von Jonathan P. Aus

Seit den Anschlägen vom 11. September 2001 wird sowohl in den USA als auch in der EU die systematische Erfassung, Speicherung und Weitergabe biometrischer Daten vorangetrieben. Für biometrisch aufgerüstete Reisedokumente und Grenzkontrollen rücken transatlantisch abgestimmte Standards mit weltweitem Modellcharakter in greifbare Nähe.

Der von der US-Regierung unter George W. Bush geführte „Krieg gegen den Terror“ richtet sich nicht nur gegen äußere Ziele wie Afghanistan oder Irak. Die zur „Heimatsicherheit“ aufgestellten Behörden suchen verstärkt auch nach Möglichkeiten zur Bevölkerungskontrolle im Innern. An den Grenzen sollen nun biometrische Technologien zum Einsatz gelangen, welche die zweifelsfreie Ermittlung und Überprüfung der (angeblichen) Identität eines Menschen versprechen.

Nicht nur in den USA sehen die Minister der Inneren Sicherheit, ihre Polizeien und die biometrische Industrie automatisierte Fingerabdruck-, Iris- und Gesichtskontrollen als wichtige Bausteine zur Bekämpfung des internationalen Terrorismus an. Tatsächlich ermögli­chen biometrische Verfahren die Kontrolle von Leben (griechisch: bios) anhand seiner exakten Messung (metron). In Verbindung mit modernen Informationstechnologien entfaltet die Biometrie ihr ganzes Kontrollpo­tential.[1] Theoretisch können mit dieser Technik einzigartige körperliche Merkmale wie Fingerabdrücke, Iris oder Gesicht in maschinenlesbare digitale Codes verwandelt und von Computern gespeichert, ausgetauscht und verglichen werden. In der Praxis hingegen hinken die auf dem Markt der (grenz-)polizeilichen Identifikation angebotenen biometrischen Sys­teme noch häufig den an sie gestellten Erwartungen hinterher.[2]

Trotz der technologischen Unreife bzw. Unzuverlässigkeit von Ver­fahren wie der Gesichtserkennung werden biometrische Kontrollen von der US-Regierung rechtlich gefordert und finanziell milliardenschwer gefördert. Schließlich gehe es um die Bekämpfung potentieller und daher nur im Vorfeld abzuwendender Massenmorde à la Twin Towers. Wer im sicherheitspolitischen Ausnahmezustand auf Bürgerrechte und informa­tionelle Selbstbestimmung poche, habe die Gefahr des internationalen Terrorismus offensichtlich nicht erkannt. In der Praxis seien „preemptive strikes“ und der Einsatz modernster Technologien erforderlich. So zumindest die Auffassung des US-amerikanischen Department of Home­land Security (DHS), das die Energie seiner rund 170.000 Bediensteten unlängst auf die Entwicklung des neuen US-Grenzkontrollsystems „U.S. VISIT“ (United States Visitor and Immigrant Status Indication Tech­nology) gelenkt hat. Die rechtlichen Grundlagen für U.S. VISIT wurden mit dem unmittelbar nach dem 11. September verabschiedeten „USA Patriot Act“ gelegt und mit dem „Enhanced Border Security and Visa Entry Reform Act of 2002“ weiter vertieft.[3]

U.S. VISIT wird am 1. Januar 2004 – vorerst an den Luft- und Seegrenzen – in Betrieb gehen. Alle AusländerInnen, die nicht im Besitz eines biometrischen Visums oder Reisepasses sind, werden dann nach Betreten des US-Territoriums einer erkennungsdienstlichen Behandlung (Fingerabdrücke und Gesichtsscan) unterworfen. Die so gewonnenen digitalisierten biometrischen Daten sollen, so hofft zumindest das DHS, nicht nur die (angebliche) Identität der einreisenden Person zweifelsfrei bestätigen („one-to-one check“), sondern zusätzlich, mit Hilfe entspre­chender DHS-Datenbankanbindungen, mit den bereits erfassten Daten verurteilter Straf­täter und mutmaßlicher Terroristen abgeglichen werden („one-to-many check“).[4] Aus Zeitgründen ließ man die gesetz­lich vorgeschriebene Datenschutzprüfung des Systems bleiben.[5]

