Sie sind auf Seite 1von 20

e-Government

ein Vortrag von


Dr. Waltraut Kotschy
v1.0
Ablauforganisation nach der Ministerialkanzleiordnung

e-Government (Dr. Waltraut KOTSCHY)


Aktenbearbeitung als elektronischer Workflow

e-Government (Dr. Waltraut KOTSCHY)


Arbeitsablauf im e-Government
Informieren Anbringen Erledigen Zustellen

elektronisch: elektronisch:
(PORTAL)
verständigen

Info- Gateway ELAK


plattform abholen
Server
manuell: manuell:
Telefon / Post /Fax Post/Fax

e-Government (Dr. Waltraut KOTSCHY)


Portal
: INFORMATIONS- GATEWAY:
PLATTFORM
?????? Anbringen

Recht auf Anonymität Identität des Bürgers ist


muss gewahrt bleiben erst in diesem Stadium
zu ermitteln

e-Government (Dr. Waltraut KOTSCHY)


Anbringen
• Identifikation :
Wer ist der Anbringer ?

• Authentifizierung :
Hat der Anbringer wirklich dieses Anbringen gestellt?
Problem der
• Echtheit und der
• Unverfälschtheit des Anbringens

e-Government (Dr. Waltraut KOTSCHY)


POST Kommunikation:
AUTHENTIFIZIERUNG: durch eigenhändige Unterschrift
IDENTIFIKATION: üblicherweise nur durch NAMEN und ADRESSE,
ist unscharf, weil:
* mehrere Personen denselben Namen haben können
(Adresse ist äußerst variabel)
* eine Person mehrere Namen haben kann, zB durch
Verehelichung, Namensänderung etc...

FAX Kommunikation:
AUTHENTIFIZIERUNG: faktisch nicht vorhanden
IDENTIFIKATION: wie bei der POST Kommunikation

Derzeitige E-MAIL Kommunikation:


AUTHENTIFIZIERUNG: faktisch nicht vorhanden
IDENTIFIKATION: wie oben; e-mail Adressen besonders variabel
e-Government (Dr. Waltraut KOTSCHY)
Braucht e-Government eine bessere Authentifizierung und
Identifikation als die bisher übliche?

Elektronische workflows können ihr Effizienzsteigerungspotential nur ausspielen, wenn möglichst


keine Medienbrüche vorkommen, dh möglichst keine Rückfragedialoge des Sachbearbeiters mit dem
Anfragenden, um:
* Identität abzuklären
* Echtheit und Inhalt des Begehrens zu klären
* notwendige Unterlagen zu beschaffen etc...
Die nachweisbare Echtheit von elektronischen Dokumenten ist eine Voraussetzung dafür, dass ein
workflow ohne Medienbruch auch dort stattfinden kann, wo es auf die Echtheit von Unterlagen
ankommt.

Für optimale Automatisierung der Bearbeitung müssen Zweifelsfälle so weit als


möglich ausgeschaltet werden

=> AUTHENTIFIZIERUNG und eindeutige IDENTIFIKATION notwendig


e-Government (Dr. Waltraut KOTSCHY)
Gibt es eine bessere Authentifizierung und Identifikation bei der
elektronischen Kommunikation als die bisher übliche?

bessere AUTHENTIFIZIERUNG: durch elektronische Signatur


bessere IDENTIFIKATION: durch eine Zahl, die einer Person eindeutig zugeordnet ist;
(eine derartige Zahl wird „Personenkennzeichen“ genannt,
wenn sie flächendeckend und verpflichtend verwendet wird)

In Österreich kommt die im Zentralen Melderegister als


Ordnungsbegriff verwendete ZMR-Zahl am ehesten als
eindeutig zugeordnete Zahl in Betracht.

e-Government (Dr. Waltraut KOTSCHY)


Wie kann die AUTHENTIFIZIERUNG und die
eindeutige IDENTIFIKATION in einem
elektronischen Vorgang bewirkt werden?

Die sichere elektronische Signatur bewirkt eine


eindeutige Identifikation nur dann, wenn auf dem
Signatur-Token (zB der e-Card) eine Personenbindung
eingetragen wird, durch die bestätigt wird, dass
– der öffentliche Schlüssel des Signatur-Tokens
– zu einem best. Personenkennzeichen (zB einer best. ZMR-Zahl)
gehört, durch das der Signator eindeutig bestimmt ist.

• Die ab 2003 jedem Versicherten zur Verfügung gestellte E-CARD kann nach dem Willen des
Karteninhabers für die Verwendung im e-Government eingerichtet werden - sie enthält die hierfür
notwendigen technischen Voraussetzungen. Dasselbe gilt für den Personalausweis in
Chipkartenform. Auch der elektronische Dienstausweis für amtliche Organe wird in naher Zukunft
die genannten Funktionen erfüllen können
e-Government (Dr. Waltraut KOTSCHY)
Datenschutzrechtliche Einwendungen gegen die Verwendung eines
Personenkennzeichens

Die Verwendung eines PERSONENKENNZEICHENS – also die flächendeckende verpflichtende


Kennzeichnung von Daten über dieselbe Person mit derselben Kennzahl – erleichtert die
Zusammenführung von Daten über eine Person und ist somit ein Beitrag zur Schaffung des
GLÄSERNEN MENSCHEN

ABHILFE? Durch fraktionalisiertes PKZ:


verwaltungsbereichsspezifische Personenkennzeichnung (sPK)
gemäß § 13 Abs 4a AVG:
* nach Verfahrenstyp unterschiedlich
* durch Einwegsverschlüsselung aus der ZMR-Zahl abgeleitet
* die ZMR-Zahl darf außerhalb des Zentralen Melderegisters nicht gespeichert werden

e-Government (Dr. Waltraut KOTSCHY)


§ 13 Abs. 4a AVG
„(4a) Zum Zweck der eindeutigen Identifikation von
Verfahrensbeteiligten im elektronischen Verkehr mit der Behörde darf
diese die ZMR-Zahl (§ 16 Abs. 4 Meldegesetz 1991, BGBl. Nr.
9/1992) als Ausgangsbasis für eine verwaltungsbereichsspezifisch
unterschiedliche, abgeleitete und verschlüsselte
Personenkennzeichnung verwenden............Die ZMR-Zahl darf von
der Behörde anlässlich der elektronischen Identifikation nicht
aufgezeichnet werden.“

e-Government (Dr. Waltraut KOTSCHY)


Datenschutzrechtlicher Vorteil der verwaltungsbereichsspezifischen
Personenkennzeichnung

* sie bewirkt eine eindeutige Identifikation


* sie unterstützt das Zusammenfinden von Daten nur innerhalb des
spezifischen Verfahrensbereichs, zB nur im Bereich
„Personenstandswesen“ oder „Bauverfahren“

Der Vorteil der eindeutigen Identifikation wird nicht mit dem


Nachteil der Leistung eines Beitrags zur Schaffung des gläsernen
Menschen erkauft!

e-Government (Dr. Waltraut KOTSCHY)


Das österreichische Modell der Authentifizierung und
eindeutigen Identifikation im e-Government

1. Im Chip jeder Signaturkarte mit sicherer elektronischer Signatur


kann die Personenbindung eingetragen werden. (Meldebehörde
bestätigt auf der Karte, dass der Person, der der öffentliche Schlüssel
der Karte zugeordnet ist, eine best. ZMR-Zahl zugeordnet ist).
2. Mithilfe einer derart ausgestatteten Signaturkarte kann sich der
Bürger gegenüber der Behörde im Zusammenhang mit einem
Signaturvorgang eindeutig identifizieren und sein Anbringen
authentifizieren.
3. Die Behörde erfährt aus dem Signaturvorgang nicht die ZMR-Zahl
des Antragstellers, sondern nur seine verfahrensspezifische
Personenkennzeichnung, die vollautomatisch, dh ohne besonderes
Zutun des Bürgers oder der Behörde, errechnet wird bei der
Antragstellung mittels des hiefür vorgesehenen elektronischen Web-
Dialogs.

e-Government (Dr. Waltraut KOTSCHY)


Die Bildung der verfahrensbereichsspezifischen
Personenkennzeichnung (vsPK)

(ZMR-Zahl + Verf-Kennzahl) * Verschlüsselungsalgorithmus = vsPK


Die vsPK wird automatisch errechnet, sobald der Antragsteller die entsprechende Antragsmaske im
Internet aufgerufen, ausgefüllt und signiert hat. Sein Antrag wird der Behörde mit der vsPK
übermittelt.
Die Behörde speichert den Antrag unter der vsPK:
[vsPK] [Vorname] [Zuname 1] [Adresse 1] ... [Antrag 1]
Da die vsPK einwegverschlüsselt ist, ist die ZMR-Zahl aus der vsPK nicht erkennbar!
Jeder weitere Antrag desselben Antragsstellers im selben Verfahrenstypus kreiert dieselbe vsPK,
sodass die Behörde den neuen Vorgang allen vorherigen Vorgängen dieser Person eindeutig zuordnen
kann:
[vsPK] [Vorname] [Zuname 1] [Adresse 2] ... [Antrag 1],
aber auch:
[vsPK] [Vorname] [Zuname 2] [Adresse 2] ... [Antrag 2]
e-Government (Dr. Waltraut KOTSCHY)
Amtshilfe bei Verwendung der verfahrensbereichsspezifischen
Personenkennzeichnung

Gibt es bei der ersuchten Behörde im Verfahrensbereich 5 Daten zu einer bestimmten Person? Die
Anfrag kommt aus Verfahrensbereich 3:
Person = [Vorname] [Zuname] [V3 PK] [Adresse]
Falls eine eindeutige Identifikation dieser Person notwendig ist, geschieht dies folgendermaßen:
1. ZMR-Abfrage:
[Vorname] [Zuname] [Adresse] = zB 2 Treffer / 2 ZMR-Zahlen
(ZMR1 + V3 PK) * Algorithmus = V3 PK1
(ZMR2 + V3 PK) * Algorithmus = V3 PK2
2. Vergleich:
V3 PK1 ungleich V3 PK = kein Treffer
V3 PK2 gleich V3 PK = Treffer
3. Bildung der sPK für den Verfahrenstypus 5:
(ZMR2 + V5 PK) * Algorithmus = V5 PK

e-Government (Dr. Waltraut KOTSCHY)


Urkundenbeschaffung im elektronischen Weg

1. Der Betroffene besitzt Urkunde in elektronisch übermittelbarer Form, wobei die von der
ausstellenden Behörde mit sicherer Signatur versehene Urkunde den Rechtscharakter einer
öffentlichen Urkunde besitzt.
Solche Urkunden in elektronischer Form kann der Betroffene zB auf seinem PC oder in einem bei
einem vertrauenswürdigen Dritten gehaltenen Daten-Safe haben, wobei der Zugang zum
Datensafe auch mithilfe der Signaturkarte paßwortgeschützt organisiert sein könnte.
2. Der Betroffene könnte der Behörde eine elektronische Vollmacht zur Beschaffung von Daten
(Urkunden) von anderen Behörden geben:
Diese Ermächtigung wir durch die elektronische Signatur zur unterschriebenen Vollmacht. Die
eindeutige Identifikation erfolgt mithilfe der Personenkennzeichnung, allenfalls einschließlich
ZMR-Abfrage.
3. Automatische Errechnung der Verfahrensableitung bei der Antragstellung

e-Government (Dr. Waltraut KOTSCHY)


Automatische Errechnung der Verfahrensableitung
bei der Antragstellung

• Bei vielen Verfahrenstypen ist der Nachweis best. Tatsachen durch


Vorlage best. Unterlagen (Urkunden) zu führen.

• Im Web-Dialog bei der Antragstellung könnte die Zustimmung des


Betroffenen zur Beschaffung dieser Unterlagen eingeholt werden.

• Sodann wird beim Absenden des signierten Antrags (vollautomatisch)


zusätzlich zur vsPK für das durchzuführende Verfahren auch die vsPK
für jene Verfahrenstypen errechnet, aus welchen Daten beschafft
werden sollen aufgrund der Zustimmung des Betroffenen.

e-Government (Dr. Waltraut KOTSCHY)


Online Zugriff auf Daten

Ein online Zugriff auf Daten – insbesondere auch auf personenbezogene Daten – setzt den Nachweis
der Berechtigung hierzu durch den Zugreifenden voraus. Dazu bedarf es:
* der eindeutigen Identifikation des Zugreifenden
* der Festlegung eines automatisch überprüfbaren Berechtigungsumfanges
Wenn ein Bürger auf seine eigenen Daten bei der Behörde (lesend) zugreifen will, wird er hierfür eine
(sichere) elektronische Signatur mit Personenbindung brauchen, um die fälschliche Offenlegung von
Daten an einen Unbefugten zu vermeiden.
Amtliche Organe, welchen ein online Zugriff auf Datenbestände eingeräumt werden soll, benötigen
dieselben Voraussetzungen zu ihrer Identifikation (zB mithilfe des elektronischen Dienstausweises).
Darüber hinaus muß ihr Berechtigungsumfang eigens festgelegt werden, da es sich um den Zugriff auf
Daten Dritter handelt (vgl hierzu den Begriff PORTAL).

e-Government (Dr. Waltraut KOTSCHY)


Online Zugangsersuchen durch Organ einer anderen Behörde

Berechtigungsverzeichnis („Portal“) GATEway


beim Ersuchenden beim Ersuchten
BERECHTIGUNGSERTEILUNG IDENTIFIKATION + AUTHENTIFIZIERUNG
(nach Übereinkunft mit dem Ersuchten) + BERECHTIGUNGSÜBERPRÜFUNG

e-Government (Dr. Waltraut KOTSCHY)