Registermodernisierungsgesetz E-Book

Am 31. August 2023 hat das Bundesministerium des Innern und für Heimat im Bundesgesetzblatt bekannt gegeben, dass die technischen Voraussetzungen für den Betrieb nach dem Identifikationsnummerngesetz gegeben sind und somit Artikel 1, 2 und Teile des Artikels 3 des Registermodernisierungsgesetzes in Kraft treten können.1 Am 1. November 2023 ist der restliche Teil des Artikels 3 in Kraft getreten.2 Binnen fünf Jahren werden nun die Register die Identifikationsnummer (ID-Nr.) als zusätzliches Ordnungsmerkmal speichern. Damit nimmt die Umsetzung des Gesetzes Fahrt auf, das für die weitere Digitalisierung der Verwaltung fundamental ist: Solange Bürgerinnen und Bürger zwar Anträge digital stellen können, aber stets von Neuem die erforderlichen Nachweise beibringen müssen, obwohl diese in einer anderen Behörde vorliegen, bleibt die Verwaltung hinter den Möglichkeiten und Ansprüchen des 21. Jahrhunderts zurück.

Ohne eindeutige Zuordnung von Daten zur Person keine digitale ­Verwaltung

Dahinter steckt ein im Grunde banales Problem: Es gibt bisher keine Möglichkeit, die Datensätze registerübergreifend zweifelsfrei und dauerhaft der richtigen Person zuzuordnen. Denn bisher geschieht die Zuordnung mithilfe von personenbezogenen Daten wie Namen, Geburtsdatum und Adressen. Die Erfahrung hat gezeigt, dass diese Zuordnung nicht mit einer für durchgängig digitale Prozesse erforderlichen Zuverlässigkeit funktioniert: Alle diese Daten können sich ändern, sie können inaktuell, falsch oder einfach auf eine unterschiedliche Weise erfasst worden sein, wie die beigefügte Illustration3 zeigt:

Wenn eine eindeutige, automatisierte Zuordnung nicht gelingt, muss entweder die Datenübermittlung ohne Ergebnis abgebrochen werden, oder es wird eine Trefferliste mit mehreren infrage kommenden Personendatensätzen erzeugt und anschließend eine manuelle Zuordnung durch einen Sachbearbeiter vorgenommen. In beiden Fällen wird der digitale Prozess unterbrochen. Im zweiten Fall werden außerdem zwangsläufig Daten unbeteiligter Personen verarbeitet, nämlich diejenigen in der Trefferliste, die nicht gemeint sind. Diesen Zustand möchte man unter dem Gesichtspunkt des Datenschutzes vermeiden. Dieser Zustand erlaubt es aber auch nicht, für die Bearbeitung von Ansprüchen der Bürgerinnen und Bürger die in der Verwaltung bereits vorhandenen Daten zu nutzen, also das sog. Once-Only-Prinzip umzusetzen. Stattdessen müssen die Bürgerinnen und Bürger die Zuordnung der Datensätze zu ihrer Person vornehmen, indem sie diese Daten aus den Bereichen der Verwaltung zusammentragen, in denen sie vorliegen und sie als Nachweise ihren Anträgen beifügen oder in Formulare eintragen.

Welches Ärgernis solche Verfahren auslösen, haben zuletzt Millionen von Grundstückseigentümern bei der Neuregelung der Grundsteuer erlebt. Es geht hierbei aber nicht nur um guten Bürgerservice. Es widerspricht auch der sozialen Gerechtigkeit, wenn Menschen die ihnen zustehenden sozialen Leistungen nicht abrufen, weil ihnen die Ressourcen an Zeit und Kraft fehlen, um die erforderlichen Nachweise zusammenzutragen. Andere wiederum können Kontrolldefizite ausnutzen und so Leistungen erhalten, die ihnen nicht zustehen.

Nicht nur Digitalisierung, auch ihr Unterlassen birgt Risiken für den ­demokratischen Rechtsstaat

Die demographische Entwicklung bedingt, dass guter Bürgerservice mehr denn je davon abhängt, die Potenziale der Digitalisierung zu nutzen. Mehr noch: Die Verwaltung wird anders gar nicht mehr in der Lage sein, ihre Aufgaben zu erfüllen. Im kommunalen Bereich, der die Hauptlast der Verwaltung trägt, treten in den nächsten 10 Jahren ca. 30 % der Beschäftigten in den Ruhestand, in den nächsten 20 Jahren ca. 55 % der Beschäftigten.4 Es wäre illusorisch, anzunehmen, dass diese Altersabgänge durch Neueinstellungen auch nur annähernd kompensiert werden können. Die Fähigkeit staatlicher Institutionen, ihre Aufgaben auf einem zufriedenstellenden Niveau zu erfüllen, ist jedoch Voraussetzung dafür, dass der demokratische Rechtsstaat in der Konkurrenz mit autoritären, vermeintlich effizienteren Systemen bestehen kann. Das Vertrauen der Bürgerinnen und Bürger in die Handlungsfähigkeit des Staates ist auf einen neuen Tiefstand gesunken. 66 % halten den Staat für überfordert.5 Die schleppende Digitalisierung dürfte einen guten Teil zu diesem Urteil beitragen.

