Forschung
Die Einführung des neuen Reisepasses mit biometrischen Merkmalen war in Deutschland sehr umstritten. Datenschützer und Computerexperten sind der Meinung, dass die neuen elektronischen Daten in dem sogenannten ePass keinen sicherheitspolitischen Mehrwert bringen, sondern selbst ein datenschutzrechtliches Risiko darstellen. Der Bundesdatenschutzbeauftragte hat die Einführung biometrischer Merkmale stets kritisch gesehen, und ein Bochumer Rechtsanwalt hat bereits Klage gegen den neuen Pass eingereicht, weil er sein Grundrecht auf informationelle Selbstbestimmung verletzt sieht. Danach sind die biometrischen Daten im Reisepass ungenügend gesichert, sodass sie von Dritten unbemerkt ausgelesen und dann auch verwendet werden können. Das Datenschutzzentrum Schleswig Holstein schreibt: „Die Biometrie im ePass soll eingeführt werden, um den Identitätsmissbrauch zu verhindern - in Wirklichkeit wird er aber erhöht, weil durch den ePass biometrische Merkmale wie das Bild des Passinhabers mit hoher Qualität weltweit verfügbar gemacht werden. Was nutzt mir die Vertrauenswürdigkeit eines deutschen Grenzschützers, wenn ich im Ausland meinen Reisepass nicht nur vorlegen, sondern häufig auch aus der Hand geben muss, in vielen Hotels über Nacht, sodass die biometrischen Merkmale ausgelesen und für andere Zwecke verwendet werden können?"
Zudem sind die geplanten ePässe mit sogenannten RFID-Chips ausgestattet, aus denen die biometrischen Informationen kontaktlos und unbemerkt ausgelesen werden können. Mit einem solchen Pass kann jeder Passinhaber elektronisch aus geringen Abständen geortet und verfolgt werden. Der Datenschutzbeauftragte von Schleswig-Holstein schlägt deshalb vor, den neuen ePass in eine Alufolie einzuwickeln, um das unbefugte und unbemerkte Auslesen der Daten zu verhindern.
Die neuen ePässe werden derzeit von den niedersächsischen Kommunen ausgegeben. Eine Aufklärung über den Inhalt und die Gefahren des neuen Passes für die Bürgerinnen und Bürger ist aus Verbrauchersicht und aus Datenschutzgründen sinnvoll. Das Innenministerium hat in einem Schreiben an die Landkreise und kreisfreien Städte allerdings von einer „unnötigen Verunsicherung" durch Aufklärung gemahnt und den Passbehörden von der Aushändigung von Merkblättern und Aluminiumschutzhüllen abgeraten.
Ich frage die Landesregierung:
1. Warum sollen niedersächsische Passbehörden die Bürgerinnen und Bürger in Niedersachsen nicht über die Funktionsweisen und Gefahren des unbefugten Auslesens der ePassdaten informieren?
2. Warum können die Kommunen bzw. Passbehörden nicht autonom entscheiden, wie sie die Einführung des neuen Passdokumentes praktizieren?
3. Ist das Innenministerium in dieser Frage weisungsbefugt? Wenn ja, auf welcher gesetzlichen Grundlage?
4. Welche Meinung vertritt der unabhängige Landesdatenschutzbeauftragte in der Frage hinsichtlich datenschutzrechtlicher Gefahren des neuen ePasses?
5. Ist das unbefugte Auslesen der gespeicherten Daten auf dem RFID-Chip auf dem ePass definitiv unmöglich?
6. Wie bewertet die Landesregierung die Empfehlungen des internationalen FIDIS-Projektes für eine Schutzhülle für den ePass, um unbefugtes Auslesen zu verhindern?
7. Welches Verfahren wählen andere Bundesländer und die Passbehörden bei der Ausgabe der neuen Pässe?
8. Warum ist es eine „unnötige Verunsicherung", wenn Bürgerinnen und Bürger über Funktionsweisen und Missbrauchsgefahren von neuen technischen Verfahren und Identifizierungsmechanismen aufgeklärt werden?
9. Ist es nicht vielmehr umgekehrt eine politische Verunsicherung durch die Exekutive, wenn eine angemessene Aufklärung unterbleibt bzw. sogar untersagt wird?
