Anwendungen der öffentlichen Verwaltung, die mindestens Vertrauensniveau „substanziell“ erfordern, müssen auch mit einem staatlichen eID-Mittel aus dem EU-Ausland auf dem gleichen oder höheren Sicherheitsniveau nutzbar sein. Aus dieser Verpflichtung folgt die juristische Berechtigung auf die dafür notwendigen Systeme im EU-Ausland zuzugreifen.

Bitte beachten Sie: Diese Herleitung gilt nicht für Anwendungen des privaten Sektors, da für diese keine Verpflichtung existiert.

Die Berechtigung der Vergabestelle für Berechtigungszertifikate (VfB) des Bundesverwaltungsamtes zum Auslesen der Online-Ausweisfunktion des deutschen Personalausweises erlaubt implizit den Zugriff über den eIDAS-Konnektor auf das eIDAS-Netzwerk.

Somit können sich alle Diensteanbieter einer solchen Berechtigung mit dem eIDAS-Netzwerk verbinden. Eine gesonderte Berechtigung ist nicht erforderlich.
Technisch wird diese Berechtigung durch das sogenannte MetadataSigner Zertifikat abgebildet. Dieses erhalten Sie auf Nachfrage von der Berechtigungs-CA und können es anschließend in Ihrem eID Server hinterlegen (lassen), siehe auch hier.

Jeder EU-Mitgliedstaat legt den genauen Satz an Merkmalen fest, mit dem er gegenüber den anderen EU-Mitgliedstaaten die eindeutige Identifizierung einer natürlichen Person zum aktuellen Zeitpunkt garantiert.

Werden bei zwei Identifizierungsvorgängen zwei identische Datensätze übermittelt, verweisen sie auf die gleiche Person. Umgekehrt verweisen aber nicht notwendigerweise zwei unterschiedliche Datensätze auf unterschiedliche Personen. So ändert sich beispielsweise in Italien die eindeutige Kennung, die Teil dieses Datensatzes ist, beim Wechsel des Identityproviders. Wie in einem solchen Fall ein Mapping durchgeführt werden kann, hängt vom Mitgliedstaat ab.

Im Rahmen der eIDAS-Notifizierung sichert der notifizierende Mitgliedstaat zu, dass über die Daten des Mindestdatensatzes (MDS) eine Identifizierung der Person möglich ist, wenn sich das eindeutige Kennzeichen geändert hat (zum Beispiel aufgrund des Wechsels des Identifizierungsmittels).

Deutschland übermittelt an andere Mitgliedstaaten beispielsweise neben dem Pseudonym und den anderen verpflichtenden Attributen des MDS zusätzlich Geburtsort und Geburtsname aus der Liste der optionalen Merkmale. Es ist davon auszugehen, dass es sich bei einer erneuten Identifizierung mit identischem Vornamen, Familiennamen (bzw. nach Namensänderung Geburtsnamen), Geburtsort und Geburtsdatum um die identische Person handelt, auch wenn sich beispielsweise das Pseudonym geändert hat. Ein Mapping kann daher durchgeführt werden. Mögliche Fälle, in denen dies notwendig ist, sind beispielsweise:

• Personalausweis verloren / gestohlen / abgelaufen und daher neu ausgestellt
• Namensänderung durch Heirat / Scheidung

Ein Wechsel des Pseudonyms kann auch durch den Diensteanbieter ausgelöst werden. Das ist zum Beispiel der Fall, wenn das Berechtigungszertifikat des Diensteanbieters nach einer Unterbrechung neu ausgestellt wurde, ohne den bisherigen sogenannten Sector Key wiederzuverwenden. Dies muss vor der Migration mit der Berechtigungs-CA abgestimmt werden. Dann kann für die Ausstellung des neuen Berechtigungszertifikats auf Basis einer neuen Berechtigung der Vergabestelle für Berechtigungszertifikate (VfB) des Bundesverwaltungsamtes der bisherige sogenannte Sector Key wiederverwendet werden. In diesem Fall würde das alte DKK bestehen bleiben.

Technische Detailinformationen finden Sie hier auf der Internetseite des BSI.

Die eIDAS-Verordnung sieht eine (eindeutige) Identifizierung anhand des sogenannten Mindestdatensatzes (MDS) vor. Dieser, im Falle einer Identifizierung, vom EU-Mitgliedstaat übermittelte Datensatz kann neben den folgenden verpflichtenden Merkmalen:

• derzeitige(r) Familienname(n), derzeitige(r) Vorname(n), Geburtsdatum, eine eindeutige Kennung

  auch zusätzliche, durch den EU-Mitgliedstaat festgelegte, sogenannte optionale Merkmale enthalten. Mögliche optionale Merkmale sind:

• Vorname(n) und Familienname(n) bei der Geburt, Geburtsort, derzeitige Anschrift, Geschlecht

Jeder EU-Mitgliedstaat legt den genauen Satz an Merkmalen fest, mit dem er gegenüber den anderen EU-Mitgliedstaaten die eindeutige Identifizierung einer natürlichen Person zum aktuellen Zeitpunkt garantiert. Damit wird genau dieser mitgliedstaatsspezifische Satz an Merkmalen vollständig für eine eindeutige Identifizierung einer Person benötigt.
Ob eine eindeutige Identifizierung tatsächlich notwendig ist, muss das Fachverfahren festlegen. Unabhängig davon wurde in der PG eID-Strategie ein Vorschlag erarbeitet, wie das Ergebnis der eindeutigen Identifizierung protokolliert werden kann, ohne dass das Fachverfahren alle Daten explizit vorhalten muss.

Im Rahmen des EU-geförderten Projektes TREATS wurden für alle deutschen eID-Server in Form einer Erweiterung sogenannte eIDAS-Konnektoren entwickelt. Diese dienen als Verbindungsglied zwischen dem eID-Server und dem eIDAS-Netzwerk und sind daher unerlässlich. Ob Ihr eID-Server bereits um den eIDAS-Konnektor erweitert wurde oder nicht, erfahren Sie bei Ihrem eID-Service-Betreiber bzw. eID-Server-Hersteller.

Weitere Informationen zum eIDAS-Netzwerk finden Sie hier auf den Seiten des Bundesamtes für Sicherheit in der Informationstechnik.

Zusätzlich benötigen Sie noch ein sogenanntes MetadataSigner Zertifikat. Dieses erhalten Besitzer eines Berechtigungszertifikats zum Auslesen der Online-Ausweisfunktion auf Nachfrage von der Berechtigungs-CA und können es anschließend in ihrem eID Server hinterlegen (lassen).
Sind Sie an ein Servicekonto angeschlossen, entstehen für Online-Dienste keine Anpassungen durch die technische Anbindung an den eIDAS-Konnektor. In allen anderen Fällen muss unter Umständen noch, nach Rücksprache mit Ihrem eID-Service-Betreiber bzw. eID-Server-Hersteller, der Aufruf des eIDAS-Konnektors implementiert werden. Zusätzlich muss das zugehörige Fachverfahren ggfls. noch angepasst werden, um mit den unterschiedlichen Datensätzen der anderen Mitgliedstaaten umgehen zu können.

Durch die Anerkennung von Identitäten aus dem Ausland sind insbesondere die Adressdaten der jeweiligen Person in das deutsche Fachverfahren zu überführen. Basierend auf den Vorgaben aus Kapitel 5.5 der TR-03130-1 liefert der eID-Server weiterhin dasselbe Adressformat wie bei der Nutzung der Online-Ausweisfunktion. Im Gegensatz zu den bisher ausschließlich gelieferten deutschen Adressen sind jedoch folgende Abweichungen möglich:

• ggf. von "D" abweichender Ländercode,
• Datenfeld "State"/ "Bundesland" kann befüllt sein,
• "PLZ" fehlt ggf.,
• das Feld "Straße" enthält analog zum deutschen Format "<Straßenname> <Hausnummer>" bzw. "<Hausnummer> <Straßenname>" in landestypischer Reihenfolge.

Im Rahmen der PG eID-Strategie des IT-Planungsrates wurde zudem vereinbart, auch hinsichtlich der deutschen Fachverfahren Straßennamen und Hausnummer in landestypischer Reihenfolge in das Adressfeld "Straße" zu übernehmen.