Entwurf
Erläuterungen
I. Allgemeiner Teil
Der Anpassungsbedarf im E‑Government-Gesetz (E-GovG) ergibt sich einerseits aufgrund der Notwendigkeit der Umsetzung unionsrechtlicher Vorgaben. Die eIDAS-Verordnung (eIDAS-VO) harmonisiert nicht die bereits in den Mitgliedstaaten bestehenden elektronischen Identitätsmanagementsysteme und zugehörige Infrastrukturen, sondern schafft den Rechtsrahmen zur gegenseitigen Anerkennung der verschiedenen elektronischen Identifizierungsmittel unter bestimmten normierten Voraussetzungen. Mit dem vorliegenden Entwurf sollen die rechtlichen Rahmenbedingungen geschaffen werden, um notifizierte elektronische Identifizierungsmittel anderer EU-Mitgliedstaaten für österreichische Online-Services gleichwertig verwenden zu können, sofern die notwendigen Voraussetzungen vorliegen.
Andererseits wird im Sinne eines sicheren, modernen, digitalen Identitätsmanagements die Bürgerkarte hin zu einem umfassenden elektronischen Identitätsnachweis (E-ID) weiterentwickelt. Dabei wird nicht nur ein Augenmerk auf einen sicheren, behördlichen Registrierungsprozess gelegt, sondern es werden auch die Nutzungsmöglichkeiten eines elektronischen Identitätsnachweises maßgeblich erweitert. Im Vergleich zur Bürgerkarte soll es mit dem E-ID künftig auch möglich sein, an Dritte den Nachweis von Daten aus Registern von Auftraggebern des öffentlichen Bereichs (etwa Personenstands-, Melde- oder Staatsbürgerschaftsdaten) zu erbringen.
Wesentlicher und integraler Bestandteil des neuen E-ID-Systems ist der hoheitliche Registrierungsprozess. Die Vornahme der Registrierung bei inländischen Behörden, die üblicherweise mit der Überprüfung von Identitätsdokumenten betraut sind, trägt maßgeblich zur Feststellung der eindeutigen Identität und damit zu einem sicheren Registrierungsprozess bei.
Die bewährte Funktion der österreichischen Bürgerkarte (nunmehr: E-ID), insbesondere in ihrer Ausprägung als Handy-Signatur, bleibt somit grundsätzlich bestehen und erfährt im Hinblick auf die künftige rechtliche Anerkennung in den anderen EU-Mitgliedstaaten eine deutliche Ausweitung ihrer Einsatzmöglichkeiten. Durch eine gegenseitige Anerkennung elektronischer Identifizierungsmittel, die in den Mitgliedstaaten zumindest die Authentifizierung für öffentliche Dienste ermöglichen, soll die grenzüberschreitende Erbringung von Dienstleistungen im Binnenmarkt deutlich erleichtert und der „digitale Binnenmarkt“ insgesamt gestärkt werden. Im Hinblick auf die Interoperabilität der österreichischen Lösung, aber auch um die Voraussetzungen für die Anerkennung elektronischer Identifizierungsmittel anderer Mitgliedstaaten in Österreich zu schaffen, sind diverse legistische Anpassungen notwendig. Weiters wird mit dieser Novelle der technischen Weiterentwicklung Rechnung getragen und an einigen Stellen im Gesetz eine Klarstellung vorgenommen.
Die Änderungen im E-GovG sollen insgesamt ein einheitliches Rahmenwerk für das elektronische Identitätsmanagement bieten und den ordnungspolitischen Rahmen für den Umgang mit elektronischen Identitätsnachweisen sicherstellen.
Die Hauptgesichtspunkte sind:
• Weiterentwicklung der „Bürgerkarte“ zu „Elektronischem Identitätsnachweis (E-ID)“
• Zukünftig sollen Applikationen – sei es aus dem hoheitlichen oder dem privaten Bereich – bereichsspezifische Personenkennzeichen nicht mehr selbst berechnen dürfen. Dieser Vorgang soll an einer vertrauenswürdigen, zentralen Stelle (Stammzahlenregisterbehörde bzw. bei einem ihrer Dienstleister) vorgenommen werden. Dies ermöglicht es auch nicht österreichischen Applikationen, den österreichischen E-ID ohne zusätzlichen Aufwand zu integrieren.
• Bei jeder Verwendung des E-ID wird immer eine Personenbindung erstellt und signiert oder besiegelt. Damit wird auch gewährleistet, dass andere Mitgliedstaaten diese aus Österreich stammenden Personenidentifizierungsdaten sofort verifizieren können.
• Der Registrierungsprozess eines E-ID wird in Bezug auf die Sicherstellung der eindeutigen Identifizierung des E-ID-Werbers auf ein noch höheres Niveau gehoben. Die Identifizierung des E-ID-Werbers soll nunmehr ausschließlich bei Passbehörden, bei nach § 16 Abs. 3 Passgesetz 1992, BGBl. Nr. 839/1992, ermächtigten Gemeinden, Landespolizeidirektionen oder anderen geeigneten Behörden möglich sein. Im Zuge der Beantragung eines Reisedokuments wird die Registrierung eines E-ID nun von Amts wegen durchgeführt. Weiters wird im Registrierungsprozess eines E-ID die Möglichkeit geschaffen, die vorgelegten Ausweisdaten wie z. B. Reisepassnummer in den entsprechenden Registern abzufragen und gegenüber den von Sicherheitsbehörden geführten Fahndungsevidenzen abzugleichen, um damit das Risiko mindern zu können, dass die Identität der Personen nicht mit der beanspruchten Identität übereinstimmt.
• Neben den Kernidentitätsdaten (Vorname, Familienname, Geburtsdatum) sollen in Zukunft für Personen auch weitere Merkmale (z. B. Staatsbürgerschaft) in gesicherter Form einer Datenanwendung im öffentlichen Bereich zur Verfügung gestellt werden können. Bei der Verwendung des E-ID im privaten Bereich wird jedenfalls ein bPK zum E-ID-Inhaber zur Verfügung gestellt. Vorname, Familienname, Geburtsdatum bzw. weitere Merkmale können in die Personenbindung optional eingefügt werden, wenn der Betroffene dem zustimmt.
