Regulation on electronic identification and trust services (eIDAS)

Aus RI Wiki
Version vom 20. September 2024, 20:07 Uhr von Walter (Diskussion | Beiträge) (Erweiterte Einführung)
Zur Navigation springenZur Suche springen

Langtitel: Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (Konsolidierter Text in der Fassung der Verordnung (EU) 2024/1183 des Europäischen Parlaments und des Rates vom 11. April 2024 zur Änderung der Verordnung (EU) Nr. 910/2014 im Hinblick auf die Schaffung des europäischen Rahmens für eine digitale Identität)

Kurztitel: Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen; Regulation on electronic identification and trust services

Kurzübersicht

Einführung

Die Abkürzung eIDAS steht für "electronic IDentification, Authentication and Trust Services". Die ursprüngliche Fassung der eIDAS-VO wurde im Jahr 2014 beschlossen. Sie umfasst zwei Regelungsgegenstände, die völlig unabhängig voneinander behandelt werden, die elektronischen Identifizierung sowie Vertrauensdienste, wie insbesondere elektronische Signaturen. Betreffend die elektronische Identifizierung regelte die eIDAS-VO von 2014 nur grenzüberschreitende Aspekte. Sie versuchte, Interoperabilität zwischen den verschiedenen nationalen elektronischen Identifizierungssystemen der Mitgliedstaaten herzustellen, indem sie deren gegenseitige Anerkennung normierte. Vorschriften, wie diese gestaltet sein müssen, oder eine Verpflichtung, dass jeder Mitgliedsaat überhaupt ein elektronisches Identifizierungssystem haben muss, enthielt sie nicht.

Am 20. Mai 2024 trat eine umfangreiche Novellierung der eIDAS-VO, bekannt als eIDAS 2.0, in Kraft. Diese brachte neben der Aktualisierung bestehender Bestimmungen eine zentrale Neuerung: Die Einführung der „Europäischen Brieftasche für die Digitale Identität“ („European Digital Identity Wallet“, EUDIW). Bis Herbst 2026 müssen alle EU-Mitgliedstaaten ihren Bürger*innen eine solche Wallet anbieten, mit der sie sich online und offline ausweisen können, insbesondere auch gegenüber Unternehmen, sowie Attribute aller Art nachweisen können, vom Altersnachweis über Zeugnisse bis hin zu Tickets,. Die Nutzung soll freiwillig und kostenfrei sein.

European Digital Identity Wallet (EUDIW)

Vertrauensdienste

Kapitel III der eIDAS-VO mit dem Titel "Vertrauensdienste" enthält allgemeine Bestimmungen, insbesondre betreffend nichtqualifizierte und qualifizierte Vertrauensdienste, sowie spezifische Regelungen zu folgenden Vertrauensdiensten:

  • Elektronische Signaturen
  • Elektronische Siegel
  • Elektronische Zeitstempel
  • Dienste für die Zustellung elektronischer Einschreiben
  • Website-Authentifizierung
  • Elektronische Attributsbescheinigung
  • Elektronische Archivierungsdienste
  • Elektronische Journale

Elektronische Signaturen

In Art 3 Z 10 eIDAS-VO ist der Begriff elektronische Signatur definiert als „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.“ Der Unterzeichner ist definiert als „eine natürliche Person, die eine elektronische Signatur erstellt“ (Art 3 Z 11 eIDAS-VO). Für juristische Personen bestehen als Äquivalent zur elektronischen Signatur die elektronischen Siegel.

Die eIDAS-VO unterscheidet zwischen drei Arten von elektronischen Signaturen: „einfachen“, fortgeschrittenen und qualifizierten elektronischen Signaturen, deren Definitionen aufeinander aufbauen. Aus der Definition der "einfachen" elektronischen Signatur wird deutlich, dass an diese keinerlei Anforderungen gestellt werden. Bereits das Unterzeichnen eines E-Mails mit dem Namen des Verfassers erfüllt die Definition. Die Definition der "einfachen" elektronischen Signatur in der eIDAS-VO erfüllt daher in erster Linie den Zweck, darauf aufbauend die fortgeschrittene elektronische Signatur zu definieren als elektronische Signatur, die die Anforderungen des Art 26 eIDAS-VO erfüllt (Art 3 Z 11 eIDAS-VO). Art 26 Abs 1 lautet:

Anforderungen an fortgeschrittene elektronische Signaturen

Eine fortgeschrittene elektronische Signatur erfüllt alle folgenden Anforderungen:

a) Sie ist eindeutig dem Unterzeichner zugeordnet.

b) Sie ermöglicht die Identifizierung des Unterzeichners.

c) Sie wird unter Verwendung elektronischer Signaturerstellungsdaten erstellt, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann.

d) Sie ist so mit den auf diese Weise unterzeichneten Daten verbunden, dass eine nachträgliche Veränderung der Daten erkannt werden kann.

Art 26 Abs 2 ermöglicht der Kommission, Durchführungsrechtsakte zu erlassen, „mit denen eine Liste von Referenzstandards erstellt wird und gegebenenfalls Spezifikationen und Verfahren für fortgeschrittene elektronische Signaturen festgelegt werden.“

Art 3 Z 12 eIDAS-VO definiert schließlich die qualifizierte elektronischen Signatur als „eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde und auf einem qualifizierten Zertifikat für elektronische Signaturen beruht.“

Eine solche elektronische Signatur hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift (Art 25 Abs 2 eIDAS-VO). Überdies normiert Art 25 Abs 1 eIDAS-VO, dass einer elektronischen Signatur die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden darf, weil sie in elektronischer Form vorliegt oder weil sie die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt.

Im allgemeinen (technischen) Sprachgebrauch wird die auf asymmetrischer Kryptographie basierende Technologie, mit der die soeben dargelegten Anforderungen umgesetzt werden, als digitale Signatur bezeichnet. Elektronische Signatur ist demgegenüber ein rechtlicher Begriff, der bewusst technologieneutral gewählt wurde, wobei in der Praxis zur Implementierung qualifizierter elektronischer Signaturen nur die Technologie der digitalen Signatur eine Rolle spielt.

Entsprechend dieser begrifflich abstrakten Herangehensweise ist in der eIDAS-VO auch nicht von privatem und öffentlichem Schlüssel die Rede, sondern von elektronischen Signaturerstellungsdaten (Art 3 Z 13 eIDAS-VO) und Signaturvalidierungsdaten. Letztere sind nicht eigenständig definiert, sondern in der Definition des Begriffs Zertifikat für elektronische Signaturen enthalten (Art 3 Z 14 eIDAS-VO). Diese lautet: „‚Zertifikat für elektronische Signaturen‘ ist eine elektronische Bescheinigung, die elektronische Signaturvalidierungsdaten mit einer natürlichen Person verknüpft und die mindestens den Namen oder das Pseudonym dieser Person bestätigt.“ Eine detaillierte Liste jener Angaben, die ein qualifiziertes Zertifikat enthalten muss, findet sich in Anhang I der eIDAS-VO.

Ein Zertifikat für elektronische Signaturen, das diese Anforderungen erfüllt und von einem qualifizierten Vertrauensdiensteanbieter ausgestellt wurde, ist gemäß Art 3 Z 15 eIDAS-VO ein qualifiziertes Zertifikat für elektronische Signaturen. Art 28 Abs 2 eIDAS-VO bestimmt, dass keine obligatorischen Anforderungen an ein qualifiziertes Zertifikat für elektronische Signaturen gelten dürfen, die über die Anforderungen des Anhang I hinausgehen. Gemäß Art 28 Abs 3 eIDAS-VO können qualifizierte Zertifikate zusätzliche fakultative spezifische Attribute enthalten.

Die Anforderungen, die eine qualifizierte elektronische Signaturerstellungseinheit erfüllen muss, um gemäß Art 29 Abs 1 als solche zu gelten, sind in Anhang II der eIDAS-VO definiert. In der Praxis wird als qualifizierte elektronische Signaturerstellungseinheit insbesondere eine Chipkarte oder ein Hardware Security Module (HSM) verwendet. Mit der Novellierung wurden ausdrücklich auch Bestimmungen zu Fernsignaturen eingeführt (Art 3 Z 23a, Art 29a eIDAS-VO)

Zusammenfassend lässt sich sagen, dass hier ausführliche Anforderungen definiert werden, ....