Bereits Anfang September 2022 wurde im Rahmen des dritten Entlastungpakets eine Einmalzahlung in Höhe von 200€ für Studierende wie Fachschülerinnen und Fachschüler beschlossen - diese lässt aber bis heute auf sich warten. Im November, nur zwei Tage nachdem das Statistische Bundesamt (destatis) den Anteil der armutsgefährdeten Studierenden auf knapp 38% im Jahr 2021 bemaß, wurden die Pläne endlich konkreter.

Allerdings war schon damals klar, dass eine Auszahlung nicht mehr vor Weihnachten und auch nicht Ende des Jahres erfolgen würde. Denn ein Gesetz zur Auszahlung gab es noch nicht. Zur Umsetzung dieser soll eine digitale Antragsplattform nach Vorbild von »BAföG Digital« aufgebaut werden, da es »kein bundesweites Verzeichnis mit den notwendigen Daten« gebe, so das Bundesministerium für Bildung und Forschung (BMBF). Entsprechend wurde dem Ministerium für Infrastruktur und Digitales des Landes Sachsen-Anhalt (MID) auch die Verantwortung des Aufbaus übertragen, da dieses schon den Aufbau der digitalen BAföG-Plattform mitbetreute. Dabei war man zuversichtlich, dass »Plattform spätestens Anfang 2023 freigeschaltet wird« und auch ein konkretes Ziel zur Auszahlung war gesetzt: »Ende des Winters. Da kommen die Heizkostenabrechnungen. Da müssen die 200 Euro auf den Konten sein.« Der kalendarische Frühlingsanfang ist Montag, der 20. März 2023 und weil an Wochenenden keine Überweisungen freigegeben werden, müsste man den 17. März als Stichtag vermuten. Jetzt soll aber lediglich die Antragsstellung Mitte März freigeschalten werden.

In einem seiner letzten analog zu druckenden Gesetzblätter veröffentlichte der Bundesanzeiger am 20. Dezember 2022 dann das Studierenden-Energiepreispauschalengesetz (EPPSG) und besiegelte die wichtigste Voraussetzung für die alsbaldige Auszahlung.

Dank förderaler Strukturen, die auch im Gesetz mitgedacht wurden, sind für die Durchführung nun jedoch »die nach Landesrecht zuständigen Stellen« (§ 2 Abs. 1 EPPSG) zuständig. Und auf jene wird von Bundesseite auch gerne und oft verwiesen.

Hungern und Warten

Über einen Monat später, im neuen Jahr, ließ Bettina Stark-Watzinger, Bundesministerin und Leiterin des BMBF, im Gespräch mit der dpa am 1. Februar verkünden, dass es nun auf die Zielgerade gehe und man mit Sachsen-Anhalt gemeinsam die »letzten rechtlichen Hürden« nehme, »um mit der gemeinsamen Antragsplattform loszulegen«. In einer Pressekonferenz noch am selben Tag führte das BMBF erneut aus, dass es eine Auszahlung über so viele Länder hinweg noch nicht gegeben habe und darum neue Strukturen wie die von den Ländern gewünschte Antragsplattform nötig seien. Zwar wäre der Weg dorthin »kompliziert, aber kein Fehler«. Auch hält man erneut fest: Die Einmalzahlung soll noch in diesem Winter kommen, »wie es die Ministerin gesagt hat«.

Dabei sei der ursprünglich diskutierte Name der »Soforthilfe« kein Witz, denn auch mehrere Monate stellten eine zeitnahe Umsetzung dar. Auch verlautete man das bis heute mehrfach betonte Dogma der Mitverwantortlichkeit der Länder an einer schnellen Umsetzung. Die Interpretation, dass die Auszahlung also vor dem ersten Mai komme, wenn der Winter »März, April« ende, empfand man seitens BMBF wenig lustig - zu ernst sei das Thema, ein fester Termin jedoch nicht seriös.

Landingsite = Zielgerade?

Zum Montag, dem 13. Februar folgte nun die Veröffentlichung einer Infoseite unter »einmalzahlung200.de« - auch dank einem durch die Telekom signierten SSL-Zertifikat ein seriöses Angebot, wie die FAQs aufklären.

Informiert wird über die kommenden Schritte: Etwa sei für die Einreichung des Antrags ein »BundID-Konto« obligatorisch. Dieses könne man entweder per ELSTER-Zertifikat oder aber per eID mit dem Personalausweis erstellen. Die letzte Frage der FAQs erläutert zudem, dass, sollte man kein BundID-Konto auf diesen Wegen erstellen können, ein Antrag auch durch eine von der Hochschule oder Ausbildungsstätte ausgestellte PIN möglich sei. Die Verpflichtung zur Nutzung und Erstellung eines BundID-Kontos bleibe jedoch auch in diesem Falle bestehen.

Die BundID

Im Zuge des Onlinezugangsgesetzes verfolgt die Bundesregierung die Strategie, bisherige Verwaltungsakte neben der analogen Form auch digital anzubieten. Ziel ist es, die Verwaltung zu beschleunigen und eine Alternative zum Termin beim Amt zu schaffen. Während die Umsetzung bisher aber schleppend verläuft und es weder verbindliche noch einheitliche Schnittstellen gibt, ist das Nutzerkonto Bund (BundID), welches durch das Bundesministerium für Inneres und Heimat (BMI) angeboten wird, das zentrale System für die Einrichtung und den Betrieb der Konten.

Dieses unterscheidet dabei in drei verschiedene Vertrauensniveaus. Erfolgt die Anmeldung in die BundID lediglich per Nutzername und Passwort, so ist das die Basisregistrierung. Hier werden die hinterlegten Daten wie Anschrift, Name, Geburtsdatum und -ort nicht weiter verifiziert. Durch einen Login mit dem ELSTER-Zertifikat genießt man bereits ein »substantielles Vertrauensniveau« und durch die eID mit dem Personalausweis ein hohes. Welches Vertrauensniveau gefordert wird, liegt im Ermessen der Behörde, gegenüber der man sich authentifizieren möchte. Soll der Antrag im Falle der Einmalzahlung sofort gestellt werden können, benötigt man ein substantielles oder hohes Vertrauensniveau. Erfolgt der Login nur per Basisregistrierung, so benötigt man die zusätzliche PIN. Wie diese genau zu erhalten ist, ist noch unklar, da man einen Missbrauch jedoch bestmöglich auszuschließen versucht, dürfte hierzu eine persönliche Authentifizierung vor Ort, etwa bei der jeweiligen Hochschule, zu erwarten sein.

Auf der Seite zur Registrierung mit der BundID schreibt das BMI, dass »alle Verwaltungsleistungen auch ohne Anlegung eines dauerhaften Nutzerkontos analog (d. h. schriftlich oder vor Ort bei der Behörde)« zu beantragen sind. Diese Aussage widerspricht fundamental den Ausführungen in den FAQs auf einmalzahlung200.de. Auf eine Nachfrage an das BundID-Team des BMI, wie diese konträren Informationen zueinanderpassen, folgt nur eine ausweichende Antwort. So empfehle man für den Zweck der Beantragung der Einmalzahlung die Registrierung und verweist auf Hilfeseiten, lässt die Antwort zur Registrierungspflicht jedoch aus. Weitere Nachfragen, auch an das BMBF und MID bleiben bisher unbeantwortet.

Die Aporie der Zwangseinwilligung

Wieso also schreibt das BMI auf der Registrierungsseite diesen Text? Naheliegend wäre die Annahme, dass das Ziel der Strategie des Onlinezugangsgesetzes ist: Eine Ergänzung zum Analogen zu schaffen, ganz nach dem Motto der Anreize statt Verbote.

So steht im bisherigen Onlinezugangsgesetz in § 2 Abs. 5: »Die Verwendung von Nutzerkonten ist für die Nutzer freiwillig.« Die BundID fällt dabei eindeutig unter den Begriff des Nutzerkontos. In der Datenschutzerklärung zur BundID nennt das BMI die Rechtsgrundlage und verweist auf Art. 6 Abs. 1 S. 1 lit. e DSGVO, wonach eine rechtmäßige Verarbeitung im Zusammenhang mit der »Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt«.

Der Datenschutzexperte Christian Aretz stellt dabei fest, dass das BMI die Verarbeitung auf geltendes Recht im Zusammenhang mit dem Onlinezugangsgesetz stützt. Entsprechend sei »mit Einwilligung der Nutzenden die dauerhafte Speicherung der Identitätsdaten in der BundID grundsätzlich zulässig«. Diese Einwilligung, so auch das BMI in der Datenschutzerklärung unter Punkt 11.1, ist dabei eine solche im Sinne des Art. 7 Abs. 3 DSGVO und dieser entsprechend müssten auch deren Anforderungen an eine Einwilligung erfüllt werden. Das setzt neben der eindeutigen bestätigenden Handlung und der Möglichkeit zum Widerruf aber auch ihre Freiwilligkeit voraus. Und auch in einer geplanten Änderung des OZG wird diese Frewilligkeit zum Nutzerkonto weiter betont.

Jurist Malte Engeler, derzeit abgeordnet an das Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz (BMUV), sieht das ähnlich und erinnert an die Diskussion um die CoronaWarnApp. »Hält der Staat eine Datenverarbeitung für erforderlich, muss er dafür eine Rechtsgrundlage schaffen«, schreibt er auf seinem Mastodon-Account unter legal.social. Denn so sei eine Einwilligung gegenüber Behörden, besonders, wenn es um Daseinsfürsorge gehe, »in der Regel mangels Freiwilligkeit ungeeignet« und verweist auf Erwägungsgrund Nr. 43 DSGVO, der der das klare Ungleichgewicht zwischen Betroffenen und Behörden beschreibt. Ein solches mache eine freiwillige Entscheidung unwahrscheinlich, sodass diese letztlich keine Rechtsgrundlage mehr liefert.

Hintergrund seien dabei nicht zuletzt auch rechtsstaatliche Gründe, wonach Verwaltungshandeln vorhersehbar und überprüfbar sein muss. Entsprechend müsse der Staat »die Erforderlichkeit seiner Datenverarbeitung objektiv, fair und überprüfbar benennen« und könne nicht, wie es mit einer Einwilligung der Fall wäre, staatliche Leistungen spontan an Bedingungen knüpfen und den Schutz vor Diskriminierung zur Sache des Individuums machen. Dabei sieht Engeler hierin auch »das verquere Ergebnis eines liberalen Datenschutzverständnis[ses], das Datenschutz auf (informationelle) Selbstbestimmung verengt«. Dabei werde hier, wenn es um den »fairen und solidarischen Zugang zu staatlichen Leistungen« gehe, auch die gesamtgesellschaftliche Bedeutung der Regulierung von Datenschutz ignoriert.

BundID als mildestes Mittel?

Ist eine entsprechende Rechtsgrundlage geschaffen, muss diese unter anderem dem Prinzip der Erforderlichkeit genügen. Durch die Möglichkeit eines Logins ohne ELSTER-Zertifikat oder eID kann das bei einer engeren Auslegung allerdings nicht erfüllt sein. Erfolgt der Login nämlich ohne das erhöhte Vertrauensniveau, so wird zur Antragsstellung eine durch die Hochschule ausgestellte PIN notwendig. Dann jedoch stellt sich die Frage, weshalb man den Login per BundID noch braucht - die durch den Login vom BMI übermittelten Daten an die Antragsplattform könnten nämlich ebenso durch die berechtigte Person selbst angegeben werden. Weil diese Eingabe dasselbe Level an Authentizität hat, ist die zusätzliche Verarbeitung der personenbezogenen Daten durch das BMI und das System um die BundID für diesen Weg nicht länger erforderlich. Das Argument anderer Vorteile, etwa der eines einheitlichen Logins, dürfte dabei eher schwach sein, wenn die Einrichtung zusätzlicher Formularfelder in der Antragsplattform zumutbar ist - für die PIN ist schon jetzt eines vorgesehen.

Datenminimierung durch mehr Stellen?

Weshalb also wird BundID überhaupt verwendet? Ein Grund hierfür dürfte in der beschriebenen Klassifikation in Vertrauensniveaus liegen. So kann einem Missbrauch durch die Vorgabe einer falschen Identität begegnet werden, da der physische Zugriff auf ein Ausweisdokument inklusive Kenntnis der PIN oder aber der Zugriff auf die ELSTER-Zertifikatsdatei eine höhere Hürde darstellen als die bloße Registrierung einer BundID mit ein paar personenbezogenen Daten.

Die BundID ermöglicht zusätzlich aber auch die Freigabe sogenannter qualifizierter Attribute. Diese können auch vor Weitergabe an die entsprechende Plattform überprüft und eingesehen werden. Erst wenn diese bestätigt werden, erfolgt die Weitergabe. Ähnliches kennt man bereits durch den Login per OAuth. Loggt man sich beispielsweise mit seinem Google-Account bei einer neuen Plattform ein, kann diese den Zugriff auf bestimmte Merkmale anfragen. Würde nun eine Plattform für Kochrezepte den Zugriff auf Mails verlangen, so stellt sich die Frage, ob das für ihren Zweck überhaupt erforderlich ist und man tut gut daran, diesen abzulehnen. Bei einer E-Mail-App ergibt sich naturgemäß eine andere Situation.

Im Falle der digitalen Antragsplattform für die Einmalzahlung stellen sich vergleichbare Fragen:
Etwa, ob der Zugriff auf das Geburtsdatum und -ort oder aber die vollständige Adresse von Relevanz ist. Laut EPPSG sind beispielsweise alle Studierenden (exklusive Gasthörende) mit Wohnsitz oder gewöhnlichem Aufenthalt in Deutschland antragsberechtigt. Ist in der BundID bereits der genaue Wohnsitz hinterlegt, kann hier schon geprüft werden, ob das qualifizierte Attribut des Wohnsitzes in Deutschland erfüllt ist. Die vollständige Anschrift auf der digitalen Antragsplattform erneut zu hinterlegen ist nicht erforderlich, wenn BundID die Frage nach dem deutschen Wohnsitz mit einem einfachen »Ja« oder »Nein« bestätigen kann. Erst dann, wenn hier ein »Nein« übermittelt wird und sich die Frage des gewöhnlichen Aufenthalts stellt, müsste man der Antragsplattform weitere Informationen bereitstellen.

Gefahr zur Überauthentifizierung

Dieses Konzept der »selbstbestimmten Identitäten« ist seit Jahren Thema netzpolitischer Diskussionen und wird auch durch Vorstöße rund um die europäische eIDAS-Verordnung und ID-Wallet befeuert. Gemeinsam verfolgen nationale wie internationale Lösungen den Prozess einfacher, sicherer und datenschutzfreundlicher Authentifikation. Bei BundID verläuft das bisher jedoch noch langsam, gab es Mitte September letzten Jahres nur 200.000 registrierte Konten. Auf aktuelle Zahlen konnte man am 17. Februar noch nicht verweisen. Den in sozialen Medien diskutierten Vorwurf einer Popularisierungsstrategie von BundID durch die digitale Antragsplattform zur Einmalzahlung wies man von Bundesseite jedoch zurück.

Anne Roth, Referentin in Sachen Netzpolitik im Deutschen Bundestag, führt netzpolitik.org gegenüber aus, dass Studierende wie Fachschülerinnen und Fachschüler das Geld dringend bräuchten und hier wenig Protest zu erwarten sei. Entsprechend sehe sie es auch nicht als Zufall, dass man eben jene Gruppe zum BundID-Login zwingt.

Durch die einfache und niederschwellige Möglichkeit zur Authentifizierung könnte der bewusste Prozess des Ausweisens zu einem Automatismus werden. So findet Netzaktivistin Lilith Wittman, dass das zwar einerseits die Grundlage für eine gute Funktionalität von digitalen Verwaltungsprozessen sein kann, andererseits aber auch die Schwelle für verpflichtende Authentifizierung herabsetzt, wenn es bereits ein etabliertes Verfahren gibt.

Werden staatlich signierte Daten, die dann bei diversen Anbietern gespeichert sind gestohlen, wären diese für Kriminelle besonders wertvoll. Die Beschränkung auf qualifizierte Attribute etwa »volljährig« oder »deutscher Wohnsitz« kann dieses Risiko reduzieren. Deren sparsame Implementierung müsste aber auch rechtlich durchgesetzt und kontrolliert werden - im Zusammenhang mit der europäischen ID-Wallet ist das immer wieder Thema.

Die Uni - der eigentliche dezentrale Gatekeeper

Die Rolle der Weitergabe qualifizierter Attribute nehmen bereits heute die Hochschulen gegenüber diversen Stellen ein. Ob im Rahmen von an Studierende gerichtete Angebote oder aber bei einem Verlag zum Vollzugriff auf Bücher oder andere Online-Ressourcen: Oft erfolgt der Login mit dem Unikonto und die Hochschule bestätigt datensparsam und teilweise pseudonymisiert den Studierendenstatus.

Dadurch, dass die letzte Instanz des gesamten Antragsprozesses die Hochschulen und Ausbildungsstätten sind, bleibt der genaue Vorteil durch BundID noch unklar. So bleibt es die genauen Verordnungen oder Gesetze der Länder abzuwarten. Ist die Hochschule jedoch das schwächste Glied in der Authentifizierung und würde die PIN-Abfrage mit dem eigenen Unikonto erlauben, wäre das gesamte Konzept rund um BundID obsolet und entsprechend nichts als ein unnötig komplizierter Weg - ohne Rechtsgrundlage.

Das BMBF ist sich jedenfalls sicher, dass es keine größeren rechtlichen Bedenken, auch von Datenschutzseite gibt. Zwar nennt man die Lage »rechtlich wie technisch komplex«, verantwortlich für eine weitere Verzögerung sollen aber die Länder sein. Ob diese mit ihrer Arbeitsgrundlage zufrieden sind, wird sich zeigen.

Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) stimmt in den Tenor der Länderzuständigkeit ein. Inwieweit diese die Musterverordnung aus der Bund-Länder-Runde umsetzen und auch datenschutzfreundlichere Alternativen schaffen, unterliege nicht der Einflussnahme der obersten Bundesbehörde.

Dass es bereits jetzt eine langanhaltende Tradition ist, immer wieder neue Möglichkeiten für die Datenerhebung zu schaffen, die sich später als rechtswidrig herausstellen, hielt man erst kürzlich fest. Das müsse sich dringend ändern, sonst drohe die Gefahr, das Vertrauen in die Gesetzgebung auf Bürgerebene zu verlieren.

Ergänzendes

Entsprechende Anfragen an die zuständigen Stellen, die einige behandelte Hintergründe dieses Artikels klären sollten, sind hier zu finden: