„Digitale Identitäten“ – schon mal davon gehört? Nein? Was würdest Du nun sagen, wenn wir Dir erzählen, dass auch Du eine solche digitale Identität besitzt und sie sogar tagtäglich nutzt? In dieser Folge klären wir Dich rund um das Thema „Digitale Identitäten“ auf und erklären, in welchem Zusammenhang diese mit dem sogenannten „Online-Zugangs-Gesetz“ (OZG) stehen. Zu Gast ist Roland Hoheisel-Gruler, Dozent an der Hochschule des Bundes für öffentliche Verwaltung. Gemeinsam mit ihm tauchen wir tiefer in das Themenfeld „sichere, digitale Kommunikationswege zwischen dem Bürger und Staat“ ein und sprechen so auch unteranderem über die Bund-ID, von welcher Du vielleicht in letzter Zeit häufiger gehört hast.
Hört gerne in unsere Folge rein und hinterlasst uns eure Meinung auf unseren social media Kanälen. Bei Fragen oder Anregungen schreibt uns gerne eine Mail an hallo@dasou.law und folgt uns überall.
Show-Notes
Link zu haveibeenpwned – deinem Passwort-Check: Have I Been Pwned: Check if your email has been compromised in a data breach
Entwurf zur Änderung des Onlinezugangsgesetzes: 2008093.pdf (bundestag.de)
Roland Hoheisel-Gruler bei X/Twitter: https://twitter.com/rhgsig?s=11&t=n-JCFyssZeVEjJpqv-c1Og
Roland Hoheisel-Gruler bei LinkedIn: https://www.linkedin.com/in/roland-hoheisel-gruler-48a53211
Transkript
Digitale Identitäten
DaSou-Podcast-Folge mit Roland Hoheisel-Gruber
Karina Filusch: Hallo und herzlich Willkommen zum DaSou-Podcast. Mein Name ist Karina Filusch. Ich bin Datenschutz Anwältin, und einmal im Monat spreche ich mit einer Expertin oder einem Experten über das Thema Datensouveränität, abgekürzt DaSou. Diesmal sprechen wir über digitale Identitäten, und mein Gast ist Roland Hoheisel-Gruler. Er ist Dozent an der „Hochschule des Bundes für öffentliche Verwaltung“ und unterrichtet dort unter anderem Recht für Kriminalpolizisten. Er ist außerdem Mediator; von der Ausbildung her Diplom Forstwirt und hat später auch Jura studiert. Er war früher Anwalt über fast 20 Jahre und dort vor allem im Familienrecht tätig. Roland, wir sprechen heute über digitale Identitäten. Es gibt auch einen aktuellen Anlass, warum wir das gerade jetzt machen, denn kürzlich ist das Änderungsgesetz zum Online-Zugangs-Gesetz gescheitert. Es ist nämlich nicht durch den Bundesrat gekommen. Das Online-Zugangs-Gesetz wird auch „OZG“ abgekürzt. Es gilt bereits seit August 2017. Vielleicht kannst du uns kurz erklären, was das OZG überhaupt ist.
Roland Hoheisel-Gruler: Ja, das Online-Zugangs-Gesetz ist eigentlich dazu gedacht, dass Bund und Länder verpflichtet wurden, dann bis spätestens zum Ablauf des 5. auf die Verkündung dieses Gesetzes folgenden Kalenderjahres – wenn man rechnet, also bis Ende 2022, also jetzt gut vor anderthalb Jahren demnächst – die Verwaltungsleistungen auch elektronisch über Verwaltungsportale anzubieten. Kurz gesagt heißt das nichts anderes, als dass Bund und Länder sollten einen digitalen Zugang eröffnen, damit die Bürgerinnen und Bürger dann elektronisch mit den Kommunen und den Landratsämtern kommunizieren können.
Karina Filusch: Im Zusammenhang mit diesem OZG sind ja auch ein paar Worte in der letzten Zeit gefallen, zum Beispiel die „Bund-ID“. Was ist das denn?
Roland Hoheisel-Gruler: Die Bund-ID ist eine Identitätsziffer, mit der man sich dann anmelden kann, um einen Zugang überhaupt sich geben zu lassen. So eine zentrale Bund-ID ist quasi der Türöffner hin zu staatlichen IT-Leistungen, zu staatlicher Kommunikation insgesamt. Die Idee, die dahintersteckt, ist schlicht weg die: wenn wir so einen Generalschlüssel haben, dann können wir über diesen vertrauensvolle Identifizierungsgeschichten machen. Also wenn wir die Bund-ID die dann haben, können wir über diese vertrauensvollen, sicheren Identifizierungen zwischen dem Bürger und den Verwaltungen ermöglichen.
Karina Filusch: Wir haben von der Bund-ID vor allem im Zusammenhang mit den Geldern für Studierende gehört, nicht wahr? Auf dieser Webseite, wo diese sich dann alle eintragen konnten, mit der Bund ID, um diesen Bonus zu bekommen. Erinnerst du dich noch daran?
Roland Hoheisel-Gruler: Oh ja, das war ein großer Aufwand, weil nämlich ganz plötzlich diese Bund-ID, die es ja schon immer gab und die eigentlich freiwillig genutzt werden sollte, plötzlich auf diesem Wege aus ihrem Dornröschen-Schlaf geweckt wurde. Damit die Studierenden an das Geld kamen, mussten sie sich über so eine Bund-ID tatsächlich einloggen. Es war dann insgesamt auch etwas kompliziert, bis man daran gekommen ist. Ich meine mich zu erinnern, dass es auch alternative Möglichkeiten gegeben hätte, wenn man sie denn genutzt hätte: nämlich über die einfache Zuteilung von einer PIN, wäre es auch gegangen.
Karina Filusch: Damals wurde Bund-ID stark kritisiert, aber ich glaube, dazu könnte man noch mal eine gesonderte Folge aufnehmen. Wir bleiben vielleicht bei den digitalen Identitäten. Noch mal kurz, um den Bogen zurückzuschlagen: Zum OZG, also zum Online-Zugangs-Gesetz. Dieses Online-Zugangs-Gesetz, das regelt genau diese Bund-ID und dass Bürgerinnen und Bürger eigene Postfächer bekommen sollen, um mit dem Staat zu kommunizieren. Jetzt, die Überschrift, unter der wir heute miteinander sprechen, ist ja „digitale Identität.“ Was ist denn das zunächst?
Roland Hoheisel-Gruler: Die digitale Identität kann man sich vielleicht so vorstellen, dass wir uns gedanklich aus der real-existierenden Lebenswelt in die digitale Lebenswelt transformieren und dass wir überlegen, wie funktioniert eigentlich so eine digitale Lebenswirklichkeit? Wir haben die praktisch tagtäglich. Ohne, dass wir das merken, tragen wir diese mit unserem Handy rum, indem wir mit anderen Menschen kommunizieren, ohne dass wir mit denen vor Ort sind; dass wir online-shopping gehen; dass wir Filme gucken; wie auch immer. Wir haben also praktisch so eine digitale Lebenswirklichkeit bei uns und mit uns. Und jetzt muss man sagen, wie trete ich da auf, – was ich jetzt da meine? Digitale Identität? Ich gehe ja nicht als Roland hier unbedingt durch die Social Media Geschichten, sondern ich habe den Benutzernamen, ich habe Aliasnamen, wie auch immer. Die digitale Identität, um die es dann am Ende geht, das kann man dann praktisch so zusammenpressen auf das, was ist mein Zugang, mein Passwort, aber auch mein Profil; was sind meine Profilinformationen, die ich auf der einen Plattform gebe, die ich auf der anderen Plattform gebe; die ich bei dem einen Anbieter hinterlege, damit Bezahlvorgänge funktionieren; und so weiter.
Karina Filusch: Also könnte man sagen, dass eine digitale Identität ein Benutzername ist?
Roland Hoheisel-Gruler: Unter anderem, ja. Also sicher ist der Benutzername ein Teil einer Identität. Wenn wir mal überlegen: was brauche ich, um einen Menschen irgendwo eindeutig identifizieren zu können? Da gibt’s Sachen, ich sage mal, im richtigen Leben ein Personalausweis. Wo anders reicht’s, wenn ich meinen Namen sage oder ich gehe auf die Bank und sage „hier meine Kontonummer“ und lege mein Kontokärtchen hin, also in der alten analogen Welt. Es kann durchaus Sachen geben, da reicht ein Benutzername und ein Passwort aus, um sich dann in dem entsprechenden Umfeld bewegen zu können.
Karina Filusch: Wir werden gleich noch darüber sprechen, wie das Step-by-Step dann funktioniert mit der digitalen Identität. Aber bleiben wir noch kurz bei dem Thema was das genau ist. Die digitale Identität wird in der Wirtschaft schon ein bisschen länger genutzt, würde ich sagen, als im Bürger-Staat-Verhältnis. Wo begegnet uns diese digitale Identität im kommerziellen Raum?
Roland Hoheisel-Gruler: Praktisch sobald wir unser Handy irgendwo anschalten. Wenn wir uns daran erinnern, ganz früh – so ca. 20 Jahre mag das vielleicht her sein – da hat Google als erstes Unternehmen damit begonnen, die folgenden Möglichkeiten zu eröffnen: „Hier melde dich mit deinem Google Konto an“ – oder war es Facebook gewesen? So mit der Idee: ein Benutzername, ein Passwort und dies eröffnet dir viele Möglichkeiten, um auf dem digitalen Markt unterwegs zu sein. Und die Idee, die natürlich von den gewerbetreibenden dort verfolgt wurde, war ja nichts anderes: Gib mir deine Daten, ich führe sie zusammen, und wenn ich über das bei mir gespeicherte Passwort und den Benutzernamen weiß, wo du überall angemeldet bist, dann kann ich dich auch entsprechend mit zielgerichteter Werbung versorgen. Das war so der Anfang gewesen. Jetzt kann man das „Melde dich hier mit Google an“, „melde dich mit deinem Facebook Konto an“, oder aber, wie man es normalerweise macht oder machen sollte: „melde dich überall mit einem eigenen Passwort und einem sicheren Passwort an,“ am Ende.
Karina Filusch: Genau das kennen wir, glaube ich, alle. Wir gehen auf Websites, die gar nichts mit Facebook oder Google zu tun haben und die uns suggerieren, dass wir uns hier Passwörter sparen können und uns einfach mit unserem Facebook Account einloggen können, um es bequemer zu haben. Aber tatsächlich werden, wie du schon richtig gesagt hast, unsere Daten zusammengeführt. Ich versuche das zu vermeiden. Wie gehst du damit um? Nutzt du solche Bequemlichkeiten oder meidest du das tunlichst?
Roland Hoheisel-Gruler: Ich meide das, also wie „der Teufel zwei Wasser“, wie man so schön sagt. Ich guckte, dass ich irgendwie einen Weg finde, der dann auch für mich dahingehend sicher ist, wenn dann Datenlecks oder so entstehen, diese nicht zu einem Supergau auswachsen zu lassen und eben auch, um mich selber zu schützen. Und das ist vielleicht ein bisschen aufwendig im Einzelfall, aber dafür gibt es ja auch Anbieter, die mir dann so sichere Passwort-Tresore und ähnliches zur Verfügung stellen.
Karina Filusch: Du hast es gerade richtig gesagt. Stellen wir uns mal vor, wir loggen uns überall mit einem Facebook- oder Google-Account ein, und dann kommt es zu einem Hack: Mein Passwort steht irgendwo im Darknet. Die Person könnte sich dann, die dieses Passwort dann bekommt, überall natürlich einloggen…bei all den verschiedenen Services, die es anbieten, sich mit Facebook einzuloggen. Also auf diese Daten sollte man dann ganz besonders achten. Übrigens, wenn ihr testen wollt, ob eure Mail oder euer Passwort schon irgendwo im Darknet steht: Es gibt Websites, die bieten euch an, das nachzuprüfen. Zum Beispiel „haveIbeenpwned“ – wir verlinken das in den Shownotes. Da könnt ihr auf die Website gehen, um mal zu testen, wo euer Passwort schon überall veröffentlicht wurde. Vielleicht können wir nochmal ganz kurz darüber sprechen, wie das Step-by-Step aussieht. Ich gehe also auf so eine Webseite mit meiner digitalen Identität und möchte mich einloggen… Ganz zu Beginn hast du gesagt, es wird geprüft, ob die Person wirklich diese Person ist. Was gibt es denn da für Wege und Methoden, um zu überprüfen, ob Karina wirklich Karina ist?
Roland Hoheisel-Gruler: Ja, da haben wir ja jetzt ganz verschiedene Verifizierungsgeschichten. Diese sind auch rechtlich abgesichert und europarechtlich zum Teil auch vorgegeben. Da fängt es erstmal damit an, sich mit einem ganz einfachen Benutzername einzuloggen. Darüber hinaus gibt es dann auch entsprechende E-ID-Systeme, mit denen man sich dann entsprechend einloggen kann. Bekannt ist beispielsweise, dass ich noch eine Signaturkarte brauche, die verifiziert ist. Also, wir Anwältinnen und Anwälte kennen das von dem Anwaltspostfach. Da braucht man eine Karte der Bundesnotarkammer. Andere Möglichkeiten, beispielsweise der elektronische Identitätsnachweis des Personalausweises, also auf den Personalausweis sind ja ganz viele sonstige Informationen mit drauf – hinausgehend über das, was man so gemeinhin kennt – die dann dazu herangezogen werden, wenn man dann noch zusätzlich den Personalausweis einlesen muss. Und dann eben noch, was man gerade hat, wenn man so bestimmte Geschäfte abschließt, dass man dann wo anrufen muss oder ein Videocall machen muss und dann dort den Personalausweis vorzeigen und nach links und rechts gucken muss und so. Das ist dann aber schon ein bisschen high-end, also das wird eigentlich nur für besonders teure Einkäufe oder so mitunter mal genutzt.
Karina Filusch: Dieses „Video-Ident“, das macht mich total wahnsinnig. Das klappt nie!
Roland Hoheisel-Gruler: Bei mir auch nicht. Ganz furchtbar!
Karina Filusch: Irgendwie halte ich immer den Personalausweis falsch.
Roland Hoheisel-Gruler: Und dann gab’s so eine rechts und links Schwäche. Das ist ganz furchtbar. Das andere links, und dann nach oben, und dann funktioniert es mit der mit der Handy Kamera nicht, und und und…aber naja!
Karina Filusch: Schlimm. Da sind bestimmt schon einige Leute dran gescheitert oder sind danach auf jeden Fall ganz nervös gewesen. Wollen wir noch mal kurz uns überlegen, was ist so für Beispiele für digitale Identitäten im Verhältnis Bürger-Staat gibt? Jetzt haben wir uns die kommerzielle Seite angeguckt und uns angeguckt, wie das Step-by-Step im Hintergrund funktioniert. Jetzt konkret im Verhältnis Bürger-Staat.
Roland Hoheisel-Gruler: Da müssen wir ja einfach mal überlegen, wie funktioniert denn Kommunikation mit Behörden? Das heißt, mit welchen Behörden komme ich überhaupt in Berührung und warum? Man müsste da vielleicht auch noch mal überlegen, was ist denn die Rolle und Aufgabe des Staates, und was für ein eine Rolle spielen dann die Bürgerinnen oder der Bürger in welchem Verwaltungsverfahren? Das ist ein bisschen was anderes, als wenn man sich auf digitalen Markplätzen oder in der freien Wirtschaft bewegt. Aus dem Grund, dass auch wenn das Online Zugangs Gesetz jetzt von Verwaltungsleistungen spricht und ein Stück weit auch die Idee verfolgt, dass Verwaltungsleistungen sowas sind wie sonstige Dienstleistungen, die ich mir bei Dienstleistern holen kann, ist doch der Punkt, dass so ein Verwaltungsverfahren eben eine hoheitliche Tätigkeit ist, wo Bürgerinnen und Bürger eben in bestimmten Rollen ankommen. Entweder als Antragstellende oder als Betroffene in einem Verfahren, das gegen sie gerichtet ist, oder auch als Drittbeteiligter, wenn es in einem Verfahren um irgendwas anderes geht. Beispielsweise die Baugenehmigung von meinem Nachbarn: da wäre ich dann der Drittbeteiligte, weil da vielleicht meine Rechte berührt werden könnten. Und jetzt komme ich im realen Leben mit meiner Identität in das Verfahren hinein. Zumindest mal das, was man als ladungsfähige Anschrift hat. Also Name, Wohnort, Adresse und Geburtsdatum, um die Person eindeutig identifizieren zu können. Und das landet dann im nächsten Moment in einer Verfahrensakte. Wenn diese Verfahrensakte digitalisiert werden sollte, dann bekomme ich in dem Moment im Verwaltungsverfahren eine auf das Verfahren bezogene digitale Identität. Ich kriege von der aber nichts mit, weil am Ende wird es wieder ausgedruckt. Je nachdem bin ich dann also der Adressat eines Verwaltungsaktes. Wenn es darum geht, welche digitalen Identitäten kann man eigentlich im Behördenkontext haben, dann geht’s darum: wir haben verschiedene Stellen und verschiedene Ansprechpartnerinnen. In der Regel ist es so, dass man dann zu einer Behörde geht, wenn man im Wege der Leistungsverwaltung unterwegs ist – also, wenn man vom Staat etwas will, weil man Anspruch darauf hat. Sei es jetzt die vorhin erwähnte Leistung für Studierende; sei es die Zuteilung eines Kita Platzes; sei es die Gewährung von Sozialleistungen; sei es eine Baugenehmigung oder eine Konzession, dass ich eine Kneipe eröffnen darf – ganz egal was: ich gehe, als Bürger*in hin und habe dann – und jetzt kommen wir zu einem wichtigen Punkt – aus dem jeweiligen Verwaltungsrecht des jeweiligen Landes, eine Weichenstellung, bei welcher Behörde ich mich da tatsächlich einfinden muss. Also bei welcher die ich den richtigen Antrag stellen muss. Und da kommen die digitalen Identitäten ins Spiel: Wie viel brauche ich? Brauche ich eine? Brauche ich mehrere? Reicht eine, oder kann ich den Anspruch erheben, auch wenn ich mit mehreren unterwegs bin? Bei welcher Stelle bin ich, also in welchem Verwaltungszweig tatsächlich unterwegs? Also, auch wenn man jetzt draußen im flachen Land ist, auf dem Landratsamt, ist ein Landratsamt dann auch eine vielfältige Behörde, wo dann ganz unterschiedliche Zuständigkeiten eine Rolle spielen. Beispielsweise das Gesundheitsamt ist im Landratsamt angesiedelt, aber im Behördenzug endet das dann oben im Landesministerium oder in der Senatsverwaltung für Gesundheit. Während drei Türen weiter, wenn da die untere Naturschutzbehörde sitzt, die landet dann eben im Umweltministerium. Und zwei Türen weiter sitzt dann noch die Waffenbehörde, welche dann im Innenministerium landet. Aber alles ist praktisch im Landratsamt angesiedelt, verteilt sich aber eben im weiteren Verwaltungsgang. Und da müssen wir gucken, wo wir jetzt mit welchen Identitäten hinkommen können.
Karina Filusch: Du hast ganz viele Punkte genannt, auf die würde ich Stück für Stück eingehen wollen, um das zusammenzuführen zu dem, was du jetzt gerade gesagt hast. Was ist also jetzt der Grund, warum wir die digitalen Identitäten überhaupt haben wollen? Wozu brauchen wir das?
