Symbolbild: Registermodernisierung
© Gert Altmann / Pixabay

Registermodernisierung: So setzt das Bundesverwaltungsamt das Vorhaben um

Interview mit Claus Hackethal, Referatsgruppenleiter Registermodernisierung

Mit dem Gesetzesbeschluss des Bundesrates zur Registermodernisierung im März 2021 wurde das Bundesverwaltungsamt (BVA) die umsetzende Behörde. Es übernimmt damit den Auftrag, die Identifikationsnummer und weitere Basisdaten an registerführende Stellen zu übermitteln. Wie das BVA diese Aufgabe angeht, darüber spricht Claus Hackethal, Leiter der Referatsgruppe Registermodernisierung, im Interview mit VdZ.

Durch die Registermodernisierung wird es möglich, dass Bürgerinnen und Bürger Angaben und Nachweise für Verwaltungsdienstleistungen nicht jedes Mal neu vorlegen müssen. Damit die Daten aus verschiedenen Registern, etwa dem Melderegister, dem Personenstandsregister und dem Fahrzeugregister auch der richtigen Person zugeordnet werden können, wird in Zukunft die Steuer-ID verwendet. Die bisherige fehleranfällige Praxis, Name, Geburtsdatum und Adresse zu nutzen, entfällt damit. Dadurch soll auch die Datenqualität der verschiedenen Register verbessert werden.

 

Jede Bundesbürgerin und jeder Bundesbürger hat eine eigene Steuer-ID. Es sind also immense Datensätze, die das BVA zusammen mit anderen Basisdaten an registerführende Stellen übermitteln muss. Wie startet das BVA dieses Mammutprojekt?

Wir werden nicht alle Register gleichzeitig mit der Identifikationsnummer und den anderen Basisdaten versorgen können. Tatsächlich werden es eher viele Projekte sein, die nach einer ersten Anlaufphase in Wellen umgesetzt werden. Wir werden zunächst eine technische Lösung für den Identitätsdatenabruf umsetzen und mit mehreren Registern pilotieren. Die dabei gewonnenen Erfahrungen werden helfen, den folgenden Roll-out-Prozess für alle Beteiligten möglichst einfach und effizient zu gestalten. 

Es sind viele Projekte, weil auch bei den Registern Vorbereitungen für die Speicherung der Identifikationsnummer erforderlich sind. Dies gilt etwa hinsichtlich der internen Speicherung und Verarbeitung der Identifikationsnummer, der Erstellung von Berechtigungskonzepten, der Umsetzung von Schnittstellen, der Aufbereitung der Daten und der erstmaligen Datenübermittlung. Bei der sogenannten Erstbefüllung wird dann versucht, in einem kurzen Zeitraum für möglichst viele Datensätze des Registers die zugehörige Identifikationsnummer zu ermitteln.

Sicherlich wird zu entscheiden sein, welche Register möglichst früh angeschlossen werden sollen. Das Koordinierungsprojekt Registermodernisierung des IT-Planungsrates hat untersucht, welche Register in besonderer Weise zu der Umsetzung von OZG-Leistungen, dem Registerzensus, einem sicheren und effizienten zwischenbehördlichen Datenaustausch sowie der europäischen Vernetzung im Rahmen der SDG-Verordnung beitragen. Die dabei identifizierten „Top-Register“ werden auch im Hinblick auf die Identifikationsnummer prioritär zu berücksichtigen sein.

Die registerführenden Stellen werden zudem prüfen müssen, ob sie die Daten statt vom BVA über die Meldebehörden beziehen wollen, was nach dem Gesetz ausdrücklich zugelassen ist. Diese Alternative könnte z.B. wirtschaftlicher sein, wenn Behörden nur Daten aus dem eigenen kommunalen Bereich benötigen.

Und letztlich ist es natürlich auch eine Entscheidung der registerführenden Stellen, wann das Vorhaben umgesetzt werden soll bzw. kann. Wir nehmen nach und nach Kontakt zu den registerführenden Stellen auf und werden versuchen, eine übergreifende Planung zu erarbeiten, die die genannten Aspekte berücksichtigt.

Wie wird dieser Prozess technisch ablaufen?

Wir entwickeln in Zusammenarbeit mit dem Bundeszentralamt für Steuern (BZSt) und dem Informationstechnikzentrum Bund (ITZBund) ein Fachverfahren für den Identitätsdatenabruf, das für die nutzenden Stellen wie ein Register wirkt, aus dem die Identifikationsnummer und andere Basisdaten abgerufen werden. Dafür nutzen wir die Register Factory des BVA, deren Architektur, Konzepte, Querschnittskomponenten und Bibliotheken standardisiert und damit leicht wiederverwendbar sind.

Tatsächlich werden die Basisdaten jedoch nicht beim BVA, sondern ausschließlich beim BZSt vorgehalten. Dies hat neben der sparsamen Datenhaltung auch den Vorteil, dass bewährte Prozesse zur Datenpflege beibehalten werden können. Das BVA erhält lediglich einen lesenden Zugriff auf die beim BZSt gespeicherten Basisdaten, um diese den berechtigten öffentlichen Stellen bzw. Registern zu übermitteln. Für den Abruf der Daten über das BVA ist ein neuer Standard geplant, der derzeit den Arbeitstitel „XBasisdaten“ trägt.

Umgesetzt wird ein vollständig automatisiertes Verfahren, in dem ein Register einen Datenabruf an das BVA übermittelt, der dort zunächst geprüft wird. Bei Erfüllung der Voraussetzungen wird der Abruf an das BZSt weitergegeben und aus dem dortigen Datenbestand durch das BVA beantwortet. Die Kommunikation erfolgt dabei ausschließlich über das Verbindungsnetz von Bund und Ländern. Alle Datenübermittlungen werden durch das BVA protokolliert und maximal zwei Jahre lang für datenschutzrechtliche Zwecke (z.B. Prüfungen) gespeichert.

Bei der Erstbefüllung eines Registers wird dieser Prozess im Rahmen einer Massendatenverarbeitung durchlaufen. Im späteren Regelbetrieb wird es sich um einzelne oder wenige Datensätze handeln, etwa zur Ermittlung der Identifikationsnummer oder zur Aktualisierung der Basisdaten.

Darüber hinaus wird das BVA die Zulässigkeit von Datenabrufen prüfen. Wie sieht solch eine Prüfung aus?

Es gibt drei wesentliche Elemente. Vor der ersten Datenübermittlung prüfen wir im Rahmen des Projekts, ob eine Datenübermittlung gesetzlich erlaubt ist, ob sonstige Voraussetzungen erfüllt sind und welche Teile der Basisdaten von der jeweiligen Stelle verarbeitet werden dürfen. Nur wenn alle Voraussetzungen erfüllt sind, wird ein technischer Zugriff auf den Identitätsdatenabruf ermöglicht.

Bei jedem Datenabruf werden zudem automatisiert die Identität der abrufenden Stelle, die richtige Zuordnung der Daten sowie die Vollständigkeit, Schlüssigkeit und Standardkonformität des Abrufs geprüft. Bei Abweichungen wird der Prozess abgebrochen. Eine Datenübermittlung an die abrufende Stelle erfolgt ausschließlich bei einer eindeutigen Identifikation der jeweiligen Person und nur im gesetzlich zugelassenen Umfang. Hat die abrufende Stelle zum Beispiel keine gesetzliche Ermächtigung zur Verarbeitung der Staatsangehörigkeit, wird dieser Teil der Basisdaten bei der Datenübermittlung nicht mitgeliefert.

Daneben überprüfen wir die Zulässigkeit der Abrufe durch Stichprobenverfahren und wenn dazu Anlass besteht.

Das Projekt wird datenschutzkonform umgesetzt. Worauf ist dabei zu achten?

Wie bei jedem Vorhaben, bei dem es um personenbezogene Daten geht, sind entsprechende Datenschutz- und IT-Sicherheitskonzepte zu erstellen und umzusetzen, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu gewährleisten. Daneben sind Risikoanalysen durchzuführen und Prüfpunkte festzulegen, um eine transparente und revisionsfähige Datenverarbeitung zu gewährleisten. Vor der Inbetriebnahme des Verfahrens ist zudem ein Penetrationstest durch das Bundesamt für Sicherheit in der Informationstechnik vorgesehen.

Das Registermodernisierungsgesetz ist eine wichtige Grundlage für die Digitalisierung der Verwaltung. Es ist aber datenschutzrechtlich durchaus kontrovers diskutiert worden. Daher ist es uns besonders wichtig, die Vorgaben des Datenschutzes sehr sorgfältig zu erfüllen. Wir haben daher den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit um eine beratende Unterstützung bei der Umsetzung des Identifikationsnummerngesetzes gebeten.

Unabhängig davon sieht das Gesetz vor, dass der oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit die Datenverarbeitung des BVA zwei Jahre nach Inkrafttreten des Gesetzes und dann erneut zweimal alle zwei Jahre prüfen soll.

Das Gesetz ermöglicht Bürgerinnen und Bürgern, über ein Datencockpit Einsicht in die Verwendung der Daten zunehmen. Werden Bürgerinnen und Bürger unabhängig vom Datencockpit darüber informiert, wenn ihre Daten übermittelt wurden?

Mit dem Registermodernisierungsgesetz wird zunächst eine Rechtsgrundlage für das Datencockpit geschaffen. Dessen genaue Ausgestaltung und somit die Möglichkeit der Bürgerinnen und Bürger, der Verwaltungsdatennutzung zuzustimmen, sind im Gesetz noch nicht abschließend geregelt. Zudem sind für die Verwendung der Identifikationsnummer in den einzelnen OZG-Prozessen noch weitere Rechtsgrundlagen erforderlich. Dabei wird auch zu regeln sein, ob für einen zwischenbehördlichen Datenaustausch unter Verwendung der Identifikationsnummer neben der gesetzlichen Verarbeitungsbefugnis auch eine Einwilligung der Bürgerinnen und Bürger benötigt wird. Im Moment sind also noch viele Fragen offen.

Mit welchen Behörden in Bund und Ländern arbeitet das BVA im Bereich Registermodernisierung zusammen?

Aktuell arbeiten wir im Bereich Identitätsdatenabruf insbesondere mit dem BZSt und dem ITZBund zusammen. Daneben stehen wir im engen Austausch mit der Koordinierungsstelle für IT-Standards (KoSIT), die uns auch bei unserem Datenabrufstandard unterstützen wird.

Mittel- bis langfristig werden wir mit den meisten registerführenden Stellen zusammenarbeiten. Zum einen wegen der Speicherung der Identifikationsnummer. Zum anderen weil wir Informationen zu den Registern sammeln, Umsetzungsvorhaben begleiten und die registerführenden Stellen unter anderem über eine Informationsplattform vernetzen und unterstützen wollen.

Bei der zu erstellenden Registerlandkarte mit Informationen für die weitere Registermodernisierung wollen wir mit dem Statistischen Bundesamt kooperieren. Dies bietet sich an, weil in der dortigen Verwaltungsdaten-Informationsplattform (VIP) für Register ebenfalls Informationen gesammelt werden sollen. Und natürlich werden wir mit den anderen Akteuren im Bereich der Registermodernisierung zusammenarbeiten, wie etwa der Föderalen IT-Kooperation (FITKO), aber auch mit den IT-Dienstleistern der Länder.

Gibt es einen Zeitplan? Bis wann soll das Projekt abgeschlossen sein?

Die im Gesetz genannten Register sind verpflichtet, die Identifikationsnummer innerhalb von fünf Jahren nach Inkrafttreten des Gesetzes als zusätzliches Ordnungsmerkmal zu speichern. Es gilt aber ein bedingtes Inkrafttreten. Dies bedeutet, dass die Bestimmungen zur Identifikationsnummer und – mit Ausnahme einer Übergangsregelung für Pilotverfahren – auch zum Datencockpit erst dann in Kraft treten, wenn die technischen Voraussetzungen für den Betrieb nach dem Identifikationsnummerngesetz gegeben sind. Es gilt also zunächst, die technischen Grundlagen zu schaffen und die weitere Umsetzung konkret zu planen.

Wir haben das Ziel, dass von den im Gesetz genannten Registern bis Ende 2025 mindestens die sogenannten Top-Register über die Identifikationsnummer verfügen. Wirklich planen lässt sich das zum derzeitigen Zeitpunkt aber noch nicht.