Der digitalisierte Staat ist eine Public-Private-Partnership
ANDREAS HEYER, 14. August 2023, 6 Kommentare, PDFIm April 2023 wurde gemeldet, dass die EU-Kommission Reisepässe abschaffen und durch biometrische Grenzkontrollen ersetzen wolle. Seit der Corona-Krise würden Bürger „den Einsatz kontaktloser Technologien als grundlegende Voraussetzung für ein sicheres und reibungsloses Reisen“ erwarten. Ebenfalls im ersten Halbjahr 2023 wurde begonnen, Anwendungen für eine europäische digitale Identität, genannt EUDI-Brieftasche (englische Bezeichnung: Wallet), in Pilotprojekten zu entwickeln und zu erproben. Die EUDI-Brieftasche solle „die digitale Identifizierung von Bürgern und Unternehmen beim Zugang zu öffentlichen und privaten Diensten in ganz Europa revolutionieren, indem sie ihr Smartphone auf sichere und bequeme Weise nutzen.“ Die digitale Identität solle auf Smartphones oder anderen digitalen Endgeräten gespeichert werden, die bislang bekannterweise meistens mit einer von den US-Konzernen Google, Apple oder Microsoft dominierten Softwareumgebung betrieben werden. Das Ziel der EU sei es, bis 2030 allen in der EU lebenden Menschen Zugang zu der EUDI-Brieftasche zu gewähren.
90 Millionen Euro werden bis Anfang 2025 in die Entwicklung der europäischen digitalen Identität durch Pilotprojekte investiert, davon etwa 50 Prozent von der EU-Kommission und 50 Prozent von 250 öffentlichen und privaten Organisationen. In vier Pilotprojekten werden seit Frühsommer 2023 elf Anwendungsfälle für digitale Funktionen der EUDI-Brieftasche in Kooperation von Staat und Privatunternehmen ausgearbeitet:
-
Zugang zu staatlichen Verwaltungsdiensten
-
Bereitstellung von Reisedokumenten (Reisepass, Visa)
-
Bereitstellung einer digitalen Fahrerlaubnis
-
Bereitstellung von Bildungsnachweisen (Diplome, Abschlüsse, Zeugnisse)
-
Bereitstellung von Nachweisen beruflicher Identität (Betriebs- und Berufsausweise)
-
Zugang zu Sozialversicherungsleistungen
-
Bereitstellung von medizinischen Rezepten
-
Unterzeichnung von Verträgen
-
Registrierung von SIM-Karten für Mobilfunknetze
-
Eröffnung von Bankkonten
-
Ermöglichung von Online-Zahlungen
Vier staatlich-private Pilotprojekte
In dem Pilotprojekt Potential sollen sechs dieser Anwendungsfälle erprobt werden. In dem Projekt kooperieren auf deutscher Seite verschiedene Bundesministerien und Bundesbehörden zusammen mit Unternehmen wie Deutsche Telekom, Vodafone, O2-Telefonica und der Bank ING-Diba bei der Entwicklung von Spezifikationen und Softwarelösungen. Im EU Digital Identity Wallet Consortium kooperieren europaweit Behörden mit Unternehmen wie Visa, Condor, Finnair, Datev, Amadeus, der Schweizerischen Bundesbahn oder Siemens an einer Referenz-Anwendung, um in der EUDI-Brieftasche sowohl digitale Reisedokumente als auch auch Flug- und Bahntickets oder Hotelbuchungen speichern zu können. Im Projekt NOBID arbeiten fünf öffentliche Verwaltungen zusammen mit 15 privaten Organisationen wie dem Deutschen Sparkassen- und Giroverband, dem Rüstungskonzern Thales oder der italienischen Bank Intesa an einer Software, um aus der EUDI-Brieftasche heraus digitale Zahlungen tätigen und verwalten zu können. Im Projekt DC4EU kooperieren 35 öffentliche Verwaltungen mit 40 privaten Einrichtungen an einer Anwendung der digitalen Identität im Bildungs- und Sozialversicherungsbereich. Dies beinhaltet die Schaffung eines digitalen Sozialversicherungsausweises. Bis Frühjahr 2025 sollen aus den Pilotprojekten die dauerhaft funktionsfähigen Anwendungen für die EUDI-Brieftasche entwickelt sein.
