DATENSCHUTZAuf dem Ausweis befindet sich ein Chip, welcher dieAusweisdaten vorhält und welcher nur von entsprechendberechtigter Stelle ausgelesen werden darf. DieBiometriefunktionen sind dabei ausschließlich für hoheitlicheKontrollen an Grenzen und im Inl<strong>and</strong> vorgesehenund dienen der Sicherheit als Reisedokument. SogenannteE-Business/E-Government-Diensteanbieterwerden künftig mittels Berechtigungszertifikaten, welchemit strengen Sicherheitsbestimmungen und Einschränkungenhinsichtlich des Umfanges der auslesbarenDaten behaftet sind, autorisiert und kontrolliert.Im Prozess der Datenübermittlung wird dem Inhaberzusätzlich die Möglichkeit gegeben, die zu übermittelndenDaten nach eigenem Dafürhalten zusätzlich einzuschränkenoder auch zu erweitern. Dies wird entwederüber das Display eines Komfort-Lesegerätes ermöglichtoder erfolgt über die AusweisApp direkt am Computer.Die sogenannte „passive Authentifizierung“ dient dazu,die Echtheit und die Unverfälschtheit der Daten auf demChip des Ausweisdokumentes zu prüfen. Dabei werden dieDaten bis zum sogenannten CSCA-Zertifikat (Country SignerCertificate Authority) zurückverfolgt, welches nur vondem offiziell beauftragten Passhersteller der ausstellendenNation zur Verfügung steht. Diese Daten können weder verändert,gelöscht noch ergänzt werden, ohne dass dies beieiner Überprüfung offensichtlich würde. Zuletzt bleibt nochder Schutz des Zugriffs auf den Chip mittels der persönlichenPIN, welche nur dem Inhaber bekannt ist und welchebei entsprechend sicherer Eingabe, beispielsweise mittelseines Komfortkartenlesegerätes, auch keine Sicherheitslückenoffen lässt; insbesondere dann nicht, wenn diesePIN in regelmäßigen Abständen gewechselt wird. Ganz zerstörtist der Ausweis nicht, wenn der Chip untauglich gemachtwurde, denn dann fungiert er immer noch im konventionellenSinn der Identifizierung durch das Dokumentan sich und das aufgedruckte Passbild. Selbstverständlichist das Dokument nicht feuerfest und würde beispielsweiseauch Mikrowellen nicht st<strong>and</strong>halten.Es wird zudem die Meinung vertreten, dass durch denEinsatz des Ausweises in Verbindung mit Onlinedienstender Mensch zum gläsernen Menschen wird und dass Datenvermehrt und unkontrolliert in Umlauf geraten. Dazu wurdeneben <strong>and</strong>eren, teils hier schon dargestellte, Kontrollmechanismen,welche zudem durch den Inhaber des Ausweisesselbst verifiziert werden können, auch die sogenannte„Pseudonymfunktion“ etabliert. Hier errechnet der im nPAenthaltene Chip aus einem im Berechtigungszertifikat desInternetanbieters enthaltenen öffentlichen Schlüssel undeinem auf dem Personalausweis gespeicherten geheimenSchlüssel die „restricted Identifikation“. Nur dieses Pseudonymwird dann an den Diensteanbieter im Bereich desE-Commerce übermittelt, anh<strong>and</strong> dessen bei wiederholtemLogin eine richtige Zuordnung zu einem Account erfolgenkann, ohne die lästige wiederholte Eingabe aller erforderlichenProfildaten. Wird ausschließlich die Pseudonymfunktiongenutzt, erhält der Diensteanbieter keinerlei sonstigeDaten des betreffenden Bürgers. Zudem wird für jeden Internetanbieterein neues und damit unterschiedliches Pseudonymgeneriert , weshalb sich keine anbieterübergreifendenNutzerprofile anlegen lassen (Quelle: https://www.bsi-fuer-buerger.de). Aus Datenschutzsicht empfiehlt sichdiese Funktion sogar, insbesondere für Bürger, die eineVielzahl von Onlinediensten nutzen.Wenn über den eigenen Rechner Angriffe mittels Virenoder Schadsoftware erfolgen und jem<strong>and</strong> so auf AusweisdatenZugriff erlangt, dann liegt die Verantwortung nichtbeim Inhaber. Das neue Personalausweisgesetz sowiedie Personalausweisverordnung nehmen hierzu klarStellung und übertragen dem Inhaber des Ausweisessehr wohl weitreichende Verantwortung im Hinblick aufdie Nutzung der elektronischen Funktionen seines nPA.:• informationstechnische Systeme mit geeignetenAbwehrmaßnahmen gegen Sicherheitslücken nachdem St<strong>and</strong> der Technik;• Lesegeräte, die durch das Bundesamt für Sicherheitin der Informationstechnik zertifiziert wordensind;• Software zur Nutzung des eletronischen Identitätsnachweises,die durch das Bundesamt für Sicherheitin der Informationstechnik zertifiziert wordensind.“Das BSI empfiehlt dazu konkrete Maßnahmen, wie dieSicherung des eigenen Computers mit einer aktuellenVirenschutzsoftware in Verbindung mit einer Firewallsowie regelmäßige Sicherheitsupdates. Darüberhinaus sollte der Ausweis nur für die zur Durchführungder Authentifizierung notwendige Zeit in Funktionsreichweitedes Lesegerätes vorgehalten werden, wobeiausdrücklich nur zertifizierte Lesegeräte sowie diezertifizierte Software („AusweisAPP“) zur Nutzung allerFunktionen des Personalausweises empfohlen werden.Bislang sind noch keine Vorfälle bekannt, die imZusammenhang mit einer missbräuchlichen Nutzungaufgrund der vom Ausweisinhaber unzureichend getroffeneSicherheitsmaßnahmen erfolgten. Daher istnoch unklar, wie sich juristische Folgen für den Verantwortlichengestalten, aber es wird deutlich, dass derBürger sich hier in die Pflicht genommen sehen muss.Bevor wir uns nachfolgend den Möglichkeiten desnPA und seinen Funktionen zuwenden, gestatten Sieuns hier ein kleines, nachdenkliches und persönlichesFazit als Datenschutzbeauftragte aus der Ausein<strong>and</strong>ersetzungmit Kollegen, die für die Realisierung des neuennPA zuständig waren und sind.Was die Berichterstattung und die „Kinderkrankheiten“des neuen Systems betrifft, wäre es – vor allem aus derSicht der Entwickler und Hersteller – wünschenswert gewesen,wenn bei einem so wichtigen Verfahren alle In-1611/2010
Der neue Personalausweis (nPA) – Röntgenblicke durch die Datenschutzbrilleteressierten an einem Strang hätten ziehen können. Sohätten beispielsweise aktuell sehr laut gewordene Kritikerim Vorfeld die Zeit sehr sinnvoll zum Allgemeinwohl nutzenkönnen, wenn sie sich für Tests und Optimierungsvorschlägeeingesetzt hätten – zusätzlich zu denjenigen,die an solchen Tests aus dienstlichen und wirtschaftlichenInteressen an den natürlich stattgefundenen Anwendungsteststeilgenommen haben. Bei aktivem Nachfragen aufentsprechend renommierten Fachveranstaltungen konntebeispielsweise jedoch kaum ein Referent aus den BereichenDatenschutz und Datensicherheit im Vorfeld adäquateAntworten geben. Als Entschuldigung war immerwieder zu hören, „dass man den neuen Ausweisgern mal ausein<strong>and</strong>er nehmen würde“. Das hättensich die produzierenden Stellen sicherlich auch imVorfeld gewünscht: produktiv orientierte Feldtests durchvöllig unbeteiligte Stellen, sehr gerne und gerade auchdurch kritisch eingestellte Interessenten, die ruhig bis <strong>and</strong>ie Härtegrenzen hätten gehen dürfen. Auf diese Weisehätte man die eine oder <strong>and</strong>ere Lücke, die nun doch nochzutage tritt, von vorne herein vielleicht identifizieren undbeheben können. Dass ein neuer Personalausweis kommenwürde, ist bereits seit Jahren hinlänglich bekannt,Testkarten waren problemlos zu bekommen, ebenso diejeweils aktuelle Version der AusweisApp. Doch