Konferenz Digitale Identitäten 2020 - ESMT Berlin
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Konferenz Digitale Identitäten 2020
Martin Schallbruch, Tanja Strüve und Isabel Skierka
April 2020
Am 4. März 2020 war das Digital Society Institute der schaft der Frage nachzugehen, wie eine sektorübergrei-
ESMT Gastgeber der Konferenz Digitale Identitäten fende Strategie für digitale Identitäten aussehen kann.
2020, die unter der Schirmherrschaft des Bundesminis- Im Plenum und in vier sektoralen Workshops – in den
teriums des Innern, für Bau und Heimat sowie des Bun- Bereichen Bildung, Gesundheit, Mobilität und öffentli-
desministeriums für Wirtschaft und Energie als Teil des cher Verwaltung – diskutierten die Teilnehmerinnen
Verimi-Begleitforschungsprojekts an der ESMT ausge- und Teilnehmer über Anforderungen an digitale Identi-
richtet wurde. Ziel der Konferenz war es, gemeinsam täten, innersektorale Strategien zur Flächendeckung in-
mit Stakeholdern aus Politik, Wissenschaft und Wirt- nerhalb des Sektors sowie über eine Strategie für eine
sektorübergreifende digitale Identität.
1. Digitale Identitäten -Status Quo
den Mittelpunkt der Diskussion, die auch im Kontext di-
Rolle von Staat und Wirtschaft gitaler Identitäten eine zentrale Rolle spiele. Digitale
Souveränität Europas erfordere die Reduzierung vor-
Digitale Identitäten sind der Schlüssel zur digitalen handener und die Vermeidung zukünftiger Abhängigkei-
Welt, sei es im Gesundheitswesen, in der Bildung, der ten. Digitale Souveränität umfasse nach Batt die Dimen-
öffentlichen Verwaltung oder der neuen Mobilität. Ver- sionen Politik, Technik, Wirtschaftlichkeit, Recht und
lässliche digitale Identitäten sind zentraler Bestandteil Sicherheit und betreffe Verwaltung, Wirtschaft und
jedes Digitalisierungsprojektes, sei es in der Industrie Bürgerinnen und Bürger gleichermaßen. Ein Beitrag zur
4.0, der Mobilität der Zukunft oder der erfolgreichen digitalen Souveränität im Bereich der digitalen Identi-
Digitalisierung der öffentlichen Verwaltung. Mit Initia- täten leiste im Übrigen die Online-Ausweisfunktion des
tiven aus Politik und Wirtschaft sowie rechtlichen Re- Personalausweises, die als erste ID-Funktion nach
gelungen wie der eIDAS-Verordnung werden interope- eIDAS-VO notifiziert wurde und durch die Nutzbarkeit
rable und vertrauenswürdige Lösungen aus Europa auf Smartphones vieler Hersteller derzeit eine größere
angestrebt. Damit soll auch eine Marktbeherrschung praktische Relevanz erfahre.
durch digitale Identitätsdienste globaler Plattforman-
bieter verhindert werden. Doch sektorübergreifende Die Bundesregierung hat in jüngster Zeit zudem staatli-
Angebote mit großer Reichweite wurden in Deutsch- che Projekte initiiert, welche digitale Identitäten für
land, anders als in anderen europäischen Ländern, noch breite Anwendungskontexte etablieren sollen. Der In-
nicht erreicht. novationswettbewerb „Schaufenster Sichere Digitale
Identitäten“1 des Bundesministeriums für Wirtschaft
Peter Batt, Leiter der Abteilung Digitale Gesellschaft, und Energie, den der Leiter der dortigen Abteilung Di-
Verwaltungsdigitalisierung und Informationstechnik im gital- und Innovationspolitik, Stefan Schnorr, vor-
Bundesministerium des Innern, für Bau und Heimat, stellte. Der Wettbewerb habe das Ziel, die digitale Sou-
stellte den Aspekt der digitalen Souveränität Europas in veränität zu stärken und eID Lösungen, die eine hohe
1 https://www.digitale-technolo- nFile&v=3
(abgerufen am 11.03.2020)
gien.de/DT/Redaktion/DE/Downloads/innovationswettbewer
b-schaufenster-sichere-digitale-identitaeten-foerder-
aufruf.pdf;jsessio-
nid=A379334DDA971818FC4CE1444577D33B?__blob=publicatio
Seite 1 von 6DSI Industrial & Policy Recommendations (IPR) Series
Konferenz Digitale Identitäten
Nutzerfreundlichkeit und Vertrauenswürdigkeit aufwei- 65 Millionen Transaktionen mit NemID durchgeführt.
