eID-GesetzLänder sollen zentralisierte Biometriedatenbanken errichten können

Bundesländer sollen künftig die Möglichkeit haben, zentralisierte Datenbestände biometrischer Daten aufzubauen. Ermittlungsbehörden könnten dann automatisiert Passbilder und Unterschriften abrufen. Hintergrund ist das geplante eID-Gesetz, das eigentlich den Personalausweis auf Smartphones bringen soll.

Ausweiskontrolle Polizei
Automatisierte Abfragen kommen etwa bei Ausweiskontrollen zum Einsatz. (Symbolbild) CC-BY-NC 2.0 David Haberthür

Die Große Koalition will den Bundesländern erlauben, die Datenbestände von Passbehörden zentral zu speichern und den automatisierten Abruf von Passbildern und Unterschriften zuzulassen. Damit könnten landesweite biometrische Datenbanken entstehen, auf die etwa Ermittlungsbehörden zugreifen könnten.

Der Vorschlag befindet sich in einem Änderungsantrag der Koalition und soll in das Gesetz für die mobile eID einfließen. Das Gesetz soll eigentlich den Personalausweis auf Smartphones bringen, darüber abschließend abstimmen soll der Bundestag am Donnerstag kommender Woche. Über den Plan hatte zuerst Tagesspiegel Background berichtet (€).

Neue Möglichkeiten für Länder

Demnach sollen Länder künftig Regeln erlassen können, um „zentrale Personalausweisregisterdatenbestände zur Speicherung des Lichtbilds und der Unterschrift für die Durchführung eines automatisierten Abrufs“ zu errichten. Dabei sei technisch sicherzustellen, dass die Lichtbilder und Unterschriften vor unbefugtem Zugriff geschützt sind. Zudem sollen die Daten nur so gespeichert werden, dass „keine Verknüpfung mit anderen als für den automatisierten Abruf benötigten Daten ermöglicht wird“, heißt es in dem Antrag.

Grundsätzlich ist der automatisierte Zugriff auf Biometriedaten in den Datenbanken der Personalausweis- und Passbehörden schon länger möglich und wurde zuletzt 2017 erweitert. Allerdings scheitert dies oft in der Praxis. Rund 5.000 Melde- und Passbehörden gibt es in Deutschland, doch viele, vor allem kleinere Kommunen besitzen nicht die notwendige IT-Infrastruktur, um einen automatisierten Abruf umzusetzen.

In solchen Fällen werden die Lichtbilder dann gefaxt oder per Mail verschickt. Künftig soll ein automatisierter Abruf auch bei digitalen Führerscheinanträgen möglich sein, in Hessen läuft derzeit ein Modellversuch.

Dies sei ein „unhaltbarer Zustand“, sagt Josef Oster, Berichterstatter der CDU/CSU-Fraktion. „Die Qualität der Lichtbilder leidet erheblich, ganz zu schweigen von der Praktikabilität des Verfahrens.“ Mit den geplanten Datenbanken auf Bundesländerebene sei der Abruf zudem einfacher und kostengünstiger.

Mindestens ein halbes Dutzend Bundesländer, darunter Bayern, Baden-Württemberg und Thüringen, sollen ein Interesse daran haben, solche zentralisierten Datenbanken aufzubauen und haben die Änderung angeregt. Bislang fehlt ihnen dazu die gesetzliche Grundlage, da biometrische Informationen besonders sensible und schützenswerte Daten sind. Dieses Problem soll nun der Umweg über das eID-Gesetz aus der Welt schaffen.

