Indien: Kontroverse Biometrie-Datenbank Aadhaar wird ausgeweitet

In Indien erlaubt ein neues Gesetz Unternehmen den Zugriff auf die staatliche Biometrie-Datenbank. Trotz Gerichtsurteil wird die Verbindung mit der Steuererklärung verpflichtend. Fehler bei sozialen Diensten führten bereits zu Hungertoten. Ein geplantes Datenschutzgesetz liegt auf Eis.

- - in Datenschutz
Eine Aadhaar-Registrierungsstelle, hier in Goa. CC-BY-SA 2.0 joegoauk69

In Indien hat das Parlament eine Erweiterung zum umstrittenen Biometrieprogramm Aadhaar beschlossen. Damit können Unternehmen zur Authentifizierung ihrer Nutzer:innen auf die Datenbank zugreifen. Das hatte der Oberste Gerichtshof des Landes eigentlich verboten, die Neuregelung hebt dieses Verbot auf.

Alle Personen in Indien werden durch Aadhaar mit Fingerabdrücken, Gesichts- und Irisfotos registriert. Laut einer Studie des Thinktanks IDinsight waren letztes Jahr bereits 1,2 Milliarden Menschen registriert. Datenschützer kritisieren das Programm und den zehnjährigen Gesetzgebungsprozess.

Obligatorische Authentifizierung

Laut Oberstem Gericht darf die Identifikation durch Aadhaar nicht verpflichtend sein. Doch das neue Gesetz beinhaltet trotzdem „eine obligatorische Authentifizierung“:

In diesem Fenster soll ein Twitter-Post wiedergeben werden. Hierbei fließen personenbezogene Daten von Dir an Twitter. Aus technischen Gründen muss zum Beispiel Deine IP-Adresse übermittelt werden. Twitter nutzt die Möglichkeit jedoch auch, um Dein Nutzungsverhalten mithilfe von Cookies oder anderen Tracking-Technologien zu Marktforschungs- und Marketingzwecken zu analysieren.

Wir verhindern mit dem WordPress-Plugin „Embed Privacy“ einen Abfluss deiner Daten an Twitter so lange, bis Du aktiv auf diesen Hinweis klickst. Technisch gesehen wird der Inhalt erst nach dem Klick eingebunden. Twitter betrachtet Deinen Klick als Einwilligung in die Nutzung deiner Daten. Weitere Informationen stellt Twitter hoffentlich in der Datenschutzerklärung bereit.

Zur Datenschutzerklärung von Twitter

Zur Datenschutzerklärung von netzpolitik.org

Erfahre mehr in der Datenschutzerklärung von X.

wurde aber „niedergeschrien“, bevor die Erweiterung verabschiedet wurde. Die Regierungspartei von Premierminister Modi, der Aadhaar unterstützt, genießt im indischen Unterhaus eine absolute Mehrheit.

Neue Klage vor obersten Gericht

Aktivisten haben vor dem Obersten Gerichtshof gegen die neueste Erweiterung Klage eingereicht:

Die angegriffene Verordnung schafft eine Hintertür, um privaten Parteien den Zugang zum Aadhaar-Ökosystem zu erlauben, wodurch staatliche und private Überwachung von Bürgern ermöglicht wird, und die angegriffenen Vorschriften erlauben die kommerzielle Ausbeutung von persönlichen und sensiblen Informationen, die nur für staatliche Zwecke erhoben und gespeichert wurden.

Außerdem verstoße das neue Gesetz gegen das Urteil vom letzten Jahr. Das Gericht hat sich nun an die Aadhaar-Behörde UIDAI gewendet, um diese Vorwürfe zu prüfen.

Die Finanzministerin schlug vor, Steuer- und Aadhaar-Nummer austauschbar zu machen: „Überall dort, wo sie ihre Steuernummer angeben müssen, können sie stattdessen einfach Aadhaar angeben – und selbst wenn sie keine Steuernummer haben, gibt es kein Problem.“ Dazu sollten Nutzer:innen allerdings erst zustimmen.

Dieser Plan wird nun in die Tat umgesetzt. Aber: Alle Steuernummern, die bis 31. August nicht mit Aadhaar-Nummern verbunden sind, werden abgeschaltet. Ziel sei die Eliminierung von gefälschten Nummern.

