Je nach dem, wen man fragt, ist Indiens nationales Biometrieprojekt Aadhaar entweder ein Sensationserfolg oder ein Musterbeispiel dafür, was man nicht tun sollte, wenn man ein staatliches Identifikationssystem einführen wollte.

Zu seinen Befürwortern zählen Regierungsbeamte, Technologiekonzerne, die von seiner Einführung profitieren, und die Weltbank.

Zu seinen Gegnern: Experten für technische Sicherheit, Fürsprecher der Armen und der Minderheitengruppen, Anwälte, die sich für das öffentliche Interesse einsetzen, und Bürger, denen Angelegenheiten wie Transparenz, Rechte, Freiheit und Sicherheit am Herzen liegen.

Aadhaar hat nach heutigem Stand die Fingerabdrücke, Iris-Scans (und bald auch die Gesichtsmerkmale) von 1,19 Milliarden Menschen in Indien erfasst. Das Versprechen dieses Projekts war ursprünglich, doppelte Einträge und Sozialleistungsbetrug zu verhindern. Biometrische Authentifizierungsverfahren wurden als narrensichere Technologie beworben: Sie würde es auch den Ärmsten leichter machen, sich ein Bankkonto einzurichten, eine SIM-Karte zu erhalten und noch vieles mehr.

Und: Die Registrierung wäre vollkommen freiwillig.

Auf der ganzen Welt, nicht nur in Indien allein, gibt es insgesamt über eine Milliarde Menschen, die bei ihrer Geburt weder offiziell registriert noch gezählt werden. Durch das Fehlen demografischer Daten und Statistiken für die ärmsten Regionen ist es komplizierter, öffentliche Aktionspläne zu entwerfen und Hilfeleistungen bereitzustellen. Digitale IDs könnten zur Lösung dieses Problems beitragen, aber es gibt mehrere Arten, solche Systeme zu gestalten – auch ohne Biometrie.

Aadhaars Problem besteht in der weit verbreiteten Tendenz, die durchaus ernsten Folgen für diejenigen, für die das System nicht funktioniert, zu ignorieren oder zu unterschätzen. Anders gesagt: Weder Amtsträger noch Verkäufer erkennen die Erfahrungen an, die die Menschen im realen Leben mit diesem System gemacht haben, oder dass es fehlerhaft sein könnte. Mehr noch, sie ignorieren all das bewusst.

Indien treibt derzeit aggressiv die Idee voran, die Aadhaar-Nummer mit einer Reihe an staatlichen und privaten Datenbanken zu verlinken. Ist das nicht etwas voreilig? In dem Land gibt es bis jetzt noch kein umfassendes Datenschutzgesetz, welches ein Recht auf Persönlichkeitsschutz garantieren würde.

Solange Amtsträger darauf beharren, dass biometrische Identifikationsverfahren unfehlbar sind (oder dass fehlerhafte maßgeschneiderte APIs und Protokolle absolut sicher sind), haben unzählige Menschen, die aufgrund verblasster Fingerabdrücke oder beschädigter Daten Fehlermeldungen bekommen, nur wenige Möglichkeiten, ihre Einträge zu korrigieren oder Alternativen zu nutzen. Die Registrierung bei Aadhaar ist scheinbar freiwillig; wer das aber nicht tut, kann weder heiraten noch sich ein eigenes Grundstück kaufen. Man kann auch kein neues Bankkonto eröffnen, geschweige denn eine verloren gegangene Amazon-Bestellung orten. Die zwölfstellige Identifikationsnummer wird so oft benötigt, dass es nur noch wenige Ausnahmen gibt.

Wenn man in den ländlichen Regionen Indiens extrem lange Distanzen zurücklegen muss, nur um zu einer Bank zu gelangen (und dann dort regelmäßig entweder der Strom oder das Internet ausfällt und man es an einem anderen Tag noch mal versuchen muss), sind Low-Tech-Alternativen manchmal nicht nur wünschenswerter, sondern entscheiden in manchen Fällen sogar über Leben und Tod. Laut Gesetz muss es diese Alternativen geben; die Realität sieht jedoch meist anders aus.

Wenn sensible biometrische Daten in mehreren Datenbanken gelagert werden, die zentral miteinander verlinkt sind, sind sie nicht geschützt – vor allem, wenn man bedenkt, dass das Projekt noch keiner unabhängigen Sicherheitsuntersuchung unterzogen wurde. Die Daten von mehr als einer Milliarde Menschen, die Aadhaar erfasst hat, sind für gerade mal acht US-Dollar (etwa 6,45 Euro) auf dem Schwarzmarkt käuflich erwerbbar. Und sollten Deine Persönlichkeitsdaten jemals veruntreut werden, kannst Du Deine biometrischen Daten nie wieder erneuern.

Zu den Funktionen von Aadhaar zählt die Möglichkeit für sowohl den öffentlichen als auch den privaten Sektor, es in ihre Produkte und Transaktionen einzubauen. Um auf die Audit-Trail-Einträge zuzugreifen, die Authentifizierungen via Aadhaar im öffentlichen und privaten Bereich hinterlassen, braucht die Regierung nichts weiter als einen richterlichen Befehl. Angesichts dessen ist es durchaus verständlich, dass es in Indien laute Gegenstimmen gibt, die in Aadhaar das technologische Fundament für einen Überwachungsstaat sehen.

Das Oberste Gericht Indiens hat Aadhaar bereits mehr als einmal unter die Lupe genommen – und wird es dank der indischen Aktivisten für Privatsphäre und Wohlfahrt wahrscheinlich wieder tun. Sie mobilisieren massiv gegen die problematischsten Aspekte Aadhaars und fordern die Menschen dazu auf, ähnliche Pläne, wo auch immer in der Welt sie im Gange sein mögen, aufzuhalten. Auch Du bist gefragt.

Weitere Links


Aadhaar debate: Privacy is not an elitist concern – it’s the only way to secure equality (Die Aadhaar-Debatte: Datenschutz ist keine elitäre Besorgnis, sondern der einzige Weg zur Gleichberechtigung), Malavika Jayaram (2015)
Rethink Aadhaar (Überdenkt Aadhaar)
Aadhaar or else (Aadhaar, sonst…), Jean Dreze (2017)
Identity Policies: The clash between democracy and biometrics (Identitätspolitik: Wo Demokratie und Biometrie aufeinanderprallen), Privacy International (2017)