Elektronische Identitätsfeststellung
Die elektronische Identitätsfeststellung bezeichnet die technische und rechtliche Feststellung der Identität einer natürlichen oder juristischen Person mittels digitaler Verfahren. Sie bildet eine zentrale Grundlage für zahlreiche digitale Anwendungsfelder, insbesondere im E-Government, E-Commerce sowie in der digitalen Verwaltung und Justiz. Die zunehmende Digitalisierung von Verwaltungsprozessen und Rechtsgeschäften erfordert geeignete und rechtssichere Methoden zur Feststellung und Überprüfung der Identität von handelnden Personen.
Begriffsbestimmung und Abgrenzung
Die elektronische Identitätsfeststellung unterscheidet sich von der klassischen Identifizierung durch die ausschließliche Nutzung elektronischer Kommunikationsmittel und Authentifizierungsverfahren. Während bei der physischen Identitätsfeststellung Personaldokumente im Original vorgelegt und geprüft werden, erfolgt die elektronische Identifizierung mittels technischer Systeme, die die Identität durch digitale Nachweise und Authentisierungsverfahren bestätigen.
Der Begriff ist insbesondere von der elektronischen Signatur, der digitalen Identität und der Authentisierung abzugrenzen, wenngleich diese Begriffe im rechtlichen Kontext oft überschneiden oder aufeinander aufbauen.
Rechtlicher Rahmen der elektronischen Identitätsfeststellung
Europarechtliche Grundlagen
eIDAS-Verordnung
Im europäischen Kontext bildet die eIDAS-Verordnung (Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt) den zentralen Rechtsrahmen. Die eIDAS-Verordnung regelt:
- die gegenseitige Anerkennung elektronischer Identifizierungsmittel der Mitgliedstaaten
- die rechtliche Zulässigkeit verschiedener Vertrauensdienste (z. B. elektronische Signaturen, Siegel und Zeitstempel)
- Anforderungen an Sicherheit und Interoperabilität der Identifizierungssysteme
Nach eIDAS sind drei Vertrauensniveaus für elektronische Identifizierungsmittel definiert: „niedrig“, „substanziell“ und „hoch“. Die Anforderungen steigen mit dem Vertrauensniveau; bei rechtlich relevanten Handlungen ist meist das Niveau „hoch“ erforderlich.
Umsetzung in den Mitgliedstaaten
Die Mitgliedstaaten sind verpflichtet, eigene elektronische Identifizierungssysteme zu schaffen oder bestehende Systeme entsprechend weiterzuentwickeln und auf Anfrage der anderen Mitgliedstaaten zur Verfügung zu stellen (Interoperabilitätspflicht). Nationale Notifikationsverfahren gewährleisten, dass die jeweiligen Systeme unionsweit anerkannt werden.
Deutsches Recht
Personalausweisgesetz (PAuswG)
Das deutsche Personalausweisgesetz (PAuswG) enthält seit dem Inkrafttreten des neuen Personalausweises mit Online-Ausweisfunktion (eID) wesentliche Vorschriften zur elektronischen Identitätsfeststellung. Die Ausweisinhaberin bzw. der Ausweisinhaber kann sich mittels eID-Funktion gegenüber staatlichen oder privaten Stellen digital ausweisen. Das Gesetz regelt unter anderem:
- die Voraussetzungen und Funktionsweise der eID-Funktion (§§ 18 ff. PAuswG)
- Zulassung von Diensteanbietern zur Nutzung der eID-Funktion (§ 21 PAuswG)
- Datenschutzanforderungen im Rahmen der Identitätsübermittlung
eID-Funktion und Ausweisdokumente
Mit dem elektronischen Personalausweis sowie dem elektronischen Aufenthaltstitel und der eID-Karte für Unionsbürger bestehen mehrere staatlich ausgestellte Identitätsmittel mit Online-Ausweisfunktion.
