Die andere Vorratsdatenspeicherung

Deutschland will mit Elena bei der elektronischen Signatur eine weltweite Führungsrolle übernehmen

Ab Anfang nächsten Jahres werden die deutschen Unternehmen jeden Monat Informationen über ihre Beschäftigten in eine zentrale Datenbank übertragen. Bei dem Verfahren mit der Bezeichnung Elektronischer Engeltnachweis (Elena) werden unter anderem Name, Anschrift, Geburtsdatum, Höhe des Gehalts und der Zeitraum des Beschäftigungsverhältnisses übermittelt. Damit diese Informationen nur zweckgebunden und ausschließlich von Berechtigten genutzt werden können, sollen ambitionierte Absicherungen zum Einsatz kommen. Die Datenschutzbeauftragten der Länder sehen das Projekt dennoch mit Misstrauen. Hinter „Elena“ stehen nicht zuletzt industriepolitische Absichten: Deutschland will bei der elektronischen Signatur eine Führungsrolle übernehmen. Noch stehen rechtliche Schranken einer umfassenden Vernetzung im Weg. Technisch gesehen aber entstehen durch Vorratsspeicherungen und weitere Datenbankvernetzungen die Infrastruktur für eine (sozial-)staatliche Kontrolle der Bevölkerung neuer Qualität.

Ob Arbeitslosenhilfe, Wohn- oder Elterngeld – in zwei Jahren geht nichts mehr ohne elektronisch lesbare Signaturkarte. Arbeitslose werden dann nicht mehr Kopien ihrer letzten Verdienstbescheinigungen in das zuständige Amt tragen, sondern die nötigen Informationen für ihre Anträge kommen aus einer bundesweiten Datenbank – sofern Antragsteller und Sachbearbeiter beim System als berechtigt gelten. Um die Anträge auf Sozialleistungen bearbeiten zu können, müssen Daten über die letzten zwei Jahre vorliegen. Deshalb läuft der eigentliche Betrieb erst 2012 an, obwohl die Arbeitgeber bereits zum Jahresbeginn 2010 mit der Übertragung beginnen.

Die Ausmaße des Projekts sind gewaltig: Erfasst werden die Daten von 35 bis 40 Millionen abhängig Beschäftigten. Das Wirtschaftsministerium schätzt, dass die drei Millionen Arbeitgeber in Deutschland pro Jahr etwa 60 Millionen Verdienstbescheinigungen auf Papier ausstellen. Die künftige elektronische Abwicklung werde die Unternehmen um „mehr als 85 Millionen € pro Jahr“ entlasten. Finanziert wird „Elena“ vom Bund, der für den Aufbau und den Betrieb des Systems von 2009 bis 2014 jährlich 11 Millionen Euro zur Verfügung stellt, insgesamt also 55 Millionen Euro.

Auf die Bürger, die Sozialleistungen in Anspruch nehmen, kommen nach Angaben der Herstellerfirmen dagegen Kosten von zehn Euro für die Signaturkarte mit dem elektronischen Zertifikat zu, das drei Jahre gültig bleiben wird. Bedürftige, die Anspruch auf Sozialhilfe haben, sollen die Kosten erstattet bekommen. Wer allerdings in Zukunft auch von zu Hause aus elektronisch signieren will, muss mit 20 bis 50 Euro für Karte, Lesegerät und zugehöriger Software rechnen. Solche Schätzungen gehen allerdings davon aus, dass die Stückpreise tatsächlich sinken werden, weil der technikgestützte Bürokratieabbau zu einer kaufkräftigen Nachfrage führt.

Mit dem Elena-Verfahren wird die rechtskräftige „qualifizierte elektronische Signatur“ zur verpflichtenden Voraussetzung, um Sozialleistungen zu erhalten. Der dazu nötige geheime Signaturschlüssel kann allerdings auch auf manche Bankkarten oder die neuen elektronisch lesbaren Personalausweise und Gesundheitskarten aufgespielt werden. Auch eigene Geräte fürs „Home-E-Government“ sind nicht unbedingt nötig, erklärt die (www.t7ev.de) „Trustcenter-Betreiber“, ein Verband der Firmen, die zertifizierte Signaturkarten vertreiben:

Damit würden Millionen Teilnehmer benachteiligt werden. Vielmehr ist es so, dass der Teilnehmer (Antragsteller), der privat über die technische Ausrüstung verfügt, künftig bequem von zu Hause aus seine Behördengeschäfte erledigen kann. Das spart erheblich Zeit und Wege, entlastet die Umwelt und beschleunigt sogar die Verfahren. Wer indes nicht über eigene technische Mittel verfügt, wird sich an öffentlich zugänglichen Terminals (sogenannte eKiosk-Terminals) Zutritt zu den Verfahren verschaffen oder, wie bisher, die entsprechende Behörde persönlich aufsuchen.

Arbeitsgemeinschaft der Trustcenter-Betreiber

Die Deutsche Rentenversicherung Bund (DRV) übernimmt den Betrieb einer Zentralen Speicherstelle (ZSS) in Würzburg. Die DRV betreibt bereits eine Vermittlungsstelle für den automatisierten Datenabgleich bei Sozialleistungen wie Arbeitslosengeld 2, entsprechend der „Grundsicherungsdatenabgleichsverordnung“ (GRSIDAV).

Im Rahmen von „Elena“ übertragen die Unternehmen ab dem 1. Januar 2010 monatlich einen Multifunktionalen Verdienstdatensatz (MVDS) an die ZSS. Dieser Datensatz enthält nicht nur Name, Anschrift, Einkommen und die Rentenversicherungsnummer des Beschäftigten, sondern auch zahlreiche weitere Informationen. Das vielfältigen Beschäftigungsverhältnisse in das Korsett des Datensatzes zu pressen, ist einigermaßen kompliziert. Noch komplizierter wird es dann für die Unternehmen ab Juli 2010, wenn anlassbezogen Felder wie der „Datenbaustein Kündigung/Entlassung“ ausgefüllt werden müssen. Er enthält Informationen wie

1. befristetes Arbeitsverhältnis ja/nein
2. schriftliche Kündigung ja/nein
3. betriebsbedingte Kündigung ja/nein
4. Kündigungsschutzklage ja/nein
5. Kündigung per Post ja/nein
6. Schilderung des vertragswidrigen Verhaltens („Freitext“)

Pseudonymisierung und Verschlüsselung

Dass die Sachbearbeiter in den Sozial- und Arbeitsämtern von den näheren Umständen erfahren, wie ihr Gegenüber um seinen Job kam, ist eigentlich nichts Neues. Diese Informationen wurden allerdings nicht in eine bundesweite Datenbank eingespeist, wo sie bis zu vier Jahre lang abrufbar bleiben. Mit „Elena“ entsteht ein veritables digitales Abbild der Beschäftigungsverhältnisse in Deutschland. Die enthaltenen personenbezogenen Daten ließen sich ohne großen Aufwand zur Erstellung von Personenprofilen nutzen. Für Datenschützer besonders problematisch: Auch wer gar keine Anträge auf Elterngeld oder Arbeitslosenhilfe stellt, wird erfasst.

Dem verbreiteten Misstrauen begegneten die Planer dadurch, dass die Zugriffsrechte auf die Daten gestreut wurden. Das Wirtschaftsministerium spricht von der „höchsten Sicherheitsstufe“, die zum Einsatz kommen werde.

Die Daten in der Zentralen Speicherstelle werden nach der Übermittlung durch den Arbeitgeber sofort geprüft, zweifach verschlüsselt und danach gespeichert. Eine Entschlüsselung ist nur im Rahmen eines konkreten, durch den Teilnehmer (Bürger) legitimierten Abrufs möglich. Ein direkter Zugriff auf die Datenbank ist weder für interne Mitarbeiter noch für Außenstehende möglich, da die Speicherung der Daten und deren Verschlüsselung in unterschiedlichen Verantwortlichkeiten liegt.

