Ab 1.7.2016 gilt eIDAS in Deutschland

06.06.2016

 eIDAS ist die neue Richtlinie zu Vertrauensdiensten, elektronischen Signaturen, sicheren Nachrichten, Zeitstempeln und Siegeln. Diese Richtlinie gilt in Deutschland ab dem 1.7.2016. Das Webinar des Banking Club informiert.

In dem kostenfreien Webinar des Banking Club zusammen mit KOFAX und PROJECT CONSULT am 9.6.2016, 10:00, diskutieren wir Inhalte und Auswirkungen von eIDAS: "RICHTLINIE 1999/93/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen".

Folien und Aufzeichnung des Webinars werden auch hier im Anschluss bereitgestellt. Zur Anmeldung auf XING: http://bit.ly/25IcEIc.

Der Text der eIDAS-Richtlinie, deutsche Version: http://bit.ly/eIDAS_DE

Das Webinar setzt sich zusammen aus Präsentationsteilen von Jörg Lenz, KOFAX, und Dr. Ulrich Kampffmeyer. Der Teil "Neue EU-Verordnung eIDAS: Was sie jetzt über elektronisches Unterschreiben wissen sollten" von Dr. Ulrich Kampffmeyer beinhaltet folgende Themen: 

  1. Einführung
    Elektronische Unterschrift/Digitale Signatur als Baustein der Digitalen Transformation
  2. eIDAS EU-Verordnung 910/2014
    Entwicklung und Inhalte
  3. Konkrete Änderungen durch eIDAS
    Nationale Sonderlocken und andere Formen von Signaturen
  4. Bedeutung in und außerhalb der öffentlichen Verwaltung
    Wie steht es im Finanzsektor?
  5. Ausblick
    Handlungszwänge

Kommentare

Die PROJECT-CONSULT-Folien von Dr. Ulrich Kampffmeyer im Banking-Club-Webinar am 9.6.2016 gibt es hier als PDF: http://bit.ly/PC_eIDAS

Den erweiterten Foliensatz von KOFAX und PROJECT CONSULT mit Zusatzfolien gibt es hier: http://bit.ly/KOFAX-eIDAS

Die Aufzeichnung des Webinars (Präsentation/Sprache als Video) findet sich hier: https://www.csnstart.de/flashvideo/kofax/.

Weitere Hinweise und Links finden sich am Ende der Gesamtpräsentation von KOFAX

 

Wir bitten um Entschuldigung!

Leider war es durch ein technisches Problem nicht möglich, diejenigen, die sich nur auf XING angemeldet hatten, in die Zugangsdatenbank des Webinar-Systems zu übernehmen. Obwohl XING eine Bestätigungs-Nachricht versendet hatte, waren diese Teilnehmer dem Webinar-System des Banking Club nicht bekannt und konnten leider nicht teilnehmen.
Ferner ist PROJECT CONSULT der Fehler in Ankündigungen unterlaufen, von einem "kostenfreien" Webinar zu schreiben. Dies war falsch. Nur Banking Club Mitglieder hatten einen freien Zugang, alle anderen mussten 69,00 € bei der Anmeldung auf der Banking-Club-Webseite bezahlen.

Für diese beiden Probleme möchten wir um Entschuldigung bitten.

