Die Biometrie-Superdatenbank der EU

News

Dieser Artikel beleuchtet wie im Rahmen der EU-weiten Verbrechensbekämpfung der Datenschutz sowie rechtsstaatliche Grundsätze plötzlich nicht mehr gar so wichtig sind, wenn es um die Einrichtung einer Biometrie-Superdatenbank geht. Mit der Folge eines Paradigmenwechsels weg von einem begründeten Verdacht, hin zu einer verdachtsunabhängige Massenüberwachung, die den Datenschutz mittels Datamining und Algorithmen natürlicher Personen aushöhlt.

Reisedokumente gibt es nur gegen umfassende Daten

Am 16.04.2019 beschloss das EU-Parlament die Errichtung einer Biometrie-Superdatenbank. Das Vorhaben soll nun laut Bundesinnenminister forciert werden. Das von der EU hierfür erlassene Gesetzespaket erlaubt es, europäische Informationssysteme zur inneren Sicherheit zu verknüpfen und abzugleichen.

Grundsätzlich soll die EU-weite Zusammenarbeit für zwei Aspekte erfolgen:

  • Grenzmanagement, Migrationssteuerung und Sicherheit
  • Ausbau der biometrischen Überwachung der Bevölkerung und Einreisender

Ähnlich wie die USA, plant auch die EU, sich im Zuge der Verbrechensbekämpfung und zum Schutz von Migrationsbewegungen gegenüber Nicht-Schengen-Bürgern abzuschotten. Begründet mit der Verbrechensbekämpfung, sollen zukünftig Reisende bei der Ein- und Ausreise aus dem Schengenraum umfassende personenbezogene Daten preisgeben, um Reisegenehmigungen zu erhalten.

Nur wer im Vorfeld bereit sein wird, diese personenbezogenen und sensiblen Daten den Grenzbehörden zukommen zu lassen, wird Einreisedokumente in die EU erhalten. Zuvor werden die bei dem Betroffenen erhobenen Daten, mit Polizeidatenbanken ab- und mit einer von Europol geführten „Pre-Crime-Watchlist“ verglichen.

Was versteht man unter Pre-Crime?

Der Begriff wurde durch Steven Spielbergs Minority Report bekannt, geht aber auf den Science-Fiction-Autor Philip K. Dick zurück und wird zunehmend im polizeilichen Bereich für eine moderne Art der Fahndung bzw. von Systemen, die der Polizeiarbeit zugrunde liegen, verwendet. Letztendlich ist diese Art der „vorausschauenden“ Polizeiarbeit (Predective Policing) jedoch schon heute in rechtsstaatlichen Gesetzen verankert. So kann die Identitätsfeststellung unabhängig von einem konkreten Verdacht aufgrund generalistischer Verdachtsmomente schon heute an Orten vorgenommen werden, an an denen häufig Straftaten von erheblicher Bedeutung stattfinden.

Mit Pre-Crime sollen künftige Straftaten aufgrund computergestützter Verfahren für bestimmte Personengruppen und Orte prognostiziert werden. Predictive Policing richtet sich auch nicht nur gegen Einreisende aus Nicht-Schengenstaaten, ganz im Gegenteil, in vielen Bundesländern der Bundesrepublik Deutschland wird es bereits eingesetzt. Hauptsächlich um damit gegen Wohnungseinbrüche mit Hilfe von Pre-Crime-Observation-System (PRECOBS) vorzugehen. Derzeit erfolgt dies noch ohne Verwendung von personenbezogenen Daten, aber dennoch, der Anfang ist gemacht.

Die Prognose für weitere Gefahren und Straftaten ergibt sich bei Pre-Crime-Anwendungen daraus, dass man davon ausgeht, dass eine Straftat immer auch eine andere nach sich zieht, d.h., dass in kurzer räumlicher und zeitlicher Distanz Folgetaten auftreten. Entscheidend für die Wirksamkeit bzw. Realitätsnähe dieser Pre-Crime-Anwendungen ist jedoch die Datenbasis aus der sich die Prognose ergibt, die Auswertung und Nachverfolgung durch geeignetes Personal sowie die Möglichkeit von den Heat-Lists, die die Personen auflisten, von denen man glaubt, dass diese Gefahrenpotential in sich tragen, wieder ausgetragen werden zu können.

Das Ende der Unschuldsvermutung

Die Verbrechensprognose mit Pre-Crime-Policing wird damit zum Einfallstor für den Überwachungsstaat und zum Ende der Unschuldsvermutung, die in Art. 11 EU-Richtlinie zum Datenschutz in der Strafjustiz verankert ist. Wenn allein die Zugehörigkeit zu gewissen Berufsgruppen oder anderen Merkmalen wie Geringverdiener, Herkunft, Geschlecht, Reisezweck die Person als gefährlich erscheinen lassen, können Unschuldige auf die Heat List der Polizei gelangen. Damit wird die Datenbasis auf die für den Abgleich zugegriffen wird, zumal wenn diese nicht auf Richtigkeit geprüft wird, verzerrt und liefert damit falsche Prognosen.

Interoperabilität der Datenbanken innerhalb der EU

Viele ursprüngliche Ziele und Werte der EU sind in den letzten Jahren etwas in den Hintergrund gerückt. Einzig die Verbrechensbekämpfung und die Sicherung der EU-Grenzen scheint noch als eines der letzten gemeinsamen Ziele verblieben zu sein. Kein Wunder, dass man an diesem Ziel festhält und das Vorhaben bis 2022 eine Biometrie-Superdatenbank zu schaffen, vorantreibt. Verbunden werden folgende Datenbanken:

  • Schengen-Informationssystem (SIS)
  • VISA-Register (VIS)
  • Eurodac-Datei (Verknüpfung mit Fingerabdrücken von Asylbewerbern)
  • Ein- und Ausreisesystem zur biometrischen Grenzkontrolle (Smart Borders)
  • Europäisches Reisegenehmigungssystem (ETIAS)
  • Speicher für Identitätsdaten beschränkt auf Personen aus Drittstaaten (Geburtsdatum, Fingerabdrücke, Passnummer, digitale Gesichtsbilder)

In diese Biometrie-Superdatenbank sollen vor der Ein- und Ausreise, aber auch während des Aufenthalts von Personen aus dem Nicht-Schengenraum, Informationen gespeichert werden. Dabei scheut die EU auch nicht davor zurück, hochsensible Daten, wie Biometriedaten in Form von Fingerabdrücken oder Daten von Kindern, in die Datenbanken einzuspeisen.

Und wo bleibt der Rechtsstaat?

Das Rechtsstaatsprinzip aus Art. 20 GG ist auch als Strukturprinzip der EU in Art. 23 GG festgelegt. Dadurch, dass die Algorithmen, die den Datenbanken zum Abgleich hinterlegt sind, nicht offengelegt werden, ist keine Kontrolle möglich und der willkürlichen Handhabung Tür und Tor geöffnet. Auch die Tatsache, dass die Datenbasis einseitig und verzerrt sein kann, schafft die Gefahr einer Entscheidung die rechtsstaatlichen Grundsätzen nicht genügt.

Die Fütterung der Datenbank, d.h. die Dateneingabe müsste kontrolliert werden, um die Datenqualität zu erhöhen und Fehlentscheidungen aufgrund falscher Datensätze zu vermeiden. Immer wieder kommt es bei der Dateneingabe zu Fehlern z.B. falsche Schreibweisen von Namen, die unentdeckt zu gravierenden Rechtsverstößen gegenüber den Betroffenen führen, etwa durch die Aufnahme in eine Heat List und die darauf basierende Stigmatisierung als Gefahr.

Datenschutzkonform ist anders

Ähnlich einer Rasterfahndung erfolgt in der Biometrie-Datenbank eine anlasslose Vorratsspeicherung, die in die Grundrechte des Einzelnen eingreift und den Grundsatz der Datenminimierung in keinster Weise berücksichtigt. Aus Datenschutzsicht dürfen Daten nur zu einem konkreten Zweck gem. Art. 5 Abs. 1 lit. b DSGVO verarbeitet werden, d.h. erhobene Daten sollen nur zu dem Zweck verarbeitet werden, zudem diese ursprünglich erhoben wurden. Werden diese in der Biometrie-Superdatenbank eingespeisten Daten im Nachgang ausgewertet, erfolgt dies zu einem anderen Zweck, als dieser zuvor festgelegt worden war. Eine Zweckänderung ist jedoch nur möglich, wenn hierfür eine gesetzliche Grundlage oder eine Einwilligung des Betroffenen gem. Art. 6 Abs. 4 DSGVO vorliegt und der Betroffene entsprechend informiert wurde, was wohl nicht erfolgt.

Äußerst bedenklich ist das Ganze, wenn man betrachtet, dass Daten besonderer Kategorien gem. Art. 9 Abs. 1 DSGVO, verarbeitet werden und für deren Verarbeitung weder ein konkreter Anlass noch eine Einwilligung durch den Betroffenen vorliegt. Insbesondere soll das Alter für biometrische Fingerabdrücke von Kindern von 12 Jahren auf 6 Jahre verringert werden.

Wie oben dargestellt, besteht in erheblichen Maße auch die Gefahr von falschen Dateneingaben in die Superdatenbank, wodurch wiederum gegen den Grundsatz der Richtigkeit aus Art. 5 Abs. 1 lit. d DSGVO verstoßen wird. Maßnahmen zur Qualitätssicherung und auch zur richtigen Evaluierung der Daten, um dem Rechtmäßigkeitsgrundsatz aus Art. 5 Abs. 1 lit. a DSGVO Rechnung zu tragen, sind zwingend erforderlich.

Wenn eine unrichtige bzw. verzerrte Datensubstanz für das Profiling herangezogen wird, dann werden fälschlicherweise getroffenen Zuordnungen noch verstärkt, so zum Beispiel wenn jemand aufgrund seiner Herkunft als Gefahr eingestuft wird und kein Visum erhält.

Brauchen wir eine Biometrie-Superdatenbank?

Angst war noch nie ein guter Ratgeber und daher sollten die Regierungen auch nicht mit der Angst der Bevölkerung spielen. Man kann sich des Verdachts nur schwer erwehren, dass die Biometrie-Superdatenbank nur vordergründig zum Schutz der EU, der Sicherheit der Bürger und der Grenzen, auch vor Migration, eingerichtet werden soll. Letztendlich richtet sich diese Datenbank und damit deren geringe Datenschutzkompatibilität auch gegen die EU-Bevölkerung, nur nimmt das keiner wahr. Man sollte vorsichtig sein, nicht dass es der EU so geht, wie dem Zauberlehrling in der Ballade von Goethe, der die Geister, die er rief nicht mehr los wurde.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

5 Kommentare zu diesem Beitrag

  1. Ist die DSGVO gem. Art 2 II b) für die genannte System „Biometrie-Superdatenbank“ überhaupt sachlich anwendbar? Es liegt nahe, dass hier der Bereich der gemeinsamen Sicherheits- und Außenpolitik betroffen ist.

    • Gemäß Art. 2 Abs. 2 lit. b DSGVO sollen Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen, nicht der DSGVO unterliegen. Unabhängig davon, kann bzw. sollte die EU auch in diesem Bereich nicht losgelöst von dem eigenen geschaffenen Rechtssystem agieren.
      Denn gem. Art. 24 des EU-Vertrages sollen die Tätigkeiten im Rahmen der GASP (gemeinsame Außen- und Sicherheitspolitik) den Grundsätzen entsprechen, welche in Art. 21 EU-Vertrag festgelegt sind (u.a. Rechtsstaatlichkeit, Menschenrechten etc). Die GASP beschreibt eine zwischenstaatliche Zusammenarbeit der Regierungen auf höchster Ebene bzw. im diplomatischen Bereich und betrifft die Außen- und Sicherheitspolitik (u.a. im Bereich Verteidigung) der EU. Das Vorgehen im Rahmen der GASP ist daher nicht einmal dem EUGH unterworfen.

      Davon zu unterscheiden ist das tatsächliche Agieren der Staaten durch ihre Organe, Einrichtungen, Ämter und Agenturen. Diese unterliegen bei der Verarbeitung personenbezogener Daten nach Art. 2 Abs. 3 DSGVO dem sachlichen Anwendungsbereich. Sämtliche Rechtsakte der europäischen Länder/Staaten mit denen die Sicherheitsbehörden oder andere Behörden etc. befugt sind, in die Grundfreiheiten, Grundrechte bzw. Rechte der EU-Bürger einzugreifen, müssen gem. Art. 2 Abs. 3 S. 2 DSGVO i.V.m. Art. 98 DSGVO den Vorschriften und Grundsätzen der DSGVO entsprechen, so dass der Zugriff und die Einrichtung einer Biometrie-Superdatenbank auch an der DSGVO zu messen und somit auch der sachliche Anwendungsbereich der DSGVO eröffnet ist.

      • Warum spricht der Erwägungsgrund 16 S1 dann explizit von „wie etwa die nationale Sicherheit betreffende Tätigkeiten.“ oder der S2 „Diese Verordnung gilt nicht für die von den Mitgliedstaaten im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der Union durchgeführte Verarbeitung personenbezogener Daten.“? Hier wird sogar auf die Maßnahmen eines einzelenen Mitgliedsstaates im Rahmen der gemeinsamen Außen- und Sicherheitspolitik abgestellt. Die DSGVO ist hier lex specialis zu den allgemeinen Verträgen. Dies wird auch unter dem Aspekt des späteren Erlasses der DSGVO deutlich. Art 2 Abs. 3 DSGVO findet nur Anwendung auf eine Verarbeitung „durch alle Organe und Einrichtungen der Gemeinschaft“ (Art 3 Abs. 1 Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr). Es gäbe sonst überhaupt keinen sachlichen Ausnahmebereich, wenn alles der DSGVO unterfiele.

  2. Vielen Dank für den wichtigen Beitrag.
    Ist die DSGVO ein Versehen und in Wahrheit China unser großes Vorbild – ein technokratischer Überwachungsstaat?

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.