Zurück zum Inhaltsverzeichnis des 37. Tätigkeitsbericht
Das vom BMI vorgelegte Grobkonzept zum elektronischen Personalausweis, zu dem ich Gelegenheit hatte, gegenüber dem BMI eine Stellungnahme abzugeben, enthielt Schwachstellen, die auch das inzwischen verabschiedete Gesetz noch teilweise beinhaltet. Das Konzept verfolgt die Schaffung einer multifunktionalen Bürgerkarte, ohne allerdings die Risiken der angebotenen Möglichkeiten ausreichend zu beleuchten.
3.1.1
Der neue Personalausweis
3.1.1.1
Gründe der Bundesregierung für Änderungen am Personalausweis
Bei den Überlegungen, wie ein zukünftiger Personalausweis aussehen kann, hat die Bundesregierung versucht, mehrere Ziele unter einen Hut zu bringen.
Der Personalausweis soll weiterhin als hoheitliches Dokument dem Identitätsnachweis dienen und in Europa als Reisedokument gültig sein. Es wurde auch die Notwendigkeit gesehen, neue Sicherheitsvorkehrungen gegen eine unbefugte Nutzung oder Fälschungen zu ergreifen.
Eine ganz wesentliche Überlegung war aber, dem Bürger ein neues Instrument für die Nutzung des Internets zur Verfügung zu stellen. Die Bundesregierung will den Bürger bestärken, das Internet im Kontakt zur Wirtschaft (eCommerce) und zur Verwaltung (eGovernment) zu nutzen. Bisher gibt es dabei im Vergleich zu den herkömmlichen Abläufen aber wesentliche Probleme. Während man sich gegenüber der Verwaltung und in Geschäften heute durch Vorlage seines Personalausweises identifizieren kann, gibt es derzeit im Internet keine vergleichbare Möglichkeit. Ähnlich sieht es mit der Unterschrift aus. Hier existiert zwar das elektronische Äquivalent in Form der qualifizierten elektronischen Signatur, aber sie ist längst noch nicht verbreitet.
Der neue elektronische Personalausweis (ePA) soll für all diese Szenarien die richtige Lösung bieten.
3.1.1.2
Das Grobkonzept
Die Überlegungen wurden in einem Grobkonzept konkretisiert, das Mitte 2008 in der Version 2.0 zur Kommentierung veröffentlicht wurde.
3.1.1.2.1
Funktionen
Bisher diente der Personalausweis als Identitätsnachweis in verschiedenen Lebenslagen (z.B. als Reisedokument bei hoheitlichen Kontrollen, gegenüber Behörden und auch im Geschäftsverkehr, insbesondere für den Altersnachweis und für andere Nachweise). Diese Funktionen sollen weiterhin durch den ePA erfüllt werden, der bezüglich der Sicherheitsfunktionen an den elektronischen Reisepass (ePass) angeglichen wird. Darüber hinaus will die Bundesregierung, dass die Identifizierung im Geschäftsverkehr über das Internet unterstützt wird, so dass auch im Internet rechtsverbindlich Verträge abgeschlossen werden können. Weiterhin soll im Internet die Möglichkeit der pseudonymen Nutzung unterstützt werden.
Verpflichtend soll nur eine Ausweisfunktion analog dem bisherigen Personalausweis sein. Andere Funktionen sollen dem Bürger als Option angeboten werden:
3.1.1.2.2
Technik
Technisch betrachtet soll es sich beim ePA um eine Chipkarte mit kontaktloser Schnittstelle, eine sogenannte RFID-Technik (vgl. 34. Tätigkeitsbericht, Ziff. 4.2), nach ISO 14443 handeln. Auf der Vorder- und der Rückseite werden wie beim bisherigen Personalausweis das Lichtbild und die Daten zur Person gedruckt. Außerdem soll eine Zugangsnummer aufgebracht werden.
Über die kontaktlose Schnittstelle kann mit einem Lesegerät der Chip angesprochen werden. Der Chip ist dabei als ein Kleinstrechner zu betrachten, auf dem Daten gespeichert und verarbeitet werden und der die Zugriffe auf die Daten kontrolliert. Um auf die Daten zugreifen zu können, werden Berechtigungszertifikate benötigt, an denen der Chip erkennt, welche Funktion genutzt werden soll. Im Prinzip werden vier Funktionen unterschieden: hoheitliche Identitätsfeststellung unter Zugriff auf die Fingerabdrücke, Zugriff durch Behörden bei vorgelegtem Ausweis, eGovernment und eBusiness. Eine fünfte Funktion, die elektronische Signatur, arbeitet zwar auch mit Zertifikaten bei der Signaturerstellung, jedoch sind damit keine Zugriffsberechtigungen von außen verbunden.
|
Definition
Ein Berechtigungszertifikat ist eine Datei, die von einer dazu vorgesehenen Stelle ausgegeben wird und die zulässigen Zugriffsrechte beschreibt. Es ist entweder im Lesegerät gespeichert und weist dieses als berechtigt aus, oder es wird über das Internet präsentiert. Die Chipkarte kann die Echtheit prüfen und dann die entsprechenden Daten für den Zugriff freigeben. |
Wenn ein Diensteanbieter die Funktion nutzen will, muss er dem Bürger die o.g. Daten anzeigen. Der Bürger kann die laut Zertifikat zu übermittelnden Daten akzeptieren. Er kann auch teilweise Daten von der Übermittlung streichen, wenn es für den Anbieter keine Pflichtfelder sind. Gibt er anschließend seine PIN ein, so generiert der Ausweis aus den freigegebenen Daten den gemäß dem Zertifikat gewünschten Nachweis und übermittelt diesen an den Diensteanbieter.
Diese Funktion „Identifizierung im Internet“ muss auf dem Ausweis aktiviert sein. Bei volljährigen Personen ist im Konzept vorgesehen, den Ausweis mit der aktivierten Funktion auszuliefern, so dass der Bürger sie deaktivieren lassen muss. Bei nicht volljährigen Personen soll sie bei Auslieferung deaktiviert sein. Sie kann dann auf Wunsch aktiviert werden.
3.1.2
Fragestellungen und Probleme
Auch wenn das Konzept als solches bürgerfreundlich erscheint, bleiben Schwachstellen. Angesichts der rechtlichen, organisatorischen und technischen Komplexität des Vorhabens stellt sich bereits die Frage, ob der Ansatz sinnvoll ist. Dass der Bürger einen Ausweis besitzen soll, damit er seine Identität nachweisen kann, ist unstreitig. Es werden jedoch nur die tatsächlichen oder angenommenen Vorteile des Ansatzes im Konzept beschrieben, während eine Betrachtung der Risiken fehlt. Da praktisch jeder Bürger den ePA erhalten wird, müssen auch die Probleme betrachtet werden. Unter der Annahme, dass der Ansatz wie beschrieben weiter verfolgt wird, sehe ich folgende Probleme:
3.1.2.1
Freiwilligkeit
Bei drei Komponenten kann sich der Bürger entscheiden, ob er sie nutzen will. Dies betrifft die qualifizierte elektronische Signatur (QES), die Speicherung von Fingerabdrücken und die Möglichkeit des Identitätsnachweises im Internet.
Bei der qualifizierten elektronischen Signatur (QES) kann man von einer echten Freiwilligkeit ausgehen. Es gibt keinen Zwang QES zu nutzen. Falls Bürger diese Funktion jedoch wünschen, müssen sie sich diese nicht auf dem ePA zur Verfügung stellen lassen. Es gibt eine Reihe von etablierten oder kommenden Alternativen. Beispiele sind Signaturkarten von akkreditierten Zertifizierungsdiensteanbietern, die EC-Karte der Sparkassen und die geplante Gesundheitskarte.
Die Freiwilligkeit bei der Speicherung von Fingerabdrücken oder der Funktion „Identifizierung im Internet“ ist zumindest nicht zwangsläufig gegeben. Es ist denkbar, dass zukünftig Kontrollen länger dauern, wenn ein Ausweis ohne Fingerabdrücke vorgelegt wird. Genauso ist es vorstellbar, dass jemand ungünstigere Konditionen erhält, wenn er sich nicht mit dem ePA im Internet identifiziert.
Zur Sicherstellung der Freiwilligkeit muss gewährleistet sein, dass:
3.1.2.2
RFID
Beim jetzigen elektronischen Reisepass sehe ich aufgrund der Sicherheitsvorkehrungen keine massiven Sicherheitsprobleme durch den Einsatz von Chipkarten mit einer RFID-Technik auf Basis von ISO 14443. Dies habe ich in meinem 34. Tätigkeitsbericht (Ziff. 4.2) beschrieben. Diese Einschätzung lässt sich für den ePA nur treffen, wenn tatsächlich vergleichbare Sicherheitsmaßnahmen ergriffen werden.
3.1.2.3
Speicherung von Fingerabdrücken; Biometrie
Ziel der Speicherung von Fingerabdrücken ist es nicht, Fälschungen von Personalausweisen zu verhindern, da diese bereits heute kaum auftreten und in der Regel schnell erkannt werden. Es soll vielmehr verhindert werden, dass ähnlich aussehende Personen den ePA verwenden und damit eine fremde Identität missbrauchen. Durch den Abgleich der präsentierten Fingerabdrücke mit den auf dem ePA gespeicherten Merkmalen soll sichergestellt werden, dass die Person, die den Ausweis verwendet, tatsächlich der Ausweiseigentümer ist. Der ePA soll so als Identitätsnachweis dienen.
Wenn eine missbräuchliche Nutzung, wie im Konzept festgestellt, mit an Sicherheit grenzender Wahrscheinlichkeit aufgedeckt wird, ist zwangsläufig die Rate der fälschlich nicht erkannten Übereinstimmungen zwischen gespeichertem und präsentiertem Fingerabdruck groß. In dem Konzept wird nicht auf Probleme eingegangen, die sich durch fälschliche Zurückweisung von Ausweisinhabern oder gefälschte Fingerabdrücke ergeben. Diese Punkte müssen aber berücksichtigt werden, wenn die Konsequenzen des Einsatzes der Biometrie im Zuge von Kontrollen geregelt werden, bei denen es zu technikbedingten fehlerbehafteten Ergebnissen kommt.
Ich halte es für sinnvoll, die Erfahrungen mit dem ePass abzuwarten und zu evaluieren, bevor die Entscheidung für die Speicherung von Fingerabdrücken im Personalausweis getroffen wird.
Dies gilt umso mehr, als der Fingerabdruck ein Überwachungspotenzial besitzt. Während man seinen Fingerabdruck an vielen Stellen hinterlässt, sind andere biometrische Merkmale datenschutzfreundlicher. Dies gilt beispielsweise für die Iris oder das Venenmuster. Sie können ebenfalls zur Identifizierung genutzt werden, haben aber kein oder nur ein geringes Überwachungspotenzial. Die Entscheidung für den Fingerabdruck fiel, um an Grenzkontrollstellen eine einheitliche Technik für ePA und ePass einzuführen. Insofern erbt der ePA die Schwächen des ePass.
3.1.2.4
Identitätsnachweis im Internet und PIN
Die Identifizierung im Geschäftsverkehr über das Internet soll durch Freigabe von Daten mittels einer PIN erfolgen. Die Probleme der PIN-Nutzung sind, insbesondere seit der Einführung der elektronischen Gesundheitskarte, in den dortigen Testregionen bekannt: es gibt Bevölkerungsgruppen, die mit der Technik nicht angemessen umgehen können. Diese Gruppen können dann auch nicht problemlos die Funktion des ePA nutzen. Falls sich wie unter Ziff. 3.1.2.1 dargestellt ein faktischer Zwang ergibt, können die betroffenen Bürger nur mit Einschränkungen am Geschäftsverkehr im Internet mittels des ePA teilnehmen.
3.1.2.5
Zugriffe auf Daten und Zertifikate
Der Datenzugriff wird nach dem Konzept weitgehend über Berechtigungszertifikate, also elektronische Zugriffsberechtigungsnachweise geregelt (vgl. Ziff. 3.1.1.2.2). Die Zertifikate lassen sich dabei zwei Bereichen zuordnen:
3.1.2.6
Löschen von Daten
Fingerabdrücke, die während des Antragverfahrens im IT-System der Behörde gespeichert werden, sind frühestmöglich zu löschen. Diese Forderung ist bereits heute für den ePass umgesetzt (vgl. Ziff. 5.2).
