BGBl II 240/2022

240. Verordnung des Bundesministers für Digitalisierung und Wirtschaftsstandort über die Stammzahlenregisterbehörde (Stammzahlenregisterbehördenverordnung 2022 - StZRegBehV 2022)

Auf Grund des 2. Abschnitts des E-Government-Gesetzes - E-GovG, BGBl. I Nr. 10/2004, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 169/2020, insbesondere des § 4 Abs. 8, wird im Einvernehmen mit dem Bundesminister für Inneres verordnet:

1. Abschnitt

Verwendung des elektronischen Identitätsnachweises (E-ID)

Errechnung von bereichsspezifischen Personenkennzeichen (bPK) bei der Verwendung des E-ID

§ 1. (1) Bei der Verwendung des E-ID im elektronischen Verkehr gemäß § 10 Abs. 1 E-GovG hat die Stammzahlenregisterbehörde das oder die bPK aus dem Bereich oder den Bereichen zu errechnen, das oder die sich aus der Registrierung gemäß § 10 Abs. 1 zweiter Satz E-GovG iVm § 2 der E-Government-Bereichsabgrenzungsverordnung (E-Gov-BerAbgrV), BGBl. II Nr. 289/2004, ergibt oder ergeben, und in die Personenbindung, die gemäß § 4 Abs. 5 E-GovG zu erstellen ist, einzufügen.

(2) Bei der Verwendung des E-ID im elektronischen Verkehr gemäß § 14 Abs. 1 E-GovG hat die Stammzahlenregisterbehörde das bPK unter Verwendung der als Bereichskennung zur Verfügung gestellten Stammzahl oder bPK des Verantwortlichen des privaten Bereichs zu errechnen und in die Personenbindung, die gemäß § 14 Abs. 3 E-GovG zu erstellen ist, einzufügen.

(3) Bei der Verwendung des E-ID im elektronischen Verkehr gemäß § 14a Abs. 1 E-GovG hat die Stammzahlenregisterbehörde das bPK unter Verwendung des staatenspezifischen oder organisationsspezifischen Kennzeichens zu errechnen und in die Personenbindung, die gemäß § 14a Abs. 2 E-GovG zu erstellen ist, einzufügen.

Verwendung der Personenbindung

§ 2. Die Personenbindung gemäß § 4 Abs. 2 E-GovG darf nur mittels der von der Stammzahlenregisterbehörde bezeichneten technischen E-ID-Schnittstelle an Datenverarbeitungen weitergegeben werden. Die Beschreibung dieser Schnittstelle ist von der Stammzahlenregisterbehörde im Internet zu veröffentlichen und unentgeltlich zur Verfügung zu stellen.

Nachweis weiterer Merkmale

§ 3. (1) Für das Einfügen weiterer Merkmale in die Personenbindung aus für die Stammzahlenregisterbehörde zugänglichen Registern von Verantwortlichen des öffentlichen oder privaten Bereichs gemäß den §§ 4 Abs. 5, 14 Abs. 3 und § 14a Abs. 2 E-GovG, hat die Stammzahlenregisterbehörde eine Schnittstelle zur Verfügung zu stellen.

(2) Sofern personenbezogene Daten aus elektronischen Registern eines Verantwortlichen des öffentlichen oder privaten Bereichs gemäß § 18 Abs. 1 erster Satz E-GovG übermittelt werden, sind diese Übermittlungen aus dem E-ID-System zu protokollieren. Dabei sind nur die Kategorien der Merkmale zu protokollieren und nicht deren Inhalte.

Vereinfachter Nachweis von Merkmalen

§ 4. (1) Die Speicherung von Merkmalen zum E-ID zum Zweck deren vereinfachten Nachweises gemäß § 4 Abs. 6 E-GovG ist nur auf Grund einer Anforderung des E-ID-Inhabers bei der Stammzahlenregisterbehörde unter Verwendung dessen E-ID zulässig. Diese Anforderung ist zu protokollieren.

