Infobörse 6 Digitale Ausweise, Bürgerkarten und Selbstbestimmung Marit Hansen Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Sommerakademie, 29. August 2005 Überblick Digitale Ausweise und Bürgerkarten Definition Beispiele Deutschland Finnland Belgien UK Frankreich (Österreich) Anforderungen des Datenschutzes Aktuelle Fragestellungen Ausblick: Untersuchung im Projekt FIDIS Sommerakademie "Datenschutzgerechtes E-Government", 2005 1
Digitale Ausweise und Bürgerkarten Nicht immer ein fassbares Dokument oder eine (Chip-)Karte, sondern Konzept oder Verfahren Hier im Fokus: vom Staat herausgegebene digitale Ausweise und Bürgerkarten Zwecke: Identifizierung des Bürgers Nachweis einer Berechtigung durch Authentisierung Beschleunigung und Effizienzverbesserung des Verwaltungsverfahrens Verbreitung der elektronischen Signatur ecard-strategie der Bundesregierung Quelle: Presseerklärung vom 9. März 2005 Ziel: elektronische Dienstleistungen auf einem hohen Datenschutzniveau kostengünstig, sicher und einfach zur Verfügung zu stellen Stützpfeiler: Elektronische Authentisierung Qualifizierte elektronische Signatur Die Festlegung auf gleiche Standards gewährleistet Effizienzgewinne und Kosteneinsparungen. Gleichzeitig leistet der Einsatz der neuesten Chipkarten-Technologie einen Beitrag für mehr Sicherheit, Datenschutz, Verlässlichkeit und Rechtsverbindlichkeit im Internet sowie zur Bekämpfung von Betrügereien. Sommerakademie "Datenschutzgerechtes E-Government", 2005 2
ecard-strategie der Bundesregierung Elektronische Gesundheitskarte Implementierung ab 2006 Zurzeit Pilotprojekte, z.b. www.gesundheitskarte-sh.de Digitaler Personalausweis Nachfolgeprojekt nach Reisepass, mit Biometrie JobCard-Verfahren Implementierung ab 2007 Information: http://www.heise.de/ct/04/13/046/ Elektronische Steuererklärung (ELSTER) Implementiert seit 2002 Wesentliche Verbesserungen ab 2006 geplant Offizielle Information: http://www.bmwa.bund.de/redaktion/inhalte/pdf /E/ecard-strategie,property=pdf.pdf Beispiele aus anderen Ländern Sommerakademie "Datenschutzgerechtes E-Government", 2005 3
Beispiel Finnland (1) Erstes europäisches Land mit digitalem Ausweis (Chipkarte) Seit 2000 für jeden finnischen Bürger erhältlich Beispiel Finnland (2) Zweck: Ausweis und Reisedokument Zusätzlich Zugriff auf Dienste in den Bereichen Online-Banking, (Kranken-)Versicherung, Ausbildung und öffentlicher Dienst Weitere Dienstnutzungen geplant: The electronic ID card will become a single key for numerous on-line services Auf der Karte sind Zertifikate für Authentisierung und digitale Signatur mit den folgenden Informationen gespeichert: Vor- und Nachname Eindeutige elektronische Nutzernummer (FINUID) Sequentielle Nummer mit Prüfsumme Enthält keine Informationen über den Bürger, insbesondere nicht die persönliche Identifikationsnummer, die bei Geburt vergeben wird, und nicht Informationen zur Adresse oder zum Geburtsdatum Sommerakademie "Datenschutzgerechtes E-Government", 2005 4
Beispiel Belgien (1) ID-Card mit Signaturfunktionalität Seit Sept. 2004 in ganz Belgien ausgegeben Kritische Begleitung durch Danny De Cock, http://godot.be Sommerakademie "Datenschutzgerechtes E-Government", 2005 5
Beispiel Belgien (4) Einsatz der eid-karte im E-Government und Privatsektor (z.b. Dienste im Web, Vertragsschluss) Auf der Karte sind gespeichert: Zertifikate für Authentisierung und digitale Signatur Bürgerdaten: Digitales Foto (JPEG) Eindeutige Bürgernummer des nationalen Melderegisters Geburtsdatum, Geburtsort Spezieller Status (z.b. Behinderung) Adresse (Straße, Hausnummer, PLZ, Stadt) Alle Zertifikate und Bürgerdaten auf der Karte können von jedem gelesen werden. Bei jeder Verwendung erfährt der Kommunikationspartner den Namen und die nationale Bürgernummer. Sommerakademie "Datenschutzgerechtes E-Government", 2005 6
