Der neue elektronische Personalausweis - E-Government im Scheckkartenformat
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
SVEN POLENZ
Der neue elektronische Personalausweis
Telekommunikations- und Medienrecht
E-Government im Scheckkartenformat
Mit dem 1.11.2010 wird der neue elektronische Personalaus- sollen neue Sicherheitsmerkmale die Fälschungssicherheit er-
weis den alten Personalausweis ersetzen und für den Aus- höhen und ein sicheres Auslesen biometrischer Merkmale
weisinhaber ganz neue Möglichkeiten bieten, sich gegenüber durch berechtigte Behörden garantieren. Der vorliegende Bei-
der Privatwirtschaft und der öffentlichen Verwaltung zu au- trag beschreibt die Funktionen des elektronischen Identitäts-
thentisieren. Ferner enthält der im Personalausweis eingebet- nachweises, erläutert die Aufgaben und Pflichten insbeson-
tete Chip eine Signaturanwendung zur Ersetzung der vorge- dere der Personalausweisbehörden i. R. d. Ausstellungs- und
schriebenen gesetzlichen Form durch die elektronische Form Ausgabeverfahrens und zeigt auf, was bei der Anwendung
mithilfe der qualifizierten elektronischen Signatur. Schließlich der neuen Vorschriften im Besonderen zu beachten ist.
I. Einleitung verhindern soll. Der Ausweisinhaber entscheidet über die Akti-
Bereits mit der Einführung des elektronischen Reisepasses hat vierung einer Funktion zur Datenübermittlung via Internet und
das Bundesministerium des Inneren einen neuen Sicherheits- er kann den Umfang der Übermittlung bestimmen. Ein ausge-
standard eingerichtet. Mit dem elektronischen Personalausweis feiltes Sperrmanagement sorgt im Falle des Ausweisverlustes für
erhalten die Bürger nun ein weiteres neues Sicherheitsdoku- Datensicherheit. Verschiedene Beteiligte der neuen Verfahren
ment, welches insbesondere den Online-Identitätsmissbrauch müssen dabei vor allem Dokumentationspflichten erfüllen, da-
MMR 10/2010 Polenz: Elektronischer Personalausweis 671mit die technischen Abläufe nachvollzogen werden können. Da- b) Rücknahme und Widerruf von Berechtigungen
bei ist es von entscheidender Bedeutung, dass sich alle Beteilig- Das BVA nimmt die erteilte Berechtigung zurück, wenn diese
ten mit der neuen Architektur des elektronischen Personalaus- durch wesentlich unrichtige oder unvollständige Angaben er-
weises vertraut machen und die neuen gesetzlichen Aufgaben wirkt wurde, anderenfalls erfolgt ein Widerruf der Berechti-
und Pflichten hinreichend genau kennen. gung, wenn diese nicht oder nicht im gleichen Umfang hätte er-
teilt werden dürfen. Rücknahme oder Widerruf sollen hingegen
auf Verlangen der für den Diensteanbieter zuständigen Daten-
II. Beteiligte schutzaufsichtsbehörde erfolgen, wenn Tatsachen die Annah-
me rechtfertigen, dass der Diensteanbieter die ausgelesenen
1. Zur Identitätsfeststellung berechtigte Behörden
Daten in unzulässiger Weise verarbeitet oder nutzt, § 21 Abs. 5
Das Personalausweisgesetz (PAuswG)1 nennt zunächst öffent-
PAuswG. Solche Tatsachen können etwa vorliegen, wenn der
liche Stellen, die befugt sind, zur Erfüllung ihrer gesetzlichen
Diensteanbieter ohne Einwilligung des Ausweisinhabers die
Aufgaben als hoheitliche Maßnahme die Identität von Personen
ausgelesenen Daten zum Zwecke des Adresshandels nutzt (§ 28
festzustellen, § 2 Abs. 2 PAuswG. Hierzu gehören Polizeivoll-
Abs. 3 Satz 1 BDSG) oder er die Daten geschäftsmäßig unzuläs-
zugsstellen, die Zollverwaltung, Steuerfahndungsstellen der
sigerweise zum Zweck der Übermittlung nutzt, insbesondere
Länder sowie Personalausweis-, Pass- und Meldebehörden. Die-
wenn dies der Werbung, der Tätigkeit von Auskunfteien oder
se Behörden dürfen die im Chip gespeicherten Daten nur zum
dem Adresshandel dient (§ 29 Abs. 1 Satz 1 BDSG). Eine Verzah-
Zweck der Überprüfung der Echtheit des Dokuments oder der
nung der Tätigkeiten des BVA i.R.d. Berechtigungsvergabe und
Identität des Ausweisinhabers auslesen und verwenden. Die Be-
der Datenschutzaufsichtsbehörden erfolgt dabei insbesondere
fugnis erstreckt sich darauf, die ausgelesenen biometrischen
über § 29 Abs. 3 PAuswV. Demnach kann das BVA vor der Ertei-
Daten (Lichtbild und ggf. Fingerabdrücke) mit den beim Perso-
lung einer Berechtigung für einen nicht-öffentlichen Dienstean-
nalausweisinhaber erhobenen Daten abzugleichen. Für jeden
bieter eine Stellungnahme der zuständigen Datenschutzauf-
Zugriff auf die Daten des Ausweischips müssen die berechtigten
sichtsbehörde einholen und erfragen, ob Umstände bekannt
Behörden zwingend eine sog. Zugangsnummer in ihr Lesegerät
sind, die einer Berechtigungsvergabe entgegenstehen.
eingeben.
4. Berechtigungszertifikateanbieter
2. Diensteanbieter Die Ausstellung der Berechtigungszertifikate übernehmen hin-
Neben den zur Identitätsfeststellung berechtigten Behörden er- gegen die Berechtigungszertifikateanbieter, die hierbei die Ne-
halten mit dem neuen PAuswG nun auch Diensteanbieter die benbestimmungen, Beschränkungen und Auflagen der Berech-
Möglichkeit, mit Einwilligung des Ausweisinhabers einen im Vor- tigungen zu beachten haben. Bei den Berechtigungszertifikate-
feld festgelegten Datensatz aus dem Chip auszulesen.2 Dienste- anbietern handelt es sich um Zertifizierungsdiensteanbieter
anbieter sind natürliche und juristische Personen, die zur Wahr- nach § 2 Nr. 8 SigG, die ihren Dienst nach § 4 Abs. 2 und 3 SigG
nehmung von Aufgaben der öffentlichen Verwaltung oder zur Er- gegenüber der Bundesnetzagentur (BNetzA) angezeigt und ge-
füllung eigener Geschäftszwecke den Nachweis der Identität genüber dem BVA insbesondere ihre Identität und etwaige An-
oder einzelner Identitätsmerkmale des Ausweisinhabers benöti- gaben zu Auftragsdatenverarbeitung nachgewiesen haben. Das
gen und ihren Wohn-, Geschäfts- oder Dienstsitz innerhalb des Berechtigungszertifikat selbst ist eine elektronische Bescheini-
Geltungsbereichs der RL 95/46/EG3 sowie in Staaten, in denen ein gung, mit welcher der Diensteanbieter seine Identität gegen-
vergleichbarer Datenschutzstandard besteht, haben, § 2 Abs. 3 über dem Ausweisinhaber nachweisen kann und mit der die
PAuswG. Für die Feststellung eines vergleichbaren Datenschutz- Übermittlung der Ausweisdaten angefragt wird. Hoheitliche Be-
standards spricht die Art. 29-Datenschutzgruppe4 Empfehlungen rechtigungszertifikate, mit denen vor allem biometrische Daten
aus. Verbindlichkeit entfalten diese Empfehlungen durch ent- abrufbar sind, dürfen ausschließlich an die zur Identitätsfeststel-
sprechende Entscheidungen der EU-Kommission. Zu den Diens- lung berechtigten Behörden ausgegeben werden, § 36 Abs. 1
teanbietern zählen auch die Personengesellschaften oder die PAuswV.
nach britischem Recht gegründete „Limited“.5 Ferner gehören
etwa Körperschaften, Anstalten oder Stiftungen des öffentlichen 5. Sperrlistenbetreiber
Rechts ebenso wie Beliehene zu den Diensteanbietern. Das BVA nimmt ferner die Funktion eines Sperrlistenbetreibers
wahr und stellt jedem Diensteanbieter über jederzeit öffentlich
3. Vergabestelle für „Berechtigungszertifikate“ erreichbare Kommunikationsverbindungen eine für ihn errech-
nete, aktuelle Liste bereit, die ausschließlich sog. Sperrmerkmale
a) Erteilung einer Berechtigung abhandengekommener Personalausweise mit eingeschaltetem
Für die Erteilung und Aufhebung von Berechtigungen, mit de- elektronischen Identitätsnachweis enthält, § 10 Abs. 4 Satz 1
ren Hilfe die Diensteanbieter per Berechtigungszertifikat im We- PAuswG. Diese „allgemeinen Sperrmerkmale“ (§ 1 Abs. 4
ge des elektronischen Identitätsnachweises Daten aus dem Chip PAuswV) sind eindeutige kartenspezifische Merkmale, die ge-
auslesen dürfen, soll die Vergabestelle für „Berechtigungszerti-
fikate“ zuständig sein, § 7 Abs. 4 PAuswG. Gemeint ist jedoch
1 Gesetz über Personalausweise und den elektronischen Identitätsnachweis sowie
die Vergabestelle für Berechtigungen, das Bundesverwaltungs-
zur Änderung weiterer Vorschriften, BGBl. I 2009, Nr. 33, S. 1346.
amt (BVA), die in diesem Zusammenhang auf Antrag per Ver- 2 Vgl. Roßnagel/Hornung/Schnabel, DuD 2008, 170.
waltungsakt entscheidet. Auflagen kommen in Betracht, wenn 3 RL 95/46/EG v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbei-
die Ablehnung des Antrags unverhältnismäßig wäre.6 Die Ver- tung personenbezogener Daten und zum freien Datenverkehr.
