Am 28.01.2021 ver­ab­schie­de­te die Bun­des­re­gie­rung das soge­nann­te Regis­ter­mo­der­ni­sie­rungs­ge­setz. Ziel die­ses Geset­zes soll die umfas­sen­de Beschleu­ni­gung der Digi­ta­li­sie­rung in deut­schen Behör­den und eine ein­her­ge­hen­de Erleich­te­rung der Bevöl­ke­rung sein. So ist jeden­falls die Prä­mis­se. Das ist zwar zunächst zu begrü­ßen, der fol­gen­de Arti­kel soll jedoch die Pro­ble­me die­ser Neue­rung erläutern.

Eine all­um­fas­sen­de Daten­si­cher­heit scheint gemes­sen an dem erheb­li­chen Miss­brauchs­po­ten­ti­al und rück­stän­di­gen Daten­ver­ar­bei­tungs­sys­te­men deut­scher Behör­den unmög­lich zu sein.” – Nils Stark

Moder­ni­sie­rung durch Zentralisierung?

Um die Digi­ta­li­sie­rung der deut­schen Behör­den zu beschleu­ni­gen, sol­len diver­se dezen­tra­le Regis­ter bei einer zen­tra­len Regis­ter­mo­der­ni­sie­rungs­be­hör­de zumin­dest gedank­lich zusam­men­ge­fasst wer­den. Die Behör­de bear­bei­tet Anfra­gen von ver­schie­de­nen Stel­len, fragt die ent­spre­chen­den Regis­ter­in­for­ma­tio­nen bei den ein­zel­nen Regis­ter­stel­len ab und gibt sie an die abru­fen­de Stel­le wei­ter. Dabei nimmt gem. § 3 I S. 2 IDNrG das Bun­des­ver­wal­tungs­amt die Auf­ga­ben der Regis­ter­mo­der­ni­sie­rungs­be­hör­de wahr.

Die daten­schutz­recht­li­che Krux an der Sache ist, dass § 1 i.V.m. der Anla­ge des Geset­zes zur Ein­füh­rung und Ver­wen­dung einer Iden­ti­fi­ka­ti­ons­num­mer in der öffent­li­chen Ver­wal­tung (im Fol­gen­den IDNrG) die steu­er­li­che Iden­ti­fi­ka­ti­ons­num­mer als zen­tra­les per­so­nen­be­zo­ge­nes Datum zur Abfra­ge im zu schaf­fen­den „all­um­fas­sen­den Super­zen­tral­re­gis­ter“ vor­sieht. Ins­ge­samt 51 Regis­ter sol­len über die Steu­er­iden­ti­fi­ka­ti­ons­num­mer abge­fragt wer­den können.

Gesetz­ge­be­ri­sche Begrün­dung zur Daten­si­cher­heit und ‑schutz

Zwei­feln an der Daten­si­cher­heit durch die zen­tra­len Abfrage- und Über­prü­fungs­mög­lich­kei­ten, ins­be­son­de­re die Ver­mei­dung eines miss­bräuch­li­chen Zugriffs, ent­geg­net der Gesetz­ge­ber wie folgt:

Gem. § 8 IDNrG prü­fe die Regis­ter­mo­der­ni­sie­rungs­be­hör­de anhand eines siche­ren Authen­ti­fi­zie­rungs­ver­fah­rens bei jedem Ver­bin­dungs­auf­bau zur Abru­fung eines Regis­ter­ein­trags die Iden­ti­tät der abru­fen­den Stel­le. Ohne ein­deu­ti­gen Iden­ti­täts­nach­weis sol­len kei­ne per­so­nen­be­zo­ge­nen Daten über­mit­telt werden.

Aus daten­schutz­recht­li­cher Sicht rege­le § 9 IDNrG die Pro­to­kol­lie­rung der Daten­über­mitt­lung unter Nut­zung der Iden­ti­fi­ka­ti­ons­num­mer und die­ne daher maß­geb­lich der daten­schutz­recht­li­chen Kon­trol­le der Zuläs­sig­keit eines Daten­ab­ru­fes oder des­sen Ver­such im Nach­hin­ein, sowie der Erfül­lung der Rechen­schafts­pflicht nach Arti­kel 5 II DSGVO.

Zur Ver­wirk­li­chung des daten­schutz­recht­li­chen Grund­sat­zes der Inte­gri­tät und Ver­trau­lich­keit nach Arti­kel 5 I f) DSGVO, wel­cher sich auch auf Maß­nah­men der IT-Sicherheit und die tech­ni­sche Über­prü­fung der Recht­mä­ßig­keit einer Daten­ver­ar­bei­tung bezie­he, sol­le eine umfas­sen­de Pro­to­kol­lie­rung mit Ana­ly­se­funk­ti­on erfol­gen. Dies die­ne Daten­schutz­kon­trol­len sowie der Steue­rung der Zugrif­fe auf die Ver­wal­tungs­re­gis­ter durch ein siche­res Zugriffs­ma­nage­ment, das Daten vor dem Zugriff ohne ent­spre­chen­de Berech­ti­gung schütze

Miss­brauchs­mög­lich­keit trotz guter Datenschutzabsichten

Die Zusam­men­füh­rung diver­ser Regis­ter an einer zen­tra­len Stel­le sowie die Abfra­ge unter einer Iden­ti­fi­ka­ti­ons­num­mer birgt in ers­ter Linie ein erheb­li­ches Miss­brauchs­po­ten­ti­al. Ein­falls­to­re gibt es nicht nur auf Sei­ten des Bun­des­ver­wal­tungs­amts, son­dern auch bei jeder abru­fen­den Behör­de. Eine all­um­fas­sen­de Daten­si­cher­heit scheint gemes­sen an dem erheb­li­chen Miss­brauchs­po­ten­ti­al und rück­stän­di­gen Daten­ver­ar­bei­tungs­sys­te­men deut­scher Behör­den unmög­lich zu sein.

So könn­te man sich mit einer ein­zi­gen Steu­er­iden­ti­fi­ka­ti­ons­num­mer bei­na­he ein voll­stän­di­ges Bild der Lebens­um­stän­de eines SteuerID-Inhabers ver­schaf­fen oder zumin­dest einen erheb­li­chen, abs­tra­hier­ten Teil­aus­schnitt dar­stel­len. Ins­be­son­de­re, da im „Super­zen­tral­re­gis­ter“ auch sen­si­ble Regis­ter­da­ten wie bspw. Ver­si­che­rungs­kon­ten der Ren­ten­ver­si­che­rungs­trä­ger, das Bun­des­zen­tral­re­gis­ter oder auch das Waf­fen­re­gis­ter abge­fragt und das Ergeb­nis somit einer betrof­fe­nen Per­son zuge­ord­net wer­den können.

Dass das nicht aus­ge­schlos­sen ist, zeigt der Fall Equi­fax aus dem Jahr 2017. In Abwe­sen­heit eines zen­tra­len Mel­de­we­sens iden­ti­fi­zie­ren sich vie­le US-Amerikaner über ihre Sozi­al­ver­si­che­rungs­num­mer. Nach einem Angriff sei­en wohl mehr als 140 Mil­lio­nen die­ser Sozi­al­ver­si­che­rungs­num­mern gestoh­len wor­den. Dabei sind wohl Namen, Geburts­ta­ge und Adres­sen, sowie Kre­dit­kar­ten­num­mern abhan­den­ge­kom­men, die mit einer Sozi­al­ver­si­che­rungs­num­mer ver­knüpft waren.

Im zwei­ten Teil wer­den die mög­li­chen daten­schutz­recht­li­chen und sons­ti­gen juris­ti­schen Pro­ble­me des Regis­ter­mo­der­ni­sie­rungs­ge­set­zes näher erörtert.

Was Sie noch interessieren könnte:

Autorin des Artikels:

Nils Stark

Rechtsanwalt