Datenschutz der ID Austria App

Verwendetes Gesetz: Auskunftspflichtgesetz

Die "ID Austria"-App behandelt sensibelste persönliche Daten und ist trotzdem nur schlecht auf die Anforderungen an ein solches System angepasst.

1. Warum ist die ID Austria eine Closed-Source-Anwendung und nicht Open-Source? Die App wird vom Staat (unter Beauftragung von A Trust) entwickelt und sie sollte für jede Person öffentlich zur Einsicht bereitgestellt werden.

2. Warum werden Google-Firebase-Tracker eingesetzt, wenn die App benutzt wird?
Google sollte niemals Anwendung in einer staatlichen App finden, schon gar nicht in einer solch relevanten Applikation.

3. Wie wird in Zukunft sichergestellt, dass der Datenschutz innerhalb der staatlichen Anwendungen den höchsten Anforderungen standhält?

Ergebnis der Anfrage

wir beziehen uns auf Ihr mit E-Mail vom 22. Oktober 2023 via der Plattform „Frag den
Staat“ an uns gerichtetes Auskunftsbegehren betreffend „Datenschutz der ID Austria
App“, zu welchem Sie sich ausdrücklich auf die Bestimmungen des
Auskunftspflichtgesetzes berufen haben. Dazu dürfen wir Ihnen wie folgt mitteilen:
Für das Bundesministerium für Finanzen und alle datenschutzrechtlich verantwortlichen
Stellen des Finanzressorts hat der Schutz von personenbezogenen Daten eine hohe
Priorität. Wir achten darauf, personenbezogene Daten in Einklang mit allen anwendbaren
europarechtlichen und österreichischen Rechtsvorschriften zu verarbeiten und nehmen
unsere Verantwortung sehr ernst.
Wir verarbeiten personenbezogene Daten mit höchster Sorgfalt und haben umfangreiche
technische und organisatorische Sicherheitsmaßnahmen getroffen, um sicherzustellen,
dass die geltenden Datenschutzvorschriften sowohl von allen verantwortlichen Stellen als
auch von den von uns beauftragten Auftragsverarbeitern beachtet und eingehalten
werden. Dies betrifft insbesondere den Schutz von personenbezogenen Daten vor
unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigter oder unrechtmäßiger
Vernichtung, Verlust oder Veränderung, unbefugter Offenlegung von bzw. unbefugtem
Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise
verarbeitet werden. Die Sicherheitsmaßnahmen entsprechen dem aktuellen Stand der
2 von 3
Technik und umfassen unter anderem den Einsatz moderner Sicherheitstechnologien und
Verschlüsselungsverfahren, physischer Zutrittskontrollen und Vorkehrungen zur Abwehr
von Angriffen.
Der Datenschutz und die Informationssicherheit hatten für uns bereits vor dem 25. Mai
2018 eine hohe Priorität. Aus diesem Grund haben wir schon im Jahr 2008 ein
Informationssicherheits-Managementsystem (ISMS) implementiert, das nach dem
internationalen Sicherheitsstandard ISO 27001 zertifiziert ist und jährlich überprüft wird.
Damit waren wir das erste Bundesministerium in Europa, das eine solche Zertifizierung
erlangt hat. Seit Dezember 2020 verfügen wir darüber hinaus als erste Organisation in
Österreich über eine Zertifizierung unseres Datenschutz-Managementsystems (DSMS)
nach dem internationalen Datenschutzstandard ISO 27701. Das ISMS und das DSMS
sorgen unter anderem dafür, dass bestehende Risiken systematisch identifiziert, beurteilt
und mittels geeigneter Maßnahmen behandelt werden. Es stellt darüber hinaus sicher,
dass die Wirksamkeit der Maßnahmen regelmäßig überprüft, bewertet und evaluiert wird.
Auch die konkret angesprochene ID Austria funktioniert daher unter höchsten
datenschutzrechtlichen Standards, das heißt, sie erfüllt die rechtlichen Vorgaben der
Datenschutz-Grundverordnung (EU) 2016/679 ebenso wie jene des österreichischen
Datenschutzgesetzes (DSG) in der geltenden Fassung. Der Bericht zur Datenschutz-
Folgenabschätzung (DSFA) steht öffentlich zum Download bereit und wird bei Änderungen
der ID Austria auch hinkünftig entsprechend angepasst.
Es gibt Überlegungen, zukünftige Entwicklungen der Digitalen Amt App als Open Source
zur Verfügung zu stellen, zurzeit ist dies allerdings leider noch nicht möglich.
Firebase Analytics ist in der App „Digitales Amt“ übrigens nicht aktiviert. Es wurden seit
Beginn des Projekts explizite Vorkehrungen getroffen, damit die Tracking-Funktionalität
mit Sicherheit deaktiviert ist. Lediglich Firebase Cloud Messaging wird für Push-
Notifications auf Android und iOS eingesetzt.
Wir hoffen, Ihnen weitergeholfen zu haben.

Anfrage erfolgreich

  • Datum
    22. Oktober 2023
  • Frist
    17. Dezember 2023
  • Ein:e Follower:in
Florian Lüdtke
Sehr geehrte Damen und Herren, hiermit beantrage ich gem §§ 2, 3 AuskunftspflichtG die Erteilung folgender Ausku…
An Bundesministerium für Finanzen Details
Von
Florian Lüdtke
Betreff
Datenschutz der ID Austria App [#2958]
Datum
22. Oktober 2023 18:24
An
Bundesministerium für Finanzen
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, hiermit beantrage ich gem §§ 2, 3 AuskunftspflichtG die Erteilung folgender Auskunft:
Die "ID Austria"-App behandelt sensibelste persönliche Daten und ist trotzdem nur schlecht auf die Anforderungen an ein solches System angepasst. 1. Warum ist die ID Austria eine Closed-Source-Anwendung und nicht Open-Source? Die App wird vom Staat (unter Beauftragung von A Trust) entwickelt und sie sollte für jede Person öffentlich zur Einsicht bereitgestellt werden. 2. Warum werden Google-Firebase-Tracker eingesetzt, wenn die App benutzt wird? Google sollte niemals Anwendung in einer staatlichen App finden, schon gar nicht in einer solch relevanten Applikation. 3. Wie wird in Zukunft sichergestellt, dass der Datenschutz innerhalb der staatlichen Anwendungen den höchsten Anforderungen standhält?
Für den Fall einer vollständigen oder teilweisen Nichterteilung der Auskunft (zB Verweigerung) beantrage ich die Ausstellung eines Bescheides gem § 4 AuskunftspflichtG. Florian Lüdtke Anfragenr: 2958 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.at/a/2958/ Postanschrift Florian Lüdtke << Adresse entfernt >>
Mit freundlichen Grüßen Florian Lüdtke
Bundesministerium für Finanzen
Ihre Anfrage vom 22. Oktober 2023 Sehr geehrter Herr Lüdtke, anbei übermitteln wir Ihnen die Antwort auf Ihre Anf…
Von
Bundesministerium für Finanzen
Betreff
Ihre Anfrage vom 22. Oktober 2023
Datum
10. November 2023 10:34
Status
Anfrage abgeschlossen
Sehr geehrter Herr Lüdtke, anbei übermitteln wir Ihnen die Antwort auf Ihre Anfrage vom 22. Oktober 2023. Mit freundlichen Grüßen,