Das „Gesetz über Personalausweise und den elektronischen Identitätsnachweis sowie zur Änderung weiterer Vorschriften“ (PAuswG) tritt am 1. November 2010 in Kraft. Das heißt: Ab dem 1.11.2010 gibt es in Deutschland den neuen elektronischen Personalausweis (nPA). Dieses handliche Dokument in Checkkartengröße wird seinen Nutzern ermöglichen, sich online sicher zu identifizieren und Dokumente mit einer qualifizierten elektronischen Signatur zu versehen. Wie jede technische Neuerung wirft der neue Personalausweis jedoch auch eine Reihe an Fragen auf. Grund genug, die Neuerungen einmal näher vorzustellen.
Was ist neu?
Der neue Personalausweis vereint die Sichtfunktionen des herkömmlichen Ausweises mit drei neuen elektronischen Funktionen im Scheckkartenformat. Die Biometriefunktion ermöglicht es bestimmten berechtigten Behörden, etwa der Polizei, das auf dem elektronischen Chip des Ausweises gespeicherte Lichtbild des Ausweisinhabers auszulesen. Auf Wunsch des Ausweisinhabers kann der Ausweis auch zwei Fingerabdrücke elektronisch speichern.
Wichtig ist auch die neue eID-Funktion, mit der es möglich sein soll, sich im Internet fortan sicher auszuweisen. Mittels eines speziellen Ausweislesegeräts, das mit einem Computer des Ausweisinhabers verbunden sein muss, einer 6-stelligen PIN und einer „Ausweisapp“ kann der Ausweisinhaber sich etwa bei Online-Shops, Banken, E-Mail-Anbietern, sozialen Netzwerken aber auch bei Behörden und Ämtern mit den notwendigen Daten legitimieren.
Man kann fortan also online ein Konto eröffnen oder Behördengänge virtuell erledigen. Aber auch die auf den Ausweis zugreifende Stelle wird authentisiert: Sie muss sich durch ein elektronisches Berechtigungszertifikat ausweisen, welches durch den Chip des Ausweises beziehungsweise die auf dem Rechner lokal installierte „Ausweisapp“ überprüft wird. Im Ergebnis entsteht so eine gegenseitige Authentisierung, womit ein Sicherheitsgewinn für den Ausweisinhaber aber auch die zugreifende Stelle einher gehen soll. Eine Übermittlung der auf dem Kartenchip gespeicherten biometrischen Daten findet nicht statt.
Die eID-Funktion soll auch die Teilnahme an Online-Foren oder sozialen Netzwerken ermöglichen. Bei der Anmeldung zur jeweiligen Website sollen keine personenbezogenen Daten mehr übertragen werden; die Identifizierung erfolgt anhand eines Nutzerpseudonyms, das über die eID-Funktion generiert wird. Diensten und Anwendungen im Internet, die lediglich Angaben wie das Alter des Nutzers benötigen, wird bei Nutzung der eID fortan nur noch übermittelt, ob der Nutzer das angefragte Alter bereits erreicht hat anstelle seines Geburtsdatums. Dahinter steckt die gesetzgeberische Intention und der datenschutzrechtliche Grundsatz der Datenvermeidung und Datensparsamkeit.
Schließlich ist es für den Bürger möglich, den neuen Ausweis auch als qualifizierte elektronische Signatur (QES) im Sinne des § 126 a BGB zu nutzen, welche der eigenhändigen Unterschrift rechtlich annähernd gleich gestellt ist. Dafür muss der Nutzer ein spezielles Signaturzertifikat erwerben und auf den Ausweis laden. Abhängig vom Anbieter kann das unterschiedlich viel kosten. Eine entsprechende Anbieterauswahl findet sich hier.
Beantragung und Einsatz der neuen Funktionen
Wer einen neuen Personalausweis will, muss ihn bei der Ausweisbehörde beantragen. Diese erfasst die notwendigen Ausweisdaten und das Portrait des Antragstellers und übermittelt sie an den Ausweishersteller, die Bundesdruckerei. Diese stellt den Ausweis fertig und sendet ihn ihrerseits zurück an die Ausweisbehörde; diese schickt dem neuen Inhaber dann einen Brief mit PIN, PUK und einem Sperrkennwort und gibt den Ausweis schließlich aus. Die eID-Funktion ist dann bereits aktiviert, die Signaturfunktion nicht. Beide Funktionen lassen sich auf Wunsch des Ausweisinhabers an- beziehungsweise abschalten – mit der Bedingung, dass für die Nutzung des Signaturfunktion auch die eID-Funktion aktiviert sein muss. Im Ergebnis ist es aber auch möglich, den neuen Personalausweis auf seine Sicht- und Biometriefunktion zu beschränken – mit anderen Worten, ihn ausschließlich als Ausweis zu gebrauchen.
Um die eID-Funktion dann aber auch tatsächlich nutzen zu können, bedarf es des schon angesprochenen Lesegerätes, welche in verschiedenen Kategorien im Handel erworben werden können. Es gibt ein Basis-, ein Standard- und ein Komfortlesegerät. Das Basisgerät soll sich vor allem für den mobilen Betrieb gut eignen, hat aber keine eigene Tastatur und birgt so die Gefahr, dass Dritte Trojaner oder Keylogger einsetzen können, um die Eingabe des Passwortes oder der PIN mitzulesen. Ein eigenes PIN-Pad haben die Standard- und Komfortlesegeräte, die jedoch auch deutlich teurer sein sollen als die Basisvariante. Und nur mit einem Komfortlesegerät ist die Nutzung des neuen Ausweises für die Signaturfunktion möglich.
Die beim Bundesverwaltungsamt (BVA) angesiedelte Vergabestelle für Berechtigungszertifikate (VfB) vergibt im förmlichen Verwaltungsverfahren Berechtigungen an die beantragenden Anbieter (Banken, Versicherungen, E-Mail-Anbieter, usw.). Die Berechtigungen gelten maximal drei Jahre und legen die konkreten Zugriffsrechte des Antragstellers fest.
Verliert der Nutzer einmal seinen neuen Personalausweis, hat er dies der zuständigen Personalausweisbehörde zu melden und sollte aus haftungsrechtlichen Gesichtspunkten die Sperrung der eID- und Signaturfunktion veranlassen, sofern er sie aktiviert hat. Dies geht über die vom Bundesverwaltungsamt eingerichtete zentrale Hotline.
Neue Dimensionen der Online-Kriminalität möglich?
Besonderen Bedenken ist der neue Ausweis vor allem bei Fragen der Datensicherheit ausgesetzt. Die Gefahr, dass mittels Trojanern und Keyloggern auf dem Rechner des Anwenders PIN und andere sicherheitsrelevante Informationen ausgelesen werden könnten, erscheint virulent. Zusammen mit einem Diebstahl des Ausweises ergeben sich so ganz neue Dimensionen der Kriminalität im Onlinebereich. Theoretisch kann ein Hacker mit einer „gestohlenen“ Identität beliebige Rechtsgeschäfte im Netz tätigen. Vor diesem Hintergrund muss der dauerhafte Einsatz eines Ausweislesegerätes in der Basisversion, d.h. ohne eigenes PIN-Pad, als äußerst zweifelhaft betrachtet werden.
Die tägliche Anwendung der eID in der Praxis wird zeigen, inwieweit die Diensteanbieter sich auch tatsächlich einem hinreichenden Niveau an Datenschutz und Datensicherheit verpflichten und die vom Anwender erhaltenen personenbezogenen Daten nicht missbrauchen. Die Zukunft wird auch zeigen, ob die auf dem Chip der Karte gespeicherten biometrischen Daten des Ausweisinhabers vor einem Zugriff unberechtigter Dritter wirklich sicher sind.
Positiv ist, dass der Ausweisinhaber nicht verpflichtet ist, seine Fingerabdrücke auf der Karte speichern zu lassen, so wie es ursprünglich von Bundesinnenministerium (BMI) einmal geplant war. Die Nutzung der eID und der Signaturfunktion geschieht freiwillig und lässt sich nach Belieben des Anwenders zu- und abschalten. Der Ausweis lässt sich damit auf eine Sicht- und Biometriefunktion beschränken. Es obliegt also dem Anwender selbst, die Funktionen des neuen Ausweises zu nutzen.
Nicht ganz durchsichtig ist, ob es sich bei der eingerichteten zentralen Sperrhotline um eine hoheitliche Einrichtung oder um einen beauftragten externen Dienstleister, also ein herkömmliches Call-Center, handelt. Sofern im Rahmen der Sperrung des Ausweises und seiner Funktionen Daten erhoben, gespeichert und schließlich verarbeitet und übermittelt werden, ergeben sich damit Fragen nach der datenschutzrechtlichen Zulässigkeit, vor allem im Hinblick auf eine Auftragsdatenverarbeitung.
Fazit
Es wird momentan viel Getöse gemacht um den neuen Personalausweis. Seine Befürworter sehen in ihm die technische Neuerung schlechthin, die Gegner attestieren eine schlechte Umsetzung und sehen vor allem Gefahren im Bereich der Datensicherheit. Wie sicher oder unsicher der Umgang mit dem neuen Ausweis aber tatsächlich ist, wird sich wohl erst in den nächsten Monaten und Jahren zeigen können.
Der Gedanke, mit einer elektronischen ID sowohl Bedürfnisse des Bürgers im Bereich des E-Government als auch im privaten Wirtschaftsverkehr zu bedienen, ist gut und überfällig für das Informationszeitalter. Und wie bei jeder neuen Anwendung wird es von der Version 1.0 an Fortentwicklungen geben, die sich dann im Alltag beweisen müssen. Am 1. November fällt damit praktisch der Startschuss für eine „Open-Beta-Phase“ des neuen Ausweises.
Befremdend wirkt nach wie vor die Möglichkeit, die eigenen Fingerabdrücke bei Wunsch auf dem Ausweis speichern zu lassen. Wer sollte einen solchen Wunsch haben, außer der verschwindenden Anzahl derjenigen Personen, die von Berufs wegen häufig mit hoheitlichen Stellen und erkennungsdienstlichen Maßnahmen zu tun haben?
Ergänzend zu den bereits angesprochenen Bedenken gibt es auch noch unbeantwortete Anschlussfragen. Etwa, wie sozial schwache Personen künftig alle Funktionen des neuen Ausweises sicher nutzen können. Haben ALG-II-Empfänger einen konkreten Anspruch auf Beschaffung eines Komfortlesegeräts oder sind sie faktisch von dieser Teilhabe im Internet ausgeschlossen?
Der Gesetzgeber wird weitere Antworten geben müssen und sollte dabei die Möglichkeit der Selbstbestimmung der Ausweisinhaber in den Mittelpunkt stellen.
Das Bundesministerium des Innern (BMI) informiert über den neuen Personalausweis.