Biometrischer Reisepass

Kombination eines papierbasierten Reisepasses mit elektronischen Komponenten
(Weitergeleitet von EPass)

Der biometrische Reisepass (auch elektronischer Reisepass, kurz ePass genannt) ist eine Kombination eines papierbasierten Reisepasses mit elektronischen Komponenten (daher das vorangestellte „e“ für ‚elektronisch‘). Der ePass enthält biometrische Daten, die verwendet werden, um die Identität eines Reisenden feststellen zu können. Die weltweite Einführung von biometrischen Pässen wurde durch die Behörden der USA nach den Terroranschlägen vom 11. September 2001 gefordert.

Signet für biometrische Pässe, in der Regel auf der Vorderseite des Passes gedruckt oder geprägt

Entstehungsgeschichte

Bearbeiten

Seit 1998 befasst sich die internationale Zivilluftfahrtbehörde International Civil Aviation Organization (ICAO), eine Sonderorganisation der Vereinten Nationen, mit elektronisch auswertbaren biometrischen Merkmalen in maschinenlesbaren Reisedokumenten.[1] 2003 führte dies zur Vorstellung einer unter der Bezeichnung „Blueprint“ (engl. für „Bauplan“) bekannt gewordenen Empfehlung. Sie fordert alle Mitglieder der Vereinten Nationen dazu auf, zukünftig biometrische Merkmale der Inhaber elektronisch auf dem Reisedokument zu speichern. Kriterien für die Auswahl der zu verwendenden Techniken sind: weltweite Interoperabilität, Einheitlichkeit, technische Zuverlässigkeit, Praktikabilität und Haltbarkeit.[2] Die vier zentralen Punkte des „Blueprint“ sind die Verwendung von kontaktlosen Chips (RFID), die digitale Speicherung des Lichtbildes auf diesen Chips, wobei weitere Merkmale wie Fingerabdrücke oder Irismuster der Augen ergänzt werden können, die Verwendung einer definierten logischen Datenstruktur (Logical Data Structure, LDS) und ein Verfahren zur Verwaltung von digitalen Zugangsschlüsseln (Public-Key-Infrastruktur, PKI). Die Vorgaben wurden in der Weiterentwicklung des Standards 9303 der ICAO zusammengefasst.[3]

Am 13. Dezember 2004 beschloss der Rat der Europäischen Union auf politischen Druck der Vereinigten Staaten, die mit dem Wegfall der Visumfreiheit für europäische Reisende drohten,[4][5] die Pässe der Mitgliedstaaten gemäß diesem Standard mit maschinenlesbaren biometrischen Daten des Inhabers auszustatten.[6][7] Am 22. Juni 2005 billigte das deutsche Bundeskabinett einen Vorschlag des damaligen Bundesinnenministers Otto Schily (SPD) zur Einführung eines solchen Reisepasses, der ihn als „wichtigen Schritt auf dem Weg zur Nutzung der großen Fortschritte der Biometrie für die innere Sicherheit“ bezeichnete.[8]

Diese Begründung ist umstritten. Es wird argumentiert, dass der deutsche Reisepass schon vor der Biometrisierung als eines der fälschungssichersten Dokumente weltweit gegolten habe. Es sei beispielsweise kein Terrorakt in Europa bekannt, zu dessen Durchführung ein gefälschter deutscher Pass oder Personalausweis benutzt wurde. Dem wird entgegengehalten, dass bereits die RAF-Terroristen regelmäßig falsche oder verfälschte Dokumente missbrauchten. Dabei ist jedoch zu berücksichtigen, dass zu Zeiten der RAF noch die auch so zwischenzeitlich längst überholten – damals teilweise noch handschriftlich ausgefüllten – Generationen von Ausweisdokumenten (grüner Reisepass, grauer Personalausweis) Stand der Technik waren.

Europäische Union

Bearbeiten

Der Rat der Europäischen Union hat die Aufnahme des Gesichtsbildes sowie von Fingerabdrücken in elektronischer Form in der Verordnung Nr. 2252/2004 des Rates vom 13. Dezember 2004 über Normen für Sicherheitsmerkmale und biometrische Daten in von den Mitgliedstaaten ausgestellten Pässen und Reisedokumenten verbindlich vorgeschrieben. Da die EG-Verordnung eine elektronische Speicherung der biometrischen Daten im Pass vorsieht, strebt der Entwurf ein durchgängig elektronisches Verfahren der Passbeantragung an. Dieser Rechtsakt gilt nicht für die EU-Länder Dänemark und Irland. Er findet allerdings Anwendung in den mit der EU assoziierten Ländern Island, Liechtenstein, Norwegen und Schweiz.[6]

Deutschland

Bearbeiten
 
Deutscher Reisepass mit Biometrie-Chip

Seit dem 1. November 2005 werden von der Bundesrepublik Deutschland Reisedokumente mit biometrischen Daten ausgegeben. Die Reisepässe enthalten einen Chip, in dem zunächst nur ein digitales Foto mit den Gesichtsmerkmalen des Passinhabers gespeichert wurde. Dafür wird ein biometrisches Passbild benötigt. Seit 1. November 2007 werden auch zwei Fingerabdrücke digital integriert, später könnte auch ein Scan der Iris hinzukommen.[9]

Der Kinderreisepass enthält keinen Chip mit biometrischen Merkmalen, das Passbild muss allerdings biometriefähig sein.

 
Schweizer Reisepass mit Biometrie-Chip

Mit Botschaft vom 8. Juni 2007 unterbreitete der Bundesrat der Bundesversammlung den Entwurf des Bundesbeschlusses über die Genehmigung und die Umsetzung des Notenaustauschs zwischen der Schweiz und der Europäischen Gemeinschaft betreffend die Übernahme der Verordnung (EG) Nr. 2252/2004 über biometrische Pässe und Reisedokumente. Die Genehmigung dieses völkerrechtlichen Vertrags wurde verbunden mit einer entsprechenden Änderung des Ausweisgesetzes. Der Bundesrat stellte fest, dass die EG-Ausweisverordnung für die Schweiz eine Weiterentwicklung des Schengen-Besitzstands darstellt und von dieser übernommen werden muss, wenn sie ihre Beteiligung am Schengener Abkommen und die damit verbundenen Vorteile nicht gefährden will.[10]

Die beiden Kammern der Bundesversammlung haben den Bundesbeschluss am 13. Juni 2008 angenommen; der Nationalrat mit 94 zu 81 Stimmen, der Ständerat mit 36 zu 2 Stimmen bei 3 Enthaltungen. Die Opposition gegen die Vorlage ging insbesondere von der Sozialdemokratischen Fraktion und der Grünen Fraktion aus, die sich gegen die Schaffung einer zentralen Datenbank der digitalen Fingerabdrücke stellten. Gleicher Meinung war auch der Schweizer Datenschutzbeauftragte Hanspeter Thür, der sich gegen die zentrale Speicherung von biometrischen Daten aussprach, nicht aber gegen die Speicherung auf dem Chip im Reisepass.[11] Die bürgerliche Mehrheit hielt demgegenüber in der Interessenabwägung zwischen Datenschutz einerseits, öffentlicher Sicherheit sowie Verhinderung von Fälschungen andererseits die Schaffung einer zentralen Datenbank für sinnvoll. Ein Antrag, dass weiterhin Anspruch auf eine preisgünstige nicht biometrische Identitätskarte ohne Chip bestehen soll, wurde vom Nationalrat in seiner ersten Beratung zwar angenommen, vom Ständerat aber gestrichen, worauf sich der Nationalrat ihm anschloss.[12]

Gemäss Art. 141 Abs. 1 Bst. d Ziff. 3 der Bundesverfassung unterstand der Bundesbeschluss dem fakultativen Referendum. Dieses kam mit 63'733 eingereichten gültigen Unterschriften zustande. Gegen die Vorlage sprachen sich sowohl linke wie auch rechte Gegner aus: Die Ersteren sahen den Datenschutz gefährdet, die Letzteren lehnten die Übernahme von EU-Verordnungen grundsätzlich ab. Für die Parteien der Mitte und die Wirtschaftsverbände standen die Fortführung des Schengen-Abkommens und wirtschaftliche Aspekte im Zentrum; die breite Anerkennung der Schweizer Pässe sei für die Wirtschaft von grosser Bedeutung. In der Volksabstimmung vom 17. Mai 2009 wurde die Vorlage knapp mit 50,15 % Ja-Stimmen angenommen. Die Abstimmungsbeteiligung betrug 38,77 %.[13]

Am 1. März 2010 ist die Änderung des Ausweisgesetzes in Kraft getreten.[14]

Der schweizerische Reisepass erhält folgende Daten:[15]

  • Amtlicher Name (Allianzname, falls beantragt)
  • Vorname/n
  • Geschlecht
  • Geburtsdatum
  • ein Heimatort (bei mehreren der gewünschte)
  • Nationalität
  • Grösse (bei Kindern bis zum vollendeten 14. Lebensjahr erscheinen drei Sternchen im Ausweis [***])
  • Fotografie
  • Ausstellende Behörde
  • Datum der Ausstellung
  • Datum des Ablaufs der Gültigkeit
  • Ausweisnummer und Ausweisart
  • Datenchip mit Gesichtsbild und Fingerabdrücken ist nur im Pass enthalten (Fingerabdrücke nur, wenn Inhaber über zwölf Jahre alt ist)
  • Unterschrift gemäss Antrag (betr. nur IDK). Im Pass muss die Unterschrift eigenhändig angebracht werden; bei Kindern unter sieben Jahren und nicht schreibfähigen Personen ist die Unterschrift nicht zwingend notwendig. Pässe von Kindern oder bevormundeten Personen dürfen nicht von den Eltern bzw. dem Vormund unterschrieben werden
  • Amtliche Ergänzungen (wenn im Antrag vorhanden, sind nur im Pass möglich)
  • Maschinenlesbare Zone (MRZ)

Vereinigte Staaten

Bearbeiten

Die Terroranschläge am 11. September 2001 in den Vereinigten Staaten hatten viele politische und wirtschaftliche Folgen. So wurde u. a. die Einführung biometrischer Reisedokumente, die als ein Schlüssel zur wirksameren Bekämpfung von organisiertem Verbrechen und illegaler Einwanderung angesehen werden, stark beschleunigt.

