wir beziehen uns auf Ihr mit E-Mail vom 22. Oktober 2023 via der Plattform „Frag den
Staat“ an uns gerichtetes Auskunftsbegehren betreffend „Datenschutz der ID Austria
App“, zu welchem Sie sich ausdrücklich auf die Bestimmungen des
Auskunftspflichtgesetzes berufen haben. Dazu dürfen wir Ihnen wie folgt mitteilen:
Für das Bundesministerium für Finanzen und alle datenschutzrechtlich verantwortlichen
Stellen des Finanzressorts hat der Schutz von personenbezogenen Daten eine hohe
Priorität. Wir achten darauf, personenbezogene Daten in Einklang mit allen anwendbaren
europarechtlichen und österreichischen Rechtsvorschriften zu verarbeiten und nehmen
unsere Verantwortung sehr ernst.
Wir verarbeiten personenbezogene Daten mit höchster Sorgfalt und haben umfangreiche
technische und organisatorische Sicherheitsmaßnahmen getroffen, um sicherzustellen,
dass die geltenden Datenschutzvorschriften sowohl von allen verantwortlichen Stellen als
auch von den von uns beauftragten Auftragsverarbeitern beachtet und eingehalten
werden. Dies betrifft insbesondere den Schutz von personenbezogenen Daten vor
unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigter oder unrechtmäßiger
Vernichtung, Verlust oder Veränderung, unbefugter Offenlegung von bzw. unbefugtem
Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise
verarbeitet werden. Die Sicherheitsmaßnahmen entsprechen dem aktuellen Stand der
2 von 3
Technik und umfassen unter anderem den Einsatz moderner Sicherheitstechnologien und
Verschlüsselungsverfahren, physischer Zutrittskontrollen und Vorkehrungen zur Abwehr
von Angriffen.
Der Datenschutz und die Informationssicherheit hatten für uns bereits vor dem 25. Mai
2018 eine hohe Priorität. Aus diesem Grund haben wir schon im Jahr 2008 ein
Informationssicherheits-Managementsystem (ISMS) implementiert, das nach dem
internationalen Sicherheitsstandard ISO 27001 zertifiziert ist und jährlich überprüft wird.
Damit waren wir das erste Bundesministerium in Europa, das eine solche Zertifizierung
erlangt hat. Seit Dezember 2020 verfügen wir darüber hinaus als erste Organisation in
Österreich über eine Zertifizierung unseres Datenschutz-Managementsystems (DSMS)
nach dem internationalen Datenschutzstandard ISO 27701. Das ISMS und das DSMS
sorgen unter anderem dafür, dass bestehende Risiken systematisch identifiziert, beurteilt
und mittels geeigneter Maßnahmen behandelt werden. Es stellt darüber hinaus sicher,
dass die Wirksamkeit der Maßnahmen regelmäßig überprüft, bewertet und evaluiert wird.
Auch die konkret angesprochene ID Austria funktioniert daher unter höchsten
datenschutzrechtlichen Standards, das heißt, sie erfüllt die rechtlichen Vorgaben der
Datenschutz-Grundverordnung (EU) 2016/679 ebenso wie jene des österreichischen
Datenschutzgesetzes (DSG) in der geltenden Fassung. Der Bericht zur Datenschutz-
Folgenabschätzung (DSFA) steht öffentlich zum Download bereit und wird bei Änderungen
der ID Austria auch hinkünftig entsprechend angepasst.
Es gibt Überlegungen, zukünftige Entwicklungen der Digitalen Amt App als Open Source
zur Verfügung zu stellen, zurzeit ist dies allerdings leider noch nicht möglich.
Firebase Analytics ist in der App „Digitales Amt“ übrigens nicht aktiviert. Es wurden seit
Beginn des Projekts explizite Vorkehrungen getroffen, damit die Tracking-Funktionalität
mit Sicherheit deaktiviert ist. Lediglich Firebase Cloud Messaging wird für Push-
Notifications auf Android und iOS eingesetzt.
Wir hoffen, Ihnen weitergeholfen zu haben.