E-Identität als Schlüssel zu den Dienstleistungen des digitalen Archivs

Zbyšek Stodůlka

In der heutigen Informationsgesellschaft müssen die Archive neuen Herausforderungen standhalten. Die Veröffentlichung der Findmittel und meistbenutzten digitalisierten Quellen ist angesichts der Menge der gespeicherten Archivalien nicht mehr als die Spitze des Eisberges. In der digitalen Welt, die heute mehr denn je gesellschaftliche Interaktion beinhaltet, stehen die Archive wegen der Bedingung des Präsenzstudiums der Archivalien in der Konkurrenz mit anderen Gedächtnisinstitutionen in einer sehr ungünstigen Stellung.

Die deutsche Bibliothekarin Ute Schwens fasste das Benutzerverhalten bei der Deutschen Digitalen Bibliothek prägnant als Trennung der Spreu von Weizen zusammen: Die Benutzer (besonders diejenigen der jüngeren Generation) ziehen die Daten mit digitalen Objekten bei ihrer Forschung vor.[1] Mit vielen Ausnahmen und Spezifika ist die Nutzung der Archivalien in europäischen Archiven in der Regel möglich, wenn sie älter als 30 Jahre sind, mit spezifischen Regelungen für Archivalien mit personenbezogenen Daten, Urheberrechtsbedingungen u.a. Es gibt also eine Menge rechtliche und technische Hindernisse, die den Fernzugriff bei der Benutzung ausschließen. Auf der anderen Seite ist es die Aufgabe der Archive, die sich verändernden Kommunikationstechniken für den Zugang zu den Archivalien proaktiv auszunutzen.[2]

Mit der weiteren Entwicklung des digitalen Archivs im Prager Nationalarchiv entwickelte sich 2016 die Debatte, wie wir die angenommene e-IDAS-Verordnung für die archivischen Zwecke anpassen können. In der tschechischen öffentlichen Verwaltung ist für die Implementierung dieser Verordnung das Ministerium des Inneren zuständig.[3]

Das Ziel dieser Verordnung ist die Überwindung verschiedener Hindernisse bei der elektronischen Kommunikation und dadurch die Unterstützung der digitalen Wirtschaft. Artikel 1 dieser Verordnung betont: «Die wirtschaftliche und soziale Entwicklung setzt Vertrauen in das Online-Umfeld voraus. Mangelndes Vertrauen führt dazu, dass Verbraucher, Unternehmen und öffentliche Verwaltungen nur zögerlich elektronische Transaktionen durchführen oder neue Dienste einführen bzw. nutzen, vor allem, wenn sie die Befürchtung hegen, dass es an Rechtssicherheit mangelt.»

Diese Verordnung setzt die Entstehung neuer Dienstleistungen nicht nur im kommerziellen Sektor, sondern auch beim Angebot von der Seite der öffentlichen Verwaltung, voraus. Aus diesem Grund legt sie das Fundament für eine europäisch verbindende Infrastruktur mit garantierten Vertrauensdiensten, wie aus Artikel 9 sichtbar ist: «In der Regel können Bürger ihre elektronischen Identifizierungsmittel nicht verwenden, um sich in einem anderen Mitgliedstaat zu authentifizieren, weil die nationalen elektronischen Identifizierungssysteme ihres Landes in anderen Mitgliedstaaten nicht anerkannt werden. Aufgrund dieses elektronischen Hindernisses können Diensteanbieter die Vorteile des Binnenmarktes nicht vollständig ausschöpfen. Gegenseitig anerkannte elektronische Identifizierungsmittel werden die grenzüberschreitende Erbringung zahlreicher Dienstleistungen im Binnenmarkt erleichtern, und Unternehmen können grenzüberschreitend tätig werden, ohne beim Zusammenwirken mit öffentlichen Verwaltungen auf viele Hindernisse zu stoßen.» Neben der Zertifizierung verschiedener Vertrauensdienste ist dabei die Schaffung einer anerkannten elektronischen Identität durch eine Nationale Identitätsautorität (NIA) zentral.

