Datenschützer attestieren Bürgerportal-Gesetz "erhebliche Mängel"
Der vom Bundesinnenministerium erarbeitete Gesetzentwurf soll den Aufbau sicherer Kommunikationsplattformen regeln, über die später etwa der De-Mail-Dienst, die Dokumentenablage De-Safe und ein Identitätsbescheinigungsdienst abgewickelt werden.
Die Datenschutzbeauftragten des Bundes und der Länder dringen auf Nachbesserungen beim geplanten Bürgerportal-Gesetz. Der vom Bundesinnenministerium (BMI) erarbeitete Gesetzentwurf soll den Aufbau sicherer Kommunikationsplattformen regeln, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) auf Einhaltung von Sicherheitsstandards überwacht werden. Über die Portale sollen später etwa der Behörden-E-Mail-Dienst De-Mail, die Dokumentenablage De-Safe und ein Identitätsbescheinigungsdienst abgewickelt werden. Bürger erhalten ein "De-Mail"-Konto bei einem akkreditierten privaten Dienstleister, wenn sie sich zuvor per Personalausweis identifiziert haben.
Der Innenausschuss des Bundesrats hatte die Umsetzung des Vorhabens Ende März jedoch als "unzureichend" bezeichnet. Zwar sei die Zielsetzung, einen sicheren, die Vertraulichkeit von Nachrichten und Kommunikationspartnern gewährleistenden Rechtsrahmen für die elektronische Kommunikation im Geschäftsverkehr zu schaffen, zu begrüßen, die vom BMI vorgelegte Konzeption sei dafür aber "nicht geeignet". Auch die Länderchefs forderten später umfassende Korrekturen an dem Gesetzentwurf. Die Datenschutzbeauftragten des Bundes und der Länder betonen nun, dass der Gesetzentwurf zum Aufbau einer Bürgerportal-Infrastruktur "erhebliche Mängel gerade in puncto Datensicherheit" aufweise und deshalb "gründlich überarbeitet" werden müsse.
So müsse etwa verbindlich im Gesetz festgeschrieben werden, dass Portalbetreiber für eine Akkreditierung nicht nur einen Nachweis der technischen und administrativen Sicherheit zu erbringen haben, sondern auch, dass sie datenschutzrechtliche Standards "tatsächlich einhalten". Eine Akkreditierung sollten Portalbetreiber nur dann erhalten, wenn die Umsetzung dieser Anforderungen "durch unabhängige Prüfstellen bescheinigt wurde". Auch reichen den Datenschützern Verschlüsselungen beim Transport von Daten zwischen den Diensteanbietern und eine Sicherung des Zugangs zu den Bürgerportalen nicht aus. Vielmehr müsse sichergestellt werden, dass Nachrichten "auch bei den Portalbetreibern nicht durch Dritte gelesen oder verändert werden können". Dazu müsse die Kommunikation standardmäßig durch Ende-zu-Ende-Verschlüsselungen geschützt sein.
Weitere Forderungen der Datenschützer sind "keine unsichere Anmeldung am Bürgerportal per Passwort", die Möglichkeit der Nutzung von "pseudonymen Bürgerportaladressen" sowie eine umfangreiche Aufklärung der Nutzer über mögliche Rechtsfolgen – etwa zur verbindlichen Kommunikation mit staatlichen Stellen – bei Eröffnung eines Bürgerportalkontos. Eine Benachteiligung von Bürgern, die über kein Bürgerportalkonto verfügen, müsse ausgeschlossen werden, heißt es in einer Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 16. April (PDF-Datei). Den Gesetzgeber fordern die Datenschützer zudem auf, klarer zu formulieren, dass personenbezogene Daten von den Diensteanbietern ausschließlich für die Teilnahme am Bürgerportal und nicht etwa für Werbe- oder Marktforschungszwecke genutzt werden dürfen. (pmz)
