LfDI RLP warnt: Registermodernisierungsgesetz gefährdet Informationelle Selbstbestimmung

Prof. Dieter Kugelmann (LfDI RLP) fordert: „Es darf nicht zu Persönlichkeitsprofilen kommen!“

[datensicherheit.de, 01.03.2021] Laut einer aktuellen Meldung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) warnt die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) „eindringlich vor der Verabschiedung des Registermodernisierungsgesetzes in der derzeitigen Fassung“. Dieses Gesetz sehe den Einsatz der Steuer-Identifikationsnummer (Steuer-ID) als zentrales Ordnungsmerkmal in der öffentlichen Verwaltung vor, um den Datenaustausch zwischen Behörden zu erleichtern. Nachdem schon der Bundestag Ende Januar 2021 das Gesetz angenommen habe, sei nun die abschließende Beratung im Bundesrat vorgesehen.

Erstellung umfassender Persönlichkeitsprofile: LfDI moniert Möglichkeiten des Missbrauchs

Die Datenschutzkonferenz habe bereits 2019 und 2020 erhebliche verfassungsrechtliche Bedenken geäußert. Durch die Schaffung eines solchen einheitlichen und verwaltungsübergreifenden Personenkennzeichens – auch in Verbindung mit einer entsprechenden Infrastruktur zum Datenaustausch – bestehe die „Gefahr einer missbräuchlichen Verknüpfung personenbezogener Daten und der Erstellung umfassender Persönlichkeitsprofile“.
Prof. Dieter Kugelmann, der LfDI, führt aus: „Wenn das Gesetz in der vorliegenden Form umgesetzt wird, könnten sich staatliche Stellen ein äußerst aufschlussreiches Persönlichkeitsprofil ihrer Bürgerinnen und Bürger schaffen. Dies eröffnet Möglichkeiten des Missbrauchs, etwa durch einzelne, externe Personen oder aufgrund von Hacker-Angriffen. In Zeiten der Pandemie und der rasch voranschreitenden Digitalisierung muss es aber darum gehen, Vertrauen zu schaffen und nicht Ängste zu schüren. Das zentrale Ziel muss sein, dass die Verwaltung schnell, effektiv und datenschutzgerecht funktioniert. Die Alternative sind bereichsspezifische Lösungen.“

Im Gesetzentwurf vorgesehenen technischen und organisatorischen Sicherungen genügen laut LfDI nicht

Das Bundesverfassungsgericht habe der Einführung von Personenkennzeichen enge Schranken auferlegt, welche in dem vorliegenden Gesetzentwurf missachtet würden. Der Blick auf den Anwendungsumfang der geplanten Regelung zeige das Potenzial der möglichen missbräuchlichen Verwendung. In über 50 Registern solle die Steuer-ID als zusätzliches Ordnungsmerkmal aufgenommen werden. Auf diese Weise könnten beispielsweise Daten aus dem Melderegister mit Daten aus dem Versichertenverzeichnis der Krankenkassen sowie dem Register für ergänzende Hilfe zum Lebensunterhalt abgeglichen und zu einem Persönlichkeitsprofil zusammengefasst werden.
Die im Gesetzentwurf vorgesehenen technischen und organisatorischen Sicherungen genügten nicht, um eine solche Profilbildung wirksam zu verhindern. Diese stellten zwar sicher, dass nur autorisierte Behörden die erforderlichen Daten Ende-zu-Ende-verschlüsselt übermittelten, allerdings böten sie keinen ausreichenden Schutz vor einer missbräuchlichen Zusammenführung der Daten zu einer Person aus unterschiedlichen Registern. Zudem verzichte das Gesetz für einen nicht unerheblichen Teil der Übermittlungen auch noch auf diese Sicherungen. Darüber hinaus sollten sich die Sicherheits- und Transparenzmaßnahmen des Gesetzesentwurfs auch auf den Steuerbereich erstrecken, in dem fortan ebenfalls das neue allgemeine Personenkennzeichen verwendet werde.

LfDI kritisiert ausgedehnte Verwendung der Steuer-ID als einheitliches Personenkennzeichen

Die ausgedehnte Verwendung der Steuer-ID als einheitliches Personenkennzeichen stehe zudem im Widerspruch zu ihrer ursprünglichen Funktion für rein steuerliche Sachverhalte: „Nur aufgrund dieser Zweckbestimmung konnte sie bislang als verfassungskonform angesehen werden.
Die Datenschutzkonferenz habe demgegenüber „sektorspezifische“ Personenkennziffern gefordert, die datenschutzgerecht und zugleich praxisgeeignet seien, weil sie einerseits einen einseitigen staatlichen Abgleich deutlich erschwerten und andererseits eine natürliche Person eindeutig identifizierten. Dieses Modell werde in Österreich seit vielen Jahren erfolgreich praktiziert und könnte auch in Deutschland mit vertretbarem Aufwand eingeführt werden, wie dies von mehreren Sachverständigen im Anhörungsverfahren des Bundestages am 14. Dezember 2020 dargelegt worden sei.

LfDI: Recht auf Informationelle Selbstbestimmung muss verlässlich gewährleistet sein

Gerade in Zeiten einer weitreichenden Digitalisierung staatlicher Verarbeitungsprozesse komme es darauf an, diese auf Strukturen aufzusetzen, die sicherstellten, dass auch bei gegebenenfalls veränderten Rahmenbedingungen das Recht auf Informationelle Selbstbestimmung verlässlich gewährleistet werde.
Die Datenschutzkonferenz appelliert nach eigenen Angaben „erneut an den Gesetzgeber, auf die geplante Neukonzeption der Steuer-ID als registerübergreifendes Personenkennzeichen zu verzichten“.

Weitere Informationen zum Thema:

DSK DATENSCHUTZKONFERENZ, 26.08.2020
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder / Registermodernisierung verfassungskonform umsetzen!

DSK DATENSCHUTZKONFERENZ, 12.09.2019
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder / Digitalisierung der Verwaltungdatenschutzkonform und bürgerfreundlich gestalten!