Content

Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government in:

Thomas Warnecke

Identitätsmanagement und Datenschutz, page 91 - 238

Verantwortung für einen datenschutzgerechten Zugang zu transaktionsbezogenen E-Government-Anwendungen unter besonderer Berücksichtigung der De-Mail-Dienste und des neuen Personalausweises

1. Edition 2019, ISBN print: 978-3-8288-4055-3, ISBN online: 978-3-8288-6925-7, https://doi.org/10.5771/9783828869257-91

Series: Wissenschaftliche Beiträge aus dem Tectum Verlag: Rechtswissenschaften, vol. 118

Tectum, Baden-Baden
Bibliographic information
Rechtliche Grundlagen für Identitätsmanagement im E-Government Hier soll nun sowohl der europarechtliche als auch der verfassungsrechtliche Rahmen für den Datenschutz bei elektronischer Kommunikation dargestellt werden. Damit soll aufgezeigt werden, welche Determinanten sowohl das Europarecht als auch das nationale Verfassungsrecht für Fragen des datenschutzgerechten Identitätsmanagements enthalten. Europarechtliche Vorgaben für den Datenschutz bei elektronischer Kommunikation Die grenzüberschreitenden Datenströme und die Ubiquität der Datenverfügbarkeit haben zu einer Rechtsentwicklung auf europäischer Ebene geführt. Diese kann bereits auf eine Entwicklung zurückblicken, die schrittweise der Bedeutung der automatisierten Verarbeitung personenbezogener Daten und des elektronischen Rechtsverkehrs Rechnung getragen hat. Diese Rechtsakte haben mit unterschiedlicher Durchsetzungskraft die nationale Gesetzgebung im Bereich des Datenschutzes beeinflusst. Diese Entwicklung soll im Folgenden der Chronologie und Relevanz folgend dargestellt werden, da nicht zuletzt von der europäischen Ebene Impulse für Datenschutz und Datensicherheit bei elektronischer Kommunikation ausgehen. Die Reihenfolge der Rechtsakte in der folgenden Darstellung ist insoweit zwingend. Datenschutzkonvention des Europarats (1981) Der Europarat hat im Jahr 1981 das „Übereinkommen zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten“ ausgearbeitet656. Es trat am 1. Oktober 1985 nach der Ratifikation durch Frankreich, Norwegen, Schweden, Spanien und die Bundesrepublik Deutschland in Kraft657. Der Verdienst dieser Datenschutzkonvention ist es, einige der bis zu diesem Zeitpunkt diskutierten Grundsätze zusammenzufassen, ohne dass wesentliche neue Aspekte hinzukamen658. Nichtsdestoweniger bewirkte die Tatsache, dass es sich um ein Dokument einer internationalen Organisation handelte, eine Sensibilisierung für die enthaltenen Grundsätze und für Teil 3: A. I. 656 Diese ist abrufbar unter: http://conventions.coe.int/Treaty/GER/Treaties/Html/108.htm (letzter Abruf: 08.11.2015). 657 Lübking/Zilkens, Datenschutz in der Kommunalverwaltung, 2. Aufl., 2008, Rn. 20. 658 Simitis, in: Ders. (Hrsg.), BDSG, Einl., Rn. 137. 91 Datenschutz überhaupt659. Die Unterzeichnerstaaten verpflichteten sich mit der Datenschutzkonvention, bestimmte Datenschutzprinzipien zu achten und innerhalb ihres Hoheitsgebietes durchzusetzen. Die Konvention enthält in Art. 5 fünf Anforderungen an die Verarbeitung personenbezogener Daten: Erstens müssen personenbezogene Daten nach Treu und Glauben und auf rechtmäßige Weise beschafft sein und verarbeitet werden. Sie müssen zweitens für festgelegte und rechtmäßige Zwecke gespeichert sein und dürfen nicht so verwendet werden, dass es mit diesen Zwecken unvereinbar ist. Drittens müssen personenbezogene Daten den Zwecken, für die sie gespeichert sind, entsprechen, für diese erheblich sein und dürfen nicht darüber hinausgehen. Sie müssen viertens sachlich richtig sein und, wenn nötig, auf den neuesten Stand gebracht sein. Sie müssen fünftens so aufbewahrt werden, dass der Betroffene nicht länger identifiziert werden kann, als es die Zwecke, für die sie gespeichert sind, erfordern. Neben diesem Kern an Anforderungen sieht die Konvention in Art. 6 eine Anforderung an besonders sensitive Daten sowie in Art. 8 Schutzmöglichkeiten des Betroffenen vor. Für einen langen Zeitraum waren die Inhalte der einzige Maßstab für Fragen des Datenschutzes im internationalen Kontext. Ihr Verdienst war es, dass sie endgültig den Rahmen isolierter nationaler Reaktionen auf Probleme bei der Verarbeitung personenbezogener Daten sprengte660 und die europäische Datenschutzlandschaft lange Zeit prägte661. Empfehlung des Europarates zum Schutz personenbezogener Daten im Internet von 1999 Im Zuge der gestiegenen Bedeutung des Internets verabschiedete das Ministerkomitee des Europarates am 23.02.1999 die Empfehlung zum Schutz personenbezogener Daten im Internet662. Die Empfehlungen enthielten sowohl Leitlinien für Nutzer als auch Leitlinien für Diensteanbieter663. Auch wenn der Schwerpunkt dieser Empfehlung auf den Bereich von E-Business und E-Commerce-Anwendungen abzielte, ist diese Empfehlung für E-Government-Anwendungen relevant, weil auch hier ähnliche Problemstellungen auftreten. Die in der Empfehlung angesprochenen Aspekte haben nach wie vor Aktualität. Ein Schwerpunkt der Empfehlung lag darin, dem Nutzer zu vermitteln, dass das Internet Risiken birgt und dass er alle verfügbaren Maßnahmen wie z. B. kryptografische Verschlüsselung ergreifen sollte, um seine personenbezogenen Daten selbst zu schützen664. Damit tauchte das Element des Selbstschutzes als Lösungsmöglichkeit auf. Die Nutzer sollten durch Verwendung geeigneter technischer Mittel einen Bei- II. 659 Lübking/Zilkens, Datenschutz in der Kommunalverwaltung, 2. Aufl., 2008, Rn. 20. 660 Simitis in: Ders. (Hrsg.), BDSG, Rn. 137. 661 Brühann/Zerdick, CR 1996, 429 (429). 662 https://wcd.coe.int/wcd/com.instranet.InstraServlet?command=com.instranet.CmdBlobGet&InstranetImage=276580&SecMode=1&DocId=396826&Usage=2 (letzter Abruf: 18.08.2015). 663 Schaar, Datenschutz im Internet, Rn. 87 ff. 664 Schaar, Datenschutz im Internet, Rn. 88. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 92 trag dazu leisten, das Hinterlassen von Datenspuren im Netz zu vermeiden. Dies sollte durch die anonyme Nutzung von Diensten als wirksamste Datenschutzmaßnahme im Internet erreicht werden. An den Stellen, wo eine anonyme Nutzung nicht möglich ist, sollten die Nutzer Pseudonyme einsetzen. Die Nutzer sollen datensparsam mit ihren personenbezogenen Daten umgehen, indem sie dem Diensteanbieter nur die unbedingt notwendigen Daten preisgeben. Zu besonderer Vorsicht wird im Umgang mit Kreditkartendaten geraten. Die Empfehlung ruft auch ins Bewusstsein, dass die E-Mail-Adresse ein personenbezogenes Datum ist und ihre Preisgabe mit Risiken verbunden sein kann. So wird darauf hingewiesen, dass diese von Dritten in Adressverzeichnissen und Nutzerlisten gespeichert werden kann. Im Falle einer nicht gewünschten Verwendung der E-Mail-Adressen wird geraten, dem Verwendungszweck zu widersprechen. Die Empfehlung sieht den Nutzer als wichtigsten Akteur für den Datenschutz, da er im Internet eigenverantwortlich handelt. Ihm wird geraten, sich über die Datenschutzpolitik seines Diensteanbieters zu informieren. Ist diese unzureichend, so wird den Nutzern geraten, den Anbieter zu wechseln und ggf. die zuständige Datenschutzaufsichtsbehörde einzuschalten. Dem Nutzer wird für Datenübermittlungen ins Ausland geraten, sich über das Datenschutzniveau im Empfängerland zu informieren, welches deutlich niedriger als im Heimatland sein könne. Damit geht die Empfehlung von der Prämisse aus, dass den Nutzer digitale Verantwortlichkeiten treffen und dieser über ein gewisses Maß an Datenschutzbewusstsein und Medienkompetenz verfügen muss. Für die Diensteanbieter sieht die Empfehlung Verfahren und Technologien vor, die besonders datenschutzfreundlich sind. Die Möglichkeit einer Zertifizierung wird vorzugsweise empfohlen und die besondere Bedeutung von Datenintegrität, Vertraulichkeit und logischer Sicherheit der Daten bei ihrer Übertragung betont. Für den Diensteanbieter wird eine frühzeitige Information des Nutzers empfohlen. So soll der Anbieter den Nutzer vor einer Registrierung über Datenschutzrisiken im Internet informieren. Er soll über Mittel des technischen Selbstschutzes wie kryptografische Verschlüsselung und digitale Signaturen informieren und diese zu einem günstigen Preis anbieten. Der Diensteanbieter soll über Möglichkeiten der Anonymisierung und Pseudonymisierung informieren. Die Anbieter sollen gewährleisten, dass Kommunikationsinhalte nicht von Dritten zur Kenntnis genommen werden können. Ihnen wird aufgegeben, personenbezogene Daten von Nutzern nur zu erheben, zu verarbeiten oder zu speichern, soweit es für explizit genannte Zwecke zulässig ist. Sie sollen für den Nutzer deutlich sichtbar eine Datenschutzerklärung auf ihre Webseite stellen. Es wird empfohlen, keine versteckte Datenerhebung durchzuführen. Die Veröffentlichung von personenbezogenen Daten im Internet soll mit äußerster Zurückhaltung erfolgen, da diese die Privatsphäre des Nutzers beeinträchtigen könnte. An den Empfehlungen wird sichtbar, dass diejenigen für den Nutzer mit denen für den Diensteanbieter korrespondieren. Auf der Seite des Nutzers ist die Schwierigkeit, ein Bewusstsein für die Gefahren im Internet und damit für die Notwendigkeit der Einhaltung der Empfehlungen zu schaffen. Die Empfehlungen dürften vielfach auch an der „Usability“ scheitern. Viele Sicherheitsmechanismen machen das Surfen A. Europarechtliche Vorgaben für den Datenschutz bei elektronischer Kommunikation 93 im Internet umständlicher. Das Einfügen von kryptografischen Mechanismen und elektronischen Signaturen in einen Vorgang ist hierfür ein Beispiel. Auf der Seite der Diensteanbieter gibt es wirtschaftliche Interessen, die einer Umsetzung der Empfehlungen entgegenstehen. Der wirtschaftliche Wert, den personenbezogene Daten und vollständige Nutzerprofile bieten, ist zu groß, als dass er ignoriert werden könnte. Aufseiten der Diensteanbieter ist die Neigung daher nicht groß, derartige freiwillige Empfehlungen vollständig umzusetzen. Die Empfehlungen sind daher kein wirksamer Mechanismus, um die verfolgten Ziele zu erreichen. Nichtsdestotrotz sind die Empfehlungen wichtig auf dem Weg, ein Bewusstsein zu schaffen. Deutlich wird auch, dass die Verantwortlichkeit des Diensteanbieters stärker ist als die des Nutzers, weil er den größeren Einfluss auf die Infrastrukturen hat. Europäische Grundrechtecharta Die Charta der Grundrechte soll im Rahmen dieser Arbeit kurz Erwähnung finden, da auch sie Vorgaben für den Schutz personenbezogener Daten enthält. Auf ihrer Tagung in Nizza im Dezember 2000 haben die Staats- und Regierungschefs der Mitgliedstaaten der Europäischen Union die vorher durch einen Konvent unter Vorsitz des ehemaligen Bundespräsidenten Roman Herzog ausgearbeitete Charta der Grundrechte der Europäischen Union beschlossen665. In Art. 8 regelt die Grundrechtecharta das Recht auf Schutz personenbezogener Daten. In Art. 8 Abs. 2 sind Vorgaben für die Verarbeitung personenbezogener Daten enthalten. Demnach dürfen Daten nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlichen Grundlage verarbeitet werden. Ferner sind ein Auskunftsrecht und ein Berichtigungsanspruch enthalten. Damit enthält die Europäische Grundrechtecharta Maßstäbe, die bereits in anderen europäischen Rechtsakten enthalten sind und teilweise auch bereits in den nationalen Rechtsordnungen. Die Charta entfaltet zwar keine unmittelbare Rechtswirkung666, hat aber dennoch datenschutzrechtliche Relevanz für ganz Europa667. Die Formulierung in Art. 8 Abs. 1 deutet auf eine objektivrechtliche Wirkungsdimension hin. Diese Regelung betrifft allerdings als Schutzobjekt nur die personenbezogenen Daten und ist nicht abwägungsfähig, da keine Abstufung nach Eingriffsintensitäten vorgenommen wird668. III. 665 Zu finden unter: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32000X1218(01): DE:NOT (letzter Abruf: 08.11.2015); vgl. auch Däubler-Gmelin, EuZW 2000, 1; Pache, EuR 2001, 475 (475 ff.); speziell zur Umsetzung in nationales Recht: Gounalakis/Mand, CR 1997, 431 (431 ff.). 666 Schaar, Datenschutz im Internet, Rn. 91. 667 Weichert, DuD 2013, 246 (246). 668 Schneider/Härting, CR 2014, 306 (312). Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 94 Europäische Datenschutzrichtlinie (DSRL) Die Europäische Datenschutzrichtlinie 95/46/EG (DSRL) war ein richtungsweisender Rechtsakt der Europäischen Gemeinschaft, der den Datenschutz zum Gegenstand hatte669 und ist durch die europäische Datenschutz-Grundverordnung (DS-GVO) abgelöst worden670. Da nach Erwägungsgrund 9 der DS-GVO die Ziele der DSRL nach wie vor Gültigkeit haben und die DS-GVO inhaltlich teilweise an der DSRL ansetzt, soll diese hier behandelt werden. Die DSRL hatte auf die nationalen Rechtsordnungen größeren Einfluss als die Konvention des Europarates, da ihre Umsetzung in den Mitgliedsstaaten sanktionsbewehrt ist. Prinzipiell gehen diese Vorgaben den Bindungen nationaler Grundrechte vor671. Es existieren faktisch Abstimmungserfordernisse mit dem nationalen Verfassungsrecht, da es keine Divergenz bei den Bindungen des nationalen Gesetzesrechts geben darf672. Schon deswegen können generell die Regelungskonzeptionen gemeinschaftsrechtlicher Richtlinien nicht ausgeblendet werden. Die Richtlinie nahm keine Trennung zwischen privatem und öffentlichem Sektor vor und hatte daher auch Auswirkungen auf den E-Government-Bereich673. Auf Bundesebene erfolgte die Umsetzung erst verspätet durch die Änderungen im BDSG a. F. von 2001, was zu einem Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland führte674. Im Folgenden sollen die grundlegenden Aspekte der DSRL Erwähnung finden, um die Entwicklungslinien zur DS-GVO zu verdeutlichen. Art. 1 Abs. 1 DSRL führt aus, dass die Mitgliedsstaaten der Europäischen Union nach dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten gewährleisten sollen. In Art. 1 Abs. 2 DSRL wird klargestellt, dass der freie Verkehr personenbezogener Daten zwischen den Mitgliedsstaaten hierbei nicht beschränkt oder untersagt werden kann. Als schützenswerte Positionen stehen sich also hier die Privatsphäre des Einzelnen und der freie Datenverkehr gegen- über. Zur Beseitigung der Hemmnisse für den freien Datenverkehr und um die Ziele des Binnenmarktes zu erreichen, wird ein gleichwertiges Schutzniveau als unerlässlich erachtet675. Die Grundkonzeption der DSRL sieht zwei Kategorien von Daten vor und spaltet auch damit die Rechtmäßigkeit der Verarbeitung in grundsätzlich zu beachtende und IV. 669 Richtlinie 95/46/EG, EU-DSRL vom 24.10.1995, zu finden unter http://eur-lex.europa.eu/legal-cont ent/de/ALL/;ELX_SESSIONID=4pnkJqKFhpXJ8wfv 61JLXGGxynzZVmCnHJR4GGK1HHmp29Q vS7v 2!672356356?uri=CELEX:31995L0046 (letzter Abruf: 08.11.2015). 670 Dazu sogleich unten unter: Teil 3, A., IX. 671 Hierzu statt vieler: Caspar, DÖV 2000, 349 (349 ff.). 672 Albers, Informationelle Selbstbestimmung, S. 311. 673 Burkert, HBDSR, Kap. 2.3, Rn. 44; vgl. Albers, Informationelle Selbstbestimmung, S. 311 ff., m. w. N., dass dies in den ursprünglichen Entwürfen noch anders war. 674 Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht, S. 120; Ohlenburg, K&R 2003, 265 (265). 675 Erwägungsgrund 8. A. Europarechtliche Vorgaben für den Datenschutz bei elektronischer Kommunikation 95 solche, die nur für bestimmte Kategorien von Daten gelten sollen676. Im Gegensatz zur Rechtsprechung des BVerfG, wonach die Sensibilität von Daten nicht von ihrem Inhalt abhänge, geht die Richtlinie ausweislich des Wortlautes des Art. 8 DSRL davon aus, dass bestimmte Arten personenbezogener Daten schon aufgrund ihres Inhaltes schützenswerter seien als andere. Begründet wird dies auch damit, dass unter den Mitgliedsstaaten ein breiter Konsens darüber besteht, dass es bei bestimmten Kategorien von Daten schon aufgrund ihres Inhalts das Risiko gebe, das Recht der betroffenen Person auf Privatsphäre zu verletzen.677 Die Grundkonzeption im deutschen Recht nahm grundsätzlich keine vergleichbare Spaltung vor, sondern knüpft an den Erhebungs- und Verwendungszweck an. Insoweit liegt der DSRL auch ein anderes Verständnis als den deutschen Maßstäben des informationellen Selbstbestimmungsrechts zugrunde. Das Zweckbindungsgebot steht in der DSRL konkurrierend neben anderen Kriterien und ist nach seinem Wortlaut und seiner Systematik der Datenschutzkonvention des Europarates entnommen678. Das bedeutet, dass die Auslegung der Zweckbindungsvorschriften innerhalb der Systematik der DSRL bleiben muss und sich Rückschlüsse aus dem nationalen Recht oder der deutschen Dogmatik verbieten. Weitere konkurrierende Anforderungen der DSRL neben dem Zweckbindungsgrundsatz sind das Erfordernis einer Treu und Glauben entsprechenden Art der Datenverarbeitung und der Grundsatz der Datenrichtigkeit und Zeitbindung. Diese Grundsätze bilden in ihrem Zusammenspiel eher eine Grundlage einer objektiveren Informationsordnung, als dass diese eine Bindung der Betroffenen an ihre Daten bezwecken679. Die DSRL benutzt an einigen Stellen den Begriff der Identität des für die Verarbeitung Verantwortlichen. So wird der Begriff bei den Informationsrechten des Betroffenen in Art. 10 und 11 DSRL verwendet. Definiert wird der Begriff dort nicht. Die Vorschrift regelt ein Verfahren zur Klarstellung der Identität des für die Verarbeitung Verantwortlichen. In Art. 2 a DSRL befindet sich eine Legaldefinition des Begriffes der personenbezogenen Daten. Danach sind personenbezogene Daten alle Informationen über eine bestimmte oder bestimmbare natürliche Person. Als bestimmbar wird danach eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind680. Diese Vorschrift setzt also mit bestimmten Attributen versehene Identitäten einer natürlichen Person voraus. Einen direkten Hinweis auf numerische Identitäten im digitalen Umfeld enthält die Vorschrift nicht. Sie regelt aber in Art. 3 Abs. 1, dass sich der Gel- 676 Forgò/Krügel/Rapp, Zwecksetzung und informationelle Gewaltenteilung, S. 24. 677 So die Begründung zum geänderten Vorschlag Abl. EG v. 27.11.1992, S. 18. 678 Damman, in: Simitis (Hrsg.), BDSG, § 14, Rn. 37. 679 Forgò/Krügel/Rapp, Zwecksetzung und informationelle Gewaltenteilung, S. 25. 680 In der Begründung der Richtlinie sind als Identifikationskriterien z. B. der Name, die Sozialversicherungsnummer, die Verknüpfung von Alter, Beschäftigung und Anschrift oder Fingerabdrücke und genetische Merkmale genannt. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 96 tungsbereich auf die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie deren nicht automatisierte Verarbeitung erstreckt, die in einer Datei gespeichert sind oder gespeichert werden sollen. Damit setzt sie zumindest eine Identität des Nutzers im Rahmen einer elektronischen Datenverarbeitung voraus. Enthalten sind in der DSRL aber Ausnahmen vom Anwendungsbereich für bestimmte Arten von Datenverarbeitungen, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen681. So ergibt sich aus Art. 3 Abs. 2 i. V. m. dem Erwägungsgrund 13 DSRL, dass Datenverarbeitungen bei Tätigkeiten der Gemeinsamen Außenund Sicherheitspolitik und der Polizeilichen und Justiziellen Zusammenarbeit in Strafsachen sowie Verarbeitungen, welche die öffentliche Sicherheit, die Sicherheit des Staates und die Tätigkeiten des Staates im strafrechtlichen Bereich betreffen, ausgenommen sind682. Diese Ausnahmen gelten insbesondere für digitale Personalausweise, weil diese als staatliches Identifikationsdokument eingesetzt werden und dabei gerade der Abwehr von Gefahren für die öffentliche Sicherheit dienen sollen683. Der deutsche Gesetzgeber hat bei der Umsetzung der Richtlinie diese Einschränkungen des Anwendungsbereiches nicht ins nationale Recht übernommen, sondern allgemeingültige Normen geschaffen. Generell sind E-Government-Dienstleistungen dem Bereich der Leistungsverwaltung zuzurechnen und daher auch nicht von diesen Ausnahmen erfasst. Die materiellen Kernvorgaben der DSRL finden sich in Art. 5 bis Art. 17. Hierbei knüpfen die hier genannten Grundsätze an Art. 5 der Datenschutzkonvention des Europarats an. Die dortigen Vorgaben werden teilweise übernommen sowie konkretisiert und erweitert684. In Art. 6 Abs. 1 lit. a DSRL findet sich enumerativ als Erstes die Vorgabe, dass personenbezogene Daten nach Treu und Glauben und auf rechtmäßige Weise erhoben werden müssen. Damit ist ein generalklauselartiger Maßstab an den Anfang gestellt worden. Dieser setzt Anknüpfungspunkte für die Rechtmäßigkeit nach nationalem Recht voraus. Die ebenfalls in Art. 6 Lit a DSRL genannte Datenverarbeitung „auf rechtmäßige Weise“ verpflichtet die Mitgliedsstaaten, Rechtmäßigkeitsvoraussetzungen aufzustellen, an denen der Umgang mit personenbezogenen Informationen und Daten zu messen ist685. In Art. 6 lit. b und c DSRL ist der zentrale Grundsatz der Zweckbestimmung geregelt. Hiernach dürfen personenbezogene Daten gemäß ihrer Zweckbestimmung erhoben werden und dürfen nicht mit einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden686. In Art 6 Abs. 1 lit. d DSRL ist der Grundsatz der Datenrichtigkeit geregelt, wonach personenbezogene Daten sachlich richtig sein und, wenn nötig, auf den neues- 681 Albers, Informationelle Selbstbestimmung, S. 319. 682 Zu den diesbezüglich vorhandenen eigenständigen Regelungen: Bull, in: Lamnek/Tinnefeld (Hrsg.), Globalisierung und informationelle Rechtskultur in Europa, 217 (222). 683 Golembiewski/Probst, Datenschutzrechtliche Anforderungen an den Einsatz biometrischer Verfahren in Ausweispapieren und bei ausländerrechtlichen Identitätsfeststellungen, S. 30; Hornung, Die digitale Identität, S. 137. 684 Vgl. Erwägungsgrund 11 der EG-DSRL. 685 Albers, Informationelle Selbstbestimmung, S. 322. 686 Bei diesem zentralen Grundsatz unterscheiden sich das BDSG a. F., welches eine strenge Zweckidentität verlangt, von der DSRL, welche die Zweckvereinbarkeit für die Rechtmäßigkeit der Datenverar- A. Europarechtliche Vorgaben für den Datenschutz bei elektronischer Kommunikation 97 ten Stand gebracht werden müssen. Hiernach sind alle angemessenen Maßnahmen zu treffen, damit im Hinblick auf die Zwecke, für die sie erhoben oder weiterverarbeitet werden, nicht zutreffende oder unvollständige Daten gelöscht oder berichtigt werden. An dieser Stelle wird deutlich, dass die DSRL die in Art. 6 genannten Grundsätze als Qualitätsanforderungen versteht. In Art. 6 Abs. 1 lit. e DSRL ist das wichtige Element der zeitlichen Begrenzung einer Speicherung geregelt. Hiernach dürfen personenbezogene Daten nicht länger, als es für die Realisierung der Zwecke, für die sie erhoben oder weiterverarbeitet werden, erforderlich ist, in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Person ermöglicht. Diese Vorschrift setzt das Bestehen eines Identitätsmanagements im Rahmen elektronischer Datenverarbeitung voraus, indem es an die Aufbewahrung die Anforderung stellt, dass die Identifizierung der betroffenen Person ermöglicht wird. Neben dem Element der zeitlichen Begrenzung im Rahmen der Zweckbindung wird in Art. 6 Abs. 1 lit. e DSRL ein Gebot möglichst frühzeitiger Anonymisierung und Pseudonymisierung gesehen687. In Art. 7 DSRL sind Schranken für die Verarbeitung gesetzt. Liest man diese mit den Regelungen in Artt. 5 und 6 DSRL zusammen, so stellt sich diese Rechtskonstruktion ähnlich einem Verbot mit Erlaubnisvorbehalt dar688. Die Verarbeitungsschranken sind im Rahmen der ursprünglichen Zweckbestimmung der Daten und auch im Falle zweckändernder Nutzungen anwendbar689. Als Erstes ist die Einwilligung der betroffenen Person in die Datenverarbeitung in Art. 7 lit. a DSRL genannt. Neben dieser Verortung erkennt man die herausragende Bedeutung der Einwilligung auch daran, dass diese in Art. 2 lit. h DSRL legaldefiniert wird. Danach ist eine Einwilligung jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden. Die Formulierung „ohne jeden Zweifel“ erlaubt auch eine konkludente Einwilligung, die aber eindeutig gegeben worden sein muss690. Das Element der Einwilligung spielt auch bei vielen E-Government-Dienstleistungen eine zentrale Rolle. In lit. b folgt die zur Erfüllung eines Vertrages erforderliche Datenverarbeitung, in lit. c die Erfüllung rechtlicher Pflichten des Verarbeitenden und in lit. d die Datenverarbeitung zur Wahrung lebenswichtiger Interessen der betroffenen Person. In lit. e ist die Erforderlichkeit einer Datenverarbeitung für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt und dem für die Verarbeitung Verantwortlichen oder einem Dritten übertragen wurde, enthalten. Es wird hier, der Grundkonzeption der DSRL folgend, nicht zwischen privaten und öffentlichen Stellen unterschieden, sondern an eine mögliche Aufgabenübertragung angeknüpft, die durch einen Rechtsakt erfolgen muss. In lit. f ist schließlich eine Abwägungsklausel enthalbeitung ausreichen lässt; zur Rolle des Zweckbindungsgebotes auch: Forgò/Krügel/Rapp, Zwecksetzung und informationelle Gewaltenteilung, S. 24 ff. 687 V. Zezschwitz, HBDSR, Kap. 3.1, Rn. 16; zu den Elementen der Anonymisierung und Pseudonymisierung vgl. unten: Teil 5, C. 688 Forgò/Krügel/Rapp, Zwecksetzung und informationelle Gewaltenteilung, S. 25. 689 V. Zezschwitz, HBDSR, Kap. 3. 1, Rn. 17. 690 Albers, Informationelle Selbstbestimmung, S. 326. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 98 ten, die eine Datenverarbeitung zulässig werden lässt, wenn sie zur Verwirklichung eines berechtigten Interesses des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich ist und nicht die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Art. 8 enthält eine spezielle Regelung für besonders sensitive Daten691. Dies sind Daten, aus denen die rassische und ethnische Herkunft hervorgeht, politische Meinungen, religiöse oder philosophische Überzeugungen, Daten über die Gewerkschaftszugehörigkeit sowie solche über Gesundheit oder Sexualleben. Diese Vorschrift unterscheidet sich von der deutschen Regelungskonzeption, die nicht an Datenkategorien anknüpft, sondern das Grundrecht auf informationelle Selbstbestimmung als Entscheidungsrecht über die Preisgabe und Verwendung personenbezogener Daten sieht692. Neben den Anforderungen an den für die Verarbeitung Verantwortlichen sind in den Artt. 10 bis 12 DSRL Informationsrechte des Betroffenen geregelt. Hierzu wird die Auffassung vertreten, dass es sich hierbei um Wissensrechte handele, die auf dem „Beteiligtsein“ oder der „Betroffenheit“ beruhten693. Zentrales Element ist hier die Identität des für die Verarbeitung Verantwortlichen. Auch an dieser Stelle ist der Begriff genannt und vorausgesetzt, ohne allerdings definiert zu werden. Richtlinie für den Schutz personenbezogener Daten und der Privatsphäre in der elektronischen Kommunikation 2002/58/EG Die Richtlinie über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation 2002/58/EG wurde 2002 erlassen. Ausweislich des Erwägungsgrundes 2 ist das Ziel dieser Richtlinie die Achtung der Grundrechte sowie nach Erwägungsgrund 3 die Vertraulichkeit der Kommunikation. Sie nimmt in Erwägungsgrund 4 Bezug auf die Richtlinie 97/66/EG und ersetzt diese. Im Mittelpunkt steht hier die durch die Entwicklung auf den Märkten notwendig gewordene Anpassung der Richtlinie 97/66/EG. Regelungsgegenstand sind nach Art. 3 Abs. 1 TK-DSRL elektronische Kommunikationsdienste und damit auch der Bereich des E-Governments. Nicht erfasst sein sollen Inhalte, die über elektronische Kommunikationsnetze zum Abruf bereitgehalten werden694. Die TK-DSRL zielte als Konkretisierung der EG-DSRL noch auf die Vertraulichkeit der Kommunikation für interaktive Dienste über Telekommunikationsnetze und war daher von ihrem Anwendungsbereich sehr eng gefasst695. Die Anpassung durch diese Richtlinie, welche somit eine V. 691 Dies steht im Gegensatz zur nationalen deutschen Interpretation des Grundrechts auf informationelle Selbstbestimmung, welche nach Maßgabe des Volkszählungsurteils davon ausgeht, dass es kein „belangloses“ Datum mehr gebe; vgl. BVerfGE 65, 1 (45) (Hervorhebung im Original). 692 Zu den unterschiedlichen Regelungskonzeptionen: Weber, EG-Datenschutzrichtlinie, S. 330 f.; Forgò/ Krügel/Rapp, Zwecksetzung und informationelle Gewaltenteilung, S. 24. 693 So Albers, Informationelle Selbstbestimmung, S. 331 ff; nach anderem Verständnis seien diese Informationsrechte allein mit Blick auf die Rechtsschutzinteressen der Betroffenen zu verstehen, so Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 10, Rn. 2. 694 Schaar, Datenschutz im Internet, Rn. 114. 695 Erwägungsründe 1-3 TK-DSRL. A. Europarechtliche Vorgaben für den Datenschutz bei elektronischer Kommunikation 99 aktualisierte Ergänzung der EG-DSRL darstellt696, soll gewährleisten, dass den Nutzern öffentlich zugänglicher elektronischer Kommunikationsdienste unabhängig von der zugrunde liegenden Technologie ein gleiches Maß an Schutz personenbezogener Daten und der Privatsphäre zugutekommt. Die hier beabsichtigte Technikneutralität697 im Datenschutz ist ein Element, welches auch heute noch in der datenschutzrechtlichen Diskussion aktuell ist698. Diese Richtlinie setzt das Vorhandensein numerischer Identitäten des Nutzers i. S. v. Identifizierbarkeit voraus, liefert aber hierfür keine Definition. In Erwägungsgrund 25 wird die Verwendung sog. „Cookies“ als Hilfsmittel zur Überprüfung der an Online-Transaktionen beteiligten Nutzer genannt. Für den Fall, dass derartige Instrumente einem rechtmäßigen Zweck dienen, wird ihr Einsatz als zulässig erachtet. Als Beispiel hierfür wird die Erleichterung von Diensten der Informationsgesellschaft genannt. Die Zulässigkeit ist an die Bedingung geknüpft, dass der Nutzer gemäß den Vorgaben der EG-DSRL klare und genaue Informationen über den Zweck dieser Instrumente erhält. Ebenso wird eine aktive Ablehnungsmöglichkeit für die Speicherung derartiger Instrumente im Endgerät des Nutzers gefordert. Die Gefährdung durch den Zugriff eines anderen Nutzers auf das entsprechende Endgerät wird hier erkannt. Der Erwägungsgrund 25 empfiehlt, die Verwendung von Cookies von einer in Kenntnis der Sachlage gegebenen Einwilligung abhängig zu machen, wenn der Einsatz insgesamt rechtmäßig ist. Bei der Einwilligung verweist die Richtlinie auf die EG-DSRL. Der Erwägungsgrund 43 nimmt erstmals die Verwendung falscher (digitaler) Identitäten beim Versand unerbetener Nachrichten zum Zweck der Direktwerbung in den Fokus. Erstmals wird also die Missbrauchsmöglichkeit für Identitäten bei elektronischer Kommunikation erkannt und daran die Forderung nach einem gesetzlichen Verbot geknüpft. Allerdings wird die Gefährdung dieses Missbrauches numerischer Identitäten bei digitaler Kommunikation nur in einem eng begrenzten Kontext gesehen. Ihrem Charakter nach ist die Richtlinie auf Dienste zugeschnitten, die Private anbieten. Der Bereich des E-Governments findet keine explizite Erwähnung. Dennoch haben die Regelungen dieser Richtlinie aber zumindest mittelbar auch Bedeutung für den Bereich des E-Governments und die Entwicklung im Bereich des Schutzes personenbezogener Daten bei elektronischer Kommunikation vorangetrieben. Richtlinie für den elektronischen Geschäftsverkehr (2000/31/EG) Die Richtlinie über den elektronischen Geschäftsverkehr (E-Commerce-Richtlinie 2000/31/EG) hat wesentliche Grundlagen für Fragen des E-Commerce geschaffen699. Die Richtlinie wurde in Deutschland durch das Gesetz für den elektronischen Ge- VI. 696 Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht, S. 120. 697 So ausdrücklich Erwägungsgrund 4. 698 So bereits im Kontext der Vorratsdatenspeicherung: Vgl. Heinson/Freiling DuD 2009, 547 (551). 699 Abl. L 178 vom 17.07.2000, S 1‒16. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 100 schäftsverkehr umgesetzt700. Diese Richtlinie erfasst nach Art. 1 „Dienste der Informationsgesellschaft“. Damit ist jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung gemeint701. Der Bereich des E-Governments ist daher nicht explizit erfasst. Lediglich dann, wenn eine Behörde in der Rolle eines privaten Unternehmens am elektronischen Geschäftsverkehr teilnimmt, weist diese Richtlinie für E-Government Relevanz auf702. Auch diese Richtlinie geht vom Vorhandensein von numerischen Identitäten bei digitaler Kommunikation aus, ohne diese zu definieren. Nach Art. 2 b bezeichnet der Begriff Diensteanbieter jede natürliche oder juristische Person, die einen Dienst der Informationsgesellschaft anbietet. Insoweit sind Diensteanbieter, die einen Dienst wie z. B. De-Mail anbieten, als Intermediäre703 von der Richtlinie erfasst. Die Richtlinie trifft bei den Diensteanbietern in Art. 5 mit einer Informationspflicht Vorsorge. Verfügbar zu machen sind hiernach Identitätsattribute wie Name und Anschrift des Diensteanbieters sowie der Handelsregistereintrag. Weitere Regelungen zum Identitätsmanagement, geschweige denn zu den Pflichten des Nutzers, trifft die Richtlinie nicht. Richtlinie für elektronische Signaturen 1999/93/EG Für den Rechtsrahmen des E-Governments von entscheidender Bedeutung war bisher die Signaturrichtlinie 1999/93/EG(RLeS)704. Diese ist zwar nunmehr durch die EU-Verordnung Nr. 910/2014 (eIDAS-Verordnung)705 abgelöst worden. Es lohnt sich dennoch ein Blick in die Signaturrichtlinie, um die Entwicklung aufzuzeigen und nachzuvollziehen. Elektronische Signaturen haben den Zweck, rechtsverbindliches Handeln zu ermöglichen, indem sie die Schriftform ersetzen706. Sie sollen zur sicheren Identifizierung707 beitragen und erhöhen somit auch das Aufkommen und die Nutzung personenbezogener Daten708. Gerade auch im Bereich des E-Governments sind damit zusätzliche Datenschutzprobleme zu erwarten709. In Deutschland wurde die RLeS durch das SigG vom 16.05.2001 umgesetzt, welches am 22.05.2001 in Kraft trat und das erste SigG von 1997 ablöste710. Aufgrund von § 24 SigG erging am 16.11.2001 die Verordnung zur elektronischen Signatur (Si- VII. 700 Gesetz für den elektronischen Geschäftsverkehr vom 14.12.2001, BGBl. I, 3721 ff. 701 Nach Art 2 a sind „Dienste der Informationsgesellschaft“ Dienste im Sinne von Artikel 1 Nummer 2 der Richtlinie 98/34/EG in der Fassung der Richtlinie 98/48/EG. 702 Yildirim, Datenschutz im Electronic Government, S. 85. 703 Vgl. zu Diensteanbietern und Intermediären bereits oben unter: Teil 2, C., III., 2 b). 704 Abl. L 13 vom 19.1.200, S. 12-20. 705 Dazu unten unter: Teil 3, A., X. 706 Hoffmann/Luch/Schulz (u. a.), Der E-POSTBRIEF in der öffentlichen Verwaltung, S. 25; zur Unterteilung der Formfunktionen der Schriftform im öffentlichen Recht: Schreiber, Elektronisches Verwalten, S. 85 ff. 707 Für den Bereich des E-Commerce hierzu: Geis, MMR 2000, 667 (667). 708 Roßnagel, HBDSR, Kap 7.7, Rn. 32. 709 Roßnagel, HBDSR, Kap 7.7, Rn. 32 m.w.N. 710 Roßnagel, HBDSR, Kap. 7.7, Rn. 9. A. Europarechtliche Vorgaben für den Datenschutz bei elektronischer Kommunikation 101 gnaturverordnung – SigV)711, wobei hier der Verordnungsgeber inhaltlich um Kontinuität zur Vorgängerregelung bemüht war712. Zielsetzung der RLeS war es ausweislich des Art. 1 Abs. 1 die Verwendung elektronischer Signaturen zu erleichtern und zu ihrer rechtlichen Anerkennung beizutragen. Dies wurde mit Blickrichtung auf das Funktionieren des Binnenmarktes festgelegt. Der Art. 1 Abs. 2 stellt klar, dass die Richtlinie keine Aspekte im Zusammenhang mit dem Abschluss und der Gültigkeit von Verträgen oder anderen rechtlichen Verpflichtungen regelt, für die es im einzelstaatlichen Recht oder im Gemeinschaftsrecht Formvorschriften gibt, und auch keine gemeinschaftsrechtlichen oder einzelstaatlichen Regeln zur Verwendung von Dokumenten berührt. Die Richtlinie gab damit nur einen Vereinheitlichungsrahmen für die Basisinfrastruktur „elektronische Signatur“ vor und überließ die Regelung der Verwendungskontexte dem einzelstaatlichen Recht. Als Kern der RLeS wird die Gleichstellung der Unterschrift als traditioneller Identifizierungsarchitektur mit der Public-Key-Infrastruktur (PKI) als qualifizierter elektronischer Signatur qualifizierter Zertifizierungsstellen gesehen713. Nach Art. 3 Abs. 7 S. 1 RLeS können die Mitgliedstaaten den Einsatz elektronischer Signaturen im öffentlichen Bereich zusätzlichen Anforderungen unterwerfen, welche objektiv, transparent, verhältnismäßig und nicht diskriminierend sein müssen714. Damit ist den Mitgliedstaaten Flexibilität bei der Ausgestaltung des nationalen Rechts gegeben. So können diese beim Sicherheitsniveau weit über die Richtlinienvorgaben hinausgehen. Im Zuge der Umsetzung der RLeS gab es die Erwägung, die Verwendung der akkreditierten Signatur im öffentlichen Bereich durchgängig vorzuschreiben, um die hohe Sicherheit des vorhandenen Signaturgesetzes zu erhalten715. Gleichzeitig kann diese Flexibilität aber auch zur Zersplitterung der Anforderungen für unterschiedliche Verwaltungsverfahren führen. Diese Vorschrift zeigt auch, dass es keinesfalls europarechtlich geboten ist, am Erfordernis der qualifizierten elektronischen Signatur, wie sie in § 3a VwVfG geregelt ist, festzuhalten. Denkbar sind verschiedene Sicherheitsniveaus beim Einsatz der Signaturen, die sich auch in der Beweissicherheit unterscheiden. Die Rechtsetzung zur elektronischen Signatur wird vielfach als Architektur zur Identifizierung im E-Commerce gesehen716. Nichtsdestotrotz erstreckt sich die RLeS, wie oben bereits erwähnt, auch auf den öffentlichen Bereich und damit auf E-Government. Sie geht im Erwägungsgrund 19 davon aus, dass elektronische Signaturen im öffentlichen Bereich innerhalb der staatlichen und gemeinschaftlichen Verwaltung und im Kommunikationsverkehr zwischen diesen Verwaltungen sowie zwischen diesen und den Bürgern eingesetzt werden717. Ausdrücklich werden an dieser Stelle bei- 711 SigV v. 16.11.2001, BGBl. I S. 3074. 712 Gramlich, in: Spindler/Schuster(Hrsg.), Recht der elektronischen Medien, § 24 SigG, Rn. 5. 713 Geis, MMR 2000, 667 (667); zum Begriff der PKI: Eckert, IT-Sicherheit, 421 ff. 714 Näher zu den einzelnen Merkmalen: Eifert/Schreiber, MMR 2000, S. 340 (341f.) 715 Roßnagel, MMR 1999, 261 (265); ders., K&R 2000, S. 313 (320); ebenso Schmitz, NVwZ 2000, 1238 (1244), Geis, MMR 2000, 667 (668). 716 So Geis, MMR 2000, 667 (667 ff.). 717 Erwägungsgrund 19 der RLeS. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 102 spielhaft die Einsatzmöglichkeiten bei in der öffentlichen Auftragsvergabe, der Steuerverwaltung, der sozialen Sicherheit, der Gesundheit und der Justiz genannt. Die EU-Kommission hat mit dem KOM-Beschluss 2011/130/EU718 vom 25.02.2011 einen Vorschlag zu Mindestanforderungen zur elektronischen Signatur sowie zur Überprüfung der Signatur-Richtlinie vorgelegt. Mit der KOM-Mitteilung (2011) 206 enda vom 13.04.2011 hat die EU-Kommission einen Vorschlag für die EU-weite gegenseitige Anerkennung elektronischer Identitäten und die Authentifizierung und Überarbeitung der Richtlinie über die elektronische Signatur vorgelegt719. Ziel der Überarbeitung der Richtlinie soll es auch sein, Begrifflichkeiten zu klären, den Einsatz von elektronischen Signaturen zu vereinfachen und die europaweite Interoperabilität bei Signaturen zu verbessern720. Der neue Regelungsrahmen soll die gegenseitige Anerkennung elektronischer Identifizierungs- und Authentifizierungsdienste sicherstellen sowie technologieneutral sein und sowohl Internet als auch Mobilkommunikation einschließen. Ein derartig angepasster Regelungsrahmen wird sich auch auf den Bereich des E-Governments auswirken. Dieser ist nunmehr in Form der eIDAS-Verordnung in Kraft getreten721. Im Hinblick auf die Nutzerverantwortung ist der Signaturrichtlinie nichts an Maßstäben zu entnehmen. Hierzu werden keine direkten Vorgaben getroffen. Eine Definition des Begriffes der Identität gab es in dieser Richtlinie nicht. Richtlinie zur Vorratsdatenspeicherung 2006/24/EG (2006) Von Bedeutung für das europäische Datenschutzrecht im Kontext elektronischer Kommunikationsdienste und damit auch im Bereich des transaktionsbezogenen E-Governments war grundsätzlich auch die Richtlinie 2006/24/EG über die Vorratsdatenspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste erzeugt oder verarbeitet werden722. Diese ist am 3. Mai 2006 in Kraft getreten. Der EuGH hat diese zwar im Jahr 2014 für ungültig erklärt723. Die Hintergründe und Entwicklungen zur Vorratsdatenspeicherung sollen hier aber trotzdem thematisiert werden, da im nationalen Recht weiter an einer Regelung gearbeitet wird724. Die Richtlinie enthielt die Verpflichtung der Mitgliedstaaten, gesetzliche Regelungen zu schaffen, wonach bestimmte bei Bereitstellung und Nutzung öffentlicher elektronischer Kommunikationsdienste anfallende Daten von den Diensteanbietern auf VIII. 718 Vgl. KOM-Beschluss 2011/139/EU vom 25.02.2011, der ein Referenzformat für elektronische Signaturen vorsieht und im Anhang technische Spezifikationen nennt. 719 Eixelsberger, eGovernment Review 2011, 10 (11); KOM-Mitteilung (2011) 206 enda, S. 14 ff.; vgl. auch BR-Drs. 232/11. 720 KOM-Mitteilung (2011) 206 enda, S. 15. 721 Dazu unten unter: Teil 3, A., X. 722 Zu finden unter: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:105:0054:0063: DE:PDF (letzter Abruf: 08.11.2015). 723 EuGH C-293/12 und C-495-12 (Große Kammer) – Urteil vom 8.04.2014, Leitsatz 1. 724 Nach einem Kompromiss zwischen BMI und BMJV soll ohne die Vorgabe der jetzt ungültigen Richtlinie eine neue Regelung zur Vorratsdatenspeicherung geschaffen werden. A. Europarechtliche Vorgaben für den Datenschutz bei elektronischer Kommunikation 103 Vorrat gespeichert werden müssen725. Sie wurde durch das Telekommunikationsüberwachungsgesetz726 in nationales Recht umgesetzt. Der nationale Gesetzgeber hat bei der Umsetzung dieser Richtlinie erhebliche Umsetzungsspielräume hinsichtlich des Zugangs zu den Daten und deren Verwendung gehabt727, die in Deutschland vom Gesetzgeber auch genutzt worden sind. Die Umsetzung der Richtlinie war von Beginn an stark umstritten728. Zunächst war bereits die Rechtsgrundlage der Richtlinie umstritten. Auf eine Klage Irlands hin bestätigte der EuGH729 am 10.09.2009 die Rechtsgrundlage und verwarf damit die Klage. Materielle Anforderungen wie die Vereinbarkeit der Richtlinie mit europäischen Grundrechten prüfte der EuGH in diesem Zusammenhang nicht730. Von Beginn an war in der Literatur die Verfassungsmäßigkeit der Vorratsdatenspeicherung umstritten731. Verfassungsrechtliche Bedenken bestanden gegen die massiven Eingriffe in das Fernmeldegeheimnis aus Art. 10 GG sowie in das Grundrecht auf informationelle Selbstbestimmung732. In den Regelungen wurde eine Verletzung des Wesensgehaltes des Fernmeldegeheimnisses aus Art. 10 GG gesehen733. Kritisiert wurde auch, dass der deutsche Gesetzgeber bei den Regelungen im TKG ein milderes, weniger eingriffsintensives Mittel wie das sog. „Quick-Freeze-Verfahren“734 nicht einmal als Alternative betrachtet hat735. Neben der generellen Frage der Verfassungsmä- ßigkeit der Regelungen zur Vorratsdatenspeicherung entstanden auf einfachgesetzlicher Ebene Abgrenzungsschwierigkeiten zwischen Verkehrsdaten und Kommunikationsinhaltsdaten736. Kritisiert wurde außerdem die mangelnde Technikneutralität der Vorschriften737. Die Umsetzung von technischen Sicherungen für Vorratsdaten in Form von technischen Richtlinien, die ohne Beteiligung des Gesetzgebers geändert oder auch gelockert werden können, wird als für die Erfüllung des Schutzauftrages für die informationelle Selbstbestimmung unzureichend bewertet738. Das BVerfG hat mit Urteil vom 02.03.2010 entschieden739, dass weite Teile der deutschen Regelungen in den §§ 113a, 113 b TKG zur Vorratsdatenspeicherung ver- 725 Lübking/Zilkens, Datenschutz in der Kommunalverwaltung, 2. Aufl., 2008, Rn. 25. 726 Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG, in BGBl. 2007, 3198 sowie BT-Drs. 275/07. 727 Westphal, EuZW 2006, 555 (559); Roßnagel, DuD 2010, 544 (546). 728 Bizer, DuD 2007, 586 (586 ff.), Westphal, EuZW 2006,555 (555 ff.). 729 EuGH, DVBl 2009, 371 ff; Hornung/Schnabel, DVBl. 2010, 824 (825). 730 Kritisch dazu Simitis, NJW 2009, 1782 (1782); Braum, ZRP 2009, 174 (174 ff.); Petri, EuZW 2009, 214 (214 f.); in diesem Zusammenhang stellen sich grundsätzliche Fragen des Europarechts, auf die hier nicht näher eingegangen werden kann. 731 Statt vieler: Hensel, DuD 2009, 527 (527); Dix/Petri DuD 2009, 531 (533); zur Bewertung der Gefahren und des Nutzens der Vorratsdatenspeicherung vgl. Pfitzmann/Köpsell DuD 2009, 542 (542 ff.). 732 Hensel, DuD 2009, 527 (527). 733 So Dix/Petri, DuD 2009, 531 (533). 734 Zum Begriff: Bizer, DuD 2007, 586 (588). 735 Dix/Petri, DuD 2009, 531 (534). 736 Heinson/Freiling, DuD 2009, 547 (547). 737 Heinson/Freiling, DuD 2009, 547 (551). 738 Roßnagel/Bedner/Knopp, DuD 2009, 536 (540). 739 BVerfG, 1 BvR 256/08 = BVerfG NJW 2010, 833. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 104 fassungswidrig sind. Es hat aber die Vorratsdatenspeicherung nicht als per se mit dem Grundgesetz unvereinbar erklärt.740 Neben der Nichtigerklärung der §§ 113 a, 113 b TKG enthält das Urteil darüber hinaus grundlegende Aussagen zum Verhältnis der Vorratsdatenspeicherung zu den Vorgaben des Volkszählungsurteils741. Die Zulässigkeit einer anlasslosen Vorratsdatenspeicherung ist nach dem BVerfG abhängig von der praktischen Ausgestaltung der Speicherung und der Auskunftserteilung742. Damit sieht das BVerfG hier die Möglichkeit einer Umsetzung der Richtlinie 2006/24/EG zur Vorratsdatenspeicherung, ohne dass das nationale Verfassungsrecht verletzt wird. Unmittelbar nach der Entscheidung des BVerfG fehlte es den Strafverfolgungsbehörden an einer rechtskonformen Eingriffsbefugnis743. Ein Ausblick auf eine möglicherweise anstehende Neuregelung bestand unmittelbar nach dem Urteil des BVerfG zunächst nicht.744 Mit Urteil vom 08.04.2014 hat der EuGH die Richtlinie 2006/24/EG zur Vorratsdatenspeicherung für ungültig erklärt745. Die Rechtsfolge davon ist, dass die Richtlinie 2006/24/EG rückwirkend mit allgemeiner Wirkung außer Kraft getreten ist746. Für den Gesetzgeber in den Mitgliedsstaaten besteht danach wieder die Möglichkeit, mit der Ermächtigung aus der Richtlinie 2002/58/EG die dort geregelten Löschungsvorschriften zu beschränken747. Im Jahr 2015 wurde über den Referentenentwurf des Bundesministeriums der Justiz und für Verbraucherschutz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten in der Öffentlichkeit diskutiert748. Entgegen der alten einfachgesetzlichen Umsetzung der Vorratsdatenspeicherung soll in diesem Gesetz der E-Mail-Verkehr nicht mehr einbezogen werden749. Generell wurde zu diesem Gesetzentwurf noch erheblicher Anpassungsbedarf zur Konkretisierung der Eingriffsnormen, Umsetzung der Datensicherheitsbestimmungen und insbesondere auch einer statistischen Erfassung des Nutzens der Vorratsdatenspeicherung gesehen750. Die Neuregelung ist am 18.12.2015 ungeachtet massiver Kritik in Kraft getreten751. 740 Kritisch hierzu Eckhardt/Schütze, CR 2010, 225 (225); zur Frage einer europarechtlichen Pflicht zur Wiedereinführung der Vorratsdatenspeicherung nach der Urteil des BVerfG: Breyer, MMR 9/2011, V (V). 741 Eckhardt/Schütze, CR 2010, 225 (225). 742 BVerfG, 1 BvR 256/08 = BVerfG NJW 2010, 833. 743 Eckhardt/Schütze, CR 2010, 225 (232). 744 Wolff, NVwZ 2010, 751 (751 ff.) 745 Zu den Folgerungen aus diesem Urteil: Roßnagel, MMR 2014, 73 (73); ders., MMR 2014, 372 (372 ff.); Boehm/Cole, MMR 2014, 569 (569 ff.)Wolff, DÖV 2014, 608 (608 ff.). 746 Kunnert, DuD 2014, 774 (778). 747 Kunnert, DuD 2014, 774 (778). 748 Vgl. den Referentenentwurf des BMJV zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten, Bearbeitungsstand: 15.05.2015, abrufbar unter: www.netzpolitik.org (letzter Abruf: 08.11.2015) sowie BR-Drs 249/15. 749 Der E-Mail-Verkehr war in der alten Regelung noch erfasst: Vgl. Bizer, DuD 2007, 586 (586). 750 Vgl. im Einzelnen: Gärtner/Kipker, DuD 2015, 593 (594 ff.). 751 BGBl. Jahrgang 2015 Teil I Nr. 51, S. 2218. A. Europarechtliche Vorgaben für den Datenschutz bei elektronischer Kommunikation 105 Auch hier stellt sich die Frage der verfassungsrechtlichen Zulässigkeit im europäischen Mehrebenensystem752. Europäische Datenschutz-Grundverordnung (DS-GVO) Maßgeblich für den Datenschutz in der gesamten Europäischen Union ist die Europäische Datenschutz-Grundverordnung (DS-GVO)753. Verordnungen sind nach Art. 288 AEUV unmittelbar anwendbar754 und tragen zur Rechtsvereinheitlichung bei. Die öffentliche Verwaltung, die transaktionsbezogene E-Government-Anwendungen anbietet, sowie die Diensteanbieter unterliegen der DS-GVO nebst den nationalen Datenschutzregelungen, sodass hier notwendigerweise auf die wichtigsten Vorgaben mit Relevanz für transaktionsbezogenes E-Government in der gebotenen Kürze einzugehen ist. Vorbemerkung zur Entwicklung Für die Datenschutzentwicklung in der EU wesentlich ist die viel diskutierte Datenschutz-Grundverordnung (DS-GVO)755, deren Entwicklungsstand hier kurz in den relevanten Aspekten zu skizzieren ist. Am 25.01.2012 hat die Europäische Kommission einen Vorschlag für eine Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz- Grundverordnung) vorgelegt756. Dieser vorausgegangen ist eine Mitteilung der Kommission aus dem Jahr 2010 zu einem „Gesamtkonzept für den Datenschutz in der Europäischen Union“757. Die Kommission hat die Initiative ergriffen und hiermit die Vorgaben der DSRL stark modifiziert, wobei die grundsätzlichen Ziele der DS- RL nach Erwägungsgrund 7 Gültigkeit behalten. Zum damaligen Diskussionsstand wurden in der Literatur auch Alternativen zum Vorschlag der Europäischen Kommission vom 25.01.2012 diskutiert758. Insbesondere die Entwicklungen im Bereich des Internets und ihre Gefahren für die informationelle Selbstbestimmung der Nutzer er- IX. 1. 752 Hierzu näher: Schiedermair/Mrozek, DÖV 2016, 89 (89 ff.). 753 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezoegner Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG. 754 Gegenüber entgegenstehendem nationalen Recht genießen sie Anwendungsvorrang: Schroeder, in: Streinz, EUV/AEUV, 2. Aufl. 2012, Art. 288, Rn. 40. 755 Der Vorschlag der EU-Kommission zur Datenschutz-Grundverordnung vom 25.01.2012 wird hier als „DS-GVO (KOM)“, die Fassung des Entwurfs, wie vom EU-Parlament am 12.03.2014 verabschiedet, als„DS-GVO (PARL)“ bezeichnet; mit DS-GVO wird dann die Verordnung (EU) 2016/679 in ihrer finalen Fassung bezeichnet. 756 Vorschlag der EU-Kommission KOM (2012) 11 endgültig; kritisch zur Absenkung von Datenschutzstandards: Wagner, DuD 2012, 676 (677); kritisch zu den Regelungen des betrieblichen und behördlichen Datenschutzbeauftragten nach diesem Entwurf: Hülsmann, DANA 1/2012, 7 (9); Spary, DANA 1/2012, 4 (4 f.). 757 Mitteilung vom 04.11.2010, KOM 2010) 609 endg. 758 Vgl. etwa Härting/Schneider, ITRB 2013, 19 (19 ff.). Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 106 fahren in den Entwürfen Berücksichtigung. Die DS-GVO soll im Schutzniveau über die EU-DSRL (Richtlinie 95/45/EG) hinausgehen, dieses also für jeden Einzelnen erhöhen759. Aus der Sicht der Kommission ist eine Verordnung als Rechtsinstrument zur Regelung des Schutzes personenbezogener Daten in der Union am besten geeignet760. Die DS-GVO soll der Entwicklung entgegenwirken, dass die Fragmentierung der Datenschutzregeln innerhalb der EU immer häufiger zu einem Problem für einen effektiven Grundrechtsschutz wird761. Der politische Prozess um die Datenschutz- Grundverordnung und deren unmittelbare Anwendbarkeit bei Inkrafttreten führte dazu, dass der nationale Gesetzgeber in vielen Bereichen des Datenschutzes „abgewartet“ hat762. Im Jahr 2015 liefen die Trilog-Verhandlungen zur DS-GVO763. Da es sich um eine Verordnung auf europäischer Ebene handelt, wurde bereits früh auf das nicht unproblematische Zusammenspiel mit nationalen Datenschutzvorschriften hingewiesen764. Am 27.04.2016 trat die DS-GVO dann formell und am 25.05.2018 materiell in Kraft. In diesem für ein Gesetzgebungsverfahren relativ kurzen Zeitraum entstanden dann in Bund und Ländern in Ausfüllung der Öffnungsklauseln ergänzende allgemeine und bereichsspezifische Datenschutzregelungen. Der Prozess ist derzeit auch noch nicht abgeschlossen. Bei der Rechtsanwendung stellt sich derzeit eine Fülle von Abgrenzungsfragen, die hier im Einzelnen nicht nachgezeichnet werden können. Differenzierung von öffentlichem und nicht-öffentlichem Bereich Die Unterscheidung zwischen und Einbeziehung von öffentlichem und privatem Bereich, wie sie in der DSRL bereits zum Ausdruck kam, wurde bei der DS-GVO beibehalten. Die verfassungsrechtlichen Rahmenbedingungen sind aber sehr unterschiedlich. Während der Staat nicht Grundrechtsträger ist und seine Informationsverarbeitung beschränkt werden muss, sind die privaten Datenverarbeiter ebenso wie die von der Datenverarbeitung betroffenen Grundrechtsträger selbst Grundrechtsträger, in deren Grundrechte durch die Beschränkung der Datenverarbeitung eingegriffen wird765. Daher wurde im Rahmen des Entstehungsprozesses auch eine Beschränkung der DS-GVO auf die Datenverarbeitung im nicht-öffentlichen Bereich als Vorschlag 2. 759 Albrecht, ITRB 2014, 119 (119) m. w. N. 760 Vorschlag der EU-Kommission KOM (2012) 11 endgültig, S. 6. 761 Albrecht, ITRB 2014, 119 (119). 762 So wurde die stockende Reformierung des niedersächsischen Datenschutzgesetzes im Rahmen einer Anfrage der FDP-Fraktion von der Niedersächsischen Landesregierung mit Verweis auf die Beratungen zur DS-GVO beantwortet: Vgl. LT-Drs. 17/2620 (unkorrigierter Vorabdruck), S. 17; zu den Schwierigkeiten bei der Umsetzung der DS-GVO auch: v. Lewinski, DuD 2012, 564 (566). 763 Mester, DuD 2015, 822 (822); zum entsprechenden Zeitplan: http://www.delegedata.de/2015/06/ datenschutzreform-vorlaeufigerzeitplan-fuer-die-finalen-trilog-verhandlungen/ (letzter Abruf: 08.11.2015). 764 Zilkens, Datenschutz in der Kommunalverwaltung, 4. Aufl., 2014, Rn. 25 m. w. N.; v. Lewinski, DuD 2012, 564 (568). 765 Schneider/Härting, CR 2014, 306 (307); BVerfGE 21, 362 (369 f.). A. Europarechtliche Vorgaben für den Datenschutz bei elektronischer Kommunikation 107 vertreten766. Letztlich ist aber das Prinzip „one size fits all“ in der DS-GVO umgesetzt worden, sodass für die öffentliche Verwaltung im Kern dieselben Regeln gelten wie für private Unternehmen767. Insoweit ergeben sich auch sehr grundlegende Vorgaben aus der DS-GVO, welche sowohl die öffentliche Verwaltung als auch private Unternehmen umsetzen müssen. Die zentralsten Elemente sollen in der folgenden Darstellung im Vordergrund stehen. Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO Nach Art. 30 Abs. 1 DS-GVO ist der für die Datenverarbeitung Verantwortliche verpflichtet, ein sog. Verzeichnis der Verarbeitungstätigkeiten zu führen, welches auf Anfrage auch der Datenschutzaufsichtsbehörde zur Verfügung zu stellen ist. Diese Vorschrift nennt Mindestinhalte, welche u. a. auch mit den Transparenzpflichten für den Betroffenen korrespondieren, und erfasst digitale genauso wie analoge oder möglicherweise hybride Verarbeitungstätigkeiten. Viele öffentliche und private Institutionen sind derzeit in erster Linie damit beschäftigt, dieses zu erstellen oder zu vervollständigen, sodass es zu Recht als Ausgangspunkt für die Vorgaben aus der DS-GVO bezeichnet wird768. Die Mindestinhalte des Verzeichnisses zwingen eine Behörde genauso wie ein privates Unternehmen dazu, aktiv zu erfassen, welche Datenverarbeitungsprozesse in welcher Form innerhalb der Organisation stattfinden, sodass auch von einer „gesetzlich normierten Hilfe zur Selbsthilfe“ gesprochen wird769. Das Verzeichnis übernimmt die Funktion einer grundlegenden Übersicht über die Verarbeitungstätigkeiten und ist auch für den Datenschutzbeauftragten in der jeweiligen Institution ein Ansatzpunkt für seine Überwachungsaufgaben, auch wenn er dieses nicht führt, sondern eine andere Organisationseinheit oder ggf. mehrere Organisationseinheiten der verantwortlichen Stelle770. Der Gesetzeswortlaut lässt der verantwortlichen Stelle viel Spielraum bei der Frage, was als einzelne Verarbeitungstätigkeit aufzufassen ist und wie das Verzeichnis generell zu führen ist. Eine Pflicht zur elektronischen Führung besteht nicht, bietet sich allerdings aufgrund der Fülle von Informationen an. Die Gliederung des Verzeichnisses ist beeinflusst durch die Organisationsstruktur einer Institution, und es gibt Auffassungen, welche bei sich immer wiederholenden Angaben die einmalige Dokumentation ausreichen lassen771. Es besteht die Möglichkeit der Verknüpfung mit zusätzlichen nicht gesetzlich normierten Angaben, die auch bei der IT-Steuerung einer Institution nützlich sein können772. 3. 766 Schneider/Härting, CR 2014, 306 (307); für eine Beibehaltung von öffentlichem und nicht-öffentlichem Bereich in der DS-GVO mit einer deutlicheren Unterscheidung plädiert: Rogall-Grothe, ZRP 2012, 193 (193). 767 Veil, NVwZ 2018, 686 (693). 768 Gossen/Schramm, ZD 2017, 7 (9). 769 Diese Formulierung verwenden Ehmann/Kranig, ZD 2018, 199 (199). 770 Lück, KommJur 2018, 81 (85). 771 HK-DS-GVO/BDSG Müthlein, Art. 30, Rn. 27 m. w. N. 772 Für ein kohärentes Datenschutzmanagementsystem plädieren: Bieker/Hansen, DuD 2017, 285 (287). Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 108 Risikobasierter Ansatz und Risikoanalyse Eine zentrale Bedeutung hat der in der DS-GVO enthaltene sog. „risikobasierte Ansatz“, der eine Skalierung der Handlungspflichten des Verantwortlichen vornimmt773. Bezugspunkt ist an dieser Stelle nach dem Wortlaut des Art. 24 Abs. 1 S. 1 DS-GVO immer die jeweilige Verarbeitungstätigkeit, die der Verantwortliche durchführt. Zur Ermittlung der konkreten Pflichten muss der Verantwortliche eine Risikoanalyse durchführen, welche die Eintrittswahrscheinlichkeit und die Schwere der Risiken für die Rechte der betroffenen Person miteinander ins Verhältnis setzt774. In der praktischen Umsetzung bedeutet dies, dass der Verantwortliche ein vollständig geführtes Verzeichnis der Verarbeitungstätigkeiten haben muss, um dann für jede einzelne Verarbeitungstätigkeit eine ebenfalls zu dokumentierende Risikoanalyse durchzuführen. Eine Verarbeitungstätigkeit kann auch eine Verwaltungshandlung sein, die im Wege des transaktionsbezogenen E-Governments gegenüber dem Bürger abgewickelt wird. Maßgeblich ist, dass die verantwortliche Stelle die Risiken identifiziert und dokumentiert. Der Erwägungsgrund (EG) 75 liefert hierzu eine Reihe von Beispielen besonders risikogeneigter Kontexte, die nicht abschließend sind. Hier werden auch Konstellationen des Identitätsmissbrauchs genannt, die im Bereich des transaktionsbezogenen E-Governments von Bedeutung sein können. Insoweit kann bei der Risikobeurteilung einer Verarbeitungstätigkeit auch die Gefahr eines Identitätsmissbrauchs bei der Abwicklung mittels transaktionsbezogenen E-Governments oder der vorgelagerten bzw. nachgelagerten Sachbearbeitung maßgeblich sein. Verbunden ist mit dem „Risikobasierten Ansatz“ notwendigerweise ein Risikomanagement in der jeweiligen Institution und eine Restrisikotragung durch Führungskräfte, die binnenorganisatorisch flankiert werden muss. Die Risikoanalyse grenzt sich von ausschließlich im Bereich der Informationssicherheit zu erstellenden Risikoanalysen ab und korrespondiert mit den Voraussetzungen der Datenschutz-Folgenabschätzung. Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO Als herausragendes Instrument zur Eindämmung von Risiken775 ist dementsprechend die Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 DS-GVO zu nennen. Adressat der Regelungen über die Datenschutz-Folgenabschätzung ist der Verantwortliche und es liegt in dessen Organisationshoheit, wer diese durchführt776. Anders als bei der sog. Vorabkontrolle nach altem nationalen Recht wie z. B. nach § 4 d Abs. 6 S. 1 BDSG a. F. und parallelen landesrechtlichen Vorschriften ist nicht der behördliche oder betriebliche Datenschutzbeauftragte Adressat777. Das bedeutet, dass die verantwortliche Stelle auch organisatorische Vorkehrungen treffen muss, um die Durchführung der Datenschutz-Folgenabschätzung gewährleisten zu können. So ist es nahelie- 4. 5. 773 Veil, ZD 2018, 9 (13). 774 Hartung, in: Kühling/Buchner (Hrsg.), DS-GVO Kommentar, Art. 24 Rn. 13. 775 Dochow, PinG 2018, 51 (51). 776 Auernhammer/Raum, Art. 35 DS-GVO, Rn. 7. 777 Auernhammer/Raum, Art. 35 DS-GVO, Rn. 7. A. Europarechtliche Vorgaben für den Datenschutz bei elektronischer Kommunikation 109 gend, dass die Organisationseinheit, welche die Risikoanalysen durchführt, auch federführend die Datenschutz-Folgenabschätzung durchführen sollte. Nach Art. 35 Abs. 1 DS-GVO ist die Datenschutz-Folgenabschätzung verpflichtend durch den Verantwortlichen durchzuführen, wenn die Voraussetzungen vorliegen, wenn also bei der Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Insoweit ist eine belastbare Risikoanalyse Voraussetzung für die Beurteilung. In den Fällen des Art. 35 Abs. 3 DS- GVO ist eine Datenschutz-Folgenabschätzung stets erforderlich. Nach Art. 35 Abs. 2 DS-GVO ist verpflichtend der Rat des behördlichen oder betrieblichen Datenschutzbeauftragten einzuholen. Die Rollenverteilung liegt nach der gesetzlichen Systematik bei dem Verantwortlichen und der Datenschutzbeauftragte ist auch nicht in der Rolle eines Impulsgebers oder proaktiv Nachforschenden778. Die Form der Beteiligung des Datenschutzbeauftragten ist nicht besonders ausgeprägt und hat nicht die Gestalt eines verbindlichen Vetorechts779. Insoweit kann es sich bei der praktischen Durchführung der Datenschutz-Folgenabschätzung anbieten, dass der Datenschutzbeauftragte neben dem Verantwortlichen zur eigenen Exkulpation eine kohärente Dokumentation pflegt, um seiner Überwachungsfunktion gerecht zu werden780. In Art. 35 Abs. 4 DS-GVO ist die Erstellung von Positivlisten durch die zuständigen Aufsichtsbehörden geregelt und in Art. 35 Abs. 5 DS-GVO die Erstellung von Negativlisten. Damit kann eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung auch durch die Aufnahme einer bestimmten Verarbeitungstätigkeit durch die Aufsichtsbehörde begründet werden781. Dementsprechend würde eine Aufnahme in eine Negativliste eine Verpflichtung des Verantwortlichen zur Durchführung ausschließen. Die Aufsichtsbehörden haben bereits erste sog. Muss-Listen veröffentlicht782, die allerdings noch bei Weitem nicht alle denkbaren Bereiche von Verarbeitungstätigkeiten erfassen. Der Wortlaut der Vorschriften legt nahe, dass die Positivliste obligatorisch und die Negativliste fakultativ ist783. Für den Verantwortlichen sind diese Listen jedenfalls nicht der einzige Orientierungsrahmen im Bereich der Datenschutz-Folgenabschätzung, sondern eher ein Indiz für mögliche Kontrollschwerpunkte der Aufsichtsbehörden. Aus Art. 35 Abs. 7 lit. d DS-GVO ergibt sich bei der Datenschutz-Folgenabschätzung, dass der Verantwortliche vor Aufnahme einer Verarbeitungstätigkeit die notwendigen Abhilfemaßnahmen vornimmt. Dies zwingt zu einer kohärenten Sicherheitskonzeption des Verantwortlichen unter Wahrung der Vorgaben des Art. 32 DS- GVO, welche keine Lücken aufweisen darf. Die Datenschutz-Folgenabschätzung ist kein linearer Prozess, sondern ein iterativer Prozess mit regelmäßigen Überprüfungs- 778 HK-DS-GVO/BDSG Ferik, Art. 35, Rn. 118. 779 Jandt, in: Kühling/Buchner (Hrsg.), DS-GVO Kommentar, Art. 35 Rn. 18. 780 HK-DS-GVO/BDSG Ferik, Art. 35, Rn. 119. 781 Jandt, in: Kühling/Buchner (Hrsg.), DS-GVO Kommentar, Art. 35 Rn. 13. 782 Vgl. hierzu: https://www.ldi.nrw.de/mainmenu_Aktuelles/submenu_EU-Datenschutzreform/Inhalt /EU-Datenschutzreform/DSFA-Muss-Liste-1_0.pdf (letzter Abruf: 16.09.2018). 783 Jandt, in: Kühling/Buchner (Hrsg.), DS-GVO Kommentar, Art. 35 Rn. 13 m. w. N. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 110 routinen784. Bei den Abhilfemaßnahmen wird das Standard-Datenschutzmodell in der Praxis insgesamt und auch bei der Umsetzung von E-Government immer wichtiger785. Im Rahmen der Bewertung von Abhilfemaßnahmen ist auf Vollständigkeit zu achten und besondere Bedeutung kommt unter dem Gesichtspunkt des Schutzziels der Vertraulichkeit den Rechte- und Rollenkonzepten zu786, welche der Verantwortliche lückenlos darlegen muss. Privacy by Design und Privacy by Default Der Verantwortliche ist nach Art. 25 Abs. 1 DS-GVO verpflichtet, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Zwecke der Verarbeitung und unter Berücksichtigung der Risiken für den Betroffenen sowohl zum Zeitpunkt der Festlegung der Mittel als auch zum Zeitpunkt der Verarbeitung geeignete technische und organisatorische Maßnahmen vorzunehmen. Dies wird unter dem Begriff „Privacy by Design“ gefasst. Rechtlich ist der Verantwortliche hier auf den „Stand der Technik“ festgelegt787. Die Vorgaben sind bereits auf den Zeitpunkt der Festlegung der Mittel der Verarbeitung gerichtet. Das bedeutet, dass ein Verantwortlicher, wenn er beabsichtigt, eine Fachanwendung einzuführen, bereits im Zeitpunkt der Ausschreibung auf dem Markt von den Bietern eine datenschutzfreundliche Systemgestaltung abfordern muss. Ein praktisches Problem bei der Umsetzung dieser Vorgaben ergibt sich dadurch, dass die verantwortlichen Stellen auf bestehende marktgängige Hard- und Software zurückgreifen müssen und damit die Systemgestaltung nicht voll in der Hand haben788. Die Hersteller sind in der DS-GVO gar nicht Adressaten und nur im Erwägungsgrund 78 genannt, sodass allenfalls eine indirekte Einwirkung des Verantwortlichen möglich ist789. Es kann allenfalls bei Auswahl und Implementierung der Systeme Einfluss auf eine datenschutzfreundliche Technikgestaltung genommen werden790. In diesem Bereich werden sich daher in Form von Zertifizierungen in Zukunft Beurteilungsparameter für den Verantwortlichen ergeben müssen. In Art. 25 Abs. 2 DS-GVO ist geregelt, dass der Verantwortliche geeignete technische und organistorische Maßnahmen treffen muss, die im Wege der Voreinstellung sicherstellen, dass nur die erforderlichen personenbezogenen Daten erhoben werden. Dieser Grundsatz des „Privacy by Default“ statuiert vor dem Hintergrund nutzerseitiger Kontrollmöglichkeiten die Pflicht, Datenverarbeitungen durch Voreinstellungen so zu konfigurieren, dass nicht erforderliche Daten gar nicht erst erhoben werden791. 6. 784 Bieker/Bremert/Hansen, DuD 2018, 492 (495). 785 Entscheidung 29/2018 des IT-Planungsrates; vgl. hierzu: https://www.it-planungsrat.de/SharedDocs /Sitzungen/DE/2018/Sitzung_26.html?pos=8 (letzter Abruf: 23.09.2018). 786 Auernhammer/Raum, Art. 35 DS-GVO, Rn. 41. 787 Vgl. hierzu im Kontext der DS-GVO näher: Bartels/Backer, DuD 2018, 214 (214 ff.); Knopp, DuD 2018, 663 (663 ff.) 788 Bieker/Hansen, DuD 2017, 285 (286). 789 Bieker/Hansen, DuD 2017, 285 (286). 790 Jandt, DuD 2017, 562 (563). 791 HK-DS-GVO/BDSG Keber/Keppeler, Art. 25, Rn. 58. A. Europarechtliche Vorgaben für den Datenschutz bei elektronischer Kommunikation 111 Der Fokus liegt hier für den Verantwortlichen ähnlich wie in Art. 25 Abs. 1 DS-GVO darin, technisch-organisatorische Maßnahmen zu implementieren792. Das bedeutet beispielsweise, dass bei einer transaktionsbezogenen E-Government-Anwendung der jeweilige Verantwortliche die technischen Funktionalitäten der Anwendung so nutzt, dass diese möglichst datenschutzfreundlich sind. Der Verantwortliche kann allerdings auch hier wieder nur darauf zurückgreifen, was der Hersteller bzw. Anbieter der Anwendung ihm zur Verfügung stellt. Im Rahmen der Vorentwürfe zur DS-GVO wurden die Fragestellungen zu technischen und organsiatorischen Sicherungsmaßnahmen bereits kontrovers diskutiert793. Kritisch angemerkt wurde in diesem Entwicklungsstadium der DS-GVO bereits, dass die Anforderungen zum „Datenschutz durch Technik“ nicht für die Hersteller der technischen Systeme direkt gelten, sondern sie gelten für die Datenverarbeiter, die wiederum nur nehmen können, was ihnen angeboten wird794. Gemeinsames Verfahren nach Art. 26 DS-GVO Die DS-GVO nimmt sich der Herausforderungen im Hinblick auf die Verantwortungssphären datenverarbeitender Akteure an. Daher sind nunmehr in Art. 26 DS- GVO Regelungen zu einem sog. „Gemeinsamen Verfahren“ aufgenommen worden, welches für digitale genauso wie analoge Verarbeitungstätigkeiten gilt. Diese Regelungen sind tatsächlich eine wesentliche Neuerung, die es so im nationalen Datenschutzrecht vorher nicht gab. Nach Art. 26 Abs. 1 S. 1 DS-GVO liegt eine gemeinsame Verantwortlichkeit dann vor, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Dies kann u. a. das Betreiben eines gemeinsamen Fachverfahrens durch mehrere Kommunen bei einem kommunalen IT- Dienstleister sein, in das ggf. auch eine transaktionsbezogene E-Government-Anwendung integriert sein kann bzw. das sich mit Basisinfrastrukturen für transaktionsbezogenes E-Government verknüpfen lässt. Nach Art. 26 Abs. 1 S. 2 DS-GVO müssen die gemeinsam Verantwortlichen in einer Verinbarung festlegen, wer von ihnen welche Verpflichtung aus der DS-GVO erfüllt, was insbesondere die Betroffenenrechte und Informationspflichten angeht. Wenn diese gesetzlich zwingende Vereinbarung nicht geschlossen ist, bleiben die Beteiligten dennoch bei Vorliegen der Tatbestandsvoraussetzungen gemeinsam verantwortlich und müssen die Pflichten aus der DS- GVO erfüllen795. Die gemeinsam Verantwortlichen können nach Art. 26 Abs. 1 S. 3 DS-GVO eine Anlaufstelle für die betroffene Person schaffen, um dieser auch die Wahrnehmung von Betroffenenrechten zu erleichtern. Insoweit zwingen die Vorschriften die gemeinsam Verantwortlichen dazu, die Zusammenarbeit vor Aufnahme der Verarbeitungstätigkeit zu strukturieren und dann zu regeln. Darüber hinaus haften die gemeinsam Verantwortlichen auch grundsätzlich gesamtschuldnerisch nach Maßgabe von Art. 82 DS-GVO, welcher dem Wortlaut nach das mögliche Handeln 7. 792 Hartung, in: Kühling/Buchner (Hrsg.), DS-GVO Kommentar, Art. 25 Rn. 25. 793 Kritisch etwa: Hornung, ZD 2012, 99 (103). 794 Roßnagel, in: Hill (Hrsg.), E-Transformation, 79 (97). 795 HK-DS-GVO/BDSG Kremer, Art. 26, Rn. 31 m. w. N. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 112 mehrerer Verantwortlicher umfasst796. Diese Neuerung durch die DS-GVO bildet ein Instrument, um Konstellationen geteilter Verantwortlichkeit in transparenter Weise für den Betroffenen zu strukturieren. Ein gemeinsames Verfahren nach Art. 26 mit einer entsprechenden Vereinbarung wird auch als Instrument für die rechtliche Absicherung von Portalen im Rahmen der Umsetzung des sog. Online-Zugangsgesetzes (OZG) gesehen797. Art. 24 DS-GVO (KOM) sah bereits eine Regelung zur gemeinsamen Verantwortlichkeit von mehreren Stellen bzw. Personen für die Datenverarbeitung sowie eine Haftung gegenüber dem Betroffenen vor. Dies stellt gegenüber dem nationalen deutschen Datenschutzrecht eine Neuerung dar798. Bereits bei den Vorentwürfen der DS- GVO wurde kritisiert, dass es keine Legaldefinition der Begriffe des „Verfahrens“ und des „Verarbeitungsvorganges“ gab799. In der nun geltenden Fassung der DS-GVO ist eine Verarbeitung „jeder mit oder ohne Hilfe ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“. Diese umfangreiche Definition erfasst alle Umgangsweisen mit personenbezogenen Daten, die z. B. bei einem gemeinsam betriebenen Fachverfahren auftreten. Zwingend ist bei diesem neuen Instrument, dass die Beteiligten ihren Informationsverbund darstellen und dann eine geeignete Vereinbarung schließen. Transparenzpflichten und Betroffenenrechte nach Art. 12 bis 22 DS-GVO In stärkerem Maße als vorher nach nationalem Recht sind in der DS-GVO die Rechte des Betroffenen in den Art. 12 bis 22 geregelt. Nach der Verantwortungsarchitektur der DS-GVO korrespondieren hier umfangreiche Transparenzpflichten des Verantwortlichen mit eigenverantwortlich wahrnehmbaren Rechten des Betroffenen. Einige sollen hier kurz skizziert werden, da diese auch im transaktionsbezogenen E-Government eine Rolle spielen können. Rahmenregelungen in Art. 12 DS-GVO In Art. 12 DS-GVO sind Rahmenregelungen zum einen zu den Transparenzpflichten des Verantwortlichen und zum anderen Verfahrensregelungen für die Betroffenenrechte enthalten800. Die Transparenzpflichten bezwecken, dass der Betroffene einen 8. a) 796 Hartung, in: Kühling/Buchner (Hrsg.), DS-GVO Kommentar, Art. 26 Rn. 29. 797 Schliesky/Hoffmann, DÖV 2018, 193 (197). 798 Klare Trennlinien für Verantwortlichkeit werden nach Maßgabe des nationalen Rechts bei mehreren potenziell Verantwortlichen gezogen: OVG Schleswig 4 LB 20/13, S. 22 ff. (Facebook-Urteil). 799 Jaspers, DuD 2012, 571 (571 f.) (Hervorhebungen im Original). 800 Kritisch zur systematischen Anordnung der Vorschrift: Bäcker, in: Kühling/Buchner (Hrsg.), DS- GVO Kommentar, Art. 12 Rn. 5 ff. A. Europarechtliche Vorgaben für den Datenschutz bei elektronischer Kommunikation 113 niedrigschwelligen Zugang zu den für ihn relevanten Informationen über die verarbeiteten Daten bekommt. Für die praktische Umsetzung der nach den Art. 15 bis 22 DS-GVO zu ergreifenden Maßnahmen ist die Regelung des Art. 12 Abs. 3 S. 1 DS- GVO von besonderer Bedeutung, wonach der Verantwortliche die Informationen dem Betroffenen auf Antrag unverzüglich, jedenfalls aber innerhalb eines Monats nach Antragseingang zur Verfügung stellt. Vor dem Hintergrund, dass die personenbezogenen Daten einer Person an unterschiedlichen bzw. mehreren Stellen, z. B. in einer Kommunalverwaltung, gespeichert sein können, bedeutet die Monatsfrist eine große Herausforderung, die ggf. zu einer Überprüfung von internen Datenschutzprozessen zwingt. Insoweit wäre dieser Prozess auch bei transaktionsbezogenen E-Government-Anwendungen mitzudenken. Informationspflicht bei Direkterhebung und Dritterhebung in Art. 13 und 14 DS-GVO Die rechtliche Verpflichtung des Verantwortlichen aus Art. 13 und Art. 14 DS-GVO entspringt dem Grundsatz der Transparenz801 aus Art. 5 Abs. 1 lit. a) DS-GVO und wird insgesamt auch als „Hauptpfeiler“ der neuen Betroffenenrechte bezeichnet802. Dem Betroffenen sind bei der Direkterhebung nach Art. 13 Abs. 1 DS-GVO und bei Dritterhebung nach Art. 14 Abs. 1 DS-GVO Name und Kontaktdaten des Verantwortlichen, Kontaktdaten des Datenschutzbeauftragten, Zwecke und Rechtsgrundlage der Verarbeitung und Empfänger oder Kategorien von Empfängern mitzuteilen. Bei der Dritterhebung sind zusätzlich noch die Kategorien von Daten mitzuteilen. Nach Art. 13 Abs. 1 DS-GVO muss die Mitteilung zum Zeitpunkt der Erhebung stattfinden, sodass die Informationen in den Antragsprozess bei einer Behörde, ggf. durch Einbindung in Online-Formulare oder bei privaten Diensteanbietern in Allgemeine Geschäftsbedingungen803, integriert werden müssen. Jede Organisationseinheit einer Behörde wird sich daher die jeweiligen Prozesse anschauen müssen, um der Verpflichtung zu genügen. Auskunftsanspruch nach Art. 15 DS-GVO Der zentrale Auskunftsanspruch des Betroffenen ist in Art. 15 DS-GVO geregelt. Jeder Betroffene kann sich auf Grundlage dieser Vorschrift an einen Verantwortlichen wenden und Auskunft verlangen. Hierfür greift auch die in Art. 12 Abs. 3 S. 1 DS- GVO genannte Monatsfrist. Der mündige Betroffene hat mit dieser Regelung eine Rechtsposition, mit der er seiner eigenen Datenschutzverantwortung nachkommen kann. Der Auskunftsanspruch ist sehr weitgehend und nach Art. 12 Abs. 5 S. 2 DS- GVO nur bei offenkundig unbegründeten oder exzessiven Anträgen abzulehnen. Eine Geltendmachung dieses Anspruches durch die betroffene Person in regelmäßigen Abständen wird nicht als exzessiv gesehen804. Insgesamt kann der Verantwortliche als b) c) 801 Von „instrumentellem Wert“ der Transparenz spricht: Schulte, PinG 2017, 227 (230). 802 HK-DS-GVO/BDSG Schwartmann/Schneider, Art. 13, Rn. 10. 803 Auernhammer/Eßer, Art. 13 DS-GVO, Rn. 11. 804 Schulz, PinG 2018, 221 (221). Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 114 Mitwirkungshandlung vom Betroffenen verlangen, dass dieser präzisiert, worauf sich sein Auskunftsverlangen bezieht805. Der Verantwortliche kann auch bei Zweifeln über die numerische Identität des Betroffenen Authentifikationsmaßnahmen durchführen, da die Auskunft an einen Nichtberechtigten eine sanktionsfähige Übermittlung darstellt806. Recht auf Berichtigung nach Art. 16 DS-GVO Nach Art. 16 S. 1 DS-GVO hat der Betroffene ein explizites Recht auf Berichtigung ihn betreffender unrichtiger personenbezogener Daten. Darüber hinaus hat er das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen. Auch bei diesem Anspruch kann der Verantwortliche den Betroffenen zu Mitwirkungshandlungen bei der Feststellung seiner Identität auffordern807. Recht auf Löschung nach Art. 17 DS-GVO In Art. 17 DS-GVO ist ein umfängliches Recht auf Löschung des Betroffenen gegen den Verantwortlichen mit enumerativ genannten Gründen geregelt. Dies kann grundsätzlich auch bei Verarbeitungstätgkeiten im transaktionsbezogenen E-Government zum Einsatz kommen. Dieser Anspruch wird auch mit dem Begriff „Recht auf Vergessenwerden“ bezeichnet, welches in der Diskussion bei der Entstehung der DS- GVO eine größere Aufmerksamkeit fand, als die juristische Bedeutung es geboten hätte808. In Art. 17 Abs. 1 DS-GVO sind ganz klassische Löschungsgründe, wie Wegfall der Erforderlichkeit, Widerruf der Einwilligung und Widerspruch gegen die Verarbeitung sowie gegen die unrechtmäßige Verarbeitung etc., enthalten. Diese Gründe waren weitestgehend auch schon vorher im nationalen Datenschutzrecht vorhanden. Bei elektronischer Datenverarbeitung besteht die technische Herausforderung darin, die vollständige Löschung vor dem Hintergrund von Redundanzmechanismen bei IT- Dienstleistern, die aus Gründen der Informationssicherheit geboten sein können, sicherzustellen. Recht auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO Der Betroffene hat ein Recht auf Einschränkung der Verarbeitung. Dieses kann er z. B. geltend machen, wenn er die Richtigkeit der personenbezogenen Daten bestreitet für die Zeitdauer, in der der Verantwortliche die Richtigkeit der Daten überprüft. Dem Grunde nach werden die Daten hier markiert, um die Verarbeitung einzuschränken, was im vorherigen nationalen Recht mit dem Begriff des „Sperrens“ bed) e) f) 805 Bäcker, in: Kühling/Buchner (Hrsg.), DS-GVO Kommentar, Art. 15 Rn. 30. 806 Schulz, PinG 2018, 221 (221). 807 Herbst, in: Kühling/Buchner (Hrsg.), DS-GVO Kommentar, Art. 16 Rn. 33. 808 HK-DS-GVO/BDSG Leutheusser-Schnarrenberger, Art. 17, Rn. 1. A. Europarechtliche Vorgaben für den Datenschutz bei elektronischer Kommunikation 115 zeichnet wurde809. Darüber hinaus gibt es weitere Gründe, bei denen der Betroffene ein Recht auf Einschränkung der Verarbeitung hat. Wenn der Verantwortliche die Einschränkung aufhebt, muss er den Betroffenen nach Art. 18 Abs. 3 DS-GVO benachrichtigen. Mitteilungspflicht nach Art. 19 DS-GVO Der Verantwortliche muss nach Art. 19 DS-GVO allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede Berichtigung oder Löschung personenbezoegner Daten oder eine Einschränkung der Verarbeitung nach Art. 16, Art. 17 Abs. 1 und Art. 18 DS-GVO mitteilen. Ausschlussgründe hierfür sind Unmöglichkeit oder ein unverhältnismäßiger Aufwand. Insoweit sind hier die Rechte des Betroffenen mit korrespondierenden Transparenzpflichten des Verantwortlichen verknüpft. Recht auf Datenübertragbarkeit nach Art. 20 DS-GVO Nach Art. 20 Abs. 1 DS-GVO hat der Betroffene unter den dort genannten Voraussetzungen ein Recht auf Datenübertragbarkeit, mit dem er personenbezogene Daten, die er einem Verantwortlichen bereitgestellt hat, zum einen herausverlangen kann und zum anderen an einen anderen Verantwortlichen übertragen kann. Der Grundgedanke wird darin gesehen, dass die Nutzer digitaler Angebote die Datensouveränität behalten810. Dieser Anspruch ist tatsächlich ein neues Recht des Betroffenen, welches in dieser Ausprägung im bisherigen nationalen Recht nicht zu finden war. Das zugrunde liegende Anwendungsszenario liegt in erster Linie bei E-Commerce-Anwendungen und insbesondere auch bei sozialen Netzwerken811. Vermieden werden sollen die sog. Lock-In-Effekte, wonach große Anbieter von Online-Diensten einmal zur Verfügung gestellte Daten des Betroffenen nicht herausgeben und einen Anbieterwechsel erschweren812. Aber es ist auch denkbar, dass dieses Recht bei E-Government-Anwendungen geltend gemacht werden kann. Nach Art. 20 Abs. 2 DS-GVO steht die Daten- übertragung von einem zum anderen Verantwortlichen unter dem Vorbehalt des technisch Machbaren. Der Betroffene kann seinen Anspruch gegenüber beiden infrage kommenden Verantwortlichen ‒ dem ursprünglichen und dem zukünftigen ‒ geltend machen813. Auch hier kann der jeweils adressierte Verantwortliche Mitwirkungshandlungen des Betroffenen bei der Feststellung der Identität des Betroffenen verlangen814. Der Anwendungsbereich des Rechts auf Datenübertragung ist im Einzelnen umstritten815. g) h) 809 Herbst, in: Kühling/Buchner (Hrsg.), DS-GVO Kommentar, Art. 18 Rn. 28 (Hervorhebung im Original). 810 Strubel, ZD 2017, 355 (355). 811 Vgl. Hermonies, in: Jandt/Steidle (Hrsg.), Datenschutz im Internet, S. 453. 812 Auernhammer/Schürmann, Art. 20 DS-GVO, Rn. 4. 813 Hermonies, in: Jandt/Steidle (Hrsg.), Datenschutz im Internet, S. 455. 814 Herbst, in: Kühling/Buchner (Hrsg.), DS-GVO Kommentar, Art. 20 Rn. 32. 815 Vgl. hierzu: Strubel, ZD 2017, 355 (356 ff.). Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 116 Widerspruchsrecht nach Art. 21 DS-GVO In Art. 21 Abs. 1 S. 1 DS-GVO ist ein allgemeines Widerspruchsrecht des Betroffenen geregelt, welches dann eingreift, wenn sich die Datenverarbeitung auf Art. 6 Abs. 1 lit. e) oder f) stützt, also den Tatbestand der Güterabwägung und denjenigen der Wahrnehmung einer öffentlichen Aufgabe. Es besteht hier eine Darlegungslast des Betroffenen im Hinblick auf die Gründe, und diese Rechtsposition stellt einen Ausgleich dar für die vorher durch den Verantwortlichen vorgenommene Güterabwägung, die typisierend erfolgt816. Insoweit verlangt Art. 21 Abs. 1 S. 1 DS-GVO auch, dass es sich um Gründe handeln muss, die sich aus der besonderen Situation des Betroffenen ergeben. Ein absolutes Widerspruchsrecht hat der Verordnungsgeber nach Art. 21 Abs. 2 DS-GVO für den Fall der Direktwerbung vorgesehen. Verbot automatisierter Entscheidungen einschließlich Profiling nach Art. 22 DS-GVO In Art. 22 DS-GVO ist eine Rechtsposition des Betroffenen enthalten, wonach er das Recht hat, nicht einer ausschließlich auf einer automatisierten Verarbeitung ‒ einschließlich Profiling ‒ beruhenden Entscheidung unterworfen zu werden, die ihm gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise beeinträchtigt. Obwohl diese Regelung systematisch bei den Betroffenenrechten steht, ist die Vorschrift als Verbot für den Verantwortlichen mit entsprechenden Erlaubnistatbeständen ausgestattet817. In Art. 22 Abs. 3 DS-GVO werden für den Fall, dass der Verantwortliche sich auf einen Erlaubnistatbestand stützt, weitere Schutzvorkehrungen für den Betroffenen zur Anfechtung der automatisierten Entscheidung geregelt. Stärkung der Datenhoheit des Nutzers Die Betroffenenrechte in Art. 12 bis 22 DS-GVO entfalten auch bei transaktionsbezogenen E-Government-Anwendungen Relevanz und stärken die Datenhoheit des Nutzers. Hier wird deutlich, dass der Verordnungsgeber eine Ausdifferenzierung von Betroffenenrechten vorgenommen hat, dem Nutzer aber lediglich Mitwirkungshandlungen bei der Identifizierung seiner Person und vereinzelt Darlegungslasten abverlangt. Die Hauptpflichten treffen nach der Verantwortungsarchitektur der DS-GVO den Verantwortlichen. Sanktions- und Haftungsregime für den Verantwortlichen Eine wesentliche Neuerung durch die DS-GVO ist das stark verschärfte Sanktionsregime der Datenschutzaufsichtsbehörden gegenüber dem Verantwortlichen, welches auch aufgrund der großen Höhe potenzieller Bußgelder große Aufmerksamkeit erlangt hat. Art. 83 DS-GVO trifft Regelungen, die fast ausnahmslos alle Pflichten der i) j) k) 9. 816 Auernhammer/Kramer, Art. 21 DS-GVO, Rn. 10. 817 HK-DS-GVO/BDSG Atzert, Art. 22, Rn. 2. A. Europarechtliche Vorgaben für den Datenschutz bei elektronischer Kommunikation 117 DS-GVO mit einem Bußgeld belegen818. Allerdings wurde für den öffentlichen Bereich relativ früh der Weg eingeschlagen, im Wege der Öffnungsklausel des Art. 83 Abs. 7 DS-GVO im nationalen Recht wie z. B. in Art. 43 Abs. 3 BDSG n. F. Regelungen zu schaffen, die Behörden von der Bußgeldandrohung ausnehmen819. Für öffentliche Stellen relevant und praktisch bedeutsam sind die sog. Abhilfebefugnisse des Art. 58 Abs. 2 DS-GVO. Dem Verhältnismäßigkeitsgrundsatz folgend, kann die Aufsichtsbehörde zunächst nach Art. 58 Abs. 2 lit. a) „Warnen“ und nach lit. b) „Verwarnen“820. In Art. 58 Abs. 2 sind dann in lit c) bis d) weitere schärfer gefasste Abhilfebefugnisse vorhanden. Dazu gehört nach Art. 58 Abs. 2 lit) d DS-GVO die Möglichkeit, den Verantwortlichen anzuweisen, Verarbeitungsvorgänge in bestimmter Weise und innerhalb eines Zeitraumes in Einklang mit der DS-GVO zu bringen. Darüber hinaus besteht nach Art. 58 Abs. 2 lit. f) noch die Möglichkeit der vorübergehenden und endgültigen Beschränkung sowie des Verbotes von Verarbeitungsvorgängen. Das kann auch konkret bedeuten, dass die Aufsichtsbehörde eine Fachanwendung einer Behörde, die eine transaktionsbezogene E-Government-Anwendung ermöglicht, beschränkt oder mit einem Verbot belegt. Diese Abhilfebefugnisse waren vorher im nationalen Datenschutzrecht so nicht vorhanden und stellen damit eine wesentliche Neuerung auch für die öffentliche Verwaltung, die E-Government anbietet, dar. Jedenfalls müssen sich auch die Aufsichtsbehörden der großen Herausforderungen stellen, welche die neuen Befugnisse mit sich bringen821. Neben diesem Sanktionsregime kann den Verantwortlichen der Schadensersatzanspruch des Betroffenen aus Art. 82 Abs. 1 DS-GVO treffen, der sich auf materiellen und immateriellen Schadensersatz bezieht. Die Vorschrift enthält eine eigenständige Haftungsnorm, die neben weiteren möglichen Ansprüchen besteht, und zwingt den Verantwortlichen und den Auftragsverarbeiter zu einem Entlastungsbeweis822. Insoweit ist der Verantwortliche gut beraten, die vorgenannten datenschutzrechtlichen Verpflichtungen aus der DS-GVO einzuhalten und sein Datenschutzmanagement insgesamt darauf auszurichten. Meldepflichten nach Art. 33 und Art. 34 DS-GVO Neben dem neuen Sanktions- und Haftungsregime der DS-GVO treffen den Verantwortlichen neue Meldepflichten bei Datenschutzverstößen aus Art. 33 und 34 DS- GVO, die in dieser ausgeprägten Form vorher im nationalen Datenschutzrecht nicht so stark, sondern nur teilweise vorhanden waren. Grundsätzlich trifft den Verantwortlichen die Pflicht nach Art. 33 DS-GVO, die Verletzung des Schutzes personen- 10. 818 Pohl, PinG 2017, 85 (89); Nolde, PinG 2017, 114 (115); zum Sanktionsmodell des Art. 83 DS-GVO näher: Bergt, DuD 2017, 555 (556 ff.). 819 HK-DS-GVO/BDSG Schwartmann/Jacquemain, Art. 83, Rn. 20. 820 Zur Abgrenzung der Begriffe und insgesamt zur systematischen Einordnung der Verwarnung innerhalb des Sanktionssystems: Martini/Wenzel, PinG 2017, 92 (92 ff.). 821 Zum Anpassungsbedarf bei der personellen Ausstattung: Weiß, PinG 2017, 97 (98); von Überforderung der Aufsichtsbehörden in den jeweils unterschiedlichen Rollen als Helfer, Berater, Kontrolleur spricht: Wolff, PinG 2017, 109 (110). 822 Bergt, in: Kühling/Buchner (Hrsg.), DS-GVO Kommentar, Art. 82 Rn. 12. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 118 bezogener Daten an die Aufsichtsbehörde zu melden. Nach Art. 34 DS-GVO ist der Verantwortliche verpflichtet, wenn voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht, die Datenschutzverletzung auch an den Betroffenen zu melden. In diesem Fall muss der Verantwortliche also eine entsprechende Risikoprognose vornehmen823. In der praktischen Umsetzung ist diese Risikoprognose von einer zweifachen Wahrscheinlichkeitsfrage geprägt824 und sie wird durch mangelnde untergesetzliche konkretisierende Vorgaben erschwert825. Die Vorschrift des Art. 34 DS-GVO dient dem Grundsatz der Transparenz und wird auch als Umsetzung des Prinzips des Selbstdatenschutzes gesehen826. Grundsätzlich sind vielfältige Konstellationen denkbar, in denen die genannten Meldepflichten bei transaktionsbezogenen E-Government-Anwendungen zur Anwendung kommen. Insoweit sind in einer Behörde wie bei einem privaten Unternehmen auch Meldeprozesse für Datenschutzverstöße zu schaffen, in die jedenfalls auch der Datenschutzbeauftragte einbezogen werden muss827. Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO Als zentraler Grundsatz der DS-GVO gilt die Rechenschaftspflicht, die sog. „Accountability“, nach Art. 5 Abs. 2 DS-GVO. Dieser Grundsatz bindet den Verantwortlichen bei allen Verarbeitungstätigkeiten, indem er eine Nachweispflicht für die in Art. 5 Abs. 1 DS-GVO genannten Grundsätze statuiert, und ist Ausdruck der neuen Verantwortungsarchitektur der DS-GVO. Diese Verpflichtung ist neu und bedeutet einen enormen Dokumentationsaufwand für den Verantwortlichen828. Sie schließt alle vorgenannten rechtlichen Verpflichtungen des Verantwortlichen gewissermaßen als Bausteine mit ein. Die Einhaltung der Grundsätze soll der Verantwortliche einzelfallübergreifend umsetzen und dabei zur Nutzung eines Datenschutz-Managementsystems angehalten werden829. Insbesondere ist die große Herausforderung für alle Verantwortlichen eine lückenlose Informationssicherheitskonzeption. Anpassung von Grundprinzipien und Abgrenzung zu anderen Vorschriften Die DS-GVO hat einige Elemente des vorherigen nationalen Datenschutzrechts aufgenommen, jedoch neu ausgerichtet. Darüber hinaus bleibt unverkennbar die Fortschreibung von Regelungen und systematischen Aspekten, die bereits in der oben dargestellten DSRL vorhanden waren. Die Verantwortungsarchitektur hat sich, wie am o. g. Prinzip der Rechenschaftspflicht sichtbar wird, massiv auf den Verantwortli- 11. 12. 823 Jandt, DuD 2017, 562 (566). 824 Els, DÖD 2018, 213 (215). 825 Jandt, DuD 2017, 562 (566). 826 Jandt, in: Kühling/Buchner (Hrsg.), DS-GVO Kommentar, Art. 34 Rn. 1 m. w. N. 827 Els, DÖD 2018, 213 (220). 828 Veil, ZD 2018, 9 (9) spricht von 46 Pflichten. 829 Breyer, DuD 2018, 311 (315). A. Europarechtliche Vorgaben für den Datenschutz bei elektronischer Kommunikation 119 chen fokussiert. Der Betroffene profitiert von ausdifferenzierteren Betroffenenrechten und Transparenzpflichten des Verantwortlichen. Mit Art. 6 Abs. 1 sind bisher bekannte Legitimationsgrundlagen wie die Einwilligung oder vertragliche Vereinbarungen in lit. a und b aufgenommen worden. Es sind aber auch im Einzelnen schwierige Abwägungsklauseln wie Art. 6 Abs. 1 lit. f DS- GVO aufgenommen worden. Kritik gab es schon im Entstehungsprozess der DS- GVO, wonach Abwägungsmaßstäbe der DS-GVO nur bedingt für die Abwägung zwischen erlaubter und unerlaubter Datenverarbeitung tauglich sind, da sich die Abwägung nicht auf ein Schutzgut „hinter den Daten“ zurückführen lässt830. Für den öffentlichen Bereich wird das im Wege der Nutzung der vorhandenen Öffnungsklauseln bereitgestellte bereichsspezifische und allgemeine nationale Datenschutzrecht weitgehend einschlägig sein. Insgesamt wird dadurch die korrekte Rechtsanwendung auch aufgrund noch nicht vollständiger Anpassung des nationalen bereichsspezifischen Fachrechts für den öffentlichen Bereich schwieriger. Besondere Aufmerksamkeit in der Debatte um die Neuregelungen der DS-GVO haben das Zweckbindungsprinzip und das Prinzip der Datenvermeidung und Datensparsamkeit erfahren, welche angesichts von vielfältigen Geschäftsmodellen privater Unternehmen im Kontext von Big Data unter Druck geraten sind831. Nunmehr ist durch Art. 5 Abs. 1 lit. b) DS-GVO der Zweckvereinbarkeitsgrundsatz normiert worden und die strenge Zweckbindung nach nationalem Recht weggefallen832. Hier ist ein sehr tragender Grundsatz des Datenschutzrechts relativiert worden. Dies ist sicherlich auch praktischen Bedürfnissen und der europäischen Rechtsvereinheitlichung geschuldet. Darüber hinaus wird insgesamt erwartet, dass die Durchsetzung und Sanktionierung des europäischen Datenschutzrechts nach der DS-GVO in den Mitgliedsstaaten zunächst divergierend erfolgt und ein Vereinheitlichungsprozess erst langsam erfolgt833. Die bisher nach altem nationalen Datenschutzrecht bestehende „Auftragsdatenverarbeitung“ ist nunmehr in Art. 28 DS-GVO als „Auftragsverarbeitung“ geregelt und soll hier kurz erwähnt werden. Die Auftragsverarbeitung kann insbesondere auch bei der Einschaltung von IT-Dienstleistern zur Umsetzung transaktionsbezogener E-Government-Anwendungen relevant werden. Bereits aus dem Wortlaut des Art. 28 Abs. 1 DS-GVO ergibt sich, dass der Verantwortliche als Auftraggeber gesetzlich darauf verpflichtet ist, einen IT-Dienstleister auszuwählen, der eine hinreichende Sicherheitskonzeption vorlegt. Gerade in Konstellationen eines solchen Informationssicherheitsverbundes gewinnen die Standards und Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) besondere Bedeutung. 830 So zu Recht Schneider/Härting, CR 2014, 306 (307) mit Verweis auf das Urteil des EuGH zur Vorratsdatenspeicherung (EuGH, Urteil v. 8.4.2014 – Rs. C-293/12) und die dortigen Ausführungen zur Anwendung von Art. 7 GrCh (Privatleben). 831 Vgl. hierzu das Positionspapier der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, DuD 2015, 722; zu den Problemlagen beim Zweckbindungsprinzip: von Grafenstein, DuD 2015, 789 (789 ff.); Richter, DuD 2015, 735 (735 ff.). 832 Herbst, in: Kühling/Buchner (Hrsg.), DS-GVO Kommentar, Art. 5 Rn. 26. 833 Ashkar, DuD 2015, 796 (800). Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 120 Die gesamte Debatte um die einzelnen Prinzipien kann hier nicht nachgezeichnet werden, da ansonsten der Rahmen der Arbeit gesprengt werden würde. Nach Art. 95 DS-GVO erlegt die DS-GVO natürlichen oder juristischen Personen, die elektronische Kommunikationsdienste in öffentlichen Kommunikationsnetzen betreiben, keine zusätzlichen Pflichten auf, soweit diese besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen834. Verordnung des europäischen Parlaments und des Rates über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eIDAS-Verordnung) Am 18.09.2014 trat die VO (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (eIDAS-VO) in Kraft. Vorausgegangen war ein „Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“, der einen Rechtsrahmen vorsah, der insbesondere das Vertrauen in elektronische Transaktionen im Binnenmarkt stärken soll und ausdrücklich sichere und nahtlose elektronische Transaktionen zwischen Unternehmen, Bürgern und öffentlichen Verwaltungen erfassen soll835. Eine Verordnung ist im Falle ihrer Verabschiedung und Inkraftsetzung in den Mitgliedstaaten unmittelbar anwendbares Recht, sodass diese in Deutschland nun unmittelbar geltende Verordnung hier zwingend zu behandeln ist. Sie hat bei Inkrafttreten die Richtlinie für elektronische Signaturen 1999/93/EG abgelöst, was zur Folge hat, dass seither das aktuelle deutsche Signaturgesetz nicht mehr in der aktuellen Form gilt836. Die eIDAS-VO setzt aber deutsche Regelungen nicht grundsätzlich außer Kraft, sondern genießt lediglich einen Anwendungsvorrang837. Nach Art. 1 Abs. 1‒3 enthält die Verordnung einen Rechtsrahmen für die elektronische Identifizierung und Vertrauensdienste, elektronische Signaturen, elektronische Siegel, elektronische Zeitstempel, elektronische Dokumente, elektronische Zustelldienste sowie Website-Authentifizierung. In Art. 1 Abs. 2 geht dieser davon aus, dass es auch elektronische Identifizierungsmittel für juristische Personen geben kann. In der EU existiert bereits kein gemeinsamer Begriff der Identität im Kontext der elektronischen Kommunikation, was eine Anwendung der Vorgaben für das Identitätsmanagement problematisch macht838. Die eIDAS-VO enthält in Art. 3 Nr. 1 eine De- X. 834 Vgl. zu diesem Themenkomplex bereits: v. Lewinski, DuD 2012, 564 (566). 835 KOM (2012), 238/2, S. 2; vgl. hierzu Spindler/Rockenbauch, MMR 2013, 139 (139 ff.); Roßnagel/ Johannes, ZD 2013, 65 (65 ff.). 836 Quiring-Kock, DuD 2013, 20 (21). 837 EuGH, Slg. 1964, 1251 (1264) = NJW 1964, 2371; Slg. 1978, 629, Rn. 17 f. = NJW 1978, 1741; BVerfGE 73, 223 (244) = NJW 1988, 1459; Schroeder, in: Streinz, EUV/AEUV, 2. Aufl. 2012, Art. 288, Rn. 40; Roßnagel, NJW 2014, 3686 (3691). 838 Byszio u. a., DuD 2013, 169 (171). A. Europarechtliche Vorgaben für den Datenschutz bei elektronischer Kommunikation 121 finition für den Begriff der elektronischen Identifizierung, wonach diese „der Prozess der Verwendung von Personenidentifizierungsdaten ist, die in elektronischer Form eine natürliche oder juristische Person oder eine natürliche Person, die eine juristische Person vertritt, eindeutig repräsentieren“839. Dieser Begriff korrespondiert mit dem oben zugrunde gelegten Verständnis von numerischer Identität. In Art. 19 wird auch der Begriff der Identität verwendet. Hier wird die Identität einer natürlichen oder juristischen Person vorausgesetzt, ohne dass dieser Begriff hier seinerseits definiert wird. Damit gibt der Verordnungsvorschlag für das Verständnis des Identitätsbegriffes keinen weiteren Aufschluss. Auf Grundlage der Verordnung können die EU- Mitgliedsstaaten ihre nationalen elektronischen Identifizierungssysteme notifizieren lassen, wobei keine Pflicht geregelt wird, solche einzuführen840. Die eIDAS-Verordnung verfolgt im Kern auch das Ziel, mit der Schaffung eines EU-Vertrauenssiegels grenzüberschreitend E-Commerce zu fördern841, ist aber gleichzeitig auch eine Querschnittsmaterie für alle Bereiche der Informationsgesellschaft842. Diese ist neben dem E-Commerce aber auch für transaktionsbezogene E-Government-Anwendungen relevant. Die eIDAS-VO schafft einen Sammelbegriff „Vertrauensdienste“ und regelt neben den Anforderungen an diese auch punktuell die Rechtsfolgen von deren Einsatz843. Das Leitbild der eIDAS-VO ist nach Art. 8 Abs. 2 b, elektronische Identifizierungssysteme in den europäischen Mitgliedsstaaten zu notifizieren, die substanziell die Gefahren des Identitätsmissbrauchs und der Identitätsveränderung mindern. Problematisch waren die Vorgaben des Verordnungsvorschlages für den nPA als Teil eines deutschen Identifizierungssystems844. Der Vorschlag hat das Ziel, bestehende Rechtsvorschriften zu erweitern und die gegenseitige Anerkennung und Akzeptierung notifizierter elektronischer Identifizierungssysteme und anderer wichtiger einschlägiger Vertrauensdienste auf EU-Ebene zu regeln845. Für die Vertrauensdiensteanbieter wird in Art. 19 Abs. 1 die Verpflichtung geregelt, ihre Tätigkeiten durch technische und organisatorische Maßnahmen nach dem jeweiligen Stand der Technik846 für die von ihnen erbrachten Vertrauensdienste zu sichern. Der Vertrauensdiensteanbieter muss hiernach auch Maßnahmen ergreifen, um die Auswirkungen von Sicherheitsverletzungen so gering wie möglich zu halten. Darüber hinaus muss er verpflichtend der zuständigen Aufsichtsstelle, der zuständigen nationalen Stelle für Informationssicherheit und anderen einschlägigen Dritten wie Datenschutzbehörden alle Sicherheitsverletzungen oder Integritätsverluste, die sich erheblich auf den erbrachten Vertrauensdienst und die darin enthaltenen Daten aus- 839 KOM (2012), 238/2, S. 21. 840 Hoffmann, DuD 2014, 762 (762). 841 Seegebarth, DuD 2014, 675 (676). 842 Roßnagel, NJW 2014, 3686 (3687); Roßnagel/Johannes, ZD 2013, 65 (65 ff.). 843 Roßnagel, NJW 2014, 3686 (3686 f.) (Hervorhebungen im Original). 844 Byszio u. a., DuD 2013, 169 (171). 845 KOM (2012), 238/2, S. 2. 846 Vgl. zur notwendigen Abgrenzung zu den „allgemein anerkannten Regeln der Technik“ sowie zur möglichen Konkretisierung beider Begriffe: Seibel, NJW 2013, 3000 (3000 ff.). Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 122 wirken, melden. Damit schafft der Verordnungsvorschlag Verantwortlichkeiten bei den Vertrauensdiensteanbietern für deren Organisationssphäre. Die Verordnung enthält in Art. 34 Regelungen zur Rechtswirkung und Akzeptierung elektronischer Dokumente. Die Gleichwertigkeit mit einem Papierdokument wird hier an den Grad der Gewissheit der Echtheit und Unversehrtheit des Dokumentes gekoppelt und die Zulässigkeit als Beweismittel im Gerichtsverfahren anerkannt847. Durch die Koppelung an den Grad der Gewissheit über die Echtheit kommt es hier entscheidend auf das Identitätsmanagement im Kontext der Versendung des Dokumentes an. Damit besteht eine unmittelbare Praxisrelevanz bei transaktionsbezogenen E-Government-Anwendungen. Die Auswirkungen auf das deutsche eID-System mit dem nPA sind stark, da die Verordnung unmittelbar EU-weit gilt. Wenn E-Government-Anwendungen ausschließlich den nPA als Identitätsmanagement-Infrastruktur vorsehen, könnte dieses mit Blick auf die Regelungen der eIDAS-Verordnung eine europarechtlich relevante Diskriminierung anderer Lösungen sein. Insgesamt legitimiert die eIDAS-Verordnung ein Absenken des Niveaus der qeS848. An dieser Stelle stellte sich dann insbesondere für die rechtsanwendende Praxis die Frage des Anwendungsvorranges der eIDAS-Verordnung gegenüber den signaturrechtlichen Vorschriften849. Nunmehr besteht das Rechtsregime bei Signaturen aus der eIDAS-Verordnung und dem Vertrauensdienstegesetz (VDG), welches das Signaturgesetz (SigG) und die Signaturverordnung (SigV) ersetzt hat850. Das „Safe-Harbor-Urteil“ des Europäischen Gerichtshofs (EuGH) Maßgebliche Bedeutung für internationale Datenströme hat das sog. „Safe-Harbor- Urteil“ des EuGH vom 06.10.2015, womit dieser die Safe-Harbor-Entscheidung der EU-Kommission 2000/520/EG aufgehoben hat851. Auf diese von Anfang an durchaus umstrittene Entscheidung852 sind in den zurückliegenden Jahren viele Datentransfers zwischen der EU und den USA gestützt worden. Aufgrund seiner massiven Auswirkung auf die Praxis ist dieses Urteil auch als „Paukenschlag“ bezeichnet worden, der weitreichende Folgewirkungen für die europäische Datenschutzentwicklung haben wird853. Wegen der Auswirkung dieses Urteils auf die internationale Datenverarbeitungspraxis und die Rechtsentwicklung des europäischen Datenschutzrechts und weil XI. 847 Zu den Auswirkungen der eIDAS-Verordung auf die Beweissicherheit im elektronischen Rechtsverkehr näher: Jandt, NJW 2015, 1205 (1205 ff.). 848 Zum Beweiswert digitaler Dokumente nach der eIDAS-VO: Jandt/Michalek/Dietrich, DuD 2015, 687 (687 ff.) 849 Roßnagel, MMR 2015, 359 (362 ff.). 850 Roßnagel, MMR 2018, 31 (31). 851 Vgl. EuGH, Urt. v. 6.10.2015 – C-362/14 (Schrems/Data Protection Commissioner), abgedruckt in: CR 2015, 633‒641. 852 Kritisch zur Stützung der Safe Harbor-Entscheidung auf Art. 25 Abs. 6 der RL 95/46/EG durch die EU-Kommission: Petri, DuD 2015, 801 (801). 853 Moos/Schefzig, CR 2015, 625 (625); Härting, CR 2015, 640 (640). A. Europarechtliche Vorgaben für den Datenschutz bei elektronischer Kommunikation 123 auch im Kontext des E-Governments zumindest grundsätzlich auch Datenverarbeitung im Ausland denkbar ist, ist dies hier in der gebotenen Kürze zu thematisieren. Das Vorabentscheidungsersuchen, welches dem Urteil zugrunde liegt, erging im Rahmen eines Rechtsstreits zwischen Herrn Max Schrems und dem Data Protection Commissioner, weil dieser sich geweigert hat, eine Beschwerde des Herrn Schrems zu prüfen, welche rügt, dass die Facebook Ireland Ltd. personenbezogene Daten ihrer Nutzer in die Vereinigten Staaten übermittelt und auf dortigen Servern speichert 854. Insoweit liegt hier ein Sachverhalt vor, der bei Online-Angeboten täglich millionenfach vorkommt. Der rechtliche Hintergrund der Safe-Harbor-Entscheidung der EU-Kommission liegt in der Regelung des Art. 25 Abs. 1 DSRL, wonach in dem Land, in welches personenbezogene Daten übermittelt werden, ein angemessenes Datenschutzniveau vorherrschen soll. Den USA konnte dieses nicht pauschal attestiert werden, weil dort im Sinne eines sektoralen Ansatzes Rechtsvorschriften, Verordnungen und Selbstregulierung zusammenspielen855. Das dortige Datenschutzrecht enthält insgesamt im Gegensatz zum europäischen Rechtsrahmen eine andere Verantwortungsarchitektur der beteiligten Akteure. Eine stärkere Rolle spielen hier Systeme der Selbstzertifizierung privater Unternehmen. Nach dem EuGH verstößt ein Drittland bei der Einbeziehung von Selbstzertifizierungssystemen als solcher nicht gegen das Erfordernis aus Art. 25 Abs. 6 DSRL856. Das bedeutet, dass diese Systeme an sich die Sicherheit des Datenschutzniveaus noch nicht infrage stellen. Maßgeblich für die Beurteilung, ob in dem in Rede stehenden Drittland „aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen“ ein angemessenes Datenschutzniveau vorliegt, ist das Vorhandensein wirksamer Kontroll- und Überwachungsmechanismen für Datenschutzverstöße857. Aus dem Urteil lässt sich ebenfalls herauslesen, dass die massive Überwachungspraxis der NSA und der mangelnde Schutz Betroffener bei der Beurteilung des Schutzniveaus in den USA eine Rolle gespielt haben858. Aus den Freiheitsverbürgungen der Charta der Grundrechte leitet der EuGH in diesem Urteil Schutzpflichten für die EU-Organe und die mitgliedstaatlichen Organe her859. Das Urteil kann hier nicht in allen Einzelheiten nachgezeichnet werden, da ansonsten der Rahmen der Arbeit gesprengt werden würde. Aus dem Urteil des EuGH wird jedenfalls ersichtlich, dass eine Datenschutzkontrolle durch Selbstzertifizierung in einem Drittland ohne wirksamen rechtlichen Schutz für den von der Datenverarbeitung Betroffenen nicht der Verantwortungsarchitektur des europäischen Datenschutzrechts entspricht. Für die Datenschutzaufsichtsbehörden stellte sich zunächst die Frage eines Einschreitens gegen Unterneh- 854 EuGH, Urt. v. 6.10.2015 – C-362/14, CR 2015, 633 (638) Rn. 2. 855 Moos/Schefzig, CR 2015, 625 (626). 856 EuGH, Urt. v. 6.10.2015 – C-362/14, CR 2015, 633 (638) Rn. 81. 857 EuGH, Urt. v. 6.10.2015 – C-362/14, CR 2015, 633 (638) Rn. 81. 858 Moos/Schefzig, CR 2015, 625 (630); Petri, DuD 2015, 801 (802). 859 Petri, DuD 2015, 801 (803) m. w. N. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 124 men, die Daten in die USA übermitteln860. Derzeit ist der sog. „Privacy Shield“ eine Möglichkeit, Datentransfers in die USA zu legitimieren. Die E-Privacy-Verordnung Als weiterer europäischer Rechtsakt ist hier noch die in Entwürfen vorhandene E- Privacy-Verordnung zu nennen861. Da diese die Richtlinie über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation 2002/58/EG ersetzen soll und neben den fokussierten E-Commerce- Anwendungen insgesamt für E-Government-Anwendungen, die z. B. auf Homepages bereitgestellt werden, relevant sein kann, soll diese hier kurz Erwähnung finden. Die E- Privacy-Verordnung ist nicht, wie ursprünglich geplant, parallel zur DS-GVO am 25.05.2018 in Kraft getreten862. Diese europäische Verordnung wird zukünftig mit der DS-GVO auf derselben Ebene der europäischen Normenhierarchie stehen863. Die Regelungsinhalte der E-Privacy-Verordnung werden zukünftig voraussichtlich die gesamte elektronische Kommunikation erfassen864. Insoweit stellt sich die Frage der Abgrenzung der Anwendungsbereiche beider Verordnungen. Die EU-Kommission sieht die E-Privacy-Verordnung ausdrücklich als lex specialis zur DS-GVO865. Derzeit ist das Konkurrenzverhältnis der E-Privacy-Verordnung zur DS-GVO schwierig nachzuvollziehen und Kernpunkt der Kritik866. Widersprüchlichkeiten gibt es im derzeitigen Entwurfsstadium auch bei Regelungsgegenstand und Anwendungsbereich, der den Schutz über personenbezogene Daten und damit über das grundrechtlich gebotene Maß hinaus auf Maschinenkommunikation ausdehnt867. Besondere Schwierigkeiten bestehen derzeit in der praktischen Rechtsanwendung bei der Frage der Anwendbarkeit des formell noch gültigen nationalen Telemediengesetzes (TMG). Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat für den Zeitraum ab dem 25.05.2018 eine Positionsbestimmung veröffentlicht, wonach die Regelungen der §§ 12, 13 und 15 TMG bei praktisch bedeutsamen Reichweitenmessungen und XII. 860 Vgl. hierzu das Positionspapier des ULD vom 14.10.2015, S. 4 f., abrufbar unter: https://www.datenschutzzentrum.de/uploads/internationales/20151014_ULD-Positionspapier-zum-EuGH-Urteil.pdf (letzter Abruf: 18.12.2015), sowie das abgestufte Vorgehen im Papier des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, S. 2, abrufbar unter: https://www.datenschutz-hambu rg.de/uploads/media/Information_zum_Safe-Harbor-Urteil_des_Europaeischen_Gerichtshofs.pdf (letzter Abruf: 18.12.2015). 861 Vgl. v. a. den Vorschlag der EU-Kommission vom 10.01.2017: https://eur-lex.europa.eu/legal-content/ DE/TXT/PDF/?uri=CELEX:52017PC0010 (letzter Abruf: 29.09.2018); eine differenzierte Auseinandersetzung mit den weiteren Entwürfen bei: Engeler, PinG 2018, 141 (142 f.). 862 Bihlmayer/Ehmann/Lesch, DuD 2018, 241 (243). 863 Jandt/Karg, in: Jandt/Steidle (Hrsg.), Datenschutz im Internet, S. 114. 864 Schwartmann/Benedikt/Jacquemain, PinG 2018, 150 (151). 865 Bihlmayer/Ehmann/Lesch, DuD 2018, 241 (243). 866 Engeler, PinG 2018, 141 (142 f.). 867 Engeler/Felber, ZD 2017, 251 (252 f.). A. Europarechtliche Vorgaben für den Datenschutz bei elektronischer Kommunikation 125 Tracking-Mechanismen dann nicht mehr angewendet werden können868. Bei der Verarbeitung personenbezogener Daten komme Art. 6 Abs. 1 DS-GVO und dort insbesondere lit. a, b und f in Betracht869. In rechtssystematischer Hinsicht wird diese Positionsbestimmung im skizzierten Übergangszeitraum bis zum Inkrafttreten der E- Privacy-Verordnung durchaus kontrovers diskutiert870. Die Positionsbestimmung der Aufsichtsbehörden legt den Fokus damit in Richtung der Legitimationsgrundlagen des Art. 6 DS-GVO als Rechtsgrundlage, der, wie oben bereits dargestellt, in Teilen auch schwer praktizierbare Abwägungsklauseln enthält. Bei der Einwilligung als Lösung für Reichweitenmessungen und Tracking verschärft sich damit die Situation für den jeweiligen Verantwortlichen gegenüber den Regelungen des TMG, da er nach Art. 7 DS- GVO die Einwilligung des Betroffenen nachweisen muss. Der Kommissionsentwurf der E-Privacy-Verordnung wurde auch für die aufsichtsbehördliche Praxis der Datenschutzaufsichtsbehörden als problematisch anerkannt, da er an den falschen technischen Sachverhalten ansetzt.871 Kritisiert wird sowohl am Kommissionsentwurf als auch an der Ratsfassung und am Parlamentsentwurf, dass diese bei den Rechtsgrundlagen für die Verarbeitung personenbezogener Daten, anstatt klare Grenzlinien zu ziehen, im Zweifel stets auf die Einwilligung des Nutzers verweisen872. Damit wird im Zweifel auf die Datenschutzverantwortung des einzelnen Nutzers gesetzt. An dieser Stelle können nicht alle Fragen rund um die Entwürfe der E-Privacy- Verordnung angesprochen und die Diskussionen nachgezeichnet werden, da ansonsten der Rahmen der Arbeit gesprengt werden würde. Jedenfalls wird das Pflichtenregime der E-Government anbietenden öffentlichen Verwaltung und der einbezogenen Diensteanbieter in Zukunft im Zeitpunkt des Inkrafttretens jedenfalls durch die E- Privacy-Verordnung mitbestimmt und es bleibt zu hoffen, dass die Abgrenzung zum Rechtsregime der DS-GVO und anderer Vorschriften weitere Konturen gewinnt. Im Zwischenzeitraum bis zum Inkrafttreten der E-Privacy-Verordnung sind die Anbieter von transaktionsbezogenen E-Government-Anwendungen, die auf Webseiten ihren Eintrittspunkt haben, angesichts der oben skizzierten Sanktionsbefugnisse der Datenschutzaufsichtsbehörden gehalten, sich an der Rechtsauffassung der Positionsbestimmung der DSK zu orientieren. 868 Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK), 26.04.2018, S. 2 Ziff. 4; von einer weiterhin bestehenden Anwendbarkeit des 4. Abschnitts des TMG für öffentliche Stellen, begründet durch Art. 6 Abs. 2 und 3 DS-GVO, geht aus: Breyer, ZD 2018, 302 (302). 869 Positionsbestimmung der DSK, S. 3, Ziff. 6. 870 Hierzu insbesondere: Gierschmann, ZD 2018, 297 (297 ff.), Neuber, ZD 2018, 241 (241 ff.), und Jandt, ZD 2018, 405 (405 ff.), sowie die divergierenden Positionen bei: Schwartmann/Benedikt/Jacquemain, PinG 2018, 150 (152 ff.). 871 Vgl. hierzu: Engeler/Felber, ZD 2017, 251 (252 f.). 872 Engeler, PinG 2018, 141 (148). Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 126 Europäische Impulse für elektronische Behördendienste Mitteilung der Kommission über „Die Rolle elektronischer Behördendienste (E-Government) für die Zukunft Europas“ Für die europäische Entwicklung von E-Government wichtig ist die Mitteilung der Kommission über „Die Rolle elektronischer Behördendienste für die Zukunft Europas“873. Mitteilungen der Kommission entfalten keine unmittelbare Pflicht zur Umsetzung für die Mitgliedsstaaten der europäischen Union und haben damit keine direkte Verbindlichkeit zur Folge874. Sie beschreiben und erklären aber teilweise das geltende Recht und beziehen zu Zweifelsfragen Position875. Im Unterschied zu den Empfehlungen und Stellungnahmen können sie Auslegungsinhalte beeinflussen876, sodass sie als eigene Kategorie untergesetzlicher Normierung zu verstehen sind877. Darüber hinaus ist ihre Programmatik wichtig für das jeweilige Politikfeld und dessen Weiterentwicklung, sodass es hier notwendig ist, auf diese Mitteilung einzugehen. Die Mitteilung KOM (2003) 567 erläutert, dass unter dem Punkt Vertrauensbildung erstrangige Problemstellungen, der Schutz der personenbezogenen Daten, die Authentifizierung und das Identitätsmanagement sind, bei denen kein öffentlicher Dienst versagen darf878. Der Bürger muss hiernach in der Lage sein, den Zugang zu seinen persönlichen Daten zu kontrollieren und festzustellen, wie Nutzung, Speicherung und Zugriff darauf erfolgen. Die Mitteilung konstatiert eine enorme Weiterentwicklung der elektronischen Authentifizierungssysteme und setzt die Weiterentwicklung der EU-weiten Interoperabilitätsprobleme auf die Agenda879. In diesem Kontext ist auch die Überprüfung der Signaturrichtlinie zu sehen880, die in die eIDAS-Verordnung gemündet ist. Die Mitteilung der Kommission wird als Fahrplan gesehen und erwägt für den Bereich des Identitätsmanagements, auf laufenden Arbeiten aufzubauen und Perspektiven für zukünftige E-Government-Initiativen zu eröffnen881. Ministererklärung von Malmö zum E-Government Ebenfalls ohne direkte rechtliche Verbindlichkeit, aber für die Entwicklung des E-Governments im europäischen Kontext von Bedeutung ist die Ministererklärung zum E-Government vom 18. November 2009882. Das Dokument enthält gemeinsame Visio- B. I. II. 873 KOM (2003) 567. 874 In diesem Sinne: Schulz S. E., DVBl 2009, 12 (13). 875 Frenz, Handbuch Europarecht 2010, Rn. 1538. 876 Thomas EuR 2009, 423 (424). 877 Pampel EuZW 2005, 11 (12); Thomas, EuR 2009, 423 (423). 878 KOM (2003) 567, S. 16. 879 KOM (2003) 567, S. 17 ff. 880 Vgl oben: Teil 3, A., VII. 881 KOM (2003) 567, S. 27. 882 Die Ministererklärung ist abrufbar unter: http://www.cio.bund.de/cae/servlet/contentblob/941996/ publicationFile/60697/ministererklaeung_malmoe_deutsch.pdf (letzter Abruf: 08.11.2015). B. Europäische Impulse für elektronische Behördendienste 127 nen und Schwerpunkte der zuständigen Fachminister für E-Government der EU- Mitgliedsstaaten, der Beitritts- und Kandidatenländer sowie der Länder der Europäischen Freihandelszone (EFTA) für einen Zeitraum von 2011 bis 2015883. Die hier beabsichtigten Maßnahmen sollen sich demnach auf die Verpflichtung nach nationalen und europäischen Rechtsvorschriften zum Datenschutz und zum Verwaltungsverfahren stützen884. Ansatzpunkte für Maßnahmen sollen bestehende Initiativen auf allen Ebenen sein. Große Bedeutung wird der grenzüberschreitenden Informations- und Netzwerksicherheit beigemessen885. Im Zentrum stehen nutzergesteuerte Dienste, die mehrkanalige Strategien ermöglichen sollen und im Zusammenhang mit Privaten entwickelt werden sollen886. Ein weiteres Postulat ist die Vermeidung von Insellösungen durch sektorübergreifende Infrastrukturen887. Die Kommission wird aufgefordert, geeignete Maßnahmen zu ergreifen, um interoperable Infrastrukturen wie vertrauenswürdige elektronische Identitäten, elektronische Signaturen und elektronische Dokumente zu schaffen888. In Form der eIDAS-Verordnung ist dies teilweise geschehen. EU-Dienstleistungsrichtlinie Ein weiterer Rechtsakt mit direktem Einfluss auf die Entwicklung von E-Government ist die Europäische Dienstleistungsrichtlinie (DLR)889. Neben den wesentlichen Inhalten zur Einführung einheitlicher Ansprechpartner890, einer Genehmigungsfiktion und neuartigen Vorgaben zur Verwaltungszusammenarbeit ist die Regelung des Art. 8 Abs. 1 DLR von besonderem Interesse. Diese Vorschrift enthält den Grundsatz der elektronischen Verfahrensabwicklung891. Damit werden die einheitlichen Ansprechpartner und die entsprechenden zuständigen Behörden verpflichtet, dass alle Verfahren und Formalitäten im Zusammenhang mit der Ausübung einer Dienstleistungstätigkeit elektronisch abgewickelt werden können. Dieser großen Herausforderung für die öffentliche Verwaltung kann nicht mit bloßer Umwandlung schriftlicher Verfahren in elektronische mittels des Einsatzes der qualifizierten elektronischen Si- III. 883 Insbesondere ist hier der E-Government-Aktionsplan 2011‒2015 von Bedeutung: Hierzu und zu weiteren Aspekten des europäischen Rahmens für E-Government: Städler, in: Schünemann/Weiler, E-Government und Netzpolitik im europäischen Vergleich, 213 (218 ff.). 