Lob und Tadel für den elektronischen Personalausweis

Der eID-Funktion des neuen Personalausweises liege "ein intelligentes und datenschutzfreundliches Konzept" zugrunde, lobte der Bundesdatenschutzbeauftragte Peter Schaar in einer Podiumsdiskussion auf dem Chipkarten-Kongress Omnicard. Es erlaube den Bürgern im elektronischen Geschäftsverkehr über das Internet die klare Unterscheidung "zwischen Identifizierung, Authentisierung und Autorisierung". Bei jeder Transaktion könnten sie entscheiden, in welchem Umfang sie personenbezogene Daten über sich preisgeben. Gleichwohl sparte Schaar nicht mit Kritik an dem Projekt, bei dem das Roll-out der Ausweise im Scheckkartenformat vom 1. November an bevorsteht.

Zum einen sieht er die Gefahr, dass diese Differenzierung von den Webshop-Betreibern unterlaufen wird und in der Praxis quasi automatisch "jedesmal, wenn der elektronische Personalausweis eingesetzt werden kann, tatsächlich die Identifizierung abverlangt wird". Zum anderen wies er darauf hin, dass der Staat mit der eID "eine neue Schlüsselfunktion" zwischen Konsumenten und Diensteanbietern einnimmt und durch die Zertifikatausteilung und -entziehung "eine enorme Macht ausübt", ohne dass geklärt wurde, an welche Voraussetzungen dies geknüpft ist und welche Vorstellung von Zuverlässigkeit des Diensteanbieters dem zugrunde liegt. "Das sind Fragestellungen, die noch nicht wirklich zu Ende gedacht worden sind", bedauerte der Bundesdatenschutzbeauftragte. Die Zuverlässigkeit sei im Gesetzgebungsverfahren durch eine dahingehende bloße Vermutung ersetzt worden; sie an ein Datenschutzaudit zu knüpfen, "war offenbar nicht durchsetzbar". Der Zugriff auf Identitätsdaten sollte jedoch "nur solchen privaten Stellen gewährt werden, die sich einem Datenschutzaudit unterwerfen", bekräftigte er seine Position und forderte, dies zu gegebener Zeit im Rahmen einer "ergebnisoffenen und objektiven Evaluation" des elektronischen Personalausweises wieder auf die Tagesordnung zu setzen.

Die Forderung der Kopplung sei im parlamentarischen Verfahren zum Personalausweisgesetz diskutiert worden, entgegnete der IT-Direktor im Bundesinnenministerium, Martin Schallbruch; aber es gebe noch kein Datenschutzauditgesetz. Grundsätzlich bestünde aber die Möglichkeit, dass die Vergabestelle für Berechtigungszertifikate (VfB) beim Bundesverwaltungsamt eine erteilte Berechtigung im Missbrauchsfall wieder entzieht. Natürlich hätte man sich die Voraussetzungen solcher Eingriffe juristisch noch "sehr viel schärfer" formuliert vorstellen können, diese unterlägen jedoch "allen möglichen Rechtsgebieten". Voraussetzung eines Entzugs sei jedenfalls nicht nur ein eklatanter Datenmissbrauch, "die Gesetzesformulierung ist durchaus etwas weiter gefasst", und ob sie auch die von Verbraucherschützern immer wieder beklagten Abo-Fallen und Koppelgeschäfte im Internet umfasse, müsse man sehen. "Da werden wir Erfahrungen sammeln müssen". Im Vergleich zum privatwirtschaftlichen Gebrauch des Personalausweises in Offline-Geschäften, wo kein Kunde kontrollieren könne, was mit den Daten geschieht, wenn sich der Vertragspartner eine Kopie zieht, sei die eID im E-Commerce aber "ein Riesenfortschritt".

Die Vertreterin der Verbraucherzentrale Bundesverband, Cornelia Tausch, bemängelte die Diskrepanz zwischen den bislang unzureichenden Informationen und der Art, wie die eID "im Augenblick als Heilmittel transportiert" werde. "Die meisten Verbraucher sind noch gar nicht informiert", klagte sie, "weder über die Vorteile noch gegebenenfalls die Risiken". Sie empfahl, nicht nur die Systeme und Software, sondern auch die offiziellen Verlautbarungen und Publikationen vorab daraufhin zu prüfen, ob sie von weniger technikaffinen Verbrauchern richtig verstanden werden. Denn gegen viele Missbrauchsarten wie Abo-Fallen, Koppelgeschäfte in Gestalt einer über den eigentlichen Vertragszweck hinausgehenden Erhebung von Daten und beim Bezahlen im Internet "in hohem Umfang" festzustellenden Missbrauch mit Kontodaten werde die eID nicht schützen, deshalb sollte man auch "keine Versprechungen machen, die der elektronische Personalausweis nicht erfüllen kann".

Amtliche Ampeln und Verkehrszeichen würden auch nicht jeden Verstoß gegen die Straßenverkehrsordnung ausschalten, konterte Schallbruch. Missbrauch gibt es auch mit dem alten Personalausweis; die eID bringe zusätzliche Sicherheitsfeatures, "aber man wird nicht alles damit ausschließen können". Er gestand aber ein, "das müssen wir kommunizieren". Im Sommer werde dazu eine allgemeine Öffentlichkeitskampagne gestartet. Schallbruch verteidigte auch die als Neusprech kritisierte Umbenennung des ePA in nPA, den 'neuen Personalausweis'. "Wir haben festgestellt, dass andere Funktionen, wie zum Beispiel das kleinere Format der Karte, Teile einer großen Veränderung sind, deshalb erschien es uns besser, das alles kommunikativ zusammenzufassen", erläuterte er.

"Wir können mit dem elektronischen Personalausweis nicht alle Probleme lösen, die wir haben", schloss sich Datev-Chef Dieter Kempf als Vertreter des Bitkom-Präsidiums der Argumentation Schallbruchs an. Der Industrie sei wichtig, "möglichst schnell eine relevante Flächendeckung" zu erreichen. Das Augenmerk richte der Bitkom auf die Altersgruppe der 16-Jährigen, die erstmals das amtliche Ausweisdokument erhalten werden. Für sie wünscht sich der Verband zielgruppengerechte Anwendungen der eID und plant, gemeinsam mit Deutschland sicher im Netz (DSiN) demnächst einen entsprechenden Wettbewerb auszuschreiben. Diese Jugendlichen sollten die Lesegeräte kostenlos erhalten, forderte er und empfahl, sich "erst einmal mit den Chancen zu beschäftigen, als mit den Problemen".

Siehe dazu auch:

• Elektronischer Personalausweis: Hart im Zeitplan
• Der ePA ist tot, es lebe der "neue Personalausweis"
• Digitaler Identitätsnachweis, Der elektronische Personalausweis soll Sicherheit und Komfort bringen

(jk)