Elektronische Identität: Eine staatliche Digitalverfassung soll's richten
Bei Bund und Ländern gibt es zunehmend Verfechter einer Digitalverfassung. Verknüpft sein soll damit eine staatlich geschützte elektronische Identität.
(Bild: JpegPhotographer/Shutterstock.com)
Anläufe für eine staatlich verbriefte digitale Identität hat es bereits zahlreiche gegeben. Die Palette reicht hierzulande vom Gesetz für elektronische Signaturen über die De-Mail und dem elektronischen Identitätsausweis (eID) im Personalausweis bis zu aktuellen Projekten für den Ausweis auf dem Handy. Großen Erfolg war all diesen Initiativen bisher nicht beschieden. Nun soll es neben der geplanten EuID mit Wallet eine Digitalverfassung richten, in deren Zentrum eine digitale Identität steht.
Nicht den Privaten alles überlassen
"Wir müssen aufpassen, mal einen Knopf dran zu kriegen", betonte Jürgen Renfer, IT-Verantwortlicher der Kommunalen Unfallversicherung in Bayern, am Mittwoch auf einem Online-Podium des Behörden-Spiegel. Es gelte, das Projekt einer staatlich bestätigten elektronischen Identität endlich auf die Spur zu setzen. Sonst bedienten private Anbieter ein immer größeres Stück des Marktes. Schließlich könne jeder Konten von Apple, Facebook und Google einfach nutzen.
In privater Hand sei es mit der eID aber nicht nur wegen der Datensammelei "so eine Sache", gab Renfer zu bedenken. Da könne auch "ganz schnell mal das Wasser abgegraben werden". Er sei daher ein Fan einer staatlichen Lösung. Die verbliebenen Anwendungsfälle etwa in der öffentlichen Verwaltung müssten aber so gestaltet werden, "dass sie Akzeptanz bei den Bürgern finden". Sonst "wird's halt einfach nix mehr".
Offenbar sei auch der Handy-Ausweis nicht so leicht implementierbar, da zumindest die Fortführung des Optimos-2-Projekts gerade wieder verschoben worden sei. Über den angestoßenen "Werkstattprozess" für eine Digitalverfassung, die es nun richten könnte, referierte Roland Hoheisel-Gruler aus dem Fachbereich Kriminalpolizei an der Hochschule des Bundes für öffentliche Verwaltung.
Mit Grundgesetz verbinden
Einen potenziellen entsprechenden Anspruch an eine funktionierende digitale Verwaltung inklusive eines hohen Schutzes der Bürgerrechte könnte demnach an Artikel 10 des Grundgesetzes zum Fernmeldegeheimnis angedockt werden. Dort könne es am besten gelingen, Privatheit und Interaktion auf Distanz zusammenzubekommen.
Wie genau die digitale Identität von Bürgern in der Verfassung umrissen werden soll, sind sich die beteiligten Forscher und Praktiker, zu denen etwa die Anstalt für kommunale Datenverarbeitung in Bayern (AKDB) als IT-Dienstleister gehört, noch nicht sicher. Klar sei nur, dass das vom Bundesverfassungsgericht entwickelte Recht auf informationelle Selbstbestimmung "ordentlich in die Jahre gekommen" sei und 2023 seinen 40. Geburtstag feiere.
Eine Fortentwicklung hält Hoheisel-Gruler auch angesichts des Durchmarschs von Apple, Google und der Facebook-Mutter Meta für dringend geboten. Diese stellten nicht nur eine Infrastruktur für digitale Kommunikation zur Verfügung, "sondern verdienen Geld damit" und verwendeten digitale Identitäten für Marktzwecke weiter. Dazu komme meist noch eine doppelte Bestätigung über die Mobilfunknummer. Es wundere daher nicht, wenn Gerichte gerade bei Facebook eine quasi-hoheitliche Handlungshoheit im Digitalen mit weitreichenden Folgen vereint sähen.
Digitalverfassung müsse Bürgerschaft schützen
Für den Dozenten steht die Grundrechtsbindung in diesem Bereich außer Frage: "Das ist meine ID, der Staat hat sie zu schützen." Der Bürger habe die Hoheit darüber, wo er mit wem darüber kommuniziere und so Ausprägungen seiner Person offenbare. Nötig sei hier auch "Verlässlichkeit auf infrastruktureller Ebene". Hier führe bei der technischen Umsetzung an "Open-Source-Geschichten" kein Weg vorbei: Proprietäre Lösungen stünden dem Schutzaspekt diametral entgegen.
Eine Digitalverfassung könnte eine Art Betriebssystem für den Staat schaffen, brach Markus Keller von der AKDB eine Lanze für das Konzept. Dass der Datenschutz hierzulande derzeit "so schlecht geregelt" sei, liege auch mit daran, dass er noch keinen Anker im Grundgesetz habe. So sei auch erklärbar, dass das mit dem Gesetz für die Registermodernisierung beschlossene "Once only"-Prinzip zur einfachen Mehrfachnutzung von Bürgerdaten "völlig quer" liege "zu unseren Ansätzen des zweckgebundenen Datenschutzes".
Keine Monopole schaffen
Die bayerische Regierung preschte jüngst bereits vor, indem sie ein Recht auf eine eID und damit verknüpfte Kommunikationsräume in ihrem Entwurf für ein Digitalgesetz des Freistaats verankerte. Der Einzelne habe bereits einen Anspruch darauf, "dass sein Profil nicht unverhältnismäßig erfasst wird", erläuterte dazu Ariane Berger, Leiterin Digitalisierung beim Deutschen Landkreistag. Ein Datenraum, wie ihn das bayerische Vorhaben vorsehe, sei dafür eine gangbare Lösung. Der Bürger könne dort bestimmen, unter welchen Bedingungen Behörden auf sein Kommunikationsprofil zugreifen könnten. Zugleich habe der Staat eine Infrastrukturverantwortung, betonte Berger. Es reiche also nicht, etwa mit dem Online-Zugangsgesetz ein Nutzerkonto bereitzustellen. Nötig sei es vielmehr, die digitale Gebietshoheit insbesondere auch im Cloud-Bereich zu definieren und zu bestimmen, "wo unsere Rechenzentren liegen". Sonst ließen sich digitale Identitäten nicht angemessen schützen.
Ausschlaggebend in der Cloud sei eine Vielzahl von IT-Anbietern, die hochgradig nutzbare, modulare, interoperable Anwendungen schaffen könnten. Die deutsche Fehltradition, Monopole zu schaffen, dürfe hier keinesfalls fortgeführt werden.
Datensammelwut von Werbetreibenden begrenzen
Als großen Wurf lobte Peter Parycek vom Kompetenzzentrum Öffentliche IT am Fraunhofer Fokus-Institut, das bayerische Vorhaben. Das Angebot mit dem Nutzerkonto könne ein Schriftformersatz sein und zu Wettbewerb zwischen den Ländern führen. Andere Staaten seien hier längst weiter dank einer hohen Zahl digitaler Verwaltungsverfahren und "sehr pragmatischen eID-Verfahren", die teils nur 2-Faktor-Authentifizierung erforderten.
Die Wirtschaft wiederum habe die Problematik für sich vielfach gelöst, indem sie das Risiko des Identitätsdiebstahls "in ihre Geschäftsmodelle schon mit eingerechnet hat". Die Datensammelwut der Werbetreibenden im Netz müsse aber irgendwann "hart reguliert werden".
Sollte die von Bayern geplante digitale Identität einen Bürger gegenüber dem Staat eindeutig identifizieren, wäre der Bund zuständig, warnte dagegen die Hannoveraner Rechtsinformatikerin Margrit Seckelmann. Dieser habe mit der eID im Personalausweis bereits eine Variante vorgelegt. Bei einem Nutzerkonto, das der Bürger etwa für Anwendungen der direkten Demokratie oder zur Anlage von Bildungsbiografien einsetzen könnte, spiele indes die Musik. Einen Verfassungskonvent würde sie sich durchaus wünschen. Dort müssten aber die Hyperscaler mit am Tisch sitzen, was wieder zu einem Aufschrei wie bei Gaia-X führen würde.
(kbe)