Vertrauensdienstegesetz (VDG)
Das Vertrauensdienstegesetz (VDG) dient der Umsetzung der eIDAS-Verordnung in deutsches Recht und regelt insbesondere die Zulassung und Beaufsichtigung von Vertrauensdiensteanbietern. Es gewährleistet die ordnungsgemäße Durchführung der elektronischen Identitätsfeststellung und anderer Vertrauensdienste.
Geldwäschegesetz (GwG)
Für bestimmte Verpflichtete, insbesondere im Finanzsektor, bestehen strengere Sorgfaltspflichten hinsichtlich der Identitätsfeststellung (§§ 11 ff. GwG). Das Geldwäschegesetz erlaubt unter definierten Bedingungen auch die Nutzung elektronischer Identifizierungen, sofern diese ein gleichwertiges Sicherheitsniveau wie die persönliche Vorsprache gewährleisten.
Anforderungen und Verfahren der elektronischen Identitätsfeststellung
Authentisierungsverfahren
Zu den gebräuchlichen Verfahren zählen:
- Zwei-Faktor-Authentisierung (z. B. Kombination aus PIN, biometrischen Merkmalen und Ausweisdokument)
- Video-Ident-Verfahren (audio-visuelle Fernidentifizierung)
- Nutzung elektronischer Ausweisdokumente mit eID-Funktion oder qualifizierten Zertifikaten
Sicherheitsanforderungen
Die jeweiligen gesetzlichen Rahmenwerke legen strenge Anforderungen an Datenschutz, IT-Sicherheit und Nachvollziehbarkeit fest. Es muss technisch sichergestellt sein, dass Identitätsdiebstahl weitestgehend ausgeschlossen bleibt. Zudem sind Protokollierungs- und Dokumentationspflichten zu erfüllen, um die Überprüfbarkeit im Streitfall zu gewährleisten.
Anwendungsfelder
Die elektronische Identitätsfeststellung bildet die Basis für verschiedene digitale Rechts- und Verwaltungsakte, darunter:
- Antragstellungen bei Behörden
- Online-Banking und Kontoeröffnung
- Abschluss von Verträgen im elektronischen Rechtsverkehr
- Erteilung von Vollmachten
- Zugriffe auf medizinische und behördliche Datenportale
Datenschutzrechtliche Aspekte
Die Verarbeitung personenbezogener Daten im Rahmen der elektronischen Identitätsfeststellung unterliegt den strengen Vorgaben der Datenschutz-Grundverordnung (DSGVO). Maßgeblich sind Prinzipien wie Datenminimierung, Zweckbindung, Integrität und Vertraulichkeit der Datenverarbeitung. Die betroffenen Personen sind umfassend über Art, Umfang und Zweck der Datenverarbeitung zu informieren und haben Ansprüche auf Auskunft, Berichtigung und Löschung ihrer Daten.
Haftung und Rechtsfolgen
Eine korrekt durchgeführte elektronische Identitätsfeststellung hat weitreichende Rechtswirkungen für die Beteiligten. Im Falle fehlerhafter Identitätsfeststellung können unterschiedlichste Haftungstatbestände ausgelöst werden. Die Verantwortung für die Einhaltung der rechtlichen Vorgaben tragen regelmäßig die anbietenden Identitätsdienste sowie die Benutzer der Identifizierungssysteme.
Rechtsprechung und Behördenpraxis
Die elektronische Identitätsfeststellung wurde durch mehrere gerichtliche Entscheidungen und Stellungnahmen von Aufsichtsbehörden konkretisiert. Schwerpunkte bilden etwa die Anforderungen an die Sicherheit der eingesetzten Systeme, die Zulässigkeit bestimmter Identifizierungsverfahren (z. B. Video-Ident) sowie Abgrenzungsfragen im internationalen Umfeld.
