicherung nur bei der Bundesdruckerei GmbH und ausschließlich zum Nachweis des Verbleibs der Pässe erfolgen. Die Bundesdruckerei GmbH darf jedoch nicht die übrigen unter § 4 Abs. 1 PassG aufgeführten Angaben dauerhaft speichern. Diese dürfen nur vorübergehend und ausschließlich zur Herstellung des Passes durch die Bundesdruckerei GmbH gespeichert werden und müssen anschließend gelöscht werden.

Die Seriennummer dürfen gemäß § 16 Abs. 4 PassG nicht so verwendet werden, dass mit ihrer Hilfe ein Abruf personenbezogener Daten aus Dateien oder eine Verknüpfung von Dateien möglich ist. Jedoch dürfen die Passbehörden die Seriennummern für den Abruf personenbezogener Daten aus ihren Dateien nutzen. Weiterhin dürfen Polizeibehörden und –dienststellen des Bundes und der Länder die Seriennummern für den Abruf der in Dateien gespeicherten Seriennummern solcher Pässe nutzen, die für ungültig erklärt wurden, abhanden gekommen sind oder bei denen der Verdacht einer Benutzung durch Nichtberechtigte besteht.

Die im Pass enthaltenen verschlüsselten Merkmale und Angaben dürfen gemäß § 16 Abs. 4 PassG nur zur Überprüfung der Echtheit des Dokumentes und zur Identitätsprüfung des Passinhabers ausgelesen und verwendet werden. Auf Verlangen des Passinhabers hat die Passbehörde Auskunft über den Inhalt der verschlüsselten Merkmale und Angaben zu erteilen.

Verwendung im öffentlichen Bereich

Bearbeiten

Behörden und sonstige öffentliche Stellen dürfen gemäß § 17 Abs. 1 den Pass nicht zum automatischen Abruf personenbezogener Daten verwenden. Ausnahmen bilden hier die Polizeibehörden des Bundes und der Länder und die Zollbehörden (soweit sie Aufgaben der Grenzkontrolle wahrnehmen). Diese sind dazu berechtigt, den Pass im Rahmen ihrer Aufgaben und Befugnisse zum automatischen Abruf personenbezogener Daten verwenden. Diese Berechtigung ist zweckgebunden und darf zur Grenzkontrolle und Fahndung oder Aufenthaltsfeststellung aus Gründen der Strafverfolgung, Strafvollstreckung oder der Abwehr von Gefahren für die öffentliche Sicherheit erfolgen.

Weiterhin dürfen personenbezogene Daten, soweit gesetzlich nichts anderes bestimmt ist, beim automatischen Lesen des Passes nicht in Dateien gespeichert werden (§ 17 Abs. 2 PassG).

Verwendung im nichtöffentlichen Bereich

Bearbeiten

Im nichtöffentlichen Bereich dürfen die Seriennummer nicht so verwendet werden, dass mit ihrer Hilfe ein Abruf personenbezogener Daten aus Dateien oder eine Verknüpfung von Dateien möglich ist (§ 18 Abs. 2 PassG). Weiterhin darf der Pass weder zum automatischen Abruf personenbezogener Daten noch zur automatischen Speicherung personenbezogener Daten verwendet werden (§ 18 Abs. 3 PassG).

Datenschutzrechtliche Kritikpunkte

Bearbeiten
  • Der Bundesbeauftragte für den Datenschutz hält es für notwendig, dass die biometrischen Daten nur im Pass selbst und nicht in externen Dateien abgespeichert werden. Auf nationaler Ebene wird dieser Forderung durch eine entsprechende gesetzliche Regelung nachgekommen (§ 4 Abs. 5 PassG). Weiterhin weist der Bundesbeauftragte für den Datenschutz darauf hin, dass bisher internationale Regelungen zu dieser Problematik ausstehen, wodurch die Möglichkeit bestehen würde, dass ausländische Staaten die biometrischen Angaben von Reisenden nach dem Auslesen der Pässe speichern (z. B. in Dateien, Datenbanken).[23]


