Seit Jahren wird in Deutschland über die sogenannte steuerliche Identifikationsnummer diskutiert. Die Steuer-ID soll es Behörden erleichtern, untereinander Daten auszutauschen, indem sie als zentraler Bezugspunkt für unterschiedliche Register dient. Die ID ist lebenslang gültig, alle Bürger:innen erhalten sie vom Bundeszentralamt für Steuern bei Geburt.

Jurist:innen und Datenschützer:innen kritisieren eine solche Personenkennzahl unter anderem mit Bezug auf das Volkszählungsurteil des Bundesverfassungsgerichts als verfassungswidrig. Bei der Einführung der Steuer-ID im Jahr 2007 wurden Bedenken von Datenschützer:innen als „konstruierter Erregungszustand“ weggewischt, nur um dann 13 Jahre später genau das zu tun, wovor diese gewarnt hatten. Damals plante die Große Koalition unter Angela Merkel (CDU), die Steuer-ID dazu zu nutzen, um Verwaltungsdaten zusammenzuführen. Die Ampelkoalitionäre folgten trotz früherer Kritik diesem Konzept und auch die schwarz-rote Bundesregierung hält an diesem Plan fest.

Österreich hat bereits vor einigen Jahren einen anderen Weg eingeschlagen und das bereichsspezifische Personenkennzeichen (bPK) eingeführt. Sie ist eine Art Einweg-Kennzeichen, das für unterschiedliche Verwaltungsbehörden angepasst wird. Die bPK verspricht so einen höheren Datenschutz und steuerbare Hürden gegen behördenübergreifende Profilbildung – ohne eine effektive Verwaltungsdigitalisierung zu behindern.

Wir haben mit Heidi Scheichenbauer über das bereichsspezifische Personenkennzeichen gesprochen. Sie ist Senior Researcher und Senior Consultant am Research Institute – Digital Human Rights Center. Als Juristin forscht und lehrt sie zu künstlicher Intelligenz in der Verwaltung, Datenschutz im Non-Profit-Sektor und Plattformregulierung.

„Best-Practice-Beispiel“ aus Österreich

netzpolitik.org: In Deutschland geht es in der Debatte um Verwaltungsmodernisierung viel darum, Datensilos aufzubrechen. Österreich will diese möglichst aufrechterhalten. Warum ist das so?

Heidi Scheichenbauer: Tatsächlich haben wir in Österreich ein Best-Practice-Beispiel dafür, wie sich Daten in der Verwaltung datenschutzoptimiert verarbeiten lassen. Wir bauen eine digitale Verwaltung auf und verhindern zugleich den sprichwörtlichen „gläsernen Bürger“.

Bevor die Bundesregierung ein bundesweit einheitliches Personenkernzeichen einführt, sollte sie einen Blick auf ihr kleines Nachbarland werfen. Unsere Erfahrungen zeigen, dass Privacy by Design auch in diesem Bereich möglich ist.

netzpolitik.org: Wie kam es dazu?

Heidi Scheichenbauer: Im Jahr 2001 gab es in Österreich eine Volkszählung. Damals wurden sehr viele Daten über die Bevölkerung gesammelt und das erste Mal ein zentrales Melderegister auf Bundesebene eingerichtet.

Dieses Zentrale Melderegister (ZMR) enthielt eine Vielzahl an personenbezogenen Daten. Darunter den Namen, das Geschlecht, das Geburtsdatum, die Staatsangehörigkeit. Das allein ist datenschutzrechtlich schon sehr kritisch. Und dann vergab das ZMR allen Bürger:innen auch noch einen bundesweiten Identifikator, die sogenannte Stammzahl. Viele fürchteten damals, dass damit der gläserne Bürger geschaffen wird.

Man hat sich daher einen Weg überlegt, wie man dieses Datenschutzthema adressieren kann – und schuf die bereichsspezifischen Personenkennzeichen, kurz: bPK. Diese Personenkennzeichen beruhen auf der Stammzahl, sind aber für jeden Verwaltungsbereich anders.

Also hat eine Bürgerin zum Beispiel beim Finanzamt ein eigenes bPK, für die Sozialversicherung ist es ein anderes. Und die eine Behörde kann mit dem Kennzeichen, das ihr vorliegt, keine sinnvollen Anfragen bei einer anderen Behörde stellen.

Eine Nummer, sie alle zu finden

Eine heikle Sache

netzpolitik.org: Eine bemerkenswerte Wende. Normalerweise wecken viele Daten auch viele Begehrlichkeiten.

Heidi Scheichenbauer: Es gab damals ein Bewusstsein dafür, dass die Daten im Zentralen Melderegister und die Verwendung eines einheitlichen Identifikators eine heikle Sache sind.

Bei der Einführung hagelte es daher Kritik an den geplanten Neuerungen. Bemängelt wurde unter anderem die mögliche Verknüpfung der vorliegenden Daten mit dem „Ursprungskennzeichen“, also der ZMR-Zahl. Denn damit ist eine behördenübergreifende Identifizierung einer bestimmten Person möglich.

Weiters wurde vorgebracht, dass das Kennzeichen eine Verknüpfung mit anderen individuellen Datensätzen ermögliche, beispielsweise aus der Einkommens- oder Volkszählungsstatistik.

Daten können – das zeigt auch der österreichische Postdatenskandal – sehr viel über das eigene Leben preisgeben, vom Wohnsitz bis zur vermuteten politischen Einstellung. Und dann wird auch klar, wie sehr man mit diesen Daten Menschen diskriminieren und manipulieren kann.

Ein Einweg-Kennzeichen für die Verwaltung

netzpolitik.org: Wie wird das bereichsspezifische Personenkennzeichen erzeugt?

Heidi Scheichenbauer: Es beruht auf der ZMR-Zahl, die im Zentralen Melderegister alle gemeldeten Personen erhalten. Aus ihr wird mit Hilfe eines Verschlüsselungsverfahrens die individuelle Stammzahl abgeleitet. Aus dieser Stammzahl wird dann für die jeweiligen Verwaltungsbereiche einzelne Ableitungen erzeugt.

netzpolitik.org: Erhält jede Behörde automatisch eine bPK für jede:n Bürger:in?

Heidi Scheichenbauer: Nein, nicht automatisch. Teilweise müssen die Behörden dafür zunächst bei der Stammzahlenregisterbehörde einen Antrag stellen, manchmal sogar ganz klassisch per Online-Formular. Bei dem Vorgang müssen Beamt:innen angeben, in welchem Verwaltungsbereich sie tätig sind. Es gibt aktuell rund 30 Tätigkeitsbereiche.

netzpolitik.org: Es gibt also für jede:n Bürger:in je nach Verwaltungsbereich individuelle Einwegskennzahlen. Das klingt recht aufwendig. Hat sich das im Alltag bewährt?

Heidi Scheichenbauer: Auf jeden Fall. Denn die Behörden können so nicht ohne weiteres behördenübergreifende Verarbeitungstätigkeiten vornehmen und damit auch kein Profiling betreiben.

Dafür sorgt auch eine Bereichsabgrenzungsverordnung, die unterschiedliche Verwaltungsbereiche voneinander trennt. Auch dem ging eine politische Diskussion voraus: Was gehört alles zu Steuern und Abgaben, was zu anderen Bereichen.

Auch diese Trennung soll den gläsernen Bürger verhindern. Nicht nur rechtlich, sondern eben auch technisch.

Strikte Trennung innerhalb der Verwaltung

netzpolitik.org: Wie kann eine Behörde denn mit anderen Behörden Daten austauschen?

Heidi Scheichenbauer: Das kann sie auf dem Wege der Amtshilfe tun. Es gibt auch die Möglichkeit, verschlüsselte bereichsspezifische Personenkennzeichen zu beziehen und dann so zu kommunizieren. Aber grundsätzlich ist das gesetzlich sehr strikt getrennt.

Das österreichische E-Government-Gesetz schreibt vor, dass zusammengehörige Lebenssachverhalte in ein und demselben Bereich zusammengefasst werden und dass miteinander unvereinbare Datenverarbeitungen innerhalb desselben Bereichs nicht vorgesehen sind.

netzpolitik.org: In der deutschen Debatte gibt es hingegen das Bestreben, Daten zusammenzuführen, weil die Verwaltung dann angeblich effizienter arbeiten könne. Gibt es eine ähnliche Debatte in Österreich?

Heidi Scheichenbauer: Auf der politischen Ebene haben wir aktuell keine Diskussion dahingehend, dass das bPK-System infrage gestellt wird. Es hat sich gut eingespielt und auch bewährt. In den vergangenen Jahren gab es auch keine politischen Bestrebungen, das System zu verändern. Auch Datenpannen oder Missbrauchsfälle gab es nicht. Zumindest keine, die öffentlich bekannt wurden.

Eine hundertprozentige Sicherheit gibt es, wie so oft im Leben, nicht. Die Privacy-by-Design-Maßnahmen verhindern hier aber tatsächlich sehr effektiv einen ansonsten prinzipiell möglichen Missbrauch.

netzpolitik.org: In Deutschland gilt die Devise, die Daten in einen großen Pool zu geben und den Behördenzugriff rechtlich zu regulieren. Ist das österreichische Modell aus deiner Sicht sicherer?

Heidi Scheichenbauer: Das ist ohne Zweifel sicherer, weil die meisten Risiken für die betroffenen Personen schon in der technischen Gestaltung signifikant gemindert werden. Es werden nämlich kryptografische Verfahren angewendet, die nicht umkehrbar sind. Von bPKs kann somit nicht mehr auf die Stammzahl zurückgerechnet werden. Das ist mathematisch schlicht nicht möglich.

Und auch organisatorisch ist das Zentrale Melderegister ein Ort, der sehr gut abgesichert ist, wie ich auch aus persönlicher Erfahrung weiß. Ich hatte vor vielen Jahren aus beruflichen Gründen einen Termin bei einem Dienstleister der Stammzahlenregisterbehörde. Damals machte ich die Erfahrung, dass man in das betreffende Gebäude nur sehr schwer hineinkommt.

Digitale Identitäten und künstliche Intelligenz

netzpolitik.org: In Österreich gibt es seit einigen Jahren die ID Austria. Zum Ende dieses Jahres soll in allen EU-Mitgliedstaaten die ID-Wallet starten. Welche Auswirkungen hat das auf die bPK?

Heidi Scheichenbauer: Die ID Austria ist ein digitaler Identitätsnachweis. Ich kann mich damit also gegenüber dem Finanzamt und dem Wohnungsamt ausweisen. Dadurch könnten theoretisch behördenübergreifende Profile erstellt werden. Doch es gibt Schutzmaßnahmen, die das verhindern sollen.

So müssen personenbezogene Daten pseudonymisiert und innerhalb bestimmter Fristen gelöscht werden. Die Daten dürfen außerdem, soweit es notwendig ist, nur von bestimmten Stellen verarbeitet oder übermittelt werden. Und sie unterliegen strengen Zugriffsrechten. Im Gegensatz zu den geplanten ID-Wallets der EU sieht die ID Austria gesetzlich sowohl gegenüber Behörden als auch privaten Einrichtungen einen strengen Akkreditierungsprozess unter anderem zur Sicherstellung der Datenminimierung, also des „minimal data set“ bei jeder Anwendung vor. An dem bestehenden System der bPK rüttelt die ID Austria also nicht.

netzpolitik.org: Der Einsatz von sogenannter Künstlicher Intelligenz wird mit Blick auf Verwaltungsdaten ebenfalls diskutiert. Gerade in der Sozialverwaltung gibt es Bestrebungen, Sprachmodelle mit den dort hinterlegten Daten zu trainieren. Gibt es ähnliche Debatten auch in Österreich?

Heidi Scheichenbauer: Durchaus und meist gilt das Datenschutzrecht dann als böse, weil es derartiges verhindere. Die österreichischen Verwaltungseinrichtungen äußern ihren Unmut vor allem über den Datenschutz, als dass sie nach Lösungen suchen. Dabei könnten sie etwa darüber nachdenken, wie KI-Training mit anonymen Daten möglich wäre. Das ist alles aber auch noch sehr im Fluss.

Google hat angekündigt, dass sich alle Entwickler:innen von Android-Apps zentral bei Google registrieren müssen, damit ihre Anwendungen auf Android-Geräten installiert werden können. Dass soll auch für solche Apps gelten, die über alternative App-Stores oder als direkte Downloads verfügbar sind. Die Registrierungspflicht soll laut Google böswillige Akteure abschrecken und die Verbreitung schädlicher Apps erschweren. Im September 2026 soll sie in den ersten Ländern wirksam und 2027 weltweit ausgerollt werden.

Nach ersten Protesten schien Google einzulenken, die Änderungen sind jedoch eher kosmetisch und das weitere Vorgehen laut Kritikern intransparent.

Eine breite Allianz von Organisationen aus der Zivilgesellschaft sowie gemeinnützigen Einrichtungen und Technologieunternehmen wehrt sich jetzt mit einer Protestnote und einer Kampagne gegen diese Pläne. Unterzeichnet haben nicht nur namhafte Organisationen wie die Free Software Foundation, der Chaos Computer Club und die EFF, sondern auch der alternative App-Store F-Droid sowie die Unternehmen Proton oder Tuta. Im Brief heißt es:

Die zwangsweise Einführung eines fremden Sicherheitsmodells, das der historischen Offenheit von Android zuwiderläuft, gefährdet Innovation, Wettbewerb, Datenschutz und die Freiheit der Nutzer. Wir fordern Google dringend auf, diese Richtlinie zurückzuziehen und gemeinsam mit der Open-Source- und Sicherheits-Community an weniger restriktiven Alternativen zu arbeiten.

Nutzung von Handys ohne Google in Gefahr

Das Betriebssystem Android erlaubt bislang, im Gegensatz zu Apples iOS, dass die Nutzer:innen Apps abseits von Googles App-Store in alternativen Stores oder einfach als Software von Webseiten herunterladen und installieren können. So war es möglich, dass die Nutzer:innen das System auch unabhängig von Google-Diensten nutzen konnten. Dieses Prinzip sehen die Kritiker nun in Gefahr:

Die vorgeschlagene Entwicklerregistrierungsrichtlinie verändert diese Beziehung grundlegend, indem sie Entwickler, die Apps über alternative Kanäle […] vertreiben möchten, dazu verpflichtet, zunächst die Genehmigung von Google durch einen obligatorischen Verifizierungsprozess einzuholen, der die Zustimmung zu den Nutzungsbedingungen von Google, die Zahlung einer Gebühr und das Hochladen eines amtlichen Ausweises umfasst.

Damit erweitere Google seinen großen Einfluss über den eigenen Marktplatz hinaus auf Vertriebskanäle, in denen der Konzern keine legitime operative Rolle spiele, so die Kritik. Weiter heißt es: „Die Zentralisierung der Registrierung aller Anwendungen weltweit gibt Google außerdem neue Befugnisse, jede beliebige App aus beliebigen Gründen für das gesamte Android-Ökosystem vollständig zu deaktivieren.“

Das Bündnis fürchtet zudem Barrieren für den Marktzugang, zum Beispiel von kleinen Teams mit begrenzten Ressourcen oder von Aktivist:innen, die in ihren Ländern verfolgt und kriminalisiert werden. Vor dem Hintergrund, dass Google auf Druck der US-Regierung in jüngster Vergangenheit zum Beispiel Apps gegen die Migrationstruppe ICE aus dem Store nahm, sind solche Bedenken nachvollziehbar. Die Registrierungspflicht könnte solche Maßnahmen über den App-Store hinaus ermöglichen.

Pläne stärken Googles Macht und Wettbewerbsposition

Weitere Bedenken beziehen sich auf Datenschutz und Überwachung: Durch die Registrierungspflicht entstehe bei Google eine umfassende Datenbank aller Android-Entwickler:innen, unabhängig davon, ob sie die Dienste von Google nutzen oder nicht. Zudem ergäben sich durch das Verfahren Risiken wie eine Kontoschließung, so die Kritiker:innen.

