Konzeption sogenannter Bürgerkonten vor. An den Sitzungen der Projektgruppe habe ich teilgenommen und
mich für den Datenschutz eingesetzt.
Insbesondere die Maßnahme zu Mindeststandards für den Zugang zu Bürgerkonten begrüße ich. Bürgerkonten
sind elektronische Portale, über die der Bürger seine Identifizierungsdaten, wie sie auf dem Chip des Personalausweises vorhanden sind, an Stellen der öffentlichen Verwaltung zur Verarbeitung für einzelne Verfahren weiterleiten kann. Damit wird eine einheitliche Basis für eine sichere sowie datenschutzgerechte Umsetzung von
Vertrauensdiensten gelegt. Das BSI hat in Umsetzung dieser Maßnahme eine zweiteilige Richtlinie „Elektronische Identitäten und Vertrauensdienste im E-Government“ herausgegeben, die für verschiedene Schutzbedarfsklassen die angemessenen technischen Mittel zur Gewährleistung der notwendigen IT-Sicherheit bei der Gestaltung von Vertrauensdiensten beschreibt. Dabei bilden Bürgerkonten in Bürgerportalen das Leitbild. Die Richtlinie schließt dabei nicht aus, dass entsprechende Portale etwa in kommunalen Rechenzentren betrieben werden,
die als Dienstleister für die Behörden arbeiten. Ich habe in diesem Zusammenhang auf § 21 Absatz 1 Personalausweisgesetz hingewiesen, der für die Nutzung der elektronischen Identifikationsfunktion des neuen Personalausweises enge Vorgaben macht. Dabei begrüße ich die Feststellung, dass die Identifizierung einer Person ein
flüchtiger Vorgang ist. Dies muss sich auch in der verwendeten Technologie widerspiegeln. Folglich dürfen
Bürgerkonten, die ausschließlich für die Identifizierung genutzt werden, grundsätzlich nur als temporäre Konten
angelegt sein.
Mit Blick auf die Schutzbedarfsklassen wurde neben einer Schutzbedarfsklasse „hoch“ auch eine Schutzbe darfsklasse „hoch+“ eingeführt, die sich von der Schutzbedarfsklasse „hoch“ allein durch gesetzliche Erfordernisse bei der Identitätsfeststellung unterscheidet und dementsprechend zwingend die Nutzung des neuen Personalausweises, von De-Mail oder den Einsatz qualifizierter elektronischer Signaturen erfordert. Die eigentlichen
Bedrohungsszenarien bleiben für beide Schutzbedarfsklassen gleich. Diese Kategorisierung wird aus meiner
Sicht noch zu Interpretationsproblemen führen, weil sich das Unterscheidungskriterium „gesetzliche Anforderung“ nicht auf Schutzbedarfsanforderungen bezieht, sondern eine „von außen“ kommende zusätzliche Anforderung betrifft.
Mit dem Ziel weiterer Standardisierung hat die Projektgruppe überdies auch Eckpunkte für ein interoperables
Identitätsmanagement erarbeitet, mit denen zugleich die Grundzüge für Bürgerkonten in Bürgerportalen skizziert werden. Weil Bürgerportale üblicherweise vor allem anonym nutzbare Informationsangebote bereithalten,
wurde dies entgegen der eigentlichen Zielstellung des Papiers ebenfalls beschrieben. Ich begrüße es sehr, dass
die Möglichkeit zur vollständig anonymen Nutzung von Angeboten ausdrücklich berücksichtigt wurde. Skeptisch bin ich hingegen mit Blick auf das in dem Eckpunktepapier vorgesehene Postfach zur Kommunikation
zwischen Behörde und Bürgerkontoinhabern. Damit wird neben De-Mail eine weitere Kommunikationsmöglichkeit geschaffen, die weiteren rechtlichen Regelungsbedarf nach sich zieht, wenn z. B. über diesen Weg zugegangene Bescheide auch im rechtlichen Sinne als zugestellt gelten sollen.
Die Projektgruppe wird sich auch damit beschäftigen, welche Verwaltungsdienstleistungen welcher Schutzbedarfsklasse zuzurechnen sind. Erfreulicherweise beschreibt die Technische Richtlinie „Elektronische Identitäten
und Vertrauensdienste im E-Government“ auch für die Schutzbedarfsklassen „normal“ und „hoch“ Mindeststandards zur Gewährleistung der IT-Sicherheit, d. h. Integrität, Unveränderbarkeit und Vertraulichkeit. Im Übrigen
sollte für jede Kommunikation mit einer Behörde auch die Möglichkeit einer Ende-zu-Ende-Verschlüsselung
angeboten werden.
5.11 De-Mail-Zertifizierung - erst neu, dann bewährt
Die datenschutzrechtliche Zertifizierung von De-Mail-Diensteanbietern gehört seit 2011 zu meinen Aufgaben.
Mittlerweile wurden mehrere Verfahren erfolgreich durchgeführt.
BfDI 25. Tätigkeitsbericht 2013-2014
– 87 –