A-CERT Certification Service
2004/01/22 e-government-Gesetz heute im Verfassungsausschuss
Verfassungsausschuss tagt am 22.1.2004 zum e-government-Gesetz - Im Rahmen der Expertenanhörung wird die ARGE DATEN die wichtigsten Kritikpunkte nochmals zusammenfassend präsentieren - Eigene Zielvorgaben nicht erreicht - Zuständigkeitslösung vermutlich EU-widrig - Systemsicherheit 'auf Abruf' - System berührt Menschenwürde und ist möglichwerweise verfassungswidrig - Intransparent für Benutzer - Wichtige Anliegen der Verwaltungsvereinfachung fehlen - Barrierefreier Behördenzugang soll auf lange Bank geschoben werden - problematische Überbetonung der Bürgeridentifikation - Auch Landeshauptmann Sausgruber sieht für die meisten Verwaltungsfälle keinen hohen Identifikationsbedarf

ZIELVORGABE DES GESETZES NICHT ERREICHT

§1 spricht von der 'Förderung rechtserheblicher elektronischer Kommunikation'. Abgesehen davon, dass eine spezifische Förderung nicht (mehr) benötigt wird - es existieren schon tausende Online-Anwendungen - fehlen im Gesetz wichtige Impulse zur Förderung, die die besonderen Vorteile der elektronischen Kommunikation hervorkehren, wie Schnelligkeit, zeitliche Verfügbarkeit und Abbau von Barrieren.
Dem entgegen beschäftigt sich das Gesetz in übertriebener Weise mit der Bürgeridentifikation und schlägt ein enorm kompliziertes, intransparentes, teures und trotzdem fehleranfälliges System vor.


ZUSTÄNDIGKEITSLÖSUNG VERMUTLICH EU-WIDRIG

Die geplante Zuständigkeitslösung zur Stamm- und Personenkennzeichenverwaltung mit DSK, DVR und BMI ist intransparent und führt im Beschwerdefall dazu, dass dieselbe Behörde, die für den operativen Ablauf zuständig war, auch über die Beschwerde entscheiden muss. Das ist vermutlich EU-widrig. Die EU fordert zu allen Datenschutzfragen eine einzige, unabhängige Kontrollinstanz, was andere operative Aufgaben automatisch ausschließt.


SYSTEMSICHERHEIT 'AUF ABRUF'

Zum Thema Sicherheit gibt es in der IT-Branche zwei völlig unbestrittene Basiserkenntnisse.

Erstens gibt es kein absolut sicheres System, jedes Sicherheits-Verfahren wird in der Folge durch neue Erkenntnisse und/oder neue Rechnerleistungen geknackt ('brute force'). Aus diesen Gründen enthalten alle Systeme im Echteinsatz umfassende Rückruf-, Sperr- und Backupmechanismen (Revokation-Prozeduren). Vorgaben dazu fehlen im e-gov-Gesetz völlig.

Zweitens wird Sicherheit am ehesten dadurch gewährleistet, dass verschiedene Systeme verschiedene Methoden verwenden und diese nicht oder nur teilweise offengelegt werden. Das geplante System sieht eine für den gesamten Verwaltungsbereich idente Infrastruktur vor, die schon wegen der umfassenden Folgewirkungen attraktiv für Angriffe ist.

Der Vorschlag, für alle behördlichen Aktivitäten einen einzigen Identifikationsmechanismus zu verwenden, ist geradezu eine Einladung, technische Schwachstellen des Systems aufzuspüren. Bei Korrumpierung des Systems besteht die Gefahr, den gesamten elektronischen Rechtsverkehr in Österreich lahmzulegen.


SYSTEM BERÜHRT MENSCHENWÜRDE UND IST MÖGLICHERWEISE VERFASSUNGSWIDRIG

Das System der Stammnummernvergabe, der Ableitung von Bereichskennzeichen und die enge Verknüpfung mit der Meldeevidenz führen dazu, dass wesentlich genauer als bisher, etwa durch die technisch mögliche Auswertung von Protokolldaten des ZMR, kontrolliert und überprüft werden kann, welcher Bürger welche Behörden zu welchen Zeitpunkten kontaktiert hat.

Damit ist das System nach 'objektiven Kriterien zur Überwachung geeignet'. Schon mehrfach hat sich der OGH und der VwGH im Rahmen des IT-Einsatzes am Arbeitsplatz (etwa Telefondatenaufzeichnung) dazu geäußert und festgestellt, dass 'Systeme, die objektiv zur Überwachung geeignet sind, die Menschenwürde berühren können', und zwar unabhängig von einer tatsächlich durchgeführten Überwachung.

Was für den Arbeitsplatz gilt, sollte auch für alle Bürger gelten. Es muss bezweifelt werden, ob das geplante System der zentralen Kennzeichenableitung und Überwachung überhaupt verfassungskonform ist.


INTRANSPARENT FÜR BENUTZER

Um das System überhaupt benutzen zu können, sind eine Fülle technischer Anschaffungen, beginnend mit Computer, Chipkartenleser, geeigneter Software, Internetanschluss, Vereinbarungen mit Zustelldienst, Signaturdienst, ..., notwendig. Das Gelingen eines Anbringens ist von dem reibungslosen Funktionieren verschiedenster Einrichtungen abhängig.

Schlagen jedoch Übermittlungsversuche fehl, hat der Benutzer (Bürger und Behörde) derzeit keine realistische Chance, die Fehlerquelle zweifelsfrei zuzuordnen. Vom schlichten Eingabefehler bis zum Versagen eines Core-Routers oder Core-Name-Servers in den USA kann der Fehler reichen. Es kann derzeit nicht einmal garantiert werden, dass überhaupt die Tatsache eines Fehlers angezeigt wird.


Nicht ohne Grund wurden daher von der EU großzügige Rücktrittsfristen im e-commerce-Bereich verbindlich vorgegeben. Derartige Mechanismen, ebenso wie Revokation-Mechanismen im Verdachtsfall eines Missbrauchs oder Identitätsdiebstahls, fehlen im Gesetz völlig. Auch Systemwechsel zwischen elektronischer und klassicher Erledigung eines Antrags oder die Verknüpfung klassischer und elektronischer Verfahrensbeteiligter sind im Entwurf nicht oder unzureichend berücksichtigt.
Der vorgeschlagene Entwurf überträgt die Verantwortung im Fehlerfall völlig einseitig dem Bürger, ohne ihm geeignete technische Hilfsmittel (zentrale Hotline, technische Analysewerkzeuge, Haftung der Hilfslieferanten, ...) zur Verfügung zu stellen.

So konnte selbst der Systemerfinder anlässlich einer Demonstration im Bundeskanzleramt, die nicht funktionierte, auch nur annähernd angeben, an welcher Stelle die Fehlerursache liegt.


BEREICHSKENNZEICHEN-KONZEPT IST NICHT PRAKTIKABEL

Wie auch aus dem Abänderungsantrag von Dr. Baumgartner-Gabitzer, Scheibner und Kollegen hervorgeht (lit. g), wird das Bereichskonzept als nicht tragfähig angesehen. Mit der Gleichsetzung eines Bereiches mit einer registrierten Datenanwendung gem. DSG 2000 wird ein wesentlicher Eckpfeiler des Entwurfes, nämlich bestimmte Aufgabenbereiche der Behörden zusammen zu fassen, aufgegeben.

Die ARGE DATEN begrüßt diese rechtliche Klarstellung, muss jedoch zu Bedenken geben, dass damit ein großer Teil des e-government-Entwurfes sinnlos wird. Schon bisher war es üblich und technisch zweckmäßig, Personen, Organisationen und Vorgängen innerhalb einer Datenanwendung eindeutige Kennzeichen zuzuordnen.

Eine über mehrere getrennte Datenanwendungen hinausgehende Bereichszusammenfassung würde nämlich eine Bundesstaatsreform erfordern, die zwar im Rahmen des Österreichkonvents geplant, aber derzeit nicht absehbar ist.


TEURES SYSTEM, DAS ZU LASTEN DES DATENSCHUTZES GEHEN WIRD

Das gesamte Bürgerkarten- und Identifikationssystem, das nur bei einer äußerst geringen Zahl von Behördenwegen tatsächlich unerlässlich ist, ist enorm teuer und aufwändig. Es wird nur durch zusätzliche privatwirtschaftliche Nutzung finanzierbar sein, und es wird zu einer Vermischung hoheitlicher und kommerzieller Aufgaben und Interessen kommen.

Wie am Beispiel der 'Komfort-Abfrage' beim ZMR deutlich wurde, zeigt die Erfahrung, dass kommerzielle Nutzung immer eine möglichst flexible und ungehinderte Datenverwendung anstrebt. Dies steht im Widerspruch zu den vielfach gesetzlich vorgegebenen engen Zweckbindungen von Behördendaten. Eine 'Aufweichung' dieser Zweckbindungen zur Erhöhung des privatwirtschaftlichen Benutzerkomforts ist zu befürchten.

Auch die zum Funktionieren des Systems notwendigen zentralen Gebäude-, Wohnungs-, Dokumenten- und Unternehmensregister sind zusätzliche, objektiv zur Überwachung geeignete Instrumente.


