eIDAS-Verordnung

Am Vorabend des Starts

| Autor / Redakteur: Christian Drews / Manfred Klein

Die eIDAS-Verordnung hat Auswirkungen auf das Signaturgesetz
Die eIDAS-Verordnung hat Auswirkungen auf das Signaturgesetz (Bild: alphaspirit – Fotolia.com)

Der eigentliche Auftrag an die EU-Kommission lautete, die Signaturrichtlinie von 1999 zu überarbeiten. Als Ergebnis wurde 2012 allerdings ein sehr viel weiter reichender Vorschlag vorgestellt. Aufgrund drastisch gestiegener Anforderungen präsentierte die Kommission eine Verordnung über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen – die eIDAS-Verordnung.

Tatsächlich trat diese Verordnung bereits am 17. September 2014 in Kraft – mit unterschiedlichen Terminsetzungen einzelner Regelungen. Ab Juli 2016 greifen die Regelungen über die Vertrauensdienste. Grund genug zu beleuchten, was es mit der sogenannten eIDAS-Verordnung auf sich hat und welche Folgen zum jetzigen Zeitpunkt schon absehbar sind.

Viele Neuerungen

Die eIDAS-Verordnung regelt weit mehr als die alte Signaturrichtlinie aus dem Jahr 1999, die durch die Verordnung ersetzt wird. Und: Sie hat eine viel stärkere Wirkung. Die Signaturrichtlinie musste in nationale Gesetze umgesetzt werden. Dies geschah in Deutschland mit dem Signaturgesetz sowie der Signaturverordnung von 2001. Die eIDAS-Verordnung hat eine Direktwirkung und gilt somit unmittelbar, ohne die Regelungen in nationalen Gesetzen festzulegen. Darüber hinaus geht die eIDAS-Verordnung inhaltlich viel weiter als das deutsche SigG und die SigV.

Neben den neu definierten Vertrauensdiensten wird auch ein System etabliert, mit dem die europaweite, gegenseitige Anerkennung von elektronischen Identitäten auf gleichwertigen Vertrauensniveaus hergestellt werden soll. Verpflichtend wird die gegenseitige Anerkennung von eIDs aber erst ab dem 18. September 2018. Gültig werden ab 1. Juli 2016 die Regelungen über Vertrauensdienste.

Die Idee des Vertrauensdiensteanbieters entspringt dem alten Begriff des Zertifizierungsdienstanbieters, wie er sich auch im Signaturgesetz findet. Wie auch beim Signaturgesetz, handelt es sich bei der eIDAS-VO um ein technik- und gewerberegulierendes Gesetz, mit dem die Aufsicht, der Betrieb und die Technologie der Vertrauensdiensteanbieter geregelt wird.

Der Begriffswechsel war aber geboten, da nun auch Dienste wie De-Mail oder ePost sowie elektronische Bewahrungsdienste, wie etwa die Langzeitaufbewahrung gemäß TR-ESOR, hinzukommen.

Neu ist auch, dass die Website-Authentifizierung geregelt wird, also das Angebot solcher Zertifikate, die als Absicherung sicherer Verbindungen in Webbrowsern genutzt werden. Ebenfalls neu ist die Einführung des elektronischen Siegels. Dieses Siegel soll aber nicht die persönliche Unterschrift einer natürlichen Person ersetzen, sondern Herkunft und Integrität von Daten sichern.

Technisch wird es den Anbietern möglich sein, neben Smartcards auch Hardware Security Moduls (HSMs) als sichere Signaturerstellungseinheit einzusetzen. Die Mobil- oder Cloud-Signaturen sind ausdrücklich in den Erwägungsgründen der Verordnung erwähnt.

Ergänzendes zum Thema
 
Der Stand der Dinge

Bislang mussten sich Anbieter solcher Dienste akkreditieren oder wenigstens anmelden, um einen qualifizierten Dienst zu erbringen und unter die Aufsicht der zuständigen Aufsichtsstelle zu fallen. Ab Juli fallen nun auch die fortgeschrittenen, also nicht-qualifizierten Dienste unter diese Aufsicht – unabhängig davon, ob sie sich akkreditiert oder auch nur bei der Aufsichtsstelle gemeldet haben.

Um als qualifizierter Vertrauensdiensteanbieter auftreten zu dürfen, bedarf es nun grundsätzlich einer Vorabprüfung. Dieses Verfahren ist vergleichbar mit dem der Akkreditierung. Dafür darf der Anbieter dann ein Vertrauenssiegel führen und wird in einer nationalen Vertrauensliste geführt. Diese Vertrauenslisten werden dann auch als Ankerpunkt für die technische Statusprüfung dienen.

Die Regelungen über die Vertrauensdienste gelten aber nur für offene Benutzergruppen und müssen in der Regel gegen Entgelt angeboten werden. Damit soll sichergestellt werden, dass unternehmens- oder verwaltungsinterne Infrastrukturen nicht unter eine Aufsicht fallen. Auch regelt die Verordnung nicht den Abschluss und die Gültigkeit von Verträgen. Ebenso wenig enthält sie Formvorschriften für öffentliche Register wie die Handelsregister oder Grundbücher.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44045296 / Projekte & Initiativen)