Content

Teil 1: Einführung in den Untersuchungsgegenstand in:

Thomas Warnecke

Identitätsmanagement und Datenschutz, page 1 - 6

Verantwortung für einen datenschutzgerechten Zugang zu transaktionsbezogenen E-Government-Anwendungen unter besonderer Berücksichtigung der De-Mail-Dienste und des neuen Personalausweises

1. Edition 2019, ISBN print: 978-3-8288-4055-3, ISBN online: 978-3-8288-6925-7, https://doi.org/10.5771/9783828869257-1

Series: Wissenschaftliche Beiträge aus dem Tectum Verlag: Rechtswissenschaften, vol. 118

Tectum, Baden-Baden
Bibliographic information
Einführung in den Untersuchungsgegenstand Problemstellung Die Modernisierung der öffentlichen Verwaltung durch Informationstechnologie stellt einen fortlaufenden Prozess dar. Für die Aufgabenerfüllung des öffentlichen Sektors ist der Einsatz von Informationstechnologie sowohl innerhalb der öffentlichen Verwaltung als auch nach außen im Kontakt mit den Bürgern und Unternehmen nicht mehr wegzudenken. Der Staat trägt hier bereits seit einigen Jahren unter dem Stichwort „Electronic Government“ dem Wandel zur Informationsgesellschaft Rechnung. Auf allen föderalen Ebenen sind Behörden und Institutionen über eine eigene Internetpräsenz erreichbar. Es gibt hier die vielfältigsten Informationsangebote. Schaut man aber über diese Informationsmöglichkeiten im Internet hinaus, so ist die tatsächliche Verbreitung von anspruchsvollen Verwaltungsdienstleistungen auf elektronischem Wege, die über die bloße Informationsvermittlung hinausgehen, noch nicht sehr weit fortgeschritten. Der klassische E-Mail-Verkehr über das in der Regel kostenlose Angebot eines Anbieters bietet nicht die notwendige Sicherheit, sondern ist allenfalls so sicher wie eine Postkarte.1 Zwar bestand schon seit einiger Zeit die Möglichkeit, beim Kontakt mit der Verwaltung eine herkömmliche E-Mail unter zusätzlicher Verwendung einer qualifizierten elektronischen Signatur einzusetzen. Dies folgte aber bisher keinem kohärenten nutzerfreundlichen Gesamtkonzept und konnte sich tatsächlich auch, abgesehen von einer vergleichsweise kleinen Zahl professioneller Nutzer, nicht in der Breite durchsetzen. Während es bei bloßen Informationsangeboten der öffentlichen Verwaltung in Form einer Internetpräsenz meistens keiner Identifizierung des Nutzers bedarf oder eine anonyme Nutzung keine Probleme aufwirft2, ist es bei anspruchsvollen Transaktionsdienstleistungen3 notwendig, den Nutzer zu identifizieren4, da hier regelmäßig Rechtsfolgen entstehen, die dem Nutzer gegenüber Wirkungen entfalten. Zentraler Anknüpfungs- und Ausgangspunkt für den Kontakt zwischen Verwaltung und Bürger ist die Identität der natürlichen Person, die als Nutzer auftritt. Zur Identifizierung Teil 1: A. 1 Schallbruch, in: Schmidt/Weichert (Hrsg.), Datenschutz, 372 (376);Roßnagel, ZRP 1997, 26 (28); Heimann, DuD 1998, 343(343); Löwer, in: V. Münch/Kunig GG Bd. I, Art. 10, Rn. 14; Hense, in: Goerlich (Hrsg.), Rechtsfragen der Nutzung und Regulierung des Internet, 73 (87); so auch im Gesetzentwurf der Bundesregierung zu De-Mail-Diensten: BT-Drs. 17/3630, S. 1. 2 Hansen/Meissner (Hrsg.), Verkettung digitaler Identitäten, 2007, S. 90. 3 Zu den Umsetzungsproblemen beim transaktionsbezogenen E-Government: Schulz S. E., DVP 2011, 222 (222); Klinger, VM 2010, 327 (327). 