Yes, they scan Den „Perso“ nicht mehr aus der Hand geben

Autor / Redakteur: Martin Kuppinger* / Stephan Augsten

Der Personalausweis erfüllt viele Zwecke: Er dient der Identifikation, der Legitimation von Vertragsabschlüssen und mitunter auch als Pfand. Was vielen nicht bewusst ist: Bereits seit 2009 dürfen nur noch bestimmte Stellen den Ausweis einfordern.

Firmen zum Thema

Neben den persönlichen Daten findet sich auf dem ePA nun die besonders schützenswerte Zugangsnummer (rechts unten).
Neben den persönlichen Daten findet sich auf dem ePA nun die besonders schützenswerte Zugangsnummer (rechts unten).
(Bild: Bund.de)

Wer als Besucher eines größeren Unternehmens die Pförtnerloge passiert, kennt oft die Situation, die ich erst kürzlich wieder zweimal kurz hintereinander erleben durfte: Man erhält erst einen Besucherpass, wenn man dafür während des Aufenthalts den eigenen Personalausweis hinterlässt.

Abends im Hotel lässt sich der Mitarbeiter in der Rezeption dann beim Einchecken vom Gast den Ausweis zeigen und erstellt rasch eine Kopie. Wer sich noch ein wenig im benachbarten Wellnesscenter erholen möchte, hinterlässt das Dokument häufig an der Kasse als Pfand für den Schrankschlüssel.

Abends an der Bar wird schnell noch mal was bei Facebook gepostet. Morgen ist ein neuer Tag. Für Geschäftsreisende heißt das häufig anderes Unternehmen, anderes Hotel, eventuell anderes Fitnessstudio. Und für die Fahrt zum nächsten Ort müssen sie ein Auto mieten. Gerne scannt der Mitarbeiter des Verleihs beim Abholen zur Sicherheit ihren Personalausweis ein.

Wer darf eine Herausgabe verlangen?

Wohl die meisten geben das Dokument und damit die darauf sichtbaren Daten überall bereitwillig ab und denken gar nicht weiter darüber nach. Dabei ist es infolge einer Änderung im Personalausweisgesetz seit 2009 nur noch bestimmten Stellen erlaubt, die Herausgabe des Ausweises zu verlangen, geschweige denn diesen zu kopieren oder digital einzuscannen und dauerhaft zu speichern. Hierzu zählen insbesondere Banken, Versicherer, Anwälte, Steuerfahnder, Telekommunikationsunternehmen (Telefonverträge) und Behörden wie die Polizei.

Das gilt für den im November 2010 eingeführten elektronischen Personalausweis übrigens genauso wie für das vorherige Dokument. Was viele nicht wissen: Man muss den Personalausweis gar nicht immer mit sich führen. Bis auf wenige Ausnahmefälle reicht es in Deutschland, ihn zu besitzen. Das schützt auch vor Verlust und Diebstahl des Dokuments.

Geraten persönliche Informationen aus dem eigenen Hoheitsbereich heraus, haben Kriminelle unter Umständen leichtes Spiel: Besitzt ein Dritter etwa Adresse, Name und Geburtstag, so könnte er Konten eröffnen, Kreditkarten bestellen oder Verträge abschließen.

Wie wenige Informationen in den falschen Händen das gewohnte Leben von Jetzt auf Gleich ins Chaos stürzen können, zeigt eindrucksvoll das Beispiel der Journalistin Tina Groll. Den Übeltätern reichten ihr Name und ihr Geburtsdatum sowie weitere, schnell auffindbare Informationen über sie aus dem Web, um in ihrem Namen lange Zeit massenhaft Online-Bestellungen zu tätigen. Dabei blieb das Opfer zunächst völlig ahnungslos.

Die junge Frau bekam erst Wind von der Sache, als Inkassobriefe und sogar ein Haftbefehl ins Haus flatterten. Heute schildert sie ihre Erfahrungen im Netz, damit andere sich besser vor brutalem Identitätsdiebstahl schützen können. Eine wichtige Aufgabe, denn es ist gut möglich, dass jeder fünfte Deutsche schon einmal Opfer von Identitätsdiebstahl oder -missbrauch war.

Bitte lesen Sie auf der nächsten Seite weiter.

Der ePA ist ein multifunktionales Dokument

Beim elektronischen Personalausweis (ePA) kann das Kopieren und Einscannen noch deutlich gravierendere Folgen haben als beim alten Papierausweis: Denn er enthält mehr als das, was auf den ersten Blick sichtbar ist. Über eine integrierte Lösung lassen sich auf dem ePA auch weitere Informationen speichern und verarbeiten, damit die rechtmäßigen Eigentümer sich mit ihm etwa online für Geschäfte oder Behördendienste (eGovernment) identifizieren können.

Auf dem Ausweis findet sich zudem eine sechsstellige Berechtigungsnummer (Card Access Number, CAN). Diese Prüfziffern ermöglichen Polizei, Zollbeamten und Meldestellen den Zugriff auf die im Ausweis gespeicherten Daten. Die CAN sollte nach Auffassung des Bundesinnenministeriums sonst nur dem Ausweisinhaber selbst bekannt sein.