Den ersten Schritt machte der UN-Sicherheitsrat mit der Resolution 1373 am 28. September 2001, in der beschlossen wurde, dass

„alle Staaten […] die Bewegung von Terroristen oder terroristischen Gruppen verhindern werden, indem sie wirksame Grenzkontrollen durchführen und die Ausgabe von Identitätsdokumenten und Reiseausweisen kontrollieren und Maßnahmen zur Verhütung der Nachahmung, Fälschung oder des betrügerischen Gebrauchs von Identitätsdokumenten und Reiseausweisen ergreifen.“

UN-Sicherheitsrat: Resolution 1373[16]

Anfang 2002 erfolgte in Deutschland eine entsprechende Anpassung des Passgesetzes, das ab dann die Einführung biometrischer Merkmale erlaubte (BGBl. I S. 361).

 
US-Visit (U.S. Customs and Border Protection)

Ebenfalls im Jahr 2002 erließen die USA im Rahmen des US-Visit-Programm[17] den Enhanced Border Security Act[18] und verpflichteten die 36 Nationen,[19] die an ihrem Visa-Waiver-Programm (VWP)[19] teilnehmen, bis 26. Oktober 2004 Reisepässe einzuführen, die die Speicherung von biometrischen Daten nach den ICAO-Standards ermöglichen, wenn sie im Visa-Waiver-Programm bleiben möchten. Im Laufe der weiteren Entwicklung verschoben die USA den Pflichttermin zwei Mal, je um ein Jahr, auf den 26. Oktober 2006.

Die internationale Zivilluftfahrtbehörde ICAO erhielt den Auftrag, zu diesem Zweck Richtlinien zu entwickeln.[20] Diese Richtlinien fordern den Einsatz eines RFID-Chips in den Reisepass. Der RFID-Chip soll die Speicherung und die kabellose Übertragung von Daten ermöglichen. Die Richtlinie stellt bis zu diesem Zeitpunkt einen De-facto-Standard dar. In Zukunft wird erwartet, dass sich diese Form der Identifikation weltweit durchsetzt.

Im Oktober 2004 begannen die USA, von allen visumspflichtigen und den meisten nicht-visumspflichtigen Einreisenden Fingerabdrücke und Fotos zu erfassen. Einreisende müssen den linken und den rechten Zeigefinger von einem Fingerabdruckscanner erfassen und das Gesicht fotografieren lassen. Das System gleicht die Daten dann mit einer Liste gesuchter Personen ab. Dieses Verfahren soll nicht nur der Terrorismusbekämpfung dienen, sondern es auch ermöglichen, die Einhaltung der erteilten Aufenthaltsgenehmigungen besser zu überwachen. Reisende sollen ab diesem Zeitpunkt einen maschinenlesbaren Pass mit biometrischen Merkmalen vorlegen, um ohne Visum durch einfaches Ausfüllen eines Formulars in die USA einreisen zu können.[21]

Zweck der Einführung des ePasses

Bearbeiten
 
Otto Schily, 2005

Der damalige Bundesinnenminister Otto Schily hat in einer Pressekonferenz in Berlin am 1. Juni 2005 die folgenden Vorteile des neuen ePasses geschildert.[22]

Erhöhte Sicherheit der Reisedokumente

Bearbeiten

Deutsche Pässe galten schon vorher als sehr fälschungssicher. Das nutzte aber wenig, da bereits innerhalb der Europäischen Union ein großes Gefälle bei den Sicherheitsstandards herrschte. Es soll verhindert werden, dass gefälschte europäische Pässe zur Begehung von Straftaten benutzt werden. Deshalb wurde mit dem ePass auf den hohen deutschen Standards aufgesetzt, ergänzt durch eine zusätzliche Fälschungshürde – die Biometrie. Damit sollte ein neuer hoher, EU-weiter Standard definiert werden. Auf diese Weise wurde zum einen eine höhere Fälschungssicherheit erreicht, zum anderen eine maschinelle Überprüfbarkeit anhand der Biometrie, ob ein Dokument zu der verwendenden Person gehört oder nicht.

Verbesserte Identifizierung von Reisenden

Bearbeiten

Bei Visumantragstellern muss schon zum Zeitpunkt der Antragstellung gründlich überprüft werden, ob Zweifel an der Identität bestehen. Zukünftig wird die biometrische Identifizierung von Visumantragstellern vor der Einreise der Regelfall sein. Bis Ende 2007 richtet die EU ein zentrales Visum-Informationssystem ein, in dem die Lichtbilder und Fingerabdrücke aller Antragsteller gespeichert werden. Mit Hilfe der Fingerabdrücke wird dann vor der Einreise festgestellt, ob ein Antragsteller zu einem früheren Zeitpunkt bereits ein Visum erhalten oder verweigert bekommen hat. Nach und nach werden an allen Grenzübergängen Geräte aufgestellt, mit deren Hilfe ein biometrischer Vergleich möglich wird – entweder zwischen dem Dokument und dem, der es benutzt, oder zwischen dem Reisenden und einer biometrischen Datenbank. Bei EU-Bürgern und visumfrei Reisenden wird das Dokument verwendet, bei Visuminhabern wird auf das Visuminformationssystem zugegriffen werden können. Die Nutzung gefälschter Schengen-Visa oder echter Schengen-Visa anderer Personen wird erheblich erschwert.

Nutzung biometrischer Hilfsmittel bei der Personenfahndung

Bearbeiten
 
Fingerabdruck

Mit Hilfe erkennungsdienstlicher Behandlungen können die Polizeien des Bundes und der Länder bereits heute Fingerabdrücke und Lichtbilder Verdächtiger aufnehmen und mit den Beständen im Bundeskriminalamt vergleichen. Mit biometrischen Technologien wird die biometrische Unterstützung der Personenfahndung erheblich einfacher sein. Die anzustrebende technische Erweiterung der Automatisierten Fingerabdruckidentifizierungssystem-Datenbank um die Möglichkeit der Echtzeit-Suche in Teildatenbeständen sowie die vorgesehene Ausstattung der Grenzübergänge mit Fingerabdruckscannern wird eine Fahndungsabfrage mit Fingerabdruck möglich machen – zukünftig auch unter Einsatz mobiler Geräte. Zur Unterstützung grenzüberschreitender Fahndungen werden darüber hinaus in der nächsten Generation des europaweiten polizeilichen Informationssystems – Schengener Informationssystem II (SIS) – Fingerabdrücke und Lichtbilder gespeichert. Ziel ist es hier, in einer künftigen Entwicklungsstufe des SIS, Fahndungsabfragen im SIS auf der Grundlage solcher biometrischer Daten durchzuführen.

Erleichterter Reiseverkehr durch biometrieunterstützte Kontrolle

Bearbeiten

Die technische Unterstützung der Grenzkontrollen durch Biometrie kann genutzt werden, um die Kontrolle von vertrauenswürdigen Personen zu erleichtern – mit Zeitgewinn für den Reisenden und die Bundespolizei. Allerdings werden aktuell (Stand: Ende 2015) durch die Bundespolizei weder Fingerabdrücke noch biometrische Gesichtsmerkmale standardmäßig bei der Einreise erfasst bzw. mit den in den Reisedokumenten hinterlegten biometrischen Daten elektronisch abgeglichen. Ein Zeitgewinn besteht de facto also bislang nicht.

Sicherheitsmechanismen des ePasses

Bearbeiten

Radio-Frequency Identification

Bearbeiten
 
RFID-Chip in einem britischen ePass

Der neue elektronische Reisepass ist mit einem RFID-Chip ausgestattet. Bei diesem RFID-Chip handelt es sich um einen zertifizierten Sicherheitschip mit kryptographischem Koprozessor, auf dem neben den bisher üblichen Passdaten auch biometrische Merkmale gespeichert werden.

Im RFID-Chip wurden in der ersten Stufe des EU-Reisepasses im Wesentlichen folgende personenbezogenen Daten gespeichert: der Name, der Geburtstag, das Geschlecht und das Gesichtsbild des Inhabers. Bereits jetzt sind alle diese Daten in maschinenlesbarer Form in dem maschinenlesbaren Bereich (engl. Machine Readable Zone [MRZ]) auf der Datenseite des Reisepasses enthalten (mit Ausnahme des Gesichtsbildes, das zwar auf der Datenseite abgedruckt, aber nur bedingt maschinenlesbar ist).

RFID (Radio-Frequenz Identification) ist ein Verfahren zur automatischen Identifizierung von Objekten über Funk. Der Einsatz von RFID-Systemen eignet sich grundsätzlich überall dort, wo automatisch gekennzeichnet, erkannt, registriert, gelagert, überwacht oder transportiert werden muss.

Jedes RFID-System ist durch die folgenden Eigenschaften definiert:

  • Elektronische Identifikation – Das System ermöglicht eine eindeutige Kennzeichnung von Objekten durch elektronisch gespeicherte Daten.
  • Kontaktlose Datenübertragung – Die Daten können zur Identifikation des Objektes drahtlos über einen Funkfrequenzkanal ausgelesen werden.
  • Senden auf Abruf – Ein gekennzeichnetes Objekt sendet seine Daten nur dann, wenn ein dafür vorgesehenes Lesegerät diesen Vorgang abruft.

Ein RFID-System besteht technologisch betrachtet aus zwei Komponenten, einem Transponder und einem Lesegerät:

  • Der Transponder ist der eigentliche Datenträger. Er wird in ein Objekt integriert (z. B. eine Chip-Karte) und kann kontaktlos über Funktechnologie ausgelesen und wieder beschrieben werden. Grundsätzlich setzt sich der Transponder aus einer integrierten Schaltung und einem Radiofrequenzmodul zusammen. Auf dem Transponder sind eine Identifikationsnummer und weitere Daten über den Transponder selbst bzw. das Objekt, mit dem dieser verbunden ist, gespeichert.
  • Das Lesegerät besteht je nach eingesetzter Technologie aus einer Lese- oder einer Schreib-/Lese-Einheit sowie aus einer Antenne. Es liest Daten vom Transponder und weist möglicherweise den Transponder an, weitere Daten zu speichern. Weiterhin kontrolliert das Lesegerät die Qualität der Datenübermittlung. Die Lesegeräte sind typischerweise mit einer zusätzlichen Schnittstelle ausgestattet, um die empfangenen Daten an ein anderes System (z. B. PC, Automatensteuerung) weiterzuleiten und dort weiterzuverarbeiten.[23]

Zugriffsschutz und sichere Kommunikation

Bearbeiten

Die Mechanismen des Zugriffschutzes stellen sicher, dass ein unautorisiertes Auslesen der Daten aus dem RFID-Chip sowie ein Belauschen der Kommunikation unterbunden werden. Der Begriff „unautorisiert“ muss hierbei genauer differenziert werden: Primär ist darunter der Zugriff auf die Daten eines Passbuches im zugeklappten Zustand zu verstehen, also z. B. während sich der Pass in einer Reisetasche befindet (Basic Access Control). Für das Auslesen der Fingerabdrucksdaten aus Reisepässen der zweiten Stufe wird diese Anforderung so erweitert, dass lediglich durch berechtigte Lesegeräte ein Zugriff erfolgen kann (Extended Access Control).[24]

Basic Access Control (BAC)

Bearbeiten
 
Basic Access Control

Dieser Zugriffsschutz soll für die im RFID-Chip abgelegten Daten genau die Eigenschaften des bisherigen Reisepasses nachbilden:

Um auf die im RFID-Chip gespeicherten Daten zugreifen zu können, muss das Lesegerät dem Chip beweisen, dass es die Maschinenlesbare Zone des Passes kennt. Damit soll sichergestellt werden, dass die Daten nur dann ausgelesen werden können, wenn ein optischer Zugriff auf die Datenseite des Reisepasses gewährt wurde. Konkret muss sich das Lesegerät gegenüber dem RFID-Chip authentisieren, und zwar mit einem geheimen Zugriffsschlüssel, der aus der maschinenlesbaren Zone des Reisepasses berechnet wird. Das Lesegerät muss also die maschinenlesbare Zone optisch lesen, daraus den Zugriffsschlüssel berechnen und sich damit gegenüber dem RFID-Chip authentisieren. Parallel dazu findet auch ein Schlüsselaustausch statt, bei dem der Chip und das Lesegerät mit Hilfe des Zugriffschlüssels einen neuen gemeinsamen Session Key (Sitzungsschlüssel) berechnen. Mit diesem wird die anschließende Kommunikation zwischen Chip und Lesegerät abgesichert.

In die Berechnung des Zugriffsschlüssels gehen die durch Prüfziffern gegen Lesefehler gesicherten Felder der MRZ ein: die Passnummer, das Geburtsdatum des Inhabers und das Ablaufdatum des Reisepasses. Geht man vom derzeitigen Reisepass aus, ist die Passnummer eine neunstellige Zahl, das heißt, es gibt 109 Möglichkeiten. Für das Geburtsdatum gibt es näherungsweise 365 × 102 Möglichkeiten und für das Ablaufdatum gibt es – bei einer Gültigkeit des Reisepasses von zehn Jahren – 365 × 10 Möglichkeiten. Insgesamt entspricht die Stärke des Zugriffschlüssels theoretisch etwa 56 Bit (3652 × 1012 ≈ 256) was der Stärke eines normalen Data Encryption Standard (DES)-Schlüssels entsprechen würde.[25] Praktisch wird diese Stärke aber nicht erreicht. So lässt sich z. B. das Alter einer Person ungefähr abschätzen und es besteht oft eine Korrelation zwischen der Passnummer und dem Ablaufdatum. Die tatsächliche Entropie der MRZ wird daher auf 40 bis 50 Bits geschätzt.[26]

Dies bietet zwar einen genügenden Schutz gegen das Auslesen der Daten, nicht aber gegen das Abhören (und Entschlüsseln) der Kommunikation zwischen Chip und Lesegerät. Konkret ist es möglich, durch eine Brute-Force Attacke den Session-Key nachträglich zu berechnen und somit die abgehörte Kommunikation offline zu entschlüsseln.[27][28] Aus diesem Grund wurde zum Schutz der Basisdaten ein neues Verfahren (Password Authenticated Connection Establishment, PACE) eingeführt, das in den EU-Ländern zusätzlich zum BAC implementiert wird, mit dem Ziel das BAC längerfristig zu ersetzen.[29][30][26]

Password Authenticated Connection Establishment (PACE)

Bearbeiten

PACE hat das gleiche Ziel wie BAC (Schutz der Basisdaten vor Auslesen und Abhören), dank dem Einsatz von asymmetrischer Kryptographie erreicht es aber eine deutlich höhere Sicherheit.[31] Konkret ist PACE ein passwort-authentisierter Diffie-Hellman-Schlüssellaustauch-Protokoll, das ein (möglicherweise schwaches) Passwort verifiziert und einen kryptographisch starken Session-Key generiert. Das Passwort wird, wie schon bei BAC, aus der Maschinenlesbaren Zone des Passes berechnet und für die Authentisierung verwendet. Da beim Schlüsselaustausch aber das Diffie-Hellman Protokoll eingesetzt wird, hängt die Stärke des ausgehandelten Session-Keys nicht von der Stärke des Passworts ab, womit offline Attacken trotz der schwachen Entropie der MRZ unmöglich sind.

PACE wurde im Jahr 2007 durch das BSI vorgestellt und ist mittlerweile als eine sicherere Alternative zu BAC standardisiert.[30][29] Aus Kompatibilitätsgründen mussten bis 2017 beide Verfahren (BAC und PACE) implementiert werden.

Extended Access Control (EAC)

Bearbeiten

In der zweiten Stufe des EU-Reisepasses werden zusätzlich Fingerabdrücke auf dem RFID-Chip gespeichert. Derart sensible Daten bedürfen eines besonders starken Schutzes und vor allem der Vorgabe einer engen Zweckbindung. Innerhalb der Arbeitsgruppe zur technischen Standardisierung des EU-Reisepasses fand daher die Spezifikation eines erweiterten Zugriffsschutzes statt. Dieser erweiterte Zugriffsschutz spezifiziert einen zusätzlichen Public-Key Authentisierungsmechanismus, mit dem sich das Lesegerät als zum Lesen von Fingerabdrücken berechtigt ausweist. Dazu muss das Lesegerät mit einem eigenen Schlüsselpaar und einem vom RFID-Chip verifizierbaren Zertifikat ausgestattet werden. In diesem Zertifikat sind dann die Rechte des Lesegerätes exakt festgelegt. Dabei bestimmt immer das Land, das den Reisepass herausgegeben hat, auf welche Daten ein Lesegerät zugreifen kann.[25]

Datenauthentizität

Bearbeiten

Passive Authentication (PA)

Bearbeiten

Passive Authentication dient der Sicherstellung der Datenauthentizität. Konkret wird die Integrität und Authentizität der im RFID-Chip gespeicherten Daten über eine digitale Signatur gesichert, sodass jede Form von manipulierten Daten zu erkennen ist. Somit kann überprüft werden, dass die signierten Daten von einer berechtigten Stelle erzeugt und seit der Erzeugung nicht mehr verändert wurden.

Zum Signieren und Überprüfen der digitalen Dokumente wird eine global interoperable Public Key Infrastruktur (PKI) benötigt. Jedes teilnehmende Land erzeugt dazu eine zweistufige PKI, die aus genau einer Country Signing CA (CA – Certification Authority) und mindestens einem Document Signer besteht:

  • Country Signing CA: Die Country Signing CA ist im Kontext der Reisepässe die oberste Zertifizierungsstelle eines Landes. International gibt es keine übergeordnete Zertifizierungsstelle, da nur so garantiert werden kann, dass jedes Land die volle Kontrolle über seine eigenen Schlüssel besitzt. Das von der Country Signing CA erzeugte Schlüsselpaar wird ausschließlich zur Zertifizierung von Document Signern verwendet. Die Verwendungsdauer des privaten Schlüssels der Country Signing CA wurde auf drei bis fünf Jahre festgelegt. Entsprechend der Gültigkeitsdauer der Reisepässe von derzeit zehn Jahren muss der zugehörige öffentliche Schlüssel zwischen 13 und 15 Jahren gültig sein.
  • Document Signer: Document Signer sind zum Signieren der digitalen Dokumente berechtigte Stellen, zum Beispiel die Druckereien, die auch die physikalischen Dokumente produzieren. Jeder Document Signer besitzt mindestens ein von ihm erzeugtes Schlüsselpaar. Der private Schlüssel wird ausschließlich zum Signieren der digitalen Dokumente verwendet, der öffentliche Schlüssel muss von der nationalen Country Signing CA zertifiziert werden. Die Verwendungsdauer des privaten Schlüssels des Document Signers beträgt maximal drei Monate, so dass im Falle einer Kompromittierung des Schlüssels möglichst wenig Pässe von den Auswirkungen betroffen sind. Entsprechend muss der zugehörige öffentliche Schlüssel zehn Jahre und drei Monate gültig sein.[25]

Chipauthentizität

Bearbeiten

Die oben beschriebene Passive Authentication schützt zwar die gespeicherten Daten vor Manipulation, verhindert aber nicht das Klonen des Chips. Will das Lesegerät sicher sein, dass es mit einem Original-Chip kommuniziert, muss auch die Chipauthentizität überprüft werden. Dabei beweist der Chip die Kenntnis seines eigenen privaten Schlüssels (Secret-Key, SKc), zu dem er einen zugehörigen, durch Passive Authentication gesicherten, öffentlichen Schlüssel (Public-Key, PKc) besitzt. Der PKc wird vom Lesegerät ausgelesen und geprüft, der SKc befindet sich hingegen im gesicherten Speicher des Chips und kann nicht ausgelesen werden. ICAO beschreibt zwei Verfahren, mit denen der Chip die Kenntnis seines Secret-Keys SKc beweisen kann: Active Authentication und Chip Authentication.[32]

Active Authentication (AA)

Bearbeiten

Die Active Authentication ist ein Challenge-Response-Verfahren, bei dem der Pass eine vom Lesegerät erhaltene Challenge mit dem Secret-Key SKc unterschreibt und ans Lesegerät schickt. Damit kann sich das Lesegerät überzeugen, dass es mit dem Inhaber des Secret-Keys kommuniziert. Die Challenge sollte vom Lesegerät zufällig gewählt werden, dies kann vom Chip jedoch nicht überprüft werden. Damit ist es dem Lesegerät möglich sich eine beliebige Challenge vom Pass unterschreiben zu lassen. Deswegen wird Active Authentication von vielen Ländern nicht implementiert.

