IT-Fachleuten gilt der elektronische Personalausweis gemeinhin als gut durchdacht und sicher. Dennoch fristet dessen eID-Funktion auch wegen politischer Versäumnisse ein Nischendasein. Zwei Projekte der Sparkassen und des Föderalen IT-Architekturboards könnten das nun ändern.

Online ein Auto mieten oder den Wohnsitz ummelden – das soll der elektronische Personalausweis (auch neuer Personalausweis, nPA) dank eID-Funktion ermöglichen. So war zumindest die Erwartung vieler, als die Bundesregierung unter Angela Merkel im Jahr 2010 den nPA einführte. Doch die damaligen Erwartungen haben sich bis heute nicht erfüllt.

Dabei können die Voraussetzungen für einen Erfolgskurs des nPA kaum besser sein. IT-Sicherheitsexpert:innen und Datenschützer:innen loben die Technologie in höchsten Tönen. Trotzdem ist es um den nPA ruhig geworden. Die meisten haben ihre PIN zum Freischalten der eID-Funktion verlegt oder verloren. Bis vor zwei Jahren konnten sie sich zwar kostenfrei eine neue PIN per Einschreiben auf dem Postweg zusenden lassen. Doch Anfang 2024 beschloss das Bundesinnenministerium unter der Ampel-Koalition, den Service mit Verweis auf die Kosten einzustellen. Wer die eID nutzen will, muss also wieder aufs Amt gehen.

Zwei Projekte könnten dem nPA nun neues Leben einhauchen: zum einen die neuen Services in den Apps der Sparkassen, zum anderen Neo, eine Kommunikationslösung für Bürger:innen und Verwaltung. Neo wird von der FITKO gemeinsam mit dem Bundesdigitalministerium im Auftrag des Föderalen IT-Architekturboards entwickelt.

Sichere Technologie fristet Nischendasein

Die Versäumnisse der Bundesregierung gipfeln in der Einschätzung des Bundesministeriums für Digitales und Staatsmodernisierung (BMDS), die eID sei eine „nationale Sonderlösung“. Der Bundesrechnungshof widersprach (PDF) explizit dieser Auffassung mit Verweis auf die eIDAS-Verordnung der EU, die die eID-Funktion mit Vertrauensniveau „hoch“ notifiziert.

Dass Bürger:innen und selbst die Bundesregierung der Technologie so wenig Bedeutung beimessen, wäre kaum ein Thema, wenn der nPA mehr in der Fläche genutzt würde, sagt Marco Holz. Er ist IT-Architekt bei der Föderalen IT Kooperation (FITKO). Die Bund-Länder-Organisation entwickelt IT-Lösungen für die öffentliche Verwaltung. „Wenn man den Perso höchstens ein Mal im Jahr benutzt, stehen die Chancen schlecht, dass man sich die PIN dauerhaft merkt.“

Privatpersonen können sich mit der AusweisApp gegenüber Dritten ohne große Hürden eindeutig und authentisch ausweisen. Dank NFC-Technologie (Near-Field Communication) ist inzwischen auch ein Kartenlesegerät überflüssig. Nutzer:innen halten ihren Personalausweis einfach an ihr Smartphone und erlauben so die kontaktlose Übermittlung ihrer Daten.

Um die eID-Funktion voranzubringen, müssten jedoch mehr Behörden, Banken und Versicherungen die eID-Funktion in ihre Prozesse einbauen, so Holz. Das erfordert einen hohen Aufwand, den viele Anbieter scheuten.

Hohe Hürden für die eID

Diensteanbieter, die den nPA nutzen möchten, müssen nachweisen, dass sie berechtigt sind, auf bestimmte Datenfelder des nPA zuzugreifen. Dafür brauchen sie ein elektronisches Berechtigungszertifikat, das sie bei der zentralen Vergabestelle beantragen müssen. Auf diese Weise können nur berechtigte und vertrauenswürdige Anbieter die Daten der Personalausweise auslesen. Jedoch verlangt das Bundesverwaltungsamt für die Berechtigungszertifikate hohe Gebühren. Auch Behörden erhalten sie nicht kostenfrei.

Ist diese erste Hürde genommen, benötigen Diensteanbieter dann einen eID-Server. Den betreiben sie entweder selbst und integrieren ihn direkt in ihre Anwendungen. Oder sie nutzen den eID-Server eines externen Dienstleisters, etwa von Governikus oder adesso. Einen eigenen eID-Server zu betreiben, sei sehr komplex, sagt Holz. „Für Diensteanbieter kommt erschwerend hinzu, dass keine der Server-Implementierungen unter einer Open-Source-Lizenz verfügbar ist.“

Außerdem sei es teuer, einen eigenen Server zu betreiben. Gerade für kleine Kommunen sei das kaum zu stemmen, erklärt Holz.

