Vertrauensdienste – ein blinder Fleck in der Berichterstattung zum OZG 2.0

Die Digitalisierung deutscher Behörden und Kommunen stockt – und dies schon seit geraumer Zeit. Bereits beim 2017 beschlossenen OZG war es nicht gelungen, die Bundesländer ausreichend mit ins Boot zu holen. Lange Zeit drohte seiner diesen Februar beschlossenen Novellierung, dem sogenannten OZG 2.0, dasselbe Schicksal. Am 22. März hatte der Bundesrat das Gesetz abgelehnt. Es folgten ein Vermittlungsverfahren, Zugeständnisse des Bundes an die Länder und schließlich, am 14. Juni dann, die Verabschiedung. Mit seiner Veröffentlichung im Bundesgesetzblatt ist in Bälde zu rechnen.

Das ist auch gut so. Denn in Punkto Digitalisierung der staatlichen Verwaltung hinken Deutschlands Behörden und Kommunen ihren europäischen Nachbarn teils weit hinterher. In den Medien ist es meist der schiere Umfang ihrer Online-Verwaltungsangebote der dem wesentlich bescheideneren deutschen Servicekatalog dann gegenübergestellt, als Best Practices angeführt wird. Die technische Grundlage ihrer Vorreiterrolle hingegen, sie bleibt in der Medienberichterstattung meist unerwähnt. Es ist der umfassende Einsatz von Vertrauensdiensten, von qualifizierten Signaturen, Siegeln und Zeitstempeln, der ihnen ihre umfangreichen digitalen Serviceangebote überhaupt erst ermöglicht. Für die erfolgreiche Digitalisierung der öffentlichen Verwaltung stellen sie einen Schlüsselfaktor dar - über den in der Öffentlichkeit aber nur selten, viel zu selten, berichtet wird.

Auch in Deutschland gelten qualifizierte digitale Signaturen schon seit geraumer Zeit, 2017 hatte das eIDAS-Durchführungsgesetz hier für Klarheit gesorgt, im Rückkanal als ‘Schriftformersatz’. Doch kam der Vertrauensdienst im deutschen Behördenalltag – Behördenmitarbeiter benötigen für seine Anwendung z.B. eine Signaturkarte und eine PIN oder ein Dienst-Smartphone - kaum zum Einsatz.

Vielerorts fehlt in der Bundesrepublik dementsprechend nach wie vor ein rechtssicherer Nachweis, wer was wann in einem digitalen Aktenvorgang angelegt hat. Ein echter Risikofaktor – mit erheblichem Schadenspotential. Denn würden Angreifer sich unbemerkt Zugang zum IT-System einer Behörde oder Kommune verschaffen können, könnten sie auch unbemerkt Inhalte digitaler amtlicher Dokumente zu ihren Gunsten manipulieren – zum Beispiel die IBAN-Nummer einer amtlichen Rechnung in eine eigene IBAN-Nummer umändern. Käme es zu solch einem Angriff, würde er publik, das Vertrauen der Bürger in die Sicherheit ihrer digitalen Verwaltung, es wäre auf Jahre gestört.

Das OZG 2.0 hat hier das Potential zum Game Changer. Qualifizierten elektronischen Signaturen stellt es erstmals qualifizierte elektronische Siegel als Schriftformersatz zur Seite. Mitarbeiter von Behörden und Kommunen können künftig über einen zentralen Siegeldienst qualifizierte elektronische Siegel anfordern und nutzen. Die Ausstellung von digitalen amtlichen Dokumenten, die ihren physischen Gegenstücken gleichgestellt sind, wird ihnen so wesentlich erleichtert werden. Für die Kommunikationsrichtung Staat-Bürger und Staat-Staat wurde hier eine gute Lösung gefunden.

Wie gut die gegenläufige Kommunikationsrichtung, Bürger-Staat, mit dem OZG 2.0 abgedeckt sein wird, das dagegen bleibt abzuwarten.

Für jeden Bürger wird schon heute für eine rechtssichere digitale Antragsstellung bei einer Behörde eine eigene qualifizierte Signatur benötigt. Für deren Nutzung sieht das OZG 2.0, wie schon sein Vorgänger, den Zugriff auf das vom Bund gestellte Bürgerkonto BundID, das im Rahmen des OZG 2.0 in den kommenden Jahren zur DeutschlandID ausgebaut werden soll, vor. Jedoch: Das derzeitige sichere Anmeldeverfahren gestaltet sich kompliziert. Eine Anbieter-App, die eID des eigenen Personalausweises, eine PIN und ein NFC-fähiges Endgerät werden benötigt. Als nutzerfreundlichere – aber auch unsichere - Ausweichlösung steht Anmeldewilligen zudem das eigene ELSTER-Zertifikat und -Passwort zur Auswahl. Das OZG 2.0 sah hier nun eigentlich vor, dieses erleichterte Anmeldeverfahren zu beenden. Allenfalls für eine Übergangsperiode sollte es noch gelten. Auch hier scheinen im Vermittlungsausschuss aber Zugeständnisse gemacht worden zu sein. In seiner Veröffentlichung vom 14. Juni schlug der Ausschuss nun vor, ELSTER, sowie andere Identifizierungsmittel mit vergleichbarem Sicherheitsniveau, auch ‘weiterhin’ bei der Nutzerkonto-Identifizierung und -Authentifizierung zur Anwendung zu bringen. Wie man sich hier letztlich entscheiden wird, bleibt abzuwarten. Gut möglich, dass die Frage, ohnehin schon bald obsolet sein wird. In nur drei Jahren, 2027, steht ja schließlich schon die Einführung der European Digital Identity Wallet (EUDI-Wallet) ins Haus. Auch auf sie wird im OZG 2.0 Bezug genommen. Und was läge näher, als in diese eine individuelle digitale qualifizierte Signatur zu integrieren?

Das Kapitel Vertrauensdienste im OZG 2.0, es ist und bleibt spannend.