KIF510:Datenschutz Einmalzahlung: Unterschied zwischen den Versionen

Aus KIF
Zeile 36: Zeile 36:
'''Entschlossenes Einschreiten bei Verstößen'''
'''Entschlossenes Einschreiten bei Verstößen'''


Durch den beschränkten Handlungsspielraum bei später Einbindung bleibt den Datenschutzbehörden meist nur ein Widerspruch gegen das gesamte Verfahren, um Datenschutzverstöße zu verhindern. In der Vergangenheit haben die Behörden hier zwar Datenverarbeitungen gerügt, sind jedoch darüber hinaus nicht tätig geworden. Wir fordern hier von den Datenschutzbehörden ein entschlossenes Vorgehen gegen unzulässige Datenverarbeitungen von staatlichen Stellen, insbesondere im Hinblick auf das häufig existierende Machtgefälle zwischen Betroffenen und der verarbeitenden Stelle. Dies beinhaltet auch ein Verbot von Datenverarbeitungen, auch wenn daraus ein Stopp eines Projektes resultiert.
Durch den beschränkten Handlungsspielraum bei später Einbindung bleibt den Datenschutzbehörden meist nur ein Widerspruch gegen das gesamte Verfahren, um Datenschutzverstöße zu verhindern. In der Vergangenheit haben die Behörden hier zwar Datenverarbeitungen gerügt, sind jedoch darüber hinaus nicht tätig geworden. Wir fordern hier von den Datenschutzbehörden ein entschlossenes Vorgehen gegen unzulässige Datenverarbeitungen von staatlichen Stellen, insbesondere im Hinblick auf das häufig existierende Machtgefälle zwischen Betroffenen und der verarbeitenden Stelle.  
Dies muss in schweren Fällen auch in einem Verbot von Datenverarbeitungen resultieren, auch wenn dies zu einer Unterbrechung der Durchführung eines Projektes führen kann.


[ToDo: Entschlossenes Einschreiten bei Verstößen muss überarbeitet werden, um Nothilfen nicht an Datenschutz scheitern zu lassen und die DSBs dennoch zu ermächtigen]
[ToDo: Entschlossenes Einschreiten bei Verstößen muss überarbeitet werden, um Nothilfen nicht an Datenschutz scheitern zu lassen und die DSBs dennoch zu ermächtigen]

Version vom 20. Mai 2023, 16:33 Uhr

Datenschutz und partizipative Entwicklung bei staatlichen IT-Projekten vor dem Hintergrund der Einmalzahlung für Studierende und Fachschüler:innen

Kritik an der Einmalzahlung

Im September 2022 hat die Bundesregierung eine schnelle und unbürokratische Einmalzahlung für Studierende und Fachschüler:innen als Hilfe für die gestiegenen Energie- und Lebensmittelpreise angekündigt. Leider hat die Bundesregierung das Ziel der unbürokratischen und schnellen Hilfe nicht erreicht. Zum Einen lag zwischen der Ankündigung der Hilfe im September und dem Beginn der Auszahlungen im März ein halbes Jahr. Zum Anderen war auch die Umsetzung über die gemeinsame Plattform mit diversen datenschutzrechtlichen und technischen Problemen nicht unbürokratisch.

Ziel der Einmalzahlung war es, die finanzielle Belastung von Studierenden und Fachschüler:innen durch u.a. gestiegene Energiepreise abzufedern. Die Auszahlung sollte dabei schnell passieren. Die Fraktion der FDP im Bundestag schreibt hier in der Beschlussempfehlung und dem Bericht des Ausschusses für Bildung, Forschung und Technikfolgenabschätzung im Gesetzgebungsverfahren für das EPPSG: “Die Bundesregierung mache alles dafür, damit die Auszahlung mit dem kommenden Jahr beginnen könne, also so rechtzeitig, um die dann zu erwartenden Nebenkostenabrechnungen abzufedern” ([1], Seite 7f.) Dies ist so nicht eingetreten, da die Auszahlung erst ab dem 15. März beantragt werden konnte. Daraus folgte, dass die Hilfe auch erst nach Ende vieler Zahlungsfristen der Nebenkostenabrechnungen ausgezahlt wurde. Nach der EU Statistik über Einkommen und Lebensbedingungen von 2021[2] sind 38,5% der Studierenden nicht in der Lage, größere ungeplante Ausgaben zu bestreiten. Bei Studierenden, die alleine oder in Wohngemeinschaften ausschließlich mit anderen Studierenden zusammen wohnen, gilt dies sogar für mehr als die Hälfte. Die gestiegenen Lebensmittel- und Energiepreise werden diesen Anteil für das Jahr 2022 höchstwahrscheinlich noch erhöht haben. Gerade diese Studierenden konnten durch die Kombination von höheren Nebenkostenabrechnungen und der Verzögerung bei der Beantragung in ein finanzielles Loch fallen.

Im Rahmen der Rückerstattungen der Semesterticket-Beiträge für das 9-Euro-Ticket wurde an vielen Hochschulen ein eigenes System entwickelt, welches auch die Anforderungen an ein System zur Auszahlung der Einmalzahlung (Authentifizierung, Überprüfung der Zugehörigkeit zur Universität zu einem Stichtag und Abfrage von Kontodaten sowie die Überweisung des Betrags) erfüllt. Dies widerspricht zumindest in Teilen der Aussage der Bundesministerin für Bildung und Froschung: “Eine Auszahlung an rund 3,5 Millionen Menschen in 16 Bundesländern an mehr als 4.000 unterschiedlichsten Ausbildungsstätten hat es so noch nicht gegeben.” [3] Denkbar wäre für die Einmalzahlung z.B. ein System gewesen, in dem die Ausbildungsstätten die Antragstellung und Auszahlung über eine Reaktivierung des bestehenden 9-Euro-Ticket-Tools abwickeln und die Kosten hierfür vom Bund erstattet bekommen. Zusätzlich hätte eine optionale (ggf. zentral angebotene) Plattform für die Ausbildungsstätten zur Verfügung gestellt werden können, die ein solches System erst noch hätten entwickeln müssen. (Z.B. Berufsschulen oder Hochschulen ohne Semesterticket)

Bei der Entwicklung des zentralen Antragstools waren nur während des Gesetzgebungsverfahrens zwei selektierte Studierendenvertretungen (fzs und LHG) eingebunden, die eine Stellungnahme zum geplanten EPPSG einreichen konnten.[4] Sinnvoll wäre hier eine Einbindung von Studierendenvertretungen in den Bund-Länder-Konferenzen, in der die Umsetzung besprochen wurde, gewesen.

Auch die Datenschutzbehörden wurden in dem Prozess zu spät eingebunden. Beispielsweise wurden die Anmerkungen des LfDI des Saarlandes zur Verschlüsselung von Datensätzen vor Übermittlung an die zentrale Stelle umgesetzt.[5] Wären Datenschutzbehörden früher, insbesondere noch in der Konzeptionsphase, eingebunden worden, hätte die Antragsplattform wesentlich datenschutzfreundlicher sein können, z.B. indem ganz auf eine zentralisierte Lösung verzichtet worden wäre. So hat die Datenschutzkonferenz des Bundes und der Länder (DSK) in ihrer Stellungnahme vom 3. Februar [6] diverse Entscheidungen in der Konzeption kritisiert. Besonders hervorzuheben ist hier die fehlende Notwendigkeit einer zentralen statt dezentraler Plattformen. Eine zentrale Plattform wurde im Hinblick auf möglichen Missbrauch durch doppelte Antragstellung gewählt. Die DSK sieht hier keine Anhaltspunkte dafür, alle Studierenden und Fachschüler:innen unter Generalverdacht stellen zu müssen. Die zentrale Verarbeitung und ein Abgleich der Anträge mit allen bisher gestellten Anträgen ist damit unnötig und zudem datenschutzrechtlich unzulässig.

Das BMBF sowie alle weiteren beteiligten Stellen haben zudem keine schlüssige Begründung liefern können, weshalb ein Zwang zu einem bund.ID Konto besteht. In der Antwort des MID-ST zur Stellungnahme der DSK[7] führt das MID aus, dass die Nutzung der bund.ID gewählt wurde, da hier schon Kompetenzen durch BAFöG Digital vorhanden sind. Allerdings wird an keiner Stelle dargelegt, weshalb eine Gast-Anmeldung nicht zugelassen wird, sondern zwingend ein bund.ID Konto angelegt werden muss. Hierfür gibt es keinen für uns ersichtlichen Grund außer der Möglichkeit, die Nutzungszahlen des Ladenhüters bund.ID künstlich in die Höhe zu treiben.

Auch in der Umsetzung der eigentlichen Plattform wurden technische Dinge nicht bedacht. So waren die Server sämtlicher beteiligter Stellen nicht auf den Ansturm an den ersten Tagen der Antragstellung vorbereitet. Die Webseite der bund.ID war teilweise komplett unerreichbar und es konnten lange Zeit keine neuen bund.ID-Konten angelegt werden. Außerdem brach der Server der Bundesdruckerei unter der Last zusammen, sodass auch andere Dienste, die auf die Nutzung der Online-Funktion des Personalausweises angewiesen sind, nicht genutzt werden konnten. Der Testlauf, der vor dem deutschlandweiten Start der Antragsplattform durchgeführt wurde, war also augenscheinlich nicht ausreichend. Ebenfalls ist fraglich, ob die beteiligten Stellen (BMI, Bundesdruckerei, Governikus als Entwickler der AusweisApp2) auf die zu erwartende massive Lastspitze hingewiesen wurden. Eine solche Lastspitze musste vor allem vor dem Hintergrund der Startprobleme bei der Überbrückungshilfe für Studierende im Juni 2020 auch bei der Einmalzahlung erwartet werden.

Forderungen

Vor dem Hintergrund der genannten Probleme mit der Einmalzahlung für Studierende und Fachschüler:innen fordert die 51,0. Konferenz der deutschsprachigen Informatikfachschaften für zukünftige staatliche IT-Projekte:

Einbindung von Betroffenen

Bei IT-Projekten in der Größenordnung der Einmalzahlung kann eine frühzeitige Einbindung der Betroffenen sehr dabei helfen, die Probleme der Betroffenen zu verstehen und z.B. Antragswege auf die Lebensrealität und Bedürfnisse der Betroffenen anzupassen.

Abwägung von Verhinderung von Missbrauch und Generalverdacht

Sowohl die Umsetzung der Überbrückungshilfe für Studierende als auch die Umsetzung der Einmalzahlung war von der Verhinderung von Missbrauch geprägt. Eine präventive Datensammlung zum Zweck der Missbrauchsverhinderung widerspricht der Unschuldsvermutung und stellt alle Betroffenen unter Generalverdacht, statt ihnen einen Vertrauensvorschuss zu gewähren. Eine Verhinderung von Missbrauch darf nicht zulasten der informationellen Selbstbestimmung geschehen und ein entsprechendes Verfahren muss gewährleisten, dass immer nur die absolut notwendigen Daten gesammelt werden. Insbesondere bei der Einmalzahlung wurde nur eine theoretische Möglichkeit der Doppelbeantragung als Basis für die Datensammlung angeführt. Einen konkreten Anhaltspunkt für tatsächlichen Missbrauch gab es augenscheinlich nicht.

Datenschutz by Design

In aktuellen IT-Projekten werden Datenschutzbehörden meist erst bei der Umsetzung von Vorhaben eingebunden. Wurden in der Konzeptionsphase Entscheidungen für weitreichende Datenerhebungen getroffen, ist der Handlungsspielraum der Datenschutzbehörden stark eingeschränkt. Sind die Datenschutzbehörden in der Konzeptionsphase allerdings bereits eingebunden, kann von Anfang an ein datenschutzfreundliches Verfahren entwickelt werden. Als Positivbeispiel ist hier die CoronaWarnApp anzuführen, bei der schon in der Spezifikation eine Datenminimierung und Verhinderung der Möglichkeit von Profilbildung vorgesehen war.

Entschlossenes Einschreiten bei Verstößen

Durch den beschränkten Handlungsspielraum bei später Einbindung bleibt den Datenschutzbehörden meist nur ein Widerspruch gegen das gesamte Verfahren, um Datenschutzverstöße zu verhindern. In der Vergangenheit haben die Behörden hier zwar Datenverarbeitungen gerügt, sind jedoch darüber hinaus nicht tätig geworden. Wir fordern hier von den Datenschutzbehörden ein entschlossenes Vorgehen gegen unzulässige Datenverarbeitungen von staatlichen Stellen, insbesondere im Hinblick auf das häufig existierende Machtgefälle zwischen Betroffenen und der verarbeitenden Stelle. Dies muss in schweren Fällen auch in einem Verbot von Datenverarbeitungen resultieren, auch wenn dies zu einer Unterbrechung der Durchführung eines Projektes führen kann.

[ToDo: Entschlossenes Einschreiten bei Verstößen muss überarbeitet werden, um Nothilfen nicht an Datenschutz scheitern zu lassen und die DSBs dennoch zu ermächtigen]

Quellen