E-Zustellung 2015 - WKO.at · Verwaltung sowie zur Änderung weiterer Vorschriften"...
Transcript of E-Zustellung 2015 - WKO.at · Verwaltung sowie zur Änderung weiterer Vorschriften"...
GUTACHTEN
zu einzelnen Fragestellungen im Rahmen des Projektes
E-Zustellung 2015
Arbeitspaket 5 (Recht/Rulebook)
erstellt von
Dr. Markus Knasmüller Allgemein beeideter und gerichtlich zertifizierter Sachverständiger
Leiter der Softwareentwicklung, BMD Systemhaus GmbH Steyr
im Auftrag von
AUSTRIAPRO
Wiedner Hauptstraße 63
A – 1045 Wien
Haag, Dezember 2015
GUTACHTEN
zu einzelnen Fragestellungen im Rahmen des Projektes
E-Zustellung 2015
Arbeitspaket 5 (Recht/Rulebook)
erstellt von
Dr. Markus Knasmüller Allgemein beeideter und gerichtlich zertifizierter Sachverständiger
Leiter der Softwareentwicklung, BMD Systemhaus GmbH Steyr
im Auftrag von
AUSTRIAPRO
Wiedner Hauptstraße 63
A – 1045 Wien
Haag, Dezember 2015
Inhaltsverzeichnis
Einleitung ......................................................................................................................................... 1
Gegenstand des Gutachtens ........................................................................................................... 1
Länderübergreifender Einsatz der e-Zustellung .............................................................................. 3
Updates für bereits vorgestellte Länder...................................................................................... 3
Deutschland ............................................................................................................................. 3
Schweiz .................................................................................................................................... 5
Italien ....................................................................................................................................... 5
Ungarn ..................................................................................................................................... 6
Slowenien ................................................................................................................................ 6
Tschechien ............................................................................................................................... 7
Slowakei ................................................................................................................................... 8
Norwegen ................................................................................................................................ 8
Dänemark ................................................................................................................................ 9
Finnland ................................................................................................................................. 10
Schweden .............................................................................................................................. 11
Estland ....................................................................................................................................... 12
EU-Verordnung .............................................................................................................................. 14
Überblick über die EU-Verordnung ........................................................................................... 14
Dienste für die Zustellung elektronischer Einschreiben ........................................................ 14
Notifizierung elektronischer Identifizierungssysteme .......................................................... 15
Elektronische Dokumente ..................................................................................................... 16
Elektronische Siegel ............................................................................................................... 17
Stand der Umsetzung ................................................................................................................ 18
Zusammenarbeit der Mitgliedsstaaten ................................................................................. 18
Interoperabilität .................................................................................................................... 20
Mindestanforderungen für die Sicherheitsstufen ................................................................. 21
Referenzformate für elektronische Siegel ............................................................................. 33
Stand der Umsetzung in Österreich ...................................................................................... 35
Auswirkungen auf das Rulebook ............................................................................................... 35
Änderungen/Erweiterungen beim Rulebook ................................................................................ 38
Certificate Pinning ..................................................................................................................... 38
Prüfung der zitierten Gesetze ................................................................................................... 38
Wirtschaftsportalverbund ............................................................................................................. 40
Einführung ................................................................................................................................. 40
Rulebook des WPV .................................................................................................................... 41
Zustelldienst als Identity Provider ............................................................................................. 42
Weitere Anregungen für das Rulebook der e-Zustellung .......................................................... 45
Zusammenfassung Änderungen Rulebook ................................................................................ 46
Ausblick.......................................................................................................................................... 47
Zusammenfassung ......................................................................................................................... 48
Anhang A Rulebook – Überarbeitete Version ............................................................................... 49
Einleitung
- 1 -
Einleitung
Im Rahmen des Projektes E-Zustellung werden die technischen und rechtlichen Belange
der kommerziellen elektronischen Zustellung ("elektronisches Einschreiben") behan-
delt. Die Wirtschaftskammer Österreich hat gemeinsam mit AUSTRIAPRO ein elektro-
nisches Zustellsystem entwickelt, das sowohl Unternehmen als auch Privatpersonen
nutzen können. Zustelldienste im Rahmen dieses standardisierten, offenen Systems
können von privaten Unternehmen/Organisationen betrieben werden, die einen Vertrag
mit der WKO unterschrieben und sich verpflichtet haben, alle notwendigen Spezifika-
tionen und Sicherheitskriterien zu erfüllen, wobei bisher ein Zustelldienst in Betrieb ist
(www.postserver.at). Das System der Zusammenarbeit mit den Zustelldiensten ist dabei
durch das Rulebook der Wirtschaftskammer Österreich „System private E-Zustellung in
Österreich“ geregelt.
Dieses Projekt wird laufend weiterentwickelt, wodurch auch 2015 verschiedene Arbeits-
pakete (AP) beauftragt wurden, unter anderem das Arbeitspaket 5, das in diesem
Gutachten behandelt wird. Der Sachverständige hat dabei bereits in den Jahren 2011 -
2014 jeweils ein Gutachten1 in diesem Zusammenhang erstellt, dieses Gutachten ist daher
eine Erweiterung der Vorjahresgutachten.
Angemerkt sei, dass Schwerpunkt des Projektes „e-Zustellung 2015“ ist, basierend auf
den in den Vorprojekten erarbeiteten und publizierten Ergebnissen (Spezifikation,
Rulebook, prototypische Entwicklungen, Programmbibliotheken etc.) und unter
Berücksichtigung des aktuellen Status (aus Sicht des Arbeitskreises sowie aus Sicht des
Marktes), eine Fokussierung auf das Thema „Verbreitung der privatwirtschaftlichen
elektronischen Zustellung“ sowie auf entsprechende Usecases in diesem Zusammenhang
zu legen.
Gegenstand des Gutachtens
Analog zu den Vorprojekten werden im Arbeitspaket Recht/Rulebook folgende Themen
bearbeitet: Länderübergreifender Einsatz der E-Zustellung und deren rechtliche
Rahmenbedingungen sowie die Überprüfung, inwieweit Neuerungen aus den
Arbeitspaketen 3, 4 (Fachlich, Usecases und Technik) und 6 (Spezifikation) Relevanz für
das Rulebook haben und Ausarbeitung entsprechender Erweiterungs- bzw.
Änderungsvorschläge.
Ein weiteres Schwerpunktthema stellt der rechtliche Konnex zum Thema
Wirtschaftsportalverbund dar. Im entsprechenden Arbeitskreis der AUSTRIAPRO wird
ein Rulebook zu diesem Thema entwickelt: die Verbindungen zwischen den Themen sind
im Rulebook der e-Zustellung entsprechend zu berücksichtigen.
1 In den Jahren 2013/14 wurde ein gemeinsames Gutachten für beide Jahre erstellt.
Gegenstand des Gutachtens
- 2 -
Im Rahmen eines Gespräches mit Dr. Gerhard Laga als Vertreter von AUSTRIAPRO
wurden die Themen des Gutachtens wie folgt genauer spezifiziert:
Länderübergreifender Einsatz der e-Zustellung (primär EU), rechtliche
Bedeutung etc. Bereits 2012 wurden für die wichtigsten Nachbarländer
Österreichs die Regeln für die E-Zustellung herausgearbeitet, damit eine Basis
gelegt werden kann für einen länderübergreifenden Einsatz der e-Zustellung.
Diese Arbeit soll entsprechend angepasst werden, sofern sich die gesetzlichen
Rahmenbedingungen, geändert haben. Außerdem sollte dieser Länderteil um
Estland erweitert werden.
EU-Verordnung: Die im Jahr 2015 erschienen Durchführungsrechtsakte zur
Verordnung über die elektronische Identifizierung und Vertrauensdienste für
elektronische Transaktionen im Binnenmarkt sollen näher untersucht und darauf
aufbauend sollen eventuelle Auswirkungen bzw. Vorschläge für das Rulebook
entsprechend erarbeitet werden.
Änderungen/Erweiterungen beim Rulebook: Beim jetzigen Stand des
Rulebooks sind noch einige Änderungen/Erweiterungen vorzunehmen:
o Verpflichtendes Certificate Pinning
o Prüfung ob die zitierten Gesetze und Paragraphen noch am aktuellen Stand
sind
Wirtschaftsportalverbund. Der Wirtschaftsportalverbund (WPV) soll eine
Kooperationsbasis für verschiedene Dienstanbieter der Wirtschaft im Internet
darstellen, um elektronische Geschäftsprozesse sicherer und effizienter als bisher
abwickeln zu können. Ein eigener Arbeitskreis von AUSTRIAPRO beschäftigt
sich mit dieser Thematik. Insbesondere wird überlegt, ob der Zustelldienst als
Identity-Provider auftreten soll und Auswirkungen auf das Rulebook in diesem
Zusammenhang sollten untersucht werden.
Jedem dieser Fragenkomplexe ist in Folge ein Abschnitt gewidmet. Außerdem wurden
die vorgeschlagenen Änderungen am Rulebook auch gleich in dieses eingearbeitet.
Dementsprechend befindet sich eine entsprechende Word-Datei im Entwurf-Modus im
Anhang A des Gutachtens.
Für die Durchführung des Auftrags und unsere Verantwortlichkeit sind, auch im
Verhältnis zu Dritten, die allgemeinen Bedingungen des Fachverbandes für Unterneh-
mensberatung und Datenverarbeitung der Bundeswirtschaftskammer, vereinbart.
Länderübergreifender Einsatz der e-Zustellung
- 3 -
Länderübergreifender Einsatz der e-Zustellung
Bereits im e-Zustellungsprojekt des Jahres 2012 wurde ein guter Überblick über die
Regeln der e-Zustellung für die wichtigsten Nachbarländer Österreichs gegeben, damit
die Basis für einen länderübergreifenden Einsatz gelegt werden kann. Im Gutachten für
die Jahre 2013 und 2014 wurde dieses Kapitel erweitert, einerseits um Updates für die
bereits vorgestellten Länder, andererseits um Berichte über die skandinavischen Länder.
Im folgenden Abschnitt wird dabei wieder präsentiert, ob sich in den einzelnen Ländern
die Situation diesbezüglich geändert hat. Außerdem wird das Gutachten um Estland
ergänzt. Anlässlich des Inkrafttretens der EU-Verordnung Nr. 910/2014 wurde in der
Presseaussendung dieses Land als Musterland für die e-Zustellung erwähnt, seit zwölf
Jahren kennt es Systeme wie die E-Id. Daher war eine Erweiterung des Länderabschnittes
um dieses Land von Interesse.
Allgemein kann darauf hingewiesen werden, dass es ein dem deutschen De-Mail Gesetz2
vergleichbares Gesetz in den anderen Ländern meist so nicht gibt. Dennoch gibt es oft
Ansätze ähnlicher Gesetze oder Verordnungen oder es sind auch Gesetze, die
grundsätzlich für traditionelle Medien gedacht waren, sinngemäß auf elektronische
Medien anzuwenden. Die folgenden Informationen stammen dabei aus Recherchen des
Sachverständigen, bei denen er aber von den jeweiligen Außenwirtschaftscentern der
Wirtschaftskammer unterstützt wurde. Angemerkt sei, dass der Großteil der Informa-
tionen leider nur in Landessprache zur Verfügung steht.
Updates für bereits vorgestellte Länder
Wie bereits erwähnt sind die Länder Deutschland, Schweiz, Italien, Ungarn, Slowenien,
Tschechien, Slowakei, Norwegen, Dänemark, Finnland und Schweden bereits in den
vergangenen e-Zustellungsprojekten näher durchleuchtet worden. Daher sind für diese
Länder im Folgenden nur kurze Abschnitte, die insbesondere auf etwaige Veränderungen
eingehen, enthalten. Detailliertere Hinweise finden sich in den Gutachten für die Jahre
2012 bzw. 2013/14.
Deutschland
Das deutsche De-Mail Gesetz ist eine Lösung für eine sichere Onlinekommunikation, die
das rechtsverbindliche und vertrauliche Versenden von Dokumenten und Nachrichten
über das Internet ermöglicht. Die De-Mail kann dabei sowohl bei der Kommunikation
mit der öffentlichen Verwaltung als auch zwischen Privaten zur Anwendung gelangen.
Die gesetzlichen Grundlagen sind dabei schon in den bisherigen e-Zustellungsprojekten
ausführlich vorgestellt worden. Das De-Mail-Gesetz ist zuletzt am 7. August 2013
geändert worden, wobei die Änderungen eher gering waren.
2 Mit diesem haben sich insbesondere die E-Zustellungsprojekte 2010 und 2011 intensiv beschäftigt
Länderübergreifender Einsatz der e-Zustellung
- 4 -
Anzumerken ist, dass sich trotz aller Unterstützung von Gesetzgeberseite De-Mail noch
nicht wirklich verbreitet hat. Dies, obwohl die Kosten für De-Mail im Laufe der Zeit
deutlich reduziert wurden. War anfangs nur ein geringes Kontingent von De-Mails pro
Monat kostenfrei, haben GMX und web.de bei der CeBIT 2014 bekanntgegeben, dass
eine unbegrenzte Anzahl von De-Mails für Privatkunden kostenfrei ist.
Interessant sind in diesem Zusammenhang aber auch die Preise für klein- und
mittelständische Unternehmen, die von der Telekom angeboten werden. Business De-
Mail 25 ist ein Angebot für Selbstständige, kleine und mittelständische Firmen, die über
den Internetbrowser auf ihr De-Mail-Postfach zugreifen. Die Kosten dafür sind monatlich
nur 4,95 Euro3.
Auf der Homepage des Beauftragten der Bundesregierung für Informationstechnik wird
über Aktuelle Neuigkeiten bezüglich De-Mail berichtet4:
Anschluss der Bundesbehörden an zentrales De-Mail-Gateway: Gegenwärtig
werden die Behörden des Bundes schrittweise an das zentral betriebene De-Mail-
Gateway des Bundes angeschlossen. Die Behörden, die dem Informationsverbund
Berlin-Bonn (IVBB) oder dem Informationsverbund der Bundesverwaltung
(IVBV) angehören, sind durch das "Gesetz zur Förderung der elektronischen
Verwaltung sowie zur Änderung weiterer Vorschriften" (E-Government-Gesetz)
verpflichtet, bis zum 24. März 2016 einen Zugang für De-Mail zur Verfügung zu
stellen.
Integrationsunterstützung für Bundesbehörden: Bundesbehörden können De-
Mail-Dienste und -Komponenten über einen Rahmenvertrag des Bundes beziehen
und Beratungsleistungen in Anspruch nehmen, die über zentrale Mittel des BMI
finanziert werden, so dass ihnen hierfür keine Kosten entstehen.
Bundesinnenministerium hat De-Mail-Zugang eröffnet: Das Bundesinnen-
ministerium hat seinen Zugang für De-Mails im August 2015 eröffnet und in
einem ersten Schritt ein zentrales De-Mail-Postfach eingerichtet. Im Frühjahr
2016 ist eine Evaluierung der momentanen Erprobungsphase vorgesehen. Danach
wird über den weiteren Ausbau des De-Mail-Systems im BMI entschieden.
3 https://geschaeftskunden.telekom.de/startseite/cloud-loesungen/zusammenarbeit/e-mail-loesungen/de-
mail/113562/de-mail-web-25.html 4 http://www.cio.bund.de/Web/DE/Innovative-Vorhaben/De-
Mail/de_mail_node.html#doc4623478bodyText3
Länderübergreifender Einsatz der e-Zustellung
- 5 -
Schweiz
Das Schweizerische Recht kennt nur sehr wenige Gesetzesbestimmungen, die
ausdrücklich internet- und informatikspezifische Sachverhalte regeln. Vielmehr werden
bestehende Gesetze (Obligationenrecht, Geschäftsbücherverordnung) auch auf solche
Sachverhalte angewendet. Ein eigenes Gesetz, vergleichbar dem Ausmaß des deutschen
De-Mail-Gesetz, gibt es demnach in der Schweiz nicht, die Gesetzeslage hat sich
diesbezüglich auch 2015 nicht geändert. Es existieren jedoch einzelne Gesetze und
Vorschriften, welche in diese Richtung zielen.
Die mit dem De-Mail-Gesetz vergleichbarste Regelung in der Schweiz ist die sogenannte
Verordnung über die elektronische Übermittlung im Rahmen eines Verwaltungs-
verfahrens vom 18. Juni 20105. Diese Verordnung regelt die Modalitäten des
elektronischen Verkehrs zwischen einer Partei und einer Verwaltungsbehörde im
Rahmen von Verfahren. Auf Grund dieser Verordnung können seit dem 1. Jänner 2011
Eingaben an Behörden und Gerichte generell auch elektronisch übermittelt werden. Diese
Übermittlungen erfolgen am einfachsten über eine anerkannte Plattform.
Für die Anerkennung ist dabei das Eidgenössische Finanzdepartement (EFD), und dort
das Informatikstrategieorgan Bund (ISB), zuständig. Die Anerkennung stützt sich auf
einen Kriterienkatalog6, der in Zusammenarbeit mit dem Bundesamt für Justiz (BJ) des
Eidgenössischen Justiz- und Polizeidepartements (EJPD) und externen Spezialisten
erarbeitet worden ist.
Basierend auf diesen Kriterienkatalog sind derzeit in der Schweiz vier Plattformen
anerkannt:
- Zustellplattform der Firma Privasphere: https://www.privasphere.com/
- Zustellplattform der Schweizerischen Post: IncaMail Version 3.0
- Zustellplattform des Kantons Bern
- Eingabeplattform Open eGov Secure Inbox System für die Bundesverwaltung:
OSIS-BV betreiben von der Firma fence IT AG im Auftrag des Bundesamts für
Justiz
Die ersten beiden Plattformen können dabei auch für den Austausch von Nachrichten
zwischen Unternehmen (oder natürlichen Personen) verwendet werden.
Italien
Die italienischen Bestimmungen, die sich 2015 nicht geändert haben, sind diesbezüglich
sehr fortschrittlich. Alle italienischen Gesellschaften müssen seit dem 29. November
5 http://www.admin.ch/ch/d/as/2010/3031.pdf 6
http://www.isb.admin.ch/themen/sicherheit/00530/01200/index.html?lang=de&download=NHzLpZeg7t,ln
p6I0NTU042l2Z6ln1acy4Zn4Z2qZpnO2Yuq2Z6gpJCEd4F6fmym162epYbg2c_JjKbNoKSn6A--&t=.pdf
Länderübergreifender Einsatz der e-Zustellung
- 6 -
2011 über eine eigene, zertifizierte E-Mail Adresse („PEC – Posta elettronica
certificata“) verfügen (Gesetzesdekret Nr. 185/2008, Art. 16, Gesetz Nr. 2/20097). Seit
1.7.2013 besteht diese Verpflichtung darüber hinaus für alle Einzelunternehmer.
Eine zertifizierte E-Mail ist rechtlich einem eingeschriebenen Brief mit Rückschein
(„raccomandata con ricevuta di ritorno“) gleichgestellt und soll den Schriftverkehr mit
Einschreiben ersetzen. Sie ist rechtsverbindlich, sofern von einer zertifizierten an eine
andere zertifizierte E-Mail Adresse gesendet wird. Dazu müssen Sender und Empfänger
der E-Mail ein zertifiziertes elektronisches Postfach mit Empfangsbestätigung einrichten.
Das Ministerium für wirtschaftliche Entwicklung hat zudem ein Register aller PEC-
Adressen von Unternehmen und Freiberuflern eingerichtet (Indice Nazionale degli
Indirizzi di Posta Elettronica Certificata INI-PEC), das auch online zur Verfügung steht
und kostenlos konsultiert werden kann: www.inipec.gov.it
Etwa können auch Forderungsanmeldungen in Konkursverfahren grundsätzlich nur mehr
per PEC übermittelt werden. Ausländische Unternehmen können zu diesem Zweck über
das Portal www.portalecreditori.it eine PEC einrichten.
Ungarn
Wie das Zentralamt für Verwaltungsbehördliche und Elektronische Öffentliche
Dienstleistungen – KEEKH8 - bestätigt hat, gibt es in Ungarn derzeit kein Rahmengesetz
über die elektronische Zustellung vergleichbar etwa dem De Mail Gesetz Deutschlands.
Zwar wurden diesbezüglich im Jahre 2009 zwei Gesetze vom Parlament verabschiedet –
das Gesetz Nr. LII von 2009 über die elektronische Zustellung von behördlichen
Dokumenten und den elektronischen Empfangsschein sowie das Gesetz Nr. LX über die
elektronische öffentliche Dienstleistung, die beiden Gesetze wurden jedoch von Juristen
scharf kritisiert und letztendlich durch das Gesetz Nr. CLXXIV von 2011 außer Kraft
gesetzt. Daher wird die elektronische Zustellung mit einer Allgemeingültigkeit bis dato
nicht reguliert, wobei sich diesbezüglich allerdings etwas bewegen könnte, da heuer die
Regierung den Vorschlag an das Parlament unterbreitet hat das Gesetz III aus 1952
entsprechend zu novellieren. Dieses regelt unter anderem auch die elektronische
Kommunikation der Gerichte mit den Parteien.
Slowenien
Die gesetzlichen Rahmenbedingungen, die in Slowenien schon vor längerer Zeit (2000)
geschaffen wurden, haben sich 2015 nicht geändert. Die elektronische Zustellung
behandeln die nachfolgenden Gesetze:
Gesetz über die elektronische Kommunikation (Zakon o elektronskih komunikacijah-ZEKom-UPB19)
7 http://www.altalex.com/index.php?idnot=44643 8 http://www.kekkh.gov.hu/en/
Länderübergreifender Einsatz der e-Zustellung
- 7 -
Gesetz über den elektronischen Geschäftsverkehr und der elektronischen Unter-
schrift (Zakon o elektronskem poslovanju in elektronskem podpisu - ZEPEP10)
Darin wird auch geregelt, dass Firmen, die Dienstleistungen des sicheren elektronischen
Zustellens durchführen dürfen, seitens des obersten Gerichtes in Slowenien akkreditiert
werden müssen. Dies sind derzeit nur zwei Firmen:
Pošta Slovenije d.o.o., Slomškov trg 10, Maribor
(http://www.posta.si/novica/28334/VROCANJE-PO-
ZPP?nodeid=1397&page=1&year=0)
EIUS d.o.o., Vrtna ulica 22, 1000 Ljubljana
(http://www.eius.si/index.php/izpostavljeno)
Ergänzend sei auch festgehalten, dass nach oben erwähntem ZEPEP-Gesetz die
Benützung einer elektronischen Signatur bei juristischen Personen für die Kommunika-
tion mit der Steuerbehörde zwingend notwendig ist.
Private Initiativen, wie etwa das Rulebook für die E-Zustellung in Österreich, sind in
Slowenien nicht bekannt.
Tschechien
Am 1. Juli 2009 wurde das Gesetz Nr. 300/2008 Sb. über die elektronischen Funktionen
und die autorisierte Dokumentenkonvertierung wirksam. Aufgrund des Gesetzes wird ein
elektronischer Briefkasten, eine „Datenbox“, eingeführt. Alle juristischen Personen, die
im tschechischen Handelsregister eingetragen sind, sowie ausländische Zweig-
niederlassungen, sind seit dem Jahre 2010 verpflichtet, eine „Datenbox“ einzurichten. Für
die Gründung und Verwaltung dieser Datenbox ist das Innenministerium verantwortlich.
Die Einrichtung der Datenbox erfolgt auf einem dafür vorgesehenen Formular auf der
Webseite www.datoveschranky.info.
Die Organe der staatlichen Verwaltung (d.h. staatliche Organe, Gerichte, Gemeinden und
Kreise, der Bodenfonds der Tschechischen Republik, die Gesundheitsversicherung,
Exekutoren etc.) sind verpflichtet, mit den juristischen Person über den elektronischen
Briefkasten zu kommunizieren bzw. sämtliche Schriftstücke in elektronischer Form an
diese Datenbox zuzustellen. Nachrichten, und zwar auch eigenhändig zuzustellende
Nachrichten, gelten zum Zeitpunkt der Anmeldung der berechtigten Person bzw. einer
beauftragten Person in der Datenbox als zugestellt.
Die gesetzlichen Grundlagen haben sich dabei in den letzten Jahren nicht nennenswert
geändert.
9 http://www.pisrs.si/Predpis.aspx?id=ZAKO3781&pogled=osnovni 10 http://www.uradni-list.si/1/objava.jsp?urlid=200498&stevilka=4284
Länderübergreifender Einsatz der e-Zustellung
- 8 -
Slowakei
Den Bereich der elektronischen Kommunikation (und damit auch zumindest ansatzweise
der elektronischen Zustellung) in der Slowakei regelt das Gesetz Nr. 351/2011 Ges. Slg.
über elektronische Kommunikation. Dabei wird allerdings vermehrt Augenmerk gelegt
auf einen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste und die
Genehmigung dieser. Auch wird insbesondere auf die Verarbeitung personenbezogener
Daten und den Schutz der Privatsphäre eingegangen, ebenso wird auf die nicht
erwünschte Zustellung eingegangen. Strafen werden ebenso geregelt, die bei Nicht-
erfüllung oder Verletzung der Pflichten durchaus hoch (bis zu Euro 300.000,-) sein
können.11
Vergleichbare Regelungen wie etwa in Tschechien betreffend der E-Zustellung oder auch
private Initiativen ähnlich dem Rulebook in Österreich konnte der Sachverständige in der
Slowakei nicht finden. Die gesetzlichen Grundlagen haben sich dabei auch in den letzten
drei Jahren nicht nennenswert geändert.
Norwegen
Norwegen ist sehr fortschrittlich im Bereich der e-Zustellung, da die Regierung darauf
abzielt die private e-Zustellung auch im Rahmen des e-Governments abzubilden12.
Die Vorschrift über elektronische Kommunikation mit und in der Verwaltung
(„eForvaltningsforskriften“13) regelt die gesetzlichen Rahmenbedingungen der elektro-
nischen Zustellung in Norwegen betreffend der Verwaltung, wobei viele Behörden,
Regionen und Gemeinden in Norwegen elektronische Dienste anbieten.
Seitens des Direktorats für Verwaltung und IKT Difi (www.difi.no) wurde dabei auch
eine elektronische ID (e-ID) entwickelt, wobei diese auf der Definition von PEPPOL
basiert14. Dabei gibt es derzeit vier Anbieter in Norwegen, wobei jeder Bürger frei
wählen kann, welchen Anbieter er nutzen möchte:
- Min ID seitens der Behörden
- Bank ID seitens der Banken
- Buypass seitens eines privaten Anbieters
- Commfidese seitens ebenfalls eines privaten Anbieters
Mit Hilfe der e-ID ist für Betriebe und Bürger auch ein Einloggen über das Behörden-
Portal Altinn.no möglich. Dieses Portal dient bereits seit 2003 für die Vereinfachung
11 Eine englische Arbeitsübersetzung des Gesetzes kann der Homepage des Ministeriums für Verkehr, Bau
und Regionale Entwicklung, das auch für den Bereich Post und Telekommunikation zuständig ist,
entnommen werden: http://www.telecom.gov.sk/index/index.php?ids=5891&lang=en 12 Programm unter
http://www.regjeringen.no/upload/FAD/Kampanje/DAN/Regjeringensdigitaliseringsprogram/digit_prg_en
g.pdf in englischer Sprache abrufbar. 13 http://lovdata.no/dokument/SF/forskrift/2004-06-25-988 14 Die Thematik PEPPOL wurde bereits im Projekt e-Zustellung 2011 umfassend behandelt.
Länderübergreifender Einsatz der e-Zustellung
- 9 -
diverser Dienste (z.B. Registrierung von Firmen, Abgabe von Steuererklärungen…) und
bietet über 200 derartige Dienste (mit den entsprechenden Formularen) an. Details zu
diesen Diensten finden sich am Portal Norge.no. Bereits 3,5 Millionen Benutzer (bei nur
rund 5 Millionen Einwohnern) nutzen dieses Service15 und haben damit auch eine
elektronische ID. Allerdings verwenden davon ca. 2,7 Millionen nur die sogenannte „Min
ID“16, die allen volljährigen Norwegern von den Behörden per Post zugesendet wurde.
Benutzern einer e-ID wird seitens der Norwegischen Post mittels Digipost17 kostenfrei
ein sicherer elektronischer Briefkasten angeboten. Mit diesem kann sämtliche
elektronische Post, egal ob von Behörden, Betrieben oder Privaten, gesammelt werden,
ab 1. Jänner 2016 bekommen nur mehr jene Bürger offizielle Mitteilungen in Papierform,
wenn sie sich gegen die digitale Post ausgesprochen haben.
Interessant ist, dass Ende 2014 geplant war in einem neuen Postgesetz Mindestansprüche
für „sichere digitale Post“ zu regeln. Dies wurde aber dann nicht umgesetzt, da im
Rahmen einer Begutachtung festgestellt wurde, dass es keinen Bedarf für eine derartige
gesetzliche Regelung gibt.
Der Vollständigkeit halber seien für die Abwicklung auch noch das Gesetz über
elektronische Signatur („eSignaturloven“18) und das Datenschutzgesetz
(„Personoplysingsloven“) erwähnt.
Dänemark
Dänemark weist einen sehr fortschrittlichen Status diesbezüglich auf, da der dänische
Staat mit seiner Digitalisierungsstrategie19 seit 2011 die komplette Digitalisierung
Dänemarks im Auge hat. Darin wird unter anderem folgendes Ziel definiert: „No more
printed form or letters: Applications, reports, letters and all other written communication
with both citizens and companies must by default be digital“. Für die Umsetzung der
Strategie ist die Digitaliseringsstyrelsen20 (Danish Agency for Digitisation)
verantwortlich.
Insbesondere ist hervorzuheben, dass auf Grund des Gesetzes über öffentliche digitale
Post21 jeder dänische Bürger, der über 15 Jahre ist und eine offizielle Personennummer
(CPR-Nummer – Zentraler Personenregister) hat, ab 1. November 2014 einen digitalen
Briefkasten haben muss, um Post von der öffentlichen Behörde (z.B. auch Gemeinden)
enthalten zu können22. Die Website borger.dk dient dabei dazu, die digitale Post der
15 Nähere Informationen dazu können dem Bericht http://www.difi.no/filearchive/national-common-
components-en.pdf entnommen werden. 16 http://www.difi.no/artikkel/2012/04/how-to-use-minid 17 http://www.digipost.no 18 http://lovdata.no/dokument/NL/lov/2001-06-15-81 19
http://www.digst.dk/Digitaliseringsstrategi/~/media/Files/Digitaliseringsstrategi/Tilgaengelig_engelsk_strat
egi.pdff 20 http://www.digst.dk/Servicemenu/English 21 https://www.retsinformation.dk/Forms/R0710.aspx?id=142234 22 Ausnahmen für Sonderfälle, wenn kein Internetzugang möglich ist, sind vorhanden.
Länderübergreifender Einsatz der e-Zustellung
- 10 -
öffentlichen Stellen zu erhalten. Ebenso können über diese Webseite selbst digitale
Einreichungen (z.B. Umzugsmeldungen, Schulanmeldungen, …) vorgenommen werden.
Dieser notwendige digitale Briefkasten für den Verkehr mit den Behörden kann dabei
auch mit der sogenannten e-Boks (www.e-boks.dk) kombiniert werden. Dabei handelt es
sich um einen der größten Anbieter, wobei damit auch private (elektronische) Post
empfangen und gesendet werden kann. Der Dienst e-Boks hat (Stand November 2015)
bereits mehr als 5 Millionen Kunden. Diese weite Verbreitung der (auch privaten) e-
Zustellung wird sicherlich noch deutlich ausgebaut werden, da mit dem verpflichtenden
digitalen Briefkasten noch mehr Interessenten dafür entstehen werden.
Außerdem steht die nächste Strategie 2016-2020 in den Startlöchern, diese soll den Fokus
verschärft auf die Wirtschaft richten und hat folgende Ziele:
- Ein produktiver und effizienter öffentlicher Sektor
- Wertsteigender öffentlicher Dienst für Bürger und Unternehmer
- Öffentliche Digitalisierung muss ein Wirtschaftswachstum unterstützen
Nähere Informationen werden auf der Homepage
http://www.digst.dk/Servicemenu/English/Policy-and-Strategy/New-Digital-Strategy
veröffentlicht werden. Dort findet sich auch ein kurzes Video (englische Untertitel) mit
Interviews, das eindrücklich erklärt, worum es Dänemark in der neuen Strategie geht.
Finnland
Mit 1.1.2015 trat das neue Gesetz „Information Society Code“23, welches das bisherige
Gesetz Act on the Protection of Privacy in Electronic Communications24 ersetze, in Kraft.
Es regelt die Rahmenbedingungen für die e-Zustellung in Finnland. Diese unterscheiden
sich nicht wirklich grundlegend von denen in den anderen Ländern.
Für die elektronische Zustellung in Finnland steht das System NetPosti25 (der Firma
Posti) zur Verfügung. Damit können Briefe von Behörden, lokalen Gesundheitszentren
oder auch Rechnungen von Firmen elektronisch empfangen werden. Die empfangenen
Nachrichten können dabei kostenfrei sieben Jahre lang in beliebigem Format aufbewahrt
werden.
Es ersetzt dabei aber kein E-Mail, da nur Firmen und Organisationen Nachrichten per
NetPosti versenden können. Dies sind derzeit 10.000 Sender, ein bei NetPosti registrierter
User kann dabei entscheiden, von welchen dieser 10.000 Sender er die Post elektronisch
über dieses System erhalten möchte. Grundsätzlich funktioniert es so, dass die
Organisationen deren Post in elektronischer Form an Posti liefern. Dann wird kontrolliert
ob der Empfänger ein NetPosti-Fach, welches zum Empfang von elektronischen
Nachrichten dieser Organisation bereit ist, hat. In diesem Fall wird die Nachricht
elektronisch zugestellt, ansonsten wird sie ausgedruckt und als normaler Brief versendet.
23 https://www.finlex.fi/en/laki/kaannokset/2014/en20140917.pdf 24 http://www.finlex.fi/en/laki/kaannokset/2004/en20040516.pdf 25 http://www.posti.fi/english/servicesonline/Netposti/
Länderübergreifender Einsatz der e-Zustellung
- 11 -
Sobald eine Nachricht eingetroffen ist, erhält der Benutzer ein E-Mail (optional ist gegen
Aufpreis auch eine SMS möglich). Da der Postweg erspart wird, ist diese Methode auch
um ein oder zwei Werktage schneller. Dabei ist das Empfangen auch über eine mobile
App möglich. Das Empfangen von Nachrichten ist kostenfrei, jeder finnische Bürger über
15 Jahre, der eine finnische Postadresse und Sozialversicherungsnummer hat, kann einen
Zugang beantragen.
Die Funktionsweise ist dabei sehr einfach, die Dokumente werden im Browser angezeigt,
es ist möglich diese in Ordner zu verschieben oder auch lokal zu speichern. Zu den
einzelnen Nachrichten können Notizen geschrieben werden, ebenso ist es möglich sich
Erinnerungsmarkierungen zu setzen. Rechnungen werden mit einem speziellen Symbol
(Eurozeichen) dargestellt und es ist möglich das Telebanking direkt aus der Applikation
zu starten. Die Rechnungen können dann auch (manuell) als bezahlt markiert werden.
Schweden
In Schweden bieten viele staatlichen Behörden, Provinziallandtage/Regionen und
Kommunen elektronische Dienste für ihre Bürger an.
Seit Herbst 2013 betreibt etwa das schwedische Steueramt das Web-basierte Postfach
„Mina Meddelanden“ (meine Mitteilungen), welches unter der Web-Adresse
http://minameddelanden.se/) erreichbar ist. Über dieses Postfach können eine Reihe von
öffentlichen Stellen (Arbeitsvermittlung (Arbetsförmedlingen), das Firmenregist-
rierungsamt (Bolagsverket), das Sozialversicherungsamt (Försäkringskassan), das
Pensionsversicherungsamt (Pensionsmyndigheten), das Finanzamt (Skatteverket), das
Pensionsamt für Staatsbedienstete (Statens tjänstepensionsverk - SPV), das Zentralamt
für Transport (Transportstyrelsen), Zollverwaltung(Tullverket) sowie die Gemeinden
Tomelilla und Värnamo) mit Bürgern und Unternehmen Informationen und Dokumente
in elektronischer Form austauschen, vorläufig noch auf rein freiwilliger Basis. Der
Benutzer wählt auch selbst, welche Art der Benachrichtigung er bei neuen Sendungen an
„Mina Meddelande“ gerne haben möchte, d.h. per SMS oder E-Mail.
Weiters gibt es auch den Briefkasten des Staates:
Statens brevlåda – Briefkasten des Staates - http://minmyndighetspost.se/: für die
E-Mails der Behörden und Gemeinden
Außerdem Briefkästen mittels denen die E-Mails von Behörden, Gemeinden und
Unternehmen übermittelt werden:
Digimail - http://digimail.se/
Kivra - http://www.kivra.com/
Länderübergreifender Einsatz der e-Zustellung
- 12 -
Estland
Estland ist bekannt als ein digitales Land, so gibt es einen öffentlich freien
Internetzugang fast überall und die IKT Tools werden in fast jedem Lebensbereich
genutzt. Auch wird Estland in Bezug auf e-Zustellung immer als europäisches
Vorzeigeland genannt. Aus diesem Grund wird in diesem Gutachten die Situation der e-
Zustellung in diesem baltischen Land näher angesehen26.
Tatsächlich werden in Estland Steuererklärung, Behördengänge, Bildungswesen, Medizin
(Patientenberichte, Rezepte), Handelsregister, Rechnungswesen usw. per Internet
erledigt. Sogar die Wahl kann von daheim per Computer oder Smartphone erfolgen. Der
Grundstein dafür ist die elektronische ID-Karte, die 2002 eingeführt wurde. Diese Karte,
die 1.1 der 1.3 Millionen Einwohner Estlands (also nahezu 90%) besitzen, beinhaltet
einen Chip mit einer 2.048-bit Verschlüsselung und dient als Ausweis, Reisedokument
und Sozialversicherungskarte, sowie als Zugriffskarte für alle digitalen Dienste27. Auch
eine sogenannte „Mobil-ID“ für das Smarthpone ist erhältlich. Die mit der ID-Karte
verbundene digitale Unterschrift ist der physischen Unterschrift gleichgestellt. Nähere
Informationen dazu finden sich unter id.ee/index.php?id=30500 (ID-Karte) und
id.ee/index.php?id=36882 (Mobil-ID), sowie im Gesetz zur digitalen Unterschrift28.
Die ID-Karte können auch seit 1. Dezember 2014 nicht in Estland ansässige Personen
erhalten29, wobei diese dann natürlich nicht als Ausweis gilt. Dies soll Estland für neue
Unternehmen und Kunden attraktiv machen und so die Verwaltung von Unternehmen mit
ausländischer Beteiligung sowie die Kommunikation zwischen estnischen Unternehmen
und ausländischen Kooperationspartnern wesentlich vereinfachen.
Gerade die Kommunikation ist natürlich ein ganz wesentlicher Punkt bei all diesen
Bemühungen. Verbunden mit der ID-Karte ist auch eine E-Mail-Adresse die nur mit
dieser Karte zugänglich ist. Darauf aufbauend wurde auch SecureMAIL von der
estnischen Firma BHC Laboratory entwickelt. Dabei wird kompatibel mit allen Mail-
Programmen ein Hardware-Token verwendet um „sichere“ Mail-Kommunikation zu
erreichen. Nähere Infos dazu können unter
http://www.bhclab.com/en/services/col3/securemail gefunden werden. Die Kommuni-
kation mit den Gerichten ist ähnlich dem österreichischen elektronischen Rechtsverkehr
über das System e-File30 möglich.
Auch gibt es darauf aufbauend eine Portallösung um Dokumente sicher und signiert
auszutauschen, dafür ist https://digidoc.ee/?f=chg_lang&lang=en anzuwenden. Anzu-
merken ist dabei jedoch, dass hierbei eigene Dateiformate verwendet werden: BDOC für
26 Unterstützt durch Frau Kerttu Taidre von der Außenhandelsstelle der österreichischen
Wirtschaftskammer in Tallinn ([email protected]). 27 https://e-estonia.com/?component=electronic-id-card 28 In Englisch verfügbar unter https://www.riigiteataja.ee/en/eli/508072014007/consolide 29 Die Beantragung ist über den Link http://vm.ee/en/estonian-e-residency-how-apply möglich. Mit Stand
November 2015 haben dies bereits mehr als 5.000 Personen wahrgenommen 30 http://www.rik.ee/en/e-file
Länderübergreifender Einsatz der e-Zustellung
- 13 -
signierte Dokumente und CDOC für verschlüsselte Dokumente. Beide Formate sind
inkompatibel mit vergleichbaren Standards wie PGP. Dies bedeutet, dass eine estnische
ID-Card nötig ist, um die Signatur zu überprüfen, bzw. das Dokument zu entschlüsseln.
Eine Übersicht über alle Möglichkeiten von e-Estland (in englischer Sprache) gibt die
Homepage https://e-estonia.com. Die überaus fortschrittliche Stellung von Estland in
diesem Zusammenhang kann auch durch folgendes Zitat präsent gemacht werden:
“The only thing you can’t do online is get married or buy a house! However, contracts
for these activities can be generated online, ready for download and signature when you
visit the public notary’s office.”
Annela Kiirats, eGovernance Academy, Estonia31
Auch an Weiterentwicklungen, etwa die Aufnahme von biometrischen Details in die ID-
Card ab 2017, ist schon gedacht.
Daneben gibt es auch privatwirtschaftliche Plattformen zum Austausch von Dokumenten.
Etwa bietet ein estnisches Startup die Plattform www.signwise.me an. Dabei können
Dokumente hochgeladen und anderen Usern zur Verfügung gestellt werden. Die User
können dabei die Dokumente auch unterschreiben. Sobald die Dokumente unterschrieben
oder angesehen worden sind, werden diese unveränderbar gespeichert. Business-Zugänge
zu dieser Plattform mit einer unlimitierten Anzahl von Transkationen kosten 50,- Euro
monatlich.
31 Siehe Report über eID: https://www.secureidentityalliance.org/index.php/resources
EU-Verordnung
- 14 -
EU-Verordnung
Nach jahrelangen Arbeiten daran wurde am 23.7.2014 die Verordnung (EU) Nr.
910/2014 des europäischen Parlaments und des Rates über elektronische Identifizierung
und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt32 beschlossen.
Die Inhalte der Verordnung wurden im Gutachten für die Jahre 2013/14 ausführlich
behandelt.
Im heurigen Jahr wird dabei näher aus die Umsetzung eingegangen. Zu diesem Zweck
wird zuerst noch einmal ein kurzer Überblick über die für dieses Projekt relevanten Teile
der Verordnung gegeben, wobei auch angegeben wird, ab wann diese Punkte in Kraft
treten.
Darauf aufbauend wird in weiterer Folge für diese Punkte der Stand der Umsetzung
behandelt. Eventuelle Auswirkungen auf das Rulebook runden den Abschnitt ab.
Überblick über die EU-Verordnung
Laut Artikel 1 der Verordnung legt sie zuerst fest unter welchen Bedingungen die
Mitgliedsstatten elektronische Identifizierungsmittel für natürliche und juristische
Personen, die einem notifizierten elektronischen Identifizierungssystem eines anderen
Mitgliedstaats unterliegen, anerkennen. Ferner werden Vorschriften für Vertrauens-
dienste – insbesondere für elektronische Transaktionen – und ein Rechtsrahmen für
elektronische Signaturen, elektronische Siegel, elektronische Zeitstempel, elektronische
Dokumente, Dienste für die Zustellung elektronischer Einschreiben und
Zertifizierungsdienste für die Website-Authentifizierung festgelegt. Artikel 52 legt das
Inkrafttreten der Verordnung fest, wobei im Regelfall die Verordnung ab 1. Juli 2016 gilt.
Auf die einzelnen relevanten Punkte wird aber im Folgenden näher eingegangen.
Dienste für die Zustellung elektronischer Einschreiben
In Artikel 44 werden die Anforderungen an qualifizierte elektronische Einschreib-
Zustelldienste festgelegt. Wesentlich ist dabei, dass die Leistung durch einen qualifi-
zierten Vertrauensdiensteanbieter erbracht werden muss, wobei eine unbemerkte
Veränderung der Daten durch eine fortgeschrittene elektronische Signatur oder ein
elektronisches Siegel eines qualifizierten Vertrauensdiensteanbieters ausgeschlossen
werden muss. Das Datum und die Zeit des Absendens, Empfangens oder einer Änderung
der Daten werden durch einen qualifizierten elektronischen Zeitstempel angezeigt.
Wesentlich ist dabei also der qualifizierte Vertrauensdienst. Diese werden in den Artikeln
13-24 geregelt. Sie unterliegen einer Aufsicht und müssen Sicherheitsanforderungen
(Artikel 19) erfüllen. Dabei hat das Sicherheitsniveau der Höhe des Risikos angemessen
zu sein, eine neue Sicherheitsmaßnahme ist unabhängig von Aufwand und Kosten
32 http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32014R0910&from=EN
EU-Verordnung
- 15 -
unverzüglich einzusetzen, wenn dadurch die Reduktion eines bestehenden relevanten
Risikos möglich ist.
Von den in Artikel 24 definierten Anforderungen, die qualifizierte
Vertrauensdiensteanbieter erfüllen müssen, sind vor allem folgende hervorzuheben:
Personal und gegebenenfalls Unterauftragnehmer, die über das erforderliche
Fachwissen, Zuverlässigkeit, Erfahrung und Qualifikationen verfügen, sind zu
beschäftigen.
In Bezug auf das Haftungsrisiko müssen sie über ausreichende Finanzmittel oder
angemessene Haftpflichtversicherung verfügen.
Sie zeichnen alle einschlägigen Informationen über die von dem qualifizierten
Vertrauensdiensteanbieter ausgegebenen und empfangenen Daten auf und
bewahren sie so auf, dass sie über einen angemessenen Zeitraum, auch über den
Zeitpunkt der Einstellung der Tätigkeit des qualifizierten Vertrauensdienste-
anbieters hinaus, verfügbar sind, um insbesondere bei Gerichtsverfahren
entsprechende Beweise liefern zu können und die Kontinuität des Dienstes
sicherzustellen. Die Aufzeichnung kann in elektronischer Form erfolgen.
Sie verfügen über einen fortlaufend aktualisierten Beendigungsplan, um die
Dienstleistungskontinuität nach den von der Aufsichtsstelle gemäß Artikel 17
Absatz 4 Buchstabe i geprüften Vorgaben sicherzustellen.
Artikel 20 legt dabei fest, dass qualifizierte Vertrauensdiensteanbieter mindestens alle 24
Monate auf eigene Kosten von einer Konformitätsbewertungsstelle geprüft werden
müssen. Dafür dürfen diese qualifizierten Vertrauensdiensteanbieter auch das EU-
Vertrauenssiegel führen. Dies wird in Artikel 23 geregelt.
Die Regelungen betreffend der relevanten Artikel 19, 24 und 44 gelten ab 1. Juli 2016
Notifizierung elektronischer Identifizierungssysteme
Neben den Anforderungen an Vertrauensdiensteanbieter, wird in Artikel 7 festgelegt
unter welchen Voraussetzungen elektronische Identifizierungsystem notifiziert werden
können. Dabei ist es möglich, dass entweder der Mitgliedsstaat selbst (oder in seinem
Auftrag) diese ausstellt, aber auch dass sie unabhängig vom notifizierenden
Mitgliedsstaat ausgestellt und von diesem anerkannt werden. Es muss dabei sichergestellt
werden, dass eine Online-Authentifizierung zur Verfügung steht, so dass die in
elektronischer Form empfangenen Personenidentifizierungsdaten bestätigt werden
können. Dabei soll die grenzüberschreitende Authentifizierung gebührenfrei sein, wenn
sie in Bezug auf einen Online-Dienst, der von einer öffentlichen Stelle erbracht wird,
erfolgt.
Wichtig ist, dass das elektronische Identifizierungssystem und die im Rahmen dieses
Systems ausgestellten elektronischen Identifizierungsmittel Anforderungen zumindest
eines der Sicherheitsniveaus, die in dem in Artikel 8 Absatz 3 genannten
EU-Verordnung
- 16 -
Durchführungsrechtsakt aufgeführt sind, erfüllen. Dabei wird zwischen den Sicher-
heitsniveaus „niedrig“, „substanziell“ und/oder „hoch“ unterschieden:
a) Das Sicherheitsniveau „niedrig“ bezieht sich auf ein elektronisches Identifizierungmittel im Rahmen eines
elektronischen Identifizierungssystems, das ein begrenztes Maß an Vertrauen in die beanspruchte oder
behauptete Identität einer Person vermittelt und durch die Bezugnahme auf die diesbezüglichen technischen
Spezifikationen, Normen und Verfahren einschließlich technischer Überprüfungen — deren Zweck in der
Minderung der Gefahr des Identitätsmissbrauchs oder der Identitätsveränderung besteht — gekennzeichnet ist.
b) Das Sicherheitsniveau „substanziell“ bezieht sich auf ein elektronisches Identifizierungsmittel im Rahmen
eines elektronischen Identifizierungssystems, das ein substanzielles Maß an Vertrauen in die beanspruchte oder
behauptete Identität einer Person vermittelt und durch die Bezugnahme auf die diesbezüglichen technischen
Spezifikationen, Normen und Verfahren einschließlich entsprechender technischer Überprüfungen — deren
Zweck in der substanziellen Minderung der Gefahr des Identitätsmissbrauchs oder der Identitätsveränderung
besteht — gekennzeichnet ist.
c) Das Sicherheitsniveau „hoch“ bezieht sich auf ein elektronisches Identifizierungsmittel im Rahmen eines
elektronischen Identifizierungssystems, das ein höheres Maß an Vertrauen in die beanspruchte oder behauptete
Identität einer Person als ein Identifizierungsmittel mit dem Sicherheitsniveau „substanziell“ vermittelt und
durch die Bezugnahme auf die diesbezüglichen technischen Spezifikationen, Normen und Verfahren
einschließlich technischer Überprüfungen — deren Zweck in der Verhinderung des Identitätsmissbrauchs oder
der Identitätsveränderung besteht — gekennzeichnet ist.
Artikel 6 regelt, dass falls von einer öffentlichen Stelle eine elektronische Identifizierung
erforderlich ist, auch jene, die von einem anderen Mitgliedsstaat ausgestellt wurden,
anzuerkennen sind. Zu diesem Zweck veröffentlicht die europäische Union eine
entsprechende Liste, wobei innerhalb von 12 Monaten eine Anerkennung erfolgen muss.
Diese Verpflichtung gilt jedoch nur für öffentliche Stellen. Für private Services, wie etwa
die in diesem Gutachten behandelte e-Zustellung gilt dies nur auf freiwilliger Basis. Eine
zentrale EU-eID oder aber eine zentrale Datenbank ist nicht angedacht.
Laut Verordnung Artikel 8 (3) wird die Kommission bis zum 18. September 2015 unter
Berücksichtigung der einschlägigen internationalen Normen Mindestanforderungen für
die jeweiligen Sicherheitsniveau-Stufen festlegen, ein Zeitpunkt der also in den
Zeitrahmen dieses Gutachtens fällt, weshalb darauf auch noch genauer eingegangen wird.
Die anderen Punkte treten wiederum mit 1. Juli 2016 in Kraft.
Elektronische Dokumente
Bezüglich elektronischer Dokumente regelt Artikel 43 die Rechtswirkung eines Dienstes
für die Zustellung elektronischer Einschreiben, wobei Daten, die mittels eines Dienstes
für die Zustellung elektronischer Einschreiben abgesendet und empfangen werden, die
Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein
deshalb abgesprochen werden darf, weil sie in elektronischer Form vorliegen oder weil
die Anforderungen an qualifizierte Dienste für die Zustellung elektronischer Einschreiben
nicht erfüllt sind.
Für Daten, die mittels eines qualifizierten Dienstes für die Zustellung elektronischer
Einschreiben abgesendet und empfangen werden, gilt die Vermutung der Unversehrtheit
der Daten, der Absendung dieser Daten durch den identifizierten Absender und des
Empfangs der Daten durch den identifizierten Empfänger und der Korrektheit des
EU-Verordnung
- 17 -
Datums und der Uhrzeit der Absendung und des Empfangs, wie sie von dem quali-
fizierten Dienst für die Zustellung elektronischer Einschreiben angegeben werden (Art 43
Abs. 2).
Für qualifizierte elektronische Zeitstempel gilt die Vermutung der Richtigkeit des Datum
und der Zeit, sowie der Unversehrtheit der mit dem Datum und der Zeit verbundenen
Daten. Dabei muss dieser Datum und Zeit so mit den Daten verknüpfen, dass die
Möglichkeit der unbemerkten Veränderung der Daten nach vernünftigem Ermessen
ausgeschlossen ist. Ferner beruht er auf einer korrekten Zeitquelle, die mit der
koordinierten Weltzeit verknüpft ist und er wird mit einer fortgeschrittenen elektro-
nischen Signatur unterzeichnet oder einem fortgeschrittenen elektronischen Siegel des
qualifizierten Vertrauensdiensteanbieters versiegelt oder es wird ein gleichwertiges
Verfahren verwendet.
All diese Punkte treten mit 1. Juli 2016 in Kraft. Kritisch angemerkt sei dabei, dass auf
Grund der vorauszusetzenden Sicherheitsniveaus man davon ausgehen könnte, dass das
Einschreiben der Verordnung dem österreichischen RSa/RSb-Brief entspricht. Allerdings
ist nicht zu überprüfen, ob der Empfänger tatsächlich der Adressat ist – seine Identität ist
lediglich festzustellen. Es ist daher als technisch sehr sicheres Einschreiben zu
qualifizieren. Ferner ist nicht geregelt, wann genau ein Empfang vorliegt. Spezifische
Fiktionen (Benachrichtigung führt zu Empfangs-Fiktion nach gewisser Zeit) oder andere
Maßnahmen (mehrfache Benachrichtigung, ev. zusätzlich per Briefpost oder SMS,
erforderlich) oder Regeln (Aufbewahrungsfrist) kommen nicht vor. Da dies von der
Verordnung überhaupt nicht geregelt wird, bleibt es nationalen Vorschriften zugäng-
lich33.
Elektronische Siegel
Ein wesentlicher Punkt der Verordnung ist die Definition des elektronischen Siegels,
welches als Nachweis dafür dient, dass ein elektronisches Dokument von einer
juristischen Person ausgestellt wurde und den Ursprung und die Unversehrtheit des
Dokuments belegt. Zwar ist die juristische Person damit nicht losgelöst von ihren
Vertretern – da anstelle des Siegels der juristischen Person, auch eine qualifizierte
elektronische Signatur eines beigefugten Vertreters akzeptabel sein sollte – aber es ist
doch eine Möglichkeit wie juristische Personen erkannt werden können.
Artikel 35 regelt, dass ein qualifiziertes Siegel, das auf einem in einem Mitgliedstaat
ausgestellten qualifizierten Zertifikat beruht, in allen anderen Mitgliedsstaaten als
qualifiziertes elektronisches Siegel anerkannt wird. Entsprechend Artikel 36 ist ein
fortgeschrittenes elektronisches Siegel eindeutig dem Siegelersteller zugeordnet und es
ermöglicht die Identifizierung des Siegelerstellers.
Grundsätzlich treten die Regeln rund um das elektronische Siegel mit 1. Juli 2016 in
Kraft, nur Artikel 37 (5) hält fest, dass die Kommission bis zum 18. September 2015 im
33 Siehe Sonntag, Die e-Identifizierungs- und Vertrauensdienste-Verordnung der EU – Teil II, jusIT 2/2015,
p. 45-50
EU-Verordnung
- 18 -
Wege von Durchführungsrechtsakten und unter Berücksichtigung der bestehenden Praxis
sowie der bestehenden Normen und Unionsrechtsakte Durchführungsrechtsakte Refe-
renzformate für fortgeschrittene elektronische Siegel oder Referenzverfahren festlegt,
wenn alternative Formate verwendet werden. Siehe dazu den diesbezüglichen Abschnitt
im nachfolgenden Bereich.
Stand der Umsetzung
Folgende Graphik34 zeigt den zeitlichen Ablauf der vorgesehen Umsetzung der EU-
Verordnung:
Dabei sind zwei Aspekte zu beachten, einerseits die Durchführungsrechtsakten, die
seitens der Kommission erlassen wurden um die Verordnung umzusetzen, andererseits
die notwendigen österreichischen Anpassungen der Gesetzeslage. Diese beiden Punkte
werden in diesem Abschnitt behandelt.
Zusammenarbeit der Mitgliedsstaaten
Artikel 12 (7) regelt, dass bis zum 18. März 2015 die Kommission im Wege von
Durchführungsrechtsakten die nötigen Verfahrensmodalitäten festlegt um die Zusammen-
34 Zitiert nach Vortrag von Peter Kustor, eID und eSignatur – Aktueller Stand der eIDAS Verhandlungen,
Vortrag im Rahmen der IRIS 2014, Salzburg, 20.2.2014
EU-Verordnung
- 19 -
arbeit zwischen den Mitgliedstaaten, etwa in Bezug auf den Austausch von Informationen
oder die Prüfung der einschlägigen Entwicklungen auf dem Gebiet der elektronischen
Identifizierung, zu erleichtern.
Tatsächlich wurde am 24.Februar 2015 ein entsprechender Durchführungsbeschluss
2015/29635 der Kommission gefasst, die wesentlichen Eckpunkte sind:
Die Zusammenarbeit erfolgt primär in englischer Sprache (Artikel 2), wobei in
den Erwägungsgründen sogar extra betont wird, dass die Interoperabilität und
Sicherheit elektronischer Identifizierungssysteme nicht durch Verfahren erreicht
werden kann, die in mehreren Sprachen durchgeführt werden.
Jeder Mitgliedsstaat benennt einen einheitlichen Ansprechpartner (Artikel 3).
Die Mitgliedsstaaten sind verpflichtet bei Änderungen, Weiterentwicklungen oder
Anpassungen im Zusammenhang mit der Interoperabilität oder dem Sicherheits-
niveau des Systems die anderen Mitgliedsstaaten zu unterrichten (Artikel 4) und
sie haben auch das Recht Auskünfte bei den anderen Mitgliedsstaaten einzuholen,
wenn sie der Ansicht sind mehr Informationen zu benötigen (Artikel 5).
Für die elektronischen Identifizierungssysteme ist ein gegenseitiges Begutach-
tungsverfahren vorgesehen, bei dem sich alle Mitgliedstaaten – auf eigene Kosten
– beteiligen können (Artikel 7), wobei auch ein Begutachtungsverfahren auf
Grund eines Wunsches eines anderen Mitgliedstaates eingeleitet werden kann
(Artikel 8).
Das Begutachtungsverfahren ist dabei gemeinsam von den beteiligten Mitglied-
staaten (also allen die sich beteiligen wollen) durchzuführen und wird von einem
aus ihrer Mitte ausgewählten Vertreter koordiniert. Die gegenseitige Begut-
achtung kann unter anderem die Bewertung der einschlägigen Dokumentation,
Prüfung von Prozessen, technische Seminare und die Berücksichtigung der
Bewertungen unabhängiger Dritter umfassen.
Zur Vereinfachung der Verfahrensmodalitäten soll ein Kooperationsnetz als ein
Forum, das alle Mitgliedsstaaten (inkl. den Ländern des Europäischen
Wirtschaftsraum) einbezieht und förmlich in die Zusammenarbeit in praktischen
Fragen der Arbeit mit dem Interoperabilitätsrahmen einbindet, geschaffen werden
(Kapitel 4). Diesem ist auch das Notifizierungsformular für ein elektronisches
Identifizierungssystem zur Verfügung zu stellen (Artikel 13). Insbesondere gehört
zu seinen Aufgaben die Abgabe von Stellungnahmen, inwiefern ein zu
notifizierendes elektronisches Identifizierungssystem den Anforderungen der
Verordnung genügt. Die an den Tätigkeiten des Kooperationsnetzes Beteiligten
werden von der Kommission für ihre Arbeit nicht belohnt.
Zusammenfassend kann dabei festgehalten werden, dass mit dem Durchfüh-
rungsbeschluss klare und auch einfache Richtlinien geschaffen wurden. Etwas kritisch ist
zu sehen, dass sich zwar jeder an einer Begutachtung beteiligen darf, aber die Kosten
dafür selbst zu tragen hat. Angesichts immer knapperen Budgets ist doch zu befürchten,
dass sich die Staaten jeweils auf die anderen Staaten verlassen werden, dass sie sich
beteiligen werden und damit die Gefahr besteht, dass sich jeder Staat selbst notifiziert,
35 http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=uriserv:OJ.L_.2015.053.01.0014.01.DEU
EU-Verordnung
- 20 -
bzw. nur Staaten, die ein bestimmtes Interesse an den Systemen haben, sich beteiligen
werden. Der Kommission ist diese Gefahr offensichtlich auch durchaus bewusst, da
etwaige Interessenskonflikte offengelegt werden müssen und auch Unterlagen, die
Geschäfts-, Berufs oder Unternehmensgeheimisse betreffen, nicht zur Verfügung gestellt
werden müssen. Selbstverständlich dürfen sensible oder vertrauliche Informationen, die
im Zuge der Begutachtung bekannt wurden, Dritten gegenüber nicht offengelegt werden.
Interoperabilität
Die notifizierten nationalen elektronischen Identifizierungssysteme müssen interoperabel
sein. Die für einheitliche Voraussetzungen für die Umsetzung dieser Verpflichtung
notwendigen Durchführungsrechtsakte wurden am 8. September 2015 erlassen36 und
werden im Folgenden kurz vorgestellt.
Dabei spielt ein „Knoten“ eine zentrale Rolle (Artikel 2):
„Knoten“ ist ein Anschlusspunkt, der als Teil der Interoperabilitätsarchitektur für die
elektronische Identifizierung an der grenzüberschreitenden Authentifizierung von Personen
mitwirkt und der Datenübertragungen erkennen und verarbeiten oder an andere Knoten
weiterleiten kann; er ermöglicht damit über eine Schnittstelle die Verbindung zwischen der
nationalen elektronischen Identifizierungsinfrastruktur eines Mitgliedsstaates und der nationalen
elektronischen Identifizierungsstruktur eines Mitgliedsstaats und der nationalen Identifizierungs-
infrastruktur eines anderen Mitgliedstaats;
„Knotenbetreiber“ ist die Stelle, die dafür verantwortlich ist, dass der Knoten seine Funktion als
Anschlusspunkt ordnungsgemäß und zuverlässig erfüllt.
Artikel 8 legt das Meldungsformat für die Übermittlung fest:
Die Knoten verwenden als Syntax gemeinsame Meldungsformate, die auf Normen beruhen,
welche bereits mehrfach zwischen Mitgliedstaaten eingesetzt worden sind und sich im
Betriebsumfeld bewährt haben. Die Syntax muss Folgendes ermöglichen:
a) ordnungsgemäße Verarbeitung des Mindestsatzes von Personenidentifizierungsdaten, die
eine natürliche oder juristische Person eindeutig repräsentieren;
b) ordnungsgemäße Verarbeitung der Sicherheitsniveaus der elektronischen
Identifizierungsmittel;
c) Unterscheidung zwischen öffentlichen Stellen und anderen vertrauenden Beteiligten;
d) Flexibilität im Falle eines Bedarfs an zusätzlichen Merkmalen für die Identifizierung.
Wesentlich ist, dass Knotenbetreiber eine Zertifizierung nach ISO/IEC 27001 erlangen
müssen (Artikel 10).
Auch für die Personenidentifizierungsdaten werden Mindestanforderungen im Anhang
festgelegt. Dabei sind bei natürlichen Personen mindestens (derzeitiger) Familienname
und Vorname, Geburtsdatum, sowie eine eindeutige Kennung, die möglichst dauerhaft
fortbesteht, enthalten. Optional kann der Mindestdatensatz noch Vorname und
Familienname bei der Geburt, Geburtsort, derzeitige Anschrift und Geschlecht enthalten.
36 http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=uriserv:OJ.L_.2015.235.01.0001.01.DEU
EU-Verordnung
- 21 -
Bei juristischen Personen enthält der Mindestdatensatz die derzeitige amtliche
Bezeichnung sowie eine eindeutige Kennung als obligatorische Merkmale. Zusätzlich
kann noch die derzeitige Anschrift, die Umsatzsteuer-Identifikationsnummer, die
Steuerregisternummer, die Kennnummer in Bezug auf Artikel 3 Absatz 1 der Richtlinie
2009/101/EG des Europäischen Parlamentes und des Rates, die Kennziffer der
juristischen Person (LEI) gemäß der Durchführungsverordnung (EU) Nr. 1247/2012 der
Kommission, die Registrierungs- und Identifizierungsnummer der Wirtschaftsbeteiligten
(EORI-Nr.), sowie die Verbrauchssteuer gemäß Artikel 2 Absatz 12 der Verordnung
(EU) Nr. 389/2012 des Rates enthalten.
Die erlassenen Regelungen erscheinen vernünftig, sollte der Zustellkopf auch als Knoten
dienen wollen, so sind wahrscheinlich keine Anpassungen am Rulebook nötig (Mindest-
datensatz entspricht bereits), jedoch ist zu beachten, dass der Betreiber eine ISO/IEC
27001-Zertifizierung benötigt.
Mindestanforderungen für die Sicherheitsstufen
Hier hat sich die Verordnung bereits in Artikel 8 Abs. 3 darauf festgelegt, dass bis zum
18. September 2015 Mindestanforderungen für die Sicherheitsniveaus „Niedrig“,
„Substanziell“ und „Hoch“ festgelegt werden. Die entsprechende Durchführungs-
verordnung (EU) 2015/1502 zur Festlegung von Mindestanforderungen an technische
Spezifikationen und Verfahren für Sicherheitsniveaus elektronischer Identifizie-
rungsmittel wurde am 8. September 2015 erlassen37. Damit wurden die Sicherheits-
niveaus für die elektronischen Identifizierungsmittel Anmeldung, Verwaltung, Authenti-
fizierung sowie Management und Organisation festgelegt.
Anmeldung (Anhang 2.1)
Hier werden zuerst für Beantragung und Eintragung für alle drei Sicherheitsniveaus die
erforderlichen Elemente wie folgt definiert:
1. Es ist gewährleistet, dass der Antragsteller die Geschäftsbedingungen für die
Benutzung der elektronischen Identifizierungsmittel kennt.
2. Es ist gewährleistet, dass der Antragsteller die empfohlenen
Sicherheitsvorkehrungen im Zusammenhang mit dem elektronischen
Identifizierungsmittel kennt.
3. Die einschlägigen Identitätsdaten für den Nachweis und die Überprüfung der
Identität werden erfasst.
Wenn auch nicht wortwörtlich, so sollten diese Punkte durch Punkt 11.2 des Rulebooks
geregelt sein.
Danach werden der Identitätsnachweis und die Identitätsüberprüfung für natürliche
Personen geregelt.
37 http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32015R1502
EU-Verordnung
- 22 -
„Niedrig“ verlangt dabei folgendes:
1. Es kann davon ausgegangen werden, dass die Person im Besitz eines
Beweismittels ist, das von dem Mitgliedstaat, in dem das elektronische
Identifizierungsmittel beantragt wird, anerkannt wird und die beanspruchte
Identität repräsentiert.
2. Es kann davon ausgegangen werden, dass das Beweismittel echt ist oder laut
einer verlässlichen Quelle existiert und dass das Beweismittel dem Anschein
nach gültig ist.
3. Eine verlässliche Quelle hat Kenntnis davon, dass die beanspruchte Identität
existiert und es kann davon ausgegangen werden, dass die Person, die diese
Identität beansprucht, damit identisch ist.
Bei „Substanziell“ muss zusätzlich zum Niveau „Niedrig“ eine der folgenden Alterna-
tiven erfüllt sein:
1. Es ist überprüft worden, dass die Person im Besitz eines Beweismittels ist, das
von dem Mitgliedstaat, in dem das elektronische Identifizierungsmittel
beantragt wird, anerkannt wird und die beanspruchte Identität repräsentiert,
und das Beweismittel ist geprüft worden, um seine Echtheit festzustellen, oder
einer verlässlichen Quelle ist bekannt, dass es existiert und sich auf eine reale
Person bezieht, und es wurden Vorkehrungen getroffen, um das Risiko zu
mindern, dass die Identität der Person nicht mit der beanspruchten Identität
übereinstimmt, z. B. im Hinblick auf verlorene, gestohlene, ausgesetzte,
widerrufene oder abgelaufene Beweismittel.
2. Ein Identitätsdokument wird im Rahmen eines Registrierungsverfahrens in
dem Mitgliedstaat, in dem es ausgestellt wurde, vorgelegt und bezieht sich
dem Anschein nach auf die Person, die es vorlegt, und es wurden
Vorkehrungen getroffen, um das Risiko zu mindern, dass die Identität der
Person nicht mit der beanspruchten Identität übereinstimmt, z. B. im Hinblick
auf verlorene, gestohlene, ausgesetzte, widerrufene oder abgelaufene
Dokumente.
3. Bieten Verfahren, die zuvor von einer öffentlichen oder privaten Stelle in
demselben Mitgliedstaat für andere Zwecke als die Ausstellung elektronischer
Identifizierungsmittel verwendet wurden, eine gleichwertige Sicherheit, die
der des Niveaus „Substanziell“ in Abschnitt 2.1.2 entspricht, so braucht die
für die Registrierung zuständige Stelle solche früheren Verfahren nicht zu
wiederholen, sofern die gleichwertige Sicherheit von einer
Konformitätsbewertungsstelle im Sinne des Artikels 2 Absatz 13 der
Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des
Rates(1) oder von einer gleichwertigen Stelle bestätigt wird.
4. Werden elektronische Identifizierungsmittel aufgrund eines gültigen
notifizierten elektronischen Identifizierungsmittels des Sicherheitsniveaus
„Substanziell“ oder „Hoch“ und unter Berücksichtigung des Risikos einer
Änderung der Personenidentifizierungsdaten ausgestellt, so brauchen die
Prozesse für den Nachweis und die Überprüfung der Identität nicht wiederholt
EU-Verordnung
- 23 -
zu werden. Wurde das zugrunde gelegte elektronische Identifizierungsmittel
nicht notifiziert, so muss das Sicherheitsniveau „Substanziell“ oder „Hoch“
von einer Konformitätsbewertungsstelle im Sinne des Artikels 2 Absatz 13 der
Verordnung (EG) Nr. 765/2008 oder von einer gleichwertigen Stelle bestätigt
werden.
Bei „Hoch“ müssen entweder die Anforderungen der Nummer 1 oder der Nummer 2
erfüllt sein:
1. Zusätzlich zum Niveau „Substanziell“ muss eine der Alternativen der
Buchstaben a bis c erfüllt sein:
a. Ist überprüft worden, dass die Person im Besitz eines mit Foto oder
biometrischen Merkmalen versehenen Identitätsnachweises ist, der
von dem Mitgliedstaat, in dem das elektronische Identifizierungsmittel
beantragt wird, anerkannt wird, und dass der Identitätsnachweis die
beanspruchte Identität repräsentiert, so wird das Beweismittel geprüft,
um festzustellen, ob es laut einer verlässlichen Quelle gültig ist, und
anhand des Vergleichs eines oder mehrerer körperlicher Merkmale
der Person mit Angaben aus einer verlässlichen Quelle wird
festgestellt, dass der Antragsteller mit der beanspruchten Identität
übereinstimmt.
ODER
b. Bieten Verfahren, die zuvor von einer öffentlichen oder privaten Stelle
in demselben Mitgliedstaat für andere Zwecke als die Ausstellung
elektronischer Identifizierungsmittel verwendet wurden, eine
gleichwertige Sicherheit, die der des Niveaus „Hoch“ in Abschnitt
2.1.2 entspricht, so braucht die für die Registrierung zuständige Stelle
solche früheren Verfahren nicht zu wiederholen, sofern die
gleichwertige Sicherheit von einer Konformitätsbewertungsstelle im
Sinne des Artikels 2 Absatz 13 der Verordnung (EG) Nr. 765/2008
oder von einer gleichwertigen Stelle bestätigt wird, und es werden
Schritte unternommen, um zu belegen, dass die Ergebnisse der
früheren Verfahren noch gültig sind.
ODER
c. Werden elektronische Identifizierungsmittel aufgrund eines gültigen
notifizierten elektronischen Identifizierungsmittels des
Sicherheitsniveaus „Hoch“ und unter Berücksichtigung des Risikos
einer Änderung der Personenidentifizierungsdaten ausgestellt, so
brauchen die Prozesse für den Nachweis und die Überprüfung der
Identität nicht wiederholt zu werden. Wurde das zugrunde gelegte
elektronische Identifizierungsmittel nicht notifiziert, so muss das
Sicherheitsniveau „Hoch“ von einer Konformitätsbewertungsstelle im
Sinne des Artikels 2 Absatz 13 der Verordnung (EG) Nr. 765/2008
oder von einer gleichwertigen Stelle bestätigt werden, und es werden
Schritte unternommen, um zu belegen, dass die Ergebnisse des
EU-Verordnung
- 24 -
früheren Verfahrens zur Ausstellung eines notifizierten elektronischen
Identifizierungsmittels noch gültig sind.
ODER
2. Legt der Antragsteller keinen anerkannten, mit Foto oder biometrischen
Merkmalen versehenen Identitätsnachweis vor, so werden exakt dieselben
Verfahren angewandt, die auf nationaler Ebene in dem Mitgliedstaat, zu dem
die für die Registrierung zuständige Stelle gehört, erforderlich sind, um einen
solchen anerkannten, mit Foto oder biometrischen Merkmalen versehenen
Identitätsnachweis zu erlangen.
Im Vergleich zum Rulebook der e-Zustellung kann dabei festgehalten werden, dass dort
die Vertrauensstufe „Niedrig“ (Punkt 3.1 des Rulebooks) gar keine Überprüfung verlangt
und somit nicht den Mindestanforderungen der EU-Durchführungsverordnung entspricht.
Die Vertrauensstufe „Mittel“ (Punkt 3.2 des Rulebooks) verlangt eine Feststellung der
Identität eines Kunden durch persönliche Vorlage eines amtlichen Lichtbildausweises.
Somit entspricht sie jedenfalls dem Sicherheitsniveau „Niedrig“ der EU-Verordnung.
Dem Sicherheitsniveau „Substantiell“ der EU-Verordnung entspricht sie jedoch nicht, da
keine Vorkehrungen getroffen werden, um das Risiko zu mindern, dass die Identität der
Person nicht mit der beanspruchten Identität übereinstimmt, z. B. im Hinblick auf
verlorene, gestohlene, ausgesetzte, widerrufene oder abgelaufene Beweismittel.
Die Vertrauensstufe „Hoch“ (Punkt 3.3 des Rulebooks) die in Österreich durch die
Bürgerkartenfunktion zu erfolgen hat, hat aber wohl derartige Vorkehrungen, sodass
jedenfalls das Sicherheitsniveau „Substantiell“ der EU-Verordnung erfüllt sein sollte.
Nicht jedoch dürfte es dem Sicherheitsniveau „Hoch“ der EU-Verordnung entspricht.
Danach werden der Identitätsnachweis und die Identitätsüberprüfung für juristische
Personen geregelt.
„Niedrig“ verlangt dabei folgendes:
1. Die beanspruchte Identität der juristischen Person wird anhand eines
Beweismittels nachgewiesen, das von dem Mitgliedstaat, in dem das
elektronische Identifizierungsmittel beantragt wird, anerkannt wird.
2. Das Beweismittel ist dem Anschein nach gültig und es kann davon
ausgegangen werden, dass es echt ist oder laut einer verlässlichen Quelle
existiert, sofern die Aufnahme einer juristischen Person in die verlässliche
Quelle freiwillig und durch eine Vereinbarung zwischen der juristischen
Person und der verlässlichen Quelle geregelt ist.
3. Die verlässliche Quelle hat keine Kenntnis davon, dass sich die juristische
Person in einer Lage befindet, in der sie daran gehindert wäre, als diese
juristische Person zu handeln.
Bei „Substanziell“ muss zusätzlich zum Niveau „Niedrig“ eine der folgenden
Alternativen erfüllt sein:
EU-Verordnung
- 25 -
1. Die beanspruchte Identität der juristischen Person wird anhand eines
Beweismittels nachgewiesen, das von dem Mitgliedstaat, in dem das
elektronische Identifizierungsmittel beantragt wird, anerkannt wird und aus
dem der Name, die Rechtsform und gegebenenfalls die Registriernummer der
juristischen Person hervorgehen, und das Beweismittel ist geprüft worden, um
festzustellen, ob es echt ist oder laut einer verlässlichen Quelle existiert,
sofern die Aufnahme der juristischen Person in die verlässliche Quelle für die
Tätigkeit in ihrem Sektor erforderlich ist, und es wurden Vorkehrungen
getroffen, um das Risiko zu mindern, dass die Identität der juristischen Person
nicht mit der beanspruchten Identität übereinstimmt, z. B. im Hinblick auf
verlorene, gestohlene, ausgesetzte, widerrufene oder abgelaufene Dokumente.
2. Bieten die Verfahren, die zuvor von einer öffentlichen oder privaten Stelle in
demselben Mitgliedstaat für andere Zwecke als die Ausstellung elektronischer
Identifizierungsmittel verwendet wurden, eine gleichwertige Sicherheit, die
der des Niveaus „Substanziell“ in Abschnitt 2.1.3 entspricht, so braucht die
für die Registrierung zuständige Stelle solche früheren Verfahren nicht zu
wiederholen, sofern die gleichwertige Sicherheit von einer
Konformitätsbewertungsstelle im Sinne des Artikels 2 Absatz 13 der
Verordnung (EG) Nr. 765/2008 oder von einer gleichwertigen Stelle bestätigt
wird.
3. Werden elektronische Identifizierungsmittel aufgrund eines gültigen
notifizierten elektronischen Identifizierungsmittels des Sicherheitsniveaus
„Substanziell“ oder „Hoch“ ausgestellt, so brauchen die Prozesse für den
Nachweis und die Überprüfung der Identität nicht wiederholt zu werden.
Wurde das zugrunde gelegte elektronische Identifizierungsmittel nicht
notifiziert, so muss das Sicherheitsniveau „Substanziell“ oder „Hoch“ von
einer Konformitätsbewertungsstelle im Sinne des Artikels 2 Absatz 13 der
Verordnung (EG) Nr. 765/2008 oder von einer gleichwertigen Stelle bestätigt
werden.
Bei „Hoch“ muss zusätzlich zum Niveau „Substanziell“ noch eine der drei folgenden
Alternativen erfüllt sein:
1. Die beanspruchte Identität der juristischen Person wird anhand eines
Beweismittels nachgewiesen, das von dem Mitgliedstaat, in dem das
elektronische Identifizierungsmittel beantragt wird, anerkannt wird und aus
dem der Name und die Rechtsform der juristischen Person sowie zumindest
eine eindeutige Kennung, die die juristische im nationalen Umfeld
repräsentiert, hervorgeht, und das Beweismittel ist geprüft worden, um
festzustellen, ob es laut einer verlässlichen Quelle gültig ist.
2. Bieten die Verfahren, die zuvor von einer öffentlichen oder privaten Stelle in
demselben Mitgliedstaat für andere Zwecke als die Ausstellung elektronischer
Identifizierungsmittel verwendet wurden, eine gleichwertige Sicherheit, die
der des Niveaus „Hoch“ in Abschnitt 2.1.3 entspricht, so braucht die für die
Registrierung zuständige Stelle solche früheren Verfahren nicht zu
wiederholen, sofern die gleichwertige Sicherheit von einer
Konformitätsbewertungsstelle im Sinne des Artikels 2 Absatz 13 der
EU-Verordnung
- 26 -
Verordnung (EG) Nr. 765/2008 oder von einer gleichwertigen Stelle bestätigt
wird, und es werden Schritte unternommen, um zu belegen, dass die
Ergebnisse dieses früheren Verfahrens noch gültig sind.
3. Werden elektronische Identifizierungsmittel aufgrund eines gültigen
notifizierten elektronischen Identifizierungsmittels des Sicherheitsniveaus
„Hoch“ ausgestellt, so brauchen die Prozesse für den Nachweis und die
Überprüfung der Identität nicht wiederholt zu werden. Wurde das zugrunde
gelegte elektronische Identifizierungsmittel nicht notifiziert, so muss das
Sicherheitsniveau „Hoch“ von einer Konformitätsbewertungsstelle im Sinne
des Artikels 2 Absatz 13 der Verordnung (EG) Nr. 765/2008 oder von einer
gleichwertigen Stelle bestätigt werden, und es werden Schritte unternommen,
um zu belegen, dass die Ergebnisse des früheren Verfahrens zur Ausstellung
eines notifizierten elektronischen Identifizierungsmittels noch gültig sind.
Da laut Rulebook der e-Zustellung juristische Personen nur durch vertretungsbefugte
natürliche Personen handeln können ist der Identitätsnachweis der juristischen Person
weniger relevant, sehr relevant ist hingegen die Verknüpfung von elektronischen
Identifizierungsmitteln natürlicher und juristischer Personen die in Anhang 2.1.4 der EU-
Verordnung geregelt ist.
Für die Verknüpfung von elektronischen Identifizierungsmitteln natürlicher Personen und
elektronischen Identifizierungsmitteln juristischer Personen („Verknüpfung“) gelten,
soweit zutreffend, folgende Bedingungen:
1. Es ist möglich, eine Verknüpfung auszusetzen und/oder zu widerrufen. Der
Lebenszyklus einer Verknüpfung (z. B. Aktivierung, Aussetzung, Erneuerung,
Widerruf) wird nach auf nationaler Ebene anerkannten Verfahren verwaltet.
2. Die natürliche Person, deren elektronisches Identifizierungsmittel mit dem
elektronischen Identifizierungsmittel der juristischen Person verknüpft ist,
kann die Ausübung der Verknüpfung nach auf nationaler Ebene anerkannten
Verfahren an eine andere natürliche Person delegieren. Die delegierende
natürliche Person bleibt jedoch verantwortlich.
3. Die Verknüpfung erfolgt auf folgende Weise:
Niedrig
1) Der Identitätsnachweis der natürlichen Person, die im Namen der
juristischen Person handelt, wird so überprüft, als erfolge er auf dem
Niveau „Niedrig“ oder höher.
2) Die Verknüpfung ist nach auf nationaler Ebene anerkannten Verfahren
hergestellt worden.
3) Die verlässliche Quelle hat keine Kenntnis davon, dass sich die
natürliche Person in einer Lage befindet, in der sie daran gehindert
wäre, im Namen der juristischen Person zu handeln.
Substanziell
Zusätzlich zu Nummer 3 des Niveaus „Niedrig“:
EU-Verordnung
- 27 -
1) Der Identitätsnachweis der natürlichen Person, die im Namen der
juristischen Person handelt, wird so überprüft, als erfolge er auf dem
Niveau „Substanziell“ oder „Hoch“.
2) Die Verknüpfung ist nach auf nationaler Ebene anerkannten Verfahren
hergestellt worden, was zu einer Eintragung der Verknüpfung in einer
verlässlichen Quelle geführt hat.
3) Die Verknüpfung ist aufgrund von Informationen einer verlässlichen
Quelle überprüft worden.
Hoch
Zusätzlich zu Nummer 3 des Niveaus „Niedrig“ und zu Nummer 2 des
Niveaus „Substanziell“:
1) Der Identitätsnachweis der natürlichen Person, die im Namen der
juristischen Person handelt, wird so überprüft, als erfolge er auf dem
Niveau „Hoch“.
2) Die Verknüpfung ist anhand einer im nationalen Umfeld verwendeten
eindeutigen Kennung, die die juristische Person repräsentiert, sowie
anhand von Informationen einer verlässlichen Quelle, die die
natürliche Person eindeutig repräsentieren, überprüft worden.
Das Rulebook der e-Zustellung regelt in Punkt 3.4 die Vertretungsvollmacht, dies kann
entweder durch eine auf der Bürgerkarte eingetragene Vertretungsmacht entsprechend § 9
der Stammzahlenregisterverordnung iVm § 5 des E-Government-Gesetzes oder durch die
Vorlage eines amtlichen Lichtbildausweises und die Vertretungsbefugnis z.B. bei im
Firmenbuchregister eingetragenen Unternehmen durch Vorlage eines aktuellen Auszugs,
bei Vereinen durch Vorlage eines aktuellen Vereinsregisterauszuges geschehen.
Entsprechend der Vertrauensstufe nachdem die persönliche Identität festgestellt wird
entspricht die Vertrauensstufe „Mittel“ des Ruleboks, dem Sicherheitsniveau „Niedrig“
der EU-Verordnung und „Hoch“ dem Sicherheitsniveau „Substantiell“.
Verwaltung elektronischer Identifizierungsmittel (Anhang 2.2)
Hier werden Merkmale und Gestaltung elektronischer Identifizierungsmittel, deren
Ausstellung, Auflieferung und Aktivierung, deren Aussetzung, Widerruf und Reakti-
vierung, sowie deren Verlängerung und Ersetzung geregelt:
Die Aussetzung, Widerruf und Reaktivierung ist für alle drei Sicherheitsniveaus wie folgt
geregelt:
1. Es ist möglich, ein elektronisches Identifizierungsmittel rasch und wirksam
auszusetzen und/oder zu widerrufen.
2. Es bestehen Vorkehrungen, um eine unbefugte Aussetzung, einen unbefugten
Widerruf oder eine unbefugte Reaktivierung zu verhindern.
EU-Verordnung
- 28 -
3. Eine Reaktivierung darf nur erfolgen, wenn dieselben
Sicherheitsanforderungen wie vor der Aussetzung oder vor dem Widerruf
weiterhin erfüllt sind.
Die Verlängerung und Ersetzung sieht für „Niedrig“ und „Substanziell“ wie folgt aus:
Unter Berücksichtigung des Risikos einer Änderung der Personenidentifizierungsdaten
müssen für die Verlängerung oder Ersetzung dieselben Sicherheitsanforderungen wie
beim ursprünglichen Identitätsnachweis- und -überprüfungsprozess erfüllt sein bzw. muss
ein gültiges elektronisches Identifizierungsmittel desselben oder eines höheren
Sicherheitsniveaus zugrunde gelegt werden.
Für „Hoch“ muss noch zusätzlich folgendes gelten:
Erfolgt die Verlängerung oder Ersetzung aufgrund eines gültigen elektronischen
Identifizierungsmittels, so werden die Identitätsdaten anhand einer verlässlichen Quelle
überprüft.
Zumindest bezogen auf die Vertrauensstufe „Hoch“ des Rulebooks sollten diese
Vorschriften erfüllt sein, da derartige Mechanismen für die Bürgerkarte vorgesehen sind.
Authentifizierung (Anhang 2.3)
Für den Authentifizierungsmechanismus, mit dem die natürliche oder juristische Person
das elektronische Identifizierungsmittel verwendet, um einem vertrauenden Beteiligten
ihre Identität zu bestätigen, gibt es für jedes Sicherheitsniveau Anforderungen.
Für „Niedrig“ gilt folgendes:
1. Vor einer Herausgabe von Personenidentifizierungsdaten erfolgt eine
zuverlässige Überprüfung des elektronischen Identifizierungsmittels und seiner
Gültigkeit.
2. Werden Personenidentifizierungsdaten als Teil des
Authentifizierungsmechanismus gespeichert, müssen sie gesichert sein, um sie vor
Verlust und vor Beeinträchtigung, einschließlich Offline-Analyse, zu schützen.
3. Im Authentifizierungsmechanismus sind Sicherheitskontrollen zur Überprüfung
des elektronischen Identifizierungsmittels implementiert, so dass es höchst
unwahrscheinlich ist, dass ein Angreifer mit erhöhtem grundlegenden
Angriffspotenzial durch Handlungen wie Erraten, Abhören, Replay oder
Manipulation der Kommunikation den Authentifizierungsmechanismus aushebeln
kann.
EU-Verordnung
- 29 -
Für „Substanziell“ gilt zusätzlich zum Niveau „Niedrig“:
1. Vor einer Herausgabe von Personenidentifizierungsdaten erfolgt eine
zuverlässige Überprüfung des elektronischen Identifizierungsmittels und seiner
Gültigkeit durch dynamische Authentifizierung.
2. Im Authentifizierungsmechanismus sind Sicherheitskontrollen zur Überprüfung
des elektronischen Identifizierungsmittels implementiert, so dass es höchst
unwahrscheinlich ist, dass ein Angreifer mit mäßigem Angriffspotenzial durch
Handlungen wie Erraten, Abhören, Replay oder Manipulation der
Kommunikation den Authentifizierungsmechanismus aushebeln kann.
Für „Hoch“ gilt zusätzlich zum Niveau „Substanziell“:
Im Authentifizierungsmechanismus sind Sicherheitskontrollen zur Überprüfung des
elektronischen Identifizierungsmittels implementiert, so dass es höchst unwahrscheinlich
ist, dass ein Angreifer mit hohem Angriffspotenzial durch Handlungen wie Erraten,
Abhören, Replay oder Manipulation der Kommunikation den
Authentifizierungsmechanismus aushebeln kann.
Es ist davon auszugehen, dass bezüglich der Sicherheitsstufe „Hoch“ des Rulebooks der
e-Zustellung diese Anforderungen erfüllt sind.
Management und Organisation (Anhang 2.4)
Alle Beteiligten, die im Zusammenhang mit der elektronischen Identifizierung im
grenzüberschreitenden Umfeld einen Dienst betreiben („Betreiber“) müssen
dokumentierte Verfahrensweisen und Vorgaben für das Informationssicherheits-
management, Risikomanagementkonzepte und andere anerkannte Kontrollmaßnahmen
haben, damit sich die geeigneten Leitungsgremien der elektronischen Identifizierungssys-
teme in den jeweiligen Mitgliedstaaten vergewissern können, dass wirksame Verfahren
bestehen.
In dem Abschnitt werden dabei einige Regelungen festgelegt. Zuerst werden allgemeine
Bestimmungen, die für alle drei Sicherheitsniveaus gelten, festgehalten:
1. Betreiber, die eine unter diese Verordnung fallende betriebliche Dienstleistung
erbringen, sind eine Behörde oder eine juristische Person, die als solche nach den
nationalen Rechtsvorschriften eines Mitgliedstaats anerkannt ist, verfügen über
eine eingerichtete Organisationsstruktur und sind in allen Teilen, die für die
Bereitstellung der Dienste von Bedeutung sind, voll betriebsfähig.
2. Die Betreiber erfüllen alle rechtlichen Anforderungen, die ihnen im
Zusammenhang mit dem Betrieb und der Bereitstellung des Dienstes obliegen,
unter anderem auch in Bezug darauf, welche Arten von Informationen abgefragt
werden können, wie der Identitätsnachweis durchgeführt wird und welche
Informationen wie lange aufbewahrt werden dürfen.
EU-Verordnung
- 30 -
3. Die Betreiber können ihre Fähigkeit zur Übernahme des Haftungsrisikos für
Schäden nachweisen und verfügen über ausreichende finanzielle Mittel für einen
fortlaufenden Betrieb und eine fortlaufende Bereitstellung der Dienste.
4. Die Betreiber sind sowohl für die Erfüllung aller Verpflichtungen, die sie an
andere Stellen untervergeben, als auch für die Einhaltung der Systemvorgaben
verantwortlich, als würden sie alle Aufgaben selbst wahrnehmen.
5. Elektronische Identifizierungssysteme, die nicht durch nationale
Rechtsvorschriften eingerichtet werden, müssen über einen wirksamen
Beendigungsplan verfügen. In einem solchen Plan müssen auch eine geordnete
Einstellung des Dienstes bzw. die Fortsetzung durch einen anderen Betreiber, die
Art und Weise, wie einschlägige Behörden und Endnutzer informiert werden,
sowie Einzelheiten dazu geregelt sein, wie Daten in Übereinstimmung mit den
Systemvorgaben zu schützen, aufzubewahren bzw. zu zerstören sind.
Grundsätzlich sollten diese Regelungen auch durch das Rulebook der e-Zustellung
abgedeckt sein, nur der Nachweis für die ausreichenden finanziellen Mittel zur etwaigen
Haftungsübernahme ist – wie schon an anderer Stelle angesprochen – nicht gegeben.
Danach werden Regeln für veröffentliche Bekanntmachungen und Benutzerinfor-
mationen, die für alle drei Sicherheitsniveaus gelten, festgehalten:
1. Es gibt eine veröffentlichte Definition des Dienstes mit allen geltenden
Geschäftsbedingungen und Entgelten sowie möglichen Nutzungsbeschränkungen.
Die Definition des Dienstes enthält auch eine Datenschutzerklärung.
2. Es sind geeignete Vorgaben und Verfahren zu schaffen, damit die Benutzer des
Dienstes in rascher und verlässlicher Weise informiert werden, wenn sich die
Definition des Dienstes selbst, die geltenden Geschäftsbedingungen oder die
Datenschutzerklärung in Bezug auf den betreffenden Dienst ändern.
3. Es sind geeignete Vorgaben und Verfahren zu schaffen, damit Auskunftsersuchen
vollständig und richtig beantwortet werden
Derartige Regelungen sind im Rulebook der e-Zustellung nicht enthalten.
Ein weiterer behandelter Aspekt ist auch das Informationsmanagement. Hier wird für das
Sicherheitsniveau „Niedrig“ folgendes verlangt:
Es besteht ein wirksames Informationssicherheitsmanagementsystem für das
Management und die Beherrschung von Informationssicherheitsrisiken.
Für „Substanziell“ und „Hoch“ gilt zusätzlich:
Das Informationssicherheitsmanagementsystem folgt bewährten Normen oder
Grundsätzen für das Management und die Beherrschung von Informations-
sicherheitsrisiken.
Zumindest in dieser Konkretisierung wird im Rulebook der e-Zustellung das
Informationsmanagement nicht erwähnt.
EU-Verordnung
- 31 -
Die Aufzeichnungspflichten sind für alle drei Sicherheitsniveaus wie folgt:
1. Die Aufzeichnung und Aufbewahrung einschlägiger Informationen erfolgt mit
einem effektiven Aufzeichnungsverwaltungssystem unter Beachtung geltender
Vorschriften und bewährter Verfahren auf dem Gebiet des Datenschutzes und der
Datenspeicherung.
2. Aufzeichnungen werden, soweit nach nationalem Recht oder anderen nationalen
Verwaltungsregelungen zulässig, aufbewahrt und geschützt, solange dies für
Prüfungszwecke und für die Untersuchung von Sicherheitsverletzungen sowie für
die Zwecke der Datenspeicherung erforderlich ist; danach werden die
Aufzeichnungen auf sichere Weise vernichtet.
Diese Regelungen sind – zumindest grundsätzlich – in Punkt 11.2.3 des Rulebooks der e-
Zustellung enthalten.
Auch die Anforderungen an Einrichtung und Personal sind für alle drei Sicherheits-
niveaus gleich:
1. Es gibt Verfahren, die sicherstellen, dass alle Mitarbeiter und
Unterauftragnehmer eine ausreichende Ausbildung, Qualifikation und Erfahrung
bezüglich der ihnen übertragenen Aufgaben haben.
2. Es gibt eine ausreichende Anzahl von Mitarbeitern und Unterauftragnehmern für
einen angemessenen Betrieb und eine angemessene Ausstattung des Dienstes
entsprechend den Vorgaben und Verfahren.
3. Die zur Bereitstellung des Dienstes genutzten Einrichtungen werden ständig
überwacht und vor Schäden durch Umgebungseinflüsse, unbefugten Zugriff oder
andere Faktoren geschützt, die die Sicherheit des Dienstes beeinträchtigen
können.
4. Die zur Bereitstellung des Dienstes genutzten Einrichtungen gewährleisten, dass
nur befugte Mitarbeiter und Unterauftragnehmer Zugang zu Bereichen haben, in
denen personenbezogene Daten, kryptografische oder andere sensible
Informationen verarbeitet werden.
Wie schon angesprochen fehlen im Rulebook der e-Zustellung Anforderungen an das
Personal.
Bezüglich technischer Kontrollen wird für das Sicherheitsniveau „Niedrig“ folgendes
festgehalten:
1. Es gibt angemessene technische Kontrollen für das Risikomanagement in Bezug
auf die Sicherheit der Dienste sowie zum Schutz der Vertraulichkeit,
Unversehrtheit und Verfügbarkeit der verarbeiteten Informationen.
2. Elektronische Kommunikationswege, die zur Übermittlung personenbezogener
oder sensibler Informationen verwendet werden, müssen gegen Abhören,
Manipulation und Replay geschützt sein.
EU-Verordnung
- 32 -
3. Der Zugang zu sensiblem kryptografischen Material, das für die Ausstellung
elektronischer Identifizierungsmittel und für die Authentifizierung verwendet
wird, ist streng auf die Rollen und Anwendungen beschränkt, die diesen Zugang
unbedingt benötigen. Es ist sichergestellt, dass solches Material niemals
dauerhaft im Klartext gespeichert wird.
4. Es gibt Verfahren, die gewährleisten, dass die Sicherheit dauerhaft
aufrechterhalten wird und dass auf geänderte Risikostufen, Vorfälle und
Sicherheitsverletzungen reagiert werden kann.
5. Alle Speichermedien, die personenbezogene, kryptografische oder andere sensible
Informationen enthalten, werden in sicherer und geschützter Weise aufbewahrt,
transportiert und entsorgt.
Für die Sicherheitsniveaus „Substanziell“ und „Hoch“ wird zusätzlich folgendes verlangt:
Sensibles kryptografisches Material, das für die Ausstellung elektronischer
Identifizierungsmittel und für die Authentifizierung verwendet wird, ist vor Fälschung
geschützt.
Zuletzt wird noch in Bezug auf Einhaltung und Prüfung für das Sicherheitsniveau
„Niedrig“ folgendes verlangt:
Es gibt regelmäßige interne Prüfungen (Audits) aller Bestandteile, die für die
Bereitstellung der Dienste von Bedeutung sind, um die Einhaltung der betreffenden
Vorgaben zu gewährleisten.
Für „Substanziell“ ist folgendes Voraussetzung:
Es gibt regelmäßige unabhängige interne oder externe Prüfungen (Audits) aller
Bestandteile, die für die Bereitstellung der Dienste von Bedeutung sind, um die
Einhaltung der betreffenden Vorgaben zu gewährleisten.
Schlussendlich verlangt das Sicherheitsniveau „Hoch“:
1. Es gibt regelmäßige unabhängige externe Prüfungen (Audits) aller Bestandteile,
die für die Bereitstellung der Dienste von Bedeutung sind, um die Einhaltung der
betreffenden Vorgaben zu gewährleisten.
2. Wird das System direkt von einer staatlichen Stelle verwaltet, so erfolgen die
Prüfungen nach den nationalen Rechtsvorschriften.
Derartige Regelungen für technische Kontrollen sowie Einhaltung und Prüfung fehlen im
Rulebook der e-Zustellung völlig.
EU-Verordnung
- 33 -
Zusammenfassung
In dieser Zusammenfassung wird festgehalten in wie fern die Sicherheitsstufen des
Rulebooks der e-Zustellung den Mindestanforderungen der durch die Durchführungs-
verordnung definierten Sicherheitsniveaus entsprechen:
Die Vorschriften für Beantragung und Eintragung sollten durch Punkt 11.2 des
Rulebooks (wenn auch nicht wortwörtlich) erfüllt sein.
Bezüglich Identitätsnachweis und Identitätsprüfung natürlicher Personen sollte
die Vertrauensstufe „Mittel“ des Rulebooks dem Sicherheitsniveau „Niedrig“ der
EU-Verordnung entsprechen. Die Vertrauensstufe „Hoch“ entspricht dem Sicher-
heitsniveau „Substantiell“. Gleiches gilt bezüglich der Verknüpfung von
elektronischen Identifizierungsmittel natürlicher und juristischer Personen.
Bezüglich der Verwaltung elektronischer Identifizierungsmittel (Anhang 2.2)
sollte die Vertrauensstufe „Hoch“ des Rulebooks die Vorschriften erfüllen, da
derartige Mechanismen für die Bürgerkarte vorgesehen sind.
Es ist davon auszugehen, dass bezüglich der Authentifizierung (Anhang 2.3) die
Sicherheitsstufe „Hoch“ des Rulebooks der e-Zustellung die Anforderungen
erfüllt.
Die Regeln für Management und Organisation (Anhang 2.4) werden größtenteils
durch das Rulebook nicht erfüllt. Es fehlen die Anforderung der ausreichend
finanziellen Mittel für etwaige Haftungen, Regeln für veröffentlichte Bekanntma-
chungen und Benutzerinformationen, das Informationsmanagement, Anforde-
rungen an das Personal, für technische Kontrollen sowie deren Einhaltung und
Prüfung.
Referenzformate für elektronische Siegel
Grundsätzlich treten die Regeln rund um das elektronische Siegel mit 1. Juli 2016 in
Kraft, die Kommission hat aber in ihrem Durchführungsbeschluss (EU) 2015/1506 vom
8. September 2015 die Spezifikationen für Formate fortgeschrittener elektronischer
Signaturen und fortgeschrittener Siegel, die von öffentlichen Stellen gemäß Artikel 27
Absatz 5 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates
über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen
im Binnenmarkt anerkannt werden, festlegt38.
Darin wird festgehalten, dass sich fortgeschrittene elektronische Signaturen und
fortgeschrittene elektronische Siegel ähneln, weswegen die Normen für die Formate
fortgeschrittener elektronischer Signaturen sinngemäß auch für die Formate fortgeschrit-
tener elektronischer Siegel gelten.
Artikel 3 und 4 des Durchführungsbeschlusses legen die Referenzformate genauer fest:
38 http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=uriserv:OJ.L_.2015.235.01.0037.01.DEU
EU-Verordnung
- 34 -
Artikel 3
Mitgliedstaaten, die gemäß Artikel 37 Absätze 1 und 2 der Verordnung (EU) Nr. 910/2014 fortgeschrittene
elektronische Siegel oder auf einem qualifizierten Zertifikat beruhende fortgeschrittene elektronische Siegel
verlangen, erkennen fortgeschrittene elektronische XML-, CMS- und PDF-Siegel der Konformitätsstufen B, T
oder LT und Siegel mit dazugehörigen Containern an, wenn diese Siegel die technischen Spezifikationen des
Anhangs erfüllen.
Artikel 4
(1)Mitgliedstaaten, die gemäß Artikel 37 Absätze 1 und 2 der Verordnung (EU) Nr. 910/2014 fortgeschrittene
elektronische Siegel oder auf einem qualifizierten Zertifikat beruhende fortgeschrittene elektronische Siegel
verlangen, erkennen andere als die in Artikel 3 dieses Beschlusses genannten Formate elektronischer Siegel an,
sofern der Mitgliedstaat, in dem der vom Siegelersteller genutzte Vertrauensdiensteanbieter niedergelassenen ist,
anderen Mitgliedstaaten Siegelvalidierungsmöglichkeiten bietet, die sich, soweit möglich, zur automatischen
Verarbeitung eignen.
(2)Die Siegelvalidierungsmöglichkeiten müssen
a) es anderen Mitgliedstaaten gestatten, die empfangenen elektronischen Siegel online, gebührenfrei und in einer
für Nichtmuttersprachler verständlichen Weise zu validieren;
b) im unterzeichneten Dokument, im elektronischen Siegel oder im elektronischen Dokument-Container
angegeben sein;
c) die Gültigkeit eines fortgeschrittenen elektronischen Siegels bestätigen, sofern
(1) das dem fortgeschrittenen elektronischen Siegel zugrunde liegende Zertifikat zum Zeitpunkt der
Besiegelung gültig war, und, wenn die fortgeschrittene elektronische Signatur auf einem qualifizierten
Zertifikat beruht, es sich bei dem dem fortgeschrittenen elektronischen Siegel zugrunde liegenden
qualifizierten Zertifikat zum Zeitpunkt der Besiegelung um ein qualifiziertes Zertifikat für elektronische
Siegel handelte, das mit Anhang III der Verordnung (EU) Nr. 910/2014 im Einklang stand und von einem
qualifizierten Vertrauensdiensteanbieter ausgestellt wurde;
(2) die Siegelvalidierungsdaten den Daten entsprechen, die dem vertrauenden Beteiligten bereitgestellt
werden; (3) der eindeutige Datensatz, der den Siegelersteller repräsentiert, dem vertrauenden Beteiligten
korrekt bereitgestellt wird;
(4) die etwaige Benutzung eines Pseudonyms dem vertrauenden Beteiligten eindeutig angegeben wird, wenn
zum Zeitpunkt der Besiegelung ein Pseudonym benutzt wurde;
(5) die etwaige Verwendung einer qualifizierten elektronischen Siegelerstellungseinheit, mit der das
fortgeschrittene elektronische Siegel erstellt wird, dem vertrauenden Beteiligten eindeutig angezeigt wird;
(6) die Unversehrtheit der mit dem Siegel versehenen Daten nicht beeinträchtigt ist;
(7) die Anforderungen des Artikels 36 der Verordnung (EU) Nr. 910/2014 zum Zeitpunkt der Besiegelung
erfüllt waren;
(8) das zur Validierung des fortgeschrittenen elektronischen Siegels verwendete System dem vertrauenden
Beteiligten das Ergebnis des Validierungsprozesses korrekt bereitstellt und es ihm ermöglicht, etwaige
Sicherheitsprobleme zu erkennen.
Der Anhang des Durchführungserlasses enthält betreffend der elektronischen Siegel noch
folgende Liste von technischen Spezifikationen:
EU-Verordnung
- 35 -
Stand der Umsetzung in Österreich
Bezogen auf Österreich wird diese Verordnung einige Konsequenzen haben:39
Umfangreiche Anpassung des innerstaatlichen Rechtsrahmens notwendig, insbe-
sondere der folgenden Gesetze und Verordnungen:
o SigG und SigV 2008
o E-GovG und VOen
o ZustG und ZustDV
Österreich hat mit den bestehenden E-Government Strategieelementen und
technischen Umsetzungen eine hervorragende Ausgangsbasis
Verbreitungs- und „Export“-Potential unserer Lösungen und deren Einsatz-
möglichkeiten, z.B. Handy-Signatur (Bürgerkarte)/ Elektronische Zustellung/…
steigen beachtlich
Die Umsetzung (Akzeptanz ausländischer eIDs auf Basis STORK und
bestehenden MOA etc.) ist eine zu bewältigende Herausforderung
Derzeit sind aber noch keine konkreten Gesetzesänderungen bekannt.
Auswirkungen auf das Rulebook
Auf Grund obiger Überlegungen (Abschnitt Stand der Umsetzung) ergeben sich folgende
mögliche Auswirkungen auf das Rulebook der e-Zustellung:
Bezüglich den Regelungen zur Interoperabilität sind, sollte der Zustellkopf auch
als Knoten dienen wollen, wahrscheinlich keine Anpassungen am Rulebook nötig
(Mindestdatensatz entspricht bereits), jedoch ist zu beachten, dass der Betreiber
eine Zertifizierung nach ISO/IEC 27001 benötigt.
Die einzelnen Vertrauensstufen der e-Zustellung sind grundsätzlich mindestens
ein Niveau unter denen der EU-Verordnung.
39 Siehe dazu, Vortrag von Peter Kustor, eID und eSignatur – Aktueller Stand der eIDAS Verhandlungen,
Vortrag im Rahmen der IRIS 2014, Salzburg, 20.2.2014
EU-Verordnung
- 36 -
Die Regeln für Management und Organisation (Anhang 2.4) werden größtenteils
durch das Rulebook nicht erfüllt. Es fehlen die Anforderung der ausreichend
finanziellen Mittel für etwaige Haftungen, die Regeln für veröffentlichte
Bekanntmachungen und Benutzerinformationen, das Informationsmanagement,
die Anforderungen an das Personal, für technische Kontrollen sowie Einhaltung
und Prüfung.
Hinzu sind noch folgende – bereits im letztjährigen Gutachten enthalten gewesenen –
Punkte zu nennen:
Die Überprüfung der Identität (Artikel 8 (1) und 24 (1) b) sollte im Rulebook
durch die in Abschnitt 3 geregelten Vertrauensstufen bereits entsprechend
abgebildet sein.
Die Anforderungen des Absatzes 2 in Artikel 24 sind aber durch das Rulebook in
wesentlichen Teilen nicht abgedeckt. Etwa fehlen Regelungen über das
beschäftige Personal vollkommen, ebenso ist nach Ansicht des Sachverständigen
das Unterrichten der Personen, die den Dienst nutzen wollen, nicht in diesem
Umfang verpflichtend vorgesehen. Darüber hinaus ist eine angemessene Haft-
pflichtversicherung nicht obligatorisch vorgesehen.
Bezüglich der Anforderung, dass der Widerruf eines Zertifikats innerhalb von
zehn Minuten nach dessen Wirksamwerden registriert werden muss (Absatz 3 in
Artikel 24) ist festzuhalten, dass laut Rulebook die Dienste ja vom Zustellkopf
selbst mit Zertifikaten ausgestattet werden. Darüber hinaus gibt es aber auch noch
Zertifikate für die Absicherung der Kommunikation „nach außen“. Regeln dafür
wie genau und insbesondere in welchem Zeitfenster ein Wiederruf registriert
werden muss, fehlen im Rulebook aber.
Ähnliches gilt für Absatz 4 im Artikel 24, der festhält, dass Informationen für die
einzelnen Zertifikate automatisch auf zuverlässige, kostenlose und effiziente
Weise bereitgestellt werden müssen.
Zwar regelt das Rulebook in Abschnitt 11.2.2, dass die jeweilige Unverfälschtheit
der Dokumente beweisbar sein muss, aber die Art und Weise wird nicht wie im
Absatz (1) d des Artikels 44 festgehalten. Gleiches gilt in ähnlicher Weise für den
qualifizierten elektronischen Zeitstempel, der in Absatz (1) f des Artikels 44
verlangt wird.
Auch für den Absatz (1) e des Artikels 44 fehlt ein entsprechender Hinweis im
Rulebook.
Bedeutsam erscheint auch Artikel 9 (2) mit welchem geregelt wird, dass unver-
züglich, in jedem Fall aber innerhalb von 24 Stunden nach Kenntnisnahme von
einer Sicherheitsverletzung oder eines Integritätsverlustes, eine Meldung an die
Aufsichtsstelle erfolgen muss. Es erscheint sinnvoll eine derartige Regelung auch
in das Rulebook aufzunehmen. Hier müsste Punkt 11.2 (Verpflichtungen der
Dienste) im Rulebook entsprechend erweitert werden, wobei dies wohl analog
auch für den Zustellkopf gelten sollte.
Es sollte auch eine prinzipielle Entscheidung gefällt werden, ob auch
elektronische Identifizierungen, die von einem anderen Mitgliedsstaat ausgestellt
wurden, anzuerkennen sind. Da es sich bei der in diesem Gutachten behandelten
EU-Verordnung
- 37 -
e-Zustellung um ein privates Service handelt, ist dies nicht verpflichtend, dennoch
könnte es natürlich zu einer größeren Verbreitung beitragen.
In Punkt 3 Vertrauensstufen – insbesondere 3.4 Vertretungsvollmacht – sollte das
elektronische Siegel aufgenommen werden.
Zusammenfassend kann dabei also festgehalten werden, dass sich in Bezug auf diese EU-
Verordnung wahrscheinlich umfassende Änderungen am Rulebook ergeben werden, da
es sicherlich sinnvoll sein wird, die darin definierten Anforderungen – zumindest
teilweise – auch in das Rulebook aufzunehmen. Mit der konkreten Ausformulierung wird
aber entsprechend einer im AUSTRIAPRO Arbeitskreis vom 25.6.2014 getroffenen
Vereinbarung noch abgewartet, bis die entsprechenden österreichischen Rechtsvor-
schriften ausgearbeitet sind.
Änderungen/Erweiterungen beim Rulebook
- 38 -
Änderungen/Erweiterungen beim Rulebook
Das Rulebook der Wirtschaftskammer Österreich „System private E-Zustellung in
Österreich“ regelt das System der privaten elektronischen Zustellung und insbesondere
die vertraglichen Beziehungen zwischen der WKO als Zustellkopf und den jeweiligen
Zustell- und Absendediensten, die sich als solche an diesem System beteiligen.
Dem Sachverständigen liegt die Version 1.2 (vom März 2015) dieses Rulebooks vor, dass
im Wesentlichen (abgesehen von einigen Ergänzungen zum Subpostfach, sowie
Änderungen bei den Formulierungen) dem Stand entspricht, der mit dem vorhergehenden
Gutachten seitens des Sachverständigen abgeliefert wurde.
In diesem Jahr sind keine wesentlichen neuen Punkte aufgetreten, nur folgende
Überarbeitungen wurden angeregt:
Verpflichtende Unterstützung von Certificate Pinning
Prüfung ob die zitierten Gesetze und Paragraphen noch am aktuellen Stand sind.
Im Folgenden sind jedem dieser Punkte Unterabschnitte gewidmet.
Certificate Pinning
Im Rahmen der Umsetzung der Remote-Control Schnittstelle wurde angeregt, dass im
Rulebook die Zustelldiensteanbieter verpflichtet werden sollten, nur solche Webservice-
Clients zum Einsatz zu bringen, die Certificate Pinning verwenden.
Im Rulebook ist dies derzeit im Punkt 2.9 Identifizierungsmittel wie folgt geregelt:
Die Identifizierungsmittel dienen der wiederkehrenden Identifizierung der Benutzer bei
der Inanspruchnahme eines Dienstes. Die Dienste stellen sicher, dass diese dem
aktuellen Stand der Technik entsprechen.
Es wäre denkbar dies um den Zusatz „Darunter wird derzeit Certificate Pinning
verstanden.“ zu ergänzen. Allerdings wurde in der AK-Sitzung vom 15.9.2015 keine
echte Notwendigkeit gesehen das Rulebook diesbezüglich zu ergänzen, sodass noch
keine Schritte in diese Richtung hin unternommen worden sind.
Prüfung der zitierten Gesetze
In diesem Abschnitt wird untersucht ob die im Rulebook zitierten Gesetze und Verord-
nungen am aktuellen Stand sind.
In folgenden Abschnitten des Rulebooks werden Gesetze bzw. Verordnungen zitiert:
3.2: § 40 BWG idF BGBl. I Nr. 77/2011 und §2 Abs 3a SigG idF BGBl. I Nr.
59/2008, sowie § 8 Abs 1 SigG (in der Fußnote): §40 des BWG ist mittlerweile in
Änderungen/Erweiterungen beim Rulebook
- 39 -
der Fassung BGBl. I Nr. 184/2013 vorhanden, Jedoch hatten die Veränderungen
keine inhaltlichen Auswirkungen auf das Rulebook. Das Signaturgesetz in immer
noch in der Fassung BGBl.1. I Nr. 75/2010 vorhanden.
3.3: § 2 Z2 EGovG idF BGBl. I Nr. 111/2010: Das E-GovG ist nun in der
Fassung BGBl. I. Nr. 83/2013 vorhanden, wobei dieser Paragraph nicht geändert
worden ist.
3.4: § 9 der Stammzahlenregisterverordnung iVm § 5 des E-Government-
Gesetzes: Diese Paragraphen sind noch aktuell.
11.2: § 10 Abs 1 DSG: Das Datenschutzgesetz wurde diesbezüglich heuer nicht
geändert.
11.2.1 § 13 ECG: Das E-Commerce-Gesetz ist nach wie vor in der Fassung BGBl.
I Nr. 152/2001 verfügbar.
Zusammenfassend kann also festgehalten werden, dass sich teilweise die Fassungen
verändert haben, aber insgesamt keine inhaltlichen Auswirkungen feststellbar sind.
Wirtschaftsportalverbund
- 40 -
Wirtschaftsportalverbund
Einführung
Der Wirtschaftsportalverbund basiert auf den AUSTRIAPRO Arbeitskreis WPV und soll
eine Kooperationsbasis für verschiedene Dienstanbieter der Wirtschaft im Internet dar-
stellen, um elektronische Geschäftsprozesse sicherer und effizienter als bisher abwickeln
zu können. Mit Beginn 2014 wurde dabei ein eigener WPV Verein gegründet, der als
rechtlicher Träger der Federation (siehe unten) dient (www.wirtschaftsportalverbund.at).
Eine offizielle Präsentation fand am 18.9.2014 in der Wirtschaftskammer Österreich statt.
Der Nutzen des WPV für die Anbieter von Anwendungen ist:
Digitalisierung bestehender Geschäftsprozesse
Entwicklung neuer Geschäftsmodelle
Zugang zu neuen Kundengruppen
höhere Sicherheit bei gleichen Kosten
geringere Kosten für Identifikation und Helpdesk
verbesserte Compliance bei starker Vernetzung
Für die Anwender selbst soll es die Möglichkeit geben ein gemeinsames
Anmeldeverfahren („Single Sign On“) für viele unterschiedliche Geschäftsprozesse
anzuwenden. Die Anwender müssen sich nur noch ein einziges Mal authentifizieren und
sind dann berechtigt, eine ganze Reihe unterschiedlicher Geschäftsprozesse (je nach
vergebenen „Rollen“ der Person) auf den zum Portalverbund gehörigen Portalen,
Plattformen etc. durchzuführen.
Mit Hilfe der sogenannten „Identity Provider (IdP)“ innerhalb des WPV (diese
garantieren die Identität des Anwenders gegenüber den im WPV zusammengefassten
Anwendungen) wird ein „Vertrauensnetzwerk“ aufgebaut, in dem für alle Nutzer
Identität, Vertraulichkeit, Integrität, Zurechenbarkeit und Datenschutz gewährleistet
werden.
Ein solches Vertrauensnetzwerk besteht seinerseits aus mehreren „Federations“
(kooperierende Gruppen von Unternehmen/Organisationen). Die Aufsicht über mehrere
solche Federations hat eine „Federation Authority“, die ein allgemeines Regelwerk für
den WPV zur Verfügung stellt und dieses weiterentwickelt.
Zusätzlich zu kommerziellen Angeboten für Identity Provider des WPV ist auch die
Einbindung des Unternehmensserviceportals (USP) des Bundesministeriums für
Finanzen (Weiterentwicklung des bekannten „help.gv.at für Unternehmen“) geplant.
Der WPV hat dabei auch im Juli 2015 ein Rulebook veröffentlicht. Dieses wird in diesem
Gutachten kurz behandelt und untersucht, ob es eventuell Anregungen für das Rulebook
der e-Zustellung beinhaltet.
Wirtschaftsportalverbund
- 41 -
Auch der Zustelldienst soll dabei als Identity-Provider auftreten. Auswirkungen auf das
Rulebook der e-Zustellung auf Grund dieses Aspektes sollten in diesem Gutachten
ebenso untersucht werden.
Rulebook des WPV
Nachdem der Erscheinungstermin des Rulebooks des Wirtschaftsportalverbundes einige
Male verschoben wurde, wurde die Version 1.16 am 13.7.2015 approbiert und online
gestellt. Das Rulebook ist aber noch nicht final. Weitere Bestimmungen des Rulebooks
sind aus der Praxis heraus, d.h. im Zuge des Aufbaus der ersten Federation, zu
formulieren.
In einer umfassenden Präambel wird eine Leistungsbeschreibung des WPV, ebenso wie
dessen Grundprinzipien, Sicherheitsziele und Datenschutzprinzipien beschrieben.
Das eigentliche Rulebook beginnt in Kapitel 1 mit einer Definition aller Begriffe und
Rollen, die sich im WPV ergeben.
Kapitel 2 präsentiert die Architektur des WPV und hält fest, dass dieser aus einer
Federation Authority (FA) und weiteren Teilnehmern, die für die Erfüllung verschiedener
globaler Funktionen und für die Aufrechterhaltung des Betriebs erforderlich sind, sowie
aus mehreren Federations, die von je einem Federation Operator (FO) betrieben und
verwaltet werden, besteht.
Die Kapitel 3 – 5 präsentieren die Vorrausetzungen unter denen jemand Teilnehmer am
WPV sein kann. Diese müssen akkreditiert werden und die Voraussetzung für die
Verlängerung der Akkreditierung muss kontinuierlich durch positive Audits überprüft
werden.
Kapitel 6 regelt den Umgang mit einer Federation Authority (FA), dazu gehören
insbesondere Haftung, Geheimhaltung, Archivierung, sowie die Bearbeitung von
Meldungen und Konflikten.
Kapitel 7 regelt die Rechte und Pflichten aller Teilnehmer. Dazu gehört die allgemeine
Sorgfaltspflicht, Datenschutz und Datensicherheit, Folgen rechtswidriger Handlungen der
Teilnehmer, sowie Regeln für die Konflikte zwischen Teilnehmern. Ferner wird auf
Protokollierung und Datenherausgabe sowie auf die Weiterverwendung von
Benutzerdaten eingegangen. Bei letzterem Punkt geht es vor allem darum zu vermeiden,
dass ein Teilnehmer den WPV nur kurzfristig nutzt und dann mit den gewonnenen
Kunden und Daten ein Konkurrenzsystem aufbaut.
Kapitel 8 geht auf die Regeln für einen Federation Operator (FO), der die zentralen
Dienste der Federation, betreibt, ein und regelt die Aufnahme und die Pflichten für den
Betrieb einer Federation. Ebenso wird auf deren Einstellung sowie Übergabe an einen
anderen FO eingegangen.
Wirtschaftsportalverbund
- 42 -
Kapitel 9 geht auf die Regeln für einen Identity Provider (IdP), der die eindeutige und
überprüfbare Identität einer Entität gewährleistet und zugehörige Attribute vermittelt. Für
die Aufnahme des Betriebs einer IdP ist dabei der Abschluss eines Vertrags zwischen IdP
und FO, sowie die Akkreditierung des IdP durch die FA nötig. Ein IdP darf weder direkt
noch indirekt Daten darüber erheben oder speichern, welche Services ein Benutzer
verwendet und insbesondere an welche Services Attributsdaten eines Benutzers
übertragen werden. Hingegen muss Protokoll über jeden Vorgang der Authentifizierung
(Login und Logout) und der Übertragung von Identitätsdaten an einen SB führen. Jeder
solche Protokolleintrag muss enthalten, welche Attribute – nicht jedoch Attributswerte –
betreffend welchen Benutzer zu welchen Zeitpunkt an welchen SB übermittelt wurden.
Jeder solche Protokolleintrag ist mit einer eindeutigen Nummer zu versehen, die auch
dem SB, der Empfänger der Datenübertragung ist, zu übermitteln ist. Auch Beendigung
der Teilnahme eines IdP, bzw. die Einstellung des Betriebes eines IdP werden geregelt.
Kapitel 10 regelt den Betrieb eines Service Broker (SB), der die Beziehungen zwischen
SP und Federation (IdP, FO) regelt.
Kapitel 11 regelt den Betrieb eines Service Provider (SP).
Kapitel 12 behandelt etwaige Unvereinbarkeiten, wie etwa, dass ein FO rechtlich,
organisatorisch und wirtschaftlich von allen IdP und SB unabhängig sein muss.
Kapitel 13 soll Gebühren und Leistungen regeln, ist aber derzeit noch völlig offen
gehalten und muss erst finalisiert werden.
Kapitel 14 soll Datensicherheitsvorgaben geben.
Kapitel 15 hält fest, dass die FA bei begründeten Ausnahmefällen schriftliche Abwei-
chungen von den verpflichtenden Bestimmungen dieses Rulebooks beschließen kann.
Kapitel 16 hält die Anwendung von österreichischem Recht, mit Ausnahme des UN-
Kaufrechts und die Zuständigkeit des jeweils sachlich zuständigen Gerichts im Sprengel
des Handelsgerichts Wien fest.
Zustelldienst als Identity Provider
Die wohl interessanteste Option für eine Einbindung der e-Zustellung in den WPV wäre
dass der Zustellkopf selbst als Identity Provider auftritt, aber auch die Einbindung eines
Zustelldienstes wäre natürlich denkbar. Dazu muss laut Kapitel 3 des WPV-Rulebooks
der Teilnehmer einen Vertrag mit dem WPV abschließen. Danach muss eine
Akkreditierung durchgeführt werden. Diese wird in Kapitel 4 des WPV-Rulebooks
geregelt, wo derzeit aber nur grob gesprochen jene Teile der jeweiligen Pflichten des
Rulebooks, deren Erfüllung man bereits vorab überprüfen kann, Voraussetzung sind.
Nähere Details werden erst definiert werden, wenn die erste Federation entsteht.
Wirtschaftsportalverbund
- 43 -
Wesentlich ist natürlich Kapitel 7, dass die Rechte und Pflichten aller Teilnehmer regelt.
Dazu gehört einmal Kapitel 7.1 Allgemeine Sorgfaltspflicht, die sich wohl von selbst
versteht. Dennoch entspricht dies im Wesentlichen auch den Anforderungen des Absatzes
2 in Artikel 24 der oben erwähnten Verordnung (EU) Nr 910/214 des europäischen
Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für
elektronische Transaktionen im Binnenmarkt.
7.1 Allgemeine Sorgfaltspflicht
7.1.1 Jeder Teilnehmer hat unabhängig von den in diesem Rulebook festgelegten Pflichten die ihm aufgrund
seiner Rolle zukommenden Aufgaben nach dem Stand der Technik mit der Sorgfalt eines ordentlichen
Unternehmers zu erfüllen, die dafür notwendigen Kenntnisse zu besitzen (§ 347 UGB, § 1299 ABGB) und
insbesondere angemessene Datensicherheits-maßnahmen zu ergreifen.
7.1.2 Jeder Teilnehmer hat Personal und gegebenenfalls Unterauftragnehmer zu beschäftigen, das bzw. die über
das erforderliche Fachwissen, die erforderliche Zuverlässigkeit, die erforderliche Erfahrung und die
erforderlichen Qualifikationen verfügt bzw. verfügen.
Es wäre daher durchaus überlegenswert einen ähnlichen Passus in das Rulebook der e-
Zustellung aufzunehmen.
Weiters wird in 7.2 Datenschutz und Datensicherheit verlangt, was auch im Rulebook der
e-Zustellung in 11.2 (Die Dienste haben für die Einhaltung der anwendbaren Gesetze
insbesondere des Datenschutzgesetzes zu sorgen.) enthalten ist. Etwas strenger und vor
allem näher definiert sind die Regeln zur Geheimhaltung:
7.2.2 Geheimhaltung
7.2.2.1 Teilnehmer dürfen die von ihnen verarbeiteten personenbezogenen und transaktionsbezogenen Daten
nicht an andere Teilnehmer oder an Dritte weitergeben, es sei denn, dies ist im Zuge der Durchführung einer
Transaktion nach den Regeln dieses Rulebooks erforderlich oder es liegt eine gesetzliche Verpflichtung nach den
Bestimmungen der Europäischen Union oder eines ihrer Mitgliedstaaten oder einer der unter 7.5.1 genannten
Fälle vor.
7.2.2.2 Jeder Teilnehmer hat seine Mitarbeiter schriftlich über die gesetzlich und/oder nach diesem Rulebook
bestehenden Geheimhaltungs-, Datenschutz- und Datensicherheitspflichten zu belehren.
7.2.3 Datenminimierung
Jeder Teilnehmer darf nur jene Daten einsehen und verarbeiten können, die er benötigt, um eine bestimmte
Transaktion durchzuführen bzw. seine Aufgaben im WPV zu erfüllen.
Auch hier wäre es überlegenswert derartige Regelungen in das Rulebook der e-
Zustellung aufzunehmen.
In Bezug auf die Verknüpfbarkeit der Daten sind einige Punkte zu beachten:
7.2.4 Beschränkung der Verknüpfbarkeit
7.2.4.1 Die personenbezogenen Daten eines Benutzers dürfen bei der Übermittlung an unterschiedliche
Teilnehmer oder an denselben Teilnehmer für unterschiedliche Zwecke nicht mit demselben
Identifikationsschlüssel versehen werden, sodass die Übermittlungsempfänger nicht in der Lage sind, die
personenbezogenen Daten eines Benutzers, die sie jeweils innehaben, mittels deren Identifikationsschlüssel zu
verknüpfen.
Wirtschaftsportalverbund
- 44 -
7.2.4.2 Darüber hinaus sollen auch andere personenbezogene Attribute nur im erforderlichen Umfang übermittelt
werden und für eindeutige Kontaktadressen wie E-Mail möglichst eine pseudonymisierte Version verwendet
werden.
Begründung: Nicht-Verknüpfbarkeit kann nicht als Vorschrift umgesetzt werden. Name und
Geburtsdatum machen die Daten meist eindeutig verknüpfbar. Man kann nur Maßnahmen
vorschreiben, die das Verknüpfen faktisch erschweren (law by design) sowie das Verknüpfen verbieten.
7.2.4.3 Unabhängig davon darf ein Teilnehmer auch nicht auf andere Weise personenbezogene Daten mit einem
anderen Teilnehmer austauschen oder abgleichen oder an diesen übermitteln. Davon ausgenommen sind Fälle, in
denen eine Zustimmung des Betroffenen oder eine Herausgabepflicht laut 7.5.1 vorliegt.
Hier muss bei der Implementierung der Schnittstellen darauf geachtet werden, dass etwa
bei der Suche nicht das Geburtsdatum zurückgegeben wird, wie es laut Rulebook bei der
Suche in einem Zustelldienst sehr wohl sein müsste. Insofern müsste wahrscheinlich auch
der Punkt 7.1 des Rulebooks der e-Zustellung angepasst werden.
Interessant sind auch die Aspekte der Meldeverpflichtung und des Loggings von Daten,
auch hier wäre die Übernahme in das Rulebook der e-Zustellung überlegenswert.
7.2.6 Meldeverpflichtungen
Ungeachtet der Pflicht zur Meldung von Verstößen gemäß § 7.3.2 dieses Rulebooks und ungeachtet allfälliger
gesetzlicher Meldepflichten hat jeder Teilnehmer Vorfälle der Kompromittierung von Sicherheitsmaßnahmen,
unbefugte Zugriffe, unbefugte Manipulationen und Fehlfunktionen betreffend Systeme, die er zur Erbringung
seiner diesem Rulebook unterliegenden Dienste betreibt, an die FA zu melden, unabhängig davon, ob durch das
zu meldende Ereignis ein Schaden entstanden ist.
Begründung: Diese Meldepflicht bezieht sich insbesondere auf Hacker-Angriffe aber auch auf
unbefugte Handlungen die von Mitarbeitern der Teilnehmer oder mit deren Wissen durchgeführt
werden. Die FA muss über die Informationssicherheitslage im WPV im Bilde sein, um wenn nötig
geeignete Maßnahmen, wie insbesondere Anpassung des Regelwerks treffen zu können.
7.2.7 Logging und Aufbewahrung von Daten
Alle Teilnehmer, insbesondere SB und IdP, müssen über Vorgänge der Übermittlung von Identitätsdaten an
andere Teilnehmer detaillierte Aufzeichnungen führen, aus denen hervorgeht, welche Art von Daten betreffend
welchen Benutzer zu welchem Zeitpunkt an welchen anderen Teilnehmer übermittelt wurden.
Im Zuge der ersten Federation allgemein auszuarbeiten:
Aufbewahrungsfristen von Transaktionsdaten (relevant: § 14 Abs 5 DSG)
In Bezug auf die Verpflichtungen durch das WPV-Rulebook laut 7.5.1 zur Protokol-
lierung, wobei der Zeitpunkt wie lange die Daten aufbewahrt werden sollen, noch nicht
festgelegt ist, kann gesagt werden, dass dies durch die e-Zustellung schon gut abgedeckt
ist. Auch in der e-Zustellung ist ein Protokoll vorgesehen (9.3), die Fristen sind in 11.2.3
geregelt.
Insbesondere für den IdP legt Kapitel 9.3. noch weitergehende Vorschriften für die
Protokollierung fest:
9.3.1 Ein IdP muss Protokoll über jeden Vorgang der Authentifizierung (Login und Logout) und der Übertragung
von Identitätsdaten an einen SB führen.
Begründung: Es wird bewusst der Begriff „Übertragung“ und nicht „Übermittlung“ verwendet, um die
Auslegung auszuschließen, dass nur Übermittlungen im Sinne des Datenschutzgesetzes erfasst sind
(auch wenn derzeit nur dies denkbar erscheint).
Wirtschaftsportalverbund
- 45 -
9.3.2 Jeder solche Protokolleintrag muss enthalten, welche Attribute – nicht jedoch Attributswerte – betreffend
welchen Benutzer zu welchem Zeitpunkt an welchen SB übermittelt wurden.
9.3.3 Jeder solche Protokolleintrag ist mit einer eindeutigen Nummer zu versehen, die auch dem SB, der
Empfänger der Datenübertragung ist, zu übermitteln ist.
Meines Erachtens sind dies „nur“ Vorschriften, die der Zustelldienst gegebenenfalls
umsetzen müsste, eine Anpassung des Rulebooks sollte deswegen nicht nötig sein. Dies
wird aber natürlich auf die dann genau ausformulierten Anforderungen ankommen.
Ferner enthalten die Kapitel 9.4 und 9.5 umfassende Regelung zur Beendigung der
Teilnahme eines IdP bzw. zur Einstellung des Betriebes eines IdP. Tatsächlich fehlen
derartige Regelungen im Rulebook der e-Zustellung derzeit, zwar werden die Pflichten
eines Zustelldienstes diesbezüglich geregelt, nicht geregelt wird aber eine etwaige
Einstellung des Zustellkopfes. Es wird daher angeregt auch dies im Rulebook der e-
Zustellung zu regeln, wobei als Muster die Formulierungen des WPV-Rulebooks
verwendet werden könnten (diese liegen allerdings noch nicht final vor, da sie erst im
Zuge der ersten Federation ausgearbeitet werden).
Kritisch gesehen werden müssen wohl auch noch die Unvereinbarkeitsbestimmungen von
Kapitel 12 wonach ein IdP rechtlich, organisatorisch und wirtschaftlich von FO, SB und
allen Federation-CAs (Zertifizierungsdiensteanbieter), was wohl die WKO eher generell
ausschließen würde. Allerdings legt 12.5 fest, dass es hierzu auch Ausnahmen gibt. Auf
jeden Fall müsste gegebenenfalls sicherlich dieser Punkt an Hand der tatsächlichen
Teilnehmer genau betrachtet werden.
Weitere Anregungen für das Rulebook der e-Zustellung
Neben etwaigen Änderungen, die sich am Rulebook ergeben könnten, wenn der
Zustellkopf oder der Zustelldienst am WPV teilnehmen, z.B. eben als Identity-Provider,
ist das Rulebook des WPV natürlich auch eine Ideensammlung welche Punkte eventuell
noch in das Rulebook der e-Zustellung aufgenommen werden könnten.
Interessant ist dabei sicherlich das Kapitel 5 „Audit“. Auch in den Verträgen der
e-Zustellung ist ja vorgesehen, dass eine Konformitätserklärung (Gutachten über
die technische Qualität der Anwendung und Bestätigung, dass der Zustelldienst
den technischen Standards der WKO entspricht) vorgelegt wird. Dies wäre wohl
sicherlich in Form eines Audits zu überprüfen.
Eine Weiterverwendung von Benutzerdaten wird zum Zwecke dessen, das
Teilnehmer nicht mit den gewonnenen Kunden ein Konkurrenzsystem aufbauen,
ausgeschlossen (Kapitel 7.5.2). Auch sind sie generell zur Geheimhaltung
(Kapitel 6.2) verpflichtet. Derartige Bestimmungen wären auch im Rulebook der
e-Zustellung überlegenswert.
Haftungen: Zwar ist in Kapitel 11.2.1 des Rulebooks der e-Zustellung die Haftung
der Dienste für übermittelte Inhalte geregelt, das WPV-Rulebook geht hier
allerdings noch weiter und definiert manche Punkte genauer.
Wirtschaftsportalverbund
- 46 -
Ein abschließendes Kapitel, das anwendbares Recht und Gerichtsstand regelt (wie
Kapitel 16 im Rulebook des WPV) fehlt im Rulebook der e-Zustellung.
Allerdings ist anzumerken, dass diese Punkte in der Vertragsvorlage für
Zustelldienste enthalten sind, was ausreichen sollte.
Zusammenfassung Änderungen Rulebook
Wenn diese Aspekte bedacht werden, dann könnten durch den WPV folgende Aspekte im
Rulebook der e-Zustellung Eingang finden:
- Kapitel 5 Audit
- Kapitel 6.1 Haftung
- Kapitel 6.2 Geheimhaltung
- Kapitel 7.1 Allgemeine Sorgfaltspflicht
- Kapitel 7.2 Datenschutz und Datensicherheit allgemein, davon besonders
o Kapitel 7.2.4 insbesondere wegen Geburtsdatum in Suchergebnis
o Kapitel 7.2.6 Meldeverpflichtungen
o Kapitel 7.2.7 Logging und Aufbewahrung von Daten
- Kapitel 7.5.2 Weiterverwendung von Benutzerdaten
- Kapitel 9.4 Beendigung der Teilnahme
- Kapitel 9.5 Einstellung des Betriebes
- Kapitel 16 Anwendbares Recht und Gerichtsstand
Darüber hinaus muss beachtet werden, dass nach finalem Vorlegen des WPV-Rulebooks
kontrolliert wird, ob die Implementierung des Zustellkopfes die Protokollvorschriften des
Kapitels 9.3 berücksichtigt, falls der Zustellkopf als IdP dienen sollte. Auch müssen die
Unvereinbarkeitsbestimmungen aus Kapitel 12 beachtet werden.
Ausblick
- 47 -
Ausblick
In diesem Abschnitt werden Überlegungen angestellt, welche weiteren Arbeiten noch
durchgeführt werden könnten:
- Die Übernahme der Verordnung des Europäischen Parlaments und des Rates über
die elektronische Identifizierung und Vertrauensdienste für elektronische
Transaktionen im Binnenmarkt in österreichisches Recht sollte genau beobachtet
und darauf aufbauend das Rulebook entsprechend angepasst werden. Entspre-
chende Schwerpunkte dabei wurden bereits in diesem Gutachten angesprochen.
- Interessant ist auch, dass vom WPV herausgearbeitete Risikokonzept bei dem
auch Risikoklassen identifiziert worden sind. Es wäre eventuell sinnvoll,
diesbezügliche Überlegungen auch für das Projekt e-Zustellung, vorzunehmen.
- Die vertragliche Situation mit den Zustelldiensten als auch die Überlegungen
betreffend eines Vertrages mit dem WPV-Verein gehören nach Vorliegen genauer
Informationen über die Integration des WPV in das System der e-Zustellung
sicherlich noch einmal überarbeitet. In diesem Zusammenhang muss dann auch
das Thema Informationsverbundsystem noch einmal geprüft werden40.
- Sollte eine Neuauflage der Vorratsdatenspeicherung41, in welcher Art auch
immer, beschlossen werden, so wird deren Auswirkung auf die e-Zustellung zu
untersuchen sein.
- In den Verträgen zwischen der WKÖ und den Zustelldiensten ist in Anlage 3 eine
Konformitätserklärung (Gutachten über die technische Qualität der Anwendung
und Bestätigung, dass der Zustelldienst den technischen Standards der WKÖ
entspricht) notwendig. Nach Wissen des Sachverständigen liegt dafür noch kein
Kriterienkatalog vor, insofern sollte ein derartiger Katalog ausgearbeitet werden.
40 Dies war umfassend Thema im Gutachten des letzten Jahres. 41 Nachdem die sogenannte „Vorratsdatenspeicherungsrichtlinie“ 2006/24/EG durch den EuGH aufgehoben
wurde und in weiterer Folge auch das entsprechende österreichische Gesetz nicht vor dem VfGH standhielt,
gibt es dennoch immer wieder Bestrebungen ein neues Gesetz in Österreich einzuführen.
Zusammenfassung
- 48 -
Zusammenfassung
Im Rahmen dieses Gutachtens wurden rechtliche Zusammenhänge bzw. Abhängigkeiten
im Rahmen des Projektes E-Zustellung erarbeitet. Folgende Aspekte sind dabei
besonders hervorzuheben:
Die gesetzliche Rahmensituation der E-Zustellung sowohl in den Nachbarländern,
als auch in Skandinavien und insbesondere Estland wurde untersucht. Hier
konnten teilweise sehr umfassende Gesetzgebungen bis hin zur Verpflichtung
über die E-Zustellung erreichbar sein zu müssen, festgestellt werden. Gerade
Estland aber auch Finnland sind tatsächlich in vielfacher Hinsicht ein Vorbild.
Die nunmehr vorliegenden Durchführungsbeschlüsse zur Verordnung des Euro-
päischen Parlaments und des Rates über die elektronische Identifizierung und
Vertrauensdienste für elektronische Transaktionen im Binnenmarkt wurden genau
analysiert und dabei mögliche Vorschläge für Anpassungen des Rulebooks
erarbeitet.
Abgesehen von minimalen Anpassungen (auf Grund neuer Gesetzblätter) wurden
keine Erweiterungen am Rulebook vorgenommen.
Das Rulebook des Wirtschaftsportalverbundes wurde insbesondere unter dem
Aspekt, dass ein Zustelldienst als Identity Provider auftritt, untersucht. Auch
wurden diesbezüglich Anregungen für das Rulebook der e-Zustellung erarbeitet.
Gedanken zu möglichen zukünftigen Arbeiten runden das Gutachten ab.
Wir erstatten diesen Bericht aufgrund unserer Prüfung sowie der uns erteilten Auskünfte
und vorgelegten Unterlagen nach bestem Wissen.
Haag, Dezember 2015
Dr. Markus Knasmüller
Anhang A Rulebook – Überarbeitete Version
- 49 -
Anhang A Rulebook – Überarbeitete Version
In diesem Anhang findet sich eine überarbeitete Version des Rulebooks als Word-Datei
im Entwurfsmodus. Sämtliche in den vorhergehenden Abschnitten erwähnten
Verbesserungsvorschläge sind dabei eingearbeitet.