Bundesrat stimmt Registermodernisierungsgesetz (ReGMoG) zu: Ein digitaler Meilenstein oder ein Schritt hin zum „Gläsernen Bürger“?
Eine effiziente Verwaltung kann es nicht um den Preis des „Rechts auf Informationelle Selbstbestimmung“ (Art. 2 Abs. 1, Art. 1 Abs. 1 GG) geben, das hat das Bundesverfassungsgericht bereits im Rahmen des Volkszählungsurteils (1983) deutlich aufgezeigt. Allerdings ist eine funktionierende Verwaltung für den Rechtsstaat obligatorisch. Und so muss auch die Verwaltung digital(er) werden. Diesem Zweck dienen eine Reihe von Gesetzen wie das Onlinezugangsgesetz (OZG) und das Registermodernisierungsgesetz (ReGMoG).
Digitalisierung auf der einen und Datenschutz auf der anderen Seite müssen also in Einklang gebracht werden. Dies ist eine nicht ganz einfache Aufgabe, vor allem nicht für die Legislative, wie eine Reihe von Urteilen des Bundesverfassungsgerichts zeigt.
Der wohl zentralste Teil des Registermodernisierungsgesetzes (ReGMoG) ist das Identifikationsnummerngesetz (IDNrG), auf das im Folgenden sogleich konkreter eingegangen werden und diesbezüglich die Frage beantwortet werden soll, ob der Einklang im obigen Sinne (diesmal) gelungen ist.
Inhalt des Registermodernisierungsgesetz (ReGMoG)
Neben der zentralen Einführung des Gesetzes zur Einführung und Verwendung einer Identifikationsnummer in der öffentlichen Verwaltung (IDNrG) enthält das Gesetzespaket eine Vielzahl von Gesetzesänderungen, die kurz dargestellt werden sollen:
· Änderung des Onlinezugangsgesetzes
· Änderung der Abgabenordnung
· Änderung des Bundesmeldegesetzes
· Änderung des Personenstandsgesetzes
· Änderung des AZR-Gesetzes
· Änderung des Passgesetzes
· Änderung des Personalausweisgesetzes
· Änderung des eID-Karte-Gesetzes
· Änderung des Staatsangehörigkeitsgesetzes
· Änderung des 5. Buches Sozialgesetzbuch Gesetzliche Krankenversicherung
· Änderung des 6. Buches Sozialgesetzbuchs Gesetzliche Rentenversicherung
· Änderung des 7. Buches Sozialgesetzbuchs Gesetzliche Unfallversicherung
· Änderung des 10. Buches Sozialgesetzbuchs Sozialverwaltungsverfahren und Sozialdatenschutz
· Änderung des 11. Buches Sozialgesetzbuchs Soziale Pflegeversicherung
· Änderung des Berufsbildungsgesetzes
· Änderung des Gesetzes zur vorläufigen Regelung des Rechts der Industrie- und Handelskammern
· Änderung der Handwerksordnung
· Änderung der Personenstandsverordnung
· Änderung der AZRG-Durchführungsverordnung
Hintergrund
Das Identifikationsnummerngesetz (IDNrG) ist wie Anfangs erwähnt Teil des Registermodernisierungsgesetz (ReGMoG), das wiederrum auf einen Gesetzesentwurf der Bundesregierung basiert. Im Folgenden soll zunächst auf die Erwägungsgründe eingegangen werden:
Digitalisierung der Verwaltung: Problem der Qualität und Ineffizienz
Durch das Onlinezugangsgesetz (OZG) werden Bund, Länder und Kommunen verpflichtet ihre Verwaltungsleistungen bis Ende 2022 digital anzubieten. Dies kann durchaus als Grundbaustein der Digitalisierung der Verwaltung gesehen werden. Damit ist die Digitalisierung der Verwaltung jedoch nicht beendet. Im Rahmen dessen zeigen bzw. entstehen neue Probleme. Ein Beispiel ist die Qualität der Daten und die Ineffizienz.
