Rechtsgutachten

Registermodernisierung: Datenschutzkonforme und umsetzbare Alternativen

Mit der Vorlage eines Gesetzesentwurfs zur Einführung einer Identifikationsnummer in die öffentliche Verwaltung und zur Änderung weiterer Gesetze (Registermodernisierungs­gesetz – RegMoG-E; Bundestags-Drucksache 19/24226) möchte die Bundesregierung eine allgemeine Personenkennziffer für den öffentlichen Sektor (Identifikationsnummer) einführen. Jeder Bürger würde so über eine eindeutige, nichtsprechende Personenkennziffer iden­ti­fi­zier­bar werden. Die in diesem Zusammenhang relevanten Register sollen um dieses allge­meine Personenkennzeichen (Identifikationsnummer) erweitert werden. In jedem der 56 benannten Re­gister würde zu jedem Eintrag zusätzlich dieses allgemeine Personen­kenn­zeichen hinter­legt werden müssen. Die Bundesregierung schlägt zur raschen Register­mo­der­­nisierung vor, die bisher ausschließlich für Steuerverfahren genutzte Iden­ti­fikations­nummer nach § 139b AO (Steuer-ID) für diesen Zweck zu verwenden. Für eine vermeintlich datenschutzkonforme und sichere Umsetzung sollen beachtliche Haus­halts­mittel von Bund und Ländern in den jeweiligen Haushalts- und Stellenplänen bereitgestellt werden.

Ein solches Vorgehen ist im Rahmen der Registermodernisierung politisch legitim, aber aus informationstechnischer Sicht aufgrund der Möglichkeit, vorgesehene Schutzmechanismen zu umgehen, äußerst risikoreich. Auch bestehen schwerwiegende verfassungsrechtliche Bedenken. Das Gesetz läuft damit einerseits Gefahr, vom Bundesverfassungsgericht verworfen zu werden. Mit jedem allgemeinen Personen­kennzeichen – und der damit vereinfachten Möglichkeit der Verbindung verschiedenster beim Staat gespeicherter Datensätze aus allen möglichen Lebens- und Verwaltungs­berei­chen – wird die Grundlage für eine umfassende Registrierung, Profilbildung und Katalogi­sierung der Persönlichkeit von Bürgern durch den Staat geschaffen.

Andererseits darf die Steuerverwaltung für ihre Besteuerungs­verfahren keine allgemeinen Personen­kennzeichen verwenden. Ein angenommener Gesetzes­entwurf würde damit auch die Grund­lagen der Steuererhebung zerstören und besorgnis­erregende Folgewirkungen auslösen. Insofern sollte das Vorgehen insgesamt überdacht werden.

Dennoch halten wir eine Registermodernisierung in einem verfassungskonformen Rahmen für wünschenswert. Daher haben wir eine Alternative mit bereichsspezifischen Personen­kennzeichen und einigen Optionen entwickelt, mit der sowohl die Anforderungen des Portalverbundes als auch der Registermodernisierung erfüllt werden können. Unser Ziel ist dabei kein theoretisches Idealbild, sondern – im Vergleich zum Regierungsentwurf als Ausgangspunkt – eine mit überschaubarem Mehraufwand und ohne nennenswerte Eingriffe in die Registerstruktur umsetzbare, gleichzeitig aber datenschutzfreundlichere Alternative.

Mit konstruktiv angelegten Handlungsempfehlungen wollen wir dem Gesetzgeber die Möglichkeit geben, diese Optionen einzuschätzen, das weitere Vorgehen zu reflektieren, die Risiken der unterschiedlichen Pfade abzuschätzen und die richtige Entscheidung für eine überzeugende wie vertrauensgewinnende Registermodernisierung zu treffen.

Dies ist ein Auszug aus unserer Publikation, diese können Sie in unserem Shop downloaden.

A. Einführung

Mit dem Gesetzentwurf der Bundesregierung zur Einführung und Verwendung einer Identifikationsnummer in der öffentlichen Verwaltung und zur Änderung weiterer Gesetze, Registrierungsmodernisierungsgesetz (RegMoG-E), plant das Bundesministerium des Innern, für Bau und Heimat (BMI) die Modernisierung der deutschen Verwaltungslandschaft durch die Einführung einer registerübergreifenden Identifikationsnummer. Zu diesem Zweck soll die bisher ausschließlich für Steuerverfahren genutzte Identifikationsnummer nach § 139b AO auf andere Bereiche erweitert werden. Alle anderen relevanten 56 register­führen­den Stellen sollen innerhalb von fünf Jahren diese Identifikationsnummer als zusätzliches Ordnungsmerkmal zu Personendaten in ihren jeweiligen Registern speichern.

Bereits seit Bekanntwerden des Referentenentwurfs im Juli 2020 diskutiert die Öffentlichkeit über Sinn und Zweck einer solchen Kennziffer. Besondere Aufmerksamkeit erlangten die kritischen Stellungnahmen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) und der Datenschutzkonferenz (DSK). Die erweiterte Ver­wendung der Identifikationsnummer ist vor dem Hintergrund, dass bereits bei Einführung vor deren schleichender Ausweitung gewarnt wurde, als äußerst umstritten anzusehen.

I. Gesetzesentwurf der Bundesregierung

Bei dem RegMoG-E handelt es sich um ein Artikelgesetz, das mehrere Gesetze ändert beziehungsweise einführt. Von besonderer Bedeutung ist hierbei die Einführung des Identifikationsnummerngesetzes (IDNrG-E). Zu diesem Zweck wird die Verwendung der Steueridentifikationsnummer nach §§ 139a, b AO ausgeweitet. Eine Identifikationsnummer wird nach dem Entwurf neben Steuerpflichtigen jeder natürlichen Person zugeordnet, die bei einer öffentlichen Stelle ein Verwaltungsverfahren führt (Art. 3 Nr. 1 RegMoG-E). Nach § 1 IDNrG-E wird diese Identifikationsnummer als zusätzliches Ordnungsmerkmal in 56 Register eingeführt, die in der Anlage zum IDNrG-E aufgelistet sind. Beispielhaft lassen sich hier Melderegister, Personenstandsregister und Ausländerzentralregister, aber auch Zentrales Fahrerlaubnisregister, Schuldnerverzeichnis und Beitragskontendatenbank nennen.

Für jede natürliche Person, die eine Identifikationsnummer erhalten hat, speichert das Bundeszentralamt für Steuern sogenannte Basis- und weitere Daten (§ 4 Abs. 1 IDNrG-E). Unter Basisdaten (§ 4 Abs. 2 IDNrG-E) versteht der Entwurf etwa Familienname, Vorname, Geburtsort und -datum, Geschlecht, Staatsangehörigkeit und andere. Weitere Daten (§ 4 Abs. 3 IDNrG-E) sind Auskunftssperren nach dem Bundesmeldegesetz, Datum des letzten Verwaltungskontakts (Monat und Jahr) und Validitätswerte (Hinweise zur Richtigkeit bestimmter Basisdaten, vgl. § 4 Abs. 5 IDNrG-E).

Zur Übermittlung dieser Daten sieht der Entwurf die Einrichtung einer Register­moderni­sierungsbehörde vor, die beim Bundesverwaltungsamt angesiedelt ist (§ 3 Abs. 1 S. 2 IDNrG-E). Sie dient als zwischengeschaltete Instanz zwischen den Behörden, die mittels der Identifikationsnummer auf Daten der Person zugreifen wollen. So können bei Übermittlung von mindestens Identifikationsnummer und Geburtsdatum alle Basis- und weitere Daten nach § 4 Abs. 2 und 3 IDNrG-E der Person an die abrufende Behörde übermittelt werden, soweit die Daten zur Aufgabenerfüllung erforderlich sind (§ 6 Abs. 3 Nr. 2 IDNrG-E). Umgekehrt kann bei Angabe von mindestens Familiennamen, Wohnort, Postleitzahl und Geburtsdatum die Identifikationsnummer ermittelt werden (§ 6 Abs. 3 Nr. 1 IDNrG-E). Nach Übermittlung der angeforderten Daten muss die Registermodernisierungsbehörde diese löschen (§ 11 IDNrG-E).

Ferner sieht Art. 2 RegMoG-E die Einführung eines sogenannten Datencockpits im Rahmen einer Modifizierung des Onlinezugangsgesetzes (OZG) vor. In diesem Datencockpit kann eine natürliche Person Auskunft zu Datenübermittlungen unter Rückgriff auf die Identi­fi­ka­tions­nummer erhalten (§ 10 Abs. 1 OZG). Das Datencockpit zeigt lediglich Protokolldaten an (§ 10 Abs. 2 OZG), auf die nur die betroffene Person Zugriff hat (§ 4 Abs. 4 OZG). Diese Proto­kolldaten erheben die jeweiligen Stellen bei allen Datenübermittlungen unter Nutzung einer Identifikationsnummer (§ 9 Abs. 1 S. 1 IDNrG-E). Die Registermodernisierungsbehörde proto­kolliert darüber hinaus alle Datenübermittlungen von und zur Register­moderni­sierungs­behörde selbst (§ 9 Abs. 1 S. 2 IDNrG-E). Neben der Übermittlung an das Datencockpit dür­fen diese Protokolldaten nur zur datenschutzrechtlichen Prüfung und zur Wahrnehmung von Be­trof­fenenrechten verwendet werden (§ 9 Abs. 2 IDNrG-E). Nach zwei Jahren sind die Proto­kolldaten – vorbehaltlich zu begründender Ausnahmen – zu löschen (§ 9 Abs. 3 IDNrG-E). 

Die verbleibenden Artikel des RegMoG-E beziehen sich auf Änderungen von Gesetzen zu Fach­registern, in denen zukünftig auch die übergreifende Identifikationsnummer gespeichert werden soll.

II. Anforderungen an eine zeitgemäße Registermodernisierung

Zum eigentlichen Zweck der Registermodernisierung bei Bund, Ländern und Kommunen hat sich das Koordinierungsprojekt Registermodernisierung des IT-Planungsrats im April 2020 in einem Eckpunktepapier geäußert. Diese abgestimmten Ergebnisse wurden in der 32. Sitzung des IT-Planungsrats vom 24. Juni 2020 von diesem zur Kenntnis genommen und bilden damit die Grundlage für die bis Ende 2020 anzufertigende Gesamtkonzeption für eine moder­nisierte Registerlandschaft. Im Kern geht es um den Aufbau eines register­über­greifenden Identitäts- und Qualitätsmanagements, um einen einfachen Datenaustausch zwischen allen beteiligten Stellen, um eine verbesserte Datenhaltung in Registern und elek­tronisch geführten Datenbeständen, um einen verbesserten Datenschutz, verbesserte Datensicherheit und Transparenz der Zugriffe sowie perspektivisch um eine Erweiterung der Register­landschaft, um alle benötigten Daten vorzuhalten.

Das RegMoG-E der Bundesregierung, welches das Konzept des IT-Planungsrats aufgreift, ist ein zentrales Element für diese verwaltungsebenenübergreifende Modernisierung, die auch der Nationale Normenkontrollrat seit 2017 fordert. Erstens soll nach Vorstellungen des IT-Planungsrats das registerübergreifende Identitäts- und Qualitätsmanagement künftig die Qualitätssicherung bestehender Datenbestände übernehmen und so zu einer inhaltlich optimalen Aufstellung beitragen. Dabei gilt es vor allem, Inkonsistenzen zu erkennen, Dubletten und Schreibfehler zu beseitigen sowie Namen und Adressen auf den aktuellen Stand zu bringen. Dies hat Korrekturen in allen beteiligten Registern zur Folge und kann über gemeinsame Basisdaten einfach realisiert werden. Zugleich soll eine Anbindung an föderale Integrationsbemühungen seitens der Europäischen Union vorbereitet werden. Zweitens soll mit einem Architekturmodell, dem Ausbau von Standards und Schnittstellen, einer Anpassung der Transportwege und einer Erweiterung des Zugriffs- und Rechtemanagements auf neuer rechtlicher Grundlage der Datenaustausch zwischen allen zu beteiligenden Stellen verbessert werden. Drittens gilt es alle datenhaltenden Behörden digital zu ertüchtigen, um mit gezielten Vollständigkeits-, Qualitäts- und Datensparsamkeitsmaßnahmen eine Verbesserung der Datenhaltung in der Bundesrepublik insgesamt zu erreichen. So werden die Etablierung eines Unternehmensregisters, eines Gebäude- und Wohnungsregisters und eines statis­tischen Bildungsregisters angedacht. Ab 2030 wird ein künftig jährlicher registerbasierter Zensus (Volkszählung) in Erwägung gezogen. Da dies alles zu einem „gläsernen Bürger“ führen kann, sollen viertens weitere Datenschutz- und Sicherheitsmaßnahmen vor einer staatlichen Profilbildung sowie ein Datencockpit für mehr Transparenz des Bürgers über behördliche Zugriffe auf seine Daten etabliert werden. Welche konkreten Vorstellungen allerdings diesem letzten Punkt Rechnung tragen sollen und wie eine (Selbst-)Kontrolle des Staates unter diesen Bedingungen gelingen soll, bleibt weitgehend offen.

Begründet durch den hohen gesellschaftlichen Stellenwert, der dem Datenschutz in Deutschland beigemessen wird sowie einer Tradition papierbasierter Aktenführung ist in der Bundesrepublik Deutschland auf staatlicher Ebene kaum ersichtlich, welche Daten die einzelnen Behörden von Bund, Land und Kommunen insgesamt über ihre Bürger vorhalten. Deutsche Behörden sind verpflichtet, die von ihnen erhobenen Daten nur für die gesetzlich definierten Zwecke zu verwenden. Die Erstellung von Persönlichkeitsprofilen der Bürger durch eine Zusammenführung der vorhandenen Lebens-, Verhaltens- und Personal­daten ist staatlichen Stellen untersagt. Dies leitet sich aus dem deutschen Grundgesetz ab und gilt auch auf europäischer Ebene. Darüber hinaus sind diese Grundsätze auch der Rechtsprechung des Bundesverfassungsgerichts und des Europäischen Gerichtshofs zu entnehmen.

Im Vergleich zu vielen anderen europäischen Staaten ist Deutschland beim E-Government weder Vorreiter noch Treiber der technischen Entwicklung. Auf Grund des föderalen Mehr­ebenen­systems dauert jede Umsetzung verwaltungsebenenübergreifender Moder­ni­sierungs­ansätze typischerweise länger. Durch Kompromisse ist sie wegen der unterschiedlichen Vor­stellungen im Wettbewerb der politischen Ideen aber auch ausgewogener. Elektronische Register und die elektronische Akten- und Vorgangsbearbeitung lösen in den kommenden Jah­ren die letzten Bücher und Papierakten ab. Mit dem OZG und dem RegMoG wollen sich Bund, Länder und Kommunen für die digitale Zukunft leistungsfähig und bürgernah auf­stellen.

Vor diesem Hintergrund erzeugt der von der Bundesregierung eingebrachte RegMoG-E erhebliche Irritationen. Mit einem allgemeinen Personenkennzeichen, das zunächst auf 57 Register – perspektivisch sogar auf alle derzeit bestehenden 220 und alle zukünftig zu entwickelnden Register (zum Beispiel das Register des Forschungsdatenzentrums mit den Versicherungsdaten aller gesetzlich Krankenversicherten nach § 303d DVG) ausgeweitet werden soll und kann –, wird (bewusst oder unbewusst) eine wesentliche Grundlage für die mögliche Generierung von Persönlichkeitsprofilen aller Bürger quer über die gesamte Ver­waltung gelegt. Mit einer weiteren Gesetzesänderung und neuartigen Profil­bildungs­pro­grammen könnten künftige Machthaber plötzlich und rasch wissen, was der Staat wirklich weiß und dies für oder gegen die Bürger einsetzen. Danach wäre aber technisch durchaus realisierbar, was nach geltendem Recht unzulässig ist und im Gesetzesentwurf zu Recht unter Strafe gestellt wird. Gerade deswegen stellt sich mit dem Gesetzesentwurf auch die Frage an den Gesetzgeber, ob der Staat in die Lage versetzt werden soll, auf Knopfdruck alles über seine Bevölkerung wissen zu können.

