Einmalzahlung200.deDigitalisierungserfolg auf Kosten des Datenschutzes

Endlich können Studierende und Fachschüler:innen auf einmalzahlung200.de die Energiepreispauschale in Höhe von 200 Euro beantragen. Doch auch wenn die Verantwortlichen das Verfahren überschwänglich loben, bleiben die datenschutzrechtlichen Probleme bestehen. Immerhin gibt es jetzt einen einfachen Weg, seine BundID wieder zu löschen.

Mensch vor einem Laptop, auf dem Bildschirm ist die Webseite einmalzahlung200.de zu sehen; dem Menschen wird angezeigt, er befinde sich im digitalen Warteraum
Besonders in den ersten Tagen war der Andrang auf die Webseite einmalzahlung200.de groß. Viele Studierende und Fachschüler:innen landeten beim Antragstellen erst einmal im virtuellen Warteraum. – Alle Rechte vorbehalten IMAGO / Kirchner-Media

Die Auszahlung der Energiepauschale an Studierende und Fachschüler:innen feiern Verantwortliche als großen Erfolg. Jens Brandenburg (FDP), Parlamentarischer Staatssekretär des Bundesministeriums für Bildung und Forschung (BMBF), bezeichnet das Verfahren als „echte Pionierarbeit“. Lydia Hüskens, Ministerin für Infrastruktur und Digitales Sachsen-Anhalt (MID), lobt, wie schnell die Anträge bearbeitet werden. Und der Bundes-CIO Markus Richter freut sich, dass parallel zu den Antragstellungen die Zahl der BundID-Nutzer:innen auf über eine Million angestiegen ist.

Jene, die die Einmalzahlung in Anspruch nehmen möchten, stimmen jedoch meist nicht in den Lobgesang ein. Über Wochen hatten Studierende und Fachschüler:innen auf die angekündigte Soforthilfe warten müssen. Dabei hatte das Bildungsministerium angesichts steigender Energiepreise eine schnelle und einfache Entlastung versprochen. Allerdings empfanden viele es keineswegs als „einfach“, den Antrag zu stellen – ganz im Gegenteil. Bereits im Vorfeld gab es viel Verwirrung zum Antragsablauf. So erforderte dieser neben einem Zugangscode der jeweiligen Ausbildungsstelle und einer PIN auch ein BundID-Konto. Und als es dann endlich soweit war und seit Mitte März Anträge gestellt werden konnten, war sowohl die Plattform einmalzahlung200.de als auch die Seite der BundID regelmäßig überlastet.

Dass sie dazu gezwungen sind, sich ein BundID-Konto anzulegen, hat nicht nur viele Studierende und Fachschüler:innen verärgert. Auch Expert:innen sehen darin einen datenschutzrechtlichen Verstoß. Die Datenschutzkonferenz (DSK) betont in ihrer Stellungnahme zum Verfahren der Einmalzahlung, dass sie für das Verfahren nicht erforderlich gewesen wäre. Probleme sieht das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder zudem in fehlenden Rechtsgrundlagen, im Sammeln von Daten „auf Vorrat“ und deren massenhaften Abgleich.

Zwangsverpflichtung zur BundID

Für die Verwendung der BundID enthalte das Energiepreispauschalengesetz (EPPSG) keine entsprechende Vorgabe, erklärt Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein und DSK-Vorsitzende. Das Gesetz bildet die Grundlage für die digitale Umsetzung des Verfahrens der Einmalzahlung. Bereits in ihrer Stellungnahme vom Februar riet die DSK, den Zwang zur BundID zu überdenken.

Der Berliner Jurist und Datenschützer Christian Aretz kritisiert am Verfahren, dass es die Verbreitung der BundID „durch die Hintertüre“ ermöglicht hat. Dass eine freiwillige Sache damit zur Pflicht wurde, sei „unredlich und aus datenschutzrechtlicher Sicht unzulässig“. Gemäß Onlinezugangsgesetz (OZG) kann der Staat Bürger:innen zwar zu einer einmaligen Identifizierung verpflichten. Allerdings darf die Speicherung in der BundID dabei nur eine Option sein.

Dass die Einbindung der BundID auch technisch nicht erforderlich war, demonstrierte die IT-Sicherheitsexpertin Lilith Wittmann. Sie hat ein alternatives Verfahren zur Einmalzahlung erstellt, das ohne BundID auskommt. Dafür wäre es aus Sicht des Bundes lediglich nötig gewesen, allen Antragssteller:innen eine PIN zukommen zu lassen, erklärte sie gegenüber netzpolitik.org. „Der Prozess wurde so ja auch von knapp 70 Prozent der Leute mit einer solchen PIN benutzt. Nur mussten die, obwohl sie sich weder per neuem elektronischen Personalausweis noch per Elster identifizierten, eine BundID ohne starke Authentifizierung anlegen. Das aber ist ein Prozess, der aus Sicht für die Nutzer:innen wirklich keinen Sinn ergibt.“

Datenschutzkonferenz prüft Beschwerden

Der Unmut zur Zwangverpflichtung schlägt sich bis zu den Datenschutzaufsichtsbehörden durch. Auf Anfrage teilt das Büro des Landesbeauftragten für den Datenschutz Sachsen-Anhalt mit, dass unter anderem mehrere Beschwerden zur Nutzung der BundID vorlägen.

Auch bei anderen DSK-Mitgliedern seien Beschwerden eingegangen, sagte Hansen gegenüber netzpolitik.org. Ob sich die Datenschutzkonferenz erneut zu dem Antragsverfahren äußern wird, sei noch nicht entschieden. Zunächst müssten die Prüfungen der einzelnen Behörden abgeschlossen sein, insbesondere beim Landesbeauftragten für den Datenschutz Sachsen-Anhalt.

Keine Zeit für Rechtssicherheit

Die Ursache für die datenschutzrechtlichen Probleme sieht Hansen beim „fast schon spartanisch ausgeformten EPPSG“. Das Gesetz enthalte „keine Aussagen zur Verarbeitung, zu etwaigen Eingriffen in die Rechte der Studierenden und Auszubildenden sowie zu den bei jeglichen Eingriffen notwendigen Garantien zum Schutz der betroffenen Personen“. Die Länder, die für die Umsetzung der Einmalzahlung verantwortlich sind, hätten unter anderem zu wenig Zeit gehabt, auf eine Änderung des EPPSG hinzuwirken. Das habe verhindert, ein rechtssicheres Fundament zu schaffen.

Den meisten Gesetzen mangele es an datenschutzrechtlicher Stabilität, merkt auch Christian Aretz an. Das liege unter anderem daran, dass die Landes- und Bundesdatenschutzbeauftragten nicht oder sehr spät in Gesetzgebungsprozesse eingebunden würden. Datenschutzrechtliche Aspekte fänden dann häufig keine Berücksichtigung mehr, so der Jurist.

Datenabgleich in großem Maß

Die DSK kritisiert zudem, dass Studierende und Fachschüler:innen unter Generalverdacht gestellt würden. Denn um mehrfache Auszahlungen an die gleiche Person zu vermeiden, werden alle neuen Anträge mit bereits eingereichten Anträgen abgeglichen. Ein solcher Abgleich „über alle bundesweit gestellten Anträge“ sei für die Auszahlung der Energiepreispauschale jedoch nicht erforderlich, heißt es in der DSK-Stellungnahme. Denn Antragsteller:innen müssen im Laufe des Verfahrens versichern, dass sie zuvor keinen Antrag gestellt haben.

Fragt ein Bundesland ab, ob eine Person bereits einen Antrag in anderen Ländern gestellt hat, würden damit personenbezogene Daten an diese übermittelt. Dazu bräuchte es eine Rechtsgrundlage, die allerdings fehlt. Hansen zufolge sind Datenabgleiche in derart großem Maßstab „ein Eingriff in die Rechte der Bürgerinnen und Bürger. Im vom Parlament beschlossenen EPPSG ist von derartigen Abgleichen jedenfalls nicht die Rede.“

BundID einfach löschen

Studierende und Fachschüler:innen, denen der laxe Umgang mit ihren Daten Sorgen bereitet, können ihr BundID-Konto wieder löschen, sobald die Auszahlung erfolgt ist. Um diesen Vorgang zu erleichtern, haben Wittmann und Aretz die Webseite widerruf200.de aufgesetzt.

Hier können sich Betroffene einen Widerrufstext generieren lassen. Das Angebot sei gerade für all jene interessant, die ihre Zugangsdaten nicht mehr erinnern oder die den aufwändigeren Löschprozess über das BundID-Konto scheuen, so Aretz.

16 Ergänzungen

  1. Aus dem 31. Tätigkeitsbericht Datenschutz 2022 (Hamburg):

    Zitat: „Datenminimierung wird oft als Datensparsamkeit ausgelegt oder synonym verwendet. Dies wird nicht mehr zu halten sein. Eine auf Datengewinnung, Datenteilung und Datennutzung orientierte Gesellschaft kann nicht datensparsam sein. Im Gegenteil, sie sucht den Datenreichtum (nicht die Datenverschwendung).“

    https://datenschutz-hamburg.de/pages/Taetigkeitsbericht_2022/

    1. „Eine auf Datengewinnung, Datenteilung und Datennutzung orientierte Gesellschaft…“ Ist die Gesellschaft darauf orientiert oder ist es vielmehr primär ein wirtschaftliches Interesse und die Gesellschaft nimmt das nur hin? Das auch in diesem Text bepriesene „Gemeinwohl“ ist ja in erster Linie eine hohle Phrase, wenn dieses nur durch wirtschaftliche Gewinne, von denen einige wenige letzten Endes profitieren, definiert wird.

      Aber das ist ja der Kern der Digitalisierung, wie der „BundID“-Zwang es ankündigt: Es wird immer weniger freie Wahl und immer mehr Zwänge geben. Die Gesellschaft akzeptiert wohl oder übel, wie die Digitalisierung primär im kapitalistischen und herrschaftsausübenden Kontext definiert und umgesetzt werden. Und die Politik akzeptiert, dass Grundrechtserosion, wie ein Ende der Unschuldsvermutung, der informationellen Selbstbestimmung, der Schweigepflichten usw. mit der Digitalisierung einhergehen, denn wirtschaftliche Interessen und Konkurrenzfähigkeit sind nun mal wichtiger. Und letzten Endes ist ja auch eine Überwindung der Demokratie keine Unvorstellbarkeit für die Politik mehr, wie uns die „Smart City Charta“ und ähnliche Szenarien zeigen.

  2. Ich kenne einige „Betroffene“ und habe gehört, dass es von vielen Student*innen auch als eine Art Erpessung angesehen wird. „Hol dir die BundID und bekomm 200€ gratis – oder hau ab!“
    Gerade Informatik-Student*innen usw. die bei Datenschutz und den Gefahren digitaler Prozesse besser Bescheid wissen verzichten teilweise lieber auf das Geld.

  3. Es zeigt einfach mal wieder, dass auch „demokratische“ Regierungen an einem wirklichen Datenschutz nicht interessiert sind.
    Auch die „Digitalisierung“ der Behörden läuft über das Endgerät Handy und wird als eine digitale Errungenschaft gefeiert (zB ePA).

    Datenschutz wird es für uns Bürger so lange nicht geben, bis die Datensammelallianz von Kriminellen, Geheimdiensten, Wirtschaft und Staat von Gerichten endgültig beendet wird.
    Das passiert wohl eher nicht.
    Wie nannte es noch die Telekom ? Daten schürfen ist das Gold der Zukunft.

  4. Was ist an der Bund ID jetzt schlechter als Bilder von seinem, Ausweis und die Unterlagen der Unni, die bestätigen das ich Student bin, senden zu müssen? An sich is man sogar Impressumsplichtig wenn man meinungsbildent ist. Also müsste ich und jede/r Andere hier sein Impressum vor dem Komment posten, wenn man nicht über nen Account komentiert wo man das reinsetzen muss. Was nichtmal das Problem ist. Das Impressum ist an sich das erste das ich erstelle wenn ich einen Account mache, bevor ich anfange zu labern. Das Problem sind die anonymen Spinner die einen stalken und scheiße labern oder aus Spaß das Impressum übernehmen, das man spätestens dann zu den Cops muss. Das liese sich so super lösen,das man sich nur mit Perso und Echtnamen im Internet und Portalen anmelden darf, auch auf 4Chan und Eltern müssen halt entscheiden ob ihr Kind die Reife besitzt einen Account haben zu dürfen, mit dem die Eltern mit ihrem Personalausweis gerade stehen. Da wird die Komunikation im Netzt sich rasant ändern.Und zwar zum positiven! Hier habe ich auch meinen Namen und meine E Mail angegeben. Warum soll ich dem Staat mit den Daten weniger vertrauen als Netzpolitik.org, Googel oder Meta etc.?

    1. Nein, es besteht keine Impressumspflicht für Internet-Kommentare.
      Sie haben ihren Namen freiwillig eingegeben. Niemand kann außerdem ohne weiteres überprüfen, ob er echt/korrekt ist oder nicht.
      Die Konzerne Google und Meta unterliegen weitgehend US-Recht. Eine Pflciht zur BundID o.ä. wird sich da nicht erzwingen lassen, außer sie greifen in die Internet-Infrastruktur ein auf einem Level wie China.
      Es ist ein alter Aberglaube dass durch Klarnamenzwang die Kommunikation im Internet sich „bessern“ würde. Schon heute sind nachweislich ein Großteil der Hasskommentare unter Klarnamen verfasst. Süd-Korea hatte übrigens eine Zeit lang Klarnamenpflciht – und hat sie dann wieder abgeschafft, weil der Schaden groß war aber der Nutzen begrenzt.

  5. Muss es unbedingt ein Link zu twitter sein?
    hat Lilli nix anderes wo Sie ihre Erkenntnisse publiziert?
    Ich habe kein Twitter. Aus Gründen.
    BundID ist fail. Aber Twitter ist ok?
    werf H…

    Der musste jetzt mal raus.

    1. Der Link und fediverse ist natürlich netter.

      Aber noch immer kann man Twitter einfach per Browser anonym lesen.

  6. Ich weiß jetzt nicht, was die Löschung des BundIDs noch bringen soll? Die Privatsphäre wurde bereits zerstört mit dem erstmaligen Aufruf dieser mit Spyware durchseuchten Webseite.

    Ich finde, der Bund sollte ja jedem geschädigten Kläger 200€ Schmerzensgeld zahlen aufgrund der Torpedierung des Datenschutzes. Addressen haben die ja schon. :^)

  7. Worin besteht der Erfolg?
    Ist es ein tragfähiges Konzept?
    Vermeidet es Schaden?
    Kann man es essen?

    Nicht dass das so eine Piratendatenschutznummer wird (- jede Runde wird einer am Leben gelassen, um die Geschichte zu erzählen).

  8. An dem Gesetz ist einiges nicht handwerklich gelungen. Aber der Zwang zur Bund.ID wird zu sehr zu einem Problem hochgejazzt. Die Prinzipien der Datenminimierung und -sparsamkeit gelten natürlich, aber eben im Rahmen der Gestaltungsprärogative des Verfahrens. Dem Gesetzgeber steht es frei das Verfahren digital zu gestalten und insofern auf bereits bestehende Infrastruktur zurückzugreifen, zu der die Bund.ID gehört. Es gibt keine grundsätzliche datenschutzrechtliche Verpflichtung die datensparsamste Gestaltung zu wählen, wenn die jeweiligen Gestaltungsoptionen hinsichtlich der verfolgten Ziele nicht vollständig gleichwertig sind. Ansonsten ist es eher eine verfassungsrechtliche Frage und auf der Prüfebene hat der Gesetzgeber nochmal einen größeren Einschätzungsspielraum.

    TL;DR Der Staat könnte sich datenschutzrechtlich (verfassungsrechtlich sind wir ob bestimmter Altersklassen noch nicht so weit) ohne Weiteres komplett von Papier verabschieden und nur noch digitale Wege zulassen, wenn er Lust darauf hätte

    1. „TL;DR Der Staat könnte sich datenschutzrechtlich (verfassungsrechtlich sind wir ob bestimmter Altersklassen noch nicht so weit) ohne Weiteres komplett von Papier verabschieden und nur noch digitale Wege zulassen, wenn er Lust darauf hätte“

      =====

      Eine so stark fortgeschrittene Digitalisierung würde es den Menschen in Deutschland unmöglich machen, ihre ehrliche Meinung über die Diktatoren der Welt frei zu äußern. Ein falsches Wort und deren Black-Hat-Armeen könnten unser öffentliches Leben unnötig schnell und simpel lahmlegen.

      Es ist mir lieber, wenn ein Ransomware-Befall in der Gemeinde Hintertupfingen wirklich nur die Gemeinde Hintertupfingen betrifft.

  9. Kleine Anmerkung zu widerruf200:

    Auf die dort generierte Email erhält man mittlerweile die Antwort, dass die Löschung des BundID- Kontos in dem Portal durchgeführt werden soll. Dafür steht dort ein Button zur Verfügung, über den man das Konto einfach löschen kann. Ist ehrlich gesagt weniger kompliziert, als über widerspruch200. Es sei denn, die Zugangsdaten sind nicht mehr da…

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.