Die Speicherung von Daten natürlicher Personen in Deutschland ist im Rahmen der Verwaltung gemäß den föderalen Strukturen bzw. fachlichen Zuständigkeiten überwiegend dezentral organisiert. Laut dem Nationalen Normenkontrollrat (NKR), einem unabhängigen Beratungsgremium der Bundesregierung, gibt es ca. 220 zentrale bzw. dezentrale Datenregister. Dies hat zur Folge, dass Bürger bei Kontakt mit der Verwaltung, beispielweise bei der Beantragung von Leistungen (z.B. Baugenehmigungen) wiederholt die gleichen Daten angeben müssen, die gegenüber der Verwaltung an anderer Stelle und im Rahmen eines anderen Sachverhalts bereits angegeben wurden. Diese sich wiederholende Datenerhebung ist nicht nur ineffizient, sondern auch kostenpflichtig und deren Sinnhaftigkeit nur schwerlich der Bevölkerung zu vermitteln. Häufig werden auch personenbezogene Daten, wie beispielweise die aktuelle Anschrift oder das Geburtsdatum einer Person nur zu Zwecken der Identifikation übermittelt, obwohl sie für die eigentliche Aufgabenwahrnehmung entbehrlich sind. Aber auch das Vorliegen jeweils aktueller bzw. richtiger personenbezogener Daten ist eine Notwendigkeit. Im Rahmen der digitalen Kommunikation zwischen Bürger und Verwaltung muss gewährleistet werden, dass Personenverwechslungen ausgeschlossen und vorhandene Datenbestände in den Registern den betroffenen Bürgerinnen und Bürgern fehlerfrei zugeordnet werden können. Allerdings kann es aufgrund verschiedener Ursachen wie zum Beispiel Namensverwechselungen oder unterschiedliche Aktualitätsabfragungen dazu kommen, dass demselben Bürger in den einzelnen Fachregistern der Verwaltungsbereiche verschiedene Daten zugewiesen werden. All das erschwert also die Digitalisierung der Verwaltungsleistungen.
Eine Lösung könnte ein registerübergreifendes Management mit einem eindeutigen und ständigen Ordnungsmerkmal, mit dem ein Stamm von Basisdaten verknüpft ist, deren Qualität und Richtigkeit gewährleistet ist, sein. Ein solches Register übergreifende Organisation könnte die Basis für die Verminderung von Fehlern und Verwaltungsaufwand sein und somit Bürokratie abbauen und folglich Bürgerinnen bzw. Bürger von bislang erforderlichen Befragungen entlasten.
Die Steuer-ID als Ordnungsmerkmal
Fraglich ist, was als Ordnungsmerkmal im obigen Sinne herangezogen werden kann. Dabei zeigt der neue § 1 IDNrG, dass das Rad nicht neu erfunden werden muss:
Nach § 1 Abs. 1 IDNrG soll die Steuer-ID (§ 139b AO) als zusätzliches Ordnungsmerkmal in die sich aus der Anlage 1 des IDNrG ergebenden Register eingeführt werden, um die sog. Basisdaten einer natürlichen Person in einem Verwaltungsverfahren eindeutig zuzuordnen, die Qualität der Daten der zu einer natürlichen Person gespeicherten Daten zu verbessern, sowie die erneute Beibringung von bei öffentlichen Stellen bereits vorhandenen Daten durch die betroffene Person zu verringern.
Basisdaten sind nach § 4 Abs. 2 S. 2 IDNrG Steuer-Identifikationsnummer, der Familienname, frühere Namen, Vornamen, Doktorgrad, Tag und Ort der Geburt, Geschlecht, Staatsangehörigkeiten, gegenwärtige oder letzte bekannte Anschrift, Sterbetag und Tag des Einzugs und des Auszugs.
Register iSd § 4 Abs. 2 S. 2 IDNrG sind u.a. das Melderegister, das Personenstandsregister, das Ausländerzentralregister, die Stammsatzdatei der Datenstelle der Rentenversicherung gemäß § 150 des 6. Buches Sozialgesetzbuch, Versichertenkonten der Rentenversicherungsträger gemäß § 149 des 6. Buches Sozialgesetzbuch, das zentrales Verzeichnis der Unternehmerdaten der Deutschen Gesetzlichen Unfallversicherung, das zentrales Fahrzeugregister, das zentrales Fahrerlaubnisregister, das Fahreignungsregister, das Personalausweisregister, das Passregister, die Ausländerdateien nach § 62 der Aufenthaltsverordnung, das Versichertenverzeichnis der Krankenkassen, das Bundeszentralregister, das nationale Waffenregister, das Verzeichnis der gemäß § 14 der Gewerbeordnung angezeigten Gewerbebetriebe, das Gewerbezentralregister und das Schuldnerverzeichnis.
„Der Gläserne Bürger“
Bezüglich der Einführung eines Ordnungsmerkmals in Form der Steuer-ID, durch die die Basisdaten der jeweiligen Person eindeutig zugeordnet werden können, so wie es das IDNrG vorsieht, gibt es aber auch verfassungsrechtlichen Bedenken.
