Erläuterungen
I. Allgemeiner Teil
Am 2. Oktober 2018 wurde die Verordnung (EU) Nr. 2018/1724 über die Einrichtung eines einheitlichen digitalen Zugangstors zu Informationen, Verfahren, Hilfs- und Problemlösungsdiensten und zur Änderung der Verordnung (EU) Nr. 1024/2012, ABl. Nr. L 295 vom 21.11.2018 S. 1, beschlossen. Mit dem vorliegenden Novellierungsentwurf sollen die technischen Voraussetzungen für die Erfüllung der aus Artikel 14 der Verordnung resultierenden Verpflichtungen hinsichtlich eines technischen Systems für den grenzüberschreitenden automatisierten Austausch von Nachweisen und Anwendung des Grundsatzes der einmaligen Erfassung („Once-Only-Principle“) geschaffen werden.
Das Unternehmensserviceportal des Bundes weist bereits heute neben einer hohen Schnittstellendichte zu anderen Systemen der Verwaltung die technischen Voraussetzungen für die Vorbefüllung elektronischer Formulardatenfelder auf und stellt daher die geeignete technische Basis für die Umsetzung des Grundsatzes der einmaligen Erfassung dar. Das Unternehmensserviceportal soll daher mit den entsprechend benötigten weiteren Funktionalitäten ausgestattet werden. Diese Funktionalitäten sollen darüber hinaus auch in generischer Form zur Verfügung stehen und die Anwendung des Grundsatzes der einmaligen Erfassung auf nationaler Ebene ermöglichen.
Hierauf aufbauend sollen im Rahmen zukünftiger Vorhaben Unternehmenssituationen nach dem Grundsatz der einmaligen Erfassung optimiert und deren Abwicklung auf dem Unternehmensserviceportal technisch realisiert werden. Dadurch soll eine wesentliche Entlastung der Unternehmen in Österreich bewirkt werden. Umfangreiche Vorarbeiten zur Reduktion der im Zusammenhang mit der Erfüllung von Informationsverflichtungen bei den Unternehmen anfallenden Lasten wurden bereits im Rahmen der Initiative „Verwaltungskosten senken für Unternehmen“ durchgeführt. Unternehmen waren demnach mit rund 5.700 gesetzlichen Informationsverpflichtungen konfrontiert, die in diesen Unternehmen Verwaltungslasten in Höhe von rund 4,3 Mrd. EUR pro Jahr auslösten. Es wird nach wie vor von ähnlich hohen Belastungen für die Wirtschaft in diesem Umfang ausgegangen. Diese Lasten sollen durch die Realisierung von nach dem Grundsatz der einmaligen Erfassung optimierten Unternehmenssituationen auf dem Unternehmensserviceportal spürbar reduziert werden. Die Schaffung der technischen und organisatorischen Grundlagen für die Anwendung des Grundsatzes der einmaligen Erfassung im Rahmen dieses Gesetzes bereitet hiefür den notwendigen Boden.
Neben Maßnahmen zum Austausch von Informationen ist die Erfassung, Kategorisierung und Analyse der einer Behörde oder anderen Institution aufgrund einer Rechtsvorschrift von einem Rechtsunterworfenen zur Verfügung gestellten oder übermittelten Informationen Voraussetzung für die Anwendung des Grundsatzes der einmaligen Erfassung. Der vorliegende Novellierungsentwurf trägt dem durch Schaffung der technischen und organisatorischen Voraussetzungen innerhalb der Verwaltung Rechnung.
Kompetenzgrundlage:
Die Zuständigkeit des Bundes zur Erlassung dieses Bundesgesetzes gründet sich auf Art. 10 Abs. 1 Z 16 B-VG und Art. 17 B-VG.
II. Besonderer Teil
Zu Z 1 (§ 1 Abs. 3):
Die Erweiterung des Regelungsgegenstands in § 1 erscheint aufgrund der Errichtung einer Once-Only-Plattform zweckmäßig.
Zu Z 2 (§ 2 Z 5):
Die Umsetzung des Grundsatzes der einmaligen Erfassung soll aus technischer Sicht mit einem zentralen Datenbus (Middleware) für den behördenübergreifenden Informationsaustausch gelöst werden. Diese als Register- und Systemverbund bezeichnete Datenübertragungsschicht soll die Kommunikation zwischen einzelnen Datenbanken und Registern sowie mit anderen Verwaltungssystemen technisch ermöglichen und bildet den Kern der technischen Umsetzung.
