Ja, sagt Christoph Drösser: Die Regierung hat darauf geachtet, beim Datenschutz wirklich alles richtig zu machen – und es ist ihr gelungen

Um die Diskussion zu versachlichen, greifen wir jetzt alle einmal ins Portemonnaie und holen unseren Personalausweis hervor: Da sind Name und Vorname verzeichnet, Geburtsdatum und -ort, Staatsangehörigkeit, Adresse, Größe und Augenfarbe. Außerdem ist ein Foto des Inhabers drauf. Genau diese Daten (für Erbsenzähler: zusätzlich die Postleitzahl) werden auf dem RFID-Chip im neuen elektronischen Ausweis vermerkt sein. Staatliche Stellen (und nur die) werden diese Angaben in Zukunft per Computer auslesen können, hinzufügen können sie nichts. Ebenso wenig können sie den Ausweis "im Vorbeigehen" unbemerkt auslesen, etwa um die Teilnehmer einer Demonstration zu registrieren. Der Polizist muss die Plastikkarte in der Hand haben und eine aufgedruckte Nummer eingeben, bevor der Chip die Daten ausspuckt.

Die Bürger haben im elektronischen Zeitalter eine widersprüchliche Einstellung zum Datenschutz: Einerseits füttern sie Google, Facebook und Co. hemmungslos mit intimsten Details , andererseits haben sie – zu Recht – Angst, dass Staat und private Firmen persönliche Daten, die sie einmal gespeichert haben , nur ungern wieder löschen. Es ist sicher eine gute demokratische Einstellung, staatlichen Datensammlern gegenüber misstrauisch zu sein. So war es richtig und wichtig, dass Datenschützer die obligatorische Speicherung von Fingerabdrücken auf dem neuen Ausweis verhindert haben – die Abgabe dieser "biometrischen Merkmale" ist freiwillig, und man sollte auf dieses Ansinnen im Einwohnermeldeamt mit einem resoluten "Nein" antworten.

Ansonsten aber haben die Entwickler im Bundesinnenministerium beim neuen Ausweis wirklich versucht, datenschutztechnisch alles richtig zu machen – und es ist ihnen gelungen .

Ein Großteil der Kritik konzentriert sich auf die – nur mit Zustimmung des Inhabers nutzbare – Onlineausweis- oder eID-Funktion, die eine sichere Identifizierung im Internet möglich machen soll und die vom hoheitlichen Teil des Ausweises streng getrennt ist. Sie soll bei der Kommunikation mit Firmen und Ämtern den Nutzer eindeutig identifizieren und ihm das Leben im Netz erleichtern. Die Sache funktioniert so: Der Surfer legt seinen Ausweis auf ein Lesegerät, das an den Computer angeschlossen ist, und wenn er dann zum Beispiel in einem Onlineshop einkauft, gibt er mit einer sechsstelligen PIN gewisse Angaben frei – wohlgemerkt, nur Daten, die lesbar außen auf dem Ausweis stehen.

Aus zwei Gründen ist diese digitale Identität ein großer Fortschritt gegenüber der heute im Internet üblichen Anmeldung mit einem simplen Passwort: Erstens identifiziert sich nicht nur der Nutzer gegenüber dem Webdienst, sondern umgekehrt belegt auch der Verkäufer seine Identität, die er vorher bei einer Zertifizierungsstelle hinterlegt hat. Sie stellt sicher, dass er der ist, für den er sich ausgibt. Das ist ein Schutz gegen sogenannte Phishing-Seiten von Betrügern, die vorgeben, eine Bank oder ein Onlineshop zu sein.

Zweitens wird das Prinzip der " Datensparsamkeit " befolgt – ein Anbieter erhält nur die Daten, die er für seine Zwecke braucht. Wer mir nichts per Post schickt, braucht meine Adresse nicht. Wer Produkte mit einer Altersbeschränkung anbietet, dem bestätigt mein Ausweis, dass ich über 18 bin, mein Geburtsdatum bekommt er nicht.

In den letzten Monaten haben Hacker und Computerexperten versucht, undichte Stellen des neuen Ausweises zu identifizieren – und nichts gefunden. Die verschlüsselte Datenkommunikation ist derzeit nicht zu knacken. Die einzige Schwachstelle, die entdeckt wurde: Falls der Computer mit einem Virus infiziert ist , das alle Tastatureingaben protokolliert, könnten Bösewichter auch an die PIN kommen. Aber wer einen solchen "Keylogger" auf dem Computer hat, der hat ganz andere Sorgen – alle herkömmlichen passwortgeschützten Seiten stehen dem Hacker sperrangelweit offen, während er mit der Ausweis-PIN nichts anfangen kann, solange er das Kärtchen nicht in der Hand hält.

Es gibt keine Garantie dafür, dass nicht doch irgendwann jemand die Plastikkarte hackt. Aber der neue Ausweis ist sicherer als jede Scheck- und Kreditkarte und nach heutigen Datenschutzkriterien vorbildlich. Ob man die neue Onlineidentität freischalten lässt oder nicht, wird damit zu einer Geschmacksfrage – die Ängstlichen können die Erfahrungen der early adopters abwarten. Ein Grund für eine reflexhafte Aufregung ist der neue Ausweis in diesen aufgeregten Zeiten nicht. Ein Tipp noch: Als PIN sollte man nicht gerade das eigene Geburtsdatum wählen.