Schlagwort-Archive: eGovernment

Stellungnahme zum Registermodernisierungsgesetz

Stellungnahme

zum Entwurf eines Gesetzes zur Einführung einer Identifikationsnummer in die öffentliche Verwaltung und zur Änderung weiterer Gesetze (Registermodernisierungsgesetz – RegMoG)

(PDF-Download)

Der Verein für liberale Netzpolitik LOAD e.V. hält eine Registermodernisierung mit dem Ziel, die in den Registern verwandten Identitätsdaten zu plausibilisieren, Inkonsistenzen zu beseitigen und die Identitätsdaten laufend aktuell zu halten, für bedeutsam. Denn für die Umsetzung des Onlinezugangsgesetzes, also für die vollständige Digitalisierung der Verwaltungsleistungen und die Möglichkeit zum Bezug der digitalen Verwaltungsleistungen über den Portalverbund ist die Validität der abzurufenden Registerdaten unverzichtbar.

Das durch den Gesetzentwurf vorgeschlagene Verfahren ist jedoch verfassungsrechtlich unzulässig. Insbesondere die vorgeschlagene Nutzung der Steuer -ID für ein registerübergreifendes Identitätsmanagement ist abzulehnen.

Ausgehend vom sogenannten Volkszählungsurteil hat das Bundesverfassungsgericht in mehreren Entscheidungen eine sektorübergreifend verwendete Personenkennziffer für mit der Menschenwürde nicht vereinbar und daher verfassungswidrig gehalten:

„Mit der Menschenwürde wäre es nicht zu vereinbaren, wenn der Staat das Recht für sich in Anspruch nehmen könnte, den Menschen zwangsweise in seiner ganzen Persönlichkeit zu registrieren und zu katalogisieren, sei es auch in der Anonymität einer statistischen Erhebung, und ihn damit wie eine Sache zu behandeln, die einer Bestandsaufnahme in jeder Beziehung zugänglich ist“ (Mikrozensusurteil,  Beschluss vom 16.07.1969 – 1 BvL 19/63). Das BVerfG hat darauf hingewiesen, dass infolge der Verknüpfung aller zu einer Person in den unterschiedlichsten Datenbeständen mit verschiedenen Zwecken vorhandenen Informationen und Daten umfassende Persönlichkeitsprofile erstellt werden könnten, die in  ihrer Reichweite kaum überschaubar und weitgehend intransparent seien.

Zwar schließt Artikel 87 DSGVO zentrale Personenkennziffern in den EU-Mitgliedstaaten nicht prinzipiell aus. Gerade die historischen Erfahrungen in Deutschland mit dem Missbrauch persönlicher Daten und die darauf aufbauende Verfassungsrechtsprechung lassen jedoch eine solche zentrale Datenzusammenführung als verfassungsrechtlich unzulässig erscheinen.

Wenn der Gesetzentwurf darauf abzielt, bei mehr als 50 Registern die Steuer-ID als zusätzliches Ordnungsmerkmal zu verwenden, könnten etwa aus der Verbindung von Melderegisterdaten mit Versichertendaten der Krankenkassen sowie Daten aus dem Schuldnerverzeichnis zu einem Persönlichkeitsprofil erstellt werden. Hierauf weist zu Recht die Datenschutzkonferenz hin. Die im Gesetzentwurf vorgesehenen technischen und organisatorischen Sicherungen stellen keine ausreichende Barriere gegen eine solche missbräuchliche Zusammenführung von Daten dar.

In Betracht kommt demgegenüber die auch von der Datenschutzkonferenz befürwortete Einführung von sektorspezifischen Personenkennziffern. Hierdurch könnten die vom Gesetzesvorschlag diagnostizierten Inkonsistenzen bei den Identifizierungsdaten angegangen, zugleich aber eine dem Recht auf informationelle Selbstbestimmung widersprechende staatliche Entwicklung von Persönlichkeitsprofilen entgegengewirkt werden.

Hintergrund:

Die Bundesregierung hat in dieser Woche den Entwurf des Registermodernisierungsgesetzes beschlossen. Das Bundesministerium des Innern, für Bau und Heimat hat am 31. Juli 2020 einen Entwurf eines Gesetzes zur Einführung einer Identifikationsnummer in die öffentliche Verwaltung und zur Änderung weiterer Gesetze (Registermodernisierungsgesetz – RegMoG) vorgelegt. Der Vorschlag versteht sich als Beitrag zur Verbesserung des Identitätsmanagements im Rahmen der Registermodernisierung. Mit dem Aufbau eines registerübergreifenden Identitätsmanagements soll eine verlässliche Datengrundlage für die öffentliche Verwaltung geschaffen und die Interoperabilität der Register gefördert werden. Ziel ist es, sowohl die Aktualität der Daten zu verbessern, als auch die Umsetzung des „Once-only-Prinzips“ zu ermöglichen.

