Am 18. Mai 2017 hat der Bundestag das Gesetz zur Förderung des elektronischen Identitätsnachweises (eID) gegen das Votum der Opposition beschlossen. Wir hatten bereits über das Gesetzgebungsverfahren berichtet.
Eine wichtige Neuerung hierbei ist, dass die eID-Funktion nun standardmäßig freigeschaltet ist. Der Gesetzgeber möchte auf diese Weise dafür Sorge tragen, dass diese Funktion auch tatsächlich von den Bürgern genutzt wird. Bislang haben von den 51 Millionen Bürgern, die den seit 2010 verfügbaren Personalausweis im Scheckkartenformat besitzen, nur ein Drittel die eID-Funktion überhaupt freigeschaltet. Hiervon haben nur 15 Prozent, also ca. 2,5 Millionen Bürger die Funktion schon einmal genutzt.
Was genau bedeutet der elektronische Identitätsnachweis? Die Idee ist, dass sich Bürger sowohl gegenüber Behörden als auch gegenüber Dienstleistern im Netz ausweisen können. Wer die eID-Funktion freischaltet hat, kann mithilfe eines entsprechenden Lesegeräts seine Identität mit dem Ausweis und einem Passwort online bestätigen. Hierdurch sollen Identitätsdiebstähle bei Onlinegeschäften und Behördengängen vermieden werden.
Weitere Neuerungen im Fördergesetz für die eID-Funktion
Bei Personalausweisen mit Datenchip können nunmehr alle zur Überprüfung Berechtigten wie z.B. Behörden, Banken oder Hotels in Anwesenheit des Ausweisinhabers ohne dessen ID-Eingabe die eID-Daten auslesen und in ihre Online-Formulare übertragen. Ermöglicht wird das Auslesen der PIN vor Ort durch ein RFID-Lesegerät. Das Verfahren soll Zeit sparen und für eine bessere Datenqualität aufgrund einer medienbruchfreien Übergabe von Daten sorgen.
Eine weitere Änderung folgt aus der Anpassung des Personalausweis-Gesetzes an die europäische eIDAS-Verordnung. Danach sind alle anderen EU-Staaten ab sofort berechtigt, sowohl die eID deutscher Bürger als auch die eID des elektronischen Aufenthaltstitels auszulesen und zu verarbeiten.
Ebenso ist es von nun an gestattet, den Identifizierungsvorgang im Online-Bereich an private Anbieter auszulagern. Im Rahmen der Gesetzesänderung können externe Dienstleister im Netz nach Erhalt des Berechtigungszertifikates durch die Vergabestelle für andere Anbieter die eID-Prüfung übernehmen. Bislang musste sich z.B. ein Online-Shop, der hochprozentige Spirituosen verkauft ein Zertifikat zur Durchführung der Altersverifikation besorgen. Nunmehr soll es zugelassenen Dienstleistern möglich sein, „eID as a Service“ anzubieten, damit die Online-Akzeptanz des Personalausweises gefördert wird.
Als weiterer Baustein wurde zusammen mit dem Gesetz die Verpflichtung verabschiedet, Polizei- und Ermittlungsbehörden einen automatisierten Lichtbildabruf zu ermöglichen. Die Gesetzänderung wird jedoch stark kritisiert und soll erst am 15.05.2018 eingeführt werden, weil es hierfür umfangreicher Änderungen in den IT-Abläufen der Behörden bedarf.
Datenschutzrechtliche Kritikpunkte
Nach Aussage des Präsidenten des Bundesverwaltungsamtes, Christoph Verenkotte seien die Vorteile des eID-Verfahrens nie richtig kommuniziert worden, so dass es von Seiten der Privatwirtschaft kaum Online-Händler gibt, die eID unterstützen. Jürgen Müller aus der Behörde der Bundesbeauftragten für Datenschutz und Informationsfreiheit bringt demgegenüber vor, dass die Gesetzesänderung zum eID-Verfahren das Recht auf informationelle Selbstbestimmung beeinträchtige. Unterstützt werde die Aktivierung der eID-Funktion von seiner Abteilung nur, „wenn es keine verpflichtende Nutzung“ gebe. Dies müsse gesetzlich verankert werden ebenso wie die Möglichkeit, die Funktion nachträglich wieder zu deaktivieren.
Was den geplanten Abruf von Lichtbildern auf Ausweisen durch Polizei und Geheimdienste bei Meldeämtern angeht, so machte der Medien- und Informationsrechtler Bernd Holznagel von der Universität Münster anlässlich einer Anhörung im Bundestag „verfassungsrechtliche Bedenken“ geltend, da die Regelung zu unbestimmt sei. Die Sicherheitsbehörden seien heute so gut vernetzt, dass nach Ansicht des Rechtswissenschaftlers mit dem vorgesehenen Verfahren „faktisch eine nationale Datenbank für Lichtbilder“ entstünde. Auch der Chaos Computer Club (CCC) sieht durch den „nun vorgesehenen automatisierten Zugriff der Geheimdienste auf die biometrischen Passbilder in elektronischer Form einen Schritt in eine umfassende und kaum kontrollierte Überwachung“. Constanze Kurz vom CCC befürchtet dabei genauso wie Holznagel die Herausbildung von Schattendatenbanken.
Fazit
Die geplanten Änderungen im Rahmen der eID-Funktion bei Ausweisen haben nicht zuletzt aufgrund einer zurückhaltenden Kommunikation von Seiten der Bundesregierung in der Öffentlichkeit keinen großen Nachhall hervorgerufen. Wie von Expertenseite dargestellt, sind die datenschutzrechtlichen Risiken dabei nicht zu unterschätzen. Die standardmäßige Freischaltung der eID-Funktion sollte rückgängig gemacht werden können, wenn der betroffene Bürger dies wünscht. Die dargestellten datenschutzrechtlichen Bedenken zum automatisierten Lichtbildabruf bedürfen einer weiteren datenschutzrechtlichen Prüfung, insbesondere auch zu den erforderlichen Änderungen in den IT-Abläufen der Behörden.
Wir halten Sie natürlich über die weitere Entwicklung zur eID-Funktion und zum automatisierten Lichtbildabruf gerne auf dem Laufenden.
Update 20.04.2018:
Waren Ausweiskopien/Ablichtungen in Deutschland lange Zeit datenschutzrechtlich umstritten, sind sie seit Juli 2017 unter zwei Bedingungen zulässig (§ 20 Abs.2 Personalausweisgesetz):
- Nur der Ausweisinhaber oder eine andere Person mit der Zustimmung des Ausweisinhabers darf die Kopie erstellen.
- Die Kopie muss eindeutig und dauerhaft als solche erkennbar sein.
Zu beachten ist, dass nur der Ausweisinhaber die Kopie an Dritte weitergeben darf und jede Verarbeitung von personenbezogenen Daten aus dem Ausweis der Einwilligung des Ausweisinhabers bedarf. Analog verhält es sich mit Passkopien (§ 18 Abs. 3 Passgesetz).