Bundesministerium für Wirtschaft und Technologie

In dem monatlichen elektronischen Nachweis, den die Arbeitgeber übertragen, ist die Rentenversicherungsnummer (RNV) des Beschäftigten zwar noch enthalten, wird dann aber gelöscht und der Datensatz unter einer neuen Ordnungsziffer gespeichert. Für die Verwaltung dieser Ziffer ist nicht die ZSS zuständig, sondern eine andere Stelle: die Registratur Fachverfahren (RFV), die von der Informationstechnische Servicestelle der Gesetzlichen Krankenversicherung GmbH (ITSG) betrieben wird. Nur dort ist die RNV mit der Zertifizierungsidentitätsnummer (ZID) des Beschäftigten verknüpft. In der Speicherstelle sind also die Daten über den Bürger abgelegt, aber sie können nicht einer bestimmten Person zugeordnet und auch nicht entschlüsselt werden. Die Registratur wiederum kann zwar die ZID auf eine Person beziehen, hat aber keinen Zugriff auf die Daten, die über diese gespeichert sind.

Für die Ausgabe der Chipkarten sind die Zertifizierungsdiensteanbieter zuständig. Sie überprüfen die Identität der Bürger und melden den Teilnehmer bei der RFV an. Um einen Antrag auf Sozialleistungen zu bearbeiten, müssen sich dann sowohl der Sachbearbeiter auch der Antragsteller mit der elektronischen Signatur auf ihrer Chipkarte durch Eingabe einer PIN anmelden. Wenn die RFV die Berechtigung beider Seiten bestätigt, werden die Daten übertragen.

Thilo Weichert, der schleswig-holsteinischen Datenschutzbeauftragte, sieht trotz dieses anspruchsvollen Schutzkonzepts weiter Gefahren. „Es steht zu befürchten, dass bald auch andere Stellen versuchen werden, an diese Informationen zu gelangen.“ Dabei denkt Weichert nicht nur an Ämter aus dem Sozialbereich. Beispielsweise seien die Finanzämter daran interessiert, die Einkommensdaten mit Steuererklärungen abzugleichen. Aber auch die Sicherheitsbehörden könnten die Datensammlung für ihre Ermittlungen nutzen wollen.

Auf Landesebene waren die Datenschutzbeauftragten wie Thilo Weichert von Anfang skeptischer als der Bundesdatenschutzbeauftragte Peter Schaar. Sie forderten für die Datenübertragung eine Ende-zu-Ende Verschlüsselung, wobei ausschließlich der jeweilige Bürger über den kryptographischen Schlüssel verfügt hätte. Im Juli 2005 legte das Bundesamt für Sicherheit in der Informationstechnik ein Gutachten vor, demzufolge das zwar technisch machbar, aber organisatorisch aufwändig sei. Schwierigkeiten könnten etwa entstehen, wenn Signaturkarten verloren oder gestohlen werden. Nun wird es einen master key geben. Thilo Weichert kommentiert: „Wir bezweifeln, ob die Alternativen zu einem Generalschlüssel wirklich ernsthaft geprüft wurden.“

Allerdings hat kein Amt (direkten) Zugriff auf den Datenbank-Hauptschlüssel, sondern er wird vom Bundesdatenschutzbeauftragten „treuhänderisch“ verwaltet. Jeder Verdienstdatensatz wird von zwei verschiedenen Stellen verschlüsselt: Das ZSS erzeugt zunächst einen zufällig gewählten Sitzungsschlüssel (session key), den es an den Bundesbeauftragten für Datenschutz überträgt. Dort wird der session key mit einem master key verschlüsselt und zurück an die ZSS gegeben. In der Datenbank der ZSS werden der verschlüsselter Sitzungsschlüssel und die verschlüsselten Datensätze abgespeichert, aber nicht die unverschlüsselte Session. Ohne den master key – und damit am Bundesbeauftragten vorbei – lassen sich also die gespeicherten Informationen nicht auslesen.

Projekt „Rettet die elektronische Signatur!“

Seinen Anfang nahm „Elena“ als unter der Bezeichnung „JobCard“ im Jahr 2002, als die Hartz- Kommission vorschlug, Arbeitsbescheinigungen in Zukunft nur noch elektronisch mit Signaturkarten abzuwickeln. Von Oktober 2003 bis März 2004 fand ein erstes lokales Modellprojekt statt. Im März 2009 trat schließlich das „Elena-Verfahrensgesetz“ in Kraft. Bereits seit 2006 dürfen Arbeitgeber ihre Meldungen an die Krankenkassen nur noch elektronisch und verschlüsselt übertragen, entsprechend der Datenerfassungs- und -übermittlungsverordnung (DEÜV). Auf diesem technischen Verfahren baut nun „Elena“ auf.