4 Strauß, DuD 2010, 99 (99). 1 dieser ist das Offenbaren von personenbezogenen Daten notwendig5. Diese können die Funktion erfüllen, dass eine Person von anderen unterscheidbar wiedererkannt werden kann6. Aber an dieser Stelle entsteht bereits ein Spannungsverhältnis. Zum Umfang der Persönlichkeitsrechte gehört auch die Entscheidung darüber, ob ein Mensch sich identifizieren lassen will oder nicht. Individualität und Personalität sind in funktional differenzierten Gesellschaften besonders schutzbedürftig7, weil sie gerade auch hier großen Gefahren ausgesetzt sind. Es bestehen in diesem Zusammenhang Missbrauchsmöglichkeiten. Die Identifizierung einer Person ist im digitalen Zeitalter sehr viel einfacher geworden, weil es Möglichkeiten gibt, große Mengen an Daten automatisiert zu analysieren.8 Gleichzeitig besteht aber auch die Notwendigkeit der Identifizierung von Nutzern, die mit der Verwaltung in Kontakt treten, da andernfalls Rechtsunsicherheiten entstehen würden. Über die zur Identifizierung notwendigen Daten hinaus ist die Übermittlung weiterer personenbezogener Daten im konkreten Verwaltungsverfahren notwendig. Angesichts dieses skizzierten Spannungsverhältnisses stellt sich die Frage, wie im Kontext des E-Governments trotz der Notwendigkeit der Identifizierung des Nutzers und der Übermittlung weiterer personenbezogener Daten die informationelle Selbstbestimmung des Nutzers sichergestellt werden kann. Eine Schlüsselfunktion liegt hier in der Frage, wer im jeweiligen Kontext die Datenhoheit hat. Zunehmende Komplexität entsteht dadurch, dass sich bei den Kommunikationsinfrastrukturen, die der Verwaltung und dem Bürger derzeit zur Verfügung stehen, in Deutschland ein sehr heterogenes Bild ergibt. Aktuelle Beispiele für solche Infrastrukturen sind die De-Mail und der neue Personalausweis, die Bestandteil der Initiative „E-Government 2.0“ der Bundesregierung9 sind. Daneben gewährt die Deutsche Post AG mit dem sog. E-Postbrief ein Angebot, welches neben einer Variante mit elektronischer Zustellung auch einen Hybridbrief mit klassischer Zustellung vorsieht. Zusätzlich wird teilweise auch für die öffentliche Verwaltung das Elektronische Gerichts- und Verwaltungspostfach (EGVP) genutzt. Durch das E-Government-Gesetz des Bundes wurde die De-Mail für die Kommunikation von Bundesbehörden gesetzlich als Standard festgelegt. Dieses bisherige Nebeneinander von verschiedenen Infrastrukturen und das lange Festhalten am Erfordernis einer qualifizierten elektronischen Signatur zur Ersetzung der Schriftform haben dazu geführt, dass ein signifikanter Ausbau von Nutzerzahlen bei Transaktionsdienstleistungen mit der öffentlichen Verwaltung bisher ausgeblieben ist. Beispielsweise hat auch die Umsetzung der EU-Dienstleistungsrichtlinie in Deutschland, die den elektronischen Zugang zu den neu geschaffenen einheitlichen Ansprechpartnern10 vorschreibt, nicht für signifikante Erleichterungen der elektronischen Kom- 5 Hansen/Meissner (Hrsg.), Verkettung digitaler Identitäten, 2007, S. 90. 6 Schemitsch, Identitätsdaten als Persönlichkeitsgüter, S. 128. 7 Ladeur, in: Götting/Scherz/Seitz, Handbuch des Persönlichkeitsrechts, S. 129, § 7 Rn. 11. 8 Brunst, Anonymität im Internet – rechtliche und tatsächliche Rahmenbedingungen, S. 201. 