4 Es handelt sich um eine aus Vertretern der von den Mitgliedstaaten bestimmten
gabestelle für Berechtigungen prüft i.Ü. insbesondere die Identi-
Datenschutzkontrollstellen bestehende Gruppe, die unabhängig tätig ist und bera-
tät des Diensteanbieters, bestehende Verträge zur Auftragsda- tende Funktion hat, vgl. Art. 29 Abs. 1 der RL 95/46/EG.
tenverarbeitung, die dargelegten Geschäftszwecke und die Er- 5 Schulz, in: Schliesky, Gesetz über Personalausweise und den elektronischen
forderlichkeit der Datenkategorien für diese Geschäftszwecke, Identitätsnachweis, 2009, Schriften zur Modernisierung von Staat und Verwaltung,
§ 28 Abs. 1 PAuswV,7 sie veröffentlicht eine Liste der erteilten Band 4, § 2 Rdnr. 6.
6 BT-Drs. 16/10489, S. 43.
gültigen Berechtigungen und legt die Gültigkeitsdauer der Be- 7 Verordnung über Personalausweise und den elektronischen Identitätsnachweis,
rechtigungen fest, wobei eine Frist von drei Jahren nicht über- BR-Drs. 240/10 v. 22.4.2010. Der Bundesrat hat am 4.6.2010 beschlossen, der Ver-
schritten werden darf, § 21 Abs. 3 Satz 2 PAuswG. ordnung mit einer Änderung in § 6 Satz 1 PAuswV zuzustimmen.
672 Polenz: Elektronischer Personalausweis MMR 10/2010sperrte elektronische Identitätsnachweise repräsentieren und gegenüber öffentlichen und nicht-öffentlichen Stellen elektro-
für Berechtigungszertifikateanbieter abrufbar sind. Letztere nisch nachzuweisen, § 18 Abs. 1 Satz 1 PAuswG. Bezüglich der
rechnen die allgemeinen Sperrmerkmale in dienste- und karten- hierfür erforderlichen Software unterstützt der Bund den Aus-
spezifische Zeichenfolgen, sog. Sperrmerkmale nach § 2 Abs. 7 weisinhaber und gibt ihm ein Mittel des Selbstdatenschutzes an
PAuswG, um und stellen diese den Diensteanbietern zur Verfü- die Hand: den sog. Bürgerclient. Die Softwarelösung „Bürgercli-
gung. Auf diese Weise sollen die Diensteanbieter darüber infor- ent“ wird von Siemens IT Solutions and Services entwickelt, vom
miert werden, ob im jeweiligen Fall ein gesperrter elektronischer Bundesamt für Sicherheit in der Informationstechnik zertifiziert
Identitätsnachweis vorliegt. und den Ausweisinhabern vom Bund ab dem 1.11.2010 zum
kostenfreien Download via Internet bereitgestellt. Der Bürgercli-
III. Speicherung biometrischer Daten ent ermöglicht die elektronische Kommunikation zwischen dem
Personalausweis und einem eID-Service. Nachdem der Dienste-
1. Datenkategorien anbieter auf Basis einer Berechtigung des BVA einen Vertrag mit
Das Gesichtsbild wird im Chip gespeichert und darüber hinaus einem Berechtigungszertifikateanbieter geschlossen hat,
auf dem Ausweis aufgedruckt. Die Unterschrift des Ausweisin- schließt er mit einem eID-Service-Anbieter für die Bereitstellung
habers wird nicht im Chip gespeichert, sondern nur aufge- und Abwicklung der Funktionalitäten zum Zugriff auf die eID-
druckt, da eine Speicherung ein zu hohes Sicherheitsrisiko ber- Anwendung einen Vertrag, soweit er diese technischen Voraus-
gen würde. Der künftige Ausweisinhaber muss bei Beantragung setzungen nicht selbst erbringen kann. Zwischen dem Dienste-
des neuen Ausweisdokuments schriftlich erklären, ob die Fin- anbieter als verantwortliche Stelle (§ 3 Abs. 7 BDSG) und dem
gerabdrücke im Chip gespeichert werden sollen. Seine Entschei- eID-Service-Anbieter liegt dann ein Fall der Auftragsdatenverar-
dung für oder gegen die Aufnahme ist im Gegensatz zum Bean- beitung vor, sodass die Anforderungen nach § 11 BDSG erfüllt
tragungsverfahren beim elektronischen Reisepass freiwillig, wo- werden müssen. Angaben zu Auftragnehmern müssen vom
rüber ihn die Personalausweisbehörde schriftlich informieren Diensteanbieter bereits bei Beantragung der Berechtigung dar-
muss, § 9 Abs. 3 Satz 6 PAuswG. Für Kinderausweise besteht die gelegt werden, § 28 Abs. 1 Nr. 9 PAuswV.
