RegistermodernisierungAutomatisierung auf Kosten der Sicherheit

Die Bundesregierung entschied sich mit dem Registermodernisierungsgesetz Anfang 2021 dagegen, die Sicherheit von Daten und Personen an die erste Stelle zu setzen. Das zeigen Dokumente aus einer IFG-Anfrage. Dabei hätte es datenschutzfreundliche Alternativen gegeben, etwa zum einheitlichen Personenkennzeichen oder zum Umgang mit der Auskunftssperre.

scharz-gelbe Sicherheitsmarkierung auf Metall mit leichten Rostspuren
Mit den Regelungen des Registermodernisierungsgesetzes hat der Gesetzgeber Sicherheitsrisiken in Kauf genommen. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Pop&Zebra/Unsplash

Mit dem Registermodernisierungsgesetz von 2021 haben Bund und Länder angeführte Sicherheitsbedenken bewusst ausgeschlagen. Das belegen die Dokumente einer IFG-Anfrage der Sicherheitsforscherin Lilith Wittmann auf der Plattform FragDenStaat. E-Mails, Broschüren und Gutachten rund um das Gesetzgebungsverfahren zeigen: Öffentlichen Stellen haben es offenbar vorgezogen, Verwaltungsprozesse überstürzt zu automatisieren, als personenbezogene Daten zu schützen.

Konkret lässt sich dies an zwei Beispielen nachvollziehen: erstens an der Entscheidung für ein numerisches Personenkennzeichen und zweitens an der Diskussion zum Umgang mit der Auskunftssperre. In beiden Fällen lehnte die Bundesregierung sicherere Alternativen mit dem Hinweis ab, dass diese zu teuer und zu komplex seien. Diese Entscheidungen gehen aber nicht nur auf Kosten des Datenschutzes, sondern stellen potentiell auch eine Gefahr für Leib und Leben einzelner Personen dar.

Eine ID, sie alle zu sichten

Das numerische Personenkennzeichen soll es Behörden ermöglichen, die Daten von Bürger:innen, Unternehmen und Organisationen, die in unterschiedlichen Registern gespeichert sind, leichter miteinander zu verknüpfen und untereinander auszutauschen. Konkret geht es dabei etwa um Daten, die im Melde-, Ausländerzentralregister (ARZ) oder auch in Versichertenverzeichnissen der Krankenkassen hinterlegt sind.

Erst im vergangenen Juni entschied die Ampel-Regierung, künftig die Steueridentifikationsnummer (Steuer-ID) als übergreifendes Personenkennzeichen zu nutzen. Damit stützt sie sich auf Artikel 1 des RegMoG, dem Gesetz zur Einführung und Verwendung einer Identifikationsnummer in der öffentlichen Verwaltung (Identifikationsnummerngesetz oder auch IDNrG).

Der Bund bewirbt die Regelung zum Personenkennzeichen mit dem sogenannten Once-Only-Prinzip. Die Idee dahinter: Bürger:innen, Unternehmen und Organisationen übermitteln den Behörden ihre Daten nur ein einziges Mal, während diese fortan für jeden Verwaltungsvorgang erneut darauf zugreifen dürfen.

Dafür stellt der Bund das zentrale IT-System mit dem Bundesverwaltungsamt (BVA) als Registermodernisierungsbehörde bereit. Das BVA vermittelt die Datenabfragen zwischen den registerführenden Behörden und dem Bundeszentralamt für Steuern (BZSt), das die Steuer-IDs in einer Datenbank führt. Zu den sogenannten Basisdaten gehören unter anderem der Familienname, Vorname, Tag und Ort der Geburt, das Geschlecht, die Staatsangehörigkeiten sowie die letzte bekannte Anschrift.

Mit Hilfe der Steuer-ID sollen Bürger:innen, Unternehmen und Organisationen rascher Anträge beantragen und Verwaltungen diese schneller bearbeiten können. Allen Beteiligten verspricht sie demnach weniger Aufwand. Das klingt zunächst vielversprechend, allerdings geht es bei alledem auch um die Sicherheit sensibler Daten jeder einzelnen Person, die hierzulande lebt. Und diese Daten sind potentiell einem höheren Risiko ausgesetzt, geleakt und missbraucht zu werden, wenn sie miteinander über verschiedene Register hinweg mittels einer Kennziffer verknüpft sind.

Die Bundesregierung hat eine sicherere Alternative verworfen

Kritiker:innen äußerten schon lange vor Inkrafttreten des RegMoG verfassungsrechtliche Bedenken. Sie befürchten obendrein gläserne Bürger:innen, wenn mittels eines einzigen Personenkennzeichens technisch alle Daten einer Person zusammengeführt werden können. Eine solche Profilbildung greife tief in das Recht auf Privatheit ein.

Nun zeigt sich: Die Bedenken hätte die Bundesregierung mindestens in Teilen ausräumen können. Denn ihr lag eine sicherere Alternative zur Nutzung der Steuer-ID als Personenkennzeichen vor. Diese Alternative hat sie jedoch bewusst verworfen, wie die von Wittmann befreiten Dokumente belegen.

Unter den Dokumenten findet sich eine Präsentation, die ein solches alternatives Modell vorstellt. Darin werden personenbezogene Daten nicht unter der Steuer-ID gespeichert. Stattdessen erhalten die Datensätze einer Person in verschiedenen Registern unterschiedliche IDs. Dem sogenannten Domänen-ID-Modell bescheinigte die Regierung allerdings eine Absage. Das Modell sei „nur sehr schwer umzusetzen“ und zu teuer, so die Begründung. Dabei hätte es laut Präsentation mit den verfügbaren Mitteln, vorhandenen Infrastrukturen und bestehenden rechtlichen Voraussetzungen gute Chancen auf Erfolg gehabt.

