„Versteckt“ in einem Gesetzentwurf zur erzwungenen Ausweitung der seit jeher unbeliebten eID-Funktion von Personalausweisen hat die Bundesregierung im Mai 2017 (verantwortlich: CDU, CSU, SPD) mit Hilfe von Bundestag und Bundesrat dafür gesorgt, dass alle Bundes- und Länder-Polizeien und alle Geheimdienste des Landes (BND, MAD, Landes- und Bundes-Inlandsgeheimdienste) pauschal, ohne Einzelfallbegründung oder richterliche Überprüfung automatisierten Zugriff auf die Personalausweis- und Passregister sämtlicher Melde- und Bürgerämter erhalten, in denen die Lichtbilder (aber nicht nur diese Daten) aller Personalausweise und Reisepässe gespeichert sind.
Mit Blick auf die offen artikulierten Absichten des derzeit geschäftsführend amtierenden Bundesinnenminister de Maiziere, hochauflösende Videoüberwachung öffentlicher Plätze in Verbindung mit automatisierten Gesichtserkennungssystemen installieren zu wollen, erhält diese von der Öffentlichkeit weitgehend unbemerkte Gesetzesänderung eine besondere Brisanz.
Einige Kritiker sehen weiterhin die Gefahr, dass sich die Geheimdienste ohne ausreichende Kontrolle und unbemerkt von der Allgemeinheit eine Datenbank mit Kopien aller Personalausweis-Lichtbilder, also biometrisch hochwertige Porträtbilder der gesamten Bevölkerung zulegen könnte.
Fatal: Die Meldebehörden und Bürgerämter dürfen/sollen laut Gesetz nicht protokollieren, welche der eben genannten Behörden wann welche Daten aus ihrem Datenbestand ausgelesen und abgegriffen haben. Lediglich die abrufenden Stellen sollen dieses protokollieren. Zu beachten dabei: Die Rechte der/des Bundesdatenschutzbeauftraten zur Kontrolle der Geheimdienste ist ebenfalls im letzten Jahr stark beschnitten worden.
Auch zur Verfolgung von Verkehrsordnungswidrigkeiten darf nun pauschal automatisiert auf die Lichtbilddateien zugegriffen werden. Dieses war für diese Behörden und für die Polizeien zuvor nur dann zulässig, falls die Meldeämter nicht erreichbar gewesen sind und sofern es die Ermittlungsziele gefährdet hätte, wenn man auf die Wieder-Erreichbarkeit der Meldebehörden gewartet hätte.
Die Gesetzesänderungen traten im wesentlichen zum 15.7.2017 in Kraft.
Wir haben bei einigen Polizeien und Geheimdiensten nachgefragt, in welchem Umfang von diesen neuen Befugnissen bislang Gebrauch gemacht worden ist und stießen dabei auf verhaltene bis nichtssagende Antworten, auf Antwortsverweigerung oder auf ebenso bemerkenswerte Antworten, wonach die Technik für die automtisierten Abgriffe noch gar nicht vorhanden sei. Ebenso gibt es erste Versuche, sich dieses Datenvertriebs, der das Grundrecht auf informationelle Selbstbestimmung massiv beschädigt, zu widersetzen.
Im folgenden Beitrag geht es um folgendes:
1. Welche Daten liegen in den Passregistern vor?
2. Was haben wir nachgefragt?
3. Wen haben wir befragt?
4. (Was) wurde geantwortet?
5. Widerspruch gegen die Datenübermittlung
6. Und wie tauschen die Meldeämter Daten aus dem Passregister untereinander aus? Eine vielsagende Anekdote!
Im Detail:
Welche Daten liegen in den Passregistern vor?
Es gibt zwei Register, die wir im folgenden gemeinsam als Passregister bezeichnen. Zum einen das Personalausweisregister (mit Daten zu allen ausgestellten Personalausweisen), zum anderen das Passregister (mit Daten zu allen ausgestellten Reisepässen). Welche Daten darin jeweils enthalten sind regeln der § 23 des Personalausweisgesetzes (PAuswG) und der § 21 des Passgesetzes (PaßG).
Ein Reisepass offenbart weniger Daten als ein Personalausweis. Auch wird man nun beim Beantragen eines elektronischen Personalausweises (Stichwort „E-Pass“) „dank“ der o.g. Gesetzesänderung) dazu gezwungen, die elektronische Identitätsfunktion des Staates zur eigenen Person („eID“) zu aktivieren. Das alles könnte für Persönlichkeitsrechtsaktivisten ein Grund zu sein, in Zukunft keinen Personalausweis mehr zu beantragen und zu nutzen, reicht doch laut Gesetz der Besitz eines gültigen Reisepasses völlig aus. Allerdings ist die Abgabe der Fingerabdrücke beider Zeigefinger beim Reisepass obligatorisch, beim Beantragen des Personalausweises dagegen optional. Doch das alles nur nebenbei.
