29. Juni 2017
Datenschutz / Europa / Flucht

Biometrie: Vom Ende des «Identitätsbetrugs» in Europa

Vor dem 11. September 2001 erschien die Biometrie im Wesentlichen als eine Technik, die das Allerheiligste von Banken und Versicherungen oder allenfalls die Chefetagen großer Firmen vor dem Zugang durch Unbefugte schützen sollte. Gesichtserkennung, das Abchecken der Augeniris und dergleichen mehr kannte man meist nur aus Science-Fiction-Filmen. Automatische Fingerabdruckidentifizierungssysteme – kurz AFIS – gab es zwar schon seit den 1990er Jahren, aber sie wurden bis dahin nicht unter dem Stichwort Biometrie diskutiert, sondern galten als Fortentwicklung einer bekannten polizeilichen Methode, nämlich der Daktyloskopie.

Schon kurz nach den Angriffen auf die Zwillingstürme des New Yorker World Trade Centers und auf das Pentagon avancierte die Biometrie zu einem festen Thema der sicherheitspolitischen Diskussion und hat seitdem einen schier unglaublichen Aufstieg durchgemacht. Heute tragen wir ganz selbstverständlich biometrische Pässe und Personalausweise mit uns herum. Jene Technik, die einst die Räume der wenigen ganz Reichen und ganz Mächtigen absichern sollte, soll heute dafür sorgen, dass niemand Fremdes unkontrolliert «unseren» Kontinent betritt und die vielen Unbefugten oder Zweifelhaften draußen bleiben.

Dass die Karriere der Biometrie noch lange nicht beendet ist, zeigt derzeit (unter anderem) die EU. Angesichts der «Asylkrise» und der «anhaltenden Bedrohung» durch terroristische Anschläge sei es die Erwartung der EU-Bürger*innen, «dass die Personenkontrollen an den Außengrenzen wirksam sind und so eine effiziente Steuerung der Migration ermöglichen und zur inneren Sicherheit beitragen», schrieb die EU-Kommission im April 2016 in einer «Mitteilung über solidere und intelligentere Informationssysteme für das Grenzmanagement und mehr Sicherheit».

Informationssysteme seien dafür zentral, aber die derzeitige «Datenverwaltungsarchitektur» der EU sei zu «lückenhaft» und zu «fragmentiert». Zwei Monate nach ihrer «Mitteilung» setzte die Kommission eine «Hochrangige Expertengruppe Informationssysteme und Interoperabilität» ein, der u.a. Vertreter*innen der Mitgliedstaaten, der assoziierten Schengen-Staaten (Norwegen, Island, Schweiz und Liechtenstein), der zur Europäischen Grenz- und Küstenwache avancierten Grenzschutzagentur Frontex sowie der EU-Anti-Terror-Koordinator angehörten. Am Katzentisch durften auch der EU-Datenschutzbeauftragte und die Grundrechte-Agentur Platz nehmen. Im Mai dieses Jahres legten die «Expert*innen» ihren Abschlussbericht vor, der wiederum von der Kommission   und vom Rat der Innen- und Justizminister*innen aufs Heftigste begrüßt wurde. Wen wundert’s, bestätigt der Bericht doch die Pläne, an denen man im Laufe des letzten Jahres kräftig weiter gearbeitet hat.

Lücken schließen

Für den Ausbau der bestehenden und den Aufbau neuer Datensysteme, die die vorgeblichen Lücken schließen sollen, hat die EU-Kommission inzwischen eine ganze Reihe von Verordnungsentwürfen präsentiert und die Verhandlungen in den beiden legislativen Organen der EU – dem Rat und dem Parlament – sind zum Teil schon recht weit gediehen. Im Grundsatz geht es dabei um zweierlei: um die engere Verzahnung von polizeilichen (und gegebenenfalls geheimdienstlichen) Zwecken mit der Grenz- und Migrationskontrolle und um noch mehr Biometrie.

Bisher führt die Agentur für den Betrieb großer IT-Systeme (eu-LISA) drei Datenbanken: Da ist erstens das Schengener Informationssystem (SIS), ein «Fahndungssystem», das vor allem bei polizeilichen Kontrollen an der Grenze und im Inland, aber auch von den Konsulaten bei der Vergabe von Visa abgefragt wird. Durch die Speicherung von Abschiebeanordnungen wird das SIS nun definitiv auch zum Instrument der Fahndung nach «illegal aufhältigen» Personen. Ergänzen will man das SIS mit einem Automatischen Fingerabdruckidentifizierungssystem. Damit ändert sich auch die Praxis polizeilicher Kontrollen, denn das System kann dann nicht mehr nur nach den Namen und Geburtsdaten einer Person, sondern auch bloß anhand der Fingerabdrücke abgefragt werden.

