Rechtsgutachten
Registermodernisierung: Datenschutzkonforme und umsetzbare Alternativen
Mit der Vorlage eines Gesetzesentwurfs zur Einführung einer Identifikationsnummer in die öffentliche Verwaltung und zur Änderung weiterer Gesetze (Registermodernisierungsgesetz – RegMoG-E; Bundestags-Drucksache 19/24226) möchte die Bundesregierung eine allgemeine Personenkennziffer für den öffentlichen Sektor (Identifikationsnummer) einführen. Jeder Bürger würde so über eine eindeutige, nichtsprechende Personenkennziffer identifizierbar werden. Die in diesem Zusammenhang relevanten Register sollen um dieses allgemeine Personenkennzeichen (Identifikationsnummer) erweitert werden. In jedem der 56 benannten Register würde zu jedem Eintrag zusätzlich dieses allgemeine Personenkennzeichen hinterlegt werden müssen. Die Bundesregierung schlägt zur raschen Registermodernisierung vor, die bisher ausschließlich für Steuerverfahren genutzte Identifikationsnummer nach § 139b AO (Steuer-ID) für diesen Zweck zu verwenden. Für eine vermeintlich datenschutzkonforme und sichere Umsetzung sollen beachtliche Haushaltsmittel von Bund und Ländern in den jeweiligen Haushalts- und Stellenplänen bereitgestellt werden.
Ein solches Vorgehen ist im Rahmen der Registermodernisierung politisch legitim, aber aus informationstechnischer Sicht aufgrund der Möglichkeit, vorgesehene Schutzmechanismen zu umgehen, äußerst risikoreich. Auch bestehen schwerwiegende verfassungsrechtliche Bedenken. Das Gesetz läuft damit einerseits Gefahr, vom Bundesverfassungsgericht verworfen zu werden. Mit jedem allgemeinen Personenkennzeichen – und der damit vereinfachten Möglichkeit der Verbindung verschiedenster beim Staat gespeicherter Datensätze aus allen möglichen Lebens- und Verwaltungsbereichen – wird die Grundlage für eine umfassende Registrierung, Profilbildung und Katalogisierung der Persönlichkeit von Bürgern durch den Staat geschaffen.
Andererseits darf die Steuerverwaltung für ihre Besteuerungsverfahren keine allgemeinen Personenkennzeichen verwenden. Ein angenommener Gesetzesentwurf würde damit auch die Grundlagen der Steuererhebung zerstören und besorgniserregende Folgewirkungen auslösen. Insofern sollte das Vorgehen insgesamt überdacht werden.
Dennoch halten wir eine Registermodernisierung in einem verfassungskonformen Rahmen für wünschenswert. Daher haben wir eine Alternative mit bereichsspezifischen Personenkennzeichen und einigen Optionen entwickelt, mit der sowohl die Anforderungen des Portalverbundes als auch der Registermodernisierung erfüllt werden können. Unser Ziel ist dabei kein theoretisches Idealbild, sondern – im Vergleich zum Regierungsentwurf als Ausgangspunkt – eine mit überschaubarem Mehraufwand und ohne nennenswerte Eingriffe in die Registerstruktur umsetzbare, gleichzeitig aber datenschutzfreundlichere Alternative.
Mit konstruktiv angelegten Handlungsempfehlungen wollen wir dem Gesetzgeber die Möglichkeit geben, diese Optionen einzuschätzen, das weitere Vorgehen zu reflektieren, die Risiken der unterschiedlichen Pfade abzuschätzen und die richtige Entscheidung für eine überzeugende wie vertrauensgewinnende Registermodernisierung zu treffen.
A. Einführung
Mit dem Gesetzentwurf der Bundesregierung zur Einführung und Verwendung einer Identifikationsnummer in der öffentlichen Verwaltung und zur Änderung weiterer Gesetze, Registrierungsmodernisierungsgesetz (RegMoG-E), plant das Bundesministerium des Innern, für Bau und Heimat (BMI) die Modernisierung der deutschen Verwaltungslandschaft durch die Einführung einer registerübergreifenden Identifikationsnummer. Zu diesem Zweck soll die bisher ausschließlich für Steuerverfahren genutzte Identifikationsnummer nach § 139b AO auf andere Bereiche erweitert werden. Alle anderen relevanten 56 registerführenden Stellen sollen innerhalb von fünf Jahren diese Identifikationsnummer als zusätzliches Ordnungsmerkmal zu Personendaten in ihren jeweiligen Registern speichern.
Bereits seit Bekanntwerden des Referentenentwurfs im Juli 2020 diskutiert die Öffentlichkeit über Sinn und Zweck einer solchen Kennziffer. Besondere Aufmerksamkeit erlangten die kritischen Stellungnahmen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) und der Datenschutzkonferenz (DSK). Die erweiterte Verwendung der Identifikationsnummer ist vor dem Hintergrund, dass bereits bei Einführung vor deren schleichender Ausweitung gewarnt wurde, als äußerst umstritten anzusehen.
