Elektronischen Identitätsnachweis nachhaltig fördern!

MMR 2017, 365    Seit 2010 haben Bürger die Möglichkeit, sich mittels ihres Personalausweises auch online auszuweisen. Hierzu müssen sie bei der Aushändigung des Personalausweises gegenüber der Meldebehörde erklären, dass sie die Funktion des elektronischen Identitätsnachweises nutzen wollen. Die Einrichtung der eID-Funktion soll elektronische Transaktionen sicherer machen. Denn bisher erfolgt der Nachweis der Identität im Geschäftsleben vor allem durch die Eingabe von Passworten. Diese Vorgehensweise ist jedoch anfällig für Angriffe. Die Kriminalstatistiken zeigen, dass der "Passwortdiebstahl" in den letzten Jahren sprunghaft zugenommen hat. Mit der Einführung der eID-Funktion wird staatlicherseits der Versuch unternommen, eine sichere und verlässliche Infrastruktur zur gegenseitigen Identifikation im Internet zur Verfügung zu stellen. Sie basiert auf dem Prinzip einer Zwei-Faktoren-Authentifizierung (Besitz der Karte und Eingabe einer Geheimzahl), das sich vor allem bei Bankgeschäften im Alltag bewährt hat. Mit der eID-Funktion können auch hoheitliche Vorgänge wie z.B. die Anmeldung am neuen Wohnort via Internet sicher durchgeführt werden.

In der Praxis ist jedoch die Akzeptanz dieser Sicherheitsinfrastruktur gering. Nur ein Drittel der Ausweisantragsteller lässt die Funktion überhaupt freischalten. Dafür werden einerseits Kostengründe ins Feld geführt, andererseits dürfte die mangelnde Akzeptanz in der Bevölkerung damit zu tun haben, dass ihr praktischer Nutzen nicht hinreichend kenntlich ist. Es fehlt bisher an Diensten, die durch den Einsatz der eID-Funktion erkennbar einfacher und verlässlicher in Anspruch genommen werden können. Derzeit sind nur ca. 230 Berechtigungszertifikate für Anbieter erteilt worden, wobei sich jeweils die Hälfte auf den öffentlichen und den privaten Sektor verteilt. Mit dem Gesetz zur Förderung des elektronischen Identitätsnachweises (BT-Drs. 18/11279), das der Bundestag am 18.5.2017 beschlossen hat, soll sich das ändern.

Das gesetzgeberische Ziel ist nachhaltig zu unterstützen. Die Digitalisierung von Wirtschaft und Gesellschaft hat rasant an Fahrt aufgenommen. Sichere Vernetzungen und Transaktionen sind eine zentrale Voraussetzung dafür, dass der notwendige Transformationsprozess erfolgreich durchgeführt werden kann. Dazu bedarf es eines angemessenen Schutzes der Bürger, aber auch der Unternehmen, wenn sie online kommunizieren und Transaktionen durchführen. Die Förderung des elektronischen Identitätsnachweises ist hierfür eine wichtige Maßnahme.Um die Akzeptanz auf der "Kundenseite" zu fördern, soll der Personalausweis zukünftig standardmäßig mit der eID-Funktion ausgegeben werden. Der Inhaber des Ausweises kann jederzeit durch einen schlichten Anruf eine Sperrung des elektronischen Identitätsnachweises veranlassen. Die Regelung wird damit im Ergebnis von einer Opt-in-Lösung auf ein Opt-out-Modell umgestellt. In verfassungsrechtlicher Hinsicht ist diese Umstellung unbedenklich. Es handelt sich - wenn überhaupt - um einen marginalen Eingriff in die allgemeine Handlungsfreiheit, da Bürger im Alltag weiterhin selbst entscheiden, ob und wie sie die Funktion nutzen.

