Als erstes Unternehmen in Deutschland hat die Gothaer Allgemeine Versicherung ein Berechtigungszertifikat der Vergabestelle des Bundesverwaltungsamtes (BVA) für den neuen Personalausweis erhalten. Der Gothaer Konzern ist nach eigenen Angaben mit über vier Milliarden Euro Beitragseinnahmen und rund 3,5 Millionen versicherten Mitgliedern eines der größten deutschen Versicherungsunternehmen in Deutschland.
Foto: Bundesverwaltungsamt
"Die Gothaer begrüßt es sehr, dass Deutschland als eines der ersten Länder weltweit ein derart innovatives und zukunftsgerichtetes System einführt. Wir haben uns daher auch schon am Pilotprojekt zur Einführung des neuen Personalausweises beteiligt und wichtige Erfahrungen mit dieser neuen digitalen Form der Identifikation gesammelt", sagte Oliver Schoeller, Vorstandsmitglied der Gothaer, bei der Übergabe des Zertifikats.
"Im ersten Schritt werden wir unseren Kunden nun die Möglichkeit bieten, den neuen Personalausweis beim Online-Abschluss einer Kfz-Versicherung einzusetzen. Mit diesem neuen Verfahren werden seine Daten sicher verschlüsselt und zugleich signiert übertragen. Zudem erleichtert der neue Personalausweis den Zulassungsprozess, denn durch das automatische Auslesen der Daten ist sichergestellt, dass die Angaben auf der Versicherungsbestätigung immer mit den amtlichen Dokumenten übereinstimmen."
Im nächsten Schritt wolle das Unternehmen den neuen Personalausweis für ein Login in den geschützten Kundenbereich im Internet einsetzen. Der große Vorteil für den Kunden sei, dass er sich künftig keine Kennwörter und PINs mehr merken müsse.
Die Sicherheit der persönlichen Daten gewährleiste ein spezielles Zugriffskonzept, in dem das Bundesverwaltungsamt (BVA) eine wichtige Rolle einnimmt. Diensteanbieter aus Wirtschaft und Verwaltung, die ihren Kunden ermöglichen möchten, den Identitätsnachweis elektronisch zu erbringen (eID-Funktion), benötigen ein Berechtigungszertifikat, das festlegt, welche personen- und ausweisbezogenen Daten aus dem Personalausweis abgefragt werden dürfen.
Nur wer berechtigt ist, darf Daten abfragen
Nur das Berechtigungszertifikat ermöglicht dem Diensteanbieter den Zugang zu den Daten des Personalausweisinhabers. „Sicherheit, Vertrauen und Transparenz sind die wesentlichen Aspekte bei der Nutzung der eID-Funktion des neuen Personalausweises", sagte Christoph Verenkotte, Präsident des Bundesverwaltungsamtes.
Foto: Bundesministerium des Innern
Die Vergabestelle für diese Berechtigungszertifikate (VfB) in der Kölner Bundesbehörde entscheidet in einem Verwaltungsverfahren darüber, ob und in welchem Umfang Diensteanbieter die eID-Funktion für ihr Geschäftsfeld nutzen dürfen. Die Identität des Dienstanbieters, die Rechtmäßigkeit des angebotenen Dienstes und die "Erforderlichkeit" der Nutzung des jeweiligen Datenfeldes im Hinblick auf den beschriebenen Zweck sind die wesentlichen Kriterien der Entscheidung, die für drei Jahre gültig ist.
Das Alter des Geschäftspartners darf zum Beispiel abgerufen werden, wenn Waren für Kunden ab 18 Jahren angeboten werden. In diesem Fall wird nicht das konkrete Geburtsdatum des Nutzers preisgegeben, sondern lediglich bestätigt, dass er die geforderte Altersgrenze überschritten hat.
Nur berechtigte Anbieter von Dienstleistungen können die Daten des Ausweises abfragen, wobei der Inhaber des neuen Personalausweises in jedem Einzelfall die Kontrolle darüber behält, welche der persönlichen Daten dem Anbieter elektronisch übermittelt werden. Darüber hinaus werden die auf dem Chip gespeicherten persönlichen Daten durchgehend an die Diensteanbieter verschlüsselt übertragen.
Das BVA wird jedoch nicht nur im Rahmen der Vergabe von Berechtigungszertifikaten an Dienstanbieter tätig, sondern betreibt als zusätzliche Aufgabe das so genannte "Sperrlistenmanagement". Abhanden gekommene Ausweise müssen an den Sperrdienst im BVA gemeldet werden, um einen möglichen Missbrauch der eID-Funktion zu verhindern. Der Sperrdienst soll sicherstellen, dass den Diensteanbietern die Informationen über gesperrte elektronische Personaldokumente in geeigneter Form zur Verfügung gestellt werden.
Verlorene Ausweise können gesperrt werden
Jeder Inhaber kann die Identitätsfunktion bei der jeweils zuständigen Personalausweisbehörde oder über den telefonischen Sperrnotruf sperren lassen. Zur Wahrung der Vertraulichkeit und Integrität der personenbezogenen Daten des Ausweisinhabers wird dazu ein „Sperrhash" (Zahlencode) an den Sperrdienst übermittelt. Das BVA kann durch den Sperrhash die Sperrung des jeweiligen Personalausweises veranlassen, ohne die personenbezogenen Daten des Inhabers zu kennen.
Christoph Verenkotte: "Die Vergabestelle und das 'Sperrlistenmanagement' befinden sich in enger Abstimmung mit den Datenschutzbehörden des Bundes und der Länder, so dass wir nach einer Prüfung schnell und nachhaltig auf einen Missbrauch der Berechtigung reagieren werden."