884 Mitteilung, S. 2. 885 Mitteilung, S. 2. 886 Mitteilung, S. 2. 887 Mitteilung, S. 4. 888 Mitteilung, S. 8. 889 Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates v. 12.12.2006 über Dienstleistungen im Binnenmarkt, ABl L 376 v. 27.12.2006, 36; grundlegend zu den Vorgaben der Richtlinie: Schlachter/Ohler (Hrsg.), Europäische Dienstleistungsrichtlinie – Handkommentar, 2008. 890 Grundlegend zur Einführung einheitlicher Ansprechpartner in Deutschland: Neidert, Verwaltungsverfahren über einen einheitlichen Ansprechpartner – Änderungsbedarf im deutschen Verwaltungsverfahrensrecht aufgrund der EG-Dienstleistungsrichtlinie; Vgl. auch Holtwisch, Die Verwaltung 2010, 567 (582 ff.). 891 Schliesky, in: Ders. (Hrsg.), Die Umsetzung der EU-Dienstleistungsrichtlinie in der deutschen Verwaltung Teil I: Grundlagen, 1 (21); ders., DVBl. 2005, 887 (891 ff.); ders., LKV 2005, 89 (91). Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 128 gnatur begegnet werden892. Die Vorgabe zwingt sowohl zu einer elektronischen Abwicklung im Außenkontakt893 wie auch zur Elektronisierung interner Behördenprozesse894. Insoweit führt Art 8 DLR zu einem Bedarf an Identitätsmanagement-Basisinfrastrukturen, die in ihrer konkreten Gestalt über die Kommunikationsmöglichkeiten, die § 3a VwVfG gewährt, hinausgehen. Die Ermöglichung der Kommunikation über den elektronischen Kanal kann als „Katalysator“ für einen Ausbau von E-Government und damit einhergehend der Identitätsmanagement-Basisinfrastrukturen gelten895. Diese erlangen insbesondere in der elektronischen Verfahrensabwicklung im Außenkontakt Bedeutung. Die elektronische Verfahrensabwicklung auf Verlangen ist in § 71 e VwVfG geregelt. Auch dieses elektronische Verfahren ist darauf angewiesen, dass die Identität des Antragstellers feststeht896. Darüber hinaus gibt es im Zusammenhang mit der EU-DLR mit dem sog. Internal Market Information System (IMI) ein behördeninternes elektronisches System. Dieses System gibt personenbezogene Daten weiter und ist daher datenschutzrelevant897. Es soll in dieser Arbeit jedoch nicht weiter betrachtet werden. Die EU-DLR ist einer der wenigen Rechtsakte, der direkt von den Mitgliedsstaaten fordert, E-Government in einem eng umgrenzten Anwendungsbereich umzusetzen. Weiter gehende Regelungen können von europäischer Ebene nicht kommen, da die internen Prozesse der öffentlichen Verwaltung aus kompetenzrechtlichen Gründen nicht determiniert werden können898. Es bleibt vielfach Aufgabe der Mitgliedstaaten, hier Regelungen zu schaffen. Neben diesem Rechtsakt haben aber auch alle genannten europäischen Rechtsakte zum Datenschutz und zur elektronischen Kommunikation immer auch Relevanz für die Umsetzung von E-Government. Verfassungsrechtliche Vorgaben Im Rahmen der Untersuchung soll jetzt der Blick auf die verfassungsrechtlichen Vorgaben gerichtet werden. Die Interaktion von Verwaltung, Nutzer und Diensteanbietern im E-Government wirft die grundsätzliche Frage auf, wie weit der Schutzbereich einschlägiger Grundrechte für den Nutzer reicht und welche Verantwortlichkeiten für C. 892 Schliesky, in: Ders. (Hrsg.), Die Umsetzung der EU-Dienstleistungsrichtlinie in der deutschen Verwaltung Teil I: Grundlagen, 1 (21). 893 Schulz S. E., in: Die Umsetzung der EU-Dienstleitungsrichtlinie in der deutschen Verwaltung – Teil III: Information, Wissen, Verantwortung, 205 (208). 894 Schulz S. E., in: Die Umsetzung der EU-Dienstleitungsrichtlinie in der deutschen Verwaltung – Teil III: Information, Wissen, Verantwortung, 205 (210). 895 Schliesky, in: Ders. (Hrsg.) Die Umsetzung der EU-Dienstleistungsrichtlinie in der deutschen Verwaltung Teil I: Grundlagen, 1 (30). 896 Schliesky, in: Knack/Henneke, § 71 b VwVfG, Rn. 14. 897 Zu den datenschutzrechtlichen Aspekten des IMI: Schneider, NVwZ 2012, 65 (68); zu den Datenschutzaspekten beim einheitlichen Ansprechpartner: Stollhoff, Datenschutzgerechtes E-Government. Eine Untersuchung am Beispiel des Einheitlichen Ansprechpartners nach der Europäischen Dienstleistungsrichtlinie. 898 Schulz S. E, in: Schliesky (Hrsg.), Die Umsetzung der EU-Dienstleistungsrichtlinie, Teil III, 205 (210). C. Verfassungsrechtliche Vorgaben 129 die beiden anderen Akteure zur Gewährleistung des Grundrechtsschutzes bestehen. Auch die Frage, welche Verantwortung der Nutzer aus verfassungsrechtlichen Gründen selber trägt, steht im Mittelpunkt des Interesses. Nicht zuletzt ist es eine Aufgabe des Rechtsrahmens, Akteure und deren Verantwortlichkeiten zu bestimmen899. Dabei ist zu berücksichtigen, dass es sowohl Kommunikationsinfrastrukturen gibt, die im E-Government genutzt werden, welche die Verwaltung selbst betreibt und zur Interaktion mit dem Nutzer gebraucht, als auch solche Infrastrukturen, die ein Privater bereitstellt. Grundlegende Bedeutung hat hier das Grundrecht auf informationelle Selbstbestimmung, welches das BVerfG im Volkszählungsurteil900 entwickelt hat. Dieses Grundrecht legt die Maßstäbe für die einfachgesetzlichen datenschutzrechtlichen Vorschriften fest. Daher sind die Aussagen des Urteils für Identitätsmanagement-Infrastrukturen im E-Government von hoher Relevanz und werden hier im Folgenden betrachtet901. Bei der Untersuchung soll insbesondere im Vordergrund stehen, welche Schutzdimensionen des Grundrechts vor dem Hintergrund der allgegenwärtigen Entwicklung zur Digitalisierung tangiert sind. Das allgemeine Persönlichkeitsrecht als Grundlage Aufgrund der dogmatischen Konstruktion der verfassungsrechtlichen Vorgaben zum Datenschutz ist es notwendig, zunächst einen Blick auf das allgemeine Persönlichkeitsrecht zu werfen. Dies soll dem besseren Verständnis der jeweiligen Ausprägungen dienen. Auch diese Grundlage ist von der Rechtsprechung durch Rechtsfortbildung ständig weiterentwickelt worden. Neben der verfassungsrechtlichen Diskussion kamen in der Zivilrechtswissenschaft Bestrebungen auf, ein allgemeines Persönlichkeitsrecht anzuerkennen902. In der zivilgerichtlichen Rechtsprechung wurde in einer Reihe von Entscheidungen ein allgemeines Persönlichkeitsrecht als sonstiges Recht i. S. v. § 823 Abs. 1 BGB durch den BGH anerkannt903. Hieran hat auch die verfassungsgerichtliche Rechtsprechung angeknüpft und ein allgemeines Persönlichkeitsrecht anerkannt, welches als Rahmenrecht dient und in der weiteren Rechtsfortbildung verschiedene Ausprägungen erfahren hat904. Als dogmatische Grundlage gilt nach ständiger Rechtsprechung des BVerfG Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG905. Das I. 899 Bull, Netzpolitik: Freiheit und Rechtsschutz im Internet, S. 24. 900 BVerfGE 65, 1. 901 Allgemein zur Tragweite des Urteils: Bizer, Forschungsfreiheit und informationelle Selbstbestimmung – Gesetzliche Forschungsregelungen zwischen grundrechtlicher Förderungspflicht und grundrechtlichem Abwehrrecht, S. 136; Busch, DVBl. 1984, 385 (385 ff.); Lutterbeck, DuD 1998, 129 (132 ff.). 902 Placzek, Allgemeines Persönlichkeitsrecht und privatrechtlicher Informations- und Datenschutz, S. 37. 903 BGHZ 13, 334 ff. – Leserbrief; 24, 72 ff. – ärztliche Bescheinigung; 26, 349 ff. – Herrenreiter; 27, 284 ff. – heimliche Tonbandaufnahme. 904 BVerfGE 6, 32 (41) im sog. Elfes-Urteil erfolgt eine frühe Erwähnung; BVerfGE 80, 367 (374) ‒ Tagebuch. 905 BVerfGE 6, 389 (433); 27, 1 (6), 27, 344 (351)32, 373 (378 f.); Di Fabio, in: Maunz/Dürig, Art. 2 Rn. 128 m. w. N. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 130 allgemeine Persönlichkeitsrecht stellt gegenüber Art. 2 Abs. 1 GG aber kein verselbstständigtes Grundrecht dar906. Geschützt ist hierdurch „die engere persönliche Lebenssphäre und die Erhaltung ihrer Grundbedingungen“907. Jeder Einzelne hat demnach einen autonomen Bereich privater Lebensgestaltung, in dem er seine Individualität entwickeln und wahren kann908. Hiermit soll der Kern der Privatsphäre geschützt werden. Das allgemeine Persönlichkeitsrecht hat den Charakter eines Rahmenrechts bekommen, welches durch die Rechtsprechung mittels der Entwicklung einzelner Rechte wie z. B. des Rechts auf Respektierung der Privatsphäre, des Rechts auf Schutz der persönlichen Ehre, des Rechts am eigenen Bild und am gesprochenen Wort erfahren hat909. In der gedanklichen Konstruktion dieses Rahmenrechts spielt auch das bereits angesprochene Verhältnis von Öffentlichkeit und Privatheit eine große Rolle910. Das allgemeine Persönlichkeitsrecht weise eine gewisse Nähe zur Gewährleistung des Art. 1 Abs. 1 GG auf und erfahre nach einer Ansicht seine Konturen daher aus der Perspektive der Menschenwürde, sodass Art. 1 Abs. 1 GG den Auslegungsmaßstab für die Ermittlung des Inhalts und der Reichweite des Schutzumfangs bildet911. Nach anderer Ansicht liege der Hauptanknüpfungspunkt in Art. 2 Abs. 1 GG und Art. 1 Abs. 1 GG steuere insoweit seinen Anwendungsbereich und seine Beschränkbarkeit mit912. Das grundrechtliche allgemeine Persönlichkeitsrecht lässt sich in verschiedene Einzelrechte ausdifferenzieren, wobei die Privatsphäre eines davon ist und das Recht auf informationelle Selbstbestimmung als Teilaspekt des Schutzes der Privatsphäre aufgefasst wird913. Das Grundrecht auf informationelle Selbstbestimmung stellt also neben den exemplarisch genannten Ausprägungen eine weitere des allgemeinen Persönlichkeitsrechts dar914. Deshalb soll hier im Folgenden diese Ausprägung im Vordergrund stehen und die das Datenschutzrecht prägenden, hieraus abgeleiteten Grundsätze sollen dargestellt werden, die auch im Kontext des E-Governments große Bedeutung erlangen. 906 Di Fabio, in: Maunz/Dürig, Art. 2 Rn. 128; zur Auffassung der Verselbständigung zu einem eigenen Grundrecht: Jarass, NJW 1989, 857 (858); Vogelgesang, Grundrecht auf informationelle Selbstbestimmung?, 1987, S. 127 f. 907 BVerfGE 54, 148 (153); 72, 155 (170); 96, 56 (61); Jarass, NJW 1989, 857 (857); ders., in: Ders./ Pieroth, Art. 2 Rn. 41. 908 BVerfGE 79, 256 (268); 117, 202 (225). 909 Placzek, Allgemeines Persönlichkeitsrecht und privatrechtlicher Informations- und Datenschutz, S. 42 m. w. N. 910 Di Fabio, in: Maunz/Dürig, Art. 2 Rn. 127; zum Verhältnis zwischen Öffentlichkeit und Privatheit und den durch die elektronische Kommunikation bedingten Verschiebungen: Worms/ Gusy, DuD 2012, 92 (92 ff.). 911 Di Fabio, in: Maunz/Dürig, Art. 2 Rn. 130; Dreier, in: Dreier (Hrsg.), Art. 2 GG, Rn. 50; Placzek, Allgemeines Persönlichkeitsrecht und privatrechtlicher Informations- und Datenschutz, S. 39. 912 Kunig, JURA 1993, 595 (597). 913 Volle, Datenschutz als Drittwirkungsproblem, S. 80 f. 914 Bechler, Informationseingriffe durch intransparenten Umgang mit personenbezogenen Daten, S. 172. C. Verfassungsrechtliche Vorgaben 131 Das Grundrecht auf informationelle Selbstbestimmung Volkszählungsurteil des BVerfG Das BVerfG hat erstmals mit dem Volkszählungsurteil von 1983 das Grundrecht auf informationelle Selbstbestimmung anerkannt und damit dem Datenschutz Grundrechtscharakter eingeräumt915. Hiernach gewährleistet das Grundrecht „insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen916.“ Die individuelle Selbstbestimmung setze „-auch unter den Bedingungen moderner Informationsverarbeitungstechnologienvoraus, dass dem Einzelnen Entscheidungsfreiheit über vorzunehmende oder zu unterlassende Handlungen einschließlich der Möglichkeit gegeben ist, sich auch entsprechend dieser Entscheidung tatsächlich zu verhalten“917. Wenn ein Kommunikationsteilnehmer nicht mit hinreichender Sicherheit überschauen könne, welche ihn betreffenden Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und dieser das Wissen anderer Kommunikationsteilnehmer nicht einigermaßen abzuschätzen vermöge, könne er in seiner von Selbstbestimmung getragenen Entscheidungsfreiheit eingeschränkt werden918. Deutlich stellt das BVerfG klar, dass es auch maßgeblich auf den jeweiligen Verwendungskontext der personenbezogenen Daten ankomme919. Dies hänge einerseits mit dem Zweck, dem die Datenerhebung diene, zusammen, zum anderen von den der Informationstechnologie eigenen Verarbeitungs- und Verknüpfungsmöglichkeiten ab920. Hieraus zieht das BVerfG die Schlussfolgerung, dass es unter den Bedingungen der automatischen Datenverarbeitung kein „belangloses“ Datum mehr gebe921. Dies bedeutet umgekehrt, dass jedem Datum, je nach Verwendungskontext, persönlichkeitsrechtliche Bedeutung zukommen kann922. Eine Differenzierung in für das Persönlichkeitsrecht relevante und irrelevante Daten ist damit nicht zulässig923. Einschränkungen des Rechts auf informationelle Selbstbestimmung sind nur im überwiegenden Allgemeininteresse zulässig924. Maßgebliche Bedeutung haben durch das Urteil auch die datenschutzrechtlichen Grundsätze der Datenvermeidung und Datensparsamkeit, die strenge Zweckbindung, das Gebot von Anonymisierung und Pseudonymisierung, Aufklärungs-, Auskunfts- und Löschungspflichten sowie der II. 1. 915 Terminologisch soll hier von einem Grundrecht gesprochen werden, da diese Formulierung mittlerweile gebräuchlich ist: Vgl. BVerfG NJW 1991, 2129 (2132); BVerfGE 84, 239 (280); Yildirim, Datenschutz im Electronic Government, S. 91; Orantek, Datenschutz im Informationszeitalter, S. 57; kritisch zur Begrifflichkeit: Duttge, Der Staat 1997, 281 (281 ff.); Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, S. 18 ff. 916 BVerfGE 65, 1 erster Leitsatz. 917 BVerfGE 65, 1 (42). 918 BVerfGE 65, 1 (43). 919 BVerfGE 65, 1 (45). 920 BVerfGE 65, 1 (45). 921 BVerfGE 65, 1 (45) (Hervorhebung im Original). 922 Bechler, Informationseingriffe durch intransparenten Umgang mit personenbezogenen Daten, S. 47. 923 Orantek, Datenschutz im Informationszeitalter, S. 56. 924 BVerfGE 65, 1 zweiter Leitsatz. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 132 Grundsatz der informationellen Gewaltenteilung erlangt.925 Mit der Annahme, dass derjenige, der das Wissen seiner möglichen Kommunikationspartner nicht einigermaßen abzuschätzen vermöge, in seiner Freiheit wesentlich gehemmt werde, aus eigener Selbstbestimmung zu planen oder zu entscheiden926, geht das BVerfG von einem Leitbild aus, welches den Bürger als selbstbestimmte Persönlichkeit in vielfältigen Kommunikationssituationen sieht, egal über welches Medium die Kommunikation abläuft. Die moderne Informationstechnologie war denn auch Beweggrund für die Kreation eines neuen Grundrechts, welches umfassend für alle Formen der Informationsverarbeitung gilt927. Gerade vor dem Hintergrund, dass in dieser Arbeit die Verantwortungsbeiträge und Verantwortungssphären der Akteure im Vordergrund stehen, sind im Folgenden der Schutzbereich, der Eingriff und die Rechtfertigung des Eingriffs näher zu untersuchen. Schutzbereich Die Bestimmung des Schutzbereiches928 des Grundrechts auf informationelle Selbstbestimmung bereitet in vielerlei Hinsicht Probleme. Aufgrund seiner richterrechtlichen Entstehung und Ausprägung und der Konsequenzen, die sich daraus ergeben, ist der Schutzbereich schwieriger zu fassen als bei explizit im GG stehenden Grundrechten. Solange ein mögliches Datenschutzgrundrecht nicht als Verfassungsänderung beschlossen wird, ist das BVerfG nicht nur Hüter, sondern auch Herr des Rechts auf informationelle Selbstbestimmung929. Das hat sich insoweit ausgewirkt, als das BVerfG den Schutzbereich der informationellen Selbstbestimmung durch das Urteil zur Online- Durchsuchung mit der Schaffung des Grundrechts auf Vertraulichkeit und Integrität informationstechnischer Systeme verengt hat930. Auch ist das Schutzgut des Rechts auf informationelle Selbstbestimmung schwieriger zu bestimmen als andere normierte Grundrechte, weil hier weitere tatsächliche Gegebenheiten wie Verwendungskontexte eine Rolle spielen931. Daneben sind in tatsächlicher Hinsicht in der Informationsgesellschaft Informationsinhalte, Kommunikationsprozesse und die darauf bezogene Kom- 2. 925 Busch, DVBl. 1984, 385 (387). 926 BVerfGE 65, 1 (43); 115, 320 (341); 120, 351 (360); 118, 168 (187). 927 Busch, DVBl. 1984, 385 (386). 928 In der Literatur wird teilweise dem Begriff des Schutzbereiches der des „Schutzgegenstandes“ vorgezogen, vgl. beispielsweise Sachs, in: Stern, Das Staatsrecht der Bundesrepublik Deutschland, Bd. III/2, 1994, § 77 III 1a; eine begriffliche Unterscheidung zwischen „Schutzbereich“ und „Schutzgut“ findet sich bei Isensee, in: Isensee/Kirchhof, Handbuch des Staatsrechts der Bundesrepublik Deutschland, Bd. V, 1992, § 11, Rn. 40 ff.; hier soll primär der Begriff des Schutzbereiches verwendet werden. 929 Kloepfer/Schärdel, JZ 2009, 453 (458). 930 Kloepfer/Schärdel, JZ 2009, 453 (458); zum Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme im Einzelnen unten unter: Teil 3, C., III. 931 Zur Frage der terminologischen Unterscheidung von Schutzbereich und Schutzgut schreibt Isensee, in: Ders./Kirchhof, HBStR, Bd. V, § 111, Rn. 43: Die Kategorie des Schutzgutes erschließe die Möglichkeit des „Rundum-Objektschutzes“, also auch der Abwehr privater Übergriffe, die Thema der staatlichen Schutzpflicht ist; dieser Aspekt liege aber außerhalb des abwehrrechtlichen Funktionskreises eines Grundrechtes, und zwar im Bereich der objektiv-rechtlichen Gewährleistungen; Kritik am Schutzbereich auch bei Bull, in: Möllers/Ooyen (Hrsg.), Jahrbuch öffentliche Sicherheit, 317 (323). C. Verfassungsrechtliche Vorgaben 133 munikationsinfrastruktur häufig auf multipolare Interessenkollisionen bezogen932, die nicht nur auf einen final und imperativ eingreifenden Staat beschränkt sind. Schließlich ist die grundsätzliche „Wechselbeziehung“ zwischen Schutzbereich und Eingriff bei Grundrechten ein Aspekt, der den Umgang mit dem Recht auf informationelle Selbstbestimmung nebenher weiter erschwert933. Je weiter der Schutzbereich eines Grundrechtes verstanden wird, desto eher erscheint staatliches Handeln als Eingriff934. Interessenkollisionen bestehen durchaus auch in Konstellationen Privater untereinander mit Machtungleichgewichten zwischen diesen. Im Hinblick auf eine möglicherweise bestehende objektiv-rechtliche Dimension des Grundrechts auf informationelle Selbstbestimmung steht die Frage im Raum, was dieses konkret für den Staat bedeutet. Für den Datenschutz im transaktionsbezogenen E-Government ist aber gerade die Frage wichtig, wie weit der Schutzbereich des Grundrechts auf informationelle Selbstbestimmung reicht und welche Schutzrichtung der Grundrechte betroffen ist. Dies bedarf daher im Folgenden der ausführlichen Analyse. Subjektiv-abwehrrechtliche Schutzrichtung Nach der Rechtsprechung des BVerfG im Volkszählungsurteil von 1983 gewährleistet das Grundrecht auf informationelle Selbstbestimmung die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen935. Dies wird als Schutzbereichsausprägung des allgemeinen Persönlichkeitsrechts gesehen936. Dieses stützt sich auf Art. 1 Abs. 1 GG i. V. m. Art. 2 Abs. 1 GG. Der Gedanke der Selbstbestimmung entstammt der Menschenwürdegarantie aus Art. 1 Abs. 1 GG. Die Bestimmungsbefugnis über die persönlichen Daten leitet sich nach dem Gedanken der Selbstbestimmung von der Befugnis des Einzelnen ab, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden937. Dem Entstehungskontext des Volkszählungsurteils entsprechend, standen staatliche Eingriffe in die informationelle Selbstbestimmung zunächst im Vordergrund. Schutzgut sind zunächst einmal personenbezogene Daten. Für dieses Schutzgut der personenbezogenen Daten reicht es aus, dass der Personenbezug im Zuge des Kriteriums der Bestimmbarkeit durchaus in mehreren Zwischenschritten hergestellt werden kann938. So deutlich diese Worte auf den ersten Blick scheinen a) 932 Hoffmann-Riem, AöR 123 (1998), 513 (522). 933 Pieroth/Schlink, § 6 Rn. 226; dieses Phänomen sei demnach bei Grundrechten generell der Fall: Je weiter der Schutzbereich eines Grundrechtes, desto mehr erscheint staatliches Handeln als Eingriff, je enger diese verstanden werden, desto weniger gerät der Staat mit den Grundrechten in Konflikt. 934 Pieroth/Schlink, Grundrechte, Rn. 226. 935 BVerfGE 65, 1 (43); 67, 100 (143); 78, 77 (84); 192 (194), 85, 219 (224), 96, 171 (181); 103, 21 (32 f.); 113, 29 (46); 115, 320 (431), 118, 168 (184). 936 Bechler, Informationseingriffe durch intransparenten Umgang mit personenbezogenen Daten, S. 22 mit Verweis auf BVerfGE 118, 168 (184). 937 BVerfGE 65, 1 (42). 938 Vgl. hierzu Weichert, in: Däubler u. a. (Hrsg.), BDSG, § 3 Rn. 13. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 134 mögen, so schwierig wird es bei einer detaillierteren Betrachtung der daraus folgenden Konturen939. Eigentumsähnliches Herrschaftsrecht? Umstritten ist bereits die Frage, in welchem rechtlichen Verhältnis die Person, auf welche die Daten bezogen werden, zu diesen jeweiligen Daten steht. Der Nutzer ist Datensubjekt940 und sein Umgang mit Daten rechtlich schwierig zu fassen. Da in dieser Arbeit die Verantwortung des Nutzers für seine informationelle Selbstbestimmung im Vordergrund steht, ist es erforderlich, diese Frage hier näher zu untersuchen. Ausgangspunkt ist, dass das BVerfG eine eigenständige Befugnis des Einzelnen anerkennt, über Preisgabe und Verwendung persönlicher Daten selbst zu bestimmen941. Es wird die Auffassung vertreten, dass es sich um ein eigentumsähnliches Herrschaftsrecht an den Daten handle942. Das Grundrecht auf informationelle Selbstbestimmung sei ein Phänomen im Grenzbereich zwischen Persönlichkeitsrecht und Eigentumsrecht943. Bei der Zuweisung von Rechten sind Ausschließlichkeitsrechte wie das Sacheigentum die stärkste Form, welche die Rechtsordnung kennt944. Hierzu gibt es viele Gegenauffassungen, die aufgrund der Eigenart der Daten eine eigentums- ähnliche Konstruktion ablehnen945. Diese Konstruktion widerspricht auch bereits den ausdrücklichen Ausführungen des BVerfG im Volkszählungsurteil, welches ausführt: „Der Einzelne hat nicht ein Recht im Sinne einer absoluten, uneinschränkbaren Herrschaft über ,seine‘ Daten.“946 Daten sind naturgemäß anders zu fassen als körperliche Gegenstände i. S. d. § 90 BGB. Informationelle Selbstbestimmung begründet kein eigentumsähnliches Herrschaftsrecht an den Daten und ist als Funktionsvoraussetzung eines demokratischen Gemeinwesens nicht in ein kommerzialisiertes Belieben des Individuums gestellt947. Deutlich wird dies auch insbesondere bei der Verwendung von Identitätsdaten von Personen, die in einer funktional differenzierten Staats- und Gesellschaftsordnung erhoben werden müssen948, um soziale Interaktion zu ermöglichen. Dem Verständnis eines eigentumsähnlichen Herrschaftsrechts wird insgesamt auch entgegengehalten, dass dieses zu subjektivistisch sei und sich die Bedeutung des aa) 939 Hierauf weisen zu Recht hin: Kloepfer/Schärdel, JZ 2009, 453 (457); Trute, in: Roßnagel (Hrsg.), HBDSR, 2003, S. 164; Ladeur, DuD 2000, 12 (12 ff.); ders., DÖV 2009, 45 (47 ff.). 940 Diesen Terminus verwendet: Dorner in CR 2014, 617 (617 ff.) 941 BVerfGE 65, 1 (43). 942 So etwa Waechter, VerwArch 92 (2001), 368 (378). 943 Waechter, VerwArch 92 (2001), 368 (378). 944 Zech, CR 2015, 137 (139). 945 Dorner, CR 2014, 617 (626); Gurlit, NJW 2010, 1035 (1036); Sieber, CR 1995, 100 (111); Kunig, Jura 1993, 595 (603); Lesch, JA 2000, 725 (727 ff.); ders., JR 2000, 333 (337). 946 BVerfGE 65, 1 (43 f.), aufgenommen auch z. B. durch BGH, Urt. v. 23.6.2009 – VI ZR 196/08; BGHZ 181, 328 (338)=AfP 2009, 401=CR 2009, 593. 947 Roßnagel, in: Hill (Hrsg.), E-Transformation, 79 (88). 948 Vgl. hierzu VG Osnabrück, 3 A 45/12, Rn. 15, welches die Verpflichtung zur Beibringung einer Personalausweiskopie zum Beantragen einer Signaturkarte nicht als Eingriff in den Schutzbereich des Grundrechts auf informationelle Selbstbestimmung sieht und dabei ausführt, dass es kein absolutes Herrschaftsrecht über Daten gibt. C. Verfassungsrechtliche Vorgaben 135 Grundrechts auf informationelle Selbstbestimmung im Wesentlichen nur auf die Frage der Speicherung und Weitergabe von Daten beschränke949. Normgeprägter Schutzbereich wie bei Art. 14 GG? Teilweise wird auch von einem normgeprägten Schutzbereich wie bei Art. 14 GG ausgegangen950. Dies hätte zur Folge, dass erst der Gesetzgeber genau festlegt, was genau geschützt ist. Der Vergleich mit Art. 14 GG ist grundrechtssystematisch verfehlt und abzulehnen. Nach Waechter handle es sich beim Grundrecht auf informationelle Selbstbestimmung nicht um einen rein normgeprägten Schutzbereich951. Diese Verselbstständigung der eigentumsanalog formulierten Befugnis über die Verwendung der Daten zu bestimmen, sei nach Ansicht von Trute zu weit952. Nach der Kritik von Bull werde hierdurch die Voraussetzung der Freiheitsausübung zu deren Inhalt gemacht953. Diese Auffassung sieht das Grundrecht auf informationelle Selbstbestimmung als ein Freiheitsrecht am eigenen Datum, in dessen Schutzbereich immer schon dann eingegriffen werde, wenn eine staatliche Stelle individualisierbare Information zur Kenntnis nehme, speichere, verwende oder weitergebe954. Bei der Kritik an dieser Auffassung wurde zum einen darauf hingewiesen, dass diese einerseits zu einem Totalvorbehalt für die Erhebung und Speicherung personenbezogener Daten führe955 und andererseits dem Recht auf informationelle Selbstbestimmung eine Banalisierung drohe956. Nach Bull drohe es dadurch zu einem weiten und verselbstständigten Gefährdungstatbestand und Motor der Verrechtlichung ohne materielle Zugewinne an kommunikativer Selbstbestimmung zu werden957. Lösungsansatz bei § 303 a StGB? In der strafrechtlichen Literatur wird bei § 303a StGB eine Art Dateneigentum konstruiert958. Im Zusammenhang mit dieser Vorschrift wurde es notwendig, die rechtlibb) cc) 949 Für die Bedeutung des Grundrechts auf informationelle Selbstbestimmung argumentiert so: Lesch, JA 2000, 725 (728). 950 Vgl. den Hinweis bei Kloepfer/Schärdel, JZ 2009, 453 (461); gegen die Annahme eines rein normgeprägten Schutzbereiches, aber für eine eigentumsanaloge Konstruktion spricht sich aus: Waechter, VerwArch 92 (2001), 368 (377); zu Recht liefert Duttge, Der Staat 1997, 281 (308), den Hinweis, dass sich ein Recht auf Datenschutz, verstanden im Sinne eines eigentumsähnlichen subjektiven Informationsbeherrschungsrechts, nur sehr schwer in die Grundrechtssystematik einordnen lässt. 951 Waechter, VerwArch 92 (2001), 368 (377). 952 Trute, in: Roßnagel, HBDSR, Kap. 2.5, S. 165; kritisch zur eigentumsanalogen Konstruktion auch Gusy, KritV 2000, 52 (58). 953 Bull, ZRP 1998, 310 (312). 954 Vgl. hierzu Di Fabio, in: Maunz/Dürig, GG, Stand 2001, Art. 2, Rn. 176. 955 Ladeur, DuD 2000, 12 (12 ff.); Bäcker, Linien der Rechtsprechung des Bundesverfassungsgerichts, 99 (121). 956 Hoffmann-Riem, 1998, 11 (18 f.). 957 Bull, ZRP 1998, 310 (312 ff.). 958 Hoeren, MMR 2013, 486 (486) m. w. N. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 136 che Beziehung einer Person zu Daten zu definieren959. Diese Strafnorm soll als Rechtsgut die Verwendbarkeit der Daten durch den Berechtigten schützen960. Dies geht nur, wenn es eine rechtlich belastbare Beziehung des Berechtigten zu den Daten gibt. Umfasst sein soll sowohl der ausschließliche Zugang zu sowie die Integrität von Daten961. In der Literatur wird dazu auf den sog. Skripturakt abgestellt962. Bereits eine Übertragbarkeit dieser Form der Datenberechtigung im Zivilrecht erscheint schwierig963. Die Übertragbarkeit bei der Bestimmung des Schutzbereiches des Grundrechts auf informationelle Selbstbestimmung sowie ins Datenschutzrecht erscheint hier jedoch ebenfalls schwierig. Zur Bestimmung des Schutzbereiches des Grundrechts auf informationelle Selbstbestimmung ist der vorliegende Lösungsansatz nicht geeignet. Lösungsansätze im Kontext von Big Data? Fraglich ist, ob sich im Zuge der Debatte um Big-Data964 weiter gehende Ansätze zur Bestimmung der rechtlichen Beziehung einer Person zu ihren Daten finden lassen. Gerade das enorme wirtschaftliche Interesse an den Daten bei Big Data zwingt dazu, die rechtlichen Beziehungen zu Daten präziser zu fassen965. Differenziert werden hier als zuweisbare Handlungsbefugnisse einer natürlichen Person der Zugang zu den Daten, die Nutzung der Daten und die Beeinträchtigung der Integrität der Daten966. Allerdings zeigt sich schon, dass im Zuge der Big-Data-Debatte ein Datenbegriff mit der Codierung als Zeichenmenge (syntaktische Ebene) und nicht wie im datenschutzrechtlichen Kontext notwendigerweise die Bedeutung von Daten (semantische Ebene) zugrunde gelegt wird967. Daher ist es bereits an dieser Stelle sichtbar, dass die Erwägungen in der Big-Data-Debatte für die Bestimmung des Schutzbereiches des Grundrechts auf informationelle Selbstbestimmung und die in diesem Zusammenhang zu klärende Zuweisung von Verantwortung nicht weiterführen werden. Stellungnahme Es wurde deutlich, dass sich der Schutzbereich des Grundrechts auf informationelle Selbstbestimmung aufgrund seiner Eigenart rechtssystematisch nur schwer einordnen lässt. Maßgeblich ist jedenfalls im Gegensatz zum Ausgangspunkt der Big-Data-Dedd) ee) 959 Hoeren, in: Conrad/Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen – Festschrift für Jochen Schneider, 303 (306). 960 Hilgendorf, JuS 1996, 890 (892). 961 Zech, CR 2015, 137 (143). 962 Welp, IuR 1988, 443 (447), sowie ders., IuR 1988, 434 (434 ff.). 963 Hoeren, MMR 2013, 486 (488). 964 Zur weiteren Einordnung des Begriffs Big Data insbesondere Zech, CR 2015, 137 (137 ff.); im Kern bezeichnet der Begriff die Möglichkeit der Analyse von großen Datenmengen, um hieraus wirtschaftlich relevante Schlussfolgerungen zu ziehen; zu den Grenzen des Grundrechtsschutzes und dessen Neukonzeption im Zeitalter von Big Data: Roßnagel/Nebel, DuD 2015, 455 (457 ff.). 965 Hoeren, MMR 2013, 486 (486); zu den Auswirkungen der Entwicklung von Big Data auf den Datenschutz: Boehme-Neßler, DVBl 2015 1282 (1282 ff.). 966 Zech, CR 2015, 137 (139). 967 Zech, CR 2015, 137 (138). C. Verfassungsrechtliche Vorgaben 137 batte die Bedeutung der Daten im jeweiligen Verwendungskontext (semantische Ebene). Kommunikation in der Informationsgesellschaft ist immer zugleich mehr und anderes als ein Grundrechtseingriff968. Es handelt sich dogmatisch nicht um ein eigentumsähnliches Herrschaftsrecht und auch nicht um einen normgeprägten Schutzbereich. Mit einem eigentumsanalog konstruierten Recht an den Daten wäre im Prinzip auch nichts gewonnen, weil es um den Schutz des Dateninhalts geht969. Der Personenbezug von Daten als „herrschaftszuweisendes Moment“ relativiert sich dadurch, dass der Einzelne zur Kommunikation in der Gesellschaft Informationen offenbart970. Beim Grundrecht auf informationelle Selbstbestimmung handelt es sich um eine dogmatisch schwer zu fassende Form eines Datenumgangsrechts jedes Einzelnen ohne Ausschließlichkeitscharakter. Es geht nicht um den Schutz von Daten an sich, sondern um den Schutz von Persönlichkeitsrechten971. Personenbezogene Daten sind ein Abbild sozialer Realität972. Da das Grundrecht auf informationelle Selbstbestimmung nicht eigentumsähnlich ist, kann auch die Ausgestaltung der Nutzerverantwortung nicht wie beim Eigentum erfolgen. Der Umgang mit Identitätsdaten und anderen personenbezogenen Daten muss auf ein anderes Verantwortungskonzept setzen, welches weiter zu untersuchen ist. Für den Schutzbereich des Grundrechts auf informationelle Selbstbestimmung bedeutet dies, dass vom Schutzbereich ein nicht ausschließliches Datenumgangsrecht geschützt wird. Diese Rechtsposition wird maßgeblich auch durch die Verwendungskontexte der personenbezogenen Daten determiniert. Was dies für die Verantwortungsbeiträge der einzelnen an der Kommunikation beteiligten Akteure bedeutet, muss weiter untersucht werden. Objektiv-rechtliche Schutzrichtung Nachdem im Rahmen der subjektiv-abwehrrechtlichen Schutzrichtung mit der klassischen Grundrechtsfunktion der Eingriffsabwehr das Schutzgut geklärt werden konnte, ist hier auch die objektiv-rechtliche Seite des Grundrechts auf informationelle Selbstbestimmung zu hinterfragen. Die Schutzrichtungen eines Grundrechts finden nicht zuletzt auch auf einfachgesetzlicher Ebene und damit in der praktischen Rechtsanwendung ihren Niederschlag. Daher ist hier die objektiv-rechtliche Schutzrichtung973 des Grundrechts auf informationelle Selbstbestimmung in den Blick zu nehmen. Mehrere Vertreter in der Literatur stellen diese Wirkdimension des Grundrechts b) 968 Gusy, KritV 2000, 52 (58). 969 So auch Hoeren, in: Conrad/Grützmacher (Hrsg.), Recht der Daten und Datenbanken – Festschrift für Jochen Schneider, 303 (304). 970 Knabe, in: Schünemann/Weiler (Hrsg.), E-Government und Netzpolitik im europäischen Vergleich, 277 (291); mit Verweis auf BVerfG NJW 1984, 419 (422) (Hervorhebung im Original). 971 Schneider/Härting, CR 2014, 306 (307). 972 BVerfGE 65, 1 (41 f.). 973 Ein Hinweis auf die Entstehung dieser Dimension durch den Wandel vom liberalen zum sozialen Rechtsstaat bei: Pieroth/Schlink, § 4, Rn. 77 ff.; auf europäischer Ebene wird in den einschlägigen Normen wie Art. 8 Abs. 1 GRCh und Art. 16 Abs. 1 AEUV der objektiv-rechtliche und der subjektiv-rechtliche Gehalt im Wortlaut deutlicher: Vgl. v. Lewinski, DuD 2012, 564 (568). Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 138 auf informationelle Selbstbestimmung bei der Austarierung des Schutzbereiches in den Vordergrund. Nach der Auffassung von Hoffmann-Riem sei das Recht auf informationelle Selbstbestimmung kein privatistisches Abwehrrecht des sich abschottenden Individuums, sondern ein Recht auf eine selbstbestimmte Teilhabe an Kommunikationsprozessen974. Unter Berücksichtigung des Menschenbildes des GG – wie es auch das BVerfG im Volkszählungsurteil zugrundelege – bildeten andere Individuen das soziale Umfeld, in dessen Rahmen sich die Persönlichkeit des Einzelnen entfalte975. Die Autonomie des Individuums entfalte sich in vernetzten sozialen Lebensräumen, wo Kommunikation nicht an ausgrenzenden Konzepten des Schutzes egozentrischer Entfaltung orientiert werden könne, sondern auf Freiheitsausübung und auf Gegenseitigkeit ziele976. In der Informationsgesellschaft seien Informationsinhalte, Kommunikationsprozesse und die darauf bezogene Kommunikationsinfrastruktur häufig auf multipolare Interessenkollisionen bezogen977. Würde man das Grundrecht auf informationelle Selbstbestimmung negatorisch verkürzt vorrangig als Abwehrrecht verstehen, so würde man die Bedingungen der Konstituierung von Kommunikationsmöglichkeiten in multipolaren Interessenfeldern vernachlässigen978. Es sei nötig, im Rahmen der elektronischen Kommunikation auf ein „Denken in Verkehrsregeln und Verantwortlichkeiten“ umzuschwenken und dabei die Dogmatik des objektiv- und subjektiv-rechtlichen Grundrechtsschutzes zu nutzen979. Diese Auffassung setzt zutreffend bei den tatsächlichen Voraussetzungen von Kommunikationsvorgängen an und verneint eine eigentumsanaloge Ausgestaltung im Sinne einer Sachherrschaft über personenbezogene Daten. Weiter bezieht sie grundsätzlich mit ein, dass ein Bedeutungswandel im Tatsächlichen stattfinden kann, sodass die Rechtsordnung hierauf reagieren muss980. Die subjektiv-abwehrrechtliche Dimension wird hier jedoch nicht völlig außer Betracht gelassen. Diese Auffassung hat auch durchaus Kommunikationsvorgänge im E-Government im Auge. Dieser Ansatz berücksichtigt den Aspekt, wo möglicherweise Schutzbedarfe der Kommunikationsteilnehmer entstehen könnten. Er ist nicht ausschließlich an dem klassischen Muster des status negativus im Sinne eines Eingriffsabwehrrechts orientiert, sondern verdeutlicht, dass Kommunikation in multipolaren Interessenfeldern auch erst einmal ermöglicht werden muss. Nach der Auffassung von Trute verändere sich das Leitbild des Datenschutzrechtes, welches von einem klassischen rechtsstaatlichen Konflikt zwischen öffentlichen 974 Hoffmann-Riem, AöR 123 (1998), 513 (521); ders., in: Bäumler (Hrsg.), Der neue Datenschutz, 11 (13). 975 Hoffmann-Riem, AöR 123 (1998), 513 (521). 976 Hoffmann-Riem, AöR 116 (1991), 501 (501 ff.) mit Verweis auf Suhr, Entfaltung der Menschen durch die Menschen, 1976. 977 Hoffmann-Riem, AöR 123 (1998), 513 (522). 978 Hoffmann-Riem, AöR 123 (1998), 513 (522). 979 Hoffmann-Riem, AöR 123 (1998), 513 (524) mit Verweis auf Suhr, Entfaltung der Menschen durch die Menschen, 129 ff. 980 Zum Einfluss des Bedeutungswandels im Tatsächlichen auf das Recht: Luch/Schulz, S. E., in: Schliesky (Hrsg.), Technikgestütztes Identitätsmanagement, 1 (2 ff.). C. Verfassungsrechtliche Vorgaben 139 Interessen an Informationen und Schutz privater Selbstbestimmung ausgehe981. Hiernach hätten sich die Informationsinteressen des Bürgers in der Weise nachhaltig ver- ändert, dass nicht mehr nur Informationsabschottung zwischen Staat und Bürger im Vordergrund stünde, sondern auch Kommunikation, Informationsteilhabe des Bürgers an staatlichen Informationsbeständen wie auch eine zunehmend virulent werdende informationelle Grundversorgung des Bürgers durch den Staat zur Unterstützung und Sicherung seiner Handlungsmöglichkeiten in Selbstbestimmung982. Die Auffassung sieht den Schutzzweck in der Identitätsbildung und -darstellung des Grundrechtsinhabers, sodass der Bezugspunkt weiterhin im allgemeinen Persönlichkeitsrecht und in dessen Gefährdung durch Datenverwendungen gesehen wird983. Trute sieht ein Recht auf kommunikative Selbstbestimmung, welches als Recht auf Schaffung und Erhaltung der Bedingungen zu entfalten sei, unter denen eine freie Entfaltung der Persönlichkeit möglich sei984. Kommunikative Selbstbestimmung sei nicht als eigentumsanaloges Informationsbeherrschungsrecht zu verstehen985. Das Recht auf informationelle Selbstbestimmung werde zu einem Recht auf kommunikative Selbstbestimmung986. Dieses sei als Recht auf Schaffung und Erhaltung der Bedingungen zu entfalten, unter denen eine freiheitliche Darstellung der Persönlichkeit möglich sei. Es bestehe kein Totalvorbehalt bei der staatlichen Erhebung und Verarbeitung von Daten, sondern es würden gefährdungsabhängige Gestaltungen von Verarbeitungs- und Verwendungszusammenhängen möglich, die eine Konzentration auf Wesentliches und eine Abstufung der Instrumente ermöglichten987. Damit adressiert diese Interpretation vorwiegend den Gesetzgeber, der die Bedingungen für den Kommunikationsprozess absichern soll. Die Ansicht betont die persönlichkeitsrechtliche Verortung. Die hier angesprochene auszubildende Identität des Kommunizierenden in Kommunikationsprozessen ist hier sicherlich nicht im oben verstandenen Sinne als Identifizierbarkeit zu verstehen, sondern als „Bewusstsein über das Selbst“ zu verstehen, was als Entstehungsvoraussetzung eines Kommunikationsprozesses zu sehen ist. Diese Ansicht hat den Vorzug, dass ein tatsächlich stattfindender Prozess als Prämisse genommen wird. Ein bloßes Schrankendenken im Hinblick auf mögliche Grundrechtseingriffe erfasst beispielsweise auch nicht die Identitätsbildung im hier verstandenen Sinne eines Nutzers im E-Government. Nach der Auffassung von Albers führe der Ansatz der klassischen Eingriffsabwehr nicht weiter988. Dieser Ansatz gehe davon aus, dass individuelle Rechte im Umgang mit Informationen und Daten aus dem objektiv-rechtlichen Gehalt der Grundrechtsnormen konkretisiert und begründet werden müssten989. Es gebe zwei verschiedene 981 Trute, JZ 1998, 822 (823). 982 Trute, JZ 1998, 822 (823), ders., VVDStRL 57 (1997), 218 (211 ff.); Schoch, VVDStRL 57 (1997) 158 (158 ff.), Pitschas DuD 1998, 139 (139 ff.). 983 Trute, in: Roßnagel, HBDSR, Kap. 2.5, Rn. 14. 984 Trute, in: Roßnagel, HBDSR, Kap. 2.5, Rn. 22. 985 Trute, in: Roßnagel, HBDSR, Kap. 2.5, Rn. 22. 986 Trute, in: Roßnagel, HBDSR, Kap. 2.5, Rn. 22 987 Trute, in: Roßnagel, HBDSR, Kap. 2.5, Rn. 22. 988 Albers, DVBl. 1996, 233 (240). 989 Albers, in: Haratsch/Kugelmann/Repkewitz, Herausforderungen, 113 (125). Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 140 Ebenen, wobei es sich bei der ersten um eine objektiv-rechtliche Gewährleistung handele, welche sich mit Regelungsanforderungen an die Gesetzgebung richte990. Hier seien die Festlegung der Verwendungszwecke, die Zweckbindung und Kenntnismöglichkeiten über die Datenverarbeitung zu nennen991. Die auf der ersten Ebene gefundenen Anforderungen sollen dann auf der zweiten Ebene zu konkreten Rechtsbindungen führen992. Die zweite Ebene diene ausschließlich „dem besonderen Schutz der Grundrechtsträger in der Konstellation, die in den jeweils thematisierten Freiheitsbereich fällt993. Diese Ansicht stellt im Rahmen der objektiv-rechtlichen Wirkdimension des Grundrechts auf informationelle Selbstbestimmung die rechtliche Absicherung von Datenverarbeitung in den Vordergrund. Im Gegensatz zur Ansicht von Hoffmann- Riem geht es hierbei ausschließlich um Regelungsanforderungen an die Gesetzgebung. Die objektiv-rechtliche Wirkdimension kann aber auch mehr bedeuten, als nur gesetzgeberische Anforderungen festzulegen. Der Schutz der informationellen Selbstbestimmung kann als Infrastrukturschutz verstanden werden, für den der Staat den Rahmen bereitstellt994. Datenschutz muss in diesem Kontext als Systemdatenschutz gedacht werden.995 Eine Schutzpflichtdimension des Grundrechts auf informationelle Selbstbestimmung kann mehr erfordern als nur gesetzgeberisches Tätigwerden996. Nach der Ansicht von Kloepfer sei die Konzeption des Rechts auf informationelle Selbstbestimmung als primär gegen den Staat gerichtetes Abwehrrecht überholt und müsse modifiziert werden997. Dieses müsse in Richtung einer „Datenverkehrsordnung“ gehen998, in der sich der Bürger und die Privaten als Grundrechtsberechtigte und der Staat als Grundrechtsverpflichteter bewegten. Datenschutz sei als Teil einer Informationsordnung zu sehen und mit anderen informationsrechtlichen Regelungszusammenhängen abzugleichen, etwa mit den gesetzlichen Geheimnisregelungen, den Zeugnisverweigerungsrechten, den Melde- und Informationspflichten der Bürger, mit ihren Informationsausschließungsansprüchen sowie den Informationspflichten des Staates999. Ziel sei eine „Datenverkehrsordnung“, welche sämtliche datenbezogenen Betätigungen der Grundrechtsberechtigten und des Staates bewegen müsste1000. Statt eines individual-rechtlich verstandenen Datenschutzes müsse sich die Blickrichtung dahin gehend ändern, dass das „System“ Ansatzpunkt datenschutzrechtlicher Betrachtungen werde mit einer „Systemverpflichtung“, 990 Albers, in: Haratsch/Kugelmann/Repkewitz, Herausforderungen, S. 129; dies., Determination, S. 233; dies., in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle, Grundlagen des Verwaltungsrechts II, § 22 Rn. 77. 991 Albers, in: Haratsch/Kugelmann/Repkewitz, Herausforderungen, 113 (129); dies., Die Determination polizeilicher Tätigkeit in den Bereichen der Strafverhütung und der Verfolgungsvorsorge, S. 233 ff. 992 Bechler, Informationseingriffe durch intransparenten Umgang mit personenbezogenen Daten, S. 85. 993 Albers, Informationelle Selbstbestimmung, S. 589. 994 Hoffmann-Riem, AöR 123 (1998), 513 (537). 995 Zum Systemdatenschutz Schaar, in: Schmidt/Weichert (Hrsg.), Datenschutz, 363 (363 ff.). 996 Vgl. zu den staatlichen Schutzpflichten unten unter: Teil 4, B. 997 Kloepfer, Gutachten 62. DJT, S. 81; anders aber ders./Schärdel, JZ 2009, 453 (455). 998 Kloepfer, Gutachten 62. DJT, S. 86, 92 f. 999 Kloepfer, Gutachten 62. DJT, S. 85 f. 1000 Kloepfer, Gutachten 62. DJT, S. 86, 92 f. C. Verfassungsrechtliche Vorgaben 141 verstanden als rechtliche Verantwortung für technische und organisatorische Strukturen1001. Neben dem Grundrecht auf informationelle Selbstbestimmung müsse die Gewährleistung eines freien Informationsflusses mit betrachtet werden1002. Datenschutz und Informationsfreiheit seien neben den kommunikationsbezogenen Grundrechten des Art. 5 GG die tragenden Säulen der Informationsgesellschaft1003. Diese Ansicht nennt explizit die Verantwortung des Staates für technische und organisatorische Strukturen. Ihr ist insoweit zuzustimmen, als dass die Frage des Grundrechtsschutzes auch eine Frage des Schutzes der Systeme und der technischen sowie organisatorischen Strukturen ist. Ein weiterer Aspekt ist die Erweiterung des Blickes auf die Informationszugangsfreiheit. Der Zugang zu staatlichen Informationen ist in der Tat ein weiteres wichtiges Vehikel innerhalb der Informationsgesellschaft. Nach der Ansicht von Ladeur sei es angezeigt, sich bei der Bestimmung des Schutzbereichs des Grundrechts auf informationelle Selbstbestimmung vom Eingriffsabwehrdenken zu lösen und den Datenschutz dem „Risikorecht“ zuzuordnen1004. Er plädiert für eine Grundrechtsfunktion der Risikovorsorge, welche nicht im Einzelfall entwickelt werden könne, sondern notwendigerweise einer Art planerischen Logik folge und einen Gesamteffekt bewirken wolle1005. Das Grundrecht auf informationelle Selbstbestimmung lasse sich daher eher als eine Art Teilhaberecht konstruieren, welches den Zugriff auf den Gesamtzusammenhang einer Sicherheitsstrategie erlauben könnte, wenn der Einzelne ausreichend betroffen ist1006. Der Gesetzesvorbehalt müsse demnach nicht an der Verwendung der einzelnen „Daten“, sondern am Konzept der „Verwendungszusammenhänge“ ansetzen1007. Diese Ansicht geht auf das Grundproblem ein, dass sich mit einem Ansatz, welcher vornehmlich am Eingriffsabwehrdenken orientiert ist, der Schutzbereich des Grundrechts auf informationelle Selbstbestimmung nicht hinreichend beschreiben lässt. Der Schutz der informationellen Selbstbestimmung enthält auch ein Element der Risikovorsorge, für die der Staat verantwortlich ist. Bezüglich der objektiv-rechtlichen Dimension des Grundrechts auf informationelle Selbstbestimmung hat das BVerfG im Urteil zur Vorratsdatenspeicherung aus dem Jahr 2010 eine weitere Präzisierung vorgenommen1008. Wenn der Gesetzgeber staatliche Institutionen zur Datenerhebung, -verarbeitung, -weitergabe, und -nutzung ermächtigt, steht dem Betroffenen aus dem Grundrecht auf informationelle Selbstbestimmung im Wege der sog. grundrechtlichen Schutzpflichten ein Anspruch auf Sicherung seiner 1001 Kloepfer, Gutachten 62. DJT, S. 98 f.; ein Plädoyer für eine subjektive Bestimmung des Schutzbereichs: Vgl. ders./Schärdel, JZ 2009, 453 (461). 1002 Kloepfer/Schärdel, JZ 2009, 453 (459). 1003 Kloepfer, DÖV 2003, 221 (223). 1004 Ladeur, DÖV 2009, 45 (53) (Hervorhebung im Original). 1005 Ladeur, DÖV 2009, 45 (54). 1006 Ladeur, DÖV 2009, 45 (54). 1007 Ladeur, DÖV 2009, 45 (54) (Hervorhebungen im Original) mit Verweis auf Trute, in: Roßnagel (Hrsg.), HBDSR, 2003, Kap. 2.5., Rn. 18; Hoffmann-Riem, in: Bäumler (Hrsg.), Der neue Datenschutz, 11 (19); Bull, RDV 2008, 47 (53). 1008 BVerfG, 1 BvR 256/08 = BVerfG NJW 2010, 833. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 142 Daten vor einer unbefugten Nutzung oder Veränderung durch Dritte zu1009. Aus diesem Anspruch lassen sich allerdings keine detailgenauen Anforderungen an die Sicherheit der Daten und etwaige konkrete Maßnahmen ableiten1010. Dies zeigt aber, dass das BVerfG in der weiteren Konturierung des Schutzbereichs des Grundrechts auf informationelle Selbstbestimmung von einer wichtigen Funktion der objektiv-rechtlichen Dimension des Grundrechts auf informationelle Selbstbestimmung ausgeht. Im konkreten Fall muss der Gesetzgeber also die tatsächliche Gefährdungslage der betreffenden personenbezogenen Daten erfassen und eine datensicherheitskonforme Lösung finden. Stellungnahme Bereits hier ist klar geworden, dass die Bestimmung des Schutzbereiches des Grundrechts auf informationelle Selbstbestimmung Probleme bereitet. Eine eigentumsanaloge Interpretation wird den Anforderungen an das Grundrecht im Hinblick auf den zu gewährleistenden Schutz nicht gerecht. Der Schutzbereich ist auch nicht mit einer rein abwehrrechtlichen Konzeption zu erfassen. Nichtsdestotrotz muss das Grundrecht auf informationelle Selbstbestimmung auch Schutz gegen den Eingriff staatlicher Maßnahmen gewähren. Speziell im Bereich des E-Governments ist der Staat häufig Erbringer einer vom Bürger begehrten Leistung und daher nicht immer als Akteur auf dem Gebiet der Eingriffsverwaltung tätig. In der Informationsgesellschaft sind Informationsinhalte, Kommunikationsprozesse und die darauf bezogene Kommunikationsinfrastruktur häufig auf multipolare Interessenkollisionen bezogen1011 und mehrere auch private Interaktionspartner in Form von Diensteanbietern beteiligt. Damit ist hier maßgeblich, dass der Staat die Kommunikationsinfrastrukturen für E-Government unter Wahrung der Datenschutz-Schutzziele wie Vertraulichkeit, Integrität und Zurechenbarkeit der Datenerhebung mit den ihm zur Verfügung stehenden Mitteln bereitstellt. Die Anforderungen gehen hier also in Richtung einer objektivrechtlichen Verpflichtung zur Gewährleistung des Datenschutzes in den jeweiligen Infrastrukturen. Das Grundrecht auf informationelle Selbstbestimmung muss aber nach wie vor auch Schutz gewähren in klassischen Eingriffsszenarien, in denen der Staat in die Rechte des Bürgers eingreift1012. Das Grundrecht auf informationelle Selbstbestimmung ist ja gerade auch im Kontext eines klassischen staatlichen Eingriffsszenarios entstanden. Insoweit empfiehlt sich die Annahme eines zweigliedrigen Schutzbereiches, der sowohl die subjektiv-abwehrrechtliche Schutzrichtung als auch die objektivrechtliche Schutzrichtung des Grundrechts auf informationelle Selbstbestimmung erc) 1009 Müller-Terpitz, in: Borges/Schwenk (Hrsg.), Daten- und Identitätsschutz in Cloud Computing, E-Government und E-Commerce, 169 (171). 1010 Müller-Terpitz, in: Borges/Schwenk (Hrsg.), Daten- und Identitätsschutz in Cloud Computing, E-Government und E-Commerce, 169 (171). 1011 Hoffmann-Riem, AöR 123 (1998), 513 (522). 1012 Zur dienenden Funktion des objektiv-rechtlichen Grundrechtsgehaltes gegenüber dem subjektivrechtlichen vgl. Bechler, Informationseingriffe durch intransparenten Umgang mit personenbezogenen Daten, 87 f. C. Verfassungsrechtliche Vorgaben 143 fasst1013, um eine umfassende grundrechtliche Absicherung von Kommunikationsprozessen zu ermöglichen. Für die weiteren Fragestellungen der Untersuchung mit Bezug zum E-Government spielt hier jedoch insbesondere die objektiv-rechtliche Seite im weiteren Verlauf eine große Rolle. Konstitutionalisierung des Grundrechts auf Datenschutz? Angesichts der vorstehend dargestellten Probleme mit der Bestimmung des Schutzbereichs des Grundrechts auf informationelle Selbstbestimmung stellt sich die Frage, ob eine Normierung eines „Grundrechts auf Datenschutz“ im GG hier im Hinblick auf die Bestimmung des Schutzbereiches nützlich wäre. Der Datenschutz sieht sich durch vielfältige tatsächliche Änderungen sowie auch Gefährdungen durch Private1014 umfangreichen Herausforderungen ausgesetzt. Auch im Bereich des E-Governments wird dies deutlich. Daher soll hier kurz skizziert werden, ob mit einer Normierung ein Gewinn an Präzisierung verbunden wäre. In den Verfassungen einiger deutscher Bundesländer ist ein Grundrecht auf Datenschutz normiert worden1015. Die Aufnahme eines Grundrechtes auf Datenschutz hat in jüngerer Zeit durch einen Gesetzentwurf1016 wieder Eingang in die rechtswissenschaftliche Diskussion gefunden. Für eine Aufnahme eines Grundrechts auf Datenschutz in das GG wird vorgebracht, dass es eine Änderung zur derzeitigen Situation bewirke1017. Die Bindung des Gesetzgebers an die tragenden Entscheidungsgründe des BVerfG werde in Rechtsprechung und Literatur unterschiedlich beurteilt, sodass eine verfassungsrechtliche Normierung gegenüber dem vorhandenen geltenden Richterrecht einen Unterschied bewirken würde1018. Zunächst einmal wäre als Vorteil zu nennen, dass eine Normierung des Grundrechts auf Datenschutz im GG die Möglichkeit eröffnen würde, den Schutzbereich stärker zu konturieren und Schranken explizit zu regeln1019. Es könnten damit die Schwierigkeiten bei der Bestimmung des Schutzbereichs vermieden werden. Es könnte dadurch verdeutlicht werden, ob das Grundrecht neben der abwehrrechtlichen d) 1013 Hierfür spricht sich auch aus: Bäcker, in: Rensen/Brink (Hrsg.), Linien der Rechtsprechung des Bundesverfassungsgerichtes, 99 (122). 1014 So haben insbesondere Datenskandale bei der Deutschen Telekom und der Deutschen Bahn in den letzten Jahren öffentliche Aufmerksamkeit erregt. 1015 Vgl. Art. 33 BerlVerf, Art. 11 BbgVerf, Art. 8 M‑VVerf, Art. 4 NRWVerf, Art. 4a VerfRLP, Art. 33 SächsVerf, Art. 6 Verf.LSA, Art. 2 Saarl. Verf., zu landesverfassungsrechtlichen Grundlagen näher: Kunig, Jura 1993, 595 (597), sowie Stollhoff, Datenschutzgerechtes E-Government, S. 96 f. m. w. N. 1016 In der 16. Legislaturperiode wurde ein Entwurf der Fraktion Bündnis 90/Die Grünen vorgelegt, vgl. BT-Drs. 16/9607, vgl. hierzu auch Künast, ZRP 2008, 201 (203). 1017 Künast, ZRP 2008, 201 (202). 1018 Künast, ZRP 2008, 201 (202 f.). 1019 Kritik an den mangelnden Konturen des Schutzbereichs des Grundrechts auf informationelle Selbstbestimmung findet sich bei: Kloepfer/Schärdel, JZ 2009, 453 (457); Ladeur, DÖV 2009, 45 (47 ff.); ders., DuD 2000, 12 (13). Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 144 Funktion auch eine objektiv-rechtliche Schutzrichtung1020 aufweist und inwieweit den Gesetzgeber Schutzpflichten treffen. Schaut man sich beispielsweise Art. 33 BerlVerf an, so wird durch den Wortlaut „Das Recht des einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen, wird gewährleistet“ eine staatliche Schutzpflicht adressiert. Im Hinblick auf die Auslegung dieser objektiv-rechtlichen Schutzrichtung hat diese landesverfassungsrechtliche Normierung jedoch kaum weiteren Nutzen gebracht, da sich die Auslegung in Rechtsprechung und Literatur primär am grundgesetzlichen Verständnis orientiert hat1021. Begrifflich ist anzumerken, dass ein „Grundrecht auf Datenschutz“ und das Grundrecht auf informationelle Selbstbestimmung inhaltlich nicht identisch sind1022. Dies zeigen schon die Unterschiede zwischen dem Wortlaut der landesverfassungsrechtlichen Grundrechte und dem Inhalt des Grundrechts auf informationelle Selbstbestimmung. Eine Normierung würde praktisch dazu führen, dass ein Teilgehalt des allgemeinen Persönlichkeitsrechts gegenüber anderen privilegiert würde, was zumindest die Frage aufwirft, ob andere Teilgehalte nicht auch normierungswürdig sind und ob dies nicht zu einer gewissen Willkürlichkeit führen würde1023. Auch eine integrative Betrachtung unter Einbeziehung der Informationsfreiheit1024 würde hieran nichts ändern. Die Befürworter eines verfassungsrechtlichen Bedürfnisses zur Normierung eines Grundrechtes auf Datenschutz weisen darauf hin, dass die Bindung des Gesetzgebers an die tragenden Entscheidungsgründe des BVerfG in Rechtsprechung und Literatur unterschiedlich beurteilt würden1025. Sicherlich ist dies zutreffend, jedoch entspricht es geübter Praxis, dass sich der Gesetzgeber an den tragenden Entscheidungsgründen des BVerfG orientiert. Grundsätzlich lässt sich sagen, dass eine Verfassung ihre Autorität und Wirkung gerade auch dadurch erhält, dass sie selten geändert wird1026. Das Ansinnen, politisch wünschbaren Aspekten durch ihre „Zementierung“ im Verfassungsrecht mehr Autorität zu verleihen, ist dieser Aufgabe einer Verfassung abträglich. Die Autorität würde durch eine Normierung eines Grundrechtes auf Datenschutz also nicht gestärkt1027. Ein weiterer Aspekt liegt darin, dass sich die Schutzgehalte von Grundrechten notwendigerweise mit dem Wandel von Technik und Lebensformen fortentwickeln 1020 Der Entwurf der Fraktion Bündnis 90/Die Grünen, BT-Drs. 16/9607, S. 3, enthält in seinem Wortlaut Formulierungen wie „wird gewährleistet“, die auch auf eine objektiv-rechtliche Funktion des Grundrechtes auf Datenschutz schließen lassen. 1021 Schulz S. E., ZG 2010, 358 (361). 1022 Simitis, NJW 1984, 398 (399); Kloepfer/Schärdel, JZ 2009, 453 (457), zur Bedeutung des Begriffes Datenschutz im einfachgesetzlichen Kontext sogleich unten sowie bereits oben. 1023 Schulz S. E., ZG 2010, 358 (363). 1024 Vgl. hierzu BT-Drs. 16/9607, S. 4, sowie den Formulierungsvorschlag bei Kloepfer/Schärdel, JZ 2009, 453 (461). 1025 Künast, ZRP 2008, 201 (202 f.) mit Verweis auf Ansichten für eine Bindung: BVerfGE 85, 117 (123) = NJW 1992, 816; Maunz, in: Maunz/Dürig, Art. 94 Rn. 32, und dagegen: BVerfGE 77, 84 (103 f.) = NJW 1988, 1195; Korioth, Der Staat 30 (1991), 549 (549 ff.); grundsätzlich zur Bindungswirkung: Detterbeck, Streitgegenstand und Entscheidungswirkungen im öffentlichen Recht, 1993. 1026 Bericht der Gemeinsamen Verfassungskommission vom 5.11.1993 BT-Drs. 12/6000, S. 60 (63). 