Eine weitere Erleichterung strebt der Gesetzgeber auf der "Anbieterseite" an: Derzeit prüft die Vergabestelle, zu welchen Aufgaben oder Geschäftszwecken Daten im Wege des elektronischen Identitätsnachweises beim Inhaber des Personalausweises mittels eines Berechtigungszertifikats angefragt werden sollen. Die Vergabestelle klärt ex ante, ob den Anforderungen an Datenschutz und Datensicherheit Rechnung getragen wird. Zukünftig soll anstelle der bisherigen zweckgebundenen Vergabe eine organisationsbezogene Vergabe erfolgen. Der Diensteanbieter muss nur noch das dem Antrag zu Grunde liegende Interesse an einer Berechtigung darlegen. Begründet wird der Systemwechsel mit dem Ziel der Vereinfachung (BT-Drs. 18/11279, S. 28). Die angestrebte "Vereinfachung" erweist sich bei genauer Betrachtung indessen als Danaergeschenk für die Unternehmen. Die Neuregelung ist nämlich nicht mit einer Absenkung der Standards für den Datenschutz und die Datensicherheit verbunden. Die Unternehmen müssen sie selbstverständlich weiterhin einhalten. Das bisherige Verfahren dient in der Praxis auch der frühzeitigen Sensibilisierung der Antragsteller für die Belange des Datenschutzes und damit proaktiv der Vermeidung späterer datenschutzrechtlicher Beanstandungen. Die Vergabestelle nimmt eine Beratungs- und Servicefunktion wahr, denn die Unternehmen werden über den Rechtsrahmen ihrer zukünftigen Online-Tätigkeit aufgeklärt. Geschäftsmodelle können auf das bestehende Recht von Anfang an eingestellt und spätere Konflikte mit dem Datenschutz verhindert werden. Vieles, was präventiv durch diese Vorprüfung an Unsicherheiten aus dem Wege geräumt werden kann, droht nun nachträglich auf die Unternehmen zurückzufallen. Unternehmen gehen zukünftig ein Risiko ein, bei einer Unterschreitung der Standards von den Datenschutzbehörden ex post sanktioniert zu werden. Kommt es zu einer Sanktionierung, ist diese für die Diensteanbieter regelmäßig mit erheblichen Belastungen finanzieller Art und vor allem mit einem massiven Imageschaden verbunden, der auf die eID-Funktion selbst zurückfallen kann. Die Vermeidung dieser Risiken dürfte den Aufwand, der von den Diensteanbietern im bisherigen Zertifizierungsverfahren aufzubringen ist, wohl rechtfertigen. Aus diesem Grunde sollte an dem bisherigen Verfahren der Erteilung der Berechtigungszertifikate festgehalten werden.

So gut diese Reform gemeint ist - vor übertriebenen Erwartungen ist zu warnen, weil die tatsächlichen Hindernisse für den Gebrauch der eID-Funkion (z.B. unzureichende Mobilfunkanwendungen, zu wenig attraktive Dienste und mangelnde Verankerung im Bewusstsein) weiterhin bestehen. Schaut man sich das Geschäftsleben außerhalb Europas - z.B. in China oder den USA - an, stellt man fest, dass die Identifizierung immer mehr per Mobiltelefon und vorwiegend auf Basis von Fingerprints erfolgt. Diese Welle schwappt nun nach Deutschland. Erst kürzlich hat der chinesische Online-Händler Alibaba erklärt, dass er sein mobilfunkgestütztes Bezahlsystem Alipay bei der Drogeriekette Rossmann einsetzen will. Dem Gesetzgeber wäre daher zu raten, sich zügig auf diese technologische Entwicklung einzustellen und hierfür zeitnah besondere Förderansätze zu entwickeln. Schließlich müssen die neuen technologischen Möglichkeiten "in den Köpfen" verankert werden. Hierfür bedarf es permanenter Information und Schulung. Auf diesen Feldern weist die an sich lobenswerte Strategie der Bundesregierung ein deutliches Defizit auf. Es ist kaum einzusehen, dass für den Breitbandausbau derzeit Milliarden an Fördergeldern vergeben werden, für die Werbung des elektronischen Identitätsnachweises indes nur  3 Mio. zur Verfügung stehen.

