eIDAS-Verordnung Am Vorabend des Starts

Autor / Redakteur: Christian Drews / Manfred Klein

Der eigentliche Auftrag an die EU-Kommission lautete, die Signaturrichtlinie von 1999 zu überarbeiten. Als Ergebnis wurde 2012 allerdings ein sehr viel weiter reichender Vorschlag vorgestellt. Aufgrund drastisch gestiegener Anforderungen präsentierte die Kommission eine Verordnung über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen – die eIDAS-Verordnung.

Firmen zum Thema

Die eIDAS-Verordnung hat Auswirkungen auf das Signaturgesetz
Die eIDAS-Verordnung hat Auswirkungen auf das Signaturgesetz
(Bild: alphaspirit – Fotolia.com)

Tatsächlich trat diese Verordnung bereits am 17. September 2014 in Kraft – mit unterschiedlichen Terminsetzungen einzelner Regelungen. Ab Juli 2016 greifen die Regelungen über die Vertrauensdienste. Grund genug zu beleuchten, was es mit der sogenannten eIDAS-Verordnung auf sich hat und welche Folgen zum jetzigen Zeitpunkt schon absehbar sind.

Viele Neuerungen

Die eIDAS-Verordnung regelt weit mehr als die alte Signaturrichtlinie aus dem Jahr 1999, die durch die Verordnung ersetzt wird. Und: Sie hat eine viel stärkere Wirkung. Die Signaturrichtlinie musste in nationale Gesetze umgesetzt werden. Dies geschah in Deutschland mit dem Signaturgesetz sowie der Signaturverordnung von 2001. Die eIDAS-Verordnung hat eine Direktwirkung und gilt somit unmittelbar, ohne die Regelungen in nationalen Gesetzen festzulegen. Darüber hinaus geht die eIDAS-Verordnung inhaltlich viel weiter als das deutsche SigG und die SigV.

Neben den neu definierten Vertrauensdiensten wird auch ein System etabliert, mit dem die europaweite, gegenseitige Anerkennung von elektronischen Identitäten auf gleichwertigen Vertrauensniveaus hergestellt werden soll. Verpflichtend wird die gegenseitige Anerkennung von eIDs aber erst ab dem 18. September 2018. Gültig werden ab 1. Juli 2016 die Regelungen über Vertrauensdienste.

Die Idee des Vertrauensdiensteanbieters entspringt dem alten Begriff des Zertifizierungsdienstanbieters, wie er sich auch im Signaturgesetz findet. Wie auch beim Signaturgesetz, handelt es sich bei der eIDAS-VO um ein technik- und gewerberegulierendes Gesetz, mit dem die Aufsicht, der Betrieb und die Technologie der Vertrauensdiensteanbieter geregelt wird.

Der Begriffswechsel war aber geboten, da nun auch Dienste wie De-Mail oder ePost sowie elektronische Bewahrungsdienste, wie etwa die Langzeitaufbewahrung gemäß TR-ESOR, hinzukommen.

Neu ist auch, dass die Website-Authentifizierung geregelt wird, also das Angebot solcher Zertifikate, die als Absicherung sicherer Verbindungen in Webbrowsern genutzt werden. Ebenfalls neu ist die Einführung des elektronischen Siegels. Dieses Siegel soll aber nicht die persönliche Unterschrift einer natürlichen Person ersetzen, sondern Herkunft und Integrität von Daten sichern.

Technisch wird es den Anbietern möglich sein, neben Smartcards auch Hardware Security Moduls (HSMs) als sichere Signaturerstellungseinheit einzusetzen. Die Mobil- oder Cloud-Signaturen sind ausdrücklich in den Erwägungsgründen der Verordnung erwähnt.

Bislang mussten sich Anbieter solcher Dienste akkreditieren oder wenigstens anmelden, um einen qualifizierten Dienst zu erbringen und unter die Aufsicht der zuständigen Aufsichtsstelle zu fallen. Ab Juli fallen nun auch die fortgeschrittenen, also nicht-qualifizierten Dienste unter diese Aufsicht – unabhängig davon, ob sie sich akkreditiert oder auch nur bei der Aufsichtsstelle gemeldet haben.

Um als qualifizierter Vertrauensdiensteanbieter auftreten zu dürfen, bedarf es nun grundsätzlich einer Vorabprüfung. Dieses Verfahren ist vergleichbar mit dem der Akkreditierung. Dafür darf der Anbieter dann ein Vertrauenssiegel führen und wird in einer nationalen Vertrauensliste geführt. Diese Vertrauenslisten werden dann auch als Ankerpunkt für die technische Statusprüfung dienen.

Die Regelungen über die Vertrauensdienste gelten aber nur für offene Benutzergruppen und müssen in der Regel gegen Entgelt angeboten werden. Damit soll sichergestellt werden, dass unternehmens- oder verwaltungsinterne Infrastrukturen nicht unter eine Aufsicht fallen. Auch regelt die Verordnung nicht den Abschluss und die Gültigkeit von Verträgen. Ebenso wenig enthält sie Formvorschriften für öffentliche Register wie die Handelsregister oder Grundbücher.

eIDAS-Baustelle Europa

So gut sich diese Neuerungen auch anhören mögen und so klar der 1. Juli als Termin des Inkrafttretens feststeht, so wichtig ist es zu verstehen, dass es noch längst nicht eine Antwort auf alle Fragen gibt.

Die große Bandbreite der eIDAS-Verordnung sowie der enge Zeitplan zu ihrem Erlass machten es notwendig, dass sehr viele Detailregelungen in Rechtsakten unterhalb der Verordnung ausgelagert wurden. Von diesen Rechtsakten waren aber nur wenige bis Juli 2016 durch die EU-Kommission verpflichtend zu erlassen. Dies ist inzwischen auch geschehen.

Zu Vertrauenslisten, zu Vertrauenssiegeln sowie zu Spezifikationen für Formate fortgeschrittener elektronischer Signaturen und fortgeschrittener Siegel, die von öffentlichen Stellen anerkannt werden, gibt es nun solche Rechtsakte. Zu vielen anderen Themen stehen diese allerdings noch aus.

Seitens des Bundeswirtschaftsministeriums (BMWi) gibt es das Bestreben, die EU-Kommission zum Erlass weiterer Rechtsakte zu bewegen. Über das offene „Forum elektronische Vertrauensdienste“ können Betroffene ihre Interessen einfließen lassen.

Für bestimmte neue Dienste kann es aber noch gar keine Rechtsakte geben, weil die Spezifikationen oder Normen, auf die sie später verweisen sollen, noch nicht erlassen wurden. Das betrifft insbesondere die elektronischen Einschreib-Zustelldienste sowie die elektro­nischen Bewahrungsdienste. Technische Regelungen zu diesen Diensten gibt es in Deutschland mit dem De-Mail- und dem Signaturgesetz und den darunterliegenden Technischen Richtlinien des BSI.

Nun ist die Langzeitaufbewahrung zur Beweiswerterhaltung kryptographisch signierter Dokumente zwar in der TR-ESOR geregelt, aber eben nicht als Dienst eines Vertrauensdiensteanbieters ausgestaltet. Das von der EU-Kommission mandatierte Normungsinstitut ETSI hat erst vor einigen Monaten seine Arbeit aufgenommen, um zusammenzutragen, welche vergleichbaren Anforderungen es in allen Mitgliedstaaten gibt.

Auch bei den elektronischen Einschreib-Zustelldiensten geht es um mehr als De-Mail in Deutschland. In den Projekten, die dem Erlass der eIDAS-Vorordnung vorangegangen sind, ging es hier um registered delivery – also um Kommunikationsinfrastrukturen, bei denen der Anbieter die Teilnehmer kennt oder identifiziert hat. Wenigstens der ePost-Brief kann diese Anforderungen erfüllen.

Baustelle Deutschland

Nicht nur die EU-Kommission hat noch einige Punkte auf ihrer To-Do-Liste, auch der deutsche Gesetzgeber ist gefordert. Zum einen gibt es in der eIDAS-Verordnung Aufforderungen, nationale Regelungen, etwa zu den Aufsichtsstellen und Bußgeldordnungen, zu erlassen. Zum anderen bietet die Verordnung trotz ihrer unmittelbaren Wirkungen und dem damit verbundenen Verbot, Umsetzungsregelungen zu erlassen, die Möglichkeit, durch nationales Recht die Verordnung zu ergänzen, soweit dadurch das Regelungsziel der VO nicht verletzt wird.

Da die Verordnung zwar vorsieht, dass die EU-Signaturrichtlinie von 1999 Anfang Juli 2016 aufgehoben wird und damit Bezugnahmen auf die aufgehobene Richtlinie als Bezugnahmen auf diese eIDAS-Verordnung gelten, sind die nationalen Signaturgesetze, die auf Grundlage der Signaturrichtlinie erlassen wurden, eigentlich aber noch nicht aufgehoben. Sie sind lediglich in den Teilen, die die Verordnung oder eben ein entsprechender Rechtsakt regelt, nicht mehr anwendbar.

Da das deutsche Signaturgesetz aber auch darüber hinausgehende Regelungen enthält, droht hier eine Rechtsunsicherheit. Aus diesem Grund soll das bisherige Signaturgesetz aufgehoben werden. Dies hat das Bundeswirtschaftsministerium inzwischen angekündigt. Gleichzeitig gibt es Überlegungen, in Deutschland ein neues Vertrauensdienstegesetz zu schaffen.

Hier ist zu regeln, wie mit dem lange geforderten elektronischen Siegel umzugehen ist. Ob auch eine Anpassung der Zivilprozessordnung möglich ist, wird sich zeigen. Der zeitliche Rahmen für ein solchen Vertrauensdienste­gesetz ist auf jeden Fall sehr ambitioniert.

(ID:44045296)