Viele unkritische Menschen wurden mittels Werbekampagnen zur Registrierung der ID Austria verlockt, ohne seriös aufgeklärt worden zu sein. Viele Bürgerinnen und Bürger mussten sich gegen ihre Überzeugung für die ID Austria in Vollversion registrieren, wie wir hier dokumentiert haben oder bezüglich Lehrpersonen an Bundesschulen auch hier.
Wir wollen beleuchten, was man beim Registrieren für die ID Austria unterschreibt, wozu man sich verpflichtet, wer bei Problemen haftet.
Was man in 8 Minuten (laut Pröll) unterschreibt
Registriert man sich für die ID Austria, was laut Staatssekretär Pröll in nur 8 Minuten zu schaffen wäre, muss man den A-Trust-Vertrag unterschreiben. Diesen Vertrag schließt man mit A-Trust ab.
Mit dem Unterzeichnen dieses Vertrages verpflichtet man sich die “Pflichten der signierenden Person” zu erfüllen. Man verpflichtet sich unter anderem dazu, “… den Widerruf des qualifizierten Zertifikats zu verlangen, wenn sich die im qualifizierten Zertifikat bescheinigten Umstände geändert haben oder wenn der Verdacht besteht, dass Dritte Zugriff auf das Signatur-Passwort haben könnten”. Weiters werden eine Vielzahl von “Empfehlungen” angeführt, deren Einhaltung zur eigenen Sicherheit erforderlich ist.
Wenn man sich nicht an die Empfehlungen dieses Vertrages hält, haftet man unserer Ansicht nach selbst für Schäden, die etwa durch Missbrauch der ID Austria durch Dritte entstehen. Empfohlen wird unter anderem
- die Verwendung von zwei unterschiedlichen Geräten. Wenn man sich auf einer Web-Site mit ID Austria anmeldet, muss man normalerweise diese Web-Site aufrufen und man muss sich z.B. mit der ID Austria-App am Smartphone authentifzieren. Man soll beide Tätigkeiten nicht am selben Gerät machen, was bedeutet, dass man solche Web-Sites nicht am Smartphone aufrufen soll sondern auf einem zweiten Gerät.
- alles muss auf dem neuesten Stand mit den aktuellen Up-Dates sein. Das bedeutet, dass man Smartphones nicht einfach kaufen und verwenden kann bis sie kaputt sind, sondern dass man sie bewusst am aktuellen Stand halten muss und nach einiger Zeit, wenn vom Hersteller keine Sicherheitsupdates mehr kommen, durch ein neues Gerät ersetzen muss, das dann wiederum für die ID Austria-Verwendung neu registrieren werden muss.
- man muss die aktuelle Sicherheitssoftware installiert haben. Das könnte die Verpflichtung bedeuten, Abos für Virenscanner und sonstige Sicherheitssoftware kaufen zu müssen, wenn man bei Missbrauch beweisen muss, dass man alles laut Vertrag erfüllt hat.
- man darf das Gerät, z.B. das Smartphone, nicht in andere Hände geben. Wenn man das tut, weil etwa der Anmeldeprozess zu kompliziert ist oder etwas nicht gleich funktioniert, trägt man die Verantwortung, wenn dadurch Missbrauch und Schaden entstehen sollte.
- man darf die sehr bequeme Zusatzfunktion vieler Web-Browser, Passwörter zu speichern und beim nächsten Login automatisch auszufüllen, nicht aktiviert haben bzw. nicht für solche Web-Seiten aktivieren, bei denen man sich mit ID Austria anmelden muss. Wer nicht weiß, wie das deaktiviert wird oder wem ohne diese Funktion die Arbeit zu mühsam ist, trägt das Risiko, wenn deshalb ein Missbrauch geschehen sollte.
- man muss sich der Probleme bei Verwendung von Fingerabdruck-Sensoren bewusst sein und entsprechend aufmerksam damit umgehen, wie in den Vorgaben zur App-Sicherheit angemerkt wird.
Warum ist das bei ID Austria so heikel?
Die oben genannten Empfehlungen gelten für viele Authentifizierungsmechanismen, nicht nur für ID Austria. Der Unterschied besteht darin, dass bei Missbrauch der ID Austria ein vielfach größerer Schaden angerichtet werden kann als bei den allermeisten anderen Mechanismen.
Zusätzlich registrieren sich viele Menschen nur deshalb für die ID Austria, weil sie durch Werbung überredet wurden oder wie im Fall der Bundeslehrer:innen dazu gezwungen wurden. In diesen Fällen besteht oftmals wenig dauerhaftes Interesse, man nützt die ID Austria sehr selten, man kümmert sich nicht darum, doch das volle Risiko bleibt über das ganze Jahr hinweg bestehen.
Bewusst sollte man sich bei Vertragsabschluss auch sein, dass das ID Austria-System als Ganzes veraltet ist und von Experten kritisiert wird. Auch daraus kann sich ein Risiko für Missbrauch und Schaden ergeben, das man durch die Unterschrift eingeht. Siehe dazu Artikel von epicenter.works.
Mit wem man diesen Vertrag schließt
Man schließt als Bürgerin oder Bürger keinen Vertrag mit dem Staat sondern mit A-Trust, mit einem gewinnorientierten Unternehmen, das laut Firmenauszug dem österreichischen Rechtsanwaltskammertag, der Wirtschschaftskammer, der Notartreuhandbank AG, der XiTrust Secure Technologies GmbH, der Raiffeisen Bank International AG und der Raiffeisen Informatik GmbH 6 Co KG gehört.
A-Trust ist also kein Staatsbetrieb, sondern einer Privatfirma mit Monopolstellung.
Dienstanweisung zum Abschließen eines privaten Vertrages – geht das denn?
Das Beispiel der Bundeslehrer:innen zeigt gut, wie manche Bundespolitiker vorgehen, um viele Menschen zu Verträgen zu zwingen, die sie entweder nicht wollen oder die sie genau genommen nicht erfüllen können, wenn mittels Dienstanweisungen der Auftrag erteilt wird, sich für die ID Austria registrieren und diesem Vertrag zustimmen zu müssen.
Bundeslehrer:innen könnten berechtigter Weise sagen: Wer kann mich legal dazu zwingen, mit so einer Firma einen Vertrag abschließen zu müssen? Ich möchte meine privaten, sensiblen Daten dieser privaten Firma nicht (oder nicht mehr) zur Verfügung stellen. Abgesehen von allem ist es weder eine Bürgerpflicht laut ABGB, noch meine Dienstpflicht als Vertragsbedienste:r einen Vertrag mit A-Trust einzugehen. Wenn der Dienstgeber die Voraussetzung für das Noteneintragen so gestaltet, dass ich und alle Bundeslehrkräfte einen Vertrag mit einem privaten Unternehmen abschließen müssen, dann ist zu so einer Verpflichtung ein Gesetz oder eine vertragliche Vereinbarung nötig. Mich einfach durch eine Weisung dazu zu zwingen, geht nicht.
Weiterführende Infos
Unsere Ausarbeitungen zur ID Austria