Forderungen nicht beachtet

Das eigentlich zeitlich begrenzte Gesetz von 2016 wurde zuerst im März durch einen Erlass verlängert, bevor das Parlament jetzt die Verlängerung und Ausweitung beschloss. Solche Erlasse sind eigentlich für Notfälle vorgesehen, kritisiert AccessNow – dass Aadhaar so dringend nötig war, ist bis heute nicht bewiesen.

Der indische Netzaktivist Nikhil Pahwa stellte 2017 eine Liste von Forderungen an Aadhaar auf. Ganz oben: Die Registrierung darf niemals verpflichtend werden, auch nicht – nach einem indischen Witz – „freiwillig, aber verpflichtend“. Dienste, die einen Großteil der Bevölkerung abdecken, müssen immer eine Alternative anbieten.

Pahwa forderte auch, dass biometrische Informationen nicht zur Identifizierung bei Behörden oder Unternehmen eingesetzt werden dürften: „Ich kann es nicht genug unterstreichen. Biometrische Informationen sind ein dauerhafter Identifikator und können leicht kompromittiert werden.“

Google-Suche nach Schwangerschaftsdaten

Diese Kompromittierung ist nicht nur theoretisch, sondern ganz praktisch: es gibt eine lange Liste mit Datenlecks. 2017 waren mindestens 130 Millionen Aadhaar-Nummern mit 100 Millionen Bankkonten und Daten wie Namen, Alter, Geschlecht im Bundesstaat Andhra Pradesh auf Regierungsseiten zugänglich. Im nächsten Jahr war es eine Datenbank von Schwangerschaften: Abtreibungen, Einschätzungen zum Risiko der Schwangerschaft und Bankverbindungen waren frei im Internet zugänglich, verbunden mit der Aadhaar-Nummer.

Die Webseiten wurden außerdem von Suchmaschinen indexiert, Einträge konnten also auch einfach mit Namen oder Adressen bei Google gefunden werden.

Diese Lecks wurden zwar größtenteils behoben, zumindest regionale Behörden haben direkt reagiert entweder und Daten geschützt oder die Webseiten sogar ganz abgeschaltet. Aber auf der nationalen Ebene sieht es etwas anders aus.

Im Januar bekam ein Journalist Zugriff auf alle von der UIDAI gespeicherten Daten – für umgerechnet 6,50 Euro. Mit über einer Milliarde kompromittierten Nutzern dürfte es sich um eins der größten Datenlecks aller Zeiten handeln. Eine Anklage durch UIDAI folgte innerhalb von vier Tagen – gegen den Journalisten.

Privatsphäre ja, aber nicht für Arme

Ein Regierungssprecher behauptete jedoch letztes Jahr im Parlament, dass „zum jetzigen Zeitpunkt kein Vorfall von Datenschutzverletzungen gemeldet“ wurde. Und noch im Februar bezeichnete UIDAI Berichte über Datenlecks als „irreführend“ und „völlig frei von jeglicher Substanz oder Wahrheit“.

Ein Vertreter der Regierung bezeichnete das Recht auf Privatsphäre als „elitäres“ Konzept. Arme Leute interessieren sich nicht für den Schutz ihrer Daten, sondern für Essen, Wohnung und Kleidung. Das Gericht urteilte damals für ein Grundrecht auf Privatsphäre.

Auch die in armen Gebieten durchgeführte IDinsight-Umfrage kommt zu einem anderen Ergebnis: Für mehr als 96 Prozent der Befragten war es wichtig, zu wissen, ob und wie die Regierung ihre Daten verwendet.

„Viele persönliche Informationen sind auf Aadhaar. Es gibt keinen Grund, alles zu verbinden. Warum sollte ich meinen Alltag mit der Regierung teilen?“, sagte ein Einwohner Mumbais im „Privacy on the Line“-Report.

Behörde soll sich selber prüfen

Das jetzt verabschiedete Gesetz sieht für Verstöße gegen Datenschutzbestimmungen eine Strafe von 10 Millionen Rupien vor – rund 130.000 Euro. Pro Tag, an dem der Verstoß anhält, kommt eine weitere Million. Die Aadhaar-Behörde soll für die Untersuchung von Fällen und die Festlegung von Strafen zuständig sein.

