„Das Registermodernisierungsgesetz hat die Dimension eines zweiten OZG“
In seinem Gutachten „Mehr Leistung für Bürger und Unternehmen: Verwaltung digitalisieren. Register modernisieren“ widmete sich der Nationale Normenkontrollrat (NKR) im Jahr 2017 der Registermodernisierung in Deutschland. Etwa dreieinhalb Jahre später haben Bundestag und Bundesrat das Registermodernisierungsgesetz beschlossen. Der Trendreport sprach dazu mit Hannes Kühn, stellvertretender Leiter des NKR-Sekretariats.
Herr Kühn, der NKR hat sich seit mehreren Jahren für die Registermodernisierung stark gemacht und 2017 ein umfassendes Gutachten vorgelegt. Wie zufrieden sind Sie mit dem nun gefundenen Kompromiss?
Kühn: Wir sind sehr froh, dass das Registermodernisierungsgesetz nun beschlossen worden ist. Tatsächlich gab es schon länger Diskussionen, wie eine Registermodernisierung angegangen werden kann, die zum Teil sehr kontrovers und hitzig geführt worden sind. Das ist in der Öffentlichkeit nur ansatzweise und punktuell wahrgenommen worden. Unser Gutachten von 2017 war ein Teil davon. Der jetzige Kompromiss verbindet ein Höchstmaß an Datensicherheit mit Praktikabilität. Auch das war wichtig, damit eine hohe Akzeptanz hergestellt wird.
Mithilfe dieses Gesetzes werden die rechtlichen Grundlagen für die weiterführende Verwaltungsdigitalisierung in Deutschland gelegt, sodass das so oft erwähnte „Once-only“-Prinzip auch endlich umgesetzt werden kann. Für Bürger*innen steigt damit die Nutzerfreundlichkeit und auch die Datenqualität. Das jährliche Entlastungspotenzial haben wir in unserem Gutachten 2017 für Bürger*innen und die Verwaltung auf etwa vier Milliarden Euro geschätzt. Neben dem hohen Entlastungspotenzial sollten wir aber auch die Umsetzung im Blick haben, die uns einige Jahre beschäftigen wird. Das Registermodernisierungsgesetz hat die Dimension eines zweiten OZG.
Was waren denn die Knackpunkte des Gesetzesentwurfs, die zu den Diskussionen geführt haben?
Kühn: Im Mittelpunkt stand hierbei sicherlich die Einführung eines zentralen Identifikationsmerkmals für Bürger*innen. Dazu wird nun die Steueridentifikationsnummer herangezogen, auch wenn das zum Zeitpunkt der Einführung ausgeschlossen wurde. Das war aus heutiger Perspektive sicher ein Fehler und hätte damals auch schon so wie heute entschieden werden können. Ich halte es für sinnvoll, auf bereits bestehenden Lösungen aufzusetzen, anstatt immer neue hervorzubringen.
Die Diskussionen gehen zu einem wesentlichen Teil auf das Volkszählungsurteil des Bundesverfassungsgerichts aus dem Jahr 1983 ein. Die Befürchtung ist, dass das Registermodernisierungsgesetz und das vorgesehene Personenkennzeichen, für das nun die Steuer-ID herangezogen werden soll, für verfassungswidrige Persönlichkeitsprofile der Bürger*innen genutzt werden könnte. Die Argumentation stützt sich darauf, dass bereits die Vermutung, es könnte die Erstellung solcher Persönlichkeitsprofile ermöglicht werden, verfassungswidrig sei. Wir haben uns beim NKR mit diesen Kritikpunkten auch auseinandergesetzt und diese auch einem Faktencheck unterzogen. Die in den Diskussionen hervorgebrachten Argumente stützten sich immer nur auf das Urteil von 1983. Weder das Gutachten des wissenschaftlichen Dienstes des Bundestags noch das Gutachten der Friedrich-Naumann-Stiftung brachten neue Aspekte hervor. Keiner ging auf das Argument ein, dass die derzeit zur Identifizierung verwendeten Stammdaten einer Person, wie Name, Geburtsdatum und Anschrift, in ihrer Kombination im Grunde schon jetzt so wirken, wie ein Personenkennzeichen, allerdings verbunden mit etlichen Nachteilen.
Letztendlich – und das war uns auch wichtig – wurden im Registermodernisierungsgesetz entsprechende Transparenz- und Schutzmechanismen verankert, die die Erstellung eines solchen Persönlichkeitsprofils verhindern. Hierzu zählen sowohl das Dateschutzcockpit als auch das so genannte 4-Corner-Modell.
Sie haben in Ihrem Gutachten 2017 auch die Registerorganisation in anderen europäischen Ländern betrachtet. Wären auch andere Modelle als das jetzige Registermodernisierungsgesetz denkbar gewesen?
