Digitale Identität – Risiken tragen einzig die Bürger

Sie soll das Leben der Bürger besser und einfacher machen: die elektronische Identität. Amtswegen, Steuererklärungen, Reisepass, Abrechnungen mit Krankenkassen, ja sogar der Wiedereintritt in die katholische Kirche können damit bequem von zu Hause und auf Knopfdruck erledigt werden. Der Staat wiederum erhofft sich Einsparungen beim Personal und bewirbt das Projekt heftig. Es gilt als Inbegriff des Fortschritts. Österreichs Digitalisierungsstaatssekretär Alexander Pröll: „Neue App ID Austria bringt mehr Klarheit, Komfort und Sicherheit“, so der Titel der Aussendung des Ministeriums. Pröll meint voller Begeisterung: „Digitale Verwaltung muss verständlich, sicher und einfach nutzbar sein. Mit der neuen ID Austria App setzen wir einen wichtigen Schritt in Richtung europaweit nutzbarer Identitätslösungen – und machen digitale Services für Bürgerinnen, Bürger und Unternehmen noch einfacher zugänglich.“

Auch in Sachen Sicherheit setze die App neue Maßstäbe, heißt es seitens des Ministeriums: „Sie erfüllt die Anforderungen der eIDAS-Verordnung auf höchster Vertrauensstufe. Damit ist die ID Austria auch europaweit rechtsgültig einsetzbar – ein wesentlicher Schritt hin zur digitalen Brieftasche der EU.“

Alles also ganz großartig! Oder?

Staatssekretär Alexander Pröll bewirbt die ID Austria heftig, von Risiken hört man nichts. (Hier bei der Ars Electronica 2025). © CommonsWikimedia, Bernhard Holub.

In der Schweiz gab es jüngst eine Abstimmung über die Einführung der ID – eine knappe Mehrheit war dafür und ließ sich von den Pro-Argumenten überzeugen.

Nicht überzeugt sind hingegen Datenschützer und IT-Experten von dem Projekt. Sie warnen vor einer Kumulation einer derartig riesigen Datenmenge und einer zentralen Datenbank – denn ergänzend sollen die nationalen Daten in einer EU-ID zusammengeführt werden. Datenlecks, Hackerangriffe und missbräuchliche Verwendung sind nur einige der Risiken, die sehr wahrscheinlich sind.

Von Freiwilligkeit zum Zwang

In Österreich ist die ID eigentlich noch freiwillig, aber in vielen Bereichen bereits verpflichtend. So etwa brauchen Psychotherapeuten, Physiotherapeuten, Steuerberater und Gutachter bereits seit längerem eine ID, um ihren Beruf ausüben zu können. Im niederösterreichischen Landesdienst ist der Besitz einer persönlichen ID Voraussetzung, jeder Landesbeamte und Bewerber muss eine solche besitzen und kann nur so in das interne Netzwerk einsteigen.

In Großbritannien ging man jüngst noch einen Schritt weiter: Jeder Arbeitnehmer muss eine ID besitzen, also kein Job mehr ohne ID. Als Begründung wird illegale Migration und Schwarzarbeit angegeben. Kritiker meinen hingegen, es gehe vielmehr um totale Kontrolle.

Sicherheitsbericht ignoriert

Es werden also immer mehr Bevölkerungsgruppen in immer mehr Länder gezwungen, eine digitale Identität anzunehmen. Trotz der Warnungen von Experten.  Der Sicherheitsbericht zur Datenschutz-Folgeabschätzung erkannte eine Reihe von Risiken, einige davon mit hoher Wahrscheinlichkeit und maximalem Risiko. Zu den mit „hoch“ bewerteten Risiken zählten bei Einführung der ID: Wirtschaftliche Schäden, berufliche Nachteile, Beschneidung staatlicher Leistungen, Diskriminierung, gesellschaftliche Nachteile wie Ausschluss aus bestimmten Bereichen, Schädigung der Privatsphäre, Verarbeitung der Daten ohne Wissen der Nutzer, Weitergabe an Konzerne,

Fazit der Analyse: Ein Schaden für die Betroffenen werde billigend in Kauf genommen.

Allein dadurch, dass erstmals eine Möglichkeit eröffnet wird, dass hoheitliche persönliche Daten von den Behörden an Dritte weitergegeben werden, entstehe ein hohes Risiko, heißt es in dem Bericht.

Wer haftet?

Die Wahrscheinlichkeit, dass Datenmissbrauch passiert, ist extrem hoch. Wer haftet also im Fall eines Missbrauchs bei der Austria ID?

Betreiber der ID Austria ist nicht der Staat oder eine Behörde, sondern ein externes Unternehmen, die „A-Trust“. Diese wurde 2000 gegründet und steht im Eigentum von Kammern, Banken.

Fragt man mittels KI nach der Haftung, so erhält man folgende Antwort: „Die Frage nach der Haftung im Zusammenhang mit ID Austria in Österreich lässt sich wie folgt beantworten: Grundsätzlich sind Haftungsansprüche gegen A-Trust, den Betreiber der ID Austria, ausgeschlossen, sofern kein vorsätzliches oder grob fahrlässiges Handeln vorliegt. Das bedeutet, dass A-Trust nicht für Schäden haftet, die durch die Nutzung oder Nichtnutzung der ID Austria entstehen, es sei denn, es handelt sich um eine vorsätzliche oder grob fahrlässige Pflichtverletzung."

Eine Haftung ist möglich, wenn A-Trust wesentliche Vertragspflichten verletzt, die für die ordnungsgemäße Durchführung des Vertrags erforderlich sind und auf deren Einhaltung der Nutzer vertrauen darf. Allerdings ist die Haftung in solchen Fällen auf den vorhersehbaren Schaden begrenzt. Die Haftungsbeschränkungen gelten nicht bei Verletzungen von Leben, Körper und Gesundheit. 

Fazit: Die A-Trust haftet nur ausnahmsweise und begrenzt. Die Nutzer müssen sich als Privatperson registrieren, somit ist eine Trennung von Beruf und Privat nicht möglich. Zusätzlich müssen die Nutzer, selbst wenn sie vom Arbeitgeber zur Nutzung verpflichtet wurden und die ID nur beruflich benötigen, eine Reihe von Nutzungs- Sicherheitsbestimmungen erfüllen und deren Erfüllung nachweisen. Sie haften nämlich als Privatperson.

Reihe von Verpflichtungen

Das Bundeskanzleramt verlautet dazu: „Der Schutz des Zugangs zur App und zu deren Benützung liegt in der Verantwortung der Nutzerinnen und Nutzer. Es ist der Nutzerin/ dem Nutzer untersagt, durch den Einsatz von Umgehungsvorrichtungen die für die App vorgesehenen Zugangskontrolldienste zu umgehen oder andere Maßnahmen zu setzen, um die App unerlaubt zu nutzen.

Die Nutzerinnen und Nutzer sind verpflichtet, auf ihren eigenen Geräten die notwendigen Sicherheitsvorkehrungen zu treffen, um die digitalen Nachweisdaten gegen unbefugten Zugriff durch Dritte sowie gegen Schadsoftware zu schützen. In diesem Zusammenhang weist das BKA ausdrücklich auf mögliche Sicherheitsrisiken hin, die sich per se durch die Nutzung des Internets und von Internet-Techniken ergeben.

Die Nutzerinnen und Nutzer sind weiters verpflichtet, die App auf dem neuesten Stand zu halten und regelmäßig Aktualisierungen („Updates“) vorzunehmen. Es bestehen keine Ansprüche auf die Benutzung einer bestimmten Version der Software. Die Nutzerinnen und Nutzer tragen die Verantwortung für die Einhaltung der anwendbaren rechtlichen Bestimmungen und der Nutzungsbedingungen bei der Nutzung der App.“

Staat darf Fehler machen

Gleichzeitig weist die Behörde darauf hin, dass sie nicht gewährleistet, dass „die App jederzeit abrufbar, funktionsfähig, sicher oder fehlerfrei ist. Genauso wenig ist es Teil der Leistung, dass Fehler in der App behoben werden“. 

Daher „übernimmt das BKA keine Verantwortung und gibt keine Garantie dafür ab, dass die Funktionen und die Nutzung der App dauernd und ununterbrochen zur Verfügung stehen, fehler- und störungsfrei sind oder Fehler behoben werden, oder dass die für den Abruf und die Aktualisierung von Daten verwendeten Server sowie jene von Drittplattformen frei von Viren oder sonstigen schädlichen Bestandteilen sind, obwohl sämtliche zur Verfügung stehenden und aktuell dem Stand der Technik entsprechenden Sicherheitsvorkehrungen im Einsatz sind, die in einem angemessenen Verhältnis zum Bedrohungsszenario stehen.“

Verantwortung abgewälzt

Fazit: Die Behörde gesteht ein, dass es umfangreiche Sicherheitsvorkehrungen braucht und es die Gefahr eines unerlaubten Zugriffs gibt. Die Verantwortung dafür wälzt sie jedoch zu 100 Prozent an die Nutzer ab. Im Schadensfall muss dann also der Nutzer nachweisen, dass er zu 100 Prozent alle Sicherheitssyteme installiert und aktuell hatte, sowie nichts falsch gemacht hat – was de facto unmöglich ist. Der Staat darf also Fehler machen, ohne dafür verantwortlich gemacht zu werden, die Bürger nicht.

Obwohl eines der Ziele der ID Austria ist, dass auch Partner, also Dritte, Zugang zu den Daten haben, wird also auch in diesem Fall jegliche Verantwortung abgelehnt. „Die Inhalte von Webseiten Dritter, auf welche in der App verwiesen oder verlinkt wird, liegen außerhalb des Verantwortungsbereichs des BKA. Dieses übernimmt weder für den Bestand noch für den Inhalt noch für die Richtigkeit dieser Informationen eine Haftung. Der Zugriff und die Nutzung solcher Webseiten erfolgen auf eigene Gefahr der Nutzerin oder des Nutzers. Das BKA erklärt ausdrücklich, dass es keinerlei Einfluss auf die Gestaltung, den Inhalt und die Angebote der verknüpften Seiten hat. Informationen und Dienstleistungen von verknüpften Webseiten liegen vollumfänglich in der Verantwortung des jeweiligen Dritten. Es wird jegliche Verantwortung für solche Webseiten abgelehnt.“

Schaden und volles Risiko

Fazit: Die ID wurde als Versuch eingeführt, die Auflagen des damaligen Sicherheitsberichts wurden nicht oder nur teilweise umgesetzt. Dennoch ist sie nun im Regelbetrieb und wird immer mehr zur Pflicht. Nachteile und Risiken sind teilweise schon eingetreten, dennoch weist man jede Verantwortung von sich. Am Schluss haftet also der Bürger, er allein trägt das volle Risiko und den Schaden – auch wenn er zur Nutzung gezwungen wird.

Diese Dinge hört man beim Werbefeldzug des Digitalisierungs-Staatssekretärs und in den Werbespots der Bundesregierung nicht.♦