Diese Vorgangsweise hat folgende Gründe:

Ihr Zertifikat ist eine Bescheinigung, ein „elektronischer Ausweis“, der Ihrer Person zugeordnet ist. Dass Ihr Zertifikat zu Ihnen gehört, wird von der Stelle bestätigt, bei der Sie das Zertifikat erworben haben - von dieser Bestätigung (Sicherstellung, eben: Zertifizierung) leitet sich der Name „Zertifikat" ab. Die Zertifizierung wird je nach Art des Zertifikates unterschiedlich abgewickelt.

Wenn die Zertifizierung sehr genau erfolgte (persönliche Vorsprache, amtlicher Lichtbildausweis, Meldezettel, einschlägige Personenbindung für Personen, die in Österreich gemeldet sind, usw.), kann mit einem derart qualifizierten Zertifikat auch eine sichere elektronische Unterschrift angefertigt werden. Das muss aber nicht bei jedem Zertifikat der Fall sein, bei Zertifikaten, die man sich selbst ausstellt, gibt es keine solche Prüfung. 

Ihr Zertifikat muss nach dem Gesetz nur zwei Identitätsangaben, nämlich Ihren (Vor- und Familien-)Namen, nicht aber Ihr Geburtsdatum enthalten. Auch Ihre Wohnadresse oder andere Identifikationsdaten sind dort (und damit: auf der Chipkarte oder der Datei, die Sie erhalten haben) nicht oder zumindest nicht immer vorhanden. 

Diese Mindestanforderungen an Ihr Zertifikat sind - für Österreich - im österreichischen Signaturgesetz, Bundesgesetzblatt I Nr. 190/1999 enthalten (siehe www.bgbl.at oder www.ris.bka.gv.at). Für Zertifikate, die im Ausland erworben wurden, kann es auch abweichende Regeln geben.

Die oben genannten zwei (Mindest-)Angaben, die Ihr Zertifikat jedenfalls erfüllen muss, reichen nicht immer aus, Sie exakt zu identifizieren: Man weiß auf Grund der Angaben im Zertifikat zwar vielleicht (wenn der Name eindeutig ist), dass dieses Zertifikat zu Ihnen gehört, man weiß aber nicht, dass Sie auch tatsächlich jene/r sind, auf dessen/deren Daten zugegriffen werden soll. Das besonders dann nicht, wenn Ihre Daten unter einer abweichenden Namenschreibweise oder nur einem (von mehreren) Vornamen gespeichert sind und schon gar nicht, wenn es zu Ihrem Namen auch andere Personen gibt. 

Es gibt für die Angaben in einem Zertifikate nicht immer eine eindeutige Bindung an einen (und nur diesen) konkreten Menschen („Personenbindung“).

Es muss daher bei der ersten Anfrage geprüft werden, ob die Daten Ihres Zertifikates zu den Daten jener Person gehören, auf die Sie zugreifen wollen: Untechnisch gesprochen, muss Ihr Zertifikat mit den Datenbeständen, zu denen Sie zugriffsberechtigt sein sollen (und die vielleicht sogar unter einem abweichenden Namen gespeichert sind), verknüpft werden - es wird Ihr Ausweis mit Ihrer Berechtigung verbunden.

Einen solchen „Identitätsprüfungs-Zwischenschritt“ gab es in anderen Zusammenhängen schon bisher: Sie haben ihn im täglichen Leben in jenen Situationen erlebt, in denen Ihr Name nicht ausgereicht hat, sondern in denen Sie einen amtlichen Lichtbildausweis vorlegen mussten oder ein Losungswort usw. verlangt wurde. Das Passbild im Ausweis oder das Losungswort soll bestmöglich sicherstellen, dass Sie tatsächlich jene Person sind, die bestimmte Rechte ausüben soll und darf. Der Vergleich Ihres Passbildes mit Ihrem Gesicht, der Vergleich des Losungswortes mit den Aufzeichnungen der Bank usw. hat bisher die Verknüpfung zwischen Ausweis und Berechtigung hergestellt.

Die Basis der genannten Verknüpfung sind im vorliegenden Zusammenhang die zusätzlichen Angaben, die Sie bei der ersten Anmeldung im vorliegenden System machen müssen: insbesondere Geburtsdatum, Adresse und Versicherungsnummer. Auf Grund dieser Angaben wird geprüft, ob die Daten, auf die Sie zugreifen wollen, tatsächlich zu Ihnen gehören. Durch die Verwendung von Vorname + Familienname + Geburtsdatum + Adresse + Versicherungsnummer stehen für die Identitätsprüfung fünf Kriterien zur Verfügung, die nach bisherigen Erfahrungen ausreichen, einen Menschen eindeutig zu identifizieren. Für Angaben in Österreich wird dabei auch auf das Zentrale Melderegister nach dem Meldegesetz zugegriffen (Rechtsgrundlage: § 16 Meldegesetz, siehe unter www.ris.bka.gv.at).

Diese Prüfung stellt sicher, dass das Zertifikat, das von Ihnen verwendet wird, den Zugriff zu den Daten möglich macht, die unter Ihrem (allenfalls leicht abweichenden) Namen gespeichert sind

Die Identitätsprüfung wird nach der Einführungsphase für den Regelfall, wenn nur ein Datensatz in Frage kommt und auch die sonstigen Identitätsangaben keine Anlässe zu weiteren Klärungen bieten, automatisiert und innerhalb kurzer Zeit (ca. 30 Sekunden bis etwa drei Minuten je nach Leitungskapazitäten) abgeschlossen sein. Danach müssen die Daten im Berechtigungssystem eingetragen werden und dieses auf den jeweilig aktuellen Stand gebracht werden. Dadurch kann nochmals eine vergleichbare Zeitspanne verstreichen.

In der Einführungsphase des Angebotes (1. Halbjahr 2003) wird die Identitätsprüfung jedoch in allen Fällen aus Sicherheitsgründen händisch begleitet. Das bewirkt, dass für die Identitätsprüfung in dieser Zeit eine Dauer von ca. 24 Stunden an Arbeitstagen einzurechnen ist und arbeitsfreie Tage (Sa, So, Feiertag) diese Zeit verlängern.

    Nach oben