Die „preemptive strikes“ der US-Regierung im Bereich der Inneren Sicherheit schlagen zudem auf die Ausgestaltung der Reisepässe von Angehörigen befreundeter Staaten durch, die bislang in den vergleichs­weise seltenen Genuss einer visafreien Einreise in die USA kamen. Dies betrifft Staatsangehörige der 27 bislang privilegierten „visa waiver countries“ (namentlich die EU-Mitgliedstaaten außer Griechenland sowie die Schweiz, Norwegen, Australien usw.). Auch für sie gilt: Spätestens bis zum 26. Oktober 2004 müssen AusländerInnen, die in die USA einzu­reisen gedenken, in der Lage sein, den US-Einwanderungsbehörden einen biometrischen und maschinenlesbaren Pass vorzulegen – ansons­ten müssten auch sie biometrische Visa beantragen.[6] Von US-Seite zur raschen Einführung biometrischer Reisepässe gedrängt, sind eine Reihe von EU-Mitgliedstaaten den amerikanischen Forderungen bereits entgegengekommen – so etwa die Bundesrepublik mit dem im Januar 2002 in Kraft getretenen Terrorismusbekämpfungsgesetz.[7]

Biometrische Kontrollen in der EU: Visa, Pässe, Asyl

Auch die EU stellte die Weichen auf systematische biometrische Kontrolle um. Auf ihrem Gipfeltreffen in Thessaloniki im Juni 2003 segneten die Staats- und Regierungschefs (Europäischer Rat) die Einführung biometrischer Visa und Aufenthaltserlaubnisse von Drittstaatsangehöri­gen sowie biometrischer Pässe für EU-BürgerInnen ab.[8] Nach Willen des Europäischen Rates sollen auch das künftige Visa-Informations­system (VIS) und die zweite Generation des Schengener Informations­systems (SIS II) Biometrie-kompatibel gemacht werden.[9]

Bei so starkem politischen Rückenwind ließ die Europäische Kommission, die spätestens seit dem Inkrafttreten des Vertrags von Amsterdam im Mai 1999 zu einer Wegbereiterin der EU-Innen- und Jus­tizpolitik geworden ist, nicht lange mit konkreten Vorschlägen auf sich warten. Ende September 2003 präsentierte sie ein erstes Paket von Ver­ordnungsentwürfen zu biometrischen Visa und Aufenthaltstiteln.[10] Der Rat der Innen- und Justizminister hat diese Vorschläge, die auf Forde­rungen des deutschen Bundesinnenministeriums zurückgehen, noch im November 2003 grundsätzlich begrüßt.[11] Momentan wird in Brüssel an den technischen Details der biometrischen Visa und Aufenthaltstitel sowie an rechtlichen Grundlagen für biometrische Reisepässe von UnionsbürgerInnen gefeilt. Letztere dürfte die Kommission noch vor Jahresende 2003 vorgelegen. Das Europäische Parlament wird, dem parlamentarisch-demokratischen Defizit und exekutiven Überschuss der EU entsprechend, lediglich angehört.

Die Kommission kann bei der Ausarbeitung ihrer neuesten Verordnungsvorhaben auf ihre Erfahrungen als Betreiberin des biometrischen Systems Eurodac zurückgreifen, das seit dem 15. Januar 2003 EU- bzw. Schengen-weit (mit unbedeutenden Sonderregelungen für Norwegen, Island und Dänemark) in Betrieb ist.[12] Eurodac ist ein automatisches Fingerabdruck-Identifizierungssystem (AFIS). Es betrifft die Schwächsten der Schwachen: Asylsuchende und so genannte „Illegale“. Ihnen werden nun bei Einreichung ihres Asylantrags innerhalb des EU-europäischen „Raums der Freiheit, der Sicherheit und des Rechts“ oder nach fehlgeschlagenem Versuch des unbemerkt-irregulären Überschreitens der EU-Außengrenzen alle zehn Finger gescannt. Ihre Fingerabdruckdaten landen im Zentralrechner der Europäischen Kommission, der allen angeschlossenen Einheiten in Sekundenschnelle nach dem Prinzip „hit/no hit“ Auskunft gibt, ob die Person bereits gespeichert ist. Ein Treffer bedeutet, dass sie schon einmal einen Asylantrag gestellt hatte oder beim heimlichen Grenzübertritt angetroffen worden war.

Die Wurzeln der Eurodac-Verordnung vom 11.12.2000 liegen im europäischen Binnenmarktprojekt und im Dubliner Asylübereinkommen von 1990, das im Februar 2003 in eine gemeinschaftsrechtliche Verordnung überführt wurde.[13]

Transatlantische Harmonisierung technischer Standards

Ob Fingerabdruck-, Iris- oder Gesichtskontrollen: die zum Krieg gegen den Terror und zur Bekämpfung von illegaler Einwanderung und „Asylmissbrauch“ aufgerufenen Sicherheitsapparate üben sich mit Hilfe biometrischer Technologien in präventiver Repression. Damit der Austausch biometrischer Daten nicht an nationalstaatlichen Grenzen stecken bleibt, müssen jedoch multilateral abgestimmte biometrische Verfahren und gemeinsame technische Standards her. Leichter gesagt als getan, erweisen sich doch die zur Auswahl stehenden biometrischen Verfahren als sehr unterschiedlich – was durchschnittliche Fehlerraten und Belastungsgrenzen betrifft, aber auch hinsichtlich Kompatibilität mit polizeilichen Datenbanken, öffentlicher Akzeptanz, Kosten und Patentrechten.[14]

So liegt z.B. die öffentliche Akzeptanz bei dem als herkömmliche Fotografie verkleideten Gesichtsscan erheblich höher als bei der Erfassung von Fingerabdrücken, die den Beigeschmack des Kriminellen nicht los wird. Andererseits ist die Gesichtserkennung bislang noch ein technisch mangelhaftes Verfahren mit inakzeptabel hoher durchschnittlicher Fehlerrate. Ein biometrisches System, das sogenannte „Nutzer“ entweder fälschlicherweise zurückweist oder akzeptiert, würde ständig Fehlalarme produzieren und mutmaßliche StraftäterInnen kaum identifizieren können. Selbst wenn sich die Gesichtserkennungstechnik in den nächsten Jahren erheblich verbessern sollte, ist noch nicht abzusehen, ob und wann polizeiliche Träume wie die Kopplung von Biometrie und Videoüberwachung Wirklichkeit werden könnten.

