5223/J XXVIII. GP

Eingelangt am 10.03.2026
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind möglich.

ANFRAGE

 

des Abgeordneten Dipl.-Ing. Gerhard Deimek

an den Bundeskanzler

betreffend Härte in der Forderung – Schwäche im Vollzug: ID Austria ohne robuste Korrekturketten – Fehlzuordnungen zu Lasten Unbeteiligter, Verantwortlichkeiten, Kennzahlen, Audits und Maßnahmenplan

 

 

Die Bundesregierung propagiert die digitale Identität (ID Austria) als zentralen Baustein moderner Verwaltung und drängt auf flächige Nutzung. Gleichzeitig mehren sich Berichte aus der Verwaltungspraxis, wonach nicht die „Digitalisierung“ als solche das Problem ist, sondern Prozessqualität und Vollzugsrobustheit: fehlende oder zu schwache Plausibilitätsprüfungen, unklare Zuständigkeiten, langsame Korrekturketten und mangelnde „One-Stop“-Entlastung für unbeteiligte Dritte, die durch Fehl-zuordnungen in Register-/Folgeprozessen belastet werden.

 

Ein digitaler Staat ist nur so gut wie seine Sicherungs- und Korrekturmechanismen. Wenn die Nutzung digitaler Verfahren faktisch forciert wird, müssen Fehl-konstellationen rasch, nachvollziehbar und end-to-end bereinigt werden.

 

 

In diesem Zusammenhang richtet der unterfertigte Abgeordnete an den Bundeskanzler nachstehende

 

Anfrage

 

„Wer ist verantwortlich?“ – Governance, Zuständigkeit, Steuerung

 

  1. Welche Organisationseinheiten im Bundeskanzleramt sind für ID Austria fachlich und operativ zuständig? (Bitte um Angaben zu Abteilung/Gruppe, Aufgaben, Personalressourcen)
  2. Welche ressortübergreifende Governance besteht für das Zusammenspiel von ID Austria mit registerbasierten Verfahren (insbesondere ZMR/Meldewesen, finanzielle Verfahren, gewerbliche Verfahren)?
    1. Wer führt den Vorsitz?
    2. Wie oft tagt diese Struktur seit 2023?
    3. Welche verbindlichen Outputs (Standards, Beschlüsse, Roadmaps) wurden beschlossen?
  3. Welche verbindlichen Prozess-/Qualitätsstandards (z. B. „first-time-right“, Korrekturfristen, Audit-Trail-Mindestanforderungen) gelten für das Digitale Amt im Betrieb?
  4. Welche Eskalations- und Entscheidungslogik gilt, wenn ein ressort-übergreifender „Case“ (Fehlzuordnung) im Vollzug feststeckt? (Bitte um Darstellung der Eskalationsstufen und Zuständigkeiten)

 

„Was wird gemessen?“ – Kennzahlen, Beschwerden, Supportfälle (akten- und zahlengetrieben)

 

  1. Welche KPIs werden für ID Austria im Regelbetrieb gemessen (z. B. Verfügbarkeit, Abbruchraten, Fehlermeldungen, Supporttickets, Zeit bis Lösung) und welche Zielwerte gelten?
  2. Wie viele Support-/Beschwerdefälle beim Digitalen Amt / ID-Austria gab es 2022, 2023, 2024 und 2025 insgesamt und nach Hauptkategorien (je Jahr)?
  3. Wie viele dieser Fälle betrafen „Fehlzuordnung/Adress-/Identitätsprobleme mit Drittbetroffenheit“? (Bitte um Aufschlüsselung nach Jahren für 2022-2025)
    1. Wenn keine Kategorie existiert, warum nicht?
    2. Wenn keine Kategorie existiert, wird sie eingeführt?
  4. Welche mediane Bearbeitungszeit und welches 90. Perzentil bestehen bei Supportfällen insgesamt sowie bei der Kategorie „Fehlzuordnung/Adress-/ Identitätsprobleme“ (je Jahr 2022–2025)?
  5. Wie viele Fälle mussten vom BKA an andere Stellen (z. B. BMI/Meldebehörde, BMF, andere) eskaliert werden? (Bitte um Aufschlüsselung nach Jahr und Empfängerkategorie)
  6. Wie viele eskalierte Fälle wurden end-to-end geschlossen und welche mediane end-to-end-Dauer ergab sich (Bitte um Aufschlüsselung nach Jahr)
    1. Wenn keine Erfassung erfolgt, warum nicht?

 

„Wie wird Missbrauch verhindert?“ – Prozessdesign, Plausibilisierung, Anomalien

 

  1. Welche konkreten Prüfschritte sind im Digitales-Amt-Kontext vorgesehen, um Missbrauch oder Fehlzuordnungen zu erkennen, bevor Folgewirkungen eintreten?
  2. Welche Plausibilitätsprüfungen bestehen im Zusammenspiel mit Registerdaten, um unplausible Konstellationen zu erkennen (z. B. massenhafte Vorgänge, ungewöhnliche Häufungen, Fluktuation)?
  3. Gibt es eine automatisierte Anomalie-/Fraud-Erkennung (regelbasiert oder datengetrieben) im Kontext Digitales Amt / ID-Austria (in zusammenfassender Form)?
    1. Wenn ja, welche Grundlogik und Governance (Freigabe/Monitoring) liegt zugrunde?
    2. Wenn nein, warum nicht?
  1. Welche Protokollierung/Audit-Trail-Standards gelten (Wer hat wann was ausgelöst), und welche Aufbewahrungsfristen gelten (bitte systematisch darstellen)?
  2. Welche Maßnahmen bestehen, um kompromittierte Zugänge bzw. Identitäts-missbrauch rasch zu erkennen und zu stoppen (Sperre, Flag, Wiederherstellung, Meldelogik)?

„Ein Fall – eine Lösung?“ – Korrekturketten, Fristen, Opferschutz

 

  1. Welche standardisierte Korrektur- und Entlastungskette gibt es für unbeteiligte Bürger, die durch Fehlzuordnung belastet werden (One-Stop-Logik: Kontaktpunkt, Fallnummer, end-to-end-Verantwortung)?
  2. Gibt es eine übergreifende Vorgangs-ID/Fallnummer, die ressortübergreifend genutzt wird?
    1. Wenn ja, wie ist sie implementiert?
    2. Wenn nein, ist die Einführung geplant (Zeitplan)?
  3. Welche verbindlichen Fristen gelten für
    1. Erstreaktion/Erstprüfung,
    2. vorläufige Sicherungsmaßnahmen (Flag/Sperre),
    3. endgültige Bereinigung?
  4. Welche Ist-Zeiten (Median/90. Perzentil) wurden 2022–2025 tatsächlich erreicht? (Bitte um Aufschlüsselung nach Jahr)
  5. Welche Möglichkeiten bestehen für Betroffene, Folgewirkungen bis zur Bereinigung zu minimieren (z. B. Deaktivierung bestimmter Zustellwege, Flag an angebundene Stellen)?

 

„Pflicht ohne Alternative?“ – Zugangsvoraussetzung, faktische Alternativlosigkeit

 

  1. In welchen Verwaltungsprozessen ist ID Austria faktisch Zugangsvoraus-setzung oder führt Nichtnutzung zu wesentlichen Nachteilen? (Bitte um Darstellung nach Verfahrensarten)
  2. Welche analogen Alternativen bestehen pro Verfahrensart (inkl. Fristen, Gebühren, Bearbeitungszeiten) und wie wird Gleichwertigkeit sichergestellt?
  3. Welche Risikoabwägung nimmt die Bundesregierung vor, wenn Nutzung forciert wird, aber Fehlzuordnungen Dritte belasten können? (Bitte um Darstellung von dokumentierten Risikoanalysen/Entscheidungsgrundlagen)

 

„Wurde das geprüft?“ – Audits, DSFA, Qualitätsmanagement

 

  1. Wurden seit 2022 Sicherheits- und Prozess-Audits für ID Austria durchgeführt? (Bitte um Aufschlüsselung nach Anzahl, Zeitpunkt, Prüfumfang je Audit)
    1. Wenn ja, wie ist der Umsetzungsstatus der abgeleiteten Maßnahmen?
  2. Wurden Datenschutz-Folgenabschätzungen (DSFA) für kritische Prozessketten erstellt, die Drittbetroffenheit erzeugen können?
    1. Wenn ja, welche Ketten, welche Risikominderungen (zusammen-fassend, nicht sicherheitsgefährdend) gibt es?
    2. Wenn nein, warum nicht?
  3. Welche Qualitätsmanagement-Mechanismen bestehen (Release-Gates, Incident-Postmortems, „Stop-the-line“ bei systemischen Fehlern)?

 

„Wer zahlt?“ – Kosten, Ressourcen, Prioritäten

 

  1. Welche Gesamtaufwendungen (IT, Betrieb, Support, Weiterentwicklung, externe Leistungen) entfielen 2022–2025 auf ID Austria? (Bitte um Aufschlüsselung nach Jahr und Kostenarten)
  2. Welche Budgets/Planstellen sind 2026/2027 für Prozesshärtung, Support und Korrekturketten vorgesehen?

„Schnittstellen versagen?“ – Zusammenarbeit mit BMI/BMF/BMWET/sonstigen Stellen

 

  1. Welche verbindlichen Schnittstellen-/Datenqualitätsanforderungen wurden mit dem BMI (ZMR/Meldewesen) festgelegt? (Bitte um Darstellung der Inhalte und des Umsetzungsstands)
  2. Welche Mechanismen bestehen, damit Korrekturen end-to-end in angebundenen Systemen wirksam werden (Push/Pull, Benachrichtigung, Fristen)?
  3. Welche Hindernisse verhindern derzeit, dass eine Korrektur „alle Folgesysteme heilt“? (Bitte um Darstellung der Top-Hürden und des Abhilfeplans)

 

„Ausblick“ – Maßnahmenplan, Systembruch-Option

 

  1. Welche konkreten kurzfristigen (0-6 Monate), mittelfristigen (6-18 Monate) und langfristigen (18+ Monate) Maßnahmen werden zur Prozesshärtung umgesetzt? (Bitte um Darstellung mit Verantwortlichkeiten, Meilensteinen)
  2. Prüft das BKA eine gesetzliche oder organisatorische Systemänderung („Ein Fall – eine Lösung“ mit verbindlichen Fristen und Durchgriff)?
    1. Wenn ja, welche Optionen werden geprüft und mit welchem Zeitplan?
    2. Wenn nein, warum nicht?
  3. Welche messbaren Zielgrößen werden 2026/2027 angestrebt (z. B. Zeit bis Case-Closure, Quote wiederkehrender Fehlzuordnungen, Support-SLA-Erfüllung)?

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Sollten einzelne Antworten einer Vertraulichkeit bzw. Geheimhaltung unterliegen, wird ersucht, diese unter Einhaltung des Informationsordnungsgesetzes klassifiziert zu beantworten.