Sendungshinweis
„Help“, das Ö1-Konsumentenmagazin, jeden Samstag um 11.40 Uhr in Radio Ö1 und als Podcast.
Eigentlich gibt es die ID-Austria bereits. Zumindest in einer Basisversion. Allerdings noch etwas versteckt, in den App-Stores wird sie momentan unter der Bezeichnung „Digitales Amt“ angeboten. Ab Sommer 2022, ein genauer Starttermin wurde noch nicht genannt, wird man in der App „Digitales Amt“ die Möglichkeit haben, die Handy-Signatur auf die ID-Austria umzustellen. Sobald die ID-Austria in vollem Umfang zur Verfügung steht, wird man Dokumente wie den Führerschein, den Personalausweis oder den Schülerausweis abrufen und zur Verfügung stellen können. Auch digital über PC oder Smartphone.
Ausweise per E-Mail versenden ist ein Risiko
Wer beispielsweise einen Leihwagen mieten möchte, muss nicht mehr persönlich zur Mietwagenfirma gehen, um den Führerschein vorzuzeigen. Mit der ID-Austria könne man das bequem von zu Hause aus erledigen, sagt der Informatiker Reinhard Posch, er ist Leiter der Plattform „Digitales Österreich“ und für Digitalisierungsprojekte der Republik wie die Handy-Signatur oder die elektronischen Krankenankte (ELGA) zuständig.
Dass Unternehmen und Banken ihre Neukunden auffordern, per E-Mail eine Kopie des Personalausweises zu schicken, ist heutzutage üblich. Wer das aber tut, geht ein Risiko ein. E-Mails können abgefangen werden, und wenn Identitätsdaten auf diese Weise in fremde Hände gelangen, kann das für Betroffene weitreichende und unangenehme Konsequenzen haben. Die Kriminellen können die erbeuteten Daten nutzen, um beispielsweise im Internet einzukaufen oder auch Straftaten zu begehen. Die Opfer eines solchen Identitätsdiebstahls können also Geld verlieren oder sogar ins Visier der Strafverfolgungsbehörden geraten.
Behördliche Registrierung notwendig
Die ID-Austria werde eine sichere Möglichkeit bieten, sich digital auszuweisen, sagt Posch. Wenn alle Funktionen im Sommer verfügbar sind, können Nutzerinnen und Nutzer der Handy-Signatur automatisch umgestellt werden. Voraussetzung ist, dass sie die Handy-Signatur bei einer behördlichen Stelle registriert haben. Etwa über Finanzonline oder bei einem magistratischen Bezirksamt, so Posch.
Bei einer Neuanmeldung oder wenn man die Handy-Signatur bei einem privaten Anbieter wie beispielsweise A-Trust oder A1 angemeldet hat, wird ein einmaliger Gang zu einer staatlichen Behörde notwendig sein. Samt Lichtbildausweis und aktuellem Passfoto. So will es das Innenministerium, sagt Posch, weil behördliche Identitätsdaten betroffen sind, die eben auch von behördlicher Seite geprüft werden müssen. In der Folge bekommt man einen RSA-Brief mit einem Einmalcode zur Aktivierung zugesandt.
ID-Austria wird europaweit genutzt werden können
Einmal registriert, bleibt das Zertifikat fünf Jahre lang gültig, dann muss es erneuert werden. Genau wie bei der Handy-Signatur. Die Funktionen wird man zunächst nur in Österreich nutzen können, die elektronische Identität ist aber ein gesamteuropäisches Projekt. Die gesetzlichen Rahmenbedingungen sind in der so genannten eIDAS-Verordnung des europäischen Parlaments und des Rates festgelegt.
Derzeit haben 18 Staaten die eIDAS-Verordnung notifiziert, darunter neben Österreich auch Tschechien, Deutschland und die Niederlande. Bürgerinnen und Bürger dieser Staaten können entsprechende Services im gesamten Binnenraum nutzen, sagt Posch. Diese Services können Dienste staatlicher Behörden oder auch privater Unternehmen wie Banken oder Mobilfunkanbieter sein. Ein Franzose kann also beispielsweise problemlos in Irland ein Auto mieten und umgekehrt.
Besitz eines Smartphones derzeit zwingend erforderlich
Mit einem klassischen Handy kann man die ID-Austria allerdings nicht nutzen. Im Gegensatz zur Handy-Signatur. Es handelt sich um eine reine Smartphone-Anwendung, der Besitz eines solchen ist also Voraussetzung, kritisiert Thomas Lohninger, er ist Geschäftsführer des Datenschutzvereins epicenter.works. Auf dem Smartphone müssen zudem biometrische Daten gespeichert sein. Etwa der Fingerabdruck oder ein Scan des Gesichts zur automatischen Gesichtserkennung. Damit schließe der Staat von vornherein viele Menschen von dem Service aus, kritisiert Lohninger.
Den Betroffenen würde es dadurch unter anderem schwerer gemacht, ihre demokratischen Grundrechte in Anspruch zu nehmen. Das Unterzeichnen eines Volksbegehrens sei etwa deutlich aufwendiger, wenn man die Funktion der bisherigen Handy-Signatur nicht mehr nutzen kann. Das würde beispielsweise zu Lasten älterer Mitbürgerinnen und Mitbürger gehen.