Die deutlichste Kritik hat der neu eingefügte § 25 Abs. 2 Satz 4 PAuswG auf sich gezogen. Die Vorschrift berechtigt "die Polizeien des Bundes und der Länder, das Bundesamt für Verfassungsschutz, den Militärischen Abschirmdienst, den Bundesnachrichtendienst sowie die Verfassungsschutzbehörden der Länder" dazu, im Hinblick auf Personalausweise "das Lichtbild zur Erfüllung ihrer Aufgaben im automatisierten Verfahren" abzurufen. Der automatisierte Abruf wird faktisch an keine weiteren Voraussetzungen geknüpft. Bislang sind Polizei- und Ordnungsbehörden zum Abruf im automatisierten Verfahren nur dann befugt, wenn die Personalausweisbehörde auf andere Weise nicht erreichbar ist und ein weiteres Abwarten den Ermittlungszweck gefährden würde. Diese Subsidiaritätsklausel des § 25 Abs. 2 Satz 1 2. Halbs. PAuswG a.F. soll entfallen.

Für die Erweiterung des Kreises der zum Abruf im automatisierten Verfahren befugten Behörden und die Erleichterung des Zugriffs werden in der Gesetzesbegründung gewichtige Gründe angeführt. Rein praktisch ist die Kontaktaufnahme mit der örtlich zuständigen Behörde in den Abendstunden oder am Wochenende häufig gar nicht möglich. Nachvollziehbar ist aus Sicht der Nachrichtendienste auch, dass offene Abfragen den Ermittlungszweck gefährden können, wenn die von der Abfrage betroffenen Personen den Mitarbeitern in den Behörden vor Ort bekannt sind. Indem aber die Abfrage des Lichtbilds im automatisierten Verfahren nur daran geknüpft wird, dass dies für die Erfüllung der Aufgaben der Nachrichtendienste erforderlich ist, wird das automatisierte Verfahren zum Standardverfahren erhoben. Da die Vernetzung der Behörden untereinander heute sehr weit gediehen ist, wird damit eine Situation geschaffen, die funktional dem der Einrichtung einer bundesweiten Datenbank für bestimmte biometrische Merkmale (Lichtbilder) entspricht. § 26 Abs. 4 PAuswG, der ein Verbot der Errichtung einer solchen Datenbank vorsieht, wird damit unterlaufen. Aus diesem Grunde hätte die Subsidiaritätsklausel in angepasster Form beibehalten werden sollen, und zwar auch für die Nachrichtendienste. Entsprechende Subsidiaritätsklauseln - auch in sensiblen Bereichen - sind der Rechtsordnung nicht fremd. Ein Beispiel findet sich u.a. in § 10 Abs. 7 BKAG. Die Abfrage des Lichtbilds im automatisierten Verfahren könnte etwa daran geknüpft werden, dass gerade diese Form der Datenübermittlung "zur Wahrung des Zwecks der Abfrage unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen oder wegen ihrer besonderen Eilbedürftigkeit" angemessen ist. Jedenfalls gilt es nun, durch Verwaltungsvorschriften den Personenkreis einzuschränken, der bei den Sicherheitsbehörden oder Nachrichtendiensten zu einer Abfrage berechtigt sein soll. Bei allem Verständnis für die Belange der Nachrichtendienste in Zeiten des internationalen Terrorismus darf der Datenschutz nicht zu "kleiner Münze" verkommen.

Münster, im Juni 2017

  

Prof. Dr. Bernd Holznagel

 ist Direktor des Instituts für Informations-, Telekommunikations- und Medienrecht (ITM), öffentlich-rechtliche Abteilung, der Westfälischen Wilhelms-Universität Münster und Mitherausgeber der MMR.

Der Beitrag basiert auf einer Stellungnahme für den Innenausschuss des Deutschen Bundestags, die der Autor mit Dr. Marius Stracke, ITM, erstellt hat.

 

 

 


Was ist eigentlich Datenpolitik?

MMR 2017, 281    Das neue Öl, der Rohstoff der Zukunft, das Gold des 21. Jahrhunderts ... Mit schiefen Metaphern wie diesen wird schon seit geraumer Zeit die Bedeutung von Daten im Digitalzeitalter hervorgehoben. Immerhin kommen dabei auch originelle Bilder heraus - z.B., dass Daten wie Uranium seien: "Wenn Du nicht weißt, wie Du damit umgehen musst, lass es lieber! Wenn es entwichen ist, kannst Du es nicht mehr zurückholen! Und: nimm Dich vor den Langzeitfolgen in Acht!"

Im Anschluss an die Konjunktur der Begriffe "Big Data" und "Smart Data" hat es nunmehr "Datenpolitik" in die Charts der Modeworte der Digitalbranche geschafft. "Datenpolitik" schickt sich sogar an, den Begriff "Netzpolitik" als Synonym für Digitalpolitik abzulösen. Leider führt die exponentielle Verwendung von Datenmetaphern meist nicht zu einer Beschäftigung mit der Frage, was Daten eigentlich sind.

Die Datenschutz-Grundverordnung VO (EU) 2016/679 (DS-GVO) definiert personenbezogene Daten als "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen". Der neue Vorschlag der Europäischen Kommission für eine ePrivacy-Verordnung (COM 2017/10) definiert Kommunikationsdaten als "elektronische Kommunikationsinhalte und elektronische Kommunikationsmetadaten". Daten werden also mit Informationen und mit Inhalten gleichgesetzt. Dies wird jedoch den vielgestaltigen Kontexten der Datenverarbeitung und den damit verbundenen höchst unterschiedlichen Risiken für den Betroffenen nicht gerecht.

Mittlerweile liegt eine Vielzahl von Vorschlägen zur Regulierung des Datenverkehrs, des Datenaustauschs und der Datenzugangs- und -verarbeitungsberechtigungen vor, die allesamt ebenfalls eine solche Differenzierung vermissen lassen.

So propagiert die Europäische Kommission in ihrer Mitteilung zum Aufbau einer europäischen Datenwirtschaft (COM 2017/9) den Grundsatz des "Free Flow of Data". Sie will damit die europäische Cloud-Wirtschaft fördern. Es soll innerhalb der EU grundsätzlich keine Rolle mehr spielen, wo Daten gespeichert werden. Das Ansinnen der Kommission richtet sich in erster Linie gegen Datenlokalisationsvorschriften der Mitgliedstaaten. Gleichzeitig soll der "Free Flow of Data" auch in den Freihandelsabkommen der EU mit Drittstaaten verankert werden.

In welchem Verhältnis der "Free Flow of Data" zum Grundsatz des freien Verkehrs personenbezogener Daten steht, der schon lange Bestandteil des EU-Primärrechts (Art. 16 AEUV) und des EU-Sekundärrechts (zuletzt RL 95/46/EG - DS-RL, nunmehr auch DS-GVO) ist, ist unklar. Klar ist nur, dass dieser Grundsatz datenschutzrechtlich motivierte Regelungen der Mitgliedstaaten verbietet, die sich als Handelshemmnisse darstellen. Mit dem "Free Flow of Data" werden aber auch anders motivierte nationale Regelungen in den Blick genommen. Doch gibt es dafür nicht schon die EU-Dienstleistungsfreiheit, die eingreift, wenn Daten im Zusammenhang mit einer Dienstleistung grenzüberschreitend übermittelt werden? Dringt die Europäische Kommission mit ihrem Vorschlag durch, könnte sie ihre Kompetenz bis tief in die Verwaltungsorganisationshoheit der Mitgliedstaaten erweitern. Denn dann dürfte auch die Verwaltung nicht mehr festlegen, dass Daten im jeweils eigenen Hoheitsgebiet gespeichert werden müssen. Allerdings wäre dafür wohl eine - derzeit recht unwahrscheinliche - Änderung der EU-Verträge erforderlich.

In die Richtung von Offenheit und Transparenz geht auch der "Open Data"-Gedanke. Hier befindet sich in Deutschland gerade ein Gesetz im parlamentarischen Verfahren, das die verpflichtende Veröffentlichung von Behördendaten zum Regelfall erklärt. Es besteht die Hoffnung, dass Wirtschaft, Wissenschaft und Zivilgesellschaft aus frei zugänglichen und nutzbaren Daten Mehrwerte schaffen.

Einen Mehrwert ganz anderer Art soll das "Once only"-Prinzip bringen. Dahinter steht die Idee, dass jeder Bürger nur noch einmal im Leben Kerndaten gegenüber der Verwaltung preisgeben und dass er dann für weitere Verwaltungsleistungen nicht jedes Mal wieder ein neues Formular ausfüllen muss. "Once only" ist eines von sieben Prinzipien im eGovernment Action-Plan der Europäischen Kommission. Derzeit laufen auf EU-Ebene Pilotprojekte.

Leicht konträr zu der Idee des freien Datenflusses verläuft die Diskussion über die Frage des Dateneigentums. Viele Vorschläge stehen hier im Raum. Manche wollen zivilrechtliche Eigentumsrechte an Daten verteilen (z.B. Hoeren, MMR 2016, 8). Andere wollen analog dem Urheberrecht Verwertungsrechte an Daten schaffen (z.B. Wandtke, MMR 2017, 6). Wieder andere wollen ein "data producer right" (wie z.B. Fezer, MMR 2017, 3).

In Richtung einer Kommerzialisierbarkeit von Daten geht der Vorschlag der Europäischen Kommission für eine Richtlinie für die Bereitstellung digitaler Inhalte im Vertragsrecht (COM 2015/634), der seit mehr als einem Jahr verhandelt wird. In dieser verbraucherschutzrechtlich motivierten Richtlinie soll die angebliche Tatsache, dass wir alle im Netz mit "unseren" Daten für vermeintlich kostenlose Dienste "bezahlen", rechtlich anerkannt werden. Verbraucher sollen neue Gewährleistungsrechte (wie etwa einen Nacherfüllungsanspruch oder einen Anspruch auf Sicherheits-Updates) erhalten, wenn sie Dienste in Anspruch nehmen, bei denen "Daten als Entgelt" fungieren.

Ersichtlich verfolgt dieses Rechtsetzungsvorhaben auch das psychologische Ziel, dem Verbraucher klarzumachen, dass er dem Anbieter im Austausch für kostenlose Dienstleistungen etwas Wertvolles zur Verfügung stellt. Ob die Gegenleistung wirklich in Daten besteht oder nicht vielmehr in der Einwilligung in die Nutzbarkeit der Daten, mag an dieser Stelle dahinstehen. Jedenfalls sind hier noch viele Fragen offen. Insbesondere die Abgrenzung zum Datenschutzrecht fällt schwer. Zuletzt hat der Europäische Datenschutzbeauftragte Buttarelli schwere Bedenken gegen das Konzept "Daten als Entgelt" erhoben und vorgeschlagen, man solle doch auf den Begriff verzichten, dem Verbraucher aber gleichwohl die entsprechenden Gewährleistungsrechte einräumen (also schon dann, wenn ihm ein Service zur Verfügung gestellt wird).

Beim Thema Dateneigentum könnte eine Allianz von Verbraucherschützern mit Teilen der Wirtschaft entstehen. Die einen wollen, dass personenbezogene Daten kommerzialisierbar werden; die anderen beanspruchen Schutzrechte für die von ihnen produzierten Maschinen- und Sensordaten. Wenn aber jeder jederzeit jedermann von der Nutzung "seiner" Daten ausschließen kann, drohen nicht nur Überregulierung und Datenprotektionismus. Auch die Kommunikationsfreiheiten, die vom Informationsaustausch leben, sind in Gefahr. Wenn jeder "seine" Daten verkaufen kann, besteht außerdem die Gefahr des Ausverkaufs der Privatsphäre. Denn dann kann sich irgendwann nur noch der Wohlhabende Zurückhaltung leisten, während der wirtschaftlich Schwache zum Verkauf "seiner" Daten faktisch gezwungen ist.

Auf einem anderen datenpolitischen Schlachtfeld wird der Kampf um Begriffe ausgetragen. Während die einen die Grundsätze der Datensparsamkeit bzw. Datenminimierung hochhalten (und damit gegen alle Anfechtungen der Realität in der DS-GVO durchgedrungen sind), versuchen die anderen, positiv konnotierte Begriffe wie "Datenreichtum" oder "Datenvielfalt" entgegenzusetzen. Zuletzt wird immer häufiger der Begriff der "Datensouveränität" ins Spiel gebracht, ohne dass klar würde, was damit genau gemeint sein soll.

Ein Grund für die vielen Regelungsideen könnte das Unbehagen sein, dass das Datenschutzrecht die Hauptsteuerungsressource für die Datenverwendung ist. Auch wenn sich wenige trauen, dies offen auszusprechen, so könnte es doch sein, dass sich das Datenschutzrecht auf einem Irrweg befindet (lesenswert hierzu Bernd Lutterbeck, Das informationelle Selbstbestimmungsrecht auf dem Prüfstand, 2010, und Hans-Peter Bull, Vom Sinn und Unsinn des Datenschutzrechts, 2015).

Das BVerfG hat in seinem Volkszählungsurteil (BVerfGE 65, 1) eine Aussage getroffen, die bei jeder etwaigen Datenregulierung berücksichtigt werden sollte. Ich meine damit nicht den vom BVerfG postulierten Anspruch des Einzelnen, jederzeit wissen zu können, wer was wann und bei welcher Gelegenheit über ihn weiß. Das war schon 1983 illusionär. Weise ist vielmehr die folgende Aussage des BVerfG: "Der Einzelne hat nicht ein Recht im Sinne einer absoluten, uneinschränkbaren Herrschaft über ,seine` Daten; er ist vielmehr eine sich innerhalb der sozialen Gemeinschaft entfaltende, auf Kommunikation angewiesene Persönlichkeit. Information, auch soweit sie personenbezogen ist, stellt ein Abbild sozialer Realität dar, das nicht ausschließlich dem Betroffenen allein zugeordnet werden kann. .... Grundsätzlich muß daher der Einzelne Einschränkungen seines Rechts auf informationelle Selbstbestimmung im überwiegenden Allgemeininteresse hinnehmen."

Es wäre viel gewonnen, wenn dieser Satz in der zukünftigen Datenpolitik beherzigt würde. Wenn dann noch das Risiko der Datenverarbeitung und der Nutzen für den Einzelnen und die Allgemeinheit stärker in die Überlegungen zur Zulässigkeit der Datenverarbeitung einbezogen würden, könnte den paternalistischen Tendenzen des geltenden Datenschutzrechts und den neoliberalen Tendenzen der Ideen von Dateneigentum und freiem Datenfluss Einhalt geboten werden.

Berlin, im Mai 2017

 

 

Dr. Winfried Veil

ist Referent im Referat IT I 1 (Digitale Agenda; Grundsatz- und Rechtsangelegenheiten der IT und Digitalisierung) im Bundesministerium des Innern.

 

Der Beitrag gibt ausschließlich die persönliche Meinung des Autors wieder.