Aber nicht nur der Ausweis erscheint damit in

Ähnliche Dokumente
Newsletter Neuer Personalausweis Nr. 2 / 2009

Pressemitteilung 26. Oktober 2010

Der neue Personalausweis

Wissenswertes zum elektronischen Reiseausweis

Bürgerservice Zur Einführung des neuen Personalausweises Was kann der neue Personalausweis? Auswirkungen auf die Ausweisbehörden

Elektronischer Identitätsnachweis. Gundula Heinen

Best Practice AusweisIDent der Identifizierungsdienst von Bundesdruckerei und Governikus

Neuer Personalausweis

Das neue Personalausweisgesetz tritt am 01. November 2010 in Kraft.

Newsletter Neuer Personalausweis Nr. 2 / 2009

Der neue Personalausweis Status und Einsatzszenarien. 4. Oktober 2010 I Mark Rüdiger

Pressemitteilung. adesso diskutiert zehn Thesen zum neuen Personalausweis

Der neue Personalausweis Meine wichtigste Karte / Meine Service-Karte. Heinz Thielmann RC Nürnberg-Sebald 25.März 2011

Personalausweis beantragen

Bundesverwaltungsamt

Der neue Personalausweis

Der Neue Personalausweis

Der neue Personalausweis aktueller Sachstand

Der Personalausweis mit Online-Ausweisfunktion Hinweise und Tipps

Personalausweis beantragen

Die wichtigsten Fragen und Antworten zum neuen Personalausweis. Überblick der Fragen zum neuen Personalausweis

Neues von der eid-funktion und der eidas-integration

Die Online-Ausweisfunktion

Der Personalausweis mit Online-Ausweisfunktion

Bundesministerium des Innern (Einzelplan 06) 1 Fragen zur Softwaresicherheit beim neuen elektronischen Personalausweis 1.0

Seit dem 1. November 2010 gibt es einen neuen elektronischen Bundespersonalausweis mit neuen Funktionen.

Der Personalausweis mit Online-Ausweisfunktion

RFID Chipkartenleser. für den neuen Personalausweis. Basis-Leser Standard-Leser Komfort-Leser

Erstantrag. Angaben über den Antragsteller (Firma - Behörde)

Datenschutz in der Anwendungsentwicklung - Der elektronische Reisepass -

Bürgerclient und eid-service,

Glossar. Altersbestätigung

Der neue Sicherheitspass

Andreas Reisen Referatsleiter im Bundesministerium des Innern. Der neue Personalausweis Meine wichtigste Karte

Der neue Personalausweis Warum er so ist wie er ist.

Der neue Ausweis Tor zu einer digitalen Welt Effizienter Staat

Ich bitte Sie, den Newsletter an alle Mitarbeiterinnen und Mitarbeiter weiterzuleiten, die im Bürgeramt tätig sind. Vielen Dank!

Auch wenn sich Ihre Papiere wieder auffinden, informieren Sie uns bitte umgehend. Kinderreisepass/Personalausweis für Kinder in besonderen Fällen:

Der neue Personalausweis

ecard Strategie der Bundesregierung

Vergabestelle für Berechtigungszertifikate. Seite: 1

4. Berliner Gespräch Der neue Personalausweis meine wichtigste Karte -Anwendungstests, Akzeptanz, Rollout, Roadmap 29. Juni 2010

Was kann ich mit dem neuen Personalausweis machen?

Elektronischer Personalausweis epa

Der neue Personalausweis

Der elektronische Personalausweis kommt

Effizienter Staat 2010

Der elektronische Personalausweis (epa) im Hochschulalltag machbar und sinnvoll? Ein Forschungsprojekt

Nutzung der eid in Online Geschäftsprozessen - Eine Pilotimplementation bei der VBG -

DAS WICHTIGSTE ZUERST 1. Der Personalausweis mit Online-Ausweisfunktion

Informationen zur Verarbeitung von personenbezogenen Daten gemäß Artikel 13 und 14 der EU-Datenschutz-Grundverordnung (EU-DSGVO) in der

Transparenz und Datensparsamkeit von elektronischen Ausweisdokumenten in Deutschland

Wie sicher sind eigentlich die Daten auf dem biometrischen Pass?

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 5.1 Berlin, April Copyright 2017, Bundesdruckerei GmbH

Neuer Personalausweis (npa) für beschleunigte digitale Geschäftsprozesse:

Alles Wissenswerte zum neuen Personalausweis.

Alles Wissenswerte zum neuen Personalausweis.

DAS WICHTIGSTE ZUERST 1. Der Personalausweis mit Online-Ausweisfunktion

Richtlinie betr. die Nutzung der elektronischen Meldeplattform für Meldepflichten gemäss Art. 9 Regelmeldepflichtenrichtlinie

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 4.4 Berlin, Februar Copyright 2017, Bundesdruckerei GmbH

Frank-Rüdiger Srocke Bundesministerium des Innern. Der neue Personalausweis Ein Standard für elektronische Identitäten

Verwirrung um die Aktivierung der Online-Ausweisfunktion. Was müssen die Ausweisbehörden wissen?

