Schlagwort: Personalausweis
4. August 2021
Wer ab Montag, den 2. August einen neuen Personalausweis beantragt, muss dafür seine Fingerabdrücke scannen lassen. Zukünftig wird ein Scan des linken und des rechten Zeigefingers auf dem RFID-Chip des Ausweises gespeichert.
Bisher war das Speichern von Fingerabdrücken im Personalausweis freiwillig. Verpflichtend gespeichert werden sie schon länger bei Reisepässen. Mit dem Gesetz zur Stärkung der Sicherheit im Pass-, Ausweis- und ausländerrechtlichen Dokumentenwesen wurde die Pflicht nun auf Personalausweise ausgeweitet. Dabei setzt das Gesetz eine EU-Verordnung aus dem Jahr 2019 um. Die gespeicherten Fingerabdrücke sollen von den Sicherheitsbehörden der EU-Mitgliedsstaaten ausgelesen werden können, wenn nach Lichtbildabgleich Zweifel an der Identität der Person bestehen bleiben. In Deutschland dürfen außerdem die Personalausweis-, Pass- und Meldebehörden, die Polizeivollzugsbehörden, die Zollverwaltung und die Steuerfahndungsstellen die Abdrücke auf dem Personalausweis auslesen.
Kritik an diesen neuen Regelungen kommt u.a. von Netzwerk Datenschutzexpertise, einem Zusammenschluss rund um den ehemaligen Datenschutzbeauftragten von Schleswig-Holstein, Dr. Thilo Weichert. In ihrem Gutachten bemängeln sie, dass Datenschutzgrundsätze wie Transparenz (Verarbeitung der Daten für betroffene Person nachvollziehbar), Zweckbindung (Erhebung und Verarbeitung nur für festgelegte und legitime Zwecke) und Datenminimierung (Verarbeitung wird auf das für Zweck notwendige Maß beschränkt) missachtet würden. Das Speichern von Abdrücken der Zeigefinger könne als unverhältnismäßig bezeichnet werden, weil mildere Maßnahmen bestünden. So könnte nur ein Fingerabdruck statt zwei gespeichert werden. Auch könnten Finger, die im Alltag weniger Spuren hinterlassen und somit weniger missbrauchsanfällig sind als die Zeigefinger, benutzt werden, z.B. der Ringfinger. Zur Identifikation sei dieser genauso gut geeignet. Der Gedanke dahinter ist, dass Hackerangriffe auf die gespeicherten Fingerabdrücke befürchtet werden. So könnten Kriminelle sich Abdrücke anderer Menschen zunutze machen. Dabei sei das Missbrauchsrisiko sehr hoch, da Fingerabdrücke nun einmal – anders als Passwörter- nicht geändert werden könnten und die Betroffenen von dem Hackerangriff ein Leben lang betroffen sein könnten.
Das Bundesministerium des Innern (BMI) versichert hingegen, dass die Fingerabdrücke nach Aushändigung des Ausweises bei Hersteller und Behörde gelöscht werden. Eine Speicherung in einer zentralen Datenbank fände nicht statt. Die Daten im Chip selbst würden verschlüsselt.
Die alten Personalausweise ohne Fingerabdrücke behalten ihre Gültigkeit bis sie regulär abgelaufen sind. Fingerabdrücke müssen erst bei der Beantragung des neuen Ausweises abgegeben werden. Wie genau die Erfassung erfolgt, kann bei dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachgelesen werden.
3. August 2018
Seit kurzem bietet die Messenger-App die neue Ausweisfunktion Telegram-Passport an. Es handelt sich um eine Methode seine Identität in anderen Apps oder Diensten zu verifizieren. Hierfür werden Ausweisdokumente wie z.B. eine Kopie oder ein Foto des Personalausweises bei Telegram hochgeladen. Diese können auf Nachfrage bei anderen Apps oder Onlinediensten z.B. im Rahmen von Bankgeschäften „vorgelegt“ werden, um sich zu authentifizieren. Telegram speichert die Dokumente in einer Cloud mit einer Ende-zu-Ende-Verschlüsselung. Beim Hochladen muss der Nutzer ein Passwort erstellen. Nach eigenen Angaben hat Telegram keinen Zugriff auf die Dokumente, sondern nur der Nutzer und mit seiner Einwilligung andere Apps oder Onlinedienstanbieter.
Doch die Idee Ausweisdokumente bei einem privaten Dienst zu speichern erscheint heikel und viele Nutzer könnten Bedenken gegen die Nutzung dieser Funktion haben, insbesondere da Zweifel an der Sicherheit der persönlichen Dokumente bestehen. Der Schutzstandard hängt vom eigens vom Nutzer gesetzten Passworts ab. Gerade dieser soll Schwachstellen haben, die von Hackern ausgenutzt werden könnten. Es geht um einen ungeeigneten Hashing-Algorithmus, der für die Speicherung der Passwörter genutzt wird. Der Vorgänger des von Telegram genutzten SHA-512-Algorithmus, hatte bereits 2016 für eine Sicherheitslücke bei der Plattform LinkedIn gesorgt. Nach dem diese Schwachstelle diese Woche bekannt geworden ist, bleibt abzuwarten, ob der Messengerdienst reagiert und dadurch die Bedenken der Nutzer beseitigt werden.
24. Februar 2016
Immer wieder wird man um die Hergabe des Personalausweises gebeten, sei es bei der Übernahme eines Mietwagens, im Fitnessstudio oder beim Bezug eines Ferienzimmers. In den meisten Fällen will der Gegenüber “nur schnell eine Kopie” machen und man erhält den Ausweis mit einem Lächeln zurück.
Den ein oder anderen beschleicht an dieser Stelle gelegentlich ein komisches Gefühl, schließlich befinden sich auf dem Ausweis nicht nur jede Menge Daten, sondern es handelt sich auch um ein wichtiges Dokument (“Eigentum der Bundesrepublik Deutschland”), das man nicht gerne aus der Hand gibt. Aber soll man nun wirklich wegen eines “komischen Gefühls” die freundliche Fitnessstudio-Mitarbeiterin irritieren, die Übergabe des Mietwagens hinauszögern oder Komplikationen mit dem Ferienzimmer in Kauf nehmen?
Immer wieder taucht die Frage auf, ob das Kopieren des Personalausweises eigentlich zulässig ist oder nicht.
Auch hier im Blog haben wir schon zu dem Thema berichtet.
Das Bundesministerium des Inneren (BMI) hat hierzu nun kürzlich Stellung bezogen. Wie die Webseite www.datenschutzbeauftragter.info berichtet, habe sich die Ansicht des BMI dahingehend geändert, dass eine Kopie des Persoalausweises unter Einhaltung strenger datenschutzrechtlicher Vorschriften erlaubt sei.
Diese strengen Voraussetzungen werden von www.datenschutzbeauftragter.info wie folgt zusammengefasst:
- Eine Kopie darf nur und ausschließlich zu Identifizierungszwecken verwendet werden und muss erforderlich sein. Im Umkehrschluss bedeutet dies, eine Kopie nicht erforderlich ist, um eine anwesende Person zu identifizieren (hier genügt ja ein menschlicher Blick auf den Ausweis).
- Alle Daten, die nicht zur Identifizierung notwendig sind, können und sollen geschwärzt werden – so z.B. (u.a.) die Serien- und Zugangsnummer. Besonders spannend (und ein Fall für die Frage “Theorie oder Praxis”): Der Betroffene ist auf die Möglichkeit und Notwendigkeit der Sperrung hinzuweisen.
- Die Kopie ist unverzüglich zu vernichten, sobald der mit der Kopie verfolgte Zweck erreicht ist.
- Eine Speicherung der Ausweisdaten ist nach wie vor nach § 20 PAuswG unzulässig – d.h. ein Scannen des Ausweises ist, wie vom Verwaltungsgericht Hannover 2013 entschieden und von uns berichtet, nicht erlaubt.
Zwar erlauben das Telekommunikationsgesetz und das Geldwäschegesetz vereinzelt die Kopie des Personalausweises, jedoch gelten auch hier ähnliche Einschränkungen wie oben.
Mit diesem Wissen im Hinterkopf lässt sich das nächste Mal durchaus die Frage aufwerfen, wozu denn die Kopie des Ausweises benötigt wird (man steht einander ja schließlich gegenüber und ein visueller Abgleich zwischen Ausweis und dem darauf abgebildeten Menschen vor Ort ist ohne Weiteres möglich) und ob, im Falle einer plausiblen Erklärung, denn auch ein deckender schwarzer Stift zur Schwärzung der nicht benötigten Daten bereit liege. Ein freundliches Lächeln kann dabei mit Sicherheit nicht schaden.