Da die Fingerabdrücke nur als Option gespeichert werden, müssen sie im ePA gelöscht werden, wenn ein Bürger die Speicherung nicht mehr wünscht. Dies ist ein Unterschied zum ePass. Aber auch alle anderen fakultativen Daten wie die Signaturzertifikate müssen gelöscht werden, wenn der Bürger dies verlangt.
Diese Daten müssen auch gelöscht werden, wenn der ePA zurückgegeben wird.
3.1.2.7
Verlust
Zusammen mit einem PIN/PUK-Brief soll der Ausweisinhaber das Sperrkennwort erhalten, mit dem er bei Abhandenkommen des Ausweises die Funktion „Identifizierung im Internet“ sperren lassen kann. Bisher ist eine telefonische Sperre vorgesehen, ohne dass klar ist, wie die Abläufe genau aussehen.
Für die qualifizierte Signatur würde sich ein anderer Ablauf ergeben. Analog zu Signaturkarten muss bei dem Zertifizierungsdienstanbieter, der die Signaturzertifikate ausgestellt hat, der Verlust gemeldet werden. Von dort würde die Sperrung des Zertifikats vorgenommen.
Die Abläufe bei einem Verlust oder Diebstahl des Ausweises müssen noch detaillierter geregelt und beschrieben werden. Insbesondere benötigt der Bürger eine Beschreibung, wie er in diesen Fällen vorgehen muss.
3.1.2.8
Technik
Die Konzeption des BMI sieht eine kontaktlose Schnittstelle (beispielsweise wie bei Zutrittskontrollsystemen) vor, um die gleiche Infrastruktur wie beim elektronischen Reisepass nutzen zu können. Dadurch kommt es zu einer Konkurrenz mit den weit verbreiteten Chipkarten die kontaktbehaftet arbeiten, denn bisher sind keine Kartenlesegeräte verfügbar die beide Schnittstellen unterstützen. Für den Bürger heißt das, dass er vor der Situation steht, entweder auf die Funktionalitäten des ePA verzichten zu müssen oder ggf. zwei Lesegeräte anzuschaffen. Da bisher an Kunden fast nur kontaktbehaftete Karten wie EC-Karten oder Signaturkarten ausgegeben wurden und auch die eGK (elektronische Gesundheitskarte) kontaktbehaftet sein wird, wäre es naheliegend gewesen, darauf aufzubauen.
Es ist im Konzept kein Vergleich zwischen den beiden Techniken bezüglich ihrer Vor- und Nachteile erfolgt. Das gilt auch für den Bereich IT- Sicherheit. Dies ist ein Manko, da gerade die RFID-Schnittstelle Angriffsflächen bietet. Selbst wenn man – wie ich – gegen die hoheitliche Identitätsfeststellung mit den Sicherheitsmechanismen des ePass keine Bedenken hat, kann diese Feststellung nicht einfach auf den ePA und alle seine Funktionen übertragen werden. Hier sind weitergehende Betrachtungen und Bewertungen nötig. Dies gilt insbesondere, da derzeit nur kontaktbehaftete Chipkarten für QES zugelassen sind. Hier sind Lösungen auf Basis des vorhandenen Signaturgesetzes zu betrachten. Es ist im Konzept nicht ausreichend dargelegt, dass für alle Einsatzszenarien eine ausreichende IT-Sicherheit gegeben ist.
Damit das System wie konzipiert funktioniert, muss die Software die Spezifikationen einhalten. Das betrifft beispielsweise die Zugriffskontrolle durch die Karte, also die Zertifikatsprüfungen, aber auch die Funktion des Verweigerns von Datenübermittlungen. Es fehlt eine Festlegung, ob und welche Komponenten inkl. der Software zertifiziert werden, welche Kriterien gelten und durch wen die Zertifizierung erfolgt.
Es muss geregelt sein, wie zu verfahren ist, wenn der Chip defekt ist. Betroffene, die die Internet-Funktionen nutzen, müssen wissen, wie sie in diesem Fall verfahren sollen. Auch wenn die Maßnahmen weitgehend mit den bei einem Verlust des ePA zu veranlassenden identisch sein werden, ist eine Information erforderlich. Falls bei einer Kontrolle der Chip nicht funktioniert, stellt sich die Situation anders dar. Hier muss es wie im Fall von falschen Ergebnissen bei der Überprüfung mittels Biometrie (Ziff. 3.1.2.3) Regelungen und Hinweise sowie eine Handlungsanleitung für das Kontrollpersonal geben.
3.1.3
Umsetzung im Gesetz
Am 18. Dezember 2008 hat der Deutsche Bundestag das auf dem Grobkonzept basierende Personalausweisgesetz (PAuswG) verabschiedet. Dabei sind einige meiner Kritikpunkte entschärft bzw. ausgeräumt worden.
Zur Freiwilligkeit gibt es Klarstellungen. Aufgrund der Beschlussempfehlung des Innenausschusses vom 17. Dezember 2008 ist in § 9 Abs. 3 PAuswG explizit formuliert worden, dass dem Ausweisinhaber keine Nachteile durch den Verzicht auf Aufnahme der Fingerabdrücke in den Ausweis entstehen dürfen. Meine grundsätzlichen Vorbehalte gegen die Aufnahme von Fingerabdrücken als biometrisches Merkmal, die ich in meiner Stellungnahme erläutert hatte, bestehen weiterhin. Es war auch der Wille, für die Funktion „Identifizierung im Internet“ die Freiwilligkeit sicherzustellen. Leider ist für volljährige Personen weiterhin bei Auslieferung die Funktion aktiv und wird nur auf Wunsch deaktiviert. Allerdings muss die antragstellende Person schriftlich nach § 11 PAuswG über diese Funktion informiert werden, diese Unterrichtung schriftlich bestätigen und nach § 10 Abs. 1 PAuswG schriftlich erklären, dass sie die Funktion nutzen will. Die antragstellende Person ist zumindest informiert und kann sich dann entscheiden. Sie muss aber vor allem auch ihre Pflichten nach § 27 PAuswG beachten, die sie praktisch zum vorsichtigen Umgang mit dem Ausweis zwingt. Inwieweit dies in der Praxis immer gelingen kann, vor allem da immer wieder Ausweise hinterlegt werden sollen, sei dahingestellt.
Ausführungen, wie beim Verlust eines Ausweises zu verfahren ist, finden sich an vielen Stellen des Gesetzes. Dies sind beispielsweise die §§ 10, 11 und 27 PAuswG. Hierzu sollte es klarstellende, zusammenfassende Informationen geben, die Teil des Informationsmaterials sein könnten, das der antragstellenden Person nach § 10 Abs. 2 PAuswG zu übergeben ist.
Was die eingesetzte RFID-Technik, Fragen der Datensicherheit und andere Themen betrifft, so wird in § 34 PAuswG das BMI ermächtigt, Einzelheiten durch Rechtsverordnung zu regeln. Zu den von mir hierzu aufgeführten Problemen gibt es daher noch keine neuen belastbaren Aussagen. Allerdings wird bei den Berechtigungszertifikaten nach § 2 Abs. 4 PAuswG nur noch zwischen hoheitlichen Berechtigungszertifikaten, die ausschließlich für die hoheitliche Tätigkeit der Identitätsfeststellung zu verwenden sind, und sonstigen Berechtigungszertifikaten unterschieden. Insofern wird es gegenüber dem Konzept Änderungen bei der Ausgestaltung von Zugriffsrechten geben. Die Vergabe der nicht hoheitlichen Berechtigungszertifikate ist in § 21 PAuswG behandelt, wobei Einzelheiten zur Vergabe von Berechtigungen und Berechtigungszertifikaten aber wiederum erst in den nach § 34 PAuswG vorgesehen Rechtsverordnungen geregelt werden.
Eine Aussage halte ich im Zusammenhang mit technischen Problemen für wichtig. § 28 Abs. 3 PAuswG lautet: „Störungen der Funktionsfähigkeit des elektronischen Speicher- und Verarbeitungsmediums berühren nicht die Gültigkeit des Personalausweises.“
Durch die im Gesetz getroffenen Regelungen gibt es somit Klarstellungen und Verbesserungen bei der Freiwilligkeit und der Transparenz der möglichen Datenverarbeitungen. Eine Beurteilung der Technik und technische Details ist aber noch nicht abschließend möglich.
