Regulation on electronic identification and trust services (eIDAS): Unterschied zwischen den Versionen

Langtitel: Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (Konsolidierter Text in der Fassung der Verordnung (EU) 2024/1183 des Europäischen Parlaments und des Rates vom 11. April 2024 zur Änderung der Verordnung (EU) Nr. 910/2014 im Hinblick auf die Schaffung des europäischen Rahmens für eine digitale Identität)

Kurztitel: Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen; Regulation on electronic identification and trust services

Kurzübersicht

Einführung

Die Abkürzung eIDAS steht für "electronic IDentification, Authentication and Trust Services". Die ursprüngliche Fassung der eIDAS-VO wurde im Jahr 2014 beschlossen. Sie umfasst zwei Regelungsgegenstände, die völlig unabhängig voneinander behandelt werden,

• die elektronische Identifizierung sowie
• Vertrauensdienste, wie insbesondere elektronische Signaturen.

Die Rahmenbedingungen für elektronische Singnaturen bauen auf der Signaturrichtlinie auf, die seit 1999 gegolten hatte. Betreffend die Vertrauensdienste enthielt die IDAS-VO von 2014 bereits europaweit einheitliche Regeln (Harmonisierung), betreffend die elektronische Identifizierung regelte diese hingegen nur grenzüberschreitende Aspekte. Sie versuchte, Interoperabilität zwischen den verschiedenen nationalen elektronischen Identifizierungssystemen der Mitgliedstaaten herzustellen, indem sie deren gegenseitige Anerkennung durch die Mitgliedstaaten für deren E-Government-Services normiert. Vorschriften, wie diese gestaltet sein müssen, eine Verpflichtung zur Anerkennung im Privatsektor oder eine Verpflichtung, dass jeder Mitgliedsaat überhaupt ein elektronisches Identifizierungssystem haben müsse, enthielt sie nicht.

Am 20. Mai 2024 trat eine umfangreiche Novellierung der eIDAS-VO, bekannt als eIDAS 2.0, in Kraft. Als zentrale Neuerung treten neben die Interoperabilität der nationalen elektronischen Identifizierungssysteme einheitliche Vorgaben für eine „Europäische Brieftasche für die Digitale Identität“ („European Digital Identity Wallet“, kurz EUDI-Wallet, EUDI-Brieftasche oder EUDIW). Bis Herbst 2026 müssen alle EU-Mitgliedstaaten ihren Bürger*innen eine solche Wallet anbieten, mit der sie sich online und offline ausweisen können, insbesondere auch gegenüber Unternehmen, sowie Attribute aller Art nachweisen können, vom Altersnachweis über Zeugnisse bis hin zu Tickets. Die Nutzung soll freiwillig und kostenfrei sein.

Betreffend Vertrauensdienste enthielt die eIDAS-VO bereits bisher Regelungen zu Vertrauensdiensteanbietern sowie zu folgenden spezifischen Vertrauensdiensten:

• Elektronische Signaturen
• Elektronische Siegel
• Elektronische Zeitstempel
• Dienste für die Zustellung elektronischer Einschreiben
• Website-Authentifizierung

Mit der Novellierung 2024 wurden einige dieser Regelungen angepasst und es traten Regelungen zu folgenden neunen Vertrauensdiensten hinzu:

• Elektronische Attributsbescheinigung
• Elektronische Archivierungsdienste
• Elektronische Journale

Die „Elektronische Identifizierung“ ist in Art 3 Z 1 eIDAS-VO definiert als "der Prozess der Verwendung von Personenidentifizierungsdaten in elektronischer Form, die eine natürliche oder juristische Person oder eine natürliche Person, die eine andere natürliche Person oder eine juristische Person vertritt, eindeutig repräsentieren."

European Digital Identity Wallet (EUDIW)

Vertrauensdienste

Vertrauensdiensteanbieter (Art 3 Z 19 eIDAS-VO) ist, wer einen Vertrauensdienst erbringt (oder mehrere), das ist ein elektronischer Dienst, der in der Regel gegen Entgelt erbracht wird und aus irgendeiner der folgenden Tätigkeiten besteht (Art 3 Z 19 eIDAS-VO):

a) Ausstellung von Zertifikaten für elektronische Signaturen, von Zertifikaten für elektronische Siegel, von Zertifikaten für die Website-Authentifizierung oder von Zertifikaten für die Erbringung anderer Vertrauensdienste;

b) Validierung von Zertifikaten für elektronische Signaturen, Zertifikaten für elektronische Siegel, Zertifikaten für die Website-Authentifizierung oder Zertifikaten für die Erbringung anderer Vertrauensdienste;

c) Erstellung elektronischer Signaturen oder elektronischer Siegel;

d) Validierung elektronischer Signaturen oder elektronischer Siegel;

e) Bewahrung von elektronischen Signaturen, elektronischen Siegeln, Zertifikaten für elektronische Signaturen oder Zertifikaten für elektronische Siegel;

f) Verwaltung elektronischer Fernsignaturerstellungseinheiten oder elektronischer Fernsiegelerstellungseinheiten;

g) Ausstellung elektronischer Attributsbescheinigungen;

h) Validierung elektronischer Attributsbescheinigungen;

i) Erstellung elektronischer Zeitstempel;

j) Validierung elektronischer Zeitstempel;

k) Erbringung von Diensten für die Zustellung elektronischer Einschreiben;

l) Validierung von durch Dienste für die Zustellung elektronischer Einschreiben übermittelten Daten und damit zusammenhängenden Nachweisen;

m) elektronische Archivierung elektronischer Daten und elektronischer Dokumente;

n) Aufzeichnung elektronischer Daten in einem elektronischen Journal.

Elektronische Signaturen

In Art 3 Z 10 eIDAS-VO ist der Begriff elektronische Signatur definiert als „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.“ Der Unterzeichner ist definiert als „eine natürliche Person, die eine elektronische Signatur erstellt“ (Art 3 Z 11 eIDAS-VO). Für juristische Personen bestehen als Äquivalent zur elektronischen Signatur die elektronischen Siegel.

Die eIDAS-VO unterscheidet zwischen drei Arten von elektronischen Signaturen: „einfachen“, fortgeschrittenen und qualifizierten elektronischen Signaturen, deren Definitionen aufeinander aufbauen. Aus der Definition der "einfachen" elektronischen Signatur wird deutlich, dass an diese keinerlei Anforderungen gestellt werden. Bereits das Unterzeichnen eines E-Mails mit dem Namen des Verfassers erfüllt die Definition. Die Definition der "einfachen" elektronischen Signatur in der eIDAS-VO erfüllt daher in erster Linie den Zweck, darauf aufbauend die fortgeschrittene elektronische Signatur zu definieren als elektronische Signatur, die die Anforderungen des Art 26 eIDAS-VO erfüllt (Art 3 Z 11 eIDAS-VO). Art 26 Abs 1 lautet:

Anforderungen an fortgeschrittene elektronische Signaturen

Eine fortgeschrittene elektronische Signatur erfüllt alle folgenden Anforderungen:

a) Sie ist eindeutig dem Unterzeichner zugeordnet.

b) Sie ermöglicht die Identifizierung des Unterzeichners.

c) Sie wird unter Verwendung elektronischer Signaturerstellungsdaten erstellt, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann.

d) Sie ist so mit den auf diese Weise unterzeichneten Daten verbunden, dass eine nachträgliche Veränderung der Daten erkannt werden kann.

