E-ID: Datenschutz-Kritik am neuen, elektronischen Ausweis

Ende April wurde eine Neufassung des E-Government-Gesetzes in Begutachtung geschickt. Darin vorgesehen ist, dass jeder Bürger künftig einen elektronischen Ausweis beantragen kann, mit dem dann auch staatliche Dokumente wie Personalausweis, Meldebestätigungen oder Führerschein via Smartphone abrufbar gemacht werden.

„Wir wollen ein digitales Ausweissystem schaffen, durch welches jeder individuell, selbstbestimmt und sicher über seine persönlichen Daten verfügen soll“, sagt Innenminister Wolfgang Sobotka (ÖVP) dazu. Für Kanzleramts-Staatssekretärin Muna Duzdar (SPÖ) sollen bei dem System sowohl Komfort für Bürger und Unternehmen als auch Datenschutz und Sicherheit berücksichtigt werden.

Doch genau diese Aspekte sollen laut der Kritik von der Bürgerrechtsorganisation epicenter.works im Gesetzestext zu kurz kommen. Die Bürgerrechtsorganisation hat am Montag eine Stellungnahme zum Gesetzesentwurf eingebracht, in der sie warnt: „Die vorgeschlagene Gesetzesnovelle schafft die Gefahr eines umfassenden staatlichen Einblicks in Online- und Offlineaktivitäten der Bürgerinnen und Bürger.“

Behörde hat Zugriff auf alles

Im Entwurf seien keine konkreten Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit ersichtlich, insbesondere im Hinblick auf das Schutzziel der Beschränkung der Beobachtbarkeit des Verhaltens der Betroffenen, heißt es darin weiters.

Konkret soll es eine „Stammzahlenregisterbehörde“ geben, die jede Verwendung der E-ID im elektronischen Verkehr inklusive aller personenbezogenen Daten und Metadatan einsehen kann. Laut epicenter.works sei aus dem Gesetzesentwurf „nicht ersichtlich, durch welche gesetz angeordneten technischen und organisatorischen Maßnahmen verhindert wird, dass diese Behörde diese Daten einsehen, sammeln und auswerten kann“.

Auch der Chaos Computer Club Wien (C3W) befürchtet in seiner Stellungnahme eine Unterlaufung der Datenschutzgesetze: "Der vorliegende Ministerialentwurf enstpricht eindeutig nicht den europäischen Grundwerten und wirkt wie der Versuch, das Schutzniveau der kommenden Datenschutzgrundverordnung kurz vor deren Inkrafttreten zu unterlaufen, sowie staatsnahen Unternehmen neue Geschäftsfelder zu eröffnen."

Der C3W liefert den Gesetzgebern auch gleich Verbesserungsvorschläge für die Umsetzung: "Eine Verbesserung der bestehenden Regelung setzt voraus, dass je nach Bedarfsfall und unter Kontrolle der Nutzerinnen und Nutzer, ausschließlich zwingend notwendige Informationen übermittelt werden. Dazu gehört auch, dass Nutzerinnen und Nutzer nach eigenem Entscheiden anonym, pseudonym, identifiziert oder autorisiert auftreten können. Daten, die für den jeweiligen Anwendungsfall nicht benötigt werden, dürfen keinesfalls gespeichert, abgefragt oder übermittelt werden („need to know“)."

Verpflichtend für alle mit Reisepass?

Ein weiterer Kritikpunkt von epicenter.works ist, dass laut dem Entwurf die Ausstellung eines Reisepasses offenbar verpflichtend mit der Registrierung eines E-ID einhergehen. Eine verpflichtende Registrierung lehnt die Bürgerrechtsorganisation aber strikt ab.

Aus Gründen: „Bei jedem technischen System besteht die Gefahr der Kompromittierung sowie des Missbrauchs. Es sollte daher die Entscheidung jedes Einzelnen sein, ob man mit der Erhebung dieser Daten einverstanden ist und sich den – mit jedem informationstechnischen System einhergehenden – Risiken aussetzt.“

Auch der C3W kritisiert, dass "Schutzmaßnahmen gegen unzulässigen oder missbräuchlichen Zugriff auf Verwendungdaten" im Gesetzesentwurf derzeit komplett fehlen. Der C3W schlägt hier etwa eine verpflichtende "Opt-out"-Möglichkeit vor, analog zur elektronischen Gesundheitsakte ELGA. "Eine Opt-in"-Regelung wie bisher bei der Bürgerkarte wäre aus Sicht der Experten jedoch zu bevorzugen.

Ursprünglich geplant war, die Gesetzesnovelle noch vor dem Sommer durch den Nationalrat zu winken. Wie und ob sich die Kritik jetzt auf das "freie Spiel" im Parlament auswirken wird, ist unklar.