– 47 –
Die Ausstattung von Pässen und Personalausweisen mit
elektronischen Chips wirft erhebliche datenschutzrechtliche Fragen auf.
Aufgrund der Ratsverordnung 2252/2004 vom 13. Dezember 2004, in die Reisepässe der EU-Bürger einen
RFID-Chip zu integrieren, in dem neben den bisher im
Reisepass vorhandenen Daten – einschließlich eines digitalisierten Lichtbildes – auch Fingerabdrücke aufzunehmen sind, werden seit dem 1. November 2005 die sog.
ePässe ausgegeben. Kurz vor Ende des Berichtszeitraumes hat das BMI einen Entwurf zur Änderung des Passgesetzes vorgelegt, der vorsieht, ab dem 1. November 2007 auch Fingerabdrücke in den Reisepass aufzunehmen. Außerdem plant die Bundesregierung die Einführung des biometriegestützten Personalausweises
ab 2008.
Über die EU-Pass-Verordnung hatte ich bereits in meinem letzten Tätigkeitsbericht (20. TB Nr. 6.2.1) berichtet.
In ihrer Entschließung zur „Einführung biometrischer
Ausweisdokumente“ vom 1. Juni 2005 (vgl. Anlage 10)
hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder das Eintreten des Europäischen Parlamentes für verbindliche Mindestanforderungen biometriegestützter Pässe zur Verhinderung des Missbrauchs,
insbesondere des heimlichen Auslesens und der Manipulation der Daten, ausdrücklich begrüßt und unterstützt.
Gleichzeitig hat die Konferenz festgestellt, dass mit der
Einführung biometrischer Merkmale Risiken für den Datenschutz verbunden sind. Die Anregung für ein Moratorium bei der Einführung der biometrischen Merkmale in
Ausweisdokumente hat die Bundesregierung zu meinem
Bedauern nicht berücksichtigt und zum 1. November
2005 – wiederum ohne ausreichende Beteiligung des Parlaments – durch die „Zweite Verordnung zur Änderung
passrechtlicher Vorschriften“ vom 8. August 2005
(BGBl. I S. 2306) die Einführung des sog. ePasses zum
1. November 2005 beschlossen.
Das BMI war der Auffassung, dass es wegen der europarechtlichen Vorgaben durch die Verordnung 2252/2004
für die Einführung eines im Reisepass integrierten
RFID-Chips (zu RFID-Chips vgl. Nr. 4.3), in dem die
schon im bisherigen Pass aufgedruckten Daten – einschließlich des Passbildes – gespeichert werden sollten,
keiner Änderung des Passgesetzes bedurfte. Dem habe
ich widersprochen. Einerseits ist in § 4 Abs. 4
Satz 1 PassG unmissverständlich geregelt, dass „die Arten der biometrischen Merkmale, ihre Einzelheiten und
die Einbringung von Merkmalen und Angaben in verschlüsselter Form nach Absatz 3 sowie die Art ihrer Speicherung, ihrer sonstigen Verarbeitung und ihrer Nutzung ...
durch Bundesgesetz“ geregelt werden. Andererseits ging
die Änderung des Passwesens über die digitale Speicherung der bereits im herkömmlichen Reisepass gedruckt
Zu meinem großen Bedauern ist durch die
Verordnung 2252/2004 dem Bundestag die grundlegende
Entscheidung darüber entzogen worden, ob Fingerabdrücke überhaupt in die Reisepässe der deutschen Staatsbürger aufgenommen werden sollen. Eine öffentliche Auseinandersetzung über die Sinnhaftigkeit dieser Regelung hat
praktisch nicht stattgefunden. Zwingend vorgeschrieben
durch Vorgaben der Internationalen Zivil-Luftfahrt-Organisation (ICAO – International Civil Aviation Organization) ist dieses Merkmal nicht. So war in dem Vorschlag
für die Verordnung 2252/2004 – in der Fassung wie sie
dem Europäischen Parlament vorgelegt worden war –
auch nur die fakultative Aufnahme von Fingerabdrücken
vorgesehen. Angesichts vieler Zugangssysteme, die auf
der Nutzung von Fingerabdruckdaten basieren, halte ich
es für möglich, dass hier die Risiken den angestrebten Zusatznutzen für die Sicherheit bei weitem überwiegen.
Ich verkenne nicht das Bemühen der Bundesregierung,
durch technische Maßnahmen den Schutz der Daten weitgehend sicherzustellen. Zweifel bleiben, ob dies gelingen
wird. Das für die erste Version des ePass genutzte Authentifizierungsverfahren „Basic Access Control“ ist
schon einigen Angriffsversuchen ausgesetzt gewesen. In
der Presse fanden sich nicht nur Berichte über das Kopieren des RFID-Chips, sondern auch darüber, dass sich Angreifer Zugang zu den Passdaten verschafft hätten. Ob die
vorgesehenen Sicherungssysteme (z. B. das Authentifizierungsverfahren „Extended Access Control“), die die
Fingerabdruckdaten im RFID-Chip vor Missbrauch
schützen sollen, ausreichend sind, werde ich sorgfältig
beobachten.
Die Bundesregierung plant, biometrische Merkmale auch
in den Personalausweis aufzunehmen. Dies wird in erster
Linie damit begründet, dass der Personalausweis innerhalb der EU als Reisedokument diene. Es ist beabsichtigt,
die gleichen biometrischen Merkmale wie im ePass, in einem in den Personalausweis zu integrierenden
RFID-Chip zu speichern. Außerdem wird erwogen, im
Personalausweis ein digitales Zertifikat nach dem Signaturgesetz vorzusehen, das vom Bürger aktiviert werden
kann und ihm die Möglichkeit eröffnet, etwa über das Internet, digital zu signieren (Bürgerkartenfunktion).
Gegen die Aufnahme weiterer biometrischer Daten in den
Personalausweis bestehen die gleichen Bedenken wie
BfDI 21. Tätigkeitsbericht 2005-2006
s
Der ePass und der neue
Personalausweis
ev
i
4.5.3
enthaltenen Informationen hinaus. So wurde in § 3 der
neuen Passmusterverordnung die Art des Passbildes nicht
unerheblich verändert. Zudem stellte der Übergang zum
digitalen, automatisiert auswertbaren Passbild einen Qualitätssprung mit erheblichen datenschutzrechtlichen Auswirkungen dar, der einer gesetzlichen Normierung bedurft hätte. Immerhin war das BMI der Ansicht, dass die
Einführung von Fingerabdrücken in den Reisepass nicht
unmittelbar aus der Verordnung 2252/2004 herleitbar ist,
sondern dass es hierzu der Befassung des Deutschen Bundestages durch eine Änderung des Passgesetzes bedurfte.
Wenige Tage vor Ende des Berichtszeitraumes hat das
Bundeskabinett einen entsprechenden Gesetzentwurf beschlossen.
R
erkennungen und die zu Unrecht zurückgewiesenen Personen, die sich einer verschärften Kontrolle unterziehen
mussten.