ZURÜCK

Chance für OZG-Umsetzung und Verwaltungsdigitalisierung

Zuerst erschienen in der public Ausgabe 02/2022
von Tobias Link

Die Europäische Kommission hat im Juni 2022 eine Novellierung der eIDAS-Verordnung, oft auch als eIDAS 2.0 bezeichnet, auf den Weg gebracht.¹ Sie wird alle Mitgliedsstaaten zur Ausgabe und Anerkennung einer EU Digital Identity Wallet (EUDIW) verpflichten. Vorgesehen sind auch Attribute (Electronic Attestation of Attributes), mit denen digitale Informationen, die bisher nicht verifiziert werden konnten, attestiert und somit als verifizierte Nachweise herausgegeben werden können. Die EUDIW soll bis 2027 vollständig umgesetzt sein. Die Grundzüge sind bereits klar, und es gibt eine Reihe von ersten beispielhaften Umsetzungen, mit denen gearbeitet werden kann.²

Bürgerinnen und Bürger der EU werden mit der EUDIW ihre verschiedenen digitalen Identitäten für verschiedene Anwendungsgebiete (E-Mail-Provider-Login, Online-Banking, Steuer, Verwaltungsleistungen…) an einer Stelle souverän verwalten und bedarfsweise auch von einem mobilen Endgerät aus gezielt für den jeweiligen Anwendungsfall nutzen können. In der Konzeption der EUDIW spielt eine vernünftige Balance zwischen einfacher Nutzung und hoher Datensicherheit eine zentrale Rolle. Schon heute gibt es verschiedene Wallets auf dem Markt, die jedoch die von eIDAS vorgesehenen Standards nicht erfüllen. Für die öffentliche Verwaltung wird die EU-Wallet eine wesentliche Grundlage schaffen, um ihre Leistungen endlich sicher Ende- zu-Ende zu digitalisieren – mit medienbruchfreien Prozessen und inklusive der Ausstellung (und Berücksichtigung) digitaler Bescheide und Zertifikate.

Die EUDIW kann dabei auch die Qualität der Daten erhöhen, die als Input digitaler Verwaltungsprozesse dienen. Weiterhin wird die EUDIW zur Erreichung und Umsetzung von Once-Only beitragen, was bezogen auf Deutschland den Reifegrad 4 im Umsetzungsmodell des Onlinezugangsgesetzes (OZG) bedeutet. Auch wenn noch rechtliche und technische Unwägbarkeiten bestehen: Für eine vorausschauende Umsetzung digitaler Verwaltungsleistungen gemäß OZG sowie des OZG-Boosts kann und muss die bevorstehende eIDAS 2.0 bereits jetzt berücksichtigt werden.

Grenzen der derzeitigen OZG-Umsetzung

Derzeit steht eine Vielzahl von Basisdiensten und IT-Komponenten für die OZG-Umsetzung zur Verfügung, darunter verschiedene Nutzerkonten als Komponente zur Identifizierung und Authentifizierung, die Bürgerinnen, Bürger und Unternehmen verwenden können. Für die Antragsstellung gibt es Formularmanagementsysteme und für die Bezahlung ePayment-Lösungen. Dies entspricht dem OZG-Reifegrad 3, bedeutet für die Nutzenden aber keine einfachen und direkten digitalen Prozesse. Jede Verwaltungsleistung ist für sich gedacht und endet im besten Fall mit der Ausstellung eines Bescheids als PDF. Dieses Dokument erhalten Nutzende in ihr Postfach, das Teil des jeweiligen Nutzerkontos ist. Weder für die Antragstellenden noch für die Behörden selbst sind die Prozesse system- und medienbruchfrei. In der Antragsstellung und -bearbeitung wird weiterhin mit vielen händisch eingegeben Daten und manuellen Prüfprozessen gearbeitet. Der Bescheid als PDF ist zwar elektronisch signiert, kann aber nicht unmittelbar weiterverwendet werden. Darüber hinaus bestehen Barrieren zwischen Anwendungsfällen der öffentlichen Verwaltung und Anwendungsfällen von Dienstleistern und Wirtschaft.³

Die Nutzenden wollen jedoch Prozessergebnisse, die sie überall und auch mobil (weiter-)verwenden können. Bisherige Lösungen zu digitalen Identitäten, wie die eID, scheiterten nicht zuletzt an zu wenigen für Bürgerinnen und Bürger greifbaren Anwendungsfällen, die einen echten Mehrwert bieten. Der geplante Rollout einer Smart-eID auf mobile Endgeräte, der durch das Smart-eIDGesetz⁴ möglich wurde, wird den Mangel an interoperablen und Ende-zu-Ende gedachten Einsatzszenarien auch nicht beheben.