Chip Authentication (CA)

Bearbeiten

Die Chip Authentication ist faktisch ein Diffie-Hellman-Schlüsselaustausch, bei dem der Chip immer das gleiche Schlüsselpaar (SKc, PKc) verwendet, während das Lesegerät sein Schlüsselpaar jeweils zufällig neu wählt. Beim Diffie-Hellman-Protokoll tauschen zwei Parteien ihre Public-Keys aus, um einen gemeinsamen geheimen Schlüssel zu berechnen. Dieser ist durch die zwei Public-Keys zwar eindeutig definiert, um ihn berechnen zu können, muss man allerdings auch einen der beiden Secret-Keys kennen. Wenn der Chip also beweisen kann, dass er den neu ausgehandelten Schlüssel kennt, hat er damit implizit die Kenntnis seines Secret-Keys SKc bewiesen. Da der bei der Chip Authentication ausgehandelte Schlüssel deutlich sicherer ist als der Sitzungsschlüssel, der bei BAC berechnet wurde, wird er auch zur Absicherung der weiteren Kommunikation zwischen dem Chip und dem Lesegerät verwendet.

Biometrische Merkmale im ePass

Bearbeiten
 
Menschliche Iris

Der neue ePass soll zwei biometrische Merkmale enthalten, anhand derer der Eigentümer identifiziert werden kann. Das ist zum einen ein Bild des Gesichts und zum anderen zwei Fingerabdruckbilder.

Die Erkennung von Personen anhand von biometrischen Merkmalen ist ein Ansatz zur Authentifizierung von Personen. Biometrie bietet sich in Ergänzung oder als Ersatz herkömmlicher Methoden wie PIN/Passwort und Karte oder anderer Token deshalb an, weil die körperlichen Merkmale im Gegensatz zu Wissens- und Besitzelementen unmittelbar personengebunden sind. Ziel einer biometrischen Erkennung ist stets, die Identität einer Person zu ermitteln (Identifikation) oder eine behauptete Identität zu bestätigen bzw. zu widerlegen (Verifikation).

Verfahren zur Erkennung der Iris wurde erst Mitte der 1980er Jahre entwickelt. Sie genügten ansatzweise den Anforderungen an eine Automatisierung der Gesichtserkennung, die das US-Verteidigungsministerium 1994 ausschrieb, wodurch es die erste Kommerzialisierungswelle biometrischer Systeme auslöste, an die sich die Entwicklung des Marktwettbewerbs entsprechender Produkte anschloss.[33]

Überblick biometrischer Merkmale

Bearbeiten

Biometrische Merkmale lassen sich in zwei Merkmalsgruppen einteilen:[34] verhaltenstypische Merkmale und physiologische Merkmale.

Bei den verhaltenstypischen Merkmalen spricht man von dynamischen Merkmalen, da diese sich abhängig von der Umgebung oder der Verfassung der Person ändern. Verhaltenstypische Merkmale sind, die Erzeugung einer persönlichen Unterschrift, die Bewegung der Lippen beim Sprechen, der Klangcharakter der Stimme, die Gangart und das Tippverhalten an einer Tastatur.

Die physiologischen Merkmale sind sogenannte „statische Merkmale“; das bedeutet, dass diese eine nahezu unveränderliche Struktur aufweisen. Physiologische Merkmale sind der Fingerabdruck, die Handgeometrie, das heißt beispielsweise Form und Maße der Finger und des Handballens, das Gesicht und die Anordnung der Attribute wie z. B. Nase, Mund, die Iris, deren Gewebemuster vermessen werden können, die Venen der Hand oder der Finger, deren Blutgefäßmuster vermessbar ist, sowie der Geruch, die DNS und das Blut.

Anwendung im ePass

Bearbeiten

Auf den biometrischen Reisepass (ePass) bezogen können keine verhaltenstypischen Merkmale zur Erkennung einer Person herangezogen werden. Der Grund ist, dass diese, wie zuvor beschrieben von der Verfassung der Person und der Umgebung abhängig sind. Außerdem können einige Merkmale, wie zum Beispiel eine Unterschrift, durch Übung sehr gut nachgeahmt werden.

Bei den physiologischen Merkmalen können keine Merkmale genutzt werden, die einen körperlichen Eingriff erfordern. Das heißt, dass die menschliche DNS und das Blut nicht zur biometrischen Erkennung herangezogen werden können.

Daraus resultierend bleiben die folgenden Merkmale als mögliche Merkmale übrig:[35]

  • Der Fingerabdruck,
  • die Geometrie der Hand,
  • das Gesicht,
  • die Iris und
  • die Blutgefäßmuster.

Aus diesen Möglichkeiten hat sich die Europäische Union dazu entschieden, ein Foto des Gesichts (zur Erkennung der Gesichtsgeometrie) und Fingerabdrücke in die neuen biometrischen Reisepässe aufzunehmen.[6] In Deutschland enthalten die neuen biometrischen Reisepässe:[36]

  • Seit 1. November 2005 ein Bild des Gesichts und
  • seit 1. November 2007 zusätzlich zwei Fingerabdruckbilder.

Das Gesichtsbild wurde aufgrund der Empfehlung der UN-Zivilluftfahrt-Organisation (International Civil Aviation Organization, ICAO) ausgewählt.

„Für Fingerabdrücke als zweites Merkmal sprach die hohe Praxistauglichkeit der hierzu entwickelten Abnahme- und Erkennungssysteme. Die Festlegung der EU auf zwei biometrische Merkmale war erforderlich, um Flexibilität bei der Kontrolle zu ermöglichen. An Stellen, an denen die Gesichtserkennung nicht praktikabel ist (zum Beispiel bei schlechten Beleuchtungsverhältnissen oder bei Massenandrang), soll eine Verifikation durch Fingerabdrücke möglich sein.“

Bundesministerium des Innern: Fragen und Antworten zum ePass[37]

Durchführung einer biometrischen Erkennung

Bearbeiten

Erstmalige Erfassung

Bearbeiten
 
Fingerabdruckscanner wie er für den Reisepass in Deutschland seit dem 1. November 2007 zum Einsatz kommt

Zunächst müssen die benötigten biometrischen Merkmale erstmals erfasst werden, um sie später vergleichen und wiedererkennen zu können. Gesichtsmerkmale erfasst zum Beispiel eine Kamera, Fingerabdrücke ein Fingerabdruckscanner. Die Daten für den ePass erfassen die Meldebehörden. Diese sogenannten Rohdaten, also Bilder des Gesichts und der Fingerabdrücke, werden auf dem RFID-Chip des ePasses gespeichert[38] und können bei einer Passkontrolle mit den an Ort und Stelle verfügbaren Merkmalen derjenigen Person verglichen werden, die den Pass vorlegt.

Damit auch computergestützte Systeme diese Daten nutzen können, werden die Rohdaten mit mathematischen und statistischen Verfahren abstrahiert, sodass die wesentlichen, charakteristischen Merkmale als sogenannte Referenzmuster oder Templates vorliegen. Ein Fingerabdruck zum Beispiel wird so aufbereitet, dass man trotz Schmutzpartikeln die Rillen der Fingerkuppen gut erkennen und damit auch gut vergleichen kann. Auf dem ePass werden allerdings nicht direkt solche Templates gespeichert, sondern die Rohdaten, weil sich die Berechnungsverfahren international stark unterscheiden.[38] Als Alternative werden auch templatefreie, sogenannte „anonyme Verfahren“ entwickelt, bei denen keine Templates aus Rohdaten erstellt, sondern kryptografische Schlüssel errechnet werden. Jedoch steckt diese Entwicklung noch in den Anfängen.[39]

Vergleich von biometrischen Merkmalen

Bearbeiten

Der Vergleich biometrischer Merkmale basiert auf dem Vergleich aktueller biometrischer Daten und Referenzdaten, die zum Beispiel auf dem RFID-Chip des ePass gespeichert werden.

Durchführen eines Matchings
Bearbeiten

Beim sogenannten „Matching“ wird ein Vergleich zwischen dem gespeicherten Template auf dem ePass und der bei der erneuten Präsentation des Merkmals gegenüber dem biometrischen System erstellt wird, vorgenommen. Bei Übereinstimmung meldet das Gerät, das das Matching durchführt, die Wiedererkennung der Person, die ihr biometrisches Merkmal präsentiert hat.

Veränderung eines biometrischen Merkmals
Bearbeiten

Bei Veränderung eines biometrischen Merkmals, wie zum Beispiel der Änderung des Fingerabdrucks durch Verletzung eines Fingers, sind die biometrischen Systeme in der Lage die Referenzdaten in der Datenbank anzupassen. Wichtig ist des Weiteren, dass biometrische Merkmale vor dem Zugriff Unbefugter gesichert werden müssen, da diese, wenn sie allgemein bekannt sind, nicht mehr zur Authentifizierung einer bestimmten Person genutzt werden können. Dies müssen entsprechende Systeme sicherstellen.

