Am 5. März 2021 wurde das Registermodernisierungsgesetz im Bundesrat abschließend beraten und beschlossen.[1] Es soll ein Meilenstein für die Digitalisierung in der Verwaltung werden, indem es die rechtlichen Grundlagen dafür schafft, dass Bürger bestimmte Daten nicht immer wieder aufs Neue angeben müssen.[2] Stattdessen können verschiedene Behörden diese mittels eines einheitlichen Identifizierungsmerkmals – der Steuer-Identifikationsnummer – aus den jeweiligen Registern abrufen. Im Zusammenspiel mit dem Onlinezugangsgesetz (OZG) sollen so die bereits verwendeten Register besser nutzbar gemacht werden. Verwaltungsleistungen sollen so zum einen bürger- und nutzerfreundlicher werden und zum anderen zu einer Kostenersparnis führen.
Einheitliche Kennziffer: Gefahr der Profilbildung
Das geplante Modell wird von Datenschützern scharf kritisiert. Bereits den Entwurf des Registermodernisierungsgesetzes hielten sämtliche Datenschutzbehörden von Bund und Ländern wegen der einheitlichen Personenkennziffer, die eine Zusammenführung der Daten und einer damit die Bildung umfassender Persönlichkeitsprofile ermöglicht, für verfassungswidrig.[3] Maßgebliche Änderungen hat die nun beschlossene Fassung seither nicht erfahren.
Die Kennzahl ist sowohl mit Blick auf das Volkszählungsurteil des Bundesverfassungsgerichts[4] als auch wegen eines möglichen Verstoßes gegen das Grundrecht auf informationelle Selbstbestimmung heikel. Das in Österreich genutzte Modell hingegen, das ein verschlüsseltes Personenkennzahlsystem vorsieht, sei aus datenschutzrechtlicher Sicht zu bevorzugen.[5] Dabei hat nur die Unabhängige Datenschutzbehörde Zugriff auf die eigentliche – geheime – Personenkennziffer. Alle anderen Behörden müssen auf eine fachbereichsbezogene Kennziffer zurückgreifen, was der Normenkontrollrat gegenüber der deutlich invasiveren Methode der Bundesregierung für verfassungskonform hält.
Insbesondere vor dem Hintergrund der in den 70er-Jahren in der DDR eingeführten (und erwartungsgemäß als Kontrollinstrument genutzten) Personenkennzahl wird die im Registermodernisierungsgesetz vorgesehene Lösung mit großer Skepsis betrachtet.[6]
Daten-Cockpit als schwacher Trost
Im Referentenentwurf hatte das Bundesinnenministerium die österreichische Variante mit bereichsspezifischen Kennziffern, die zumindest eine technische Zusammenführung der verschiedenen Registerdaten deutlich erschwert, aus Zeit- und Kostengründen abgelehnt.[7]
Den Bedenken der Datenschützer soll vielmehr mit einem „Datencockpit“ begegnet werden, in dem Bürgerinnen und Bürger einsehen können, welche Behörde zu welchen Zwecken welche Daten einsehen kann und verarbeitet.[8] Infolge der dezentralen Datenhaltung sei eine Zusammenführung der unterschiedlichen Register ohnehin technisch nicht möglich. Auch werden „Intermediäre“ zwischengeschaltet, die Datenabfragen einer Behörde nur dann zugelassen werden, wenn diese durch eine gesetzliche Befugnis gedeckt sind.[9]
Die einheitliche ID wird zunächst nur für Bürgerinnen und Bürger gelten; ein entsprechendes System für Unternehmen – eine einheitliche „Wirtschaftsnummer“ sowie ein Unternehmensbasisregister – soll in einem nächsten Schritt umgesetzt werden.[10]
Fazit
Die Bedenken der Datenschützer sind durchaus berechtigt und müssen ernst genommen werden. Ein Missbrauch der durch die einheitliche Identifikationskennziffer geschaffenen Möglichkeiten ist nicht pauschal auszuschließen.
Ob das im Registermodernisierungsgesetz vorgesehene System sich – besonders unter verfassungsrechtlichen Gesichtspunkten – bewähren kann, bleibt abzuwarten. Auch wird sich zeigen, ob das Daten-Cockpit tatsächlich mit ausreichender Transparenz punkten kann und ob Bürgerinnen und Bürger dieses Angebot wahrnehmen.
Nicht zuletzt liegt in der „deutschen“ Variante auch ein Risiko für die IT-Sicherheit. Cyberangriffe auf die relevanten Schnittstellen könnten schwerwiegende Folgen nach sich ziehen und die ebenso empfindlichen wie umfassenden Datensätze von Millionen Bundesbürgerinnen und -bürgern nicht nur ausländischen Geheimdiensten, sondern auch anderen Cyberkriminellen in die Hände spielen.
[1] BR-Drs. 121/21.
[2] Vgl. Klein, Was ist das Registermodernisierungsgesetz?, eGovernment Computing, 28.02.2021, dort auch zum Folgenden.
[3] Vgl. DSK, Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 26.08.2020.
[4] BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83 – BVerfGE 65, 1.
[5] Vgl. Reuter, Eine Nummer, sie alle zu finden, Netzpolitik.org, 09.07.2020, dort auch zum Folgenden.
[6] Vgl. Reuter, Die individuelle Personenkennzahl kommt, Netzpolitik.org, 05.03.2021.
[7] Vgl. Dachwitz, Das Grundgesetz darf keine Kostenfrage sein, Netzpolitik.org, 25.08.2020.
[8] Vgl. Klein, Was ist das Registermodernisierungsgesetz?, eGovernment Computing, 28.02.2021, dort auch zum Folgenden.
[9] Vgl. Creutzberg, Durchbruch in der Digitalisierung des Staates, 05.03.2021.
[10] Vgl. Creutzberg, Durchbruch in der Digitalisierung des Staates, 05.03.2021.
Sämtliche Links wurden zuletzt am 01.04.2021 abgerufen.