Von Ralf Keuper

Im April fand im Innenausschuss des Bundestags eine Anhörung über den neuen Personalausweis (nPA) unter Vorsitz von Ansgar Heveling (CDU/CSU) statt. Zur Diskussion stand der Entwurf eines Gesetzes zur Förderung des elektronischen Identitätsnachweises. Als Sachverständige eingeladen waren:

• Jens Fromm, IT-Dienstleistungszentrum Berlin
• Prof. Dr. Bernd Holznagel, LL.M., Universität Münster
• Dr. Constanze Kurz, Chaos Computer Club, Berlin
• Prof. Dr. Marian Margraf, Freie Universität Berlin
• Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Bonn
• Jürgen H. Müller, Ministerialdirigent, Referatsgruppenleiter 2, Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Bonn

Herr Fromm

In seinem Statement hob Jens Fromm, der seinerzeit am Fraunhofer Institut bei der Entwicklung des neuen Personalausweises mitgearbeitet hat, hervor, dass die Technik des nPA immer noch state of the art in Fragen der Sicherheit sei und über dem Durchschnitt vergleichbarer Lösungen in Europa liege.

Im Rückblick müsse man jedoch einräumen, die Nutzer nicht mitgenommen zu haben. In Deutschland hätten wir gleich einen Mercedes hingestellt, der von der Bedienung her zu komplex ist. Andere Länder, wie Irland, seien hier geschickter vorgegangen, indem sie ein schrittweises Vorgehen gewählt hätten.

Dass die Online-Funktion des nPA on default freigeschaltet werden soll, hält Fromm für richtig. Die Vereinfachung der Beantragung der Berechtigungszertifikate (Organisations-und nicht mehr zweckgebunden) ergibt ebenfalls Sinn. Das Vorort-Auslesen des nPAs sei ein wichtiger Schritt, um die Akzeptanz bei den Bürgern zu erhöhen.

Um die Verbreitung des nPA, die noch immer weit hinter den Erwartungen zurück bleibt, zu erhöhen, seien eine verstärkte Werbung und die Lancierung von Anwendungen aus dem Bereich eGovernment nötig.

Herr Prof. Holznagel 

Für die Steigerung der Akzeptanz empfiehlt Prof. Holznagel gleichfalls erhöhte Werbeanstrengungen. Nicht nachvollziehbar sei die Kürzung des Werbeetats von 21 auf 3 Mio. Euro. Sinnvoll seien Schulungsmaßnahmen.

Frau Dr. Kurz

Frau Dr. Kurz gibt nationalen Identifizierungslösungen gegenüber internationalen, wie der Mobile ID und den Lösungen der Internetkonzerne, nur geringe Chancen. Letztere seien von der Bedienbarkeit und der Technologie her weitaus attraktiver als die staatlichen Lösungen. Die staatlichen Angebote müssten ausgedehnt werden.

Keinesfalls dürfe es zu einer Vermischung hoheitlicher Aufgaben und den Angeboten aus dem privatwirtschaftlichen Sektor kommen, d.h. mit eID angelegte Identitätsprofile gehören unter staatliche Hoheit und nicht in die Hände des Privatsektors.

Ausweis- und Passkopien sieht Dr. Kurz kritisch, da immer mehr Daten kopiert würden als nötig. Zu bemängeln sei auch, dass auf die Risiken, insbesondere bei der Verwendung der Lesegeräte, nicht ehrlich hingewiesen würde.

Eine Ausweitung der Datenlieferung an Geheimdienste lehnt Frau Dr. Kurz ab.

Herr Prof. Margraf

Für Prof. Margraf ist die Vorort-Nutzung des nPAs die größte Hürde. Es dürften nur so viel Daten wie nötig ausgelesen werden. Die Identifizierungsanbieter müssten – auch mit Blick auf das Thema Tracking – hohen Datenschutzanforderungen genügen. Daten müssten sofort gelöscht werden.

Herr Müller

Die Nutzung des nPAs sollte nicht verpflichtend sein, was auch im Gesetz selbst festgehalten werden sollte. Bei der organisationsgebundenen Zertifikatsvergabe besteht die Gefahr, dass mehr Daten als nötig ausgelesen werden. Der Zweck der Datenübermittlung muss daher mitgeteilt werden. Einen automatisierten Abruf für Nachrichtendienste lehnt Herr Müller ab.

Herr Prof. Schönbohm

Prof. Schönbohm erwähnt lobend Initiativen/Standards wie die fido alliance.

Die eID sei das einzige System auf Basis staatlich verifizierter Identitäten auf hohem Sicherheitsniveau. Andere Verfahren dienten dagegen der Authentifizierung.

Die Sicherheit des nPA ist durch Kryptochip und der PIN weitestmöglich gegeben. Der nPA ist datenschutzfreundlich, da der Nutzer entscheiden kann, welche Daten er freigeben will.

Weitere Aussagen im Verlauf der Anhörung und der Fragerunde der Abgeordneten der verschiedenen im Bundestag vertretenen Fraktionen:

• Die Marktmacht der Internetkonzerne wird für die nötige Marktdurchdringen für Identitätslösungen, wie der MobileID, sorgen. Die Marktmacht des Staates ist dafür nicht ausreichend. Zwar würden die Lösungen den deutschen Perfektionsanspruch nur selten genügen, was aber für die Verbreitung nicht entscheidend sei.
• Durch eine Kopplung der Mobile ID an die Sim-Karte würde eine Internationalität und Verbreitung aus dem Stand erreicht. Estland, das gerne als Beispiel genannt wird, erfüllt nicht denselben Sicherheitsstandard wie in Deutschland. Allerdings habe man dort anders als in Deutschland bei der Verbreitung nicht auf das Prinzip Hoffnung mittels Freischaltung gesetzt, sondern den Bürgern E-Government-Lösungen bereit gestellt.
• Die eID ist nach wie vor technisch top. Kein Land hat ein vergleichbar hohes Sicherheits- und Datenschutzniveau wie Deutschland.
• Bei der Datenspeicherung besteht die Gefahr der Entstehung von Schattendatenbanken
• Europa verfügt über keine relevante Internetkonzerne wie in den USA oder China. Was das angeht, liegen wir in Deutschland sehr weit zurück.  Wollen wir bei der Identifizierung von großen Konzernen abhängig sein?
• Hoheitliche Transaktionen dürfen nicht in den Händen privater Unternehmen liegen, wie in China mit Alibaba/Alipay.
• In Berlin läuft ein Projekt mit der eID-Funtkion für die Parkraumbewirtschaftung an. Der nPA ist wichtig für die Erstidentifizierung,  als Grundlage für darauf aufsetzende kommerzielle Lösungen