Besonderheit, dass die Fingerabdrücke auch auf freiwilliger Ba-
sis nicht abgenommen werden, soweit das Kind noch nicht 2. Auslesbare Daten
sechs Jahre alt ist.
a) Datenkategorien
2. Berechtigtes Interesse für Neuausstellung Gem. § 18 Abs. 3 Satz 2 PAuswG stehen zum elektronischen
In diesem Zusammenhang ist auf die Neuregelung in § 6 Abs. 2 Identitätsnachweis folgende Datenkategorien den Dienstean-
PAuswG hinzuweisen, wonach vor Ablauf der Gültigkeit eines bietern maximal zur Verfügung: Sperrmerkmal, Angabe zur
Personalausweises ein neuer Personalausweis beantragt wer- Gültigkeit des Personalausweises, Familienname, Vornamen,
den kann, wenn ein berechtigtes Interesse an der Neuausstel- Doktorgrad, Tag der Geburt, Ort der Geburt, Anschrift, Doku-
lung dargelegt wird. Der Gesetzgeber definiert den Begriff des mentenart, dienste- und kartenspezifisches Kennzeichen, Ab-
berechtigten Interesses nicht, bejaht dieses jedoch in Fällen, wo kürzung „D“ für „BRD“, Angabe zur Über- oder Unterschrei-
der Ausweisinhaber einen Ausweis der neueren Generation mit tung eines bestimmten Lebensalters, Angabe zur Feststellung
elektronischen Zusatzfunktionen besitzen möchte oder er die eines bestimmten Wohnorts sowie Ordensname/Künstlername.
auch nachträgliche Aufnahme der Fingerabdrücke wünscht, Das Sperrmerkmal und der Gültigkeitsnachweis werden bei je-
verneint es hingegen, wenn die Entscheidung lediglich auf äs- dem Zugriff übermittelt, um gegenüber dem Diensteanbieter
thetischen Gründen beruht.8 Ein berechtigtes Interesse wird teil- das notwendige Vertrauen zu schaffen. Beide Datenkategorien
weise auch noch für den Fall angenommen, dass der Ausweisin- sind nur zum Zweck der anfänglichen Überprüfung zur Geeig-
haber nachträglich eine Löschung der Fingerabdrücke verlangt, netheit des elektronischen Identitätsnachweises zu erheben. Zur
da hierfür sein aus Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG abgelei- Freigabe der Daten muss der Ausweisinhaber seine Geheim-
tetes Recht auf informationelle Selbstbestimmung zu beachten nummer eingeben, § 18 Abs. 4 PAuswG. Er kann ferner entge-
ist.9 Bei mehrmaligem Sinneswandel des Ausweisinhabers wird gen dem Erhebungsbegehren des Diensteanbieters die Über-
allerdings eine besondere Prüfung des berechtigten Interesses mittlung auf bestimmte Datenkategorien beschränken, § 18
stattfinden müssen. Ferner ist die Ausstellung eines neuen Per- Abs. 5 PAuswG, was ihm über den Bürgerclient ermöglicht wird.
sonalausweises für den Antragsteller gebührenpflichtig. Dem
Ausweisinhaber muss auch deutlich werden, dass Diensteanbie- b) Pseudonymfunktion
ter weder das Lichtbild noch die ggf. gespeicherten Fingerab- Ein dienste- und kartenspezifisches Kennzeichen ist eine Zei-
drücke auslesen können. Da Letzteres nur den zur Identitätsfest- chenfolge, die im Speicher- und Verarbeitungsmedium des Per-
stellung berechtigten Behörden vorbehalten ist, erleidet der sonalausweises berechnet wird. Es dient der eindeutigen elek-
Ausweisinhaber etwa durch die Nichtaufnahme der Fingerab- tronischen Wiedererkennung eines Personalausweises durch
drücke weder Nachteile, noch entgehen Vorteile. Zudem ist eine den Diensteanbieter, für den es errechnet wurde, ohne dass wei-
nachträgliche Löschung der Fingerabdrücke ohne Neubeantra- tere personenbezogene Daten übermittelt werden müssen, § 2
gung eines Personalausweises nicht möglich, da die Personal- Abs. 5 PAuswG. Eine beim Diensteanbieter als anonymer Nutzer
ausweisbehörden hierfür keine Schreibrechte besitzen. registrierte Person kann daher anhand eines Pseudonyms wie-
dererkannt werden, ohne dass dessen Identität, d.h. vor allem
die Preisgabe von Familienname und Vornamen, offengelegt
IV. Elektronischer Identitätsnachweis wird. Der Ausweisinhaber muss bei der Authentisierung also
keine personenbezogenen Daten bekanntgeben. Der Chip im
1. Technische und vertragliche Anforderungen Personalausweis berechnet dabei für jeden Diensteanbieter ein
Der Personalausweisinhaber, der mindestens 16 Jahre alt ist,
anderes Pseudonym, sodass Verbindungen von Pseudonymen10
kann seinen Personalausweis dazu verwenden, seine Identität
über Diensteanbietergrenzen hinweg nicht möglich sind.
8 BT-Drs. 16/10489, S. 35.
c) Altersverifikation
9 Luch, in: Schliesky (o. Fußn. 5), § 6 Rdnr. 5. Die Angabe, ob ein bestimmtes Alter über- oder unterschritten
10 Allg. zu Pseudonymen Knopp/Wilke/Hornung/Laue, MMR 2008, 726. wird, dient der Altersverifikation, wobei nicht ein bestimmtes
MMR 10/2010 Polenz: Elektronischer Personalausweis 673Geburtsdatum freigeschaltet wird, sondern eine Anfrage an den Gründen an den Werktagen nicht am vorwiegend genutzten
Personalausweis erfolgt, ob der Ausweisinhaber vor einem be- Wohnort aufhält und die Kontaktaufnahme mit der örtlich zu-
stimmten Geburtsdatum geboren wurde.11 Abfragen werden ständigen Personalausweisbehörde damit erheblich erschwert
regelmäßig dann erforderlich sein, wenn bestimmte Angebote wird.13 Ein wichtiger Grund dürfte jedoch auch dann anzuneh-
der Diensteanbieter nach den Vorschriften des Jugendmedien- men sein, wenn der Antragsteller hierfür persönliche Motive be-
schutz-Staatsvertrags (JMStV) einer Altersbeschränkung unter- nennt, die ein Aufsuchen der örtlich zuständigen Personalaus-
liegen und der Zugang hierzu nur geschlossenen Benutzergrup- weisbehörde als unzumutbar erscheinen lassen. Hierzu zählt der
pen eröffnet werden darf. So sind unbeschadet einer strafrecht- Umstand, dass der Antragsteller durch eine Gehbehinderung
lichen Verantwortlichkeit Angebote in Telemedien zulässig, auf die Nutzung eines Fahrstuhls angewiesen ist, welcher in der
wenn von Seiten des Diensteanbieters sichergestellt ist, dass sie örtlich zuständigen Personalausweisbehörde fehlt, oder die
nur Erwachsenen zugänglich gemacht werden, § 4 Abs. 2 Satz 2 räumliche Entfernung zur gewählten ausstellenden Personal-
JMStV. Neben dem Schutz Minderjähriger erscheint es darüber ausweisbehörde erheblich kürzer ist als der Weg, welcher mit
hinaus denkbar, Dienste nur für bestimmte Altersgruppen anzu- der Bewegungseinschränkung zur örtlich zuständigen Personal-
bieten, indem nicht abgefragt wird, ob der Ausweisinhaber ausweisbehörde zurückgelegt werden müsste.
„unter 18“, sondern etwa „unter 67“ ist. Die Erforderlichkeit
einer solchen Altersverifikation ist vom Diensteanbieter für den VI. Änderungsdienst der
konkreten Geschäftszweck freilich gegenüber dem BVA nach-
zuweisen.
Personalausweisbehörden
d) Wohnortverifikation
1. Befugnisse
Die Schreibrechte ermöglichen den Personalausweisbehörden
Bei der Angabe, ob ein Wohnort dem abgefragten Wohnort
die Änderung der Anschrift, die Neusetzung der Geheimnum-
entspricht, erfolgt eine Nutzung des amtlichen Gemeinde-
mer sowie das An- und Ausschalten des elektronischen Identi-
schlüssels, der auf dem Ausweis gespeichert und bei einer
tätsnachweises. Die Umsetzung des Änderungsdienstes erfolgt
Adressänderung ebenso wie die Anschrift elektronisch aktuali-
durch ein Änderungsmodul mithilfe einer „EAC-Box“14 mit Kar-
siert wird. Der Gemeindeschlüssel enthält dabei Angaben zum
tenleser und PIN-Pad. Adressänderungen kann ausschließlich
Bundesland, zum Regierungsbezirk, zur Stadt bzw. zum Kreis
die örtlich zuständige Personalausweisbehörde vornehmen, da
und zur Gemeinde. Die Wohnortabfrage ermöglicht auch die
nur diese Zugriff auf das maßgebende Melderegister hat. Es
Abfrage der anderen Gliederungsebenen, wie etwa Bundesland
werden dabei die Wohnadresse, der amtliche Gemeindeschlüs-
oder Landkreis, sodass der Diensteanbieter sich etwa dazu ent-
sel und die Postleitzahl geändert. Darüber hinaus ist auch die
scheiden kann, die Dienste nur in einem bestimmten Kreis anzu-
Änderung der sichtbar aufgebrachten Daten erforderlich, was
bieten. Andere Anwendungsfälle der Wohnortverifikation
durch einen Adressaufkleber erfolgt (vgl. § 19 Abs. 1 PAuswV).
könnten etwa darin bestehen, in den Gemeinden auf sichere
Nach Aufbringung des Dienstsiegels muss zudem eine Schutzfo-
Weise bei der Erhebung einer Kurtaxe die Anwohner und Kur-
lie über dem Aufkleber befestigt werden, um eine unberechtig-
gäste zu unterscheiden.
te Entfernung desselben zu verhindern.