Welche Daten werden nun in den Passregistern erfasst und bei den Meldebehörden gespeichert und können automatisiert und ohne Protokollierung des Datenabgriffs bei den Meldebehörden von Polizeien, Geheimdiensten etc. abgerufen werden?
Das sind im diese hier:
- Lichtbild
- Unterschrift des Ausweisinhabers
- verfahrensbedingte Bearbeitungsvermerke
- Familienname
- Geburtsname (ggf.)
- Vornamen
- Doktorgrad
- Geburtstag
- Ort der Geburt
- Geschlecht (nur im Reisepassregister)
- Körpergröße
- Farbe der Augen
- Wohnanschrift
- Staatsangehörigkeit
- Familienname, Vornamen, Tag der Geburt und Unterschrift des gesetzlichen Vertreters
- Seriennummer
- Sperrkennwort und Sperrsumme (nur im Personalausweisregister)
- letzter Tag der Gültigkeitsdauer
- ausstellende Behörde
- Vermerke über Verbote der Ausreise aus Deutschland oder über die Tatsache, dass bei Beurteilung einer Person als sog. „Gefährder“ dieser der Personalausweis oder Reisepass entzogen worden ist und dafür z.B. ein „Ersatz-Personalausweis“ ausgestellt worden ist, der in als eine solche „Gefährder“-Person markiert (siehe im Detail dazu die §§ 6 und 6a PAuswG sowie die §§ 7, 8 und 9 PaßG)
- Angaben zur Erklärungspflicht des Ausweisinhabers nach § 29 des Staatsangehörigkeitsgesetzes
- die Tatsache, dass die Funktion des Personalausweises zum elektronischen Identitätsnachweis ausgeschaltet wurde oder der Personalausweis in die Sperrliste eingetragen ist
Ordensname, Künstlername (nur im Personalausweisregister) - Nachweis über eine erteilte Ermächtigung zur Ausstellung des Ausweises durch die zuständige Passbehörde
1.) Wie viele automatisierte Abgriffe von Lichtbildern hat es seitens Ihrer Behörde vom 15.7.2017 bis zum 31.12.2017 gegeben?
2.) Wie verhält sich diese Zahl im Vergleich zu den Abgriffszahlen von Lichtbildern aus dem gleichen Zeitram des vorherigen Jahres (also vom 15.7.2016 bis zum 31.12.2016)?
3.) In welchem Umfang haben die Meldebehörden bislang überhaupt die technischen Vorraussetzungen zur Durchführung eines solchen automatisierten Lichtbild-Abrufs geschaffen, wie viele der Meldebehörden machen eine solche Datenabfrage derzeit überhaupt technisch möglich?
4.) Welche Stelle(n) überprüft/überprüfen die Einhaltung der Vorschriften zur Zulässigkeit automatisierter Lichtbild-Abgriffe durch Ihre Behörde?
- Bundespolizei (BP)
- Bundeskriminalamt (BKA)
- Polizeidirektion Hannover (PD-H)
- Auslands-Geheimdienst (Bundesnachrichtendienst – BND)
- Bundes-Inlands-Geheimdienst („Bundesamt für Verfassungsschutz – BfV“)
- Niedersächsischer Inlands-Geheimdienst („Niedersächsischer Verfassungschutz“)
Unsere Anfrage stellten wir vor rund einem Monat, am 7.1.2018. Seither haben wir bei den Stellen, die uns keine Rückmeldung erteilten, mindestens noch einmal nachgehakt.
Hier die Ergebnisse der (Nicht-)Antworten in chronologischer Reihenfolge:
Die Polizeidirektion Hannover kann mangels technischer Ausstattung noch keine automatisierten Abgriffe durchführen. Wir sollen in 2019 noch einmal nachfragen.
Der niedersächsische Inlandsgeheimdienst („Verfassungsschutz“) „nutzt die Möglichkeit eines automatisierten Abgriffs derzeit nicht“.
Das Bundeskriminalamt „verfügt nicht über einen Online-Zugriff auf Personalausweis- und Passregister“.
Die Bundespolizei weicht den beiden Fragen nach Zugriffszahlen aus und meint, keine „Statistiken“ über die automatisierten Datenabgriffe zu führen. Wir haben dem widersprochen mit Verweis auf die Pflicht zur Protokollierung seitens der datenabgreifenden Behörde, hierzu aber bis zum Zeitpunkt des Erstellens dieses Blogbeitrags keine weitere Antwort von der Bundespolizei erhalten. Ergänzend nur Nichtbeantwortung der Fragen 1 und 2 teilte uns die Bundespolizei aber mit, dass die Kontrolle der Einhaltung der Vorschriften lediglich durch den/die behördliche Datenschutzbeauftragte*n erfolgt. Von einer Kontrolle bspw. durch die Bundesdatenschutzbeauftragte also keine Spur …
Der Auslandsgeheimdienst des Bundes (BND) hat uns trotz inzwischen zweifachen Nachfragens bis heute keine Auskunft erteilt.
Ebenso hat auch das „Bundesamt für Verfassungsschutz“ (Inlandsgeheimdienst des Bundes) sich bislang verweigert, uns auf unsere Anfrage hin auch nur irgendetwas mitzuteilen.
Insbesondere das Totschweigen seitens der Bundes-Geheimdienste nährt die Befürchtung, dass die Durchsetzung des Grundrechts auf informationelle Selbstbestimmung z.B. durch Auskunftsersuchen an die abfragenden Stellen im Sande verlaufen dürfte. Mal ganz davon abgesehen, dass es den Auskunftsinteressierten zur Mammut-Aufgabe gemacht wird, eine große Menge einzelner Auskunftsersuchen an eine Unzahl von Behörden und Dienststellen richten zu müssen, um zumindest potentiell in Erfahrung zu bringen, wer alles persönliche Passdaten über einen selbst abgesaugt hat.
Ansonsten ist es bemerkenswert, dass immerhin drei Stellen beteuert haben, noch keinen automatisierten Zugriff auf die Passregisterdaten durchführen zu können. Die Einführung der Technik hierzu dürfte – nüchtern betrachtet – allerdings nur noch eine Frage der (kurzen?) Zeit sein.
Widerspruch gegen die Datenübermittlung
Auf unserer Wikiseite zu diesem Thema dokumentieren wir einen aktuellen Versuch, sich der automatisierten Datenabfrage zu widersetzen. Bislang noch ohne Erfolg.
Zugleich gibt es einen weiteren Versuch, bei einem Einwohnermeldeamt ein Auskunftsersuchen erfolgreich durchzuführen. Auch hier bleibt abzuwarten, inwiefern sich die Behörden hier als auskunftsbereit erweisen oder nicht.
Soweit uns bekannt, handelt es sich hierbei um die ersten beiden Versuche, das Grundrecht auf informationelle Selbstbestimmung in diesem Kontext durchzusetzen.
Und wie tauschen die Meldeämter Daten aus dem Passregister untereinander aus? Eine vielsagende Anekdote!
Wie funktioniert eigentlich der Austausch von Passregister-Daten von einem Einwohnermeldeamt zum nächsten? Wie kommunizieren diese Behörden miteinander, die tagtäglich mit der Bearbeitung von Anträgen zu Personalausweisen und Reisepässen zu tun haben?
Man müsste uninformiert zunächst einmal davon ausgehen, dass den Meldebehörden zur Bewältigung ihrer alltäglichen Arbeit mindestens die gleichen technischen Mittel zur Verfügung gestellt bekommen wie die den so genannten „Sicherheitsbehörden“ des Bundes und der Länder nun großzügig gewährt worden ist: also einen automatisierten Vollzugriff auf die Passregister aller anderen Meldeämter. (Mal ganz unabhängig von der Bewertung eines solchen „technischen Fortschritts“.) Doch das ist weit gefehlt!
Uns liegt ein Erfahrungsbericht aus dem Bürgerbüro einer niedersächsischen Stadt vor, aus dem hervorgeht, dass Datenübermittlungen hier noch ganz altmodisch fernmündlich per Telefon und mittels einfachem Telefax (!) erfolgen.
Dass die Sicherheit der Datenübertragung per Fax oder Telefon gegen unbefugten Abgriff durch Dritte sehr schlecht bis gar nicht vorhanden ist, ist spätestens seit den Snowden-Enthüllungen bekannt, aber auch ganz unabhängig davon jedem technisch informierten Menschen nicht überraschend.
Deswegen unser Fazit zu diesem Sachstand:
Während Polizeien, Geheimdienste, Zoll und Behörden zur Verfolgung von geblitzten Schnellfahrern dazu ermächtigt werden, pauschal automatisierte Abgriffe von Lichtbildern und anderen sensiblen Passdaten (digital) vorzunehmen, ist die Zusammenarbeit der Meldebehörden untereinander auf einem technisch sehr niedrigem Niveau befindlich.
Ob man das gut findet oder nicht, fest steht: Ohne oder bevor man den Meldeämtern ihre alltägliche Arbeit erleichtert, werden umfangreiche gesetzliche Befugnisse und technische Aufrüstungen bei Polizeien und Geheimdienste, den so genannten „Sicherheitsbehörden“, verordnet und umgesetzt.
[Updates 9.2.2018]
Die Bundespolizei erklärte uns zwischenzeitlich, dass sie (derzeit) keine Online-Abgriffe von Lichtbildern durchführe, und nur deswegen keine Statistiken über Zahlen zu automatisierten Abgriffen zur Verfügung stehen würden. [!]
Und der BND hat uns heute „geantwortet“, dass er uns nicht antworten möchte.
Ein weiteres Update vom 15.2.2018 hier!