EU-Verordnung für elektronische Identitäten steht bereit
Die gesetzliche Umsetzung soll auf europäischer Ebene durch eine „Verordnung über elektronische Identifizierung und Vertrauensdienste“ (eIDAS 2.0) erfolgen. Ende Juni einigten sich Europäisches Parlament und Ministerrat über die Ausgestaltung der Verordnung. Die EU-Kommission hatte gefordert, die EUDI-Brieftasche mit einer lebenslangen Personenkennziffer zu verbinden, was auf Widerstand des EU-Parlaments stieß. In der Einigung wurde auf eine „dauerhafte Personenkennziffer“ als Teil der digitalen Identität verzichtet.
Die Mitgliedsstaaten werden durch die Verordnung verpflichtet, im Rahmen der nationalen Umsetzung der EUDI-Brieftasche „Vertrauenslisten von qualifizierten Vertrauensdiensteanbietern“ aufzubauen und zu pflegen. Diese Vertrauensdiensteanbieter können gleichermaßen Behörden wie kommerzielle Unternehmen sein und nur als vertrauenswürdig zertifizierte Organisationen dürfen ihre Dienstleistungen über die EUDI-Brieftasche anbieten. Die digitalen Brieftaschen sollen dabei nicht nur von staatlichen Institutionen ausgegeben werden dürfen, sondern auch durch private Unternehmen, die diese im Auftrag von staatlichen Institutionen oder anerkannt durch staatliche Institutionen ausgeben.
Umsetzung in Deutschland
Im Juni 2023 veröffentlichte das Bundesinnenministerium ein Konzept zur nationalen Ausgestaltung in Deutschland. Ab dem zweiten Halbjahr 2023 sollen demnach staatliche und private Organisationen in Workshops gemeinsam diskutieren, ob die digitale Identität in Deutschland als „staatliches Ökosystem“, als „privatwirtschaftliches Ökosystem“ oder als Kombination von beidem aufgebaut werden soll. Im Konzept werden noch weitere Anwendungsfelder genannt, die über die europäischen Vorgaben hinausgehen:
-
Erwerb von personalisierten Veranstaltungstickets
-
digitaler Hotelmeldeschein
-
Nachweis der Elternschaft
-
Speicherung von amtlichen Führungszeugnissen
-
Identifizierung für Mail- oder Social-Media-Konten.
Das Portal Netzpolitik berichtet, dass sich Konzerne wie Deutsche Post, Deutsche Telekom oder Google in den Beratungsprozess einbrächten. Privatunternehmen würden in ihren Stellungnahmen betonen, dass sie „für mehr Innovation“ Zugriff auf die EUDI-Brieftasche benötigen würden, es einer engen Kooperation zwischen Staat und Wirtschaft bei der Entwicklung bedürfe und die EUDI-Brieftasche auch durch Privatunternehmen ausgegeben werden solle. Der Staat müsse eine Basisinfrastruktur bereitstellen und die digitalen Brieftaschen/Wallets der Privatunternehmen zertifizieren. In dem Artikel wird Google zitiert: die „Google Wallet“ stünde für eine Nutzung bereit und sei auch schon praxiserprobt. Bis November 2023 soll ein Konzept für die Ausgestaltung der digitalen Identität in den Workshops erarbeitet sein.
Noch ist keine Festlegung darüber bekannt, wie die digitale Infrastruktur für die EUDI-Brieftasche in Deutschland aufgebaut wird. Es ist vor dem Hintergrund der Erfahrungen anderer staatlicher Digitalisierungsprojekte davon auszugehen, dass die Entscheidungsträger sich nicht für dezentrale Strukturen mit hohen Standards für Datenschutz entscheiden werden, sondern eher für zentralisierte Lösungen auf Servern bei Privatunternehmen, die mit den Smartphones der Bürger über Clouddienste verbunden sein werden. Es liegt nahe, dass die bereits bei der Digitalisierung des Gesundheitswesens mit Hilfe von Sanktionsdrohungen eingeführten Konzepte ähnlich bei der Digitalisierung der staatlichen Verwaltungsaufgaben ausgestaltet werden könnten.
Private Infrastruktur bereits im Gesundheitswesen erprobt
Die Telematikinfrastruktur (TI) genannte digitale Infrastruktur des Gesundheitswesens wurde 2019 mit der Drohung von prozentualem Honorarabzug für die Leistungserbringer eingeführt, wenn diese sich nicht daran anschließen. Eine zentrale Rolle spielte dabei die Gematik GmbH, bei der die Bundesregierung per Gesetz die Mehrheit der Stimmrechte von den Institutionen der Selbstverwaltung des Gesundheitswesens übernahm. Die Bundesregierung legt seitdem per Mehrheitsbeschluss in der Gesellschafterversammlung der Gematik die Einführung und Ausgestaltung neuer digitaler Dienste im Gesundheitswesen fest. Die technischen Anforderungen für neue digitale Dienste werden von dieser Firma spezifiziert. Die digitalen Dienste werden dann von Privatunternehmen entwickelt. Nach einer Zulassung durch die Gematik dürfen diese ihr kommerzielles Angebot am Ärzte, Kliniken und Apotheken innerhalb des gesicherten Netzwerks der TI anbieten.
Die Leistungserbringer werden durch Honorarabzug gedrängt, die neuesten digitalen Dienste bei den zugelassenen Unternehmen einzukaufen. In einer Datenbank der Gematik lässt sich recherchieren, welche Unternehmen bislang für welche Anwendungen der TI zugelassen wurden. So wurde der Auftrag für den Betrieb der TI an die Bertelsmann-Tochter Arvato vergeben.
Praxisausweis und Heilberufsausweis, die digital die Berechtigung eines Arztes oder anderer Leistungserbringer zur Teilnahme an der kassenärztlichen Versorgung nachweisen, werden nicht etwa durch die Kassenärztlichen Vereinigungen (KV) ausgegeben, sondern ebenfalls durch Privatunternehmen, die von der Gematik zugelassen wurden. Die Ausgabe der offiziellen Ausweise erfolgt durch die Unternehmen gegen eine Gebühr, nachdem diese sich bei der KV die Berechtigung des Antragstellers haben bestätigen lassen. Für die elektronische Patientenakte sind auch zwei Jahre nach der Einführung bislang nur drei Unternehmen als Anbieter zugelassen, darunter der US-Konzern IBM. Die Gesundheitsdaten in den elektronischen Patientenakten lagern nicht etwa auf Servern der gesetzlichen Krankenversicherungen, sondern jeweils auf den Servern der zugelassenen Privatunternehmen, die von den Krankenversicherungen auf Grund gesetzlicher Verpflichtung beauftragt werden müssen.
Für eine ähnliche IT-Architektur und Aufteilung der Funktionen zwischen staatlichen, halbstaatlichen und privatwirtschaftlichen Akteuren bei der EUDI-Brieftasche spricht, dass auch die Integration von elektronischen Patientenkurzakten in die EUDI-Brieftasche angestrebt wird. Die Patientenkurzakte soll Daten wie Medikation, Impfungen, Vorerkrankungen, Laborbefunde und Krankenhausentlassungsberichte enthalten und europaweit verwendbar machen. Auch sind Ähnlichkeiten im Zeitplan der Weiterentwicklung der TI und der Einführung der europäischen digitalen Identität erkennbar. So werden Krankenkassen ab 2024 verpflichtet, an ihre Versicherten „auf Wunsch“ eine digitale Gesundheits-ID auszugeben, die ab 2026 die bisherige Versichertenkarte ablösen soll. Patienten können sich dann mit ihrem Smartphone und biometrischen Daten (Gesichtserkennung, Fingerabdruck) in einer Arztpraxis identifizieren, anstatt wie bislang mit der Versichertenkarte. Es wäre naheliegend, die Gesundheits-ID dann ab 2026 gleich in die EUDI-Brieftasche zu integrieren. Deshalb scheint es wahrscheinlich, dass die IT-Architektur der EUDI-Brieftasche zur Wahrung der „Interoperabilität“ an die Vorarbeiten im Gesundheitssystem mit seinen privatwirtschaftlichen Clouddiensten anknüpfen wird.
