Datenschutz: Der elektronische Personalausweis – was erwartet Sie ab dem 1.11.2010?

Datenschutz: Der elektronische Personalausweis – was erwartet Sie ab dem 1.11.2010?
von Dr. Sebastian Kraska
02.07.2010 | Lesezeit: 6 min

Ab dem 1. November 2010 wird nur noch der elektronische Personalausweis von den Behörden ausgestellt. Der elektronische Identitätsnachweis soll die Sicherheit erhöhen und elektronische Geschäftstransaktionen vereinfachen. Dennoch wird kontrovers über den elektronischen Personalausweis diskutiert. In diesem Artikel wollen wir Sie sowohl über die grundlegenden gesetzlichen Regelungen wie auch über den aktuellen Meinungsstand informieren.

Der Bundestag hat das Gesetz über Personalausweise und den elektronischen Identitätsnachweis (kurz Personalausweisgesetz oder PAuswG (Verlinkung in dem Artikel mit freundlicher Genehmigung des Bundesanzeiger Verlags) sowie zur Änderung weiterer Vorschriften bereits am 18.12.2008 beschlossen. Der Bundesrat hat am 13.2.2009 seine Billigung erteilt, so dass im November 2010 das Gesetz nun in Kraft treten kann.

Was ist der elektronische Personalausweis?

Der elektronische Personalausweis soll über die Zeit den herkömmlichen Personalausweis komplett ersetzen. Beim momentanen Ausweis kann man die Daten optisch ablesen, während die Daten zukünftig in einem Chip gespeichert werden. Daneben werden auch biometrische Informationen gespeichert (digitales Foto sowie – optional – die Fingerabdrücke). Ausweisinhaber können sich dann sowohl bei Behörden wie gleichfalls optional im Internet (durch Verwendung eines speziellen Lesegerätes und Eingabe einer PIN-Nummer) ausweisen. Im Internet wird durch eine Zertifizierung der Website sichergestellt, dass der jeweilige Seiteninhaber auch berechtigt ist, den Inhalt des Ausweises auszulesen.

1

Welche Vorteile hat der neue Personalausweis damit?

Mit dem neuen Ausweis können sämtliche Authentifizierungsprozesse, wie Log-in, Adressverifikation oder Altersnachweis schneller realisiert werden. Da der Personalausweis ein – von den Herausgebern als höchst fälschungssicher eingestuftes – Sicherheitssystem hat, hilft der Personalausweis dabei grundsätzlich, Internetkriminalität zu bekämpfen.

Eingefügte elektronische Signatur

Wesentlicher Vorteil ist die Einführung einer (optionalen) elektronischen Signatur in den Ausweis. Damit können auch Verträge, die eine eigenhändige Unterschrift erfordern, sicher über das Internet abgeschlossen werden. Bislang war es für den Einzelnen häufig zu teuer und zu umständlich, eine qualifizierte elektronische Signatur zu beantragen. Mit dem elektronischen Personalausweis findet dieses Verfahren nun eine breite Nutzerbasis.

Steigende Missbrauchsmöglichkeiten eingeschlossen

Einer der Hauptkritikpunkte an dem elektronischen Personalausweis ist der Chip, der zur Datenspeicherung verwendet werden soll: dieser basiert auf dem RFID-System und kann kontaktlos ausgelesen werden. Damit lassen sich die RFID-Chips unter Umständen auch von nicht autorisierten Scannern auslesen. Der RFID-Chip wird über ein Funkfeld aktiviert und überträgt im Anschluss die Daten in verschlüsselter Form. Damit hängt die Sicherheit des Verfahrens letztlich am Grad der Übertragungs- und Verschlüsselungstechnologie. Ein Sicherheitsrisiko, das sich nicht vollständig vermeiden lässt. Teilweise wird daher die Verwendung von RFID-Schutzhüllen empfohlen, um nicht unbeabsichtigt ausspioniert werden zu können.

Welches Sicherheitssystem verwendet der elektronische Personalausweis?

Im Unterschied zum elektronischen Reisepass setzt der elektronische Personalausweis auf das so genannte PACE-Protokoll („Password Authenticated Connection Establishment“). PACE setzt einen Schlüssel für die sichere Übertragung von Nachrichten. So können geheime Daten verifiziert werden, eine Übertragung der Daten muss dafür nicht stattfinden.
Dieses Protokoll wurde vom Bundesamt für Sicherheit der Informationstechnik entwickelt und wird derzeit von diversen Organisationen, unter anderem dem Chaos Computer Club, auf Sicherheitslücken getestet.

Was ändert sich gesetzlich?

Von allen Ausweisinhabern darf künftig insbesondere nicht mehr verlangt werden, den Ausweis zu hinterlegen oder in sonstiger Weise den Gewahrsam aufzugeben (§ 1 Abs. 1 S. 3 PAuswG). Dies würde angesichts der auf dem Ausweis gespeicherten Daten ein zu großes Sicherheitsrisiko bedeuten.

Was geschieht mit den Fingerabdrücken?

Fingerabdrücke können auf dem neuen Personalausweis auf freiwilliger Basis gespeichert werden (§ 5 PAuswG). Behörden können diesen dann zum Identifikationsabgleich abrufen. Die ausstellende Behörde muss den Fingerabdruck unmittelbar nach der Ausstellung des Ausweises wieder löschen.

Möglich für Antragssteller: digitale Identifikation

Daneben hat der neue Personalausweis auch die Möglichkeit, eine digitale Identifikation darzustellen (§ 10 PAuswG). Auch diese muss beantragt werden und ist nicht verpflichtend. Durch Kartenleser kann im Internet dann später die Identität (rechtlich) eindeutig festgestellt werden. Abhanden gekommene Ausweise werden auf einer Sperrliste vermerkt. Die Identifikation über das Internet funktioniert über die Verknüpfung von Ausweisnummer mit einer PIN-Nummer und insoweit grundlegend wie beim EC-Karten-System.

Ratsam: Authentifizierung nur über gesicherte Netzwerke

Den Ausweisinhaber trifft eine gesetzliche Pflicht, „zumutbare Maßnahmen“ zu treffen, dass Dritte keine Kenntnis von der Geheimnummer erhalten (§ 27 PAuswG). Dies meint insbesondere die Eingabe bzw. den Zugang zu den gespeicherten Daten nur über gesicherte Netzwerke und Computer zu veranlassen. Insofern müssen vom Anwender auch Antivirenprogramme und Firewalls eingesetzt werden, um letztlich ein Ausspionieren der Daten zu erschweren.

Genaue Regelung des Zugriffs

Die Zugriffs-, Verwendung- und Speicherungsmöglichkeiten durch öffentliche Stellen hinsichtlich der Daten des elektronischen Personalausweises werden in § 15 ff. PAuswG genau geregelt. So dürfen beispielsweise nicht-öffentliche Stellen (also Unternehmen) nur auf Daten zugreifen, die im Geschäftsverkehr regelmäßig verlangt werden (wie Geburtsdatum, Adresse u.ä.). Sämtliche Übertragungsvorgänge sollen nur nach PIN-Eingabe und unter Kontrolle des Betroffenen stattfinden können.

Welche Probleme können sich im Übrigen stellen?

Es bleibt abzuwarten, wem Fehler im Sicherheits- oder Authentifizierungsprozess letztlich zugerechnet werden. Wird eine gestohlene digitale Identität verwendet, so drohen hohe wirtschaftliche Schäden.

Automatisierter Zugriff durch öffentliche Stellen

Heftig umstritten ist auch folgende Passage in § 15 Abs. 1 PAuswG (die insoweit dem Bundesdatenschutzgesetz („BDSG“) gemäß § 1 Abs. 3 BDSG vorgeht):

„Zur Identitätsfeststellung berechtigte Behörden dürfen den Ausweis nicht zum automatisierten Abruf personenbezogener Daten verwenden. Abweichend von Satz 1 dürfen Polizeibehörden und -diensstellen des Bundes und der Länder, die Behörden der Zollverwaltung sowie die Steuerfahndungsstellen der Länder den Ausweis im Rahmen ihrer Aufgaben und Befugnisse zum automatisierten Abruf personenbezogener Daten verwenden, die zu folgenden Zwecken im polizeilichen Fahndungsbestand gespeichert sind:
1.    Grenzkontrolle
2.    Fahndung oder Aufenthaltsfeststellung zum Zweck der Strafverfolgung, Strafvollstreckung oder der Abwehr von Gefahren für die öffentliche Sicherheit oder
3.    der zollamtlichen Überwachung im Rahmen der polizeilichen Beobachtung.
Über Abrufe, die zu keiner Feststellung geführt haben, dürfen, vorbehaltlich gesetzlicher Regelungen, die gemäß Absatz 2 erlassen werden, keine personenbezogenen Aufzeichnungen gefertigt werden.“

Was kostet der neue Personalausweis?

Der neue Personalausweis wird teurer: statt bisher 8,- Euro wird die Erstellung für Personen über 24 Jahren künftig 28,80 Euro kosten.

Fazit

Letztlich wird die Praxis zeigen, inwieweit die durch die Einführung des Ausweises angestrebten Veränderungen sich auch durchsetzen lassen und in der Praxis bewähren (Stichwort „elektronische Signatur“). In jedem Fall werden künftig in digitaler Form personenbezogene Daten auf den Ausweisen gespeichert, die im Zweifelsfall ausgelesen werden können – ob man dies möchte oder nicht.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

1 Kommentar

M
M. Schmitt 12.07.2010, 05:31 Uhr
elektronischer Personalausweis
Ist schon lustig, dass ein elektronischer Personalausweis eingeführt wird, wenn man bedenkt welche Diskussion die "vergleichbare" Gesundheitskarte ausgelöst hat. Stimmt verwunderlich. Vor allem, wenn man bedenkt, dass der Ausweis höchst sensible Daten wie etwa Fingerabdrücke etc. enthalten soll. Willkommen in der gläsernen Welt: Big Brother is watching!

Weitere News

Datenschutz: Vorratsdatenspeicherung durch Domain-Name-Registrare?
(01.09.2012, 16:16 Uhr)
Datenschutz: Vorratsdatenspeicherung durch Domain-Name-Registrare?
Datenschutz: Gesetzlicher Rahmen für Körperschaften des öffentlichen Rechts
(08.12.2011, 14:45 Uhr)
Datenschutz: Gesetzlicher Rahmen für Körperschaften des öffentlichen Rechts
Das Infomationsfreiheitsgesetz – scharfe Waffe oder Papiertiger?
(06.05.2011, 08:47 Uhr)
Das Infomationsfreiheitsgesetz – scharfe Waffe oder Papiertiger?
Datenschutz und Satellitenrecht: das deutsche Satellitendatensicherheitsgesetz (SatDSiG)
(17.08.2010, 08:22 Uhr)
Datenschutz und Satellitenrecht: das deutsche Satellitendatensicherheitsgesetz (SatDSiG)
Datenschutz Eckpunktepapier der Aufsichtsbehörden – ein modernes Datenschutzrecht für das 21. Jahrhundert?
(18.06.2010, 10:38 Uhr)
Datenschutz Eckpunktepapier der Aufsichtsbehörden – ein modernes Datenschutzrecht für das 21. Jahrhundert?
Die neue „Cookie-Richtlinie“ der EU – worauf sich Unternehmen bereits heute einstellen sollten
(14.05.2010, 08:03 Uhr)
Die neue „Cookie-Richtlinie“ der EU – worauf sich Unternehmen bereits heute einstellen sollten
© 2004-2024 · IT-Recht Kanzlei