GUTACHTEN

zu einzelnen Fragestellungen im Rahmen des Projektes

E-Zustellung 2015

Arbeitspaket 5 (Recht/Rulebook)

erstellt von

Dr. Markus Knasmüller Allgemein beeideter und gerichtlich zertifizierter Sachverständiger

Leiter der Softwareentwicklung, BMD Systemhaus GmbH Steyr

knasmueller@bmd.at

im Auftrag von

AUSTRIAPRO

Wiedner Hauptstraße 63

A – 1045 Wien

Haag, Dezember 2015

GUTACHTEN

zu einzelnen Fragestellungen im Rahmen des Projektes

E-Zustellung 2015

Arbeitspaket 5 (Recht/Rulebook)

erstellt von

Dr. Markus Knasmüller Allgemein beeideter und gerichtlich zertifizierter Sachverständiger

Leiter der Softwareentwicklung, BMD Systemhaus GmbH Steyr

knasmueller@bmd.at

im Auftrag von

AUSTRIAPRO

Wiedner Hauptstraße 63

A – 1045 Wien

Haag, Dezember 2015

Inhaltsverzeichnis

Einleitung ......................................................................................................................................... 1

Gegenstand des Gutachtens ........................................................................................................... 1

Länderübergreifender Einsatz der e-Zustellung .............................................................................. 3

Updates für bereits vorgestellte Länder...................................................................................... 3

Deutschland ............................................................................................................................. 3

Schweiz .................................................................................................................................... 5

Italien ....................................................................................................................................... 5

Ungarn ..................................................................................................................................... 6

Slowenien ................................................................................................................................ 6

Tschechien ............................................................................................................................... 7

Slowakei ................................................................................................................................... 8

Norwegen ................................................................................................................................ 8

Dänemark ................................................................................................................................ 9

Finnland ................................................................................................................................. 10

Schweden .............................................................................................................................. 11

Estland ....................................................................................................................................... 12

EU-Verordnung .............................................................................................................................. 14

Überblick über die EU-Verordnung ........................................................................................... 14

Dienste für die Zustellung elektronischer Einschreiben ........................................................ 14

Notifizierung elektronischer Identifizierungssysteme .......................................................... 15

Elektronische Dokumente ..................................................................................................... 16

Elektronische Siegel ............................................................................................................... 17

Stand der Umsetzung ................................................................................................................ 18

Zusammenarbeit der Mitgliedsstaaten ................................................................................. 18

Interoperabilität .................................................................................................................... 20

Mindestanforderungen für die Sicherheitsstufen ................................................................. 21

Referenzformate für elektronische Siegel ............................................................................. 33

Stand der Umsetzung in Österreich ...................................................................................... 35

Auswirkungen auf das Rulebook ............................................................................................... 35

Änderungen/Erweiterungen beim Rulebook ................................................................................ 38

Certificate Pinning ..................................................................................................................... 38

Prüfung der zitierten Gesetze ................................................................................................... 38

Wirtschaftsportalverbund ............................................................................................................. 40

Einführung ................................................................................................................................. 40

Rulebook des WPV .................................................................................................................... 41

Zustelldienst als Identity Provider ............................................................................................. 42

Weitere Anregungen für das Rulebook der e-Zustellung .......................................................... 45

Zusammenfassung Änderungen Rulebook ................................................................................ 46

Ausblick.......................................................................................................................................... 47

Zusammenfassung ......................................................................................................................... 48

Anhang A Rulebook – Überarbeitete Version ............................................................................... 49

Einleitung

- 1 -

Einleitung

Im Rahmen des Projektes E-Zustellung werden die technischen und rechtlichen Belange

der kommerziellen elektronischen Zustellung ("elektronisches Einschreiben") behan-

delt. Die Wirtschaftskammer Österreich hat gemeinsam mit AUSTRIAPRO ein elektro-

nisches Zustellsystem entwickelt, das sowohl Unternehmen als auch Privatpersonen

nutzen können. Zustelldienste im Rahmen dieses standardisierten, offenen Systems

können von privaten Unternehmen/Organisationen betrieben werden, die einen Vertrag

mit der WKO unterschrieben und sich verpflichtet haben, alle notwendigen Spezifika-

tionen und Sicherheitskriterien zu erfüllen, wobei bisher ein Zustelldienst in Betrieb ist

(www.postserver.at). Das System der Zusammenarbeit mit den Zustelldiensten ist dabei

durch das Rulebook der Wirtschaftskammer Österreich „System private E-Zustellung in

Österreich“ geregelt.

Dieses Projekt wird laufend weiterentwickelt, wodurch auch 2015 verschiedene Arbeits-

pakete (AP) beauftragt wurden, unter anderem das Arbeitspaket 5, das in diesem

Gutachten behandelt wird. Der Sachverständige hat dabei bereits in den Jahren 2011 -

2014 jeweils ein Gutachten1 in diesem Zusammenhang erstellt, dieses Gutachten ist daher

eine Erweiterung der Vorjahresgutachten.

Angemerkt sei, dass Schwerpunkt des Projektes „e-Zustellung 2015“ ist, basierend auf

den in den Vorprojekten erarbeiteten und publizierten Ergebnissen (Spezifikation,

Rulebook, prototypische Entwicklungen, Programmbibliotheken etc.) und unter

Berücksichtigung des aktuellen Status (aus Sicht des Arbeitskreises sowie aus Sicht des

Marktes), eine Fokussierung auf das Thema „Verbreitung der privatwirtschaftlichen

elektronischen Zustellung“ sowie auf entsprechende Usecases in diesem Zusammenhang

zu legen.

Gegenstand des Gutachtens

Analog zu den Vorprojekten werden im Arbeitspaket Recht/Rulebook folgende Themen

bearbeitet: Länderübergreifender Einsatz der E-Zustellung und deren rechtliche

Rahmenbedingungen sowie die Überprüfung, inwieweit Neuerungen aus den

Arbeitspaketen 3, 4 (Fachlich, Usecases und Technik) und 6 (Spezifikation) Relevanz für

das Rulebook haben und Ausarbeitung entsprechender Erweiterungs- bzw.

Änderungsvorschläge.

Ein weiteres Schwerpunktthema stellt der rechtliche Konnex zum Thema

Wirtschaftsportalverbund dar. Im entsprechenden Arbeitskreis der AUSTRIAPRO wird

ein Rulebook zu diesem Thema entwickelt: die Verbindungen zwischen den Themen sind

im Rulebook der e-Zustellung entsprechend zu berücksichtigen.

1 In den Jahren 2013/14 wurde ein gemeinsames Gutachten für beide Jahre erstellt.

Gegenstand des Gutachtens

- 2 -

Im Rahmen eines Gespräches mit Dr. Gerhard Laga als Vertreter von AUSTRIAPRO

wurden die Themen des Gutachtens wie folgt genauer spezifiziert:

Länderübergreifender Einsatz der e-Zustellung (primär EU), rechtliche

Bedeutung etc. Bereits 2012 wurden für die wichtigsten Nachbarländer

Österreichs die Regeln für die E-Zustellung herausgearbeitet, damit eine Basis

gelegt werden kann für einen länderübergreifenden Einsatz der e-Zustellung.

Diese Arbeit soll entsprechend angepasst werden, sofern sich die gesetzlichen

Rahmenbedingungen, geändert haben. Außerdem sollte dieser Länderteil um

Estland erweitert werden.

EU-Verordnung: Die im Jahr 2015 erschienen Durchführungsrechtsakte zur

Verordnung über die elektronische Identifizierung und Vertrauensdienste für

elektronische Transaktionen im Binnenmarkt sollen näher untersucht und darauf

aufbauend sollen eventuelle Auswirkungen bzw. Vorschläge für das Rulebook

entsprechend erarbeitet werden.

Änderungen/Erweiterungen beim Rulebook: Beim jetzigen Stand des

Rulebooks sind noch einige Änderungen/Erweiterungen vorzunehmen:

o Verpflichtendes Certificate Pinning

o Prüfung ob die zitierten Gesetze und Paragraphen noch am aktuellen Stand

sind

Wirtschaftsportalverbund. Der Wirtschaftsportalverbund (WPV) soll eine

Kooperationsbasis für verschiedene Dienstanbieter der Wirtschaft im Internet

darstellen, um elektronische Geschäftsprozesse sicherer und effizienter als bisher

abwickeln zu können. Ein eigener Arbeitskreis von AUSTRIAPRO beschäftigt

sich mit dieser Thematik. Insbesondere wird überlegt, ob der Zustelldienst als

Identity-Provider auftreten soll und Auswirkungen auf das Rulebook in diesem

Zusammenhang sollten untersucht werden.

Jedem dieser Fragenkomplexe ist in Folge ein Abschnitt gewidmet. Außerdem wurden

die vorgeschlagenen Änderungen am Rulebook auch gleich in dieses eingearbeitet.

Dementsprechend befindet sich eine entsprechende Word-Datei im Entwurf-Modus im

Anhang A des Gutachtens.

Für die Durchführung des Auftrags und unsere Verantwortlichkeit sind, auch im

Verhältnis zu Dritten, die allgemeinen Bedingungen des Fachverbandes für Unterneh-

mensberatung und Datenverarbeitung der Bundeswirtschaftskammer, vereinbart.

Länderübergreifender Einsatz der e-Zustellung

- 3 -

Länderübergreifender Einsatz der e-Zustellung

Bereits im e-Zustellungsprojekt des Jahres 2012 wurde ein guter Überblick über die

Regeln der e-Zustellung für die wichtigsten Nachbarländer Österreichs gegeben, damit

die Basis für einen länderübergreifenden Einsatz gelegt werden kann. Im Gutachten für

die Jahre 2013 und 2014 wurde dieses Kapitel erweitert, einerseits um Updates für die

bereits vorgestellten Länder, andererseits um Berichte über die skandinavischen Länder.

Im folgenden Abschnitt wird dabei wieder präsentiert, ob sich in den einzelnen Ländern

die Situation diesbezüglich geändert hat. Außerdem wird das Gutachten um Estland

ergänzt. Anlässlich des Inkrafttretens der EU-Verordnung Nr. 910/2014 wurde in der

Presseaussendung dieses Land als Musterland für die e-Zustellung erwähnt, seit zwölf

Jahren kennt es Systeme wie die E-Id. Daher war eine Erweiterung des Länderabschnittes

um dieses Land von Interesse.

Allgemein kann darauf hingewiesen werden, dass es ein dem deutschen De-Mail Gesetz2

vergleichbares Gesetz in den anderen Ländern meist so nicht gibt. Dennoch gibt es oft

Ansätze ähnlicher Gesetze oder Verordnungen oder es sind auch Gesetze, die

grundsätzlich für traditionelle Medien gedacht waren, sinngemäß auf elektronische

Medien anzuwenden. Die folgenden Informationen stammen dabei aus Recherchen des

Sachverständigen, bei denen er aber von den jeweiligen Außenwirtschaftscentern der

Wirtschaftskammer unterstützt wurde. Angemerkt sei, dass der Großteil der Informa-

tionen leider nur in Landessprache zur Verfügung steht.

Updates für bereits vorgestellte Länder

Wie bereits erwähnt sind die Länder Deutschland, Schweiz, Italien, Ungarn, Slowenien,

Tschechien, Slowakei, Norwegen, Dänemark, Finnland und Schweden bereits in den

vergangenen e-Zustellungsprojekten näher durchleuchtet worden. Daher sind für diese

Länder im Folgenden nur kurze Abschnitte, die insbesondere auf etwaige Veränderungen

eingehen, enthalten. Detailliertere Hinweise finden sich in den Gutachten für die Jahre

2012 bzw. 2013/14.

Deutschland

Das deutsche De-Mail Gesetz ist eine Lösung für eine sichere Onlinekommunikation, die

das rechtsverbindliche und vertrauliche Versenden von Dokumenten und Nachrichten

über das Internet ermöglicht. Die De-Mail kann dabei sowohl bei der Kommunikation

mit der öffentlichen Verwaltung als auch zwischen Privaten zur Anwendung gelangen.

Die gesetzlichen Grundlagen sind dabei schon in den bisherigen e-Zustellungsprojekten

ausführlich vorgestellt worden. Das De-Mail-Gesetz ist zuletzt am 7. August 2013

geändert worden, wobei die Änderungen eher gering waren.

2 Mit diesem haben sich insbesondere die E-Zustellungsprojekte 2010 und 2011 intensiv beschäftigt

Länderübergreifender Einsatz der e-Zustellung

- 4 -

Anzumerken ist, dass sich trotz aller Unterstützung von Gesetzgeberseite De-Mail noch

nicht wirklich verbreitet hat. Dies, obwohl die Kosten für De-Mail im Laufe der Zeit

deutlich reduziert wurden. War anfangs nur ein geringes Kontingent von De-Mails pro

Monat kostenfrei, haben GMX und web.de bei der CeBIT 2014 bekanntgegeben, dass

eine unbegrenzte Anzahl von De-Mails für Privatkunden kostenfrei ist.

Interessant sind in diesem Zusammenhang aber auch die Preise für klein- und

mittelständische Unternehmen, die von der Telekom angeboten werden. Business De-

Mail 25 ist ein Angebot für Selbstständige, kleine und mittelständische Firmen, die über

den Internetbrowser auf ihr De-Mail-Postfach zugreifen. Die Kosten dafür sind monatlich

nur 4,95 Euro3.

Auf der Homepage des Beauftragten der Bundesregierung für Informationstechnik wird

über Aktuelle Neuigkeiten bezüglich De-Mail berichtet4:

Anschluss der Bundesbehörden an zentrales De-Mail-Gateway: Gegenwärtig

werden die Behörden des Bundes schrittweise an das zentral betriebene De-Mail-

Gateway des Bundes angeschlossen. Die Behörden, die dem Informationsverbund

Berlin-Bonn (IVBB) oder dem Informationsverbund der Bundesverwaltung

(IVBV) angehören, sind durch das "Gesetz zur Förderung der elektronischen

Verwaltung sowie zur Änderung weiterer Vorschriften" (E-Government-Gesetz)

verpflichtet, bis zum 24. März 2016 einen Zugang für De-Mail zur Verfügung zu

stellen.

Integrationsunterstützung für Bundesbehörden: Bundesbehörden können De-

Mail-Dienste und -Komponenten über einen Rahmenvertrag des Bundes beziehen

und Beratungsleistungen in Anspruch nehmen, die über zentrale Mittel des BMI

finanziert werden, so dass ihnen hierfür keine Kosten entstehen.

Bundesinnenministerium hat De-Mail-Zugang eröffnet: Das Bundesinnen-

ministerium hat seinen Zugang für De-Mails im August 2015 eröffnet und in

einem ersten Schritt ein zentrales De-Mail-Postfach eingerichtet. Im Frühjahr

2016 ist eine Evaluierung der momentanen Erprobungsphase vorgesehen. Danach

wird über den weiteren Ausbau des De-Mail-Systems im BMI entschieden.

3 https://geschaeftskunden.telekom.de/startseite/cloud-loesungen/zusammenarbeit/e-mail-loesungen/de-

mail/113562/de-mail-web-25.html 4 http://www.cio.bund.de/Web/DE/Innovative-Vorhaben/De-

Mail/de_mail_node.html#doc4623478bodyText3

Länderübergreifender Einsatz der e-Zustellung

- 5 -

Schweiz

Das Schweizerische Recht kennt nur sehr wenige Gesetzesbestimmungen, die

ausdrücklich internet- und informatikspezifische Sachverhalte regeln. Vielmehr werden

bestehende Gesetze (Obligationenrecht, Geschäftsbücherverordnung) auch auf solche

Sachverhalte angewendet. Ein eigenes Gesetz, vergleichbar dem Ausmaß des deutschen

De-Mail-Gesetz, gibt es demnach in der Schweiz nicht, die Gesetzeslage hat sich

diesbezüglich auch 2015 nicht geändert. Es existieren jedoch einzelne Gesetze und

Vorschriften, welche in diese Richtung zielen.

Die mit dem De-Mail-Gesetz vergleichbarste Regelung in der Schweiz ist die sogenannte

Verordnung über die elektronische Übermittlung im Rahmen eines Verwaltungs-

verfahrens vom 18. Juni 20105. Diese Verordnung regelt die Modalitäten des

elektronischen Verkehrs zwischen einer Partei und einer Verwaltungsbehörde im

Rahmen von Verfahren. Auf Grund dieser Verordnung können seit dem 1. Jänner 2011

Eingaben an Behörden und Gerichte generell auch elektronisch übermittelt werden. Diese

Übermittlungen erfolgen am einfachsten über eine anerkannte Plattform.

Für die Anerkennung ist dabei das Eidgenössische Finanzdepartement (EFD), und dort

das Informatikstrategieorgan Bund (ISB), zuständig. Die Anerkennung stützt sich auf

einen Kriterienkatalog6, der in Zusammenarbeit mit dem Bundesamt für Justiz (BJ) des

Eidgenössischen Justiz- und Polizeidepartements (EJPD) und externen Spezialisten

erarbeitet worden ist.

Basierend auf diesen Kriterienkatalog sind derzeit in der Schweiz vier Plattformen

anerkannt:

- Zustellplattform der Firma Privasphere: https://www.privasphere.com/

- Zustellplattform der Schweizerischen Post: IncaMail Version 3.0

- Zustellplattform des Kantons Bern

- Eingabeplattform Open eGov Secure Inbox System für die Bundesverwaltung:

OSIS-BV betreiben von der Firma fence IT AG im Auftrag des Bundesamts für

Justiz

Die ersten beiden Plattformen können dabei auch für den Austausch von Nachrichten

zwischen Unternehmen (oder natürlichen Personen) verwendet werden.

