Der neue Reisepass im Lichte des Datenschutzes

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

1 Einleitung

2 Grundlagen
2.1 Rechtsvorschriften
2.1.1 Passwesen
2.1.2 Datenschutz
2.2 Radio Frequency Identification
2.3 Biometrische Daten
2.3.1 Kennzahlen von biometrischen Systemen
2.3.2 Fingerabdruck
2.3.3 Gesichtsmuster
2.3.4 Gegenüberstellung

3 Elektronischer Pass
3.1 Aufbau
3.2 gedruckte Informationen
3.3 elektronische Informationen
3.4 Haltbarkeit und Gültigkeit
3.5 Verschlüsselungstechniken beim ePass
3.5.1 Sicherungsverfahren Digitale Signatur . .
3.5.2 Sicherungsverfahren Basic Access Control
3.5.3 Sicherungsverfahren Extended Access Control
3.5.4 Überblick über die Inspektionskette

4 Datenschutzrelevante Aspekte
4.1 Auslesbare Informationen
4.2 Zugriffsschutz
4.3 Chancen / Risiken durch den ePass
4.3.1 Nutzung zur Terrorabwehr
4.3.2 Fälschungssicherheit
4.3.3 Umgehungsmöglichkeiten

5 Fazit

Literatur- und Quellenverzeichnis

Abbildungsverzeichnis

2.1 RFID-Tag
2.2 Lesen von RFID-Tags
2.3 Equal Error Rate
2.4 Fingerabdruck von Wolfgang Schäuble
2.5 Fingerabdruck-Muster
2.6 Merkmale Fingerabdruck

3.1 ePass
3.2 ePass Logo
3.3 Sicherheitsmerkmale der Passkarte - Bild a
3.4 Sicherheitsmerkmale der Passkarte - Bild b
3.5 Verifikationskette
3.6 Sicherungsverfahren Basic Access Control

4.1 auslesbare Informationen des ePass
4.2 Schutzhülle ePass
4.3 Beteiligte Länder des Schengen-Abkommen

Tabellenverzeichnis

2.1 Vergleich biometrischer Merkmale

3.1 Datenstruktur RF-Chip
3.2 Daten zur digitalen Signierung im Überblick

1 Einleitung

Mit den Terroranschlägen gegen die vereinigten Staaten von Amerika am 11. Sep- tember 2001, bei denen durch brutale und menschenverachtende Weise über 3000 Menschen ihr Leben verloren, ist nach Beurteilung der deutschen Sicherheitsbe- hörden eine neue Dimension des Terrorismus und dessen internationaler Aus- prägung erreicht¹.

Der Gesetzgeber lies bereits am 01. Januar 2002, nach einem eiligen Gesetzgebungsverfahren, das Gesetz zur Bekämpfung des internationalen Terrorismus² in Kraft treten um der offenbaren Bedrohung der inneren Sicherheit und Ordnung³ Rechnung zu tragen.

Bei diesem Gesetz handelt es sich im Wesentlichen um ein Paket aus verschiedenen Vorschriften, Gesetzen und Rechtsverordnungen, durch die den Sicherheitsbehörden erweiterte Aufgaben und neue Befugnisse zugeordnet werden.

Dieses „Sicherheitspaket“ nimmt auch Einfluss auf das Pass- und Personalausweisrecht. Hier wird in erster Linie gemäß Artikel 7 (1) lit. b Satz 1 bzw. Artikel 8 (1) lit. a Satz 1 Terrorismusbekämpfungsgesetz geregelt, dass der Pass und der Personalausweis „neben dem Lichtbild und der Unterschrift weitere biometrische Merkmale von Fingern oder Händen oder Gesicht des Passinhabers enthalten darf“. Dies war bis dahin verboten.

Biometrische Identifikationssysteme ermöglichen die unverwechselbare Authentizifierung von Menschen. Gefahren, wie ein Überwachungsstaat nach dem Vorbild des Romanes „1984“ von George Orwell oder die Schaffung eines „gläsernen Menschen“ erscheinen nun zumindest technisch möglich.

Diese Arbeit untersucht die biometrischen Merkmale, ihre Verwendung, die Ver- schlüsselungsverfahren der Daten in Pass und Personalausweis um abschlies- send eine Aussage zum ePass im Lichte des Datensschutzes treffen zu können.

2 Grundlagen

Das Kapitel Grundlagen teilt sich in drei Bereiche. Es werden die notwendigen Rechtsvorschriften beleuchtet, die RFID-Technologie in den Grundzügen erklärt und biometrische Merkmale erläutert.

2.1 Rechtsvorschriften

Für das Dokument Reisepass ist in der Bundesrepublik Deutschland geltendes Recht zu beachten. Diese Rechtsvorschriften sollen hier im wesentlichen behandelt werden. Das Terrorismusbekämpfungsgesetz selbst ist nur eine Ergänzung zu den bestehenden Gesetzen, Änderungen und Ergänzungen im Passgesetz von 1986 werden in den einzelnen Gesetzen selbst durchgeführt . Diese aktualiserte Form ist im Weiteren berücksichtigt.

2.1.1 Passwesen

Laut § 1 (1) Passgesetz benötigen alle Deutschen im Sinne des Artikel 116 (1) GG¹ einen gültigen Pass, wenn sie den Geltungsbereich des Gesetzes verlassen bzw. betreten². Zu den Pässen gehört u.a. der Reisepass. Die Pässe sind nach einheitlichem Muster aufzubauen (§ 4 PassG). Zu Seriennummer, Lichtbild und Unterschrift sind ausschließlich folgende Angaben zu machen.

- Familienname und ggf. Geburtsname,
- Vornamen,
- Doktorgrad,
- Geburtsort, -tag,
- Geschlecht,
- Größe,
- Farbe der Augen,
- Wohnort und
- Staatsangehörigkeit.

Gemäß § 4 (2) enthält der Pass eine maschinell lesbare Zone (die sogenannte Ma- chine Readable Zone, kurz MRZ), in der lediglich folgende Daten enthalten sein dürfen

- Abkürzung P für Reisepass,
- Abkürzung D für die BRD,
- Familienname, Vornamen,
- die Seriennummer des Passes,
- die Abkürzung D für die Eigenschaft als Deutscher o.ä.,
- den Tag der Geburt,
- Geschlechtsmerkmal (M/F)
- die Gültigkeitsdauer des Passes,
- die Prüfziffern und Leerstellen

Des Weiteren heißt es in Absatz 3 des § 4³, dass die Pässe mit einem elektro- nischen Speichermedium zu versehen sind. Die gespeicherten Daten sind gegen unbefugtes Auslesen, Verändern oder Löschen zu sichern. In § 6a (2) PassG heißt es, dass die elektronische Erfassung des Lichtbildes und der Fingerabdrücke nur durch solche technischen Systeme durchzuführen sind, die geltenden Rechtsver- ordnungen entsprechen. „Die Einhaltung der Anforderungen ist vom Bundesamt für Sicherheit in der Informationstechnik festzustellen.“ § 6a (2) PassG, S. 2⁷.

Gemäß § 16 (1) PassG dürfen die Seriennummer und die Prüfziffern keine Da- ten über die Person des Passinhabers oder Hinweise auf solche Daten enthalten. Jeder Pass erhält eine neue Seriennummer. Die Beantragung, Ausstellung und Ausgabe von Pässen dürfen nicht zum Anlass genommen werden, die hierfür er- forderlichen Angaben außer bei den zuständigen Passbehörden zu speichern.

Laut § 16 (3) PassG darf eine zentrale Speicherung aller Seriennummern nur bei der Bundesdruckerei GmbH erfolgen. Die Speicherung dient ausschließlich zum Nachweis des Verbleibs der Pässe. Weitere Angaben wie unter § 4 (1) PassG auf- geführt müssen nach Herstellung des Ausweisdokuments gelöscht werden. Die Seriennummern dürfen gemäß § 16 (4) PassG nicht so verwendet werden, dass mit ihrer Hilfe ein Abruf personenbezogener Daten aus Dateien oder eine Ver- knüpfung von Dateien möglich ist. Jedoch dürfen die Passbehörden die Serien- nummern für den Abruf personenbezogener Daten aus ihren Dateien nutzen. Weiterhin dürfen Polizeibehörden des Bundes und der Länder die Seriennum- mern für den Abruf der in Dateien gespeicherten Seriennummern der Pässe nut- zen, die für ungültig erklärt wurden, abhanden gekommen sind oder bei denen der Verdacht einer Benutzung durch Nichtberechtigte besteht. Die im Pass ent- haltenen verschlüsselten Merkmale und Angaben dürfen gemäß § 16 (4) PassG nur zur Überprüfung der Echtheit des Dokumentes und zur Identitätsprüfung des Passinhabers ausgelesen und verwendet werden. Auf Verlangen des Passin- habers hat die Passbehörde Auskunft über den Inhalt der verschlüsselten Merk- male und Angaben zu erteilen.

2.1.2 Datenschutz

Biometrische Merkmale sind Segen und Fluch zugleich. Sie können das alltägliche Leben vereinfachen, da man sich nicht mehr hunderte von verschiedenen Passwörtern, PINs oder ähnliches merken muss um sich zu authentifizieren. Gleichzeitig dienen die Merkmale auch zur Identifizierung der Person hinter diesen Merkmalen. Die Merkmale sind gewöhnlich lebenslang mit der Person verbunden, daher ist eine gewisse Sensibilität in diesem Bereich von Nöten.

Der Gesetzgeber hat den Datenschutz im Bundesdatenschutzgesetz geregelt. Darüber hinaus liegende Regelungen befinden sich in den Landesdatenschutzgesetzen der einzelnen Bundesländer.

Datenschutz ist gemäß Duden der Schutz personenbezogener Daten vor deren Missbrauch bei ihrer Verarbeitung und Verwendung, das heißt bei ihrer Erhebung, Übermittlung, Veränderung und Löschung. Der Kern des Datenschutzes liegt in der Schutzwürdigkeit des individuellen Persönlichkeitsrechtes. Dies ist auch im § 1 (1) BDSG⁴ niedergelegt. Hier wird gesetzlich geregelt, dass der Einzelne davor zu schützen ist, dass durch den Umgang mit seinen personenbezogenen Daten seine Persönlichkeitsrechte beeinträchtigt werden.

Die Begrifflichkeit personenbezogene Daten hat der Gesetzgeber in § 3 (1) BDSG wie folgt definiert: „Personenbezogene Daten sind Einzelangaben über persönli- che oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“ Weitere Begriffe wie Erhebung, Verarbeitung und Nutzen sind in § 3 (3-5) BDSG definiert. Gemäß § 4 (1) BDSG ist die Erhebung, die Ver- arbeitung oder die Nutzung der Daten nur dann zulässig, wenn eine Rechtsvor- schrift dies erlaubt, anordnet oder der Betroffene eingewilligt hat. Das Grund- recht auf freie Entfaltung der Persönlichkeit gemäß Artikel 2 GG dient dem Schutz der Privatsphäre⁵.

Eine Einwilligung ist laut § 4a (1) BDSG nur dann wirksam, wenn diese auf der freien Entscheidung des Betroffenen beruht. Des Weiteren wird in Satz 3 erwähnt, dass wenn diese Einwilligung zusammen mit anderen Erklärungen schriftlich abgegeben wird, diese besonders hervorzuheben ist.

Die wesentliche Punkte lassen sich wie folgt zusammenfassen:

- Keine zentrale Speicherung der Daten
- Erhebung der Daten mit Zustimmung des Betroffenen
- Löschung der Daten, sobald der Betroffene nicht mehr an der Anwendung teilnimmt
- Schutz der biometrischen Daten vor unbefugter Kenntnisnahme (Einsatz von Verschlüsselung)

Das Thema Datenschutzrecht wird im Buch Grundz ü ge des IT-Rechts von Brunhilde Steckler besonders ausführlich behandelt.

2.2 Radio Frequency Identification

Das sogenannte Radio Frequency Identification (RFID) System wird heute vielfältig eingesetzt. Es dient der kontaktlosen Identifikation. Dabei sind zwei Kompo- nenten im Einsatz: ein Transponder und ein Lesegerät. Der Transponder ist ein Mikrochip (auch Tag genannt, engl. für Kennzeichnung), wie in Abbildung 2.1 dargestellt. Dieser dient als Speichermedium für Informa- tionen, die später berührungslos ausgelesen werden können. Der Chip selbst ist umgeben von einer Antenne, die zum Senden und Empfangen der ausgestrahl- ten Funkwellen des Lesegerätes genutzt wird. Die meisten RFID-Tags arbeiten passiv, d.h. sie funktionieren ohne eigene Energiequelle. Hierzu wird das empfangene Funksignal als Energiequelle genutzt⁷. Die passiven RFID-Tags bleiben jahrzehntelang funktionstüchtig. Aktive hingegen sind mit eigener Batterie ausgestattet und damit sind an deren Lebenszeit gebunden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2.1: RFID-Tag⁶

Die Reichweite aus der dieser RFID-Tag gelesen werden kann ist abhängig von der Sendeleistung des Lesegerätes. Sie kann von nur wenigen Zentimetern bis zu 30 Metern betragen⁸. In der Abbildung 2.2 sind einige Beispielanwendun- gen dargestellt. Im Falle des elektronischen Reisepasses wird auf der Homepage www.epass.de (einer Seite des Bundesministerium des Innern) eine max. Entfer- nung von 20 cm angegeben⁹. Befindet sich der Transponder in der Reichweite des Lesegeräts, so sendet dieser dem Lesegerät seine Daten. Das Lesegerät bietet, anders als seine Bezeichnung annehmen lässt, noch weitere Möglichkeiten als nur den Transponder auszulesen. Das Lesegerät kann auch zur Programmierung des Transponders genutzt werden¹¹.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2.2: Lesen von RFID-Tags¹⁰

2.3 Biometrische Daten

Der Begriff Biometrie stammt ursprünglich aus dem Griechischen. Er setzt sich zusammen aus bios (Leben) und metron (Maß)¹². Demnach ist die Biometrie die Messung am Leben oder vielmehr an Lebewesen. In diesem Zusammenhang ist hier die Messung an körperlichen Merkmalen des Menschen gemeint.

In der heutigen Computerzeit verbindet man Biometrie vor allem mit der Iden- tifizierung von Personen durch Authentifizierung körperlicher Merkmale, wie z.B. mit Hilfe des Fingerabdrucks. Die Merkmale müssen eine wesentliche Ei- genschaft besitzen: Sie müssen einmalig sein. Dabei dürfen Veränderungen durch Krankheit, Bartwuchs, Schnittverletzungen sowie Narben nicht zu Beeinträchti- gungen führen.

Die wichtigsten zur Zeit eingesetzten Merkmale werden nachfolgend vorgestellt. Einige Kennzahlen zur Bewertung von biometrischen Systemen müssen vorher definiert werden.

2.3.1 Kennzahlen von biometrischen Systemen

FAR - False Acceptance Rate Die Falschakzeptanzrate drückt die relative Häufigkeit aus, mit der eine Person als gültig erkannt wird, obwohl die Erkennung als fehlerbehaftet zurückgewiesen werden müsste.

Abbildung in dieser Leseprobe nicht enthalten

Die FAR berechnet sich gemäß Formel 2.1¹³. Dabei gibt v die Anzahl der Vergleiche unterschiedlicher Finger an, die eine Übereinstimmung ergeben und s gibt die Gesamtanzahl der Vergleiche unterschiedlicher Finger an. Sie wird als stark bezeichnet, wenn die relative Häufigkeit weniger als 1% beträgt¹⁴.

FRR - False Rejection Rate Die Falschrückweisungsrate drückt die relative Wahr- scheinlichkeit aus, mit der eine Person, mit gültigen Merkmalen, fälscherlicher- weise zurückgewiesen wird, obwohl diese als positiv hätte verifiziert werden müssen.

Abbildung in dieser Leseprobe nicht enthalten

Die FRR berechnet sich gemäß der Formel 2.2¹⁵. Dabei gibt V die Anzahl der Vergleiche gleicher Finger an, die keine Übereinstimmung ergeben und G ist die Gesamtanzahl der Vergleiche gleicher Finger. Wenn die Häufigkeit kleiner 3% auftritt wird sie ebenfalls als stark bezeichnet¹⁶.

FTE - Failure To Enrol Rate Die FTE gibt die relative Häufigkeit an, mit der Personen nicht dem biometrischen System angelernt werden konnten, da nicht oder nur wenig ausgeprägte Merkmale, wie zum Beispiel ein Fingerabdruck ohne Konturen, vorhanden sind.

FMR - False Match Rate Die FMR korrespondiert zu FAR. Bei der Berechnung der FMR werden jedoch Zugangsversuche, die zum Beispiel aufgrund schlechter Bildqualität von vornherein abgewiesen werden, nicht berücksichtigt.

FNMR - False Non-Match Rate Die FNMR wird meist synonym zur FRR verwendet. Nicht berücksichtigt werden dabei die Zugangsversuche, die z.B. aufgrund schlechter Bildqualität scheitern.