Art 26 Abs 2 ermöglicht der Kommission, Durchführungsrechtsakte zu erlassen, „mit denen eine Liste von Referenzstandards erstellt wird und gegebenenfalls Spezifikationen und Verfahren für fortgeschrittene elektronische Signaturen festgelegt werden.“

Art 3 Z 12 eIDAS-VO definiert schließlich die qualifizierte elektronischen Signatur als „eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde und auf einem qualifizierten Zertifikat für elektronische Signaturen beruht.“

Eine solche qualifizierte elektronische Signatur hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift (Art 25 Abs 2 eIDAS-VO). Überdies normiert Art 25 Abs 1 eIDAS-VO, dass einer elektronischen Signatur die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden darf, weil sie in elektronischer Form vorliegt oder weil sie die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt.

Im allgemeinen (technischen) Sprachgebrauch wird die auf asymmetrischer Kryptographie basierende Technologie, mit der die soeben dargelegten Anforderungen umgesetzt werden, als digitale Signatur bezeichnet. Elektronische Signatur ist demgegenüber ein rechtlicher Begriff, der bewusst technologieneutral gewählt wurde, wobei in der Praxis zur Implementierung qualifizierter elektronischer Signaturen nur die Technologie der digitalen Signatur eine Rolle spielt.

Entsprechend dieser begrifflich abstrakten Herangehensweise ist in der eIDAS-VO auch nicht von privatem und öffentlichem Schlüssel die Rede, sondern von elektronischen Signaturerstellungsdaten (Art 3 Z 13 eIDAS-VO) und Signaturvalidierungsdaten. Letztere sind nicht eigenständig definiert, sondern in der Definition des Begriffs Zertifikat für elektronische Signaturen enthalten (Art 3 Z 14 eIDAS-VO). Diese lautet: „‚Zertifikat für elektronische Signaturen‘ ist eine elektronische Bescheinigung, die elektronische Signaturvalidierungsdaten mit einer natürlichen Person verknüpft und die mindestens den Namen oder das Pseudonym dieser Person bestätigt.“ Eine detaillierte Liste jener Angaben, die ein qualifiziertes Zertifikat enthalten muss, findet sich in Anhang I der eIDAS-VO.

Ein Zertifikat für elektronische Signaturen, das diese Anforderungen erfüllt und von einem qualifizierten Vertrauensdiensteanbieter ausgestellt wurde, ist gemäß Art 3 Z 15 eIDAS-VO ein qualifiziertes Zertifikat für elektronische Signaturen. Art 28 Abs 2 eIDAS-VO bestimmt, dass keine obligatorischen Anforderungen an ein qualifiziertes Zertifikat für elektronische Signaturen gelten dürfen, die über die Anforderungen des Anhang I hinausgehen. Gemäß Art 28 Abs 3 eIDAS-VO können qualifizierte Zertifikate zusätzliche fakultative spezifische Attribute enthalten. Der Begriff Zertifikat entspricht dem allgemeinen einschlägigen Sprachgebrauch.

Die Anforderungen, die eine qualifizierte elektronische Signaturerstellungseinheit erfüllen muss, um gemäß Art 29 Abs 1 als solche zu gelten, sind in Anhang II der eIDAS-VO definiert. In der Praxis wird als qualifizierte elektronische Signaturerstellungseinheit insbesondere eine Chipkarte oder ein Hardware Security Module (HSM) verwendet. Mit der Novellierung wurden ausdrücklich auch Bestimmungen zu Fernsignaturen eingeführt (Art 3 Z 23a, Art 29a eIDAS-VO)

Zusammenfassend lässt sich sagen, dass hier ausführliche Anforderungen definiert werden, ....

Elektronische Siegel

Elektronische Siegel sind für juristische Personen das Äquivalent zu elektronischen Signaturen. Die Regelungen zu elektronischen Siegeln in Abschnitt 5 der eIDAS-VO sind äquivalent zu jenen für elektronische Signaturen ausgestaltet und normieren zum Teil nur die sinngemäße Geltung der entsprechenden Bestimmungen betreffend elektronische Signaturen. Die Regelung, wonach eine qualifizierte elektronische Signatur die gleiche Rechtswirkung hat wie eine handschriftliche Unterschrift, ist hingegen auf juristische Personen naturgemäß nicht übertragbar. Für ein qualifiziertes elektronisches Siegel gilt stattdessen die Vermutung der Unversehrtheit der Daten und der Richtigkeit der Herkunftsangabe der Daten, mit denen das qualifizierte elektronische Siegel verbunden ist (Art 35 Abs 2 eIDAS-VO).

