Digitale Identitäten

Um digitale Verwaltungsprozesse zu nutzen, brauchen Bürgerinnen und Bürger eine sichere und einfach nutzbare Möglichkeit, sich online auszuweisen. Der BfDI berät die Bundesregierung zu mehreren Projekten mit Bezug zu digitalen Identitäten und setze mich für eine Lösung ein, die auf sicherer Technologie basiert und Nutzende durch klare Regeln schützt.

Die Bundesregierung betreibt mehrere Teilprojekte (z. B. Smart-eID, ID-Wallet), die sich mit digitalen Identitäten beschäftigen. Gemeinsames Ziel dieser Teilprojekte ist es, den Bürgerinnen und Bürgern zu ermöglichen, sich online „ausweisen“ zu können. Die Bundesregierung hat die Teilprojekte im Projekt Digitale Identitäten des Bundesministeriums des Innern, für Bau und Heimat (BMI) gebündelt.

Onlineausweisfunktion des Ausweises

In Deutschland existiert mit dem eID-System bereits eine technische Infrastruktur für digitale Identitäten. Hierbei handelt es sich um die bekannte Onlineausweisfunktion des Personalausweises, des elektronischen Aufenthaltstitels und der eID-Karte für Bürgerinnen und Bürger aus EU-Mitgliedstaaten (im Nachfolgenden beziehen sich Aussagen zum Ausweis immer auf alle drei, technisch identisch ausgestattete Dokumente).

Mit einem geeigneten Smartphone oder einem Kartenleser können die mit einem Chip ausgestatteten Ausweise genutzt werden, um Identitäten online rechtssicher nachzuweisen. Das System gilt als datenschutzfreundlich und sicher. So liegt die digitale Identität physisch getrennt vom Internet im Chip des Ausweises. Außerdem benutzt das System keine einheitliche Nummer für jeden Ausweis. Der Chip generiert vielmehr für jede Stelle, bei der der Ausweis „vorgelegt“ wird, eine eigene Nummer. Damit wird eine unerwünschte Profilbildung der Nutzenden über mehrere Dienste hinweg erschwert.

Da die Stellen, die Daten aus dem Ausweis online verarbeiten wollen, sich registrieren lassen müssen und ein Zertifikat ausgestellt bekommen, können Bürgerinnen und Bürger beim Einsatz des Ausweises sicher sein, ihre Identifikationsdaten nur gegenüber seriösen Anbietern offenzulegen.

Smart-eID

Kritisiert wird das eID-System aufgrund bisher geringer Einsatzmöglichkeiten sowie vermeintlich hoher Nutzungshürden durch die Kopplung an den physischen Ausweis.

Um die Nutzung des eID-Systems zu vereinfachen, wurden das Personalausweisgesetz (PAuswG), das eID-Karte-Gesetz (eIDKG) und das Aufenthaltsgesetz (AufenthG) zum 1. September 2021 jeweils so erweitert, dass die Ausweisdaten auch auf ein mobiles Endgerät, z. B. ein Smartphone, mittels eines sicheren Verfahrens übertragen werden dürfen und dann ohne Einsatz der physischen Karte als elektronischer Identitätsnachweis dienen. Das hierzu als Erweiterung des eID-Systems entwickelte Verfahren wird als „Smart-eID“ bezeichnet. Außerhalb des Smartphones wird die bereits bestehende eID-Infrastruktur für die Onlinefunktion des Personalausweises komplett wiederverwendet, so dass die aufgezeigten datenschutzfreundlichen Elemente dieser Infrastruktur auch hier greifen.

ID-Wallet

Gleichzeitig betreibt die Bundesregierung in Zusammenarbeit mit mehreren Unternehmen ein weiteres Teilprojekt, in dem eine ID-Wallet („elektronische Brieftasche“) entwickelt wird. Dabei handelt es sich um eine App für das Smartphone, in der Bürgerinnen und Bürger alle Arten von Nachweis-Dokumenten speichern können sollen. Denkbar sind neben Daten aus Personalausweis oder Führerschein, z. B. auch Leistungsnachweise oder Mitgliedschaftsbescheinigungen.

Den technischen Hintergrund bildet eine Infrastruktur, die auf der Blockchain-Technologie basiert. Dazu wurde im Frühjahr 2021 mit der Anwendung „Hotel-Check-in“ ein Pilotprojekt im nicht-öffentlichen Bereich gestartet. Hier wurde auf der Grundlage einer entsprechenden Erprobungsklausel in § 29 Bundesmeldegesetz (BMG) die ID-Wallet als weiteres elektronisches Verfahren zur Erfüllung des Melderechts erprobt.

Ziel der Bundesregierung ist es, die ID-Wallet darüber hinaus für alle Lebensbereiche zu öffnen und so zusammen mit der Blockchain-Infrastruktur ein sog. „Ökosystem“ für selbstverwaltete Nachweise aller Art aus dem öffentlichen und nicht öffentlichen Bereich zu schaffen.

Aufgrund der aufsichtsbehördlichen Zuständigkeit der Landesdatenschutzbehörden für den nicht öffentlichen Bereich (z. B. Hotel-Betreiber) erfolgte meine Beratung mit Blick auf diese geplante Verwendung der ID-Wallet ausschließlich bezogen auf die seitens der Bundesregierung konzipierte Grundstruktur der App. Insoweit konnte ich aber bereits Fragen und Hinweise u. a. zur fraglichen Zweckmäßigkeit der Blockchain-Technologie und zur Sicherheit der ID-Wallet-App adressieren, die sowohl das Pilotprojekt als auch die spätere breitere Verwendung betreffen werden.