Danke für die Folien. Wegen der technischen Probleme habe ich ja die Hälfte nicht mitbekommen. Mein Eindruck ist, das eIDAS viel zu komplex ist. Die Vielzahl der Signaturmöglichkeiten ist unüberschaubar, schon gar nicht die rechtliche Bedeutung. Für den öffentlichen Deinst in D sind mir keine Gesetzentwürfe bekannt. Die Splittung der Verantwortlichekeit auf BMI und BMWi macht das Leben nicht leichter. Da raunt man dann im BMWi, dass man wohl das deutsche Signaturgesetz abschaffen müsse, um eIDAS kompatibel zu werden. Auf der anderen Seite schafft der föderale Flickenteppich in den 16 Provinzen es ja nicht hinter dem EGovG des Bundes her zu kommen. Pervers ist ja heute schon, dass ich für ein Führungszeugnis online einen nPA brauche, für eine Gewerbeanmeldung in Berlin aber eine qualifizierte Signatur nach deutschem Recht. Die ist weder wie angekündigt mit der Gesundheitskarte gekommen (die TK hat mich ganz verdattert angesehen), noch mit der Jobcard, die als Elena erst mal wieder aus dem Markt ging, und nur wenige wissen, dass die Bundesdruckerei (für deren Existenz wohl dieser ganze Hardware-Unsinn wie der überteuerte Personalausweis (für den man ihn Berlin 8 Wochen zur Beantragung braucht und dann noch ein paar Wochen wegen zentraler Fertigung (statt im 3D-Drucker nahezu grenzkostenlos :-)) geschaffen wurde. Besonders skurril wird es, dass jetzt da beA (Portal für Rechtsanwälte, mit dem sie mittels qualifizierter Signatur Gerichten Schriftsätze hoch laden sollen) erneut vor die Wand gefahren ist und ohne neuen Termin (September 2016 ist im BER-Modus aufgehoben) unbestimmt verschoben worden ist: http://www.lto.de/recht/job-karriere/j/bea-anwaltspostfach-bea-verschiebt-start-zum-zweiten-mal-kein-neuer-termin/ Das Perverse daran ist, dass Deutsche einer internationalen Sonderbehandlung unterzogen werden ohne jeden Nutzen mit technischem Firlefanz und Anwälte in UK und USA ihre Schriftsätze an Gerichte mittels einfachem Webserver, User und Passwort als E-Filing hochladen. Deutsche Juristen verhöhnen und verspotten deutsche Juristen. In mir verfestigt sich der Eindruck, dass das hier die Baustellen sind, mit denen Deutschland und die EU massiv am Brexit arbeiten. Wer will schon freiwillig mit Hirntoten zusammenarbeiten? In Deutschland wird bei der Gewerbeanmeldung von der öffentlichen Hand immer noch auf die EU-Dienstleistungsrichtlinie geschissen und die EU verächtlich gemacht. Nach Artikel 8 müssten EU-Ausländer ihr Gewerbe einfach und online machen können. Wir haben aber gesetzlich Mauern dagegen hochgezogen, damit sie es nicht können (Qualsig, eID und De-Mail bekommt man im EU-Ausland nicht). Meine Empfehlung ist es, im Zusammenhang mit dem öffentlichen Dienst die nächsten Jahre sich nicht mit eIDAS zu beschäftigen, da es teurer und aufwändiger werden wird als mit Papier. Nach England schicke ich meine Verträge mit eingescannter Unterschrift elektronisch, in Deutschland mit Papier.

Lieber Wolfgang Ksoll,

danke für den Kommentar - aber eIDAS ist nun mal europaweit bindend auf allen Ebenen der öffentlichen Verwaltung und muss umgesetzt werden. Punkt. Daran, dass wir in Deutschland mal wieder ganz weit hinten sind und unseren Sonderlocken frönen, daran haben wir uns doch schon gewöhnt, oder?

Ich persönlich halte das "Siegel", ob nun qualifiziert oder nicht - für einen herausragenden Fortschritt, der es erlaubt, die personengebundene Signatur in vielen Verfahren - beim Scannne, bei Ausschreibungen und so weiter - erstmal innerhalb der öffentlichen Verwaltung selbst abzuschaffen. Eingänge wie Ausgänge wie interne Prozesse und Dokumente - alles lässt sich serverbasiert signieren.

Im G2C Government to Citizen und C2G muss aber noch einen Schritt weitergehen und die komplexen Verfahren abschaffen: Login auf gesicherten Portalen mit einfacher Authentifizierung (nein, nicht die eiD, nicht die Siganturkarte, vielleicht eher Handy-Signatur oder Paypal) zum Beispiel.