  • Ein weiterer Kritikpunkt aus Sicht des Datenschutzes besteht darin, dass sich aus dem Gesichtsbild Rückschlüsse auf die ethnische Herkunft und bestimmte Krankheiten und Lebensumstände ziehen lassen, die mit Hilfe des neuen biometrischen Passfotos automatisiert ausgewertet werden können.[23]


  • Hinsichtlich des unberechtigten Auslesens der biometrischen Daten, warnt der Bundesbeauftragte für den Datenschutz davor, dass das Auslesen der im Chip gespeicherten Daten möglich ist, wenn die maschinenlesbare Zone des Passes bekannt ist. Zur weiteren Sicherung soll daher die Kommunikation zwischen dem Lesesystem und dem Chip zusätzlich verschlüsselt werden.[23]


  • Hinsichtlich der Gefährdung von Grundrechten des Einzelnen ist beim ePass zu beachten, dass hier Biometrie nicht freiwillig, sondern unfreiwillig genutzt wird, da der Einsatz von Biometrie im ePass durch den Staat/ Gesetzgeber vorgegeben wird und somit auch jeder Bürger dazu verpflichtet ist, seine biometrischen Merkmale abzugeben und überprüfen zu lassen.[24]


  • Artikel 1 GG behandelt die geschützte Menschenwürde und beinhaltet, dass der Betroffene katalogisiert oder auf biometrische Daten reduziert wird. Mit diesem Recht soll verhindert werden, dass alle Lebensäußerungen einer Person mit technischen Mitteln überwacht werden. Die in Art. 1 GG geschützte Menschenwürde wird allerdings erst dann verletzt, wenn eine Kontrolltechnik sehr umfangreich und sehr intensiv für die Überwachung genutzt wird.[24]


  • Ein weiterer Punkt ist die Vereinbarkeit von Biometrie im ePass mit dem Recht auf informationelle Selbstbestimmung. Dieses Recht wurde vom Bundesverfassungsgericht aufgrund der Risiken der automatischen Datenverarbeitung entwickelt und soll die freie Entfaltung der Persönlichkeit und die Menschenwürde wahren. Das Recht auf informationelle Selbstbestimmung soll dem Einzelnen ermöglichen, selbst über die Verwendung seiner personenbezogenen Daten zu bestimmen. In dieses Grundrecht darf eine staatliche Anordnung nur in Form eines Gesetzes eingehen (in diesem Fall das PassG).[24]


  • Wie die Europäische Union selbst feststellte, kann die Verbindung zwischen Leser und RFID-Chip abgehört und mittels so genannter „Brute-Force-Attacken“ unter Nutzung bekannter kryptografischer Schwächen gehackt werden.[25]


Bedenken gegen den ePass

Bearbeiten

Die Einführung des ePasses bringt nicht nur Vorteile mit sich, sie wird auch kritisch unter technischen, gesellschaftlichen und politischen Aspekten betrachtet.

Technische Bedenken

Bearbeiten

Störung des Regelbetriebs

Bearbeiten

Störsender können die Kommunikation zwischen ePass und Lesegerät behindern, was das Auslesen der Daten behindern oder unterbinden könnte.[26]

Zerstörung des RFID-Chips

Bearbeiten

Der auf dem ePass befindliche Chip kann auf mechanische Weise zerstört werden, indem der ePass geknickt wird oder ein starker Druck auf ihn ausgeübt wird. Es bleibt abzuwarten, ob zum Beispiel das Stempeln des ePasses ein größeres Problem darstellt.
Durch nichtmechanische Weise kann der Chip ebenfalls zerstört werden. Dies kann beispielsweise durch elektrostatische Aufladung geschehen. Hierbei wird die Chip-Oberfläche durch eine elektrostatische Aufladung zerstört.[27] Allerdings ist für diese Art der Zerstörung der Aufwand sehr hoch.

Keine Möglichkeit des Widerrufs von biometrischen Informationen

Bearbeiten

„Biometrische Informationen in MRTDs können derzeit nicht widerrufen werden. Da physische Merkmale wie das Gesicht oder Fingerkuppen nicht einfach geändert werden können, können einmal gestohlene biometrische Merkmale lange Zeit missbraucht werden.“[25]

Umgehung des Systems

Bearbeiten

Mehrere Szenarien sind denkbar, um die Sicherheitsfeatures des ePasses zu umgehen:[26]

  • Gefälschte Pässe aus Ländern, die keinen ePass nutzen

Da es immer noch viele Länder gibt, die keinen ePass einsetzen, ist es bei Kontrolle deren Bürger nicht möglich, auf die biometrischen Pass-Features zurückzugreifen. In diesen Fällen kann ein gefälschter Pass nicht mit Hilfe der biometrischen Daten erkannt werden.

  • Einreise über schlecht bewachte Grenzen

Illegale Einwanderer werden weiterhin über schlecht bewachte Landesgrenzen kommen. Der ePass wird dies nicht verhindern können. Abhilfe schafft hier nur eine bessere Bewachung der Grenzen.

Gesellschaftliche Bedenken

Bearbeiten

Haltbarkeit der gespeicherten Daten

Bearbeiten

Ein herkömmlicher Reisepass und das darauf befindliche Passbild hat eine Gültigkeit von 10 Jahren. Ein ePass und die gespeicherten biometrischen Daten müssen ebenfalls diese Haltbarkeit aufweisen. Jedoch gibt es den ePass noch nicht so lange, als dass diese Haltbarkeit nachgewiesen werden kann. Im ungünstigsten Fall müssen die Nutzer, den ePass vorzeitig erneuern, was wiederum höhere Kosten für die Bürger nach sich zieht.

Zuverlässigkeit der Biometrie

Bearbeiten

Verschiedene Studien kommen zu sehr unterschiedlichen Ergebnissen, was die Erkennungsrate von biometrischen Systemen betrifft. Da es den ePass erst seit kurzer Zeit gibt und bisherige Aussagen eher auf Versuchen basieren, bleibt abzuwarten, wie zuverlässig die Technik der Praxis ausfällt. Wenn Schwächen bei der Erkennung zu Tage treten, kann die Praxistauglichkeit des ePasses, ähnlich wie bei der Mauterfassung, schnell in Frage gestellt werden.[28]

Mangelnde Aufklärung der Bevölkerung

Bearbeiten

Das Bundesinnenministerium suggeriert auf seiner Internetpräsenz, dass es sich beim ePass um eine ausgereifte und risikofreie Technologie handelt.[1] Unerwähnt bleibt in den Artikeln, dass beispielsweise RFID-Chips auf britischen Pässen bereits "geknackt" wurden.[29] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt auf seiner Webseite an, dass ein Auslesen des ePasses in einer Entfernung bis 15cm möglich ist.[30]. Allerdings hat das BSI in einer Studie herausgefunden, dass in einer Entfernung von bis zu 2 Metern ein Auslesen des ePasses möglich ist. Hier stellt sich die Frage, warum die Bundesregierung, respektive entsprechende Bundesbehörden, nicht ihr ganzes Wissen der Bevölkerung zur Verfügung stellen, damit sich diese ein besseres Bild von der neuen Technik machen kann.

Politische Bedenken

Bearbeiten

Die politischen Parteien im Deutschen Bundestag sind sich nicht einig, was die Aufnahme biometrischer Merkmale in den ePass angeht. Da die Opposition Bedenken gegen die Novelle des Passgesetzes hat, wurde diese ohne die Stimmen der Opposition am 24.05.2007 von der großen Koalition verabschiedet.[31] Die Novelle des Passgesetzes beinhaltet die Aufnahme von Fingerabdrücken in Reisepässe als zweites biometrisches Merkmal.

Ein weiteres Problem stellt der Datenaustausch mit anderen Staaten dar. Grundsätzlich kann nicht garantiert werden, dass andere Staaten die biometrischen Daten des ePasses zentral speichern und nach der Passkontrolle weiterhin, für andere Zwecke, nutzen können. Will die Bundesregierung Spannungen mit anderen Staaten vermeiden, kann sie nur schwer gegen die Nutzung der biometrischen Daten angehen, wenn Bundesbürger in andere Staaten einreisen. Allerdings tritt dieselbe Problematik auf, wenn Ausländer in die Bundesrepublik einreisen und an der Grenze ihre biometrischen Daten überprüfen lassen.[26]

Aussichten

Bearbeiten

Kurz nach der Einführung des ePasses in der EU wurden sowohl von der Europäischen Union als auch von der Bundesrepublik Deutschland Überlegungen angestellt, biometrische Merkmale auch auf andere Ausweisdokumente auszudehnen und die Speicherung der biometrischen Daten zu erweitern. Im Nachfolgenden werden diese Ideen vorgestellt.

Visa und Aufenthaltstitel mit biometrischen Merkmalen in der EU

Bearbeiten

Der Europäische Rat von Thessaloniki hat im Jahr 2003 beschlossen, ein einheitliches Vorgehen aller Mitgliedsstaaten im Bezug auf die Einbringung biometrischer Merkmale auf Visa und Aufenthaltstiteln zu koordinieren. Der Grund hierfür ist die Verhinderung und Bekämpfung der illegalen Einwanderung und des illegalen Aufenthalts. Hierbei sollen biometrische Identifikatoren auf allen Visa und Aufenthaltstiteln für Staatsangehörige von Drittländern Pflicht werden. Neben einem Lichtbild sollen Bilder von zwei Fingern auf der Visumsmarke bzw. dem Aufenthaltstitel Pflicht werden. Die Speicherung dieser biometrischen Daten soll auf einem Datenträger, der in das Dokument integriert ist, erfolgen.[32]

EU-weite zentrale Speicherung biometrischer Daten

Bearbeiten

Biometrische Daten auf einem Pass werden zurzeit nur auf diesem gespeichert. Die Europäische Kommission denkt jedoch darüber nach, ein zentrales „Europäisches Passregister“ einzuführen.[33] Dadurch soll erreicht werden, dass sämtliche biometrischen Daten, die auf einem Pass gespeichert sind auch an einer zentralen Stelle gesammelt werden. Den Nutzen, den sich die Europäische Union dadurch erhofft, besteht darin, dass mit Hilfe einer zentralen Stelle viele öffentliche Stellen auf diese Daten zugreifen können, um übergreifend Personenabfragen durchführen zu können.

Personalausweis mit biometrischen Merkmalen in Deutschland

Bearbeiten

Ebenfalls in der Diskussion ist die Überlegung die biometrischen Merkmale des ePasses auch auf dem Bundespersonalausweis zu speichern. Weitere Informationen zu diesem Thema sind auf der Seite des Bundesinnenministeriums zu finden.[34]

  1. 1,0 1,1 Bundesministerium des Innern: Pässe und Ausweise, http://www.epass.de/
  2. http://n-tv.de/812097.html
  3. Das Parlament: Der ePass, http://www.bundestag.de/dasparlament/2006/34-35/Thema/022.html
  4. Gesetzesbeschluß im Bundesgesetzblatt
  5. http://www.heise.de/newsticker/meldung/43295
  6. http://www.heise.de/newsticker/meldung/37870
  7. 7,0 7,1 7,2 Amtsblatt der Europäischen Union, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:385:0001:0006:DE:PDF
  8. http://www.datenschutz.thueringen.de/veroeffentlichungen/Landtagskurier/Landtagskurier2_05.htm
  9. http://www.buzer.de/gesetz/4197/a144847.htm
  10. Bundesministerium des Innern: Bundesinnenminister Otto Schily zur Einführung des ePass und zur Biometrie, http://www.bmi.bund.de/nn_163950/Internet/Content/Nachrichten/Archiv/Reden/2005/06/ePass.html
  11. Bundesamt für Sicherheit in der Informationstechnik: Risiken und Chancen des Einsatzes von RFID-Systemen, http://web.archive.org/web/20051030013239/http://www.bsi.bund.de/fachthem/rfid/RIKCHA.pdf
  12. Bundesamt für Sicherheit in der Informationstechnik: Sicherheitsmechanismen für kontaktlose Chips im deutschen Reisepass, http://www.bsi.bund.de/fachthem/epass/dud_03_2007_kuegler_naumann.pdf
  13. 13,0 13,1 13,2 Bundesamt für Sicherheit in der Informationstechnik: Digitale Sicherheitsmerkmale im elektronischen Reisepass, http://web.archive.org/web/20060812084641/http://www.bsi.bund.de/fachthem/epass/Sicherheitsmerkmale.pdf
  14. 14,0 14,1 Bundesamt für Sicherheit in der Informationstechnik: Biometrie, http://www.bsi.de/fachthem/biometrie/einfuehrung.htm
  15. L. Meuth, Zulässigkeit von Identitätsfeststellungen mittels biometrischer Systeme durch öffentliche Stellen, S. 19, Dunck & Humblot, Berlin
  16. Bundesdruckerei: Reisepass und Personalausweis, http://web.archive.org/web/20060419074032/http://www.bundesdruckerei.de/de/support/download/reisepass_und_perso_bros.pdf
  17. TELETRUST Deutschland e.V. Verein zur Förderung der Vertrauenswürdigkeit von Informations- und Kommunikationstechnik: Kriterienkatalog zur Vergleichbarkeit biometrischer Verfahren, http://web.archive.org/web/20070804021945/http://www.teletrust.de/fileadmin/files/publikationen/KritKat-3_final.pdf
  18. Bundesministerium des Innern: Fragen und Antworten zum ePass, http://www.bmi.bund.de/cln_012/nn_1084000/Internet/Content/Themen/PaesseUndAusweise/Einzelseiten/Biometrie__FAQ.html
  19. L. Meuth, Zulässigkeit von Identitätsfeststellungen mittels biometrischer Systeme durch öffentliche Stellen, S. 24, Dunck & Humblot, Berlin
  20. Bundesamt für Sicherheit in der Informationstechnik, Biometrie, http://www.bsi.de/fachthem/biometrie/einfuehrung.htm