ERR - Equal Error Rate Die Gleich- fehlerrate gibt die relative Häufigkeit an, bei der FAR und FRR gleich sind. Die Werte für FAR und FRR stehen in Korrelation zueinander, daher ist eine Aussage über die Qualität eines biometrischen Systems nicht nur auf- grund einer Kennziffer zu treffen. Die Angabe der zweiten Grösse ist zwin- gend erforderlich.

Abbildung in dieser Leseprobe nicht enthalten

2.3.2 Fingerabdruck

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2.3: Equal Error Rate¹⁷

Die Identifikation von Personen anhand ihres Fingerabdrucks ist wohl das älteste biometrische Verfahren der Welt. Archeolo- gische Funde belegen, dass bereits 7000 vor Christus von den Assyrern und Chinesen Fingerabdrücke zur Identifikation ge- nutzt wurden¹⁹. Weiterhin wurden Mitte des 17. Jahrhunderts erste Studien durchgeführt die belegen, dass keine zwei Finger den gleichen Abdruck haben und sich diese zeitlebens nicht verändern. Seit den späten 60er Jahren verarbeitet das Federal Bureau of Investigation (FBI) die Fingerabdrücke computergestützt²⁰.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2.4 : Fingerabdruck¹⁸

Als Fingerabdruck, auch Daktylogramm, bezeichnet man allgemein den Abdruck eines Fingers auf einem Gegenstand. Die Fingerabdrücke entstehen durch die Papillarleisten der Haut. Papillarleisten sind reliefenartig hervortretende, neben- einander verlaufende Erhebungen der Leistenhaut. Das Muster dieser schleifen- , wirbel- und bogenformig angeordneten Papillarleisten ist einzigartig²¹. Auch eineiige Zwillinge sind anhand der Fingerabdrücke eindeutig unterscheidbar²².

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2.5: Fingerabdruck-Muster²³

Die Merkmale die bei einem Fingerabdruck zur Identifizierung herangezogen werden sind:

- Delta - Zusammentreffen mehrerer Linien
- Pore - Lücke in einer Linie
- Insel - eine sehr kurze Linie
- Kern - Positionierungspunkt
- Linienende - Letzter Punkt einer Linie
- Kreuzung - Schneidepunkt von zwei Linien
- Gabelung - Aufteilung in zwei oder mehrere Linien

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2.6: Merkmale Fin- gerabdruck²⁴

Der Fingerabdruck wird erstmals in der Version 2 des neuen Reisepasses gespeichert. Die digitale Speicherung findet auf einen RF-Chip im Dateiformat WSQ (Wavelet Scalar Quantization) statt.

[...]

---

¹ Vgl. Entwurf eines Gesetzes zur Terrorbekämpfung⁶, S. 35

² Vgl. BMJ⁸, S. 61

³ Vgl. Gruner²², S. 1

¹ Grundgesetz

² Passgesetz[7]

³ Umsetzung der EG-Verordnung Nr. 2252/2004[21] von 13.12.2004 in nationales Recht

⁴ Bundesdatenschutzgesetz [9]

⁵ Vgl. Steckler[40], S. 61

⁶ Bild entnommen von CNPD(Commision Nationale Pour La Protection Des Donnees)[20]

⁷ Vgl. Commission Nationale pour la Protection des Donnees[20]

⁸ Vgl. Hansen/Neumann[25], S. 173

⁹ Vgl. BMI[5]

¹⁰ Bild entnommen von http://www.strom-online.ch/multimedia.html, Zugriff 28.04.2008

¹¹ Vgl. Riering[39], S. 5

¹² Vgl. Nolde[36], S. 20

¹³ Entnommen aus BSI[12], S. 19

¹⁴ Vgl. Breitenstein und Niesing[10], S. 34

¹⁵ Entnommen BSI[12], S. 19

¹⁶ Vgl. Munde[35], S. 153

¹⁷ Angelehnt an Breitestein und Niesing[10], S. 32

¹⁸ Fingerabdruck von Wolfgang Schäuble veröffentlicht in Die Datenschleuder Nr. 92[19]

¹⁹ Vgl. Breitenstein[11], S. 35

²⁰ Vgl. Breitenstein[11], S. 35

²¹ Vgl. Breitenstein[11],S.35

²² Vgl. Amberg[2], S. 15

²³ Bilder entnommen von LKA Thüringen[23]

²⁴ Bild entnommen aus Amberg[2]