Digitale Signatur und neuer Personalausweis im E-Government der Deutschen Rentenversicherung

Ausgewählte Themen der IT-Sicherheit. Wintersemester 2010/2011

Techniken der Ausspähung bedrohte Privatheit

I. ALLGEMEINE BESTIMMUNGEN. Art. 1 Nutzungspflicht. Art. 2 Gegenstand. Art. 3 Zugriffsberechtigung. Art. 4 Legitimationsmerkmale. Vom Regl.

Ermittlung der Schutzanforderungen und erforderlicher Maßnahmen anhand einer Datenschutz-Folgenabschätzung

Grenzüberschreitende gegenseitige Anerkennung elektronischer Identifizierungsmittel im E-Government gemäß eidas-verordnung

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 6.4 Berlin, September Copyright 2018, Bundesdruckerei GmbH

Alles Wissenswerte zum neuen Personalausweis.

Der neue Personalausweis (npa) ab

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 6.2 Berlin, Juni Copyright 2018, Bundesdruckerei GmbH

Hinweis: Reisepässe werden zentral von der Bundesdruckerei in Berlin hergestellt. Vorläufige Reisepässe werden von der Passbehörde hergestellt.

Hinweis: Reisepässe werden zentral von der Bundesdruckerei in Berlin hergestellt. Vorläufige Reisepässe werden von der Passbehörde hergestellt.

D_09d Musterschulungsunterlage zum Datenschutz

Erklärung zum Zertifizierungsbetrieb der TU Darmstadt Classic CA in der DFN-PKI. - Sicherheitsniveau: Classic -

FAQs: Neuer Personalausweis

Auswertung der Umfrage zur Verbreitung des neuen Personalausweises und elektronischer Signaturen

REPORT: Der npa ist da

REGISAFE-Personalausweisregister

ELEKTRONISCHER PERSONALAUSWEIS. Elektronische Zertifikate zur Online- Authentifizierung und zum Signieren von Dokumenten ohne Sicherheitsrisiken

Erfassen von personenbezogenen Daten

Oktatási Hivatal. Országos Középiskolai Tanulmányi Verseny 2010/2011. tanév. Német nyelv II. kategória 2. forduló. Nyelvi feladatlap - Megoldás

Er hat das praktische Format einer Scheckkarte und er bietet Ihnen darüber hinaus neue Funktionen und viele Einsatzmöglichkeiten in der Online-Welt.

Möglichkeiten des neuen Personalausweises

Der neue Personalausweis aktueller Sachstand

RFID Chipkartenleser. für den neuen Personalausweis. Basis-Leser Standard-Leser Komfort-Leser

Entwickelt von OpenLimit für das BMI sollte ursprünglich Open Source sein. ca. 70 bzw. 50 MB, langsam, Mischmasch

Informationsblatt. Anschluss einer medizinischen Einrichtung. So funktioniert der Zugang zur Telematikinfrastruktur praktisch!

Die Tücken der elektronischen Antragstellung am Beispiel BAföG

Sign Live! CC - Signieren mit dem npa (Kurzanleitung)

eidas und der Personalausweis

Radio Frequency (RF) Chip

- Das neue Serviceportal - Die elektronische Ausweisfunktion des Personalausweises beim Servicekonto

E-Government der BA und elektronisches Kundenidentitätsmanagement

Unstimmigkeitsmeldung. Bedienungsanleitung für Gemeindebedienstete

IT-Sicherheitsgesetz: Haben Sie was zu melden?

DATEN- SCHUTZ DATENSCHUTZRICHTLINIEN

Transkript:

DATENSCHUTZ Der neue Personalausweis (npa) Röntgenblicke durch die Datenschutzbrille Kerstin Blossey und Christian Blossey, Blossey & Partner Die Einführung des neuen Personalausweises läuft auf Hochtouren und seit 1. November 2010 ist es nun soweit. Mit diesem Stichtag wird der bisherige Personalausweis, wie man ihn in Deutschland und Europa kannte, schrittweise durch ein zeitgemäßes und neuartiges Instrument abgelöst den neuen Personalausweis (npa). IN DIESEM ARTIKEL ERFAHREN SIE... WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN... Aber nicht nur der Ausweis erscheint damit in neuem Gesicht, sondern begleitend tritt auch ein neues Personalausweisgesetz (PAuswG) in Kraft. Dieses neue Gesetz über Personalausweise und den elektronischen Identitätsnachweis löst damit das bisher geltende Personalausweisgesetz des Bundes und die 16 Landespersonalausweisgesetze ab. Aus den verschiedensten Quellen werden seit einigen Wochen Kritik und Zweifel an den Sicherheitsstandards bekundet. Gesetzliche Aspekte, die sich aus dem neuen PAuswG ergeben, wurden dabei zumeist fast völlig unter den Tisch gekehrt, frei nach dem Grundsatz Eins nach dem Andern. Dabei geht es weniger um strategische Informationspolitik als vielmehr um eine voll umfängliche Aufklärung zu allen Aspekten rund um den npa. Jede Einführung neuer Regelungen oder Produkte wird meistens von polarisierenden Meinungsäußerungen begleitet. Dazu bedienen sich jeweilige Meinungsvertreter verschiedenster Kommunikationswege, und häufig erwecken dann Äußerungen in den Medien öffentliches Interesse, also die Aufmerksamkeit all jener, die sich bislang entweder nur vage mit dem Thema auseinandergesetzt haben oder sich spontan vom alarmierenden Inhalt einer Überschrift zum Weiterlesen animiert fühlen. Auf Basis des in der Regel nicht alle Seiten umfassenden Informationsgehalts entstehen folglich neue Meinungen auf Basis (mit-)geteilter Teilerkenntnissen, welche wiederum als vollständige Fakten weitergetragen und so am Ende als gesundes - oder unter Fachleuten eher als ungesundes - Halbwissen bewertet werden müssen. Klischees und Fakten zum npa Ähnlich symptomatisch verhielt es sich im Vorfeld der Einführung des neuen Personalausweises (kurz npa ), und auch nach der Einführung werden immer wieder Stimmen laut, welche Aspekte zur Sicherheit, die Funktionalität oder gar das Gesamtkonzept des npa grundsätzlich in Frage stellen und damit nicht aufklären, sondern im Ergebnis vielmehr zu Verunsicherungen beim Bürger beitragen. Dass hierbei häufiger Klischees kommuniziert werden als Fakten zur eigentlichen Thematik, dürfte selbst dem nicht allzu Interessierten in den vergangenen Wochen aufgefallen sein. Wird der Nutzung biometrischer Daten, beispielsweise Fingerabdruckdaten, im Rahmen der Anschaffung eines neuen Personalausweises zugestimmt, würden diese persönlichen Fingerabdrücke vollumfänglich beim jeweiligen Einwohnermeldeamt dauerhaft gespeichert - so mehrfach gehört und gelesen. In diesem Kontext wird gerne auf bisherige Datenpannen bei Behörden oder anderen öffentlichen Stellen hingewiesen, beispielsweise die Veröffentlichung von Einwohnermeldedaten im Internet (ARD-Magazin Report München 2008 ). Schnell wird Kritik laut und die datenschutzgerechte Nutzung der biometrischen Daten infrage gestellt. Die dadurch entstehende Unsicherheit veranlasst schließlich den Beantragenden, keine biometrischen Daten auf dem Ausweis zu hinterlegen, obgleich diese die Identifikation des Inhabers des 14 11/2010

