Archiv der Kategorie: eBürokratie

Bonpflicht als Chance

Die Bäcker jammern: Ab Januar 2020 müssen sie zu jedem Einkauf einen Kassenbon erstellen (und zugleich ihre Kassen mit einer manipulationssicheren Protokollierung ausstatten). Das Bundesfinanzministerium antwortet mit dem Hinweis, dieser Pflicht können auch mit der Ausgabe elektronischer Belegen Genüge tun, woraufhin Medien von Lösungen per E-Mail oder Smartphone phantasieren. Dabei könnte alles sehr einfach sein.

Selbst das traditionelle Bäckerhandwerk entdeckt ganz, ganz langsam das elektrische Bezahlen. Das funktioniert heute kontaktlos und bei kleinen Beträgen ohne PIN-Eingabe. Kunden bekommen den zu zahlenden Betrag angezeigt, halten ihre Karte ans Terminal und finden später einen Nachweis auf ihrem Kontoauszug oder ihrer Kreditkartenabrechnung beziehungsweise in den entsprechenden Funktionen ihrer Online-Bank.

In dieses Verfahren ließen sich elektrische Kassenzettel gut integrieren. Aus Nutzersicht handelt es sich um eine detailliertere Version des Verwendungszwecks, der ohnehin übermittelt und angezeigt wird. Eines Tages könnten die für den Zahlungsverkehr eingesetzten Protokolle solch eine Funktion direkt unterstützen. Gegenwärtig tun sie dies vermutlich nicht und Standardisierungsbemühungen in der Finanzwirtschaft dürften etwas länger dauern.

Bis dahin könnte man sich mit einem Verfahren behelfen, das sich aktuelle Versionen des elektronischen Rezepts zum Vorbild nimmt. Bei allen Kartenzahlungen kämen die digitalen Kassenzettel dann in einen Cloudservice, der sie für eine gewisse Zeit, etwa sechs Monate, zum Abruf vorhielte. Käufer erhielten via Abrechnung zu jedem digitalen Kassenbon eine eindeutige, praktisch nicht erratbare Referenznummer, mit der sie ihn aus der Cloud abrufen könnten. Optional könnte man die Kassenbondaten sogar verschlüsseln (dann dürfte man jedoch zum Abruf nicht denselben Schlüssel verwenden wie zum Entschlüsseln).

Als MVP bekämen man also bei Kartenzahlung in der Abrechnung eine Zahlenkolonne zu sehen, mit der wir den Kassenbon abrufen könnten. Mit etwas gutem Willen und nach einigen Jahren Beratung in  verschiedenen Gremien könnte daraus eine Funktion im Online-Banking werden, mit der sich zu jeder Zahlung der zugehörige Kassenzettel abrufen ließe, wahlweise direkt aus der Cloud während der vorgesehenen Speicherdauer dort oder auf Wunsch aus einem automatisch geführten persönlichen Archiv mit selbst gewählter Speicherdauer und nützlichen Verwaltungsfunktionen zum Beispiel zur Erstellung von Steuererklärungen.

So ungefähr dächten wir über dieses Thema nach, wären wir digital auf der Höhe der Zeit. Wir sind es nicht und zahlen bei vielen Bäckern noch bar. Dazu passt der Bon auf Papier.

PS: Einen Monat später sehen das andere ähnlich. (2019-12-17)

PPS: Weitere anderthalb Monate später diskutiert Deutschland weiter über Kassenbons und zunehmend über digitale Lösungen. (2020-01-29)

PPPS: Das Handelsblatt hat herausgefunden, dass die Bonpflicht zu einem Innovationsschub im Handel führt. (2020-01-30)

Digitaler Amtsschimmel

In Deutschland zählt der Beamte traditionell mehr als die Bürgerin, die ihm gegenübersitzt. Einige deutsche Staaten nutzten das mehr aus als andere und gegenwärtig haben wir es vergleichsweise gut, doch ganz gelegt hat sich diese Haltung nie und auch das Internet bleibt davon nicht verschont. Als die Öffentlichkeit in den 1990er Jahren das Internet entdeckte, beschäftigten wir uns erst einmal langwierig mit der Frage, wie rechtsgültige digitale Unterschriften auszusehen hätten. Sie seien Voraussetzung für einen sicheren E-Commerce, hieß es damals. Währenddessen legten andere die Grundsteine für Imperien wie Amazon und Google, neben denen sich unsere Digitalwirtschaft heute klein und hässlich ausnimmt.

Ein Vierteljahrhundert später lässt sich der Misserfolg unserer Strategie kaum leugnen. Einstige Leuchttürme der E-Bürokratie wie die Gesundheitstelematik, der  Personalausweis fürs Internet oder der elektrische Postkutscher DE-Mail mit seinem staubigen Logo stehen als Investitionsruinen im Cyber- und Informationsraum. Doch wir wären nicht die Deutschen, verteidigten wir unsere Bürokratie nicht gegen jede Vernunft verbissen bis in den Untergang.

