Indisches Datenschutzrecht: Aadhaar wird für verfassungskonform erklärt

von Dr. Dennis-Kenji Kipker, veröffentlicht am 22.10.2018

In seinem Urteil vom 26.09.2018 befindet der Oberste indische Gerichtshof die Biometriedatenbank „Aadhaar“ für verfassungskonform. Vier von fünf Richtern stimmten für die Vereinbarkeit von Aadhaar mit der indischen Verfassung. Die Datennutzung durch private Unternehmen soll jedoch zukünftig eingeschränkt werden.

Die bisherige Rechtslage im indischen Datenschutz

In Indien existiert bisher kein einheitliches Datenschutzrecht, sondern es bestehen sektorspezifische Regelungen wie z.B. für den Finanz- und Telekommunikationsbereich. Daneben ist auf die Regelungen im Rahmen der Information Technology Rules von 2011 hinzuweisen, welche jedoch ausschließlich für private Unternehmen gelten und den Schutz besonders sensibler Daten umfassen. Für die Aadhaar Datenbank gilt der Aadhaar Act aus dem Jahr 2016, der die Sicherheit der in der Datenbank gespeicherten Daten sicherstellen soll. Ob Aadhaar mit der indischen Verfassung konform ist, wurde diesen September vom indischen Verfassungsgericht entschieden.

Was ist Aadhaar?

Aadhaar ist eine zwölfstellige Identifikationsnummer, die von der Unique Identification Authority of India (UIDAI) an die indischen Bürger vergeben wird. Unter der Aadhaar-Nummer werden in einer zentralen Datenbank (Central Identities Data Repository – CIDR) biometrische Merkmale (Fingerabdrücke aller zehn Finger, Iris-Scans beider Augen, Foto des Gesichtes) und demographische Informationen (Name, Geburtsdatum, Geschlecht, Adresse) erfasst. Mit 1,2 Milliarden registrierten Menschen ist Aadhaar die größte biometrische Datenbank der Welt. Ziel des Aadhaar-Programms ist die Verhinderung von Sozialbetrug, indem Sozialleistungen an die Identifizierung durch Aadhaar gebunden werden. Daneben sollen Bürokratie abgebaut, die Verwaltung digitalisiert und der Zugang zu Dienstleistungen auch den ärmeren Bevölkerungsschichten ermöglicht werden. Eingeführt wurde Aadhaar 2009 als freiwillige Identifikationsdatenbank. Obwohl diese offiziell immer noch als freiwillig bezeichnet wird, ist Aadhaar mittlerweile für die Inanspruchnahme zahlreicher Leistungen und Dienste faktisch verpflichtend – so müssen beispielsweise auch Bankkonten, Steuererklärungen und SIM-Karten zwingend mit der Aadhaar-Nummer verbunden werden. Aadhaar wurde von der konservativen BJP-Partei (Bharatiya Janata Party), die seit 2014 die Regierung bildet, über die Jahre stetig erweitert.

Bisherige Kritik an Aadhaar

Aadhaar wurde bereits in der Vergangenheit in erheblichem Maße kritisiert: Neben der Opposition sind Menschenrechtler der Ansicht, dass das System den Zugang zu Dienstleistungen für die ärmeren Teile der Bevölkerung noch weiter erschwere, obwohl es laut Befürwortern gerade dazu dienen soll, auch Mitgliedern anderer sozialer Kasten „ein Gesicht zu geben“. Tatsächlich kommt es durch Aadhaar immer wieder zu gravierenden Vorfällen: Schwangere Frauen ohne Aadhaar-ID werden in Krankenhäusern nicht behandelt, Babys erhalten keine Geburtsurkunde und Kindern wird die Anmeldung zur Schule verwehrt. Durch technische Probleme ist es aus ärmeren Bevölkerungsschichten stammenden Personen nicht möglich, subventionierte Lebensmittelrationen zu erhalten. Zu hören ist ferner, dass das genutzte Identifizierungssystem, das auf der Registrierung von Fingerabdrücken basiert, in seiner Realisierung gravierende Mängel aufweist, indem es bei solchen Personen, deren Fingerkuppen infolge körperlicher Arbeit geschädigt sind, nicht ordnungsgemäß funktioniert. Ältere und Kranke haben ferner Schwierigkeiten, persönlich bei den Aadhaar-Abgabestellen zu erscheinen.

Doch nicht nur soziale Faktoren bedingen die Kritik an der Datenbank. Auch unter Gesichtspunkten der IT-Sicherheit bemängeln Cyber-Security-Experten enorme Sicherheitsrisiken, die in der Vergangenheit regelmäßig zu Problemen führten: So war es im Januar 2018 Unbekannten möglich, auf die Daten von über einer Milliarde Nutzern unbefugt zuzugreifen. Daneben kann die Regierung Standort und Inhalt jeder mit der Aadhaar-ID getätigten Transaktion mit verfolgen und damit überwachen.

Das Aadhaar-Urteil des Obersten indischen Gerichtshofes

Der indische Supreme Court erklärte Aadhaar jüngst für verfassungskonform. Es sei rechtmäßig, für öffentliche Leistungen und Steuererklärungen eine zwingende Aadhaar-ID zu verlangen. Die Datennutzung durch private Unternehmen solle jedoch eingeschränkt werden. So ist es Unternehmen nicht mehr gestattet, für ihre Dienstleistungen das Vorliegen einer Aadhaar-ID vorauszusetzen. Daneben verbietet der Supreme Court, den Zugang zu Schulen von einer Aadhaar-ID abhängig zu machen. Ebenso darf die ID nicht mehr mit den Mobilfunkdaten oder dem Bankkonto verbunden werden. Die Archivierung von Transaktionsdaten soll nur noch für eine maximale Dauer von sechs Monaten zulässig sein. Wie diese Beschränkungen konkret ausgestaltet werden, unterliegt der gesetzgeberischen Sphäre.

Begründet wird das Urteil damit, dass das Grundrecht auf Privatsphäre auch bei Verwendung der Aadhaar-Datenbank ausreichend gewahrt werde. Demnach seien nicht alle Daten vom Grundrecht auf Privatsphäre geschützt, sondern nur solche, bei denen ein Schutz auch vernünftigerweise zu erwarten sei. Diese würden zudem einer Angemessenheitsprüfung durch den dreistufigen Privatsphäre-Test, der von der Rechtsprechung im Puttaswamy-Urteil entwickelt wurde, standhalten. Der Vorwurf, dass durch Aadhaar ein Überwachungsstaat errichtet würde, ist laut Ansicht der richterlichen Mehrheit nicht haltbar. So würden Details und Ort der jeweiligen Transaktionen mit der ID nicht gespeichert werden.

Lediglich der Richter D.Y. Chandrachud spricht sich gegen die Vereinbarkeit von Aadhaar mit der indischen Verfassung aus: Seiner Ansicht nach sei es durchaus möglich, anhand von Protokollen Standorte und Transaktionsdetails einer Person aus den vergangenen fünf Jahren zurückzuverfolgen. Es gäbe derzeit zudem kein Datenschutzgesetz in Indien, das dem Schutz der sensiblen Daten aus der Datenbank gerecht werde. Zu garantieren, dass eine Einwilligung in die Verarbeitung oder Weitergabe der Daten informiert und rechtmäßig erfolge, sei kaum möglich. Insbesondere die zwingende Verpflichtung zur Einrichtung einer Aadhaar-ID ist seiner Ansicht nach nicht verfassungskonform.

Fazit und Ausblick

Aus datenschutzrechtlicher Sicht ist das Weiterbestehen der Aadhaar-Datenbank in ihrer jetzigen Form ein Rückschlag. Insbesondere vor dem Hintergrund, dass das Recht auf Datenschutz vom Supreme Court im August 2017 zu einem Grundrecht der indischen Verfassung erklärt worden ist, erscheint es nicht nachvollziehbar, Aadhaar mit nur wenigen Einschränkungen weiter bestehen zu lassen. Es bleibt abzuwarten, wie der Gesetzgeber die Beschränkungen für private Unternehmen umsetzen wird und ob diese zumindest in Teilen für einen gewissen Datenschutz-Standard sorgen. Unklar bleibt ferner, wie für die Zukunft mit solchen Daten umgegangen wird, die bereits unrechtmäßigerweise an private Unternehmen gelangt sind. Mit Spannung zu erwarten ist zudem, in welchem Wirkungsverhältnis der Aadhaar Act zum neuen Entwurf eines einheitlichen indischen Datenschutzrechts steht, der bereits in einem White Paper veröffentlicht wurde.

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

Kommentare als Feed abonnieren

Kommentar hinzufügen