Gefangen in der Schleuse

Man landet am Flughafen Zürich, ist müde und erschöpft, wird womöglich mit dem Flughafen­bus zum Terminal zurück­verfrachtet, wo man sich durch ein kleines Labyrinth kämpfen muss, bevor man (falls aus dem Nicht-Schengen-Raum einreisend) vor der letzten Hürde steht: der Pass­kontrolle.

Genau da hatte ich jüngst ein unschönes Erlebnis.

Ein tüchtiger Kantons­polizist wies alle Neu­ankömmlinge an, den Pass auf einen Scanner zu legen. Im Sog mitgehend und gerädert von der Reise, hinter­fragte ich die Anweisung nicht, sondern ich gehorchte wie alle anderen und legte brav meinen biometrischen Pass auf. Kurz darauf fand ich mich in einer Situation wieder, die ich seit Jahren zu vermeiden versuche.

Die Schleuse vor mir öffnete sich, und ich stand im Zwischen­schacht von Schleuse 1 und Schleuse 2, im Niemands­land quasi. Oder anders gesagt: Ich war an jenem Punkt des offiziellen Grenz­übertritts, wo die Behörden dank des Pass-Scans soeben erfahren haben, dass offiziell eine Adrienne Fichter in die Schweiz einreisen möchte. Doch noch haben sie keine Gewissheit darüber, ob die Pass­inhaberin, die vorgibt, Adrienne Fichter zu sein, tatsächlich auch Adrienne Fichter ist.

Hier kommt die Technik ins Spiel. Denn um die nächste Tür zu öffnen, die mir offiziell den Weg in die Schweiz freigeben soll, musste ich in eine Kamera schauen. Wohl wissend, dass nun mein Gesicht anhand sämtlicher Daten­punkte (wie etwa des Augen­abstands) vermessen wird, versuchte ich verzweifelt, das System auszutricksen. Ich schaute nach links, nach rechts, nach oben, doch das System kannte keine Gnade: Die Tür blieb geschlossen. Erst beim Frontal­blick in die Kamera öffnete sich Sesam.

Danach sah ich rechts von mir einen Schalter mit zwei sich unterhaltenden Kantons­polizisten. Sie hatten dank der digitalen Gesichts­scanner-Helfer nichts zu tun, was ihnen wohl gerade recht war. Verstört lief ich weiter zur Gepäck­ausgabe und überlegte, was hier gerade passiert war.

In dieser Situation war einiges schief­gelaufen. Nicht nur aus Kundinnen­sicht.

Doch zuerst zum Grund­sätzlichen: Dass die Schweiz mit Gesichts­erkennungs­systemen experimentiert, ist nicht neu. Seit 2017 sind solche Systeme im Einsatz. Die Nutzung dieser automated border control ist freiwillig, wie Flughafen und Kantons­polizei Zürich stets betonen.

Was genau macht dieser Gesichts­scanner? Florian Frei, Sprecher der Kantons­polizei Zürich, schreibt dazu: «Durch das Auflegen des Reise­passes auf die Scanfläche vor dem Gate wird das auf dem Chip gespeicherte Gesichts­bild ausgelesen. Gleichzeitig wird (…) die Bild-Seite des Passes gescannt.»

Dann erfolgt das Live-Gesichtsbild im Zwischen­schacht. Es existieren also für einen kurzen Moment drei Gesichts­bilder von mir. Diese werden miteinander abgeglichen. Ist die Kongruenz da, öffnet sich die Tür. Anwendungen zur Gesichts­erkennung dieser Art gehören zu den fort­geschrittenen Systemen von Machine-learning-Algorithmen (haben aber auch klar diskriminierende Potenziale und je nachdem hohe Fehler­quoten bei nicht weissen Menschen).

Nach Auskunft der Kantons­polizei werden die erhobenen Gesichts­daten umgehend gelöscht, was plausibel ist. Schliesslich geht es um die Authentifizierung einer Bürgerin und nicht um die Identifizierung. Oder anders ausgedrückt: Die Grenz­behörden wollen nur wissen, ob ich die Person bin, die ich zu sein vorgebe.

Was dabei aber schiefgelaufen ist: Die Kantons­polizisten verletzten einige daten­schutzrechtliche Prinzipien. Denn ich hätte dieser Aufnahme eines Live-Gesichts­bilds bei Schleuse 2 explizit zustimmen sollen. Warum? Weil in dem Fall biometrische Daten verarbeitet werden.