Sparkassen setzen auf eID

„Die Nutzer sollen sich die PIN ihres nPA für die Nutzung der eID irgendwann genauso gut merken wie die PIN zu ihrer Kreditkarte oder ihrem Smartphone“, so die Vision von Oliver Lauer. Lauer ist Leiter des digitallabor.berlin und Chief Digital Officer des Deutschen Sparkassen- und Giroverbands (DSGV). Zusammen mit dem digitallabor.berlin und Expert:innen der Sparkassen Finanzgruppe hat er die eID-Funktion des nPA in die Apps „tief integriert“. Damit will Lauer ein Vorzeigeprojekt für die eID schaffen.

Kund:innen der Sparkassen können ihren Zugang zum Online-Banking nun einfacher wiederherstellen, wenn sie ihre Zugangsdaten verloren haben, das Smartphone defekt oder abhanden gekommen ist. Bisher mussten sie dafür auf den Freischaltbrief warten, in die Filiale oder an den Geldautomaten gehen. Nun laufe der Reset über die Apps automatisch.

eID lohnt sich

Warum nutzen die Sparkassen ausgerechnet die eID-Funktion des nPA? „In einer digitalen Welt ist der Moment, in dem man sich ausgesperrt hat, in meinen Augen einer der schlimmsten“, sagt Lauer. Für Kund:innen sollte daher ein Weg geschaffen werden, um möglichst schnell aus diesem „Katastrophen-Moment“ herauszukommen.

Jedes Jahr sperrten sich Millionen Bankkund:innen aus, sagt Lauer. Daher lohne sich die eID in der Sparkassen-App, nicht zuletzt auf der Kostenseite. Seit Ende Januar ist die App im Einsatz. Und schon jetzt zeichne sich ab, dass sie zuverlässig laufe und Kosten einspare, auch weil die Sparkassen einen eigenen eID-Server betreiben.

Briefe zur Freischaltung oder persönliche Besuche in den Filialen seien mit erheblichen Kosten verbunden. Ebenso würden sich die Kosten für das VideoIdent-Verfahren auf 10 bis 12 Euro pro Transaktion belaufen.

Auch aus Sicht der IT-Sicherheit bleibt das VideoIdent weit hinter der eID zurück. Denn die eID hat eine physische Komponente, den Chip im Ausweis. Das Vertrauen werde immer zwischen dem eigentlichen physischen Personalausweis und dem eID-Server hergestellt, erklärt Holz. Und die Daten würden immer an den Server geschickt, der das entsprechende Berechtigungszertifikat hat. „Das vermeidet schon sehr viele Angriffspunkte.“

Mit der eID sicher mit Behörden kommunizieren

Gemeinsam mit dem BundID-Team des BMDS entwickelt Holz unter dem Arbeitstitel „Neo“ außerdem eine Kommunikationsinfrastruktur für die öffentliche Verwaltung. Damit sollen Privatpersonen einfacher online mit ihrem Stadtbüro oder Rathaus kommunizieren können, etwa nachdem sie einen Antrag gestellt haben.

Um sicherzustellen, dass eine Behörde personenbezogene Daten an den richtigen Thomas Müller oder die richtige Sandra Müller herausgibt, müssen sich Privatpersonen authentifizieren. Dafür nutzt auch Neo die eID-Funktion des nPA. „Das Ziel ist, dass sich Bürger:innen mit ihrem Personalausweis direkt und so einfach wie möglich in der App einloggen können“, so Holz. „Also Ausweis an das Smartphone halten, die PIN des Persos eingeben und direkt mit dem Rathaus kommunizieren oder den Bearbeitungsstatus der eigenen Anträge einsehen.“

Ähnlich wie in der App der Sparkasse hat auch das Neo-Team das Software Development Kit (SDK) der Ausweis-App direkt in den Dienst integriert. Damit sind sie nicht auf Anbieter von Authentifizierungssystemen angewiesen. Mit Blick auf Privatsphäre, Benutzbarkeit und Datenschutz sei der direkte Weg über die eID ein Gewinn. „Denn ich muss mich nicht mehr gegenüber einem Dritten authentifizieren, der dann meine ganzen Login-Daten kennt und weiß, wann ich mich zum Beispiel bei der Sparkasse oder bei Neo eingeloggt habe.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Ein deutscher Kläger bringt die Zwangsabgabe von biometrischen Merkmalen vor das europäische Höchstgericht: Das Verwaltungsgericht Wiesbaden sieht grundsätzliche Rechtsprobleme, wenn für den Besitz eines Personalausweises die Abgabe der Fingerabdrücke verpflichtend ist. In einem Beschluss (pdf) legt das Gericht diese Rechtsfragen dem Europäischen Gerichtshof (EuGH) vor.