Aber SIe haben Recht, wenn es um die aktuelle Gesetzeslage geht. Diese ist mittlerweile chaotisch. Alle unterschiedlichen proprietären und hinderlichen Anforderungen auf Bundes- wie auf Landes- wie auf Branchen- und wie auf Sonstwie-Ebene müssen entschlackt werden. qeS und De-Mail raus, eIDAS rein! Alle Gesetze und Verordnungen gehören angepasst. Und - die GoBD machen es für Handels- und Steuerrecht vor - es gilt komplett "signaturfreie" Räume zu schaffen - wo immer möglich.

Es wäre also falsch, wenn sich die öffentliche Verwaltung nicht konsequent mit eIDAS beschäftigt und dieses umsetzt. Wir werden in Europa immer mehr abgehängt und eigentlich bietet eIDAS die Chance, die alten Zöpfe einmal anzuschneiden. Dies gilt besonders für den ganzen BSI 03125, BIS 03138 und sonstigen Kram.

Ulrich Kampffmeyer

Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!

Lieber Herr Kampffmeyer, die EU-Dienstleistungsrichtlinie war auch verbindliches Recht in Deutschland. Wir hätten nach Artikel 8 EU-DLR eine einfache Anmeldung vollständig online ermöglichen müssen. Deutschland hat drauf geschissen. Wir haben es mit §3a VwVfG im Bund und allen Ländern schlichtweg hinterfotzig boykottiert. Warum soll ich bei so viel Hass auf Europa durch deutsche Parlamente jetzt plötzlich optimistisch werden? Die Briten sind beim Brexit-Wunsch ehrlicher. Auch sind jegliche Hinweis auf zusätzliche Hardware und Software völlig hirnrissig, solange man a) nachweist, dass man sie im Gegensatz zum Ausland braucht und b) nachweist mit seriöser WiBe, dass sie wirtschaftlich sind. Bisher haben wir nichts nützliches mit dem ganzen Signaturkram, eID und De-Mail zustande gebracht. Ein bisschen Wirtschaftsförderung für esoterische Technikfummelei und böse Subventionen für die Bundesdruckerei. Als preis haben wir mehrere hunderte Millionen verballert und sind nicht mal in der EU kompatibel oder wenigstens compliant. Dieser hirnrissige Ruf nach immer mehr Sonderlösung zersetzt die EU, zersetzt die Glaubwürdigkeit des Staates. Die USA brauchen den Schnickschanck nicht, haben dafür aber Microsoft, Google, Facebook, Amazon. Und wir jammern bloß dämlich rum, dass es mit dem Datenschutz so schlimm sein und ziehen Mauern in Europa ein wie die Faschisten auf dem Balkan gegen Flüchtlingen, die vor österreichischen Und deutschen Waffen in Syrien um ihr Leben rennen. Wir stärken den rechten Rand mit unseren technischen Sonderlösungen, der uns das E-Government mit seiner Provinzialität zerstört. Deswegen bin ich mit der Hyperkomplexität von eIDAS überhaupt nicht zufrieden, sondern glaube, dass das ein weiterer Sargnagel für Europa ist. Es ist absurdf, wenn man nicht kompromissfähig ist, dass man dann sagt, dann müssen alle das akzeptieren, was jeder auf den Markt schmissen will. Das ist für die Tonne, wenn ich das mal so salopp sagen darf :-)

Lieber Wolfgang Ksoll,

nehmen wir nur die deutschen Sonderlocken als Maßstab, dann ist die eIDAS ein erheblicher Fortschritt, da sie ein breites Feld einfacher und akzeptabler Lösungen anbietet. Und warum sollte aus einem Paypal in Europa nicht auch ein VDA nach eIDAS werden können? Ich sehe eIDAS nicht als hyperkomplex sondern als viele neue Optionen für moderne Lösungen bietend. Dass wir um irgendeine Form der Identifikation, Authentifikation, digitale Identitäten, Prüfbarkeit etc. nicht herumkommen, dürfte klar sein. 

Es gilt die rechtliche Situation in all den Gesetzen und Verordnungen zu entschlacken und endlich mal auf einen praktikablen, einheitlichen Stand ohne Sonderlocken zu bringen. Hier sehe ich eIDAS als Chance und nicht als weiteres Hindernis, wenn es denn uns gelingt, die alten deutsche Zöpfe abzuschneiden.

