Digitale Identität entschlüsselt

Der Lebenszyklus einer digitalen Identität kann in mehrere Phasen unterteilt werden:

1. Erstellung: 
   Die digitale Identität wird erstellt, oft durch die Registrierung auf einer Plattform oder durch die Bereitstellung persönlicher Informationen bei einer Institution. Dies kann durch das Ausfüllen eines Formulars, das Hochladen von Ausweisdokumenten oder die Verwendung biometrischer Daten erfolgen.
    
2. Verifikation: 
   Die bereitgestellten Informationen werden überprüft, um sicherzustellen, dass sie korrekt und gültig sind. Dies kann durch verschiedene Methoden erfolgen, einschließlich der Überprüfung von Ausweisdokumenten, der Überprüfung von biometrischen Daten oder der Verwendung von Verifizierungscodes, die an die angegebene Kontaktinformation gesendet werden.
    
3. Nutzung: 
   Nach der Verifizierung wird die digitale Identität für verschiedene Zwecke genutzt, wie beispielsweise für den Zugriff auf Online-Dienste, die Durchführung von Transaktionen oder die Kommunikation mit anderen Benutzern.
    
4. Verwaltung und Aktualisierung: 
   Im Laufe der Zeit müssen digitale Identitäten möglicherweise verwaltet und aktualisiert werden. Dies kann Änderungen persönlicher Informationen einschließen, wie zum Beispiel eine Änderung der Adresse oder des Namens, oder das Hinzufügen zusätzlicher Sicherheitsschichten wie Zwei-Faktor-Authentifizierung.
    
5. Deaktivierung oder Löschung: 
   Wenn eine digitale Identität nicht mehr benötigt wird oder wenn der Benutzer beschließt, sie nicht mehr zu verwenden, kann sie deaktiviert oder gelöscht werden. Dies kann auf Initiative des Benutzers selbst oder aufgrund von Richtlinien der Plattform oder Institution erfolgen.
    
6. Archivierung oder Aufbewahrung: 
   In einigen Fällen kann eine digitale Identität archiviert oder für einen bestimmten Zeitraum aufbewahrt werden, um mögliche rechtliche oder regulatorische Anforderungen zu erfüllen. Dies kann dazu dienen, vergangene Transaktionen oder Kommunikationen zu dokumentieren.

Die genauen Details des Lebenszyklus einer digitalen Identität können je nach Kontext und den spezifischen Anforderungen der Plattform oder Institution variieren.

Eine digitale Identität für Menschen umfasst die Gesamtheit der digitalen Informationen und Attribute, die mit einer Person im digitalen Raum verknüpft sind. Dazu gehören unter anderem:

• Persönliche Daten: 
  Name, Geburtsdatum, Adresse, E-Mail-Adresse, Telefonnummer und andere Identifikationsmerkmale.
• Anmeldedaten: 
  Benutzername und Passwort für verschiedene Online-Dienste und Plattformen.
• Online-Profile: 
  Informationen auf sozialen Netzwerken, beruflichen Netzwerken wie LinkedIn, und anderen Plattformen, auf denen eine Person aktiv ist.
• Digitale Aktivitäten: 
  Browserverlauf, Suchanfragen, Online-Käufe, Beiträge in sozialen Medien und andere Online-Interaktionen.
• Biometrische Daten: 
  Fingerabdrücke, Gesichtserkennung und andere biometrische Merkmale, die zur Authentifizierung verwendet werden.
• Zertifikate und digitale Signaturen: 
  Elektronische Dokumente, die die Identität bestätigen und Authentizität garantieren.

Digitale Identitätsdaten können sicher über elektronische Ausweise, in Deutschland den digitalen Personalausweis, übertragen werden. Mit der eIDAS 2.0 Verordnung hat die EU die Einführung einer digitalen Wallet beschlossen, über die Bürgerinnen und Bürger der EU sich künftig digital ausweisen sollen.

Unternehmen

Auch Unternehmen und Organisationen können eine digitale Identität besitzen. Ähnlich wie für Bürgerinnen und Bürger soll juristischen Personen eine Organisationswallet zur Verfügung gestellt werden. Darüber sollen Unternehmen mit öffentlichen Stellen, Privat- und Geschäftskunden kommunizieren können. Diese kann folgende Attribute beinhalten:

• Unternehmensdaten: 
  Strukturierte Datensätze mit Name, Rechtsform, Adresse, Gründungsdatum, Unternehmensidentifikationsnummern (z.B. Handelsregistereintrag) und Steueridentifikationsnummern.
• Digitale Zertifikate und Signaturen: 
  SSL/TLS-Zertifikate für Websites, digitale Signaturen für Dokumente und E-Mails, und andere Authentifizierungsmethoden, die in der Wallet gespeichert und verwaltet werden.
• Verifizierte Kontaktinformationen: 
  Offizielle E-Mail-Adressen, Telefonnummern und Kommunikationskanäle, die verifiziert und sicher in der Wallet gespeichert sind.
• Geschäftliche Nachweise: 
  Verträge, Partnerschaftsvereinbarungen, Handelslizenzen und andere relevante Dokumente, die in digitaler Form in der Wallet hinterlegt sind.
• Finanzinformationen: 
  Bankverbindungen, Zahlungsinformationen, Rechnungen und andere finanzielle Daten, die für Transaktionen verwendet werden können.
• Mitarbeiter- und Rollenmanagement: 
  Digitale Identitäten der Mitarbeiter, ihre Rollen und Zugriffsrechte innerhalb der Organisation, die in der Wallet verwaltet werden.
• Compliance-Dokumente: 
  Datenschutzrichtlinien, Sicherheitszertifikate, Audit-Berichte und andere Dokumente, die die Einhaltung gesetzlicher Vorschriften belegen.
• Markenidentität: 
  Digitale Versionen von Logos, Slogans, Markenrichtlinien und anderen visuellen und inhaltlichen Markenkomponenten.
• IT-Infrastruktur-Zugang: 
  Zugangsdaten und Berechtigungen für Cloud-Dienste, Hosting-Provider, Datenbanken und andere technische Komponenten, die sicher in der Wallet gespeichert sind.

Aus Sicht der Identitäts-Inhaber (Person, Organisation) gelten bestimmte Anforderungen, die für die Nutzung einer digitalen Identität wichtig sind:

• Eine digitale Identität muss sicher und einfach zu bedienen sein. Sie sollte es den Nutzern ermöglichen, ihre Identität selbst zu verwalten, und rund um die Uhr verfügbar sein. Zudem sollte sie von der Mehrheit der Bevölkerung akzeptiert und anerkannt werden.
• Die digitale Identität sollte in verschiedenen Bereichen und Branchen genutzt werden können und auch international gültig sein, um ihre Anwendbarkeit und Nützlichkeit zu maximieren.
• Die Nutzung der digitalen Identität sollte vollständig digital ablaufen, ohne dass zwischen digitalen und analogen Prozessen gewechselt werden muss.
• Es sollte die Möglichkeit bestehen, die digitale Identität zu pseudonymisieren oder zu anonymisieren, um den Datenschutz und die Privatsphäre der Nutzer zu gewährleisten.

Auch der Anforderungssteller in Person des Gesetzgebers hat bestimmte Anforderungen, wenn es um die Implementierung von digitalen Identitäten geht. Diese Punkte sind entscheidend für die Schaffung einer benutzerfreundlichen, sicheren und effizienten digitalen Identität, die sowohl auf nationaler als auch auf internationaler Ebene funktioniert.

• Das Once-Only-Prinzip: 
  Daten sollen nur einmal erhoben werden und dann interoperabel zwischen verschiedenen Systemen und Diensten genutzt werden können, um Redundanz zu vermeiden.
• Maximale Usability im Zusammenspiel mit maximaler Sicherheit: 
  Die digitale Identität soll benutzerfreundlich sein und gleichzeitig höchste Sicherheitsstandards einhalten, um den Nutzern ein einfaches und sicheres Nutzungserlebnis zu bieten.
  Beachtung der Datensparsamkeit und digitalen Souveränität: Es sollen nur die unbedingt notwendigen Daten erhoben und verarbeitet werden, um die Privatsphäre und Souveränität der Nutzer zu gewährleisten.
• Höchste Ausfallsicherheit/Verfügbarkeit: 
  Die Systeme zur Verwaltung der digitalen Identität müssen sehr zuverlässig sein und eine hohe Verfügbarkeit aufweisen, um jederzeit und ohne Unterbrechung zugänglich zu sein.
• Vereinfachter Zugang zu Verwaltungsleistungen, national wie auch international: 
  Die digitale Identität soll den Zugang zu Verwaltungsdienstleistungen vereinfachen, sowohl innerhalb des eigenen Landes als auch grenzüberschreitend.
• Zukünftiges Zielszenario: 
  „Digital first“ – digitales Verfahren nicht als Ausnahme, sondern als Standard: Digitale Prozesse sollen die Regel und nicht die Ausnahme sein, um die Effizienz und Benutzerfreundlichkeit von Verwaltungsdienstleistungen zu maximieren.

z.B. Regulierungsbehörde, Überwachungsbehörde

• Einhaltung der formulierten funktionalen, technischen und gesetzlichen Mindeststandards: 
  Die digitale Identität muss den festgelegten Mindestanforderungen hinsichtlich Funktionalität, Technik und Gesetzgebung entsprechen, um Sicherheit und Kompatibilität zu gewährleisten.
• Gleichgewicht zwischen Benutzerfreundlichkeit und starker Sicherheit: 
  Es muss eine Balance zwischen einfacher Nutzung und hohen Sicherheitsstandards gefunden werden, damit die digitale Identität sowohl sicher als auch benutzerfreundlich ist.
• Auf einheitlichen, idealerweise weltweit anerkannten Standards aufbauen: 
  Die digitale Identität sollte auf Standards basieren, die idealerweise weltweit anerkannt sind, um Interoperabilität und internationale Akzeptanz zu fördern.
• Sicherer, zuverlässiger, skalierbarer und bequemer Austausch von Daten: 
  Der Datenaustausch muss sicher, zuverlässig und skalierbar sein, um den Anforderungen verschiedenster Anwendungen gerecht zu werden und eine bequeme Nutzung zu ermöglichen.

z.B. Relying Party

• Übertragbarkeit von Daten über standardisierte Datenformate und Protokolle: 
  Daten sollten in standardisierten Formaten und über standardisierte Protokolle übertragen werden können, um die Interoperabilität und den Austausch zwischen verschiedenen Systemen und Plattformen zu erleichtern.
• Nutzung branchenübergreifender Standards: 
  Es sollten branchenübergreifende Standards verwendet werden, um sicherzustellen, dass die digitale Identität mit bereits bestehenden Identitätslösungen kompatibel ist und nahtlos integriert werden kann. Dies gewährleistet, bzw. ermöglicht Interoperabilität mit existierenden ID-Lösungen.
• Maximale Usability sowie Performance zum minimalen Preis: 
  Die digitale Identität sollte eine hohe Benutzerfreundlichkeit und Leistung bieten, dabei jedoch kosteneffizient sein, um sowohl für Nutzer als auch für Anbieter attraktiv zu sein.
• Vollumfängliche Datenverfügbarkeit in der jeweils benötigten Qualifikationsstufe: 
  Die Daten sollten in dem Umfang und der Qualität verfügbar sein, die für die jeweilige Anwendung oder den jeweiligen Zweck erforderlich sind, um eine optimale Nutzung und Funktionalität zu gewährleisten.

Vergibt hoheitliche Identitätsdokumente – wie z.B. eID

• Unverfälschbarkeit der digitalen Identität: 
  Die digitale Identität muss fälschungssicher sein und eine eindeutige Authentizität gewährleisten, damit die Identität des Nutzers zweifelsfrei nachgewiesen werden kann.
• Übergreifend verwendbar (online/offline, national/international): 
  Die digitale Identität sollte sowohl online als auch offline genutzt werden können und in verschiedenen nationalen sowie internationalen Kontexten anwendbar sein, um maximale Flexibilität und Nutzbarkeit zu gewährleisten.
• 100%ige Verbreitung: 
  Die digitale Identität sollte idealerweise von allen Nutzern verwendet werden, um eine flächendeckende Akzeptanz und Anwendung zu erreichen.
• Verwendung höchstes verfügbares Sicherheitsniveau: 
  Bei der digitalen Identität sollte stets das höchstmögliche Sicherheitsniveau angewendet werden, um die Daten der Nutzer bestmöglich zu schützen und Vertrauen in das System zu schaffen.

Accountprovider z.B. NetID

• Austausch und Nutzung von Identitätsdaten für alle Interessensgruppen und über alle Branchen hinweg: 
  Identitätsdaten sollten für alle relevanten Interessensgruppen und in allen Branchen zugänglich und nutzbar sein, um eine weitreichende und vielseitige Anwendung zu ermöglichen.
• Wiederverwendung bestehender Identitätsdaten: 
  Bereits vorhandene Identitätsdaten sollten wiederverwendet werden können, um Redundanzen zu vermeiden und die Effizienz zu erhöhen.
• Breite, branchenübergreifende Akzeptanz: 
  Die digitale Identität sollte branchenübergreifend akzeptiert und genutzt werden, um ihre Anwendbarkeit und Nützlichkeit zu maximieren.
• Nutzung offener Standards, um größere Wachstumschancen zu erzielen: 
  Offene Standards sollten verwendet werden, um die Interoperabilität zu fördern und das Wachstumspotenzial der digitalen Identität zu maximieren.
• Grenzüberschreitend: 
  Gleichwertige Anforderungen an Identifizierungsprozesse und gegenseitige Anerkennung durch jeweilige Aufsichtsbehörden der Mitgliedsstaaten: Es sollten grenzüberschreitende, einheitliche Anforderungen an die Identifizierungsprozesse bestehen, die von den Aufsichtsbehörden der jeweiligen Mitgliedsstaaten anerkannt werden, um eine internationale Nutzbarkeit zu gewährleisten.
• Breites Angebot von digitalen Identitäten mit unterschiedlichen Sicherheitsniveaus, bedarfsorientiert angepasst an den UseCase: 
  Es sollte ein breites Spektrum an digitalen Identitäten mit unterschiedlichen Sicherheitsniveaus angeboten werden, die je nach Anwendungsfall bedarfsgerecht angepasst werden können. 
• Erhöhung der Qualifizierungsstufe der DI im Laufe des Lebenszyklus in Abhängigkeit der Anforderungen des aktuellen UseCases: 
  Die Qualifizierungsstufe der digitalen Identität sollte im Laufe ihres Lebenszyklus erhöht werden können, abhängig von den Anforderungen des jeweiligen Anwendungsfalls, um eine kontinuierliche Anpassung und Verbesserung zu ermöglichen.

Eine digitale Identität umfasst eine Vielzahl von Daten, die dazu dienen, eine Person oder Organisation eindeutig und sicher zu identifizieren. Diese Daten ermöglichen es, Identitäten in verschiedenen digitalen Kontexten zuverlässig zu verifizieren und zu nutzen. Die folgende Liste bietet einen Überblick über mögliche Informationen, die in einer digitalen Identität enthalten sein können:

• Name bzw. Organisations-/Firmenname: 
  Der offizielle Name der Person oder Organisation.
• Vorname: 
  Der erste Name einer Person.
• Biometrische Daten: 
  Daten wie Fingerabdrücke, Gesichtserkennung oder Iris-Scans, die zur eindeutigen Identifizierung dienen.
• Anschrift: 
  Die Wohnadresse einer Person oder die Geschäftsadresse einer Organisation.
• Geburtsdatum: 
  Das Datum, an dem eine Person geboren wurde.
• Geburtsort: 
  Der Ort, an dem eine Person geboren wurde.
• Staatsangehörigkeit/Nationalität: 
  Die rechtliche Zugehörigkeit zu einem Staat.
• Beruf: 
  Der Beruf oder die berufliche Tätigkeit einer Person.
• Familienstand: 
  Der rechtliche Status einer Person in Bezug auf Ehe oder Partnerschaft.
• Pseudonym: 
  Ein alternativer Name, der zur Wahrung der Privatsphäre verwendet werden kann.
• Geschlecht: 
  Das biologische oder soziale Geschlecht einer Person.
• Rechtsform/Gesellschaftsform: 
  Die rechtliche Struktur einer Organisation, z.B. GmbH, AG.
• Gesetzliche Vertreter/Vertretungsberechtigte Person: 
  Personen, die berechtigt sind, im Namen der Organisation zu handeln.
• Eindeutige ID (z.B. Steuer-Identitätsnummer, Bezahldaten): 
  Eine eindeutige Identifikationsnummer, die einer Person oder Organisation zugeordnet ist.
• Benutzername: 
  Ein eindeutiger Name, der zur Anmeldung in digitalen Systemen verwendet wird.
• Mail-Adresse: 
  Die elektronische Postadresse einer Person oder Organisation.
• Passwort: 
  Ein geheimes Wort oder eine Zeichenfolge, die zur Authentifizierung verwendet wird.
• Token, Chipkarten: 
  Physische oder digitale Mittel zur Authentifizierung und Identifikation.

• Fingerabdruck: 
  Ein einzigartiges Muster auf der Haut der Finger, das zur Identifikation verwendet wird.
• Foto: 
  Ein Bild des Gesichts einer Person, das zur visuellen Identifikation dient.
• Retina-Scan: 
  Ein Bild der Netzhaut im Auge, das einzigartige Muster enthält und zur Identifikation verwendet wird.
• Gesichtserkennung: 
  Technologie, die das Gesicht einer Person scannt und analysiert, um die Identität zu bestätigen.
• DNA: 
  Das genetische Material, das eine einzigartige Identifikation ermöglicht.

Als Identitätsinhaber sind natürliche Personen im Zentrum der Digitalen Identität. Mit der eIDAS-Verordnung soll ihnen mehr Souveränität über ihre Daten gegeben werden. Durch die Wallet können in Zukunft hoheitliche Identitätsdaten und Nachweise wie Tickets, Zeugnisse, oder Buchungsbelege digital von ihnen übertragen werden. 

Die EU hat mit der Novellierung der eIDAS-Verordnung die Grundlage für die Weiterentwicklung Digitaler Identitäten sowie die Harmonisierung der europäischen eID-Ökosysteme geschaffen. 

Die Mitgliedsstaaten der EU fungieren als Identitätsaussteller. Hoheitliche Dokumente wie Personalausweis, Reisepass und Führerschein werden vom Staat digital zur Verfügung gestellt. Diese dienen als digitale Identitäten für Bürgerinnen und Bürger sowie Unternehmen innerhalb des jeweiligen Landes. Die Staaten können auch als Herausgeber einer Wallet auftreten, in der Staatsbürger ihre Identitätsdaten speichern können. Sie stellen außerdem sicher, dass ihre nationalen eID-Systeme den Standards von eIDAS entsprechen, insbesondere hinsichtlich der Interoperabilität und gegenseitigen Anerkennung. Damit schaffen die Mitgliedsstaaten die Rahmenbedingungen, um digitale Identitäten für die Bürgerinnen und Bürger nutzbar zu machen. 

• Das BMI als federführendes Ressort ist für den regulatorischen Rahmen in Deutschland verantwortlich.
• Nachgeordnet haben verschiedene Behörden die Aufsicht über die einzelnen Anwendungen und Dienste. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt Sicherheitsstandards und Richtlinien für die Implementierung und Nutzung digitaler Identitäten und prüft die Identifizierungsverfahren wie Video- und AutoIdent sowie die eID auf ihre Sicherheit. Das BSI kann außerdem Produkte und Lösungen im Bereich digitaler Identitäten zertifizieren. Die Bundesnetzagentur (BNetzA) hat als Aufgabe die Zulassung und Überwachung von Trust Service Providern (TSPs), die elektronische Signaturen und andere Vertrauensdienste anbieten. Außerdem kann die BNetzA Richtlinien und Standards für elektronische Signaturverfahren festlegen und sicherstellen, dass diese den rechtlichen Anforderungen entsprechen. 

(Privat-) Wirtschaft/ Unternehmen
Unternehmen nehmen verschiedene Rollen ein, um die sichere und effiziente Nutzung und Verwaltung digitaler Identitäten zu gewährleisten. Dabei können sie als Abfragende, des Inhaber und Konto-Anbieter auftreten. Jede dieser Rollen hat spezifische Aufgaben und Verantwortlichkeiten, die zur sicheren und zuverlässigen Nutzung digitaler Identitäten beitragen.

Rollen von Unternehmen bei digitalen Identitäten

• Abfragender: 
  Unternehmen, die als Abfragende agieren, nutzen digitale Identitäten, um die Identität von Nutzern zu verifizieren. Diese Rolle ist entscheidend für die Durchführung sicherer und vertrauenswürdiger Transaktionen, sei es im E-Commerce, beim Zugang zu Dienstleistungen oder bei der Authentifizierung von Nutzern. Der Abfragende muss sicherstellen, dass die erhaltenen Identitätsinformationen korrekt und vertrauenswürdig sind. Beispiele für Abfragende sind Banken, Online-Händler und Regierungsbehörden.
• Inhaber: 
  Der Inhaber einer digitalen Identität ist das Unternehmen oder die Person, deren Identitätsinformationen digital gespeichert und verwaltet werden. Unternehmen können die Inhaber digitaler Identitäten sein, indem sie diese für ihre Mitarbeiter, Kunden oder Partner bereitstellen und verwalten. Die Rolle des Inhabers umfasst die Verantwortung, die Integrität und Sicherheit der Identitätsinformationen zu gewährleisten. Inhaber müssen sicherstellen, dass ihre digitalen Identitäten aktuell und geschützt sind, um Missbrauch und Identitätsdiebstahl zu verhindern.
• Konto-Anbieter: 
  Unternehmen, die als Konto-Anbieter fungieren, sind für die Ausstellung und Verwaltung digitaler Identitäten verantwortlich. Sie stellen die technologischen Lösungen bereit, die es Nutzern ermöglichen, ihre Identitäten zu erstellen, zu verwalten und sicher zu nutzen. Konto-Anbieter müssen hohe Sicherheitsstandards einhalten und vertrauenswürdige Dienste anbieten, um die Privatsphäre und die Integrität der Identitätsinformationen zu gewährleisten. Beispiele für Konto-Anbieter sind Anbieter von Identitäts- und Authentifizierungsdiensten, wie z.B. Telekommunikationsunternehmen, Finanzdienstleister oder spezialisierte IT-Dienstleister.

Diese Rollen sind entscheidend für das Funktionieren und die Sicherheit digitaler Identitätssysteme. Abfragende, Inhaber und Konto-Anbieter müssen eng zusammenarbeiten und sich auf gemeinsame Standards und Best Practices einigen, um eine nahtlose und sichere Nutzung digitaler Identitäten zu gewährleisten. Durch die klare Definition und Einhaltung dieser Rollen können Unternehmen das Vertrauen in digitale Identitätssysteme stärken und deren Akzeptanz und Nutzung fördern.

• ETSI / CEN
  Das Europäische Institut für Telekommunikationsnormen (ETSI) ist eine unabhängige Organisation, die Normen für Telekommunikations- und Informationstechnologien in Europa entwickelt.
  Es definiert Standards für eine Vielzahl von Technologien, darunter Mobilfunknetze, Breitbandkommunikation, Internetprotokolle, Smart Cards, Internet der Dinge (IoT) und viele andere. Auf dieser Basis werden Zertifizierungen für Identifizierungsmethoden vergeben.
  Das Europäische Komitee für Normung (CEN) fördert die Entwicklung von Normen, um die Interoperabilität, Sicherheit und Qualität von Produkten und Dienstleistungen in Europa zu verbessern.
  CEN arbeitet eng mit anderen europäischen und internationalen Normungsorganisationen zusammen, um die Harmonisierung von Normen und die gegenseitige Anerkennung von Zertifizierungen zu fördern.
• ISO
  Die Internationale Organisation für Normung (ISO) entwickelt Standards und Richtlinien für Authentifizierungsmethoden, Identitätsverifizierung, Zugriffskontrolle, Datenschutz und Datensicherheit. ISO legt dabei Sicherheitsstandards fest, um die Integrität, Vertraulichkeit und Verfügbarkeit von Identitätsdaten zu gewährleisten und Sicherheitsrisiken wie Identitätsdiebstahl und Betrug zu minimieren.
• DIN
  Das Deutsche Institut für Normung (DIN) arbeitet eng mit internationalen Normungsorganisationen wie der Internationalen Organisation für Normung (ISO) zusammen, um internationale Standards im Bereich digitaler Identitäten zu übernehmen, anzupassen und auf nationale Bedürfnisse und Anforderungen anzupassen. DIN kann branchenspezifische Normen im Bereich digitaler Identitäten entwickeln, die spezifische Anforderungen und Best Practices für bestimmte Branchen oder Sektoren berücksichtigen, wie z.B. das Gesundheitswesen, Finanzdienstleistungen oder den öffentlichen Sektor. Außerdem tritt DIN als Zertifizierungs- und Konformitätsbewertungsdienst auf.
• BSI / BAFIN / BNETZA / BMI
  Die Bundesnetzagentur (BNetzA) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) legen die Sicherheitsstandards und Richtlinien für die Nutzung von Vertrauensdiensten und digitalen Identitäten fest. Dabei gibt das Bundesministerium des Inneren als dem BSI vorgestellte Behörde die regulatorischen Rahmenbedingungen vor. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ist für die Regulierung von Identifizierungsverfahren in der Finanzbranche, insbesondere im Zusammenhang mit der Identitätsprüfung von Kunden und der Verifizierung von Identitäten zuständig.
• IT-Planungsrat
  Der IT-Planungsrat ist ein Gremium, das sich aus Vertretern der Bundesregierung und den CIOs der Länderregierungen zusammensetzt und für die strategische Koordination und Planung der Informationstechnologie (IT) im öffentlichen Sektor in Deutschland verantwortlich ist. Zu den Hauptaufgaben des IT-Planungsrats gehören die Entwicklung von IT-Strategien und -Richtlinien, die Koordinierung von IT-Projekten, die Förderung von Interoperabilität und Datenaustausch sowie die Entwicklung von Standards und Richtlinien. 

• eIDAS-Verordnung (Electronic Identification, Authentication and Trust Services): 
  Diese EU-Verordnung schafft einen rechtlichen Rahmen für elektronische Identifizierung und Vertrauensdienste in der Europäischen Union, um grenzüberschreitende digitale Identitäten zu ermöglichen.
• Datenschutz-Grundverordnung (DSGVO): 
  Die DSGVO regelt den Datenschutz und die Verarbeitung personenbezogener Daten innerhalb der EU und stellt sicher, dass die Privatsphäre der Nutzer gewahrt wird.
• PSD2 (Payment Services Directive 2): 
  Diese Richtlinie zielt darauf ab, den Zahlungsverkehr in der EU zu regulieren und die Sicherheit elektronischer Zahlungen zu erhöhen.

• Onlinezugangsgesetz (OZG): 
  Das OZG verpflichtet Bund und Länder, ihre Verwaltungsleistungen auch digital anzubieten.
• De-Mail-Gesetz: 
  Dieses Gesetz regelt die sichere und rechtsverbindliche elektronische Kommunikation mit Behörden und Unternehmen in Deutschland.
• Gesetz über das Aufspüren von Gewinnen aus schweren Straftaten (GWG): 
  Dieses Gesetz zielt darauf ab, Geldwäsche und die Finanzierung von Terrorismus zu verhindern und umfasst Regelungen zur Identitätsprüfung.
• Zahlungsdiensteumsetzungsgesetz (ZDUG): 
  Das Gesetz setzt die EU-Zahlungsdiensterichtlinie (PSD2) in nationales Recht um.
• Zahlungsdiensteaufsichtsgesetz (ZAG): 
  Regelt die Erbringung von Zahlungsdiensten und die Beaufsichtigung der Zahlungsdienstleister.
• Vertrauensdiensteverordnung (VDV): 
  Diese Verordnung regelt die Anerkennung und Nutzung von elektronischen Vertrauensdiensten in Deutschland.
• Vertrauensdienstegesetz (VDG): 
  Ergänzt die eIDAS-Verordnung und schafft den rechtlichen Rahmen für Vertrauensdienste auf nationaler Ebene.
• Telekommunikationsgesetz (TKG): 
  Das TKG regelt die Rahmenbedingungen für Telekommunikationsdienste, einschließlich der Nutzung von digitalen Identitäten.
• Bundesmeldegesetz (BMG): 
  Dieses Gesetz regelt die Meldepflichten von Bürgern in Deutschland und die Verwaltung von Meldeinformationen.
• Smart eID-Gesetz: 
  Dieses Gesetz schafft die rechtlichen Grundlagen für die Nutzung der Online-Ausweisfunktion des Personalausweises und anderer elektronischer Identitätsnachweise.
• eGovernment-Gesetz (Bund und Länder): 
  Es fördert die Digitalisierung der Verwaltung und den Einsatz von elektronischen Verwaltungsdiensten.
• eID-Karte-Gesetz (eIDKG): 
  Dieses Gesetz regelt die Ausstellung und Nutzung der eID-Karte für Unionsbürger und Angehörige des Europäischen Wirtschaftsraums.
• §336 iVm. 291 SGB V (Zugriffsrechte der Versicherten): 
  Diese Vorschrift des Sozialgesetzbuches regelt die Zugriffsrechte von Versicherten auf ihre elektronischen Gesundheitsdaten.

In der Kommunikation mit der Verwaltung sollen Bürger in Zukunft verstärkt von ihrer digitalen Identität Gebrauch machen. Damit sollen Bürgerservices digital zugänglich gemacht werden. Ähnlich wie bei Anwendungsfällen, die im privaten Bereich liegen, richten sich auch in der Verwaltung die zu übertragenden Daten stark nach der Sensibilität der jeweiligen Anwendung. So kann die Steuererklärung lediglich mit einem auf dem Endgerät gespeicherten Elster-Zertifikat ausgefüllt, abgeschickt und im Nachgang mit dem Finanzamt kommuniziert werden. Die Beantragung eines Führungszeugnisses oder eines Grundbuchauszugs erfordert jedoch höhere Sicherheitsmaßnahmen und wird daher mit der eID ausgeführt werden müssen. Das OZG regelt dabei die Digitalisierung solcher Dienste, zu der Bund, Länder und Kommunen verpflichtet sind. 

Digitale Identitäten sind in einer Vielzahl von Anwendungsfällen im privaten Bereich von entscheidender Bedeutung. Im Finanzwesen ermöglichen sie im Online-Banking sichere Transaktionen und den Zugriff auf Bankkonten durch eine zuverlässige Authentifizierung der Benutzer. Außerdem erlauben digitale Identitäten eine nahtlose und sichere Kontoeröffnung sowie die Beantragung von Krediten durch die Überprüfung der Identität und Bonität der Antragsteller.

Digitale Identitäten erleichtern die Nutzung von Vertrauensdiensten wie elektronischen Signaturen. Dokumente können von Unternehmen außerdem rechtsgültig digital gesiegelt werden. Die Novellierung der eIDAS-Verordnung sieht vor, Privatpersonen sowie Unternehmen zukünftig qualifizierte elektronische Signaturen (QES) direkt über die EUDI-Wallet auf dem Smartphone auslösen zu lassen. Dadurch wird das rechtsverbindliche elektronische Signieren von Verträgen deutlich einfacher.

Im Gesundheitswesen spielen digitale Identitäten eine wichtige Rolle bei der Verwaltung von sensiblen Gesundheitsdaten. Sie ermöglichen den sicheren Zugriff auf und die Verwaltung von E-Rezepten und Gesundheitskarten.

Im Tourismussektor erleichtern digitale Identitäten den Buchungsprozess für Reisen, indem sie eine sichere Authentifizierung für die Buchung von Unterkünften, Flügen und Aktivitäten bieten. In der EUDI-Wallet können zudem Nachweise von Buchungen sowie hoheitliche Dokumente wie der Führerschein oder der Reisepass digital gespeichert und im Bedarfsfall überprüft werden. Die digitale Übertragung von Reisepassdaten im Vorfeld einer Reise kann außerdem Visaprozesse beschleunigen sowie bei Buchungen sowie einer Autovermietung verwendet werden.

In geschlossenen Liegenschaften können digitale Zugangsberechtigungen für Mitarbeiter ausgestellt werden, um sicher auf Unternehmensressourcen zuzugreifen und physische Standorte zu betreten. Diese Art des Zutrittsmanagements erhöht sowohl die Sicherheit z.B. für sensible Daten als auch die Nachvollziehbarkeit von Zutritten.

Darüber hinaus werden digitale Identitäten für die SIM-Kartenregistrierung verwendet, um die Identität von Benutzern in der Telekommunikation zu überprüfen.

Bei Transaktionen, die eine Altersverifikation erfordern, wie beispielsweise der Kauf von Alkohol oder Tabak, ermöglichen digitale Identitäten eine schnelle und zuverlässige Altersüberprüfung. Dabei gilt es zu erwähnen, dass bei online-Transaktionen lediglich eine Bestätigung über die Volljährigkeit, bzw. das benötigte Alter übertragen wird.

Sie erleichtern auch die Überprüfung der Echtheit von Dokumenten wie Ausweisen, Bildungsnachweisen oder Arbeitsbescheinigungen durch digitale Signaturen und Authentifizierungsmethoden.

Weitere Anwendungsfälle finden sich in der Bildung. Digitale Identitäten ermöglichen einen sicheren Zugang zu Online-Lernplattformen und die Verwaltung von Lernfortschritten. Außerdem können Universitäten und Bildungseinrichtungen digitale Zertifikate und Abschlüsse ausstellen, die fälschungssicher und überprüfbar sind. 

Ähnlich können soziale Netzwerke eine effiziente Profilverifizierung und somit einen erhöhten Schutz vor Fake-Accounts und Identitätsdiebstahl durch digitale Identitäten erzielen. Mit Zugangskontrollen wird zudem der Kinder- und Jugendschutz erhöht.

Diese Zugangskontrollen können auch für digitale Museen und Bibliotheken verwendet werden. Somit kann digitales oder digitalisiertes Kulturerbe sicher zugänglich gemacht werden. 

• Niedrig: 
  Dieses Sicherheitsniveau bezieht sich auf grundlegende elektronische Identifikations- und Vertrauensdienste, bei denen die Sicherheitsanforderungen nicht so streng sind. Es bietet einen gewissen Schutz, ist jedoch für weniger kritische Transaktionen geeignet.
• Substantiell: 
  Bei diesem Sicherheitsniveau sind die Sicherheitsanforderungen höher. Es beinhaltet zusätzliche Verfahren zur Überprüfung der Identität, um ein höheres Maß an Sicherheit und Vertrauen zu gewährleisten. Dieses Niveau eignet sich für Transaktionen, bei denen ein moderates Sicherheitsniveau erforderlich ist.
• Hoch: 
  Das Sicherheitsniveau "Hoch" ist das strengste Sicherheitsniveau gemäß eIDAS. Es beinhaltet fortgeschrittene Sicherheitsmaßnahmen und strenge Identitätsprüfungen, um ein Höchstmaß an Sicherheit und Vertrauen zu gewährleisten. Es ist für kritische oder hochsensible Transaktionen gedacht.

DE-Mail ist ein Dienst für elektronische Kommunikation in Deutschland, der Sicherheitsstandards erfüllt, um Nachrichtenvertraulichkeit, Integrität und Authentizität zu gewährleisten. Es gibt zwei Sicherheitsniveaus:

• Normal: 
  Bietet grundlegende Sicherheitsfunktionen wie sichere Übertragung und Authentifizierung, jedoch nicht so umfassend wie "Hoch".
• Hoch: 
  Bietet erweiterte Sicherheitsfunktionen wie stärkere Verschlüsselung und zusätzliche Identitätsüberprüfungen.

ISO/IEC 29115 ist eine internationale Norm, die sich mit der Authentifizierung von Identitäten befasst, insbesondere im Zusammenhang mit elektronischen Transaktionen und Kommunikationen. Die Norm definiert verschiedene Ebenen der Vertrauenswürdigkeit (Level of Assurance, LoA), die angeben, wie viel Vertrauen in die Authentizität einer Identität gesetzt werden kann. Hier sind die verschiedenen Ebenen:

• LoA 1
  Geringes oder kein Vertrauen: Bei dieser Ebene besteht wenig bis gar kein Vertrauen in die Authentizität der Identität. Es gibt minimale Sicherheitsvorkehrungen oder keine Überprüfung der Identität.
• LoA 2 
  Einige Vertrauen: Auf dieser Ebene besteht ein gewisses Maß an Vertrauen in die Authentizität der Identität. Es wurden einige Sicherheitsvorkehrungen getroffen oder einige Überprüfungen der Identität durchgeführt, aber das Vertrauen ist begrenzt.
• LoA 3
  Hohes Vertrauen: Bei dieser Ebene besteht ein hohes Maß an Vertrauen in die Authentizität der Identität. Es wurden gründliche Sicherheitsvorkehrungen getroffen und umfassende Überprüfungen der Identität durchgeführt.
• LoA 4
  Sehr hohes Vertrauen: Auf dieser Ebene besteht ein sehr hohes Maß an Vertrauen in die Authentizität der Identität. Es wurden sehr strenge Sicherheitsvorkehrungen getroffen und äußerst gründliche Überprüfungen der Identität durchgeführt.

Das Sicherheitsniveau "self-declared" bezieht sich auf eine Situation, in der eine Person oder eine Organisation selbst angibt, dass sie bestimmte Sicherheitsstandards erfüllt oder bestimmte Sicherheitsvorkehrungen getroffen hat, ohne dass diese von einer unabhängigen Stelle überprüft oder zertifiziert wurden. Dies bedeutet, dass die Behauptungen über die Sicherheit auf dem Vertrauen basieren, das man in die Integrität und Kompetenz der Person oder Organisation setzt, die die Erklärung abgibt. Es ist wichtig zu beachten, dass "self-declared" Sicherheitsniveaus möglicherweise nicht so zuverlässig sind wie solche, die von unabhängigen Dritten überprüft und zertifiziert wurden.

Cookies sind ein Tool zur Speicherung von Informationen einer besuchten Website im Webbrowser, z.B. zur Sicherung spezifischer Einstellungen oder der Nutzerverfolgung.

Das SSO ist eine log-in Methode für einen Geräte- oder Account gebundenen Zugriff auf Dienste, für die eine lokale Berechtigung vorliegt. Zur Aktivierung des SSO-Mechanismus wird nur eine initiale Authentifizierung benötigt (z.B. ein Passwort).

Beispiel: Eine Anmeldung über ein Unternehmensnetzwerk um automatisch Zugriff auf verschiedene Anwendungen zu erhalten, wie z.B. E-Mail, Kalender, interne Datenbanken usw., ohne sich jedes Mal separat anmelden zu müssen.

Die 2-FA ist ein Identitätsnachweis mithilfe von zwei unterschiedlichen, unabhängigen Komponenten, die in Kombination miteinander eingegeben werden müssen.

Beispiele: 

• Bankkarte + PIN
• Nutzername + Passwort
• Fingerabdruck + Code

Der digitale Reisepass (ePass) ist eine Erweiterung des herkömmlichen physischen Reisepasses. Er enthält einen Chip, auf dem biometrische Daten wie Fingerabdrücke und Gesichtsbild gespeichert sind. Ein neues Konzept ist die Abbildung des Reisepasses auf mobilen Endgeräten. Analog zur eID können Reisepassinformationen sicher auf mobilen Geräten gespeichert und verwendet werden. Reisende können so ihre Identität über ein Smartphone verifizieren, ohne einen physischen Pass vorlegen zu müssen. 

Die eID ist die Online-Funktion des Personalausweises. Mithilfe des integrierten Chips, einer PIN und einem Smartphone können Ausweisdaten zur Online-Identifizierung übertragen werden. 

Eindeutige Registernummern sind individuelle Nummern, mit denen persönliche Daten verknüpft sind. Diese werden in Registern gespeichert.

Beispiele: 

• Steuernummer
• Handelsregisternummer (Unternehmen)
• Sozialversicherungsnummer

Elektronische Zertifikate u.a. für Signaturen und Siegel, die von vertrauenswürdigen Drittparteien (QTSPs) ausgestellt werden, um die Authentizität und Integrität von Dokumenten und Transaktionen zu gewährleisten.

Eine digitale Wallet erlaubt die Speicherung verschiedener digitaler Nachweise auf dem Smartphone, z.B. Tickets, Kreditkarten, etc..

Ab 2027 können EU-BürgerInnen außerdem ihre eID-Daten in der Wallet speichern und darüber zur Online-Identifizierung übertragen.

Das Konzept der Self-Sovereign-Identity (SSI) erlaubt es dem Benutzer die volle Kontrolle über ihre digitalen Identitätsdaten haben, indem sie dezentrale Technologien wie Blockchain und kryptographische Verfahren nutzen. SSI ermöglicht es Benutzern, ihre Identität sicher zu verwalten, zu teilen und zu überprüfen, ohne auf zentrale Vermittler wie Behörden oder Unternehmen angewiesen zu sein.