Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 16. April 2009

Datenschutz beim vorgesehenen Bürgerportal unzureichend

Der Gesetzentwurf zur Regelung von Bürgerportalen (BR-Drs. 174/09) soll rechtliche Rahmenbedingungen für eine sichere und vertrauenswürdige elektronische Kommunikation zwischen Bürgerinnen und Bürgern und der Wirtschaft und Verwaltung im Internet schaffen. Private Anbieter sollen die Portale betreiben, über die der sichere E-Mail-Verkehr De-Mail, eine sichere Dokumentenablage De-Safe und ein Identitätsbescheinigungsdienst abgewickelt werden sollen. Eine solche Infrastruktur stellt hohe Anforderungen an die IT-Sicherheit und den Datenschutz.
Der Gesetzentwurf wird diesen Anforderungen noch nicht gerecht und ist zumindest in folgenden Punkten zu korrigieren:

  • Der Entwurf sieht vor, dass nur akkreditierte Anbieter Portale betreiben dürfen.
    Voraussetzung für die Akkreditierung darf nicht allein der Nachweis der technischen
    und administrativen Sicherheit, sondern muss auch die tatsächliche
    Einhaltung datenschutzrechtlicher Standards sein. Die dabei zu erfüllenden
    Mindestanforderungen müssen verbindlich im Gesetz vorgegeben werden.
    Portalbetreiber sollten zudem erst dann die Akkreditierung erhalten, wenn die
    Umsetzung dieser Anforderungen durch unabhängige Prüfstellen bescheinigt
    wurde.
  • Die Sicherung der Vertraulichkeit, Integrität und Authentizität von Nachrichteninhalten
    soll lediglich durch eine Verschlüsselung auf dem Transport zwischen
    den Diensteanbietern und durch die Sicherung des Zugangs zu den Bürgerportalen
    erfolgen. Es muss jedoch sichergestellt werden, dass Nachrichten
    auch bei den Portalbetreibern nicht durch Dritte gelesen oder verändert werden
    können. Deshalb muss die Kommunikation standardmäßig durch eine
    Ende-zu-Ende-Verschlüsselung zwischen Absendenden und Empfangenden
    nach dem Stand der Technik gesichert und nicht nur als Option angeboten
    werden.
  • Das Bürgerportal soll gerade zwischen Bürgerinnnen und Bürgern und Verwaltung
    eine rechtlich gesicherte Kommunikation ermöglichen. Insbesondere
    sind über das Bürgerportal förmliche Zustellungen mit den entsprechenden
    Rechtsfolgen beabsichtigt. Dies darf nur auf Basis einer sicheren Anmeldung
    erfolgen. Die nach der Gesetzesbegründung ebenfalls mögliche unsichere
    Anmeldung mit Passwort wird abgelehnt.
  • Der Nachweis der Absenderin oder des Absenders soll lediglich durch Anmeldung
    am Bürgerportal erfolgen. Das ermöglicht Angriffe durch Schadsoftware
    auf dem Rechner der Nutzenden. So könnten Zugangsdaten beschafft und
    widerrechtlich dazu verwendet werden, De-Mails zu versenden, empfangene
    De-Mails zu unterdrücken, zu verzögern und zu verändern oder unberechtigt
    auf Daten im De-Safe zuzugreifen. Deshalb sind zusätzliche Sicherungsmaßnahmen
    vorzusehen.
  • Die Möglichkeit, eine pseudonyme Bürgerportaladresse zu nutzen, muss –
    entgegen der Stellungnahme des Bundesrates vom 3.4.2009 – erhalten bleiben.
    Denn die pseudonyme Nutzung ermöglicht gerade einen sinnvollen
    Kompromiss zwischen hinreichender Identifizierbarkeit im Rechtsverkehr und
    Datenschutz für die Nutzerinnen und Nutzer.
  • Die Nutzerinnen und Nutzer müssen bei der Eröffnung des Bürgerportalkontos
    auf mögliche Rechtsfolgen – etwa zur verbindlichen Kommunikation mit staatlichen
    Stellen – hingewiesen werden. Die Aufklärungs- und Informationspflichten
    müssen im Gesetzestext klarer als bislang geschehen gefasst werden.
    Gleiches gilt für die Feststellung von Identitätsdaten und der Aufdeckung von
    Pseudonymen.
  • Eine Benachteiligung von Bürgerinnen und Bürgern, die über kein Bürgerportalkonto
    verfügen, muss ausgeschlossen werden. Auch dürfen Bürgerportale
    nicht dazu führen, dass staatliche Stellen dazu übergehen, bei jeder Inanspruchnahme
    einer E-Government-Anwendung eine persönliche Identifizierung
    zu verlangen, selbst wenn dies für die konkrete Dienstleistung nicht erforderlich
    ist.
  • Der Entwurf sieht vor, dass grundsätzliche Fragen der technischen Ausgestaltung
    der Bürgerportale und der darüber angebotenen Dienste in einer Rechtsverordnung
    geregelt werden sollen. Dies widerspricht der Rahmenkonzeption
    des Art. 80 GG und dient auch sonst nicht der Normenklarheit des Gesetzes.
    Zumindest die grundsätzlichen technisch-organisatorischen Anforderungen an
    die Eröffnung des Kontos, den Postfach- und Versanddienst, den Speicherplatz,
    den Identitätsbescheinigungsdienst und das Akkreditierungsverfahren
    sollten in das Gesetz selbst aufgenommen werden.
  • Der Entwurf des Bürgerportalgesetzes sieht jetzt auch vor, dass nicht nur die
    Datenerhebung, sondern auch die Verarbeitung und Nutzung der erhobenen
    Daten durch den akkreditierten Dienstanbieter an eine enge Zweckbestimmung
    gebunden ist. Allerdings ist der pauschale Verweis auf die Regelungen
    des Bundesdatenschutzgesetzes, des Telemediengesetzes und des Telekommunikationsgesetzes
    in diesem Zusammenhang zu weitgehend, da so für
    die Diensteanbieter die Möglichkeit eröffnet wird, die personenbezogenen Daten
    für Werbung oder Marktforschungszwecke zu nutzen. Die Bürgerinnen
    und Bürger müssen jedoch sicher sein können, dass ihre Daten ausschließlich
    zur Teilnahme am Bürgerportal genutzt werden.