Laptop, Geschäftsmann

Corona und e-Government

Offenlegung von Versäumnissen in der deutschen Verwaltung bei den Grundlagen des e-Governments

In der Corona-Krise werden die digitalen Versäumnisse der öffentlichen Verwaltung schmerzhaft deutlich. Schnell auf den Weg gebrachte Lösungen weisen grobe Sicherheitslücken auf, grundlegende Voraussetzungen wie eine breit akzeptierte Form der elektronischen Identifikation fehlen. Die Verwaltung büßt an Handlungsfähigkeit ein: ein Appell für die Investition und Umsetzung der notwendigen Grundlagen eines funktionierenden eGovernments in Deutschland.

Das Land Nordrhein-Westfalen hat die Antragstellung für Corona-Soforthilfe 2020 „vorerst“ gestoppt. Wie die Presse berichtete, hatten Betrüger die Antragsteller auf eigene Webseiten umgeleitet, dort Daten abgefragt und mit diesen Daten dann „richtige“ Anträge gestellt und die Gelder abkassiert. Diese Daten beinhalteten u.a. Personalausweisnummer, Steuernummer, Bankverbindung und Adressdaten. Verwaltung der Zukunft lobte das Projekt um die NRW-Soforthilfe leider zu früh.

Was lief hier schief? Nun, ein Verwaltungsakt besteht üblicherweise aus dem Dreiklang

  1. Antragstellung samt Identifikation bzw. Schriftform

  2. Bearbeitung des Aktes und Entscheidung

  3. Zustellung des Bescheids und Vollziehung,

wobei bei 1. und 2. üblicherweise staatliche Register beigezogen werden, um Angaben des Antragstellers zu überprüfen. Bei allen diesen drei Schritten gab und gibt es wesentliche Versäumnisse, die nachstehend beleuchtet werden.

Mangelnde Verbreitung elektronischer Identifikation und Signaturen

Das Hauptproblem ist nicht, dass die Betrüger falsche Webseiten aufgesetzt hatten, sondern dass das Land Nordrhein-Westfalen über 20 Jahre nach Veröffentlichung der „Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen“, kurz Signaturrichtlinie (SigRL), für diese Antragstellung weder eine belastbare elektronische Identifikation anbieten noch entgegennehmen und überprüfen kann. Es wird mit „Krücken“ gearbeitet, einer „Identifikation“ auf Basis von Daten, die weder den strengen und hohen Anforderungen der Signaturrichtlinie noch der Erneuerung der Richtlinie aus dem Jahr 2014 Verordnung (EU) Nr.910/2014 (die eIDAS-Verordnung) genügen.

»

Diese Verordnung dient der Stärkung des Vertrauens in elektronische Transaktionen im Binnenmarkt, indem eine gemeinsame Grundlage für eine sichere elektronische Interaktion zwischen Bürgern, Unternehmen und öffentlichen Verwaltungen geschaffen wird, wodurch die Effektivität öffentlicher und privater Online-Dienstleistungen, des elektronischen Geschäftsverkehrs und des elektronischen Handels in der Union erhöht wird.“.

«
eIDAS-Verordnung

Die Bereitschaft des NRW-Wirtschaftsministeriums, Anträge ohne rechtssichere Identifikation i.S.d. eIDAS-VO entgegenzunehmen und zu bearbeiten, verblüfft umso mehr, als das Ministerium an sich mit Themen wie qualifizierter elektronischer Signatur vertraut ist, wie eine andere Webseite des Ministeriums zeigt:

»

Für den formgebundenen Schriftverkehr an das Wirtschafts- und Digitalministerium NRW können Sie qualifiziert elektronisch signierte (QES) Dokumente per E-Mail an poststelle@mwide.sec.nrw.de senden.

«

Damit ist das nordrhein-westfälische Wirtschaftsministerium zweifelsohne etlichen, um nicht zu sagen den meisten Verwaltungsbehörden der Bundesrepublik voraus, die auch mehr als 20 Jahre nach der Signaturrichtlinie keine seriöse elektronische Identifikation akzeptieren. Sätze auf Webseiten von Landeshauptstädten wie Erfurt, die da lauten „Qualifiziert elektronisch signierte Dateien sind per E-Mail nicht zulässig.“ sind leider die Regel.

20 Jahre Signaturrichtlinie

Umsetzung in der deutschen Verwaltung

Nimmt man beispielsweise den Wettbewerb des Bundesinnenministeriums „Modellprojekte Smart Cities“, so sind die drei Siegerstädte der Kategorie „Großstädte“ Solingen, Ulm und Wolfsburg allesamt nicht in der Lage, qualifizierte elektronische Signaturen zu akzeptieren. Solingen akzeptiert – wohl eIDAS-widrig diskriminierenderweise – nur Signaturen bestimmter deutscher Anbieter. Ulm akzeptiert überhaupt keine signierten elektronischen Dokumente und schreibt „Wir bitten Sie deshalb, in diesen Fällen auf die papiergebundene Kommunikation auszuweichen.“

Wolfsburg akzeptiert ebenso keine signierten elektronischen Dokumente: „Dies hat zur Folge, dass Sie Dokumente, die einem Schriftformerfordernis unterliegen, nicht in elektronischer Form übersenden können. Wir bitten Sie deshalb, in diesen Fällen auf die papiergebundene Kommunikation auszuweichen.“. Wenn das die drei Siegergroßstädte und Modellprojektstädte Smart Cities sind, erübrigt sich wohl der Blick auf die anderen Kommunen in Deutschland.

Identifikationsnachweise anderer Länder in Deutschland nicht akzeptiert

Die eID des deutschen Personalausweises war das erste Identifikationsmittel, welches durch die EU-Kommission notifiziert wurde.
© Bartolomiej Pietrzyk / Shutterstock.com

Wie kann nun eine sichere und rechtlich belastbare Identifikation des Rechtsunterworfenen erfolgen? Nun, primär mit den Mitteln, die in eIDAS vorgegeben sind. Hohe, europaweite Standards, die der Europäischen Kommission notifiziert werden und von dieser überprüft, danach sind die Identifikationsmittel europaweit gegenseitig anzuerkennen. Paradoxerweise war die eID des deutschen Personalausweises das erste Identifikationsmittel, welches notifiziert wurde – also Platz 1 bei der Notifikation, aber wohl der letzte Platz bei der Akzeptanz. Während zum Beispiel Finanzbehörden in Österreich die eID des deutschen Personalausweises als Identifikationsmittel akzeptieren, sieht es umgekehrt schlecht aus. Eine Anmeldung mit einer ausländischen elektronischen Identität sucht man auf den Webseiten deutscher Finanzämter vergeblich.

Hohe Sicherheitslücken durch fehlende Identifikationslösung

Was hat all dies nun mit Corona zu tun? Nun, wenn es nicht möglich ist, einen Rechtsunterworfenen zweifelsfrei elektronisch zu identifizieren, dann ist jeglichem Betrug Tür und Tor geöffnet, jeglichem Identitätsdiebstahl und jeglichem Missbrauch. Kann man in der elektronischen Welt die Bitte „Zeigen Sie mir bitte Ihren Ausweis“ nicht stellen – wie im Bürgerbüro – dann ist vieles entweder unmöglich, oder aber wie im Falle Nordrhein-Westfalen brandgefährlich.

Auch Bulgarien und Rumänien ermöglichen ihren Bürgerinnen und Bürgern einen elektronischen Weg zur Kommunikation mit den Behörden.

Während nun in anderen EU-Mitgliedsländern die Verwaltung problemlos weiterhin elektronisch läuft und bspw. eine Wohnsitzabmeldung sicher und identifiziert elektronisch erfolgen kann, heißt es nicht nur in Ludwigsburg „Bitte senden Sie uns das ausgefüllte und unterschriebene Formular mit einer Kopie Ihres Personalausweises oder Reisepasses per Post oder E-Mail zu.“. Dass dies Betrug und Missbrauch Tür und Tor öffnet, weil eine Kopie eines Personalausweises oder Reisepasses auf z. B. Instagram problemlos erhältlich ist, ist offensichtlich. Bedenkt man, dass im Online-Banking nicht erst seit letztem September für uns alle spürbar höhere Anforderungen gelten, Stichwort PSD2-Richtlinie, ist solch ein Verhalten der deutschen Verwaltung völlig unverständlich.

Was wäre nun zu tun? Nun, erstens die „Identifikation“ auf Basis zweifelhafter und rechtlich nicht belastbarer „Nachweise“ sofort einzustellen; und zwar in allen 16 Bundesländern und in allen Kommunen. Und zweitens endlich dafür zu sorgen, dass elektronische Identifikationen die eIDAS-konform sind, verbreitet und akzeptiert werden. Hier liegt Deutschland hinter vielen anderen Staaten, wo die elektronische Kommunikation mit Behörden problemlos möglich ist. Diese Staaten umfassen nicht nur die „üblichen Verdächtigen“ wie Estland und Österreich, sondern mittlerweile auch in Rumänien und Bulgarien.

Mängel von e-Akte bis Register

In den deutschen Verwaltung sind Papierakten noch immer der gängige Standard.

Es scheint einerseits, dass es generell Probleme bei der Arbeit von öffentlich Bediensteten im Home Office gibt, andererseits stellt sich die Frage, ob diese Bediensteten im Home Office überhaupt arbeitsfähig sind. Eine elektronische Akte oder e-Akte ist in den meisten Bundesländern und in der Bundesverwaltung noch nicht im Einsatz. Während sie in anderen Staaten seit Jahrzehnten eingeführt ist, starten in Deutschland die ersten Bundesländer die Einführung. Andere haben in ihren jeweiligen e-Government-Gesetzen Einführungsfristen wie den 1. Januar 2022 (§ 6 EGovG BW). Diese gilt allerdings nur für die Landesbehörden, Kommunen können ihre Akte auch danach weiterhin auf Papier führen.

Das Problem hierbei ist, dass das nun mangels Alternative praktizierte Versenden von MS-Office-Dokumenten per E-Mail nicht nur unsicher ist, sondern auch gegen die Gebote der Aktenmäßigkeit verstößt. So ist bspw. nicht nachvollziehbar, wer Ergänzungen und Änderungen vorgenommen hat. Auch kann eine elektronische Akte nicht unterschrieben werden, wenn der Beamte keine qualifizierte elektronische Signatur zur Verfügung hat, bspw. mittels eines Dienstausweises samt Chip mit eID- und Signaturfunktion.

Sieht man von Nischen ab, gibt es üblicherweise keine elektronische Zustellung. Dass eine Zustellung bspw. nach § 5a VwZG über De-Mail nicht flächendeckend ist oder auch nur einen nennenswerten Teil der Rechtsunterworfenen abdeckt, bedarf wohl keiner weiteren Erläuterung.

Um in Corona-Zeiten im Home Office arbeitsfähig zu sein, bedarf es nicht nur eID, Signatur, e-Akte und e-Zustellung, sondern v.a. auch gepflegter Register. Hier sei nur exemplarisch auf das elektronische Grundbuch verwiesen, welches jetzt seit ca. einem Jahr soweit funktioniert. Dass es in anderen Ländern bereits seit den 1980er-Jahren ein elektronisch geführtes und einsehbares Grundbuch gab, belegt den Rückstand. Im März 2019 beschloss der IT-Planungsrat ein Projekt „Registermodernisierung“ aufzusetzen.

Es fehlt an den Basis-Funktionalitäten einer e-Government-Infrastruktur. Damit sind insbesondere keine durchgängigen elektronischen Verfahren möglich. Zeiten eines “Social Distancing” zeigen diese Versäumnisse schonungslos auf. Den Anwendungen fehlt es am Fundament. Dieses Fundament muss aufgebaut und ausgebessert werden, bevor weitere Digitalprojekte in den Fokus genommen werden.

Wir erwarten, dass zu vielen Themen unseres Journals bei Ihnen der Wunsch besteht, sich auszutauschen. Daher planen wir eine Kommentarfunktion für unsere registrierten Leser.