Überblick über das eID-Kartenprojekt in Deutschland und daraus gewonnene Erkenntnisse (Aktualisierung 2016)


​Die deutsche eID-Karte wurde im November 2010 nach vierjähriger Vorbereitung eingeführt, bei der insbesondere auf die Voraussetzungen für Erfolg und Akzeptanz geachtet wurde.

Über 40 Millionen Identitätskarten der neuen Generation befinden sich 2016 im Umlauf, der Aufbau der nationalen digitalen Identitätsinfrastruktur wurde abgeschlossen und ihr rechtlicher Rahmen ist klar definiert.

Deutschland gehört zu den über 60 Ländern, die elektronische Identitätskarten ausstellen. Dabei bietet die nationale eID deutschen Bürgern bei der digitalen Transformation, die das Land zurzeit durchläuft, eine bequeme und sichere Lösung, wie Thomas de Maizière, Deutschlands Bundesminister des Inneren, bei der CEBIT 2016 erläuterte.

Die Vision dieses Modernisierungsprogramms der Regierung basiert auf einem starken Konzept: alle traditionellen Anwendungen von Identitätskarten auf die digitale Welt zu erweitern sowie alle Vorteile zur Steigerung der Wettbewerbsfähigkeit, der Reaktionsfähigkeit, der Erreichbarkeit, des Verbesserungspotenzials und der Innovation öffentlicher Dienste auszunutzen, die Online-Transaktionen zur sozioökonomischen Tätigkeit eines Landes beitragen können. ​​​

Die öffentliche Akzeptanz, gemessen an der Nutzung der elektronischen Identität, entsprach jedoch Ende 2016 nicht den Erwartungen.

Was geschieht nun?

Die für diese Art von Projekt benötigte Zeit muss berücksichtigt werden und man darf das Ausmaß der damit zusammenhängenden politischen, kulturellen und rechtlichen Veränderungen nicht unterschätzen.

Der wahre Nutzen dieses Programms wird erst ersichtlich, wenn man den Beitrag zur Gesellschaft, die Stärkung von Vertrauen und Zusammenhalt innerhalb von Gemeinden und seinen übergeordneten Zweck zur Förderung des sozialen Gemeinschaftssinns in Betracht zieht. Die Modernisierung der Gesellschaft wird zu einer Vielzahl digitaler Plattformen und Anwendungszwecke führen, die den Einsatz elektronischer Identitäten erfordern, die durch diese neue Technologie gesichert werden.

Unser Web-Dossier von August 2016 zu digitalen Dividenden zeigt das Potenzial solch eines nationalen Projektes auf.

Die Vorteile einer Transformation dieser Art sind eher politischer als rein wirtschaftlicher Natur. Ohne diese ganzheitliche Vision ist es fast unmöglich, den beachtlichen Aufwand zu rechtfertigen, der das Umsetzen einer solchen Veränderung erfordert.

Es gibt noch mehr...

Deutschland kennt diese Probleme aus erster Hand. Durch Ergreifen der Initiative hat Deutschland gelernt, dass es sich bei diesem Projekt, obwohl es aus dem Technologie- und Rechtsbereich stammt, um weit mehr als ein rein technologisches Unterfangen handelt.

Die Erfahrung Deutschlands bietet uns daher die Möglichkeit, aus den in über 10 Jahren mit eID-Programmen in Europa gesammelten Lektionen zu lernen.

Ein kühnes nationales Programm und die Bereitschaft zur Innovation

German national identity card

 

 

Unter allen großen europäischen Ländern hat vor allem Deutschland besonders kühnes Verhalten gezeigt; durch starke politische Bereitschaft auf höchsten Regierungsebenen, um das Land zu modernisieren und seine Bevölkerung mit Mitteln zu versorgen, die zur Verbesserung der Gesellschaft in Bezug auf Wettbewerbsfähigkeit, soziales Wohl und Lebensbedingungen beitragen.

Deutschland konkretisierte bereits 2006 sein ehrgeiziges Regierungsprogramm zur digitalen Modernisierung und begann mit seiner Umsetzung.