Strukturelle Probleme durch austauschhindernde Registerlandschaft

Dass die Digitalisierung nur schwer vorankommt, hat auch damit zu tun, dass die Datenhaltung der Verwaltung bisher nicht darauf ausgelegt war, dass Behörden Daten miteinander teilen. Vielmehr sollte jede Behörde möglichst alle Daten, die sie für ihre Aufgaben benötigte, von den Bürgern selbst erheben. Der sog. Direkterhebungsgrundsatz, der in § 4 Abs. 2 BDSG a. F. enthalten war, gehörte bis zum Inkrafttreten der EU-Datenschutzgrundverordnung zu den tragenden Grundsätzen des deutschen Datenschutzrechts und beschreibt im Grunde das genaue Gegenteil des „Once-Only-Prinzips“. Somit war eine „Registerlandschaft“ entstanden, die aus zahlreichen fachspezifischen Datensilos bestand, die nur in sehr engen rechtlichen Grenzen miteinander kommunizieren durften und dies auch technisch selten konnten. So fiel lange nicht allzu schwer ins Gewicht, dass ein registerübergreifend einheitliches und dauerhaftes Ordnungsmerkmal, eine „Personenidentifikationsnummer“, fehlte und aufgrund des Volkszählungsurteils des BVerfG vielfach pauschal für verfassungswidrig gehalten wurde.

Flüchtlingssituation als Weckruf: Die Defizite zeigen sich massiv

Dies änderte sich dramatisch, als 2015/2016 eine Personengruppe auf den Plan trat, die den ohnehin prekären Zuordnungsmechanismus anhand von Personendaten vollends überlastete: Binnen kurzer Zeit erreichten über eine Million von Schutzsuchenden überwiegend aus Syrien, Irak und Afghanistan Deutschland. Sie kamen häufig ohne Identitätsdokumente oder mit Pässen in nichtlateinischen Schriften. Unterschiedliche Namensschreibweisen, Mehrfacherfassung in wechselnden Unterkünften und mangelnder Datenaustausch sorgten anfänglich für chaotische Verhältnisse in den zuständigen Behörden, bis es unter anderem mit Hilfe von zwei „Datenaustauschverbesserungsgesetzen“6 gelang, die Verwaltung der Schutzsuchenden in geordnetere Bahnen zu lenken.

Onlinezugangsgesetz und NKR-Gutachten stoßen eine Diskussion an

2017 wurde das Onlinezugangsgesetz (OZG) beschlossen. Damit entstand die gesetzliche Verpflichtung von Bund und Ländern, binnen fünf Jahren rund 575 Verwaltungsleistungen zu digitalisieren. Im selben Jahr widmete der Nationale Normenkontrollrat sein jährlich vergebenes Gutachten der Registermodernisierung. Es sollte der Frage nachgehen, wie die Register der Verwaltung ertüchtigt werden müssen, um eine digitale Abwicklung von Verwaltungsleistungen bestmöglich zu unterstützen.7

Die Initialzündung: Registerverantwortliche blicken in die Zukunft

Parallel zu den Autoren des NKR-Gutachtens beschäftigte dieselbe Frage eine Gruppe von Praktikern aus den Innenministerien des Bundes und der Länder mit Verantwortung für die Register der Innenverwaltung (u. a. der Melde- und Personenstands-, Pass- und Personalausweisregister sowie der Ausländerbehörden) sowie Experten in der Koordinierungsstelle für IT-Standards (KoSIT) und des Deutschen Städtetags. Hinter diesen Personen lag die Erfahrung mit der Flüchtlingssituation von 2015/16. Sie sahen aber auch die Redundanzen, Mängel der Datenqualität und fehlende Vernetzung in den übrigen Registern der Innenverwaltung. Sie kamen in einem Workshop in Düsseldorf im September 2017 zu dem Ergebnis, dass es grundlegender Reformen bedürfe, um die Register in ihrer Verantwortung für eine digitale Erbringung von Verwaltungsleistungen zu ertüchtigen. Zu diesen gehörten ein registerübergreifendes Identitätsmanagement und die Stärkung der Interoperabilität von Verwaltungsregistern.

Der Workshop setzte einen Erkenntnis- und Willensbildungsprozess in Gang, der sich zu Beginn wesentlich in den Gremien der Innenministerkonferenz (IMK) vollzog. Parallel fand in den Gremien des IT-Planungsrats die Auseinandersetzung mit dem NKR-Gutachten statt.8

Bund-Länder-Arbeitsgruppe entwickelt Reformansätze für die ­Innenverwaltung

Vorbereitet wurden die Beschlüsse der IMK durch die Berichte der „Bund-Länder-Arbeitsgruppe Registerübergreifendes Identitätsmanagement“ (BLAG) unter Federführung des BMI, in welcher Experten aus den betroffenen Bereichen der Innenverwaltung, u. a. Meldewesen, Personenstandswesen, Ausländerwesen, Staatsangehörigkeitswesen, Pass- und Personalausweiswesen und Statistik vertreten waren. Ebenso waren die Koordinierungsstelle für IT-Standards (KoSIT), die Föderale IT-Kooperation (FITKO), die Bundesministerien der Finanzen (BMF) und der Justiz und für Verbraucherschutz (BMJV) beteiligt. Auch Vertreter der Datenschutzkonferenz waren frühzeitig in die Arbeit der BLAG eingebunden.

Von Beschluss zu Beschluss: Die IMK steuert Registermodernisierung in der Innenverwaltung

Die Ergebnisse dieses Prozesses sind in den entsprechenden Beschlüssen der IMK und den Anlagen dazu dokumentiert, erstmals in dem Beschluss der Herbstsitzung 2018 zu TOP 14:9

Ferner bat die IMK das BMI darum, bis zur Frühjahrssitzung 2019 einen Vorschlag für die Verbesserung des Identitätsmanagements auszuarbeiten, der die Ausführungen zu TOP 5 „Digitalisierung der Verwaltung“ der Jahreskonferenz der Regierungschefinnen und Regierungschefs der Länder vom 24. bis 26.10.201810 berücksichtigen sollte.

Der Vorschlag des BMI, der unter Beteiligung des IT-Planungsrates und der Vorsitzenden des AK I und des AK II der Innenministerkonferenz zustande gekommen war, betrachtete die Registermodernisierung von der Warte der Innenverwaltung aus, dort jedoch noch umfassend einschließlich der Belange des Sicherheitsbereichs:

Der Vorschlag enthielt folgende wesentlichen Elemente:

In ihrer Frühjahrssitzung 2019 bat die IMK das BMI, auf Grundlage dieses Vorschlags die konzeptionellen Arbeiten unter Einbeziehung der Länder und der Koordinierungsstelle für IT-Standards (KoSIT) fortzuführen und darum, ihr bis zur Herbstsitzung 2019 einen Zwischenbericht vorzulegen, der die erforderlichen Rechtsänderungen darstellen und Optionen für die fachliche und technische Realisierung eines registerübergreifenden Identitätsmanagements beinhalten sollte.15

Eine Vorstellung von der Registerlandschaft der Zukunft entsteht

Die in der BLAG erarbeiteten konzeptionellen Grundlagen sind in dem Bericht des BMI „Registerübergreifendes Identitätsmanagement als Teil der Registermodernisierung – Zwischenbericht für die Innenministerkonferenz 4.–6. Dezember 2019“ zusammengefasst.16 Hier zeichneten sich bereits Grundzüge des späteren Registermodernisierungsgesetzes ab, aber auch offene Fragen und Handlungsalternativen.

In ihrer Herbstsitzung 2019 bat die IMK das BMI um einen Abschlussbericht zu einer Sondierung einer möglichen Nutzung der Steuer-Identifikationsnummer, der ID-Nummer-Datenbank im Bundeszentralamt für Steuern und der dort eingerichteten Prozesse zur Qualitätsverbesserung als Basis für ein zukünftiges zentrales Identitätsregister unter Berücksichtigung des rechtlichen und technischen Anpassungsbedarfs.17

Einhellige Meinung: Ein neuer verfassungskonformer Mechanismus für Zuordnung von Daten zu Personen ist notwendig

Im Abschlussbericht des BMI18 wurde die Systematik des künftigen IDNrG skizziert. Es herrschte Einigkeit unter allen Beteiligten einschließlich der Vertreter der Datenschutzkonferenz, dass das System der Personenzuordnung durch ein Set von Grunddaten defizitär ist und durch ein besseres abgelöst werden sollte. Einigkeit bestand auch darin, dass jedenfalls die umfassende Registrierung und Katalogisierung durch die Zusammenführung einzelner Lebens- und Personaldaten zur Erstellung von Persönlichkeitsprofilen der Bürger verfassungsrechtlich verboten ist. Da bereits der bloße Eindruck, dass dies möglich sei, eine freiheitsgefährdende Wirkung entfalten könnte, bestand auch Einigkeit darüber, dass neben den Auskunftsrechten nach der DSGVO und den Rechtsnormen über die Zulässigkeit von Datenübermittlungen als zusätzliches Transparenzinstrument ein Datenschutzcockpit eingerichtet werden sollte.

Die Systemfrage: Einer oder mehrere Identifier?

Unterschiedliche Auffassungen gab es zu der Frage, ob das Identitätsmanagement verfassungsrechtlich zulässig auf der Basis der Steuer-ID als einheitlichem Identifier gestaltet werden konnte, oder nur mittels eines Systems von bereichsspezifischen Identifikationsnummern. Die Vertreter der FITKO, des BMJV und der Datenschutzkonferenz sprachen sich für ein System bereichsspezifischer Kennziffern nach österreichischem Vorbild aus, da dieses nach Auffassung seiner Befürworter eine bessere Sicherung gegen eine unrechtmäßige Zusammenführung von Daten zu Persönlichkeitsprofilen bot. Zu beiden Modellen wurden Vorschläge erarbeitet und die Wirtschaftlichkeit betrachtet. Das österreichische System ließ man sich bei einer Exkursion nach Wien von den dortigen zuständigen Behörden erläutern.

BLAG empfiehlt einheitlichen Identifier

BMI, BMF, die KoSIT und die Ländervertreter sahen im Ergebnis in dem österreichischen System keinen datenschutzrechtlichen Mehrwert. Die Rechtmäßigkeit der Datenverarbeitung wird nicht durch die Abwesenheit einer Identifikationsnummer gesichert, sondern indem die Nutzung von Daten durch Rechtsnormen begrenzt und deren Einhaltung technisch kontrolliert wird, z. B. durch eine sichere Transportinfrastruktur, Protokollierung und Datenschutzkontrollen. In dem unwahrscheinlichen Fall, dass es jemandem gelänge, an eine große Zahl von Datensätzen zu einer Person zu gelangen, die für die Erstellung eines verfassungswidrigen Persönlichkeitsprofils geeignet seien, könnten bei bereichsspezifischen ID-Nummern die Daten immer noch mit Hilfe der Personendaten zusammengeführt werden, wenngleich mit etwas mehr Aufwand und nicht gänzlich fehlerfrei. Anders als bei einer zentralen Registerstruktur in Österreich erfordert bei der hiesigen dezentralen Registerstruktur die Erstellung eines Persönlichkeitsprofils stets die Übermittlung von Daten. Ein wesentliches Sicherheitselement liegt somit in der Kontrolle der Datenübermittlungen. Im Ergebnis sprachen sich BMI, BMF, die KoSIT und die Ländervertreter für eine Umsetzung mithilfe der Steuer-ID aus. Für gegebenenfalls erforderliche zusätzliche Sicherungen gegen unzulässige Datenzusammenführungen könne auf das 4-Corner-Modell zurückgegriffen werden, das in Grundzügen bereits heute erfolgreich in der Innenverwaltung eingesetzt werde. Hierfür spreche, dass für die Umsetzung auf bestehende Strukturen zurückgegriffen werden könne, ebenso eine deutlich geringere Komplexität und Kostenvorteile. Gegen ein System bereichsspezifischer Identifikatoren sprach nach Auffassung der Mehrheit in der BLAG neben dem fehlenden Mehrwert vor allem die Befürchtung, dass sich die Umsetzung im föderalen System als so komplex erweisen könnte, dass ein hohes Risiko des Scheiterns bestehe.

Abschlussbericht der BLAG für die IMK und Erarbeitung eines Gesetz­entwurfs im BMI entsprechend den Empfehlungen des Berichts

In ihrer Frühjahrssitzung 2020 hat die IMK den „Abschlussbericht zur Sondierung eines registerübergreifenden Identitätsmanagements mit Einbezug der Erfahrungen mit der Steuer-Identifikationsnummer“ zur Kenntnis genommen und den Bundesminister des Innern, für Bau und Heimat gebeten, vorbereitende Maßnahmen zu treffen, um die Realisierung des registerübergreifenden Identitätsmanagements möglichst zeitnah nach Inkrafttreten des Gesetzes vornehmen zu können.19

Die Eckpunkte von Meseberg: Registermodernisierung in der gesamt­staatlichen Perspektive

Die Bundesregierung hatte sich am 18. November 2019 auf ihrer Digitalklausur in Meseberg mit der Registermodernisierung befasst und die folgenden Eckpunkte beschlossen:

Ein oder mehrere Identifier? Die Positionen innerhalb der Bundes­regierung

Auch innerhalb der Bundesregierung blieb somit die Frage offen, ob das registerübergreifende Identitätsmanagement mit einer oder mehreren Identifikationsnummern realisiert werden sollte.

Argumente für ein System aus bereichsspezifischen Identifiern

Während sich BMI und BMF klar für die Steuer-ID als einheitlichen Identifier aussprachen, positionierte sich BMJV zugunsten der bereichsspezifischen Lösung. Diese baue ein weiteres strukturelles Hemmnis gegen unzulässige Profilbildungen auf und berge daher im Hinblick auf das Volkszählungsurteil des BVerfG geringere verfassungsrechtliche Risiken. Mit dem Modell einer einheitlichen ID-Nr. werde eine grundsätzliche Architekturentscheidung getroffen, die alles mit allem verknüpfbar mache. Würde das Gesetz später vom BVerfG kassiert, drohten große Verzögerungen bei der Digitalisierung sowie verlorene Investitionen.

Argumente für eine einheitliche Identifikationsnummer

BMI und BMF teilten diese verfassungsrechtlichen Bedenken nicht und argumentierten wir folgt:

