|
Die öffentliche Verwaltung betritt damit Neuland. Wie die Analysten von Kuppinger Cole + Partner (KCP) aus zuverlässiger Quelle im Bundesinnenministerium erfahren haben, sollen die digitalen Ausweisdaten wie Name, Adresse und Geburtsdatum auf den neuen Personalausweisen zunächst nur für Behörden zugänglich sein. Wollen Unternehmen die Daten nutzen, müssen sie ein Nutzungsentgelt entrichten. Offen ist, wie die Bezahlung erfolgen soll. Neben einem ?Abomodell? stehen auch die transaktionsbasierte Abrechung zur Diskussion.
Daten über 80 Millionen Bürger
Der Verkauf von digitalen Personendaten durch Behörden ist umstritten. Angeblich plant das zuständige Innenministerium deshalb eine Änderung des Gesetzes über Personalausweise (PersAuswG) von 1984. Dieses schreibt vor, dass jeder deutsche Bürger, der das 16. Lebensjahr vollendet hat, verpflichtet ist, einen Personalausweis zu besitzen und ihn auf Verlangen einer zur Prüfung der Personalien ermächtigten Behörde vorzulegen. Im Gesetz geregelt ist aber nur der Austausch von personenbezogenen Ausweisdaten zwischen Behörden. Derzeit besitzen mehr als 80 Millionen Deutsche einen amtlichen Personalausweis.
Allerdings findet der Personalausweis auch im Wirtschaftsleben breiten Einsatz, etwa als Identitätsnachweis bei der Eröffnung von Bankkonten, bei Vertrags- und Kaufabschlüssen, beim Abholen von Paket- und Briefsendungen oder beim Einchecken in einem Hotel sowie als Altersnachweis im Bereich des Jugendschutzes. Diese ?inoffizielle? Nutzung ist bislang nicht geregelt.
"Nutzung in der elektronischen Welt"
Das soll sich nun ändern. Erst kürzlich hat der Staatssekretär im Bundesinnenministerium, Dr. Bernhard Beus, bei der Eröffnung des Fachkongresses OmniCard in Berlin die Bedeutung des Personalausweises für die Wirtschaft besonders betont: ?Eine gesicherte Identität im Internet ist der Dreh- und Angelpunkt für sichere und vertrauenswürdige elektronische Geschäftsprozesse?, sagte er. Es liege daher nahe, ?den Personalausweis als bereits etabliertes Identitätsdokument tauglich für die Nutzung in der elektronischen Welt zu machen.?
Was der Politiker jedoch verschwieg: Für diese Nutzung soll die Privatwirtschaft künftig zur Kasse gebeten werden.
Die ?kostenlose? Nutzung eines amtlichen Dokuments ist nämlich den Beamten ein Dorn im Auge. Mit der Einführung eines digitalen Personalausweises ergibt sich eine völlig neue Situation: Da die elektronischen Daten verschlüsselt sind, können die Behörden über weite Strecken bestimmen, wer sie einsehen darf und wer nicht.
Dieser technische Umstand soll nun als Basis eines neuartigen staatlichen Geschäftsmodells dienen. Unternehmen sollen gezwungen werden, so genannte Berechtigungszertifikate zu erwerben, die ihnen erlauben, die gespeicherten Daten einzusehen. Wer nicht bezahlt, kann zwar weiterhin wie bisher die Klarschriftinformationen auf dem Ausweis nutzen. Er kann Personalausweise aber nicht oder nur durch hohen Aufwand, zum Beispiel durch Einscannen, im Rahmen von automatisierten Prozessen oder über das Internet zur Identifizierung eines Kunden oder Geschäftspartners benutzen.
Konkurrenz zu PostIdent?
