Indien: Kontroverse Biometrie-Datenbank Aadhaar wird ausgeweitet

Eine Aadhaar-Registrierungsstelle, hier in Goa. CC-BY-SA 2.0 joegoauk69

In Indien hat das Parlament eine Erweiterung zum umstrittenen Biometrieprogramm Aadhaar beschlossen. Damit können Unternehmen zur Authentifizierung ihrer Nutzer:innen auf die Datenbank zugreifen. Das hatte der Oberste Gerichtshof des Landes eigentlich verboten, die Neuregelung hebt dieses Verbot auf.

Alle Personen in Indien werden durch Aadhaar mit Fingerabdrücken, Gesichts- und Irisfotos registriert. Laut einer Studie des Thinktanks IDinsight waren letztes Jahr bereits 1,2 Milliarden Menschen registriert. Datenschützer kritisieren das Programm und den zehnjährigen Gesetzgebungsprozess.

Obligatorische Authentifizierung

Laut Oberstem Gericht darf die Identifikation durch Aadhaar nicht verpflichtend sein. Doch das neue Gesetz beinhaltet trotzdem „eine obligatorische Authentifizierung“:

Ungeachtet allem, was in vorherigen Bestimmungen enthalten ist, soll eine obligatorische Authentifizierung eines Aadhaar-Nummernhalters für die Erbringung einer Dienstleistung stattfinden, wenn eine solche Authentifizierung durch ein vom Parlament beschlossenes Gesetz vorgeschrieben ist.

Zukünftige Gesetze können damit das Urteil des Obersten Gerichtshofs einfach umgehen, kritisieren Datenschützer. Der Oppositionsabgeordnete Shashi Tharoor versuchte im Parlament, ein Verbot der Aadhaar-Authentifizierung durch private Unternehmen in das Gesetz einzufügen. Dieses Verbot wurde aber „niedergeschrien“, bevor die Erweiterung verabschiedet wurde. Die Regierungspartei von Premierminister Modi, der Aadhaar unterstützt, genießt im indischen Unterhaus eine absolute Mehrheit.

Neue Klage vor obersten Gericht

Aktivisten haben vor dem Obersten Gerichtshof gegen die neueste Erweiterung Klage eingereicht:

Die angegriffene Verordnung schafft eine Hintertür, um privaten Parteien den Zugang zum Aadhaar-Ökosystem zu erlauben, wodurch staatliche und private Überwachung von Bürgern ermöglicht wird, und die angegriffenen Vorschriften erlauben die kommerzielle Ausbeutung von persönlichen und sensiblen Informationen, die nur für staatliche Zwecke erhoben und gespeichert wurden.

Außerdem verstoße das neue Gesetz gegen das Urteil vom letzten Jahr. Das Gericht hat sich nun an die Aadhaar-Behörde UIDAI gewendet, um diese Vorwürfe zu prüfen.

Die Finanzministerin schlug vor, Steuer- und Aadhaar-Nummer austauschbar zu machen: „Überall dort, wo sie ihre Steuernummer angeben müssen, können sie stattdessen einfach Aadhaar angeben – und selbst wenn sie keine Steuernummer haben, gibt es kein Problem.“ Dazu sollten Nutzer:innen allerdings erst zustimmen.

Dieser Plan wird nun in die Tat umgesetzt. Aber: Alle Steuernummern, die bis 31. August nicht mit Aadhaar-Nummern verbunden sind, werden abgeschaltet. Ziel sei die Eliminierung von gefälschten Nummern.

Forderungen nicht beachtet

Das eigentlich zeitlich begrenzte Gesetz von 2016 wurde zuerst im März durch einen Erlass verlängert, bevor das Parlament jetzt die Verlängerung und Ausweitung beschloss. Solche Erlasse sind eigentlich für Notfälle vorgesehen, kritisiert AccessNow – dass Aadhaar so dringend nötig war, ist bis heute nicht bewiesen.

Der indische Netzaktivist Nikhil Pahwa stellte 2017 eine Liste von Forderungen an Aadhaar auf. Ganz oben: Die Registrierung darf niemals verpflichtend werden, auch nicht – nach einem indischen Witz – „freiwillig, aber verpflichtend“. Dienste, die einen Großteil der Bevölkerung abdecken, müssen immer eine Alternative anbieten.

