Neu im Verfassungsausschuss

Wien (PK) – Die Regierungsparteien plädieren vor dem Hintergrund der neuen eIDAS-Verordnung der Europäischen Union dafür, die Bürgerkarte zu einem elektronischen Identitätsnachweis (E-ID) weiterzuentwickeln, und haben eine entsprechende Änderung des E-Government-Gesetzes beantragt (2227/A). Insbesondere geht es darum, die Einsatzmöglichkeiten der "Bürgerkarte" zu erweitern und ihre Nutzung in anderen europäischen Ländern zu erleichtern, was nicht nur einen neuen Registrierungsprozess, sondern auch eine adaptierte technische Lösung notwendig macht. Außerdem werden mit dem von Peter Wittmann (S) und Wolfgang Gerstl (V) vorgelegten Gesetzentwurf die erforderlichen rechtlichen Rahmenbedingungen für die Verwendung notifizierter elektronischer Identifizierungsmittel aus anderen EU-Staaten auch für österreichische Online-Services geschaffen.

Gemäß dem Gesetzentwurf soll die bewährte Funktion der österreichischen Bürgerkarte, insbesondere in ihrer Ausprägung als Handy-Signatur, grundsätzlich bestehen bleiben. Der E-ID wird aber deutlich mehr Einsatzmöglichkeiten haben. So wird man künftig etwa unter Einsatz des elektronischen Identitätsnachweises nicht nur die Kernidentitätsdaten (Vorname, Familienname, Geburtsdatum), sondern auch Daten aus behördlichen Registern übermitteln können. Das betrifft beispielsweise Führerschein- und Meldedaten oder Staatsbürgerschaftsnachweise.

Automatische Erstellung eines E-ID bei Reisepass-Beantragung

Um eine eindeutige Identifizierung zu gewährleisten und Missbrauch zu verhindern, wird die Registrierung eines E-ID ausschließlich bei den Passbehörden bzw. bei gemäß dem Passgesetz ermächtigen Gemeinden und Landespolizeidirektionen möglich sein. Gleichzeitig ist vorgesehen, bei der Beantragung eines Reisepasses automatisch auch gleich einen E-ID für die betreffende Person zu erstellen, wenn das nicht ausdrücklich abgelehnt wird. Auch ausländischen StaatsbürgerInnen steht, im Falle eines ausreichenden Inlandsbezugs, die Registrierung offen. Die Gültigkeit ihres Zertifikats wird jedoch auf drei Jahre beschränkt, wenn sie keinen Hauptwohnsitz in Österreich haben. Die Prüfung der Identität ausländischer Antragsteller ist den Landespolizeidirektionen vorbehalten.

Im Zuge der Registrierung werden unter anderem Name, Geburtsdatum, Geburtsort, Geschlecht, Staatsangehörigkeit, Zustelladresse, das Lichtbild und der Identitätscode sowie gegebenenfalls auch Telefonnummer und E-Mail-Adresse gespeichert, wobei eine Mobil-Telefonnummer Voraussetzung ist, um den E-ID wie bei der derzeitigen Handy-Signatur zu verwenden. Änderungen bei der Telefonnummer und bei der E-Mail-Adresse sollen online selbst vorgenommen werden können.

Unter bestimmten Voraussetzungen kann der E-ID auch vorläufig ausgesetzt bzw. widerrufen werden, etwa bei missbräuchlicher Verwendung oder wenn es der Inhaber des E-ID verlangt. Auch im Todesfall ist ein Widerruf vorgesehen.

"bPK" dürfen nur noch von Stammzahlenregisterbehörde erstellt werden

Adaptierungen gibt es auch in Bezug auf die technische Lösung. So wird es künftig nur mehr einer zentralen Stelle, der Stammzahlenregisterbehörde und den von ihr beauftragten Dienstleistern, möglich sein, bereichsspezifische Personenkennzeichen (bPK) zu erstellen. Bei jeder Verwendung des E-ID wird eine Personenbindung erstellt und von der Stammzahlenregisterbehörde signiert und besiegelt. Dadurch soll die Verwendung der österreichischen E-ID im Ausland erleichtert werden.

Welche Daten jeweils an Dritte weitergeleitet werden, liegt in der Entscheidung des Betroffenen. So wird es im privaten Bereich etwa auch möglich sein, nur das Geburtsdatum – ohne Offenlegung des Namens – nachzuweisen, etwa in Supermärkten, Trafiken oder Bars. Auch die Einfügung von Vertretungsbefugnissen in die Personenbindung durch die Stammzahlenregisterbehörde ist möglich.

Öffentliche Stellen und Privatunternehmen, die die Verwendung des E-ID anbieten, müssen sich einmalig bei Stammzahlenregisterbehörde registrieren, damit immer das korrekte bPK für die jeweilige Anwendung übermittelt werden kann. Bei Vorliegen von Anhaltspunkten der missbräuchlichen Verwendung oder unzureichenden Datensicherheitsmaßnahmen kann eine Eröffnung der Nutzung unterbleiben oder nachträglich unterbunden werden. Außerdem wird jede Transaktion in einer nur dem E-ID-Inhaber zugänglichen Form protokolliert. Das heißt, er kann jederzeit nachvollziehen, an wen und zu welchem Zeitpunkt welche Merkmale übermittelt wurden. Aus Gründen des Datenschutzes wird zudem die Stammzahl natürlicher Personen künftig nur noch in verschlüsselter Form dauerhaft gespeichert.

Gegenseitige Anerkennung elektronischer Identifizierungsmittel

Gemäß der eIDAS-Verordnung werden die in den einzelnen EU-Ländern zugelassenen elektronischen Identifizierungsmittel den Sicherheitsstufen "niedrig", "substanziell" und "hoch" zugeordnet, wobei die Regierungsparteien davon ausgehen, dass der österreichische E-ID das Sicherheitsniveau "hoch" erhält.

Öffentliche Stellen müssen grundsätzlich auch elektronische Identifizierungsmittel aus anderen EU-Staaten anerkennen, wenn diese den geforderten Sicherheitsstandards entsprechen oder diese übererfüllen. Österreich sieht in diesem Sinn – bei Vorliegen der technischen Voraussetzungen – eine Verwendungsmöglichkeit eines in einem anderen EU-Land zugelassenen Identifikationsmittels spätestens sechs Monate nach dessen Notifizierung durch die EU-Kommission vor. In technischer Hinsicht ist der Eintrag der Person, die ein ausländisches Identifizierungsmittel verwendet, in das Ergänzungsregister vorgesehen: Damit wird sichergestellt, dass bei der Verwendung, wie bei der Nutzung des E-ID, eine Personenbindung erstellt wird. Auftraggebern des privaten Bereich steht die Zulassung ausländischer Identifizierungsmittel frei.

Angewendet werden sollen die neuen Bestimmungen sobald die technischen und organisatorischen Voraussetzungen für den Echtbetrieb des E-ID vorliegen. Der genaue Zeitpunkt ist vom Innenminister im Bundesgesetzblatt kundzumachen. Bereits zuvor ist auf Basis der Bestimmungen des Gesetzes ein beschränkter Pilotbetrieb möglich. Bürgerkarten, die bis zur Aufnahme des Echtbetriebs ausgestellt wurden, sollen, basierend auf ihrer bisherigen Einsatzmöglichkeit, in das neue technische System implementiert werden.

Ausdrücklich wird darauf hingewiesen, dass der vorliegende Gesetzentwurf gemäß den EU-Vorgaben notifiziert wurde. Die Anpassung des E-Government-Gesetzes an die neue Datenschutz-Grundverordnung der EU soll den Erläuterungen zufolge gesondert erfolgen. (Schluss) gs