Endlich können Studierende und Fachschüler:innen auf einmalzahlung200.de die Energiepreispauschale in Höhe von 200 Euro beantragen. Doch auch wenn die Verantwortlichen das Verfahren überschwänglich loben, bleiben die datenschutzrechtlichen Probleme bestehen. Immerhin gibt es jetzt einen einfachen Weg, seine BundID wieder zu löschen.
Die Auszahlung der Energiepauschale an Studierende und Fachschüler:innen feiern Verantwortliche als großen Erfolg. Jens Brandenburg (FDP), Parlamentarischer Staatssekretär des Bundesministeriums für Bildung und Forschung (BMBF), bezeichnet das Verfahren als „echte Pionierarbeit“. Lydia Hüskens, Ministerin für Infrastruktur und Digitales Sachsen-Anhalt (MID), lobt, wie schnell die Anträge bearbeitet werden. Und der Bundes-CIO Markus Richter freut sich, dass parallel zu den Antragstellungen die Zahl der BundID-Nutzer:innen auf über eine Million angestiegen ist.
Jene, die die Einmalzahlung in Anspruch nehmen möchten, stimmen jedoch meist nicht in den Lobgesang ein. Über Wochen hatten Studierende und Fachschüler:innen auf die angekündigte Soforthilfe warten müssen. Dabei hatte das Bildungsministerium angesichts steigender Energiepreise eine schnelle und einfache Entlastung versprochen. Allerdings empfanden viele es keineswegs als „einfach“, den Antrag zu stellen – ganz im Gegenteil. Bereits im Vorfeld gab es viel Verwirrung zum Antragsablauf. So erforderte dieser neben einem Zugangscode der jeweiligen Ausbildungsstelle und einer PIN auch ein BundID-Konto. Und als es dann endlich soweit war und seit Mitte März Anträge gestellt werden konnten, war sowohl die Plattform einmalzahlung200.de als auch die Seite der BundID regelmäßig überlastet.
Dass sie dazu gezwungen sind, sich ein BundID-Konto anzulegen, hat nicht nur viele Studierende und Fachschüler:innen verärgert. Auch Expert:innen sehen darin einen datenschutzrechtlichen Verstoß. Die Datenschutzkonferenz (DSK) betont in ihrer Stellungnahme zum Verfahren der Einmalzahlung, dass sie für das Verfahren nicht erforderlich gewesen wäre. Probleme sieht das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder zudem in fehlenden Rechtsgrundlagen, im Sammeln von Daten „auf Vorrat“ und deren massenhaften Abgleich.
Zwangsverpflichtung zur BundID
Für die Verwendung der BundID enthalte das Energiepreispauschalengesetz (EPPSG) keine entsprechende Vorgabe, erklärt Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein und DSK-Vorsitzende. Das Gesetz bildet die Grundlage für die digitale Umsetzung des Verfahrens der Einmalzahlung. Bereits in ihrer Stellungnahme vom Februar riet die DSK, den Zwang zur BundID zu überdenken.
Der Berliner Jurist und Datenschützer Christian Aretz kritisiert am Verfahren, dass es die Verbreitung der BundID „durch die Hintertüre“ ermöglicht hat. Dass eine freiwillige Sache damit zur Pflicht wurde, sei „unredlich und aus datenschutzrechtlicher Sicht unzulässig.“ Gemäß Onlinezugangsgesetz (OZG) kann der Staat Bürger:innen zwar zu einer einmaligen Identifizierung verpflichten. Allerdings darf die Speicherung in der BundID dabei nur eine Option sein.
Dass die Einbindung der BundID auch technisch nicht erforderlich war, demonstrierte die IT-Sicherheitsexpertin Lilith Wittmann. Sie hat ein alternatives Verfahren zur Einmalzahlung erstellt, das ohne BundID auskommt. Dafür wäre es aus Sicht des Bundes lediglich nötig gewesen, allen Antragssteller:innen eine PIN zukommen zu lassen, erklärte sie gegenüber netzpolitik.org. „Der Prozess wurde so ja auch von knapp 70 Prozent der Leute mit einer solchen PIN benutzt. Nur mussten die, obwohl sie sich weder per neuem elektronischen Personalausweis noch per Elster identifizierten, eine BundID ohne starke Authentifizierung anlegen. Das aber ist ein Prozess, der aus Sicht für die Nutzer:innen wirklich keinen Sinn ergibt.“
Datenschutzkonferenz prüft Beschwerden
Der Unmut zur Zwangverpflichtung schlägt sich bis zu den Datenschutzaufsichtsbehörden durch. Auf Anfrage teilt das Büro des Landesbeauftragten für den Datenschutz Sachsen-Anhalt mit, dass unter anderem mehrere Beschwerden zur Nutzung der BundID vorlägen.
Auch bei anderen DSK-Mitgliedern seien Beschwerden eingegangen, sagte Hansen gegenüber netzpolitik.org. Ob sich die Datenschutzkonferenz erneut zu dem Antragsverfahren äußern wird, sei noch nicht entschieden. Zunächst müssten die Prüfungen der einzelnen Behörden abgeschlossen sein, insbesondere beim Landesbeauftragten für den Datenschutz Sachsen-Anhalt.
Keine Zeit für Rechtssicherheit
Die Ursache für die datenschutzrechtlichen Probleme sieht Hansen beim „fast schon spartanisch ausgeformten EPPSG“. Das Gesetz enthalte „keine Aussagen zur Verarbeitung, zu etwaigen Eingriffen in die Rechte der Studierenden und Auszubildenden sowie zu den bei jeglichen Eingriffen notwendigen Garantien zum Schutz der betroffenen Personen“. Die Länder, die für die Umsetzung der Einmalzahlung verantwortlich sind, hätten unter anderem zu wenig Zeit gehabt, auf eine Änderung des EPPSG hinzuwirken. Das habe verhindert, ein rechtssicheres Fundament zu schaffen.
Den meisten Gesetzen mangele es an datenschutzrechtlicher Stabilität, merkt auch Christian Aretz an. Das liege unter anderem daran, dass die Landes- und Bundesdatenschutzbeauftragten nicht oder sehr spät in Gesetzgebungsprozesse eingebunden würden. Datenschutzrechtliche Aspekte fänden dann häufig keine Berücksichtigung mehr, so der Jurist.
Datenabgleich in großem Maß
Die DSK kritisiert zudem, dass Studierende und Fachschüler:innen unter Generalverdacht gestellt würden. Denn um mehrfache Auszahlungen an die gleiche Person zu vermeiden, werden alle neuen Anträge mit bereits eingereichten Anträgen abgeglichen. Ein solcher Abgleich „über alle bundesweit gestellten Anträge“ sei für die Auszahlung der Energiepreispauschale jedoch nicht erforderlich, heißt es in der DSK-Stellungnahme. Denn Antragssteller:innen müssen im Laufe des Verfahrens versichern, dass sie zuvor keinen Antrag gestellt haben.
Fragt ein Bundesland ab, ob eine Person bereits einen Antrag in anderen Ländern gestellt hat, würden damit personenbezogene Daten an diese übermittelt. Dazu bräuchte es eine Rechtsgrundlage, die allerdings fehlt. Hansen zufolge sind Datenabgleiche in derart großem Maßstab „ein Eingriff in die Rechte der Bürgerinnen und Bürger. Im vom Parlament beschlossenen EPPSG ist von derartigen Abgleichen jedenfalls nicht die Rede.“
BundID einfach löschen
Studierende und Fachschüler:innen, denen der laxe Umgang mit ihren Daten Sorgen bereitet, können ihr BundID-Konto wieder löschen, sobald die Auszahlung erfolgt ist. Um diesen Vorgang zu erleichtern, haben Wittmann und Aretz die Webseite widerruf200.de aufgesetzt.
Auf widerruf200.de können Betroffene einen Widerrufstext generieren. Das Angebot sei gerade für all jene interessant, die ihre Zugangsdaten nicht mehr erinnern oder die den aufwändigeren Löschprozess über das BundID-Konto scheuen, so Aretz.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires