Content

Titelei/Inhaltsverzeichnis in:

Thomas Warnecke

Identitätsmanagement und Datenschutz, page I - XXI

Verantwortung für einen datenschutzgerechten Zugang zu transaktionsbezogenen E-Government-Anwendungen unter besonderer Berücksichtigung der De-Mail-Dienste und des neuen Personalausweises

1. Edition 2019, ISBN print: 978-3-8288-4055-3, ISBN online: 978-3-8288-6925-7, https://doi.org/10.5771/9783828869257-I

Series: Wissenschaftliche Beiträge aus dem Tectum Verlag: Rechtswissenschaften, vol. 118

Tectum, Baden-Baden
Bibliographic information
Wissenschaftliche Beiträge aus dem Tectum Verlag Reihe Rechtswissenschaften Wissenschaftliche Beiträge aus dem Tectum Verlag Reihe Rechtswissenschaften Band 118 Thomas Warnecke Identitätsmanagement und Datenschutz Verantwortung für einen datenschutzgerechten Zugang zu transaktionsbezogenen E-Government-Anwendungen unter besonderer Berücksichtigung der De-Mail-Dienste und des neuen Personalausweises Tectum Verlag Thomas Warnecke Identitätsmanagement und Datenschutz Verantwortung für einen datenschutzgerechten Zugang zu transaktionsbezogenen E-Government-Anwendungen unter besonderer Berücksichtigung der De-Mail- Dienste und des neuen Personalausweises Zugl. Diss. Christian-Albrechts-Universität zu Kiel 2017 Wissenschaftliche Beiträge aus dem Tectum Verlag, Reihe: Rechtswissenschaften; Bd. 118 © Tectum Verlag – ein Verlag in der Nomos Verlagsgesellschaft, Baden-Baden 2019 ISBN: 978-3-8288-4055-3 eISBN: 978-3-8288-6925-7 ePub: 978-3-8288-6926-4 ISSN: 1861-7875 Druck und Verarbeitung: CPI buchbuecher.de, Birkach Printed in Germany Alle Rechte vorbehalten Informationen zum Verlagsprogramm finden Sie unter www.tectum-verlag.de Bibliografische Informationen der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Angaben sind im Internet über http://dnb.ddb.de abrufbar. Bibliographic information published by the Deutsche Nationalbibliothek The Deutsche Nationalbibliothek lists this publication in the Deutsche Nationalbibliografie; detailed bibliographic data are available online at http://dnb.ddb.de. Meinen Eltern Vorwort Die vorliegende Arbeit wurde im Wintersemester 2015/2016 von der Rechtswissenschaftlichen Fakultät der Christian-Albrechts-Universität zu Kiel als Dissertation angenommen. Bedanken möchte ich mich bei meinem Doktorvater Prof. Dr. Utz Schliesky für die Erstellung des Erstgutachtens. Bei Prof. Dr. Christoph Brüning bedanke ich mich für die zügige Erstellung des Zweitgutachtens. Insbesondere möchte ich mich bei Herrn Lennart Giesse und Frau Claudia Fränzner für die stets hervorragende bibliothekarische Unterstützung und die stets freundschaftliche Atmosphäre in der Bibliothek bedanken. Ebenso bedanke ich mich bei Brigitte Müller-Hecht für die bibliothekarische Unterstützung. Darüber hinaus bedanke ich mich bei Sylvia Weidenhöfer für die kollegiale Zusammenarbeit. Meinem Kollegen Martin Stabno danke ich für fachlichen Austausch zu allen Fragen des Datenschutzes und das Lesen des Manuskriptes. Darüber hinaus danke ich meinem Kollegen Nikolai Jaklitsch für den fachlichen Austausch in der Praxis. Dr. Andreas Neumann und Nils Löwe danke ich ebenfalls für das Lesen des Manuskripts. Schließlich gilt mein besonderer Dank meinen Eltern, Frau Elisabeth Warnecke und Herrn Dr. Hinrich Warnecke, die immer für mich da sind. Ohne die hervorragende Unterstützung wäre die Erstellung dieser Arbeit nicht möglich gewesen. Wir freuen uns, dass wir alle wohlbehalten die Fertigstellung dieser Arbeit erleben dürfen. Ihnen widme ich diese Arbeit. VII Inhaltsverzeichnis Einführung in den Untersuchungsgegenstand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Teil 1: 1 Problemstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .A. 1 Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .B. 5 Grundbegriffe und Ausgangslage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Teil 2: 7 Identität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .A. 7 Identität und Identifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .I. 8 Identitätsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1. 9 Personalien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 10 Personenkennzeichen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 10 Biometrische Merkmale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .c) 11 Identitätsdaten bei elektronischer Kommunikation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .d) 11 Identität als Identifizierung durch den Kommunikationspartner . . . . . . . . . . . . . . . . . . . .e) 13 Identitätsattribute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2. 13 Identifikatoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3. 13 Digitale Identitäten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4. 14 Partielle Identitäten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5. 15 Identität im Recht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .II. 16 Identitäten juristischer Personen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .III. 18 Identitätsmanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .IV. 19 Begriff und Steuerung des E-Governments in Deutschland . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .B. 22 Begriff des E-Governments. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .I. 22 Begriffsentwicklung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1. 22 Abgrenzung zu E-Justice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2. 24 Interaktionsstufen von E-Government. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3. 26 Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 26 Kommunikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 26 Transaktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .c) 27 Prozessorientierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4. 28 IT-Planungsrat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .II. 28 Nationale E-Government-Strategie (NEGS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .III. 30 Bestandteil der Digitalen Agenda 2014-2017 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .IV. 31 Identitätsmanagement im E-Government . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .C. 32 Medienbruchfreie Prozesse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .I. 32 IX Identifizierung des Nutzers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .II. 33 Gefahren und Herausforderungen der elektronischen Kommunikation . . . . . . . . . . . . . . . . . . . . .III. 35 Generelle Gefahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1. 36 Die Transnationalität der Datenverarbeitung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 36 Angriffe auf die Kommunikationswege und Kompromittierung von Transaktionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) 36 Unsicherheit der „einfachen“ E-Mail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .aa) 36 Angriffe auf den Login eines Nutzers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .bb) 37 Missbrauch einer Nutzeridentität bzw. Identitätsmissbrauch . . . . . . . . . . . . . . . . . . .cc) 38 Man-in-the-middle-Angriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .dd) 39 Computerviren, Würmer und Trojaner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .ee) 39 Zugriffe durch den Staat und Private . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .ff) 40 Mangelnde Nachvollziehbarkeit von Veränderungen in der digitalen Welt . . . . . . . . . .c) 41 Mehrdimensionalität des Internets. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .d) 41 Trennung in Frontoffice- und Backoffice-Strukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .e) 42 Vernetzung und Dezentralität des Internets. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .f ) 43 Spezifische Gefahren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2. 43 Anwachsen der Bestände personenbezogener Daten bei informationstechnischen Kommunikationsinfrastrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) 43 Verlagerung der Datenverarbeitung auf Private. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 44 Gefahr des Datenmissbrauchs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .c) 45 Angewiesenheit auf Private bei der Entwicklung der Informationstechnologie . . . . .d) 45 Nutzertypologie, „Digital Natives“ und „Digital Divide“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3. 46 Nutzertypologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 46 Die sog. Digital Outsiders . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .aa) 46 Die sog. Digital Immigrants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .bb) 47 Die sog. Digital Natives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .cc) 48 Unterschiedliche digitale Verantwortungsbereitschaft. . . . . . . . . . . . . . . . . . . . . . . . . .dd) 49 Digitale Spaltung bzw. „Digital Divide“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 49 Digitaler Graben zwischen Verwaltung und Bürger? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .c) 50 Akteure im E-Government . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4. 50 Vielzahl von Akteuren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 50 Bürger und Verwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 51 Die Wirtschaft als Nutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .c) 52 Datenschutzbewusstsein des Nutzers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5. 53 Grundsätzliche Sensibilisierung des Nutzers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 53 Widersprüchliche Veröffentlichungsgewohnheiten in der virtuellen und der analogen Welt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) 54 Privatsphäre im Netz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .c) 55 Bewusstsein über Datenspuren im Netz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .d) 55 Fahrlässiges Verhalten bei einfachen Identifikator-Lösungen . . . . . . . . . . . . . . . . . . . . . . .e) 55 Datenschutz als Bildungsaufgabe und Medienkompetenz . . . . . . . . . . . . . . . . . . . . . . . . . . .f ) 56 Datenhoheit des Nutzers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .g) 58 Inhaltsverzeichnis X Vertrauen des Nutzers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6. 59 Vertrauen gegenüber dem Kommunikationspartner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 60 Vertrauen in die Kommunikationsinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 62 Vertrauensbildung gegenüber dem Nutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .c) 63 Konvergenz von Diensten und Infrastrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7. 64 Infrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 65 Infrastruktur zur staatlichen Aufgabenerfüllung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .aa) 65 Individuelle Infrastruktur des Nutzers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .bb) 66 Dienste. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 66 Transaktionsbezogenes E-Government durch die Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . . .8. 67 Multikanalprinzip als Leitbild . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 67 Gateway-Lösungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 68 Dokumentenmanagementsysteme und Vorgangsbearbeitungssysteme . . . . . . . . . . . .c) 68 Anschlussfähigkeit der verwendeten Systeme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .d) 69 Nutzenpotenziale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .e) 69 Grenzen der Steuerungswirkung rechtlicher Instrumente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9. 70 Recht und Realbedingungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 70 Verrechtlichung und Steuerungswirkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 70 Mündiger Nutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .c) 72 Datenschutz und Datensicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .IV. 72 Daten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1. 72 Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2. 73 Datenschutz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3. 73 Datensicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4. 