Identitätsverifikation mit Personalausweis-Scan

Es gibt immer wieder Situationen, bei denen man seine Identität im Internet nachweisen muss. Dafür braucht man also irgendwie ein Ausweisdokument, was auch digital funktioniert. In Deutschland haben wir dafür den elektronischen Personalausweis (ePA), der irgendwelche Zertifikate enthält. Mit einem geeigneten Lesegerät kann man damit seine ganze Identität oder nur sein Alter gegenüber einem Dienst verifizieren.

Klingt alles super, nur leider unterstützt fast niemand den ePA wirklich. Die Software läuft nur unter Windows und macOS; Linux ist mit unter 5% Marktanteil willkürlich ausgenommen, obwohl das Teil mit C++, Qt und CMake programmiert ist. Jedenfalls hat fast niemand so ein Lesegerät, und man muss den ePA für die breite Masse wohl einfach als gescheitert ansehen.

Gängige Verifikationsmethoden sind dann Hochladen von Ausweiskopien, Postident oder Videoident. Bis auf Postident ist das alles ziemlich bekloppt. Im realen Leben muss ich den Ausweis haben, und natürlich mit dem Passbild übereinstimmen. Bei Postident ist das genauso, da muss ich den haben. Wenn ich Videoident mache, muss ich den Ausweis auch haben und entsprechend aussehen. Das ist beides okay, wobei über das Smartphone nicht unbedingt alle Sicherheitsfeatures korrekt zu sehen sind. Durch Schwenken des Ausweises und Winken mit der Hand vor dem Gesicht ist das immerhin so halbwegs okay. Jedoch bindet beides Personal und dauert auch viel länger, als wenn man das einfach mit einem Lesegerät macht. Zudem man für das Lesegerät noch die Pin wissen muss, also hat man hier zwei Merkmale.

Ausweiskopien sind aber wirklich das letzte. Wenn ich eine bei Dienst A hochlade, was hindert Dienst A dann daran sich gegenüber Dienst B mit meiner Kopie »auszuweisen«? Ich kann auch auf meinem Rechner die immer gleiche Ausweiskopie an alle schicken. Es ist also weder haben noch wissen, was man hier braucht.

Um das ganze wenigstens etwas besser zu gestalten, versuche ich dabei die Zugangsnummer zu verdecken. Dies ist auch so vorgesehen:

Ausweisdaten, die nicht zur Identifizierung benötigt werden, können und sollen auf der Kopie vom Ausweisinhaber geschwärzt werden. Das gilt insbesondere für die auf dem Ausweis aufgedruckte Zugangsnummer […]. — personalausweisportal.de

Ebenfalls vorgesehen ist eine Markierung als Kopie:

Die Ablichtung muss eindeutig und dauerhaft als Kopie erkennbar sein. — personalausweisportal.de

Das ist nicht ganz klar, was das bedeutet. Da hilft ein anderer Text:

Die Ablichtung muss als Kopie erkennbar sein. Der Gesetzgeber empfiehlt, die Ablichtung in Monochromstufen (bspw. schwarz-weiß) zu erstellen oder den Hinweis „Kopie“ auf der Ablichtung anzubringen. Dies kann auch nach Erstellung der Ablichtung erfolgen. — datenschutzkanzlei.de

Nun habe ich also in weiß das Wort »Kopie« drauf und dann noch einen schwarzen Balken über die Zugangsnummer. Damit wähne ich mich komplett im Recht. Das scheint aber nicht allen zu gefallen. So wurde ich einmal aufgefordert das schwarze Klebeband über der Zugangsnummer zu entfernen. Dann bei einem Antrag für ein Nutzerkonto in Italien wurde auch nichts davon akzeptiert, es musste der Ausweis komplett sein. Und jetzt auch wieder wurde meine geschwärzte und mit »Kopie« markierte Datei nicht akzeptiert. Die Begründung:

Ausweis nicht im Ganzen ersichtlich. Bitte sende uns diesen erneut zu und achte darauf, dass alle vier Ecken sichtbar sind. Außerdem darf der Ausweis nicht bearbeitet bearbeitet oder mit "Kopie" versehen werden. Es darf lediglich die CAN Zugangsnummer abgedeckt sein.

Immerhin wissen die das mit der Nummer. Ich habe da einmal nachgefragt, ob sie die Regelungen nicht kennen. Als Antwort bekam ich dann einfach nur noch einmal dem Textbaustein:

Hallo Martin,

vielen Dank für deine Anfrage an Kundenservice der Firma.

Ausweis nicht im Ganzen ersichtlich. Bitte sende uns diesen erneut zu und achte darauf, dass alle vier Ecken sichtbar sind. Außerdem darf der Ausweis nicht bearbeitet bearbeitet oder mit "Kopie" versehen werden. Es darf lediglich die CAN Zugangsnummer abgedeckt sein.

Bei weiteren Fragen stehen wir dir jederzeit gerne zur Verfügung.

Schöne Grüße,

Alex
Dein Kundenservice der Firma

Vielen Dank Alex, damit hat die Firma gerade einen Kunden verloren. Ich wünsche deinem Arbeitgeber noch alles gute auf seinem weiteren Weg.

Ich wäre sehr froh, wenn ich mich da einfach mit ePA ausweisen könnte. Das ist sicherer für den Dienst, aber auch sicherer für mich. Dann ist da eine Software, die eben mein Alter bekommt (und nur das Alter). Und nicht irgendwie ein Praktikant, der da auf potentiell sehr unsicherer Serverumgebung eine Kopie meines Personalausweises speichert. Aber das ist ja noch alles Neuland, und der ePA scheint ja nicht mehr beworben zu sein. Dann ist das wohl gescheitert und ich darf mich weiter mit Video-Ident und hochgeladenen Ausweiskopien herumschlagen.