Sie sind hier: Home » Recht » Datenschutz und Compliance

E-GovG: Vernichtendes Urteil des ULD


E-Government-Gesetz des Bundes: Den Bürgern wird eine Sicherheit vorgespiegelt, die tatsächlich nicht hergestellt wird
Effektiver Grundrechtsschutz verbietet öffentlichen Stellen eine derart unsichere elektronische Übermittlung sensitiver Daten

(27.06.13) - Mit einem Entwurf eines E-Government-Gesetzes des Bundes (E-GovG) sollen für die öffentliche Verwaltung die rechtlichen Voraussetzungen geschaffen werden, um untereinander und mit den Bürgern elektronisch rechtssicher zu kommunizieren. Damit werden mehr Bürgernähe und zugleich Einspareffekte angestrebt. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) begrüßt das Grundanliegen des Entwurfes, hält jedoch die praktische Umsetzung für ungenügend, weshalb es in einer Stellungnahme das Land aufgefordert hat, dem Entwurf im Gesetzgebungsverfahren eine Abfuhr zu erteilen.

Die Argumente des ULD sind folgende:

1. Der Bundesrat schlug in seiner Stellungnahme vom 02.11.2012 (BR-Drs. 557/12) vor, die Behörden zur Eröffnung von Zugängen für die Übermittlung elektronischer Dokumente auch in verschlüsselter Form zu verpflichten. Dem ist der Bundestag nicht gefolgt.

2. In der vom Bundestag angenommenen Fassung (BT-Drs. 17/13139) sieht das Gesetz keine verbindlichen Regelungen zum Angebot einer Ende-zu-Ende-Verschlüsselung vor. Dieses bereits im De-Mail-Gesetz angelegte Defizit wird so auf den Bereich der elektronischen Verwaltung erstreckt. Im Zuge der elektronischen Verwaltung sollen auch Sozialdaten (vgl. Art. 4 des Gesetzentwurfs) und andere sensitive Daten wie Gesundheitsdaten übermittelt werden. Den Bürgerinnen und Bürgern wird eine Sicherheit vorgespiegelt, die tatsächlich nicht hergestellt wird. Effektiver Grundrechtsschutz verbietet öffentlichen Stellen eine derart unsichere elektronische Übermittlung sensitiver Daten. Auch sollten die Bürger nicht veranlasst werden, derart unsichere Kommunikationswege zu nutzen.

3. Die Forderung des Bundesrates, im Gesetz auf die Verwendung offener Standards und Schnittstellen bei der Bereitstellung von Datenbeständen der öffentlichen Hand hinzuweisen, greift der Gesetzentwurf nicht auf.

4. Absenderbestätigte De-Mails für pseudonyme Absenderadressen werden nicht zugelassen, obwohl dies praktisch möglich und aus Gründen der Datensparsamkeit wünschenswert wäre. Pseudonym-Adressen sind Nutzenden eindeutig zuzuordnen, weil der De-Mail-Diensteanbieter diese nicht doppelt vergibt.

5. Die in Art. 2 vorgesehene Verwendung einer qualifizierten elektronischen Signatur als Willenserklärung des Absenders ist zu hinterfragen, da nicht er selbst, sondern der De-Mail-Diensteanbieter die De-Mail des Absenders qualifiziert signiert.

6. Die Zugangseröffnung im Sinne des § 3a VwVfG, des § 36a Abs. 1 SGB I und § 87a Abs. 1 Satz 1 AO ist für Bürgerinnen und Bürger bisher nur pauschal für sämtliche Behörden möglich. Es sollte jedoch die Möglichkeit bestehen, für jede Fachanwendung einen spezifischen Zugang zu eröffnen. Nur auf ausdrücklichen Wunsch sollte der Zugang pauschal eröffnet werden.

7. Das Verfahren der unmittelbaren Abgabe von Erklärungen in einem elektronischen Formular unter Nutzung der eID-Funktion nach dem neuen § 3a Abs. 2 Satz 4 Nr. 1 VwVfG ist unbefriedigend. Die technische Ausgestaltung der Formularverfahren in den betreffenden Behörden soll gemäß einem "Baukastenmodell nach dem Vorbild des IT-Grundschutzes" erfolgen. Die Anwendung der vom IT-Planungsrat verabschiedeten "Leitlinien für die Informationssicherheit" wird den Kommunen lediglich empfohlen. Es bestehen erhebliche Zweifel, ob die BSI-Grundschutzmethodik von den Kommunen beherrscht wird und tatsächlich ein angemessenes Sicherheitsniveau für die Formularverfahren gewährleistet werden kann.

8. § 8 des Entwurfs legt die Akteneinsicht für den Betroffenen in das Ermessen der Behörde, die über die Form der Akteneinsicht entscheidet. Es wäre so möglich, den Betreffenden lediglich auf die Bildschirmanzeige zu verweisen. Damit würde dem tatsächlichen Informationsbedarf oft nicht genügt. Maßgeblich für die Gewährleistung der Rechte des Betroffenen bzw. des Antragstellers ist dessen Wille, in welcher Form er Einsicht erlangen möchte.

9. Die Regelung zur Datenbereitstellung zum Zweck der Weiterverwendung (§ 12) sollte konkreter gefasst werden und die betroffenen Daten ausdrücklich nennen. Deren Verhältnis zu den Informationsfreiheitsgesetzen der Länder, etwa zum Informationszugangsgesetz des Landes Schleswig-Holstein, ist ungeklärt.

10. Es fehlt eine Regelung zur datenschutzkonformen Veröffentlichung von Daten im Internet, wie sie in Schleswig-Holstein gemäß § 21 Abs. 2 S. 1 LDSG-SH besteht.

11. § 87 a Abs. 1 S. 3 AO schreibt vor, dass Daten, die dem Steuergeheimnis unterliegen, durch die Finanzbehörden nur übermittelt werden dürfen, wenn sie verschlüsselt sind. Die standardmäßig vorgesehene Entschlüsselung einer De-Mail beim Provider verstößt gegen dieses Verschlüsselungsgebot.

Der Leiter des ULD Thilo Weichert kommentiert: "Die Bundesregierung und der Bundestag haben leider ihre Hausaufgaben nicht gemacht. Das muss nun vom Bundesrat nachgeholt werden. Die Akzeptanz von E-Government in der Bevölkerung hängt davon ab, dass darauf vertraut werden kann. Das ist bisher nicht der Fall." (ULD: ra)

ULD: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Datenschutz und Compliance

  • Datenschutz versehentlich oder mutwillig ignoriert

    Dr. h. c. Marit Hansen, die Landesbeauftragte für Datenschutz und Landesbeauftragte für Informationszugang Schleswig-Holstein, hat ihren Tätigkeitsbericht für das Jahr 2023 vorgelegt. Viele Fälle aus der Praxis verdeutlichen, dass Datenschutz wirkt - und wo er manches Mal gefehlt hat. Licht und Schatten gab es auch im Bereich der Informationsfreiheit.

  • KI datenschutzkonform einsetzen

    Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) legt eine Orientierungshilfe mit datenschutz-rechtlichen Kriterien für die Auswahl und den datenschutzkonformen Einsatz von KI-Anwendungen vor.

  • Möglichkeit von Geldbußen gegenüber Behörden

    Die Bundesregierung hat im Februar 2024 einen Gesetzentwurf zur Änderung des Bundesdatenschutzgesetzes (BDSG) vorgelegt (BT-Drs. 20/10859). Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat zu relevanten Punkten des Gesetzentwurfs und zu weitergehendem Regelungsbedarf Stellung genommen.

  • Internet-Nutzer dürfen nicht geschröpft werden

    In einem weiteren offenen Brief wendete sich die Deutsche Vereinigung für Datenschutz e.V. (DVD) gemeinsam mit zwölf Bürgerrechtsorganisationen am 07.03.2024 erneut an die Datenschutzaufsichtsbehörden in der Europäischen Union, um zu verhindern, dass eine datenschutzfreundliche Nutzung des Internets nur noch gegen Bezahlen hoher Gebühren möglich ist.

  • Einstieg in eine anlasslose Massenüberwachung

    Die Verhandlungen zum EU-Verordnungsentwurf zur Bekämpfung des sexuellen Online-Kindesmissbrauchs (CSA-Verordnung) sind in eine entscheidenden Phase. Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDPS) haben anlässlich dessen in einer Gemeinsamen Stellungnahme den EU-Gesetzgeber dazu aufgerufen, die wesentlichen Änderungsvorschläge des Europäischen Parlaments (EP) zu unterstützen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen