„Den gläsernen Bürger nicht nur rechtlich, sondern auch technisch verhindern“

Seit Jahren wird in Deutschland über die sogenannte steuerliche Identifikationsnummer diskutiert. Die Steuer-ID soll es Behörden erleichtern, untereinander Daten auszutauschen, indem sie als zentraler Bezugspunkt für unterschiedliche Register dient. Die ID ist lebenslang gültig, alle Bürger:innen erhalten sie vom Bundeszentralamt für Steuern bei Geburt.

Jurist:innen und Datenschützer:innen kritisieren eine solche Personenkennzahl unter anderem mit Bezug auf das Volkszählungsurteil des Bundesverfassungsgerichts als verfassungswidrig. Bei der Einführung der Steuer-ID im Jahr 2007 wurden Bedenken von Datenschützer:innen als „konstruierter Erregungszustand“ weggewischt, nur um dann 13 Jahre später genau das zu tun, wovor diese gewarnt hatten. Damals plante die Große Koalition unter Angela Merkel (CDU), die Steuer-ID dazu zu nutzen, um Verwaltungsdaten zusammenzuführen. Die Ampelkoalitionäre folgten trotz früherer Kritik diesem Konzept und auch die schwarz-rote Bundesregierung hält an diesem Plan fest.

Österreich hat bereits vor einigen Jahren einen anderen Weg eingeschlagen und das bereichsspezifische Personenkennzeichen (bPK) eingeführt. Sie ist eine Art Einweg-Kennzeichen, das für unterschiedliche Verwaltungsbehörden angepasst wird. Die bPK verspricht so einen höheren Datenschutz und steuerbare Hürden gegen behördenübergreifende Profilbildung – ohne eine effektive Verwaltungsdigitalisierung zu behindern.

Wir haben mit Heidi Scheichenbauer über das bereichsspezifische Personenkennzeichen gesprochen. Sie ist Senior Researcher und Senior Consultant am Research Institute – Digital Human Rights Center. Als Juristin forscht und lehrt sie zu künstlicher Intelligenz in der Verwaltung, Datenschutz im Non-Profit-Sektor und Plattformregulierung.

„Best-Practice-Beispiel“ aus Österreich

netzpolitik.org: In Deutschland geht es in der Debatte um Verwaltungsmodernisierung viel darum, Datensilos aufzubrechen. Österreich will diese möglichst aufrechterhalten. Warum ist das so?

Heidi Scheichenbauer: Tatsächlich haben wir in Österreich ein Best-Practice-Beispiel dafür, wie sich Daten in der Verwaltung datenschutzoptimiert verarbeiten lassen. Wir bauen eine digitale Verwaltung auf und verhindern zugleich den sprichwörtlichen „gläsernen Bürger“.

Bevor die Bundesregierung ein bundesweit einheitliches Personenkernzeichen einführt, sollte sie einen Blick auf ihr kleines Nachbarland werfen. Unsere Erfahrungen zeigen, dass Privacy by Design auch in diesem Bereich möglich ist.

netzpolitik.org: Wie kam es dazu?

Heidi Scheichenbauer: Im Jahr 2001 gab es in Österreich eine Volkszählung. Damals wurden sehr viele Daten über die Bevölkerung gesammelt und das erste Mal ein zentrales Melderegister auf Bundesebene eingerichtet.

Dieses Zentrale Melderegister (ZMR) enthielt eine Vielzahl an personenbezogenen Daten. Darunter den Namen, das Geschlecht, das Geburtsdatum, die Staatsangehörigkeit. Das allein ist datenschutzrechtlich schon sehr kritisch. Und dann vergab das ZMR allen Bürger:innen auch noch einen bundesweiten Identifikator, die sogenannte Stammzahl. Viele fürchteten damals, dass damit der gläserne Bürger geschaffen wird.

Man hat sich daher einen Weg überlegt, wie man dieses Datenschutzthema adressieren kann – und schuf die bereichsspezifischen Personenkennzeichen, kurz: bPK. Diese Personenkennzeichen beruhen auf der Stammzahl, sind aber für jeden Verwaltungsbereich anders.

Also hat eine Bürgerin zum Beispiel beim Finanzamt ein eigenes bPK, für die Sozialversicherung ist es ein anderes. Und die eine Behörde kann mit dem Kennzeichen, das ihr vorliegt, keine sinnvollen Anfragen bei einer anderen Behörde stellen.

Eine heikle Sache

netzpolitik.org: Eine bemerkenswerte Wende. Normalerweise wecken viele Daten auch viele Begehrlichkeiten.

Heidi Scheichenbauer: Es gab damals ein Bewusstsein dafür, dass die Daten im Zentralen Melderegister und die Verwendung eines einheitlichen Identifikators eine heikle Sache sind.

Bei der Einführung hagelte es daher Kritik an den geplanten Neuerungen. Bemängelt wurde unter anderem die mögliche Verknüpfung der vorliegenden Daten mit dem „Ursprungskennzeichen“, also der ZMR-Zahl. Denn damit ist eine behördenübergreifende Identifizierung einer bestimmten Person möglich.

Weiters wurde vorgebracht, dass das Kennzeichen eine Verknüpfung mit anderen individuellen Datensätzen ermögliche, beispielsweise aus der Einkommens- oder Volkszählungsstatistik.

Daten können – das zeigt auch der österreichische Postdatenskandal – sehr viel über das eigene Leben preisgeben, vom Wohnsitz bis zur vermuteten politischen Einstellung. Und dann wird auch klar, wie sehr man mit diesen Daten Menschen diskriminieren und manipulieren kann.

Ein Einweg-Kennzeichen für die Verwaltung

netzpolitik.org: Wie wird das bereichsspezifische Personenkennzeichen erzeugt?

Heidi Scheichenbauer: Es beruht auf der ZMR-Zahl, die im Zentralen Melderegister alle gemeldeten Personen erhalten. Aus ihr wird mit Hilfe eines Verschlüsselungsverfahrens die individuelle Stammzahl abgeleitet. Aus dieser Stammzahl wird dann für die jeweiligen Verwaltungsbereiche einzelne Ableitungen erzeugt.

netzpolitik.org: Erhält jede Behörde automatisch eine bPK für jede:n Bürger:in?

Heidi Scheichenbauer: Nein, nicht automatisch. Teilweise müssen die Behörden dafür zunächst bei der Stammzahlenregisterbehörde einen Antrag stellen, manchmal sogar ganz klassisch per Online-Formular. Bei dem Vorgang müssen Beamt:innen angeben, in welchem Verwaltungsbereich sie tätig sind. Es gibt aktuell rund 30 Tätigkeitsbereiche.

netzpolitik.org: Es gibt also für jede:n Bürger:in je nach Verwaltungsbereich individuelle Einwegskennzahlen. Das klingt recht aufwendig. Hat sich das im Alltag bewährt?

Heidi Scheichenbauer: Auf jeden Fall. Denn die Behörden können so nicht ohne weiteres behördenübergreifende Verarbeitungstätigkeiten vornehmen und damit auch kein Profiling betreiben.

Dafür sorgt auch eine Bereichsabgrenzungsverordnung, die unterschiedliche Verwaltungsbereiche voneinander trennt. Auch dem ging eine politische Diskussion voraus: Was gehört alles zu Steuern und Abgaben, was zu anderen Bereichen.

Auch diese Trennung soll den gläsernen Bürger verhindern. Nicht nur rechtlich, sondern eben auch technisch.

Strikte Trennung innerhalb der Verwaltung

netzpolitik.org: Wie kann eine Behörde denn mit anderen Behörden Daten austauschen?

Heidi Scheichenbauer: Das kann sie auf dem Wege der Amtshilfe tun. Es gibt auch die Möglichkeit, verschlüsselte bereichsspezifische Personenkennzeichen zu beziehen und dann so zu kommunizieren. Aber grundsätzlich ist das gesetzlich sehr strikt getrennt.

Das österreichische E-Government-Gesetz schreibt vor, dass zusammengehörige Lebenssachverhalte in ein und demselben Bereich zusammengefasst werden und dass miteinander unvereinbare Datenverarbeitungen innerhalb desselben Bereichs nicht vorgesehen sind.

netzpolitik.org: In der deutschen Debatte gibt es hingegen das Bestreben, Daten zusammenzuführen, weil die Verwaltung dann angeblich effizienter arbeiten könne. Gibt es eine ähnliche Debatte in Österreich?

Heidi Scheichenbauer: Auf der politischen Ebene haben wir aktuell keine Diskussion dahingehend, dass das bPK-System infrage gestellt wird. Es hat sich gut eingespielt und auch bewährt. In den vergangenen Jahren gab es auch keine politischen Bestrebungen, das System zu verändern. Auch Datenpannen oder Missbrauchsfälle gab es nicht. Zumindest keine, die öffentlich bekannt wurden.

Eine hundertprozentige Sicherheit gibt es, wie so oft im Leben, nicht. Die Privacy-by-Design-Maßnahmen verhindern hier aber tatsächlich sehr effektiv einen ansonsten prinzipiell möglichen Missbrauch.

netzpolitik.org: In Deutschland gilt die Devise, die Daten in einen großen Pool zu geben und den Behördenzugriff rechtlich zu regulieren. Ist das österreichische Modell aus deiner Sicht sicherer?

Heidi Scheichenbauer: Das ist ohne Zweifel sicherer, weil die meisten Risiken für die betroffenen Personen schon in der technischen Gestaltung signifikant gemindert werden. Es werden nämlich kryptografische Verfahren angewendet, die nicht umkehrbar sind. Von bPKs kann somit nicht mehr auf die Stammzahl zurückgerechnet werden. Das ist mathematisch schlicht nicht möglich.

Und auch organisatorisch ist das Zentrale Melderegister ein Ort, der sehr gut abgesichert ist, wie ich auch aus persönlicher Erfahrung weiß. Ich hatte vor vielen Jahren aus beruflichen Gründen einen Termin bei einem Dienstleister der Stammzahlenregisterbehörde. Damals machte ich die Erfahrung, dass man in das betreffende Gebäude nur sehr schwer hineinkommt.

Digitale Identitäten und künstliche Intelligenz

netzpolitik.org: In Österreich gibt es seit einigen Jahren die ID Austria. Zum Ende dieses Jahres soll in allen EU-Mitgliedstaaten die ID-Wallet starten. Welche Auswirkungen hat das auf die bPK?

Heidi Scheichenbauer: Die ID Austria ist ein digitaler Identitätsnachweis. Ich kann mich damit also gegenüber dem Finanzamt und dem Wohnungsamt ausweisen. Dadurch könnten theoretisch behördenübergreifende Profile erstellt werden. Doch es gibt Schutzmaßnahmen, die das verhindern sollen.

So müssen personenbezogene Daten pseudonymisiert und innerhalb bestimmter Fristen gelöscht werden. Die Daten dürfen außerdem, soweit es notwendig ist, nur von bestimmten Stellen verarbeitet oder übermittelt werden. Und sie unterliegen strengen Zugriffsrechten. Im Gegensatz zu den geplanten ID-Wallets der EU sieht die ID Austria gesetzlich sowohl gegenüber Behörden als auch privaten Einrichtungen einen strengen Akkreditierungsprozess unter anderem zur Sicherstellung der Datenminimierung, also des „minimal data set“ bei jeder Anwendung vor. An dem bestehenden System der bPK rüttelt die ID Austria also nicht.

netzpolitik.org: Der Einsatz von sogenannter Künstlicher Intelligenz wird mit Blick auf Verwaltungsdaten ebenfalls diskutiert. Gerade in der Sozialverwaltung gibt es Bestrebungen, Sprachmodelle mit den dort hinterlegten Daten zu trainieren. Gibt es ähnliche Debatten auch in Österreich?

Heidi Scheichenbauer: Durchaus und meist gilt das Datenschutzrecht dann als böse, weil es derartiges verhindere. Die österreichischen Verwaltungseinrichtungen äußern ihren Unmut vor allem über den Datenschutz, als dass sie nach Lösungen suchen. Dabei könnten sie etwa darüber nachdenken, wie KI-Training mit anonymen Daten möglich wäre. Das ist alles aber auch noch sehr im Fluss.