• Elektronische Identifizierungsmittel anderer Mitgliedstaaten der EU, die die Anforderungen nach Art. 6 Abs. 1 eIDAS-VO erfüllen, sollen in Österreich spätestens sechs Monate nach deren Notifizierung gemäß Art. 9 eIDAS-VO wie ein E-ID für Zwecke der eindeutigen Identifikation verwendet werden können.
• Für Personen, die ein notifiziertes elektronisches Identifizierungsmittel eines anderen Mitgliedstaates verwenden, wird – sofern ein solcher nicht bereits besteht – ein Eintrag im Ergänzungsregister und eine Personenbindung wie bei Verwendung des E-ID erstellt. Der allfällige Eintrag im Ergänzungsregister erfolgt auf Basis der vom notifizierten elektronischen Identifizierungsmittel des anderen Mitgliedstaates übermittelten Daten.
• Es werden Haftungsbestimmungen im Einklang mit den Vorgaben der eIDAS-VO eingeführt.
• Weiters wird mit dieser Novelle der technischen Weiterentwicklung der elektronischen Einzelvertretungsbefugnisse Rechnung getragen. Die Einzelvertretungsbefugnis kann von der Stammzahlenregisterbehörde in die Personenbindung eingefügt und somit der Applikation zur Verfügung gestellt werden. Dabei darf die Stammzahlenregisterbehörde auch auf Angaben zu Vertretungsverhältnissen in Datenanwendungen anderer Auftraggeber des öffentlichen Bereichs (z. B. das Unternehmensserviceportal) zurückgreifen.
Zuständigkeit des Bundes
Die Zuständigkeit des Bundes zur Gesetzgebung und Vollziehung beruht auf den Kompetenztatbeständen
- „Angelegenheiten des Schutzes personenbezogener Daten im automationsunterstützten Datenverkehr“ gemäß § 2 des Datenschutzgesetzes 2000, weiters auf die Bedarfsgesetzgebungskompetenz für das Verwaltungsverfahren nach Art. 11 Abs. 2 B-VG,
- „Meldewesen“ gemäß Art. 10 Abs. 1 Z 7 B-VG und
- „Passwesen“ gemäß Art. 10 Abs. 1 Z 3 B-VG.
II. Besonderer Teil
Zu Artikel 1 (Änderung des E‑Government-Gesetzes)
Zu Z 1 bis 9, 14, 17, 20 und 23 (Inhaltsverzeichnis, Überschrift des 2. Abschnitts, § 6 Abs. 1 und Abs. 4 vierter Satz, § 8, § 10 Abs. 2):
Es erfolgen redaktionelle Anpassungen aufgrund der neuen Begrifflichkeiten.
Zu Z 10 (§ 2 Z 10):
Der Begriff der „Bürgerkarte“ soll ersetzt werden. Dieser hat sich in der Praxis aufgrund des technischen Fortschritts zunehmend als irreführend erwiesen, weil der Begriff „Karte“ eine technische Einschränkung auf ein bestimmtes Medium (Chip-Karte) impliziert. Das technologieoffene System des Bürgerkartenkonzepts eröffnete hingegen seit Einführung, dass die Daten der Bürgerkarte an unterschiedlichen physischen Orten gespeichert werden konnten (vgl. die Legaldefinition der Bürgerkarte als „logische Einheit“ in § 2 Z 10 E-GovG) und nicht zwingend an einen Speicherort oder ein Medium gebunden sind. Damit ist auch schon nach der bisher geltenden Rechtslage die „Handy-Signatur“ eine Bürgerkarte iSd § 2 Z 10 E-GovG aF. Wenngleich dies in rechtlicher Hinsicht immer klar war, stieß die Bezeichnung in praktischer Hinsicht auf Missverständnisse. In Zukunft soll daher stattdessen der allgemeine Begriff „Elektronischer Identitätsnachweis (E-ID)“ verwendet werden, da dieser dem technologieneutralen Ansatz eher gerecht wird und auch der vorgesehenen technischen Weiterentwicklung und den neuen Funktionalitäten Rechnung trägt. Es wird davon auszugehen sein, dass der österreichische E-ID das Sicherheitsniveau „hoch“ gemäß Art. 8 Abs. 2 lit. c eIDAS-VO erfüllen wird.
Zu Z 11 (§ 4):
Es erfolgen redaktionelle Anpassungen aufgrund der neuen Begrifflichkeiten.
Die Personenbindung kann künftig anstelle der Stammzahl nur mit einem oder mehreren bPK gebildet werden. Zusätzlich zu einem oder mehreren bPK und abhängig, ob sie für den öffentlichen oder privaten Bereich oder für Anwendungen im Ausland verwendet werden soll, kann die Personenbindung auch Vornamen, Familiennamen, Geburtsdatum oder weitere Merkmale zum E-ID-Inhaber enthalten. Mit dem elektronischen Siegel der Stammzahlenregisterbehörde bestätigt diese, dass das oder die bPK, der Vorname, der Familienname und das Geburtsdatum dem E-ID-Inhaber zur eindeutigen Identifikation zugeordnet wurden. Allenfalls weitere in der Personenbindung enthaltene Merkmale werden ebenso von der Stammzahlenregisterbehörde besiegelt. Da für die Richtigkeit dieser Daten aber jener Auftraggeber des öffentlichen Bereichs aus dessen Register diese Merkmale bezogen wurden verantwortlich ist, kann die Stammzahlenregisterbehörde mit ihrem Siegel lediglich die unversehrte Einfügung dieser Merkmale in die Personenbindung bestätigen. Die Personenbindung wird bei jeder Verwendung des E-ID im elektronischen Verkehr entweder im öffentlichen Bereich (Abs. 5), im privaten Bereich (§ 14 Abs. 3) oder für Anwendungen im Ausland (§ 14a Abs. 2) unter Mitwirkung des Betroffenen erstellt.
In Abs. 3 wird für die Nutzung der Funktion E-ID die Notwendigkeit einer Registrierung festgelegt. Künftig ist es erforderlich, dass ein E-ID-Werber sich für die Nutzung des E-ID registriert, bevor er den E-ID verwenden kann. Die Zuständigkeiten und der Ablauf des Registrierungsprozesses ergeben sich aus § 4a.
Wie bisher schon die Bürgerkarte, verbindet auch der neue E-ID die Personenbindung mit einer qualifizierten elektronischen Signatur. Die Erstellung von qualifizierten elektronischen Signaturen stellt einen qualifizierten Vertrauensdienst im Sinne der eIDAS-Verordnung dar und darf daher nur von einem qualifizierten Vertrauensdiensteanbieter erbracht werden. Damit dieser seiner Aufgabe nachkommen kann, ist es erforderlich, ihm jene Daten zu übermitteln, die notwendig sind, um ein qualifiziertes Zertifikat für qualifizierte elektronische Signaturen für einen E-ID-Werber auszustellen. Diese Daten sind die Identitätsdaten zur Person (Vorname, Familienname, Geburtsdatum, Geschlecht), eine Zustelladresse, die Telefonnummer eines Mobiltelefons, E-Mail-Adresse und die verschlüsselte Stammzahl (Abs. 4).
Eine Datenanwendung des öffentlichen Bereichs erhält gegenwärtig die (signierte) Personenbindung (und somit die Stammzahl des Betroffenen) und generiert unter Mitwirkung des Betroffenen das bPK selbst. Wird der E-ID im elektronischen Rechtsverkehr für Zwecke der Identifikation von Betroffenen verwendet, so soll nunmehr gemäß Abs. 5 jedes Mal eine Personenbindung erstellt und der Datenanwendung, gegenüber der sich der Inhaber des E-ID ausweisen möchte, signiert oder besiegelt übermittelt werden. Die Erstellung der Personenbindung erfolgt in diesem Fall durch die Stammzahlenregisterbehörde oder eine in ihrem Auftrag tätige andere Behörde und darf nur unter Mitwirkung der in dem E-ID als Inhaberin bezeichneten natürlichen Person durchgeführt werden. Dabei werden bei der Verwendung des E-ID im öffentlichen Bereich ein oder mehrere bPK zugeordnet. Mehrere bPK werden dann zugeordnet, wenn es sich bei der Datenanwendung um eine Portallösung handelt, in der der Zugang zu verschiedenen Anwendungen aus unterschiedlichen Bereichen über einen einzigen Login ermöglicht wird (Single Sign On). Dabei darf es jedenfalls zu keiner Speicherung von bPK in der Portalanwendung kommen, sondern lediglich bei den angebundenen Anwendungen und zwar nur jene bPKs, die von dieser Anwendung verarbeitet werden dürfen (siehe dazu § 13 Abs. 2). In der Praxis stellt sich häufig der Bedarf für Personen neben den Kernidentitätsdaten (Vorname, Familienname, Geburtsdatum) weitere Merkmale in gesicherter Form einer Datenanwendung zur Verfügung zu stellen. Diese Anforderung ergibt sich schon alleine aus den optionalen Merkmalen des Mindestdatensatzes einer natürlichen oder juristischen Person wie der im Anhang der Durchführungsverordnung (EU) 2015/1501 über den Interoperabilitätsrahmen gemäß Artikel 12 Absatz 8 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt festgelegt ist. Beispiele für solche weiteren Merkmale, die in der Praxis von Relevanz sein können, sind etwa Melde-, Personenstands- und Staatsbürgerschaftsdaten. Der Zugriff auf derartige Merkmale hat freilich nur mit Zustimmung und Wissen des Betroffenen und unter strenger Beachtung der datenschutzrechtlichen Vorgaben zu erfolgen.
Die Nutzung des E-ID, folglich der Nachweis personenbezogener Daten, funktioniert grundsätzlich nur über eine vorhandene Datenverbindung. Da sämtliche Internetanbieter ihre Dienste nicht durchgängig und vor allem nicht im gesamten Bundesgebiet erbringen können, soll Abs. 6 die Möglichkeit der zeitlich begrenzten Speicherung weiterer Merkmale durch den E-ID-Inhaber zu seinem E-ID vorsehen, um derart auch ohne direkte Anbindung an das E-ID-System bestimmte Merkmale Dritten gegenüber nachweisen zu können. Letztlich verbleibt jedoch die Entscheidung, ob und für welchen Zeitraum diese Merkmale gespeichert werden dürfen, beim jeweiligen Auftraggeber des Registers, aus dem diese Daten stammen.
Abs. 7 entspricht inhaltlich dem geltenden § 4 Abs. 4.
Wie schon bisher soll die Möglichkeit bestehen, Details zur Erstellung der Personenbindung und Errechnung der bPKs in einer Verordnung (derzeit Stammzahlenregisterbehördenverordnung 2009, BGBl. II Nr. 330/2009) festzulegen.
Zu Z 12 (§§ 4a und 4b):
Voraussetzung für die Nutzung der neuen Funktion E-ID ist die vorherige Registrierung durch den Bürger. Der Registrierungsprozess wird regelmäßig durch den Antrag auf Ausstellung eines Reisedokumentes nach § 7 Passgesetz 1992 angestoßen. Die Registrierung des E-ID im Zuge der Ausstellung des Reisedokumentes kommt nur für Staatsbürger in Betracht, da die Ausstellung von österreichischen Reisedokumenten nach § 4 Passgesetz 1992 den Nachweis der Staatsbürgerschaft erfordert. Um eine schnellstmögliche Verbreitung der neuen Funktion E-ID zu gewährleisten, können Staatsbürger die Registrierung des E-ID unabhängig von einer Ausstellung eines Reisedokumentes bei der Passbehörde, einer nach § 16 Abs. 3 Passgesetz 1992 ermächtigten Gemeinde oder der Landespolizeidirektion verlangen. Im Einvernehmen mit dem Bundesminister für Inneres können nach § 4a Abs. 1 auch andere geeignete Behörden die Registrierung des E-ID vornehmen. Um die Öffentlichkeit entsprechend zu informieren, ist eine Veröffentlichung dieser zusätzlich verfügbaren Registrierungsbehörden im Internet durch den Bundesminister für Inneres vorgesehen.
Die Funktion E-ID soll keineswegs österreichischen Staatsbürgern vorbehalten werden, im Gegenteil soll Fremden die Nutzung der Funktion E-ID offen stehen. Die Registrierung von Fremden wird nach § 4a Abs. 2 auf deren Verlangen aufgrund der mit der Überprüfung ausländischer Reisedokumente verbundenen Herausforderungen von der Landespolizeidirektion vorgenommen. Voraussetzung für die Registrierung von Fremden ist der rechtmäßige Aufenthalt im Bundesgebiet sowie ein ausreichender Inlandsbezug. Für Asylwerber ist die Registrierung des E-ID erst nach positivem Entscheid über das Asylverfahren zulässig.
Zumal die inländische Behörde von Änderungen personenbezogener Daten im Ausland regelmäßig keine Kenntnis hat, wird im gegenständlichen Entwurf für die Zertifikate von Fremden eine Gültigkeitsdauer von zwei Jahren vorgeschlagen. Diese Regelung ist vor dem Hintergrund einer hohen Datenaktualität notwendig, beispielsweise werden der Behörde Personenstandsfälle oder Namensänderungen im Ausland mangels Zugriffmöglichkeit auf Register anderer Staaten nicht bekannt. Sobald die Gültigkeitsdauer des qualifizierten Zertifikates überschritten wurde, ist zur Überprüfung der personenbezogenen Daten ein neuerliches Durchlaufen des Registrierungsprozesses bei der Landespolizeidirektion erforderlich.
Staatsbürger und Fremde profitieren gleichermaßen von einer offenen Zuständigkeitsregelung, das Verlangen auf Registrierung einer E-ID kann bei jeder sachlich zuständigen Registrierungsbehörde gestellt werden.
Im Hinblick auf eine möglichst effiziente und rasche Abwicklung des behördlichen Registrierungsprozesses können Inhaber eines Reisepasses oder eines Personalausweises nach § 4a Abs. 3 bereits im Vorfeld die für die Registrierung erforderlichen Daten an die Behörde übermitteln. Die Behörde hat diese Daten aus datenschutzrechtlichen Gründen innerhalb von 30 Tagen zu löschen, sofern in diesem Zeitraum keine Registrierung des E-ID vorgenommen wurde.
Entscheidende Voraussetzung für die Registrierung des E-ID ist nach § 4a Abs. 4 die Feststellung der eindeutigen Identität des Betroffenen. In diesem Zusammenhang soll im Registrierungsprozess die Möglichkeit geschaffen werden, die vorgelegten Ausweisdaten wie z. B. Reisepassnummer in den entsprechenden Registern abzufragen und gegebenenfalls mit den von Sicherheitsbehörden geführten Fahndungsevidenzen abzugleichen. Damit kann die Sicherheit bei der Identitätsfeststellung zur Registrierung des E-ID erhöht werden. Es werden dadurch auch die notwendigen Vorkehrungen getroffen, um das Risiko mindern zu können, dass die Identität der Personen nicht mit der beanspruchten Identität übereinstimmt, z. B. im Hinblick auf verlorene, gestohlene, ausgesetzte, widerrufene oder abgelaufene Beweismittel, wie es in Anhang unter Punkt 2.1.2 der Durchführungsverordnung (EU) 2015/1502 der Kommission vom 8. September 2015 zur Festlegung von Mindestanforderungen an technische Spezifikationen und Verfahren für Sicherheitsniveaus elektronischer Identifizierungsmittel gemäß Artikel 8 Absatz 3 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt, ABl. Nr. L 235 vom 9.9.2015 ab dem Sicherheitsniveau „substanziell“ im Sinne der eIDAS-VO vorgesehen ist.
Im Falle missbräuchlicher Verwendung oder falls der E-ID der Person nicht mehr eindeutig zugeordnet werden kann, ist in § 4a Abs. 5 die Möglichkeit vorgesehen, den E-ID zu widerrufen. Dies erfolgt durch den Widerruf des mit der betreffenden Person zu seinem E-ID verbundenen Zertifikats beim VDA und wirkt im Einklang mit der eIDAS-VO dauerhaft und kann somit auch nicht mehr rückgängig gemacht werden. Der Widerruf des E-ID ist dabei von der Behörde zu veranlassen und wird in weiterer Folge vom Vertrauensdiensteanbieter durchgeführt. Um die missbräuchliche Verwendung hintanzuhalten, ist der E-ID auch im Sterbefall des E-ID Inhabers zu widerrufen.
Der genaue Ablauf des Registrierungsprozesses und des Widerrufs, einschließlich der Möglichkeit der Vorabübermittlung bestimmter Daten an die Registrierungsbehörde nach § 4a Abs. 3, ist gemäß § 4a Abs. 6 durch Verordnung näher zu bestimmen.
Im Zuge der Registrierung des E-ID hat die jeweilige Registrierungsbehörde als Auftraggeber im Sinne des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999, bestimmte Daten im vom Bundesministerium für Inneres betriebenen Identitätsdokumentenregister zu erfassen und zu verarbeiten (§ 4b). Diese Daten werden von den zur Registrierung ermächtigten Behörden gemeinsam in dieser Datenverarbeitung verwendet. Obgleich die Stammzahlenregisterbehörde als datenschutzrechtlicher Auftraggeber für das Identitätsdokumentenregister grundsätzlich die in § 6 Abs. 2 DSG 2000 angeführte Pflicht zur Einhaltung der datenschutzrechtlichen Grundsätze trifft, bleibt die Verantwortlichkeit bezüglich der eingetragenen Daten bei der jeweiligen eintragenden Registrierungsbehörde. Bei der Verarbeitung von Daten durch die Registrierungsbehörde werden bereits im Identitätsdokumentenregister, im Zentralen Melderegister oder Ergänzungsregister vorhandene Daten nicht erneut erfasst, um eine redundante Datenhaltung zu verhindern.
Zu Z 13 (§ 5):
Soll der E-ID für vertretungsweises Handeln verwendet werden, so besteht – unbeschadet der Möglichkeit, dass eine Applikation selbst Vertretungsrechte für den Betroffenen verwaltet – gemäß Abs. 1 die Möglichkeit, dass das Bestehen einer Einzelvertretungsbefugnis (dieser Begriff wird in der österreichischen Rechtsordnung, insbesondere im UGB, nur bei Vertretungen nicht-natürlicher Personen verwendet) von der Stammzahlenregisterbehörde in die Personenbindung des Vertreters eingefügt wird. Zu diesem Zweck darf diese, sofern dies gesetzlich zulässig ist oder eine Zustimmung des Betroffenen vorliegt, Datenanwendungen anderer gesetzlicher Auftraggeber des öffentlichen Bereichs (z. B. Unternehmensregister) nutzen.
Außerdem darf auf Antrag des Vertreters das Bestehen eines Vertretungsverhältnisses mit allfälligen inhaltlichen und zeitlichen Beschränkungen zum E-ID des Vertreters gespeichert werden und im Anlassfall ebenfalls in die Personenbindung eingefügt werden. Hierbei findet bei der Stammzahlenregisterbehörde faktisch eine Speicherung statt und nicht bloß wie im ersten Fall ein Rückgriff auf bestehende Register, die bereits solche Daten zulässiger Weise gespeichert haben.
In Fällen berufsmäßiger Parteienvertretung ergibt sich die generelle Befugnis zur Vertretung aus zusätzlichen Merkmalen im Signaturzertifikat des E-ID des Vertreters. So ist etwa aus dem Signaturzertifikat ersichtlich, dass jemand als Rechtsanwalt auftritt. Die Anmerkung einer solchen Berufsberechtigung, aber auch der Entzug, richtet sich nach den jeweils einschlägigen berufsrechtlichen Vorschriften. Als Alternative soll dies nun auch als Identitätsmerkmal abgebildet werden können, wobei die Information in einem solchen Fall in Echtzeit in Registern oder Datenanwendungen, die nach berufsrechtlichen Bestimmungen zu führen sind, von der Stammzahlenregisterbehörde gemäß Abs. 1 abgefragt und in die Personenbindung eingefügt wird. Auch wenn ein Organwalter für Betroffene eine Verfahrenshandlung vornehmen soll, gibt es nun die Alternative, die generelle Befugnis des Organwalters auf Grund einer von der zuständigen Behörde geführten Datenanwendung abzufragen.
Wenn das Bestehen einer Einzelvertretungsbefugnis in die Personenbindung eingefügt wird, wird dies ebenso von der Stammzahlenregisterbehörde besiegelt. Da für die Richtigkeit dieser Daten aber nicht die Stammzahlenregisterbehörde selbst verantwortlich ist, kann die Stammzahlenregisterbehörde mit ihrem Siegel lediglich die unversehrte Einfügung der Information aus den von ihr in Anspruch genommenen Quellen in die Personenbindung bestätigen (Abs. 4 erster Satz). Wird der E-ID für vertretungsweises Handeln verwendet, so ist neben einer Personenbindung für den Vertreter auch eine Personenbindung für den Vertretenen gemäß §§ 4 Abs. 5, 14 Abs. 3 oder 14a Abs. 2 zu bilden und der Anwendung zu übermitteln. Anstelle der Personenbindung ist bei vertretenen nicht-natürlichen Personen die Stammzahl bereitzustellen.
Zu Z 15 und 16 (§ 6 Abs. 4):
In § 6 Abs. 4 werden sprachliche und inhaltliche Redundanzen beseitigt sowie redaktionelle Änderungen vorgenommen.
Zu Z 18 (§ 6 Abs. 5):
Ein Kernelement der eIDAS-VO ist die gegenseitige Anerkennung elektronischer Identitäten zwischen den Mitgliedstaaten (Art. 6 eIDAS-VO). Es wird durch die eIDAS-VO somit kein einheitliches elektronisches Identifizierungsmittel für die Europäische Union eingeführt, sondern den von anderen Mitgliedstaaten ausgestellten oder von diesen anerkannten (Art. 7 lit. a eIDAS-VO) elektronischen Identifizierungsmitteln gegenseitig vertraut. Gemäß Art. 8 eIDAS-VO bestehen für solche elektronische Identifizierungsmittel die Sicherheitsniveaus „niedrig, „substanziell“ und „hoch“, die im Zuge der Notifizierung eines elektronischen Identifizierungsmittels bei der Kommission (Art. 9 eIDAS-VO) bekannt gegeben werden müssen. Die Kriterien für die Zuerkennung des Sicherheitsniveaus eines elektronischen Identifizierungsmittels werden durch Art. 8 Abs. 2 eIDAS-VO sowie den entsprechenden Durchführungsrechtsakt (Durchführungsverordnung (EU) 2015/1502 der Kommission vom 8. September 2015 zur Festlegung von Mindestanforderungen an technische Spezifikationen und Verfahren für Sicherheitsniveaus elektronischer Identifizierungsmittel gemäß Artikel 8 Absatz 3 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt, ABl. Nr. L 235 vom 9.9.2015) festgelegt.
Ist für den Zugang zu einem von einer öffentlichen Stelle in einem Mitgliedstaat erbrachten Online-Dienst nach nationalem Recht oder aufgrund der Verwaltungspraxis eine elektronische Identifizierung mit einem elektronischen Identifizierungsmittel und mit einer Authentifizierung erforderlich, so ist ein in einem anderen Mitgliedstaat ausgestelltes elektronisches Identifizierungsmittel im ersten Mitgliedstaat für die Zwecke der grenzüberschreitenden Authentifizierung für diesen Online-Dienst anzuerkennen, sofern
- das betreffende elektronische Identifizierungsmittel im Rahmen eines elektronischen Identifizierungssystems ausgestellt wurde, das in der von der Kommission gemäß Art. 9 Abs. 2 eIDAS-VO veröffentlichten Liste angeführt ist,
- das Sicherheitsniveau des betreffenden Identifizierungsmittels gleich hoch oder höher ist als das der öffentlichen Stelle für den Zugang zu diesem Online-Dienst geforderten Sicherheitsniveaus und
- die betreffende öffentliche Stelle für den Zugang zu diesem Online-Dienst das Sicherheitsniveau „substanziell“ oder „hoch“ verwendet. (vgl. Art. 6 Abs. 1 eIDAS-VO)
Elektronische Identifizierungsmittel eines anderen Mitgliedstaates der EU, die diese Anforderungen erfüllen, sind daher in Österreich gegenüber Auftraggebern des öffentlichen Bereichs dem E-ID jedenfalls gleichgestellt. Die Verpflichtung zur Anerkennung solcher elektronischer Identifizierungsmittel soll – sofern die technischen Voraussetzungen vorhanden sind – bereits spätestens nach sechs Monaten nach der Veröffentlichung des jeweiligen Identifizierungssystems in der Liste gemäß Art. 9 Abs. 2 eIDAS-VO beginnen. Diese Frist liegt unterhalb der Frist von 12 Monaten, welche von Art. 6 Abs. 1 eIDAS-VO gefordert wird, da die technische Umsetzung in Österreich durch die bereits bestehende Infrastruktur im Regelfall rascher erfolgen kann. Die Maßgabe des Vorhandenseins der technischen Voraussetzungen ergibt sich vor allem auch aus der Abhängigkeit vom Vorhandensein der technischen Umsetzungen im anderen (notifizierenden) EU-Mitgliedstaat.
Da die notifizierenden Mitgliedstaaten für den Zugang einer Online-Authentifizierung der Personenidentifizierungsdaten gegenüber Auftraggebern des privaten Bereichs Bedingungen (insbesondere Gebühren) festlegen dürfen (vgl. Art. 7 lit. f 2. Unterabsatz), steht es den Auftraggebern des privaten Bereichs frei, die Verwendung solcher elektronischer Identifizierungsmittel zuzulassen. Freilich sollte die Verwendung im privaten Bereich nur dann nicht zugelassen werden, wenn schwerwiegende Interessen des Anwendungsbetreibers entgegenstehen. Mit dieser Wahlfreiheit soll vor allem verhindert werden, dass unbekannte Bedingungen akzeptiert werden müssen.
Sofern Personen, die ein solches anzuerkennendes elektronisches Identifizierungsmittel verwenden, weder im Melderegister noch im Ergänzungsregister eingetragen sind, ist automatisch ein Eintrag ins Ergänzungsregister mit den Personenidentifizierungsdaten, welche im ausländischen elektronischen Identifizierungsmittel mitgeliefert werden, zu erstellen. Sofern ein Eintrag im Melderegister oder im Ergänzungsregister bereits besteht, sind die mitgelieferten Personenidentifikationsdaten in das jeweilige Register einzutragen. Die Festlegung, mit welchen Daten eine solche Eintragung stattzufinden hat, erfolgt durch die Ergänzungsregisterverordnung.
Die Verwendung des anzuerkennenden elektronischen Identifizierungsmittels erfolgt dann wie bei einem E-ID nach dem Regime des § 4 Abs. 5 oder § 14 Abs. 3, indem jedes Mal eine Personenbindung erstellt und der Datenanwendung, gegenüber der sich der Inhaber des anzuerkennenden elektronischen Identifizierungsmittels ausweisen möchte, signiert übermittelt wird. Für die Betreiber von E-ID-tauglichen Datenanwendungen besteht somit weder ein technischer noch organisatorischer Anpassungsbedarf.
Zu Z 19 (§ 7 Abs. 2):
Die Stammzahlenregisterbehörde soll sich auch in Hinblick auf alle neu hinzugekommen Verfahren weiterhin des Bundesministeriums für Inneres als Dienstleister bedienen können. Die für die Erbringung dieser Dienstleistungen in der Wirkungsorientierten Folgeabschätzung ausgewiesenen Aufwendungen des Bundesministeriums für Inneres, die im Budget veranschlagt sind, gelten damit als abgegolten.
Zu Z 21(Überschrift zu § 10)
Die Änderung der Überschrift dient der Klarstellung, dass auch die Ermittlung der Stammzahl nicht-natürlicher Personen einen Anwendungsfall des § 10 Abs. 2 darstellt.
Zu Z 22 (§ 10 Abs. 1):
Das nunmehr vorgesehene Modell des österreichischen E-ID soll die Prüfbarkeit des bPK sicherstellen, indem die bPK-Bildung immer an einer zentralen Stelle unter der Hoheit der Stammzahlenregisterbehörde stattfinden soll (vgl. § 4 Abs. 5, § 14 Abs. 2 und § 14a Abs. 2). Zu diesem Zweck müssen Anwendungen des öffentlichen oder privaten Bereichs gemäß § 14 sowie ausländische Services gemäß § 14a (bzw. deren ausländischer „Knoten“ im Sinne der eIDAS-VO), einmalig bei der Stammzahlenregisterbehörde registriert werden, damit immer das korrekte bPK an die Anwendung übermittelt werden kann.
Zu Z 24 (§ 10 Abs. 3):
Durch die Neuformulierung des § 4 soll die Zitierung der Verordnungsermächtigung angepasst werden.
Zu Z 25 (§ 12):
§ 12 beschreibt schon wie bisher in der geltenden Fassung die besonderen Vorkehrungen für den Schutz der Stammzahl. Eine dauerhafte Speicherung der Stammzahl natürlicher Personen wie es bisher in der Bürgerkarte der Fall war, ist beim E-ID nicht mehr vorgesehen. Die Stammzahl natürlicher Personen darf nur noch in verschlüsselter Form für die Zwecke des § 4 Abs. 4 iVm §§ 4 Abs. 5, 14 Abs. 3 und 14a Abs. 2 dauerhaft gespeichert werden. Da es nach dem nunmehrigen Modell des E-ID in keinem Fall mehr lokal bei der Anwendung ein bPK errechnet werden darf, sollen die bisherigen Schutzvorkehrungen für die Stammzahl dahingehend angepasst werden.
Zu Z 26 und 27 (§ 14):
In Abs. 1 erfolgen redaktionelle Anpassungen aufgrund der neuen Begrifflichkeiten.
Da eine Datenanwendung des privaten Bereichs derzeit keine Personenbindung erhält (weil die Stammzahl nicht übermittelt werden darf), wird das bPK des Betroffenen beim Betroffenen selbst generiert. Eine Bestätigung der Personenidentifikationsdaten, wie es Art. 7 lit. f eIDAS-VO verlangt, wäre in der derzeitigen Konzeption unmittelbar nur bei der Verwendung der Bürgerkarte (nunmehr: E-ID) bei einer Anwendung des öffentlichen Bereichs durchführbar, weil nur dort die Signatur oder das Siegel der Stammzahlenregisterbehörde über den Personenbindungsdatensatz, der die Stammzahl enthält, beim Empfänger prüfbar ist. Demgegenüber ist nach dem derzeitigen Modell im privaten Bereich bzw. für ausländische Services diese Bestätigung der Identifikationsdaten nicht unmittelbar möglich, da – mangels Signatur oder Siegel der Stammzahlenregisterbehörde über das bPK – keine direkte Prüfbarkeit des bPK gegeben ist (eine Verifizierung könnte lediglich im Wege einer gesonderten ZMR-Abfrage erfolgen). Das nunmehr vorgesehene Modell des E-ID soll daher die direkte Prüfbarkeit des bPK sicherstellen, indem die bPK-Bildung immer an einer zentralen Stelle unter der Hoheit der Stammzahlenregisterbehörde stattfinden soll. Bei jeder Verwendung des E-ID wird eine Personenbindung erstellt und von der Stammzahlenregisterbehörde signiert oder besiegelt. Die elektronische Prüfung kann daher immer aufgrund der signierten oder besiegelten Personenbindung erfolgen. Die bisherige Prüfmöglichkeit der verwendeten Personenbindung des § 15 Abs. 2 letzter Satz über eine Anfrage beim ZMR kann daher entfallen. Bei der Verwendung des E-ID im privaten Bereich enthält die Personenbindung anders als bei der Verwendung im öffentlichen Bereich oder bei der Verwendung für Anwendungen im Ausland nur ein bPK zum E-ID-Inhaber. Vorname, Familienname, Geburtsdatum, weitere Merkmale sowie die Einzelvertretungsbefugnis können in die Personenbindung optional eingefügt werden, wenn der Betroffene dem zustimmt. Im Gegensatz zum öffentlichen Bereich kann es für den Betroffenen im privaten Bereich interessant bzw. ausreichend sein, in bestimmten Fällen bloß Informationen über das Alter oder das Geburtsdatum, jedoch nicht weitere Identitätsdaten preiszugeben. Der Betroffene erhält dadurch im privaten Bereich die Wahlmöglichkeit, ob er z. B. beim Nachweis der Volljährigkeit (etwa in Supermärkten, Trafiken, Bars oder Diskotheken) auch den Namen offenlegen möchte.
Zu Z 28 (§ 14a):
Bei der Verwendung des E-ID für E-ID-taugliche Anwendungen im Ausland werden diese ausländischen Services grundsätzlich wie Datenanwendungen des privaten Bereichs behandelt. Die bPK werden anstelle der Bereichskennung für den öffentlichen Bereich aber nicht mit der eigenen Stammzahl des ausländischen Anwendungsbetreibers sondern mit einem staatenspezifischen Kennzeichen oder bei Anwendungen internationaler Organisationen ein organisationsspezifisches Kennzeichen gebildet.
Da Art. 7 lit. f eIDAS-VO im grenzüberschreitenden Bereich jedenfalls eine Möglichkeit der Bestätigung der Personenidentifikationsdaten verlangt, hat die Personenbindung die im Fall der Verwendung des E-ID für E-ID-taugliche Anwendungen im Ausland neben dem bPK (gebildet mit einem staatenspezifischen Kennzeichen) jedenfalls auch Vorname, Name und Geburtsdatum des E-ID-Inhabers zu enthalten. Auch in diesem Fall ist es nach Maßgabe der technischen Möglichkeiten und mit Zustimmung des Betroffenen denkbar, dass weitere Merkmale in die Personenbindung eingefügt werden.
Zu Z 29 und 30 (§ 15):
Bei jeder Verwendung des E-ID wird nach dem nunmehrigen Modell die Personenbindung von der Stammzahlenregisterbehörde erstellt und von dieser signiert oder besiegelt. Es muss daher in Abs. 1 nicht mehr ausdrücklich geregelt werden, dass die Erzeugung des bPK im privaten Bereich nur durch die Stammzahlenregisterbehörde erfolgen darf. Aus demselben Grund kann daher auch der bisherige Abs. 2 entfallen.
Zu Z 31 (§ 18):
Im Rahmen der Nutzung des E-ID soll es hinkünftig dem E-ID-Inhaber möglich sein, neben den Kernidentitätsdaten (Vorname, Familiennamename, Geburtsdatum) weitere Merkmale aus elektronischen Registern eines Auftraggebers des öffentlichen Bereichs Dritten zu Verfügung zu stellen. Um den Inhalt der Merkmale allenfalls zu prüfen, steht dem E-ID-Inhaber selbstverständlich ein Einblick in diese Daten zu. Während in elektronischen Verfahren mit Auftraggebern des öffentlichen Bereichs nur eine Ergänzung der Kernidentitätsdaten durch zusätzliche Merkmale vorgesehen ist (§ 4 Abs. 5 iVm § 10 Abs. 1), kann der E-ID-Inhaber bei der Verwendung des E-ID im privaten Bereich die zu Verfügung zu stellenden Merkmale frei wählen (§ 14 Abs. 3). Dies ermöglicht den Nachweis bestimmter Informationen gegenüber einem Dritten bei freier Wahl der zu übermittelnden Zusatzinformationen.
Zur Nutzung des E-ID-Systems durch Private ist eine Überprüfung der verwendeten Anwendung erforderlich. Bei Vorliegen von Anhaltspunkten der missbräuchlichen Verwendung von Daten, kann eine Eröffnung der Nutzung unterbleiben oder nachträglich unterbunden werden. Die Vorgaben zur Eröffnung der Nutzung und des Unterbindens werden mittels Verordnung des Bundesministers für Inneres spezifiziert.
Zusätzlich ist vorgesehen, dass jede Transaktion in einer nur dem E-ID-Inhaber zugänglichen Form protokolliert wird. Damit soll im Sinne größtmöglicher Transparenz ausschließlich für den E-ID-Inhaber selbst jederzeit nachvollziehbar sein, an wen zu welchem Zeitpunkt welche Merkmale übermittelt wurden. Bei Bedarf soll der E-ID-Inhaber für einzelne Transaktionen die Protokollierung deaktivieren können.
Zu Z 32 (§ 21a):
Die Haftung für Schäden, die auf eine Verletzung von im zweiten Kapitel der eIDAS-VO festgelegten pflichten zurückzuführen sind, ist in Artikel 11 eIDAS-VO geregelt. Bei den sonst anwendbaren Bestimmungen handelt es sich vor allem um Bestimmungen der Amtshaftung.
Nach Artikel 11 Abs. 4 der eIDAS-VO werden die die Haftung regelnden Absätze 1, 2 und 3 im Einklang mit den nationalen Vorschriften über die Haftung angewendet. Dazu zählen die Bestimmungen des Kollisionsrechts und des danach maßgeblichen österreichischen oder eines anderen zur Anwendung berufenen Sachrechts. Nach diesen Vorschriften richten sich daher insbesondere auch die Definitionen der in diesem Zusammenhang bedeutsamen Begriffe wie Schaden, Vorsatz und Fahrlässigkeit.
Nach Abs. 2 bleiben Ersatzansprüche gegenüber anderen Personen oder aus einem anderen Rechtsgrund unberührt. Damit wird klargestellt, dass die Haftungsbestimmung des Artikels 11 der eIDAS-VO der Inanspruchnahme anderer Personen oder von Beteiligten im Sinne des Artikel 11 Abs. 5 eIDAS-VO wegen anderer Sachverhalte als der Verletzung der in der eIDAS-VO festgelegten Pflichten nicht entgegensteht.
Zu Z 33 (§ 24 Abs. 6):
Die Notwendigkeit einer Vorlaufzeit für die technischen Anpassungen macht die spätere Anwendbarkeit der Bestimmungen erforderlich. Lediglich § 25 Abs. 3 soll bereits ab Zeitpunkt des Inkrafttretens Anwendung finden, um die Durchführung eines Pilotbetriebes zu ermöglichen. Der Zeitpunkt für die Aufnahme des Echtbetriebes ist vom Bundesminister für Inneres im Bundesgesetzblatt zu veröffentlichen.
Zu Z 34 (§ 25):
In den Übergangsbestimmungen wird in Abs. 2 die Möglichkeit eines zeitlich, örtlich oder auf bestimmte Personengruppen eingeschränkten Pilotbetriebes des E-ID-Systems ab dem auf die Kundmachung des Bundesgesetzes folgenden Tag festgelegt. Eine Erprobung des E-ID-Systems unter Verwendung von Echtdaten ist erforderlich, um realistische Rahmenbedingungen für den Pilotbetrieb zu schaffen und damit einen höheren Erfahrungsgewinn für das Echtsystem zu erlangen. Voraussetzung für die Durchführung eines Pilotbetriebes ist weiters die Freiwilligkeit der teilnehmenden Personen.
In Abs. 3 wird klargestellt, dass die neuen Bestimmungen im Zusammenhang mit dem E-ID mit Ausnahme des § 25 Abs. 3 erst ab dem Zeitpunkt der Aufnahme des Echtbetriebes Anwendung finden. Für die bestehenden sowie bis dahin ausgestellten Bürgerkarten gilt die bisherige Rechtslage unverändert. Ab Aufnahme des Echtbetriebes werden bestehende Bürgerkarten bereits am neuen technischen System teilnehmen, die Einsatzmöglichkeiten der bestehenden Bürgerkarten werden nur nach Maßgabe der technischen Möglichkeiten auf jene des E-ID erweitert. Mit Verordnung kann ein vereinfachter Prozess für den Umstieg von der Bürgerkarte auf den E-ID vorgesehen werden, um möglichst einfach die Teilnahme am neuen System zu ermöglichen.
Zu Z 35 und 36 (§ 28 Z 1 und 4):
Die Z 1 wird an die Neufassung von § 4 Abs. 8 angepasst.
In Z 4 werden jene Regelungen genannt, die im Rahmen des E-ID-Systems vom Bundesminister für Inneres vollzogen werden. Da die bisherige Prüfmöglichkeit der Richtigkeit der vom Betroffenen verwendeten Personenbindung des § 15 Abs. 2 letzter Satz über eine Anfrage beim ZMR entfallen soll, entfällt für diesen Fall im Vergleich zur geltenden Fassung auch die Vollziehungskompetenz des Bundesministers für Inneres.