Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

CL+B Fest2018 Vienna Node Rechtliche_Rahmenbedingungen_der_digitalen_Identitaet_byESchweighofer

73 views

Published on

Rechtliche Rahmenbedingungen der digitalen Identitaet insbesondere der digitalen Signatur

Published in: Technology
  • Be the first to comment

  • Be the first to like this

CL+B Fest2018 Vienna Node Rechtliche_Rahmenbedingungen_der_digitalen_Identitaet_byESchweighofer

  1. 1. Rechtliche Rahmenbedingungen der digitalen Identität, insbesondere der digitalen Signatur Erich Schweighofer http://www.univie.ac.at/RI/ES/ https://rechtsinformatik.univie.ac.at https://deicl.univie.ac.at/ Gliederung • Digitale bzw. elektronische Identität – E-Person • Staatliche oder private Identität? • Digitale bzw. elektronische Identität und Recht • Elektronische Signatur • Identity Ecosystems 2
  2. 2. E-Person (1) • Elektronische Existenz einer natürlichen oder juristischen Person im Cyberspace • Selbe Person wie im wirklichen Leben jedoch ohne diesen Kontext und agierend in einer künstlichen IKT Welt • Problem: Identität, „biometric touch“ zur natürlichen Person • Menschliche Person hat physische Identität – Lebendig, Alter, Gesicht, Körper, Verhalten, Sprache, Lebenskontext – Kann leicht überprüft werden; (allenfalls) zusammen mit gesetzlicher Identität (Identitätskarte, Reisepass) ausreichend für Geschäftsbeziehungen 3 E-Person (2) • Agieren im Cyberspace: elektronische Identität – Elektronische Signatur – Selbstidentifizierung – Drittidentifizierung – Public Key Infrastructure: Registrierung bestimmter Daten in einem vertrauenswürdigen Register + „Link“ – Verknüpfung der staatlichen Identität mit elektronischer Signatur – Österreich: Öffentlich-rechtliche Lösung mit elektronischer Identität – Zentralmelderegister-Nummer, Stammzahl 4
  3. 3. Staatliche oder private Identität? • EU: starke Präferenz der staatlichen Identität • Indien: privates System Aadhaar, mit biometrischen Daten • Höhere Sicherheit • Nutzung der staatlichen Ressourcen • Teil staatlicher Aufgaben; für andere Zwecke jedenfalls benötigt • Ausreichend schnell, flexibel für digitales Zeitalter? 5 Elektronische Identität und Recht • Juristen haben mit Informatikern einen Rechtsrahmen für elektronische Signaturen geschaffen, der noch lange nicht verwirklicht wurde. • Vielfältige Perspektiven: Identität, Kreditwürdigkeit, Anonymität; Datenschutz • Identität und Authentizität; starker Fokus auf elektronische Signatur • E-Signatur-Richtlinie 1999 • eIDAS-Verordnung - VERORDNUNG 910/2014 über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt, OJ L 257, 28.8.2014, 73-114; trat mit 1.1.2016 in Kraft • Bisher 7 Durchführungsakte • Vorschlag für eine über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (KOM(2012) 238 final) • Signatur- und Vertrauensdienstegesetz (SVG) – BGBl. I 50/2016 idF. BGBl. I Nr. 121/2017 • Signatur- und Vertrauensdiensteverordnung (SVV), BGBl. II 208/2016 • E-Government-Gesetz, BGBl. I 10/2004 idF. I 121/2017 6
  4. 4. Elektronische Rechtsakte • Definition – Abschluss von Rechtsgeschäften oder Vornahme von Anbringen oder Erledigungen mittels elektronischer Signatur oder gleichwertiger Verfahren (vertragliche Vereinbarung oder gesetzliche Vorschrift) – Gleichsetzung mit schriftlichem Dokument • Elektronische Identifikation • Elektronische Signatur – Neue Form der Willenserklärung – Definition: elektronische Form, mit Daten verknüpft, bestätigt Billigung, ist Unterzeichner eindeutig zugewiesen und unter dessen alleiniger Kontrolle, nachträgliche Veränderung offenkundig – Typen, Zertifizierungsdiensteanbieter (ZDA), Public Key Infrastructure – Privatrecht: Abschluss, Beweis – Staatsrecht: Anträge, Erledigungen, Beweis 7 Rechtliche Funktion der Unterschrift • Abschlussfunktion – Willenserklärung ist mit dem Vorgang des Unterschreibens abgeschlossen • Echtheitsfunktion – Garantiert, dass der unterschriebene Text vom Aussteller stammt • Warnfunktion – Schutz des Unterzeichners vor Übereilung • Identitätsfunktion – Sicherung der Identität des Ausstellers • Beweisfunktion – Beweis, dass die unterschriebenen Erklärungen vom Aussteller stammen 8
  5. 5. Technik elektronischer Signaturen • Public Key Infrastructure • Öffentlicher Schlüssel: im Zertifikat und auf Keyservern veröffentlicht • Privater Schlüssel: ausschließlich im Machtbereich des Nutzers • Signatur erstellen: Verschlüsseln des Hash-Wertes mit privatem Schlüssel des Senders • Signatur prüfen: Entschlüsseln des Hash-Wertes mit öffentlichem Schlüssel des Senders • Zertifikate binden öffentliche Schlüssel an die richtige Identität • Funktion eines Personalausweises im Web • Zertifizierungshierarchie • Sehr aufwändig, Alternative: Blockchain 9 Vertrauensdienste – Grundsatzes der gegenseitigen Anerkennung und Akzeptierung bei Erfüllung der Mindesterfordernisse – Nutzung elektronischer Identifizierungssysteme (eID-Systeme) für öffentliche Dienste in anderen EU-Ländern – Elektronische Siegel – Elektronische Zeitstempel – Elektronische Einschreiben – Website Authentifizierung – Beweisvorschriften • Charakteristika – Technologieneutral – Abgestuftes System – Rechtswirkungen – Hohe Sicherheitsstandards für Anbieter qualifizierter Zertifikate – Keine Genehmigung, aber Aufsichtssystem – Haftung der Zertifizierungsdiensteanbieter 10
  6. 6. Qualifizierte E-Signatur / Handysignatur • Qualifizierte E-Signatur = a) ausschließlich dem Signator zugeordnet b) ermöglicht die Identifizierung des Signators c) wird mit Mitteln erstellt, die der Signator unter seiner alleinigen Kontrolle halten kann d) Verknüpfung mit Daten, auf die sie sich bezieht, sodass jede nachträgliche Veränderung der Daten festgestellt werden kann + • Qualifiziertes Zertifikat • Von einer sicheren Signaturerstellungseinheit erstellt – PC + Chipkartenleser + Signaturkarte (E-Card) – Handysignatur: sicherer Server mit UI/Passwort, Transaktionscodes an Handy – Nur natürliche Personen (Art. 25 + Anh. I eIDAS-VO) Recht der elektronischen Identifizierung nach eIDAS-VO • Elektronische Identifizierung: Prozess der Verwendung von Personenidentifizierungsdaten in elektronischer Form • Personenidentifizierungsdaten: Datensatz zur Feststellung der Identität einer natürlichen oder juristischen Person bzw. dessen Vertreter • Elektronisches Identifizierungsmittel: materielle und/oder immaterielle Einheit mit Personenidentifizierungsdaten zur Authentifizierung bei Online- Diensten • Nationale Identifizierungssysteme – Öffentliche wie private Systeme zulässig – Österreich: eID-System mit Identifikation • Natürliche Personen: Bürgerkarte mit Stammzahl • Verarbeitung & Speicherung nur in abgeleiteter Form – bPk (Bereichsspezifische Personenkennung) • Notifikation des eID-Systems durch den Mitgliedstaat + Anerkennung • Auch Blockchain denkbar 12
  7. 7. Elektronische Identität (1) • Art. 3 Z.1 eIDAS-VO: „Elektronische Identifizierung“ ist der Prozess der Verwendung von Personenidentifizierungsdaten in elektronischer Form, die eine natürliche oder juristische Person oder eine natürliche Person, die eine juristische Person vertritt, eindeutig repräsentieren.