Personalausweis: In gleich drei Ausführungen fürs Smartphone

Ja gut Verschwörungstheorien hab ich ja keine aufgestellt.
Je mehr man von sich preis gibt desto mehr ist auch bekannt- das ist klar!
Und selbstverständlich wird der Staat im Bezug auf diesen speziellen Fall, natürlich auch seine Vorteile daraus ziehen können die es ohne(!) einfach nicht gegeben hätte. Aber das hat der Bürger/Nutzer zum größten Teil selber in der Hand und der Rest ist vertauen und die Bezahlung für eventuelle Bequmlichkeiten und Vorteile.

Beispiel:
Alle vertrauen Versendern und der Post...Aber wenn ich sie nutze, wissen Wechselnde Boten und Sonstige bearbeitende Personen also "belibige Fremde" wo wir Versichert sind wo wir gekauft haben und oft auch was, wo wir wohnen wann wir zuhause sind... was für Fahrzeuge und Besitztümer wir haben usw.

Dabei sollte jeder wissen die Post selbst ist ohne eingelegten Wiederspruch sogar berechtigt mit unseren Adressen zu handeln. Oft auch Versender.

Soll heißen wir fühlen uns alle unheimlich "sicher und Privat" in unserer gewohnten Umgebung" und meckern wie die Schafe in der Herde- im wörtlichen Sinne^^- wenn was neues kommt das Vermeintlich noch nicht bekannte Daten erheben könnte.

Wer am Wirtschaftlichen Leben hir teilnimmt kann aber realistisch gesehen nur sehr wenig geheim halten. Das liegt aber nicht an Datenspionage und Missbrauch sondern eben meist an uns selbst.
 
Du streitest also ab, dass der Staat Behördengänge überwacht? :-D
(Ob digital oder nicht spielt doch gar keine Rolle, oder? Als ich das letzte Mal auf dem Amt war, hat doch tatsächlich ein Beamter in alle Dokumente geguckt, die ich vorgelegt habe! Überwachung!!)

Lieber Thorsten, ich weiß nicht genau, ob Du Dich auf meinen Beitrag beziehst oder nicht.

Ich denke, Dein Beispiel mit Deinem Behördengang ist sicher der humoristischen Ecke zuzuschreiben.

Überwachung ist juristisch die zielgerichtete Beobachtung und Informationserhebung von Objekten, Personen, Personenvereinigungen oder Gegenständen durch am Geschehen unbeteiligte Dritte.

In Deinem Beispiel wäre die Behörde keine unbeteiligte Dritte und der vermeintlich neugierige Beamte müsste zu Erfüllung seiner hoheitlichen Aufgaben sogar die Dokumente lesen. Nach wie vor sitzen in den Behörden noch Menschen vor den Bildschirmen, die die Vorgänge bearbeiten. Von automatisierten Vorgängen sind die Behörden noch Lichtjahre entfernt.

Meines Wissens nach wir zwischen dem eID-Server sowie der Client-Software (zum Beispiel AusweisApp2), dem NFC fähigen Smartphone oder Kartenlesegerät sowie dem Ausweis-Chip ein sicherer Kanal aufgebaut. Die Authentizität des Diensteanbieters wird ebenso geprüft wie die Authentizität und Integrität (Fälschungssicherheit) des Ausweises.

Die Client-Software zeigt der sich ausweisenden Person auf deren Wunsch das Berechtigungszertifikat des Diensteanbieters und die angefragten Ausweisdatenkategorien an. Die sich ausweisende Person entscheidet, ob die angefragten Ausweisdaten übermittelt werden dürfen.

Der Bürger gibt seine Pin ein und das ganze Spiel geht wieder rückwärts. Also Ausweisdaten an eID-Server, der eID-Server gibt die Authentifizierungsbestätigung und die abgefragten Daten an den Dienstanbieter weiter, dessen Software verarbeitet die Daten und entscheidet, ob die Authentifizierung als ausreichend und erfolgreich anzusehen ist. Im Letzten Schritt bekommt der Bürger eine Ergebnisantwort.

Damit das System so arbeiten kann ist es natürlich erforderlich, dass der eID-Server prüft, darf der anfragende Dienstanbieter überhaupt anfragen, hat er die Berechtigung dazu? Und im zweiten Schritt, ist das Ausweisdokument echt.