So kommt das E-Government auch deshalb nicht voran, weil es sich zuerst an den Bedürfnissen der Verwaltung statt an jenen der Bürgerinnen und Bürger orientiert. Nicht Usability und einfacher Zugang für alle stehen im Vordergrund, sondern eGovernment-Dienste sollen in erster Linie der Totgeburt Personalausweis endlich Leben einhauchen. Noch im Jahr 2019 stellt eine sogenannte Digitalstadt – diesen Titel verlieh der Branchenverband Bitkom – stolz ein Serviceterminal vor, das Bürger mit ihrem Personalausweis nutzen können, nachdem sie sich ins Bürger- und Ordnungsamt verfügt haben. Selbst in echten Online-Diensten wie der endlich langsam ins Rollen kommenden Neuwagenzulassung übers Internet macht man den Personalausweis weiter zur Sollbruchstelle.

Bliebe die Vorstellung, Bürgerinnen und Bürger hätten der Bürokratie zu dienen, in den Amtsstuben eingeschlossen, könnte man darüber hinweglächeln. Doch Rechtsvorschriften tragen sie in die Wirtschaft und in unseren Alltag. Hochbezahlte Spezialisten überlegen sich zu Beispiel, wie eine rechtskonforme Kundenlegitimation zur Eröffnung eines Bankkontos oder bei einem Kreditantrag aussehen könne, und die Beschreibung ihrer Lösung liest sich wie eine der Jagd nach dem Passierschein A38. Stolz verweist man darauf, eine Gesetzesänderung habe alles vereinfacht: Immerhin benötige man jetzt keine qualifizierte elektronische Signatur in der Tradition des Signaturgesetzes von 1997 mehr, welche sich in der Breite ebensowenig durchsetzen konnte wie später die eID-Funktion des Personalausweises.

Nutzerorientierte Pragmatiker dächten sich an dieser Stelle vielleicht ungefähr folgendes Verfahren aus: Verlässlich identifiziert werden Bankkunden mit Hilfe Ihres Smartphones und mit Unterstützung ihres Mobilfunkanbieters, der ohnehin Kundenidentitäten vorratsdatenspeichern muss. Alternativ oder zusätzlich kommen bestehende Bankkonten sowie Schufa-Daten als Identitätsquelle in Frage, wie sie zum Beispiel Sofort Ident verwendet. Die Verrenkungen zur Produktion einer digitalen Signatur mit dem Ausweis aber ohne dessen Signaturfunktion könnte man durch ein nutzerfreundliches Protokoll ersetzen. Zum Beispiel könnte die Bank ihren Neukunden die Vertragsunterlagen mit einem integrierten Transaktionscode in Form einer TAN oder eines QR-Codes zuschicken und die Kundinnen und Kunden den Inhalt mit diesem Code bestätigen.

Dem stehen jedoch unnötig rigide Vorschriften im Wege, geprägt von einer langen Tradition der Papiere und Aktendeckel statt von Apps, APIs und Websites, verfasst von alten Männer mit Kugelschreibern statt von jungen Menschen, die etwas vom Internet verstehen. Bis sich daran etwas ändert, werden wir weiter darüber sinnieren, warum die Digitalisierung unaufhaltsam voranschreitet und uns dabei immer wieder abgeschlagen zurücklässt. Vielen scheint das ganz recht zu sein.

Die alten Männer mit Kugelschreibern wissen übrigens viel besser, was sie da tun, als es vielleicht den Anschein hat. Sobald nämlich dem Staat Geld winkt, sind die eben noch so wichtigen Anforderungen auf der Stelle vergessen: Unsere Steuererklärung abgeben und Lotto spielen dürfen wir ohne Ausweis und Unterschrift.

R.I.P.: Die rechtsverbindliche digitale Signatur (Teil 4)

[Teil 1Teil 2Teil 3 – Teil 4]

Einst galt das Rechtskonstrukt der digitalen Signatur als Schritt in die Zukunft. Inzwischen haben selbst unsere Bürokraten verstanden, dass die einfache Übertragung althergebrachter Konzepte in die digitale Welt der Entwicklung benutzergerechter Lösungen im Wege steht:

»Das Bundesministerium für Wirtschaft und Technologie und das Bundesministerium für Arbeit und Soziales haben sich nach eingehender Überprüfung des ELENA-Verfahrens darauf verständigt, das Verfahren schnellstmöglich einzustellen.

Grund ist die fehlende Verbreitung der qualifizierten elektronischen Signatur. (…)«

(Gemeinsame Pressemitteilung des Bundesministeriums für Wirtschaft und Technologie und des Bundesministeriums für Arbeit und Soziales,
via Netzpolitik)

Das war ein langer, schmerzhafter  Erkenntnisprozess (vgl. Teil 1, Teil 2, Teil 3). Vielleicht versuchen wir in Zukunft mal, Sicherheitstechnik um Anwendungen herum zu konstruieren und nicht Anwendungen um ein Stück Sicherheitstechnik plus Rechtskonstrukt. Es kommt nämlich nicht auf formale Compliance an, sondern darum, dass eine Anwendung funktioniert, nützlich ist und dabei in der Praxis keine Unfälle passieren.

 

R.I.P.: Die rechtsverbindliche digitale Signatur (Teil 3)

[Teil 1Teil 2 – Teil 3 – Teil 4]

Während man beim SmartCard-Workshop die üblichen Visionsschablonen ausmalt, holt die EU-Kommission aus, der rechtsverbindlichen digitalen Signatur einen weiteren Sargnagel einzuschlagen. Wie der Heise-Ticker meldet, möchte die EU-Kommission die Rechnungssignatur kippen.

Die Rechnungssignatur ist eine Regelung aus dem Umsatzsteuerrecht und eine der wenigen realen Anwendungen für rechtsverbindliche Signaturen. Nicht dass man sie technisch brauchte, aber sie ist vorgeschrieben: zum Vorsteuerabzug dürfen elektronische Rechnungen nur verwendet werden, wenn sie digital signiert sind. Entgegen aller großen Hoffnungen hat sich die digitale Signatur als Rechtskonstrukt bislang fast nur in solchen Zwangsanwendungen durchgesetzt. Wer die freie Wahl hat, benutzt sie normalerweise nicht, denn sie ist umständlich und schafft dem Anwender vor allem Nachteile.

Das hat nun auch die EU-Kommission erkannt und festgestellt, dass die zugrundeliegende Richtlinie – die im deutschen Recht verschärft wurde – die Verbreitung elektronischer Rechnungen behindert hat. Dass man mit formaler Sicherheitstechnik die Verbreitung von irgend etwas fördern könnte, wie es die Visionäre gerne unterstellen, ist vielleicht nichts als ein Traum.

PS.: Die Bundesregierung hat gerade die Signaturpleite der nächsten Generation beschlossen. Bürgerportal und De-Mail heißen die Stichworte und über einen späteren Anschlusszwang wird bereits spekuliert.

R.I.P.: Die rechtsverbindliche digitale Signatur (Teil 2)

[Teil 1 – Teil 2 – Teil 3Teil 4]

Ich hatte vor einem halben Jahr bereits verhalten gejubelt. Anlass war damals die Meldung, dass Kommunen in ihren eVerwaltungs-Angeboten auf den Zwang zur digitalen Signatur verzichten wollen, damit die Bürger diese Dienste auch nutzen. Jetzt fragt Sascha Kremer in seinem Blog rhetorisch: »Qualifizierte Signaturen: zum Scheitern verurteilt?« und weist sogleich auf das für Juristen offensichtlichste Problem dieser Technik hin:

»Tatsächlich schafft der Verbraucher mit der via qualifizierter elektronischer Signatur sicheren und vielleicht sogar verschlüsselten elektronischen Kommunikation zunächst einmal einen Beweistatbestand gegen sich selbst. Und genau das ist es, woran der Verbraucher weder im E-Commerce noch im Web 2.0 Interesse hat.«

Mein Reden seit Jahren und übrigens exakt der Grund, aus dem ich höchst selten E-Mail signiere. Der Rest seines Textes ist auch äußerst lesenswert, eine knappe, aber gute Analyse der Situation. R.I.P.: Die rechtsverbindliche digitale Signatur (Teil 2) weiterlesen

R.I.P.: Die rechtsverbindliche digitale Signatur

[Teil 1 – Teil 2Teil 3Teil 4]

Kluge Menschen wussten es schon vor Jahren, jetzt ist es amtlich: die rechtsverbindliche digitale Signatur ist tot. Heise berichtet:

Jede vierte Kommune will ihre Verwaltungsvorgänge entsprechend anpassen, sodass man zukünftig etwa Personalausweise oder Pässe elektronisch beantragen kann. Um die Hemmschwelle bei den Bürgern zu senken und die Nutzung zu erleichtern, wollen die Kommunen auf den Zwang zur digitalen Signatur verzichten. Ein Teil von ihnen plant weitere Service-Angebote per E-Mail, zum Beispiel das Beantragen von Beglaubigungen oder Führungszeugnissen, Gewerbe- und KfZ-Anmeldungen sowie Vorgänge zur Abfallwirtschaft.

(Hervorhebungen von mir.)

Wenn selbst die Leute vom Amt vernünftig werden und statt aufgeblasener Technikwichserei lieber etwas nehmen, das funktioniert, dann können wir das Thema getrost abhaken.

Mir passt diese Meldung vorzüglich in meinen Vortrag auf dem CAST-Workshop heute. Geplant ist ein Rundumschlag, der noch etwas weiter reicht. Ich halte den Begriff der Identität in der IT-Sicherheit für überschätzt und damit alles, was mit dem Begriff zusammenhängt: Identitätsdiebstahl, Authentisierung und so weiter. »On the Internet, nobody knows you’re a dog«, das wissen wir schon seit 1993. Langsam begreifen wir auch, dass wir das nicht ändern können, sondern damit leben müssen.

Update: Detlef Borchers berichtet auf heise.de über den CAST-Workshop.