Unternehmen sollen auf biometrische Daten im Reisepass zugreifen können
Künftig sollen auch an Flughäfen tätige Privatunternehmen Zugriff auf im Chip des Reisepasses gespeicherte Daten erhalten. Entsprechende Gesetzesänderungen plant die Bundesregierung im Rahmen des “Vierten Bürokratieentlastungsgesetz”. Der Bundesdatenschutzbeauftragte Ulrich Kelber kritisiert diese Ausweitung scharf – und auch IT-Sicherheitsexperten warnen.
In der vergangenen Woche hörte der Rechtsausschuss im Bundestag Sachverständige zu dem Gesetzentwurf an. Der scheidende Bundesdatenschutzbeauftragte Kelber konzentrierte sich in seiner Stellungnahme auf im Rahmen des Gesetzentwurfs geplante Änderungen am Pass- und am Luftverkehrsgesetz.
Demnach sollen künftig Luftfahrtunternehmen, Betreiber von Flugplätzen und Dienstleister für die Bodenabfertigung die im Chip des Passes gespeicherten persönlichen Daten sowie das biometrische Lichtbild auslesen dürfen. Ziel dieser Änderung soll sein, die Prozesse der Passagierabfertigung an Flughäfen zu beschleunigen und “das Reiseerlebnis des Fluggastes” zu verbessern.
Zugriff bereits ausgeweitet
Bis Ende 2023 durften nur Polizei, Zoll, Pass- und Meldebehörden auf diese Daten zugreifen – und zwar nur zur Identitätsfeststellung und zur Prüfung der Echtheit des Passes. Bereits Ende 2023 wurde der Kreis der grundsätzlich zugriffsberechtigten Stellen für die Identitätsprüfung auf alle öffentlichen Stellen erweitert.
Kelber kritisiert, die zur Erfüllung rein hoheitlicher Aufgaben erhobenen Daten sollen nun auch “für das Angebot optionaler Komfortleistungen nichtöffentlicher Stellen” freigegeben werden. Seiner Einschätzung nach würde damit bereits für die Erhebung und Speicherung der Daten ein neuer Verarbeitungszweck für kommerzielle Zwecke begründet werden.
Flughafenbetreiber, Luftfahrtunternehmen und Bodenabfertigungsdienstleister hätten zwar ein berechtigtes Interesse, die Bodenabfertigung zu beschleunigen und könnten dabei auch digitale Angebote einführen. Der Zugriff auf die im Chip gespeicherten Daten sei dafür jedoch nicht erforderlich.
Der Gesetzentwurf sieht vor, dass die Unternehmen die Kontrolle der Reisedokumente beispielsweise beim Check-in automatisiert durchführen können. Inwieweit hierbei gegenüber einer Sichtkontrolle des Passes Zeit eingespart werde, sei nicht erkennbar, so der Datenschützer.
Auch aus Sicherheitsgründen sei es nicht erforderlich, dass die Unternehmen das Lichtbild auslesen. Vielmehr sei der Sichtvergleich des im Pass abgedruckten Bildes für Serviceangebote ausreichend. Denn anders als bei Grenzkontrollen bestünden keine erhöhten Sicherheitsanforderungen.
Konkret sollen Kontrollschritte entfallen, indem die Daten beim ersten Schritt ausgelesen und mit einem vor Ort aufgenommenen Foto des Passagiers verknüpft werden. Die Aufnahme wird mit dem im Pass gespeicherten Bild abgeglichen. Für die Dauer der Abfertigung sollen die Daten verschlüsselt gespeichert werden. Beim nächsten Kontrollschritt soll dann erneut ein Foto aufgenommen werden, das wiederum mit den temporär in der Datenbank hinterlegten Informationen abgeglichen wird. Stimmen die Daten überein, erfolgt die Freigabe für den nächsten Schritt, beispielsweise die Gepäckaufgabe. Spätestens drei Stunden nach Abflug müssen alle Daten gelöscht werden.
Nach Einschätzung Kelbers wird damit ein bisher eingriffsarmes Verfahren durch einen “wesentlich grundrechtssensibleren Prozess” ersetzt.
Warnung vor Missbrauch und Begehrlichkeiten
Passagiere sollen der Datenverarbeitung auch widersprechen und eine Sichtkontrolle einfordern können. Allerdings befürchtet Kelber, bei der Einwilligung in die Datenverarbeitung könne es an der notwendigen Freiwilligkeit mangeln, wenn die Betroffenen etwa Nachteile erwarten – etwa längere Wartezeiten, die zum Verpassen des Fluges führen können.
Der Datenschützer warnt außerdem, dass durch die Zugriffserweiterung neue Missbrauchsrisiken entstehen. In der Anhörung des Rechtsausschusses wies er darauf hin, dass beispielsweise auch Fluggesellschaften aus Drittstaaten Zugriff auf den Chip erhalten sollen.
Er prognostiziert außerdem, die Regelung werde Begehrlichkeiten bei anderen nichtöffentlichen Stellen wecken, ebenfalls auf durch staatliche Stellen verarbeitete biometrische Daten zugreifen zu dürfen. Das sei höchst problematisch.
Sensible Daten
Bereits nach Veröffentlichung des Referentenentwurfs im Februar hatten auch Expertinnen und Experten des Chaos Computer Clubs (CCC) Kritik an den Plänen geübt: “Den Flugunternehmen das Auslesen sensibler biometrischer Daten aus dem Chip des Reisepasses zu erlauben, ist grundsätzlich abzulehnen”, hatten sie konstatiert. Verpflichtende biometrische Bilder seien explizit für die Terrorismusabwehr eingeführt worden.
Der CCC hatte ebenfalls Zweifel an der Freiwilligkeit der Datenverarbeitung geäußert. Außerdem hatten die Sicherheitsexperten auf die besondere Sensibilität biometrischer Daten hingewiesen – und erklärt, sie sollten nicht leichtfertig freigegeben werden. Die geplante Änderung sollte aus Sicht des CCC aus dem Gesetzentwurf gestrichen werden.
Auch Julia Witte vom Verein Digitalcourage erklärte auf Anfrage von Posteo, biometrische Informationen ermöglichten eine lebenslange Kontrolle. “Wenn es ein Datenleck gibt, können wir unsere Passwörter, E-Mailadressen – im schlimmsten Fall auch Namen und Wohnort wechseln, um uns beispielsweise vor Verfolgung oder Bedrohung zu schützen. Biometrische Daten können jedoch niemals geändert werden.” Und weiter: “Diese Daten nun Privatunternehmen auf dem Silbertablett servieren zu wollen, ist fahrlässig. Denn je öfter biometrische Daten verarbeitet werden, desto höher ist die Wahrscheinlichkeit, dass irgendwo mal ein Datenleck auftaucht.” (js)