Johannes Lichdi zum Pass- und Personalausweisgesetz

Wir brauchen eine Freiheitsarchitektur für die digitale Welt, die die Grundrechte schon technisch strukturell wahrt

Redebeitrag des Abgeordneten Johannes Lichdi zum „Gesetz zur Ausführung des Pass- und Personalausweisgesetzes sowie zur Aufhebung des Sächsischen Gesetzes über Personalausweise und zur Ausführung des Passgesetzes“ in der 21. Sitzung des Sächsischen Landtages, 29.09., TOP 6
Es gilt das gesprochene Wort!
—————————————————————————-
Sehr geehrter Herr Präsident,
sehr geehrte Damen und Herren,
ist Ihnen eigentlich klar, was wir mit diesem Gesetz ausführen?
Es ist zu einer Unsitte geworden, dass im Sächsischen Landtag Gesetze ohne jegliche Aussprache im Parlament verabschiedet werden. Das Gesetz wird als technisches Ausführungsgesetz ohne grundrechtliche Bedeutung missverstanden und am Rechtsauschuss vorbeigeschleust. 
So auch hier der Plan der Koalition: ohne 1. Lesung kommt das Gesetz in den Innenausschuss. Nur meine Fraktionskollegin, Frau Jähnigen, hatte dort Interesse an einer Debatte. Der Vorschlag im Präsidium für die Behandlung in 2. und 3. Lesung  lautet: ohne Aussprache im Parlament!
Meine Damen und Herren, Sie nehmen Ihre Verantwortung nicht ernst, wenn Sie  solche Gesetze einfach durchwinken!
Worum geht es bei diesem Ausführungsgesetz:
Der Personalausweis ist DAS Dokument, mit dem uns staatliche Stellen und der Rechtsverkehr eindeutig identifizieren können. Der Ausweis soll verhindern, dass jemand unsere Identität missbraucht.
Am 01. November 2010 kommt der neue Personalausweis.
Was bringt der neue elektronische Personalausweis?
Der neue Personalausweis enthält erstens einen Bereich für das automatische Auslesen von Familienname, Vorname, Tag der Geburt, deutscher Staatsangehörigkeit, Gültigkeitsdauer, Seriennummer etc.
Der Personalausweis enthält zweitens ein elektronisches Speicher- und Verarbeitungsmedium, in dem auch biometrische Daten, wie unser Lichtbild und  unsere elektronischen Fingerabdrücke gespeichert werden sollen.
Polizeivollzugsbehörden, Zollbeamte,  Pass- und Meldebehörden, die die Identität des Ausweisinhabers überprüfen dürfen, sind befugt, diese biometrischen und sonstigen Daten auszulesen und biometrische Daten miteinander zu vergleichen.
RFID-Chips ermöglichen aber ein Auslesen, ohne dass es der Betroffene bemerkt: Eindeutig ein Verstoß gegen unsere informationelle Selbstbestimmung! – Wir sollten daran denken, dass wir uns auch in Staaten aufhalten, die nicht unsere Grundrechtsstandards haben.
Drittens hat der neue Personalausweis die zusätzliche Funktion des elektronischen Identitätsnachweises gegenüber öffentlichen und nichtöffentlichen Stellen. Sie kann vom Passinhaber freiwillig aktiviert werden. Damit wird der der althergebrachte Personalausweis in die Welt des e-Government und e-Commerce „verlängert“.
Einsatzmöglichkeiten sollen elektronische Genehmigungsverfahren sein oder die elektronische Akteneinsicht. Eine eindeutige Identifizierung im elektronischen Rechtsverkehr soll ermöglicht werden: Vertragsabschluss auf Online-Portalen (ebay, amazon), Online-Banking und anderes.  
Wo liegt das Problem?
Die eID schafft eine Infrastruktur, bei der die konkreten Anwendungen im Internet jetzt noch gar nicht absehbar sind. Mag sein, dass darin eine Chance des „papierlosen“ Geschäftsverkehrs liegt, möglicherweise werden aber auch die Potentiale des Internets, die eine anonyme oder pseudoanonymisierte Kommunikation zur Meinungsbildung bietet, zurückgedrängt. Wer garantiert uns, dass der Zutritt zu Kommunikations-Foren nicht von der Identifizierung abhängig gemacht werden wird? So würde ein ID-Nachweis verlangt, obwohl eine Identifizierung oder Wiedererkennung gar nicht nötig ist; darüber hinaus werden Leute ausgeschlossen, denen die eID-Funktion zu unsicher ist und diese bei der Ausweisbehörde haben sperren lassen.
Hier wird eine technische Lösung mit Steuergeldern finanziert, die mit den klassischen Aufgaben des Identitätsnachweises durch PA nichts zu tun hat und eigentlich Privatunternehmen (ebay) zu Gute kommt, da ihnen der Staat ein Identifizierungs-Tool zur Verfügung stellt.  
Was ist, wenn die eID gar nicht sicher ist?

