von Jonathan P. Aus
Seit den Anschlägen vom 11. September 2001 wird sowohl in den USA als auch in der EU die systematische Erfassung, Speicherung und Weitergabe biometrischer Daten vorangetrieben. Für biometrisch aufgerüstete Reisedokumente und Grenzkontrollen rücken transatlantisch abgestimmte Standards mit weltweitem Modellcharakter in greifbare Nähe.
Der von der US-Regierung unter George W. Bush geführte „Krieg gegen den Terror“ richtet sich nicht nur gegen äußere Ziele wie Afghanistan oder Irak. Die zur „Heimatsicherheit“ aufgestellten Behörden suchen verstärkt auch nach Möglichkeiten zur Bevölkerungskontrolle im Innern. An den Grenzen sollen nun biometrische Technologien zum Einsatz gelangen, welche die zweifelsfreie Ermittlung und Überprüfung der (angeblichen) Identität eines Menschen versprechen.
Nicht nur in den USA sehen die Minister der Inneren Sicherheit, ihre Polizeien und die biometrische Industrie automatisierte Fingerabdruck-, Iris- und Gesichtskontrollen als wichtige Bausteine zur Bekämpfung des internationalen Terrorismus an. Tatsächlich ermöglichen biometrische Verfahren die Kontrolle von Leben (griechisch: bios) anhand seiner exakten Messung (metron). In Verbindung mit modernen Informationstechnologien entfaltet die Biometrie ihr ganzes Kontrollpotential.[1] Theoretisch können mit dieser Technik einzigartige körperliche Merkmale wie Fingerabdrücke, Iris oder Gesicht in maschinenlesbare digitale Codes verwandelt und von Computern gespeichert, ausgetauscht und verglichen werden. In der Praxis hingegen hinken die auf dem Markt der (grenz-)polizeilichen Identifikation angebotenen biometrischen Systeme noch häufig den an sie gestellten Erwartungen hinterher.[2]
Trotz der technologischen Unreife bzw. Unzuverlässigkeit von Verfahren wie der Gesichtserkennung werden biometrische Kontrollen von der US-Regierung rechtlich gefordert und finanziell milliardenschwer gefördert. Schließlich gehe es um die Bekämpfung potentieller und daher nur im Vorfeld abzuwendender Massenmorde à la Twin Towers. Wer im sicherheitspolitischen Ausnahmezustand auf Bürgerrechte und informationelle Selbstbestimmung poche, habe die Gefahr des internationalen Terrorismus offensichtlich nicht erkannt. In der Praxis seien „preemptive strikes“ und der Einsatz modernster Technologien erforderlich. So zumindest die Auffassung des US-amerikanischen Department of Homeland Security (DHS), das die Energie seiner rund 170.000 Bediensteten unlängst auf die Entwicklung des neuen US-Grenzkontrollsystems „U.S. VISIT“ (United States Visitor and Immigrant Status Indication Technology) gelenkt hat. Die rechtlichen Grundlagen für U.S. VISIT wurden mit dem unmittelbar nach dem 11. September verabschiedeten „USA Patriot Act“ gelegt und mit dem „Enhanced Border Security and Visa Entry Reform Act of 2002“ weiter vertieft.[3]
U.S. VISIT wird am 1. Januar 2004 – vorerst an den Luft- und Seegrenzen – in Betrieb gehen. Alle AusländerInnen, die nicht im Besitz eines biometrischen Visums oder Reisepasses sind, werden dann nach Betreten des US-Territoriums einer erkennungsdienstlichen Behandlung (Fingerabdrücke und Gesichtsscan) unterworfen. Die so gewonnenen digitalisierten biometrischen Daten sollen, so hofft zumindest das DHS, nicht nur die (angebliche) Identität der einreisenden Person zweifelsfrei bestätigen („one-to-one check“), sondern zusätzlich, mit Hilfe entsprechender DHS-Datenbankanbindungen, mit den bereits erfassten Daten verurteilter Straftäter und mutmaßlicher Terroristen abgeglichen werden („one-to-many check“).[4] Aus Zeitgründen ließ man die gesetzlich vorgeschriebene Datenschutzprüfung des Systems bleiben.[5]
Die „preemptive strikes“ der US-Regierung im Bereich der Inneren Sicherheit schlagen zudem auf die Ausgestaltung der Reisepässe von Angehörigen befreundeter Staaten durch, die bislang in den vergleichsweise seltenen Genuss einer visafreien Einreise in die USA kamen. Dies betrifft Staatsangehörige der 27 bislang privilegierten „visa waiver countries“ (namentlich die EU-Mitgliedstaaten außer Griechenland sowie die Schweiz, Norwegen, Australien usw.). Auch für sie gilt: Spätestens bis zum 26. Oktober 2004 müssen AusländerInnen, die in die USA einzureisen gedenken, in der Lage sein, den US-Einwanderungsbehörden einen biometrischen und maschinenlesbaren Pass vorzulegen – ansonsten müssten auch sie biometrische Visa beantragen.[6] Von US-Seite zur raschen Einführung biometrischer Reisepässe gedrängt, sind eine Reihe von EU-Mitgliedstaaten den amerikanischen Forderungen bereits entgegengekommen – so etwa die Bundesrepublik mit dem im Januar 2002 in Kraft getretenen Terrorismusbekämpfungsgesetz.[7]
Biometrische Kontrollen in der EU: Visa, Pässe, Asyl
Auch die EU stellte die Weichen auf systematische biometrische Kontrolle um. Auf ihrem Gipfeltreffen in Thessaloniki im Juni 2003 segneten die Staats- und Regierungschefs (Europäischer Rat) die Einführung biometrischer Visa und Aufenthaltserlaubnisse von Drittstaatsangehörigen sowie biometrischer Pässe für EU-BürgerInnen ab.[8] Nach Willen des Europäischen Rates sollen auch das künftige Visa-Informationssystem (VIS) und die zweite Generation des Schengener Informationssystems (SIS II) Biometrie-kompatibel gemacht werden.[9]
Bei so starkem politischen Rückenwind ließ die Europäische Kommission, die spätestens seit dem Inkrafttreten des Vertrags von Amsterdam im Mai 1999 zu einer Wegbereiterin der EU-Innen- und Justizpolitik geworden ist, nicht lange mit konkreten Vorschlägen auf sich warten. Ende September 2003 präsentierte sie ein erstes Paket von Verordnungsentwürfen zu biometrischen Visa und Aufenthaltstiteln.[10] Der Rat der Innen- und Justizminister hat diese Vorschläge, die auf Forderungen des deutschen Bundesinnenministeriums zurückgehen, noch im November 2003 grundsätzlich begrüßt.[11] Momentan wird in Brüssel an den technischen Details der biometrischen Visa und Aufenthaltstitel sowie an rechtlichen Grundlagen für biometrische Reisepässe von UnionsbürgerInnen gefeilt. Letztere dürfte die Kommission noch vor Jahresende 2003 vorgelegen. Das Europäische Parlament wird, dem parlamentarisch-demokratischen Defizit und exekutiven Überschuss der EU entsprechend, lediglich angehört.
Die Kommission kann bei der Ausarbeitung ihrer neuesten Verordnungsvorhaben auf ihre Erfahrungen als Betreiberin des biometrischen Systems Eurodac zurückgreifen, das seit dem 15. Januar 2003 EU- bzw. Schengen-weit (mit unbedeutenden Sonderregelungen für Norwegen, Island und Dänemark) in Betrieb ist.[12] Eurodac ist ein automatisches Fingerabdruck-Identifizierungssystem (AFIS). Es betrifft die Schwächsten der Schwachen: Asylsuchende und so genannte „Illegale“. Ihnen werden nun bei Einreichung ihres Asylantrags innerhalb des EU-europäischen „Raums der Freiheit, der Sicherheit und des Rechts“ oder nach fehlgeschlagenem Versuch des unbemerkt-irregulären Überschreitens der EU-Außengrenzen alle zehn Finger gescannt. Ihre Fingerabdruckdaten landen im Zentralrechner der Europäischen Kommission, der allen angeschlossenen Einheiten in Sekundenschnelle nach dem Prinzip „hit/no hit“ Auskunft gibt, ob die Person bereits gespeichert ist. Ein Treffer bedeutet, dass sie schon einmal einen Asylantrag gestellt hatte oder beim heimlichen Grenzübertritt angetroffen worden war.
Die Wurzeln der Eurodac-Verordnung vom 11.12.2000 liegen im europäischen Binnenmarktprojekt und im Dubliner Asylübereinkommen von 1990, das im Februar 2003 in eine gemeinschaftsrechtliche Verordnung überführt wurde.[13]
Transatlantische Harmonisierung technischer Standards
Ob Fingerabdruck-, Iris- oder Gesichtskontrollen: die zum Krieg gegen den Terror und zur Bekämpfung von illegaler Einwanderung und „Asylmissbrauch“ aufgerufenen Sicherheitsapparate üben sich mit Hilfe biometrischer Technologien in präventiver Repression. Damit der Austausch biometrischer Daten nicht an nationalstaatlichen Grenzen stecken bleibt, müssen jedoch multilateral abgestimmte biometrische Verfahren und gemeinsame technische Standards her. Leichter gesagt als getan, erweisen sich doch die zur Auswahl stehenden biometrischen Verfahren als sehr unterschiedlich – was durchschnittliche Fehlerraten und Belastungsgrenzen betrifft, aber auch hinsichtlich Kompatibilität mit polizeilichen Datenbanken, öffentlicher Akzeptanz, Kosten und Patentrechten.[14]
So liegt z.B. die öffentliche Akzeptanz bei dem als herkömmliche Fotografie verkleideten Gesichtsscan erheblich höher als bei der Erfassung von Fingerabdrücken, die den Beigeschmack des Kriminellen nicht los wird. Andererseits ist die Gesichtserkennung bislang noch ein technisch mangelhaftes Verfahren mit inakzeptabel hoher durchschnittlicher Fehlerrate. Ein biometrisches System, das sogenannte „Nutzer“ entweder fälschlicherweise zurückweist oder akzeptiert, würde ständig Fehlalarme produzieren und mutmaßliche StraftäterInnen kaum identifizieren können. Selbst wenn sich die Gesichtserkennungstechnik in den nächsten Jahren erheblich verbessern sollte, ist noch nicht abzusehen, ob und wann polizeiliche Träume wie die Kopplung von Biometrie und Videoüberwachung Wirklichkeit werden könnten.
Demgegenüber sind Fingerabdruckverfahren in puncto technische Zuverlässigkeit kaum zu überbieten.[15] AFIS wie Eurodac können zudem an Jahrzehnte polizeilich-daktyloskopischer Praxis und bereits existierende polizeiliche Referenzdateien anknüpfen. In einem AFIS werden gewöhnlich die Fingerabdruckdaten unter einer Nummer gespeichert, die den Link zum entsprechenden polizeilichen Personenindex bildet. Gerade für die Kriminalpolizeien ist die Kompatibilität von nationalen AFIS mit supranationalen Systemen wie dem SIRENE-Netzwerk der Schengen-Gruppe von herausragender Bedeutung. Diese polizeiliche Vorliebe wurde auch von der biometrischen Industrie und ihren Dachverbänden wie der International Biometric Industry Association (IBIA) erkannt.[16] Die Steria Gruppe z.B. versorgt nahezu alle Schengen- und EU-Mitgliedstaaten sowie die Schweiz mit sogenannten „Fingerprint Image Transmission“-Geräten, die alle nationalen AFIS mit Eurodac verbinden können.[17] Die Firma Sagem, die u.a. die AFIS von Deutschland, Österreich und Frankreich betreibt, hat unlängst auch den afrikanischen Markt der Bevölkerungskontrolle für sich erschlossen.[18] So mussten z.B. im Vorfeld der mauretanischen Wahlen vom Oktober 2001 alle BürgerInnen dieses hochgradig autoritär regierten Landes ihre Fingerabdrücke in einem biometrischen Zentralrechner hinterlegen, um anschließend mit von Sagem entwickelten „smart cards“ versorgt zu werden.[19] Zur Rechtfertigung wurde von Regierungsseite die Verhinderung von Wahlbetrug angeführt – erstaunlich, hatte sich Präsident Taya im Jahre 1984 doch selbst an die Macht geputscht und seinen wichtigsten Gegenkandidaten bei den Präsidentschaftswahlen von 2003 kurzerhand in Haft nehmen lassen.[20]
Bliebe da noch das biometrische Verfahren der Iriserkennung, das etwa von der Firma Johan Enschedé in Rotterdam an Asylsuchenden erprobt wurde. Die gleiche Technologie wurde auch am Flughafen Amsterdam Schipol getestet, um registrierten Geschäftsreisenden und „frequent flyers“ lange Wartezeiten beim Check-in zu ersparen.[21] Der entscheidende Haken an der noch blutjungen und vergleichsweise kostspieligen Iriserkennung ist jedoch, dass sich das Patent dieses Verfahrens im Besitz der US-amerikanischen Firma Iridian Technologies Inc. befindet.[22] Die deshalb zu erwartenden hohen Kosten waren für die Europäische Kommission Grund genug, vorerst die Finger von der Iriserkennung zu lassen.[23]
Was das künftige VIS und SIS II sowie biometrische Pässe in der EU anbelangt, wird es daher aller Voraussicht nach zu einer Kombination unterschiedlicher biometrischer Verfahren kommen, namentlich von Fingerabdruck- und Gesichtserkennungstechnik.[24] Schließlich könne zum gegenwärtigen Zeitpunkt nur ein multi-biometrischer Ansatz die Sicherheit von Reisedokumenten garantieren. Wahrscheinlich ist auch der Einsatz von kontaktlosen Mikrochips als Speichermedium für biometrische Informationen in maschinenlesbaren Reisedokumenten.[25]
Eine offizielle politische Entscheidung zur Auswahl der biometrischen Verfahren steht noch aus. Diese trifft die EU nicht alleine. Vielmehr verhandelt man gegenwärtig im Rahmen der International Civil Aviation Organisation (ICAO) und der G8-Gruppe.[26] Einmal festgeklopft dürften sich die von EU und USA abgestimmten Positionen jedoch zu weltweiten Standards entwickeln. Innenminister Otto Schily und Heimatschutzminister Tom Ridge haben sich Ende Oktober in Berlin bereits auf Fingerabdrücke und Gesichtsscans festgelegt.[27]