Sachliche, Rechtliche und politische Hintergründe des elektronischen Personalausweises
Der folgende Text soll lediglich einen Einstieg zum Thema „elektronischer Personalausweis“ ermöglichen und kann keineswegs eine differenzierte Darstellung bieten. Die einzelnen Abschnitte dieses Textes bilden die chronologische Reihenfolge der Entwicklung des elektronischen Personalausweises ab.
2001
im Jahr 2001 wurden mehrere Gesetze zur inneren Sicherheit geändert (Terrorismusbekämpfungsgesetz). Dabei wurden die Befugnisse der Geheimdienste erweitert, das Grundrecht auf Post-und Fernmeldegeheimnis eingeschränkt sowie die Speicherung von biometrischen Merkmalen in Ausweisdokumenten ermöglicht. Mehrere einschränkende Befristungen in diesen Gesetzen wurden immer wieder verlängert und im Dezember 2020 dauerhaft entfristet, sodass diese Bestimmungen dauerhaft gültig sind.
2010
Seit dem Jahr 2010 ist das neue Personalausweisgesetz PauswG gültig. Darin wird geregelt, dass der Personalausweis einen elektronischen Speicherchip enthält. Darauf sind die Angaben zur Person, ein biometrisches Photo sowie die zwei Fingerabdrücke der beiden Zeigefinger enthalten. Die Fingerabdrücke werden in dieser Version des Gesetzes nur mit Zustimmung der Person gespeichert.
Auf der Vorderseite des Personalausweises rechts oben befindet sich die Ausweisnummer (=Seriennummer). Seit 2010 besteht diese aus 9 Zeichen (Buchstaben und Zahlen). Diese Kombination ist einmalig und dient daher zur eindeutigen Zuordnung eines Ausweises zu einer Person. Achtung: die Seriennummer ist auf dem Ausweis doppelt vorhanden. Direkt unterhalb der Seriennummer in schwarzer Farbe ist dieselbe Seriennummer silbrig glänzend eingraviert und nur sichtbar, wenn man den Ausweis schräg hält. Wer diese Seriennummer kennt, könnte im Internet diese Identität annehmen und für eigene Zwecke missbrauchen (Identitätsdiebstahl).
Auf der Rückseite des Personalausweises befindet sich im unteren Bereich eine MRZ (Machine Readable Zone = maschinenlesbarer Bereich). Diese enthält Angaben zur Person, die dort im Klartext aufgedruckt sind und automatisiert ausgelesen werden können. Diese sind: Familienname, Vorname, Seriennummer des Ausweises, Geburtstag, letzter Tag der Gültigkeitsdauer, Prüfziffern und Leerstellen ( <<<<). die aufgedruckte Seriennummer des Ausweises ermöglicht den Zugang zu den gespeicherten Daten auf dem Chip.
In § 18 PauswG ist geregelt, dass der Personalausweis auch im elektronischen Datenverkehr (also im Internet) als Identitätsnachweis gegenüber öffentlichen Stellen und auch nicht-öffentlichen Stellen (also privaten Firmen) gelten kann. Dieser elektronische Identitätsnachweis
(= eID ) erfolgt durch die Übermittlung der Daten aus dem Speicherchip des Personalausweises über das Internet. Das Stichwort im Bereich der öffentlichen Stellen (also Behörden z.B. Stadtverwaltung u.ä.) heißt hier E-Government. Für einen elektronischen Identitätsnachweis eID wird ein geeignetes Kartenlesegerät sowie eine selbstgewählte 6-stellige PIN benötigt. Bei der Datenübertragung über das Internet sind die Daten zu verschlüsseln und Maßnahmen zum Datenschutz und Datensicherheit zu treffen. Allerdings gibt es bis heute bei diesen technischen Prozessen erhebliche Sicherheitslücken, z. B. bei Kartenlesern für den Personalausweis oder der Ausstellung von Sicherheitszertifikaten der befugten Stellen.
Die Sicherheit der Identifikation wird also durch 2 Faktoren hergestellt:
- Besitz ( physikalischer Besitz des Personalausweises mit eingebautem Chip, der in ein Kartenlesegerät eingesteckt wird) und
- Wissen (die 6-stellige PIN).
Das ist die sogenannte 2-Faktor-Authentifizierung 2FA. Es ist das gleiche Prinzip wie bei der bekannten Chipkarte für das Bankkonto.
Ein weiteres Problem dabei ist: Es gibt für den eID bis heute fast keine wirklich sinnvollen E-Government-Anwendungen. Lediglich bei wenigen Kommunen ist es möglich sich für ausgewählte Dienstleistungen mit diesem Personalausweis zu legitimieren (z.B. KFZ Zulassungsstelle). Private Firmen, wie zum Beispiel Mobilfunkanbieter, bevorzugen internationale Lösungen auf der Basis von SIM-Karten anstatt solche nationalen wie die deutsche eID auf Basis des Personalausweises.
2017
im Jahr 2017 wurde das „Gesetz zur Förderung des elektronischen Identitätsnachweises“ verabschiedet. Da bis dahin nur etwa 30 % der Menschen bei einer Beantragung des Personalausweises die eID Funktion freigeschaltet hatten, wurden durch dieses Gesetz automatisch alle neuen Personalausweise mit einer einsatzbereiten eID Funktion ausgestattet.
Der Personalausweis enthält seit 2017 auf der Vorderseite unten rechts die aufgedruckte 6-stellige CAN (Card Access Number = Zugangsnummer). Diese Zugangsnummer wird immer dann benötigt, wenn ein elektronischer Personalausweis mit der Online-Funktion genutzt wird und die selbstgewählte PIN des Ausweises 2 mal fehlerhaft eingegeben wurde. Dann wird der Nutzer aufgefordert, die CAN einzugeben, um eine Sperrung der Online-Funktion des Ausweises nach einer dritten Fehleingabe zu verhindern. Insofern ist das Hinterlegen eines Personalausweises z.B. als Pfand oder die Weitergabe einer Ausweiskopie an andere Personen ein hohes Sicherheitsrisiko.
Mit freiwilliger Zustimmung der Besitzer:in ist das Erstellen einer Ausweiskopie zulässig. Typische Beispiele dafür sind Fahrzeugvermietungen, Vermietung von Wohnraum oder Hotelübernachtungen. In der Realität kann die Besitzer:in des Personalausweises weder überprüfen ob und wie lange eine Kopie gespeichert wird noch ob eine Ausweiskopie weitergegeben wird. Wenn jemand auf eine bestimmte Dienstleistung angewiesen ist, ist insofern die Freiwilligkeit nicht gegeben. Außerdem sind auf den beiden Seiten einer Ausweiskopie mehr Daten enthalten als für Dienstleistungen üblicherweise notwendig sind. Es ist daher empfehlenswert die nicht notwendigen Daten auf der Ausweiskopie zu schwärzen, sodass in der Regel nur Nachname, Vorname und evtl. Adresse sichtbar sind. Banken und Mobilfunkbetreiber sind berechtigt die Ausweisnummer einzusehen.
Polizeibehörden und Geheimdienste erhalten mit diesem Gesetz automatisierten Zugriff auf biometrische Fotos aus den elektronischen Personalausweisen. Die Zugriffe auf diese Fotos werden zwar protokolliert, allerdings von den abfragenden Stellen selber. Eine unabhängige Kontrolle über die Verwendung der Daten erfolgt daher nicht.
Die persönlichen Daten und auch die biometrischen Fotos sind bei den Meldebehörden gespeichert. Davon gibt es in Deutschland derzeit etwa 5000 verschiedene Dienststellen. Insofern ist der Zugriff auf die Daten insbesondere auch bei der unterschiedlichen technischen Ausrüstung von Meldebehörden für Polizeibehörden und Geheimdiensten grundsätzlich möglich, allerdings mit Reibungsverlusten verbunden. Dies wird sich im Jahr 2021 ändern.
Zitat aus: Chaos Computer Club, Stellungnahme zum Gesetzesentwurf vom 19.4.2017:
„Die Möglichkeit des automatisierten Zugriffs sowohl für Polizeien als auch für Geheimdienste muss im Kontext des immer weiteren Ausbaus der Videoüberwachung und der laufenden Tests der Behörden mit automatischer Gesichtserkennung in Videoüberwachungs-Streams gesehen werden. Die einfache elektronische Abfrage großer Mengen Gesichtsbilder erlaubt den Aufbau von Überwachungssystemen, bei denen die Eingabe eines Namens und eines Geburtsdatums in die entsprechende Abfragemaske ausreicht, um das persönliche Passbild abzurufen und direkt in automatischen Gesichtserkennungssysteme einzuspeisen. Auch die umgekehrte Abfrage persönlicher Daten zu einem automatisch identifizierten Gesichtsbild wird für die abgerufenen und bei Polizei oder Geheimdienst gespeicherten Gesichtsbildern dadurch technisch ermöglicht. Die schon heute gegebene Vollüberwachung der digitalen Welt erhält so mittelfristig Einzug in die „reale Welt“ und macht auch diese zu einer digital überwachten Sphäre. „
2019
Im Juni 2019 wird eine EU Verordnung zur Erhöhung der Sicherheit der Personalausweise und Aufenthaltsdokumente verabschiedet. In Art. 3 wird bestimmt, dass 2 Fingerabdrücke in elektronischer Form auf dem Speicherchip im Personalausweis gespeichert werden müssen. Diese Verordnung tritt am 2. August 2021 in Kraft.
2020
im Dezember 2020 wird das „Gesetz zur Stärkung der Sicherheit im Pass-, Ausweis- und ausländerrechtlichen Dokumentenwesen“ beschlossen. Dort wird geregelt, dass die biometrischen Passfotos ab dem 1.5.2025 nicht mehr in Papierform sondern nur noch auf digitalem Weg vom Fotostudio zur Behörde auf einem sicheren Weg übermittelt werden dürfen. Damit soll verhindert werden, dass Passfotos durch Morphing verändert werden.
2021 (August)
Aufgrund der EU-Verordnung aus 2019 müssen ab dem 2. August 2021 in den europäischen Ausweisdokumenten zwei Fingerabdrücke elektronisch gespeichert werden
2021 (Mai)
Gesetzesentwurf: Gesetz zur Einführung eines elektronischen Identitätsnachweises mit mobilen Endgeräten. Dadurch soll es möglich sein, den elektronischen Identitätsnachweis anstatt mit dem Personalausweis auch mit einem Smartphone durchzuführen. Voraussetzung dafür ist, dass die Daten aus dem Chip des Personalausweises auf das Smartphone übertragen werden. Eine entsprechende App für die sichere Anwendung der Identifikation sowie das entsprechende Smartphone müssen daher bestimmte Sicherheitskriterien erfüllen. Es ist zu erwarten das diese Anforderungen nur von neuen und auch teuren Modellen erfüllt werden können. Weiterhin ist problematisch, dass ein solches Vorgehen die Nutzung von Software voraussetzt, die sich im Besitz von großen Konzernen befindet (Apple, Google). Im Gegensatz zum Chip auf dem Personalausweis ist ein Smartphone ein hochkomplexer Mini-Computer mit unterschiedlichen Sicherheitseigenschaften, die zudem auch von der technischen Kompetenz der User:innen abhängt (z.B. bei Bedienung und Updates). Weiterhin ist ungeklärt, ob die bei einem Authentifizierungsvorgang anfallenden Daten der User:innen bei den großen Konzernen, den App-Herstellern oder den Polizeibehörden gespeichert werden. Dies würde zu einer umfangreichen Datensammlung von persönlichen Informationen über die User:innen führen. Bezogen auf die Ausweispflicht würde dies ebenfalls bedeuten, dass ein Smartphone in Anwesenheit von Polizeibeamten entsperrt werden oder sogar ausgehändigt werden müsste.
2021 (Mai)
Am Ende der Beratungen zu dem diesem genannten Gesetz hat die Bundesregierung noch einen Änderungsantrag eingebracht, der inhaltlich damit in keinerlei Zusammenhang steht: Es geht um die zentrale Speicherung der Daten von Personalausweisen in jedem Bundesland, und damit auch der biometrischen Daten. d.h. es es soll zukünftig in Deutschland nur 16 Stellen geben, an denen diese Daten gespeichert werden. Bisher wurden diese Daten bei den verschiedenen Meldeämtern gespeichert, also bei insgesamt etwa 5000 verschiedenen Stellen.
Bereits durch die Änderung des Passgesetzes von 2017 ist es möglich:
- eine automatisierte Datenabfrage zusätzlich durch Geheimdienste des Bundes und der Länder
- der Zweck der Datenabfrage muss nicht mehr die Verfolgung einer Straftat sein.
- als Zweck der Datenabfrage ist ausreichend, dass die Behörde damit ihre Aufgabe erfüllt
- eine Protokollierung der Datenabfrage erfolgt nur durch die abfragende Behörde
- deutlich verringerte Transparenz bezüglich Datenschutz und geringerer Rechtsschutz zu dessen Durchsetzung
Es gibt gegen diese Regelungen bereits seit dem Jahr 2018 eine Verfassungsbeschwerde der Gesellschaft für Freiheitsrechte.
Die gespeicherten Fingerabdrücke und insbesondere die gespeicherten Passbilder erlauben eine sehr genaue und automatisierte Gesichtserkennung durch Videoüberwachung im öffentlichen Raum. Dadurch ist es auch möglich einzelne Personen innerhalb von Menschenmengen nachzuverfolgen (Tracking) und daraus Bewegungsprofile abzuleiten.
Die jetzt im Mai 2021 beabsichtigte Veränderung sieht vor, dass jedes Bundesland ein zentrales Personalausweisregister einrichtet, indem die personenbezogenen Daten, die Unterschrift, dass Passbild und die Fingerabdrücke gespeichert sind. Die automatisierten Abfragen von anderen Behörden müssen dann nicht mehr an 5000 verschiedenen Meldeämter gerichtet werden sondern nur noch an die 16 zentralen Stellen der Bundesländer. Dieses Vorgehen steht im Widerspruch zu dem seit vielen Jahren immer wieder vorgetragenen Behauptungen:
„ Niemand hat die Absicht ein zentrales Personenregister einzurichten“
Als Begründung wird von der Bundesregierung vorgetragen, dass diese zentrale Speicherung „praktisch“ sei. Es kommt immer auf die Perspektive an. Die dezentrale Speicherung von biometrischen Körperdaten ist eine absichtliche Sicherheitsvorkehrung und Begrenzung von Macht des Staates gegenüber den Bürger:innen. Die Bundesregierung zeigt mit diesem Gesetzesvorhaben eine „ hohe Ignoranz gegenüber den Grundrechten und den Prinzipien des Datenschutzes“ (s. Gemeinsame Stellungnahme des CCC (Chaos Computer Club) und FifF (Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung vom 17.5.2021)