Profilerstellung inklusive

21. April 2006 Twister (Bettina Winsemann)

Großbritanniens neue Ausweise

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

In Deutschland ist die Debatte um einen Zugriff der Wirtschaft auf die im eAusweis gespeicherten Daten neu entfacht worden. Ein Blick nach Großbritannien zeigt, wie die Zukunft des "staatlichen Identitätsmanagement" aussehen könnte.

Seit die Gesellschaft für Informatik noch einmal die Überlegung kritisierte, die auf den neuen eAusweisen gespeicherten Daten auch der Wirtschaft zugänglich zu machen, ist die Debatte um diese Daten und ihre Verwendung neu angefacht worden.

Wurde im Februar diesen Jahres noch seitens des Bundesinnenministeriums die Idee lediglich als "Denkmodell" dargestellt (Stille Post im digitalen Dorf), so gibt es nun aber präzisere Erläuterungen für das, was tatsächlich überlegt wird. So sollen die Daten nicht der Wirtschaft zugänglich gemacht werden, sondern die Firmen, welche von den neuen eAusweisen profitieren, sollen dementsprechend auch an den Kosten beteiligt werden. Da angedacht ist, die eAusweise soweit zu modifizieren, dass sie auch für die Online-Authentifizierung genutzt werden können, könnten beispielsweise Banken auf das bisherige PIN- und TAN-Verfahren verzichten.

Dennoch erinnert das Denkmodell nicht zuletzt an die britischen Pläne, biometrische Daten an die Wirtschaft zu verkaufen (Britische Regierung erwägt Verkauf persönlicher Daten der Bürger an Unternehmen), um die Kosten der neuen ID-Card (Ausweis) moderat zu halten. Auch hier wurde energisch dementiert, dass die zu speichernden Daten der Wirtschaft zur Verfügung stehen könnten und darauf verwiesen, dass es lediglich darum ginge, z.B. Banken bessere Möglichkeiten zur Identifizierung von Kunden an die Hand zu geben. Da das britische System, welches rund um die ID-Card aufgebaut wird, mittlerweile konkrete Formen angenommen hat, lohnt es sich, es einmal näher zu beleuchten. Das ID-Card-Scheme könnte für Deutschland durchaus eine Anregung sein, den eAusweis in dieser Form zu etablieren.

Das Herz des Systems: die zentrale Datenbank

Anders als z.B. in Deutschland gibt es in Großbritannien bisher kein Meldesystem und keinen Personalausweis, die Authentifizierung erfolgt größtenteils durch den Pass oder ähnliche Dokumente. Mit Einführung der neuen ID-Card (die ersten dieser Karten sollen im Jahr 2008 herausgegeben werden) wird sich dies ändern, die zentrale Datenbank NIR (National Identity Register) wird dann die Daten derjenigen vorrätig halten, welche eine ID-Card besitzen.

Diese Daten, so beruhigt das britische Home Office auf der Informationsseite zu den ID-Cards, sind aber lediglich Angaben wie Geburtsort und -datum, Name, Adresse und der Status hinsichtlich der Einbürgerungsproblematik. Ergänzt werden diese Daten durch biometrische Merkmale wie beispielsweise die Fingerabdrücke und den Irisscan. Jeder, so bemüht sich das Home Office zu versichern, habe ein Anrecht darauf zu erfahren, welche Daten über ihn gespeichert werden.

Kartenleser für Videotheken, Bars, Vermieter etc.

Zeigt man in Deutschland seinen Personalausweis beispielsweise beim Kauf mit EC-Karte vor, so kann der Prüfende lediglich die Daten (beispielsweise die Ausweisnummer) ggf. notieren und nachschauen, ob der Besitzer des Ausweises dem Bild auf dem Ausweis entspricht. Eine Möglichkeit festzustellen, ob der Ausweis gestohlen ist oder die Daten auch tatsächlich die des Ausweisbesitzers sind, besteht nicht. Somit ist eine Identifikation allein durch das Vorzeigen des Personalausweises für Firmen und andere Privatpersonen nicht möglich.

In Großbritannien wird dies anders sein. Hier wird es nach der Akkreditierung durch das Home Office Kartenleser für diejenigen geben, welche an einer möglichst genauen Identifikation des Vertragspartners interessiert sind. Die Aufzählung des britischen Innenministeriums ist denn auch keineswegs abschließend, vielmehr ist dieser Satz ausschlaggebend: "Many more companies and organisations will use the scheme to check the immigration status of potential employees and to ensure those applying for positions of trust are who they say they are."

Natürlich wird ein solcher Abgleich erst mit Zustimmung des Kartenbesitzers möglich, beeilt sich das Innenministerium, Missbrauchsbedenken gleich im Vorfeld zu zerstreuen. Auf die Frage, wer sich denn, ist das System erst eingeführt, überhaupt weigern kann, einen solchen Test seiner Identität nicht vornehmen zu lassen, und inwieweit dies schon hinsichtlich der logischen Folgen (Nichteinstellung, Nichtausstellung einer Kundenkarte usw. usf.) unmöglich ist, wird nicht weiter Bezug genommen.

Bei einigen Transaktionen wird es ausreichen, lediglich zu prüfen ob die ID-Card als gestohlen oder vermisst gemeldet wurde. Doch bei anderen, als Beispiel dient die Vergabe eines Darlehens, wird die Identität insofern geprüft werden, als dass die Bank zusätzlich die biometrischen Daten abgleicht, beispielsweise also einen Fingerabdruck des Kunden nimmt und diesen mit den im NIR gespeicherten Abdruck vergleicht.

Und die Profile gibt es gleich dazu

Die NIR-Terminals werden ab 2008 somit von immer mehr Privatpersonen und Unternehmen genutzt werden. Damit es für Unternehmen nachweisbar ist, dass sie tatsächlich die Identität des Kunden geprüft haben (dies wäre wichtig, wenn es um Schadensersatzansprüche usw. geht), wird jeder Zugriff auf die NIR protokolliert. Jedes Mal, wenn per Terminal eines Akkreditierten auf die NIR zugegriffen wird, vergibt das System eine Transaktionsnummer. Diese dient als Nachweis über den Identitätscheck.

Das bedeutet im Umkehrschluss, dass bei zunehmender Anzahl der Akkreditierten die Profile, welche im NIR entstehen, immer detaillierter werden. Bedenkt man, dass ein Argument für die Einführung der ID-Cards der Jugendschutz war (es soll verhindert werden, dass Minderjährige Alkohol oder pornographisches Material erwerben können), so ist logisch nachvollziehbar, dass Kiosk- und Barbesitzer zu denjenigen gehören werden, die von den neuen NIR-Terminals profitieren. Wird eine Flasche Alkohol am Kiosk erworben, so kann der Kioskbesitzer durch den ID-Check inklusive Fingerabdruckabgleich sicherstellen, dass der Ausweis nicht etwa der des großen Bruders ist und der Alkohol nicht an einen Minderjährigen verkauft wird.

Egal ob man morgens also seine Monatskarte für den Bus kauft, nachmittags eine Wohnung sucht, ein Vorstellungsgespräch beim potentiellen Arbeitgeber führt, eine DVD ausleiht oder einen PKW, ein Paket bei der Post abholt oder zuhause erhält, einen bestimmten Geldbetrag von seinem Konto auf ein anderes Konto überweist ... all dies wird mit Hilfe der ID-Card zum Bestandteil des eigenen Profils innerhalb der NIR-Datenbank. Auf diese Daten, so das Innenministerium, haben aber lediglich die Polizei, Sicherheits- und Geheimdienste Zugriff. Eine ID-Card zu besitzen, ist übrigens in Großbritannien auch ab 2008 keine Pflicht. Eine Ausweispflicht ist zwar geplant, jedoch noch nicht umgesetzt. Ob man sich jedoch dem ID-Card-Scheme entziehen kann bleibt angesichts des zu erwartenden dichten Netzes der Akkreditierten mehr als fraglich.

Das Innenministerium hat diesbezüglich jedoch auf der Infoseite noch eine beruhigende Mitteilung nicht vergessen: Auf die Frage, ob die ID-Cards eine Bedrohung für die Privatsphäre und den Datenschutz (privacy) sind, antwortet es freundlich und bestimmt mit "No".