10280/J XXVII. GP
Eingelangt am 23.03.2022
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind
möglich.
Anfrage
der
Abgeordneten Katharina Kucharowits, Mag.a Dr.in Petra
Oberrauner,
Mag. Christian Drobits,
Genossinnen und Genossen
an die Bundesministerin für Digitalisierung und Wirtschaftsstandort
betreffend ID Austria
„Ab sofort können Sie sich in Österreich mit der ID Austria modern, sicher und digital identifizieren. Die ID Austria ermöglicht Menschen sich sicher online auszuweisen und damit digitale Services zu nutzen und Geschäfte abzuschließen. In Zukunft profitieren auch Unternehmen von den zahlreichen Nutzungsmöglichkeiten der ID Austria.“ (vgl. https://www.oesterreich.gv.at/id-austria.html, Zugriff 17.03.2022). So stellt die Website österreich.gv.at die Austria ID vor. Die Anwendung soll eine Fülle von Funktionen und Aufgaben erfüllen, vom elektronischen Postamt bis hin zu digitalen Behördenservices und digitalen Ausweisen und dabei die derzeit bestehende Handysignatur ablösen.
Am 14. März 2022 kündigten Sie dann die Einführung der ID Austria für den Sommer 2022 an, die Pilotphase werde bis dahin abgeschlossen sein. In der Presseaussendung wird darauf verwiesen, dass bisher 3 Mio. Handysignaturen – das entspräche fast 40 % der über 14 Jährigen in Österreich – ausgestellt wurden, die dann in die ID Austria überführt werden sollen. Jenen Menschen wird „eine Erweiterung der digitalen Nutzungsmöglichkeiten“ versprochen, etwa „digitale Ausweise […] am Mobiltelefon verfügbar zu machen“ oder die EU-weite Nutzung als „wichtiger Schritt im gemeinsamen Digitalen Binnenmarkt“ (vgl. https://www.ots.at/presseaussendung/OTS_20220314_OTS0043/schramboeck-dreimillionste-handy-signatur-ausgestellt, Zugriff 17.03.2022)
Dieses Vorhaben lässt viele große Fragen offen und bedarf ein Mehr an Transparenz.
Die unterfertigten Abgeordneten stellen daher folgende
ANFRAGE
1. Welche konkreten Funktionen wird die künftige ID Austria haben? Bitte um Auflistung aller Funktionen.
2. Welche konkreten Funktionen wird die künftige Ausweisplattform haben? Bitte um Auflistung aller Funktionen.
3. Welche(s) Unternehmen wurde(n) bzw. wird/werden mit der Entwicklung und Programmierung von ID Austria beauftragt?
4. Welche(s) Unternehmen wird/werden mit der (laufenden) Wartung von ID Austria beauftragt?
5. Welche Kosten sind für die Entwicklung und Programmierung der ID Austria bislang angefallen?
6. Welche Kosten sind für die Entwicklung der Ausweisplattform durch die Staatsdruckerei kalkuliert?
7. Welche Kosten sind für die laufende Wartung von ID Austria einerseits und die Ausweisplattform andererseits bisweilen angefallen bzw. welche Höhe an Kosten ist zu erwarten?
8. Welche (personenbezogenen) Daten von Nutzer*innen wird ID Austria konkret a) speichern, b) verwenden und/oder c) an Dritte weitergeben? Bitte um detaillierte Auflistung. Und auf welcher gesetzlichen Grundlage basiert all dies?
9. Welche privatwirtschaftlichen Unternehmen waren mit dem Ministerium für Digitalisierung und Wirtschaftsstandort über Pläne für die Nutzung der ID Austria bereits in Kontakt?
10. Greift ID Austria auf die Nutzung, Speicherung oder Weitergabe von biometrischen Daten des Endgeräts, etwa Gesichtserkennung oder Fingerabdrucksensor, zu?
a. Falls ja, wozu greift ID Austria konkret auf biometrische Daten zu? Zu welchen Funktionen benötigt die Anwendung den Zugriff?
b. Falls ja, wie werden diese hochsensiblen Daten von Nutzer*innen vor einer rechtswidrigen Verwendung, Speicherung oder Weitergabe durch Behörden oder Dritte geschützt?
c. Falls ja, ist die Verwendung von ID Austria auch ohne Verwendung biometrischer Daten möglich?
11. Wo werden die (personenbezogenen) Daten von Nutzer*innen, die ID Austria nutzt, speichert oder weitergibt, gespeichert?
12. Wer hat auf die (personenbezogenen) Daten von Nutzer*innen, die ID Austria nutzt, speichert oder weitergibt, Zugriff? Bitte um detaillierte Auflistung aller Zugriffsberechtigten.
13. Mit welchen Maßnahmen sollen die Identitätsdaten der ID Austria vor überschießendem Zugriff durch privatwirtschaftliche Akteur*innen geschützt werden?
14. Im Kompromisstext der französischen Ratspräsidentschaft vom 10. März 2022 wird ein erhöhtes Schutzniveau für den Zugriff von Identitätsdaten durch privatwirtschaftliche Akteur*innen vorgeschrieben und damit vom Vorschlag der EU-Kommission abgewichen. Welche parallelen Absicherungen gibt es bei der ID Austria auf technischer und organisatorischer Ebene, um den überschießenden Zugriff auf Identitätsdaten durch die Privatwirtschaft zu verhindern?
15. In § 7 der kürzlich erlassenen Stammzahlenregisterverordnung 2022 des Ministeriums für Digitalisierung und Wirtschaftsstandort wird es privatwirtschaftlichen Unternehmungen ermöglicht, bereichsspezifische Personenkennzeichen (bPKs) zu erlangen. Welche Verwendungszwecke sind für diese bPKs vorgesehen?
a. Was wäre aus Sicht des Ministeriums eine widerrechtliche Verwendung dieser bPKs?
b. Welche Branchen sind als legitime Anwender dieser Bestimmung vorgesehen?
c. Welche Maßnahmen zur Absicherung der Verwendung des bPK vor Missbrauch sind vorgesehen?
16. Wie werden die (personenbezogenen) Daten von Nutzer*innen, die ID Austria verwendet, speichert und/oder weitergibt, vor Missbrauch oder bei Diebstahl des Smartphones geschützt?
17. Haben Nutzer*innen Einsicht oder Kenntnis darüber, welche ihrer Daten durch ID Austria gespeichert, verwendet oder weitergegeben und an wen sie weitergeben werden?
a. Falls ja, von wem, wodurch und wie detailreich werden Nutzer*innen informiert?
b. Falls nein, warum nicht?
18. Laut Anfragebeantwortung 7961/AB gab es eine Datenschutzfolgeabschätzung zur Einführung von ID Austria.
a. Ist diese Datenschutzfolgeabschätzung öffentlich einsehbar?
i. Falls ja, wo ist diese zu finden? Bitte auch um Beifügung der Abschätzung an die Beantwortung dieser Anfrage?
ii. Falls nein, warum nicht?
iii. Falls nein, wird sie noch veröffentlicht oder dem Parlament vorgelegt? Und wenn ja, wann?
b. Zu welchen Erkenntnissen ist diese Datenschutzfolgeabschätzung gelangt?
c. Wieso wurde gerade das Unternehmen Research Institute AG & Co KG mit der Datenschutzfolgeabschätzung beauftragt?
19. Ist geplant, für die in Entwicklung befindliche Ausweisplattform, welche gerade durch die Staatsdruckerei entwickelt wird, ebenfalls eine Datenschutzfolgeabschätzung vorzunehmen?
a. Falls ja, wird diese dann veröffentlicht?
b. Falls nein, wieso nicht?
20. Werden neben den Daten von Nutzer*innen auch die einzelnen Zugriffe auf ID Austria durch Nutzer*innen gespeichert und wird auf diese Weise das Tracking von Nutzer*innen ermöglicht?
21. Gab es in der Vergangenheit Zugriffe von Strafverfolgungsbehörden auf die Daten der A-Trust im Rahmen der Handysignatur?
22. Im Zusammenhang mit der Einführung der ID Austria haben bereits mehrere Expert*innen ihre Bedenken geäußert. So könnten auch Privatunternehmen als Serviceprovider auftreten, nicht nur Behörden. Wird gewährleistet, dass die (personenbezogenen) Daten von Nutzer*innen vor einer missbräuchlichen oder rechtswidrigen Verwendung durch Privatunternehmen geschützt sind?
a. Falls ja, wie sieht dieser Schutz konkret aus?
b. Falls nein, warum nicht?
23. Werden jene Menschen, die bereits die Handysignatur nutzen, automatisch in die ID Austria überführt?
a. Wenn ja, wann und wie konkret?
b. Falls nein, können diese Nutzer*innen die ID Austria online beantragen oder ist ein physischer Weg zu den Behörden/auf das zuständige Amt nötig?
24. Die Handysignatur steht Menschen zur Verfügung, die 14 Jahre oder älter sind. Wird dies bei der ID Austria auch der Fall sein?
a. Falls ja, wie wird der besondere Schutz von Minderjährigen und deren Daten im Rahmen der Verwendung der ID Austria gewährleistet?
25. Welche (technischen) Vorrausetzungen braucht ein Endgerät, um ID Austria nutzen zu können? Wird es möglich sein, die ID Austria ohne Smartphone zu nutzen?
a. Falls ja, wie wird dies konkret ausgestaltet sein?
b. Falls nein, wird es für jene Menschen, die bisher die Handysignatur ohne Smartphone nutzten, ein alternatives Angebot geben?
26. Wird es die Möglichkeit geben, ID Austria auch mit einem alternativen App Store (Huawei, F-Droid, etc.) oder auf einem Smartphone ohne Google oder Apple Betriebssystem zu nutzen?
a. Falls nein, wodurch ist diese Einschränkung sachlich gerechtfertigt?
27. Auf der Website der ID Austria (https://www.oesterreich.gv.at/id-austria) heißt es, dass man sich mit dem digitalen Weg zum Amt bis zu 40 % der Antragsgebühren sparen könne. Wie begegnen Sie dieser groben Diskriminierung von jenen Menschen, die weniger digital affin sind oder kein Smartphone mit Datentarif und biometrischer Authentifizierung leisten können und denen es somit nicht möglich ist, das digitale Amt zu nutzen?
28. Wird es ein Angebot für die ID Austria für jene Menschen ohne Smartphone mit Datentarif und biometrischer Authentifizierung geben?
a. Falls ja, wann und auf welcher Plattform wird dieses angeboten werden?
b. Falls nein, begegnet das Ministerium der Benachteiligung dieser Bevölkerungsschichten beim Zugang zu staatlichen Leistungen und etwaiger Mehrkosten bei Behördenwegen?
29. Wurde bei der Konzipierung und Programmierung von ID Austria darauf geachtet, dass die Anwendung auch für weniger digitalaffine Personen nutzbar ist?
a. Welche Personengruppen haben ID Austria in der Pilotphase getestet? Waren darunter auch weniger digitalaffine Personen?
b. Welche Anstrengungen wurden unternommen, um die ID Austria auch für Menschen mit Behinderung nutzbar zu machen?
c. Was wurde/wird getan, um ID Austria für möglichst viele Bevölkerungsgruppen, auch weniger digitalffine, nutzbar zu machen?
d. Wie benutzer*innenfreundlich wurde ID Austria gestaltet? Wird es eine reduzierte, „easy-use“ Version der Anwendung geben, um die Nutzung auch wenig digitalaffinen Personen zu ermöglichen?
e. Wird es Einschulungsangebote oder ähnliches geben, um auch weniger digitalaffine Personengruppen zu erreichen?
f. Wird es zur Einführung von ID Austria allgemeine Werbe- und/oder Informationskampagnen geben?
30. Auf EU-Ebene wird im Moment eine Reform der e IDAS Verordnung verhandelt, mit der eine "Neugestaltung des europäischen Rechtsrahmens für elektronische Identitätssysteme (eID)" (vgl. https://epicenter.works/document/3895) umgesetzt werden soll.
a. Orientiert sich ID Austria am derzeitig bestehenden europäischen Rechtsrahmen für elektronische Identitätssysteme?
b. Mit der Neugestaltung des genannten EU-Rechtsrahmens, besteht die Gefahr, dass ID Austria dann nicht mehr den Vorgaben und Normen der EU Verordnung entspricht?
i. Falls ja, wie wird dieser Widerspruch aufgelöst?