Die Verpflichtung für über dreihundert Millionen EU-Bürger, zwei Fingerabdrücke auf dem Ausweis in digitaler Form speichern zu lassen, geht auf die EU-Verordnung 2019/1175 zurück. Das Verwaltungsgericht begründet in seinem Beschluss seine Zweifel daran, dass die entsprechenden Vorschriften in dieser EU-Verordnung unionsrechtskonform sind. Zum einen bestünden rechtliche Zweifel schon durch das Zustandekommen der Verordnung außerhalb des eigentlich vorgeschriebenen ordentlichen Gesetzgebungsverfahrens, zum anderen sieht das Gericht die Europäische Grundrechtecharta verletzt. Das betrifft die Artikel 7 und 8 der Charta, die das Recht auf Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation sowie das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten festschreiben.

Außerdem legt das Gericht in seinem Beschluss dar, dass die Datenschutzgrundverordnung missachtet wurde. Es bezieht sich dabei auf Artikel 35 der DSGVO, in dem eine Datenschutz-Folgenabschätzung vorgeschrieben ist. Bevor eine Verarbeitung von sensiblen Daten wie Fingerabdrücken erfolgt, sollen dadurch vorab die Risiken analysiert werden. Eine solche Datenschutz-Folgenabschätzung hat es aber nicht gegeben.

Der Kläger wird vom Verein digitalcourage unterstützt, der gegenüber netzpolitik.org erklärt, die Fingerabdruck-Speicherpflicht verletze „unsere Grundrechte auf Privatsphäre und den Schutz unserer personenbezogenen Daten“. Der Verein bezweifelt auch, dass die auf dem Personalausweis gespeicherten Fingerabdrücke zu der versprochenen verbesserten Fälschungssicherheit führen. Wie auch das Gericht in seinem Beschluss darlegt, wäre damit nicht einmal die Notwendigkeit des schwerwiegenden rechtlichen Eingriffs einer zwangsweisen Abgabe von persönlichen Biometriedaten gegeben. Die Speicherung der Fingerabdrücke auf dem Personalausweis sei „ein unverhältnismäßiger Eingriff“, so digitalcourage.

Die Mehrheit von CDU, CSU und SPD im Bundestag hatte auf Grundlage der Verordnung im Jahr 2020 die verpflichtende Speicherung von Fingerabdrücken im deutschen Personalausweis beschlossen. In den dezentralen Melderegistern der Kommunen werden die biometrischen Daten zwar nicht gespeichert, aber auf einem Chip, der in der Plastikkarte des Ausweises eingelassen ist. In Deutschland werden – sofern das bei der beantragenden Person möglich ist – Abdrücke von beiden Zeigefingern genommen. Die EU-Verordnung sieht allerdings keine Festlegung auf einen bestimmten Finger vor.

Zuvor freiwillig, jetzt Pflicht: Fingerabdruck-Abgabe

Seit August 2021 müssen alle Menschen in Deutschland beim Beantragen eines Personalausweises zwei Fingerabdrücke hinterlassen. Das rief Kritiker auf den Plan: Bürgerrechtsorganisationen bewerteten diese Fingerabdruck-Pflicht als unvereinbar mit dem Grundgesetz. Schon im Prozess des Entstehens der Verordnung war auch der EU-Kommission bescheinigt worden, das Vorhaben sei ungerechtfertigt und nicht notwendig.

Doch was zuvor in Deutschland freiwillig war, wurde dennoch zur Pflicht. Das Fingerabdruck-Prozedere auf dem Amt kennen viele Menschen schon vom Reisepass, denn da besteht der Zwang schon einige Jahre länger. Die Verpflichtung zur Abgabe zweier Fingerabdrücke bei der Ausweisbeantragung ergibt sich konkret aus § 5 Abs. 9 des deutschen Personalausweisgesetzes, der wiederum auf der EU-Verordnung zur Erhöhung der Sicherheit der Personalausweise und Aufenthaltsdokumente beruht.

Gegen die Fingerabdruckabnahme wehrte sich ein Bürger und verlangte auf dem Amt einen Ausweis ohne die biometrische Vermessung. Als ihm das verwehrt wurde, zog er vor Gericht.

Das Verwaltungsgericht Wiesbaden hat überaus schnell reagiert und mit seinem Beschluss nun den EuGH hinzugezogen. Mit sehr hoher Wahrscheinlichkeit wird das europäische Höchstgericht erneut über die zwangsweise Erfassung von Fingerabdrücken entscheiden. Die anlassunabhängige Vermessung der biometrischen Merkmale von Menschen für ihre Identifikationspapiere ist nicht das erste Mal ein Fall für den EuGH. Zuletzt war dazu vor acht Jahren ein Urteil (vom 17. Oktober 2013) ergangen. Der damalige deutsche Kläger, der einen Reisepass ohne Fingerabdrücke ausgestellt bekommen wollte und mit seinem Fall ebenfalls in Luxemburg landete, hatte allerdings keinen Erfolg.

Im Beschluss des Wiesbadener Verwaltungsgerichts wird entsprechend betont und auch schlüssig begründet, dass die Funktion eines Ausweises nicht mit der eines Reisepasses vergleichbar sei. Die Chancen des Klägers dürften also hoch sein, dass der EuGH den Fall aufgreift.

Für den Fälschungsschutz ungeeignet

Dass diese obligatorische Abnahme von Fingerabdrücken ein Eingriff in Grundrechte ist, steht außer Frage. Artikel 7 und 8 der Grundrechtecharta sind klar betroffen. Aber ist er auch ungerechtfertigt und unverhältnismäßig? Dazu gehört die Frage, ob nicht auch geringere Eingriffe ausgereicht hätten.

Die EU-Verordnung 2019/1157 soll dem Schutz vor Fälschungen dienen und eine verlässliche Verbindung zwischen dem Inhaber und seinem Ausweis herstellen, um einer betrügerischen Verwendung vorzubeugen. In Erwägungsgrund 18 heißt es:

Die Speicherung eines Gesichtsbilds und zweier Fingerabdrücke […] auf Personalausweisen und Aufenthaltskarten […] stellt eine geeignete Kombination einer zuverlässigen Identifizierung und Echtheitsprüfung im Hinblick auf eine Verringerung des Betrugsrisikos dar, um die Sicherheit von Personalausweisen und Aufenthaltskarten zu verbessern.

Dass die Aufnahme von Fingerabdrücken für den Fälschungsschutz geeignet ist und damit Betrug und Identitätsdiebstahl verhindern kann, bezweifelt das VG Wiesbaden in seinem Beschluss ausdrücklich. Wenn schon das Gesicht einer Person zum Abgleich vorhanden ist, erschließt sich nicht, warum ein zweites Merkmal wie der Fingerabdruck erforderlich sein soll.

Im Erwägungsgrund 19 der Verordnung ist auch geregelt, dass die EU-Mitgliedstaaten zur Überprüfung der Identität eines Ausweisinhabers vorrangig das Gesichtsbild prüfen. Die Fingerabdrücke sollen höchstens bestätigend überprüft werden.

Der Beschluss des Gerichts greift mehrfach die Stellungnahme des Europäischen Datenschutzbeauftragten zur geplanten Einführung der Speicherung von Fingerabdrücken in Personalausweisen (pdf) aus dem Jahr 2018 auf, der weit vor dem Inkrafttreten schon kritisiert hatte, dass die Notwendigkeit des Fingerabdruckszwangs nicht begründet sei. Mit weniger eingriffsintensiven Maßnahmen könnte man das Ziel der Fälschungssicherheit auch erreichen, argumentierte er. Biometrische Daten seien nach EU-Recht besonders schützenswert, zumal wenn hier 370 Millionen Menschen betroffen sind.

Gefahr des Identitätsdiebstahls

Der Anwalt des Klägers, Wilhelm Achelpöhler, hatte die Klage erst Ende Dezember eingereicht. Der Beschluss des Gerichts erfolgte also sehr schnell, betont der Rechtsanwalt gegenüber netzpolitik.org. Wenn der Vorlagebeschluss des Verwaltungsgerichts Wiesbaden an den EuGH übermittelt worden sei, könnten neben dem Kläger und der beklagten deutschen Stadt auch die EU-Mitgliedstaaten und die EU-Kommission binnen zwei Monaten Schriftsätze an den Gerichtshof senden.

Nach den schriftlichen Stellungnahmen erwartet Achelpöhler eine mündliche Verhandlung am Gerichtshof. Der Anwalt sieht gegenüber netzpolitik.org seine Argumentation durch den Beschluss des Verwaltungsgerichts insgesamt bestätigt und wird auch beim EuGH den Mandanten vertreten.

Die Richter des Verwaltungsgerichts gehen über die Argumente in der Klage teilweise sogar hinaus und verweisen in ihrem Beschluss auch darauf, dass in den Ausweisen der gesamte Fingerabdruck gespeichert wird und nicht nur partielle Informationen. Dadurch erhöhe sich das Risiko eines Identitätsdiebstahls. Statt des gesamten Abdrucks hätten auch nur Teile der Minuzien auf den Fingerkuppen verwendet werden können, aus denen ein ganzer Fingerabdruck nicht mehr rekonstruierbar wäre. Darauf hatte bereits der Europäische Datenschutzbeauftragte hingewiesen.

Auch digitalcourage sieht eine Gefahr des Identitätsdiebstahls und eines „Datenlecks“, die unweigerlich bestünden. Konstantin Macher von Digitalcourage erklärte dazu in einer Pressemitteilung des Vereins vom 27. Januar: „Erfahrungsgemäß ist bei einem Datenleck die Frage nicht ob, sondern wann es passiert. Die Speicherung unserer kompletten Fingerabdrücke vergrößert die Gefahr eines Identitätsdiebstahls, sobald der RFID-Chip geknackt ist.“

Auf Nachfrage von netzpolitik.org, was mit dem „Knacken des RFID-Chips“ technisch gemeint sei, erklärt Macher, dass auch der Fall bedacht werden müsse, „wenn sich eines Tages die Verschlüsselung der Daten auf dem Personalausweis als nicht (mehr) sicher herausstellen sollte“. Denn auch eine starke Verschlüsselung könne keine absolute Sicherheit garantieren.

Vier Innenminister

Den Ausweis mit Chip gibt es seit mehr als elf Jahren, der Biometrie-Reisepass mit Chip wurde sogar schon einige Jahre zuvor eingeführt. Über 62 Millionen Deutsche besitzen mittlerweile ein Ausweis-Exemplar mit einem Funk-Chip (RFID).

Immerhin vier Innenminister haben ihren Anteil daran: Otto Schily (SPD) hatte nach dem elften September die Biometrie-Idee zunächst für den Reisepass stark protegiert, Wolfgang Schäuble (CDU) brachte sie durch das Bundeskabinett, Thomas de Maizière (CDU) durfte den Personalausweis mit biometrischen Daten und funkendem Chip präsentieren und Horst Seehofer (CSU) verpflichtete die Ausweisbesitzer zuletzt auch noch zur Fingerabdruckabgabe.

Die biometrischen Daten des Chips dürfen Polizeien, Zollverwaltung, Steuerfahndung und Meldebehörden auslesen, nicht aber private Akteure. Alle Personalausweise bleiben allerdings auch dann gültige Ausweisdokumente, wenn der Chip den Geist aufgibt und nicht mehr auslesbar ist. Die Fingerabdrücke sind dann verloren – anders als die Gesichtsbilder, die zwar dann auch nicht mehr digital ausgelesen werden können, aber wenigstens aufgedruckt sind und noch mit dem Gesicht des Inhabers verglichen werden können.

Viele glauben, dass es in Deutschland eine Personalausweispflicht gibt, aber das stimmt so nicht. Denn nach § 1 Abs. 2 Satz 3 des Personalausweisgesetzes besteht keine Pflicht zum Besitz eines Personalausweises. Wer etwa einen gültigen Reisepass hat, muss keinen Personalausweis besitzen. Eine „Ausweispflicht“ besteht also zwar, aber nicht im Wortsinn: Man muss sich mit einem hoheitlichen Dokument ausweisen können, nicht unbedingt aber mit einem Personalausweis. Dennoch zeigt schon die hohe Anzahl der Ausweise, die im Umlauf sind, dass die große Mehrheit der Deutschen einen Personalausweis hat.

Allein deswegen betrifft die EuGH-Vorlage des Verwaltungsgerichts Millionen Bürger und ihre persönlichen Biometriedaten. Sollte der EuGH im Sinne der Grundrechte entscheiden und die zwangsweise Erhebung der Fingerabdruckdaten für unverhältnismäßig befinden, dann wäre die Entscheidung nicht nur für den Kläger von Bedeutung, sondern verbindlich für alle EU-Staaten. Die verpflichtende biometrische Vermessung der Fingerkuppen könnte dann ein Ende finden.

---

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.