Biometrische AusweisbilderBundesregierung plant schnelleren Zugriff für Sicherheitsbehörden

Die Bundesregierung hat einen Gesetzesentwurf verabschiedet, der das Passwesen modernisieren soll. Tatsächlich aber ebnet der Entwurf der Altersverifikation im Netz und der biometrischen Identifizierung bei Videoüberwachungssystemen den Weg.

Der neue Personalausweis. mit eingeblendetem Hologramm.
Die Bundesregierung will das „Umsetzungsdefizit“ beim automatisierten Lichtbildabruf für Sicherheitsbehörden beseitigen – IMAGO / Jochen Tack

In der vergangenen Woche hat das Bundeskabinett den Gesetzesentwurf „zur Modernisierung des Pass-, des Ausweis- und des ausländerrechtlichen Dokumentenwesens“ beschlossen. Vorgelegt hatte ihn Bundesinnenministerin Nancy Faeser (SPD).

In dem Entwurf sind aus digitalpolitischer Sicht besonders zwei Aspekte interessant. Zum einen sieht das Gesetzesvorhaben vor, das Mindestalter für die Nutzung des Online-Ausweises von derzeit 16 auf künftig 13 Jahre zu senken. Zum anderen sollen Sicherheitsbehörden fortan Lichtbilder aller Bürger:innen automatisiert und zu jeder Zeit bei Pass- und Personalausweisbehörden abrufen können.

Regierung ebnet Altersverifikation den Weg

Durch die Senkung der Altersschwelle sollen Jugendliche laut Bundesinnenministerium (BMI) „eine sichere Möglichkeit erhalten, für sie zugängliche Plattformen und soziale Medien zu nutzen“. Das betrifft insbesondere Angebote, die eine Altersbeschränkung haben.

Offiziell dürfen Jugendliche erst ab dem Alter von 13 Jahren soziale Netzwerke wie Instagram nutzen. Auch für Pornoseiten fordern viele Politiker:innen bereits seit langem einen verpflichtenden Altersnachweis. Und die geplante Verordnung der EU-Kommission zur Bekämpfung sexualisierter Gewalt gegen Kinder könnte Anbieter ebenfalls zu Alterskontrollen verpflichten.

Alterskontrollen lassen sich auf unterschiedliche Arten durchführen. Das Verfahren mit dem elektronischen Personalausweis gilt als eine vergleichsweise datenschutzfreundliche Form. Damit lässt sich übermitteln, ob eine Person ein bestimmtes Alter hat, ohne sonstige Daten wie Namen oder Adresse zu offenbaren. Dennoch haben die Pläne gleich mehrere Haken.

Gegen das Recht auf Anonymität

Denn eine strengere Prüfung des Alters könnte dazu führen, dass sich selbst Chatdienste nicht mehr ohne vorherige Ausweiskontrolle nutzen lassen. Dabei könnten es viele Anbieter nicht bei der reinen Altersverifikation belassen, sondern stattdessen die Gelegenheit nutzen, um weitere persönliche Angaben der Jugendlichen abzufragen. Solche Daten – das lehren etliche Hacks und Leaks der Vergangenheit – gelangen immer wieder ungewollt an die Öffentlichkeit und werden von Kriminellen missbraucht.

Elina Eickstädt, Sprecherin des Chaos Computer Clubs, befürchtet zudem, dass sich Jugendliche frühzeitig an eine ständige Identifizierung im Internet gewöhnen. Das untergrabe ihr Recht auf Anonymität. Dieses Recht sei jedoch essenziell für die Demokratie: „Gerade für die politische Willensbildung ist es wichtig, dass Bürger:innen sich informieren und miteinander diskutieren können, ohne sich beobachtet oder verfolgt zu fühlen“, so Eickstädt.

Eine verpflichtende Altersverifikation würde zudem dazu führen, „dass Personen ohne Papiere generell keinen Zugriff auf grundlegende Kommunikationsdienste erhalten. Sie wären damit sowohl von wichtigen Partizipationswerkzeugen als auch von Hilfsangeboten ausgeschlossen“.

Automatisierter Lichtbildabruf zu jeder Zeit

Darüber hinaus soll das geplante Passgesetz ein „Umsetzungsdefizit“ beim automatisierten Lichtbildabruf für bestimmte Sicherheitsbehörden beseitigen. Zwar gibt es die entsprechende Befugnis seit bereits knapp sechs Jahren. Allerdings scheitere der Abruf laut BMI noch immer allzu oft an der technischen Umsetzung.

Die Bundesregierung will daher die rund 4.300 kommunalen Meldeämter hierzulande dazu verpflichten, „den automatisierten Lichtbildabruf für die hierzu berechtigten Behörden zu jeder Zeit zu ermöglichen“. Dazu werde es laut Gesetzentwurf „vermutlich eine Spiegeldatenbank auf Länderebene geben, in welcher die einzelnen Pass- und Ausweisbehörden ihre Informationen hochladen bzw. abrufen können“.

Im Mai 2017 hatte die Große Koalition den Geheimdiensten das Recht eingeräumt, Biometriedaten aus Ausweisen und Pässen automatisiert abrufen zu dürfen – ohne diese Datenweitergabe an nennenswerte Bedingungen zu knüpfen. Ausschlaggebend ist nach § 25 Personalausweisgesetz (PAuswG) allein, dass die Geheimdienste damit der „Erfüllung ihrer Aufgaben“ nachkommen.

Gegen diese weitgehend unbeschränkte Abrufbefugnis hat die Gesellschaft für Freiheitsrechte (GFF) im Jahr 2018 Verfassungsbeschwerde eingelegt, entschieden wurde darüber jedoch noch nicht. Die Klageschrift kritisiert, dass angesichts „der heute sehr weit vorangeschrittenen Vernetzung der Behörden untereinander […] funktional eine bundesweite Datenbank für biometrische Merkmale errichtet“ werde. Eine solche Datenbank schließt das Personalausweisgesetz eigentlich aus. Dort heißt es: „Eine bundesweite Datenbank der biometrischen Merkmale wird nicht errichtet.“ Klageführer sind unter anderem Markus Beckedahl und Andre Meister von netzpolitik.org.

Biometrische Bilder für die Videoüberwachung

Den Ausbau einer biometrischen Schattendankbank will die Bundesregierung mit ihrem aktuellen Gesetzesentwurf offenkundig weiter vorantreiben. Die darin enthaltenen Daten könnten die Sicherheitsbehörden auch für retrograde biometrische Identifizierung bei Videoüberwachungssystemen einsetzen, also für eine nachträgliche Auswertung von Bild- und Videomaterial.

Für diese Form der Überwachung spricht sich die Bundesregierung offen aus. So hat sie in den aktuellen Verhandlungen zum europäischen AI Act zwar die Echtzeitauswertung mit Gesichtserkennungsverfahren ausgeschlossen. Allerdings befürwortet sie es, dass Videoaufnahmen oder andere Überwachungsmaterialien quasi auf Vorrat vorgehalten werden, damit diese im Nachgang mit Hilfe biometrischer Verfahren analysiert werden können.

Dass die geplante Modernisierung des Passwesens „den Kreis zur Positionierung der Bundesregierung im AI Act“ schließt, befürchtet auch Elina Eickstädt vom CCC. Damit aber würde die Ampel-Regierung gegen den eigenen Koalitionsvertrag verstoßen. Dort heißt es explizit: „Flächendeckende Videoüberwachung und den Einsatz von biometrischer Erfassung zu Überwachungszwecken lehnen wir ab. Das Recht auf Anonymität sowohl im öffentlichen Raum als auch im Internet ist zu gewährleisten.“

Auch aus diesem Grund erfährt der Kabinettsentwurf bereits Gegenwind aus Reihen der Koalition. Konstantin von Notz, stellvertretender Fraktionsvorsitzender der Grünen, hatte die „Aufrüstung der Geheimdienste“ unter der Großen Koalition im Jahr 2017 noch als „bürgerrechtsfeindlichen Hammer“ bezeichnet. Auf eine aktuelle Anfrage von netzpolitik.org betonte er, „dass bei der Verarbeitung von teilweise besonders sensiblen personenbezogenen Pass- und Ausweisdaten die Einhaltung von höchsten IT-Sicherheits- und Datenschutzstandards strukturell sichergestellt werden“ müsse, um die Freiheitsrechte zu schützen. Die Grünen würden daher sehr genau prüfen, „ob und inwiefern im parlamentarischen Verfahren nachgebessert werden muss, um diesem Anspruch umfassend gerecht zu werden.“

12 Ergänzungen

  1. Vielleicht sollte auch mal den letzten Menschen klar werden, dass die Grünen keine bürger- und freiheitsrechtsfreundlichere Partei sind als alle anderen, sobald diese nicht mehr in der Opposition sondern an der Regierung sind. Und genau so sollten sie dann künftig auch behandelt werden – als Überwachungspartei.

    Das Versprechen, dass irgendwelche Standards eingehalten werden, ist als das übliche und politisch vollkommen wertlose Blabla zu verordnen. Versprechen gab es schon bei der Steuernummer, die nun trotzdem zu einer PKZ wurde. Und spätestens den nächsten Notstand, Anschlag oder Hauch von Krise überlebt so ein Versprechen gemeinhin sowieso nicht.

    Jetzt kann die Chatkontrolle mit Altersverifikation der EU jedenfalls endlich kommen, oder? Mit Vorratsdatenspeicherung by proxy und dem erwünschten Abnutzungseffekt beim Gefühl, dass noch irgendwelche Daten vertraulich und irgendwelche Bereiche des Lebens nicht unter intransparenter Kontrolle stehen. Nächster Schritt ist dann die Scoring-Gesellschaft.

    1. Haben wir in Österreich auch.

      Die FPÖ (im Namen „Freiheitlich“) kritisierte in Oppositon ein Überwachungspaket inkl. SIM-Karten-Registrierung, Bundestrojaner, KFZ-Kennzeichen-Erfassung uvm… und versprach, es nie umzusetzen – in Regierung mit der ÖVP (= CDU) setzte sie es dann sofort 1:1 um.

      Soweit so schlecht. Bis auf die SIM-Karten-Registrierung und noch irgendwas ist fast alles vom Verfassungsgerichtshof ausgehoben worden.

      Nun sitzen die Grünen in einer Regierung mit der überwachungsaffinen ÖVP (= CDU), haben mit ihr in einem Regierungsprogramm FIX ausverhandelt, dass es eine „anonyme Nutzung technischer Infrastrukturen“ geben soll.

      Und was machen die dann? Ein neues TKG (keine Novelle!) 2021, in dem die SIM-Karten-Registrierung 1:1 aus dem alten TKG übernommen wurde.

      Dazu kommen noch etliche e-Government-Gesetze, die als Nebeneffekt auch den Austausch und die Sammlung biometrischer Daten (Fotos) erweitern, z.b. die Abschaffung des Kriteriums der Straftat für den Zugriff auf biometrische Fotos von Ausweisen.

      D.h. künftig reicht einfach der Wunsch einer Behörde, jemanden zu identifizieren für einen Foto-Abruf ohne Einwilligung. Er muss noch nichtmal etwas im Laden eingesteckt haben.

  2. In der Schweiz und den Vereinigten Staaten existiert keine Ausweispflicht, oft mit der Begründung, die Einführung einer solchen sei ein Schritt zum Überwachungsstaat. In Österreich besteht für österreichische Staatsbürger keine Ausweispflicht.

    Während der NS-Diktatur wurde die Ausweispflicht in Deutschland in Form der Kennkarte 1938 zunächst für Juden und wehrfähige Männer eingeführt und am 10. September 1939, kurz nach Kriegsbeginn, auf alle über 15 Jahre alten deutschen Staatsbürger ausgeweitet.

    Eine gesetzliche Mitführpflicht besteht nur in Ausnahmefällen, zum Beispiel für Arbeitnehmer bestimmter Branchen während ihrer Arbeitszeit zur Verhinderung illegaler Beschäftigung. Nach allgemeiner Meinung besteht darüber hinaus keine gesetzliche Pflicht, sich ohne Grund auf amtliche Aufforderung auszuweisen.

    1. „Nach allgemeiner Meinung besteht darüber hinaus keine gesetzliche Pflicht, sich ohne Grund auf amtliche Aufforderung auszuweisen.“

      Das stimmt. Gründe gibt es dafür allerdings zahlreiche. Man wird i.d.R. bei Bedarf immer einen finden.

  3. Die Aelteren unter uns erinnern sich noch an die heiligen Schwuere bei Einfuehrung der biometrischen Photos, dass das niemals passieren wuerde.

    Die Eltern des Grundgesetzes wussten sehr genau, warum sie Politikern nicht trauten. Leider konnte man nur begrenzt Schutzmassnahmen einbauen, der Waehler muesste schon was fuer seine Rechte tun.

    Wenn der Faschismus in Deutschland wieder an die Macht kommt, wird er nicht sagen „ich bin der Faschismus“ sondern „alles zu unserer Sicherheit“.

    1. In Österreich genauso. Man versprach hoch und heilig, dass die Fingerabdrücke nicht gespeichert würden und dass diese nur auf dem „hochsicheren“ Chip seien und nur Stellen, die ein Zertifikat haben diese auslesen könnten. Daran hat man sich auch offenbar gehalten.

      Dass man die Fotos nicht nur für jeden auslesbar auf den Chip – aber zumindest noch unter der Kontrolle des Passinhabers, sondern in Österreich sogar in ein zentrales Register speicherte, erwähnte man nicht.

      Ebenso nicht, dass man diese Fotos ab 2020 ungefragt für e-Cards (Krankenversicherungskarten), künftig Studierendenausweise oder auch jede andere Art von Identitätsfeststellung, die KEINER gerichtlich strafbaren Handlung bedarf, heranziehen würde…

      Nebenbei bemerkt landen übrigens auch die Fotos von EU-Bürgern, die bei uns in Österreich arbeiten, daher krankenversichert sind und eine e-Card bekomme vollkommen DSGVO-widrig in einem Register des Innenministeriums.

      D.h. man arbeitet legal in Österreich als EU-Bürger und wird im Zuge der Beantragung einer Krankenversicherungs-Karte (e-Card) präventiv durch die Polizei bzw. das Innenministerium biometrisch registriert.

      Vor 20 Jahren musste man dafür als EU-Bürger noch ein schweres Verbrechen begehen – heute reicht es, seine Freizügigkeit als EU-Bürger zu nutzen und einer legalen Arbeit in Österreich nachzugehen.

      In 15 Jahren vom Terrorismus zum gläsernen Bürger:

      Vor 2005: Es gab keine Fotos von unbescholtenen österreichischen Staatsbürgern an zentraler Stelle

      2006: Einführung des Scheckkarten-FS und des biometrischen Reisepasses (letzterer wegen Terrorismus). Beginn der systematischen Speicherung von Fotos in zentralen Registern: FSR und IDR

      2019: Einführung der Foto-e-Card: Zugriff auf diese Register ohne Einwilligung, zusätzliche Registrierung von EU-Bürgern im IDR wegen e-Card

      2020: Erweiterung des Zugriffs auf das IDR für beliebige behördliche Zwecke, Studierendenausweise, uvm…

  4. 1. Wie wollen die das den Umsetzen, das werden die Sites ja immer nur in dem einen Land umsetzen, dann nutzt man halt VPNs oder Freifunkt etc.
    2. Die Websites die sich nicht dranhalten werden befinden sich sowieso außerhalb der rechtlichen Reichweite der deutschen Justiz.
    3. Wieso versucht sich die deutsche Justiz und Politik eigentlich nach wie vor seit Jahrzehnten an einem Kampf gegen Windmühlen gegen die Natur des Internets. (Natürlich ist das Internet auch kein rechtsfreier Raum, aber wenn die Leute für die einfachsten Dinge den Rechtsraum Deutschland umgehen müssen, werden ja doch nur noch mehr Möglichkeiten entstehen dies zu tun und die wenigen, die De aktuell zur Rechenschaft gezogen werden können sind dann plötlich auch nicht mehr in Reichweite)
    4. Selbst wenn jetzt eine Identifikationspflicht kommen würde, würde ich als Erwachsener wesentlich eher die Sperren umgehen, anstatt so ne Verifikation mitzumachen.

    Letztendlich scheint die Politik unabhängig von den Parteien einfach nichts in Sachen Digitalisierung dazuzulernern. Das ist fast so wie mit der Chat-Kontrolle, wo jetzt eine Ausnahme für Telefonnummerbasierte Services hinzugefügt wurde (oder zumindest werden sollte), wo sich fragt, was will man da eigentlich erreichen (Signal, WhattsApp und Threema sind dadurch außen vor, Telegram verschlüsselt eh nicht bzw. ist auch außerhalb der Justizreichweite, Discord verschlüsselt auch nicht, Matrix ist selfhosted bzw. OpenSource, da lässt sich das ja auch nicht durchsetzen usw.)

  5. Man sollte sich mal grundsätzliche Fragen – auch vor Gericht – stellen:

    Wozu dienen Ausweise eigentlich überhaupt?

    Antwort: Damit ein Mensch seine Identität gegenüber staatlichen und privaten Stellen beweisen kann, was üblicherweise mit seiner Mitwirkung, seinem Wissen und in einer sehr begrenzten Weise freiwillig passiert, wenn man die Dinge macht, bei denen man sich ausweisen muss (Bankkonto eröffnen, …)

    Braucht man gespeicherte Fotos, um einen Ausweis zu verifizieren?

    Antwort NEIN: Sowohl in der EU VO 2019/1157, als auch in den deutschen Gesetzen ist grundsätzlich das Auslesen des Datenträgers, der zumindest IMMER das Foto und die ersichtlichen Daten, gesichert mit digitalen Signaturen (Passive Authentication) nach ICAO-Standard enthält.

    Mit diesem Verfahren kann man nicht nur einen deutschen Ausweis, sondern jeden Ausweis oder Reisepass, der sich an die ICAO-Standards hält mit jedem NFC-Smartphone als echt verifizieren.

    Eine digitale Signatur mit ausreichender Schlüssellänge gilt als FÄLSCHUNGSSICHER – das gesamte e-Government basiert darauf.

    Was folgt nun daraus?

    Ein zentral gespeichertes Foto oder anderes biometrisches Merkmal ermöglicht es, dass seine Identität auch ohne seiner Mitwirkung oder seinem Wissen ermittelt wird, und zwar derzeit durch manuellen Abruf, später jedoch auch möglicherweise per Gesichtserkennung.

    Damit handelt es sich aber um eine (heimliche) Ermittlung. Da die Daten nicht für die Verifizierung benötigt werden (siehe oben), handelt es sich um Vorratsdaten.

    Für reine Vorratsdaten bräuchte es aber eine separate Begründung – diese müssten dann auch von allen Personen gesammelt werden, die KEINEN deutschen Ausweis besitzen, also allen in Deutschland lebenden EU-Bürgern, usw…

    Weshalb sollten Deutsche in Deutschland einfacher zu identifizieren sein als etwa andere EU-Bürger? Geht von Deutschen in Deutschland eine höhere Gefahr aus als von anderen EU-Bürgern?

