eIDAS kommt zum 1.7.2016

eIDAS Amtsblatt der Europäischen Union L 257/83

Die Verordnung (EU) Nr. 910/2014 des Europäischen Parlamentes und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (eIDAS) tritt zum 1.7.2016 in Deutschland in Kraft.

Die deutsche Version von eIDAS (Amtsblatt der Europäischen Union L 257/83), die so in deutsches Recht übernommen wird, findet sich hier: eIDAS.
Mit ihr werden eine Reihe neuer Möglichkeiten für die Verwendung von Signaturen und Siegeln möglich. Die Ziele der Verordnung sind unetr anderem (siehe in der Einführung "Gründe" Absatz (12)) die gegenseitige Anerkenung zum Zwecke der Authentifizierung udn die Ermutigung für den Privaten Sektor, ebenfalls auf elektronische SIgnaturen zu setzen. Allerdings ist in Absatz (15) der EInführung auch gleich wieder eine "Weichmacherklausel" aufgeführt, was die Qualität der anzuerkennenden Signaturen angeht. Die Richtlinie selbst mit ihren Bestimmungen ist da deutlich klarer.

Artikel 1 "Gegenstand"
Um das ordnungsgemäße Funktionieren des Binnenmarkts und gleichzeitig ein angemessenes Sicherheitsniveau bei elektronischen Identifizierungsmitteln und Vertrauensdiensten sicherzustellen, ist in dieser Verordnung Folgendes geregelt: 
a) Sie legt die Bedingungen fest, unter denen die Mitgliedstaaten elektronische Identifizierungsmittel für natürliche und juristische Personen, die einem notifizierten elektronischen Identifizierungssystem eines anderen Mitgliedstaats unterliegen, anerkennen.
b) Sie legt Vorschriften für Vertrauensdienste — insbesondere für elektronische Transaktionen — fest.
c) Sie legt einen Rechtsrahmen für elektronische Signaturen, elektronische Siegel, elektronische Zeitstempel, elektronische Dokumente, Dienste für die Zustellung elektronischer Einschreiben und Zertifizierungsdienste für die Website-Authentifizierung fest.

Artikel 2 "Anwendungsbereich"
(1) Diese Verordnung gilt für von einem Mitgliedstaat notifizierte elektronische Identifizierungssysteme und für in der Union niedergelassene Vertrauensdiensteanbieter.
(2) Diese Verordnung findet keine Anwendung auf die Erbringung von Vertrauensdiensten, die ausschließlich innerhalb geschlossener Systeme aufgrund von nationalem Recht oder von Vereinbarungen zwischen einem bestimmten Kreis von Beteiligten verwendet werden.
(3) Diese Verordnung berührt nicht das nationale Recht oder das Unionsrecht i
in Bezug auf den Abschluss und die Gültigkeit von Verträgen oder andere rechtliche oder verfahrensmäßige Formvorschriften"

Interessant ist Artikel 50 "Aufhebung"

"(1) Die Richtlinie 1999/93/EG wird mit Wirkung vom 1. Juli 2016 aufgehoben.
(2) Bezugnahmen auf die aufgehobene Richtlinie gelten als Bezugnahmen auf diese Verordnung"

Damit werden die drei bisherigen Definitionen für elektronische SIgnaturen in Europa abgelöst. besonders das Vereinigte Königreich muss sich jetzt überlegen, wie es denn jetzt mit den "einfachen Signaturen", sprich dem E-Mauil-Footer, umgeht. Neu definiert wird zumindest für Online-Dienste öffentlicher Stellen Folgendes:

"1. Fortgeschrittene elektronische Signatur, zertifikatsfrei, zertifikatsbasierend
2. Fortgeschrittene elektronische Signatur mit qualifiziertem Zertifikat
3. Qualifizierte elektronische Signatur muss auf einem qualifiziertem Zertifikat beruhen und mit einer qualifizierten Signaturerstellungseinheit erstellt worden sein"

Die deutsche qualifizierte elektronische Signatur fällt dann unter Rubrik 3. Soweit so gut - es kann also auch mit der qeS weitergemacht werden. Allerdings müssen alle europäischen Signaturen anderer Qualität auch in Deutschland anerkannt werden. Die QES deutscher Prägung gerät massiv unter Druck. Und es ergeben sich auch eine Reihe von Auswirkungen für Richtlinien und deren gesetzliche Verankerung wie TR 03125 ESOR.

Hierzu ein Blick in Artikel 34 "Qualifizierter Bewahrungsdienst für qualifizierte elektronische Signaturen"

"1) Ein qualifizierter Bewahrungsdienst für qualifizierte elektronische Signaturen kann nur von qualifizierten Vertrauensdiensteanbietern erbracht werden, die Verfahren und Technologien verwenden, die es ermöglichen, die Vertrauenswürdigkeit der qualifizierten elektronischen Signatur über den Zeitraum ihrer technologischen Geltung hinaus zu verlängern.

(2) Die Kommission kann im Wege von Durchführungsrechtsakten Kennnummern für Normen für den qualifizierten Bewahrungsdienst für qualifizierte elektronische Signaturen festlegen. Bei Maßnahmen zu qualifizierten Bewahrungsdiensten für qualifizierte elektronische Signaturen, die diesen Normen entsprechen, wird davon ausgegangen, dass sie die Anforderungen des Absatzes 1 erfüllen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen."

Die ehemaligen ZDA Zertifikatsdiensteanbieter werden jetzt begrifflich VDA Vertrauensdienstanbieter, allerdings unter zentraler Aufsicht. So können auch die bisherigen TrustCenter in Deutschland einfach weiterarbeiten. Allerdings müssen sie sich auch um die Prüfung, Validierung und Bewahrung ausländischer qualifizierter Signaturen aus anderen europäischen Staaten kümmern. Damit sind wir beim Thema "Bewahrungsdienste", die auch die TR-ESOR betreffen. Anwednunsgebiet dieser Paragraphen sind aber nur die zertifikatsbasierten Signaturen und nicht die ebenfalls zugelassenen forgeschrittenen Signaturen wie z.B: biometrische SIgnaturen. 

Artikel 34 "Qualifizierter Bewahrungsdienst für qualifizierte elektronische Signaturen"

(1) Ein qualifizierter Bewahrungsdienst für qualifizierte elektronische Signaturen kann nur von qualifizierten Vertrauensdiensteanbietern erbracht werden, die Verfahren und Technologien verwenden, die es ermöglichen, die Vertrauenswürdigkeit der qualifizierten elektronischen Signatur über den Zeitraum ihrer technologischen Geltung hinaus zu verlängern.

(2) Die Kommission kann im Wege von Durchführungsrechtsakten Kennnummern für Normen für den qualifizierten Bewahrungsdienst für qualifizierte elektronische Signaturen festlegen. Bei Maßnahmen zu qualifizierten Bewahrungsdiensten für qualifizierte elektronische Signaturen, die diesen Normen entsprechen, wird davon ausgegangen, dass sie die Anforderungen des Absatzes 1 erfüllen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

und Artikel 40 "Validierung und Bewahrung qualifizierter elektronischer Siegel"
"Die Artikel 32, 33 und 34 gelten sinngemäß für die Validierung und Bewahrung qualifizierter elektronischer Siegel."

Mit den Siegeln für Behörden und andere Stellen kommt eine neue Qualität und erhebliche Erleichterung. Man kann nun auch in Deutschland anstelle qualifizierter elektronischer Signaturen auf Basis persönlicher Signaturkarten auf Server-basierte Siegel umschwenken. Dies ermöglicht automatisierte Prozesse und dürfte das Scannen mit elektronischer Signatur (SRVwV, TR-Resiscan) überflüssig machen.

Rechtssicherheit

Interessant sind die mehrfach aufgeführten Formulierungen zur geforderten rechtlichen Anerkennung von elektronsichen Signaturen, bereits ind er Begründung (Gründe, Absatz (49)) heißt es "Diese Verordnung sollte den Grundsatz festlegen, dass einer elektronischen Signatur die Rechtswirkung nicht deshalb abgesprochen werden darf, weil sie in elektronischer Form vorliegt oder nicht alle Anforderungen einer qualifizierten elektronischen Signatur erfüllt."

Und so zieht sich diese Formulierung durch zahlreiche relevante Artikel "Einer elektronischen Signatur darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt oder weil sie die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt."5, Absatz (1) In Artikel 26

In Artikel 25 Absatz (1) für die elektronische Signatur (generell !), in Artikel 35 Absatz (1)  für elektronische Siegel (die ALternative für Behörden für selbst erzeugte Dokumente ... und gescannte), in Artikel 41 Absatz (1) für elektronische  Zeitstempel (eine Lösung z.B: für Posteingangsbücher, Journale, Vorgangsprotokolle) und in Artikel 43 Absatz (1) für elektronische EInschreiben (nicht nur De-Mail sondern auch ausländische Dienste).

Und es wird so noch eine andere Art der Signatur geben - ohne Signaturkarte - eine Signatur auf dem Server eines Cloud-Providers. Dies ermöglicht auch mobile oder sogenannte "Handy-Signaturen".

Damit wird effizientes E-Government möglich - wenn denn auch Deutschland mitmacht und nicht seine bisherigen Regelungen parallel weiter bestehen lässt. Letzteres würde uns vom Fortschritt in Europa abkoppeln. Leider sind solche Bestreben ein knappes Jahr vor der geforderten Umsetzung in Deutschland immer noch zu vernehmen.

Dr. Ulrich Kampffmeyer

Kommentare

Kommentar hinzufügen

Der Inhalt dieses Feldes wird nicht öffentlich zugänglich angezeigt.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • Zulässige HTML-Tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Zeilen und Absätze werden automatisch erzeugt.

Weitere Informationen über Formatierungsoptionen

CAPTCHA
Diese Frage hat den Zweck zu testen, ob Sie ein menschlicher Benutzer sind und um automatisiertem Spam vorzubeugen.
Bild-CAPTCHA
Enter the characters shown in the image.