9 Das Programm „E-Government 2.0“ ist unter www.cio.bund.de abrufbar (letzter Abruf: 08.11.2015); s. dazu auch Biernert, GewArch 2008, 417 (418); Otten, VW 2007, 1440 (1440). 10 Zur elektronischen Abwicklung: Neidert, Verwaltungsverfahren über den einheitlichen Ansprechpartner, S. 165 ff. Teil 1: Einführung in den Untersuchungsgegenstand 2 munikation gesorgt. Bei den Kommunikationsinfrastrukturen zeigt sich jedenfalls, dass vielfach nicht der Staat selbst, sondern private Diensteanbieter zu einem großen Teil die Infrastrukturen für E-Government betreiben. Dies wirkt sich vor allem auch bei der Frage des Schutzes der informationellen Selbstbestimmung der Nutzer aus. Die grundrechtssystematische Einordnung dieser mehrpoligen Konstellationen aus Staat, privaten Akteuren und Nutzer und die daraus folgenden Konsequenzen stellen eine große Herausforderung dar. An die Implementierung der Funktionalitäten der De-Mail-Dienste stellen sich damit auch Anforderungen im Hinblick auf den Datenschutz gegenüber Privaten. Der Bürger muss sich als Nutzer identifizieren können und daher auch personenbezogene Daten preisgeben. Dabei besteht auf der einen Seite die Befürchtung, dass dem Zugriff von staatlichen Stellen auf den Rechts- und Geschäftsverkehr Tür und Tor geöffnet wird, um Sicherheitsinteressen zu genügen. Auf der anderen Seite besteht angesichts der Verbreitung von sozialen Netzwerken wie XING, LinkedIn und Facebook ein scheinbar eher sorgloser Umgang mit personenbezogenen Daten.11 Hieraus ergibt sich die Notwendigkeit, bei den Nutzern eine Sensibilität für die Gefahren bei einem sorglosen Umgang mit personenbezogenen Daten zu schaffen. Der Selbstdatenschutz, also Sicherungsvorkehrungen, die jeder einzelne Nutzer selber vornehmen kann, um die Datenhoheit zu stärken, ist ein weiteres Element auf dem Weg zum Erreichen der Datensicherheit. Insbesondere aufgrund der Entwicklungen in der Informationstechnologie, die äußerst schnell voranschreiten, sind Maßnahmen des Datenschutzes immer wieder an die technischen Entwicklungen anzupassen. Das BVerfG hat bereits im Volkszählungsurteil von 1983 von zukünftigen Gefährdungen durch die moderne Datenverarbeitung gesprochen.12 Dadurch wird klar, dass das Grundrecht auf informationelle Selbstbestimmung und andere kommunikationsbezogene Grundrechte wie das IT-Grundrecht und Art. 10 GG ständig neuen Gefährdungen ausgesetzt sind. Im Zuge der „NSA-Abhöraffäre“13 aufgrund der Enthüllungen von Edward Snowden im Jahr 2013 wurde im politischen Diskurs vorgeschlagen, den Art. 10 GG zu einem umfassenden Kommunikationsund Mediennutzungsgeheimnis für die digitale Welt auszubauen und auf einfachgesetzlicher Ebene das Datenschutzrecht zu modernisieren14. Aktuell ist ein IT-Sicherheitsgesetz verabschiedet worden, welches insbesondere Unternehmen und Diensteanbieter stärker in die Pflicht nehmen soll, IT-Sicherheitsrisiken zu entdecken. Auch auf einfachgesetzlicher Ebene besteht also fortwährend Anpassungsbedarf an die neuen Entwicklungen. Im Mittelpunkt des Interesses stehen auch die jüngsten rechtlichen und tatsächlichen Entwicklungen im Bereich der Kommunikationsinfrastrukturen im E-Government wie beispielsweise das De-Mail-Gesetz und das E-Government-Gesetz des Bundes. Die datenschutzgerechte Ausgestaltung und Nutzungsmöglichkeit der Angebote ist eine rechtliche und auch eine tatsächliche Herausforderung. Verstärkt 11 Luch/Schulz S. E., in: Schliesky (Hrsg.), Technikgestützes Identitätsmanagement, 1 (5); Hoffmann/v. Kaenel, in: Schliesky (Hrsg.), Technikgestütztes Identitätsmanagement, 81 (81 ff.). 12 BVerfGE 65, 1. 13 Zu den rechtlichen Hintergründen der hier aufgedeckten Überwachungspraxis: Ewer/Thienel, NJW 2014, 30 (30 ff.); Wolf, JZ 2013, 1039 (1039 ff.). 14 Vgl. den Nachweis bei Wewer, Digitale Agenda 2013‒2017, S. 21. A. Problemstellung 3 werden diese Herausforderungen dadurch, dass die Bereitstellung der Kommunikationsinfrastrukturen vielfach durch Private und nicht durch die öffentliche Hand selbst erfolgt. In diesen multipolaren Akteurskonstellationen stellt sich die Frage, welches Maß an rechtlicher Verantwortung jedem einzelnen Akteur zukommt. Der Staat muss im Zusammenhang mit seinen Kommunikationsinfrastrukturen auch die Rolle eines Vorbildes einnehmen. Der Staat als Initiator von E-Government muss hier eine ad- äquate Antwort darauf finden, welches Maß an Schutz der Kommunikationsinfrastrukturen er mit welchen Mitteln gewährleisten kann und wo die Eigenverantwortung des Bürgers gefragt ist. Möchte der Staat mittels E-Government Wirtschaftlichkeitspotenziale heben, Bürokratie abbauen und die Servicequalität für den Bürger und Unternehmen erhöhen, so müssen die dafür notwendigen Kommunikationsinfrastrukturen ebenfalls den Anspruch einer Vorbildwirkung erfüllen. Angesichts der Einbindung Privater stellt sich immer weniger die Frage nach dem klassischen Eingriff durch „den Staat“, vor dem die Grundrechte und hier besonders das Grundrecht auf informationelle Selbstbestimmung als Abwehrrecht schützen wollen, wie es noch bei dem dem Volkszählungsurteil zugrunde liegenden Sachverhalt der Fall war. Es stellt sich vielmehr die Frage, wie das Grundrecht auf informationelle Selbstbestimmung und weitere tangierte Grundrechte in den über das klassische „Staat-Bürger- Verhältnis“ hinausgehenden multipolaren Konstellationen ihren Schutz weiterhin entfalten können. Es besteht die grundrechtssystematische Frage, in welcher Wirkungsdimension dieses hier gefordert ist. Dabei stellt sich die grundsätzliche Frage, ob der Staat seiner Verantwortung allein durch rechtliche Gestaltung gerecht werden kann oder ob dieser nicht auch verfassungsrechtlich verpflichtet ist, tatsächliche Möglichkeiten zum Selbstschutz zu schaffen. Angesichts der Tatsache, dass heute massive Gefährdungen von vielen Seiten für elektronische Kommunikation bestehen, stellt sich die Frage wieviel Selbstschutz der Staat dem Nutzer abverlangen kann und wie das Verhältnis zu einem staatlichen Tätigwerden ist. Auch staatliche Institutionen selbst sind von diesen Gefährdungslagen in der digitalen Welt betroffen, wie einmal mehr der jüngste Angriff auf die IT des Deutschen Bundestages im Jahr 2015 zeigt, welcher zu einer umfangreichen Neuinstallation zwang. Kommunikationsvorgänge im transaktionsbezogenen E-Government sind vor diesem Hintergrund insbesondere auch deswegen besonders sensibel, weil sie Rechtsfolgen nach sich ziehen. Werden diese Vorgänge kompromittiert, kann das für den privaten Nutzer und auch für die Verwaltung negative Konsequenzen haben. Für das