Regulation on electronic identification and trust services (eIDAS): Unterschied zwischen den Versionen

Änderung durch

Verordnung (EU) 2024/1183
Titel:	Verordnung (EU) 2024/1183 des Europäischen Parlaments und des Rates vom 11. April 2024 zur Änderung der Verordnung (EU) Nr. 910/2014 im Hinblick auf die Schaffung des europäischen Rahmens für eine digitale Identität
Kurztitel:	Regulation on electronic identification and trust services/Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen
Bezeichnung: (nicht amtlich)	eIDAS (2.0)
Geltungsbereich:	EWR
Rechtsmaterie:	Elektronische Identitäten
Grundlage:	AEUV, insbesondere Art. 114
Anzuwenden ab:	21. Mai 2026/2027 (Übergangsbestimmungen)
Fundstelle:	ABl L 2024/1183, 1
Volltext	Konsolidierte Fassung (nicht amtlich) Grundfassung
Regelung ist in Kraft getreten, aber noch nicht anwendbar.
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union

Ursprungsrechtsakt

Verordnung (EU) Nr. 910/2014
Titel:	Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG
Kurztitel:	Regulation on electronic identification and trust services/Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen
Bezeichnung: (nicht amtlich)	eIDAS
Geltungsbereich:	EWR
Rechtsmaterie:	Elektronische Identitäten
Grundlage:	AEUV, insbesondere Art. 114
Anzuwenden ab:	1. Juli 2016 (mit Ausnahmen)
Fundstelle:	ABl L 2014/257, 73
Volltext	Konsolidierte Fassung (nicht amtlich) Grundfassung
Regelung ist in Kraft getreten und anwendbar.
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union

Einführung

Die Abkürzung eIDAS steht für "electronic IDentification, Authentication and Trust Services". Die ursprüngliche Fassung der eIDAS-VO wurde im Jahr 2014 beschlossen. Sie umfasst zwei Regelungsgegenstände, die völlig unabhängig voneinander behandelt werden,

• die elektronische Identifizierung sowie
• Vertrauensdienste, wie insbesondere elektronische Signaturen.

Die eIDAS-VO enthält auch eine ganz allgemeine Grundregel für elektronische Dokumente: "Einem elektronischen Dokument darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil es in elektronischer Form vorliegt" (Art 46 eIDAS-VO). Der Begriff elektronisches Dokument ist dabei sehr weit definiert als jeder in elektronischer Form, insbesondere als Text-, Ton-, Bild- oder audiovisuelle Aufzeichnung gespeicherte Inhalt (Art 3 Z 35 eIDAS-VO).

Die Rahmenbedingungen für elektronische Signaturen bauen auf der Signaturrichtlinie auf, die seit 1999 gegolten hatte. Betreffend die Vertrauensdienste enthielt die IDAS-VO von 2014 bereits europaweit einheitliche Regeln (Harmonisierung), betreffend die elektronische Identifizierung regelte diese hingegen nur grenzüberschreitende Aspekte. Sie versuchte, Interoperabilität zwischen den verschiedenen nationalen elektronischen Identifizierungssystemen der Mitgliedstaaten herzustellen, indem sie deren gegenseitige Anerkennung durch die Mitgliedstaaten für deren E-Government-Services normiert. Vorschriften, wie diese gestaltet sein müssen, eine Verpflichtung zur Anerkennung im Privatsektor oder eine Verpflichtung, dass jeder Mitgliedsaat überhaupt ein elektronisches Identifizierungssystem haben müsse, enthielt sie nicht. Dies führte dazu, dass elektronische Identifizierungssysteme nicht in allen Mitgliedstaaten gleichermaßen zur Verfügung standen und ihre Verbreitung teilweise gering blieb, insbesondere in Bezug auf die Verwendung im privaten Sektor.^[1]

Um diese Mängel zu beheben, wurde eine umfangreiche Novellierung der eIDAS-VO erarbeitet – bekannt als eIDAS 2.0 – die am 20. Mai 2024 in Kraft trat. Als zentrale Neuerung treten neben die Interoperabilität der nationalen elektronischen Identifizierungssysteme einheitliche Vorgaben für eine „Europäische Brieftasche für die Digitale Identität“ („European Digital Identity Wallet“, kurz EUDI-Wallet, EUDI-Brieftasche oder EUDIW). Bis Herbst 2026 müssen alle EU-Mitgliedstaaten ihren Bürger*innen eine solche Wallet anbieten, mit der sie sich online und offline ausweisen können, insbesondere auch gegenüber Unternehmen, sowie Attribute aller Art nachweisen können, vom Altersnachweis über Zeugnisse bis hin zu Tickets. Die Nutzung soll freiwillig und kostenfrei sein.

Betreffend Vertrauensdienste enthielt die eIDAS-VO bereits bisher Regelungen zu Vertrauensdiensteanbietern sowie zu folgenden spezifischen Vertrauensdiensten:

• Elektronische Signaturen
• Elektronische Siegel
• Elektronische Zeitstempel
• Dienste für die Zustellung elektronischer Einschreiben
• Website-Authentifizierung

Mit der Novellierung 2024 wurden einige dieser Regelungen angepasst und es traten Regelungen zu folgenden neunen Vertrauensdiensten hinzu:

• Elektronische Attributsbescheinigung
• Elektronische Archivierungsdienste
• Elektronische Journale (electronic ledgers)

Die Regulierung ist im Detail nicht abgeschlossen, denn die novellierte eIDAS-VO sieht insgesamt ca. 40 Durchführungsrechtsakte vor, die zahlreiche teils sehr relevante Umsetzungsdetails regeln werden. Wegen ihrer hohen Anzahl kann auf diese hier nicht näher eingegangen werden. Sie müssen entweder 6, 12 oder 24 Monate nach Inkrafttreten der eIDAS-VO vorliegen, manche sind jedoch optional. Betreffend die EUDIW waren mit Stand Jahresende 2024 einzelne Durchführungsverordnungen der Kommission schon verabschiedet, andere befanden sich in öffentlicher Konsultation.^[2] In den Entwürfen zeichnete sich zuletzt eine Aufweichung der unten beschriebenen Datenschutz- und Datensicherheitsmaßnahmen des EUDIW ab, sodass diese Gegenstand intensiver politischer Diskussionen sind.^[3]