V. Zuständigkeiten der 2. Neusetzung und Änderung der Geheimnummer
Nach Ausgabe des beantragten neuen Personalausweises soll
Personalausweisbehörden der Ausweisinhaber die Geheimnummer einmalig mithilfe der
im Brief übersandten ursprünglichen Geheimnummer neu set-
1. Bearbeitungspflicht bei Ermächtigung
zen. Hierzu gibt der Ausweisinhaber einmal seine Geheimnum-
Der Antrag auf Ausstellung eines Ausweises muss auch von
mer und zweimal seine neue Geheimnummer ein. Soweit der
einer örtlich unzuständigen Personalausweisbehörde bearbeitet
Ausweisinhaber seine Geheimnummer nicht kennt, so kann die
werden, wenn ein „wichtiger Grund“ dargelegt wird. Dabei
Personalausweisbehörde die Neusetzung der Geheimnummer
darf ein Ausweis nur mit Ermächtigung der örtlich zuständigen
einleiten. Die Personalausweisbehörde soll durch technische
Ausweisbehörde ausgestellt werden, § 8 Abs. 4 PAuswG. Der
und organisatorische Maßnahmen sicherstellen, dass niemand
Nachweis über die erteilte Ermächtigung wird im Personalaus-
außer dem Ausweisinhaber die neue Geheimnummer zur
weisregister der ausstellenden Personalausweisbehörde doku-
Kenntnis nimmt, § 20 Abs. 1 PAuswV. Fraglich bleibt allerdings,
mentiert, § 23 Abs. 3 Nr. 19 PAuswG, wobei im Falle eines wich-
inwieweit sie dafür Sorge tragen kann, dass nicht der jeweilige
tigen Grundes diese verpflichtet ist, den Antrag zu bearbeiten.
Behördenmitarbeiter diese Geheimnummer in Augenschein
Die ausstellende Personalausweisbehörde muss der örtlich zu-
nimmt. Es bleibt zudem fraglich, ob die Änderung der Geheim-
ständigen Personalausweisbehörde daraufhin gem. § 11 Abs. 6
nummer in der Personalausweisbehörde dann überhaupt eine
PAuswG den Familiennamen, die Vornamen, den Tag und Ort
Mithilfe des Ausweisinhabers erfordert. Könnte der Behörden-
der Geburt, die ausstellende Personalausweisbehörde, das Aus-
mitarbeiter die Neusetzung der Geheimnummer auch ohne Zu-
stellungsdatum, die Gültigkeitsdauer und die Seriennummer
tun des Ausweisinhabers vornehmen, so läge ein Verstoß gegen
des Ausweises übermitteln, sodass es hinsichtlich dieser Daten
§ 20 Abs. 1 PAuswV vor. Zu denken ist dabei auch an Fälle, in de-
zu einer Speicherung in zwei Personalausweisregistern kommt.
nen der Behördenmitarbeiter den Personalausweis eines Ver-
storbenen übersandt bekommt. Zwar besteht für ihn in diesem
2. Beispiele für wichtige Gründe
Falle nach § 10 Abs. 5 Nr. 2 PAuswG die Pflicht, unverzüglich das
Von Bedeutung ist, in welchen Fällen ein wichtiger Grund gege-
Sperrkennwort an das BVA zu übermitteln, jedoch muss sicher-
ben ist. Der vom Gesetzgeber benannte Fall betrifft die im
gestellt werden, dass er die Geheimnummer nicht unbemerkt
grenznahen Ausland wohnenden Antragsteller, deren Weg zur
ändert und im Anschluss unter falscher Identität operiert. Unab-
örtlich zuständigen Personalausweisbehörde erheblich weiter
hängig davon soll der Ausweisinhaber die Möglichkeit erhalten,
ist als der Weg zu einer inländischen Personalausweisbehörde.12
Der hierdurch entstehende zusätzliche Arbeitsaufwand der aus-
11 Bender/Kügler/Margraf/Naumann, DuD 2008, 177.
stellenden Personalausweisbehörde soll mit einer erhöhten Ge- 12 BT-Drs. 16/10489, S. 36.
bühr kompensiert werden. Ein weiterer wichtiger Grund kann 13 Luch (o. Fußn. 9), § 8 Rdnr. 16.
darin bestehen, dass sich der Antragsteller aus beruflichen 14 EAC = Extended Access Control.
674 Polenz: Elektronischer Personalausweis MMR 10/2010über den Bürgerclient seine Geheimnummer zu Hause am PC zu übermitteln. Denkbar erscheint auch, dass die örtlich zuständige
ändern, wozu er noch ein Lesegerät benötigt. Hat er seine Ge- Personalausweisbehörde einen Sperr- bzw. Entsperrantrag ent-
heimnummer allerdings vergessen, so soll eine Neusetzung in gegennimmt und diesen an die ausstellende Behörde weiterlei-
der Personalausweisbehörde erforderlich sein. Die Änderung tet. Eine Sperrung soll auch über eine jederzeit erreichbare
der Geheimnummer kann i.Ü. beliebig oft vorgenommen wer- Sperrhotline unter Nennung von Familienname, Vornamen, Ge-
den. burtsdatum und Sperrkennwort möglich sein. Der Verordnungs-
entwurf enthält allerdings keine Regelung dazu, wie die vom
VII. Ausstellungs- und Ausgabeverfahren Sperrnotruf dokumentierten Angaben zum Sperrantrag und zur
Übermittlung der Sperrsumme an die ausstellende Personalaus-
sowie Sperrmanagement weisbehörde gelangen, vgl. § 4 Abs. 2 PAuswV. Ferner dürfte
die vom Gesetzgeber vorgesehene Regelung, wonach gegen-
1. Aufgaben der Personalausweisbehörden über der örtlich zuständigen und der ausstellenden Personalaus-
weisbehörde zur Sperrung die Nennung des Sperrkennworts
a) Information und Unterrichtung
entbehrlich ist, nur für den Fall des persönlichen Erscheinens
Es sind bei Antragstellung schriftliche Informationen über die
durch den Ausweisinhaber gelten, denn auf telefonischem We-
Freiwilligkeit der Abnahme der Fingerabdrücke und darüber zu-
ge wäre sonst eine Identifizierung nicht sicher durchführbar, vgl.
gänglich zu machen, dass, soweit sich die Antrag stellende Per-
§ 25 Abs. 1 Satz 3 PAuswV. Teilt der Ausweisinhaber nach Sper-
son gegen die Aufnahme der Fingerabdrücke entscheidet, ihr
rung des elektronischen Identitätsnachweises das Wiederauffin-
daraus keine rechtlichen und tatsächlichen Nachteile entstehen
den des Ausweises unter Vorlage desselben der Personalaus-
dürfen mit der Ausnahme, dass Verfahren zur Identitätsprüfung
weisbehörde mit (persönliches Erscheinen!), so ersucht diese
mit Fingerabdruckvergleich nicht genutzt werden können, § 9
den Sperrlistenbetreiber um Löschung des Sperreintrags zu die-
Abs. 3 Satz 5 und 6 PAuswG. Auf Wunsch des Antragstellers
sem Personalausweis, § 10 Abs. 8 PAuswG. Der Zeitpunkt der
sind die Fingerabdrücke (linker und rechter Zeigefinger) abzu-
Meldung des Abhandenkommens eines Personalausweises ist
nehmen und elektronisch zu erfassen. Die Antrag stellende Per-
von der Personalausweisbehörde oder Polizeibehörde zu doku-
son ist bei Antragstellung durch Übergabe von Informationsma-
mentieren und der ausstellenden Personalausweisbehörde mit-
terial über den elektronischen Identitätsnachweis zu unterrich-
zuteilen, § 10 Abs. 9 PAuswG. Personalausweisbehörden, die
ten, um die Abgabe einer Erklärung zur Nutzung des elektroni-
Kenntnis vom Abhandenkommen eines Ausweises erlangen,
schen Identitätsnachweises bei der späteren Aushändigung des
haben die zuständige Personalausweisbehörde, die ausstellen-
Ausweises vorzubereiten, §§ 10 Abs. 1, 11 Abs. 2 PAuswG. Fer-
de Personalausweisbehörde und eine Polizeibehörde unverzüg-
ner muss eine schriftliche Unterrichtung zu Maßnahmen erfol-
lich in Kenntnis zu setzen.
gen, welche die Sicherheit der Nutzung des elektronischen Iden-
titätsnachweises gewährleisten, § 11 Abs. 3 PAuswG. Auf Ver-
langen des Ausweisinhabers hat die Personalausweisbehörde 2. Pflichten der Ausweisinhaber
Einsicht in die im elektronischen Speicher- und Verarbeitungs- Begehrt der Ausweisinhaber eine Entsperrung seines elektroni-
medium gespeicherten auslesbaren Daten zu gewähren, § 11 schen Identitätsnachweises, so muss er bei der Personalausweis-
Abs. 1 PAuswG. behörde persönlich erscheinen, § 10 Abs. 8 PAuswG. Die Ge-
heimnummer darf er nicht auf dem Personalausweis oder zu-
b) Dokumentationspflichten sammen mit diesem aufbewahren. Bei Kenntniserlangung
Die ausstellende Personalausweisbehörde speichert in ihrem durch Dritte ist durch ihn eine Neusetzung zu veranlassen oder
Personalausweisregister je unter Angabe von Datum und Uhr- der elektronische Identitätsnachweis auszuschalten, § 27 Abs. 2
zeit u.a. die Ausgabe des Ausweises, die Aus- und Einschaltung Satz 3 PAuswG. Der Ausweisinhaber hat auch zertifizierte Kar-
des elektronischen Identitätsnachweises und die tätig geworde- tenleser und Software zu verwenden, um einen unberechtigten
ne Personalausweisbehörde, den Eingang der Sperr- und Ent- Zugriff auf die Geheimnummer zu verhindern, § 27 Abs. 3
sperranträge sowie die Übermittlung der Sperrsummen15 an das PAuswG. Kommt der Personalausweis abhanden, so hat er den
BVA. Während der Gültigkeitsdauer des Personalausweises elektronischen Identitätsnachweis über eine Ausweisbehörde
kann ein ausgeschalteter elektronischer Identitätsnachweis auf oder den Sperrnotruf unverzüglich sperren zu lassen. Unberührt
Antrag des Ausweisinhabers ein- oder ausgeschaltet werden, davon bleibt die Verpflichtung, den Verlust des Ausweises anzu-
wenn der Ausweisinhaber zum Zeitpunkt der Antragstellung zeigen, vgl. § 27 Abs. 1 Nr. 3 PAuswG. Die Nutzung des elektro-
bereits 16 Jahre alt ist. Wurde dabei die örtlich zuständige Perso- nischen Identitätsnachweises durch eine andere Person als den
nalausweisbehörde tätig, so informiert sie die ausstellende Per- Personalausweisinhaber ist unzulässig, § 18 Abs. 2 Satz 4
sonalausweisbehörde hierüber, damit Letztere ihrer Dokumen- PAuswG. Verstöße gegen diese Verpflichtung sind bußgeldbe-
tationspflicht nachkommen kann. wehrt, vgl. § 32 Abs. 1 Nr. 5 PAuswG.
c) Pflichten bei Sperrung und Entsperrung
Auf Wunsch wird dem Ausweisinhaber das Sperrkennwort aus
VIII. Zusammenfassung
Entgegen dem Wortlaut der §§ 4 Abs. 3, 7 Abs. 4 PAuswG wird
dem Personalausweisregister mitgeteilt, was allerdings nur
das BVA nicht als Vergabestelle für Berechtigungszertifikate tä-
durch die ausstellende Personalausweisbehörde erfolgen kann.
tig. Vielmehr stellt dieser zentrale Dienstleister des Bundes für
Erhält die ausstellende Personalausweisbehörde Kenntnis vom
Diensteanbieter die Berechtigung aus, im Wege des elektroni-
Abhandenkommen eines Personalausweises mit eingeschalte-
schen Identitätsnachweises die erforderlichen Daten abzurufen.
tem elektronischen Identitätsnachweis oder vom Versterben des
Der Ausweisinhaber kann ein berechtigtes Interesse an der Neu-
Ausweisinhabers, so muss sie unverzüglich zum Zweck der Ak-
ausstellung des Personalausweises haben. Begründet er dieses
tualisierung der Sperrliste das Sperrkennwort dieses Personal-
Interesse mit der beabsichtigten Heraus- oder Aufnahme seiner
ausweises und die Sperrsumme an den Sperrlistenbetreiber
Fingerabdrücke, so ist i.R.d. Prüfung sein Recht auf informatio-
nelle Selbstbestimmung zu berücksichtigen. Ferner kann sich
15 Sperrsummen sind Merkmale, die aus Sperrkennwort, Familienname, Vorna-
der Antragsteller unter Darlegung eines wichtigen Grundes zur
men und dem Geburtstag des Ausweisinhabers errechnet und im Falle der Sperrung Ausstellung des Ausweises auch an eine örtlich unzuständige
oder Entsperrung an das BVA übermittelt werden müssen. Personalausweisbehörde wenden. Die wichtigen Gründe kön-
MMR 10/2010 Polenz: Elektronischer Personalausweis 675nen dabei persönlicher Natur sein oder insbesondere mit der weisbehörde zur Sperrung die Nennung des Sperrkennworts
räumlichen Entfernung zur örtlich zuständigen Personalaus- entbehrlich ist, nur für den Fall des persönlichen Erscheinens
weisbehörde im Zusammenhang stehen. Der Verordnungsent- durch den Ausweisinhaber gelten, denn auf telefonischem We-
wurf enthält keine Regelung dazu, wie die vom Sperrnotruf zu ge wäre keine sichere Identifizierung möglich.
dokumentierenden Angaben zum Sperrantrag und zur Über-
mittlung der Sperrsumme an die ausstellende Personalausweis- Dr. Sven Polenz LL.M.
behörde gelangen, sodass ergänzend eine praktikable Lösung ist Referatsleiter am Unabhängigen Landeszentrum für
Datenschutz Schleswig-Holstein, Kiel.
zum Datenaustausch gefunden werden muss. Schließlich sollte
die vom Gesetzgeber vorgesehene Regelung, wonach gegen-
über der örtlich zuständigen und der ausstellenden Personalaus-
676 IT-Vertragsrecht und eCommerce MMR 10/2010Sie können auch lesen