echtesEngagement hat kaum jem<strong>and</strong> von den jetzigen Kritikerngezeigt, denn wer sich eingebracht hat, wurde einbezogen.Jetzt müssen wir daher alle zusammen die Feinheitenim produktiven System gemeinsam justieren, undwenn möglicherweise daraus Folgekosten und Unannehmlichkeitenfür uns alle entstehen, liegt das zu einemgroßen Teil daran, dass rechtzeitig vorher kaum Interesseam nPA best<strong>and</strong>.Doch wenden wir uns nun in der zweiten Hälfte desArtikels einigen Möglichkeiten und Grenzen zu, die dernPA bieten kann.Ausgewählte Funktionenund deren Nutzen im ÜberblickImmer mehr Unternehmen, sowohl aus dem Bereichdes E-Business als auch des E-Government, verfügenüber entsprechende Zertifikate, welche den Einsatz desnPA in deren Geschäftsprozessen erlauben und demLinks mit weiterführenden InformationsquellenKunden, also dem Inhaber eines nPA, dadurch eineerleichterte Abwicklung beispielsweise von Onlinegeschäftenbzw. Antragstellung ermöglichen. Derzeit gibtes 43 Diensteanbieter, die schon ein solches Berechtigungszertifikatder VfB (Vergabestelle für Berechtigungszertifikate)erhalten haben. Die Liste dieser Anbieter,darunter die Bundesagentur für Arbeit, Datev eG,Schufa Holding AG, Allianz Deutschl<strong>and</strong> AG, StadtverwaltungMünster, Fujitsu Technology Solution GmbH,Stadt Hagen oder auch das Bayerische L<strong>and</strong>esamt fürSteuern, ist unter http://www.personalausweisportal.deveröffentlicht. Wir haben nachfolgend ein paar beispielhafteMöglichkeiten des nPA für Sie zusammengestellt.Nützliche Funktionen im Überblick• Mit dem nPA kann der Inhaber des Dokuments seineIdentität elektronisch nachweisen und schütztsich damit vor dem zunehmenden Identitätsdiebstahlim Internet. Nicht nur der Inhaber, sondernbeide an einem Online-Service beteiligten Stellenkönnen nun ihre Identität nachweisen. Das schafftmehr Sicherheit für beide beteiligte Parteien undfördert zudem das Vertrauen bei der Nutzung imE-Government und E-Business.• Adressenverifizierung, Plausibilitätsüberprüfungund <strong>and</strong>ere St<strong>and</strong>ardüberprüfungsprozesse werdenschneller realisierbar und dadurch wirtschaftlicher.• Mittels einer qualifizierten Signatur auf dem nPA istes dem Inhaber möglich, Vorgänge medienbruchfreielektronisch abzuwickeln, die sonst eine Unterschriftund damit das physische Aufsuchen einerentsprechend berechtigten Stelle voraussetzen,z.B. im PostIdent-Verfahren.• Aufgrund des auf dem nPA geschützt enthaltenenAlters des Inhabers ist im Bedarfsfall die Überprüfungdes erforderlichen Altersnachweises im Internetund an Automaten so einsetzbar, dass einMissbrauch ausgeschlossen werden kann.• Mit Hilfe der biometrischen Daten, wie Foto oderFingerabdruckdaten, wird dem Inhaber eine zuverlässigeund schnelle Personenkontrolle etwa bei• Personalausweisportal: http://www.personalausweisportal.de/cln_093/DE/Neue-Moeglichkeiten/Das-brauchen-Sie/das-brauchen--sie_node.html• Bundesamt für Sicherheit in der Informationstechnik: https://www.bsi-fuer-buerger.de/cln_136/BSIFB/DE/Themen/Personalausweis/TechnischeGrundlagen/technischegrundlagen_node.html• Bundesministerium des Inneren http://www.bmi.bund.de/cln_156/DE/Themen/Sicherheit/PaesseAusweise/ePersonalausweis/ePersonalausweis_node.html• Ausweis Portal – das Portal, wenn Sie unternehmerische nPA-Lösungen anstreben: http://www.ausweis-portal.de/index.php/personalausweis• Weitere Informationen und direkte Beratung finden Sie zusätzlich bei der jeweiligen Ausweisbehörde des für Sie zuständigenBürgeramteshakin9.org/de 17