EU-Sicherheitsforschung entwickelt "Lügendetektor" für die Grenzkontrolle

Der Europäische Gerichtshof entscheidet, wie die Kommission über ein grundrechtssensibles Forschungsprojekt informieren muss. Dessen Nachfolger ist sogar noch problematischer

Am Freitag vergangener Woche hat der Europäische Gerichtshof (EuGH) in Luxemburg über eine Klage zur Offenlegung von Berichten des EU-Projekts iBorderCtrl verhandelt. Das Vorhaben der EU-Sicherheitsforschung sollte eine Plattform für die schnelle und einfache Grenzkontrolle entwickeln.

Reisende würden dabei mit einer Risikoanalyse auf verdächtiges Verhalten untersucht. Wie die Plattform dies konkret umsetzt, ist nicht bekannt. Deshalb hat der Europaabgeordnete Patrick Breyer, der für die Piratenpartei im Brüsseler Parlament sitzt, die EU-Kommission auf mehr Transparenz verklagt.

Ab 2023 nimmt die EU ein "Reiseinformations- und -genehmigungssystem" (ETIAS) in Betrieb, in dem Einreisen vor dem Grenzübertritt angemeldet werden müssen. Dies betrifft alle Drittstaatenangehörigen, auch wenn diese kein Visum benötigen. iBorderCtrl ist eines der Projekte, das einzelne Komponenten des Etias bereitstellen oder verbessern sollte. Hierzu gehört die Fusion und Analyse möglichst vieler Daten der Reisenden.

Abfrage von Twitter-Accounts der Reisenden

Ein Teil des Systems ist ein virtueller Grenzpolizist, der über das Internet eine Befragung durchführt. Eine Software achtet auf die Mimik des Gegenübers und sucht nach Auffälligkeiten. Passt etwa der Gesichtsausdruck nicht zur Antwort oder bemerkt der Avatar Nervosität, wird die Person zur "händischen" Kontrolle durch das Grenzpersonal markiert.

Die verschiedenen Techniken zum Profiling in iBorderCtrl, Bild: Projektwebseite © Europäische Union, 1994-2021

Breyer und andere Bürgerrechtsaktivisten kritisieren iBorderCtrl deshalb als "Lügendetektor". Auch die EU-Grenzagentur Frontex war vor rund zehn Jahren an derartigen Forschungen zur "Täuschungserkennung" beteiligt.

Wie im Bereich der EU-Sicherheitsforschung üblich, nennt die Kommission auf ihrer Webseite einige Details zu iBorderCtrl. Demnach hat sie die gesamten Kosten von 4,5 Millionen Euro übernommen, das Projekt endete im August 2019. Weiterführende Informationen finden sich auf der Projektwebseite. Sämtliche Auswertungen, darunter auch zu ethischen und rechtlichen Fragen, sind hingegen nicht öffentlich.

Darauf zielte die Klage von Breyer. Der EU-Abgeordnete hofft "auf ein Grundsatzurteil", das eine öffentliche Kontrolle der europäischen Forschungsförderung ermöglicht.

Der "Lügendetektor" ist nicht das einzige kritikwürdige Verfahren in iBorderCtrl. Das Projekt, das im Rahmen des Forschungsrahmenprogramms "Horizont 2020" gefördert worden ist, hat auch die Verarbeitung von Gesichtsbildern untersucht. Hierfür gibt es auf EU-Ebene noch keine Rechtsgrundlage, wie die Forscherinnen und Forscher selbst betonen.

Das Gleiche gilt für eine Suche im Internet, indem etwa zusätzliche Daten zu den Reisenden über ihren Twitter-Account ermittelt werden. Die Informationen werden zudem mit einschlägigen EU-Datenbanken gerastert, hierzu gehören das Schengener Informationssystem, die Visumsdatenbank oder die Fingerabdruckdatei für Asylsuchende.

Neues Projekt gegen Einreise von "Wirtschaftsmigranten"

Unter dem Namen "robusT Risk basEd Screening and alert System for PASSengers and luggage" (TRESPASS) finanziert die EU-Kommission ein Nachfolgeprojekt von iBorderCtrl, das ebenfalls einen "risikobasierten Ansatz" für Grenzkontroll- und Zollbehörden verfolgt. Durch ein gezieltes Profiling aller Reisenden oder Passagiere will die EU damit "Schmuggel, irreguläre Einwanderung, grenzüberschreitende Kriminalität und Terrorismus" erkennen und verfolgen.

Im Gegensatz zu iBorderCtrl hat die EU ihre Förderung für Tresspass mit rund acht Millionen Euro fast verdoppelt. Dort dominieren Behörden und Firmen aus Griechenland, den Niederlanden und aus Polen. In den drei Ländern werden die Prototypen des Projekts ausprobiert. Aus Deutschland beteiligt sich die Fraunhofer-Gesellschaft an den Forschungen.

Bild: Projektwebseite © Europäische Union, 1994-2021

Tresspass entwickelt drei verschiedene Plattformen für die Kontrolle an Land-, Luft- sowie Seegrenzen. Diese ähneln sich grundsätzlich, zielen allerdings auf unterschiedliche "Bedrohungen" an den Grenzübergängen. Während etwa am Flug- und Seehafen eher die Einreise mit falschen Papieren im Fokus steht, wird an der Landgrenze der illegale Schmuggel etwa von Zigaretten oder von "Wirtschaftsmigranten" angenommen. In diesem Szenario werden Personen "in einem großen Nutzfahrzeug versteckt".

Videoüberwachung zur "Echtzeit-Verhaltensanalyse"

Wie iBorderCtrl führt Tresspass zunächst die bereits über das Etias mitgeteilten Informationen zur geplanten Einreise zusammen. Neben dem Abgleich mit EU-Datenbanken erfolgt anschließend eine Abfrage von offenen Quellen im Internet, die in der Projektbeschreibung als "soziale Medien usw." beschrieben werden. Auch Informationen aus dem "Dark Web" können verarbeitet werden. So soll vorab festgestellt werden, "ob ein Reisender eine Gefahr für die innere Sicherheit der EU darstellt".

Treffen die Personen dann am Grenzübergang ein, werden sie von einer "Echtzeit-Verhaltensanalyse" im Flughafen beobachtet. Weitere Kameras kommen beim Auslesen der Reisedokumente zum Einsatz, während mitgeführte Koffer mithilfe von RFID-Chips im Terminal verfolgt werden. Sowohl die Reisenden als auch ihr Gepäck können mit Scannern durchleuchtet werden, auch diese Informationen fließen in Tresspass ein.

"Predictive proofing" und permanente Videoüberwachung in TRESSPASS. Bild: Projektwebseite © Europäische Union, 1994-2021

"Vielreisende" können sich in Tresspass mit einer App als "vertrauenswürdig" identifizieren, indem sie vorab eine Reihe von Personendaten hinterlegen. Ein solches "Programm für registrierte Reisende" hatte die EU ursprünglich geplant, bevor sie das Ein-/Ausreiseystem" (EES) beschlossen hat, das wie das Etias ebenfalls 2023 in Betrieb gehen soll.

Grundsätzlich sollen alle Reisenden aus Drittstaaten darin ihre Gesichtsbilder und vier Fingerabdrücke abgeben. Diese werden in einer neuen Datenbank gespeichert, in der alle biometrischen Daten anderer Informationssysteme zusammengeführt werden.

Pilotprojekt für Passagierdatensystem zu Schiffsreisen

Hinsichtlich der Datenbanken, die zur Risikoanalyse der Reisenden genutzt werden, geht Tresspass also deutlich über iBorderCtrl hinaus. Neben sämtlichen biometriebasierten Datensammlungen soll außerdem das EU-Passagierdatensystem PNR abgefragt werden.

Gemäß der EU-Richtlinie über die Verwendung von PNR-Daten müssen Reisedienstleister und Reisebüros alle bei der Buchung anfallenden Daten der Passagiere zuerst bei der Buchung und ein zweites Mal beim Boarding an die Grenzbehörden des Ziellandes übermitteln. Dort werden sie auf "Bedrohungen" analysiert und anschließend für fünf Jahre auf Vorrat gespeichert.

Bislang gibt es das Passagierdatensystem nur für Flugreisen, in Tresspass wird nun die Erweiterung auf ein "maritimes PNR" vorweggenommen. Ein erster Durchlauf soll im Sommer am Fährhafen Piräus in Griechenland erfolgen. Die Landkomponente des Projekts wird vorher am polnisch-ukrainischen Grenzübergang Dorohusk erprobt. Tests des Flughafen-Pilotprojekts waren für Ende des vergangenen Jahres in Amsterdam geplant.

Auf der Projektwebseite wirft Tresspass die Frage auf, ob auch "Lügendetektoren" beforscht werden. Prinzipiell ja, ist die Antwort, wonach "wenn ein misstrauischer Reisender befragt wird, Technologie nützlich sein kann, um speziell geschulten Grenzbeamten zu helfen, die Aufrichtigkeit des Reisenden und seiner Aussagen schneller und genauer zu beurteilen".

Die Forschenden seien sich der Risiken dieser grundrechtssensiblen Durchdringung persönlicher Daten bewusst. Man gibt sich aber überzeugt, trotzdem "von dieser Technologie" profitieren zu können.

Am 30. November 2021 endet Tresspass. Das bedeutet noch nicht, dass die dort erforschten und entwickelten Techniken auch umgesetzt werden, es handelt sich vielmehr um eine Machbarkeitsstudie. Vermutlich werden auch in diesem EU-Projekt nicht alle Erkenntnisse und Berichte öffentlich verfügbar sein.

Vielleicht aber doch, wenn der Pirat Patrick Breyer mit seiner Klage vor dem EuGH Erfolg hat. Die Richter werden darüber bis zum Sommer entscheiden. (Matthias Monroy)