31. Mai 2022 Die staatliche Verwaltung digitaler Identitäten in Österreich

Staatlich garantierte digitale Identitäten bieten zahlreiche Vorteile und Zukunftspotenziale. Wie sie funktionieren und welche Trends sich im Bereich E-Government abzeichnen, erklärt BMDW-Digitalisierungsexperte Georg Nesslinger im Interview.

Bürgerkarte, Handy-Signatur und ID Austria: Staatlich garantierte digitale Identitäten schaffen Vertrauen im Netz und ermöglichen es, Behördengänge schnell und unkompliziert im Online-Verfahren zu absolvieren. Im Interview erzählt Georg Nesslinger, Abteilungsleiter für E-Government Unternehmen im BMDW, welche Vorteile staatlich garantierte beziehungsweise behördlich verwaltete digitale Identitäten mit sich bringen, warum Bürgerinnen und Bürger sich auf den Datenschutz verlassen können und welche Entwicklungen es in diesem Bereich gibt.

Staatlich garantierte digitale Identitäten: ein Interview 

Was sind die Vorteile staatlich garantierter digitaler Identitäten?
Georg Nesslinger: Mit einer digitalen Identität, wie zum Beispiel der Handy-Signatur, die in Österreich weit verbreitet ist, kann ich mich auf einem einfachen, sicheren, modernen und digitalen Weg identifizieren. Zukünftig wird die Handy-Signatur zu ID Austria ausgebaut. Damit habe ich die Möglichkeit, mich digital auszuweisen und eine Reihe von Verwaltungsservices zu nutzen.

Im Unternehmensserviceportal, wo sich unternehmerisch tätige Benutzerinnen und Benutzer seit jeher identifizieren, wird die digitale Identität auch noch mit gewissen Unternehmenseigenschaften verknüpft. Somit können wir den Unternehmen eine Vielzahl von Vorteilen bieten. Unternehmerinnen und Unternehmer können zum Beispiel über 80 unterschiedliche Bundesverfahren direkt per Single Sign-on (SSO) digital durchführen und Verwaltungsservices online nutzen. Und das auf einfachem und sicherem Weg. Die Behörden profitieren natürlich auch, indem sie Benutzerinnen und Benutzer eindeutig identifizieren und sich auf unsere Daten verlassen können, weil sie wissen, welche Userin beziehungsweise welcher User welchen Service genutzt und welchen Antrag übermittelt hat. Die Unternehmen haben außerdem die Transparenz, wer welche Meldeverpflichtungen erfüllt hat. Das lässt sich jederzeit nachvollziehen. Der Vorteil für Bürgerinnen und Bürger wie auch für Unternehmen ist, dass sie Transaktionen jederzeit sicher tätigen sowie digital signieren können. Darüber hinaus kann für Bürgerinnen und Bürger bei digitalen Amtswegen eine Kostenersparnis von bis zu 40 % der Antragsgebühren erzielt werden.

Was sind derzeit die größten Herausforderungen hinsichtlich digitaler Identitäten?
Nesslinger: Natürlich existieren einige Spannungsfelder, die man klar ansprechen muss. Da gibt es zunächst einmal das Verhältnis zwischen Komfort und Sicherheit. Das heißt, für die Userin oder den User ist es zwar sehr komfortabel, sich nur mit Passwort und Benutzernamen zu registrieren und diese Daten dann per E-Mail zu validieren. Aber das Nutzungsfeld ist hier eher beschränkt. Man kann zum Beispiel nicht mit einem anonymen Account beziehungsweise einer anonymen digitalen Identität eine Arbeitnehmerveranlagung bei FinanzOnline abschließen. In diesem Bereich werden immer hohe Sicherheitsklassen notwendig sein und wir setzen hier auf eine Multi-Faktor-Authentifizierung. Zukünftig werden die Services außerdem durch biometrische Authentifizierungen noch sicherer gestaltet sein.

Ein weiteres Spannungsfeld ergibt sich aus dem Grundrecht auf Privacy: Userinnen und User wollen ihre privaten Daten natürlich nur eingeschränkt zur Verfügung stellen. Unternehmen hingegen erzielen durch die Nutzung digitaler Identitäten höhere Gewinne und wollen persönliche Identitäten nach Möglichkeit mit weiteren Merkmalen von Userinnen und Usern verknüpfen, um personalisierte Werbeangebote platzieren zu können. Hier muss man darauf achten, dass das Prinzip der Datenminimierung gewahrt wird. Wichtig ist dabei die Einhaltung des Datenschutzes und der Datenschutz-Grundverordnung, die sowohl Bürgerinnen und Bürger als auch Unternehmen schützt.

Welche Technologie hat das größte Potenzial zur sicheren Verwaltung von digitalen Identitäten?
Nesslinger: Zum einen gibt es die Multi-Faktor-Authentifizierung. Wenn ich eine mobile Handy-Signatur beziehungsweise mehrere Faktoren zur Identitätsfeststellung verwende, wie zum Beispiel durch den Besitz eines Mobiltelefons und die Kenntnis eines Passworts, kann ich die Sicherheit wesentlich erhöhen. Oder eben auch durch biometrische Methoden.

Zum anderen gibt es Entwicklungen, die den Bereich Digital Wallets (App, digitale Brieftasche; Anm. d. Red.) und Blockchain betreffen, wo es mehr in Richtung Dezentralisierung geht und der Benutzer Daten selbst verwalten kann. Auch hier wird von staatlicher Seite eine geeignete Infrastruktur geschaffen, damit Userinnen und User ihre Identitäten selbst verwalten. Hier arbeiten wir auch eng mit Kolleginnen und Kollegen anderer EU-Mitgliedsstaaten zusammen.

Staatlich garantierte digitale Identitäten versprechen Userinnen und Usern Datenhoheit. Gibt es Ausnahmen oder liegt die Kontrolle zur Gänze bei den Inhaberinnen und Inhabern der Identitäten?

Nesslinger: Bürgerinnen und Bürger sowie Unternehmen können sich mittels digitaler Identität bei Behördenverfahren anmelden, Verfahren elektronisch durchführen, aber auch auf Registerdaten zugreifen. Userinnen und User haben hier die volle Datenhoheit. Wir bauen die entsprechende Infrastruktur so auf, dass eine Person ihre Daten auch für andere Behördenverfahren verwenden kann. Wer ein Unternehmen elektronisch gründet, kann am Unternehmensserviceportal etwa die Daten aus der Meldung ans Firmenbuch den Finanzbehörden zur Verfügung stellen. Das Ganze nennt sich Once-Only-Prinzip. Das heißt, Daten müssen nur ein einziges Mal an die Verwaltung übermittelt werden. Diese ist so organisiert, dass sie den behördeninternen Datenaustausch auf allen Ebenen gebietskörperschaftsübergreifend fördert. Natürlich immer unter Einhaltung des Datenschutzes und nur mit der expliziten Zustimmung der Nutzerin oder des Nutzers, dass beispielsweise Daten vom Firmenbuch an die Finanzbehörden übermittelt werden. Der klare Vorteil dieses Prinzips ist, dass sowohl Bürgerinnen und Bürger als auch Unternehmen auf bereits vorhandene Daten zurückgreifen können und dass es für die Verwaltung der Daten eine sichere staatliche Infrastruktur gibt.

Welche Entwicklungen gibt es im Bereich der staatlich garantierten digitalen Identitäten?

Nesslinger: Das Prinzip des behördeninternen Datenaustausches unter Einhaltung des Datenschutzes funktioniert schon heute auf nationaler Ebene. Ab 2023 wird das auch in grenzüberschreitenden Anwendungsfällen möglich sein. Das heißt, wenn ein Unternehmen etwa eine Zweigniederlassung in den Niederlanden anmelden will, kann es im Verfahren in den Niederlanden auf die Registerdaten in Österreich zurückgreifen.

Hier setzen wir in konsequenter Weise die Single Digital Gateway Regulation (SDGR) um. Sie sieht vor, dass Nachweise (zum Beispiel: Firmenbuchauszug, Gewerberegisterauszug, Geburtsurkunde) ab 2023 grenzüberschreitend für Bürgerinnen und Bürger sowie Unternehmen in einem elektronischen Format zur Verfügung gestellt werden müssen. Das wird der Bevölkerung große Vorteile bringen, eine starke Reduktion der Verwaltungskosten bewirken sowie den Wirtschaftsstandort Österreich beleben, aber auch den europäischen Binnenmarkt fördern.

Staatliche versus private ID-Anbieter: Gibt es hier einen Interessenkonflikt oder wird gemeinsam an Lösungen gearbeitet?
Nesslinger: Technologisch arbeiten Staat und private Anbieter ohnehin sehr eng zusammen, besonders wenn es um das Thema Standardisierung geht. Organisatorisch wird es immer eine staatliche Aufgabe sein, sichere digitale Identitäten eben auch in Kombination mit der Privatwirtschaft anzubieten. ID Austria arbeitet auch in die Richtung, dass behördliche Daten nach einem Akkreditierungsprozess für private Anbieter zur Verfügung gestellt werden können. Das Prinzip der Datenminimierung wird auch hier eingehalten. Es sollen so wenige Daten wie möglich an den Datenkonsumenten übermittelt werden, egal ob wir uns im behördlichen Kontext befinden oder auf der Ebene der privaten Services und ID-Provider.