Sie sind hier: Home » Recht » Datenschutz und Compliance

E-GovG: Vernichtendes Urteil des ULD


E-Government-Gesetz des Bundes: Den Bürgern wird eine Sicherheit vorgespiegelt, die tatsächlich nicht hergestellt wird
Effektiver Grundrechtsschutz verbietet öffentlichen Stellen eine derart unsichere elektronische Übermittlung sensitiver Daten

(27.06.13) - Mit einem Entwurf eines E-Government-Gesetzes des Bundes (E-GovG) sollen für die öffentliche Verwaltung die rechtlichen Voraussetzungen geschaffen werden, um untereinander und mit den Bürgern elektronisch rechtssicher zu kommunizieren. Damit werden mehr Bürgernähe und zugleich Einspareffekte angestrebt. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) begrüßt das Grundanliegen des Entwurfes, hält jedoch die praktische Umsetzung für ungenügend, weshalb es in einer Stellungnahme das Land aufgefordert hat, dem Entwurf im Gesetzgebungsverfahren eine Abfuhr zu erteilen.

Die Argumente des ULD sind folgende:

1. Der Bundesrat schlug in seiner Stellungnahme vom 02.11.2012 (BR-Drs. 557/12) vor, die Behörden zur Eröffnung von Zugängen für die Übermittlung elektronischer Dokumente auch in verschlüsselter Form zu verpflichten. Dem ist der Bundestag nicht gefolgt.

2. In der vom Bundestag angenommenen Fassung (BT-Drs. 17/13139) sieht das Gesetz keine verbindlichen Regelungen zum Angebot einer Ende-zu-Ende-Verschlüsselung vor. Dieses bereits im De-Mail-Gesetz angelegte Defizit wird so auf den Bereich der elektronischen Verwaltung erstreckt. Im Zuge der elektronischen Verwaltung sollen auch Sozialdaten (vgl. Art. 4 des Gesetzentwurfs) und andere sensitive Daten wie Gesundheitsdaten übermittelt werden. Den Bürgerinnen und Bürgern wird eine Sicherheit vorgespiegelt, die tatsächlich nicht hergestellt wird. Effektiver Grundrechtsschutz verbietet öffentlichen Stellen eine derart unsichere elektronische Übermittlung sensitiver Daten. Auch sollten die Bürger nicht veranlasst werden, derart unsichere Kommunikationswege zu nutzen.

3. Die Forderung des Bundesrates, im Gesetz auf die Verwendung offener Standards und Schnittstellen bei der Bereitstellung von Datenbeständen der öffentlichen Hand hinzuweisen, greift der Gesetzentwurf nicht auf.

4. Absenderbestätigte De-Mails für pseudonyme Absenderadressen werden nicht zugelassen, obwohl dies praktisch möglich und aus Gründen der Datensparsamkeit wünschenswert wäre. Pseudonym-Adressen sind Nutzenden eindeutig zuzuordnen, weil der De-Mail-Diensteanbieter diese nicht doppelt vergibt.

5. Die in Art. 2 vorgesehene Verwendung einer qualifizierten elektronischen Signatur als Willenserklärung des Absenders ist zu hinterfragen, da nicht er selbst, sondern der De-Mail-Diensteanbieter die De-Mail des Absenders qualifiziert signiert.

6. Die Zugangseröffnung im Sinne des § 3a VwVfG, des § 36a Abs. 1 SGB I und § 87a Abs. 1 Satz 1 AO ist für Bürgerinnen und Bürger bisher nur pauschal für sämtliche Behörden möglich. Es sollte jedoch die Möglichkeit bestehen, für jede Fachanwendung einen spezifischen Zugang zu eröffnen. Nur auf ausdrücklichen Wunsch sollte der Zugang pauschal eröffnet werden.

7. Das Verfahren der unmittelbaren Abgabe von Erklärungen in einem elektronischen Formular unter Nutzung der eID-Funktion nach dem neuen § 3a Abs. 2 Satz 4 Nr. 1 VwVfG ist unbefriedigend. Die technische Ausgestaltung der Formularverfahren in den betreffenden Behörden soll gemäß einem "Baukastenmodell nach dem Vorbild des IT-Grundschutzes" erfolgen. Die Anwendung der vom IT-Planungsrat verabschiedeten "Leitlinien für die Informationssicherheit" wird den Kommunen lediglich empfohlen. Es bestehen erhebliche Zweifel, ob die BSI-Grundschutzmethodik von den Kommunen beherrscht wird und tatsächlich ein angemessenes Sicherheitsniveau für die Formularverfahren gewährleistet werden kann.

8. § 8 des Entwurfs legt die Akteneinsicht für den Betroffenen in das Ermessen der Behörde, die über die Form der Akteneinsicht entscheidet. Es wäre so möglich, den Betreffenden lediglich auf die Bildschirmanzeige zu verweisen. Damit würde dem tatsächlichen Informationsbedarf oft nicht genügt. Maßgeblich für die Gewährleistung der Rechte des Betroffenen bzw. des Antragstellers ist dessen Wille, in welcher Form er Einsicht erlangen möchte.

9. Die Regelung zur Datenbereitstellung zum Zweck der Weiterverwendung (§ 12) sollte konkreter gefasst werden und die betroffenen Daten ausdrücklich nennen. Deren Verhältnis zu den Informationsfreiheitsgesetzen der Länder, etwa zum Informationszugangsgesetz des Landes Schleswig-Holstein, ist ungeklärt.

10. Es fehlt eine Regelung zur datenschutzkonformen Veröffentlichung von Daten im Internet, wie sie in Schleswig-Holstein gemäß § 21 Abs. 2 S. 1 LDSG-SH besteht.

11. § 87 a Abs. 1 S. 3 AO schreibt vor, dass Daten, die dem Steuergeheimnis unterliegen, durch die Finanzbehörden nur übermittelt werden dürfen, wenn sie verschlüsselt sind. Die standardmäßig vorgesehene Entschlüsselung einer De-Mail beim Provider verstößt gegen dieses Verschlüsselungsgebot.

Der Leiter des ULD Thilo Weichert kommentiert: "Die Bundesregierung und der Bundestag haben leider ihre Hausaufgaben nicht gemacht. Das muss nun vom Bundesrat nachgeholt werden. Die Akzeptanz von E-Government in der Bevölkerung hängt davon ab, dass darauf vertraut werden kann. Das ist bisher nicht der Fall." (ULD: ra)

ULD: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Datenschutz und Compliance

  • Datenschutz & Bußgeldpraxis

    Der Europäische Datenschutzausschuss (EDSA) hat die endgültigen Leitlinien zur Bußgeldzumessung nach einer öffentlichen Konsultation angenommen. Damit erfolgt die Bußgeldpraxis der Datenschutzaufsichtsbehörden in Europa nun nach einheitlichen Maßstäben. Als Repräsentantinnen der deutschen Datenschutzaufsicht waren auf europäischer Ebene die Datenschutzaufsichtsbehörden Berlins, Hessens und des Bundes beteiligt.

  • Code of Conduct (CoC)

    Die Datenschutz-Grundverordnung (DSGVO) ist durch eine Vielzahl unbestimmter Rechtsbegriffe gekennzeichnet. Die Grundzüge des einheitlichen europäischen Datenschutzrechts sollen im Hinblick auf möglichst viele Lebenssachverhalte Anwendung finden können. Die dortigen, teils abstrakten Vorgaben, wie beispielsweise die "Erforderlichkeit der Verarbeitung", das "berechtigte Interesse" oder die "Sicherheit der Verarbeitung", sind von allen Verantwortlichen zu beachten, unabhängig davon, welche Branche betroffen ist oder wie "umfangreich" die Verarbeitung personenbezogener Daten im Einzelfall ausfällt.

  • Gegen Betrieb von Facebook-Fanpages

    Als Unterrichtung (20/6000) liegt der "Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit" für das Jahr 2022 vor. Darin empfiehlt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, der Bundesregierung, ein Beschäftigtendatenschutzgesetz zu erlassen, in dem etwa der Einsatz Künstlicher Intelligenz (KI) im Beschäftigungskontext, die Grenzen der Verhaltens- und Leistungskontrolle sowie typische Datenverarbeitungen im Bewerbungs- und Auswahlverfahren klar geregelt werden.

  • Datenschutzbericht für das Jahr 2022

    Dr. h. c. Marit Hansen, die Landesbeauftragte für Datenschutz und Landesbeauftragte für Informationszugang Schleswig-Holstein, hat ihren Tätigkeitsbericht für das Jahr 2022 vorgelegt. Der Bericht gibt einen Überblick über die vielfältigen Themen des Datenschutzes und der Informationsfreiheit, die von Hansen und ihren Mitarbeitenden im Unabhängigen Landeszentrum für Datenschutz (ULD) im vergangenen Jahr bearbeitet wurden. Zum täglichen Geschäft gehören leider auch zahlreiche Datenpannen, die vermieden hätten werden müssen - und dies selbst im sensiblen Gesundheitsbereich.

  • Schutzniveau personenbezogener Daten

    Der Europäische Datenschutzausschuss (EDSA) hat auf der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 1. März 2023 eine Stellungnahme zum Entwurf des Angemessenheitsbeschlusses der Europäischen Kommission zum EU-US-Datenschutzrahmen (EU-U.S. Data Privacy Framework) verabschiedet. Darin begrüßt er wesentliche Verbesserungen wie die Einführung von Anforderungen an Notwendigkeit und Verhältnismäßigkeit für die nachrichtendienstliche Datenerhebung in den USA und den neuen Rechtsbehelfsmechanismus für betroffene Personen aus der EU.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen