Kenia: SIM-Karten-Registrierung mit biometrischen Daten
Kenianische Mobilfunkanbieter haben im Frühjahr damit begonnen, biometrische Daten von ihren Kundinnen und Kunden zu verlangen. Die Bürgerrechtsorganisation Access Now kritisiert, hierfür gebe es keine Rechtsgrundlage und warnt vor den Folgen von Datenlecks. Zwischenzeitlich hatte die zuständige Regulierungsbehörde zwar erklärt, Gesichtsbilder müssten nicht abgegeben werden. Doch ein Anbieter fordert weiter dazu auf – und das Ministerium für Information, Kommunikation und Technologie will die Datenerhebung nun auch offiziell erlauben.
Wie Access Now berichtet, hatten die Telekommunikationsanbieter Safaricom, Telkom und Airtel zwischen Februar und März erstmals ihre Kunden in einer öffentlichen Kampagne dazu aufgefordert, ihre Registrierungsdaten für SIM-Karten zu aktualisieren. Andernfalls drohe deren Deaktivierung. Hierfür sollten die Verbraucher auch Gesichtsbilder einreichen. Auf Twitter sprach Safaricom dabei sogar explizit von “Gesichtserkennung”.
Die Anbieter berufen sich auf die kenianische Vorschrift zur SIM-Karten-Registrierung aus dem Jahr 2015. Doch Access Now kritisiert, das sei eine “grobe Fehldarstellung” des Gesetzes: Zwar müssen Kunden sich bei der Registrierung ausweisen, die Erhebung biometrischer Daten sei aber im Gesetz nicht vorgesehen – und somit gebe es keine Rechtsgrundlage, um die Daten zu sammeln. Durch die Datenerhebung werde die Privatsphäre von Kenianerinnen und Kenianern verletzt, obwohl diese sowohl durch die Verfassung als auch durch Telekommunikationsvorschriften geschützt sei.
Behörde hatte mit Geld- und Haftstrafen gedroht
Die Erhebung biometrischer Daten wurde von der Regulierungsbehörde CAK angeordnet. Diese hatte noch Anfang April bekräftigt, Kunden müssten ihre Daten bis spätestens 15. April aktualisieren – andernfalls würden die SIM-Karten deaktiviert. Auch mit Geldstrafen von umgerechnet etwa 2400 Euro und selbst mit Haftstrafen von bis zu sechs Monaten hatte die Behörde gedroht. Medienberichten zufolge hatte die Behörde das Vorgehen mit einer Zunahme von Betrugsfällen begründet.
Nur wenige Tage später hatte sie ihre vorherigen Aussagen korrigiert und erklärt, es müssten keine Gesichtsbilder abgegeben werden. Außerdem wurde die Frist für SIM-Karten-Registrierungen bis Mitte Oktober verlängert.
Access Now kritisiert aber, es sei schon ein Schaden entstanden: Viele Menschen in dem ostafrikanischen Land mit knapp 55 Millionen Einwohnern hätten aus Angst vor einer Sperre ihrer SIM-Karte bereits ihre biometrischen Daten an die Telekommunikationsunternehmen weitergegeben.
Laut dem kenianischen Datenschutzgesetz gelten biometrische Daten als besonders sensibel – denn sie lassen sich nicht verändern. Betroffene können mit diesen Daten ein Leben lang identifiziert werden. Access Now schreibt: “Man kann ein Passwort ändern, aber man kann nicht sein Gesicht ändern.”
Warnung vor Datenleck
Die Organisation warnt, Die Daten könnten etwa für Identitätsdiebstahl missbraucht werden. Verstöße gegen den Datenschutz seien in Kenia nichts Neues: Als etwa Mitarbeiter von Safaricom die Daten von 11,5 Millionen Kundinnen und Kunden gestohlen hatten, habe sich das Unternehmen geweigert, dafür die Verantwortung zu übernehmen.
Safaricom habe das Sammeln der biometrischen Daten inzwischen ausgesetzt – Airtel erhebe diese jedoch weiterhin.
Wie Access Now berichtet, arbeitet das Ministerium für Information, Kommunikation und Technologie derzeit an einer überarbeiteten Vorschrift zur SIM-Karten-Registrierung. Diese würde das Sammeln biometrischer Daten zulassen. Doch die Behauptung, durch biometrische Daten würde die Sicherheit erhöht, sei falsch, kritisiert Access Now.
Die Organisation warnt, durch biometrische Datenbanken steige auch das Risiko staatlicher Überwachung. Die Erlaubnis zur massenhaften Erfassung dieser Daten erhöhe die Wahrscheinlichkeit, dass diese in die falschen Hände geraten. Schon heute seien beispielsweise Menschenrechtsaktivisten in Kenia gefährdet, weil Strafverfolgungsbehörden ihre Kommunikation überwachen.
Organisationen verlangen Datenlöschung
Access Now fordert die kenianische Datenschutzbehörde nun zum Handeln auf. Bisher sei diese “auffallend still” gewesen. Sie müsse nun die Datensammlung der Unternehmen untersuchen und dem Kommunikationsministerium davon abraten, die Erhebung biometrischer Daten in die geplante Vorschrift aufzunehmen. Außerdem müsse die Behörde die Löschung der bereits erhobenen Daten anordnen.
Kundinnen und Kunden rät die Organisation, ein Auskunftsersuchen an die Mobilfunkanbieter zu stellen und anschließend die Löschung der eigenen Daten zu beantragen.
Nach Angaben der Organisation hat auch die NGO Katiba-Institut, die sich unter anderem mit Menschenrechten befasst, bereits im April eine Überprüfung der Datensammlung beim Obersten Gericht Kenias beantragt. Die Organisation will so die Datenlöschung erreichen. Vertreter aus Zivilgesellschaft und Wissenschaft hätten zudem das Kommunikationsministerium aufgefordert, die Erhebung von biometrischen Daten aus ihrem Gesetzentwurf zu streichen.
Nigeria setzt bei der SIM-Karten-Registrierung bereits auf biometrische Daten: Wie das African Digital Rights Network im Mai berichtet hatte, müssen SIM-Karten dort mit den digitalen Identitätsnachweisen der Bürger verknüpft werden – und mit den darin gespeicherten biometrischen Daten. Das African Digital Rights Network hatte ein großes Missbrauchspotenzial kritisiert. Durch die Verbindung mit weiteren digitalen Diensten werde staatliche Überwachung ermöglicht. Obwohl in Nigeria die Privatsphäre gesetzlich geschützt sei, verstießen staatliche Stellen regelmäßig dagegen, ohne dass sie sich dafür verantworten müssten. (js)