2006/J XXVII. GP
Eingelangt am 15.05.2020
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind
möglich.
Anfrage
der Abgeordneten Douglas Hoyos-Trauttmansdorff, Kolleginnen und Kollegen
an die Bundesministerin für Digitalisierung und Wirtschaftsstandort
betreffend Ergänzungsregister für sonstige Betroffene
Im Jahr 2004 wurden mit dem E-Government-Gesetz (E-GovG) das Ergänzungsregister für natürliche Personen (ERnP) und das Ergänzungsregister für sonstige Betroffene (ERsB) eingeführt. Personen und Entitäten, die weder im Zentralen Melderegister noch im Firmenbuch oder Vereinsregister eingetragen sind, wird mit Hilfe dieser Ergänzungsregister der Zugang zur elektronischen Verwaltung mittels Bürgerkarte ermöglicht. In das Ergänzungsregister für natürliche Personen (ERnP) werden Personen eingetragen, die nicht im Zentralen Melderegister eingetragen sind (z.B. Auslandsösterreicher_innen); dieses ist nicht öffentlich. Das Ergänzungsregister für sonstige Betroffene (ERsB) wurde für nicht-natürliche Personen eingerichtet, die weder im Firmenbuch noch im Vereinsregister eingetragen sind. Zweck der Eintragung in die Ergänzungsregister ist der elektronische Nachweis der eindeutigen Identität der betroffenen Person. Die auf Basis des E-Government-Gesetzes erlassenen Ergänzungsregisterverordnungen (ERegV) der damaligen Bundeskanzler Wolfgang Schüssel (BGBl. II Nr. 241/2005) und Werner Faymann (BGBl. II Nr. 331/2009) sehen beide vor, dass das ERsB als öffentliches Register für jeden verfügbar im Internet zu führen ist. Im E-GovG ist dies jedoch nicht vorgeschrieben.
Durch die BMG-Novelle 2017 wechselten die Angelegenheiten des E-Governments von Bundeskanzleramt und Bundesministerium für Finanzen zum Bundesministerium für Digitalisierung und Wirtschaftsstandort (BMDW). Mit der Novelle des E-Government-Gesetzes 2018 wurden auch die Ergänzungsregister ERnp und ERsB zum BMDW verlegt. Seit diesem Zeitpunkt ist die BMDW Stammzahlenregisterbehörde und führt in dieser Funktion die Ergänzungsregister.
Anfang Mai 2020 deckten NEOS gemeinsam mit Datenschutzexpert_innen von epicenter.works auf, dass im Ergänzungsregister für sonstige Betroffene unter https://www.ersb.gv.at/ Schätzungen zufolge private Daten von bis zu einer Million Bürger_innen frei zugänglich online einsehbar waren. Unter anderem waren Namen, Privatadressen, Geburtsdaten und Angaben zum Steuerprozedere abrufbar. Am 07.05.2020 wurde das ERsB offline genommen. Wie viele Daten tatsächlich online zu finden waren, ist derzeit noch unklar. Weiters ist unklar, welche Daten sich im ERsB befinden und welche Stellen dieses Register befüllen. Bisher wurde bekannt, dass die Finanzämter und die Statistik Austria Eintragungen im ERsB vornehmen. Aber auch die Wirtschaftskammer scheint auf mehreren Auszügen aus dem ERsB als Eintragungsstelle auf.
Ans Licht der Öffentlichkeit geriet das Ergänzungsregister für sonstige Betroffene durch das Prozedere zum Covid-19-Härtefallfonds. Für den Antrag beim Härtefallfonds mussten Selbstständige die Nummer aus dem ERsB angeben. Laut Statistik Austria, welche das ERsB hostet, gab es davor durchschnittlich 200 bis 300 Abfragen pro Tag, seit Einrichtung des Härtefallfonds sei es zu Spitzen von bis zu 70.000 Abfragen gekommen.
Die unterfertigten Abgeordneten stellen daher folgende
1. Seit wann gibt es das Ergänzungsregister für sonstige Betroffene (ERsB)?
2. Seit wann wird das ERsB vom BMDW geführt?
3. Seit wann wird das ERsB als öffentliches Register im Internet geführt?
4. Wann waren Ihrem Ministerium oder Behörden in Ihrem Einflussbereich das erste Mal Datenschutzprobleme in Bezug auf das ERsB bekannt?
5. Wann und wie oft wurde eine Datenschutzfolgeabschätzung für das ERsB durchgeführt?
6. Gab es eine Prüfung des ERsB als es in den Einflussbereich des BMDW wechselte?
7. Wie viele Personen sind im ERsB eingetragen?
8. Wie viele nicht-natürliche Personen oder Entitäten sind im ERsB eingetragen?
9. Wie viele natürliche Personen sind im ERsB eingetragen?
10. Wie viele Datensätze sind sind im ERsB insgesamt abgespeichert?
11. Wie viele Personen waren am 07.05.2020 vor der Offlinenahme der Seite https://www.ersb.gv.at/ im ERsB eingetragen?
12. Wie viele nicht-natürliche Personen oder Entitäten waren am 07.05.2020 vor der Offlinenahme der Seite https://www.ersb.gv.at/ im ERsB eingetragen?
13. Wie viele natürliche Personen waren am 07.05.2020 vor der Offlinenahme der Seite https://www.ersb.gv.at/ im ERsB eingetragen?
14. Wie viele Datensätze waren am 07.05.2020 vor der Offlinenahme der Seite https://www.ersb.gv.at/ im ERsB abgespeichert?
15. Um wie viel Uhr wurde das ERsB am 07.05.2020 offline genommen?
16. Warum wurde das ERsB am 07.05.2020 offline genommen?
17. Wie geschah diese Offlinenahme?
18. War das ERsB nach Offlinenahme der Seite https://www.ersb.gv.at/ unter einer anderen URL im Internet zugänglich?
a. Wenn ja, wie lange?
19. Welche Stellen haben seit der Offlinenahme des ERsB noch Zugriff darauf?
20. Werden die Betroffenen von Ihrem Ministerium im Sinne eines data breaches informiert?
21. Welche technischen und organisatorischen Maßnahmen wurden getroffen, um die Betroffenenrechte im Sinne der DSGVO zu wahren?
22. Werden Betroffene vor Eintragung in das ERsB über die bevorstehende Eintragung informiert?
23. Werden Betroffene nach Eintragung in das ERsB über die erfolgte Eintragung informiert?
24. Werden Betroffene über Änderungen ihrer Daten im ERsB informiert?
25. Werden in das ERsB eingetragene Personen über ihre Betroffenenrechte im Sinne der DSGVO informiert?
26. Werden Protokollierungen über Zugriffe auf das ERsB geführt und falls ja, wie lange werden diese aufgehoben und wie detailliert sind diese?
27. Werden Protokollierungen über Abfragen aus dem ERsB geführt und falls ja, wie lange werden diese aufgehoben und wie detailliert sind diese?
28. Wie viele Zugriffe auf das ERsB gab es seit 01.01.2020 aufgeschlüsselt pro Kalenderwoche?
a. Wie viele davon kamen nicht aus Österreich?
29. Wie viele Abfragen aus dem ERsB gab es seit 01.01.2020 aufgeschlüsselt pro Kalenderwoche?
a. Wie viele davon kamen nicht aus Österreich?
30. Ist Ihnen bekannt, welche Behörden und anderen staatlichen Stellen auf Daten im ERsB zugreifen bzw. zugriffen? Wenn ja, welche?
31. Ist Ihnen bekannt, welche sonstigen Stellen auf Daten im ERsB zugreifen bzw. zugriffen? Wenn ja, welche?
32. Ist Ihnen bekannt, ob die Wirtschaftskammer auf Daten im ERsB zugreift bzw. zugriff?
33. Welche Personen oder Entitäten werden bzw. wurden in das ERsB eingetragen?
a. Nach welchen Kriterien werden bzw. wurden diese ausgewählt?
b. Auf welcher Rechtsgrundlage erfolgen bzw. erfolgten die jeweiligen Eintragungen?
34. Welche Arten von nicht-natürliche Personen, die weder im Firmenbuch noch im Vereinsregister eingetragen sind, können bzw. konnten ins ERsB eingetragen werden?
a. Fallen Kirchen darunter?
b. Fallen Gemeinden darunter?
c. Fallen Parteien darunter?
d. Fallen Universitäten darunter?
e. Fallen Bietergemeinschaften darunter?
f. Fallen Arbeitsgemeinschaften (ARGE) darunter?
g. Fallen Gesellschaften bürgerlichen Rechts (GesbR) darunter?
35. Aus welchem Grund werden bzw. wurden laut der Webseite des BMDW auch Einzelunternehmer, die nicht im Firmenbuch oder Vereinsregister eingetragen sein müssen, in das ERsB eingetragen (siehe https://www.bmdw.gv.at/Ministerium/DasBMDW/Stammzahlenregisterbehoerde/Ergaenzungsregister/Ergaenzungsregister-fuer-sonstige-Betroffene-.html, abgerufen am 13.05.2020)?
a. Auf welcher Rechtsgrundlage basieren bzw. basierten diese Eintragungen?
b. Nach welchen Kriterien werden bzw. wurden die betroffenen Einzelunternehmer ausgewählt?
c. Wofür ist die Eintragung von Einzelunternehmern notwendig?
d. Inwiefern sind Einzelunternehmer nicht-natürliche Personen?
e. Werden bzw. wurden Einzelunternehmer auch in das ERsB eingetragen, wenn sie bereits im Zentralen Melderegister eingetragen sind?
36. Werden bzw. wurden Einzelunternehmer (auch) in das Ergänzungsregister für natürliche Personen (ERnP) eingetragen?
a. Wenn ja, warum?
b. Wenn ja, auf welcher Rechtsgrundlage?
c. Wenn ja, nach welchen Kriterien werden bzw. wurden diese ausgewählt?
d. Werden bzw. wurden diese auch in das ERnP eingetragen, wenn sie bereits im Zentralen Melderegister eingetragen sind?
e. Wenn nein, warum nicht?
37. Werden bzw. wurden auch natürliche Personen in das ERsB eingetragen, die im Zentralen Melderegister eingetragen sind?
a. Wenn ja, warum?
b. Wenn ja, auf welcher Rechtsgrundlage?
c. Wenn ja, welche und nach welchen Kriterien werden bzw. wurden diese ausgewählt?
38. Werden bzw. wurden auch natürliche Personen in das ERsB eingetragen, die nicht im Zentralen Melderegister eingetragen sind?
a. Wenn ja, warum?
b. Wenn ja, auf welcher Rechtsgrundlage?
c. Wenn ja, welche und nach welchen Kriterien werden bzw. wurden diese ausgewählt?
39. Gibt bzw. gab es einen Abgleich der Personen im ERsB mit dem Firmenbuch, dem Zentralen Melderegister oder anderen Registern?
40. Welche Daten werden bzw. wurden in das ERsB eingetragen?
41. Woher kommen diese Daten?
42. Welche Daten neben Name, Adresse und Geburtsdatum werden bzw. wurden in das ERsB eingetragen?
43. Welche Kalendertage ("Stichtag", "eingetragen am ...", "eingelangt am ...", etc.) werden bzw. wurden in das ERsB eingetragen?
a. Was bedeutet "Stichtag" am Auszug aus dem ERsB?
b. Was bedeutet "eingetragen am" am Auszug aus dem ERsB?
c. Was bedeutet "eingelangt am" am Auszug aus dem ERsB?
44. Was bedeutet "wurde vollzogen" am Auszug aus dem ERsB?
45. Können bzw. konnten vor Offlinenahme der Seite https://www.ersb.gv.at/ am 07.05.2020 alle Daten, die im ERsB eingetragen sind, abgerufen werden oder sind mehr Daten im ERsB abgespeichert als abrufbar?
a. Wenn mehr Daten abgespeichert sind als abrufbar, welche sind das?
46. Welche Stellen können bzw. konnten Eintragungen in das ERsB vornehmen oder Daten in das ERsB einspeisen?
47. Welche Stellen nehmen bzw. nahmen Eintragungen in das ERsB vor oder speisen bzw. speisten Daten in das ERsB ein?
48. Ist Ihnen bekannt, ob die Wirtschaftskammer Eintragungen in das ERsB vornimmt bzw. vornahm oder Daten in das ERsB einspeist bzw. einspeiste?
49. Wie laufen bzw. liefen die Eintragungen und Dateneinspeisungen ins ERsB ab?
50. Was bedeutet "Eintragungsstelle: Steuer" am Auszug aus dem ERsB?
51. Was bedeutet "Eintragungsstelle: Behörde" am Auszug aus dem ERsB?
52. Was bedeutet "Eintragungsstelle: Wirtschaftskammer" am Auszug aus dem ERsB?
53. Wie hoch ist bzw. war der Anteil der Eintragungen im ERsB, die durch das Bundesministerien für Finanzen (BMF) bzw. die Finanzämter vorgenommen werden?
54. Wie oft werden bzw. wurden die Daten im ERsB auf ihre aktuelle Richtigkeit überprüft?
55. Werden bzw. wurden die Daten im ERsB automatisiert auf ihre aktuelle Richtigkeit überprüft? Wenn ja, wie oft?
56. Wie oft werden bzw. wurden die Daten im ERsB aktualisiert?
57. Werden bzw. wurden die Daten im ERsB automatisiert aktualisiert? Wenn ja, wie oft?
58. Welche Stellen nehmen bzw. nahmen Aktualisierungen der Daten im ERsB vor?
59. Wie lange werden bzw. wurden die Daten im ERsB gespeichert?
60. Gibt es eine Maximalspeicherdauer? Wenn ja, wie lange ist diese?
61. Wann werden bzw. wurden Daten im ERsB gelöscht?
62. Werden bzw. wurden Daten im ERsB automatisiert gelöscht?
a. Wenn ja, in welchen Fällen?
63. Welche Stellen nehmen bzw. nahmen Löschungen von Daten im ERsB vor?
64. Seit wann hostet die Statistik Austria das ERsB?
65. Wer hat es davor gehostet?
66. Welche Aufgaben und Pflichten hat die Statistik Austria im Hinblick auf das ERsB?
67. Welche Sicherheitsmaßnahmen wurden im ERsB eingerichtet?
a. Wann wurden diese eingerichtet?
68. Gibt es Sicherheitsmaßnahmen, die verhindern, dass Daten aus dem ERsB automatisiert abgesaugt werden können?
a. Wenn ja, seit wann?
69. Können Sie ausschließen, dass seit dessen Bestehen Daten aus dem ERsB abgezogen wurden?
70. Können Sie ausschließen, dass Daten aus dem ERsB abgezogen wurden seit das ERsB vom BMDW geführt wird?
71. Können Sie ausschließen, dass seit dessen Bestehen Daten in großer Menge aus dem ERsB abgezogen wurden?
72. Können Sie ausschließen, dass Daten in großer Menge aus dem ERsB abgezogen wurden seit das ERsB vom BMDW geführt wird?
73. Gemäß § 7 E-GovG hat die Stammzahlenregisterbehörde, also das BMDW, stichprobenartig die ordnungsgemäße Erfüllung der Aufgaben der Auftragsverarbeiter in Bezug auf das ERsB zu prüfen. Laut den Materialien zur E-Government-Gesetz-Novelle 2007 umfasst diese Kontrolle "beispielsweise die Prüfung der Maßnahmen zur Gewährleistung der Datensicherheit sowie die Kontrolle, dass die Daten Unbefugten nicht zugänglich sind und ordnungsgemäß verwendet werden". Inwiefern ist die BMDW seit das ERsB vom BMDW geführt wird, ihrer Verpflichtung zur regelmäßige Kontrolle der Dienstleistertätigkeiten nachgekommen?
a. Wie oft hat das BMDW seit das ERsB vom BMDW geführt wird, derartige Überprüfungen bei welchen Auftragsverarbeitern durchgeführt? Bitte um Auflistung nach Datum sowie Inhalt der Überprüfung und Auftragsverarbeiter.
74. Einer Präsentation des BMF aus dem Jahr 2006 zufolge war vorgesehen, dass eine Abfrage des ERsB nur mit Bürgerkarte, also nicht anonym, möglich sein soll. Ist Ihnen bekannt, ob das tatsächlich geplant war?
a. Ist Ihnen bekannt, warum das nicht umgesetzt wurde?
75. Welche elektronischen Register der österreichischen Bundesverwaltung gibt es?
a. Welche davon werden (zumindest teilweise) öffentlich geführt?
b. Welche davon werden vom BMDW bzw. dessen Dienststellen geführt?