Kühn: Tatsächlich haben wir bereits damals unterschiedliche Konzepte anderer europäischer Länder beleuchtet. Das waren Estland, Österreich, die Schweiz, Dänemark und Schweden. Auch haben wir versucht, daraus Rückschlüsse für Deutschland abzuleiten. Weil Verwaltungskultur und -aufbau von Österreich am ehesten mit Deutschland vergleichbar sind, ging unser Gutachten intensiv auf das österreichische Modell ein. Österreich arbeitet mit einem geheimen Personenkennzeichen, aus dem bereichsspezifische Identifikatoren abgeleitet werden. Das schien 2017 ein gutes Vorbild zu sein. Es wurde im Vorfeld des Gesetzentwurfes auch weiter geprüft. Letztlich stellt sich heraus, dass das österreichische Modell, wenn überhaupt, hierzulande nur sehr aufwändig umsetzbar wäre Denn eine Zentralisierung der Register wie in Österreich wollte hier niemand. Aus Sicht des NKR ist das österreichische Modell dem dezentralen Ansatz des Registermodernisierungsgesetzes mit seinen Transparenz- und Sicherungsmechanismen gegenüber nicht besser und sicherer.
Was waren aus Ihrer Sicht die Erfolgskriterien dafür, dass das Registermodernisierungsgesetz nun verabschiedet werden konnte?
Kühn: Wesentlich dafür war sicherlich, dass die skeptischen Stimmen gehört und darauf reagiert worden ist. Ohne die Gewährleistung der Datensicherheit und des Datenschutzes fehlt es an Akzeptanz und Vertrauen. Die hierfür vorgesehenen Schutzmechanismen waren daher ganz entscheidend.
Dazu zählt vor allem die Implementierung des Datenschutzcockpits, das den Bürger*innen einen niederschwelligen Einblick erlaubt, welche Behörden wann und zu welchem Zweck auf ihre Daten zugegriffen haben. Das Datenschutzcockpit lässt sich als eine Art „Kontoauszug“ der Datentransaktionen verstehen. Hinzu kommt die Dezentralität der deutschen Register und das bereits erwähnte 4-Corner-Modell. Vereinfacht gesagt wird damit verhindert, dass Behörden ungehindert auf andere Register zugreifen können, weil ein so genannter Intermediär zwischengeschaltet wird, der die Anfrage prüft und protokolliert. Bisher ist der Einsatz der Intermediäre bei Datenabfragen über Verwaltungsbereiche hinweg vorgesehen. Es kann aber auch der Einsatz innerhalb der Bereiche möglich werden. Das hängt jetzt von der Ausgestaltung der Mechanismen ab.
Das Registermodernisierungsgesetz wurde von Bundestag und Bundesrat beschlossen. Was ändert sich für Bürger*innen nun konkret?
Kühn: Für Bürger*innen ändert sich erstmal noch gar nichts. Derzeit laufen die Vorbereitungen für die Umsetzung des Registermodernisierungsgesetzes, die organisiert werden müssen. Dieser Prozess wird vom Bundesverwaltungsamt übernommen, das zur „Registermodernisierungsbehörde“ ernannt wurde. Abgesehen von ersten Prototypen werden wir in den nächsten drei Jahren noch nicht viel spüren. Relevant wird das Ganze tatsächlich erst mit dem OZG-Reifegrad 4. Da sind wir aber derzeit noch nicht. Anschließend werden wir nach und nach Effekte sehen. Man darf den Umfang der Umsetzung nicht unterschätzen. Wie gesagt, das Registermodernisierungsgesetz hat die Dimension eines zweiten Onlinezugangsgesetzes und wird uns sicherlich die nächsten zehn Jahre beschäftigen.
Das Registermodernisierungsgesetz wurde verabschiedet, das BVA zur Registermodernisierungsbehörde gemacht. Was passiert nun konkret?
Kühn: Wir haben nun das Registermodernisierungsgesetz, was wichtig ist. Wir haben aber noch kein abschließendes Konzept, wie es richtig umzusetzen ist. Das ist nun vor allem die Aufgabe des BVA hier einen entsprechenden Fahrplan zu entwerfen. Dafür bekommt das Bundesverwaltungsamt 200 zusätzliche Stellen. Als fachlicher Betreiber der Register – Stichwort Registerfactory – besteht beim BVA das entsprechende Know-how.
In einem ersten Schritt gilt es die 56 Register mit der einheitlichen Steuer-ID auszustatten und diese zu bereinigen. Dafür muss ein Ablauf definiert und die architektonischen Grundlagen geschaffen werden. Anschließend müssen die Fachverfahren angepasst werden. Auch dafür braucht es einen Plan, da wir eine ganz erhebliche Zahl unterschiedlicher Fachverfahren haben. Der IT-Planungsrat hat hierfür bereits den Versuch einer Definition unternommen, wie ein solcher Registerabruf aussehen könnte. Das Ganze ist ein unheimlich komplexes Vorhaben, bei dem wir von der OZG-Umsetzung lernen können. Dabei muss klar sein, wer wann etwas macht.
Der Autor des Beitrags ist Matthias Canzler.