Welche Lehren kann die öffentliche Verwaltung aus dem Datenunfall ziehen, der gerade durch die Medien gegangen ist (siehe etwa SPIEGEL Online, netzpolitik.org und FTD)? Ende Juni wurde über die ARD-Sendung ”Report München” bekannt, dass die bei Behörden gespeicherten Daten tausender Bürger über das Internet abrufbar waren - durch eine Verknüpfung ungünstiger Umstände und Nachlässigkeiten.
Teilweise war später vereinfachend lediglich vom Zugriff auf Meldedaten die Rede. Dass auch auf Passfotos zugegriffen werden konnte, ist allerdings ein bemerkenswertes Detail. Passbilder sind kein Bestandteil der Meldedaten und müssen aus Datenschutzgründen in der Behörde getrennt von diesen gespeichert sein. Der Online-Abruf von Lichtbilddaten auf Pass- und Personalausweisregister durch Polizei- und Ordnungsbehörden ist nach § 22a PaßG und § 2c PersAuswG mittlerweile unter bestimmten Voraussetzungen zulässig (hierzu aufschlussreich eine Stellungnahme des Bundeskriminalamts).
Für die Bereitstellung im Internet wird aber weder das Melderegister noch das Passregister genutzt, sondern eine dritte Datenbank, das Informationsregister. Polizeiliche Informationsregister, enthalten in der Regel Teildatenbestände aus Melderegistern und sollen - insbesondere für polizeiliche Zwecke - rund um die Uhr bereitstehen. (Diese sind nicht zu verwechseln mit den Informationsregistern nach Informationsfreiheitsgesetz, wie z.B. in Bremen). Die Einführung polizeilicher Informationsregister ist in Deutschland vielerorts geplant. Einige Bundesländer, darunter Rheinland-Pfalz, Sachsen, Baden-Württemberg, Bayern und Hessen haben solche Datenbanken mit Teilbeständen aus dem Melderegister sogar zentral auf Landesebene eingeführt.
In der Stadt Henningsdorf wurden (nach Auskunft des Softwareunternehmens HSH) sowohl Daten aus dem Melderegister als auch Lichtbilddaten aus dem Passregister in das online zugängliche Informationsregister eingestellt. Grundsätzlich war der Abruf der Lichtbilder nur für Fälle vorgesehen, in denen die Daten außerhalb der Dienstzeiten dringend benötigt werden, aber kein Verwaltungsmitarbeiter diese Daten bereitstellen kann. Hier stellt sich die Frage, ob in Brandenburg die gemeinsame Speicherung von personenbezogenen Daten aus zwei Registern zulässig ist oder ob die Kommune bewusst gegen Datenschutzrecht verstoßen hat. Wie viele deutsche Behörden stellen heute ähnliche Mischregister im Internet bereit?
Die Planungen für ein zentrales Bundesmelderegister nehmen inzwischen klare Formen an (siehe hierzu die Nachricht bei Philip Banse - dort ist auch ein Gesetzesentwurf abrufbar). Die vorgeschlagene Datenbank hat starke Ähnlichkeit mit den Informationsregistern der Länder. Die Gesetzesentwurf sieht zunächst keine Speicherung von biometrischen Daten vor. Technisch ist eine Ergänzung oder Verknüpfung mit Lichtbildaten selbstverständlich nicht ausgeschlossen.
(Foto: schoschie bei flickr unter CC)
Was kann die öffentliche Verwaltung also aus der Meldedaten-Panne lernen? Zum einen sollte sich eine Kommunalverwaltung nicht darauf verlassen, dass ihre Datenbanken ein unattraktives Ziel für Computerkriminelle sind. Dort wo der Zugriff auf Bürgerdaten über das Internet erfolgt, muss auf sichere Datenübertragung nach dem Stand der Technik gesetzt werden. Der Einsatz von Transport Layer Security (Übertragung per https) und Passwörtern wie hier ist zwar ein Schritt in die richtige Richtung. Schöner wäre der Einsatz eines Verfahrens, bei dem weitestgehend sichergestellt ist, dass nur ein berechtigter Empfänger Daten erhält (etwa OSCI-Transport). Bei E-Government-Konzepten und in der Ausbildung sollte mehr auf Datenschutz und die Risikofaktoren Bequemlichkeit und Nachlässigkeit Rücksicht genommen werden. So könnte die Wahrscheinlichkeit für eine ähnliche Datenpanne in Zukunft gesenkt werden. Zum anderen sollte verhindert werden, dass durch die unkontrollierte Zusammenführung von personenbezogenen Bürgerdaten potentiell gefährliche Sammelregister entstehen, sei es nun auf kommunaler, auf Landes- oder Bundesebene.
Das Bundeskabinett hat am 25.6.2008 die Einführung des Elektronischen Entgeltnachweises (kurz: ELENA) beschlossen. Das Projekt, vormals auch unter dem Namen “JobCard” geläufig, war Gegenstand längerer Diskussionen zwischen den beteiligten Ressorts und wurde bis zuletzt auch in der Bundespolitik sowie unter Datenschützern kontrovers diskutiert. ELENA soll nun ab dem 1.1.2012 die bei der Beantragung von Sozialleistungen (Arbeitslosengeld I, Bundeserziehungsgeld oder Wohngeld) erforderlichen Entgeltbescheinigungen des Arbeitgebers ersetzen.
Zentrale Bedeutung beim ELENA-Verfahren kommt der elektronischen Signatur zu: Die Arbeitgeber sollen künftig die Einkommensdaten einer zentralen Speicherstelle melden, von der sie aber nur mit Einwilligung der Betroffenen abgerufen werden können. Diese Einwilligung dokumentieren die Antragsteller mit ihrer persönlichen Signaturkarte - die sie sich folglich zuvor besorgen müssen. In seiner Pressemitteilung zum ELENA-Beschluss führt das Bundeswirtschaftsministerium dazu aus: “Die Kosten des qualifizierten Zertifikates liegen nach Aussage der Wirtschaft zukünftig bei rund 10,- € für 3 Jahre. Genutzt werden alle Karten, auf die eine qualifizierte Signatur aufgebracht (aufgeladen) werden können. Dies sind der digitale Personalausweis, die Bankkarte, aber auch die Gesundheitskarte. Auf Antrag werden den Bürgern die Kosten für das Zertifikat erstattet, so dass sichergestellt ist, dass jeder seinen Anspruch auf eine Sozialleistung verwirklichen kann.”
(Foto: C. Hanken, ifib)
Nun sei dahin gestellt, ob sich die Preise für Zertifikate tatsächlich so entwickeln werden wie angekündigt, bislang liegen sie jedenfalls deutlich höher. Selbst wenn die prognostizierte Entwicklung eintrifft, bleibt zu fragen, auf welcher Karten die Signaturzertifikate gespeichert werden sollen. Die Gesundheitskarte ist selbst ein Sorgenkind - sollte sie dennoch bis zum ELENA-Start an alle Versicherten ausgegeben worden sein, wird es bei den der Bürgerinnen und Bürgern nachvollziehbare Vorbehalte geben, diese Karte außerhalb von Arztpraxen, Krankenhäusern und Apotheken aus der Hand zu geben. Bei der Bankkarte mögen solche Bedenken geringer sein - ob ihr Einsatz aber gerade bei der Beantragung von Sozialleistungen hohen Zuspruch findet, darf ebenfalls bezweifelt werden.
Bleibt also der elektronische Personalausweis. Auch er ist derzeit Gegenstand politischer Diskussionen, wird aber sicherlich früher oder später eingeführt werden. Nach den bisher vorliegenden Informationen plant das zuständige Bundesinnenministerium die Verwendung kontaktlos auslesbarer Chips. Der Grund dafür dürfte insbesondere im Geschwindigkeitsvorteil beim Auslesen der Daten bei Kontrollen an Grenzen oder durch die Polizei liegen. Für die Verwendung im E-Government bringt diese Lösung hingegen neue Probleme mit sich: Zunächst müssen die Trust Center ihre Infrastruktur modernisieren, um Zertifikate kontaktlos aufbringen zu können. Dies wird sich lösen lassen. Aber auch die Bürger, die den Ausweis zum Identitätsnachweis in der elektronischen Kommunikation einsetzen wollen, müssen sich passende Lesegeräte beschaffen. Gleiches gilt schließlich für die Ämter, die ELENA nutzen sollen. Sie werden sich sowohl auf die Nutzung herkömmlicher Chipkarten auf Bank- und Gesundheitskarten als auch auf kontaktlos auslesbare Chips auf dem neuen Personalausweis einzustellen haben. Wie dies in der Praxis aussehen kann, muss nun geklärt werden. Es bleibt also spannend.
Weitere Quellen zu ELENA:
Pressemitteilung des Bundeswirtschaftsministeriums vom 25.6.2008
Informationen des Bundeswirtschaftsministeriums zum ELENA-Verfahren
“Kritik und Lob für ELENA”, Meldung bei heise online vom 26.6.2008
Auf dem KGSt-Forum haben wir ein Spiel daraus gemacht: Standbesucher durften schätzen, was ein Rechnerarbeitsplatz in der öffentlichen Verwaltung monatlich kostet (und konnten dabei unter anderem einen iPod gewinnen). Die Spannbreite der Tipps reichte von 40 bis 10.501 Euro pro Verwaltungs-PC im Monat. Zwei Drittel der Teilnehmerinnen und Teilnehmer schätzten die Kosten auf weniger als 1.000 Euro/Monat, ein Drittel der Schätzungen lag darüber.
Bedenkt man die Unterschiede, die hinsichtlich der Ausstattung von PC-Arbeitsplätzen vorstellbar sind, kann es hier eine einzige, “richtige” Antwort selbstverständlich nicht geben. Wir haben diese Frage gestellt, um auf die Schwierigkeiten bei der Ermittlung solcher Kosten aufmerksam zu machen.
Untersuchungen aus verschiedenen Bereichen kommen zu sehr unterschiedlichen Ergebnissen:
In einer Studie, die das ifib im Auftrag von Schulen ans Netz e.V. im Jahr 2006 zu den Kosten der pädagogisch genutzten IT-Infrastruktur in Schulen bei vier deutschen Schulträgern durchgeführt hat, wurden für einen Schul-PC monatliche Kosten zwischen 38 und 64 Euro ermittelt. Für die öffentliche Verwaltung gibt es ältere Zahlen, die die KGSt für die IT-Unterstützung eines Büroarbeitsplatzes ermittelt hat und die sich auf 10.200 Euro pro Jahr belaufen (KGSt-Bericht 7/1996). Auch Zahlen von Unternehmensberatungen aus den USA zu den Kosten für einen “Standard Business PC” variieren mit Werten von 6.400 bis hin zu 13.000 $ pro PC und Jahr deutlich in Abhängigkeit von getroffenen Annahmen und verwendeten Berechnungsmodellen.
(Foto: mwichary bei flickr unter CC)
Seite 5 von 5 « Erste < 3 4 5
