Elektronischer Personalausweis

Sichere Online-Shops mit dem nPA

Jürgen Hill ist Teamleiter Technologie. Thematisch ist der studierte Diplom-Journalist und Informatiker im Bereich Communications mit all seinen Facetten zuhause. 
Mehr Sicherheit im Online-Handel verspricht der neue Personalausweis. Mit Thomas Walloschke, Business Development Manager E-Government bei Fujitsu, diskutierte CW-Redakteur Jürgen Hill über die richtige Implementierungsstrategie.

CW: Welche Vorteile hat ein Shop-Betreiber, wenn er den neuen Personalausweis (nPA) in seinen Online-Shop integriert?

Thomas Walloschke, Fujitsu-Manager, konnte bereits erste Erfahrungen mit dem nPA sammeln.
Thomas Walloschke, Fujitsu-Manager, konnte bereits erste Erfahrungen mit dem nPA sammeln.
Foto: Fujitsu

WALLOSCHKE: Er profitiert vor allem von effizienteren Abläufen, und die Bestellprozesse verbessern sich. Mit der neuen eID-Funktion des nPA kann er zweifelsfrei feststellen, ob es sich beim Bestellenden um die Person handelt, zu der Name und Daten der Lieferanschrift gehören. Zudem lassen sich dank der optionalen elektronischen Signatur beispielsweise Verträge online rechtsverbindlich unterzeichnen.

CW: Erübrigt sich mit dem nPA das Post-Ident-Verfahren für Waren mit Zulassungsbeschränkung ab 18 Jahre?

WALLOSCHKE: Ja, Unternehmen sind darauf nicht mehr angewiesen. Viele werden dank des nPA neue Kunden gewinnen können, weil das aufwendige Post-Ident-Prozedere bisher wohl so manchen Interessenten abgeschreckt hat.

CW: Was braucht ein Shop-Betreiber alles, um den nPA zu nutzen?

WALLOSCHKE: Die Geschäftsführung muss sich eindeutig für eine Einbindung entscheiden und die damit verbundene Umstellung aktiv unterstützen. Sie beginnt bereits auf Ebene der Geschäftsprozesse und muss früh geplant werden. Unternehmen sollten zunächst ihre aktuellen Geschäftsprozesse analysieren und klare Ziele definieren. Daraufhin sollten sie die Prozesse auf die geplante Anwendung hin umstrukturieren. Dann müssen die neuen Prozesse für den Antrag bei der Vergabestelle für Berechtigungszertifikate (VfB) des Bundesverwaltungsamts dokumentiert werden. Nur mit einem entsprechenden Zertifikat können Webshop-Anbieter so genannte eID-Services aufsetzen und mit expliziter Zustimmung des nPA-Inhabers bestimmte Daten auslesen.

CW: Stichwort Zertifikate - wer gibt sie heraus, und welche Daten muss ich als Shop-Betreiber gegenüber der Vergabestelle angeben, beziehungsweise wie genau ist die Prüfung?

WALLOSCHKE: Berechtigungszertifikate kann man sich als Ausweise für juristische Personen vorstellen. Bei der Beantragung fordert die VfB Angaben über die verantwortlichen Personen, Nachweise wie Handelsregisterauszug und Datenschutzerklärung sowie die Darstellung der neuen Geschäftsprozesse beziehungsweise Angaben zur Verwendung der Daten. Nach ausführlicher juristischer Prüfung kann der Shop-Betreiber bei Vorliegen der Genehmigung das technische Berechtigungszertifikat bei einem Zertifikatsanbieter bestellen.

CW: Es ist immer wieder von einem eID-Server zu lesen, wer betreibt den? Der Shop-Betreiber oder ein Dienstleister?

WALLOSCHKE: Beide Varianten sind möglich. Allerdings gehen wir davon aus, dass vorerst Dienstleister im Vordergrund stehen werden.

CW: Welche Kosten kommen auf den Shop-Betreiber zu, etwa für Berechtigung/Zertifikat oder eID-Server?

WALLOSCHKE: Die Gebühren für den Erstantrag bei der VfB belaufen sich auf 102 Euro. Aktuell bewegen sich die einmaligen Kosten für das Berechtigungszertifikatspaket und die eID-Dienstleistungen zwischen 2800 und 3500 Euro. Die Höhe hängt vom Dienstleister ab.

CW: Und was kosten die Abfragen selbst?

WALLOSCHKE: Hier können Sie mit monatlichen Pauschalen in Höhe von 300 bis 500 Euro für eID-Dienstleistungen kalkulieren. Transaktionsbezogene Pay-as-you-go-Abrechnungsmodelle werden sich bei entsprechender Nachfrage entwickeln.

CW: Fujitsu hat ja selbst am Anwendungstest teilgenommen - auf welche Hürden sind Sie gestoßen?

WALLOSCHKE: Durch die auf dem IT-Gipfel 2008 präsentierten Lösungen mit dem nPA-Prototypen verfügte Fujitsu bereits über Erfahrungen, die wir in den Anwendungstest einbringen konnten. Die wohl spannendste Änderung ist die Einführung der Postleitzahl auf den nPA.

CW: Wenn Sie auf das Projekt zurückblicken, welche Tipps können Sie Anwendern geben?

WALLOSCHKE: Meine wichtigsten drei Tipps lauten: klare Ziele für neue Geschäftsprozesse definieren, alle Unternehmensebenen einbinden und den Datenschutz zur obersten Priorität machen.

CW: Gibt es eine einfache Checkliste, an der sich ein Projektleiter orientieren kann?

WALLOSCHKE: Wir wollen eine unkomplizierte Integration und Nutzung ermöglichen. Die Erkenntnisse aus dem Anwendungstest stellen eine sehr gute Grundlage für erste Checklisten dar.

CW: Wo sehen Sie Plus- und Minuspunkte in Sachen nPA als Bestandteil eines Online-Shops?

WALLOSCHKE: Sowohl Kunden als auch Unternehmen ermöglicht diese Innovation wesentlich sicherere Transaktionen im Internet. Dadurch kann sie für hohe Akzeptanz auf beiden Seiten sorgen. Allerdings erfordert der Ausweis eine umfassende Aufklärung der Bürgerinnen und Bürger. Bis der nPA tatsächlich überall im Einsatz ist, wird noch einige Zeit ins Land gehen. Wer rechtzeitig mit der Prozessimplementierung beginnt, erfüllt erhöhte Datenschutzanforderungen und hat zugleich die Weichen für den Erfolg gestellt.