74 Schutzziel Verfügbarkeit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 75 Schutzziel Integrität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 75 Schutzziel Vertraulichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .c) 75 Schutzziel Transparenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .d) 75 Schutzziel Nicht-Verkettbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .e) 76 Schutzziel Intervenierbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .f ) 76 Bedeutung der Schutzziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .g) 76 Zielkonflikte von Datenschutz und Datensicherheit im E-Government . . . . . . . . . . . . . . . . . .5. 77 Datenschutz und Datensicherheit als Akzeptanzfaktoren im E-Government . . . . . . . . . . . .6. 78 Identitätsmanagement-Infrastrukturen für E-Government-Anwendungen . . . . . . . . . . . . . . . . . . . . . . .D. 78 Die eID-Funktion des neuen Personalausweises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .I. 79 Das De-Mail-Konzept . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .II. 80 Mailversand über De-Mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1. 82 Identitätsbestätigungsdienst De-Ident . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2. 83 Dokumentensafe: De-Safe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3. 83 „Rechtssicherheit“ durch vorherige Identifizierung beider Kommunikationspartner . . .4. 83 Hybride Kommunikationsmöglichkeiten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .III. 84 Hybride Kommunikationsformen als Übergangsmöglichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . .1. 84 Ersetzendes Scannen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2. 85 Inhaltsverzeichnis XI Die qualifizierte elektronische Signatur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .IV. 85 Das Elektronische Gerichts- und Verwaltungspostfach (EGVP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .V. 87 Die elektronische Steuererklärung (ELSTER) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .VI. 87 Das POSTIDENT-Verfahren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .VII. 88 Das E-Postident-Verfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .VIII. 89 Zusammenfassung Teil 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .E. 89 Rechtliche Grundlagen für Identitätsmanagement im E-Government . . . . . . . . . . . . . . . . . . . . . .Teil 3: 91 Europarechtliche Vorgaben für den Datenschutz bei elektronischer Kommunikation. . . . . . . . . . . . . .A. 91 Datenschutzkonvention des Europarats (1981) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .I. 91 Empfehlung des Europarates zum Schutz personenbezogener Daten im Internet von 1999 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. 92 Europäische Grundrechtecharta. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .III. 94 Europäische Datenschutzrichtlinie (DSRL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .IV. 95 Richtlinie für den Schutz personenbezogener Daten und der Privatsphäre in der elektronischen Kommunikation 2002/58/EG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V. 99 Richtlinie für den elektronischen Geschäftsverkehr (2000/31/EG) . . . . . . . . . . . . . . . . . . . . . . . . . .VI. 100 Richtlinie für elektronische Signaturen 1999/93/EG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .VII. 101 Richtlinie zur Vorratsdatenspeicherung 2006/24/EG (2006). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .VIII. 103 Europäische Datenschutz-Grundverordnung (DS-GVO) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .IX. 106 Vorbemerkung zur Entwicklung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1. 106 Differenzierung von öffentlichem und nicht-öffentlichem Bereich. . . . . . . . . . . . . . . . . . . . . .2. 107 Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . .3. 108 Risikobasierter Ansatz und Risikoanalyse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4. 109 Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5. 109 Privacy by Design und Privacy by Default . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6. 111 Gemeinsames Verfahren nach Art. 26 DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7. 112 Transparenzpflichten und Betroffenenrechte nach Art. 12 bis 22 DS-GVO . . . . . . . . . . . . . .8. 113 Rahmenregelungen in Art. 12 DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 113 Informationspflicht bei Direkterhebung und Dritterhebung in Art. 13 und 14 DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) 114 Auskunftsanspruch nach Art. 15 DS-GVO. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .c) 114 Recht auf Berichtigung nach Art. 16 DS-GVO. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .d) 115 Recht auf Löschung nach Art. 17 DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .e) 115 Recht auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO . . . . . . . . . . . . . . . . . . . .f ) 115 Mitteilungspflicht nach Art. 19 DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .g) 116 Recht auf Datenübertragbarkeit nach Art. 20 DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .h) 116 Widerspruchsrecht nach Art. 21 DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .i) 117 Verbot automatisierter Entscheidungen einschließlich Profiling nach Art. 22 DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . j) 117 Stärkung der Datenhoheit des Nutzers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .k) 117 Sanktions- und Haftungsregime für den Verantwortlichen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9. 117 Meldepflichten nach Art. 33 und Art. 34 DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10. 118 Inhaltsverzeichnis XII Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11. 119 Anpassung von Grundprinzipien und Abgrenzung zu anderen Vorschriften . . . . . . . . . . . .12. 119 Verordnung des europäischen Parlaments und des Rates über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eIDAS-Verordnung). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . X. 121 Das „Safe-Harbor-Urteil“ des Europäischen Gerichtshofs (EuGH) . . . . . . . . . . . . . . . . . . . . . . . . . . . .XI. 123 Die E-Privacy-Verordnung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .XII. 125 Europäische Impulse für elektronische Behördendienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .B. 127 Mitteilung der Kommission über „Die Rolle elektronischer Behördendienste (E-Government) für die Zukunft Europas“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. 