1027 Das GG ist im Gegensatz zu anderen Verfassungen relativ häufig geändert worden. C. Verfassungsrechtliche Vorgaben 145 müssen1028. Dazu ist auch eine gewisse Flexibilität angesichts einer wechselseitigen Beeinflussung von Realbedingungen und Verfassungsrecht notwendig1029. Anhand der Entscheidung des BVerfG zur Online-Durchsuchung1030 mit der Schaffung eines Grundrechts auf Vertraulichkeit und Integrität informationstechnischer Systeme kann man sehen, wie auf eine tatsächliche Gefährdungslage im Sinne eines optimierten Grundrechtsschutzes reagiert wurde. Das BVerfG hat hier auch mittelbar den Schutzbereich des Grundrechts auf informationelle Selbstbestimmung weiter verengt. Die richterliche Rechtsfortbildung bildet im Gegensatz zu positiv normierten Grundrechten hier eine flexiblere Möglichkeit, auf derartige Gefährdungslagen mit Schutzbereichsveränderungen zu reagieren. Diese notwendige Flexibilität spricht daher gegen eine Normierung im GG. Die Normierung eines Grundrechts auf Datenschutz hätte im Hinblick auf den einfachgesetzlichen Datenschutz wohl kaum eine Anhebung des Schutzniveaus zur Folge, da dieses schon relativ stark ist1031. Auch für das grundlegende durch die Einbindung Privater in Datenverarbeitungsprozesse verursachte Problem der Drittwirkung des Grundrechts auf Datenschutz dürfte durch eine Normierung im GG kaum systemkonform zu lösen sein. Grundrechte entfalten grundsätzlich keine unmittelbare Drittwirkung zwischen Privaten, und die Lösung von Konflikten Privater untereinander muss der Gesetzgeber auf der Ebene des einfachen Rechts finden1032. Der Gesetzgeber muss hier also im Rahmen seiner Schutzpflicht tätig werden und damit auch bestimmen, wie hoch das Schutzniveau im bereichsspezifischen Datenschutz jeweils sein soll. Auf einfachgesetzlicher Ebene wird der Begriff „Datenschutz“ sehr häufig verwendet und dementsprechend auch in dieser Arbeit1033. Der Begriff ist inhaltlich ungenau und kann daher zu Fehlinterpretationen führen1034. Im Rahmen des Datenschutzrechtes geht es nicht darum, die Daten an sich zu schützen und diese isoliert von Verwendungskontexten zu betrachten. Der Schutz der Daten an sich ist eher mit dem Begriff „Datensicherheit“ zu beschreiben1035. Beim Datenschutz liegt der Schutz des Persönlichkeitsrechts im Mittelpunkt des Interesses1036, sodass Gegenstand des Schutzes der einzelne Betroffene ist, der vor den Gefahren, welche die Datenverarbeitung für ihn mit sich bringt, geschützt werden muss1037. Das bedeutet, dass es gerade auch auf die Verwendungskontexte von Daten und die daraus resultierenden Gefah- 1028 Bizer, in: Schulzki-Haddouti (Hrsg.), Bürgerrechte im Netz, 21 (22). 1029 Schulz S. E., ZG 2010, 358 (363). 1030 Zum Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (IT-Grundrecht) sogleich unten unter: Teil 3, C., III. 1031 Kloepfer/Schärdel, JZ 2009, 453 (458). 1032 Kloepfer/Schärdel, JZ 2009, 453 (458). 1033 Vgl. hierzu bereits oben die begriffliche Präzisierung unter: Teil 2, C., IV., 3. 1034 Schmitt Glaeser, HBd. Staatsrechts, Band VI, § 129, R. 176; Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, 2000, S. 5. 1035 Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, S. 5 (Hervorhebung im Original); zur Abgrenzung der Begriffe Datenschutz und Datensicherheit auch: Warnecke, in: Schliesky, Technikgestütztes Identitätsmanagement, 215 (217). 1036 Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, S. 5. 1037 Gola/Klug, § 1 BDSG, Rn. 1. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 146 ren für die Persönlichkeit des Einzelnen ankommt. Dabei kommt es nicht allein auf den Missbrauch von Daten an. Nach § 1 Abs. 1 BDSG a. F. sind alle verarbeitungsbedingten Störungen des Persönlichkeitsrechts auszuschließen, ohne dass hier ein Missbrauch vorliegen muss1038. Auch unter dem Regime der DS-GVO kommt es nicht auf eine Missbrauchsabsicht an. Datenschutz ist also als Schutz des Persönlichkeitsrechts zu verstehen. Dieses Verständnis soll dieser Arbeit insgesamt zugrunde gelegt werden. Datensicherheit ist eine Bedingung, um wirksamen Datenschutz zu ermöglichen. Auf diesen Zusammenhang wird zurückzukommen sein. Ob es also insgesamt notwendig ist, ein Grundrecht auf Datenschutz ins Grundgesetz aufzunehmen1039, darf nach alldem bezweifelt werden. Dies dürfte keinen grundrechtsdogmatischen Nutzen für die Bestimmung des Schutzbereichs bringen.1040 Die bisher erörterten Ansätze zur Bestimmung des Schutzbereichs adressieren die maßgeblichen Aspekte besser. Folgerungen für Identitätsmanagement im E-Government Grundsätzlich lässt sich festhalten, dass im Kontext von Identitätsmanagement-Infrastrukturen im E-Government das Grundrecht auf informationelle Selbstbestimmung in besonderem Maße in seiner objektiv-rechtlichen Schutzrichtung betroffen ist. Es handelt sich hier nicht primär um staatliche Eingriffsszenarien, in der die abwehrrechtliche Dimension eine Rolle spielt, sondern um die objektiv-rechtliche Pflicht des Staates und damit des Gesetzgebers, die multipolaren Konflikte zwischen den einzelnen Kommunikationsteilnehmern im Sinne einer größtmöglichen Verwirklichung der informationellen Selbstbestimmung zu gewährleisten. Jedoch treten auch Konstellationen mit Eingriffsszenarien zutage. Ob das Grundrecht auf informationelle Selbstbestimmung in seiner objektiv-rechtlichen Dimension einen eigenen Anwendungsbereich und einen eigenen Einfluss auf das einfache Datenschutzrecht neben den europarechtlichen Vorgaben hat1041, kann an dieser Stelle nicht näher untersucht werden. Jedenfalls steht die objektiv-rechtliche Dimension des Grundrechts auf informationelle Selbstbestimmung im Fokus. Datenverarbeitung durch die Verwaltung Hinsichtlich der Bindung an das Grundrecht auf informationelle Selbstbestimmung ist zu differenzieren. Tritt die Verwaltung selbst in Datenverarbeitungsprozessen als Akteur auf, so ist sie sowohl unmittelbar an das Grundrecht auf informationelle Selbstbestimmung sowie an den jeweils einschlägigen einfachgesetzlichen Rechtsrahmen gebunden. Insgesamt kann für diese Fälle direkter Datenverarbeitung durch die Verwaltung gesagt werden, dass die rechtlichen Bindungen grundsätzlich einem strengeren Maßstab folgen. 3. a) 1038 Simitis, in: Ders. (Hrsg.), § 1 BDSG, Rn. 24. 1039 Künast, ZRP 2008, 201 (202); BT-Drs. 16/9607, S. 4. 1040 So auch Schulz S. E., ZG 2010, 358 (369 f.). 1041 Vgl. hierzu insbesondere auch Ronellenfitsch, DuD 2009, 451 (451 ff.). C. Verfassungsrechtliche Vorgaben 147 Datenverarbeitung durch private Diensteanbieter In den Konstellationen, in welchen private Diensteanbieter in die Datenverarbeitungsprozesse eingebunden sind, sieht die Situation anders aus. Diese sind nur für den Fall, dass sie durch Gesetz mit einer öffentlichen Aufgabe beliehen sind wie im Falle des § 5 Abs. 6 De-Mail-Gesetz, unmittelbar an Grundrechte gebunden1042. In allen anderen Fällen besteht keine unmittelbare Grundrechtsbindung, sondern nur die Bindung an den jeweils einschlägigen einfachgesetzlichen Rahmen. Es ist aber grundsätzlich zu fragen, ob das Grundrecht auf informationelle Selbstbestimmung auch gegen den Eingriff von privater Seite Schutz bietet. Hiermit stellt sich grundsätzlich die Frage der mittelbaren Drittwirkung bzw. Ausstrahlungswirkung von Grundrechten. Dogmatisch ist das „Wie“ der Drittwirkung von Grundrechten noch nicht hinreichend geklärt1043. Die Einheit der Rechtsordnung gebietet jedoch insgesamt, dass Grundrechtsordnung und Privatrechtsordnung keine Widersprüche aufwerfen dürfen1044 und auch nicht beziehungslos nebeneinanderstehen dürfen1045. Insoweit besteht auch ein Konsens darüber, dass das Privatrecht von den Grundrechten nicht unbeeinflusst bleibt1046. Die Rechtsprechung des BVerfG geht seit dem sog. Lüth-Urteil1047 davon aus, dass die Grundrechte des GG auch eine „objektive Wertordnung“ errichten. Gerade in dieser objektiven Wertordnung komme eine prinzipielle Verstärkung der Geltungskraft der Grundrechte zum Ausdruck1048. Für diese Auffassung wurden in der Literatur weitere Begründungen nachgeliefert1049. Die weitere Vertiefung würde hier den Rahmen der Arbeit sprengen. Die Qualifizierung der Grundrechtsordnung als Wertordnung kann insgesamt als unumstritten gelten und soll dementsprechend den weiteren Ausführungen zugrundegelegt werden1050. Damit ist ein Einfluss der Grundrechtsordnung auf die Privatrechtsordnung grundsätzlich anzunehmen. Zu klären ist daher, in welcher Form die Grundrechte nun Einfluss auf die Privatrechtsordnung nehmen. In diesem Zusammenhang werden sowohl die sog. unmittelbare als auch die sog. mittelbare Drittwirkung der Grundrechte vertreten1051. Ein Teil der Lehre und das Bundesarbeitsgericht nehmen eine unmittelbare Drittwirkung einzelner Grundrechte b) 1042 Jarass, in: Jarass/Pieroth, Art 1, Rn. 41; Herdegen, in: Maunz/Dürig, Art. 1, Rn. 101; Kunig, in: V. Münch/ders. (Hrsg.), GG Bd. I, Art. 1, Rn. 60; Rüfner, HBdStR V, § 117, Rn. 9. 1043 Vgl. hierzu v. Mangoldt/Klein/Starck, Art. 1 Abs. 3, Rn. 303 ff.; Rüfner, Grundrechtsadressaten, in: HStR Bd. V, § 117, Rn. 58; Schnapp/Kaltenborn, JuS 2000, 937 (939 f.); Volle, Datenschutz als Drittwirkungsproblem, 2009, S. 41, jeweils m. w. N. 1044 BVerfGE 7, 198 (205). 1045 Starck, in: v. Mangoldt/Klein/ders., Art 1 Abs. 3 GG, Rn. 306. 1046 Alexy, Theorie der Grundrechte, S. 480 m. w. N. 1047 BVerfGE 7, 198 (205) 1048 BVerfGE 7, 198 (205). 1049 Volle, Datenschutz als Drittwirkungsproblem, S. 41 mit Verweis auf Cremer, Freiheitsgrundrechte, S. 220 ff.; Alexy, Theorie der Grundrechte, S. 125 ff. 1050 Cremer, Freiheitsgrundrechte, S. 191; zum Begriff der grundrechtlichen Wertfunktion: Dolderer, Objektive Grundrechtsgehalte, S. 122 ff. 1051 Nachweise finden sich bei Starck, in: v. Mangoldt/Klein/Starck, GG, Art. 1 Abs. 3, Rn. 304 ff. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 148 auf Privatrechtsbeziehungen an1052. Diese Bindung wird damit begründet, dass Grundrechte die Funktion von Grundsatznormen für die gesamte Rechtsordnung hätten1053. Danach solle es das subjektive Grundrecht nur gegenüber dem Staat geben, den Grundrechten sei aber auch eine Funktion zuzuschreiben, die über die eines Freiheitsrechtes hinausgehe1054. Ein Problem entsteht im Rahmen dieser Auffassung bei der Geltung des Gleichheitssatzes aus Art. 3 GG. Dieses wird in der Weise gelöst, dass nach dieser Auffassung der allgemeine Gleichheitssatz im Privatrecht nicht gelten solle, da eine Gleichbehandlungspflicht das Privatrecht aus den Angeln heben würde1055. Insoweit kann von einer uneingeschränkt unmittelbaren Drittwirkung der Grundrechte keine Rede sein. Inwieweit der Begriff der Bindungswirkung von verschiedenen Vertretern unterschiedlich verstanden wird, soll hier nicht weiter vertieft werden. Die Gegenauffassung hierzu bildet die Lehre von der mittelbaren Drittwirkung. Diese Auffassung wurde vor allem von Dürig vertreten und benutzt für die Einwirkung auf die Privatrechtsnormen ausfüllungsbedürftige offene Rechtsbegriffe, durch die grundrechtliche Wertungen in die Auslegung privatrechtlicher Normen einflie- ßen1056. Diese Auffassung achtet die Privatautonomie als Grundsatz, der ebenfalls von der Verfassung geschützt sei und der Grundrechten wie Art. 3 GG nicht zum Opfer gebracht werden dürfe1057. Dieser Lehre hat sich das BVerfG mit seiner Lüth-Entscheidung angeschlossen, indem es ausführt, dass sich der Rechtsgehalt der Grundrechte als objektiver Normen im Privatrecht durch das Medium der dieses Rechtsgebiet unmittelbar beherrschenden Vorschriften entfalte1058. Die Diskussion um die Frage der unmittelbaren und mittelbaren Drittwirkung wird heute nicht mehr intensiv geführt. Hierfür wird angeführt, dass zum einen eine weitgehende Kongruenz zwischen Grundrechten und Privatrecht in entscheidenden Wertungsfragen bestehe und das Problem als weniger praxisrelevant anzusehen sei, sowie die Tatsache, dass die beiden genannten Auffassungen ergebnisäquivalent seien1059. Insoweit dürfte für das richterrechtlich geprägte Grundrecht auf informationelle Selbstbestimmung im Hinblick auf die Wirkung im Privatrecht nichts anderes gelten. Obwohl dieses in einer Konstellation zwischen Staat und Bürger seinen Ausgang hat, lässt sich an einzelnen Stellen des Volkszählungsurteils herauslesen, dass das Grundrecht auf informationelle Selbstbestimmung Geltung über das Verhältnis des Staates zu den Bürgern hinaus beansprucht1060. Das BVerfG spricht vom „Wissen möglicher 1052 Vgl. den Überblick bei Starck, in: v. Mangoldt/Klein/ders., Art. 1 Abs. 3 GG, Rn. 305. 1053 Enneccerus/Nipperdey, Allgemeiner Teil des Bürgerlichen Rechts, 1. Bd., 1. HLB BD., 15 Aufl. 1959, S. 92 ff.; dies., Grundrechte und Privatrecht, 1961, S. 13 ff. 1054 Floren, Grundrechtsdogmatik, S. 28 m. w. N. 1055 BAGE 13, 103 (105). 1056 Dürig, Nawiasky-FS, 1956, 157 (157 f.); ders., DÖV 1958, 194 ( 194 ff.). 1057 Vgl. den Nachweis bei Starck, in: v. Mangoldt/Klein/ders., Art 1 Abs. 3 GG, Rn. 306. 1058 Lüth-Entscheidung, BVerfGE 7, 198 (204). 1059 Volle, Datenschutz als Drittwirkungsproblem, S. 43 f. mit Verweis auf Alexy; Theorie der Grundrechte, S. 481 ff. m. w. N., Starck, in: v. Mangoldt/Klein/Starck, Art. 1 Abs. 3 GG, Rn. 307. 1060 Volle, Datenschutz als Drittwirkungsproblem, S. 43 mit Verweis auf BverfGE 65, 1 (43). C. Verfassungsrechtliche Vorgaben 149 Kommunikationspartner“, was zunächst so offen formuliert ist, dass private Kommunikationspartner mit einbezogen sind1061. An anderer Stelle nimmt das BVerfG im Volkszählungsurteil wieder Einschränkungen vor, dass in der zu entscheidenden Konstellation nicht eine erschöpfende Erörterung stattfinde, sondern nur eine über die Tragweite des Rechts auf informationelle Selbstbestimmung für Eingriffe, durch welche der Staat die Angabe personenbezogener Daten vom Bürger verlangt1062. Das BVerfG hat jedoch in einer späteren Entscheidung die über die objektiv-rechtliche Dimension vermittelte mittelbare Drittwirkung des Rechts auf informationelle Selbstbestimmung auf das Privatrecht ausdrücklich anerkannt1063. Dies bedeutet dann, dass die Gesetzgebung dieser Wertentscheidung Rechnung tragen muss, wenn sie den „Fluss“ personenbezogener Daten reglementieren will1064. Damit sind Private im Wege der mittelbaren Drittwirkung an das Grundrecht auf informationelle Selbstbestimmung gebunden. Diese mittelbare Bindung dürfte jedoch selten praktisch zur Anwendung kommen. Das „Vehikel“ des einfachen Rechts ist vorhanden1065 und der Gesetzgeber im Wege der objektiv-rechtlichen Schutzrichtung der Grundrechte gehalten, dieses auszugestalten. Wenn es einfachgesetzliche Vorschriften gibt, mit denen der effektive Schutz aller der Verfassung wesentlich erscheinenden Individualinteressen gegen andere Privatrechtssubjekte gewährleistet werden kann, bedarf es einer unmittelbaren Anwendung von Grundrechtsnormen schon deshalb nicht1066. Für das Identitätsmanagement im E-Government bedeutet dies, dass zunächst einmal maßgeblich für das Verhältnis zwischen Diensteanbieter und Nutzer der einschlägige einfachgesetzliche Rahmen ist. Auf diesen Aspekt wird zurückzukommen sein. Nach den oben dargelegten Grundsätzen wirkt das Grundrecht auf informationelle Selbstbestimmung im Privatrecht im Wege der Schutzpflichtfunktion der Grundrechte1067. Dieses muss sich darauf konzentrieren, informationelle Machtungleichgewichte zwischen Privaten im Sinne einer größtmöglichen Verwirklichung der Schutzziele des Datenschutzes aufzulösen. 1061 BVerfGE 65, 1 (43): „Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffenden Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden. Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß.“ 1062 BVerfGE 65, 1 (44 f.) 1063 BVerfGE 84, 192 (194 f.); Trute, in: Roßnagel (Hrsg.), HBDSR, Kap. 2.5, Rn. 7. 1064 Wente, NJW 1984, 1446 (1447). 1065 Volle, Datenschutz als Drittwirkungsproblem, S. 44. 1066 Rüfner, Grundrechtsadressaten, in HStR Bd. V, § 117, Rn. 72. 1067 Placzek, Allgemeines Persönlichkeitsrecht und privatrechtlicher Informations- und Datenschutz, S. 155. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 150 Schutzziele des Grundrechts auf informationelle Selbstbestimmung Im Rahmen der grundrechtlichen Erwägungen im Datenschutz kommt bei der Umsetzung den Schutzzielen des Grundrechts auf informationelle Selbstbestimmung eine wichtige Rolle zu. Diese sind Maßstäbe im Rahmen der grundrechtlichen Gewährleistungen, die in das einfache Recht einfließen müssen, um die Schutzgewährleistung im Wege der objektiv-rechtlichen Schutzrichtung der Grundrechte zu verwirklichen. Zu nennen sind hier als klassische Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität1068 der verarbeiteten personenbezogenen Daten. Die Schutzziele sind normative Gebote und weisen damit Prinzipiencharakter auf1069. In diesen steckt ein Optimierungsgebot, welches besagt, dass ihr Wesen relativ zu den rechtlichen und tatsächlichen Möglichkeiten in größtmöglichem Maße verwirklicht sein soll1070. Verarbeitungsstadien Die Praxis der Datenverarbeitung bringt es mit sich, dass personenbezogene Daten in unterschiedlichen Verarbeitungsstadien auftreten. Nach überwiegender Ansicht in der Literatur erstreckt sich der grundrechtliche Schutz nach Maßgabe der vom BVerfG entwickelten Grundsätze auf alle Verarbeitungsstadien der Daten1071. Nach dieser Ansicht wird also keine Differenzierung von Verarbeitungsstadien vorgenommen, sodass jedes personenbezogene Datum frühzeitig Schutz genießt. Dies hat in den Datenschutzgesetzen Niederschlag gefunden und zeitigt erhebliche Auswirkungen auf die praktische Rechtsanwendung. Hierauf wird noch zurückzukommen sein. Eingriff in das Grundrecht auf informationelle Selbstbestimmung Neben dem Schutzbereich stellen sich auch bei der Frage des Eingriffs in das Grundrecht auf informationelle Selbstbestimmung Probleme ein, der mit der subjektiv-abwehrrechtlichen Schutzrichtung des Grundrechts auf informationelle Selbstbestimmung korrespondiert. Ein generelles Problem, welches bei allen auf Art. 2 Abs. 1 GG basierenden Schutzbereichsausprägungen auftritt, ist der weite Schutzbereich und die Auflösung des klassischen Eingriffsbegriffs, sodass jegliche Beeinträchtigung einen Eingriff darstellt1072. Ein weiterer Problemkomplex liegt darin, dass beim Grundrecht auf informationelle Selbstbestimmung wie bei kaum einem anderen Grundrecht Schutzbereich und Eingriff eng miteinander korrespondieren und sich daher Probleme für die Konturierung beider Aspekte ergeben1073. c) 4. 5. 1068 Pfitzmann/Rost, DuD 2009, 353 (353). 1069 Bock/Meissner, DuD 2012, 425 (426). 1070 Bock/Meissner, DuD 2012, 425 (426) m. w. N. 1071 Di Fabio, in: Maunz/Dürig, Art. 2 GG, Rn. 176; Placzek, Allgemeines Persönlichkeitsrecht und privatrechtlicher Informations- und Datenschutz, S. 74. 1072 Pieroth/Schlink, Grundrechte, Rn. 379. 1073 Placzek, Allgemeines Persönlichkeitsrecht und privatrechtlicher Informations- und Datenschutz, S. 73. C. Verfassungsrechtliche Vorgaben 151 Eingriffe in die Privatsphäre des Bürgers vor dem Volkszählungsurteil Es ist keineswegs erst seit dem Volkszählungsurteil des BVerfG diskutiert worden, dass staatliche Datenerhebungen einen Eingriff in die Privatsphäre des Bürgers bedeuten1074. Auch davor war es notwendig, den Eingriff in Persönlichkeitsrechte dogmatisch zu fassen1075. Diese reichen sogar bis in die Rechtslehre des 19. Jahrhunderts zurück1076 und wurden in der Wissenschaft weiter verfolgt1077. In der Rechtsprechung entwickelte sich zunächst durch den BGH ein allgemeines Persönlichkeitsrecht1078, welches er als sonstiges Recht im Sinne des § 823 Abs. 1 anerkannte. Dieses wurde aus Art. 2 Abs. 1 GG entwickelt. Hierbei ging dieser von verschiedenen Schutzsphären aus, wonach der stärkste Schutz der Geheim- und Intimsphäre zukommt, welche die Handlungen, Äußerungen und Gedanken enthält, die niemand oder nur ein beschränkter Kreis von Vertrauten erfahren soll1079. Das BVerfG hat diesen gedanklichen Ansatz insoweit übernommen, als dass es einen privaten Lebensbereich des Bürgers aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG hergeleitet hat, welchen der Staat zu respektieren hat1080. Im sog. Mikrozensusbeschluss1081 vom 16. Juli 1969 war der Eingriff davon abhängig, dass die erhobenen oder verwendeten Daten thematisch in den Bereich der Privat- oder gar Intimsphäre fallen1082. Diese Auffassungen sind auch vor dem Hintergrund zu verstehen, dass die moderne digitale a) 1074 Bechler, Informationseingriffe durch intransparenten Umgang mit personenbezogenen Daten, S. 29; zur historischen Entwicklung von Privatsphäre und Datenschutz vgl. v. Lewinski, in: Schmidt/ Weichert (Hrsg.), Datenschutz, 23 (23 ff.). 1075 In der Rechtslehre des 19. Jahrhunderts gibt es Auffassungen zum staatlichen Umgang mit Daten des Bürgers, die den heutigen ähneln, indem sie von einer Rechtfertigungsbedürftigkeit ausgehen; Vgl. die Nachweise bei Geiger, NVwZ 1994, 662 (663 ff.). 1076 Es finden sich bereits im Zuge der im 19. Jahrhundert aufkommenden Volkszählungen Ansätze in Richtung eines Datenschutzes, wonach dem „neugierigen“ Staat bei der Erhebung von Informationen Grenzen gezogen sind, bei: v. Mohl, Geschichte und Literatur der Staatswissenschaft, 1858, Bd. 3, S. 420 f.: „Im Uebrigen ist es wohl an der Zeit, darauf aufmerksam zu machen, dass der Staat in seinen Nachfragen über die Privatverhältnisse seiner Bürger nicht zu weit gehen darf…“ 1077 Die Überlegungen v. Mohls wurden von Lorenz von Stein im Jahr 1866 in seinem Werk der „Verwaltungslehre“ weiterentwickelt: V. Stein, Die Verwaltungslehre, 1‒2. Aufl. (1866‒1884), Teil 2, Neudr. 1962 (Scientia Verlag Aalen 1962), S. 215; Geiger, NVwZ 1994, 662 (663 f.). Genannt wird das Recht der Volkszählungen, welches Teil des Verwaltungsrechts ist; Volkszählungen griffen stets in die Sphäre der freien Individualität ein und enthielten die Pflicht jedes Einzelnen, über die Fragen zu den Privatverhältnissen Auskunft zu geben: V. Stein, Die Verwaltungslehre, 1‒2. Aufl. (1866‒1884), Teil 2, Neudr. 1962 (Scientia Verlag Aaalen 1962), S. 215; „Der Begriff des Rechts des Volkszählungswesens als eines Theiles des Verwaltungsrechts entsteht auch hier durch den Gegensatz der individuellen Selbständigkeit zur Thätigkeit der Verwaltung.“ Bemerkenswert ist die Fähigkeit v. Steins, große geschichtliche Zeiträume zu antizipieren: E.-W. Böckenförde, in: Forsthoff (Hrsg.), Lorenz von Stein, 513 f. Weitere Nachweise zu Eingriffen in die persönliche Rechtssphäre finden sich auch bei: Jellinek, Verwaltungsrecht, S. 24, und Arndt, NJW 1961, 897 (900). 1078 BGHZ 13, 334 (338) ‒ Leserbrief-Entscheidung; BGHZ 26, 349 ‒ Herrenreiter-Entscheidung; anschaulich hierzu Leßmann, JA 1988, 409 (410 ff.); Degenhardt, JuS 1992, 361 (362). 1079 Orantek, Datenschutz im Informationszeitalter, S. 53. 1080 BVerfGE 4, 7 (15 f.); 4, 52 (57); 6, 32 (41) – Elfes; 7, 198 (217, 220f.) – Lüth; 11, 234 (236, 238); 12, 113 (122). 1081 BVerfGE 27, 1 (6 ff.) 1082 Luch, Das Medienpersönlichkeitsrecht – Schranke der „vierten Gewalt“, S. 123; Orantek, Datenschutz im Informationszeitalter, S. 55. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 152 Datenverarbeitung noch nicht den technologischen Stand erreicht hatte, der das Gefährdungspotenzial bei Datenverarbeitungsprozessen maßgeblich beeinflusst. Eingriffe in der Rechtsprechung des BVerfG Nach der Rechtsprechung des BVerfG gibt es unter den Bedingungen der modernen Datenverarbeitung kein belangloses Datum mehr1083. Der Eingriff wird als die unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe personenbezogener Daten charakterisiert1084. Dieser Teil der Entscheidungsgründe des Urteils wurde vielfach kritisiert, da diese bezüglich des Eingriffes unergiebig seien1085. Neben den Problemen beim Schutzbereich des Grundrechts auf informationelle Selbstbestimmung kommt hier eine weitere Problemebene hinzu. Eine eigentumsanaloge Betrachtung des Eingriffs wird auch hier der Eigenart des Grundrechts auf informationelle Selbstbestimmung nicht gerecht. Nach dem sog. klassischen Eingriffsbegriff muss ein Eingriff final und nicht bloß unbeabsichtigte sowie unmittelbare Folge des Staatshandelns sein, rechtliche und nicht bloß tatsächliche Wirkung haben und mit Befehl und Zwang angeordnet bzw. durchgesetzt werden1086. Dieser klassische Eingriffsbegriff wurde vielfach als zu eng kritisiert1087. Probleme entstehen beim Grundrecht auf informationelle Selbstbestimmung mit der Bestimmbarkeit des Eingriffs1088. Die zwangsweise Datenerhebung durch den Staat stellt sich unter Zugrundelegung des klassischen Eingriffsbegriffs unproblematisch als Eingriff nach dem klassischen Eingriffsbegriff dar1089. Die Eigenart von Informationserhebungen führt aber dazu, dass es schwierig ist, diese allein mit dem klassischen Eingriffsbegriff zu erfassen. Datenverarbeitungsprozesse erschöpfen sich nämlich nicht in der bloßen Erhebung. Bereits die Speicherung einschließlich der Modalitäten der Löschung, vor allem aber die weitere Verarbeitung von Daten und die Weitergabe an Dritte können mit dem klassischen Eingriffsbegriff nicht richtig erfasst werden1090. Der sog. moderne Eingriffsbegriff weitet die Kategorien des klassischen Eingriffsbegriffes aus1091. Nach diesem ist ein Eingriff jedes staatliche Handeln, welches dem Einzelnen ein Verhalten, welches in den Schutzbereich eines Grundrechts fällt, ganz oder teilweise unmöglich macht1092. Dieses macht sich insbesondere auch bei der abweichenden Terminologie bemerkbar. Das BVerfG spricht in b) 1083 BVerfGE 65, 1 (45). 1084 BVerfGE 65, 1 (43). 1085 Kunig, Jura 1993, 595 (600); Vogelgesang, Grundrecht auf informationelle Selbstbestimmung, S. 52. 1086 BVerfGE 105, 279 (300). 1087 Pieroth/Schlink, § 6, Rn. 239. 1088 Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, S. 26. 1089 Kunig, Jura 1993, 595 (600); Schmitt Glaeser, HBdStR, Band VI, § 129, Rn. 95. 1090 Kunig, Jura 1993, 595 (600); Bleckmann/Eckhoff, DVBl. 1988, 373 (373 ff.); Krüger, NJW 1982, 855 (856 f.) mit dem Hinweis, dass alle Kriterien des überkommenen Eingriffsbegriffes der Modifizierung bedürfen. 1091 Pieroth/Schlink, § 6, Rn. 240. 1092 Bleckmann/Eckhoff, DVBl. 1988, 373 (373); Lübbe-Wolff, Die Grundrechte als Eingriffsabwehrrechte, 1988, S. 26. C. Verfassungsrechtliche Vorgaben 153 diesem Zusammenhang gelegentlich auch von „Beeinträchtigung“1093. Das Grundrecht auf informationelle Selbstbestimmung wird anders als bei der Konzeption im Mikrozensus-Beschluss unabhängig von der qualitativen Aussagekraft der betroffenen persönlichen Daten gewährt1094. Dies macht sich natürlich auch bei der Bestimmung des Eingriffs bemerkbar, der dadurch weitere Modalitäten des Datenumgangs erfasst. Prinzipiell ist nach dem BVerfG jede Erhebung und Verknüpfung personenbezogener Daten ein Eingriff in das Grundrecht auf informationelle Selbstbestimmung1095. Das Schrifttum folgt dieser Auffassung in großen Teilen.1096 Beispielsweise greift aber eine automatisierte Kennzeichenerfassung dann, wenn das Kennzeichen unverzüglich mit dem Fahndungsbestand abgeglichen und ohne weitere Auswertung sofort wieder gelöscht wird, nicht in den Schutzbereich des Grundrechts auf informationelle Selbstbestimmung ein1097. Das BVerfG hat hier keine schablonenartig anzuwendende Formel parat und die Frage des Eingriffs nicht grundsätzlich behandelt1098. Entscheidend ist hierbei demnach die Grenzziehung zwischen den unterhalb der Eingriffsschwelle liegenden Belästigungen und den darüber hinausgehenden Eingriffen, wobei bereits hier eine Abwägung geboten ist, ob bereits die Relevanzschwelle überschritten ist oder nicht1099. Zu beachten ist beispielsweise, dass einzelne Arten des Informationsaustausches zwischen Bürger und Verwaltung von vornherein unter der Relevanzschwelle bleiben, so z. B. bei alltäglicher Trivialkommunikation, auch wenn dabei Daten festgehalten werden1100. Generell lässt sich aber in Bezug auf E-Government sagen, dass es, je anspruchsvoller die Dienstleistung ist, welche die Verwaltung dem Bürger gewährt, desto wahrscheinlicher ist, dass der dazugehörige Umgang mit personenbezogenen Daten diese Relevanzschwelle überschreitet. Von einem Eingriff lässt sich begrifflich jedoch nicht sprechen, wenn der Betroffene Kenntnis vom Datenumgang hat und er in diesen einwilligt. Welche Rolle die datenschutzrechtliche Einwilligung diesbezüglich und insgesamt im Rahmen der elektronischen Kommunikation spielt, soll unten weiter erörtert werden. 1093 BVerfGE 105, 279 (301); vgl. auch den Hinweis, dass weitere Begriffe als Synonym für den Eingriff verwendet werden, bei: Pieroth/Schlink, § 6 Rn. 240 und 207. 1094 Luch, Das Medienpersönlichkeitsrecht – Schranke der „vierten Gewalt“, S. 123. 1095 Auf den Umstand, dass das Eingriffsverständnis des BVerfG sehr weit geht, ohne dass dieses auf die Eingriffsproblematik eingeht, bei Scholz/Pitschas, Informationelle Selbstbestimmung und staatliche Informationsverantwortung, S. 82 ff. 1096 Albers, in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle (Hrsg.), Grundlagen des Verwaltungsrechts, Bd. II, § 22, Rn. 31; Gola/Schomerus, § 29 BDSG, Rn. 11 (und hier auch für private „Eingriffe“); Roßnagel/Laue, DÖV 2007, 543 (543); sehr kritisch hierzu: Ladeur, DÖV 2009, 45 (47). 1097 BVerfG, Urt. v. 11.03.2008, 1 BvR 2074/05 = BVerfGE 120, 378-433 – Kfz-Kennzeichenerfassung, dies ergibt sich aus dem Gegenschluss aus Leitsatz 1. 1098 Vogelgesang, Informationelle Selbstbestimmung, S. 52; Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, S. 26. 1099 Kunig, Jura 1993, 595 (600); Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, S. 28. 1100 Kunig, Jura 1993, 595 (601); Vogelgesang, Grundrecht auf informationelle Selbstbestimmung, S. 52. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 154 Begrenzung des Eingriffs durch eine Erheblichkeitsschwelle In der Literatur wird die Begrenzung des Eingriffs durch eine „Erheblichkeitsschwelle“ diskutiert1101. Danach besteht dann kein Eingriff, wenn es sich um Bagatellbeeinträchtigungen handelt1102. Ausgangspunkt für diese Überlegungen ist die als unbefriedigend empfundene Situation, dass jede staatliche Informationsbeschaffung als Eingriff zu qualifizieren ist. Im Urteil zur Kennzeichenerfassung hat das BVerfG eine solche Bagatellschwelle letztlich eingezogen, ohne dafür aber eine dogmatisch weiterführende Begründung zu liefern1103. Eine abstrakte Festlegung einer Erheblichkeitsschwelle ist jedoch auch schwierig. Wenn man mit einem unbestimmten Rechtsbegriff der Erheblichkeit arbeitet, ist für die praktische Rechtsanwendung auch nicht viel mehr Klarheit gewonnen, da auch dieser ausfüllungsbedürftig ist. Insoweit ist hier keine abstrakte Erheblichkeitsschwelle anzunehmen. Letztlich gibt nicht die „Natur“ der Daten den Ausschlag, sondern es ist der Verwendungskontext, der hier maßgeblich ist1104. Mithin ist daher jede Datenverarbeitung rechtfertigungsbedürftig. Insoweit wirkt diese Ausgangslage in das einfache Recht in Form des datenschutzrechtlichen Verbotes mit Erlaubnisvorbehalt hinein1105. Rechtfertigungsanforderungen für den Eingriff in das Grundrecht auf informationelle Selbstbestimmung Wie bei jedem geschriebenen Grundrecht auch muss sich ein Eingriff in das Grundrecht auf informationelle Selbstbestimmung an verfassungsrechtlichen Rechtfertigungsanforderungen messen lassen, wenn eine dem Staat zurechenbare Beeinträchtigung des Schutzbereiches vorliegt1106. Schranken des Grundrechts auf informationelle Selbstbestimmung Das Grundrecht auf informationelle Selbstbestimmung ist nicht schrankenlos gewährleistet1107, sondern muss Einschränkungen im überwiegenden Allgemeininteresse hinnehmen, welche ihrerseits den Grundsatz der Verhältnismäßigkeit zu beachten haben1108. Aufgrund der richterrechtlichen Prägung gibt es keinen geschriebenen Gesetzesvorbehalt. Das BVerfG entschied mit dem Volkszählungsurteil, dass für Beschränc) 6. a) 1101 Drallé, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, S. 76 (Hervorhebung im Original) mit Verweis auf Kloepfer/Breitkreutz, DVBl. 1998, 1149 (1152); Duttge, Der Staat 36 (1997), 281 (302); kritisch dazu: Dreier, in: Ders. (Hrsg.), Art. 2 GG, Rn. 83 m. w. N.; dagegen steht gewissermaßen die Lehre vom informationellen Totalvorbehalt: Vgl. hierzu Schwan, VerwArch 66 (1975), 120 (120 ff.). 1102 Kloepfer/Breitkreutz, DVBl 1998, 1149 (1152); Kloepfer, Datenschutz als Grundrecht: Verfassungsprobleme der Einführung eines Grundrechts auf Datenschutz, 1980, S. 25. 1103 BVerfG, Urt. v. 11.03.2008, 1 BvR 2074/05 = BVerfGE 120, 378-433 – Kfz-Kennzeichenerfassung. 1104 Simitis, in: Ders. (Hrsg.), § 1 BDSG, Rn. 62 (Hervorhebung im Original). 1105 Weichert, DuD 2013, 246 (246). 1106 Brüning, JA 2000, 728 (731). 1107 Lübking/Zilkens, Datenschutz in der Kommunalverwaltung, 2. Aufl., 2008, Rn. 118. 1108 BVerfGE 65, 1 (43 und 44); Maurer, Allgemeines Verwaltungsrecht, § 18, Rn. 20. C. Verfassungsrechtliche Vorgaben 155 kungen des Rechts auf informationelle Selbstbestimmung stets eine gesetzliche Ermächtigung erforderlich sei1109. Das bedeutet, dass eine solche für jeden Datenumgang der öffentlichen Verwaltung zur Verfügung stehen muss. Falls dies nicht der Fall wäre, würde die Verwaltung verfassungswidrig handeln. Die Forderung nach einem solchen umfassenden Gesetzesvorbehalt ist im Zusammenhang mit der Erweiterung des Sphärengedankens zu sehen1110. Anders als noch im Mikrozensusbeschluss steht hier der Sphärengedanke nicht mehr im Vordergrund, wonach den unterschiedlichen Sphären der Persönlichkeit eine unterschiedliche Schutzwürdigkeit zukommen soll1111. Das Kriterium des Verwendungszusammenhangs solle für die Schutzwürdigkeit des Datums ausschlaggebend sein1112. An dieses weitgehende Verständnis schließen sich umfangreiche Pflichten für den Gesetzgeber an. Diese haben durchaus zu einer Normierungsflut geführt, die der wirksamen Durchsetzung des einfachen Datenschutzrechts durchaus abträglich sein kann1113. Dieses Problem greift auch gerade bei Fragen des Datenschutzes im E-Government. Schranken-Schranken Eine Grundrechtsschranke unterliegt auch ihrerseits wieder Beschränkungen, den sog. Schranken-Schranken. Bei diesen verfassungsrechtlichen Anforderungen an die Beschränkung gibt es sowohl solche, die geschrieben sind, als auch ungeschriebene.1114 Neben den ungeschriebenen hat das BVerfG eigens datenbezogene Grundsätze entwickelt, die auf der Ebene der Schranken-Schranken zu verorten sind. Da diese Grundsätze das einfache Datenschutzrecht maßgeblich prägen und auch in der praktischen Arbeit des Datenschutzes immer wieder auftauchen, soll hier bereits darauf eingegangen werden, um die verfassungsrechtliche Verankerung dieser Grundsätze zu verdeutlichen. Gebot der Normenklarheit Das Gebot der Normenklarheit ist ein ungeschriebener Grundsatz und für jede Grundrechtsschranke stets zu beachten1115. Dieser leitet sich aus dem Rechtsstaatsprinzip ab1116. Dieses Gebot besagt, dass der Gesetzgeber bei der Schaffung einer einschränkenden gesetzlichen Grundlage darauf achten muss, dass die Voraussetzungen und der Umfang der Beschränkungen klar und für den Bürger erkennbar sind1117. b) aa) 1109 BVerfGE 65, 1 (44). 1110 Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, S. 30. 1111 Hinweise hierzu bei: Simitis, in: Ders. (Hrsg.), § 1 BDSG, Rn. 65; vgl. auch Desoi/Knierim, DÖV 2011, 398 (401); Benda, DuD 1984, 86 (88). Anders: Luch, Das Medienpersönlichkeitsrecht – Schranke der „vierten Gewalt“, S. 123 m. w. N.: Es finde lediglich eine Erweiterung um das Kriterium des Verwendungszusammenhanges statt. 1112 Denninger, KJ 1985, 215 (220). 1113 Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, S. 45 f. 1114 Brüning, JA 2000, 728 (733). 1115 Epping, Grundrechte, Rn. 642. 1116 BVerfGE 99, 216 (243); 103, 21 (33); 108, 1 (20); 114, 1 (53). 1117 BVerfGE 65, 1 (44 und 62). Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 156 Dieser Grundsatz gilt für alle Modalitäten von Eingriffen, die das Recht auf informationelle Selbstbestimmung beschränken1118. Staatliches Handeln soll für den Bürger transparent sein, wobei der Bürger nicht jedes Detail nachvollziehen können muss1119. Mit welchen Mitteln letztlich der Gesetzgeber das Ziel der Normenklarheit erreicht, bleibt diesem grundsätzlich überlassen1120. Teilweise wurde aus dieser Anforderung des BVerfG gefolgert, dass Generalklauseln und unbestimmte Rechtsbegriffe als rechtliche Grundlage nicht mehr ausreichend seien1121. Aus Gründen der Praktikabilität und Übersichtlichkeit werden Generalklauseln aber auch für die Bereiche, in denen nicht unbedingt eine bereichsspezifische Regelung erforderlich ist, als ausreichend erachtet1122. Dieses Problem zwischen Generalklauseln auf der einen Seite und einer bereichsspezifischen detaillierten Ausdifferenzierung auf der anderen Seite stellt sich im Bereich des E-Government auch beim einfachgesetzlichen Rahmen, was in den weiteren Kapiteln zu untersuchen sein wird. Eine vorrangige Funktion des Grundsatzes der Normenklarheit liegt im Kontext des Datenschutzes darin, eine Umgrenzung des Anlasses der Maßnahme und des möglichen Verwendungszweckes sicherzustellen1123. Grundsatz der Verhältnismäßigkeit Wenn der Gesetzgeber im oben genannten Sinne tätig wird, muss er den Grundsatz der Verhältnismäßigkeit beachten1124, welcher ebenfalls nicht ausdrücklich schriftlich im Verfassungsrecht fixiert ist1125. Dieser auch Übermaßverbot genannte Grundsatz stellt für den Eingriff in ein Grundrecht nach der Rechtsprechung des BVerfG die bedeutsamste Schranken-Schranke dar1126. Im Rahmen des Volkszählungsurteils führt das BVerfG aus, dass eine Maßnahme zur Erreichung des angestrebten Zweckes geeignet und erforderlich sein muss, der mit ihr verbundene Eingriff nach seiner Intensität nicht außer Verhältnis zur Bedeutung der Sache und den vom Bürger hinzunehmenden Einbußen stehen darf1127. Dieser Grundsatz gilt jedenfalls für Regelungen, die den Staat ermächtigen, in die informationelle Selbstbestimmung des Bürgers einzugreifen. Dabei gilt dieser nicht nur für den Gesetzgeber bei Schaffung der Rechtsgrundlage, sondern auch für das konkrete Verwaltungshandeln bei Anwendung dieses Grundsatzes1128. bb) 1118 V. Zezschwitz, in: Roßnagel (Hrsg.), HBDSR, Kap. 3.1, Rn. 35. 1119 Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, S. 32. 1120 Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzrechts, Gutachten im Auftrag des Bundesministeriums des Innern, 2001, S. 53 1121 Simitis, NJW 1984, 398 (400). 1122 Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, S. 189. 1123 Gurlit, NJW 2010, 1035 (1038). 1124 BVerfGE 65, 1 (44). 1125 Drallé, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, S. 8. 1126 Pieroth/Schlink, Grundrechte, § 6 Rn. 279. 1127 BVerfGE 65, 1 (44); 27, 344 (352 f.). 1128 Lübking/Zilkens, Datenschutz in der Kommunalverwaltung, 2. Aufl., 2008, Rn. 119. C. Verfassungsrechtliche Vorgaben 157 Die Datenverarbeitung muss für die Erreichung des angestrebten Zwecks geeignet sein1129. Sie muss daher einem einleuchtenden, zur Erfüllung von Staatsaufgaben angestrebten Zweck dienen1130. Wenn dies nicht erfüllt wäre und die Datenverarbeitung untauglich wäre, wäre sie bereits verfassungswidrig. Ein wesentlicher Aspekt im Rahmen der Verhältnismäßigkeit ist die Erforderlichkeit der Datenverarbeitung gemessen an ihrem Zweck1131. Diese datenschutzrechtliche Grundregel setzt gedanklich voraus, dass die erhebende Stelle zuständig ist, ein Erhebungszweck gegeben ist und die Behörde diesen ausdrücklich verfolgt1132. Der Begriff der Erforderlichkeit baut gedanklich auf den Kriterien der Geeignetheit und der Zweckmäßigkeit auf1133. Nach dem BVerfG ist eine Sammlung von nicht anonymisierten Daten auf Vorrat weder mit dem Gebot der Geeignetheit noch mit dem der Erforderlichkeit vereinbar und widerspricht damit dem Verhältnismäßigkeitsgrundsatz1134. Das Gebot der Erforderlichkeit ist generell und bei seiner Umsetzung im einfachen Datenschutzrecht eng auszulegen1135. Die Datenverarbeitung muss angemessen, also verhältnismäßig im engeren Sinne, sein1136. Hierbei sind die geförderten Belange und das Ausmaß des angestrebten Nutzens den beeinträchtigten Rechtspositionen und dem Gewicht ihrer Verkürzung unter Berücksichtigung aller erkennbaren Konsequenzen und unter Einbeziehung etwaiger Kompensation und Besonderheiten des Einzelfalls gegenüberzustellen1137. Auf der Ebene der Angemessenheit finden die oben bereits genannten Schutzziele des Datenschutzes Berücksichtigung1138. Die Speicherung von Daten und ihr Verwendungszweck sind der maßgebliche Zusammenhang bei der Rechtfertigung des Eingriffs in das Grundrecht auf informationelle Selbstbestimmung1139. Eine spezielle Ausprägung des Verhältnismäßigkeitsgrundsatzes im Bereich des Datenschutzes ist der Grundsatz der Datenvermeidung und Datensparsamkeit1140. Dieser hat eine feste einfachgesetzliche Verankerung in § 3 a BDSG a. F. gefunden und eine Präferenz hin zu einer anonymen und pseudonymen Datenverarbeitung und weiteren Prinzipien wie z. B. „Datenschutz durch Technik“1141. Der Gedanke liegt darin, Gefährdungen für das informationelle Selbstbestimmungsrecht bereits präventiv zu begegnen1142. Dies ist eine Reaktion auf die im Zuge des „ubiquitous 1129 Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, S. 34. 1130 BVerfGE 65, 1 (54). 1131 Lübking/Zilkens, Datenschutz in der Kommunalverwaltung, 2. Aufl., 2008, Rn. 119. 1132 V. Zezschwitz, in: Roßnagel (Hrsg.), HBDSR, Kap 3.1, Rn. 32. 1133 V. Zezschwitz, in: Roßnagel (Hrsg.), HBDSR, Kap 3.1, Rn. 32. 1134 BVerfGE 65, 1 (46);Yildirim, Datenschutz im Electronic Government, S. 93; zum Erforderlichkeitsgrundsatz im Kontext der Vorratsdatenspeicherung: Szuba, Vorratsdatenspeicherung, S. 176. 1135 Lübking/Zilkens, Datenschutz in der Kommunalverwaltung, 2. Aufl., 2008, Rn. 119. 1136 Epping, Grundrechte, Rn. 56 f. 1137 Sachs, in: Ders. (Hrsg,), Art. 20, Rn. 154. 1138 Szuba, Vorratsdatenspeicherung, S. 224 ff. 1139 Szuba, Vorratsdatenspeicherung, S. 234 ff. 1140 Lübking/Zilkens, Datenschutz in der Kommunalverwaltung, 2. Aufl., 2008, Rn. 120. 1141 Gola/Schomerus, § 3a BDSG, Rn. 1 m. w. N. (Hervorhebung im Original); zu den aus diesem Grundsatz folgenden Prinzipien näher unten. 1142 Gola/Schomerus, § 3a BDSG, Rn. 1. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 158 computing“ oben skizzierten Gefahren für die informationelle Selbstbestimmung, die sich auch im E-Government auswirken. Da es sich sowohl bei dem Verhältnismäßigkeitsgrundsatz als auch bei den daraus folgenden Ausprägungen aber um die gesamte Rechtsordnung prägende Grundsätze handelt, findet der Grundgedanke auch Anwendung auf die Datenverarbeitungsprozesse, die zwischen Privaten stattfinden. So haben Prinzipien wie „Datenschutz durch Technik“ auch Eingang in die für private Diensteanbieter geltenden TMG und das De-Mail-Gesetz gefunden. Mittlerweile ist hier Art. 25 DS-GVO maßgeblich. Zweckbindungsgrundsatz Während es sich bei den bereits erörterten Grundsätzen der Normenklarheit und der Verhältnismäßigkeit um allgemeingültige ungeschriebene Anforderungen an den Gesetzgeber handelt, ist der Zweckbindungsgrundsatz eigens für den Datenschutz entwickelt worden1143, um der Eigenart der Beeinträchtigung durch Datenverarbeitungsprozesse zu begegnen. Teilweise wird dieser Grundsatz auch als weitere Ausprägung des Verhältnismäßigkeitsgrundsatzes gesehen1144. Nach der Rechtsprechung des BVerfG ist der Verwendungszweck personenbezogener Daten bereichsspezifisch zu bestimmen1145 und damit eine multifunktionale Nutzung der Daten ausgeschlossen1146. Mit der Zweckbindung wird auch wiederum der Grundsatz der Normenklarheit zum Ausdruck gebracht1147. Sowohl mit dem Grundsatz der Zweckbindung als auch mit dem Grundsatz der Normenklarheit soll die Transparenz der Datenverarbeitung gewährleistet werden, sodass sich beide Grundsätze nahestehen1148. Im Bereich der privaten Datenverarbeitung gibt es keinen strengen Zweckbindungsgrundsatz wie im öffentlichen Recht1149. Dies hat im einfachen Datenschutzrecht deutliche Konsequenzen und bringt auch die unterschiedlichen Bindungen privater und öffentlicher Datenverarbeitung zum Ausdruck. Grundsatz der Amtshilfefestigkeit Das BVerfG hat aufgrund der Gefahren der elektronischen Datenverarbeitung einen Grundsatz der Amtshilfefestigkeit angenommen1150. Der Wirksamkeit eines effektiven Datenschutzes wäre es abträglich, wenn die öffentliche Verwaltung als Informaticc) dd) 1143 Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, S. 35; v. Zeschwitz, in: Roßnagel, HBDSR, Kap. 3.1, Rn. 3 verortet diesen Grundsatz auf der Ebene der verfassungsunmittelbaren Schranken. 1144 So Lübking/Zilkens, Datenschutz in der Kommunalverwaltung, 2. Aufl., 2008, Rn. 102. 1145 BVerfGE 65, 1 (46). 1146 Lübking/Zilkens, Datenschutz in der Kommunalverwaltung, 2. Aufl., 2008, Rn. 102. 1147 Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, S. 35. 1148 Höfelmann, Grundrecht auf informationelle Selbstbestimmung anhand der Ausgestaltung des Datenschutzrechts und der Grundrechtsnormen in den Landesverfassungen, S. 188. 1149 Petersen, Grenzen des Verrechhtlichungsgebotes im Datenschutz, S. 57. 1150 BVerfGE 65, 1 (46). C. Verfassungsrechtliche Vorgaben 159 onseinheit betrachtet werden würde1151. Ziel dieses Grundsatzes ist es, eine zu große Informationsmacht des Staates zu verhindern und seinen Wissensvorsprung durch Dezentralisierung in Grenzen zu halten1152. Auch dies ist Ausfluss des Zweckbindungsgrundsatzes. Übermittlungen sind nur auf der Grundlage von präzise gefassten Gesetzen zulässig1153. Dieser Grundsatz nimmt es aus verfassungsrechtlichen Gründen auch in Kauf, dass die Informationsbeschaffung der Verwaltung, insgesamt betrachtet, möglicherweise etwas weniger effizient wird. Eine multifunktionelle Verwendung der Daten soll hier verhindert werden.1154 Grundsatz der informationellen Gewaltenteilung Das BVerfG hat im Volkszählungsurteil nicht nur Vorgaben für die zwischenbehördlichen Informationsflüsse, sondern mit dem Grundsatz der informationellen Gewaltenteilung auch Vorgaben für die innerbehördliche Organisation der Datenverarbeitung gemacht. Bei diesem Grundsatz besteht ebenfalls ein enger Zusammenhang mit dem Zweckbindungsgrundsatz1155. Auch hier soll die multifunktionelle Verwendung ausgeschlossen werden. Besondere Gefahren entstehen hier auch dadurch, dass es technisch sehr leicht möglich ist, Datenbestände innerhalb einer Behörde in unterschiedlichen Kontexten zu verwenden. Transparenzgebot Ein weiterer Aspekt, der auch in Wechselwirkung mit der Frage nach dem Eingriff in das Recht auf informationelle Selbstbestimmung und der Frage nach der Intensität des Eingriffs steht, ist derjenige der Transparenz1156. Der Zweckbindungsgrundsatz und der Grundsatz der informationellen Gewaltenteilung dienen diesem Prinzip1157. Eine vollständige und aktuelle Dokumentation des Verarbeitungsvorganges ist für den Betroffenen wichtig, da er nur so seine Rechte ausüben und die Datenverarbeitung auf ihre Rechtmäßigkeit überprüfen kann1158. Dieser Grundsatz ist nicht nur wesentlich für die automatisierte Datenverarbeitung, sondern ist auch bei nicht automatisierten Datenverarbeitungsvorgängen äußerst wichtig1159. Entscheidend ist die Ausgestaltung dieses Grundsatzes im einfachen Datenschutzrecht, die in den folgenden Kapiteln näher zu untersuchen sein wird. ee) ff) 1151 Mückenberger, KJ 1984, 1 (19 ff.); Scholz/Pitschas, Informationelle Selbstbestimmung und staatliche Informationsverantwortung, S. 42; Simitis, NJW 1986, 2795 (2800). 1152 Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht, 4. Aufl. 2005, S. 151. 1153 Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht, 4. Aufl. 2005, S. 151. 1154 Lübking/Zilkens, Datenschutz in der Kommunalverwaltung, 2. Aufl., 2008, Rn. 16. 1155 Stollhoff, Datenschutzgerechtes E-Government, S. 102. 1156 Vgl. hierzu ausführlich: Bechler, Informationseingriffe durch intransparenten Umgang mit personenbezogenen Daten, S. 92 ff; zu der Gefahr einer Intransparenz der Datenverwendung insbesondere durch die technische Entwicklung: Yildirim, Datenschutz im Electronic Government, S. 63. 1157 Stollhoff, Datenschutzgerechtes E-Government, S. 105. 1158 Schaar, Datenschutz im Internet, Rn. 132; Lübking/Zilkens, Datenschutz in der Kommunalverwaltung, 2. Aufl., 2008, Rn. 122. 1159 Lübking/Zilkens, Datenverarbeitung in der Kommunalverwaltung, 2. Aufl., 2008, Rn. 122. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 160 Organisatorische und verfahrensrechtliche Vorkehrungen Das BVerfG hat den Gesetzgeber im Volkszählungsurteil zum Schutz des Grundrechts auf informationelle Selbstbestimmung auf organisatorische und verfahrensrechtliche Vorkehrungen verpflichtet und dabei ausgeführt, dass der Gesetzgeber nicht alles regeln müsse, aber dafür sorgen müsse, dass das Notwendigste geschehe1160. Insbesondere auf dem Gebiet des E-Governments hat dieser Aspekt Bedeutung, da die Datenverarbeitungsprozesse insgesamt für den Betroffenen nicht durchschaubar und insgesamt sehr komplex sind. Die Maßnahmen, die z. B. in § 9 BDSG a. F. geregelt waren und nun insbesondere aus Art. 32 DS-GVO zu entnehmen sind, gehen weit über diesen Standard hinaus und tragen dem Wandel zur Informationsgesellschaft Rechnung1161. Im Volkszählungsurteil hebt das BVerfG zunächst Belehrungs-, Aufklärungs- und Auskunftspflichten hervor1162. Insbesondere ist dies auch ein Hinweis des BVerfG, dass es eine objektiv-rechtliche Funktion des Rechts auf informationelle Selbstbestimmung anerkennt, die mit staatlichen Schutzpflichten korrespondieren1163. Kontrolle durch einen unabhängigen Datenschutzbeauftragten Das BVerfG hat als spezielle Ausprägung organisatorischer und verfahrensrechtlicher Art den Schutz des Rechts auf informationelle Selbstbestimmung durch einen Datenschutzbeauftragten im Volkszählungsurteil hervorgehoben1164. Neben einer Hilfestellungsfunktion für den von Datenverarbeitung betroffenen Bürger soll die Institution des Datenschutzbeauftragten gerade auch dem vorbeugenden Grundrechtsschutz dienen1165. Da der Datenschutzbeauftragte schon im BDSG a. F.von 1977 geregelt war, ist die Erwähnung im Volkszählungsurteil kein neuer Gesichtspunkt, sondern eine Hervorhebung der Rolle desselben1166. Jedoch haben sich im Laufe der Zeit mit dem Wandel zur Informationsgesellschaft auch die Aufgaben des Datenschutzbeauftragten erweitert. Insbesondere im Bereich des E-Governments und auch für den Bereich der Datenverarbeitung zwischen Privaten sind dem Datenschutzbeauftragten Aufgaben zugeteilt worden, die weit über diese Grundidee hinausgehen, was in den nächsten Kapiteln zu untersuchen sein wird. Nunmehr ist die Kontrolle durch einen unabhängigen Datenschutzbeauftragten durch Art. 37, 38 und 39 DS-GVO nachhaltig gestärkt worden. gg) hh) 1160 BVerfGE 65, 1 (59), Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, S. 37. 1161 Dazu näher unten unter: Teil 3, D., VIII., 3; Ansätze für eine Modernisierung des § 9 BDSG a. F. schon bei: Schneider, ZD 2011, 6 (6 ff.). 1162 BVerfGE 65, 1 (46 und 59). 1163 Yildirim, Datenschutz im Electronic Government, S. 97 f., erwähnt die Schutzpflichten des Gesetzgebers auch zugunsten technischer Vorkehrungen. 1164 BVerfGE 65, 1 (60). 1165 Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, S. 38; näher zur Rolle des Datenschutzbeauftragten im Kontext des vorbeugenden Datenschutzes unten: Teil 5, E., III. 1166 Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, S. 39. C. Verfassungsrechtliche Vorgaben 161 Verwendungszusammenhang als quasi Schranken-Schranke Eine sehr wichtige Bedeutung hat das Kriterium des Verwendungszusammenhanges als eine Art Schranken-Schranke, welche nicht absolut wirkt, sondern im Falle eines Eingriffes in die Privat- oder Öffentlichkeitssphäre die Möglichkeit einer Abwägung mit entgegenstehenden Interessen ermöglicht1167. Der Verwendungszusammenhang wurde vom BVerfG im Volkszählungsurteil in Ergänzung der Sphärenlehre herangezogen.1168 Von einer gleichzeitigen Aufgabe der Sphärenlehre durch das BVerfG im Volkszählungsurteil kann daher in diesem Zusammenhang nicht die Rede sein. Zwischenergebnis Als Zwischenergebnis kann festgehalten werden, dass das Grundrecht auf informationelle Selbstbestimmung eine subjektive und eine objektive Schutzrichtung hat. Ein Eingriff liegt dann vor, wenn personenbezogene Daten gegen den Willen des Betroffenen entweder durch eine staatliche Behörde oder durch ein privates Unternehmen verarbeitet werden1169. Durch die Rechtsprechung werden sowohl staatliche als auch private Datenverarbeitungen gegen den Willen einer Person als Grundrechtseingriff gesehen1170. Die objektive Schutzrichtung adressiert insbesondere die staatliche Verantwortung für die informationelle Selbstbestimmung. Da es sich aber bei der Wahrnehmung dieser Verantwortung um ein positives Tun handelt, ist der Verantwortungsbeitrag des Staates ungleich schwerer zu bestimmen im Gegensatz zum Verantwortungsbeitrag bei der subjektiv-rechtlichen Schutzrichtung des Grundrechts auf informationelle Selbstbestimmung. Geschützt ist der Umgang mit personenbezogenen Daten und kein eigentums- ähnliches Herrschaftsrecht. Informationelle Selbstbestimmung setzt auf einen verantwortungsbewussten Datenumgang des Betroffenen. Insoweit entstammt bereits hier der grundrechtlichen Gewährleistung ein Verantwortungsbeitrag des Nutzers elektronischer Kommunikation. Ein Eingriff in das Grundrecht auf informationelle Selbstbestimmung liegt dann vor, wenn eine Datenverarbeitung ohne den Willen des Betroffenen erfolgt. Eine Erheblichkeitsschwelle bei der Frage des Eingriffs einzuführen, ist nicht zielführend. Das Grundrecht auf informationelle Selbstbestimmung ist nicht schrankenlos gewährleistet, hat aber auch, der richterrechtlichen Entstehung geschuldet, keinen geschriebenen Gesetzesvorbehalt. Auf der Ebene der Schranken-Schranken haben sich neben den allgemeinen Prinzipien insbesondere der Zweckbindungsgrundsatz, der Grundsatz der Amtshilfefestigkeit, der Grundsatz der informationellen Gewaltenteiii) 7. 1167 Luch, Das Medienpersönlichkeitsrecht – Schranke der „vierten Gewalt“, S. 126. 1168 Trute, in: Roßnagel (Hrsg.), HBDSR, Kap. 2.5, Rn. 29; Luch, Das Medienpersönlichkeitsrecht – Schranke der „vierten Gewalt“, S. 126 mit dem Hinweis, dass das BVerfG mit dem Kriterium des Verwendungszusammenhangs nicht allein auf die Art der Angaben, sondern auch auf die Nutzbarkeit und Verwendungsmöglichkeit abstellen wolle und dies nicht notwendig eine Abkehr von der Sphärenlehre sei. 1169 Roßnagel, in: Hill (Hrsg.), E-Transformation, 79 (87). 1170 BVerfGE 84, 192 (195). Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 162 lung, das Transparenzgebot, verschiedene organisatorische und verfahrensrechtliche Vorkehrungen, die Kontrolle durch den unabhängigen Datenschutzbeauftragten und der Verwendungszusammenhang entwickelt, die das einfache Datenschutzrecht maßgeblich geprägt haben. Damit setzt das Grundrecht auf informationelle Selbstbestimmung einen Rahmen für die Verantwortungsbeiträge der unterschiedlichen Akteure im Rahmen der elektronischen Kommunikation, der dann auf einfachgesetzlicher Ebene weiterer Ausdifferenzierung bedarf. Der Nutzer von transaktionsbezogenen E-Government-Anwendungen ist daher nach der Grundkonzeption des Grundrechts auf informationelle Selbstbestimmung Verantwortungssubjekt. Trotz aller Herausforderungen in der digitalen Welt ist das Grundrecht auf informationelle Selbstbestimmung mit einer objektiven und subjektiven Schutzrichtung die geeignete Konzeption, um ebendiesen Herausforderungen zu begegnen. Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme Wichtig für das Verständnis des Rechts auf informationelle Selbstbestimmung und dessen Schutzbereich sowie insgesamt das Verständnis des grundrechtlichen Kommunikationsschutzes ist das vom BVerfG in der Entscheidung zur Online-Durchsuchung1171 geschaffene Grundrecht1172 auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, welches auch als IT-Grundrecht bezeichnet wird. Durch die Schaffung dieses Grundrechts hat das BVerfG den Schutzbereich des Grundrechts auf informationelle Selbstbestimmung weiter eingeengt. Für transakti- III. 1171 BVerfGE 120, 274 = 1 BvR 370, 595/07; dazu: Eiermann, DuD 2012, 452 (452); Hoffmann, Die Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Daten- und Dokumentensafes, S. 67; Bull, Informationelle Selbstbestimmung – Vision oder Illusion?, S. 55; ders., in: Möllers/van Ooyen (Hrsg.), Jahrbuch öffentliche Sicherheit, 317 (317 ff.); Drallé, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme; Bäcker, in: Lepper (Hrsg.), Privatsphäre mit System – Datenschutz in einer vernetzen Welt, S. 4 ff.; ders., in Rensen/Brink (Hrsg.), Leitlinien der Rechtsprechung des Bundesverfassungsgerichts, S. 99 (118 ff.); Holzner, Die Online-Durchsuchung: Entwicklung eines neuen Grundrechts, S. 1 ff.; Horn, in: Stern/Becker (Hrsg.), Grundrechte-Kommentar, Art. 2, Rn. 51; Luch, MMR 2011, 75 (75 ff.); dies., in: Schliesky (Hrsg.), Technikgestütztes Identitätsmanagement, 137 (137 ff.); Murswiek, in: Sachs (Hrsg.), GG, Art 2, Rn. 73 b; Schneider, in: Ders. (Hrsg.), EDV-Recht, S. 62 f. = B, Rn. 131 f.; Schröder/Schröder, Die Online-Durchsuchung, S. 101 ff.; Seckelmann, in: Wirtz (Hrsg.), E-Government, 77 (77 ff.); dies., in: Wirtz (Hrsg.), Rechtsfragen der Nutzung und Regulierung des Internet, 165 (165 ff.); Adamski, GWP 2008, 259 (262 ff.); Hirsch, NJOZ 2008, 1907 (1907 ff.), Hoeren, MMR 2008, 365 (365 ff.); Hoffmann-Riem, JZ 2008, 1009 (1009 ff.); Hornung, CR 2008, 299 (299 ff.); Kutscha, NJW 2008, 1042 (1042 ff.); Leisner, NJW 2008, 2902 (2902 ff.); Sachs/Krings, JuS 2008, 481 (481 ff.); Volkmann, DVBl. 2008, 590 (590 ff.); Wiebe, DuD 2008, 713 (713 ff.); Frenz, DVBl. 2009, 333 (337 fGusy, DuD 2009, 33 (33 ff.); Heise, RuP 2009, 94 (94 ff.), Wedde, AuR 2009, 373 (376), Gurlit, NJW 2010, 1035 (1037); Petri, DuD 2010, 25 (27); Wegener/Muth, JURA 2010, 847 (847 ff.); zu den technischen Grundlagen der Online-Durchsuchung: Schröder/Schröder, Die Online-Durchsuchung, S. 47 ff. 1172 Terminologisch soll auch hier in der Diktion des BVerfG von einem Grundrecht gesprochen werden. C. Verfassungsrechtliche Vorgaben 163 onsbezogene Kommunikationsprozesse im E-Government bedeutet dies, dass ein weiteres Grundrecht in die Betrachtung mit einbezogen werden muss und die Frage geklärt werden muss, in welcher Phase des Kommunikationsprozesses welches Grundrecht einschlägig ist. Auch hier stellt sich die Frage vor dem Hintergrund der allgegenwärtigen Entwicklung zur Digitalisierung, welche Schutzdimensionen dem Grundrecht entnommen werden können. Zur Präzisierung des grundrechtlichen Kommunikationsschutzes soll im Folgenden das IT-Grundrecht im Gefüge der Kommunikationsgrundrechte nach seinem Schutzbereich dargestellt werden. Das Urteil des BVerfG zur Online-Durchsuchung Das BVerfG musste im Jahr 2008 über die Verfassungsmäßigkeit von Regelungen aus dem Verfassungsschutzgesetz Nordrhein-Westfalen entscheiden, die Ermächtigungen der Verfassungsschutzbehörden zur heimlichen Datenerhebung enthielten und auch den Umgang mit den erhobenen Daten regelten1173. Diese Entscheidung markiert einen weiteren Meilenstein in der Ausdifferenzierung des informationsbezogenen Grundrechtsschutzes1174. Für Online-Durchsuchungen hat das BVerfG hier hohe Verfahrenshürden und Eingriffsschwellen gesetzt1175 und ein neues kommunikationsbezogenes Grundrecht „kreiert“. Neue Grundrechte entstehen richterrechtlich nicht ohne Weiteres. Das BVerfG hat deshalb seine Entscheidung auch maßgeblich damit begründet, dass das Recht auf informationelle Selbstbestimmung den Persönlichkeitsgefährdungen, die im digitalen Kontext auftreten können, nicht hinreichend Rechnung trage1176. Schutzbereich Der Schutzbereich dieses neuen IT-Grundrechts ist maßgebend für einen lückenlosen kommunikationsbezogenen Grundrechtsschutz. Bisweilen wird jedoch auch konstatiert, dass die Konturen desselben noch unscharf seien1177. Das BVerfG hat mit dem Urteil zur Online-Durchsuchung und dem IT-Grundrecht die Grundlage der Aus- übung des Grundrechts auf informationelle Selbstbestimmung gestärkt und dessen Schutzgut verdeutlicht sowie den Schutzbereich des Grundrechts auf informationelle Selbstbestimmung eingeschränkt. Maßgeblich kommen in den Urteilsgründen auch die Verantwortungssphären staatlicher Institutionen und des privaten Nutzers zum Tragen. 1. 2. 1173 Drallé, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, S. 5; Stollhoff, Datenschutzgerechtes E-Government, S. 97 f. 1174 Britz, DÖV 2008, 411 (411); Hornung, CR 2008, 299 (299), spricht von einer Neujustierung der grundrechtsdogmatischen Eckpfeiler der Informationsgesellschaft. 1175 Heckmann/Seidl/Maisch, Adäquates Sicherheitsniveau bei der elektronischen Kommunikation, S. 32. 1176 Drallé, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, S. 6. 1177 Hoffmann, Die Gewährleistung der Vertraulichkeit und Integrität elektronischer Daten- und Dokumentensafes, S. 76. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 164 Informationstechnisches System Der Schutz des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme erstreckt sich auf informationstechnische Systeme als Schutzgegenstand. Nach einer Begriffsdefinition in der Informatik wird unter einem informationstechnischen System (auch IT-System) jedes Gebilde verstanden, das Daten verarbeiten kann und in einem gegebenen Kontext als Funktionseinheit betrachtet wird1178. Nach einer weiteren Definition ist ein IT-System ein geschlossenes oder offenes, dynamisches technisches System mit der Fähigkeit zur Speicherung und Verarbeitung von Informationen, wobei dieses eingebettet ist in gesellschaftliche, unternehmerische und auch politische Strukturen (sog. soziotechnische Systeme) und von Nutzern mit sehr unterschiedlichen Kenntnissen für unterschiedliche Zwecke bedient wird.1179 Um den Schutzbereich des IT-Grundrechts beschreiben zu können, ist diese Definition aus dem Bereich der Informatik wenig hilfreich1180. Was genau ein informationstechnisches System ist, dazu liefert das BVerfG in seinem Urteil nur Anhaltspunkte, ohne diese Frage jedoch erschöpfend zu klären1181. Maßgebend bei der Definition ist, dass es sich um Systeme handeln muss, die in signifikantem Umfang personenbezogene Daten des Nutzers enthalten1182. Nach dem BVerfG sind dies Systeme „die allein oder in ihren technischen Vernetzungen personenbezogene Daten des Betroffenen in einem Umfang und in einer Vielfalt enthalten können, dass ein Zugriff auf das System es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu enthalten“1183. Beispielhaft nennt das BVerfG Personal Computer (PCs) wie auch den Arbeitsspeicher und die Speichermedien eines Systems1184 sowie Mobiltelefone und elektronische Terminkalender, die durch ihren großen Funktionsumfang in der Lage sind, personenbezogene Daten zu speichern1185. Es wird aber auch eine Bagatellgrenze eingezogen, sodass nicht jedes informationstechnische System, welches Daten erzeugen, verarbeiten oder speichern kann, dem besonderen Schutz dieser neuen Grundrechtsausprägung unterstellt wird1186. Das BVerfG klammert solche Systeme, die nach ihrer technischen Konstruktion nur Daten mit einem punktuellen Bezug zu einem bestimmten Lebensbereich enthalten, aus und nennt hier beispielhaft nicht vernetzte a) 1178 Dierstein, Definition und Erklärungen, abrufbar unter: www.bayer.in.tum.de/lehre/WS2003/ITSdierstein/DefDV03.pdf, S. 4 (letzer Abruf: 05.08.2015); eine ähnliche Definition im Fragenkatalog zur Online-Durchsuchung, abrufbar unter: www.netzpolitik.org/wp-upload/fragen-onlinedurch suchung-BMJ.pdf (letzter Abruf: 08.11.2015). 1179 Eckert, IT-Sicherheit, S. 3. 1180 So auch Hoffmann, Die Gewährleistung der Vertraulichkeit und Integrität elektronischer Daten- und Dokumentensafes, S. 77. 1181 BVerfGE 120, 274 (314); Holznagel/Schumacher, MMR 2009, 3 (3). 1182 Wegener/Muth, JURA 2010, 847 (849). 1183 BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE 120, 274 (274 ff.) = CR 2008, 306 (314). 1184 BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE 120, 274 (314 f.) = CR 2008, 306 (314). 1185 BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE 120, 274 = CR 2008, 306 (314); Hoffmann, CR 2008, 514 (515). 1186 Wegener/Muth, JURA 2010, 847 (849). C. Verfassungsrechtliche Vorgaben 165 elektronische Steuerungsanlagen der Haustechnik1187. Sichtbar wird daran, dass das BVerfG nicht systembezogen an den Begriff herangeht, sondern mit einem von der Schutzbedürftigkeit ausgehenden gefährdungslagenbezogenen Ansatz1188. Datenverarbeitung und -speicherung findet heute vielfach losgelöst von physischen Geräten „im Netz“ statt, sodass ein allein gerätebezogener Ansatz keinen Sinn ergibt1189. Nach dem weiten Verständnis des BVerfG kann sogar das Internet als solches in den Schutzbereich des IT-Grundrechts fallen1190. Freilich stellt sich dann die Frage der Abgrenzung des zu schützenden privaten Teils vom übrigen öffentlichen Teil1191. Im Hinblick auf die Vertraulichkeitserwartung fordert das BVerfG, dass der Grundrechtsträger das informationstechnische System als sein eigenes nutzt1192. Der Begriff „eigenes“ darf hier aber nicht im Sinne einer sachenrechtlichen Zuordnung verstanden werden1193. Das System muss neben den Merkmalen der Komplexität und dem Persönlichkeitsbezug der enthaltenen Daten für den Betroffenen so geartet sein, dass dieser die Datenhoheit hat1194. Er muss entweder allein oder mit anderen berechtigten Nutzern selbstbestimmt über das System verfügen können, oder das System ist ein fremdes, bei dem der Grundrechtsträger von einem alleinigen Zugriffsrecht unter Ausschluss nicht autorisierter Dritter ausgehen darf1195. Bei der Beurteilung im Einzelfall können dabei sowohl technische Kriterien wie der Standort des Systems und die Zugriffssicherungen sowie rechtliche Kriterien wie gesetzliche oder vertragliche Zugriffsbefugnisse und Abwehransprüche eine Rolle spielen1196. Der Schutzbereich ist also von vielen tatsächlichen und normativen Rahmensetzungen abhängig1197. Eine weitere Definition in der Literatur beschreibt das informationstechnische System mit einem zukunftsgerichteten Ansatz als „jede aus Hard- und Software bestehende Funktionseinheit, der allein oder aufgrund ihrer Vernetzung mit anderen Funktionseinheiten personenbezogene Daten anvertraut oder schon allein durch deren Nutzung zwangsläufig geliefert werden“1198. Der „normale“ Personal Computer oder Laptop, mit dem der Nutzer von E-Government-Anwendungen mit der Verwaltung in Kontakt tritt, ist damit jedenfalls als eigengenutztes informationstechnisches System i. S. d. IT-Grundrechts einzuordnen, da 1187 BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE 120, 274 (XX) = CR 2008, 306 (314). 1188 Holznagel/Schumacher, MMR 2009, 3 (3 f.); Hoffmann, Die Gewährleistung der Vertraulichkeit und Integrität elektronischer Daten- und Dokumentensafes, S. 102; Böckenförde T., JZ 2008, 925 (929), Hornung, CR 2008, 299 (303); Stögmüller, CR 2008, 435 (436). 1189 Wegener/Muth, JURA 2010, 847 (849) (Hervorhebung im Original). 1190 BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE 120, 274 (274 ff.) = CR 2008, 306 (314). 1191 Wegener/Muth, JURA 2010, 847 (849). 1192 BVerfG, NJW 2008, 822 (827, Abs. 206); BVerfGE 120, 274 (274); Jäger, jurisPR-ITR 12/2008, Anm. 2. 1193 Heckmann/Seidl/Maisch, Adäquates Sicherheitsniveau bei der elektronischen Kommunikation, S. 34; Schnabel, Datenschutz bei profilbasierten Location Based Services, S. 92; Wegener/Muth, JURA 2010, 847 (849 f.); Hornung, CR 2008, 299 (303); Gudermann, Online-Durchsuchung im Lichte des Verfassungsrechts, S. 132. 1194 Luch, MMR 2011, 75 (76); dies., in: Schliesky (Hrsg.), Technikgestütztes Identitätsmanagement, 137 (146). 1195 Luch, MMR 2011, 75 (76). 1196 Hornung, CR 2008, 299 (303). 1197 Wegener/Muth, JURA 2010, 847 (850). 1198 Hoffmann, Die Gewährleistung der Vertraulichkeit und Integrität elektronischer Daten- und Dokumentensafes, S. 84. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 166 der Nutzer hier die Datenhoheit hat und im Zuge der E-Government-Transaktionen auch Dokumente speichert. Daten- und Dokumentensafes, welche im Zusammenhang mit dem De-Mail-Konzept auch im Bereich des E-Governments vorgesehen sind1199, sind auch als eigengenutzte informationstechnische Systeme i. S. d. IT-Grundrechts anzusehen1200. Zusammenfassend bleibt festzuhalten, dass die individuelle Infrastruktur des Nutzers von transaktionsbezogenen E-Government-Anwendungen jedenfalls auch als informationstechnisches System i. S. d. IT-Grundrechtes anzusehen ist. Vertraulichkeit und Integrität Das IT-Grundrecht schützt das Interesse des Nutzers an der Vertraulichkeit und Integrität des informationstechnischen Systems1201. Vertraulichkeit Nach dem BVerfG ist das Interesse des Nutzers, dass die von einem vom Schutzbereich erfassten informationstechnischen System erzeugten, verarbeiteten und gespeicherten Daten vertraulich bleiben1202. Die „Vertraulichkeit“ bezieht sich damit auf die vom System erzeugten Daten und nicht auf das System selbst, wie der Wortlaut Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme zunächst vermuten lässt1203. Mit dem Begriff „Vertraulichkeit“ hat das BVerfG einen Terminus aus der Informationssicherheit aufgegriffen, der auch als Schutzziel im Kontext der Datensicherheit verwendet wird1204. Maßgeblich ist, dass die in dem System verfügbaren Informationen nur berechtigten Personen bekannt werden1205. Unbefugte sollen keine Zugangsmöglichkeit zu den Daten haben1206. Es handelt sich bei der Vertraulichkeit insgesamt lediglich um eine subjektive Erwartungshaltung des Einzelnen1207. Der grundrechtliche Schutz wird mit der Einbeziehung dieser subjektiven Erwartungshaltung vorverlagert und erweitert1208. Teilweise wird auch vertreten, dass die Vertraulichkeit den Ist-Zustand eines informationstechb) aa) 1199 Vgl. hierzu oben Teil 2, D., II., 3. 1200 Grundlegend dazu: Hoffmann, Die Gewährleistung der Vertraulichkeit und Integrität elektronischer Daten- und Dokumentensafes, S. 118. 1201 Zur Erforderlichkeit einer Einbeziehung der IT-Sicherheit durch einen umfassenden Ansatz über die Begriffe der Vertraulichkeit und Integrität hinaus: Heckmann, in: Käfer-FS, 129 (139). 1202 BVerfG, NJW 2008, 822 (827 Rn. 204). 1203 Drallé, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, S. 38 (Hervorhebung im Original); Hoffmann, Die Gewährleistung der Vertraulichkeit und Integrität elektronischer Daten- und Dokumentensafes, S. 86. 1204 Hornung, CR 2008, 299 (303); Eckert, IT-Sicherheit, S. 10; danach ist ein System vertraulich, wenn es keine unautorisierte Informationsgewinnung ermöglicht; in § 2 Abs. 2 BSIG ist der Begriff ebenfalls legaldefiniert; zum Schutzziel der Vertraulichkeit im Rahmen der Datensicherheit vgl. bereits oben unter: Teil 2, C., IV, 4 c). 1205 Hansen/Pfitzmann, in: Roggan (Hrsg.), Online-Durchsuchungen, 131 (132). 1206 Hoffmann, Die Gewährleistung der Vertraulichkeit und Integrität elektronischer Daten- und Dokumentensafes, S. 86. 1207 Luch, MMR 2011, 75 (75). 1208 Hornung, CR 2008, 299 (303). C. Verfassungsrechtliche Vorgaben 167 nischen Systems darstellt1209. Jedenfalls handelt es sich um ein Kriterium, welches für den privaten Nutzer Funktionsvoraussetzung für eine reibungslose Kommunikation ist. Integrität Das BVerfG zieht als weiteres Merkmal des informationstechnischen Systems die „Integrität“ desselben heran1210. Nach dem Begriffsverständnis in der Informationstechnologie ist Integrität das Interesse des Nutzers, dass die Daten während der Verarbeitung oder Übertragung nicht beschädigt oder verändert werden können, also unversehrt bleiben1211. Wenn auf das System so zugegriffen werde, dass dessen Leistungen, Funktionen und Speicherinhalte durch Dritte genutzt werden könnten, dann sei die entscheidende Hürde für eine Ausspähung, Überwachung oder Manipulation des Systems genommen1212. Die Integrität des Systems als weiterer Bestandteil des Schutzbereichs wird vom BVerfG anhand des Eingriffsvorgangs also indirekt begründet.1213 Im Sinne einer Vorverlagerung des Grundrechtsschutzes soll nach dem Verständnis des BVerfG die Integrität des Systems schon dann berührt sein, wenn der Zugriff gar nicht auf die Erhebung personenbezogener Daten gerichtet ist, sondern nur die Technik des Systems und damit die Funktionalität des Systems betroffen ist1214. Verhältnis von Vertraulichkeit und Integrität Es ist sinnvoll, die Vertraulichkeit und die Integrität als zwei selbstständige Komponenten zu betrachten, die den Schutzbereich des IT-Grundrechts ausmachen1215. Es handelt sich auf der semantischen Ebene um zwei unterschiedliche Begrifflichkeiten, die daher auch separat betrachtet werden sollten. Bei der Online-Durchsuchung wird das System durch Schadsoftware infiltriert und in den Datenbestand eingegriffen, sodass ein Eingriff in die Integrität vorliegt1216. Erst in einem zweiten Schritt, wenn Daten aus dem Zielsystem an die Ermittlungsbehörden übermittelt werden, liegt auch ein Eingriff in die bb) cc) 1209 Hansen/Pfitzmann, in: Roggan (Hrsg.), Online-Durchsuchungen, 131 (132); kritisch zu dieser begrifflichen Interpretation: Hoffmann, Die Gewährleistung der Vertraulichkeit und Integrität elektronischer Daten- und Dokumentensafes, S. 87. 1210 BVerfGE 120, 274 (314). 1211 Kubicek, in: Klumpp u. a. (Hrsg.), informationelles Vertrauen in die Informationsgesellschaft, 17 (17); Roßnagel (Hrsg.), Langfristige Aufbewahrung elektronischer Dokumente, S. 44. 1212 BVerfGE 120, 274 (314). 1213 BVerfGE 120, 274 (314); Böckenförde T., JZ 2008, 925 (928); Hoffmann, Die Gewährleistung der Vertraulichkeit und Integrität elektronischer Daten- und Dokumentensafes, S. 87; Drallé, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, S. 56. 1214 Drallé, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, S. 56. 1215 So auch Hoffmann, Die Gewährleistung der Vertraulichkeit und Integrität elektronischer Daten- und Dokumentensafes, S. 88. 1216 Hoffmann, Die Gewährleistung der Vertraulichkeit und Integrität elektronischer Daten- und Dokumentensafes, S. 88. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 168 Vertraulichkeit vor1217. Es sind also zwei unterschiedliche tatsächliche Vorgänge von Relevanz. Subjektiv-rechtliche Schutzrichtung Das IT-Grundrecht hat nach seinem Entstehungskontext zunächst eine subjektiv-abwehrrechtliche Schutzrichtung. Bei dem zugrunde liegenden Sachverhalt ging es um Ermächtigungen zu Online-Durchsuchungen auf Grundlage des Verfassungsschutzgesetzes NRW1218. Im Sinne eines lückenlosen Kommunikationsschutzes ist diese Dimension des IT-Grundrechts äußerst wichtig. Die abwehrrechtliche Funktion dieses Grundrechts ist allgemein anerkannt1219. Objektiv-rechtliche Schutzrichtung Darüber hinaus ist die Frage im Kontext eines lückenlosen Kommunikationsschutzes im E-Government von Bedeutung, ob dem IT-Grundrecht auch eine objektiv-rechtliche Dimension zu entnehmen ist. Beeinträchtigungen und Eingriffe drohen der Kommunikation eines Nutzers nicht zuletzt auch von privater Seite1220. In der Literatur ist dies im Nachgang zum Urteil des BVerfG diskutiert worden. Sick lehnt eine objektiv-rechtliche Schutzrichtung des IT-Grundrechts im Wesentlichen durch systematische Erwägungen und grundsätzliche dogmatische Bedenken gänzlich ab1221. Das BVerfG legt mit dem Wortlaut seiner Entscheidung zur Online-Durchsuchung, wo von „Gewährleistung“ der Vertraulichkeit und Integrität informationstechnischer Systeme die Rede ist, die Deutungsvariante nahe, dass dem neuen Grundrecht auch eine objektiv-rechtliche Dimension zu entnehmen sein kann1222. Viele Stimmen in der Literatur nehmen eine objektiv-rechtliche Funktion des IT-Grundrechts an1223. c) d) 1217 Hoffmann, Die Gewährleistung der Vertraulichkeit und Integrität elektronischer Daten- und Dokumentensafes, S. 88. 1218 Heckmann, Käfer-FS, S. 129 (137). 1219 Sick, VBlBW 2009, 85 (85); ausschließlich diese Schutzrichtung betrachtet: Drallé, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, S. 3. 1220 Holznagel/Schumacher, MMR 2009, 3 (6); mehrdimensionale Konzepte des Freiheitsschutzes, die sich nicht nur auf die abwehrrechtliche Dimension von Grundrechten beschränken, fordert auch: Hoffmann-Riem, in: Klumpp u. a., Netzwelt – Wege, Werte, Wandel, 165 (167). 1221 Sick, VBlBW 2009, 85 (88 ff.). 1222 Gurlit, NJW 2010, 1035 (1040); BVerfGE 120, 274 (313), wo in Bezug auf die Gewährleistung auf den Schutzbedarf und die lückenfüllende Funktion hingewiesen wird. 1223 Für eine objektiv-rechtliche Dimension: Hoffmann-Riem, in: Klumpp u. a., Netzwelt – Wege, Werte, Wandel, 165 (167); Heckmann, in: Käfer-FS, 129 (129 ff.); ders., in: Hill/Schliesky (Hrsg.), Innovationen im und durch Recht: E-Volution des Rechts- und Verwaltungssystems II, 97 (97 ff.); Kube, in: Isensee/Kirchhof, HStR, Band VII, § 148, Rn. 145; Luch, in: Schliesky (Hrsg.), Technikgestütztes Identitätsmanagement, S. 137 (152); Hoffmann, Die Gewährleistung der Vertraulichkeit und Integrität elektronischer Daten- und Dokumentensafes, S. 163 ff.; Stögmüller, CR 2008, 435 (437); Heckmann, jurisPR-ITR 5/2008, Anm. 1. Diese Frage wurde noch offengelassen von Böckenförde, JZ 2008, 925 (928, dort Fn. 38;); Schulz S. E., DuD 2009, 601 (605); C. Verfassungsrechtliche Vorgaben 169 Bereits das BVerfG unterscheidet in seinem Urteil zur Online-Durchsuchung nicht zwischen privaten und staatlichen Gefahrenquellen, sondern spricht von einer Gefährdung durch den Zugriff „Dritter“.1224 Dies lässt in der Zusammenschau mit den anderen Kernaussagen des Urteils, die auf einen umfassenden Kommunikationsschutz gerichtet sind, den Schluss zu, dass das BVerfG auch eine Gefährdung durch Private, welche eine objektiv-rechtliche Funktion des IT-Grundrechts aktivieren würde, mit im Blick gehabt hat. Es ist in diesem Zusammenhang in Rechnung zu stellen, dass das BVerfG hier nur über den Verfahrensgegenstand zu entscheiden hatte und daher die Grenzen für Aussagen zur objektiv-rechtlichen Dimension eng waren. Für die objektiv-rechtliche Schutzrichtung spricht indes auch ein Schutzbedarf des Nutzers, der daraus resultiert, dass private Dritte sich die staatliche Infiltration des informationstechnischen Systems zunutze machen und diese ihrerseits für Ausspähungen nutzen, ohne dass der Nutzer sich schützen kann1225. Die objektiv-rechtliche Dimension des IT-Grundrechts hat u. a. auch bereits Eingang in verschiedene Gesetzesinitiativen im Kontext einer ausdrücklichen verfassungsrechtlichen Normierung des Datenschutzes gefunden, die aber nicht umgesetzt worden sind1226. Für den zu regelnden Bereich muss ein grundrechtlich erhebliches Schutzbedürfnis gesehen werden1227. Auch die Schaffung des De-Mail-Gesetzes wird als durch das IT-Grundrecht intendiert angesehen1228. Schutzlücken der bisherigen Kommunikationsgrundrechte Mit dem Urteil zur Online-Durchsuchung hat das BVerfG eine aus seiner Sicht bestehende Schutzlücke geschlossen und damit auch einen integrativen Blick auf Kommunikationsprozesse bewiesen. In der Literatur haben viele Stimmen eine Fortentwicklung des Rechts auf informationelle Selbstbestimmung der Schaffung einer neuen Ausprägung des allgemeinen Persönlichkeitsrechts vorgezogen1229. Mangels belastbarer Vorarbeiten in der Literatur zu den Dimensionen der Gefährdung des Vertrauens in die eigenen Kommunikationsinfrastrukturen und entsprechenden Schutzbedürfnisse ist das Vorgehen des BVerfG als Reaktion hierauf zu verstehen1230. Das BVerfG begründet die bestehende Schutzlücke aus einer Zusammenschau der Schutzbereiche der bisher einschlägigen Grundrechte1231 und so auch aus Lücken beim Grundrecht auf informationelle Selbstbestimmung. Darüber hinaus werden im Schutzbereich von Art. 10 GG Lücken gesehen, wonach das BVerfG ausführt, dass Art. 10 Abs. 1 GG e) 1224 BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, juris Rn. 182 = BVerfGE 120, 274 (306); Heckmann, in: Käfer-FS, 129 (136). 1225 Hoffmann-Riem, in: Klumpp u. a., Netzwelt – Wege, Werte, Wandel, 165 (175). 1226 Vgl. hierzu den Gesetzentwurf der Fraktion Bündnis 90/Die Grünen, BT-Drs. 16/9607. 1227 Luch, MMR 2011, 75 (78). 1228 Luch, MMR 2011, 75 (78). 1229 Britz, DÖV 2008, 411 (411 ff.); Sachs/Krings, JuS 2008, 482 (482); Eifert, NVwZ 2008, 521 (521); Kutscha, NJW 2008, 1042 (1042); Hornung, CR 2008, 299 (301); Hoffmann-Riem, in Klumpp u. a., Netzwelt – Wege, Werte, Wandel, 165 (172). 1230 Hoffmann-Riem, in: Klumpp u. a., Netzwelt – Wege, Werte, Wandel, 165 (176). 1231 BVerfGE 120, 274 (306 ff.). Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 170 nicht die gespeicherten Inhalte und Umstände der Telekommunikation erfasst, die nach Abschluss eines Telekommunikationsvorgangs im Herrschaftsbereich eines Kommunikationsteilnehmers gespeichert werden, wenn der Teilnehmer eigene Sicherungsvorkehrungen vornehmen kann1232. Auch hier lässt sich aus den Ausführungen herauslesen, dass das BVerfG ein erhebliches Schutzbedürfnis des Nutzers nicht nur gegenüber dem Staat, sondern auch gegenüber privaten Dritten sieht. Insofern lässt sich argumentieren, dass die Schutzlücke sowohl auf der abwehrrechtlichen Seite als auch auf der objektiv-rechtlichen und damit schutzpflichtbezogenen Seite geschlossen werden müssen1233. Stellungnahme Angesichts der massiven Gefährdungspotenziale für Kommunikationsinfrastrukturen ist sowohl eine subjektiv-rechtliche Schutzrichtung des IT-Grundrechts sowie eine objektiv-rechtliche anzunehmen. Bei konsequenter Fortführung dieses Gedankens ist es im Sinne eines umfänglichen Kommunikationsschutzes notwendig, die Schutzlücke sowohl auf der abwehrrechtlichen als auch auf der schutzpflichtbezogenen Seite zu schließen. Die Entscheidung des BVerfG zeigt, welche Wichtigkeit das BVerfG einem lückenlosen Grundrechtsschutz in einer sich wandelnden Informationsgesellschaft beimisst1234. Eingriff in das IT-Grundrecht Nach der Rechtsprechung des BVerfG sind Eingriffe in das IT-Grundrecht sowohl zu präventiven Zwecken als auch zu solchen der Strafverfolgung möglich, solange sie auf einer verfassungsmäßigen Grundlage beruhen1235. Für die Frage, wann genau ein Eingriff vorliegt, gibt das BVerfG jedoch keine weiteren Maßstäbe an die Hand1236. Der Kontur des Schutzbereichs folgend, kann zwischen Eingriffen in die Vertraulichkeit und solchen in die Integrität unterschieden werden. Integritätsbeeinträchtigungen können sowohl durch ein Gesetz als auch durch Einzelakte erfolgen1237. Der Integritätsschutz kompensiert nach der Rechtsprechung des BVerfG „informationellen Selbstschutz“, weil technische Selbstschutzmöglichkeiten für informationstechnische Systeme entweder fehlen oder unzureichend sind1238. Auch bei der Vertraulichkeit eif) 3. 1232 BVerfG, NJW 2008, 822 (825) Rn. 185. 1233 Heckmann, in: Käfer-FS, 129 (137). 1234 So auch Stollhoff, Datenschutzgerechtes E-Government, S. 99. 1235 BVerfGE 120, 274 (315). 1236 Drallé, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, S. 70. 1237 Drallé, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, S. 78 ff. 1238 Drallé, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, S. 82 mit Verweis auf BVerfG, NJW 2008, 822, 830 Rn. 236, und Böckenförde T., JZ 2008, 925 (938) mit Fn. 127 (Hervorhebung im Original). C. Verfassungsrechtliche Vorgaben 171 nes informationstechnischen Systems kann bereits ein Gesetz, welches zu Eingriffen in die Vertraulichkeit ermächtigt, als auch ein Einzelakt einen Eingriff darstellen1239. Rechtfertigungsanforderungen für den Eingriff in das IT-Grundrecht Schranken Wie bei allen übrigen Grundrechten auch ist das IT-Grundrecht nicht schrankenlos gewährleistet1240, sondern Eingriffe sind bei Erfüllen der Rechtfertigungsanforderungen möglich. Das BVerfG behandelt das IT-Grundrecht nach den für das Allgemeine Persönlichkeitsrecht entwickelten Regeln, wonach der Vorbehalt der verfassungsmä- ßigen Ordnung1241 durchgreift1242. Das bedeutet, dass eine Gefahr für ein überragend wichtiges Rechtsgut bestehen muss1243. Schranken-Schranken Einschränkungen können demnach durch jedes verfassungsmäßige Gesetz erfolgen, welches allerdings die allgemeinen Anforderungen an grundrechtsbeschränkende Gesetze erfüllen muss1244. Insbesondere kommen hier wieder die allgemeinen Grundsätze wie das Gebot der Normenklarheit und der Verhältnismäßigkeitsgrundsatz ins Spiel. Als weitere Schranken-Schranken sind hier verfahrensrechtliche Vorgaben im einschränkenden Gesetz wie z. B. ein Richtervorbehalt zu nennen, die den grundrechtlich geschützten Interessen des Nutzers Rechnung tragen1245. Darüber hinaus fordert das BVerfG, dass ein einschränkendes Gesetz einem zweistufigen Schutzkonzept folgen muss, welches in einem ersten Schritt versucht, die Datenerhebung so weit wie möglich zu unterlassen1246. Soweit dies nicht möglich ist, müsse durch Verfahrensvorschriften sichergestellt sein, dass bei Erhebung von Daten mit Kernbereichsrelevanz die Intensität der Kernbereichsverletzung und ihre Auswirkungen für die Persönlichkeit und Entfaltung des Betroffenen so gering wie möglich bleiben1247. Es muss ein Verfahren zur Durchsicht der Daten gesetzlich vorgeschrieben werden, welches eine unverzügliche Löschung der in den Bereich der privaten Lebensgestaltung fallenden Inhalte garantiert und eine Weitergabe oder Verwendung der Daten ausschließt1248. 4. a) b) 1239 Das BVerfG hatte über Vorschriften des VerfSchG NRW zu entscheiden. 1240 Wegener/Muth, JURA 2010, 847 (851); Holznagel/Schumacher, MMR 2009, 3 (7). 1241 BVerfGE 6, 32 (38 ff.) = NJW 1957, 297.: Seit dem Elfes-Urteil wird dieser als allgemeiner Rechtsordnungs- bzw. Gesetzesvorbehalt verstanden. 1242 Sachs/Krings, JuS 2008, 481 (484 f.). 1243 Sofiotis, VR 2008, 333 (335). 1244 Sachs/Krings, JuS 2008, 481 (484 f.). 1245 Wegener/Muth, JURA 2010, 847 (851 f.). 1246 BVerfG, 1 BvR 370/07, Rn. 280. 1247 BVerfG, 1 BvR 379/07, Rn. 282. 1248 Wegener/Muth, JURA 2010, 847 (852). Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 172 Zwischenergebnis Das IT-Grundrecht stellt eine weitere Leitplanke des Schutzes der informationellen Selbstbestimmung dar, die es zu berücksichtigen gilt. Diese grundrechtliche Gewährleistung hat eine subjektiv-abwehrrechtliche Dimension, die bereits durch den Entstehungskontext dieses Grundrechts in der vom BVerfG zu entscheidenden Fallkonstellation deutlich wird. Der Grundrechtsschutz wird durch das IT-Grundrecht vorverlagert. Die eigengenutzten informationstechnischen Systeme bedürfen aber auch im Wege der objektiv-rechtlichen Dimension dieses Grundrechtes des staatlichen Schutzes. Der Staat ist also Verantwortungssubjekt für die informationstechnischen Systeme des Nutzers. Nicht zuletzt lässt sich die eigengenutzte individuelle Infrastruktur des privaten IT-Nutzers auch unter den Begriff des informationstechnischen Systems fassen, sodass auch dem privaten Nutzer hier eine Verantwortungssphäre zukommt, die weiter zu untersuchen ist. Das BVerfG stellt insbesondere auch die massive Bedeutung und Verletzlichkeit eigengenutzer informationstechnischer Systeme heraus und lässt zwischen den Zeilen erkennen, dass es Schutzbedarfe für diese gibt. Insbesondere der Begriff der Vertraulichkeit weist darauf hin, dass Vertrauen als Mechanismus zur Reduzierung von Komplexität im Rahmen digitaler Kommunikation besonders wichtig ist. Die Tatsache, dass das BVerfG den Selbstschutz des Nutzers in die Erwägungen mit einbezieht, verdeutlicht, dass es den privaten Nutzer nicht verantwortungslos gestellt sehen will, sondern diesem eine eigene Verantwortungssphäre im Kontext der elektronischen Kommunikation zukommen lässt. Erst wenn der private Nutzer diese Eigenverantwortung nicht mehr wahrnehmen kann, dann ist der Staat als Akteur gefordert. Der Eingriff in den Schutzbereich des IT-Grundrechts solle nach dem BVerfG ein größeres Gewicht haben, da die gewonnenen Daten ein umfangreiches Persönlichkeitsbild zeichnen würden1249. Dieser Ansicht ist im Ergebnis zu folgen1250. Auch dürften die Server der privaten Diensteanbieter im transaktionsbezogenen E-Government als informationstechnische Systeme i. S. d. IT-Grundrechts anzusehen sein und dem entsprechenden Schutz unterfallen1251. Das bedeutet, dass grundsätzlich auch dieser Akteursgruppe hier grundsätzlich eine Verantwortung zukommt. Das Fernmeldegeheimnis Art. 10 GG Das Fernmeldegeheimnis aus Art. 10 Abs. 1 GG stellt einen weiteren Baustein grundrechtlichen Kommunikationsschutzes im Bereich des transaktionsbezogenen E-Go- 5. IV. 1249 BVerfGE 120, 274 8312); Hoffmann, Die Gewährleistung der Vertraulichkeit und Integrität elektronischer Daten- und Dokumentensafes, S. 70. 1250 Kritisch zu diesem Begründungsansatz: Britz, DÖV 2008, 411 (413); Eifert, NVwZ 2008, 521 (521 f.); Volkmann, DVBl. 2008, 590 (591). 1251 Vgl. dazu: Stögmüller, CR 2008, 435 (435 ff.). C. Verfassungsrechtliche Vorgaben 173 vernments dar1252. Im Folgenden soll hier dargestellt werden, in welcher Phase eines Kommunikationsvorganges dieses Grundrecht in welcher Schutzrichtung Geltung beansprucht. Schutzbereich Art. 10 Abs. 1 GG gewährleistet das Brief-, Post- und Fernmeldegeheimnis, welches die Vertraulichkeit der individuellen Kommunikation schützen soll1253. Im Hinblick auf transaktionsbezogenes E-Government ist das Fernmeldegeheimnis also von besonderem Interesse. Unkörperliche Übermittlung von Informationen Das Fernmeldegeheimnis schützt die unkörperliche Übermittlung von Informationen über Fernmeldeanlagen an individuelle Empfänger1254. Erfasst sind hiermit alle Kommunikationsdienste des Internets1255 und damit auch die Kommunikationsformen im transaktionsbezogenen E-Government. Der Schutzbereich umfasst vor allem den Kommunikationsinhalt, da grundsätzlich kein Dritter die Möglichkeit haben soll, sich vom Inhalt der Kommunikation Kenntnis zu verschaffen1256. Das Grundrecht ist grundsätzlich entwicklungsoffen, sodass nicht nur die Kommunikation mittels traditioneller Medien, sondern jede Kommunikation mittels verfügbarer Telekommunikationstechniken erfasst ist1257. Zu Recht wird in diesem Zusammenhang eingeräumt, dass die Entwicklungsoffenheit zur „juristischen Nacheile“ führt1258. Insbesondere kommt dies dann bei der einfachgesetzlichen Ausgestaltung zum Tragen. Als Kommunikationstechniken fallen sowohl Telefonate über das Festnetz und Mobiltelefone sowie SMS, MMS und E-Mails unter das Fernmeldegeheimnis1259. Damit ist eine gro- ße Bandbreite von Kommunikationsmöglichkeiten aus dem täglichen Leben geschützt. Neben dem Kommunikationsinhalt sind auch die jeweiligen Kommunikationsumstände geschützt, d. h. auch der Bereich der Verkehrs- und Verbindungsdaten1260. Diese Daten fallen notwendigerweise an, wenn ein Nutzer im Internet surft 1. a) 1252 In moderner Diktion wird anstelle des Begriffes Fernmeldegeheimnis auch der des Telekommunikationsgeheimnisses verwendet: Vgl. Kutscha, LKV 2008, 481(485); Bizer, in: Schulzki-Haddouti (Hrsg.), Bürgerrechte im Netz, 21 (26); Hömig, in: Ders. (Hrsg.), Art. 10 GG Rn. 5; 1253 Hermes, in: Dreier (Hrsg.), Art. 10 GG, Rn. 13. 1254 Ipsen, Grundrechte, 13. Aufl. 2010, Rn. 306; Jarass, in: ders./Pieroth (Hrsg.), GG, 11. Aufl. 2011, Art. 10 Rn. 5; Pagenkopf, in: Sachs (Hrsg.), GG, 5. Aufl. 2009, Art. 10, Rn. 15; Pieroth/Schlink, Grundrechte, 26. Aufl. 2010, Rn. 837. 1255 BVerfGE 120, 274 (306 ff.) 1256 Pagenkopf, in: Sachs (Hrsg.), GG, 5. Aufl. 2009, Art. 10, Rn. 14. 1257 BVerfGE 46, 120 (144); 115, 166 (182); Jarass, in: Ders./Pieroth, Art. 10 Rn. 5. 1258 Pagenkopf, in: Sachs (Hrsg.), GG, 5. Aufl. 2009, Art. 10 Rn. 15. 1259 BVerfGE 113, 348 (383); 120 274 (307); Pieroth/Schlink, Grundrechte, 26. Aufl. 2010, Rn. 837; Gurlit, NJW 2010, 1035 (1036); Schenke, in: Stern/Becker, Art. 10 GG Rn. 40; Skrobotz, in: Manssen, § 15 De-Mail-Gesetz Rn. 3. 1260 Schenke, in Stern/Becker, Art. 10 GG Rn. 42; Pagenkopf, in: Sachs, Art. 10 GG Rn. 9; Gusy, in: v. Mangoldt/Klein/Starck (Hrsg.), GG, Bd. 1, Art. 10, Rn. 24. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 174 oder E-Mail-Dienste in Anspruch nimmt, und werden vom BVerfG ausdrücklich dem Schutzbereich zugerechnet1261. Hierdurch sind Rückschlüsse darauf, ob, wann und wie oft zwischen welchen Personen oder Anschlüssen Kommunikation stattgefunden hat oder versucht worden ist, möglich1262. Einbezogen in den Schutzbereich ist der zugangsgesicherte Kommunikationsinhalt in einem E-Mail-Postfach, auf das der Nutzer nur über eine Internetverbindung zugreifen kann1263. Kommunikationsteilnehmer sollen deshalb bezüglich aller Datenkategorien auf die Vertraulichkeit der Kommunikation vertrauen können1264. Art. 10 GG schützt damit eine formalisierte Vertraulichkeitssphäre für den Nutzer digitaler Kommunikation1265. Schutzgewährleistung nur während des Übermittlungsvorganges Der Schutz wird nur während des Übertragungsvorgangs gewährleistet1266. Dieser erstreckt sich nicht auf die außerhalb eines laufenden Kommunikationsvorgangs im Herrschaftsbereich des Kommunikationsteilnehmers gespeicherten Inhalte und Umstände der Kommunikation1267. Bei der E-Mail-Kommunikation bedeutet das, dass der Schutz des Fernmeldegeheimnisses in dem Moment endet, in dem die E-Mail beim Empfänger angekommen und der Übertragungsvorgang beendet ist1268. Damit ist der Grundrechtsschutz nur auf eine eingegrenzte Phase eines möglicherweise längeren tatsächlichen Gesamtgeschehens begrenzt mit der Folge, dass sich die Frage stellt, welche grundrechtlichen Schutzgewährleistungen in den weiteren Phasen eines Kommunikationsvorgangs einschlägig sind. Das Fernmeldegeheimnis schützt auch die Möglichkeit der Kommunikation ohne Mitteilung der eigenen Identität, gewährt diesen Schutz aber ausschließlich gegen- über den Kommunikationspartnern und nicht gegenüber den Anbietern von Anonymisierungsdiensten1269. Gute Argumente sprechen dafür, z. B. die Zusendung von E- Mails, die Schadprogramme ausliefern, mit vorgetäuschter Weiterleitung aus dem Schutzbereich des Art. 10 GG herauszunehmen1270. b) 1261 BVerfGE 100, 313 (358); 115, 166 (183). 1262 Frenz, DVBl 2009, 333 (338). 1263 BVerfGE 124, 43 (54); 120, 274 (341); relevant wird dies beim strafprozessualen Zugriff auf ein E- Mail-System, vgl. Fundstelle bei Hofmann, in: Schmidt-Bleibtreu/Hofmann/Hopfauf, Art. 10 GG, Rn. 9; kritisch zum Zugriff auf zwischengespeicherte E-Mails: Bär, MMR 2000, 175 (176). 1264 Berlit, JurPC Web-Dok. 30/2011, Abs. 3; BVerfG, NJW 2006, 3197. 1265 Gusy, DuD 2009, 33 (39). 1266 Sofiotis, VR 2008, 331 (333); Gerhards, (Grund-)Recht auf Verschlüsselung?, S. 193; kritisch hierzu Kutscha, LKV 2008, 481 (485). 1267 BVerfGE 124, 43 (54). 1268 BVerfGE 124, 43 (54); 120, 274 (307 f.); 115, 166 (183 ff.); Sofiotis, VR 2008, 331 (333). 1269 Hofmann, in: Schmidt-Bleibtreu/Hofmann/Hopfauf, Art. 10 GG, Rn. 9; zu Möglichkeiten und Grenzen der Anonymisierung vgl. unten unter: Teil 5, C. 1270 Vgl. hierzu näher: Soinè, MMR 2015, 22 (24). C. Verfassungsrechtliche Vorgaben 175 Subjektiv-rechtliche Schutzrichtung Das Fernmeldegeheimnis schützt den Nutzer unstreitig vor staatlichen Eingriffen in die unkörperliche Übermittlung von Informationen1271. Das Fernmeldegeheimnis aus Art. 10 GG ist ein klassisches Abwehrrecht, welches gegen die Kenntnisnahme des Inhalts und der näheren Kommunikationsumstände durch den Staat schützt1272. Dieser Schutzrichtung dienen auch verfahrens- und organisationsrechtliche Sicherungen, die das BVerfG zum Teil richterrechtlich als Schranken-Schranken entwickelt hat1273. Von großer Relevanz ist diese Schutzrichtung des Art. 10 GG im Kontext der Vorratsdatenspeicherung1274. Objektiv-rechtliche Schutzrichtung Art. 10 GG enthält aber auch darüber hinausgehende objektiv-rechtliche Gehalte1275. Im Wege der Schutzpflichtdimension ist der Staat verpflichtet, private Dritte daran zu hindern, in die Vertraulichkeit der Kommunikation von privaten Nutzern einzudringen1276. Daraus ergibt sich die Verpflichtung für jeden, der eine für den öffentlichen Verkehr bestimmte Fernmeldeanlage betreibt, die Vertraulichkeit der über diese Fernmeldeanlage abgewickelten Kommunikation zu gewährleisten1277. Eine genauere Ausgestaltung im Sinne eines staatlichen Schutzkonzeptes für die elektronische Kommunikation1278 hat diese objektiv-rechtliche Dimension im Telekommunikationsgesetz und im Telemediengesetz gefunden und dürfte zukünftig von der E-Privacy-Verordnung überlagert werden1279. Es findet hier eine Orientierung am Schutzgut Kommunikationsgeheimnis statt, sodass das Fernmeldegeheimnis nicht mehr organisationsbezogen, sondern dienstleistungsbezogen definiert wird1280. Den grundrechtlichen Anforderungen entsprechend, sind der Inhalt der Kommunikation und ihre näheren Umstände durch den Anbieter umfassend zu schützen, sodass auch erfolglose Verbindungsversuche erfasst sind1281. Art. 10 GG gewährt indes keinen Anspruch des Einzelnen gegen den Staat, fernmeldetechnische Kommunikationswege zur Verfügung zu stellen, sondern eine Gewährleistung für eine ausreichende Infrastruktur in diesem Bereich ergibt sich ausschließlich aus Art. 87 f Abs. 1 GG1282. c) d) 1271 Schoch, JURA 2011, 194 (197). 1272 BVerfGE 106, 28 (37); Schenke, in: Stern/Becker, Art. 10 GG Rn. 53. 1273 Schenke, in: Stern/Becker, Art. 10 GG, Rn. 53. 1274 Szuba, Vorratsdatenspeicherung, S. 167 ff. 1275 Schoch, JURA 2011, 194 (196). 1276 BVerfGE 106, 28 (37); BVerfG NJW 2007, 3055; Zippelius/Würtenberger, Deutsches Staatsrecht, § 28 Rn. 9; Berlit, JurPC Web-Dok. 39/2011, Abs. 3. 1277 Hermes, in: Dreier, Art. 10 GG Rn. 71. 1278 Gerhards, (Grund-)Recht auf Verschlüsselung?, S. 332 ff. 1279 Vgl. dazu bereits oben. 1280 Skouris, EuR 1998, 111 (129); Pieroth/Schlink, Grundrechte, Rn. 771; Groß, JZ 1999, 326 (332). 1281 Löwer, in: v. Münch/Kunig (Hrsg.), GG Bd. I, Art. 10 Rn. 22; Groß, in: Roßnagel (Hrsg.), HBDSR, Kap. 7.8 Rn. 19. 1282 Hermes, in: Dreier, Art. 10 GG Rn. 71. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 176 Eingriff in das Fernmeldegeheimnis Eingriffe in das Fernmeldegeheimnis liegen dann vor, wenn sowohl Inhalte der Kommunikation als auch deren Umstände und hierzu notwendige Daten wie Übermittlungsdaten erfasst werden1283. Dies gilt sowohl beim Tätigwerden staatlicher Stellen als auch bei Anordnungen gegenüber Telekommunikationsunternehmen, bestimmte Inhalte an staatliche Stellen zu übermitteln1284. Die Beeinträchtigung muss am Übermittlungsvorgang ansetzen1285. Grundsätzlich ist es den Kommunikationspartnern möglich, auf die Vertraulichkeit im Einzelfall freiwillig zu verzichten, sodass kein Eingriff vorliegt1286. Rechtfertigungsanforderungen für den Eingriff Schranken Ein Eingriff ist nach Art. 10 Abs. 2 S. 1 GG nur aufgrund eines Gesetzes zulässig. Zu denken ist in diesem Bereich sowohl an strafprozessuale sowie präventive Eingriffsnormen zur Telekommunikationsüberwachung. Besondere Prominenz haben hier die Vorschriften zur Vorratsdatenspeicherung erlangt, und dies wird wohl in Zukunft wieder der Fall sein1287. Im Hinblick auf die speziellen Gewährleistungsgehalte des Art. 10 GG bedürfen die Einschränkungen der Konkretisierung, wobei in Rechnung zu stellen ist, dass sich der Schutz auf das Selbstbestimmungsrecht über Informationen erstreckt und deshalb die Grundsätze heranzuziehen sind, die auch für das Grundrecht auf informationelle Selbstbestimmung gelten1288. Schranken-Schranken Auch auf der Ebene der Schranken-Schranken greifen die allgemeinen Grundsätze. Herausragende Bedeutung für den Gesetzgeber, die Exekutive und die Rechtsprechung hat der Verhältnismäßigkeitsgrundsatz1289. Daneben bestehen spezielle Verfahrenspflichten wie die Kennzeichnung der gewonnenen Daten, damit nach ihrer Erfassung und Verarbeitung auch erkennbar bleibt, dass sie aus Eingriffen in Art. 10 GG stammen1290. Zu nennen sind hier insbesondere auch Richtervorbehalte bei Eingriffsmaßnahmen sowie weitere organisatorische Vorkehrungen. 2. 3. a) b) 1283 BVerfGE 110, 33 (52 f.); Löwer, in: v. Münch/Kunig (Hrsg.), GG Bd. I, Art. 10 Rn. 7. 1284 BVerfGE 107, 299 (313). 1285 Jarass/Pieroth, Art 10 Rn. 12. 1286 BVerfGE 85, 386 (398 f.); BVerwG, NJW 1982, 840; Löwer, in: v. Münch/Kunig, GG Bd. I, Art. 10, Rn. 7. 1287 Vgl. hierzu bereits oben unter: Teil 3, A. VIII. 1288 Hermes, in: Dreier, Art. 10 GG Rn. 55. 1289 BVerfGE 65, 1 (44); 67, 157 (173 ff.). 1290 BVerfGE 100, 313 (360 f.); Jarass/Pieroth, Art. 10 GG Rn. 19. C. Verfassungsrechtliche Vorgaben 177 Zwischenergebnis Das Fernmeldegeheimnis ist die grundrechtliche Gewährleistung, die während des Übermittlungsvorgangs einschlägig ist. Sie ist im Gegensatz zu den vorgenannten im geschriebenen Verfassungsrecht vorhanden. Sie hat eine subjektiv-rechtliche und eine objektiv-rechtliche Schutzrichtung und definiert insbesondere eine Verantwortungssphäre für private Diensteanbieter, die einem privaten Nutzer Telekommunikationsdienste zur Verfügung stellen. Diese unterfallen dem Regime des TKG und müssen gemäß diesem die Kommunikationsinhalte der privaten Nutzer schützen. Damit lässt sich hieran insbesondere ablesen, welchen Verantwortungsbeitrag der Gesetzgeber bei den Betreibern von Kommunikationsdiensten sieht. Der einfachgesetzliche Rahmen des TKG trifft Regelungen, die über den reinen Übermittlungsvorgang hinausgehen. Somit sind hier auch die Schutzbereiche der beiden anderen genannten kommunikationsbezogenen Grundrechte mit eingeflossen. Grundrechtskonkurrenzen Aus den vorstehenden Ausführungen bleibt festzuhalten, dass die genannten Grundrechte „im Verbund“ zu sehen sind und keines für sich allein einen umfassenden Kommunikationsschutz für transaktionsbezogenes E-Government gewährleistet. Die komplexe Struktur elektronischer Kommunikation macht Abgrenzungen erforderlich1291. Daher ist hier zusammenfassend auf das jeweilige Verhältnis der genannten Grundrechte untereinander einzugehen. Abgrenzung nach Phasen der Kommunikation und Transaktion Die Schutzbereiche der genannten Grundrechte entfalten ihre Wirkung in unterschiedlichen Phasen der Kommunikationsvorgänge und Transaktionen im E-Government. Bei der Betrachtung ist daher diesen unterschiedlichen Phasen, die aber in tatsächlicher Hinsicht einen Gesamtvorgang darstellen können, Rechnung zu tragen. Als erste Phase vor einem Kommunikationsvorgang kommt hier die Erstellung von Dokumenten an die Verwaltung durch den Bürger in Betracht, die mittels der individuellen Infrastruktur des Nutzers, mithin also auf seinem eigenen PC außerhalb eines laufenden Kommunikationsvorgangs, stattfindet. In dieser Phase schützt das IT- Grundrecht die informationstechnischen Systeme des Nutzers1292 vor Eingriffen staatlicher Institutionen sowie privater Dritter durch Zugriff auf das System als solches oder mittels einer Durchsuchung der Speichermedien in diesem System. Das Grundrecht schützt hier die Vertraulichkeits- und Integritätserwartung des Nutzers an seinen PC, auf dem eine große Menge personenbezogener Daten gespeichert sind, die er ggf. auch für eine E-Government-Transaktion benötigt. In einer nächsten Pha- 4. V. 1. 1291 Gurlit, NJW 2010, 1035 (1036). 1292 Bäcker, in: Rensen/Brink (Hrsg.), Linien der Rechtsprechung des Bundesverfassungsgerichts, 99 (130). Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 178 se findet eine Transaktion im Bereich des E-Governments statt. In dieser Phase greift der Schutz des Fernmeldegeheimnisses aus Art. 10 GG für den Inhalt der Kommunikation und deren Umstände. Das bedeutet, dass sich der Schutz auch auf den Informations- und Datenverarbeitungsprozess bezieht, der sich an eine zulässige Kenntnisnahme anschließt, und auf den Gebrauch, der von erlangten Kenntnissen gemacht wird1293. Wenn bei einem Eingriff in dieser Phase die Erlangung personenbezogener Daten erfolgt, sind die Maßgaben des Volkszählungsurteils in Bezug auf die Schranken-Schranken zu berücksichtigen1294. Eine weitere Phase ist der Zeitpunkt nach dem Abschluss eines Kommunikationsvorgangs, also einer Transaktion. In dieser Situation modifiziert die Rechtsprechung des BVerfG die grundsätzliche Annahme, dass Art. 10 GG, bezogen auf den Fernmeldeverkehr, die speziellere grundrechtliche Garantie gegenüber dem Grundrecht auf informationelle Selbstbestimmung sei1295. Den Schutz für die nach Abschluss des Übertragungsvorgangs im Herrschaftsbereich des Kommunikationsteilnehmers gespeicherten Kommunikationsverbindungsdaten gewährleiste das Grundrecht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG1296. Eine weitere Ausdifferenzierung ergibt sich beim Schutz von E-Mails, die bei einem Provider gespeichert sind. Nach dem BVerfG bleibt Art. 10 GG anwendbar, wenn der Zugriff auf Daten einer abgeschlossenen Kommunikation wie z. B. Inhalten von E-Mails nicht im alleinigen Herrschaftsbereich des Empfängers, sondern bei einem zur Übermittlung eingeschalteten Dritten, also einem Provider, erfolgt1297. Maßgebliches Kriterium für den grundrechtlichen Schutz ist der Herrschaftsbereich während der Transaktion, der vom Nutzer nicht beeinflusst werden kann. Auch hier wird sichtbar, dass das BVerfG nach Verantwortungssphären differenziert. In einer weiteren Phase, nachdem die Daten „in der Verwaltung angekommen“ sind, werden bei der Weiterverarbeitung die personenbezogenen Daten durch das Grundrecht auf informationelle Selbstbestimmung geschützt. Verhältnis des Grundrechts auf informationelle Selbstbestimmung und des Fernmeldegeheimnisses aus Art. 10 GG Das BVerfG sieht den Zweck des Schutzes aus Art. 10 GG primär darin, vor den Risiken, die sich aus dem technischen Übermittlungsvorgang ergeben, zu schützen, da dieser im Gegensatz zu einem Gespräch unter Anwesenden nicht beherrscht werden 2. 1293 BVerfGE 100, 313 ff.; Sofiotis, VR 2008, 333 (333). 1294 Sofiotis, VR 2008, 333 (333). 1295 Sofiotis, VR 2008, 333 (333). 1296 BVerfGE, Beschluss vom 27.2.2008 – 1 BvR 370/07; BVerfGE 115, 166 (183 f.). 1297 BVerfG, NJW 2009, 2431 Rn. 42 ff; Klein, NJW 2009, 2996 (2996); kritisch zu dieser Entscheidung: Krüger, MMR 2009, 680 (681); Durner, JA 2010, 238 (240); zu der ähnlich gelagerten Frage des Schutzes beim Zugriff auf einen Dokumentensafe: Hoffmann, Die Gewährleistung der Vertraulichkeit und Integrität elektronischer Daten-und Dokumentensafes, S. 140 ff. C. Verfassungsrechtliche Vorgaben 179 kann1298. Damit wird hier an die jeweilige Herrschaftssphäre angeknüpft1299. Art. 10 GG enthält nach der Rechtsprechung des BVerfG eine spezielle Garantie im Zusammenhang mit dem Fernmeldeverkehr und damit auch mit der elektronischen Kommunikation, die das Grundrecht auf informationelle Selbstbestimmung verdrängt1300. In der Phase nach der Beendigung eines Übermittlungsvorgangs kommt es dann darauf an, wie die Zugriffsmöglichkeiten auf die übermittelten Inhalte sind. Wenn diese einen Übertragungsvorgang über das Internet erfordern, bleibt Art. 10 GG einschlägig. Für die Situation eines Übertragungsvorgangs stellt Art. 10 GG gegenüber dem Grundrecht auf informationelle Selbstbestimmung das speziellere Grundrecht dar1301. Das Grundrecht auf informationelle Selbstbestimmung ist v. a. in der Phase einschlägig, in der die personenbezogenen Inhaltsdaten „in der Verwaltung angekommen“ sind und für dortige Geschäftsprozesse1302 verwendet werden. Verhältnis des Grundrechts auf informationelle Selbstbestimmung, des IT-Grundrechts und des Fernmeldegeheimnisses Systembezogenheit als Abgrenzungskriterium In der Literatur ist die Schaffung des IT-Grundrechts kritisiert worden mit dem Hinweis, dass auch eine Präzisierung des Schutzbereichs des Rechts auf informationelle Selbstbestimmung möglich gewesen wäre1303. Beide Grundrechte sind als Teilausprägungen des allgemeinen Persönlichkeitsrechts zu qualifizieren. Bei der Betrachtung des Konkurrenzverhältnisses des IT-Grundrechts und des Grundrechts auf informationelle Selbstbestimmung ist festzustellen, dass beide auf unterschiedliche Bereiche zielen. Anknüpfungspunkt für den Grundrechtsschutz ist beim IT-Grundrecht das gesamte eigengenutzte informationstechnische System und nicht nur das einzelne gespeicherte Datum1304. Das BVerfG hat hier erkannt, dass informationstechnische Systeme heute eine große Menge und Vielfalt personenbezogener Daten enthalten und dass deren Infiltration eine massiv gesteigerte Persönlichkeitsgefährdung mit sich bringt1305. Der Schutz wird auf die einem potenziellen Kommunikationsvorgang vor- 3. a) 1298 BVerfGE 85, 386 (396) = NJW 1992, 1875; BVerfGE 106, 28 (36) = NJW 2002, 3619; BVerfGE 107, 299 (313) = NJW 2003, 1787; BVerfGE 115, 166 (184) = NJW 2006, 976; Hoffmann, Die der Vertraulichkeit und Integrität elektronischer Daten-und Dokumentensafes, S. 140 ff.; Gurlit, NJW 2010, 1035 (1036). 1299 Kritisch hierzu Frenz, NVwZ 2007, 631 (632); Kutscha, LKV 2008, 481 (485); Gurlit, NJW 2010, 1035 (1037). 1300 BVerfG NJW 2010, 833 Rn. 191; BVerfGE 113, 348 (364) = NJW 2005, 2603; BVerfGE 107, 299 (312); = NJW 2003, 1787; BVerfGE 100, 313 (358); BVerfGE 67, 157 (171) = NJW 1985, 121; Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht, S. 234. 1301 Dürig, in: Maunz/Dürig (Hrsg.), GG-Kommentar, Art. 10 Rn. 29. 1302 Zu Geschäftsprozessen vgl. oben: Teil 2., B. I. 4. 1303 Statt vieler: Britz, DÖV 2008, 411 (411 ff.). 1304 Papier, in: Schmidt/Weichert, Datenschutz 2012, 67 (73); Bäcker, in: Uerpmann/Wittzack (Hrsg.), Das neue Computergrundrecht, S. 1 (9); Roßnagel/Skistims, ZD 2012, 3 (5); Hoffmann, CR 2010, 514 (517); kritisch zu dieser Differenzierung des BVerfG: Britz, DÖV 2008, 411 (413). 1305 Insoweit ist es aufgrund der Systembezogenheit schwierig, den Weg über die Anpassung des Schutzbereichs des Rechts auf Informationelle Selbstbestimmung zu wählen; so auch Hoffmann- Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 180 geschaltete Situation der Nutzung eines informationstechnischen Systems erstreckt. Damit schafft das BVerfG vorverlagerten Grundrechtsschutz und damit auch Grundrechtsvoraussetzungsschutz. Geschützt wird damit gerade auch eine subjektive Erwartungshaltung des Nutzers1306, die auch Grundvoraussetzung für weitere Kommunikationsprozesse ist. Diese systembezogene Abgrenzung hat nicht nur in Bezug auf den subjektiv-abwehrrechtlichen Gehalt Auswirkungen, sondern auch auf die objektiv-rechtlichen Gehalten beider Grundrechte. Dem IT-Grundrecht geht es vor allem um Eingriffe in die Vertraulichkeit des Systems und nicht nur um die personenbezogenen Daten als solche, die durch das Grundrecht auf informationelle Selbstbestimmung geschützt sind1307. Auch unterscheiden sich die Schutzbereiche des IT-Grundrechtes und des Grundrechtes auf informationelle Selbstbestimmung dadurch, dass ein Eingriff in das IT-Grundrecht dann vorliegt, wenn der Zugriff durch eine technische Manipulation eines Gerätes, also durch Infiltration mittels einer Spähsoftware, stattfindet, und ein Eingriff in das Grundrecht auf informationelle Selbstbestimmung dann vorliegt, wenn ein Angreifer weitere Datenerhebungsmaßnahmen wie das Befragen des Betroffenen oder die unbefugte Ansammlung von Daten vornehmen muss1308. Das IT-Grundrecht nimmt an der Auffangfunktion des Art. 2 Abs. 1 GG teil und greift damit erst dann ein, wenn das Grundrecht auf informationelle Selbstbestimmung und Art. 10 GG nicht eingreifen1309. Man könnte also sagen, dass das Grundrecht auf informationelle Selbstbestimmung seinen Schutz im Rahmen von Datenverarbeitungsprozessen entfaltet, während das IT-Grundrecht seinen Schutz bei den Vertraulichkeitserwartungen des Nutzers an ein System entfaltet. Weitere Schutzbereichsausprägung des allgemeinen Persönlichkeitsrechts Das IT-Grundrecht stellt eine weitere Schutzbereichsausprägung des allgemeinen Persönlichkeitsrechts neben dem Recht auf informationelle Selbstbestimmung dar1310. Entgegen dem Wortlaut handelt es sich also um kein eigenständiges Grundrecht1311. Dies hat insoweit auch Konsequenzen für das Verhältnis zu den anderen kommunikationsbezogenen Grundrechten. Subsidiarität des IT-Grundrechts Grundsätzlich tritt das IT-Grundrecht als Ausprägung des allgemeinen Persönlichkeitsrechts hinter das spezielle Persönlichkeitsrecht aus Art. 10 GG zurück, wenn es b) c) Riem, in: Klumpp u. a. (Hrsg.), Netzwelt – Wege, Werte, Wandel, 165 (177); Bäcker, in: Rensen/ Brink (Hrsg.), Linien der Rechtsprechung des Bundesverfassungsgerichts, 99 (120). 1306 Luch, MMR 2011, 75 (75). 1307 Luch, MMR 2011, 75 (76 und 78). 1308 Hoffmann-Riem, JZ 2008, 1009 (1019). 1309 Luch, MMR 2011, 75 (76). 1310 Hoffmann, CR 2008, 514 (516); Luch, in: Schliesky (Hrsg.), Technikgestütztes Identitätsmanagement, 137 (146). 1311 Luch, MMR 2011, 75 (76). C. Verfassungsrechtliche Vorgaben 181 eine Überschneidung im Schutzbereich gibt1312. Nach dem BVerfG kommt das IT- Grundrecht nur zur Anwendung, soweit der Schutz nicht durch andere Grundrechte gewährleistet ist1313. In der Literatur wird hieraus überwiegend die Subsidiariät des IT-Grundrechts sowohl gegenüber anderen Grundrechten als auch gegenüber dem Grundrecht auf informationelle Selbstbestimmung gefolgert1314. Teilweise wird aber diesbezüglich nicht von Subsidiarität gesprochen, sondern vertreten, dass das IT- Grundrecht, soweit sein formaler Anknüpfungspunkt reicht, andere Ausprägungen des Grundrechtes auf Schutz der Persönlichkeit bündelt und diesen gegenüber vorgeht1315. Diese Subsidiarität des IT-Grundrechts hat Auswirkungen im Bereich der E- Mail-Kommunikation. Nach dem Urteil des BVerfG1316 soll Art. 10 GG beim Zugriff auf E-Mail-Postfächer, der über das Internet erfolgen muss, auch beim Zugriff auf diese Postfächer anwendbar bleiben1317. Die Anforderungen des IT-Grundrechts gehen bei besonders intensiven Eingriffen über diejenigen des Art. 10 GG hinaus1318. Damit bleibt Nutzern in den Konstellationen online gespeicherter Mails der erhöhte Schutz des IT-Grundrechts verwehrt1319. Gemeinsame Grundrechtsschranken In allen genannten Kommunikationsphasen bei Anwendungen im transaktionsbezogenen E-Government stehen personenbezogene Daten im Vordergrund. Die drei genannten Kommunikationsgrundrechte1320 bezwecken jedenfalls im Ergebnis alle den Schutz der informationellen Selbstbestimmung. Wenn also bei einem Eingriff in einen Kommunikationsvorgang, der durch Art. 10 GG geschützt ist, die personenbezogenen Daten erlangt werden, dann sind hierbei die Maßgaben des Grundrechts auf informationelle Selbstbestimmung1321 im Hinblick auf die Schranken anzuwenden1322. Der Gesetzgeber muss hier also bei der Normierung die kommunikationsbezogenen Grundrechte übergreifend und nicht isoliert betrachten. Das bedeutet dann auch, dass er bei der einfachgesetzlichen Konkretisierung alle kommunikationsbezo- 4. 1312 BVerfGE 100, 313 (358); 110, 33 (55); 113, 348 (364); Bäcker, in: Rensen/Brink (Hrsg.), Linien der Rechtsprechung des Bundesverfassungsgerichts, 99 (131). 1313 BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE 120, 274 = CR 2008, 302 (306). 1314 Britz, DÖV 2008, 411 (414); Eifert, NVwZ 2008, 521 (522); Hirsch, NJOZ 2008 1907 (1909); Petri, DuD 2008, 443 (444); Volkmann, DVBl. 2008, 590 (591); Hoffmann, CR 2010, 514 (516); andere Ansicht: Hoffmann-Riem, JZ 2008, 1009 (1019), insbesondere dort Fn. 91; Bäcker, in: Rensen/Brink (Hrsg.), Linien der Rechtsprechung des Bundesverfassungsgerichts, 99 (132). 1315 Bäcker, in: Rensen/Brink (Hrsg.), Linien der Rechtsprechung des Bundesverfassungsgerichts, 99 (132) m. w. N. 1316 BVerfGE 124, 43 (57). 1317 Kritisch hierzu Krüger, MMR 2009, 680 (681); Durner, JA 2010, 238 (240). 1318 Bäcker, in: Rensen/Brink, Linien der Rechtsprechung des Bundesverfassungsgerichts, 99 (136). 1319 Hoffmann, Die Gewährleistung der Vertraulichkeit und Integrität elektronischer Daten- und Dokumentensafes, S. 140. 1320 Den Begriff Kommunikationsgrundrechte benutzt Hoffmann-Riem, HBVerfR, § 7, 191 (191); Gusy, KritV 2000, 52 (53). 1321 Sofiotis, VR 2008, 333 (335). 1322 Gurlit, NJW 2010, 1035 (1037 ff.). Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 182 genen Grundrechte einbeziehen und die dadurch determinierten Verantwortungssphären der Akteure Staat, privater Diensteanbieter und privater Nutzer berücksichtigen muss. Zwischenergebnis Die Schutzbereiche des Grundrechts auf informationelle Selbstbestimmung, des Grundrechts auf Schutz der Vertraulichkeit und Integrität von informationstechnischen Systemen sowie des Fernmeldegeheimnisses aus Art. 10 GG erfassen in einer Zusammenschau alle grundrechtlich schutzwürdigen Aspekte der digitalen Kommunikation1323 und damit auch des transaktionsbezogenen E-Governments. Unverzichtbar ist auch die Einbeziehung des Grundrechts auf Schutz der Vertraulichkeit und Integrität informationstechnischer Systeme mit subjektiv-rechtlicher und objektivrechtlicher Schutzrichtung, dessen Schutzbereich im Wesentlichen die individuelle Infrastruktur des Nutzers von transaktionsbezogenen E-Government-Anwendungen schützt1324. Maßgeblich ist daher auch, was aus den jeweiligen Gewährleistungsgehalten dieser Grundrechte in ihrer Gesamtheit folgt. Jedenfalls lassen sich aus den drei Grundrechten Verantwortungssphären für alle drei Akteure ableiten. Art. 10 GG ist auf den „Transportweg“ elektronischer Nachrichten anwendbar und das Grundrecht auf informationelle Selbstbestimmung für die Datenverarbeitung in Fachverfahren in der Verwaltung, wenn die Daten dort angekommen sind. Für das IT-Grundrecht gibt es einen speziellen eigenen Anwendungsbereich bei der individuellen Infrastruktur1325 des privaten Nutzers. Diese als informationstechnisches System zu qualifizierende Infrastruktur im Herrschaftsbereich des privaten Nutzers darf nicht unterschätzt werden. In einem gesetzgeberischen Konzept für die einfachgesetzliche Ausgestaltung sind alle drei Grundrechtsgewährleistungen in die Erwägungen einzubeziehen. Einfachgesetzliche Vorgaben Der einfachgesetzliche Rahmen für transaktionsbezogenes E-Government zeichnet sich dadurch aus, dass er „organisch gewachsen“ ist1326. Das ist entwicklungsbedingt notwendig, erleichtert jedoch die Rechtsanwendung nicht. Im Folgenden sollen die Anforderungen des einfachgesetzlichen Rahmens für transaktionsbezogenes E-Go- 5. D. 1323 So auch Sofiotis, VR 2008, 333 (335). 1324 Die Bedeutung des Grundrechts auf Schutz der Vertraulichkeit und Integrität informationstechnischer Systeme für datenschutzgerechtes E-Government wird im Vergleich zum Recht auf informationelle Selbstbestimmung als geringer eingeschätzt von: Stollhoff, Datenschutzgerechtes E-Government, S. 99. 1325 Zu diesem Begriff: Schulz, in: Hill/Schliesky (Hrsg.), Die Vermessung des virtuellen Raumes, 265 ( 286 ff.). 1326 Zu Recht erfolgt der Hinweis, dass ein gestufter Einführungsprozess für technische Innovationen üblich ist und deshalb ein schrittweises Vorgehen kein Argument gegen die Sinnhaftigkeit eines gesamten Vorhabens ist, bei: Roßnagel/ Hornung/Knopp/Wilke, DuD 2009, 728 (734). D. Einfachgesetzliche Vorgaben 183 vernment in einem Überblick dargestellt werden. Dabei soll der Fokus der Darstellung auf den Regelungen liegen, die transaktionsbezogenes E-Government maßgeblich determinieren, da ansonsten der Rahmen dieser Arbeit gesprengt werden würde. Anforderungen des Verwaltungsverfahrensrechts Für die Ermöglichung von transaktionsbezogenem E-Government sind seit jeher grundsätzlich Vorgaben aus dem Verwaltungsverfahrensrecht zu beachten. Diese regeln Rahmenvorgaben für die Kommunikation von Verwaltung und Bürger, die sich beim Datenschutz auswirken, sodass diese hier analysiert werden sollen. Grundsatz der Nichtförmlichkeit des Verwaltungsverfahrens § 10 VwVfG In § 10 S. 1 VwVfG ist der Grundsatz der Nichtförmlichkeit des Verwaltungsverfahrens geregelt. Dieser besagt, dass das Verwaltungsverfahren an bestimmte Formen nicht gebunden ist, soweit keine besonderen Rechtsvorschriften für die Form des Verfahrens bestehen. Aus der Stellung dieser Vorschrift im VwVfG wird ersichtlich, dass der Grundsatz der Nichtförmlichkeit ein tragendes übergeordnetes Prinzip des gesamten Verwaltungsverfahrensrechts ist1327. Das Verwaltungsverfahren soll zum einen rechtsstaatlichen Anforderungen genügen, zum anderen aber auch effizient durchgeführt werden1328. Dieser Grundsatz räumt dem bereits vor dem Inkrafttreten des VwVfG anerkannten Verfahrensermessen der Verwaltung Gesetzesrang ein1329. Die Verwaltungsbehörde hat hiernach grundsätzlich die Möglichkeit, das Verwaltungsverfahren auf die Art und Weise zu führen, die sie als am zweckmäßigsten beurteilt1330. Von der Seite des Bürgers aus gedacht, bedeutet das grundsätzlich auch, dass dieser jede Form elektronischer Kommunikation verwenden kann1331. Die Grundsätze der Nichtförmlichkeit und der Verfahrenseffizienz haben gerade auch für die elektronische Abwicklung von Verwaltungsverfahren, also transaktionsbezogenes E-Government, eine große Bedeutung1332. Aus der übergeordneten Bedeutung des Grundsatzes der Nichtförmlichkeit wird eine Vermutung zugunsten der Formfreiheit entnommen1333. Nach § 10 I. 1. 1327 Kopp/Ramsauer, VwVfG, § 10 VwVfG, Rn. 1; Gerstner-Heck, in: Bader/Ronellenfitsch, VwVfG, 1. Aufl., § 10 Rn. 1; Ziekow, VwVfG, § 10 VwVfG, Rn. 1; Ritgen, in: Knack/Henneke, § 10 VwVfG, Rn. 4; Stollhoff, Datenschutzgerechtes E-Government, S. 264. 1328 Schmitz, in: Stelkens/Bonk/Sachs (Hrsg.), § 10 VwVfG, Rn. 1; Preuß, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 1. Aufl. 2012, § 10 VwVfG, Rn. 2. 1329 Hill, NVwZ 1985, 449 (450); ders., DÖV 1987, 885 (891); Ziekow, § 10 VwVfG, Rn. 1; zur Anerkennung des Verfahrensermessens vor dem Inkrafttreten des VwVfG: BVerwGE 24, 23 (27). 1330 Kopp/Ramsauer, § 10 VwVfG, Rn. 7. 1331 Schmitz/Schlatmann, NVwZ 2002, 1281 (1284). 1332 Preuß, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 1. Aufl. 2012, § 10 VwVfG, Rn. 3; zur Überlagerung dieses Grundsatzes durch das E-Government-Gesetz des Bundes siehe unten. 1333 Kopp/Ramsauer, § 10 VwVfG, Rn. 7; Schmitz, in: Stelkens/Bonk/Sachs (Hrsg.), VwVfG, § 10, Rn. 3; Hoffmann u. a., Der E-Postbrief in der öffentlichen Verwaltung, S. 32. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 184 S. 1 2. HS VwVfG ergibt sich, dass der Grundsatz der Nichtförmlichkeit nur gilt, soweit keine besonderen Rechtsvorschriften für die Form des Verfahrens bestehen. Das nicht förmliche und das förmliche Verwaltungsverfahren stehen daher in einem Regel-Ausnahme-Verhältnis1334. Schriftformerfordernis im Verwaltungsverfahren als Ausnahme Hier kommt insbesondere die Anordnung von gesetzlichen Schriftformerfordernissen in Betracht, die im gesamten Besonderen Verwaltungsrecht geregelt sind1335. Im jeweiligen Fachrecht ordnen jeweils eigene Vorschriften die Schriftform an, sodass diesem nach wie vor auch eine maßgebliche Bedeutung zukommt1336. Für die elektronische medienbruchfreie Kommunikation bei Transaktionen im E-Government stellt dieses Erfordernis die größte Herausforderung dar. Im öffentlichen Recht gibt es im Vergleich zu anderen Rechtsgebieten eigene Maßstäbe für die Schriftform1337. Es gibt keinen einheitlichen Schriftformbegriff im öffentlichen Recht, da es unterschiedliche Anforderungen im jeweiligen Gebiet des Besonderen Verwaltungsrechts gibt1338. Zur Bewertung und Einordnung der Möglichkeiten, wie Sinn und Zweck der Schriftform anders erfüllt werden können, ist es angesichts der Modifizierungen bzw. Privilegierungen1339, die durch das E-Government-Gesetz des Bundes erfolgt sind, notwendig, sich die einzelnen Funktionen der Schriftform im öffentlichen Recht und deren Verhältnis untereinander zu vergegenwärtigen. Den folgenden Funktionen dient die Schriftform im öffentlichen Recht: 2. 1334 Hoffmann u. a., Der E-Postbrief in der öffentlichen Verwaltung, S. 32. 1335 Zu der umfangreichen Anzahl der Schriftformerfordernisse im öffentlichen Recht gibt es unterschiedliche Angaben: Müller-Terpitz/Rauchhaus, JurPC Web-Dok. 96/2012, Abs. 2 in Fn. 6: ca. 3.500 Schriftformerfordernisse; Roßnagel, in: Hoffmann-Riem/Schmidt-Aßmann, Verwaltungsrecht in der Informationsgesellschaft, 2000, S. 257 (319): 3.900 Schriftformerfordernisse; diese Zahl wird in der Literatur als zu hoch gegriffen kritisiert, da bei ihrer Erhebung auch Vorschriften einbezogen wurden, welche die Schriftform nur als eine von mehreren möglichen Formen der Kommunikation vorsehen, so Eifert, Electronic Government, S. 97, Fn. 313; vgl. auch den Hinweis bei Hoffmann u. a., Der E-Postbrief in der öffentlichen Verwaltung, S. 32 Fn. 118; der Referentenentwurf der Bundesregierung für ein E-Government-Gesetz spricht von „mehreren tausend“ Schriftformerfordernissen; Das BMI hat ein Projekt „Digitale Erklärungen“ (Normenscreening) gestartet mit dem Ziel, entbehrliche Schriftformerfordernisse in verwaltungsrechtlichen Vorschriften des Bundes zu streichen: Vgl. NLT-Rundschreiben Nr. 550/2015, S. 1. 1336 Schulz S. E., in: Mann/Sennekamp/Uechtritz (Hrsg.), § 3a VwVfG, Rn. 10. 1337 Zur Rolle und den Maßstäben der Schriftform bzw. Textform im Zivilrecht: Stollhoff, Datenschutzgerechtes E-Government, S. 266 ff; gegen jegliche Analogiefähigkeit bzw. Anerkennung der zivilrechtlichen Maßstäbe als allgemeiner Rechtsgrundsatz: Eifert/Schreiber, MMR 2000, 340 (342 f.); zur Einordnung des Einsatzes von Signaturpads als Unterschriftersatz: Schmitz, NVwZ 2013, 410 (410 ff.). 1338 Hoffmann u. a., Der E-Postbrief in der öffentlichen Verwaltung, S. 32. 1339 Dazu sogleich unten unter: Teil 3, D., III, 4. und 5. D. Einfachgesetzliche Vorgaben 185 Identitätsfunktion Die Identitätsfunktion dient der Identifizierung des Autors eines Dokuments1340. Damit entspricht diese dem dieser Arbeit zugrunde liegenden Verständnis von numerischer Identität im Sinne von Identifizierung. Bei einer Unterschrift erfolgt regelmäßig eine gleiche Gestaltung des Namenszuges, sodass sie sich eindeutig mit der unterschreibenden Person in Verbindung bringen lässt und ein biometrisches Merkmal darstellt1341. Diese Funktion der Schriftform ist insbesondere im elektronischen Kontakt mit der Verwaltung, also auch im transaktionsbezogenen E-Government, relevant, weil ein schutzwürdiges Interesse sowohl des privaten Nutzers als auch der Verwaltung besteht, die elektronische Identifizierung und Authentifizierung des Kommunikationspartners sowie die Überprüfung der Integrität der übermittelten Daten vornehmen zu können1342. In der analogen papierbasierten Welt erfüllt diese Funktion der Schriftform ebenfalls eine zentrale Aufgabe. Die Preisgabe eines Mindestma- ßes von Daten, nämlich Identitätsdaten zu Identifizierungszwecken1343, ist in vielen Rechtsgebieten systemimmanent notwendig, da eintretende Rechtsfolgen individuell zurechenbar sein müssen. Die notwendige Preisgabe ist jedenfalls eine Einschränkung der freien Gestaltbarkeit der Identität. Echtheitsfunktion Durch die Echtheitsfunktion der Schriftform wird die inhaltliche Zuordnung einer Erklärung zum Erklärenden gewährleistet1344. Diese Funktion ist neben der Identitätsfunktion sowohl für den Bürger als auch für die Verwaltung wichtig. Verifikationsfunktion Eng mit der Echtheitsfunktion verbunden ist die Verifikationsfunktion, welche der Überprüfbarkeit der Echtheit der Erklärung dient1345. Diese wird teilweise auch als Garantiefunktion bezeichnet1346. In der analogen Welt begründet diese Funktion die Möglichkeit, dass der Empfänger eines Dokuments die Möglichkeit hat, zu überprüfen, ob die grundsätzlich unverwechselbare Unterschrift echt ist1347, entweder durch einen a) b) c) 1340 Bundesministerium des Innern, Bericht der Bundesregierung nach Art. 5 des Gesetzes zur Regelung von De-Mail-Diensten und zur Änderung weiterer Vorschriften, S. 6, abrufbar unter: https:// www.bmi.bund.de/SharedDocs/Downloads/DE/Gesetzestexte/Berichte/bericht_de-mail.pdf?_ _blob=publicationFile (letzter Abruf: 08.11.2015); Schreiber, Elektronisches Verwalten, S. 85. 1341 Hammer/Bizer, DuD 1993, 689 (690); Bizer, DuD 1992, 169 (171 f.); Schreiber, Elektronisches Verwalten, S. 85. 1342 Stollhoff, Datenschutzgerechtes E-Government, S. 266; Schmitz/Schlatmann, NVwZ 2002, 1281 (1283). 1343 Brackmann u. a., Der E-Postbrief in der Kommunalverwaltung, S. 39 f. 1344 Hoffmann u. a., Der E-Postbrief in der öffentlichen Verwaltung, S. 37. 1345 Stollhoff, Datenschutzgerechtes E-Government, S. 265; Schmitz, in: Stelkens/Bonk/Sachs (Hrsg.), § 3a VwVfG, Rn. 17. 1346 Schreiber, Elektronisches Verwalten, 85. 1347 Stollhoff, Datenschutzgerechtes E-Government, S. 265. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 186 schlichten Vergleich oder gar durch ein grafologisches Gutachten. Die Identitäts-, Echtheits- und Verifikationsfunktion ergänzen sich gegenseitig und sind wechselseitig voneinander abhängig1348. Perpetuierungsfunktion Mit der Perpetuierungsfunktion der Schriftform gewährleistet die Schriftform die fortdauernde Wiedergabe der Erklärung in einer Urkunde mit der Möglichkeit einer Überprüfung1349. Diese Funktion ist auf die sachliche Verkörperung einer Erklärung gerichtet. Dies ist ein Spezifikum der papierbasierten analogen Welt. In der elektronischen Welt stellen sich im Hinblick auf die Perpetuierung von Urkunden neue Herausforderungen. Beweisfunktion In engem Zusammenhang mit der Verkörperung von Dokumenten steht die Beweisfunktion der Schriftform1350. Diese Begrifflichkeit suggeriert, dass die Schriftform ohne Weiteres Beweis über die Echtheit einer Urkunde erbringen kann. Bei genauerer Betrachtung wird klar, dass die Schriftform dem Beweispflichtigen lediglich die Beweisführung erleichtert, im Falle des Bestreitens durch die Gegenseite aber keine Beweiserleichterungen gewährt1351. Warnfunktion Die Warnfunktion der Schriftform soll den Erklärenden darauf hinweisen, dass seine Erklärung rechtlich verbindlich ist, und er soll vor Übereilung geschützt werden1352. Das tatsächliche Leisten einer Unterschrift soll bei dem Erklärenden einen Bewusstseinsprozess im Hinblick auf die Rechtsfolgen seiner Erklärung in Gang setzen. Abschlussfunktion Eng mit der Warnfunktion hängt auch die Abschlussfunktion der Schriftform zusammen, die nach außen sichtbar dokumentieren soll, dass eine Erklärung räumlich abgeschlossen ist1353 und in den Rechtsverkehr gegeben werden soll. Diese grenzt ein d) e) f) g) 1348 Schreiber, Elektronisches Verwalten, 86. 1349 Schmitz, in: Stelkens/Bonk/Sachs (Hrsg.), § 3a VwVfG, Rn. 17. 1350 Kritisch zum Begriff Beweisfunktion: Schreiber, Elektronisches Verwalten, S. 88; die Bezeichnung „Beweisfunktion der Schriftform“ sei irreführend, da die Schriftform selbst keinen Beweis erbringen könne, sondern lediglich eine Beweisführung unterstütze oder ermögliche (Hervorhebung im Original). 1351 So auch Stollhoff, Datenschutzgerechtes E-Government, S. 265. 1352 Schmitz, in: Stelkens/Bonk/Sachs (Hrsg.), § 3a VwVfG, Rn. 17. 1353 Bericht der Bundesregierung nach Art. 5 des Gesetzes zur Regelung von De-Mail-Diensten und zur Änderung weiterer Vorschriften, BT-Drs. 17/10720, S. 4. D. Einfachgesetzliche Vorgaben 187 endgültiges Dokument von einem Entwurf ab1354. Damit bringt die Schriftform zugleich zum Ausdruck, dass eine Willenserklärung rechtlich bindend sein soll1355. Verhältnis der Schriftformfunktionen zueinander Bei dieser Analyse wird deutlich, dass diese verschiedenen Funktionen der Schriftform eng miteinander verzahnt sind und ihre Schutzwirkung für beide beteiligten Seiten entfalten sollen. Eine Gewichtung der Funktionen zueinander ist nicht abstrakt möglich, sondern individuell daran zu messen, welchen Sinn und Zweck die Vorschrift hat, die ein Schriftformerfordernis aufstellt1356. Damit lässt sich auch nicht abstrakt sagen, ob mit Blick auf die elektronische Kommunikation ggf. auch eine dieser Funktionen verzichtbar sein kann. Auch über die Art und Weise, wie diese Funktionen mit gleicher Leistungsfähigkeit in der elektronischen Kommunikation abgebildet werden können, ist hier noch keine Aussage getroffen. Ersetzung der Schriftform nach § 3a VwVfG In der Generalklausel zur elektronischen Kommunikation § 3a VwVfG ist als Äquivalent zur Schriftform die qualifizierte elektronische Signatur (QES) vorgesehen1357. Die einzelnen Schriftformfunktionen werden durch die Technik der qualifizierten elektronischen Signatur vollständig elektronisch abgebildet1358. Diese gilt nicht nur für das eigentliche Verwaltungsverfahren i. S. d. §§ 9 ff. VwVfG, sondern auch entsprechend der systematischen Stellung für die sonstige öffentlich-rechtliche Verwaltungstätigkeit i. S. d. § 1 Abs. 1 VwVfG, sodass sie auch im gesamten Besonderen Verwaltungsrecht1359 und für sämtliche Konstellationen des transaktionsbezogenen E-Governments Bedeutung hat. Die Vorschrift war ein erster gesetzgeberischer Schritt, um überhaupt die elektronische Durchführung bisher papierbasierter Verwaltungsverfahren zu ermöglichen. In der bisherigen Entwicklung hat sich das Erfordernis einer qualifizierten elektronischen h) 3. 1354 Schreiber, Elektronisches Verwalten, S. 87. 1355 Bizer, DuD 1992, 169 (171 f.). 1356 So auch Stollhoff, Datenschutzgerechtes E-Government, S. 266. 1357 Zu den unterschiedlichen Ausgestaltungen in den einzelnen Bundesländern und den Konsequenzen für transaktionsbezogenes E-Government Hanken, JurPC Web-Dok. 24/2006, Abs. 6 ff.; vgl. hierzu auch Schmitz, DÖV 2005, 885 (885 ff.). 1358 Stollhoff, Datenschutzgerechtes E-Government, S. 266 mit Verweis auf BT-Drs. 14/4987, S. 16 f., wo eine ausführliche Analyse der Funktionsäquivalenz stattfindet; vgl. hierzu auch den Bericht der Bundesregierung nach Art. 5 des Gesetzes zur Regelung von De-Mail-Diensten und zur Änderung weiterer Vorschriften durch das BMI, abrufbar unter https://www.bmi.bund.de/SharedDocs/Downl oads/DE/Gesetzestexte/Berichte/bericht_de-mail.pdf?__blob=publicationFile (letzter Abruf: 08.11.2015) Der Bericht zu De-Mail, S. 5, spricht davon, dass die De-Mail und die Online-Ausweisfunktion des nPA „im Wesentlichen die gleichen Anforderungen erfüllen muss wie die herkömmliche Schriftform“; vgl. BT-Drs. 17/10720, S. 4 (Abdruck desselben Berichts als BT-Drs.). 1359 Eifert/Püschel, in: Kröger/Hoffmann (Hrsg.),Rechts-Handbuch zum E-Government, 106 (108) = Rn. 5; Schliesky, NVwZ 2003, 1322 (1323); Hoffmann u. a., Der E-Postbrief in der öffentlichen Verwaltung, S. 39. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 188 Signatur jedoch als ein Hindernis für transaktionsbezogenes E-Government dargestellt und die Weiterentwicklung zehn Jahre verzögert1360. Zugangseröffnung nach § 3a VwVfG Eine Grundvoraussetzung für transaktionsbezogenes E-Government ist die Eröffnung eines Zuganges sowohl auf Bürgerseite als auch auf Behördenseite nach § 3a Abs. 1 VwVfG1361. Zugangseröffnung auf Nutzerseite Dieses Merkmal der Zugangseröffnung erfordert auf Bürgerseite als objektives Element das Vorliegen der technischen Voraussetzungen für die elektronische Kommunikation und zum anderen als subjektives Element die konkrete Nutzungsbestimmung durch den Nutzer für die Kommunikation mit der Verwaltung1362. Hinsichtlich der technischen Möglichkeiten der Zugangseröffnung ist die Vorschrift entwicklungsoffen, sodass zukünftige Kommunikationsinfrastrukturen für transaktionsbezogenes E-Government nicht ausgeschlossen sind1363. Bei der Bewertung der Frage der Zugangseröffnung ist zwischen privaten, geschäftlichen und behördlichen Nutzern zu differenzieren1364. Die entscheidende Frage stellt sich hier beim subjektiven Element der Zugangseröffnung. Bei Privatpersonen wird diskutiert, ob die Angabe einer E-Mail-Adresse auf dem Briefkopf bereits eine Zugangseröffnung darstellt. Nach einer Ansicht könne von einer Zugangseröffnung nicht bei einer bloßen Nennung einer E-Mail-Adresse ausgegangen werden, sondern nur dann, wenn eine Privatperson gegenüber der Behörde ausdrücklich erkläre oder durch einen elektronischen Antrag zum Ausdruck gebracht habe, dass sie elektronisch kommunizieren wolle1365. Diese Ansicht stellt darauf ab, dass es „heute“ noch nicht der Verkehrsanschauung entspreche, dass Privatpersonen täglich ihre E- Mails lesen1366. Eine andere Ansicht geht davon aus, dass rechtsverbindliches Handeln 4. a) 1360 Eine Stellungnahme des ISPRAT e. V. spricht davon, dass die einseitige Fixierung auf die QES dem Deutschen E-Government einen „Bärendienst“ erwiesen habe; vgl. Stellungnahme des ISPRAT e. V., S. 2. 1361 Eifert/Püschel, in: Kröger/Hoffmann (Hrsg.), Rechts-Handbuch zum E-Government, 106 (108) = Rn. 5; Schmitz/Schlatmann, NVwZ 2002, 1281 (1285). 1362 Heckmann/Albrecht, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 2. Aufl. 2014, § 3a VwVfG, Rn. 54 f.; Eifert/Püschel, in: Kröger/Hoffmann (Hrsg.), Rechts-Handbuch zum E-Government, 106 (109) = Rn. 6; Roßnagel, NJW 2003, 469 (472); Schmitz/ Schlatmann, NVwZ 2002, 1281 (1285). 1363 Kopp/Ramsauer, § 3a VwVfG, Rn. 6; Warnecke, MMR 2010, 227 (228). 1364 Heckmann/Albrecht, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 2. Aufl. 2014, § 3a VwVfG, Rn. 55; 1365 Ernst, in: Hoeren/Sieber (Hrsg.), Handbuch Multimedia Recht, Nr. 28.1, Rn. 12; Schlatmann, DVBl 2002, 1005 (1009); Schmitz, in: Stelkens/Bonk/Sachs (Hrsg.), § 3a VwVfG, Rn. 12. 1366 Schmitz/Schlatmann, NVwZ 2002, 1281 (1285); Schmitz, in: Stelkens/Bonk/Sachs (Hrsg.), § 3a VwVfG, Rn. 12; Schliesky, in: Knack/Henneke (Hrsg.), § 3a VwVfG, Rn. 39 in Fn. 71; vgl. den Hinweis, dass die Belege für die genannte Ansicht bezeichnenderweise überwiegend aus den Jahren vor der Einfügung des § 3a VwVfG stammen und mit der Formulierung „heute“ eine überholte Verkehrsanschauung darstellten. D. Einfachgesetzliche Vorgaben 189 über das Internet auch bei Privatpersonen gängige Praxis geworden sei und sich die Verkehrsanschauung dementsprechend gewandelt habe1367. Die Angabe der E-Mail- Adresse verfolge gerade den Zweck, dass dem Empfänger eine zusätzliche Kommunikationsmöglichkeit gegeben werden solle, aus tatsächlichen Gründen sei nicht mehr davon auszugehen, dass Privatpersonen unregelmäßig ihre E-Mails abriefen, und dieser Aspekt betreffe den Zugangszeitpunkt und nicht die Widmung1368. Auch der Hinweis auf die fehlende Verbreitung von Signaturtechnik1369 könne hier nicht überzeugen, da die Privatperson aufgrund der Verfügbarkeit des öffentlichen Schlüssels über das Internet die Möglichkeit habe, rechtsverbindliche Erklärungen seitens der Behörde zu verifizieren und eine mangelnde Verbreitung dem nicht entgegenstünde1370. Darüber hinaus sind mittlerweile verschiedene niedrigschwelligere Basisinfrastrukturkomponenten verfügbar, sodass es auf die Verbreitung der Signaturtechnik allein nicht ankommt. Dieser Ansicht ist hier zu folgen, da dem Nutzer hier auch ein Stück Selbstverantwortung abzuverlangen ist. Eine Konkretisierung bzw. Ergänzung erfährt die Zugangseröffnung durch die Regelungen des E-Government-Gesetzes i. V. m. den Vorgaben des § 7 des De-Mail- Gesetzes sowie der Möglichkeit der Zugangseröffnung über den Verzeichnisdienst der De-Mail-Infrastruktur1371. Jedenfalls enthält die Vorschrift des § 3a VwVfG den Grundsatz, dass die Zugangseröffnung seitens einer Privatperson freiwillig erfolgen muss, der auch weiterhin Geltung beanspruchen wird und auch bei der „schriftformlosen“ Kommunikation gilt. Die Zugangseröffnung für Behördenkommunikation über den Verzeichnisdienst ist damit eine ergänzende, aber keineswegs die einzige Möglichkeit und tritt neben die bisherigen1372. Bei geschäftlichen Nutzern greift ein anderer Maßstab als bei Privatpersonen, sodass in der Nennung einer E-Mail-Adresse auf einer Homepage, dem Briefpapier oder einer Visitenkarte von einer Zugangseröffnung ausgegangen werden kann1373. Bei dieser Nutzergruppe ist eine Zugangseröffnung bereits früh anzunehmen, da hier die geschäftliche bzw. dienstliche Kommunikation im Vordergrund steht1374. Wichtig ist festzuhalten, dass für den Bürger auch nach wie vor trotz der Modifizierungen durch das EGovG das Freiwilligkeitsprinzip aus § 3a Abs. 1 VwVfG gilt, sodass er auch noch die papierschriftliche Kommunikation wählen kann1375. Der Referentenentwurf bildet in 1367 Schliesky, in: Knack/Henneke (Hrsg.), § 3a VwVfG, Rn. 40. 1368 Schliesky, in: Knack/Henneke (Hrsg.), § 3a VwVfG, Rn. 40. 1369 Schmitz, in: Stelkens/Bonk/Sachs (Hrsg.), § 3a VwVfG, Rn. 12. 1370 Schliesky, in: Knack/Henneke (Hrsg.), § 3a VwVfG, Rn. 40. 1371 BR-Drs. 557/12, S. 73 ff. 1372 So ausdrücklich BR-Drs. 557/12, S. 74. 1373 Heckmann/Albrecht, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 2. Aufl. 2014, § 3a VwVfG, Rn. 55; Schliesky, in: Knack/Henneke, § 3a VwVfG, Rn. 38; Ziekow, § 3a VwVfG, Rn. 3; Skrobotz, VR 2003, 397 (398); a. A. Roßnagel, NJW 2003, 469 (473), BT-Drs. 14/9259, S. 1. 1374 Kopp/Ramsauer, § 3a VwVfG, Rn. 12; Heckmann/Albrecht, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 2. Aufl. 2014, § 3a VwVfG, Rn. 55; 1375 Heckmann, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 1. Aufl. 2012, Einführung, Rn. 80; Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 190 § 2 Abs. 1 Satz 1 EGovG das sog. Multikanalprinzip ab, sodass die Behörde sich nicht auf die elektronische Form beschränken kann1376. Zugangseröffnung auf Behördenseite Nach der Regelung in § 3a VwVfG ist bei einer Behörde genauso wie bei externen oder internen Nutzern eine Zugangseröffnung erforderlich1377. Nach dieser Regelung ist die Verwaltung bisher grundsätzlich nicht verpflichtet, elektronische Angebote einzurichten, sondern es herrscht wie beim Bürger auch für die Behörde ein Freiwilligkeitsprinzip1378. Begründet wurde dieses mit der notwendigen Handlungsfreiheit im Hinblick auf die Haushaltsflexibilität bei der Bereitstellung von E-Government- Angeboten1379. Eine weitgehende Modifizierung erfährt das Freiwilligkeitsprinzip für Behörden durch das EGovG. Die Bundesverwaltung wird durch § 2 Abs. 1 Satz 1 EGovG explizit zur Eröffnung eines elektronischen Zugangs i. S. d. § 3a Abs. 1 VwVfG verpflichtet1380. Nach § 2 Abs. 1 Satz 2 EGovG ist jede Behörde des Bundes verpflichtet, den elektronischen Zugang zusätzlich mittels De-Mail-Adresse i. S. d. De-Mail-Gesetzes zu eröffnen1381. Damit hebt der Gesetzgeber das Freiwilligkeitsprinzip für den Bereich der Bundesbehörden auf1382, um die weitere Verbreitung von transaktionsbezogenen E-Government-Anwendungen zu fördern, und setzt darauf, dass die Länder im Wege der Simultangesetzgebung folgen. Zugangsschließung auf Nutzerseite als Ausdruck des Freiwilligkeitsprinzips Mit der Möglichkeit einer Privatperson, einen Zugang zu eröffnen, korrespondiert auch die Möglichkeit, diesen wieder zu schließen. Diese stellt einen actus contrarius zur Zugangseröffnung dar1383. Praktisch muss dies seitens des Bürgers ausdrücklich gegenüber der Behörde erfolgen, der gegenüber der Zugang erklärt worden ist. Im Hinblick auf die Eröffnung durch ein De-Mail-Konto gibt es diesbezüglich spezielle Regelungen im De-Mail-Gesetz sowie eine Informationspflicht des De-Mail-Diensteb) c) 1376 Vgl. im Referentenentwurf die Begründung zu § 2 EGovG, S. 32; generell zum Multikanalprinzip bzw. Mehrkanalansatz: v. Lucke, Hochleistungsportale für die öffentliche Verwaltung, S. 63 ff. 1377 Kröger, in: Wind/Kröger, Handbuch IT in der Verwaltung, 315 (323). 1378 Roßnagel, NJW 2003, 469 (472); Storr, MMR 2002, 579 (581); Eifert/Püschel, in: Kröger/Hoffmann (Hrsg.) Rechts-Handbuch zum E-Government, 106 (110) = Rn. 8. 1379 Eifert/Schreiber, MMR 2000, 340 (345 f.), weisen auf diesen Umstand bei der Interpretation der Europäischen Signaturrichtlinie hin; Eifert/Püschel, in: Kröger/Hoffmann (Hrsg.), Rechts-Handbuch zum E-Government, 106 (110) = Rn. 8. 1380 Müller-Terpitz/Rauchhaus, JurPC Web. Dok 96/2012, Abs. 10. 1381 Dazu sogleich unten unter: Teil 3., D., III., 3 b). 1382 Heckmann, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 1. Aufl. 2012, Einführung, Rn. 80; Müller-Terpitz/Rauchhaus, JurPC Web. Dok 96/2012, Abs. 10. 1383 Heckmann/Albrecht, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 2. Aufl. 2014, § 3a, Rn. 78. D. Einfachgesetzliche Vorgaben 191 anbieters nach § 9 De-Mail-Gesetz gegenüber dem Nutzer über die Zugangseröffnung1384. Identifizierbarkeit im Rahmen der elektronischen Kommunikation Nach § 3a Abs. 2 Satz 3 VwVfG ist im Rahmen des Einsatzes der elektronischen Kommunikation die Signierung mit einem Pseudonym, das die Identifizierung der Person des Signaturschlüsselinhabers nicht ermöglicht, nicht zulässig. Hierdurch soll präventiv verhindert werden, dass rechtsmissbräuchlich unter einem Pseudonym die Verwaltung in Anspruch genommen wird1385. In diesem Zusammenhang bestand die Frage, ob die Möglichkeit, nach § 7 Abs. 1 Nr. 1 SigG a. F. einer Person Signaturschlüssel unter Pseudonym zuzuordnen, für das Verwaltungsverfahren durch § 3 a Abs. 2 Satz 3 VwVfG eingeschränkt wird. Nach einer Ansicht finde eine Einschränkung statt1386. Eine andere Ansicht geht davon aus, dass eine Beschränkung nicht gegeben sei, weil eine jederzeit gewährleistete Identifizierung des pseudonymen Versenders über die Dokumentation des Zertifizierungsdiensteanbieters bestehe1387. Diese Fragestellung zeigt, dass insbesondere im E-Government die Frage der Identifizierbarkeit einer natürlichen Person von herausgehobener Bedeutung ist. Einleitung des Verwaltungsverfahrens mittels Antrag § 22 VwVfG Bei vielen Verwaltungskontakten ist der Bürger der Initiator. Ein massenhaftes Anwendungsszenario für transaktionsbezogenes E-Government ist daher ein mittels Antrag i. S. d. § 22 VwVfG eingeleitetes Verwaltungsverfahren. Die Form des Antrages hat maßgebliche Bedeutung für die Umsetzung von E-Government-Anwendungen1388. Grundsätzlich gilt für die Stellung des Antrages als Äußerung eines Begehrens durch den Bürger der Grundsatz der Nichtförmlichkeit aus § 10 VwVfG, soweit gesetzlich nichts anderes normiert ist1389. Beim allgemeinen Verfahren regelt das VwVfG nichts Weiteres zum Antrag1390. Für das förmliche Verwaltungsverfahren ist § 64 VwVfG zu beachten, der explizit regelt, dass ein Antrag schriftlich oder zur Niederschrift bei der Behörde gestellt werden muss, wenn das förmliche Verwaltungsver- 5. 6. 1384 Dazu sogleich unten unter: Teil 3, D., III, 3. 1385 BT-Drs. 14/9000, S. 31; Kopp/Ramsauer, § 3a VwVfG, Rn. 24; Heckmann/Albrecht, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 2. Aufl. 2014, § 3a, Rn. 115. 1386 Albrecht/Heckmann, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 1. Aufl. 2012, § 3a VwVfG, Rn. 115. 1387 Schliesky, in: Knack/Henneke (Hrsg.), § 3a VwVfG, Rn. 47 mit Verweis auf Roßnagel, NJW 2003, 469 (473). 1388 Skrobotz, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 1. Aufl. 2012, § 22 VwVfG, Rn. 5; ders., Das elektronische Verwaltungsverfahren, 2005, S. 154 ff. 1389 Skrobotz, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 1. Aufl. 2012, § 22 VwVfG, Rn. 18; Hoffmann u. a., Der E-Postbrief in der öffentlichen Verwaltung, S. 43. 1390 Hoffmann u. a., Der E-Postbrief in der öffentlichen Verwaltung, S. 43. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 192 fahren einen Antrag voraussetzt. Außerhalb dieser fachrechtlichen Formerfordernisse ist ein Antrag formlos möglich1391. Einhelligkeit besteht beim Antrag darüber, dass im Gegensatz zu sonstigen Schriftformerfordernissen im öffentlichen Recht die Maßstäbe des § 126 BGB zur Textform herangezogen werden können1392. Ebenfalls große Relevanz für die Umsetzung von transaktionsbezogenem E-Government hat die Verwendung von Formularen zur Antragstellung1393. Die Formularverwendung kann gesetzlich vorgeschrieben sein und ein Verstoß gegen deren Benutzung zur Unzulässigkeit des Antrags führen1394. Zahlreiche Modifizierungen der Antragstellung entstehen durch § 13 E-GovG, der Vorgaben für die Verwendung elektronischer Formulare vorsieht. Elektronischer Verwaltungsakt § 37 VwVfG Für den Erfolg von transaktionsbezogenem E-Government wesentlich ist die Möglichkeit, Verwaltungsakte elektronisch erlassen zu können, da diese eine massenhafte Handlungsform der Verwaltung darstellen. In diesem Bereich liegen die Wirtschaftlichkeitsreserven1395 für die Verwaltung und die Möglichkeit der schnelleren Verfügbarkeit für den Bürger. Die Regelung des § 37 Abs. 2 VwVfG ermöglicht den Erlass von elektronischen Verwaltungsakten. Der elektronischen Form kommt hinsichtlich des Leitbildes eines ganzheitlichen E-Government bzw. einer digitalen Verwaltung ohne Medienbrüche in den Prozessen eine zentrale Bedeutung zu1396. „Elektronisch“ ist jeder textlich perpetuierte Verwaltungsakt, der nicht schriftlich verkörpert ist, sondern nur elektronisch gespeichert und damit nicht unmittelbar wahrnehmbar ist, wobei das Zustandekommen des Verwaltungsaktes hierbei als bloßes Verwaltungsinternum irrelevant ist1397. Entscheidend sei der Zeitpunkt des Erlasses, weil die Behörde hier ihren Ermessensspielraum für die Art und Weise des Erlasses nutzt1398. Auf elektronischem Wege darf die Behörde einen Verwaltungsakt nur an einen Bürger übermitteln, wenn dieser gemäß § 3a VwVfG einen Zugang eröffnet hat1399. Die Regelung des § 37 Abs. 1 VwVfG erfordert die zweifelsfreie Identifizierung des Adressaten eines Verwaltungsaktes, sodass Verwechselungen ausgeschlossen sind1400. In diesem Zusammenhang soll es dem Adressaten auch möglich sein, im Sinne der Datensparsamkeit im elektronischen 7. 1391 Kopp/Ramsauer, § 22 VwVfG, Rn. 51 m. w. N; Ziekow, § 22 VwVfG, Rn. 9. 1392 Hoffmann u. a., Der E-Postbrief in der öffentlichen Verwaltung, S. 44 m. w. N. 1393 Hoffmann u. a., Der E-Postbrief in der öffentlichen Verwaltung, S. 45. 1394 Kopp/Ramsauer, § 22 VwVfG, Rn. 55. 1395 Eine Einschätzung der Einsparpotentiale für die Verwaltung bei einer konsequenten Umsetzung des E-GovG findet sich in BR-Drs. 557/12, S. 35. 1396 Skrobotz, Das elektronische Verwaltungsverfahren, S. 290; Heckmann/Albrecht, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 1. Aufl., 2012, § 37 VwVfG, Rn. 13. 1397 Skrobotz, Das elektronische Verwaltungsverfahren, S. 290 (Hervorhebung im Original). 1398 Schmitz/Schlatmann, NVwZ 2002, 1281 (1286). 1399 Siehe bereits oben unter: Teil 3,D., I., 4 a). 1400 U. Stelkens, in: Stelkens/Bonk/Sachs (Hrsg.), § 37 VwVfG, Rn. 10 ff.; Yildirim, Datenschutz im Electronic Government, S. 238. D. Einfachgesetzliche Vorgaben 193 Verwaltungsverfahren Pseudonyme zu verwenden1401. In § 37 Abs. 3 VwVfG ist geregelt, dass ein elektronischer Verwaltungsakt die erlassende Behörde erkennen lassen muss und die Unterschrift oder die Namenswiedergabe des Behördenleiters, seines Vertreters oder seines Beauftragten enthalten muss. Für die Namenswiedergabe als gleichwertigen Ersatz für die Unterschrift reicht eine maschinengeschriebene Wiedergabe des Namens1402. Elektronische Verwaltungsakte sollen der Schriftform gleichwertige Verfahrensmöglichkeiten geben, wozu gehört, dass diese nach der Regelung in § 37 Abs. 4 VwVfG dauerhaft in vollem Umfang überprüft werden können1403. Diese Vorschrift stellt bei elektronischen Verwaltungsakten Anforderungen an die qualifizierte elektronische Signatur und geht über die Erfordernisse des § 3a Abs. 2 VwVfG hinaus1404. Der Hintergrund hierfür liegt darin, dass gesichert werden soll, dass Verwaltungsakte mit besonderer Bedeutung über einen längeren Zeitraum hinweg eine gesicherte Beweiskraft zugesprochen werden soll1405, was insbesondere bei Dauer-Verwaltungsakten bedeutsam ist, die auch nach vielen Jahren noch in vollem Umfang überprüfbar sein müssen1406. In diesem Zusammenhang werden Rechtssicherheit und technische Sicherheit miteinander verknüpft1407, was angesichts einer Orientierung am jeweiligen Stand der Technik sowie mangelnder Einflussmöglichkeiten eines Signaturverwenders kritisch gesehen wird1408. Die Regelung des § 3a Abs. 2 VwVfG sieht vor, dass neben Anträgen und Anzeigen auch elektronische Verwaltungsakte mit einer De-Mail in der Form „absenderbestätigt“1409 gemäß § 5 De-Mail-Gesetz schriftformersetzend versendet werden können1410. In diesem Zusammenhang wird die De-Mail, die den Verwaltungsakt enthält, im Regelfall mit einer Transportverschlüsselung auf dem Weg vom Sender zu seinem De-Mail-Diensteanbieter versehen, dort kurz automatisiert entschlüsselt und auf Schadsoftware überprüft, für den Versand zum Diensteanbieter des Empfängers er- 1401 So Yildirim, Datenschutz im Electronic Government, S. 238. 1402 Hoffmann u. a., Der E-Postbrief in der öffentlichen Verwaltung, S. 37; Ruffert, in: Knack/Henneke (Hrsg.), § 37 VwVfG, Rn. 57. 1403 Schmitz/Schlatmann, NVwZ 2002, 1281 (1286). 1404 Heckmann/Albrecht, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 1. Aufl. 2012, § 37 VwVfG, Rn. 93. 1405 Guckelberger, VerwArch 2006, 62 (70); Kopp/Ramsauer, § 37 VwVfG, Rn. 37 a, Ruffert, in: Knack/ Henneke, § 37 VwVfG, Rn. 62 f.; Heckmann/Albrecht, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 1. Aufl. 2012, § 37 VwVfG, Rn. 93. 1406 Schliesky, NVwZ 2003, 1322 (1325); Ruffert, in: Knack/Henneke, § 37 VwVfG, Rn. 62; Heckmann, Kap. 5, Rn. 440. 1407 Heckmann/Albrecht, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 1. Aufl., 2012, § 37 VwVfG, Rn. 95. 1408 Schliesky, NVwZ 2003, 1322 (1325); Eifert, Electronic Government, S. 107; Heckmann/Albrecht, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 1. Aufl. 2012, § 37 VwVfG, Rn. 95. 1409 Diese Formulierung wählt die BSI TR 01201 Teil 3.1 Version 1.1.1. zur Postfach- und Versanddienst Funktionalitätsspezifikation bei De-Mail, zu finden unter: https://www.bsi.bund.de/Shared Docs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/De_Mail/TR_De_Mail_PVD_FU .pdf;jsessionid=A8150D98A04CC6D64486D144D5704C0B.2_cid286?__blob=publicationFile (letzter Abruf: 08.11.2015). 1410 BR-Drs. 557/12, S. 10 und 72 ff. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 194 neut verschlüsselt, bei diesem Diensteanbieter wieder kurz zur Erkennung von Schadsoftware entschlüsselt und dann verschlüsselt an den Empfänger gesendet1411. Neben der elektronischen Zustellung eines Verwaltungsaktes ist im Sinne einer medienbruchfreien Kommunikation auch die Ebene der möglichen Rechtsbehelfe und Rechtsmittel relevant, auf deren Einlegung in elektronischer Form in einer Rechtsbehelfsbelehrung hinzuweisen ist1412. Anforderungen des Verwaltungszustellungsrechts Insbesondere bei der massenhaften elektronischen Übermittlung von Verwaltungsakten ist die Frage der Zustellung von besonderer Bedeutung1413, da diese in der Sphäre des Bürgers als Nutzer von transaktionsbezogenem E-Government Wirkungen entfaltet. Deshalb ist hier auf die verwaltungszustellungsrechtlichen Rahmenbedingungen einzugehen. Grundsatz: Wirksamkeit mit Bekanntgabe In § 43 Abs. 1 VwVfG ist geregelt, dass ein Verwaltungsakt erst mit der Bekanntgabe an den Adressaten wirksam wird. Grundsätzlich gilt für die Verwaltungsbehörde bei der Frage der Bekanntgabe auch der Grundsatz der Nichtförmlichkeit aus § 10 VwVfG, soweit gesetzlich nichts anderes geregelt ist1414. Die erlassende Behörde muss einen Entäußerungswillen haben, also wissentlich und willentlich handeln, und der Verwaltungsakt muss in den Herrschafts- und Wahrnehmungsbereich des Empfängers gelangen1415. Bei einem Verwaltungsakt handelt es sich um eine empfangsbedürftige öffentlich-rechtliche Willenserklärung1416. Wenn die Bekanntgabe fehlt, erlangt der Verwaltungsakt keine rechtliche Existenz1417. Die Art und Weise der Bekanntgabe eines Verwaltungsaktes hängt auch davon ab, für welche Form des Erlasses sich die Behörde nach § 37 Abs. 2 Satz 1 VwVfG entschieden hat. Darüber hinaus kann die Behörde grundsätzlich zwischen der nicht förmlichen Bekanntgabe oder der förmlichen Zustellung unterscheiden, wobei die Zustellung eine streng formalisierte II. 1. 1411 BR-Drs- 557/12, S. 72; zur Gebotenheit der Verschlüsselung speziell bei elektronischen Verwaltungsakten als notwendige Sicherheitsvorkehrung: Heckmann/Albrecht, in: Bauer u.a. (Hrsg.),Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 1. Aufl., 2012, § 37 VwVfG, Rn. 95 mit Verweis auf Schmitz, DÖV 2005, 885 (892). 1412 Starke, LKV 2010, 358 (360). 1413 Vom Zeitpunkt der Zustellung als „Dreh- und Angelpunkt“ bei der Diskussion um rechtssichere E- Mail-Kommunikation spricht Mertes, DuD 2010, 633 (635); zum Verhältnis des VwZG und den Landeszustellungsgesetzen: Weidemann, DVP 2011, 406 (407). 1414 Zur Frage des Zugangs von Willenserklärungen und Textform im E-Mailverkehr näher: Thalmair, NJW 2011, 14 (14 ff.). 1415 Weidemann, DVP 2011, 406 (406); Weidemann/Barthel, DVP 2010, 486 (486). 1416 Schoch, JURA 2011, 23 (24). 1417 Weidemann, DVP 2011, 406 (406). D. Einfachgesetzliche Vorgaben 195 Form der Bekanntgabe darstellt1418. Dies gilt selbstverständlich auch bei der elektronischen Übermittlung eines Verwaltungsaktes. In § 2 Abs. 1 VwZG ist geregelt, dass die Zustellung die Bekanntgabe eines schriftlichen oder elektronischen Dokuments in der im VwZG bestimmten Form ist. Elektronische Zustellung gegen Empfangsbekenntnis In § 5 Abs. 5 S. 1 VwZG ist die elektronische Zustellung eines Dokuments gegen Empfangsbekenntnis geregelt. Diese ermöglicht die Zustellung auf elektronischem Wege an jedermann, soweit der Empfänger hierfür einen Zugang eröffnet hat1419. Nach § 5 Abs. 5 S. 3 VwZG muss das Dokument für die Übermittlung mit einer qualifizierten elektronischen Signatur versehen sein und gegen unbefugte Kenntnisnahme Dritter geschützt sein. Die elektronische Zustellung ist durch diese Vorschriften der schriftlichen gleichgestellt1420. Das Zustellungsrecht stellt in § 5 Abs. 5 S. 2 VwZG die Anforderung im Sinne der Datensicherheit, dass die unbefugte Kenntnisnahme durch Dritte bei dieser Form der Zustellung nicht möglich ist. Ein wichtiges Element, welches den Ablauf aus der analogen Welt abbildet, ist das mit Datum und Unterschrift versehene Empfangsbekenntnis nach § 5 Abs. 7 S. 1 VwZG, welches an die Behörde postalisch oder elektronisch zurückzusenden ist1421. Ergänzend gibt es nach § 5 Abs. 5 S. 2 eine obligatorische elektronische Zustellung, die eingreift, wenn aufgrund einer Rechtsvorschrift ein Verfahren auf Verlangen des Empfängers in elektronischer Form abgewickelt wird1422. Diese Vorschrift wurde im Zuge der Umsetzung der EU-Dienstleistungsrichtlinie eingefügt und korrespondiert mit der Vorschrift zur Ermöglichung der elektronischen Kommunikation nach § 71e VwVfG1423. Elektronische Zustellung gegen Abholbestätigung mittels De-Mail Als neues Verfahren ist durch das De-Mail-Gesetz die elektronische Zustellung gegen Abholbestätigung mittels De-Mail eingeführt worden1424. Im Zuge der Schaffung neuer leistungsfähiger Infrastrukturen für transaktionsbezogenes E-Government war 2. 3. 1418 Weidemann, DVP 2011, 406 (406); Weidemann/Barthel, DVP 2010, 486 (486), Herwig, MMR 2001, 145 (147 ff.). 1419 Engelhardt/App, VwZG, § 5 Rn. 11; zu den Anforderungen an eine Rechtsbehelfsbelehrung im Rahmen der elektronischen Kommunikation: Weidemann, DVP 2013, 367 (367 ff.). 1420 Sadler, VwZG, § 5 Rn. 60. 1421 Zur förmlichen Zustellung vgl. auch: Schulz S. E./Brackmann, KommJur 2013, 81 (84). 1422 Engelhardt/App, VwZG, § 5 Rn. 11. 1423 Hoffmann u. a., Der E-Postbrief in der öffentlichen Verwaltung, S. 84; zum elektronischen Verfahren auf Verlangen des Nutzers nach § 71 e VwVfG: Schulz, DVBl 2009, 12 (12 ff.); ders., VM 2009, 3 (3 ff.); ders., NdsVBl 2009, 97 (97 ff.); ders., Die Gemeinde SH 2010, 98 (98 ff.). 1424 Hierzu Weidemann, DVP 2013, 232 233 f.); BT-Drs. 17/3630, S. 47 ff; im Land Nordrhein-Westfalen passt der Gesetzgeber auch das Landeszustellungsrecht an das De-Mail-Gesetz an: Vgl. hierzu LT-Drs. 16/58, S. 1ff; ein Überblick über die Möglichkeiten der elektronischen Zustellung in anderen europäischen Ländern findet sich bei: Tauber, DuD 2011, 774 (775 ff.), sowie mit Fokus auf Österreich bei: Reichstädter/Tauber, eGovernment Review 2010, 18 (18 f.). Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 196 zwingend auch eine Ergänzung des Verwaltungszustellungsrechts notwendig geworden. Nach den Vorgaben des neu eingefügten § 5a VwZG werden die Möglichkeiten der elektronischen Zustellung nach § 5 Abs. 4 und 5 VwZG ergänzt1425. Der Empfänger muss nach § 5a Abs. 1 VwZG ein De-Mail-Postfach eröffnet haben, damit die Behörde diese Art der Zustellung wählen kann1426. Ein wesentliches Unterscheidungsmerkmal dieser ergänzenden Möglichkeit gegenüber der elektronischen Zustellung gegen Empfangsbekenntnis ist die beweissichere elektronische Abholbestätigung bei der Zustellung über De-Mail-Dienste nach § 5a Abs. 2 VwZG, die der akkreditierte De-Mail-Diensteanbieter elektronisch erzeugt, sodass die Beweismöglichkeiten über den Zugang und die Möglichkeit der Kenntnisnahme erheblich verbessert werden1427. Diese elektronische Abholbestätigung enthält nach § 5 Abs. 9 S. 4 De-Mail-Gesetz die De-Mail-Adressen des Absenders und Empfängers, das Datum und die Uhrzeit des Eingangs der Nachricht im De-Mail-Postfach des Empfängers, das Datum und die Uhrzeit der konkreten sicheren Anmeldung des Empfängers an seinem De-Mail- Konto und den Namen des akkreditierten De-Mail-Anbieters, der die Abholbestätigung erzeugt, und die Prüfsumme der zu bestätigenden Nachricht. Bei der Prüfsumme wird es sich i. d. R. um den sog. Hashwert handeln, sodass es dem Sender der Nachricht ermöglicht wird, im Streitfall zu beweisen, dass der Inhalt der Nachricht so, wie er versandt wurde, zugegangen ist1428. Nach § 9 Abs. 5 S. 5 De-Mail-Gesetz muss der akkreditierte De-Mail-Diensteanbieter die Abholbestätigung mit einer qualifizierten elektronischen Signatur nach dem SigG versehen. Der De-Mail-Diensteanbieter handelt bei der Erzeugung der elektronischen Abholbestätigung in Ausübung hoheitlicher Befugnisse, da die Feststellungen in der elektronischen Abholbestätigung über § 5a Abs. 3 S. 2 VwZG, der auf die §§ 371 Abs. 1 S. 2, 371a Abs. 2 ZPO verweist, gegenüber dem Richter Bindungswirkung entfalten1429. Die Abholbestätigung erbringt den Beweis für die förmliche Zustellung durch die absendende Behörde und hat volle Beweiskraft einer öffentlichen Urkunde nach § 418 ZPO1430. Einer einfachen E-Mail kommt eine derartige Beweiswirkung nach der Entscheidung des Gesetzgebers gerade nicht zu1431. Insoweit erhöht die Abholbestätigung im Falle des Einsatzes einer De- Mail als Kommunikationsinfrastruktur die Rechtssicherheit erheblich1432. 1425 BT-Drs. 17/3630, S. 48; Hoffmann u. a., Der E-Postbrief in der öffentlichen Verwaltung, S. 109; Schlatmann, in: Engelhardt/App, VwZG, 9. Aufl. 2011, § 5a Rn. 1; Weidemann, DVP 2011, 406 (410). 1426 Weidemann, DVP 2011, 406 (411). 1427 Sadler, VwZG, 8. Aufl. 2011, § 5a Rn. 3; Schlatmann, in: Engelhardt/App, VwZG, 9. Aufl. 2011, § 5a Rn. 1; BT-Drs. 17/3630, 48. 1428 Keller-Herder, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 1. Aufl. 2012, § 5 De-Mail-Gesetz, Rn 21; Roßnagel/ Hornung/Knopp/Wilke, DuD 2009, 728 (732 f.); zur Rolle der Prüfsumme bei der Integritätssicherung einer Nachricht: Lechtenbörger, DuD 2011, 268 (269). 1429 Schlatmann, in: Engelhardt/App, VwZG, 9. Aufl. 2011, § 5a Rn. 3. 1430 Sadler, VwZG, 8. Aufl. 2011, § 5a Rn. 12; generell zum Beweiswert von Eingangsbestätigungen bei einfachen E-Mails und der Möglichkeit eines Anscheinsbeweises: Mankowski, NJW 2004, 1901 (1906) m. w. N. 1431 Schmidt/Pruß/Kast, CR 2008, 267 (271); Bisges, MMR Fokus 9/2010, VIII (X). 1432 So auch Roßnagel/ Hornung/Knopp/Wilke, DuD 2009, 728 (732). D. Einfachgesetzliche Vorgaben 197 Eine Neuerung durch den § 5a VwZG ist die Möglichkeit einer sog. „konfrontativen Zustellung“ ohne Kooperation des Empfängers1433. Nach § 5 Abs. 7 S. 2 VwZG greift in den Fällen des § 5 Abs. 5 S. 2 VwZG, wo auf Verlangen des Empfängers die elektronische Form gewählt wird, eine Drei-Tages-Fiktion. Durch die Neuregelung in § 5 Abs. 7 S. 3 VwZG kann der Nachweis einer nicht erfolgten oder verspäteten Zustellung nicht mehr durch Glaubhaftmachung, sondern nur durch den Vollbeweis seitens des Adressaten erfolgen.1434 Die Beweisanforderungen werden damit gegenüber dem bisherigen Recht angehoben, sodass in diesem speziellen Fall der Empfänger die Beweislast trägt1435. Auf diese Weise soll der missbräuchlichen Widerlegung der Zustellungsfiktion durch den Empfänger, um beispielsweise das Wirksamwerden eines belastenden Bescheides zu verhindern, entgegengewirkt werden.1436 Über die Rechtsfolge des Eintritts der Zustellungsfiktion muss der Empfänger vor Übermittlung des elektronischen Dokuments belehrt werden1437. Dieses als „Zustellungsfalle“1438 zu qualifizieren, geht erkennbar zu weit. Die Verwaltungszustellung über De-Mail-Dienste knüpft zum einen an eine freie Entscheidung der Nutzer an1439. Zum anderen findet eine Belehrung gemäß § 5 Abs. 7 S. 4 VwZG statt. Darüber hinaus erlaubt auch in der analogen Welt die Regelung des § 3 VwZG i. V. m. § 180 ZPO bereits die Zustellung durch Ablegen der Nachricht in den Briefkasten, wenn niemand angetroffen wird1440. Insoweit kann insgesamt nicht davon gesprochen werden, dass hier für den Nutzer von transaktionsbezogenem E-Government neue, völlig sachfremde Anforderungen gestellt werden. Insgesamt ermöglicht die elektronische Zustellung gegen Abholbestätigung mittels De-Mail eine für den Nutzer freundlichere Möglichkeit als die elektronische Zustellung gegen Empfangsbekenntnis. Anforderungen des E-Government-Gesetzes des Bundes Integrierter Ansatz für E-Government Für die Nutzung von transaktionsbezogenen E-Government-Anwendungen von herausragender Bedeutung sind die Regelungen des „Gesetzes zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften“ vom 25.07.20131441, III. 1. 1433 Roßnagel, CR 2011, 23 (29); ders./Hornung/Knopp/Wilke, DuD 2009, 728 (732); Hoffmann u. a., Der E-Postbrief in der öffentlichen Verwaltung, S. 110. 1434 BT-Drs. 17/3630, S. 48. 1435 Schlatmann, in: Engelhardt/App, VwZG, 9. Aufl. 2011, § 5 Rn. 28. 1436 BT-Drs. 17/3630, S. 48. 1437 Sadler, VwZG, 8. Aufl. 2011, § 5 Rn. 138. 1438 So Steppling, NJW Editorial 18/2009; kritisch auch in diesem Zusammenhang: Lapp, DuD 2009, 651 (652). 1439 BT-Drs. 17/3630, S. 48; Schlatmann, in: Engelhardt/App, VwZG, 9. Aufl. 2011, § 5a Rn. 2; Hoffmann u. a., Der E-Postbrief in der öffentlichen Verwaltung, S. 110. 1440 Roßnagel/Hornung/Knopp/Wilke, DuD 2009, 728 (733). 1441 BGBl. I, 2749; vgl. hierzu: Albrecht/Schmid, K&R 2013, 529 (529 ff.); Roßnagel, NJW 2013, 2710 (2710 ff.); Habammer/Denkhaus, MMR 2013, 359 (359 ff.); zu den Folgen der unterlassenen Notifi- Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 198 das ab dem 01.08.2013 stufenweise in Kraft getreten ist. Dieses Artikelgesetz hat keine eigene Kurzbezeichnung und es wird teilweise als E-Government-Gesetz bezeichnet, was eigentlich nur für das mit dem Artikel 1 eingeführte „Gesetz zur Förderung der elektronischen Verwaltung“ (E-Government-Gesetz – EGovG) richtig ist1442. Diese Neuregelungen sind im Verbund mit den vorhandenen Vorschriften, namentlich dem De-Mail-Gesetz und VwVfG und VwZG, entscheidend für die Weiterentwicklung von E-Government in Deutschland. Der entsprechende Gesetzentwurf1443 ist am 19.09.2012 vom Bundeskabinett beschlossen worden1444. Dieser ist ein weiterer Schritt bei der Schaffung eines Rechtsrahmens im E-Government, der dem Trend und der Notwendigkeit zur Verrechtlichung1445 in diesem Bereich folgt. Dieses Gesetz, das seine politische Grundlage u. a. im Koalitionsvertrag „Wachstum, Bildung, Zusammenhalt“ der 17. Legislaturperiode zwischen CDU, CSU und FDP findet, ist als Zustimmungsgesetz konzipiert1446. Das Gesetz enthält als Artikelgesetz 25 Regelungsbereiche und greift sowohl Aspekte der Interaktionsstufe Information als auch der Stufen Kommunikation sowie Transaktion auf. In Art. 1 ist das E-Government- Gesetz (EGovG) als Stammgesetz enthalten, welches als Kodifikation in Kraft treten soll, die anderen Änderungsartikel betreffen bestehende Gesetze, die für die elektronische Verwaltung angepasst werden sollen1447. Dementsprechend wird es in Zukunft entscheidend auf das „Zusammenspiel“ der verschiedenen Vorschriften ankommen. Ziel des Gesetzes ist es, die elektronische Kommunikation des Bürgers und von Unternehmen mit der Verwaltung zu erleichtern, diese medienbruchfrei vom Antrag bis zur Archivierung und nutzerfreundlich zu gestalten sowie diese an den Lebenslagen der Bürger und den Bedarfslagen der Unternehmen zu orientieren1448. Entsprechend dieser Zielsetzung hat der Gesetzentwurf diese drei Schwerpunkte gehabt: die Zulassung hinreichend sicherer technischer Verfahren zur Ersetzung der Schriftform neben der qeS in § 3a VwVfG und den entsprechenden Parallelnormen, die Implementierung sog. Motornormen zur Weiterentwicklung von E-Government, z. B. solche zur elektronischen Aktenführung und zum „ersetzenden Scannen“, sowie Anpassunzierung des EGovG: Habammer/Denkhaus, MMR 2014, 14 (14 ff.); Heckmann, MMR 2013, 561 (561 ff.); zu der Frage der Technikneutralität: Heckmann/Albrecht, ZRP 2013, 42 (42 ff.); darüber hinaus gibt es weitere Änderungen des VwVfG wie z. B. in § 27 a VwVfG, der nunmehr die öffentliche Bekanntmachung im Internet regelt: Vgl. Schmitz/Prell, NVwZ 2013, 745 (749). 1442 Prell, NVwZ 2013, 1514 (1514); die Abkürzung EGovG wird hier daher richtigerweise nur im Zusammenhang mit den Regelungen des neuen Stammgesetzes verwendet. 1443 BR-Drs. 557/12. 1444 Vgl. die Übersicht unter: http://www.cr-online.de/28960.htm (letzter Abruf: 08.11.2015). 1445 Heckmann, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 1. Aufl. 2012, Einführung, Rn. 68; ders., MMR 2006, 3 (3); Schulz S. E., eGovernment Review 2010, 22 (23); die Verrechtlichung als zwingende Konsequenz aus der technischen Entwicklung sieht Schulz S. E., DÖV 2010, 225 (227). 1446 Müller-Terpitz/Rauchhaus, JurPC Web-Dok. 96/2012, Abs. 1; zur Zustimmung im Bundesrat unten: Teil 3, D, III, 11. 1447 Hintergrundinformationen des BMI zum Entwurf eines Gesetzes zur Förderung der elektronischen Verwaltung, S. 1, abrufbar unter: www.bmi.bund.de (letzter Abruf: 08.11.2015). 1448 BR-Drs. 557/12, S. 2. D. Einfachgesetzliche Vorgaben 199 gen der Formerfordernisse in verschiedenen Rechtsgebieten1449. Als hinreichend sichere technische Verfahren zur Ersetzung der Schriftform werden hier die De-Mail und der neue Personalausweis privilegiert, was der Erkenntnis geschuldet ist, dass sich die qeS in der Breite nicht hat durchsetzen können1450. Das Gesetz berücksichtigt in § 9 darüber hinaus auch einzelne Regelungen zu der im Kontext des E-Governments wichtigen Prozessoptimierung sowie zum öffentlich verfügbaren Bereitstellen von Datenbeständen der öffentlichen Hand, sog. Open Data, in § 12 und versucht daher ganzheitlich anzusetzen und zu verknüpfen. Die weitere Darstellung beschränkt sich auf die Aspekte des Entwurfs, die für transaktionsbezogenes E-Government von Relevanz sind, da ansonsten der Rahmen dieser Arbeit gesprengt werden würde. Geltungsbereich Nach § 1 EGovG gilt das Gesetz für die öffentlich-rechtliche Verwaltungstätigkeit der Behörden des Bundes einschließlich der bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts. Das Gesetz gilt nach § 1 Abs. 2 S. 1 EGovG auch für die öffentlich-rechtliche Verwaltungstätigkeit der Behörden der Länder einschließlich der ihrer Aufsicht unterstehenden juristischen Personen des öffentlichen Rechts, wenn sie Bundesrecht ausführen. Der Begriff der Behörde lehnt sich jeweils an die weite Definition des § 1 Abs. 4 VwVfG an1451. Mit dem Ausführen von Bundesrecht ist entweder das Ausführen als eigene Angelegenheit des Landes nach Art. 84 GG oder das Ausführen im Auftrag des Bundes nach Artt. 85, 108 Abs. 3 GG gemeint1452. Das Gesetz gilt nach § 1 Abs. 2 S. 2 EGovG auch, wenn die Aufgaben den Gemeinden und Gemeindeverbänden durch Landesrecht übertragen worden sind. Diese Erstreckung der Regelungen auf die Behörden der Länder und der Kommunen ist für die Durchschlagskraft des EGovG höchst bedeutsam, weil Bundesgesetze ganz überwiegend durch Landesbehörden und Kommunen vollzogen werden1453. Im Bereich der Justiz gilt das EGovG in genau demselben eingeschränkten Umfang wie das VwVfG1454. Auch wenn das EGovG damit aus kompetenzrechtlichen Gründen nicht die gesamte deutsche Verwaltungslandschaft erfasst, soll dieses über die föderalen Ebenen hinweg Wirkung entfalten1455. Das Gesetz soll eine „Vorbildfunktion“ für die Landesgesetzgebung entfalten und wird deshalb auch als „Ermöglichungsgesetz“ qua- 2. 1449 Hintergrundinformationen des BMI zum Entwurf eines Gesetzes zur Förderung der elektronischen Verwaltung, S. 1, abrufbar unter: http://www.bmi.bund.de/SharedDocs/Downloads/DE/Ges etzestexte/Entwuerfe/hintergrundpapier_egovg.pdf?__blob=publicationFile (letzter Abruf: 08.11.2015). 1450 Heckmann, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 1. Aufl., 2012, Einführung, Rn. 96. 1451 BR-Drs. 557/12, S. 46. 1452 BR-Drs. 557/12, S. 47. 1453 Müller-Terpitz/Rauchhaus, JurPC Web-Dok. 96/2012, Abs. 4. 1454 BR-Drs. 557/12, 47. 1455 Heckmann, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 1. Aufl. 2012, Einführung, Rn. 78 u.71. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 200 lifiziert1456. Mittlerweile wird in einigen Bundesländern die Erarbeitung von Landes- E-Government-Gesetzen angekündigt1457. Elektronischer Zugang zur Verwaltung Freiwilligkeit für den Nutzer Für den Nutzer von transaktionsbezogenem E-Government bleibt es bei der freiwilligen Entscheidung als Leitbild bei der Frage der Zugangseröffnung für die elektronische Kommunikation und es findet kein aufgedrängtes E-Government statt1458. Damit erhält das Freiwilligkeitsprinzip für den Bürger ergänzend zu § 3a VwVfG eine gesetzliche Absicherung. Die Frage des „Ob“ für transaktionsbezogenes E-Government kann und muss der Nutzer eigenverantwortlich für sich entscheiden. Eine Modifizierung erfährt die Zugangseröffnung seitens des Bürgers durch Art. 2 des „Gesetzes zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften“, der den § 7 Abs. 3 De-Mail-Gesetz ergänzt1459. Der in der De-Mail-Infrastruktur vorgesehene Verzeichnisdienst, der nur für De-Mail-Nutzer eingesehen werden kann, soll als Informationsquelle für die Zugangseröffnung für Verwaltungskommunikation dienen, damit die Unsicherheiten1460 in diesem Bereich behoben werden1461. Die Wirkung der Zugangseröffnung soll dadurch gegenüber jeder Behörde und für jedes Verwaltungsverfahren sowie alle anderen Kommunikationspartner wie z. B. Unternehmen gleichermaßen erfolgen1462. Der Nutzer ist nach § 9 De-Mail-Gesetz durch seinen De-Mail-Diensteanbieter auf diesen Umstand mit weitreichender Wirkung hinzuweisen1463. Die Möglichkeit einer Beschränkung der Zugangseröffnung nur für bestimmte Verfahren ist im EGovG nicht vorgesehen1464. Explizit ist aber eine Regelung vorgesehen, wonach die Entscheidung des Nutzers, die Zugangseröffnung zu- 3. a) 1456 Müller-Terpitz/Rauchhaus, JurPC Web-Dok. 96/2012, Abs. 6; zum Verhältnis des EGovG-E zum EGovG-E des Landes Schleswig-Holstein: Dies., JurPC Web-Dok. 96/2012, Abs. 42 ff.; zu den Möglichkeiten der Bundesregierung durch Rechtsverordnung: Schulz S. E./Tischer, NVwZ 2014, 1049 (1049 ff.). 1457 Vgl. die Übersicht des IT-Planungsrates mit Stand 31.10.2016; abrufbar unter: https://www.it-plan ungsrat.de/SharedDocs/Downloads/DE/Projekte/Stand_E-GovG-Gesetzgebung_Laender.pdf?__bl ob=publicationFile&v=5 (letzter Abruf: 30.09.2018); Speziell in Niedersachsen integriert der entsprechende Gesetzentwurf neben dem verfahrensrechtlichen Teil in einem eigenen Teil des Gesetzes Vorgaben zur Informationssicherheit: LT-Drs. 18/1598. 1458 Albrecht/Heckmann, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 1. Aufl.2012, § 3a VwVfG, Rn. 48; Brackmann u. a., Der E-Postbrief in der Kommunalverwaltung, S. 26. 1459 Das De-Mail-Gesetz ging bereits von einer grundsätzlich freiwilligen Nutzung der De-Mail-Dienste aus: Vgl. BT-Drs. 17/3630, S. 1. 1460 Vgl. hierzu bereits oben. 1461 BR-Drs. 557/12, S. 73 f. 1462 BR-Drs. 557/12, S. 74. 1463 BR-Drs. 557/12, S. 74 m. w. N.; der Gesetzgeber geht anders als in der früheren Begründung zu § 7 Abs. 3 De-Mail-Gesetz davon aus, dass der Hinweis auf die weitreichende Wirkung der Veröffentlichung im Verzeichnisdienst die Akzeptanz der De-Mail-Dienste bei den Bürgern schmälert. 1464 Für die verfahrensbeschränkte und/oder befristete Zulassung einer Zugangseröffnung kraft Verfahrenseintrags mit dem Argument, dass gerade dies zu einer Akzeptanzsteigerung solcher Ver- D. Einfachgesetzliche Vorgaben 201 rückzunehmen, gewährleistet ist und diese ebenfalls im Verzeichnisdienst zu veröffentlichen ist1465. Gesetzliche Verpflichtung der Behörde Im Gegensatz zur Situation beim privaten Nutzer von transaktionsbezogenem E-Government sieht das EGovG ausdrücklich die Aufhebung des Freiwilligkeitsprinzips für die Behörden im Geltungsbereich des Gesetzes bei der Zugangseröffnung vor1466. Diese Regelung verhindert, dass der Bürger, der gerne elektronisch kommunizieren möchte, auf den papierbasierten Weg verwiesen wird1467. Für die Durchschlagskraft des Gesetzes und die Impulse für transaktionsbezogenes E-Government in der Zukunft in der Praxis ist dies von entscheidender Bedeutung. Gesetzliche Absicherung des Multikanalprinzips Diese Grundentscheidungen flankiert § 2 Abs. 1 Satz 1 EGovG durch eine gesetzliche Fixierung des sog. Multikanalprinzips1468. Das bedeutet, dass die Kommunikation über den elektronischen Kanal als eine gleichberechtigte Form neben dem papierschriftlichen, dem telefonischen1469 und dem direkten Zugangskanal besteht. Durch das Wort „auch“ in der Vorschrift wird sichergestellt, dass eine Behörde nicht ausschließlich elektronisch erreichbar sein darf, sondern den Zugang über die anderen Kanäle offenhalten muss1470. Elektronische Eingänge dürfen gegenüber denen in Papierform grundsätzlich nicht bevorzugt werden, sondern sollen in Umsetzung des Zieles A.4 der Nationalen E-Government-Strategie gleichberechtigt nebeneinanderstehen, wobei Vorzüge, die sich aus der elektronischen Bearbeitung ergeben, berücksichtigt werden dürfen1471. b) c) zeichnisdienste beitrage, weil der Nutzer dann nicht von Behördenkommunikation überrascht werden könne: Müller-Terpitz/Rauchhaus, JurPC Web-Dok. 96/2012, Abs. 13. 1465 BR-Drs. 557/12, S. 74. 1466 BR-Drs. 557/12, S. 48; Hintergrundinformationen des BMI zum Entwurf eines Gesetzes zur Förderung der elektronischen Verwaltung, S. 2, abrufbar unter: http://www.bmi.bund.de/SharedDocs/ Downloads/DE/Gesetzestexte/Entwuerfe/hintergrundpapier_egovg.pdf?__blob=publicationFile (letzter Abruf: 08.11.2015). 1467 Heckmann, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 1. Aufl. 2012, Einführung, Rn. 80. 1468 Ramsauer/Frische, NVwZ 2013, 1505 (1508); zu den konzeptionellen Aspekten eines Multikanalprinzips bzw. Mehrkanalansatzes: von Lucke, Hochleistungsportale für die öffentliche Verwaltung, S. 63 ff. 1469 Zur Einbindung des telefonischen Zugangskanals in einen Multikanalansatz am Beispiel der Einheitlichen Behördenrufnummer 115: Warnecke, in: Schliesky/Schulz (Hrsg.), Web 2.0 in der öffentlichen Verwaltung, 57 (57 ff.). 1470 BR-Drs. 557/12, S. 49; Heckmann, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 1. Aufl. 2012, Einführung, Rn. 80. 1471 BR-Drs. 557/12, S. 49. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 202 Einsatz der De-Mail als Schriftformersatz Ein wesentlicher Baustein in der Infrastruktur für transaktionsbezogenes E-Government soll nach Art. 3 des „Gesetzes zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften“ die De-Mail sein. In einer Neufassung des § 3a Abs. 2 VwVfG ist abschließend geregelt, dass eine durch Rechtsvorschrift angeordnete Schriftform durch die elektronische Form ersetzt werden kann. Als Schriftformersatz wird sowohl für Anzeigen und Anträge an die Behörde als auch bei elektronischen Verwaltungsakten und sonstigen elektronischen Dokumenten die Versendung einer De-Mail-Nachricht in der Versandart „absenderbestätigt“ nach § 5 Abs. 5 De-Mail- Gesetz ausdrücklich zugelassen1472. In dieser Neudefinition des Schriftformerfordernisses liegt die wichtigste und tiefgreifendste Veränderung der Neuregelungen1473. Im Zuge des Gesetzgebungsverfahrens ist die Schriftformfunktion in ihren einzelnen Elementen analysiert worden mit dem Ziel weitere nutzerfreundliche Möglichkeiten zur Ersetzung zu implementieren. Die De-Mail erfüllt demnach die Perpetuierungsfunktion, da eine in einer De-Mail enthaltene Erklärung wie eine in einer Urkunde verkörperte Erklärung für eine ausreichende Dauer lesbar und überprüfbar ist, wenn diese auf einem Datenträger gespeichert wird1474. Diese erfüllt auch in der Versandart „absenderbestätigt“ mit Versandbestätigung mit qeS durch den Provider die Abschluss- und Echtheitsfunktion wie eine eigenhändig unterzeichnete Urkunde, da durch die Generierung einer Prüfsumme, des sog. Hashwertes, eine Überprüfung möglich ist, wenn die Nachricht als Ganzes erhalten bleibt1475. Für das Vorhandensein einer nachprüfbaren De-Mail-Nachricht als Ganzes inklusive Metadaten wird die Verantwortung beim Nutzer gesehen1476. Somit sieht das De-Mail-Gesetz den Nutzer grundsätzlich auch als Verantwortungssubjekt. Im Hinblick auf die Warnfunktion, die dem Nutzer vor Augen führen soll, dass er eine rechtserhebliche Erklärung abgibt, soll nicht auf die sichere Erstregistrierung und die sichere Anmeldung am De-Mail-Konto abgestellt werden, sondern durch einen besonderen Button in der Benutzeroberfläche, mit welchem dem Nutzer verdeutlicht werden soll, dass er die schriftformwahrende absenderbestätigte Versandart nutzt1477. Bei Versendung einer De-Mail durch eine Person, die sich mit hohem Authentifizierungsniveau an ihrem De-Mail-Konto anmeldet, ist diese durch die Erstidentifikation und die sichere Anmeldung identifizierbar und durch die Erstellung einer qeS des De- Mail-Diensteanbieters, welche die sichere Anmeldung dokumentiert, verifizierbar, sodass die De-Mail-Dienste auch die Identitäts- und Verifikationsfunktion der Schriftform ersetzen können1478. Für den Fall, dass eine Behörde De-Mail nutzt, um schriftformbedürftige Erklärungen zu versenden, werde die Zurechenbarkeit zu der jeweiligen Stelle als ausreichend angesehen. Wenn die Identifizierung der handelnden natürlichen 4. 1472 BR-Drs. 557/12, S. 76. 1473 So zu Recht Viefhues, in: Hoeren/Sieber (Hrsg.), Handbuch Multimediarecht, Nr. 24, Rn. 106. 1474 Vgl. den Bericht der Bundesregierung nach Art. 5 des Gesetzes zur Regelung von De-Mail-Diensten und zur Änderung weiterer Vorschriften durch das BMI: BT-Drs. 17/10720, S. 6. 1475 BT-Drs. 17/10720, S. 6 f. 1476 BT-Drs. 17/10720, S. 7. 1477 Müller-Terpitz/Rauchhaus, JurPC Web-Dok. 96/2012, Abs. 26. 1478 BT-Drs. 17/10720, S. 7; insbesondere hierzu kritisch: Gabriel, DuD 2012, 395 (400). D. Einfachgesetzliche Vorgaben 203 Person erforderlich ist, müsse die Behörde durch die Ausgestaltung der Verbindung zwischen Arbeitsplatzrechner und Gateway oder sonstige interne Maßnahmen im Rahmen der Vorgangsbearbeitung und Aktenführung sicherstellen, dass eine sichere Identifikation der natürlichen Person möglich ist1479. Der Gesetzgeber will diesen Bereich bewusst nicht regeln, damit aufseiten der Behörden eine einfache und kostengünstige Einbindung der De-Mail in die vorhandene E-Mail-Infrastruktur möglich bleibt, was auch für die Infrastruktur bei De-Mail nutzenden Unternehmen gelte und im Hinblick auf das Handeln einer natürlichen Person im Rahmen der Beweisfunktion wichtig sei1480. Um für die De-Mail die gleichen Beweiswirkungen zu schaffen wie für ein qualifiziert elektronisch signiertes Dokument, ist eine Erweiterung der zivilprozessualen Vorschriften wie § 371a ZPO notwendig1481. Das „Gesetz zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften“ soll durch eine entsprechende Regelung zur Beweiswerterhöhung der De-Mail durch Änderung einschlägiger zivilprozessualer Vorschriften flankiert werden, was in einem Gesetzentwurf für den Bereich der Justiz vorliegt1482. Dies ist für die Vollständigkeit der Erfüllung der einzelnen Schriftformfunktionen durch die De-Mail wichtig. Der Gesetzgeber verpflichtet sich, dass diese beweisrechtliche Privilegierung der De-Mail im Gesetzgebungsverfahren zeitgleich erfolgt, sodass die Schriftformfunktionen entsprechend erfüllt werden können. Nach Erfüllung dieser Anforderungen geht der Gesetzgeber von einer Funktionsäquivalenz der De-Mail mit der qeS aus. Der Einsatz der De-Mail als privilegierter Infrastruktur für transaktionsbezogenes E-Government soll damit jedenfalls bei einer Gesamtbetrachtung des EGovG und des weiteren Rechtsrahmens der „Regelfall“ für die elektronische Kommunikation werden1483. Einsatz des neuen Personalausweises anstelle der Schriftform Parallel zur Privilegierung der De-Mail als Schriftformersatz sieht das „Gesetz zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften“ den Einsatz der eID-Funktion des neuen Personalausweises anstelle der Schriftform für bestimmte Kommunikationskonstellationen als Kernaspekt vor. Nach § 3a Abs. 2 S. 4 Nr. 1 VwVfG soll die Schriftform auch durch unmittelbare Abgabe der Erklärung in einem elektronischen Formular, das von der Behörde in einem Eingabegerät oder über öffentlich zugängliche Netze zur Verfügung gestellt wird und ein sicherer Identitätsnachweis nach § 18 PAuswG ist, also über die eID-Funktion des neuen Personalausweises oder über den elektronischen Aufenthaltstitel, erfolgen. Auf diese Weise soll es auch 5. 1479 BT-Drs. 17/10720, S. 8. 1480 BT-Drs. 17/10720, S. 8. 1481 BR-Drs. 557/12, S. 76; BT-Drs. 17/10720, S. 9. 1482 Zu den Gesetzesinitiativen: http://www.edvgt.de/pages/gesetzesinitiativen-zum-erv.php (letzter Abruf: 08.11.2015); näher auch zu den weiteren Einzelheiten, die hauptsächlich die Justizkommunikation betreffen: Viefhues, in: Hoeren/Sieber (Hrsg.), Handbuch Multimediarecht, Nr. 24, Rn. 109; 1483 Kritisch gesehen wird dies im Hinblick auf das Wettbewerbsrecht und die Technikneutralität; dies kann hier nicht vertieft werden, da ansonsten der Rahmen der Arbeit gesprengt werden würde. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 204 möglich sein, elektronische Web-Anwendungen der Verwaltung durch Bereitstellen elektronischer Formulare in Verbindung mit dem nPA zur Ersetzung der Schriftform einzusetzen1484. Dabei lässt das Verfahren nur eine unmittelbare Eingabe in ein vom Verwender im Übrigen nicht veränderbares Formular mit „Direktausfüllung“ zu1485. Die eID-Funktion des nPA bildet hauptsächlich die Identitätsfunktion der Schriftform ab1486. Die Warnfunktion der Schriftform kann mit einer Einbettung der eID-Funktion in die jeweilige E-Government-Anwendung integriert werden, sodass der Nutzer informiert wird, wenn das Stadium der Vorbereitung in die Abgabe rechtsverbindlicher Erklärungen gegenüber der Behörde übergeht1487. Die übrigen Funktionen der Schriftform kann die eID-Funktion des nPA nicht abbilden. Die Behörde muss hierbei für eine sichere und nachvollziehbare Verknüpfung der Erklärung des Nutzers mit dem elektronischen Identitätsnachweis des Erklärenden sorgen, wobei der Gesetzgeber die konkrete technische und organisatorische Ausgestaltung nicht vorgibt, um der Verwaltung den erforderlichen Gestaltungsspielraum zu geben1488. Sichere behördeninterne Prozesse zur Ersetzung der restlichen Funktionen der Schriftform Eine Abbildung der verbleibenden Funktionen der Schriftform (Abschluss-, Perpetuierungs-, Echtheits-, Verifikations- und Beweisfunktion) kann erforderlichenfalls durch technisch-organisatorische Maßnahmen innerhalb der beteiligten staatlichen Stelle unter Wahrung angemessener Sicherheitsanforderungen umgesetzt werden1489. Die Frage, welche Schriftformfunktion in welchem konkreten Geschäftsprozess benötigt werde, müsse die Verwaltung beantworten1490. Die potenziellen Angebote, welche die Verwaltung über dieses Verfahren anbieten könne, seien sehr heterogen und angebotsgesteuert, sodass auch aus diesem Grund die Behörde ggf. mit verwaltungsinternen Vorschriften festlegen solle, welches Sicherheitsniveau für das jeweilige Verfahren festgelegt werden solle1491. Die Behörde hat im Rahmen des Einsatz- und Ausgestaltungsermessens auch die Verantwortung für das Sicherheitsniveau der Anwendung1492. Der Gesetzgeber empfiehlt hier den Behörden in der Gesetzesbegründung das Vorgehen mit einem „Baukastenmodell“ nach Vorbild des IT-Grundschutzes des BSI1493, an das angeknüpft werden könne und welches u. a. auch für die Behörden der Länder durch den IT-Planungsrat für verbindlich erklärt werden könne1494. Damit 6. 1484 Hintergrundinformationen des BMI zum Entwurf eines Gesetzes zur Förderung der elektronischen Verwaltung, S. 2, abrufbar unter: http://www.bmi.bund.de/SharedDocs/Downloads/DE/Gesetzeste xte/Entwuerfe/hintergrundpapier_egovg.pdf?__blob=publicationFile (letzter Abruf: 08.11.2015). 1485 BR-Drs. 557/12, S. 75. 1486 BT-Drs. 17/10720, S. 10. 1487 BT-Drs. 17/10720, S. 10. 1488 BR 557/12, S. 75. 1489 BT-Drs. 17/10720, S. 10. 1490 BT-Drs. 17/10720, S. 10, kritisch insbesondere zu diesem Aspekt: Schulz G., DuD 2012, 395 (400). 1491 BR 557/12, S. 75. 1492 Johannes, MMR 2013, 694 (699). 1493 Vgl. hierzu https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/ itgrundschutzkataloge_node.html (letzter Abruf: 08.11.2015). 1494 BR-Drs. 557/12, S. 75. D. Einfachgesetzliche Vorgaben 205 sind hier für den Fall des Einsatzes der eID-Funktion im Rahmen von transaktionsbezogenen E-Government-Anwendungen maßgebliche Aspekte im Hinblick auf die Datensicherheit und die Sicherheit des gesamten Verfahrens auf die einzelnen Behörden verlagert. Daher kommt hier den untergesetzlichen IT-Standards besondere Bedeutung zu. Insgesamt liefert der Einsatz der eID-Funktion die notwendige Flexibilität bei der Gestaltung von transaktionsbezogenen E-Government-Anwendungen in der Praxis. Modifizierung bestehender Schriftformerfordernisse Der Gesetzgeber differenziert im Rahmen der Neuregelungen grundsätzlich zwischen der Schriftform im materiellen Recht und im Prozessrecht, wonach im Prozessrecht ein spezieller Schriftformbegriff gelte, auf den § 130 a ZPO Bezug nehme1495. Das „Gesetz zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften“ hat auch die weitere Modifizierung bestehender Schriftformerfordernisse in den Blick genommen. Das Gesetz sieht in Art. 14 eine Ergänzung des § 70 Abs. 1 VWGO vor, sodass der Widerspruch neben der schriftlichen Einlegung und der Niederschrift bei der Behörde auch elektronisch eingelegt werden kann. Entsprechende Regelungen sind für § 357 AO sowie § 84 Abs. 1 SGG vorgesehen. Für das allgemeine und das sozialrechtliche Verwaltungsverfahren wird daher die Möglichkeit der Widerspruchseinlegung erweitert und für das Steuerrecht Rechtsklarheit geschaffen1496. Darüber hinaus soll drei Jahre nach Inkrafttreten des EGovG eine Überprüfung des gesamten Normenbestandes dahin gehend erfolgen, welche der zahlreichen öffentlichrechtlichen Schriftformerfordernisse, die über das gesamte Besondere Verwaltungsrecht verteilt sind, entbehrlich sind und daher abgeschafft werden können, wofür Art. 29 des „Gesetzes zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften“ eine Berichtspflicht an den Deutschen Bundestag vorsieht1497. Elektronische Aktenführung und ersetzendes Scannen Elektronische Aktenführung Mit § 6 Abs. 1 EGovG soll das Prinzip der elektronischen Aktenführung für Behörden des Bundes eingeführt werden1498. Dabei geht es nicht nur allein um Fragen der Wirtschaftlichkeit bei der Aktenführung in der Verwaltung. Diese Regelung ist wichtig, um die verwaltungsinternen Geschäftsprozesse für transaktionsbezogenes E-Government anschlussfähig zu machen und den bisweilen in der Verwaltungspraxis bestehen- 7. 8. a) 1495 BT-Drs. 17/10720, S. 5. 1496 Müller-Terpitz/Rauchhaus, JurPC Web-Dok. 96/2012, Abs. 27. 1497 Hintergrundinformationen des BMI zum Entwurf eines Gesetzes zur Förderung der elektronischen Verwaltung, S. 2, abrufbar unter: www.bmi.bund.de (letzter Abruf: 20.11.2012). 1498 Auch wenn dieses zunächst nur für die Bundesverwaltung gilt, soll die Vorbildwirkung des EGovG dazu führen, dass Länder und Gemeinden dem Beispiel folgen. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 206 den Rechtsunsicherheiten1499 zu begegnen. Sie verfolgt das Ziel, die in vielen politischen E-Government-Initiativen angestrebte Medienbruchfreiheit von der elektronischen Antragstellung bis zur elektronischen Archivierung zu ermöglichen bzw. zu unterstützen1500. Eine elektronische Akte ist nach der Gesetzesbegründung „eine logische Zusammenfassung sachlich zusammengehöriger oder verfahrensgleicher Vorgänge und/oder Dokumente, die alle bearbeitungs- und aktenrelevanten E-Mails, sonstigen elektronisch erstellten Unterlagen sowie gescannten Papierdokumente umfasst und so eine vollständige Information über die Geschäftsvorfälle eines Sachverhalts ermöglicht“1501. Der Gesetzgeber sieht daher auch neben der Medienbruchfreiheit die Vorteile einer elektronischen Akte im schnelleren Auffinden bearbeitungsrelevanter Informationen, im ortsunabhängigen, kontinuierlichen Zugriff auf Informationen und in der Verbesserung der Transparenz1502. Der gesetzlich nicht normierte Grundsatz ordnungsgemäßer Aktenführung gilt demnach auch uneingeschränkt für die E-Akte, wobei insbesondere den Anforderungen an Aktenmäßigkeit, Vollständigkeit, Nachvollziehbarkeit, Wahrheitsmäßigkeit, Authentizität und Integrität, Vertraulichkeit, ggf. Löschbarkeit, Verkehrsfähigkeit, Verfügbarkeit und Lesbarkeit der Daten eine besondere Bedeutung zukommen soll1503. Hiermit sind also die Grundsätze ordnungsgemä- ßer Aktenführung im Verhältnis zu den Datenschutz-Schutzzielen angesprochen1504. In § 6 Abs. 1 S. 1 E-GovG ist zum einen vorgesehen, dass die Daten auf dauerhaften Datenträgern zu führen sind. In einem bewusst flexiblen Verweis wird in Abs. 2 zum anderen angeordnet, dass die Integrität und Authentizität der Daten in der elektronischen Akte durch geeignete technisch-organisatorische Maßnahmen nach dem Stand der Technik sicherzustellen sind, wodurch eine dynamische Anpassung an die sich stetig wandelnde Technik ermöglicht wird1505. Damit sind hier auch explizite Anforderungen an Datenschutz und Datensicherheit gestellt, wie es beispielsweise auch in § 3a BDSG a. F. der Fall war bzw. nunmehr in Art 32 DS-GVO der Fall ist. Der Gesetzentwurf empfiehlt hier die TR-03125 (TR-ESOR) des BSI, ohne ihren Einsatz explizit vorzuschreiben1506. 1499 Grundsätzlich geht der Gesetzentwurf vom Organisationsermessen der Behörde aus; eine gesetzliche Klarstellung soll aber Rechtsunsicherheiten in der Praxis begegnen, BR-Drs. 557/12, S. 57. 1500 Heckmann, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 1. Aufl. 2012, Einführung, Rn. 86; dieser nennt die Regelung zur elektronischen Aktenführung daher auch ein „Herzstück“ des Gesetzentwurfs; kritisch aber hierzu bereits: ders., K&R 2003, 425 (432). 1501 BR-Drs. 557/12, S. 56. 1502 BR-Drs. 557/12, S. 56. 1503 Hintergrundinformationen des BMI zum Entwurf eines Gesetzes zur Förderung der elektronischen Verwaltung, S. 4, abrufbar unter: http://www.bmi.bund.de/SharedDocs/Downloads/DE/Gesetzeste xte/Entwuerfe/hintergrundpapier_egovg.pdf?__blob=publicationFile (letzter Abruf: 08.11.2015). 1504 Vgl. hierzu auch Karg, DuD 2013, 702 (706 ff.). 1505 Müller-Terpitz/Rauchhaus, JurPC Web-Dok. 96/2012, Abs. 21. 1506 BR-Drs. 557/12, S. 56; ob diese Regelung für besonders sensible Datenkategorien (Steuer- oder Gesundheitsdaten, Betriebs- und Geschäftsgeheimnisse etc. ) ausreicht, bezweifeln: Müller-Terpitz/ Rauchhaus, JurPC Web-Dok. 96/2012, Abs. 50. D. Einfachgesetzliche Vorgaben 207 Ersetzendes Scannen Korrespondierend mit dem Prinzip der elektronischen Aktenführung, enthält § 7 EGovG eine Regelung zum sog. „Ersetzenden Scannen“ für die Behörden des Bundes, die gelten soll, soweit spezialgesetzlich nichts anderes eingreift1507. Damit sollen Papierdokumente eingescannt und somit für einen elektronischen Workflow medienbruchfrei weiterverwendet werden können1508. Diese Regelung trägt dem Umstand Rechnung, dass derzeit die Aktenführung noch in starkem Maße papierbasiert stattfindet und Transformationsmechanismen benötigt werden, um eine wirtschaftlich, organisatorisch und beweisrechtlich fragwürdige parallele Führung von Papier- und elektronischen Akten zu vermeiden1509. Da dies für eine konsequente Einführung von transaktionsbezogenem E-Government und anschlussfähigen Geschäftsprozessen innerhalb der Verwaltung entscheidend ist, ist auch ein Bedürfnis über diese Regelung hinaus erkennbar, das ersetzende Scannen für die Landes- und Kommunalverwaltung auf eine gesetzliche Grundlage zu stellen1510. Nach § 7 Abs. 1 S. 2 EGovG muss bei der Übertragung in elektronische Dokumente nach dem Stand der Technik sichergestellt werden, dass die elektronischen Dokumente mit den Papierdokumenten bildlich und inhaltlich übereinstimmen, wenn sie lesbar gemacht werden. Als Beispiel für den Stand der Technik weist der Gesetzentwurf im Sinne einer widerlegbaren Vermutung auf die Technische Richtlinie „Rechtssicheres ersetzendes Scannen“ (TR-RESISCAN) des BSI1511 hin, wonach Anforderungen technisch-organisatorischer Art an Scanprozesse entwickelt worden sind, deren Einhaltung das Erstellen und die Anwendung möglichst rechtssicherer Scanlösungen ermöglicht1512. Die Regelung enthält in Abs. 3 eine Generalklausel für den Fall, dass das Übertragen des Originals einen technisch unvertretbar hohen Aufwand verursacht. Für die Umsetzung in der Praxis ist wichtig, dass sich die Regelung nicht auf „Altbestände“ von Papierakten bezieht und damit die Frage, ob deren Umwandlung erfolgen soll, in das Ermessen der jeweiligen Behörde gestellt ist1513. In Abs. 2 ist die Vernichtung des Papieroriginals nach der Übertragung in elektronische Dokumente geregelt. Diese soll regelmäßig stattfinden, sobald eine b) 1507 BR-Drs. 557/12, S. 57; Heckmann, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 1. Aufl., 2012, Einführung, Rn. 88; Müller-Terpitz/Rauchhaus, JurPC Web-Dok. 96/2012, Abs. 22. 1508 Grundsätzlich hierzu: Roßnagel/Nebel, NJW 2014, 886 (886 ff.); Hüsch, CR 2014, 206 (206 ff.); Jandt/Wilke, K&R 2009, 96 (96 ff.). 1509 Heckmann, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 1. Aufl. 2012, Einführung, Rn. 88; BR-Drs. 557/12, S. 58: Die elektronische Akte soll grundsätzlich die „führende“ sein, wobei es keine ausnahmslose Vernichtung von Papieroriginalen aufgrund des Rechts auf effektiven Rechtsschutz nach Art. 19 Abs. 4 GG sowie aufgrund des im Rechtsstaatsprinzip verbürgten Justizgewähranspruchs geben darf. 1510 So Brackmann u. a., Der E-Postbrief in der Kommunalverwaltung, S. 28 m. w. N. 1511 TR-RESISCAN: abrufbar unter: https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03138/index_htm.html (letzter Abruf: 08.11.2015); die Anforderungen dieser technischen Richtlinie sollen sicherstellen, dass die Sicherung des Beweiswertes so gering wie möglich ausfällt. 1512 Müller-Terpitz/Rauchhaus, JurPC Web-Dok. 96/2012, Abs. 22. 1513 BR-Drs. 557/12, S. 58. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 208 weitere Aufbewahrung des Papieroriginals nicht mehr aus rechtlichen Gründen oder zur Qualitätssicherung des Übertragungsvorganges erforderlich ist1514. Elektronische Akteneinsicht, Vorlage von Nachweisen und Abfrage des Verfahrensstandes Elektronische Akteneinsicht In § 8 EGovG findet sich eine Regelung zur elektronischen Akteneinsicht, die im transaktionsbezogenen E-Government massive Bedeutung erlangt. Danach gilt diese Vorschrift für die Behörden des Bundes, wonach diese bei Bestehen eines gesetzlichen Anspruchs Akteneinsicht dadurch gewähren, dass sie einen Aktenausdruck zur Verfügung stellen, die elektronischen Dokumente auf einem Bildschirm wiedergeben, elektronische Dokumente übermitteln oder den elektronischen Zugriff auf den Inhalt der Akten gestatten. Die Vorschrift regelt die Art und Weise der Einsicht in elektronisch geführte Akten, ohne dass sie einen eigenen Anspruch auf Akteneinsicht begründet1515. Der Anspruch ergibt sich nach wie vor z. B. aus Normen wie § 29 VwVfG oder dem IFG. Dieses Akteneinsichtsrecht gehört zu den zentralen Rechten in einem Verwaltungsverfahren und statuiert mittelbar für die Behörden die Verpflichtung zu ordnungsgemäßer Aktenführung1516. Damit muss dies auch im Kontext elektronischer Behördenakten notwendigerweise gewährleistet sein1517. Da sich der Gesetzgeber dem Multikanalprinzip verschrieben hat, muss konsequenterweise auch die Möglichkeit eines Aktenausdrucks vorgesehen sein. Bei den Möglichkeiten der Wiedergabe auf einem Bildschirm, der Übermittlung elektronischer Dokumente sowie dem elektronischen Zugriff auf den Inhalt einer Maßnahme sind die notwendigen technisch-organisatorischen Maßnahmen des § 9 BDSG a. F. bzw. nunmehr des Art. 32 DS-GVO zu ergreifen, sodass die Integrität und Authentizität der Daten sichergestellt, deren Inhalte nicht unbefugt zur Kenntnis genommen und nicht missbräuchlich verwendet werden können1518. Da es sich hier um elektronische Transaktionen handelt, dürfte u. a. die Verschlüsselung der Daten notwendig sein1519. Vorlage von Nachweisen Eine weitere Regelung, die für medienbruchfreie Prozesse besondere Bedeutung hat, findet sich in § 5 Abs. 1 EGovG, wonach im Falle eines elektronisch geführten Verwal- 9. a) b) 1514 BR-Drs. 557/12, S. 58: Die elektronische Akte soll grundsätzlich die „führende“ sein, wobei es keine ausnahmslose Vernichtung von Papieroriginalen aufgrund des Rechts auf effektiven Rechtsschutz nach Art. 19 Abs. 4 GG sowie aufgrund des im Rechtsstaatsprinzip verbürgten Justizgewähranspruchs geben darf. 1515 BR-Drs. 557/12, S. 59; Müller-Terpitz/Rauchhaus, JurPC Web-Dok. 96/2012, Abs. 23: Mit dem Hinweis, dass § 1 Abs. 2 IFG als Regelungsstandort in Betracht gekommen wäre. 1516 Kopp/Ramsauer, § 29 VwVfG, Rn. 1 f. 1517 Zur Fortgeltung bestehender Grundsätze auch bei elektronischen Akten: Bachmann/Pavlitschko, MMR 2004, 370, (371 ff.). 1518 BR-Drs. 557/12, S. 59. 1519 Zur Notwendigkeit von Verschlüsselung: Thomsen, in: Schmidt/Weichert, Datenschutz – Grundlagen, Entwicklungen und Kontroversen, 381 (381 ff.). D. Einfachgesetzliche Vorgaben 209 tungsverfahrens die vorzulegenden Nachweise auch elektronisch eingereicht werden, es sei denn, durch Rechtsvorschrift ist etwas anderes bestimmt oder durch die Behörde wird die Vorlage eines Originals verlangt. Nach Abs. 2 entscheidet die Behörde nach pflichtgemäßem Ermessen, welche Art der elektronischen Einreichung zur Ermittlung eines Sachverhalts zulässig ist. Durch diese Vorschrift will der Gesetzgeber ein bedeutendes Hindernis für die Etablierung durchgehend elektronischer Verfahrensabwicklung beseitigen, das im Erfordernis der Vorlage von Nachweisen und Bescheiden im Original besteht, und setzt damit das Ziel B.6 der Nationalen E-Government-Strategie (NEGS) („Prozessketten sind ebenenübergreifend und kundenorientiert optimiert sowie durchgängig digitalisiert“) in einer technikoffenen Vorschrift um1520. Die Behörde kann nach pflichtgemäßem Ermessen entscheiden, welche Art der elektronischen Einreichung zur Ermittlung des Sachverhalts zulässig ist1521. In Abs. 2 ist eine bereichsspezifische Ausnahme von dem in § 4 Abs. 2 S. 1 BDSG a. F. normierten Grundsatz der Direkterhebung geregelt, welche es einer Behörde als Verfahrenserleichterung ermöglicht, erforderliche Nachweise, die von einer deutschen öffentlichen Stelle stammen, direkt bei der ausstellenden Behörde elektronisch einzuholen, wenn der betroffene Verfahrensbeteiligte zugestimmt hat1522. Zu diesem Zweck dürfen die anfordernde Behörde und die abgebende öffentliche Stelle die erforderlichen personenbezogenen Daten erheben, verarbeiten und nutzen. Die elektronische Einwilligung sollte in Anknüpfung an § 13 Abs. 2 TMG nach § 5 Abs. 3 EGovG möglich sein, wobei der Nutzer bzw. Verfahrensbeteiligte seine Einwilligung bewusst und eindeutig erteilen muss, den Inhalt seiner Einwilligung jederzeit abrufen können muss, die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen können muss und die Einwilligung protokolliert werden muss1523. Nunmehr dürfte gemäß der Positionsbestimmung der Datenschutzkonferenz (DSK) der Art. 6 Abs. 1 Lit. a DS-GVO maßgeblich sein1524. Prozessoptimierung und elektronische Abfrage des Verfahrensstandes Der § 9 Abs. 1 E-GovG greift den im E-Government wichtigen Kernaspekt der Prozessoptimierung1525 auf und regelt für die Behörden des Bundes, dass sie vor Einführung entsprechender informationstechnischer Systeme unter Nutzung gängiger Methoden Verwaltungsabläufe dokumentieren, analysieren und optimieren. Damit wird die Erkenntnis, dass das Wirtschaftlichkeitspotenzial im Rahmen des E-Governments in der Ablauforganisation steckt und es zur Prozessanalyse und Prozessoptimierung c) 1520 BR-Drs. 557/12, S. 54; zur Nationalen E-Government-Strategie vgl. oben unter: Teil 2, B, III. 1521 Müller-Terpitz/Rauchhaus, JurPC Web-Dok. 96/2012, Abs. 19. 1522 BR-Drs. 557/12, S. 55; eine verbindliche Regelung zu einer darüber hinausgehenden elektronischen Verwaltungszusammenarbeit über alle föderalen Ebenen hinweg bleibt der Entwurf aber schuldig: Vgl. Stellungnahme des ISPRAT e.V., S. 3, abrufbar unter: www.isprat.net (letzter Abruf: 18.08.2015). 1523 BR-Drs. 557/12, S. 55. 1524 Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK), 26.04.2018, S. 3, Ziff. 6. 1525 Zu den Verwaltungsprozessen als zentralem Baustein im E-Government: Scheer/Kruppke/Heib, E-Government, S. 7 ff. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 210 zwingt1526, aufgenommen und ein Gebot der „Selbstreflexion“ für die Verwaltung statuiert. Bei der Optimierung von Verwaltungsabläufen mit Außenwirkung soll auch eine Orientierung an den Bedürfnissen der beteiligten Bürgerinnen und Bürger stattfinden und übergreifendes Ziel der Prozessanalyse soll es sein, Schwachstellen in den bestehenden Abläufen aufzuzeigen und Optimierungspotenziale zu erkennen1527. Dies schließt bei einem ganzheitlich gedachten transaktionsbezogenen E-Government auch Datenschutz und Datensicherheit mit ein. Die Verwaltungsabläufe sollen nach § 9 Abs. 1 S. 2 EGovG so gestaltet werden, dass Informationen zum Verfahrensstand1528 und zum weiteren Verfahren sowie die Kontaktinformationen der zum Zeitpunkt der Anfrage zuständigen Ansprechstelle auf elektronischem Wege abgerufen werden können. Die Regelung dient der Umsetzung des Ziels A.4 der Nationalen E-Government Strategie („Alle geeigneten Verwaltungsangelegenheiten lassen sich über das Internet abschließend elektronisch erledigen“)1529. Damit wird eine elektronische Informationsmöglichkeit in transaktionsbezogenen Verfahren gewährt, die neben der Verfahrenserleichterung und vollelektronischen Abwicklung auch dem Ziel der Transparenz des Verwaltungshandelns dienen soll. Auch hier werden Daten elektronisch übermittelt mit den entsprechenden Anforderungen an Datenschutz und Datensicherheit. In Abs. 2 sind Ausnahmen geregelt, die sich sowohl auf die Prozessorientierung als auch die Abfrage des Verfahrensstandes beziehen. Danach kann jeweils von beiden Maßnahmen abgesehen werden, wenn diese einen wirtschaftlich nicht vertretbaren Mehraufwand bedeuten würden, zwingende Gründe entgegenstehen, die Maßnahmen dem Zweck des Verfahrens entgegenstehen oder eine gesetzliche Schutznorm verletzen. Regelungsstandort Im Rahmen des Gesetzgebungsverfahrens ist die systematische Verortung des EGovG, das den Kernbestandteil des gesamten Artikelgesetzes ausmacht, kritisiert worden. Beim EGovG-E handelt es sich insgesamt um ein recht kurzes Gesetz, welches sich insgesamt in einen Abschnitt mit Vorgaben zur elektronischen Kommunikation, einen weiteren zur elektronischen Bundesverwaltung und einen dritten Abschnitt zur Verwirklichung des sog. Open-Data-Ansatzes untergliedert1530. Das Konzept des jetzigen Entwurfs führt dazu, dass der Rechtsanwender ein Konglomerat aus Vorschriften aus dem VwVfG, dem De-Mail-Gesetz und dem EGovG „zusammenlesen“ muss. Da insbesondere der erste Abschnitt Reglungen enthält, die das Verwaltungsverfahren betreffen, stellt sich die Frage, ob diese nicht auch im Verwaltungsverfahrensrecht hätten verortet werden können. So gab es auch Stellungnahmen im Rahmen des Gesetzgebungsverfahrens, die dafür plädierten, eine Übernahme der Rege- 10. 1526 Schliesky, DVBl. 2007, 1453 (1460) m. w. N. 1527 BR 557/12, S. 60. 1528 Zu Verfahrensstandabfragen und dem hierzu bestehenden gesetzgeberischen Handlungsbedarf bereits: Warnecke, in: Schliesky/Schulz (Hrsg.), Web 2.0 in der öffentlichen Verwaltung, 57 (61). 1529 BR 557/12, S. 61. 1530 Müller-Terpitz/Rauchhaus, JurPC Web-Dok. 96/2012, Abs. 7. D. Einfachgesetzliche Vorgaben 211 lungen des Art. 1 (EGovG) ins Verwaltungsverfahrensrecht zu prüfen, da die bestehenden Verwaltungsverfahren auf E-Government ausgerichtet werden sollen und jenes nicht neben der bisherigen Verwaltung stehen solle und das Verwaltungsverfahrensrecht ohnehin schon zahlreiche Vorschriften zur elektronischen Kommunikation enthalte1531. Aufgrund des Regelungsgegenstandes handelt es sich bei der Vorschrift über den elektronischen Zugang in § 2 Abs. 1 S. 1 EGovG, der Übersendung von elektronischen Nachweisen nach Abs. 5, dem ersetzenden Scannen nach § 7 EGovG und der Akteneinsicht nach § 8 EGovG um verfahrensrechtliche Vorschriften, deren Verankerung im Verwaltungsverfahrensrecht sachgerecht gewesen wäre1532. Das EGovG selbst enthält auch einige datenschutzrechtliche Vorschriften wie z. B. die bereichsspezifische Ausnahme vom Grundsatz der Direkterhebung in § 5 Abs. 2. Diese sind zwingend aus systematischen Gründen an Ort und Stelle zu regeln, unabhängig von der Frage, ob die transaktionsbezogenes E-Government betreffenden Normen im Verwaltungsverfahrensrecht geregelt werden sollten oder nicht. Änderungswünsche im Bundesrat Im Rahmen des Gesetzgebungsverfahrens wurde, da es sich um ein Zustimmungsgesetz handelt, der Entwurf dem Bundesrat zugeleitet und dort beraten. Der Bundesrat hat in einem Beschluss zahlreiche Änderungswünsche für den Gesetzentwurf formuliert, zu denen sich die Bundesregierung äußern musste1533. Diese Änderungen betrafen vor allem auch die Regelungen zu transaktionsbezogenem E-Government. So wird bei der elektronischen Kommunikation eindringlich auf die Notwendigkeit der beweisrechtlichen Gleichstellung von papiergebundener und elektronischer Kommunikation hingewiesen1534. Darüber hinaus wird eine Kostenschätzung von der Bundesregierung verlangt, weil insbesondere durch dynamische Verweisungen die verwaltungsverfahrensrechtlichen Bestimmungen des Bundes und der Länder eng aneinander gekoppelt sind und darüber hinaus erhebliche faktische Auswirkungen auf die Verwaltungsverfahren der Länder entstehen und diese einem hohen Erwartungsdruck seitens der Nutzer von transaktionsgebundenen E-Government-Anwendungen ausgesetzt sind1535. Darüber hinaus wird das Vorhalten von teuren parallelen Doppelstrukturen für papiergebundene und elektronische Kommunikation befürchtet, sodass alle Bestimmungen, welche die Behörden der Länder und der Kommunen verpflichten, in „Kann-Bestimmungen“ umgewandelt werden sollen1536. Dem Gesetzentwurf liegt das Multikanalprinzip zugrunde, welches bei entsprechender Umsetzung keine aufwendigen Doppelstrukturen erfordert1537. Die Änderung in Kann-Bestim- 11. 1531 So die Stellungnahme des BITKOM zum Referentenentwurf der Bundesregierung, S. 3, abrufbar unter: www.bitkom.org (letzter Abruf: 18.08.2015). 1532 So auch Brackmann u. a., Der E-Postbrief in der Kommunalverwaltung, S. 25 ff. 1533 BR-Drs. 557/12 (Beschluss) vom 02.11.2012. 1534 BR-Drs. 557/12 (Beschluss), S. 2. 1535 BR-Drs. 557/12 (Beschluss), S. 3. 1536 BR-Drs. 557/12 (Beschluss), S. 6. 1537 Zum Multikanalprinzp bzw. Mehrkanalansatz: von Lucke, Hochleistungsportale für die öffentliche Verwaltung, S. 63 ff. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 212 mungen hätte massive Auswirkungen auf die faktische Verwirklichung von transaktionsbezogenem E-Government in der Breite. Anforderungen des Online-Zugangsgesetzes (OZG) Zur weiteren Förderung des E-Governments in Deutschland hat der Bund ein Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen (OZG) erlassen1538. Nach § 1 Abs. 1 OZG sind Bund und Länder verpflichtet, bis 2022 ihre Verwaltungsleistungen auch elektronisch über Verwaltungsportale anzubieten, und nach § 1 Abs. 2 OZG greift die Verpflichtung, dass sie ihre Verwaltungsportale zu einem Verbund verknüpfen. Das Ziel des Portalverbunds ist nach § 3 Abs. 1 OZG ein barriereund medienbruchfreier Zugang zu elektronischen Verwaltungsleistungen. Die Zielrichtung des Gesetzes ist also, die durch den Föderalismus bedingten Hemmnisse für die Digitalisierung der Verwaltung zu überwinden1539. Dabei liegt der Fokus sowohl auf der Zusammenführung vorhandener Online-Angebote als auch auf der Integration neuer1540. Die Einbeziehung der kommunalen Ebene in die Umsetzungsverpflichtung wurde kritisch diskutiert1541, ist allerdings auf der praktischen Ebene wegen der großen Fülle an Verwaltungsleistungen schlichtweg notwendig, um eine Stärkung des E-Governments in Deutschland zu erreichen. In § 8 Abs. 4 S. 2 OZG wird die Möglichkeit der einmaligen Erfassung von Identitätsdaten (sog. Once only Prinzip) nach vorheriger Einwilligung des Nutzers ermöglicht, um dem Bürger als Nutzer der Portale das mehrfache Eingeben dieser Daten zu ersparen1542. In § 8 Abs. 1 und 2 OZG werden Datenverarbeitungen bereichsspezifisch im Zuge der Nutzeridentifizierung geregelt, welche die eID-Funktion und die De-Mail einbeziehen. Insgesamt knüpft das Gesetz damit an die bisher für E-Government geschaffenen Basisinfrastrukturen wie De-Mail und den nPA an und bündelt die Eintrittspunkte zu transaktionsbezogenen E-Government-Anwendungen mittels der Logik von Portalen. Im Zuge der Schaffung der Portale und des Portalverbunds wäre die datenschutzrechtliche Verantwortlichkeit der jeweils beteiligten Verantwortlichen durch das Rechtsinstrument eines sog. gemeinsamen Verfahrens nach Art. 26 DS-GVO zu regeln1543. III. 1538 BGBl. I 2017, S. 3122 (3138). 1539 Rüscher, DVBl 2017, 1530 (1531). 1540 Siegel, DÖV 2018, 185 (186). 1541 Rüscher, DVBl 2017, 1530 (1531 ff.); Martini/Wiesner, ZG 2017, 193 (219). 1542 Rüscher, DVBl 2017, 1530 (1534); Schliesky/Hoffmann, DÖV 2018, 193 (196); zum Spannungsverhältnis des Once-only-Prinzips mit dem datenschutzrechtlichen Zweckbindungsgrundsatz: Martini/Wenzel, DVBl 2017, 749 (749 ff.). 1543 Schliesky/Hoffmann, DÖV 2018, 193 (197); zum sog. Gemeinsamen Verfahren nach Art. 26 DS- GVO bereits oben unter: Teil 3, IX., 7. D. Einfachgesetzliche Vorgaben 213 Anforderungen des De-Mail-Gesetzes Nachdem im Kontext des EGovG die De-Mail als Infrastruktur für transaktionsbezogenes E-Government genannt worden ist, sollen hier nachfolgend die Verantwortungssphären bei der De-Mail anhand der einschlägigen Regelungen des De-Mail- Gesetzes dargestellt werden. Im Zentrum steht ein De-Mail-Vertragsverhältnis zwischen dem privaten Nutzer und dem De-Mail-Diensteanbieter, welches erst die Grundlage für eine Nutzung im transaktionsbezogenen E-Government bildet. Nutzerbegriff im Sinne des De-Mail-Gesetzes Der Begriff des Nutzers taucht im De-Mail-Gesetz an verschiedenen Stellen wie etwa in § 3 Abs. 1 auf. Vom Begriff des Nutzers sind sowohl private Nutzer als auch Unternehmen und Verwaltungsbehörden und damit alle potenziell Beteiligten an einem Verwaltungsverfahren umfasst, wenn sie einen Account anlegen1544. Damit regelt das Gesetz die potenzielle Nutzung der Basisinfrastruktur De-Mail durch die verschiedenen genannten Akteure. In dieser Arbeit soll jedoch dann, wenn vom Nutzer die Rede ist, hauptsächlich der private Nutzer von transaktionsbezogenen E-Government-Anwendungen im Vordergrund stehen. In Fällen, in denen die Verwaltung De-Mail- Nutzer ist, sind ohnehin sog. Gatewaylösungen, welche die bereits bestehenden verwaltungsinternen E-Mail-Infrastrukturen mit einbeziehen und die Verwaltungsbehörde dann als einen großen Nutzer erscheinen lassen, viel wahrscheinlicher. Akkreditierung der Diensteanbieter als präventive Maßnahme für Datenschutz und Datensicherheit Im Konzept der De-Mail sollen die Anforderungen an Datenschutz und Datensicherheit im Wege einer präventiven Überprüfung des jeweiligen Diensteanbieters auf Einhaltung gesetzter Standards vorab in einem Akkreditierungsverfahren festgestellt werden1545. Es wird also staatlicherseits die Einhaltung von technischen und rechtlichen Mindestvorgaben überprüft und dann ein Zertifikat erteilt. Außer dem prüfenden BSI zieht sich der Staat hier auf eine Art Notarfunktion zurück1546. Mit dem Akkreditierungsverfahren schränkt der Gesetzgeber regelmäßig die Berufsfreiheit aus Art. 12 GG der Diensteanbieter ein, was aber verfassungsmäßig mit dem Sicherheitsbedürfnis in diesem Bereich zu rechtfertigen ist1547. Die Akkreditierung des De-Mail-Diensteanbieters kann auch wieder entzogen werden, sodass staatlicherseits ein Druckmittel bei Verletzung von Verantwortlichkeiten und Pflichten des De-Mail-Diensteanbieters besteht. Generell lässt sich sagen, dass der De-Mail-Diensteanbieter für nahezu die gesamte technische IV. 1. 2. 1544 Schallbruch/Keller-Herder, in: Bauer u.a.(Hrsg.),Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 1. Aufl., 2012, Einl. De-Mail-Gesetz, Rn. 8. 1545 Schulz S. E./Tischer, NZS 2012, 254 (254). 1546 So Spindler, CR 2011, 309 (311). 1547 Diese Frage kann hier nicht näher beleuchtet werden, da ansonsten der Rahmen der Arbeit gesprengt werden würde. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 214 Sicherheit der elektronischen Kommunikation der De-Mail-Dienste verantwortlich ist, sodass der Gesetzgeber bei ihm das größte „Pflichtenprogramm“ angesiedelt hat. Die Entwicklung der Dienste wird auch insgesamt in der Verantwortung der Privatwirtschaft gesehen1548. Der De-Mail-Diensteanbieter hat einen Datenschutz-Nachweis als Form einer technischen Präventivkontrolle zu erbringen1549. Gesetzgeberischer Leitgedanke ist das Erreichen der Datensicherheits-Schutzziele Vertraulichkeit, Authentizität und Nachweisbarkeit mit einer sicheren Umgebung auf der gesamten Kommunikationsstrecke einer elektronischen Nachricht vom Absender bis zum Empfänger1550. In den §§ 3 bis 8 De-Mail-Gesetz sind die für den De-Mail-Diensteanbieter verpflichtenden Vorgaben zur Sicherheit der De-Mail-Dienste enthalten, im Übrigen besteht kein Kontrahierungszwang im Anbieter-Nutzer-Verhältnis1551, sodass jegliche vertraglichen Vereinbarungen, die nicht den §§ 3 bis 8 De-Mail-Gesetz zuwiderlaufen, möglich wären. Die Akkreditierung auf Antrag ist für den Diensteanbieter freiwillig, stellt aber letztlich eine Obliegenheit des Diensteanbieters dar, weil der Nachweis der geprüften IT- Sicherheit nur bei erfolgter Akkreditierung dem Diensteanbieter die Vertrauenswürdigkeit gegenüber dem privaten Nutzer verleiht1552. Als wichtigste Aspekte des De-Mail-Konzeptes werden die Vertrauenswürdigkeit der De-Mail-Diensteanbieter im Hinblick auf Datenschutz und Datensicherheit und das daraus abgeleitete berechtigte Vertrauen der Nutzer gesehen1553. Das Vertrauen in den Kommunikationspartner und in die Kommunikationsinfrastruktur ist insbesondere für transaktionsbezogenes E-Government der wichtigste Erfolgsfaktor1554. Insoweit hat der Gesetzgeber auch die De-Mail als vertrauenswürdig eingestuft und durch das EGovG mit der qeS und der Schriftform gleichgestellt1555. Die Akkreditierung wird nach § 2 De-Mail-Gesetz durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erteilt. Der De-Mail-Diensteanbieter hat die Anforderungen für ein Sicherheitszertifikat nach § 9 BSIG zu erfüllen. Nach § 18 Abs. 3 Nr. 4 De-Mail-Gesetz muss er einen Datenschutz-Nachweis der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) erfüllen. Als Nachweise müssen auf der Grundlage der BSI TR 01201 Zertifikate zur Funktionalität (Basisinfrastruktur, Accountmanagement, Postfach- und Versanddienst sowie evtl. Identifizierungsdienst und Dokumentensafe) sowie weitere Zertifikate zur Interoperabilität und Sicherheit erbracht werden1556. Den Datenschutz-Nachweis des BfDI stellt 1548 Dietrich/Keller-Herder, DuD 2010, 299 (300). 1549 Gelzhäuser, DuD 2010, 646 (646). 1550 Rose, K&R 2011, 439 (440); Spindler, CR 2011, 309 (310). 1551 Roßnagel, NJW 2011, 1473 (1474). 1552 Schuhmacher, DuD 2010, 302 (302 f.). 1553 Roßnagel, CR 2011, 23 (24); Roßnagel/Hornung/Knopp/Wilke, DuD 2009, 728 (731); Probst, DSB 2009, 16 (16 ff.). 1554 Vgl. hierzu bereits oben unter: Teil 2, C., III., 6. 1555 Dazu bereits oben unter: Teil 3., D, III., 4. 1556 Schuhmacher, DuD 2010, 302 (304); die TR 01201 ist zu finden unter: BSI TR 01201 Teil 2.1, Version 1.1.1, abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen /TechnischeRichtlinien/De_Mail/TR_De_Mail_ACM_FU.pdf?__blob=publicationFile (letzter Abruf: 08.11.2015). D. Einfachgesetzliche Vorgaben 215 dieser auf der Grundlage eines Gutachtens einer anerkannten sachverständigen Stelle aus1557. Identitätssicherung durch Kontoeröffnung und sicheren Login In § 3 De-Mail-Gesetz wird der Begriff der Identität genannt, aber nicht definiert. In dieser Norm ist der Begriff i. S. d. numerischen Identität nach dem Verständnis dieser Arbeit gemeint. Die Sicherung der numerischen Identität des privaten Nutzers wird durch eine Identitätsüberprüfung bei Eröffnung eines De-Mail-Kontos sowie durch den sicheren Login bei Nutzung des Kontos erreicht. Damit wurde den Risiken bisheriger E-Mail-Kommunikation begegnet1558, welche vor allem auch in der mangelnden Sicherheit über den Kommunikationspartner bestanden. Die numerische Identität des privaten Nutzers und die Identität der handelnden Behörde, die sich abgeleitet in der Identität der für diese handelnden Bediensteten darstellt, ist Dreh- und Angelpunkt in der elektronischen Kommunikation im transaktionsbezogenen E-Government. Die sichere Erstregistrierung bei den De-Mail-Diensten ist daher auch „notwendiges Kernstück“ des Konzeptes und unabweisbar notwendig für den Einsatz der De-Mail im transaktionsbezogenen E-Government1559. Die Norm des § 3 De-Mail-Gesetz schafft eine gesetzliche Identifizierungspflicht, die auf parallele, schon vorher bestehende Vorschriften im Geldwäschegesetz verweist, welches den Begriff der Identifizierung definiert1560. Die Vorschrift des § 4 Abs. 2 GwG regelt, dass eine weitere Identifizierung entbehrlich ist, wenn diese einmal erfolgt ist. Die Vorschriften des GwG billigen auch juristischen Personen oder Personengesellschaften eine Identität zu. Zwei verschiedene Schutzniveaus bei der Anmeldung und Absenderbestätigung Bei den De-Mail-Diensten hat der Nutzer die Wahl zwischen zwei verschiedenen Schutzniveaus bei der Anmeldung. Es gibt die Möglichkeit einer niedrigen Authentisierung mit Benutzername und Passwort sowie die einer hohen mittels des nPA oder des mobilen TAN-Verfahrens1561. Bei der niedrigen Authentisierung mit Benutzername und Passwort wird die Sicherheit gegenüber bisherigen Verfahren nicht erhöht und auch bei der hohen Authentisierung ist ein sog. man-in-the-middle-Angriff nicht gänzlich ausgeschlossen1562. Die einfache Anmeldung mittels Benutzername und Passwort ist nach § 4 Abs. 1 S. 6 De-Mail-Gesetz auf Verlangen des Nutzers zu gewähren und mit einer Belehrungspflicht für den De-Mail-Diensteanbieter verbunden, dass diese Form der Anmeldung nicht den gleichen Schutz wie die hohe Authentisie- 3. 4. 1557 Roßnagel, CR 2011, 23 (25). 1558 Weidemann, DVP 2011, 406 (412). 1559 Das Gleiche gilt im Prinzip auch für den Einsatz der De-Mail im E-Commerce und E-Business. 1560 BT-Drs. 17/3630, S. 17 mit dem Verweis auf § 4 GwG vom 13. August 2008 (BGBl I S. 1690) und die dazugehörige Gesetzesbegründung in BT-Drs. 16/9038, S. 36. 1561 BT-Drs. 17/10720, S. 5 ff. 1562 So bereits zum alten Entwurf des Bürgerportalgesetzes: Werner/Wegener, CR 2009, 310 (311). Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 216 rung bildet1563. In diesem Zusammenhang wäre eine Belehrung des Nutzers zusätzlich notwendig, sodass bei dieser Form der Anmeldung der Anscheinsbeweis für die Identität auch entfallen kann1564. Nach § 5 Abs. 5 De-Mail-Gesetz kann der Absender einer De-Mail-Nachricht veranlassen, dass der Empfänger eine qualifiziert signierte Bestätigung des De-Mail-Diensteanbieters über die sichere Anmeldung des Absenders erhält. Durch diese Versandform „absenderbestätigt“ kann der per De-Mail versandte Erklärungsinhalt dem Erklärenden zugeordnet werden1565. Damit ist eine weitere Obliegenheit bei der faktischen Nutzung der De-Mail-Dienste in die Hände des Nutzers gelegt. Eine Protokollierung jedes Anmeldevorganges durch den De-Mail- Diensteanbieter findet nicht statt1566. Der Anmeldevorgang am De-Mail-Konto schützt den Nutzer im Gegensatz zu den meisten Anmeldungen bei Anbietern herkömmlicher E-Mails vor Angriffen beim Login-Vorgang und solchen auf die Web- Sitzung (sog. Session-Hijacking)1567. Für den mündigen Nutzer bedeutet dies, dass er sich Gedanken über das Anmeldeverfahren am De-Mail-Konto machen und beim Versenden von Nachrichten die Absenderbestätigung initiieren muss. Der Hinweis, dass das unsichere Anmelde- Schutzniveau rechtliche Nachteile für den Nutzer in Form eines Entfallens des Anscheinsbeweises hat, wird praktisch nicht erfolgen. Damit sind Verhaltensmaßregeln und Informationen über Rechtsfolgen, die in den Bereich der Obliegenheiten gehören, in die Verantwortungssphäre des Nutzers gelegt. Keine gesetzlich verpflichtende Ende-zu-Ende-Verschlüsselung Das De-Mail-Gesetz regelt keine Pflicht für den Diensteanbieter, dem De-Mail-Nutzer eine Ende-zu-Ende-Verschlüsselung zu gewährleisten. Momentan kann diese optional angeboten werden. Sie bleibt aber letztlich den beiden Vertragspartnern überlassen1568. Maßgeblich ist die Option davon abhängig, dass der De-Mail-Diensteanbieter diese überhaupt anbietet. Die Tatsache, dass diese nicht flächendeckend vorgesehen ist, wird stark kritisiert. In diesem Zusammenhang wird wegen des Ignorierens des Ende-zu- Ende-Arguments der Sicherheitsgewinn der De-Mail insgesamt infrage gestellt1569. Zurzeit ist gesetzlich nur eine Transportverschlüsselung vorgeschrieben, die nach anderer Auffassung bereits als Sicherheitsgewinn gegenüber der einfachen E-Mail betrachtet wird1570. Momentan muss der De-Mail-Diensteanbieter für den Zeitpunkt, in dem die De-Mail-Nachricht unverschlüsselt bei ihm vorliegt, lediglich darlegen, dass er 5. 1563 Roßnagel, CR 2011, 23 (26). 1564 So zu Recht Spindler, CR 2011, 309 (312). 1565 BT-Drs. 17/10720, S. 6. 1566 Roßnagel, CR 2011, 23 (26). 1567 Seidl/Maisch/Albrecht, JurPC Web-Dok. 101/2012, Abs. 90. 1568 BT-Drs. 17/10720, S. 6; auch bereits beim Bürgerportal als Vorläufer von De-Mail wurde der Impuls für die Ende-zu-Ende-Verschlüsselung beim Nutzer gesehen: Roßnagel, in: Klumpp u. a. (Hrsg.), Netzwelt – Wege, Werte, Wandel, 221 (225). 1569 In diese Richtung: Lechtenbörger, DuD 2011, 268 (268 ff.); Schulz G., DuD 2012, 395 (397 f.). 1570 Seidl/Maisch/Albrecht, JurPC Web-Dok. 101/2012, Abs. 91. D. Einfachgesetzliche Vorgaben 217 Datenschutz und Datensicherheit gewährleisten kann1571. Dies schützt aber nicht vor potenziellen Manipulationen. Bei einer echten gesetzlich vorgeschriebenen Ende-zu- Ende-Verschlüsselung wäre bereits technisch eine manipulative Kenntnisnahme vom Inhalt der De-Mail-Nachricht ausgeschlossen. Gerade diese offene Flanke im De-Mail- Konzept wurde während des Gesetzgebungsverfahrens vom Bundesrat kritisiert.1572 Die Bundesregierung sprach sich erneut mit Blick auf den hohen Aufwand für den Nutzer und das Konzept, die De-Mail-Dienste für den Nutzer einfach zu halten, gegen eine Ende-zu-Ende-Verschlüsselung aus1573, stimmte dann aber dem Gesetzentwurf doch ohne Änderungen zu. Aktuell ist das Thema Ende-zu-Ende-Verschlüsselung wieder auf die politische Agenda gerückt1574. Nutzerverantwortlichkeiten bei De-Mail-Diensten Die Nutzerverantwortlichkeiten bei den De-Mail-Diensten sind dadurch gekennzeichnet, dass das De-Mail-Gesetz keinerlei Nutzerpflichten vorsieht, sondern ausschließlich Pflichten an die De-Mail-Diensteanbieter richtet1575. Insbesondere besteht keine gesetzliche Verpflichtung für den Nutzer, auf seinem eigenen informationstechnischen System, also seiner individuellen Infrastruktur, spezielle Software zu installieren1576. Die für den privaten Nutzer als zu schwierig angesehenen bereits bestehenden Sicherheitsmechanismen für elektronische Kommunikation sollten in die Regie der professionellen Diensteanbieter gelegt werden1577. Dies ist das grundsätzliche Leitbild bei der Entstehung des De-Mail-Gesetzes gewesen. Der Bundesrat hat im Rahmen des Gesetzgebungsverfahrens zwar angeregt, dass zur Erhaltung des Kernstücks des Konzeptes der gesicherten numerischen Identitäten eine gesetzliche Pflicht des Nutzers zu regeln, eine Änderung von Identitätsdaten dem De-Mail-Diensteanbieter mitzuteilen, was die Bundesregierung wohl auch mit Blick auf die praktische Handhabbarkeit abgelehnt hat1578. Dies bedeutet aber nicht, dass es nicht eventuell im Vertragsverhältnis zwischen privatem Nutzer und De-Mail-Diensteanbieter geregelt werden kann. Eine Auferlegung der Pflicht für den privaten Nutzer zur Aktualisierung der Identitätsdaten mittels AGB 6. 1571 Roßnagel, NJW 2011, 1473 (1475). 1572 Vgl. Hierzu BR-Drs. 645/10 (Beschluss). 1573 BT-Drs. 17/4145, S. 9. 1574 Vgl. hierzu den Koalitionsvertrag zwischen CDU, CSU und SPD: „Deutschlands Zukunft gestalten“, S. 104, zu finden unter: http://www.bundesregierung.de/Content/DE/_Anlagen/2013/2013-12-17koalitionsvertrag.pdf?__blob=publicationFile (letzter Abruf: 08.11.2015), sowie das Interview mit den Staatssekretären Gerd Billen und Ulrich Kelber aus dem Bundesministerium für Justiz und Verbraucherschutz mit iRights.info, zu finden unter: http://irights.info/artikel/wir-muessen-bei-jed er-regelung-mit-bedenken-ob-sie-auch-im-digitalen-raum-passt/23367 (letzter Abruf: 08.11.2015); zu einem möglichen Anspruch des Bürgers auf Verschlüsselung: Petersen, Die Rechtsprobleme des Eelctronic Government, S. 94 ff . 1575 Rose, K&R 2011, 439 (441); zum Beweis und der Beweislastverteilung beim Zugang einer De-Mail: Willems, MMR 2013, 551 (554 ff.). 1576 BT-Drs. 17/3630, S. 29, und BT-Drs. 17/4145, S. 9; Roßnagel, NJW 2011, 1473 (1475). 1577 Schallbruch/Keller-Herder, in: Bauer u.a.(Hrsg.),Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 1. Aufl. 2012, Einl. De-Mail-Gesetz, Rn. 2. 1578 BT-Drs. 17/4145, S. 4 und 10. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 218 wird als zulässig angesehen1579. Grundsätzlich liegt es also in der Verantwortungssphäre des De-Mail-Diensteanbieters, die Aktualität der Identitätsdaten der De-Mail-Nutzer zu gewährleisten1580. Der Nutzer hat zum Schutz seiner informationellen Selbstbestimmung die Möglichkeit, eine pseudonyme De-Mail-Adresse einzurichten1581. Dies entspricht den im Datenschutzrecht praktizierten Möglichkeiten der Pseudonymisierung, wie sie auch in anderen Bereichen möglich ist. Grundsätzlich ergibt sich auch bei den De-Mail-Diensten das klassische Spannungsverhältnis zwischen der Nutzerfreundlichkeit auf der einen Seite und der Sicherheit der Anwendung auf der anderen Seite. Der Gesetzgeber hat mit dem De-Mail-Gesetz das Ziel gehabt, die Hürden durch Sicherheitsanforderungen für die Nutzung der De-Mail-Dienste durch den privaten Nutzer so gering wie möglich zu halten. Eine Verpflichtung des Nutzers zur Verwendung von Antivirensoftware oder anderen Schutzmaßnahmen regelt das Gesetz nicht. Bei der Nutzung der De-Mail-Dienste hat sich der private Nutzer den Vorgaben der §§ 9 bis 16 De-Mail-Gesetz zu unterwerfen. Diese enthalten für den Nutzer Verhaltensmaßregeln zur Sicherung der numerischen Identität als Kernstück des Konzeptes. Der De-Mail-Diensteanbieter muss den privaten Nutzer vor der erstmaligen Nutzung nach § 9 De-Mail-Gesetz über die sichere Anmeldung, über die Verschlüsselung, den Umgang mit Schadsoftware und mögliche Rechtsfolgen informieren. Fasst man diese Aspekte zusammen, so klärt der De-Mail-Diensteanbieter den Nutzer über seine Obliegenheiten, die aus dem De-Mail-Gesetz sowie aus dem De-Mail-Nutzungsvertrag entspringen, auf. Das De-Mail-Gesetz enthält daher also Regelungen zur Verantwortungsteilung zwischen einem professionellen Diensteanbieter und einem digital mündigen Bürger. Darüber hinaus müsste der Nutzer die Entscheidung treffen, ob er die Ende-zu-Ende-Verschlüsselung der Kommunikation in Anspruch nehmen möchte, wenn der Diensteanbieter diese optional anbietet1582. Auch die Auswahl des Schutzniveaus bei der Anmeldung und die Anforderung der Absenderbestätigung fallen in den Verantwortungsbereich des Nutzers. Damit stellt sich darüber hinaus die Frage, was außerhalb des De-Mail-Gesetzes an rechtlichen Verantwortlichkeiten des Nutzers besteht und sich auf das Vertragsverhältnis mit dem De-Mail-Diensteanbieter auswirkt. Nach inzwischen h. M. wird davon ausgegangen, dass der Nutzer eines Rechners mit Internetanschluss verpflichtet ist, einen Virenscanner zu benutzen1583. Wenn der Nutzer die Änderung seiner Identitätsdaten nicht mitteilt, so kann grundsätzlich ein getäuschter Dritter aufgrund der aus dem De-Mail-Gesetz folgenden Pflichten Schadensersatz verlangen, der letztlich auch nach allgemeinem Zivilrecht aus culpa in contrahendo gegeben wäre1584. Als am 1579 Spindler, CR 2011, 309 (312). 1580 Lapp, DuD 2009, 651 (653); Roßnagel, NJW 2011, 1473 (1474). 1581 Roßnagel, NJW 2011, 1473 (1475). 1582 Vgl. hierzu Kommune 21, 6/2015, S. 6, wonach die De-Mail-Anbieter Deutsche Telekom, Francotyp-Postalia sowie United Internet (1&1, Web.de und GMX) ein vereinfachtes Ende-zu-Ende-Verschlüsselungsverfahren für De-Mails anbieten, welches für Nutzer ohne besondere Vorkenntnisse handhabbar sei. 1583 Borges, Rechtsfragen der Haftung im Zusammenhang mit dem elektronischen Identitätsnachweis, S. 144 f. 1584 Spindler, CR 2011, 309 (318). D. Einfachgesetzliche Vorgaben 219 wichtigsten wird in haftungsrechtlicher Hinsicht die Pflicht des Nutzers angesehen, das De-Mail-Konto und die Legitimationsmedien für die sichere Anmeldung zur Vorbeugung von Missbrauch zu überwachen1585. Diese Pflicht würde im Übrigen auch jeden Nutzer eines herkömmlichen E-Mail-Accounts treffen. Verantwortlichkeiten des De-Mail-Diensteanbieters Die genannten umfassenden Informationspflichten des De-Mail-Diensteanbieters gegenüber dem privaten Nutzer1586 sind Maßnahmen, die in ihrer Art stark an das Verbraucherschutzrecht erinnern und einen großen Teil der Verantwortlichkeit beim faktisch mächtigen privaten Akteur lokalisieren. In § 14 De-Mail-Gesetz ist ein Verweis auf die Belange des Verbraucherschutzes enthalten. Insgesamt ist das De-Mail-Vertragsverhältnis auch mit Konstellationen aus dem Verbraucherschutz vergleichbar. Dem De-Mail-Diensteanbieter kommt für die Verwirklichung der informationellen Selbstbestimmung und des Fernmeldegeheimnisses neben dem eigenen Verantwortungsbeitrag des privaten Nutzers selbst ein entscheidender Verantwortungsbeitrag zu. Das De-Mail-Gesetz statuiert hauptsächlich Pflichten für den Diensteanbieter, die zugunsten des privaten Nutzers wirken. Diese dienen sowohl Datenschutz als auch Datensicherheit im jeweiligen Sinne, der dieser Arbeit zugrunde liegt. Verantwortlichkeiten von Verwaltungsbehörden und Gateway-Lösungen Bei Verwaltungsbehörden stellt sich generell die Frage, in welcher Form sie die Nutzung der De-Mail-Dienste organisieren. Die Bundesverwaltung favorisiert hier sog. Gateway-Lösungen, die eine Integration der bisherigen Kommunikationslandschaft ermöglichen1587. Maßgeblich ist hier, dass in einem Vergabeverfahren ein Anbieter ausgewählt wird, der die Dienste dann für alle erfassten Bundesbehörden bereitstellt. Auf der kommunalen Ebene sehen die Entscheidungswege zur Nutzung von De-Mail- Diensten anders aus. Nicht selten besteht ein Interesse aufseiten der Kommunalverwaltungen, den jeweiligen kommunalen IT-Dienstleister mit in den Prozess einzubeziehen. Dieser müsste dann seinerseits mit dem De-Mail-Diensteanbieter und mit der jeweiligen kommunalen Gebietskörperschaft einen Vertrag abschließen. Fraglich ist an der Stelle aber, wer im Rahmen der De-Mail-Dienste dann dem Bürger gegenübertritt. Der IT-Dienstleister ist dann, wenn er eine Organisationsform mit rechtlicher Selbstständigkeit hat, nicht Träger der Verwaltungsaufgabe im jeweiligen Kommunikationskontext, sondern eigentlich ein weiterer zwischengeschalteter Dienstleister. In solchen Konstellationen treten in der Praxis Probleme auf. 7. 8. 1585 Spindler, CR 2011, 309 (318). 1586 Vgl. hierzu BT-Drs. 17/10720, S. 7. 1587 Schallbruch/Keller-Herder, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 1. Aufl. 2012, Einl. De-Mail-Gesetz, Rn. 11 und § 4 De-Mail-Gesetz, Rn. 9; ein Gateway für die Bundesverwaltung soll noch im Jahr 2014 zur Verfügung gestellt werden: Schulz S. E./Brackmann, NdsVBl. 2014, 303 (305). Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 220 Für die Gateway-Lösungen ist in § 4 De-Mail-Gesetz keine eigenständige Regelung getroffen worden, wie sich die Mitarbeiter einer mittels Gateway an De-Mail angeschlossenen Behörde anmelden1588. Die Behörde muss für sich durch verbindliches Innenrecht wie z. B. Dienstanweisungen regeln, welcher Mitarbeiter sich wann anmelden kann1589. Strenge Zweckbindung nach § 15 De-Mail-Gesetz In § 15 De-Mail-Gesetz ist eine strenge Zweckbindung für die personenbezogenen Daten der Nutzer geregelt worden. Danach dürfen diese Daten nur für die Durchführung des Vertragsverhältnisses verwendet werden. Diese Regelung stellt eine Verbesserung gegenüber dem vorherigen Gesetzentwurf dar und vermeidet Profilbildungen oder Verknüpfungen von personenbezogenen Daten beim De-Mail-Diensteanbieter1590. Die informationelle Selbstbestimmung des Nutzers ist dadurch gestärkt worden. Insbesondere wären ohne diese Regelung die Identitätsdaten der De-Mail-Nutzer schnell in den Mittelpunkt des Interesses gerückt. Vor dem Hintergrund, dass die bisher akkreditierten De-Mail-Anbieter auch andere kommerzielle Angebote haben, wären hier schnell Begehrlichkeiten entstanden. Verweis in § 15 De-Mail-Gesetz auf TKG, TMG und BDSG Die Zweckbindungsvorschrift in § 15 De-Mail-Gesetz gilt in ihrer jetzigen Fassung unbeschadet der Regelungen des TMG, des TKG und des BDSG bezogen auf die a. F. Das bedeutet, dass die gesamte Regelung des § 15 De-Mail-Gesetz Auffangcharakter hat und vorrangig die allgemeinen Datenschutzvorschriften, insbesondere des TMG, des TKG und des BDSG, gelten1591. Insbesondere macht das De-Mail-Gesetz auch keine Vorgaben zu besonders sensiblen Daten wie z. B. Sozialdaten1592. Eine explizite Einordnung der De-Mail-Dienste nach den genannten Fachgesetzen erfolgt im De- Mail-Gesetz nicht. Im Zuge der Anpassung des De-Mail-Gesetzes an die DS-GVO liegt derzeit eine Regelung i. E. vor, wonach der § 15 De-Mail-Gesetz ergänzend zur DS-GVO gilt1593. Beendigung der Account-Nutzung und digitaler Nachlass Neben der Eröffnung eines De-Mail-Accounts ist mit Blick auf die Grundrechte des Account-Inhabers die Frage der Beendigung der Account-Nutzung und auch die Frage des Umgangs mit dem digitalen Nachlass relevant. In § 10 De-Mail-Gesetz ist ein 9. 10. 11. 1588 Keller-Herder, in: Bauer u. a. (Hrsg.), Verwaltungsverfahrensgesetz mit rechtlichen Aspekten des E-Government, 2. Aufl. 2014, § 4 De-Mail-Gesetz, Rn. 9. 1589 Vgl. zur Pflicht der Verwaltungsbehörde, Dienstanweisungen zu erlassen, auch unten: Teil 4, E., 9 c). 1590 Stellungnahme Bundesrat, BT-Drs. 17/4145, 10 Nr. 14; Spindler, CR 2011, 309 (316). 1591 BT-Drs. 17/3630, S. 36. 1592 Schulz S. E./Brackmann, DuD 2014, 186 (186 ff.); Schulz S. E./Tischer, NZS 2012, 254 (254). 1593 Vgl. Art. 12 des sog. „Omnibus-Gesetzes“; Referentenentwurf des BMI vom 21.06.2018, S. 31. D. Einfachgesetzliche Vorgaben 221 Auflösungs- und Sperrmanagement für den De-Mail-Account geregelt1594. Der Account kann nach § 10 Abs. 1 De-Mail-Gesetz gesperrt werden, wenn der Nutzer es verlangt oder wenn die eindeutige Identifizierung des Nutzers Mängel aufweist, mithin Zweifel an der numerischen Identität des Nutzers bestehen. Ausdrücklich werden hier auch Gründe anerkannt, die im Vertragsverhältnis zwischen De-Mail-Diensteanbieter und dem Nutzer begründet liegen. Eine Sperrung kann nach § 10 Abs. 2 De- Mail-Gesetz bei Zweifeln über die numerische Identität eines Nutzers auch durch die zuständige Behörde, das Bundesamt für Sicherheit in der Informationstechnik (BSI), erfolgen. Nach § 10 Abs. 4 De-Mail-Gesetz kann ein De-Mail-Account aufgelöst werden, wenn der Nutzer es explizit verlangt oder der zuständigen Behörde die Sperrung des Accounts nicht ausreichend erscheint. Weitere Auflösungsgründe, die im Innenverhältnis zwischen De-Mail-Diensteanbieter und Nutzer vereinbart werden könnten, sind nach § 10 Abs. 4 S. 3 De-Mail-Gesetz unwirksam. Eine Regelung für den Fall des Todes eines De-Mail-Account-Inhabers gibt es nicht. Die Problematik des „digitalen Nachlasses“ ist bisher wenig thematisiert worden1595. Unter den Begriff werden die Gesamtheit des digitalen Vermögens des Erblassers, sämtliche gespeicherten Daten sowie die Hard- und Software und die Zugänge zum World Wide Web gefasst1596. Brisant ist die Frage deswegen, weil ein De-Mail-Account eine große Menge personenbezogener Daten enthält und damit großes Verletzungspotenzial bietet1597. Bei den Anbietern herkömmlicher E-Mail-Accounts und anderer Dienste gibt es für solche Konstellationen sehr uneinheitliche Reaktionsmuster1598. In Rede steht die Frage, ob und wie die Erben Zugang zu dem Account bekommen. Die Zugangssicherung eines De-Mail-Accounts und das besondere Sicherheits- und Identitätsniveau sind ein wesentliches Element des De-Mail-Konzeptes. Speziell bei der De- Mail besteht grundsätzlich ein Spannungsverhältnis zwischen der Ermöglichung des Zugriffs des Erben auf den De-Mail-Account zur Nachlassabwicklung und dem hohen Sicherheits- und Identitätsniveau der De-Mail1599. Ein vollständiger Zugriff des Erben auf den Account ist mit dem Zweck des De-Mail-Gesetzes nicht vereinbar1600 und begegnet auch generellen Bedenken, es sei denn, der Erblasser hat etwas anderes verfügt1601. Es stellt sich aber in jedem Fall in dieser Konstellation auch die Frage des Identitätsmissbrauchs. Als Kompromiss wird vorgeschlagen, dass der Erbe einen reinen Lesezugriff bekommen solle, um die mit dem Nachlass verbundenen Angelegenheiten 1594 Kritisch zur Systematik und sprachlichen Schärfe dieser Vorschriften: Skrobotz, in: Manssen, § 10 De-Mail-Gesetz Rn. 16 ff. 1595 Herzog, NJW 2013, 3745 (3745); zur Frage, ob das Grundrecht auf informationelle Selbstbestimmung eine postmortale Reflexwirkung hat, woraus sich eine staatliche postmortale Schutzpflicht gegen die Erhebung und Verwertung von Daten Verstorbener ergibt: Spilker, DÖV 2015, 54 (54). 1596 Herzog, NJW 2013, 3745 (3745). 1597 Solmecke/Köbrich/Schmitt, MMR 2015, 291 (292). 1598 Martini, JZ 2012, 1145 (1146 f.). 1599 Brisch/Müller-ter Jung, CR 2013, 446 (452). 1600 Brisch/Müller-ter Jung, CR 2013, 446 (452). 1601 Martini, JZ 2012, 1145 (1153). Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 222 zu erledigen1602. Diese Lösung erscheint pragmatisch. Eine gesetzgeberische Antwort auf die gesamte Thematik wäre wünschenswert. Datenschutzrechtliche Einordnung der De-Mail-Dienste De-Mail-Dienste als Telemedien Es stellt sich die Frage, ob die De-Mail-Dienste als Telemediendienste i. s. d. TMG einzustufen sind. Nach § 1 Abs. 1 S. 1 TMG handelt es sich bei Telemediendiensten um alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste nach § 3 Nr. 24 des TKG sind, die ganz in der Übertragung von Signalen über Telekommunikationsnetze bestehen, telekommunikationsgestützte Dienste nach § 3 Nr. 25 des TKG oder Rundfunk nach § 2 des Rundfunkstaatsvertrages sind. Bei den De-Mail-Diensten wie dem Postfach- und Versanddienst handelt es sich um elektronische Informations- und Kommunikationsdienste i. S. d. § 1 Abs. 1 S. 1 TMG. Damit bieten die De-Mail-Diensteanbieter regelmäßig Telemedien an1603. Wegen § 11 Abs. 3 TMG gelten für die De-Mail-Dienste nicht die Datenschutzvorschriften des TMG. Die De-Mail-Dienste sind als Telemedien einzustufen, und es gelten mit Ausnahme der Datenschutzvorschriften auch das Herkunftslandprinzip und die Haftungsprivilegierungen für Telemedienanbieter1604. Zu prüfen ist daher in einem weiteren Schritt, ob es sich bei den De-Mail-Diensten auch um Telekommunikationsdienste handelt und die Datenschutzvorschriften der §§ 91 ff. TKG gelten. Das Telemediendatenschutzrecht der §§ 11 ff. TMG kann für bestimmte E-Government-Anwendungen durchaus hinderlich sein und findet auf öffentliche Stellen keine Anwendung1605. De-Mail-Dienste als Telekommunikation im Sinne des TKG Nach § 3 Nr. 6 TKG ist Diensteanbieter jeder, der ganz oder teilweise geschäftsmäßig entweder Telekommunikationsdienste erbringt oder an der Erbringung solcher Dienste mitwirkt. Nach § 3 Nr. 24 TKG sind Telekommunikationsdienste in der Regel gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen, einschließlich Übertragungsdienste in Rundfunknetzen. Bei den De-Mail-Diensten handelt es sich um gegen Entgelt erbrachte Dienste, die überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen i. S. v. § 3 Nr. 24 TKG1606. Für die De-Mail-Dienste sind die §§ 112 ff. TKG anwendbar1607. Insbesondere kommen für De-Mail-Dienste die Datenschutzvorschriften der §§ 91 ff. TKG zur Anwendung sowie subsidiär das allgemeine Daten- V. 1. 2. 1602 Brisch/Müller-ter Jung, CR 2013, 446 (453). 1603 Roßnagel, CR 2011, 23 (24); Spindler, CR 2011, 309 (311); zur gemeinschaftsrechtlichen Prägung des Telemedienrechts: Stelkens, in: Hill/Schliesky (Hrsg.), Herausforderung e-Government, 149 (156 ff.). 1604 BT-Drs. 17/3630, S. 3. 1605 Stelkens, in: Wirtz (Hrsg.), E-Government – Grundlagen, Instrumente, Strategien, 51 (63) m. w. N. 1606 BT-Drs. 17/3630, S. 3. 1607 Spindler, CR 2011, 309 (316). D. Einfachgesetzliche Vorgaben 223 schutzrecht zukünftig mit DSGVO und BDSG. Das TKG setzt die Schutzpflichtdimension aus Art. 10 GG um und schützt das Fernmeldegeheimnis, geht aber tendenziell darüber hinaus1608. Die Einschlägigkeit des Datenschutzes aus dem TKG hat zur Folge, dass der De-Mail-Diensteanbieter die für Telekommunikationsdienste notwendigen technisch-organisato-rischen Maßnahmen umsetzen muss1609. Verpflichtung der Diensteanbieter zur Wahrung des Fernmeldegeheimnisses Nach § 88 TKG unterliegen dem Fernmeldegeheimnis der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Die Regelung des § 88 TKG wird als einfachgesetzliche Ausprägung des Fernmeldegeheimnisses aus Art. 10 GG gesehen und verpflichtet denjenigen, der den Diensteanbieterbegriff erfüllt, wohingegen Behörden und andere staatliche Institutionen unmittelbar an Art. 10 GG gebunden sind1610. Geschützt werden müssen alle näheren Umstände der Telekommunikation. Neben den Kommunikationsinhalten gehören alle Verkehrsdaten und die Umstände, die einen Telekommunikationsvorgang individualisierbar machen, zu den zu schützenden Belangen1611. Diese Maßstäbe für den Kommunikationsschutz haben den Hintergrund, dass die Diensteanbieter die Telekommunikationssicherheit besonders leicht beeinträchtigen können, da sie faktische Zugriffsmöglichkeiten auf Kommunikationsinhalte und -umstände haben. Weitere Vorgaben des TKG In § 91 ff. TKG ist ein eigenes telekommunikationsrechtliches Datenschutzregime geregelt, welches dem allgemeinen Datenschutzrecht als Spezialgesetz vorgeht1612. Nach § 109 Abs. 1 TKG trifft Telekommunikationsdiensteanbieter die Pflicht, angemessene technisch-organisatorische und sonstige Maßnahmen zum Schutz des Fernmeldegeheimnisses und personenbezogener Daten vorzunehmen. Bei der Umsetzung dieser Maßnahmen kommen regelmäßig Standards des BSI in Betracht. Als technische Maßnahmen sind insbesondere Zutrittskontrollen durch automatische Kartenlesegeräte, das Aufrechterhalten funktionierender Firewalls und Intrusion-Detection Systeme geeignet1613. Ein Verstoß gegen diese spezialgesetzlichen IT-Sicherheitspflichten bei Betreibern öffentlicher TK-Netze ist nach § 149 Nr. 21 TKG sanktionsbewehrt. a) b) 1608 Von einer Eigenständigkeit des § 88 TKG gegenüber dem Art. 10 GG geht aus: Sander, CR 2014, 176 (176 ff.). 1609 Zu den Pflichten des Telekommunikationsdiensteanbieters auch: Bizer, in: Schulzki-Haddouti (Hrsg.), Grundrechte im Netz, 21 (23). 1610 Bock, in: Geppert/Schütz (Hrsg.), § 88 TKG, Rn. 1. 1611 BVerfGE 67, 157 (172). 1612 Heckmann/Seidl/Maisch, Sicherheitsniveau bei der elektronischen Kommunikation, S. 39. 1613 Heckmann/Seidl/Maisch, Sicherheitsniveau bei der elektronischen Kommunikation, S. 39. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 224 Zwischenergebnis Die De-Mail-Dienste sind sowohl als Telemediendienste i. S. d. TMG als auch als Telekommunikationsdienste i. S. d. TKG einzuordnen. Im Wesentlichen sind für die De-Mail-Dienste die Datenschutzvorschriften des TKG maßgeblich, die den Schutz des Fernmeldegeheimnisses bezwecken. Das bedeutet, dass für die De-Mail-Dienste speziell das telekommunikationsrechtliche Datenschutzregime einschlägig ist. Im Zwischenzeitraum bis zum Inkrafttreten der E-Privacy-Verordnung besteht allerdings bezüglich der einschlägigen telemedienrechtlichen Regelungen die unter Teil 3, XII geschilderte Problematik rund um die Nichtanwendbarkeit1614. Die Novellierung des De-Mail-Gesetzes im sog. „Omnibus-Gesetz“ und die DSK-Position stellen die DS- GVO in den Vordergrund. Diese Problematik kann hier nicht weiter vertieft werden, da ansonsten der Rahmen der Arbeit gesprengt werden würde. Anforderungen des PAuswG Maßgeblich für transaktionsbezogenes E-Government ist auch die rechtliche Einhegung der Basisinfrastruktur eID-Funktion des nPA durch das PAuswG. Die Anwendung dieser Basisinfrastruktur liegt unmittelbar in den Händen des Nutzers, sodass der Rechtsrahmen auch eine Aussage zur Nutzerverantwortung treffen muss. Die eID-Funktion als Mittel zur Datenhoheit des Nutzers Die eID-Funktion des nPA kann als Mittel zur Sicherung der Datenhoheit des Nutzers angesehen werden. Über das „Ob“ der Nutzung entscheidet jeder Personalausweisinhaber selbst bei der Ausstellung des nPA in der Personalausweisbehörde. Maßgeblich sind hierzu die Regelungen in § 18 PAuswG. Der elektronische Identitätsnachweis gewährleistet in der digitalen Welt medienbruchfrei im Einzelnen funktional das Anfordern und Vorweisen des Ausweises, die Echtheitsprüfung, den Abgleich des Verwenders mit den Merkmalen des Ausweisinhabers und die Kenntnisnahme der zugeordneten Attribute1615. Insbesondere bietet die eID-Funktion die Möglichkeit eines datensparsamen Nachweises an Identitätsattributen1616, was die Datenhoheit des Nutzers stärkt. Die Datenhoheit, wie sie in dieser Arbeit verstanden wird, ermöglicht es dem Nutzer hier als über seine personenbezogenen Daten Verfügungsbefugter, Kontrolle über die Datenverarbeitungsprozesse zu behalten. Gleichwohl ist die selbstbestimmte Preisgabe von Daten in der digitalen Welt mit großen Herausforderungen verbunden1617. In der praktischen Umsetzung ist bei der Nutzung der eID- 3. VI. 1. 1614 Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK), 26.04.2018, S. 2 Ziff. 4; von einer weiterhin bestehenden Anwendbarkeit des 4. Abschnitts des TMG für öffentliche Stellen, begründet durch Art. 6 Abs. 2 und 3 DS-GVO, geht aus: Breyer, ZD 2018, 302 (302). 1615 Möller, in: Hornung/Ders. (Hrsg.), § 18 PAuswG, Rn. 3. 1616 Polenz, MMR 2010, 671 (673) mit dem Beispiel der Altersverifikation. 1617 Heckmann, DuD 2009, 656 (658). D. Einfachgesetzliche Vorgaben 225 Funktion nach § 18 Abs. 4 PAuswG die Eingabe einer PIN über ein Lesegerät erforderlich. Das Konzept sieht also den nPA als Identifikator-Lösung und das Wissen der PIN als weiteres Element vor. Der Nutzer kann den nPA als praktisch gelebte informationelle Selbstbestimmung in unterschiedlichen Kontexten einsetzen1618. Die Vergabe von Berechtigungszertifikaten als Präventivkontrolle Dem Konzept des nPA liegt ähnlich wie dem De-Mail-Konzept eine Präventivkontrolle zugrunde. Es werden Berechtigungszertifikate nach § 21 PAuswG an die Institutionen vergeben, die Personalausweisdaten auslesen wollen, wodurch die staatliche Pflicht, Datensicherheit herzustellen und dem Nutzer die Kontrolle über seine personenbezogenen Daten zu ermöglichen, gewährleistet wird1619. Wenn der nPA also im transaktionsbezogenen E-Government eingesetzt werden soll, muss die Behörde oder Institution, die diesen einsetzen möchte, ein Berechtigungszertifikat beantragen. Durch das zuständige Bundesverwaltungsamt werden dann auf Antrag per Verwaltungsakt die Berechtigungen erteilt1620. Rücknahme und Widerruf können durch die zuständige Datenschutzaufsichtsbehörde initiiert werden, wenn gemäß § 21 Abs. 5 PAuswG angenommen werden muss, dass ein Diensteanbieter die Daten in unzulässiger Weise nutzt1621. Damit kommt neben dem Schritt der Präventivkontrolle bei der Erteilung des Berechtigungszertifikats eine repressive Kontrolle durch die Datenschutzaufsichtsbehörde dazu. Rolle des Nutzers bei der IT-Sicherheit des nPA Den nPA wird perspektivisch irgendwann jeder Bundesbürger haben. Die Frage der Verantwortung des Nutzers bei der Nutzung des nPA und insbesondere der eID- Funktion stellt sich insbesondere auch vor dem Hintergrund des Einsatzes durch technische Laien1622, wie bereits oben erwähnt, eine unterschiedliche Selbsteinschätzung im Hinblick auf ihre Fähigkeiten in der digitalen Welt aufweisen. Der § 27 PAuswG ist explizit mit „Pflichten des Ausweisinhabers“ überschrieben. Als Nutzerpflichten sind explizit in § 27 Abs. 1 Nr. 3 PAuswG die Pflicht zur Anzeige bei Verlust des Personalausweises, in § 27 Abs. 2 S. 1 PAuswG die Pflicht zur Geheimhaltung der Geheimnummer geregelt. Die Pflicht zur Verlustanzeige ist eine Konkretisierung der Verhaltenspflichten des Ausweisinhabers und begründet bei Vertragsverhältnissen eine vertragliche Nebenpflicht und somit eine vertragliche Haftung1623. Damit treffen den Nutzer der eID-Funktion des nPA im Rahmen der ihm verliehenen Datenhoheit 2. 3. 1618 Zur Zulässigkeit des Einsatzes von Personalausweisdaten gegenüber Privaten am Beispiel des Automaten-Check-In im Flugreiseverkehr: Hoeren, NVwZ 2010, 1123 (1126 f.). 1619 Leven, VR 2012, 3 (4). 1620 Polenz, MMR, 671 (672). 1621 Polenz, MMR, 671 (672). 1622 Heckmann, DuD 2009, 656 (658); vgl. auch den Hinweis auf die staatliche Unterstützung durch Aufklärung bei: Borges, Identitätsdiebstahl und Identitätsmissbrauch im Internet, S. 288. 1623 Borges, NJW 2010, 3334 (3338 f.); ders., Identitätsdiebstahl und Identitätsmissbrauch im Internet, S. 285 ff. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 226 bereits haftungsbewährte Pflichten. Die Geheimhaltung der Geheimnummer des nPA durch den jeweiligen Ausweisinhaber ist wesentliche Voraussetzung für das Vertrauensmodell des elektronischen Identitätsnachweises1624. Dieses Element des Konzeptes des nPA liegt rein faktisch in der Sphäre des Nutzers. Der Nutzer ist hier Verantwortungssubjekt für datenbezogene IT-Sicherheitspflichten, die angesichts der notwendigen Identifizierungserfordernisse im transaktionsbezogenen E-Government eine gro- ße Rolle spielen. In § 27 Abs. 2 S. 2 PAuswG wird dem Ausweisinhaber die Verhaltensmaßregel aufgegeben, die Geheimnummer nicht zusammen mit dem nPA aufzubewahren. Der Gesetzgeber gestattet allerdings die separate Notiz der Geheimnummer und zieht hier die Anforderungen heran, die auch für EC-Karten gelten1625. Die Erfüllung dieser Verhaltensmaßregel ist jedem Ausweisinhaber zumutbar, da aufgrund der weiten Verbreitung von EC-Karten den Nutzer dort gleiche Pflichten treffen. Nach § 27 Abs. 3 PAuswG soll der Nutzer den nPA in einer sicheren technischen Umgebung einsetzen und Komponenten einsetzen, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nach dem jeweiligen Stand der Technik als sicher eingestuft wurden. Die Regelung ist als Soll-Vorschrift formuliert und auslegungsbedürftig. Hier ist teilweise umstritten, ob es sich auch um eine Pflicht oder um eine bloße Obliegenheit des Nutzers handelt. Mit der Bezugnahme auf den Stand der Technik setzt der Gesetzgeber einen hohen Standard, den der Nutzer erfüllen muss1626. Bei historischer Auslegung der Gesetzgebungsgeschichte spricht hier mehr dafür, dass es sich bei § 27 Abs. 3 um eine sanktionslose Norm und nicht um eine sanktionsbewehrte gesetzliche Pflicht handelt1627. Hier ist davon auszugehen, dass es sich um eine Obliegenheit handelt. Auch die Begründung von Nutzerobliegenheiten wird jedoch an dieser Stelle kritisch gesehen, da der Nutzer die Obliegenheiten vielfach nicht erfüllen kann1628. Maßgeblich bei einer rechtlichen Verantwortung des Nutzers ist grundsätzlich seine Einwirkungsmöglichkeit1629. Auch die Argumentation des BVerfG im Urteil zum IT-Grundrecht geht davon aus, dass Selbstschutz des Nutzers in technischer Hinsicht teilweise unmöglich ist1630. Zwischen dieser gesetzlichen Statuierung von Obliegenheiten auf der einen Seite und staatlichen Schutz- und Förderpflichten auf der anderen Seite wird ein Widerspruch gesehen1631. Grundsätzlich wird man sagen müssen, dass der Nutzer auf den nPA als Basisinfrastruktur weitrechendere Einflussmöglichkeiten hat als auf die Modalitäten des Versandes einer De- Mail. Das Element von Besitz der Karte als Identifikator und Wissen der Geheimnummer bezieht den Nutzer in sehr starker Weise mit ein. Praktisch bedeutsam wird 1624 Möller, in: Hornung/Ders. (Hrsg.), § 27 PAuswG, Rn. 6. 1625 Borges, Identitätsdiebstahl und Identitätsmissbrauch im Internet, S. 287. 1626 Borges, Identitätsdiebstahl und Identitätsmissbrauch im Internet, S. 287. 1627 Vgl. Borges, Identitätsdiebstahl und Identitätsmissbrauch im Internet, S. 288 mit Verweis auf die Gesetzgebungsgeschichte: BR-Drs. 550/1/08, S. 18, sowie BT-Drs. 16/10489, S. 55. 1628 Heckmann, DuD 2009, 656 (659). 1629 Möller, in: Hornung/Ders. (Hrsg.), § 27 PAuswG, Rn. 10. 1630 BVerfGE 120, 274 (306). 1631 Heckmann, DuD 2009, 656 (659). D. Einfachgesetzliche Vorgaben 227 die Vorschrift des § 27 Abs. 3 PAuswG auch bei der Beschaffung des Kartenlesers als Teil der individuellen Infrastruktur des Nutzers. Die Entscheidung muss jeder Nutzer eigenverantwortlich treffen. Er hat grundsätzlich einen Basisleser ohne Sicherheitsfunktionen, einen Standardleser mit integriertem PIN-Pad oder einen Komfort-Leser mit PIN-Pad und Display zur Auswahl1632. Insoweit ist der Nutzer bereits bei der Auswahl und „Zusammenstellung“ seiner individuellen Infrastruktur gefordert. Eine abstrakte Betrachtung von Nutzerverantwortlichkeiten und der Haftung des Nutzers kann nicht ausblenden, dass es bei einer Frage der Verantwortlichkeit im konkreten Einzelfall auf eine Vielzahl von Faktoren ankommt1633. Das PAuswG stellt im Gegensatz zur qeS kein eigenes Haftungsregime auf, sondern es gelten in haftungsrechtlicher Hinsicht die allgemeinen Vorschriften1634. In § 27 Abs. 3 PAuswG ist von der individuellen Infrastruktur des Nutzers als „Umgebung“ die Rede, welche als informationstechnisches System i. S. d. IT-Grundrechts einzuordnen ist1635. Eine wesentliche Bedeutung kommt dieser vom Nutzer eingesetzten individuellen Infrastruktur und deren Konformität zum Stand der Technik nach Maßgabe der einschlägigen BSI-Standards zu1636. Die IT-Sicherheit der jeweiligen Hard- und Softwareumgebung des Nutzers ist für eine Beurteilung insbesondere haftungsrechtlicher Verantwortlichkeiten mit entscheidend1637. Weitere Nutzerverantwortlichkeiten über die Regelungen des § 27 PAuswG hinaus gibt es im PAuswG nicht1638, sodass im Übrigen die allgemeinen Vorschriften greifen. Änderungen des PAuswG im Zuge des EGovG Das PAuswG hat durch das „Gesetz zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften“ Änderungen im Rahmen der Beratung erfahren. Für die Nutzerverantwortlichkeit am wichtigsten ist die Änderung, dass die Aufklärung des Personalausweisinhabers über die eID-Funktion durch die Personalausweisbehörde künftig nicht nur mit einer Papierbroschüre, sondern auch mit einer De-Mail mit einer Eingangsbestätigung nach § 5 Abs. 8 De-Mail-Gesetz erfolgen kann1639. Auch im PAuswG selbst sollen die Neuregelungen bei § 10 Abs. 1 und 11 Abs. 4 PAuswG n. F. Schriftformerfordernisse abbauen und die Medienbruchfreiheit fördern sowie das Antragsverfahren beschleunigen, indem die antragstellende Person nicht mehr wie bislang die Entscheidung über die Nutzung der Online-Ausweisfunktion sowie den Erhalt von Informationen schriftlich bestätigen muss1640. Darüber hinaus wurde die eID-Funktion des nPA durch das Gesetz zur Förderung der elektronischen Verwaltung und Änderung weiterer Vorschriften durch § 3a Abs. 2 S. 4 Nr. 1 4. 1632 Bender u. a., DuD 2010, 761 (762). 1633 Möller, in: Hornung/Ders. (Hrsg.), § 18 PAuswG, Rn. 38. 1634 Möller, in: Hornung/Ders. (Hrsg.), § 18 PAuswG, Rn. 38. 1635 Neidert, in: Schliesky (Hrsg.) § 27 PAuswG, Rn. 12. 1636 Möller, in: Hornung/Ders. (Hrsg.), § 18 PAuswG, Rn. 43. 1637 Borges, NJW 2010, 3334 (3338 f.). 1638 Borges, Identitätsdiebstahl und Identitätsmissbrauch im Internet, S. 286. 1639 BR-Drs. 557/12, S. 81. 1640 BR-Drs. 557/12 (Beschluss), S. 16. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 228 VwVfG im Zusammenhang mit weiteren Infrastrukturkomponenten als Schriftformersatz anerkannt1641. Zwischenergebnis Durch die Regelungen im PAuswG, welche die eID-Funktion des nPA betreffen, werden Nutzerverantwortlichkeiten in Form von Pflichten und Obliegenheiten statuiert. Diese Fragen haben angesichts der Bedeutung des nPA als Identifizierungsinfrastruktur insbesondere auch im transaktionsbezogenen E-Government massive praktische Bedeutung. Hier stehen sich Nutzerverantwortung und staatliche Verantwortung gegenüber. Das Verhältnis der beiden Pole Nutzerverantwortlichkeit und staatliche Schutz- und Förderpflichten wird in dieser Arbeit weiter zu untersuchen sein. Anforderungen des TMG und TKG Im Wege der Umsetzung der objektiv-rechtlichen Gehalte aus Art. 10 GG hat der Gesetzgeber ein Arrangement von miteinander verknüpften verwaltungs-, zivil- und strafrechtlichen Normen geschaffen, die dem Schutzgut des Kommunikationsgeheimnisses dienen sollen1642. Diese Vorschriften weisen sowohl Verantwortlichkeiten für Kommunikationsinhalte als auch für die verschiedenen Phasen des Datenverarbeitungsprozesses zu. Je nach Verwaltungsträger und Art der E-Government-Anwendung können unterschiedliche datenschutzrechtliche Regelungen einschlägig sein1643. Im Zuge der Neuregelungen für transaktionsbezogenes E-Government wird auf die Vorschriften von TKG, TMG und BDSG a. F. wie z. B. in § 15 De-Mail-Gesetz im Übrigen verweisen, sodass diese auch maßgeblich sind. Für den Postfach- und Versanddienst bei De-Mail dürfte das TKG einschlägig sein, beim De-Mail-Identitätsbestätigungsdienst, dem Verzeichnisdienst und dem Dokumentensafe handelt es sich um Telemediendienste, für die die §§ 11 ff. TMG maßgeblich sind1644. Das Datenschutzrecht regelt eine rechtliche Verantwortlichkeit für Daten, die aber nicht so geartet ist wie Ausschließlichkeitsrechte an einzelnen Datensätzen, wie sie ein Eigentümer einer Sache hätte1645. Das Datenschutzrecht muss für den Umgang von Staat und Verwaltung, privaten Diensteanbietern und dem privaten Nutzer ein Verantwortungskonzept vorhalten. Daher ist hier das Verhältnis dieser einfachgesetzlichen Ausprägungen der kommunikationsbezogenen Grundrechte unter Berücksichtigung der Verantwortungsbeiträge der einzelnen Akteure notwendigerweise darzustellen. Dabei erfolgt auch hier der Hinweis, dass das TMG und TKG in ihrer jetzigen Form formal noch in Kraft sind, allerdings bei der Anwendung einzelner Vorschriften im Zwischenzeit- 5. VII. 1641 Siehe oben unter: Teil 3, D., III., 5. 1642 Groß, JZ 1999, 326 (329). 1643 Moos, in: Kröger/Hoffmann, Rechtshandbuch zum E-Government, 328 (329 ff.) = Rn. 4 ff. 1644 Skrobotz, in: Manssen (Hrsg.), § 15 De-Mail-Gesetz, Rn. 9. 1645 Hoeren, in: Conrad/Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen – Festschrift für Jochen Schneider, 303 (305). D. Einfachgesetzliche Vorgaben 229 raum bis zum Inkrafttreten der E-Privacy-Verordnung die oben bereits geschilderten Abgrenzungsprobleme mit der DS-GVO bestehen. Schichtenmodell Bereits oben konnte gezeigt werden, dass in verschiedenen Phasen elektronischer Kommunikation unterschiedliche grundrechtliche Gewährleistungen greifen. Auf der Ebene der einfachgesetzlichen Ausgestaltung ergibt sich auch die Notwendigkeit, verschiedene Ebenen des Kommunikationsprozesses und verschiedene Regelungsintentionen auseinanderzuhalten. Insofern wird ein enger Zusammenhang der Betrachtung der Kommunikationsphasen auf verfassungsrechtlicher und auf einfachgesetzlicher Ebene sichtbar1646. Insbesondere für die funktionelle Abgrenzung der einfachgesetzlichen Datenschutzvorschriften bei elektronischer Kommunikation hat sich das Schichtenmodell bewährt, welches zwischen der Inhaltsebene, der Interaktionsebene und der Transportebene unterscheidet1647. Es ist demnach maßgeblich, ob es um die Übertragung von Inhalten oder um das Angebot und die Verantwortung für diese Inhalte geht1648. Auch die Daten, welche die Übertragung dokumentieren, können bei umfangreicher Auswertung die Möglichkeit bieten, in die Intimsphäre hineinreichende Rückschlüsse zu gewinnen1649. Inhaltsebene Auf einer oberen Schicht wird die Ebene der Daten, die beim rechtlichen Verhältnis zwischen Diensteanbieter und Nutzer anfallen, betrachtet. In diese Schicht würden die zu erhebenden Identitätsdaten, die ein privater Nutzer offenbaren muss, wenn er mit einem De-Mail-Diensteanbieter einen Vertrag schließt, fallen. Interaktionsebene Neben der Inhaltsebene betrachtet das Schichtenmodell die Interaktionsebene. Diese erfasst die Interaktion zwischen Nutzer und dem Angebot des Diensteanbieters. In dieser Schicht ist im Wesentlichen das TMG anwendbar. Dieses hat ein eigenes Datenschutzregime und weist insbesondere auch in den §§ 7 bis 10 eine Inhaltsverantwortlichkeit zu. Transportebene Das Schichtenmodell betrachtet als weitere Ebene die Transportebene. Hier wird der elektronische Transport einer Nachricht betrachtet, und in Ausprägung des Fernmel- 1. a) b) c) 1646 Vgl. hierzu auch: Hoffmann u. a., Der E-Postbrief in der öffentlichen Verwaltung, S. 62 ff. 1647 Heckmann/Seidl/Maisch, Sicherheitsniveau bei der elektronischen Kommunikation, S. 37 ff.; Schaar, Datenschutz im Internet, Rn. 247 ff. 1648 Hoffmann, Datenschutzrechtliche Zulässigkeit der Nutzung des E-Postbriefes der Deutschen Post AG, S. 9. 1649 Szuba, Vorratsdatenspeicherung, S. 225. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 230 degeheimnisses aus Art. 10 GG ist hier auf der einfachgesetzlichen Ebene das TKG einschlägig mit einem eigenen Datenschutzregime und einer massiven Verantwortungszuweisung an den Telekommunikationsdiensteanbieter. Dieses Rechtsregime ist über das des De-Mail-Gesetzes hinaus auch für De-Mail-Diensteanbieter einschlägig. Differenzierung von Bestands-, Nutzungs- und Inhaltsdaten Klassischerweise unterscheidet man im Kontext der Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten bei Kommunikationsvorgängen zwischen Bestands-, Nutzungs- und Inhaltsdaten1650. Bestandsdaten sind solche, die als Basisdaten ein Vertragsverhältnis zwischen dem Nutzer und dem Diensteanbieter ermöglichen1651, was in § 3 Nr. 3 TKG definiert ist. Verkehrsdaten sind nach § 3 Nr. 30 TKG Daten, die bei der Erbringung eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden. Teilweise wird auch von Nutzungsdaten gesprochen. Der Begriff folgt dem früheren Begriff Verbindungsdaten und enthält wesentliche Angaben wie Zeitpunkt, Dauer und Kommunikationspartner, sodass die Daten wesentlich sensibler als Bestandsdaten sind1652. Näher definiert sind die Verkehrsdaten, die der Diensteanbieter erheben darf, in § 96 Abs. 1 TKG. Über § 88 TKG werden die sog. Inhaltsdaten geschützt. Unter diesem Begriff wird alles geschützt, was während eines Telekommunikationsvorgangs ausgesendet, übermittelt oder empfangen wird1653. Diese Inhaltsdaten werden beim De-Mail-Diensteanbieter ausschließlich in verschlüsseltem Zustand gespeichert1654. Inhaltsdaten werden rechtlich teilweise als Nutzungsdaten nach § 15 TMG analog eingeordnet und teilweise wird für einen Rückgriff auf die Regelungen des BDSG a. F. plädiert1655. Letzterer Ansicht ist der Vorzug zu geben. Vorgaben des TMG Im TMG sind allgemeine Regelungen des Datenumgangs im Internet für Diensteanbieter enthalten, die aber so weite Spielräume lassen, dass der Umfang der Datenverarbeitung maßgeblich von der konkreten Vereinbarung der Dienstleistung abhängt1656. Die Inhaltsverantwortlichkeit der privaten Diensteanbieter auch für das Verhalten Dritter bewegt sich in einem Spannungsfeld1657. Über das TMG sind als Telemedien alle Dienste erfasst, die elektronische Text-, Bild- oder Toninhalte umfassen1658. Damit fallen auch 2. 3. 1650 Hoffmann u. a., Der E-Postbrief in der öffentlichen Verwaltung, S. 64; zum Zugriff von Ermittlungsbehörden auf Nutzungsdaten bei der Strafverfolgung: Karg, DuD 2015, 85 (85 ff.). 1651 Hoffmann u. a., Der E-Postbrief in der öffentlichen Verwaltung, S. 64. 1652 Säcker, in: Säcker (Hrsg.), § 3 TKG, Rn. 89 f. 1653 Eckhardt, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, § 88 TKG, Rn. 10. 1654 BR-Drs. 557/12, S. 72. 1655 Buchner, DuD 2012, 767 (767). 1656 Roßnagel, in: Hill (Hrsg.), E-Transformation, 79 (94). 1657 Vgl. hierzu Breyer, MMR 2009, 14 (16 ff.). 1658 Schmitz, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, § 1 TMG, Rn. 11; Roßnagel, NVwZ 2007, 743 (744). D. Einfachgesetzliche Vorgaben 231 die De-Mail-Dienste Identitätsbestätigungsdienst, Verzeichnisdienst sowie der Dokumentensafe unter diesen Begriff1659. Andere Angebote auf anderen Transaktionsstufen des E-Governments dürften auch unter das TMG fallen1660, sodass die Nutzerdaten auch hier telemedienrechtlichen Schutz genießen. Neben dem großen Anwendungsbereich für E-Commerce-Anwendungen, bei dem der Anspruch an den Datenschutz und die Realität häufig auseinanderklaffen1661, findet das TMG grundsätzlich also auch als Fachgesetz im E-Government Anwendung. Das TMG gilt auch für öffentliche Stellen1662. Bietet eine Behörde also selbst entsprechende E-Government-Angebote an, ist diese an das TMG mit dem entsprechenden Verantwortungskonzept und den speziellen Datenschutzvorschriften der §§ 11 ff. TMG gebunden. In § 13 TMG ist ein umfangreiches Pflichtenregime des Diensteanbieters geregelt. In § 13 Abs. 1 TMG ist eine umfassende Aufklärungspflicht des Diensteanbieters gegenüber dem Nutzer geregelt. Der Diensteanbieter hat den Nutzer zu Beginn eines Datenverarbeitungsvorgangs über Art, Umfang und Zweck des Datenverarbeitungsvorgangs zu unterrichten1663. Die Regelung in § 9 De-Mail-Gesetz dürfte insoweit bei den De-Mail-Diensten als lex specialis vorgehen. In § 13 Abs. 2 TMG sind zur Vermeidung eines Medienbruches die Anforderungen an eine elektronische Einwilligung in die Datenverarbeitung geregelt. Insbesondere im Kontext des EGovG wurde der Maßstab dieser Vorschrift herangezogen, um die elektronische Einwilligung so einfach wie das Akzeptieren von AGB bei Internet- Verkäufen zu machen1664. In § 12 Abs. 1 TMG ist die Datenverarbeitung wie in § 4 Abs. 1 BDSG a. F. auch unter einen präventiven Erlaubnisvorbehalt gestellt1665. Das bedeutet, dass im Kontext von Telemedien jegliche Datenverarbeitung erst einmal verboten ist, soweit sie nicht durch das TMG oder die Einwilligung des Nutzers gerechtfertigt ist. Elemente des Selbstschutzes des Nutzers finden sich in § 13 Abs. 6 TMG, indem er dem Diensteanbieter die Pflicht aufgibt, die Nutzung von Telemediendiensten anonym oder unter Pseudonym zu ermöglichen. Darüber hinaus regeln die §§ 7 bis 10 TMG umfangreich die weiteren Verantwortlichkeiten der Diensteanbieter. Hier wird ein umfangreiches Pflichtenregime für die Diensteanbieter aufgestellt, welches Spezialregelungen zum Straf-, Zivil-, Verwaltungs- und Jugendschutzrecht darstellt1666. Auch der Nutzer wird hier in die Verantwortung genommen. So ist der Diensteanbieter nach § 10 TMG nicht für fremde Informationen verantwortlich, die sie für einen Nutzer speichern, sofern sie keine 1659 Skrobotz, in: Manssen (Hrsg.), § 15 De-Mail-Gesetz, Rn. 9; zu diesen Diensten siehe oben unter: Teil 2, D., II. 1660 Stollhoff, Datenschutzgerechtes E-Government, S. 169 m. w. N.; Moos, in: Kröger/Hoffmann, Rechtshandbuch zum E-Government, 328 (329 ff.) = Rn. 4 ff. mit Verweis auf das TDDSG als Vorgänger des TMG. 1661 Becker/Becker, MMR 2012, 351 (351 ff.) am Beispiel der Google-Datenschutzerklärung. 1662 Schmitz, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, § 1 TMG, Rn. 14; Stelkens, in: Wirtz (Hrsg.), 51 (63); Roßnagel, NVwZ 2007, 743 (745). 1663 Laue, Vorgangsbearbeitungssysteme in der öffentlichen Verwaltung, S. 365. 1664 BR-Drs. 557/12, S. 55. 1665 Schneider, in: Ders. (Hrsg.), Handbuch des EDV-Rechts, S. 212 f. = B, Rn. 675; Roßnagel, NVwZ 2007, 743 (747). 1666 Roßnagel, NVwZ 2007, 743 (747). Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 232 Kenntnis von der rechtswidrigen Handlung hatten oder sie bei Kenntnis unverzüglich tätig geworden sind. Vorgaben des TKG Das TKG enthält Vorgaben zum Schutz des Fernmeldegeheimnisses aus Art. 10 GG. Die Struktur des TKG erklärt sich vor allem auch als Form der „Privatisierungsfolgenverantwortung“, die eine Schutzpflicht begründet, dass der Gesetzgeber durch geeignete Vorschriften ein adäquates Schutzniveau wie bei der staatlichen Post auch gegenüber privaten Dienstleistern gewähren müsse1667. Das TKG ist Teil eines staatlichen Schutzkoneptes für das Fernmeldegeheimnis1668. Zentral ist an dieser Stelle die Regelung in § 88 TKG. Nach § 88 Abs. 2 TKG ist jeder Diensteanbieter zur Wahrung des Fernmeldegeheimnisses verpflichtet. Hier wird die Verantwortung für die grundrechtliche Gewährleistung an den Diensteanbieter adressiert. Dieser Schutz für den Inhalt der Kommunikation gilt auch für De-Mail-Diensteanbieter1669. Erstreckung des Fernmeldegeheimnisses auf Private nach § 88 TKG In Umsetzung der staatlichen Schutzpflicht für das Fernmeldegeheimnis wird hier für die Diensteanbieter ein spezielles Rechtsregime geschaffen1670. Für die Diensteanbieter ist die Erstreckung des Fernmeldegeheimnisses mit hohen Anforderungen an die IT-Sicherheit verbunden, welche sie in ihren Geschäftsmodellen abbilden müssen. Diese sind aufgrund ihrer Nähe und Beherrschbarkeit der Kommunikationsinfrastrukturen die maßgeblichen Verantwortungssubjekte. Nutzerverantwortlichkeiten nach TMG Nach § 2 Nr. 3 TMG ist Nutzer jede natürliche oder juristische Person, die Telemedien nutzt, insbesondere um Informationen zu erlangen oder zugänglich zu machen. Das Grundkonzept der Haftungsregelungen in den §§ 7 bis 10 TMG bezieht den Nutzer mit ein. Der Begriff „Verantwortlichkeit“ wird wie in der Überschrift zum 3. Abschnitt des TMG selten verwendet und bezieht sich hier auf das Einstehenmüssen für eigenes Verschulden1671. Das Leitbild des TMG hat einen Nutzer vor Augen, der eigenverantwortlich Telemedien nutzt. Das Agieren des Nutzers im digitalen Umfeld führt teilweise auch dazu, dass der einzelne Nutzer als „Datenverarbeiter“ tätig wird und ihm daher auch ein Verantwortungsbeitrag zukommt1672. 4. 5. 6. 1667 Groß, JZ 1999, 326 (327) m. w. N. (Hervorhebung im Original). 1668 Gerhards, (Grund-)Recht auf Verschlüsselung?, S. 332. 1669 Skrobotz, in: Manssen (Hrsg.), § 15 De-Mail-Gesetz, Rn. 4. 1670 Gurlit, NJW 2010, 1035 (1040). 1671 Hoffmann, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, Vorb. §§ 7 ff. TMG, Rn. 24. 1672 Knabe, in: Schünemann/Weiler (Hrsg.), E-Government und Netzpolitik im europäischen Vergleich, 277 (296) m. w. N. (Hervorhebung im Original). D. Einfachgesetzliche Vorgaben 233 Verantwortlichkeiten der Diensteanbieter Auf der Ebene der Verantwortlichkeiten der Diensteanbieter sind hier die Meldepflichten bei Sicherheitsvorfällen nach § 42 a BDSG a. F., 15 a TMG und § 93 Abs. 3 TMG zu nennen. In diesen Normen werden Pflichten für den Fall von Datenpannen geregelt1673. Diese Regelungen haben in der Vergangenheit relativ wenig Schutzwirkung für den privaten Nutzer hervorgebracht. Sie werden durch die Vorschriften des jüngst in Kraft getretenen IT-Sicherheitsgesetzes überlagert1674. Ergänzungsfunktion der Regelungen des BDSG Anders als vorher haben die Vorschriften des BDSG n. F. und der Landesdatenschutzgesetze nicht mehr den Charakter eines Vollgesetzes, sondern erfüllen nur noch eine Ergänzungsfunktion in Ausfüllung der Öffnungsklauseln der DS-GVO. Insoweit ist hier eine vertiefte Darstellung vor dem Hintergrund der Rechtsentwicklung entbehrlich. IT-Sicherheitsgesetz Ein weiterer wichtiger Bestandteil des einfachen Rechtsrahmens ist das sog. IT-Sicherheitsgesetz. Dieses ist am 25.07.2015 in Kraft getreten1675. Der Gesetzgeber adressiert mit diesem Artikelgesetz, welches insbesondere auch Änderungen im TMG und TKG neben Änderungen im Gesetz über das Bundesamt in der Informationstechnik (BSIG) mit sich bringt, die Betreiber Kritischer Infrastrukturen. Nach einem vorherigen Entwurf im Jahr 20131676 gab es einen erneuten Entwurf im Jahr 20141677. Dieser ist am 12.06.2015 vom Bundestag beschlossen worden. Dieser Entwurf ist einer der ersten in Angriff genomenen Kernpunkte der „Digitalen Agenda 2014‒2017“1678. Der Gesetzgeber adressiert ausschließlich mit diesem Gesetz nicht den privaten Nutzer mit seiner individuellen Infrastruktur und auch die öffentliche Verwaltung ist in die Neuregelungen nicht explizit einbezogen1679. In § 2 Abs. 10 BSIG n. F. regelt der Entwurf, dass kritische Infrastrukturen im Sinne des Gesetzes Einrichtungen, Anlagen oder Teile davon sind, die den Sektoren Informationstechnik und Telekommunikati- 7. VIII. IX. 1673 Hornung, NJW 2010, 1841 (1841 ff.). 1674 Zum IT-Sicherheitsgesetz sogleich unten unter: Teil 3, D., IX. 1675 BGBl., Jahrgang 2015 Teil I Nr. 31, S. 1324; ein Vergleich von öffentlich-rechtlichen und zivilrechtlichen Regulierungsmodellen für IT-Sicherheit und kritische Infrastrukturen findet sich bei: Spindler, in: Kloepfer (Hrsg.), Schutz kritischer Infrastrukturen, 85 (85 ff.). 1676 Zu diesem ersten Entwurf des BMI vom 5.3.2013: Roos, K&R 2013, 769 (769 ff.); Beucher/Utzerath, MMR 2013, 362 (363 ff.); Klett/Ammann, CR 2014, 93 (96 ff.), sowie Schulz S. E./Tischer, ZG 2013, 339 (352 ff.). 1677 BT-Drs 18/4096. 1678 Roos, MMR 2014, 723 (724); zur Digitalen Agenda 2014-2017 vgl. oben: Teil 2, B., IV. 1679 Hornung, NJW 2015, 3334 (3335) m. w. N. in Fn. 20. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 234 on angehören. Nach § 8a BSIG n. F. sind Betreiber Kritischer Infrastrukturen verpflichtet, spätestens zwei Jahre nach Inkrafttreten einer Rechtsverordnung nach § 10 Abs. 1 BSIG angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Zu berücksichtigen ist dabei der Stand der Technik. Nach § 8a Abs. 2 BSIG n. F. können Betreiber Kritischer Infrastrukturen mit ihren Branchenverbänden eigene Standards festlegen, deren Geeignetheit das BSI auf Antrag feststellt. Nach § 8a Abs. 3 BSIG n. F. müssen die Betreiber Kritischer Infrastrukturen mindestens alle zwei Jahre die Erfüllung der Sicherheitsanforderungen auf geeignete Weise z. B. mit Sicherheitsaudits, Prüfungen oder Zertifizierungen nachweisen. Die Regelungen in § 8a BSIG n. F. sind nicht anzuwenden auf die Betreiber Kritischer Infrastrukturen, soweit sie ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen. Für diese Betreiber Kritischer Infrastrukturen sind in Artikel 5 des Entwurfes Änderungen in § 109 TKG vorgesehen. Der Referentenentwurf beabsichtigt wie auch der vorherige Entwurf aus dem Jahr 2013, das Schutzniveau insoweit zu erhöhen, als der Betreiber einer entsprechenden Kritischen Infrastruktur in Zukunft bei Schutzmaßnahmen nach § 109 Abs. 2 S. 2 TKG den „Stand der Technik“ zu berücksichtigen hat, wobei eigentlich bereits jetzt angenommen wird, dass dieses Schutzniveau über den Kriterienkatalog der BNetzA erreicht wird1680. Nach § 109 Abs. 5 TKG n. F. müssen der Betreiber eines öffentlichen Telekommunikationsnetzes oder der Erbringer öffentlich zugänglicher Telekommunikationsdienste der Bundesnetzagentur (BNetzA) unverzüglich Beeinträchtigungen von Telekommunikationsnetzen und -diensten mitteilen, die zu beträchtlichen Sicherheitsverletzungen führen oder zu solchen führen können. Nach der Begründung des Entwurfs gebe es bisher nur technische Schutzmaßnahmen mit erhöhten Anforderungen nach dem „Stand der Technik“ bei Maßnahmen zum Schutz der Vertraulichkeit (Fernmeldegeheimnis) und für den Schutz personenbezogener Daten1681. Bei der IT-Sicherheit werden nur „angemessene technische Vorkehrungen und Maßnahmen“ verlangt, was aufgrund der Unbestimmtheit des Begriffes auch dazu führen kann, dass die Intensität der Vorkehrungen von allgemeinen Wirtschaftlichkeitserwägungen abhängig gemacht werden kann1682. Die Meldepflichten der Telekommunikationsdiensteanbieter gegenüber der BNetzA werden durch diesen Gesetzentwurf von den bisher bestehenden Meldepflichten bei tatsächlich aufgetretenen Störungen auf den Vorfeldbereich potenzieller Störungen ausgeweitet, um eine Verbesserung des Lagebildes der IT-Sicherheit zu erhalten1683. Der Entwurf sieht in § 109a Abs. 4 S. 1 TKG n. F. vor, die Internet-Service-Provider dazu zu verpflichten, die Nutzerinnen und Nutzer bei entsprechender Kenntnis über die Infizierung mit 1680 Roos, MMR 2014, 723 (727); Eckhardt, in: Geppert/Schütz, § 109 TKG, Rn. 48. 1681 BT-Drs. 18/4096, S. 35. 1682 BT-Drs. 18/4096, S. 35 (Hervorhebungen im Original). 1683 BT-Drs. 18/4096, S. 36. D. Einfachgesetzliche Vorgaben 235 Schadsoftware zu informieren, was die ohnehin gängige Praxis der meisten Provider ist und den Empfehlungen der Allianz für Cybersicherheit entspricht1684. Durch diese gesetzlichen Neuregelungen sind die Nutzer mittelbar angesprochen. Ihnen wird jedoch kein unmittelbarer Beitrag zur Cybersicherheit abverlangt. Über § 149 Nr. 21 a TKG n. F. werden Pflichtverstöße der Diensteanbieter punktuell sanktioniert. Der Gesetzentwurf sieht in Artikel 4 auch Änderungen im TMG vor. Nach § 13 Abs. 7 TMG n. F. haben Diensteanbieter, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und diese gegen Verletzungen des Schutzes personenbezogener Daten und gegen Störungen, auch soweit sie durch äu- ßere Angriffe bedingt sind, gesichert sind. Der Gesetzgeber ergänzt hier die Pflichten für Telemediendiensteanbieter aufgrund der zunehmenden Verbreitung von Schadsoftware über Telemediendienste1685. Angeknüpft wird hierbei an die ohnehin bei den Telemediendiensteanbietern bestehende Verantwortlichkeit. Angesprochen sind insbesondere kommerzielle Content- und Host-Provider i. S. v. § 7 Abs. 1 TMG bzw. § 10 Abs. 1 TMG, um den häufigen Verbreitungsweg von Schadsoftware über manipulierte Webseiten (Drive-by-Download) zu bekämpfen. Diese Pflichten des Diensteanbieters sind über die Neufassung des § 16 Abs. 2 Nr. 3 TMG n. F. bußgeldbewehrt1686. Damit verleiht der Gesetzgeber dieser Pflicht eine starke Bedeutung und unterstreicht die Verantwortung, die er bei den Diensteanbietern sieht. Systematisch handelt es sich bei diesen Diensteanbietern, die geschäftsmäßig Telemediendienste erbringen, vielfach eigentlich nicht um Betreiber Kritischer Infrastrukturen, sodass hier insgesamt der Pflichtenkreis z. B. für Verschlüsselungstechniken angehoben wird1687. Erfasst sind hier damit auch die Homepages kommunaler Gebietskörperschaften, sodass über diese Änderungen der Maßstab für die E-Government anbietende Verwaltung gesteigert wird. Die Änderungen des IT-Sicherheitsgesetzes sind neben den bestehenden Datenschutzgesetzen1688 ein weiteres Element des Rechts der IT-Sicherheit. Der vorliegende Entwurf enthält Konkurrenzfragen zum geltenden Datenschutzrecht, und es besteht weiterhin die Notwendigkeit, Datenschutzrecht und Vorschriften mit Bezug zur IT- Sicherheit miteinander zu verzahnen1689. Die Analyse hat ergeben, dass insbesondere an die Diensteanbieter Pflichten adressiert werden und an die Nutzer nur Informationen über Sicherheitsvorfälle. Damit weist das dahinter liegende Verantwortungskonzept den Diensteanbietern einen wichtigen Verantwortungsbeitrag zugunsten der Nutzer zu. Die Nutzer sind aufgerufen, die Informationen aufzunehmen und sich aufklären zu lassen. 1684 Roos, MMR 2014, 723 (727). 1685 BT-Drs. 18/4096, S. 34. 1686 BT-Drs. 18/4096, S. 35. 1687 Hornung, NJW 2015, 3334 (3338). 1688 Die Datenschutzgesetze werden als Teil des Rechts der IT-Sicherheit aufgefasst: Schmidl, NJW 2010, 476 (478) mit Verweis auf Simitis, in: Ders. (Hrsg.) § 9 BDSG, Rn. 2. 1689 Roos, MMR 2014, 723 (729). Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 236 Die Zielsetzung des IT-Sicherheitsgesetzes ist insgesamt neben der Verbesserung der „IT-Sicherheit von Unternehmen“ auch der „Schutz der Bürgerinnen und Bürger“1690. Strafvorschriften im Bereich der elektronischen Kommunikation Der Vollständigkeit halber ist hier noch kurz auf einschlägige Strafvorschriften einzugehen, da diese ex post in den oben skizzierten Gefährdungslagen eingreifen. Es gibt in Deutschland kaum eine Verfolgung direkter Datenschutzverstöße1691. Vielfach bleiben diese nicht geahndet. Es gibt allerdings eine Reihe von Straftatbeständen, die jedenfalls auch dem Schutz personenbezogener Daten dienen. In der Strafvorschrift des § 206 StGB ist eine Verletzung des Fernmeldegeheimnisses geregelt. Erfasst sind die Inhaber und die Beschäftigten eines Unternehmens, das geschäftsmäßig Telekommunikationsdienste erbringt1692. Nach dieser Vorschrift würde sich auch ein Mitarbeiter eines De-Mail-Diensteanbieters strafbar machen. Diese Pönalisierung zeigt, dass der Gesetzgeber es für notwendig hält, das Fernmeldegeheimnis mit einer Strafnorm als Ultima Ratio zu sichern. Das rechtswidrige Erlangen von nicht allgemein zugänglichen Identifikationsdaten wie z. B. Name, Anschrift oder Passwörter ist bei entsprechender Bereicherungsoder Schädigungsabsicht nach § 44 Abs. 1 i. V. m. § 43 Abs. 2 Nr. 1, 3 oder 4 BDSG a. F. strafbar, wenn ein Strafantrag vorliegt1693. Darüber hinaus können bei dem rechtswidrigen Erlangen einer fremden Identität weitere Straftatbestände einschlägig sein1694. Eine weitere Darstellung dieser Normen soll hier unterbleiben, weil ansonsten der Rahmen der Arbeit gesprengt werden würde. Zusammenfassung Teil 3 Die europäische Rechtsentwicklung hat den Rechtsrahmen für das Identitätsmanagement mitgeprägt und hat auch für transaktionsbezogenes E-Government Auswirkungen. Dabei wird die Entwicklung ständig von europäischer Rechtsetzung und von Rechtsprechung beeinflusst. Das „Safe-Harbor-Urteil“ des EuGH hat als jüngste Entscheidung maßgebende Bedeutung für die europäische Datenschutzentwicklung, die in ihrer Tragweite noch gar nicht absehbar ist. Deutlich wird an diesem Urteil auch, dass es entscheidend auf die Verantwortungsarchitektur des Datenschutzrechts ankommt. Darüber hinaus hat die DS-GVO einen maßgeblichen Impuls mit starken Be- X. E. 1690 Roßnagel, DVBl 2015, 1206 (1207). 1691 Sieber, Straftaten und Strafverfolgung im Internet; Gutachten C zum 69. Deutschen Juristentag; München 2012, S. 29, der auf die amtliche Kriminalstatistik hinweist; zur Entwicklung der Cybercrime im Jahr 2014: Köppen, DuD 2015, 759 (759 ff.). 1692 K. Lau, in: Manssen (Hrsg.), § 88 TKG, Rn. 87. 1693 Borges u. a., Identitätsdiebstahl und Identitätsmissbrauch im Internet, S. 233. 1694 Vgl. hierz u im Einzelnen: Borges u. a., Identitätsdiebstahl und Identitätsmissbrauch im Internet, S. 233. E. Zusammenfassung Teil 3 237 troffenenrechten und Transparenzpflichten und weiteren Pflichten des Verantwortlichen gesetzt. Im nationalen Verfassungsrecht sind bei Vorgängen im transaktionsbezogenen E-Government das Grundrecht auf informationelle Selbstbestimmung, das IT- Grundrecht und das Fernmeldegeheimnis aus Art. 10 GG sowohl in ihrer subjektivabwehrrechtlichen als auch in ihrer objektiv-rechtlichen Dimension betroffen. Der gegenwärtige Rechtsrahmen ermöglicht sowohl Lösungen unter Einschaltung von Diensteanbietern als auch solche durch die Verwaltung selbst. Mit De-Mail und dem EGovG ist eine Tendenz zu den tripolaren Verhältnissen bei transaktionsbezogenen E-Government-Anwendungen erkennbar, die den grundrechtlichen Kommunikationsschutz komplexer machen und zu einer Verantwortungsteilung der Akteure zwingen. Der gegenwärtige Rechtsrahmen bezieht alle Akteure für die Verantwortung für eine datenschutzgerechte elektronische Kommunikation mit ein. Für den privaten Nutzer gibt es eher rudimentäre Verantwortlichkeiten, die sich in punktuellen Pflichten wie in § 27 PAuswG sowie Obliegenheiten darstellen. Das größere Pflichtenprogramm ist bei den Diensteanbietern angesiedelt, aber auch Staat und Verwaltung haben einen größeren Kreis von Pflichten als der private Nutzer. Die objektiv-rechtliche Dimension des Grundrechts auf informationelle Selbstbestimmung, des IT-Grundrechts und von Art. 10 GG sind jeweils einschlägig bei transaktionsbezogenen E-Government-Anwendungen. Es gibt ein ausdifferenziertes System von Verantwortlichkeiten im einfachen Recht, welches nicht frei von Widersprüchen und Problemlagen ist. In vielen Bereichen gibt es Verweisungen auf die bereits seit Längerem bestehenden Vorschriften wie in § 15 De-Mail-Gesetz. Das führt dazu, dass die anzuwendenden einfachgesetzlichen Vorschriften sehr unübersichtlich verteilt sind. Die notwendige Verrechtlichung und die Entwicklung im Bereich des E-Governments ist nicht für eine Anpassung des dazugehörigen Datenschutzrechts genutzt worden. Ein kohärentes Konzept von Verantwortungsteilung zwischen Staat und Verwaltung, Diensteanbieter und Nutzer ist speziell im E-Government nicht entworfen worden. Eine Zuweisung von Verantwortung i. S. v. Gesamtverantwortung gibt es nicht. Allerdings gibt es bisher nicht bekannte Instrumente wie das sog. „Gemeinsame Verfahren“ nach Art. 26 DS-GVO. Die Verantwortung teilt sich nach dem geltenden Rechtsrahmen bereits auf die verschiedenen Akteure auf. Die Grenzlinie der Verantwortlichkeiten zwischen Staat und Verwaltung, den Diensteanbietern und dem privaten Nutzer und ein Ausblick auf die zukünftigen Möglichkeiten bedarf im Folgenden genauerer Analyse. Teil 3: Rechtliche Grundlagen für Identitätsmanagement im E-Government 238

Chapter Preview

References

Zusammenfassung

Der Autor geht der Frage nach, welchen Verantwortungsbeitrag im Hinblick auf den Datenschutz jeder einzelne Nutzer bei transaktionsbezogenen E-Government-Anwendungen zu tragen hat. Dabei wird den mehrpoligen Akteurskonstellationen aus öffentlicher Hand, privatem Diensteanbieter und privatem Nutzer Rechnung getragen. Die De-Mail und der neue Personalausweis stehen hier als durch die E-Government-Gesetzgebung besonders geregelte Infrastrukturen im Fokus. Nicht zuletzt wird durch die flankierenden gesetzlichen Vorgaben durch das Onlinezugangsgesetz, welches Bund, Länder und Kommunen dazu zwingt, einem Portalverbund beizutreten, das mehrpolige Verhältnis von öffentlicher Hand, Diensteanbieter und privatem Nutzer an Bedeutung gewinnen.