Ulrich Kampffmeyer

Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!

Früher sagte man mir immer bei einem Drei-Buchstaben-Konzern aus USA: "Wer zu allen Seiten offen ist, kann nicht ganz dicht sein!" Spaß beiseite. Der Behördenspiegel reduziert eIDAS auf das Siegel, das endlich das anonyme Abteilungs- und Organistaionzertfikat bringt (ohne jede rechtlich Bedeutung in Deutschland, ausser dass es gilt :-) Der Behördenspiegel bestätigt damit schön meine These dass die "Öffnung" eine Überforderung in einer eh schon digitalisierungshemmenden Landschaft in Deutschland ist. Das wird voll gegen die Wand fahren. BS und mein Kommentar dazu hier: http://www.government2020.de/blog/?p=1743

... fragt die Fachzeitschrift eGovernment Computing. Und natrlich kommen dort auch eher die Befürworter und Förderer - bisheriger deutscher Sonderlocken - zu Wort. Ein besondere Rolle spielt dabei, wie man die Sonderlocken TR-ESOR, TR-Resiscan, De-Mail usw. in die neue Welt "hinüberretten" kann. Zitat "Nun ist die Langzeitaufbewahrung zur Beweiswerterhaltung kryptographisch signierter Dokumente zwar in der TR-ESOR geregelt, aber eben nicht als Dienst eines Vertrauensdiensteanbieters ausgestaltet. Das von der EU-Kommission mandatierte Normungsinstitut ETSI hat erst vor einigen Monaten seine Arbeit aufgenommen, um zusammenzutragen, welche vergleichbaren Anforderungen es in allen Mitgliedstaaten gibt. Auch bei den elektronischen Einschreib-Zustelldiensten geht es um mehr als De-Mail in Deutschland. In den Projekten, die dem Erlass der eIDAS-Vorordnung vorangegangen sind, ging es hier um registered delivery – also um Kommunikationsinfrastrukturen, bei denen der Anbieter die Teilnehmer kennt oder identifiziert hat. Wenigstens der ePost-Brief kann diese Anforderungen erfüllen."

Mit diesem "Mindsetting" kann man keinen Nutzen aus eIDAS ziehen. Bisherige Sonderlocken werden parallel weitergeführt und kreieren letztlich noch mehr Verwirrung und Chaos.

In Österreich ist man da schon deutlich weiter und nutzt eIDAS als Chance zum Aufräumen!

Wolfgang Ksoll geht noch einen Schritt weiter. Der bekannte Kritiker des E-Government in Deutschland, lehnt auch eIDAS ab, weil es immer noch zu kompliziert, mit zu vielen Optionen und zu wenig Durchsetzungsmöglichkeiten ausgestattet ist. Er setzt auf auf Verfahren ganz ohne die bürokratischen Hürden der Vergangenheit. Ksoll weist auch darauf hin, dass das BMWi der Meinung ist, man müsse das deutsche Signaturgesetz abschaffen um es durch eIDAS zu ersetzen. Aber in den Gremien wird weiter herumlaviert und auch der neue Bericht des Deutschen Normenkontrollrats vom 14.6.2016 "E-Government in Deutschland: Wie der Aufstieg gelingen kann", zeigt wieder mehr Probleme als Lösungen auf. Grundtenor - lasst uns einfach weitermachen wie bisher, es wird schon werden.

In Bezug auf die Umsetzung von E-Governement in Europa gibt es für Deutschland im Ranking nicht mehr viele Stufen, die man absteigen kann, um ganz unten im Bodensatz zu enden.

"Warten oder Starten?" - die Antwort ist: STARTEN und die alten Zöpfe abschneiden!

 

Ulrich Kampffmeyer

Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!

eIDAS Tag - auch in Deutschland?

Die "VERORDNUNG (EU) Nr. 910/2014 DES EUROPÄISCHEN PARLAMENTS UND DES RATESv om 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG" ist am 1.7.2016 europaweit in Kraft getreten.