Die EU Digital Identity Wallet im OZG-Kontext

Diese Grenzen der derzeitigen Digitalisierung von Verwaltungsleistungen kann die EUDIW überwinden helfen: Sie wäre in der Lage, als sektorenübergreifendes und intraeuropäisches Transportmittel für sichere digitale Nachweise zu fungieren. Dabei muss jedoch zwischen den verschiedenen digitalen Identitäten der Nutzenden unterschieden werden.

Die Wallet als Identitätsverwaltung

Eine Wallet kann zur Verwaltung und Freigabe verschiedener digitaler Identitäten verwendet werden. Dies können einfache Identitäten mit wenig verifizierten Daten wie die Anmeldung in meinem E-Mail-Postfach oder mein Mitgliedsausweis im Fitnessstudio sein, aber auch Software-Zertifikate mit substanziellem Vertrauensniveau, etwa für die Anmeldung beim Finanzamt (ELSTER). Mit dem Smart-eID-Gesetz wurde die Ausstellung der eID in ein mobiles Endgerät mit Secure Element (SE) möglich. Es wäre denkbar, dass eine autorisierte Wallet-Applikation zukünftig über das Trusted Service Management (TSM) Zugriff auf das SE bekommt und somit die Smart-eID auch in dieser Wallet verfügbar ist.⁵ Unabhängig davon gibt es Überlegungen, die EUDIW als eigenständiges Identifikationsmittel zu gestalten, zusätzlich zu den bisherigen Identitätsmitteln wie ELSTER und eID. Die eIDAS Expert Group⁶ sieht dabei für die EUDIW das Vertrauensniveau „hoch“ vor, was dem Vertrauensniveau der nationalen eID in Deutschland entspricht und sie somit in allen Anwendungsfällen nutzbar macht.

Die häufig geführte Diskussion, wie zuletzt im Ausschuss für Digitales des Deutschen Bundestags, über in der Wallet gespeicherte hoheitliche Identitäten und deren Diebstahl erübrigt sich, wenn man die Wallet in die bestehende Infrastruktur der OZG-Umsetzung integriert. Die Rolle des Identity Providers übernehmen die interoperablen Nutzerkonten, während die Wallet zur Speicherung und Weitergabe von digitalen Nachweisen und attestierten Attributen dienen kann. Somit sind auch bekannte Bedrohungsszenarien wie Man-in-the-Middle-Angriffe mitigiert. Im Bereich der juristischen Personen, bei denen Softwarezertifikate wie das von ELSTER zum Einsatz kommen, ist eine Ableitung (das Erstellen eines Identitäts-Credentials) in die Wallet bereits jetzt möglich. Darüber hinaus eignet sich die Wallet insbesondere auch für die Zuordnung von Funktionen und Identitäten. Ist eine Person für ein Unternehmen vertretungsberechtigt, dann kann in der Wallet ein behördlich ausgestelltes Zertifikat über die Existenz des Unternehmens sowie ein vom Unternehmen ausgestelltes Zertifikat über die Rolle der handelnden Personen (zum Beispiel Prokurist) geführt werden. Damit können Unternehmen in Antragsprozessen vertretungsberechtigte Personen eindeutig nachweisen, was die manuellen Prüfschritte auf Seiten der Behörde reduziert.

Die Wallet als Speicher und Transportmittel für digitale Nachweise

Die Wallet ist nicht nur Speicher für digitale Identitäten, insbesondere Identitätsmittel mit hohem Vertrauensniveau, sondern kann auch als Speicher und Transportmittel für digitale Nachweise dienen. Die Funktion eines Transportmittels für digitale Nachweise fehlt in der OZG-Umsetzung bisher, wohingegen es für den Nachweis von Identitäten bereits gesetzte Identity Provider gibt. Im Unterschied zu einem Bescheid als PDF, der gleichzeitig mehrere Informationen enthält, die jetzt oder in Zukunft relevant sein können, können digitale Nachweise einzeln hinterlegt und verfügbar gemacht werden. Dazu müssen die im Bescheid enthaltenen Daten als digitaler Nachweis (= verifiable credential, VC) in der Wallet gespeichert und nutzbar gemacht werden. So lassen sich die Nachweise auch intersektoral nutzen. Ein behördlicher Nachweis in einer Wallet kann auch für andere Stellen nach derselben Logik freigegeben werden. Die Freigabe erfolgt stets vorgangsbezogen und durch den Wallet-Inhabenden, zum Beispiel: Der oder die Antragstellende

