Roland Krebs und Dr. Susanne Seibert, Bayerisches Landesamt für Steuern
Mit dem Onlinezugangsgesetz (OZG) soll der überwiegende Teil der behördlichen Dienstleistungen auch über das Internet möglich werden. Dafür ist eine zuverlässige und benutzerfreundliche Online-Authentifizierung zwingende Voraussetzung. Das Bayerische Landesamt für Steuern setzt hier mit der Entwicklung der Schnittstelle KOLIBRI neue Maßstäbe und wird im 17. eGovernment-Wettbewerb als beste Konzeption des Online-Zugangsgesetzes mit Gold prämiert.
mgm-Redaktion: Was wird mit der Realisierung der KOLIBRI-Schnittstelle erreicht?
Roland Krebs: Wir möchten, dass eGovernment genauso einfach funktioniert wie eCommerce. Heute kaufen Sie bei einem Online-Marktplatz ein und überlassen dann ganz selbstverständlich die Bezahlung einem Online-Bezahldienstleister. Nach diesem Vorbild stellen wir uns auch die Kommunikation zwischen Bürgern und Behörden vor. Die von uns herausgegebenen ELSTER-Zertifikate für die Authentifizierung bei der Steuerverwaltung sollen Sie zukünftig auch in anderen Bürger- oder Verwaltungsportalen verwenden und so eGovernment-Dienstleistungen in Anspruch nehmen können.
Ein wesentlicher Vorteil entsteht dabei für Unternehmen, die hierdurch ebenfalls eGovernment-Leistungen in Anspruch nehmen können. Unternehmen haben bislang keine digitale Identität. Das wird mit unserem Verfahren anders. Sie können sich erstmals – auch im internationalen Vergleich – als Unternehmen authentifizieren und so z. B. ein Fahrzeug anmelden.
mgm-Redaktion: Welche Herausforderungen waren auf dem Weg bislang zu bewältigen, welche stehen noch bevor?
Dr. Susanne Seibert: Bei den anspruchsvollen technischen und technologischen Herausforderungen konnten wir an die Technologie der bestehenden ELSTER-Zertifikate, die sich auf einem sehr hohen Standard befinden, anknüpfen.
Die eigentliche Herausforderung liegt auf ganz anderem Gebiet, nämlich in der Änderung der Gesetze. Aufgrund des in Deutschland geltenden Steuergeheimnisses unterliegen Steuerdaten einem besonderen Schutz. Dies schließt die ELSTER-Zertifikate ein. Wenn man jetzt die Möglichkeit eröffnet, ELSTER-Zertifikate für die Authentifizierung bei anderen Bürger- oder Verwaltungsportalen zu verwenden, dann ist es unumgänglich, die Gesetze entsprechend anzupassen, woran das Bundesinnenministerium gerade arbeitet.
mgm-Redaktion: Was macht die Online-Authentifizierung technologisch anspruchsvoller als Online-Bezahldienste?
Datenmissbrauch kann man nicht in Geld entschädigen, das kann man nicht rückgängig machen.
Roland Krebs: Die Online-Authentifizierung steht viel stärker im Fokus der Öffentlichkeit als die Privatwirtschaft mit ihren Bezahldiensten. Sie unterliegt auch viel stärkeren Regularien. Darum müssen auch die entsprechenden Technologien gehärteter, stabiler sein und letztendlich auch benutzerfreundlicher, um Anwendungsfehler zu vermeiden. Datenmissbrauch kann man nicht in Geld entschädigen, das kann ich nicht rückgängig machen. Der Imageschaden wäre enorm, das können wir uns nicht leisten.
mgm-Redaktion: Was sind die Voraussetzungen für eine breite Akzeptanz einer Online-Authentifizierung?
Roland Krebs: Eine Voraussetzung ist, dass dem Bürger die Möglichkeit des eGovernment überhaupt bekannt ist. Bezahldienste etablieren sich, weil sie von den großen Online-Diensten angeboten werden. Für uns ist das schwieriger. Der neue Personalausweis beispielsweise findet online kaum Anwendung, weil Nutzer gar nicht wissen, was man damit machen kann.
Wir mit ELSTER haben da einen enormen Vorteil, wir haben bereits über 6 Mio. Zertifikate und damit einen großen Kundenstamm, den wir über unsere Medien zeitnah erreichen können. Und die Nutzer von ELSTER kennen auch schon den extrem hohen Sicherheitsstandard und die Zuverlässigkeit des Verfahrens.
Ebenso wichtig ist, dass es für die einzelne Behörde möglichst wenig Aufwand bedeutet, die Authentifizierung zu nutzen. Gerade die Kommunen haben weder die organisatorischen noch die finanziellen Möglichkeiten, sich selbst darum zu kümmern. Ebenso müssen die Daten, die wir liefern, auch valide sein und einem gewissen Standard entsprechen.
mgm-Redaktion: Warum kann sich der Bürger darauf freuen, dass KOLIBRI ihm bald zur Verfügung steht?
Dr. Susanne Seibert: Der Bürger kann sich freuen, weil er damit zukünftig sämtliche Behörden, die angebunden sind, online in Anspruch nehmen kann. Wenn er das ELSTER-Zertifikat schon für seine steuerlichen Zwecke verwendet, muss er nur im Programm den Haken “Ich möchte mein Zertifikat auch für nichtsteuerliche Zwecke verwenden“ freischalten, sobald die Technologie zur Verfügung steht. Dann kann er die Authentifizierung sofort nutzen, ohne auf einen Brief zu warten oder Hardware anzuschaffen.
Hat der Bürger noch kein ELSTER-Benutzerkonto, so kann er dieses ganz einfach und in wenigen Schritten auf der Homepage www.elster.de eröffnen. In diesem Zusammenhang ist ausdrücklich darauf hinzuweisen, dass der Bürger auch ein ELSTER-Benutzerkonto anlegen und dies zukünftig für eGovernment verwenden kann, wenn er seine steuerlichen Angelegenheiten beispielsweise durch einen Steuerberater erledigen lässt.
Ein zusätzlicher Vorteil ist, dass es für den Bürger absolut intuitiv ist. Dadurch, dass wir uns bei der Umsetzung eng an den etablierten eCommerce-Prozessen orientieren, wird es für den Bürger nahezu selbsterklärend sein. Weil man sich ja vielleicht nur einmal in seinem Leben ummeldet, weil man ja nur ab und zu ein Auto anmeldet, weil man eben Behördengängen oftmals nur einmal im Leben macht, muss dieses eine Mal auf Anhieb intuitiv sein.
Erstmals bekommen auch Unternehmen eine eigene digitale Identität.
Roland Krebs: Aber wirklich freuen kann sich nicht nur der Bürger, sondern freuen können sich vor allem die Unternehmen und alle juristischen Personen, die erstmals und auch international einmalig eine eigene digitale Identität bekommen, mit der sie sich authentifizieren können.
mgm-Redaktion: Was genau ist der Vorteil von KOLIBRI im Zusammenhang mit Unternehmen und juristischen Personen?
Roland Krebs: Eine digitale Identität für Unternehmen gibt es momentan noch nicht und es ist nicht absehbar, dass jemand anderes dies bereitstellen kann.
Mittels KOLIBRI authentifiziert sich das Unternehmen als solches und nicht mehr wie jetzt in der analogen Welt, eine Person, die im Namen und Auftrag des Unternehmens handelt.
Dr. Susanne Seibert: Die digitale Identität durch das ELSTER-Zertifikat und die Authentifizierung über die KOLIBRI-Schnittstelle funktioniert nicht nur für Unternehmen, sondern ebenso für alle Organisationen, die ein ELSTER-Zertifikat beantragen können, also auch für Vereine, Erbengemeinschaften, Grundstücksgemeinschaften, Personenvereinigungen und sogar andere Behörden.
Roland Krebs: Was anders als bei Personen auch dazukommt: Ein Mensch wird geboren, zieht um, heiratet und stirbt. Das sind im Wesentlichen die Hauptstichtage, an denen sich etwas ändert. Bei einem Unternehmen ist das deutlich vielfältiger. Ein Unternehmen wird gegründet, es kann liquidiert werden, aufgeteilt, fusioniert und aufgekauft werden usw. Die Steuerverwaltung und somit auch ELSTER ist diejenige Verwaltung, die diesen Lebenslauf der Unternehmen zeitnah kennt und so auch in der Lage ist, ein Unternehmen entsprechend zu authentifizieren.
mgm-Redaktion: Was macht KOLIBRI darüber hinaus für Behörden so attraktiv?
Roland Krebs: Wichtig ist, dass nicht jede Behörde etwas Eigenes machen muss, sondern die KOLIBRI-Schnittstelle einfach nutzen kann, wenn sie an die Nutzerkonten der Länder oder des Bundes angeschlossen ist.
ELSTER hat bereits eine riesige validierte Datenbank von Bürgern, Unternehmen und Organisationen.
Zudem haben wir nicht nur die größte, sondern ich meine sogar die einzige bestehende nennenswerte Benutzerdatenbank für deutsche Bürger, Unternehmen und Organisationen. Wir haben mit über 6 Mio. ausgegebenen Zertifikaten eine riesige validierte Benutzerdatenbank, auf die die Behörden zugreifen können.
Wir haben eine Datenbank, die ein-eindeutig die registrierten Bürger; Unternehmen und Organisationen identifiziert. Wir haben keine Doppelungen und wir haben verifizierte Daten, Straßen, Adressen etc. Fakt ist, dass es unserer Einschätzung nach tatsächlich absehbar nichts gibt, was von der Qualität und der Sicherheit eine Konkurrenz für die Authentifizierung durch die KOLIBRI-Schnittstelle sein könnte.
mgm-Redaktion: Was müsste eine interessierte Behörde tun?
Roland Krebs: Stand heute müssten die interessierten Behörden sich nur an eines der genannten Nutzerkonten anschließen. Nach dem Onlinezugangsgesetz werden in Deutschland gerade in jedem Bundesland Nutzerkonten sowie ein separates für den Bund – insgesamt also 17 Nutzerkonten implementiert. Diese Nutzerkonten wiederum können unsere Partner werden und die KOLIBRI-Schnittstelle entsprechend einbinden und so die ELSTER-Zertifikate als Authentifizierungsmöglichkeit nutzen.
mgm-Redaktion: Gibt es international Vorbilder für KOLIBRI? Wo stehen wir im internationalen Vergleich? Wie wird sich im Ausland authentifiziert?
Roland Krebs: Tatsächlich gibt es in vielen Ländern Authentifizierungsmöglichkeiten, viele sind da schon deutlich weiter als wir. Die Technologie ist meistens vergleichbar mit dem, was wir mit KOLIBRI auch machen wollen. Es gibt eine Art von Zertifikat, das man von einer zentralen Stelle bekommt, mit einer zentralen Benutzerverwaltung dahinter. Andere Länder haben ja meist Personenkennziffern, wie in Amerika die Sozialversicherungsnummer. In Schweden gibt es beispielsweise eine Art Bank-ID, da haben sich die schwedischen Banken mit dem Staat zusammengetan. Dann gibt es wiederum Länder, die haben eine Kooperation zwischen dem Staat und den Telekommunikationsanbietern.
Das sind alles Zentralstaaten mit einer zentralen Regierung, zentralen Personenkennziffern und zentralen Benutzerdaten. Durch eine Kooperation mit der freien Wirtschaft hat dann jeder Bürger eine solche Identität, mit der er alles machen kann. Er kann so sein Bankkonto bedienen und er kann seine Mülltonne bestellen. Bei uns ist das nicht so. Das einzige Zentralregister, das wir bisher haben, war über den Personalausweis, der sich aber bislang nicht durchgesetzt hat. Und jetzt haben wir als Alternative über die steuerliche Registrierung eine ähnliche Technologie, wie es sie in anderen Ländern gibt, aber eben aus der Steuerverwaltung heraus.
mgm-Redaktion: Was sind die wesentlichen Anforderungen und Herausforderungen für die nächste Zukunft?
Roland Krebs: Wichtig ist, dass das System bekannt und auch verbreitet wird. Auch wenn es vom Staat vorgegeben ist, die Bürger nutzen es nicht, wenn es nicht benutzerfreundlich ist. Die “Usability”, wie man so schön sagt, ist das A und O. Das Produkt kann noch so gut und sicher sein, wenn es nicht benutzerfreundlich ist, dann wird der Anwender es nicht akzeptieren.
Eine weitere Herausforderung sind die Nutzerkonten, von denen es unseres Wissens 17 Stück geben wird. Ich hoffe, dass diese nächstes Jahr zum Fliegen kommen werden.
Unsere ELSTER-Systeme sind so ausgelegt, dass sie die Online-Authentifizierung leicht zusätzlich bewältigen können. Es gibt eine interessante Zahl: Der Deutsche hat im Schnitt 1,4 Behördenkontakte im Jahr. Die „1“ vor dem Komma ist die Steuererklärung, also ELSTER, und die verbleibenden 0,4 sind alle anderen behördlichen Dienstleistungen, von der Anmeldung des Autos über den eigenen Umzug bis zur Bestellung der Mülltonne. Es gibt in Bayern etwa 9000 Dienstleistungen, die man digitalisieren könnte. All diese teilen sich die 0,4 Behördenkontakte, während ELSTER allein einen ganzen Behördenkontakt darstellt und so sind wir systemseitig auch aufgestellt. Die theoretisch 0,4 zusätzlichen Kontakte stellen für uns kein Problem dar.
mgm-Redaktion: Mit einem Blick in die Zukunft: Ist eine Ausweitung auf die Privatwirtschaft geplant oder denkbar?
Dr. Susanne Seibert: Natürlich, rein technisch betrachtet ist es selbstverständlich möglich. Da KOLIBRI eine generische Schnittstelle ist, kann sich grundsätzlich jeder Nutzer anschließen, egal ob es ein Nutzerkonto oder ob es ein privatwirtschaftlicher Kunde ist. Aber der rechtliche Rahmen hierfür ist derzeit nicht geschaffen. Da es sich auch bei den Authentifizierungsdaten um Steuerdaten handelt, dürfen wir diese Daten nicht herausgeben. Die angesprochenen Gesetzesänderungen ermöglichen zukünftig zwar eine Erweiterung der Datennutzung, aber immer ausschließlich im staatlichen Bereich. Der privatwirtschaftliche Bereich ist davon bislang völlig ausgenommen. Nichts ist natürlich unmöglich, wenn man die entsprechenden Gesetze ändert. Ob dies sinnvoll und wünschenswert ist, kann man pauschal nicht beantworten.
Roland Krebs: Ich glaube, es gibt sicherlich Personen, die eine Identität für alles haben möchten. Diese benutzen beispielsweise ihren Facebook-Account für alles Mögliche. Aber viele Bürger möchten schon unterscheiden, mit welcher Identität sie wo tätig sind. Da ist eine staatliche digitale Identität, wie sie durch KOLIBRI geschaffen wird, eine attraktive Alternative.
mgm-Redaktion: Herzlichen Dank für das Gespräch!
