Die Bundesbürger sollen von September an die mit dem Personalausweis verknüpfte elektronische Identität (eID) direkt in ihrem Smartphone oder Tablet speichern können – wenn sie eines der wenigen dafür bisher geeigneten Mobilgeräte haben. Der Online-Ausweis wird laut einem entsprechenden Gesetzentwurf, den der Bundestag am Freitag um 00:27 Uhr verabschiedet hat, so einfacher einsetzbar. Seine bislang hinter den Erwartungen zurückgebliebene Akzeptanz soll verbessert, die Nutzung um mindestens 50 Prozent gesteigert werden.

Für die Initiative stimmten die Regierungsfraktionen von CDU/CSU und SPD, AfD und die Linke waren dagegen. FDP und die Grünen enthielten sich.

Identitätsnachweis mit Smartphone

Bisher wird der elektronische Identitätsnachweis durch zwei Faktoren gewährleistet: das Wissen der sechsstelligen Geheimnummer und den Besitz von Personalausweis, eID-Karte oder elektronischem Aufenthaltstitel. Nun soll das Smartphone samt der staatlichen AusweisApp2 als "Besitzelement" dazukommen. Die Daten für den Ausweisvorgang werden dafür dem Plan nach in einem sicheren Verfahren aus dem Speicher- und Verarbeitungselement des Endgeräts transferiert.

Bürger sollen die Übertragung der notwendigen Schlüssel aus dem Speicher des Personalausweises auf das Mobiltelefon online beantragen können, wobei sie sich per eID identifizieren müssen. Der Ausweishersteller muss Maßnahmen gegen eine missbräuchliche Verwendung der Daten vorsehen, etwa durch einen neuen Sperrschlüssel. Der Ausweisinhaber soll die Daten für die eID-Funktion auf dem Smartphone oder Tablet selbst löschen können.

Der elektronische Identitätsnachweis mit mobilen Endgeräten wird Bürger jährlich insgesamt um 11.806 Stunden entlasten, schätzte die Bundesregierung in ihrem ursprünglichen Entwurf. Bei Innenministerium und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entstehen einmalige Entwicklungskosten von gut 19 Millionen Euro und jährliche Betriebskosten von über 25,4 Millionen Euro. Jede eingesparte Stunde kommt dem Steuerzahler so mit rund 2200 Euro zu stehen, lässt man die Produktionsausgaben weg. Anwendungen für die eID sind zudem nach wie vor überschaubar.

Geeignetes Smartphone benötigt

Ein Smartphone benötigt eine eingebettete Sicherheitsarchitektur auf hohem Niveau, um das System nutzen zu können. Momentan leisten dies nur Samsung-Geräte der Reihe Galaxy S20, was auch bei diesen nur dem staatlich geförderten Projekt Optimos 2.0 zu verdanken ist.

Die Bundesdruckerei verweist aber darauf, dass die nötigen Sicherheitselemente wie ein integriertes "Secure Element" oder die eSIM-Karte prinzipiell "keine Einschränkung von Smartphones" vornähmen. Die Technologie sei grundsätzlich breit anwendbar, Gerätehersteller und Mobilfunkanbieter müssten aber die Nutzung ermöglichen.

Das Bundeswirtschaftsministerium fördert bis zu vier große IT-Projekte im "Schaufenster Sichere Digitale Identitäten" mit gut 50 Millionen Euro, um die Möglichkeiten einer digitalen Ausweisfunktion auf Mobiltelefonen neuerer Generationen zu demonstrieren. In einem der Piloten sind neben der Bundesdruckerei Vodafone und Giesecke+Devrient dabei, einen zweiten Piloten leitet die Forschungs- und Entwicklungseinheit der Commerzbank.

Zentrales Passbild- und Unterschriftenregister

Den Ländern soll es zudem gestattet werden, zentrale biometrische Lichtbild- und Unterschriftenregister für die Durchführung eines automatisierten Abrufverfahrens einzurichten. Schon 2017 hatte der Bundestag ein Gesetz verabschiedet hat, wonach Polizei, Geheimdienste, Steuer- und Zollfahnder sowie Ordnungsbehörden Passfotos bei den Meldeämtern automatisiert abfragen dürfen. Wegen fehlender Kommunikationsstandards funktioniert dies aber bislang nicht.

Die berechtigten Stellen müssten daher weiter telefonisch bei den Ausweisbehörden das Passbild anfragen und erhielten dieses dann "regelmäßig per Fax", begründete die große Koalition die Initiative für die zentralen Biometriedatenbanken: "Die Qualität des übermittelten Lichtbilds ist dem entsprechend schlecht."

Sachverständige brachten gegen dieses Vorhaben bei einer Anhörung am Montag massive datenschutzrechtliche Bedenken vor. Schwarz-Rot hat daher noch einen Passus angefügt, wonach die Länder sicherstellen müssen, dass die zentralen Passregister vor unbefugtem Zugriff "geschützt sind". Eine Verknüpfung der zu speichernden Daten mit anderen als für den automatisierten Lichtbild- und Unterschriftenabruf benötigten Merkmale sei auszuschließen.

Parallel soll das Bundesinnenministerium eine eigene "Pass- und Personalausweisdatenabrufverordnung" erarbeiten mit dem Ziel, die Voraussetzungen für einen bundesweiten automatisierten Zugriff auf die biometrischen Fotos zu regeln. Der Verkehrsausschuss forderte die Regierung ferner auf darauf hinzuwirken, dass das Sicherheitsniveau "hoch" nach der eIDAS-Verordnung der EU auch für den Online-Ausweis auf dem Handy erreicht wird. Die Gültigkeit eines solchen Zertifikats soll zunächst auf zwei Jahre festgelegt und nur dann die gesetzliche Höchstdauer von fünf Jahren ausgereizt werden, wenn gewährleistet ist, dass die Sicherheitselemente in den Endgeräten dafür taugen. Die Wirtschaft müsse zudem stärker mit eID-Anwendungen ins Boot geholt werden.