Das gilt vor allem für Distanz- und Online-Händler. In Zeiten, in denen neue Geschäftskontakte immer häufiger per Telefon oder per Internet geknüpft werden, fehlt dort die persönliche Kenntnis des Gegenüber und damit eine entscheidende Voraussetzung für eine vertrauensvolle Geschäftsbeziehung. Ähnliches gilt für Banken, die Aufgrund des Geldwäschegesetzes gesetzlich verpflichtet sind, die Identität der Kunden bei der Kontoeröffnung festzuhalten.
Besonders hart betroffen sind Versandunternehmen, die aus Gründen des Jugendschutzes einen Altersnachweis verlangen müssen. Bislang nahmen viele Unternehmen in solchen Fällen vor allem den von der Deutschen Bundespost angebotenen Service ?PostIdent? in Anspruch, bei dem ein Postangestellter auf einem entsprechenden Formular die Vorlage eines gültigen Legitimationspapiers (Reisepass oder Personalausweis) bestätigt. Andere Unternehmen wie zum Beispiel das Internetauktionshaus eBay arbeiten mit der Wiesbadener Schufa AG zusammen, um die Identität neuer Kunden zu überprüfen.
Gerade Distanzhändler stehen zudem unter wachsendem Druck des Gesetzgebers und der Gerichte. So verurteilte das Oberlandesgericht München (Az 29 U 2745/04) einen Pornoversender, der das PostIdent-Verfahren verwendet hatte, um sicherzustellen, dass die Empfänger seiner Bestellungen volljährig waren. In solchen Fällen sei der Nachweis nur per eigenhändig übergebenem Einschreiben erlaubt. Dieselben Grundsätze können auch für den Versand anderer jugendschutzrelevanter Inhalte eine Rolle spielen, zum Beispiel Alkohol, Zigaretten oder indizierte Computerspiele.
"Durchbruch im Jugendschutz"
Durch Einführung des digitalen Personalausweises könnte sich die Lage schlagartig ändern, weshalb das elektronische Dokument ministeriumsintern auch schon als ?Durchbruch im Jugendschutz? gefeiert wird. Dafür sollen die Unternehmen nach dem Willen der Beamten allerdings auch bezahlen.
Zwar sind die Pläne des Innenministeriums im Einzelnen noch nicht ausgereift, zumindest der Zeitplan steht aber wohl schon fest: Sobald das Grobkonzept verabschiedet ist, wird der Referentenentwurf zur notwendigen Änderung des Personalausweisgesetzes noch in diesem Jahr auf den Weg gebracht, damit fristgerecht im Laufe des Jahres 2007 die rechtlichen Voraussetzungen geschaffen werden können. 2008 könnten dann die ersten Ausweise an Bürger ausgegeben werden.
Fest steht ebenfalls, dass der digitale Personalausweis über die gleichen biometrischen Informationssysteme verfügen wird wie die der im Spätjahr 2005 eingeführte elektronische Reisepass. Beide Dokumente sollen auch auf den gleichen amtlichen Lesegeräten eingesehen werden können. Die enthaltenen Informationen ? Name, Adresse, Geburtsdatum sowie gegebenenfalls die Unterschrift des gesetzlichen Vertreter sowie Seriennummer und Gültigkeitsdatum ? werden digital verschlüsselt.
Zertifikate als Handelsware
Um auf diese Daten zugreifen zu dürfen, sollen Unternehmen nach der Vorstellung des Innenministeriums ein Berechtigungszertifikat erwerben. Offen ist noch, wer für die Ausgabe solcher Zertifikate zuständig sein soll. Im Ministerium wird darüber nachgedacht, eventuell die Bundesdruckerei GmbH oder das Bundesamt für Sicherheit in der Informationstechnik (BSI) als so genannte ?Root Certificate Authority? einzusetzen, die wiederum über einen oder mehrere private Anbieter oder über ein Shared Service Center Berechtigungen an Privatunternehmen verkaufen sollen.
Dabei stehen nach KCP-Informationen zwei Berechnungsmodelle zur Diskussion. Beim so genannten ?Abo-Modell? könnten Unternehmen für einen bestimmten Zeitraum (zum Beispiel für ein Jahr) das Recht erwerben, alle oder einzelne digitalen Daten von Personalausweisen im Rahmen ihrer Geschäftsprozesse zu verwenden. Angedacht ist auch ein ?Transaktionsmodell?, bei dem jedes Mal eine Gebühr fällig wird, wenn ein Ausweis gelesen wird.
Auch abgestufte Nutzungsmodelle sind in der Diskussion. Versandhändler beispielsweise könnten daran interessiert sein, lediglich auf die gespeicherten Geburtsdaten zuzugreifen. Für sie wäre es eventuell gar nicht nötig, den dazugehören Namen zu erfassen. Eine solche eingeschränkte Benützung des Personalausweises wäre vermutlich billiger als eine Vollberechtigung.
Geld soll an Bürger zurückfließen
Das Geld aus dem Verkauf von Berechtigungszertifikaten wäre ?eine staatlich garantierte Einnahmequelle?, meinte kürzlich ein sichtlich gutgelaunter Ministeriumsmitarbeiter, der ungenannt bleiben will. Allerdings sei geplant, dieses Geld ?an die Bürger durchzureichen?.
Bei der Einführung des elektronischen Reisepasses im Oktober 2005 hatte es zum Teil massive Kritik an den stark gestiegenen Kosten für die Bürger gegeben: Mit 59 Euro hat sich der Preis für ein Reisepass mehr als verdoppelt. Die Einnahmen aus dem Berechtigungshandel könnten dafür verwendet werden, die zu erwartende Preiserhöhung für die neuen Hitech-Ausweise zumindest teilweise aufzufangen.
Unklar ist bislang, wie hoch die Gebühren für die Benützung von Ausweisdaten durch die Wirtschaft ausfallen werden. Für den Service ?PostIdent Basic? verlangt die Bundespost je nach Auftragsvolumen zwischen 3,83 und 5,88 Euro zuzüglich der Rücksendekosten für das Formular. Im Gespräch ist im Bundesinnenministerium im Falle eines Transaktionsmodells ein Betrag von 40 bis 50 Cents pro Datensatz.
Über die technischen Einzelheiten des neuen Personalausweises herrscht dagegen ministeriumsintern bereits weitgehend Einigkeit, zum Beispiel über das Format (ID1), das kompatibel sein soll mit handelsüblichen Kartenlesegeräten.
Entscheidung für RFID-Technik
Auch die Entscheidung für die Verwendung so genannter ?contactless? RFID-Chips soll bereits gefallen sein. Solche Speicherelemente werden auch in dem neuen elektronischen Reisepass eingesetzt und enthalten dort bislang neben den persönlichen Informationsdaten auch ein digitalisiertes Foto des Besitzers. Ab 2007 sollen deutsche Reisepässe zusätzlich zwei Fingerabdrücke enthalten. Nach dem Willen der Behörden sollen auch die neuen Personalausweise biometrische Informationen enthalten und mit den gleichen Lesegeräten wie der Reisepass verarbeitet werden können.
Geplant ist auch, die technischen Voraussetzungen für die Integration einer qualifizierten elektronischen Unterschrift nach dem deutschen Signaturgesetz (SigG) von Anfang an in die neuen Ausweise einzubauen. Sollte das nicht termingerecht möglich sein, könnte diese Funktion zunächst ausgespart und dann bei späteren Versionen nachgereicht werden. Versuche, auf breiter Front digitale Signaturen in Deutschland einzuführen, sind bislang an organisatorischen und finanziellen Hürden gescheitert.
