Fingerprint-Pässe im Ministerrat

Der Ministerrat hat die Einführung von Fingerprint-Pässen beschlossen. Biometrieexperten und Opposition bemängeln die schwache Sicherheit von Fingerabdruck-Scannern. Auch die Ermächtigung der Sicherheitsbehörden, auf die Fingerabdruckdaten im Pass zuzugreifen, gehe über die Anforderungen der EU hinaus.

Anlässlich einer Pressekonferenz am Mittwoch in Wien haben Innenminister Günther Platter [ÖVP] und Justizministerin Maria Berger [SPÖ] einige Grundzüge des neuen Passgesetzes vorgestellt. Das neue Passgesetz ermächtigt die österreichischen Behörden dazu, von Bürgern Fingerabdrücke zu nehmen und diese auf dem Chip ihres Reisepasses abzuspeichern. Es soll am Mittwoch den Ministerrat passieren und im Herbst dieses Jahres vom Parlament abgesegnet werden.

Die Innenminister der USA und der EU wollen die Reisedokumente mit dieser Maßnahme fälschungssicher machen. Auf den bisher ausgegebenen Chip-Pässen sind die auf dem Pass zu sehenden Daten zum Besitzer sowie dessen Passbild im JPEG-Format gespeichert.

Abdrücke der Zeigefinger

Die neuen Pässe sollen ab Frühjahr des kommenden Jahres, spätestens aber ab 28. Juni 2009 ausgegeben werden können, so Platter, der sich von dem neuen System "ein Mehr an Sicherheit" erhofft. Die Dauer der Ausstellung ab Antrag ändere sich nicht und betrage nach wie vor fünf Werktage. Die Kosten für den Fingerprint-Pass betragen 69,90 Euro.

Gespeichert werden sollen die Abdrücke der beiden Zeigefinger. Personen, bei denen es nicht möglich ist, zwei Fingerabdrücke abzunehmen, können sich auch einen Notpass oder ein Passdokument ohne gespeicherte Fingerabdrücke ausstellen lassen. Wer die Fingerabdrücke vorweisen kann, sie aber den Behörden nicht überlassen will, bekommt keinen Pass [§ 14].

Neues Chipmodell für den Pass

Auf den bisher ausgegebenen Sicherheitspässen können die Fingerabdrücke nicht nachträglich abgespeichert werden. Auch noch nicht abgelaufene Pässe ohne Chip müssen nicht umgetauscht werden und sind weiterhin gültig.

Laut Justizministerin Berger, die der Einführung der Biometriepässe bereits im EU-Parlament zugestimmt hat, sollen die Fingerabdrücke zur Verarbeitung bei der Staatsdruckerei bis zu vier Monate gespeichert werden dürfen. Diese Frist sei nötig, um Pässe auch an Auslandsösterreicher ausliefern zu können. Es sei ansonsten nicht geplant, die Fingerabdruckdaten auf nationaler oder auf EU-Ebene zentral zu speichern. Das Gesetz erlaubt die lokale Datenverarbeitung von Fingerabdruckdaten. Auch Bürgermeister sollen auf Wunsch der Bezirksverwaltungsbehörde Fingerabdrücke für den Passantrag abnehmen dürfen.

Justizministerin Maria Berger und Innenminister Günther Platter bei der Vorstellung der Passgesetz-Pläne am Mittwoch im Bundeskanzleramt.

Markierung von Minderjährigen

Personalausweise für Bürger unter 16 Jahren sollen sich künftig farblich von anderen Personalausweisen unterscheiden.

• Parlament: Materialien zum neuen Passgesetz

Zertifikate und neue Chips

Zugriff auf die Daten bekommen die Passbehörden, die es auch den Bürgern ermöglichen müssen, die Daten auf ihren Pässen überprüfen zu können, sowie "die mit der Kontrolle der Echtheit der Reisepässe betrauten Behörden", wie es in den Materialien zum Ministerentwurf des Gesetzes heißt. In Paragraf 22d ist der Bundesminister für Inneres aber auch ermächtigt, den Sicherheitsbehörden "zur Wahrnehmung von Aufgaben der Kriminal- und Sicherheitspolizei" Zugriff auf die Fingerabdruckdaten in den Pässen zu gewähren.

Selbstverständlich sollen auch ausländische Behörden auf die Fingerabdrücke österreichischer Bürger zugreifen dürfen. Die Fingerabdruckdaten sind in den neuen Pass-Funkchips über ein Zertifikat gesichert, das im Innenministerium ausgegeben wird. Nur wer dieses Zertifikat hat, soll die Fingerabdruckdaten auslesen können.

Weitergabe an andere Staaten

Das Zertifikat wird an die Behörden anderer Staaten weitergegeben, falls diese Bedingungen laut einer "Certificate Policy", also einer Richtlinie zum Umgang mit den Fingerprint-Daten erfüllen, die derzeit auf EU-Ebene erarbeitet wird.

In dieser Policy sollen auch die Datenschutzregeln festgelegt werden, denen die Mitgliedsstaaten hinsichtlich der Verarbeitung von Fingerprint-Daten entsprechen müssen. Die anderen Staaten sollen sich darauf verpflichten, die Fingerprint-Daten nur zu Grenzkontrollen zu verwenden.

Die Kosten zur Erstellung der entsprechenden Infrastruktur für die Benutzung des Zertifikats und die notwendigen Änderungen im Identitätsdokumentenregister belaufen sich laut den Materialien zum Gesetz auf rund eine Million Euro, die von Bund, Ländern und Gemeinden bezahlt werden sollen.

Details aus der Staatsdruckerei

Die Österreichische Staatsdruckerei, die mit der Herstellung der Ausweisdokumente beauftragt ist, hat am Mittwoch in einer Aussendung mitgeteilt, dass die Fingerabdruckdaten verschlüsselt in den Hochsicherheitsbereich des Unternehmens übermittelt werden würden, der von den anderen Bereichen der Druckerei getrennt sei. In diesem Bereich gelte das Vier-Augen-Prinzip, nur staatlich geprüftes Personal habe Zutritt.

Die Fingerabdrucksdaten würden nach vier Monaten automatisch unter Einsatz des "Degaussing"-Verfahrens vernichtet, sodass sie auch von entsorgten Datenträgern nicht mehr hergestellt werden könnten.

Kosten unbekannt

In den Materialien steht allerdings nicht, wie viel die Fingerabdruck-Scanner kosten sollen, die in den Behörden zum Einsatz kommen werden. Eine entsprechende Ausschreibung ist am 3. Juni zu Ende gegangen.

Auf Nachfrage von ORF.at wollte sich Minister Platter nicht dazu äußern, wie viel die Scanner kosten werden, wer sie liefern wird und wer die Kosten dafür tragen soll. Die österreichischen Gemeinden hatten sich unlängst darüber beschwert, dass sie an den Kosten für die Scanner beteiligt werden sollen. Der österreichische Gemeindetag schätzt die Kosten für einen Scanner auf 1.000 Euro.

• Widerstand gegen Fingerprint-Pässe

Die Umgehung des Systems

Bei den Scannern sehen auch Kritiker wie der Biometrie-Experte Starbug das Problem. Die Verschlüsselung der Fingerabdrücke auf den Chips sei zwar recht sicher, aber auch der teuerste Scanner, mit dem die Fingerabdrücke abgenommen und bei Kontrollen geprüft werden, könne mit einfachsten Mitteln aus dem Baumarkt problemlos ausgetrickst werden, sagte der CCC-Hacker auf einer Veranstaltung der Bürgerrechtsorganisation Quintessenz Ende Mai in Wien, wo er innerhalb weniger Minuten einen Fingerabdruck kopierte und eine funktionsfähige Attrappe davon herstellte.

• CCC: Anleitung zum Duplizieren von Fingerabdrücken

• Der biometrische Rüstungswettlauf

Die Kritik

Grundsätzliche Kritik an der Speicherung von Fingerabdrücken im Pass kommt von den Grünen, wo Sicherheitssprecher Peter Pilz und die Wiener Landtagsabgeordnete Marie Ringler kürzlich den Fingerabdruck von Innenminister Platter zum Download aus dem Internet bereitstellten, sowie vom LIF-Abgeordneten Alexander Zach. Pilz stellte in einer Aussendung vom Mittwoch fest, dass in Österreich 2007 lediglich zehn gefälschte österreichische Pässe aufgetaucht seien. "Deshalb Millionen unverdächtiger Menschen Fingerabdrücke abzunehmen, ist unverhältnismäßig", so Pilz.

Sowohl die Grünen als auch das LIF kritisieren die Erfassung der Fingerabdrücke als tiefen Eingriff in die Bürgerrechte.

In einer Aussendung vom Mittwoch warf Zach Platter vor, mit Paragraf 22d des neuen Passgesetzes den Sicherheitsbehörden zur Wahrnehmung von Aufgaben der Kriminal- und Sicherheitspolizei den Zugriff auf die Fingerabdruckdaten zu ermöglichen und damit weiter zu gehen als die EU-Verordnung, die die Verwendung der Daten nur zu Zwecken der Grenzkontrolle vorsehe.

Auch die lange Speicherdauer von vier Monaten kritisierte Zach. In Deutschland würden die Fingerprint-Daten zu Verarbeitungszwecken nur fünf Tage lang gespeichert. Das bedeute einen massiven Eingriff in das verfassungsrechtlich geschützte Recht auf Datenschutz, der nur "in der gelindesten zum Ziel führenden Art" vorgenommen werden dürfe.

• Grüne Kampagne gegen Biometriepässe

(futurezone | Günter Hack)