Risiken der Verschmelzung von staatlichen und kommerziellen Strukturen
Vermutlich werden sich die Beteiligten darauf einigen, die EUDI-Brieftasche als Kombination eines staatlichen und privatwirtschaftlichen „Ökosystems“ aufzubauen. Während es in der analogen Welt bislang in Deutschland undenkbar wäre, dass staatliche Stellen ein Unternehmen wie Vodafone oder Apple mit dem Betrieb eines Einwohnermeldeamtes oder gar eines ganzen Rathauses in einer Gemeinde beauftragen, scheint dies in einem digitalisierten Staat zum Standardmodell zu werden. Wenn staatliches Verwaltungshandeln sich auf die Definition eines Leistungskataloges und die Zertifizierung von privatwirtschaftlichen Anbietern beschränkt, dann könnte es für Bürger in Zukunft zur Normalität werden, in ihrer Google- oder Apple-Wallet (wenn diese gemäß den Anforderungen der EUDI-Brieftasche zertifiziert wurden) ihre Ausweisdokumente zu verwalten, ihren Personenstand zu ändern oder ihren Umzug zu melden.
Auch werden Konzepte wie ein analoger Reisepass, der physisch zu Hause verwahrt mit einer festgesetzten Gültigkeit ausgestattet ist, entsprechend den EU-Vorstellungen vermutlich radikal verändert werden. Die Funktion eines Reisepasses würde in einem komplett digitalisierten Staat vermutlich ein Datensatz aus Personenstammdaten und biometrischen Daten auf einem zentralen Server einnehmen, bei dem mit einem staatlichem Zertifikat die Echtheit der Daten garantiert wird. Das digitale Reisedokument könnte dann verknüpft werden mit flexibel änderbaren Ein- und Ausreiseberechtigungen. Hierzu sollte auch der Entschließungsantrag des Bundestages vom Juli 2023 zur Kenntnis genommen werden, wonach die Bundesregierung gesetzliche Möglichkeiten zum Entzug des Reisepasses vereinfachen solle, wenn Bürger an Veranstaltungen im Ausland teilnehmen wollten, die dem Ansehen Deutschlands schaden könnten oder im „Widerspruch zu den Grundsätzen der freiheitlich demokratischen Grundordnung“ stünden.
Strafen per Mausklick
Durch die Koppelung staatlicher und privatwirtschaftlicher Interessen bei der Digitalisierungsagenda profitieren beide Seiten: Behörden erhalten durch die Digitalisierung der Verwaltungsvorgänge einen Zuwachs an Möglichkeiten, Daten der Bürger mit wenig Personalaufwand zu überwachen und auszuwerten. Strafen und Sanktionen bei Gesetzesüberschreitungen ließen sich per Mausklick verhängen und eintreiben. Auch sind in einem digitalisierten Staat verbesserte Steuerungsmöglichkeiten der Bevölkerung zum Erreichen von politischen Zielen gegeben. Um „Klimaziele zu erreichen“, ließe sich beispielsweise eine Reduzierung der Mobilität durch Deaktivierung von Zugtickets, Hotelbuchungen oder des digitalen Führerscheins sehr gezielt zu definierten Zeiten oder für definierte Berufsgruppen umsetzen. Die EUDI-Brieftasche wäre vermutlich auch die Infrastruktur, über die Bürger ein Konto mit digitalem Zentralbankgeld direkt bei der Notenbank einrichten und verwalten müssten. Es bestehen Missbrauchsmöglichkeiten seitens staatlicher digitaler Macht, Kritik an der Regierung und Demonstrationen ohne öffentliches Aufsehen durch Entzug von Mobilität oder Finanzierungsquellen zu unterbinden und Oppositionelle ohne Gerichtsprozesse einzuschüchtern.
Auf Seiten der Privatwirtschaft ermöglicht die Public-Private-Partnership bei der Digitalisierung des Staates Zugang zu neuen Geschäftsfeldern. In einem Oligopol der wenigen staatlich zertifizierten Anbieter können hohe Gewinnmargen erzielt werden. Ein komplizierter Zulassungsprozess ist für globale Konzerne einfacher zu bewältigen, so dass es für kleinere, regionale Mitbewerber schwierig sein dürfte, auf die „Vertrauensliste von Vertrauensanbietern“ zu gelangen. Die Auswertung der zentral gesammelten Bürgerdaten verspricht ebenfalls Vorteile gegenüber Wettbewerbern. Durch die Abhängigkeit staatlicher Institutionen vom digitalen Know-how der Privatwirtschaft lassen sich Gesetzesvorhaben zum eigenen Vorteil leichter beeinflussen.
Wenn die europäische digitale Identität als zentralisierte Infrastruktur für die genannten Anwendungsfelder eingeführt wird, ist der Wert der gesammelten Daten mit staatlichem Echtheitszertifikat von (fast) allen EU-Bürgern für Cyber-Kriminelle eine wertvolle Beute. Deshalb ist trotz aller Bekenntnisse zur Datensicherheit davon auszugehen, dass durch Hacking-Angriffe früher oder später vertrauliche Daten gestohlen werden.
Veränderte Rolle des Staates
Die staatliche und privatwirtschaftliche Auswertung der EUDI-Brieftasche könnte Grundlage für Modelle der Verhaltenssteuerung sein, wie sie in Konzepten zu „Social Credit Scores“ oder „persönlichen CO2-Budgets“ beschrieben wurden. Bislang wenig beachtet wurde die grundlegende Veränderung staatlicher Strukturen und staatlichen Handelns durch die geplante Digitalisierungstransformation. Wenn hoheitlich-staatliche Verwaltungsakte nicht mehr in Gebäuden des Staates von Angestellten des Staates durchgeführt werden, sondern über Softwareumgebungen und Apps der Privatwirtschaft, gespeichert auf Servern der Privatwirtschaft, dann verändert sich auch die Rolle des Staates in der Gesellschaft. Von einer regulierenden Instanz, die unabhängig von privaten Profitinteressen das gesellschaftliche Zusammenleben gewährleisten soll, würde der Staat zu einer Art Zertifizierungsstelle, die operativ abhängig ist von den Privatunternehmen, die sie zertifiziert und beauftragt. Nachdem Public-Private-Partnerships seit den 1990er Jahren für vorherige staatliche Dienstleistungen und Infrastrukturprojekte in Einzelfällen erprobt wurden – und in vielen Fällen zu Ungunsten der Bürger ausfielen –, wäre die Public-Private-Partnership vermutlich der Standard bei digitalisierten staatlichen Verwaltungsaufgaben.
Über den Autor: Andreas Heyer, Jahrgang 1973, arbeitet als Psychologischer Psychotherapeut mit tiefenpsychologisch-fundierter Fachrichtung in eigener Praxis.
Weitere Artikel zum Thema:
- Social-Credit-System: Ein Universum von Strafbarkeiten (Roland Rottenfußer, 29.3.2023)
- Digitalisierung der Stromnetze: Von Nachfrageorientierung zu Nachfragesteuerung (Andreas Heyer, 20.2.2023)
- Corona, Big Data und die Massensteuerung (Andrea Komlosy, 31.10.2022)
Diskussion
6 Kommentare