Die Annahme, mit einer einheitlichen registerübergreifenden ID-Nr. werde alles mit allem verknüpfbar, sei unzutreffend. Die Daten blieben in den dezentralen Registern und könnten weiter nur nach Maßgabe rechtlicher Erlaubnisse ausgetauscht werden. Eine verfassungswidrige Profilbildung werde durch das 4-Corner-Modell gegenüber dem Status quo weiter technisch erschwert. Das aus dem Volkszählungsurteil des BVerfG von 198321 zu Unrecht herausgelesene „Verbot der Personenkennziffer“ sei lediglich ein obiter dictum und sei aus dem damaligen Verständnis der Datenverarbeitung heraus getroffen. Es diente im Kontext des Urteils der Begründung, weshalb ein Registerzensus, bei dem vorhandene Verwaltungsdaten genutzt werden, keine zulässige Alternative zur Totalzählung sei. Im Zensusurteil 201822 habe das BVerfG den Registerzensus hingegen als die datenschutzfreundlichere Alternative anerkannt. Auch die bisherige Verwendung der Steuer-ID im Finanzbereich sei verfassungskonform.23 Artikel 87 DSGVO lasse die Verwendung nationaler Kennziffern zu. 19 EU-Staaten nutzten eine einheitliche Identifikationsnummer. Das österreichische Modell mit mehreren bereichsspezifischen Identifikationsnummern sei ein Unikat geblieben und beschränke sich auch in Österreich auf die zentral geführten Register auf Bundesebene. Seine Umsetzung in einem föderalen System sei bisher nicht erprobt, überkomplex und mit einem hohen Risiko des Scheiterns behaftet.

Die übrigen Ministerien haben in dieser Frage keine akzentuierte Position vertreten.

Koalitionsausschuss: Entscheidung für die Steuer-ID, aber Beschränkung auf Register mit OZG-Relevanz

Eine politische Entscheidung wurde letztlich in der Sitzung des Koalitionsausschusses am 3. Juni 2020 herbeigeführt. Die maßgebliche Ziffer 40 des (soweit bekannt, nicht veröffentlichten) Beschlusses lautet:

Damit waren die entscheidenden Weichen für den Gesetzentwurf gestellt: Die Realisierung sollte auf der Basis der Steuer-ID als einheitlicher Identifikationsnummer plus 4-Corner-Modell erfolgen, allerdings zunächst begrenzt auf die Register mit Relevanz für die Umsetzung des Online-Zugangsgesetzes. Damit waren insbesondere die Register des Sicherheitsbereichs vorerst von der Nutzung der ID-Nr. ausgeschlossen. In der Folge wurde die Liste der Register gemäß Anlage zu § 1 IDNrG festgelegt, die im weiteren Gesetzgebungsverfahren nur noch geringfügig verändert wurde. Im Übrigen wurden die bereits abgeschlossenen Vorarbeiten aus der BLAG dem Entwurf zugrunde gelegt und im Rahmen der Ressortabstimmung die Vorkehrungen zur Sicherung der Verfassungskonformität weiter gehärtet, so z. B. die Zweckbindung der ID-Nr. und die Vorgaben zum 4-Corner-Modell.

Der entsprechend diesen Vorgaben ausgearbeitete Gesetzentwurf24 wurde vom Bundeskabinett am 23. September 2020 beschlossen.

Öffentliche Anhörung: Intensive verfassungsrechtliche Diskussion

Im parlamentarischen Verfahren ist vor allem die Sachverständigenanhörung im Bundestag am 14. Dezember 2020 hervorzuheben. In dieser fand erneut eine intensive und kontroverse Auseinandersetzung mit den verfassungsrechtlichen Fragen statt, die die Einführung der Steuer-ID als registerübergreifende ID-Nr. vor dem Hintergrund des Volkszählungsurteils des BVerfG aufwarf. Die Ausführungen der Sachverständigen sollen hier nicht wiederholt werden, sie können im Sitzungsprotokoll und den schriftlichen Gutachten nachgelesen werden.25 Auch der BfDI und der Vorsitzende des NKR bezogen im parlamentarischen Verfahren Position: Während der BfDI26 den Gesetzentwurf klar ablehnte, erfuhr der Entwurf eine engagierte Unterstützung durch den NKR.27

Verfassungsrechtliche Sicherungen im Gesetzentwurf der Bundesregierung

Durch die Nutzung der ID-Nr. entstehen keine verfassungswidrigen Persönlichkeitsprofile. Es wird nicht „alles mit allem verknüpfbar“, denn die Daten bleiben weiterhin in den verteilten Registern der Verwaltung und dürfen wie bisher nur nach Maßgabe rechtlicher Erlaubnisse an andere Stellen übermittelt werden. Die Funktion der ID-Nr. besteht einzig darin, dass die Daten zuverlässig der richtigen Person zugeordnet werden können, während dies bei einer Zuordnung auf der Basis von Daten wie Name, Geburtsdatum oder Anschrift nicht immer fehlerfrei gelingt. Um jedoch verbreiteten Befürchtungen entgegenzuwirken und mögliche Risiken auszuschalten, enthielt bereits die Kabinettfassung des Gesetzentwurfs umfangreiche datenschutzrechtliche Sicherungen, die im weiteren Verfahren noch ausgebaut wurden:

Das 4-Corner-Modell (§ 7 Abs 2 IDNrG) sorgt dafür, dass bereichsübergreifende Datenübermittlungen unter Nutzung der ID-Nummern nur über die Vermittlungsstellen laufen dürfen, wodurch eine technische Kontrolle der Übermittlungsberechtigung ermöglicht wird. Es sind regelmäßige Kontrollen der Protokolldaten von Abrufen durch die Registermodernisierungsbehörde vorgesehen (§ 8 Abs 4 IDNrG), ebenso regelmäßige Kontrollen durch den BfDI (§ 13 IDNrG). § 16 IDNrG schreibt regelmäßige Evaluationsberichte gegenüber dem Deutschen Bundestag vor, gerade auch zu den datenschutzrechtlichen Fragen. Die unberechtigte Verarbeitung der ID-Nr. wird unter Strafe gestellt (§ 17 IDNrG).