Die bestehende Definition der Informationsverpflichtung gemäß § 2 Z 1 USPG bleibt unverändert. Es handelt sich demgemäß um eine aus einer Rechtsvorschrift resultierende Pflicht eines Unternehmens oder einer Bürgerin oder eines Bürgers, Informationen zusammenzustellen oder bereitzuhalten und diese – unaufgefordert oder auf Verlangen – einer Behörde oder anderen Institution zur Verfügung zu stellen oder zu übermitteln. Da schon bisher im USPG von einem organisatorischen Behördenbegriff ausgegangen wurde, gelten somit auch Informationen im Rahmen der Privatwirtschaftsverwaltung, etwa im Bereich des Förderwesens, als mitumfasst.
Die bislang bei der Bundesanstalt Statistik Österreich eingerichtete Informationsverpflichtungsdatenbank ist (wie schon bisher) als Metadatenbank (enthält somit keine personenbezogene Inhaltsdaten, sondern lediglich die abstrakte Beschreibung eines Datums) konzipiert, die im Rahmen der Optimierung von bestehenden Informationsverpflichtungen, aber auch im Fall, dass neue Informationsverpflichtungen geschaffen werden, eine wesentliche Grundlage darstellen soll. In der Informationsverpflichtungsdatenbank werden hingegen keine personenbezogenen Daten über betroffene Personen verarbeitet. Es werden lediglich allgemeine, abstrakte Angaben über Informationsverpflichtungen, ihre Empfänger, die technische Übermittlung sowie die Details der zu meldenden Inhalte verarbeitet und nicht die Meldungen (Inhalte) selbst.
Darüber hinaus soll die Informationsverpflichtungsdatenbank auch als zentraler Bestandteil des Berechtigungsmanagements für den Register- und Systemverbund eingesetzt werden. Dadurch soll sichergestellt werden, dass Datenabfragen bzw. ‑übermittlungen nur soweit erfolgen können, als die abfragende Behörde bzw. Verwaltungseinheit im Rahmen der Erledigung ihrer behördlichen Aufgaben dazu berechtigt ist. Nachdem die Informationsverpflichtungsdatenbank in der zu schaffenden „Once-Only-Plattform“ eine zentrale Stellung einnimmt, soll die Informationsverpflichtungsdatenbank künftig gemeinsam mit dem Register- und Systemverbund von der Bundesrechenzentrum GmbH betrieben und weiterentwickelt werden. Diese Funktion der Informationsverpflichtungsdatenbank als Teil des Berechtigungsmanagments für den Register- und Systemverbund lässt bestehende Zugangsberechtigungen und deren Verwaltung im Rahmen etablierter Methoden wie etwa beim Portalverbund unberührt bzw. wird angestrebt, dass das Berechtigungsmanagement des Register- und Systemverbunds eine Übernahme dieser vorhandenen Berechtigungen ermöglichen wird.
Zu Z 3 (§ 6):
Zu Abs. 1: Mit dieser Bestimmung wird die zentrale Beauftragung der Bundesrechenzentrum GmbH entsprechend der bestehenden Prozesse vorgesehen. Dadurch soll erreicht werden, dass die einzelnen Umsetzungsschritte bestmöglich aufeinander abgestimmt werden.
Im Zuge der Beauftragung bzw. Umsetzung sind neben technischen Maßnahmen auch organisatorische Maßnahmen innerhalb der Verwaltung zu treffen, die unabdingbar für die Umsetzung des Grundsatzes der einmaligen Erfassung sind. Diese Maßnahmen, die der Bundesministerin für Digitalisierung und Wirtschaftsstandort obliegen, umfassen insbesondere die zentrale Koordination der im Zusammenhang mit der Umsetzung bzw. Anwendung des Grundsatzes der einmaligen Erfassung anfallenden Maßnahmen, die Analyse und das zentrale Daten-Mapping der in der Informationsverpflichtungsdatenbank erfassten Informationen und die Initiierung der daraus resultierenden Optimierungspotentiale, sowie die Koordination bei der Festlegung führender Datenquellen. Hierdurch soll eine effiziente Umsetzung des Grundsatzes der einmaligen Erfassung gewährleistet werden.
Zu Abs. 2:
Klargestellt wird, dass ein behördenübergreifender Austausch von Informationen (jedwede Arten von Informationen, insbesondere auch personenbezogene Daten von Unternehmen und natürlichen Personen sowie entsprechende Metadaten) über die Once-Only-Plattform nur soweit zulässig ist, als dieser eine ausreichende (datenschutz)rechtliche Grundlage hat. Diese Grundlage kann sich aufgrund von unionsrechtlichen und bundes- wie auch landesrechtlichen Vorschriften ergeben. Der vorliegende Gesetzentwurf stellt demnach keine Generalermächtigung zum behördenübergreifenden Informationsaustausch dar, sondern bereitet lediglich die technischen und organisatorischen Grundlagen vor, um den Grundsatz der einmaligen Erfassung anwenden zu können. Soweit ein solcher Informationsaustausch gesetzlich vorgesehen ist, hat die Bundesministerin für Digitalisierung und Wirtschaftsstandort diesen nach Maßgabe der Gesetze (insb. etwa unter Einhaltung datenschutzrechtlicher Vorgaben) zu ermöglichen.
Ein Informationsaustausch über die Once-Only-Plattform erfolgt grundsätzlich zertifikatsgeschützt. Dies folgt auch den etablierten Umsetzungen im Portalverbund; die dort verwendeten Zertifikate sollen nach Maßgabe der technischen Möglichkeiten übernommen werden. Der Register- und Systemverbund nutzt die Mechanismen des Portalverbunds zur Authentifizierung für den oder beim Zugriff im Register- und Systemverbund. Soweit von den entsprechenden Registerbetreibern Verschlüsselungsmaßnahmen vorgegeben werden, werden diese auch von der Once-Only-Plattform umgesetzt. Dabei wird der Grundsatz verfolgt, dass keine personenbezogenen Daten gespeichert werden, außer es handelt sich um asynchrone Übertragungen, welche lediglich für die Dauer, bis der Empfänger eine Empfangsbestätigung gesendet hat, gespeichert werden.
Zu Abs. 3: Zur Festlegung einer klaren datenschutzrechtlichen Aufgabenverteilung zwischen dem Betreiber der Plattform und den jeweiligen Behörden oder anderen Institutionen wird mit Absatz 3 klargestellt, dass der Bundesrechenzentrum GmbH im Rahmen des Once-Only-Systems die Rolle des datenschutzrechtlichen Auftragsverarbeiters zukommt. Die Bundesrechenzentrum GmbH hat im Rahmen ihrer Tätigkeit gem. Abs. 1 die Datenschutzpflichten gemäß Art. 28 Abs. 3 lit. a bis h DSGVO wahrzunehmen und darf allenfalls weitere Auftragsverarbeiter in Anspruch nehmen.
Weiters umfasst sind die Instrumente zur Sicherstellung und Aufrechterhaltung der Betriebssicherheit. Die Bundesrechenzentrum GmbH soll als Auftragsverarbeiterin insbesondere auch Maßnahmen zur Sicherstellung eines ordnungsgemäßen Betriebs vornehmen, die abhängig von den Erfordernissen des konkreten Einzelfalls erfolgen sollen und bei der auch die Verarbeitung personenbezogener Echtdaten notwendig sein kann. Sollten während der Auftragsverarbeitung, bedingt durch die zu Grunde liegenden Daten, Fehler auftreten, die eine Verarbeitung unmöglich machen, so veranlasst die Bundesrechenzentrum GmbH in ihrer Rolle als Auftragsverarbeiterin die Problemanalyse bzw. die Wiederherstellung eines verarbeitbaren Zustandes, über die dafür vorgesehenen betrieblichen Standardprozesse. Eine darüber hinausgehende Verarbeitung ist hingegen nicht vorgesehen.
Zu Abs. 4: Mit der Änderung des bisherigen Abs. 2, der nunmehr als Abs. 4 bezeichnet wird, soll dem Umstand Rechnung getragen werden, dass die Informationsverpflichtungsdatenbank künftig von der Bundesrechenzentrum GmbH betrieben werden soll.
Zu Abs. 5: Da die Umsetzung der Informationsverpflichtungsdatenbank in der neuen Betriebsstruktur Zeit benötigt und daher voraussichtlich mit Inkrafttreten dieses Gesetzes noch nicht betriebsbereit sein wird, ist die Verfügbarkeit im Bundesgesetzblatt kundzumachen. Daran knüpft sich gemäß § 8 Abs. 8 auch die Anwendbarkeit des Absatzes über die Informationsverpflichtungsdatenbank.
Zu Abs. 6: Die dem bisherigen Abs. 3 entsprechende Bestimmung wird mit dem vorliegenden Entwurf mit einer Erweiterung der schon bisher bestandenen Verordnungsermächtigung ergänzt. Hierdurch sollen die nötigen technischen Festlegungen zur Umsetzung des Grundsatzes der einmaligen Erfassung getroffen werden können. Eine Frist für die Einmeldung der Daten in die Informationsverpflichtungsdatenbank ab Verfügbarkeit der Informationsverpflichtungsdatenbank soll den einmeldenden Stellen einen ausreichenden Übergangszeitraum verschaffen.
Es besteht keine Intention, einseitige Schnittstellenfestlegungen für die bestehenden Register vorzunehmen. Die Festlegungen erfolgen zweckmäßigerweise vielmehr in enger Abstimmung mit den betroffenen Verantwortlichen dieser Register. Eine verordnungsmäßige Festlegung durch die Bundesministerin für Digitalisierung und Wirtschaftsstandort könnte allerdings für eine Standardisierung für neue Register von Vorteil sein, sodass diese von Anfang an auf konkret definierte Schnittstellen abstellen können. Zudem gibt die Verordnungsermächtigung die Möglichkeit, die notwendigen Festlegungen im Hinblick auf EU-Umsetzungsnotwendigkeiten im Kontext der Umsetzung der Verordnung über ein einheitliches Zugangstor innerstaatlich festzulegen.
Zu Z 4 (§ 7):
Die vorgeschlagenen Änderungen des § 7 stellen eine Nachschärfung der bisherigen Regelung dar. Nach Maßgabe der technischen Möglichkeiten – somit im Rahmen der technisch verfügbaren Abfragemöglichkeiten - und unter Einhaltung der datenschutzrechtlichen Vorgaben, soll eine Nutzung vorhandener Daten vorgesehen werden. Dies setzt voraus, dass diese Information in strukturierter elektronischer Form in einer Datenbank oder einem Register einer Behörde oder anderen Institution vorhanden ist. In der Praxis bedeutet dies, dass zwischen einzelnen Datenbanken und Registern sowie mit anderen Verwaltungssystemen technisch ermöglicht werden soll, strukturierte Informationen aus Registern auszutauschen, soweit dies datenschutzrechtlich zulässig ist. Hiermit soll die effiziente Umsetzung des Grundsatzes der einmaligen Erfassung auf nationaler Ebene sichergestellt werden.
Liegt eine diesbezügliche Informationsverpflichtung nicht vor, so hat die mit der Ausarbeitung des Entwurfs betraute Bundesministerin/der mit der Ausarbeitung des Entwurfs betraute Bundesminister zu prüfen, ob die für ihren/seinen Entwurf erforderliche Informationsverpflichtung auf eine bereits bestehende ähnliche Informationsverpflichtung abgestimmt werden kann. Damit soll mittelfristig dort, wo dies möglich ist, eine weitgehende Harmonisierung von Informationsverpflichtungen erfolgen.
Die Abfragemöglichkeit bestehender Informationsverpflichtungen hat somit zum Ziel, dass bei legistischen Maßnahmen gleiche oder ähnliche Informationsverpflichtungen nicht neuerlich gesetzlich normiert und in der Folge erneut vom Rechtsunterworfenen abgefragt werden müssen (Once-Only). Vielmehr soll die mit der Legistik betraute Stelle dazu angehalten werden, durch Abfrage in der Informationsverpflichtungsdatenbank gleiche oder ähnliche Informationsverpflichtungen in anderen Rechtsvorschriften zu identifizieren und zu prüfen, ob bereits vorliegende Informationen – auf Basis einer entsprechenden gesetzlichen Grundlage – genutzt werden können oder ob die in Aussicht genommene Regelung (Informationsverpflichtung) auf die bestehende abgestimmt werden kann. Ähnliche Informationsverpflichtungen sind solche, die einen im wesentlichen gleichen Informationsgehalt (z. B. Einkommen, Mitarbeiteranzahl, etc.) aufweisen, jedoch zum Beispiel die Abfrageintensität (statt monatlich halbjährlich) oder die Grundgesamtheit (z. B. verschiedene Umsatzgrenzen) abweichend ist. In diesem Fall wäre zu prüfen, ob das bereits vorhandene Informationsangebot für die in Aussicht genommene neue Regelung ausreichend ist.
Zu Z 5 (§ 8 Abs. 8):
Die Bestimmung zur Verpflichtung zur Einmeldung der Daten gemäß § 6 Abs. 4 in die Informationsverpflichtungsdatenbank sowie die Verpflichtung zur Abfrage gemäß § 7 soll zweckmäßigerweise erst nach der betriebstechnischen Verfügbarkeit anwendbar sein, die gemäß § 6 Abs. 5 kundzumachen ist.