Kommentar zur eID-Strategie der Bundesregierung, Teil 2

eAkten als Alternative zur Online-Durchsuchung?

18.12.14 | Autor / Redakteur: Joachim Jakobs / Stephan Augsten

De-Mail soll ein zentraler Treiber in der eID-Strategie der Bundesregierung werden. (Bild: Berliner Senat)

Bislang konnte der neue Personalausweis die Erwartungen seiner Mütter und Väter nicht erfüllen. Weder die De-Mail noch elektronische Behördengänge oder Bezahlvorgänge werden auf absehbare Zeit etwas daran ändern. Doch die Bundesregierung hält unbeirrt am Zeitplan ihrer eID-Strategie fest.

Der Vorsitzende des Verbands der Deutschen Internetwirtschaft eco, Michael Rotert, ist der Meinung: „[...] bei Privatnutzern wird sich die De-Mail wegen der fehlenden Ende-zu-Ende-Verschlüsselung nicht durchsetzen". Damit will sich Thomas de Maizière aber nicht abfinden, er macht dem Dienst Dampf: Beim IT-Gipfel im Oktober 2014 kündigte der Innenminister an, dass bis Ende 2015 über 200 Bundesbehörden über De-Mail kommunizieren sollten.

Das ist nur konsequent – schließlich schreibt die Bundesregierung in ihrem Programm „Digitale Verwaltung 2020“: „Es soll zukünftig Standard werden, dass die Öffentliche Verwaltung für die Bürgerinnen und Bürger auch elektronisch erreichbar ist.“ Das zu Grunde liegende eGovernment-Gesetz gilt dabei unter anderem für

die „Behörden des Bundes einschließlich der bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts“
„die öffentlich-rechtliche Verwaltungstätigkeit der Behörden der Länder, der Gemeinden und Gemeindeverbände und der sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts“.

Im November 2014 hat de Maizière den Entwurf seines IT-Sicherheitsgesetzes aktualisiert. Die aktualisierte Fassung will den Internet-Diensteanbietern jetzt erlauben, Nutzerdaten zur Beseitigung von „Störungen“ ihres Angebots zu sammeln.

Ergänzendes zum Thema

„Völlige Überwachung“ durch das IT-Sicherheitsgesetz?

Im aktualisierten Entwurf des IT-Sicherheitsgesetzes ist eine Änderung von § 15 Telemediengesetz (TMG) vorgesehen, mit der sich Betreiber von Webservern vor Schadprogrammen schützen können sollen. Künftig soll es heißen: „Soweit erforderlich, darf der Diensteanbieter Nutzungsdaten zum [Erkennen,] Eingrenzen und Beseitigen von Störungen sowie von Missbrauch seiner für Zwecke seines Telemedienangebotes genutzten technischen Einrichtungen erheben und verwenden.“

In einem Begleitbrief des Innenministeriums (!) an diverse Behörden in Bund und Ländern, den netzpolitik.org veröffentlicht hat, wird darauf hingewiesen, „…dass dieser Gesetzentwurf innerhalb der Bundesregierung noch nicht abgestimmt ist. Dies betrifft insbesondere auch die Frage, ob und in welchem Umfang und für welche Dauer eine Erhebung und Verwendung von Nutzungsdaten durch die Anbieter von Telemedien zur Abwehr von Angriffen auf die zugrunde liegenden IT-Systeme erforderlich ist (Problem einer neuen Form von Vorratsdatenspeicherung? – § 15 Absatz 9 des Telemediengesetzes neu).“

Kurz danach wurde bekannt, dass der BND in den Handel mit Software-Schwachstellen einsteigen will. Hartmut Pohl, Informatik-Professor und Sprecher des Arbeitskreises „Datenschutz und IT-Sicherheit“ der Gesellschaft für Informatik ist der Ansicht: „Die Regierung hat das Ziel der völligen Überwachung“. Völlig abwegig ist Pohls Ansicht dabei nicht: Unser Schwester-Portal Security-Insider hatte bereits im Frühjahr auf ein Dokument europäischer Innen- und Justizminister hingewiesen, das 2007 auf Initiative des damaligen Innenministers Wolfgang Schäuble entstanden sein soll.

In dem Text heißt es: „Die Bürger hinterlassen bereits viele digitale Spuren mit ihren Bewegungen. Eins jedoch ist klar: Die Anzahl dieser Spuren (und die detaillierten Informationen, die sie enthalten) wird sich höchstwahrscheinlich innerhalb der nächsten zehn Jahre um ein Zigfaches steigern. Von jedem Objekt, das eine Person benutzt, jede Transaktion, die sie unternimmt, und nahezu überall, wo sie hingeht, wird es digitale Aufzeichnungen geben. Das bedeutet für die Sicherheitsorgane reichlich Information und liefert riesige Möglichkeiten für effektive und produktive Sicherheitsanstrengungen.“

Zur Erinnerung: Das Bundesverfassungsgericht hat die Onlinedurchsuchung unter Hinweis auf die Menschenwürde für verfassungswidrig und nichtig erklärt. Jetzt gibt es Hinweise darauf, dass die Bundesregierung (ähnlich wie Facebook) versucht, die Bürger zur freiwilligen Herausgabe ihrer personenbezogenen Daten zu bewegen. Die Wahrscheinlichkeit, dass diese Daten von Sicherheitsbehörden und Geheimdiensten wie dem Bundesnachrichtendienst (BND) ausgewertet werden, ist groß.

So scheinen die Schlapphüte der Auffassung zu sein, dass ein Deutscher Spionagesatellit nicht deutschem Recht unterliegt, nur weil er sich im Weltraum befindet. Metadaten sollen nach Ansicht des Dienstes nur dann personenbezogen sein, wenn man sofort erkennen könne, um wen es sich handele, wenn man also „einen Personenbezug herstellen kann“. Ohne diesen seien es „Sachdaten“. Hinzu kommt: Die Verarbeitung der Massendaten durch die Behörden soll nicht unter das IT-Sicherheitsgesetz fallen – eine Lizenz zur Zweitklassigkeit, wie eGovernment Computing berichtete.

Prof. Dr. Johannes Caspar (Bild: HmbBfDI / Thomas Krenz)

Der Hamburger Datenschutzbeauftragte und Jura-Professor der Universität Hamburg Johannes Caspar ist der Ansicht: „Das Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Dienste ist zunächst einmal ein Abwehrrecht gegenüber staatlichen Eingriffen. Darüber hinaus resultiert gerade mit Blick auf die staatlich vorgehaltenen Bürgerdaten nicht zuletzt auch aus diesem Grundrecht, aber auch aus der informationellen Selbstbestimmung eine Schutzpflicht, aus der sich eine Verpflichtung ergibt, die technisch-organisatorischen Maßnahmen zur Optimierung der Sicherheit der eigenen informationstechnischen Systeme zu treffen. Eine „Lizenz zur Zweitklassigkeit“ ist damit nicht vereinbar. Der Aufbau einer datensicheren Infrastruktur ist dem Staat als Datensammler nicht minder vorgegeben als den vom IT-Sicherheitsgesetz künftig betroffenen Unternehmen.“

Klar ist jedenfalls der Zeitplan, dem die Behörden bei der Digitalisierung ihrer Prozesse unterliegen: Seit der Verkündung des eGovernment-Gesetzes im Sommer vergangenen Jahres müssen die Akten der Bundesbehörden digitalisiert vorliegen. Ab 1. Januar 2015 muss die Verwaltung in der Lage sein, sich gegenüber den Bürgern auszuweisen, wenn sie Dienstleistungen anbieten. Ab 2020 müssen Akten elektronisch geführt werden.