Am 10. Oktober fand eine Online-Veranstaltung der Europäischen Datenschutz Akademie (EAID) unter Leitung von Peter Schaar statt, zu der circa 90 Teilnehmer, im Wesentlichen aus dem datenschutzrechtlichen Bereich (hierunter auch diverse Vertreter der Landesdatenschutzbehörden sowie des BfDI) zusammenkamen. Als Referenten waren neben mir Frau Maike Kamps, Datenschutzbeauftragte Berlin und Frau Dahns, Leiterin der Abteilung „Digitale Verwaltung“ des BMI, geladen.
Im Februar 2023 hatte ich die Debatte mit einem Blogartikel über die Frage der Verfassungsgemäßheit der Steuer-ID initiiert und Herr Schaar hat das Problem daraufhin in den nachfolgenden Monaten aufgegriffen, um diese Frage einmal im Experten-Kreis zu diskutieren.
Zur Erinnerung:
Im damaligen Blogartikel wurde die Frage aufgeworfen und im Ergebnis auch vorsichtig negativ beantwortet, ob die Steuer-ID in ihrer jetzigen, neuen Verwendungsform als allgemeines Personenkennzeichen noch verfassungsgemäß sei. Nachdem der frühere Finanzminister Peer Steinbrück im Jahr 2007, dem „Geburtsjahr“ der Steuer-ID noch betont hatte, dass dieses Identifizierungsmerkmal „nie, nie zu einer allgemeinen Personenkennziffer“ werde und auch damit in Zukunft keine weitergehenden Zwecke verfolgt würden, erscheinen diese Beteuerungen – das war auch das allgemeine Echo der Teilnehmer – vor dem Hintergrund des neuen Identifikationsnummerngesetzes (IDNrG) wohl eher Makulatur.
Vom Melderegister, über das zentrale Fahrzeug- bzw. Fahrerlaubnisregister, das Bundeszentralregister bis hin zum Versichertenverzeichnis der Krankenkassen – die künftige Verwendung in 51 bundesweiten Registern lässt den Verwendungsspielraum dieses Personenkennzeichens nahezu uferlos erscheinen. Hinzu kommt, dass die Steuer-ID aufgrund des sog. Plattformentransparenzgesetzes ab Januar 2024 auch von (Verkaufs- und Vermietungs-)Plattformen dazu genutzt werden muss, mit dieser in Zusammenhang stehende Verkäufe und Vermietungen in bestimmten Größenordnungen sämtlich an das Bundeszentralamt für Steuern zu melden. Schließlich müssen Banken aufgrund der neuen Bestimmungen in § 139b Abs. 10-13 der Abgabenordnung normierte Schnittstellen schaffen, mit denen künftig die IBAN der Kontonummern bei Auszahlung öffentlicher Gelder mit der Steuer-ID verknüpft wird.
Erheblicher Eingriff in das personelle Selbstbestimmungsrecht
Wenig überraschend war die Mehrheit der Teilnehmer gegenüber der zentralen Frage der Verfassungsgemäßheit der Steuer-ID skeptisch bzw., genauer gesagt sogar überzeugt, dass das jetzige Verwendungsausmaß dieses Kennzeichens einen erheblichen Eingriff in das personelle Selbstbestimmungsrecht bedeutet und hierbei vom Gesetzgeber keine hinreichenden Garantien (i.S. von Art. 87 DSGVO) geschaffen wurden, um die Bildung von Teil- oder Totalprofilen der Bürger auszuschließen. In diesem Zusammenhang wurde auch umfassend das alternative Modell des sog. besonderen Personenkennzeichnens diskutiert, wie es Österreich eingeführt hat. Hierbei besteht zwar auch eine einmalige, persistente sog. Stammzahl – diese wird jedoch je nach Abfrage bzw. Verarbeitung für private oder öffentliche Zwecke/Register zuvor mittels eines kryptografischen Einwegverfahrens zunächst pseudonymisiert und nur diese bereichsspezifische Personenkennzahl dann gegenüber den Empfängern bekannt gegeben. Diese Vorgehensweise hat aus datenschutzrechtlicher Sicht den erheblichen Vorteil, dass keinerlei Profilbildung möglich ist, weil die Empfänger niemals die eigentliche Stammzahl erfahren, sondern eben nur Pseudonyme – und zwar jeweils unterschiedliche Pseudonyme.
Auch vor diesem Hintergrund, der aus verfassungsrechtlicher Sicht das Merkmal der „Erforderlichkeit“ der Verwendung der Steuer-ID für die im Identifikationsnummerngesetz (IDNrG) genannten Zwecke berührt (i.S.v. gibt es andere, mildere Mittel mit denen der Zweck erreicht werden kann) und im Ergebnis negativ ausfällt, war die Mehrheit der Teilnehmer der Auffassung, dass die Steuer-ID in ihrer jetzigen Form mit hoher Wahrscheinlichkeit nicht verfassungsgemäß ist.
24. Oktober 2023 @ 11:24
Ich kenne diese Art von Vorgehen vor allem vom Hacking. Da heißt das ganze „Privilegien-Eskalation“ und bedeutet, dass man einen Teilzugang zu einem System, den man durch Social Engineering oder Sicherheitslücken erreicht hat, dazu nutzt um sich immer weitere Berechtigungen und Zugriffsmöglichkeiten zu holen, bis man irgendwann Zugriff auf andere gesicherte System erhält.
Vielleicht haben die Hacker sich diese Tacktik ja von der Politik abgeschaut, da es Politiker ja schon deutlich länger gibt, als Hacker.
Eine direkte Einführung einer systemübergreifenden Personenkennziffer dürfte auf großen gesellschaftlichen Widerstand stoßen, deswegen geht man hier über die Hintertür vor und weitet die Steuer-ID Stück für Stück aus, bis sie demnächst den ebendiesen Zweck erfüllt.
19. Oktober 2023 @ 14:02
Das scheint so als wolle man gar kein wirksames Instrumentarium haben, mit dem man direkt den Bürgern Geld zukommen lassen kann.
Das Klimageld ist verplant, obwohl für Direktauszahlungen vorgesehen und die Direktauszahlung wird dann mit sehendem Auge so geplant, dass verfassungswidrig ist.
Danke für den Einblick!
16. Oktober 2023 @ 12:30
Es ist doch bemerkenswert, dass trotz Warnungen aller Experten hier mal wieder ein zentraler Aspekt des Grundgesetzes und Grundstein des Datenschutzrechts fraktionsübergreifend torpediert wird, mit absehbarem Ausgang. Am Ende wird das BVerfG auch dieses Gesetz kassieren, und man wird in Folge solange nachbessern, bis irgendeinen Kompromiss gerade noch so einem prüfenden Blick aus verfassungsrechtlicher Perspektive standhält. Natürlich wird das ganze begleitet von grundsätzlicher Kritik an übertriebenem Datenschutz, der vermeintlich die Modernisierung der Verwaltung blockiert von einer Seite, und einer Zustimmung „mit Bauchschmerzen“ von anderer Seite, obwohl die rechtlich zulässigen Lösungen quasi auf dem Tisch liegen. Und dann wundert mich sich, warum das Vertrauen in die Demokratie erodiert.
19. Oktober 2023 @ 14:25
Voll korrekt. Wobei weniger die Steuer-ID selbst das Problem ist, sondern ihre Benutzung (man könnte auch sagen Missbrauch) außerhalb von Steuern als übergreifenden Identifikator. Stichwort PKZ Personenkennziffer. Darüber habe ich mich hier https://www.datenschutz-notizen.de/die-steuer-id-wird-zur-allumfassenden-personenkennziffer-und-damit-vermutlich-verfassungswidrig-0540539/ und hier https://netzpolitik.org/2023/degitalisierung-die-unertraegliche-leichtigkeit-des-digitalen-scheins/#comment-2575626 schon ausgelassen.