Während die Bundesregierung behördenübergreifend eine lebenslang gültige Personenkennzahl einführen will, geht das Nachbarland Österreich einen anderen Weg. Warum dieser mehr Datenschutz verspricht, ohne die Verwaltungsdigitalisierung zu behindern, erläutert die österreichische Juristin Heidi Scheichenbauer im Gespräch.

Seit Jahren wird in Deutschland über die sogenannte steuerliche Identifikationsnummer diskutiert. Die Steuer-ID soll es Behörden erleichtern, untereinander Daten auszutauschen, indem sie als zentraler Bezugspunkt für unterschiedliche Register dient. Die ID ist lebenslang gültig, alle Bürger:innen erhalten sie vom Bundeszentralamt für Steuern bei Geburt.

Jurist:innen und Datenschützer:innen kritisieren eine solche Personenkennzahl unter anderem mit Bezug auf das Volkszählungsurteil des Bundesverfassungsgerichts als verfassungswidrig. Bei der Einführung der Steuer-ID im Jahr 2007 wurden Bedenken von Datenschützer:innen als „konstruierter Erregungszustand“ weggewischt, nur um dann 13 Jahre später genau das zu tun, wovor diese gewarnt hatten. Damals plante die Große Koalition unter Angela Merkel (CDU), die Steuer-ID dazu zu nutzen, um Verwaltungsdaten zusammenzuführen. Die Ampelkoalitionäre folgten trotz früherer Kritik diesem Konzept und auch die schwarz-rote Bundesregierung hält an diesem Plan fest.

Österreich hat bereits vor einigen Jahren einen anderen Weg eingeschlagen und das bereichsspezifische Personenkennzeichen (bPK) eingeführt. Sie ist eine Art Einweg-Kennzeichen, das für unterschiedliche Verwaltungsbehörden angepasst wird. Die bPK verspricht so einen höheren Datenschutz und steuerbare Hürden gegen behördenübergreifende Profilbildung – ohne eine effektive Verwaltungsdigitalisierung zu behindern.

Wir haben mit Heidi Scheichenbauer über das bereichsspezifische Personenkennzeichen gesprochen. Sie ist Senior Researcher und Senior Consultant am Research Institute – Digital Human Rights Center. Als Juristin forscht und lehrt sie zu künstlicher Intelligenz in der Verwaltung, Datenschutz im Non-Profit-Sektor und Plattformregulierung.

„Best-Practice-Beispiel“ aus Österreich

netzpolitik.org: In Deutschland geht es in der Debatte um Verwaltungsmodernisierung viel darum, Datensilos aufzubrechen. Österreich will diese möglichst aufrechterhalten. Warum ist das so?

Heidi Scheichenbauer: Tatsächlich haben wir in Österreich ein Best-Practice-Beispiel dafür, wie sich Daten in der Verwaltung datenschutzoptimiert verarbeiten lassen. Wir bauen eine digitale Verwaltung auf und verhindern zugleich den sprichwörtlichen „gläsernen Bürger“.

Bevor die Bundesregierung ein bundesweit einheitliches Personenkernzeichen einführt, sollte sie einen Blick auf ihr kleines Nachbarland werfen. Unsere Erfahrungen zeigen, dass Privacy by Design auch in diesem Bereich möglich ist.

netzpolitik.org: Wie kam es dazu?

Heidi Scheichenbauer: Im Jahr 2001 gab es in Österreich eine Volkszählung. Damals wurden sehr viele Daten über die Bevölkerung gesammelt und das erste Mal ein zentrales Melderegister auf Bundesebene eingerichtet.

Dieses Zentrale Melderegister (ZMR) enthielt eine Vielzahl an personenbezogenen Daten. Darunter den Namen, das Geschlecht, das Geburtsdatum, die Staatsangehörigkeit. Das allein ist datenschutzrechtlich schon sehr kritisch. Und dann vergab das ZMR allen Bürger:innen auch noch einen bundesweiten Identifikator, die sogenannte Stammzahl. Viele fürchteten damals, dass damit der gläserne Bürger geschaffen wird.

Man hat sich daher einen Weg überlegt, wie man dieses Datenschutzthema adressieren kann – und schuf die bereichsspezifischen Personenkennzeichen, kurz: bPK. Diese Personenkennzeichen beruhen auf der Stammzahl, sind aber für jeden Verwaltungsbereich anders.

