Für Tim Cole, einen der Gründer des Beratungshauses Kuppinger Cole + Partner (KCP) in München, ist die Faktenlage klar: Von einem vertrauenswürdigen Informanten aus dem Bundesministerium des Inneren (BMI) hat er erfahren, dass nicht nur Behörden, sondern auch Unternehmen gegen ein Entgelt auf Personendaten zugreifen können, die ab 2008 auf den neuen Personalausweisen gespeichert sein werden.
Um die digitalen Ausweisdaten wie Name, Adresse und Geburtsdatum auf den neuen Personalausweisen nutzen zu können, müssten Privatunternehmen ein Berechtigungszertifikat erwerben. Hierfür, so Cole, sei ein Nutzungsentgelt zu entrichten. Offen sei, wie die Abrechnung erfolgen soll. Im Bundesinnenministerium sei ein Betrag von 40 bis 50 Cent pro Datensatz im Gespräch.
Eine Sprecherin des Innenministeriums verwies alle diese Angaben ins Reich bloßer Gedankenspiele. "Die durch KPC gemachten Aussagen greifen nur ein mögliches Denkmodell auf. Entscheidungen oder Festlegungen sind bisher noch nicht getroffen worden." Denkmodelle seien erlaubt und auch notwendig, um die Machbarkeit der jeweiligen Modelle zeitnah transparent diskutieren zu können. "Die durch KPC genannten Preise hingegen sind frei erfunden."
Die Sprecherin bestätigte der COMPUTERWOCHE, dass es Diskussionen über die Ausgestaltung des neuen Personalausweises gebe. Sämtliche Planungen hierzu befänden sich aber in einem sehr frühen Stadium. Beredet werde etwa, ob dem neuen Personalausweis auch biometrische Daten, also ein digitalisiertes Bild des Besitzers sowie Fingerabdrücke des rechten und linken Zeigefingers, hinzugefügt werden sollen. Der Ende 2005 vorgestellte elektronische Reisepass (ePass) ist mit einem Foto versehen. Die Fingerabdrücke sollen in einer erweiterten Ausprägung im Jahr 2007 dazukommen.
Ebenfalls überdacht werde, ob der Personalausweis mit einer qualifizierten digitalen Signatur versehen werden soll. Letzterer Aspekt wird im Innenministerium insbesondere mit Blick auf die stetig wachsende Zahl der Geschäftsabwicklungen im Internet diskutiert. Hier könnte ein Personalausweis mit digitalisierter Unterschrift Authentifizierungsverfahren erleichtern.
Cole zitierte diesbezüglich den Staatssekretär im Bundesinnenministerium, Bernhard Beus, der bei der Eröffnung des Fachkongresses Omnicard in Berlin die Bedeutung des Personalausweises für die Wirtschaft betont habe. "Eine gesicherte Identität im Internet ist der Dreh- und Angelpunkt für sichere und vertrauenswürdige elektronische Geschäftsprozesse", sagte Beus demnach. Es liege daher nahe, "den Personalausweis als bereits etabliertes Identitätsdokument tauglich für die Nutzung in der elektronischen Welt zu machen".
Die Sprecherin des Bundesinnenministeriums betonte allerdings, es würden zum momentanen Zeitpunkt lediglich "Planungen für den digitalen Personalausweis mit einer Authentifizierungsfunktion in Computernetzen und mit den gleichen Biometriefunktionen wie beim biometrischen Reisepass (ePass), der am 1. November 2005 eingeführt wurde, aufgenommen". So viel könne man bestätigen.
Auch würden zurzeit verschiedene Geschäftsmodelle diskutiert, die mit den Kosten und Gebühren bei der Einführung des neuen Personalausweises zusammenhingen. Abschließende Entscheidungen gebe es aber nicht. "Wir sind diesbezüglich noch in einem Vorvorvorstadium", so die Sprecherin.
Datenschützer weisen darauf hin, dass Unternehmen zum Einlesen der Daten des vor Monaten präsentierten Reisepasses ein Lesegerät benötigen, das sich mit einem Zugriffsschlüssel authentifiziert. Nur so könnten die biometrischen Daten, die auf dem Ausweis auf einem Radio-Frequency-Identification-Chip (RF-ID) abgespeichert sind, eingelesen werden. Der zugrunde liegende Zugriffsschutz ("Basic Access Control") sichert die Daten des Fotos des Reisepassinhabers. Fingerabdrücke, wie sie für den EU-Reisepass ab 2007 vorgesehen sind, sind zudem durch einen gesonderten Zugriffsschutz ("Extended Access Control") abgesichert. Diese biometrischen Daten dienten lediglich der Authentifizierung von Personen an Landesgrenzen und würden auch nur für den Zugriff für entsprechende Behörden freigegeben, hieß es wiederum aus dem Bundesinnenministerium.
Abgesehen von diesen Sicherungsmechanismen gelte zudem grundsätzlich, dass ohne Einwilligung eines Passinhabers keine Daten weitergegeben werden können. Der Ausweishalter muss hierzu eine PIN eingeben, betonten Datenschützer.
Neues Geschäftsmodell des Staats
Cole von KCP sagte des Weiteren, mit der Einführung eines digitalen Personalausweises hätten Behörden die Möglichkeit zu bestimmen, wer dessen Daten erfahren dürfe. "Da die elektronischen Daten verschlüsselt sind, können die Behörden über weite Strecken bestimmen, wer sie einsehen darf und wer nicht", so Cole.
Dieser technische Umstand diene als Basis eines neuartigen staatlichen Geschäftsmodells, so der KCP-Mann. Unternehmen sollen über Berechtigungszertifikate auf Daten des Reisepasses zugreifen können.
Wer für die Ausgabe der Berechtigungszertifikate zuständig sein soll, ist laut Cole noch nicht klar. Im Ministerium werde darüber nachgedacht, eventuell die Bundesdruckerei GmbH oder das Bundesamt für Sicherheit in der Informationstechnik (BSI) als "Root Certificate Authority" einzusetzen, die wiederum über einen oder mehrere private Anbieter oder über ein Shared Service Center Berechtigungen an Privatunternehmen verkaufen.
Dabei stehen nach KCP-Informationen zwei Berechnungsmodelle zur Diskussion. Beim "Abo-Modell" könnten Unternehmen für einen bestimmten Zeitraum (zum Beispiel für ein Jahr) das Recht erwerben, alle oder einzelne digitalen Daten von Personalausweisen im Rahmen ihrer Geschäftsprozesse zu verwenden. Erörtert werde auch ein "Transaktionsmodell", bei dem jedes Mal eine Gebühr anfalle, wenn ein Ausweis gelesen wird.
Unklar ist bislang auch noch, wie hoch die Gebühren für die Benützung von Ausweisdaten durch die Wirtschaft ausfallen werden. Im Bundesinnenministerium diskutiere man, im Falle eines Transaktionsmodells einen Obolus von 40 bis 50 Cent pro Datensatz zu verlangen.
Die Pläne des Innenministeriums seien im Einzelnen allerdings noch nicht ausgereift, konzediert Cole. Ein Zeitplan stehe aber schon fest: "Sobald das Grobkonzept verabschiedet ist, wird der Referentenentwurf zur notwendigen Änderung des Personalausweisgesetzes noch in diesem Jahr auf den Weg gebracht, damit fristgerecht im Laufe des Jahres 2007 die rechtlichen Voraussetzungen geschaffen werden können. 2008 könnten dann die ersten Ausweise an Bürger ausgegeben werden."
Das Geld aus dem Verkauf der Berechtigungszertifikate soll, wie Cole erfahren haben will, weitgehend dazu verwendet werden, die höheren Kosten der Hightech-Ausweise auszugleichen. Bei der Einführung des elektronischen Reisepasses Ende vergangenen Jahres hatte es Kritik an den massiv gestiegenen Gebühren für die Bürger gegeben: Mit 59 Euro hatte sich der Preis für einen Reisepass mehr als verdoppelt. (jm)