Geschäfte mit dem digitalen Abdruck

Datenschützer fürchten, dass Unternehmen mit dem neuen ePersonalausweis auch an neue Bürgerdaten gelangen. Innenministerium verspricht, dass die digitalen Ausweise auch im Geschäftsverkehr nur zur Identifizierung dienen

VON MAX HÄGLER

Der kleine nationale Bruder vom ePass, der ePersonalausweis, beunruhigt die Datenschützer der Republik.

Ab 2008 soll der ePersonalausweis die den meisten Erwachsenen vertraute Plastikkarte ersetzen. Ausgerüstet mit einem „RFID“-Funkchip soll er technisch und inhaltlich kompatibel sein zum ePass. Ebenso wie dieser wird er biometrische Informationen enthalten: zunächst ein digital zerlegbares Bild, später auch Fingerabdrücke.

Die Daten des ePersonalausweises soll jedoch auch die deutsche Wirtschaft nutzen können. „Ein elektronischer Personalausweis ist politisches Ziel und eines der Projekte im Rahmen der eCard-Initiative“ bestätigte eine Sprecherin des Bundesinnenministeriums der taz. „Eine Überlegung dabei ist, die Wirtschaft an den Kosten des neuen Dokuments zu beteiligen.“ Ein konkreter Plan zu Finanzierung oder Dateninhalten existiert laut Ministerium noch nicht. „Wir führen derzeit Gespräche mit Datenschützern und Nutznießern.“

Eine entschiedene Warnung vor solchen Ideen kommt von einer Institution, die sonst nicht polarisiert. Für die größte deutschsprachige Informatikervereinigung, die Gesellschaft für Informatik e. V. (GI), ist jeglicher Verkauf von Personaldaten durch den Staat an Nutznießer – also die Wirtschaft – nicht hinnehmbar: „Es kann nicht Aufgabe einer demokratischen Regierung sein, Interessierten einen nicht mehr beherrschbaren Zugriff auf personenbezogene Daten seiner Bürger zu ermöglichen oder auch nur zu erleichtern“, erklärt der Computerexperte Hartmut Pohl.

Die Befürchtung lautet nun, dass beim individuellen Gebrauch der eDokumente ein Unternehmen an Informationen kommt, die weit über den reinen Identifikationszweck hinausgehen. Nach Ansicht der GI lassen biometrische Daten wie Fingerabdruck, Iris und Gendaten auf den aktuellen Gesundheitszustand schließen wie auch auf Anlagen zu Süchten, Erbkrankheiten, die relative Lebenserwartung und über die sexuelle Orientierung von Männern. „Wer diese Daten auswertet, ist in der Lage, Bürger informationell und auch gesundheitlich zu durchleuchten“, befürchtet die GI.

Das Projekt „ePersonalausweis“ wurde vom damaligen Innenminister Otto Schily (SPD) angeschoben, der damit auf die Attentate des 11. September 2001 reagierte. Wolfgang Schäuble, CDU-Innenminister der großen Koalition, treibt die Digitalisierung der Personaldokumente voran. Auf einer Fachkonferenz im Januar erklärte sein Staatssekretär Bernhard Beus, der Personalausweis werde ja bisher auch im privatwirtschaftlichen Sektor gern genutzt – etwa bei der Kontoeröffnung, Paketabholung oder beim Einchecken im Hotel.

„Diese Vorgehensweise, die sich in der realen Welt gut bewährt hat, wollen wir nun in die virtuelle Welt übertragen, damit sich Bürgerinnen und Bürger auch in dieser Welt eindeutig und sicher identifizieren können“, so Beus. Deswegen habe man sich beim ePersonalausweis „noch mehr vorgenommen“ als beim EU-ePass: eine elektronische Identifizierungsmöglichkeit, bei der „die für den Geschäftsvorgang jeweils benötigten Identitätsdaten“ aus dem Chip ausgelesen „und dem jeweiligen Geschäftspartner übermittelt werden“ können.

Bislang arbeitet die Wirtschaft entweder mit dem direkten Vorzeigen des Personalausweises oder – bei Distanzgeschäften – mit dem kostenpflichtigen PostIdent-Verfahren der Deutschen Post AG. „Es ist eine Überlegung, die Wirtschaft dann an den Kosten der Identifikation durch den Personalausweis zu beteiligen, wenn es anderswo Einsparpotential für die Unternehmen gibt“, heißt es aus dem Innenministerium. Es will den GI-Informatikern die Sorgen nehmen: „Für die Wirtschaft wird nur die Identifizierungsmöglichkeit offen stehen, einen Zugriff auf alle Daten wird sie nicht erhalten.“

Die EU, über deren Hintertür der ePass eingeführt wurde, erlaubt eine solche Zweitverwertung mit dem Pass übrigens nicht. Die EU-Ratsverordnung 2252/2004 legt fest, dass personenbezogene Daten nur zu dem Zweck verarbeitetet werden dürfen, für den sie gesammelt wurden – also die Passkontrolle samt Identifikation. Doch findet diese Anordnung „keine Anwendung auf Personalausweise, die Mitgliedsstaaten eigenen Staatsangehörigen ausstellen“.