Seit dem 1.7.2016 gilt in Europa die neue Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (kurz: eIDAS). Durch diese soll das Vertrauen in den elektronischen Rechtsverkehr gestärkt werden.
Der Inhalt im Überblick
Worum geht es?
Die Möglichkeiten, welche die Digitalisierung des Binnenmarktes mit sich bringt, wie etwa elektronische Vertragsschlüsse, online Dienstleistungen und elektronische Identifizierungsmöglichkeiten sollen durch einen einheitlichen europäischen Rechtsrahmen gefördert und sicherer werden. Der europäische Gesetzgeber verspricht sich dadurch eine
„Stärkung des Vertrauens in elektronische Transaktionen im Binnenmarkt, indem eine gemeinsame Grundlage für eine sichere elektronische Interaktion zwischen Bürgern, Unternehmen und öffentlichen Verwaltungen geschaffen wird, wodurch die Effektivität öffentlicher und privater Online-Dienstleistungen, des elektronischen Geschäftsverkehrs und des elektronischen Handels in der Union erhöht wird.“
Elektronische Identifizierungsmittel
Bislang konnten Bürger und auch Unternehmen Ihre elektronischen Identifizierungsmittel, wie beispielsweise den neuen Personalausweis mit eID Funktion nicht zur Authentifizierung in anderen EU-Länder nutzen, weil die nationalen elektronischen Identifizierungssysteme ihres Landes in anderen Mitgliedstaaten nicht anerkannt wurden. Durch den in der Verordnung festgelegten Grundsatz der gegenseitigen Anerkennung der Identifizierungsmittel durch die Mitgliedsstaaten soll sich dies nun ändern. Dadurch soll etwa die grenzüberschreitende Erbringung von Dienstleistungen erleichtert werden und Unternehmen sollen bei grenzüberschreitender Tätigkeit auf weniger Verwaltungshindernisse stoßen.
Vertrauensdienste
Die Verordnung regelt auch die Anwendung von weiteren sog. Vertrauensdiensten in den folgenden Bereichen:
- Erstellung, Überprüfung und Validierung von elektronischen Signaturen, elektronischen Siegeln oder elektronischen Zeitstempeln
- Zustellung elektronischer Einschreiben
- Erstellung, Überprüfung und Validierung von Zertifikaten für die Website-Authentifizierung
- Bewahrung von diese Dienste betreffenden elektronischen Signaturen, Siegeln oder Zertifikaten
Elektronische Signaturen, Siegel und Zeitstempel
Bisher war dieser Bereich durch die Signaturrichtlinie geregelt, die in Deutschland durch das Signaturgesetz und die Signaturverordnung umgesetzt wurde. Demnach können unter gewissen Voraussetzungen beispielsweise Verträge anstatt mit einer handschriftlichen Unterschrift auch mit einer elektronischen Signatur versehen werden. Mit Einführung der eIDAS-Verordnung wird die Signaturrichtlinie aufgehoben. Das Signaturgesetz und -verordnung bleiben weiterhin gültig und finden dort Anwendung, wo sie der eIDAS-Verordnung nicht widersprechen.
Geregelt wird nun etwa auch die sogenannte Fernsignatur, mittels derer man Dokumente von seinem Smartphone aus signieren kann. Neu aufgenommen wurde außerdem das elektronische Siegel. Dieses ähnelt der elektronischen Signatur, dient aber nicht der Abgabe von Willenserklärungen, sondern der Authentifizierung von juristischen Personen in Bereichen, wo keine persönliche Unterschrift nötig ist. Für die Erbringung solcher Dienste wird es eigens zugelassene Anbieter geben. Für deren Prüfung ist im deutschen Raum die Bundesnetzagentur zuständig. Diese führt auch eine entsprechende Liste der zugelassenen Anbieter. Bei der EU-Kommission wird eine EU-weite Liste geführt.
Elektronisches Einschreiben
Hierbei handelt es sich, wie der Name schon stark vermuten lässt, um die Möglichkeit ein Einschreiben auf elektronischem Wege mit den bekannten Rechtsfolgen zu verschicken. Die Verordnung beschreibt das Einschreiben als: Übermittlung von Daten zwischen Dritten mit elektronischen Mitteln und dem Nachweis der Handhabung der übermittelten Daten, wie dem Nachweis der Absendung und des Empfangs der Daten, und dem Schutz der übertragenen Daten vor Verlust, Diebstahl, Beschädigung oder unbefugter Veränderung.
Webseiten Zertifikate
In Zukunft wird es für Webseiten Zertifikate (TLS-Zertifikate) die Kategorie der qualifizierten Webseitenzertifikate geben. Zuständig für die Zertifizierung in Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Zertifizierung orientiert sich dabei an eng an der die Prüfung der „Extended Validation Zertifikate“ und es soll ein entsprechendes Europa Prüfsiegel vergeben werden. Dadurch soll das Vertrauen in die Authentizität von Webseiten weiter gestärkt werden.
Bewahrungsdienste
Unter Bewahrungsdienste versteht man laut Verordnung „einen elektronische(n) Dienst, der in der Regel gegen Entgelt erbracht wird“ und der „die Bewahrung von diese(n) Dienste(n) (den oben aufgeführten Vertrauensdiensten) betreffenden elektronischen Signaturen, Siegeln oder Zertifikaten“ ermöglicht. Dies betrifft beispielsweise die oben genannte Fernsignatur. Hier wird der private Signaturschlüssel dann durch einen Vertrauensdiensteanbieter auf einem zertifizierten Hardware Security Module (HSM) gespeichert und kann dann z.B. via Smartphone genutzt werden.
Kritik
Kritiker der neuen Regelung haben vor allem Sicherheitsbedenken, etwa im Bereich der Fernsignatur. Die Speicherung von privaten Signaturschlüsseln bei privaten Anbietern, die Möglichkeit eines Remote-Zugriffs auf diese und der damit verbundene Wegfall von Kartenlesegeräten und Signaturkarten, lässt viele an der Sicherheit dieses Systems zweifeln.
Auch im Bereich der Umsetzung scheint es noch einige Unklarheiten zu geben. Eine Anfrage von Heise.de bei der Bundesnetzagentur zum Austausch von österreichischen und deutschen Handy-Signaturen ergab, dass der Status der erforderlichen Vorarbeiten in Österreich nicht bekannt sei und bezweifelt werde, dass die generelle Gleichstellung der qualifizierten Signatur mit der eigenhändigen Unterschrift europarechtlich tragfähig sei. Auch sei nicht abschließend geklärt, ob der Anscheinsbeweis auch für nur lokal erzeugte Signaturen gelte, was Sache des Gesetzgebers oder dann der Gerichte im Einzelfall sei.