Datenschutzgerechtes E-Government für den Bürger

Ein datenschutzgerechtes E-Government, das die Belange der Bürger ebenso schützt wie es verhindert, dass die Mitarbeiter in den Behörden ausspioniert werden, stand in Kiel bei der Sommerakademie der Datenschützer auf der Tagesordnung. Etwa 450 Teilnehmer, die Mehrzahl Datenschutzbeauftragte aus Kommunalverwaltungen und Kreisbehörden, diskutierten über bürgernahe Netze, Meldewesen, Online-Kataster und die neuen Ausweise. Im Vordergrund stand der Datenschutzaudit von Behörden und die Möglichkeit, mit Gütesiegeln Vertrauen bei den Bürgern zurückzugewinnen, die gegenüber dem technikeuphorischen IT-Einsatz in den Behörden misstrauisch geworden sind.

Wie Tilo Weichert, Leiter des veranstaltenden Unabhängigen Landeszentrums für Datenschutz in seiner Eröffnungsrede betonte, haben Projekte wie das "überwachungsgeneigte Gebührenerhebungsverfahren" von Toll Collect und der "katastrophale Datenzugriff" bei der Bundesagentur für Arbeit, bei dem ein Sachbearbeiter in Passau die Daten eines Arbeitslosen in Kiel bekommt, das Vertrauen der Bürger nachhaltig getrübt. Hier müsse der Datenschutz einsetzen, der nichts mit mehr Bürokratie zu tun habe, "wie uns ein ewiggestriger Bundesinnenminister und große Teile der klassischen Wirtschaftsverbände weis machen wollen." Weichert beklagte, dass Deutschland mit seinen Daten-Projekten wie der Job Card, dem neuen Reisepass und dem neuen Personalausweis einen "äußerst autoritären Ansatz" verfolge und erinnerte daran, dass die datentechnische Bevölkerungserfassung zentrales Element der autoritären Herrschaftsausübung des Nationalsozialismus wie der SED-MfS-Diktatur gewesen sei. Der Star der norddeutschen Veranstaltung kam diesmal aus Österreich: Die dort eingeführte virtuelle "Bürgerkarte" erhielt viel Beifall, den Waltraud Kotschy von der Österreichischen Datenschutzkommission kassierte.

Jedes Jahr veröffentlicht die EU-Kommission ein Länder-Ranking. Das bewertet, wie weit das E-Government in den einzelnen Unionsstaaten gediehen ist. Während Deutschland seit Jahren auf Platz 14 oder 15 abonniert ist, kletterte Österreich vom elften Platz im Jahre 2001 auf den zweiten Platz im Jahre 2004 und strebt für das aktuelle Jahr die Spitzenposition an. Insofern kann man dem Unabhängigen Landeszentrum für Datenschutz in Kiel ein kalkuliertes bisschen Bosheit unterstellen, den Vertreter der vom Datenschutzzentrum kritisierten deutschen eCard-, JobCard- und Personalausweis-Pläne mit einem Referat über die österreichische Lösung zu kontern.

Zunächst stellte Christian Engel vom Referat für Biometrie, Pass- und Meldewesen des Bundesinnenministeriums die eCard-Strategie der amtierenden Regierung vor und ging ausführlich auf den neuen digitalen Personalausweis ein, der 2007 eingeführt werden soll. Dieser Ausweis soll nach Engels neben der chipgestützten Biometrie, die "ausschließlich für Hoheitsaufgaben gedacht ist", die qualifizierte digitale Signatur in der Fläche einführen. Dabei wird der Ausweis neben dem freiwilligen Signaturzertifikat nach den Plänen des Innenministers mit einer Reihe von Zertifikaten ausgestattet, die E-Commerce und E-Government auf eine neue Stufe bringen und "mit dem Identitätsdiebstahl, den Phishing-Attacken Schluss machen" und Jugendschutz wasserfest machen sollen. So soll ein Alterszertifikat das Betreten von Erotikseiten wirksam verhindern, ein Adresszertifikat beim E-Commerce die Lieferketten absichern und ein Namenszertifikat dem Phishing ein Ende setzen. Alle Zertifikate, biometrischen Daten sowie optional (wenn es der Bürger wünscht) auch Teile der einstmals angedachten JobCard (Arbeitsbescheinigung und Verdienstbescheinigung) kommen auf einen scheckkartengroßen Ausweis mit Speicherchip und kontaktloser wie kontaktbehafteter Schnittstelle. Während die Behörden einen RFID-Chip auslesen können, soll der Bürger einen billigeren Kartenleser nutzen können.

Wie es anders gehen kann, erzählte Waltraud Kotschy, geschäftsführendes Mitglied der österreichischen Datenschutzkommission. In Österreich wird das moderne Identity Management von einer "Bürgerkarte" übernommen, mit der die Identität von Bürgern und juristischen Personen (Firmen und Vereinen, für die in Österreich ebenso der Datenschutz gilt) geprüft wird. Die Bürgerkarte selbst ist keine Karte, sondern nur Signaturmaterial, dass der Bürger wahlweise auf seinem Handy, der Bankomat-Karte oder der eCard (Karte mit Sozialversicherungsnummer) speichert. Die Bürgerkarte basiert auf einer Stammzahl, die aus dem zentralen Melderegister (bei Firmen: Firmenbuch, bei Vereinen: Vereinsregister) mit dem Schlüssel der ausstellenden Behörde abgeleitet wird. Diese Stammzahl kommt auf die Karte und wird, zusammen mit Namen und Geburtsdatum plus öffentlichen Signatur der jeweiligen anfordernden Behörde, benutzt, um bereichsspezifische Personenkennzeichen (pBK) zu generieren. Jede Behörde erhält so vom Bürger ID-Nachweise, doch keine Behörde kann die der anderen benutzen oder aus allen pBK eine Superdatenbank generieren. Entsprechend sieht es bei den Firmen aus, bei denen jeder Kunde für jede Firma ein webspezifisches Personenkennzeichen (wPK) mit seiner Bürgerkarte bildet. Während die Stammzahl geheim ist, kann die Verwaltung mit den wPK und pPK Statistiken erstellen und sogar Volkszählungen durchführen. Die von dem österreichischen "Chief Information Officer" Reinhard Posch, Professor für Kryptografie an der TU Graz, entwickelte Bürgerkarte hat einen Nachteil, den Kotschy nicht verschwieg: Sie ist nicht billig. Während alle Signaturen beim deutschen digitalen Personalausweis laut Engel bei etwa 20 Euro im Jahr liegen sollen, sind in Österreich 45 bis 70 Euro fällig.

Wie sich die österreichische Bürgerkarte im Verhältnis zum finnischen und belgischen digitalen Personalausweis darstellt und welche Konsequenzen dies für den (interoperablen) digitalen deutschen Personalausweis haben kann, untersucht das im deutschen Teil beim Datenschutzzentrum Schleswig Holstein angesiedelte Forschungsprojekt FIDIS. Es wurde den Teilnehmern der Sommerakademie von Marit Hansen vorgestellt, die kritische Ansätze zum Thema digitale Identität aus Belgien und Großbritannien aufnahm. In der Pressekonferenz zur Tagung zog der Kieler Datenschützer Johann Bizer ein Fazit: "Es ist das Beste an der deutschen eCard, dass sie noch nicht umgesetzt ist. Damit bestehen Chancen, eine eCard, einen digitalen Personalausweis zu schaffen, mit dem man mit allen Verwaltungen kommunizieren kann und doch anonym bleibt." (Detlef Borchers) / (jk)