Also hat eine Bürgerin zum Beispiel beim Finanzamt ein eigenes bPK, für die Sozialversicherung ist es ein anderes. Und die eine Behörde kann mit dem Kennzeichen, das ihr vorliegt, keine sinnvollen Anfragen bei einer anderen Behörde stellen.

Eine Nummer, sie alle zu finden

Eine heikle Sache

netzpolitik.org: Eine bemerkenswerte Wende. Normalerweise wecken viele Daten auch viele Begehrlichkeiten.

Heidi Scheichenbauer: Es gab damals ein Bewusstsein dafür, dass die Daten im Zentralen Melderegister und die Verwendung eines einheitlichen Identifikators eine heikle Sache sind.

Bei der Einführung hagelte es daher Kritik an den geplanten Neuerungen. Bemängelt wurde unter anderem die mögliche Verknüpfung der vorliegenden Daten mit dem „Ursprungskennzeichen“, also der ZMR-Zahl. Denn damit ist eine behördenübergreifende Identifizierung einer bestimmten Person möglich.

Weiters wurde vorgebracht, dass das Kennzeichen eine Verknüpfung mit anderen individuellen Datensätzen ermögliche, beispielsweise aus der Einkommens- oder Volkszählungsstatistik.

Daten können – das zeigt auch der österreichische Postdatenskandal – sehr viel über das eigene Leben preisgeben, vom Wohnsitz bis zur vermuteten politischen Einstellung. Und dann wird auch klar, wie sehr man mit diesen Daten Menschen diskriminieren und manipulieren kann.

Ein Einweg-Kennzeichen für die Verwaltung

netzpolitik.org: Wie wird das bereichsspezifische Personenkennzeichen erzeugt?

Heidi Scheichenbauer: Es beruht auf der ZMR-Zahl, die im Zentralen Melderegister alle gemeldeten Personen erhalten. Aus ihr wird mit Hilfe eines Verschlüsselungsverfahrens die individuelle Stammzahl abgeleitet. Aus dieser Stammzahl wird dann für die jeweiligen Verwaltungsbereiche einzelne Ableitungen erzeugt.

netzpolitik.org: Erhält jede Behörde automatisch eine bPK für jede:n Bürger:in?

Heidi Scheichenbauer: Nein, nicht automatisch. Teilweise müssen die Behörden dafür zunächst bei der Stammzahlenregisterbehörde einen Antrag stellen, manchmal sogar ganz klassisch per Online-Formular. Bei dem Vorgang müssen Beamt:innen angeben, in welchem Verwaltungsbereich sie tätig sind. Es gibt aktuell rund 30 Tätigkeitsbereiche.

netzpolitik.org: Es gibt also für jede:n Bürger:in je nach Verwaltungsbereich individuelle Einwegskennzahlen. Das klingt recht aufwendig. Hat sich das im Alltag bewährt?

Heidi Scheichenbauer: Auf jeden Fall. Denn die Behörden können so nicht ohne weiteres behördenübergreifende Verarbeitungstätigkeiten vornehmen und damit auch kein Profiling betreiben.

Dafür sorgt auch eine Bereichsabgrenzungsverordnung, die unterschiedliche Verwaltungsbereiche voneinander trennt. Auch dem ging eine politische Diskussion voraus: Was gehört alles zu Steuern und Abgaben, was zu anderen Bereichen.

Auch diese Trennung soll den gläsernen Bürger verhindern. Nicht nur rechtlich, sondern eben auch technisch.

Strikte Trennung innerhalb der Verwaltung

netzpolitik.org: Wie kann eine Behörde denn mit anderen Behörden Daten austauschen?

Heidi Scheichenbauer: Das kann sie auf dem Wege der Amtshilfe tun. Es gibt auch die Möglichkeit, verschlüsselte bereichsspezifische Personenkennzeichen zu beziehen und dann so zu kommunizieren. Aber grundsätzlich ist das gesetzlich sehr strikt getrennt.

Das österreichische E-Government-Gesetz schreibt vor, dass zusammengehörige Lebenssachverhalte in ein und demselben Bereich zusammengefasst werden und dass miteinander unvereinbare Datenverarbeitungen innerhalb desselben Bereichs nicht vorgesehen sind.

netzpolitik.org: In der deutschen Debatte gibt es hingegen das Bestreben, Daten zusammenzuführen, weil die Verwaltung dann angeblich effizienter arbeiten könne. Gibt es eine ähnliche Debatte in Österreich?

Heidi Scheichenbauer: Auf der politischen Ebene haben wir aktuell keine Diskussion dahingehend, dass das bPK-System infrage gestellt wird. Es hat sich gut eingespielt und auch bewährt. In den vergangenen Jahren gab es auch keine politischen Bestrebungen, das System zu verändern. Auch Datenpannen oder Missbrauchsfälle gab es nicht. Zumindest keine, die öffentlich bekannt wurden.

Eine hundertprozentige Sicherheit gibt es, wie so oft im Leben, nicht. Die Privacy-by-Design-Maßnahmen verhindern hier aber tatsächlich sehr effektiv einen ansonsten prinzipiell möglichen Missbrauch.

netzpolitik.org: In Deutschland gilt die Devise, die Daten in einen großen Pool zu geben und den Behördenzugriff rechtlich zu regulieren. Ist das österreichische Modell aus deiner Sicht sicherer?

Heidi Scheichenbauer: Das ist ohne Zweifel sicherer, weil die meisten Risiken für die betroffenen Personen schon in der technischen Gestaltung signifikant gemindert werden. Es werden nämlich kryptografische Verfahren angewendet, die nicht umkehrbar sind. Von bPKs kann somit nicht mehr auf die Stammzahl zurückgerechnet werden. Das ist mathematisch schlicht nicht möglich.

Und auch organisatorisch ist das Zentrale Melderegister ein Ort, der sehr gut abgesichert ist, wie ich auch aus persönlicher Erfahrung weiß. Ich hatte vor vielen Jahren aus beruflichen Gründen einen Termin bei einem Dienstleister der Stammzahlenregisterbehörde. Damals machte ich die Erfahrung, dass man in das betreffende Gebäude nur sehr schwer hineinkommt.

Digitale Identitäten und künstliche Intelligenz

netzpolitik.org: In Österreich gibt es seit einigen Jahren die ID Austria. Zum Ende dieses Jahres soll in allen EU-Mitgliedstaaten die ID-Wallet starten. Welche Auswirkungen hat das auf die bPK?

Heidi Scheichenbauer: Die ID Austria ist ein digitaler Identitätsnachweis. Ich kann mich damit also gegenüber dem Finanzamt und dem Wohnungsamt ausweisen. Dadurch könnten theoretisch behördenübergreifende Profile erstellt werden. Doch es gibt Schutzmaßnahmen, die das verhindern sollen.

So müssen personenbezogene Daten pseudonymisiert und innerhalb bestimmter Fristen gelöscht werden. Die Daten dürfen außerdem, soweit es notwendig ist, nur von bestimmten Stellen verarbeitet oder übermittelt werden. Und sie unterliegen strengen Zugriffsrechten. Im Gegensatz zu den geplanten ID-Wallets der EU sieht die ID Austria gesetzlich sowohl gegenüber Behörden als auch privaten Einrichtungen einen strengen Akkreditierungsprozess unter anderem zur Sicherstellung der Datenminimierung, also des „minimal data set“ bei jeder Anwendung vor. An dem bestehenden System der bPK rüttelt die ID Austria also nicht.

netzpolitik.org: Der Einsatz von sogenannter Künstlicher Intelligenz wird mit Blick auf Verwaltungsdaten ebenfalls diskutiert. Gerade in der Sozialverwaltung gibt es Bestrebungen, Sprachmodelle mit den dort hinterlegten Daten zu trainieren. Gibt es ähnliche Debatten auch in Österreich?

Heidi Scheichenbauer: Durchaus und meist gilt das Datenschutzrecht dann als böse, weil es derartiges verhindere. Die österreichischen Verwaltungseinrichtungen äußern ihren Unmut vor allem über den Datenschutz, als dass sie nach Lösungen suchen. Dabei könnten sie etwa darüber nachdenken, wie KI-Training mit anonymen Daten möglich wäre. Das ist alles aber auch noch sehr im Fluss.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Lange Wartezeiten und hohe Gebühren durch private Dienstleister stellen seit Jahren Hindernisse bei der Visumsvergabe für Deutschland dar. Das Auslandsportal des Auswärtigen Amtes soll eigentlich die Situation durch Digitalisierung verbessern, löst aber die Kernprobleme nicht.

Es gibt Schengen-Visa für kurze Aufenthalte in Deutschland, Studien- und Arbeitsvisa oder Visa für Angehörige von in Deutschland lebenden Familienmitgliedern. Wer aus einem Land nach Deutschland kommen will, mit dem es keine Vereinbarung für visumfreies Reisen gibt, braucht zur Einreise auf jeden Fall eine passende Erlaubnis für seinen Aufenthalt.

Die damit verbundenen Anträge machen Arbeit für die Botschaften und Auslandsvertretungen, Deutschland hat daher in den vergangenen Jahren in immer mehr Ländern die Antragsentgegennahme an private Dienstleister outgesourct. Begonnen hatte diese Entwicklung mit einer Weisung des damaligen FDP-Außenministers Guido Westerwelle im Jahr 2012. In den vergangenen Jahren arbeitete das Außenministerium außerdem daran, die Antragstellung für nationale Visa zu digitalisieren. Am 1. Januar verkündete Ministerin Annalena Baerbock einen Erfolg: Alle 167 Visastellen weltweit seien an das sogenannte Auslandsportal angeschlossen. Doch Probleme aus der Vergangenheit wird das absehbar nicht lösen.

Warten, warten, warten

Bei der Beantragung an den deutschen Botschaften und Auslandsvertretungen gab es immer wieder Berichte über Missstände: Menschen müssen monatelang auf Termine warten, um ihren Antrag überhaupt stellen zu können. Auf der Seite der deutschen Botschaft in Algerien ist derzeit die Wartezeit für einen Termin zur Visumsbeantragung für Studium oder Sprachkurs mit „mehr als 12 Monate“ angegeben. An manchen Orten machen Betrüger ein Geschäft aus einer derart schwierigen Terminsuche und versprechen Antragstellenden für hohe Preise einen reservierten Zeitslot.

Ist der Termin gemacht, folgt die Bearbeitung der Anträge. Die darf nicht ausgelagert werden. Deutsche Unternehmen schickten im September eine Beschwerde an Außenministerin Annalena Baerbock, weil die Bearbeitungsdauer etwa im Gebiet von Shanghai drei Monate betrage und sie so chinesische Mitarbeitende nicht zügig nach Deutschland holen können.

Ein weiteres Problem gibt es bei den Kosten für die Antragstellenden: Für ein Schengenvisum etwa fällt eine Gebühr von 90 Euro an, das ist im Visakodex der EU geregelt. Bei diesen offiziell festgelegten Beträgen bleibt es jedoch nicht immer. Die privaten Dienstleister erheben vielerorts zusätzliche Kosten und versuchen, teure Extra-Leistungen zu verkaufen: So erhob ein Dienstleister im Kosovo Gebühren für einen verpflichtenden Rückversand von Pässen, bis diese Praxis von einem Gericht für illegal erklärt wurde.

Weiterhin zulässig sind offenbar „Prime-Time-Termine“ außerhalb der regulären Öffnungszeiten. In Serbien kostet diese Vorzugsbehandlung beispielsweise umgerechnet 130 Euro extra. Für weitere 15 Euro darf man sich an einem Extra-Schalter ohne Wartezeit melden. Erinnerungen an die Upselling-Praxis von Fluglinien werden dabei wach.

Privatisierung ist ein Trend

Die Privatisierung der Visaverfahren ist ein weltweiter Trend. Im Jahr 2017 hatte das deutsche Außenministerium in 18 Ländern Dienstleister mit der Antragsentgegennahme beauftragt. Laut einer aktuellen Antwort auf eine Kleine Anfrage der Linken im Bundestag sind es mittlerweile 56 Länder, bald sollen noch Kamerun, Nigeria und Zypern dazukommen.

Den Markt teilt eine überschaubare Anzahl von Anbietern unter sich auf. Deutschland etwa arbeitet mit vier Dienstleistern zusammen: den Unternehmen VisaMetric, VF Worldwide Holdings, TLS Group und BLS International Services. Zumindest in ihren Dienstleistungen für Deutschland lässt sich eine geografische Aufteilung erkennnen. So deckt TLS vor allem Länder auf dem afrikanischen Kontinent ab, während etwa VF besonders in Südostasien präsent ist.

Die Dienstleister vergeben Termine, prüfen die Vollständigkeit der Anträge und nehmen sie entgegen. Außerdem erfassen sie biometrische Daten. „Die Visumbearbeitung erfolgt weiterhin in der Visastelle“, schreibt die Bundesregierung. Hoheitliche Aufgaben würden die Dienstleister nicht übernehmen, das dürfen sie auch nicht. Sie sind demnach auch nicht an den Entscheidungen über die Anträge beteiligt.

Die Kritik am Outsourcing der Antragsprozesse ist so alt wie das Outsourcing selbst. „Mit der Auslagerung entledigt sich der Staat komplett der Kontrolle über einen Bereich, der für Bestechungen zutiefst anfällig ist“, sagte der Grünen-Abgeordnete Omid Nouripour im Jahr 2017 der taz.

Bedenken zu Datenschutz und Korruption

Außerdem gab es immer wieder Bedenken bezüglich des Datenschutzes, da durch die Antragstellung viele sensible Daten bei den Privatunternehmen anfallen. Die Bundesregierung schreibt, alle Daten würden „beim Dienstleister nach Rückgabe der Reisepässe an die Antragstellenden unverzüglich gelöscht“. Die Einhaltung der Vorschriften werde regelmäßig kontrolliert. Drei Mal im Jahr gebe es unangekündigte Vor-Ort-Besuche, außerdem werde per Video aufgezeichnet, wie biometrische Daten in den Visazentren erfasst werden. „Die Videoaufzeichnungen werden den Auslandsvertretungen zusammen mit den Antragsunterlagen weitergeleitet und stichprobenartig überprüft.“

Fragestellerin Clara Bünger kommentiert gegenüber netzpolitik.org zu der aktuellen Antwort der Bundesregierung: „Es ist ein Unding, dass private Dienstleister weltweit mit der Entgegennahme von Visaanträgen Profite machen.“ Das belaste besonders Personen mit geringen finanziellen Mitteln, so Bünger. „Auf ihrem Rücken bereichern sich Unternehmen wie VFS oder Visametric. Hinzu kommen Risiken beim Datenschutz, Korruptionsgefahr und andere Regelverstöße durch die privaten Dienstleister.“

Bünger fordert: „Die Visabearbeitung ist eine staatliche Aufgabe und gehört in die öffentliche Hand. Das Outsourcing in diesem Bereich muss rückgängig gemacht werden.“

Ein PDF-Generator als Leuchtturmprojekt

Könnte das als Leuchtturmprojekt auserkorene Auslandsportal die privaten Dienstleister vielleicht überflüssig und damit die Probleme obsolet machen? Wohl kaum. Denn das Auslandsportal ermöglicht vor allem, ein Online-Formular auszufüllen, das eine PDF-Datei erzeugt. Mit dieser Datei und entsprechenden Ausweispapieren sowie eventuell weiteren Unterlagen müssen die Visumssuchenden weiterhin vor Ort bei einer Visastelle vorsprechen. Außerdem, so schreibt das Auswärtige Amt auf unsere Presseanfrage: „Das Aufenthaltsgesetz sieht zur Feststellung und Sicherung der Identität die Erfassung von Biometriedaten vor. Dies kann nur bei persönlicher Vorsprache in einem vor Ort Termin erfolgen.“

Die Online-Antragstellung über das 13,6 Millionen teure „Portal“ ermöglicht vor allem zu prüfen, ob Angaben vollständig sind. Digitalisiert ist der Prozess damit bei weitem nicht, auch die Probleme bei der Terminvergabe kann er nicht beheben.

Doch auch der weltweite Anschluss der Visastellen an das System bedeutet offenkundig nicht, dass die Ausfüll-Funktion überall genutzt werden kann, wie stichprobenartige Tests zeigen. Bei einigen der 167 Visastellen ist die Online-Antragstellung noch nicht möglich. Wer etwa ein Ausbildungsvisum in Algerien auswählt, bekommt im Auslandsportal den Hinweis: „Online-Antrag derzeit nicht verfügbar.“ Woran liegt das?

Zum Teil sind noch nicht alle Kategorien von Visumsanträgen möglich, gestartet wird mit denen für Erwerbstätige. Das Auswärtige Amt schreibt dazu: „Die nationalen Visumanträge in den anderen Kategorien sind ebenso vollständig digitalisiert und werden derzeit z. B. von Amman, Sao Paulo oder Kanton (Familienzusammenführung) oder Manila, Belgrad und Sao Paulo (Studien- und Auszubildendenvisa) pilotiert“.

Andernorts hätten sich Visastellen dazu entschieden, zunächst die bestehenden Wartelisten abzubauen, bevor sie das Online-Verfahren freischalten. Laut einem Bericht von Business Insider gebe es hinter den Kulissen aber noch andere Probleme: Bei Antragstellenden mit eher geringen digitalen Kompetenzen käme es zu Mehrarbeit für die Visastellen. Manche von diesen würden das System deswegen als Ganzes in Frage stellen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.