I. Gesetzesentwurf der Bundesregierung
Bei dem RegMoG-E handelt es sich um ein Artikelgesetz, das mehrere Gesetze ändert beziehungsweise einführt. Von besonderer Bedeutung ist hierbei die Einführung des Identifikationsnummerngesetzes (IDNrG-E). Zu diesem Zweck wird die Verwendung der Steueridentifikationsnummer nach §§ 139a, b AO ausgeweitet. Eine Identifikationsnummer wird nach dem Entwurf neben Steuerpflichtigen jeder natürlichen Person zugeordnet, die bei einer öffentlichen Stelle ein Verwaltungsverfahren führt (Art. 3 Nr. 1 RegMoG-E). Nach § 1 IDNrG-E wird diese Identifikationsnummer als zusätzliches Ordnungsmerkmal in 56 Register eingeführt, die in der Anlage zum IDNrG-E aufgelistet sind. Beispielhaft lassen sich hier Melderegister, Personenstandsregister und Ausländerzentralregister, aber auch Zentrales Fahrerlaubnisregister, Schuldnerverzeichnis und Beitragskontendatenbank nennen.
Für jede natürliche Person, die eine Identifikationsnummer erhalten hat, speichert das Bundeszentralamt für Steuern sogenannte Basis- und weitere Daten (§ 4 Abs. 1 IDNrG-E). Unter Basisdaten (§ 4 Abs. 2 IDNrG-E) versteht der Entwurf etwa Familienname, Vorname, Geburtsort und -datum, Geschlecht, Staatsangehörigkeit und andere. Weitere Daten (§ 4 Abs. 3 IDNrG-E) sind Auskunftssperren nach dem Bundesmeldegesetz, Datum des letzten Verwaltungskontakts (Monat und Jahr) und Validitätswerte (Hinweise zur Richtigkeit bestimmter Basisdaten, vgl. § 4 Abs. 5 IDNrG-E).
Zur Übermittlung dieser Daten sieht der Entwurf die Einrichtung einer Registermodernisierungsbehörde vor, die beim Bundesverwaltungsamt angesiedelt ist (§ 3 Abs. 1 S. 2 IDNrG-E). Sie dient als zwischengeschaltete Instanz zwischen den Behörden, die mittels der Identifikationsnummer auf Daten der Person zugreifen wollen. So können bei Übermittlung von mindestens Identifikationsnummer und Geburtsdatum alle Basis- und weitere Daten nach § 4 Abs. 2 und 3 IDNrG-E der Person an die abrufende Behörde übermittelt werden, soweit die Daten zur Aufgabenerfüllung erforderlich sind (§ 6 Abs. 3 Nr. 2 IDNrG-E). Umgekehrt kann bei Angabe von mindestens Familiennamen, Wohnort, Postleitzahl und Geburtsdatum die Identifikationsnummer ermittelt werden (§ 6 Abs. 3 Nr. 1 IDNrG-E). Nach Übermittlung der angeforderten Daten muss die Registermodernisierungsbehörde diese löschen (§ 11 IDNrG-E).
Ferner sieht Art. 2 RegMoG-E die Einführung eines sogenannten Datencockpits im Rahmen einer Modifizierung des Onlinezugangsgesetzes (OZG) vor. In diesem Datencockpit kann eine natürliche Person Auskunft zu Datenübermittlungen unter Rückgriff auf die Identifikationsnummer erhalten (§ 10 Abs. 1 OZG). Das Datencockpit zeigt lediglich Protokolldaten an (§ 10 Abs. 2 OZG), auf die nur die betroffene Person Zugriff hat (§ 4 Abs. 4 OZG). Diese Protokolldaten erheben die jeweiligen Stellen bei allen Datenübermittlungen unter Nutzung einer Identifikationsnummer (§ 9 Abs. 1 S. 1 IDNrG-E). Die Registermodernisierungsbehörde protokolliert darüber hinaus alle Datenübermittlungen von und zur Registermodernisierungsbehörde selbst (§ 9 Abs. 1 S. 2 IDNrG-E). Neben der Übermittlung an das Datencockpit dürfen diese Protokolldaten nur zur datenschutzrechtlichen Prüfung und zur Wahrnehmung von Betroffenenrechten verwendet werden (§ 9 Abs. 2 IDNrG-E). Nach zwei Jahren sind die Protokolldaten – vorbehaltlich zu begründender Ausnahmen – zu löschen (§ 9 Abs. 3 IDNrG-E).
Die verbleibenden Artikel des RegMoG-E beziehen sich auf Änderungen von Gesetzen zu Fachregistern, in denen zukünftig auch die übergreifende Identifikationsnummer gespeichert werden soll.
II. Anforderungen an eine zeitgemäße Registermodernisierung
Zum eigentlichen Zweck der Registermodernisierung bei Bund, Ländern und Kommunen hat sich das Koordinierungsprojekt Registermodernisierung des IT-Planungsrats im April 2020 in einem Eckpunktepapier geäußert. Diese abgestimmten Ergebnisse wurden in der 32. Sitzung des IT-Planungsrats vom 24. Juni 2020 von diesem zur Kenntnis genommen und bilden damit die Grundlage für die bis Ende 2020 anzufertigende Gesamtkonzeption für eine modernisierte Registerlandschaft. Im Kern geht es um den Aufbau eines registerübergreifenden Identitäts- und Qualitätsmanagements, um einen einfachen Datenaustausch zwischen allen beteiligten Stellen, um eine verbesserte Datenhaltung in Registern und elektronisch geführten Datenbeständen, um einen verbesserten Datenschutz, verbesserte Datensicherheit und Transparenz der Zugriffe sowie perspektivisch um eine Erweiterung der Registerlandschaft, um alle benötigten Daten vorzuhalten.
Das RegMoG-E der Bundesregierung, welches das Konzept des IT-Planungsrats aufgreift, ist ein zentrales Element für diese verwaltungsebenenübergreifende Modernisierung, die auch der Nationale Normenkontrollrat seit 2017 fordert. Erstens soll nach Vorstellungen des IT-Planungsrats das registerübergreifende Identitäts- und Qualitätsmanagement künftig die Qualitätssicherung bestehender Datenbestände übernehmen und so zu einer inhaltlich optimalen Aufstellung beitragen. Dabei gilt es vor allem, Inkonsistenzen zu erkennen, Dubletten und Schreibfehler zu beseitigen sowie Namen und Adressen auf den aktuellen Stand zu bringen. Dies hat Korrekturen in allen beteiligten Registern zur Folge und kann über gemeinsame Basisdaten einfach realisiert werden. Zugleich soll eine Anbindung an föderale Integrationsbemühungen seitens der Europäischen Union vorbereitet werden. Zweitens soll mit einem Architekturmodell, dem Ausbau von Standards und Schnittstellen, einer Anpassung der Transportwege und einer Erweiterung des Zugriffs- und Rechtemanagements auf neuer rechtlicher Grundlage der Datenaustausch zwischen allen zu beteiligenden Stellen verbessert werden. Drittens gilt es alle datenhaltenden Behörden digital zu ertüchtigen, um mit gezielten Vollständigkeits-, Qualitäts- und Datensparsamkeitsmaßnahmen eine Verbesserung der Datenhaltung in der Bundesrepublik insgesamt zu erreichen. So werden die Etablierung eines Unternehmensregisters, eines Gebäude- und Wohnungsregisters und eines statistischen Bildungsregisters angedacht. Ab 2030 wird ein künftig jährlicher registerbasierter Zensus (Volkszählung) in Erwägung gezogen. Da dies alles zu einem „gläsernen Bürger“ führen kann, sollen viertens weitere Datenschutz- und Sicherheitsmaßnahmen vor einer staatlichen Profilbildung sowie ein Datencockpit für mehr Transparenz des Bürgers über behördliche Zugriffe auf seine Daten etabliert werden. Welche konkreten Vorstellungen allerdings diesem letzten Punkt Rechnung tragen sollen und wie eine (Selbst-)Kontrolle des Staates unter diesen Bedingungen gelingen soll, bleibt weitgehend offen.
Begründet durch den hohen gesellschaftlichen Stellenwert, der dem Datenschutz in Deutschland beigemessen wird sowie einer Tradition papierbasierter Aktenführung ist in der Bundesrepublik Deutschland auf staatlicher Ebene kaum ersichtlich, welche Daten die einzelnen Behörden von Bund, Land und Kommunen insgesamt über ihre Bürger vorhalten. Deutsche Behörden sind verpflichtet, die von ihnen erhobenen Daten nur für die gesetzlich definierten Zwecke zu verwenden. Die Erstellung von Persönlichkeitsprofilen der Bürger durch eine Zusammenführung der vorhandenen Lebens-, Verhaltens- und Personaldaten ist staatlichen Stellen untersagt. Dies leitet sich aus dem deutschen Grundgesetz ab und gilt auch auf europäischer Ebene. Darüber hinaus sind diese Grundsätze auch der Rechtsprechung des Bundesverfassungsgerichts und des Europäischen Gerichtshofs zu entnehmen.
Im Vergleich zu vielen anderen europäischen Staaten ist Deutschland beim E-Government weder Vorreiter noch Treiber der technischen Entwicklung. Auf Grund des föderalen Mehrebenensystems dauert jede Umsetzung verwaltungsebenenübergreifender Modernisierungsansätze typischerweise länger. Durch Kompromisse ist sie wegen der unterschiedlichen Vorstellungen im Wettbewerb der politischen Ideen aber auch ausgewogener. Elektronische Register und die elektronische Akten- und Vorgangsbearbeitung lösen in den kommenden Jahren die letzten Bücher und Papierakten ab. Mit dem OZG und dem RegMoG wollen sich Bund, Länder und Kommunen für die digitale Zukunft leistungsfähig und bürgernah aufstellen.
Vor diesem Hintergrund erzeugt der von der Bundesregierung eingebrachte RegMoG-E erhebliche Irritationen. Mit einem allgemeinen Personenkennzeichen, das zunächst auf 57 Register – perspektivisch sogar auf alle derzeit bestehenden 220 und alle zukünftig zu entwickelnden Register (zum Beispiel das Register des Forschungsdatenzentrums mit den Versicherungsdaten aller gesetzlich Krankenversicherten nach § 303d DVG) ausgeweitet werden soll und kann –, wird (bewusst oder unbewusst) eine wesentliche Grundlage für die mögliche Generierung von Persönlichkeitsprofilen aller Bürger quer über die gesamte Verwaltung gelegt. Mit einer weiteren Gesetzesänderung und neuartigen Profilbildungsprogrammen könnten künftige Machthaber plötzlich und rasch wissen, was der Staat wirklich weiß und dies für oder gegen die Bürger einsetzen. Danach wäre aber technisch durchaus realisierbar, was nach geltendem Recht unzulässig ist und im Gesetzesentwurf zu Recht unter Strafe gestellt wird. Gerade deswegen stellt sich mit dem Gesetzesentwurf auch die Frage an den Gesetzgeber, ob der Staat in die Lage versetzt werden soll, auf Knopfdruck alles über seine Bevölkerung wissen zu können.
