Verordnung
zur Regelung der behördenübergreifenden Bereitstellung und zum Betrieb von
IT-Infrastrukturkomponenten und
Anwendungen zum elektronischen Nachweis der Identität nach § 3 Absatz 3 bis 5
des E-Government-Gesetzes Nordrhein-Westfalen
(Servicekonto.NRW-Verordnung)
Vom 30. März 2017 (Fn 1) (Fn 2)
Auf Grund des § 23 Absatz 1 Nummer 1 des E-Government-Gesetzes Nordrhein-Westfalen vom 8. Juli 2016 (GV. NRW. S. 551) verordnet das Ministerium für Inneres und Kommunales im Einvernehmen mit der Ministerpräsidentin und allen Ministerien:
§ 1
Anwendungsbereich
Diese Rechtsverordnung gilt für die öffentlich-rechtliche Verwaltungstätigkeit der Behörden des Landes, der Gemeinden und Gemeindeverbände und der sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentliches Rechts, soweit sie dem Anwendungsbereich des E-Government-Gesetzes Nordrhein-Westfalen vom 8. Juli 2016 (GV. NRW. S. 551) in der jeweils geltenden Fassung unterfallen.
§ 2
(Fn 2)
Begriffsbestimmungen
Im Sinne dieser Rechtsverordnung ist
1. eine Behörde jede Stelle, die Aufgaben der öffentlichen Verwaltung wahrnimmt,
2. ein Nutzerkonto eine Anwendung zum einmaligen oder dauerhaften elektronischen Nachweis der Identität,
2a. Servicekonto.NRW ein Nutzerkonto sowie eine Anwendung zur medienbruchfreien Übernahme von Formulardaten aus einem elektronischen Ausweisdokument,
3. der IT-Diensteanbieter die Stelle, die IT-Servicekonto.NRW nach den Maßgaben dieser Rechtsverordnung betreibt,
4. die Identifizierung die Feststellung der Identität einer Person auf elektronischem Wege durch den Einsatz eines Identifikationsmittels; ein elektronisches Identifikationsmittel ist eine materielle und/oder immaterielle Einheit, die Personenidentifizierungsdaten enthält und zur Authentifizierung bei Online-Diensten verwendet wird und
5. die Authentifizierung der Nachweis der Berechtigung zur Nutzung eines dauerhaften Nutzerkontos.
§ 3
(Fn 3)
Ausgestaltung von Servicekonto.NRW
(1) Servicekonto.NRW ermöglicht den elektronischen Nachweis der Identität der nutzenden Person nach § 3 Absatz 3 Satz 1 und Absatz 4 des E-Government-Gesetzes Nordrhein-Westfalen sowie die medienbruchfreie Übernahme von Formulardaten aus einem elektronischen Ausweisdokument nach § 3 Absatz 5 des E-Government-Gesetzes Nordrhein-Westfalen.
(2) Die Nutzung dieses Dienstes ist freiwillig.
(3) Der Nachweis der Identität kann auf unterschiedlichen Vertrauensniveaus im Sinne der Durchführungsverordnung (EU) 2015/1502 der Kommission vom 8. September 2015 zur Festlegung von Mindestanforderungen an technische Spezifikationen und Verfahren für Sicherheitsniveaus elektronischer Identifizierungsmittel gemäß Artikel 8 Absatz 3 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (ABl. L 235 vom 9.9.2015, S. 7) erfolgen. Die zuständige Behörde entscheidet über den Einsatz des notwendigen Vertrauensniveaus im Rahmen ihres pflichtgemäßen Ermessens.
(4) Die elektronische Identifizierung kann mittels einer
einmaligen Abfrage der Identitätsdaten erfolgen (temporäres Nutzerkonto). Ein
dauerhaftes Speichern der Identitätsdaten ist mit Einwilligung der nutzenden
Person möglich (permanentes Nutzerkonto). Im Falle der dauerhaften Speicherung
der Identitätsdaten muss die nutzende Person jederzeit die Möglichkeit haben,
alle gespeicherten Daten selbstständig zu löschen. Wird das permanente
Nutzerkonto länger als drei Jahre nicht genutzt, soll der IT-Diensteanbieter eine Löschung des Kontos vornehmen, sofern
die nutzende Person auf Rückfrage nicht innerhalb von 14 Tagen der Löschung
widerspricht.
(5) Die Übermittlung der Stammdaten an Anbieter von Diensten von allgemeinem wirtschaftlichen Interesse nach § 3 Absatz 4 des E-Government-Gesetzes Nordrhein-Westfalen bedarf in jedem Einzelfall der Einwilligung der betroffenen Person.
(6) Bei dauerhafter Speicherung der Identitätsdaten im Sinne von Absatz 4 bietet Servicekonto. NRW der nutzenden Person die Funktion, eine Empfangsmöglichkeit für die Übermittlung von Dokumenten und Nachrichten einzurichten (Postkorb). Erfolgt eine elektronische Identifizierung über ein permanentes Nutzerkonto mit eingerichteter Empfangsmöglichkeit, so eröffnet die nutzende Person der Behörde für die Verwaltungsleistung, in deren Rahmen die Identifizierung erfolgt, den Zugang für die Übermittlung von Dokumenten und Nachrichten. Insbesondere gilt dieser Kommunikationsweg als Antwortweg gemäß § 4 Absatz 1 des E-Government-Gesetzes Nordrhein-Westfalen.
§ 4
(Fn 4)
Verantwortliche Stelle
(1) Die Bereitstellung und der Betrieb von Servicekonto.NRW als Infrastrukturkomponente und Anwendung zum elektronischen Nachweis der Identität auf unterschiedlichen Vertrauensniveaus in Verwaltungsverfahren sowie zur medienbruchfreien Übernahme von Formulardaten aus einem elektronischen Ausweisdokument und zur Kommunikation zwischen den Behörden und nutzenden Personen über die Postkorbfunktion im Sinne des § 8 werden zur behörden-übergreifenden Nutzung auf das für Digitalisierung zuständige Ministerium als dem gemeinsamen IT-Diensteanbieter übertragen. Dazu gehört auch der Identifikationsnachweis nach § 3 Absatz 3 des E-Government-Gesetzes Nordrhein-Westfalen.
(2) Servicekonto.NRW kann von
allen Behörden im Sinne des § 1 des E-Government-Gesetzes
Nordrhein-Westfalen genutzt werden.
(3) Servicekonto. NRW kann auch von Anbietern von Diensten
von allgemeinem wirtschaftlichen Interesse genutzt werden, sofern
1. die betroffene Person im Einzelfall ihre Einwilligung zur
Datenübermittlung erteilt,
2. der Anbieter von Diensten von allgemeinem
wirtschaftlichen Interesse die Stammdaten zur Identitätsfeststellung und zur
Erfüllung dieser Dienste benötigt,
3. dieser dem Geltungsbereich der Verordnung (EU) 2016/679
des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz
natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien
Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (ABl.
L 119 vom 4.5.2016, S. 1, L 314 vom 22.11.2016, S. 72, L 127 vom 23.5.2018, S.
2) unterliegt und
4. dem IT-Diensteanbieter keine
Anhaltspunkte für eine missbräuchliche Verwendung der Daten vorliegen.
Datenschutzrechtliche Vorschriften bleiben unberührt.
(4) Der IT-Diensteanbieter
betreibt die Anwendung zur elektronischen Feststellung der Identität und zur
medienbruchfreien Übernahme von Formulardaten aus einem elektronischen
Ausweisdokument unter Anwesenden nach § 3 Absatz 5 des E-Government-Gesetzes
Nordrhein-Westfalen in eigener datenschutzrechtlicher Verantwortung.
(5) Zuständige Stelle im Sinne des § 7 Absatz 1 des Onlinezugangsgesetzes vom 14. August 2017 (BGBl. I S. 3122, 3138) ist das für Digitalisierung zuständige Ministerium.
§ 5
(Fn 6)
Zweck der Datenverarbeitung
Der Zweck der Datenverarbeitung liegt in der gemeinsamen, behördenübergreifenden Bereitstellung eines elektronischen Identifizierungsdienstes und der möglichen anschließenden Authentifizierung nach § 3 Absatz 3 des E-Government-Gesetzes Nordrhein-Westfalen, einer Identifizierung gegenüber Dritten nach § 3 Absatz 4 des E-Government-Gesetzes Nordrhein-Westfalen sowie der medienbruchfreien Übernahme von Formulardaten aus einem elektronischen Ausweisdokument unter Anwesenden nach § 3 Absatz 5 des E-Government-Gesetzes Nordrhein-Westfalen. Außerdem dient Servicekonto. NRW in den Fällen, in denen die nutzende Person die Postkorb-Funktion einrichtet, auch zur Übermittlung von Nachrichten und Dokumenten von den Behörden an die nutzende Person.
§ 6 (Fn 7)
Daten zur Identifikation und Kommunikation
(1) Der IT-Diensteanbieter darf zur Feststellung der Identität der nutzenden Person folgende Identitätsdaten verarbeiten:
1. bei einer natürlichen Person: Familienname, Geburtsname, Vornamen, akademischer Grad, Tag der Geburt, Ort der Geburt, Anschrift, Dokumentenart, bei Nutzung der elektronischen Identitätsfunktion im Sinne des § 18 des Personalausweisgesetzes vom 18. Juni 2009 (BGBl. I S. 1346) in der jeweils geltenden Fassung oder des § 78 Absatz 5 des Aufenthaltsgesetzes vom 30. Juli 2004 (BGBl. I S. 3155) in der jeweils geltenden Fassung die Abkürzung „D“ für Bundesrepublik Deutschland, Staatsangehörigkeit, Nebenbestimmungen, Ordensname und Künstlername, dienste- und kartenspezifisches Kennzeichen. Soweit eine natürliche Person für ein Unternehmen handelt, sind die in der elektronischen Identität (eID) gespeicherten personenbezogenen Daten mit Ausnahme der „Anschrift“ zu verwenden,
2. bei einer juristischen Person oder einer Personengesellschaft: Firma, Name oder Bezeichnung, Rechtsform, Registernummer soweit vorhanden, Anschrift des Sitzes oder der Hauptniederlassung und Namen der Mitglieder des Vertretungsorgans oder der gesetzlichen Vertreter; ist ein Mitglied des Vertretungsorgans oder der gesetzlichen Vertreter eine juristische Person, so sind deren Firma, Name oder Bezeichnung, Rechtsform, Registernummer soweit vorhanden und Anschrift des Sitzes oder der Hauptniederlassung zu erheben.
(2) Zur Kommunikation mit der nutzenden Person dürfen mit deren ausdrücklicher Einwilligung zusätzlich folgende Identitätsdaten erhoben und verarbeitet werden:
De-Mail Adresse, E-Mail Adresse und Mobilfunknummer.
(3) Wird ein im Amtsblatt der EU-Kommission bekannt gegebenes und notifiziertes Identifikationssystem nach der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257 vom 28.8.2014, S. 73, L 023 vom 29.1.2015, S. 19, L 155 vom 14.6.2016, S.44) eingesetzt, so muss sichergestellt sein, dass die Identifikation auch mit den aus dem Identifikationsmittel des Identifikationssystems enthaltenen Identitätsdaten erfolgen kann.
(4) Mit ausdrücklicher Einwilligung der nutzenden Person können Daten zur Identifikation und Kommunikation im Sinne des Absatz 1 und Absatz 2 vom Identifikationsdienst an eine deutsche öffentliche Stelle übermittelt werden.
§ 7
(Fn 5)
Nutzung der Funktion
(1) Vor der Nutzung von Servicekonto.NRW muss die Behörde die beabsichtigte Nutzung dem IT-Diensteanbieter anzeigen. Die Behörde muss dabei insbesondere angeben, zu welchem Zweck die Daten verwendet werden sollen und welche Identitätsdaten für das elektronische Verwaltungsverfahren benötigt werden. Werden Verwaltungsverfahren behördenübergreifend durchgeführt, so kann die Anzeige nach Satz 1 auch durch die zuständige Fachaufsichtsbehörde erfolgen. Der IT-Diensteanbieter darf von Servicekonto.NRW erst nach vollständiger Anzeige zur Verfügung stellen.
(2) Die nutzende Behörde muss nach dem Prinzip der Datensparsamkeit sicherstellen, dass ausschließlich die Identitätsdaten genutzt werden, die für das jeweilige Verwaltungsverfahren erforderlich sind. Die oder der behördliche Datenschutzbeauftragte ist im Rahmen ihrer beziehungsweise seiner Zuständigkeit zu beteiligen.
