E-Ausweis: Technisch gelungen, Akzeptanzproblem bleibt
Lob, Kritik und Zweifel an der Wirkung des Gesetzes äußerten Sachverständige bei der Öffentlichen Anhörung zum Gesetz zur Förderung des elektronischen Identitätsnachweises. Ziel des Gesetzes ist, dass die elektronischen Identifizierungsfunktionen des Personalausweises von mehr Menschen genutzt werden. Nach der Anhörung vom 24. April sollte der Gesetzentwurf eigentlich am 27. April zur zweiten und dritten Lesung auf der Tagesordnung des Bundestagsplenums stehen, wurde aber kurzfristig abgesetzt.
Einig waren sich die Sachverständigen im Bundestags-Innenausschuss, dass der elektronische Personalausweis technisch gelungen ist. Dr. Constanze Kurz vom Chaos Computer Club (CCC) sprach von einer komplexen, aber guten Lösung. Jens Fromm vom IT-Dienstleistungszentrum Berlin, der sich vorher beim Fraunhofer-Institut mit dem Thema Personalausweis beschäftigt hatte, sagte: „Die Technik des Personalausweises ist immer noch state of the art, aber man hat ein Stück weit vergessen, den Nutzer mitzunehmen.“
Vier Prozent können alle Funktionen nutzen
Dass die mangelnde Akzeptanz das Hauptproblem des Personalausweises ist, darin waren sich alle Sachverständigeneinig. Laut der Begründung des Gesetzentwurfs ist die eID bei zwei Dritteln der rund 61 Millionen ausgegebenen Ausweise deaktiviert. Der eGovernment Monitor 2016, der unteranderem von der Initiative D21 herausgegeben wurde, kam zu dem Ergebnis, dass nur vier Prozent der Internetnutzer in Deutschland alle Funktionen des Personalausweises vollständig nutzen können. Nach der Befragung besitzt von der Minderheit derjenigen, die die eID-Funktion aktiviert haben, wiederum nur etwa ein Drittel das zur vollständigen Nutzung notwendige Lesegerät.
Constanze Kurz berichtete, dass die Nicht-Nutzung auch Sicherheitsvorteile bringe. So seien keine speziellen Angriffe auf die eID-Funktion bekannt. „Es hat sich einfach für niemanden gelohnt, Schadsoftware zu entwerfen. Es gibt auch keine akademische Forschung dazu. Es interessiert sich einfach keiner dafür. Vielleicht wird sich das ändern, aber nicht durch diesen Gesetzentwurf.“ Zwei der wesentlichen Maßnahmen des Gesetzentwurfs, um die Akzeptanz zu fördern, sind die automatische Freischaltung der eID-Funktion auf den Ausweisen der Bürger und die einfachere Möglichkeit für Unternehmen und Behörden, ein Berechtigungszertifikat für die Nutzung der Funktion zu beantragen.
Deaktivierung per Anruf
Die meisten der Sachverständigen bewerten die automatische Freischaltung als unkritisch, zumal Bürger per Telefonanruf die Funktion wieder deaktivierten könnten. Der Vertreter der Bundesdatenschutzbeauftragten (BfDI), Ministerialdirigent Müller, sah allerdings die Gefahr, dass die automatische Freischaltung künftig auch zu einer Nutzungsverpflichtung führen könnte. Die BfDI schlägt in ihrer schriftlichen Stellungnahme vor, im Gesetz festzuschreiben, dass die Nutzung der eID-Funktion freiwillig ist. Der Grünen-Abgeordnete Konstantin von Notz äußerte Zweifel, ob die Standard-Aktivierung der Funktion das richtige Mittel zur Steigerung der Attraktivität ist: „Alle coolen Features, die das Ding hat – die Leute wollen das nicht und nun macht man einen Zwang daraus.“
Wegfall der präventiven Prüfung
Der Präsident des Bundesamtes für Sicherheit in der Informationstechnik, Arne Schönbohm, sagte, seine Behörde könne dem Gesetz voll zustimmen. Der Rechtswissenschaftler Prof. Dr. Bernd Holznagel von der Universität Münster kritisierte einige Regelungen des Entwurfs. Insbesondere warnte er davor, die „dienstebezogene, präventive Erforderlichkeitsprüfung“ zu streichen, die im § 21 Absatz 2 Nummer 3 des geltenden Passausweisgesetzes (PAusWG) vorgesehen ist. Statt des Wechsels zur nachträglichen Kontrolle sollte es bei vorheriger Kontrolle bleiben. „Das war erprobt und ist gut so“, sagte Holznagel. Andernfalls sehe er die Gefahr, dass gerade kleinere Unternehmen ungewollt gegen das komplizierte Datenschutzrecht verstoßen. Dann drohten ihnen Bußgelder oder auch Imageschäden, wenn der Entzug des Zertifikats bekannt werde. Es sei besser, diese Firmen vor der Nutzung zu beraten.
Der SPD-Abgeordnete Mahmut Özdemir deutete an, dass er eine Präzisierung beim § 21 des PAusWG für nötig hält. Dieser sieht nach der Neufassung vor, dass Anbieter eine Berechtigung für die ganze Organisation bekommen – und nicht mehr wie bisher für jeden Dienst einzeln. Özdemir fragte nach, was das bedeute, wenn zum Beispiel wegen Verstößen ein Dienst seine Berechtigung verliere und das zur Folge habe, dass das ganze Unternehmen seine Berechtigung nicht mehr nutzen könne.
Foto-Abruf durch Nachrichtendienste
Unterschiedlich starke Bedenken hatten CCC -Vertreterin Kurz und Jura-Professor Holznagel gegen den im Entwurf vorgesehenen Lichtbild-Abruf für Polizei und Nachrichtendienste. Während Kurz das Anliegen grundsätzlich „sehr kritisch“ beurteilt, findet Holznagel die Ausweitung auf Nachrichtendienste „positiv“. Aber er schlägt vor, dass die Nachrichtendienste grundsätzlich bei den zuständigen Behörden anfragen müssten und nur im gesetzlich definierten Ausnahmefall selbst automatisiert abrufen dürften.
Fast alle Sachverständigen wiesen daraufhin, dass zusätzlich zum Gesetz größere Anstrengungen nötig sind, damit der elektronische Personalausweis mehr genutzt wird. Jens Fromm vom IT-Dienstleistungszentrum Berlin schlug verstärkte Werbung vor und eine Pflicht für Verwaltungen, geeignete Dienstleistungen anzubieten. Holznagel nannte es ein „No-Go“, dass der Werbeetat im Haushalt von 21 Millionen Euro auf drei Millionen gekürzt worden sei. Er und Constanze Kurz wiesen auf die Stärke der privaten Identifizierungskonkurrenz hin. „Ich hätte mir gewünscht, dass in der Begründung und in einzelnen Vorschriften deutlichgemacht wird, dass die Zukunft im Mobilfunk und im Fingerscan liegt“, sagte Holznagel.
Constanze Kurz erklärte, dass bei den internationalen Anbietern der präventive Datenschutz nicht so ausgeprägt sei, wie bei der deutschen Personalausweis-Lösung. Dafür gebe es zahlreiche Anwendungsmöglichkeiten, die auch von den Anbietern selbst angeboten werden können. Im Auge behalten müsse man insbesondere die Mobile Identity-Lösung des Mobilfunk-Anbieter Weltverbandes GSMA.
Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel Politikmonitoring auf UdL Digital. Sascha Klettke ist Chef vom Dienst und Analyst für Netzpolitik.