Das bestätigt auch der oberste Daten­schützer der Schweiz, Adrian Lobsiger: «Biometrische Daten, die mit dem Zweck bearbeitet werden, jemanden zu identifizieren, sind gemäss neuem Datenschutz­gesetz besonders schützens­wert. Die Einwilligung muss explizit erfolgen.»

Von einer informierten Einwilligung aus freien Stücken kann jedoch nicht die Rede sein. Es gab keine klare Signalisierung, dass Passagiere zwischen automatisiertem Gesichts­scanner und «menschlicher» Pass­kontrolle wählen dürften. Es gab einzig eine Anweisung des Kantons­polizisten, den Pass aufzulegen.

Und weil deswegen niemand weiss, was ihn oder sie nach der Öffnung der Schleuse 1 erwartet, weil die entsprechende Information fehlt, gibt es auch in dem Sinn keine Zustimmung. Der kleine Zwischen­raum, der direkt zum Schalter geführt hätte, war kaum sichtbar oder zumindest nicht deutlich genug gekenn­zeichnet. Im Datenschutz­jargon nennt man das ein dark pattern.

Die Medienanfrage bei der Kantons­polizei förderte noch etwas anderes zutage: Das verwendete System mit dem Namen Gemalto ABC stammt vom französischen Rüstungs­konzern Thales. Er bewirbt sein Produkt mit dem Slogan «Less waiting time, better security». Auch der Pariser Flughafen arbeitet damit.

Doch Gemalto ABC wird im nächsten Jahr abgelöst durch ein Produkt der deutschen Firma Secunet Security Networks AG. Sie hat gemäss der Beschaffungs­plattform des Bundes Simap.ch die Ausschreibung in Höhe von über 35 Millionen Franken gewonnen. Grund für die Ablösung: Thales konnte die neuen Anforderungen des Schengen-​Assoziierungs­abkommens nicht erfüllen.

Der Hintergrund: Die Schweizer Grenz­behörden müssen digital aufrüsten, weil die Schweiz als Schengen-Staat auf die von der EU aufgebaute Daten­bank Entry/Exit System (EES) mit biometrischen Daten zugreifen wird. Die EU und die Schweiz möchten damit das Problem der overstayers (eingereiste Ausländerinnen aus Dritt­staaten, die länger als drei Monate in der Schweiz verbleiben) lösen, um die illegale Einreise zu verhindern. Und – offiziell – um Terrorismus zu bekämpfen.

Doch bleibt es bei einer Einführung von EES auch bei der blossen Authentifizierung? Dient unser Gesichts­bild weiterhin nur der einfachen Über­prüfung? Schliesslich sollen dadurch Daten­flüsse zwischen der Schweiz und einem EU-weiten Zentral­system für den Personen­abgleich ermöglicht werden.

Die Antwort lautet: Jein.

Die Daten werden wohl gelöscht, es sei denn, die einreisende Person stammt aus einem Dritt­staat. In diesem Fall werden bei der ersten Einreise in die Schweiz die Gesichts­daten bei der automatisierten Pass­kontrolle gespeichert. Dadurch soll die Aufenthalts­dauer einer Touristin aus dem Nicht-Schengen-Raum genau gemessen werden können.

Das mulmige Gefühl bleibt also. Denn der Ausbau des digitalen Grenz­schutzes ist ein Fakt. Die Frage ist, wie lange überhaupt noch die Wahl­möglichkeit bestehen wird, von den menschlichen Augen einer Kantons­polizistin überprüft zu werden. Oder ob man nicht eher Richtung Schleuse und automatisierte Pass­kontrolle genudged wird. Hersteller von Gesichts­erkennungs­systemen wie Thales preisen jedenfalls ihre Produkte als «unvermeidbar» an, weil sie «verlässlich», «effizient» und «einfach einsetzbar» seien.

Immerhin räumen Kantons­polizei und Flughafen Zürich ein, dass die Situation an der Pass­kontrolle in meinem Fall nicht optimal gelaufen sei. Eine Flughafen­sprecherin schreibt: «Wir werden dem von Ihnen beschriebenen Vorfall nachgehen und intern sowie unsere Partner entsprechend sensibilisieren.»

Ich bleibe dran.