Freitag, 6. Oktober 2017

E-Government: Normenkontrollrat drängt auf vernetzte Register mit Personenkennziffer

Der Normenkontrollrat hat ein Gutachten veröffentlicht, wonach Datenbanken der öffentlichen Verwaltung wie das Melderegister miteinander verknüpft werden sollen als Basis für eine stärkere Digitalisierung von Dienstleistungen.

Rund 84 Millionen Stunden weniger pro Jahr müssten die Bürger hierzulande mit Behördenkram verbringen, wenn nicht sie selbst, sondern die Daten liefen. Dies geht aus einem Gutachten im Auftrag des Nationalen Normenkontrollrats (NNK) hervor, das dessen Vorsitzender Johannes Ludewig am Freitag Bundeskanzleramtschef Peter Altmaier (CDU) übergeben hat. Voraussetzung für das große Zeitgeschenk wäre es, die Verwaltungsleistungen komplett zu digitalisieren und dafür in einem ersten Schritt die staatlichen Register zu modernisieren und zu vernetzen. Insgesamt könnte damit die Interaktionszeit der Bürger mit der Verwaltung fast halbiert werden.

Das parallele Einsparpotenzial für Unternehmen schätzen die Gutachter vom Beratungshaus McKinsey auf jährlich über eine Milliarde Euro, was einem Minus von 54 Prozent entspräche. Das größte Potenzial sehen sie aber bei der Verwaltung selbst, wo sie auf eine Zeitersparnis von bis zu 59 Prozent oder 64 Millionen Stunden pro Jahr kommen. Bei Volkszählungen sei zudem ein vollständig registerbasierter Zensus bis zu 98 Prozent günstiger als die traditionelle, derzeit "registergestützte" Variante. Finanziell entspräche dies allein einem Plus von gut 650 Millionen Euro in der Staatskasse. Dem stünden beim dem Vorhaben insgesamt Anlaufkosten für ein "Basisdatenprogramm", die weitere technische Standardisierung, ein "Stammzahlensystem" und ein Pilotprojekt "Elterngeld" von rund 700 Millionen Euro gegenüber.

"Die heutige Registerlandschaft in Deutschland ist nicht dafür geeignet, den Informationsreichtum der öffentlichen Verwaltung optimal zu nutzen", heißt es in der gut 60-seitigen Analyse, für die McKinsey mit dem Statistischen Bundesamt und dem Deutschen Forschungsinstitut für öffentliche Verwaltung in Speyer zusammengearbeitet hat. Daher sei eine "grundlegende Modernisierung" der allein auf Bundesebene über 200 einschlägigen Datenbanken nötig.

Ein Kernpunkt dabei müsse ein "standardisierter digitaler Zugriff auf Informationen für alle autorisierten Nutzer über einheitliche und sichere elektronische Schnittstellen" sein, heißt es in der Analyse. Möglich sollte es auch werden, Daten etwa aus Melde-, Fahrzeug-, Handels- oder Gewerberegistern eindeutig zuzuordnen und zu verknüpfen. Der Bürger könnte Bescheide dann sofort bekommen, eigene Daten müsste er im Einklang mit dem "Once only"-Prinzip nur einmal der Verwaltung liefern.

Bei einem solchen Digitalisierungsvorhaben gibt es aber eine Crux. Neben Angaben zu Unternehmen, Gebäuden und Wohnungen oder Flurstücken sollen nämlich auch solche zu Personen aus Datenbeständen der Behörden zusammengeführt werden. Voraussetzung dafür wäre es, eine mehr oder weniger eindeutige Personenkennziffer einzuführen. Für Datenschützer ist ein solches Identifizierungsmerkmal ein rotes Tuch, das Bundesverfassungsgericht hat dafür im Volkszählungsurteil enge Grenzen gezogen. Demnach dürften damit auf keinen Fall "sämtliche Daten aus bereits vorhandenen Dateien der Verwaltung" zusammengeführt werden. Ein "Super-Register" sei nicht mit dem Grundgesetz vereinbar, detaillierte Persönlichkeitsprofile sollten vermieden werden.

Als Kompromiss bringen die Gutachter das österreichische Modell ins Spiel. Dort arbeitet die Verwaltung mit einer Art virtuellem Personenkennzeichen, bei dem keine Behörde vollständig auf alle gespeicherten Merkmale zugreifen kann. Die Datenschutzbehörde generiert in der Alpenrepublik eine geheime Stammzahl als eindeutige Identifikationsnummer. Daraus und aus einem auf einzelne Sektoren zugeschnittenen Kürzel werden in einem Hashverfahren kryptografisch "bereichsspezifische Personenkennzeichen" generiert. Aus diesen auf die Stammzahl zurückzuschließen, soll nicht möglich sein.

Ämter können über diesen Weg personenbezogene Daten aus anderen Bereichen abfragen und mit eigenen Informationen verknüpfen. Dafür erhalten sie von der Registerbehörde in Form der Datenschutzaufsicht einen Schlüssel für einen temporären Zugriff auf konkrete Personenmerkmale aus einem bereichsfremden Register. Dieser Ansatz soll sicherstellen, dass Informationsabrufe zweckgebunden und im Umfang begrenzt sind.

Matthias Daub, der bei McKinsey für den öffentlichen Sektor verantwortlich ist, verdeutlicht diese Lösung an einem konkreten Verfahren. Die Elterngeldbehörde könnte sich so über die zentrale Stelle autorisieren lassen, etwa beim Finanzressort Informationen abzufragen. Im dortigen "Tresor" lägen dann nur Datenbestände, die der Bürger selbst vorher freigegeben habe. Die Elterngeldstelle sei nicht imstande, den Code zu entziffern und gebe ihn verschlüsselt etwa an die Krankenkasse weiter. Diese könne dann die von ihr benötigten Bescheide zurücksenden.

"Es gibt keine zentralen Register, keinen Generalzugang", wirbt Daub für diesen Weg, den auch die Schweiz ähnlich vorexerziere. "Die Daten bleiben in lokalen Verzeichnissen", könnten aber ausgetauscht und verknüpft werden. Auch David Wagner, Referent an dem beteiligten Speyerer Forschungsinstitut, spricht von einem "ausgewieften Modell". Zusätzlich könnte dieses mit einem "Datenschutz-Cockpit" kombiniert werden, das transparent mache, "welche Behörde welche Daten über die Betroffenen erhebt". Ein weiterer Vorteil sei, dass Hacker zunächst nur eine Nummer erhielten und erst den Verschlüsselungsmechanismus knacken sowie es schaffen müssten, formgerecht Anfragen an andere Behörden zu stellen.

In einem parallel vorgelegten rechtlichen Kurzgutachten warnen Wagner, der Vizedirektor des Instituts, Mario Martini, sowie ein weiterer Kollege aber, dass die geheime Stammzahl "alle unter den bereichsspezifischen Personenkennziffern verbundenen Daten verknüpft" und technisch versierten Unbefugten durchaus eine Fläche für komplexe Angriffe mit Folgen bis hin zu Identitätsdiebstahl, finanziellen Verlusten oder Rufschädigungen eröffne. Auch bei dem letztlich wohl tragfähigen "österreichischen Vorbild" verblieben "erhebliche Gefahrenpotenziale".

Eine allgemeine Personenkennziffer schafft den Wissenschaftlern zufolge einen "Zentralschlüssel", um Datenbestände zusammenzuführen und ins Recht auf informationelle Selbstbestimmung der Betroffenen einzugreifen. Auch eine pseudonymisierte bereichsgebundene Kennung vereinfache Missbrauch. Für sich genommen ermögliche sie es dem Staat aber zumindest nicht, "ein Gesamtpersönlichkeitsbild zu entwerfen, das gleichsam das Innerste des Bürgers ausleuchtet". Als "erster Schritt" in diese Richtung sowie als "Vorbereitungsstadium" einer "freiheitsberaubenden digitalen Vermessung" könnte das Merkmal aber trotzdem betrachtet werden, zumal die Schutzmaßnahmen reversibel seien.

Ludewig hofft als Zuständiger für den Bürokratieabbau trotz dieser Bedenken, dass sich mit dem Gutachten der gordische Knoten beim E-Government hierzulande endlich durchschneiden lässt. Einen ersten Kontakt mit der Bundesdatenschutzbehörde habe es in Fragen der Registerintegration schon früh gegeben, Details seien mit den dortigen Experten aber noch nicht besprochen worden. Auch der IT-Planungsrat sei informiert, da Bund, Länder und Kommunen bei dem Vorhaben an einem Strang ziehen müssten. Für die Politik stehe dabei auch "ein Stück Glaubwürdigkeit auf dem Spiel". Schließlich habe die Bundesregierung schon lange versprochen, dass die "Top-100-Dienstleistungen" digitalisiert werden sollten. Im Online-Zugangsgesetz sei inzwischen eine Fünfjahresfrist für alle Verwaltungsservices festgeschrieben.