eIDAS-Verordnung – das steckt hinter der EU-Vorschrift

Die Abkürzung eIDAS steht für electronic IDentification, Authentication and trust Services zu Deutsch: elektronische IDentifizierungs-, Authentifizierungs- und Vertrauensdienste. Die eIDAS-Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates regelt europaweit den Einsatz von Vertrauensdiensten und elektronischer Identifizierung. Sie wurde am 23. Juli 2014 verabschiedet und ist seit 1. Juli 2016 EU-weit anzuwenden. Dies heißt aber noch lange nicht, dass seit diesem Stichtag, alle theoretisch geregelten Sachverhalte praktisch möglich sind. Erst ganz allmählich wird das Ziel real, so einen digitalen Binnenmarkt zu schaffen.

Da es sich um eine EU-Verordnung handelt, dürfen Nationalstaaten zu den geregelten Bereichen keine abweichenden Gesetze erlassen. Bestehende Gesetze müssen angepasst oder ergänzt werden. So trat das deutsche Signaturgesetz von 2011 im Juli 2017 außer Kraft und wurde vom Vertrauensdienstegesetz (VDG) abgelöst.

In der eIDAS-Verordnung sind folgende Punkte festgelegt:

•     elektronische Identifizierung
•     Vertrauensdienste
•     elektronische Signaturen
•     elektronische Siegel
•     Validierung und Bewahrung von qualifizierten elektronischen Siegeln und Signaturen
•     elektronische Zeitstempel
•     Dienste für elektronische Einschreiben
•     Zertifikate für die Website-Authentifizierung

Somit bildet die eIDAS-Verordnung das regulatorische Dach für die Umsetzung sicherer und vertrauenswürdiger elektronischer Geschäftsprozesse in Europa. Um den digitalen Binnenmarkt zu realisieren, müssen Bürger und Unternehmen in der Lage sein, ihre nationalen elektronischen Identifikationsmittel(eIDs) für Online-Dienste in anderen EU-Ländern zu nutzen. Zudem gilt es, Hemmnisse bezüglich der grenzüberschreitenden Nutzung von elektronischen Signaturen und anderen Vertrauensdiensten abzubauen.

Elektronische Identifizierung

In vielen Mitgliedstaaten sind bereits elektronische Identifizierungssysteme – teilweise auch mehrere pro Land – eingeführt worden. So gibt es in Deutschland die Online-Ausweisfunktion des Personalausweises, in Österreich die Handy-Signatur und in Italien SPID – ein öffentliches System für digitale Identitäten. SPID kann auf verschiedenen elektronischen Geräten über Benutzername und Passwort benutzt werden nachdem man sich hierfür registriert und verifiziert hat, was über unterschiedliche Arten funktioniert. Mit eIDs lassen sich verschiedene Geschäfte und Behördengänge elektronisch abwickeln. Grundlage für die europaweite Anerkennung der elektronischen Identifizierung ist die Aufnahme in die Liste notifizierter elektronischer Identifizierungssysteme. Seit Ende September 2018 sind die EU-Mitgliedsstaaten dazu verpflichtet, die jeweiligen elektronischen Identifizierungsdokumente der anderen Länder anzuerkennen. Allerdings müssen auch die Systeme entsprechend ausgerüstet sein, um sie länderübergreifend einsetzen zu können, was kaum der Fall ist.

Insgesamt liegt die Rate der Nutzung digitaler Identitäten nach dem Stand von September 2022 in Italien in einer ähnlichen Größenordnung wie in Frankreich (60 %) und Belgien (56 %) und weit vor der Nutzungsrate von 10 Prozent in Deutschland. Der höchste Grad der Nutzung digitaler Identitäten unter den Bürgern in der EU wurde in den Niederlanden (95%), Norwegen (79%) und Schweden (78%) verzeichnet.

In Deutschland kann man je nach Behörde, Kommune und Unternehmen Vorgänge wie Kfz-Zulassung, BAföG-Beantragung und Rentenauskunft mittels der Online-Ausweisfunktion elektronisch abwickeln. Eine Auflistung der möglichen Dienste in Deutschland findet sich auf der AusweisApp-Webseite .

Vertrauensdienste und Vertrauensdiensteanbieter

Unter elektronischen Vertrauensdiensten sind die in der eIDAS-Verordnung geregelten Dienste zu verstehen, die beispielsweise elektronische Signaturen, Siegel und Zeitstempel ermöglichen. Damit lassen sich bisher analoge Prozesse, wie die handschriftliche Unterschrift in die digitale Welt bringen. Ziel der eIDAS-Verordnung ist es, einen umfassenden grenz- und branchenübergreifenden Rahmen für sichere, vertrauenswürdige und einfach zu nutzende elektronische Transaktionen zu schaffen. Hierbei helfen die qualifizierten Vertrauensdienste. Um diese Dienste zu ermöglichen beziehungsweise entsprechende Voraussetzungen zu schaffen wie die Authentifizierung von Nutzenden von qualifizierten elektronischen Signaturen, sind qualifizierte Vertrauensdiensteanbieter nötig. Als Vertrauensdiensteanbieter fungieren in Deutschland beispielsweise die Deutsche Post und D-Trust, ein Tochterunternehmen der Bundesdruckerei, in Österreich A-Trust und PrimeSign und in der Schweiz Swisscom. Eine Liste aller Vertrauensdiensteanbieter in Europa mit der Kennzeichnung der angebotenen Vertrauensdienste findet sich hier.

Um sich mit dem Begriff »qualifizierten Vertrauensdiensteanbieter (qVDA)« bezeichnen zu können, muss sich der Anbieter einer sogenannten Konformitätsprüfung unterziehen, die mindestens alle 24 Monate wiederholt wird. Dabei wird untersucht, ob er die in der eIDAS-Verordnung festgelegten Anforderungen erfüllt. Die Prüfungen führt in der Regel eine staatlich akkreditierte Konformitätsbewertungsstelle durch. Bei erfolgreichem Verlauf erhält der qVDA ein Testat, welches er der nationalen Aufsichtsstelle vorlegt und damit seine Betriebsaufnahme beantragt.

Aufgrund der eIDAS-Verordnung müssen Dienste von qVDAs auch in anderen EU-Ländern anerkannt werden, ohne ein spezielle Notifizierung für die jeweiligen Länder zu benötigen. So kann der italienische qVDA für elektronische Signaturen auch in Deutschland Zertifikate für qualifizierte elektronische Signaturen ausstellen, die beispielweise der Personaldienstleister Zenjob für den Abschluss von Zeitarbeitsverträgen per Fernsignatur nutzt.

Elektronische Signaturen und Fernsignatur

Die eIDAS-Verordnung sieht mit einfach, fortgeschritten und qualifiziert drei Signatur-Niveaus vor, wovon qualifiziert das höchste Sicherheitsniveau bedeutet. Die qualifiziert elektronische Signatur hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift. Ein qualifiziert elektronisch signiertes Dokument erfüllt somit die gesetzlich vorgeschriebene Schriftform. Die qualifiziert elektronische Signatur ist mit einer Signaturkarte aber mittels Fernsignatur auch mobil via Smartphone und ohne weitere Hilfsmittel nutzbar.

Im Zusammenhang mit der Fernsignatur sorgen beispielsweise qualifizierte Vertrauensdiensteanbieter dafür, dass sich Nutzende einmalig per Video-Ident-Verfahren authentifizieren. qVDAs halten neben dem Zertifikat auch die elektronischen Signaturdateien (Schlüssel) auf sicheren Servern vor. In der Praxis erfolgt das Auslösen der Fernsignatur dann mittels Zwei-Faktor-Authentifizierung beim Vertrauensdiensteanbieter etwa durch die Eingabe von Benutzername und Passwort sowie eines zugestellten Zahlencodes. Anwendungsfälle bei denen beispielsweise eine qualifiziert elektronische Signatur eingesetzt werden kann und für Rechtssicherheit sorgt, wären der Abschluss eines Kreditvertrages bei einer Bank und das Unterzeichnen eines Zeitarbeitsvertrags

Qualifizierte elektronische Siegel

Qualifizierte elektronische Siegel entsprechen in der analogen Welt einem Unternehmensstempel oder einem Behördensiegel. Sie können beispielsweise als digitaler Echtheitsnachweis für Abschlusszeugnisse und Rechnungen dienen oder auch im Rahmen eines effizienten E-Governments für digitale Verwaltungsrechtsakte wie Bescheide genutzt werden. Elektronische Siegel werden von juristischen Personen wie Behörden und Unternehmen erstellt. Für ein qualifiziert gesiegeltes Dokument gilt die Vermutung der Unversehrtheit und der Richtigkeit der Herkunftsangabe.

Qualifizierter elektronischer Zeitstempel

Ein qualifizierter elektronischer Zeitstempel entspricht in der analogen Welt dem Posteingangsstempel. Ein qualifizierter elektronischer Zeitstempel kann beispielsweise verwendet werden, wenn es bei der Unterzeichnung eines Dokuments auf die konkrete Uhrzeit und das Datum ankommt, wie bei der fristgerechten Abgabe eines Angebotes in einem Vergabeverfahren oder bei einer Kündigung. Für Daten mit einem qualifizierten elektronischen Zeitstempel gilt die Vermutung der Richtigkeit des Datums und der Zeit, die darin angegeben sind, sowie der Unversehrtheit der Daten.

Qualifizierter Dienst für die Zustellung von elektronischen Einschreiben

Der qualifizierter Dienst für die Zustellung von elektronischen Einschreiben entspricht in der analogen Welt dem postalischen Einschreiben. Typische Anwendungsfälle für einen qualifizierten Dienst für die Zustellung von elektronischen Einschreiben sind die Übermittlung von wichtigen Dokumenten wie Bewerbungsunterlagen, Kündigungen, Widerrufen oder Fristsachen. Der Dienst gewährleistet eine sichere Übermittlung von Daten: Er weist Sender und Empfänger sowie die Versand- und Empfangszeit nach. Zudem werden die übertragenen Daten vor unbemerkter Veränderung geschützt.

Qualifizierter Validierungsdienst

Ein qualifizierter Validierungsdienst ermöglicht die Prüfung und Bestätigung der Gültigkeit von beispielsweise elektronischen Signaturen, Siegeln und Zeitstempeln. Qualifizierte Validierungsdienste erlauben zuverlässige Prüfungen mit geringem technischem Aufwand für Nutzende. Nach der Prüfung der Gültigkeit der entsprechenden Dienste stellt ein qualifizierter Validierungsdienst Nutzenden das korrekte Ergebnis automatisch in zuverlässiger und effizienter Weise bereit. Zudem bestätigt der Anbieter des qualifizierten Validierungsdienstes das Prüfergebnis mit seiner Signatur oder seinem Siegel.

Qualifizierter Bewahrungsdienst

Ein qualifizierter elektronischer Bewahrungsdienst erhält die Beweiskraft von qualifizierten elektronischen Signaturen und Siegeln auf lange Zeit. Qualifizierte Bewahrungsdienste eignen sich besonders für Bereiche, in denen spezielle Anforderungen für die langfristige Aufbewahrung von signierten oder gesiegelten Dokumenten bestehen. Qualifizierte Bewahrungsdienste verlängern die Vertrauenswürdigkeit von qualifizierten elektronischen Signaturen und Siegeln über den Zeitraum ihrer technologischen Geltung hinaus.