id-austria.gv.at – Startseite

Datenschutzerklärung der App „ID Austria“

Für das Bundeskanzleramt (BKA) und alle dessen datenschutzrechtlich verantwortlichen Stellen hat der Schutz von personenbezogenen Daten eine hohe Priorität. Wir achten darauf, personenbezogene Daten in Einklang mit allen anwendbaren europarechtlichen und österreichischen Rechtsvorschriften zu verarbeiten und nehmen unsere Verantwortung sehr ernst.

Wir möchten, dass Sie wissen, zu welchen Zwecken und auf welchen Rechtsgrundlagen wir personenbezogene Daten erheben und wie wir diese Daten verarbeiten. Wir möchten Sie darüber hinaus über Ihre Rechte in Datenschutzangelegenheiten informieren und Ihnen mitteilen, an wen Sie sich diesbezüglich wenden können.

Da im Laufe der Zeit Änderungen der Datenschutzerklärung notwendig werden können, empfehlen wir Ihnen, sich diese ab und zu erneut durchzulesen.

Allgemeines zum Datenschutz in Österreich

Datenschutz ist ein Grundrecht, das in der Charta der Grundrechte der Europäischen Union und in § 1 DSG verankert ist. Seit 25. Mai 2018 gilt in der Europäischen Union die Datenschutz-Grundverordnung (DSGVO). Zum gleichen Zeitpunkt trat in Österreich das neue Datenschutzgesetz (DSG) in Kraft.

Was regelt die Datenschutz-Grundverordnung?

Die DSGVO ist eine Verordnung der Europäischen Union und gilt unmittelbar in jedem Mitgliedsstaat, also auch in Österreich. Die DSGVO enthält Vorschriften über die Verarbeitung von personenbezogenen Daten, wie z. B. die Grundsätze für die Verarbeitung, die Rechte der betroffenen Person sowie die Pflichten der Verantwortlichen und der Auftragsverarbeiter.

Was regelt das Datenschutzgesetz?

Das DSG ist ein österreichisches Gesetz und enthält Regelungen zur Ergänzung der DSGVO sowie Vorschriften zur Umsetzung der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 über die Verarbeitung personenbezogener Daten durch zuständige Behörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, sowie zum Zweck der nationalen Sicherheit, des Nachrichtendienstes und der militärischen Eigensicherung.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Als identifizierbar gilt eine natürliche Person, die direkt oder indirekt identifiziert werden kann, z. B. mittels Zuordnung zu einem Namen oder einer Kennnummer (beispielsweise Steuernummer, Sozialversicherungsnummer und Kontonummer).

Nachzulesen im Artikel 4 Ziffer 1 DSGVO.

Was bedeutet der Begriff „Verarbeitung“?

Der Begriff „Verarbeitung“ meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten. Dazu zählen z. B. das Erheben, das Erfassen, die Organisation, das Ordnen, das Speichern, das Anpassen oder Verändern, das Auslesen, das Abfragen, das Verwenden, das Offenlegen durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder das Verknüpfen, das Einschränken, das Löschen oder das Vernichten von personenbezogenen Daten.

Nachzulesen im Artikel 4 Ziffer 2 DSGVO.

Was bedeutet der Begriff „Verantwortlicher“?

Der Begriff „Verantwortlicher“ meint die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Nachzulesen im Artikel 4 Ziffer 7 DSGVO.

Was bedeutet der Begriff „Auftragsverarbeiter“?

Der Begriff „Auftragsverarbeiter“ meint eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Nachzulesen im Artikel 4 Ziffer 8 DSGVO.

Wo finden Sie weiterführende Informationen zum Datenschutz?

Den gesamten Text der DSGVO finden Sie auf EUR-Lex unter eur-lex.europa.eu. Den gesamten Text des DSG in der aktuellen Fassung finden Sie im Rechtsinformationssystem des Bundes unter www.ris.bka.gv.at. Weitere Informationen zum Datenschutz finden Sie darüber hinaus auf der Webseite der Datenschutzbehörde unter www.dsb.gv.at.

Verarbeitung Ihrer personenbezogenen Daten durch die App

Bitte beachten Sie, dass es sich bei den nachfolgend angeführten Zwecken, Rechtsgrundlagen und Verarbeitungsmodalitäten um eine allgemeine Aufzählung handelt. Für eine individuelle und detaillierte Information über Ihre personenbezogenen Daten haben Sie das Recht auf Auskunft. An wen Sie sich dazu wenden können, finden Sie im Abschnitt Datenschutzrechte.

Gesetzliche Grundlagen der Verarbeitungstätigkeiten

Die Verarbeitung stützt sich auf Artikel 6 Abs 1 lit a und e DSGVO (allenfalls Artikel 9 Abs 2 lit g DSGVO). Die nationalen Rechtsgrundlagen sind die §§ 4 iVm 2 Z 10 iVm 2 Z 10a, § 14 Abs 3 und § 14a Abs 2 E-GovG sowie § 34 Abs 5 ZustG.

Welche personenbezogenen Daten werden verarbeitet?

Folgende Daten werden durch die gleich im Folgenden angeführten Datenverarbeitungen erfasst:

Cookies

  1. eid.oesterreich.gv.at: diese Domäne wird für die Anmeldeprozedur verwendet und benötigt dafür die technisch notwendigen Cookies „UNIQUE_ID“ und „JSESSIONID“
  2. id-austria.gv.at: diese Domäne wird für die Anmeldeprozedur verwendet und benötigt dafür die technisch notwendigen Cookies „UNIQUE_ID“ und „JSESSIONID“

(Cookies sind kleine Textdateien, die auf dem Gerät der anfragenden Person gespeichert werden, um diese wiederzuerkennen. So dienen die in den Cookies enthaltenen Informationen der Sitzungssteuerung oder stellen diese technisch unbedingt benötigte Informationen für die jeweilige Funktionalität dar.

Log-Daten

Jeder Ihrer Zugriffe wird in einer Protokolldatei (Serverlog) für einen Zeitraum von 6 Monaten mit folgenden Log-Daten gespeichert:

  1. IP-Adresse der/des Anfragenden
  2. Aufrufmethode (GET, HEAD, PUT)
  3. Zieladresse ohne HOST
  4. Protokoll mit Version (z.B. HTTP/1.1)
  5. Name der abgerufenen Datei und übertragene Datenmenge
  6. Datum und Uhrzeit des Abrufs
  7. Meldung, ob der Abruf erfolgreich war
  8. Bearbeitungsdauer des Requests in Mikrosekunden
  9. Verwendeter Useragent
  10. Verwendete SSL-Version
  11. Referrer

(1) Diese Daten dienen der Überprüfung der Systemsicherheit, Fehleranalyse und statistischen Zwecken.

Wir behalten uns vor, bei Angriffen auf die Internetinfrastruktur des BKA eine personenbezogene Auswertung oder Profilbildung vorzunehmen.

Chatbot

Um eine stetige Verbesserung des Antwortverhaltens zu gewährleisten, werden mittels User-Anfragen generierte Dialoge/Daten zur Steigerung der Service-Qualität verarbeitet.

Automatisiert über die ID Austria

Für die Verwendung bestimmter Services im angemeldeten Bereich ist eine ID Austria notwendig.

Folgende Daten werden bei Verwendung Ihrer ID Austria in der App verarbeitet:

  1. Vorname
  2. Familienname
  3. bereichsspezifisches Personenkennzeichen sowie abhängig vom jeweiligen Verfahren weitere den Verfahrensbereichen entsprechende verschlüsselte bereichsspezifische Personenkennzeichen, das/ die mit Hilfe der ID Austria gebildet werden
  4. txID (Identifikationsnummer), die bei der Anmeldung mit der ID Austria vom System vergeben wird und bis zum Ausstieg erhalten bleibt

Teilnahmestatus eZustellung über das Teilnehmerverzeichnis TNVZ (bei Einwilligung)

Ausschließlich im Fall Ihrer Einwilligung findet die Verarbeitung der folgenden Daten zwecks Feststellung der Teilnahme an der elektronischen Zustellung gemäß §§ 28a ff ZustG statt:

  1. AppID, Revocation Token
  2. Verschlüsselte Stammzahl (VSZ)
  3. verschlüsseltes bereichsspezifisches Personenkennzeichen „ZU“
  4. bereichsspezifisches Personenkennzeichen „ZP-MH“
  5. TNVZAbfrageZustimmung (TAZ)
  6. Zustellungsteilnehmer (ZT)

Im System der ID Austria wird lediglich das unter 4) angeführte Datum gespeichert, nämlich für die Dauer von 365 Tagen. Danach wird es mit Ausnahme der letzten gültigen Zustimmung automatisch gelöscht.

Darüber hinaus wird „lokal“, also in der auf Ihrem Mobilgerät installierten App ID Austria, das unter 6) angeführte Datum für die Dauer von höchstens 180 Tagen gespeichert. Nach dem Ablauf der Dauer von 180 Tagen findet jeweils eine erneute Abfrage gemäß § 34 Abs 5 ZustG statt.

Unabhängig von den soeben angeführten Fristen verfügen Sie jederzeit in den Einstellungen der auf Ihrem Mobilgerät installierten App ID Austria über die Möglichkeit, die Einwilligung zum Verarbeitungsvorgang Teilnahmestatus eZustellung über das Teilnehmerverzeichnis TNVZ zu deaktivieren oder neuerlich zu aktivieren.

Signatur-Service der A-Trust in der App

Die Verwendung personenbezogener Daten durch A-Trust erfolgt gemäß den einschlägigen datenschutzrechtlichen Bestimmungen, insbesondere den Vorgaben der Datenschutz-Grundverordnung (DSGVO). Die Verwendung von Daten erfolgt ausschließlich zum Zweck der Vertragserfüllung oder auf gesetzlicher Grundlage. Die Kundin/ der Kunde nimmt zustimmend zur Kenntnis, dass folgende Datenarten für die Erbringung der vertragsgegenständlichen Services erforderlich sind und verarbeitet werden:

  1. Name (Vorname/ Vornamen, Familienname/ Familiennamen)
  2. Telefonnummer
  3. Zertifikatsseriennummer
  4. Zertifikatsgültigkeitsdauer
  5. Zeitpunkte der Signaturvorgänge
  6. Domain der Signaturempfänger
  7. Unique ID
  8. Push ID
  9. zu signierendes Dokument
  10. Vertragsdatum

Push-Nachrichten in der App

Bei der Verwendung von Android werden Push-Nachrichten (Notifications) der App „ID Austria“ über Firebase Cloud Messaging (FCM) versendet. Dabei ist die Option, Google Analytics zu verwenden, deaktiviert.

Bei der Verwendung von iOS erfolgt der Versand über das Apple Push Notification service (APNs).

Damit die Nachrichten an den jeweiligen Adressaten verschickt werden können, wird eine nicht personenbezogene ID für die App generiert und im Push Notification Service der App sowie bei Android in FCM und bei iOS in APNs verarbeitet.

Um die Funktion Push-Nachrichten benutzen zu können, müssen Sie dies der App erlauben.

Dazu öffnet die App einen Betriebssystem-Dialog nachdem Sie die Nutzungsbedingungen akzeptiert haben. Sie können in den System-Einstellungen jederzeit Ihre Auswahl ändern, müssen jedoch zum Wirksamwerden in die App zurückwechseln.

ML Scanner in der App (Android)

Um eine elektronische Identität (eID) eines anderen EU-Mitgliedsstaates mit der App zu verknüpfen, ist das Scannen eines QR-Codes notwendig. Die Funktion des Scannens wird in Android durch die Programmbibliothek bzw Programmierschnittstelle „ML Kit“ bereitgestellt.

Die Verarbeitung der zu scannenden Daten erfolgt ausschließlich am Mobilgerät, eine Übermittlung an Google-Server findet nicht statt.

Hingegen kann es dazu kommen, dass „ML Kit“ Google-Server von Zeit zu Zeit kontaktiert, um Informationen zu Fehlerbehebungen, Updates und zur Kompatibilität der Hardwarebeschleunigung zu erhalten.

Weiters versendet „ML Kit“ Metriken betreffend die Leistung und Verwendung der Schnittstelle an Google, die zur Leistungsmessung, Fehlerbehebung, Wartung und Verbesserung der Schnittstelle ebenso verwendet werden als auch zur Erkennung einer fehlerhaften oder missbräuchlichen Verwendung.
(Siehe: https://developers.google.com/ml-kit/terms#privacy)

In keinem dieser Zusammenhänge findet eine Verarbeitung von personenbezogenen Daten durch Google statt.

Von wem werden Ihre Daten verarbeitet?

Die Daten werden in der Bundesrechenzentrum GmbH (BRZ GmbH), dem IT-Dienstleister der Österreichischen Bundesverwaltung, verarbeitet bzw. gespeichert. Kopien gibt es ausschließlich für den zentralen Backup-Prozess der BRZ GmbH. Zugriff auf die Daten haben die Systemadministratorinnen/ Systemadministratoren der BRZ GmbH, die für den technischen Betrieb zuständig sind. Der Zugriff auf diese Daten erfolgt entsprechend der DSGVO, dem Datenschutzgesetz (DSG) und dieser Datenschutzerklärung, ausschließlich im Einzelfall.

Datenschutzrechte

Die DSGVO und das DSG regeln auch die Datenschutzrechte der betroffenen Personen, also derjenigen, deren personenbezogene Daten verarbeitet werden. Der Rechtsanspruch der betroffenen Person richtet sich gegen den Verantwortlichen, also gegen die für die Datenverarbeitung verantwortliche Stelle.

Welche Datenschutzrechte haben Sie?

Nach der DSGVO und dem DSG stehen Ihnen grundsätzlich verschiedene Rechte zu, insbesondere:

  • das Recht, die Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten jederzeit zu widerrufen, sofern die Verarbeitung durch uns auf Grundlage Ihrer Einwilligung erfolgt;
  • das Recht auf Auskunft darüber, ob Sie betreffende personenbezogene Daten von uns verarbeitet werden und welchen Inhalt diese haben, sowie das Recht auf Berichtigung bzw. Vervollständigung und auf Löschung Ihrer personenbezogenen Daten, auf Einschränkung der Verarbeitung, auf Widerspruch gegen die Verarbeitung sowie auf Datenübertragbarkeit, sofern die gesetzlichen Voraussetzungen dafür vorliegen.

Die jeweiligen gesetzlichen Voraussetzungen sowie etwaige Ausnahmen und Beschränkungen dieser Rechte ergeben sich aus den Artikeln 12 bis 22 DSGVO bzw. aus den §§ 42 bis 45 DSG sowie aus den Rechtsvorschriften, die den jeweiligen Datenverarbeitungen zu Grunde liegen.

In jenen Fällen, in denen gesetzliche Ausnahmen bzw. Beschränkungen dieser Rechte bestehen, dürfen wir Ihrem Antrag nicht bzw. nur eingeschränkt entsprechen. Sofern dies gesetzlich zulässig ist, teilen wir Ihnen in diesem Fall den Grund für die Verweigerung bzw. Einschränkung mit.

Wie können Sie ihre eigenen Daten einsehen?

In Entsprechung zu ErwGr 63 DSGVO werden Ihnen die folgenden Fernzugänge zu einem sicheren System bereitgestellt, die Ihnen direkten Zugang zu Ihren personenbezogenen Daten ermöglichen:

  • Meine Personendaten: Eine Übersicht, welche Daten zu Ihrer Person via ID Austria übermittelt werden können, ist online unter „Meine Personendaten“ auf https://meine.id-austria.gv.at/meine-ida/de/personendaten abrufbar. Dort wird auch darüber informiert, aus welchen Registern die Daten bezogen werden.
  • ID Austria Verwendungsprotokoll: Ein Auszug ist online unter „Mein ID Austria Verwendungsverlauf“ auf https://meine.id-austria.gv.at/meine-ida/de/verwendungen abrufbar.

Wie können Sie Ihren Antrag einbringen?