Der neue Personalausweis (npa) Röntgenblicke durch die Datenschutzbrille Ausweises beschleunigen würden. Eine nützliche Anwendung wäre hierzu beispielsweise die zügigere Abfertigung am Flughafen möglicherweise ein entscheidender Vorteil für Geschäftsleute, die sich angesichts der akuten Terrorismusbedrohung, die derzeit in den deutschen Medien bekannt gemacht wird, auf deutlich längere Wartezeiten bei den Kontrollen einstellen müssen. Die Prüfung veröffentlichter Inhalte zur Thematik ist unerlässlich, um sich eine fundierte Meinung bilden zu können. Im Bezug auf die Speicherung der Fingerabdruckdaten beim Einwohnmeldeamt ist klarzustellen, dass bei Antragstellung eines Personalausweises mit freiwillig gewünschter Speicherung der Fingerabdrücke auf dem Sicherheitschip des Ausweises die Speicherung der Fingerabdruckdaten nur so lange bei der Behörde erfolgt, bis der Bürger seinen neuen Ausweis abholt. Dann werden die Fingerabdruckdaten unwiderruflich gelöscht und sind nur noch auf dem Ausweis gespeichert. Auch die Bundesdruckerei, welche den Ausweis herstellt, speichert die Ausweisdaten nicht, da eine Speicherung von Ausweisdaten in Deutschland untersagt ist. (Quelle: http://www.bundesdruckerei.de/de/produkte/produkte_ dokument/dok_personala/dok_faq/index.html) Hinzu kommt, dass die eigentlichen Fingerabdrücke nicht im Klartext hinterlegt werden, sondern entsprechende Schutzmechanismen die Vertraulichkeit dieser biometrischen Daten auf dem Chip sicherstellen. Und schließlich ist ausschließlich eine hoheitliche Nutzung dieser Daten zulässig, d.h. diese dürfen nur von festgelegten Behörden zu ebenfalls klar festgelegten Zwecken verwendet werden. Es gibt noch keine wirklich sicheren Klasse-3-Lesegeräte für den npa. Um auf diese verbreitete Meinung entsprechend Antwort zu geben, ist es notwendig, sich den Aufbau und die Funktion eines solchen Komfortlesegerätes zu betrachten. Anforderungen an diese Lesegeräte, die sogenannten Chipkartenlesegeräte der Klasse Cat-K, also multifunktionale Chipkartenlesegeräte oder Kartenterminals genannt, sind nicht nur ausgerichtet auf die Anwendung in Verbindung mit dem npa, sondern zugleich für weitere Chipkarten, wie die VDV-Karte (Ticketmedium des Verbandes deutscher Verkehrsunternehmen), Gesundheitskarte, Signaturkarte, Bankkarte und Geldkarte nutzbar. Im Zusammenhang mit diesen Geräten spricht man u.a. von der sogenannten sicheren PIN-Eingabe für kontaktlose und kontaktbehaftete Chipkarten. Was bedeutet hierbei jedoch sichere PIN-Eingabe? Bei Komfortlesegeräten wird ein Verfahren, das sogenannte PACE-Verfahren, direkt im Lesegerät ausgeführt, dessen Sicherheitsmechanismen auf den Protokollen der Extended Access Control (EAC) des epass basieren. Dieses Verfahren ist in mehreren Prozessschritten für die sichere und verschlüsselte Verbindung (Tunnelverbindung) zwischen dem Chip des npa und dem E-Government-/E-Business-Dienstleister verantwortlich. Bei Basislesegeräten, d.h. ohne Möglichkeit der direkten PIN-Eingabe und Nachvollziehbarkeit ausgetauschter Daten mit Hilfe eines Displays am Lesegerät selbst, wird PACE am selbstgewählten PC ausgeführt. Dies kann bei ungesicherten Systemen zu entsprechenden Risiken führen, wenn ein solcher Computer nicht umsichtig abgesichert ist (z.b. Firewall, Nutzung des PCs mit einem Standard-Benutzerprofil ohne Administrationsrechte, verantwortungsbewusster Umgang mit Anmeldedaten wie Benutzername und Passwort, regelmäßig aktualisierter Virenscanner). Der Komfortkartenleser gewährleistet dagegen die authentische Anzeige von Berechtigtem und Berechtigungen im Display, so dass eine weitere Kontrolle durch den Bedienenden und den npa-inhaber ermöglicht wird. Wurde durch das PACE-Verfahren, welches zur Authentifizierung durch Eingabe des PIN auffordert, eine sichere Verbindung aufgebaut, löscht das Lesegerät schließlich sämtliche Daten, welche einen Rückschluss auf die PIN zulassen. Vorgenannte Aspekte bilden die sichere PIN Eingabe, die basierend auf den technischen Anforderungen des Lesegerätes, der entsprechenden Berechtigungen (Zertifikate), der Eingabe der PIN am Gerät selbst und schließlich dem erfolgten verschlüsselten Verbindungsaufbau zur Ausführung kommt. Im diesem Zusammenhang können Cat-K-Leser die Geheimhaltung der PIN des npa garantieren und die authentische Anzeige von Berechtigtem und Berechtigungen bei der eid-funktion übernehmen. Unter dem Strich können Komfortlesegeräte, die den technischen Anforderungen der Richtlinie TR-03119 des BSI entsprechen und dazu vom BSI zertifiziert sind bzw. In nächster Zeit werden, zusammenfassend als wirklich sichere Kartenleser bezeichnet werden, obgleich in letzter Konsequenz natürlich immer ein geringes Restrisiko verbleibt (Quelle: Richtlinie des BSI). http:// www.ccepa.de/public/kartenleser.htm und der Richtlinie des BSI: https://www.bsi.bund.de Der npa ist Eigentum der Bundesrepublik Deutschland. Der Inhaber eines Ausweises führt diesen grund- in der erweiterten Nutzung auch zur Abwicklung von Onlineaktivitäten in Verbindung mit dem Computer und einem Kartenlesegerät. Auf die Frage, ob der npa kaputt gehen oder gar aktiv zerstört werden kann, kursieren ebenfalls unterschiedlichste Aussagen und sogar Handlungsempfehlungen hinsichtlich der Deaktivierung des Chips, der die Daten, die über den eigentlichen Ausweis hinaus gehen, enthält. Eine mutwillige Zerstörung des Ausweises kann jedoch strafrechtliche Folgen haben, da es sich in der Tat um eine Zerstörung staatlichen Eigentums handelt. Die Beweislage in solch einem Fall dürfte für den Inhaber nicht einfach sein, schließlich stellt sich die Frage, warum überhaupt eine mutwillige Zerstörung angestrebt wird? hakin9.org/de 15

DATENSCHUTZ Auf dem Ausweis befindet sich ein Chip, welcher die Ausweisdaten vorhält und welcher nur von entsprechend berechtigter Stelle ausgelesen werden darf. Die Biometriefunktionen sind dabei ausschließlich für hoheitliche Kontrollen an Grenzen und im Inland vorgesehen und dienen der Sicherheit als Reisedokument. Sogenannte E-Business/E-Government-Diensteanbieter werden künftig mittels Berechtigungszertifikaten, welche mit strengen Sicherheitsbestimmungen und Einschränkungen hinsichtlich des Umfanges der auslesbaren Daten behaftet sind, autorisiert und kontrolliert. Im Prozess der Datenübermittlung wird dem Inhaber zusätzlich die Möglichkeit gegeben, die zu übermittelnden Daten nach eigenem Dafürhalten zusätzlich einzuschränken oder auch zu erweitern. Dies wird entweder über das Display eines Komfort-Lesegerätes ermöglicht oder erfolgt über die AusweisApp direkt am Computer. Die sogenannte passive Authentifizierung dient dazu, die Echtheit und die Unverfälschtheit der Daten auf dem Chip des Ausweisdokumentes zu prüfen. Dabei werden die Daten bis zum sogenannten CSCA-Zertifikat (Country Signer Certificate Authority) zurückverfolgt, welches nur von dem offiziell beauftragten Passhersteller der ausstellenden Nation zur Verfügung steht. Diese Daten können weder verändert, gelöscht noch ergänzt werden, ohne dass dies bei einer Überprüfung offensichtlich würde. Zuletzt bleibt noch der Schutz des Zugriffs auf den Chip mittels der persönlichen PIN, welche nur dem Inhaber bekannt ist und welche bei entsprechend sicherer Eingabe, beispielsweise mittels eines Komfortkartenlesegerätes, auch keine Sicherheitslücken offen lässt; insbesondere dann nicht, wenn diese PIN in regelmäßigen Abständen gewechselt wird. Ganz zerstört ist der Ausweis nicht, wenn der Chip untauglich gemacht wurde, denn dann fungiert er immer noch im konventionellen Sinn der Identifizierung durch das Dokument an sich und das aufgedruckte Passbild. Selbstverständlich ist das Dokument nicht feuerfest und würde beispielsweise auch Mikrowellen nicht standhalten. Es wird zudem die Meinung vertreten, dass durch den Einsatz des Ausweises in Verbindung mit Onlinediensten der Mensch zum gläsernen Menschen wird und dass Daten vermehrt und unkontrolliert in Umlauf geraten. Dazu wurde neben anderen, teils hier schon dargestellte, Kontrollmechanismen, welche zudem durch den Inhaber des Ausweises selbst verifiziert werden können, auch die sogenannte Pseudonymfunktion etabliert. Hier errechnet der im npa enthaltene Chip aus einem im Berechtigungszertifikat des Internetanbieters enthaltenen öffentlichen Schlüssel und einem auf dem Personalausweis gespeicherten geheimen Schlüssel die restricted Identifikation. Nur dieses Pseudonym wird dann an den Diensteanbieter im Bereich des E-Commerce übermittelt, anhand dessen bei wiederholtem Login eine richtige Zuordnung zu einem Account erfolgen kann, ohne die lästige wiederholte Eingabe aller erforderlichen Profildaten. Wird ausschließlich die Pseudonymfunktion genutzt, erhält der Diensteanbieter keinerlei sonstige Daten des betreffenden Bürgers. Zudem wird für jeden Internetanbieter ein neues und damit unterschiedliches Pseudonym generiert, weshalb sich keine anbieterübergreifenden Nutzerprofile anlegen lassen (Quelle: https://www. bsi-fuer-buerger.de). Aus Datenschutzsicht empfiehlt sich diese Funktion sogar, insbesondere für Bürger, die eine Vielzahl von Onlinediensten nutzen. Wenn über den eigenen Rechner Angriffe mittels Viren oder Schadsoftware erfolgen und jemand so auf Ausweisdaten Zugriff erlangt, dann liegt die Verantwortung nicht beim Inhaber. Das neue Personalausweisgesetz sowie die Personalausweisverordnung nehmen hierzu klar Stellung und übertragen dem Inhaber des Ausweises sehr wohl weitreichende Verantwortung im Hinblick auf die Nutzung der elektronischen Funktionen seines npa.: Abwehrmaßnahmen gegen Sicherheitslücken nach dem Stand der Technik; - sind; nachweises, die durch das Bundesamt für Sicher- sind. Sicherung des eigenen Computers mit einer aktuellen Virenschutzsoftware in Verbindung mit einer Firewall sowie regelmäßige Sicherheitsupdates. Darüber hinaus sollte der Ausweis nur für die zur Durchführung reichweite des Lesegerätes vorgehalten werden, wo- ler Funktionen des Personalausweises empfohlen werden. Bislang sind noch keine Vorfälle bekannt, die im Zusammenhang mit einer missbräuchlichen Nutzung aufgrund der vom Ausweisinhaber unzureichend getroffene Sicherheitsmaßnahmen erfolgten. Daher ist noch unklar, wie sich juristische Folgen für den Verantwortlichen gestalten, aber es wird deutlich, dass der Bevor wir uns nachfolgend den Möglichkeiten des npa und seinen Funktionen zuwenden, gestatten Sie uns hier ein kleines, nachdenkliches und persönliches Fazit als Datenschutzbeauftragte aus der Auseinandersetzung mit Kollegen, die für die Realisierung des neuen npa zuständig waren und sind. Was die Berichterstattung und die Kinderkrankheiten des neuen Systems betrifft, wäre es vor allem aus der Sicht der Entwickler und Hersteller wünschenswert gewesen, wenn bei einem so wichtigen Verfahren alle In- 16 11/2010