Der Datenschutz verfolgt ganz andere, höhere Ziele. Datenschutz besitzt für die Bundes­republik Deutschland und ihre Bürger eine hohe Bedeutung. Dieser Stellenwert speist sich aus den Erfahrungen des Dritten Reiches, der Diktatur des Nationalsozialismus und der Deutschen Demokratischen Republik. Bürger wurden damals erfasst, überwacht, selektiert, verhaftet und ermordet. Dies darf sich niemals wieder wiederholen. Die Ermöglichung freiheitlichen Handelns durch den Datenschutz und IT-Sicherheit und damit ihre Funktion als Rückgrat von Demokratie, Grundrechtsverwirklichung und gleichen Verwirklichungschancen der Bürger ist vor diesem Hintergrund nicht zu unterschätzen.

Die Bundesrepublik ist von einem föderalen Mehrebenensystem geprägt, in dem es bis zu sieben Ebenen, mehr als 11.000 Gebietskörperschaften und mehr als 30.000 zuständige Ämter und Behörden gibt, die öffentliche Aufgaben wahrnehmen und gemeinsam über 5.900 Verwaltungsleistungen erbringen. Diese Komplexität der Aufbau- und Ablauforganisation ist für Bürger wie Verwaltung herausfordernd, aber politisch auch so gewollt. Mit dem Onlinezugangsgesetz soll Bürgern und Unternehmen nun der Zugang zu Verwaltungs­leistungen bis 2022 flächendeckend digital ermöglicht werden. Der Normenkontrollrat und die Bundesregierung erachten dazu auch eine Registermodernisierung als dringend erforderlich. Die wahrnehmbare Trennung der verschiedenen Ebenen wird damit reduziert.

In einer offenen Gesellschaft sollen zugleich alle Bürger die Freiheit haben, zu sein und zu agieren, wie sie sind und sein möchten. Der Staat darf deswegen nicht in die Lage ver­setzt werden, über umfassende Aktivitätsprofile aller seiner Einwohner zu verfügen, um diese zu einem (politisch) konformen Verhalten zu bewegen. Die zunehmende smarte, KI-basierte und plattformbasierte Überwachung im öffentlichen wie im privaten Raum eröffnet hier allen evidenzbasierten, verhaltenswissenschaftlichen Ansätzen in Echtzeit neuartige Möglich­keiten, die von Vertretern der Zivilgesellschaft und vieler Parteien zunehmend mit Sorge betrachtet werden. Vertreter vieler Sicherheitsbehörden haben dazu eine berufs­bedingte, nachvollziehbar andere Einschätzung. Diese Behörden profitieren von um­fas­sen­den Profilen der gesamten Bevölkerung, etwa um mit Hilfe leistungsstarker IT-basierter Polizeianalysediensten präventiv potenzielle Gefährder frühzeitig zu identifizieren oder um nach Anschlägen rasch verfassungsfeindliche Netzwerke zu enttarnen und zu verhaften. Eine Zusammenarbeit mit zahlreichen Plattformen wäre für die Sicherheitsbehörden eine weitere, bereichernde Option.

Je nach Gefährdungslage kommen Entscheider im politischen Raum also zu unter­schied­lichen Einschätzungen, wie staatliche Behörden mit den personenbezogenen Daten jetzt und in Zukunft umgehen sollen. Mit der Einführung einer Identifikationsnummer als allgemeines Personenkennzeichen würde in der Bundesrepublik Deutschland die Grundlage gelegt, dass die vorhandenen bereichs­spezifischen Profile zu einem Bürger rasch zu einem umfassenden Gesamtprofil zusammen­gefügt werden könnten. Die Bundesregierung sieht diese Gefahr durchaus. Sie schlägt mit dem Gesetzesentwurf einige organisatorische und strafrechtliche Maßnahmen vor, die dies dauerhaft unterbinden sollen. Darüber würde sich aber eine künftig gewählte, überwachungs- und selektionsfreudige Bundesregierung mit einer simplen wie gezielten Gesetzesänderung hinwegsetzen können. Die neu geschaffene Möglichkeit der Zusammenführung von Registerdaten durch ein allgemeines Personenkennzeichen ermöglicht zudem schon sofort eine – wenn auch rechtswidrige – Zusammenführung von Daten aus verschiedenen Registern unter Umgehung vorgesehener Schutzmechanismen. Die Bevölkerung müsste mit diesen Risiken und Nebenwirkungen dauerhaft leben. Dies ist aus verschiedenen Gründen inakzeptabel.

Das Ziel eines freiheitsermöglichenden Staates und einer gelebten offenen Gesellschaft muss dauerhaft der transparente Staat, nicht aber der „gläserne Bürger“ sein. Die Bürger sollen verstehen können, wie der Staat funktioniert, welche Behörde welche Aufgaben erledigt und gegen wen bzw. gegen was sich effektiver Rechts­schutz zur Kontrolle richten kann. Diesem Auftrag widmet sich unter anderem das OZG. Die Behörden müssen die öffentlichen Aufgaben, die ihnen die Gesetzgeber übertragen, auch erfüllen können. Dazu benötigen sie Haushaltsmittel, Stellen, qualifiziertes Personal und organisatorische Prozesse, aber auch gewisse personenbezogene Daten der Bürger, die sie datenschutzkonform und zweckgerichtet zu verwenden und zur Erfüllung ihrer Zwecke sicher zu bewahren haben. Soweit dies zur öffentlichen Aufgabenerfüllung erforderlich ist, sollte jede Behörde in der Lage sein, bei Bedarf einen Ausschnitt eines Bildes aus dem Leben des Bürgers auf Basis der vorliegenden Daten in dem jeweiligen Amt oder Bereich zu generieren.

Trotz zunehmender Gesamtüberwachung und weitreichender Ausforschungsmöglichkeiten darf ein „gläserner Bürger“ aber nicht Realität werden, denn dieser würde weder seine Kontrollfunktion noch seine Freiheitsdimension ausleben können. Daher dürfen der Staat und die Verwaltung nicht durch Informationstechnologien in die Lage versetzt werden, auf Knopfdruck zu einem Bürger ein umfassendes, detailliertes Profil auf Basis aller oder vieler vorliegender Datenbestände in den vorhandenen Registern von Bund, Ländern und Kommunen zu erstellen. Ebenso sollten sie kein neuartiges umfassendes Register mit allen Daten selbst erzeugen können.

Diese Gefahr würde nun mit dem Gesetzesentwurf zur Registermodernisierung und der Einführung einer Identifikationsnummer als einer allgemeinen, registerübergreifenden und zentralen Personenkennziffer, wie dort vorgesehen, ohne weitere Sicherungen deutlich gesteigert. Verfassungs- und europarechtlich ist dies nicht zulässig, wie in Teil B gezeigt wird.

III. Optionen für Personenkennzeichen

Die Bundesrepublik Deutschland und ihre Gesetzgeber haben sich bisher, auch basierend auf den erlebten Erfahrungen der Jahre 1933-45 (nationalsozialistische Diktatur des Dritten Reiches), insbesondere mit Blick auf die Reduzierung von Häftlingen auf eine Nummer, sowie der Erfahrungen der Jahre 1949-1989 (kommunistische Diktatur der DDR), klar gegen allgemeine Personenkennzeichen ausgesprochen. Bisherige Versuche einzelner Fraktionen, ein all­ge­meines Personenkennzeichen einzuführen, scheiterten.

In vielen anderen euro­päischen und außereuropäischen Staaten wurden die Stärken und Schwächen sowie Chancen und Risiken dieses Ansatzes jedoch anders bewertet. Diese Staaten haben eine allgemeine Personen­kennziffer oder ein Personenkennzeichen ein­ge­führt, die Bürger ihr Leben lang im Kontakt mit Behörden und staatlichen Stellen verwenden. Auch Unternehmen nutzen seit vielen Jahrzehnten Kundennummern, damit sie im Bedarfsfall alle Daten zu einer Person (Kunde) rasch zuordnen können. In den Mitgliedstaaten der Europäischen Union werden verschiedene Konzepte verfolgt.

Auch die Bundesrepublik Deutschland hat sich, in Anerkennung ihrer Geschichte, zur Ver­ein­fachung von Verwaltungsvorgängen Personenkennzeichen bedient. Diese sind aller­dings bereichsspezifisch ausgerichtet. Die Steuer-ID, die Renten­versicherungsnummer, die Krankenversicherungsnummer und die Personenkennziffer der Bundeswehr sind Beispiele für bekannte bereichsspezifische Kennzeichen. Sie dürfen allerdings nur in einem bestimm­ten Verwaltungs- und Lebensbereich für bestimmte Aufgaben eingesetzt werden und er­lauben keine weitere, gar flächendeckende Verwendung in anderen Lebens- und Ver­waltungs­bereichen.

Personenkennzeichen sind alphanumerische Zeichenfolgen, die zur eindeutigen Identi­fi­zierung von Personen innerhalb einer größeren Personengruppe dienen sollen. Aus dem Blickwinkel der Verwaltungsinformatik und der Verwaltungswissenschaft bestehen zahl­reiche Optionen zur Gestaltung von Personenkennzeichen. Diese Optionen und Alternativen lassen sich in einem morphologischen Kasten (Abb.1) darstellen.

Abbildung 1
Abbildung 1

In der Regel sollten Personenkennzeichen einzigartig sein, damit sie Personen eindeutig identifizieren. Eine mehrfache Vergabe eines Personenkennzeichens mag sich als sinnvoll erweisen, etwa wenn der vorherige Träger des Kennzeichens verstorben und das Reservoir verfügbarer Ziffern oder Zeichenkombinationen erschöpft ist. Ein solches Vorgehen würde jedoch dem eigentlichen Zweck des Kennzeichens für Personen widersprechen und muss wegen des Risikos von Fehlzuordnungen schon prinzipiell verworfen werden.

Personenkennzeichen könnten sprechend angelegt sein. Dann lassen sich bestimmte Daten direkt aus dem Kennzeichen ablesen, etwa bei der Personenkennziffer der Bundeswehr das Geburtsdatum, der erste Buchstabe des Nachnamens und der Meldebezirk (früher das zuständige Kreiswehrersatzamt). Nicht-sprechende Personenkennzeichen verhindern diese Sichtbarkeit prinzipiell und machen die Person hinter dem Kennzeichen für Dritte nicht gläsern.

Kennzeichen können aus einer rein numerischen Ziffernreihenfolge oder aus einer alphanumerischen Zeichenreihenfolge bestehen. Bei einer Nummer wird deswegen von einer Personenkennziffer, bei einem Zeichencode von einem Personenkennzeichen ge­sprochen. Je länger die Personenkennziffer oder das Personenkennzeichen ist, desto größer ist das Reservoir an verfügbaren Zeichenkombinationen. Bei einer numerischen Ziffern­reihen­folge gibt es bis zu 10 Möglichkeiten(0-9), bei einer alphanumerischen Zeichen­reihenfolge bestehen bis zu 62 Optionen (0-9 & A-Z & a-z) pro Zeichenposition. Eine Mischung von Groß- und Kleinschreibung wäre in der praktischen Umsetzung allerdings fehler­anfällig. 36 Optionen (0-9 & A-Z) sind auch gut handhabbar. Sollen mindestens 84 Millionen Bundesbürger erfasst werden, bedarf eine numerische Personenkennziffer in der Bundes­republik zumindest 9 numerischer Zeichen, ein alphanumerisches Personen­kennzeichen zumindest 5 alphanumerischer Zeichen.

Prüfziffern in Personenkennzeichen dienen dazu, Fehler bei der manuellen Eingabe oder Datenübermittlung zu erkennen. Nach einem vereinbarten Algorithmus werden dazu die Ziffern oder Zeichen verrechnet. Das Ergebnis entspricht der Prüfziffer, die dem restlichen Kennzeichen angehängt oder vorangestellt wird und in der Praxis als Teil des Kennzeichens betrachtet wird. Zahlendreher und andere Fehleingaben generieren dagegen eine andere Prüfziffer, so dass Nutzer bei Fehleingaben zeitnah auf ihre Fehler hingewiesen werden können.

Ein allgemeines Personenkennzeichen (aPK) wird innerhalb eines Staates von allen Behörden, von vielen Behörden oder den wesentlichen Behörden verwendet, um Personen eindeutig zu identifizieren. Entscheidend ist dabei nicht die allein Anzahl der Behörden (im Vergleich zur Gesamtzahl aller Behörden), sondern die Breite der abgedeckten Lebensbereiche, in denen die Kennziffer verwendet wird. aPK werden in der Regel zentral vergeben, um sicherzustellen, dass jede Person auch nur ein einziges Mal erfasst und jede Personenkennziffer nur ein einziges Mal vergeben wird. Auf Grund der eigenen historischen Vergangenheit hat sich der Gesetzgeber in der Bundesrepublik Deutschland bisher klar gegen die Einführung eines aPK positioniert. Stattdessen werden mehrere bereichsspezifische Personenkennzeichen in paralleler Anwendung genutzt. Rund um deren Einführung wurde aus Sorge vor dem „gläsernen Bürger“, wie etwa bei der Steuer-ID, auch intensiv debattiert, inwieweit solche Kennzeichen genutzt werden dürfen.

Ein bereichsübergreifendes Personenkennzeichen (2wPK) im eigentlichen Sinne wird inner­halb eines Staates von Behörden nur zweier oder weniger Bereiche verwendet, um Per­sonen eindeutig zu identifizieren. Diese Nutzung einer Kennziffer in mehreren Bereichen mag sinnvoll sein, bedarf jedoch gleichfalls einer gesetzlichen Grundlage. Zum Beispiel kann die im Bereich der Pflegeversicherung existierende Pflegeversichertennummer gemäß § 101 SGB XI ganz oder teilweise mit der Krankenversichertennummer der Krankenkassen über­einstimmen.

Bereichsspezifische Personenkennzeichen (bPK) sind zur Erfüllung öffentlicher Aufgaben in einem bestimmten Bereich der Verwaltung notwendig, um dort die relevanten Personen eindeutig identifizieren zu können. Sie werden als Kennziffern nur innerhalb dieses klar bestimmten Aufgabenbereichs des Staates von einer oder wenigen Behörden vergeben und verwendet. Jeder Bereich pflegt eine andere Systematik zur Generierung der Personen­kennziffern. Für den jeweiligen Bereich können diese zentral oder dezentral (landesweit, regional oder lokal) vergeben werden. Jeder personenbezogene Daten­austausch zwischen Be­hörden bedarf einer gesetzlichen Grundlage und einer detaillierten Regelung. Behörden haben in der Regel keinen Zugriff auf andere bereichspezifische Personenkennziffern und die dahinterliegenden personenbezogenen Daten.

Aus diesem Grunde werden Bürger bisher bei allen Anträgen aufgefordert, auch alle erfor­derlichen Nachweise und Unterlagen mit ihren personenbezogenen Daten mit­ein­zu­reichen. Diese liegen der zuständigen Stelle in der Regel nicht vor. Die Vor­gehens­weise entwickelte sich historisch in einer Welt von räumlich getrennten Amtsstuben. Sie entsprach den Abläufen einer papierbasierten Verwaltung, in der sich Ämter über Akten organisieren und über Vorgänge bis zur Entscheidungsfindung steuern. Die zuneh­mende Digitalisierung ermöglicht seit mehr als 50 Jahren einen automatisierten Daten­austausch zwischen Behörden. Dieser ist aber nur zulässig, wenn er über entsprechende Gesetze vom Gesetzgeber zur Erfüllung bestimmter öffentlicher Aufgaben etabliert worden ist. In Zeiten einer umfassenden Digitalisierung und intelligenten Vernetzung sollen künftig mit „Once-Only“ und „No-Stop-Government“, vielleicht sogar mit „No-Government“, diese aus heutiger, digitaler Sicht suboptimalen Vorgehensweisen zeitnah dauerhaft überwunden werden.

Im Bereich der Gefahrenabwehr haben sich mit dem Gemeinsamen Terrorismusabwehr­zentrum (GTAZ), dem Gemeinsamen Extremismus- und Terrorismusabwehrzentrum (GETZ) und dem Gemeinsamen Internetzentrum (GIZ) mehrere Kooperations- und Kommunikations­plattformen etabliert. Dort treffen sich Verbindungs­beamte verschiedener Sicherheits­behör­den regelmäßig zu Lagebesprechungen, um im Rahmen der eigenen Zuständigkeiten einen besseren Überblick über die Gesamtsituation zu gewinnen und um ihre Informationen zu Gefährdern zu verdichten. Ein allgemeines Personenkennzeichen würde diesen Plattformen die Zusammenarbeit erleichtern. Zugleich wird das Interesse an einer solchen Zusam­men­arbeit auch bei anderen Stellen wachsen.

Die Größe des durch ein Personenkennzeichen zu erfassenden Personenkreises variiert mit Aufgabe und Verwaltungsbereich. Erfasst werden könnten Personengruppen jeder Art, etwa alle Bundesbürger mit deutscher Staatsangehörigkeit, alle Ausländer mit einer ausländischen Staatsangehörigkeit, alle Steuerzahler, alle natürlichen Personen oder alle juristischen Personen. Am Beispiel von Personen mit zwei Staatsangehörigkeiten lässt sich zeigen, dass sich diese Personenkreise durchaus auch überschneiden könnten. Die jeweils zu erfassende Personengruppe wird im dazugehörigen Gesetz vom Gesetzgeber genau definiert.

Große Bestände personenbezogener Daten werden heute in der Regel in Registern und den dahinterliegenden Datenbanksystemen gespeichert. Der Gesetzgeber legt in Gesetzen den Umfang der in den Registern zu speichernden personenbezogenen Daten und die Zugangsbestimmungen fest. Solche Register können sehr klein gehalten werden, so dass nur die unbedingt nötigen Daten gespeichert und verarbeitet werden. Natürlich könnten diese Register auch sehr umfangreich gestaltet werden, wenn etwa eine öffentliche Aufgabe dies erfordert. Aus einer Datenschutzperspektive wird dies aber kritisch gesehen. Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) gebietet, darauf hinzuwirken, dass keine oder möglichst wenig personenbezogene Daten verarbeitet und gespeichert werden. Das datenschutzrechtliche Gebot der Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO) soll zudem sicherstellen, dass Daten nur für den Zweck verarbeitet werden, für den sie erhoben werden.

Vorstellbar ist, in einem separaten, eigenständigen Register jede Personenkennziffer um einen Basisdatensatz zu ergänzen. Ein solches Vorgehen ist besonders bei einer all­ge­meinen Personenkennziffer sinnvoll, da sich mit einem gemeinsam genutzten Basisdatensatz die Datenqualität in den anderen Registern verbessern lässt. Im Rahmen der Register­modernisierung soll die Datenqualität der Register von Bund, Ländern und Kommunen substanziell erhöht und dazu auf die Basisdaten des Bundeszentralamts für Steuern als Stammdaten gesetzt werden. Ziel ist es, automatisiert unzutreffende oder fehlerhafte Einträge zu identifizieren, zu korrigieren und in allen betroffenen Registern zu aktualisieren. Gegebenenfalls wird dazu auch ein persönliches Erscheinen in der kommunalen Melde­behörde erforderlich sein. Alternativ könnte man auf die Anlage von separaten Basisdatensätzen zu dem Personenkennzeichen auch verzichten und wie gehabt auf die Daten­pflege in den jeweiligen Registern verweisen.

IV. Optionen für Identitätsnummernsysteme

Mit der Entscheidung für einen bestimmten Ansatz eines Personenkennzeichens fällt zu­gleich auch die Entscheidung über das damit verbundene Identitätsnummernsystem. Bei dessen Gestaltung gibt es grundsätzlich mehrere Optionen und Alternativen, die es in gebotener Kürze zu reflektieren gilt.

Identitätsnummernsysteme dienen dazu, größere Personengruppe derart zu erfassen, dass Personen mit einem Personenkennzeichen (im RegMoG-E: Identitätsnummer) eindeutig iden­ti­fi­ziert werden können. Aus dem Blickwinkel der Verwaltungsinformatik und der Ver­waltungs­wissenschaft bestehen hier einige Optionen zur Gestaltung von Identitätsnummernsystemen, die sich über einen morphologischen Kasten (Abb.2) sehr verständlich darstellen lassen.

Abbildung 2
Abbildung 2

Grundsätzlich können Identitätsnummernsysteme auf allgemeine Personenkennzeichen (aPK), auf bereichsübergreifenden Personenkennzeichen (2wPK) oder auf bereichs­spezi­fischen Personenkennzeichen (bPK) aufgebaut werden. Das Kennzeichen dient zur ein­deutigen Identifizierung aller erfassten Personen quer über die gesamte öffentliche Ver­waltung (aPK), in wenigen klar angegrenzten Bereichen der Verwaltung (2wPK) oder in einem eindeutig umgrenzten Verwaltungsbereich (bPK). Da Identitätsnummernsysteme zum Um­gang mit personenbezogenen Daten verwendet werden, bedürfen sie in der Bundes­republik Deutschland stets einer gesetzlichen Grundlage.

Die Personenkennzeichen in einem Identitätsnummernsystem können zentral oder dezentral vergeben werden. Dies hängt davon ab, ob es eine einzige Vergabestelle oder mehrere Vergabestellen, etwa bei Ländern, Bezirken, Landkreisen, Städten oder Gemeinden, geben soll. Durch technische Maßnahmen ist sicherzustellen, dass jede Identitätsnummer nur ein einziges Mal an eine Person eindeutig vergeben werden darf.

Zur inhaltlichen Gestaltung des zentralen Personenkennzeichens eignen sich verschiedene Ansätze. Diese bedienen sich entweder einer Systematik oder einfach des Zufalls. Dazu kann auf bestehenden Systematiken, wie etwa der Steuer-ID oder anderen etablierten Personenkennzeichen, aufgesetzt werden, solange dies nicht gegen geltendes Recht verstößt. Es könnten auch vollkommen neue Identitätsnummern (NEU-ID) vergeben werden, systematisch oder durch Zufallszahlen generiert. Im letzten Fall muss unbedingt sichergestellt werden, dass bei allen Zufällen keine Zahl doppelt vergeben wird. Der gewählte Ansatz sollte zur Fehlervermeidung über eine integrierte Prüfziffer verfügen. Schließlich kann auf eine zentrale Identitätsnummer zur Identifizierung auch verzichtet werden.

Zur Identifizierung von Personen in den Registern kann auf die vorhandene Steuer-ID oder die bisherige Register-ID gesetzt werden. Zudem lassen sich mit einer Hashfunktion auf Basis einer Stammzahl neuartige bereichsspezifische Personenkennzahlen generieren (vgl. dazu Abschnitt D.III). Die Alternative eine Zufallszahl besteht auch hier.

Je nach Aufgabe und Aufgabenbereich wird die zu erfassende Personengruppe unter­schied­lich sein: Staatsbürger, Ausländer, Steuerzahler, natürliche Personen oder juristische Per­sonen kommen in erster Linie in Betracht. Dies muss im Gesetz genau geregelt sein.

Zu jedem Eintrag im Identifizierungsnummernsystem können Basisdaten vorgehalten werden, etwa im Bundeszentralamt für Steuern. Dies ist denkbar, wenn mit ihrer Hilfe die Daten­qualität in den angeschlossenen Registern verbessert, eine Registerbereinigung anvisiert oder eine Registerzentralisierung verfolgt werden soll. Ein solches Basisdatenregister könnte auch nur zeitlich begrenzt für die Dauer der Datenqualitätssicherung eingerichtet werden. Aus Gründen des Datenschutzes und der Datenminimierung könnte andererseits auch auf ein Basisdatenregister verzichtet werden.

Wird auf ein aPK verzichtet, so kann mit einer pseudonymisierten und ausschließlich von einem Intermediär nutzbaren ID-Datenbank eine vergleichbare Lösung auf Basis bereichs­spezifischer Personenkennzeichen realisiert werden. Sie müsste aber besonders vor An­griffen geschützt werden.

Soll eine Registermodernisierung vorgenommen werden, bedarf es einer Register­moderni­sierungs­behörde. Andernfalls kann auf diese verzichtet werden.

Für Zugriffe von Behörden auf Register und Basisdaten kann für die Rolle eines vertrauens­würdigen Intermediärs sowohl auf die Registermodernisierungsbehörde (beim Bundes­verwaltungsamt, BVA) als auch auf die Datenschutzaufsichtsbehörde gesetzt werden.

Berechtigte Anfragen könnten ohne Vermittlungsstelle direkt an die jeweiligen Behörden, über eine zentrale Vermittlungsstelle, einen Verbund an 1+16 Vermittlungsstellen oder einen Verbund bestehender Vermittlungsstellen kommen.

Berechtigte Anfragen auf die Basisdaten beim Bundeszentralamt für Steuern müssen stets mit einem Personenkennzeichen und einem Identifier für die anfragende Stelle verbunden sein. Vor einer Rückantwort sollte die Berechtigung zur Abfrage überprüft werden. In einem ge­schlossenen, vertrauenswürdigen System könnte ggf. darauf verzichtet werden. In einem offenen System kann auf bewährte softwarebasierte (Passwörter, Zertifikate) und hardware­basierte Schutzmechanismen (PKI-basierte Smartcard) gesetzt werden, was aus Gründen der Beschleunigung und des Bürokratieabbaus sinnvoll erscheint. Im Hintergrund könnten zudem Überwachungssysteme laufen, die automatisch alle Anfragen der Behörden dahingehend überprüfen, ob sie zulässig sind. Allerdings darf nicht vergessen werden, dass es sich um Abfragen personenbezogener Daten handelt. Daher könnten theoretisch auch qualifizierte Sachbearbeiter die Prüfaufgabe übernehmen. Jedoch würde dies zu einer „Engstelle“ in den Abläufen führen und den gesamten Vorgang stark verlangsamen.

Vorstellbar wäre auch eine Einbindung der Bürger in all diese Freigabeprozesse. Vielleicht würde dies viele Bürger überfordern, bei einer Vielzahl von Abfragen im Rahmen der Qualitätssicherung und Registerkonsolidierung sogar verunsichern und den Freigabeprozess auch richtig lähmen. Andererseits kann es aber Fälle geben, in denen ein Zugriff ohne den Bürger nicht gewährt werden darf, weil der Grundrechtseingriff zu groß wäre, der Bürger dann aber doch und nur ausnahmsweise einer Behörde den Zugriff etwa auf seine Krankenversicherungsdaten erlaubt. Insofern kann eine anlassbezogene Freigabe von Daten durch den Bürger in einigen Fällen eine zweite Option sein. Aus Gründen des Büro­kratieabbaus wird die Verwaltung darauf setzen, Daten ohne Freigabe durch den betroffenen Bürger zu erhalten. Aus Gründen des Datenschutzes sollte der Zugriff stets protokolliert werden und für den Bürger über das Datencockpit nachverfolgbar sein.

Das volle Gutachten finden Sie hier:

Bei Medienanfragen kontaktieren Sie bitte

Johann Ahlers
Johann Ahlers
Leitung Presse und Digitale Kommunikation
Telefon: +49 30 - 288 778 - 561