Rechtsfragen des E-Government

Erwartungen Rechtsfragen des E-Government

E-Government 1. Einführung

Definition der EU-Kommission die Nutzung der IKT im Zusammenspiel mit organisatorischen Veränderungen und neuen Fähigkeiten, um öffentliche Dienste, demokratische Prozesse und die Gestaltung und Durchführung staatlicher Politik zu verbessern Die Rolle elektronischer Behördendienste (E-Government) für die Zukunft Europas (2003) http://europa.eu.int/information_society/eeurope/2005/doc/all_about/egov_communication_de.pdf

E-Staat (E-Government) Organisationen der Gesetzgebung (E-Legislation) Organisationen der Verwaltung (E-Executive) E-Hoheitsakt E-Hoheitsverwaltung (E-Administration) Organisationen der Gerichtsbarkeit (E-Jurisdiction) E-Privatwirtschaftsverwaltung E-Beschaffung (E-Procurement), E-Dienstleitungen (E-Assistance) etc. E-Partizipation

Kommunikationssicht Öffentlicher Sektor Bund G2G Internes E-Government Land G2G Gemeinden Dritter Sektor: Selbstverwaltungskörper, Interessenvertretungen, staatsnahe Betriebe usw. Externes E-Government B2G Privater Sektor C2G Wirtschaft Kunden Bürger Quelle: Parycek 2005, in Anlehnung an Aichholzer/Schmutzer 1999

Ziel: durchgängige Prozesse zb. HELP.gv.at, Wien.gv.at etc. zb. ELAK, Register ( ZMR, GWR, Vollmachtsregister, Adressregister), Finanz Online, sonstige Fachanwendungen etc. zb. www.zustellung.gv.at Portal Fachanwendung / Backoffice Duale Zustellung

Relevante gesetzliche Grundlagen Signaturgesetz E-GovG AVG ZustG Verordnungen & sonstige Rechtsvorschriften

E-Government-Gesetz Bürgerkarte Vollmacht Stammzahl Personenbindung Bereichsspezifisches Personenkennzeichen Stammzahlenregister Ergänzungsregister Standarddokumentenregister Amtssignatur

E-Government 2. SIGNATURGESETZ

Signaturgesetz Signatur-RL SigG SigV

E-Kommunikation Vergleichbar mit einer Postkarte, kann am Postweg gelesen und verändert werden Postkarte: Postmitarbeiter, E-Mail: Systemadministratoren, Hacker, Ungewissheit des Gegenübers

Authentizität von Urheber & Daten Zuordnung der Daten zum Unterzeichner Schutz vor Abstreiten durch Unterzeichner Sicherung der signierten Daten vor Manipulation am Übertragungsweg durch den Empfänger

Signaturvorgang im Überblick (Sender) Verfassen eines Dokuments Hashwert wird gebildet Hashwert wird mit dem privaten Schlüssel verschlüsselt Signatur z.b.: Versand der signierten Nachricht mit dem eigenen öffentlichen Schlüssel

Hashwert Digitaler Fingerabdruck Mathematische Ableitung aus dem Klartext des Dokuments Stark komprimiert Nicht rückführbar (Einweg-Funktion)

Asymmetrische Verschlüsselung Zwei Schlüssel Prinzip Privater Schlüssel (Private Key) Zugangsberechtigung (PIN) nur dem Signator bekannt Öffentlicher Schlüssel (Public Key) Signaturprüfdaten öffentlich zugänglich und abrufbar

Viewer Möglichkeit, das Dokument in der Form zu sehen, in der es signiert wird Signaturvorgang kann anschließend ausgelöst werden

Überprüfung der Signatur im Überblick (Empfänger) Aus dem empfangenen Dokument wird der Hashwert erneut gebildet Mit dem öffentlichen Schlüssel des Senders wird die Signatur entschlüsselt, der ursprüngliche Hashwert wird bekannt Vergleich beider Hashwerte Hashwerte ident Nachricht vom Sender und unverfälscht

Elektronische Signatur einfache elektronische Signatur dient der Feststellung der Identität des Signators auch für juristische Personen möglich fortgeschrittene elektronische Signatur ist ausschließlich dem Signator zugeordnet ermöglicht die Identifikation des Signators wird mit Mitteln erstellt, die der Signator unter seiner alleinigen Kontrolle halten kann Daten werden so verknüpft, dass nachträgliche Veränderungen festgestellt werden können auch für juristische Personen möglich qualifizierte elektronische Signatur Ist eine fortgeschrittene Signatur beruht auf einem qualifizierten Zertifikat (nur für natürliche Personen!) Wird mit einer sicheren Signaturerstellungseinheit (SSCD) erzeugt.

Qualifiziertes Zertifikat Basis für qualifizierte elektronische Signatur Qualifiziertes Zertifikat Angaben nach 5 SigG Entsprechender Zertifizierungsdiensteanbieter 7 SigG

Angaben für ein qualifiziertes Zertifikat 5 Abs 1: Hinweis: qualifiziertes Zertifikat Namen des ZDA und den Staat seiner Niederlassung Namen des Signators oder ein Pseudonym Dem Signator zugeordneten Signaturprüfdaten Gültigkeitsdauer des Zertifikats eindeutige Kennung des Zertifikats gegebenenfalls eine Einschränkung des Anwendungsbereichs des Zertifikats gegebenenfalls eine Begrenzung des Transaktionswerts 5 Abs 3: Ein qualifiziertes Zertifikat muss mit einer fortgeschrittenen elektronischen Signatur des ZDA versehen sein.

Sichere Signaturerstellungseinheit (SSCD) Verarbeitung der Signaturerstellungsdaten Chipkarte / HSM Nicht: Systemumgebung/ Kartenleser/ Signatursoftware/

Rechtswirkung Einfache & fortgeschrittene Signatur müssen als Beweismittel zugelassen werden unterliegen der richterlichen Beweiswürdigung Grundsatz der Nichtdiskriminierung Qualifizierte Signatur der handschriftlichen Unterschrift gleichgestellt ( 4 SigG) Ausnahmen*: bei Schrifterfordernis im Familien- & Erbrecht öffentliche Beglaubigung erforderlich Grundbuch, Firmenbuch u.a. öffentliche Register Bürgschaftserklärungen (außer Geschäftsverkehr) * Seit 1.1.2007 in bestimmten Fällen auch mit qualifizierter Signatur möglich (vgl. Berufsrechts-Änderungsgesetz für Notare, Rechtsanwälte & Ziviltechniker 2006)

Berufsspezifische Ausprägungen der elektronischen Signaturen Für Behörden Elektronische Signatur der Justiz Amtssignatur Für Berufsgruppen Elektronische Beurkundungssignatur der Notare El. Notarsignatur El. Anwaltssignatur El. Beurkundungssignatur der Ziviltechniker El. Ziviltechnikersignatur

E-Government 3. SIGNATURGESETZ Novelle 2007

Signaturgesetz Novelle 2007 Tätigkeit von ZDA, die keine qualifizierten Zertifikate ausstellen, wird nicht mehr geregelt Erleichterung der Identifikation bei der Ausstellung qualifizierter Zertifikate Erweiterung des Begriffes des Signators Begriffsanpassungen (zb qualifizierte Signatur)

Tätigkeit von ZDA, die keine qualifizierten Zertifikate ausstellen, wird nicht mehr geregelt bisher Gold-Plating der Signaturrichtlinie auch Regelung von ZDA, die keine qualifizierten Zertifikate ausstellen nunmehr: keine Anzeigepflicht für die Aufnahme der Tätigkeit eines ZDA, der keine qualifizierten Zertifikate ausstellt Entfall der Aufsicht über diese ZDA entspricht der Signaturrichtlinie

Erleichterung der Identifikation bei der Ausstellung qualifizierter Zertifikate bisher: war die Vorlage eines amtlichen Lichtbildausweises zwingend erforderlich nunmehr: auch gleichwertiger, dokumentierter oder zu dokumentierender Nachweis möglich gleichwertiger Nachweis der Identität: zb: mittels RSa-Brief oder Identbrief dadurch wird Web-Freischaltung möglich!

Erweiterung des Begriffes des Signators Bisher: war als Signator grundsätzlich nur eine natürliche Person möglich Nunmehr: auch juristische Personen und sonstige rechtsfähige Einrichtungen können Signator sein wesentliche Erleichterung (zb für Amtssignatur) qualifizierte Zertifikate werden weiterhin nur an natürliche Personen ausgestellt; Grund: SigRL und insb. Rechtswirkungen der qualifizierten Signatur

Begriffsanpassung fortgeschrittene Signatur Bisher: war der Begriff der fortgeschrittenen elektronischen Signatur nicht im SigG enthalten Definition nur über 2 Z 3 lit. a bis d SigG Nunmehr: Einführung des Begriffes der fortgeschrittenen elektronischen Signatur Beseitigung von Unklarheiten in der bisherigen Praxis durch Klarstellung in den Erläuterungen Anpassung an den allgemeinen europäischen Sprachgebrauch aber: keine spezifischen Rechtswirkungen der fortgeschrittenen Signatur!