Beispiel Belgien (5): eid-cards im Einsatz Beispiel Belgien (6): Karten, deren die Signaturfunktionalität deaktiviert wurde (pro Monat) Sommerakademie "Datenschutzgerechtes E-Government", 2005 7
Beispiel Belgien (7): Karten, deren die Signaturfunktionalität deaktiviert wurde (in %) Beispiel Großbritannien (1) Bislang keine nationale ID-Card Einführung geplant Kritische Studie der London School of Economics and Political Science (LSE) vom Sommer 2005: http://is.lse.ac.uk/idcard/ identityreport.pdf Sommerakademie "Datenschutzgerechtes E-Government", 2005 8
GB (2): Auszug aus dem Identity-Report der LSE The Report concludes that the establishment of a secure national identity system has the potential to create significant, though limited, benefits for society. However, the proposals currently being considered by Parliament are neither safe nor appropriate. There was an overwhelming view expressed by stakeholders involved in this Report that the proposals are too complex, technically unsafe, overly prescriptive and lack a foundation of public trust and confidence. The current proposals miss key opportunities to establish a secure, trusted and costeffective identity system (S. 5) GB (3): Auszug aus dem Identity-Report der LSE It is inappropriate for government to model the design of a national ID card infrastructure for citizens after architectures for enterprise identity management that centrally house the capability to electronically trace and profile all participants. In the context of a national ID card infrastructure, the privacy implications for citizens of such panoptical identity architectures would be unprecedented. Panoptical identity management architectures would introduce enormous security risks to citizens, companies and government alike, as fraudulent insiders and successful hackers would have the ability to electronically impersonate citizens across organisations, to cause false denial-of-access to citizens on a fine-grained per-transaction basis, and to cause massive identity theft damage. (S. 272) Sommerakademie "Datenschutzgerechtes E-Government", 2005 9
Beispiel Frankreich E-Government-Strategie-Plan 2004-2007 des Ministeriums für den öffentlichen Dienst Vertrauenswürdigkeit im Vordergrund Dezentrale Speicherung der Daten Keine Personenkennziffer, sondern verteilte Realisierung der Identifikatoren http://www.adae.gouv.fr/img/rtf/le_plan_strategique-gb.rtf Vorschlag des Innenministeriums von Februar 2005 «Identité national électronique sécurisée» (INES) Einsatz von Biometrie (Gesicht und Fingerabdruck) mit zentraler Speicherung der Referenzdaten Kontaktloses Auslesen möglich Kombination mit Geldkartenfunktion Anforderungen des Datenschutzes und aktuelle Fragestellungen Sommerakademie "Datenschutzgerechtes E-Government", 2005 10
Datenvermeidung Zweckbindung Ende-zu-Ende-Sicherheit Datenschutzanforderungen Trennung von Kontexten: verschiedene Identifikatoren, verschiedene Schlüssel, Stärkung der Kontrolle durch den Nutzer Aufklärung der Bürger Link: http://www.datenschutzzentrum.de/vortraege/ 050428_weichert_alcatel.htm Aktuelle Fragestellungen Ausgereifte und beherrschbare Technik? Elektronische Signatur Biometrie RFID-Tags bei Pässen Entwicklung zur universell genutzten Personenkennziffer? Z.B. Sozialversicherungsnummer der USA Für Deutschland: einheitliche Steuernummer (Gesetz aus 2004)? Information und Befähigung der Bürger? Datenschutz- und Datensicherheitsrisiken Haftung bei der digitalen Signatur Akzeptanz Sommerakademie "Datenschutzgerechtes E-Government", 2005 11
Ausblick Untersuchung von europäischen digitalen Ausweisen und Bürgerkarten (ID Documents) im Projekt FIDIS Future of Identity in the Information Society Kontakt: http://www.fidis.net/ oder fidis@datenschutzzentrum.de Sommerakademie "Datenschutzgerechtes E-Government", 2005 12