Automatisierter Vergleich von biometrischen Merkmalen
Bearbeiten
 
Fluggäste bei der Passkontrolle am Frankfurter Flughafen (Juni 1988)
 
EasyPASS mit einem Nutzer am Dokumentenlesegerät

Da die Erfassung und der Vergleich von biometrischen Merkmalen täglich in großer Menge erfolgt, können hierfür nur computergestützte Systeme eingesetzt werden, da mit Hilfe dieser die Bewältigung in einer akzeptablen Zeit zu bewältigen ist. Exemplarisch soll an dieser Stelle an die Passabfertigung an einem Großflughafen gedacht werden. Bei der Kontrolle eines biometrischen Merkmals mit einer Referenzdatenbank bietet der Computer mehrere Vorteile:

  • Immer wiederkehrende monotone Arbeiten werden von computergestützten Systeme in der immer gleichbleibenden Qualität ausgeführt,
  • die Geschwindigkeit, mit der die Arbeit durch ein computergestütztes System ausgeführt wird, ist um ein Vielfaches schneller als bei der Ausführung durch eine Person,
  • das computergestützte System ist, im Vergleich zu einer Person, in der Lage, kleinste Unterschiede der biometrischen Merkmale zu erfassen und
  • computergestützte Systeme bieten, in Verbindung mit einer Datenbank, die Möglichkeit, die biometrischen Merkmale vor dem Zugriff von Dritten zu schützen.

Toleranzbereich während des Abgleichs

Bearbeiten

Ein exakter Datenabgleich zwischen dem erstmals erfassten Merkmal und einer zu einem späteren Zeitpunkt durchgeführten Erfassung kann nicht erreicht werden. Dies ist darin begründet, das sich zum einen die Merkmale im Laufe der Zeit verändern können. Beispielsweise wird eine Iris mit und ohne Kontaktlinse nicht als identisch erkannt. Zum anderen werden die Merkmale nie auf die gleiche Art und Weise dargebracht. Der Blickwinkel des Gesichts ist bei jeder Messung immer ein wenig unterschiedlich, da eine Person kein starres Objekt ist.

Die tatsächliche Entscheidung, ob eine Übereinstimmung vorliegt oder nicht, beruht auf zuvor eingestellten Parametern, die einen Toleranzbereich bilden, in dem biometrische Daten vom System als „gleich“ erkannt werden. Die biometrischen Merkmale werden nicht auf Gleichheit, sondern nur auf „annähernde Ähnlichkeit“ geprüft.

Dies hat zur Folge, dass biometrische Systeme nur mit systemtypischer Wahrscheinlichkeit bestimmen können, ob es sich um die vorgegebene Person handelt.

Fallen die Vergleichswerte außerhalb des zutreffenden Toleranzbereichs, so tritt ein Fehler auf: entweder ein „false reject“ oder ein „false accept“. Die Wahrscheinlichkeit, mit der dies geschieht, wird mit der False Rejection Rate (FRR) oder Falschrückweisungsrate bzw. der False Acceptance Rate (FAR) oder Falschakzeptanzrate bezeichnet.

Einschätzung biometrischer Systeme

Bearbeiten

Biometrische Verfahren weisen sowohl Vor- als auch Nachteile auf, die im Folgenden erläutert werden:

Vorteile biometrischer Verfahren

Bearbeiten
  • Biometrische Merkmale sind personengebunden. Das bedeutet, dass eine Person anhand ihrer Individualität erkannt wird. Sie sind mit dem Körper der Person verbunden und müssen nicht künstlich zugeordnet werden wie etwa ein Name.
    Daraus können ganz neue und einfachere Formen der resultieren Authentifizierung von Personen geschaffen werden. Hierbei sei an das „Bezahlen per Fingerabdruck“ oder „Zugangskontrolle mit Hilfe der Iris“ gedacht.
  • Dem Bedürfnis „In einer zunehmend elektronisch kommunizierenden Welt wächst das Bedürfnis nach vertrauenswürdiger und automatisierter Personenidentifikation.“[33] kann durch den neuen biometrischen Reisepass, also dem ePass, entgegengekommen werden, da mit dessen Hilfe die Identifikation einer Person – mit Unterstützung der Informationstechnologie – automatisiert durchgeführt werden kann.

Nachteile biometrischer Verfahren

Bearbeiten
  • Für die praxistaugliche Massennutzung biometrischer Systeme muss sichergestellt sein, dass die Fehlerrate solcher Systeme relativ gering ist.
  • Die Datensicherheit muss gewährleistet sein. Sollten die auf dem Chip gespeicherten biometrischen Daten in die Hände Dritter gelangen, sind sie kompromittiert und können – im Gegensatz zu kryptografischen Schlüsseln – nicht für ungültig erklärt bzw. neu erzeugt werden.
  • Fehlende Informationstransparenz. Viele Personen sind nicht oder nur unzureichend aufgeklärt, was mit den biometrischen Daten geschieht, wenn die Kontrolle beendet ist. Konkret stellt sich diese Frage beispielsweise bei der Einreise in die USA.

Technische Bedenken

Bearbeiten

Störsender können die Kommunikation zwischen dem biometrischen Reisepass und dem Lesegerät behindern, was das Auslesen der Daten behindern oder unterbinden könnte.[40]

Der auf dem biometrischen Reisepass befindliche Chip kann auf mechanische Weise zerstört werden, indem der ePass geknickt wird oder ein starker Druck auf ihn ausgeübt wird. Es bleibt abzuwarten, ob zum Beispiel das Stempeln des biometrischen Reisepasses ein größeres Problem darstellt.

Durch nichtmechanische Weise kann der Chip ebenfalls zerstört werden. Beispielsweise kann die Chip-Oberfläche durch eine elektrostatische Aufladung zerstört werden. Ein Induktionskochfeld kann den Chip zerstören.[41]

Biometrische Informationen in MRTDs können nicht widerrufen werden. Da physische Merkmale wie das Gesicht oder Fingerkuppen nicht einfach zu ändern sind, können einmal gestohlene biometrische Merkmale lange Zeit missbraucht werden.[42]

Denkbar ist auch eine Form des zivilen Ungehorsams gegenüber der Verwendung biometrischer Merkmale: so könnten Bürger ihre biometrischen Merkmale wie Fingerabdruck und Irisscan als Public Domain deklarieren und in eine öffentliche Datenbank hochladen. Damit wären diese Merkmale "verbrannt" und könnten nicht mehr zur eindeutigen Identifizierung verwendet werden.

Mehrere Szenarien sind denkbar, um die Sicherheitsfeatures des biometrischen Reisepasses zu umgehen:[40]

  • Gefälschte Pässe aus Ländern, die keinen ePass nutzen
    Da es immer noch viele Länder gibt, die keinen ePass einsetzen, ist es bei Kontrolle derer Bürger nicht möglich, auf die biometrischen Pass-Features zurückzugreifen. In diesen Fällen kann ein gefälschter Pass nicht mit Hilfe der biometrischen Daten erkannt werden.
  • Einreise über schlecht bewachte Grenzen
    Illegale Einwanderer werden weiterhin über schlecht bewachte Landesgrenzen kommen. Der ePass wird dies nicht verhindern können.

Politische Bedenken

Bearbeiten

Die politischen Parteien im Deutschen Bundestag sind sich nicht einig, was die Aufnahme biometrischer Merkmale in den ePass angeht. Da die Opposition Bedenken gegen die Novelle des Passgesetzes hat, wurde diese ohne die Stimmen der Opposition am 24. Mai 2007 von der großen Koalition verabschiedet.[43] Die Novelle des Passgesetzes beinhaltet die Aufnahme von Fingerabdrücken in Reisepässe als zweites biometrisches Merkmal.

Ein weiteres Problem stellt der Datenaustausch mit anderen Staaten dar. Grundsätzlich kann nicht garantiert werden, dass andere Staaten die biometrischen Daten des ePasses nicht zentral speichern und nach der Passkontrolle weiterhin, für andere Zwecke, nutzen können. Will die Bundesregierung Spannungen mit anderen Staaten vermeiden, kann sie nur schwer gegen die Nutzung der biometrischen Daten angehen, wenn Bundesbürger in andere Staaten einreisen. Allerdings tritt dieselbe Problematik auf, wenn Ausländer in die Bundesrepublik einreisen und an der Grenze ihre biometrischen Daten überprüfen lassen.[40]

ePass und Datenschutz

Bearbeiten

Datenschutzrechtliche Bestimmungen

Bearbeiten

Zu den Gruppen, die Zugriff auf biometrische Daten verlangen, gehören u. a. private Unternehmen (z. B. Flughafenbetreiber, Fluglinien) und Sicherheitsbehörden (z. B. zur Strafverfolgung). Die Nutzung biometrischer Daten zu diesen Zwecken wird rechtlich legitimiert. Nachfolgend werden die derzeit gültigen rechtlichen Rahmenbedingungen zur Haltung biometrischer Daten in staatlichen Ausweisen, deren Nutzung und datenschutzrechtlichen Anforderungen aufgeführt.

Gemäß § 4 Abs. 3 PassG darf der ePass neben dem Lichtbild und der Unterschrift des Passinhabers weitere biometrische Merkmale von Fingern oder Händen oder Gesicht enthalten. Diese dürfen auch in mit Sicherheitsverfahren verschlüsselter Form in den Pass eingebracht werden. Auch die in § 4 Abs. 1 Satz 2 PassG aufgeführten Angaben über die Person dürfen in mit Sicherheitsverfahren verschlüsselter Form in den Pass eingebracht werden.

Die drei alternativ festgelegten biometrischen Merkmale sollen eine zweifelsfreie Identifizierung der Passinhaber ermöglichen. Die Verbesserung der Ausweisdokumente durch Aufnahme biometrischer Merkmale gegenüber den bisherigen Ausweisen wird darin gesehen, dass eine Identifizierung durch einen bloßen visuellen Abgleich von Merkmalen von der subjektiven Wahrnehmungsfähigkeit der Kontrollperson abhängt. Die Wahrnehmungsfähigkeit könnte durch weitere Faktoren (z. B. Lichtbildqualität, Differenz zwischen Bild und Wirklichkeit wegen Alter und Änderungen des Erscheinungsbildes durch Brille, Frisur, Bart) beeinträchtigt werden.