Ausblick und zukünftige Entwicklungen
Die Weiterentwicklung der elektronischen Identitätsfeststellung wird maßgeblich von der Einführung neuer Technologien (z. B. Blockchain-basierte Identitätslösungen, biometrische Authentifizierung) und erneuerten europäischen Rahmenbedingungen (z. B. eIDAS 2.0) bestimmt werden. Ziel bleibt der europa- und weltweit interoperable, sichere digitale Identitätsnachweis für alle wesentlichen Rechtsgeschäfte.
Fazit
Die elektronische Identitätsfeststellung ist eine zentrale Säule der Digitalisierung öffentlicher und privater Dienstleistungen. Ihr rechtlicher Rahmen ist durch die Kombination aus europarechtlichen Vorgaben und nationalen Gesetzgebungsakten geprägt. Bei der Durchführung sind hohe Anforderungen an Datenschutz, IT-Sicherheit und Beweiswert zu erfüllen, um das notwendige Vertrauen in digitale Identifizierungsverfahren sicherzustellen. Die Entwicklung bleibt ein dynamisches Feld, das stetig an Bedeutung gewinnt.
Häufig gestellte Fragen
Welche rechtlichen Grundlagen gelten für die elektronische Identitätsfeststellung in Deutschland?
Die elektronische Identitätsfeststellung unterliegt in Deutschland verschiedenen rechtlichen Rahmenbedingungen. Von zentraler Bedeutung ist das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) sowie das Personalausweisgesetz (PAuswG), insbesondere § 18 zur eID-Funktion des Personalausweises. Ergänzend hierzu regelt das Vertrauensdienstegesetz (VDG) die Anforderungen an elektronische Identifizierungsdienste, die etwa zur Authentifizierung gegenüber öffentlichen und privaten Stellen eingesetzt werden. Darüber hinaus gilt die Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eIDAS-Verordnung), welche einen einheitlichen Rechtsrahmen innerhalb der EU schafft und wechselseitige Anerkennung elektronischer Identitäten vorsieht. Datenschutzrechtliche Anforderungen ergeben sich aus der Datenschutz-Grundverordnung (DSGVO) sowie aus dem Bundesdatenschutzgesetz (BDSG), die besonders den Schutz personenbezogener Daten im Rahmen der Identitätsfeststellung betreffen.
Welche Anforderungen bestehen an die Datensicherheit bei der elektronischen Identitätsfeststellung?
Bei der elektronischen Identitätsfeststellung sind hohe Anforderungen an die Datensicherheit zu erfüllen. Nach Art. 32 DSGVO sind geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten erforderlich. Diese umfassen insbesondere den Einsatz starker Verschlüsselungsverfahren sowohl für die Datenübertragung als auch für die Speicherung, Zwei-Faktor-Authentifizierung, die Protokollierung und regelmäßige Überprüfung der Zugriffskontrolle sowie die Pseudonymisierung und Anonymisierung sensibler Informationen, soweit möglich. Weiterhin schreibt das PAuswG vor, dass nur befugte Diensteanbieter Zugriff auf elektronische Identitätsdaten haben dürfen, wozu sie regelmäßig überprüft und zertifiziert werden. Die Einhaltung dieser Anforderungen unterliegt zudem der Kontrolle durch die zuständigen Datenschutzaufsichtsbehörden.
In welchen Fällen ist eine elektronische Identitätsfeststellung rechtlich verbindlich?
Eine elektronische Identitätsfeststellung ist immer dann rechtlich verbindlich, wenn sie auf gesetzlicher Grundlage oder im Rahmen vertraglicher Vereinbarungen ausdrücklich vorgesehen ist. Solche Fälle umfassen unter anderem den Zugang zu Online-Dienstleistungen öffentlicher Stellen (z.B. Bürgerportale, Steuerbehörden) sowie bestimmte rechtsgeschäftliche Vorgänge im privaten Geschäftsverkehr, etwa den Abschluss von Verträgen, bei denen das Gesetz eine Identitätsprüfung verlangt (z. B. § 13 TMG bei Identitätsnachweis im Internet, § 4 Abs. 4 GwG bei geldwäscherechtlichen Identifizierungspflichten). Die rechtliche Verbindlichkeit setzt voraus, dass der verwendete Identifizierungsdienst den Anforderungen der eIDAS-Verordnung entspricht und von den zuständigen Behörden notifiziert wurde.
Welche Pflichten treffen Diensteanbieter im Rahmen der elektronischen Identitätsfeststellung?
Diensteanbieter, die elektronische Identitätsfeststellungen durchführen, sind verpflichtet, die gesetzlichen Vorgaben zu wahren. Dazu zählt die Einhaltung der datenschutzrechtlichen Vorgaben, insbesondere der Nachweis und die Protokollierung jeder Identifizierung, die Aufklärung der betroffenen Personen über die Datenverarbeitung sowie die Einholung einer informierten Einwilligung. Anbieter müssen technische Maßnahmen ergreifen, um Missbrauch und unbefugte Zugriffe zu verhindern, und haben eine regelmäßige Sicherheitsüberprüfung sowie Zertifizierungen durchzuführen. Ferner treffen die Diensteanbieter Meldepflichten bei Datenschutzverletzungen und die Verpflichtung, auf Anfrage der zuständigen Aufsichtsbehörden Auskünfte zu erteilen.
Wie werden Streitfälle bezüglich der Richtigkeit einer elektronisch festgestellten Identität rechtlich behandelt?
Der Nachweis der Richtigkeit einer elektronisch festgestellten Identität obliegt grundsätzlich demjenigen, der sich auf die Identitätsfeststellung beruft – meist dem Diensteanbieter. Bestehen Zweifel an der Identität, kann die betroffene Person gemäß den einschlägigen Datenschutzbestimmungen Auskunft und Korrektur verlangen (Art. 16 DSGVO). Kommt es zum Streit über die Richtigkeit oder zur missbräuchlichen Verwendung einer Identität, greifen zivilrechtliche und ggf. strafrechtliche Verfahren. Betroffene können Schadensersatzansprüche geltend machen, und bei Verdacht auf Identitätsdiebstahl drohen strafrechtliche Konsequenzen für die Täter. Die Gerichte nutzen in der Regel sachverständige Prüfungen der technischen Abläufe zur Klärung solcher Streitfälle.
Unterliegt die elektronische Identitätsfeststellung einer behördlichen Aufsicht?
Ja, die Durchführung und der Betrieb elektronischer Identitätsfeststellungsdienste unterliegen einer behördlichen Aufsicht. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemäß BSIG für technische Prüfungen und Zertifizierungen zuständig. Datenschutzrechtliche Aufsichten werden durch die jeweiligen Landesdatenschutzbehörden und den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) wahrgenommen. Darüber hinaus werden gemäß eIDAS-Verordnung auf europäischer Ebene Aufsichtsstrukturen vorgehalten, um eine gegenseitige Anerkennung der elektronischen Identitäten sicherzustellen.
Auf welcher rechtlichen Grundlage basiert der grenzüberschreitende Einsatz elektronischer Identitäten?
Der grenzüberschreitende Einsatz elektronischer Identitäten basiert vornehmlich auf der eIDAS-Verordnung (EU) Nr. 910/2014. Sie verpflichtet die EU-Mitgliedstaaten zur gegenseitigen Anerkennung elektronischer Identifizierungsmittel für Online-Dienste öffentlicher Stellen. Damit werden rechtliche Voraussetzungen geschaffen, um etwa die Nutzung deutscher eIDs im Ausland, aber auch die Anerkennung ausländischer Identifizierungsmittel in Deutschland zu ermöglichen. Voraussetzung ist, dass die jeweiligen Identifizierungssysteme von der EU-Kommission notifiziert und für den grenzüberschreitenden Einsatz zertifiziert worden sind.
