Dieser Artikel ist ein Gastbeitrag von Haley F. Sanders
An diesem Freitag findet im Bundesministerium für Wirtschaft und Energie ab 10:30 Uhr eine mündliche Anhörung von Verbänden und Fachkreisen zu einem Referentenentwurf statt. Dieser Entwurf soll das regeln, was die EU-Verordnung Nr. 910/2014 – die sogenannte eIDAS-Verordnung über „elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“ – noch offen lässt oder was nationalstaatlich auslegungsbedürftig erscheint. Gleichzeitig soll damit das seit Jahren geltende Signaturgesetz endgültig beerdigt werden.
Die eIDAS-Verordung gilt seit dem 01. Juli 2016 und regelt EU-weit einheitlich die Anforderungen an elektronische Vertrauensdienste. Dazu zählen: elektronische Signaturen, Siegel, Zeitstempel, Zustelldienste und die Webseitenauthentifizierung. Vorgebliches Ziel war, das Vertrauen der EU-Bürger in die grenzüberschreitende Anwendung elektronischer Dienste und damit den digitalen Binnenmarkt zu stärken. Doch auch die Geheimdienste und andere Bedarfsträger können sich über neue Datenquellen freuen.
Siegel soll Unternehmen und Behörden entlasten
Die Bundesregierung in Gestalt des federführenden Bundesministeriums für Wirtschaft und Energie plant daher zweierlei: einerseits sollen mit dem Vertrauensdienstegesetz die Zuständigkeiten und Befugnisse der beteiligten Behörden geregelt und die eIDAS-Verordnung im „unionsrechtlich zulässigen Umfang“ präzisiert werden. Andererseits müssen für den Wegfall des Signaturgesetztes vorhandene Verweise in anderen Gesetzen angepasst werden. Außerdem will das Ministerium erstmals Anwendungsmöglichkeiten für das elektronische Siegel schaffen.
Das Siegel soll personenunabhängig ermöglichen, rechtsverbindlich die Unversehrtheit von Daten und die Richtigkeit ihrer Herkunft zu beweisen, was bisher qualifizierten elektronischen Signaturen vorbehalten war. Man erhofft sich dadurch im Zuge der fortschreitenden Digitalisierung eine erhebliche Entlastung für Unternehmen und Behörden.
Geheimdienste dürfen Daten bei Vertrauensdiensten anfragen
Doch im Entwurf für das neue Vertrauensdienstegesetz stecken die gleichen Problemklauseln, die bereits das alte Signaturgesetz für die hiesigen Geheimdienste vorgesehen hatte. So soll laut noch nicht veröffentlichtem Referentenentwurf der neue § 7 Vertrauensdienstegesetz – zynischerweise unter der Überschrift „Datenschutz“ – lauten:
(1) Der Vertrauensdiensteanbieter nach Artikel 3 Nummer 16 der Verordnung (EU) 910/2014 darf personenbezogene Daten nach diesem Gesetz nur unmittelbar bei der betroffenen Person selbst erheben und nur insoweit verarbeiten, als dies für die Erbringung des jeweiligen Vertrauensdienstes erforderlich ist. Eine Datenverarbeitung bei Dritten ist nur mit Einwilligung der betroffenen Person zulässig. Für andere als die in Satz 1 genannten Zwecke dürfen Daten nach diesem Gesetz nur verwendet werden, wenn dieses Gesetz es erlaubt oder die betroffene Person eingewilligt hat.
(2) Der Vertrauensdiensteanbieter hat personenbezogene Daten einer Person, die Vertrauensdienste nutzt, den zuständigen Stellen auf Ersuchen zu übermitteln,
- soweit die Übermittlung erforderlich ist für die Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder für die Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes, des Militärischen Abschirmdienstes oder der Finanzbehörden oder
- soweit Gerichte die Übermittlung im Rahmen anhängiger Verfahren nach Maßgabe der hierfür geltenden Bestimmungen anordnen.
Die Pflicht zur Datenübermittlung nach Satz 1 Nummer 1 gilt nicht, soweit sie durch andere Gesetze ausdrücklich ausgeschlossen ist.
(3) Die Vertrauensdiensteanbieter haben die Übermittlung zu dokumentieren. Die Dokumentation ist zwölf Monate aufzubewahren.
(4) Die ersuchende Behörde hat die betroffene Person über die Übermittlung der Daten zu unterrichten. Von der Unterrichtung kann abgesehen werden, solange die Wahrnehmung der gesetzlichen Aufgaben beeinträchtigt würde oder das Interesse der betroffenen Person an der Unterrichtung nicht überwiegt.
(5) Die allgemeinen Datenschutzanforderungen bleiben unberührt.
Benachrichtigungspflicht wird ausgehöhlt
Die bisher ohnehin lasche Benachrichtungspflicht wird durch die neue Formulierung im vierten Absatz noch absurder. Das Signaturgesetz sah hier vor:
Die ersuchende Behörde hat den Signaturschlüssel-Inhaber über die Übermittelung der Daten zu unterrichten, sobald dadurch die Wahrnehmung der gesetzlichen Aufgaben nicht mehr beeinträchtigt wird oder wenn das Interesse des Signaturschlüssel-Inhabers an der Unterrichtung überwiegt.
Diese durchaus verständliche Logik, das insbesondere bei einem überwiegenden Interesse des/der Betroffenen unterrichtet wird, zum Beispiel weil dadurch seine/ihre Pseudonyme oder möglicherweise sogar geheime Schlüssel in die Verfügungsgewalt staatlicher Stellen gelangen, wird durch die neue Formulierung auf den Kopf gestellt.
Es ist also davon auszugehen, dass zukünftig – mindestens durch die Geheimdienste, möglicherweise aber auch durch zugangsbefugte Gefahrenabwehr- und Strafverfolgungsbehörden – überhaupt keine Unterrichtung mehr geschieht. Nach diesem datenschutzfeindlichen Missgriff ist nicht verwunderlich, dass für Verstöße gegen einzelne Absätze des oben zitierten Paragrafen natürlich keine Bußgeld- oder Strafvorschriften vorgesehen sind.