Die EU will Fingerabdrücke und Gesichtsbilder von über 400 Millionen Personen aus Drittstaaten in einer einzigen Datei speichern. US-Behörden verfügen bereits über ein solches System. Beide Seiten wollen nun enger zusammenarbeiten.
Es ist ein Unterfangen von historischer Größenordnung. Die Europäische Union legt derzeit alle Datenbanken, die biometrische Daten enthalten, in einem neuen System zusammen. Unter dem Stichwort „Interoperabilität“ sind davon das Schengener Informationssystem, die Visumsdatenbank, das Fingerabdrucksystem für Asylsuchende und eine Datei zu ausländischen Verurteilten in Terrorismusverfahren betroffen.
Auf diese Weise entsteht eine neue Super-Datenbank, die nächstes Jahr durch ein Einreise-/Ausreisesystem (EES) ergänzt wird. Nach Geflüchteten und Visapflichtigen müssen dann auch alle anderen Reisenden aus Drittstaaten beim Grenzübertritt in die EU ihre biometrischen Daten abgeben. Das neue System könnte dann Fingerabdrücke und Gesichtsbilder von über 400 Millionen Personen aus Drittstaaten enthalten, schreibt das Tech-Unternehmen Sopra Steria, einer der Auftragnehmer für das Projekt „Interoperabilität“.
300 Millionen Euro für Gesichtserkennung
Bei dem EU-Vorhaben dürfte es sich um das schwierigste und teuerste europäische Informationssystem aller Zeiten handeln. Allein die Errichtung des Einreise-/Ausreisesystems soll eine Milliarde Euro kosten, davon entfallen rund 300 Millionen auf die biometrische Erkennung von Gesichtern und Fingerabdrücken.
Viele Fähigkeiten eines solchen Systems haben die Vereinigten Staaten längst eingeführt. Wohl deshalb reiste die EU-Kommission mit zwei der EU-Behörden jüngst nach Washington, um sich mit dortigen Grenzbehörden über Erfahrungen auszutauschen.
Die betreffenden EU-Datenbanken werden von der Agentur für das Betriebsmanagement von IT-Großsystemen (eu-LISA) in Estland verwaltet. Diese EU-Behörde hat nun Informationsfreiheitsanfragen beantwortet, aus denen Einzelheiten zu der von ihr geleiteten Reise am 6. und 7. Juni 2022 hervorgehen. Demnach wurden die Agenturen von griechischen, polnischen und rumänischen „Grenzschutz- und Strafverfolgungsbehörden“ in die USA begleitet. Die drei EU-Staaten verfügen über die größte Ausdehnung von Landaußengrenzen in Europa.
Auch Frontex war mit von der Partie, denn die Grenzagentur ist an dem ebenfalls neuen Reiseinformations- und -genehmigungssystem (ETIAS) im Bereich des Profilngs von Reisenden beteiligt. Das ETIAS enthält zwar keine biometrischen Daten, Personen aus Drittstaaten müssen darüber jedoch einige Tage vor Antritt einer Reise in die EU Angaben zur Person und dem Reiseverlauf machen. Auch diese Daten werden im Projekt „Interoperabilität“ verarbeitet.
Erfassung der Gesichtsbilder von Fahrzeuginsassen
Laut einer Zusammenfassung erfolgte das erste Treffen mit hochrangigen Angehörigen der Customs and Border Protection (CBP), die in den Vereinigten Staaten für Grenzkontrollen zuständig ist. Diskussionen drehten sich demnach „hauptsächlich um biometrische Lösungen zur Verbesserung der Reisesicherheit“. Die US-Grenzbehörde stellte dabei Ergebnisse ihres Pilotprogramms an den Landesgrenzen zu Mexiko vor. Dabei ging es um Möglichkeiten, die Gesichter von Insassen eines Fahrzeugs nach einer Voranmeldung zu scannen, ohne dass diese aussteigen müssen.
Einen ähnlichen Testlauf hatte Frontex jüngst beendet. Die Genauigkeit dieser biometrischen Daten erwies sich jedoch als unzuverlässig. In den USA soll ein solches System besser funktioniert haben. Die Erfolgsquote habe anfangs bei etwa 40 Prozent gelegen, mit einer zweiten Kamera sei diese Quote auf etwa 76 Prozent gestiegen.
Frontex, eu-LISA und die Kommission erkundigten sich bei ihren US-Gastgebern auch nach Möglichkeiten zum biometrischen Screening von Bahnreisenden. In den USA müssen die Passagiere aber immer noch den Zug verlassen um die Prozedur zu durchlaufen. Derartige Verfahren könnten erleichtert werden, indem Fingerabdrücke per Mobiltelefon erfasst werden, so die Grenzbehörde CPB.
Gesichtsbilder in kommerzieller Cloud
Im Gegensatz zu den EU-Systemen wollten sich die US-Behörden bei der Einreisekontrolle „von den Betriebskosten und den damit verbundenen Wartungs- und Lizenzkosten befreien“, heißt es in dem Papier. Die Prozesse der biometrischen Ein- und Ausreisekontrollen werden in eine kommerzielle Cloud-Infrastruktur ausgelagert. Rechenzentren, wie sie eu-LISA in der EU betreibt, braucht die CBP also nicht. Täglich werden auf diese Weise mehr als drei Millionen Fingerabdruckdatensätze verarbeitet.
Zunehmend setzen US-Behörden auch auf Gesichtserkennung. Pilotprojekte gab es an Flughäfen in Atlanta und Boston, dabei sollen auch Fotos mit aufgesetzter Maske verifiziert worden sein. Auf Grundlage von Passagierdaten wird zuvor ein Datensatz zu den erwarteten Reisenden erstellt, um die folgende biometrische Prozedur zu beschleunigen.
Die Umsetzung derart automatisierter Kontrollen hat die EU-Delegation anschließend am internationalen Flughafen Washington Dulles beobachtet. Zur Kontrolle von abfliegenden Reisenden werden die Gesichtsbilder in Echtzeit mit in der „CBP-Cloud“ gespeicherten Datensätzen verglichen, auch hier wurden von der Fluggesellschaft bereitgestellte Passagierdaten genutzt. Im Falle einer Nichterkennung seien Passagiere „freundlich zur Seite gebeten“ worden, damit Beamt:innen die Ausreisekontrolle fortsetzen.
USA fordert Zugriff auf EU-Datenbanken
Für die Gesichtserkennung und die zugrundeliegenden Datenbanken ist in den USA das Heimatschutzministerium zuständig. Die EU-Delegation traf deshalb auch das zuständige Büro für das „biometrische Identitätsmanagement“ (OBIM). Die Gespräche seien „weitreichend“ gewesen und hätten unter anderem öffentliche Ausschreibungen und Leistungsmerkmale biometrischer Systeme zum Inhalt gehabt.
Die EU-Delegation und ihre US-Gastgeber haben vereinbart, ihre Zusammenarbeit fortzusetzen. Dabei sollen „Aspekte von gemeinsamem Interesse […] und andere Themen“ erörtert werden. Eigentlich soll es dabei lediglich um den Austausch von Erfahrungen zur „Ermittlung und Bewältigung von Risiken und Bedrohungen“ gehen. Auf anderer Ebene bereitet die US-Regierung jedoch einen äußerst weitgehenden Zugriff auf europäische Biometriesysteme vor.
Die visafreie Einreise in die Vereinigten Staaten soll für alle davon begünstigten Staaten an eine neue Vorschrift gekoppelt werden. Behörden des US-Heimatschutzministeriums wollen im Gegenzug die Erlaubnis, in den Datenbanken der betreffenden Länder nach Fingerabdrücken und Gesichtsbildern suchen zu dürfen. Die Forderung ist von größter politischer Bedeutung, denn allein in Deutschland beträfe dies mehrere Millionen Gesichtsbilder und Fingerabdrücke.
Datenbank mit einer Milliarde Gesichtern
Über die Informationsfreiheitsanfragen macht eu-LISA nun Details zu der US-Datenbank bekannt, die im Rahmen dieser „Enhanced Biometric Security Partnership“ (EBSP) mit europäischen Biometriedaten abgefragt werden soll. Dabei handelt es sich um das IDENT-System mit rund 275 Millionen ausländischen Staatsangehörigen sowie US-Bürger:innen, sofern diese straffällig wurden. In einer der EU-Delegation übermittelten Präsentation heißt es, dass dort eine Milliarde Gesichter und sieben Millionen Paare von Iris-Bildern gespeichert sind. Das System verarbeitet rund 400.000 tägliche Anfragen. Davon profitierten „45 US-amerikanische und internationale Organisationen und Einsatzgebiete“.
Ähnlich wie die EU verfolgen auch US-Behörden ein Projekt „Interoperabilität“. Dabei wird die IDENT-Datenbank in ein System namens „Homeland Advanced Recognition Technology“ (HART) in eine kommerzielle Cloud überführt und aufgelöst. Mit diesen Cloud-Daten würden dann auch die Gesichtsbilder und Fingerabdrücke abgeglichen, auf die US-Behörden im Rahmen der „Enhanced Biometric Security Partnership“ aus Deutschland und anderen EU-Staaten zugreifen wollen.
„Kontinuierlich verbesserte Algorithmen“ sollen in HART für eine hohe Treffergenauigkeit sorgen. Würde HART tatsächlich bald mit europäischen Biometriedaten gefüttert, wäre dies nur in bilateralen Abkommen mit der US-Regierung möglich. Denn auf EU-Ebene wäre die Nutzung eines solchen Selbstlernsystems nach einem Urteil des Europäischen Gerichtshofs für die Kontrolle von Reisenden wohl nicht erlaubt. Demnach muss der Einsatz „prädiktiver Selektoren oder Algorithmen“ bei der anlasslosen Überprüfung von Passagieren ausgeschlossen sein.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires