Skip to content

Selbstbestimmte digitale Identifizierung (SSI) bei IFG-(LIFG-)Anfragen

Neue Idee

Selbstbestimmte digitale Identifizierung (SSI) bei IFG-(LIFG-)Anfragen Umsetzung durch Ministerien des Inneren (Bund, Land) Welche Herausforderung adressiert die Verpflichtung? Das Informationsfreiheitsrecht (IFG) stärkt Transparenz und Vertrauen. Laut Gesetz können für aufwendige Anfragen Gebühren erhoben werden. Dies konterkariert ggf. die eigentlich geregelte Möglichkeit einer anonymen Anfrage, da eine Rechnung adressiert werden muss. Je nach Thema und Region stellt dies eine mentale Schranke für Antragssteller:innen dar. Worin besteht die Verpflichtung? Erprobung von selbstbestimmten Identitäten (Self Sovereign Identities, SSI) in Form von “Disposable ID” für ein formalisiertes Informationsfreiheit-Anfrage-System (z.B. Fragdenstaat) Wie trägt die Verpflichtung zur Bewältigung der Herausforderung bei?

  • Die Verpflichtung ermöglicht es den Bürgerinnen und Bürgern, eine Informationsanfrage mittels staatlicher eID_Infrastruktur zu stellen und die Gebühren dafür zu entrichten, ohne dafür notwendigerweise die eigene Identität vollständig offenzulegen. Es genügt, die Attribute “Anspruchsberechtigung für IFG-Anfrage” ohne Personenbezug nachzuweisen und einen pseudnoymen Kommunikationskanal zu der Behörde zu eröffnen - eine Preisgabe der eigenen Identität ist dann nicht zwingend notwendig.
  • Die Verpflichtung schafft die Grundlage für eine technische Möglichkeit, die Identität bei Anfragen zu schützen, beispielsweise die evtl zur Rechnungsstellung aufgrund anfallender Gebühren benötigt wird, von dem Vorgang im Nachhinein wieder zu trennen. Ebenso bietet sie den Bürger:innen die Möglichkeit eine Anfrage zunächst nicht anonym zu stellen, später aber aus gegebenem Anlass die Anfrage ohne Rückverfolgbarkeit zurück zu ziehen.
  • Hierzu wird prototypisch eine Infrastruktur für Disposable IDs eingerichtet und erprobt. Ansatzpunkt kann die eIDAS-Funktion des Personalausweises oder das Nutzerkonto Bund sein. Beide sind bereits nach der eIDAS-VO notifiziert. 
  • Zusammen mit Pilotbehörden sollte die Entwicklung einer SSI ID Infrastruktur (backend) vorangetrieben werden. Zur Nutzung durch Behörden sowie Bürger:innen gilt es dann noch, die Entwicklung von APIs zur Anbindung von Fremdsystemen und die Entwicklung von Software Development Kit zur Integration in APPs voran zu treiben.

Inwiefern ist die Verpflichtungen für die OGP Werte relevant?

  • Aus der Verpflichtung resultiert eine Möglichkeit, Identitäten spezifisch für eine Informationsfreiheitsanfrage zu erstellen und sie nach Abschluss einer vom Vorgang wieder zu trennen. Damit lässt sich die mögliche Hürde fehlender langfristiger Anonymität mildern und die Nutzung von Informationsfreiheitsanfragen erleichtern. Dies wirkt sich generell auf die Attraktivität dieses Informationsrechts aus und verbessert damit indirekt den Zugang zu Informationen und das Rechts auf Information. Die Verpflichtung für den Wert Transparenz relevant.
  • Die Verpflichtung stärkt dadurch Mechanismen, die Amtsträger (oder öffentliche Stellen) für ihr Handeln verantwortbar machen. Die Verpflichtung ist relevant für den Wert Rechenschaftslegung.
  • Die Verpflichtung fördert neue Technologien, die Zugang zu und Nutzung von amtlichen Informationen fördern. Sie ist somit relevant für den Wert Technologie und Innovation für Offenheit und Rechenschaftslegung
  • Nicht zuletzt wird dafür gesorgt, dass die Kontrolle wieder zurück gelangt zur Bürger:in. Selbstbestimmtheit (Self Sovereign Identity) bedeutet in diesem Kontext dass die Kontrolle über die Identität sowie die Steuerung des Zugriffs auf digitale Identitätsmerkmale immer beim Besitzer der Identität verbleibt. Damit wird eine digitale Identität einer Person geschaffen, die anbieterübergreifend „besteht“, über die aber einzig und allein der Nutzer verfügen kann. 

Zusätzliche Informationen

  • Das Budget für diese der Verpflichtung sollte bei 450-700k EUR zur Entwicklung der Infrastruktur und Technologie liegen (unter Verwendung von Open Source Komponenten)
  • Digitaltrstrategie der EU Kommission(https://ec.europa.eu/commission/presscorner/detail/de/SPEECH_20_1655)
  • Förderaufruf „Schaufenster Sichere Digitale Identitäten“ des Bundesministeriums für Wirtschaft und Energie (BMWi)
  • Die Maßnahme zahlt unmittelbar auf das SDG 16 - Frieden, Gerechtigkeit und starke Institutionen. Friedliche und inklusive Gesellschaften für eine nachhaltige Entwicklung fördern, allen Menschen Zugang zum Recht ermöglichen und leistungsfähige, rechenschaftspflichtige und inklusive Institutionen auf allen Ebenen aufbauen - ein.

Self Sovereign Identity für Deutschland https://www.digitale-technologien.de/DT/Redaktion/DE/Standardartikel/SchaufensterSichereDigIdentProjekte/sdi-projekt_ssi.html European Self-Sovereign Identity Framework (ESSIF) https://ec.europa.eu/cefdigital/wiki/pages/viewpage.action?pageId=262505734 Relevante Berücksichtigungen: https://www.bmi.bund.de/DE/themen/moderne-verwaltung/open-government/informationsfreiheitsgesetz/informationsfreiheitsgesetz-node.html

Erläuterung:

Open Government soll Vertrauen zwischen Zivilgesellschaft und Regierungen stärken und zeichnet sich u.a. durch Transparenz und Co-Creation, also das Inkorporieren von Zivilgesellschaft und Regierung aus. Vertrauen in einer inkorporierten Netzwerkgesellschaft ist nur dann hinreichend möglich wenn inkorporierte Menschen (und andere Objekte) die Kontrolle über ihre Identität behalten und die Möglichkeit haben, ihre Identität zurückzuziehen. Beispielsweise wenn sich die Intention eines gemeinsamen Projekts oder eine Regierung gegenüber dem ursprünglichen Konsens verändert. Das heute typische Identifizierungs- und Authentifizierungs-Modell im digitalen Bereich basiert jedoch darauf, die Vertrauensbildung zwischen zwei oder mehreren Transaktionspartnern an einen vertrauensstiftenden Dritten, meist einen Plattformbetreiber, auszulagern. Dadurch entsteht jedoch eine Informations-Asymmetrie welche zum einen den Nutzer benachteiligt (keine Transparenz, wenig Nutzerfreundlichkeit, mangelnde Sicherheit), den Anbietern das zur Verfügung stellen von digitalen Diensten erschwert und eine übergreifende Intelligenz etwa durch Auswertung von Daten verhindert. Hier bildet das Konzept der Self-Sovereign Identity (SSI) eine elementare Grundlage für diese Form des Digitalen Staats und für Open Government. Auch wenn diese Vorsorge ein Misstrauen impliziert, ist sie zur Erreichung eines Vertrauens-Ideal ein wichtiger Bestandteil und im Gefälle zwischen mandatierter Macht staatlicher Institutionen und dem Status zivilgesellschaftlicher Akteure begründbar. SSI - insbesondere wenn um die Komponente von zeit- und zweckgebundenen “Identifiern” erweitert ist - ermöglicht ein “leveling of playing field” und sichert informationelle Selbstbestimmung.

Ausgegeben als bürgerzentriertes Identifizierungsmittel durch den Staat verhindert SSI gleichzeitig, dass damit eine zentrale Sammelstelle für personenbezogene Daten entsteht. Zudem eröffnet SSI einen Mittelweg zwischen der Situation, entweder auf eine Nutzungsbedingung einzuwilligen und teilzuhaben oder abzulehnen und nicht teilzuhaben. Der Datenschutz ist dann nicht mehr Hinderungsgrund sonder sogar Ermöglicher für diesen Mittelweg. Daten die aus diesen Transaktionen gewonnen werden, können somit als “privacy by design” bezeichnet werden und sind bereits GDPR kompatibel.

In einer SSI lassen sich unterschiedlichste Attribute einer Identität selbstbestimmt bündeln. Dort laufen dann Nachweise von staatlichen Stellen (Hochschulabschluss, Rentner, schwerbehindert,...) und privaten Anbietern (Kontoninhaber, Premium-Mitglied,...) zusammen. Die SSI (bzw. das Wallet) dient dann als Drehscheibe, um sich gegenüber verschiedenen Stellen zu authentifizieren. Je mehr Funktionen sich mit einer SSI-INfrastruktur erfüllen lassen, desto höher ist letztlich auch der Anreiz für Bürgerinnen und Bürger, sie zu nutzen.

Mithilfe einer SSI gelingt es die Attribute “Darf IFG-Anfrage stellen und kann Rechnung erhalten” von der Grund-Identität (Name/Geburtsdatum/Anschrift/PKZ) zu trennen. Für den Vorgang “IFG-Anfrage zum Thema X bei der Behörde Y” kann der SSI-Eigentümer eine Unter-ID generieren; die Verbindung zur Grund-ID lässt ich im Anschluss trennen. Dabei lassen sich OZG-Nutzerkonten und SSI zusammendenken: Aus dem Nutzerkonto heraus sollte es möglich sein, IFG-Anfragen pseudonymisiert zu stellen und den Identitäts-Bezug nach der Abfrage kappen.

Die daraus entstehende Lösung kann als notwendige Basis-Infrastruktur für die Digitalisierung der Verwaltung insgesamt betrachtet werden, so wie auch auf europäischer Ebene von der EU Kommission in Ihrer Digitalstrategie verankert (https://ec.europa.eu/commission/presscorner/detail/de/SPEECH_20_1655). Auch die Bundesregierung sieht die Digitale Identität als Schlüsseltechnologie zur weiteren digitalen Transformation und fördert diese - außerhalb der Mobilitätsbranche - im Förderaufruf „Schaufenster Sichere Digitale Identitäten“ des Bundesministeriums für Wirtschaft und Energie (BMWi)

Mögliche Anwendungsfälle

  • SSI für Gebührenabrechnung bei Anfragen nach Informationsfreiheitsrechten und Transparenzgesetzen
  • SSI zur Angabe bei Bezug von Open Data, falls Anmeldung gefordert
  • SSI für Crowdsourcing/Inkorporieren von Datenerhebung (Datenaltruismus/Datenspende)
    • zB bei Mobilitätsmessung
    • zB bei Gesundheits- und Tracing-Apps

Eingereicht durch Oliver Rack (Initial), Kai Hermsen, Michael Kolain  

Oliver Rack
Reference No.: 2021-04191
adhocracy+ is funded by donations.
Donate now
Donate now to adhocracy+