89826_2021_210915_PDI_FolgeterminBfD_September_Beschlsse
Dieses Dokument ist Teil der Anfrage „ID Wallet des Bundeskanzleramts, ein Projekt der Bundesregierung: Datenschutzrechtliche Aspekte“
Projekt Digitale Identitäten Folgetermin mit dem BfDI BMI | Referat DV 2 „Identitätsmanagement; Pass- und Ausweiswesen‘ Berlin, den 14. September 2021, 11:00-12:00
Agenda 2 3 Thema Dauer Top | Begrüßung 11:00 - 11:05 Top Datenschutz SSI-Wallet und Anwendungsfälle 11:05 - 11:30 Top _Sachstand durch BMI/BSI zu erstellende Dokumente 11:30 - 11:55 11:55 - Top 4 Fragen und weiteres Vorgehen 12:00
TOP 2 Datenschutz SSI-Wallet und Anwendungsfälle
Sprecher: Datenschutz bei der SSI-Wallet und den Use Cases "= Zwischen Bund und Digital Enabling GmbH als Herausgeber der wallet " Digital Enabling GmbH (Herausgeber der besteht eine Lizenzvereinbarung. Wallet im Google Play Store und im Apple App . Store) = SSI-Okosystem und Wallet definieren Übertragungsprotokolle und "= Fachlich für den jeweiligen Anwendungsfall Datenformate. verantwortliche Stelle = Deren Einsatz und damit auch die Art Einbindung Datenschutz der Datenverarbeitung werden nicht oo vorgegeben. "= BfDI wurde bereits in der Konzeptionsphase beteiligt => Datenschutzrechtliche Verantwortlichkeiten, Zuständigkeiten behördliche Datenschutz-beauftragter, = Muss bei der Digital Enabling GmbH sowie bei Rechtsgrundlagen sowie notwendige den einzelnen für die Anwendungsfälle Dokumente sind abhängig von den fachlich verantwortlichen Stellen erfolgen. konkreten Anwendungsfällen. Datenschutzrechtliche Dokumentation
Ko]. 2e Sachstand durch BMI/BSI zu erstellende Dokumente I
Sprecher: BMI, Überblick der zu erstellenden Dokuffiente durch BMI/BSI . Review Vorlage beim | Finalisieru PIN-Rücksetzdienst / +» Datenschutzkonzepte 17.09.2021 01.10.2021 - (optional) 15.10.2021 PIN-Aktivierung (AVV, VVT, Löschkonzept...) 01.10.2021] 08.10.2021 « Datenschutz- Folgenabschätzung Smart-elD ° Übergreifendes 15.10.2021 31.10.2021 - (optional) 31.12.2021 Datenschutzkonzept für alle Auftragsteile: TSMS, AAP2, elD-Applet « Datenschutz- 30.11.2021 15.12.2021 20.12.2021 Folgenabschätzung (DSFA) elD (Samsung S20 mit Thales CSP) * Termine orientieren sich an Planung Umsetzung PIN-Rücksetzdienst 15.10.2021 und Smart-elD für erste Gerätetypen im Dezember 2021; Termine werden laufend geprüft und bei Bedarf angepasst
Sprecher: BMI u und ME EEE Antworten zu ToDos aus dem letzten Ta vrına sa Möglichkeit, mit Bestandteilen für PIN- Rücksetzdienst einen ersten Teil für die DSFA zu erstellen, wird geprüft > Entwurf für die DSFA PIN-Rücksetzdienst wird bis zum kommunizierten Termin erstellt; gegebenenfalls erfolgt zu einem späteren Zeitpunkt die Zusammenführung in einer einzigen DSFA gemeinsam mit der Smart-elD Datenschutzrechtliche Verantwortung für SSI - Wallet klarstellen; Vorgehen für datenschutzrechtliche Dokumentation für SSI- Wallet aufzeigen > erledigt s. TOP 2 heutige Sitzung Finalisierung AVVs: Prüfung für TSMS abschließen: Werden personenbezogene Daten verarbeitet, bedarf es also einer AVV? > Abschließende Einschätzung erst möglich, nachdem finales Datenschutzkonzept TSMS vorliegt (noch ausstehend) AVVs mit bdr zur Smart-elD und PIN- Rücksetzdienst inkl. Aktivierungsdienst finalisieren > nur noch Prüfung der TOMs ausstehend (in Bearbeitung), AVVs im Übrigen final AVV BMI mit Governikus zur Smart-elD und zum PIN-Rücksetzdienst inkl. Aktivierungsdienst: Prüfung Rechtsperson „Bund“, Info von Frau Weber aus dem letzten Termin: es bedarf einer separaten AVV zwischen BMI und Governikus > Ein AWV ist nicht erforderlich, da personenbezogene Daten, sofern dies überhaupt rar Esall ict ctatc ımlletännin vorcrhliiccalt
TOP 4 geteilte NT CIEHT Vorgehen Bild: Mykhaylo Palinchak /
Dokumentation im Nachgang des Termins Im Termin besprochen TOP 2 - SSI-Wallet und Anwendungsfälle: " Mit Blick auf das angestrebte Wachstum des Okosystems und der Anwendungsfälle empfiehlt = Bei der Erstellung der Basis-ID regelt eine BfDI, für die Einhaltung gewisser Standards und Datenschutzerklärung die Verwendung der Daten Spielregeln zu sorgen, damit die Nutzerrechte zwischen der bdr und dem Nutzer. gewahrt bleiben. " Der Staat stellt im Ökosystem die Technologie zur “ Interne Rückmeldung des BfDI: Die verwendete Verfügung (Open Source). Es gibt keine generelle Technologie zu Speicherung Ist bisher noch datenschutzrechtliche Verantwortung. Stattdessen nicht durch eine Aufsichtsbehörde geprüft. ist diese je nach Anwendungsfall (unterschiedlich) zwischen Empfänger und Issuer geregelt. = Auch wenn die Verantwortlichkeiten komplex sind, ist der BfDI auf jeden Fall einzubeziehen " Bspw. erfolgt die Regelung beim Hotel Check-in auf (Zuständigkeit mindestens in beratender Grundlage des Bundesmeldegesetz. Funktion).
Dokumentation im Nachgang des Termins Im Termin besprochen Zusammenspiel SSI-Wallet und Smart-elD: TOP 3 - Sachstand durch BMI/BSI zu erstellende Dokumente: "= Entscheidung des Lenkungsausschusses zur = Die Dokumente zum PIN-Rücksetzdienst / Verbindung der Smart-elD mit der SSI-Wallet: Aktivierungsdienst befinden sich in der Fertigstellung. > Lösungsoption 5: „Nutzung von Smart-elD und Basis-ID in einer Wallet gemäß jeweiliger Anforderungen“ > Offene Punkte: Kurzfristig rechtliche Stellung der Basis-ID nicht geregelt Das übergreifende Datenschutzkonzept für die Smart- elD wird sich im ersten Schritt auf die Hardware-basierte Lösung beschränken, da weitere Geräte erst in 2022 folgen. = Hinweis BfDI: Auch wenn Daten nur verschlüsselt = Die rechtliche Grundlage für die Smart-elD besteht verarbeitet werden, handelt es sich um bereits, die Umsetzung erfolgt planmäßig zum personenbezogene Daten. Daher ist eine AVV zwischen Dezember 2021 mit anschließender Abnahme der BMI und Governikus zwingend erforderlich. Lösung durch das BSI. = Eine AVV zwischen BSI und Governikus bezieht sich aktuell nur auf im Kontext Support und Besuch AAP2 verarbeitete Daten. Bitte an BfDI: Zusammenstellung der Argumentation, warum AVV notwendig ist trotz des ausschließlich verschlüsselten Datenverkehrs (s. nächste Schritte)