  21. Wikipedia: Datenschutz, http://de.wikipedia.org/wiki/Datenschutz
  22. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: Biometrie und Datenschutz, http://www.bfdi.bund.de/cln_030/nn_533592/DE/Schwerpunkte/Biometrie/Artikel/BiometrieUndDatenschutz.html
  23. 23,0 23,1 23,2 Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: Der neue biometrische Pass – die wichtigsten datenschutzrechtlichen Fragen, http://www.bfdi.bund.de/cln_029/nn_533554/SharedDocs/Publikationen/PM36-05DerNeueBiometrischePass,templateId=raw,property=publicationFile.pdf/PM36-05DerNeueBiometrischePass.pdf
  24. 24,0 24,1 24,2 Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: Biometrie und Datenschutz - Der vermessene Mensch, http://web.archive.org/web/20070805061204/http://www.bfdi.bund.de/nn_531948/SharedDocs/Publikationen/Infobroschueren/TagungsbandVermessenerMensch,templateId=raw,property=publicationFile.pdf/TagungsbandVermessenerMensch.pdf
  25. 25,0 25,1 Budapest-Erklärung zu maschinenlesbaren Ausweis-Dokumenten, http://www.fidis.net/press-events/press-releases/budapest-erklaerung/
  26. 26,0 26,1 26,2 ePass - der neue biometrische Reisepass, http://www.beel.org/epass/epass-kapitel5-kritik.pdf
  27. http://de.wikipedia.org/wiki/RFID-Zapper
  28. http://web.archive.org/20051210061355/www.ccc.de/epass/CCC20051004?language=de
  29. http://www.computerwoche.de/knowledge_center/rfid/589138/
  30. Bundesamt für Sicherheit in der Informationstechnik: ePass - Häufig gestellte Fragen, http://www.bsi.bund.de/fachthem/epass/faq.htm
  31. http://www.heise.de/newsticker/meldung/90202
  32. L. Meuth, Zulässigkeit von Identitätsfeststellungen mittels biometrischer Systeme durch öffentliche Stellen, S. 240-241, Dunck & Humblot, Berlin
  33. L. Meuth, Zulässigkeit von Identitätsfeststellungen mittels biometrischer Systeme durch öffentliche Stellen, S. 242-244, Dunck & Humblot, Berlin
  34. Bundesministerium des Innern: Fragen und Antworten zum elektronischen Personalausweis, http://www.bmi.bund.de/cln_012/nn_122688/Internet/Content/Themen/PaesseUndAusweise/Listentexte/elPersonalausweis.html

Weiterführende Literatur

Bearbeiten