Datenschützer: Nachteile für Ältere und Bedürftige
Es ergeben sich außerdem finanzielle Nachteile. Wer beispielsweise in Wien das Parkpickerl analog bezieht, müsse eine Verwaltungsabgabe in Höhe von 30 Prozent der Kosten des Parkpickerls zahlen, so Lohninger. Diese Abgabe entfällt, wenn man die Parkerlaubnis digital beziehen kann. Neben Seniorinnen und Senioren seien auch jüngere Menschen benachteiligt oder Personen, die generell über ein geringes Einkommen verfügen und sich ein Smartphone nicht leisten können, so Lohninger.
Bei einem elektronischen Identitätsnachweis muss allerdings aus Sicherheitsgründen die Zwei-Faktor-Authentifizierung (2FA) zum Einsatz kommen. Es müssen also zwei Sicherheitshürden eingebaut sein, das ist gesetzlich europaweit vorgeschrieben. Neben dem Login in das Service zählen biometrische Daten wie der eindeutige Fingerabdruck oder die Gesichtserkennung als so ein Sicherheitsmerkmal.
„SMS zu unsicher für die ID-Austria“
Auch bei einem klassischen Handy ist eine Zwei-Faktor-Authentifizierung grundsätzlich möglich. In der Regel über eine SMS mit einem Sicherheitscode. Die SMS gilt in dieser Hinsicht aber als Auslaufmodell. Eine SMS könne abgefangen, manipuliert und von Kriminellen genutzt werden, so IT-Experte Reinhard Posch. Diese Gefahr sei umso größer, wenn die E-Mail über weite Strecken und zahlreiche ausländische Server gesendet wird, was bei der Nutzung der ID-Austria als europaweiter Dienst natürlich der Fall wäre. In der Praxis seien Personen, die digitale Dienste nutzen, außerdem ohnehin meist mit einem Smartphone ausgerüstet, meint Posch.
Datenschützer: Tracking durch Staat und Wirtschaft
Ein weiterer Kritikpunkt betrifft den Datenschutz und die Privatsphäre der Nutzerinnen und Nutzer. Wenn die ID-Austria eingesetzt wird, wird ein Protokoll erstellt, das von zentraler Stelle, also vom Staat, einsehbar sei, sagt Datenschützer Thomas Lohninger. Wenn man etwa ein Bankkonto eröffnet und sich über die ID-Austria identifiziert, dann wisse der Staat, wann man sich bei welcher Bank aufgehalten hat und welche Daten übertragen wurden. Auch private Unternehmen können auf diese Weise am Tracking der Bürgerinnen und Bürger teilhaben.
Das könne neben der Bank beispielsweise auch ein Hotel oder ein Mobilfunkanbieter sein. Eben jedes Service, das die ID-Austria anbietet und seine Kundinnen und Kunden damit identifiziert, so Lohninger: „Ich hab da schon wirklich Angst vor Überidentifizierung. Etwa, dass man Dienste, die man heute noch anonym oder pseudonym in Anspruch nehmen kann, bald nur noch unter Bekanntgabe der staatlich beglaubigten Identität wird nutzen können. Etwa auch das Posten in einem Onlineforum“, so Lohninger.
Experte: Keine Speicherung personenbezogener Details
Wer die ID-Austria wann und wo nutzt, wird in Form eines Transaktionslogs gespeichert, bestätigt Reinhard Posch. Diese Speicherung diene aber letztlich vor allem dem Schutz der Anwenderinnen und Anwender. Diese würden ja schon aus datenschutzrechtlichen Gründen nachvollziehen wollen, welche Transaktionen sie getätigt haben. Etwa um eine solche im Zweifelsfall auch nachweisen zu können.
Wenn jemand seine Ausweisdaten oder den Familienstand einer Behörde oder einem Unternehmen bekannt gibt, wird genau diese Informationen protokolliert: dass der Familienstand weitergegeben oder der Ausweis gezeigt worden ist. Inhaltliche Informationen, also persönliche Ausweisdaten wie der Name, das Geburtsdatum oder die Ausweisnummer, beziehungsweise ob man ledig, geschieden oder verheiratet ist, werden nicht gespeichert und auch keinem Unternehmen zugänglich gemacht, sagt Posch.
Kombiangebot: neuer Reisepass plus ID-Austria
Wer in Zukunft einen neuen Reisepass beantragt, wird die ID-Austria automatisch angeboten bekommen. Dies werde in Form eines Formulars mit einem Aktivierungscode erfolgen, so Posch. Wer die ID-Austria aber nicht nutzen möchte, braucht das Formular nicht entgegenzunehmen. Ebenso könne man den Zettel auch im Anschluss dem Papierkorb anvertrauen. Niemand müsse erklären, ob er die Anwendung nutzen möchte oder nicht, und natürlich sei die Vergabe eines Reisepasses nicht an die Nutzung der die ID-Austria gekoppelt, so Posch.
Auch Onlineshopping soll durch die Möglichkeit, sich über die ID-Austria zu identifizieren, künftig sicherer werden. Vor allem das Login-System mit Benutzernamen und Passwort sei sicherheitstechnisch längst veraltet, sagt Posch. Die Möglichkeiten sind hier aber noch eher eingeschränkt, weil große US-Anbieter wie Amazon oder Google derzeit nicht dazu bereit sind, sich an europäische Sicherheitsideen anzupassen.