Datenschutzrechtliche Problemfelder des elektronischen Personalausweises ab dem 01.11.2010

Ab dem 01. November 2010 wird von den deutschen Behörden nur noch der elektronische Personalausweis ausgestellt und damit auf längere Sicht der bisherige Ausweis komplett ersetzt. Die Einführung des neuen elektronischen Personalausweises basiert auf dem Gesetz über Personalausweise und den elektronischen Identitätsnachweis (kurz Personalausweisgesetz, PAuswG) von Ende 2008.

Nachdem der Bundesrat bereits im Februar 2009 seine Zustimmung erteilt hat, wird das Gesetz nun im kommenden November in Kraft treten.

Aus datenschutzrechtlicher Sicht ist das neue Ausweisdokument für Bürger der Bundesrepublik

Deutschland bereits heftig in Kritik geraten. Während beim derzeitigen Personalausweis die Daten

nur optisch ausgelesen werden können, werden die Daten beim neuen Personalausweis im Scheckkartenformat auf einem Chip mit PIN-Abfrage digital abgespeichert. In seiner hoheitlichen Funktion als Personaldokument können auch biometrische Informationen wie ein digitalisiertes biometrisches Passbild (verpflichtend) sowie freiwillig die Fingerabdrücke des rechten und linken Zeigefingers abgespeichert werden (optional; anders der elektronische Reisepass [sog. „ePass“], wo dies verpflichtend ist), womit sich der Inhaber des Ausweises auch über das Internet – bei entsprechend vorhandenem Lesegerät – ausweisen kann. Allerdings muss dann auf der Webseite durch Zertifikate sichergestellt werden, dass der jeweilige Seiteninhaber auch berechtigt ist, den Ausweis digital auszulesen.

Der Ausweis soll neben einer Erhöhung der Sicherheit gegen Internetkriminalität auch eine Vereinfachung des elektronischen Identitätsnachweises (sog. „eID“) im Rahmen von elektronischen Geschäftstransaktionen durch höchst fälschungssicher eingestufte Authentifizierungsprozesse ermöglichen. Insbesondere für die elektronische Abwicklung von Verträgen im Bereich von E-Government und E-Business ist es durch die Integrierung einer – wenn auch nur optional erhältlichen – qualifizierten elektronischen Signatur (sog. „QES“) ermöglicht worden, eine eigenhändige Unterschrift auf digitalem Wege zu realisieren, was bisher für den einzelnen schlichtweg zu kostspielig und kompliziert war. Mit dem neuen Personalausweis ist der Bürger direkt Inhaber einer solchen Signatur, falls er denn eine solche auf seinem Ausweis abgespeichert wünscht und beantragt.

Kritische Bedenken erntet der neue elektronische Personalausweis insbesondere hinsichtlich der verwendeten Chip Technologie, die auf dem RFID-System basieren soll. Damit ist es möglich, kontaktlos die auf dem Chip hinterlegten verschlüsselten Daten auszulesen. Als Sicherheitssystem setzt der Ausweis das sog. PACE-Protokoll ein, das vom Bundesamt für Sicherheit in der Informationstechnik entwickelt und derzeit bei verschiedenen Stellen auf Siche…