Regulation on electronic identification and trust services (eIDAS): Unterschied zwischen den Versionen
Walter (Diskussion | Beiträge) Vertrauensdienste und Elektronische Signaturen eingefügt |
Walter (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
||
| Zeile 45: | Zeile 45: | ||
Eine solche elektronische Signatur hat die gleiche '''Rechtswirkung''' wie eine handschriftliche Unterschrift (Art 25 Abs 2 eIDAS-VO). Überdies normiert Art 25 Abs 1 eIDAS-VO, dass einer elektronischen Signatur die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden darf, weil sie in elektronischer Form vorliegt oder weil sie die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt. | Eine solche elektronische Signatur hat die gleiche '''Rechtswirkung''' wie eine handschriftliche Unterschrift (Art 25 Abs 2 eIDAS-VO). Überdies normiert Art 25 Abs 1 eIDAS-VO, dass einer elektronischen Signatur die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden darf, weil sie in elektronischer Form vorliegt oder weil sie die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt. | ||
Im allgemeinen (technischen) Sprachgebrauch wird die auf asymmetrischer | Im allgemeinen (technischen) Sprachgebrauch wird die auf [https://de.wikipedia.org/wiki/Asymmetrische_Kryptographie asymmetrischer Kryptographie] basierende Technologie, mit der die soeben dargelegten Anforderungen umgesetzt werden, als ''digitale Signatur'' bezeichnet. ''Elektronische Signatur'' ist demgegenüber ein rechtlicher Begriff, der bewusst technologieneutral gewählt wurde, wobei in der Praxis zur Implementierung qualifizierter elektronischer Signaturen nur die Technologie der digitalen Signatur eine Rolle spielt. | ||
Entsprechend dieser begrifflich abstrakten Herangehensweise ist in der eIDAS-VO auch nicht von privatem und öffentlichem Schlüssel die Rede, sondern von ''elektronischen'' ''Signaturerstellungsdaten'' (Art 3 Z 13 eIDAS-VO) und ''Signaturvalidierungsdaten''. Letztere sind nicht eigenständig definiert, sondern in der Definition des Begriffs Zertifikat für elektronische Signaturen enthalten (Art 3 Z 14 eIDAS-VO). Diese lautet: „‚Zertifikat für elektronische Signaturen‘ ist eine elektronische Bescheinigung, die elektronische Signaturvalidierungsdaten mit einer natürlichen Person verknüpft und die mindestens den Namen oder das Pseudonym dieser Person bestätigt.“ Eine detaillierte | Entsprechend dieser begrifflich abstrakten Herangehensweise ist in der eIDAS-VO auch nicht von privatem und öffentlichem Schlüssel die Rede, sondern von ''elektronischen'' ''Signaturerstellungsdaten'' (Art 3 Z 13 eIDAS-VO) und ''Signaturvalidierungsdaten''. Letztere sind nicht eigenständig definiert, sondern in der Definition des Begriffs Zertifikat für elektronische Signaturen enthalten (Art 3 Z 14 eIDAS-VO). Diese lautet: „‚Zertifikat für elektronische Signaturen‘ ist eine elektronische Bescheinigung, die elektronische Signaturvalidierungsdaten mit einer natürlichen Person verknüpft und die mindestens den Namen oder das Pseudonym dieser Person bestätigt.“ Eine detaillierte Liste jener Angaben, die ein qualifiziertes Zertifikat enthalten muss, findet sich in Anhang I der eIDAS-VO. | ||
Ein Zertifikat für elektronische Signaturen, das diese Anforderungen erfüllt und von einem qualifizierten Vertrauensdiensteanbieter ausgestellt wurde, ist gemäß Art 3 Z 15 eIDAS-VO ein ''qualifiziertes Zertifikat für elektronische Signaturen''. Art 28 Abs 2 eIDAS-VO bestimmt, dass keine obligatorischen Anforderungen an ein qualifiziertes Zertifikat für elektronische Signaturen gelten dürfen, die über die Anforderungen des Anhang I hinausgehen. Gemäß Art 28 Abs 3 eIDAS-VO können qualifizierte Zertifikate zusätzliche fakultative spezifische Attribute enthalten. | |||
Zusammenfassend lässt sich sagen, dass hier ausführliche Anforderungen definiert werden, .... | Zusammenfassend lässt sich sagen, dass hier ausführliche Anforderungen definiert werden, .... | ||
Version vom 20. September 2024, 15:40 Uhr
Langtitel: Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (Konsolidierter Text in der Fassung der Verordnung (EU) 2024/1183 des Europäischen Parlaments und des Rates vom 11. April 2024 zur Änderung der Verordnung (EU) Nr. 910/2014 im Hinblick auf die Schaffung des europäischen Rahmens für eine digitale Identität)
Kurztitel: Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen; Regulation on electronic identification and trust services
Kurzübersicht
Einführung
Die Abkürzung eIDAS steht für "electronic IDentification, Authentication and Trust Services". Die ursprüngliche Fassung der eIDAS-VO wurde im Jahr 2014 beschlossen und umfasst Bestimmungen zur elektronischen Identifizierung sowie zu elektronischen Signaturen und anderen Vertrauensdiensten. Am 20. Mai 2024 trat eine umfangreiche Novellierung der eIDAS-VO in Kraft. Diese brachte neben der Aktualisierung bestehender Bestimmungen eine zentrale Neuerung: Die Einführung der „Europäische Brieftasche für die Digitale Identität“ („European Digital Identity Wallet“, EUDIW). Bis Herbst 2026 müssen alle EU-Mitgliedstaaten ihren Bürger*innen eine solche Wallet anbieten, mit der sie sich online und offline ausweisen können, wobei die Nutzung freiwillig und kostenfrei sein soll.