Roland Hoheisel-Gruler: Wenn wir Verwaltungsprozesse digitalisieren wollen, dann geht’s nicht nur darum, dass die Papierakte oder der Leitzordner am Ende ersetzt wird, durch eine elektronische Akte, die auf dem Bildschirm aufploppt, sondern es geht darum, dass komplette Prozesse nicht nur innerhalb einer Verwaltung, von Beginn eines Verwaltungsverfahrens bis zum Abschluss des Verwaltungsverfahrens eben rechnerbasiert funktionieren, sondern dass die Kommunikation mit den Bürgern funktioniert. Also, dass ich als antragstellender Mensch oder als Adressat ganz bequem, ohne weiteres überlegen müssen, intuitiv an der richtigen Stelle lande und dort die Angaben machen kann, die für mein Anliegen tatsächlich benötigt werden. Von denen sollte ich dann erwarten können, dass die dann ohne weitere Medienbrüche in der weiteren Sachbearbeitung tatsächlich Berücksichtigung finden. Ansonsten haben wir schon den ersten Medienbruch in der Antragsstellung: Wenn ich selber auf das Amt gehen muss, dann nimmt dort irgendjemand meinen Antrag auf, dieser wird eingescannt und weiterverarbeitet. Alternativ, wenn ich ein Formular als PDF ausfülle und das dann ausdrucke und zum Amt bringe, dann ist vielleicht schon mal ein Teil digital abgebildet, aber wir haben dann immer noch den Medienbruch. Der Medienbruch findet so lange statt, solange meine reale Identität und die digitale Identität noch irgendwie mühsam zusammengebracht werden müssen. Wenn das in einem Rutsch gehen soll, dann wäre das erst mal bequemer. Und wir haben dann zwei Fragen zu beantworten: Wer hat am Ende den Hut auf über diese Identität? Soll es die Behörde sein, die dann praktisch im Wege der Verwaltungsvereinfachung sagen kann: „okay, das ist jetzt der Roland Hoheisel-Gruler, der führt die Nummer 5389-11“. Insofern bin ich sodann dort mit diesem Benutzernamen angelegt. Oder aber habe ich den Hut auf in dem Rahmen, als dass ich sage: „liebes Amt, wenn ich mit euch kommuniziere, eröffnet ihr mir einen Zugang“ – das kann die Bund-ID sein, aber es wäre auch möglich, dass das eine einmalige Zugangs-PIN wäre. Also ich sage, dass ich das haben möchte und kriege per E-Mail ein Einmal-Passwort und kann dann meinen Benutzer und mein Passwort anzulegen, und der Rest ist dann egal. Aber die Zuordnung und die Hoheit habe dann ich. Insbesondere darüber, was da gespeichert wird, was da nicht gespeichert wird und in welchem Rahmen ich dann unterwegs bin. Also das wäre eine digitale Identität, die dann die Hoheit zurück an die Bürgerinnen und Bürger bringen könnte.
Karina Filusch: Wenn man jetzt auf die Webseite des Bundes oder der Bundesregierung geht und sich dort anguckt, wie das OZG beworben wird, dann wird es nach einem natürlich total toll verkauft. Das sei super toll und wenn wir das endlich umgesetzt haben, dann gäbe es keine Zettelwirtschaft mehr, wir brauchen nichts mehr handschriftlich zu unterschreiben, und Deutschland kann dann endlich nachziehen. Denn viele europäische Länder sind da schon deutlich weiter als Deutschland. Kleine Anekdote aus meinem eigenen Leben: Ich habe 2010 in Frankreich studiert für ein halbes Jahr, und konnte dort dann Leistungen für Studierende beantragen. Das ging dort einfach alles online. Ich war total geschockt. Also 2010, das ist schon wirklich lange her, und es lief alles supergut, alles ganz unproblematisch. Ich habe meine Antwort in diesem Postfach bekommen und habe dann die Gelder ausgezahlt bekommen. Es war richtig toll und gut. In Deutschland haben wir das so viele Jahre später immer noch nicht.
Roland Hoheisel-Gruler: Zwei Punkte sind vielleicht an der Stelle zu ergänzen, weil Frankreich war schon immer ein Stück weiter. Ich bin jetzt schon ein paar Tage älter, und wenn wir uns an die Bildschirmtext Geschichte erinnern, so in den 80er-Jahren oder so, wo es mal ganz mühsam angefangen hat, da gab es in Frankreich schon kleine Kisten, die haben die den Leuten in die Bude gestellt, und da waren schon die frühen Anfänge von so Internetvorläufern tatsächlich möglich. Nachdem man sich bei uns dann mühsam versucht hat – ich glaube, das war noch Behördenpost gewesen – mit Gebühren und Zugang und so, das dann einigermaßen zu machen. Während die Franzosen da losmarschiert sind. Das Zweite war: wir sind bei einer Tagung gewesen in Estland „Living On The border“ und dann nicht nur die reale Grenze als EU-Außengrenze zu Russland zu betrachten, sondern auch die digitalen Borders, die es gibt oder die es nicht gibt im digitalen Raum. Da haben die Menschen Erfahrungsschätze ausgetauscht, wie das digitale Leben bei denen funktioniert; auch über die Kommunikation mit Behörden, mit Genehmigungen, mit irgendwie sonst allem. Das war lange vor Corona gewesen und ich kann mir vor, wie im Science-Fiction Film.
Karina Filusch: Ja, die ersten sind da auch sehr weit vorn mit der digitalen Identität.
Roland Hoheisel-Gruler: Ja, und die haben da durchaus eine Vorreiterrolle. Bei unseren Überlegungen in der Arbeitsgruppe haben wir so ein bisschen nach Estland geguckt und geschaut: wie machen denn die das, und wo sind jetzt die verfassungsrechtlichen Implikationen? Also, wie machen wir das jetzt bürgerrechtlich? Wie müssen wir das bürgerrechtlich einhegen? Dass es technisch gehen soll und dass wir hier die Verwaltung aus dem Dornröschenschlaf des 19. und frühen 20. Jahrhunderts wecken sollen, das ist allen klar. Aber doch dann nicht auf eine Art und Weise, dass die Befürchtungen, welche 1983 die Leute gegen die Volkszählung auf die Barrikaden und nach Karlsruhe getrieben haben, jetzt dann im Umkehrschluss wahr werden.
Karina Filusch: Als Einordnung: das Volkszählungsurteil 1983 am 15. Dezember, das kennt jeder Datenschützer und jede Datenschützerin – du natürlich auch – weil es das Urteil war, dass das Recht auf informationelle Selbstbestimmung, also das Recht auf Datenschutz im Grunde, begründet hat. Ganz offiziell. Das wollte ich nur kurz einstreuen. Bitte fahre fort, Roland.
