Schritt für Schritt - So werden Sie Identifizierungsdiensteanbieter gemäß § 21 b PAuswG

Typ: Artikel

Hier erfahren Sie, welche Schritte notwendig sind, um die Berechtigung zum Anbieten von Identifizierungsdiensten gemäß § 21 b PAuswG zu erhalten.

Sie sind ein Identifizierungsdiensteanbieter, wenn Ihr Dienst darin besteht, dass Sie

  • für einen Dritten
  • eine einzelfallbezogene Identifizierungsdienstleistung
  • mithilfe der eID-Funktion des Personalausweises, des elektronischen Aufenthaltstitels oder der eID-Karte für Bürgerinnen und Bürger der Europäischen Union sowie Angehörige des Europäischen Wirtschaftsraums erbringen (§ 2 Abs. 3a PAuswG).

Wichtig ist dabei, dass es sich um eine einzelfallbezogene Identifizierung handelt. Planmäßig wiederholt vorgenommene Identifizierungen für ein- und denselben Auftraggeber mittels Speicherung der Transaktionsdaten bei Ihnen (Identifizierungsdiensteanbieter), wie es beispielsweise im Rahmen eines Login- bzw. Account-Managements der Fall ist, ist davon ausgenommen.

Zulässig ist: Ihr Auftraggeber (Dritte), also der Diensteanbieter für dessen Online-Dienst eine Identifizierung mit dem Online-Ausweis notwendig ist, kann für seine Kundinnen und Kunden einen Account einrichten. Dies kann zum Beispiel notwendig sein, um Nachrichten aus zu tauschen oder über diesen Account Verträge zur Einsicht bereitzustellen. Mit der Authentifizierung kann ein Identifizierungsdiensteanbieter beauftragt werden. Die Authentifizierung durch Sie als beauftragten Identifizierungsdiensteanbieter kann unter der folgenden Bedingung auch wiederholt übernommen werden: Der Identifizierungsdiensteanbieter speichert keinerlei Transaktionsdaten. Dieses Speicherverbot auf Seiten des Identifizierungsdiensteanbieters ermöglicht es, dass Sie die Authentifizierung für Ihren Auftraggeber nicht nur beim ersten Mal, sondern auch in Zukunft bei jeder Transaktion zwischen Kundschaft und Auftraggeber für jeden Vorgang übernehmen können.

Die unterschiedlichen Möglichkeiten der Identifizierung mit einem Identifizierungsdiensteanbieter veranschaulicht das Dokument „Fallbeispiele Identifizierungsdiensteanbieter“, das Sie auf dieser Seite herunterladen können.

Bevor Sie Ihren Dienst anbieten, beantragen Sie eine Berechtigung bei der Vergabestelle für Berechtigungszertifikate (VfB) des Bundesverwaltungsamtes.

Im Folgenden lesen Sie, wie Sie selbst die einzelnen Schritte zum Identifizierungsdiensteanbieter absolvieren können. Sie haben aber auch die Möglichkeit, sich beim gesamten Prozess zur Nutzung der Online-Ausweisfunktion von eID-Service-Anbietern unterstützen zu lassen. Die Anbieter helfen Ihnen bei der Beschaffung der Zertifikate und stellen bei Bedarf die vollständige Infrastruktur zur Verfügung.

Die Umsetzungsschritte

1. Dienst konzipieren

Dabei legen Sie unter anderem fest, welche Datenfelder aus dem Personalausweis oder dem elektronischen Aufenthaltstitel Sie auf Basis der Anforderungen Ihrer Auftraggeber für den elektronischen Identitätsnachweis benötigen, zum Beispiel Vornamen, Familiennamen und Geburtsdatum. Die Liste der auf dem Chip gespeicherten Daten finden Sie in § 18 Abs. 3 PAuswG.

2. Eigenen eID-Server einrichten oder eID-Service-Provider auswählen

Sie können entweder einen eigenen eID-Server betreiben oder einen Dienstleister als eID-Service-Provider auswählen. Diese Entscheidung ist für die notwendige Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik (siehe unter 4.) relevant.

3. Anbindung des Dienstes zum eID-Server implementieren

Für die Kommunikation zwischen Ihrem Dienst und dem eID-Server kann die eID-Schnittstelle oder die SAML-Anbindung genutzt werden. Dies hängt vom jeweiligen eID-Server ab. Diensteanbieter sollten sich bei ihrem eID-Service-Provider informieren, wie die eID-Anbindung technisch erfolgt und welche Software-Unterstützung für welche Plattformen bereitgestellt wird.