Italien

Die italienischen Bestimmungen, die sich 2015 nicht geändert haben, sind diesbezüglich

sehr fortschrittlich. Alle italienischen Gesellschaften müssen seit dem 29. November

5 http://www.admin.ch/ch/d/as/2010/3031.pdf 6

http://www.isb.admin.ch/themen/sicherheit/00530/01200/index.html?lang=de&download=NHzLpZeg7t,ln

p6I0NTU042l2Z6ln1acy4Zn4Z2qZpnO2Yuq2Z6gpJCEd4F6fmym162epYbg2c_JjKbNoKSn6A--&t=.pdf

Länderübergreifender Einsatz der e-Zustellung

- 6 -

2011 über eine eigene, zertifizierte E-Mail Adresse („PEC – Posta elettronica

certificata“) verfügen (Gesetzesdekret Nr. 185/2008, Art. 16, Gesetz Nr. 2/20097). Seit

1.7.2013 besteht diese Verpflichtung darüber hinaus für alle Einzelunternehmer.

Eine zertifizierte E-Mail ist rechtlich einem eingeschriebenen Brief mit Rückschein

(„raccomandata con ricevuta di ritorno“) gleichgestellt und soll den Schriftverkehr mit

Einschreiben ersetzen. Sie ist rechtsverbindlich, sofern von einer zertifizierten an eine

andere zertifizierte E-Mail Adresse gesendet wird. Dazu müssen Sender und Empfänger

der E-Mail ein zertifiziertes elektronisches Postfach mit Empfangsbestätigung einrichten.

Das Ministerium für wirtschaftliche Entwicklung hat zudem ein Register aller PEC-

Adressen von Unternehmen und Freiberuflern eingerichtet (Indice Nazionale degli

Indirizzi di Posta Elettronica Certificata INI-PEC), das auch online zur Verfügung steht

und kostenlos konsultiert werden kann: www.inipec.gov.it

Etwa können auch Forderungsanmeldungen in Konkursverfahren grundsätzlich nur mehr

per PEC übermittelt werden. Ausländische Unternehmen können zu diesem Zweck über

das Portal www.portalecreditori.it eine PEC einrichten.

Ungarn

Wie das Zentralamt für Verwaltungsbehördliche und Elektronische Öffentliche

Dienstleistungen – KEEKH8 - bestätigt hat, gibt es in Ungarn derzeit kein Rahmengesetz

über die elektronische Zustellung vergleichbar etwa dem De Mail Gesetz Deutschlands.

Zwar wurden diesbezüglich im Jahre 2009 zwei Gesetze vom Parlament verabschiedet –

das Gesetz Nr. LII von 2009 über die elektronische Zustellung von behördlichen

Dokumenten und den elektronischen Empfangsschein sowie das Gesetz Nr. LX über die

elektronische öffentliche Dienstleistung, die beiden Gesetze wurden jedoch von Juristen

scharf kritisiert und letztendlich durch das Gesetz Nr. CLXXIV von 2011 außer Kraft

gesetzt. Daher wird die elektronische Zustellung mit einer Allgemeingültigkeit bis dato

nicht reguliert, wobei sich diesbezüglich allerdings etwas bewegen könnte, da heuer die

Regierung den Vorschlag an das Parlament unterbreitet hat das Gesetz III aus 1952

entsprechend zu novellieren. Dieses regelt unter anderem auch die elektronische

Kommunikation der Gerichte mit den Parteien.

Slowenien

Die gesetzlichen Rahmenbedingungen, die in Slowenien schon vor längerer Zeit (2000)

geschaffen wurden, haben sich 2015 nicht geändert. Die elektronische Zustellung

behandeln die nachfolgenden Gesetze:

Gesetz über die elektronische Kommunikation (Zakon o elektronskih komunikacijah-ZEKom-UPB19)

7 http://www.altalex.com/index.php?idnot=44643 8 http://www.kekkh.gov.hu/en/

Länderübergreifender Einsatz der e-Zustellung

- 7 -

Gesetz über den elektronischen Geschäftsverkehr und der elektronischen Unter-

schrift (Zakon o elektronskem poslovanju in elektronskem podpisu - ZEPEP10)

Darin wird auch geregelt, dass Firmen, die Dienstleistungen des sicheren elektronischen

Zustellens durchführen dürfen, seitens des obersten Gerichtes in Slowenien akkreditiert

werden müssen. Dies sind derzeit nur zwei Firmen:

Pošta Slovenije d.o.o., Slomškov trg 10, Maribor

(http://www.posta.si/novica/28334/VROCANJE-PO-

ZPP?nodeid=1397&page=1&year=0)

EIUS d.o.o., Vrtna ulica 22, 1000 Ljubljana

(http://www.eius.si/index.php/izpostavljeno)

Ergänzend sei auch festgehalten, dass nach oben erwähntem ZEPEP-Gesetz die

Benützung einer elektronischen Signatur bei juristischen Personen für die Kommunika-

tion mit der Steuerbehörde zwingend notwendig ist.

Private Initiativen, wie etwa das Rulebook für die E-Zustellung in Österreich, sind in

Slowenien nicht bekannt.

Tschechien

Am 1. Juli 2009 wurde das Gesetz Nr. 300/2008 Sb. über die elektronischen Funktionen

und die autorisierte Dokumentenkonvertierung wirksam. Aufgrund des Gesetzes wird ein

elektronischer Briefkasten, eine „Datenbox“, eingeführt. Alle juristischen Personen, die

im tschechischen Handelsregister eingetragen sind, sowie ausländische Zweig-

niederlassungen, sind seit dem Jahre 2010 verpflichtet, eine „Datenbox“ einzurichten. Für

die Gründung und Verwaltung dieser Datenbox ist das Innenministerium verantwortlich.

Die Einrichtung der Datenbox erfolgt auf einem dafür vorgesehenen Formular auf der

Webseite www.datoveschranky.info.

Die Organe der staatlichen Verwaltung (d.h. staatliche Organe, Gerichte, Gemeinden und

Kreise, der Bodenfonds der Tschechischen Republik, die Gesundheitsversicherung,

Exekutoren etc.) sind verpflichtet, mit den juristischen Person über den elektronischen

Briefkasten zu kommunizieren bzw. sämtliche Schriftstücke in elektronischer Form an

diese Datenbox zuzustellen. Nachrichten, und zwar auch eigenhändig zuzustellende

Nachrichten, gelten zum Zeitpunkt der Anmeldung der berechtigten Person bzw. einer

beauftragten Person in der Datenbox als zugestellt.

Die gesetzlichen Grundlagen haben sich dabei in den letzten Jahren nicht nennenswert

geändert.

9 http://www.pisrs.si/Predpis.aspx?id=ZAKO3781&pogled=osnovni 10 http://www.uradni-list.si/1/objava.jsp?urlid=200498&stevilka=4284

Länderübergreifender Einsatz der e-Zustellung

- 8 -

Slowakei

Den Bereich der elektronischen Kommunikation (und damit auch zumindest ansatzweise

der elektronischen Zustellung) in der Slowakei regelt das Gesetz Nr. 351/2011 Ges. Slg.

über elektronische Kommunikation. Dabei wird allerdings vermehrt Augenmerk gelegt

auf einen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste und die

Genehmigung dieser. Auch wird insbesondere auf die Verarbeitung personenbezogener

Daten und den Schutz der Privatsphäre eingegangen, ebenso wird auf die nicht

erwünschte Zustellung eingegangen. Strafen werden ebenso geregelt, die bei Nicht-

erfüllung oder Verletzung der Pflichten durchaus hoch (bis zu Euro 300.000,-) sein

können.11

Vergleichbare Regelungen wie etwa in Tschechien betreffend der E-Zustellung oder auch

private Initiativen ähnlich dem Rulebook in Österreich konnte der Sachverständige in der

Slowakei nicht finden. Die gesetzlichen Grundlagen haben sich dabei auch in den letzten

drei Jahren nicht nennenswert geändert.

Norwegen

Norwegen ist sehr fortschrittlich im Bereich der e-Zustellung, da die Regierung darauf

abzielt die private e-Zustellung auch im Rahmen des e-Governments abzubilden12.

Die Vorschrift über elektronische Kommunikation mit und in der Verwaltung

(„eForvaltningsforskriften“13) regelt die gesetzlichen Rahmenbedingungen der elektro-

nischen Zustellung in Norwegen betreffend der Verwaltung, wobei viele Behörden,

Regionen und Gemeinden in Norwegen elektronische Dienste anbieten.

Seitens des Direktorats für Verwaltung und IKT Difi (www.difi.no) wurde dabei auch

eine elektronische ID (e-ID) entwickelt, wobei diese auf der Definition von PEPPOL

basiert14. Dabei gibt es derzeit vier Anbieter in Norwegen, wobei jeder Bürger frei

wählen kann, welchen Anbieter er nutzen möchte:

- Min ID seitens der Behörden

- Bank ID seitens der Banken

- Buypass seitens eines privaten Anbieters

- Commfidese seitens ebenfalls eines privaten Anbieters

Mit Hilfe der e-ID ist für Betriebe und Bürger auch ein Einloggen über das Behörden-

Portal Altinn.no möglich. Dieses Portal dient bereits seit 2003 für die Vereinfachung

11 Eine englische Arbeitsübersetzung des Gesetzes kann der Homepage des Ministeriums für Verkehr, Bau

und Regionale Entwicklung, das auch für den Bereich Post und Telekommunikation zuständig ist,

entnommen werden: http://www.telecom.gov.sk/index/index.php?ids=5891&lang=en 12 Programm unter

http://www.regjeringen.no/upload/FAD/Kampanje/DAN/Regjeringensdigitaliseringsprogram/digit_prg_en

g.pdf in englischer Sprache abrufbar. 13 http://lovdata.no/dokument/SF/forskrift/2004-06-25-988 14 Die Thematik PEPPOL wurde bereits im Projekt e-Zustellung 2011 umfassend behandelt.

Länderübergreifender Einsatz der e-Zustellung

- 9 -

diverser Dienste (z.B. Registrierung von Firmen, Abgabe von Steuererklärungen…) und

bietet über 200 derartige Dienste (mit den entsprechenden Formularen) an. Details zu

diesen Diensten finden sich am Portal Norge.no. Bereits 3,5 Millionen Benutzer (bei nur

rund 5 Millionen Einwohnern) nutzen dieses Service15 und haben damit auch eine

elektronische ID. Allerdings verwenden davon ca. 2,7 Millionen nur die sogenannte „Min

ID“16, die allen volljährigen Norwegern von den Behörden per Post zugesendet wurde.

Benutzern einer e-ID wird seitens der Norwegischen Post mittels Digipost17 kostenfrei

ein sicherer elektronischer Briefkasten angeboten. Mit diesem kann sämtliche

elektronische Post, egal ob von Behörden, Betrieben oder Privaten, gesammelt werden,

ab 1. Jänner 2016 bekommen nur mehr jene Bürger offizielle Mitteilungen in Papierform,

wenn sie sich gegen die digitale Post ausgesprochen haben.

Interessant ist, dass Ende 2014 geplant war in einem neuen Postgesetz Mindestansprüche

für „sichere digitale Post“ zu regeln. Dies wurde aber dann nicht umgesetzt, da im

Rahmen einer Begutachtung festgestellt wurde, dass es keinen Bedarf für eine derartige

gesetzliche Regelung gibt.

Der Vollständigkeit halber seien für die Abwicklung auch noch das Gesetz über

elektronische Signatur („eSignaturloven“18) und das Datenschutzgesetz

(„Personoplysingsloven“) erwähnt.

Dänemark

Dänemark weist einen sehr fortschrittlichen Status diesbezüglich auf, da der dänische

Staat mit seiner Digitalisierungsstrategie19 seit 2011 die komplette Digitalisierung

Dänemarks im Auge hat. Darin wird unter anderem folgendes Ziel definiert: „No more

printed form or letters: Applications, reports, letters and all other written communication

with both citizens and companies must by default be digital“. Für die Umsetzung der

Strategie ist die Digitaliseringsstyrelsen20 (Danish Agency for Digitisation)

verantwortlich.

Insbesondere ist hervorzuheben, dass auf Grund des Gesetzes über öffentliche digitale

Post21 jeder dänische Bürger, der über 15 Jahre ist und eine offizielle Personennummer

(CPR-Nummer – Zentraler Personenregister) hat, ab 1. November 2014 einen digitalen

Briefkasten haben muss, um Post von der öffentlichen Behörde (z.B. auch Gemeinden)

enthalten zu können22. Die Website borger.dk dient dabei dazu, die digitale Post der

15 Nähere Informationen dazu können dem Bericht http://www.difi.no/filearchive/national-common-

components-en.pdf entnommen werden. 16 http://www.difi.no/artikkel/2012/04/how-to-use-minid 17 http://www.digipost.no 18 http://lovdata.no/dokument/NL/lov/2001-06-15-81 19

http://www.digst.dk/Digitaliseringsstrategi/~/media/Files/Digitaliseringsstrategi/Tilgaengelig_engelsk_strat

egi.pdff 20 http://www.digst.dk/Servicemenu/English 21 https://www.retsinformation.dk/Forms/R0710.aspx?id=142234 22 Ausnahmen für Sonderfälle, wenn kein Internetzugang möglich ist, sind vorhanden.

Länderübergreifender Einsatz der e-Zustellung

- 10 -

öffentlichen Stellen zu erhalten. Ebenso können über diese Webseite selbst digitale

Einreichungen (z.B. Umzugsmeldungen, Schulanmeldungen, …) vorgenommen werden.

Dieser notwendige digitale Briefkasten für den Verkehr mit den Behörden kann dabei

auch mit der sogenannten e-Boks (www.e-boks.dk) kombiniert werden. Dabei handelt es

sich um einen der größten Anbieter, wobei damit auch private (elektronische) Post

empfangen und gesendet werden kann. Der Dienst e-Boks hat (Stand November 2015)

bereits mehr als 5 Millionen Kunden. Diese weite Verbreitung der (auch privaten) e-

Zustellung wird sicherlich noch deutlich ausgebaut werden, da mit dem verpflichtenden

digitalen Briefkasten noch mehr Interessenten dafür entstehen werden.

Außerdem steht die nächste Strategie 2016-2020 in den Startlöchern, diese soll den Fokus

verschärft auf die Wirtschaft richten und hat folgende Ziele:

- Ein produktiver und effizienter öffentlicher Sektor

- Wertsteigender öffentlicher Dienst für Bürger und Unternehmer

- Öffentliche Digitalisierung muss ein Wirtschaftswachstum unterstützen

Nähere Informationen werden auf der Homepage

http://www.digst.dk/Servicemenu/English/Policy-and-Strategy/New-Digital-Strategy

veröffentlicht werden. Dort findet sich auch ein kurzes Video (englische Untertitel) mit

Interviews, das eindrücklich erklärt, worum es Dänemark in der neuen Strategie geht.

Finnland

Mit 1.1.2015 trat das neue Gesetz „Information Society Code“23, welches das bisherige

Gesetz Act on the Protection of Privacy in Electronic Communications24 ersetze, in Kraft.

Es regelt die Rahmenbedingungen für die e-Zustellung in Finnland. Diese unterscheiden

sich nicht wirklich grundlegend von denen in den anderen Ländern.

Für die elektronische Zustellung in Finnland steht das System NetPosti25 (der Firma

Posti) zur Verfügung. Damit können Briefe von Behörden, lokalen Gesundheitszentren

oder auch Rechnungen von Firmen elektronisch empfangen werden. Die empfangenen

Nachrichten können dabei kostenfrei sieben Jahre lang in beliebigem Format aufbewahrt

werden.

Es ersetzt dabei aber kein E-Mail, da nur Firmen und Organisationen Nachrichten per

NetPosti versenden können. Dies sind derzeit 10.000 Sender, ein bei NetPosti registrierter

User kann dabei entscheiden, von welchen dieser 10.000 Sender er die Post elektronisch

über dieses System erhalten möchte. Grundsätzlich funktioniert es so, dass die

Organisationen deren Post in elektronischer Form an Posti liefern. Dann wird kontrolliert

ob der Empfänger ein NetPosti-Fach, welches zum Empfang von elektronischen

Nachrichten dieser Organisation bereit ist, hat. In diesem Fall wird die Nachricht

elektronisch zugestellt, ansonsten wird sie ausgedruckt und als normaler Brief versendet.

23 https://www.finlex.fi/en/laki/kaannokset/2014/en20140917.pdf 24 http://www.finlex.fi/en/laki/kaannokset/2004/en20040516.pdf 25 http://www.posti.fi/english/servicesonline/Netposti/

Länderübergreifender Einsatz der e-Zustellung

- 11 -

Sobald eine Nachricht eingetroffen ist, erhält der Benutzer ein E-Mail (optional ist gegen

Aufpreis auch eine SMS möglich). Da der Postweg erspart wird, ist diese Methode auch

um ein oder zwei Werktage schneller. Dabei ist das Empfangen auch über eine mobile

App möglich. Das Empfangen von Nachrichten ist kostenfrei, jeder finnische Bürger über

15 Jahre, der eine finnische Postadresse und Sozialversicherungsnummer hat, kann einen

Zugang beantragen.

Die Funktionsweise ist dabei sehr einfach, die Dokumente werden im Browser angezeigt,

es ist möglich diese in Ordner zu verschieben oder auch lokal zu speichern. Zu den

einzelnen Nachrichten können Notizen geschrieben werden, ebenso ist es möglich sich

Erinnerungsmarkierungen zu setzen. Rechnungen werden mit einem speziellen Symbol

(Eurozeichen) dargestellt und es ist möglich das Telebanking direkt aus der Applikation

zu starten. Die Rechnungen können dann auch (manuell) als bezahlt markiert werden.

Schweden

In Schweden bieten viele staatlichen Behörden, Provinziallandtage/Regionen und

Kommunen elektronische Dienste für ihre Bürger an.

Seit Herbst 2013 betreibt etwa das schwedische Steueramt das Web-basierte Postfach

„Mina Meddelanden“ (meine Mitteilungen), welches unter der Web-Adresse

http://minameddelanden.se/) erreichbar ist. Über dieses Postfach können eine Reihe von

öffentlichen Stellen (Arbeitsvermittlung (Arbetsförmedlingen), das Firmenregist-

rierungsamt (Bolagsverket), das Sozialversicherungsamt (Försäkringskassan), das

Pensionsversicherungsamt (Pensionsmyndigheten), das Finanzamt (Skatteverket), das

Pensionsamt für Staatsbedienstete (Statens tjänstepensionsverk - SPV), das Zentralamt

für Transport (Transportstyrelsen), Zollverwaltung(Tullverket) sowie die Gemeinden

Tomelilla und Värnamo) mit Bürgern und Unternehmen Informationen und Dokumente

in elektronischer Form austauschen, vorläufig noch auf rein freiwilliger Basis. Der

Benutzer wählt auch selbst, welche Art der Benachrichtigung er bei neuen Sendungen an

„Mina Meddelande“ gerne haben möchte, d.h. per SMS oder E-Mail.

Weiters gibt es auch den Briefkasten des Staates:

Statens brevlåda – Briefkasten des Staates - http://minmyndighetspost.se/: für die

E-Mails der Behörden und Gemeinden

Außerdem Briefkästen mittels denen die E-Mails von Behörden, Gemeinden und

Unternehmen übermittelt werden:

Digimail - http://digimail.se/

Kivra - http://www.kivra.com/

Länderübergreifender Einsatz der e-Zustellung

- 12 -

Estland

Estland ist bekannt als ein digitales Land, so gibt es einen öffentlich freien

Internetzugang fast überall und die IKT Tools werden in fast jedem Lebensbereich

genutzt. Auch wird Estland in Bezug auf e-Zustellung immer als europäisches

Vorzeigeland genannt. Aus diesem Grund wird in diesem Gutachten die Situation der e-

Zustellung in diesem baltischen Land näher angesehen26.

Tatsächlich werden in Estland Steuererklärung, Behördengänge, Bildungswesen, Medizin

(Patientenberichte, Rezepte), Handelsregister, Rechnungswesen usw. per Internet

erledigt. Sogar die Wahl kann von daheim per Computer oder Smartphone erfolgen. Der

Grundstein dafür ist die elektronische ID-Karte, die 2002 eingeführt wurde. Diese Karte,

die 1.1 der 1.3 Millionen Einwohner Estlands (also nahezu 90%) besitzen, beinhaltet

einen Chip mit einer 2.048-bit Verschlüsselung und dient als Ausweis, Reisedokument

und Sozialversicherungskarte, sowie als Zugriffskarte für alle digitalen Dienste27. Auch

eine sogenannte „Mobil-ID“ für das Smarthpone ist erhältlich. Die mit der ID-Karte

verbundene digitale Unterschrift ist der physischen Unterschrift gleichgestellt. Nähere

Informationen dazu finden sich unter id.ee/index.php?id=30500 (ID-Karte) und

id.ee/index.php?id=36882 (Mobil-ID), sowie im Gesetz zur digitalen Unterschrift28.

Die ID-Karte können auch seit 1. Dezember 2014 nicht in Estland ansässige Personen

erhalten29, wobei diese dann natürlich nicht als Ausweis gilt. Dies soll Estland für neue

Unternehmen und Kunden attraktiv machen und so die Verwaltung von Unternehmen mit

ausländischer Beteiligung sowie die Kommunikation zwischen estnischen Unternehmen

und ausländischen Kooperationspartnern wesentlich vereinfachen.

Gerade die Kommunikation ist natürlich ein ganz wesentlicher Punkt bei all diesen

Bemühungen. Verbunden mit der ID-Karte ist auch eine E-Mail-Adresse die nur mit

dieser Karte zugänglich ist. Darauf aufbauend wurde auch SecureMAIL von der

estnischen Firma BHC Laboratory entwickelt. Dabei wird kompatibel mit allen Mail-

Programmen ein Hardware-Token verwendet um „sichere“ Mail-Kommunikation zu

erreichen. Nähere Infos dazu können unter

http://www.bhclab.com/en/services/col3/securemail gefunden werden. Die Kommuni-

kation mit den Gerichten ist ähnlich dem österreichischen elektronischen Rechtsverkehr

über das System e-File30 möglich.

Auch gibt es darauf aufbauend eine Portallösung um Dokumente sicher und signiert

auszutauschen, dafür ist https://digidoc.ee/?f=chg_lang&lang=en anzuwenden. Anzu-

merken ist dabei jedoch, dass hierbei eigene Dateiformate verwendet werden: BDOC für

26 Unterstützt durch Frau Kerttu Taidre von der Außenhandelsstelle der österreichischen

Wirtschaftskammer in Tallinn (tallinn@advantageaustria.org). 27 https://e-estonia.com/?component=electronic-id-card 28 In Englisch verfügbar unter https://www.riigiteataja.ee/en/eli/508072014007/consolide 29 Die Beantragung ist über den Link http://vm.ee/en/estonian-e-residency-how-apply möglich. Mit Stand

November 2015 haben dies bereits mehr als 5.000 Personen wahrgenommen 30 http://www.rik.ee/en/e-file

Länderübergreifender Einsatz der e-Zustellung

- 13 -

signierte Dokumente und CDOC für verschlüsselte Dokumente. Beide Formate sind

inkompatibel mit vergleichbaren Standards wie PGP. Dies bedeutet, dass eine estnische

ID-Card nötig ist, um die Signatur zu überprüfen, bzw. das Dokument zu entschlüsseln.

Eine Übersicht über alle Möglichkeiten von e-Estland (in englischer Sprache) gibt die

Homepage https://e-estonia.com. Die überaus fortschrittliche Stellung von Estland in

diesem Zusammenhang kann auch durch folgendes Zitat präsent gemacht werden:

“The only thing you can’t do online is get married or buy a house! However, contracts

for these activities can be generated online, ready for download and signature when you

visit the public notary’s office.”

Annela Kiirats, eGovernance Academy, Estonia31

Auch an Weiterentwicklungen, etwa die Aufnahme von biometrischen Details in die ID-

Card ab 2017, ist schon gedacht.

Daneben gibt es auch privatwirtschaftliche Plattformen zum Austausch von Dokumenten.

Etwa bietet ein estnisches Startup die Plattform www.signwise.me an. Dabei können

Dokumente hochgeladen und anderen Usern zur Verfügung gestellt werden. Die User

können dabei die Dokumente auch unterschreiben. Sobald die Dokumente unterschrieben

oder angesehen worden sind, werden diese unveränderbar gespeichert. Business-Zugänge

zu dieser Plattform mit einer unlimitierten Anzahl von Transkationen kosten 50,- Euro

monatlich.

31 Siehe Report über eID: https://www.secureidentityalliance.org/index.php/resources

EU-Verordnung

- 14 -

EU-Verordnung

Nach jahrelangen Arbeiten daran wurde am 23.7.2014 die Verordnung (EU) Nr.

910/2014 des europäischen Parlaments und des Rates über elektronische Identifizierung

und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt32 beschlossen.

Die Inhalte der Verordnung wurden im Gutachten für die Jahre 2013/14 ausführlich

behandelt.

Im heurigen Jahr wird dabei näher aus die Umsetzung eingegangen. Zu diesem Zweck

wird zuerst noch einmal ein kurzer Überblick über die für dieses Projekt relevanten Teile

der Verordnung gegeben, wobei auch angegeben wird, ab wann diese Punkte in Kraft

treten.

Darauf aufbauend wird in weiterer Folge für diese Punkte der Stand der Umsetzung

behandelt. Eventuelle Auswirkungen auf das Rulebook runden den Abschnitt ab.

Überblick über die EU-Verordnung

Laut Artikel 1 der Verordnung legt sie zuerst fest unter welchen Bedingungen die

Mitgliedsstatten elektronische Identifizierungsmittel für natürliche und juristische

Personen, die einem notifizierten elektronischen Identifizierungssystem eines anderen

Mitgliedstaats unterliegen, anerkennen. Ferner werden Vorschriften für Vertrauens-

dienste – insbesondere für elektronische Transaktionen – und ein Rechtsrahmen für

elektronische Signaturen, elektronische Siegel, elektronische Zeitstempel, elektronische

Dokumente, Dienste für die Zustellung elektronischer Einschreiben und

Zertifizierungsdienste für die Website-Authentifizierung festgelegt. Artikel 52 legt das

Inkrafttreten der Verordnung fest, wobei im Regelfall die Verordnung ab 1. Juli 2016 gilt.

Auf die einzelnen relevanten Punkte wird aber im Folgenden näher eingegangen.

Dienste für die Zustellung elektronischer Einschreiben

In Artikel 44 werden die Anforderungen an qualifizierte elektronische Einschreib-

Zustelldienste festgelegt. Wesentlich ist dabei, dass die Leistung durch einen qualifi-

zierten Vertrauensdiensteanbieter erbracht werden muss, wobei eine unbemerkte

Veränderung der Daten durch eine fortgeschrittene elektronische Signatur oder ein

elektronisches Siegel eines qualifizierten Vertrauensdiensteanbieters ausgeschlossen

werden muss. Das Datum und die Zeit des Absendens, Empfangens oder einer Änderung

der Daten werden durch einen qualifizierten elektronischen Zeitstempel angezeigt.

Wesentlich ist dabei also der qualifizierte Vertrauensdienst. Diese werden in den Artikeln

13-24 geregelt. Sie unterliegen einer Aufsicht und müssen Sicherheitsanforderungen

(Artikel 19) erfüllen. Dabei hat das Sicherheitsniveau der Höhe des Risikos angemessen

zu sein, eine neue Sicherheitsmaßnahme ist unabhängig von Aufwand und Kosten

32 http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32014R0910&from=EN

EU-Verordnung

- 15 -

unverzüglich einzusetzen, wenn dadurch die Reduktion eines bestehenden relevanten

Risikos möglich ist.

Von den in Artikel 24 definierten Anforderungen, die qualifizierte

Vertrauensdiensteanbieter erfüllen müssen, sind vor allem folgende hervorzuheben:

Personal und gegebenenfalls Unterauftragnehmer, die über das erforderliche

Fachwissen, Zuverlässigkeit, Erfahrung und Qualifikationen verfügen, sind zu

beschäftigen.

In Bezug auf das Haftungsrisiko müssen sie über ausreichende Finanzmittel oder

angemessene Haftpflichtversicherung verfügen.

Sie zeichnen alle einschlägigen Informationen über die von dem qualifizierten

Vertrauensdiensteanbieter ausgegebenen und empfangenen Daten auf und

bewahren sie so auf, dass sie über einen angemessenen Zeitraum, auch über den

Zeitpunkt der Einstellung der Tätigkeit des qualifizierten Vertrauensdienste-

anbieters hinaus, verfügbar sind, um insbesondere bei Gerichtsverfahren

entsprechende Beweise liefern zu können und die Kontinuität des Dienstes

sicherzustellen. Die Aufzeichnung kann in elektronischer Form erfolgen.

Sie verfügen über einen fortlaufend aktualisierten Beendigungsplan, um die

Dienstleistungskontinuität nach den von der Aufsichtsstelle gemäß Artikel 17

Absatz 4 Buchstabe i geprüften Vorgaben sicherzustellen.

Artikel 20 legt dabei fest, dass qualifizierte Vertrauensdiensteanbieter mindestens alle 24

Monate auf eigene Kosten von einer Konformitätsbewertungsstelle geprüft werden

müssen. Dafür dürfen diese qualifizierten Vertrauensdiensteanbieter auch das EU-

Vertrauenssiegel führen. Dies wird in Artikel 23 geregelt.

Die Regelungen betreffend der relevanten Artikel 19, 24 und 44 gelten ab 1. Juli 2016

Notifizierung elektronischer Identifizierungssysteme

Neben den Anforderungen an Vertrauensdiensteanbieter, wird in Artikel 7 festgelegt

unter welchen Voraussetzungen elektronische Identifizierungsystem notifiziert werden

können. Dabei ist es möglich, dass entweder der Mitgliedsstaat selbst (oder in seinem

Auftrag) diese ausstellt, aber auch dass sie unabhängig vom notifizierenden

Mitgliedsstaat ausgestellt und von diesem anerkannt werden. Es muss dabei sichergestellt

werden, dass eine Online-Authentifizierung zur Verfügung steht, so dass die in

elektronischer Form empfangenen Personenidentifizierungsdaten bestätigt werden

können. Dabei soll die grenzüberschreitende Authentifizierung gebührenfrei sein, wenn

sie in Bezug auf einen Online-Dienst, der von einer öffentlichen Stelle erbracht wird,

erfolgt.

Wichtig ist, dass das elektronische Identifizierungssystem und die im Rahmen dieses

Systems ausgestellten elektronischen Identifizierungsmittel Anforderungen zumindest

eines der Sicherheitsniveaus, die in dem in Artikel 8 Absatz 3 genannten

EU-Verordnung

- 16 -

Durchführungsrechtsakt aufgeführt sind, erfüllen. Dabei wird zwischen den Sicher-

heitsniveaus „niedrig“, „substanziell“ und/oder „hoch“ unterschieden:

a) Das Sicherheitsniveau „niedrig“ bezieht sich auf ein elektronisches Identifizierungmittel im Rahmen eines

elektronischen Identifizierungssystems, das ein begrenztes Maß an Vertrauen in die beanspruchte oder

behauptete Identität einer Person vermittelt und durch die Bezugnahme auf die diesbezüglichen technischen

Spezifikationen, Normen und Verfahren einschließlich technischer Überprüfungen — deren Zweck in der

Minderung der Gefahr des Identitätsmissbrauchs oder der Identitätsveränderung besteht — gekennzeichnet ist.

b) Das Sicherheitsniveau „substanziell“ bezieht sich auf ein elektronisches Identifizierungsmittel im Rahmen

eines elektronischen Identifizierungssystems, das ein substanzielles Maß an Vertrauen in die beanspruchte oder

behauptete Identität einer Person vermittelt und durch die Bezugnahme auf die diesbezüglichen technischen

Spezifikationen, Normen und Verfahren einschließlich entsprechender technischer Überprüfungen — deren

Zweck in der substanziellen Minderung der Gefahr des Identitätsmissbrauchs oder der Identitätsveränderung

besteht — gekennzeichnet ist.

c) Das Sicherheitsniveau „hoch“ bezieht sich auf ein elektronisches Identifizierungsmittel im Rahmen eines

elektronischen Identifizierungssystems, das ein höheres Maß an Vertrauen in die beanspruchte oder behauptete

Identität einer Person als ein Identifizierungsmittel mit dem Sicherheitsniveau „substanziell“ vermittelt und

durch die Bezugnahme auf die diesbezüglichen technischen Spezifikationen, Normen und Verfahren

einschließlich technischer Überprüfungen — deren Zweck in der Verhinderung des Identitätsmissbrauchs oder

der Identitätsveränderung besteht — gekennzeichnet ist.

Artikel 6 regelt, dass falls von einer öffentlichen Stelle eine elektronische Identifizierung

erforderlich ist, auch jene, die von einem anderen Mitgliedsstaat ausgestellt wurden,

anzuerkennen sind. Zu diesem Zweck veröffentlicht die europäische Union eine

entsprechende Liste, wobei innerhalb von 12 Monaten eine Anerkennung erfolgen muss.

Diese Verpflichtung gilt jedoch nur für öffentliche Stellen. Für private Services, wie etwa

die in diesem Gutachten behandelte e-Zustellung gilt dies nur auf freiwilliger Basis. Eine

zentrale EU-eID oder aber eine zentrale Datenbank ist nicht angedacht.

Laut Verordnung Artikel 8 (3) wird die Kommission bis zum 18. September 2015 unter

Berücksichtigung der einschlägigen internationalen Normen Mindestanforderungen für

die jeweiligen Sicherheitsniveau-Stufen festlegen, ein Zeitpunkt der also in den

Zeitrahmen dieses Gutachtens fällt, weshalb darauf auch noch genauer eingegangen wird.

Die anderen Punkte treten wiederum mit 1. Juli 2016 in Kraft.

Elektronische Dokumente

Bezüglich elektronischer Dokumente regelt Artikel 43 die Rechtswirkung eines Dienstes

für die Zustellung elektronischer Einschreiben, wobei Daten, die mittels eines Dienstes

für die Zustellung elektronischer Einschreiben abgesendet und empfangen werden, die

Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein

deshalb abgesprochen werden darf, weil sie in elektronischer Form vorliegen oder weil

die Anforderungen an qualifizierte Dienste für die Zustellung elektronischer Einschreiben

nicht erfüllt sind.

Für Daten, die mittels eines qualifizierten Dienstes für die Zustellung elektronischer

Einschreiben abgesendet und empfangen werden, gilt die Vermutung der Unversehrtheit

der Daten, der Absendung dieser Daten durch den identifizierten Absender und des

Empfangs der Daten durch den identifizierten Empfänger und der Korrektheit des

EU-Verordnung

- 17 -

Datums und der Uhrzeit der Absendung und des Empfangs, wie sie von dem quali-

fizierten Dienst für die Zustellung elektronischer Einschreiben angegeben werden (Art 43

Abs. 2).

Für qualifizierte elektronische Zeitstempel gilt die Vermutung der Richtigkeit des Datum

und der Zeit, sowie der Unversehrtheit der mit dem Datum und der Zeit verbundenen

Daten. Dabei muss dieser Datum und Zeit so mit den Daten verknüpfen, dass die

Möglichkeit der unbemerkten Veränderung der Daten nach vernünftigem Ermessen

ausgeschlossen ist. Ferner beruht er auf einer korrekten Zeitquelle, die mit der

koordinierten Weltzeit verknüpft ist und er wird mit einer fortgeschrittenen elektro-

nischen Signatur unterzeichnet oder einem fortgeschrittenen elektronischen Siegel des

qualifizierten Vertrauensdiensteanbieters versiegelt oder es wird ein gleichwertiges

Verfahren verwendet.

All diese Punkte treten mit 1. Juli 2016 in Kraft. Kritisch angemerkt sei dabei, dass auf

Grund der vorauszusetzenden Sicherheitsniveaus man davon ausgehen könnte, dass das

Einschreiben der Verordnung dem österreichischen RSa/RSb-Brief entspricht. Allerdings

ist nicht zu überprüfen, ob der Empfänger tatsächlich der Adressat ist – seine Identität ist

lediglich festzustellen. Es ist daher als technisch sehr sicheres Einschreiben zu

qualifizieren. Ferner ist nicht geregelt, wann genau ein Empfang vorliegt. Spezifische

Fiktionen (Benachrichtigung führt zu Empfangs-Fiktion nach gewisser Zeit) oder andere

Maßnahmen (mehrfache Benachrichtigung, ev. zusätzlich per Briefpost oder SMS,

erforderlich) oder Regeln (Aufbewahrungsfrist) kommen nicht vor. Da dies von der

Verordnung überhaupt nicht geregelt wird, bleibt es nationalen Vorschriften zugäng-

lich33.

Elektronische Siegel

Ein wesentlicher Punkt der Verordnung ist die Definition des elektronischen Siegels,

welches als Nachweis dafür dient, dass ein elektronisches Dokument von einer

juristischen Person ausgestellt wurde und den Ursprung und die Unversehrtheit des

Dokuments belegt. Zwar ist die juristische Person damit nicht losgelöst von ihren

Vertretern – da anstelle des Siegels der juristischen Person, auch eine qualifizierte

elektronische Signatur eines beigefugten Vertreters akzeptabel sein sollte – aber es ist

doch eine Möglichkeit wie juristische Personen erkannt werden können.

Artikel 35 regelt, dass ein qualifiziertes Siegel, das auf einem in einem Mitgliedstaat

ausgestellten qualifizierten Zertifikat beruht, in allen anderen Mitgliedsstaaten als

qualifiziertes elektronisches Siegel anerkannt wird. Entsprechend Artikel 36 ist ein

fortgeschrittenes elektronisches Siegel eindeutig dem Siegelersteller zugeordnet und es

ermöglicht die Identifizierung des Siegelerstellers.

Grundsätzlich treten die Regeln rund um das elektronische Siegel mit 1. Juli 2016 in

Kraft, nur Artikel 37 (5) hält fest, dass die Kommission bis zum 18. September 2015 im

33 Siehe Sonntag, Die e-Identifizierungs- und Vertrauensdienste-Verordnung der EU – Teil II, jusIT 2/2015,

p. 45-50

EU-Verordnung

- 18 -

Wege von Durchführungsrechtsakten und unter Berücksichtigung der bestehenden Praxis

sowie der bestehenden Normen und Unionsrechtsakte Durchführungsrechtsakte Refe-

renzformate für fortgeschrittene elektronische Siegel oder Referenzverfahren festlegt,

wenn alternative Formate verwendet werden. Siehe dazu den diesbezüglichen Abschnitt

im nachfolgenden Bereich.

Stand der Umsetzung

Folgende Graphik34 zeigt den zeitlichen Ablauf der vorgesehen Umsetzung der EU-

Verordnung:

Dabei sind zwei Aspekte zu beachten, einerseits die Durchführungsrechtsakten, die

seitens der Kommission erlassen wurden um die Verordnung umzusetzen, andererseits

die notwendigen österreichischen Anpassungen der Gesetzeslage. Diese beiden Punkte

werden in diesem Abschnitt behandelt.

Zusammenarbeit der Mitgliedsstaaten

Artikel 12 (7) regelt, dass bis zum 18. März 2015 die Kommission im Wege von

Durchführungsrechtsakten die nötigen Verfahrensmodalitäten festlegt um die Zusammen-

34 Zitiert nach Vortrag von Peter Kustor, eID und eSignatur – Aktueller Stand der eIDAS Verhandlungen,

Vortrag im Rahmen der IRIS 2014, Salzburg, 20.2.2014

EU-Verordnung

- 19 -

arbeit zwischen den Mitgliedstaaten, etwa in Bezug auf den Austausch von Informationen

oder die Prüfung der einschlägigen Entwicklungen auf dem Gebiet der elektronischen

Identifizierung, zu erleichtern.

Tatsächlich wurde am 24.Februar 2015 ein entsprechender Durchführungsbeschluss

2015/29635 der Kommission gefasst, die wesentlichen Eckpunkte sind:

Die Zusammenarbeit erfolgt primär in englischer Sprache (Artikel 2), wobei in

den Erwägungsgründen sogar extra betont wird, dass die Interoperabilität und

Sicherheit elektronischer Identifizierungssysteme nicht durch Verfahren erreicht

werden kann, die in mehreren Sprachen durchgeführt werden.

Jeder Mitgliedsstaat benennt einen einheitlichen Ansprechpartner (Artikel 3).

Die Mitgliedsstaaten sind verpflichtet bei Änderungen, Weiterentwicklungen oder

Anpassungen im Zusammenhang mit der Interoperabilität oder dem Sicherheits-

niveau des Systems die anderen Mitgliedsstaaten zu unterrichten (Artikel 4) und

sie haben auch das Recht Auskünfte bei den anderen Mitgliedsstaaten einzuholen,

wenn sie der Ansicht sind mehr Informationen zu benötigen (Artikel 5).

Für die elektronischen Identifizierungssysteme ist ein gegenseitiges Begutach-

tungsverfahren vorgesehen, bei dem sich alle Mitgliedstaaten – auf eigene Kosten

– beteiligen können (Artikel 7), wobei auch ein Begutachtungsverfahren auf

Grund eines Wunsches eines anderen Mitgliedstaates eingeleitet werden kann

(Artikel 8).

Das Begutachtungsverfahren ist dabei gemeinsam von den beteiligten Mitglied-

staaten (also allen die sich beteiligen wollen) durchzuführen und wird von einem

aus ihrer Mitte ausgewählten Vertreter koordiniert. Die gegenseitige Begut-

achtung kann unter anderem die Bewertung der einschlägigen Dokumentation,

Prüfung von Prozessen, technische Seminare und die Berücksichtigung der

Bewertungen unabhängiger Dritter umfassen.

Zur Vereinfachung der Verfahrensmodalitäten soll ein Kooperationsnetz als ein

Forum, das alle Mitgliedsstaaten (inkl. den Ländern des Europäischen

Wirtschaftsraum) einbezieht und förmlich in die Zusammenarbeit in praktischen

Fragen der Arbeit mit dem Interoperabilitätsrahmen einbindet, geschaffen werden

(Kapitel 4). Diesem ist auch das Notifizierungsformular für ein elektronisches

Identifizierungssystem zur Verfügung zu stellen (Artikel 13). Insbesondere gehört

zu seinen Aufgaben die Abgabe von Stellungnahmen, inwiefern ein zu

notifizierendes elektronisches Identifizierungssystem den Anforderungen der

Verordnung genügt. Die an den Tätigkeiten des Kooperationsnetzes Beteiligten

werden von der Kommission für ihre Arbeit nicht belohnt.

Zusammenfassend kann dabei festgehalten werden, dass mit dem Durchfüh-

rungsbeschluss klare und auch einfache Richtlinien geschaffen wurden. Etwas kritisch ist

zu sehen, dass sich zwar jeder an einer Begutachtung beteiligen darf, aber die Kosten

dafür selbst zu tragen hat. Angesichts immer knapperen Budgets ist doch zu befürchten,

dass sich die Staaten jeweils auf die anderen Staaten verlassen werden, dass sie sich

beteiligen werden und damit die Gefahr besteht, dass sich jeder Staat selbst notifiziert,

35 http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=uriserv:OJ.L_.2015.053.01.0014.01.DEU

EU-Verordnung

- 20 -

bzw. nur Staaten, die ein bestimmtes Interesse an den Systemen haben, sich beteiligen

werden. Der Kommission ist diese Gefahr offensichtlich auch durchaus bewusst, da

etwaige Interessenskonflikte offengelegt werden müssen und auch Unterlagen, die

Geschäfts-, Berufs oder Unternehmensgeheimisse betreffen, nicht zur Verfügung gestellt

werden müssen. Selbstverständlich dürfen sensible oder vertrauliche Informationen, die

im Zuge der Begutachtung bekannt wurden, Dritten gegenüber nicht offengelegt werden.

Interoperabilität

Die notifizierten nationalen elektronischen Identifizierungssysteme müssen interoperabel

sein. Die für einheitliche Voraussetzungen für die Umsetzung dieser Verpflichtung

notwendigen Durchführungsrechtsakte wurden am 8. September 2015 erlassen36 und

werden im Folgenden kurz vorgestellt.

Dabei spielt ein „Knoten“ eine zentrale Rolle (Artikel 2):

„Knoten“ ist ein Anschlusspunkt, der als Teil der Interoperabilitätsarchitektur für die

elektronische Identifizierung an der grenzüberschreitenden Authentifizierung von Personen

mitwirkt und der Datenübertragungen erkennen und verarbeiten oder an andere Knoten

weiterleiten kann; er ermöglicht damit über eine Schnittstelle die Verbindung zwischen der

nationalen elektronischen Identifizierungsinfrastruktur eines Mitgliedsstaates und der nationalen

elektronischen Identifizierungsstruktur eines Mitgliedsstaats und der nationalen Identifizierungs-

infrastruktur eines anderen Mitgliedstaats;

„Knotenbetreiber“ ist die Stelle, die dafür verantwortlich ist, dass der Knoten seine Funktion als

Anschlusspunkt ordnungsgemäß und zuverlässig erfüllt.

Artikel 8 legt das Meldungsformat für die Übermittlung fest:

Die Knoten verwenden als Syntax gemeinsame Meldungsformate, die auf Normen beruhen,

welche bereits mehrfach zwischen Mitgliedstaaten eingesetzt worden sind und sich im

Betriebsumfeld bewährt haben. Die Syntax muss Folgendes ermöglichen:

a) ordnungsgemäße Verarbeitung des Mindestsatzes von Personenidentifizierungsdaten, die

eine natürliche oder juristische Person eindeutig repräsentieren;

b) ordnungsgemäße Verarbeitung der Sicherheitsniveaus der elektronischen

Identifizierungsmittel;

c) Unterscheidung zwischen öffentlichen Stellen und anderen vertrauenden Beteiligten;

d) Flexibilität im Falle eines Bedarfs an zusätzlichen Merkmalen für die Identifizierung.

Wesentlich ist, dass Knotenbetreiber eine Zertifizierung nach ISO/IEC 27001 erlangen

müssen (Artikel 10).

Auch für die Personenidentifizierungsdaten werden Mindestanforderungen im Anhang

festgelegt. Dabei sind bei natürlichen Personen mindestens (derzeitiger) Familienname

und Vorname, Geburtsdatum, sowie eine eindeutige Kennung, die möglichst dauerhaft

fortbesteht, enthalten. Optional kann der Mindestdatensatz noch Vorname und

Familienname bei der Geburt, Geburtsort, derzeitige Anschrift und Geschlecht enthalten.

36 http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=uriserv:OJ.L_.2015.235.01.0001.01.DEU

EU-Verordnung

- 21 -

Bei juristischen Personen enthält der Mindestdatensatz die derzeitige amtliche

Bezeichnung sowie eine eindeutige Kennung als obligatorische Merkmale. Zusätzlich

kann noch die derzeitige Anschrift, die Umsatzsteuer-Identifikationsnummer, die

Steuerregisternummer, die Kennnummer in Bezug auf Artikel 3 Absatz 1 der Richtlinie

2009/101/EG des Europäischen Parlamentes und des Rates, die Kennziffer der

juristischen Person (LEI) gemäß der Durchführungsverordnung (EU) Nr. 1247/2012 der

Kommission, die Registrierungs- und Identifizierungsnummer der Wirtschaftsbeteiligten

(EORI-Nr.), sowie die Verbrauchssteuer gemäß Artikel 2 Absatz 12 der Verordnung

(EU) Nr. 389/2012 des Rates enthalten.

Die erlassenen Regelungen erscheinen vernünftig, sollte der Zustellkopf auch als Knoten

dienen wollen, so sind wahrscheinlich keine Anpassungen am Rulebook nötig (Mindest-

datensatz entspricht bereits), jedoch ist zu beachten, dass der Betreiber eine ISO/IEC

27001-Zertifizierung benötigt.

Mindestanforderungen für die Sicherheitsstufen

Hier hat sich die Verordnung bereits in Artikel 8 Abs. 3 darauf festgelegt, dass bis zum

18. September 2015 Mindestanforderungen für die Sicherheitsniveaus „Niedrig“,

„Substanziell“ und „Hoch“ festgelegt werden. Die entsprechende Durchführungs-

verordnung (EU) 2015/1502 zur Festlegung von Mindestanforderungen an technische

Spezifikationen und Verfahren für Sicherheitsniveaus elektronischer Identifizie-

rungsmittel wurde am 8. September 2015 erlassen37. Damit wurden die Sicherheits-

niveaus für die elektronischen Identifizierungsmittel Anmeldung, Verwaltung, Authenti-

fizierung sowie Management und Organisation festgelegt.

Anmeldung (Anhang 2.1)

Hier werden zuerst für Beantragung und Eintragung für alle drei Sicherheitsniveaus die

erforderlichen Elemente wie folgt definiert:

1. Es ist gewährleistet, dass der Antragsteller die Geschäftsbedingungen für die

Benutzung der elektronischen Identifizierungsmittel kennt.

2. Es ist gewährleistet, dass der Antragsteller die empfohlenen

Sicherheitsvorkehrungen im Zusammenhang mit dem elektronischen

Identifizierungsmittel kennt.

3. Die einschlägigen Identitätsdaten für den Nachweis und die Überprüfung der

Identität werden erfasst.

Wenn auch nicht wortwörtlich, so sollten diese Punkte durch Punkt 11.2 des Rulebooks

geregelt sein.

Danach werden der Identitätsnachweis und die Identitätsüberprüfung für natürliche

Personen geregelt.

37 http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32015R1502

EU-Verordnung

- 22 -

„Niedrig“ verlangt dabei folgendes:

1. Es kann davon ausgegangen werden, dass die Person im Besitz eines

Beweismittels ist, das von dem Mitgliedstaat, in dem das elektronische

Identifizierungsmittel beantragt wird, anerkannt wird und die beanspruchte

Identität repräsentiert.

2. Es kann davon ausgegangen werden, dass das Beweismittel echt ist oder laut

einer verlässlichen Quelle existiert und dass das Beweismittel dem Anschein

nach gültig ist.

3. Eine verlässliche Quelle hat Kenntnis davon, dass die beanspruchte Identität

existiert und es kann davon ausgegangen werden, dass die Person, die diese

Identität beansprucht, damit identisch ist.

Bei „Substanziell“ muss zusätzlich zum Niveau „Niedrig“ eine der folgenden Alterna-

tiven erfüllt sein:

1. Es ist überprüft worden, dass die Person im Besitz eines Beweismittels ist, das

von dem Mitgliedstaat, in dem das elektronische Identifizierungsmittel

beantragt wird, anerkannt wird und die beanspruchte Identität repräsentiert,

und das Beweismittel ist geprüft worden, um seine Echtheit festzustellen, oder

einer verlässlichen Quelle ist bekannt, dass es existiert und sich auf eine reale

Person bezieht, und es wurden Vorkehrungen getroffen, um das Risiko zu

mindern, dass die Identität der Person nicht mit der beanspruchten Identität

übereinstimmt, z. B. im Hinblick auf verlorene, gestohlene, ausgesetzte,

widerrufene oder abgelaufene Beweismittel.

2. Ein Identitätsdokument wird im Rahmen eines Registrierungsverfahrens in

dem Mitgliedstaat, in dem es ausgestellt wurde, vorgelegt und bezieht sich

dem Anschein nach auf die Person, die es vorlegt, und es wurden

Vorkehrungen getroffen, um das Risiko zu mindern, dass die Identität der

Person nicht mit der beanspruchten Identität übereinstimmt, z. B. im Hinblick

auf verlorene, gestohlene, ausgesetzte, widerrufene oder abgelaufene

Dokumente.

3. Bieten Verfahren, die zuvor von einer öffentlichen oder privaten Stelle in

demselben Mitgliedstaat für andere Zwecke als die Ausstellung elektronischer

Identifizierungsmittel verwendet wurden, eine gleichwertige Sicherheit, die

der des Niveaus „Substanziell“ in Abschnitt 2.1.2 entspricht, so braucht die

für die Registrierung zuständige Stelle solche früheren Verfahren nicht zu

wiederholen, sofern die gleichwertige Sicherheit von einer

Konformitätsbewertungsstelle im Sinne des Artikels 2 Absatz 13 der

Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des

Rates(1) oder von einer gleichwertigen Stelle bestätigt wird.

4. Werden elektronische Identifizierungsmittel aufgrund eines gültigen

notifizierten elektronischen Identifizierungsmittels des Sicherheitsniveaus

„Substanziell“ oder „Hoch“ und unter Berücksichtigung des Risikos einer

Änderung der Personenidentifizierungsdaten ausgestellt, so brauchen die

Prozesse für den Nachweis und die Überprüfung der Identität nicht wiederholt

EU-Verordnung

- 23 -

zu werden. Wurde das zugrunde gelegte elektronische Identifizierungsmittel

nicht notifiziert, so muss das Sicherheitsniveau „Substanziell“ oder „Hoch“

von einer Konformitätsbewertungsstelle im Sinne des Artikels 2 Absatz 13 der

Verordnung (EG) Nr. 765/2008 oder von einer gleichwertigen Stelle bestätigt

werden.

Bei „Hoch“ müssen entweder die Anforderungen der Nummer 1 oder der Nummer 2

erfüllt sein:

1. Zusätzlich zum Niveau „Substanziell“ muss eine der Alternativen der

Buchstaben a bis c erfüllt sein:

a. Ist überprüft worden, dass die Person im Besitz eines mit Foto oder

biometrischen Merkmalen versehenen Identitätsnachweises ist, der

von dem Mitgliedstaat, in dem das elektronische Identifizierungsmittel

beantragt wird, anerkannt wird, und dass der Identitätsnachweis die

beanspruchte Identität repräsentiert, so wird das Beweismittel geprüft,

um festzustellen, ob es laut einer verlässlichen Quelle gültig ist, und

anhand des Vergleichs eines oder mehrerer körperlicher Merkmale

der Person mit Angaben aus einer verlässlichen Quelle wird

festgestellt, dass der Antragsteller mit der beanspruchten Identität

übereinstimmt.