Doppelter Datenbestand schafft Probleme

„Wir haben es schon oft gesehen: Einmal geschaffene, zentrale Register wecken neue Begehrlichkeiten bei den Sicherheitsbehörden“, sagt Ulla Jelpke, innenpolitische Sprecherin der Linksfraktion im Bundestag. Deshalb sei es wichtig, an dezentralen, kommunalen Registern festzuhalten. Zudem würden zentrale Bilderregister das Risiko vergrößern, dass sich Kriminelle Zugang zu Passbildern verschaffen, so Jelpke. „Denn sie spiegeln die Passbilderregister, die die Kommunen ohnehin schon bei sich führen. Das ist datenschutzrechtlich bedenklich.“

Auch Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, soll angesichts der Doppelung der Datenbestände auf einem heutigen erweiterten Berichterstattergespräch vor einem „weiteren Angriffsvektor“ gewarnt haben. Inhaltlich bestätigt dies Christof Stein, Pressesprecher der Bonner Behörde. Durch die Spiegelung der Datenbestände und der zusätzlichen dauerhaften Speicherung der Daten bei einem anderen Verantwortlichen würden „Angriffsflächen und folglich Missbrauchs- und Zweckentfremdungsgefahren potenziell deutlich erhöht“, sagt Stein.

Den Grundsätzen der Datenminimierung und Erforderlichkeit folgend müssten zur Rechtfertigung der Neuanlage eines solchen Datenbestands schon unabwendbare Gründe vorliegen – etwa wenn staatliche Stellen ihre gesetzlichen Aufgaben nicht auf andere Weise durchführen könnten, so der Sprecher.

„Hohe Hürden“

„Die Abgleichmöglichkeiten sind sehr begrenzt und stark geregelt, sodass ein Missbrauch von innen nicht möglich ist“, sagt Helge Lindh, Berichterstatter der SPD-Fraktion. Der Abruf sei nur für sehr klar formulierte Zwecke möglich, eine Datenzusammenfügung aus dem Bundesmelde- und Pass- und Ausweisregister ausdrücklich untersagt ebenso wie ein bundeseinheitliches Interface. „Es ist unser politischer Wille, die Hürden sehr hoch zu halten“, sagt Lindh.

„Die Kommunen müssen ihre IT ohnehin fit machen für die Digitalisierung der Verwaltung“, sagt Ulla Jelpke von der Linkspartei. Dabei müssten die Länder sie unterstützen, das Geld dafür haben sie vom Bund erhalten. „In diesem Fall schon auf neue, zentralisierte Datenbestände umzustellen, stellt auch die Weichen für die Zukunft. Gerade die Kommunen müssen aber selbst in der Lage sein, sich um ihre IT und die IT-Sicherheit selbst zu kümmern“, sagt Jelpke.

Derweil bleibt die bisherige gesetzliche Regelung umstritten. Seit 2018 läuft eine Verfassungsbeschwerde gegen den automatisierten Biometriezugriff von Polizeien und Geheimdiensten, eingereicht von der Gesellschaft für Freiheitsrechte (GFF). Unter anderem sei es nicht hinnehmbar, dass diese Daten von diversen Stellen zu nicht näher bestimmten Zwecken abgerufen und verarbeitet werden dürften. Dies käme einem „informationellen Kontrollverlust“ gleich, schrieben die Grundrechteschützer:innen.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

16 Ergänzungen

  1. Zitat:
    „Die Abgleichmöglichkeiten sind sehr begrenzt und stark geregelt, sodass ein Missbrauch von innen nicht möglich ist“, sagt Helge Lindh, Berichterstatter der SPD-Fraktion. Der Abruf sei nur für sehr klar formulierte Zwecke möglich, eine Datenzusammenfügung aus dem Bundesmelde- und Pass- und Ausweisregister ausdrücklich untersagt ebenso wie ein bundeseinheitliches Interface. „Es ist unser politischer Wille, die Hürden sehr hoch zu halten“, sagt Lindh.

    Hmm, wirklich ?
    ePA Daten sind doch auch sicher. Ok, nur zu Forschungszwecken dürfen sie dann gelesen werden, ist aber bestimmt anonym.

