Die grenzüberschreitende gegenseitige Anerkennung elektronischer Identifizierungsmittel im E-Government nach Umsetzung der eidas-verordnung

Transkript

1 BMI - ITI /1#64 Stand: 25. April 2016 Die grenzüberschreitende gegenseitige Anerkennung elektronischer Identifizierungsmittel im E-Government nach Umsetzung der eidas-verordnung Umsetzungsbedarf und Auswirkungen für elektronische Verfahren der deutschen Verwaltung I. Einleitung Am trat die Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, kurz eidas-verordnung, in Kraft 1. Die eidas-verordnung enthält verbindliche europaweit geltende Regelungen in den Bereichen Elektronische Identifizierung und Elektronische Vertrauensdienste. Mit der Verordnung werden einheitliche Rahmenbedingungen für die grenzüberschreitende Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste geschaffen. Als EU-Verordnung ist diese unmittelbar geltendes Recht in allen 28 EU-Mitgliedstaaten sowie im Europäischen Wirtschaftsraum. Die Verordnung gilt für die gesamte öffentliche Verwaltung. Die Regelungen zu Vertrauensdiensten sind zum 1. Juli 2016 wirksam, die Umsetzung im Bereich der elektronischen Identifizierung ist bis zum 18. September 2018 abzuschließen. Ein zeitlicher Fahrplan findet sich am Ende dieses Dokumentes. Übersicht eidas Verordnung Das vorliegende Papier verschafft allen Behörden einen ersten Überblick über den notwendigen Handlungs- und Umsetzungsbedarf im Bereich Elektronische Identifizierung. Der sich aus dem Bereich Vertrauensdienste ergebende Handlungs- und Umsetzungsbedarf ist nicht Gegenstand des Informationspapiers. Die Zuständigkeit für diesen Bereich liegt beim Bundesministerium für Wirtschaft und Energie. Das BMWi wird hier gesondert informieren

2 II. Anerkennung elektronischer Identifizierungsmittel in Deutschland Im Bereich der elektronischen Identifizierung soll die mit der eidas-verordnung bezweckte Konnektivität von Identifizierungssystemen die grenzüberschreitende Abwicklung von Verwaltungsdienstleistungen auf europäischer Ebene erheblich vereinfachen. Vor dem Hintergrund dieser Entwicklung in den einzelnen Mitgliedstaaten sieht die EU-Verordnung vor, dass die künftige grenzüberschreitende Identifizierung nicht auf der Basis einer neuen gemeinsamen einheitlichen europäischen eid erfolgen soll, sondern auf der gegenseitigen Anerkennung der in den Mitgliedstaaten bereits vorhandenen oder künftig in den Mitgliedsländern noch einzuführenden Identifizierungsmittel. Elektronische Identifizierungssysteme müssen dann von anderen Mitgliedsstaaten verbindlich anerkannt werden, nachdem diese bei der EU-Kommission notifiziert wurden. Die Notifizierung eines elektronischen Identifizierungssystems (eid-systems) wird vom jeweiligen Mitgliedstaat vorgenommen und erfolgt auf freiwilliger Basis. Die grenzüberschreitende Anerkennung notifizierter eid Systeme ist verpflichtend und bis zum 18. September 2018 sicher zu stellen. Zu den elektronischen Identifizierungsmitteln (eids) zählen in Deutschland unter anderem die eid- Funktion des Personalausweises und des elektronischen Aufenthaltstitels, aber auch weitere wie z. B. das Benutzername-Passwort-Verfahren oder das (m)tan Verfahren. Viele Mitgliedstaaten haben unterschiedlichste eids herausgegeben und etabliert. Sie unterscheiden sich erheblich in ihren Sicherheitsniveaus, ihren technischen Strukturen und ihrer Verbreitung. Aus deutscher Sicht hat die zukünftige Notifizierung von eids folgende Auswirkungen: Deutsche Bürgerinnen und Bürger sollen sich künftig mit den in Deutschland verfügbaren Identifizierungsmitteln, wie der eid-funktion des Personalausweises und des elektronischen Aufenthaltstitels für Drittstaaten, gegenüber Behörden und kommerziellen Dienstleistungen (dies aber ohne Anerkennungspflicht) anderer EU-Staaten einfach und sicher elektronisch identifizieren können. Hierzu müssen andere Mitgliedstaaten die erforderlichen technischen Voraussetzungen schaffen, damit deutsche Identifizierungsmittel in dem E-Government- Angebot des jeweiligen Mitgliedstaates zur Identifizierung deutscher Bürgerinnen, Bürger und Unternehmen genutzt werden können. Zudem müssen deutsche Behörden auf allen staatlichen Ebenen die Voraussetzungen schaffen, damit sich Bürgerinnen, Bürger und Unternehmen anderer EU-Staaten mit den von ihren jeweiligen Heimatstaaten bereitgestellten elektronischen Identifizierungsmitteln einfach und sicher gegenüber deutschen Verwaltungsdienstleistungen identifizieren können. Die EU-Verordnung regelt die für die gegenseitige Anerkennung erforderlichen rechtlichen Rahmenbedingungen. Für den Bereich Elektronische Identifizierungsmittel hat die EU-Kommission ergänzend zur EU-Verordnung weitere Durchführungsrechtsakte erlassen (siehe Anhang). Die eidas-verordnung sieht insbesondere vor, dass sich die Wahl der Identifizierungsmittel nach dem jeweils benötigten Vertrauensniveau der Verwaltungsdienstleistung richtet. Besonders sichere Identifizierungsmittel sind in Verwaltungsdienstleistungen mit hohem Vertrauensniveau einzusetzen, bei Verwaltungsdienstleistungen mit niedrigerem Vertrauensniveau werden geringere Anforderungen an das Identifizierungsmittel gestellt. Unterschieden wird zwischen den Vertrauensniveaus niedrig, substanziell und hoch. Ein elektronisches Identifizierungsmittel wird nur dann als substanziell oder hoch anerkannt, wenn der Mitgliedstaat dieses im Rahmen eines in der eidas-verordnung festgelegten Verfahrens auf dem entsprechenden Vertrauensniveau notifiziert hat. 2

3 Auszug aus der Durchführungsverordnung 2015/1502 vom zur Festlegung von Mindestanforderungen an technische Spezifikationen und Verfahren für Sicherheitsniveaus elektronischer Identifizierungsmittel gemäß Artikel 8 Absatz 3 der eidas Verordnung BMI beabsichtigt, das Verfahren der Notifizierung für die eid-funktion des Personalausweises und des elektronischen Aufenthaltstitels auf dem Vertrauensniveau hoch einzuleiten. Andere Mitgliedstaaten werden ihre eigenen Identifizierungsmittel notifizieren. Ein Mitgliedstaat ist rechtlich nicht verpflichtet, seine eid-systeme bei der EU-Kommission zu notifizieren. Unabhängig davon, ob Mitgliedstaaten ihre eigenen Identifizierungsmittel notifizieren, sind sie jedoch verpflichtet, ihre elektronischen Verwaltungsverfahren für alle auf den Vertrauensniveaus substanziell und hoch notifizierten eids anderer Mitgliedstaaten zu öffnen. Ein deutsches Verwaltungsverfahren auf substanziellem oder hohem Vertrauensniveau muss alle notifizierten elektronischen Identifizierungsmittel anerkennen, die mindestens dem in Deutschland vom Fachverfahren für diese Verwaltungsdienstleistung festgelegten erforderlichen Vertrauensniveau entsprechen. III. Umsetzungsbedarf für deutsche Behörden Deutsche Behörden müssen bis zum 18. September 2018 die erforderlichen Voraussetzungen schaffen, damit sich EU-Bürger gegenüber deutschen Verwaltungsdienstleistungen mit ihren jeweiligen eids identifizieren können, soweit sie mit Vertrauensniveau substanziell oder hoch notifiziert sind. Betroffen sind alle öffentlichen Stellen in Deutschland im Rahmen der elektronischen Abwicklung von Verwaltungsverfahren. Öffentliche Stellen werden durch Artikel 3 der eidas-verordnung definiert als ein Staat, eine Gebietskörperschaft, eine Einrichtung des öffentlichen Rechts oder einen Verband, der aus einer oder mehreren dieser Körperschaften oder Einrichtungen des öffentlichen Rechts besteht, oder eine private Einrichtung, die von mindestens einer dieser Körperschaften, Einrichtungen 3

4 oder Verbände mit der Erbringung von öffentlichen Dienstleistungen beauftragt wurde, wenn sie im Rahmen dieses Auftrags handelt. BMI und BSI vertreten Deutschland in den auf europäischer Ebene eingerichteten politischen und technischen Gremien. So wird gewährleistet, dass alle technischen und organisatorischen Anforderungen der deutschen Verwaltung im Rahmen der Umsetzungsarbeiten auf europäischer Ebene eingebracht werden. BMI und BSI sind bestrebt, den Aufwand für die Umsetzung der eidas-verordnung für die betroffenen Behörden in Deutschland möglichst gering zu halten. Die erforderlichen Anpassungsarbeiten sollen so weit wie möglich innerhalb der bestehenden Infrastruktur vorgenommen werden, um Aufwände und Kosten in einzelnen Behörden zu minimieren. Der Umsetzungsbedarf richtet sich nach dem Vertrauensniveau der jeweiligen Verwaltungsdienstleistung. Die Zuordnung einer Verwaltungsdienstleistung zu einem Vertrauensniveau erfolgt zukünftig auf Grundlage von Empfehlungen des IT-Planungsrates und der Technischen Richtlinie TR des Bundesamts für die Sicherheit in der Informationstechnik (BSI). 2 Das BSI passt derzeit die TR den Anforderungen der eidas-verordnung an, insbesondere im Hinblick auf die Bezeichnungen und Kriterien für Vertrauensniveaus. a) Umsetzungsbedarf für Verwaltungsdienstleistungen auf Vertrauensniveau substanziell und hoch Verwaltungsdienstleistungen, die eine Identifizierung mit Vertrauensniveau hoch benötigen, müssen künftig alle auf Vertrauensniveau hoch notifizierten eid-systeme anerkennen. Außerdem müssen Verwaltungsdienstleistungen, die eine Identifizierung mit Vertrauensniveau substanziell erfordern, alle auf Vertrauensniveau substanziell und hoch notifizierten eid-systeme anerkennen. Gemäß 2 Abs. 3 des E-Government-Gesetzes (egovg) müssen alle Bundesbehörden in elektronischen Verwaltungsdienstleistungen, die eine Identifizierung benötigen, eine Identifizierung mit der eid-funktion des Personalausweises und des elektronischen Aufenthaltstitels ermöglichen. Analoge Regelungen finden sich in einigen E-Government Gesetzen der Länder. Soweit Verwaltungsverfahren Identifizierungsmittel anderer Mitgliedstaaten mit substanziellem bzw. hohem Vertrauensniveau anerkennen müssen, ist beabsichtigt, die technischen Anpassungen weitgehend bei den eid-servicebetreibern durchzuführen. Verwaltungsdienstleistungen, die eine Identifizierung mit der eid-funktion einsetzen, sind bereits in diese deutsche eid-infrastruktur integriert. Alle weiteren Verwaltungsdienstleistungen müssen sich bis zum Umsetzungszeitpunkt der eidas-verordnung an die eid-struktur anschließen. Die Europäische Kommission hat allen Mitgliedstaaten und damit auch den Betreibern der eid- Services in Deutschland eine spezielle Software ( eidas-connector ) bereitgestellt. Diese Software können die Mitgliedstaaten einsetzen, um übergreifend für alle Vertrauensniveaus die technischen Voraussetzungen zu schaffen, damit sich EU-Bürger und Unternehmen grenzüberschreitend mit ihren jeweiligen Identifizierungsmitteln gegenüber Verwaltungsdienstleistungen anderer Staaten identifizieren können. BMI und BSI arbeiten eng mit den Betreibern der deutschen eid- Servicestrukturen zusammen, um mit ihnen gemeinsam die technischen Rahmenbedingungen der Integration dieser Software zu klären und die Details der weiteren Umsetzung abzustimmen. In diesem Kontext hat die Europäische Kommission im Rahmen der sogenannten Connecting Europe Facility (CEF) Projekte ausgeschrieben, mit denen die weitere Umsetzung technisch und im Rahmen konkreter Anwendungsfälle vorangetrieben werden soll. Die deutschen eid-servicebetreiber haben sich um eine Teilnahme an CEF beworben, um die reibungslose Umsetzung der grenzüberschreitenden Identifizierung bis September 2018 aus deutscher Sicht vorzubereiten. 2 TR Elektronische Identitäten und Vertrauensdienste im E-Government 4

5 Übersicht technische Infrastruktur Wie oben dargestellt, werden die eid-servicebetreiber die erforderlichen technischen Anpassungsarbeiten durchführen. Zu beachten ist, dass die Anbieter elektronischer Verwaltungsdienstleistungen rechtzeitig ihre Webseiten insbesondere die Nutzerführung anpassen müssen. Nicht zwingend durch die eidas-verordnung gefordert, aber durchaus wünschenswert sind ein mehrsprachiges Angebot und entsprechende Usability-Anpassungen. b) Umsetzungsbedarf für Verwaltungsdienstleistungen auf Vertrauensniveau niedrig Für das Vertrauensniveau niedrig besteht keine Pflicht zur Anerkennung elektronischer Identifizierungsmittel aus dem Ausland. Eine Anbindung an die eid-servicestruktur ist in diesem Fall folglich nicht erforderlich. Eine freiwillige Integration von Verwaltungsdienstleitungen auf Vertrauensniveau niedrig ist jedoch möglich. c) Übermittlung eines Mindestdatensatzes Durchführungsverordnung 2015/1501 vom über den Interoperabilitätsrahmen gemäß Artikel 12 Absatz 8 der eidas Verordnung (s. Anhang) legt die Anforderungen an den Mindestsatz von Personenidentifizierungsdaten, die eine natürliche oder juristische Person eindeutig repräsentieren, gemäß Artikel 11 fest. 3 Der notifizierende Mitgliedstaat muss dabei sicherstellen, dass die übermittelten Daten ausreichen, die (natürliche) Person eindeutig zu identifizieren. 3 Für natürliche Personen: derzeitige(r) Familienname(n), derzeitige(r) Vorname(n), Geburtsdatum, eine eindeutige Kennung, die vom übermittelnden Mitgliedstaat entsprechend den technischen Spezifikationen für die Zwecke der grenzüberschreitenden Identifizierung erstellt wurde und möglichst dauerhaft fortbesteht. Optional können nach Wahl des notifizierenden Mitgliedstaates weitere Daten übermittelt werden: Vorname(n) und Familienname(n) bei der Geburt, Geburtsort, derzeitige Anschrift, Geschlecht. 5

6 Fachverfahren müssen so konzipiert sein, dass sie den von der eidas-verordnung vorgegebenen Mindestdatensatz berücksichtigen und im Rahmen der grenzüberschreitenden Identifizierung erheben können. Sofern aus anderen Mitgliedstaaten eine eindeutige und dauerhaft fortbestehende Kennung zur Person (Personenkennzeichen) oder zum Unternehmen übermittelt wird, wird nur ein Teil der genannten Daten übermittelt. d) Gesetzgeberischer Rechtsänderungsbedarf Das BMI plant, die mit der gegenseitigen Anerkennung elektronischer Identitätsmittel verbundenen Anpassungen im innerstaatlichen Recht vorzunehmen und einen Gesetzentwurf zur Novellierung des Personalausweisgesetzes und anderer Gesetze vorzulegen. IV. Weiterer Fahrplan Folgende Abbildung fasst die wesentlichen Fristen der eidas-verordnung zusammen: Fahrplan eidas-verordnung BMI und BSI werden Bundes-, Länder- und Kommunalbehörden über die weitere Umsetzung der EU- Verordnung und die mit der Umsetzung verbundenen Schritte im Bereich der elektronischen Identifizierungsdienste informieren. Weitere Informationen zur eidas Verordnung finden Sie hier: 6

7 Anhang. Durchführungsrechtsakte der eidas Verordnung für den Bereich eid Durchführungsbeschluss (EU) 2015/296 4 vom zur Festlegung von Verfahrensmodalitäten für die Zusammenarbeit zwischen den Mitgliedstaaten auf dem Gebiet der elektronischen Identifizierung gemäß Artikel 12 Absatz 7 der eidas Verordnung Die Mitgliedstaaten sind zur Zusammenarbeit angehalten, um Interoperabilität und Sicherheit der elektronischen Identifikationssysteme zu gewährleisten. Der Beschluss umfasst die Methoden für den Informationsaustausch und etabliert ein Kooperationsnetzwerk unter Vorsitz der EU-Kommission, dem Vertreterinnen und Vertreter der Mitgliedstaaten und der Länder des Europäischen Wirtschaftsraums angehören. Durchführungsverordnung (EU) 2015/ vom über den Interoperabilitätsrahmen gemäß Artikel 12 Absatz 8 der eidas Verordnung Mit diesem Beschluss werden die Grundlagen für eine technische Plattform gelegt, die die Verbindungsstelle der verschiedenen eid-systeme schafft, um Interoperabilität zu erreichen. Durchführungsverordnung (EU) 2015/ vom zur Festlegung von Mindestanforderungen an technische Spezifikationen und Verfahren für Sicherheitsniveaus elektronischer Identifizierungsmittel gemäß Artikel 8 Absatz 3 der eidas Verordnung Die eidas-verordnung setzt minimale technische Voraussetzungen und Prozeduren fest, um die Sicherheitsniveaus für elektronische Identifizierungsmittel festzulegen. Es wird zwischen einem niedrigen, einem substanziellen und einem hohen Sicherheitsniveau unterschieden. Kriterien/Beispiele für eid-systeme für die verschiedenen Vertrauensniveaus sind: niedrig : mindestens ein Authentifizierungsfaktor (z.b. Benutzername mit Passwort); substanziell : mindestens zwei Authentifizierungsfaktoren unterschiedlicher Kategorien (z.b. Softwarezertifikat, mtan-verfahren); hoch : zusätzlich muss Schutz vor Duplizierung und Fälschung gewährleistet sein (z.b. eid- Funktion des Personalausweises und des elektronischen Aufenthaltstitels, Hardwarezertifikat). Jeder Mitgliedstaat muss für die eigene Verwaltungsdienstleistung elektronische Identifizierungsmittel anderer Mitgliedstaaten anerkennen, deren Vertrauensniveau so hoch wie oder höher als das von der einschlägigen öffentlichen Stelle für den Zugang zu diesem Online-Dienst geforderte Sicherheitsniveau ist, also mindestens dem eigenen für die Dienstleistung geforderten Niveau entspricht (Artikel 6 der eidas Verordnung). Durchführungsbeschluss (EU) 2015/ vom zur Festlegung der Umstände, Formate und Verfahren der Notifizierung gemäß Artikel 9 Absatz 5 der eidas Verordnung Der Durchführungsbeschluss legt die Verfahrensmodalitäten für die Notifizierung eines elektronischen Identifizierungssystems fest. Dazu gehören die technische Beschreibung des Systems, die Einstufung und Begründung des entsprechenden Sicherheitsniveaus sowie Ausführungen zu Fragen der Aufsicht, Haftung etc. Nach der Notifizierung durchläuft das System einen Begutachtungsprozess durch die anderen Mitgliedstaaten, welcher durch Artikel 12 der eidas Verordnung festgelegt und im Durchführungsbeschluss (EU) 2015/296 näher beschrieben wird. Zuständig dafür ist das Kooperationsnetzwerk