Roland Hoheisel-Gruler: Ganz genau. Ich verschone jetzt alle von den Inhalten dieses Urteils oder das auszulegen, sondern wir haben das bekommen und der bürgerrechtliche Aspekt, der ist doch kleben geblieben. Es heißt ja beispielsweise immer „habt euch nicht so mit dem Datenschutz, weil ihr tragt ja bei Facebook und Co auch eure digitale Haut zu Markte. Warum sollte es dann beim Staat nicht gehen?“. Aber genau aus den Gründen, die man damals schon vorgetragen hat: weil den Staat geht mein Privatleben erst mal nichts an. Es geht nicht darum, dass wer nichts zu verbergen hat, hat nichts zu befürchten, sondern der Staat muss eine deutliche Begründung dafür abliefern können, warum er jetzt an personenbezogenen Informationen über die Bürgerin oder den Bürger informiert sein möchte; warum er die braucht, warum man die in jedem einzelnen Verfahren braucht, wie lange er sie zu speichern gedenkt und wann die gelöscht werden. Das ist die so genannte Datenhoheit aus dem Recht auf informationelle Selbstbestimmung. Und jetzt kommt eben der zweite Schritt, dass man sagt: das reicht aber nicht mehr, wenn es nicht nur mehr klassisch darum geht, dass der Staat irgendwelche Daten über einen aufnimmt. Wenn wir mit dem Staat kommunizieren wollen, dann geht es nicht nur um die Frage der Preisgabe und Verwendung von personenbezogenen Daten aus der Privatsphäre heraus, sondern dann geht es darum: wie sichern wir den ganzen Kommunikationsweg ab, und wie gebe ich dann, bürgerrechtlich betrachtet, die Sicherheit, dass der Staat oder die Behörden für meine digitale Identität einstehen können. Also für die Sicherheit einstehen können und auch gegebenenfalls für die Privatheit und die Anonymität geradestehen können, wenn es denn in dem Verfahren nicht drauf ankommt, jetzt mit Klarnamen etc. unterwegs sein zu müssen.
Karina Filusch: Du hast wirklich tolle Punkte genannt. Ein Punkt oder ein paar Punkte davon regelt das OZG schon. Aber an einen Punkt erinnere ich mich jetzt ganz besonders: Du hast zum Beispiel die Speicherdauer erwähnt. Im Online-Zugangsgesetz sind zum Beispiel 30 Tage vorgesehen. Also man kann zum Beispiel einen Antrag vorausfüllen. Ich habe das selbst erprobt beim Elterngeld Antrag. Ich habe den ausgefüllt, da war ich hochschwanger, weil ich dachte „ach, naja, wenn das Kind da ist, habe ich keine Zeit und keine Lust mehr, diesen blöden, komplizierten Antrag auszufüllen. Also fülle ich den jetzt schon mal aus, dann habe ich meine Ruhe.“ Und der Antrag wurde dann nur 30 Tage gespeichert. Als das Kind dann da war und ich endlich Ruhe hatte, um das zu Ende auszufüllen – weil eine Angabe konnte ich nicht tätigen, nämlich den Geburtstag des Kindes. Das kann man ja erst im Nachhinein eintragen, das weiß man ja vorher leider nicht. Die hören ja nicht auf ein, die kommen wann sie wollen. Und dann war dort plötzlich alles gelöscht, weil die 30 Tage waren schon rum. Da war ich echt frustriert, weil ich den ganzen Mist noch einmal eintragen musste. Ich war echt richtig gefrustet. Und solche Sachen waren schon im OZG geregelt. Andere Sachen waren aber noch gar nicht geregelt beziehungsweise offengelassen. Zum Beispiel technische Standards. Die werden erwähnt im Online-Zugangsgesetz, sind aber vorher nicht definiert. Die sollen erst definiert werden. Vielleicht können wir auch noch mal kurz über die technischen Standards reden.
Roland Hoheisel-Gruler: Ja, können wir gerne machen. Zu dem Thema eben nochmal: Ja, auch mit dem Thema mit den Speicherfristen kann sich dadurch vielleicht ein Stück weit entschärfen lassen, oder zumindest der Pfeil, der beschrieben wurde, kann sich entschärfen lassen, wenn die eigene Hoheit über den Antrag bei den Bürgerinnen und Bürgern selbst bleibt. Weil woher kommt die 30 Tage Antragsstellungsfrist? Danach ist das Ding durch, dann hängt es entweder schon in der Sachbearbeitung, und dann braucht man es nicht mehr. Wenn aber noch eine Angabe fällt, dann wird das Ding weggelöscht. Die Bayern hatten da eine Möglichkeit in dem bayerischen Digitalisierungsgesetz, welche eben jeden nicht nur der Zugang eröffnet, sondern auch so eine Art Nutzerkonto. Über das man dann innerhalb des Kontos an- und abwählen kann, wie man mit den jeweiligen Informationen verfahren möchte. Dort kann man dann gegebenenfalls auch mal irgendwelche Anträge auf Halde legen und dann wieder löschen, wenn einem danach ist. Also, dass man in eine echte Kommunikation kommen kann, wo man so eine Art Safe-Space hat, indem ich quasi meine Behördenvorgänge online ablegen kann, so wie man es ja ansonsten auch analog macht. Sonst hätte man halt den Antrag genommen, soweit ausgefüllt, dann links zwei Löcher reingestempelt und abgeheftet. Die Möglichkeit muss praktisch bei einem durchdachten Kommunikationsweg bis ans Ende gehen können, und das eben entsprechend abgesichert.
