Ab dem 01. November 2010 wird von den deutschen Behörden nur noch der elektronische Personalausweis ausgestellt und damit auf längere Sicht der bisherige Ausweis komplett ersetzt. Die Einführung des neuen elektronischen Personalausweises basiert auf dem Gesetz über Personalausweise und den elektronischen Identitätsnachweis (kurz Personalausweisgesetz, PAuswG) von Ende 2008.
Nachdem der Bundesrat bereits im Februar 2009 seine Zustimmung erteilt hat, wird das Gesetz nun im kommenden November in Kraft treten.
Aus datenschutzrechtlicher Sicht ist das neue Ausweisdokument für Bürger der Bundesrepublik
Deutschland bereits heftig in Kritik geraten. Während beim derzeitigen Personalausweis die Daten
nur optisch ausgelesen werden können, werden die Daten beim neuen Personalausweis im Scheckkartenformat auf einem Chip mit PIN-Abfrage digital abgespeichert. In seiner hoheitlichen Funktion als Personaldokument können auch biometrische Informationen wie ein digitalisiertes biometrisches Passbild (verpflichtend) sowie freiwillig die Fingerabdrücke des rechten und linken Zeigefingers abgespeichert werden (optional; anders der elektronische Reisepass [sog. „ePass“], wo dies verpflichtend ist), womit sich der Inhaber des Ausweises auch über das Internet – bei entsprechend vorhandenem Lesegerät – ausweisen kann. Allerdings muss dann auf der Webseite durch Zertifikate sichergestellt werden, dass der jeweilige Seiteninhaber auch berechtigt ist, den Ausweis digital auszulesen.
Der Ausweis soll neben einer Erhöhung der Sicherheit gegen Internetkriminalität auch eine Vereinfachung des elektronischen Identitätsnachweises (sog. „eID“) im Rahmen von elektronischen Geschäftstransaktionen durch höchst fälschungssicher eingestufte Authentifizierungsprozesse ermöglichen. Insbesondere für die elektronische Abwicklung von Verträgen im Bereich von E-Government und E-Business ist es durch die Integrierung einer – wenn auch nur optional erhältlichen – qualifizierten elektronischen Signatur (sog. „QES“) ermöglicht worden, eine eigenhändige Unterschrift auf digitalem Wege zu realisieren, was bisher für den einzelnen schlichtweg zu kostspielig und kompliziert war. Mit dem neuen Personalausweis ist der Bürger direkt Inhaber einer solchen Signatur, falls er denn eine solche auf seinem Ausweis abgespeichert wünscht und beantragt.
Kritische Bedenken erntet der neue elektronische Personalausweis insbesondere hinsichtlich der verwendeten Chip Technologie, die auf dem RFID-System basieren soll. Damit ist es möglich, kontaktlos die auf dem Chip hinterlegten verschlüsselten Daten auszulesen. Als Sicherheitssystem setzt der Ausweis das sog. PACE-Protokoll ein, das vom Bundesamt für Sicherheit in der Informationstechnik entwickelt und derzeit bei verschiedenen Stellen auf Sicherheitslücken geprüft wird, um die Einhaltung bestimmter Sicherheitsstandards, die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, gem. § 2 Abs. 2 BDSG zu gewährleisten. Zwar ist der Auslesungsvorgang nur in einem bestimmten Funkfeld möglich, in welchen der RFID Chip „aktiviert“ wird, allerdings kann der Auslesevorgang gegebenenfalls nicht nur von den autorisierten RFID Lesegeräten erfolgen, sondern auch durch Nichtberechtigte mit der Folge, dass zum Beispiel Persönlichkeitsprofile erstellt werden.
Aus rein rechtlicher Sicht darf vom Ausweisinhaber künftig nicht mehr verlangt werden, den Personalausweis zu hinterlegen oder den Gewahrsam in sonstiger Weise daran aufzugeben, vgl. § 1 I 3 PAuswG. Dem Ausweisinhaber ist es aber gem. § 5 Abs.9 PAuswG ermöglicht, freiwillig seine Fingerabdrücke auf dem Ausweis zu speichern. Damit können Behörden einen Identifikationsabgleich vornehmen, allerdings müssen sie den Fingerabdruck unmittelbar nach Ausstellung wieder löschen. Daneben gibt es die bereits angesprochene, ebenfalls freiwillige Identifikationsmöglichkeit im Rahmen von elektronischen Geschäftsprozessen, vgl. § 10 PAuswG. Auch hier dienen die Ausweisnummer und die PIN zur Identifikation des jeweiligen Nutzers. Allerdings ist dieser verpflichtet, „zumutbare Maßnahmen“ gem. § 27 PAuswG zu treffen, um sicherzustellen, dass Dritte keine Kenntnis von der Geheimnummer erhalten. Im Rahmen von Internettransaktionen trifft den Bürger dabei die Pflicht, die Eingabe bzw. den Zugang zu den gespeicherten Daten nur über gesicherte Netzwerke und virengeschützte Computer erfolgen zu lassen. Wer auf die im elektronischen Personalausweis hinterlegten Daten zugreifen und diese verwenden darf, wird in § 15ff. PAuswG genau geregelt. Allerdings verlangt auch hier das Gebot der Datensparsamkeit gem. § 3a BDSG, dass nur auf die Daten zugegriffen wird, die im Geschäftsverkehr regelmäßig verlangt werden (wie z.B. die Adresse) – außerdem soll der Betroffene jeweils Einblick und Kontrolle über die zugegriffenen Daten haben.
Fazit: Es bleibt abzuwarten, wie der elektronische Personalausweis in der Praxis angenommen wird. Klar ist, dass sich durch den „kontaktlosen“ Zugriff auf personenbezogene Informationen im Sinne von § 3 Abs. 1 BDSG viele datenschutzrechtliche Problemfelder eröffnen. Umso mehr ist es wichtig, dass durch technisch abgesicherte Verfahren ein Zugriff auf die höchst persönlichen Informationen nur den zuständigen Behörden vorbehalten bleibt, um beispielsweise einer Profilbildung der Nutzer vorzubeugen. Mit Spannung bleibt ebenfalls abzuwarten, ob sich die im elektronischen Personalausweis integrierte elektronische Signatur durchsetzen und von den Bürgern auch tatsächlich genutzt werden wird.