Da ist zweitens Eurodac: Erfasst werden darin bisher die Fingerabdrücke aller Asylsuchenden ab dem 14. Lebensjahr. Ein Abgleich soll jeweils feststellen, ob ein Flüchtling bereits in einem anderen Staat registriert wurde und gemäß Dublin-Verordnung dahin zurückgeschafft werden darf. Künftig sollen auch Daten von «illegal aufhältigen» und beim irregulären Grenzübertritt angetroffenen Ausländer*innen für fünf Jahre gespeichert werden. Das System wird auch Fotos enthalten und mit einer Gesichtserkennungssoftware ausgestattet. Und: Die Altersgrenze der Erfassung biometrischer Daten wird auf sechs Jahre gesenkt.

Und da ist drittens das Visa-Informationssystem (VIS), in dem jede und jeder landet, der oder die auf einem Konsulat eines Schengen-Staates ein Touristenvisum beantragt. Gespeichert werden darin die Angaben über bewilligte oder verweigerte frühere Aufenthalte im Schengen-Raum ebenso wie die Fingerabdrücke und Fotos der Antragsteller*innen. Bisher allerdings durften die biometrischen Daten bei der Einreise nur zur Verifizierung der auf der Visumsmarke und im Pass enthaltenen Angaben verwendet werden. Neu soll nun das VIS mit einer Gesichtserkennungssoftware ausgestattet und auch der Abgleich der Fingerabdrücke im künftigen automatischen Fingerabdruckidentifizierungssystem des SIS möglich werden.

Europol und Frontex sollen künftig zu den Daten dieser drei Systeme umfassenden Zugang haben und auch die nationalen Behörden könnten sich zur Verfolgung und Prävention terroristischer und anderer schwerer Straftaten einfacher bedienen als bisher. Bei den geplanten neuen Systemen gehört dieser Zugriff bereits zur Grundausstattung.

Das Ein-/Ausreisesystem (EES) war schon länger geplant: Damit würden sämtliche Ein- und Ausreisen von Drittstaatsangehörigen an den Schengener Außengrenzen erfasst – und zwar nicht nur die der visumspflichtigen (deren Visa bereits im VIS gespeichert sind), sondern auch die von jenen, die kein Visum benötigen. Beim Grenzübertritt würden die in den Reisedokumenten enthaltenen Gesichtsbilder und Fingerabdrücke ausgelesen und zusammen mit den Personalien sowie den Angaben über frühere Aufenthalte für fünf Jahre gespeichert.

Mit dem Ein-/Ausreisesystem gekoppelt werden soll zudem das Reiseinformations- und -genehmigungssystem (Etias). Dieses soll eine «Vorabinformation» über die geplante Einreise visumsbefreiter Drittstaatsangehöriger möglich machen, die ihre Reise neu auf einem Internetformular ankündigen müssen. In einer «Vorabkontrolle» würden die entsprechenden Daten von den zuständigen Grenzbehörden mit nationalen und internationalen Informationssystemen abgeglichen. Europol soll eine «Watchlist» erstellen, um die Einreise von unerwünschten Ausländer*innen zu verhindern.

Ein gemeinsamer Identitätsspeicher

Die «Hochrangige Expertengruppe» begrüßt nicht nur die Vorschläge der EU-Kommission zu den einzelnen Datenbanken. Sie hält sich im Wesentlichen auch an die Ideen zur Verbesserung der «Interoperabilität», die die Kommission in ihrer Mitteilung vom April 2016 präsentierte. Angestrebt wird zunächst eine gemeinsame Schnittstelle, die es erlaubt, sämtliche Systeme mit einem Klick abzufragen. Ähnliches gibt es bereits auf nationaler Ebene. Um die geplante zentrale europaweite Schnittstelle von den bestehenden nationalen zu unterscheiden, spricht die «Expert*innengruppe» nun von einem «europäischen Suchportal».

