eIDAS: Herausforderungen für IT-Dienstleister

 

Die eIDAS-Verordnung der EU, die seit Juli 2016 geltendes Recht in allen 28 EU-Mitgliedstaaten und im Europäischen Wirtschaftsraum ist, hat einheitliche Rahmenbedingungen für vertrauenswürdige elektronische Geschäftsprozesse und die Nachvollziehbarkeit elektronischer Transaktionen zwischen Bürgern, Unternehmen und Behörden geschaffen. Auch IT-Dienstleister müssen reagieren.

Wesentliche Punkte der Verordnung sind gegenseitige Anerkennung der nationalen elektronischen Identifizierungssysteme sowie Harmonisierung von elektronischen Vertrauensdiensten. Im Bereich der elektronischen Identifizierung sollen natürliche und juristische Personen die ihnen zur Verfügung stehenden Identifizierungssysteme auch in anderen EU-Ländern nutzen können. Diese müssen von den anderen EU-Ländern verpflichtend anerkannt werden, soweit sie erfolgreich notifiziert wurden.

Im Gegensatz zu den elektronischen Vertrauensdiensten geht es bei den elektronischen Identifizierungssystemen nicht um die Harmonisierung bestehender Anwendungen, sondern um die Interoperabilität der verschiedenen nationalen Identifizierungssysteme, wie beispielsweise der eID-Funktion des Personalausweises bzw. elektronischen Aufenthaltstitels in Deutschland.

Notifizierung der Online-Ausweisfunktion

Einen ersten Schritt zur Umsetzung hat im August die Bundesregierung mit der Notifizierung der eID-Funktion des Personalausweises und Aufenthaltstitels getan. So wurde die Online-Ausweisfunktion gemäß der eIDAS-Verordnung mit dem höchsten Vertrauensniveau erfolgreich notifiziert. Im Rahmen der sogenannten Peer Review haben alle EU-Mitgliedstaaten bestätigt, dass die deutsche eID-Funktion alle Anforderungen für das Vertrauensniveau "hoch" erfüllt.

Auf dieser Basis sind nun alle anderen EU-Mitgliedsländer dazu verpflichtet, Verwaltungsverfahren, die eine elektronische Identifizierung mit dem Vertrauensniveau "substanziell" oder "hoch" benötigen, für die Nutzung der eID-Funktion des Personalausweises bzw. Aufenthaltstitels bis zum 29. September 2018 zu öffnen. Umgekehrt ist zu erwarten, dass auch andere EU-Länder ihre elektronischen Identifizierungsmittel bzw. -systeme notifizieren und diese dann in Deutschland verpflichtend anzuerkennen sind.

E-Government-Portale besonders betroffen

Die AKDB als Anstalt öffentlichen Rechts und größter Anbieter kommunaler IT-Lösungen in Deutschland hat sich frühzeitig mit Anforderungen und Auswirkungen der eIDAS-Verordnung auf E-Government-Portale beschäftigt. Mit ihrem Bürgerservice-Portal bietet die AKDB eine Portal-Infrastruktur für E-Government-Angebote der öffentlichen Verwaltung an, die bei mehr als 1.200 Kommunen im Einsatz ist.

Das Bürgerservice-Portal und die darüber angebotenen Online-Angebote der öffentlichen Verwaltung sind besonders gefordert, stellt die Identifizierung von Nutzern bei solchen Angeboten doch eine zentrale und in einigen Fällen auch zwingend erforderliche Komponente dar. Ein Beispiel dafür ist die Außerbetriebsetzung und Wiederzulassung von Fahrzeugen über das Internet. Die zum 1. Januar 2015 bzw. zum 1. Oktober 2017 in bislang zwei Stufen gestarteten Online-Prozesse, die alle Zulassungsstellen anbieten müssen, lassen sich ausschließlich über die eID-Funktion des neuen Personalausweises nutzen.

Servicekonto mit Identifizierungsfunktion

Das Bürgerservice-Portal nutzt zur Identifizierung ein zentrales Servicekonto für unterschiedliche Authentifizierungs- bzw. Sicherheitsniveaus. So kann sich der Nutzer entsprechend der durch die eIDAS-Verordnung definierten Sicherheitsniveaus ausweisen. Das dabei eingesetzte elektronische Servicekonto einschließlich Postfachfunktionalität stellt die AKDB allen bayerischen Kommunen im Auftrag des Freistaats Bayern als "BayernID" betriebskostenfrei zur Verfügung. Künftig wird auch das Bundesland Hessen sowie der Bund Servicekonto und Postfach des Freistaats im Rahmen ihrer E-Government-Angebote zum Einsatz bringen. Es ist damit eine zentrale Erfolgskomponente in der deutschen E-Government-Landschaft.

eIDAS-fähig mit TREATS

Vor diesem Hintergrund hat sich die AKDB zusammen mit anderen Anbietern von E-Government-Lösungen im von der EU geförderten Projekt TREATS (TRans-European AuThentication Services) engagiert. Bei TREATS geht es darum, Servicekonten und damit verbundene Komponenten und Fachprozesse eIDAS-fähig zu machen. Für das Servicekonto der AKDB, das dann als erstes für eIDAS vorbereitet ist, bedeutet das, die Prozesse für das Einlesen unterschiedlicher nationaler eIDs und für das Speichern der Daten im Servicekonto zu entwickeln.

Das wird sich auf das reibungslose Zusammenspiel zwischen Servicekonto und den vielfältigen Fachdiensten auswirken wie zum Beispiel der internetbasierten Kfz-Zulassung, der Gewerbeanmeldung oder dem elektronischen Bescheidwiderspruch, die über die kommunalen Bürgerservice-Portale verfügbar sind. Außerdem geht es auch um bereits bestehende Anwendungen im Rahmen des Bayerischen Portalverbunds, wie zum Beispiel der Fischerprüfung, dem Antrag zum Meister- und Studenten-Bafög und dem Antrag zur Feststellung einer Behinderung, die als E-Government-Anwendungen des Freistaats Bayern allen Bürgern zur Verfügung gestellt werden und die auf das Servicekonto bzw. die BayernID zugreifen.

AKDB für eIDAS aufgestellt

Es bleibt spannend, welche Identifizierungssysteme anderer EU-Länder in nächster Zeit noch notifiziert werden und im Rahmen bestehender und künftiger E-Government-Anwendungen in Deutschland zur Anwendung kommen. Die AKDB stellt das derzeit einzige eIDAS-fähige Servicekonto bereit, erleichtert damit die Nutzung der angeschlossenen Fachdienste und wird so ihrer Aufgabe als Lieferant einer erfolgreichen Servicekonto-Infrastruktur für Bund, Länder und Kommunen gerecht.