(2) Nach Maßgabe der technischen Möglichkeiten kann der E-ID-Inhaber die nach Abs. 1 gespeicherten Merkmale einem Dritten ohne Erstellung einer Personenbindung in einer der Verwendung des E-ID sicherheitstechnisch gleichwertigen Weise übermitteln.

(3) Die Stammzahlenregisterbehörde kann für Zwecke des Abs. 1 und 2 eine technische Plattform und die notwendigen Schnittstellen zur Verfügung stellen.

2. Abschnitt

Errechnung von bPK ohne Verwendung des E-ID

bPK aus einem Bereich, in dem der Verantwortliche des öffentlichen Bereichs zur Vollziehung berufen ist

§ 5. (1) Die Stammzahlenregisterbehörde hat auf Anforderung eines Verantwortlichen des öffentlichen Bereichs die Errechnung von bPK aus einem Bereich, in dem der Verantwortliche zur Vollziehung berufen ist, für dessen Datenverarbeitung durchzuführen, wenn diese gemäß § 10 Abs. 1 zweiter Satz E-GovG dafür mit ihrer Zuordnung zu einem staatlichen Bereich bei der Stammzahlenregisterbehörde registriert ist. Die Anforderung ist von der Stammzahlenregisterbehörde zu protokollieren.

(2) Für die Errechnung der bPK hat der Verantwortliche der Stammzahlenregisterbehörde die Bereichskennung jener Datenverarbeitung bekanntzugeben, in welcher die bPK verarbeitet werden, sowie jene Daten der betroffenen Person zur Verfügung zu stellen, die gemäß § 16 Abs. 1 des Meldegesetzes 1991 (MeldeG), BGBl. Nr. 9/1992, notwendig sind, um eine eindeutige Zuordnung zu einem Eintrag im Zentralen Melderegister (ZMR) oder im Ergänzungsregister für natürliche Personen (ERnP) zu erzielen. Zusätzlich hat der Verantwortliche der Stammzahlenregisterbehörde seinen öffentlichen kryptographischen Schlüssel zu übermitteln. Sind die übermittelten Daten nicht ausreichend, um eine betroffene Person eindeutig zuordnen zu können, kann die Stammzahlenregisterbehörde dem Verantwortlichen eine Liste von bestehenden Eintragungen aus dem ZMR oder dem ERnP, auf die die übermittelten Daten zutreffen, übermitteln. Dies ist ausschließlich für den Zweck der eindeutigen Zuordnung der betroffenen Person zu einem bestehenden Eintrag durchzuführen und nur zulässig, wenn die vom Verantwortlichen übermittelten Daten auf höchstens drei Personen zutreffen. Die Daten sind unverzüglich zu löschen, wenn diese für den genannten Zweck nicht mehr erforderlich sind.

(3) Die Stammzahlenregisterbehörde hat die errechneten bPK dem Verantwortlichen zur Verfügung zu stellen. Wurde das bPK

1. 1. auf Grund von personenbezogenen Daten aus dem ZMR, es sei denn, diese enthalten den Vermerk „Identität nicht gesichert festgestellt“ gemäß § 4a Abs. 3a MeldeG, oder
2. 2. auf Grund von personenbezogenen Daten aus dem ERnP, sofern sämtliche gemäß § 2 Z 1 der Ergänzungsregisterverordnung 2022 - ERegV 2022, BGBl. II Nr. 241/2022, erforderlichen Eintragungsdaten durch gemäß § 4a E-GovG mit der Registrierung des E-ID betraute Behörden oder durch Sicherheits- oder Personenstandsbehörden erfasst oder gemäß § 7 Abs. 1 ERegV 2022 gemeldet wurden, oder
3. 3. auf Grund von personenbezogenen Daten, die gemäß § 1 Z 4 ERegV 2022 im ERnP eingetragen wurden,

   errechnet, ist auf Anforderung des Verantwortlichen ein Zusatzmerkmal „Identität bestätigt“ anzuschließen. Fordert der Verantwortliche die errechneten bPK unter Angabe seines öffentlichen kryptographischen Schlüssels verschlüsselt an, hat die Stammzahlenregisterbehörde zusätzlich zur Errechnung die Verschlüsselung vorzunehmen und die verschlüsselten bPK dem Verantwortlichen zur Verfügung zu stellen.

(4) Für eine Anforderung gemäß Abs. 1 hat die Stammzahlenregisterbehörde eine Schnittstelle und die notwendigen Informationen für deren Nutzung zur Verfügung zu stellen, oder eine andere zweckmäßigere Vorgehensweise, insbesondere für die Ausstattung einer gesamten Datenverarbeitung mit bPK, vorzusehen.

bPK aus einem Bereich, in dem der Verantwortliche des öffentlichen Bereichs nicht zur Vollziehung berufen ist

§ 6. (1) Die Stammzahlenregisterbehörde hat auf Anforderung eines Verantwortlichen des öffentlichen Bereichs die Errechnung von bPK aus einem Bereich, in dem der Verantwortliche nicht zur Vollziehung berufen ist, für die Verwendung in verschlüsselter Form in dessen Datenverarbeitung durchzuführen. Dazu hat der Verantwortliche der Stammzahlenregisterbehörde folgende Daten bekanntzugeben:

1. 1. die Namen der betroffenen Person und sofern vorhanden deren bzw. dessen Geburtsdatum,
2. 2. sofern das Geburtsdatum nicht vorhanden ist, ein weiteres Datum der betroffenen Person gemäß § 16 Abs. 1 MeldeG oder das bPK der betroffenen Person einschließlich des Bereichs, in dem der Verantwortliche zur Vollziehung berufen ist, und
3. 3. die Bezeichnung des Verantwortlichen des öffentlichen Bereichs, aus dessen Datenverarbeitung Daten angefordert oder an dessen Datenverarbeitung Daten übermittelt werden sollen, sowie die zugehörige Bereichskennung der Datenverarbeitung.

   Sind die bekanntgegebenen Daten nicht ausreichend, um die betroffene Person eindeutig im ZMR oder im Ergänzungsregister zuordnen zu können, kann die Stammzahlenregisterbehörde dem Verantwortlichen eine Liste von bestehenden Eintragungen aus dem ZMR oder dem ERnP, auf die die übermittelten Daten zutreffen, übermitteln. Dies ist ausschließlich für den Zweck der eindeutigen Zuordnung der betroffenen Person zu einem bestehenden Eintrag durchzuführen und nur zulässig, wenn die vom Verantwortlichen übermittelten Daten auf höchstens drei Personen zutreffen. Die Daten sind unverzüglich zu löschen, wenn diese für den genannten Zweck nicht mehr erforderlich sind.

(2) Für eine Anforderung gemäß Abs. 1 hat die Stammzahlenregisterbehörde eine Schnittstelle und die notwendigen Informationen für deren Nutzung zur Verfügung zu stellen, oder eine andere zweckmäßigere Vorgehensweise, insbesondere für die Ausstattung einer gesamten Datenverarbeitung mit bPK, vorzusehen.

(3) Jede Anforderung gemäß Abs. 1 ist von der Stammzahlenregisterbehörde zu protokollieren.

(4) Die Stammzahlenregisterbehörde hat das errechnete bPK dem Verantwortlichen verschlüsselt gemäß § 13 Abs. 2 E-GovG zur Verfügung zu stellen.

(5) Eine Anforderung gemäß Abs. 1 kann auch gemeinsam mit einer Anforderung gemäß § 5 Abs. 1 oder 3 erfolgen.

bPK für die Verwendung im privaten Bereich

§ 7. (1) Ein Verantwortlicher des privaten Bereichs kann um Errechnung von bPK für die Verwendung im privaten Bereich bei der Stammzahlenregisterbehörde ersuchen, wenn er der Stammzahlenregisterbehörde den Nachweis erbringt, dass

1. 1. er aufgrund gesetzlicher Vorschriften die Identität seiner Kundinnen und Kunden festzuhalten hat oder seinen Kundinnen und Kunden eine dem § 14 Abs. 1 zweiter Satz E-GovG entsprechende technische Umgebung zur Verfügung stellt und
2. 2. personenbezogene Daten in einer der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO), ABl. Nr. L 119 vom 04.05.2016 S. 1, zuletzt berichtigt durch ABl. Nr. L 74 vom 04.03.2021 S. 35 (im Folgenden: DSGVO) und dem Datenschutzgesetz - DSG, BGBl. I Nr. 165/1999 entsprechenden Art und Weise verarbeitet oder übermittelt werden sollen.

