© 2020 Deutscher Bundestag WD 3 - 3000 - 196/20 Einführung einer registerübergreifenden einheitlichen Identifikationsnummer nach dem Entwurf eines Registermodernisierungsgesetzes DSGVO und Recht auf informationelle Selbstbestimmung Ausarbeitung Wissenschaftliche Dienste Die Wissenschaftlichen Dienste des Deutschen Bundestages unterstützen die Mitglieder des Deutschen Bundestages bei ihrer mandatsbezogenen Tätigkeit. Ihre Arbeiten geben nicht die Auffassung des Deutschen Bundestages, eines seiner Organe oder der Bundestagsverwaltung wieder. Vielmehr liegen sie in der fachlichen Verantwortung der Verfasserinnen und Verfasser sowie der Fachbereichsleitung. Arbeiten der Wissenschaftlichen Dienste geben nur den zum Zeitpunkt der Erstellung des Textes aktuellen Stand wieder und stellen eine individuelle Auftragsarbeit für einen Abgeordneten des Bundestages dar. Die Arbeiten können der Geheimschutzordnung des Bundestages unterliegende, geschützte oder andere nicht zur Veröffentlichung geeignete Informationen enthalten. Eine beabsichtigte Weitergabe oder Veröffentlichung ist vorab dem jeweiligen Fachbereich anzuzeigen und nur mit Angabe der Quelle zulässig. Der Fachbereich berät über die dabei zu berücksichtigenden Fragen. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 196/20 Seite 2 Einführung einer registerübergreifenden einheitlichen Identifikationsnummer nach dem Entwurf eines Registermodernisierungsgesetzes DSGVO und Recht auf informationelle Selbstbestimmung Aktenzeichen: WD 3 - 3000 - 196/20 Abschluss der Arbeit: 16. September 2020 Fachbereich: WD 3: Verfassung und Verwaltung Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 196/20 Seite 3 Inhaltsverzeichnis 1. Einleitung 4 2. Wesentlicher Inhalt des Referentenentwurfs 4 3. Anforderungen der Datenschutz-Grundverordnung 5 4. Anforderungen des Grundrechts auf informationelle Selbstbestimmung 8 4.1. Schutzbereich und Eingriff 8 4.2. Rechtfertigung 9 4.2.1. Legitimer Zweck 9 4.2.1.1. Geeignetheit 10 4.2.1.2. Erforderlichkeit 10 4.2.1.3. Angemessenheit (Verhältnismäßigkeit im engeren Sinne) 12 4.2.1.3.1. Striktes Verbot eines „einheitlichen“ Personenkennzeichens? 12 (i) Meinungsstand in Rechtsprechung und Literatur 12 (ii) Einordnung der registerübergreifende einheitliche Identifikationsnummer nach dem RegMoG-E 15 4.2.1.3.2. Hinreichender Ausschluss der Bildung von Persönlichkeitsprofilen? 17 4.2.1.3.3. Gesamtabwägung 19 Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 196/20 Seite 4 1. Einleitung Bereits im Koalitionsvertrag zwischen CDU, CSU und SPD für die 19. Legislaturperiode wurde die Modernisierung der öffentlichen Register insbesondere durch die Verknüpfung von Daten über gemeinsame Register und eine eindeutige, registerübergreifende Identifikation angekündigt.1 Dabei wurde auch auf die Vorschläge des Normenkontrollrates vom 6. Oktober 20172 Bezug genommen, der eine Modernisierung der Register der öffentlichen Verwaltung empfohlen hatte. Der Referentenentwurf eines Registermodernisierungsgesetzes (RegMoG-E) aus dem Bundesministerium des Innern, für Bau und Heimat (BMI) sieht nun die Erweiterung der Nutzung der Steueridentifikationsnummer als registerübergreifende einheitliche Identifikationsnummer vor.3 Der Referentenentwurf des RegMoG-E wird derzeit innerhalb der Bundesregierung abgestimmt. Im Folgenden wird auf die Anforderungen der europäischen Datenschutz-Grundverordnung4 (DSGVO) (3.) und des Grundrechts auf informationelle Selbstbestimmung (4.) an bereichsübergreifende Identifikationsnummern eingegangen. Insbesondere der letztgenannte Aspekt wird bereits seit den 1970er Jahren und besonders seit dem sog. Volkszählungsurteil des Bundesverfassungsgerichts aus dem Jahr 1983 immer wieder kontrovers diskutiert.5 Das RegMoG-E liegt bislang nur als Referentenentwurf vor, der zunächst noch im Bundeskabinett abgestimmt werden muss.6 Vor diesem Hintergrund und aufgrund der Kürze der zur Verfügung stehenden Bearbeitungszeit stellen die nachfolgenden Ausführungen eine erste summarische Prüfung der genannten Aspekte dar. 2. Wesentlicher Inhalt des Referentenentwurfs Das RegMoG-E ist ein sog. Artikelgesetz, durch das verschiedene Gesetze eingeführt bzw. geändert werden sollen. Der Entwurf greift für die Einführung einer registerübergreifenden einheitlichen 1 Koalitionsvertrag vom 12. März 2018, Ein neuer Aufbruch für Europa, Eine neue Dynamik für Deutschland, Ein neuer Zusammenhalt für unser Land, Koalitionsvertrag zwischen CDU, CSU und SPD, 19. Legislaturperiode, S. 46 Rn. 2039 ff. (alle in der vorliegenden Ausarbeitung verlinkten Internetfundstellen wurden zuletzt am 11. September 2020 abgerufen). 2 Nationaler Normenkontrollrat (Hrsg.), Mehr Leistung für Bürger und Unternehmen: Verwaltung digitalisieren. Register modernisieren, Oktober 2017. 3 BMI, Referentenentwurf eines Gesetzes zur Einführung einer Identifikationsnummer in die öffentliche Verwaltung und zur Änderung weiterer Gesetze - RegMoG, Stand: 31. Juli 2020, veröffentlicht etwa unter: Referentenentwurf eines Gesetzes zur Einführung einer Identifikationsnummer in die öffentliche Verwaltung und zur Änderung weiterer Gesetze. 4 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4. Mai 2016, S. 1). 5 Martini/Wagner/Wenzel, Rechtliche Grenzen einer Personen- bzw. Unternehmenskennziffer in staatlichen Registern , 2017, S. 3 m.w.N. 6 Zum derzeitigen Stand vgl. Der Freitag vom 3. September 2020, Die trojanische Zahl. Datenschutz Ein gefährlicher Vorstoß: Soll jeder Deutsche eine einheitliche Personenkennziffer bekommen? S. 5; zum anvisierten Zeitplan vgl. die Antwort der Bundesregierung auf Frage 1 der Kleinen Anfrage der Fraktion BÜNDIS 90/DIE GRÜNEN, BT-Drs. 19/20288, S. 3. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 196/20 Seite 5 Identifikationsnummer auf die Steueridentifikationsnummer (Steuer-ID) nach §§ 139a, b Abgabeordnung (AO)7 zurück. Diese darf nach der aktuellen Rechtslage nur für die eindeutige Identifizierung von Personen in Besteuerungsverfahren genutzt werden (§ 139a Abs. 1 S. 1 AO) und wird durch das Zentralamt für Steuern erfasst. Nach Art. 3 des RegMoG-E soll zukünftig auch jede natürliche Person, die bei einer öffentlichen Stelle ein sonstiges Verwaltungsverfahren führt, zu dessen Durchführung eine Identifikationsnummer erhalten, vgl. den Entwurf zu § 139a Abs. 1 S. 1 AO in Art. 3 Nr. 1 RegMoG-E. Die nach § 139b AO zu speichernden Basisdaten sollen zudem um Angaben zur Staatsangehörigkeit, zum letzten Verwaltungskontakt (Monat, Jahr) und zu sog. Validitätswerten der erfassten Daten ergänzt werden, vgl. Entwurf zur Änderung von § 139b AO in Art. 3 Nr. 2 RegMoG-E. Die Steuer-ID soll nach dem Inhalt des durch Art. 1 RegMoG-E neu zu schaffenden Identifikationsnummergesetz (IDNrG-E) künftig zusätzlich in 51 weiteren, sehr unterschiedlichen Bereichen angehörenden Registern gespeichert werden, § 1 IDNrG-E. Dies soll gemäß § 2 Abs. 1 IDNrG-E die Zuordnung der in den Registern gespeicherten Daten zu einer Person (Nr. 1) und den Abgleich der Daten unter den Registern (Nr. 2) ermöglichen. Das Bundesverwaltungsamt soll die Aufgaben einer Registermodernisierungsbehörde übernehmen. Dazu gehört insbesondere, die beim Bundeszentralamt für Steuern gespeicherten Basisdaten mithilfe der Steuer-ID abzurufen und den jeweiligen registerführenden Stellen zu den o.g. Zwecken zur Verfügung zu stellen, § 6 i.V.m. § 4 Abs. 2 und 3 IDNrG-E. Basisdaten (§ 4 Abs. 2 IDNrG-E) einer Person sind etwa Name, Vorname, Anschrift, Geburtstag und -ort, Geschlecht, Staatsangehörigkeiten. Ferner werden gemäß § 4 Abs. 3 IDNrG-E Auskunftssperren nach dem Bundesmeldegesetz, das Datum des letzten Verwaltungskontakts (Monat, Jahr) sowie sog. Validitätswerte der erfassten Daten (§ 4 Abs. 5 IDNrG-E) gespeichert. Durch die Ergänzung des Onlinezugangsgesetzes um einen § 9 (Art. 2 RegMoG-E) soll ein sog. Datencockpit geschaffen werden, in dem sich natürliche Personen registrieren und einsehen können, welche Datenabrufe auf Grundlage der Steuer-ID stattgefunden haben. Die weiteren Artikel des RegMoG-E betreffen Änderungen von Gesetzen auf denen Fachregister verschiedener Bereiche beruhen, in denen zukünftig neben den bisher schon erfassten Daten auch die Steuer-ID als registerübergreifende einheitliche Identifikationsnummer gespeichert werden soll. 3. Anforderungen der Datenschutz-Grundverordnung Die Regelungen des RegMoG-E zur automatisierten Verarbeitung von personenbezogenen Daten wie der Steuer-ID in Registern öffentlicher Stellen müssen den Anforderungen der DSGVO genügen , vgl. Art. 2 Abs. 1 i.V.m. 4 Nr. 1 DSGVO. Der Personenbezug der Steuer-ID ergibt sich aus ihrer Verknüpfung mit den Basisdaten einer Person wie etwa Name, Vorname und Anschrift (§ 4 Abs. 2 IDNrG-E). Mithin bildet die Steuer-ID auch bei der nach dem RegMoG-E geplanten automatisierten Verarbeitung als bereichsübergreifende Personenkennziffer ein personenbezogenes Datum im Sinne 7 Abgabenordnung in der Fassung der Bekanntmachung vom 1. Oktober 2002 (BGBl. I S. 3866; 2003 I S. 61), die zuletzt durch Artikel 7 des Gesetzes vom 12. August 2020 (BGBl. I S. 1879) geändert worden ist. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 196/20 Seite 6 der DSGVO.8 Basisdaten sind dabei nicht nur beim Zentralamt für Steuern oder dem Bundesverwaltungsamt als Registermodernisierungsbehörde gespeichert, sondern auch in den mehr als 50 weiteren Fachregistern, in denen die Steuer-ID zusätzlich gespeichert werden soll. Die DSGVO steht der Einführung einer registerübergreifenden einheitlichen Identifikationsnummer grundsätzlich nicht entgegen. Vielmehr enthält Art. 87 DSGVO ausdrücklich eine optionale Öffnungsklausel für die EU- Mitgliedstaaten zur Einführung oder Beibehaltung von nationalen Kennziffern oder Kennzeichen von allgemeiner Bedeutung.9 Der Begriff der nationalen Kennziffer wird als ein vom Staat zugeteiltes allgemeines Personenkennzeichen verstanden.10 Idealtypischerweise ist ein Personenkennzeichen allgemein, wenn es im Staat nur ein einziges Personenkennzeichen gibt und dieses für alle Identifizierungs- und Ordnungsaufgaben verwendet wird.11 Andere Kennzeichen erlangen vor allem dann allgemeine Bedeutung im Sinne von Art. 87 S. 1 DSGVO, wenn sie in mehreren Lebens- und Verwaltungsbereichen Verwendung finden,12 die in keinem engen Zweckzusammenhang stehen.13 Kommt ein Kennzeichen nur für eine eng begrenzte Zahl von Anwendungen oder nur für einen kurzen Zeitraum zum Einsatz, spricht dies gegen dessen allgemeine Bedeutung.14 Die Steuer-ID wird bereits nach geltendem Recht zum Teil als ein anderes Kennzeichen von allgemeiner Bedeutung im Sinne von Art. 87 DSGVO eingeordnet.15 Mindestens ebenso stark vertreten ist aber die entgegengesetzte Ansicht, die eine solche allgemeine Bedeutung der Steuer-ID verneint.16 Nach dem RegMoG-E wird eine erhebliche Ausweitung der Verarbeitung der Steuer-ID in 51 weiteren Registern angestrebt, die nach summarischer Prüfung auch dem Anwendungsbereich der DSGVO unterfallen. Laut Statistischem Bundesamt gibt es derzeit mindestens 214 Register und registerähnliche Strukturen von Bund und Ländern.17 Somit kann nicht davon ausgegangen werden, dass die Steuer-ID als einziges Kennzeichen und mithin einheitliche nationale Kennziffer im Sinne von Art. 87 S. 1 Alt. 1 DSGVO genutzt werden soll. Aufgrund der beachtlichen 8 Vgl. bereits Martini/Wagner/Wenzel (Fn. 5), S. 5 m.w.N. 9 Hansen, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Auflage 2018, Art. 87 DSGVO Rn. 8. 10 von Lewinski, in: Wolff/Brink, BeckOK Datenschutzrecht, 32. Edition 2020, Art. 87 DSGVO Rn. 26 m.w.N. 11 von Lewinski, in: Wolff/Brink (Fn. 10), Art. 87 DSGVO Rn. 26. 12 von Lewinski, in: Wolff/Brink (Fn. 10), Art. 87 DSGVO Rn. 26. 13 Weichert, in: Kühling/Buchner, DS-GVO BDSG, 2. Auflage 2018, Art. 87 DSGVO Rn. 11. 14 Pauly, in: Paal/Pauly, DS-GVO BDSG, 2. Auflage 2018, Art. 87 DSGVO Rn. 2; Weichert in: Kühling/Buchner (Fn. 13), Art. 87 DS-GVO Rn. 11. 15 Gola, Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 87 DSGVO Rn. 2; Ehmann, in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 87 DS-GVO Rn. 7; wohl auch Pauly, in: Paal/Pauly (Fn. 14), Art. 87 DSGVO Rn. 2. 16 von Lewinski, in: Wolff/Brink (Fn. 10), Art. 87 DSGVO Rn. 53 f.; Martini/Wagner/Wenzel (Fn. 5), S. 6; Hense, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Auflage 2018, Art. 87 DSGVO Rn. 2. 17 Statistisches Bundesamt, Ein Blick in die Registerlandschaft in Deutschland, Beistellung zum Gutachten „Mehr Leistung für Bürger und Unternehmen: Verwaltung digitalisieren. Register modernisieren., 2017, S. 4; vgl. auch BMI Referentenentwurf RegMoG-E (Fn. 3), S. 1. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 196/20 Seite 7 Zahl und Verschiedenheit der Bereiche der vom RegMoG erfassten Register und der nicht lediglich ganz vorübergehenden Nutzung der Steuer-ID in diesen Registern, dürfte es sich aber jedenfalls um die Einführung eines Kennzeichens von allgemeiner Bedeutung im Sinne von Art. 87 S. 1 Alt. 2 DSGVO handeln. Auch die Bundesregierung geht nach der Begründung des Referentenentwurfs davon aus, dass der Anwendungsbereich von Art. 87 DSGVO eröffnet ist.18 Art. 87 DSGVO ermöglicht den Mitgliedstaaten die Schaffung einer eigenständigen Rechtsgrundlage, die regelt „unter welchen spezifischen Bedingungen eine nationale Kennziffer oder andere Kennzeichen von allgemeiner Bedeutung Gegenstand einer Verarbeitung sein dürfen.“ Die Reichweite der Öffnungsklausel wird dabei in der deutschsprachigen Kommentarliteratur nicht einheitlich beschrieben . Einigkeit besteht dahingehend, dass Regelungen zur Verarbeitung von personenbezogenen Daten zur Schaffung solcher Kennzeichen und deren Übermittlung an öffentliche oder nicht-öffentliche Stellen unter die Öffnungsklausel fallen.19 Gola hält auch die Verarbeitung von Daten unter Nutzung des Kennzeichens von Art. 87 DSGVO für erfasst.20 Welche Verarbeitungsvorgänge damit genau gemeint sind, wird nicht näher ausgeführt. Nach Martini/Wagner/Wenzel falle dagegen die Übermittlung der jeweils mit dem Kennzeichen verbundenen Daten nicht unter Art. 87 DSGVO.21 Andernfalls könnte der Mitgliedstaat das fein austarierte System der Öffnungsklauseln , welches die DSGVO vorsieht, leicht unterlaufen, indem er alle von ihm gesammelten personenbezogenen Daten mit dem einheitlichen Personenkennzeichen (PKZ) verbindet. Als Grundlage für die Übermittlung der mit dem PKZ verbunden Daten komme aber Art. 6 Abs. 1 lit. e, Abs. 3 S. 1 lit. b DSGVO in Betracht. Zudem könne der nationale Gesetzgeber gemäß Art. 6 Abs. 4 DSGVO auch erforderliche Lockerungen des Zweckbindungsgrundsatzes vorsehen.22 Macht ein Mitgliedstaat von der Öffnungsklausel des Art. 87 DSGVO Gebrauch, müssen bei der Ausgestaltung der nationalen Regelungen zur Verwendung der Kennzeichen geeignete Garantien für die Rechte und Freiheiten der betroffenen Person gewahrt werden (Art. 87 S. 2 DSGVO). Der Maßstab für die Eignung der durch nationales Recht vorgesehenen Garantien ist autonom europarechtlich anhand des in der DSGVO vorgegebenen Niveaus des Schutzes der informationellen Selbstbestimmung zu bestimmen.23 Dies umfasst insbesondere die Wahrung der allgemeinen Grundsätze der Datenverarbeitung des Art. 5 DSGVO, der Rechte der Betroffenen (Art. 12 ff. DSGVO) sowie der allgemeinen Pflichten bei der Verarbeitung personenbezogener Daten nach Art. 24 ff. DSGVO.24 Ehmann hält aber punktuelle Abweichungen für zulässig. Auch von Lewinski weist 18 BMI, Referentenentwurf RegMoG-E (Fn. 3), S. 38. 19 Gola (Fn. 15), Art. 87 DSGVO Rn. 1; von Lewinski, in: Wolff/Brink (Fn. 10), Art. 87 DSGVO Rn. 38; Martini/ Wagner/Wenzel (Fn. 5), S. 8; Pauly, in: Paal/Pauly (Fn. 14), Art. 87 DSGVO Rn. 1. 20 Gola (Fn. 15), Art. 87 DSGVO Rn. 1. 21 Martini/Wagner/Wenzel (Fn. 5), S. 11. 22 Martini/Wagner/Wenzel (Fn. 5), S. 12 f. 23 Ehmann, in: Ehmann/Selmayr (Fn. 15), Art. 87 Rn. 9; von Lewinski, in: Wolff/Brink (Fn. 10), Art. 87 DSGVO Rn. 44; Martini/Wagner/Wenzel (Fn. 5), S. 7. 24 Martini/Wagner/Wenzel (Fn. 5), S. 7 ff. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 196/20 Seite 8 daraufhin, dass nicht alle Grundsätze der DSGVO ohne weiteres auf Kennzeichen nach Art. 87 DSGVO anwendbar seien.25 Eine abschließende Klärung der Reichweite der Öffnungsklausel und des Maßstabes der „geeigneten Garantien“ im Sinne von Art. 87 DSGVO durch den Europäischen Gerichtshof steht noch aus. 4. Anforderungen des Grundrechts auf informationelle Selbstbestimmung Art. 87 DSGVO eröffnet dem nationalen Gesetzgeber einen Gestaltungsspielraum, ob und wie Kennzeichen von allgemeiner Bedeutung eingeführt und verarbeitet werden können. Das Handeln der Mitgliedsstaaten ist insoweit nicht vollständig durch das Unionsrecht determiniert. Nach der Rechtsprechung des Bundesverfassungsgerichts sind bei der Ausfüllung eines solchen Spielraums primär die nationalen Grundrechte anzuwenden, wenngleich diese im Lichte der EU-Grundrechtecharta auszulegen sind.26 Dabei bestehe eine widerlegbare Vermutung dafür, dass durch eine Prüfung am Maßstab des Grundgesetzes auch das Schutzniveau der Unionsgrundrechte mitgewährleistet werde.27 Die Einführung einer registerübergreifenden einheitlichen Identifikationsnummer ist am Maßstab des allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 Grundgesetz – GG) in seiner Ausprägung als Recht auf informationelle Selbstbestimmung zu messen. 4.1. Schutzbereich und Eingriff Das Recht auf informationelle Selbstbestimmung trägt Gefährdungen und Verletzungen der Persönlichkeit Rechnung, die sich für den Einzelnen aus informationsbezogenen Maßnahmen, insbesondere unter den Bedingungen moderner Datenverarbeitung, ergeben.28 Es gibt dem Einzelnen die Befugnis , grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen.29 Es gibt unter den Bedingungen der automatisierten Datenverarbeitung kein »belangloses « Datum mehr.30 Die in den Registern gespeicherten personenbezogenen Daten unterfallen deshalb grundsätzlich dem Schutz des Rechts auf informationelle Selbstbestimmung. Dieses schützt vor der Erhebung, schlichter Kenntnisnahme, Speicherung, Verwendung, Weitergabe oder Veröffentlichung von persönlichen – d.h. individualisierten oder individualisierbaren – Informationen.31 Die Steuer-ID ist – bereits nach aktueller Rechtslage – und nach dem RegMoG-E mit Basisdaten (§ 4 IDNrG-E) der jeweils zugeordneten Person verbunden und stellt mithin ein individualisierbares und mithin personenbezogenes Datum dar. 25 von Lewinski, in: Wolff/Brink (Fn. 10), Art. 87 DSGVO Rn. 44 ff. 26 Bundesverfassungsgericht, Beschluss vom 6. November 2019, Az.: 1 BvR 16/13, („Recht auf Vergessen I“), Ls. 1. 27 Ebenda. 28 BVerfGE 118, 168 (184). 29 BVerfGE 65, 1 (43). 30 BVerfGE 65, 1 (45). 31 Di Fabio, in: Maunz/Dürig, Grundgesetz-Kommentar, Bd. I, 90. EL Februar 2020, Art. 2 Abs. 1 Rn. 176 m.w.N. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 196/20 Seite 9 Sowohl die Einführung einer Identifikationsnummer nach § 1 IDNrG-E und Speicherung in den 51 Registern als auch jede darauf aufbauende Verarbeitung und Weiterverarbeitung von personenbezogenen Daten stellen Eingriffe in das Recht auf informationelle Selbstbestimmung dar.32 Die nachfolgenden Ausführungen konzentrieren sich auf die Einführung der Steuer-ID und Speicherung in den Registern und die damit verbundene Möglichkeit des Abrufs und Abgleichs der Steuer-ID sowie der Basisdaten auf Grundlage von § 6 IDNrG-E i.V.m. den jeweiligen Fachgesetzen. 4.2. Rechtfertigung Das Recht auf informationelle Selbstbestimmung ist nicht schrankenlos gewährleistet. Grundsätzlich muss der Einzelne als gemeinschaftsbezogenes, soziales Wesen Einschränkungen seines Rechts auf informationelle Selbstbestimmung auf Basis einer gesetzlichen Ermächtigungsgrundlage hinnehmen , wenn diese durch ein überwiegendes Allgemeininteresse gerechtfertigt sind.33 Der Grundsatz der Verhältnismäßigkeit ist gewahrt, wenn ein legitimer Zweck mit geeigneten, erforderlichen und angemessenen Mitteln verfolgt wird.34 4.2.1. Legitimer Zweck An den mit dem Eingriff verfolgten Zweck sind umso höhere Anforderungen zu stellen, je tiefer die in den Daten gespeicherten Informationen Auskunft über den privaten Bereich des Betroffenen geben und je intensiver die Daten benutzt werden sollen.35 Im Referentenentwurf nennt das Bundesinnenministerium mehrere Zwecke, denen die Einführung einer Identifikationsnummer in die Verwaltung dienen solle.36 Erstens bestehe ein hohes Bedürfnis für eine eindeutige Zuordnung von Datensätzen zu der jeweils richtigen Person37, einerseits auf Seiten des Staates (Funktionsfähigkeit und Effektivität der Verwaltung), andererseits aber auch seitens der betroffenen Person selbst (Richtigkeit der personenbezogenen Daten). Zudem sei damit auch die Steigerung der Leistungsgerechtigkeit staatlichen Handelns verbunden: Indem in der Verwaltung vorhandene Nachweisdaten durch Datenübermittlungen zwischen Behörden für die Vorbereitung einer Verwaltungsleistung herangezogen werden könnten, würden Bürgerinnen und Bürger von ihren Nachweispflichten entlastet. Dies erleichtere die Geltendmachung ihrer Ansprüche. Zugleich werde dem Leistungsmissbrauch durch Nutzung von Falschidentitäten vorgebeugt. Ferner sei ein einheitliches und bereichsübergreifendes Ordnungsmerkmal auch für die Durchführung des registerbasierten Zensus von zentraler Bedeutung. Die verfolgten Zwecke sind legitim. 32 Ebenso BMI, Referentenentwurf RegMoG-E, (Fn. 3), S. 53; Martini/Wagner/Wenzel, (Fn. 5), S. 20. 33 Ständige Rechtsprechung seit BVerfGE 65, 1 (43 f.). 34 Ständige Rechtsprechung, vgl. etwa BVerfGE 109, 279 (335). 35 Di Fabio, in: Maunz/Dürig, Grundgesetz-Kommentar, Bd. I, 90. EL Februar 2020, Art. 2 Abs. 1 Rn. 181. 36 BMI, Referentenentwurf RegMoG-E (Fn. 3), S. 54. 37 Siehe auch § 1 Nr. 1 IDNrG-E und § 5 Abs. 1 Nr. 1 IDNrG-E. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 196/20 Seite 10 4.2.1.1. Geeignetheit Laut des Referentenentwurfs sei die Einführung eines numerischen Identifikationsmerkmals – ohne nähere Begründung – zur Erreichung der o.g. Zwecke geeignet, da dieses veränderungsstabil ausgestaltet werden könne.38 Dass dies für die Überprüfung der Richtigkeit personenbezogener Daten förderlich ist, scheint plausibel.39 Dies gilt auch bezüglich der Steigerung der Leistungsgerechtigkeit staatlichen Handelns. So könne laut Martini/Wagner/Wenzel davon ausgegangen werden, dass ein automatisierter Abruf benötigter Informationen die Grundlage dafür bilde, dass die Verwaltung den Bürgern digitale Leistungen effizient und schnell anbieten könne. Davon profitieren im Ergebnis auch die Bürger als Nutzer digitaler Verwaltungsangebote.40 Bezüglich des Zwecks der Vorbeugung von Leistungsmissbrauch dürften die Erwägungen des Bundesfinanzhofs (BFH) übertragbar sein, wonach die Steuer-ID bereits nach jetziger Rechtslage zur Vermeidung von Missbrauch im Familienleistungsausgleich (Doppelbezug von Kindergeld) geeignet sei.41 Die Einführung einer registerübergreifenden einheitlichen Identifikationsnummer wäre laut Martini/Wagner/Wenzel schließlich auch für die Durchführung eines registergestützten Zensus förderlich.42 4.2.1.2. Erforderlichkeit Die mit der Einführung einer registerübergreifenden einheitlichen Identifikationsnummer verbundenen Eingriffe sind nur erforderlich, wenn kein anderes, gleich wirksames, das Grundrecht der informationellen Selbstbestimmung nicht oder weniger stark einschränkendes Mittel zur Verfügung steht.43 Als alternatives Mittel geht der Entwurf nur auf das in Österreich praktizierte Modell einer „Stammzahl“ in Verbindung mit mehreren bereichsspezifischen Personenkennzahlen ein.44 Die sehr komplexen Einzelheiten dieses Modells können hier nicht umfassend dargestellt werden.45 Im Wesentlichen beruht es auf folgenden Komponenten: Die sog. Stammzahl bildet eine allgemeine Personenkennziffer46, die auf der Bürgerkarte gespeichert ist und der eindeutigen Identifizierung 38 Ebenda. 39 Ausführlich dazu Martini/Wagner/Wenzel (Fn. 5), S. 22 f. m.w.N. 40 Ebenda. 41 BFH, Urteil vom 18. Januar 2012, Az.: II R 49/10, juris, Rn. 48, 63. 42 Martini/Wagner/Wenzel (Fn. 5), S. 23 m.w.N. 43 Jarass, in: Jarass/Pieroth, Grundgesetz, 15. Auflage 2018, Vorb. vor Art. 1 Rn. 46, Art. 20 Rn. 119. 44 BMI, Referentenentwurf RegMoG-E (Fn. 3), S. 55. 45 Überblick bei Nationaler Normenkontrollrat (Hrsg.), Mehr Leistung für Bürger und Unternehmen: Verwaltung digitalisieren . Register modernisieren, 2017, S. 28 f. (mit ausführlicher Erläuterung in der dem Gutachten beigefügten Beistellung des Statistischen Bundesamts, Registernutzung in Zensus und Bevölkerungsstatistik in Österreich und der Schweiz, 2017, S. 15 ff.); die folgende Darstellung orientiert sich an Martini/Wagner/Wenzel (Fn. 5), S. 36 ff. 46 So Martini/Wagner/Wenzel (Fn. 5), S. 38. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 196/20 Seite 11 jedes Bürgers dient. Die Stammzahl unterliegt einer strengen Geheimhaltungspflicht und ist nur einer unabhängigen zentralen Behörde bekannt, nicht dagegen den Fachbehörden der spezifischen Bereiche. Diese verfügen nur über bereichsspezifische Personenkennziffern, die mittels geheimer, unumkehrbarer mathematischer Verfahren aus der Stammzahl abgeleitet werden. Laut der Begründung des RegMoG-E bestehe kein nennenswerter Mehrwert des österreichischen Modells für den Schutz personenbezogener Daten.47 Martini/Wagner/Wenzel bewerten den österreichischen Ansatz dagegen als grundrechtsschonender als Ansätze, die – wie im RegMoG-E vorgesehen – mit einer offen verwendeten Personenkennziffer operieren, da das österreichische Modell die Möglichkeiten von Datenabfragen und Zusammenführungen gerade nicht erweitere.48 Auf der Grundlage der bereichsspezifischen Nummern könne kein umfassendes Persönlichkeitsprofil erstellt werden.49 Es könne auch das Missbrauchsrisiko und die Gefahr eines Datenlecks signifikant senken.50 Auch die Datenschutzkonferenz des Bundes und der Länder (DSK) hält ein sektorspezifisches Modell wie in Österreich für ein milderes Mittel.51 Für diese Bewertung spricht insbesondere, dass die Stammzahl gerade nicht wie die Steuer-ID nach dem RegMoG-E offen in allen verbundenen Registern gespeichert wird. Das österreichische Modell sei laut der Entwurfsbegründung jedoch nicht gleichermaßen geeignet zur Realisierung eines registerübergreifenden Identitätsmanagements.52 Denn zur Umsetzung dieses Modells müsse die teilweise dezentrale Registerstruktur in Deutschland zunächst unter wohl großem Aufwand zurückgebaut und die gesamte Datenkommunikation reorganisiert werden. Mangels näherer Angaben ist vorliegend keine Einschätzung möglich, ob dieser Aufwand tatsächlich so hoch wäre, dass er nach der Rechtsprechung des Bundesverfassungsgerichts als unvertretbar zu bewerten wäre. An der Gleichwertigkeit einer Alternative scheitere es nach Ansicht des Bundesverfassungsgerichts dann, wenn zur Vermeidung grundrechtsbeschränkender Maßnahmen die nur begrenzt verfügbaren öffentlichen Mittel über das vernünftigerweise von der Gesellschaft erwartbare Maß hinaus verwendet werden müssten.53 Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) bezweifelt, dass die Unvertretbarkeit der Kosten hinreichend belegt worden ist.54 Martini/Wagner/Wenzel diskutieren einige weitere mildere Mittel gegenüber der Einführung eines allgemeinen Personenkennzeichens (Registerabgleich mithilfe der Stammdaten; temporäre 47 BMI, Referentenentwurf RegMoG-E (Fn. 3), S. 55. 48 Martini/Wagner/Wenzel (Fn. 5), S 40. 49 Martini/Wagner/Wenzel (Fn. 5), S. 37 f. 50 Martini/Wagner/Wenzel (Fn. 5), S. 39. 51 DSK, Entschließung vom 26. August 2020, Registermodernisierung verfassungskonform umsetzen!, S. 2. 52 BMI, Referentenentwurf RegMoG-E (Fn. 3), S. 55. 53 BVerfGE 77, 84 (110 f.). 54 BfDI, Hintergrundpapier zur Registermodernisierung und Schaffung eines einheitlichen Personenkennzeichens, Stand: 28. August 2020, S. 7. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 196/20 Seite 12 Personenkennziffer; Verzicht auf den registergestützten Zensus; Anreizmechanismen zur Registeroptimierung ), welche sie aber alle als weniger wirksam einstufen.55 Teilweise wird die Erforderlichkeit der Speicherung des Datums des letzten Verwaltungskontakts bestritten, da das Datum der Aktualisierung der nach § 4 Abs. 3 IDNrG-E ebenfalls erfassten Validitätswerte genüge, um eine Information über die Aktualität der Daten zu erhalten.56 4.2.1.3. Angemessenheit (Verhältnismäßigkeit im engeren Sinne) Der Verhältnismäßigkeitsgrundsatz im engeren Sinne erfordert, dass der verfolgte Zweck zum Eingriffsgewicht nicht außer Verhältnis steht. Eine Rechtfertigung scheidet dabei von vornherein aus, wenn die Einführung und Verwendung einer einheitlichen registerübergreifenden Identifikationsnummer den Kernbereich des Allgemeinen Persönlichkeitsrechts dergestalt berührt, dass die Menschenwürde im Sinne von Art. 1 Abs. 1 GG tangiert ist. 4.2.1.3.1. Striktes Verbot eines „einheitlichen“ Personenkennzeichens? (i) Meinungsstand in Rechtsprechung und Literatur Die Zulässigkeit der Einführung und Verwendung von einheitlichen Personenkennzeichen (PKZ) durch den Staat ist verfassungsrechtlich vor allem aufgrund der damit faktisch einhergehenden Möglichkeit der Bildung umfassender Persönlichkeitsprofile seit Langem umstritten. Das Bundesverfassungsgericht sprach im sog. Mikrozensus-Beschluss vom 16. Juli 1969 erstmals von einem Verbot der umfassenden Registrierung und Katalogisierung der Persönlichkeit.57 Die Bildung von Persönlichkeitsprofilen sei mit der Menschenwürdegarantie nicht zu vereinbaren. Wohl aus diesem Grund58 ging der Rechtsausschuss des 7. Deutschen Bundestages im Jahr 1976 bei den Beratungen zum Bundesdatenschutzgesetz von der Unzulässigkeit eines einheitlichen Personenkennzeichens aus.59 Darauf nahm der Bundesbeauftragte für Datenschutz 1979 Bezug und wies auf Bedenken gegen die Einführung einer maschinenlesbaren Ausweiskarte als Personalausweis hin, die als 55 Martini/Wagner/Wenzel (Fn. 5), S. 23 ff. 56 Gesellschaft für Informatik e.V., Stellungnahme zum RegMoG-E, Stand: 4. September 2020, S. 3. 57 BVerfGE 27, 1 (6). 58 So Steinmüller, Personenkennzeichen, Versichertennummer und Personalausweis, DVR 1983, 205 (214). 59 Das Votum des mitberatenden Rechtsausschusses ist wiedergegeben im Bericht und Antrag des Innenausschusses (4. Ausschuß) zu dem von der Bundesregierung eingebrachten Entwurf eines Gesetzes zum Schutz vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung (Bundesdatenschutzgesetz - BDSG) vom 2. Juni 1976, BT- Drs. 7/5277, S. 3. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 196/20 Seite 13 Ersatz-Personenkennzeichen dienen könnte.60 Auch Kirchberg argumentierte früh, ein einheitliches Personenkennzeichen sei verfassungswidrig.61 1983 führte schließlich auch das Bundesverfassungsgericht im sog. Volkszählungsurteil aus, dass die Einführung eines einheitlichen Personenkennzeichens oder eines Substituts unzulässig sei: „Das Erhebungsprogramm vermag zwar einzelne Lebensbereiche, zum Beispiel den Wohnbereich des Bürgers, jedoch nicht dessen Persönlichkeit abzubilden. Etwas anderes würde nur gelten, soweit eine unbeschränkte Verknüpfung der erhobenen Daten mit den bei den Verwaltungsbehörden vorhandenen, zum Teil sehr sensitiven Datenbeständen oder gar die Erschließung eines derartigen Datenverbundes durch ein einheitliches Personenkennzeichen oder sonstiges Ordnungsmerkmal möglich wäre; denn eine umfassende Registrierung und Katalogisierung der Persönlichkeit durch die Zusammenführung einzelner Lebensdaten und Personaldaten zur Erstellung von Persönlichkeitsprofilen der Bürger ist auch in der Anonymität statistischer Erhebungen unzulässig […].“62 Neben Totalabbildern der Persönlichkeit der Bürger bezeichnet das Gericht dabei auch Teilabbilder als mit der Würde des Menschen nicht vereinbar.63 „Auch die Übernahme sämtlicher Daten aus bereits vorhandenen Dateien der Verwaltung ist keine zulässige Alternative zu der vorgesehenen Totalzählung. Denn die Nutzung von Daten aus verschiedenen Registern und Dateien würde voraussetzen, daß technische, organisatorische und rechtliche Maßnahmen getroffen werden, die es erst erlauben, diese Daten, bezogen auf bestimmte Personen oder Institutionen, zusammenzuführen. Eine solche Maßnahme wäre zum Beispiel die Einführung eines einheitlichen, für alle Register und Dateien geltenden Personenkennzeichens oder dessen Substituts. Dies wäre aber gerade ein entscheidender Schritt, den einzelnen Bürger in seiner ganzen Persönlichkeit zu registrieren und zu katalogisieren. Die Verknüpfung vorhandener Dateien wäre danach auch nicht das mildere Mittel.“ 64 Die Auslegung der zitierten Passagen ist bis heute umstritten. Insbesondere enthält das Urteil keine eindeutigen Aussagen zur Zulässigkeit von PKZ, die nicht für alle staatlichen Dateien, wohl aber bereichsübergreifend einheitlich verwendet werden. In jüngerer Zeit wird zudem hinterfragt, ob das Verbot einer allgemeinen, alle Dateien betreffenden PKZ heute noch aufrechterhalten werden kann. Der Meinungsstand ist sehr unübersichtlich. Im Wesentlichen werden folgende Positionen vertreten: 60 Unterrichtung durch den Bundesbeauftragten für den Datenschutz gemäß § 19 Abs. 2 S. 2 des Bundesdatenschutzgesetzes (BDSG) vom 18. Januar 1980, BT-Drs. 8/3570, S. 11 ff. 61 Kirchberg, Personenkennzeichen – Ende der Privatsphäre?, ZRP 1977, 137 (139). 62 BVerfGE 65, 1 (53). Hervorhebungen nur hier. 63 BVerfGE 65, 1 (53 f.). 64 BVerfGE 65, 1 (56 f.). Hervorhebungen nur hier. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 196/20 Seite 14 Von Datenschützern65 und in der Literatur66 wird unter Verweis auf das Volkzählungsurteil oft vom Verbot eines einheitlichen PKZ jedenfalls im Sinne eines allgemeinen PKZ ausgegangen, das in sämtlichen staatlichen Registern verwendet würde. Auch das Finanzgericht (FG) Köln sprach in seinem Urteil vom 7. Juli 2010 in Ausführungen zur Verfassungsmäßigkeit der Einführung der Steuer-ID vom strikten Verbot eines einheitlichen, für alle Register und Daten geltenden PKZ.67 Die Steuer-ID sei kein solches einheitliches PKZ, da sie nur bereichsspezifisch genutzt werde. Der Bundesfinanzhof setzte sich in seinem darauffolgenden Urteil dann gar nicht mit dem Verbot allgemeiner PKZ auseinander.68 Eine Verfassungsbeschwerde gegen die Entscheidung des Bundesfinanzhofs nahm das Bundesverfassungsgericht ohne Begründung nicht zur Entscheidung an.69 Aufgrund der Gefahr der Profilbildung werden von vielen Stimmen auch PKZ für unzulässig erachtet , die zwar nicht für alle, wohl aber bereichsübergreifend für mehrere Register einheitlich genutzt würden.70 Einheitliche Kriterien dafür, ob jede bereichsübergreifende Nutzung ausgeschlossen sein soll oder eine Verknüpfung weniger71, sachnaher Bereiche ggf. zulässig sein könnte und wonach die Verwaltungs- und Lebensbereiche72 bestimmt und abgegrenzt werden sollen, haben sich in der Literatur nicht herausgebildet. 65 In chronologischer Reihenfolge: Hessischer Datenschutzbeauftragter, 12. Tätigkeitsbericht vom 19. Januar 1984, S. 12; 67; Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 25./26. März 2004, Entschließung: Personennummern; Bundesbeauftragter für den Datenschutz, 20. Tätigkeitsbericht vom 19. April 2005, BT-Drs. 15/5252, S. 108, 165; Schaar, Steuer-ID darf kein allgemeines Personenkennzeichen werden!, ZD 2011, 49; das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hielt jedenfalls universell eingesetzte einheitliche PKZ für unzulässig, Verkettung digitaler Identitäten, 2007, S. 73 f.; DSK, Entschließung vom 26. August 2020 (Fn. 51), S. 2; BfDI, Hintergrundpapier zur Registermodernisierung und Schaffung eines einheitlichen Personenkennzeichens (Fn. 54), S. 8. 66 Bizer, Personenkennzeichen, DuD 2004, 45; Denninger, Das Recht auf informationelle Selbstbestimmung und innere Sicherheit: Folgerungen aus dem Volkszählungsurteil des Bundesverfassungsgerichts, KJ 1985, 215 (227); Hansen, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Auflage 2019, Art. 87 DSGVO Rn. 3; Polenz, in: Kilian/Heussen, Computerrechts-Handbuch, 34. EL Mai 2018, Teil 13, Verfassungsrechtliche Grundlagen des Datenschutzes, Rn 20; Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht, 2003, Kap. 7.7 Rn. 53; Steinmüller, Das Volkszählungsurteil des Bundesverfassungsgerichts, DuD 1984, 91 (95); Weichert, Die Wiederbelebung des Personenkennzeichens – insbesondere am Beispiel der Einführung einer einheitlichen Wirtschaftsnummer, RDV 2002, 170 (173, 176). 67 FG Köln, Urteil vom 7. Juli 2010, Az.: 2 K 2999/08, juris, Rn. 98, 134 ff. 68 BFH, Urteil vom 18. Januar 2012, Az.: II R 49/10, juris, Rn. 38 ff. 69 Bundesverfassungsgericht, Beschluss vom 1. Juli 2016, Az.: 1 BvR 2533/13, juris. 70 Hessischer Datenschutzbeauftragter, 12. Tätigkeitsbericht vom 19. Januar 1984, S. 12; Bundesbeauftragter für den Datenschutz, 20. Tätigkeitsbericht vom 19. April 2005, BT-Drs. 15/5252, S. 108, 165; differenzierend Polenz, in: Kilian/Heussen (Fn. 66), Rn. 20. 71 So bspw. ohne nähere Erläuterung Polenz, in: Kilian/Heussen (Fn. 66), Rn. 20. 72 Zur Abgrenzung von Bereichen im RegMoG-E die Kritik des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Hintergrundpapier zur Registermodernisierung und Schaffung eines einheitlichen Personenkennzeichens (Fn. 65), S. 8. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 196/20 Seite 15 Eine andere Ansicht, die in der Rechtswissenschaft heute vermehrt vertreten wird, betont den engen Zusammenhang der Aussagen des Bundesverfassungsgerichts zum Verbot einer einheitlichen PKZ mit dem Verbot einer umfassenden Registrierung und Katalogisierung der Persönlichkeit. Nicht das Mittel eines einheitlichen PKZ an sich stelle einen nicht zu rechtfertigenden Eingriff dar, sondern die Erstellung von Persönlichkeitsprofilen. Ein einheitliches PKZ sei nur dann unzulässig, wenn es zu einer solchen unzulässigen Vermessung der Persönlichkeit führe.73 Unter den geänderten technischen Bedingungen, die heute von digitalisierten Datenbanken und andersartigen Verknüpfungsmöglichkeiten geprägt sind, begründen nicht mehr allein PKZ die Gefahr der Erstellung von vollständigen Bildern oder Teilbildern der Persönlichkeit. Ließen sich diese Gefahren hingegen durch wirksame technische, organisatorische und rechtliche Maßnahmen effektiv bannen, sei die Einführung eines bereichsübergreifenden PKZ zulässig.74 Angesichts der umfangreichen Weiterentwicklung der technischen Möglichkeiten und der Auslegungsbedürftigkeit des Volkszählungsurteils kann nicht rechtssicher beurteilt werden, ob das Bundesverfassungsgericht auch heute ein striktes Verbot des Instruments eines einheitlichen PKZ – sei es als bereichsübergreifendes oder als allgemeines PKZ – statuieren würde, wenn die Risiken der Erstellung von Profilen oder Teilprofilen der Persönlichkeit durch technische, organisatorische und rechtliche Maßnahmen ausgeschlossen werden können. (ii) Einordnung der registerübergreifende einheitliche Identifikationsnummer nach dem RegMoG-E Die Einordnung der im RegMoG-E vorgeschlagenen Ausweitung der Nutzung der Steuer-ID als allgemeines oder bereichsübergreifendes PKZ birgt erhebliche Schwierigkeiten: Die Steuer-ID soll bereichsübergreifend einheitlich in 51 Registern verarbeitet werden. Dies umfasst zwar nicht alle der derzeit ca. 220 staatlichen Register75, aber es können Daten aus ganz verschiedenen, wesentlichen Lebensbereichen verknüpft werden. Diese lassen sich nach Ansicht des BMI in (mindestens) sechs Bereiche untergliedern: Inneres, Justiz, Wirtschaft und Finanzen, Arbeit und Soziales, Gesundheit , Statistik.76 Erfasst sind nach der Anlage zu § 1 IDNrG-E beispielsweise das Melderegister, das Passregister, das Personalausweisregister, das Ausländerzentralregister, das Personenstandsregister, die Versichertenverzeichnisse der Kranken- und Pflegekassen, die Stammsatzdatei der Rentenversicherung , die Datenstelle der Bundesagentur für Arbeit, das Zentrale Fahrerlaubnisregister, das 73 Ehmann, in: Ehmann/Selmayr (Fn. 15), Art. 87 Rn. 2; Martini/Wagner/Wenzel (Fn. 5), S. 30; Hornung, Die digitale Identität, 2005, S. 160, 162 f.; Podlech, in: Stein/Denninger, Kommentar zum Grundgesetz für die Bundesrepublik Deutschland (AK-GG), 3. Auflage 2001, Art. 2 Abs. 1 Rn. 79; Schmidt, in: Gagel, SGB II / SGB III, 78. EL Mai 2020, § 51a SGB II Rn. 7; Zelyk, Das einheitliche steuerliche Identifikationsmerkmal, Eine verfassungsrechtliche Analyse, 2011, S. 84 ff. m.w.N.; Zippelius, in: Kahl/Waldhoff, Bonner Kommentar zum Grundgesetz, Bd. 1, 202. EL Februar 2020, Art. 1 Rn. 98 (57. Lfg. Dezember 1989); so auch die Gesellschaft für Informatik e.V., Stellungnahme zum RegMoG-E, (Fn. 56), S. 3. 74 Martini/Wagner/Wenzel (Fn. 5), S. 33. 75 Laut Statistischem Bundesamt gibt es derzeit mindestens 214 Register und registerähnliche Strukturen, vgl. Statistisches Bundesamt, Ein Blick in die Registerlandschaft in Deutschland, Beistellung zum Gutachten „Mehr Leistung für Bürger und Unternehmen: Verwaltung digitalisieren. Register modernisieren.“, 2017, S. 4. 76 BMI, Referentenentwurf RegMoG-E (Fn. 3), S. 64. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 196/20 Seite 16 Bundeszentralregister, das Gewerberegister und das verschiedene Berufsregister sowie das Insolvenzregister und das Schuldnerverzeichnis. Wohl aufgrund des Umfangs und der Bedeutung der so erfassten Verwaltungs- und Lebensbereiche und nicht nur unerheblichen Aussagekraft der zugehörigen Register bewertet der BfDI Ulrich Kelber die im RegMoG-E vorgeschlagene Ausdehnung der Nutzung der Steuer-ID als Einführung eines „allgemeinen Personenkennzeichens“.77 Das Bundesverfassungsgericht habe die Einführung eines allgemeinen PKZ ausdrücklich als Negativbeispiel für eine verfassungswidrige Rechtslage erwähnt.78 Er hält stattdessen den flächendeckenden Einsatz von bereichsspezifischen PKZ für eine mildere und verfassungsrechtlich zulässige Alternative.79 Auch die Humanistische Union geht unter Bezugnahme auf das Volkszählungsurteil davon aus, dass die im RegMoG-E angedachte Einführung der Steuer-ID als einheitliches PKZ generell unzulässig ist.80 Der Gesetzentwurf sehe die Verwendung der Steuer-ID in allen wesentlichen öffentlichen Registern vor.81 Dies spricht dafür, dass die Humanistische Union die Steuer-ID nicht nur als bereichsübergreifendes , sondern wohl ebenfalls als allgemeines PKZ einordnet. Das BMI bezeichnet das im RegMoG-E vorgesehene Modell stets als „registerübergreifende einheitliche Identifikationsnummer“82 und lässt offen, ob es sich seiner Ansicht nach bereits um ein allgemeines PKZ handelt. In der Sache schließt sich das BMI in der Entwurfsbegründung wohl dem o.g. weniger restriktiven Standpunkt der jüngeren Literatur an, wenn es für die Begründung der grundsätzlichen Zulässigkeit der Einführung einer einheitlichen Identifikationsnummer (allein) auf den Ausschluss einer Persönlichkeitsprofilbildung abstellt.83 Die Identifikationsnummer im Sinne des RegMoG-E soll nicht lediglich in einer eng begrenzten Auswahl sachnaher Register genutzt werden. Der Umfang, die Verschiedenheit und die Tragweite der erfassten Verwaltungs- und Lebensbereiche sprechen dafür, dass die Identifikationsnummer dann bereits ein zentrales PKZ für die gesamte Verwaltung von Bund und Ländern – und künftig ggf. sogar für die Privatwirtschaft – darstellen würde. Auch wenn die Identifikationsnummer 77 BfDI, Hintergrundpapier zur Registermodernisierung und Schaffung eines einheitlichen Personenkennzeichens (Fn. 65), S. 8. 78 BfDI, Hintergrundpapier zur Registermodernisierung und Schaffung eines einheitlichen Personenkennzeichens (Fn. 65), S. 4 f. 79 Ebenda. 80 Humanistische Union, Stellungnahme zum RegMoG-E, Stand: 4. September 2020, S. 8 ff. 81 Humanistische Union, Stellungnahme zum RegMoG-E (Fn. 80), S. 8. 82 BMI, Referentenentwurf RegMoG-E (Fn. 3), S. 2. 83 BMI, Referentenentwurf RegMoG-E (Fn. 3), S. 47. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 196/20 Seite 17 nicht in allen existierenden Registern gespeichert würde, würde sie somit aus Sicht des Grundrechtsschutzes wohl bereits den Charakter eines allgemeinen PKZ aufweisen. Die Zulässigkeit von allgemeinen PKZ wird – wie unter 4.2.1.3.1(i) dargestellt – unterschiedlich beurteilt. 4.2.1.3.2. Hinreichender Ausschluss der Bildung von Persönlichkeitsprofilen? Wenn die Einführung einer einheitlichen registerübergreifenden Identifikationsnummer verfassungsrechtlich nicht generell unzulässig sein sollte, müsste diese zur Wahrung des durch Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG besonders geschützten Kernbereichs der informationellen Selbstbestimmung so ausgestaltet werden, dass eine Bildung von Total- oder Teilprofilen ausgeschlossen ist.84 Eine Profilbildung liegt vor, wenn die Zusammenführung vorhandener Einzeldaten neue Rückschlüsse über die betroffene Person erlaubt und so zumindest ein (Teil-)Abbild der Persönlichkeit entsteht.85 Je mehr Lebensbereiche ein Profil erfasst und umso länger und lückenloser der Staat Daten zu diesen Lebensbereichen sammelt, desto eher verletzt das Abbild das Persönlichkeitsrecht der Betroffenen und tangiert ihre Menschenwürde.86 Das Maß der gebotenen Schutzmaßnahmen muss mit dem Gefahrengrad korrespondieren, den die jeweilige Konzeption des Personenkennzeichens in ihrem individuellen Zuschnitt birgt.87 Durch das Modell des RegMoG-E wird jedenfalls kein unzulässiges allumfassendes „Superregister “88 gebildet: Es wird bei der Regierungsmodernisierungsbehörde kein dauerhafter Datenbestand aufgebaut, vgl. § 11 IDNrG-E. 89 Die Regierungsmodernisierungsbehörde darf nach § 11 IDNrG-E die vom Bundeszentralamt für Steuern übermittelten Basisdaten zum Zweck der Datenübermittlung und Protokollierung zwischenspeichern. Danach sind sie jedoch zu löschen. Durch das RegMoG-E werden keine neuen Befugnisse im Rahmen des registergestützten Zensus geschaffen. Demnach ist auch keine Durchbrechung des sog. Rückspielverbots erkennbar, wonach zu statistischen Zwecken gewonnene Daten niemals zum Verwaltungsvollzug eingesetzt werden dürfen.90 Ob ein registergestützter Zensus, wie er bereits seit 2011 durchgeführt wird, vor dem Hintergrund des Volkszählungsurteils verfassungsrechtlich auch mit Hilfe von allgemeinen oder bereichsübergreifenden PKZ zulässig ist, ist nicht Gegenstand dieser Ausarbeitung.91 84 BVerfGE 27, 1 (6); 65, 1 (53 f.; 56 f.); 109, 279 (323); 121, 220 (280). 85 Hornung (Fn. 73), S. 159 m.w.N. 86 Hornung (Fn. 73), S. 160; Martini/Wagner/Wenzel (Fn. 5), S. 30. 87 Martini/Wagner/Wenzel (Fn. 5), S. 34. 88 Martini/Wagner/Wenzel (Fn. 5), S. 63. 89 BMI, Referentenentwurf RegMoG-E (Fn. 3), S. 68. 90 BVerfGE 65, 1 (62). 91 Zur Zulässigkeit des registergestützten Zensus, wie er 2011 durchgeführt wurde, vgl. BVerfGE 150, 1. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 196/20 Seite 18 Der Entwurfsbegründung nach wird die Gefahr einer umfassenden unzulässigen Profilbildung dadurch ausgeschlossen, dass die fachspezifischen Register alle speziellen Zweckbindungsregelungen unterliegen und in der Kommunikation mit der Registermodernisierungsbehörde nur die Basisdaten nach § 4 Abs. 2 und die weiteren Daten nach § 4 Abs. 3 IDNrG-E ausgetauscht und abgeglichen werden können.92 Der BfDI bemängelt, dass im IDNrG-E keine Bestimmung enthalten ist, die den Zweck der Verarbeitung der Identifikationsnummer ausschließlich auf die Identifikation von natürlichen Personen gegenüber der Verwaltung begrenzt. So bestünde die Gefahr, dass die allgemeinen Bestimmungen in Art. 5 Abs. 1 lit. b) und Art. 6 Abs. 4 DSGVO in einem nicht unerheblichen Umfang Zweckänderungen zulassen und ein Durchsickern der Steuer-ID in die zivile Gesellschaft zu befürchten sei.93 Die Gesellschaft für Informatik e.V. sieht in der Speicherung des Datums des letzten Verwaltungskontakts (§ 4 Abs. 3 IDNrG-E) in Verbindung mit der Protokollierung der Daten (§ 9 IDNrG-E) die Gefahr eines weitgehenden Tracings von Bürgern.94 Problematisch ist ferner, dass der Gesetzesentwurf keine ausdrückliche Regelung enthält, dass die Nutzung der Identifikationsnummer zur Bildung von Persönlichkeitsprofilen unzulässig ist. Außerdem erhöht die Speicherung der Identifikationsnummer in allen angeschlossenen Registern die Möglichkeit und Gefahr einer (wenn auch nicht beabsichtigten, sondern unbefugten) Profilbildung gegenüber nur bereichsspezifischen PKZ erheblich. Der Kreis derjenigen, die Zugriff auf die Steuer- ID haben und der Wert dieser Information sind nach dem Modell des RegMoG-E ebenfalls deutlich größer. Diesem erhöhten Gefahrengrad müsste mit verstärkten technisch-organisatorischen Sicherungsmaßnahmen begegnet werden, um eine Profilbildung hinreichend auszuschließen. Nach § 7 Abs. 2 S. 1 IDNrG-E sollen Datenübermittlungen unter Nutzung der Identifikationsnummer jedenfalls zwischen öffentlichen Stellen verschiedener Bereiche über Vermittlungsstellen verschlüsselt in gesicherten Verfahren erfolgen, die dem aktuellen Stand von Sicherheit und Technik entsprechen müssen (sog. 4-Corner-Modell95) Es müssen mindestens sechs Bereiche gebildet werden (§ 7 Abs. 2 S. 2 IDNrG-E), welche nach fachlichen Kriterien bestimmt werden sollen. Näheres soll in einer Verordnung nach § 12 Abs. 2 Nr. 4 IDNrG-E geregelt werden. Ob das – ohnehin nicht generell, sondern nur bei bereichsübergreifenden Übermittlungen vorgesehene – 4-Corner-Modell für den Ausschluss der Profilbildung genügt oder weitgehende Maßnahmen erforderlich sind, kann im Rahmen dieses Gutachtens nicht abschließend überprüft werden. Die Gesellschaft für Informatik e.V. bezweifelt dies und mahnt zumindest eine Sicherung ähnlich der beim Personalausweis zur 92 BMI, Referentenentwurf RegMoG-E (Fn. 3), S. 55. 93 BfDI, Hintergrundpapier zur Registermodernisierung und Schaffung eines einheitlichen Personenkennzeichens (Fn. 54), S. 9. 94 Gesellschaft für Informatik (Fn. 73), S. 6. 95 BMI, Referentenentwurf RegMoG-E (Fn. 3), S. 55 f. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 196/20 Seite 19 Anwendung kommenden sog. Restricted Identification an.96 Der BfDI hält die Profilbildung ebenfalls nicht für hinreichend ausgeschlossen.97 Diesem Standpunkt hat sich auch die DSK angeschlossen.98 4.2.1.3.3. Gesamtabwägung Unterstellt man, dass die Einführung der Identifikationsnummer nicht generell verfassungsrechtlich unzulässig ist und die Bildung von Teil- und Totalabbildern der Persönlichkeit hinreichend ausgeschlossen ist, müsste sich die gesetzliche Ausgestaltung der registerübergreifenden einheitlichen Identifikationsnummer auch im Rahmen einer Gesamtabwägung im Hinblick auf das Grundrecht auf informationelle Selbstbestimmung als angemessen erweisen.99 Dabei ist das Gewicht der verfolgten Gemeinwohlziele mit der Intensität des Eingriffs abzuwägen. Die Einführung der Identifikationsnummer stellt die Richtigkeit der personenbezogenen Daten sicher, dient der Steigerung der Funktionsfähigkeit, Effektivität und Leistungsgerechtigkeit der Verwaltung, entlastet den Bürger von Nachweispflichten und beugt Leistungsmissbrauch vor. Dies sind jeweils wichtige Ziele. Gleichzeitig dient die Registermodernisierung der Digitalisierung der Verwaltung, die für die Bewältigung der derzeitigen und künftigen Aufgaben der Verwaltung notwendig ist.100 Ferner erleichtert die Einführung einer Identifikationsnummer die Durchführung eines registergestützten Zensus. Dadurch können Direkterhebungen bei Bürgern vermieden und die Kosten für die Durchführung des Zensus erheblich gesenkt werden.101 Auch dieses Ziel ist durchaus gewichtig. Die Eingriffsintensität wird nach der Rechtsprechung des Bundesverfassungsgerichts insbesondere von der Art der erfassten Informationen, dem Anlass und den Umständen ihrer Erhebung, dem betroffenen Personenkreis und der Art der möglichen Verwertung der Daten beeinflusst.102 Auch die Gefahr des Missbrauchs ist zu berücksichtigen.103 Hinsichtlich der Art der erfassten Informationen ist allgemein in Rechnung zu stellen, ob die erfassten Daten für die Persönlichkeit 96 Gesellschaft für Informatik (Fn. 73), S. 4; wobei insgesamt das österreichische Modell zum technischen Ausschluss der Profilbildung favorisiert wird. 97 BfDI, Hintergrundpapier zur Registermodernisierung und Schaffung eines einheitlichen Personenkennzeichens (Fn. 54), S. 7 f. 98 DSK, Entschließung vom 26. August 2020 (Fn. 51), S. 1 f. 99 BVerfGE 150, 244 (281). 100 BMI, Referentenentwurf RegMoG-E (Fn. 3), S. 35 ff.; BfDI, Hintergrundpapier zur Registermodernisierung und Schaffung eines einheitlichen Personenkennzeichens (Fn. 54), S. 10; Entschließung vom 26. August 2020 (Fn. 51), S. 2; Martini/Wagner/Wenzel (Fn. 5), S. 40. 101 BMI, Referentenentwurf RegMoG-E (Fn. 3), S. 35, 39. 102 Ständige Rechtsprechung, vgl. BVerfGE 120, 378 (401 f.). 103 BVerfGE 65, 1 (46). Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 196/20 Seite 20 des Betroffenen hohe Relevanz haben oder ob Möglichkeiten für eine weitergehende Verarbeitung und Verknüpfung der Daten und zur Nutzung für eine Vielzahl von Zwecken bestehen.104 Bei der einheitlichen Identifikationsnummer in Form der Steuer-ID handelt es sich nicht um ein sog. sprechendes PKZ, das sich aus personenbezogenen Daten der Person zusammensetzt.105 Dadurch wird im Sinne der Datenminimierung vermieden, dass allein aufgrund der PKZ Rückschlüsse auf personenbezogene Sachverhalte gezogen werden können, die über den eigentlichen Zweck der Verarbeitung der PKZ hinausgehen.106 Die Identifikationsnummer soll aber offen und nicht etwa als technisch besonders gesichertes, geheimes Datum in den 51 Registern gespeichert werden. Allerdings soll die Identifikationsnummer nach § 4 Abs. 2 IDNrG-E mit den Basisdaten und nach § 4 Abs. 3 IDNrG-E mit weiteren Daten wie dem Zeitpunkt des letzten Verwaltungskontakts und Validitätswerten verknüpft werden. Gleichsam soll sie in den angeschlossenen 51 Registern gespeichert werden. Dadurch entsteht ein konkreter Personenbezug der Identifikationsnummer. Diese verbundenen Daten betreffen sowohl die Sozialsphäre, als auch die Privat- oder gar Intimsphäre (Geschlecht). Nach Art. 3 Nr. 2 RegMoG-E sollen beim Bundeszentralamt für Steuern im Vergleich zur bisherigen Rechtslage zusätzlich die Staatsangehörigkeit, das Datum des letzten Verwaltungskontakts sowie Validitätswerte der Daten gespeichert werden. Das Datum des letzten Verwaltungskontakts soll gespeichert und verarbeitet werden, um im Sinne eines „Lebenszeichens“ den registergestützten Zensus zu unterstützen und die Qualität der Stammdaten zu sichern.107 Rückschluss auf die konkrete Stelle des Verwaltungskontakts sollen dadurch zwar nicht möglich sein.108 In Verbindung mit der Protokollierung der Daten nach § 9 IDNrG-E könnte aber dennoch die Gefahr eines Tracings von Bürgern entstehen.109 Der betroffene Personenkreis ist sehr groß. Eine Identifikationsnummer soll vergeben werden an alle Steuerpflichtigen und an jede sonstige natürliche Person, die bei einer öffentlichen Stelle ein Verwaltungsverfahren führt (§ 139a Abs. 1 S. 1 AO in der durch Art. 3 RegMoG-E geänderten Fassung ). Das RegMoG-E soll nur den Abruf und Abgleich der Basisdaten nach § 4 Abs. 2 IDNrG-E und der eng begrenzten weiteren Daten nach § 4 Abs. 3 IDNrG-E (melderechtliche Auskunftssperren, Datum des letzten Verwaltungskontakts, Validitätswerte) ermöglichen. Eine Vorratsdatenspeicherung findet durch die Registermodernisierungsbehörde nicht statt, vgl. § 11 IDNrG-E. 104 BVerfGE 118, 168 (197) m.w.N. 105 BMI, Referentenentwurf RegMoG-E (Fn. 3), S. 62. 106 Martini/Wagner/Wenzel (Fn. 5), S. 9 m.w.N. 107 BMI, Referentenentwurf RegMoG-E (Fn. 3), S. 60. 108 Ebenda. 109 Gesellschaft für Informatik (Fn. 73), S. 6. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 196/20 Seite 21 Eingriffserhöhend wirkt sich der große Umfang des Verwendungsbereiches der Identifikationsnummer aus.110 Diese soll nach § 1 IDNrG-E in 51 Registern aus verschiedenen, wesentlichen Lebensbereichen gespeichert werden und den Abruf und Abgleich der o.g. Daten ermöglichen. Die Umstände der Datenerhebung führen zu einer höheren Eingriffsintensität, wenn Vertraulichkeitserwartungen verletzt werden oder eine heimliche Datenerhebung ermöglicht und dadurch vorheriger Rechtsschutz faktisch verwehrt und nachträglicher Rechtsschutz zumindest erschwert werden.111 Zwar wird der Abruf und der Abgleich der Daten dem Betroffenen nicht in jedem Fall vorher bekanntgegeben oder diesem – etwa aufgrund der Beantragung einer Verwaltungsleistung bekannt sein – und damit vorheriger Rechtsschutz verwehrt. Durch das Datencockpit nach § 9 Onlinezugangsgesetz in der durch Art. 2 RegMoG-E geänderten Fassung besteht aber im Nachhinein Einblick in die stattgefundenen Datenverarbeitungen. Durch die so hergestellte Transparenz wäre jedenfalls die Einholung nachträglichen Rechtsschutzes nicht behindert. Die Datenverarbeitung nach dem IDNrG-E unterläge zudem der Kontrolle der Datenschutzbeauftragten des Bundes und der Länder. Informationserhebungen gegenüber Personen, die den Eingriff durch ihr Verhalten nicht zurechenbar veranlasst haben, sind zudem grundsätzlich von höherer Eingriffsintensität als anlassbezogene .112 Setzen Personen ein Verwaltungsverfahren in Gang – sei es durch Beantragung oder ein sonstiges zurechenbares Verhalten – so setzen sie auch einen konkreten Anlass für den Abruf und Abgleich der Daten. Anders ist dies nur, wenn ohne ein konkretes Verhalten von Personen Registerdaten überprüft werden. Dies ist durch das RegMoG-E nicht ausgeschlossen. Die Schwere des Eingriffs nimmt auch mit der Möglichkeit der Nutzung der Daten für Folgeeingriffe in Grundrechte der Betroffenen zu.113 Die Nutzung der Identifikationsnummer zum Abruf von über die (Basis)-Daten im Sinne von § 4 Abs. 2 und 3 IDNrG-E hinausgehenden in den einzelnen Registern gespeicherten Daten ist nicht vorgesehen, aber auch nicht ausdrücklich durch eine Regelung im IDNrG-E ausgeschlossen. Da die Zweckbindung der Verarbeitung der Identifikationsnummer zudem nicht ausschließlich auf die Identifikation von Personen gegenüber der Verwaltung beschränkt ist, ist die Verarbeitung zu anderen Zwecken bis hin zur Nutzung der Steuer-ID in der Privatwirtschaft rechtlich nicht eindeutig ausgeschlossen (vgl. Art. 5 Abs. 1 lit. b) und Art. 6 Abs. 4 DSGVO).114 Der Gefahr eines Datenmissbrauchs von innen und von außen begegnet der Entwurf durch technische Schutzvorkehrungen nach § 7 Abs. 2 IDNrG-E sowie durch Strafvorschriften in § 17 IDNrG-E. 110 Vgl. Pauly, in: Paal/Pauly (Fn. 14), Art. 87 DSGVO Rn. 2. 111 BVerfGE 120, 378 (402 f.) 112 Ständige Rechtsprechung, vgl. BVerfGE 120, 378 (402) m.w.N. 113 BVerfGE 120, 378 (403) m.w.N. 114 BfDI, Hintergrundpapier zur Registermodernisierung und Schaffung eines einheitlichen Personenkennzeichens (Fn. 54), S. 9. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 196/20 Seite 22 Es ist eine wiederkehrende Prüfung durch den BfDI vorgesehen, § 13 IDNrG-E. Auch durch technische Ausgestaltung und strafrechtliche Sanktionierung lassen sich die erheblichen Gefahrpotenziale aber nicht restlos beseitigen.115 Laut dem Bundesfinanzhof sei ein trotz Sicherheitsvorkehrungen verbleibendes Risiko eines erfolgreichen Hacker-Angriffs auf gespeicherte oder übermittelte Daten im überwiegenden Interesse des Gemeinwohls zwar hinzunehmen.116 Allerdings haben fachkundige Stellen insbesondere bereits Zweifel geäußert, ob das nicht durchgängig, sondern ohnehin nur für bereichsübergreifende Datenübermittlungen zur Anwendung kommende 4-Corner-Modell als Schutzvorkehrung genügt.117 In der Gesamtschau ist die Eingriffsintensität als hoch zu bewerten. Der Ausgang der Gesamtabwägung ist aufgrund des hohen Rangs der informationellen Selbstbestimmung und der bestehenden angesprochenen Unwägbarkeiten insbesondere hinsichtlich möglicher Zweckänderungen und dem Ausreichen der technischen Schutzvorkehrungen mindestens als offen anzusehen. *** 115 Martini/Wagner/Wenzel (Fn. 5), S. 47. 116 BFH, Urteil vom 18. Januar 2012, Az.: II R 49/10, juris, Rn. 102. 117 Siehe dazu bereits S. 18.