Zulassungsverfahren der Anbieter
Bevor Firmen ihren Kunden die Möglichkeiten des digitalen Ausweises anbieten können, muss das Bundesverwaltungsamt in Köln diesen Dienst zulassen. Voraussetzung ist zunächst, die so genannte Erforderlichkeit nachzuweisen. Das kann entweder eine gesetzliche Vorgabe sein, wenn Verwaltungen beispielsweise Daten benötigen, um Bescheide auszustellen. Oder es besteht ein kreditorisches Risiko für den Dienstanbieter. Die Vergabestelle für Berechtigungszertifikate entscheidet darüber, welche Ausweisdaten der Dienstanbieter abfragen darf. Bei Erfolg erhält der Dienstanbieter eine üblicherweise auf drei Jahre begrenzte Berechtigung. Mit diesem Bescheid kann er sich bei einem Berechtigungszertifikate-Anbieter (BerCA) ein technisches Berechtigungszertifikat erstellen lassen. Nur mit diesem Zertifikat darf der Online-Anbieter auf die persönlichen Daten zugreifen, und auch das nur dann, wenn der Eigentümer des Ausweises die Daten mit Hilfe einer sechsstelligen Geheimzahl (PIN) freigegeben hat.
Infrastruktur für den Personalausweis
Auf Seiten des Unternehmens sind zudem einige technische Voraussetzungen notwendig. Viele Vorarbeiten wurden bereits in den vergangenen Jahren vom Bundesinnenministerium sowie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesverwaltungsamt geleistet. Das Herzstück ist die Public Key Infrastructure (PKI), die für Berechtigungszertifikate und das Sperr-Management notwendig ist. Das BSI betreibt die Wurzelzertifizierungsinstanz (Root-CA). Im Bundesverwaltungsamt (BVA) sind die Vergabestelle für Zertifikate und der Sperrdienst beheimatet. Die Behörde übermittelt den Berechtigungszertifikate-Anbietern die Sperrlisten und die Bescheide.
Die von diesen Dienstleistern erstellten Berechtigungszertifikate können dann technisch umgesetzt und in den eID-Server eingespielt werden. Dieser übernimmt die Kommunikationsverbindung für die sichere, verschlüsselte und gegen Manipulationen geschützte Übermittlung der Daten zwischen Ausweischip und Dienstanbieter. Der Minirechner auf dem Personalausweis prüft hierbei selbständig das Berechtigungszertifikat des Dienstanbieters auf Echtheit, Unversehrtheit und Gültigkeit. Treten dabei Unstimmigkeiten auf, bricht der Chip die Kommunikation mit dem Dienstanbieter ab, ohne Daten zu übertragen. Der eID-Server des Dienstanbieters prüft seinerseits, ob der Personalausweis einen hoheitlich zertifizierten Chip enthält und das Dokument gültig ist.
Elektronischer Identitätsnachweis durch Dienstleister
Damit ein Dienstanbieter die Online-Ausweisfunktion nutzen kann, benötigt er die Hard- und Software eines eID-Servers, der sich üblicherweise in die vorhandene IT integrieren lässt. Jedes Unternehmen kann den Rechner selbst betreiben oder bei Bedarf auslagern. Übernimmt ein externer Anbieter den elektronischen Identitätsnachweis, wird diese Dienstleistung als "eID-Service" und der Dienstleister als "eID-Service-Provider" bezeichnet. Dabei handelt es sich um eine Auftragsdatenverarbeitung nach Paragraf 11 des Bundesdatenschutzgesetzes. In jedem Fall ist der Dienstanbieter der Inhaber der Berechtigung, die die Vergabestelle für Berechtigungszertifikate (VfB) ausstellt. Unabhängig davon, ob er die eID-Server selbst betreibt oder ausgelagert hat, muss er Sorge tragen, dass alle Vorgaben und Anforderungen eingehalten werden.