Europaweit euphorische Nachrichten -  in Deutschland verhaltene Adaption und viel Kritik, z.B. hier auf Facebook https://www.facebook.com/groups/239005502901015/permalink/841894799278746/ eIDAS erhält zwar Vorrang vor dem deutschen SIgnaturgesetz, aber es wird schon an einer Gesetzsvorlage für Vertrauensdienste in Deutschland gebastelt. Die Branche geht davon aus, dass bestimmte Vorgaben für die qualifizierte elektronische Signatur (qeS) deutscher Prägung erhalten bleiben - nix mit Fortschritt und nix mit Harmonisierung. Neben dem drohenden Überleben von deutschen Sonderlocken sind die Probleme der gegenseitigen Anerkennung von SIgnaturen im technischen Djungel verschiedener Formate und Systeme erst im Ansatz erkennbar. 

Informationen und Quellen gibt es auch in einer Webinar-Aufzeichnung von uns:

Folien (kostenfrei + registrierungsfrei): http://bit.ly/KOFAX-eIDAS

WebCast (kostenfrei + registrierungsfrei): https://www.csnstart.de/flashvideo/kofax/

Die EU-Verordnung in Deutsch: http://bit.ly/eIDAS_DE

Die Standardisierungsinstitution ETSI hat eine Sammlung von technischen Standards herausgegeben, die für eIDAS eine Rolle spielen. Die komplette Liste mit Links zu den Spezifikationen gibt es hier: http://bit.ly/ETSI_eIDAS Die Sammlung dürfte sich im Rahmen der Harmonisierung und gegeseitigen Anerkennung von elektronischen Signaturen in Europa als sehr nützlich erweisen.

Innerhalb ETSI ist das Technische Kommitee TC ESI für das Thema "Electronic Signatures and Infrastructures standardization" zuständig. Die Ergebisse des Kommitees sollen die Umsetzung der EU Richtlinie 910/2014 unterstützen. 

Die Pressemitteilung der ETSI vom 8.7.2016:

<Zitat> ETSI publishes European Standards to support eIDAS regulation

Electronic signatures, electronic seals and electronic time-stamps support the digital economy. 

Since 1 July 2016 the major part of the European Union's (EU) eIDAS regulation applies. The eIDAS regulation is Regulation (EU) N°910/2014 on electronic identification and trust services for electronic transactions in the internal market.

To support this new regulation in Europe as well as the needs of the international community to provide trust and confidence in electronic transactions, ETSI’s Technical Committee on Electronic Signatures and Infrastructures (TC ESI) has published a set of standards for trust services providers (TSP), electronic signatures, electronic seals and electronic time-stamps. The set includes a total of 19 European Standards along with guidance documents and test specifications.

A first series of European Standards, which addresses security and policy requirements, is used by conformity assessment bodies to audit trust service providers and assess their conformity with relevant requirements of the eIDAS Regulation. These standards also form an audit scheme recognized by CA / Browser Forum for certification authorities issuing certificates for website authentication.

A second series of European Standards covers digital signature creation and validation. Digital signatures specified in these standards aim at supporting electronic signatures, advanced electronic signatures, qualified electronic signatures, electronic seals, advanced electronic seals, and qualified electronic seals as defined in the regulation. The well-known signatures formats CAdES, XAdES, PAdES and the signature container format ASiC have now become European Standards.

To facilitate the implementation and the use of products and services based on digital signatures, provide mutual recognition and cross-border interoperability, ETSI TC ESI has released an update of Technical Report TR 119 000 describing the general structure for digital signature standardization and outlining existing and potential standards for such signatures. Stakeholders benefit as well from the publication of test specifications for interoperability and conformance testing.

ETSI is now working on complementing this set of standards with specifications on e-Delivery trust services, registered e-mail trust services, signature creation and signature validation by trust service providers.

A complete list of ETSI’s eIDAS standards is available at:
https://portal.etsi.org//TBSiteMap/ESI/ESIActivities.aspx, from where they can be downloaded.
</Zitat>

Die europäische eIDAS-Richtlinie ist seit 1.7.2016 geltendes Recht in Deutschland. Dennoch hat der Bundestag auf die Schnelle am 22.6.2017 - gegen die Stimmen der Grünen - das "Gesetz zur Durchführung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (eIDAS-Durchführungsgesetz)" durchgewunken.