Begriffanpassungen ZDA als Abkürzung für Zertifizierungsdiensteanbieter qualifizierte Signatur hat den Begriff sichere Signatur abgelöst

Zusammenfassung: Begriffe SigG bisher Novelle SigG einfache Signatur einfache Signatur 2 Z 3 lit. a bis d fortgeschrittene Signatur sichere Signatur qualifizierte Signatur

E-Government 4. E-Government-GESETZ

Kernstück: E-GovG E-Government-Gesetz Bürgerkarte Vollmacht Stammzahl Personenbindung Bereichsspezifisches Personenkennzeichen Stammzahlenregister Ergänzungsregister Standarddokumentenregister Amtssignatur

E-Government-Gesetz E-GovG E-Gov-BerAbgrV (Bereichsabgrenzungs-Verordnung) StZRegV (Stammzahlenregister-Verordung) ERegV (Ergänzungsregister-Verordnung) VerwSigV (Verwaltungssignatur-Verordnung)

E-Government 4. E-Government-GESETZ 4.1 Bürgerkarte

eid = ZDA* + öffentlichen Register Trust Center der Zertifizierungsdiensteanbieter (ZDA) Register aus dem Öffentlichen Sektor ZDA A-Trust ZMR BMI ERnP BMI Elektronische-Identität * ZDA = Zertifizierungsdiensteanbieter

Funktionen der Bürgerkarte ( 4 Abs. 1 E-GovG) Die Bürgerkarte dient dem Nachweis der eindeutigen Identität eines Einschreiters und der Authentizität (= Echtheit) des elektronisch gestellten Anbringens... D.h. sie ist: E-Identitätsdokument und Unterschrift im Internet

Umsetzung dieser Funktionen 4 Abs. 2 E-GovG: Die eindeutige Identifikation einer natürlichen Person erfolgt mittels Stammzahl (= verschlüsselte ZMR Zahl) 4 Abs. 4 E-GovG: Die Authentizität des elektronisch gestellten Anbringens wird mittels elektronischer Signatur erbracht

Elektronische-Identität und Datenschutz flaches MODELL ID APP 1 ID APP 2 ID APP 3 sektorales MODELL getrenntes MODELL ID1 APP 1 ID Ein-Weg Funktion ID2 APP 2 ID3 APP 3 ID1 APP 1 ID2 APP 2 ID3 APP 3

Stammzahl (SZ) Erzeugung ( 6 Abs. 2 E-GovG) ZMR-Zahl: 123456789012 SZ = Verschlüsselte ZMR-Zahl Stammzahlregisterbehörde errechnet die Stammzahl SZ wird auf die Karte geschrieben Stammzahlregisterbehörde speichert die SZ NICHT (Virtuelles Register) Stammzahl Verschlüsselung Stammzahl: MDEyMzQ1Njc

Stammzahl: Verwendung SZ wird auf der Bürgerkarte verspeichert kann zwar ausgelesen werden darf aber nur verwendet werden zur bpk-berechnung (bereichsspezifische Personenkennzeichen) Keine Speicherung! ( 12)

Stammzahl Stammzahl für Natürliche Personen: gemeldete Personen: verschlüsselte ZMR-Zahl Nicht meldepflichtige Personen: verschlüsselte Ergänzungsregisterzahl Stammzahl für Juristische Personen: Vereine: unverschlüsselte Vereinsregisterzahl Unternehmen: unverschlüsselte Firmenbuchnummer Ausländische Unternehmen: unverschlüsselte Ergänzungsregisterzahl Öffentliche Organisationen: unverschlüsselte Ergänzungsregisterzahl

E-Identität nach E-GovG Elektronische Identität: Zertifikat (ZDA) + Stammzahl (SZ) (Öffentlicher Sektor) Stammzahl (SZ): dient der Identifizierung von Personen Zertifikat: dient der elektronischen Unterschrift Personenbindung = Zuordnung Stammzahl (SZ) natürliche Person

bpk: Erzeugung nicht rückführbare Ableitung! Stammzahl bpk a z.b. Steuern & Abgaben bpk b z.b. Bauen & Wohnen Umrechnung unmöglich!

bpk: Erzeugung grundsätzlich: nur mit Bürgerkarte des Betroffenen! nötig für bpk-erzeugung: SZ auf Bürgerkarte für Behörden ( 10 Abs. 2 E-GovG): Anfrage an SZ-RegBehörde möglich Input: ausreichend identifizierende Merkmale (Name, Geb.datum, Anschrift...) & gewünschter (eigener) Bereich ( 15 Abs. 2 StZRegV) Output: bpk für gewünschten (eigenen) Bereich

Kommunikation zwischen Bereichen Das bpk eines anderen Bereichs darf in den staatlichen Datenanwendungen nur als verschlüsseltes bpk gespeichert werden. Umrechnung via SZ-RegBehörde möglich Input: eigenes bpk, Name, ev. Geb.datum & gewünschter fremder Bereich ( 13 Abs. 1 StZRegV) Output: Fremd-bPK = verschlüsseltes bpk des fremden Bereichs ( 13 Abs. 2 E-GovG ivm 13 Abs. 4 StZRegV)

Bürgerkartenkonzept: Ausprägungen Maestro Bankomatkarte Sozialversicherungskarte (ecard) Dienstausweise (z.b. BMF) Schüler- & Studentenausweise

Verwendung der ecard als Bürgerkarte Kartenlesegerät z.b.: http://www.cryptoshop.com/index.php + Software z.b.: http://www.buergerkarte.at/ Tipp: Hilfe für die Installation unter: z.b.: https://www.buergerkarte.at/de/videoclips/index.html

E-Government 4. E-Government-GESETZ 4.2 Amtssignatur

Amtssignatur (1) nur für Unterzeichnung durch Auftraggeber des öffentlichen Bereichs (z.b. Erledigungen) Hoheits- & Privatwirtschaftsverwaltung (mit unterschiedlicher Rechtswirkung) mindestens fortgeschrittene Signatur Signator kann durch SigG-Novelle nun auch juristische Person oder sonstige rechtsfähige Einrichtung sein; d.h. Behörde kann als Signator auftreten Amtssignatur kann auf softwarebasiertem Serverzertifikat beruhen

Amtssignatur (2) Rückführbarkeit oder Verifizierbarkeit Rückführbarkeit z.b.: https://www.ersb.gv.at Verifizierung z.b.: Online-Archiv Kontaktadresse für die Prüfung der Echtheit E-Dokument hat Beweiskraft einer öffentlichen Urkunde ( 292 ZPO)

Amtssignatur Variante 1 Inhaber Datum & Uhrzeit der Ausstellung Eindeutige Formularbezeichnung mit Versionskennung Amtssignatur Signaturwert Bildmarke nach E-GovG Ausstellender Donau-Universität Zertifizierungsdiensteanbieter Krems (ZDA) Hinweis auf Rückführbarkeit

Amtssignatur (Variante 2) es muss kein Signaturwert aufgebracht werden für die Bildmarke keine fixen Designvorgaben der Auftraggeber des öffentlichen Bereichs muss die Bildmarke jedenfalls als die seine gesichert im Internet veröffentlichen Bereitstellung Information zur elektr. Prüfung DOKUMENT Bildmarke Hinweis Prüfung Papierform Hinweis amtssigniert

Amtssignatur (Variante 2 ab 1.1.2008) Bildmarke DOKUMENT zb Verifizierung (ab 1.1.2008) Bescheidarchiv Hinweis Prüfung Papierform Hinweis amtssigniert Kontaktadresse

Ausfertigung AVG ab dem 1.1.2011 - Ausfertigung in elektronischer Form - Amtssignatur ist zwingend erforderlich - Ausfertigung in schriftlicher (nicht-elektronischer) Form haben - Unterschrift vom Genehmigenden oder - Beglaubigung durch die Kanzlei oder - auf einem Dokument zu basieren, das amtssigniert wurde

Rechtliche Grundlagen Rechtliche Grundlage für die Amtssignatur ist das E-GovG - 19 E-GovG -> Anforderungen an die Amtssignatur - 20 E-GovG -> Beweiskraft von Ausdrucken Amtssignatur hat zumindest eine fortgeschrittene Signatur aufzuweisen. - 2 Z 3 SigG -> Definition der fortgeschrittenen Signatur - 2 Z 2 SigG -> Definition des Signators Anwendung der Amtssignatur im AVG - 18 Abs. 4 AVG -> Ausfertigung mit Amtssignatur - 82a -> Übergangsfrist bis 31.12.2010

E-Government 4. E-Government-GESETZ 4.3 Novelle 2007

E-Government-Gesetz Novelle 2007 Sicherstellung der Gültigkeit von Verwaltungssignaturen, die bis zum 31.12.2007 ausgestellt wurden Bürgerkarte nur mehr mit qualifizierter Signatur Rahmen für die Gleichstellung von ausländischen Signaturkarten mit der Bürgerkarte Möglichkeit der Ausstattung von Datenanwendungen im privaten Bereich mit bpk Keine zwingende Führung des StZReg und ErgReg durch das BMI (und BMF) als Dienstleister Klarstellung der Struktur der Eintragung von Vollmachten Neuerungen bei der Amtssignatur

Sicherstellung der Gültigkeit von Verwaltungssignaturen, die bis zum 31.12.2007 ausgestellt wurden Auslaufen der Übergangsfrist mit 31.12.2007 Notwendigkeit der Regelung bereits ausgestellter Bürgerkarten bis zum 31.12.2007 ausgestellte Bürgerkarten weiterhin gültig bis zum Ablauf der Gültigkeit des Zertifikats längstens jedoch bis zum 31.12.2012 keine Neuausstellung von Verwaltungssignaturen (waren lediglich Übergangsinstrument) Begleitung des HVB (e-card) bei der Umstellung durch das BKA

Bürgerkarte nur mehr mit qualifizierter Signatur bisher auch Verwaltungssignaturen zulässig (keine Rechtswirkung der eigenhändigen Unterschrift zwischen Privaten) nunmehr Klarstellung in den Begriffsbestimmungen Anforderung an Bürgerkarte: qualifiziertes Zertifikat durch die damit erstellte qualifizierte Signatur sind alle neuen Bürgerkarten auch in der Privatwirtschaft uneingeschränkt nutzbar (z.b. für Online-Banking)

Zusammenfassung E-GovG bisherige Bürgerkarten Bürgerkarten ab 1.1.2008 sichere Signatur qualifizierte Signatur Verwaltungssignatur - - mehrere Möglichkeiten der Darstellung der Amtssignatur im Dokument (Rückführbarkeit und Verfizierbarkeit) - gesicherte Beweiskraft von Ausdrucken amtssignierter Dokumente

E-Government 5. ZUSTELLUNG

Elektronisch zustellen (ZustG-Nov. 2007) Nachweisliche Zustellungen ( RSa - und RSb-Brief ): elektronischer Zustelldienst (nur mit Bürgerkarte bzw. automatisiert ausgelöster Signatur aufgrund besonderer Vereinbarung) unmittelbare elektronische Ausfolgung (sofern Zugang mit Bürgerkarte) Einfache Zustellungen: elektronischer Zustelldienst (Zugang wie oben) unmittelbare elektronische Ausfolgung (wenn Zugang ohne Bürgerkarte) elektronisches Kommunikationssystem der Behörde nur nach negativer Abfrage des Zustellkopfes zulässig (ab 1.1.2009) elektronische Zustelladresse (sofern Adresse im Verfahren angegeben wurde) z.b. E-Mail

Elektronisch zustellen (ZustG-Nov. 2007) Eigenhändige Zustellung Einfache Zustellung Zugang mit Bürgerkarte zwingend Besonderheit Elektronischer Zustelldienst ( 35 und 36 ZustG) Ja Ja Ja Unmittelbare elektronische Ausfolgung ( 37a ZustG) Ja - sofern Zugang mit Bürgerkarte Ja Nein (Ja sofern eigenhändige Zustellung.) nur im Rahmen einer einzigen Session zulässig ( 37a ZustG) Elektronisches Kommunikationssystem der Behörde ( 37 Abs. 1 ZustG) Nein Ja Nein nur nach vorheriger negativer Abfrage des Zustellkopfes zulässig ( 37 Abs. 2 ZustG) (ab 1.1.2009) Elektronische Zustelladresse ( 37 Abs. 1 ZustG) Nein Ja Nein Nur wenn diese vom Empfänger der Behörde für die Zustellung in einem anhängigen oder gleichzeitig anhängig gemachten Verfahren angegeben wird ( 2 Z 6 ZustG)

E-Zustellung Neu: Zustellkopf ist Datenbank aller registrierter Benutzer Applikation der Behörde 1? Zustellkopf 2 3 Zustellserver 1 x? Ab 1.1.2008 PUSH-Verfahren: Zustellserver pushen unverzüglich ihre Daten zum Zustellkopf. Dieser beauskunftet unmittelbar aufgrund seines eigenen Datenbestandes Zustellserver 2 Zustellserver 3 x...

E-Zustellung: Bürgersicht 1 2 Zustellstück trifft ein Zustellserver 3 E-Mail Verständigung wird geschickt Login mit Bürgerkarte (bzw. automatisiert ausgelöste Sigantur) - Übernahmebestätigung wird signiert 4 Nachricht speichern oder weiterleiten

Dr. Peter Parycek, MAS Zentrumsleiter E-Government 0043/2732/893 2312 0043/664/8340025 peter.parycek@donau-uni.ac.at