Von einer gemeinsamen Schnittstelle aller Systeme sollen schließlich auch Kriminalpolizeien und – je nach nationalem Recht – ebenso die Geheimdienste profitieren. Nach dem Willen der «Expert*innen» sollen ihre Zugriffsbeschränkungen gleich ganz entfallen, solange es bei den Anfragen «nur» um die Identität einer Person geht. Mit einer Anfrage erführen sie, ob und in welchem der Systeme Daten zu finden sind. Erst für weitere Ermittlungen (wie zum Beispiel zu Reisewegen) wären eine Begründung und eine Genehmigung durch eine (polizeiliche) Zugangsstelle erforderlich.

Schnittstellen und Suchportale sind aber nur der erste Schritt zur «Interoperabilität». Statt für jedes Datensystem ein eigenes Fingerabdruckidentifizierungs- oder Gesichtserkennungssystem zu entwickeln, empfehlen die «Expert*innen» einen «gemeinsamen Dienst für den Abgleich biometrischer Daten», der den einzelnen Informationssystemen – vom SIS bis hin zum EES – vorgeschaltet wäre. Würde ein Polizist beispielsweise das SIS anhand eines Fingerabdrucks abfragen, könnte dieser «Dienst» zudem anzeigen, ob Daten zu dieser Person auch im VIS oder in Eurodac vorhanden sind. Am Ende der Entwicklung stünde ein «gemeinsamer Speicher für Identitätsdaten», in dem neben den Fingerabdrücken und Bildern auch «die von einer Person behaupteten biographischen Identitäten» (Name, Geschlecht und Geburtsdatum) verzeichnet wären. Ein «Identitätsbetrug» wäre nicht mehr möglich.

Endlich Gleichstellung

Wer nun meint, das betreffe ohnehin nur die Ausländer*innen, die von außerhalb der EU, hat sich geschnitten. Seit neustem betreibt die EU nämlich eine umgekehrte Art der Gleichstellung von Drittausländer*innen und Bürger*innen der EU- und Schengen-Staaten. Bei Letzteren, den sogenannten Freizügigkeitsberechtigten, erfolgte bisher bei der Einreise in den Schengen-Raum im Regelfall nur eine Kontrolle der Papiere. Seit einer Änderung des Grenzkodex, die am 7. April 2017 in Kraft trat, ist auch für sie eine «systematische Kontrolle» angesagt – inklusive Abfrage des Schengener Informationssystems (SIS) und der Interpol-Datenbank über gestohlene und verlorene Reisedokumente (SLTD).

Das reicht den «Expert*innen» aber nicht: Sie sehen nach wie vor eine «Informationslücke». Denn anders als bei den Drittausländer*innen war bisher nicht geplant, auch die Ein- oder Ausreisen der Freizügigkeitsberechtigten in einer Datenbank zu erfassen. Um das zu erreichen, sieht die «Hochrangige Gruppe» zwei Möglichkeiten: Entweder könnte beim Überqueren der Außengrenzen die seit April zwingende Abfrage des SIS protokolliert werden – oder man könnte ein eigenes Informationssystem aufbauen. Die EU-Kommission will diese Ideen prüfen; im Rat, d.h. bei den Regierungen der Mitgliedstaaten, ist man schon jetzt ganz begeistert.

Technisch verkleistert

Bis 2020 will die EU ihre «Datenverwaltungsarchitektur» neu geordnet haben. Bei dem Tempo, das Kommission, Rat und Parlament derzeit vorlegen, dürfte dieser Zeitrahmen durchaus realistisch sein. Die Melange aus Terrorismusbekämpfung und Migrationskontrolle, mit der sowohl der Aufstieg der Biometrie zu einer Großtechnologie ab 2001 als auch der jetzige Ausbau der Informationssysteme begründet wurden bzw. werden, sorgt für Geschwindigkeit bei der Rechtsetzung und lässt den dahinter steckenden Skandal verschwinden. Niemand soll unkontrolliert einreisen können. Man müsse wissen, wer sich hier aufhalte, lauten die Parolen. Dass es bei der flächendeckenden Erfassung biometrischer Daten um eine erkennungsdienstliche Behandlung Unverdächtiger geht, spielt in den Debatten keine Rolle mehr. Und auch die Erfassung des Ein- und Ausreiseverhaltens der eigenen Bevölkerung kommt nur mehr als die notwendige Schließung einer Lücke daher. Was wir vor nicht allzu langer Zeit noch als Kennzeichen totalitärer Staaten wahrgenommen hätten, erscheint im liberalen und demokratischen Europa – technisch verkleistert – als Gebot der Stunde.