In den nächsten fünf Jahren sollen alle Bescheinigungen im Sozialbereich – darunter beispielsweise auch Verdienstbescheinigungen für Prozesskostenhilfe oder Zeugengeld – auf die digitale Übertragung umgestellt werden. Im Koalitionsvertrag heißt es:

Die von Arbeitgebern auszustellenden Bescheinigungen und Entgeltnachweise werden bis spätestens 2015 in ein elektronisches Verfahren überführt.

Koalitionsvertrag „Wachstum. Bildung. Zusammenhalt

Der Branchenverband Bitkom und die Arbeitgeberverbände forderten von Anfang an, das Elena-Verfahren auf weitere Bescheinigungen auszuweiten. So ließen sich Millionen einsparen, argumentiert etwa die Bundesvereinigung der Deutschen Arbeitgeber (BDA). Andere sehen das wesentlich kritischer, wie etwa der Verwaltungswissenschaftler und Experte für E-Government Klaus Lenk:

Um die Bürokratiekosten der Unternehmen zu senken, werden sie im Endeffekt wahrscheinlich den Bürgern aufgebürdet.

Klaus Lenk

Es geht bei „Elena“ aber nicht nur darum, Arbeitgeber zu entlasten: Mit dem Verfahren soll der elektronischen Signatur zum Durchbruch verholfen werden. Bereits vor elf Jahren schuf der Bundestag die rechtlichen Grundlagen für rechtskräftige elektronische Unterschriften. Aber sowohl die Unternehmen als auch die Konsumenten zeigen sich bisher wenig begeistert. Und weil immer noch zu wenige Privatpersonen und Firmen über Lesegeräte verfügen, um die Authentifizierung durchzuführen, lohnt sich auch die Anschaffung einer Signaturkarte kaum. Dass mit der elektronischen Signatur rechtsverbindlich Verträge abgeschlossen werden können, gilt aber als Voraussetzung dafür, dass der Handel mit Waren und Dienstleistungen über das Internet weiter wächst.

„Elena“ soll eben dieses Problem der „fehlenden kritischen Masse“ lösen. Wenn ab Mitte nächsten Jahres massenhaft Signaturkarten und die entsprechenden Lesegeräte unter's Volk gebracht werden – so das Kalkül – dann wird es auch für Unternehmen attraktiv werden, in weitere Netz-Anwendungen investieren und die Bundesrepublik kann bei E-Commerce und E-Government eine Führungsrolle übernehmen. Laut Wirtschaftsministerium interessieren sich bereits Regierungen aus dem Ausland für das weltweit einzigartiges System. Und in der internationalen Konkurrenz geht es auch darum, die eigenen Daten- und Verfahrens-Standards durchzusetzen.

Alle erarbeiteten Spezifikationen werden außerdem auf internationaler Ebene publiziert. Sie bringen somit auch die europa- und weltweiten Standardisierungsbemühungen voran.

ITSG

Eine weitere Anwendungsmöglichkeit wäre die Kontrolle von Arbeitsleistungen über das Netz, wenn sich etwa Mitarbeiter in einem Unternehmen mit ihrer zertifizierten Signaturkarte einwählen.

Ein denkbares Szenario ist die einmalige (morgendliche) Anmeldung eines Anwenders an seinem Arbeitsplatz-PC, danach hat er Zugang zum Intranet, Internet und dezidierten Anwendungssystemen (z.B. SAP, FIBU, MIS), ohne weitere Benutzernamen und/oder Passworte eingeben zu müssen.

Arbeitsgemeinschaft der Trustcenter-Betreiber

Immer Ärger mit der Verfassung

„Elena“ ist nur ein Beispiel: Ob Rot-Grün, Große Koalition oder mittlerweile Bürgerliche Mehrheit, wechselnde Bundesregierungen betreiben seit Jahren den Aufbau zentraler digitaler Datensammlungen. Unter Wolfgang Schäuble plante das Innenministerium beispielsweise, die kommunalen Meldeämter über eine Bundesmelderegister zu vernetzen. Das war in der Endphase der damaligen Regierungskoalition nicht zu machen. Nun aber kündigen CDU/CSU und FDP in ihrem Koalitionsvertrag an, ein neues Bundesmeldegesetz auf den Weg zu bringen.