Sie können Ihren Antrag zur Geltendmachung Ihrer Datenschutzrechte bei der für die Verarbeitung Ihrer personenbezogenen Daten verantwortlichen Stelle per Brief oder E-Mail einbringen. Bitte beachten Sie jedoch den unter Wie wird Ihr Antrag beantwortet? formulierten Vorbehalt sowie den Umstand, dass zur Bestätigung Ihrer Identität die Beilage einer Kopie eines amtlichen Lichtbildausweises (z. B. Reisepass oder Personalausweis) erforderlich ist.

Bitte verfassen Sie Ihren Antrag so konkret wie möglich. Nur so können wir diesen effizient und rasch bearbeiten.

Wir ersuchen Sie darüber hinaus um Verständnis dafür, dass wir in Zweifelsfällen weitere Angaben zu Ihrer Identität verlangen müssen. Dies dient ausschließlich dem Schutz Ihrer personenbezogenen Daten und soll sicherstellen, dass nur Sie selbst Auskunft über Ihre personenbezogenen Daten erhalten.

Wer sind Ihre Ansprechpartner?

Fragen und Anliegen in datenschutzrechtlichen Angelegenheiten im Zusammenhang mit der App können Sie an die zuständige Abteilung VII/4 – E-Government Bürger oder an die Datenschutzbeauftragten des BKA (siehe gleich unten) richten.

Kontaktdaten der zuständigen Abteilung:

Bundeskanzleramt Österreich
Sektion VII Digitalisierung und E-Government
Abteilung VII/4 – E-Government Bürger
Ballhausplatz 2, 1010 Wien

Wie lauten die Kontaktdaten des datenschutzrechtlich Verantwortlichen?

Verantwortlicher:

Bundeskanzleramt Österreich
Ballhausplatz 2, 1010 Wien
Telefon: +43 1 531 15-0
E-Mail: post@bka.gv.at

Wie lauten die Kontaktdaten der Datenschutzbeauftragten?

Datenschutzbeauftragte des Bundeskanzleramts:

Bundeskanzleramt Österreich
Ballhausplatz 2, 1010 Wien
E-Mail: datenschutz@bka.gv.at

Wie lange dauert die Bearbeitung Ihres Antrags?

Wir werden Ihnen ehestmöglich, jedenfalls aber innerhalb eines Monats nach Eingang Ihres Antrags, die entsprechenden Informationen über die Maßnahmen zur Verfügung stellen.

Beachten Sie bitte, dass diese Frist um weitere zwei Monate verlängert werden kann, wenn dies unter Berücksichtigung der Komplexität bzw. der Anzahl von Anträgen erforderlich ist. Wir informieren Sie aber jedenfalls innerhalb eines Monats nach Eingang Ihres Antrags über eine etwaige Fristverlängerung und über die Gründe dafür.

Wie wird Ihr Antrag beantwortet?

Personenbezogene Daten sind Vertrauenssache. Da eine unverschlüsselte E-Mail leider nicht als sicher eingestuft werden kann und eher mit einer Postkarte als mit einem Brief vergleichbar ist, übermitteln wir die Beantwortung Ihres Antrags niemals per E-Mail. Sie erhalten die Beantwortung daher per Post (RSa).

Welche Beschwerdemöglichkeiten haben Sie?

Bei Fragen, Anregungen und Beschwerden in Datenschutzangelegenheiten stehen Ihnen die Datenschutzbeauftragten des BKA zur Verfügung.

Wenn Sie der Auffassung sind, dass die Verarbeitung Ihrer personenbezogenen Daten durch uns gegen Datenschutzvorschriften verstößt oder Ihre datenschutzrechtlichen Ansprüche in einer sonstigen Weise verletzt worden sind, können Sie bei der zuständigen Aufsichtsbehörde Beschwerde einlegen. In Österreich ist dies die Datenschutzbehörde.

Kontaktdaten:

Österreichische Datenschutzbehörde
Barichgasse 40-42, 1030 Wien
Telefon: +43 1 52 152 0
E-Mail: dsb@dsb.gv.at
Web: www.dsb.gv.at