Zur Benutzung einer Dienstleistung mit Authentisierung (z.B. Behörde, später Banken, Versicherungsanstalten, Netzanbieter usw.) stellt der Benutzer zunächst ein Gesuch um Authentisierung an die NIA, worauf ihm diese die Liste der Identitätsbetreiber gemäß dem Sicherheitsniveau der Dienstleistung übermittelt.[4] Nach der Authentisierung übergibt der Identitätsbetreiber der NIA das Ergebnis, und die NIA kann dem Dienstleistungsbetreiber die Identität bestimmen, auch mit verifizierten Angeben über den Benutzer. Für die grenzüberschreitende Authentifizierung wird das Sicherheitsniveau «substantiell» oder «hoch» verlangt.[5]

Strategisch erwartet man bei der öffentlichen Verwaltung im maximalen Maß die Digitalisierung der Dienstleistungen, die der Öffentlichkeit angeboten werden, weiter ihre wesentliche Vereinfachung, Beschleunigung, höhere Effizienz und einen Qualitätsanstieg.

Die Lösung verlangt Anpassungen nicht nur auf der zentralen, sondern auch auf niedrigeren Verwaltungsebenen. Mitte 2017 werden in der Tschechischen Republik die Novellierung des Gesetzes über Personalausweise und die Annahme des Gesetzes über die elektronische Identifizierung erwartet. Der neue Personalausweis enthält zwingend ein elektronisches Zertifikat. Dieser dient erstens zum elektronischen Signieren und zweitens für den ganzen Bereich des Identitätsmanagements. Die Authentifizierung mit dem neuen Personalausweis in Verbindung mit der NIA bürgt für das höchste Sicherheitsniveau, und die Dienstleistung bekommt aktuelle Angaben über den Benutzer, die sie z.B. zur Hilfe beim Ausfüllen der Formulare ausnutzen kann.

Seit 2016 benötigt jedes IT-Projekt der öffentlichen Verwaltung, dessen Kosten für den Erwerb mehr als 200.000 € oder für den fünfjährigen Betrieb mehr als 1.100.000 € betragen, schon im Stadium der Architekturplanung eine Genehmigung des eGovernment-Hauptarchitekts im Innenmisterium. Der Schwerpunkt liegt dabei auf dem Einsatz von e-Government-Dienstleistungen; gefordert wird in der Regel eine gesicherte Verbindung zu Registern für Personen (physische und juristische) einerseits und zu Registern der Rechte und Aufgaben anderseits (mit einheitlichem Identitätsraum der öffentliche Verwaltung, sog. JIP/KAAS).

Eines der zentralen Themen des digitalen Archivs ist die Identifizierung und Authentifizierung des Benutzers, der oft in mehreren Rollen (z.B. Vertreter der Provenienzstelle und Nutzer) auftreten kann. Schon produktive Lösungen kann man zum Beispiel in Estland oder beim elektronischen Archiv der Slowakei finden. Beim Zutritt zu letzterem verwendet der Benutzer seine eID nicht nur zur Unterscheidung, in welcher Rolle er beim Portal auftritt (Bürger oder Beamte/Archivar mit Mandat-Zertifikat), sondern sie beschränkt auch die Tätigkeit nach der spezifischen Institution und Arbeitsaufgabe (z.B. Bewertung, Nutzen usw.).[6]

Abbildung 1: Screenshot Elektronisches Archiv der Slowakei

 

 

Abbildung 2: Infrastruktur des Einheitlichen Identitätsraums

Beim Antrag für die Refinanzierung des Projektes des digitalen Archivs bis zum Jahr 2020 mussten wir Anforderungen abstimmen und diese Identitätsmanagementinfrastruktur anschließen. Leitmotive sind dabei in erster Linie, Prozesse zu automatisieren, wiederholte Eingabe der Angaben zu verhindern und unsere auch per zentrales elektronisches Portal (wo der Bürger sich einloggen muss) angebotenen intelligenten Formulare, z.B. Forschungsbogen, auszunutzen. Die Modularität unserer Architektur ermöglicht eine relativ einfache Modifikation der einzelnen Anforderungen.

Unser Digitales Archiv bietet seine Dienstleistungen über das Archivportal an. Zur Authentifizierung von Mitarbeitenden der öffentlichen Verwaltung möchten wir die Infrastruktur des Einheitlichen Identitätsraums, des sogenannten JIP/KAAS ausnutzen, weil dort die Beamten und ihre Tätigkeiten durch die gesetzlichen Rollen definiert sind.

 

Für den Nutzer planen wir drei Möglichkeiten:

–   Identifikation im entsprechenden Archiv oder in einem anderen Archiv. Wenn die Identität überprüft ist, kann der Nutzer die Archivalien in digitaler Form nutzen, auch durch Fernzugriff mit Angaben zum Login zum Archivportal.

–   Möglichkeit, ein Gesuch bei einer öffentlichen Kontaktstelle der Verwaltung zu stellen (CzechPoint, z.B. beim Postamt). Nach Ausfüllung des Formulars (z.B. Forschungsbogen) bekommt man Angaben zum Login.

–   Ein EU Bürger kann auch seine perssönliche elektronische Identität nutzen. Das Archivportal bekommt dabei die Angaben durch die Anmeldung des Bürgers am sogenannten Portal des Bürgers.

 

 

Abbildung 3: Identifikationsmöglichkeiten

Die Datenverknüpfung bringt hoffentlich geringere Kosten, bessere Garantie für die Richtigkeit der Informationen und ein höheres Maß an Sicherheit. Positiv ist ebenfalls, dass sich mit der Weiterentwicklung des Identitätsmanagement auch die Dienstleistungen von DMS/VBS in der öffentlichen Verwaltung weiter verbreiten, z.B. bei der Benutzung durch die Beamten vor Ort in der Behörde. Für diejenigen, die sich nicht in diesen verschiedenen Identitätsräumen befinden (z.B. nicht EU-Bürger), ist weiterhin die traditionelle Lösung möglich, der Besuch im Archiv.

In rechtlicher Hinsicht ermöglicht seit 2012 das Archivgesetz Nr. 499/2004 in § 34 Abs. 6 die Nutzung mit Fernzugriff: Die Benutzung der Archivalien in digitaler Form erfolgt mittels des Nationalportals oder der Portale der digitalen Archive. Entgegen der Befürchtung, dass die Archive beispielsweise bei missbräuchlicher Benutzung von Archivalien, die unter Datenschutz stehen, verantwortlich gemacht würden, kam den Archiven das Verfassungsgericht zu Hilfe. Im Urteil von 20. Dezember 2016 (ÚS 3/14) zur Klage gegen das Archiv der Sicherheitskräfte, die Akte eines Mitarbeiters der tschechoslowakischen Staatssicherheit den Journalisten des Tschechischen Fernsehens vorgelegt zu haben, betonte das Gericht, dass die Verantwortung für Weitergabe und Veröffentlichung bei dem Forscher liegt, der verpflichtet ist, die Genehmigung des Rechteinhabers zu besorgen.[7] Im Falle personenbezogener Daten muss das Archiv selbstverständlich die Zustimmung der Betroffenen zur Nutzung einholen.

Dieser Artikel fasste nur kurz die bisherige Erfahrung des tschechischen Nationalarchivs mit der E-Identität in der archivischen Praxis zusammen. Das Thema hat langfristig das Potenzial, den Fernzugriff zu erleichtern, auch auf Archivalien mit verschiedenen Benutzungseinschränkungen, die nicht veröffentlicht werden können, und zur Debatte über die Informationssysteme der digitalen Archive (besonders der digitalen Lesesäle), über die Kostenfrage, über die Beurkundung in elektronischer und analoger Form und über die Zielgruppen beizutragen.