Die Daten-Zentralisierung verspricht mehr Effizienz; die Verwaltungskosten von Staat und Unternehmen sollen gesenkt werden. Über relevante Informationen verfügen unter anderem Meldeämter, Sozialämter, Wohngeldstellen, Rentenversicherungen und Krankenkassen. Um aber die vorhandene Bestände ohne großen Personalaufwand nutzbar machen, ist ein einheitliches Ordnungsmerkmal für die Bürger nötig. Sonst kann der Abgleich nicht automatisiert ablaufen. Der Entwurf aus dem Innenministerium für das Bundesmelderegister aus dem Jahr 2008 sah vor, auch die neue Steueridentifikationsnummer aufzunehmen, die von den Bundeszentralamt für Steuern (BZSt) verwaltet wird. Sie könnte zum Scharnier für eine umfassende Vernetzung der staatlichen Datensammlungen werden.

Eine ämterübergreifende und lebenslang gültige Ordnungsziffer wäre aber ein einheitliches und dauerhaften Personenkennzeichen – und das ist nach der bisherigen Rechtsprechung des Bundesverfassungsgerichts nicht zulässig.

Es widerspricht der menschlichen Würde, den Menschen zum bloßen Objekt im Staat zu machen ... Mit der Menschenwürde wäre es nicht zu vereinbaren, wenn der Staat das Recht für sich in Anspruch nehmen könnte, den Menschen zwangsweise in seiner ganzen Persönlichkeit zu registrieren und zu katalogisieren (...) und ihn damit wie eine Sache zu behandeln, die einer Bestandsaufnahme in jeder Beziehung zugänglich ist.

Bundesverfassungsgericht 1969

So die Verfassungsrichter in ihrem Urteil zum „Mikrozensus“ im Jahr 1969. Im sogenannten „Volkszählungsurteil“ 1983 formulierte das Bundesverfassungsgericht das „Grundrecht auf informationelle Selbstbestimmung“. Ihre Argumentation: Es widerspräche sowohl dem individuellen Recht auf Selbstbestimmung, als auch dem Wesen einer freiheitlichen Gesellschaftsordnung, wenn der Bürger nicht kontrollieren kann, wer was über ihn weiß. Die Informationen, die er beispielsweise in der Kommunikation mit einer Krankenkasse preisgibt, bekommen in einem anderen Zusammenhang – zum Beispiel in seiner Kommunikation mit dem Sozialamt – eine andere Bedeutung und ganz neue Brisanz.

Die Zuteilung der neuen Steuer-ID durch die Finanzämter ist mittlerweile abgeschlossen. Bald wird darum gestritten werden, welche Stellen sie nutzen dürfen. Die Bürgerrechtsorganisation Humanistische Union, die gerade eine Musterklage gegen die Steuer-ID vor dem Amtsgericht Köln führt, befürchtet:

Es ist nur eine Frage der Zeit, bis die neue Steuernummer künftig nicht von Finanzämtern, sondern auch anderen Behörden gespeichert und verwendet wird (...) Hat sich Ihre Steuer-ID erst einmal verbreitet, wird sie zu einer Art Generalschlüssel. Mit ihr sind automatische Datenabgleiche möglich. So wird die Erstellung von Persönlichkeitsprofilen zum Kinderspiel.

Humanistische Union

Wäre es nicht praktisch, wenn sie die staatlichen Stellen über Behördengrenzen hinweg Informationen austauschen könnten? Wenn der Fallmanager im Arbeitsamt mit einer Suchmaske und einem Mausklick nachsehen könnte, wo der Arbeitslose in den letzten Jahren gewohnt hat? Oder gleich die Informationen der Krankenkasse abfragen kann, um seinem Klienten ein maßgeschneidertes Vermittlungsangebot zu machen? Noch stehen einem solchen Szenario zahlreiche Gesetze und Verfahrensregeln im Weg. Aber allmählich entsteht die technisch-organisatorische Infrastruktur für einen Sozial-Datenbank-Staat, der sich seine Datenbestände umfassend erschließt, um „zu wissen, was er weiß“.