Einleitung
Die Schaffung einer einheitlichen digitalen Identität für Bürger:innen und Unternehmen ist ein zentraler Bestandteil der digitalen Transformation in Deutschland und der EU. Auf dem Weg zu einer gelungenen und einheitlichen digitalen Identität in Deutschland oder in der EU gab es viele Regulierungsversuche, um dieses Ziel voranzubringen. Wichtige Regelwerke sind unter anderem das Registermodernisierungsgesetz (RegMoG), das Onlinezugangsänderungsgesetz (folgend OZGÄndG genannt) und die Novellierung der eIDAS-Verordnung (eIDASeIDAS Kurzdefinition: Die eIDAS Verordnung ist eine Verordnu... More 2.0), die verschiedenen Aspekte einer einheitlichen digitalen Identität adressieren und die Digitalisierung der Verwaltungsdienstleistungen beschleunigen sollen sowie deren Umsetzung fördern. In diesem Beitrag werden die einzelnen Regelwerke beleuchtet, ihre Funktionen und Ziele dargestellt sowie die Unklarheiten und Herausforderungen bei der Umsetzung skizziert.
Registermodernisierungsgesetz (RegMoG)
Mit dem am 28. März 2021 beschlossenen Registermodernisierungsgesetz soll das Fundament für die Digitalisierung der Verwaltungsdienstleistungen geschaffen werden. In Deutschland existieren zahlreiche, nicht miteinander vernetzte Register, die aufgrund unterschiedlicher behördlicher Zuständigkeiten und der föderalen Struktur dezentral organisiert sind. Die Daten müssen dadurch bei jeder neuen Inanspruchnahme von Verwaltungsdienstleistungen erneut angegeben werden. Das RegMoG sorgt vor allem für die Einführung des Identifikationsnummerngesetz (IDNrG). Das Gesetz regelt die Einführung der steuerlichen Identifikationsnummer (Steuer-ID) gem. § 139b der Abgabenordnung als zusätzliches Ordnungsmerkmal der Bürger:innen. Dadurch können die Daten aller Register vernetzt werden, sodass die Bürger:innen ihre Datensätze bei der Behörde nur noch einmalig angeben müssen (Once-Only-Prinzip). Das IDNrG trat am 31. August 2023 in Kraft, da die technischen Voraussetzungen für den Betrieb nach dem IDNrG mittlerweile gegeben sind.
Im Zusammenhang mit dem RegMoG soll das National Once-Only-Technical-System (NOOTS) – die Bereitstellung und den Betrieb eines einheitlichen informationstechnischen Systems für einen übergreifenden Nachweisdatenaustausch zwischen Behörden von Bund und Ländern – kommen. Für das NOOTS fehlt dem Bund jedoch eine ausreichende verfassungsrechtliche Kompetenzregelung, da das System auch Bereiche betrifft, die in die alleinige Zuständigkeit der Länder fallen. (vgl. Frage 1. S. 1f. der Drucksache 20/10927)
Die Expert:innen kritisieren jedoch das Vorhaben der Regierung, weil sie erhebliche datenschutzrechtliche und verfassungsrechtliche Bedenken mitbringen. Durch die Einführung der Steuer-ID als Ordnungsmerkmal bestehe die Gefahr, dass ein detaillierteres Profil über jede:n Bürger:in dadurch zusammengestellt werden könnte. Die Ampel-Koalition möchte weiterhin an diese Lösung festhalten. Um verfassungsrechtliche Bedenken bezüglich der Einführung der Steuer-ID entgegenzutreten, soll das Datenschutzcockpit helfen, das im Rahmen des OZGÄndG eingeführt wurde, vgl. § 10 Abs. 2 OZG (nF).
OZG-Änderungsgesetz (OZGÄndG)
Nach dem Erlass des ersten Onlinezugangsgesetzes im Jahr 2017 konnten sich der Bundestag und der Bundesrat auf einem Änderungsgesetz des Onlinezugangsgesetzes einigen, das am 24. Juli 2024 in Kraft trat. Ziel dabei ist die Digitalisierung der Verwaltungsdienstleistungen voranzutreiben. Insbesondere sollen Bürger:innen einen Anspruch auf digitale Verwaltung bei Bundesverwaltungsdienstleistungen geltend machen können. Allerdings besteht dieser Anspruch erst nach Ablauf von vier Jahren nach Gesetzesverkündung des OZGÄndG. Jedenfalls sieht das Gesetz vor, dass die Verwaltungsdienstleistungen im vollen Umfang digitalisiert werden müssen. Dabei bleibt Nutzung elektronischer Angebote weiterhin für die Nutzer:innen gem. § 3 Abs. 1 S. 2 OZG (nF) freiwillig. Die Verwaltungsdienstleistungen des Bundes und der Länder sollen in einem Portalverbund integriert werden. Jedenfalls soll es im Portalverbund eine Suchfunktion geben, in der eine komplette Übersicht der Verwaltungsdienstleistungen zu finden ist.
Das Gesetz sieht die Einrichtung eines Nutzerkontos mit mehreren Funktionen vor. Für natürliche Personen wird ein sogenanntes Bürgerkonto eingeführt, während für juristische Personen ein Organisationskonto eingerichtet werden soll. Das Nutzerkonto soll nicht nur der Identifizierung und Authentifizierung dienen, sondern auch als Postfach für die Kommunikation mit Behörden sowie als direkter Zugang zu elektronischen Verwaltungsdienstleistungen. Zur Umsetzung des Nutzerkontos soll die BundID zu einer DeutschlandID entwickelt werden. Damit übernimmt der Bund die Verantwortung für die Einführung eines zentralen Nutzerkontos, das die Verwaltungsdienstleistungen zentral verfügbar macht und die direkte Kommunikation zwischen Bürgern, Bürgerinnen und Verwaltungsbeschäftigten ermöglicht.
Zudem wird der Bund ermächtigt, Standards gemeinsam mit dem IT-Planungsrat zu informationstechnischen Systemen gem. § 6 OZG (nF) zu regeln. Dadurch soll ein einheitlicher Standard der technischen Lösung für den übergreifenden Zugang zu den Verwaltungsdienstleistungen geschafft werden. Beim Erlass des OZGÄndG wurden die Vorschriften des eIDASeIDAS Kurzdefinition: Die eIDAS Verordnung ist eine Verordnu... More 2.0 dabei berücksichtigt. So finden sich beispielsweise zusätzliche Regelungen zum Thema Open-Source-Code gem. § 4 OZG (nF).
Unklar ist das Vorhaben der Bundesregierung bezüglich der Regelung des Vertrauensniveaus bei der Identifizierungsfunktion im Organisationskonto. § 3 Abs. 4 OZG (nF) regelt unterschiedliche Vertrauensniveaus, je nachdem, welches Nutzerkonto in Betracht kommt. Relevante Verwaltungsdienstleistungen für das Bürgerkonto wird sowohl das Vertrauensniveau „substantiell“ als auch „hoch“ vorgeschrieben. Dabei kommt es auf die konkrete elektronische Verwaltungsdienstleistung an. Für das Nachweisen der Identität bei der Nutzung des Organisationskontos ist das Vertrauensniveau „substanziell“ vorgesehen, vgl. § 3 Abs. 4 Nr. 2 OZG (nF). Laut der Antwort der Bundesregierung auf die Kleine Anfrage der CDU (vgl. Frage 13, S. 5 der Drucksache 20/8201) soll die Identifizierung des Unternehmens jedoch auf dem Vertrauensniveau „hoch“ sein. Damit widerspricht die Bundesregierung der Regelungen aus dem neuen OZGÄndG.
eIDAS-Verordnung (eIDASeIDAS Kurzdefinition: Die eIDAS Verordnung ist eine Verordnu... More 2.0) und ihre ersten Durchführungsrechtsakte
Am 20. Mai 2024 trat die Novellierung der eIDAS-Verordnung („Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, zuletzt geändert durch Verordnung (EU) Nr. 2024/1183“) in Kraft. Die novellierte eIDAS-Verordnung setzt neue Ziele und Anforderungen für die elektronische Identifizierung und Vertrauensdienste und aktualisiert damit die bestehende eIDAS-Verordnung. Ein Hauptbestandteil der eIDASeIDAS Kurzdefinition: Die eIDAS Verordnung ist eine Verordnu... More 2.0 ist die Einführung der EUDI-Wallet, die es Bürger:innen und Unternehmen ermöglichen soll, sich in der gesamten EU sicher online und offline zu identifizieren und Authentifizierungsdienste zu nutzen. Die EUDI-Wallet ermöglicht den Nutzenden dadurch die Personenidentifizierungsdaten und elektronische Attributsbescheinigungen sicher zu speichern und zu verwalten. Letzteres bedeutet, dass Nutzer:innen zukünftig Urkunden wie Führerschein, Zeugnisse oder sonstige Bescheinigungen digital speichern und beliebig nutzen können sollen.
Die eIDASeIDAS Kurzdefinition: Die eIDAS Verordnung ist eine Verordnu... More Novellierung verpflichtet die Europäische Kommission innerhalb von sechs Monaten nach ihrem Inkrafttreten zum Erlass von Durchführungsrechtsakten (Implementing Acts) zum Thema:
- der Integrität und Kernfunktionen (Art. 5a Abs. 23 der VO)
- zu unterstützenden Protokollen und Schnittstellen (Art. 5a Abs. 23 der VO)
- der Zertifizierung (Art. 5c Abs. 6 der VO)
- der Personenidentifizierungsdaten und elektronischer Attributbescheinigungen (Art. 5a Abs. 23 der VO)
Zurzeit liegen diese Durchführungsrechtsakte als Entwurf vor. Die Kommission hat noch bis 21. November Zeit, diese zu beschließen und zu erlassen. In Deutschland gibt es bereits einer Rückmeldung zu den ersten Entwürfen. So wünscht sich die Bundessteuerberaterkammer eine Konkretisierung und Erläuterung der Wallet-Nutzung für juristische Personen. Begründet wird dies, da die Entwürfe der Durchführungsrechtsakte bisher nur konkret die Nutzung für natürliche Personen beschreiben. Die Vorgaben berücksichtigen noch nicht die unternehmerische Praxis, die von der alltäglichen Nutzung natürlicher Personen abweichen, da unternehmerisches Handeln im Auftrag und Namen des Mandats durchgeführt werden. Die Kommission hat dafür eine sogenannte EU-Unternehmensbescheinigung (EU Company Certificate, ECC) als Lösung ins Leben gerufen. Dabei soll auch eine EU-Vollmacht eingeführt werden. Dadurch soll das Nachweisen der unternehmerischen Existenz beim grenzüberschreitenden Handelsverkehr zwischen Unternehmen vereinfacht werden.
Obwohl die Regulatorien OZGÄndG und eIDASeIDAS Kurzdefinition: Die eIDAS Verordnung ist eine Verordnu... More 2.0 unterschiedliche Digitalisierungsvorhaben verfolgen, können sie sich dennoch gegenseitig unterstützen, zum Beispiel bei der Funktion der Identifizierung und Authentifizierung in unternehmerischen Anwendungsfällen. Wie schon oben erläutert, sollen sich Unternehmen mit der EUDI-Wallet identifizieren und authentifizieren können. Dasselbe soll im Rahmen des OZGÄndG mit dem Organisationskonto möglich sein. Laut dem Fahrplan für eIDAS 2.0 soll bereits Ende 2026 die EUDI-Wallet kommen. Es ist daher empfehlenswert, dass sich die Bundesregierung an diese Frist bei der Entwicklung der IT-Komponenten des Organisationskontos für die Identifizierungs- und Authentifizierungsfunktion hält. Dadurch kann direkt erprobt werden, ob diese Funktion aus dem Organisationskonto oder aus der EUDI-Wallet für die Anwendung vielversprechender ist. Die Bundesregierung betont bereits, dass sie den Entwicklungsstand der EUDI-Wallet weiterhin verflogt. (vgl. Frage 71, S. 23 der Drucksache 20/8201)
Ausblick
Die gesetzlichen Rahmenwerke wie das Registermodernisierungsgesetz, das Onlinezugangsänderungsgesetz und die Novellierung der eIDAS-Verordnung tragen eine entscheidende Rolle für die digitale Transformation in Deutschland. Diese Regelungen schaffen wesentliche Grundlagen für potenzielle effizientere und benutzerfreundlichere Lösungen, die von Bürger:innen und Unternehmen gleichermaßen genutzt werden können. Das OZGÄndG berücksichtigt dabei bereits die Vorschriften der eIDASeIDAS Kurzdefinition: Die eIDAS Verordnung ist eine Verordnu... More 2.0 und zeigt, dass beide Digitalisierungsvorhaben voneinander profitieren könnten, etwa wie bei den Identifizierungs- und Authentifizierungsfunktion, die sowohl in der EUDI-Wallet als auch im Organisationskonto vorgesehen werden. Es bleibt weiterhin spannend, wie die Umsetzung der Vorgaben aus den Regelwerken aussehen wird.
Autor: Duc Anh Le