127 Ministererklärung von Malmö zum E-Government . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .II. 127 EU-Dienstleistungsrichtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .III. 128 Verfassungsrechtliche Vorgaben. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .C. 129 Das allgemeine Persönlichkeitsrecht als Grundlage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .I. 130 Das Grundrecht auf informationelle Selbstbestimmung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .II. 132 Volkszählungsurteil des BVerfG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1. 132 Schutzbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2. 133 Subjektiv-abwehrrechtliche Schutzrichtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 134 Eigentumsähnliches Herrschaftsrecht? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .aa) 135 Normgeprägter Schutzbereich wie bei Art. 14 GG? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .bb) 136 Lösungsansatz bei § 303 a StGB? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .cc) 136 Lösungsansätze im Kontext von Big Data?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .dd) 137 Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .ee) 137 Objektiv-rechtliche Schutzrichtung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 138 Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .c) 143 Konstitutionalisierung des Grundrechts auf Datenschutz? . . . . . . . . . . . . . . . . . . . . . . . . . . .d) 144 Folgerungen für Identitätsmanagement im E-Government . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3. 147 Datenverarbeitung durch die Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 147 Datenverarbeitung durch private Diensteanbieter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 148 Schutzziele des Grundrechts auf informationelle Selbstbestimmung. . . . . . . . . . . . . . . .c) 151 Verarbeitungsstadien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4. 151 Eingriff in das Grundrecht auf informationelle Selbstbestimmung. . . . . . . . . . . . . . . . . . . . . .5. 151 Eingriffe in die Privatsphäre des Bürgers vor dem Volkszählungsurteil . . . . . . . . . . . . . .a) 152 Eingriffe in der Rechtsprechung des BVerfG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 153 Begrenzung des Eingriffs durch eine Erheblichkeitsschwelle. . . . . . . . . . . . . . . . . . . . . . . . .c) 155 Rechtfertigungsanforderungen für den Eingriff in das Grundrecht auf informationelle Selbstbestimmung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. 155 Schranken des Grundrechts auf informationelle Selbstbestimmung. . . . . . . . . . . . . . . . .a) 155 Schranken-Schranken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 156 Gebot der Normenklarheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .aa) 156 Grundsatz der Verhältnismäßigkeit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .bb) 157 Zweckbindungsgrundsatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .cc) 159 Grundsatz der Amtshilfefestigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .dd) 159 Inhaltsverzeichnis XIII Grundsatz der informationellen Gewaltenteilung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .ee) 160 Transparenzgebot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .ff) 160 Organisatorische und verfahrensrechtliche Vorkehrungen . . . . . . . . . . . . . . . . . . . . . .gg) 161 Kontrolle durch einen unabhängigen Datenschutzbeauftragten . . . . . . . . . . . . . . . .hh) 161 Verwendungszusammenhang als quasi Schranken-Schranke. . . . . . . . . . . . . . . . . . .ii) 162 Zwischenergebnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7. 162 Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. 163 Das Urteil des BVerfG zur Online-Durchsuchung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1. 164 Schutzbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2. 164 Informationstechnisches System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 165 Vertraulichkeit und Integrität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 167 Vertraulichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .aa) 167 Integrität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .bb) 168 Verhältnis von Vertraulichkeit und Integrität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .cc) 168 Subjektiv-rechtliche Schutzrichtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .c) 169 Objektiv-rechtliche Schutzrichtung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .d) 169 Schutzlücken der bisherigen Kommunikationsgrundrechte . . . . . . . . . . . . . . . . . . . . . . . . .e) 170 Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .f ) 171 Eingriff in das IT-Grundrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3. 171 Rechtfertigungsanforderungen für den Eingriff in das IT-Grundrecht . . . . . . . . . . . . . . . . . . .4. 172 Schranken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 172 Schranken-Schranken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 172 Zwischenergebnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5. 173 Das Fernmeldegeheimnis Art. 10 GG. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .IV. 173 Schutzbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1. 174 Unkörperliche Übermittlung von Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 174 Schutzgewährleistung nur während des Übermittlungsvorganges . . . . . . . . . . . . . . . . . .b) 175 Subjektiv-rechtliche Schutzrichtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .c) 176 Objektiv-rechtliche Schutzrichtung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .d) 176 Eingriff in das Fernmeldegeheimnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2. 177 Rechtfertigungsanforderungen für den Eingriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3. 177 Schranken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 177 Schranken-Schranken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 177 Zwischenergebnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4. 178 Grundrechtskonkurrenzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .V. 178 Abgrenzung nach Phasen der Kommunikation und Transaktion . . . . . . . . . . . . . . . . . . . . . . . .1. 178 Verhältnis des Grundrechts auf informationelle Selbstbestimmung und des Fernmeldegeheimnisses aus Art. 10 GG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. 179 Verhältnis des Grundrechts auf informationelle Selbstbestimmung, des IT- Grundrechts und des Fernmeldegeheimnisses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. 180 Systembezogenheit als Abgrenzungskriterium . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 180 Weitere Schutzbereichsausprägung des allgemeinen Persönlichkeitsrechts. . . . . . . . .b) 181 Subsidiarität des IT-Grundrechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .c) 181 Inhaltsverzeichnis XIV Gemeinsame Grundrechtsschranken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4. 182 Zwischenergebnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5. 183 Einfachgesetzliche Vorgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .D. 183 Anforderungen des Verwaltungsverfahrensrechts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .I. 184 Grundsatz der Nichtförmlichkeit des Verwaltungsverfahrens § 10 VwVfG . . . . . . . . . . . . . .1. 184 Schriftformerfordernis im Verwaltungsverfahren als Ausnahme. . . . . . . . . . . . . . . . . . . . . . . .2. 185 Identitätsfunktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 186 Echtheitsfunktion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 186 Verifikationsfunktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .c) 186 Perpetuierungsfunktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .d) 187 Beweisfunktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .e) 187 Warnfunktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .f ) 187 Abschlussfunktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .g) 187 Verhältnis der Schriftformfunktionen zueinander. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .h) 188 Ersetzung der Schriftform nach § 3a VwVfG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3. 188 Zugangseröffnung nach § 3a VwVfG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4. 189 Zugangseröffnung auf Nutzerseite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 189 Zugangseröffnung auf Behördenseite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 191 Zugangsschließung auf Nutzerseite als Ausdruck des Freiwilligkeitsprinzips . . . . . . . .c) 191 Identifizierbarkeit im Rahmen der elektronischen Kommunikation. . . . . . . . . . . . . . . . . . . . .5. 192 Einleitung des Verwaltungsverfahrens mittels Antrag § 22 VwVfG . . . . . . . . . . . . . . . . . . . . .6. 192 Elektronischer Verwaltungsakt § 37 VwVfG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7. 193 Anforderungen des Verwaltungszustellungsrechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .II. 195 Grundsatz: Wirksamkeit mit Bekanntgabe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1. 195 Elektronische Zustellung gegen Empfangsbekenntnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2. 196 Elektronische Zustellung gegen Abholbestätigung mittels De-Mail . . . . . . . . . . . . . . . . . . . .3. 196 Anforderungen des E-Government-Gesetzes des Bundes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .III. 198 Integrierter Ansatz für E-Government . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1. 198 Geltungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2. 200 Elektronischer Zugang zur Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3. 201 Freiwilligkeit für den Nutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 201 Gesetzliche Verpflichtung der Behörde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 202 Gesetzliche Absicherung des Multikanalprinzips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .c) 202 Einsatz der De-Mail als Schriftformersatz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4. 203 Einsatz des neuen Personalausweises anstelle der Schriftform . . . . . . . . . . . . . . . . . . . . . . . . .5. 204 Sichere behördeninterne Prozesse zur Ersetzung der restlichen Funktionen der Schriftform . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. 205 Modifizierung bestehender Schriftformerfordernisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7. 206 Elektronische Aktenführung und ersetzendes Scannen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8. 206 Elektronische Aktenführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 206 Ersetzendes Scannen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 208 Inhaltsverzeichnis XV Elektronische Akteneinsicht, Vorlage von Nachweisen und Abfrage des Verfahrensstandes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9. 209 Elektronische Akteneinsicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 209 Vorlage von Nachweisen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 209 Prozessoptimierung und elektronische Abfrage des Verfahrensstandes . . . . . . . . . . . . .c) 210 Regelungsstandort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10. 211 Änderungswünsche im Bundesrat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11. 212 Anforderungen des Online-Zugangsgesetzes (OZG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .III. 213 Anforderungen des De-Mail-Gesetzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .IV. 214 Nutzerbegriff im Sinne des De-Mail-Gesetzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1. 214 Akkreditierung der Diensteanbieter als präventive Maßnahme für Datenschutz und Datensicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. 214 Identitätssicherung durch Kontoeröffnung und sicheren Login . . . . . . . . . . . . . . . . . . . . . . . . .3. 216 Zwei verschiedene Schutzniveaus bei der Anmeldung und Absenderbestätigung . . . . . .4. 216 Keine gesetzlich verpflichtende Ende-zu-Ende-Verschlüsselung . . . . . . . . . . . . . . . . . . . . . . . .5. 217 Nutzerverantwortlichkeiten bei De-Mail-Diensten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6. 218 Verantwortlichkeiten des De-Mail-Diensteanbieters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7. 220 Verantwortlichkeiten von Verwaltungsbehörden und Gateway-Lösungen . . . . . . . . . . . . .8. 220 Strenge Zweckbindung nach § 15 De-Mail-Gesetz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9. 221 Verweis in § 15 De-Mail-Gesetz auf TKG, TMG und BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10. 221 Beendigung der Account-Nutzung und digitaler Nachlass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11. 221 Datenschutzrechtliche Einordnung der De-Mail-Dienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .V. 223 De-Mail-Dienste als Telemedien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1. 223 De-Mail-Dienste als Telekommunikation im Sinne des TKG . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2. 223 Verpflichtung der Diensteanbieter zur Wahrung des Fernmeldegeheimnisses . . . . . .a) 224 Weitere Vorgaben des TKG. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 224 Zwischenergebnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3. 225 Anforderungen des PAuswG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .VI. 225 Die eID-Funktion als Mittel zur Datenhoheit des Nutzers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1. 225 Die Vergabe von Berechtigungszertifikaten als Präventivkontrolle. . . . . . . . . . . . . . . . . . . . . .2. 226 Rolle des Nutzers bei der IT-Sicherheit des nPA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3. 226 Änderungen des PAuswG im Zuge des EGovG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4. 228 Zwischenergebnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5. 229 Anforderungen des TMG und TKG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .VII. 229 Schichtenmodell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1. 230 Inhaltsebene. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 230 Interaktionsebene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 230 Transportebene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .c) 230 Differenzierung von Bestands-, Nutzungs- und Inhaltsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . .2. 231 Vorgaben des TMG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3. 231 Vorgaben des TKG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4. 233 Erstreckung des Fernmeldegeheimnisses auf Private nach § 88 TKG . . . . . . . . . . . . . . . . . . . .5. 233 Nutzerverantwortlichkeiten nach TMG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6. 233 Verantwortlichkeiten der Diensteanbieter. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7. 234 Inhaltsverzeichnis XVI Ergänzungsfunktion der Regelungen des BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .VIII. 234 IT-Sicherheitsgesetz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .IX. 234 Strafvorschriften im Bereich der elektronischen Kommunikation . . . . . . . . . . . . . . . . . . . . . . . . . . .X. 237 Zusammenfassung Teil 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .E. 237 Schutz der informationellen Selbstbestimmung des Nutzers und Verteilung der Verantwortlichkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Teil 4: 239 Grundrechtlicher Freiheits- und Verantwortungsbereich des Nutzers von E-Government für das „Ob“ der Nutzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A. 240 Menschenwürdegarantie Art. 1 GG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .I. 240 Absolutheit der Menschenwürde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1. 240 Konkretisierungsproblem beim Schutzbereich der Menschenwürde . . . . . . . . . . . . . . . . . . . .2. 241 Allgemeines Prinzip der Selbstbestimmung und Selbstverantwortung. . . . . . . . . . . . . . . . .3. 243 Schutz des Grundrechtsträgers „vor sich selbst“? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4. 243 Zwischenergebnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5. 244 Allgemeine Handlungsfreiheit aus Art. 2 I GG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .II. 245 Privatautonomie und Selbstbestimmung als Grundvoraussetzung . . . . . . . . . . . . . . . . . . . . .1. 245 Vertragsfreiheit als „Hauptfall“ der Privatautonomie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 246 Privatautonome Entscheidung über das „Ob“ der Nutzung von transaktionsbezogenem E-Government. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) 247 Selbstverantwortung des Nutzers als Konsequenz der Privatautonomie beim „Wie“ der Nutzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) 247 Abwägung des Nutzers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .d) 248 Beschränkung der Vertragsfreiheit oder bloße Ausgestaltung? . . . . . . . . . . . . . . . . . . . . . .e) 248 Rechtsprechung des BVerfG. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .aa) 249 Konstellationen von Machtungleichgewichten als Anknüpfungspunkt . . . . . . . . .bb) 250 Typisierbare Ungleichgewichtslagen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .(1) 250 Nicht typisierbare Ungleichgewichtslagen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .(2) 251 Kritik am Anknüpfungspunkt der gestörten Vertragsparität . . . . . . . . . . . . . . .(3) 251 Stellungnahme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .(4) 252 Privatautonomie und Vertragsfreiheit als Gegenstand einer staatlichen Schutzpflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cc) 252 Eingriffe in die Privatautonomie und Vertragsfreiheit . . . . . . . . . . . . . . . . . . . . . .(1) 252 Kollision von Grundrechtspositionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .(2) 253 Praktische Konkordanz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .(3) 253 Schutz des Nutzers vor sich selbst? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .dd) 254 Grenzen der Selbstverantwortung des Nutzers? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .ee) 255 Subjektstellung des Nutzers und korrespondierende Eigenverantwortung . . . . . . . . . . . . .2. 256 Der Nutzer als Vertragspartner und im Verwaltungsverfahren bzw. Verwaltungsrechtsverhältnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. 256 Zwischenergebnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4. 257 Inhaltsverzeichnis XVII Staatliche Schutzpflichten für die informationelle Selbstbestimmung des Nutzers im transaktionsbezogenen E-Government. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . B. 258 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .I. 258 Die Rechtsprechung des BVerfG zu Schutzpflichten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .II. 259 Anwendungsfälle staatlicher Schutzpflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1. 259 Untermaßverbot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2. 260 Wertordnungsrechtsprechung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3. 261 Dogmatische Herleitung in der Literatur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .III. 261 Stellungnahme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .IV. 263 Inhalt staatlicher Schutzpflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .V. 263 Differenzierung von Schutzpflichten und Förderpflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .VI. 265 Tatbestand und Rechtsfolge einer Schutzpflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .VII. 265 Tatbestand einer Schutzpflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1. 265 Rechtsfolge einer Schutzpflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2. 267 Adressat der Schutzpflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .VIII. 268 Kein allgemeiner Vorrang staatlicher Schutzpflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .IX. 269 Vorbehalt des Möglichen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .X. 269 Grundrechtliche Schutzpflicht aus dem Grundrecht auf informationelle Selbstbestimmung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XI. 270 Schutzpflicht aus „Ingerenz“ bzw. E-Government-Förderungsabsicht? . . . . . . . . . . . . . . . . . . . . .XII. 271 Schutzpflichten und Selbstverantwortung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .XIII. 272 Berücksichtigung der digital Schwachen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1. 273 Verkehrspflichten des Nutzers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2. 274 Schutzpflichten für Kommunikationsinfrastrukturen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3. 274 Umsetzung der Schutzpflichten durch das De-Mail-Gesetz . . . . . . . . . . . . . . . . . . . . . . . . . .a) 275 Umsetzung der Schutzpflichten durch das TKG. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 275 Umsetzung der Schutzpflichten durch die Bereitstellung einer Kommunikationsinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) 276 Zwischenergebnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4. 276 Selbstschutz des Nutzers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .C. 276 Selbstschutzmöglichkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .I. 277 Verantwortlichkeit des Nutzers im Rahmen des Selbstschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . .II. 277 Systematisierung von Rechtspflichten und Obliegenheiten in der Rechtsordnung . . . . .1. 278 Rechtspflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 278 Obliegenheiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 279 Datenbezogene Rechtspflichten des Nutzers im Vertragsverhältnis. . . . . . . . . . . . . . . . . . . . .2. 280 Beispiel: Aktualisierung der Identitätsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 280 Beispiel: Überwachung der Legitimationsmedien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 281 Rechtspflichten des Nutzers im Verwaltungsrechtsverhältnis? . . . . . . . . . . . . . . . . . . . . . . . . . .3. 281 Differenzierung nach individuellen und „öffentlichen“ Infrastrukturen . . . . . . . . . . . . . . . . .4. 281 Selbstschutzpflichten und Selbstschutzobliegenheiten des Nutzers . . . . . . . . . . . . . . . . . . . . . . . .III. 281 Grundsätzliche Selbstschutzobliegenheit des Nutzers? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1. 282 Selbstschutzpflichten des Nutzers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2. 283 Inhaltsverzeichnis XVIII Überforderung des Nutzers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3. 284 Zumutbarkeit des Selbstschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4. 285 „Digitale Verantwortungsfähigkeit“. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 285 Sorgfaltsmaßstab für den Nutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 286 „Digitale Verantwortungsbereitschaft“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .c) 286 Selbstschutzmaßnahmen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5. 287 Einsatz von Virenscannern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .a) 287 Einsatz von Firewalls. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .b) 288 Verhalten im E-Mail-Verkehr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .c) 289 Ende-zu-Ende-Verschlüsselung der E-Mail-Kommunikation? . . . . . . . . . . . . . . . . . . . . . . .d) 289 Pflicht zur Sicherung der technischen Umgebung des nPA?. . . . . . . . . . . . . . . . . . . . . . . . . .e) 290 Restrisiko für den Nutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .f ) 291 Befähigung zum Selbstschutz im Rahmen der Schutzpflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . .6. 292 Zulässige Selbstgefährdung als autonome Entscheidung? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .IV. 292 Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .V. 293 Reichweite staatlicher Schutzpflichten an ausgewählten Beispielen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .D. 293 Vergleich mit dem Straßenverkehr?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .I. 293 Vergleich mit dem Verbraucherschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .II. 295 Spezifika der Informationstechnologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .III. 296 Beispiel der WLAN-Haftung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .IV. 296 Generelles Problem der Statuierung von materiellen Verhaltenspflichten im Recht . . . . . . . .V. 299 Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .VI. 300 Handlungsspielraum des Staates bei der Umsetzung staatlicher Schutzpflichten . . . . . . . . . . . . . . . . .E. 300 „Schutzpflichtenkonzept“ des Staates aus den kommunikationsbezogenen Grundrechten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. 301 Ermessen des Gesetzgebers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1. 302 Konfliktlösungs- und Schutzfunktion des Rechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2. 303 Typisierende Fallgruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3. 303 Prinzip der Selbstbestimmung und Selbstverantwortung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4. 303 Verantwortungsteilung zwischen Staat, Diensteanbieter und Nutzer. . . . . . . . . . . . . . . . . . .5. 304 Zwischenergebnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6. 305 Untermaßverbot als untere Grenze des gesetzgeberischen Handelns . . . . . . . . . . . . . . . . . . . . . . .II. 305 Keine verfassungsunmittelbare Gewährleistung von Leistungsansprüchen. . . . . . . . . . . . . . . . .III. 305 Anpassungs- und Erfahrungsspielräume für den Gesetzgeber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .IV. 306 Bloße gerichtliche Evidenzkontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .V. 306 De-Mail-Konzept als datenschutzgerechter Zugang zu transaktionsbezogenem E-Government?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VI. 307 Generelle Erforderlichkeit des De-Mail-Gesetzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1. 307 Der Diensteanbieter als Verantwortungssubjekt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2. 307 Gesetzgeberische Nachsteuerungspflicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3. 308 Potenzielle Entwicklung zu IT-Sicherheitspflichten des Nutzers? . . . . . . . . . . . . . . . . . . . . . . . . . . . .VII. 308 Eigener Vorschlag: Sukzessive Weiterentwicklung des einfachen Rechts durch Obliegenheiten des Nutzers und Pflichten des Diensteanbieters . . . . . . . . . . . . . . . . . . . . . . . . . . . . VIII. 309 Inhaltsverzeichnis XIX IT-Sicherheit als Teil der Organisationsverantwortung der Verwaltung . . . . . . . . . . . . . . . . . . . . .IX. 311 Auswahl der Kommunikationsinfrastrukturen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1. 311 Verwaltungsinterne IT-Sicherheit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2. 311 Steuerung über Dienstanweisungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3. 312 Zusammenfassung Teil 4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .F. 313 Ausgewählte Fragestellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Teil 5: 315 Regelung einer Ende-zu-Ende Verschlüsselung im De-Mail-Gesetz oder separat?. . . . . . . . . . . . . . . . .A. 315 Praxisbeispiel: E-Government-Anwendung iKfz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .B. 316 Das Projekt iKfz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .I. 316 Das NAVO-Portal mit dem nPA als Identitätsmanagement-Infrastruktur. . . . . . . . . . . . . . . . . . . .II. 317 Nutzerverantwortlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .III. 317 Penetrationstests der Anwendung durch die Verwaltung und Audits als Umsetzung der Schutzpflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. 318 De-Mail als Rückkanal für Bescheide. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .V. 318 Verantwortliche Stelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .VI. 318 Besondere Bedeutung von Bezahldiensten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .VII. 319 Fazit: Komplexe Vertragslandschaft für den Nutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .VIII. 319 Anonyme und pseudonyme Nutzung von Diensten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .C. 319 Die Rolle der datenschutzrechtlichen Einwilligung im E-Government . . . . . . . . . . . . . . . . . . . . . . . . . . . . .D. 321 Datenschutzakteure im E-Government . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .E. 325 Ausschuss De-Mail-Standardisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .I. 325 Weiterentwicklung technischer und organisatorischer Anforderungen . . . . . . . . . . . . . . . . . . . . .II. 325 Grundrechtsschutz durch den Datenschutzbeauftragten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .III. 326 Systemdatenschutz als Aufgabe der Gremien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .IV. 328 Wirksame Durchsetzung datenschutzrechtlicher Bestimmungen . . . . . . . . . . . . . . . . . . . . . . . . . . .V. 328 Das Bundesamt für Sicherheit (BSI) in der Informationstechnik als „Warnungs- und Beratungsinstanz“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VI. 328 Aufgaben des BSI nach dem BSIG. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1. 328 Das Nationale Cyber-Abwehrzentrum beim BSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2. 329 Vollzugsoptimierung und -ergänzung durch Datenschutzaudits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .F. 330 Vollzugsoptimierung durch Aufklärung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .G. 332 Zusammenfassung der Ergebnisse von Teil 2 bis 5 in Thesen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Teil 6: 333 Ergebnisse Teil 2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 Ergebnisse Teil 3. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334 Ergebnisse Teil 4. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336 Ergebnisse Teil 5. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 Inhaltsverzeichnis XX

Chapter Preview

References

Zusammenfassung

Der Autor geht der Frage nach, welchen Verantwortungsbeitrag im Hinblick auf den Datenschutz jeder einzelne Nutzer bei transaktionsbezogenen E-Government-Anwendungen zu tragen hat. Dabei wird den mehrpoligen Akteurskonstellationen aus öffentlicher Hand, privatem Diensteanbieter und privatem Nutzer Rechnung getragen. Die De-Mail und der neue Personalausweis stehen hier als durch die E-Government-Gesetzgebung besonders geregelte Infrastrukturen im Fokus. Nicht zuletzt wird durch die flankierenden gesetzlichen Vorgaben durch das Onlinezugangsgesetz, welches Bund, Länder und Kommunen dazu zwingt, einem Portalverbund beizutreten, das mehrpolige Verhältnis von öffentlicher Hand, Diensteanbieter und privatem Nutzer an Bedeutung gewinnen.