Karina Filusch: Ich habe heute auf X, vormals Twitter, einen spannenden Tweet von Anke Domscheit-Berg gelesen. Sie ist Mitglied des Bundestages und gehört der Partei DIE LINKE an. Sie hatte die Bundesregierung gefragt, wie lange es dauert, um einen technischen Standard festzusetzen, unter anderem so einen technischen Standard für das Online-Zugangsgesetz, den wir ja brauchen. Denn ohne technischen Standard haben wir natürlich auch massig Sicherheitsrisiken. Sie hat ausgerechnet, dass im Schnitt drei Jahre benötigt wurden, um überhaupt einen Standard festzulegen. Das heißt, als der Standard festgelegt war, war er vermutlich schon wieder veraltet. Also so richtig glücklich macht das einen auch nicht, was man da mitbekommt.
Roland Hoheisel-Gruler: Das ist ein wesentlicher Punkt, an dem unsere Verwaltungsdigitalisierung insgesamt hakt. Wir sind ein föderales Land. 16 Länder, ein Bund. Die Aufgabenverteilung zwischen Bund und Ländern ist das eine, über das man sich dann unterhalten muss. Das zweite ist: was braucht man auf welcher Ebene, für welche Standards dann tatsächlich, dass es funktioniert? „Usability“ ist der erste Punkt. Usability darf nicht zu Lasten von Sicherheit gehen. Das bedeutet also: sichere Übermittlungswege, echte Ende-zu-Ende-Verschlüsselung kriegen wir hin. Warum kriegt man jetzt bei WhatsApp Schwierigkeiten mit Telekommunikationsüberwachung, weil WhatsApp das standardmäßig von Ende-zu-Ende verschlüsselt. Also die Technik ist da, man muss dann eben einsetzen können. Problematisch wird dann, wenn die Schnittstellen nicht aufeinanderpassen. Wenn die Schnittstellen von einem Land andere sind als von dem anderen. Aber da braucht es, meiner Meinung nach, mehr Abstimmung untereinander als nur das Bemühen, so eine einheitliche, große Gesamtlösung hin zu pappen. Wichtig ist, dass das Zeug dann am Ende zusammenpasst und dass man es zusammenstecken kann. Es muss dann auch der Safe-Space gewährleistet sein und dass die Kommunikation dann Ende-zu-Ende da reingeht und von dort, also von meinem Rechner, in meine digitale Arbeitshöhle und aus dieser digitalen Arbeitshöhle dann an die Behörden, an die es gehen soll.
Karina Filusch: Was denkst du, Roland? Wie wird das künftig nun weitergehen? Du hast zu Anfang der Folge erwähnt, dass das OZG vorgesehen hat, dass wir fünf Jahre Zeit haben, also dass die Bundesregierung fünf Jahre Zeit hat, um sicherzustellen, dass wir komplett digital mit dem Staat kommunizieren. Das ist ja, wie wir nun wissen, leider nicht eingetreten. Wir können, obwohl die fünf Jahre rum sind, immer noch nicht komplett digital mit dem Staat kommunizieren und müssen trotzdem noch zum Amt hingehen, wenn wir bestimmte Sachen erledigen wollen. Was denkst du, wie das künftig nun sein wird?
Roland Hoheisel-Gruler: Ich bin ein unverbesserlicher Optimist und hoffe, dass es also praktisch die nächsten fünf Jahre dann tatsächlich schneller geht und dass sich der Knoten durchaus mal löst. Was ich mir dazu wünschen würde, wäre eben ein Perspektivwechsel. Also dass man jetzt weggeht von dem, was jetzt auch das OZG II so an die Wand gefahren hat – also dieses Nachbesserungsgesetz, das jetzt im Bundesrat hängen geblieben ist. Dass man das vielleicht als Chance begreift und sagt: Okay, man muss nicht alles aus staatlicher Sicht regeln, und der Staat ist ja die Datenkrake par excellence, dass wir also erst mal alles uns holen, dann machen wir das bei uns safe, und dann klatschen wir irgendwie noch so etwas wie Datenschutz obendrauf. Indem wir dann „Weiterverwendung“ und „Löschung“ und so weiter regeln. Aber wenn man die Perspektive tatsächlich wendet und sagt, was brauchen Bürgerinnen und Bürger in der staatlichen Kommunikation, also im hoheitlichen Tätigkeitsfeld, dort sind wir ja noch unterwegs. Also, wenn ich einen Antrag stelle, dann möchte ich ja, dass meine grundrechtlich gesicherte Position durch den Staat auch zur Geltung gebracht wird: Wenn ich einen Anspruch auf eine Genehmigung habe, dass ich die dann auch schnell bekomme; wenn ich in Anspruch auf eine Sozialleistung bekomme, dass ich das Zeug dann anhaken und einhängen kann und es idealerweise bei den Sachbearbeiterinnen/Sachbearbeiter landet. Gegebenenfalls noch mit KI-Unterstützung, wenn es so weit ist. Und am Ende kommt dann auf diesem Kommunikationsweg auch relativ schnell eine rechtsmittelfähige Entscheidung zurück. Die muss dann eben nicht auf ein ausgedruckte Stück Papier warten. Das wäre so die Idee, die die nächsten fünf Jahre vielleicht gehen sollte. Wenn man ein bisschen in die anderen Länder guckt oder auch, wenn man nach Europa guckt, da muss es ja auch irgendwie funktionieren. Die europäische Zusammenarbeit, das ist ja nichts anderes unterm Strich, wie wenn die 16 Länder miteinander klarkommen müssen. Wo ich ein bisschen Bedenken habe – wie gesagt, ich bin Fan des föderalen Systems – wenn der Bund alles regelt und das dann so nach unten durchgereicht wird, dann gibt’s bestimmt mehr Friktionen, mit denen wir nicht unbedingt glücklich werden können. Also, Blick aus der Sicht der Usability – von den Bürgerinnen und Bürgern – aber nicht als Kunden des Warenhauses Staats, sondern als Grundrechtsträgerin/Grundrechtsträger, die im hoheitlichen Kontext unterwegs sind. Diese Frage muss man auch wirklich ernst nehmen. Das würde vielleicht ein Stück weit nach vorne helfen.
