Dieser Artikel stammt von Netzpolitik.org.
Wer seinen Personalausweis online nutzen will, benötigt dazu eine PIN. Weil deren Versand zu teuer wurde, stellte die Bundesregierung den Dienst ein. Nun erwägt sie, ihren Fehlgriff zu korrigieren – zulasten der Bürger:innen und der eigenen Digitalstrategie.
Beim Spieleklassiker Jenga ist Geduld und Fingerspitzengefühl gefragt. Mit ruhiger Hand müssen Spieler:innen aus einem aufgeschichteten Klötzchen-Turm einzelne Steine entfernen und obenauf legen. Geduld und Fingerspitzengefühl braucht es auch bei der Digitalpolitik hierzulande. Eine falsche Entscheidung kann mühsam Errichtetes rasch zum Einsturz bringen.
Die Bundesregierung hat im vergangenen Dezember das Kunststück vollbracht, einen wichtigen Baustein ihrer Digitalstrategie kurzerhand zu entfernen und damit das ganze Vorhaben ins Wanken gebracht. Offenbar bereut die Ampel ihren Fehlgriff inzwischen – und erwägt, ihn durch einen weiteren Fehlgriff wettzumachen.
Das vorläufige Ende des PIN-Rücksetzbriefes
Konkret geht es um den Online-Ausweis: Seit Februar 2022 konnten Bürger:innen auf einer Webseite des Bundesinnenministeriums kostenfrei eine PIN und einen Aktivierungscode bestellen, mit denen sich die eID-Funktion des Personalausweises aktivieren lässt. Die eID gilt als „eine der modernsten, schnellsten und sichersten Möglichkeiten zur Online-Identifizierung“, die gegenüber anderen Ident-Verfahren zahlreiche Vorteile aufweist. Knapp zwei Millionen PIN-Briefe hatte das Bundesinnenministerium seit Februar 2022 verschickt.
Doch mit dem bequemen Verfahren ist nun vorerst Schluss. Ende vergangenen Jahres verkündete die Regierung überraschend, den Dienst einzustellen. Grund seien dessen „unkalkulierbare Kosten“, was „angesichts der vorläufigen Haushaltsführung nicht vertretbar war“. Die Zustellung der PINs erfolgte bis dahin per Einschreiben, pro Brief seien dabei rund 14,30 Euro angefallen, so die Bundesregierung in einer Antwort auf eine Kleine Anfrage der Unionsfraktionen. Die Gesamtkosten beliefen sich demnach auf 30 Millionen Euro. Hinzu kommt, dass rund 40 Prozent der versandten PINs gar nicht erst eingesetzt wurden, unter anderem weil die Briefe wegen falscher Adressen nicht zugestellt werden konnten.
Die Ampel hat die Kosten damit auf die Kommunen abgewälzt. Und statt die PIN bequem von zuhause bestellen zu können, müssen die Bürger:innen nun wieder wie anno dazumal aufs Amt gehen. Damit aber droht die Nutzung des „Ausweises für die digitale Welt“ zu stagnieren. Der Branchenverband Bitkom kritisierte die Entscheidung daher als „bürgerunfreundliche Sparentscheidung“, mit der die Bundesregierung ihre digitalpolitischen Ziele gefährde.
PIN doch nicht per Standardbrief
Das hat inzwischen wohl auch die Bundesregierung erkannt – zumal sie mit dem frisch verabschiedeten OZG 2.0 die Verwaltungsdigitalisierung deutlich beschleunigen will. Das aber kann nur mit Hilfe digitaler Identitäten gelingen, also wenn sich die Bürger:innen sicher und einfach online ausweisen können. Und auch die geplante EUDI-Wallet des Bundesinnenministeriums sollen Bürger:innen in Bälde mit ihrem ePerso einrichten. Und dafür muss dieser aktiviert sein.
Doch wie geht es mit dem Verfahren nun weiter? Laut tagesschau.de erwägt die Ampel-Koalition „dem Vernehmen nach“, die Ersatz-PIN künftig nicht mehr per Einschreiben, sondern als Standardbrief zu 85 Cent zu verschicken.
Dem widerspricht das Bundesinnenministerium (BMI) auf Anfrage von netzpolitik.org. Die Zustellung per Standardbrief böte nicht die erforderliche Sicherheit. Das BMI verweist dabei auf die einschlägigen Vorgaben der Durchführungsverordnung (EU) 2015/1502, den Paragraph 20 Absatz 2 der Personalausweisverordnung (PAuswV) und die Technische Richtlinie TR-03128-3 (PDF) des BSI.
In der Tat würde der PIN-Versand per Standardbrief die Missbrauchsgefahr deutlich erhöhen. Wie leicht sich derartige Schwachstellen ausnutzen lassen, bewiesen Sicherheitsexperten des Chaos Computer Clubs im Jahr 2019. Sie gelangten damals wegen „ungeeigneter Identifikationsverfahren“ ohne großen Aufwand an elektronische Heilberufsausweise.
Rückkehr zum alten Verfahren – mit Mehrkosten für die Bürger:innen
Laut BMI kommt nur eine Zustellungsvariante in Betracht, die „eine Identifikation der ausweisinhabenden Person gewährleistet“. Das stelle derzeit nur die Zustellmethode „POSTIdent“ sicher.
Doch auch diese Methode hat einen Haken. Denn das POSTIdent-Verfahren sieht unter anderem eine Identifizierung per Videochat vor. Nach einem Hack des Chaos Computer Clubs im August 2022 kamen sowohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) als auch der Bundesdatenschutzbeauftragte und der Zoll zu dem Schluss, dass die Technologie zu risikobehaftet ist. Um den Einsatz von Video-Ident-Verfahren wird bis heute gerungen, einige automatisierte Verfahren sind nicht mehr erlaubt.
Hinzu kommt, dass das BMI nach eigenen Angaben prüft, die Re-Aktivierung des PIN-Rücksetzbriefes „um eine Bezahlfunktion für Bürgerinnen und Bürger“ zu ergänzen. Wie hoch die Gebühr ausfällt, sei derzeit noch Teil der Prüfung, so ein BMI-Sprecher.
Würde die Bundesregierung den Dienst kostenpflichtig machen, wäre dies eine weitere „bürgerunfreundliche Sparentscheidung“. Denn damit würde sie nicht nur die Kommunen, sondern auch die einzelnen Bürger:innen finanziell belasten. Das aber wird die eID voraussichtlich nicht beliebter machen, ganz im Gegenteil.
Daran kann die Koalition kein Interesse haben. Der Ampel bleibt nicht mehr viel Zeit, um ihre Digitalisierungsvorhaben umzusetzen. Und nur wenn es viele aktivierte Online-Ausweise gibt, steht die Verwaltungsdigitalisierung auch auf einem festen Fundament.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Zur Quelle wechseln
Zur CC-Lizenz für diesen Artikel
Author: Daniel Leisegang