Beitrag von Herrn Rechtsanwalt Dr. Sebastian Kraska (externer Datenschutzbeauftragter) und Frau Rechtsanwältin Alma Lena Fritz

30.06.2010 - Ab dem 1. November 2010 wird nur noch der elektronische Personalausweis von den Behörden ausgestellt. Der elektronische Identitätsnachweis soll die Sicherheit erhöhen und elektronische Geschäftstransaktionen vereinfachen. Dennoch wird kontrovers über den elektronischen Personalausweis diskutiert. In diesem Artikel wollen wir Sie sowohl über die grundlegenden gesetzlichen Regelungen wie auch über den aktuellen Meinungsstand informieren.

Der Bundestag hat das Gesetz über Personalausweise und den elektronischen Identitätsnachweis (kurz Personalausweisgesetz oder PAuswG) sowie zur Änderung weiterer Vorschriften bereits am 18.12.2008 beschlossen. Der Bundesrat hat am 13.2.2009 seine Billigung erteilt, so dass im November 2010 das Gesetz nun in Kraft treten kann.

Was ist der elektronische Personalausweis?

Der elektronische Personalausweis soll über die Zeit den herkömmlichen Personalausweis komplett ersetzen. Beim momentanen Ausweis kann man die Daten optisch ablesen, während die Daten zukünftig in einem Chip gespeichert werden. Daneben werden auch biometrische Informationen gespeichert (digitales Foto sowie – optional – die Fingerabdrücke). Ausweisinhaber können sich dann sowohl bei Behörden wie gleichfalls optional im Internet (durch Verwendung eines speziellen Lesegerätes und Eingabe einer PIN-Nummer) ausweisen. Im Internet wird durch eine Zertifizierung der Website sichergestellt, dass der jeweilige Seiteninhaber auch berechtigt ist, den Inhalt des Ausweises auszulesen.

Welche Vorteile hat der neue Personalausweis damit?

Mit dem neuen Ausweis können sämtliche Authentifizierungsprozesse, wie Log-in, Adressverifikation oder Altersnachweis schneller realisiert werden. Da der Personalausweis ein – von den Herausgebern als höchst fälschungssicher eingestuftes – Sicherheitssystem hat, hilft der Personalausweis dabei grundsätzlich, Internetkriminalität zu bekämpfen.

Eingefügte elektronische Signatur

Wesentlicher Vorteil ist die Einführung einer (optionalen) elektronischen Signatur in den Ausweis. Damit können auch Verträge, die eine eigenhändige Unterschrift erfordern, sicher über das Internet abgeschlossen werden. Bislang war es für den Einzelnen häufig zu teuer und zu umständlich, eine qualifizierte elektronische Signatur zu beantragen. Mit dem elektronischen Personalausweis findet dieses Verfahren nun eine breite Nutzerbasis.

Steigende Missbrauchsmöglichkeiten eingeschlossen

Einer der Hauptkritikpunkte an dem elektronischen Personalausweis ist der Chip, der zur Datenspeicherung verwendet werden soll: dieser basiert auf dem RFID-System und kann kontaktlos ausgelesen werden. Damit lassen sich die RFID-Chips unter Umständen auch von nicht autorisierten Scannern auslesen. Der RFID-Chip wird über ein Funkfeld aktiviert und überträgt im Anschluss die Daten in verschlüsselter Form. Damit hängt die Sicherheit des Verfahrens letztlich am Grad der Übertragungs- und Verschlüsselungstechnologie. Ein Sicherheitsrisiko, das sich nicht vollständig vermeiden lässt. Teilweise wird daher die Verwendung von RFID-Schutzhüllen empfohlen, um nicht unbeabsichtigt ausspioniert werden zu können (Link zu einem Shop mit RFID-Schutzhüllen).

Welches Sicherheitssystem verwendet der elektronische Personalausweis?

Im Unterschied zum elektronischen Reisepass setzt der elektronische Personalausweis auf das so genannte PACE-Protokoll („Password Authenticated Connection Establishment“). PACE setzt einen Schlüssel für die sichere Übertragung von Nachrichten. So können geheime Daten verifiziert werden, eine Übertragung der Daten muss dafür nicht stattfinden.

Dieses Protokoll wurde vom Bundesamt für Sicherheit der Informationstechnik entwickelt und wird derzeit von diversen Organisationen, unter anderem dem Chaos Computer Club, auf Sicherheitslücken getestet.

Was ändert sich gesetzlich?

Von allen Ausweisinhabern darf künftig insbesondere nicht mehr verlangt werden, den Ausweis zu hinterlegen oder in sonstiger Weise den Gewahrsam aufzugeben (§ 1 Abs. 1 S. 3 PAuswG). Dies würde angesichts der auf dem Ausweis gespeicherten Daten ein zu großes Sicherheitsrisiko bedeuten.

Was geschieht mit den Fingerabdrücken?