Mit dem Datencockpit (später Datenschutzcockpit genannt) wird ein zusätzliches Transparenzinstrument für Bürgerinnen und Bürger geschaffen. Sie können damit künftig behördliche Datenübermittlungen unter Nutzung der ID-Nr. nachvollziehen (§ 10 OZG neu).

Änderungen am Gesetzentwurf im parlamentarischen Verfahren

Im Bundestag wurde der Gesetzentwurf mit Änderungen angenommen,28 die einerseits die Sicherungen im IDNrG gegen eine verfassungswidrige Profilbildung weiter härten und die Transparenz stärken sollten, und andererseits Änderungspetita des Bundesrates29 aufgriffen.

Der ursprünglich als Gradmesser für die Datenqualität vorgesehene Validitätswert wurde aus dem IDNrG gestrichen. Die Zweckbestimmung für die Verarbeitung der ID-Nr. wurde weiter eingegrenzt. Melderechtliche Auskunftssperren werden bei Datenübermittlungen durch die Registermodernisierungsbehörde stärker berücksichtigt. Das 4-Corner-Modell wurde verstärkt, indem die Kriterien für die Bereichsabgrenzung im Gesetz als Maßgabe für den Verordnungsgeber erwähnt und die Umsetzungsfrist für die Kommunen verkürzt wurde. Die Registerliste in der Anlage zu § 1 IDNrG kann nicht mehr durch Verordnung, sondern nur durch den parlamentarischen Gesetzgeber geändert werden. Einige Register wurden aus der Anlage gestrichen (Schuldnerverzeichnis, Insolvenzregister, Rechtsdienstleistungsregister, Verzeichnisse der Rechtsanwaltskammern und der BRAK, Liegenschaftskataster). Für einige Verordnungsermächtigungen in § 12 IDNrG wurde das Zustimmungserfordernis des Bundesrates eingeführt. Die Evaluierungsfrist wurde von sechs auf fünf Jahre verkürzt. Im OZG wurde geregelt, dass das Datenschutzcockpit neben reinen Protokolldaten auch Inhaltsdaten (d. h. die Inhalte der übermittelten Datenfelder) anzeigen soll. Die Rechtsverordnungen zum Datenschutzcockpit wurden ebenfalls im Bundesrat zustimmungspflichtig.

Wenig Resonanz in der Öffentlichkeit

In der breiteren Öffentlichkeit fand der Gesetzentwurf trotz gelegentlicher Medienberichterstattung wenig Resonanz. Dies ist angesichts der bekannten Datenschutz-Sensibilität der Bevölkerung durchaus bemerkenswert und vielleicht nicht nur auf die Dominanz der Corona-Pandemie in der Nachrichtenlage zurückzuführen. Es ist durchaus denkbar, dass viele Bürgerinnen und Bürger eine bessere Vernetzung der staatlichen Register nicht mehr primär als Bedrohung ihrer Freiheit empfanden, sondern als Notwendigkeit, um den Digitalisierungsrückstand in der Verwaltung aufzuholen. Dies auch und gerade unter dem Eindruck einer überforderten Gesundheitsverwaltung, die mit Hilfe von Faxgeräten um den Überblick über die Infektionslage kämpfte, während ein beträchtlicher Teil der volkswirtschaftlichen Wertschöpfung recht reibungslos ins Homeoffice mit digitaler Anbindung verlagert wurde.

Beschlussfassung im Bundestag: Koalition dafür, Opposition dagegen

Im Ergebnis wurde der Gesetzentwurf am 28. Januar 2021 mit den Stimmen der Regierungsfraktionen CDU/CSU und SPD vom Bundestag beschlossen. Die Oppositionsparteien AfD, FDP, Bündnis 90/Die Grünen und Die Linke stimmten sämtlich dagegen.

Bundesrat: andere Mehrheitsverhältnisse, anderer Blick auf den GesetzentwurfDer Gesetzentwurf bedurfte der Zustimmung des Bundesrates. Dort war indes ohne die Stimmen wenigstens eines Teils der von Bündnis 90/Die Grünen bzw. der FDP mitregierten Länder die notwendige Stimmenmehrheit nicht zu erlangen.

In dieser Phase des Gesetzgebungsverfahrens zahlte sich aus, dass das Vorhaben wesentlich aus den Gremien der Innenministerkonferenz entwickelt worden war. Die in dem Gesetzentwurf vorgeschlagenen Lösungen adressierten konkrete Bedürfnisse der Verwaltungspraxis und orientierten sich an den Möglichkeiten der Verwaltungen in Ländern und Kommunen.

Unabhängig von der parteipolitischen Orientierung wurden auf Landesebene die Bedenken überwiegend geteilt, dass sich ein System bereichsspezifischer Identifikationsnummern, wie es von Bündnis 90/Die Grünen bzw. FDP30 auf Bundesebene favorisiert wurde, als zu komplex für die Umsetzung im föderalen System erweisen könnte. Der Druck, bei der Digitalisierung der Verwaltung endlich voranzukommen, war beträchtlich. Zugleich sollten Kritiker überzeugt und bestmöglich für Rechtssicherheit in verfassungsrechtlicher Hinsicht gesorgt werden.

