Verordnung
zur Regelung der behördenübergreifenden Bereitstellung und zum Betrieb von IT-Infrastrukturkomponenten
und
Anwendungen zum elektronischen Nachweis der Identität nach § 3 Absatz 3 des
E-Government-Gesetzes Nordrhein-Westfalen
Vom 30. März 2017 (Fn 1)
Auf Grund des § 23 Absatz 1 Nummer 1 des E-Government-Gesetzes Nordrhein-Westfalen vom 8. Juli 2016 (GV. NRW. S. 551) verordnet das Ministerium für Inneres und Kommunales im Einvernehmen mit der Ministerpräsidentin und allen Ministerien:
§ 1
Anwendungsbereich
Diese Rechtsverordnung gilt für die öffentlich-rechtliche Verwaltungstätigkeit der Behörden des Landes, der Gemeinden und Gemeindeverbände und der sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentliches Rechts, soweit sie dem Anwendungsbereich des E-Government-Gesetzes Nordrhein-Westfalen vom 8. Juli 2016 (GV. NRW. S. 551) in der jeweils geltenden Fassung unterfallen.
§ 2
Begriffsbestimmungen
Im Sinne dieser Rechtsverordnung ist
1. eine Behörde jede Stelle, die Aufgaben der öffentlichen Verwaltung wahrnimmt,
2. ein Identifikationsdienst eine Anwendung zum elektronischen Nachweis der Identität,
3. der Diensteanbieter die Stelle, die IT-Infrastrukturkomponenten und Identifikationsdienste nach den Maßgaben dieser Rechtsverordnung betreibt,
4. die Identifizierung die Feststellung der Identität einer Person auf elektronischem Wege durch den Einsatz eines Identifikationsmittels; ein elektronisches Identifikationsmittel ist eine materielle und/oder immaterielle Einheit, die Personenidentifizierungsdaten enthält und zur Authentifizierung bei Online-Diensten verwendet wird und
5. die Authentifizierung der Nachweis der Berechtigung zur Nutzung eines bestehenden Identifikationsdienstes.
§ 3
Ausgestaltung des Identifikationsdienstes
(1) Der Identifikationsdienst ermöglicht den elektronischen Nachweis der Identität der nutzenden Person nach § 3 Absatz 3 Satz 1 des E-Government-Gesetzes Nordrhein-Westfalen.
(2) Die Nutzung dieses Dienstes ist freiwillig.
(3) Der Nachweis der Identität kann auf unterschiedlichen Vertrauensniveaus im Sinne der Technischen Richtlinie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) TR-03107-1 Elektronische Identitäten und Vertrauensdienste im E-Government - Teil 1 Vertrauensniveaus und Mechanismen - in der Version 1.1 vom 31. Oktober 2016 erfolgen. Die zuständige Behörde entscheidet über den Einsatz des notwendigen Vertrauensniveaus im Rahmen ihres pflichtgemäßen Ermessens.
(4) Die elektronische Identifizierung kann mittels einer einmaligen Abfrage der Identitätsdaten erfolgen (temporäres Servicekonto). Ein dauerhaftes Speichern der Identitätsdaten ist mit Einwilligung der nutzenden Person möglich (permanentes Servicekonto). Im Falle der dauerhaften Speicherung der Identitätsdaten muss die nutzende Person jederzeit die Möglichkeit haben, alle gespeicherten Daten selbstständig zu löschen. Wird das permanente Servicekonto länger als zwei Jahre nicht genutzt, soll der Diensteanbieter eine Löschung des Kontos vornehmen, sofern die nutzende Person auf Rückfrage nicht innerhalb von 14 Tagen der Löschung widerspricht.
§ 4
Verantwortliche Stelle
(1) Die Bereitstellung und der Betrieb von IT-Infrastrukturkomponenten und Anwendungen zum elektronischen Nachweis der Identität auf unterschiedlichen Vertrauensniveaus in Verwaltungsverfahren werden zur behörden-übergreifenden Nutzung auf das für Informationstechnik zuständige Ministerium als dem gemeinsamen Diensteanbieter übertragen. Dazu gehört auch der Identifikationsnachweis nach § 3 Absatz 3 des E-Government-Gesetzes Nordrhein-Westfalen.
(2) Der Identifikationsdienst kann von allen Behörden, welche in Verwaltungsverfahren eine Identifikation nach § 3 Absatz 3 Satz 1 des E-Government-Gesetzes Nordrhein-Westfalen anbieten, genutzt werden.
(3) Der Diensteanbieter betreibt die Anwendung zur elektronischen Feststellung der Identität in eigener datenschutzrechtlicher Verantwortung.
§ 5
Zweck der Datenverarbeitung
Der Zweck der Datenverarbeitung liegt in der gemeinsamen, behördenübergreifenden Bereitstellung eines elektronischen Identifizierungs-dienstes und der möglichen anschließenden Authentifizierung nach § 3 Absatz 3 des E-Government-Gesetzes Nordrhein-Westfalen.
§ 6
Daten zur Identifikation
(1) Der Diensteanbieter darf zur Feststellung der Identität der nutzenden Person folgende Identitätsdaten erheben und verarbeiten:
1. bei einer natürlichen Person: Familienname, Geburtsname, Vornamen, akademischer Grad, Tag der Geburt, Ort der Geburt, Anschrift, Dokumentenart, bei Nutzung der elektronischen Identitätsfunktion im Sinne des § 18 des Personalausweisgesetzes vom 18. Juni 2009 (BGBl. I S. 1346) in der jeweils geltenden Fassung oder des § 78 Absatz 5 des Aufenthaltsgesetzes vom 30. Juli 2004 (BGBl. I S. 3155) in der jeweils geltenden Fassung die Abkürzung „D“ für Bundesrepublik Deutschland, Staatsangehörigkeit, Nebenbestimmungen, Ordensname und Künstlername, dienste- und kartenspezifisches Kennzeichen. Soweit eine natürliche Person für ein Unternehmen handelt, sind die in der elektronischen Identität (eID) gespeicherten personenbezogenen Daten mit Ausnahme der „Anschrift“ zu verwenden,
2. bei einer juristischen Person oder einer Personengesellschaft: Firma, Name oder Bezeichnung, Rechtsform, Registernummer soweit vorhanden, Anschrift des Sitzes oder der Hauptniederlassung und Namen der Mitglieder des Vertretungsorgans oder der gesetzlichen Vertreter; ist ein Mitglied des Vertretungsorgans oder der gesetzlichen Vertreter eine juristische Person, so sind deren Firma, Name oder Bezeichnung, Rechtsform, Registernummer soweit vorhanden und Anschrift des Sitzes oder der Hauptniederlassung zu erheben.
(2) Zur Kommunikation mit der nutzenden Person dürfen mit deren ausdrücklicher Einwilligung zusätzlich folgende Identitätsdaten erhoben und verarbeitet werden:
De-Mail Adresse, E-Mail Adresse und Mobilfunknummer.
(3) Wird ein im Amtsblatt der EU-Kommission bekannt gegebener und notifizierter Identifikationsdienst nach der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257 vom 28.8.2014, S. 73, L 023 vom 29.1.2015, S. 19, L 155 vom 14.6.2016, S.44) eingesetzt, so muss sichergestellt sein, dass die Identifikation auch mit den aus diesem Identifikationsdienst enthaltenen Identitätsdaten erfolgen kann.
(4) Mit ausdrücklicher Einwilligung der nutzenden Person können Daten zur Identifikation im Sinne des Absatz 1 und Absatz 2 vom Identifikationsdienst an eine deutsche öffentliche Stelle übermittelt werden.
§ 7
Nutzung der Funktion
(1) Vor der Nutzung des Identifikationsdienstes muss die Behörde die beabsichtigte Nutzung dem Diensteanbieter anzeigen. Die Behörde muss dabei insbesondere angegeben, zu welchem Zweck die Daten verwendet werden sollen und welche Identitätsdaten für das elektronische Verwaltungsverfahren benötigt werden. Werden Verwaltungsverfahren behördenübergreifend durchgeführt, so kann die Anzeige nach Satz 1 auch durch die zuständige Fachaufsichtsbehörde erfolgen. Der Diensteanbieter darf den Identifikations-dienst erst nach vollständiger Anzeige zur Verfügung stellen.
(2) Die nutzende Behörde muss nach dem Prinzip der Datensparsamkeit sicherstellen, dass ausschließlich die Identitätsdaten genutzt werden, die für das jeweilige Verwaltungsverfahren erforderlich sind. Die oder der behördliche Datenschutzbeauftragte ist im Rahmen ihrer beziehungsweise seiner Zuständigkeit zu beteiligen.
(3) Die technische Einbindung des Identifikationsdienstes erfolgt nach den Vorgaben des Diensteanbieters. Dabei ist nach dem jeweiligen Stand der Technik sicherzustellen, dass unbefugte Dritte nicht auf den Prozess zugreifen können.
(4) Die Behörde muss vor Einsatz des Identifikationsdienstes sicherstellen, dass die betroffene Person die Einwilligung zur Verarbeitung ihrer Identitätsdaten für das jeweilige Verwaltungsverfahren erteilt hat.
(5) Der Diensteanbieter teilt der Beauftragten oder dem Beauftragten der Landesregierung Nordrhein-Westfalen für Informationstechnik (CIO) und der nach § 4 Absatz 3 des Personalausweisgesetzes zuständigen Stelle nach deren Vorgaben mit, welche Behörden das Berechtigungszertifikat für den Identitätsnachweis nach § 18 des Personalausweisgesetzes und § 78 des Aufenthaltsgesetzes für welche Zwecke nutzen. Dabei sind das jeweilige Verfahren und die nutzende Behörde anzugeben.
(6) Bei der Übertragung der Daten zwischen der Behörde und dem Diensteanbieter sind dem jeweiligen Stand der Technik und den jeweils geltenden datenschutzrechtlichen Vorgaben entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Unversehrtheit der Daten gewährleisten. Im Falle der Nutzung allgemein zugänglicher Netze sind geeignete Verschlüsselungsverfahren anzuwenden.
§ 8
Inkrafttreten, Außerkrafttreten
Diese Verordnung tritt am Tag nach der Verkündung in Kraft.
Das für Informationstechnik zuständige Ministerium berichtet dem Landtag bis zum 30. April 2021 über die Notwendigkeit des Fortbestehens dieser Verordnung.
Der Minister
für Inneres und Kommunales
des Landes Nordrhein-Westfalen
In Kraft getreten am 6. April 2017 (GV. NRW. S. 382). |