sen und zugleich wirtschaftlich sind, der Verwaltung, Gründe für die breite Durchdringung der Online Authen-
der Wirtschaft und Nutzerinnen und Nutzern einfach zu- tifizierung mittels NemID seien unter anderem die ent-
gänglich zu machen. schlossene Zusammenarbeit zwischen dem Staat und
der Wirtschaft sowie der Umstand, dass eine Vielzahl
Ein weiteres Projekt im Kontext digitaler Identitäten ist von Verwaltungsleistungen obligatorisch nur Online
das vom Bundesministerium für Wirtschaft geförderten nutzbar sind. Durch die Verknüpfung von NemID mit der
Projekt OPTIMOS der Bundesdruckerei2 mit dem Ziel, dänischen CPR-Nummer, einer nationalen Identifikati-
eine Infrastruktur für mobile Dienste in einem offenen onsnummer, die im dänischen Zivilstandsregister ge-
Ökosystem für unterschiedliche Sektoren bereitzustel- speichert ist, sei eine verlässliche Authentifizierung für
len. Das Projekt soll es Service-Anbietern ermöglichen, einen breiten Anwendungskontext sichergestellt. Die
über eine Schnittstelle an die sogenannte „Trusted Ser- dänische Digitalisierungsbehörde verarbeitet personen-
vice Management“-Plattform (TSM) anzudocken, mit bezogene Daten, einschließlich der CPR-Nummer bei
Hilfe derer dann das Ablegen der Daten im jeweiligen Login-Vorgängen mit NemID, um die Identität zu bestä-
Hardware-Sicherheitselement auf dem Smartphone der tigen.5 Das Sicherheitsniveau von NemID sei seit ihrem
Kunden erfolgt. Neben der Vorstellung des Projektes Launch 2010 auf 2FA-Sicherheit angestiegen mit One
OPTIMOS hob Patrick von Braunmühl von der Bundes- Time Password per mobiler App nutzbar, was ungefähr
druckerei die Bedeutung der Biometrie als Schlüssel zur dem eIDAS Niveau substanziell entspreche.
digitalen Identität hervor und machte in diesem Kon-
text auf die damit einhergehenden Herausforderungen Ein weiteres auf der Konferenz präsentiertes Beispiel
wie die Möglichkeit des Diebstahls biometrischer Merk- ist die SwissID in der Schweiz, welche die Swiss Sign
male sowie Deep Fakes aufmerksam. Group, ein Konsortium bestehend aus Schweizer Ban-
ken und Versicherungen, bereitstellt. Markus Naef be-
Artur Burgardt von CORE SE zeigte im Rahmen seines richtete, dass der Login mit der Swiss ID zum jetzigen
Vortrags die Dimension der Anwendungskontexte digi- Zeitpunkt bei einigen Behörden, Medien und der IT-
taler Identitäten auf: die Use Cases von digitalen Iden- und Finanzindustrie möglich sei. Swiss ID weise Nutzer-
titäten erstreckten sich von der Identifizierung von Per- zahlen von >1’300'0006 auf. Die Funktionalitäten der
sonen ebenso wie von Unternehmen, welche sich digitalen Identität würden durch die SwissID modular
untereinander und gegenüber Behörden oder Nutzer bereitgestellt, um die spezifischen Kundenbedürfnisse
identifizieren müssen, sowie Maschinen im Internet der abdecken zu können. Abgebildet werde dieses auf
Dinge. technischer Ebene durch abgestufte Authentifizie-
rungsmöglichkeiten. Um verlässliche digitale Identitä-
Perspektiven aus Europa ten bereitstellen zu können, solle im zukünftigen eID-
NemID ist seit 2010 die einheitliche digitale Identität in Ökosystem die Identitätsdatenbereitstellung durch das
Dänemark, welche Peter Fjelbye vom Betreiber Nets Schweizer Register des Bundes erfolgen. Als entschei-
DanID A/S auf der Konferenz präsentierte. Mittlerweile denden Erfolgsfaktor setze die Swiss Sign Group auf die
nutzen laut Fjelbye bereits 99 % der dänischen Bevölke- Zusammenarbeit zwischen Staat und Wirtschaft in
rung die Login-Lösung von NemID. Eine NemID können Form einer Public Private Partnership ebenso wie auf
Dänische Bürgerinnen und Bürger ab 15 Jahren, die eine geeignete rechtliche Grundlagen. Das Bundesgesetz
nationale Identifikations (CPR)-Nummer haben, erhal- über elektronische Identifizierungsdienste (BGEID),
ten und sich damit gegenüber Onlineverwaltungsleis- welches am 27. September 2019 durch Nationalrat und
tungen wie beispielsweise den Antrag auf Mutter- Ständerat angenommen wurde, soll Rahmenbedingun-
schaftsgeld, die Beantragung der staatlichen Rente gen für die Anerkennung von elektronischen Identifi-
oder die Anmeldung der Kinder an einer neuen Schule zierungsmitteln und von deren Anbietern schaffen. Das
über das staatliche Portal borger.dk3 mittels Logins Gesetz sieht «elektronische Identifizierungsmittel»
durch NemID authentifizieren. Den Zugriff auf die eige- vor, die «staatlich anerkannt» sind, aber nicht vom
nen Gesundheitsdaten erhalten Däninnen und Dänen Staat herausgegeben werden –wie der Schweizer Pass
über das staatliche Gesundheitsprotal sundhed.dk4 via und Schweizer Identitätskarte (Art. 6 BGEID). Über das
Login mit NemID. Darüber hinaus ist der Login mit Inkrafttreten des Gesetzes werde voraussichtlich
NemID nutzbar für Online Banking aber auch für Online- durch eine Volksabstimmung entschieden.
spiele. Pro Monat werden laut Angaben von Nets DanID
2 https://www.bundesdruckerei.de/de/Unternehmen/Inno- 3 https://www.borger.dk/
vation/Optimos 4 https://www.sundhed.dk/
(abgerufen am 11.03.2020) 5 https://nemlog-in.dk/login.aspx/noeglekort
6 https://www.swissid.ch/en/geschaeftskunden.html
Seite 2 von 7DSI Industrial & Policy Recommendations (IPR) Series
Konferenz Digitale Identitäten
Darüber hinaus existiert eine Vielzahl von anderen Lö-
sungen in Europa, welche sektorübergreifende digitale
Identitäten auf nationaler, europäischer und internati-
onaler Ebene anbieten.
2. Berichte aus den Workshops
Ein auf einer Lern-ID basierendes System, welches diese
Workshop Digitale Identitäten im Problematik adressiert, könnte einen beachtlichen Bei-
Bildungswesen trag dazu leisten, dass sich E-Learning an deutschen
Den Impuls im Rahmen des sektoralen Workshops steu- Schulen durchsetzen kann.
erte Dr. Anja Hagen (education 360°) bei und die Mo-
deration übernahm Beth M. Havinga (Bündnis für Bil- Eine Strategie für eine Flächendeckung innerhalb des
dung). Sektors existiert bislang nicht, so dass die Teilnehmer
darüber übereinkamen, dass der Diskurs mit Entschei-
Digitale Identitäten sind im schulischen Kontext Voraus- dungsträgern der Politik zwingend erforderlich sei. Hin-
setzung für unterschiedliche Plattform-Funktionalitä- sichtlich einer sektorübergreifenden Strategie wurde
ten, etwa die digitale Ablage, die Nutzung digitaler konstatiert, dass eine sektorübergreifende ID zuvör-
Lehrangebote (Berechtigungs- und Lizenzverwaltung), derst eine Frage des Willens der beteiligten Stakeholder
die Kooperation und Kommunikation innerhalb der sei. Hinsichtlich einer sektorübergreifenden digitalen
Schule ebenso wie die Schulverwaltung. Die Teilnehmer Identität sei auch in europäischen Dimensionen zu den-
des Workshops waren sich einig, dass eine übergreifen- ken und es wurde darauf aufmerksam gemacht, dass ein
den digitale Lern-ID im Bildungssektor erforderlich ist. Blick auf andere Länder hier hilfreich wäre.
Als Anforderungen an digitale Identitäten wurden im
Rahmen des Workshops unter anderem ein zentraler Workshop Digitale Identitäten im
Verwaltungsdienst, entsprechende Zertifizierungen und Gesundheitssektor
die Sicherstellung von Interoperabilität identifiziert. Impulsgeber des Workshops Digitale Identitäten im Ge-
Durch die Implementierung offener, interoperabler sundheitssektor war Prof. Dr. Georgios Raptis (OHT
Schnittstellen, könnte sich ein Identitäten- Manage- Regensburg). Moderiert wurde der Workshop von
ment für alle Akteure des Bildungssektors leichter um- Tanja Strüve (DSI, ESMT).
gesetzt werden. Eine Lern-ID sollte dabei nicht bei der
schulischen Anwendung aufhören, sondern im Zuge des Digitale Identitäten spielen eine wesentliche Rolle in
lebenslangen Lernens den gesamten Bildungsweg eines der digitalen Gesundheitsversorgung. Zu den Kernanfor-
Menschen beinhalten. derungen an digitale Identitäten im Gesundheitswesen
zählt aufgrund der Sensibilität von Gesundheitsdaten
Eine wesentliche Rolle im Bereich digitaler Identitäten ein dem Schutzbedürfnis angemessenes Sicherheitsni-
im Bildungssektor spielt der Datenschutz. Bei der Nut- veau. Die DSGVO ordnet Gesundheitsdaten der beson-
zung von Online-Lernplattformen zur Aufgabenbearbei- deren Kategorie personenbezogener Daten aufgrund ih-
tung, für Lernkontrollen, oder für Gruppenarbeiten fal- rer besonderen Grundrechtsrelevanz zu und erklärt sie
len personenbezogene Daten an, welche dem damit für besonders schützenswert. Um den daten-
Anwendungsbereich der Datenschutzgrundverordnung schutzrechtlichen Anforderungen zu entsprechen, muss
unterfallen. Eine rechtmäßige Verarbeitung personen- die Datensicherheit in einem ausreichenden Maße ge-
bezogener Daten bedarf einer der in Art. 6 DSGVO nor- wahrt werden, insbesondere die verarbeitenden Sys-
mierten Erlaubnistatbestände. Weitergabe von Daten teme entsprechend robust gegen Angriffe geschützt
zwischen Institutionen sollte nur selektiv und nur nach sein. Dementsprechend muss derjenige, der Gesund-
Einwilligung des Lernenden geschehen. Im Bildungskon- heitsdaten verarbeitet, besonders hohe technisch-orga-
text sind darüber hinaus die besonderen Anforderungen nisatorische Maßnahmen ergreifen, um den Zugriff un-
an Einwilligungen eines Kindes gemäß Art. 8 DSGVO zu berechtigter auf diese Daten auszuschließen. Um
beachten. Danach kann das Kind die Einwilligung selbst diesen hohen Datenschutzanforderungen zu entspre-
erteilen, sofern es das 16. Lebensjahr vollendet hat, chen, sollten starke Authentifizierungsmechanismen
andernfalls bedarf es der Einwilligung durch den Träger implementiert werden. Die Sicherheit der Identifizie-
der elterlichen Sorge. Diese Zustimmungen zu verwal- rungs- und Authentifizierungslösungen im Gesundheits-
ten wurde momentan als eines der großen Hindernisse wesen ist eine Grundvoraussetzung für den Daten-
in der Digitalisierung des Schulunterrichts betrachtet. schutz. Es bestand Einigkeit unter den Teilnehmern,
Seite 3 von 7DSI Industrial & Policy Recommendations (IPR) Series
Konferenz Digitale Identitäten
dass neben Datenschutz und Datensicherheit auch eine Ein Vorschlag zur Umsetzung einer sektorübergreifen-
intuitive Nutzbarkeit der Anwendungen gewährleistet den Strategie war demnach eine user-zentrierte Lö-
werden muss. Denn digitale Anwendungen im Gesund- sung, in der die Identitäten für unterschiedliche Sekto-
heitswesen werden sich nur dann durchsetzen, wenn ren nur durch den Benutzer selbst verwaltet werden
die angebotenen Lösungen auch im Alltag der Menschen können, beispielsweise in einem digitalen wallet. Denk-
praktikabel und einfach nutzbar sind. Dementspre- bar sind auch vertrauenswürdige Anbieter, die das für
chend muss die Digitalisierung des Gesundheitswesens den Nutzer übernehmen.
insbesondere aus Nutzerperspektive gedacht werden.
Im Rahmen des Workshops wurde des Weiteren darüber Workshop Digitale Identitäten in der
gesprochen, welches eIDAS-Sicherheitsniveau im Kon- öffentlichen Verwaltung/OZG Umsetzung
text digitaler Identitäten im Gesundheitswesen Anwen- Den Impulsvortrag des Workshops hielt Dr. Markus
dung finde. Den hohen Datenschutzanforderungen, ins- Richter (Bundesamt für Migration und Flüchtlinge,
besondere denen des Sozialdatenschutzes der §§ 291 ff BAMF); die Moderation übernahm Isabel Skierka (DSI,
SGB entsprechend, wird für die Identifizierungen und ESMT).
Authentifizierungen für den Zugriff bspw. auf die elekt-
ronische Patientenakte (ePA) das eIDAS-Sicherheitsni- Die Digitalisierung der öffentlichen Verwaltung (öV) ist
veau hoch zu Grunde gelegt. Diese Sicherheitsniveau eine obere Priorität der digitalpolitischen Strategie der
ließe sich derzeit insbesondere mit der Online-Ausweis- Bundesregierung. Dienstleistungen in der öV sollen mit
funktion des Personalausweises realisieren. dem 2017 verabschiedeten Gesetz zur Verbesserung des
Onlinezugangs zu Verwaltungsleistungen (OZG) bis 2022
Einigkeit bestand unter den Teilnehmern, dass Authen- alle online über den Portalverbund zugänglich sein. Der
tifizierungen im Gesundheitswesen für die Nutzer im Portalverbund soll dazu dienen, die Verwaltungsportale
Alltag nicht durch zu hohe Barrieren erschwert werden von Bund und Ländern zu verknüpfen, so dass Bürger
dürfen. Wenn die Nutzungshürden zu hoch sind, finden und Unternehmen die Online-Leistungen über das für
die digitalen Anwendungen im Gesundheitswesen keine sie angelegte Nutzerkonto abwickeln können. Einheitli-
Verbreiterung. Lösungen auf dem eIDAS-Sicherheitsni- che digitale Identifizierungs- und Authentifizierungslö-
veau substantiell sind derzeit gut abbildbar, aber auch sungen sind Voraussetzung für die erfolgreiche Umset-
in diesem Kontext stellte sich die zentrale Frage wie zung dieser Strategie. Im Hinblick auf das im
man die verschiedenen Verfahren in der Breite in den Portalverbund erforderliche Identitätsmanagement
Markt bekommt, so dass die Verfahren auch nach Bedarf wird sich die jeweils angemessene Identifizierung nach
genutzt werden können. dem erforderlichen Vertrauensniveau der begehrten
Verwaltungsleistung richten. Eine Identifizierungs-Lö-
Als Strategie zur Flächendeckung innerhalb des Sektors sung im Portalverbund muss die aus der eIDAS-Verord-
wurde ein übergreifendes Identitätsmanagement mit- nung folgende Verpflichtung der EU-Mitgliedsstaaten
tels ID-Providern, welche entsprechende Anforderun- berücksichtigen, die eIDAS-Sicherheitsniveaus zu be-
gen an IT-Sicherheit und Datenschutz erfüllen und den rücksichtigen und eIDAS-notifizierte Identitätsmanage-
Zugang für alle Anwendungen (Portale, Apps und sons- mentsysteme zuzulassen. Private Anbieter eines digita-
tige Services) ermöglichen, vorgeschlagen. len Identitätsmanagementssystems müssen im Hinblick
darauf eine eIDAS-Notifizierung herbeiführen.
Hinsichtlich einer sektorübergreifenden digitalen Iden-
tität bestand Uneinigkeit zwischen den Teilnehmern. Unter den Workshop-Teilnehmern bestand Einigkeit
Eine sektorübergreifende Nutzung der eGK als Identifi- darüber, dass die gegenwärtige Strategie der Regierung
zierungs- und Authentifizierungsmittel ist aufgrund der für flächendeckende digitale Identitäten zu kurz greift.
Zweckbindung an das Gesundheitssystem nicht zulässig Digitale Identitäten in der öV müssen angemessen si-
und darüber hinaus stoße die Vereinheitlichung auf den cher, einfach nutzbar und interoperabel bzw. in vielen
Widerstand der Datenschützer. In diesem Kontext Anwendungsbereichen über die öV hinaus einsetzbar
wurde die Frage aufgeworfen, ob eine Verknüpfung der sein. Wie einige Teilnehmer bemerkten, werden in an-
elektronischen Gesundheitskarte (eGK) mit anderen deren europäischen Ländern digitale Identitäten dann
Identitäten wie dem Personalausweis zur Vereinfachung flächendeckend genutzt, wenn eine nationale Identität
möglich sei. Eine Herausforderung in diesem Zusam- für das ganze Land gilt, die Interoperabilität in Richtung
menhang stelle der Umstand dar, dass die eGK an die Privatwirtschaft (zum Beispiel Banken) gewährleistet
Krankenversicherungsnummer geknüpft ist, die als le- wird und die Nutzerperspektive bei der Gestaltung der
benslange personenbezogene Identität dient. Zur Nut- Identitäten und Anwendungen im Zentrum steht. In
zung dieser müsste ein Matching über Eckdaten statt- Deutschland standen jedoch bisher vor allem die Sicher-
finden, die auf beiden Seiten gehalten werden und heitsanforderungen an digitale Identitäten in der öV im
hinreichend zur Identitätsbestimmung sind. Vordergrund. Die Nutzbarkeit (Usability) und der Nutz-
Seite 4 von 7DSI Industrial & Policy Recommendations (IPR) Series
Konferenz Digitale Identitäten
wert digitaler Identitäten wurden laut Teilnehmern da- Der Staat muss daher entschlossen vorangehen und ge-
gegen zu sehr vernachlässigt. Um eine Flächendeckung meinsame Standards und Anwendungskriterien schaf-
zu erreichen und die Akzeptanz digitaler Identitäten zu fen. Eine Öffnung und Interoperabilität von digitalen
steigern, müssen diese Prioritäten sein und die Bedürf- Identitäten in Richtung Privatwirtschaft, welche ein
nisse der Nutzer im Zentrum stehen. Nutzer können In- sehr viel breiteres Anwendungsgebiet zur Verfügung
dividuen, aber auch Unternehmen und Maschinen sein. stellt als die öV, sei zudem unabdingbar. Eine Strategie
Der Personalausweis reicht in diesem Kontext als Iden- für flächendeckende, sektorübergreifende digitale
tifizierungsmittel nach Meinung der Teilnehmer nicht Identitäten kann in Deutschland nach Ansicht der Teil-
aus. Identifizierungsmittel müssen mobil zugänglich, nehmer daher nur innerhalb einer öffentlich-privaten
durch biometrische Methoden nutzbar sein und eine Partnerschaft (ÖPP) erreicht werden. Durch die Form
Reihe von unterschiedlichen Identitätsattributen abbil- einer ÖPP können privatwirtschaftliche Anwendungen
den können. mit einbezogen werden, die für eine breite Akzeptanz,
Nutzbarkeit und Nutzwert, Verbreitung, unabdingbar
Für einheitliche und sichere Identitäten bietet die sind. Hier könne Deutschland dem Beispiel anderer Län-
eIDAS-VO und die darin enthaltenen Sicherheitsniveaus der in Europa wie den skandinavischen Ländern oder
bereits einen „Werkzeugkasten“. Jedoch werden diese den Niederlanden folgen. Das „Schaufenster digitale
bisher nicht ausreichend einheitlich umgesetzt und so- Identitäten“ des BMWi sei ein erster Schritt in diese
wohl innerhalb der öV als auch in unterschiedlichen Richtung. Jedoch bedürfe es noch an stärkerem politi-
Sektoren uneinheitliche Standards genutzt. schem Druck bzw. Willen, um eine gemeinsame Lösung
durchzusetzen. Das Beispiel des BAMF hat gezeigt, dass
Als ein Problem wurde die Fragmentierung von Kompe- funktionierende Lösungen innerhalb kürzester Zeit ge-
tenzen und Verantwortlichkeiten innerhalb des födera- funden werden können, wenn es nötig ist. Beim Staat
len Systems benannt. Formal löst die Änderung des sollte es innerhalb der ÖPP und allgemein eine klare
Art. 91c Grundgesetz, worauf auch das OZG aufsetzt, Rollentrennung zwischen Issuer (Ausgeber), Regulierer
einige dieser Konflikte. Der IT-Planungsrat kann dem- und Kontrollinstanz von digitalen Identitäten geben. Es
nach IT-Standards in der öV beschließen und Interope- darf dementsprechend keine Wettbewerbsverzerrung
rabilität fördern. In der Praxis werden solche Be- stattfinden. Auch das bisher uneinheitliche Registerwe-
schlüsse jedoch nicht immer einheitlich umgesetzt oder sen solle reformiert, sortiert und mit digitalen Identitä-
nehmen sehr viel Zeit für die Abstimmung und Imple- ten verknüpft werden.
