Jusletter IT

Ausgewählte juristische Fragen im Zusammenhang mit der ersten Federation des Wirtschaftsportalverbundes

  • Authors: Anna-Maria Minihold / Gerhard Laga
  • Category: Category
  • Region: Austria
  • Field of law: Security and Law
  • Collection: Conference proceedings IRIS 2018
  • Citation: Anna-Maria Minihold / Gerhard Laga, Ausgewählte juristische Fragen im Zusammenhang mit der ersten Federation des Wirtschaftsportalverbundes, in: Jusletter IT 22 February 2018
Durch den Betrieb der ersten Federation des Wirtschaftsportalverbundes zeigt sich, mit welchen Herausforderungen das Identitätsmanagement in der Praxis konfrontiert ist. So werden der Aufbau des Wirtschaftsportalverbundes und jener der Federation mitsamt den Use Cases skizziert und daran anknüpfend praxisrelevante Rechtsfragen zum Thema behandelt. Dabei wird unter anderem auf die Besonderheiten einer B2B Federation sowie auf datenschutzrechtliche und steuerrechtliche Themen und auf Haftungsfragen eingegangen.

Inhaltsverzeichnis

  • 1. Einführung
  • 2. Wirtschaftsportalverbund (WPV)
  • 2.1. Aufbau der B2B Federation
  • 2.2. Besonderheiten WKÖ B2B Federation/Abweichungen vom Rulebook
  • 3. Use Cases
  • 4. Rechtsfragen in der Praxis
  • 4.1. Federation ohne SB als «blind proxy»
  • 4.2. Use Case vemap
  • 4.3. Ist das Einloggen einer juristischen Person im WPV die Feststellung einer Identität oder eines Attributs?
  • 4.4. Anforderungen der DSGVO an den WPV
  • 5. Zusammenfassung

1.

Einführung ^

[1]
Der Begriff «Single Sign-on» ist in aller Munde. Mit einer einzigen Benutzererkennung ist es dabei möglich, sich in unterschiedlichen Onlineportalen zu authentifizieren. Als eines der bekanntesten Beispiele ist in diesem Zusammenhang wohl Facebook zu nennen, welches es seinen Nutzern ermöglicht, sich mit deren Passwort und Usernamen auch in anderen Onlineportalen anzumelden. Nunmehr bietet auch die Wirtschaftskammer Österreich ihren Mitgliedern, die Onlineportale im B2B-Bereich betreiben oder benutzen, das gemeinsame und kostenlose Verwenden der WKÖ Benutzerverwaltung «WKIS» an. Digitale Geschäftsprozesse werden somit weniger zeitaufwendig und fehleranfällig. Es handelt sich bei diesem durch die WKÖ verwalteten Zusammenschluss um die erste Federation des Wirtschaftsportalverbundes (WPV), bezeichnet als «WKÖ B2B Federation». Angelehnt ist das Konstrukt des WPVs an den seit mehreren Jahren bestehenden Portalverbund1 der öffentlichen Verwaltung, der einen einheitlichen Rahmen für den Zugriff auf behördenübergreifende Webanwendungen ermöglicht. Im Folgenden wird auf die technischen und rechtlichen Besonderheiten dieser ersten Federation eingegangen und es werden die bisherigen Anwendungsfälle (Use Cases) des WKIS Logins bei Online-Portalanbietern kurz dargestellt.

2.

Wirtschaftsportalverbund (WPV) ^

[2]
Als Dachorganisation fungiert der Verein «Wirtschaftsportalverbund», der grundsätzlich als Koordinations- und Aufsichtsstelle aller Federationen2 (Federation Authority, FA) gelten soll. Mit der WKÖ B2B Federation wurde das erste Vertrauensnetzwerk des WPVs ins Leben gerufen. Es gibt im WPV somit zwei Verwaltungsebenen, zum einen den WPV-Verein als FA und zum anderen die Ebene der einzelnen Federationen (siehe Grafik weiter unten). Das rechtliche Zusammenspiel innerhalb des WPV-Vereins und allen Teilnehmern basiert auf dem eigens dafür konzipierten Rulebook.3 Für die WKÖ B2B Federation wurden aber zum Teil Abweichungen zum Rulebook aus praktischen Gründen festgelegt.4 Im Rahmen des Vereins AustriaPro5, ein auf Initiative der WKÖ gegründeter Verein zur Förderung standardkonformer E-Businesslösungen, wurde außerdem ein Arbeitskreis zur Weiterentwicklung des Wirtschaftsportalverbundes etabliert, an dem Interessierte mitarbeiten können.

2.1.

Aufbau der B2B Federation ^

[3]
Eine Federation besteht aus folgenden Teilnehmern: Federation Operator (FO), Service Provider (SP), Service Broker (SB), Identity Provider (IdP) und Attribute Provider (AP). Anhand der beiden Abbildungen soll das Rollenzusammenspiel auch grafisch dargestellt werden.6
Abb 1: Federationen mit jeweils eigener Aufsicht Abb 2: Auffbau innerhalb einer Federation

Federation Operator7

[4]
Der FO betreibt die zentralen Dienste der Federation, er ist quasi Anlaufstelle und Koordinator aller federations-internen Angelegenheiten. Zu den wichtigsten Aufgaben des FO zählt daher die Verwaltung und der Abschluss von Verträgen mit SB und IdP. In der ersten WPV-Federation nimmt die WKÖ diesen Platz ein.

Identity Provider8

[5]
Die Rolle des IdP ist die eines Dienstleisters und wird in der WKÖ B2B Federation von der WKO Inhouse GmbH erfüllt. Der IdP gewährleistet die eindeutige und überprüfbare Identität eines Nutzers und vermittelt zugehörige Attribute, die für die Authentifizierung notwendig sind, an die Onlineportalbetreiber (SP). Die WKO Inhouse GmbH betreibt und wartet die Benutzerverwaltung WKIS im Auftrag der Wirtschaftskammer Organisation und bietet den Onlineanbietern innerhalb der Federation bei der Umsetzung und Anwendung des WKIS Logins in ihren Portalen technischen Support. Innerhalb einer Federation kann es grundsätzlich mehr als einen IdP geben.

Attribute Provider9

[6]
Zudem ist laut Rulebook auch der Rückgriff auf Attribute Provider (AP), die bestimmte Attribute des Nutzers dem IdP zur Authentifizierung beim SP zur Verfügung stellen, möglich. Der AP ist innerhalb der Federation nur für den IdP als «trusted third party» sichtbar. Attribut könnte beispielsweise die Mitgliedschaft des Nutzers in einem Fachverband oder dessen UID Nummer sein. In der WKÖ B2B Federation ist kein reiner AP bis dato vorhanden, die WKO Inhouse GmbH erfüllt diese Funktion, da sie die bislang notwendigen Attribute der Nutzer selbst führt. Sie kann beispielsweise das Attribut einer Fachverbandszugehörigkeit selbst beisteuern.

Service Broker10

[7]
Die Entität des Service Brokers fungiert gemäß Rulebook als eine Art «blind proxy11» zwischen SP und dem IdP. Der SB ermöglicht die Kommunikation zwischen IdP und SP so, dass der IdP nicht weiß, vom welchem SP der Nutzer Services abfragt und der SP nicht weiß, wer der Nutzer ist. Zudem ist der SB verantwortlich für den Abschluss und die Verwaltung von Verträgen mit SP. Er «unterstützt» die ihm nachgeordneten SP in allen Belangen ihrer Teilnahme an der Federation. Es handelt sich beim SB hauptsächlich um ein datenschutzrechtliches Konstrukt, welches in der WKÖ B2B Federation keine Anwendung gefunden hat (siehe dazu weiter unten).

Service Provider12

[8]
Unter Service Provider versteht man die Betreiber eines Onlineportales, die den Nutzern aufgrund von bestimmten Voraussetzungen, Zugriff auf diese gewähren (wenn sich Nutzer also konkret mittels WKIS-Kennung authentifizieren, gewährt ihnen der SP Zugriff zu seinen Online-Services). Der SP ist grundsätzlich der einzige indirekte Teilnehmer in der Federation, da er Verträge gemäß Rulebook bloß mit dem SB abschließt und nicht wie alle anderen innerhalb der Federation mit dem FO. Gegenständlich sehen die Ausnahmeregelungen hier aber ebenfalls Abweichungen vor.

2.2.

Besonderheiten WKÖ B2B Federation/Abweichungen vom Rulebook ^

[9]
Der WKÖ war es ein Anliegen, den WPV vom rein theoretischen Konstrukt, maßgeblich erarbeitet durch Walter Hötzendorfer13, in die Praxis zu überführen. Um die Umsetzung einzelner Federationen zu erleichtern, ermöglicht das Rulebook Ausnahmeregelungen14. Die WKÖ hat dies in Anspruch genommen und bei der Errichtung der B2B Federation Ausnahmen mit dem WPV als FA vereinbart.
[10]
Gemäß Rulebook sollten die Rollen des Federation Operators und des Identity Providers rechtlich, organisatorisch und wirtschaftlich voneinander unabhängig sein. Die WKO Inhouse GmbH ist zwar ein eigenständiges Unternehmen und besitzt als solches Rechtspersönlichkeit, steht aber jeweils zu je 10% im Eigentum der Wirtschaftskammern in den Bundesländern. Sie versteht sich als «Shared Service Center» für die gesamte Wirtschaftskammerorganisation und betreibt auch deren Benutzerverwaltung mitsamt des WKIS-Logins. Die Ausnahmeregelung sieht vor, dass die Bestimmungen über die Unvereinbarkeit nur soweit gelten, als dass IdP und FO lediglich zwei verschiedene Rechtssubjekte sein müssen.
[11]
Eine weitere Ausnahme zum Rulebook stellt das Nichtvorhandensein eines Services Brokers in der WKÖ B2B Federation dar. Aus praktischen Gründen (siehe dazu unten) verzichtet man auf die Bereitstellung eines Proxys, der die Identitäten bei der Übertragung an den SP verwässern soll. Auch ist im Rulebook vorgesehen, dass der FO keinen direkten Vertrag mit dem SP (aufgrund der zwischengeschalteten Rolle des SB) abschließt und der SP als solcher kein direkter Teilnehmer an der Federation ist. Aus den Ausnahmeregelungen ergibt sich aber, dass innerhalb der WKÖ Federation dennoch direkt zwischen FO und SP ein Vertrag geschlossen wird.

3.

Use Cases ^

Compass-Verlag15

[12]
Mit der Compass-Verlag GmbH wurde der erste Use Case der WKÖ B2B Federation etabliert, der auch seit Sommer 2017 online ist. Der Compass-Verlag bietet auf seinem B2B Portal Firmeninformationen in Echtzeit an. Mittels WKIS Login kann man sich nunmehr beim Onlineportal des Compass Verlages authentifizieren und so dessen Services in Anspruch nehmen.

vemap Einkaufsmanagement GmbH16

[13]
vemap bietet eine Software für den Betrieb von B2B Onlineportalen für Vergabeverfahren an und betreibt diese für ihre Kunden in der Cloud. Öffentliche oder private Auftraggeber führen ihre Beschaffung in ihren Portalen durch. Mitarbeiter von Bieterunternehmen erhalten von vemap für jedes der Portale, an dessen Ausschreibung sie teilnehmen wollen, jeweils eigene Zugangsdaten. Das heißt die Benutzerverwaltung der einzelnen Beschaffungsportale erfolgt getrennt voneinander. In Zukunft soll es jedoch ermöglicht werden, dass sich die Mitarbeiter von Bieterunternehmen mit ihrer WKIS-Kennung in allen Beschaffungsportalen von vemap authentifizieren können, um dort Informationen zu bearbeiten bzw. Dokumente und Angebot hochzuladen. Für die Abgabe von rechtsverbindlichen Angeboten bleibt dennoch die qualifizierte Signatur der Geschäftsführung Voraussetzung. Im Detail wird der Use Case vemap unter 4.2. diskutiert.

Weitere Use Cases

[14]
Vertragsverhandlungen bzw. Gespräche gibt es noch mit weiteren Projektpartnern, wie z.B. dem ASI (Zugang zum Normenentwurfsportal) oder Openlaws (branchenspezifische Rechtsabfragen).

4.

Rechtsfragen in der Praxis ^

[15]
Folgende Rechtsfragen ergeben sich aus dem Betrieb der ersten Federation und sollen in Folge detaillierter erläutert werden:

4.1.

Federation ohne SB als «blind proxy» ^

[16]
Mit dem WPV-Rulebook wurde versucht, datenschutzrechtlichen Anforderungen innerhalb der Federationsteilnehmer mittels «Privacy by Design» Rechnung zu tragen. Im gegenständlichen Fall wurde aber auf die Zwischenschaltung eines SB aus praktischen und finanziellen Gründen verzichtet. Die Idee von «Privacy by Design» wird also nicht abschließend in der ersten WPV-Federation umgesetzt.
[17]
Gemäß § 4 Z 1 Datenschutzgesetz (DSG 2000)17 sind neben natürlichen Personen auch juristische Personen im Verfassungsrang vom datenschutzrechtlichen Geltungsbereich umfasst. Datenschutz juristischer Personen ist ein österreichisches Spezifikum, dessen Bedeutung aber durch das Inkrafttreten der Datenschutzgrundverordnung (DSGVO)18 bislang ungewiss erscheint. Die Verfassungskonstruktion besteht zwar weiterhin, das Unionsrecht sieht aber grundsätzlich nur das Recht auf Datenschutz von natürlichen Personen vor. Ein Argument könnte daher sein, dass aufgrund der fehlenden Berücksichtigung von juristischen Personen in der DSGVO, das Datenschutzniveau unter juristischen Personen niedriger angesetzt wird und deshalb die Rolle eines SB, innerhalb einer ausschließlich aus juristischen Personen bestehenden Federation, nicht unbedingt notwendig ist. In einer Stellungnahme versichert man aber seitens der Legisten im Bundeskanzleramt, dass juristische Personen mit Inkrafttreten der DSGVO vom österreichischen Datenschutz weiterhin umfasst sind.19 Zudem ist auch zu bedenken, dass im B2B Bereich nicht juristische Personen als Unternehmer einen Großteil der Unternehmerlandschaft in Österreich darstellen und wohl auch bei der Datenverarbeitung in der Praxis personenbezogene Daten natürlicher Personen nicht streng von Daten juristischer Personen getrennt werden können. Auf Ebene des Datenschutzes erscheint daher die bloße Zustimmung zur Datenverarbeitung der Betroffenen20 (indem Teilnehmer und Nutzer der Datenverarbeitung innerhalb der Federation zustimmen) als einzige Rechtsgrundlage in der WKÖ B2B Federation heranzuziehen zu sein. Daher erfolgt die Zustimmung des Nutzers an die WKÖ zur Datenverarbeitung, bevor der SP überhaupt von einer möglichen Authentifizierung und Nutzung seiner Onlineservices durch einen Dritten erfährt.
[18]
Innerhalb von B2B Geschäftsbeziehungen finden oft Normen Anwendung (oder nicht Anwendung), die sich wesentlich von jenen im B2C oder C2C unterscheiden. Man denke beispielsweise an das Konsumentenschutzgesetzt (KschG)21, das Fern- und Auswärtsgeschäftegesetz (FAGG)22, das Preisauszeichnungsgesetz (PrAG)23 oder auch an unterschiedliche Regelungen im Steuerrecht.
[19]
In diesem Zusammenhang soll die Zwischenschaltung eines blind proxys, konkret SB, auch unter steuerrechtlichen Aspekten beurteilt werden. Gemäß § 11 Abs. 1 Z 1 Umsatzsteuergesetz (UstG)24 ist der Unternehmer, sofern er Umsätze an einen anderen Unternehmer für dessen Unternehmen ausführt, zur Ausstellung einer Rechnung verpflichtet. §11 Abs. 1 Z 3 lit. a und b UstG sieht vor, dass Rechnungen sowohl den Namen und die Anschrift des liefernden oder des leistenden Unternehmers sowie den Namen und die Anschrift des Abnehmers der Lieferung oder des Empfängers der sonstigen Leistung enthalten müssen.25 Die Bekanntgabe der Identität ist also zwingendes Erfordernis zur rechtsgültigen Erstellung einer Rechnung, welche in weiterer Folge Voraussetzung für die Möglichkeit des Vorsteuerabzuges nach § 12 UstG ist. Einzig für Gesamtbeträge von € 400 gelten nach § 11 Abs. 6 UstG bei der Rechnungsausstellung erleichterte Formerfordernisse, da hierbei lediglich die Angabe entweder des Namens und der Anschrift des liefernden oder des leistenden Unternehmers ausreicht. Es zeigt sich aber insgesamt, dass der Etablierung eines «blind proxys» in einer B2B Federation auch steuerrechtliche Aspekte entgegenstehen können.

4.2.

Use Case vemap ^

[20]
Durch die Bereitstellung von Online-Vergabeportalen wird vemap als Dienstleister für öffentliche oder private Auftraggeber tätig. Die Auftraggeber sind für den Inhalt ihrer Online-Services (also für die Ausschreibung und die eingegebenen Nutzerdaten) datenschutzrechtlich selbst verantwortlich. Für die B2B Federation stellt sich daher die Frage, ob vemap überhaupt die Rolle eines SP innehaben kann, oder ob innerhalb der Federation jeweils die Auftraggeber als SP heranzuziehen sind. Gemäß Rulebook, hat der SB neben der primären Aufgabe der «Identitätenverwässerung» auch die Verantwortung der Abschlüsse und Verwaltung von Verträgen mit SP (siehe weiter oben). Es ergäbe sich also hier die Möglichkeit einen SB zwischenzuschalten, jedoch rein zum Zweck, dass dieser sich um Vertragsabschlüsse mit den SPs, im konkreten Fall den Auftraggebern, annimmt. Von der primären Aufgabe der Identitätenverwässerung durch den SB wird auch hier weiterhin Abstand genommen, da im Zuge eines Angebotes durch den Bieter im Angebotshauptteil auch der Name (Firma, Geschäftsbeziehung) und Geschäftssitz des Bieters angeführt werden müssen.26
[21]
Ein zweiter Aspekt der Kooperation mit vemap ist die Frage nach Haftung, sofern die WKIS Benutzerverwaltung technische Probleme aufweisen sollte und eine rechtzeitige Angebotsabgabe des Bieters nicht mehr möglich ist. Während beispielsweise bei der Abfrage von Firmendaten im Compass-Verlag eine kurzfristige Unverfügbarkeit der Benutzerverwaltung wahrscheinlich keine Konsequenzen hat, so sind die Risiken bei der E-Vergabe, weil der Bieter am Vergabeverfahren nicht teilnehmen kann und so für die Zuschlagsentscheidung gar nicht in Frage kommt, wesentlich höher. Gemäß § 57 Abs. 3 Bundesvergabegesetz (BVergG 2006) gilt, dass der Auftraggeber die Frist für den Eingang der Teilnahmeanträge bzw. die Angebotsfrist für elektronisch übermittelte Angebote zu verlängern hat, sofern der Server, auf dem die Angebote eingereicht werden sollen, nicht durchgehend empfangsbereit ist.27 Die WKÖ hat sich daher mit vemap darüber verständigt, dass im Falle technischer Probleme der WKIS Benutzerverwaltung, der Bieter (Nutzer) bei vemap direkt einen Notfalls-Usernamen und ein Passwort anfragen kann. Sollte es in Folge bei der direkten vemap Authentifizierung ebenfalls Probleme geben, so muss die Frist zur Teilnahme jedenfalls verlängert werden. Dem Nutzer entsteht also kein Schaden.

4.3.

Ist das Einloggen einer juristischen Person im WPV die Feststellung einer Identität oder eines Attributs? ^

[22]
In der Online-Welt stellt sich schon länger die Frage, ob sich juristische Personen in einem Onlineportal als solche authentifizieren, oder ob es immer nur natürliche Personen sind, die mit dem Attribut (Eigenschaft) einer juristischen Person ausgestattet sind.
[23]
Eine juristische Person ist ein Gebilde, welches wie eine natürliche Person, Rechte und Pflichten begründet.28 Sie unterscheidet sich aber wesentlich von der natürlichen Person dadurch, dass sie nicht für sich selbst handeln kann und sie trotz ihres realen rechtlichen Vorhandenseins, ein rechtliches Gedankenkonstrukt bleibt. Ebenso erscheint es in der digitalen Welt: die juristische Person selbst kann nur durch Bevollmächtigte handeln, das heißt bei der Authentifizierung in einem Online-Portal ist der Nutzer immer eine natürliche Person.29,30. Handelt nun aber der Nutzer elektronisch mit der eigenen Identität oder jener der juristischen Person?
[24]
Um zunächst zu klären, in welcher Form eine juristische Person elektronisch zu Tage tritt, bedarf es einer Auseinandersetzung mit dem Begriff der Identität. Vorwegzunehmen ist, dass eine elektronische Identität nicht mit einer realen gleichzusetzten ist.
[25]

Die elektronische Identität definiert Hötzendorfer wie folgt:

«Eine elektronische Identität ist eine digital repräsentierte Sammlung von Informationen über ein Individuum, die dem Zweck dient, die Identität dieses Individuums und/oder einzelne dieser Informationen gegenüber einer von diesem Individuum verschiedenen Entität anzugeben und ggf. deren Richtigkeit nachzuweisen. Die Informationen über ein Individuum werden als Attribute bezeichnet.»31

[26]

Dazu wird weiter ausgeführt:

«Aus obiger Definition folgt, dass jede Person mehrere elektronische Identitäten haben kann und in der Regel auch hat. Jedes Benutzerkonto im Kontext eines IT-Systems, sei es im Internet oder lokal, ist eine elektronische Identität. Elektronische Identitäten können als partielle Identitäten betrachtet werden, genauer als elektronische Repräsentationen eines Teils der Identität einer [natürlichen oder juristischen] Person.»32

[27]
Wie spielen nun elektronische und reale Identität tatsächlich zusammen? Hötzendorfer definiert die Entität als eine generelle Einheit, diese könne entweder als Subjekt handeln oder als Objekt Gegenstand einer Handlung sein. Subjekte wären also Entitäten, die sich durch ihr Handeln auszeichnen, man bezeichne diese als Individuum. Ein Individuum impliziere zwar primär das Handeln einer natürlichen Person, könne aber auch eine juristische Person meinen. Nur ein Individuum wäre auch Träger einer Identität, die sich wiederrum in einzelne partielle Identitäten gliedere. Elektronische Identitäten könne man ebenso als partielle Identitäten betrachten und sie wären wie oben definiert, somit die elektronische Repräsentation eines Teils der realen Identität einer natürlichen oder juristischen Person.33
[28]
Entgegen dieser Ansicht, lässt sich folgendermaßen argumentieren: eine juristische Person ist, wie oben definiert, «nur» Trägerin von Rechten und Pflichten. Sie kann selbst nicht handeln und erfüllt daher nicht die Voraussetzungen eines handelnden Subjektes. Demnach kann nur eine natürliche Person als Individuum gelten und ist als solche Trägerin einer Identität bzw. von partiellen Identitäten. Die elektronische Identität ist somit ausschließlich Teil der realen Identität einer natürlichen Person. Die natürliche Person kann z.B. im Rahmen einer Bevollmächtigung ein Benutzerkonto für eine juristische Person verwalten. Das Benutzerkonto gilt als eine elektronische Identität der natürlichen Person, welches aber mit dem Attribut, dass die natürliche Person für eine juristische Person handeln kann, ausgestattet ist.
[29]
Hat die juristische Person nun überhaupt eine Identität? Die Identität einer juristischen Person ergibt sich in der realen und auch in digitalen Welt aus der Summe der zurechenbaren Handlungen ihrer Vertretungsbefugten. Es handelt sich hierbei um ein reines Gedankenkonstrukt, man kann die Identität einer juristischen Person daher am ehesten als «konstruierte Identität» beschreiben. Sie setzt sich aus der Summe der elektronischen und partiellen Identitäten natürlicher Personen zusammen, die für die juristische Person im Rahmen ihrer jeweiligen Befugnisse real oder elektronisch tätig werden. Bei der exponierten Betrachtung eines einzelnen Nutzers aber, der elektronisch für die die juristische Person tätig wird, indem er ein Benutzerkonto verwaltet, ist hier die Form der juristischen Person als Attribut zu beurteilen. Diesem Gedanken folgt auch die WKIS Benutzerverwaltung. Jedes WKIS Benutzerkonto ist personenbezogen, das heißt einer natürlichen Person zugeordnet und kann auch nur von dieser Person bedient werden. Damit ein User für ein Unternehmen handeln kann, braucht es eine entsprechende Bevollmächtigung durch die Geschäftsführung des jeweiligen Unternehmens.

4.4.

Anforderungen der DSGVO an den WPV ^

[30]
Art. 30 DSGVO sieht vor, dass Verzeichnisse über die Verarbeitung34 von [personenbezogenen] Daten sowohl vom Verantwortlichen35 als auch vom Auftragsverarbeiter36 zu führen sind. Da die Datenverarbeitung im Rahmen der Federation nicht nur gelegentlich erfolgt, finden die Ausnahmetatbestände in Art. 30 Abs. 5 DSGVO keine Anwendung.
[31]
Hötzendorfer überträgt in seiner Arbeit, welche im Kontext des DSG 2000 entstanden ist, dem IdP die Rolle des «Auftraggebers», der IdP ist also Herr über die Daten im Rahmen des rechtlich zulässigen.37 Im Fall der WKÖ-Federation sind die Dinge aufgrund der Ausnahmebestimmungen anders gelagert. Gegenständlich erfüllt die WKÖ selbst, als FO die Tatbestandsvoraussetzungen des Auftraggebers nach dem DSG 2000 bzw. des Verantwortlichen nach der DSGVO. Aufgrund der besonderen Rechtsbeziehung zwischen WKO Inhouse GmbH und WKÖ, unterliegt die WKO Inhouse GmbH den datenschutzrechtlichen Vorgaben der WKÖ und ist als IdP eben nicht «Herr der Daten». Im Moment erscheint die Trennung von IdP und FO aus Einfachheits- und Kostengründen auch nicht weiter attraktiv. Spannend wäre langfristig die Integration eines wirtschaftlich und rechtlich unabhängigen IdPs in die Federation.
[32]
Im Rulebook ist unter 8.2.1.c bereits der Betrieb eines Verzeichnisdienstes, betrieben durch den FO für direkte Teilnehmer (SB, FO und IdP) und deren Dienste sowie technische Metadaten vorgesehen. Diese Regelung muss an die Anforderungen der DSGVO angepasst werden.

5.

Zusammenfassung ^

[33]
Es zeigt sich, dass sich um das Thema Identitätsmanagement im Rahmen des Wirtschaftsportalverbundes doch Divergenzen zwischen Theorie und Praxis ergeben. Bei der Umsetzung der WKÖ B2B Federation stehen besonders der Kostenfaktor des Betriebes einer Federation sowie die Praktikabilität, Usability aber auch Normen der wortgetreuen Etablierung des Rulebooks entgegen. Der Betrieb von B2C oder C2C Federationen ist, wie oben erläutert, mit anderen Vorschriften in der Praxis konfrontiert, die Ausgestaltung solcher Federationen würde sich also anders gestalten. Womöglich erschiene dort die Realisierung des «Privacy by Desgin» Gedanken einfacher.
  1. 1 https://www.ref.gv.at/Portalverbund.577.0.html (alle Websites zuletzt abgerufen am 4. Januar 2018).
  2. 2 Wirtschaftsportalverbund, Rulebook Version 1.17, approbiert 1. Juni 2017, Seite 20 ff (https://www.wko.at/service/netzwerke/rulebook-2017.pdf).
  3. 3 Wirtschaftsportalverbund, Rulebook (Fn. 2).
  4. 4 Wirtschaftsportalverbund, Ausnahmeregeln für die WKÖ B2B Federation, approbiert 4. Juli 2017 (https://www.wko.at/service/netzwerke/wpv-rulebook-ausnahmen.pdf).
  5. 5 Verein AustriaPro (https://www.wko.at/service/netzwerke/Austriapro.html).
  6. 6 Quelle: AustriaPro.
  7. 7 Wirtschaftsportalverbund, Rulebook (Fn. 2), Seite 27 ff.
  8. 8 Wirtschaftsportalverbund, Rulebook (Fn. 2), Seite 30 ff.
  9. 9 Wirtschaftsportalverbund, Rulebook (Fn. 2), Seite 13.
  10. 10 Wirtschaftsportalverbund, Rulebook (Fn. 2), Seite 33 ff.
  11. 11 Hötzendorfer, Datenschutz und Privacy by Design im föderierten Identitätsmanagement, Dissertation, Wien 2015, Seite 237.
  12. 12 Wirtschaftsportalverbund, Rulebook (Fn. 2), Seite 36 ff.
  13. 13 Hötzendorfer (Fn. 11).
  14. 14 Wirtschaftsportalverbund, Ausnahmeregeln (Fn. 4).
  15. 15 http://wpv.compass.at; https://compass.at.
  16. 16 http://www.vemap.com.
  17. 17 Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 – DSG 2000), BGBl. I Nr. 165/1999 i.d.F. BGBl. I Nr. 120/2017.
  18. 18 Verordnung (EU) Nr. 2016/679 des europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. L 119/1 vom 4. Mai 2016.
  19. 19 Knyrim/Maurer, Der Datenschutz für die juristische Person bleibt bestehen, Dako 2017/48, Manz, Wien 2017, Seite 74.
  20. 20 Vgl. den Begriff «Betroffener» des § 4 Z 3 DSG 2000.
  21. 21 Bundesgesetz mit den Bestimmungen zum Schutz der Verbraucher getroffen werden (Konsumentenschutzgesetz – KSchG), BGBl. Nr. 140/1979 i.d.F. BGBl. I Nr. 50/2017.
  22. 22 Bundesgesetz über Fernabsatz- und außerhalb von Geschäftsräumen geschlossene Verträge (Fern- und Auswärtsgeschäfte-Gesetz – FAGG), BGBl. I Nr. 33/2014 i.d.F. BGBl. I Nr. 50/2017.
  23. 23 Bundesgesetz über die Auszeichnung von Preisen (Preisauszeichnungsgesetz – PrAG), BGBl. Nr. 146/1992 i.d.F. BGBl. I Nr. 99/2016.
  24. 24 Bundesgesetz über die Besteuerung der Umsätze (Umsatzsteuergesetz 1994 – UStG 1994), BGBl. Nr. 663/1994 i.d.F. BGBl. I Nr. 106/2017.
  25. 25 Ebenda, § 11 Abs. 1 Z 3 lit. a und b.
  26. 26 Vgl. § 2 Z 5 lit. a Bundesgesetz über die Vergabe von Aufträgen (Bundesvergabegesetz 2006 – BVergG 2006), BGBl. I Nr. 17/2006 i.d.F. BGBl. II Nr. 250/2016.
  27. 27 § 57 Abs. 3 BVergG 2006.
  28. 28 Koziol-Welser/Kletecka, Bürgerliches Recht I14, Manz, Wien 2014, Rz 240.
  29. 29 Vgl. auch den Begriff «Benutzer» des § 92 Abs. 3 Z 2 TKG (Bundesgesetz, mit dem ein Telekommunikationsgesetzerlassen wird (Telekommunikationsgesetz 2003 – TKG 2003), BGBl I 2003/70.
  30. 30 Hötzendorfer (Fn. 11), Seite 37.
  31. 31 Hötzendorfer (Fn. 11), Seite 43.
  32. 32 Ebenda.
  33. 33 Ebenda.
  34. 34 Vgl. Begriff Art. 4 Z 2 DSGVO.
  35. 35 Art. 4 Z 7 ebenda; löst den Begriff des «Auftraggebers» gem. § 4 Z 4 DSG 2000 ab.
  36. 36 Art. 4 Z 7 ebenda; löst den Begriff des «Dienstleisters» gem § 4 Z 5 DSG 2000 ab.
  37. 37 Hötzendorfer (Fn. 11), Seite 275.