Demgegenüber sind Fingerabdruckverfahren in puncto technische Zuverlässigkeit kaum zu überbieten.[15] AFIS wie Eurodac können zudem an Jahrzehnte polizeilich-daktyloskopischer Praxis und bereits existierende polizeiliche Referenzdateien anknüpfen. In einem AFIS werden gewöhnlich die Fingerabdruckdaten unter einer Nummer gespeichert, die den Link zum entsprechenden polizeilichen Personenindex bildet. Gerade für die Kriminalpolizeien ist die Kompatibilität von nationalen AFIS mit supranationalen Systemen wie dem SIRENE-Netzwerk der Schengen-Gruppe von herausragender Bedeutung. Diese polizeiliche Vorliebe wurde auch von der biometrischen Industrie und ihren Dachverbänden wie der International Biometric Industry Association (IBIA) erkannt.[16] Die Steria Gruppe z.B. versorgt nahezu alle Schengen- und EU-Mitgliedstaaten sowie die Schweiz mit sogenannten „Fingerprint Image Transmission“-Geräten, die alle nationalen AFIS mit Eurodac verbinden können.[17] Die Firma Sagem, die u.a. die AFIS von Deutschland, Österreich und Frankreich betreibt, hat unlängst auch den afrikanischen Markt der Bevölkerungskontrolle für sich erschlossen.[18] So mussten z.B. im Vorfeld der mauretanischen Wahlen vom Oktober 2001 alle BürgerInnen dieses hochgradig autoritär regierten Landes ihre Fingerabdrücke in einem biometrischen Zentralrechner hinterlegen, um anschließend mit von Sagem entwickelten „smart cards“ versorgt zu werden.[19] Zur Rechtfertigung wurde von Regierungsseite die Verhinderung von Wahlbetrug angeführt – erstaunlich, hatte sich Präsident Taya im Jahre 1984 doch selbst an die Macht geputscht und seinen wichtigsten Gegenkandidaten bei den Präsidentschaftswahlen von 2003 kurzerhand in Haft nehmen lassen.[20]

Bliebe da noch das biometrische Verfahren der Iriserkennung, das etwa von der Firma Johan Enschedé in Rotterdam an Asylsuchenden erprobt wurde. Die gleiche Technologie wurde auch am Flughafen Amsterdam Schipol getestet, um registrierten Geschäftsreisenden und „frequent flyers“ lange Wartezeiten beim Check-in zu ersparen.[21] Der entscheidende Haken an der noch blutjungen und vergleichsweise kostspieligen Iriserkennung ist jedoch, dass sich das Patent dieses Verfahrens im Besitz der US-amerikanischen Firma Iridian Technologies Inc. befindet.[22] Die deshalb zu erwartenden hohen Kosten waren für die Europäische Kommission Grund genug, vorerst die Finger von der Iriserkennung zu lassen.[23]

Was das künftige VIS und SIS II sowie biometrische Pässe in der EU anbelangt, wird es daher aller Voraussicht nach zu einer Kombination unterschiedlicher biometrischer Verfahren kommen, namentlich von Fingerabdruck- und Gesichtserkennungstechnik.[24] Schließlich könne zum gegenwärtigen Zeitpunkt nur ein multi-biometrischer Ansatz die Sicherheit von Reisedokumenten garantieren. Wahrscheinlich ist auch der Einsatz von kontaktlosen Mikrochips als Speichermedium für biometrische Informationen in maschinenlesbaren Reisedokumenten.[25]

Eine offizielle politische Entscheidung zur Auswahl der biometrischen Verfahren steht noch aus. Diese trifft die EU nicht alleine. Vielmehr verhandelt man gegenwärtig im Rahmen der International Civil Aviation Organisation (ICAO) und der G8-Gruppe.[26] Einmal festgeklopft dürften sich die von EU und USA abgestimmten Positionen jedoch zu weltweiten Standards entwickeln. Innenminister Otto Schily und Heimatschutzminister Tom Ridge haben sich Ende Oktober in Berlin bereits auf Fingerabdrücke und Gesichtsscans festgelegt.[27]

Jonathan P. Aus ist Research Fellow bei ARENA (Advanced Research on the Europeanisation of the Nation-State), Universität Oslo.

[1] vgl. Woodward, J. et al.: Biometrics – Identity Assurance in the Information Age, Berkeley 2002; Nanavati, S. et al.: Biometrics – Identity Verification in a Networked World, New York 2002; Nolde, V.; Leger, L. (Hg.): Biometrische Verfahren – Körpermerkmale als Passwort, Neuwied 2002; Behrens, M.; Roth, R. (Hg.): Biometrische Identifikation, Wiesbaden 2001