mentierung in Anspruch. Zentrale Ansätze auf Bundes-
ebene sind wünschenswert. Einige Teilnehmer befür- Workshop Digitale Identitäten im
worteten jedoch zusätzlich einen dezentralen Ansatz, Mobilitätssektor
in dem einzelne Bundesländer als „first mover“ Best
Impulsgeber des Workshops Digitale Identitäten im Mo-
Practice Standards setzten und mit gutem Beispiel vo-
bilitätssektor war Jens Hantke (Digital:Lab Volkswa-
rangingen. gen). Moderiert wurde der Workshop von Martin Schall-
bruch (DSI, ESMT).
Die Fragmentierung entlang sektoraler Silos ist nach
Einschätzung vieler Teilnehmer ein mindestens ebenso Die Diskussion im Mobilitätssektor findet vor dem Hin-
großes Problem wie jenes, das der Föderalismus be- tergrund einer starken Veränderung des Mobilitätsver-
dingt. In unterschiedlichen Sektoren gelten oft unein- haltens stand. Neue Mobilitätsangebote (z.B. Sharing)
heitliche Anforderungen an digitale Identitäten. Die Si- und flexibleres Mobilitätsverhalten betreffen alle Mobi-
cherheitsniveaus der eIDAS-VO gelten beispielsweise litätsanbieter. Eine zentrale Anforderung an digitale
für digitale Identitäten in der öV, jedoch nicht für das Identitäten im Mobilitätssektor ist daher die übergrei-
Gesundheits- oder Mobilitätswesen. Dieser Mangel an fende Kundenperspektive. Die Nutzer möchten wäh-
Interoperabilität von Standards behindert die Durchset- rend ihrer Reise eine durchgängige Reisekette vorfin-
zung sektorübergreifender ID-Lösungen. Zudem liegt den, d.h. sowohl die Buchung der Bahnfahrt als auch
der Fokus in Deutschland viel zu sehr auf der Sicherheit das Carsharing und das Leihfahrrad müssen mit einer
der Lösungen. So wird Sicherheit oft binär als si- Identität online buchbar sein. Dazu müssen die vielen
cher/unsicher definiert. Ein risikobasierter Ansatz, wel- unterschiedlichen Akteure zusammenwirken, insbeson-
chen auch die eIDAS-VO vorgibt, ist jedoch realistischer dere auch private, im Wettbewerb stehende Akteure,
und umsetzbar. Das Sicherheitsniveau muss sich daher und öffentliche Akteure, die in Monopolbereichen Leis-
nach der tatsächlichen Sensibilität der Daten richten. tungen der Daseinsvorsorge erbringen. Das Zusammen-
wirken wird dadurch erschwert, dass die Mobilitätsan-
Digitale Identitäten sollten nach Ansicht der Teilneh- bieter wegen der starken Veränderung im Markt hohes
mer als wesentliche Infrastruktur begriffen werden, für Interesse am Erhalt der Kundenbindung und Sorge vor
die der Staat eine maßgebliche Verantwortung trägt.
Seite 5 von 7DSI Industrial & Policy Recommendations (IPR) Series
Konferenz Digitale Identitäten
einem Verlust der Kundenschnittstelle an andere Anbie- Sektorübergreifende digitale Identitäten haben für die
ter (z.B. Plattformunternehmen haben). Anbieter im Mobilitätssektor noch keine große Bedeu-
tung. Sektorübergreifende Lösung müssten zwingend
Eine Strategie für eine Flächendeckung digitaler Identi- auch global – oder zumindest europäisch – anschlussfä-
täten innerhalb des Verkehrssektors existiert insbeson- hig sein. eIDAS-Konformität spielt im Verkehrssektor
dere aus diesem Grund bislang nicht. Ein Vorschlag un- bislang keine Rolle.
ter den Teilnehmern war eine Art
„Mindestinteroperabilität“. Einvernehmen bestand,
dass die Rolle des Staates und der von ihm wesentlich
gestalteten Mobilitätsbereiche hierfür entscheidend
sein wird.
3. Ergebnisse der Konferenz und Empfehlungen des DSI
Ergebnisse 6. Eine entsprechende Lösungsarchitektur muss sich
1. Digitale Identitäten sind für die meisten digitalen stark an den Bedürfnissen der Nutzerinnen und
Geschäftsmodelle ebenso Voraussetzung wie für Nutzer ausrichten. Die Nutzer wollen intuitiv be-
die Digitalisierung der Daseinsvorsorge. nutzbare Lösungen für ein breites Anwendungs-
2. Mit der weitergehenden Vernetzung digitaler spektrum.
Dienste wird eine übergreifende Lösungsarchitek- 7. Sicherheit ist conditio-sine-qua-non, aber allein
tur für digitale Identitäten als zwingender Be- kein Grund zur Nutzung der Lösung. Sicherheitsan-
standteil der digitalen Souveränität Europas ange- forderungen dürfen nicht eine gute UX verhindern.
sehen. 8. Übergreifende Identifizierungslösungen auf natio-
3. Deutschland hat bislang – anders als andere euro- naler Ebene sind meist nicht von Beginn an profi-
päische Länder – keine sektorübergreifende, Staat tabel und benötigen für die Anfangsphase ausrei-
und Wirtschaft verbindende Lösungsarchitektur chendes Startkapital.
mit einem oder wenigen „Standardanbietern“
bzw. übergreifender Interoperabilität. Empfehlung 1
4. eIDAS-Konformität als im Wesentlichen nur recht- Staat und Wirtschaft sollten eine gemeinsame Lösungs-
liche Anforderungen an digitale Identitäten im öf- architektur für sektorübergreifende digitale Identitä-
fentlichen Bereich ist weder sektorübergreifend ten entwickeln und umsetzen.
relevant, noch löst sie derzeit das Interoperabili-
tätsproblem. Auch für Deutschland empfiehlt sich die Gründung ei-
5. Die Anforderungen der öffentlichen Verwaltung im ner Public Private Partnership für sektorübergreifende
Hinblick auf digitale Identitäten sind EIN Faktor, digitale Identitäten, wie sie bereits in einigen europäi-
dürfen aber die Lösungsarchitektur nicht allein be- schen Ländern besteht. Die PPP sollte eine Plattform
stimmen, weil andere Faktoren wie die Tauglich- darstellen (und ggf. auch technisch bereitstellen) für
keit für alltägliche Identifizierungsvorgänge und sektorübergreifende Standardisierung sowie Herstel-
die internationale Kompatibilität ebenso berück- lung von Interoperabilität und Übertragbarkeit. Einzu-
sichtigt werden müssen. schließen sind mindestens Identifizierung und Authen-
tifizierung. Private und öffentliche ID-Anbieter müssen
sich der PPP ebenso anschließen können wie Anwen-
dungsanbieter. Für eine solche sektorübergreifende di-
gitale Identität ist ein eigenes Brand zu entwickeln, das
Staat und Wirtschaft gemeinsam nutzen.
Seite 6 von 7DSI Industrial & Policy Recommendations (IPR) Series
Konferenz Digitale Identitäten
Empfehlung 2 Registermodernisierung - mit den Verwaltungsanwen-
Bund und Länder müssen diese Lösungsarchitektur wie dungen verknüpft wird.
in anderen europäischen Ländern durch aktive Maß-
nahmen unterstützen. Erforderlich ist zweitens eine Berücksichtigung der ge-
meinsamen Lösungsarchitektur bei der Ausgestaltung
Erforderlich ist erstens eine Verknüpfung einer sekto- der staatlichen Angebote ebenso wie der Rahmenbe-
rübergreifenden digitalen Identität mit einer staatli- dingungen der Daseinsvorsorge-Bereiche (Gesundheits-
chen Identität. Dies kann erfolgen, indem im Rahmen wesen, Bildung, Kultur, öffentliche Verwaltung, Mobi-
des geplanten registerübergreifenden Identitätsmana- lität etc.). Wo der Staat durch eigene Projekte oder
gements ein staatlich garantierter verlässlichem Uni- Regulierung eine vertrauenswürdige digitale Identität
que Identifier eingeführt, zur Bestätigung einer Identi- verlangt oder voraussetzt, sollte auf die gemeinsame
tät nutzbar gemacht und auch – im Rahmen der Lösungsarchitektur Bezug genommen und eine entspre-
chende digitale Identität eingesetzt werden.
© 2020 ESMT European School of Management and Technology GmbH
Seite 7 von 7Sie können auch lesen