“ • Digitale Sammlung von Informationen über ein Individuum zum Nachweis der Identität mittels Attributen (Hötzendorfer) • Elektronische Repräsentationen eines Teiles der Identität einer Person • Flexibles System erforderlich 13 Elektronische Identität (2) – Personenidentifizierungsdaten • Durchführungsverordnung (EU) 2015/1501 • Mindestdatensatz einer natürlichen Person – obligatorische Merkmale: a) derzeitige(r) Familienname(n), b) derzeitige(r) Vorname(n), c) Geburtsdatum, d) eine eindeutige Kennung, die vom übermittelnden Mitgliedstaat entsprechend den technischen Spezifikationen für die Zwecke der grenzüberschreitenden Identifizierung erstellt wurde und möglichst dauerhaft fortbesteht; optionale Merkmale: a) Vorname(n) und Familienname(n) bei der Geburt, b) Geburtsort, c) derzeitige Anschrift, d) Geschlecht. – Interoperabilität der eID • Cross-border eID Prozess 1 4
  8. 8. Funktion E-ID nach E-GovG • E-GovG: • „§ 4. (1) Der E-ID dient dem Nachweis der eindeutigen Identität, weiterer Merkmale sowie des Bestehens einer Einzelvertretungsbefugnis eines Einschreiters und der Authentizität des elektronisch gestellten Anbringens in Verfahren, für die ein Auftraggeber des öffentlichen Bereichs eine für den Einsatz des E-ID taugliche technische Umgebung eingerichtet hat. • (2) Die eindeutige Identifikation einer natürlichen Person, die rechtmäßige Inhaberin eines E-ID (im Folgenden: E-ID-Inhaber) ist, wird durch die Personenbindung bewirkt: Von der Stammzahlenregisterbehörde (§ 7) wird elektronisch signiert oder besiegelt bestätigt, dass dem E-ID-Inhaber ein oder mehrere bPK zur eindeutigen Identifikation zugeordnet ist oder sind. Sofern die Personenbindung den Vornamen, Familiennamen, oder das Geburtsdatum des E-ID-Inhabers enthält, bestätigt die Stammzahlenregisterbehörde mit ihrer elektronischen Signatur oder ihrem elektronischen Siegel die Richtigkeit der Zuordnung dieser Daten zum E-ID-Inhaber. Sofern mit Zustimmung des Betroffenen weitere Merkmale in die Personenbindung eingefügt werden, dient die elektronische Signatur oder das elektronische Siegel der Stammzahlenregisterbehörde der Bestätigung der unversehrten Einfügung dieser Merkmale aus den von der Stammzahlenregisterbehörde herangezogenen Registern von Auftraggebern des öffentlichen Bereichs. Hinsichtlich des Identitätsnachweises im Fall der Stellvertretung gilt § 5.“ • Opt-out Lösung • Registrierungsdaten: § 4b E-GovG • Stellvertretung möglich (§ 5 E-GovG) 15 Elektronischer Identitätsausweis • Staatliches Service – Identifizierung • Elektronische Signatur – Handysignatur • Weitere Daten aus behördlichen Registern: Führerschein, Meldedaten, Staatsbürgerschaftsnachweise hinzufügbar 16
  9. 9. Identität als App • Ausweis-App MIA (ÖSD) • Führerschein, Gesundheitskarte, Personalausweis und Ähnliches auf Hochsicherheitsrechner laden • Zugriff mit Zustimmung der betroffenen Person, Erlaubnis mit Strichcode • https://www.mia.at/ 17 Estland • e-identity – ID-card, Mobile-ID or Smart-ID • 98% Verbreitung • 88% regelmäßige Nutzung • Auch für i-Voting 18
  10. 10. Selbstverwaltete digitale Identität • IDaaS – Single-Sign-On • Kontrolle über die Identität • Blockchain • Attribute – Staatliche E-ID • Auch für Wahlen? • Zentralisierte Blockchain; Problem Wahlgeheimnis bzw. Amtsgeheimnis 19 Schlussfolgerungen • Richtige Kombination von staatlichen und privaten Lösungen erforderlich • Staat: Attribut „eindeutige Identifizierung“ größer Vorteil • Private: andere Attribute • Ecosystem unter Nutzung der Blockchain zweckmäßig 20
  11. 11. Danke für Ihre Aufmerksamkeit!  21 Erich Schweighofer Universität Wien Arbeitsgruppe Rechtsinformatik Wiener Zentrum für Rechtsinformatik erich.schweighofer@univie.ac.at http://www.univie.ac.at/RI/ES/ https://rechtsinformatik.univie.ac.at Jusletter IT http://www.jusletter-it.eu Aadhaar • Zwölfstellige Nummer • Biometrische und biographische Daten • Zentralen Datenbank bei der Unique Identification Authority of India (UIDAI) • 2009; nunmehr faktisch verpflichtend 22

×