Im Rewe-Supermarkt an der Eschweiler Straße in Hürth-Hermülheim können ausgewählte Kunden ihre Geldbörse stecken lassen - ein Fingerabdruck genügt, um Milch und Müsli zu bezahlen. Zuvor müssen sich Kunden jedoch registrieren und zwei Fingerkuppen einscannen lassen. Seit Oktober 2009 läuft hier ein Pilotversuch, mehrere 100 Kunden haben sich angeblich schon angemeldet. "Wir testen mit diesem Pilotmarkt ein mögliches Lastschriftverfahren der Zukunft", zitiert der Anbieter Easycash seinen Anwender Rewe Group in einer Pressemitteilung. Und: "Oberste Priorität hat für uns die Kundenakzeptanz."

Hier liegt der Hund begraben: Dort wo die Nutzung freigestellt ist, konnten sich biometrische Verfahren zur Authentisierung bislang nicht auf breiter Front durchsetzen. Trotz des in Aussicht gestellten Komforts verweigern sich viele Bürger aus Sorge um den Datenschutz. Das Problem der Biometrie: Die automatisierte Erkennung von Individuen anhand ihres Verhaltens oder biologischer Merkmale reduziert den Menschen auf digitale Daten. Er selbst wird zum Ausweis, der selbsttätig von einem System authentifiziert wird. Und hinter der Biometrie lauert stets das Gefühl totaler Kontrollierbarkeit, was die Spannung zwischen Attraktion und Abscheu erzeugt.

Je mehr die aus Science-Fiction-Filmen bekannte biometrische Identifikation den Weg in die reale Welt findet, desto lauter wird die Kritik. Ihren vorläufigen Höhepunkt erreichte sie im Vorfeld der Einführung neuer Reisepässe (ePass) Ende 2005 in Deutschland. Nach den Anschlägen des 11. September 2001 hatten sich die Mitgliedstaaten der Europäischen Union unter dem Druck der USA auf die Einführung der Biometrie bei Pässen und Visa verständigt, um - so das Argument - Fälschungen zu erschweren. In der zweiten Generation der elektronischen Pässe kamen Ende 2007 noch zwei auf Chip gespeicherte Fingerabdrücke zum biometrischen Foto hinzu. Inzwischen ist die Diskussion etwas abgeebbt, doch das kann sich schon bald wieder ändern.

Staat und Firmen wollen den elektronischen Personalausweis

Ab November 2010 soll der neue elektronische Personalausweis (ePA) die bisherige Karte ablösen. Auch er enthält biometrische Daten, nämlich ebenfalls ein digitales Foto sowie auf Chip gespeicherte Fingerabdrücke. Letztere werden nur "auf Wunsch" des Antragstellers eingescannt, was eine politische Konzessionsentscheidung der Großen Koalition an die SPD war. Die Merkmale Gesicht und Finger sollen nur für Personenkontrollen an Grenzen und im Inland verwendet werden, heißt es. Darüber hinaus speichert der Ausweis Name, Anschrift, Geburtstag und Ort sowie die Laufzeit des Ausweises.

Mit dem Ausweis können sich Nutzer bei Bedarf auch im Internet identifizieren. Dafür müssen sie noch einen "Bürger-Client" auf dem Rechner installieren, der vermutlich über die Meldeämter verbreitet wird. So gerüstet können sie Behördengänge am PC erledigen und Web-basierende Dienste von registrierten Unternehmen in Anspruch nehmen. Inwiefern dieses Tool erneut die Diskussion über den "Bundestrojaner" belebt, wird sich zeigen.

Dieses mit dem neuen ePA einhergehende "digitale Vertrauen" kommt vor allem IT-Anbietern und Handelskonzernen zugute, die etwa legale Glücksspiele betreiben, zugelassene Rauschmitteln verkaufen und Online-Auktionen veranstalten. Nicht umsonst haben sich viele dieser Unternehmen für die Umsetzung des "Leuchtturmprojekts" zur Einführung des elektronischen Ausweises stark gemacht. Es geht also in erster Linie nicht mehr nur um die Fälschungssicherheit des Ausweises, sondern um die Möglichkeit eines gesicherten Identifikations- und Altersnachweises im Internet und in der Geschäftswelt.

Bequemlichkeit hat ihren Preis: der Bürger zahlt

Als weiteres Lockmittel für die Zielgruppe dient ein optionales Zertifikat für die elektronische Signatur, mit der Online-Transaktionen abgesichert werden sollen, die eine eigenhändige Unterschrift benötigen. Hierfür müssen die lauffaulen Bundesbürger allerdings mit Zusatzkosten rechnen. Generell wird der neue Ausweis teurer sein - von der Investition in die Sicherheit profitieren dann Händler, deren Ausfallrisiko bei Transaktionen sinkt. Ein konkreter Preis für den scheckkartenkleinen Ausweis wurde noch nicht bekannt gegeben.

Kritik an der Biometrie ist in erster Linie eine Kritik an den Kontrollmöglichkeiten, die mit den Verfahren einhergehen. Was für den Einen der Worst Case ist, gilt auf der anderen Seite als erstrebenswertes Ziel - die zweifelsfreie Identifikation von Menschen anhand nahezu unveränderlicher Merkmale mit beziehungsweise - was wesentlich schwerer wiegt - ohne Kenntnis der Betroffenen. Und wie so häufig stellen sich die grundlegenden Fragen nicht bei der Erfassung der Daten, sondern bei deren Nutzung. Die Unterstellung, mit den Daten könnte Schindluder getrieben werden, färbt jedoch auch auf die Erfassungsmethode ab.

Gänzlich unbegründet ist die Sorge nicht - 100 Prozent Erfassungsgenauigkeit, 100 Prozent Orwell, zumindest theoretisch. Dass eines Tages Videokameras Menschen im öffentlichen Raum aus großen Distanzen ohne deren Wissen zweifelsfrei erkennen und Programme aus den Informationen Bewegungsprofile erstellen können, ist absehbar. Nicht selten wird gemacht, was technisch machbar ist, weil es eben machbar ist.

Audi und BMW fördern Biometrie im Auto

Im Gegenzug sind auch die Vorteile der Biometrie offensichtlich, denn für Nutzer wird die Authentisierung einfacher, weil sie auf bisherige Identifikationsmerkmale verzichten können. Der Fingerabdruck-Scanner in der Mittelkonsole sollte den Autoschlüssel ersetzen, plante etwa Audi Anfang des Jahrzehnts. Fahrersitz und Radiosender würden sich damit automatisch einstellen und die Wegfahrsperre lösen, so das Versprechen. Bei BMW setzt man aktuell auf die Gesichtserkennung durch eine Infrarotkamera, um das persönlich Telefonbuch und im Navi gespeicherte Routen freizuschalten sowie den Sitz, die Lenksäule und die Rückspiegel individuell einzustellen. Kameras sollen in einigen Jahren sogar den Gemütszustand des Fahrers deuten können und den Sekundenschlaf erkennen, damit die Bordelektronik selbsttätig eingreifen kann.

Ungeachtet dieser Innovationen im Fahrzeug stellt sich jedoch die Frage, wie sich der Fahrer gegenüber der Autotür authentisieren kann. Ein Schlüssel oder ein Funkchip sind vorerst immer noch nötig, um den Zugang zur biometrischen Kontrollstelle freizugeben. Damit wird den Anforderungen an eine starke Authentisierung Rechnung getragen, bei der in der Regel zwei der drei Fragen beantwortet werden müssen: Wer bin ich (Gesichtserkennung)? Was weiß ich (PIN)? Was habe ich (Autoschlüssel)? Für jeden Verkehrsteilnehmer sind drei Autoschlüssel am Bund gerade noch tolerierbar - wer jedoch ständig Passwörter ändern und sich merken muss, weiß die Vorteile der Biometrie zu schätzen. Und im Gegensatz zu einem Passwort oder einer PIN beziehungsweise einem Schlüssel oder einem Ausweis lassen sich biometrische Charakteristika nur sehr schwer übertragen.

Niemand wird sich gerne in einen Wagen der Oberklasse setzen, der angesichts einer schlechten biometrischen Trefferquote jeden zehnten Startvorgang verweigert, weil die Beleuchtungsverhältnisse schlecht sind oder der Fahrer eine Sonnenbrille trägt. Auch ein Gipsarm kann etwa biometrische Verfahren zur Schrifterkennung ad absurdum führen. Probleme bei der Identifikation sind lästig, aber nicht auf die Biometrie beschränkt - der Reset eines vergessenen Passworts ist schließlich das Kerngeschäft des User-Supports. Insofern ist "Plan B" auch bei biometrischen Verfahren an der Tagesordnung.

Ein alleiniger Ersatz für andere sichere Verfahren ist die Biometrie nicht, sondern eine Ergänzung. Jedes Verfahren zur Authentisierung hat Stärken und Schwächen, und es kommt auf die effektive Kombination an. Technisch ausgereift beziehungsweise kosteneffizient sind nur die wenigsten Ansätze. Dabei arbeiten die Entwickler daran, die Treffergenauigkeit zu steigern und den Aufwand zu senken. Insofern werden noch ein paar Jahre vergehen, bis man deutschlandweit seine Milch mit dem Fingerabdruck bezahlen kann. Was mit den bei der Transaktion im Hintergrund erhobenen Daten passiert, ist nur indirekt ein Problem der Biometrie. Dass diese als "natürliche Schnittstelle" zwischen Mensch und IT künftig an Bedeutung gewinnen wird, liegt aber auf der Hand.