Gerade beim Einsatz der Blockchain-Technologie ergeben sich komplexe datenschutzrechtliche Fragen, die bislang noch nicht hinreichend geklärt werden konnten. Wenn personenbezogene Daten auf der Blockchain verarbeitet werden, muss es einen hierfür Verantwortlichen geben, an den sich Betroffene wenden können. Dieser muss unter anderem in der Lage sein, insbesondere auch das Recht auf Löschung oder Korrektur wahrzunehmen, was in einer auf Unveränderlichkeit ausgelegten Struktur wie der Blockchain-Technologie eine Herausforderung ist.

Verknüpfung der Smart-eID mit der ID-Wallet

Ein weiteres Ziel der Bundesregierung ist es, mit Hilfe einer sog. Basis-ID aus dem elektronischen Personalausweis abgeleitete Identifikationsdaten in der ID-Wallet bereitzustellen. Im August 2021 gab es hierzu eine Veranstaltungsreihe unter Hinzuziehung von Experten unterschiedlicher Disziplinen mit der Zielsetzung, Lösungen für eine Verknüpfung der Smart-eID und des Ökosystems der ID-Wallet zu entwickeln.

In Anbetracht einer Prüf- und Bewertungsfrist von lediglich zwei Wochen und in Ermangelung prüffähiger Dokumente habe ich meine erste Einschätzung anhand der Gewährleistungsziele des Standard-Datenschutzmodells vorgenommen. Dabei habe ich eine Präferenz für die Nutzung der (Smart-)eID-Infrastruktur zur Identifikation und zum dauerhaften Speichern der Identifikationsdaten ausgearbeitet, bei dem Verantwortlichkeiten bereits etabliert sind das Sicherheitsniveau bekannt und eine Rechtsgrundlage vorhanden ist.

ID-Wallet-App mit Führerschein-Nachweis

Am 23. September 2021 veröffentlichte die Bundesregierung überraschend die ID-Wallet-App. Die Veröffentlichung erfolgte aber nicht in der Smart-eID-verknüpften Form des Pilotprojektes („Hotel-Check-in“), zu der meine Beratung erfolgte, sondern mit dem Führerschein-Nachweis als erstem Anwendungsfall. Weder über diesen Veröffentlichungszeitpunkt noch über die Planungen zur Einbindung des Führerschein-Nachweises war ich im Vorfeld informiert.

Diese App-Variante musste bereits nach einer Woche wieder zurückgezogen werden, um Datenmissbrauch zu vermeiden. Sicherheitsforscherinnen und -forscher hatten Möglichkeiten aufgezeigt, das System anzugreifen und die Nutzenden über die wahren Empfänger ihrer Daten zu täuschen.

Zusammenfassende Bewertung der Aktivitäten der Bundesregierung

Die Bestrebungen der Bundesregierung zur Ermöglichung einer besseren Nutzbarkeit digitaler Identitäten sind – wie oben dargestellt – in mehreren parallel betriebenen Teilprojekten verteilt. Um digitale Verwaltungsprozesse im öffentlichen und nicht-öffentlichen Bereich medienbruchfrei zu nutzen, brauchen Bürgerinnen und Bürger eine sichere und einfach nutzbare Möglichkeit, sich online auszuweisen. Die Vorgaben zur Umsetzung solcher Prozesse sollten in erster Linie durch den Staat gestaltet werden, um sich nicht den Regeln großer Technologiekonzerne unterwerfen zu müssen. Die Grundvoraussetzung für ein Identifikationssystem ist mit der eID-Infrastruktur, basierend auf etablierter Technik, vorhanden. Durch den Ausbau der bisher eher überschaubaren Einsatzmöglichkeiten elektronischer Identitäten könnte auch aus meiner Sicht ein größerer Nutzungsanreiz gesetzt werden. Auch Erweiterungen und Vereinfachungen der Nutzungsoberfläche sind sinnvoll, wenn sie sicherstellen, dass die mit der eID erreichbare Verbesserung der Datenhoheit der Bürgerinnen und Bürger im digitalen Bereich auch effektiv zum Tragen kommt.

Ein digitales Nutzungssystem, das Bürgerinnen und Bürgern ihre Identifikationsdaten und weitere Attribute wie Zeugnisse in ihrer eigenen Verwendungshoheit belässt, begrüße ich daher prinzipiell. Allerdings führt der Ansatz, dass Betroffene selbst ihre Daten verwalten, allein noch nicht zur Datensouveränität. Es muss auch sichergestellt sein, dass sie informiert und ohne Nachteile entscheiden können, wem sie welche Daten offenbaren. Zudem wird ein klares Regelwerk benötigt, das Verantwortliche und deren Pflichten benennt und Bürgerinnen und Bürger systematisch schützt. Technisch muss die Lösung so ausgereift sein, dass sie in der Lage ist, Betrug und Datenabfluss zu verhindern. Hierfür werde ich mich auch weiterhin bei der Beratung zum Gesamtprojekt „Digitale Identitäten“ einsetzen.

Quelle: BfDI

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
• Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
• Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO

Dieser Absatz enthält Affiliatelinks/Werbelinks