Protokollerklärung: Stärkung des Datenschutzcockpits ebnet den Weg für die Zustimmung

Unter Vermittlung des Staatssekretärs und Bevollmächtigten des Landes Baden-Württemberg beim Bund und des Staatsrats für Haushalt, Personal und IT beim Senator für Finanzen der Freien Hansestadt Bremen gelang es, die meisten grün mitregierten Bundesländer für eine Zustimmung zum Registermodernisierungsgesetz im Bundesrat zu gewinnen.

Das Ergebnis dieser Verhandlungen wurde in einer Erklärung festgehalten, die vom Vertreter des BMI in der Plenarsitzung des Bundesrates am 5. März 2021 zu Protokoll gegeben wurde31 und die im Wesentlichen eine Stärkung des Datenschutzcockpits32 als Transparenzinstrument vorsah.

Ferner wurde in der Sitzung ein Plenarantrag des (FDP-mitregierten) Landes Nordrhein-Westfalen angenommen, der lediglich eine Änderung der Bezeichnung von den Architekten- und Ingenieurkammern der Länder zu führenden Register in der Anlage zu § 1 IDNrG betraf.33

Beschlussfassung des Bundesrates: breite parteiübergreifende Mehrheit

Im Ergebnis stimmten 12 Länder im Bundesrat dem Registermodernisierungsgesetz zu, dies waren 53 von 69 Stimmen. Die vier Länder, die nicht zustimmten, enthielten sich. Es gab keine Gegenstimmen. Bemerkenswert war, dass die Zustimmung quer über die politischen Lager reichte:

Zugestimmt haben die Länder Bayern (CSU/Freie Wähler), Baden-Württemberg (Grüne/CDU), Brandenburg (SPD/CDU/Grüne), Bremen (SPD/Grüne/Linke), Hamburg (SPD/Grüne), Hessen (CDU/Grüne), Mecklenburg-Vorpommern (SPD/CDU), Niedersachsen (SPD/CDU), Nordrhein-Westfalen (CDU/FDP), Saarland (CDU/SPD), Sachsen-Anhalt (CDU/SPD/ Grüne) und Thüringen (Linke/SPD/Grüne).

Enthalten haben sich Berlin (SPD/Linke/Grüne), Sachsen (CDU/Grüne/SPD), Schleswig-Holstein (CDU/Grüne/FDP) und Rheinland-Pfalz (SPD/FDP/Grüne). Sie folgten damit der in Koalitionsregierungen der Länder üblichen Logik, dass das Land sich im Bundesrat enthält, wenn sich die Koalitionspartner nicht einig sind.

Umsetzung der Protokollerklärung durch das „Erscheinungsbildgesetz“

Die Vereinbarungen aus der Protokollerklärung wurden noch in der 19. Wahlperiode umgesetzt. Der zu der Zeit im parlamentarischen Verfahren befindliche „Entwurf eines Gesetzes zur Regelung des Erscheinungsbilds von Beamtinnen und Beamten sowie zur Änderung weiterer dienstrechtlicher Vorschriften“34 wurde um die sich aus der Protokollerklärung ergebenden Änderungen ergänzt (Artikel 15–18 neu).

Die Bundestagswahl 2021 veränderte das politische Gefüge in Deutschland – und dies blieb nicht ohne Auswirkungen auf die Umsetzung des Registermodernisierungsgesetzes. In der neuen Koalition zwischen SPD, Bündnis 90/Die Grünen und FDP waren nunmehr zwei Parteien vertreten, die das Gesetz im Bundestag abgelehnt hatten.

Registermodernisierung im Koalitionsvertrag

Im Koalitionsvertrag findet sich der kryptische Satz „Ein vertrauenswürdiges, allgemein anwendbares Identitätsmanagement sowie die verfassungsfeste Registermodernisierung haben Priorität.“35 Hieß dies nun, dass die – als verfassungsfest anzusehende – Registermodernisierung prioritär umzusetzen war, oder war der Satz so zu interpretieren, dass es für die Verfassungskonformität der Registermodernisierung einer Neuregelung bedürfe? Beide Interpretationsmöglichkeiten fanden unter den Mitgliedern des Bundestages ihre Anhänger. So kam es, dass Ende 2022/Anfang 2023 erneut mehrere Gespräche unter Abgeordneten der Koalitionsfraktionen zum Registermodernisierungsgesetz stattfanden. Zu der Zeit wurde in den zuständigen Stellen der Verwaltung bereits mit Hochdruck an der Umsetzung des Gesetzes gearbeitet. Abgeordnete von Bündnis 90/Die Grünen und FDP suchten dennoch nach Wegen, einen Systemwandel hin zu dem bereits in der vorherigen Legislaturperiode favorisierten System von bereichsspezifischen Kennziffern durchzusetzen, oder gar beide Modelle parallel umzusetzen.