WICHTIGE ZIELE EINER VERWALTUNGSREFORM FEHLEN

In Stichworten:
- Sicherung eines barrierefreien/behindertengerechten Zugangs:
Der im Abänderungsantrag angestrebte Umsetzungstermin 1.1.2008 ist ungeeignet und nicht nachvollziehbar, da bürgerkartenfähige Applikationen sowieso neu erstellt werden müssen. Es sollte daher die Verpflichtung zum barrierefreien Zugang für neue Anwendungen sofort eingeführt werden, für bestehende die Umsetzung ab 1.1.2005.
- Es wird kein Recht auf elektronische Erledigng von Amtswegen festgeschrieben.
- Die Umsetzung der zentralen Bürgeranliegen, wie schnellere Verwaltungsabläufe, bessere Terminkoordination und -kontrolle sowie transparentere Behörden-Zuständigkeiten, werden im Gesetz nicht einmal erwähnt.
Hier liegt ein gewaltiges behördeninternes e-government-Potential, das vorrangig umgesetzt werden sollte. Positiv ist zu erwähnen, dass einzelne Länder hier schon längst ohne e-government-Gesetz und Bürgerkarte vorbildliche Lösungen vorweisen.
- Verbesserung der Hilfestellung von Bürgern durch bessere Informationsvernetzung der Behörden untereinander fehlen.


EINSCHÄTZUNG DER WIRKSAMKEIT DES GESETZES

Die ARGE DATEN beschäftigt sich seit 1997 intensiv mit digitaler Signatur und war dazu praktisch der erste Anbieter in Österreich. Wir beobachteten die Bürgerkartenprojekte seit 2000 sehr intensiv und mu0ten feststellen, dass alle angekündigten Projekte auf der Stelle treten. In der Verwaltung wurde bisher kein einziges Pilotprojekt (abgesehen von Demo-Anwendungen) umgesetzt. Das Konzept Bürgerkarte wird eine Randnotiz der IT-Welt bleiben.

Weltweit gibt es keine einzige Lösung, die derartig massiv auf ein einziges technisches Identifikationsinstrument setzt und dieses praktisch zum Ersatz der persönlichen Identität macht.

Abschließend noch ein Zitat: 'Wir legen Wert darauf, dass auch nach der zu erwartenden Verbreitung von Bürgerkarten eine Signatur dort verlangt werden soll, wo dies im Interesse eines geordneten Verwaltungsverfahrens unerlässlich ist. Die Erfahrung zeigt, dass diese Voraussetzung häufig gar nicht zutreffen wird.' (Landeshauptmann Dr. Sausgruber, 12/2003)

mehr --> Datenschutzprobleme im Zusammenhang mit e-government/elektroni...
mehr --> http://ftp.freenet.at/privacy/gesetze/StellungnahmeEGovernmentGesetz.pdf
Archiv --> Votum Separatum zur Stellungnahme des Datenschutzrates zum e-g...
andere --> http://www.parlament.gv.at/portal/page?_pageid=908,145843&_dad=portal&_schema=PORTAL

Die angezeigten Informationen sind ausschliesslich zur persönlichen Nutzung im Rahmen der A-CERT Zertifizierungsdienste bestimmt. Beachten Sie die gültige Certificate Policy. GLOBALTRUST® ist die EU-weit registrierte Marke der ARGE DATEN, die angebotenen Zertifizierungsdienste werden gemäß Signaturgesetz betrieben. Die Verwendung des A-CERT Logos ist nur Inhabern von gültigen A-CERT Zertifikaten oder nach ausdrücklicher schriftlicher Genehmigung gestattet. Vertrieb und technische Betreuung erfolgt durch unseren Kooperationspartner e-commerce monitoring gmbh Irrtum vorbehalten.

A-CERT /  ®GLOBALTRUST 2002-2014powered by e-commerce monitoring gmbh  impressum  agb  webmaster
Datenschutz, Privatsphäre, Privacy, Informationsrecht, Datensicherheit, Inhouse-Schulung, Datenschutzbeauftragter, DSB, Österreich, Austria, Wien, Internet, Telekommunikation, Personendaten, Auftraggeber, Dienstleister, datenschutz-seminar.at, privacy-day.at, privacyday.at, Cloud Computing, datenschutz-seminare, Vorratsdatenspeicherung, Vorratsspeicherung, datenschutz tag, hacking, hacker, Whistleblowing, RFID, social media, Web 2.0, Web2.0, informationelle Selbstbestimmung, datenschutz tagung, e-government, e-commerce, Identität, phishingdata protection, privacy, data security, data safety, Inhouse, data protection officer, Austria, Vienna, internet, telecommunication, personal data, data retention, privacy protection, privacy protect, Video Surveillance, CCTV