Der Gesetzesvorschlag geht auf ein Gutachten des Nationalen Normenkontrollrat von 2017 zurück („Mehr Leistung für Bürger und Unternehmen: Verwaltung digitalisieren. Register modernisieren.“ https://www.normenkontrollrat.bund.de/re-source/blob/72494/476004/12c91fffb877685f4771f34b9a5e08fd/2017-10-06-download-nkr-gutachten-2017-data.pdf). Der NKR hatte darin auf die Schwierigkeiten hingewiesen, die sich aus Inkonsistenzen und Redundanzen in der Datenhaltung von ca. 220 zentralen und dezentralen Datenregistern sowie aus sich wiederholenden Datenerhebungen bei betroffenen Personen ergeben, und insoweit ein besseres Identitätsmanagement angemahnt.

Der Gesetzesvorschlag verweist zum einen darauf, dass Personenverwechslungen in den Registern aufgrund von Transkriptionsfehlern, Namensverwechslungen, unterschiedlichen Aktualisierungsfrequenzen und unterschiedlichen fachlichen Anforderungen ausgeschlossen werden müssten und vorhandene Datenbestände in den Registern den betroffenen Bürgerinnen und Bürgern fehlerfrei zugeordnet werden sollten. Zum anderen sei die Bevölkerung beim Kontakt mit der Verwaltung für die Beantragung von Leistungen nicht immer wieder die gleichen Daten angeben wollten, die an anderer Stelle der Verwaltung bereits bekannt sind. Die redundante Datenhaltung widerspreche auch dem Gebot der Datenminimierung. Schließlich könne ein registerübergreifendes Identitätsmanagement die Grundlage für einen im Aufwand und Kosten verminderten Zensus sein. Dies wiederum trage dazu bei, die Bürgerinnen und Bürger von bislang erforderlichen Befragungen zu entlasten und Bürokratie abbauen.

Zur eindeutigen Zuordnung in den für die Umsetzung des OZG relevanten Registern soll lt. Gesetzesvorschlag die Steuer-Identifikationsnummer nach § 139b AO genutzt und um die für ein registerübergreifendes Identitätsmanagement notwendigen Elemente ergänzt werden.

Registerführende Stellen in Bund und Ländern werden durch das vorgeschlagene Gesetz verpflichtet, innerhalb von fünf Jahren die Steuer-Identifikationsnummer als zusätzliches Ordnungsmerkmal in den Registern zu speichern und andere Personendaten damit zu ersetzen, die Daten sodann aktuell zu halten und den Bürgerinnen und Bürgern über das sog. Datencockpit Auskunft über die gespeicherten Daten zu gewähren. Als Registermodernisierungsbehörde soll das Bundesverwaltungsamt fungieren. Diese soll eine Übersicht über bestehende Register erstellen, beim Bundeszentralamt für Steuern die Identifikationsnummer im automatisierten Verfahren abrufen und an die registerführenden Stellen zur Erfüllung der dortigen Aufgaben übermitteln. Durch geeignete technische und organisatorische Maßnahmen sei sicherzustellen, dass die Daten nicht unbefugt verarbeitet werden können. Verstöße gegen die Datenschutzvorschriften sollen strafrechtlich geahndet werden.

Der Vorstand,
Prof. Dr. Wilfried Bernhardt, Mitglied
LOAD e.V. – Verein für liberale Netzpolitik

 

(PDF-Download)

Über LOAD e.V.

LOAD e.V. – Verein für liberale Netzpolitik, ist ein unabhängiger Verein, der sich für den Erhalt eines freien Internets einsetzt und Bürgerinnen und Bürger dazu ermächtigt, ihre Grundrechte zu verwirklichen. LOAD e.V. möchte den gesellschaftlichen digitalen Wandel konstruktiv unterstützen. Der Verein finanziert sich ausschließlich durch die Mitgliedsbeiträge seiner Mitglieder. Der Verein wurde 2014 gegründet und hat seinen Sitz in Berlin.

KI und Blockchain sind die Flüchtlingsdebatte der Digitalpolitik!

Anstatt das wir in der öffentlichen Debatte über Geflüchtete reden, gäbe es so viele andere wichtige Themen, die davon überlagert werden und nicht die Aufmerksamkeit bekommen, die man ihnen schenken müsste – wie z.B. den Klimawandel, die andauernde Niedrigzinsphase, Steuerhinterziehung in Milliardenhöhe (Cum-Ex / CumCum), den schlechten Zustand unseres Bildungssystems oder die kaputtgesparte Polizei. Stattdessen lassen wir uns als Gesellschaft eine Debatte von rechts-außen aufzwingen, bei der es selten um Lösungen und vielmehr um Stimmungsmache geht, die zwar niemandem nützt dabei, aber die anderen wichtigeren Themen verdrängt.

Eine solche vorgeschobene Debatte haben wir auch in der Digitalpolitik – dort wird uns die Debatte rund um KI und Blockchain aufgedrückt, obwohl es so viel wichtigere Themen gäbe!

Die öffentliche Anhörung zum Thema Blockchain im Bundestagsausschuss Digitale Agenda  Ende November hat gezeigt: das Thema entwickelt sich von selbst, ohne dass es aktuell Regelungs- oder Förderungsbedarf seitens der Politik gäbe. Eine aktuelle Studie untersuchte 43 Blockchain-Anbieter und -Startups und statuierte eine Erfolgsquote von 0%. Die Vertreter der Industrie forderten in dieser Anhörung maximal sogenannte „Testbeds“ (Testregionen in denen manche regulative Vorgaben für Tests von neuen Geschäftsmodellen regional begrenzt aufgehoben werden) zur Entwicklung neuer Geschäftsmodelle rund um die Blockchain. Das zeigt für mich, dass diese Technologie entweder wirklich überflüssig ist, oder noch so sehr in den Kinderschuhen steckt, dass wir dieser Technologie zu viel Platz einräumen in der aktuellen Debatte.

Bei KI verhält es sich ähnlich. Im Bundestag wurde eine Enquete-Kommission KI eingerichtet, die Bundesregierung hat auf dem Digitalgipfel ihre (halbherzige) Strategie vorgelegt, das Bundesministerium für Bildung und Forschung (BMBF) fördert fleißig die Entwicklung von künstlicher Intelligenz. Die Industrie arbeitet auch daran. Für konkreten Regulierungsbedarf scheint es bisher keinen Grund zu geben. Finanzmittel für weitere Forschung bis 2025 in Höhe von 3Mrd€ wurden im Haushalt bereitgestellt (Drucksache 19/5880).

Trotzdem reden wir in der öffentlichen Debatte im Bereich der Digitalpolitik (fast) nur über KI und Blockchain – obwohl es so viel wichtigere Themen gäbe, wie z.B. den Breitbandausbau, die Cybersicherheit, Open Source-Software, eGovernment, die Bildungspolitik.

Wie kann es sein, dass es im Jahr 2018 immer noch Schulen gibt, in der nicht jeder Schüler ein Tablet und die Schule keinen eigenen Glasfaseranschluss mit Gigabit-Geschwindigkeit hat? Warum reden wir nicht über Open Source-Software, gerade auch in der öffentlichen Verwaltung, im Bereich eGovernment und der seit mindestens zwei Jahrzehnten überfälligen Digitalisierung der Verwaltung? Wie kann es sein, das wir hunderte von Millionen Euro ins amerikanische Ausland überweisen für Softwarelizenzen, deren Funktionen wir seit Jahrzehnten in Open Source-Software haben könnten?

Wie ist es möglich, das wir von allen unseren europäischen Nachbarländern in Bezug auf eGovernment nicht nur überholt, sondern überrundet worden sind? Wie ist es möglich, dass wir, obwohl wir eines der dichter besiedelten Länder in Europa sind, immer noch weiße Flecken in der Mobilfunkabdeckung haben?

Unserem  „Bundesinnenminister für Bau und Heimat“ geben wir eine Bühne, um im Bereich „aktive Cyberabwehr“ und „Hackback“ seine fehlende Kompetenz zu beweisen, werfen ihm aber nicht vor, dass ein Angriff auf deutsche Behördeninfrastruktur im Durchschnitt 150-200 Tage benötigt, bis er entdeckt worden ist! 200 Tage nach einem Angriff wäre ein Gegenangriff, so er denn technisch möglich wäre, nicht nur sinnlos, sondern peinlich.

Die CDU/CSU verwendet immer wieder das Mantra „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ – und versteht scheinbar nicht, dass diese beiden Aussagen sich fundamental widersprechen. Einerseits will der Staat Verschlüsselung brechen und IT-Sicherheit aufweichen (z.B. mit Institutionen wie ZITiS), andererseits sollen die Bürger sich aber so fühlen, als hätten sie alle Bürgerrechte, und würden nicht überwacht, obwohl das am laufenden Band trotzdem passiert. Von der inzwischen regelmäßig stattfinden Funkzellenabfrage über Gesichtserkennung mit Kameras an Bahnhöfen, Verhaltensanalyse per Videobild bis hin zu der angekündigten Überwachung von Dieselfahrzeugen – die Bürger werden eben doch überwacht. Wir brauchen mehr Polizei, mehr Ressourcen für Ermittlungen, nicht aber mehr Daten über die Bürger, für einen effektiven Sicherheitsapparat. Jeder gesammelte und gespeicherte Datensatz hilft im Zweifel dem Feind – egal ob das eine zukünftige Regierung ist, die noch weniger wohlmeinend als die aktuelle unsere Bürgerrechte missachtet, oder eine staatliche Hackertruppe einer ausländischen Macht. Jede Sicherheitslücke die gefunden und von ZITiS wissentlich offengehalten wird, dient nicht nur unserer Polizei oder anderen Sicherheitsbehörden, sondern eröffnet neue Möglichkeiten für Kriminelle, Erpresser, staatlichen Cyberkriegern oder der NSA.

