Eine Unterscheidung zwischen einzelnen Bausteinen des einheitlichen Unternehmenskontos wird vom OZG nicht vorgenommen. In den Mindestanforderungen der EfA-Dienste ist die Anbindungsverpflichtung des einheitlichen Unternehmenskontos festgehalten. Da die Anforderungen an alle Bausteine des Unternehmenskontos explizit von der Wirtschaft formuliert werde, wird zur Zeit eine bundesweite Anbindungsverpflichtung per Verwaltungsvereinbarung angestrebt.

Das folgende PDF-Dokument enthält einen Leitfaden zur Verwendung und Verwaltung von ELSTER-Organisationszertifikat im Rahmen von "Mein UK":

Leitfaden

Aktuell ist vor allem die Authentifizierung über das Unternehmenskonto bei einigen Verwaltungsportalen im Einsatz. Außerdem wird die Authentifizierungskomponente nun mithilfe eines Self-Service Portals für portalbetreibende Behörden flächendeckend ausgerollt. Der Postfach-Rollout und damit die Anbindung der Behörden an das Postfach soll ebenfalls im Laufe des Jahres 2022 erfolgen.

Sobald das Konto mit all seinen Funktionalitäten im Einsatz ist, können Organisationen bundesweit die zentrale Authentifizierung bei allen möglichen Verwaltungsangeboten, von der kleinen Gemeinde bis hin zur Bundesbehörde, nutzen. Außerdem kann die Kommunikation mit Behörden dann zentral über das Postfach abgewickelt werden. Durch das Autorisierungsmodul werden Organisationen Transparenz über die aktiven ELSTER-Zertifikate ihrer Organisation erlangen und können autark Berechtigungsrollen zuweisen und entziehen. Dienstanbietende Behörden können ebenfalls steuern, welche Rollen Nutzer vorweisen müssen, um die jeweiligen Online-Dienste nutzen zu können.

Ein ELSTER-Organisationszertifikat ist ein Authentifizierungsmittel, es dient zur Identifizierung des Mitarbeitenden sowie der zugeordneten Organisation. Die Berechtigungsbeschränkungen erfolgen dagegen mittels Autorisierungsmodul.

An der Anmeldung bei einer OZG-Leistung ändert sich durch das Autorisierungsmodul nichts, es bleibt bei der Authentifizierung über ELSTER.

Neben der Integration der digitalen Verwaltungsleistung mit der NEZO-Schnittstelle (SAML-Protokoll) zum Zwecke der Authentifizierung ist die Integration mit dem Autorisierungsmodul (OAuth-Protokoll) erforderlich. Die Integrationen erfolgen zweistufig: Zuerst wird authentisiert (Login), anschließend wird autorisiert (Berechtigung geprüft).

Das Autorisierungsmodul wird auch eine Integrationsumgebung anbieten, in der die korrekte Anbindung getestet werden kann. Zeitpunkt und genaue Ausprägungen stehen gegenwärtig noch nicht fest.

Zunächst kann jede Person ein ELSTER-Organisationszertifikat mit Angabe der Steuernummer beantragen. Die Zugangsdaten werden per Post an die Organisationsanschrift versendet. Mit der Weitergabe des Aktivierungscodes an denjenigen Mitarbeitenden, der ein ELSTER-Organisationszertifikat beantragt hat, erteilt die Organisation eine konkludente Innenvollmacht, um digitale Verwaltungsleistungen für die Organisation in Anspruch zu nehmen. Eine missbräuchliche Verwendung der Zugangsdaten durch Unternehmenskontoinhaber der Organisation kann durch die Organisation im Nachgang bei Bedarf identifiziert werden.

Für Organisationen fallen keine Kosten an.

Die Bausteine 1 bis 4 bieten aktuell keine aktive Rollen- und Rechteverwaltung. Die Organisation kann jedoch selbst entscheiden, welchen Mitarbeitenden Zertifikate ausgehändigt werden. Sobald das Autorisierungsmodul verfügbar ist, können Administratoren die Berechtigungen aller "Mein UKs" einer Steuernummer verwalten und steuern damit autark die Berechtigungen einzelner Mitarbeitenden

Die Bausteine 1 bis 4 bieten umfangreiche Basisfunktionalitäten für alle Unternehmensgrößen.
Im Baustein 6 wird zugunsten der Nutzerfreundlichkeit dafür Sorge getragen, dass sich Organisationen, die kein Interesse an einem Berechtigungsmanagement haben, nicht mit den Funktionalitäten der Autorisierungsmoduls befassen müssen. Für Organisationen mit mehr als einem Unternehmenskonto bedeutet dies, dass per "Default" alle Rollen einer Organisation automatisch an alle weiteren Unternehmenskonten vererbt werden. Aus Sicht des Anwenders ergibt sich damit nicht die Notwendigkeit das Autorisierungsmodul aktiv zu nutzen.

Die Registrierung der Verwaltungsleistung erfolgt im Self Service Portal und kann in der Regel durch die fachlich verantwortlichen Personen selbst erfolgen. Eine dedizierte Freischaltung wird nur dann notwendig, wenn die digitale Verwaltungsleistungen freischaltungspflichtig ist. Wenn eine Verwaltungsleistung nicht zugangsbeschränkt sein soll müssen lediglich wenige Basisdaten erfasst werden. Zum Beispiel der Name und eine Beschreibung der Verwaltungsleistung.

Die Kosten für den Pilotbetrieb und die Kosten der Anbindung der Pilotteilnehmenden an das Autorisierungsmodul seitens Dataport sind von dem Projekt abgedeckt. Informationen zu Aufwänden, die für Pilotteilnehmer selbst entstehen können (z.B. Einrichtung eines OAuth-Clients) werden wir in den nächsten Wochen konkretisieren. Diese Kosten wären bei Pilotteilnahme lediglich vorgezogen und würden andernfalls mit der Anbindung im nächsten Jahr anfallen.