  2. Na passt ja dazu:

    https://www.presseportal.de/pm/amp/58964/4914278
    In der Debatte um gefälschte Impfpässe und Impfbescheinigungen fordert die Deutsche Polizeigewerkschaft (DPolG) für Polizisten den Zugang auf die Impf-Datenbank des Robert-Koch-Instituts (RKI).

    Wendt sagte: „Die Daten müssten dem RKI komplett, also mit Namen, Personaldaten und Impfdatum übermittelt und dort auch abrufbar gespeichert werden. Dann können sie den Kontrollbehörden für einen Übergangszeitraum online zugänglich gemacht werden, damit die Einsatzkräfte vor Ort direkt abfragen können, ob tatsächlich der erforderliche Impfstatus vorliegt.“

    Und nach der Einführung der Personenkennzahl:
    „Der Abruf sei nur für sehr klar formulierte Zwecke möglich, eine Datenzusammenfügung aus dem Bundesmelde- und Pass- und Ausweisregister ausdrücklich untersagt “
    ???
    Glaube soll ja Berge versetzen können; Helge Lindh versetzt keinen.

    1. Wendt mal wieder merkbefreit: Es gibt keine Impfdatenbank beim RKI. Dort liegen zwar anonyme Meldungen vor, aber keine Namen usw.

      1. Wendt fordert in dem Zitat die Einrichtung einer solches Datenbank beim RKI. Ist natuerlich nicht weniger merkbefreit.

        Ich frage mich ja, ob die hoeheren Chargen in der Polizei irgendwann mal realisieren, wieviel Vertrauensverlust in relevanten Teilen der Bevoelkerung sie einem Wendt verdanken. Oder ob ihnen das egal ist, denn jeder Innenminister jeder Partei war bisher ein rechtsdrehender Polizeiverteidiger, modulo Gerhart Baum, und sie gehen davon aus, weiterhin absoluten Schutz zu haben?

  3. … und schon gibt es die Idee zur Deanonymisierung:

    https://www.presseportal.de/pm/58964/4914278
    Zitat:
    “… Bislang werden diese nur anonymisiert von den Impfstellen gemeldet, das sollte sich jetzt ändern, fordert die DPolG….

    Wendt sagte: „Die Daten müssten dem RKI komplett, also mit Namen, Personaldaten und Impfdatum übermittelt und dort auch abrufbar gespeichert werden. Dann können sie den Kontrollbehörden für einen Übergangszeitraum online zugänglich gemacht werden, damit die Einsatzkräfte vor Ort direkt abfragen können, ob tatsächlich der erforderliche Impfstatus vorliegt.“
    …”

    Zentrale Daten sind Gift für die Demokratie.

    1. Noe.

      Zentrale Daten sind ein Risiko, das man gegen die Vorteile abwaegen muss.

      Ein Risiko fuer die Demokratie sind Buergerrechte abbauende Politiker. Und gegen die hilft die Vermeidung zentraler Daten nichts. In Deutschland wird wahnsinnig viel Energie auf einen Datenschutz-Kampf verschwendet, der im Ergebnis gerne mal kontraproduktiv ist, und die echte Bedrohung ignoriert oder gar verstaerkt.

      Wenn die an die Macht kommen, gegen die sich viele durch Vermeiden zentraler Daten zu schuetzen suchen, werden letztere eine boese Ueberraschung erleben: das fehlen zentraler Daten wird sie nicht schuetzen. Genau gar nicht. Nicht zu Reden vom dann schnell moeglichen Etablieren beliebig zentraler Datenbestaende.

      Demokratie staerkt man nicht durch Datenschutz. Demokratie staerkt man durch buergerliches Engagement (das beinhaltete das passive Wahlrecht) und konsequente Wahl demokratisch gesinnter Politiker.

      1. Vergessen Sie mal nicht die oftmals ausgeblendeten Übergangszustände, es fängt mit „Unterstützern“ und Mitläufern an, denn alle sind auf Mitarbeit angewiesen.

        Wo hat eine Datenschutzdiskussion irgendetwas aufgehalten?

  4. Wenn der Änderungsantrag schon „Microsoft Word – 210430 Koa-Änderungsantrag eID.docx“ heißt und als pdf veröffentlicht wurde, dann habe ich so meine Zweifel, ob sich der Gesetzgeber vorstellen kann, was „die Hürden sehr hoch“ zu halten technisch bedeuten könnte. Ich denke, die sehen das wie als „das ist verboten“ und meinen, damit ihrer Verantwortung genüge getan zu haben. „Es kann nicht sein, was nicht sein darf“ finde ich ziemlich naiv.

    So langsam habe ich keine Lust mehr auf diesen Bullshit. Ich frage mich, was geschieht, wenn man die Abgabe von Biometriedaten verweigert, so lange bis der Druck menschenrechtswidrig wird. Wird man da irgendwann zum politischen Gefangengen? Zum Terroristen erklärt?

    Dumm nur, das selbst nur eine gefühlte Notwendigkeit zu zivilem Ungehorsam destabilisierend für den Staat ist, der immerhin auch mein Staat ist. Haben wir nicht schon genug Querdenker, Rechtsradikale und andere Spinner? Wackelt es nicht schon genug im Gebälk, wenn man sich Korruption, Polizeiskandale und Anderes ansieht?

    Die andauernd gesteigerten Überwachungsforderungen führen irgendwann zu einer Spirale aus Kontrolle, Protesten und Widerstand, dem dann wieder mit mehr Kontrolle begegnet wird. Siehe Versammlungsrecht in Bayern oder jetzt NRW. Zwei sind eine Versammlung? Die spinnen doch. Irgendwann verliert diese Spirale jegliche Vernunft und Ratio. Hab’t ihr super gemacht, ihr „da oben“. Echt toll.

    1. Das ist 15 Jahr her, die Welt hat sich weitergedreht, PDF ist ein Standard und allgemein verfuegbar.

      Abgesehen davon ist das kein „Austausch“, sondern das Publizieren eines Dokumentes, und das wuerde heute jeder in PDF machen.

    2. 100% nachvollziehbar.

      Die ganze „fancy shit“ welle sollte mal auf Land treffen.

      Davon ab, sind heutige Platzhirschbrowser leider auch überkomplex, und zumindest kann man mit HTML – im Sinne von KÖNNEN – auch Barrieren und Sicherheitsrisiken begünstigen, z.B. wenn man auf aktive Inhalte setzt, manchmal nur wenn der Browser „denkt“, solche wären unterstützt. Damit will ich eigentlich sagen, dass es der Erkenntnis und Einsicht bedarf, alles staatliche und rechtsverbindliche auf statische, prinzipiell formal verifizierbare breit verfügbare (Lesen, Schreiben, Editieren, …) bzgl. des Inhalts strukturierte Formate umzustellen, für die es auch einen versionierten Standard gibt, auf den man sich berufen kann, der natürlich auch frei zugänglich sein muss. Hier ist Komplexitätsvermeidung durchaus überlebenswichtig. Der Unwille zu Standards und Schnittstellen in der Planung sorgt vermutlich für 95,0625% aller Digitalisierungsprobleme in Deutschland :) – unter der Perspektive, dass man dafür natürlich schon allerlei Können benötigt, an welchem Entscheidungsträger bei uns in DEU gerne mal den Sparfuchs drangerieben haben.

      1. Dazu sollte vielleicht tatsächlich etwas benutzt werden, was NICHT für publishing gedacht war, also wirklich an allen Ecken und Enden minimal ausgelegt ist. Kann sein, dass eine ältere HTML-Version da ganz gut rankommt, aber schon Postscript würde vielleicht einige Kürzungen vertragen.

        Ziel sollte sein, dass das auch auf Mikroprozessoren, mit SD-Karte und nicht zu viel Magie, laufen kann. Ich würde auch JETZT über Postquantumzeugs nachdenken.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.