Pahwa forderte auch, dass biometrische Informationen nicht zur Identifizierung bei Behörden oder Unternehmen eingesetzt werden dürften: „Ich kann es nicht genug unterstreichen. Biometrische Informationen sind ein dauerhafter Identifikator und können leicht kompromittiert werden.“

Google-Suche nach Schwangerschaftsdaten

Diese Kompromittierung ist nicht nur theoretisch, sondern ganz praktisch: es gibt eine lange Liste mit Datenlecks. 2017 waren mindestens 130 Millionen Aadhaar-Nummern mit 100 Millionen Bankkonten und Daten wie Namen, Alter, Geschlecht im Bundesstaat Andhra Pradesh auf Regierungsseiten zugänglich. Im nächsten Jahr war es eine Datenbank von Schwangerschaften: Abtreibungen, Einschätzungen zum Risiko der Schwangerschaft und Bankverbindungen waren frei im Internet zugänglich, verbunden mit der Aadhaar-Nummer.

Die Webseiten wurden außerdem von Suchmaschinen indexiert, Einträge konnten also auch einfach mit Namen oder Adressen bei Google gefunden werden.

Diese Lecks wurden zwar größtenteils behoben, zumindest regionale Behörden haben direkt reagiert entweder und Daten geschützt oder die Webseiten sogar ganz abgeschaltet. Aber auf der nationalen Ebene sieht es etwas anders aus.

Im Januar bekam ein Journalist Zugriff auf alle von der UIDAI gespeicherten Daten – für umgerechnet 6,50 Euro. Mit über einer Milliarde kompromittierten Nutzern dürfte es sich um eins der größten Datenlecks aller Zeiten handeln. Eine Anklage durch UIDAI folgte innerhalb von vier Tagen – gegen den Journalisten.

Privatsphäre ja, aber nicht für Arme

Ein Regierungssprecher behauptete jedoch letztes Jahr im Parlament, dass „zum jetzigen Zeitpunkt kein Vorfall von Datenschutzverletzungen gemeldet“ wurde. Und noch im Februar bezeichnete UIDAI Berichte über Datenlecks als „irreführend“ und „völlig frei von jeglicher Substanz oder Wahrheit“.

Ein Vertreter der Regierung bezeichnete das Recht auf Privatsphäre als „elitäres“ Konzept. Arme Leute interessieren sich nicht für den Schutz ihrer Daten, sondern für Essen, Wohnung und Kleidung. Das Gericht urteilte damals für ein Grundrecht auf Privatsphäre.

Auch die in armen Gebieten durchgeführte IDinsight-Umfrage kommt zu einem anderen Ergebnis: Für mehr als 96 Prozent der Befragten war es wichtig, zu wissen, ob und wie die Regierung ihre Daten verwendet.

„Viele persönliche Informationen sind auf Aadhaar. Es gibt keinen Grund, alles zu verbinden. Warum sollte ich meinen Alltag mit der Regierung teilen?“, sagte ein Einwohner Mumbais im „Privacy on the Line“-Report.

Behörde soll sich selber prüfen

Das jetzt verabschiedete Gesetz sieht für Verstöße gegen Datenschutzbestimmungen eine Strafe von 10 Millionen Rupien vor – rund 130.000 Euro. Pro Tag, an dem der Verstoß anhält, kommt eine weitere Million. Die Aadhaar-Behörde soll für die Untersuchung von Fällen und die Festlegung von Strafen zuständig sein.

„Dies kann angesichts der Doppelrolle für eine einzelne Organisation problematisch sein, wirft potenzielle Konflikte auf und ist angesichts der Komplexität der regulatorischen Anforderungen nicht ideal“, schreiben die Autoren der IDinsight-Umfrage dazu. Stattdessen fordern sie einen „unabhängigen, qualifizierten und vollständig autorisierten Datenschutzregulator“, der die Regelungen eines starken Datenschutzrechts durchsetzen könne.

Datenschutzgesetz steckt fest

Denn Indien hat bisher kein Datenschutzgesetz, obwohl Aktivisten wie Pahwas das seit langem fordern. Letzte Woche bezeichnete der Oppositionsabgeordnete Shashi Tharoor den Datenschutz als nationales Sicherheitsanliegen und kritisierte, dass der zuständige Minister ein solches Gesetz schon für die letzte Legislaturperiode angekündigt hatte. Seit 2017 gibt es ein Komitee zur Ausarbeitung eines Entwurfs – es erhält Ratschläge vom gleichen Thinktank wie der Aadhaar-Entwurf.

Und so sah der „wie das Finale einer viel zu sehr in die Länge gezogenen Fernsehserie“ veröffentlichte Entwurf des Datenschutzgesetzes vor, dass Daten auch ohne Einverständnis der Betroffenen weiterverarbeitet werden dürfen, solange dies geschieht „zur Ausführung einer Funktion des Staates, die nach dem Gesetz zur Erbringung von Dienstleistungen oder Vorteilen für den Datenverantwortlichen ermächtigt ist“. Übersetzung: Das Datenschutzgesetz gilt nicht für Aadhaar, die Datenbank war ja ursprünglich für Sozialhilfe gedacht.

Eigentlich für Sozialhilfe

Durch die biometrische Authentifizierung sollte sichergestellt werden, dass Sozialhilfe – besonders Lebensmittelzuteilungen – an die richtigen Empfänger ausgeteilt wird. Durch immer mehr Erweiterungen wurde aus diesem Projekt dann der Datenriese, den es heute darstellt.

Laut Regierung ist Aadhaar in der Sozialhilfe ein phänomenaler Erfolg: elf Milliarden Euro hätten Biometrie und Digitalisierung den indischen Steuerzahlern zwischen 2014 und 2018 eingespart, größtenteils durch das Eliminieren von doppelten, falschen oder fehlerhaften Einträgen in den Sozialhilfedatenbanken. Außerdem hätte die Einführung von Aadhaar sehr positive Entwicklungen in Dürregebieten bewirkt, steht im letzte Woche veröffentlichten Wirtschaftsbericht für das letzte Finanzjahr.

Laut Aktivisten ist das falsch: Die Daten im Budget sind falsch gewählt, ihre Auswertung von falschen Annahmen geleitet. Vielmehr haben vom Obersten Gerichtshof verordnete Hilfsmaßnahmen wie die Bereitstellung von verspäteten Löhnen die Lage in den betroffenen Gebieten verbessert.

Millionen Fehler

Auch die elf Milliarden Euro Einsparungen sind wohl ein bisschen zu optimistisch, schreiben die Autoren der IDinsight-Umfrage: Weder hat die Regierung ihre Daten veröffentlicht, noch hat sie klargestellt, ob wirklich nur unberechtigte Empfängerinnen von der Sozialhilfe ausgeschlossen wurden. Und der genaue Wert des Aadhaar-Systems ist sowieso nur extrem schwer festzustellen.

Und dann gibt es noch eine Kehrseite: Die Fehler im System. Neun Prozent der Befragten berichteten, dass ihre Datensätze Fehler enthalten wie falsch geschriebene oder transkribierte Namen. Bei traditionellen Ausweismethoden haben nur sechs Prozent der Befragten Fehler gemeldet.

Forscher glauben, dass die wahre Fehlerrate höher liegt: „Befragte werden den Fehler wahrscheinlich nur melden, wenn er schon einmal zur Verweigerung von Diensten oder anderen Zwischenfällen geführt hat.“ Nur ist es hier nicht der Zugriff auf eine Webseite, der auf dem Spiel steht, noch nicht einmal der Zugang zu Bankkonten – sondern zu Nahrung.

Wichtig für Zuteilung von Lebensmitteln

In Indiens größtem Bundesstaat Rajasthan leben 51 Millionen Menschen in ländlichen Gebieten. Von diesen empfangen beinahe zehn Prozent Hilfe im Rahmen des Öffentlichen Verteilungssystems. Im Sommer 2017 waren jeden Monat mehr als zwei Prozent der ländlichen Bevölkerung von diesem Programm ausgeschlossen, obwohl sie eigentlich Anspruch darauf hätten – wegen Aadhaar.

Geschätzte 1,2 Millionen Menschen erhalten also aufgrund von Fehlern bei der Authentifizierung, wegen fehlender Verbindungen mit den zentralen Servern oder wegen Stromausfällen keine Lebensmittel.

Es gab bereits Berichte über Hungertote in Familien, die wegen Aadhaar-Fehlern ihre Nahrungslieferungen nicht abholen konnten.

„Mindestens 27 sind direkt damit verbunden, dass das neue ID-System nicht benutzt werden konnte“, sagte die Heldin der Menschenrechte Dr. Usha Ramanathan letzte Woche beim Kultursymposium in Weimar. „Das kann kein Weg sein, auf dem irgendein Land weiter vorangehen sollte.“


Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Quelle: Netzpolitik