RIS Dokument

Dieses Bundesgesetz dient der Förderung rechtserheblicher elektronischer Kommunikation. Der elektronische Verkehr mit öffentlichen Stellen soll unter Berücksichtigung grundsätzlicher Wahlfreiheit zwischen Kommunikationsarten für Anbringen an diese Stellen erleichtert werden.

The object of this Federal Act is to promote legally relevant electronic communication. Electronic communications with public bodies are to be facilitated, having regard to the principle of freedom to choose between different means of communication when making submissions to such bodies.

In order to improve legal protection, specific technical means shall be created to counter the risks associated with an increased use of automated data processing for the purposes of achieving the aims set out in para 1 and implemented where other precautions do not already provide adequate protection.

Jedermann hat in den Angelegenheiten, die in Gesetzgebung Bundessache sind, das Recht auf elektronischen Verkehr mit den Gerichten und Verwaltungsbehörden. Ausgenommen sind Angelegenheiten, die nicht geeignet sind, elektronisch besorgt zu werden. Personen in gerichtlich, finanzstrafbehördlich oder gemäß § 53d des Verwaltungsstrafgesetzes 1991, BGBl. Nr. 52/1991, verwaltungsbehördlich angeordnetem Freiheitsentzug können dieses Recht nur nach Maßgabe der diesbezüglich in den Vollzugseinrichtungen vorhandenen technischen und organisatorischen Gegebenheiten ausüben, sofern dies vollzugsrechtlich zulässig ist und dadurch keine Gefährdung der Sicherheit und Ordnung zu erwarten ist.

Etwaige technische Voraussetzungen oder organisatorische Beschränkungen des elektronischen Verkehrs sowie der Zeitpunkt der Aufnahme des elektronischen Verkehrs sind im Internet bekanntzumachen.

Any technical requirements or organisational restrictions of electronic communications as well as the time of commencement of electronic communications shall be announced on the Internet.

Sofern durch Bundesgesetz nichts anderes geregelt ist, ist neben der Möglichkeit des elektronischen Verkehrs zumindest eine andere Kommunikationsart für den Verkehr mit der jeweiligen Stelle vorzusehen. Benachteiligungen von Personen auf Grund der Wahl dieser anderen Kommunikationsart sind unzulässig. Maßnahmen zur Förderung des elektronischen Verkehrs stellen keine Benachteiligung in diesem Sinne dar.

Unless otherwise provided for by federal legislation, at least one other means of communication shall be provided for communication with the relevant body in addition to the option of electronic communication. No person shall be disadvantaged due to their choice of such other means of communication. Measures to promote electronic communication shall not be construed as placing any person at a disadvantage in this sense.

Die Teilnahme an der elektronischen Zustellung ist dann unzumutbar, wenn das Unternehmen nicht über die dazu erforderlichen technischen Voraussetzungen oder über keinen Internet-Anschluss verfügt.

Participation in electronic delivery is unacceptable if the business does not have the necessary technical requirements or an Internet connection.

Die Teilnahme ist längstens bis 31. Dezember 2019 auch unzumutbar, wenn das Unternehmen noch nicht Teilnehmer des Unternehmensserviceportals ist sowie bei Fehlen elektronischer Adressen zur Verständigung im Sinne des Zustellgesetzes.

Participation is also unacceptable until no later than 31 December 2019 if a business is not yet a participant in the Business Service Portal and if a business does not have any electronic addresses for the purpose of notification as referred to in the Service of Documents Act.

Unternehmen können der Teilnahme an der elektronischen Zustellung widersprechen. Dieser Widerspruch verliert mit 1. Jänner 2020 seine Wirksamkeit, ausgenommen für Unternehmen, die wegen Unterschreiten der Umsatzgrenze nicht zur Abgabe von Umsatzsteuervoranmeldungen verpflichtet sind.

Businesses can refuse participation in electronic delivery. Such refusal loses effect as of 1 January 2020, except with regard to businesses that are not obligated to submit a preliminary VAT return because they do not reach the turnover threshold.

„Authentizität“: die Echtheit einer Willenserklärung oder Handlung in dem Sinn, dass der vorgebliche Urheber auch ihr tatsächlicher Urheber ist;

„Betroffener“: jede natürliche Person, juristische Person sowie sonstige Personenmehrheit oder Einrichtung, der bei ihrer Teilnahme am Rechts- oder Wirtschaftsverkehr eine eigene Identität zukommt;

„Stammzahlenregister“: ein Register, das die für die eindeutige Identifikation von Betroffenen verwendeten Stammzahlen enthält bzw. die technischen Komponenten zur Ableitung von Stammzahlen im Bedarfsfall besitzt;

„Verwendung des E-ID“: das Auslösen der Erstellung einer Personenbindung mittels qualifizierter elektronischer Signatur des E-ID-Inhabers oder mittels eines sicherheitstechnisch gleichwertigen Vorgangs, der an eine frühere qualifizierte elektronische Signatur des E-ID-Inhabers gebunden ist, wobei das zugehörige qualifizierte Zertifikat, das für die frühere qualifizierte elektronische Signatur verwendet wurde, zum Zeitpunkt der jeweiligen Verwendung noch gültig sein muss;

“Use of the eID”: the triggering of the creation of an identity link by means of a qualified electronic signature of the eID holder or by means of an alternative procedure providing the same degree of security that is linked to a past qualified electronic signature of the eID holder, provided that the related qualified certificate used for the past qualified electronic signature is still valid at the time of use;

Im elektronischen Verkehr mit Verantwortlichen des öffentlichen Bereichs im Sinne des Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1 (im Folgenden: DSGVO) in Verbindung mit § 26 Abs. 1 des Datenschutzgesetzes – DSG, BGBl. I Nr. 165/1999, dürfen Zugriffsrechte auf personenbezogene Daten (Art. 4 Z 1 DSGVO), nur eingeräumt werden, wenn die eindeutige Identität desjenigen, der zugreifen will, und die Authentizität seines Ersuchens nachgewiesen sind. Dieser Nachweis muss in elektronisch prüfbarer Form erbracht werden.

In the context of electronic communications with public-sector controllers within the meaning of Art. 4 subpara 7 of Regulation (EU) 2016/679 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), OJ L 119, 4.5.2016, p. 1 (in the following referred to as the “GDPR”) in connection with § 26 para 1 of the Data Protection Act, Federal Law Gazette I No. 165/1999, rights of access to personal data (Art. 4 subpara 1 of the GDPR) may be granted only where the unique identity of the person desiring access and the authenticity of his request have been validated. Such validation must be provided in a form which can be verified electronically.

Im Übrigen darf eine Identifikation von Betroffenen im elektronischen Verkehr mit Verantwortlichen des öffentlichen Bereichs nur insoweit verlangt werden, als dies aus einem überwiegenden berechtigten Interesse des Verantwortlichen geboten ist, insbesondere weil dies eine wesentliche Voraussetzung für die Wahrnehmung einer ihm gesetzlich übertragenen Aufgabe ist.

Identification of a data subject may otherwise be requested in communications with public-sector controllers only insofar as this is necessary in an overriding legitimate interest of the controller, in particular, where it is an essential requirement for the performance of a task assigned to the controller by statute.

Der E-ID dient dem Nachweis der eindeutigen Identität, weiterer Merkmale sowie des Bestehens einer Einzelvertretungsbefugnis eines Einschreiters und der Authentizität des elektronisch gestellten Anbringens in Verfahren, für die ein Verantwortlicher des öffentlichen Bereichs eine für den Einsatz des E-ID taugliche technische Umgebung eingerichtet hat.

The eID serves to validate the unique identity, further data and the existence of sole power of representation of a person making a submission and of the authenticity of a submission made electronically in procedures for which a public-sector controller has set up a technical environment in which the eID can be used.

Die eindeutige Identifikation einer natürlichen Person, die rechtmäßige Inhaberin eines E-ID (im Folgenden: E-ID-Inhaber) ist, wird durch die Personenbindung bewirkt: Von der Stammzahlenregisterbehörde (§ 7) wird elektronisch signiert oder besiegelt bestätigt, dass dem E-ID-Inhaber ein oder mehrere bPK zur eindeutigen Identifikation zugeordnet ist oder sind. Sofern die Personenbindung den Vornamen, Familiennamen, oder das Geburtsdatum des E-ID-Inhabers enthält, bestätigt die Stammzahlenregisterbehörde mit ihrer elektronischen Signatur oder ihrem elektronischen Siegel die Richtigkeit der Zuordnung dieser personenbezogenen Daten zum E-ID-Inhaber. Sofern mit Einwilligung des Betroffenen weitere Merkmale in die Personenbindung eingefügt werden, dient die elektronische Signatur oder das elektronische Siegel der Stammzahlenregisterbehörde der Bestätigung der unversehrten Einfügung dieser Merkmale aus den von der Stammzahlenregisterbehörde herangezogenen Registern von Verantwortlichen des öffentlichen Bereichs. Hinsichtlich des Identitätsnachweises im Fall der Stellvertretung gilt § 5.

The unique identification of a natural person who is the lawful holder of an eID (in the following referred to as “eID holder”) shall be effected by way of an identity link: the Source PIN Register Authority (§ 7) shall confirm, by electronic signature or electronic seal, that the eID holder has been allocated one or several sector-specific personal identifiers for the purpose of unique identification. If the identity link contains the first name, family name or date of birth of the eID holder, the Source PIN Register Authority shall confirm, by its electronic signature or its electronic seal, the correctness of the allocation of these personal data to the eID holder. To the extent that, with the consent of the data subject, further data are included in the identity link, the electronic signature or the electronic seal of the Source PIN Register Authority serves the purpose of confirming that these data were taken from registers of public-sector controllers used by the Source PIN Register Authority and included with their integrity preserved. With respect to validation of identity in the event of representation, § 5 shall apply.

Aufgrund der Identitätsdaten des E-ID-Werbers (§ 4b Z 1 bis 4 und 6) hat die Stammzahlenregisterbehörde die Stammzahl des E-ID-Werbers zu ermitteln und diese in verschlüsselter Form an den qualifizierten Vertrauensdiensteanbieter (VDA) gemäß Art. 3 Z 20 eIDAS-VO, der das qualifizierte Zertifikat für eine elektronische Signatur ausstellt, das mit der Personenbindung zum E-ID des E-ID-Werbers verbunden werden soll, zu übermitteln. Zudem hat die Stammzahlenregisterbehörde diesem VDA die personenbezogenen Daten gemäß § 4b Z 1 bis 4, 7, 10 und 11 des E-ID-Werbers sowie eine allfällige Beschränkung der Gültigkeitsdauer des Zertifikats gemäß § 4a Abs. 2 zu übermitteln. Die Stammzahlenregisterbehörde hat diesem weiters alle Änderungen der übermittelten personenbezogenen Daten, die ihr zur Kenntnis gelangen, bekanntzugeben. Der VDA hat der Stammzahlenregisterbehörde unverzüglich den Identitätscode der ausgestellten Zertifikate gemäß Anhang I lit. f eIDAS-VO zu übermitteln. Für Zwecke der mittels eines sicherheitstechnisch gleichwertigen Vorgangs im Sinne des § 2 Z 10a zweiter Fall ausgelösten Erstellung einer Personenbindung, ist die verschlüsselte Stammzahl zum E-ID dieses E-ID-Inhabers zu speichern.

The Source PIN Register Authority shall determine the source PIN of the eID applicant on the basis of the identity data of the eID applicant (§ 4b subparas 1 to 4 and 6) and shall send this source PIN in encrypted form to the qualified trust service provider (TSP) pursuant to Art. 3 subpara 20 of the eIDAS Regulation who shall issue the qualified certificate for an electronic signature, which certificate is to be combined with the identity link to form the eID of the eID applicant. In addition, the Source PIN Register Authority shall send to this TSP the eID applicant’s personal data pursuant to § 4b subparas 1 to 4, 7, 10 and 11 and any limitation of the period of validity of the certificate pursuant to § 4a para 2. Furthermore, the Source PIN Register Authority shall notify this TSP of any changes of the personal data sent, of which the Source PIN Register Authority has obtained knowledge. The TSP shall immediately send to the Source PIN Register Authority the identity code pursuant to Annex I letter f of the eIDAS Regulation of the certificates issued. For the purposes of the creation of an identity link triggered by means of an alternative procedure providing the same degree of security as referred to in § 2 subpara 10a second case, the encrypted source PIN associated with the eID of the relevant eID holder must be stored.

Verwendet der E-ID-Inhaber den E-ID im elektronischen Verkehr gemäß § 10 Abs. 1, ist durch die Stammzahlenregisterbehörde oder die in ihrem Auftrag tätige Behörde eine Personenbindung (Abs. 2), die ein oder mehrere bPK, Vorname, Familienname und Geburtsdatum zum E-ID-Inhaber enthält, zu erstellen und an die betreffende Datenverarbeitung zu übermitteln. Wird die Erstellung der Personenbindung mittels qualifizierter elektronischer Signatur des E-ID-Inhabers ausgelöst (§ 2 Z 10a erster Fall), hat der qualifizierte VDA die verschlüsselte Stammzahl und die zugehörigen Sicherheitsdaten der Stammzahlenregisterbehörde zur Verfügung zu stellen. Nach Maßgabe der technischen Möglichkeiten können mit Einwilligung des E-ID-Inhabers in die Personenbindung weitere Merkmale zu diesem aus für die Stammzahlenregisterbehörde zugänglichen Registern von Verantwortlichen des öffentlichen oder privaten Bereichs eingefügt werden.

If the eID holder uses the eID in electronic communications pursuant to § 10 para 1, the Source PIN Register Authority or an authority acting on its behalf shall create an identity link (para 2) containing one or more sector-specific personal identifiers, the first name, family name and date of birth of the eID holder and send it to the relevant data processing system. If the creation of the identity link is triggered by means of a qualified electronic signature of the eID holder (§ 2 subpara 10a first case), the qualified TSP shall provide to the Source PIN Register Authority the encrypted source PIN and the associated security data. In accordance with the technical possibilities, further data of the eID holder taken from registers of public-sector or private-sector controllers which the Source PIN Register Authority can access can be included in the identity link with the consent of the eID holder.

Nach Maßgabe der technischen Möglichkeiten kann der E-ID-Inhaber Vorname, Familienname, Geburtsdatum und den Bestand weiterer Merkmale gemäß Abs. 5 letzter Satz einem Dritten gegenüber in vereinfachter Form nachweisen. Zu diesem Zweck können Vorname, Familienname, Geburtsdatum und die weiteren Merkmale für einen begrenzten Zeitraum zu seinem E-ID gespeichert werden. Vorname, Familienname, Geburtsdatum dürfen für längstens zwölf Monate gespeichert werden. Ob und für welchen Zeitraum dies für ein bestimmtes weiteres Merkmal zulässig ist, hat jener Verantwortliche des öffentlichen Bereichs festzulegen, der das Register führt, aus dem die Stammzahlenregisterbehörde dieses Merkmal bezogen hat. Einem vereinfachten Nachweis von Vorname, Familienname, Geburtsdatum und Lichtbild der betreffenden Person als weiteres Merkmal kommt in den Angelegenheiten, die in Gesetzgebung Bundessache sind, die Beweiskraft eines amtlichen Lichtbildausweises gemäß § 6 Abs. 2 Z 1 des Finanzmarkt-Geldwäschegesetzes ‒ FM-GwG, BGBl. I Nr. 118/2016, zu.

In accordance with the technical possibilities, the eID holder can prove his first name, family name, date of birth and the existence of further data pursuant to para 5 last sentence to a third party in a simplified form. For this purpose, the first name, family name, date of birth and further data can be stored on the eID holder’s eID for a limited period. The first name, family name and date of birth may be stored for a maximum period of twelve months. The public-sector controller keeping the register from which the Source PIN Register Authority took the data shall determine whether and for which period this is permissible for certain further data. Simplified proof of a person’s first name, family name, date of birth and photograph as a piece of further data shall, in matters of federal legislation, have the probative value of an official photo identification document pursuant to § 6 para 2 subpara 1 of the Financial Markets Anti-Money Laundering Act, Federal Law Gazette I No. 118/2016.

Die Authentizität eines mit Hilfe des E-ID gestellten Anbringens wird durch die in dem E-ID enthaltene elektronische Signatur nachgewiesen.

The authenticity of a submission made using the eID shall be validated by the electronic signature contained in the eID.

Die näheren Regelungen zu den Abs. 1 bis 7 sind, soweit erforderlich, durch Verordnung des Bundesministers für Digitalisierung und Wirtschaftsstandort im Einvernehmen mit dem Bundesminister für Inneres sowie den allfällig sonst zuständigen Bundesministern zu erlassen. Vor Erlassung der Verordnung sind die Länder und die Gemeinden, letztere vertreten durch den Österreichischen Gemeindebund und den Österreichischen Städtebund, anzuhören.

Where necessary, detailed rules on paras 1 to 7 shall be laid down in a regulation of the Federal Minister of Digital and Economic Affairs adopted with the consent of the Federal Minister of the Interior and any other competent Federal Ministers. The provinces and the municipalities, the latter represented by the Austrian Association of Municipalities and the Austrian Association of Cities and Towns, shall be consulted prior to adoption of that regulation.

Die Registrierung der Funktion E-ID ist für Staatsbürger ab dem vollendeten 14. Lebensjahr im Rahmen der Beantragung eines Reisedokumentes nach dem Passgesetz 1992, BGBl. Nr. 839/1992, ausgenommen eines Reisepasses gemäß § 4a des Passgesetzes 1992, von Amts wegen durch die Passbehörde oder durch eine gemäß § 16 Abs. 3 des Passgesetzes 1992 ermächtigte Gemeinde vorzunehmen, sofern der Betroffene dieser nicht ausdrücklich widerspricht. Darüber hinaus können sie die Registrierung eines E-ID bei der Passbehörde, einer gemäß § 16 Abs. 3 des Passgesetzes 1992 ermächtigten Gemeinde oder der Landespolizeidirektion verlangen. Soweit die Registrierung nicht im Rahmen der Beantragung eines Reisedokumentes erfolgt, ist die Behörde örtlich zuständig, bei der das Verlangen auf Registrierung des E-ID gestellt wird. Im Einvernehmen mit dem Bundesminister für Inneres können auch andere geeignete Behörden die Registrierung des E-ID vornehmen. Der Bundesminister für Inneres hat diese Behörden im Internet zu veröffentlichen.

The passport authority or a municipal authority authorised pursuant to § 16 para 3 of the Passport Act 1992 shall automatically register the eID function for citizens from the age of 14 during the application process for a travel document pursuant to the Passport Act 1992, Federal Law Gazette No. 839/1992, with the exception of a passport pursuant to § 4a of the Passport Act 1992, unless the data subject expressly objects to registration. In addition, citizens from the age of 14 can request registration of an eID from the passport authority, a municipal authority pursuant to § 16 para 3 of the Passport Act 1992 or a provincial police directorate. Unless the eID is registered during the application process for a travel document, the authority with which the request for registration of an eID was filed has territorial jurisdiction. With the consent of the Federal Minister of the Interior, other appropriate authorities can also register an eID. The Federal Minister of the Interior shall publish these authorities on the Internet.

Die sachliche Zuständigkeit zur Registrierung des E-ID für Fremde kommt der Landespolizeidirektion zu. Örtlich zuständig ist die Landespolizeidirektion, bei der das Verlangen auf Registrierung des E-ID gestellt wird. Bei Fremden ist eine Registrierung nur dann vorzunehmen, sofern sie über einen ausreichenden Bezug zum Inland verfügen und das 14. Lebensjahr vollendet haben. Insbesondere ist hiefür ein Nachweis über Wohnsitz, Beschäftigungsverhältnis oder Geschäftstätigkeit im Inland erforderlich. Für Fremde, die im Inland internationalen Schutz beantragt haben, ist die Registrierung erst nach Zuerkennung des Status des Asylberechtigten oder des subsidiär Schutzberechtigten oder der Erteilung eines sonstigen Aufenthaltsrechts zulässig. Für Fremde ohne Hauptwohnsitz im Bundesgebiet darf das qualifizierte Zertifikat für elektronische Signaturen gemäß Art. 3 Z 15 eIDAS-VO ab dem Zeitpunkt der Registrierung maximal drei Jahre gültig sein. Abs. 1 vorletzter und letzter Satz gelten für Fremde sinngemäß.

The provincial police directorates have subject-matter jurisdiction over the registration of eIDs for foreigners. Territorial jurisdiction lies with the provincial police directorate with which the request for registration of an eID was filed. For foreigners, an eID may be registered only if they have sufficient relations to Austria and are older than 14. In particular, proof of residence, employment or business activities in Austria is required for this purpose. In the case of foreigners who applied for international protection in Austria, registration is permissible only after they were granted asylum status or subsidiary protection status or another right of residence. In the case of foreigners who do not have their principal place of residence in the federal territory, the qualified certificate for electronic signatures pursuant to Art. 3 subpara 15 of the eIDAS Regulation may be valid for a maximum of three years from the time of registration. Para 1 penultimate and last sentences shall apply to foreigners mutatis mutandis.

Soweit Inhaber eines inländischen Reisedokumentes gemäß dem Passgesetz 1992, dessen Gültigkeitsdauer nicht länger als sechs Jahre abgelaufen ist, den Behörden im Wege des VDA (§ 4 Abs. 4 erster Satz), der im Auftrag des Auftragsverarbeiters der Datenverarbeitung gemäß § 22b des Passgesetzes 1992 tätig wird, bereits vorweg die Namen, das Geburtsdatum, die Pass- oder Personalausweisnummer und soweit verfügbar eine E-Mail-Adresse zur Verfügung stellen, dürfen sie diese zur Weiterverarbeitung zum Zweck der Registrierung eines E-ID für 30 Tage speichern. Erfolgt innerhalb dieses Zeitraums keine Registrierung des E-ID, sind diese personenbezogenen Daten zu löschen.

To the extent that holders of an Austrian travel document pursuant to the Passport Act 1992 which expired not more than six years ago provide to the authorities, through the TSP (§ 4 para 4 first sentence) acting on behalf of the processor of the data processing system pursuant to § 22b of the Passport Act 1992, their names, date of birth, passport or identity card number and, if available, an email address in advance, the authorities may store these data for further processing for 30 days for the purpose of the registration of an eID. If no eID is registered within this period, these personal data must be deleted.

Die Registrierung des E-ID ist nur zulässig, sofern die Identität des Betroffenen eindeutig festgestellt wurde. In den Fällen des Abs. 1 zweiter Satz und Abs. 2 ist für die Registrierung eines E-ID ein Lichtbild beizubringen, das den Anforderungen gemäß § 4 der Passgesetz-Durchführungsverordnung (PassG-DV), BGBl. II Nr. 223/2006, in der Fassung der Verordnung BGBl. II Nr. 184/2023, entspricht, es sei denn der Registrierungsbehörde liegt bereits ein Lichtbild in der Datenverarbeitung gemäß § 22b des Passgesetzes 1992 vor, das nicht für die Ausstellung eines Reisepasses gemäß § 4a des Passgesetzes 1992 vorgelegt wurde. Zur Überprüfung der Identität und der vorgelegten Dokumente ist die Behörde ermächtigt, Informationen über personenbezogene Daten und Dokumente des E-ID-Werbers aus Datenverarbeitungen von Sicherheits-, Personenstands- und Staatsbürgerschaftsbehörden sowie aus Datenverarbeitungen nach den §§ 26 und 27 des BFA-Verfahrensgesetzes (BFA-VG), BGBl. I Nr. 87/2012, im Datenfernverkehr abzufragen und soweit es sich um Daten gemäß § 4b Abs. 1 Z 1 bis 5 oder Z 7 handelt, in der Datenverarbeitung gemäß § 22b des Passgesetzes 1992 zu verarbeiten. Kann die Identität des E-ID-Werbers bei den Behörden gemäß Abs. 1 und 2 nicht eindeutig festgestellt werden, obliegt das weitere Verfahren zur eindeutigen Feststellung der Identität der Landespolizeidirektion.

Registration of an eID is permissible only if the data subject has been uniquely identified. In the cases of para 1 second sentence and para 2, a photograph that meets the requirements of § 4 of the Passport Act Implementing Regulation, Federal Law Gazette II No. 223/2006, as amended by the regulation Federal Law Gazette II No. 184/2023, must be provided in order to register an eID, unless a photograph is already available to the registering authority in the data processing system pursuant to § 22b of the Passport Act 1992 and such photograph was not provided for the purpose of issuing a passport pursuant to § 4a of the Passport Act 1992. To verify the identity and the documents provided, the authority is authorised to retrieve, via electronic communications, information on personal data and documents of the eID applicant from data processing systems of security authorities, civil status authorities and nationality authorities as well as from data processing systems pursuant to § 26 and § 27 of the Act on Procedures before the Federal Office for Immigration and Asylum, Federal Law Gazette I No. 87/2012, and, insofar as data pursuant to § 4b para 1 subparas 1 to 5 or subpara 7 are concerned, process such data in the data processing system pursuant to § 22b of the Passport Act 1992. If an eID applicant cannot be uniquely identified by the authorities pursuant to paras 1 and 2, the provincial police directorates are responsible for the further procedures for unique identification.

Die Aussetzung oder der Widerruf des E-ID erfolgt durch die Aussetzung oder den Widerruf des mit dem E-ID verbundenen qualifizierten Zertifikats beim VDA gemäß § 6 des Signatur- und Vertrauensdienstegesetzes – SVG, BGBl. I Nr. 50/2016, oder Art. 24 Abs. 3 eIDAS-VO. Dieser hat die Information über die Aussetzung oder den Widerruf der jeweils zuständigen Behörde gemäß Abs. 1 und 2 im Wege des Betreibers der Datenverarbeitung gemäß § 22b des Passgesetzes 1992 zur weiteren Verarbeitung zu übermitteln. Die Behörden gemäß Abs. 1 und 2 haben die Aussetzung oder den Widerruf des E-ID zu veranlassen, wenn ihnen bekannt wird, dass der Inhaber des E-ID verstorben ist, die Gefahr missbräuchlicher Verwendung droht, der E-ID-Inhaber dies verlangt oder wenn der Behörde Tatsachen bekannt werden, die berechtigte Zweifel an der Identität des Betroffenen aufkommen lassen.

An eID is suspended or revoked by having the qualified certificate linked with the eID suspended or revoked by the TSP pursuant to § 6 of the Signature and Trust Services Act, Federal Law Gazette I No. 50/2016, or Art. 24 para 3 of the eIDAS Regulation. The TSP shall send the information on the suspension or revocation to the relevant competent authority pursuant to paras 1 and 2 through the operator of the data processing system pursuant to § 22b of the Passport Act 1992 for further processing. The authorities pursuant to paras 1 and 2 shall arrange for the suspension or revocation of the eID if they learn that the eID holder has died, if there is the risk of misuse, if the eID holder requests so or if the authority obtains knowledge of facts giving rise to justified doubts about the identity of the data subject.

The Federal Minister of the Interior, with the consent of the Federal Minister of Digital and Economic Affairs, shall specify, by regulation, detailed provisions on the procedure pursuant to paras 1 to 5 and on the extension of the validity of an eID.

die Staatsangehörigkeit,

the sector-specific personal identifier,

die bekanntgegebene Zustelladresse,

the address for service provided,

das Registrierungsdatum,

the date of registration,

soweit verfügbar die bekanntgegebene Telefonnummer eines Mobiltelefons,

if available, the mobile telephone number provided,

soweit verfügbar die bekanntgegebene E-Mail-Adresse,

if available, the email address provided,

die Registrierungsbehörde und

the registering authority, and

Protokolldaten über tatsächlich durchgeführte Verarbeitungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, sind drei Jahre lang aufzubewahren.

Die bekanntgegebene Zustelladresse gemäß Abs. 1 Z 7 ist zu löschen, sobald die Registrierung des E-ID abgeschlossen wurde. Gemäß Abs. 1 Z 13 verarbeitete Identitätscodes der ausgestellten Zertifikate sind im Falle eines Widerrufs oder Ablaufs des jeweiligen Zertifikats zu löschen. Sonstige gemäß Abs. 1 und 3 sowie gemäß § 4a Abs. 4 verarbeitete personenbezogene Daten sind zu löschen, sobald sie nicht mehr benötigt werden, jedoch spätestens drei Jahre nach Widerruf oder Ablauf des E-ID.

Für Zwecke des vertretungsweisen Handelns kann in die Personenbindung des Vertreters von der Stammzahlenregisterbehörde das Bestehen einer Einzelvertretungsbefugnis für die Vertretung von nicht-natürlichen Personen oder einer Vertretungsbefugnis für die Vertretung von natürlichen Personen eingefügt werden. Zu diesem Zweck kann die Stammzahlenregisterbehörde nach Maßgabe der technischen Möglichkeiten Angaben zu Vollmachtsverhältnissen in Datenverarbeitungen anderer Verantwortlicher des öffentlichen Bereichs verwenden, sofern dies gesetzlich zulässig ist oder eine Einwilligung des Betroffenen besteht. Die Stammzahlenregisterbehörde kann außerdem auf Antrag des Vertreters das Bestehen eines Vertretungsverhältnisses mit allfälligen inhaltlichen und zeitlichen Beschränkungen speichern. Die Voraussetzungen und näheren Anforderungen des Antrags und der zu erbringenden Nachweise sind in der gemäß § 4 Abs. 8 zu erlassenden Verordnung des Bundesministers für Digitalisierung und Wirtschaftsstandort festzulegen. Die Berechtigung zur Empfangnahme von Dokumenten gemäß § 35 Abs. 3 zweiter Satz des Zustellgesetzes – ZustG, BGBl. Nr. 200/1982, muss gesondert eingefügt werden.

In den Fällen berufsmäßiger Parteienvertretung ist ein besonderer Vollmachtsnachweis nicht erforderlich, wenn die generelle Befugnis zur Vertretung aus der nach den berufsrechtlichen Vorschriften erfolgenden Anmerkung der Berufsberechtigung im Signaturzertifikat seines E-ID oder auf Grund von Datenverarbeitungen, die nach berufsrechtlichen Bestimmungen zu führen sind, ersichtlich ist. In diesen Fällen wird das Bestehen der berufsmäßigen Parteienvertretung von der Stammzahlenregisterbehörde gemäß Abs. 1 in die Personenbindung eingefügt. Die generelle Befugnis umfasst nicht die Berechtigung gemäß § 35 Abs. 3 zweiter Satz ZustG.

In cases of professional representation no particular proof of a power of attorney is required if the general authority to represent is evident from the notice of professional entitlement in the signature certificate of an eID made in accordance with professional regulations or on the basis of data processing systems to be operated in accordance with professional regulations. In these cases, the Source PIN Register Authority shall include the existence of professional representation in the identity link pursuant to para 1. The general authority does not include the permission according to § 35 para 3 second sentence of the Service of Documents Act.

Soweit diese Dienstleistung bei Behörden eingerichtet ist, können unabhängig von ihrer sachlichen und örtlichen Zuständigkeit hiezu eigens ermächtigte Organwalter für Betroffene auf deren Verlangen Verfahrenshandlungen in E-ID-tauglichen Verfahren setzen. Der Auftrag des Betroffenen ist bei der Behörde in geeigneter Form zu dokumentieren. Die Verfahrenshandlung wird mit Hilfe des E-ID des Organwalters gesetzt. Die generelle Befugnis des Organwalters zur Vornahme der Verfahrenshandlung für Betroffene muss aus dem Signaturzertifikat seines E-ID oder aus einer von der zuständigen Behörde geführten Datenverarbeitung ersichtlich sein. In diesen Fällen wird das Bestehen der Befugnis des Organwalters von der Stammzahlenregisterbehörde gemäß Abs. 1 in die Personenbindung eingefügt. Die generelle Befugnis umfasst nicht die Berechtigung gemäß § 35 Abs. 3 zweiter Satz ZustG und die Zustellungsvollmacht gemäß § 9 Abs. 1 ZustG.

Provided that such a service is offered by authorities, officials authorised especially for this purpose may, at a data subject’s request, lodge applications for that data subject with all authorities, irrespective of their subject-matter or territorial jurisdiction, in procedures in which an eID may be used. The specific instruction issued by the data subject shall be documented and kept by the authority in an appropriate form. Applications shall be lodged using the eID of the official. The general competence of an official to lodge applications for data subjects must be apparent from the signature certificate of the official’s eID or from the data processing system operated by the competent authority. In these cases, the Source PIN Register Authority shall include the existence of the official’s authority in the identity link pursuant to para 1. The general authority does not include the permission according to § 35 para 3 second sentence of the Service of Documents Act and the authorisation for deliveries according to § 9 para 1 of the Service of Documents Act.

Wird das Bestehen einer Einzelvertretungsbefugnis in die Personenbindung (§ 4 Abs. 2) eingefügt, dient die elektronische Signatur oder das elektronische Siegel der Stammzahlenregisterbehörde der Bestätigung der unversehrten Einfügung der Einzelvertretungsbefugnis aus den von der Stammzahlenregisterbehörde herangezogenen Quellen. § 4 Abs. 5, § 14 Abs. 3 und § 14a Abs. 2 gelten für vertretungsweises Handeln in Bezug auf vertretene natürliche Personen sinngemäß. Für vertretene nicht-natürliche Personen hat die Stammzahlenregisterbehörde die Stammzahl bereitzustellen.

If the existence of sole power of representation is included in the identity link (§ 4 para 2), the electronic signature or the electronic seal of the Source PIN Register Authority serves the purpose of confirming that sole power of representation was included, with its integrity preserved, on the basis of sources used by the Source PIN Register Authority. § 4 para 5, § 14 para 3 and § 14a para 2 shall apply mutatis mutandis to acting as a representative of natural persons. For represented non-natural persons, the Source PIN Register Authority shall provide the source PIN.

Im E-ID erfolgt die eindeutige Identifikation von Betroffenen auf Basis ihrer Stammzahl.

The data subject shall be uniquely identified in the eID on the basis of his source PIN.

Für natürliche Personen, die im Zentralen Melderegister eingetragen sind, wird die Stammzahl durch eine mit starker Verschlüsselung gesicherte Ableitung aus ihrer ZMR-Zahl (§ 16 Abs. 1 des Meldegesetzes 1991 – MeldeG, BGBl. Nr. 9/1992) gebildet. Für alle anderen natürlichen Personen ist ihre Ordnungsnummer im Ergänzungsregister (Abs. 4) für die Ableitung der Stammzahl heranzuziehen. Die Benützung der ZMR-Zahl zur Bildung der Stammzahl ist keine Verarbeitung von personenbezogenen Daten des Zentralen Melderegisters im Sinne des § 16a MeldeG.

With respect to natural persons who are registered in the Central Register of Residents (CRR), the source PIN shall be derived from that person's registration number in the Central Register of Residents (CRR number) (§ 16 para 1 of the Registration Act 1991, Federal Law Gazette No. 9/1992) and secured by using strong cryptography. The source PIN of natural persons not having to register in the CRR shall be derived on the basis of their registration number in a Supplementary Register (para 4). The use of the CRR number in order to generate the source PIN is not to be considered as processing of personal data contained in the CRR for the purposes of § 16a of the Registration Act.

Irrespective of the availability of a source PIN pursuant to para 2, the source PIN for data subjects

keine Gebietskörperschaften oder andere Körperschaften oder Anstalten des öffentlichen Rechts sind sowie

nicht im Firmenbuch oder im Zentralen Vereinsregister eingetragen sind,

entered in the Supplementary Register for Other Data Subjects (para 4) shall be the registration number allocated in the Supplementary Register.

Die GLN wird für jeden Betroffenen einmalig für die Dauer seines Bestehens als Betroffener iSd Abs. 3 Z 3 bis 5 vergeben. Ihre Vergabe erfolgt im Fall der Abs. 3 Z 3 im Auftrag der Finanzbehörden des Bundes, im Fall der Abs. 3 Z 4 im Auftrag des für Landwirtschaft, Regionen und Tourismus zuständigen Bundesministers sowie im Fall der Abs. 3 Z 5 im Auftrag des Betreibers des Unternehmensserviceportals (USP) jeweils durch die Bundesanstalt „Statistik Österreich“ im Rahmen der Eintragung in das Unternehmensregister gemäß des § 25 Bundesstatistikgesetz 2000. Tritt an die Stelle des Anlasses der Eintragung ein anderer Anlass iSd Abs. 3 Z 3 bis 5 bleibt die vergebene GLN als Identifikationsmerkmal dieses Betroffenen erhalten und es ist keine neue GLN zu vergeben. Wenn es sich bei einem Betroffenen iSd Abs. 3 Z 1 oder 3 bis 6 um eine natürliche Person handelt, ist die Firmenbuchnummer, GLN oder Ordnungsnummer nur soweit zu verwenden als seine Identität als in das Firmenbuch eingetragener Einzelunternehmer, Unternehmen gemäß des § 3 Z 20 Bundesstatistikgesetz 2000, land- und forstwirtschaftlicher Betrieb, die Identität dieser natürlichen Person in Bezug auf ein begonnenes elektronisches Verfahren zur Gründung eines Unternehmens im Sinne des § 3 Z 20 Bundesstatistikgesetz 2000 oder seine Eigenschaft als sonstiger Betroffener betroffen ist.

The GLN is uniquely allocated to each data subject for the entire duration of his existence as a data subject within the meaning of para 3 subparas 3 to 5. It is allocated on behalf of the federal fiscal authorities in the case of para 3 subpara 3, on behalf of the Federal Minister in charge of agriculture, regions and tourism in the case of para 3 subpara 4 and on behalf of the operator of the Business Service Portal in the case of para 3 subpara 5, in each case by Statistics Austria upon registration in the business register pursuant to § 25 of the Federal Statistics Act 2000. If the reason for registration is replaced by a different reason pursuant to para 3 subparas 3 to 5, the allocated GLN shall remain valid as an identifier of the relevant data subject and no new GLN shall be allocated. If a data subject within the meaning of para 3 subpara 1 or subparas 3 to 6 is a natural person, the Register of Company Names number, GLN or registration number shall be used only insofar as that person’s identity as a sole trader entered in the Register of Company Names, as a business pursuant to § 3 subpara 20 of the Federal Statistics Act 2000, as an agricultural and forestry holding, as a natural person in the context of an electronic procedure initiated to set up a business within the meaning of § 3 subpara 20 of the Federal Statistics Act 2000 or as other data subject is concerned.

Das Ergänzungsregister wird getrennt nach natürlichen Personen und sonstigen Betroffenen geführt. Unbeschadet des Abs. 3 sind im Ergänzungsregister für natürliche Personen auf Antrag des jeweiligen Betroffenen oder in den Fällen des § 10 Abs. 2 auf Antrag des Verantwortlichen der Datenverarbeitung natürliche Personen einzutragen, die nicht im Zentralen Melderegister eingetragen sind. In das Ergänzungsregister für sonstige Betroffene sind auf Antrag des jeweiligen Betroffenen oder in den Fällen des § 10 Abs. 2 auf Antrag des Verantwortlichen der Datenverarbeitung einzutragen:

The Supplementary Register shall be divided into sections for natural persons and for other data subjects. Without prejudice to para 3, natural persons who are not entered in the Central Register of Residents shall be entered in the Supplementary Register for Natural Persons upon application by the relevant data subject or, in the cases of § 10 para 2, upon application by the controller of the data processing system. The following shall be entered in the Supplementary Register for Other Data Subjects upon application by the relevant data subject or, in the cases of § 10 para 2, upon application by the controller of the data processing system:

Gebietskörperschaften und andere Körperschaften oder Anstalten des öffentlichen Rechts sowie

territorial authorities and other corporations or institutions under public law, and

Elektronische Identifizierungsmittel eines anderen Mitgliedstaats der Europäischen Union, die die Anforderungen des Art. 6 Abs. 1 eIDAS-VO erfüllen, können bei Verantwortlichen des öffentlichen Bereichs wie ein E-ID für Zwecke der eindeutigen Identifikation im Sinne dieses Bundesgesetzes verwendet werden. Bei Verantwortlichen des privaten Bereichs gilt dies nur dann, wenn diese die Verwendung solcher Identifizierungsmittel zulassen. Nach Maßgabe der technischen Voraussetzungen hat diese Anerkennung spätestens sechs Monate nach der Veröffentlichung des jeweiligen elektronischen Identifizierungssystems in der Liste gemäß Art. 9 eIDAS-VO zu erfolgen. Bei der Verwendung eines solchen elektronischen Identifizierungsmittels ist für Betroffene, die weder im Melderegister noch im Ergänzungsregister für natürliche Personen eingetragen sind, ein Eintrag im Ergänzungsregister zu erzeugen. Dafür sind die Personenidentifikationsdaten des verwendeten elektronischen Identifizierungsmittels in das Ergänzungsregister einzutragen. Besteht eine Eintragung für den Betroffenen im Melderegister oder im Ergänzungsregister, sind die Personenidentifikationsdaten des verwendeten elektronischen Identifizierungsmittels in das entsprechende Register einzutragen. Bei der eindeutigen Identifikation im elektronischen Verkehr ist die Personenbindung sinngemäß nach § 4 Abs. 5 oder § 14 Abs. 3 zu erstellen.

Electronic identification means of another Member State of the European Union that meet the requirements of Art. 6 para 1 of the eIDAS Regulation can be used in dealings with public-sector controllers in the same way as an eID for the purposes of unique identification as defined in this Federal Act. In the case of private-sector controllers, this only applies if such controllers allow the use of such identification means. In accordance with the technical prerequisites, such electronic identification means must be recognised no later than six months after publication of the relevant electronic identification scheme in the list pursuant to Art. 9 of the eIDAS Regulation. When such electronic identification means are used, an entry in the Supplementary Register must be created for data subjects who have neither been entered in the Central Register of Residents nor in the Supplementary Register for Natural Persons. For this purpose, the person identification data of the electronic identification means used must be entered in the Supplementary Register. If an entry for the data subject exists in the Central Register of Residents or in the Supplementary Register, the person identification data of the electronic identification means used must be entered in the relevant register. In the case of unique identification in electronic communications, the identity link shall be created pursuant to § 4 para 5 or § 14 para 3 applied mutatis mutandis.

Im Stammzahlenregister sind mathematische Verfahren zur Bildung der Stammzahl bei natürlichen Personen zu verwenden, die die ZMR-Zahl oder die Ordnungsnummer des Ergänzungsregisters für natürliche Personen stark verschlüsseln. Diese Verfahren sind durch die Stammzahlenregisterbehörde festzulegen und – mit Ausnahme der verwendeten kryptographischen Schlüssel – im Internet zu veröffentlichen.

For the generation of source PIN for natural persons, mathematical algorithms which apply strong cryptography to the CRR number or the registration number of the Supplementary Register for Natural Persons must be used in the source PIN register. These algorithms shall be determined by the Source PIN Register Authority and – with the exception of the cryptographic keys used – published on the Internet.

Der Bundesminister für Digitalisierung und Wirtschaftsstandort kann im Einvernehmen mit dem Bundesminister für Inneres sowie dem Bundesminister für Finanzen mit Verordnung soweit erforderlich nähere Regelungen zum Ergänzungsregister, insbesondere zu den Eintragungsdaten (Namen oder Bezeichnung, Geburtsdatum, Geburtsort, Geschlecht, akademische Grade, Daten der vorgelegten amtlichen Dokumente, Telefonnummer, E-Mail-Adresse, Adresse, Anschrift, Sitz, Staatsangehörigkeit, Angaben über die Rechts- oder Organisationsform und Angaben über den Bestandszeitraum von Betroffenen) und bei welchen Stellen der Nachweis von personenbezogenen Daten für die Eintragung in das Ergänzungsregister erbracht werden kann, erlassen. In dieser Verordnung kann weiters geregelt werden, inwieweit ein Kostenersatz für die Eintragung zu leisten ist.

With the consent of the Federal Minister of the Interior and the Federal Minister of Finance, the Federal Minister of Digital and Economic Affairs may, where necessary, lay down, by regulation, detailed provisions governing the Supplementary Register, in particular as regards the registration data (name or designation, date of birth, place of birth, sex, academic degrees, data of the official documents submitted, telephone number, email address, address, postal address, registered office, nationality, details of the legal or organisational form and details of the period of existence of a data subject) and the bodies to which proof of personal data required for registration in the Supplementary Register may be submitted. Moreover, this regulation may also specify to what extent the costs of registration must be reimbursed.

Verantwortliche des öffentlichen Bereichs, deren Datenverarbeitung gemäß § 10 Abs. 2 mit bPK ausgestattet wurde, haben die ihnen zur Kenntnis gelangten Änderungen der Eintragungsdaten des Ergänzungsregisters für natürliche Personen (ERnP) sowie das Sterbedatum von betroffenen Personen dem Verantwortlichen im Wege des Auftragsverarbeiters, dessen sich die Stammzahlenregisterbehörde gemäß § 7 Abs. 2 bedient, nach Maßgabe der vorhandenen technischen Möglichkeiten zu melden. Der Auftragsverarbeiter hat die Änderung im Auftrag des Verantwortlichen vorzunehmen.

Zum Zwecke der Aktualisierung ist die Stammzahlenregisterbehörde auf Verlangen von Verantwortlichen des öffentlichen Bereichs ermächtigt, diesen laufend in geeigneter elektronischer Form die geänderten Eintragungsdaten des ErnP, in Bezug auf Personen, für die ein bPK aus dem Bereich gespeichert ist, in dem der jeweilige Verantwortliche zur Vollziehung berufen ist, zu übermitteln.

For the purpose of updating information, the Source PIN Register Authority is authorised, at the request of public-sector controllers, to regularly send them, by appropriate electronic means, any changed registration data of the SRNP with regard to persons for whom a sector-specific personal identifier from the sector in which the relevant controller has been entrusted with implementation duties is stored.

The processor within the meaning of para 1 shall, on behalf of the controller, take measures to assure data quality by reconciling the data contained in the CRR and the SRNP, in particular as regards any potential identity of similar sets of data contained in that Supplementary Register, any data already registered in the CRR or the spelling of names and addresses.

Die Führung des ERsB ist Aufgabe der Stammzahlenregisterbehörde. Die Eintragung in das Register erfolgt durch die Stammzahlenregisterbehörde oder durch eine Institution, die unmittelbar durch Gesetz, Verordnung oder völkerrechtlichen Vertrag eingerichtet ist oder der dadurch Rechtspersönlichkeit zuerkannt wurde, für

The Source PIN Register Authority is responsible for keeping the SRODS. Entries in the register are made by the Source PIN Register Authority or by any institution directly established, or vested with legal personality, by law, regulation or international agreement

ihre Teilorganisationen,

on behalf of its sub-organisations,

die ihrer gesetzlichen Aufsicht unterliegenden Organisationen,

on behalf of the organisations subject to its legal supervision,

Betroffene, soweit die Institution durch Gesetz oder Verordnung dazu ermächtigt wurde.

on behalf of data subjects, insofar as the institution is authorised to do so by law or regulation.

Das ERsB ist in Bezug auf Betroffene, die keine natürlichen Personen sind und ausschließlich in Bezug auf die Vor- und Nachnamen ihrer vertretungsbefugten natürlichen Personen hinsichtlich des aktuellen Datenbestands als öffentliches Register zu führen, das von der Stammzahlenregisterbehörde im Internet verfügbar gehalten wird.

With regard to the data currently recorded in the register in relation to data subjects who are not natural persons and, as far as any natural persons authorised to represent such data subjects are concerned, only with regard to their first and last names, the SRODS shall be kept as a public register that is made available on the Internet by the Source PIN Register Authority.

Die Stammzahlenregisterbehörde hat Eintragungen, zu denen ihr Änderungen bekannt werden, richtig zu stellen oder inaktiv zu setzen. Ersetzte oder inaktive Eintragungen sind unverzüglich zu löschen, sobald diese für die in diesem Bundesgesetz angeführten Zwecke nicht mehr benötigt werden, spätestens jedoch nach Ablauf von dreißig Jahren.

Die Stammzahlenregisterbehörde hat auf Verlangen jeder Person einen mit einer Amtssignatur (§ 19 E-GovG) versehenen Auszug der aktuellen Daten aus dem Register elektronisch auszustellen. Dazu hat die Stammzahlenregisterbehörde ein Webformular und soweit zweckmäßig eine Schnittstelle zur Verfügung zu stellen. Bei Registerabfragen und auf Auszügen aus dem Register ist die Eintragungsstelle klar ersichtlich zu machen und ein Hinweis aufzunehmen, dass der Eintrag im ERsB nicht konstitutiv ist.

The Source PIN Register Authority shall, at the request of any person, issue an electronic excerpt of current data from the register bearing an official signature (§ 19 of the E-Government Act). The Source PIN Register Authority shall provide an online form and, if appropriate, an interface for this purpose. Data retrievals from the register and register excerpts must clearly indicate the registering entity and contain reference to the fact that registration in the SRODS does not create or alter rights.

Stammzahlenregisterbehörde ist der Bundesminister für Digitalisierung und Wirtschaftsstandort.

The Federal Minister of Digital and Economic Affairs is the Source PIN Register Authority.

Die Stammzahlenregisterbehörde kann sich bei der Führung des Ergänzungsregisters sowie bei der Errechnung von Stammzahlen und bei der Durchführung der in den §§ 4, 4b, 5, 9, 10, 14, 14a und 15 geregelten Verfahren des Bundesministeriums für Inneres als Auftragsverarbeiter, soweit natürliche Personen Betroffene sind, und des Bundesministeriums für Finanzen oder der Bundesanstalt Statistik Österreich hinsichtlich aller anderen Betroffenen bedienen. Die näheren Regelungen über die sich daraus ergebende Aufgabenverteilung zwischen der Stammzahlenregisterbehörde und dem Bundesministerium für Inneres, dem Bundesministerium für Finanzen oder der Bundesanstalt Statistik Österreich als Auftragsverarbeiter werden durch Verordnung des Bundesministers für Digitalisierung und Wirtschaftsstandort im Einvernehmen mit dem Bundesminister für Inneres, dem Bundesminister für Finanzen oder dem Bundeskanzler geregelt. Abweichend davon kann sich die Stammzahlenregisterbehörde für diese Zwecke auch anderer oder weiterer Auftragsverarbeiter bedienen. Die Stammzahlenregisterbehörde hat stichprobenartig die ordnungsgemäße Erfüllung der Aufgaben der Auftragsverarbeiter zu prüfen.

In maintaining the Supplementary Register, generating source PIN and conducting the procedures governed by § 4, § 4b, § 5, § 9,§ 10, § 14, § 14a and § 15, the Source PIN Register Authority may have recourse to the Federal Ministry of the Interior as a processor, insofar as natural persons are concerned, and to the Federal Ministry of Finance or Statistics Austria, insofar as all other data subjects are concerned. The detailed provisions governing the distribution of functions between the Source PIN Register Authority and the Federal Ministry of the Interior, the Federal Ministry of Finance or Statistics Austria as a processor shall be laid down in a regulation of the Federal Minister of Digital and Economic Affairs with the consent of the Federal Minister of the Interior, the Federal Minister of Finance or the Federal Chancellor. By way of derogation from the above, the Source PIN Register Authority can also use other or further processors for these purposes. The Source PIN Register Authority shall randomly check that the tasks of the processors are completed correctly.

Das bPK wird durch eine Ableitung aus der Stammzahl der betroffenen natürlichen Person gebildet. Die Identifikationsfunktion dieser Ableitung ist auf jenen staatlichen Tätigkeitsbereich beschränkt, dem die Datenverarbeitung zuzurechnen ist, in der das bPK verarbeitet werden soll. Die Zurechnung einer Datenverarbeitung zu einem bestimmten staatlichen Tätigkeitsbereich ergibt sich aus ihrer Registrierung bei der Stammzahlenregisterbehörde.

The sector-specific personal identifier is derived from the source PIN of a data subject who is a natural person. The use of that derived identifier for identification purposes shall be limited to that sector of State activity to which the data processing system in which the sector-specific personal identifier is to be processed is to be allocated. A data processing system is allocated to a specific sector of State activity on the basis of its registration with the Source PIN Register Authority.

Die Abgrenzung der staatlichen Tätigkeitsbereiche ist für Zwecke der Bildung von bPK so vorzunehmen, dass zusammengehörige Lebenssachverhalte in ein- und demselben Bereich zusammengefasst werden und miteinander unvereinbare Datenverarbeitungen innerhalb desselben Bereichs nicht vorgesehen sind. Die Bezeichnung und Abgrenzung dieser Bereiche wird durch Verordnung des Bundesministers für Digitalisierung und Wirtschaftsstandort festgelegt; vor Erlassung oder Änderung dieser Verordnung sind die Länder und die Gemeinden, letztere vertreten durch den Österreichischen Gemeindebund und den Österreichischen Städtebund, anzuhören.

For the purpose of generating sector-specific personal identifiers, sectors of State activity are to be delimited in such a way as to ensure that associated situations fall within the same sector and to prevent incompatible data processing systems within the same sector. The description and delimitation of those areas shall be determined in a regulation of the Federal Minister of Digital and Economic Affairs. The provinces and the municipalities, the latter represented by the Austrian Association of Municipalities and the Austrian Association of Cities and Towns, shall be consulted prior to adoption of that regulation.

Die zur Bildung des bPK eingesetzten mathematischen Verfahren (Hash-Verfahren über die Stammzahl und die Bereichskennung) werden von der Stammzahlenregisterbehörde festgelegt und – mit Ausnahme der verwendeten kryptographischen Schlüssel – im Internet veröffentlicht.

The mathematical algorithms applied to generate the sector-specific personal identifier (hash function using the source PIN und the sector code) shall be determined by the Source PIN Register Authority and – with the exception of any cryptographic keys used – published on the Internet.

Bei Verwendung des E-ID werden bPK eines Betroffenen in elektronischen Verfahren erzeugt, für die der Verantwortliche des öffentlichen Bereichs eine E-ID-taugliche Umgebung eingerichtet hat. Dafür muss eine Datenverarbeitung mit ihrer Zuordnung zu einem staatlichen Bereich bei der Stammzahlenregisterbehörde registriert sein. In Bereichen, in denen der Verantwortliche des öffentlichen Bereichs nicht zur Vollziehung berufen ist, dürfen bPK nur verschlüsselt (§ 13 Abs. 2) gespeichert werden.

By using an eID, a data subject’s sector-specific personal identifier is generated in electronic procedures for which a public-sector controller has created an environment in which the eID may be used. For that purpose, a data processing system, together with its allocation to a sector of State activity, must be registered with the Source PIN Register Authority. In sectors in which the public-sector controller has not been entrusted with implementation duties, only encrypted (§ 13 para 2) sector-specific personal identifiers may be stored.

Die Erzeugung von bPK ohne Einsatz des E-ID ist nur der Stammzahlenregisterbehörde erlaubt und nur zulässig, wenn eine eindeutige Identifikation mit Hilfe des bPK im Rahmen von Datenverarbeitungen von Verantwortlichen des öffentlichen Bereichs notwendig ist, weil personenbezogene Daten in einer der DSGVO und dem DSG entsprechenden Art und Weise verarbeitet werden sollen. Solche Fälle sind insbesondere Amtshilfe, Datenermittlung im Auftrag des Betroffenen oder das Einschreiten eines Vertreters gemäß § 5. Aus denselben Gründen ist bei nicht-natürlichen Personen die Stammzahl zur Verfügung zu stellen. Bei der Anforderung von bPK aus einem Bereich, in dem der Verantwortliche des öffentlichen Bereichs nicht zur Vollziehung berufen ist, oder von bPK für die Verarbeitung im privaten Bereich dürfen bPK nur verschlüsselt (§ 13 Abs. 2) zur Verfügung gestellt werden.

The generation of sector-specific personal identifiers without the use of an eID is only allowed for the Source PIN Register Authority and is only permissible when the unique identification on the basis of the sector-specific personal identifier in data processing systems of public-sector controllers is necessary because personal data are to be processed in conformity with the GDPR and the Data Protection Act. Such cases include, in particular, administrative cooperation, data acquisition at the request of the data subject or a submission to an authority by a representative pursuant to § 5. For the same reasons, the source PIN shall be made available for non-natural persons. In the event of a request for sector-specific personal identifiers from a sector in which the public-sector controller has not been entrusted with implementation duties or for sector-specific personal identifiers for processing in the private sector, only sector-specific personal identifiers which have been encrypted (§ 13 para 2) may be made available.

Die Vertraulichkeit von Stammzahlen natürlicher Personen unterliegt besonderem Schutz durch folgende Vorkehrungen im Konzept des E-ID:

The confidentiality of source PIN of natural persons shall be subject to special protection by way of the following measures of the eID scheme:

Eine dauerhafte Speicherung der Stammzahl natürlicher Personen darf nur in verschlüsselter Form erfolgen.

The source PIN of natural persons may be permanently stored only in encrypted form.

Die Verarbeitung der Stammzahl natürlicher Personen im Errechnungsvorgang für das bPK darf zu keiner Speicherung der Stammzahl außerhalb des Errechnungsvorgangs führen. Der Vorgang der Errechnung darf nur bei der Stammzahlenregisterbehörde oder bei der in ihrem Auftrag tätigen Behörde, die in der gemäß § 4 Abs. 8 zu erlassenden Verordnung näher zu bezeichnen sind, durchgeführt werden.

The processing of the source PIN of natural persons in order to generate the sector-specific personal identifier must not give rise to any storage of the source PIN outside of the generation process. The process of generating sector-specific personal identifiers may only be carried out at the Source PIN Register Authority or an authority acting on its behalf, which must be specified in the regulation to be adopted pursuant to § 4 para 8.

Die Verarbeitung der Stammzahl zur Ermittlung eines bPK darf nur erfolgen:

The source PIN may be processed to generate a sector-specific personal identifier only:

bPK sind durch nicht-umkehrbare Ableitungen aus der Stammzahl zu bilden. Dies gilt im Interesse der Nachvollziehbarkeit staatlichen Handelns nicht für bPK, die ausschließlich im Zusammenhang mit der Tätigkeit einer Person als Organwalter verarbeitet werden.

Sector-specific personal identifiers shall be generated by irreversible derivations from the source PIN. In the interests of the transparency of State activity, this shall not apply to sector-specific personal identifiers which are processed exclusively in connection with the activity of a person as an official representing a public authority.

Ist es zum Zweck der eindeutigen Identifikation eines Betroffenen gemäß § 10 Abs. 2 zulässig, von der Stammzahlenregisterbehörde ein bPK anzufordern, ist dieses, sofern es sich um ein bPK aus einem Bereich handelt, in dem der Anfordernde nicht zur Vollziehung berufen ist oder es sich um ein bPK für die Verwendung im privaten Bereich handelt, von der Stammzahlenregisterbehörde nur verschlüsselt zur Verfügung zu stellen. Die Verschlüsselung ist so zu gestalten, dass

Where it is permissible under § 10 para 2 to request from the Source PIN Register Authority a sector-specific personal identifier for the purpose of the unique identification of a data subject, the Source PIN Register Authority may, insofar as a sector-specific personal identifier for a sector in which the requester has not been entrusted with implementation duties is concerned or it is a sector-specific personal identifier for a private sector, provide the sector-specific personal identifier in encrypted form only. The form of that encryption must be such as to ensure that:

only the controller in whose data processing system it is permissible to process the sector-specific personal identifier in decrypted form is able to decrypt it (para 3), and

durch Einbeziehung von zusätzlichen, dem Anfordernden nicht bekannten variablen Angaben in die Verschlüsselungsbasis das bPK auch in verschlüsselter Form keinen personenbezogenen Hinweis liefert.

as a result of the inclusion in the basis for encryption of additional variable data of which the requesting party has no knowledge, the sector-specific personal identifier cannot, even in encrypted form, supply any information on the data subject.

Für die eindeutige Identifikation von natürlichen Personen im elektronischen Verkehr mit einem Verantwortlichen des privaten Bereichs (§ 26 Abs. 4 DSG) kann durch Einsatz des E-ID ein bPK gebildet werden, wobei anstelle der Bereichskennung die Stammzahl oder das bPK des Verantwortlichen des privaten Bereichs tritt. Voraussetzung hiefür ist, dass der Verantwortliche des privaten Bereichs eine für den Einsatz des E-ID taugliche technische Umgebung eingerichtet hat, in der seine Stammzahl oder sein bPK als Bereichskennung im Errechnungsvorgang für das bPK zur Verfügung gestellt wird.

For the unique identification of natural persons in electronic communications with a private-sector controller (§ 26 para 4 of the Data Protection Act), a sector-specific personal identifier may be derived using the eID, wherein the source PIN or sector-specific personal identifier of the private-sector controller replaces the sector code. This shall be subject to the condition that the private-sector controller has set up a technical environment in which the eID can be used and in which the controller’s source PIN or sector-specific personal identifier is made available as the sector code for the generation of the sector-specific personal identifier.

Verantwortliche des privaten Bereichs dürfen nur solche bPK speichern und benützen, die mit Hilfe ihrer eigenen Stammzahl oder ihrem eigenen bPK als Bereichskennung gebildet wurden.

Private-sector controllers may store and use only such sector-specific personal identifiers that have been generated using their own source PIN or sector-specific personal identifier as sector code.

Verwendet der E-ID-Inhaber den E-ID im elektronischen Verkehr gemäß Abs. 1 ist durch die Stammzahlenregisterbehörde oder die in ihrem Auftrag tätige Behörde eine Personenbindung (§ 4 Abs. 2), die ein bPK zum E-ID-Inhaber enthält, zu erstellen, und an die betreffende Datenverarbeitung zu übermitteln. Wird die Erstellung der Personenbindung mittels qualifizierter elektronischer Signatur des E-ID-Inhabers ausgelöst (§ 2 Z 10a erster Fall), hat der qualifizierte VDA die verschlüsselte Stammzahl und die zugehörigen Sicherheitsdaten der Stammzahlenregisterbehörde zur Verfügung zu stellen. Mit Einwilligung des E-ID-Inhabers können in die Personenbindung Vorname, Familienname oder Geburtsdatum, sowie nach Maßgabe der technischen Möglichkeiten weitere Merkmale zu diesem aus für die Stammzahlenregisterbehörde zugänglichen Registern von Verantwortlichen des öffentlichen oder privaten Bereichs eingefügt werden. § 4 Abs. 6 ist sinngemäß anzuwenden.

If the eID holder uses the eID in electronic communications pursuant to para 1, the Source PIN Register Authority or an authority acting on its behalf shall create an identity link (§ 4 para 2) containing a sector-specific personal identifier relating to the eID holder and send it to the relevant data processing system. If the creation of the identity link is triggered by means of a qualified electronic signature of the eID holder (§ 2 subpara 10a first case), the qualified TSP shall provide to the Source PIN Register Authority the encrypted source PIN and the associated security data. With the consent of the eID holder, the first name, family name or date of birth and, in accordance with the technical possibilities, further data of the eID holder taken from registers of public-sector or private-sector controllers which the Source PIN Register Authority can access can be included in the identity link. § 4 para 6 shall apply mutatis mutandis.

Verwendet der E-ID-Inhaber den E-ID im elektronischen Verkehr gemäß Abs. 1, ist durch die Stammzahlenregisterbehörde oder die in ihrem Auftrag tätige Behörde eine Personenbindung (§ 4 Abs. 2), die ein bPK, Vorname, Familienname und Geburtsdatum zum E-ID-Inhaber enthält, zu erstellen, und an die betreffende Datenverarbeitung zu übermitteln. Wird die Erstellung der Personenbindung mittels qualifizierter elektronischer Signatur des E-ID-Inhabers ausgelöst (§ 2 Z 10a erster Fall), hat der qualifizierte VDA die verschlüsselte Stammzahl und die zugehörigen Sicherheitsdaten der Stammzahlenregisterbehörde zur Verfügung zu stellen. Nach Maßgabe der technischen Möglichkeiten können mit Einwilligung des E-ID-Inhabers in die Personenbindung weitere Merkmale zu diesem aus für die Stammzahlenregisterbehörde zugänglichen Registern von Verantwortlichen des öffentlichen oder privaten Bereichs eingefügt werden.

Die Erzeugung eines bPK für die Verarbeitung im privaten Bereich ist ohne Mitwirkung des Betroffenen und ohne Einsatz des E-ID zulässig, wenn eine eindeutige Identifikation mit Hilfe des bPK im Rahmen von Datenverarbeitungen von Verantwortlichen des privaten Bereichs notwendig ist, weil

The generation of a sector-specific personal identifier for processing in the private sector requires no collaboration of the data subject and no use of the eID if a unique identification by means of a sector-specific personal identifier in data processing systems of private-sector controllers is necessary because

personenbezogene Daten in einer der DSGVO und dem DSG entsprechenden Art und Weise verarbeitet werden sollen.

Bundesgesetz über Regelungen zur Erleichterung des elektronischen Verkehrs mit öffentlichen Stellen (E-Government-Gesetz – E-GovG)

Federal Act on Provisions Facilitating Electronic Communications with Public Bodies (E-Government Act – E-GovG)

1. Abschnitt

Part I

Gegenstand und Ziele des Gesetzes

Object and aims of the act

§ 1.Paragraph eins,

§ 1.Paragraph eins,

Recht auf elektronischen Verkehr und Wahlfreiheit zwischen Kommunikationsarten für Bürgerinnen und Bürger

§ 1a.Paragraph eins a,

Teilnahme an der elektronischen Zustellung durch Unternehmen

§ 1b.Paragraph eins b,

§ 1c.Paragraph eins c,

2. Abschnitt

Part II

Begriffsbestimmungen

Definitions

§ 2.Paragraph 2,

§ 2.Paragraph 2,

§ 2a.Paragraph 2 a,

Identität und Authentizität

Identity and authenticity

§ 3.Paragraph 3,

§ 3.Paragraph 3,

Die Funktion E-ID

The eID function

§ 4.Paragraph 4,

§ 4.Paragraph 4,

Registrierung und Widerruf des E-ID

Registration and revocation of the eID

§ 4a.Paragraph 4 a,

§ 4a.Paragraph 4 a,

Registrierungsdaten

Registration data

§ 4b. (1)Paragraph 4 b, (1)

E-ID und Stellvertretung

eID and representation

§ 5.Paragraph 5,

Stammzahl

Source PIN

§ 6.Paragraph 6,

§ 6.Paragraph 6,

Ergänzungsregister für natürliche Personen

§ 6a.Paragraph 6 a,

Ergänzungsregister für sonstige Betroffene

§ 6b.Paragraph 6 b,

Stammzahlenregisterbehörde

Source PIN Register Authority

§ 7.Paragraph 7,

§ 7.Paragraph 7,

Eindeutige Identifikation in Datenverarbeitungen

Unique identification in data processing systems

§ 8.Paragraph 8,

§ 8.Paragraph 8,

Bereichsspezifisches Personenkennzeichen (bPK)

Sector-specific personal identifiers

§ 9.Paragraph 9,

§ 9.Paragraph 9,

Erzeugung und Anforderung von bPK und Stammzahlen nicht-natürlicher Personen

Generation and requirements of sector-specific personal identifiers and source PIN of non-natural persons

§ 10.Paragraph 10,

§ 10.Paragraph 10,

Offenlegung von bPK in Mitteilungen

Disclosure of sector-specific personal identifiers in communications

§ 11.Paragraph 11,

§ 11.Paragraph 11,

Schutz der Stammzahl natürlicher Personen

Protection of the source PIN of natural persons

§ 12.Paragraph 12,

§ 12.Paragraph 12,

Weitere Garantien zum Schutz von bPK

Further guarantees for the protection of sector-specific personal identifiers

§ 13.Paragraph 13,

§ 13.Paragraph 13,

3. Abschnitt

Part III

Erzeugung von bPK für die Verwendung des E-ID im privaten Bereich

Generation of sector-specific personal identifiers for use of the eID in the private sector

§ 14.Paragraph 14,

§ 14.Paragraph 14,

Paragraph eins,

Paragraph eins,

Paragraph eins a,

Paragraph eins b,

Paragraph eins c,

Paragraph 2,

Paragraph 2,

Paragraph 2 a,

Paragraph 3,

Paragraph 3,

Paragraph 4,

Paragraph 4,

Paragraph 4 a,

Paragraph 4 a,

Paragraph 4 b, (1)

Paragraph 5,

Paragraph 6,

Paragraph 6,

Paragraph 6 a,

Paragraph 6 b,

Paragraph 7,

Paragraph 7,

Paragraph 8,

Paragraph 8,

Paragraph 9,

Paragraph 9,

Paragraph 10,

Paragraph 10,

Paragraph 11,

Paragraph 11,

Paragraph 12,

Paragraph 12,

Paragraph 13,

Paragraph 13,

Paragraph 14,

Paragraph 14,

Paragraph 14 a,

Paragraph 15,

Paragraph 15,

Paragraph 16,

Paragraph 17,

Paragraph 18,

Paragraph 19,

Paragraph 19,

Paragraph 20,

Paragraph 20,

Paragraph 20 a,

Paragraph 21,

Paragraph 21,

Paragraph 21 a,

Paragraph 22,

Paragraph 22,

Paragraph 23,

Paragraph 23,

Paragraph 24,

Paragraph 24,

Paragraph 25,

Paragraph 26,

Paragraph 26,

Paragraph 27,