Notfalls ohne digitale Signatur
Auch ohne digitale Signatur könnte der neue Personalausweis für die Legitimation und Authentifizierung eine wichtige Rolle in Verwaltung und Wirtschaft spielen. Dazu kommt, dass Regierungsstellen im Rahmen laufender Bemühungen um Verwaltungsvereinfachung und Bürokratieabbau dabei sind, die Zahl der Formvorschriften, die zwingend eine ? analoge oder digitale ? Unterschrift erfordern, zu verringern. Nach Schätzungen aus dem Innenministerium könnte deren Zahl von heute zwischen 400 und 500 kurzfristig auf etwa 40 gesenkt werden.
Das modulare technische Konzept des digitalen Personalausweises kommt solchen Plänen zusätzlich entgegen, wie Regierungsdirektor Andreas Reisen, Leiter der Projektgruppe BundOnline 2005 im Bundesinnenministerium, auf dem Fachkongress ?NetID? Ende Januar in Berlin behauptete. ?Ein solches modulares Konzept wird die Akzeptanz eines ID-Karten-Standards erhöhen. Das bedeutet, dass jedes Land, das diesen Standard wählt, diejenigen Module verwenden kann, die es braucht, um seine eigenen Anforderungen zu erfüllen.?
Bislang gibt es auf europäischer Ebene lediglich Diskussionen über Standards für Personalausweise, zumal Länder wie Großbritannien bislang die Einführung von ?personal ID Cards? aus politischen Gründen ablehnen. Der Entwurf einer europäischen Verfassung enthielt zwar eine Zuständigkeit der EU für Personalausweise. Das scheint aber nach dem Scheitern des Ratifizierungsverfahrens in weite Ferne gerückt zu sein.
Einverständnis des Bürgers vorausgesetzt
Aus datenrechtlicher Sicht erwarten die Beteiligten im Innenministerium hingegen keine Einwände gegen ihre Pläne. Ihr Argument: Da der Bürger seinen Ausweis ja freiwillig vorlege, um sich zu identifizieren, sei prinzipiell kein Unterschied zum bisherigen Verfahren zu erkennen. Außerdem erfordere das Auslesen der verschlüsselten Daten auf der Karte in jedem Fall die Eingabe einer PIN-Nummer durch den Besitzer. Eine Weitergabe gegen seinen Willen oder ohne sein Einverständnis sei also ausgeschlossen.
KCP meint: Das gibt Ärger!
Auf den ersten Blick ist man geneigt, den Hut zu ziehen vor der Kühnheit, die das Innenministerium beim Projekt ?digitaler Personalausweis? an den Tag legt. Das Wort vom ?Public/Private Partnership?, hier scheint es wahr zu werden: Beamte, die wie Unternehmer denken ? wann hat es so etwas gegeben?
Dass sich eine Behörde intensiv Gedanken macht über die Auswirkungen hoheitlicher Verwaltungsakte auf den Markt, ist nachahmenswert, und wir begrüßen jeden Versuch von Verwaltungsbeamten, den Schulterschluss mit der Wirtschaft zu suchen. Doch leider müssen Zweifel angemeldet werden, ob so hochfliegende Pläne wirklich realisierbar sind. Noch ist es zu früh für eine abschließende Würdigung, zumal sich einige der oben beschriebenen Vorstellungen bislang nur in den Köpfen der zuständigen Sachbearbeiter befinden und erst noch zu Papier gebracht werden müssen.
Dass allerdings der monopolartige Handel staatlicher Organe mit den Identitätsdaten seiner Bürger eine Reihe kniffeliger verfassungs- und verwaltungsrechtlicher Fragen aufwirft, ist offensichtlich, vom möglichen Ärger mit Hardcore-Datenschützern ganz zu schweigen. Und welche Reaktion von der Wirtschaft zu erwarten ist, die auf einmal für eine bislang kostenlose Leistung plötzlich Geld bezahlen sollen, ist unschwer zu erahnen.
Wir werden die Diskussion der nächsten Wochen und Monate jedenfalls mit Spannung, vor allem aber mit kritischem Interesse verfolgen.
Created: 01.02.06, modified: 16.02.06
|
