Bedeutung der Qualifizierten Elektronischen Attestierung von Attributen für die EUid-Wallet
Veröffentlicht am 28.11.2023
Die virtuelle Brieftasche „European Digital Identity Wallet“, kurz EUid-Wallet, nimmt Gestalt an. Eine wesentliche Rolle im EUid-Wallet-Ökosystem spielen sogenannte QEAA. Sie kommen immer dann zum Einsatz, wenn es z. B. im E-Government, dem Online-Banking oder auch in der digitalen Bildung um glaubwürdige Nachweise von Merkmalen natürlicher und juristischer Personen auf qualifiziertem Niveau geht.
Doch was genau sind QEAA und welche Rolle nehmen sie zukünftig in der virtuellen Brieftasche ein?
QE …? Aha! Eine Einführung in das Thema QEAA
Vor bald zehn Jahren brachte die Europäische Union die eIDAS-Verordnung auf den Weg. Aktuell steht die Revision jenes Regelwerkes über Electronic Identification, Authentication and Trust Services an. Die eIDAS 2.0 hat dabei ein ambitioniertes Ziel: Bis zum Jahr 2030 sollen 80 Prozent der EU-Bürger und -Bürgerinnen von den Mitgliedsstaaten mit einer digitalen Identitäts-Wallet ausgestattet werden, der sogenannten EUid-Wallet. Dank dieser soll man sich in verschiedensten Bereichen des Alltags digital ausweisen können beispielsweise, um Verwaltungsleistungen zu beantragen, Bankkonten zu eröffnen, Mietwagen zu buchen oder sich einen Studienplatz zu sichern. Auch Unternehmen sollen zum Nutzerkreis gehören. Grundlage der Wallet ist eine Basisidentität (PID, Personal Identification Data), die in Deutschland aller Voraussicht nach über die Online-Ausweisfunktion erstellt wird. Die EUid-Wallet soll den Bürgern und Bürgerinnen die Möglichkeit bieten, weitere Attribute ihrer Wallet hinzuzufügen und so ihre Identität, Daten und Zertifikate mit Dritten zu teilen. Bei all den Informationen, die über die Basisidentität hinausgehen, kommen QEAA ins Spiel. Die zunächst etwas sperrige Abkürzung steht für „Qualifizierte elektronische Bestätigung (engl. attestation) von Attributen“. Anders ausgedrückt, geht es um den Nachweis der Vertrauenswürdigkeit von Merkmalen einer natürlichen oder juristischen Person.
Die Rolle der QEAA im EUid-Ökosystem
Die Nutzung der Identität wird im Rahmen der EUid-Wallet also nicht nur auf Attribute wie Vor- und Zuname, Nationalität, Geburtsort und Meldeadresse beschränkt. Um die Anwendung der Wallet in zahlreichen Lebensbereichen zu ermöglichen, sollen auch weitere Attribute wie Erlaubnisse, Qualifikationen oder rechtliche Zugehörigkeiten einer Person integriert werden können. So soll es ermöglicht werden, sich als Hochschulabsolventin, Autofahrerin oder Angehöriger einer bestimmten Berufsgruppe auszuweisen. Auch der Familienstand und – speziell bei Unternehmen – eine ganze Reihe unterschiedlicher Firmendaten können in die Wallet integriert werden.
Die QEAA wird ein neuer Vertrauensdienst, welcher bei einer Onlinetransaktion unmissverständlich anzeigt, dass ein bestimmtes Merkmal wirklich zur Person oder zu einem Unternehmen gehört. Ein Beispiel: Einen Mietwagen wird nur die Person buchen können, deren Fahrerlaubnis vorher elektronisch bestätigt worden ist. Die zugrundeliegenden Attribute werden hierbei immer anhand einer zuverlässigen Quelle, die als Primärquelle des jeweiligen Attributs anerkannt ist (authentic source), verifiziert. Im Falle der Fahrerlaubnis geschieht das durch das zentrale Fahrerlaubnisregister des Kraftfahrtbundesamtes.
Zu unterscheiden ist dabei zwischen EAAs (elektronische Bestätigung von Attributen) und QEAAs (qualifizierte elektronische Bestätigung von Attributen): EAAs können sowohl aus staatlich autorisierten Quellen stammen, aber auch aus Quellen, bei denen es sich nicht um „authentic sources“ handelt. EAAs aus staatlich autorisierten Registern erfüllen allerdings automatisch den Wert eines QEAA und können direkt in die Wallet ausgegeben werden. Andere EAAs sind im Beweiswert der Papierurkunde oder dem Ausweisdokument unterdessen nicht gleichgestellt. Attribute aus staatlich nicht autorisierten Quellen erreichen den Status eines QEAA deshalb ausschließlich, wenn sie von einem qualifizierten Vertrauensdiensteanbieter (qVDA, engl.: qualified trust service provider oder qTSP) geprüft und validiert wurden. Das Attribut muss dabei über einen eIDAS-konformen Ausstellungsprozess beantragt werden, um als QEAA in die Wallet ausgegeben zu werden.
Das EUid-Ökosystem und seine Akteure
- Nutzer bzw. Nutzerin der EUid-Wallet
- PID-Provider (Personal ID Data, PID): Der Anbieter einer Basis-Identität (PID) verifiziert die Identität des Nutzers bzw. der Nutzerin einer Wallet und stellt daraufhin eine PID für sie zur Verfügung. In Deutschland könnte das über die Online-Ausweisfunktion (eID) erfolgen.
- Staatlich autorisierte Primärquelle (Member state enabled authentic source): Hierbei handelt es sich um staatliche Stellen und Register, die als Primärquelle eines Attributs bereits anerkannt sind und deshalb Attribute mit gleichem rechtlichem Wert wie ein QEAA direkt in die Wallet ausgeben können. Da diese Stellen sehr spezifische Anforderungen erfüllen müssen, ist die Zahl der von ihnen herausgegeben Attribute begrenzt. Beispiele der von ihnen ausgestellten EEAs wären die Mobile Driving License (mDL) oder der digitale Reisepass.
- Nicht staatlich autorisierte Primärquelle (Non-enabled authentic source): Dazu zählen alle anderen zuverlässigen Quellen, die als Primärquellen eines Attributs anerkannt sind, etwa Zeugnis- oder Berufserlaubnisregister. Diese Attribute werden als QEAA über einen qualifizierten Vertrauensdiensteanbieter in die Wallet ausgegeben.
- Qualifizierter Vertrauensdiensteanbieter: Nur ein qVDA bzw. qTSP darf Attribute qualifiziert elektronisch attestieren. Dieser muss zwingend auf der Vertrauensliste/Trusted List stehen. Die Vertrauensliste ist ein Verzeichnis aller akkreditierten qTSPs und deren angebotener Vertrauensdienste.
- Verifier bzw. Relying Party: Das ist der Diensteanbieter, bei dem sich EUid-Nutzer und -Nutzerinnen digital für einen Service ausweisen und dafür Attribute nachweisen. Beispielsweise handelt es sich dabei um den bereits erwähnten Mietwagenverleiher, der den Nachweis einer Fahrerlaubnis anfordert.
Der Prozess der QEAA kurz erklärt
Wer die verschiedenen Akteure des EUid-Ökosystems kennt, kann sich wahrscheinlich bereits ein gutes Bild vom Prozess rund um die qualifizierte elektronische Attestierung von Attributen machen. Im Grunde läuft der mögliche Prozess ohne großen Aufwand für die Nutzer und Nutzerinnen der Wallet.
Wie wird eine QEAA ausgestellt und verifiziert?
Beispielhaft lässt sich das an folgendem Fall zeigen:
- Eine Person möchte für eine digitale Bewerbung ihre Ausbildung belegen und benötigt dafür den entsprechenden Nachweis als QEAA. Über die Wallet oder das Bewerbungsportal fragt sie das Attribut beim qualifizierten Vertrauensdiensteanbieter (qTSP) an.
- Dieser identifiziert den Antragsteller qualifiziert über seine eID auf dem Personalausweis oder die PID und validiert das Attribut durch eine Registerabfrage bei der zuständigen Industrie und Handelskammer (IHK).
- Die Attributsdaten sichert der qTSP anschließend kryptografisch mit einem elektronischen Siegel. Über eine Schnittstelle überträgt er die QEAA in die Wallet des Nutzers, der sich dann mit dem Attribut bewerben kann.
Was der Prozess darüber hinaus verdeutlicht: Attribute werden am Ende auf keinen Fall wahllos in der Wallet landen. Die Kontrolle darüber verbleibt stets beim Nutzer oder der Nutzerin. Was wiederum nicht heißt, dass die Anzahl der möglichen Merkmale grenzenlos ist: In jedem der 27 Mitgliedstaaten kann, so die derzeitigen Vorgaben, festgelegt werden, welche Attribute direkt aus staatlich anerkannten Quellen ausgegeben werden sollen und welche Register als Primärquelle gelten.
Vorteile und Anwendungen der QEAA
Die geplante Einführung der QEAA im Zusammenhang mit eIDAS 2.0 bietet das Potenzial, sämtliche relevante Nachweise oder Berechtigungen schrittweise zu digitalisieren. Hierzu zählen der Führerschein und das Schulzeugnis genauso wie die Heiratsurkunde oder der Angelschein. Und das heißt auch: Gerade Verwaltungsprozesse, die bislang Originaldokumente oder beglaubigte Kopien benötigten, ließen sich komplett digital abbilden. Auch Registerabfragen könnte man durch die QEAA ergänzen. Vor allem in stark regulierten Branchen wie dem Finanzsektor käme die qualifizierte elektronische Attestierung von Attributen zudem Know-your-Customer- und Compliance-Prozessen zugute. Sie könnte ebenso dabei helfen, eine Organisations-ID für Firmen zu schaffen.
Noch aber ist die qualifizierte elektronische Attestierung von Attributen Zukunftsmusik. Bis sie als Vertrauensdienst zertifizierbar ist, kann es noch einige Zeit dauern.