Zur Verbesserung der Fälschungssicherheit der Pässe sowie zur Verhinderung des Dokumentenmissbrauchs hat die EU mit EG-Verordnung 2252/2004 vom 13.12.2004 die Einführung biometrischer Merkmale in Reisepässen verbindlich festgelegt. Der Bundesgesetzgeber hat diese Regelungen zwischenzeitlich in nationales Recht umgesetzt. Seit dem 01.11.2005 werden im Reisepass das Gesichtsbild und seit dem 01.11.2007 zwei Fingerabdrücke des Passinhabers elektronisch auf einem integrierten RFID-Chip gespeichert.
Dieser sogenannte ePass ist mit folgenden Sicherheitsmechanismen vor unbefugten Zugriffen geschützt:
Der RFID-Chip kann grundsätzlich nur auf einer Entfernung bis zu 15 bis 20 cm ausgelesen werden; dabei gibt der Chip die gespeicherten Informationen gegenüber einem Lesegerät erst dann frei, wenn dieses die Daten der auf der Passkarte abgedruckten maschinenlesbaren Zone (MRZ) kennt und sich damit gegenüber dem Chip authentifizieren kann. Daher setzt jedes Auslesen voraus, dass das Passbuch aufgeschlagen und diese Zone optisch ausgelesen wird. Aus den auf der MRZ u. a. enthaltenen Daten des Geburtsdatums, der Passnummer sowie des Ablaufdatums berechnet das Lesegerät einen passindividuellen Zugriffsschlüssel, den es an den Chip übermittelt.
Nur wenn dem Chip der richtige Schlüssel übermittelt wird, gibt er die in ihm gespeicherten Daten gegenüber dem Lesegerät frei (sogenannte Basic Access Control).
Für die Fingerabdrücke ist darüber hinaus ein zusätzlicher Sicherheitsmechanismus entwickelt worden: Nur Lesegeräte, die über Berechtigungszertifikate des den Pass ausstellenden Staates verfügen, können die Fingerabdrücke auslesen (sogenannte Extended Access Control).
Um einer ungewollten Ortung und Verfolgung des Passinhabers entgegenzuwirken, sind ebenfalls Schutzmechanismen implementiert worden: neben der physikalischen Grenze - bedingt durch die geringe Reichweite des Chips - und den oben beschriebenen Zugriffsschutz verhindert zusätzlich die Verwendung von zufälligen Identifikationsnummern (Chip-ID) die Erstellung von Bewegungsprofilen. Diese Chip-ID wird bei den Chips des ePasses bei jeder Kommunikation mit einem Lesegerät zufällig neu generiert und ist nur bis zum Ende dieses konkreten Kommunikationsvorgangs gültig.
Wird der Chip anschließend erneut in ein Feld eines (anderen) Lesegerätes eingeführt, identifiziert sich der Chip mit einer neuen - ebenfalls zufällig generierten - Chip-ID. Die Nachverfolgung des Chips über mehrere Lesegeräte hinweg ist daher nicht möglich.
Die Gefahr der unbemerkten Nutzung der Passdaten - beispielsweise durch Hotels, in denen der Pass abgegeben werden muss - wird nicht höher eingestuft, als dies auch bei Pässen ohne elektronische Chips der Fall war: bis auf die - durch besonderen Zugriffsschutz gesicherten - Finger2 abdrücke sind sämtliche auf dem Chip gespeicherten personenbezogenen Daten auch visuell auf der Passkarte erkennbar, sodass es keinen zusätzlichen „Gewinn" durch das Auslesen des Chips gäbe. Darüber hinaus wären Fingerabdrücke, die jeder Hotelgast während eines Hotelaufenthalts hinterlässt, sowie digitalisierte Lichtbilder des Passinhabers durch den Einsatz von Digitalkameras ohne besonderen Aufwand auch auf anderen Wegen zu bekommen.
Aufgrund dieser technischen Sicherheitsmechanismen ist ein Auslesen des Chips durch unbefugte Dritte nach derzeitigem Stand der Technik unter realistischen Bedingungen nicht möglich.
Die gegenteilige Auffassung wird von manchen Datenschützern, u. a. dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD), vertreten. Das ULD hat ein Merkblatt herausgegeben, in dem auf die vermeintlichen Risiken des ePasses hingewiesen und eine Umhüllung des ePasses mit einer Aluminiumfolie empfohlen wird. Einige Gemeinden in Schleswig-Holstein haben diese Empfehlung aufgegriffen und entsprechende Umhüllungen für 6 Euro zum Kauf angeboten.
Das Ministerium für MI hat auf entsprechende Bitte des Bundesministeriums des Innern (BMI) die niedersächsischen Passbehörden angewiesen, von der Verteilung des Merkblatts und einem Verkauf einer Umhüllung abzusehen.
Dies vorausgeschickt, beantworte ich die Kleine Anfrage namens der Landesregierung wie folgt:
Zu 1: Die Bürgerinnen und Bürger Niedersachsens sind - anders als der Fragesteller unterstellt - sehr wohl über den neuen ePass und seine Funktionen sowie über die Sicherheitsmechanismen durch bundeseinheitliche Informationen und durch Berichterstattung in der Presse informiert worden. Zu diesem Zweck haben sowohl das BMI als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Internet Informationsblätter zur Verfügung gestellt, die auch von den Passbehörden genutzt werden.
Es gehört dagegen nicht zu den Aufgaben der Passbehörden, fachlich unzutreffende Kritik wiederzugeben.
Zu 2 und 3: Die Passbehörden führen ein in der ausschließlichen Gesetzgebungskompetenz des Bundes liegendes Gesetz aus. Es handelt sich also um eine Aufgabe im übertragenen Wirkungskreis. Als oberste Fachaufsichtsbehörde ist das MIgegenüber den Gemeinden als Passbehörden weisungsbefugt. Die Fachaufsicht wird auf der Grundlage der §§ 127 Abs. 1 Satz 2 i. V. m. 128 Abs. 3 NGO wahrgenommen. In diesem Rahmen ist sicherzustellen, dass die Gemeinden ihre Aufgaben rechtmäßig und zweckmäßig erfüllen. Auf eine einheitliche Handhabung ist zu achten.
Zu 4: Der Niedersächsische Landesbeauftragte für den Datenschutz führt in seiner Stellungnahme aus, dass in anerkennenswerter Weise durch eine komplexe technische Architektur sowie durch ebenso komplexe Verarbeitungsprozesse eine relative Sicherheit in den ePässen implementiert werden konnte. Vor dem Hintergrund der zehnjährigen Gültigkeitsdauer von Reisepässen seien Restrisiken in Anbetracht der weiteren Softwareentwicklungen jedoch nicht vollständig auszuschließen. Aus Verbrauchersicht halte er eine Aufklärung der Bürgerinnen und Bürger über diese Restrisiken sowie die Ausgabe von Aluminiumschutzhüllen für sinnvoll.
Zu 5: Ein missbräuchliches Auslesen des Chips ist nach derzeitigem Stand der Technik unter realistischen Bedingungen nicht möglich. Chipkompromittierungen sind bisher nicht bekannt geworden.
Zu 6: Das vom Fragesteller zitierte FIDIS-Projekt ist ein fünfjähriges Projekt im Rahmen des 6. EU-Forschungs-Rahmenprogramms (FP 6), das im April 2004 gestartet wurde. Die Abkürzung steht für „Future of Identity in the Information Society". Mitwirkende in dem Projekt sind Universitäten, Softund Hardware-Firmen sowie Datenschützer wie das ULD.
Ein Projekt von FIDIS mündete in die sogenannte Budapester Erklärung vom September 2006. In dieser wird angeregt, dass die damals vorhandenen maschinenlesbaren Dokumente durch einen Faradayschen Käfig geschützt werden sollten. Die zitierte Empfehlung ist nicht speziell auf den deutschen ePass zugeschnitten, sondern eine allgemein gehaltene Erklärung zu Risiken maschinenlesbarer Ausweisdokumente. Die Landesregierung geht davon aus, dass aufgrund der in der Vorbemerkung erläuterten Sicherheitsstruktur der deutsche ePass nicht mit einer Schutzhülle geschützt werden muss.
Zu 7: Der Bundesminister des Innern hat mit Schreiben vom 23.11.2007 sämtliche Bundesländer gebeten, bei den kommunalen Passbehörden darauf hinzuwirken, dass dort keine Aluminiumschutzhüllen für Reisepässe ausgegeben werden. Die Landesregierung geht daher davon aus, dass in den anderen Bundesländern entsprechend verfahren wird. Gegenteilige Erkenntnisse liegen nicht vor.
Zu 8 und 9: Siehe Antwort zu 1.