transaktionsbezogene E-Government lässt sich beobachten, dass dieses gegenüber E-Commerce-Anwendungen deutlich geringere Nutzerzahlen hat. Viele Gefährdungsszenarien für die elektronische Kommunikation treten aber in beiden Bereichen auf. Teil 1: Einführung in den Untersuchungsgegenstand 4 Gang der Untersuchung Die Zielsetzung dieser Arbeit ist es, zu untersuchen, welches Maß an Verantwortung dem Staat vor dem Hintergrund einer sich stetig entwickelnden Informationsgesellschaft für den Schutz der informationellen Selbstbestimmung eines Nutzers von E-Government-Anwendungen zukommt und welches Maß an Eigenverantwortung der einzelne Nutzer tragen muss. Die Kategorie von rechtlicher Verantwortung spielt in der Rechtsordnung an vielen Stellen eine Rolle. Nach einer Einführung erfolgt im Teil 2 eine Auseinandersetzung mit den zu klärenden Grundbegriffen, um das zugrunde gelegte Begriffsverständnis zu verdeutlichen. Darüber hinaus sollen typische Gefährdungslagen für die elektronische Kommunikation und die handelnden Akteure dargestellt werden. Weiter werden die zur Verfügung stehenden Kommunikationsinfrastrukturen dargestellt, um die tatsächliche Ausgangslage für das Identitätsmanagement im E-Government zu skizzieren. In Teil 3 wird auf den vorhandenen Rechtsrahmen eingegangen. Dabei steht zunächst der europarechtliche, dann der verfassungsrechtliche und dann der einfachgesetzliche Rahmen im Vordergrund. Besonderes Augenmerk gilt der Frage, welche Wirkungsdimension der einschlägigen kommunikationsbezogenen Grundrechte adressiert wird. Darüber hinaus soll der einfachgesetzliche Rahmen für Identitätsmanagement im E-Government dargestellt werden. In Teil 4 werden die grundrechtlichen und tatsächlichen Anforderungen für den Datenschutz bei E-Government-Anwendungen sowie die Rolle der Eigenverantwortung des einzelnen Nutzers und die Verantwortung der anderen Akteure in diesem Kontext thematisiert. Dabei soll auch die Grenze dessen, was der Staat hier leisten kann, diskutiert werden. In Teil 5 werden dann ausgewählte Fragestellungen im Kontext des Identitätsmanagements auf der Ebene der Umsetzung diskutiert. Hierbei soll auf Beispiele für die Umsetzungsmöglichkeiten einer Verantwortungsteilung zwischen den Akteuren eingegangen werden. Zentral ist hier die E-Government-Anwendung iKfz, die in exemplarischer Form die vorher diskutierten Problemlagen aufzeigt. In Teil 6 erfolgt eine Zusammenfassung der Untersuchungsergebnisse in Form von Thesen. B. B. Gang der Untersuchung 5

Chapter Preview

References

Zusammenfassung

Der Autor geht der Frage nach, welchen Verantwortungsbeitrag im Hinblick auf den Datenschutz jeder einzelne Nutzer bei transaktionsbezogenen E-Government-Anwendungen zu tragen hat. Dabei wird den mehrpoligen Akteurskonstellationen aus öffentlicher Hand, privatem Diensteanbieter und privatem Nutzer Rechnung getragen. Die De-Mail und der neue Personalausweis stehen hier als durch die E-Government-Gesetzgebung besonders geregelte Infrastrukturen im Fokus. Nicht zuletzt wird durch die flankierenden gesetzlichen Vorgaben durch das Onlinezugangsgesetz, welches Bund, Länder und Kommunen dazu zwingt, einem Portalverbund beizutreten, das mehrpolige Verhältnis von öffentlicher Hand, Diensteanbieter und privatem Nutzer an Bedeutung gewinnen.