European Digital Identity Wallet (EUDIW)
Vertrauensdienste
Kapitel III der eIDAS-VO mit dem Titel "Vertrauensdienste" enthält allgemeine Bestimmungen, insbesondre betreffend nichtqualifizierte und qualifizierte Vertrauensdienste, sowie spezifische Regelungen zu folgenden Vertrauensdiensten:
- Elektronische Signaturen
- Elektronische Siegel
- Elektronische Zeitstempel
- Dienste für die Zustellung elektronischer Einschreiben
- Website-Authentifizierung
- Elektronische Attributsbescheinigung
- Elektronische Archivierungsdienste
- Elektronische Journale
Elektronische Signaturen
In Art 3 Z 10 eIDAS-VO ist der Begriff elektronische Signatur definiert als „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.“ Der Unterzeichner ist definiert als „eine natürliche Person, die eine elektronische Signatur erstellt“ (Art 3 Z 11 eIDAS-VO). Für juristische Personen bestehen als Äquivalent zur elektronischen Signatur die elektronischen Siegel.
Die eIDAS-VO unterscheidet zwischen drei Arten von elektronischen Signaturen: „einfachen“, fortgeschrittenen und qualifizierten elektronischen Signaturen, deren Definitionen aufeinander aufbauen. Die fortgeschrittene elektronische Signatur ist in Art 3 Z 11 eIDAS-VO definiert als elektronische Signatur, die die Anforderungen des Art 26 eIDAS-VO erfüllt. Art 26 Abs 1 lautet:
Anforderungen an fortgeschrittene elektronische Signaturen
Eine fortgeschrittene elektronische Signatur erfüllt alle folgenden Anforderungen:
a) Sie ist eindeutig dem Unterzeichner zugeordnet.
b) Sie ermöglicht die Identifizierung des Unterzeichners.
c) Sie wird unter Verwendung elektronischer Signaturerstellungsdaten erstellt, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann.
d) Sie ist so mit den auf diese Weise unterzeichneten Daten verbunden, dass eine nachträgliche Veränderung der Daten erkannt werden kann.
Art 26 Abs 2 ermöglicht der Kommission, Durchführungsrechtsakte zu erlassen, „mit denen eine Liste von Referenzstandards erstellt wird und gegebenenfalls Spezifikationen und Verfahren für fortgeschrittene elektronische Signaturen festgelegt werden.“
Art 3 Z 12 eIDAS-VO definiert schließlich die qualifizierte elektronischen Signatur als „eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde und auf einem qualifizierten Zertifikat für elektronische Signaturen beruht.“
Eine solche elektronische Signatur hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift (Art 25 Abs 2 eIDAS-VO). Überdies normiert Art 25 Abs 1 eIDAS-VO, dass einer elektronischen Signatur die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden darf, weil sie in elektronischer Form vorliegt oder weil sie die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt.
Im allgemeinen (technischen) Sprachgebrauch wird die auf asymmetrischer Kryptographie basierende Technologie, mit der die soeben dargelegten Anforderungen umgesetzt werden, als digitale Signatur bezeichnet. Elektronische Signatur ist demgegenüber ein rechtlicher Begriff, der bewusst technologieneutral gewählt wurde, wobei in der Praxis zur Implementierung qualifizierter elektronischer Signaturen nur die Technologie der digitalen Signatur eine Rolle spielt.
Entsprechend dieser begrifflich abstrakten Herangehensweise ist in der eIDAS-VO auch nicht von privatem und öffentlichem Schlüssel die Rede, sondern von elektronischen Signaturerstellungsdaten (Art 3 Z 13 eIDAS-VO) und Signaturvalidierungsdaten. Letztere sind nicht eigenständig definiert, sondern in der Definition des Begriffs Zertifikat für elektronische Signaturen enthalten (Art 3 Z 14 eIDAS-VO). Diese lautet: „‚Zertifikat für elektronische Signaturen‘ ist eine elektronische Bescheinigung, die elektronische Signaturvalidierungsdaten mit einer natürlichen Person verknüpft und die mindestens den Namen oder das Pseudonym dieser Person bestätigt.“ Eine detaillierte Liste jener Angaben, die ein qualifiziertes Zertifikat enthalten muss, findet sich in Anhang I der eIDAS-VO.
Ein Zertifikat für elektronische Signaturen, das diese Anforderungen erfüllt und von einem qualifizierten Vertrauensdiensteanbieter ausgestellt wurde, ist gemäß Art 3 Z 15 eIDAS-VO ein qualifiziertes Zertifikat für elektronische Signaturen. Art 28 Abs 2 eIDAS-VO bestimmt, dass keine obligatorischen Anforderungen an ein qualifiziertes Zertifikat für elektronische Signaturen gelten dürfen, die über die Anforderungen des Anhang I hinausgehen. Gemäß Art 28 Abs 3 eIDAS-VO können qualifizierte Zertifikate zusätzliche fakultative spezifische Attribute enthalten.
Zusammenfassend lässt sich sagen, dass hier ausführliche Anforderungen definiert werden, ....