ODER

b. Bieten Verfahren, die zuvor von einer öffentlichen oder privaten Stelle

in demselben Mitgliedstaat für andere Zwecke als die Ausstellung

elektronischer Identifizierungsmittel verwendet wurden, eine

gleichwertige Sicherheit, die der des Niveaus „Hoch“ in Abschnitt

2.1.2 entspricht, so braucht die für die Registrierung zuständige Stelle

solche früheren Verfahren nicht zu wiederholen, sofern die

gleichwertige Sicherheit von einer Konformitätsbewertungsstelle im

Sinne des Artikels 2 Absatz 13 der Verordnung (EG) Nr. 765/2008

oder von einer gleichwertigen Stelle bestätigt wird, und es werden

Schritte unternommen, um zu belegen, dass die Ergebnisse der

früheren Verfahren noch gültig sind.

ODER

c. Werden elektronische Identifizierungsmittel aufgrund eines gültigen

notifizierten elektronischen Identifizierungsmittels des

Sicherheitsniveaus „Hoch“ und unter Berücksichtigung des Risikos

einer Änderung der Personenidentifizierungsdaten ausgestellt, so

brauchen die Prozesse für den Nachweis und die Überprüfung der

Identität nicht wiederholt zu werden. Wurde das zugrunde gelegte

elektronische Identifizierungsmittel nicht notifiziert, so muss das

Sicherheitsniveau „Hoch“ von einer Konformitätsbewertungsstelle im

Sinne des Artikels 2 Absatz 13 der Verordnung (EG) Nr. 765/2008

oder von einer gleichwertigen Stelle bestätigt werden, und es werden

Schritte unternommen, um zu belegen, dass die Ergebnisse des

EU-Verordnung

- 24 -

früheren Verfahrens zur Ausstellung eines notifizierten elektronischen

Identifizierungsmittels noch gültig sind.

ODER

2. Legt der Antragsteller keinen anerkannten, mit Foto oder biometrischen

Merkmalen versehenen Identitätsnachweis vor, so werden exakt dieselben

Verfahren angewandt, die auf nationaler Ebene in dem Mitgliedstaat, zu dem

die für die Registrierung zuständige Stelle gehört, erforderlich sind, um einen

solchen anerkannten, mit Foto oder biometrischen Merkmalen versehenen

Identitätsnachweis zu erlangen.

Im Vergleich zum Rulebook der e-Zustellung kann dabei festgehalten werden, dass dort

die Vertrauensstufe „Niedrig“ (Punkt 3.1 des Rulebooks) gar keine Überprüfung verlangt

und somit nicht den Mindestanforderungen der EU-Durchführungsverordnung entspricht.

Die Vertrauensstufe „Mittel“ (Punkt 3.2 des Rulebooks) verlangt eine Feststellung der

Identität eines Kunden durch persönliche Vorlage eines amtlichen Lichtbildausweises.

Somit entspricht sie jedenfalls dem Sicherheitsniveau „Niedrig“ der EU-Verordnung.

Dem Sicherheitsniveau „Substantiell“ der EU-Verordnung entspricht sie jedoch nicht, da

keine Vorkehrungen getroffen werden, um das Risiko zu mindern, dass die Identität der

Person nicht mit der beanspruchten Identität übereinstimmt, z. B. im Hinblick auf

verlorene, gestohlene, ausgesetzte, widerrufene oder abgelaufene Beweismittel.

Die Vertrauensstufe „Hoch“ (Punkt 3.3 des Rulebooks) die in Österreich durch die

Bürgerkartenfunktion zu erfolgen hat, hat aber wohl derartige Vorkehrungen, sodass

jedenfalls das Sicherheitsniveau „Substantiell“ der EU-Verordnung erfüllt sein sollte.

Nicht jedoch dürfte es dem Sicherheitsniveau „Hoch“ der EU-Verordnung entspricht.

Danach werden der Identitätsnachweis und die Identitätsüberprüfung für juristische

Personen geregelt.

„Niedrig“ verlangt dabei folgendes:

1. Die beanspruchte Identität der juristischen Person wird anhand eines

Beweismittels nachgewiesen, das von dem Mitgliedstaat, in dem das

elektronische Identifizierungsmittel beantragt wird, anerkannt wird.

2. Das Beweismittel ist dem Anschein nach gültig und es kann davon

ausgegangen werden, dass es echt ist oder laut einer verlässlichen Quelle

existiert, sofern die Aufnahme einer juristischen Person in die verlässliche

Quelle freiwillig und durch eine Vereinbarung zwischen der juristischen

Person und der verlässlichen Quelle geregelt ist.

3. Die verlässliche Quelle hat keine Kenntnis davon, dass sich die juristische

Person in einer Lage befindet, in der sie daran gehindert wäre, als diese

juristische Person zu handeln.

Bei „Substanziell“ muss zusätzlich zum Niveau „Niedrig“ eine der folgenden

Alternativen erfüllt sein:

EU-Verordnung

- 25 -

1. Die beanspruchte Identität der juristischen Person wird anhand eines

Beweismittels nachgewiesen, das von dem Mitgliedstaat, in dem das

elektronische Identifizierungsmittel beantragt wird, anerkannt wird und aus

dem der Name, die Rechtsform und gegebenenfalls die Registriernummer der

juristischen Person hervorgehen, und das Beweismittel ist geprüft worden, um

festzustellen, ob es echt ist oder laut einer verlässlichen Quelle existiert,

sofern die Aufnahme der juristischen Person in die verlässliche Quelle für die

Tätigkeit in ihrem Sektor erforderlich ist, und es wurden Vorkehrungen

getroffen, um das Risiko zu mindern, dass die Identität der juristischen Person

nicht mit der beanspruchten Identität übereinstimmt, z. B. im Hinblick auf

verlorene, gestohlene, ausgesetzte, widerrufene oder abgelaufene Dokumente.

2. Bieten die Verfahren, die zuvor von einer öffentlichen oder privaten Stelle in

demselben Mitgliedstaat für andere Zwecke als die Ausstellung elektronischer

Identifizierungsmittel verwendet wurden, eine gleichwertige Sicherheit, die

der des Niveaus „Substanziell“ in Abschnitt 2.1.3 entspricht, so braucht die

für die Registrierung zuständige Stelle solche früheren Verfahren nicht zu

wiederholen, sofern die gleichwertige Sicherheit von einer

Konformitätsbewertungsstelle im Sinne des Artikels 2 Absatz 13 der

Verordnung (EG) Nr. 765/2008 oder von einer gleichwertigen Stelle bestätigt

wird.

3. Werden elektronische Identifizierungsmittel aufgrund eines gültigen

notifizierten elektronischen Identifizierungsmittels des Sicherheitsniveaus

„Substanziell“ oder „Hoch“ ausgestellt, so brauchen die Prozesse für den

Nachweis und die Überprüfung der Identität nicht wiederholt zu werden.

Wurde das zugrunde gelegte elektronische Identifizierungsmittel nicht

notifiziert, so muss das Sicherheitsniveau „Substanziell“ oder „Hoch“ von

einer Konformitätsbewertungsstelle im Sinne des Artikels 2 Absatz 13 der

Verordnung (EG) Nr. 765/2008 oder von einer gleichwertigen Stelle bestätigt

werden.

Bei „Hoch“ muss zusätzlich zum Niveau „Substanziell“ noch eine der drei folgenden

Alternativen erfüllt sein:

1. Die beanspruchte Identität der juristischen Person wird anhand eines

Beweismittels nachgewiesen, das von dem Mitgliedstaat, in dem das

elektronische Identifizierungsmittel beantragt wird, anerkannt wird und aus

dem der Name und die Rechtsform der juristischen Person sowie zumindest

eine eindeutige Kennung, die die juristische im nationalen Umfeld

repräsentiert, hervorgeht, und das Beweismittel ist geprüft worden, um

festzustellen, ob es laut einer verlässlichen Quelle gültig ist.

2. Bieten die Verfahren, die zuvor von einer öffentlichen oder privaten Stelle in

demselben Mitgliedstaat für andere Zwecke als die Ausstellung elektronischer

Identifizierungsmittel verwendet wurden, eine gleichwertige Sicherheit, die

der des Niveaus „Hoch“ in Abschnitt 2.1.3 entspricht, so braucht die für die

Registrierung zuständige Stelle solche früheren Verfahren nicht zu

wiederholen, sofern die gleichwertige Sicherheit von einer

Konformitätsbewertungsstelle im Sinne des Artikels 2 Absatz 13 der

EU-Verordnung

- 26 -

Verordnung (EG) Nr. 765/2008 oder von einer gleichwertigen Stelle bestätigt

wird, und es werden Schritte unternommen, um zu belegen, dass die

Ergebnisse dieses früheren Verfahrens noch gültig sind.

3. Werden elektronische Identifizierungsmittel aufgrund eines gültigen

notifizierten elektronischen Identifizierungsmittels des Sicherheitsniveaus

„Hoch“ ausgestellt, so brauchen die Prozesse für den Nachweis und die

Überprüfung der Identität nicht wiederholt zu werden. Wurde das zugrunde

gelegte elektronische Identifizierungsmittel nicht notifiziert, so muss das

Sicherheitsniveau „Hoch“ von einer Konformitätsbewertungsstelle im Sinne

des Artikels 2 Absatz 13 der Verordnung (EG) Nr. 765/2008 oder von einer

gleichwertigen Stelle bestätigt werden, und es werden Schritte unternommen,

um zu belegen, dass die Ergebnisse des früheren Verfahrens zur Ausstellung

eines notifizierten elektronischen Identifizierungsmittels noch gültig sind.

Da laut Rulebook der e-Zustellung juristische Personen nur durch vertretungsbefugte

natürliche Personen handeln können ist der Identitätsnachweis der juristischen Person

weniger relevant, sehr relevant ist hingegen die Verknüpfung von elektronischen

Identifizierungsmitteln natürlicher und juristischer Personen die in Anhang 2.1.4 der EU-

Verordnung geregelt ist.

Für die Verknüpfung von elektronischen Identifizierungsmitteln natürlicher Personen und

elektronischen Identifizierungsmitteln juristischer Personen („Verknüpfung“) gelten,

soweit zutreffend, folgende Bedingungen:

1. Es ist möglich, eine Verknüpfung auszusetzen und/oder zu widerrufen. Der

Lebenszyklus einer Verknüpfung (z. B. Aktivierung, Aussetzung, Erneuerung,

Widerruf) wird nach auf nationaler Ebene anerkannten Verfahren verwaltet.

2. Die natürliche Person, deren elektronisches Identifizierungsmittel mit dem

elektronischen Identifizierungsmittel der juristischen Person verknüpft ist,

kann die Ausübung der Verknüpfung nach auf nationaler Ebene anerkannten

Verfahren an eine andere natürliche Person delegieren. Die delegierende

natürliche Person bleibt jedoch verantwortlich.

3. Die Verknüpfung erfolgt auf folgende Weise:

Niedrig

1) Der Identitätsnachweis der natürlichen Person, die im Namen der

juristischen Person handelt, wird so überprüft, als erfolge er auf dem

Niveau „Niedrig“ oder höher.

2) Die Verknüpfung ist nach auf nationaler Ebene anerkannten Verfahren

hergestellt worden.

3) Die verlässliche Quelle hat keine Kenntnis davon, dass sich die

natürliche Person in einer Lage befindet, in der sie daran gehindert

wäre, im Namen der juristischen Person zu handeln.

Substanziell

Zusätzlich zu Nummer 3 des Niveaus „Niedrig“:

EU-Verordnung

- 27 -

1) Der Identitätsnachweis der natürlichen Person, die im Namen der

juristischen Person handelt, wird so überprüft, als erfolge er auf dem

Niveau „Substanziell“ oder „Hoch“.

2) Die Verknüpfung ist nach auf nationaler Ebene anerkannten Verfahren

hergestellt worden, was zu einer Eintragung der Verknüpfung in einer

verlässlichen Quelle geführt hat.

3) Die Verknüpfung ist aufgrund von Informationen einer verlässlichen

Quelle überprüft worden.

Hoch

Zusätzlich zu Nummer 3 des Niveaus „Niedrig“ und zu Nummer 2 des

Niveaus „Substanziell“:

1) Der Identitätsnachweis der natürlichen Person, die im Namen der

juristischen Person handelt, wird so überprüft, als erfolge er auf dem

Niveau „Hoch“.

2) Die Verknüpfung ist anhand einer im nationalen Umfeld verwendeten

eindeutigen Kennung, die die juristische Person repräsentiert, sowie

anhand von Informationen einer verlässlichen Quelle, die die

natürliche Person eindeutig repräsentieren, überprüft worden.

Das Rulebook der e-Zustellung regelt in Punkt 3.4 die Vertretungsvollmacht, dies kann

entweder durch eine auf der Bürgerkarte eingetragene Vertretungsmacht entsprechend § 9

der Stammzahlenregisterverordnung iVm § 5 des E-Government-Gesetzes oder durch die

Vorlage eines amtlichen Lichtbildausweises und die Vertretungsbefugnis z.B. bei im

Firmenbuchregister eingetragenen Unternehmen durch Vorlage eines aktuellen Auszugs,

bei Vereinen durch Vorlage eines aktuellen Vereinsregisterauszuges geschehen.

Entsprechend der Vertrauensstufe nachdem die persönliche Identität festgestellt wird

entspricht die Vertrauensstufe „Mittel“ des Ruleboks, dem Sicherheitsniveau „Niedrig“

der EU-Verordnung und „Hoch“ dem Sicherheitsniveau „Substantiell“.

Verwaltung elektronischer Identifizierungsmittel (Anhang 2.2)

Hier werden Merkmale und Gestaltung elektronischer Identifizierungsmittel, deren

Ausstellung, Auflieferung und Aktivierung, deren Aussetzung, Widerruf und Reakti-

vierung, sowie deren Verlängerung und Ersetzung geregelt:

Die Aussetzung, Widerruf und Reaktivierung ist für alle drei Sicherheitsniveaus wie folgt

geregelt:

1. Es ist möglich, ein elektronisches Identifizierungsmittel rasch und wirksam

auszusetzen und/oder zu widerrufen.

2. Es bestehen Vorkehrungen, um eine unbefugte Aussetzung, einen unbefugten

Widerruf oder eine unbefugte Reaktivierung zu verhindern.

EU-Verordnung

- 28 -

3. Eine Reaktivierung darf nur erfolgen, wenn dieselben

Sicherheitsanforderungen wie vor der Aussetzung oder vor dem Widerruf

weiterhin erfüllt sind.

Die Verlängerung und Ersetzung sieht für „Niedrig“ und „Substanziell“ wie folgt aus:

Unter Berücksichtigung des Risikos einer Änderung der Personenidentifizierungsdaten

müssen für die Verlängerung oder Ersetzung dieselben Sicherheitsanforderungen wie

beim ursprünglichen Identitätsnachweis- und -überprüfungsprozess erfüllt sein bzw. muss

ein gültiges elektronisches Identifizierungsmittel desselben oder eines höheren

Sicherheitsniveaus zugrunde gelegt werden.

Für „Hoch“ muss noch zusätzlich folgendes gelten:

Erfolgt die Verlängerung oder Ersetzung aufgrund eines gültigen elektronischen

Identifizierungsmittels, so werden die Identitätsdaten anhand einer verlässlichen Quelle

überprüft.

Zumindest bezogen auf die Vertrauensstufe „Hoch“ des Rulebooks sollten diese

Vorschriften erfüllt sein, da derartige Mechanismen für die Bürgerkarte vorgesehen sind.

Authentifizierung (Anhang 2.3)

Für den Authentifizierungsmechanismus, mit dem die natürliche oder juristische Person

das elektronische Identifizierungsmittel verwendet, um einem vertrauenden Beteiligten

ihre Identität zu bestätigen, gibt es für jedes Sicherheitsniveau Anforderungen.

Für „Niedrig“ gilt folgendes:

1. Vor einer Herausgabe von Personenidentifizierungsdaten erfolgt eine

zuverlässige Überprüfung des elektronischen Identifizierungsmittels und seiner

Gültigkeit.

2. Werden Personenidentifizierungsdaten als Teil des

Authentifizierungsmechanismus gespeichert, müssen sie gesichert sein, um sie vor

Verlust und vor Beeinträchtigung, einschließlich Offline-Analyse, zu schützen.

3. Im Authentifizierungsmechanismus sind Sicherheitskontrollen zur Überprüfung

des elektronischen Identifizierungsmittels implementiert, so dass es höchst

unwahrscheinlich ist, dass ein Angreifer mit erhöhtem grundlegenden

Angriffspotenzial durch Handlungen wie Erraten, Abhören, Replay oder

Manipulation der Kommunikation den Authentifizierungsmechanismus aushebeln

kann.

EU-Verordnung

- 29 -

Für „Substanziell“ gilt zusätzlich zum Niveau „Niedrig“:

1. Vor einer Herausgabe von Personenidentifizierungsdaten erfolgt eine

zuverlässige Überprüfung des elektronischen Identifizierungsmittels und seiner

Gültigkeit durch dynamische Authentifizierung.

2. Im Authentifizierungsmechanismus sind Sicherheitskontrollen zur Überprüfung

des elektronischen Identifizierungsmittels implementiert, so dass es höchst

unwahrscheinlich ist, dass ein Angreifer mit mäßigem Angriffspotenzial durch

Handlungen wie Erraten, Abhören, Replay oder Manipulation der

Kommunikation den Authentifizierungsmechanismus aushebeln kann.

Für „Hoch“ gilt zusätzlich zum Niveau „Substanziell“:

Im Authentifizierungsmechanismus sind Sicherheitskontrollen zur Überprüfung des

elektronischen Identifizierungsmittels implementiert, so dass es höchst unwahrscheinlich

ist, dass ein Angreifer mit hohem Angriffspotenzial durch Handlungen wie Erraten,

Abhören, Replay oder Manipulation der Kommunikation den

Authentifizierungsmechanismus aushebeln kann.

Es ist davon auszugehen, dass bezüglich der Sicherheitsstufe „Hoch“ des Rulebooks der

e-Zustellung diese Anforderungen erfüllt sind.

Management und Organisation (Anhang 2.4)

Alle Beteiligten, die im Zusammenhang mit der elektronischen Identifizierung im

grenzüberschreitenden Umfeld einen Dienst betreiben („Betreiber“) müssen

dokumentierte Verfahrensweisen und Vorgaben für das Informationssicherheits-

management, Risikomanagementkonzepte und andere anerkannte Kontrollmaßnahmen

haben, damit sich die geeigneten Leitungsgremien der elektronischen Identifizierungssys-

teme in den jeweiligen Mitgliedstaaten vergewissern können, dass wirksame Verfahren

bestehen.

In dem Abschnitt werden dabei einige Regelungen festgelegt. Zuerst werden allgemeine

Bestimmungen, die für alle drei Sicherheitsniveaus gelten, festgehalten:

1. Betreiber, die eine unter diese Verordnung fallende betriebliche Dienstleistung

erbringen, sind eine Behörde oder eine juristische Person, die als solche nach den

nationalen Rechtsvorschriften eines Mitgliedstaats anerkannt ist, verfügen über

eine eingerichtete Organisationsstruktur und sind in allen Teilen, die für die

Bereitstellung der Dienste von Bedeutung sind, voll betriebsfähig.

2. Die Betreiber erfüllen alle rechtlichen Anforderungen, die ihnen im

Zusammenhang mit dem Betrieb und der Bereitstellung des Dienstes obliegen,

unter anderem auch in Bezug darauf, welche Arten von Informationen abgefragt

werden können, wie der Identitätsnachweis durchgeführt wird und welche

Informationen wie lange aufbewahrt werden dürfen.

EU-Verordnung

- 30 -

3. Die Betreiber können ihre Fähigkeit zur Übernahme des Haftungsrisikos für

Schäden nachweisen und verfügen über ausreichende finanzielle Mittel für einen

fortlaufenden Betrieb und eine fortlaufende Bereitstellung der Dienste.

4. Die Betreiber sind sowohl für die Erfüllung aller Verpflichtungen, die sie an

andere Stellen untervergeben, als auch für die Einhaltung der Systemvorgaben

verantwortlich, als würden sie alle Aufgaben selbst wahrnehmen.

5. Elektronische Identifizierungssysteme, die nicht durch nationale

Rechtsvorschriften eingerichtet werden, müssen über einen wirksamen

Beendigungsplan verfügen. In einem solchen Plan müssen auch eine geordnete

Einstellung des Dienstes bzw. die Fortsetzung durch einen anderen Betreiber, die

Art und Weise, wie einschlägige Behörden und Endnutzer informiert werden,

sowie Einzelheiten dazu geregelt sein, wie Daten in Übereinstimmung mit den

Systemvorgaben zu schützen, aufzubewahren bzw. zu zerstören sind.

Grundsätzlich sollten diese Regelungen auch durch das Rulebook der e-Zustellung

abgedeckt sein, nur der Nachweis für die ausreichenden finanziellen Mittel zur etwaigen

Haftungsübernahme ist – wie schon an anderer Stelle angesprochen – nicht gegeben.

Danach werden Regeln für veröffentliche Bekanntmachungen und Benutzerinfor-

mationen, die für alle drei Sicherheitsniveaus gelten, festgehalten:

1. Es gibt eine veröffentlichte Definition des Dienstes mit allen geltenden

Geschäftsbedingungen und Entgelten sowie möglichen Nutzungsbeschränkungen.

Die Definition des Dienstes enthält auch eine Datenschutzerklärung.

2. Es sind geeignete Vorgaben und Verfahren zu schaffen, damit die Benutzer des

Dienstes in rascher und verlässlicher Weise informiert werden, wenn sich die

Definition des Dienstes selbst, die geltenden Geschäftsbedingungen oder die

Datenschutzerklärung in Bezug auf den betreffenden Dienst ändern.

3. Es sind geeignete Vorgaben und Verfahren zu schaffen, damit Auskunftsersuchen

vollständig und richtig beantwortet werden

Derartige Regelungen sind im Rulebook der e-Zustellung nicht enthalten.

Ein weiterer behandelter Aspekt ist auch das Informationsmanagement. Hier wird für das

Sicherheitsniveau „Niedrig“ folgendes verlangt:

Es besteht ein wirksames Informationssicherheitsmanagementsystem für das

Management und die Beherrschung von Informationssicherheitsrisiken.

Für „Substanziell“ und „Hoch“ gilt zusätzlich:

Das Informationssicherheitsmanagementsystem folgt bewährten Normen oder

Grundsätzen für das Management und die Beherrschung von Informations-

sicherheitsrisiken.

Zumindest in dieser Konkretisierung wird im Rulebook der e-Zustellung das

Informationsmanagement nicht erwähnt.

EU-Verordnung

- 31 -

Die Aufzeichnungspflichten sind für alle drei Sicherheitsniveaus wie folgt:

1. Die Aufzeichnung und Aufbewahrung einschlägiger Informationen erfolgt mit

einem effektiven Aufzeichnungsverwaltungssystem unter Beachtung geltender

Vorschriften und bewährter Verfahren auf dem Gebiet des Datenschutzes und der

Datenspeicherung.

2. Aufzeichnungen werden, soweit nach nationalem Recht oder anderen nationalen

Verwaltungsregelungen zulässig, aufbewahrt und geschützt, solange dies für

Prüfungszwecke und für die Untersuchung von Sicherheitsverletzungen sowie für

die Zwecke der Datenspeicherung erforderlich ist; danach werden die

Aufzeichnungen auf sichere Weise vernichtet.

Diese Regelungen sind – zumindest grundsätzlich – in Punkt 11.2.3 des Rulebooks der e-

Zustellung enthalten.

Auch die Anforderungen an Einrichtung und Personal sind für alle drei Sicherheits-

niveaus gleich:

1. Es gibt Verfahren, die sicherstellen, dass alle Mitarbeiter und

Unterauftragnehmer eine ausreichende Ausbildung, Qualifikation und Erfahrung

bezüglich der ihnen übertragenen Aufgaben haben.

2. Es gibt eine ausreichende Anzahl von Mitarbeitern und Unterauftragnehmern für

einen angemessenen Betrieb und eine angemessene Ausstattung des Dienstes

entsprechend den Vorgaben und Verfahren.

3. Die zur Bereitstellung des Dienstes genutzten Einrichtungen werden ständig

überwacht und vor Schäden durch Umgebungseinflüsse, unbefugten Zugriff oder

andere Faktoren geschützt, die die Sicherheit des Dienstes beeinträchtigen

können.

4. Die zur Bereitstellung des Dienstes genutzten Einrichtungen gewährleisten, dass

nur befugte Mitarbeiter und Unterauftragnehmer Zugang zu Bereichen haben, in

denen personenbezogene Daten, kryptografische oder andere sensible

Informationen verarbeitet werden.

Wie schon angesprochen fehlen im Rulebook der e-Zustellung Anforderungen an das

Personal.

Bezüglich technischer Kontrollen wird für das Sicherheitsniveau „Niedrig“ folgendes

festgehalten:

1. Es gibt angemessene technische Kontrollen für das Risikomanagement in Bezug

auf die Sicherheit der Dienste sowie zum Schutz der Vertraulichkeit,

Unversehrtheit und Verfügbarkeit der verarbeiteten Informationen.

2. Elektronische Kommunikationswege, die zur Übermittlung personenbezogener

oder sensibler Informationen verwendet werden, müssen gegen Abhören,

Manipulation und Replay geschützt sein.

EU-Verordnung

- 32 -

3. Der Zugang zu sensiblem kryptografischen Material, das für die Ausstellung

elektronischer Identifizierungsmittel und für die Authentifizierung verwendet

wird, ist streng auf die Rollen und Anwendungen beschränkt, die diesen Zugang

unbedingt benötigen. Es ist sichergestellt, dass solches Material niemals

dauerhaft im Klartext gespeichert wird.

4. Es gibt Verfahren, die gewährleisten, dass die Sicherheit dauerhaft

aufrechterhalten wird und dass auf geänderte Risikostufen, Vorfälle und

Sicherheitsverletzungen reagiert werden kann.

5. Alle Speichermedien, die personenbezogene, kryptografische oder andere sensible

Informationen enthalten, werden in sicherer und geschützter Weise aufbewahrt,

transportiert und entsorgt.

Für die Sicherheitsniveaus „Substanziell“ und „Hoch“ wird zusätzlich folgendes verlangt:

Sensibles kryptografisches Material, das für die Ausstellung elektronischer

Identifizierungsmittel und für die Authentifizierung verwendet wird, ist vor Fälschung

geschützt.

Zuletzt wird noch in Bezug auf Einhaltung und Prüfung für das Sicherheitsniveau

„Niedrig“ folgendes verlangt:

Es gibt regelmäßige interne Prüfungen (Audits) aller Bestandteile, die für die

Bereitstellung der Dienste von Bedeutung sind, um die Einhaltung der betreffenden

Vorgaben zu gewährleisten.

Für „Substanziell“ ist folgendes Voraussetzung:

Es gibt regelmäßige unabhängige interne oder externe Prüfungen (Audits) aller

Bestandteile, die für die Bereitstellung der Dienste von Bedeutung sind, um die

Einhaltung der betreffenden Vorgaben zu gewährleisten.

Schlussendlich verlangt das Sicherheitsniveau „Hoch“:

1. Es gibt regelmäßige unabhängige externe Prüfungen (Audits) aller Bestandteile,

die für die Bereitstellung der Dienste von Bedeutung sind, um die Einhaltung der

betreffenden Vorgaben zu gewährleisten.

2. Wird das System direkt von einer staatlichen Stelle verwaltet, so erfolgen die

Prüfungen nach den nationalen Rechtsvorschriften.

Derartige Regelungen für technische Kontrollen sowie Einhaltung und Prüfung fehlen im

Rulebook der e-Zustellung völlig.

EU-Verordnung

- 33 -

Zusammenfassung

In dieser Zusammenfassung wird festgehalten in wie fern die Sicherheitsstufen des

Rulebooks der e-Zustellung den Mindestanforderungen der durch die Durchführungs-

verordnung definierten Sicherheitsniveaus entsprechen:

Die Vorschriften für Beantragung und Eintragung sollten durch Punkt 11.2 des

Rulebooks (wenn auch nicht wortwörtlich) erfüllt sein.

Bezüglich Identitätsnachweis und Identitätsprüfung natürlicher Personen sollte

die Vertrauensstufe „Mittel“ des Rulebooks dem Sicherheitsniveau „Niedrig“ der

EU-Verordnung entsprechen. Die Vertrauensstufe „Hoch“ entspricht dem Sicher-

heitsniveau „Substantiell“. Gleiches gilt bezüglich der Verknüpfung von

elektronischen Identifizierungsmittel natürlicher und juristischer Personen.

Bezüglich der Verwaltung elektronischer Identifizierungsmittel (Anhang 2.2)

sollte die Vertrauensstufe „Hoch“ des Rulebooks die Vorschriften erfüllen, da

derartige Mechanismen für die Bürgerkarte vorgesehen sind.

Es ist davon auszugehen, dass bezüglich der Authentifizierung (Anhang 2.3) die

Sicherheitsstufe „Hoch“ des Rulebooks der e-Zustellung die Anforderungen

erfüllt.

Die Regeln für Management und Organisation (Anhang 2.4) werden größtenteils

durch das Rulebook nicht erfüllt. Es fehlen die Anforderung der ausreichend

finanziellen Mittel für etwaige Haftungen, Regeln für veröffentlichte Bekanntma-

chungen und Benutzerinformationen, das Informationsmanagement, Anforde-

rungen an das Personal, für technische Kontrollen sowie deren Einhaltung und

Prüfung.

Referenzformate für elektronische Siegel

Grundsätzlich treten die Regeln rund um das elektronische Siegel mit 1. Juli 2016 in

Kraft, die Kommission hat aber in ihrem Durchführungsbeschluss (EU) 2015/1506 vom

8. September 2015 die Spezifikationen für Formate fortgeschrittener elektronischer

Signaturen und fortgeschrittener Siegel, die von öffentlichen Stellen gemäß Artikel 27

Absatz 5 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates

über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen

im Binnenmarkt anerkannt werden, festlegt38.

Darin wird festgehalten, dass sich fortgeschrittene elektronische Signaturen und

fortgeschrittene elektronische Siegel ähneln, weswegen die Normen für die Formate

fortgeschrittener elektronischer Signaturen sinngemäß auch für die Formate fortgeschrit-

tener elektronischer Siegel gelten.

Artikel 3 und 4 des Durchführungsbeschlusses legen die Referenzformate genauer fest:

38 http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=uriserv:OJ.L_.2015.235.01.0037.01.DEU

EU-Verordnung

- 34 -

Artikel 3

Mitgliedstaaten, die gemäß Artikel 37 Absätze 1 und 2 der Verordnung (EU) Nr. 910/2014 fortgeschrittene

elektronische Siegel oder auf einem qualifizierten Zertifikat beruhende fortgeschrittene elektronische Siegel

verlangen, erkennen fortgeschrittene elektronische XML-, CMS- und PDF-Siegel der Konformitätsstufen B, T

oder LT und Siegel mit dazugehörigen Containern an, wenn diese Siegel die technischen Spezifikationen des

Anhangs erfüllen.

Artikel 4

(1)Mitgliedstaaten, die gemäß Artikel 37 Absätze 1 und 2 der Verordnung (EU) Nr. 910/2014 fortgeschrittene

elektronische Siegel oder auf einem qualifizierten Zertifikat beruhende fortgeschrittene elektronische Siegel

verlangen, erkennen andere als die in Artikel 3 dieses Beschlusses genannten Formate elektronischer Siegel an,

sofern der Mitgliedstaat, in dem der vom Siegelersteller genutzte Vertrauensdiensteanbieter niedergelassenen ist,

anderen Mitgliedstaaten Siegelvalidierungsmöglichkeiten bietet, die sich, soweit möglich, zur automatischen

Verarbeitung eignen.

(2)Die Siegelvalidierungsmöglichkeiten müssen

a) es anderen Mitgliedstaaten gestatten, die empfangenen elektronischen Siegel online, gebührenfrei und in einer

für Nichtmuttersprachler verständlichen Weise zu validieren;

b) im unterzeichneten Dokument, im elektronischen Siegel oder im elektronischen Dokument-Container

angegeben sein;

c) die Gültigkeit eines fortgeschrittenen elektronischen Siegels bestätigen, sofern

(1) das dem fortgeschrittenen elektronischen Siegel zugrunde liegende Zertifikat zum Zeitpunkt der

Besiegelung gültig war, und, wenn die fortgeschrittene elektronische Signatur auf einem qualifizierten

Zertifikat beruht, es sich bei dem dem fortgeschrittenen elektronischen Siegel zugrunde liegenden

qualifizierten Zertifikat zum Zeitpunkt der Besiegelung um ein qualifiziertes Zertifikat für elektronische

Siegel handelte, das mit Anhang III der Verordnung (EU) Nr. 910/2014 im Einklang stand und von einem

qualifizierten Vertrauensdiensteanbieter ausgestellt wurde;

(2) die Siegelvalidierungsdaten den Daten entsprechen, die dem vertrauenden Beteiligten bereitgestellt

werden; (3) der eindeutige Datensatz, der den Siegelersteller repräsentiert, dem vertrauenden Beteiligten

korrekt bereitgestellt wird;

(4) die etwaige Benutzung eines Pseudonyms dem vertrauenden Beteiligten eindeutig angegeben wird, wenn

zum Zeitpunkt der Besiegelung ein Pseudonym benutzt wurde;

(5) die etwaige Verwendung einer qualifizierten elektronischen Siegelerstellungseinheit, mit der das

fortgeschrittene elektronische Siegel erstellt wird, dem vertrauenden Beteiligten eindeutig angezeigt wird;

(6) die Unversehrtheit der mit dem Siegel versehenen Daten nicht beeinträchtigt ist;

(7) die Anforderungen des Artikels 36 der Verordnung (EU) Nr. 910/2014 zum Zeitpunkt der Besiegelung

erfüllt waren;

(8) das zur Validierung des fortgeschrittenen elektronischen Siegels verwendete System dem vertrauenden

Beteiligten das Ergebnis des Validierungsprozesses korrekt bereitstellt und es ihm ermöglicht, etwaige

Sicherheitsprobleme zu erkennen.

Der Anhang des Durchführungserlasses enthält betreffend der elektronischen Siegel noch

folgende Liste von technischen Spezifikationen:

EU-Verordnung

- 35 -

Stand der Umsetzung in Österreich

Bezogen auf Österreich wird diese Verordnung einige Konsequenzen haben:39

Umfangreiche Anpassung des innerstaatlichen Rechtsrahmens notwendig, insbe-

sondere der folgenden Gesetze und Verordnungen:

o SigG und SigV 2008

o E-GovG und VOen

o ZustG und ZustDV

Österreich hat mit den bestehenden E-Government Strategieelementen und

technischen Umsetzungen eine hervorragende Ausgangsbasis

Verbreitungs- und „Export“-Potential unserer Lösungen und deren Einsatz-

möglichkeiten, z.B. Handy-Signatur (Bürgerkarte)/ Elektronische Zustellung/…

steigen beachtlich

Die Umsetzung (Akzeptanz ausländischer eIDs auf Basis STORK und

bestehenden MOA etc.) ist eine zu bewältigende Herausforderung

Derzeit sind aber noch keine konkreten Gesetzesänderungen bekannt.

Auswirkungen auf das Rulebook

Auf Grund obiger Überlegungen (Abschnitt Stand der Umsetzung) ergeben sich folgende

mögliche Auswirkungen auf das Rulebook der e-Zustellung:

Bezüglich den Regelungen zur Interoperabilität sind, sollte der Zustellkopf auch

als Knoten dienen wollen, wahrscheinlich keine Anpassungen am Rulebook nötig

(Mindestdatensatz entspricht bereits), jedoch ist zu beachten, dass der Betreiber

eine Zertifizierung nach ISO/IEC 27001 benötigt.

Die einzelnen Vertrauensstufen der e-Zustellung sind grundsätzlich mindestens

ein Niveau unter denen der EU-Verordnung.

39 Siehe dazu, Vortrag von Peter Kustor, eID und eSignatur – Aktueller Stand der eIDAS Verhandlungen,

Vortrag im Rahmen der IRIS 2014, Salzburg, 20.2.2014

EU-Verordnung

- 36 -

Die Regeln für Management und Organisation (Anhang 2.4) werden größtenteils

durch das Rulebook nicht erfüllt. Es fehlen die Anforderung der ausreichend

finanziellen Mittel für etwaige Haftungen, die Regeln für veröffentlichte

Bekanntmachungen und Benutzerinformationen, das Informationsmanagement,

die Anforderungen an das Personal, für technische Kontrollen sowie Einhaltung

und Prüfung.

Hinzu sind noch folgende – bereits im letztjährigen Gutachten enthalten gewesenen –

Punkte zu nennen:

Die Überprüfung der Identität (Artikel 8 (1) und 24 (1) b) sollte im Rulebook

durch die in Abschnitt 3 geregelten Vertrauensstufen bereits entsprechend

abgebildet sein.

Die Anforderungen des Absatzes 2 in Artikel 24 sind aber durch das Rulebook in

wesentlichen Teilen nicht abgedeckt. Etwa fehlen Regelungen über das

beschäftige Personal vollkommen, ebenso ist nach Ansicht des Sachverständigen

das Unterrichten der Personen, die den Dienst nutzen wollen, nicht in diesem

Umfang verpflichtend vorgesehen. Darüber hinaus ist eine angemessene Haft-

pflichtversicherung nicht obligatorisch vorgesehen.

Bezüglich der Anforderung, dass der Widerruf eines Zertifikats innerhalb von

zehn Minuten nach dessen Wirksamwerden registriert werden muss (Absatz 3 in

Artikel 24) ist festzuhalten, dass laut Rulebook die Dienste ja vom Zustellkopf

selbst mit Zertifikaten ausgestattet werden. Darüber hinaus gibt es aber auch noch

Zertifikate für die Absicherung der Kommunikation „nach außen“. Regeln dafür

wie genau und insbesondere in welchem Zeitfenster ein Wiederruf registriert

werden muss, fehlen im Rulebook aber.

Ähnliches gilt für Absatz 4 im Artikel 24, der festhält, dass Informationen für die

einzelnen Zertifikate automatisch auf zuverlässige, kostenlose und effiziente

Weise bereitgestellt werden müssen.

Zwar regelt das Rulebook in Abschnitt 11.2.2, dass die jeweilige Unverfälschtheit

der Dokumente beweisbar sein muss, aber die Art und Weise wird nicht wie im

Absatz (1) d des Artikels 44 festgehalten. Gleiches gilt in ähnlicher Weise für den

qualifizierten elektronischen Zeitstempel, der in Absatz (1) f des Artikels 44

verlangt wird.

Auch für den Absatz (1) e des Artikels 44 fehlt ein entsprechender Hinweis im

Rulebook.

Bedeutsam erscheint auch Artikel 9 (2) mit welchem geregelt wird, dass unver-

züglich, in jedem Fall aber innerhalb von 24 Stunden nach Kenntnisnahme von

einer Sicherheitsverletzung oder eines Integritätsverlustes, eine Meldung an die

Aufsichtsstelle erfolgen muss. Es erscheint sinnvoll eine derartige Regelung auch

in das Rulebook aufzunehmen. Hier müsste Punkt 11.2 (Verpflichtungen der

Dienste) im Rulebook entsprechend erweitert werden, wobei dies wohl analog

auch für den Zustellkopf gelten sollte.

Es sollte auch eine prinzipielle Entscheidung gefällt werden, ob auch

elektronische Identifizierungen, die von einem anderen Mitgliedsstaat ausgestellt

wurden, anzuerkennen sind. Da es sich bei der in diesem Gutachten behandelten

EU-Verordnung

- 37 -

e-Zustellung um ein privates Service handelt, ist dies nicht verpflichtend, dennoch

könnte es natürlich zu einer größeren Verbreitung beitragen.

In Punkt 3 Vertrauensstufen – insbesondere 3.4 Vertretungsvollmacht – sollte das

elektronische Siegel aufgenommen werden.

Zusammenfassend kann dabei also festgehalten werden, dass sich in Bezug auf diese EU-

Verordnung wahrscheinlich umfassende Änderungen am Rulebook ergeben werden, da

es sicherlich sinnvoll sein wird, die darin definierten Anforderungen – zumindest

teilweise – auch in das Rulebook aufzunehmen. Mit der konkreten Ausformulierung wird

aber entsprechend einer im AUSTRIAPRO Arbeitskreis vom 25.6.2014 getroffenen

Vereinbarung noch abgewartet, bis die entsprechenden österreichischen Rechtsvor-

schriften ausgearbeitet sind.

Änderungen/Erweiterungen beim Rulebook

- 38 -

Änderungen/Erweiterungen beim Rulebook

Das Rulebook der Wirtschaftskammer Österreich „System private E-Zustellung in

Österreich“ regelt das System der privaten elektronischen Zustellung und insbesondere

die vertraglichen Beziehungen zwischen der WKO als Zustellkopf und den jeweiligen

Zustell- und Absendediensten, die sich als solche an diesem System beteiligen.

Dem Sachverständigen liegt die Version 1.2 (vom März 2015) dieses Rulebooks vor, dass

im Wesentlichen (abgesehen von einigen Ergänzungen zum Subpostfach, sowie

Änderungen bei den Formulierungen) dem Stand entspricht, der mit dem vorhergehenden

Gutachten seitens des Sachverständigen abgeliefert wurde.

In diesem Jahr sind keine wesentlichen neuen Punkte aufgetreten, nur folgende

Überarbeitungen wurden angeregt:

Verpflichtende Unterstützung von Certificate Pinning

Prüfung ob die zitierten Gesetze und Paragraphen noch am aktuellen Stand sind.

Im Folgenden sind jedem dieser Punkte Unterabschnitte gewidmet.

Certificate Pinning

Im Rahmen der Umsetzung der Remote-Control Schnittstelle wurde angeregt, dass im

Rulebook die Zustelldiensteanbieter verpflichtet werden sollten, nur solche Webservice-

Clients zum Einsatz zu bringen, die Certificate Pinning verwenden.

Im Rulebook ist dies derzeit im Punkt 2.9 Identifizierungsmittel wie folgt geregelt:

Die Identifizierungsmittel dienen der wiederkehrenden Identifizierung der Benutzer bei

der Inanspruchnahme eines Dienstes. Die Dienste stellen sicher, dass diese dem

aktuellen Stand der Technik entsprechen.

Es wäre denkbar dies um den Zusatz „Darunter wird derzeit Certificate Pinning

verstanden.“ zu ergänzen. Allerdings wurde in der AK-Sitzung vom 15.9.2015 keine

echte Notwendigkeit gesehen das Rulebook diesbezüglich zu ergänzen, sodass noch

keine Schritte in diese Richtung hin unternommen worden sind.

Prüfung der zitierten Gesetze

In diesem Abschnitt wird untersucht ob die im Rulebook zitierten Gesetze und Verord-

nungen am aktuellen Stand sind.

In folgenden Abschnitten des Rulebooks werden Gesetze bzw. Verordnungen zitiert:

3.2: § 40 BWG idF BGBl. I Nr. 77/2011 und §2 Abs 3a SigG idF BGBl. I Nr.

59/2008, sowie § 8 Abs 1 SigG (in der Fußnote): §40 des BWG ist mittlerweile in

Änderungen/Erweiterungen beim Rulebook

- 39 -

der Fassung BGBl. I Nr. 184/2013 vorhanden, Jedoch hatten die Veränderungen

keine inhaltlichen Auswirkungen auf das Rulebook. Das Signaturgesetz in immer

noch in der Fassung BGBl.1. I Nr. 75/2010 vorhanden.

3.3: § 2 Z2 EGovG idF BGBl. I Nr. 111/2010: Das E-GovG ist nun in der

Fassung BGBl. I. Nr. 83/2013 vorhanden, wobei dieser Paragraph nicht geändert

worden ist.

3.4: § 9 der Stammzahlenregisterverordnung iVm § 5 des E-Government-

Gesetzes: Diese Paragraphen sind noch aktuell.

11.2: § 10 Abs 1 DSG: Das Datenschutzgesetz wurde diesbezüglich heuer nicht

geändert.

11.2.1 § 13 ECG: Das E-Commerce-Gesetz ist nach wie vor in der Fassung BGBl.

I Nr. 152/2001 verfügbar.

Zusammenfassend kann also festgehalten werden, dass sich teilweise die Fassungen

verändert haben, aber insgesamt keine inhaltlichen Auswirkungen feststellbar sind.

Wirtschaftsportalverbund

- 40 -

Wirtschaftsportalverbund

Einführung

Der Wirtschaftsportalverbund basiert auf den AUSTRIAPRO Arbeitskreis WPV und soll

eine Kooperationsbasis für verschiedene Dienstanbieter der Wirtschaft im Internet dar-

stellen, um elektronische Geschäftsprozesse sicherer und effizienter als bisher abwickeln

zu können. Mit Beginn 2014 wurde dabei ein eigener WPV Verein gegründet, der als

rechtlicher Träger der Federation (siehe unten) dient (www.wirtschaftsportalverbund.at).

Eine offizielle Präsentation fand am 18.9.2014 in der Wirtschaftskammer Österreich statt.

Der Nutzen des WPV für die Anbieter von Anwendungen ist:

Digitalisierung bestehender Geschäftsprozesse

Entwicklung neuer Geschäftsmodelle

Zugang zu neuen Kundengruppen

höhere Sicherheit bei gleichen Kosten

geringere Kosten für Identifikation und Helpdesk

verbesserte Compliance bei starker Vernetzung

Für die Anwender selbst soll es die Möglichkeit geben ein gemeinsames

Anmeldeverfahren („Single Sign On“) für viele unterschiedliche Geschäftsprozesse

anzuwenden. Die Anwender müssen sich nur noch ein einziges Mal authentifizieren und

sind dann berechtigt, eine ganze Reihe unterschiedlicher Geschäftsprozesse (je nach

vergebenen „Rollen“ der Person) auf den zum Portalverbund gehörigen Portalen,

Plattformen etc. durchzuführen.

Mit Hilfe der sogenannten „Identity Provider (IdP)“ innerhalb des WPV (diese

garantieren die Identität des Anwenders gegenüber den im WPV zusammengefassten

Anwendungen) wird ein „Vertrauensnetzwerk“ aufgebaut, in dem für alle Nutzer

Identität, Vertraulichkeit, Integrität, Zurechenbarkeit und Datenschutz gewährleistet

werden.

Ein solches Vertrauensnetzwerk besteht seinerseits aus mehreren „Federations“

(kooperierende Gruppen von Unternehmen/Organisationen). Die Aufsicht über mehrere

solche Federations hat eine „Federation Authority“, die ein allgemeines Regelwerk für

den WPV zur Verfügung stellt und dieses weiterentwickelt.

Zusätzlich zu kommerziellen Angeboten für Identity Provider des WPV ist auch die

Einbindung des Unternehmensserviceportals (USP) des Bundesministeriums für

Finanzen (Weiterentwicklung des bekannten „help.gv.at für Unternehmen“) geplant.

Der WPV hat dabei auch im Juli 2015 ein Rulebook veröffentlicht. Dieses wird in diesem

Gutachten kurz behandelt und untersucht, ob es eventuell Anregungen für das Rulebook

der e-Zustellung beinhaltet.

Wirtschaftsportalverbund

- 41 -

Auch der Zustelldienst soll dabei als Identity-Provider auftreten. Auswirkungen auf das

Rulebook der e-Zustellung auf Grund dieses Aspektes sollten in diesem Gutachten

ebenso untersucht werden.

Rulebook des WPV

Nachdem der Erscheinungstermin des Rulebooks des Wirtschaftsportalverbundes einige

Male verschoben wurde, wurde die Version 1.16 am 13.7.2015 approbiert und online

gestellt. Das Rulebook ist aber noch nicht final. Weitere Bestimmungen des Rulebooks

sind aus der Praxis heraus, d.h. im Zuge des Aufbaus der ersten Federation, zu

formulieren.

In einer umfassenden Präambel wird eine Leistungsbeschreibung des WPV, ebenso wie

dessen Grundprinzipien, Sicherheitsziele und Datenschutzprinzipien beschrieben.

Das eigentliche Rulebook beginnt in Kapitel 1 mit einer Definition aller Begriffe und

Rollen, die sich im WPV ergeben.

Kapitel 2 präsentiert die Architektur des WPV und hält fest, dass dieser aus einer

Federation Authority (FA) und weiteren Teilnehmern, die für die Erfüllung verschiedener

globaler Funktionen und für die Aufrechterhaltung des Betriebs erforderlich sind, sowie

aus mehreren Federations, die von je einem Federation Operator (FO) betrieben und

verwaltet werden, besteht.

Die Kapitel 3 – 5 präsentieren die Vorrausetzungen unter denen jemand Teilnehmer am

WPV sein kann. Diese müssen akkreditiert werden und die Voraussetzung für die

Verlängerung der Akkreditierung muss kontinuierlich durch positive Audits überprüft

werden.

Kapitel 6 regelt den Umgang mit einer Federation Authority (FA), dazu gehören

insbesondere Haftung, Geheimhaltung, Archivierung, sowie die Bearbeitung von

Meldungen und Konflikten.

Kapitel 7 regelt die Rechte und Pflichten aller Teilnehmer. Dazu gehört die allgemeine

Sorgfaltspflicht, Datenschutz und Datensicherheit, Folgen rechtswidriger Handlungen der

Teilnehmer, sowie Regeln für die Konflikte zwischen Teilnehmern. Ferner wird auf

Protokollierung und Datenherausgabe sowie auf die Weiterverwendung von

Benutzerdaten eingegangen. Bei letzterem Punkt geht es vor allem darum zu vermeiden,

dass ein Teilnehmer den WPV nur kurzfristig nutzt und dann mit den gewonnenen

Kunden und Daten ein Konkurrenzsystem aufbaut.

Kapitel 8 geht auf die Regeln für einen Federation Operator (FO), der die zentralen

Dienste der Federation, betreibt, ein und regelt die Aufnahme und die Pflichten für den

Betrieb einer Federation. Ebenso wird auf deren Einstellung sowie Übergabe an einen

anderen FO eingegangen.

Wirtschaftsportalverbund

- 42 -

Kapitel 9 geht auf die Regeln für einen Identity Provider (IdP), der die eindeutige und

überprüfbare Identität einer Entität gewährleistet und zugehörige Attribute vermittelt. Für

die Aufnahme des Betriebs einer IdP ist dabei der Abschluss eines Vertrags zwischen IdP

und FO, sowie die Akkreditierung des IdP durch die FA nötig. Ein IdP darf weder direkt

noch indirekt Daten darüber erheben oder speichern, welche Services ein Benutzer

verwendet und insbesondere an welche Services Attributsdaten eines Benutzers

übertragen werden. Hingegen muss Protokoll über jeden Vorgang der Authentifizierung

(Login und Logout) und der Übertragung von Identitätsdaten an einen SB führen. Jeder

solche Protokolleintrag muss enthalten, welche Attribute – nicht jedoch Attributswerte –

betreffend welchen Benutzer zu welchen Zeitpunkt an welchen SB übermittelt wurden.

Jeder solche Protokolleintrag ist mit einer eindeutigen Nummer zu versehen, die auch

dem SB, der Empfänger der Datenübertragung ist, zu übermitteln ist. Auch Beendigung

der Teilnahme eines IdP, bzw. die Einstellung des Betriebes eines IdP werden geregelt.

Kapitel 10 regelt den Betrieb eines Service Broker (SB), der die Beziehungen zwischen

SP und Federation (IdP, FO) regelt.

Kapitel 11 regelt den Betrieb eines Service Provider (SP).

Kapitel 12 behandelt etwaige Unvereinbarkeiten, wie etwa, dass ein FO rechtlich,

organisatorisch und wirtschaftlich von allen IdP und SB unabhängig sein muss.

Kapitel 13 soll Gebühren und Leistungen regeln, ist aber derzeit noch völlig offen

gehalten und muss erst finalisiert werden.

Kapitel 14 soll Datensicherheitsvorgaben geben.

Kapitel 15 hält fest, dass die FA bei begründeten Ausnahmefällen schriftliche Abwei-

chungen von den verpflichtenden Bestimmungen dieses Rulebooks beschließen kann.

Kapitel 16 hält die Anwendung von österreichischem Recht, mit Ausnahme des UN-

Kaufrechts und die Zuständigkeit des jeweils sachlich zuständigen Gerichts im Sprengel

des Handelsgerichts Wien fest.

Zustelldienst als Identity Provider

Die wohl interessanteste Option für eine Einbindung der e-Zustellung in den WPV wäre

dass der Zustellkopf selbst als Identity Provider auftritt, aber auch die Einbindung eines

Zustelldienstes wäre natürlich denkbar. Dazu muss laut Kapitel 3 des WPV-Rulebooks

der Teilnehmer einen Vertrag mit dem WPV abschließen. Danach muss eine

Akkreditierung durchgeführt werden. Diese wird in Kapitel 4 des WPV-Rulebooks

geregelt, wo derzeit aber nur grob gesprochen jene Teile der jeweiligen Pflichten des

Rulebooks, deren Erfüllung man bereits vorab überprüfen kann, Voraussetzung sind.

Nähere Details werden erst definiert werden, wenn die erste Federation entsteht.

Wirtschaftsportalverbund

- 43 -

Wesentlich ist natürlich Kapitel 7, dass die Rechte und Pflichten aller Teilnehmer regelt.

Dazu gehört einmal Kapitel 7.1 Allgemeine Sorgfaltspflicht, die sich wohl von selbst

versteht. Dennoch entspricht dies im Wesentlichen auch den Anforderungen des Absatzes

2 in Artikel 24 der oben erwähnten Verordnung (EU) Nr 910/214 des europäischen

Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für

elektronische Transaktionen im Binnenmarkt.

7.1 Allgemeine Sorgfaltspflicht

7.1.1 Jeder Teilnehmer hat unabhängig von den in diesem Rulebook festgelegten Pflichten die ihm aufgrund

seiner Rolle zukommenden Aufgaben nach dem Stand der Technik mit der Sorgfalt eines ordentlichen

Unternehmers zu erfüllen, die dafür notwendigen Kenntnisse zu besitzen (§ 347 UGB, § 1299 ABGB) und

insbesondere angemessene Datensicherheits-maßnahmen zu ergreifen.

7.1.2 Jeder Teilnehmer hat Personal und gegebenenfalls Unterauftragnehmer zu beschäftigen, das bzw. die über

das erforderliche Fachwissen, die erforderliche Zuverlässigkeit, die erforderliche Erfahrung und die

erforderlichen Qualifikationen verfügt bzw. verfügen.

Es wäre daher durchaus überlegenswert einen ähnlichen Passus in das Rulebook der e-

Zustellung aufzunehmen.

Weiters wird in 7.2 Datenschutz und Datensicherheit verlangt, was auch im Rulebook der

e-Zustellung in 11.2 (Die Dienste haben für die Einhaltung der anwendbaren Gesetze

insbesondere des Datenschutzgesetzes zu sorgen.) enthalten ist. Etwas strenger und vor

allem näher definiert sind die Regeln zur Geheimhaltung:

7.2.2 Geheimhaltung

7.2.2.1 Teilnehmer dürfen die von ihnen verarbeiteten personenbezogenen und transaktionsbezogenen Daten

nicht an andere Teilnehmer oder an Dritte weitergeben, es sei denn, dies ist im Zuge der Durchführung einer

Transaktion nach den Regeln dieses Rulebooks erforderlich oder es liegt eine gesetzliche Verpflichtung nach den

Bestimmungen der Europäischen Union oder eines ihrer Mitgliedstaaten oder einer der unter 7.5.1 genannten

Fälle vor.

7.2.2.2 Jeder Teilnehmer hat seine Mitarbeiter schriftlich über die gesetzlich und/oder nach diesem Rulebook

bestehenden Geheimhaltungs-, Datenschutz- und Datensicherheitspflichten zu belehren.

7.2.3 Datenminimierung

Jeder Teilnehmer darf nur jene Daten einsehen und verarbeiten können, die er benötigt, um eine bestimmte

Transaktion durchzuführen bzw. seine Aufgaben im WPV zu erfüllen.

Auch hier wäre es überlegenswert derartige Regelungen in das Rulebook der e-

Zustellung aufzunehmen.

In Bezug auf die Verknüpfbarkeit der Daten sind einige Punkte zu beachten:

7.2.4 Beschränkung der Verknüpfbarkeit

7.2.4.1 Die personenbezogenen Daten eines Benutzers dürfen bei der Übermittlung an unterschiedliche

Teilnehmer oder an denselben Teilnehmer für unterschiedliche Zwecke nicht mit demselben

Identifikationsschlüssel versehen werden, sodass die Übermittlungsempfänger nicht in der Lage sind, die

personenbezogenen Daten eines Benutzers, die sie jeweils innehaben, mittels deren Identifikationsschlüssel zu

verknüpfen.

Wirtschaftsportalverbund

- 44 -

7.2.4.2 Darüber hinaus sollen auch andere personenbezogene Attribute nur im erforderlichen Umfang übermittelt

werden und für eindeutige Kontaktadressen wie E-Mail möglichst eine pseudonymisierte Version verwendet

werden.

Begründung: Nicht-Verknüpfbarkeit kann nicht als Vorschrift umgesetzt werden. Name und

Geburtsdatum machen die Daten meist eindeutig verknüpfbar. Man kann nur Maßnahmen

vorschreiben, die das Verknüpfen faktisch erschweren (law by design) sowie das Verknüpfen verbieten.

7.2.4.3 Unabhängig davon darf ein Teilnehmer auch nicht auf andere Weise personenbezogene Daten mit einem

anderen Teilnehmer austauschen oder abgleichen oder an diesen übermitteln. Davon ausgenommen sind Fälle, in

denen eine Zustimmung des Betroffenen oder eine Herausgabepflicht laut 7.5.1 vorliegt.

Hier muss bei der Implementierung der Schnittstellen darauf geachtet werden, dass etwa

bei der Suche nicht das Geburtsdatum zurückgegeben wird, wie es laut Rulebook bei der

Suche in einem Zustelldienst sehr wohl sein müsste. Insofern müsste wahrscheinlich auch

der Punkt 7.1 des Rulebooks der e-Zustellung angepasst werden.

Interessant sind auch die Aspekte der Meldeverpflichtung und des Loggings von Daten,

auch hier wäre die Übernahme in das Rulebook der e-Zustellung überlegenswert.

7.2.6 Meldeverpflichtungen

Ungeachtet der Pflicht zur Meldung von Verstößen gemäß § 7.3.2 dieses Rulebooks und ungeachtet allfälliger

gesetzlicher Meldepflichten hat jeder Teilnehmer Vorfälle der Kompromittierung von Sicherheitsmaßnahmen,

unbefugte Zugriffe, unbefugte Manipulationen und Fehlfunktionen betreffend Systeme, die er zur Erbringung

seiner diesem Rulebook unterliegenden Dienste betreibt, an die FA zu melden, unabhängig davon, ob durch das

zu meldende Ereignis ein Schaden entstanden ist.

Begründung: Diese Meldepflicht bezieht sich insbesondere auf Hacker-Angriffe aber auch auf

unbefugte Handlungen die von Mitarbeitern der Teilnehmer oder mit deren Wissen durchgeführt

werden. Die FA muss über die Informationssicherheitslage im WPV im Bilde sein, um wenn nötig

geeignete Maßnahmen, wie insbesondere Anpassung des Regelwerks treffen zu können.

7.2.7 Logging und Aufbewahrung von Daten

Alle Teilnehmer, insbesondere SB und IdP, müssen über Vorgänge der Übermittlung von Identitätsdaten an

andere Teilnehmer detaillierte Aufzeichnungen führen, aus denen hervorgeht, welche Art von Daten betreffend

welchen Benutzer zu welchem Zeitpunkt an welchen anderen Teilnehmer übermittelt wurden.

Im Zuge der ersten Federation allgemein auszuarbeiten:

Aufbewahrungsfristen von Transaktionsdaten (relevant: § 14 Abs 5 DSG)

In Bezug auf die Verpflichtungen durch das WPV-Rulebook laut 7.5.1 zur Protokol-

lierung, wobei der Zeitpunkt wie lange die Daten aufbewahrt werden sollen, noch nicht

festgelegt ist, kann gesagt werden, dass dies durch die e-Zustellung schon gut abgedeckt

ist. Auch in der e-Zustellung ist ein Protokoll vorgesehen (9.3), die Fristen sind in 11.2.3

geregelt.

Insbesondere für den IdP legt Kapitel 9.3. noch weitergehende Vorschriften für die

Protokollierung fest:

9.3.1 Ein IdP muss Protokoll über jeden Vorgang der Authentifizierung (Login und Logout) und der Übertragung

von Identitätsdaten an einen SB führen.

Begründung: Es wird bewusst der Begriff „Übertragung“ und nicht „Übermittlung“ verwendet, um die

Auslegung auszuschließen, dass nur Übermittlungen im Sinne des Datenschutzgesetzes erfasst sind

(auch wenn derzeit nur dies denkbar erscheint).

Wirtschaftsportalverbund

- 45 -

9.3.2 Jeder solche Protokolleintrag muss enthalten, welche Attribute – nicht jedoch Attributswerte – betreffend

welchen Benutzer zu welchem Zeitpunkt an welchen SB übermittelt wurden.

9.3.3 Jeder solche Protokolleintrag ist mit einer eindeutigen Nummer zu versehen, die auch dem SB, der

Empfänger der Datenübertragung ist, zu übermitteln ist.

Meines Erachtens sind dies „nur“ Vorschriften, die der Zustelldienst gegebenenfalls

umsetzen müsste, eine Anpassung des Rulebooks sollte deswegen nicht nötig sein. Dies

wird aber natürlich auf die dann genau ausformulierten Anforderungen ankommen.

Ferner enthalten die Kapitel 9.4 und 9.5 umfassende Regelung zur Beendigung der

Teilnahme eines IdP bzw. zur Einstellung des Betriebes eines IdP. Tatsächlich fehlen

derartige Regelungen im Rulebook der e-Zustellung derzeit, zwar werden die Pflichten

eines Zustelldienstes diesbezüglich geregelt, nicht geregelt wird aber eine etwaige

Einstellung des Zustellkopfes. Es wird daher angeregt auch dies im Rulebook der e-

Zustellung zu regeln, wobei als Muster die Formulierungen des WPV-Rulebooks

verwendet werden könnten (diese liegen allerdings noch nicht final vor, da sie erst im

Zuge der ersten Federation ausgearbeitet werden).

Kritisch gesehen werden müssen wohl auch noch die Unvereinbarkeitsbestimmungen von

Kapitel 12 wonach ein IdP rechtlich, organisatorisch und wirtschaftlich von FO, SB und

allen Federation-CAs (Zertifizierungsdiensteanbieter), was wohl die WKO eher generell

ausschließen würde. Allerdings legt 12.5 fest, dass es hierzu auch Ausnahmen gibt. Auf

jeden Fall müsste gegebenenfalls sicherlich dieser Punkt an Hand der tatsächlichen

Teilnehmer genau betrachtet werden.

Weitere Anregungen für das Rulebook der e-Zustellung

Neben etwaigen Änderungen, die sich am Rulebook ergeben könnten, wenn der

Zustellkopf oder der Zustelldienst am WPV teilnehmen, z.B. eben als Identity-Provider,

ist das Rulebook des WPV natürlich auch eine Ideensammlung welche Punkte eventuell

noch in das Rulebook der e-Zustellung aufgenommen werden könnten.

Interessant ist dabei sicherlich das Kapitel 5 „Audit“. Auch in den Verträgen der

e-Zustellung ist ja vorgesehen, dass eine Konformitätserklärung (Gutachten über

die technische Qualität der Anwendung und Bestätigung, dass der Zustelldienst

den technischen Standards der WKO entspricht) vorgelegt wird. Dies wäre wohl

sicherlich in Form eines Audits zu überprüfen.

Eine Weiterverwendung von Benutzerdaten wird zum Zwecke dessen, das

Teilnehmer nicht mit den gewonnenen Kunden ein Konkurrenzsystem aufbauen,

ausgeschlossen (Kapitel 7.5.2). Auch sind sie generell zur Geheimhaltung

(Kapitel 6.2) verpflichtet. Derartige Bestimmungen wären auch im Rulebook der

e-Zustellung überlegenswert.

Haftungen: Zwar ist in Kapitel 11.2.1 des Rulebooks der e-Zustellung die Haftung

der Dienste für übermittelte Inhalte geregelt, das WPV-Rulebook geht hier

allerdings noch weiter und definiert manche Punkte genauer.

Wirtschaftsportalverbund

- 46 -

Ein abschließendes Kapitel, das anwendbares Recht und Gerichtsstand regelt (wie

Kapitel 16 im Rulebook des WPV) fehlt im Rulebook der e-Zustellung.

Allerdings ist anzumerken, dass diese Punkte in der Vertragsvorlage für

Zustelldienste enthalten sind, was ausreichen sollte.

Zusammenfassung Änderungen Rulebook

Wenn diese Aspekte bedacht werden, dann könnten durch den WPV folgende Aspekte im

Rulebook der e-Zustellung Eingang finden:

- Kapitel 5 Audit

- Kapitel 6.1 Haftung

- Kapitel 6.2 Geheimhaltung

- Kapitel 7.1 Allgemeine Sorgfaltspflicht

- Kapitel 7.2 Datenschutz und Datensicherheit allgemein, davon besonders

o Kapitel 7.2.4 insbesondere wegen Geburtsdatum in Suchergebnis

o Kapitel 7.2.6 Meldeverpflichtungen

o Kapitel 7.2.7 Logging und Aufbewahrung von Daten

- Kapitel 7.5.2 Weiterverwendung von Benutzerdaten

- Kapitel 9.4 Beendigung der Teilnahme

- Kapitel 9.5 Einstellung des Betriebes

- Kapitel 16 Anwendbares Recht und Gerichtsstand

Darüber hinaus muss beachtet werden, dass nach finalem Vorlegen des WPV-Rulebooks

kontrolliert wird, ob die Implementierung des Zustellkopfes die Protokollvorschriften des

Kapitels 9.3 berücksichtigt, falls der Zustellkopf als IdP dienen sollte. Auch müssen die

Unvereinbarkeitsbestimmungen aus Kapitel 12 beachtet werden.

Ausblick

- 47 -

Ausblick

In diesem Abschnitt werden Überlegungen angestellt, welche weiteren Arbeiten noch

durchgeführt werden könnten:

- Die Übernahme der Verordnung des Europäischen Parlaments und des Rates über

die elektronische Identifizierung und Vertrauensdienste für elektronische

Transaktionen im Binnenmarkt in österreichisches Recht sollte genau beobachtet

und darauf aufbauend das Rulebook entsprechend angepasst werden. Entspre-

chende Schwerpunkte dabei wurden bereits in diesem Gutachten angesprochen.

- Interessant ist auch, dass vom WPV herausgearbeitete Risikokonzept bei dem

auch Risikoklassen identifiziert worden sind. Es wäre eventuell sinnvoll,

diesbezügliche Überlegungen auch für das Projekt e-Zustellung, vorzunehmen.

- Die vertragliche Situation mit den Zustelldiensten als auch die Überlegungen

betreffend eines Vertrages mit dem WPV-Verein gehören nach Vorliegen genauer

Informationen über die Integration des WPV in das System der e-Zustellung

sicherlich noch einmal überarbeitet. In diesem Zusammenhang muss dann auch

das Thema Informationsverbundsystem noch einmal geprüft werden40.

- Sollte eine Neuauflage der Vorratsdatenspeicherung41, in welcher Art auch

immer, beschlossen werden, so wird deren Auswirkung auf die e-Zustellung zu

untersuchen sein.

- In den Verträgen zwischen der WKÖ und den Zustelldiensten ist in Anlage 3 eine

Konformitätserklärung (Gutachten über die technische Qualität der Anwendung

und Bestätigung, dass der Zustelldienst den technischen Standards der WKÖ

entspricht) notwendig. Nach Wissen des Sachverständigen liegt dafür noch kein

Kriterienkatalog vor, insofern sollte ein derartiger Katalog ausgearbeitet werden.

40 Dies war umfassend Thema im Gutachten des letzten Jahres. 41 Nachdem die sogenannte „Vorratsdatenspeicherungsrichtlinie“ 2006/24/EG durch den EuGH aufgehoben

wurde und in weiterer Folge auch das entsprechende österreichische Gesetz nicht vor dem VfGH standhielt,

gibt es dennoch immer wieder Bestrebungen ein neues Gesetz in Österreich einzuführen.

Zusammenfassung

- 48 -

Zusammenfassung

Im Rahmen dieses Gutachtens wurden rechtliche Zusammenhänge bzw. Abhängigkeiten

im Rahmen des Projektes E-Zustellung erarbeitet. Folgende Aspekte sind dabei

besonders hervorzuheben:

Die gesetzliche Rahmensituation der E-Zustellung sowohl in den Nachbarländern,

als auch in Skandinavien und insbesondere Estland wurde untersucht. Hier

konnten teilweise sehr umfassende Gesetzgebungen bis hin zur Verpflichtung

über die E-Zustellung erreichbar sein zu müssen, festgestellt werden. Gerade

Estland aber auch Finnland sind tatsächlich in vielfacher Hinsicht ein Vorbild.

Die nunmehr vorliegenden Durchführungsbeschlüsse zur Verordnung des Euro-

päischen Parlaments und des Rates über die elektronische Identifizierung und

Vertrauensdienste für elektronische Transaktionen im Binnenmarkt wurden genau

analysiert und dabei mögliche Vorschläge für Anpassungen des Rulebooks

erarbeitet.

Abgesehen von minimalen Anpassungen (auf Grund neuer Gesetzblätter) wurden

keine Erweiterungen am Rulebook vorgenommen.

Das Rulebook des Wirtschaftsportalverbundes wurde insbesondere unter dem

Aspekt, dass ein Zustelldienst als Identity Provider auftritt, untersucht. Auch

wurden diesbezüglich Anregungen für das Rulebook der e-Zustellung erarbeitet.

Gedanken zu möglichen zukünftigen Arbeiten runden das Gutachten ab.

Wir erstatten diesen Bericht aufgrund unserer Prüfung sowie der uns erteilten Auskünfte

und vorgelegten Unterlagen nach bestem Wissen.

Haag, Dezember 2015

Dr. Markus Knasmüller

Anhang A Rulebook – Überarbeitete Version

- 49 -

Anhang A Rulebook – Überarbeitete Version

In diesem Anhang findet sich eine überarbeitete Version des Rulebooks als Word-Datei

im Entwurfsmodus. Sämtliche in den vorhergehenden Abschnitten erwähnten

Verbesserungsvorschläge sind dabei eingearbeitet.