Personalausweisrecht: Bundesregierung plant grundlegende Änderungen

Kritische Stellungnahme der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder

[datensicherheit.de, 25.01.2017] Die von der Bundesregierung geplante Novellierung des Personalausweisgesetzes zielt auf eine größere Verbreitung der Funktion zum elektronischen Identitätsnachweis (eID-Funktion) und des elektronischen Aufenthaltstitels ab. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat zu diesem Gesetzentwurf eine Entschließung mit einer kritischen Stellungnahme gefasst.

Aufgaben der DSK

Am 1. Januar 2017 hat die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Barbara Thiel, den Vorsitz der DSK – einem Zusammenschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder – für 2017 übernommen.
Der DSK gehören die Bundesbeauftragte für den Datenschutz, die Beauftragten für den Datenschutz der Länder und der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht an. Ihre Aufgabe ist es, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des Datenschutzrechts in Deutschland zu erreichen und gemeinsam für dessen Fortentwicklung einzutreten. Dazu verständigt sich die DSK nach eigenen Angaben auf gemeinsame Positionen der Datenschutzbehörden des Bundes und der Länder, insbesondere durch Entschließungen und Orientierungshilfen.

Änderungen bürger- und datenschutzfreundlich realisieren!

In einer aktuellen DSK-Entschließung zur Novellierung des Personalausweisgesetzes wird gefordert, dass die Änderungen „bürger- und datenschutzfreundlich realisiert werden“ müssen.
Die Bundesregierung plane grundlegende Änderungen des Personalausweisrechts. Nach dem vom Bundeskabinett beschlossenen Gesetzentwurf (BR-Drs. 787/16) würden das Recht auf informationelle Selbstbestimmung der Bürger übergangen und datenschutzsichernde Standards unterlaufen.

eID-Funktion: datenschutzrechtliche Anforderungen aus DSK-Sicht

Die obligatorische Aktivierung der eID-Funktion sei dann hinnehmbar, wenn dauerhaft sichergestellt werde, dass daraus keine verpflichtende Nutzung der eID-Funktion des Personalausweises resultiert.
Die Entscheidung über die Nutzung dieser Funktion müsse allein bei den Bürgern liegen, deren Selbstbestimmungsrecht gewahrt bleiben.
An der bisherigen Verpflichtung der Ausweisbehörden, Bürger über die eID-Funktion des Personalausweises schriftlich zu unterrichten, sollte festgehalten werden. Nur durch eine bundesweit einheitliche Vorgabe zu einer solchen Information werde sichergestellt, dass alle Bürger in hinreichend verständlicher Form aufgeklärt würden.

Wahrnehmung des Rechts auf informationelle Selbstbestimmung

Vor einer Datenübermittlung aus dem Personalausweis müssten die Bürger Kenntnis über den Zweck der Übermittlung erhalten; zur Wahrnehmung des Rechts auf informationelle Selbstbestimmung müssten die Betroffenen stets – wie bislang – nachvollziehen können, in welchem konkreten Kontext ihre Identitätsdaten übermittelt werden.
Zudem sollte die bisherige Möglichkeit, die Übermittlung einzelner Datenkategorien auszuschließen, beibehalten werden.

Diensteanbieter müssen Datenschutz und Datensicherheit gewährleisten!

Die Einführung von organisationsbezogenen Berechtigungszertifikaten bei Diensteanbietern werde abgelehnt. Um sicherzustellen, dass Diensteanbieter nur die für den jeweiligen Geschäftsprozess erforderlichen Angaben übermittelt bekommen, sollte an der aktuellen Rechtslage festgehalten werden, nach welcher der antragstellende Diensteanbieter die Erforderlichkeit der aus der eID-Funktion des Personalausweises zu übermittelnden Angaben nachweisen müsse und an den jeweils festgelegten Zweck gebunden sei.
Berechtigungszertifikate dürften nur an Diensteanbieter erteilt werden, die Datenschutz und Datensicherheit gewährleisten. Daher sollten antragstellende Diensteanbieter nach wie vor durch eine Selbstverpflichtung die Erfüllung dieser Anforderungen schriftlich bestätigen und nachweisen müssen.

Sicherheitstechnische Rahmenbedingungen im Personalausweisgesetz regeln!

Die maßgeblichen Regelungen für die mit der Anlegung und Nutzung von Servicekonten einhergehende Erhebung und Verarbeitung von Identitätsdaten aus dem Personalausweis sowie die sicherheitstechnischen Rahmenbedingungen sollten im Personalausweisgesetz getroffen werden.

Postitivliste von Erlaubnisgründen für Ablichtungen!

Die Voraussetzungen für die Erstellung und Weitergabe von Personalausweisablichtungen sollten gesetzlich konkreter normiert werden. Insbesondere das Prinzip der Erforderlichkeit sei durch eine verpflichtende Prüfung der Notwendigkeit der Anfertigung einer Ablichtung sowie durch eine
Postitivliste von Erlaubnisgründen zu stärken.
Die Einwilligung der Betroffenen als alleinige Voraussetzung berge die Gefahr, dass in der Praxis Ablichtungen angefertigt würden, obwohl sie nicht erforderlich seien. Zudem dürfte fraglich sein, ob betroffene Personen in eine solche Maßnahme stets informiert und freiwillig einwilligen könnten.

Voraussetzungsloser Abruf des Lichtbildes abgelehnt

Die zum 1. Mai 2021 vorgesehene Einführung eines nahezu voraussetzungslosen Abrufs des Lichtbildes im automatisierten Verfahren durch die Polizeibehörden des Bundes und der Länder sowie die Verfassungsschutzbehörden und Nachrichtendienste werde abgelehnt.
Bisher dürften zur Verfolgung von Straftaten und Verkehrsordnungswidrigkeiten insbesondere die Polizei- und Ordnungsbehörden Lichtbilder automatisiert abrufen, wenn die Personalausweisbehörde nicht erreichbar sei und ein weiteres Abwarten den Ermittlungszweck gefährde. Diese gesetzlichen Einschränkungen für das Abrufverfahren sollten nun entfallen und künftig alle Nachrichtendienste voraussetzungslos Lichtbilddaten abrufen können – die bisherige Rechtslage sei aber völlig ausreichend.

Weitere Informationen zum Thema:

datensicherheit.de, 27.08.2013
report München: Sicherheitslücken beim neuen Personalausweis