Über PACE- und EAC-gesicherte Verbindungen werden die Daten aus dem Chip gelesen und an den Diensteanbieter in einem SAM L 2.0 Token sicher übermittelt. Für die Kundin ist der Prozess damit vorerst abgeschlossen. Sie nimmt ihren Ausweis vom Lesegerät, wählt bei Bedarf besondere Optionen für ihr Konto in der Online-Anfrage der Bank aus und schickt sie per Mausklick ab. Jetzt kann das Kreditinstitut ihre Anfrage bearbeiten und davon ausgehen, dass die Identität seiner potenziellen Kundin korrekt ist.

Online-Authentisierung mithilfe von Restricted Identification

Frau Mustermann tritt in einem sozialen Netzwerk unter einem Pseudonym auf
Wer häufig auf Online-Portalen oder in sozialen Netzwerken unterwegs ist, kennt das Problem: Als Nutzer muss man sich eine Vielzahl von Passwörtern und Benutzernamen merken, um sich auf diesen Websites einloggen zu können. Die Online-Ausweisfunktion des neuen Personalausweises eröffnet Frau Mustermann auch hier eine Möglichkeit, sich den Alltag zu erleichtern.

Mithilfe der Pseudonymfunktion kann sie sich in Portale einloggen, ohne dabei persönliche Daten angeben zu müssen. Wie genau sie dabei vorgeht, hängt vom Angebot des jeweiligen Diensteanbieters ab. Dieser kann innerhalb eines gewissen Rahmens selbst festlegen, wie das Verfahren zum Einloggen mithilfe der Pseudonymfunktion gestaltet sein soll. Zur Illustration der Mechanik wird daher im Folgenden nur ein fiktiver, beispielhafter Vorgang beschrieben.

Frau Mustermann möchte in einem sozialen Netzwerk ihre Identität schützen. Dafür prüft sie zunächst auf dessen Website anhand des dort einsehbaren Zertifikats, ob der Diensteanbieter die Online-Ausweisfunktion unterstützt und auch den Einsatz der Pseudonymfunktion akzeptiert. Ist das der Fall, wählt sie im Menü des Diensteanbieters die Option "Anmelden" aus. Sie legt, sobald die entsprechende Aufforderung am Bildschirm erscheint, ihren neuen Personalausweis auf das Lesegerät. Der eID-S erver prüft zunächst, ob der Diensteanbieter alle nötigen aktuellen Zertifikate für den Anmeldeprozess besitzt. Erfüllt er die Voraussetzungen, wird Frau Mustermann zur Eingabe ihrer persönlichen eID- PIN aufgefordert. Erst wenn sie diese eingetippt hat, liest das Lesegerät ihre Daten aus.

Auf einer Bildschirmmaske wählt Frau Mustermann daraufhin bis auf die Pseudonymfunktion alle Kategorien ab: Je nachdem, auf was für einem Portal sie sich anmelden möchte, kann sie auf die Preisgabe persönlicher Daten vollständig verzichten. Soweit der Diensteanbieter eine Anmeldung allein über ein Pseudonym zulässt, schaltet Frau Mustermann durch Eingabe der eID- PIN die Kategorie "Pseudonym" zur Übertragung an den eID-S erver frei. So ist sichergestellt, dass dieses Netzwerk Frau Mustermanns Chip jederzeit wiedererkennen kann - ohne dass die Ausweisinhaberin dafür persönliche Daten freigeben müsste.

Da das Pseudonym vom eID-Server individuell für dieses spezielle Angebot erzeugt wurde, kann das soziale Netzwerk auch keinerlei Abgleich mit weiteren Pseudonymen desselben Nutzers für andere Anbieter durchführen. Frau Mustermanns Identität ist so gut wie derzeit technisch möglich geschützt: Sofern sie beim Surfen im sozialen Netzwerk nicht selbst Angaben über sich macht, die diese Identität enthüllen, bleibt sie für den Diensteanbieter und andere Nutzer anonym. Loggt Frau Mustermann sich das nächste Mal in das Netzwerk ein, wiederholt sie den beschriebenen Vorgang einfach - das authentisierte Terminal des Anbieters erkennt sie automatisch wieder.

Dieses Verfahren vereinfacht nicht nur für die Nutzer, sondern auch für den Diensteanbieter die Abläufe: Weil es zum Beispiel überflüssig wird, vergessene Passwörter oder Benutzernamen zurückzusetzen, sinkt der administrative Aufwand. Diensteanbieter können glaubhaft darauf verweisen, dass sie den Datenschutzbestmöglich gewährleisten und ihr Angebot strengsten Anforderungen an die Sicherheit gerecht wird.