Wie aus den Rechtswirkungen deutlich wird, zielen elektronische Siegel nicht auf die Abgabe von Willenserklärungen ab, sondern insbesondere auf die Abgabe von Wissenserklärungen, wie z.B. die Bestätigung der Integrität von Dokumenten oder Software oder des Erhalts von Daten. Der Vorteil eines elektronischen Siegels ist, dass sich im Vergleich zu einer elektronischen Signatur, die eine natürliche Person in Vertretung einer juristischen Person erstellt, die in diesem Fall zusätzlich erforderliche Überprüfung der Vertretungsbefugnis dieser natürlichen Person erübrigt.

Elektronische Zeitstempel

Ein elektronischer Zeitstempel ist in Art 3 Z 33 eIDAS-VO definiert als „Daten in elektronischer Form, die andere Daten in elektronischer Form mit einem bestimmten Zeitpunkt verknüpfen und dadurch den Nachweis erbringen, dass diese anderen Daten zu diesem Zeitpunkt vorhanden waren.“ Elektronische Zeitstempel dienen somit dem Nachweis, dass die damit bestätigten Daten zum darin angegebenen Zeitpunkt vorlagen und seitdem nicht verändert wurden. Ein qualifizierter elektronischer Zeitstempel ein solcher, der die Anforderungen des Art 42 eIDAS-VO (Art 3 Z 34 eIDAS-VO). Gemäß Art 41 Abs 2 eIDAS-VO gilt für einen qualifizierten elektronischen Zeitstempel die Vermutung der Richtigkeit des Datums und der Zeit, die darin angegeben sind, sowie der Unversehrtheit der mit dem Datum und der Zeit verbundenen Daten.

Dienste für die Zustellung elektronischer Einschreiben

Gemäß Art 3 Z 36 eIDAS-VO ist ein Dienst für die Zustellung elektronischer Einschreiben ein „Dienst, der die Übermittlung von Daten zwischen Dritten mit elektronischen Mitteln ermöglicht und einen Nachweis der Handhabung der übermittelten Daten erbringt, darunter den Nachweis der Absendung und des Empfangs der Daten, und der die übertragenen Daten vor Verlust, Diebstahl, Beschädigung oder unbefugter Veränderung schützt“. Ein qualifizierter Dienst für die Zustellung elektronischer Einschreiben ist gemäß Art 3 Z 37 eIDAS-VO ein solcher Dienst, der die Anforderungen des Art 44 eIDAS-VO erfüllt. Diese Bestimmung zeigt, dass sich ein Dienst für die Zustellung elektronischer Einschreiben der zuvor behandelten Vertrauensdienste bedient.

Website-Authentifizierung

Art 3 Z 38 eIDAS-VO definiert ein Zertifikat für die Website-Authentifizierung (qualified website authentication certificate, QWAC) als "eine elektronische Bescheinigung, die die Authentifizierung einer Website ermöglicht und die Website mit der natürlichen oder juristischen Person verknüpft, der das Zertifikat ausgestellt wurde." In der Praxis wird dies durch TLS-Zertifikate realisiert. Ein qualifiziertes Zertifikat für die Website-Authentifizierung ist gemäß Art 3 Z 39 eIDAS-VO ein von einem qualifizierten Vertrauensdiensteanbieter ausgestelltes Zertifikat für Website-Authentifizierung, das die Anforderungen des Anhangs IV der eIDAS-VO erfüllt. Die Stammfassung der Verordnung beschränkte sich darauf, verbindliche Anforderungen für solche Zertifikate zu definieren, die vom Aussteller als qualifiziert bezeichnet werden. Weder normiert die eIDAS-VO Rechtswirkungen solcher qualifizierter Zertifikate für die Website-Authentifizierung, noch trifft sie Regelungen, die in bestimmten Fällen zum Einsatz qualifizierter oder nichtqualifizierter Zertifikate für die Website-Authentifizierung verpflichten.

Die Novellierung brachte jedoch in diesem Bereich eine umstrittene Neuerung mit sich: Art 45 Abs 1a eIDAS-VO verpflichtet nunmehr Anbieter von Webbrowsern, qualifizierte Zertifikate für die Website-Authentifizierung anzuerkennen. An dieser Neuerung wurde kritisiert, dass sie staatlichen Stellen ermöglicht, im Sinne eines Man-in-the-Middle-Angriffs Online-Kommunikation zu überwachen.^[1]

[tbc: Art 45a wurde im Gesetzgebungsprozess hinzugefügt; entschärft dieser die Problematik oder nicht?]

Elektronische Attributsbescheinigungen

Die mit eIDAS 2.0 eingeführten elektronischen Attributsbescheinigungen ermöglichen den Nachweis von Attributen, das sind gemäß Art 3 Z 43 eIDAS-VO Merkmale, Qualitäten, Rechte oder Erlaubnisse einer natürlichen oder juristischen Person oder eines Objekts, wie z.B. ein Hochschulabschluss oder eine Fahrerlaubnis (Führerschein). Eine elektronische Attributsbescheinigung ist folglich definiert als "eine in elektronischer Form vorliegende Bescheinigung, die die Authentifizierung von Attributen ermöglicht" (Art 3 Z 44 eIDAS-VO). Wenn eine solche von einem qualifizierten Vertrauensdiensteanbieter ausgestellt wurde und die Anforderungen des Anhangs V der eIDAS-VO erfüllt, gilt sie als qualifizierte elektronische Attributsbescheinigung (Art 3 Z 45 eIDAS-VO). Neben diesen gibt es zum Zweck der unmittelbaren Bescheinigung von Attributen aus staatlichen Registern ohne Einbeziehung eines qualifizierten Vertranensdiensteanbieters auch die eigene Kategorie der Attributsbescheinigungen, die von oder im Namen einer für eine authentische Quelle zuständigen öffentlichen Stelle ausgestellt werden. Diese definiert Art 3 Z 46 eIDAS-VO als eine elektronische Attributsbescheinigung, die gemäß Art 45f und Anhang VII der eIDAS-VO on einer öffentlichen Stelle ausgestellt wurde, die für eine authentische Quelle zuständig ist, oder von einer öffentlichen Stelle ausgestellt wurde, die von dem Mitgliedstaat dafür benannt wurde, solche Attributsbescheinigungen im Namen der öffentlichen Stellen, die für authentische Quellen zuständig sind, auszustellen.

Art 45b Abs 3 eIDAS-VO normiert für diese Kategorie der Attributsbescheinigungen die Anerkennung in allen Mitgliedstaaten. Die weiteren Regeln zu den Rechtwirkungen ähneln jenen der elektronischen Signatur: "Eine qualifizierte elektronische Attributsbescheinigung und Attributsbescheinigungen, die von oder im Namen einer für eine authentische Quelle zuständigen öffentlichen Stelle ausgestellt werden, haben dieselbe Rechtswirkung wie rechtmäßig ausgestellte Bescheinigungen in Papierform" (Art 45b Abs 2 eIDAS-VO). und "[e]iner elektronischen Attributsbescheinigung darf die Rechtswirkung oder die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt oder nicht die Anforderungen an qualifizierte elektronische Attributsbescheinigungen erfüllt" (Art 45b Abs 1 eIDAS-VO).

[tbc: Datenschutz Art 45h]

Verhältnis zu anderen Rechtsakten

DSGVO

Art 2 eIDAS-VO normiert ausdrücklich, dass diese "unbeschadet der" DSGVO gilt. Dies ist so zu verstehen, dass ...