Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) warnt eindringlich vor der Verabschiedung des Registermodernisierungsgesetzes in der derzeitigen Fassung. Das Gesetz sieht den Einsatz der Steuer-Identifikationsnummer (Steuer-ID) als zentrales Ordnungsmerkmal in der öffentlichen Verwaltung vor, um den Datenaustausch zwischen Behörden zu erleichtern. Nachdem schon der Bundestag Ende Januar das Gesetz angenommen hat, ist nun die abschließende Beratung im Bundesrat vorgesehen.

OFFENE KRITIK DER DATENSCHUTZKONFERENZ (DSK)

Die Datenschutzkonferenz hatte bereits in ihren Entschließungen vom 12. September 20191 und vom 26. August 20202 erhebliche verfassungsrechtliche Kritik an diesem Vorhaben geäußert und auf die damit verbundenen Risiken hingewiesen. Durch die Schaffung eines solchen einheitlichen und verwaltungsübergreifenden Personenkennzeichens – auch in Verbindung mit einer entsprechenden Infrastruktur zum Datenaustausch – besteht die Gefahr einer missbräuchlichen Verknüpfung personenbezogener Daten und der Erstellung umfassender Persönlichkeitsprofile.

Das Bundesverfassungsgericht hat der Einführung derartiger Personenkennzeichen enge Schranken auferlegt, die hier missachtet werden. Der Blick auf den Anwendungsumfang der geplanten Regelung zeigt das Potenzial der möglichen missbräuchlichen Verwendung. In über 50 Registern soll die Steuer-ID als zusätzliches Ordnungsmerkmal aufgenommen werden. Auf diese Weise könnten beispielsweise Daten aus dem Melderegister mit Daten aus dem Versichertenverzeichnis der Krankenkassen sowie dem Register für ergänzende Hilfe zum Lebensunterhalt abgeglichen und zu einem Persönlichkeitsprofil zusammengefasst werden.

SICHERUNGEN GENÜGEN NICHT

Die im Gesetzentwurf vorgesehenen technischen und organisatorischen Sicherungen genügen nicht, um eine solche Profilbildung wirksam zu verhindern.

Diese stellen zwar sicher, dass nur autorisierte Behörden die erforderlichen Daten Ende-zu-Ende-verschlüsselt übermitteln, allerdings bieten sie keinen ausreichenden Schutz vor einer missbräuchlichen Zusammenführung der Daten zu ei-ner Person aus unterschiedlichen Registern. Zudem verzichtet das Gesetz für einen nicht unerheblichen Teil der Übermittlungen auch noch auf diese Sicherungen. Darüber hinaus sollten sich die Sicherheits- und Transparenzmaßnahmen des Gesetzesentwurfs auch auf den Steuerbereich erstrecken, in dem fortan ebenfalls das neue allgemeine Personenkennzeichen verwendet wird.

Die ausgedehnte Verwendung der Steuer-ID als einheitliches Personenkennzeichen steht zudem im Widerspruch zu ihrer ursprünglichen Funktion für rein steuerliche Sachverhalte. Nur aufgrund dieser Zweckbestimmung konnte sie bis-lang als verfassungskonform angesehen werden.

Die Datenschutzkonferenz hatte demgegenüber „sektorspezifische“ Personenkennziffern gefordert, die datenschutzgerecht und zugleich praxisgeeignet sind, weil sie einerseits einen einseitigen staatlichen Abgleich deutlich erschweren und andererseits eine natürliche Person eindeutig identifizieren. Dieses Modell wird in Österreich seit vielen Jahren erfolgreich praktiziert und könnte auch in Deutschland mit vertretbarem Aufwand eingeführt werden, wie dies von mehreren Sachverständigen im Anhörungsverfahren des Bundestages am 14. Dezember 2020 dargelegt wurde.

Gerade in Zeiten einer weitreichenden Digitalisierung staatlicher Verarbeitungsprozesse kommt es darauf an, diese auf Strukturen aufzusetzen, die sicherstellen, dass auch bei gegebenenfalls veränderten Rahmenbedingungen das Recht auf informationelle Selbstbestimmung verlässlich gewährleistet wird.

Die Datenschutzkonferenz appelliert erneut an den Gesetzgeber, auf die geplante Neukonzeption der Steuer-ID als registerübergreifendes Personenkennzeichen zu verzichten.