Der Datenschutz verfolgt ganz andere, höhere Ziele. Datenschutz besitzt für die Bundesrepublik Deutschland und ihre Bürger eine hohe Bedeutung. Dieser Stellenwert speist sich aus den Erfahrungen des Dritten Reiches, der Diktatur des Nationalsozialismus und der Deutschen Demokratischen Republik. Bürger wurden damals erfasst, überwacht, selektiert, verhaftet und ermordet. Dies darf sich niemals wieder wiederholen. Die Ermöglichung freiheitlichen Handelns durch den Datenschutz und IT-Sicherheit und damit ihre Funktion als Rückgrat von Demokratie, Grundrechtsverwirklichung und gleichen Verwirklichungschancen der Bürger ist vor diesem Hintergrund nicht zu unterschätzen.
Die Bundesrepublik ist von einem föderalen Mehrebenensystem geprägt, in dem es bis zu sieben Ebenen, mehr als 11.000 Gebietskörperschaften und mehr als 30.000 zuständige Ämter und Behörden gibt, die öffentliche Aufgaben wahrnehmen und gemeinsam über 5.900 Verwaltungsleistungen erbringen. Diese Komplexität der Aufbau- und Ablauforganisation ist für Bürger wie Verwaltung herausfordernd, aber politisch auch so gewollt. Mit dem Onlinezugangsgesetz soll Bürgern und Unternehmen nun der Zugang zu Verwaltungsleistungen bis 2022 flächendeckend digital ermöglicht werden. Der Normenkontrollrat und die Bundesregierung erachten dazu auch eine Registermodernisierung als dringend erforderlich. Die wahrnehmbare Trennung der verschiedenen Ebenen wird damit reduziert.
In einer offenen Gesellschaft sollen zugleich alle Bürger die Freiheit haben, zu sein und zu agieren, wie sie sind und sein möchten. Der Staat darf deswegen nicht in die Lage versetzt werden, über umfassende Aktivitätsprofile aller seiner Einwohner zu verfügen, um diese zu einem (politisch) konformen Verhalten zu bewegen. Die zunehmende smarte, KI-basierte und plattformbasierte Überwachung im öffentlichen wie im privaten Raum eröffnet hier allen evidenzbasierten, verhaltenswissenschaftlichen Ansätzen in Echtzeit neuartige Möglichkeiten, die von Vertretern der Zivilgesellschaft und vieler Parteien zunehmend mit Sorge betrachtet werden. Vertreter vieler Sicherheitsbehörden haben dazu eine berufsbedingte, nachvollziehbar andere Einschätzung. Diese Behörden profitieren von umfassenden Profilen der gesamten Bevölkerung, etwa um mit Hilfe leistungsstarker IT-basierter Polizeianalysediensten präventiv potenzielle Gefährder frühzeitig zu identifizieren oder um nach Anschlägen rasch verfassungsfeindliche Netzwerke zu enttarnen und zu verhaften. Eine Zusammenarbeit mit zahlreichen Plattformen wäre für die Sicherheitsbehörden eine weitere, bereichernde Option.
Je nach Gefährdungslage kommen Entscheider im politischen Raum also zu unterschiedlichen Einschätzungen, wie staatliche Behörden mit den personenbezogenen Daten jetzt und in Zukunft umgehen sollen. Mit der Einführung einer Identifikationsnummer als allgemeines Personenkennzeichen würde in der Bundesrepublik Deutschland die Grundlage gelegt, dass die vorhandenen bereichsspezifischen Profile zu einem Bürger rasch zu einem umfassenden Gesamtprofil zusammengefügt werden könnten. Die Bundesregierung sieht diese Gefahr durchaus. Sie schlägt mit dem Gesetzesentwurf einige organisatorische und strafrechtliche Maßnahmen vor, die dies dauerhaft unterbinden sollen. Darüber würde sich aber eine künftig gewählte, überwachungs- und selektionsfreudige Bundesregierung mit einer simplen wie gezielten Gesetzesänderung hinwegsetzen können. Die neu geschaffene Möglichkeit der Zusammenführung von Registerdaten durch ein allgemeines Personenkennzeichen ermöglicht zudem schon sofort eine – wenn auch rechtswidrige – Zusammenführung von Daten aus verschiedenen Registern unter Umgehung vorgesehener Schutzmechanismen. Die Bevölkerung müsste mit diesen Risiken und Nebenwirkungen dauerhaft leben. Dies ist aus verschiedenen Gründen inakzeptabel.
Das Ziel eines freiheitsermöglichenden Staates und einer gelebten offenen Gesellschaft muss dauerhaft der transparente Staat, nicht aber der „gläserne Bürger“ sein. Die Bürger sollen verstehen können, wie der Staat funktioniert, welche Behörde welche Aufgaben erledigt und gegen wen bzw. gegen was sich effektiver Rechtsschutz zur Kontrolle richten kann. Diesem Auftrag widmet sich unter anderem das OZG. Die Behörden müssen die öffentlichen Aufgaben, die ihnen die Gesetzgeber übertragen, auch erfüllen können. Dazu benötigen sie Haushaltsmittel, Stellen, qualifiziertes Personal und organisatorische Prozesse, aber auch gewisse personenbezogene Daten der Bürger, die sie datenschutzkonform und zweckgerichtet zu verwenden und zur Erfüllung ihrer Zwecke sicher zu bewahren haben. Soweit dies zur öffentlichen Aufgabenerfüllung erforderlich ist, sollte jede Behörde in der Lage sein, bei Bedarf einen Ausschnitt eines Bildes aus dem Leben des Bürgers auf Basis der vorliegenden Daten in dem jeweiligen Amt oder Bereich zu generieren.
Trotz zunehmender Gesamtüberwachung und weitreichender Ausforschungsmöglichkeiten darf ein „gläserner Bürger“ aber nicht Realität werden, denn dieser würde weder seine Kontrollfunktion noch seine Freiheitsdimension ausleben können. Daher dürfen der Staat und die Verwaltung nicht durch Informationstechnologien in die Lage versetzt werden, auf Knopfdruck zu einem Bürger ein umfassendes, detailliertes Profil auf Basis aller oder vieler vorliegender Datenbestände in den vorhandenen Registern von Bund, Ländern und Kommunen zu erstellen. Ebenso sollten sie kein neuartiges umfassendes Register mit allen Daten selbst erzeugen können.
Diese Gefahr würde nun mit dem Gesetzesentwurf zur Registermodernisierung und der Einführung einer Identifikationsnummer als einer allgemeinen, registerübergreifenden und zentralen Personenkennziffer, wie dort vorgesehen, ohne weitere Sicherungen deutlich gesteigert. Verfassungs- und europarechtlich ist dies nicht zulässig, wie in Teil B gezeigt wird.
III. Optionen für Personenkennzeichen
Die Bundesrepublik Deutschland und ihre Gesetzgeber haben sich bisher, auch basierend auf den erlebten Erfahrungen der Jahre 1933-45 (nationalsozialistische Diktatur des Dritten Reiches), insbesondere mit Blick auf die Reduzierung von Häftlingen auf eine Nummer, sowie der Erfahrungen der Jahre 1949-1989 (kommunistische Diktatur der DDR), klar gegen allgemeine Personenkennzeichen ausgesprochen. Bisherige Versuche einzelner Fraktionen, ein allgemeines Personenkennzeichen einzuführen, scheiterten.
In vielen anderen europäischen und außereuropäischen Staaten wurden die Stärken und Schwächen sowie Chancen und Risiken dieses Ansatzes jedoch anders bewertet. Diese Staaten haben eine allgemeine Personenkennziffer oder ein Personenkennzeichen eingeführt, die Bürger ihr Leben lang im Kontakt mit Behörden und staatlichen Stellen verwenden. Auch Unternehmen nutzen seit vielen Jahrzehnten Kundennummern, damit sie im Bedarfsfall alle Daten zu einer Person (Kunde) rasch zuordnen können. In den Mitgliedstaaten der Europäischen Union werden verschiedene Konzepte verfolgt.
Auch die Bundesrepublik Deutschland hat sich, in Anerkennung ihrer Geschichte, zur Vereinfachung von Verwaltungsvorgängen Personenkennzeichen bedient. Diese sind allerdings bereichsspezifisch ausgerichtet. Die Steuer-ID, die Rentenversicherungsnummer, die Krankenversicherungsnummer und die Personenkennziffer der Bundeswehr sind Beispiele für bekannte bereichsspezifische Kennzeichen. Sie dürfen allerdings nur in einem bestimmten Verwaltungs- und Lebensbereich für bestimmte Aufgaben eingesetzt werden und erlauben keine weitere, gar flächendeckende Verwendung in anderen Lebens- und Verwaltungsbereichen.
Personenkennzeichen sind alphanumerische Zeichenfolgen, die zur eindeutigen Identifizierung von Personen innerhalb einer größeren Personengruppe dienen sollen. Aus dem Blickwinkel der Verwaltungsinformatik und der Verwaltungswissenschaft bestehen zahlreiche Optionen zur Gestaltung von Personenkennzeichen. Diese Optionen und Alternativen lassen sich in einem morphologischen Kasten (Abb.1) darstellen.
In der Regel sollten Personenkennzeichen einzigartig sein, damit sie Personen eindeutig identifizieren. Eine mehrfache Vergabe eines Personenkennzeichens mag sich als sinnvoll erweisen, etwa wenn der vorherige Träger des Kennzeichens verstorben und das Reservoir verfügbarer Ziffern oder Zeichenkombinationen erschöpft ist. Ein solches Vorgehen würde jedoch dem eigentlichen Zweck des Kennzeichens für Personen widersprechen und muss wegen des Risikos von Fehlzuordnungen schon prinzipiell verworfen werden.
Personenkennzeichen könnten sprechend angelegt sein. Dann lassen sich bestimmte Daten direkt aus dem Kennzeichen ablesen, etwa bei der Personenkennziffer der Bundeswehr das Geburtsdatum, der erste Buchstabe des Nachnamens und der Meldebezirk (früher das zuständige Kreiswehrersatzamt). Nicht-sprechende Personenkennzeichen verhindern diese Sichtbarkeit prinzipiell und machen die Person hinter dem Kennzeichen für Dritte nicht gläsern.
Kennzeichen können aus einer rein numerischen Ziffernreihenfolge oder aus einer alphanumerischen Zeichenreihenfolge bestehen. Bei einer Nummer wird deswegen von einer Personenkennziffer, bei einem Zeichencode von einem Personenkennzeichen gesprochen. Je länger die Personenkennziffer oder das Personenkennzeichen ist, desto größer ist das Reservoir an verfügbaren Zeichenkombinationen. Bei einer numerischen Ziffernreihenfolge gibt es bis zu 10 Möglichkeiten(0-9), bei einer alphanumerischen Zeichenreihenfolge bestehen bis zu 62 Optionen (0-9 & A-Z & a-z) pro Zeichenposition. Eine Mischung von Groß- und Kleinschreibung wäre in der praktischen Umsetzung allerdings fehleranfällig. 36 Optionen (0-9 & A-Z) sind auch gut handhabbar. Sollen mindestens 84 Millionen Bundesbürger erfasst werden, bedarf eine numerische Personenkennziffer in der Bundesrepublik zumindest 9 numerischer Zeichen, ein alphanumerisches Personenkennzeichen zumindest 5 alphanumerischer Zeichen.
Prüfziffern in Personenkennzeichen dienen dazu, Fehler bei der manuellen Eingabe oder Datenübermittlung zu erkennen. Nach einem vereinbarten Algorithmus werden dazu die Ziffern oder Zeichen verrechnet. Das Ergebnis entspricht der Prüfziffer, die dem restlichen Kennzeichen angehängt oder vorangestellt wird und in der Praxis als Teil des Kennzeichens betrachtet wird. Zahlendreher und andere Fehleingaben generieren dagegen eine andere Prüfziffer, so dass Nutzer bei Fehleingaben zeitnah auf ihre Fehler hingewiesen werden können.
Ein allgemeines Personenkennzeichen (aPK) wird innerhalb eines Staates von allen Behörden, von vielen Behörden oder den wesentlichen Behörden verwendet, um Personen eindeutig zu identifizieren. Entscheidend ist dabei nicht die allein Anzahl der Behörden (im Vergleich zur Gesamtzahl aller Behörden), sondern die Breite der abgedeckten Lebensbereiche, in denen die Kennziffer verwendet wird. aPK werden in der Regel zentral vergeben, um sicherzustellen, dass jede Person auch nur ein einziges Mal erfasst und jede Personenkennziffer nur ein einziges Mal vergeben wird. Auf Grund der eigenen historischen Vergangenheit hat sich der Gesetzgeber in der Bundesrepublik Deutschland bisher klar gegen die Einführung eines aPK positioniert. Stattdessen werden mehrere bereichsspezifische Personenkennzeichen in paralleler Anwendung genutzt. Rund um deren Einführung wurde aus Sorge vor dem „gläsernen Bürger“, wie etwa bei der Steuer-ID, auch intensiv debattiert, inwieweit solche Kennzeichen genutzt werden dürfen.
Ein bereichsübergreifendes Personenkennzeichen (2wPK) im eigentlichen Sinne wird innerhalb eines Staates von Behörden nur zweier oder weniger Bereiche verwendet, um Personen eindeutig zu identifizieren. Diese Nutzung einer Kennziffer in mehreren Bereichen mag sinnvoll sein, bedarf jedoch gleichfalls einer gesetzlichen Grundlage. Zum Beispiel kann die im Bereich der Pflegeversicherung existierende Pflegeversichertennummer gemäß § 101 SGB XI ganz oder teilweise mit der Krankenversichertennummer der Krankenkassen übereinstimmen.
Bereichsspezifische Personenkennzeichen (bPK) sind zur Erfüllung öffentlicher Aufgaben in einem bestimmten Bereich der Verwaltung notwendig, um dort die relevanten Personen eindeutig identifizieren zu können. Sie werden als Kennziffern nur innerhalb dieses klar bestimmten Aufgabenbereichs des Staates von einer oder wenigen Behörden vergeben und verwendet. Jeder Bereich pflegt eine andere Systematik zur Generierung der Personenkennziffern. Für den jeweiligen Bereich können diese zentral oder dezentral (landesweit, regional oder lokal) vergeben werden. Jeder personenbezogene Datenaustausch zwischen Behörden bedarf einer gesetzlichen Grundlage und einer detaillierten Regelung. Behörden haben in der Regel keinen Zugriff auf andere bereichspezifische Personenkennziffern und die dahinterliegenden personenbezogenen Daten.
Aus diesem Grunde werden Bürger bisher bei allen Anträgen aufgefordert, auch alle erforderlichen Nachweise und Unterlagen mit ihren personenbezogenen Daten miteinzureichen. Diese liegen der zuständigen Stelle in der Regel nicht vor. Die Vorgehensweise entwickelte sich historisch in einer Welt von räumlich getrennten Amtsstuben. Sie entsprach den Abläufen einer papierbasierten Verwaltung, in der sich Ämter über Akten organisieren und über Vorgänge bis zur Entscheidungsfindung steuern. Die zunehmende Digitalisierung ermöglicht seit mehr als 50 Jahren einen automatisierten Datenaustausch zwischen Behörden. Dieser ist aber nur zulässig, wenn er über entsprechende Gesetze vom Gesetzgeber zur Erfüllung bestimmter öffentlicher Aufgaben etabliert worden ist. In Zeiten einer umfassenden Digitalisierung und intelligenten Vernetzung sollen künftig mit „Once-Only“ und „No-Stop-Government“, vielleicht sogar mit „No-Government“, diese aus heutiger, digitaler Sicht suboptimalen Vorgehensweisen zeitnah dauerhaft überwunden werden.