  6. > Eine verpflichtende Altersverifikation würde zudem dazu führen, „dass Personen ohne Papiere generell keinen Zugriff auf grundlegende Kommunikationsdienste erhalten. Sie wären damit sowohl von wichtigen Partizipationswerkzeugen als auch von Hilfsangeboten ausgeschlossen“.

    Und ist das neu? Nein. Im Finanzsystem ist das ganz genau so. Versucht man unter Schutz eurer Priovatsphäre ein Konto zu bekommen. Unmöglich. Staatliche Totalüberwachung. Funktioniert perfekt. Also wird es auf andere Bereiche ausgeweitet. Es ist doch eine alte Weisheit: wehret den Anfängen. Wir haben uns gegen die totale staatliche Überwachung bei Finanzen nicht ausreichend gewährt, so wird es immer mehr. Und wie Schmidbauer sgate, ehemaliger Geheimdienstkoordinator der Bundesregierung: „die Überwachung der Finanzen ist die perfekte totale Überwachung“. Und die basiert auf dem Ausweis- und Meldezwang. Auch dagegen ahben wir uns nicht gewehrt, also treiben sie es immer schlimmer.

    Wer sich nicht gegen den Meldezwang wehrt, auf dem der Ausweiszwang basiert, wer sich nicht gegen den Ausweis- und Passzwang wehrt, auf dem der Zwang zur Abgabe biometrischer Infromationen, Bilder und Fingerabdrücke basiert, darf sich nicht beschweren wenn mit den zwangsweise zur Verfügung gestellten Daten die ohnehin schon totale staatliche Überwachung immer noch totalitärer wird.

  7. Der Staat ist das Problem.

    Niemand braucht Ausweise. Der Staat zwingt uns dazu, um Macht über uns ausüben zu kommen.

    Niemand braucht Pässe um zu reisen. Der Staat zwingt uns dazu, um Macht über uns ausüben zu kommen.

    Niemand muss anderen mitteilen, wo er wohnt oder in welchem Hotel er übernachtet. Der Staat zwingt uns dazu, um Macht über uns ausüben zu kommen.

    Niemand muss seine, ebenfalls staatliche aufgezwungene, Identität angeben, um ein Bankkonto zu eröffnen. Ein Konto kann auf eine Nummer lauten, auf irgendeinen Namen aus sonstwas, es ist egal, es funktioniert ohne Name. Der Staat zwingt uns dazu, um Macht über uns ausüben zu kommen.

    Alles, was uns schädigt, alles, was uns das Leben schwer macht, alles was uns stresst, Aufwand verursacht, das Leben verkürzt und am Ende umbringt ist die Schuld des Staates und nichts davon, gar nichts, brauchen wird.

    Wir müssen verstehen, dass der Staat das Problem ist, denn nur wenn wir verstehen, was das Problem ist, können wir uns davon befreien. Immer nur kammern, uns aber weiter dem Problem, dem Staat, all den nutzlosen Idioten, zu unterwerfen, vergrößert das Problem, statt es zu beseitigen. Also nicht mit millionenteuren Netzpolitikartikeln jammern, sondern Problem analysieren, beim Namen nennen und beseitigen. Problemlösungskompetenz.

    1. Blödsinn. Die Machtstrukturen sind es, so gut wie immer. Ihr implizit geäußertes „Konzept“ unterschlägt Notwendigkeit wie Komplexität, die diese zu ändern tatsächlich mit sich bringt.

      1. Ich glaube, das Post soll Internet mit dem analogen Leben in Beziehung setzen. Dabei werden Natur des Internets und der Plural von Staat, mit den sich darauscergebenden Konsequenzen, unterschlagen.
        Befürchtung: keine Satire.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.