Warum musste denn dieses Gesetz zusätzlich sein? Was ähnliches hatten wir doch auch gerade bei der elektronischen Rechnung. Sollen so die bisherigen deutsch-speziellen Lösungen gerettet werden?

Auch möchte man die europäischen Partner daran erinnern, dass auch diese jetzt die deutschen Sonderlocken gefälligst zu unterstützen haben. 

Ein Argument ist daher, dass die deutschen Vertrauensdienste nunmehr explizit im Gesetz benannt werden. In der eIDAS ging es nur um die grundsätzlichen Verfahren und Typen von Diensten. Generell wird die bisherige Rechtsnorm für elektronische Signaturen nunmehr in ein "Vertrauensdienstegesetz" umgewandelt. Neuer Titel auf Linie der eIDAS-Richtlinie verdeckt den bekannten Inhalt. Also Tschüss "Gesetz über Rahmenbedingungen für elektronische Signaturen" - aber offenbar leben Totgesagte länger. Zu den nunmehr konkret benannten Diensten gehören die eID, De-Mail, die qualifizierte elektronische Signatur und dann sind wir auch sehr schnell mittels eines kurzen Umweges bei TR Resiscan, TR ESOR und Co..

Das eIDAS-Durchführungsgesetz soll "die erforderlichen Voraussetzungen für einen effektiven Vollzug" der EU-Vorgaben schaffen. Und es werden mit dem eIDAS-Durchführungsgesetz auch gleich neue Zuständigkeiten und Befugnisse kreiert - bei den beteiligten Behörden wie Bundesnetzagentur oder Bundesamt für Sicherheit in der Informationstechnik (BSI). Damit ist auch wohl "sichergestellt", dass wir von den deutschen Sonderlocken nicht ohne Weiteres wegkommen und dass auch die neuen Verfahren wie "Siegel" so aufwändig wie möglich gestaltet werden (siehe z.B. hier http://bit.ly/eSiegel). Da keine "neuen Kosten durch die nationale Reform mit den qualifizierten elektronischen Vertrauensdiensten für die Wirtschaft" - laut Bundesregierung - "entstehen", geht es wohl mit den uralten Konzepten von qES und De-Mail weiter. Die in der Presse vielbeschworenen zusätzlichen Kosteneinsparungs- und Effizienzsteigerungsprotentiale bleiben dann wohl auf der Strecke. 