Die Arten der biometrischen Merkmale, ihre Einzelheiten und die Einbringung von Merkmalen und Angaben in verschlüsselter Form nach § 4 Abs. 3 PassG sowie die Art ihrer Speicherung, ihrer sonstigen Verarbeitung und ihrer Nutzung werden durch Bundesgesetz geregelt. Eine bundesweite Datei wird nicht eingerichtet.[44]

Bei diesen biometrischen Daten handelt es sich gemäß § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) um personenbezogene (personenbeziehbare) Daten, wodurch ihre Erhebung, Speicherung und Verarbeitung nur zulässig ist, wenn entweder eine gesetzliche Grundlage (in diesem Fall das PassG) oder eine freiwillige und informierte Einwilligung des Betroffenen vorliegt.[45]

Laut Information des Bundesbeauftragten für den Datenschutz besteht die Möglichkeit eines datenschutzgerechten Einsatzes der biometrischen Daten. Unter datenschutzrechtlichen Aspekten sollten bei der Verwendung von biometrischen Merkmalen im ePass folgende Punkte Berücksichtigung finden: Es sollten nur solche Verfahren zum Einsatz kommen, die eine Benachteiligung bestimmter Personengruppen weitgehend ausschließen; nur die für den späteren Vergleich notwendigen Merkmale und keine Überschussinformationen aufgenommen und gespeichert werden; wenn von der Anwendung nicht anders vorgegeben, nur Templates der Merkmale gespeichert werden; eine strenge Zweckbindung der Daten sichergestellt sein; die Datensätze nur in einer gesicherten Umgebung (Netzwerk, Datenbank) verarbeitet werden; nach Möglichkeit auf eine zentrale Speicherung der Daten verzichtet werden, z. B. durch Speicherung der Daten auf einer Chipkarte oder einem Ausweis; nur kooperative biometrische Verfahren eingesetzt werden (die zu überprüfende Person muss aktiv in die Überprüfung einbezogen werden, keine verdeckte Erfassung); eine umfassende Information über die gesamte Anwendung beim beteiligten Personenkreis erfolgten und eine gesetzliche Regelung für den Einsatz vorliegen; die Biometrie nicht dazu herangezogen werden, über Auswerteprogramme Bewegungs- und Verhaltensprofile zu erstellen; Transparenz der Verfahren und der Sicherheitsmechanismen gegeben sein; Schutz der biometrischen Daten vor unbefugter Kenntnisnahme gegeben sein (Einsatz von Verschlüsselung) und eine sofortige Löschung der Daten vorgenommen werden, sobald ein Betroffener nicht mehr an der Anwendung teilnimmt.

Gemäß § 16 Abs. 1 PassG dürfen die Seriennummer und die Prüfziffern keine Daten über die Person des Passinhabers oder Hinweise auf solche Daten enthalten; jeder Pass erhält eine neue Seriennummer.

Die Beantragung, Ausstellung und Ausgabe von Pässen dürfen nicht zum Anlass genommen werden, die hierfür erforderlichen Angaben außer bei den zuständigen Passbehörden zu speichern. Entsprechendes gilt für die zur Ausstellung des Passes erforderlichen Antragsunterlagen sowie für personenbezogene fotografische Datenträger (§ 16 Abs. 2 PassG).

Laut § 16 Abs. 3 PassG darf eine zentrale, alle Seriennummern umfassende Speicherung nur bei der Bundesdruckerei und ausschließlich zum Nachweis des Verbleibs der Pässe erfolgen. Diese darf jedoch nicht die übrigen unter § 4 Abs. 1 PassG aufgeführten Angaben dauerhaft speichern. Diese dürfen nur vorübergehend und ausschließlich zur Herstellung des Passes durch die Bundesdruckerei GmbH gespeichert werden und müssen anschließend gelöscht werden.

Die Seriennummern dürfen gemäß § 16 Abs. 4 PassG nicht so verwendet werden, dass mit ihrer Hilfe ein Abruf personenbezogener Daten aus Dateien oder eine Verknüpfung von Dateien möglich ist. Allerdings dürfen die Passbehörden die Seriennummern für den Abruf personenbezogener Daten aus ihren Dateien nutzen. Weiterhin dürfen Polizeibehörden und -dienststellen des Bundes und der Länder die Seriennummern für den Abruf der in Dateien gespeicherten Seriennummern solcher Pässe nutzen, die für ungültig erklärt wurden, abhandengekommen sind oder bei denen der Verdacht einer Benutzung durch Nichtberechtigte besteht.

Die im Pass enthaltenen verschlüsselten Merkmale und Angaben dürfen gemäß § 16 Abs. 4 PassG nur zur Überprüfung der Echtheit des Dokumentes und zur Identitätsprüfung des Passinhabers ausgelesen und verwendet werden. Auf Verlangen des Passinhabers hat die Passbehörde Auskunft über den Inhalt der verschlüsselten Merkmale und Angaben zu erteilen.

Verwendung im öffentlichen Bereich

Bearbeiten

Behörden und sonstige öffentliche Stellen dürfen gemäß § 17 Abs. 1 PassG den Pass nicht zum automatischen Abruf personenbezogener Daten verwenden. Ausnahmen bilden hier die Polizeibehörden des Bundes und der Länder und die Zollbehörden (soweit sie Aufgaben der Grenzkontrolle wahrnehmen). Diese sind dazu berechtigt, den Pass im Rahmen ihrer Aufgaben und Befugnisse zum automatischen Abruf personenbezogener Daten zu verwenden. Diese Berechtigung ist zweckgebunden und darf zur Grenzkontrolle und Fahndung oder Aufenthaltsfeststellung aus Gründen der Strafverfolgung, Strafvollstreckung oder der Abwehr von Gefahren für die öffentliche Sicherheit erfolgen.

Weiterhin dürfen personenbezogene Daten, soweit gesetzlich nichts anderes bestimmt ist, beim automatischen Lesen des Passes nicht in Dateien gespeichert werden (§ 17 Abs. 2 PassG).

Verwendung im nichtöffentlichen Bereich

Bearbeiten

Im nichtöffentlichen Bereich dürfen die Seriennummern nicht so verwendet werden, dass mit ihrer Hilfe ein Abruf personenbezogener Daten aus Dateien oder eine Verknüpfung von Dateien möglich ist (§ 18 Abs. 2 PassG). Weiterhin darf der Pass weder zum automatischen Abruf personenbezogener Daten noch zur automatischen Speicherung personenbezogener Daten verwendet werden (§ 18 Abs. 3 PassG).

Datenschutzrechtliche Kritikpunkte

Bearbeiten
  • Der Bundesbeauftragte für den Datenschutz hält es für notwendig, dass die biometrischen Daten nur im Pass selbst und nicht in externen Dateien abgespeichert werden. Auf nationaler Ebene wird dieser Forderung durch eine entsprechende gesetzliche Regelung nachgekommen (§ 4 Abs. 5 PassG). Weiterhin weist der Bundesbeauftragte für den Datenschutz darauf hin, dass bisher internationale Regelungen zu dieser Problematik ausstehen, wodurch die Möglichkeit bestehen würde, dass ausländische Staaten die biometrischen Angaben von Reisenden nach dem Auslesen der Pässe speichern (in Dateien, Datenbanken).[46]
  • Ein weiterer Kritikpunkt aus Sicht des Datenschutzes besteht darin, dass sich aus dem Gesichtsbild Rückschlüsse auf die ethnische Herkunft und bestimmte Krankheiten und Lebensumstände ziehen lassen, die mit Hilfe des neuen biometrischen Passfotos automatisiert ausgewertet werden können.[46]
  • Hinsichtlich des unberechtigten Auslesens der biometrischen Daten warnt der Bundesbeauftragte für den Datenschutz davor, dass das Auslesen der im Chip gespeicherten Daten möglich ist, wenn die maschinenlesbare Zone des Passes bekannt ist.[46]
  • Hinsichtlich der Gefährdung von Grundrechten des Einzelnen ist beim ePass zu beachten, dass hier Biometrie nicht freiwillig, sondern unfreiwillig genutzt wird, da der Einsatz von Biometrie im ePass durch den Staat/Gesetzgeber vorgegeben wird und somit auch jeder Bürger dazu verpflichtet ist, seine biometrischen Merkmale abzugeben und überprüfen zu lassen.[47]
  • Art. 1 Grundgesetz behandelt die geschützte Menschenwürde und könnte den Einsatz neuer Techniken einschränken. Mit diesem Recht soll verhindert werden, dass alle Lebensäußerungen einer Person mit technischen Mitteln überwacht werden. Die in Art. 1 GG geschützte Menschenwürde wird allerdings erst dann verletzt, wenn eine Kontrolltechnik sehr umfangreich und sehr intensiv für die Überwachung genutzt wird.[47]
  • Ein weiterer Punkt ist die Vereinbarkeit von Biometrie im ePass mit dem Recht auf informationelle Selbstbestimmung. Dieses Recht wurde vom Bundesverfassungsgericht aufgrund der Risiken der automatischen Datenverarbeitung entwickelt und soll die freie Entfaltung der Persönlichkeit und die Menschenwürde wahren. Das Recht auf informationelle Selbstbestimmung soll dem Einzelnen ermöglichen, selbst über die Verwendung seiner personenbezogenen Daten zu bestimmen. In dieses Grundrecht darf eine staatliche Anordnung nur in Form eines Gesetzes eingehen (in diesem Fall das PassG).[47]
  • Wie die Europäische Union selbst feststellte, kann die Verbindung zwischen Leser und RFID-Chip abgehört und mittels sogenannter „Brute-Force-Attacken“ unter Nutzung bekannter kryptografischer Schwächen gehackt werden.[42]

Datenschutzrechtliche Problematik

Bearbeiten
 
Datenschutzproblematik des österreichischen Reisepasses in der Kritik in Form eines Stencils

Ohne ausreichende Sicherheitsmaßnahmen könnten RFID-Chips im Reisepass dazu führen, dass die gespeicherten Daten ohne willentliche und aktive Handlung des Besitzers (wie dem Vorzeigen des Ausweises) verdeckt ausgelesen werden könnten. Dieses unbemerkte Auslesen könnte zum Beispiel durch den Aufenthalt in einem mit RFID-Lesetechnik bestückten Bereich erfolgen oder durch Annäherung einer Person mit einem mobilen Lesegerät auf kurze Distanz zum Betroffenen und seinem Reisepass. Das Ansprechen des Chips und damit das unbemerkte Auslesen der elektronisch gespeicherten Daten per RFID-Technik kann allerdings recht einfach durch eine abschirmende RFID-Schutzhülle für den Reisepass ausgeschlossen werden.

