Frage

Wie oft tagte die im Beitrag der Tagesschau (www.tagesschau.de/investigativ/ndr-wdr/spionagesoftware-nso-bka-105.html) erwähnte Runde zwischen Bundesnachrichtendienst und Bundeskanzleramt seit 2017 (bitte nach Jahren und in jeweiligen Sitzungen beteiligten Behörden aufschlüsseln), und in wie vielen Fällen wurden darin Behördenanfragen abgelehnt (bitte nach Jahren und vom Ablehnungsbescheid betroffener Behörde aufschlüsseln)? (BT-Drucksache 20/9, Frage 2)

Antwort des Staatssekretärs Johannes Geismann vom 1. November 2021

Das im Beitrag erwähnte Gesprächsformat existiert nicht. Daher können diesbezüglich auch keine weiteren Angaben gemacht werden.

Bild: „Führerschein in Hosentasche“ by Tim Reckmann | a59.de is licensed under CC BY 2.0

Das  digitale  Totalversagen rund  um  den  digitalen  Führerscheinnachweis  machte  viele  Schlagzeilen  und  ich  hatte  viele  Fragen.  Diese  Fragen  habe  ich  der  Bundesregierung  gestellt  und  deren  Antworten  werden  Euch  verunsichern…  aber  der  Reihe  nach.

Wer  es  nicht  mitbekommen  hatte:  Kurz vor der diesjährigen Bundestagswahl sollte es endlich soweit sein, Bundesverkehrsminister Andreas Scheuer (CSU) gab den Startschuss für den digitalen Führerschein-Nachweis in Deutschland bekannt. Dieser solle ab sofort in der Smartphone-App “ID Wallet” für alle bereitstehen und  in  bestimmten  Situationen  das analoge Papier ersetzen  können – z.B. bei der Nutzung von Carsharing,  bei  Autovermietungen oder bei Ausweiskontrollen. Die  Umsetzung übernahm der Dienstleister Digital Enabling GmbH, ein bis dato  völlig  unbekanntes Unternehmen.

Weiterlesen


Frage 1

Wie viele Anbieter bewarben sich bei der Ausschreibung zur Entwicklung der Smartphone App “ID-Wallet” und aufgrund welcher Kriterien ging der Zuschlag an die Digital Enabling GmbH (bzw. esatus AG)? (BT Drucksache 19/32661, Frage 1)

Antwort der Staatsministerin Dorothee Bär vom 7. Oktober 2021

Die Bundesregierung hat sich im Teilprojekt „Ökosystem digitale Identitäten“ innerhalb des interministeriellen Projektes „Digitale Identität“ für die Nutzung eines bestehenden Rahmenvertrages mit der System Vertrieb Alexander GmbH (SVA) entschieden, in dem die IBM Deutschland GmbH sowie die Esatus AG als Unterauftragnehmer im Projekt tätig sind. Die Digital Enabling GmbH ist als Tochterunternehmen der Esatus AG Herausgeberin der von der Esatus AG entwickelten ID Wallet.

Frage 2

Wer zeichnete verantwortlich für die Vergabe und für die Freigabe, also den Start der ID- Wallet App? (bitte Name(n), Position(en), Abteilung(en)/Organisationseinheit(en), Bundesbehörde(n) (Ministerium oder nachgeordnete Behörde(n) angeben, ggf. getrennt für Vergabe und Freigabe). (BT Drucksache 19/32661, Frage 2)

Antwort der Staatsministerin Dorothee Bär vom 7. Oktober 2021

Die ID Wallet App ist nicht erst zum Start des Digitalen Führerscheinnachweises am 23.09.2021, sondern bereits seit 05.05.2021 durch die Digital Enabling GmbH in den App Stores von Google und Apple verfügbar gemacht worden. Die esatus Wallet, auf deren Source Code die ID Wallet aufbaut, steht in Herausgeberschaft der esatus AG sogar bereits seit 14.02.2020 in den App Stores.

Die Freigabe des Updates 1.6, das erstmals die Einbindung des digitalen Führerscheinnachweises sowie ein Ausstellen der „Basis-ID“ nicht nur mit Testausweisen ermöglichte, fiel in einer gemeinsamen Abstimmung aller für diesen Anwendungsfall verantwortlichen Stakeholder.

Derzeit laufen Gespräche zwischen BReg und den am Gesamtprojekt beteiligten Unternehmen über eine dauerhafte Governance für das Gesamtökosystem Digitale Identitäten. In diesem Zusammenhang wird die Gründung eines öffentlich-privaten Joint Ventures angedacht, das zu je 50%igem im Eigentum der öffentlichen Hand einerseits und der Wirtschaft andererseits stehen und die Betriebsverantwortung für das Ökosystem übernehmen soll. In diesem Zusammenhang ist auch die dauerhafte Herausgeberschaft der ID Wallet Thema weiterer Gespräche innerhalb der Bundesregierung.

Frage 3

Wurde im Vorfeld der Veröffentlichung der Smartphone App “ID-Wallet” im Rahmen eines Penetrationstests (Pentest) auf die spezifische Schwachstelle von sog. MitM- Angriffen (Man-in-the-Middle) hingewiesen (s. dazu https://lilithwittmann.medium.com/mit-der-id-wallet-kannst-dualles- und-jeder-sein- au%C3%9Fer-du-musst-dich-ausweisen-829293739fa0) und falls ja, warum wurden diese Hinweise vor dem Start der App nicht berücksichtigt? (BT Drucksache 19/32661, Frage 3)

Antwort der Staatsministerin Dorothee Bär vom 7. Oktober 2021

Ein Abfangen der Daten benötigt bei Verbindungsaufbau über QR-Code (bzw. Synonym Deeplink) den Austausch des QR-Codes, dies ist bei einem gedruckten QR- Code nur durch physische Anwesenheit und Austausch, oder bei einer Einbindung auf einer Website durch Zugriff auf interne Systeme (Webserver) der Verifizierenden möglich.
Nach Informationen durch die Entwickler IBM und Esatus ist dies konkret beim ersten Anwendungsfall „Hotel-Check-In“, welcher in einem kontrollierten und begrenzten Rahmen stattfindet, nur durch physische Anwesenheit oder Zugriff auf interne Systeme der Verifizierenden (hier des Hotels) möglich. Für den Hotel Check-In wurden in Abstimmung mit dem BSI daher zusätzliche organisatorische Maßnahmen ergriffen, um das Risiko für diese Art von Missbrauch zu vermeiden bzw. auf ein sehr geringes Maß zu reduzieren. Bei der Ausstellung des Führerscheinnachweises erfolgt die Identifizierung ohne QR-Code und mittels Onlineausweisfunktion. Das beschriebene Angriffsszenario ist dabei nicht einschlägig. Vor der Freischaltung weiterer Anwendungsfälle und dem Re-launch der ID Wallet werden weitere zusätzliche Sicherungsmechanismen implementiert: Dazu gehört die Vermeidung von sogenannten „connection-less Proof Requests“ und stattdessen die Anwendung von dynamischen QR-Codes. Weitere Maßnahmen zur Verhinderung von Phishing- Versuchen werden geprüft.

Bei den sensiblen Nachweisen Basis-ID und Digitaler Führerscheinnachweis sind mit der Gerätebindung zudem weitere Sicherheitsmechanismen implementiert, welche sicherstellen, dass diese Nachweise nur auf dem Gerät verwendet werden können, auf dem sie ausgestellt wurden.

Frage 4

Inwiefern (inkl. genauen Zeitpunkt sowie Art und Weise) wurde das Bundesamt für Sicherheit in der Informationstechnik (BSI) in die Prüfung der App “ID-Wallet” vor deren Veröffentlichung einbezogen (falls nicht, bitte begründen) und zu welcher Bewertung kam das BSI? (BT Drucksache 19/32661, Frage 4)

Antwort der Staatsministerin Dorothee Bär vom 7. Oktober 2021

Beim Anwendungsfall digitaler Hotel Check-in ist gemäß § 29 Absatz 5 Satz 2 Nummer 3 des Bundesmeldegesetzes erforderlich, dass das BSI bei einer vorherigen Prüfung des Verfahrens ein vergleichbares Sicherheitsniveau zu den anderen in der Norm genannten Verfahren festgestellt hat. Für den Anwendungsfall digitaler Hotel- Check-in hat das BSI daher die vorgelegte Konzeption geprüft. In diesem Zusammenhang wurden zahlreiche Verbesserungen implementiert. Es wurde darüber hinaus notwendiger Weiterentwicklungsbedarf am System-Konzept festgestellt, bevor die Pilotanwendung in einen offenen Wirkbetrieb übergeht. Daran wird gearbeitet.

Dem BSI wurde zudem die Dokumentation „IT-Systemkonzept SSI-basierter Führerscheinnachweis“ zur Verfügung gestellt, in mehreren Fragerunden erläutert und das Dokument basierend auf den Rückmeldungen des BSI fortgeschrieben. Das BSI hat keine Betrachtung oder Prüfung der konkreten Implementierung durchgeführt, da es aufgrund seiner Zuständigkeit hierzu nicht aufgefordert war.

Frage 5

Inwiefern (inkl. genauen Zeitpunkt sowie Art und Weise) wurde der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) in die Prüfung der App “ID- Wallet” vor deren Veröffentlichung einbezogen (falls nicht, bitte begründen) und zu welcher Bewertung kam der BfDI? (BT Drucksache 19/32661, Frage 5)

Antwort der Staatsministerin Dorothee Bär vom 7. Oktober 2021

Es gibt mit dem BfDI regelmäßig Austausche zu dem Ökosystem Digitaler Identitäten und der Funktionsweise aller Komponenten (einschließlich der ID Wallet) im Zusammenspiel, an denen in wechselnder Besetzung Mitarbeitende aus BKAmt, BMF und IBM teilgenommen haben. Dabei ist im Rahmen des übergeordneten Projekts „sichere digitale Identitäten“ der BfDI mit dem Ökosystem einschließlich der ID Wallet befasst; dies ist ein fortlaufender Prozess, bei dem der BfDI die projektverantwortliche Bundesregierung auf ihren Wunsch berät. Der BfDI als oberste Bundesbehörde bietet keine Prüfung oder Zertifizierung isolierter Apps an, insbesondere nicht von privaten Herausgebern.

Frage

Kann die Bundesregierung ausschließen, dass von der Bundeswehr gesammelte biometrische Daten von afghanischen Staatsangehörigen den Taliban in die Hände fielen (vgl. www.heise.de/news/Afghanistan-Biometrie-Geraete-und-Datenbanken-von-Taliban-erbeutet-6168158.html), und in welcher Weise hat die Bundeswehr im Zusammenhang mit dem Ende des ISAF Einsatzes sichergestellt, dass der Passus im Memorandum of Understanding zwischen der Bundeswehr und dem US-Militär zur Sammlung und Verarbeitung biometrischer Daten in Afghanistan (siehe Bundestagsdrucksache 17/6862) umgesetzt wird, in dem eine Löschung aller von der Bundeswehr gesammelten Daten vereinbart ist, sobald der ISAF-Einsatz endet? (BT Drucksache 19/32251, Frage 86)

Antwort des Parlamentarischen Staatssekretärs Thomas Silberhorn vom 3. September 2021

Die Bundesregierung arbeitet mit anderen, insbesondere verbündeten, Staaten auf Grundlage des Grundsatzes gegenseitigen Vertrauens zusammen. Ihr liegen keine Anhaltspunkte dafür vor, dass die Löschung der Daten entsprechend der gegenseitigen Vereinbarung nicht erfolgt ist. Daher wird davon ausgegangen, dass die Löschung der von der Bundeswehr an das Hauptquartier übermittelten und im Automated Biometric Identification System (ABIS) gespeicherten Daten erfolgt ist. In der Vereinbarung wurde darüber hinaus festgelegt, dass die USA die Daten gegen unberechtigte Zugriffe sichert.

Frage

Bis wann hat sich die Bundeswehr an der Erfassung biometrischer Daten von afghanischen Staatsangehörigen und ihrer Weiterleitung an das US-Militär beteiligt (siehe Bundestagsdrucksache 17/6862), und wie viele biometrische Daten von sogenannten „Ortskräften“ (z. B. afghanischen Mitarbeiterinnen und Mitarbeitern und Unterstützerinnen und Unterstützern von militärischen Kräften und diplomatischem Dienst) wurden dabei erfasst und an das US-Militär weitergeleitet? (BT Drucksache 19/32251, Frage 85)

Antwort des Parlamentarischen Staatssekretärs Thomas Silberhorn vom 3. September 2021

Biometrische Daten konnten von Bundeswehrangehörigen auf der Grundlage der Mandate des Deutschen Bundestages und im Rahmen der dazu ergangenen Einsatz- und Verfahrensregeln bis zum Einsatzende Resolute Support gesammelt und an das Hauptquartier weitergeleitet werden. Die Anzahl der erfassten biometrischen Daten und inwieweit diese Daten aus dem Hauptquartier weitergegeben wurden, kann nicht nachgehalten werden, da diese Daten statistisch nicht erfasst wurden.

Frage

Welche Funklöcher sind bisher konkret mit Zutun der MIG geschlossen worden (bitte für jedes Funkloch entweder die ungefähren geografischen Koordinaten oder ersatzweise die nächstgelegene Ortschaft mit Postleitzahl nennen), und bei wie vielen weiteren Funklöchern geht die MIG davon aus, dass sie mit ihrer Zuarbeit noch in diesem Jahr geschlossen werden können? (BT-Drucksache 19/32038, Frage 65)

Antwort des Parlamentarischen Staatssekretärs Steffen Bilger (BMVI) vom 19. August 2021

Zur Vorbereitung von Förderverfahren hat die MIG seit Mai 2021 insgesamt 71 potentielle Fördergebiete im Rahmen von Markterkundungsverfahren veröffentlicht. Die geografische Lage dieser Gebiete ist auf einer Karte dargestellt (abrufbar unter: www.netzda-mig.de/markterkundung).Ein potentielles Fördergebiet umfasst teilweise mehrere Versorgungslücken, welche geografisch sehr nah beieinanderliegen, sodass eine gemeinsame Versorgung möglich ist. Für 51 potentielle Fördergebiete sind Markterkundungsverfahren bereits abgeschlossen. In einigen Fällen wurden bereits konkrete Maststandorte identifiziert. Die MIG wird erste Förderverfahren schnellstmöglich abschließend.

Frage

Wie viele von wie vielen insgesamt geplanten Stellen der Mobilfunkinfrastrukturgesellschaft sind aktuell besetzt (bitte nach Organisationseinheiten aufschlüsseln), und welche Meilensteine gibt es bis zur vollständigen Besetzung (also wann sollen welche Organisationseinheiten z. B. zu 50, 75 und zu 100 Prozent besetzt sein)? (BT-Drucksache 19/32038, Frage 64)

Antwort des Parlamentarischen Staatssekretärs Steffen Bilger (BMVI) vom 19. August 2021

Die Mobilfunkinfrastrukturgesellschaft mbH (MIG) hat im Juni 2021Stellenanzeigen für sieben Leitungspositionen sowie mehr als 33 Fachfunktionen veröffentlicht (u. a. abrufbar unter: www.netzda-mig.de/karriere). Auf diese Stellenanzeigen sind mit Stand vom 13. August 2021mehr als 590 Bewerbungen eingegangen. Alle Stellen werden schnellst-möglich mit geeigneten Bewerbern besetzt. Neben den zwei besetzten Stellen in der Geschäftsführung hat die MIG sieben Stellen besetzt, da-von vier im Bereich „Fördermittelmanagement“, eine im Bereich „Recht/Datenschutz/Compliance“, eine im Bereich „Finanzen/CorporateOffice“ und eine im Bereich „Netzdokumentation/Netzplanung“.

Parallel wird die MIG weiterhin personell von ihrer Muttergesellschaft Toll Collect GmbH (TC) unterstützt. Die Unterstützung setzt den mit Gründung der MIG als Tochter der TC verfolgten Grundgedanken um, dass die MIG synergetisch von bei der TC als Muttergesellschaft bereits vorhandenem rechtlichem, betriebswirtschaftlichem und technischem Sachverstand zeit- und aufwandssparend profitieren kann. Das beschleunigt nicht nur den Unternehmensaufbau, sondern versetzt die MIG in die Lage, sich voll auf ihre Kernaufgaben, wie den Mobilfunknetzausbau und den Aufbau des zentralen GIS-Tools zu konzentrieren.

Frage

Wofür genau und welche Kosten entstanden den Bundesministerien und dem Bundeskanzleramt (inkl. nachgelagerte Behörden) in dieser Legislatur im Zusammenhang mit Gerichtsprozessen aufgrund abgelehnter IFG-Anfragen und/oder allgemein wegen Veröffentlichungen, bei denen die Bundesregierung und ihre Behörden eigene oder Rechte Dritter verletzt sah, z. B. das Urheberrecht, den Datenschutz, Betriebs- und Geschäftsgeheimnisse Dritter etc. (bitte unter Angabe des Aktenzeichens, des Klägers, der strittigen Rechtsnorm und des Verfahrensstandes sowie Höhe der je Fall angefallenen jeweiligen (Einzel-)Kostenpositionen und Auflistung ihres konkreten Verwendungszwecks)? (BT-Drucksache 19/31996, Frage 48)

Antwort des Parlamentarischen Staatssekretärs Christian Lange (BMJV) vom 10. August 2021

Bezüglich der entstandenen Kosten von Gerichtsprozessen und der Klagegründe im Zusammenhang mit abgelehnten IFG-Anfragen und/oder Veröffentlichungen, bei denen die Bundesregierung oder ihre Behörden eigene oder Rechte Dritter verletzt sahen, werden leider keine Statistiken vorgehalten. Sofern eine Erhebung und Auswertung dieser umfangreichen Datensätze überhaupt möglich wäre, würde sie einen so erheblichen Aufwand erfordern, dass sie in überschaubarer Zeit nicht umsetzbar ist.

Frage

Wie genau begründet die Bundesregierung den nach Kenntnis der Fragestellerin erfolgten Verzicht des BfR auf weitere Rechtsmittel im Rechtsstreit mit dem MDR bezüglich eines Glyphosat-Gutachtens des Bundesinstitutes für Risikobewertung (siehe www.justiz.nrw.de/nrwe/olgs/koeln/j2021/6_U_105_20_Urteil_20210219.html), und welche weiteren Kosten sind in jenem Rechtsstreit seit meiner letzten Schriftlichen Frage danach angefallen (siehe letzte Anfrage dazu: Bundestagsdrucksache 19/4421, Frage 107; vgl. https://netzpolitik.org/2018/zensurheberrecht-bundesamt-gab-80-000-euro-gegen-glyphosat-berichterstattung-aus/; bitte nach Datum, Empfänger und Anlass der Ausgabe aufschlüsseln)? (BT-Drucksache 19/31996, Frage 72)

Antwort des Parlamentarischen Staatssekretärs Hans-Joachim Fuchtel (BMEL) vom 9. August 2021

Bei der Beurteilung der Zweckmäßigkeit der Informations- und Publikationsstrategie sowie Geltendmachung von Urheberrechtsverstößen in seinem oben genannten Tätigkeitsgebiet ist das Bundesinstitut für Risikobewertung (BfR) weisungsunabhängig.

Nach dessen Auskunft beruht der Verzicht auf die Einlegung einer Nichtzulassungsbeschwerde auf einer Gesamtabwägung aller hierfür einschlägigen Gesichtspunkte nach anwaltlicher Beratung.

Seit der Beantwortung der Schriftlichen Frage 107 auf Bundestagsdrucksache 19/4421 sind im betreffenden Rechtsstreit nach Auskunft des BfR Kosten in Höhe von insgesamt 73.764,41 Euro angefallen.

Frage

Wie ist der aktuelle Sachstand (einschließlich gegebenenfalls aktualisierter Zeitplan) zur Schaffung der Voraussetzungen (rechtlich wie auch technisch) für die „Modernisierung des Verkündungswesens“ (siehe www.bundesregierung.de/breg-de/themen/einfuehrung-der-elektronischen-verkuendung-von-gesetzen-und-verordnungen-des-bundes-1587586), und was sind die Ursachen für möglicherweise aufgetretene Verzögerungen gegenüber dem Zeitplan von Juni 2020 („Bis Juli 2020: Schaffung der rechtlichen Voraussetzungen. (laufend) – Bis September 2021: Beschaffung und Entwicklung einer IT-Lösung. (laufend) – Januar 2022: Inbetriebnahme der elektronischen Verkündung. (in Planung)“; vgl. www.bundesregierung.de/breg-de/themen/einfuehrung-der-elektronischen-verkuendung-von-gesetzen-und-verordnungen-des-bundes-1587586; siehe auch Bundestagsdrucksache 19/15819; bitte die konkreten Probleme im zeitlichen Ablauf darstellen)? (BT-Drucksache 19/31818, Frage 51)

Antwort des Parlamentarischen Staatssekretärs Christian Lange (BMJV) vom 28. Juli 2021

Eine Anpassung der Projektplanung sowie der Projektzeitplanung war gegenüber dem genannten Zeitplan vom Juni 2020 erforderlich. Der aktuelle Zeitplan lautet zusammengefasst wie folgt:

Bis Dezember 2022: Schaffung der rechtlichen Voraussetzungen sowie Entwicklung und Bereitstellung einer Verkündungsplattform (Umsetzungsstufe 1, Inbetriebnahme Januar 2023 statt bisher Januar 2022);
parallel hierzu Entwicklung und Bereitstellung einer Fachapplikation (Umsetzungsstufe 2, Daten in Überarbeitung befindlich).

Die Verzögerungen in der Zeitplanung sind in der Veränderung der ursprünglichen Projektablaufplanung begründet. Es wurde notwendig, die Umsetzung für den Wirkbetrieb 0 des Projektes „Einführung der elektronischen Verkündung von Gesetzen und Verordnungen des Bundes (E-Verkündung)“ in 2 Stufen zu planen. Anlass für diese Anpassung war insbesondere, dass der Betriebsdienstleister Mitte 2020 kurzfristig mitgeteilt hatte, den Betrieb aufgrund eines sehr langen Bearbeitungsvorlaufs nur für die Verkündungsplattform planmäßig aufnehmen zu können.

Zudem bat das für die Verkündung zukünftig zuständige Bundesamt für Justiz dringend darum, den Test- und auch den Wirkbetrieb für die Verkündungsplattform weiter nach hinten zu schieben, da am Ende der Legislaturperiode absehbar eine erhebliche Belastungsspitze mit vielen und zum Teil eiligen Verkündungen zu bewältigen sein wird und in dieser Zeit die Personalkapazitäten nicht zusätzlich mit dem Start des Testbetriebs und den organisatorischen Vorbereitungsarbeiten für den Wirkbetrieb belastet werden sollten, um die originären Aufgaben bewältigen zu können. Deshalb erscheint der Start der neuen Verkündungsplattform zu Beginn des Jahres 2023 sachgerecht. Damit wäre die erste Stufe des Projektes umgesetzt und die Bürgerinnen und Bürger können ab diesem Zeitpunkt kostenfrei die Plattform nutzen.

Die zweite Stufe – die Digitalisierung der Prozessabschnitte nach der Verabschiedung bis zur Verkündung – erfordert eine komplexe Softwareentwicklung. Die ersten Überlegungen zur Nutzung einer Standardsoftware haben zu keinem umsetzbaren Ergebnis geführt. Deshalb muss insoweit durch einen neuen Dienstleister die vorhandene Sollkonzeption
umgesetzt werden.

Diese Verzögerungen im Projektablauf ziehen eine Verschiebung des bereits erarbeiteten neuen Gesetzes zur Verkündung von Gesetzen und Rechtsverordnungen des Bundes sowie der damit verbundenen Grundgesetzänderung nach sich. Denn es erscheint nicht angemessen, abstrakt die rechtliche Möglichkeit einer elektronischen Verkündung zu regeln, ohne die konkrete technische Umsetzung präsentieren zu können. Die Gesetzentwürfe sollen in der 20. Legislaturperiode zeitnah eingebracht werden, damit die rechtlichen Voraussetzungen für den Wirkbetrieb der Verkündungsplattform im Jahr 2022 geschaffen werden.