De-Mail, neuer Personalausweis, eSignatur eGovernment-Gesetz-Anhörung: Das sind die Hauptstreitpunkte

Redakteur: Gerald Viola

Es war die 100. Sitzung des Bundestags-Innenausschusses, in der über den „Entwurf eines Gesetzes zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften“ die Meinungen der Sachverständigen eingeholt wurde. Und die gingen – wie erwartet – weit auseinander.

Anbieter zum Thema

eGovernment-Gesetz: Debatte um den richtigen Weg
eGovernment-Gesetz: Debatte um den richtigen Weg
(Foto: N-Media - Fotolia.com)

Die SPD hatte die Anhörung kurzfristig durchgesetzt. Stellungnahmen zum eGovernment-Gesetz (eGovG) gab es vom Deutschen Industrie- und Handelskammertag und von den Sachverständigen

  • Reinhard Dankert, Landesbeauftragter für den Datenschutz Mecklenburg-Vorpommern, Schwerin;
  • Dr. Helmut Fogt, Deutscher Städtetag, Berlin;
  • Prof. Dr. Ralf Müller-Terpitz, Universität Passau;
  • Linus Neumann, Chaos Computer Club;
  • Dr. Bernhard Rohleder, BITKOM, Berlin; und
  • Dirk Stocksmeier, ]init[ AG, Berlin.

Der Deutsche Industrie- und Handelskammertag

... betont die dringende Notwendigkeit von Regelungen für ein durchgängig elektronisches Verwaltungshandeln in Deutschland: „Im 21. Jahrhundert kann es nicht sein, dass Anträge auf Verwaltungshandeln immer noch per Post versandt oder gar persönlich bei der Verwaltung eingereicht werden müssen, weil es keinen umfassenden Ersatz für die Schriftform gibt.“

Zu den einzelnen Punkten gab es eine schriftliche Stellungnahme:

Obligatorische elektronische Kommunikation: Die momentane Rechtslage sehe bereits eine freiwillige elektronische Kommunikation vor. Die Erfahrung zeige aber, dass damit kein medienbruchfreies, flächendeckendes eGovernment erzielt wird. Hybridlösungen kosten jedoch Zeit und Geld. Notwendig sei daher eine Verpflichtung zur Einrichtung rechtssicherer elektronischer Kommunikationswege zwischen Verwaltung, Wirtschaft und Bürgern.

Kosten für den elektronischen Zugang: Die rechtssichere Kommunikation in Form von qualifizierter elektronischer Signatur, De-Mail oder Nutzung der elektronischen Identitätsfunktion des neuen Personalausweises bedeute zwar Kostenaufwand, der sich aber in einem überschaubaren Rahmen halten dürfte.

Ersetzen der qualifizierten elektronischen Signatur durch De-Mail und neuen Personalausweis: Die mangelnde Technikneutralität ist ein schwerwiegendes Argument gegen eine Festlegung auf De-Mail und neuer Personalausweis. Damit wird ein Technikstand festgeschrieben, von dem stark anzunehmen ist, dass in wenigen Jahren neue elektronische Identifikationsformen am Markt vorhanden sind. Dennoch ist es notwendig, nun zunächst die verfügbaren Möglichkeiten verbindlich zu regeln, um eine einheitliche Sicherheitsgrundlage zu schaffen.

Reduzierung der Schriftformerfordernisse: Neben dem Ersetzen der Schriftform durch neue elektronische Möglichkeiten müsse überprüft werden, wo das Schriftformerfordernis überhaupt notwendig ist.

Die zehn Punkte des Datenschützers

Reinhard Dankert, Landesbeauftragter für Datenschutz und Informationsfreiheit in Mecklenburg-Vorpommern, meldete sich mit zehn Punkten zu Wort:

Fehlendes Angebot der Ende-zu-Ende-Verschlüsselung bei De-Mail: Das EGovG solle ausdrücklich Verfahren der Steuerverwaltung und der Sozialversicherung unterstützen. Insbesondere in diesen Bereichen seien Nachrichten mit hohem und sehr hohem Schutzbedarf in der Vertraulichkeit nicht selten. In diesen Anwendungsfällen sei der Einsatz von Ende-zu-Ende-Verschlüsselungsverfahren angezeigt, weil sie die Kenntnisnahme von Nachrichteninhalten bei den De-Mail-Providern technisch ausschließe.

: Pseudonyme De-Mail-Adressen zulassen: Auch eine Pseudonym-Adresse sei einem Nutzer eindeutig zuzuordnen, weil der De-Mail-Diensteanbieter diese nicht doppelt vergebe.

Qualifizierte Signatur für Zwecke der Bestätigung nach Art. 2 fragwürdig: Die in Art. 2 vorgesehene Verwendung einer qualifizierten elektronischen Signatur (QES) sei abzulehnen. Wenn der Anbieter eine De-Mail mit einer QES versieht, werde daraus bestenfalls eine Willenserklärung seinerseits - die aber inhaltlich weder zutreffe noch weiterhelfe - und erst recht keine Willenserklärung des Absenders.

Zugangseröffnung missverständlich: Der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) kritisiere, dass die Veröffentlichung von Daten im Öffentlichen Verzeichnisdienst (ÖVD) mit einem besonderen Zusatz dazu führen soll, dass der Bürger damit anders als bislang würde der Bürger mit diesem Zusatz den Zugang pauschal für sämtliche Behörden eröffnen.

Verpflichtung zur Georeferenzierung einschränken:

Die Verpflichtung zur Georeferenzierung in Registern mit Grundstücksbezug solle nicht für die Register im Personenstands-, Melde-, Pass- und Personalausweiswesen gelten.

Formen der Einsichtnahme nach Wahl der Behörde: Der Gesetzentwurfs ermögliche eine Akteneinsicht auf unterschiedlicher Art. Obwohl die Regelung kein eigenes Akteneinsichtsrecht schaffe, reglementiere es deren Art und Weise jedoch so stark, dass die Form der Akteneinsicht durch die Behörden bestimmt werde. Dieses stehe im Gegensatz zum Gedanken der Informationsfreiheit.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung der Verwaltung und Öffentlichen Sicherheit.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Elektronische Formulare unklar geregelt: Nach wie vor würden Signaturverfahren, Verfahren zur Feststellung der Identität, Authentisierungsverfahren und Verfahren zur Willenserklärung in unzulässiger Weise vermischt. Die eID-Funktion vermöge die Willenserklärung, die mit dem Stellen eines Antrags verbunden ist, technisch nicht abzubilden. Nicht umsonst sei der neue Personalausweis technisch so ausgerüstet worden, dass er qualifizierte elektronische Signaturen erzeugen kann. Die eID-Funktion des Ausweises liefere hingegen Identitätsdaten hoher Qualität. Diese Identitätsdaten seien jedoch nicht mit dem Inhalt des Formulars verknüpft. Würden die Formularinhalte nachträglich verändert, so könne dies nicht mit der eID-Funktion festgestellt werden.

Berechtigung zum Auslesen von Identitätsdaten aus dem nPA nicht erweitern: Die Änderung zum Personalausweisgesetz versuche bestimmte Szenarien zu beschreiben, in denen eine Nutzung der eID möglich wird, obwohl folgend eine Übermittlung von identifizierenden Daten an Dritte – ggf. ohne Wissen des Betroffenen – erfolgen solle. Nach der Begründung zum Gesetzentwurf solle mit dieser Vorschrift die Nutzung des elektronischen Identitätsnachweises für Adresspools und Auskunfteien ausgeschlossen werden. Dafür sei aber die Gesetzesformulierung nicht klar genug.

Einsatz der eGK zur Identitätsprüfung im Sozialbereich unzulässig: Im SGB V (§ 291a) seien die Nutzungsmöglichkeiten der eGK abschließend geregelt; die Nutzung als Identitätsnachweis sei dort nicht vorgesehen. Außerdem unterstütze die eGK keinen Identitätsnachweis, der sicherheitstechnisch mit dem des neuen Personalausweises vergleichbar wäre.

Barrierefreiheit: Wegen der bisher durch den Gesetzentwurf zum EGovG nicht gewährleisteten Barrierefreiheit der darin geregelten Verfahren sei es notwendig einen entsprechenden Artikel einzufügen.

Chaos Computer Club sieht „Angriffsziele von enormer Attraktivität“

„Im vorliegenden Gesetzesentwurf soll De-Mail als Standard für die elektronische Kommunikation mit Verwaltung und Behörden zugelassen werden. Die Server der wenigen BSI-zertifizierten De-Mail-Anbieter und das geplante zentrale Gateway des Bundes würden dadurch Angriffsziele von enormer Attraktivität werden“, stellte Linus Neumann der Stellungnahme voraus.

Mängel in der Umsetzung: „Mit dem De-Mail-Gesetz wurde ein Teil der für eMail bekannten Sicherheitsmaßnahmen zum Standard erhoben und eine Identitätsprüfung für die Einrichtung eines Accounts vorgeschrieben. Unberücksichtigt blieb die zu erwartende erhöhte Angriffsaktivität auf die De-Mail-Server selbst:

  • Aufgrund der spezifischen Nutzung von De-Mail für sensible Kommunikation steigt die Attraktivität für Angreifer. Durch die geringe Anzahl an De-Mail-Anbietern werden so wenige, aber maximal attraktive Angriffsziele mit hohem Schädigungspotential geschaffen.
  • Durch den Verzicht auf eine Ende-zu-Ende-Verschlüsselung könnendie auf De-Mail-Server vorgehaltenen Nachrichten vom Provider oder einem Angreifer, der Zugriff auf den Server erlangt hat, eingesehen werden.

Dem Anspruch an ein sicheres und vertrauliches Kommunikationsmedium wird De-Mail bereits nach heutigen Maßstäben nicht gerecht.

Sicherheitsanforderungen werden gesenkt, um De-Mail zuzulassen: Neumann sieht eine Aufweichung der Sicherheitsanforderungen bei De-Mail durch (beispielhaft) eine vorgesehene Änderung in der Abgabenordnung: „Die kurzzeitige automatisierte Entschlüsselung, die beim Versenden einer De-Mail-Nachricht durch den akkreditierten Diensteanbieter zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten der De-Mail-Nachricht erfolgt, verstößt nicht gegen das Verschlüsselungsgebot.“

Fehlende Verschlüsselung: Eine Verschlüsselung liege dann vor, wenn Unbefugte keinen Zugriff auf eine vertrauliche Information erlangen können. Im Falle der De-Mail finde jedoch explizit eine sogar mehrfache Entschlüsselung der vertraulichen Nachricht durch Unbefugte statt. Im Zeitalter der elektrischen Datenverarbeitung sei es dabei unerheblich, ob eine Nachricht „kurzzeitig“ entschlüsselt werde, da eine Kopie, Textanalyse ebenso „kurzzeitig“ angefertigt werden könne.

Neumann: „Hier wäre daher es euphemistisch, nur von einer 'unzureichenden Verschlüsselung' zu sprechen: eine solche fehlt gänzlich, was fahrlässige Datenpreisgabe ebenso wie bewußte Überwachung begünstigt.“

BITKOM rät zum Verwaltungsverfahrensrecht

Dr. Bernhard Rohleder, BITKOM, empfahl, dass beim eGovernment-Gesetz mittelfristig eine Überführung der Regelungen in das Verwaltungsverfahrensrecht erwogen werden sollten.

Elektronischer Zugang zur Verwaltung: Der Entwurf könne für die gelegentlichen Behördenkontakte des Bürgers eine niederschwellige Alternative zur qualifizierten elektronischen Signatur schaffen. Im Profibereich habe sich hingegen die qualifizierte elektronische Signatur bewährt.

Elektronische Bezahlmöglichkeiten: Auch im Hinblick auf die Bezahlmöglichkeiten sei eine Generalklausel im Verwaltungsverfahrensrecht erforderlich, um elektronische Bezahlmöglichkeiten möglichst umfassend korrespondierend zu digitalen Verwaltungsangeboten zu ermöglichen.

Elektronische Nachweise: Das Gesetz erlaube dem Bürger nur für den Fall, dass das Verfahren elektronisch durchgeführt wird, auch die vorzulegenden Nachweise elektronisch einzureichen. Zudem könne die Behörde für bestimmte Verfahren oder im Einzelfall die Vorlage eines Originals verlangen. Die Regelung sei aus Sicht von BITKOM zu offen formuliert. Verwaltungsverfahren benötigten nicht zwingend die Originalbelege, soweit diese nachgereicht werden können. Hiermit ließen sich viele Verfahren vereinfachen und vollelektronisch abwickeln.

Elektronische Aktenführung: Eine querschnittliche Herausforderung für alle Verwaltungsebenen und alle Fachressorts sei der Übergang von der bisherigen hybriden Aktenführung hin zum einem vollständig elektronischen Dokumentenmanagement. Das Nebeneinander von elektronischen Dokumenten und Papierdokumenten verteuere und behindere elektronische Workflows. Diese Herausforderung betreffe gleichermaßen Bund, Länder, Kommunen; die Schaffung einer gemeinsamen wettbewerbsoffenen PKI als Grundlage für Dokumentenmanagement und Archivierungssysteme könnte somit eine Aufgabe des IT-Planungsrats sein.

Elektronische unterschriftslose Formulare: Eine Regelung zu Formularen sollte im Verwaltungsverfahrensgesetz getroffen werden, denn Formulare seien wichtige Strukturelemente des Verwaltungsverfahrens. BITKOM regt zudem an, das Regel-Ausnahme-Verhältnis weiter umzukehren. Um sicherzustellen, dass die Schriftform die Ausnahme bleibe, sollte künftig bei der estaltung von Formularen ein Unterschriftenfeld nur ausnahmsweise vorgesehen werden,

Register der elektronischen Adressen: Es sei geplant, bei den Meldebehörden ein Register der elektronischen Adressen zu führen. Wenn sich der Adressbesitzer von seinem Provider verabschiedet, dann müsste dieser das Recht und die Pflicht haben, dies der Meldebehörde mitzuteilen.

Ende-zu-Ende-Verschlüsselung als Ausnahmetatbestand: Der potenzielle Markt für De-Mail-Provider werde durch die Forderung nach Ende-zu-Ende-Verschlüsselung für bestimmte Vorgänge (Steuergeheimnis, Sozialgeheimnis usw.) und von bestimmten Berufsgruppen (Arztgeheimnis, Anwaltsgeheimnis usw.) erschwert. Ohne eine gesetzgeberische Klarstellung drohe durch die Forderung nach obligatorischer Ende-zu-Ende-Verschlüsselung, dass Versicherungen, Banken und Krankenkassen, Arztpraxen und Anwaltskanzleien De-Mail nicht nutzten.

Harmonisierung der Zugangsregelungen zu Verwaltung und Justiz: BITKOM empfiehlt eine Harmonisierung der Regelungen vom E-Government-Gesetz und der E-Justice-Initiative.

Zugangseröffnung ist Kernelement elektronischer Verwaltung

Die Regelungen des eGovernment-Gesetzes (EGovG) können – so Professor Dr. Ralf Müller-Terpitz, Universität Passau – überwiegend in das allgemeine Verwaltungsverfahrensgesetz integriert werden. Dies dürfte nicht nur den Kodifikations- und Transparenzgedanken (Auffindbarkeit), sondern auch das Leitbild von einer elektronischen Verwaltung stärken.

Zugangseröffnung: Die verbindliche Zugangseröffnung stelle ein Kernelement elektronischer Verwaltung dar und sollte deshalb nicht, wie vom Bundesrat gefordert, in eine „Kann“-Bestimmung umgewandelt werden.

Elektronische Substituierung des Schriftformerfordernisses: Der Gesetzgeber solle keine abschließende Regelung – wie derzeit in § 3a VwVfG-E vorgesehen – treffen, sondern die Bestimmung „technik-, zukunfts- und rechtsraumoffen“ formulieren. Eine solche Öffnung erscheine auch deshalb geboten, um eine Nutzung künftiger verbindlicher EU-Standards zu ermöglichen.

Open Data: Es sei zu prüfen, ob Regelungen nicht besser in der Informationsfreiheitsgesetzgebung (IFG, UIG, VIG) zu lokalisieren sind, die bereits Ansätze für eine solche Datenbereitstellung in Form allgemeiner Veröffentlichungspflichten kenne.

„eGovG-Vorschriften gehören in das VwVfG“

Dirk Stocksmeier, init AG, Berlin, sieht im eGovG die rechtlichen Voraussetzungen dafür, dass eine Vielzahl von Leistungen der Öffentlichen Verwaltung zukünftig online angeboten werden können.

De-Mail: Das Sicherheitsniveau von De-Mail sei für eine große Zahl an Anwendungen des öffentlichen Bereichs angemessen. Selbstverständlich gebe es aber auch Anwendungsbereiche, bei denen man zusätzliche Sicherheitstechnologie einsetzen sollte, z.B. die sogenannte Ende-zu-Ende Verschlüsselung. Das sei völlig unstrittig, und akkreditierte De-Mail Anbieter unterstützten diese Ende-zu-Ende Verschlüsselung zum Beispiel dadurch, dass ein Verzeichnis für die öffentlichen Schlüssel Teil ihrer Infrastruktur ist.

Stocksmeier verwies auch auf eine gemeinsame Stellungnahme der Arbeitsgruppe 3 des Nationale IT-Gipfels.

eGovG: Ein großes Manko des eGovernment-Gesetzentwurfs bestehe darin, dass grundsätzlich alle Regelungen der Abschnitte 1 und 2 in das VwVfG gehören und nicht in ein eigenes Bundesgesetz, das von den Bundesländern analog so übernommen werden könne – oder eben nicht.

Schriftformerfordernis: „Der Entwurf sieht als Alternativen zur Schriftform insbesondere die Anwendung der elektronischen Identitätsfunktion des neuen Personalausweises und De-Mail vor. Wir vermissen eine Regelung, die es auch Unternehmen ermöglicht, einfach und rechtssicher elektronische Dokumente zu erstellen und auszutauschen.

Artikelfiles und Artikellinks

(ID:38766520)