Zentrale Inhalte

Elektronische Identifizierung

Die elektronische Identifizierung ist in Art 3 Z 1 eIDAS-VO definiert als "der Prozess der Verwendung von Personenidentifizierungsdaten in elektronischer Form, die eine natürliche oder juristische Person oder eine natürliche Person, die eine andere natürliche Person oder eine juristische Person vertritt, eindeutig repräsentieren." Ein elektronisches Identifizierungsmittel ist "eine materielle und/oder immaterielle Einheit, die Personenidentifizierungsdaten enthält und zur Authentifizierung bei Online-Diensten oder gegebenenfalls bei Offline-Diensten verwendet wird" (Art 3 Z 2 eIDAS-VO). Die Authentifizierung ist "ein elektronischer Prozess, der die Bestätigung der elektronischen Identifizierung einer natürlichen oder juristischen Person oder die Bestätigung des Ursprungs und der Unversehrtheit von Daten in elektronischer Form ermöglicht" (Art 3 Z 5 eIDAS-VO). Die natürliche oder juristische Person, der gegenüber sich ein Individuum identifiziert und/oder bestimmte Eigenschaften (Attribute) nachweist, die also, wie es die Definition in Art 3 Z 6 eIDAS-VO formuliert, "auf eine elektronische Identifizierung, europäische Brieftaschen für die Digitale Identität oder andere Mittel zur elektronischen Identifizierung oder einen Vertrauensdienst vertraut", wird "vertrauender Beteiligter" genannt, in direkter Übersetzung des wesentlich gebräuchlicheren englischen Begriffs "relying party".

Die eIDAS-VO sieht drei Sicherheitsniveaus für elektronische Identifizierungsmittel vor, „niedrig“, „substanziell“ und „hoch“. Die Kriterien für diese Sicherheitsniveaus sind in Art 8 eIDAS-VO sowie in Durchführungsrechtsakten festgelegt.

European Digital Identity Wallet (EUDIW)

Die "Europäische Brieftasche für die Digitale Identität“, wie sie auf Deutsch heißt, "ist ein elektronisches Identifizierungsmittel, das es dem Nutzer ermöglicht, Personenidentifizierungsdaten und elektronische Attributsbescheinigungen sicher zu speichern, zu verwalten und zu validieren, um sie vertrauenden Beteiligten und anderen Nutzern von europäischen Brieftaschen für die Digitale Identität zu präsentieren und mittels qualifizierter elektronischer Signaturen zu unterzeichnen oder mittels qualifizierter elektronischer Siegel zu besiegeln" (Art 3 Z 43 eIDAS-VO). Hervorzuheben ist, dass die EUDIW somit selbst ein elektronisches Identifizierungsmittel ist und zwar auf der Sicherheitsstufe "hoch" (Art 5a Abs 4 lit d eIDAS-VO).

Jeder Mitgliedstaat muss bis spätestens 24 Monate nach Inkrafttreten der entsprechenden Durchführungsrechtsakte (somit voraussichtlich zu einem Zeitpunkt im zweiten Halbjahr 2026) zumindest ein EUDIW bereitstellen (Art 5a Abs 1 eIDAS-VO). Dies kann unmittelbar durch den Mitgliedstaat erfolgen oder in dessen Auftrag oder unabhängig von diesem, aber von diesem anerkannt (Art 5a Abs 2 eIDAS-VO). Der "Quellcode der Anwendungssoftwarekomponenten" der EUDIW muss gemäß Art 5a Abs 3 eIDAS-VO einer Open-Source-Lizenz unterliegen, wobei eine Ausnahmen vorgesehen ist für bestimmte "Komponenten, die nicht auf den Geräten des Nutzers installiert sind".

Funktionen der EUDIW

Die Funktionalität eines EUDIW ist in Art 5a Abs 4 eIDAS-VO wie folgt festgelegt:

• das sichere Anfordern, Erhalten, Auswählen, Kombinieren, Speichern, Löschen, Weitergeben und Vorweisen — unter alleiniger Kontrolle durch den Nutzer — elektronischer Attributsbescheinigungen und von Personenidentifizierungsdaten und, falls anwendbar, in Kombination mit elektronischen Attributsbescheinigungen, gegenüber vertrauenden Beteiligten, um sich online und, gegebenenfalls, offline für den Zugang zu öffentlichen und privaten Diensten zu authentifizieren, bei gleichzeitiger Sicherstellung, dass eine selektive Offenlegung von Daten möglich ist;
• das Generieren von Pseudonymen und deren verschlüsselte und lokale Speicherung in der EUDIW;
• die sichere Authentifizierung der EUDIW einer anderen Person und das Empfangen und Austauschen — zwischen den beiden EUDIW — von Personenidentifizierungsdaten und elektronischen Attributsbescheinigungen;
• den Zugang zur Protokollierung aller über die EUDIW vorgenommenen Transaktionen über ein gemeinsames Dashboard, sodass der Nutzer in der Lage ist,
  • eine aktuelle Auflistung der vertrauenden Beteiligten, mit denen der Nutzer eine Verbindung aufgebaut hat, und, falls anwendbar, alle weitergegebenen Daten einzusehen;
  • einen vertrauenden Beteiligten auf einfache Weise um die Löschung personenbezogener Daten gemäß Artikel 17 der Verordnung (EU) 2016/679 durch einen vertrauenden Beteiligten zu ersuchen;
  • eine Meldung auf einfache Weise an die zuständige nationale Datenschutzbehörde zu erstatten, wenn ein mutmaßlich unrechtmäßiges oder verdächtiges Ersuchen um Daten eingegangen ist;
• das Unterzeichnen mit qualifizierten elektronischen Signaturen oder das Siegeln mit qualifizierten elektronischen Siegeln;
• – soweit technisch möglich — das Herunterladen von Nutzerdaten, elektronischen Attributsbescheinigungen und Konfigurationen;
• die Ausübung der Rechte des Nutzers auf Datenübertragbarkeit.