[2] vgl. The Economist Technology Quarterly v. 6.12.2003, pp. 17-21

[3] House Resolution (H.R.) 3162 und 3525, www.usa.gov

[4] Der Tagesspiegel v. 21.5.2003

[5] US Senate Committee on Governmental Affairs: Pressemitteilung v. 4.12.2003, http://govt-aff.senate.gov/

[6] vgl. Biometric Technology Today: Visa waiver countries set tight deadline by USA, May 2002, p. 2. Siehe auch U.S. General Accounting Office: Border Security: Implications of Eliminating the Visa Waiver Program, Washington 2002, GAO-03-38, www.gao.gov

[7] Bundesgesetzblatt Teil I 2002, Nr. 3, S. 361-395, insbes. Art. 7-8 zur Änderung der Pass- und Personalausweisgesetze. Eine zentrale biometrische Referenzdatei dürfte danach für Pässe und Personalausweise von Deutschen nicht eingerichtet werden.

[8] European Council: Presidency Conclusions – Thessaloniki, 19-20 June 2003, no. 11

[9] European Council: Presidency Conclusions – Brussels, 16-17 October 2003, no. 31

[10] KOM (2003) 558 endg.

[11] EU-Ratsdok. 14995/03; Bundesinnenministerium: Pressemitteilung v. 27.11.2003

[12] vgl. Aus, J.: Supranational Governance and Domestic Change in an “Area of Freedom, Security and Justice”: Eurodac and the Politics of Biometric Control, SEI Working Paper No. 72, Brighton 2003, www.sei.ac.uk; Brouwer, E.: Eurodac: Its Limitations and Temptations, in: European Journal of Migration and Law 2002, Vol. 4, pp. 231-247; Van der Ploeg, I.: The Illegal Body: “Eurodac” and the Politics of Biometric Identification, in: Ethics and Information Technology 1999, Vol. 1, pp. 295-302

[13] Verordnung Nr. 343/2003, in: Amtsblatt der EG Nr. L 50 v. 25.2.2003, S. 1-10

[14] vgl. TeleTrust Deutschland e.V.: Bewertungskriterien zur Vergleichbarkeit biometrischer Verfahren, Erfurt 2002, www.teletrust.de

[15] So gelang es der Firma Bioscript im Jahre 2002 mit 0,19 % die geringste „equal error rate“ der jährlich stattfindenden „Fingerprint Verification Competition“ zu erzielen; vgl. Biometric Technology Today: FVC 2002 entrants set new high verification standards, October 2002, p. 2.

[16] www.ibia.org

[17] www.steria.no/fit, sowie Steria Group: Pressemitteilung v. 14.1.2003, www.steria.com. Die Fingerabdruckscanner der US-“Citizenship and Immigration Services” werden von der Firma Identix gestellt.

[18] vgl. Sagem Group: Sagem – The major player in the Eurodac system, Press Release of January 22, 2003, www.sagem.com

[19] vgl. Biometric Technology Today: Voting success in Mauritania, February 2002, p. 1

[20] Frankfurter Allgemeine Zeitung v. 10.11.2003

[21] Biometric Technology Today: Iris technology gets the green light in Holland, January 2002, p. 4, vgl. zudem www.eyeticket.com

[22] www.iridiantech.com. Hinter dem Patent steht die Arbeit von Daugman, J.: High confi-dence visual recognition of persons by a test of statistical independence, in: IEEE Trans-actions on Pattern Analysis and Machine Intelligence 1993, No. 11, pp. 1148-1161

[23] KOM (2003) 558 endg., S. 5

[24] KOM (2003) 323, S. 4

[25] KOM (2003) 558 endg., S. 11

[26] EU-Ratsdok. 12521/03, 14776/03, 10857/03 u. 12171/03; G8 Justice and Home Affairs Ministerial Meeting – Paris, 5 May 2003: Final Official Statement, www.g8.fr/evian/ english/home.html und www.g7.utoronto.ca

[27] Financial Times Europe und Financial Times Deutschland v. 31.10.2003