4. Zertifizierung absolvieren

Als Identifizierungsdiensteanbieter müssen Sie die Einhaltung der Vorgaben aus § 29 Abs. 2 Personalausweisverordnung (PAuswV) durch ein Zertifikat des Bundesamtes für Informationssicherheit (BSI) nachweisen. Konkret bedeutet das, dass Sie eine Zertifizierung gemäß der Technischen Richtlinie TR-03128-2 des BSI durchlaufen müssen. Im Zuge dieser Zertifizierung wird von einer neutralen Stelle eine Konformitätsprüfung auf Grundlage der in der TR-03128-2 definierten Anforderungen durchgeführt. Diese Konformitätsprüfungen können von „Zertifizierten ISO 27001-Auditoren für Audits auf der Basis von IT-Grundschutz (Auditteamleiter)“ durchgeführt werden.

Da die Zertifizierung nach TR-03128-2 unter anderem den selbst betriebenen oder beauftragten eID-Server umfasst, sollten Sie dies in letzterem Fall frühzeitig mit Ihrem eID-Service-Anbieter abstimmen.

Wichtig zu wissen

Sie müssen die Zertifizierung beim BSI vor Abgabe Ihres Antrages bei der Vergabestelle für Berechtigungszertifikate (VfB) abgeschlossen haben.

5. Berechtigung beantragen

Nach erfolgreichem Abschluss der Zertifizierung nach TR-03128-2 können Sie den Antrag auf Erteilung eines Berechtigungszertifikates bei der Vergabestelle für Berechtigungszertifikate (VfB) stellen.
Nach §§ 21b, 21 Abs. 2 PAuswG erteilt Ihnen die Vergabestelle für Berechtigungszertifikate die Berechtigung, wenn Sie:

  1. der Vergabestelle die Identität des Identifizierungsdiensteanbieters mitteilen und nachweisen,
  2. das dem Antrag zu Grunde liegende Interesse an einer organisationsbezogenen Nutzung der Online-Ausweisfunktion kurz darlegen,
  3. den Zertifizierungsprozess nach TR-03128-2 erfolgreich durchlaufen haben (s. o.) und ein entsprechendes Zertifikat vorlegen,
  4. die Einhaltung des betrieblichen Datenschutzes versichern und
  5. der Vergabestelle keine Anhaltspunkte für eine missbräuchliche Verwendung der Daten vorliegen.

Den Antrag können Sie schriftlich einreichen. Die Formulare der VfB finden Sie im Downloadbereich auf dieser Seite.

Sobald die Vergabestelle für Berechtigungszertifikate Ihnen das Zertifikat erteilt hat, wird diese Information auf der Liste aller erteilten gültigen Berechtigungen veröffentlicht.

6. Anbieter für das technische Berechtigungszertifikat auswählen und einbinden

Nach der positiven Rückmeldung der Vergabestelle für Berechtigungszertifikate wählen Sie einen Berechtigungszertifikate-Anbieter (BerCA, "Zertifikateanbieter") für die Bereitstellung des technischen Berechtigungszertifikats und schließen Sie dort einen Vertrag ab.

Ihr eID-Server bzw. eID-Service-Provider muss die Anbindung an den ausgewählten Berechtigungszertifikate-Anbieter unterstützen, da die neuen Berechtigungszertifikate und Sperrlisten regelmäßig online bereitgestellt werden.

7. Dienst betreiben

Es muss sichergestellt sein, dass sich die Authentisierung durch die eID-Funktion mit der AusweisApp durchführen lässt. Mehr über den Vorgang der gegenseitigen Authentisierung zwischen Diensteanbieter und Nutzerinnen bzw. Nutzern erfahren Sie unter "Technischer Ablauf der Online-Ausweisfunktion".

Weiterführende Informationen zu technischen Anbindungen finden Sie hier.

Formulare zum Download

Haben Sie weitere Fragen?

Bei weiteren Fragen wenden Sie sich bitte an die Vergabestelle für Berechtigungszertifikate.

Bundesverwaltungsamt
Vergabestelle für Berechtigungszertifikate

Häufig nachgefragt