Der Deutsche Bundestag hat am 20. Mai 2021 ein Gesetz beschlossen, mit dem der elektronische Identitätsnachweis des Personalausweises auf das Smartphone gebracht werden soll, das sogenannte Smart-eID-Gesetz. Wir stellen wesentliche Inhalte vor.
Was ändert sich durch das Smart-eID-Gesetz?
Durch das Smart-eID-Gesetz soll der elektronische Identitätsnachweis, also das digitale Ausweisen, ab Herbst 2021 mit einem mobilen Endgerät erfolgen können. Aktuell kann die digitale Identität, die heute bereits auf dem Personalausweis vorhanden ist, nur genau dann mit dem Smartphone verwendet werden, wenn der Personalausweis an die Rückseite des Geräts gehalten wird. Zukünftig soll sich diese digitale Identität auf ein Smartphone übertragen lassen, damit sie unabhängig vom Personalausweis verwendet werden kann. Damit wird unter anderem eine wichtige Voraussetzung für die Nutzung digitaler Verwaltungsleistungen geschaffen, die dem Bürger ab dem Jahre 2022 über Verwaltungsportale zur Verfügung stehen sollen.
Datenspeicherung auf dem Endgerät
Seit 2010 ist der Personalausweis mit einer Chip-Karte versehen und verfügt über eine Online-Ausweisfunktion. Die Ausweisdaten sind auf der Chip-Karte gespeichert und können von einem mobilen Endgerät eingelesen werden, solange das Gerät über eine NFC-Schnittstelle (Near Field Communication) verfügt. Dies erfolgt durch Verwendung einer geeigneten Software (wie z.B. der AusweisApp2AusweisApp2 Kurzdefinition: Die AusweisApp2 ist eine eID-Cli... More) und dem Anhalten des Personalausweises an das Gerät. Somit wird für jede elektronische Identifizierung bislang der Personalausweis benötigt.
Dies soll sich ab Herbst 2021 ändern. Das Smart-eID-Gesetz ermöglicht eine dauerhafte Speicherung der Ausweisdaten auf dem „Secure Element“ von mobilen Endgeräten. Bei dem Secure Element handelt es sich um einen im Smartphone integrierten Chip, ähnlich zu der Hardware, die sich auch in Kreditkarten befindet. Der Personalausweis wird so nur einmalig für das Einrichten auf dem Endgerät benötigt – daraufhin kann der Identitätsnachweis ganz ohne Personalausweis mit dem Endgerät erfolgen.
Einrichtung
Die Einrichtung des Identitätsnachweises auf dem mobilen Endgerät erfolgt auf eigene Veranlassung des Ausweisinhabers. Um den Personalausweis zukünftig auf dem Smartphone einrichten zu können, wird eine entsprechende App, wie z.B. die AusweisApp2AusweisApp2 Kurzdefinition: Die AusweisApp2 ist eine eID-Cli... More, zur Verfügung stehen.
Um nachzuweisen, dass der Ausweisinhaber selbst die Übermittlung der Daten vornehmen will, muss er seine Identität elektronisch nachweisen, indem der Personalausweis an das Smartphone gehalten wird. Danach kann die Übermittlung und Speicherung der Daten von dem Personalausweis auf das Secure Element erfolgen. Der Inhaber vergibt anschließend eine sechsstellige PIN, sowie ein Sperrkennwort.
Die Einrichtung erfolgt grundsätzlich einmalig. Sollten sich die Daten des Ausweisinhabers jedoch ändern, etwa wegen eines Umzugs, müssen die auf dem Smartphone gespeicherten Daten sozusagen mit dem Personalausweis synchronisiert werden und die Einrichtung mit den neuen Daten erneut durchgeführt werden (vgl. § 10a Abs.4 PAuswG n.F.).
Wie mit dem Personalausweis kann die Einrichtung eines elektronischen Identitätsnachweises auf dem Smartphone auch mit einer eID-Karte erfolgen (für EU-Bürger:innen, vgl. § 8a eIDKG n.F.). Auch die Daten von einem elektronischen Aufenthaltstitel können auf diese Weise auf dem Secure Element gespeichert werden (für Ausländer:innen aus anderen Staaten, vgl. § 78 Abs.3 lit a AufenthG n.F.). Weitere Einzelheiten zur Einrichtung und Nutzung des elektronischen Identitätsnachweises werden vom BMI durch Rechtsverordnung mit Zustimmung des Bundesrates geregelt (vgl. § 34 S.1 Nr.8a PAuswG n.F.).
Sicherheit
Damit ein hohes Vertrauensniveau gewährleistet werden kann, wird der Ausweisinhaber dazu verpflichtet, das Endgerät sicher einzurichten und sorgfältig damit umzugehen. Die Geheimnummer darf nicht auf dem Endgerät, wie z.B. in einer Notiz-App, gespeichert werden (vgl. § 27 Abs.2 S.2 PAuswG n.F.). Außerdem sollte das Smartphone über eine Displaysperre verfügen. Nur so kann sichergestellt werden, dass die zusätzliche Sicherheit der 2-Faktor-Authentifizierung auch in Effekt tritt.
Sollte der Ausweisinhaber sein Endgerät verlieren, kann er eine Sperrung seines elektronischen Nachweises über die Sperrhotline erwirken, indem er dem Sperrbetreiber sein Sperrkennwort mitteilt. Der Nutzer kann die Daten auf seinem Endgerät auch jederzeit löschen, indem er den auf dem Secure Element gespeicherten Datensatz insgesamt mithilfe geeigneter Software zurücksetzt.
Darüber hinaus muss das Gerät selbst spezifischen Sicherheitsanforderungen entsprechen und über bestimmte Hardware verfügen. Damit eine Speicherung der hochsensiblen Daten auf dem Smartphone möglich ist, wird die Sicherheitsarchitektur des Endgeräts vom BSI geprüft. Nur wenn das Secure Element des Endgeräts den Anforderungen entspricht, wird es für die Smart-eID-Funktion freigegeben. Gegenwärtig erfüllen nur bestimmte Smartphones des Herstellers Samsung diese Anforderungen – zukünftig werden weitere Geräte hinzukommen.
Gültigkeit
Das Smart-eID-Gesetz sieht für den elektronischen Identitätsnachweis eine Gültigkeitsdauer von fünf Jahren vor (vgl. § 10a Abs.2 PAuswG n.F.). Jedoch soll in der Personalausweisverordnung die Gültigkeitsdauer vorerst auf zwei Jahre begrenzt werden, da zu erwartet ist, dass sich der Stand der Technik anfangs schnell überholen wird. Wenn die Frist abgelaufen ist, muss eine erneute Einrichtung der Smart-eID erfolgen.
Fazit
Das Bezahlen mit dem Smartphone, selbst bei großen Beträgen, ist schon lange kein Problem mehr, aber um sich Auszuweisen wird immer noch eine physische Chipkarte benötigt. Das Smart-eID-Gesetz ebnet den Weg für eine Zukunft, in der man sich mit dem Smartphone komfortabler und sicherer als mit einer physischen Karte ausweisen kann.
Lilian Fanderl
Mitglied des Fachteams Recht und Politik in der Begleitforschung