Entschließung des Bundestages

Nach der Erkenntnis, dass ein Modellwechsel zu diesem Zeitpunkt einen kompletten konzeptionellen und legislatorischen Neustart erfordern würde und somit eine mehrjährige Verzögerung sowie erhebliche Kostenaufwände zur Folge hätte, wurde dieser Weg nicht weiterverfolgt. Man einigte sich stattdessen auf einen Entschließungsantrag im Bundestag, wonach die Bundesregierung aufgefordert wurde, u. a. das Datenschutzcockpit weiterzuentwickeln, weitere Maßnahmen zur Stärkung der IT-Sicherheit zu ergreifen sowie innovative Modellprojekte zur Umsetzung der Registermodernisierung zu beauftragen, aber auch, die Umsetzung des RegMoG entschlossen voranzutreiben.36 Die Entschließung wurde vom Bundestag am 7. Juli 2023 angenommen.37 Danach war nicht nur technisch sondern auch politisch der Weg frei für das Inkrafttreten der ersten Teile des Registermodernisierungsgesetzes.

Marathon statt Sprint

Was liegt also in Sachen Registermodernisierung vor uns? Wichtig ist vor allem die Erkenntnis, dass es sich nicht um einen Sprint, sondern um einen Marathon handelt. Die Transformation der Registerlandschaft im laufenden Betrieb ist nur stufenweise möglich. Sie erfordert Beharrlichkeit, Geduld und ausreichende Ressourcen finanzieller und personeller Art. Diese Aufgabe wird eher 10 als 5 Jahre in Anspruch nehmen.

Verbesserung der Datenqualität erforderlich

Die Steuer-ID als zusätzliches Datum in die Register nach der Anlage zu § 1 IDNrG zu speichern, ist nur möglich, wenn das „Matching“ gelingt, d. h. jede Person in einem dieser Register eindeutig einer Person in der ID-Nummer-Datenbank des Bundeszentralamts für Steuern zugeordnet werden kann. Das erfordert nicht nur technische Vorbereitungen, sondern auch Arbeit an der Datenqualität in den Registern. Die Sicherung der Datenqualität ist keine einmalige Aktion, sondern ein permanenter Prozess, der allerdings durch die ID-Nr. deutlich erleichtert wird.

Vernetzung der Register erforderlich – EU-OOTS und NOOTS

Nach der Einführung der ID-Nr. in die Register sind diese noch nicht vernetzt. Register, die sehr unterschiedlich aufgebaut sind und nach unterschiedlichen technischen Standards funktionieren, müssen lernen, „miteinander zu sprechen“, damit sie Daten untereinander und mit Behörden austauschen können, die diese Daten für ihre Aufgaben benötigen. Es ist eine Kommunikationsinfrastruktur aufzubauen, die dies ermöglicht. Wir können hierfür auf Überlegungen aufbauen, die auf EU-Ebene für die Umsetzung der Single-Digital-Gateway-Verordnung38 angestellt wurden. So wie das EU-OOTS (Once Only Technical System) den Austausch von Nachweisen zwischen Behörden unterschiedlicher EU-Mitgliedstaaten ermöglichen soll, hat der IT-Planungsrat auch den Aufbau eines solchen Systems auf nationaler Ebene beschlossen:39 Diese Struktur wird mit dem Begriff NOOTS (National Once Only Technical System) bezeichnet.

Für den Datenaustausch über Bereiche hinweg ist das im IDNrG vorgeschriebene 4-Corner-System zu etablieren. Hierfür muss auch die Abgrenzung der Verwaltungsbereiche festgelegt werden.

Aufbau des Datenschutzcockpits

Ferner muss das Datenschutzcockpit aufgebaut werden, Standards für die Kommunikation mit diesem festgelegt und die Register angeschlossen werden. Was so einfach klingt, wirft zahlreiche neue Fragen auf, auf die Antworten im Lauf der Zeit gefunden werden müssen. Die im Lauf der Verhandlungen erweiterten Funktionen des Datenschutzcockpits umzusetzen, ist ebenfalls eine komplexe Aufgabe, die nur Schritt für Schritt umgesetzt werden kann. Denn nicht nur das Datenschutzcockpit, sondern auch alle anzuschließenden Register müssen für diese neuen Funktionen ertüchtigt werden.

Evaluierung

In der Evaluierung des IDNrG wird irgendwann auch zu entscheiden sein, ob die Verwendung der ID-Nr. als registerübergreifender Identifikator auch über den engeren Bereich der Umsetzung des Online-Zugangsgesetzes und des Registerzensus hinaus zugelassen wird, oder ob für diese Bereiche, insbesondere die Eingriffsverwaltung, andere Lösungen gefunden werden.

Bis eine vernetzte digitale Verwaltung möglich wird, in der nicht mehr die Bürger laufen, sondern die Daten, ist somit noch viel zu tun. Im Vergleich zu unseren europäischen Nachbarn sind wir spät dran. Machen wir uns auf den Weg.

Inkrafttreten:

§ 1Ziele des Gesetzes

§ 2Aufgaben registerführender Stellen

§ 3Einrichtung und Aufgaben der Registermodernisierungsbehörde

§ 4Zu einer Person gespeicherte Daten