Beteiligte Parteien der der Nutzung der eID-Funktion (Online-Ausweisfunktion)
Bei der Nutzung der Online-Ausweisfunktion interagieren drei verschiedenen Parteien miteinander. Diese werden folgend kurz erläutert.
Nutzer (User, Personalausweisinhaber, Ausweisinhaber, Bürgern o. ä.)
Der Nutzer authentisiert sich mit Hilfe seines elektronischen Personalausweises unter Nutzung eines kontaktlosen Lesegerätes und der nötigen Software (eID-Client, z. B. AusweisApp) beim Diensteanbieter, um dessen Web-Angebot wie z. B. einen Onlineshop oder das Web-Portal einer Behörde zu nutzen. Weiterhin authentifiziert der Nutzer den Diensteanbieter mit Hilfe dessen Berechtigungszertifikates.
Diensteanbieter aus dem Bereich E-Business (z. B. Onlineshop) oder E-Government (z. B. Web-Portal einer Behörde)
Der Dienstanbieter authentifiziert den Nutzer mit Hilfe dessen neuen Personalausweises auf Basis seines Berechtigungszertifikates, welches die zum Auslesen freigegebenen Felder (Daten) definiert. Ziel des Diensteanbieter ist es sicher zu stellen, nicht Opfer von Cyber-Kriminalität zu werden, die auf der Nutzung von gestohlenen digitalen Identitäten (bzw. Teile dieser) oder Fake-Identitäten beruhen. Die Prüfung der Identität erfolgt über eine Schnittstelle des eID-Services. Ebenso können somit Fake-News verhindert werden, da eine Eindeutigkeit eines Users hinterlegt werden kann.
eID-Service-Provider (eID-Service)
Der eID-Service-Provider ist Dienstleister der Web-Diensteanbietern einen eID-Service bereitstellt, welche die eID-Funktion (Online-Ausweisfunktion) im Rahmen ihrer Web-Anwendung Nutzern bereitstellen wollen. Ziel der Web-Diensteanbieter einer Web-Anwendung ist es die Sicherheit ihrer Anwendung zu erhöhen.
Datenschutz und Datensicherheit beim eID-Service
Im Rahmen des eID-Services wird der elektronische Personalausweis bzw. bestimmte personenbezogene Daten vom eID-Service-Provider für den Diensteanbieter ausgelesen. Weiterhin speichert und verwaltet der eID-Service-Provider im Rahmen der Dienstleistung (eID-Service) die Berechtigungszertifikate und Sperrlisten. Aus diesem Grund ist es wichtig, dass der Diensteanbieter einen eID-Service-Provider wählt, der zuverlässig und nach höchsten Standards in den Bereichen Datenschutz und Datensicherheit agiert. Generell muss der eID-Service-Provider die nötigen Sicherheitsanforderungen gewährleisten, was dadurch realisiert wird, das der vom eID-Service-Provider betriebene eID-Server in einem vom BSI zertifizierten Rechenzentrum betrieben wird.