Der neue Personalausweis (npa) Röntgenblicke durch die Datenschutzbrille teressierten an einem Strang hätten ziehen können. So hätten beispielsweise aktuell sehr laut gewordene Kritiker im Vorfeld die Zeit sehr sinnvoll zum Allgemeinwohl nutzen können, wenn sie sich für Tests und Optimierungsvorschläge eingesetzt hätten zusätzlich zu denjenigen, die an solchen Tests aus dienstlichen und wirtschaftlichen Interessen an den natürlich stattgefundenen Anwendungstests teilgenommen haben. Bei aktivem Nachfragen auf entsprechend renommierten Fachveranstaltungen konnte beispielsweise jedoch kaum ein Referent aus den Bereichen Datenschutz und Datensicherheit im Vorfeld adäquate Antworten geben. Als Entschuldigung war immer wieder zu hören, dass man den neuen Ausweis gern mal auseinander nehmen würde. Das hätten sich die produzierenden Stellen sicherlich auch im Vorfeld gewünscht: produktiv orientierte Feldtests durch völlig unbeteiligte Stellen, sehr gerne und gerade auch durch kritisch eingestellte Interessenten, die ruhig bis an die Härtegrenzen hätten gehen dürfen. Auf diese Weise hätte man die eine oder andere Lücke, die nun doch noch zutage tritt, von vorne herein vielleicht identifizieren und beheben können. Dass ein neuer Personalausweis kommen würde, ist bereits seit Jahren hinlänglich bekannt, Testkarten waren problemlos zu bekommen, ebenso die jeweils aktuelle Version der AusweisApp. Doch echtes Engagement hat kaum jemand von den jetzigen Kritikern gezeigt, denn wer sich eingebracht hat, wurde einbezogen. Jetzt müssen wir daher alle zusammen die Feinheiten im produktiven System gemeinsam justieren, und wenn möglicherweise daraus Folgekosten und Unannehmlichkeiten für uns alle entstehen, liegt das zu einem großen Teil daran, dass rechtzeitig vorher kaum Interesse am npa bestand. Doch wenden wir uns nun in der zweiten Hälfte des Artikels einigen Möglichkeiten und Grenzen zu, die der npa bieten kann. Ausgewählte Funktionen und deren Nutzen im Überblick Immer mehr Unternehmen, sowohl aus dem Bereich des E-Business als auch des E-Government, verfügen über entsprechende Zertifikate, welche den Einsatz des npa in deren Geschäftsprozessen erlauben und dem Links mit weiterführenden Informationsquellen Kunden, also dem Inhaber eines npa, dadurch eine erleichterte Abwicklung beispielsweise von Onlinegeschäften bzw. Antragstellung ermöglichen. Derzeit gibt es 43 Diensteanbieter, die schon ein solches Berechtigungszertifikat der VfB (Vergabestelle für Berechtigungszertifikate) erhalten haben. Die Liste dieser Anbieter, darunter die Bundesagentur für Arbeit, Datev eg, Schufa Holding AG, Allianz Deutschland AG, Stadtverwaltung Münster, Fujitsu Technology Solution GmbH, Stadt Hagen oder auch das Bayerische Landesamt für Steuern, ist unter http://www.personalausweisportal.de veröffentlicht. Wir haben nachfolgend ein paar beispielhafte Möglichkeiten des npa für Sie zusammengestellt. Nützliche Funktionen im Überblick ne Identität elektronisch nachweisen und schützt sich damit vor dem zunehmenden Identitätsdiebstahl im Internet. Nicht nur der Inhaber, sondern beide an einem Online-Service beteiligten Stellen können nun ihre Identität nachweisen. Das schafft mehr Sicherheit für beide beteiligte Parteien und fördert zudem das Vertrauen bei der Nutzung im E-Government und E-Business. und andere Standardüberprüfungsprozesse werden schneller realisierbar und dadurch wirtschaftlicher. es dem Inhaber möglich, Vorgänge medienbruchfrei elektronisch abzuwickeln, die sonst eine Unterschrift und damit das physische Aufsuchen einer entsprechend berechtigten Stelle voraussetzen, z.b. im PostIdent-Verfahren. nen Alters des Inhabers ist im Bedarfsfall die Überprüfung des erforderlichen Altersnachweises im Internet und an Automaten so einsetzbar, dass ein Missbrauch ausgeschlossen werden kann. Fingerabdruckdaten, wird dem Inhaber eine zuverlässige und schnelle Personenkontrolle etwa bei http://www.personalausweisportal.de/cln_093/de/neue-moeglichkeiten/das-brauchen-sie/das-brauchen- -sie_node.html https://www.bsi-fuer-buerger.de/cln_136/bsifb/de/themen/personalausweis/technischegrundlagen/technischegrundlagen_node.html http://www.bmi.bund.de/cln_156/de/themen/sicherheit/paesseausweise/epersonalausweis/epersonalausweis_node.html http://www.ausweis-portal.de/index.php/personalausweis hakin9.org/de 17