3.1.4
Fazit
Der elektronische Personalausweis kann neue technische Möglichkeiten eröffnen und dem Bürger auch im täglichen Leben helfen. Die nach dem Konzept wesentlichen Punkte müssen aber erfüllt werden:
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat auf die Bestrebung des Bundesarbeitsministeriums hingewiesen, die vom Bundesverfassungsgericht für verfassungswidrig erklärten Arbeitsgemeinschaften (von Kommunen und Arbeitsagenturen) durch Zentren für Arbeit und Grundsicherung zu ersetzen. Die bisherige Datenschutzkontrolle durch die Landesbeauftragten für den Datenschutz soll entfallen. Ein solcher Ausschluss der Landesbeauftragten von der Datenschutzkontrolle wäre jedoch datenschutzrechtlich verfehlt und verfassungswidrig.
Nach Angaben des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) ist geplant, an die Stelle der bisherigen, vom BVerfG (Urteil vom 20. Dezember 2007 – 2 BvR 2434/04) für verfassungswidrig erklärten Arbeitsgemeinschaften von Kommunen und Arbeitsagenturen (ARGE, § 44b SGB II) sog. Zentren für Arbeit und Grundsicherung (ZAG) treten zu lassen. Der Zweite Senat des BVerfG hat mit knapper Mehrheit (5 : 3) gerügt, die ARGE als Gemeinschaftseinrichtungen seien von der Kompetenzordnung des GG nicht gedeckt und stünden mit dem Grundsatz eigenverantwortlicher Aufgabenwahrnehmung von Bund und Ländern nicht im Einklang. Es liege eine unzulässige und damit verfassungswidrige Mischverwaltung von Bund und Ländern vor. Vor diesem Hintergrund plant das Bundesarbeitsministerium, anstelle der bisherigen ARGE zukünftig ZAG zu errichten. Soweit die ZAG Leistungen für die Bundesagentur für Arbeit erbringen, soll der Bund die Rechts- und Fachaufsicht innehaben, im Übrigen soll für die Leistungen der Kommunen die Aufsicht bei den Ländern liegen. Eine grundgesetzliche Bestimmung soll die verfassungsrechtliche Basis liefern.
Die datenschutzrechtliche Brisanz der Reformüberlegungen liegt darin begründet, dass für die Datenschutzkontrolle zukünftig anders als bisher ausschließlich der BfDI zuständig sein soll, obwohl die Länder (Kommunen) bei den ZAG involviert sein werden.
Ein solcher Ausschluss der Kontrollrechte der LfD würde auf eine gravierende Verschlechterung des Datenschutzes hinauslaufen. Die bisherige und mittlerweile gut eingespielte Kooperation von BfDI und LfD bei den ARGE würde entfallen. Allein kann der BfDI an Datenschutzkontrolle nicht das schultern, was in Zusammenarbeit und vor allem durch Arbeitsteilung mit den LfD möglich ist. Außerdem würde die Effektivität der behördlichen Datenschutzbeauftragten gemindert, weil deren Zusammenwirken mit den LfD praktikabler ist als die Abstimmung mit dem BfDI.
Datenschutzrechtlich wäre wünschenswert, dass die derzeitige Konstellation durch eine entsprechende verfassungsrechtliche Regelung ausdrücklich gestattet und die bisherige Tätigkeit des BfDI und der LfD gesetzlich festgeschrieben wird. Dies bedeutet etwa beim Einsatz einer einheitlichen Informationstechnik für die ZAG die Zuständigkeit des BfDI; die Überprüfung beispielsweise des Außendienstes (§ 6 SGB II) fiele in die Zuständigkeit der LfD (vgl. zum Außendienst Ziff. 4.8.1).
Eine ausschließliche Zuständigkeit des BfDI und die damit einhergehende Verdrängung der LfD muss auch an der Vorgabe des Art. 30 GG gemessen werden.
|
Art. 30 GG
Die Ausübung der staatlichen Befugnisse und die Erfüllung der staatlichen Aufgaben ist Sache der Länder, soweit dieses Grundgesetz keine andere Regelung trifft oder zulässt. |
Vor diesem Hintergrund habe ich mich gegenüber dem BfDI für die weitere Zuständigkeit der LfD betreffend das SGB II ausgesprochen. Diese Position wird auch vom BfDI vertreten.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 37. Tätigkeitsbericht