Parlamentarische Materialien

9. Im Inhaltsverzeichnis werden vor dem Eintrag zum 6. Abschnitt folgende Einträge eingefügt:

„5a. Abschnitt

Haftungsbestimmungen

§ 21a. Haftung“

10. Die Überschrift des 2. Abschnitts lautet:

„Eindeutige Identifikation und die Funktion E-ID“

11. § 2 Z 10 und 11 lauten:

„10. „Elektronischer Identitätsnachweis (E-ID)“: eine logische Einheit, die unabhängig von ihrer technischen Umsetzung eine qualifizierte elektronische Signatur (Art. 3 Z 12 eIDAS-VO) mit einer Personenbindung (§ 4 Abs. 2) und den zugehörigen Sicherheitsdaten und -funktionen verbindet;

11. „eIDAS-VO“: Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, ABl. Nr. L 257 vom 28.08.2014 S. 73, in der Fassung der Berichtigung ABl. Nr. L 155 vom 14.06.2016 S. 44.“

12. § 4 samt Überschrift lautet:

„Die Funktion E-ID

§ 4. (1) Der E-ID dient dem Nachweis der eindeutigen Identität, weiterer Merkmale sowie des Bestehens einer Einzelvertretungsbefugnis eines Einschreiters und der Authentizität des elektronisch gestellten Anbringens in Verfahren, für die ein Auftraggeber des öffentlichen Bereichs eine für den Einsatz des E-ID taugliche technische Umgebung eingerichtet hat.

(2) Die eindeutige Identifikation einer natürlichen Person, die rechtmäßige Inhaberin eines E-ID (im Folgenden: E-ID-Inhaber) ist, wird durch die Personenbindung bewirkt: Von der Stammzahlenregisterbehörde (§ 7) wird elektronisch signiert oder besiegelt bestätigt, dass dem E-ID-Inhaber ein oder mehrere bPK zur eindeutigen Identifikation zugeordnet ist oder sind. Sofern die Personenbindung den Vornamen, Familiennamen, oder das Geburtsdatum des E-ID-Inhabers enthält, bestätigt die Stammzahlenregisterbehörde mit ihrer elektronischen Signatur oder ihrem elektronischen Siegel die Richtigkeit der Zuordnung dieser Daten zum E-ID-Inhaber. Sofern mit Zustimmung des Betroffenen weitere Merkmale in die Personenbindung eingefügt werden, dient die elektronische Signatur oder das elektronische Siegel der Stammzahlenregisterbehörde der Bestätigung der unversehrten Einfügung dieser Merkmale aus den von der Stammzahlenregisterbehörde herangezogenen Registern von Auftraggebern des öffentlichen Bereichs. Hinsichtlich des Identitätsnachweises im Fall der Stellvertretung gilt § 5.

(3) Um die E-ID Funktion nutzen zu können, bedarf es der vorherigen Registrierung des E-ID-Werbers (§ 4a).

(4) Aufgrund der Identitätsdaten des E-ID-Werbers (§ 4b Z 1 bis 4 und 6) hat die Stammzahlenregisterbehörde die Stammzahl des E-ID-Werbers zu ermitteln und diese in verschlüsselter Form an den qualifizierten Vertrauensdiensteanbieter (VDA) gemäß Art. 3 Z 20 eIDAS-VO, der das qualifizierte Zertifikat für eine elektronische Signatur ausstellt, das mit der Personenbindung zum E-ID des E-ID-Werbers verbunden werden soll, zu übermitteln. Zudem hat die Stammzahlenregisterbehörde diesem VDA die Daten gemäß § 4b Z 1 bis 4, 7, 10 und 11 des E-ID-Werbers sowie eine allfällige Beschränkung der Gültigkeitsdauer des Zertifikats gemäß § 4a Abs. 2 zu übermitteln. Die Stammzahlenregisterbehörde hat diesem weiters alle Änderungen der übermittelten Daten, die ihr zur Kenntnis gelangen, bekanntzugeben. Der VDA hat der Stammzahlenregisterbehörde unverzüglich den Identitätscode der ausgestellten Zertifikate gemäß Anhang I lit. f eIDAS-VO zu übermitteln.

(5) Bei der Verwendung des E-ID im elektronischen Verkehr gemäß § 10 Abs. 1 ist durch die Stammzahlenregisterbehörde oder die in ihrem Auftrag tätige Behörde eine Personenbindung (Abs. 2), die ein oder mehrere bPK, Vorname, Familienname und Geburtsdatum zum E-ID-Inhaber enthält, zu erstellen, und an die betreffende Datenanwendung zu übermitteln. Zu diesem Zweck hat der qualifizierte VDA die verschlüsselte Stammzahl, Vorname, Familienname und Geburtsdatum der Stammzahlenregisterbehörde zur Verfügung zu stellen. Nach Maßgabe der technischen Möglichkeiten können mit Zustimmung des E-ID-Inhabers in die Personenbindung weitere Merkmale zu diesem aus für die Stammzahlenregisterbehörde zugänglichen Registern von Auftraggebern des öffentlichen Bereichs eingefügt werden.

(6) Nach Maßgabe der technischen Möglichkeiten kann der E-ID-Inhaber den Bestand weiterer Merkmale gemäß Abs. 5 letzter Satz einem Dritten gegenüber in vereinfachter Form nachweisen. Zu diesem Zweck können diese weiteren Merkmale für einen begrenzten Zeitraum zu seinem E-ID gespeichert werden. Ob und für welchen Zeitraum dies für ein bestimmtes Merkmal zulässig ist, hat jener Auftraggeber des öffentlichen Bereichs festzulegen, der das Register führt, aus dem die Stammzahlenregisterbehörde dieses Merkmal bezogen hat.

(7) Die Authentizität eines mit Hilfe des E-ID gestellten Anbringens wird durch die in dem E-ID enthaltene elektronische Signatur nachgewiesen.

(8) Die näheren Regelungen zu den Abs. 1 bis 7 sind, soweit erforderlich, durch Verordnung des Bundeskanzlers im Einvernehmen mit dem Bundesminister für Inneres sowie den allfällig sonst zuständigen Bundesministern zu erlassen. Vor Erlassung der Verordnung sind die Länder und die Gemeinden, letztere vertreten durch den Österreichischen Gemeindebund und den Österreichischen Städtebund, anzuhören.“

13. Nach § 4 werden folgende §§ 4a und 4b samt Überschriften eingefügt:

„Registrierung und Widerruf des E-ID

§ 4a. (1) Die Registrierung der Funktion E-ID ist für Staatsbürger ab dem vollendeten 14. Lebensjahr im Rahmen der Beantragung eines Reisedokumentes nach dem Passgesetz 1992, BGBl. Nr. 839/1992, ausgenommen eines Reisepasses gemäß § 4a des Passgesetzes 1992, von Amts wegen durch die Passbehörde oder durch eine gemäß § 16 Abs. 3 des Passgesetzes 1992 ermächtigte Gemeinde vorzunehmen, sofern der Betroffene dieser nicht ausdrücklich widerspricht. Darüber hinaus können sie die Registrierung eines E-ID bei der Passbehörde, einer gemäß § 16 Abs. 3 des Passgesetzes 1992 ermächtigten Gemeinde oder der Landespolizeidirektion verlangen. Soweit die Registrierung nicht im Rahmen der Beantragung eines Reisedokumentes erfolgt, ist die Behörde örtlich zuständig, bei der das Verlangen auf Registrierung des E-ID gestellt wird. Im Einvernehmen mit dem Bundesminister für Inneres können auch andere geeignete Behörden die Registrierung des E-ID vornehmen. Der Bundesminister für Inneres hat diese Behörden im Internet zu veröffentlichen.

(2) Die sachliche Zuständigkeit zur Registrierung des E-ID für Fremde kommt der Landespolizeidirektion zu. Örtlich zuständig ist die Landespolizeidirektion, bei der das Verlangen auf Registrierung des E-ID gestellt wird. Bei Fremden ist eine Registrierung nur dann vorzunehmen, sofern sie über einen ausreichenden Bezug zum Inland verfügen und das 14. Lebensjahr vollendet haben. Insbesondere ist hiefür ein Nachweis über Wohnsitz, Beschäftigungsverhältnis oder Geschäftstätigkeit im Inland erforderlich. Für Fremde, die im Inland internationalen Schutz beantragt haben, ist die Registrierung erst nach Zuerkennung des Status des Asylberechtigten oder des subsidiär Schutzberechtigten oder der Erteilung eines sonstigen Aufenthaltsrechts zulässig. Für Fremde ohne Hauptwohnsitz im Bundesgebiet darf das qualifizierte Zertifikat für elektronische Signaturen gemäß Art. 3 Z 15 eIDAS-VO ab dem Zeitpunkt der Registrierung maximal drei Jahre gültig sein. Abs. 1 vorletzter und letzter Satz gelten für Fremde sinngemäß.

(3) Soweit Inhaber eines inländischen Reisedokumentes den Behörden bereits vorweg in der Verordnung gemäß Abs. 6 näher bestimmte Daten zur Verfügung stellen, dürfen sie diese zur Weiterverarbeitung zum Zweck der Registrierung eines E-ID für 30 Tage speichern. Erfolgt innerhalb dieses Zeitraums keine Registrierung des E-ID, sind diese Daten zu löschen.

(4) Die Registrierung des E-ID ist nur zulässig, sofern die Identität des Betroffenen eindeutig festgestellt wurde. Zur Überprüfung der Identität und der vorgelegten Dokumente ist die Behörde ermächtigt, Informationen über diese Daten und Dokumente aus Datenanwendungen von Sicherheits-, Personenstands- und Staatsbürgerschaftsbehörden im Datenfernverkehr einzuholen. Kann die Identität des E-ID-Werbers bei den Behörden gemäß Abs. 1 und 2 nicht eindeutig festgestellt werden, obliegt das weitere Verfahren zur eindeutigen Feststellung der Identität der Landespolizeidirektion.

(5) Die Aussetzung oder der Widerruf des E-ID erfolgt durch die Aussetzung oder den Widerruf des mit dem E-ID verbundenen qualifizierten Zertifikats beim VDA gemäß § 6 des Signatur- und Vertrauensdienstegesetzes – SVG, BGBl. I Nr. 50/2016, oder Art. 24 Abs. 3 eIDAS-VO. Dieser hat die Information über die Aussetzung oder den Widerruf der jeweils zuständigen Behörde gemäß Abs. 1 und 2 im Wege des Betreibers der Datenanwendung gemäß § 22b des Passgesetzes 1992 zur weiteren Verarbeitung zu übermitteln. Die Behörden gemäß Abs. 1 und 2 haben die Aussetzung oder den Widerruf des E-ID zu veranlassen, wenn ihnen bekannt wird, dass der Inhaber des E-ID verstorben ist, die Gefahr missbräuchlicher Verwendung droht, der E-ID-Inhaber dies verlangt oder wenn der Behörde Tatsachen bekannt werden, die berechtigte Zweifel an der Identität des Betroffenen aufkommen lassen.

(6) Der Bundesminister für Inneres hat im Einvernehmen mit dem Bundeskanzler nähere Bestimmungen über die Vorgangsweise gemäß Abs. 1 bis 5 sowie für die Verlängerung der Gültigkeit eines E‑ID durch Verordnung festzulegen.

Registrierungsdaten

§ 4b. Die mit der Registrierung des E-ID betrauten Behörden sind ermächtigt als Auftraggeber

1. den Namen,

2. das Geburtsdatum,

3. den Geburtsort,

4. das Geschlecht,

5. die Staatsangehörigkeit,

6. das bPK,

7. die bekanntgegebene Zustelladresse,

8. das Lichtbild,

9. das Registrierungsdatum,

10. soweit verfügbar die bekanntgegebene Telefonnummer eines Mobiltelefons,

11. soweit verfügbar die bekanntgegebene E-Mail-Adresse,

12. die Registrierungsbehörde und

13. den Identitätscode der ausgestellten Zertifikate gemäß § 4 Abs. 4

in der Datenanwendung gemäß § 22b des Passgesetzes 1992 zu verarbeiten. Dabei ist eine Speicherung nur vorzunehmen, soweit die Daten nicht bereits in dieser Datenanwendung, im Zentralen Melderegister oder dem Ergänzungsregister zur Verfügung stehen. Der Bundesminister für Inneres sowie die Stammzahlenregisterbehörde sind ermächtigt, diese Daten zu Zwecken der Verwaltung des E-ID zu verarbeiten. Die Verwendung dieser Daten zu anderen Zwecken als der Verwaltung des E-ID ist nur auf Grund besonderer gesetzlicher Anordnung zulässig.“

14. § 5 samt Überschrift lautet:

„E-ID und Stellvertretung

§ 5. (1) Für Zwecke des vertretungsweisen Handelns kann in die Personenbindung des Vertreters von der Stammzahlenregisterbehörde das Bestehen einer Einzelvertretungsbefugnis für die Vertretung von nicht-natürlichen Personen oder einer Vertretungsbefugnis für die Vertretung von natürlichen Personen eingefügt werden. Zu diesem Zweck kann die Stammzahlenregisterbehörde nach Maßgabe der technischen Möglichkeiten Angaben zu Vollmachtsverhältnissen in Datenanwendungen anderer Auftraggeber des öffentlichen Bereichs verwenden, sofern dies gesetzlich zulässig ist oder eine Zustimmung des Betroffenen besteht. Die Stammzahlenregisterbehörde kann außerdem auf Antrag des Vertreters das Bestehen eines Vertretungsverhältnisses mit allfälligen inhaltlichen und zeitlichen Beschränkungen speichern. Die Voraussetzungen und näheren Anforderungen des Antrags und der zu erbringenden Nachweise sind in der gemäß § 4 Abs. 8 zu erlassenden Verordnung des Bundeskanzlers festzulegen. Die Berechtigung zur Empfangnahme von Dokumenten gemäß § 35 Abs. 3 zweiter Satz des Zustellgesetzes – ZustG, BGBl. Nr. 200/1982, muss gesondert eingefügt werden.

(2) In den Fällen berufsmäßiger Parteienvertretung ist ein besonderer Vollmachtsnachweis nicht erforderlich, wenn die generelle Befugnis zur Vertretung aus der nach den berufsrechtlichen Vorschriften erfolgenden Anmerkung der Berufsberechtigung im Signaturzertifikat seines E-ID oder auf Grund von Datenanwendungen, die nach berufsrechtlichen Bestimmungen zu führen sind, ersichtlich ist. In diesen Fällen wird das Bestehen der berufsmäßigen Parteienvertretung von der Stammzahlenregisterbehörde gemäß Abs. 1 in die Personenbindung eingefügt. Die generelle Befugnis umfasst nicht die Berechtigung gemäß § 35 Abs. 3 zweiter Satz ZustG.

(3) Soweit diese Dienstleistung bei Behörden eingerichtet ist, können unabhängig von ihrer sachlichen und örtlichen Zuständigkeit hiezu eigens ermächtigte Organwalter für Betroffene auf deren Verlangen Verfahrenshandlungen in E-ID-tauglichen Verfahren setzen. Der Auftrag des Betroffenen ist bei der Behörde in geeigneter Form zu dokumentieren. Die Verfahrenshandlung wird mit Hilfe des E-ID des Organwalters gesetzt. Die generelle Befugnis des Organwalters zur Vornahme der Verfahrenshandlung für Betroffene muss aus dem Signaturzertifikat seines E-ID oder aus einer von der zuständigen Behörde geführten Datenanwendung ersichtlich sein. In diesen Fällen wird das Bestehen der Befugnis des Organwalters von der Stammzahlenregisterbehörde gemäß Abs. 1 in die Personenbindung eingefügt. Die generelle Befugnis umfasst nicht die Berechtigung gemäß § 35 Abs. 3 zweiter Satz ZustG und die Zustellungsvollmacht gemäß § 9 Abs. 1 ZustG.

(4) Wird das Bestehen einer Einzelvertretungsbefugnis in die Personenbindung (§ 4 Abs. 2) eingefügt, dient die elektronische Signatur oder das elektronische Siegel der Stammzahlenregisterbehörde der Bestätigung der unversehrten Einfügung der Einzelvertretungsbefugnis aus den von der Stammzahlenregisterbehörde herangezogenen Quellen. § 4 Abs. 5, § 14 Abs. 3 und § 14a Abs. 2 gelten für vertretungsweises Handeln in Bezug auf vertretene natürliche Personen sinngemäß. Für vertretene nicht-natürliche Personen hat die Stammzahlenregisterbehörde die Stammzahl bereitzustellen.“

15. In § 6 Abs. 1 wird die Wortfolge „In der Bürgerkarte“ durch die Wortfolge „Im E-ID“ ersetzt.

16. In § 6 Abs. 4 erster Satz entfällt die Wortfolge „von der Stammzahlenregisterbehörde (§ 7) zum Nachweis ihrer eindeutigen Identität“.

17. In § 6 Abs. 4 wird der Verweis „§ 4 Abs. 5“ jeweils durch den Verweis „§ 4 Abs. 8“ ersetzt.

18. In § 6 Abs. 4 vierter Satz wird die Wortfolge „Ausstellung einer Bürgerkarte“ durch die Wortfolge „Registrierung eines E-ID“ ersetzt.

19. § 6 Abs. 5 lautet:

„(5) Elektronische Identifizierungsmittel eines anderen Mitgliedstaats der Europäischen Union, die die Anforderungen des Art. 6 Abs. 1 eIDAS-VO erfüllen, können bei Auftraggebern des öffentlichen Bereichs wie ein E-ID für Zwecke der eindeutigen Identifikation im Sinne dieses Bundesgesetzes verwendet werden. Bei Auftraggebern des privaten Bereichs gilt dies nur dann, wenn diese die Verwendung solcher Identifizierungsmittel zulassen. Nach Maßgabe der technischen Voraussetzungen hat diese Anerkennung spätestens sechs Monate nach der Veröffentlichung des jeweiligen elektronischen Identifizierungssystems in der Liste gemäß Art. 9 eIDAS-VO zu erfolgen. Bei der Verwendung eines solchen elektronischen Identifizierungsmittels ist für Betroffene, die weder im Melderegister noch im Ergänzungsregister eingetragen sind, ein Eintrag im Ergänzungsregister zu erzeugen. Dafür sind die Personenidentifikationsdaten des verwendeten elektronischen Identifizierungsmittels in das Ergänzungsregister einzutragen. Besteht eine Eintragung für den Betroffenen im Melderegister oder im Ergänzungsregister, sind die Personenidentifikationsdaten des verwendeten elektronischen Identifizierungsmittels in das entsprechende Register einzutragen. Bei der eindeutigen Identifikation im elektronischen Verkehr ist die Personenbindung sinngemäß nach § 4 Abs. 5 oder § 14 Abs. 3 zu erstellen.“

20. In § 7 Abs. 2 wird der Verweis „§§ 4, 9 und 10“ durch den Verweis „§§ 4, 4b, 5, 9, 10, 14, 14a und 15“ ersetzt.

21. In § 8 erster Satz wird der Begriff „Bürgerkartenkonzept“ durch die Wortfolge „Konzepts des E-ID“ ersetzt.

22. In § 9 Abs. 2 wird vor dem Wort „Gemeindebund“ und dem Wort „Städtebund“ jeweils das Wort „Österreichischen“ eingefügt.

23. Die Überschrift zu § 10 lautet:

„Erzeugung und Anforderung von bPK und Stammzahlen nicht-natürlicher Personen“

24. § 10 Abs. 1 lautet:

„(1) Bei Verwendung des E-ID werden bPK eines Betroffenen in elektronischen Verfahren erzeugt, für die der Auftraggeber des öffentlichen Bereichs eine E-ID-taugliche Umgebung eingerichtet hat. Dafür muss eine Datenanwendung mit ihrer Zuordnung zu einem staatlichen Bereich bei der Stammzahlenregisterbehörde registriert sein. In Bereichen, in denen der Auftraggeber des öffentlichen Bereichs nicht zur Vollziehung berufen ist, dürfen bPK nur verschlüsselt (§ 13 Abs. 2) gespeichert werden.“

25. In § 10 Abs. 2 erster Satz wird die Wortfolge „der Bürgerkarte“ durch die Wortfolge „des E-ID“ ersetzt.

26. In § 10 Abs. 3 wird der Verweis „§ 4 Abs. 5“ durch den Verweis „§ 4 Abs. 8“ ersetzt.

27. § 12 lautet:

„§ 12. (1) Die Vertraulichkeit von Stammzahlen natürlicher Personen unterliegt besonderem Schutz durch folgende Vorkehrungen im Konzept des E-ID:

1. Eine dauerhafte Speicherung der Stammzahl natürlicher Personen darf nur in verschlüsselter Form erfolgen.

2. Die Verwendung der Stammzahl natürlicher Personen im Errechnungsvorgang für das bPK darf zu keiner Speicherung der Stammzahl außerhalb des Errechnungsvorgangs führen. Der Vorgang der Errechnung darf nur bei der Stammzahlenregisterbehörde oder bei der in ihrem Auftrag tätigen Behörde, die in der gemäß § 4 Abs. 8 zu erlassenden Verordnung näher zu bezeichnen sind, durchgeführt werden.

(2) Die Verwendung der Stammzahl zur Ermittlung eines bPK darf nur erfolgen:

1. unter Mitwirkung des E-ID-Inhabers nach den Bestimmungen der §§ 4 Abs. 5, 14 Abs. 3 und 14a Abs. 2, oder

2. ohne Mitwirkung des Betroffenen durch die Stammzahlenregisterbehörde nach den näheren Bestimmungen der §§ 10, 13 Abs. 2 und 15.“

28. Die Überschrift des 3. Abschnitts lautet:

„Verwendung der Funktion E-ID im privaten Bereich oder bei Anwendungen im Ausland“

29. In § 14 Abs. 1 wird jeweils die Wortfolge „der Bürgerkarte“ durch die Wortfolge „des E-ID“ ersetzt.

30. Dem § 14 wird folgender Abs. 3 angefügt:

„(3) Bei der Verwendung des E-ID im elektronischen Verkehr gemäß Abs. 1 ist auf Basis der vom qualifizierten VDA zur Verfügung gestellten verschlüsselten Stammzahl durch die Stammzahlenregisterbehörde oder die in ihrem Auftrag tätige Behörde eine Personenbindung (§ 4 Abs. 2), die ein bPK zum E-ID-Inhaber enthält, zu erstellen, und an die betreffende Datenanwendung zu übermitteln. Mit Zustimmung des E-ID-Inhabers können in die Personenbindung die vom qualifizierten VDA zur Verfügung zu stellenden Daten, das sind Vorname, Familienname oder Geburtsdatum, sowie nach Maßgabe der technischen Möglichkeiten weitere Merkmale zu diesem aus für die Stammzahlenregisterbehörde zugänglichen Registern von Auftraggebern des öffentlichen Bereichs eingefügt werden. § 4 Abs. 6 ist sinngemäß anzuwenden.“

31. § 14a samt Überschrift lautet:

„E-ID-taugliche Anwendungen im Ausland

§ 14a. (1) Für E-ID-taugliche Anwendungen im Ausland ist § 14 Abs. 1 mit der Maßgabe anzuwenden, dass anstelle der Bereichskennung ein staatenspezifisches Kennzeichen oder bei Anwendungen internationaler Organisationen ein organisationsspezifisches Kennzeichen zu verwenden ist.

(2) Bei der Verwendung des E-ID im elektronischen Verkehr gemäß Abs. 1 ist durch die Stammzahlenregisterbehörde oder die in ihrem Auftrag tätige Behörde eine Personenbindung (§ 4 Abs. 2), die ein bPK, Vorname, Familienname und Geburtsdatum zum E-ID-Inhaber enthält, zu erstellen, und an die betreffende Datenanwendung zu übermitteln. Zu diesem Zweck hat der qualifizierte VDA die verschlüsselte Stammzahl, Vorname, Familienname und Geburtsdatum der Stammzahlenregisterbehörde zur Verfügung zu stellen. Nach Maßgabe der technischen Möglichkeiten können mit Zustimmung des E‑ID-Inhabers in die Personenbindung weitere Merkmale zu diesem aus für die Stammzahlenregisterbehörde zugänglichen Registern von Auftraggebern des öffentlichen Bereichs eingefügt werden.“

32. In § 15 Abs. 1 wird die Wortfolge „der Bürgerkarte“ durch die Wortfolge „des E-ID“ und der Strichpunkt am Ende der Z 2 durch einen Punkt ersetzt; der Halbsatz „in diesem Fall darf die Erzeugung des bPK nur durch die Stammzahlenregisterbehörde erfolgen.“ entfällt.

33. In § 15 entfällt Abs. 2; Abs. 1a erhält die Absatzbezeichnung „(2)“.

34. § 18 samt Überschrift lautet:

„über Daten aus elektronischen Registern eines Auftraggebers des öffentlichen Bereichs

§ 18. (1) Personenbezogene Daten, die gemäß § 4b Z 1 bis 5 und 8 oder in einem für die Stammzahlenregisterbehörde zugänglichen elektronischen Register eines Auftraggebers des öffentlichen Bereichs enthalten sind, sind bei der Verwendung der Funktion E-ID nach Maßgabe der technischen Möglichkeiten

1. dem E-ID-Inhaber selbst, oder

2. Dritten im Auftrag des E-ID-Inhabers, sofern ihnen die Nutzung des E-ID-Systems eröffnet und noch nicht unterbunden wurde

zur Verfügung zu stellen.

(2) Der Bundesminister für Inneres ist ermächtigt, Dritten nach Abs. 1 Z 2 die Nutzung des E-ID-Systems zu eröffnen. Die Nutzung ist nicht zu eröffnen oder zu unterbinden, wenn Anhaltspunkte dafür bestehen, dass Dritte die ihnen zur Verfügung gestellten Daten nicht gemäß dem Grundsatz nach Treu und Glauben und auf rechtmäßige Weise verwendet haben.

(3) Der Bundesminister für Inneres hat im Einvernehmen mit dem Bundeskanzler nähere Bestimmungen über die Vorgangsweise gemäß Abs. 1 und 2 durch Verordnung festzulegen. Dabei ist jedenfalls sicherzustellen, dass die Protokollierung der Datenübermittlung aus dem E-ID-System an Dritte im Auftrag des E-ID-Inhabers nur diesem zugänglich ist.“

35. Nach dem § 21 wird folgender 5a. Abschnitt eingefügt:

„5a. Abschnitt

Haftungsbestimmungen

Haftung

§ 21a. (1) Umfang und Ausmaß des nach Art. 11 der eIDAS-VO zu ersetzenden Schadens, sowie allfällige Rückgriffsrechte gegenüber anderen Personen, richten sich nach den auf den Schadensfall sonst anwendbaren Bestimmungen.

(2) Ersatzansprüche gegenüber anderen Personen oder aus einem anderen Rechtsgrund bleiben unberührt.“

36. Dem § 24 wird folgender Abs. 6 angefügt:

„(6) Das Inhaltsverzeichnis, die Überschrift des 2. Abschnitts, § 2 Z 10, die §§ 4, 4a, 4b und 5 samt Überschriften, § 6 Abs. 1, 4 und 5, § 7 Abs. 2, § 8 erster Satz, § 10 samt Überschrift, § 12, die Überschrift des 3. Abschnitts, § 14 Abs. 1 und 3, § 14a samt Überschrift, § 15, § 18 samt Überschrift, der 5. Abschnitt, § 25 Abs. 2 und 3 und § 28 Z 1 und 4 treten mit Ablauf des Tages der Kundmachung dieses Bundesgesetzes in Kraft und finden mit Ausnahme von § 25 Abs. 2 und 3 erst Anwendung, wenn die technischen und organisatorischen Voraussetzungen für den Echtbetrieb des E-ID vorliegen. Dieser Zeitpunkt ist vom Bundesminister für Inneres im Bundesgesetzblatt kundzumachen.“

37. Dem Text des § 25 wird die Absatzbezeichnung „(1)“ vorangestellt; folgende Abs. 2 und 3 werden angefügt:

„(2) Ab der Kundmachung des Bundesgesetzes, BGBl. I Nr. XX/2017, dürfen zur Gewährleistung eines sicheren Betriebes für die vollumfängliche Nutzung des E-ID unter Anwendung der dafür erforderlichen Bestimmungen dieses Bundesgesetzes zeitlich, örtlich oder auf bestimmte Personengruppen beschränkte Pilotbetriebe unter Verwendung personenbezogener Daten durchgeführt werden, sofern die Betroffenen daran freiwillig mitwirken.

(3) Sofern die technischen und organisatorischen Voraussetzungen zum Echtbetrieb des E-ID gemäß der Kundmachung nach § 24 Abs. 6 noch nicht vorliegen, ist für bis zum Zeitpunkt der Aufnahme des Echtbetriebes ausgestellte Bürgerkarten die Rechtslage vor Inkrafttreten dieses Bundesgesetzes, BGBl. I Nr. XX/2017, anzuwenden. Der Bundesminister für Inneres ist im Einvernehmen mit dem Bundeskanzler ermächtigt, mit Verordnung für Bürgerkarteninhaber einen vereinfachten Prozess für den Umstieg von der Bürgerkarte auf einen E-ID vorzusehen.“

38. § 28 Z 1 lautet:

„1. hinsichtlich des § 4 Abs. 8 der Bundeskanzler im Einvernehmen mit dem Bundesminister für Inneres sowie den allfällig sonst zuständigen Bundesministern,“

39. § 28 Z 4 lautet:

„4. hinsichtlich des § 4a Abs. 1 bis 5, des § 4b, des § 17 Abs. 1 und 3 sowie des § 18 Abs. 1 und 2 der Bundesminister für Inneres,“

40. In § 28 wird nach Z 4 folgende Z 4a eingefügt:

„4a. hinsichtlich des § 4a Abs. 6, des § 18 Abs. 3 und des § 25 Abs. 3 der Bundesminister für Inneres im Einvernehmen mit dem Bundeskanzler,“

Artikel 2

Notifikationshinweis gemäß Artikel 9 der Richtlinie (EU) 2015/1535

Dieses Gesetz wurde unter Einhaltung der Bestimmungen der Richtlinie (EU) 2015/1535 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (kodifizierter Text), ABl. Nr. L 241 vom 17.09.2015 S. 1, unter der Notifikationsnummer 2017/166/A notifiziert.

Zuweisungsvorschlag: Verfassungsausschuss

Begründung

I. Allgemeiner Teil

Der Anpassungsbedarf im E‑Government-Gesetz (E-GovG) ergibt sich einerseits aufgrund der Notwendigkeit der Umsetzung unionsrechtlicher Vorgaben. Die eIDAS-Verordnung (eIDAS-VO) harmonisiert nicht die bereits in den Mitgliedstaaten bestehenden elektronischen Identitätsmanagementsysteme und zugehörige Infrastrukturen, sondern schafft den Rechtsrahmen zur gegenseitigen Anerkennung der verschiedenen elektronischen Identifizierungsmittel unter bestimmten normierten Voraussetzungen. Mit dem vorliegenden Entwurf sollen die rechtlichen Rahmenbedingungen geschaffen werden, um notifizierte elektronische Identifizierungsmittel anderer EU-Mitgliedstaaten für österreichische Online-Services gleichwertig verwenden zu können, sofern die notwendigen Voraussetzungen vorliegen.

Andererseits wird im Sinne eines sicheren, modernen, digitalen Identitätsmanagements die Bürgerkarte hin zu einem umfassenden elektronischen Identitätsnachweis (E-ID) weiterentwickelt. Dabei wird nicht nur ein Augenmerk auf einen sicheren, behördlichen Registrierungsprozess gelegt, sondern es werden auch die Nutzungsmöglichkeiten eines elektronischen Identitätsnachweises maßgeblich erweitert. Im Vergleich zur Bürgerkarte soll es mit dem E-ID künftig auch möglich sein, an Dritte den Nachweis von Daten aus Registern von Auftraggebern des öffentlichen Bereichs (etwa Personenstands-, Melde- oder Staatsbürgerschaftsdaten) zu erbringen.

Wesentlicher und integraler Bestandteil des neuen E-ID-Systems ist der hoheitliche Registrierungsprozess. Die Vornahme der Registrierung bei inländischen Behörden, die üblicherweise mit der Überprüfung von Identitätsdokumenten betraut sind, trägt maßgeblich zur Feststellung der eindeutigen Identität und damit zu einem sicheren Registrierungsprozess bei.

Die bewährte Funktion der österreichischen Bürgerkarte (nunmehr: E-ID), insbesondere in ihrer Ausprägung als Handy-Signatur, bleibt somit grundsätzlich bestehen und erfährt im Hinblick auf die künftige rechtliche Anerkennung in den anderen EU-Mitgliedstaaten eine deutliche Ausweitung ihrer Einsatzmöglichkeiten. Durch eine gegenseitige Anerkennung elektronischer Identifizierungsmittel, die in den Mitgliedstaaten zumindest die Authentifizierung für öffentliche Dienste ermöglichen, soll die grenzüberschreitende Erbringung von Dienstleistungen im Binnenmarkt deutlich erleichtert und der „digitale Binnenmarkt“ insgesamt gestärkt werden. Im Hinblick auf die Interoperabilität der österreichischen Lösung, aber auch um die Voraussetzungen für die Anerkennung elektronischer Identifizierungsmittel anderer Mitgliedstaaten in Österreich zu schaffen, sind diverse legistische Anpassungen notwendig. Weiters wird mit dieser Novelle der technischen Weiterentwicklung Rechnung getragen und an einigen Stellen im Gesetz eine Klarstellung vorgenommen.

Die Änderungen im E-GovG sollen insgesamt ein einheitliches Rahmenwerk für das elektronische Identitätsmanagement bieten und den ordnungspolitischen Rahmen für den Umgang mit elektronischen Identitätsnachweisen sicherstellen.

Die Hauptgesichtspunkte sind:

• Weiterentwicklung der „Bürgerkarte“ zu „Elektronischem Identitätsnachweis (E-ID)“

• Zukünftig sollen Applikationen – sei es aus dem hoheitlichen oder dem privaten Bereich – bereichsspezifische Personenkennzeichen nicht mehr selbst berechnen dürfen. Dieser Vorgang soll an einer vertrauenswürdigen, zentralen Stelle (Stammzahlenregisterbehörde bzw. bei einem ihrer Dienstleister) vorgenommen werden. Dies ermöglicht es auch nicht österreichischen Applikationen, den österreichischen E-ID ohne zusätzlichen Aufwand zu integrieren.

• Bei jeder Verwendung des E-ID wird immer eine Personenbindung erstellt und signiert oder besiegelt. Damit wird auch gewährleistet, dass andere Mitgliedstaaten diese aus Österreich stammenden Personenidentifizierungsdaten sofort verifizieren können.

• Der Registrierungsprozess eines E-ID wird in Bezug auf die Sicherstellung der eindeutigen Identifizierung des E-ID-Werbers auf ein noch höheres Niveau gehoben. Die Identifizierung des E-ID-Werbers soll nunmehr ausschließlich bei Passbehörden, bei nach § 16 Abs. 3 Passgesetz 1992, BGBl. Nr. 839/1992, ermächtigten Gemeinden, Landespolizeidirektionen oder anderen geeigneten Behörden möglich sein. Im Zuge der Beantragung eines Reisedokuments wird die Registrierung eines E-ID nun von Amts wegen durchgeführt. Weiters wird im Registrierungsprozess eines E-ID die Möglichkeit geschaffen, die vorgelegten Ausweisdaten wie z. B. Reisepassnummer in den entsprechenden Registern abzufragen, um damit das Risiko mindern zu können, dass die Identität der Personen nicht mit der beanspruchten Identität übereinstimmt.

• Neben den Kernidentitätsdaten (Vorname, Familienname, Geburtsdatum) sollen in Zukunft für Personen auch weitere Merkmale (z. B. Staatsbürgerschaft) in gesicherter Form einer Datenanwendung im öffentlichen Bereich zur Verfügung gestellt werden können. Bei der Verwendung des E-ID im privaten Bereich wird jedenfalls ein bPK zum E-ID-Inhaber zur Verfügung gestellt. Vorname, Familienname, Geburtsdatum bzw. weitere Merkmale können in die Personenbindung optional eingefügt werden, wenn der Betroffene dem zustimmt.

• Elektronische Identifizierungsmittel anderer Mitgliedstaaten der EU, die die Anforderungen nach Art. 6 Abs. 1 eIDAS-VO erfüllen, sollen in Österreich spätestens sechs Monate nach deren Notifizierung gemäß Art. 9 eIDAS-VO wie ein E-ID für Zwecke der eindeutigen Identifikation verwendet werden können.

• Für Personen, die ein notifiziertes elektronisches Identifizierungsmittel eines anderen Mitgliedstaates verwenden, wird – sofern ein solcher nicht bereits besteht – ein Eintrag im Ergänzungsregister und eine Personenbindung wie bei Verwendung des E-ID erstellt. Der allfällige Eintrag im Ergänzungsregister erfolgt auf Basis der vom notifizierten elektronischen Identifizierungsmittel des anderen Mitgliedstaates übermittelten Daten.

• Es werden Haftungsbestimmungen im Einklang mit den Vorgaben der eIDAS-VO eingeführt.

• Weiters wird mit dieser Novelle der technischen Weiterentwicklung der elektronischen Einzelvertretungsbefugnisse Rechnung getragen. Die Einzelvertretungsbefugnis kann von der Stammzahlenregisterbehörde in die Personenbindung eingefügt und somit der Applikation zur Verfügung gestellt werden. Dabei darf die Stammzahlenregisterbehörde auch auf Angaben zu Vertretungsverhältnissen in Datenanwendungen anderer Auftraggeber des öffentlichen Bereichs (z. B. das Unternehmensserviceportal) zurückgreifen.

Eine Novellierung des E-Government-Gesetzes im Hinblick auf den Anwendungsbeginn der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – DSGVO) sowie die Datenschutz-Folgenabschätzung im Sinne des Art. 35 Abs. 10 DSGVO wird zeitgerecht gesondert erfolgen.

Zuständigkeit des Bundes

Die Zuständigkeit des Bundes zur Gesetzgebung und Vollziehung beruht auf den Kompetenztatbeständen

- „Angelegenheiten des Schutzes personenbezogener Daten im automationsunterstützten Datenverkehr“ gemäß § 2 des Datenschutzgesetzes 2000, weiters auf die Bedarfsgesetzgebungskompetenz für das Verwaltungsverfahren nach Art. 11 Abs. 2 B-VG,

- „Meldewesen“ gemäß Art. 10 Abs. 1 Z 7 B-VG und

- „Passwesen“ gemäß Art. 10 Abs. 1 Z 3 B-VG.

II. Besonderer Teil

Zu Artikel 1 (Änderung des E‑Government-Gesetzes)

Zu Z 1 bis 10, 15, 18, 21, 25 und 28 (Inhaltsverzeichnis, Überschrift des 2. Abschnitts, § 6 Abs. 1 und Abs. 4 vierter Satz, § 8, § 10 Abs. 2, Überschrift des 3. Abschnitts):

Es erfolgen redaktionelle Anpassungen aufgrund der neuen Begrifflichkeiten.

Zu Z 11 (§ 2 Z 10 und 11):

Der Begriff der „Bürgerkarte“ soll ersetzt werden. Dieser hat sich in der Praxis aufgrund des technischen Fortschritts zunehmend als irreführend erwiesen, weil der Begriff „Karte“ eine technische Einschränkung auf ein bestimmtes Medium (Chip-Karte) impliziert. Das technologieoffene System des Bürgerkartenkonzepts eröffnete hingegen seit Einführung, dass die Daten der Bürgerkarte an unterschiedlichen physischen Orten gespeichert werden konnten (vgl. die Legaldefinition der Bürgerkarte als „logische Einheit“ in § 2 Z 10 E-GovG) und nicht zwingend an einen Speicherort oder ein Medium gebunden sind. Damit ist auch schon nach der bisher geltenden Rechtslage die „Handy-Signatur“ eine Bürgerkarte iSd § 2 Z 10 E-GovG aF. Wenngleich dies in rechtlicher Hinsicht immer klar war, stieß die Bezeichnung in praktischer Hinsicht auf Missverständnisse. In Zukunft soll daher stattdessen der allgemeine Begriff „Elektronischer Identitätsnachweis (E-ID)“ verwendet werden, da dieser dem technologieneutralen Ansatz eher gerecht wird und auch der vorgesehenen technischen Weiterentwicklung und den neuen Funktionalitäten Rechnung trägt. Es wird davon auszugehen sein, dass der österreichische E-ID das Sicherheitsniveau „hoch“ gemäß Art. 8 Abs. 2 lit. c eIDAS-VO erfüllen wird.

In Z 11 erfolgt eine redaktionelle Anpassung.

Zu Z 12 (§ 4):

Es erfolgen redaktionelle Anpassungen aufgrund der neuen Begrifflichkeiten.

Die Personenbindung kann künftig anstelle der Stammzahl nur mit einem oder mehreren bPK gebildet werden. Zusätzlich zu einem oder mehreren bPK und abhängig, ob sie für den öffentlichen oder privaten Bereich oder für Anwendungen im Ausland verwendet werden soll, kann die Personenbindung auch Vornamen, Familiennamen, Geburtsdatum oder weitere Merkmale zum E-ID-Inhaber enthalten. Mit dem elektronischen Siegel der Stammzahlenregisterbehörde bestätigt diese, dass das oder die bPK, der Vorname, der Familienname und das Geburtsdatum dem E-ID-Inhaber zur eindeutigen Identifikation zugeordnet wurden. Allenfalls weitere in der Personenbindung enthaltene Merkmale werden ebenso von der Stammzahlenregisterbehörde besiegelt. Da für die Richtigkeit dieser Daten aber jener Auftraggeber des öffentlichen Bereichs aus dessen Register diese Merkmale bezogen wurden verantwortlich ist, kann die Stammzahlenregisterbehörde mit ihrem Siegel lediglich die unversehrte Einfügung dieser Merkmale in die Personenbindung bestätigen. Die Personenbindung wird bei jeder Verwendung des E-ID im elektronischen Verkehr entweder im öffentlichen Bereich (Abs. 5), im privaten Bereich (§ 14 Abs. 3) oder für Anwendungen im Ausland (§ 14a Abs. 2) unter Mitwirkung des Betroffenen erstellt.

In Abs. 3 wird für die Nutzung der Funktion E-ID die Notwendigkeit einer Registrierung festgelegt. Künftig ist es erforderlich, dass ein E-ID-Werber sich für die Nutzung des E-ID registriert, bevor er den E-ID verwenden kann. Die Zuständigkeiten und der Ablauf des Registrierungsprozesses ergeben sich aus § 4a.

Wie bisher schon die Bürgerkarte, verbindet auch der neue E-ID die Personenbindung mit einer qualifizierten elektronischen Signatur. Die Erstellung von qualifizierten elektronischen Signaturen stellt einen qualifizierten Vertrauensdienst im Sinne der eIDAS-Verordnung dar und darf daher nur von einem qualifizierten Vertrauensdiensteanbieter erbracht werden. Damit dieser seiner Aufgabe nachkommen kann, ist es erforderlich, ihm eine allfällige Beschränkung der Gültigkeitsdauer des Zertifikats und jene Daten zu übermitteln, die notwendig sind, um ein qualifiziertes Zertifikat für qualifizierte elektronische Signaturen für einen E-ID-Werber auszustellen. Diese Daten sind die Identitätsdaten zur Person (Vorname, Familienname, Geburtsdatum, Geschlecht), eine Zustelladresse, die Telefonnummer eines Mobiltelefons, E-Mail-Adresse und die verschlüsselte Stammzahl (Abs. 4).

Eine Datenanwendung des öffentlichen Bereichs erhält gegenwärtig die (signierte) Personenbindung (und somit die Stammzahl des Betroffenen) und generiert unter Mitwirkung des E-ID-Inhabers das bPK selbst. Wird der E-ID im elektronischen Rechtsverkehr für Zwecke der Identifikation von Betroffenen verwendet, so soll nunmehr gemäß Abs. 5 jedes Mal eine Personenbindung erstellt und der Datenanwendung, gegenüber der sich der Inhaber des E-ID ausweisen möchte, signiert oder besiegelt übermittelt werden. Die Erstellung der Personenbindung erfolgt in diesem Fall durch die Stammzahlenregisterbehörde oder eine in ihrem Auftrag tätige andere Behörde und darf nur unter Mitwirkung der in dem E-ID als Inhaberin bezeichneten natürlichen Person durchgeführt werden. Dabei werden bei der Verwendung des E-ID im öffentlichen Bereich ein oder mehrere bPK zugeordnet. Mehrere bPK werden dann zugeordnet, wenn es sich bei der Datenanwendung um eine Portallösung handelt, in der der Zugang zu verschiedenen Anwendungen aus unterschiedlichen Bereichen über einen einzigen Login ermöglicht wird (Single Sign On). Dabei darf es jedenfalls zu keiner Speicherung von bPK in der Portalanwendung kommen, sondern lediglich bei den angebundenen Anwendungen und zwar nur jene bPKs, die von dieser Anwendung verarbeitet werden dürfen (siehe dazu § 13 Abs. 2). In der Praxis stellt sich häufig der Bedarf für Personen neben den Kernidentitätsdaten (Vorname, Familienname, Geburtsdatum) weitere Merkmale in gesicherter Form einer Datenanwendung zur Verfügung zu stellen. Diese Anforderung ergibt sich schon alleine aus den optionalen Merkmalen des Mindestdatensatzes einer natürlichen oder juristischen Person wie der im Anhang der Durchführungsverordnung (EU) 2015/1501 über den Interoperabilitätsrahmen gemäß Artikel 12 Absatz 8 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt festgelegt ist. Beispiele für solche weiteren Merkmale, die in der Praxis von Relevanz sein können, sind etwa Melde-, Personenstands- und Staatsbürgerschaftsdaten. Der Zugriff auf derartige Merkmale hat freilich nur mit Zustimmung und Wissen des Betroffenen und unter strenger Beachtung der datenschutzrechtlichen Vorgaben zu erfolgen. Das Abstellen auf die für die Stammzahlenregisterbehörde zugänglichen Registern von Auftraggebern des öffentlichen Bereichs knüpft an die in den jeweiligen Materiengesetzen vorgesehenen Zugriffsberechtigungen sowie die faktisch, technischen Möglichkeiten an (z.B. § 16a Abs. 4 Meldegesetz 1991, BGBl. Nr. 9/1992, oder § 47 Abs. 1 Personenstandsgesetz 2013, BGBl. I Nr. 16).

Die Nutzung des E-ID, folglich der Nachweis personenbezogener Daten, funktioniert grundsätzlich nur über eine vorhandene Datenverbindung. Da sämtliche Internetanbieter ihre Dienste nicht durchgängig und vor allem nicht im gesamten Bundesgebiet erbringen können, soll Abs. 6 die Möglichkeit der zeitlich begrenzten Speicherung weiterer Merkmale durch den E-ID-Inhaber zu seinem E-ID vorsehen, um derart auch ohne direkte Anbindung an das E-ID-System bestimmte Merkmale Dritten gegenüber nachweisen zu können. Letztlich verbleibt jedoch die Entscheidung, ob und für welchen Zeitraum diese Merkmale gespeichert werden dürfen, beim jeweiligen Auftraggeber des Registers, aus dem diese Daten stammen.

Abs. 7 entspricht inhaltlich dem geltenden § 4 Abs. 4.

Wie schon bisher soll die Möglichkeit bestehen, Details zur Erstellung der Personenbindung und Errechnung der bPKs in einer Verordnung (derzeit Stammzahlenregisterbehördenverordnung 2009, BGBl. II Nr. 330/2009) festzulegen.

Zu Z 13 (§§ 4a und 4b):

Voraussetzung für die Nutzung der neuen Funktion E-ID ist die vorherige Registrierung durch den Bürger. Der Registrierungsprozess wird regelmäßig durch den Antrag auf Ausstellung eines Reisedokumentes nach § 7 Passgesetz 1992 angestoßen. Die Registrierung des E-ID im Zuge der Ausstellung des Reisedokumentes kommt nur für Staatsbürger in Betracht, da die Ausstellung von österreichischen Reisedokumenten nach § 4 Passgesetz 1992 den Nachweis der Staatsbürgerschaft erfordert. Obgleich der E-ID in den oben genannten Fällen von Amts wegen zu registrieren ist, kann der Registrierung des E-ID ausdrücklich widersprochen werden. Zudem setzt eine Registrierung im Hinblick auf die Ausstellung eines qualifizierten Zertifikats die zumindest beschränkte Geschäftsfähigkeit eines mündigen Minderjährigen voraus. In den Fällen des § 4a Passgesetz 1992 wird keine Registrierung des E-ID vorgenommen, da die Ausstellung eines „Notpasses“ unter anderen Rahmenbedingungen erfolgt. Um eine schnellstmögliche Verbreitung der neuen Funktion E-ID zu gewährleisten, können Staatsbürger die Registrierung des E-ID unabhängig von einer Ausstellung eines Reisedokumentes bei der Passbehörde, einer nach § 16 Abs. 3 Passgesetz 1992 ermächtigten Gemeinde oder der Landespolizeidirektion verlangen. Im Einvernehmen mit dem Bundesminister für Inneres können nach § 4a Abs. 1 und 2 auch andere geeignete Behörden die Registrierung des E-ID vornehmen. Der Behördenbegriff ist dabei im funktionalen Sinn zu verstehen und umfasst somit insbesondere auch berufsrechtliche Standesvertretungen. Die Möglichkeit der Aktivierung von Dienstkarten sowie berufsrechtlicher Ausweise als E-ID bleibt somit bestehen. Um die Öffentlichkeit entsprechend zu informieren, ist eine Veröffentlichung dieser zusätzlich verfügbaren Registrierungsbehörden durch den Bundesminister für Inneres vorgesehen.

Die Funktion E-ID soll keineswegs österreichischen Staatsbürgern vorbehalten werden, im Gegenteil soll Fremden die Nutzung der Funktion E-ID offen stehen. Die Registrierung von Fremden mit zumindest beschränkter Geschäftsfähigkeit eines mündigen Minderjährigen wird nach § 4a Abs. 2 auf deren Verlangen aufgrund der mit der Überprüfung ausländischer Reisedokumente verbundenen Herausforderungen von der Landespolizeidirektion vorgenommen. Voraussetzung für die Registrierung von Fremden ist ein ausreichender Inlandsbezug. Für Asylwerber ist die Registrierung des E-ID erst nach positivem Entscheid über das Asylverfahren zulässig.

Zumal die inländische Behörde von Änderungen personenbezogener Daten im Ausland regelmäßig keine Kenntnis hat, wird im gegenständlichen Entwurf für die Zertifikate von Fremden ohne Hauptwohnsitz in Österreich eine Gültigkeitsdauer von drei Jahren vorgeschlagen. Diese Regelung ist vor dem Hintergrund einer hohen Datenaktualität notwendig, beispielsweise werden der Behörde Personenstandsfälle oder Namensänderungen im Ausland mangels Zugriffmöglichkeit auf Register anderer Staaten nicht bekannt. Sobald die Gültigkeitsdauer des qualifizierten Zertifikates überschritten wurde, ist zur Überprüfung der personenbezogenen Daten ein neuerliches Durchlaufen des Registrierungsprozesses bei der Landespolizeidirektion erforderlich.

Staatsbürger und Fremde profitieren gleichermaßen von einer offenen Zuständigkeitsregelung, das Verlangen auf Registrierung einer E-ID kann bei jeder sachlich zuständigen Registrierungsbehörde gestellt werden.

Im Hinblick auf eine möglichst effiziente und rasche Abwicklung des behördlichen Registrierungsprozesses können Inhaber eines Reisepasses oder eines Personalausweises nach § 4a Abs. 3 bereits im Vorfeld die für die Registrierung erforderlichen Daten an die Behörde übermitteln („Vorregistrierung“). Die Behörde hat diese Daten aus datenschutzrechtlichen Gründen innerhalb von 30 Tagen zu löschen, sofern in diesem Zeitraum keine Registrierung des E-ID vorgenommen wurde.

Entscheidende Voraussetzung für die Registrierung des E-ID ist nach § 4a Abs. 4 die Feststellung der eindeutigen Identität des Betroffenen. In diesem Zusammenhang soll im Registrierungsprozess die Möglichkeit geschaffen werden, die vorgelegten Ausweisdaten wie z. B. Reisepassnummer in den entsprechenden Registern abzufragen. Damit kann die Sicherheit bei der Identitätsfeststellung zur Registrierung des E-ID erhöht werden. Es werden dadurch auch die notwendigen Vorkehrungen getroffen, um das Risiko mindern zu können, dass die Identität der Personen nicht mit der beanspruchten Identität übereinstimmt, z. B. im Hinblick auf verlorene, gestohlene, ausgesetzte, widerrufene oder abgelaufene Beweismittel, wie es in Anhang unter Punkt 2.1.2 der Durchführungsverordnung (EU) 2015/1502 der Kommission vom 8. September 2015 zur Festlegung von Mindestanforderungen an technische Spezifikationen und Verfahren für Sicherheitsniveaus elektronischer Identifizierungsmittel gemäß Artikel 8 Absatz 3 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt, ABl. Nr. L 235 vom 9.9.2015 ab dem Sicherheitsniveau „substanziell“ im Sinne der eIDAS-VO vorgesehen ist. Kann die Identität im Einzelfall nicht eindeutig festgestellt werden, ist für die weitere Überprüfung zur eindeutigen Identifizierung die Landespolizeidirektion sachlich zuständig.

Im Falle missbräuchlicher Verwendung, auf Verlangen des E-ID-Inhabers oder falls der E-ID der Person nicht mehr eindeutig zugeordnet werden kann, ist in § 4a Abs. 5 die Möglichkeit vorgesehen, den E-ID vorläufig auszusetzen oder zu widerrufen. Dies erfolgt durch die Aussetzung oder den Widerruf des mit der betreffenden Person zu seinem E-ID verbundenen Zertifikats beim VDA und wirkt im Falle des Widerrufs im Einklang mit der eIDAS-VO dauerhaft und kann somit auch nicht mehr rückgängig gemacht werden. Die Aussetzung oder der Widerruf des E-ID ist dabei von der Behörde zu veranlassen und wird in weiterer Folge vom Vertrauensdiensteanbieter durchgeführt. Um die missbräuchliche Verwendung hintanzuhalten, ist der E-ID auch im Sterbefall des E-ID Inhabers zu widerrufen.

Der genaue Ablauf des Registrierungsprozesses, einschließlich der Möglichkeit der Vorabübermittlung bestimmter Daten an die Registrierungsbehörde nach § 4a Abs. 3 („Vorregistrierung“) und die Möglichkeit der Verlängerung der Gültigkeitsdauer des E-ID, ist gemäß § 4a Abs. 6 durch Verordnung näher zu bestimmen.

Im Zuge der Registrierung des E-ID ist die jeweilige Registrierungsbehörde als Auftraggeber im Sinne des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999, ermächtigt, bestimmte Daten im vom Bundesministerium für Inneres betriebenen Identitätsdokumentenregister zu erfassen und zu verarbeiten (§ 4b). Diese Daten werden von den zur Registrierung ermächtigten Behörden gemeinsam in dieser Datenverarbeitung verwendet. Obgleich die Stammzahlenregisterbehörde als datenschutzrechtlicher Auftraggeber für das Identitätsdokumentenregister grundsätzlich die in § 6 Abs. 2 DSG 2000 angeführte Pflicht zur Einhaltung der datenschutzrechtlichen Grundsätze trifft, bleibt die Verantwortlichkeit bezüglich der eingetragenen Daten bei der jeweiligen eintragenden Registrierungsbehörde. Bei der Verarbeitung von Daten durch die Registrierungsbehörde werden bereits im Identitätsdokumentenregister, im Zentralen Melderegister oder Ergänzungsregister vorhandene Daten nicht erneut erfasst, um eine redundante Datenhaltung zu verhindern. Eine Telefonnummer eines Mobiltelefons wird insbesondere dann benötigt, wenn dieses Mobiltelefon als Teil der „logischen Einheit“ E‑ID verwendet werden soll. Die E-Mail-Adresse dient vor allem als elektronische Benachrichtigungsmöglichkeit im Zusammenhang mit der Verwaltung des E-ID. Eine Bekanntgabe von Änderungen dieser beiden Daten soll vom E-ID-Inhaber in einem Online-Self-Service vorgenommen werden können.

Zu Z 14 (§ 5):

Soll der E-ID für vertretungsweises Handeln verwendet werden, so besteht – unbeschadet der Möglichkeit, dass eine Applikation selbst Vertretungsrechte für den Betroffenen verwaltet – gemäß Abs. 1 die Möglichkeit, dass das Bestehen einer Einzelvertretungsbefugnis (dieser Begriff wird in der österreichischen Rechtsordnung, insbesondere im UGB, nur bei Vertretungen nicht-natürlicher Personen verwendet) von der Stammzahlenregisterbehörde in die Personenbindung des Vertreters eingefügt wird. Zu diesem Zweck darf diese, sofern dies gesetzlich zulässig ist oder eine Zustimmung des Betroffenen vorliegt, Datenanwendungen anderer gesetzlicher Auftraggeber des öffentlichen Bereichs (z. B. Unternehmensregister) nutzen.

Außerdem darf auf Antrag des Vertreters das Bestehen eines Vertretungsverhältnisses mit allfälligen inhaltlichen und zeitlichen Beschränkungen zum E-ID des Vertreters gespeichert werden und im Anlassfall ebenfalls in die Personenbindung eingefügt werden. Hierbei findet bei der Stammzahlenregisterbehörde faktisch eine Speicherung statt und nicht bloß wie im ersten Fall ein Rückgriff auf bestehende Register, die bereits solche Daten zulässiger Weise gespeichert haben.

In Fällen berufsmäßiger Parteienvertretung ergibt sich die generelle Befugnis zur Vertretung aus zusätzlichen Merkmalen im Signaturzertifikat des E-ID des Vertreters. So ist etwa aus dem Signaturzertifikat ersichtlich, dass jemand als Rechtsanwalt auftritt. Die Anmerkung einer solchen Berufsberechtigung, aber auch der Entzug, richtet sich nach den jeweils einschlägigen berufsrechtlichen Vorschriften. Diesbezüglich entspricht die Neufassung des Abs. 2 im Wesentlichen der geltenden Rechtslage. Als Alternative soll dies nun auch als Identitätsmerkmal abgebildet werden können, wobei die Information in einem solchen Fall in Echtzeit in Registern oder Datenanwendungen, die nach berufsrechtlichen Bestimmungen zu führen sind, von der Stammzahlenregisterbehörde gemäß Abs. 1 abgefragt und in die Personenbindung eingefügt wird. Auch wenn ein Organwalter für Betroffene eine Verfahrenshandlung vornehmen soll, gibt es nun die Alternative, die generelle Befugnis des Organwalters auf Grund einer von der zuständigen Behörde geführten Datenanwendung abzufragen. Im Übrigen entspricht Abs. 3 der geltenden Rechtslage.

Wenn das Bestehen einer Einzelvertretungsbefugnis in die Personenbindung eingefügt wird, wird dies ebenso von der Stammzahlenregisterbehörde besiegelt. Da für die Richtigkeit dieser Daten aber nicht die Stammzahlenregisterbehörde selbst verantwortlich ist, kann die Stammzahlenregisterbehörde mit ihrem Siegel lediglich die unversehrte Einfügung der Information aus den von ihr in Anspruch genommenen Quellen in die Personenbindung bestätigen (Abs. 4 erster Satz). Wird der E-ID für vertretungsweises Handeln verwendet, so ist neben einer Personenbindung für den Vertreter auch eine Personenbindung für den Vertretenen gemäß §§ 4 Abs. 5, 14 Abs. 3 oder 14a Abs. 2 zu bilden und der Anwendung zu übermitteln. Anstelle der Personenbindung ist bei vertretenen nicht-natürlichen Personen die Stammzahl bereitzustellen.

Zu Z 16 und 17 (§ 6 Abs. 4):

In § 6 Abs. 4 werden sprachliche und inhaltliche Redundanzen beseitigt sowie redaktionelle Änderungen vorgenommen.

Zu Z 19 (§ 6 Abs. 5):

Ein Kernelement der eIDAS-VO ist die gegenseitige Anerkennung elektronischer Identitäten zwischen den Mitgliedstaaten (Art. 6 eIDAS-VO). Es wird durch die eIDAS-VO somit kein einheitliches elektronisches Identifizierungsmittel für die Europäische Union eingeführt, sondern den von anderen Mitgliedstaaten ausgestellten oder von diesen anerkannten (Art. 7 lit. a eIDAS-VO) elektronischen Identifizierungsmitteln gegenseitig vertraut. Gemäß Art. 8 eIDAS-VO bestehen für solche elektronische Identifizierungsmittel die Sicherheitsniveaus „niedrig, „substanziell“ und „hoch“, die im Zuge der Notifizierung eines elektronischen Identifizierungsmittels bei der Kommission (Art. 9 eIDAS-VO) bekannt gegeben werden müssen. Die Kriterien für die Zuerkennung des Sicherheitsniveaus eines elektronischen Identifizierungsmittels werden durch Art. 8 Abs. 2 eIDAS-VO sowie den entsprechenden Durchführungsrechtsakt (Durchführungsverordnung (EU) 2015/1502 der Kommission vom 8. September 2015 zur Festlegung von Mindestanforderungen an technische Spezifikationen und Verfahren für Sicherheitsniveaus elektronischer Identifizierungsmittel gemäß Artikel 8 Absatz 3 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt, ABl. Nr. L 235 vom 9.9.2015) festgelegt.

Ist für den Zugang zu einem von einer öffentlichen Stelle in einem Mitgliedstaat erbrachten Online-Dienst nach nationalem Recht oder aufgrund der Verwaltungspraxis eine elektronische Identifizierung mit einem elektronischen Identifizierungsmittel und mit einer Authentifizierung erforderlich, so ist ein in einem anderen Mitgliedstaat ausgestelltes elektronisches Identifizierungsmittel im ersten Mitgliedstaat für die Zwecke der grenzüberschreitenden Authentifizierung für diesen Online-Dienst anzuerkennen, sofern

- das betreffende elektronische Identifizierungsmittel im Rahmen eines elektronischen Identifizierungssystems ausgestellt wurde, das in der von der Kommission gemäß Art. 9 Abs. 2 eIDAS-VO veröffentlichten Liste angeführt ist,

- das Sicherheitsniveau des betreffenden Identifizierungsmittels gleich hoch oder höher ist als das der öffentlichen Stelle für den Zugang zu diesem Online-Dienst geforderten Sicherheitsniveaus und

- die betreffende öffentliche Stelle für den Zugang zu diesem Online-Dienst das Sicherheitsniveau „substanziell“ oder „hoch“ verwendet. (vgl. Art. 6 Abs. 1 eIDAS-VO)

Elektronische Identifizierungsmittel eines anderen Mitgliedstaates der EU, die diese Anforderungen erfüllen, sind daher in Österreich gegenüber Auftraggebern des öffentlichen Bereichs dem E-ID jedenfalls gleichgestellt. Die Verpflichtung zur Anerkennung solcher elektronischer Identifizierungsmittel soll – sofern die technischen Voraussetzungen vorhanden sind – bereits spätestens nach sechs Monaten nach der Veröffentlichung des jeweiligen Identifizierungssystems in der Liste gemäß Art. 9 Abs. 2 eIDAS-VO beginnen. Diese Frist liegt unterhalb der Frist von 12 Monaten, welche von Art. 6 Abs. 1 eIDAS-VO gefordert wird, da die technische Umsetzung in Österreich durch die bereits bestehende Infrastruktur im Regelfall rascher erfolgen kann. Die Maßgabe des Vorhandenseins der technischen Voraussetzungen ergibt sich vor allem auch aus der Abhängigkeit vom Vorhandensein der technischen Umsetzungen im anderen (notifizierenden) EU-Mitgliedstaat.

Da die notifizierenden Mitgliedstaaten für den Zugang einer Online-Authentifizierung der Personenidentifizierungsdaten gegenüber Auftraggebern des privaten Bereichs Bedingungen (insbesondere Gebühren) festlegen dürfen (vgl. Art. 7 lit. f 2. Unterabsatz), steht es den Auftraggebern des privaten Bereichs frei, die Verwendung solcher elektronischer Identifizierungsmittel zuzulassen. Freilich sollte die Verwendung im privaten Bereich nur dann nicht zugelassen werden, wenn schwerwiegende Interessen des Anwendungsbetreibers entgegenstehen. Mit dieser Wahlfreiheit soll vor allem verhindert werden, dass unbekannte Bedingungen akzeptiert werden müssen.

Sofern Personen, die ein solches anzuerkennendes elektronisches Identifizierungsmittel verwenden, weder im Melderegister noch im Ergänzungsregister eingetragen sind, ist automatisch ein Eintrag ins Ergänzungsregister mit den Personenidentifizierungsdaten, welche im ausländischen elektronischen Identifizierungsmittel mitgeliefert werden, zu erstellen. Sofern ein Eintrag im Melderegister oder im Ergänzungsregister bereits besteht, sind die mitgelieferten Personenidentifikationsdaten in das jeweilige Register einzutragen. Die Festlegung, mit welchen Daten eine solche Eintragung stattzufinden hat, erfolgt durch die Ergänzungsregisterverordnung.

Die Verwendung des anzuerkennenden elektronischen Identifizierungsmittels erfolgt dann wie bei einem E-ID nach dem Regime des § 4 Abs. 5 oder § 14 Abs. 3, indem jedes Mal eine Personenbindung erstellt und der Datenanwendung, gegenüber der sich der Inhaber des anzuerkennenden elektronischen Identifizierungsmittels ausweisen möchte, signiert übermittelt wird. Für die Betreiber von E-ID-tauglichen Datenanwendungen besteht somit weder ein technischer noch organisatorischer Anpassungsbedarf.

Zu Z 20 (§ 7 Abs. 2):

Die Stammzahlenregisterbehörde soll sich auch in Hinblick auf alle neu hinzugekommen Verfahren weiterhin des Bundesministeriums für Inneres als Dienstleister bedienen können. Die für die Erbringung dieser Dienstleistungen in der Wirkungsorientierten Folgeabschätzung ausgewiesenen Aufwendungen des Bundesministeriums für Inneres, die im Budget veranschlagt sind, gelten damit als abgegolten.

Zu Z 23 (Überschrift zu § 10)

Die Änderung der Überschrift dient der Klarstellung, dass auch die Ermittlung der Stammzahl nicht-natürlicher Personen einen Anwendungsfall des § 10 Abs. 2 darstellt.

Zu Z 22 (§ 9 Abs. 2):

Es werden redaktionelle Anpassungen vorgenommen.

Zu Z 24 (§ 10 Abs. 1):

Das nunmehr vorgesehene Modell des österreichischen E-ID soll die Prüfbarkeit des bPK sicherstellen, indem die bPK-Bildung immer an einer zentralen Stelle unter der Hoheit der Stammzahlenregisterbehörde stattfinden soll (vgl. § 4 Abs. 5, § 14 Abs. 2 und § 14a Abs. 2). Zu diesem Zweck müssen Anwendungen des öffentlichen oder privaten Bereichs gemäß § 14 sowie ausländische Services gemäß § 14a (bzw. deren ausländischer „Knoten“ im Sinne der eIDAS-VO), die einen Zugang mit der Funktion E‑ID (Login) vorsehen, einmalig bei der Stammzahlenregisterbehörde registriert werden, damit immer das korrekte bPK an die Anwendung übermittelt werden kann.

Zu Z 26 (§ 10 Abs. 3):

Durch die Neuformulierung des § 4 soll die Zitierung der Verordnungsermächtigung angepasst werden.

Zu Z 27 (§ 12):

§ 12 beschreibt schon wie bisher in der geltenden Fassung die besonderen Vorkehrungen für den Schutz der Stammzahl. Eine dauerhafte Speicherung der Stammzahl natürlicher Personen wie es bisher in der Bürgerkarte der Fall war, ist beim E-ID nicht mehr vorgesehen. Die Stammzahl natürlicher Personen darf nur noch in verschlüsselter Form für die Zwecke des § 4 Abs. 4 iVm §§ 4 Abs. 5, 14 Abs. 3 und 14a Abs. 2 dauerhaft gespeichert werden. Da es nach dem nunmehrigen Modell des E-ID in keinem Fall mehr lokal bei der Anwendung ein bPK errechnet werden darf, sollen die bisherigen Schutzvorkehrungen für die Stammzahl dahingehend angepasst werden.

Zu Z 29 und 30 (§ 14):

In Abs. 1 erfolgen redaktionelle Anpassungen aufgrund der neuen Begrifflichkeiten.

Da eine Datenanwendung des privaten Bereichs derzeit keine Personenbindung erhält (weil die Stammzahl nicht übermittelt werden darf), wird das bPK des Betroffenen beim Betroffenen selbst generiert. Eine Bestätigung der Personenidentifikationsdaten, wie es Art. 7 lit. f eIDAS-VO verlangt, wäre in der derzeitigen Konzeption unmittelbar nur bei der Verwendung der Bürgerkarte (nunmehr: E-ID) bei einer Anwendung des öffentlichen Bereichs durchführbar, weil nur dort die Signatur oder das Siegel der Stammzahlenregisterbehörde über den Personenbindungsdatensatz, der die Stammzahl enthält, beim Empfänger prüfbar ist. Demgegenüber ist nach dem derzeitigen Modell im privaten Bereich bzw. für ausländische Services diese Bestätigung der Identifikationsdaten nicht unmittelbar möglich, da – mangels Signatur oder Siegel der Stammzahlenregisterbehörde über das bPK – keine direkte Prüfbarkeit des bPK gegeben ist (eine Verifizierung könnte lediglich im Wege einer gesonderten ZMR-Abfrage erfolgen). Das nunmehr vorgesehene Modell des E-ID soll daher die direkte Prüfbarkeit des bPK sicherstellen, indem die bPK-Bildung immer an einer zentralen Stelle unter der Hoheit der Stammzahlenregisterbehörde stattfinden soll. Bei jeder Verwendung des E-ID wird eine Personenbindung erstellt und von der Stammzahlenregisterbehörde signiert oder besiegelt. Die elektronische Prüfung kann daher immer aufgrund der signierten oder besiegelten Personenbindung erfolgen. Die bisherige Prüfmöglichkeit der verwendeten Personenbindung des § 15 Abs. 2 letzter Satz über eine Anfrage beim ZMR kann daher entfallen. Bei der Verwendung des E-ID im privaten Bereich enthält die Personenbindung anders als bei der Verwendung im öffentlichen Bereich oder bei der Verwendung für Anwendungen im Ausland nur ein bPK zum E-ID-Inhaber. Vorname, Familienname, Geburtsdatum, weitere Merkmale sowie die Einzelvertretungsbefugnis können in die Personenbindung optional eingefügt werden, wenn der E-ID-Inhaber dem zustimmt. Im Gegensatz zum öffentlichen Bereich kann es für den E-ID-Inhaber im privaten Bereich interessant bzw. ausreichend sein, in bestimmten Fällen bloß Informationen über das Alter oder das Geburtsdatum, jedoch nicht weitere Identitätsdaten preiszugeben. Der E-ID-Inhaber erhält dadurch im privaten Bereich die Wahlmöglichkeit, ob er z. B. beim Nachweis der Volljährigkeit (etwa in Supermärkten, Trafiken, Bars oder Diskotheken) auch den Namen offenlegen möchte.

Zu Z 31 (§ 14a):

Bei der Verwendung des E-ID für E-ID-taugliche Anwendungen im Ausland werden diese ausländischen Services grundsätzlich wie Datenanwendungen des privaten Bereichs behandelt. Die bPK werden anstelle der Bereichskennung für den öffentlichen Bereich aber nicht mit der eigenen Stammzahl des ausländischen Anwendungsbetreibers sondern mit einem staatenspezifischen Kennzeichen oder bei Anwendungen internationaler Organisationen ein organisationsspezifisches Kennzeichen gebildet.

Da Art. 7 lit. f eIDAS-VO im grenzüberschreitenden Bereich jedenfalls eine Möglichkeit der Bestätigung der Personenidentifikationsdaten verlangt, hat die Personenbindung die im Fall der Verwendung des E-ID für E-ID-taugliche Anwendungen im Ausland neben dem bPK (gebildet mit einem staatenspezifischen Kennzeichen) jedenfalls auch Vorname, Name und Geburtsdatum des E-ID-Inhabers zu enthalten. Auch in diesem Fall ist es nach Maßgabe der technischen Möglichkeiten und mit Zustimmung des E-ID-Inhabers denkbar, dass weitere Merkmale in die Personenbindung eingefügt werden.

Zu Z 32 und 33 (§ 15):

Bei jeder Verwendung des E-ID wird nach dem nunmehrigen Modell die Personenbindung von der Stammzahlenregisterbehörde erstellt und von dieser signiert oder besiegelt. Es muss daher in Abs. 1 nicht mehr ausdrücklich geregelt werden, dass die Erzeugung des bPK im privaten Bereich nur durch die Stammzahlenregisterbehörde erfolgen darf. Aus demselben Grund kann daher auch der bisherige Abs. 2 entfallen.

Zu Z 34 (§ 18):

Im Rahmen der Nutzung des E-ID soll es hinkünftig dem E-ID-Inhaber möglich sein, neben den Kernidentitätsdaten (Vorname, Familienname, Geburtsdatum) weitere Merkmale aus elektronischen Registern eines Auftraggebers des öffentlichen Bereichs Dritten zu Verfügung zu stellen. Um den Inhalt der Merkmale allenfalls zu prüfen, steht dem E-ID-Inhaber selbstverständlich ein Einblick in diese Daten zu. Während in elektronischen Verfahren mit Auftraggebern des öffentlichen Bereichs nur eine Ergänzung der Kernidentitätsdaten durch zusätzliche Merkmale vorgesehen ist (§ 4 Abs. 5 iVm § 10 Abs. 1), kann der E-ID-Inhaber bei der Verwendung des E-ID im privaten Bereich die zu Verfügung zu stellenden Merkmale frei wählen (§ 14 Abs. 3). Dies ermöglicht den Nachweis bestimmter Informationen gegenüber einem Dritten bei freier Wahl der zu übermittelnden Zusatzinformationen.

Zur Nutzung des E-ID-Systems durch Private ist eine Überprüfung der verwendeten Anwendung erforderlich. Bei Vorliegen von Anhaltspunkten der missbräuchlichen Verwendung von Daten oder unzureichender Datensicherheitsmaßnahmen, kann eine Eröffnung der Nutzung unterbleiben oder nachträglich unterbunden werden. Die Vorgaben zur Eröffnung der Nutzung und des Unterbindens werden mittels Verordnung des Bundesministers für Inneres im Einvernehmen mit dem Bundeskanzler spezifiziert.

Zusätzlich ist vorgesehen, dass jede Transaktion in einer nur dem E-ID-Inhaber zugänglichen Form protokolliert wird. Damit soll im Sinne größtmöglicher Transparenz ausschließlich für den E-ID-Inhaber selbst jederzeit nachvollziehbar sein, an wen zu welchem Zeitpunkt welche Merkmale übermittelt wurden.

Zu Z 35 (§ 21a):

Die Haftung für Schäden, die auf eine Verletzung von im zweiten Kapitel der eIDAS-VO festgelegten pflichten zurückzuführen sind, ist in Artikel 11 eIDAS-VO geregelt. Bei den sonst anwendbaren Bestimmungen handelt es sich vor allem um Bestimmungen der Amtshaftung.

Nach Artikel 11 Abs. 4 der eIDAS-VO werden die die Haftung regelnden Absätze 1, 2 und 3 im Einklang mit den nationalen Vorschriften über die Haftung angewendet. Dazu zählen die Bestimmungen des Kollisionsrechts und des danach maßgeblichen österreichischen oder eines anderen zur Anwendung berufenen Sachrechts. Nach diesen Vorschriften richten sich daher insbesondere auch die Definitionen der in diesem Zusammenhang bedeutsamen Begriffe wie Schaden, Vorsatz und Fahrlässigkeit.

Nach Abs. 2 bleiben Ersatzansprüche gegenüber anderen Personen oder aus einem anderen Rechtsgrund unberührt. Damit wird klargestellt, dass die Haftungsbestimmung des Artikels 11 der eIDAS-VO der Inanspruchnahme anderer Personen oder von Beteiligten im Sinne des Artikel 11 Abs. 5 eIDAS-VO wegen anderer Sachverhalte als der Verletzung der in der eIDAS-VO festgelegten Pflichten nicht entgegensteht.

Zu Z 36 (§ 24 Abs. 6):

Die Notwendigkeit einer Vorlaufzeit für die technischen Anpassungen macht die spätere Anwendbarkeit der Bestimmungen erforderlich. Lediglich § 25 Abs. 2 und 3 sollen bereits ab Zeitpunkt des Inkrafttretens Anwendung finden, um die Durchführung eines Pilotbetriebes zu ermöglichen. Der Zeitpunkt für die Aufnahme des Echtbetriebes ist vom Bundesminister für Inneres im Bundesgesetzblatt zu veröffentlichen.

Zu Z 37 (§ 25):

In den Übergangsbestimmungen wird in Abs. 2 die Möglichkeit eines zeitlich, örtlich oder auf bestimmte Personengruppen eingeschränkten Pilotbetriebes des E-ID-Systems ab dem auf die Kundmachung des Bundesgesetzes folgenden Tag festgelegt. Dabei finden die Regelungen für das neue E-ID-System auf den Pilotbetrieb bereits Anwendung. Eine Erprobung des E-ID-Systems unter Verwendung von Echtdaten ist erforderlich, um realistische Rahmenbedingungen für den Pilotbetrieb zu schaffen und damit einen höheren Erfahrungsgewinn für das Echtsystem zu erlangen. Voraussetzung für die Durchführung eines Pilotbetriebes ist weiters die Freiwilligkeit der teilnehmenden Personen.

In Abs. 3 wird klargestellt, dass die neuen Bestimmungen im Zusammenhang mit dem E-ID mit Ausnahme des § 25 Abs. 2 und 3 erst ab dem Zeitpunkt der Aufnahme des Echtbetriebes Anwendung finden. Für die bestehenden sowie bis dahin ausgestellten Bürgerkarten gilt die bisherige Rechtslage unverändert. Ab Aufnahme des Echtbetriebes werden bestehende Bürgerkarten bereits am neuen technischen System teilnehmen, die Einsatzmöglichkeiten der bestehenden Bürgerkarten werden nur nach Maßgabe der technischen Möglichkeiten auf jene des E-ID erweitert. Mit Verordnung des Bundesministers für Inneres im Einvernehmen mit dem Bundeskanzler kann ein vereinfachter Prozess für den Umstieg von der Bürgerkarte auf den E-ID vorgesehen werden, um möglichst einfach die Teilnahme am neuen System zu ermöglichen.

Zu Z 38 bis 40 (§ 28 Z 1, 4 und 4a):

Die Z 1 wird an die Neufassung von § 4 Abs. 8 angepasst.

In Z 4 werden jene Regelungen genannt, die im Rahmen des E-ID-Systems vom Bundesminister für Inneres vollzogen werden. Da die bisherige Prüfmöglichkeit der Richtigkeit der vom Betroffenen verwendeten Personenbindung des § 15 Abs. 2 letzter Satz über eine Anfrage beim ZMR entfallen soll, entfällt für diesen Fall im Vergleich zur geltenden Fassung auch die Vollziehungskompetenz des Bundesministers für Inneres.

In Z 4a werden die Regelungen genannt, in denen der Bundesminister für Inneres zur Erlassung einer Verordnung im Einvernehmen mit dem Bundeskanzler ermächtigt wird.