Langsam verliere selbst ich den Überblick. Das Vertrauensdienstegesetz ist ja nur der BMWI-Teil der Umsetzung von eIDAS. Der BMI-Teil fehlt ja noch, wo es um Identität statt Vertrauen geht. Aber dafür haben wir da Siegel. Und eIDAS haben wir nur, weil man sich in der EU seit 20 Jahren angiftete und keinen gemeinsamen Standard zustande bekam mit den extremen Positionen de Briten, denen eine Zeichenkette mit Namen oder eine eingescannte Unterschrift braucht und auf der anderen Seite die Deutschen mit ihrer qualifizierten Signatur. Interessanterweise traut sich ja niemand zu sagen, warum die deutschen Juristen so misstrauisch sind, dass es ihnen an jedem Vertrauen mangelt. Mittlerweise habe ich den Verdacht, dass hier Schindluder getrieben wird mit der Verfassung und der von ihr geforderten Verhältnismäßigkeit. 20 Jahre nach SigG kann man immer noch nicht ein Kind im Standesamt online anmelden (sondern muss in langen Schlangen in Berlin stehen, wo sich die Leute schon um 4 Uhr morgens anstellen), sich im Meldeamt nicht ummelden oder Führerschein, Personalausweis oder Pass online bestellen. Digitales Entwicklungsland mit hyperkomplexer Technologie, die bei Bürger und Wirtschaft nicht ankommt. Und zu allem Überdruss wird die nicht akzeptierte Technologie nun auch noch in einem deutschnationalen zentralstaatlichen Portal zusammen gebunden für Bund, Länder und Gemeinden. Die Verfassung wird geändert, der starke Mann soll es richten und alle zusammen rennen in die gleiche falsche Richtung, die man im Ausland empirisch gesichert nicht braucht. Zynisch am Rande ist dann noch, dass das Portal von den Leuten gebaut wird, die gerade in der Bundesagentur für Arbeit (Wortspiel für Beschäftigungstherapie?) ein SOA-Portal völlig unagil über mehrere Jahre gegen die Wand gefahren haben mit einem Totalschaden von 60 Mio. €.
Ich war mein Leben lang mutig und habe während meines Bergbaustudiums in den Annalen der Physik von 1905 die spezielle Relativitätstheorie von Albert Einstein gelesen und verstanden. Aber was hier den Deutschen zugemutet wird grenzt ans Unfassbare.
Mir fällt fast nur noch der Cicero ein, über den der Robert Harris eine fasznierende Trilogie geschrieben hat.
"Quo usque tandem abutere, Catilina, patientia nostra?" „Wie lange noch, Catilina, wirst du unsere Geduld missbrauchen?“ (Cicero, Catilinaria 1).
Wie lange wollen uns die Underperformer noch von der Digitalisierung abhalten? Müssen wir tatsächlich die Biologie abwarten bis die Verhinderer, Saboteure und Weltentrückten dem Helmut Kohl hinterher gehen? Da waren ja die Hippies in Kalifornien trotz ihres bekifften Haschischgenusses noch realistischer und schrieben wunderschönen Code mit lustigen Kommentaren im Sourcecode vom Berkeley Unix und dem TCP/IP.
Möglicherweise kann der Germane diesen fortgesetzten Unsinn nur mit Mike Krüger ertragen: "Mein Gott Walter! "
https://www.youtube.com/watch?v=ubKinQvpc6w

Das BSI hat in einer Pressemitteilung bekannt gegeben (http://bit.ly/BSIeID), das die Notifizierung des Personalausweises erfolgreich abgeschlossen wurde und ab 29.9.2018 die deutsche eID in Verwaltungsverfahren auch außerhalb von Deutschland zur Authentifizierung anerkannt ist. Ein Schritt nach vorn für den "Online-Ausweis" und die eID ... wenn sie denn jeder auf seiner nPA neuen Personalausweis aktiviert hätte. Nun gilt es noch einmal einen Blick auf die Liste der Anwendungen zu werfen (oder diese zu suchen :) ) wo man denn als Bürger sinnvoll die Funktion nutzen kann.

Aus der Presseerklärung:

<Zitat> "Deutschland hat als erster Mitgliedstaat diese Notifizierung erfolgreich abgeschlossen. Im Rahmen des Notifizierungsverfahrens wurde das deutsche eID-System von technischen Experten nahezu aller EU-Mitgliedstaaten begutachtet. Dabei kamen die Mitgliedstaaten in ihrer Stellungnahme übereinstimmend zu dem Ergebnis, dass die eID-Funktion alle Anforderungen der eIDAS-Verordnung für das Vertrauensniveau "hoch" erfüllt.

Damit sind nun alle EU-Mitgliedstaaten ab dem 29.09.2018 verpflichtet, ihre Verwaltungsverfahren, die eine elektronische Identifizierung auf "substanziellem" oder "hohem" Vertrauensniveau benötigen, für die deutsche Online-Ausweisfunktion zu öffnen. Unternehmen können den elektronischen Identitätsnachweis auf freiwilliger Basis anerkennen.

Bereits seit Ende Januar kann die Online-Ausweisfunktion zur grenzüberschreitenden Identifizierung an der niederländischen nationalen eID-Infrastruktur genutzt werden, an die nun schrittweise niederländische Verwaltungsverfahren angeschlossen werden." </Zitat>

Seit geraumer Zeit gilt auch in Deutschland eIDAS. Mit dieser gesetzlichen Regelung erhalten Anwender neue Möglichkeiten zum Einsatz verschiedenster Signaturen, von der biomterischen bis zur Fernsignatur. Genutzt wird dies aber nicht überall. So sind in einer ganzen Reihe Branchen, konkret mal die öffentliche Verwaltung, Sozialversicherungen, EHealth u.a., immer noch die qualifizierten elektronischen Signaturen (QES) unterwegs, die bei der Archivierung unsägliche Verfahren wie TR 03125 nach sich ziehen. 

Ändert sich etwas?

Ja, an einigen Fronten. Da ist zum Einen der Wegfall von immer mehr Schriftformerfordernissen nach BGB §126, die auch damit die Notwendigkeit qualifizierten Signierens elektronischer Dokumente obsolet machen. Da gibt es neue Techniken wie Blockchain, die in öffentlichen verteilten wie auch abgemagert in geschlossenen Inhouse-Verfahren Authentizität, Integrität und Unveränderbarkeit absichern können. Da ist die Änderung des § 203 StGB seit November 2017, die die Anforderungen an eine Offenlegung fremder Geheimnisse durch Berufsgeheimnisträger entschärfen. Letzteres erlaubt nunmehr sogar die Speicherung von Dokumenten aus den sensitiven Bereichen in der Cloud.

Warum dann noch immer beim Erfassen und Versenden personen- und kartengebundene qualifizierte elektronische Signaturen auftauchen verwundert, da man auch Server-basiert auf Siegel oder Zeitstempel setzen kann. Zudem wird in Bezug auf den "Beweiswert" immer noch viel Angst verbreitet. In Gerichtsverfahren legen alle Seiten zunächst Kopien vor. Erst wenn es Abweichungen im Inhalt gibt, spielt die Orginalität eine Rolle. Da kann es sogar hinderlich sein, wenn man unterschiedliche Qualitäten in seiner elektronischen Akte hat - einerseits Scans mit Signatur, andererseits empfangene und selbsterzeugte elektronische Dokumente ohne. Ein qualifizierter Zeitstempel, der einfach alle Dokumente, Datensätze und Audit-Trails durchgängig automatisch signiert schafft eine einheitliche Qualität. Und dann kann man natürlich auch noch die Prüfsummen und Metadaten von Dokumenten in einem Blockchain-Audit-Trail verwalten und so zusätzlich absichern.

Schlägt man nun noch die Brücke zu Cloud, so sind hier Zeitstempel und Fernsignaturen deutlich einfacher zu integrierende und zu nutzende Verfahren als die gute alte QES mit ihrem Zahlenpad am PC. Und bei Thema Cloud kommt natürlich noch zusätzlicher Druck durch mobile Verfahren, die auch mobile Signaturen benötigen. Diesen Entwicklungen werden sich auch die traditionell auf die QES eingeschworenen Branchen nicht entziehen können. Und bei Unternehmen der freien Wirtschaft sollte man das Thema QES heute erst garnicht mehr anfangen. Ob sich hier dann der neue Personalausweis mit der eID als Alternative anbietet ist auch eher unwahrscheinlich.

Die Digitalisierung, die Digitale Transformation, die laufende Digitale Revolution - sie erfordern Automatisierung und Verfahren ohne Medienbrüche, die allen Beteiligten bis zum Endverbraucher hin offen stehen. Altertümliche manuelle oder semi-automatische Verfahren mit QES sind hier ein Hindernis mit Langzeit-Wirkung. Es wird Zeit die Optionen von eIDAS und anderer, fortschrittlicherer Richtlinien zu nutzen.

Neuen Kommentar schreiben

*
Ich stimme zu, dass die von mir eingegebenen Daten einschließlich der personenbezogenen Daten an PROJECT CONSULT übermittelt und dort zur Prüfung der Freischaltung meines Kommentars verwendet werden. Bei Veröffentlichung meines Kommentars wird mein Name, jedoch nicht meine E-Mail und meine Webseite, angezeigt. Die Anzeige des Namens ist notwendig, um eine individuelle persönliche Kommunikation zu meinem Beitrag zu ermöglichen. Anonyme oder mit falschen Angaben eingereichte Kommentare werden nicht veröffentlicht. Zu Nutzung, Speicherung und Löschung meiner Daten habe die Datenschutzerklärung zur Kenntnis genommen.