Am 28.01.2021 verabschiedete die Bundesregierung das sogenannte Registermodernisierungsgesetz. Ziel dieses Gesetzes soll die umfassende Beschleunigung der Digitalisierung in deutschen Behörden und eine einhergehende Erleichterung der Bevölkerung sein. So ist jedenfalls die Prämisse. Das ist zwar zunächst zu begrüßen, der folgende Artikel soll jedoch die Probleme dieser Neuerung erläutern.
“Eine allumfassende Datensicherheit scheint gemessen an dem erheblichen Missbrauchspotential und rückständigen Datenverarbeitungssystemen deutscher Behörden unmöglich zu sein.” – Nils Stark
Modernisierung durch Zentralisierung?
Um die Digitalisierung der deutschen Behörden zu beschleunigen, sollen diverse dezentrale Register bei einer zentralen Registermodernisierungsbehörde zumindest gedanklich zusammengefasst werden. Die Behörde bearbeitet Anfragen von verschiedenen Stellen, fragt die entsprechenden Registerinformationen bei den einzelnen Registerstellen ab und gibt sie an die abrufende Stelle weiter. Dabei nimmt gem. § 3 I S. 2 IDNrG das Bundesverwaltungsamt die Aufgaben der Registermodernisierungsbehörde wahr.
Die datenschutzrechtliche Krux an der Sache ist, dass § 1 i.V.m. der Anlage des Gesetzes zur Einführung und Verwendung einer Identifikationsnummer in der öffentlichen Verwaltung (im Folgenden IDNrG) die steuerliche Identifikationsnummer als zentrales personenbezogenes Datum zur Abfrage im zu schaffenden „allumfassenden Superzentralregister“ vorsieht. Insgesamt 51 Register sollen über die Steueridentifikationsnummer abgefragt werden können.
Gesetzgeberische Begründung zur Datensicherheit und ‑schutz
Zweifeln an der Datensicherheit durch die zentralen Abfrage- und Überprüfungsmöglichkeiten, insbesondere die Vermeidung eines missbräuchlichen Zugriffs, entgegnet der Gesetzgeber wie folgt:
Gem. § 8 IDNrG prüfe die Registermodernisierungsbehörde anhand eines sicheren Authentifizierungsverfahrens bei jedem Verbindungsaufbau zur Abrufung eines Registereintrags die Identität der abrufenden Stelle. Ohne eindeutigen Identitätsnachweis sollen keine personenbezogenen Daten übermittelt werden.
Aus datenschutzrechtlicher Sicht regele § 9 IDNrG die Protokollierung der Datenübermittlung unter Nutzung der Identifikationsnummer und diene daher maßgeblich der datenschutzrechtlichen Kontrolle der Zulässigkeit eines Datenabrufes oder dessen Versuch im Nachhinein, sowie der Erfüllung der Rechenschaftspflicht nach Artikel 5 II DSGVO.
Zur Verwirklichung des datenschutzrechtlichen Grundsatzes der Integrität und Vertraulichkeit nach Artikel 5 I f) DSGVO, welcher sich auch auf Maßnahmen der IT-Sicherheit und die technische Überprüfung der Rechtmäßigkeit einer Datenverarbeitung beziehe, solle eine umfassende Protokollierung mit Analysefunktion erfolgen. Dies diene Datenschutzkontrollen sowie der Steuerung der Zugriffe auf die Verwaltungsregister durch ein sicheres Zugriffsmanagement, das Daten vor dem Zugriff ohne entsprechende Berechtigung schütze
Missbrauchsmöglichkeit trotz guter Datenschutzabsichten
Die Zusammenführung diverser Register an einer zentralen Stelle sowie die Abfrage unter einer Identifikationsnummer birgt in erster Linie ein erhebliches Missbrauchspotential. Einfallstore gibt es nicht nur auf Seiten des Bundesverwaltungsamts, sondern auch bei jeder abrufenden Behörde. Eine allumfassende Datensicherheit scheint gemessen an dem erheblichen Missbrauchspotential und rückständigen Datenverarbeitungssystemen deutscher Behörden unmöglich zu sein.
So könnte man sich mit einer einzigen Steueridentifikationsnummer beinahe ein vollständiges Bild der Lebensumstände eines SteuerID-Inhabers verschaffen oder zumindest einen erheblichen, abstrahierten Teilausschnitt darstellen. Insbesondere, da im „Superzentralregister“ auch sensible Registerdaten wie bspw. Versicherungskonten der Rentenversicherungsträger, das Bundeszentralregister oder auch das Waffenregister abgefragt und das Ergebnis somit einer betroffenen Person zugeordnet werden können.
Dass das nicht ausgeschlossen ist, zeigt der Fall Equifax aus dem Jahr 2017. In Abwesenheit eines zentralen Meldewesens identifizieren sich viele US-Amerikaner über ihre Sozialversicherungsnummer. Nach einem Angriff seien wohl mehr als 140 Millionen dieser Sozialversicherungsnummern gestohlen worden. Dabei sind wohl Namen, Geburtstage und Adressen, sowie Kreditkartennummern abhandengekommen, die mit einer Sozialversicherungsnummer verknüpft waren.
Im zweiten Teil werden die möglichen datenschutzrechtlichen und sonstigen juristischen Probleme des Registermodernisierungsgesetzes näher erörtert.
Was Sie noch interessieren könnte:
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]