Zu Beginn einige Fakten und Zahlen.

Fakten und Zahlen des Programms 

  • Über 40 Millionen* neue kontaktlose Identitätskarten und 5 Millionen elektronische Aufenthaltsgenehmigungen wurden bis Ende 2016 ausgestellt.
  • Berechtigungszertifikate für über 220 Dienstleistungen von mehr als 100 Anbietern wurden genehmigt: 40 % für E-Government-Services und 60% für E-Business-Services.
  • Der Implementierungsgrad, in anderen Worten, die Aktivierung der Online-Identifizierungsfunktion, liegt nach etwa 5 Jahren im Einsatz bei etwa 30 %.
  • Das Programm wird als eines der größten IT-Projekte der öffentlichen Behörden in Deutschland angesehen. Eine neue IT-Infrastruktur wurde für über 60 Millionen Bundesbürger erschaffen. Insgesamt wurden 23.000 Angestellte und über 5.300 öffentliche Einrichtungen in den neuen Arbeitsprozessen geschult.
  • Kartenleser wurden während der Start-up-Phase kostenlos verteilt, um die Nutzung der Online-Identifikation anzukurbeln.
  • Online-Dienste wurden dank eines Programms zur Unterstützung von Dienstleistern aus dem privaten und öffentlichen Sektor seit Einführung der neuen Identitätskarte angeboten.
  • Der Staat wählte eine Richtlinie zur Nutzung der eID als offiziellen Personalausweis mit Online-Identifizierungsfunktion, anstatt Bürgern eine elektronische Identitätslösung anzubieten, die in andere Karten (Zahlungskarten, Gesundheitskarte, Einwohnerkarten usw.) integriert werden könnte, wie in Österreich.
  • Der Datenschutzrahmen ist sehr umfangreich und der Inhaber der Identitätskarten kann kontrollieren und überprüfen, welche Daten übertragen werden.
  • Die Karten enthält aus Datenschutzgründen und um sicherzustellen, dass Daten zur Identität einer Person nicht „authentifiziert" an Dritte gesendet werden können, keine offiziellen X.509-Authentifizierungszertifikate (zertifizierte elektronische Signatur)
  • Es wurde entschieden, keine zentrale Datenbank zu schaffen (dezentrale Architektur).
  • Die digitale Nutzung der eID beruht auf freiwilliger Basis: Die Bürger können die Online-Identifizierungsfunktion jederzeit aktivieren oder deaktivieren.​

*In Deutschland sind Bürger über 16 Jahren verpflichtet, einen Personalausweis oder Reisepass zu besitzen.​​

Eine technokratische Vision, die mit gesetzlichen und sicherheitsrelevanten Angelegenheiten positiv beschwert ist

, German eiD card

Diese Zukunftsvision geriet aus dem Gleis wegen der Auffassung, Technik allein sei der Urheber des Fortschritts. Die unverhältnismäßige Konzentration Deutschlands auf technische Innovation in Verbindung mit der Furcht, die vielfältigen Auswirkungen auf amtliche, soziale und wirtschaftliche Bereiche nicht mehr im Griff zu behalten, führte dazu, dass das Projekt von Rechts- und Sicherheitsfachleuten geleitet wurde.

Da das Ziel vollends auf die Vermeidung von Mängeln und Risiken ausgerichtet wurde, entstand der deutsche elektronische Personalausweis unter der Voraussetzung absoluter Sicherheit beim Austausch und Schutz personenbezogener Daten, die komplizierten gesetzlichen Einschränkungen unterworfen wurde.

2012 wurden mehrere gesetzliche Hemmschuhe ausgeräumt: Etliche Reformen waren nötig, um den Einsatz der Online-Identifizierung zu ermöglichen. Neben dem Recht der Dokumente wurden das Rahmengesetz zu Online-Anmeldungen, die Unterschriftverordnung und das Geldwäschegesetz angepasst, damit der neue Ausweis verwendet werden kann. Insbesondere die Online-Identifizierung des neuen Ausweises und der elektronischen Aufenthaltsgenehmigung als virtuelles Gegenstück zur gedruckten Ausgabe trat erst mit dem Gesetz zur e-Regierung 2013 in Kraft.