Die Frage die man sich bei diesem Vorgang der „Dreiecks-Prüfung“ stellen kann ist, was geschieht mit den Athentifizierungsdaten beim Dienstleister? Werden die gespeichert oder zu anderen Zwecken benutzt? Was passiert mit den Vorgangsdaten auf dem eID-Server? Werden die gespeichert und für Zeit x aufbewahrt? Das entzieht sich derzeit noch meiner Kenntnis. Und was für Daten werden genau übermittelt? Meines Wissens nach ausschließlich die Daten, welche auch auf dem Ausweis stehen, und die Verifizierungsbestätigen von eID-Server an den Dienstleister.

Aber ich denke, da werden sicherlich die Datenschutzbeauftragten und der Chaos Computerclub noch einen genaueren Blick drauf werfen.

Aber das als staatliche Überwachungsmaschinerie auszurufen halte ich für absolut absurd. Wie Du schon so schön sagtest, bei jedem Behördengang muss ich mich ohnehin ausweisen und meine Daten werden erfasst. Und auch Banken prüfen die Authentizität meiner Ausweisdokumente anhand der Prüfsumme auf dem Ausweißdokument. Und die Banken sind sogar gesetzlich dazu angehalten, diese Daten im System festzuhalten (Stichwort Geldwäschegesetz). Aber auch hier haben wir keinen unbeteiligten Dritten, sondern die Ban ist unmittelbar in den Vorgang involviert.
Ja gut Verschwörungstheorien hab ich ja keine aufgestellt.
War auch gar nicht so gemeint von mir, ich bin ja ganz bei Dir.

Mit einer gesunden Portion Paranoia lässt sich aus allem eine vermeintliche „Überwachung“ konstuieren . Da gebe ich dir absolut Recht.
 
Lieber Thorsten, ich weiß nicht genau, ob Du Dich auf meinen Beitrag beziehst oder nicht.

Ich denke, Dein Beispiel mit Deinem Behördengang ist sicher der humoristischen Ecke zuzuschreiben.

Wie unschwer am Smilie und der überzogenen Zahl von Satzzeichen im ersten Absatz zu erkennen war.
Den zweiten Absatz meine ich aber ernst, denn wie du schon selbst geschrieben hast: Für die digitale Authentifizierung müssen einige Daten fließen. Und jeder, der an diesem Datenfluss beteiligt ist, könnte ihn archivieren und später zwecks Erstellung individueller Profile auswerten. Ganz besonders die Bundesdruckerei als Betreiber des zentralen, in jede Verifizierung involvierten Servers. Das heißt hier wird zwangsläufig eine Überwachungs-taugliche Infrastruktur aufgebaut.

Ob man annimmt, dass diese hinter verschlossenen Türen auch tatsächlich zur Überwachung genutzt wird oder ob man vom Gegenteil ausgeht, ist dann eine Frage der Balance eigener Paranoia und Gutgläubigkeit (um die Ausdrücke der jeweils gegenteiligen Sichtweise zu verwenden), aber ein prinzipiell kritischer Blick auf die Technik ist gerechtfertigt. Wir hatten dieses Jahr bereits mehrere Fälle datenschutzrechtlich nicht zulässiger Datensammlungen bei Polizei und Behörden und wir haben mindestens einmal im Jahr die Diskussion, ob die Kennzeichenscanner von Mautbrücken nicht für Verkehrsüberwachung und Strafverfolgung genutzt werden sollen. Bei Einführung neuer Technologien ist meiner Meinung nach auch ein künftiges Missbrauchspotenzial zu beachten und gegenüber den Vorteilen aufzuwiegen, nicht nur das heute akut vorhandene oder eben fehlende.
 
Im Großen und Ganzen kann ich Dir zustimmen, Torsten.

Aber es macht einen Unterschied, ob ich Gutgläubig bin, oder ein begründetes Vertrauen in den Rechtsstaat habe. Es macht auch einen Unterschied, ob ich eine begründbare Skepsis hinsichtlich Datenschutz und technischer Umsetzung habe, oder die rhetorischen Mistgabeln und Fackeln auspacke.

Mit dem Vorwurf des Aufbaus einer „Überwachungstauglichen“ Infrastruktur muss sich jeder datenerhebende und datenverarbeitende Dienst auseinandersetzen. Insbesondere dann, wenn es um Überprüfung und Weitergabe von Daten geht, welche nicht in anonymisierter Form erhoben werden. Die Diskussion bekommt natürlich einen anderen „Drive“, wenn der Staat als Akteur auf den Plan tritt, da bin ich ganz bei Dir. Aber auch der Staat als Akteur hat sich an die geltenden Gesetze zu halten und kann nicht im rechtsfreien Raum agieren. Um das zu kontrollieren gibt es Datenschutzbeauftragte, unseren Bundestag samt Ausschüssen und Gerichte. Und ja, das System ist nicht perfekt und immer wieder gibt es Pannen. Aber das System der Gewaltenteilung und Demokratie ist neunmal das beste, was wir haben. Und immer noch gilt der Grundsatz, dass auf nicht legalem Wege erlangte Erkenntnisse nicht in einem späteren Prozess verwendet werden dürfen.