Diese Funktionen muss ein EUDIW "in transparenter und nachvollziehbarer Weise ermöglichen". Darüber hinaus können die Mitgliedstaaten zusätzliche Funktionen vorsehen (Art 5a Abs 7 eIDAS-VO). Hervorzuheben ist zum ersten Punkt, dass auch eine Verwendung der EUDIW offline, also ohne Internetverbindung und somit ohne Beteiligung eines Servers, vorgesehen ist, eingeschränkt durch den Begriff "gegebenenfalls" bzw. in der englischsprachigen Fassung etwas aussagekräftiger "where appropriate", sowie die selektive Offenlegung von Daten. Auch die Verwendung des EUDIW auf der Empfängerseite einer Transaktion und somit horizontal zwischen Nutzern ist hervorzuheben (dritter Punkt).

Nur in den Erwägungsgründen findet sich die Anforderung, dass die Mitgliedstaaten "verschiedene Technologien zum Schutz der Privatsphäre, beispielsweise Zero-Knowledge-Proof (Null-Wissens-Beweis)", in die EUDIW integrieren "sollten". "Diese kryptografischen Methoden sollten es einem vertrauenden Beteiligten ermöglichen, die Richtigkeit einer bestimmten Aussage, die auf der Grundlage der Identifizierungsdaten und der Attributsbescheinigung in der europäischen Brieftasche für die Digitale Identität eines Nutzers erfolgt, zu validieren, ohne dass Daten, auf denen die Aussage beruht, preisgegeben werden, wodurch die Privatsphäre des Nutzers gewahrt bleibt" (ErwGr 14).

Die Ausstellung, die Verwendung und der Widerruf von EUDIW muss für alle natürlichen Personen kostenlos sein (Art 5a Abs 12 eIDAS-VO). Ebenso muss das Unterzeichnen mit qualifizierten elektronischen Signaturen mittels EUDIW für alle natürlichen Personen kostenlos sein (Art 5a Abs 5 lit g eIDAS-VO), wobei die Mitgliedstaaten verhältnismäßige Maßnahmen treffen können, um dies auf nichtgewerbliche Zwecke zu beschränken.

Während die Nutzer nationaler eIDs über nationale eIDAS-Knoten mit der jeweiligen Anwendung interagieren, kommuniziert die EUDIW direkt mit der jeweiligen Anwendung, sodass es einheitlicher Protokolle und Schnittstellen bedarf, deren Funktionalität in Art 5a Abs 5 lit a eIDAS-VO detailliert festgelegt ist.

Datenschutz und Datensicherheit

Aufgrund der potenziellen Datenschutzrisiken, die ein Identitätsmanagementsystem mit sich bringen kann, insbesondere wenn es weiträumig und umfassend verwendbar ist, war der Datenschutz im Entstehungsprozess von eIDAS 2.0 ein vieldiskutiertes Thema und ist es weiterhin in der Phase der Ausarbeitung der Durchführungsrechtsakte. Wesentliche Datenschutzrisiken von Identitätsmanagementsystemen und die entsprechenden Anforderungen im Sinne des Gebots der Datenminimierung sind:^[4]

• Überidentifikation: Die betroffene Person sollte bei einer Transaktion nur jene Daten offenlegen müssen, die für die Transaktion erforderlich sind, und insbesondere ihre Identität nur dann offenlegen müssen, wenn diese für die Transaktion erforderlich ist.
• Verknüpfung von Transaktionen: Transaktionen, die nichts miteinander zu tun haben, und Daten, die jeweils in diesen Transaktionen offengelegt werden, sollten nicht miteinander in Verbindung gebracht werden können (Unverknüpfbarkeit). Praktisch bedeutet das vor allem, ein vertrauender Beteiligter sollte nicht erkennen können, dass zwei Transaktionen derselben anonymen Person, die beispielsweise nur ihre Volljährigkeit nachweist, von derselben Person stammen.
• Beobachtung des Nutzerverhaltens: Eine zentrale Stelle, wie im vorliegenden Kontext der Anbieter des EUDIW, oder ein Aussteller von Identitäts- oder Attributsdaten, sollte nicht in der Lage sein, zu beobachten, für welche Zwecke und wem gegenüber die betroffene Person ihre Identität und/oder bestimmte Attribute nachweist (Unbeobachtbarkeit).

Der Beobachtung des Nutzerverhaltens, oder vielmehr zumindest dessen Auswertung soll insbesondere die Bestimmung des Art 5a Abs 14 eIDAS-VO entgegenwirken, die Folgendes normiert:

• Die Nutzer haben die uneingeschränkte Kontrolle über die Nutzung ihrer EUDIW und über die darin enthaltenen Daten.
• Der Anbieter der EUDIW sammelt weder Informationen über die Nutzung der EUDIW, die für die Erbringung der mit der EUDIW verbundenen Dienste nicht erforderlich sind, noch kombiniert er Personenidentifizierungsdaten oder andere gespeicherte oder im Zusammenhang mit der Verwendung der EUDIW stehende personenbezogene Daten mit personenbezogenen Daten aus anderen vom Anbieter angebotenen Diensten oder aus Diensten Dritter, die für die Bereitstellung der mit der EUDIW verbundenen Dienste nicht erforderlich sind, es sei denn, der Nutzer hat dies ausdrücklich anders verlangt.
• Personenbezogene Daten in Bezug auf die Bereitstellung der EUDIW werden vom Anbieter der europäischen Brieftasche für die Digitale Identität von allen anderen gespeicherten Daten logisch getrennt gehalten.

Einer strikten Umsetzung des Datenminimierungsgebots dahingehend, dass die Daten zur Nutzung gar nicht erst gespeichert werden, steht wohl das Erfordernis der Protokollierung aller über die EUDIW vorgenommenen Transaktionen in Art 5a Abs 4 lit d eIDAS-VO entgegen.

Art 5a Abs 14 eIDAS-VO betrifft sowohl die Unbeobachtbarkeit als auch die Unverknüpfbarkeit und normiert, dass der technische Rahmen der EUDIW

• es Anbietern elektronischer Attributsbescheinigungen oder anderen Parteien nach Ausstellung der Attributsbescheinigung nicht erlauben darf, Daten zu erhalten, die es ermöglichen, Transaktionen oder Nutzerverhalten zu verfolgen, zu verknüpfen, zu korrelieren oder Kenntnisse über Transaktionen oder das Nutzerverhalten anderweitig zu erlangen, es sei denn, der Nutzer hat dies ausdrücklich genehmigt, und
• technische Verfahren zum Schutz der Privatsphäre ermöglichen muss, die die Unverknüpfbarkeit gewährleisten, wenn die Attributsbescheinigung keine Identifizierung des Nutzers erfordert.

Die zentrale Maßnahme der eIDAS-VO gegen Überidentifikation ist die Registrierungsnotwendigkeit für vertrauende Beteiligte (Art 5b eIDAS-VO): Ein vertrauende Beteiligter, der für die Bereitstellung öffentlicher oder privater Dienste auf die EUDIW zurückzugreifen möchte, muss sich in dem Mitgliedstaat, in dem er niedergelassen ist, registrieren. Dabei muss er angeben, welche Daten er von den Nutzern anzufordern beabsichtigt (in ErwGr 17 der eIDAS-VO ist auch davon die Rede, dass dies zu begründen ist), und nur diese darf er dann im Zuge von Transaktionen tatsächlich anfordern, wie in Art 5b Abs 3 ausdrücklich festgelegt ist. Die bei der Registrierung gemachten Angaben sind von den Mitgliedstaaten online zu veröffentlichen, in elektronisch signierter oder besiegelter Form, die für eine automatisierte Verarbeitung geeignet ist. Flankiert wird diese Maßnahme von der Verpflichtung vertrauender Beteiligter, sich gegenüber den Nutzern zu identifizieren und Pseudonyme nicht zu verweigern, wenn die Identifizierung des Nutzers nicht im Unionsrecht oder im nationalen Recht vorgeschrieben ist. Insbesondere zu diesen Aspekten zeichnete sich zuletzt in der betreffenden Durchführungsverordnung eine Aufweichung ab, deren Zulässigkeit angesichts der soeben wiedergegeben Bestimmungen der EIDAS-VO in Frage steht.^[3] Die Verabschiedung der finalen Durchführungsverordnung ist für das 1. Quartal 2025 angekündigt.^[5]

Art 5a Abs 12 eIDAS-VO legt zudem fest, dass die EUDIW "security-by-design" sicherstellen müssen, was im deutschen Verordnungstext damit übersetzt wird, dass sie "mit ‚konzeptintegrierter Sicherheit‘ auszustatten" sind. Art 5a Abs 5 eIDAS-VO normiert eine Pflicht zur Verständigung der Nutzer über Sicherheitsverletzungen. Näheres zu Konsequenzen von Sicherheitsverletzungen ist in Art 5e eIDAS-VO vorgesehen.

In Art 5c eIDAS-VO ist das Erfordernis der Zertifizierung jedes EUDIW geregelt, unter Bezugnahme auf den Cyber Security Act. Alle zertifizierten EUDIW werden die im Amtsblatt der Europäischen Union veröffentlicht und in einer maschinenlesbaren Liste geführt (Art 5d eIDAS-VO).

Auch die Bestimmung über die Freiwilligkeit der Nutzung (Art 5a Abs 14 eIDAS-VO) dient - neben dem Hauptzweck der Nichtdiskriminierung - gewissermaßen auch Datenschutzzwecken. Sie normiert zusätzlich folgende Anforderungen, damit eine Freiwilligkeit auch faktisch besteht:

• Natürliche oder juristische Personen, die die EUDIW nicht nutzen, dürfen in ihrem Zugang zu öffentlichen und privaten Diensten und zum Arbeitsmarkt sowie in ihrer unternehmerischen Freiheit in keiner Weise eingeschränkt oder benachteiligt werden.
• Der Zugang zu öffentlichen und privaten Diensten muss weiterhin über andere bestehende Identifizierungs- und Authentifizierungsmittel möglich sein.

Annahmepflichten der EUDIW

In drei verschiedenen Konstellationen ist eine Verpflichtungen zur Akzeptanz des EUDIW vorgesehen (Art 5f eIDAS-VO):

• Wenn Mitgliedstaaten für einen E-Government-Dienst eine elektronische Identifizierung und Authentifizierung verlangen, müssen sie dafür auch die EUDIW akzeptieren.
• Sind private vertrauende Beteiligte, die Dienste erbringen — mit Ausnahme von Kleinst- und kleinen Unternehmen im Sinne von Art 2 des Anhangs der Empfehlung 2003/361/EG der Kommission^[6] –, nach Unionsrecht oder nationalem Recht verpflichtet, eine Online-Identifizierung mit starker Nutzerauthentifizierung vorzunehmen, oder ist eine Online-Identifizierung mit starker Nutzerauthentifizierung vertraglich vorgeschrieben, auch in den Bereichen Verkehr, Energie, Bankenwesen, Finanzdienstleistungen, soziale Sicherheit, Gesundheit, Trinkwasser, Postdienste, digitale Infrastrukturen, Bildung oder Telekommunikation, so akzeptieren diese privaten vertrauenden Beteiligten hierfür spätestens 36 Monate nach dem Tag des Inkrafttretens der Durchführungsrechtsakte gemäß Art 5a Abs 23 und Art 5c Abs 6 eIDAS-VO und nur auf freiwilliges Verlangen des Nutzers auch EUDIW. Der Begriff starke Nutzerauthentifizierung kann grundsätzlich als 2-Faktor-Authentifizierung verstanden werden und ist in Art 3 Z 51 eIDAS-VO näher definiert.
• Verlangen Anbieter sehr großer Online-Plattformen gemäß Art 33 Digital Services Act für den Zugang zu Online-Diensten eine Nutzerauthentifizierung, so akzeptieren und erleichtern sie hierfür auch die Verwendung von EUDIW, und zwar nur auf freiwilliges Verlangen des Nutzers und nur mit den Mindestdaten, die für den spezifischen Online-Dienst, für den die Authentifizierung verlangt wird, erforderlich sind.

Gegenseitige Anerkennung mitgliedstaatlicher elektronischer Identifizierungsmittel

Neben den 2024 neu eingeführten EUDIW enthält die eIDAS-VO in den Art 6ff auch die bisherigen Bestimmungen zu elektronischen Identifizierungssystemen mit dem Schwerpunkt der gegenseitigen Anerkennung durch die Mitgliedstaaten notifizierter elektronischer Identifizierungssysteme. Kernbestimmung ist die Verpflichtung der Mitgliedstaaten, wenn für einen E-Government-Dienst nach nationalem Recht oder aufgrund der Verwaltungspraxis eine elektronische Identifizierung mit einem elektronischen Identifizierungsmittel auf dem Sicherheitsniveau „substanziell“ oder „hoch“ und mit einer Authentifizierung erforderlich ist, auch in einem anderen Mitgliedstaat ausgestellte elektronische Identifizierungsmittel des gleichen oder eines höheren Sicherheitsniveaus für Zwecke der grenzüberschreitenden Authentifizierung anzuerkennen (Art 6 Abs 1 eIDAS-VO). Die dafür erforderliche Notifizierung des elektronischen Identifizierungssystems durch den jeweiligen Mitgliedstaat und die Voraussetzungen dafür sind in Art 7 und 9 eIDAS-VO näher geregelt. Österreich hat im Jahr 2022 die ID Austria notifiziert.^[7]

Vertrauensdienste

Vertrauensdiensteanbieter (Art 3 Z 19 eIDAS-VO) ist, wer einen Vertrauensdienst erbringt (oder mehrere), das ist ein elektronischer Dienst, der in der Regel gegen Entgelt erbracht wird und aus irgendeiner der folgenden Tätigkeiten besteht (Art 3 Z 19 eIDAS-VO):

• Ausstellung von Zertifikaten für elektronische Signaturen, von Zertifikaten für elektronische Siegel, von Zertifikaten für die Website-Authentifizierung oder von Zertifikaten für die Erbringung anderer Vertrauensdienste;
• Validierung von Zertifikaten für elektronische Signaturen, Zertifikaten für elektronische Siegel, Zertifikaten für die Website-Authentifizierung oder Zertifikaten für die Erbringung anderer Vertrauensdienste;
• Erstellung elektronischer Signaturen oder elektronischer Siegel;
• Validierung elektronischer Signaturen oder elektronischer Siegel;
• Bewahrung von elektronischen Signaturen, elektronischen Siegeln, Zertifikaten für elektronische Signaturen oder Zertifikaten für elektronische Siegel;
• Verwaltung elektronischer Fernsignaturerstellungseinheiten oder elektronischer Fernsiegelerstellungseinheiten;
• Ausstellung elektronischer Attributsbescheinigungen;
• Validierung elektronischer Attributsbescheinigungen;
• Erstellung elektronischer Zeitstempel;
• Validierung elektronischer Zeitstempel;
• Erbringung von Diensten für die Zustellung elektronischer Einschreiben;
• Validierung von durch Dienste für die Zustellung elektronischer Einschreiben übermittelten Daten und damit zusammenhängenden Nachweisen;
• elektronische Archivierung elektronischer Daten und elektronischer Dokumente;
• Aufzeichnung elektronischer Daten in einem elektronischen Journal.

In Art 24a eIDAS-VO ist die gegenseitige Anerkennung qualifizierter Vertrauensdienste in allen Mitgliedstaaten festgelegt.

Elektronische Signaturen

In Art 3 Z 10 eIDAS-VO ist der Begriff elektronische Signatur definiert als „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.“ Der Unterzeichner ist definiert als „eine natürliche Person, die eine elektronische Signatur erstellt“ (Art 3 Z 11 eIDAS-VO). Für juristische Personen bestehen als Äquivalent zur elektronischen Signatur die elektronischen Siegel.

Die eIDAS-VO unterscheidet zwischen drei Arten von elektronischen Signaturen: „einfachen“, fortgeschrittenen und qualifizierten elektronischen Signaturen, deren Definitionen aufeinander aufbauen. Aus der Definition der "einfachen" elektronischen Signatur wird deutlich, dass an diese keinerlei Anforderungen gestellt werden. Bereits das Unterzeichnen eines E-Mails mit dem Namen des Verfassers erfüllt die Definition. Die Definition der "einfachen" elektronischen Signatur in der eIDAS-VO dient daher vor allem dem Zweck, darauf aufbauend die fortgeschrittene elektronische Signatur zu definieren als elektronische Signatur, die die Anforderungen des Art 26 eIDAS-VO erfüllt (Art 3 Z 11 eIDAS-VO). Art 26 Abs 1 lautet:

Anforderungen an fortgeschrittene elektronische Signaturen

Eine fortgeschrittene elektronische Signatur erfüllt alle folgenden Anforderungen:

a) Sie ist eindeutig dem Unterzeichner zugeordnet.

b) Sie ermöglicht die Identifizierung des Unterzeichners.

c) Sie wird unter Verwendung elektronischer Signaturerstellungsdaten erstellt, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann.

d) Sie ist so mit den auf diese Weise unterzeichneten Daten verbunden, dass eine nachträgliche Veränderung der Daten erkannt werden kann.

Art 26 Abs 2 ermöglicht der Kommission, Durchführungsrechtsakte zu erlassen, „mit denen eine Liste von Referenzstandards erstellt wird und gegebenenfalls Spezifikationen und Verfahren für fortgeschrittene elektronische Signaturen festgelegt werden.“

Art 3 Z 12 eIDAS-VO definiert schließlich die qualifizierte elektronischen Signatur als „eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde und auf einem qualifizierten Zertifikat für elektronische Signaturen beruht.“

Eine solche qualifizierte elektronische Signatur hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift (Art 25 Abs 2 eIDAS-VO). Überdies normiert Art 25 Abs 1 eIDAS-VO, dass einer elektronischen Signatur die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden darf, weil sie in elektronischer Form vorliegt oder weil sie die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt.

Im allgemeinen (technischen) Sprachgebrauch wird die auf asymmetrischer Kryptographie basierende Technologie, mit der die soeben dargelegten Anforderungen umgesetzt werden, als digitale Signatur bezeichnet. Elektronische Signatur ist demgegenüber ein rechtlicher Begriff, der bewusst technologieneutral gewählt wurde, wobei in der Praxis zur Implementierung qualifizierter elektronischer Signaturen nur die Technologie der digitalen Signatur eine Rolle spielt.

Entsprechend dieser begrifflich abstrakten Herangehensweise ist in der eIDAS-VO auch nicht von privatem und öffentlichem Schlüssel die Rede, sondern von elektronischen Signaturerstellungsdaten (Art 3 Z 13 eIDAS-VO) und Signaturvalidierungsdaten. Letztere sind nicht eigenständig definiert, sondern in der Definition des Begriffs Zertifikat für elektronische Signaturen enthalten (Art 3 Z 14 eIDAS-VO). Diese lautet: „‚Zertifikat für elektronische Signaturen‘ ist eine elektronische Bescheinigung, die elektronische Signaturvalidierungsdaten mit einer natürlichen Person verknüpft und die mindestens den Namen oder das Pseudonym dieser Person bestätigt.“ Eine detaillierte Liste jener Angaben, die ein qualifiziertes Zertifikat enthalten muss, findet sich in Anhang I der eIDAS-VO.

Ein Zertifikat für elektronische Signaturen, das diese Anforderungen erfüllt und von einem qualifizierten Vertrauensdiensteanbieter ausgestellt wurde, ist gemäß Art 3 Z 15 eIDAS-VO ein qualifiziertes Zertifikat für elektronische Signaturen. Art 28 Abs 2 eIDAS-VO bestimmt, dass keine obligatorischen Anforderungen an ein qualifiziertes Zertifikat für elektronische Signaturen gelten dürfen, die über die Anforderungen des Anhang I hinausgehen. Gemäß Art 28 Abs 3 eIDAS-VO können qualifizierte Zertifikate zusätzliche fakultative spezifische Attribute enthalten. Der Begriff Zertifikat entspricht dem allgemeinen einschlägigen Sprachgebrauch.

Die Anforderungen, die eine qualifizierte elektronische Signaturerstellungseinheit erfüllen muss, um gemäß Art 29 Abs 1 eIDAS-VO als solche zu gelten, sind in Anhang II der eIDAS-VO definiert. In der Praxis wird als qualifizierte elektronische Signaturerstellungseinheit insbesondere eine Chipkarte oder ein Hardware Security Module (HSM) verwendet. Mit der Novellierung wurden ausdrücklich auch Bestimmungen zu Fernsignaturen eingeführt (Art 3 Z 23a, Art 29a eIDAS-VO)

Elektronische Siegel

Elektronische Siegel sind für juristische Personen das Äquivalent zu elektronischen Signaturen. Die Regelungen zu elektronischen Siegeln in Abschnitt 5 der eIDAS-VO sind äquivalent zu jenen für elektronische Signaturen ausgestaltet und normieren zum Teil nur die sinngemäße Geltung der entsprechenden Bestimmungen betreffend elektronische Signaturen. Die Regelung, wonach eine qualifizierte elektronische Signatur die gleiche Rechtswirkung hat wie eine handschriftliche Unterschrift, ist hingegen auf juristische Personen naturgemäß nicht übertragbar. Für ein qualifiziertes elektronisches Siegel gilt stattdessen die Vermutung der Unversehrtheit der Daten und der Richtigkeit der Herkunftsangabe der Daten, mit denen das qualifizierte elektronische Siegel verbunden ist (Art 35 Abs 2 eIDAS-VO).

Wie aus den Rechtswirkungen deutlich wird, zielen elektronische Siegel nicht auf die Abgabe von Willenserklärungen ab, sondern insbesondere auf die Abgabe von Wissenserklärungen, wie z.B. die Bestätigung der Integrität von Dokumenten oder Software oder des Erhalts von Daten. Der Vorteil eines elektronischen Siegels ist, dass sich im Vergleich zu einer elektronischen Signatur, die eine natürliche Person in Vertretung einer juristischen Person erstellt, die in diesem Fall zusätzlich erforderliche Überprüfung der Vertretungsbefugnis dieser natürlichen Person erübrigt.

Elektronische Zeitstempel

Ein elektronischer Zeitstempel ist in Art 3 Z 33 eIDAS-VO definiert als „Daten in elektronischer Form, die andere Daten in elektronischer Form mit einem bestimmten Zeitpunkt verknüpfen und dadurch den Nachweis erbringen, dass diese anderen Daten zu diesem Zeitpunkt vorhanden waren.“ Elektronische Zeitstempel dienen somit dem Nachweis, dass die damit bestätigten Daten zum darin angegebenen Zeitpunkt vorlagen und seitdem nicht verändert wurden. Ein qualifizierter elektronischer Zeitstempel ein solcher, der die Anforderungen des Art 42 eIDAS-VO (Art 3 Z 34 eIDAS-VO). Gemäß Art 41 Abs 2 eIDAS-VO gilt für einen qualifizierten elektronischen Zeitstempel die Vermutung der Richtigkeit des Datums und der Zeit, die darin angegeben sind, sowie der Unversehrtheit der mit dem Datum und der Zeit verbundenen Daten.

Dienste für die Zustellung elektronischer Einschreiben

Gemäß Art 3 Z 36 eIDAS-VO ist ein Dienst für die Zustellung elektronischer Einschreiben ein „Dienst, der die Übermittlung von Daten zwischen Dritten mit elektronischen Mitteln ermöglicht und einen Nachweis der Handhabung der übermittelten Daten erbringt, darunter den Nachweis der Absendung und des Empfangs der Daten, und der die übertragenen Daten vor Verlust, Diebstahl, Beschädigung oder unbefugter Veränderung schützt“. Ein qualifizierter Dienst für die Zustellung elektronischer Einschreiben ist gemäß Art 3 Z 37 eIDAS-VO ein solcher Dienst, der die Anforderungen des Art 44 eIDAS-VO erfüllt. Diese Bestimmung zeigt, dass sich ein Dienst für die Zustellung elektronischer Einschreiben der zuvor behandelten Vertrauensdienste bedient.

Website-Authentifizierung

Art 3 Z 38 eIDAS-VO definiert ein Zertifikat für die Website-Authentifizierung (qualified website authentication certificate, QWAC) als "eine elektronische Bescheinigung, die die Authentifizierung einer Website ermöglicht und die Website mit der natürlichen oder juristischen Person verknüpft, der das Zertifikat ausgestellt wurde." In der Praxis wird dies durch TLS-Zertifikate realisiert und standardmäßig verwendet, erkennbar an der Präfix "https" in der URL-Zeile des Browsers und dem daneben angezeigten stilisierten Schloss. Ein qualifiziertes Zertifikat für die Website-Authentifizierung ist gemäß Art 3 Z 39 eIDAS-VO ein von einem qualifizierten Vertrauensdiensteanbieter ausgestelltes Zertifikat für Website-Authentifizierung, das die Anforderungen des Anhangs IV der eIDAS-VO erfüllt. Die Stammfassung der Verordnung beschränkte sich darauf, verbindliche Anforderungen für solche Zertifikate zu definieren, die vom Aussteller als qualifiziert bezeichnet werden. Weder normiert die eIDAS-VO Rechtswirkungen solcher qualifizierter Zertifikate für die Website-Authentifizierung, noch trifft sie Regelungen, die in bestimmten Fällen zum Einsatz qualifizierter oder nichtqualifizierter Zertifikate für die Website-Authentifizierung verpflichten.

Die Novellierung brachte diesbezüglich jedoch eine umstrittene Neuerung mit sich: Art 45 Abs 1a eIDAS-VO verpflichtet nunmehr Anbieter von Webbrowsern, qualifizierte Zertifikate für die Website-Authentifizierung anzuerkennen. An dieser Neuerung wurde kritisiert, dass sie staatlichen Stellen ermöglicht, im Sinne eines Man-in-the-Middle-Angriffs Online-Kommunikation zu überwachen.^[8][9] Als Kompromisslösung wurde daher in Art 45a Abs 2 eIDAS-VO klargestellt, dass Anbieter von Webbrowsern in Fällen begründeter Bedenken hinsichtlich Sicherheitsverletzungen oder eines Integritätsverlusts eines bestimmten Zertifikats oder eines Satzes von Zertifikaten Vorsorgemaßnahmen in Bezug auf dieses Zertifikat oder diesen Satz von Zertifikaten ergreifen können und die Kommission hielt in einer förmlichen Erklärung fest, dass Art 45 eIDAS-VO Anbietern von Webbrowsern keine Verpflichtungen und Einschränkungen hinsichtlich der Gewährleistung vertraulicher Online-Kommunikation auferlege.^[10][11]

Elektronische Attributsbescheinigungen

Die mit eIDAS 2.0 eingeführten elektronischen Attributsbescheinigungen (engl. electronic attestations of attributes, EAA) ermöglichen den Nachweis von Attributen, das sind gemäß Art 3 Z 43 eIDAS-VO Merkmale, Qualitäten, Rechte oder Erlaubnisse einer natürlichen oder juristischen Person oder eines Objekts, wie z.B. ein Hochschulabschluss oder eine Fahrerlaubnis (Führerschein). Eine EAA ist folglich definiert als "eine in elektronischer Form vorliegende Bescheinigung, die die Authentifizierung von Attributen ermöglicht" (Art 3 Z 44 eIDAS-VO). Wenn eine EAA von einem qualifizierten Vertrauensdiensteanbieter ausgestellt wurde und die Anforderungen des Anhangs V der eIDAS-VO erfüllt, gilt sie als qualifizierte EAA (Art 3 Z 45 eIDAS-VO). Diesen gleichgestellt gibt es zum Zweck der unmittelbaren Bescheinigung von Attributen aus staatlichen Registern, für die aufgrund ihrer originären Authentizität eine Einbeziehung eines qualifizierten Vertrauensdiensteanbieters widersinnig wäre, eine eigene Kategorie der EAA, die von oder im Namen einer für eine authentische Quelle zuständigen öffentlichen Stelle ausgestellt werden. Diese definiert Art 3 Z 46 eIDAS-VO als eine EAA, die gemäß Art 45f und Anhang VII der eIDAS-VO on einer öffentlichen Stelle ausgestellt wurde, die für eine authentische Quelle (vgl Art 3 Z 47 eIDAS-VO) zuständig ist, oder von einer öffentlichen Stelle ausgestellt wurde, die von dem Mitgliedstaat dafür benannt wurde, solche Attributsbescheinigungen im Namen der öffentlichen Stellen auszustellen, die für authentische Quellen zuständig sind.

Die Mitgliedstaaten müssen bis spätestens 24 Monate nach Inkrafttreten der entsprechenden Durchführungsrechtsakte (somit voraussichtlich zu einem Zeitpunkt im zweiten Halbjahr 2026) dafür sorgen, dass zumindest die folgenden Attribute anhand authentischer Quellen elektronisch überprüft werden können (Art 45e Abs 1 iVm Anhang VI eIDAS-VO):

1. Adresse,
2. Alter,
3. Geschlecht,
4. Personenstand,
5. Familienzusammensetzung,
6. Staatsangehörigkeit oder Staatsbürgerschaft,
7. Bildungsabschlüsse, Titel und Erlaubnisse,
8. Berufsqualifikationen, Titel und Berechtigungen,
9. Vollmachten und Mandate, eine natürliche oder juristische Person zu vertreten,
10. behördliche Genehmigungen und Lizenzen,
11. für juristische Personen Finanzdaten und Unternehmensdaten.

Art 45b Abs 3 eIDAS-VO schreibt für diese Kategorie der EAA die Anerkennung in allen Mitgliedstaaten vor. Die weiteren Regeln zu den Rechtwirkungen ähneln jenen der elektronischen Signatur: "Eine qualifizierte elektronische Attributsbescheinigung und Attributsbescheinigungen, die von oder im Namen einer für eine authentische Quelle zuständigen öffentlichen Stelle ausgestellt werden, haben dieselbe Rechtswirkung wie rechtmäßig ausgestellte Bescheinigungen in Papierform" (Art 45b Abs 2 eIDAS-VO) und "[e]iner elektronischen Attributsbescheinigung darf die Rechtswirkung oder die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt oder nicht die Anforderungen an qualifizierte elektronische Attributsbescheinigungen erfüllt" (Art 45b Abs 1 eIDAS-VO).

Zum Zusammenspiel zwischen EAA und der EUDIW ist festgelegt, dass Anbieter von EAA EUDIW-Nutzern die Möglichkeit bieten müssen, die EAA unabhängig von dem Mitgliedstaat, in dem die EUDIW bereitgestellt wird, anzufordern, zu erhalten, zu speichern und zu verwalten (Art 45g Abs 1 eIDAS-VO) und dass Anbieter qualifizierter EAA eine Schnittstelle zum EUDIW bereitstellen müssen (Art 45g Abs 2 eIDAS-VO).

Art 45h eIDAS-VO enthält Datenschutzvorschriften für die Erbringung von Diensten für EAA:

1. Kein Kombinieren der Daten: Anbieter qualifizierter und nichtqualifizierter Dienste für EAA dürfen personenbezogene Daten in Bezug auf die Erbringung dieser Dienste nicht mit personenbezogenen Daten aus anderen von ihnen oder ihren Geschäftspartnern angebotenen Diensten kombinieren (Art 45h Abs 1 eIDAS-VO).
2. Trennung der Daten: Personenbezogene Daten in Bezug auf die Erbringung von Diensten für EAA müssen von allen anderen vom Anbieter von EAA gespeicherten Daten logisch getrennt gehalten werden (Art 45h Abs 2 eIDAS-VO).
3. Trennung der Dienste: Anbieter von EAA setzen die Bereitstellung solcher qualifizierter Vertrauensdienste auf eine Weise um, dass sie von anderen von ihnen bereitgestellten Diensten funktional getrennt ist (Art 45h Abs 3 eIDAS-VO).

Elektronische Archivierungsdienste

Elektronische Archivierung "ist ein Dienst für die Entgegennahme, die Speicherung, den Abruf und die Löschung elektronischer Daten und elektronischer Dokumente, der ihre Dauerhaftigkeit und Lesbarkeit gewährleistet sowie ihre Unversehrtheit, Vertraulichkeit und den Nachweis ihrer Herkunft während des gesamten Bewahrungszeitraums erhält" (Art 3 Z 48 eIDAS-VO). Analog zu anderen Vertrauensdiensten regeln die Art 45i und 45j eIDAS-VO die Rechtswirkung sowie die Anforderungen an qualifizierte elektronische Archivierungsdienste.

Elektronische Journale (electronic ledgers)

Die eIDAS-VO enthält wie erwähnt nunmehr auch Regelungen zu electronic ledgers, in der deutschsprachigen Fassung als elektronische Journale bezeichnet. Ein solches ist in Art 3 Z 52 eIDAS-VO definiert als "eine Abfolge von Aufzeichnungen elektronischer Daten, die die Unversehrtheit dieser Aufzeichnungen und die Richtigkeit ihrer chronologischen Reihenfolge gewährleistet." Auch hierzu sind mit anderen Vertrauensdiensten vergleichbare Regelungen zu den Rechtswirkungen sowie die Anforderungen an qualifizierte elektronische Journale in Art 45k und 45l eIDAS-VO vorgesehen. Zu erwähnen ist, dass die Definition nicht das Kriterium der verteilten Datenhaltung enthält (vgl. Distributed-Ledger-Technologie). Art 45l Abs 1 lit a eIDAS-VO erwähnt allerdings, dass ein qualifiziertes elektronisches Journal von einem oder mehreren qualifizierten Vertrauensdiensteanbietern erstellt und verwaltet werden kann.

Verhältnis zu anderen Rechtsakten

DSGVO

• Wie oben dargestellt, enthält die eIDAS-VO zahlreiche Bestimmungen, um die Einhaltung der Datenschutzgrundsätze, insbesondere des Grundsatzes der Datenminimierung, in Bezug auf das EUDIW sicherzustellen. Art 2 eIDAS-VO normiert ausdrücklich, dass diese "unbeschadet der" DSGVO (Datenschutz-Grundverordnung) gilt. Die beiden Verordnungen stehen somit grundsätzlich nebeneinander. Eindeutig ist die Rechtslage dahingehend, dass die Durchführungsrechtsakte zur eIDAS-VO den Bestimmungen der DSGVO nicht widersprechen dürfen und dass vertrauende Beteiligte in ihrem Umgang mit den EUDIW-Nutzern und mit deren Daten nicht nur die Bestimmungen der eIDAS-VO, sondern auch die Bestimmungen der DSGVO einhalten müssen.

Einzelnachweise