Trotzdem kann der Ausweis nicht immer mit Unterschrift ausgestattet werden. Die Online-Aktivierung der elektronischen Signatur, die anfangs vorgesehen war, ist noch in der Probephase.

Diese Rückschläge haben den Eindruck erweckt, das Programm sei noch nicht ausgereift und die Zeit für weitreichende Akzeptanz dieser Neuerung sei noch nicht gekommen.

Kein Platz für Fehlschläge

Tatsächlich sollten Rechts- und Sicherheitsbedenken bezüglich dieses Projekts im Licht der anfänglichen technischen Probleme gesehen sowie, auf einer tieferen Ebene, in Beziehung gesetzt werden zu den Traumata der deutschen Geschichte und gewissen Reizworten des Programms: Zentralregierung, unkontrollierbare Digitalwelt, Datenspeicherung und die Möglichkeit zur Rückverfolgung, die damit einhergeht.

Einige Sicherheitslücken, die schon anfangs sichtbar wurden*, die Abhängigkeit von bestimmten Betriebssystemen, Browsern und Browserversionen sowie diverse Verzögerungen, bis die AusweisApp auch für Linux (nach sieben Monaten) und MacOS (nach mehr als einem Jahr) verfügbar war, untergruben das Vertrauen in die Software und ihre Anwendung.

Diese Kinderkrankheiten mitsamt ihrem lauten Presseecho schürten die Ängste der Bürger, das Misstrauen und die Skepsis gegenüber diesem System der Bundesregierung.

Die Bundesregierung hatte deshalb eine kulturelle Verpflichtung, die Empfindungen der Bürger zu beachten. Datenschutz und Datensicherheit wurden so weit ausgebaut, dass der elektronische Personalausweis noch schwieriger zu benutzen war als bisher. 

(*) Quelle: obiges Dokument des Fraunhofer-Instituts FOKUS, Oktober 2013

Die Suche nach einer Leitanwendung

The search for a flagship application

Diese Initiative ist geradezu ein Programm für soziale Umwälzung, das Bürgern, Unternehmen und Behörden einen nahtlosen Übergang von der analogen in die digitale Welt mit einem sicheren, überprüfbaren und ggf. anpassungsfähigen rechtlichen Umfeld ermöglicht. Es ist vorgesehen, dieses Land in das moderne digitale Zeitalter zu führen.

Keine Leitanwendung ist vorhanden, die für sich alleine diese Investition verdienen würde, genauso wenig, wie Angebote entlang einer regionalen Autobahnstrecke alleine deren Dasein rechtfertigen und eine Rentabilität vom ersten Knopfdruck an gewährleisten würde. Wirkungsgrad, Zeitgewinn, Sicherheit und Erreichbarkeit sind die Startimpulse. Dienstleistungen kommen danach, langsam, aber stetig.

Deutschland war bemüht, große Verlage und Anbieter von e-Commerce-Diensten in aller Welt zu überzeugen, dass der deutsche EPA als Identifizierungsmittel akzeptiert werden sollte, und begründete dies mit dem Zugang zu einem potenziellen Markt. Aber die Anbieter zeigten wenig Interesse, eine deutsche Lösung in ihr Angebot aufzunehmen, da der ansprechbare Markt zu klein erschien.

Obendrein lehnten die Banken das Angebot der Bundesregierung ab, den ePA bei ihren Online-Diensten zu verwenden, da sie bereits eigene sichere Identifizierungssysteme für ihren Online-Bankverkehr eingerichtet hatten.

Deshalb schränkte der hohe Aufwand beim Anwerben von Partnern sicherlich die Möglichkeiten ein, den Markt durch das intensive Bewerben von Produkten mit dem elektronischen Personalausweis anzuregen und private Dienstleistungen in einem Co-Branding-System zu bündeln, bei dem die Betreiber und Herausgeber vom Vertrauen in den Staat profitiert hätten. In Belgien, Estland und Österreich war das dagegen gelungen.

Die Gratwanderung zwischen Leichtigkeit und Sicherheit

The difficult choice between movement and security

Die deutsche Erfahrung kann auch die Gründe für die recht enttäuschende Akzeptanz bei der Einführung dieses Projektes in etlichen anderen Ländern erhellen.

Die Vision dieses ehrgeizigen staatlichen Modernisierungsprogramms strebt nach Erweiterung des gewohnten Einsatzes von Ausweisen in die digitale Welt, um die Wettbewerbsfähigkeit zu erhöhen und die Dividenden der Aktionäre im Land zu steigern.

Dieses Potenzial wird erst zugänglich, wenn der zentrale Schwachpunkt der digitalen Welt ausgeräumt werden kann: Aus der Ferne kann man sich bei einer Transaktion der Identität des Gegenübers nicht sicher sein. Wir können daraus schließen, dass sich das Programm zur digitalen Modernisierung in seinem Innersten auf die Wahrung der Identität und das Vertrauensgeflecht stützt, das eine Gewährleistung für diese sehr viel versprechende Digitalwelt liefert. Niemand kann diese dauerhafte und umfassende Gewährleistung auf höchster nationaler Ebene besser als der Staat erbringen..

Aber:

  • Ist es denn das Ziel, unabhängiges Vertrauen zu gewährleisten und die persönliche Identifizierung in der digitalen Welt abzusichern, also die Unverbrüchlichkeit der allgemeinen sozialen Beziehungen von Bürgern und Behörden zu sichern?

  • Oder besteht das Ziel nur darin, das Mittel zur Identifizierung, also den Personalausweis, zu modernisieren und zu elektronisieren?

Der Weg zum Erfolg beruht, dass diese Frage ganz und gar verstanden wird. Estland und Österreich setzten auf die erste Variante und erzielten damit die guten Ergebnisse, die wir oben angeführt haben. Der Staat erschafft ein Persönlichkeitsmerkmal, das der Bürger auf verschiedene Weise, auch mit dem Mobiltelefon, einsetzen kann, um auf vielfältige Weise eine sichere persönliche Verbindung für den Umgang mit Behörden (in Estland auch mit e-Ticketing) herzustellen.

Belgien hat das Vertrauensgeflecht nahtlos an eine einzelne Plattform gebunden und mit einem couragierten Ansatz von Transparenz und intensiver Werbung bei Dienstleistern und in der Öffentlichkeit hinreichend die Grenzen beseitigt, die sich aus der Beschränkung auf eine zu kurzsichtige Vorstellung von einem Ausweis ergaben.

Behörden fällt es aber schwer, zuzugeben, dass immer Gefahren drohen, nicht nur bei Neuerungen, sondern auch im Leben an sich. Sollte die Anpassungsfähigkeit der Bürger durch entgegengebrachtes Vertrauen gefördert werden oder sollte man sie besser bemuttern, bis ihnen jedes Misstrauen, das sie hegen mögen, dadurch bestätigt erscheint?
Seit 2012 hat Deutschland eine eingehende Überprüfung seiner gesetzlichen Bestimmungen vorgenommen und den Sicherheitsrahmen weiter gefasst. Das Projekt hat wieder Auftrieb gewonnen und die Nutzungsrate des deutschen ePA nahm 2013 zu.

Keiner kann auf dem Weg ins Unbekannte vier Stufen auf einmal erklimmen. Die Kunst des Wandelns liegt im Vereinigen der Antriebskraft mit der gewonnenen Einsicht.​

Seit 2012 läuft in Deutschland eine tiefgründige Untersuchung seiner gesetzlichen Regelungen und es wurde für eine flexiblere Gestaltung des Sicherheitsrahmens gesorgt. Das Projekt kam seither wieder in Schwung und die Nutzung deutscher eIDs stieg in den vergangenen 4 Jahren an.

Niemand stürzt sich Hals über Kopf ins Unbekannte. Die Kunst der Veränderung liegt in der Kombination aus Dynamik und im Laufe der Zeit erworbener Einsicht.