So funktioniert das Domänen-ID-Modell

Das Domänen-ID-Modell beruht darauf, dass es die einzelnen Register unterschiedlichen Bereichen – oder „Domänen“ – und damit bereichsspezifischen IDs zuordnet. In jeder Domäne wird einzelnen Person in den jeweiligen Registern eine eindeutige Domänen-ID zugewiesen. Dieses Modell ist damit auf die Steuer-ID als zentrale Kennziffer nicht angewiesen und damit sicherer als dieses.

Das Domänen-ID-Modell könnte vorsehen, dass das BVA eine Datei verwaltet, die die IDs zu jeder Person verschlüsselt enthält. Kommunizieren Domänen miteinander, übersetzt das BVA die angeforderten Daten.

Das Domänen-ID-Modell trennt damit gezielt die jeweiligen Domänen und die Personendaten. Es erlaubt eine domänenübergreifende Kommunikation ohne ständiges Abfragen beim Bundeszentralamt für Steuern (BZSt). Ein vergleichbares Modell wird bereits in Österreich eingesetzt.

Achtung, Auskunftssperre!

Eine weitere Regelung des RegMoGs gefährdet nicht nur den Datenschutz, sondern kann gar zu einer Gefahr für Leib und Leben einzelner Bürger:innen werden.

Denn das Gesetz sieht vor, dass Behörden Auskunft darüber erhalten, wenn eine Person eine Auskunftssperre bewilligt bekommen hat. Auskunftssperren oder auch Meldesperren können Privatpersonen beim Einwohnermeldeamt beantragen, wenn sie sich als bedroht erachten, etwa weil sie auf einer Todesliste von Rechtsextremen stehen oder vor gewalttätigen Ex-Partner:innen fliehen.

Unter den Basisdaten, wie sie eine Webseite des Bundesinnenministeriums (BMI) auflistet, findet sich jedoch auch der Punkt „Auskunftssperren nach dem Bundesmeldegesetz“. Allein diese Information stellt für die Betroffenen potentiell ein Risiko dar.

Soweit wäre es nicht gekommen, wenn sich ein Antrag der Länder Nordrhein-Westfalen und Schleswig-Holstein durchgesetzt hätte. Ende 2020, also während des laufenden Gesetzgebungsverfahrens zur Registermodernisierung, stellten sie im Bundesrat den Antrag an die Regierung, den Gesetzestext anzupassen.

Die beiden Länder kritisierten, dass eine Behörde erfährt, wenn es zu einer Person eine melderechtliche Auskunftssperre gibt, sobald diese Daten zu dieser Person bei der Registermodernisierungsbehörde anfragt. Bei Datenanfragen an die Meldebehörde ist das datensparsamer gelöst: „Ruft dieselbe Behörde die Daten zur Person bei der Meldebehörde ab, erhält sie eine Mitteilung, die keine Rückschlüsse darauf zulässt, ob zu der betroffenen Person keine Daten vorhanden sind oder ob eine Auskunftssperre besteht.“

Drohender Missbrauch

Aus Sicht beider Länder unterläuft die neue Regelung das melderechtlich etablierte Verfahren und berge die Gefahr, dass „das aufwendige Verfahren des Meldewesens zum Schutz des Lebens der betroffenen Personen ad absurdum geführt wird“. NRW und Schleswig-Holstein warnten auch eindringlich vor einem möglichen Missbrauch der Steuer-ID. Das sei zwar verboten, doch könne das Verbot die Gefahr nicht abwenden, dass sich Beschäftigte Datensätze verschaffen:

„Dass die Daten anfragende Stelle verpflichtet ist, die Auskunftssperre zu beachten und dass der Missbrauch der Steuer-ID unter Strafe gestellt wird, vermag der Gefahr eines Ausspähens des Melderegisters angesichts der unkontrollierbar großen Anzahl von Beschäftigten in den zahlreichen registerführenden Behörden nicht wirksam zu begegnen.“

Mitarbeitende in den Behörden, die mit sensiblen Daten umgehen, sind verpflichtet, die Sperre zu beachten. Technisch hindert sie allerdings nichts daran, auf Daten zuzugreifen, die außerhalb ihrer Befugnis liegen. Die Gefahr eines Missbrauchs ist damit jederzeit gegeben.

Der Antrag war nicht erfolgreich, was die Bundesregierung damit begründete, dass eine entsprechende Lösung zu komplex und die Belastung des Bundeszentralamts für Steuern (BZSt) zu groß seien. Man wolle stattdessen eine Regelung suchen, die eine durchgängige Automatisierung ermöglicht. Auf Anfrage von netzpolitik.org hat sich das BMI dazu nicht gesondert geäußert.

Der Wunsch, Verwaltungsprozesse zu automatisieren, ist angesichts der schleppenden Verwaltungsdigitalisierung nachvollziehbar. Wenn Verwaltungsvorgänge nicht länger darauf angewiesen sind, dass sich Mitarbeitende um diese kümmern, würde vieles einfacher und schneller ablaufen. Automatisierung aber um jeden Preis anzustreben, kommt die Bürger:innen unter Umständen teuer zu stehen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

1 Ergänzungen

  1. Ist ja nichts neues, Sollbruchstellen und Schwachstellen einzubauen, um später Ansatzpunkte für unvorhergesehene Nutzungen und plausible deniability zu haben.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.