Bei europäischen Reisepässen soll das Auslesen durch Unbefugte allerdings durch das Basic-Access-Control-Verfahren unterbunden werden. Dabei ist das Auslesen des Chips möglich, wenn zuvor die maschinenlesbare Zone des Passes optisch gelesen wurde, das Dokument also einem Beamten oder einer im Besitz eines Lesegerätes befindlichen Person ausgehändigt wurde. Alternativ können die Daten des maschinenlesbaren Bereichs auch aus einer Datenbank stammen, was ein verdecktes Detektieren eines bestimmten, erwarteten Dokuments ermöglicht. Das Lesegerät muss sich mit den Daten aus der maschinenlesbaren Zone am RFID-Chip anmelden. Schlägt diese Anmeldung fehl, so gibt der Chip keine Daten seines Inhabers preis. Weiterhin sollen nur dafür vorgesehene Lesegeräte den Chip auslesen können; die Kommunikation zwischen Lesegerät und Chip erfolgt verschlüsselt. Das Verfahren stellt sicher, dass keine personenbezogenen Daten gelesen werden können, die nicht schon zuvor bekannt sind.

Einige empfinden auch die bestimmungsgemäße Verwendung des ePasses als Sicherheitsrisiko für den Schutz der persönlichen Daten. Jedes Land, das die entsprechenden Lesegeräte angeschafft hat, kann die mit Biometrie-Technik nutzbaren Daten des Passes auslesen, speichern und verarbeiten, ohne dass der Benutzer dies bemerkt. Technisch kann dies verhindert werden: Der RFID-Chip lässt sich in einer handelsüblichen Mikrowelle zerstören. Dazu wird der ePass hineingelegt und der Einschalter nur für Bruchteile von Sekunden eingeschaltet. Danach ist der Chip in der Regel zerstört. Dabei kann allerdings durch ein kurzes Aufflammen des RFID-Chips der Pass zerstört werden. Der Pass behält im Prinzip seine Gültigkeit, da er bei Lesbarkeit der Daten weiterhin eine Identifikation der Person ermöglicht. Diesem Vorgehen wird entgegengehalten, dass es sich bei Zerstörung des Chips um Sachbeschädigung handele, da der Reisepass Eigentum des ausstellenden Staates sei. In Deutschland droht bei Veränderung amtlicher Ausweise eine Geld- oder Haftstrafe.[48] Staaten, die biometrische Daten bei der Einreise vorschreiben, können bei funktionslosem Chip die Abgabe biometrischer Merkmale mit entsprechenden Sensoren vor Ort verlangen. Bei der Einreise in die USA sind dies beispielsweise eine digitale Fotografie und die Abnahme mindestens zweier Fingerabdruckbilder.

Der deutsche Anwalt Udo Vetter klagte im Jahr 2007 gegen die Stadt Bochum auf Erteilung eines Reisepasses ohne Erfassung seiner Fingerabdrücke.[49] Zu dieser Klage erfolgte im Mai 2012 ein Beschluss des Verwaltungsgerichts Gelsenkirchen,[50] das dem Europäischen Gerichtshofs (EuGH) verschiedene Fragen zur Vorabentscheidung vorlegte, nämlich ob die Rechtsgrundlage für die Fingerabdruckpflicht unzureichend sei, ein Verfahrensfehler beim Erlass der europäischen Verordnung Nr. 2252/2004 in geänderter Fassung vorliege und/oder ob ein Verstoß gegen Art. 8 der Charta der Grundrechte der Europäischen Union vorliege. Nach den Schlussanträgen des Generalanwalts Mengozzi[51] hat der Europäische Gerichtshof 2013 entschieden, dass die Speicherung digitaler Fingerabdrücke auf EU-Reisepässen zulässig ist.[52]

Bereits im September 2011 hatte das Verwaltungsgericht Dresden die Pflicht zur Speicherung der Fingerabdrücke im Reisepass als zulässig beurteilt.[53][54] Die Juristin und Schriftstellerin Juli Zeh, die insbesondere ihr Grundrecht auf Menschenwürde verletzt sieht, hat am 28. Januar 2008 Verfassungsbeschwerde gegen die Einführung biometrischer Merkmale in Reisepässen mit dem Antrag erhoben, die entsprechenden Regelungen im Passgesetz für nichtig zu erklären.[55] Am 30. Dezember 2012 urteilte das Bundesverfassungsgericht, der vorgelegten Beschwerde fehle eine „genügende Begründung“, weshalb sie „aus formellen Gründen nicht anzunehmen“ sei.[56]

Umsetzung der zweiten Stufe in Deutschland

Bearbeiten

Seit dem 1. November 2007 werden in den Chips zusätzlich die Fingerabdruckbilder von zwei Fingern gespeichert.[57] Einige Auslandsvertretungen meldeten in diesem Zusammenhang technische Probleme und nahmen ab Mitte Oktober 2007 für mehrere Monate keine neuen Anträge an. In dieser Zeit konnten dort nur vorläufige Reisepässe ausgestellt werden.[58] Diese technischen Probleme bezogen sich allerdings nicht auf den Chip oder das Dokument, sondern auf die technische Ausstattung der Botschaften und Konsulate, in denen die für die Ausstellung der Dokumente notwendige Infrastruktur (Software und Geräte) fehlte. Hintergrund war die Tatsache, dass ein bei der vom Auswärtigen Amt für die Beschaffung der Fingerabdruckscanner durchgeführten Ausschreibung unterlegener Anbieter gegen diese Vergabeentscheidung geklagt hatte. Obwohl das Auswärtige Amt – wie in der späteren Gerichtsentscheidung festgestellt wurde – die Vergabe korrekt abgewickelt hatte, führte dies zu deutlichen Verzögerungen bei der Beschaffung der Geräte.

Gleichzeitig entfiel zu diesem Zeitpunkt die Möglichkeit, Kinder mit im Pass eintragen zu lassen. Das Feld Ordens- oder Künstlername entfiel ersatzlos (auf Druck der katholischen Kirche sowie von Künstlerverbänden auf das Bundesinnenministerium wurde dieses Feld bei der Neufassung des Personalausweisgesetzes 2008 wieder eingeführt). Die Gültigkeitsdauer für Pässe jüngerer Antragsteller unter 24 Jahren wurde von fünf auf sechs Jahre angehoben. Antragsteller ab dem 24. Lebensjahr (bislang 26. Lebensjahr) erhalten nunmehr einen für zehn Jahre gültigen Reisepass. Die EU-Amtssprachen Rumänisch und Bulgarisch wurden im Pass aufgenommen. Auf der letzten Vorsatzseite wurde eine „Gebrauchsanweisung“ eingefügt. Die Seriennummern wurden auf zufällig zu vergebende alphanumerische Seriennummern umgestellt.[59]

Alphanumerische Seriennummern beim ePass

Bearbeiten

Die Seriennummern enthalten seit dem 1. November 2007 alphanumerische Seriennummern. Diese alphanumerischen Zeichen setzen sich zusammen aus der vierstelligen Behördenkennzahl (alphanumerisch), einer zufälligen fünfstelligen alphanumerischen Passnummer (ZAP), gefolgt von einer Prüfziffer.[60]

  • Die Behördenkennzahl (BHKZ) als Bestandteil der Pass-Seriennummer beginnt zwingend mit einem Buchstaben und zwar mit einem der Zeichen C, F, G, H, J oder K; zunächst wird nur das C verwendet.
  • Die Passnummer (fünfstellig) als Bestandteil der Seriennummer wird zentral durch die Bundesdruckerei erzeugt.
  • Zulässig für die Seriennummer des Reisepasses sind nur die Ziffern 0, 1, 2, 3, 4, 5, 6, 7, 8, und 9 sowie die Buchstaben C, F, G, H, J, K, L, M, N, P, R, T, V, W, X, Y und Z. Eine Verwechslung der Zahl „0“ mit dem Buchstaben „O“ ist damit ausgeschlossen.[61]
  • Alphanumerische Seriennummern werden im ePass (auch mit 48 Seiten sowie im Express-Pass), im Dienstpass und im Diplomatenpass verwendet.

Staaten mit biometrischen Reisepässen

Bearbeiten
  • Staaten, in denen biometrische Pässe verfügbar sind; 2023
  • Bearbeiten
    Commons: Biometrischer Reisepass – Album mit Bildern, Videos und Audiodateien

    Amtliche Weblinks

    Dossiers

    ICAO-Informationen

    Einzelnachweise

    Bearbeiten
    1. Dokumentation der ICAO (Memento vom 26. September 2007 im Internet Archive) (PDF)
    2. Biometrie in Reisedokumenten (Memento vom 27. September 2004 im Internet Archive) (PDF)
    3. Ergänzung des Standards 9303 der ICAO (Memento vom 12. Januar 2007 im Internet Archive) (PDF)
    4. Enhanced Border Security and Visa Entry Reform Act of 2002 der USA (Memento vom 31. Dezember 2004 im Internet Archive)
    5. Antwort der Europäischen Kommission auf eine Schriftliche Anfrage zum Einsatz von Biometrie in Reisepässen (PDF)
    6. a b c Verordnung (EG) Nr. 2252/2004 des Rates vom 13. Dezember 2004 über Normen für Sicherheitsmerkmale und biometrische Daten in von den Mitgliedstaaten ausgestellten Pässen und Reisedokumenten
    7. Studie zur Verhandlung der Verordnung (EG) Nr. 2252/2004 vom 13. Dezember 2004 im Rat der Innen- und Justizminister der Europäischen Union mit Hyperlinks zu den relevanten Primärquellen (auf Englisch) University of Oslo: ARENA – Centre for European Studies, Working Paper Nr. 11/2006, 25. September 2006.
    8. Elektronische Pässe sind beschlossene Sache. In: Handelsblatt.com vom 22. Juni 2005.
    9. ePass: Biometrischer Reisepass kostet 59 Euro. In: Spiegel Online. Abgerufen am 21. September 2011.
    10. Botschaft zum Bundesbeschluss über die Genehmigung und Umsetzung des Notenaustauschs zwischen der Schweiz und der EU betreffend die Übernahme der Verordnung (EG) Nr. 2252/2004 über biometrische Pässe und Reisedokumente (Weiterentwicklung des Schengen-Besitzstands). In: Bundesblatt. Bundeskanzlei, 8. Juni 2007, abgerufen am 25. Mai 2022.
    11. Thür kritisiert biometrischen Pass. In: Der Bund. 31. März 2009, abgerufen am 25. Mai 2022.
    12. 07.039 Biometrische Pässe und Reisedokumente. Bundesbeschluss. In: Geschäftsdatenbank Curiavista (mit Links auf Botschaft des Bundesrates, Ratsverhandlungen und weitere Parlamentsunterlagen). Parlamentsdienste, abgerufen am 25. Mai 2022.
    13. Vorlage Nr. 542 – Übersicht. Schweizerische Bundeskanzlei, abgerufen am 20. September 2011.
    14. Bundesbeschluss über die Genehmigung und die Umsetzung des Notenaustauschs zwischen der Schweiz und der Europäischen Gemeinschaft betreffend die Übernahme der Verordnung (EG) Nr. 2252/2004 über biometrische Pässe und Reisedokumente (Weiterentwicklung des Schengen-Besitzstands). In: Amtliche Sammlung des Bundesrechts. Bundeskanzlei, 10. November 2009, abgerufen am 25. Mai 2022.
    15. schweizerpass.admin.ch: Im Ausweis enthaltene Daten (Memento vom 22. November 2013 im Internet Archive)
    16. https://www.un.org/Depts/german/sr/sr_01-02/sr1373.pdf
    17. US-Visit-Programm (Memento vom 20. August 2010 im Internet Archive)
    18. travel.state.gov: Enhanced Border Security and Visa Entry Reform Act of 2002 (Memento vom 12. März 2009 im Internet Archive)
    19. a b Visa-Waiver-Programm (VWP) (Memento vom 16. Juli 2012 im Internet Archive)
    20. ICAO Dokument 9303 (Memento vom 19. Mai 2007 im Internet Archive)
    21. „Fingerabdrücke und Fotos bei USA-Einreise“
    22. Bundesministerium des Innern: Bundesinnenminister Otto Schily zur Einführung des ePass und zur Biometrie. In: bmi.bund.de. 1. Juni 2005, ehemals im Original (nicht mehr online verfügbar); abgerufen am 5. Juni 2022.@1@2Vorlage:Toter Link/www.bmi.bund.de (Seite nicht mehr abrufbar. Suche in Webarchiven)
    23. Bundesamt für Sicherheit in der Informationstechnik: Risiken und Chancen des Einsatzes von RFID-Systemen (Memento vom 24. Januar 2009 im Internet Archive) (PDF)
    24. Bundesamt für Sicherheit in der Informationstechnik: Sicherheitsmechanismen für kontaktlose Chips im deutschen Reisepass (Memento des Originals vom 10. Juni 2015 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.bsi.bund.de (PDF; 76 kB)
    25. a b c Bundesamt für Sicherheit in der Informationstechnik: Digitale Sicherheitsmerkmale im elektronischen Reisepass (Memento vom 9. Juni 2007 im Internet Archive) (PDF)
    26. a b Introducing the PACE solution. Abgerufen am 20. September 2021.
    27. Jens Bender, Dennis Kügler: Introducing the PACE solution. (PDF) In: bsi.bund.de. Abgerufen am 20. September 2021 (englisch).
    28. Serge Vaudenay, Martin Vuagnoux: About Machine-Readable Travel Documents. (PDF) In: lasec.epfl.ch. Abgerufen am 20. September 2021 (englisch).
    29. a b Doc 9303, Machine Readable Travel Documents Part 11 — Security Mechanisms for MRTDs. (PDF) In: icao.int. ICAO, abgerufen am 20. September 2021 (englisch).
    30. a b BSI TR-03110 Advanced Security Mechanisms for Machine Readable Travel Documents and eIDAS token. Abgerufen am 20. September 2021.
    31. Jens Bender, Marc Fischlin, Dennis Kuegler: Security Analysis of the PACE Key-Agreement Protocol. Nr. 624, 2009 (iacr.org [abgerufen am 20. September 2021]).
    32. Doc 9303 Machine Readable Travel Documents Part 11: Security Mechanisms for MRTDs. (PDF) ICAO, abgerufen am 7. Oktober 2021 (englisch).
    33. a b Biometrie. (Memento vom 8. Februar 2009 im Internet Archive) – Bundesamt für Sicherheit in der Informationstechnik
    34. L. Meuth: Zulässigkeit von Identitätsfeststellungen mittels biometrischer Systeme durch öffentliche Stellen. Duncker & Humblot, Berlin, S. 19.
    35. Bundesdruckerei: Reisepass und Personalausweis (Memento vom 5. Oktober 2007 im Internet Archive) (PDF)
    36. TELETRUST Deutschland e. V. Verein zur Förderung der Vertrauenswürdigkeit von Informations- und Kommunikationstechnik: Kriterienkatalog zur Vergleichbarkeit biometrischer Verfahren (Memento vom 4. August 2007 im Internet Archive) (PDF)
    37. Bundesministerium des Innern: Fragen und Antworten zum ePass (Memento vom 7. Juni 2008 im Internet Archive)
    38. a b Vom Fingerabdruck bis zur DNA-Analyse (Memento vom 25. Mai 2014 im Internet Archive) (PDF; 74 kB), Faltblatt der Datenschutzbeauftragten für Brandenburg und für Berlin vom August 2010, abgerufen am 25. Mai 2014.
    39. L. Meuth: Zulässigkeit von Identitätsfeststellungen mittels biometrischer Systeme durch öffentliche Stellen. Duncker & Humblot, Berlin 2006, S. 24 (Verlagsausgabe der Dissertationsschrift, Freiburg im Breisgau 2005).
    40. a b c Jöran Beel & Béla Gipp: ePass – der neue biometrische Reisepass. 2005, Vorbehalte gegen den ePass (beel.org [PDF; 1000 kB]).
    41. tomas: Video: Reisepässe ohne Biometrie leicht gemacht. netzpolitik.org, 11. April 2017, abgerufen am 13. November 2023 (deutsch).
    42. a b Budapest-Erklärung zu maschinenlesbaren Ausweis-Dokumenten (Machine Readable Travel Documents, MRTDs). Abgerufen am 24. September 2011.
    43. Bundestag verabschiedet Novelle des Passgesetzes. In: Heise online. Abgerufen am 24. September 2011.
    44. § 4 PassG. Abgerufen am 4. September 2013.
    45. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: Biometrie und Datenschutz (Memento vom 20. August 2007 im Internet Archive)
    46. a b c Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: Der neue biometrische Pass – die wichtigsten datenschutzrechtlichen Fragen. (PDF) In: bfdi.bund.de. Ehemals im Original (nicht mehr online verfügbar); abgerufen am 5. Juni 2022.@1@2Vorlage:Toter Link/www.bfdi.bund.de (Seite nicht mehr abrufbar. Suche in Webarchiven)
    47. a b c Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: Biometrie und Datenschutz – Der vermessene Mensch (Memento vom 5. August 2007 im Internet Archive) (PDF)
    48. dpa: Mann erhitzt Personalausweis in Mikrowelle. faz.net, 12. August 2015, abgerufen am 10. Mai 2016.
    49. Download der Klageschrift von Udo Vetter (PDF; 269 kB; abgerufen am 10. Mai 2016)
    50. Udo Vetter: Doch keine Fingerabdrücke im Reisepass? In: law blog. 31. Mai 2012, abgerufen am 1. Juni 2012.
    51. Schlussanträge des Generalanwalts Mengozzi vom 13. Juni 2013. Michael Schwarz gegen Stadt Bochum, abgerufen am 10. Mai 2016
    52. Andreas Wilkens: EU-Urteil: Digitale Fingerabdrücke dürfen auf Pässen gespeichert werden. In: heise online. 17. Oktober 2013, abgerufen am 10. Mai 2016.
    53. Udo Vetter: Gericht: Fingerabdrücke müssen in den Pass. In: law blog. 5. Oktober 2011, abgerufen am 10. Mai 2016.
    54. Dr. Frank Selbmann, Dr. Juli Zeh: Die Speicherung von Fingerabdrücken in Reisepässen im Spannungsverhältnis zwischen Verfassungs- und Unionsrecht. In: Sächsische Verwaltungsblätter. Nr. 4, 2012, S. 77–82.
    55. Interview mit Juli Zeh und Download der Verfassungsbeschwerde in der Internetzeitschrift Humboldt Forum Recht 05/2008
    56. Bundesverfassungsgericht, Beschluss vom 30. Dezember 2012, Aktenzeichen 1 BvR 502/09
    57. Änderung des § 4 Abs. 4 PassG
    58. Deutsche Botschaft Luxemburg: Hinweis auf technische Probleme. (PDF) In: luxemburg.diplo.de. Oktober 2007, ehemals im Original (nicht mehr online verfügbar); abgerufen am 5. Juni 2022.@1@2Vorlage:Toter Link/luxemburg.diplo.de (Seite nicht mehr abrufbar. Suche in Webarchiven)
    59. Bundesdruckerei: Infoschreiben für Meldebehörden, Nr. 3/Juli 2007.
    60. Bundesdruckerei: Infoschreiben für Meldebehörden, Nr. 4/September 2007.
    61. Bundesinnenministerium: Elektronische Reisepässe in Deutschland: Einführung alphanumerischer Seriennummern in Deutschland ab 1. November 2007 (Memento vom 27. Oktober 2011 im Internet Archive) (PDF, abgerufen am 11. Mai 2009; 130 kB)