Der elektronische Personalausweis (ePA) kommt mit großen Schritten näher. Doch die Frage, welche Rolle er auch außerhalb der staatlichen Nutzung spielen kann, ist noch offen. Es gibt viel Potenzial – und viele ungelöste Probleme. In den kommenden Jahren wird der bisherige Personalausweis sukzessive vom elektronischen Personalausweis abgelöst werden – so viel ist sicher. Was in einigen Ländern bereits begonnen hat, steht in Deutschland noch bevor. Mit dem elektronischen Personalausweis wird es ein staatliches Hoheitsdokument geben, das eine zuverlässige Identifikation von Personen ermöglicht.
Zudem werden sich auch weitere Identitätsdaten darauf speichern lassen, in einem getrennten und sicheren Speicher. Durch die vorgesehenen Mechanismen für die Nutzung und insbesondere die explizite Zertifizierung der nutzenden Stellen lässt sich auch genau steuern, wer überhaupt auf welche Informationen auf diesem Dokument Zugriff erhalten darf.
Mit der Version 2.0 des Standards EAC (Extended Access Control), bei dessen Definition Deutschland eine zentrale Rolle spielt, soll die Verwendbarkeit des ePA in der Public-/Private-Partnerschaft, also auch für die Verwendung außerhalb der hoheitlichen Funktionen, vorangetrieben werden.
Im Ergebnis wird der ePA also ein Mechanismus, der eine starke Authentifizierung von Personen ermöglicht, mit dem Vorteil, dass schon seine Ausgabe persönlich in den Ordnungsämtern verifiziert wird - eine der großen Herausforderungen bei solchen Mechanismen. Beim Umgang mit den Informationen auf dem ePA werden auch alle Anforderungen des Datenschutzes in überzeugender Weise beachtet - alle Seven Laws of Identity, die Kim Cameron formuliert hat, werden erfüllt.
Diese sieben Regeln definieren, wie mit Identitäten umgegangen werden sollte. Eines der wichtigsten Gesetze von Cameron ist die „minimal disclosure" - es sollen immer nur so viele Informationen weitergegeben werden wie erforderlich. Wenn man heute auf einen Personalausweis schaut, erfährt man viel mehr - neben dem Namen beispielsweise auch die Adresse auf der Rückseite. Das soll beim ePA verhindert werden.
Also das perfekte Werkzeug, um in Zukunft eine sichere Authentifizierung von Benutzern durchzuführen? Die Antwort ist ein klares „Im Prinzip ja, aber..." Es gibt unzählige offene Fragen:
- Wie ist die Integration des ePA mit dem Konzept der Information Cards, um sie bei der Federation nutzen zu können?
- Lässt sich überhaupt eine ausreichende Akzeptanz herstellen oder werden die Ängste vor dem Big Brother überwiegen?
- Was ist mit ausländischen Mitbürgern, die keinen ePA haben?
- Was macht man in der mindestens zehnjährigen Übergangsphase vom konventionellen Personalausweis zum ePA?
- Wer ist der Identity Provider und wie ist sein Geschäftsmodell?
- Und wie funktioniert das Modell international, wo es doch in vielen Ländern keine Ausweispflicht gibt?
Diese Fragen werden derzeit intensiv diskutiert. Die Standardisierung von Protokollen wie EAC bietet eine staatsübergreifende Interoperabilität. Akzeptanz entsteht, wenn es ausreichend attraktive Einsatzbereiche gibt. Und in dem Moment wird auch der Übergang zum ePA schneller gehen. Noch aber gibt es viel Diskussionsbedarf und Raum für Innovationen. Klar ist: Die Kopplung von staatlicher und privater Aktivität muss attraktiv sein - oder es muss auch eine ebenso sichere Lösung ohne den staatlichen Teil geben.
Eine interessante Frage ist übrigens auch, ob wir die Gesundheitskarte eigentlich noch brauchen, wenn wir den ePA haben. Man kann argumentieren, dass auf der Gesundheitskarte ja Daten drauf sind, die auf dem Personalausweis fehlen (aber grundsätzlich darauf sicher gespeichert werden könnten). Oder dass auch ausländische Mitbürger die Gesundheitskarte erhalten können. Das sind aber alles lösbare Probleme.
Und wenn man sie löst, dann kann man mit einem statt zweier solcher Karten auskommen und damit die aufwändigen Logistik-Prozesse und die damit verbundenen Kosten ebenso wie die Technologiekosten erheblich reduzieren. Es würde sich lohnen, auch darüber einmal auf staatlicher Ebene offen nachzudenken.