Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 16. April 2009
Datenschutz beim vorgesehenen Bürgerportal unzureichend
Der Gesetzentwurf zur Regelung von Bürgerportalen (BR-Drs. 174/09) soll rechtliche Rahmenbedingungen für eine sichere und vertrauenswürdige elektronische Kommunikation zwischen Bürgerinnen und Bürgern und der Wirtschaft und Verwaltung im Internet schaffen. Private Anbieter sollen die Portale betreiben, über die der sichere E-Mail-Verkehr De-Mail, eine sichere Dokumentenablage De-Safe und ein Identitätsbescheinigungsdienst abgewickelt werden sollen. Eine solche Infrastruktur stellt hohe Anforderungen an die IT-Sicherheit und den Datenschutz.
Der Gesetzentwurf wird diesen Anforderungen noch nicht gerecht und ist zumindest in folgenden Punkten zu korrigieren:
- Der Entwurf sieht vor, dass nur akkreditierte Anbieter Portale betreiben dürfen.
Voraussetzung für die Akkreditierung darf nicht allein der Nachweis der technischen
und administrativen Sicherheit, sondern muss auch die tatsächliche
Einhaltung datenschutzrechtlicher Standards sein. Die dabei zu erfüllenden
Mindestanforderungen müssen verbindlich im Gesetz vorgegeben werden.
Portalbetreiber sollten zudem erst dann die Akkreditierung erhalten, wenn die
Umsetzung dieser Anforderungen durch unabhängige Prüfstellen bescheinigt
wurde. - Die Sicherung der Vertraulichkeit, Integrität und Authentizität von Nachrichteninhalten
soll lediglich durch eine Verschlüsselung auf dem Transport zwischen
den Diensteanbietern und durch die Sicherung des Zugangs zu den Bürgerportalen
erfolgen. Es muss jedoch sichergestellt werden, dass Nachrichten
auch bei den Portalbetreibern nicht durch Dritte gelesen oder verändert werden
können. Deshalb muss die Kommunikation standardmäßig durch eine
Ende-zu-Ende-Verschlüsselung zwischen Absendenden und Empfangenden
nach dem Stand der Technik gesichert und nicht nur als Option angeboten
werden. - Das Bürgerportal soll gerade zwischen Bürgerinnnen und Bürgern und Verwaltung
eine rechtlich gesicherte Kommunikation ermöglichen. Insbesondere
sind über das Bürgerportal förmliche Zustellungen mit den entsprechenden
Rechtsfolgen beabsichtigt. Dies darf nur auf Basis einer sicheren Anmeldung
erfolgen. Die nach der Gesetzesbegründung ebenfalls mögliche unsichere
Anmeldung mit Passwort wird abgelehnt. - Der Nachweis der Absenderin oder des Absenders soll lediglich durch Anmeldung
am Bürgerportal erfolgen. Das ermöglicht Angriffe durch Schadsoftware
auf dem Rechner der Nutzenden. So könnten Zugangsdaten beschafft und
widerrechtlich dazu verwendet werden, De-Mails zu versenden, empfangene
De-Mails zu unterdrücken, zu verzögern und zu verändern oder unberechtigt
auf Daten im De-Safe zuzugreifen. Deshalb sind zusätzliche Sicherungsmaßnahmen
vorzusehen. - Die Möglichkeit, eine pseudonyme Bürgerportaladresse zu nutzen, muss –
entgegen der Stellungnahme des Bundesrates vom 3.4.2009 – erhalten bleiben.
Denn die pseudonyme Nutzung ermöglicht gerade einen sinnvollen
Kompromiss zwischen hinreichender Identifizierbarkeit im Rechtsverkehr und
Datenschutz für die Nutzerinnen und Nutzer. - Die Nutzerinnen und Nutzer müssen bei der Eröffnung des Bürgerportalkontos
auf mögliche Rechtsfolgen – etwa zur verbindlichen Kommunikation mit staatlichen
Stellen – hingewiesen werden. Die Aufklärungs- und Informationspflichten
müssen im Gesetzestext klarer als bislang geschehen gefasst werden.
Gleiches gilt für die Feststellung von Identitätsdaten und der Aufdeckung von
Pseudonymen. - Eine Benachteiligung von Bürgerinnen und Bürgern, die über kein Bürgerportalkonto
verfügen, muss ausgeschlossen werden. Auch dürfen Bürgerportale
nicht dazu führen, dass staatliche Stellen dazu übergehen, bei jeder Inanspruchnahme
einer E-Government-Anwendung eine persönliche Identifizierung
zu verlangen, selbst wenn dies für die konkrete Dienstleistung nicht erforderlich
ist. - Der Entwurf sieht vor, dass grundsätzliche Fragen der technischen Ausgestaltung
der Bürgerportale und der darüber angebotenen Dienste in einer Rechtsverordnung
geregelt werden sollen. Dies widerspricht der Rahmenkonzeption
des Art. 80 GG und dient auch sonst nicht der Normenklarheit des Gesetzes.
Zumindest die grundsätzlichen technisch-organisatorischen Anforderungen an
die Eröffnung des Kontos, den Postfach- und Versanddienst, den Speicherplatz,
den Identitätsbescheinigungsdienst und das Akkreditierungsverfahren
sollten in das Gesetz selbst aufgenommen werden. - Der Entwurf des Bürgerportalgesetzes sieht jetzt auch vor, dass nicht nur die
Datenerhebung, sondern auch die Verarbeitung und Nutzung der erhobenen
Daten durch den akkreditierten Dienstanbieter an eine enge Zweckbestimmung
gebunden ist. Allerdings ist der pauschale Verweis auf die Regelungen
des Bundesdatenschutzgesetzes, des Telemediengesetzes und des Telekommunikationsgesetzes
in diesem Zusammenhang zu weitgehend, da so für
die Diensteanbieter die Möglichkeit eröffnet wird, die personenbezogenen Daten
für Werbung oder Marktforschungszwecke zu nutzen. Die Bürgerinnen
und Bürger müssen jedoch sicher sein können, dass ihre Daten ausschließlich
zur Teilnahme am Bürgerportal genutzt werden.