In §1 Personalausweisgesetz (PAuswG) steht über die Ausweispflicht: „Vom Ausweisinhaber darf nicht verlangt werden, den Personalausweis zu hinterlegen oder in sonstiger Weise den Gewahrsam aufzugeben. Dies gilt nicht für zur Identitätsfeststellung berechtigte Behörden sowie in den Fällen der Einziehung und Sicherstellung.“

Wer sich daran nicht hält, verstößt auch gegen §14 des PAuswG. Dieser regelt abschließend, wann personenbezogene Daten erhoben werden dürfen und wann nicht: „Außer zum elektronischen Identitätsnachweis darf der Ausweis durch öffentliche und nichtöffentliche Stellen weder zum automatisierten Abruf personenbezogener Daten noch zur automatisierten Speicherung personenbezogener Daten verwendet werden.“

Kopieren verboten!

Obwohl nicht ausdrücklich erwähnt, ist auch das Kopieren des Personalausweises nach Meinung von Fachanwälten verboten. Kopien gefährden die Legitimationswirkung der Ausweise. Nur die Inhaber selbst dürfen Sicherungskopien ihrer Ausweise anfertigen. Das heißt für juristische Laien: Geschäftspartner oder Dienstleister dürfen sich den Ausweis weiterhin zeigen lassen, um eine Person, ihr Alter und ihre Anschrift zu verifizieren. Sie können die Daten auch abschreiben.

Das war's dann aber. Alles Weitere wäre ein Verstoß gegen den Datenschutz. „Um als Unternehmen datenschutzrechtlich auf der sicheren Seite zu sein, empfiehlt es sich, im Sinne des Prinzips der Datensparsamkeit und Datenvermeidung lediglich einen Vermerk über vorgelegte Pass- und Ausweisdaten anzufertigen“, sagt der Bremer Justiziar und Datenschutzexperte Clemens Grünwald im Blog.

Der Münchner Anwalt Dr. Andreas Splittgerber rät Unternehmen, in Frage kommende Abteilungen auf diese Rechtslage hinzuweisen. Schließlich geht es auch ohne Ausweis: Im Bundestag fragt man Besucher heute etwa nach einer Bahncard oder etwas Vergleichbarem.

Bitte lesen Sie auf der nächsten Seite weiter.

Nur die wirklich wichtigen Daten übermitteln

Martin Kuppinger: „Der ePA muss sich einfacher nutzen lassen als beim zunächst vom Bund gewählten Ansatz.“
Martin Kuppinger: „Der ePA muss sich einfacher nutzen lassen als beim zunächst vom Bund gewählten Ansatz.“
(Bild: KuppingerCole)

Mit der integrierten Kartenfunktion zur elektronischen Identifizierung (eID) können sich die Besitzer des neuen Ausweises darüber hinaus im Internet oder an Automaten auf einfache Weise rechtsgültig authentifizieren. Die Betreiber des Angebots benötigen hierzu ein staatliches Berechtigungszertifikat.

Alle an einem Geschäft beteiligten Parteien können so relativ sicher sein, dass sich wirklich der erwartete Partner auf der anderen Seite befindet und niemand die Identität des Ausweisinhabers missbraucht. Dieser muss zudem bei einer Online-Transaktion nur wirklich relevante Daten preisgeben („Minimal Disclosure“), die das Gegenüber etwa zur Altersverifizierung haben muss. Zum Beispiel ist es nicht erforderlich, das exakte Geburtsdatum (Tag/Monat/Jahr) anzugeben. Ein einfaches „Ja“ reicht als Antwort, um eine erwachsene Person für ein Angebot zu legitimieren.

Der Ausweisinhaber muss zudem mittels einer persönlichen Identifikationsnummer (PIN) ausdrücklich zustimmen, bevor Informationen in irgendeiner Form übermittelt werden. Das gilt auch für die kontaktlos auslesbaren Daten. Der Ausweis ermöglicht es sogar, sich mittels Pseudonym völlig unerkannt im Netz zu bewegen, zum Beispiel in Chaträumen.

Mehr Komfort und Sicherheit sind möglich

Der Nutzer muss seine Daten daher auch generell nur einmal an einen Anbieter übermitteln und wird bei jedem neuen Anmeldeversuch zuverlässig wiedererkannt. Zusätzlich lässt sich das Zertifikat für eine qualifizierte elektronische Signatur in den Ausweis integrieren, mit der sich etwa Verträge und verschiedene Behördendokumente – Anträge, An- und Ummeldungen etc. – über ein Kartenlesegerät rechtsgültig unterzeichnen lassen.

Auch wenn es bislang trotz rund 35 Millionen Nutzern noch nicht so richtig in Schwung gekommen ist: Das Konzept des elektronischen Ausweises ist gut durchdacht und zukunftsfähig. Ich erwarte von der digitalen Visitenkarte eine ganze Reihe weiterer wertvoller personenbezogener Anwendungen. Vor allem aber muss sich der Ausweis einfacher nutzen lassen als beim zunächst vom Bund gewählten Ansatz.

Open Source NFC (Near Field Communication) für das kontaktlose Auslesen von Daten oder Angebote wie SkIdentity weisen hier in die richtige Richtung. Die Trusted-Cloud-Lösung ermöglicht es etwa auch, Ausweise und Bankkarten anderer Länder einzubinden. Eine Authentifizierung per Personalausweis erfordert damit keine geschlossenen Eigenentwicklungen mehr. Das erleichtert auf internationaler Ebene die Einführung flexibler, offener Standards und führt zu deutlichen Einsparpotenzialen.

Tipp: Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hat im Oktober 2014 eine Online-Broschüre zum kostenfreien Download veröffentlicht, die über den korrekten Umgang mit Personalausweisdaten aufklärt.

* Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

(ID:43680990)