Das Ersuchen ist von der Stammzahlenregisterbehörde zu protokollieren.

(2) Für die Errechnung der bPK hat der Verantwortliche der Stammzahlenregisterbehörde seine Stammzahl oder sein bPK sowie jene Daten der betroffenen Person zur Verfügung zu stellen, die gemäß § 16 Abs. 1 MeldeG notwendig sind, um eine eindeutige Zuordnung im ZMR oder im Ergänzungsregister zu erzielen.

(3) Die Stammzahlenregisterbehörde hat die errechneten bPK dem Verantwortlichen zur Verfügung zu stellen.

(4) Für ein Ersuchen gemäß Abs. 1 hat die Stammzahlenregisterbehörde eine Schnittstelle und die notwendigen Informationen für deren Nutzung zur Verfügung zu stellen, oder eine andere zweckmäßigere Vorgehensweise, insbesondere für die Ausstattung einer gesamten Datenverarbeitung mit bPK, vorzusehen.

(5) Fordert ein Verantwortlicher des privaten Bereichs gemäß § 15 Abs. 1 letzter Satz E-GovG verschlüsselte bPK bei der Stammzahlenregisterbehörde an, sind die gemäß Abs. 1 bis 4 errechneten bPK nur verschlüsselt zur Verfügung zu stellen.

3. Abschnitt

Registrierung eines E-ID

Abfrage des ERnP

§ 8. Für Zwecke der Registrierung eines E-ID gemäß § 4a E-GovG kann die Stammzahlenregisterbehörde den Registrierungsbehörden eine Liste von bestehenden Eintragungen aus dem ERnP, auf die die übermittelten Daten zutreffen, unter Angabe sämtlicher Eintragungsdaten gemäß § 2 Z 1 ERegV 2022 übermitteln. Dies ist ausschließlich für den Zweck der eindeutigen Zuordnung der betroffenen Person zu einem bestehenden Eintrag durchzuführen und nur zulässig, wenn die vom Verantwortlichen übermittelten Daten auf höchstens drei Personen zutreffen. Die Daten sind unverzüglich zu löschen, wenn diese für den genannten Zwecke nicht mehr erforderlich sind.

4. Abschnitt

Stellvertretung

Einfügung des Bestehens einer Vertretungsbefugnis in die Personenbindung

§ 9.(1) Bei Verwendung des E-ID hat die Stammzahlenregisterbehörde auf Ersuchen der Vertreterin oder des Vertreters das Bestehen einer Einzelvertretungsbefugnis für die Vertretung von nicht-natürlichen Personen oder einer Vertretungsbefugnis für die Vertretung von natürlichen Personen in die Personenbindung der Vertreterin und des Vertreters einzufügen.

(2) Zu diesem Zweck hat die Stammzahlenregisterbehörde die bei ihr gespeicherten Daten (§ 5 Abs. 1 dritter Satz E-GovG) oder nach Maßgabe der technischen und rechtlichen Möglichkeiten Angaben zu Vertretungsverhältnissen in Datenverarbeitungen anderer Verantwortlicher des öffentlichen Bereichs (§ 5 Abs. 1 zweiter Satz E-GovG) zu verwenden.

(3) Liegt ein Antrag auf Speicherung gemäß § 5 Abs. 1 dritter Satz E-GovG vor, ist der Bestand eines Vertretungsverhältnisses der Stammzahlenregisterbehörde dadurch nachzuweisen, dass die oder der Vertretene mit dem E-ID die Richtigkeit der Angaben zum Vertretungsverhältnis bestätigt.

(4) Die gespeicherten Daten gemäß § 5 Abs. 1 dritter Satz E-GovG haben eine eindeutige Bezeichnung (Seriennummer) zu enthalten.

(5) In den Fällen des § 5 Abs. 2 und 3 E-GovG hat die Vertreterin oder der Vertreter der Stammzahlenregisterbehörde die Daten der oder des Vertretenen zu übermitteln, die gemäß § 16 Abs. 1 MeldeG notwendig sind, um eine eindeutige Zuordnung zu einem Eintrag im ZMR oder im ERnP zu erzielen. Die Stammzahlenregisterbehörde hat dazu eine Schnittstelle zur Verfügung zu stellen.

(6) Wenn die Speicherung nach § 5 Abs. 1 dritter Satz E-GovG fehlgeschlagen ist, hat die Stammzahlenregisterbehörde alle im Zuge dieses Vorgangs angefallenen und bei ihr noch vorhandenen Daten unverzüglich zu löschen.

(7) Die Stammzahlenregisterbehörde hat für Ersuchen gemäß Abs. 1 und 3 geeignete Schnittstellen zur Verfügung zu stellen.

Löschung der gespeicherten Daten über das Bestehen einer Vertretungsbefugnis

§ 10. (1) Die Löschung der gespeicherten Daten über das Bestehen einer Vertretungsbefugnis für die Vertretung von natürlichen Personen gemäß § 5 Abs. 1 dritter Satz E-GovG kann von der Vertretenen, dem Vertretenen, der Vertreterin oder dem Vertreter bei der Stammzahlenregisterbehörde veranlasst werden.

(2) Für Ersuchen gemäß Abs. 1 hat die Stammzahlenregisterbehörde ein Webformular und, sofern erforderlich, eine technische Schnittstelle zur Verfügung zu stellen.

5. Abschnitt

Übersicht

Übersicht

§ 11. Die Stammzahlenregisterbehörde hat in elektronischer Form allen Personen, deren eindeutige Identität durch die Verwendung des E-ID sichergestellt ist, die Anzeige einer Übersicht

1. 1. über die von ihnen oder für sie gespeicherten Daten über das Bestehen von Vertretungsbefugnissen für die Vertretung von natürlichen Personen sowie
2. 2. über die Protokolldaten der Datenübermittlung aus dem E-ID-System gemäß § 18 Abs. 1 E-GovG

   zur Verfügung zu stellen.

6. Abschnitt

Schlussbestimmungen

Auftragsverarbeiter

§ 12. Sofern sich die Stammzahlenregisterbehörde zur Wahrnehmung der im § 7 Abs. 2 E-GovG sowie in dieser Verordnung geregelten Aufgaben des Bundesministeriums für Inneres als Auftragsverarbeiter bedient, hat dieses insbesondere die folgenden Leistungen zu erbringen:

1. 1. die Zuordnungsprüfung von Daten zu einem Eintrag im ZMR oder im ERnP,
2. 2. die Errechnung der Stammzahl und die Errechnung von bPK für den öffentlichen und privaten Bereich,
3. 3. die Erstellung der Personenbindung für die Verwendung des E-ID bei Datenverarbeitungen des öffentlichen oder privaten Bereichs oder bei Datenverarbeitungen im Ausland sowie
4. 4. die Einfügung des Bestehens einer Vertretungsbefugnis in die Personenbindung.

Inkrafttreten; Außerkrafttreten

§ 13. Diese Verordnung tritt mit Ablauf des Tages der Kundmachung in Kraft und ist mit dem vom Bundesminister für Inneres gemäß § 24 Abs. 6 E-GovG im Bundesgesetzblatt kundgemachten Zeitpunkt anwendbar. Mit Anwendbarkeit dieser Verordnung tritt die Stammzahlenregisterbehördenverordnung 2009 außer Kraft. Für Zwecke des Pilotbetriebes gemäß § 25 Abs. 2 E-GovG ist die Verordnung bereits ab Inkrafttreten anwendbar.