„Dies kann angesichts der Doppelrolle für eine einzelne Organisation problematisch sein, wirft potenzielle Konflikte auf und ist angesichts der Komplexität der regulatorischen Anforderungen nicht ideal“, schreiben die Autoren der IDinsight-Umfrage dazu. Stattdessen fordern sie einen „unabhängigen, qualifizierten und vollständig autorisierten Datenschutzregulator“, der die Regelungen eines starken Datenschutzrechts durchsetzen könne.

Datenschutzgesetz steckt fest

Denn Indien hat bisher kein Datenschutzgesetz, obwohl Aktivisten wie Pahwas das seit langem fordern. Letzte Woche bezeichnete der Oppositionsabgeordnete Shashi Tharoor den Datenschutz als nationales Sicherheitsanliegen und kritisierte, dass der zuständige Minister ein solches Gesetz schon für die letzte Legislaturperiode angekündigt hatte. Seit 2017 gibt es ein Komitee zur Ausarbeitung eines Entwurfs – es erhält Ratschläge vom gleichen Thinktank wie der Aadhaar-Entwurf.

Und so sah der „wie das Finale einer viel zu sehr in die Länge gezogenen Fernsehserie“ veröffentlichte Entwurf des Datenschutzgesetzes vor, dass Daten auch ohne Einverständnis der Betroffenen weiterverarbeitet werden dürfen, solange dies geschieht „zur Ausführung einer Funktion des Staates, die nach dem Gesetz zur Erbringung von Dienstleistungen oder Vorteilen für den Datenverantwortlichen ermächtigt ist“. Übersetzung: Das Datenschutzgesetz gilt nicht für Aadhaar, die Datenbank war ja ursprünglich für Sozialhilfe gedacht.

Eigentlich für Sozialhilfe

Durch die biometrische Authentifizierung sollte sichergestellt werden, dass Sozialhilfe – besonders Lebensmittelzuteilungen – an die richtigen Empfänger ausgeteilt wird. Durch immer mehr Erweiterungen wurde aus diesem Projekt dann der Datenriese, den es heute darstellt.

Laut Regierung ist Aadhaar in der Sozialhilfe ein phänomenaler Erfolg: elf Milliarden Euro hätten Biometrie und Digitalisierung den indischen Steuerzahlern zwischen 2014 und 2018 eingespart, größtenteils durch das Eliminieren von doppelten, falschen oder fehlerhaften Einträgen in den Sozialhilfedatenbanken. Außerdem hätte die Einführung von Aadhaar sehr positive Entwicklungen in Dürregebieten bewirkt, steht im letzte Woche veröffentlichten Wirtschaftsbericht für das letzte Finanzjahr.

Laut Aktivisten ist das falsch: Die Daten im Budget sind falsch gewählt, ihre Auswertung von falschen Annahmen geleitet. Vielmehr haben vom Obersten Gerichtshof verordnete Hilfsmaßnahmen wie die Bereitstellung von verspäteten Löhnen die Lage in den betroffenen Gebieten verbessert.

Millionen Fehler

Auch die elf Milliarden Euro Einsparungen sind wohl ein bisschen zu optimistisch, schreiben die Autoren der IDinsight-Umfrage: Weder hat die Regierung ihre Daten veröffentlicht, noch hat sie klargestellt, ob wirklich nur unberechtigte Empfängerinnen von der Sozialhilfe ausgeschlossen wurden. Und der genaue Wert des Aadhaar-Systems ist sowieso nur extrem schwer festzustellen.

Und dann gibt es noch eine Kehrseite: Die Fehler im System. Neun Prozent der Befragten berichteten, dass ihre Datensätze Fehler enthalten wie falsch geschriebene oder transkribierte Namen. Bei traditionellen Ausweismethoden haben nur sechs Prozent der Befragten Fehler gemeldet.

Forscher glauben, dass die wahre Fehlerrate höher liegt: „Befragte werden den Fehler wahrscheinlich nur melden, wenn er schon einmal zur Verweigerung von Diensten oder anderen Zwischenfällen geführt hat.“ Nur ist es hier nicht der Zugriff auf eine Webseite, der auf dem Spiel steht, noch nicht einmal der Zugang zu Bankkonten – sondern zu Nahrung.

Wichtig für Zuteilung von Lebensmitteln

In Indiens größtem Bundesstaat Rajasthan leben 51 Millionen Menschen in ländlichen Gebieten. Von diesen empfangen beinahe zehn Prozent Hilfe im Rahmen des Öffentlichen Verteilungssystems. Im Sommer 2017 waren jeden Monat mehr als zwei Prozent der ländlichen Bevölkerung von diesem Programm ausgeschlossen, obwohl sie eigentlich Anspruch darauf hätten – wegen Aadhaar.

Geschätzte 1,2 Millionen Menschen erhalten also aufgrund von Fehlern bei der Authentifizierung, wegen fehlender Verbindungen mit den zentralen Servern oder wegen Stromausfällen keine Lebensmittel.

Es gab bereits Berichte über Hungertote in Familien, die wegen Aadhaar-Fehlern ihre Nahrungslieferungen nicht abholen konnten.

„Mindestens 27 sind direkt damit verbunden, dass das neue ID-System nicht benutzt werden konnte“, sagte die Heldin der Menschenrechte Dr. Usha Ramanathan letzte Woche beim Kultursymposium in Weimar. „Das kann kein Weg sein, auf dem irgendein Land weiter vorangehen sollte.“

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

Über die Autor:in

Maximilian ist freier EU-Korrespondent zu Digitalthemen in Brüssel. Nebenher bastelt er auch gern an Datenanalysen und postet auf seiner Webseite darüber, wenn etwas Interessantes herauskommt.

Kontakt: E-Mail (OpenPGP), Mastodon, Bluesky, Twitter

Veröffentlicht 12.07.2019 um 16:00
Kategorie
Schlagworte
Weitere Artikel
Datenschutz

Indisches Verfassungsgericht: Nationale Biometriedatenbank ist rechtens

In einem knapp 1.500 Seiten starken Urteil hat der oberste indische Gerichtshof heute das Biometrieprojekt Aadhaar für verfassungskonform erklärt. Datenschützer scheiterten mit einer Verfassungsbeschwerde. Dabei ist die Liste der Skandale lang: Erst im Januar konnten Angreifer auf die persönlichen Daten von über einer Milliarde Menschen mit Aadhaar-ID zugreifen.

Lesen Sie diesen Artikel: Indisches Verfassungsgericht: Nationale Biometriedatenbank ist rechtens
Linkschleuder

Indien: Verfassungsgericht erkennt Grundrecht auf Privatsphäre an

In einem wegweisenden Urteil hat Indiens Oberster Gerichtshof das Recht auf Privatsphäre zu einem Grundrecht erklärt. Das könnte Auswirkungen auf das wichtigste IT-Projekt der indischen Regierung haben. Die neun Richter trafen ihre Entscheidung einstimmig. Seit 2009 baut Indien die biometrische Ausweisdatenbank „Aadhaar“ auf, die jedem Bürger eine 12-stellige Identifikationsnummer zuweist und mit umfassenden persönlichen Daten […]

Lesen Sie diesen Artikel: Indien: Verfassungsgericht erkennt Grundrecht auf Privatsphäre an
Technologie

„Wer die Infrastruktur besitzt, wird wichtig“: Digitale Zahlungen, Scoring und Blockchains im globalen Süden

Im Interview erklärt die Medienwissenschaftlerin und Politische Ökonomin Rachel O’Dwyer, wie Unternehmen versprechen, Menschen ohne Bankkonto an die globale Wirtschaft anzuschließen. Sie kritisiert Social-Media- und Bezahlplattformen, die immer mehr Datenpunkte verknüpfen und intransparent über unser Leben entscheiden. Bargeld hat noch eine Rolle zu spielen, sagt sie.

Lesen Sie diesen Artikel: „Wer die Infrastruktur besitzt, wird wichtig“: Digitale Zahlungen, Scoring und Blockchains im globalen Süden

0 Ergänzungen

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.