Projekt Digitale Identitäten
Folgetermin mit dem BfDI

BMI | Referat DV 2 „Identitätsmanagement; Pass- und Ausweiswesen‘
Berlin, den 14. September 2021, 11:00-12:00

Agenda

2

 

3

 

Thema Dauer

Top | Begrüßung 11:00 -
11:05

Top Datenschutz SSI-Wallet und Anwendungsfälle 11:05 -
11:30

Top _Sachstand durch BMI/BSI zu erstellende Dokumente 11:30 -
11:55
11:55 -

Top 4 Fragen und weiteres Vorgehen

12:00

TOP 2
Datenschutz SSI-Wallet
und Anwendungsfälle

Sprecher:

Datenschutz bei der SSI-Wallet und den Use

Cases

 

"= Zwischen Bund und Digital Enabling

GmbH als Herausgeber der wallet " Digital Enabling GmbH (Herausgeber der
besteht eine Lizenzvereinbarung. Wallet im Google Play Store und im Apple App
. Store)

= SSI-Okosystem und Wallet definieren
Übertragungsprotokolle und "= Fachlich für den jeweiligen Anwendungsfall
Datenformate. verantwortliche Stelle

= Deren Einsatz und damit auch die Art Einbindung Datenschutz
der Datenverarbeitung werden nicht oo
vorgegeben. "= BfDI wurde bereits in der Konzeptionsphase

beteiligt

=> Datenschutzrechtliche
Verantwortlichkeiten, Zuständigkeiten
behördliche Datenschutz-beauftragter, = Muss bei der Digital Enabling GmbH sowie bei
Rechtsgrundlagen sowie notwendige den einzelnen für die Anwendungsfälle

Dokumente sind abhängig von den fachlich verantwortlichen Stellen erfolgen.
konkreten Anwendungsfällen.

Datenschutzrechtliche Dokumentation

Ko]. 2e
Sachstand durch BMI/BSI
zu erstellende Dokumente I

Sprecher: BMI,

Überblick der zu erstellenden Dokuffiente
durch BMI/BSI

 

. Review Vorlage beim | Finalisieru

PIN-Rücksetzdienst / +» Datenschutzkonzepte 17.09.2021 01.10.2021 - (optional) 15.10.2021
PIN-Aktivierung (AVV, VVT,
Löschkonzept...) 01.10.2021] 08.10.2021

« Datenschutz-
Folgenabschätzung

Smart-elD ° Übergreifendes 15.10.2021 31.10.2021 - (optional) 31.12.2021
Datenschutzkonzept für
alle Auftragsteile: TSMS,
AAP2, elD-Applet
« Datenschutz- 30.11.2021 15.12.2021 20.12.2021
Folgenabschätzung (DSFA)
elD (Samsung S20 mit
Thales CSP)

* Termine orientieren sich an Planung Umsetzung PIN-Rücksetzdienst 15.10.2021 und Smart-elD für erste Gerätetypen im Dezember 2021;
Termine werden laufend geprüft und bei Bedarf angepasst

Sprecher: BMI u
und ME EEE

Antworten zu ToDos aus dem letzten

Ta vrına sa

Möglichkeit, mit Bestandteilen für PIN-
Rücksetzdienst einen ersten Teil für die DSFA zu
erstellen, wird geprüft

> Entwurf für die DSFA PIN-Rücksetzdienst wird
bis zum kommunizierten Termin erstellt;
gegebenenfalls erfolgt zu einem späteren
Zeitpunkt die Zusammenführung in einer
einzigen DSFA gemeinsam mit der Smart-elD

Datenschutzrechtliche Verantwortung für SSI -
Wallet klarstellen; Vorgehen für
datenschutzrechtliche Dokumentation für SSI-
Wallet aufzeigen

> erledigt s. TOP 2 heutige Sitzung

Finalisierung AVVs:

Prüfung für TSMS abschließen: Werden
personenbezogene Daten verarbeitet, bedarf es
also einer AVV?

> Abschließende Einschätzung erst möglich,
nachdem finales Datenschutzkonzept TSMS
vorliegt (noch ausstehend)

AVVs mit bdr zur Smart-elD und PIN-
Rücksetzdienst inkl. Aktivierungsdienst
finalisieren

> nur noch Prüfung der TOMs ausstehend (in
Bearbeitung), AVVs im Übrigen final

AVV BMI mit Governikus zur Smart-elD und zum
PIN-Rücksetzdienst inkl. Aktivierungsdienst:
Prüfung Rechtsperson „Bund“, Info von Frau
Weber aus dem letzten Termin: es bedarf einer
separaten AVV zwischen BMI und Governikus

> Ein AWV ist nicht erforderlich, da
personenbezogene Daten, sofern dies überhaupt

rar Esall ict ctatc ımlletännin vorcrhliiccalt

TOP 4
geteilte NT CIEHT
Vorgehen

 

Bild: Mykhaylo Palinchak /

Dokumentation im
Nachgang des Termins

Im Termin besprochen

TOP 2 - SSI-Wallet und Anwendungsfälle: " Mit Blick auf das angestrebte Wachstum des
Okosystems und der Anwendungsfälle empfiehlt
= Bei der Erstellung der Basis-ID regelt eine BfDI, für die Einhaltung gewisser Standards und
Datenschutzerklärung die Verwendung der Daten Spielregeln zu sorgen, damit die Nutzerrechte
zwischen der bdr und dem Nutzer. gewahrt bleiben.

" Der Staat stellt im Ökosystem die Technologie zur “ Interne Rückmeldung des BfDI: Die verwendete
Verfügung (Open Source). Es gibt keine generelle Technologie zu Speicherung Ist bisher noch
datenschutzrechtliche Verantwortung. Stattdessen nicht durch eine Aufsichtsbehörde geprüft.
ist diese je nach Anwendungsfall (unterschiedlich)
zwischen Empfänger und Issuer geregelt. = Auch wenn die Verantwortlichkeiten komplex

sind, ist der BfDI auf jeden Fall einzubeziehen

" Bspw. erfolgt die Regelung beim Hotel Check-in auf (Zuständigkeit mindestens in beratender

Grundlage des Bundesmeldegesetz. Funktion).

Dokumentation im
Nachgang des Termins

Im Termin besprochen

Zusammenspiel SSI-Wallet und Smart-elD: TOP 3 - Sachstand durch BMI/BSI zu erstellende

Dokumente:
"= Entscheidung des Lenkungsausschusses zur = Die Dokumente zum PIN-Rücksetzdienst /
Verbindung der Smart-elD mit der SSI-Wallet: Aktivierungsdienst befinden sich in der Fertigstellung.

> Lösungsoption 5: „Nutzung von Smart-elD und
Basis-ID in einer Wallet gemäß jeweiliger
Anforderungen“

> Offene Punkte: Kurzfristig rechtliche Stellung der
Basis-ID nicht geregelt

Das übergreifende Datenschutzkonzept für die Smart-
elD wird sich im ersten Schritt auf die Hardware-basierte
Lösung beschränken, da weitere Geräte erst in 2022
folgen.

= Hinweis BfDI: Auch wenn Daten nur verschlüsselt

= Die rechtliche Grundlage für die Smart-elD besteht verarbeitet werden, handelt es sich um
bereits, die Umsetzung erfolgt planmäßig zum personenbezogene Daten. Daher ist eine AVV zwischen
Dezember 2021 mit anschließender Abnahme der BMI und Governikus zwingend erforderlich.

Lösung durch das BSI.
= Eine AVV zwischen BSI und Governikus bezieht sich

aktuell nur auf im Kontext Support und Besuch AAP2
verarbeitete Daten.

Bitte an BfDI: Zusammenstellung der Argumentation,
warum AVV notwendig ist trotz des ausschließlich
verschlüsselten Datenverkehrs (s. nächste Schritte)