Corner-top-right-trans
Berliner Beauftragte für Datenschutz und Informationsfreiheit

Der neue Personalausweis


Seit dem 1. November gibt es den neuen elektronischen Personalausweis für alle Bundesbürgerinnen und -bürger. Er soll sie wie bisher an der Grenze und im Inland gegenüber staatlichen Stellen identifizieren. Er soll darüber hinaus auch das Internet sicherer machen und rechtssichere elektronische Anwendungen ermöglichen. Aber der neue Personalausweis kann weiterhin wie der bekannte Personalausweis verwendet werden, nur mit dem Unterschied, dass die elektronisch zu lesenden Daten in einem RFID-Chip gespeichert und nicht wie bisher als elektronisch lesbare OCR-Schrift auf dem Ausweis aufgedruckt sind. Alle weiteren Funktionen sind freiwillig.

Der neue Personalausweis hat Kreditkartenformat. Der darin integrierte Chip kann kontaktlos ausgelesen werden. Auf dem Ausweis sind alle Daten wie bisher aufgedruckt. Neu ist, dass nicht nur diese Daten auf einem elektronischen Chip abgespeichert sind und von einem Lesegerät ausgelesen werden können, sondern dass dieser Chip auch weitere Daten für zusätzliche Anwendungen speichern kann.

Zusätzlich zu den bisherigen Daten können die Bürgerinnen und Bürger freiwillig auch Fingerabdrücke auf dem Chip abspeichern lassen. Diese werden bei der ausstellenden Behörde nur so lange gespeichert, bis die oder der Berechtigte den neuen Ausweis abgeholt hat. Eine dauerhafte zentrale Speicherung erfolgt nicht. Wer den neuen Personalausweis beantragt, sollte trotzdem gut überlegen, ob er diese sensiblen Daten auf dem Chip des Personalausweises speichern lassen möchte. Bisher ist nicht zu erkennen, welche Vorteile Betroffene von der Speicherung ihrer Fingerabdrücke haben könnten. Vielmehr werden diese biometrischen Merkmale dadurch einem zusätzlichen Missbrauchsrisiko ausgesetzt.

Neben der Funktion der Identifikation gegenüber Behörden bietet der neue Ausweis zwei neue elektronische Funktionen:

  • Elektronische Identitätsfunktion im Internet (eID)
  • Qualifizierte elektronische Signatur (QES)

Der neue Personalausweis soll im Internet den gleichen Identitätsnachweis liefern, wie es die Funktion als Sichtdokument im normalen Leben schon bietet. Die Ausweisinhaberinnen und -inhaber sollen die Möglichkeit bekommen, sich online gegenüber Dritten eindeutig und authentisch auszuweisen (eIDFunktion). Dies gilt sowohl für E-Government-Anwendungen im öffentlichen Bereich als auch für private Anbieter im Internet. Wer diese Funktion nutzen will, braucht dafür eine spezielle Anwendungssoftware für den PC, die sog. AusweisApp. Dies ist eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierte Software, die die Kommunikation mit den Internet- Anbietern übernimmt und dafür sorgen soll, dass persönliche Daten sicher über das Internet übertragen werden können. Direkt nach der Einführung wurde hier ein schwerwiegender Sicherheitsmangel bekannt, denn es war möglich, über die Aktualisierungsfunktion der Software schädliche Programme auf den heimischen PC der Ausweisinhaberinnen und -inhaber einzuschleusen. Dieser Sicherheitsmangel ist mittlerweile behoben.

Wer die eID-Funktion nutzen will, braucht zusätzlich ein spezielles Lesegerät, das die Daten aus dem Chip des neuen Personalausweises ausliest. Hier gibt es drei verschiedene Arten von Geräten, die sich in der Sicherheit deutlich unterscheiden. Die einfache und kostengünstigste Variante ist ein Basislesegerät ohne eigene Tastatur für die Eingabe der sechsstelligen Geheimzahl (PIN), die die Berechtigten beim Abholen des neuen Personalausweises festlegen müssen. Die beiden anderen Varianten verfügen über ein eigenes Eingabefeld für die Geheimzahl. Bei der Nutzung des einfachen Basislesegerätes muss die PIN über die PC-Tastatur eingegeben werden. Hat jemand Schadsoftware auf dem PC, die die Tastatureingaben mitschneidet (sog. Keylogger), kann es zum „Abhören“ der Geheimzahl kommen. Kennt ein Angreifer die Geheimzahl und hat es geschafft, weitere Schadsoftware auf dem PC zu installieren, könnte er im Namen des jeweiligen Personalausweisinhabers Geschäfte im Internet tätigen. Wir empfehlen daher dringend die Nutzung eines Komfortlesegerätes mit eigenem Nummernfeld für die Eingabe der Geheimnummer. Unbedingt notwendig ist in jedem Fall die eigentlich selbstverständliche Absicherung des heimischen PCs. Dazu zählt der Einsatz eines aktuellen Virenscanners und einer Firewall. Weiterhin sollte der PC ohne Administratorrechte genutzt werden.

Anbieter im Internet brauchen zur Kommunikation mit Bürgerinnen und Bürgern im Internet sog. Berechtigungszertifikate, die sie beim Bundesverwaltungsamt beantragen müssen. Darin ist festgelegt, welche Daten aus dem neuen Personalausweis ausgelesen werden dürfen. Dazu müssen Antragstellende vorher die Erforderlichkeit dieser Daten für ihren Dienst nachweisen. Möchte jemand einen Dienst im Internet mit der eID-Funktion nutzen, muss sie oder er den neuen Personalausweis auf das Lesegerät legen und die entsprechende Internetseite des Händlers auswählen. Sie oder er gibt die PIN ein und bekommt im Gegenzug das Berechtigungszertifikat des Händlers angezeigt. Der Nutzerin oder dem Nutzer wird nun die Möglichkeit gegeben zu entscheiden, welche Daten vom Personalausweis wirklich an den Händler übertragen werden sollen. Die Übertragung der Daten erfolgt verschlüsselt. Es wird auch die zuständige Datenschutzaufsichtsbehörde angezeigt, an die man sich im Streitfall wenden kann. Dies erleichtert das Einreichen von Beschwerden, wenn Diensteanbieter Daten zweckentfremdet verwenden sollten.

Sehr zu befürworten ist die Möglichkeit der pseudonymen Nutzung des neuen Personalausweises im Internet. Ist die Kenntnis der wahren Identität der Nutzenden nicht notwendig, kann mit jedem Internetanbieter automatisch ein gesonderter Codename vereinbart werden, der bei jeder Nutzung beim gleichen Anbieter wiederverwendet wird. Die Übermittlung des wirklichen Namens ist hierbei nicht notwendig. Sind bei diesem Dienst Geldbeträge zu überweisen, kann dies natürlich nur mit anonymen Zahlverfahren kombi- niert werden. Da bei jedem Internetanbieter ein eigenes Pseudonym verwendet wird, sind anbieterübergreifende Nutzerprofile aus technischer Sicht nicht möglich.

Auch kann der neue Personalausweis zur Verifikation des Alters und des Wohnorts im Internet eingesetzt werden. Möchte man z. B. Internetseiten mit einer bestimmten Altersbeschränkung besuchen, kann abgefragt werden, ob die Inhaberin oder der Inhaber des Ausweises ein gewisses Alter, z. B. 18 Jahre, erreicht hat. Möchte man Leistungen in Anspruch nehmen, die nur im Bereich eines Ortes angeboten werden, kann man den Ort abfragen. Die Übermittlung des Geburtsdatums oder der Adresse ist dann nicht notwendig, nur die Tatsache, dass ein bestimmtes Alter bzw. ein bestimmter Wohnort vorliegt. Beides ist aus Gründen der Datensparsamkeit sehr zu begrüßen.

Die zweite neue elektronische Funktion des neuen Personalausweises ist die optionale Nutzung der qualifizierten elektronischen Signatur (QES). Die QES-Anwendung soll eine sichere, rechtsverbindliche und signaturgesetzkonforme elektronische Unterschrift ermöglichen. Der neue Personalausweis bietet damit die gleichen Funktionen wie bereits bekannte Signaturkarten. Diese Funktion ist bei Abholung des Ausweises nicht sofort nutzbar. Für die Nutzung der QES-Funktion muss ein käuflich zu erwerbendes Zertifikat bei entsprechenden Diensteanbietern nachgeladen werden. Die Nachlademöglichkeit eines qualifizierten Signaturzertifikats ermöglicht es den Inhaberinnen und Inhabern des neuen Personalausweises, eine Zertifizierungsstelle ihrer Wahl auszusuchen. Sie müssen aber den Verlust des Ausweises nicht nur der ausgebenden Behörde melden, sondern auch ihrer Zertifizierungsstelle, da dies nicht automatisch erfolgt.

Eine wichtige Änderung betrifft auch die Praxis des Hinterlegens von Personalausweisen. Da der neue Personalausweis über neue wesentliche elektronische Funktionen verfügt, darf nicht mehr verlangt werden, den Personalausweis zu hinterlegen. Dies bedeutet, dass ein Hotel den Personalausweis beim Einchecken nicht mehr einbehalten darf.

Geht der neue Personalausweis verloren, muss dies umgehend der ausstellenden Behörde mitgeteilt werden. Diese sperrt den Ausweis und damit die zusätzlichen neuen Funktionen (wenn man sich für ihre Nutzung entschieden hatte). Es kommt aber auch immer wieder vor, dass gültige Personalausweise in einer Personalausweisbehörde abgegeben werden, weil sie entweder nach Verlust oder Diebstahl aufgefunden wurden oder weil die Ausweisinhaberin bzw. der Ausweisinhaber verstorben ist. Falls nun eine Mitarbeiterin oder ein Mitarbeiter dieser Behörde die PIN ändert, kann es zu einem Missbrauch der eID-Funktion im Internet kommen. Selbst wenn die eID-Funktion nicht aktiviert war, könnte sie dann aktiviert werden. Ein Mitwirken der Ausweisinhaberin oder des Ausweisinhabers ist hier nicht vorgesehen. Bisher sehen weder die personalausweisrechtlichen Vorschriften noch die eingesetzte Technik ausreichende Sicherheitsmaßnahmen zur Behebung dieses Problems vor. Um eine unbefugte Neusetzung der PIN in einer Personalausweisbehörde zu verhindern, müssten die Ausweisinhaberinnen und -inhaber aktiv beteiligt werden können.

Der neue Personalausweis kann auch nur ein normaler herkömmlicher Personalausweis sein, wenn man seine neuen zusätzlichen Funktionen nicht nutzen möchte. Möchte man diese elektronischen Funktionen im Internet nutzen, sollte man einen Komfortkartenleser einsetzen, der über ein eigenes Eingabefeld für die Geheimnummer verfügt. Der verwendete PC sollte immer auf dem neuesten Sicherheitsstand gehalten werden. Dazu gehört ein aktueller Virenscanner, eine Firewall und alle Sicherheitsupdates des Betriebssystems. Das Problem der unbefugten Aktivierung der eID-Funktion durch Bedienstete einer Personalausweisbehörde muss noch gelöst werden.

06.04.2011