Bestehende App-Prüfungsverfahren von Google seien schon heute wegen undurchsichtiger Entscheidungsfindung, inkonsistenter Durchsetzung und begrenzter Beschwerdemechanismen in der Kritik. Die Ausweitung dieses Systems auf Apps für alle Android-zertifizierten Geräte berge deswegen Risiken, unter anderem willkürliche Ablehnungen von Apps oder den Einfluss von politischen oder wettbewerbsbezogenen Erwägungen, welche die Registrierungsgenehmigungen beeinflussen könnten.

Die neue Richtlinie ermögliche Google zudem Einblicke in den Wettbewerb. Diese Informationsasymmetrie verschaffe Google erhebliche Wettbewerbsvorteile, ermögliche es dem Unternehmen, konkurrierende Produkte und Dienste zu vereinnahmen, zu kopieren und zu untergraben, und kann viele Fragen zum Kartellrecht aufwerfen, so der Protestbrief.

Die Unterzeichnenden fordern deswegen Google auf, die obligatorische Registrierung für den Vertrieb durch Dritte unverzüglich aufzuheben. Das Unternehmen solle einen transparenten Dialog mit der Zivilgesellschaft, Entwickler:innen und Regulierungsbehörden über Verbesserungen der Android-Sicherheit zu führen sowie Offenheit und Wettbewerb respektieren. Die Initiative hat zudem eine Petition gestartet, um die Forderungen zu untermauern.

Der Schweizer Messenger Threema soll quantensicher werden. Hierzu ist das Unternehmen eine Partnerschaft mit IBM Research eingegangen, wie Threema mitteilte. Durch frühzeitige Absicherung der Chats soll erreicht werden, dass diese rückwirkend nur begrenzt entschlüsselt werden können, sobald Quantencomputer über die nötige Zahl fehlerfreier Qubits verfügen.

Die Sorge, die Sicherheitsforscher umtreibt, heißt: „Harvest Now, Decrypt Later“. Wer mit heutigen Methoden verschlüsselte Kommunikation „erntet“, könnte sie später aufschließen, um daraus Kapital zu schlagen. Aus diesem Grunde gibt es mit Signal und Apple iMessage erste Messengerdienste, die bereits auf Post-Quanten-Kryptografie setzen. Threema war hier bislang noch außen vor, obwohl die Schweizer die Sicherheitsversprechen hoch ansiedeln. Eine Analyse der Deutschen Gesellschaft für Auswärtige Politik (DGAP) im November 2024 kam zum Ergebnis, dass der Messenger ähnlich wie WhatsApp, Telegram und andere „quantenunsicher“ ist.

Threema setzt auf ML-KEM

Eingesetzt werden soll künftig der Algorithmus ML-KEM – ein neues Verschlüsselungsverfahren, das auch Quantencomputern standhält. Er wurde maßgeblich von IBM-Forschern entwickelt und im Sommer 2024 vom US-Standardisierungsinstitut NIST offiziell zertifiziert. Die Idee ist nicht, die bisherige Verschlüsselung zu ersetzen, sondern sie mit dem neuen Verfahren zu kombinieren – ein sogenannter hybrider Ansatz.

Signal setzt auf „PQXDH“ (Post-Quantum Extended Diffie-Hellman) und schützt den Beginn einer Unterhaltung vor Quantencomputern, danach läuft die Verschlüsselung aber klassisch weiter. Apple geht mit PQ3 weiter und erneuert den Quantenschutz auch während laufender Chats regelmäßig – so erholt sich die Verbindung automatisch, selbst wenn ein Schlüssel kompromittiert wurde. Threema hat beides noch nicht, kündigt aber mit IBM genau das an – wie tiefgreifend die Umsetzung wird, ist noch offen.

Noch kein konkreter Zeitplan

IBM Research ist hier kein zufälliger Partner. Die Kryptografen des Konzerns haben zwei der drei neuen NIST-Standards selbst mitentwickelt. IBM betreibt zudem das sogenannte „Quantum Safe“-Programm, das Unternehmen bei der Migration auf quantensichere Infrastruktur begleitet.

Einen konkreten Zeitplan oder eine fertige Implementierung gibt es noch nicht. Die Partnerschaft ist derzeit auf Forschungsebene. Außerdem steht Threema gerade selbst unter neuer Führung – der Finanzinvestor Comitis Capital übernahm den Dienst erst im Januar 2026.

(mki)