Sehr geehrte Leserinnen und Leser,

Datenschutzrecht ist Technologiefolgenrecht und deshalb ist ein Blick auf aktuelle technische Entwicklungen für Datenschutzexperten stets von Nutzen. Vor wenigen Wochen stellte Apple beim US Patent and Trademark Office (USPTO) einen Patentantrag (#20210105265) für ein „User Authentication Framework“. Dieses Framework soll dazu dienen, auf NFC-fähigen Apple-Endgeräten digitale Identitäten abzuspeichern, z.B. Ausweis, Führerschein, Reise- oder Impfpass.

Die Inhalte solcher meist staatlicher Herrschaftssphäre entspringender Sichtdokumente werden dann in einem „Secure Element“ gespeichert, also einem Chip, der neben der Speicherfunktion auch über gewisse Sicherheitsfunktionen verfügt. Identifiziert sich der Nutzer am Endgerät z.B. durch Scan von Gesicht oder Fingerabdruck, können die Informationen aus dem Secure Element ausgelesen und an einen autorisierten Empfänger übermittelt werden.

Der Identifikationsvorgang ist dabei viel schneller abgeschlossen als eine klassische Ausweiskontrolle. In eben jenem Annehmlichkeits- und Effizienzgewinn („convenience of performing an authentication“) erkennen die Experten von Apple ein Geschäftsmodell für staatliche Institutionen und Privatwirtschaft.

Klingt bekannt? Stimmt. Der Bundesrat hat gerade erst mit dem „Gesetz zur Einführung eines elektronischen Identitätsnachweises mit einem mobilen Endgerät“ den Weg freigemacht, um der bislang wenig verbreiteten eID-Funktion des „Neuen Personalausweises“ durch Nutzung von „Secure Elements“ in Smartphones zum Durchbruch zu verhelfen. Als Endgerät vom BSI zertifiziert ist bislang nur die Samsung S20-Serie, mehr befinden sich aktuell in der Pipeline.

Wird das Rennen um das Management digitaler Identitäten auf einen Zweikampf zwischen Apple und Samsung hinauslaufen und welche Rolle werden der deutsche Staat und seine Bürger dabei spielen? Was bedeutet es für unsere Privatsphäre, wenn das Störgefühl gegenüber einer allgemeinen Ausweispflicht so abgebaut wird, dass wir uns immer öfter auch durch Private gedankenlos identifizieren lassen? Ist es überhaupt wünschenswert und sicher, wenn Privatunternehmen die Infrastruktur zur staatlichen Identifikation betreiben? Mancher Blick hinter die Kulissen technischer Entwicklungen führt nach anfänglicher Begeisterung zu Sorgenfalten. Umso wichtiger wird daher ein interdisziplinärer Diskurs sein, um den künftigen Entwicklungen von digitalen Identitäten und berechtigten Bedenken in hinreichendem Maße Rechnung zu tragen.

Ob sich diese Technologien in unseren Smartphones ähnlich wie die Identifizierung über den Gesichtsscan oder die Nutzung von Kreditkartenfunktionen durchsetzen werden, hängt weder von Juristen noch von Gesetzen ab, sondern von der Akzeptanz der Nutzer. Einen Erklärungsansatz hierfür serviert uns das „Technology Acceptance Model“ aus der Wirtschaftsinformatik. Wenn etwas wahrgenommen wird als „leicht zu benutzen“ und „nützlich“, dann wird es sich durchsetzen.

In diesem Sinne wünsche ich Ihnen im Namen des Redaktionsteams wie gewohnt eine spannende Lektüre.

Ihr

Tilman Herbrich

Dieser Beitrag erschien als Editorial in der Ausgabe 07-08/2021 des Datenschutz-Berater.