Fingerabdrücke können auf dem neuen Personalausweis auf freiwilliger Basis gespeichert werden (§ 5 PAuswG). Behörden können diesen dann zum Identifikationsabgleich abrufen. Die ausstellende Behörde muss den Fingerabdruck unmittelbar nach der Ausstellung des Ausweises wieder löschen.

Möglich für Antragssteller: digitale Identifikation

Daneben hat der neue Personalausweis auch die Möglichkeit, eine digitale Identifikation darzustellen (§ 10 PAuswG). Auch diese muss beantragt werden und ist nicht verpflichtend. Durch Kartenleser kann im Internet dann später die Identität (rechtlich) eindeutig festgestellt werden. Abhanden gekommene Ausweise werden auf einer Sperrliste vermerkt. Die Identifikation über das Internet funktioniert über die Verknüpfung von Ausweisnummer mit einer PIN-Nummer und insoweit grundlegend wie beim EC-Karten-System.

Ratsam: Authentifizierung nur über gesicherte Netzwerke

Den Ausweisinhaber trifft eine gesetzliche Pflicht, „zumutbare Maßnahmen“ zu treffen, dass Dritte keine Kenntnis von der Geheimnummer erhalten (§ 27 PAuswG). Dies meint insbesondere die Eingabe bzw. den Zugang zu den gespeicherten Daten nur über gesicherte Netzwerke und Computer zu veranlassen. Insofern müssen vom Anwender auch Antivirenprogramme und Firewalls eingesetzt werden, um letztlich ein Ausspionieren der Daten zu erschweren.

Genaue Regelung des Zugriffs

Die Zugriffs-, Verwendung- und Speicherungsmöglichkeiten durch öffentliche Stellen hinsichtlich der Daten des elektronischen Personalausweises werden in § 15 ff. PAuswG genau geregelt. So dürfen beispielsweise nicht-öffentliche Stellen (also Unternehmen) nur auf Daten zugreifen, die im Geschäftsverkehr regelmäßig verlangt werden (wie Geburtsdatum, Adresse u.ä.). Sämtliche Übertragungsvorgänge sollen nur nach PIN-Eingabe und unter Kontrolle des Betroffenen stattfinden können.

Welche Probleme können sich im Übrigen stellen?

Es bleibt abzuwarten, wem Fehler im Sicherheits- oder Authentifizierungsprozess letztlich zugerechnet werden. Wird eine gestohlene digitale Identität verwendet, so drohen hohe wirtschaftliche Schäden.

Automatisierter Zugriff durch öffentliche Stellen

Heftig umstritten ist auch folgende Passage in § 15 Abs. 1 PAuswG (die insoweit dem Bundesdatenschutzgesetz („BDSG“) gemäß § 1 Abs. 3 BDSG vorgeht):

Zur Identitätsfeststellung berechtigte Behörden dürfen den Ausweis nicht zum automatisierten Abruf personenbezogener Daten verwenden. Abweichend von Satz 1 dürfen Polizeibehörden und -diensstellen des Bundes und der Länder, die Behörden der Zollverwaltung sowie die Steuerfahndungsstellen der Länder den Ausweis im Rahmen ihrer Aufgaben und Befugnisse zum automatisierten Abruf personenbezogener Daten verwenden, die zu folgenden Zwecken im polizeilichen Fahndungsbestand gespeichert sind:

  1. Grenzkontrolle
  2. Fahndung oder Aufenthaltsfeststellung zum Zweck der Strafverfolgung, Strafvollstreckung oder der Abwehr von Gefahren für die öffentliche Sicherheit oder
  3. der zollamtlichen Überwachung im Rahmen der polizeilichen Beobachtung.

 

Über Abrufe, die zu keiner Feststellung geführt haben, dürfen, vorbehaltlich gesetzlicher Regelungen, die gemäß Absatz 2 erlassen werden, keine personenbezogenen Aufzeichnungen gefertigt werden.

Mehr Informationen

Über mögliche rechtliche Folgen und die gesetzlichen Grundlagen diskutiert auch Herr Jens Ferner in seinem Blog. Daneben können Sie sich auch auf der Informationsseite des Bundesministeriums des Innern über den elektronischen Personalausweis informieren.

Was kostet der neue Personalausweis?

Der neue Personalausweis wird teurer: statt bisher 8,- Euro wird die Erstellung für Personen über 24 Jahren künftig 28,80 Euro kosten.

Fazit

Letztlich wird die Praxis zeigen, inwieweit die durch die Einführung des Ausweises angestrebten Veränderungen sich auch durchsetzen lassen und in der Praxis bewähren (Stichwort „elektronische Signatur“). In jedem Fall werden künftig in digitaler Form personenbezogene Daten auf den Ausweisen gespeichert, die im Zweifelsfall ausgelesen werden können – ob man dies möchte oder nicht.