Im Mittelpunkt steht dabei das „Recht auf Informationelle Selbstbestimmung“. Das „Recht auf Informationelle Selbstbestimmung“ ist eine Ausprägung des Allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1, Art. 1 Abs. 1 GG. Der Schutzbereich des „Rechts auf Informationelle Selbstbestimmung“ umfasst Befugnis des Einzelnen grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Der Schutz des Einzelnen müsse sich gegen unbegrenzte und unkontrollierte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten richten. Durch die neueren und zukünftigen Verarbeitungs- und Verknüpfungsmöglichkeiten der Informationstechnologien könne beispielweise ein für sich alleine als belanglos beurteiltes Datum einen neuen Stellenwert erhalten. Das Bundesverfassungsgericht stellte im Volkszählungsurteil (BVerfG, Urteil v. 15. Dezember 1983, Az. 1 BvR 209, 269, 362, 420, 440, 484/83) klar, dass es unter den Bedingungen der automatischen Datenverarbeitung von nun an und in Zukunft kein belangloses Datum mehr gebe. Wer nicht weiß welche Informationen von ihm gespeichert werden und auf welche Art und Weise dies geschieht, wird aus reiner Vorsicht sein Verhalten anpassen. Dadurch wird die Entfaltung der Selbstbestimmung eingeschränkt.
Das Ordnungsmerkmal führt dazu, dass verschiedene Daten, aus verschiedenen Lebensbereichen zusammengeführt werden. Dadurch besteht die Möglichkeit, dass Persönlichkeitsprofile erstellt werden können. Der Bürger droht dadurch zu einem „Gläsernen Bürger“ zu werden. Diese Bezeichnung ist eine beliebte Metapher im Datenschutz und beschreibt, die als negativ empfundene vollständige „Durchleuchtung“ der Menschen und ihres Verhaltens durch den Staat. Der Begriff des „Gläsernen Bürgers“ wurde erstmalig in der Diskussion zum Volkszählungsgesetz von 1982 in Deutschland gebraucht.
Auf der anderen Seite sprechen jedoch einige gewichtige Güter von Verfassungsrang für das IDNrG. Zu nennen ist das Gebot der Wirtschaftlichkeit und Verwaltungseffizienz, sowie das Sozialstaatsprinzip und der Gleichheitsgrundsatz.
Fraglich ist, ob die Güter in Einklang gebracht wurden.
Zunächst muss ein möglichst hohes Maß an Transparenz gewährleistet sein. Das bedeutet, dass der Bürger stets nachvollziehen kann wer, wann, welche Daten bearbeitet. Diesem Bedürfnis wird § 10 OZG, ebenfalls Teil des ReGMoG, gerecht. Nach § 10 Abs. 1 OZG können sich natürliche Personen Auskünfte zu Datenübermittlungen zwischen öffentlichen Stellen anzeigen lassen. Ein weiterer Aspekt ist die Psyeudonmyisierung. Die Identifikationsnummer enthält an sich keine Informationen, aus der Rückschlüsse auf die Identität, der der Nummer zugeordneten Person abgeleitet werden können. Somit ist ein ausreichendes Maß an Psyeudonmyisierung gegeben. Des Weiteren sieht § 11 IDNrG die Löschung nicht mehr benötigter Daten vor. Somit wird das IDNrG auch dem Gebot der Datensparsamkeit gerecht.
Aus dem Bestimmtheitsgebot, das aus dem Rechtsstaatlichkeitsprinzip abgeleitet wird, folgt dass der Zweck einer Datenverarbeitung bestimmt sein muss. Ein solcher ergibt sich stets aus den Nutzungskatalogen im Rahmen des IDNrG.
Weiterhin muss gewährleistet werden, dass die technischen Standards bzw. die IT-Sicherheit eingehalten werden. Notwendig dafür ist eine unabhängige Kontrollinstanz. Dies gewährleistet § 13 IDNrG, wonach der/die Bundesbeauftragte/r für den Datenschutz und die Informationsfreiheit die Registermodernisierungsbehörde hinsichtlich der Datenverarbeitungen nach dem IDNrG zwei Jahre nach Inkrafttreten des IDNrG und dann erneut zweimal alle zwei Jahre prüft. Auch ergibt sich aus § 8 IDNrG ein ausreichendes Maß an Eigenkontrolle.
Weiter muss die Datenübermittlung so ausgestaltet sein, dass dem Betroffenen im Nachhinein die Möglichkeit des effektiven Rechtsschutzes verbleibt. Dafür muss die Übermittlung beispielweise protokolliert werden. Dies ist wiederrum durch § 13 OZG gewährleistet.
Zuletzt muss ein Instrument der generalpräventiven Sanktion vorliegen, dass Verstöße gegen die IT- bzw. Datensicherheit sanktioniert. Nach § 17 IDNrG ist die unbefugte Verbreitung der ID-Nummer eine Straftat. Somit wird auch dieser Voraussetzung genüge getan.
Fazit
Es ist nicht ersichtlich, dass das „Recht auf Informationelle Selbstbestimmung“ so außer Acht gelassen wurde, dass ein evidenter Grundrechtsverstoß vorliegt. Somit scheint der Konflikt zwischen Datenschutz und Digitalisierung der Verwaltung in diesem Fall gelöst. Abzuwarten ist, ob die ID das hält, was sie verspricht.