• ist immatrikuliert und möchte dies bei seiner oder ihrer Krankenkasse nachweisen,
• ist bei einer Kommune angestellt und bekommt daher Nachlässe bei verschiedenen kommunalen Dienstleistern,
• hat eine Steuernummer, die er oder sie einem Handelspartner übermitteln möchte,
• besitzt ein Unternehmen mit Umsatzsteuernummer und übermittelt es an das zuständige Finanzamt oder hat innerhalb eines Onlinedienstes bereits eine Nutzerkennung oder ein Aktenzeichen bekommen.

Abbildung 1: Trust Triangle



All diese Nachweise können in der Wallet hinterlegt und aus ihr freigegeben werden. Dabei spielt es keine Rolle, ob das Gegenüber eine Behörde oder ein Unternehmen ist. Voraussetzung ist allerdings, dass sich alle auf der gleichen Infrastruktur (Datenregister) bewegen: Eine Entscheidung für Distributed Ledger, Public Key Infastructure oder OpenID Connect muss daher jetzt dringend erfolgen, nach politischen Maßgaben und auf politischer Ebene. Die Wahl der Infrastruktur betrifft die Prüfung der digitalen Nachweise und über welchen Weg die Prüfwerte verfügbar gemacht werden.

Sobald man sich für eine Infrastruktur entschieden hat, können darauf unterschiedliche Akteure agieren, intersektoral und intraeuropäisch. Das bedeutet, dass es auch mehrere Wallet-Anbieter mit Wallet-Lösungen geben kann. Für Nutzende sowie die Behörden ist dabei nicht die einzelne Wallet-Lösung ausschlaggebend. Nutzende wählen möglicherweise aus einer Mehrzahl an Lösungen diejenige aus, die ihren eigenen Präferenzen entspricht. Aus Sicht der Bürgerinnen und Bürger besonders attraktiv ist eine interoperable Lösung, die sowohl Behördengänge als auch Dienstleistungen aus anderen Branchen (Banking, Versicherungen, Carsharing, Freizeit und Kultur) bedienen kann. Im Rahmen der „Large Scale Pilots“8 der Europäischen Kommission sowie der deutschen Schaufensterprojekte „Sichere Digitale Identitäten“9 werden verschiedene Wallets und Anwendungsfälle erprobt. Daraus werden möglicherweise die jeweiligen nationalen Wallet-Lösungen hervorgehen. Die „nationale Wallet“ sollte allerdings keine Monopol-Wallet sein, sondern vielmehr eine Referenz-Wallet, auf deren Grundlage bestehende Anbieter im Identitätsökosystem teilnehmen können.

Die Behörden stellen eine Standard-Schnittstelle zur Verfügung, worüber die verschiedenen Wallet-Lösungen mit den Behörden und den angeschlossenen Fachverfahren agieren können. Die Anbindung der Behörden an die Wallet-Infrastruktur ist daher nur ein Teil der Wallet-Integration. Entscheidender für die Akzeptanz und Nutzbarkeit der Wallet sind die digitalen Nachweise, die dafür bereitgestellt werden. Denn diese geben einen Mehrwert für alle Akteure in der OZG-Umsetzung. Daher ist der andere Teil der Wallet-Integration die rasche Anbindung und Umsetzung von Verwaltungsleistungen, die sowohl digitale Nachweise als VC ausgeben können, als auch diese mit optimierten Prozessen verarbeiten können.

Jetzt Erprobung der Wallets durch Behörden

Bereits jetzt können und sollten die Behörden den Einsatz einer Wallet erproben. Dabei geht es vor allem darum zu klären, wie die Nachweise und Attribute, die für verschiedene Vorgänge benötigt werden, in die oder aus der Wallet kommen. Das große Potenzial der Wallet liegt in den Attributen: Besonders Behörden mit hohem Datenaufkommen, hohen Anforderungen an Datenqualität sowie einem Angebot von Leistungen, bei denen verschiedene Stellen identische Daten abrufen, können ihre Vorgangsbearbeitung durch Wallet-Anbindung beschleunigen und verbessern. Zudem kann die Antizipation der Herausforderung eIDAS 2.0 sowohl für die erprobende Behörde als auch für den Wallet-Anbieter durchaus Mehrwert bieten. Die Behörden sammeln Erkenntnisse über die Integration und Verarbeitung von Wallet-Daten, wodurch sie ihre internen Verfahren anpassen und verbessern können. Und die Wallet-Anbieter können die Anforderungen einzelner Behörden hinsichtlich der benötigten Daten in die Weiterentwicklung der Wallet einfließen lassen. Das gilt etwa für die Definitionen der einzelnen Attribute sowie für das dazugehörige Schema. Die verifizierten Attribute als eine wesentliche Neuerung der eIDAS 2.0 sind hierbei ein Hebel für bessere und einfach integrierbare Daten, die nachweisbar und sicher sind.

Zusammenfassung

Die EUDIW und eIDAS 2.0 können die Nutzung digitaler Identitäten und Nachweise einfacher, sicherer und schneller verfügbar machen. Behörden, Unternehmen sowie Bürgerinnen und Bürger können zukünftig in einem gemeinsamen, interoperablen Identitätsökosystem agieren, wenn die notwendigen Standards und Grundpfeiler zügig ausgearbeitet werden. Dies beinhaltet auch eine klare Linie hinsichtlich Infrastruktur und Referenzumgebung. Aus deutscher Sicht besteht mit den interoperablen Nutzerkonten bereits eine OZG-konforme Identitätslösung für Bürgerinnen und Bürger. Es mangelt bei der geringen Nutzung digitaler Verwaltungsleistungen nicht an Identitätslösungen, sondern an deutlich spürbaren Vorteilen gegenüber den analogen Verfahren. Durch die Wallet werden digitale Nachweise nun transportfähig und können auch übergreifend nutzbar gemacht werden. Mit dem Fokus auf die Bereitstellung und Integration der digitalen Nachweise als VC können die Behörden Bearbeitungszeiten und Prozessqualität enorm verbessern. Mit einfachen Antragsprozessen, schnelleren Ergebnissen und intrasektoral nutzbaren digitalen Nachweisen bekommt die Digitalisierung von Verwaltungsleistungen den notwendigen Booster.

Quellen

¹ https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52021PC0281&from=EN (abgerufen am 20.06.2022).
² Einen Überblick über digitale Identitäten gemäß eIDAS, zu eIDAS 2.0 und auch zu den Schaufensterprojekten gibt Steffen Schwalm, Distributed Ledger Technologie – Chance oder Risiko?, in: public 1-2022 (https://www.msg.group/public-magazin-beitrag/distributed-ledger-technology-chance-oder-risiko, abgerufen am 20.06.2022).
³ Siehe auch Seite 12, „Die Registermodernisierung kommt“.
⁴ https://www.bmi.bund.de/SharedDocs/pressemitteilungen/DE/2021/09/smart-eID-gesetz-in-kraft.html (abgerufen am 27.07.2022).
⁵ Ein Secure Element ist ein hardwarebasiertes Sicherheitselement im Smartphone. Die darin gespeicherten Daten sind sicher vor Zugriffen vom Betriebssystem und von Anwendungen des Smartphones. Auf das SE haben nur spezielle Dienste Zugriff, die durch ein Trusted Service Management System freigegeben wurden.
⁶ https://ec.europa.eu/transparency/expert-groups-register/core/api/front/document/73759/download, S. 16. (abgerufen am 27.09.2022).
⁷ Siehe auch „Distributed Ledger Technology - Chance oder Risiko?“, .public Ausgabe 01-2022, S. 40 ff. (https://www.msg.group/public-magazin-beitrag/distributed-ledger-technology-chance-oder-risiko, abgerufen am 20.06.2022).
⁸ https://ec.europa.eu/info/funding-tenders/opportunities/portal/screen/opportunities/topic-details/digital-2022-deploy-02-electronic-id (abgerufen am 29.07.2022).
⁹ https://digitale-identitaeten.de/ (abgerufen am 27.07.2022).