DATENSCHUTZ Auslandsreisen ermöglicht. Zusätzlich schützen sie den Inhaber zusätzlich vor Identitätsmissbrauch. Kritische Funktionen Sicherheitsrelevantes der biometrischen Daten, wie etwa der Fingerabdruckdaten, ist die Nutzung des npa bei Auslandsreisen aus Datenschutzsicht durchaus auch kritisch zu bewerten. Insbesondere in Drittstaaten ist nicht sichergestellt, wie diese Daten nach dem Auslesen gespeichert oder weiterverarbeitet werden, da hier nicht dieselbe Gesetzesgrundlage herrscht wie in der Bundesrepublik Deutschland. Daher sollte jeder Betroffene gerade in diesem Punkt für sich Nutzen und Risiken im Ausland abwägen. vicedienste in Anspruch nehmen können, benötigt der Inhaber ein Lesegerät und eine entsprechende Anwendungssoftware (AusweisApp). So genannte Basis und Standard -Lesegeräte können aus Datenschutzsicht nicht empfohlen werden. Zur sicheren Nutzung empfehlen wir dringend den Einsatz eines Komfortlesegerätes mit eigenem PIN- rung. Zudem sollte immer die aktuellste Version der AusweisApp auf dem PC verwendet werden. An dieser Stelle sei ausdrücklich vor billigen Lesegeräten gewarnt! - bei einem Verlust des Ausweises neben der sofortigen Meldung an die Behörde den Verlust auch an matisch erfolgt. weis zu besitzen, den er auf Verlangen einer zur Feststellung der Identität berechtigten Behörde vorlegen muss. Zum anderen und das dürfte durchaus für viele künftige npa-inhaber neu sein darf vom Ausweisinhaber nicht verlangt werden, den Personalausweis zu hinterlegen oder in sonstiger Weise in Gewahrsam aufzugeben. Dies gilt mit einer Ausnahme, nämlich nicht für die Identitätsfeststellung berechtigte Behörden sowie in den Fällen der Einziehung und Sicherstellung. Im Klartext bedeutet das, dass kein Hotel und kein Geschäft den Personalausweis als Pfand verlangen darf. Das Antragsverfahren Wie und wo wird der npa beantragt? Der neue Personalausweis kann seit 01.11.2010 bei der Ausweisbehörde des zuständigen Bürgeramtes beantragt werden. Eine Umtauschpflicht vor Ablauf der Gültigkeit des bisherigen Ausweises besteht nicht. Sämtliche bisherige Ausweise behalten ihre Gültigkeit bis zum aufgedruckten Ablaufdatum. Ein vorzeitiger Umtausch ist gegen entsprechende Gebühr jederzeit möglich. Die Beantragung erfolgt mittels altem Reisepass oder Personalausweis, altem Kinderausweis, Kinderpass oder Geburtsurkunde sowie Einverständniserklärung beider Erziehungsberechtigten oder dem Sorgerechtsnachweis bei nur einem Erziehungsberechtigten. Anforderungen an das Lichtbild entsprechen den bisherigen. Die Gültigkeitsdauer für Personen unter 24 Jahren beträgt sechs (6) Jahre, bei Personen über 24 Jahren zehn (10) Jahre. Der Personalausweis ist grundsätzlich persönlich zu beantragen und auch persönlich nach einer durchschnittlichen Bearbeitungszeit von etwa 3 Wochen persönlich entgegenzunehmen. Praxistipps zum npa fallen würden. Identitätsfeststellung oder Einziehung des npa). 18 11/2010

