Wer in der früheren DDR aufgewachsen ist, kann sich sicher noch an eine unscheinbare 12-stellige Nummer erinnern, die im Verkehr mit den unterschiedlichsten Institutionen genutzt wurde und praktischerweise direkt im Personalausweis gespeichert war. Ich spreche von der Personenkennzahl. Für die Bundesrepublik Deutschland dagegen ist eine solche einheitliche Personenkennzahl immer ein Tabu gewesen. Sie weckt Assoziationen an allgegenwärtige Überwachung und einen allwissenden Staat.
Mit genügend Geschichtsbewusstsein sollte man meinen, dass es keine gute Idee ist, ein solches System nun letztendlich dennoch einzuführen. Zumal das Bundesverfassungsgericht in seinem Mikrozensus-Urteil von 1969, vor allem aber im Maßstäbe setzenden Volkszählungsurteil von 1983 jeder Person einen persönlichen Innenraum zugestanden hat, in dem sie sich besitzt und in den sie sich zurückziehen kann. Sie müsse dort frei von Beobachtung sein. Da schon ein psychischer Druck, das Gefühl laufender Beobachtung ausreichen könne, um diesen Innenraum in seiner Unverletzlichkeit anzugreifen, müsse bereits das Risiko einer vollständigen Registrierung und Katalogisierung der Persönlichkeit ausgeschlossen werden.
Deshalb wertete das Bundesverfassungsgericht ein einheitliches verwaltungsübergreifendes Personenkennzeichen als entscheidenden falschen Schritt des Staates, die Bürger in ihrer ganzen Persönlichkeit zu registrieren und zu katalogisieren. Diese Erkenntnis und Festlegung ist heute so aktuell wie 1983, angesichts der steigenden Menge von Daten über jede Bürgerin und jeden Bürger eigentlich sogar noch wichtiger als damals.
Gleichwohl plant die Bundesregierung unter dem Stichwort der Registermodernisierung – die sogar zu einem Projekt des Corona-Konjunkturpakets geadelt wurde – genau dies: Die Einführung eines einheitlichen verwaltungsübergreifenden Personenkennzeichens. Es liegt auf der Hand, dass ein solches Vorhaben aus der Perspektive eines Datenschützers massive Fragen aufwirft.
Worum geht es?
Aufgrund des föderalen Systems und des sektoriellen Aufbaus der Verwaltung haben wir in Deutschland eine heterogene und dezentrale Landschaft staatlicher Register. Dies beginnt bei Registern in der Verantwortung der Kommunen und geht über länderbezogene Register bis zu Bundesregistern. Die Bandbreite reicht von Personenstandsregistern über die Melderegister bis zum Fahrzeugregister. Seit jeher finden in den erforderlichen Fällen Übermittlungen zwischen diesen Registern statt.
Die Digitalisierung der Verwaltung erfordert es naturgemäß, dass notwendige und erlaubte Datenübermittlungen zwischen verschiedenen Registern auch zuverlässig digital vorgenommen werden können. Dabei treten gegenwärtig manche Schwierigkeiten auf, die nunmehr behoben werden sollen. Ein zentrales Problem ist es, eine Person so zu identifizieren, dass Absender und Empfänger einer Übermittlung sicher sein können, dass sie über dieselbe Person „sprechen“. Dies scheitert beispielsweise daran, dass Namen in unterschiedlichen Schreibweisen gespeichert sind. Dies kann etwa dann geschehen, wenn Namen aus einer anderen Schrift in die lateinische Schrift transkribiert werden müssen. Auf der anderen Seite kommt es vor, dass zwei unterschiedliche Personen bei einer Vielzahl von Daten (Anschrift, Namen, Geburtsdatum) eine Übereinstimmung aufweisen, sodass auch hier eine eindeutige Identifizierung erschwert wird.
Es ist unbestritten, dass sich die Qualität der Register verbessern muss und dass es hier standardisierter Lösungen bedarf. Dies ist eine komplexe Aufgabe, da die dezentrale föderale Registerlandschaft auch von der Bundesregierung nicht in Frage gestellt wird. Dabei darf nicht vergessen werden, dass die dezentrale, jeweils fachbezogene Speicherung von Daten auch aus datenschutzrechtlichen Gründen geboten ist. Natürlich ist die Datenhaltung in den unterschiedlichen Registern redundant und manchmal widersprüchlich. Mit der sehr heterogenen Landschaft wird aber sichergestellt, dass eine Person grundsätzlich nachvollziehen kann, welche Behörde welche Daten über sie zu welchem Zweck speichert. Durch die bestehenden Hemmnisse bei der registerübergreifenden Kommunikation kann sie sich einigermaßen darauf verlassen, dass der Staat nicht ohne Weiteres ihre Daten zusammenführen und zweckwidrig verwenden kann.
Was ist das Problem?
Das soll nun nicht heißen, dass guter Datenschutz am besten mit einer mangelhaften Qualität der Register zu erreichen ist. Natürlich müssen Personen eindeutig identifiziert werden können. Das ist auch im Sinne des Datenschutzes, etwa wenn eine Person Auskunft über ihre Daten verlangt. Wir müssen aber aufpassen, das Kind nicht mit dem Bade auszuschütten. Auch die Erleichterung der Zusammenarbeit von Behörden und auch die Erleichterung von Verwaltungsvorgängen für die Bürgerinnen und Bürger (Stichwort: Daten nur einmal angeben) machen es nicht notwendig, die Sicherheitsbarrieren gegen eine unerlaubte Zusammenführung der Daten einfach niederzureißen.
Die Pläne für die Registermodernisierung sind dabei in vielen Punkten gar nicht schlecht und durchaus im Interesse der Bürgerinnen und Bürger. So soll durch die geplante und zum Teil schon bestehende Architektur sichergestellt werden, dass nur autorisierte Behörden miteinander kommunizieren dürfen und diese auch nur die zugelassenen Daten austauschen. Darüber hinaus soll eine Ende-zu-Ende-Verschlüsselung erfolgen und die Kommunikation grundsätzlich über eine vertrauenswürdige dritte Stelle in staatlicher Hand stattfinden, die keinen Zugriff auf die Inhalte der Kommunikation hat. Diese Sicherungen befinden sich allerdings im Wesentlichen innerhalb des Systems und bieten keinen ausreichenden Schutz gegen die missbräuchliche Zusammenführung der Daten zu einer Person, die aus unterschiedlichen Registern stammen, übrigens auch nicht bei Datenlecks.
Das entscheidende Defizit ist dabei, dass die Zusammenführung der Daten aus unterschiedlichen Registern durch eine einheitliche Identifikationsnummer geschehen soll, die viele Sicherheitsmaßnahmen entwertet. Obendrein soll die Steuer-ID als eine solche Identifikationsnummer dienen, da bereits jeder natürlichen Person in Deutschland eine solche zugewiesen ist. Die lebenslang gültige Steuer-ID ist mit dem Versprechen eingeführt worden, dass sie ausschließlich für steuerliche Zwecke verwendet werden soll. Nur unter dieser Prämisse ist sie übrigens auch mit dem Grundrecht auf Datenschutz vereinbar. Die vollständige verwaltungsübergreifende Öffnung der Steuer-ID ist daher inakzeptabel.
Wie machen es andere Länder?
Ein Blick nach Österreich zeigt, dass eine Registermodernisierung auch mit einem guten und strukturell verankerten Datenschutz gelingen kann. Dort gibt es bereits seit mehr als 15(!) Jahren ein bewährtes System mit bereichsspezifischen Personenkennzeichen für unterschiedliche Verwaltungsbereiche. Dieses System ist zugegebenermaßen komplex, aber erwiesenermaßen beherrschbar und mit Technologien von heute noch leichter umsetzbar. Es führt jedenfalls dazu, dass es mit Kenntnis einer bereichsspezifischen Kennziffer nur schwer möglich ist, Daten einer Person aus unterschiedlichen Registern zusammenzuführen, sowohl für staatliche Stellen als für unberechtigte Dritte.
Insgesamt würde ich mich freuen, wenn das sinnvolle und notwendige Vorhaben der Registermodernisierung auch mit dem bestmöglichen, fest verankerten Datenschutz verbunden wird. Ich hoffe, dass uns nicht wieder erst das Bundesverfassungsgericht vor einem zu neugierigen Staat schützen muss. Wer Vertrauen in Digitalisierung erreichen will, muss die Grundlagen dafür schaffen.
Ulrich Kelber ist Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI). Zuvor war er unter anderem Parlamentarischer Staatssekretär im Bundesministerium der Justiz und für Verbraucherschutz und stellvertretender Vorsitzender der SPD-Bundestagsfraktion.