Vielleicht haben Sie die Diskussion zwischen dem Chaos Computer Club und dem Bundesamt für die Sicherheit der Informationstechnik wahrgenommen. Das BSI weist die Sicherheitsbedenken zwar strikt zurück, räumt aber ein, dass die eID nur sicher ist, wenn jeder Nutzer Sicherheitsstandards am heimischen Computer einstellt. So finden sich auf der Homepage des BSI folgende Empfehlungen:

  1. Anwender sollten eine Personal Firewall und einen leistungsfähigen Virenscanner nutzen und diese stets aktualisieren
  2. Neben dem Browser sollten auch das Betriebssystem und alle weitere eingesetzte Software durch regelmäßige Sicherheitsupdates auf dem neuesten Stand gehalten werden
  3. Der Ausweis sollte nur für die Dauer der tatsächlichen Nutzung auf das Lesegerät gelegt werden
  4. Anwender, die das Gefühl haben, ihre PIN sei ausspioniert oder  manipuliert worden, sollten diese an einem nicht infizierten PC oder in der Personalausweisbehörde ändern oder den Ausweis sperren lassen. Dies ist jederzeit auch über eine telefonische Hotline möglich

Meine Damen und Herren, ich frage Sie, beachten Sie bei ihrem PC diese selbstverständlichen Anforderungen?
Was hat das alles mit Sachsen zu tun?
Paragraph §3 des Sächsischen Ausführungsgesetzes regelt, dass der Staatsbetrieb Sächsische Informatikdienste für die Übermittlung der Adressen und Zertifikatsinhalte der Ausweisbehörden an das Bundesverwaltungsamt und für deren Pflege zuständig ist. Zwar hat der Datenschutzbeauftragte Andreas Schurig im Innenausschuss diese Regelung befürwortet. Zugleich hat er aber auch daran erinnert, dass die rechtlichen  Verhältnisse  zwischen Ausweisbehörden, Polizei und SID nicht geregelt sind. Wie erfolgt die Übermittlung welcher Daten und wer hat in welchem Umfang Zugriff?
Das ist zwar nicht Aufgabe des Ausführungsgesetzes, aber Anlass das e-Government-Gesetz dringend anzumahnen. Herr Ulbig ist zwar für die Ausweisbehörden zuständig, kann aber zum SID keine Auskünfte geben. Denn die SID befindet sich jetzt in der Zuständigkeit von Staatsreform-Minister Martens. Und der denkt sogar über eine (Teil-) Privatisierung nach.
Meine Damen und Herren, diese Gesellschaft trägt in naiver Technikgläubigkeit alles mit, was technisch möglich ist; wir digitalisieren das öffentliche Gemeinwesen, ohne die Gefahren abzuschätzen. Es ist einfach naiv, unsere analoge Welt auf die digitale übertragen zu wollen und zu verkennen, dass sich ganz neue Gefahren auftun und alte potenzieren. Wir brauchen eine Freiheitsarchitektur für die digitale Welt, die die Grundrechte schon technisch strukturell wahrt. Dieses Gesetz entspricht diesen Anforderungen nicht.