Bis heute haben ca. 20% der deutschen Behördenmitarbeiter keine IT-Sicherheitsschulung erhalten – und Penetrationstests des BSI sind für alle Behörden und Ministerien nicht etwa vorgeschrieben, sondern optional, sie werden nur auf Antrag durchgeführt, nach einer Bedarfsprüfung durch das BSI. Dabei wäre diese Bedarfsprüfung sehr einfach:  hat das Ministerium einen Internetanschluss? Wenn ja, dann müssten regelmäßige Penetrationstests durchgeführt werden.

Wir leisten uns ein Lagezentrum zur Beobachtung der „Cyberlage“ im BSI, betreiben es aber nicht 24/7, es schließt um 17:00. Dabei hat das Internet keine Öffnungszeiten, ausländische Computerkriminelle halten sich auch nicht an die behördlichen Arbeitszeiten von 9:00 bis 17:00!

Wir diskutieren in der Digitalpolitik über Luftschlösser in ferner Zukunft, schaffen es aber nicht, die Schlaglöcher im Feldweg vor uns zu schließen, während alle anderen um uns herum in Europa auf schicken neuen Digitalautobahnen fahren. Wir dürfen nicht vergessen: Die Lage in Deutschland ist heute, 2018, so schlimm, dass Bundesminister ihr Büro anweisen, keine Telefontermine mit Vertretern anderer Staaten während Autofahrten zu terminieren, weil die Mobilfunkabdeckung so schlecht ist, dass das Gespräch abreißen würde, was gegenüber den Vertretern anderer Staaten peinlich wäre.

Wir reden über quantencomputer-sichere Verschlüsselung, schaffen es aber nicht, die seit den 90er Jahren des letzten Jahrhunderts bekannten und immer noch weit offen stehenden Sicherheitslücken in der Mobilfunkverschlüsselung A5 zu schließen.

Wir gestatten Prof. Dr. Helge Braun, Chef des Bundeskanzleramts und Bundesminister für besondere Aufgaben, hunderte von Millionen Euro in eine frisch gegründete „Agentur für disruptive Innovationen in der Cybersicherheit“ zu stecken, mit der Hoffnung  den nächsten technologischen Durchbruch in der Cybersicherheit nicht zu verpassen. Aber niemand schreit auf, wenn die allererste technische Richtlinie, die Mindestkriterien für die IT-Sicherheit in Internetroutern für Privathaushalte (BSI TR-03148) festlegt, sogar noch hinter den schon wenig ambitionierten Zielen des Koalitionsvertrags zurückbleibt. Wir dürfen nicht vergessen: Dieses kleine Stück Plastik-mit-Elektronik in unserem Hausflur ist unsere digitale Haustür! Ist die IT-Sicherheit dort so schlecht, wie die neue Richtlinie vorschreibt, so ist das als ob wir eine Haustür ohne Schloss in unser Eigenheim einbauen.

Das BMBF gründet auch eine Agentur für Sprunginnovationen, um damit bahnbrechende Forschung finanzieren zu können, aber ein wirklich sicheres elektronisches Postfach (beA) zur verschlüsselten Kommunikation zwischen Gerichten und Anwälten zu etablieren, das schaffen wir weder im ersten noch im zweiten Anlauf. Und das, obwohl Bürgerinitiativen in diesem Land, ehrenamtlich, seit Jahrzehnten bessere, sichere und obendrein sogar kostenlose Technologie wie z.B. GnuPG entwickeln, auf die man für einen Bruchteil der Kosten hätte aufbauen können.

Und trotzdem dieser desolaten Situation im Bereich der Digitalisierung traut sich die Politik über Blockchain und KI zu reden.

Lasst uns endlich aufhören, Stellvertreterdebatten zu führen und stattdessen über die wirklich wichtigen Themen wie den Klimawandel, die kaputtgesparte Polizei, den Breitbandausbau, die Modernisierung des Bildungssystems, die IT-Sicherheit und die Entbürokratisierung der Verwaltung durch Digitalisierung sprechen