Hinsichtlich der Vorfälle bei der Ploizei müsstest Du mir helfen, da meine Erinnerung diesbezüglich eingetrübt ist. In Erinnerung habe ich noch, dass die Datenerhebung und Verarbeitung rechtmäßig war, aber in zwei Bundesländern die zulässige Speicherzeit für die Daten erheblich überschritten wurde (Datei Gewalttäter Sport) und die betroffenen Personen nicht über die Datenerfassung informiert wurden. Jetzt mal abgesehen von den Verstößen durch unberechtigten Datenzugriff von Polizisten für zum Teil private Zwecke. Das kann man nicht Schönreden und treibt auch mir immer wieder Sorgenfalten auf die Stirn. Aber das Gute ist, dass diese Vorgänge publik gemacht und auch geahndet werden. Von Ermahnungen, über verhängte Bußgelder bis hin zu personellen Konsequenzen ist so ziemlich alles dabei gewesen. Dafür langt ein simpler Blick in die Berichte der Landesdatenschutzbeauftragten.

Hinsichtlich der rein behördlichen Nutzung - und da bin ich absolut bei Dir - macht es kaum einen Unterschied, ob ich zur Behörde gehe, meine Personalausweis vorzeige und mein Anliegen bearbeitet wird, oder ob ich einen staatlichen Onlinedienst mit Verifizierung nutze.

Sorgen bereitet mir eher eine eventuelle Öffnung des Systems für private Dienstleister. Nehmen wir doch einfach den Abschluss eines Mobilfunkvertrages. Normalerweise gehe ich in den Shop, schließe den Vertrag ab, der Shopmitarbeiter erfasst meine Personalausweisdaten inkl. Prüfung auf Authentizität des Ausweisdokumentes, man unterschreibt und fertig ist man. Zugriff auf die Daten samt Telefonnummer bekommt der Staat nur dann, wenn ein begründeter Verdacht auf Begehen einer Straftat samt Gerichtsbeschluss besteht.
Nutze ich den Online Athentifizierungsdienst, so weiß der eID-Server, dass eine Anfrage von einem Mobilfunkanbieter besteht auf Verifizierung meiner Daten. Würde nach erfolgter Verarbeitung der Daten und Bestätigung der Echtheit der Daten der Vorgang nicht gelöscht werden, sondern gespeichert werden für Zeitraum X, würde das zumindest theoretisch die Möglichkeit schaffen, dass jemand Zugriff auf diese Daten hätte und somit die Notwendigkeit eines Gerichtsbeschlusses umgangen werden. Zwar hätten die Behörden noch immer nicht meine Mobilfunknummer, aber sie wüssten, dass Person XY einen Mobilfunkvertrag bei Unternehmen YZ hat.
An diesem Punkt stellt sich für mich die Frage, wird der Vorgang gespeichert auf dem Server der Bundesdruckerei, wenn ja, wie lange, und gibt es Zugriffsmöglichkeiten von staatlichen Stellen auf diese Vorgangsdaten. Da bin ich mir noch nicht im Klaren drüber und konnte auch noch nichts für mich Klärendes finden.

Aber vielleicht hast Du ja nähere Informationen hierzu? Ich wäre dankbar.
 
Zuletzt bearbeitet:
Nähere Informationen gibt es zu dem neuen System bislang nicht und beim bisherigen E-Perso gelten meinem Wissen nach sehr hohe Datenschutzstandards respektive kurze bis gar keine Speicherfristen. Aber wie das Beispiel mit den polizeilichen Datenbanken zeigt (die in Bremen meiner Erinnerung auch Daten von Personen enthielten, zu denen mangels Anlass nie in dieser Tiefe hätte archiviert werden dürfen): Besteht erst einmal die Technik zur elektronischen Datenverwaltung, sind es bis zum Missbrauch derselben nur wenige Klicks und betroffene merken davon gar nichts. Für Verschwörungstheoretiker ist es daher leicht möglich, Horrorszenarien abzuleiten, denn letztlich muss man dem Staat glauben, dass Datenschutzvorschriften eingehalten und die Einhaltung hinreichend geprüft wird – und wer Angst vor Überwachung hat, glaubt im Zweifelsfall eher das Gegenteil. Und zweifeln kann man viel. :-)
 
Zurück