| 1. | 5. | Operational risk assessment (Operative Risikobewertung) |
| — | OVR-5-01: Es gelten die Anforderungen der Norm ETSI EN 319401 [1] Abschnitt 5. |
| — | Anmerkung 1:Wird der Identitätsnachweis vom Anbieter von Personenidentifizierungsdaten selbst erbracht, kann die Risikobewertung durch diesen Anbieter auch den Identitätsnachweis abdecken. |
| 2. | 6.1 | Identity proofing service practice statement (Praxiserklärung der Identitätsnachweisdienste) |
| — | OVR-6.1-02: Ein Anbieter von Identitätsnachweisdiensten (IPSP) gibt in seiner Praxiserklärung die Anwendungsfälle an, für die die Konformität mit diesem Dokument geltend gemacht wird. |
| — | Anmerkung 1:Wird der Identitätsnachweis vom Anbieter von Personenidentifizierungsdaten selbst erbracht, kann dieser in die Praxiserklärung seines Identitätsnachweisdienstes auch die Information über den Identitätsnachweis aufnehmen und braucht für den Identitätsnachweis keine eigene Praxiserklärung auszustellen. |
| 3. | 7.9 | Vulnerabilities and incident management (Schwachstellen und Management von Vorfällen) |
| — | OVR-7.9-02: Die Meldepflichten gemäß der Norm ETSI EN 319401 [1] REQ-7.9.2-02X und Abschnitt 7.9.3 müssen abhängig vom Kontext des Identitätsnachweises und den Pflichten des Anbieters von Personenidentifizierungsdaten, der sich auf den IPSP-Dienst stützt, erfüllt werden. |
| — | Beispiel: Die Meldung an die Aufsichtsbehörde, die einen im benennenden Mitgliedstaat niedergelassenen Anbieter von europäischen Brieftaschen für die digitale Identität beaufsichtigt, kann in Zusammenarbeit zwischen dem IPSP und dem Anbieter von Personenidentifizierungsdaten erfolgen. |
| 4. | 7.10 | Collection of evidence (Einholen von Nachweisen) |
| — | OVR-7.10-01: Es gelten die Anforderungen der Norm ETSI EN 319401 [1] Abschnitt 7.10. |
| — | Anmerkung 1:Langfristige Anforderungen an die Aufbewahrung von Nachweisen können statt vom IPSP vom Anbieter von Personenidentifizierungsdaten erfüllt werden, der den Identitätsnachweis beantragt, sofern es sich bei den beiden um unterschiedliche Stellen handelt. |
| — | Anmerkun 2: gEs gelten die Anforderungen von Abschnitt 8.5.2 des vorliegenden Dokuments. |
| 5. | 7.11 | Business continuity management (Betriebliches Kontinuitätsmanagement) |
| — | OVR-7.11-02: Prozesse für das Krisenmanagement gemäß der Norm ETSI EN 319401 [1], REQ-7.11.3-01X sind abhängig vom Kontext des Identitätsnachweises und den Pflichten des Anbieters von Personenidentifizierungsdaten, der sich auf den IPSP-Dienst stützt. |
| 6. | 7.12 | Termination and termination plans (Beendigung und Beendigungspläne) |
| — | OVR-7.12-01: Es gelten die Anforderungen der Norm ETSI EN 319401 [1] Abschnitt 7.12. mit Ausnahme von REQ-7.12-11. |
| — | Anmerkung:Sind der IPSP und der Anbieter von Personenidentifizierungsdaten, der den Identitätsnachweis beantragt, unterschiedliche Stellen, können sie eine gegenseitige oder einseitige Unterstützung bei der Erstellung von Beendigungsplänen vereinbaren. |
| 7. | 8.1 | Initiation |
| — | INI-8.1-05: Wird der Fernidentitätsnachweisprozess abgebrochen oder schlägt er fehl, muss der IPSP sicherstellen, dass Personen, insbesondere bei einem unbeaufsichtigten Fernidentitätsnachweis, ausreichende Erläuterungen und Behelfe erhalten. Die Informationen sollten es den Personen ermöglichen, effektiv zur umgehenden Lösung des Problems beizutragen und gegebenenfalls ihre Rechte als betroffene Personen gegenüber dem Verantwortlichen auszuüben — etwa das Recht auf Berichtigung oder auf Anfechtung einer Entscheidung. |
| 8. | 8.2.1 | General requirements (Allgemeine Anforderungen) |
| — | COL-8.2.1-08: Der IPSP muss Maßnahmen umsetzen, mit denen die Kohärenz mit den in Artikel 25 der Verordnung (EU) 2016/679 festgelegten Anforderungen an den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen während des Einbindungsprozesses, vor allem bei der Verarbeitung biometrischer Daten, gewährleistet wird. Einschlägige Maßnahmen können in angemessenen kryptografischen Kontrollen, Geräten und organisatorischen Maßnahmen zur Stärkung des Schutzes der Privatsphäre bestehen. Solche Maßnahmen sollten dazu führen, dass zur Identifizierung nur so viele Daten von physischen oder digitalen Quellen erhoben werden, wie für die Verarbeitung biometrischer und sonstiger personenbezogener Daten und für die Verknüpfung der persönlichen Identifizierungsdaten des Nutzers mit seinen Brieftaschen und seinem Gerät, auf dem die Brieftaschen installiert sind, unbedingt notwendig sind. |
| 9. | 8.2.4 | Use of existing eID means as evidence (Verwendung vorhandener eID-Mittel als Nachweis) |
| — | [BEDINGT] COL-8.2.4-02X: Wird Baseline-LoIP angestrebt, müssen die eID-Mittel mindestens auf dem eID-Sicherheitsniveau „substanziell“ notifiziert worden sein oder ihr Sicherheitsniveau muss von einer akkreditierten Konformitätsbewertungsstelle im Sinne von Artikel 2 Nummer 13 der Verordnung (EG) Nr. 765/2008 oder einer gleichwertigen Stelle bestätigt worden sein. Sind alle geltenden Anforderungen erfüllt, wird im Ergebnis der Bewertung eine Konformitätsbescheinigung auf der Grundlage eines Zertifizierungsaudits ausgestellt. Dieser förmliche Zertifizierungsprozess muss auf einem Sicherheitsbewertungsprozess beruhen, der sich auf die Sicherheitsniveaus bezieht, die für notifizierte elektronische Identifizierungsmittel oder zertifizierte europäische Brieftaschen für die digitale Identität gemäß der Verordnung (EU) Nr. 910/2014 [i.25] festgelegt wurden. |
| — | COL-8.2.4-02A: offen gelassen |
| 10. | 8.3.1 | Allgemeine Anforderungen |
| — | VAL-8.3.1-11X: Beim Identitätsnachweisprozess wird überprüft, ob der Nachweis zum Zeitpunkt des Identitätsnachweises gültig ist. |
| 11. | 8.3.3 | Validation of physical identity document (Validierung eines physischen Identitätsdokuments) |
| — | VAL-8.3.3-21: Die Wirksamkeit der Maßnahmen zur Erfüllung der Anforderungen VAL-8.3.3-05X, VAL-8.3.3-05A, VAL-8.3.3-05B, VAL-8.3.3-05C, VAL-8.3.3-07A und VAL-8.3.3-07X muss von einer akkreditierten Konformitätsbewertungsstelle im Sinne von Artikel 2 Nummer 13 der Verordnung (EG) Nr. 765/2008 oder einer gleichwertigen Stelle bestätigt werden. |
| — | VAL-8.3.3-22: Das Referenzgesichtsbild auf dem physischen Identitätsdokument wird per Nahfeldkommunikation erfasst und im Zuge dieses Prozesses erfolgt eine passive oder aktive Authentifizierung des Chips auf dem physischen Identitätsdokument. |
| 12. | 9.1 | Introduction, compliance with the present document, general requirements for all use cases (Einleitung, Konformität mit diesem Dokument, allgemeine Anforderungen für alle Anwendungsfälle) |
| — | USE-9.1-01X: Ein Identitätsnachweisprozess steht dann im Einklang mit dem vorliegenden Dokument, wenn er dem in Abschnitt 9.5 des vorliegenden Dokuments beschriebenen Anwendungsfall für das Extended-LoIP entspricht. |
| — | USE-9.1-03X: offen gelassen |
| 13. | 9.2.3.4 | Use case for automated operation (Anwendungsfall für den automatisierten Betrieb) |
| — | USE-9.2.3.4-04: Der IPSP legt Zielwerte für die Falschakzeptanzrate (FAR) und die Falschrückweisungsrate (FRR) auf der Grundlage einer Risikoanalyse und seines Bedrohungsanalyseverfahrens fest und befolgt dabei in vollständig automatisierten Identitätsnachweisprozessen die im ENISA-Bericht „Methodology for sectoral cybersecurity assessments“ (Methodik für sektorale Cybersicherheitsbewertungen) [i.28] festgelegte Methodik oder eine gleichwertige Methodik. Diese vom IPSP verwendeten Zielwerte dürfen die für Hybrid-Anwendungsfälle festgelegten Werte, sofern vorhanden, nicht übersteigen. Der IPSP hält diese Zielwerte für die FAR und die FRR konsequent aufrecht und stützt sich dabei auf eine Risikoanalyse und sein Bedrohungsanalyseverfahren. |
| 14. | 9.5.1 | General requirements (Allgemeine Anforderungen) |
| — | Erster Absatz: Handelt es sich bei dem Antragsteller um eine natürliche Person, einschließlich einer natürlichen Person, die eine juristische Person vertritt, und wurde die Identität des Antragstellers auf Baseline-LoIP durch Authentifizierung mittels eID nachgewiesen und soll nun auf das Niveau auf Extended-LoIP angehoben werden, gelten die folgenden Anforderungen. |
| — | USE-9.5.1-08: Der zur Stärkung der Zuverlässigkeit einer Identität erforderliche zusätzliche Identitätsnachweis gilt nur für eine eID, die im ursprünglichen Ausstellungsprozess nicht auf der Grundlage eines automatisierten Abgleichs zwischen Gesichtsbildern ausgestellt wurde. |
| 15. | 9.5.2 | Use case for enhancing identity proofing to Extended LoIP by a full identity proofing using an identity document (Anwendungsfall für die Erhöhung des Niveaus des Identitätsnachweises auf Extended-LoIP durch einen vollständigen Identitätsnachweis unter Verwendung eines Identitätsdokuments) |
| — | USE-9.5.2-01: Die Erhöhung des Niveaus des Identitätsnachweises von Baseline-LoIP auf Extended-LoIP muss den Anforderungen der in diesem Dokument in den Abschnitten 9.2.2 oder 9.2.3 beschriebenen Anwendungsfälle für Extended-LoIP entsprechen. |
| 16. | 9.5.3 | Use case for enhancing identity proofing to Extended LoIP by use of a previously captured reference face image (Anwendungsfall für die Erhöhung des Niveaus des Identitätsnachweises unter Verwendung eines zuvor erfassten Referenzgesichtsbilds) |
| — | USE-9.5.3-01: Für die Erfassung eines Referenzgesichtsbilds und für die Verknüpfung der notwendigen Identitätsattribute mit dem betreffenden Referenzgesichtsbild muss ein Identitätsnachweisprozess verwendet werden, der in einem der in den Abschnitten 9.2.2 oder 9.2.3 dieses Dokuments beschriebenen Anwendungsfälle die Anforderungen an Extended-LoIP erfüllt, oder ein Identitätsnachweisprozess, der von einer akkreditierten Konformitätsbewertungsstelle im Sinne von Artikel 2 Nummer 13 der Verordnung (EG) Nr. 765/2008 oder einer gleichwertigen Stelle unter Einhaltung des Sicherheitsniveaus „hoch“ gemäß der Verordnung (EU) Nr. 910/2014 [i.25] einer gegenseitigen Begutachtung unterzogen oder zertifiziert wurde. |
EUR-Lex