Im Bereich der Gefahrenabwehr haben sich mit dem Gemeinsamen Terrorismusabwehrzentrum (GTAZ), dem Gemeinsamen Extremismus- und Terrorismusabwehrzentrum (GETZ) und dem Gemeinsamen Internetzentrum (GIZ) mehrere Kooperations- und Kommunikationsplattformen etabliert. Dort treffen sich Verbindungsbeamte verschiedener Sicherheitsbehörden regelmäßig zu Lagebesprechungen, um im Rahmen der eigenen Zuständigkeiten einen besseren Überblick über die Gesamtsituation zu gewinnen und um ihre Informationen zu Gefährdern zu verdichten. Ein allgemeines Personenkennzeichen würde diesen Plattformen die Zusammenarbeit erleichtern. Zugleich wird das Interesse an einer solchen Zusammenarbeit auch bei anderen Stellen wachsen.
Die Größe des durch ein Personenkennzeichen zu erfassenden Personenkreises variiert mit Aufgabe und Verwaltungsbereich. Erfasst werden könnten Personengruppen jeder Art, etwa alle Bundesbürger mit deutscher Staatsangehörigkeit, alle Ausländer mit einer ausländischen Staatsangehörigkeit, alle Steuerzahler, alle natürlichen Personen oder alle juristischen Personen. Am Beispiel von Personen mit zwei Staatsangehörigkeiten lässt sich zeigen, dass sich diese Personenkreise durchaus auch überschneiden könnten. Die jeweils zu erfassende Personengruppe wird im dazugehörigen Gesetz vom Gesetzgeber genau definiert.
Große Bestände personenbezogener Daten werden heute in der Regel in Registern und den dahinterliegenden Datenbanksystemen gespeichert. Der Gesetzgeber legt in Gesetzen den Umfang der in den Registern zu speichernden personenbezogenen Daten und die Zugangsbestimmungen fest. Solche Register können sehr klein gehalten werden, so dass nur die unbedingt nötigen Daten gespeichert und verarbeitet werden. Natürlich könnten diese Register auch sehr umfangreich gestaltet werden, wenn etwa eine öffentliche Aufgabe dies erfordert. Aus einer Datenschutzperspektive wird dies aber kritisch gesehen. Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) gebietet, darauf hinzuwirken, dass keine oder möglichst wenig personenbezogene Daten verarbeitet und gespeichert werden. Das datenschutzrechtliche Gebot der Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO) soll zudem sicherstellen, dass Daten nur für den Zweck verarbeitet werden, für den sie erhoben werden.
Vorstellbar ist, in einem separaten, eigenständigen Register jede Personenkennziffer um einen Basisdatensatz zu ergänzen. Ein solches Vorgehen ist besonders bei einer allgemeinen Personenkennziffer sinnvoll, da sich mit einem gemeinsam genutzten Basisdatensatz die Datenqualität in den anderen Registern verbessern lässt. Im Rahmen der Registermodernisierung soll die Datenqualität der Register von Bund, Ländern und Kommunen substanziell erhöht und dazu auf die Basisdaten des Bundeszentralamts für Steuern als Stammdaten gesetzt werden. Ziel ist es, automatisiert unzutreffende oder fehlerhafte Einträge zu identifizieren, zu korrigieren und in allen betroffenen Registern zu aktualisieren. Gegebenenfalls wird dazu auch ein persönliches Erscheinen in der kommunalen Meldebehörde erforderlich sein. Alternativ könnte man auf die Anlage von separaten Basisdatensätzen zu dem Personenkennzeichen auch verzichten und wie gehabt auf die Datenpflege in den jeweiligen Registern verweisen.
IV. Optionen für Identitätsnummernsysteme
Mit der Entscheidung für einen bestimmten Ansatz eines Personenkennzeichens fällt zugleich auch die Entscheidung über das damit verbundene Identitätsnummernsystem. Bei dessen Gestaltung gibt es grundsätzlich mehrere Optionen und Alternativen, die es in gebotener Kürze zu reflektieren gilt.
Identitätsnummernsysteme dienen dazu, größere Personengruppe derart zu erfassen, dass Personen mit einem Personenkennzeichen (im RegMoG-E: Identitätsnummer) eindeutig identifiziert werden können. Aus dem Blickwinkel der Verwaltungsinformatik und der Verwaltungswissenschaft bestehen hier einige Optionen zur Gestaltung von Identitätsnummernsystemen, die sich über einen morphologischen Kasten (Abb.2) sehr verständlich darstellen lassen.
Grundsätzlich können Identitätsnummernsysteme auf allgemeine Personenkennzeichen (aPK), auf bereichsübergreifenden Personenkennzeichen (2wPK) oder auf bereichsspezifischen Personenkennzeichen (bPK) aufgebaut werden. Das Kennzeichen dient zur eindeutigen Identifizierung aller erfassten Personen quer über die gesamte öffentliche Verwaltung (aPK), in wenigen klar angegrenzten Bereichen der Verwaltung (2wPK) oder in einem eindeutig umgrenzten Verwaltungsbereich (bPK). Da Identitätsnummernsysteme zum Umgang mit personenbezogenen Daten verwendet werden, bedürfen sie in der Bundesrepublik Deutschland stets einer gesetzlichen Grundlage.
Die Personenkennzeichen in einem Identitätsnummernsystem können zentral oder dezentral vergeben werden. Dies hängt davon ab, ob es eine einzige Vergabestelle oder mehrere Vergabestellen, etwa bei Ländern, Bezirken, Landkreisen, Städten oder Gemeinden, geben soll. Durch technische Maßnahmen ist sicherzustellen, dass jede Identitätsnummer nur ein einziges Mal an eine Person eindeutig vergeben werden darf.