(3) Die technische Einbindung von Servicekonto.NRW erfolgt nach den Vorgaben des IT-Diensteanbieters. Dabei ist nach dem jeweiligen Stand der Technik sicherzustellen, dass unbefugte Dritte nicht auf den Prozess zugreifen können.
(4) Die Behörde muss vor Einsatz von Servicekonto.NRW sicherstellen, dass die betroffene Person die Einwilligung zur Verarbeitung ihrer Identitätsdaten für das jeweilige Verwaltungsverfahren erteilt hat.
(5) Der IT-Diensteanbieter teilt der Beauftragten oder dem Beauftragten der Landesregierung Nordrhein-Westfalen für Informationstechnik (CIO) und der nach § 4 Absatz 3 des Personalausweisgesetzes zuständigen Stelle nach deren Vorgaben mit, welche Behörden die Berechtigungszertifikate für den Identitätsnachweis nach § 18 des Personalausweisgesetzes und § 78 des Aufenthaltsgesetzes sowie für das Vor-Ort-Auslesen nach § 18a des Personalausweisgesetzes und § 78 des Aufenthaltsgesetzes für welche Zwecke nutzen. Dabei sind das jeweilige Verfahren und die nutzende Behörde anzugeben.
(6) Bei der Übertragung der Daten zwischen der Behörde und
dem IT-Diensteanbieter sind dem jeweiligen Stand der
Technik und den jeweils geltenden datenschutzrechtlichen Vorgaben entsprechende
Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen,
die insbesondere die Vertraulichkeit und Unversehrtheit der Daten
gewährleisten. Im Falle der Nutzung allgemein zugänglicher Netze sind geeignete
Verschlüsselungsverfahren anzuwenden.
(7) Bei der Nutzung von Servicekonto. NRW durch einen
Anbieter von Diensten von allgemeinem wirtschaftlichen Interesse gelten die
Absätze 1 bis 6 entsprechend.
§ 8 (Fn 8)
Postkorbfunktion
(1) Die Einrichtung eines Postkorbs in einem permanenten
Nutzerkonto ist für die nutzende Person freiwillig.
(2) Der Postkorb kann jederzeit durch die nutzende Person
gelöscht werden, soweit sich keine ungelesenen Nachrichten oder Dokumente in
dem Postkorb befinden. Wird das permanente Nutzerkonto gemäß § 3 Absatz 4 Satz
2 gelöscht, so wird der Postkorb ebenfalls gelöscht.
(3) Wird ein permanentes Nutzerkonto gemäß § 3 Absatz 4 Satz
3 gelöscht, so erfolgt diese Löschung auch, wenn sich ungelesene Nachrichten in
dem Postkorb befinden.
(4) Erfolgt eine Identifizierung über ein permanentes
Nutzerkonto mit eingerichteter Empfangsmöglichkeit, so wird der Behörde neben
den erforderlichen Identitätsdaten eine Adressierungsmöglichkeit für den
Postkorb übermittelt, der zur Adressierung des Postkorbs durch die Behörde
genutzt werden kann.
(5) Ist in dem Postkorb eine Nachricht eingegangen, so wird
die nutzende Person hierüber per E-Mail an die gemäß § 6 Absatz 2 hinterlegte
Adresse informiert, ohne dabei auf Absender oder Inhalt der Nachricht Bezug zu
nehmen.
(6) Um Nachrichten im Postkorb zu lesen, muss sich die
nutzende Person an Servicekonto. NRW authentifizieren. Die Authentifizierung
muss dabei mindestens auf dem Vertrauensniveau gemäß § 3 Absatz 3 erfolgen, das
für die Identifizierung für die Verwaltungsleistung notwendig ist.
Authentifiziert sich die nutzende Person an Servicekonto. NRW auf einem
Vertrauensniveau, das nicht ausreicht, um im Postkorb vorhandene gelesene oder
ungelesene Nachrichten und Dokumente zu lesen, wird dies im Postkorb angezeigt.
Nach Anmeldung auf einem geeigneten Vertrauensniveau können Nachrichten
angezeigt und Dokumente durch die nutzende Person heruntergeladen werden. Wurde
eine Nachricht angezeigt beziehungsweise ein Dokument heruntergeladen, so wird
die Nachricht beziehungsweise das Dokument als gelesen gekennzeichnet.
Ansonsten gilt es als ungelesen. Gelesene Nachrichten und Dokumente können
durch die nutzende Person aus dem Postkorb gelöscht werden.
(7) Der Postkorb dient nicht zur dauerhaften Aufbewahrung
von Nachrichten und Dokumenten. Die dauerhafte Aufbewahrung eines Dokuments
oder einer Nachricht obliegt der nutzenden Person.
(8) Erfolgt die Übermittlung von Identifikationsdaten gemäß § 6 Absatz 4 aus einem permanenten Nutzerkonto mit eingerichteter Empfangsmöglichkeit, so gelten Absatz 4 sowie die Zugangseröffnung gemäß § 3 Absatz 6 entsprechend.
§ 9
(Fn 9)
Inkrafttreten, Außerkrafttreten
Diese Verordnung tritt am Tag nach der Verkündung in Kraft.
Das für Informationstechnik zuständige Ministerium berichtet dem Landtag bis zum 30. April 2025 über die Notwendigkeit des Fortbestehens dieser Verordnung.
Der Minister
für Inneres und Kommunales
des Landes Nordrhein-Westfalen
|
In Kraft getreten am 6. April 2017 (GV. NRW. S. 382); geändert durch Artikel 2 des Gesetzes vom 30. Juni 2020 (GV. NRW. S. 644), in Kraft getreten am 14. Juli 2020; Artikel 2 der Verordnung vom 10. Dezember 2020 (GV. NRW. S. 1212), in Kraft getreten am 23. Dezember 2020. |
|
|
Überschrift und § 2 geändert durch Artikel 2 des Gesetzes vom 30. Juni 2020 (GV. NRW. S. 644), in Kraft getreten am 14. Juli 2020. |
|
|
§ 3: Überschrift, Absätze 1, 3 und 4 geändert und Absatz 5 angefügt durch Artikel 2 des Gesetzes vom 30. Juni 2020 (GV. NRW. S. 644), in Kraft getreten am 14. Juli 2020; Absatz 4 erneut geändert und Absatz 6 angefügt durch Artikel 2 der Verordnung vom 10. Dezember 2020 (GV. NRW. S. 1212), in Kraft getreten am 23. Dezember 2020. |
|
|
§ 4: Absatz 1 geändert, Absatz 2 neu gefasst, Absatz 3 eingefügt, Absatz 3 (alt) umbenannt in Absatz 4 und geändert und Absatz 5 angefügt durch Artikel 2 des Gesetzes vom 30. Juni 2020 (GV. NRW. S. 644), in Kraft getreten am 14. Juli 2020; Absatz 1 erneut geändert durch Artikel 2 der Verordnung vom 10. Dezember 2020 (GV. NRW. S. 1212), in Kraft getreten am 23. Dezember 2020. |
|
|
§ 7: Absätze 1, 3, 4, 5 und 6 geändert und Absatz 7 angefügt durch Artikel 2 des Gesetzes vom 30. Juni 2020 (GV. NRW. S. 644), in Kraft getreten am 14. Juli 2020. |
|
|
§ 5 zuletzt geändert durch Artikel 2 der Verordnung vom 10. Dezember 2020 (GV. NRW. S. 1212), in Kraft getreten am 23. Dezember 2020. |
|
|
§ 6: Absätze 1 und 3 geändert durch Artikel 2 des Gesetzes vom 30. Juni 2020 (GV. NRW. S. 644), in Kraft getreten am 14. Juli 2020; Überschrift und Absatz 4 geändert durch Artikel 2 der Verordnung vom 10. Dezember 2020 (GV. NRW. S. 1212), in Kraft getreten am 23. Dezember 2020. |
|
|
Neuen § 8 eingefügt durch Artikel 2 der Verordnung vom 10. Dezember 2020 (GV. NRW. S. 1212), in Kraft getreten am 23. Dezember 2020. |
|
|
§ 8 (alt) geändert durch Artikel 2 des Gesetzes vom 30. Juni 2020 (GV. NRW. S. 644), in Kraft getreten am 14. Juli 2020; umbenannt in § 9 durch Artikel 2 der Verordnung vom 10. Dezember 2020 (GV. NRW. S. 1212), in Kraft getreten am 23. Dezember 2020. |