Der neue Personalausweis (npa) Röntgenblicke durch die Datenschutzbrille Aktueller Rückblick zu den Datenschutz-Schlagzeilen in der Online-Presse: Wie und wo wird ein Signaturzertifikat erworben? Das Signaturzertifikat zur Nutzung der Unterschriftfunktion kann bei einem zugelassenen Anbieter freier Wahl erworben werden. Eine Liste der authorisierten Anbieter befindet sich auf der Website der Bundesnetzagentur. Die Kosten für ein Zertifikat unterscheiden sich je nach Laufzeit der Anbieter. Bei Verlust des Ausweises muss der Inhaber neben der sofortigen Meldung an die Behörde den Verlust auch an den Zertifikatsanbieter melden, da dies nicht automatisch erfolgt. Fazit & Ausblick Im Vorfeld des npa war es bemerkenswert still im Lager der üblichen Kritiker und den Stellen, von denen wir als interessierte Bundesbürger gewohnt sind, zu hören. Schlagzeilen wie Rentner knackt den npa schürten die Stimmung wenige Wochen vor der Einführung des neuen Ausweises ein wenig an, doch wer lesen kann und sich die Mühe gemacht hat, mehr als nur die ketzerische Schlagzeile zu lesen, war dann wenig beeindruckt davon, dass besagter Mitbürger die Karte einfach durchgebrochen hat. Mit Sicherheitslücken hat das nichts zu tun. Derzeit dominieren Berichte über tatsächliche Sicherheitslücken die Medienlandschaft, und das war vorauszusehen, da der npa durchaus ein Gegenstand des öffentlichen Interesses ist. Wendet man sich daher von diesen Nachrichten ab, hin zu den Perspektiven, die der npa durch die Integration des RFID-Chips bietet und in Zukunft bieten kann, wird schnell viel Potential für künftige Anwendungen sichtbar. Heute noch herrscht vielfach Unsicherheit bei der Einführung eines neuen Mediums, doch morgen dürfen wir gerade im Hinblick auf die derzeit diskutierten Rahmenbedingungen zur vollumfänglichen Nutzung des elektronischen Personalausweises, insbesondere der Nutzung mit Lesegerät, AusweisApp (und Fingerabdruck, soweit gewünscht), gespannt sein, wie sich die Angebotspalette der Online-Servicedienste entwickeln wird. Einige innovativ orientierte Unternehmen beschäftigten sich schon jetzt mit der Frage, welchen Nutzen sie ihren Kunden bzw. Klienten durch die Nutzung des npa anbieten können. So hat beispielsweise ein großer Direktversicherer in den letzten Tagen Ausweis-Kits (leider mit den staatlich geförderten Lesegeräten, die eben nicht sicher sind und daher nicht verwendet werden sollen) an interessierte Kunden ausgegeben, zusammen mit nützlichen Begleitinformationen. Einen anderen namhaften Konzern beschäftigen derzeit unternehmensinterne Anwendungsmöglichkeiten, die für alle Beschäftigten ein Plus an Sicherheit und dabei weniger Aufwand im Arbeitsalltag bedeuten könnten. Für alle Unternehmen, die diesen Markt für sich noch entdecken, erforschen und gegebenenfalls gewinnbringend nutzen wollen, steht inzwischen auch ein interdisziplinäres Team aus Herstellern, Entwicklern, Datenschutzexperten der freien Wirtschaft und Unternehmensberater zur Projektberatung und -begleitung zur Verfügung. Sie finden dieses Team, in welchem Blossey & Partner den Bereich des betrieblichen Datenschutzes federführend abdeckt, im Ausweis-Portal unter www.ausweis-portal.de. KERSTIN BLOSSEY UND CHRISTIAN BLOSSEY Kerstin Blossey ist Dipl. Informations-Wirtin (FH), Dipl. Sozialpädagogin (FH), nach dem Ulmer Modell geprüfte fachkundige Datenschutzbeauftragte und Gründerin von Blossey & Partner, einem kleinen Unternehmensberatungshaus, das sich ganz auf den unternehmerischen Datenschutz spezialisiert hat. Zum Kundenkreis zählen deutsche wie international angesiedelte mittelständische Unternehmen, Konzerne und Einrichtungen aus so unterschiedlichen Branchen wie Druck & Medien, IT- Anwendungen & IT-Sicherheit, Telekommunikation, Verlagswesen, Softwareindustrie, Automotive, Gesundheitswesen, Forschung & Lehre, Tourismus, produzierendes Gewerbe und die öffentliche Hand. In Fachbeiträgen und Vorträgen vermittelt die Autorin schwerpunktmäßig wirtschaftlich angemessene und arbeitstaugliche Möglichkeiten und Wege des praxisorientierten Datenschutzes. Ihre persönliche Leidenschaft ist das interdisziplinäre Schnittstellenmanagement im betrieblichen Datenschutz. Christian Blossey ist geprüfter Datenschutzbeauftragter (IHK) und QM-Auditor (ISO 9000 ff., KTQ). Von seinen weitgehenden Erfahrungen in Führungspositionen in einflussreichen Branchen wie Konstruktion & Bau, Energiewirtschaft oder Direktmarketing profitieren die Unternehmen, die er seit 2008 berät. Als erfahrener Prozessanalytiker widmet er sich schwerpunktmäßig der Identifizierung von Geschäftsprozessen, dem Aufspüren möglicher Datenschutzlücken sowie dem Entwurf praxisverträglicher Maßnahmen zur wirksamen nachhaltigen Risikoreduzierung in privatwirtschaftlichen Unternehmen. Seine Leidenschaft ist das Finden individueller angemessener Lösungswege für den unternehmerischen Datenschutz in privatwirtschaftlichen Unternehmen und der öffentlichen Hand. hakin9.org/de 19

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback