Von:                                                         m Auftrag von Referat 21 Postfach Gesendet:                                      Montag, 4. Oktober 2021 14:50 An:                                            Registratur Postfach ce                                              Abteiuns2 Posten Betreff:                                      PDI- Ergänzende Hinweise zur Unterscheidung Smart elD und BasisID zum Termin am 14.09.2021 1. Reg., bitte unter 21-206-6/015#0095 in VIS erfassen. 2. BE Mit freundlichen Grüßen i.V. @bmi.bund.de] i             @de.pwc.com; h        ;                    i   h      ;             @bmwi.bund.de; @bmwi.bund.de;                     ö    .de; FERN                                                                                  > BR etreft:    PDI- Erganzende Hinweise zur Unterscheidung Smart elD und BasisID zum Termin am 14.09.2021 DV2-17003/18#39 im Nachgang zu unserem Termin vom 14. September 2021 wollten wir Ihnen noch Informationen zu zwei Punkten zukommen lassen: 2.             Rechtlichen Unterschiede zwischen Basis-ID und Smart-elD: Der elektronischer Identitätsnachweis (elD) ist bekanntermaßen im Personalausweisgesetz geregelt. Durch das Gesetz zur Einführung eines elektronischen Identitätsnachweis mit einem mobilen Endgerät (Gesetz vom 05.07.2021 - BGBl. | S. 2281) wurde die elD um eine Variante erweitert, bei der die Übermittlung der Daten nicht aus der Personalausweiskarte, sondern aus einem sicheren Element eines mobilen Endgeräts erfolgt. Rechtlich sind beide Varianten grundsätzlich gleichgestellt. Bei der BasisID handelt es sich jedenfalls derzeit um ein privatwirtschaftliches Angebot der Bundesdruckerei (bdr). Die Daten für die BasisID werden zwar aus dem Personalausweis mittels Durchführung einer elD erhoben. Die im 1

Anschluss erfolgende Speicherung und Verarbeitung für die BasislD ist jedoch gesetzlich nicht erfasst. Aus diesem Grund sind die Daten ab diesem Zeitpunkt auch nicht mehr als „Daten des Personalausweises“ anzusehen, sondern eher mit einer beglaubigten Kopie vergleichbar. Sofern durch die BasisID die Identität einer Person nachgewiesen werden soll, stellt die BasisID somit ein von dem Personalausweis bzw. der elD unabhängiges, eigenständiges Identifizierungsmittel dar. 2)     Verwendung von Berechtigungszertifikaten bei der elD bzw. Identifizierung des Verifizierers bei der BasislD: Auch technologisch unterscheidet sich die BasisID von der elD. Bei der elD erfolgt der Nachweis unter Einbindung eines elD-Servers. Der Diensteanbieter muss über gültiges Berechtigungszertifikat verfügen, um den elD-Vorgang durchführen zu können. Für die Smart elD entstehen hier keine grundsätzlichen Unterschiede zum bisherigen elD- System. Die BasisID beruht dagegen auf dem SSI-Ansatz, bei dem die Identifizierung unmittelbar zwischen dem         Halter (Inhaber der BasisID) und Verifizierer (die Identität abfragende Stelle) erfolgt. Der Aussteller (bei der BasisID die bdr) ist nach dem Ausstellungsvorgang bei den folgenden Identifizierungsvorgängen technisch nicht mehr involviert. Um eine Verifikation des Verifizierers einzuleiten, muss der Halter eine Verbindung mit dem Verifizierer aufbauen, dies geschieht immer durch einen Link zum Verifizierer, den die Wallet aufruft, und von welchem ein sog. „Proof Request“ an die Wallet gesendet wird. Der Link kann der Nutzerfreundlichkeit halber auch in einem QR-Code oder einem Deep-Link (einem Link auf einer Website, der direkt in die App führt und dort die Aktion des Verbindungsaufbaus zum Verifizierer direkt triggert) aufgerufen werden. Dem Halter wird in der Wallet immer angezeigt, welchen Link er aufgerufen hat, mithin welcher Server den Proof Request stellt. Die Zuordnung des Links zum Verifizierer kann derzeit protokollimmanent noch nicht sichergestellt werden - allerdings ist aus Nutzerseite, ähnlich wie bei vergleichbaren Vorgehen im WWW, darauf zu achten, dass QR-Code oder Deep-Link auf einer zertifizierten Website aufgerufen werden („grünes Schloss in der Adressleiste des Browsers“). Bei einem Aufruf durch einen gedruckten OR-Code vor Ort muss der Verifizierer dafür Sorge tragen, dass der korrekte QR-Code ausgestellt ist. Im Falle eines Austausches des Codes wird aber auch eine falsche Adresse als Ursprung des Proof Requests in der ID Wallet dargestellt (vergleichbar mit der Adressleiste im Browser bei Phishing Websites). Mit freundlichen Grüßen Im Auftrag Referat DV 2 - Identitätsmanagement,      Pass- und Ausweisweisen Bundesministerium des Inneren, für Bau und Heimat Englische Straße 27-30 10587 Berlin Telefon: Mobil:

E- Mi:                                                        .0un<.Go> Internet: www.bmi.bund.de <http://www.bmi.bund.de>   (http://www.bmi.bund.de/) <http://www.bmi.bund.de/>, www.cio.bund.de <http://www.cio.bund.de>  (http://www.cio.bund.de/) <http://www.cio.bund.de/>