Regulation on electronic identification and trust services (eIDAS)

Aus RI Wiki
Version vom 20. September 2024, 21:32 Uhr von Walter (Diskussion | Beiträge) (Zeitstempel, Einschreiben)
Zur Navigation springenZur Suche springen

Langtitel: Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (Konsolidierter Text in der Fassung der Verordnung (EU) 2024/1183 des Europäischen Parlaments und des Rates vom 11. April 2024 zur Änderung der Verordnung (EU) Nr. 910/2014 im Hinblick auf die Schaffung des europäischen Rahmens für eine digitale Identität)

Kurztitel: Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen; Regulation on electronic identification and trust services

Kurzübersicht

Einführung

Die Abkürzung eIDAS steht für "electronic IDentification, Authentication and Trust Services". Die ursprüngliche Fassung der eIDAS-VO wurde im Jahr 2014 beschlossen. Sie umfasst zwei Regelungsgegenstände, die völlig unabhängig voneinander behandelt werden, die elektronischen Identifizierung sowie Vertrauensdienste, wie insbesondere elektronische Signaturen. Betreffend die elektronische Identifizierung regelte die eIDAS-VO von 2014 nur grenzüberschreitende Aspekte. Sie versuchte, Interoperabilität zwischen den verschiedenen nationalen elektronischen Identifizierungssystemen der Mitgliedstaaten herzustellen, indem sie deren gegenseitige Anerkennung normiert. Vorschriften, wie diese gestaltet sein müssen, oder eine Verpflichtung, dass jeder Mitgliedsaat überhaupt ein elektronisches Identifizierungssystem haben muss, enthielt sie nicht.

Am 20. Mai 2024 trat eine umfangreiche Novellierung der eIDAS-VO, bekannt als eIDAS 2.0, in Kraft. Als zentrale Neuerung treten neben die Interoperabilität der nationalen elektronischen Identifizierungssysteme einheitliche Vorgaben für eine „Europäische Brieftasche für die Digitale Identität“ („European Digital Identity Wallet“, EUDIW). Bis Herbst 2026 müssen alle EU-Mitgliedstaaten ihren Bürger*innen eine solche Wallet anbieten, mit der sie sich online und offline ausweisen können, insbesondere auch gegenüber Unternehmen, sowie Attribute aller Art nachweisen können, vom Altersnachweis über Zeugnisse bis hin zu Tickets. Die Nutzung soll freiwillig und kostenfrei sein.

Betreffend Vertrauensdienste enthielt die eIDAS-VO bereits bisher Regelungen zu Vertrauensdiensteanbietern sowie zu folgenden spezifischen Vertrauensdiensten:

  • Elektronische Signaturen
  • Elektronische Siegel
  • Elektronische Zeitstempel
  • Dienste für die Zustellung elektronischer Einschreiben
  • Website-Authentifizierung

Mit der Novellierung 2024 wurden einige dieser Regelungen angepasst und es traten Regelungen zu folgenden neunen Vertrauensdiensten hinzu:

  • Elektronische Attributsbescheinigung
  • Elektronische Archivierungsdienste
  • Elektronische Journale

European Digital Identity Wallet (EUDIW)

Vertrauensdienste

Elektronische Signaturen

In Art 3 Z 10 eIDAS-VO ist der Begriff elektronische Signatur definiert als „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.“ Der Unterzeichner ist definiert als „eine natürliche Person, die eine elektronische Signatur erstellt“ (Art 3 Z 11 eIDAS-VO). Für juristische Personen bestehen als Äquivalent zur elektronischen Signatur die elektronischen Siegel.

Die eIDAS-VO unterscheidet zwischen drei Arten von elektronischen Signaturen: „einfachen“, fortgeschrittenen und qualifizierten elektronischen Signaturen, deren Definitionen aufeinander aufbauen. Aus der Definition der "einfachen" elektronischen Signatur wird deutlich, dass an diese keinerlei Anforderungen gestellt werden. Bereits das Unterzeichnen eines E-Mails mit dem Namen des Verfassers erfüllt die Definition. Die Definition der "einfachen" elektronischen Signatur in der eIDAS-VO erfüllt daher in erster Linie den Zweck, darauf aufbauend die fortgeschrittene elektronische Signatur zu definieren als elektronische Signatur, die die Anforderungen des Art 26 eIDAS-VO erfüllt (Art 3 Z 11 eIDAS-VO). Art 26 Abs 1 lautet:

Anforderungen an fortgeschrittene elektronische Signaturen

Eine fortgeschrittene elektronische Signatur erfüllt alle folgenden Anforderungen:

a) Sie ist eindeutig dem Unterzeichner zugeordnet.

b) Sie ermöglicht die Identifizierung des Unterzeichners.

c) Sie wird unter Verwendung elektronischer Signaturerstellungsdaten erstellt, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann.

d) Sie ist so mit den auf diese Weise unterzeichneten Daten verbunden, dass eine nachträgliche Veränderung der Daten erkannt werden kann.

Art 26 Abs 2 ermöglicht der Kommission, Durchführungsrechtsakte zu erlassen, „mit denen eine Liste von Referenzstandards erstellt wird und gegebenenfalls Spezifikationen und Verfahren für fortgeschrittene elektronische Signaturen festgelegt werden.“

Art 3 Z 12 eIDAS-VO definiert schließlich die qualifizierte elektronischen Signatur als „eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde und auf einem qualifizierten Zertifikat für elektronische Signaturen beruht.“

Eine solche elektronische Signatur hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift (Art 25 Abs 2 eIDAS-VO). Überdies normiert Art 25 Abs 1 eIDAS-VO, dass einer elektronischen Signatur die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden darf, weil sie in elektronischer Form vorliegt oder weil sie die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt.

Im allgemeinen (technischen) Sprachgebrauch wird die auf asymmetrischer Kryptographie basierende Technologie, mit der die soeben dargelegten Anforderungen umgesetzt werden, als digitale Signatur bezeichnet. Elektronische Signatur ist demgegenüber ein rechtlicher Begriff, der bewusst technologieneutral gewählt wurde, wobei in der Praxis zur Implementierung qualifizierter elektronischer Signaturen nur die Technologie der digitalen Signatur eine Rolle spielt.

Entsprechend dieser begrifflich abstrakten Herangehensweise ist in der eIDAS-VO auch nicht von privatem und öffentlichem Schlüssel die Rede, sondern von elektronischen Signaturerstellungsdaten (Art 3 Z 13 eIDAS-VO) und Signaturvalidierungsdaten. Letztere sind nicht eigenständig definiert, sondern in der Definition des Begriffs Zertifikat für elektronische Signaturen enthalten (Art 3 Z 14 eIDAS-VO). Diese lautet: „‚Zertifikat für elektronische Signaturen‘ ist eine elektronische Bescheinigung, die elektronische Signaturvalidierungsdaten mit einer natürlichen Person verknüpft und die mindestens den Namen oder das Pseudonym dieser Person bestätigt.“ Eine detaillierte Liste jener Angaben, die ein qualifiziertes Zertifikat enthalten muss, findet sich in Anhang I der eIDAS-VO.

Ein Zertifikat für elektronische Signaturen, das diese Anforderungen erfüllt und von einem qualifizierten Vertrauensdiensteanbieter ausgestellt wurde, ist gemäß Art 3 Z 15 eIDAS-VO ein qualifiziertes Zertifikat für elektronische Signaturen. Art 28 Abs 2 eIDAS-VO bestimmt, dass keine obligatorischen Anforderungen an ein qualifiziertes Zertifikat für elektronische Signaturen gelten dürfen, die über die Anforderungen des Anhang I hinausgehen. Gemäß Art 28 Abs 3 eIDAS-VO können qualifizierte Zertifikate zusätzliche fakultative spezifische Attribute enthalten. Der Begriff Zertifikat entspricht dem allgemeinen einschlägigen Sprachgebrauch.

Die Anforderungen, die eine qualifizierte elektronische Signaturerstellungseinheit erfüllen muss, um gemäß Art 29 Abs 1 als solche zu gelten, sind in Anhang II der eIDAS-VO definiert. In der Praxis wird als qualifizierte elektronische Signaturerstellungseinheit insbesondere eine Chipkarte oder ein Hardware Security Module (HSM) verwendet. Mit der Novellierung wurden ausdrücklich auch Bestimmungen zu Fernsignaturen eingeführt (Art 3 Z 23a, Art 29a eIDAS-VO)

Zusammenfassend lässt sich sagen, dass hier ausführliche Anforderungen definiert werden, ....

Elektronische Siegel

Elektronische Siegel sind das Äquivalent zu elektronischen Signaturen für juristische Personen. Die Regelungen zu elektronischen Siegeln in Abschnitt 5 der eIDAS-VO sind äquivalent zu jenen für elektronische Signaturen ausgestaltet und normieren zum Teil nur die sinngemäße Geltung der entsprechenden Bestimmungen betreffend elektronische Signaturen. Die Kernbestimmung des Art 25 Abs 2 eIDAS-VO betreffend die Rechtswirkungen von qualifizierten elektronischen Signaturen, wonach eine solche die gleiche Rechtswirkung hat wie eine handschriftliche Unterschrift, ist hingegen auf juristische Personen naturgemäß nicht übertragbar. Für ein qualifiziertes elektronisches Siegel gilt gemäß Art 35 Abs 2 eIDAS-VO die Vermutung der Unversehrtheit der Daten und der Richtigkeit der Herkunftsangabe der Daten, mit denen das qualifizierte elektronische Siegel verbunden ist.

Wie aus den Rechtswirkungen deutlich wird, zielen elektronische Siegel nicht auf die Abgabe von Willenserklärungen ab, sondern insbesondere auf die Abgabe von Wissenserklärungen, wie z.B. die Bestätigung der Integrität von Dokumenten oder Software oder des Erhalts von Daten. Der Vorteil eines elektronischen Siegels ist, dass sich im Vergleich zu einer elektronischen Signatur, die eine natürliche Person in Vertretung einer juristischen Person erstellt, die in diesem Fall zusätzlich erforderliche Überprüfung der Vertretungsbefugnis dieser natürlichen Person erübrigt.

Elektronische Zeitstempel

Ein elektronischer Zeitstempel ist in Art 3 Z 33 eIDAS-VO definiert als „Daten in elektronischer Form, die andere Daten in elektronischer Form mit einem bestimmten Zeitpunkt verknüpfen und dadurch den Nachweis erbringen, dass diese anderen Daten zu diesem Zeitpunkt vorhanden waren.“ Elektronische Zeitstempel dienen somit dem Nachweis, dass die damit bestätigten Daten zum darin angegebenen Zeitpunkt vorlagen und seitdem nicht verändert wurden. Ein qualifizierter elektronischer Zeitstempel ein solcher, der die Anforderungen des Art 42 eIDAS-VO (Art 3 Z 34 eIDAS-VO). Gemäß Art 41 Abs 2 eIDAS-VO gilt für einen qualifizierten elektronischen Zeitstempel die Vermutung der Richtigkeit des Datums und der Zeit, die darin angegeben sind, sowie der Unversehrtheit der mit dem Datum und der Zeit verbundenen Daten.

Dienste für die Zustellung elektronischer Einschreiben

Gemäß Art 3 Z 36 eIDAS-VO ist ein Dienst für die Zustellung elektronischer Einschreiben ein „Dienst, der die Übermittlung von Daten zwischen Dritten mit elektronischen Mitteln ermöglicht und einen Nachweis der Handhabung der übermittelten Daten erbringt, darunter den Nachweis der Absendung und des Empfangs der Daten, und der die übertragenen Daten vor Verlust, Diebstahl, Beschädigung oder unbefugter Veränderung schützt“. Ein qualifizierter Dienst für die Zustellung elektronischer Einschreiben ist gemäß Art 3 Z 37 eIDAS-VO ein solcher Dienst, der die Anforderungen des Art 44 eIDAS-VO erfüllt. Diese Bestimmung zeigt, dass sich ein Dienst für die Zustellung elektronischer Einschreiben der zuvor behandelten Vertrauensdienste bedient.

Abgerufen von „https://wiki.atlaws.eu/index.php?title=Regulation_on_electronic_identification_and_trust_services_(eIDAS)&oldid=660