Karina Filusch: Das klingt doch gut! Ich bin auch eine unverbesserliche Optimistin. Roland, haben wir an alles gedacht? Haben wir was vergessen?
Roland Hoheisel-Gruler: „Datenschutz-Cockpit“ haben wir jetzt nicht angesprochen. Das ist ja eine Idee, die ein bisschen in die Richtung geht. Wobei das Datenschutz-Cockpit gelobt wird. Warum? Weil die betroffenen Menschen ein bisschen einen Überblick bekommen können, was überhaupt an Daten von ihnen vorhanden ist und in welchen Verfahrensgängen. Es ist für uns praktisch so eine Art Auskunft und Transparenzgeschichte auf die eigene Datenlage bezogen und im Zusammenhang mit der Registermodernisierung ein brauchbares Instrument. Wenn ich es richtig weiß, ist es nicht zuletzt auch auf Anregung von zivilgesellschaftlichen Initiativen mitentwickelt worden. Ich glaube nicht, dass es ausreicht, wenn ich nur weiß, was der Staat mit meinen Daten macht und woher er sie hat und wie viele sie hat – sondern ich möchte gerne eben die Hoheit drüber haben, selber zu entscheiden. Also nochmals über den Weg, denn ich gehe – den Kommunikationsweg. Ich möchte den Anspruch haben, dass der auch sicher ist und das, was das alte Recht auf informationelle Selbstbestimmung gesagt hat: dass ich selber über die Preisgabe und Verwendung meiner personenbezogenen Daten entscheiden kann.
Karina Filusch: Das Datenschutz Cockpit, das ist etwas, was das OZG vorsieht. Da kann man sich dann einloggen, um zu gucken, an wen welche Daten weitergegeben wurden, um die Kontrolle über die Daten zu haben. Also, das ist etwas, was das OZG auch vorsieht. Roland, dann würde ich jetzt zu meiner letzten Frage kommen. Was ist DaSou, also Datensouveränität, für dich?
Roland Hoheisel-Gruler: Es ist ein großes Wort. Es ist für mich die Grundlage, quasi das Betriebssystem für ein digitales Leben. Und zwar ein digitales Leben nicht nur in Bezug auf Kommunikation und Internet, sondern auch weitergehend in Bezug auf Smart-Home, Smart City und alles, wo wir datengetrieben uns ein angenehmes Leben machen können und auch wollen. Weil nämlich diese Datensouveränität – DaSou – mir praktisch die Hoheit darüber lässt, meine Privatheit, meine Lebenssphäre dann auch im Digitalen aktiv ordnen zu können und darüber entscheiden zu können, was von mir wo und wie bekannt ist, und ich nicht darauf angewiesen bin, zu hoffen, dass ich in Ruhe gelassen wurde.
Karina Filusch: Ja, lieber Roland, vielen lieben Dank, dass du heute mit uns über digitale Identitäten gesprochen hast. Ich habe viel Neues dazugelernt, und ich danke dir vielmals.
Roland Hoheisel-Gruler: Der Dank ist ganz auf meiner Seite, Karina. Auch dir herzliches Dankeschön für diesen schönen Abend, und ich freue mich schon auf das fertige Produkt.
Karina Filusch: Tschüß!
Roland Hoheisel-Gruler: Tschüß!
Karina Filusch: Ich hoffe, euch hat die Folge gut gefallen. Abonniert uns gerne und hinterlasst uns auch sehr gerne eine gute Bewertung in eurer Lieblings-Podcast-App. Ihr könnt uns zum Beispiel per E-Mail erreichen unter hallo@dasou.law. DaSou ist eine Produktion der Kanzlei Filusch. Mehr Infos findet ihr auf unserer Webseite www.dasou.law. Zur Redaktion gehören Lynn Böttcher und Karina Filusch. Editiert wurde der Podcast von Christoph Hinners. Der Jingle wurde, komponiert von Mauli. Die Idee zu DaSou hatte Axel Jürs. Bei der Konzeptionierung, unterstützte uns Susan Stone. Das Cover hat Hélène Baum gestaltet.