Inhalt

Beschreibung von bereichsspezifischen Personenkennzeichen

Wofür werden bereichsspezifische Kennzeichen (bPK) eingesetzt und wie wird diese errechnet.

bPK natürlicher Personen in E-Government-Verfahren

Um den Datenschutz zu wahren, werden im österreichischen E-Government bei natürlichen Personen keine einheitlichen Personenkennzeichen in Verfahren verwendet, sondern "bereichsspezifische" Personenkennzeichen, die aus der Stammzahl der betroffenen natürlichen Person und dem jeweiligen Verfahrensbereich gebildet werden.

Dabei werden kryptografische Verfahren angewendet, die nicht umkehrbar sind. Das bedeutet, dass vom bereichsspezifischen Personenkennzeichen nicht mehr auf die Stammzahl zurückgerechnet werden kann.

Aus datenschutzrechtlichen Gründen dürfen Behörden die Stammzahl natürlicher Personen keinesfalls als Identitätsmerkmal speichern. Wird die Bürgerkarte zum Signieren eines elektronischen Anbringens verwendet, so wird nach der Überprüfung der Signatur die Stammzahl aus der Bürgerkarte ausgelesen und in eine gesicherte Bürgerkartenumgebung übertragen, in der automatisch ein bereichsspezifisches Personenkennzeichen (bPK) abgeleitet und die Stammzahl gelöscht wird. Das erzeugte bPK wird aus der Stammzahl für den spezifischen Verfahrensbereich der Behörde berechnet. Die Behörde verfügt nach dem Anbringen mit der Bürgerkarte lediglich über das - für ihren Tätigkeitsbereich relevante bPK - der betroffenen Person.

Ermittelung der bPK

Das bPK wird in zwei Schritten ermittelt: Im ersten wird aus Stammzahl und dem Verfahrensbereich eine Zeichenkette gebildet. Im zweiten Schritt berechnet ein bestimmter Hash-Algorithmus aus dieser Zeichenkette eine sichere kryptografische Einwegableitung. Aus Gründen der Darstellbarkeit, z. B. im Falle eines Papierausdrucks, wird das bPK mit dem Base64-Standard kodiert:

Beispiel für ein bPK in Base64 Standardkodierung
Stammzahl DEyMzQ1Njc4OWFiY2RIZg== (Base64, 24 Zeichen)
Bereichskürzel BW (ISO-8859-1, Beispiel: Bauen und Wohnen)
Zeichenkette MDEyMzQ1Njc4OWFiY2RIZg==+urn:publicid:gv.at:cdid+BW
SHA-1 5cd5794e 10a3e4ec 09474a0e 71698ae1 652ce69e
(5x32bit [Darstellung; hexadezimal])
Base64 XNV5ThCj5OwJR0oOcWmK4WUs5p4=
(28 Zeichen, ISO-8859-1)

Weitere Einsatzbeispiele

Organwalter

Im Gegensatz zu natürlichen Personen müssen die bereichsspezifischen Personenkennzeichen von Personen, die als Organwalter tätig sind, gemäß E-Government Gesetz rückführbar sein. Dadurch soll die Nachvollziehbarkeit staatlichen Handelns gewährleistet werden. Das bPK kann in diesem Fall nur durch Abfrage des Stammzahlenregisters gebildet werden. Zur Berechnung des bPK wird anstelle der Einwegableitung eine symmetrische Verschlüsselung mit einem geheimen, nur der Stammzahlenregisterbehörde bekannten Schlüssel, durchgeführt. Das Ergebnis wird kodiert.

Wirtschaft

Die Methode des bereichsspezifischen Personenkennzeichens zur Identifikation von Personen kann auch von der Wirtschaft für den elektronischen Geschäftsverkehr verwendet werden. Im Unterschied zur öffentlichen Verwaltung dient bei diesem Personenkennzeichen die Stammzahl des Auftraggebers als Bereichskennung. Für die Ableitung der bPK werden die beiden Stammzahlen herangezogen. Dies gewährleistet, dass das bPK nur mit Wissen und Zustimmung der Betroffenen erzeugt werden kann. Die Stammzahl kann in diesem Fall nicht zur Berechnung des Personenkennzeichens ausgelesen werden, sondern wird unmittelbar von der Bürgerkartenumgebung zu einem bPK umgerechnet. Jedes Unternehmen bzw. jeder Verein bildet so auf Basis der eigenen Stammzahl, das ist beispielsweise die Firmenbuchnummer oder Vereinsregisternummer, einen eigenen Bereich.

Übermittlung in andere Bereiche - behördenübergreifenden Verfahren

Benötigt eine Behörde zur Identifikation einer Person ein bereichsspezifisches Personenkennzeichen aus einem anderen Verfahrensbereich, darf diese die Stammzahlenregisterbehörde berechnen. Die Stammzahlregisterbehörde übermittelt dieses bPK ausschließlich verschlüsselt an die anfragende Behörde. Das verschlüsselte bPK (vbPK) entschlüsseln und verarbeiten kann so nur jene Behörde, die für diesen Fremd-Verfahrensbereich zuständig ist, für den das bPK gebildet worden ist. Die Berechnung der verschlüsselten bPK muss so erfolgen, dass nicht auf die Person geschlossen werden kann. Die Verschlüsselung beruht auf dem RSA Verfahren mit einer Schlüssellänge von mindestens 1024 Bit.

Beispiel für die Berechnung der verschlüsselten bPK
bPK MDEyMzQ1Njc4OWFiY2RIZg+CU&g= (Base64, 28 Zeichen)
Kürzel bPK-Bereich BW (für Bauen und Wohnen)
Datum und Uhrzeit 2004-01-22T20:57:12
String Version:1::+urn:publicid:gv.at:cdid+BW::MDEyMzQ1Njc 4OW FiY2RIZg+CU&g=::2004-01-22T20:57:12 (Kodierung in ISO-8859-1)
RSA-Verschlüsselung E4 b6 e5 59 89 79 70 2b 90 24 e0 4b 46 e8 fc fd 8e 15 06 e0 7e 91 a4 1e 30 17 fc 9e 90 9f 07 86 60 e0 71 62 1f 77 3d 13 f1 81 62 eb 88 78 52 039f 1f a9 f5 c3 35 f7 43 74 5c 22 2e 32 ef 4c 6d 06 26 5a a7 d9 0d 48 69 61 aa 08 3a 7d 2c 33 7c 37 59 e7 ce 5f 7d e8 9e 20 f8 c8 e5 55 97 82 33 eb 7f 8c 6e 4d 90 ba 89 75 1a cf 23 75 0e 66 3a 34 1f 30 31 f8 dd 84 0c 20 3d de e8 8f 6b 11 78
Base64 qX4/Mf2bMeop0/8tjHqS+OWox03/TViPmP6DoB+Z/h2gDtMQE99xuBhfzyCy6jXgVEbuFGIqYSU1qxMeReQd4bbJzhekXvcrFAAn6mO1ZClokZnmRekidHI6bHnmR0cQjUywgHjnpbGJIzqBOOXmdFEi2mZ59yKKdMW7yfwQviAsWWx