(via OCR)
Das Projekt eines „Ökosystems Digitaler Identitäten“ sieht vor, dass Bürgerinnen und Bürger unterschiedliche Nachweise in hoheitlichen und in privatwirtschaftlichen Anwendungsfällen mit den Anbietern dieser Anwendungsfälle aus einer „Wallet App“ auf ihrem Endgerät selbstbestimmt teilen können. Im Rahmen des ersten Pilotanwendunggsfalls, des digitalen Hotel-Check-Ins, wurde ein unabhängiger umfassender Sicherheitstest (sog. Penetrationstest bzw. pentest) durch die Firma SSE durchgeführt. Die Zusammenfassung hierzu ist in der von Ihnen genannten IFG Anfrage (
https://fragdenstaat.de/dokumente/141933-bmi_idwallet/) veröffentlicht worden. Dabei wurden vier mögliche Schwachstellen identifiziert, die jeweils nicht als kritisch zu bewerten waren. Eine dieser Schwachstellen, die mit der Risikobewertung „mittel“ am höchsten bewertet war, betraf das auch durch einige Expertinnen und Experten in der öffentlichen Diskussion angeführte Risiko eines Abfangens der Nutzerdaten. Dieses Risiko wurde bereits im Vorfeld der Pilotierung des digitalen Hotel-Check-Ins in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) durch geeignete organisatorische Maßnahmen auf ein Maß reduziert, das die Zustimmung von BMI und BSI fand. Weitere im genannten Sicherheitstest identifizierte Schwachstellen waren etwa die Nutzung von Klartextkommunikation (Risikoeinschätzung „niedrig‘) sowie bekannte Angriffe gegen QR-Codes (Risikoeinschätzung „Info“) hingewiesen. Aufgrund der geringen Risikoeinschätzung hinsichtlich der Schwachstellen gab es hierzu vom BSI keine Auflage für umzusetzende Maßnahmen.
Die ID Wallet App wurde nicht erst zum Start des Digitalen Führerscheinnachweises am 23. September 2021, sondern bereits am 5. Mai 2021 durch die Digital Enabling GmbH in den App Stores von Google und Apple verfügbar gemacht (veröffentlicht). Für diese Veröffentlichung erfolgte keine ausdrückliche oder förmliche vorherige Freigabe durch das Bundeskanzleramt.
Eine „Abnahme“ oder „Freigabe“ durch das BSI vor der Veröffentlichung der IDWallet-App gab es mangels gesetzlicher Zuständigkeit des BSI ebenfalls nicht.
Anders war dies beim Anwendungsfall „digitaler Hotel Check-In“. Dort war es gemäß $ 29 Absatz 5 Satz 2 Nummer 3 des Bundesmeldegesetzes erforderlich, dass das BSI bei einer vorherigen Prüfung des Verfahrens gegenüber dem Bundesministerium des Innern, für Bau und Heimat (BMI) ein vergleichbares Sicherheitsniveau zu den anderen in der Norm genannten Verfahren festzustellen hatte. In diesem Zusammenhang ist die von Ihnen in Bezug genommen Bewertung des BSI gegenüber dem BMI vom 11. Mai 2021 entstanden, die mittlerweile öffentlich zugänglich ist. Dieser Bewertungsbericht war im Bundeskanzleramt allerdings weder zum Zeitpunkt des Go live des Hotel-Check-Ins bekannt noch beim Go live des digitalen Führerscheinnachweises. Für die ID-Wallet App liegt eine solche gesetzlich geregelte Zuständigkeit des BSI nicht vor.
Im Übrigen wird Ihr Antrag auf die Herausgabe des Schriftverkehrs (E-Mails, Brief, Faxe etc.) zur Abnahme, Freigabe und Veröffentlichung der App sowie auf die Herausgabe der für die jeweiligen Prüfungen eingereichten Unterlagen und Prüfberichte abgelehnt. Gemäß $ 1 Absatz 1 Satz 1 IFG besteht ein Anspruch auf Informationszugang nur, soweit die verlangten amtlichen Informationen bei der in Anspruch genommenen Bundesbehörde auch vorliegen. Wie unter I. beauskunftet, liegen die von Ihnen angeforderten Unterlagen im Bundeskanzleramt nicht vor.