Zur inhaltlichen Gestaltung des zentralen Personenkennzeichens eignen sich verschiedene Ansätze. Diese bedienen sich entweder einer Systematik oder einfach des Zufalls. Dazu kann auf bestehenden Systematiken, wie etwa der Steuer-ID oder anderen etablierten Personenkennzeichen, aufgesetzt werden, solange dies nicht gegen geltendes Recht verstößt. Es könnten auch vollkommen neue Identitätsnummern (NEU-ID) vergeben werden, systematisch oder durch Zufallszahlen generiert. Im letzten Fall muss unbedingt sichergestellt werden, dass bei allen Zufällen keine Zahl doppelt vergeben wird. Der gewählte Ansatz sollte zur Fehlervermeidung über eine integrierte Prüfziffer verfügen. Schließlich kann auf eine zentrale Identitätsnummer zur Identifizierung auch verzichtet werden.
Zur Identifizierung von Personen in den Registern kann auf die vorhandene Steuer-ID oder die bisherige Register-ID gesetzt werden. Zudem lassen sich mit einer Hashfunktion auf Basis einer Stammzahl neuartige bereichsspezifische Personenkennzahlen generieren (vgl. dazu Abschnitt D.III). Die Alternative eine Zufallszahl besteht auch hier.
Je nach Aufgabe und Aufgabenbereich wird die zu erfassende Personengruppe unterschiedlich sein: Staatsbürger, Ausländer, Steuerzahler, natürliche Personen oder juristische Personen kommen in erster Linie in Betracht. Dies muss im Gesetz genau geregelt sein.
Zu jedem Eintrag im Identifizierungsnummernsystem können Basisdaten vorgehalten werden, etwa im Bundeszentralamt für Steuern. Dies ist denkbar, wenn mit ihrer Hilfe die Datenqualität in den angeschlossenen Registern verbessert, eine Registerbereinigung anvisiert oder eine Registerzentralisierung verfolgt werden soll. Ein solches Basisdatenregister könnte auch nur zeitlich begrenzt für die Dauer der Datenqualitätssicherung eingerichtet werden. Aus Gründen des Datenschutzes und der Datenminimierung könnte andererseits auch auf ein Basisdatenregister verzichtet werden.
Wird auf ein aPK verzichtet, so kann mit einer pseudonymisierten und ausschließlich von einem Intermediär nutzbaren ID-Datenbank eine vergleichbare Lösung auf Basis bereichsspezifischer Personenkennzeichen realisiert werden. Sie müsste aber besonders vor Angriffen geschützt werden.
Soll eine Registermodernisierung vorgenommen werden, bedarf es einer Registermodernisierungsbehörde. Andernfalls kann auf diese verzichtet werden.
Für Zugriffe von Behörden auf Register und Basisdaten kann für die Rolle eines vertrauenswürdigen Intermediärs sowohl auf die Registermodernisierungsbehörde (beim Bundesverwaltungsamt, BVA) als auch auf die Datenschutzaufsichtsbehörde gesetzt werden.
Berechtigte Anfragen könnten ohne Vermittlungsstelle direkt an die jeweiligen Behörden, über eine zentrale Vermittlungsstelle, einen Verbund an 1+16 Vermittlungsstellen oder einen Verbund bestehender Vermittlungsstellen kommen.
Berechtigte Anfragen auf die Basisdaten beim Bundeszentralamt für Steuern müssen stets mit einem Personenkennzeichen und einem Identifier für die anfragende Stelle verbunden sein. Vor einer Rückantwort sollte die Berechtigung zur Abfrage überprüft werden. In einem geschlossenen, vertrauenswürdigen System könnte ggf. darauf verzichtet werden. In einem offenen System kann auf bewährte softwarebasierte (Passwörter, Zertifikate) und hardwarebasierte Schutzmechanismen (PKI-basierte Smartcard) gesetzt werden, was aus Gründen der Beschleunigung und des Bürokratieabbaus sinnvoll erscheint. Im Hintergrund könnten zudem Überwachungssysteme laufen, die automatisch alle Anfragen der Behörden dahingehend überprüfen, ob sie zulässig sind. Allerdings darf nicht vergessen werden, dass es sich um Abfragen personenbezogener Daten handelt. Daher könnten theoretisch auch qualifizierte Sachbearbeiter die Prüfaufgabe übernehmen. Jedoch würde dies zu einer „Engstelle“ in den Abläufen führen und den gesamten Vorgang stark verlangsamen.
Vorstellbar wäre auch eine Einbindung der Bürger in all diese Freigabeprozesse. Vielleicht würde dies viele Bürger überfordern, bei einer Vielzahl von Abfragen im Rahmen der Qualitätssicherung und Registerkonsolidierung sogar verunsichern und den Freigabeprozess auch richtig lähmen. Andererseits kann es aber Fälle geben, in denen ein Zugriff ohne den Bürger nicht gewährt werden darf, weil der Grundrechtseingriff zu groß wäre, der Bürger dann aber doch und nur ausnahmsweise einer Behörde den Zugriff etwa auf seine Krankenversicherungsdaten erlaubt. Insofern kann eine anlassbezogene Freigabe von Daten durch den Bürger in einigen Fällen eine zweite Option sein. Aus Gründen des Bürokratieabbaus wird die Verwaltung darauf setzen, Daten ohne Freigabe durch den betroffenen Bürger zu erhalten. Aus Gründen des Datenschutzes sollte der Zugriff stets protokolliert werden und für den Bürger über das Datencockpit nachverfolgbar sein.
Das volle Gutachten finden Sie hier: