Leipzig 2024: Schaufensterdigitalisierung in der Messestadt

Die Schaufensterdigitalisierung

In der letzten Zeit kam der Begriff der „Schaufensterdigitalisierung“ auf. So sprach Anke Domscheit-Berg davon, dass ein Online-Frontend zu wenig sei. Bianca Kastl beklagte unter „Degitalisierung“, dass das OZG primär Schaufensterdigitalisierung sei.

Versucht man diese Form der Digitalisierung zu charakterisieren, so wären wohl folgende Merkmale gute Indizien für das Vorhandensein von bloßer Schaufensterdigitalisierung:

Kein Zugriff auf Datenbanken

• Es findet keine auch nur annähernd belastbare Überprüfung der Identität des Antragstellers statt. Anstatt eID oder digitaler Signatur werden bspw. gescannte Unterschriften, bloße Personalausweisnummern oder ähnlich nicht belastbare und einfach fälschbare Dinge verlangt – wenn überhaupt.
• Es werden in Formularen Daten abgefragt, die durch die Behörde einfach selbst vervollständigt werden könnten. Wäre jemand seriös elektronisch identifiziert worden, wäre es bspw. unnötig, von ihm noch die Adresse abzuverlangen.

Keine durchgängige digitale Bearbeitung:

• Der Antrag löst eine papierbasierte Sachbearbeitung aus, also hinter dem Frontend stecken die Behördenmitarbeiter und Papier. Eine abschließende automatisierte Erledigung erfolgt nicht.

Unsichere Kommunikationskanäle:

• Kommunikation oder Zustellung seitens der Behörde erfolgt über unsichere Medien wie z. B. einfache E-Mail. Wenn behördenseitig PDF-Dokumente zugestellt werden, sind diese regelmäßig nicht signiert und entsprechen somit nicht den Schriftformerfordernissen, wie sie für Urkunden gelten. Somit ist auch die Beweiskraft höchst zweifelhaft.

Die Onlinebeantragung einer Meldebescheinigung bei der Stadt Leipzig Schritt für Schritt

Als Beispiel wird die Universitäts- und Messestadt Leipzig untersucht. Leipzig hat ca. 620.000 Einwohner und ist damit mit Sicherheit eine kommunale Gebietskörperschaft, die in vielen Bereichen „up to date“ sein möchte und über hinreichende Verwaltungskraft verfügt. Die Erkenntnisse aus Leipzig können (leider) auf das gesamte Bundesgebiet übertragen werden.

Sucht man im Internet nach „Meldebescheinigung Leipzig“, so landet man früher oder später auf einer Webseite der Stadt. Dort wird man entweder an ein Bürgerbüro verwiesen oder auf eine Webseite mit einem Online-Antragsformular weitergeleitet. An dieser Stelle ist festzuhalten, dass ein postalischer Antrag nicht möglich ist. Der Satz „Für die schriftliche Antragstellung einer Meldebescheinigung nutzen Sie bitte das Online-Formular.“ ist wohl eindeutig.

Im ersten Schritt – es erfolgt keine Identifikation des Antragstellers – sind nun Daten einzugeben, die bei erfolgter Identifikation auf Basis einer eID und ergänzender Abfrage in den Melderegistern der Stadt Leipzig bereits bekannt wären. Das Once-Only-Prinzip, wie es sich auf z. B. Seite 26 des Koalitionsvertrags der amtierenden Bundesregierung findet, ist hier nicht umgesetzt. Dieses Prinzip ist auch der Stadt Leipzig bekannt, wenigstens im Zusammenhang mit der Beurkundung von Sterbefällen.

Nun erfasst der Nutzer (oder ein Bot, denn bislang hätte einen solchen nichts aufgehalten) Daten, wie sie relativ einfach zu beschaffen sind. Gewerbetreibende oder Vereinsfunktionäre sind mit Adressen im Netz auffindbar, in Hotels, Fitnessstudios oder Autoverleihfirmen hinterlässt der Normalbürger seine Adressen. Darum steht in der Präambel der eIDAS-VO auch „Diese Verordnung dient der Stärkung des Vertrauens in elektronische Transaktionen im Binnenmarkt, indem eine gemeinsame Grundlage für eine sichere elektronische Interaktion zwischen Bürgern, Unternehmen und öffentlichen Verwaltungen geschaffen wird“. Der Umkehrschluss, dass die Stadt Leipzig hier ohne elektronische Identifikation kein Vertrauen schafft, ist sicherlich zulässig. Was betrachtet die Stadt Leipzig nun als hinreichende Grundlage, um eine Meldebescheinigung auszustellen?

Eine gescannte Datei, das Personaldokument des „Antragstellers“ abbildend, sowie eine „Unterschrift“, analog dem, was Paketboten zwischen Tür und Angel als „Unterschrift“ einfordern. Überlassen wir die formalrechtlichen Abwägungen den Juristen, so kann man festhalten:

• Kopien von Personalausweisen liegen zahlreichen Berufsgruppen vor, u.a. Hotelportieren, Angestellten von Autoverleihen und vielen mehr.
• Bilder von Ausweisen sind im Computer-, besonders im KI-Zeitalter, kinderleicht manipulierbar. Darum warnt die Polizei auch „Ausweis- oder Bankkarten-Kopien sagen überhaupt nichts. Die Papiere könnten gestohlen sein oder die Täter haben wiederum andere Menschen betrogen, um an deren Ausweis-Kopien zu kommen“. Die eID, insbesondere für den Personalausweis, wurde genau deshalb eingeführt. Sich hier mit Scans zu begnügen, ist im Jahr 2024 nicht mehr nachvollziehbar.
• Was die „Unterschrift“ hier betrifft, ist sie wohl eine einfache elektronische Signatur nach der eIDAS-VO-Systematik. Dazu sagt die Bundesdruckerei, die in Deutschland beim Thema digitale Signaturen große Expertise besitzt, „Eine einfache elektronische Signatur ist zwar rechtsgültig, besitzt jedoch vor Gericht nur eine schwache Beweiskraft, denn die Identität der unterzeichnenden Person lässt sich nicht sicher nachweisen“. Dem ist nichts hinzuzufügen.

Hat man diese „Hürden“ überwunden, so kann man den Vorgang beenden. Es gibt, leider erwartbar, weder ein Captcha, um Bots auszuschließen, noch einen Übereilungsschutz („Sind Sie sicher?“ oder dergleichen), so dass die Daten sofort an die Stadt Leipzig übertragen werden. 

Da kommt noch was – ein Gebührenbescheid

Nun stellt sich die Frage, warum die Gebühren nicht sofort per Kreditkarte, PayPal oder einem sonstigen Verfahren beglichen werden können. Das wäre nämlich auch gleich ein guter Übereilungsschutz und eine zumindest halbwegs taugliche Form der Identifikation des Antragstellers – ein Fake-Antrag würde damit 12 € kosten, was doch eine abschreckende Wirkung haben sollte.
Dazu kommt noch, wenn es sich um Fake-Anträge für Dritte handelt, ein Widerspruchsverfahren samt namhaften Kosten.

Die richtige Schwachstelle – Zustellung einer rechtlich nicht belastbaren Meldebescheinigung

Was erhält man nun per E-Mail „zugestellt“? Eine Anfrage an die Pressestelle der Stadt „Ist die ggf. per verschlüsselter Mail zugestellte Meldebescheinigung digital signiert? D.h. mit einer qualifizierten elektronischen Signatur, welche auf die Stadt Leipzig zurückgeführt werden kann, versehen?“ wurde beantwortet mit:
„Eine digitale Signatur liegt nicht vor. Die Meldebescheinigung wird aktuell händig gesiegelt und unterschrieben.“
Eine Nachfrage, ob es also wirklich nur ein Scan des Originals wäre, wurde bejaht.
Das heißt, dieser Scan könnte auch selbst hergestellt werden und weist, analog zur einfachen digitalen Signatur am Pad, nur eine sehr geringe Beweiskraft auf. Inwieweit z. B. eine Bank das als Grundlage für einen Kreditvertrag akzeptieren darf, lassen wir dahingestellt.
Den Schlüssel zum Entschlüsseln der verschlüsselten E-Mail findet man dann vermutlich entweder im Gebührenbescheid oder im Nachgang zur Zahlung in einem weiteren Brief.

Fazit – ein Vierteljahrhundert versäumt

Wenn wir das alles zusammenfassen, dann kann man in Leipzig:

• Ohne auch nur annähernd belastbare Identifikation eine Meldebescheinigung für irgendjemanden beantragen.
• Derjenige erhält dann vermutlich per Briefpost einen Gebührenbescheid und hat damit zusätzliche Umstände.
• Im Echtfall erhält man eine nicht signierte Datei mit einem Scan der Meldebescheinigung mit zweifelhaftem (Beweis)Wert.

Wenn wir die oben aufgestellten Kriterien anlegen, so ist das: Schaufensterdigitalisierung. Die Stadt Leipzig/Pressestelle bezeichnete das als eine Übergangslösung, es werde an der Umsetzung mit eID/nPA gearbeitet. Es muss darauf hingewiesen werden, dass wir mittlerweile das Jahr 2024 schreiben. In wenigen Wochen, am 13. Dezember, wird die der eID/nPA zugrundeliegende Signaturrichtlinie ein Vierteljahrhundert alt. Die dahinterliegende Technologie der digitalen Signatur ist noch älter.  

Warum die Stadt Leipzig – und sie ist hier in Deutschland in zahlreicher Gesellschaft der kommunalen Familie – diese Techniken, die älter sind als das Internet, nicht anwendet, ist eigentlich nicht nachvollziehbar. Das Beispiel zeigt, dass die Verwaltungsdigitalisierung heute aussieht wie so manche Innenstadt: Es ist wenig los, und viele leere Schaufenster.