Einfach, schnell und sicher. Die richtige Signaturlösung für Ihr Unternehmen.
Die eIDAS-Verordnung
Inhalt und Ziele
Die eIDAS-Verordnung ist der gesetzliche Rahmen für elektronische Signaturen in der Europäischen Union. Die Abkürzung eIDAS steht für electronic IDentification, Authentication and Trust Services und führt die amtliche Bezeichnung (EU) Nr. 910/2014: Die Verordnung reguliert seit ihrem Inkrafttreten am 1.7.20161 elektronische Identifizierungs- und Vertrauensdienste für die Durchführung von elektronischen Transaktionen im Binnenmarkt der Europäischen Union. Die 52 Artikel der eIDAS-Verordnung ersetzen die bis dahin geltende Richtlinie 1999/93/EG. Diese hatte zwar eine Regelung zu elektronischen Signaturen festgelegt, reichte aber nicht, um einen umfassenden grenzüberschreitenden Rahmen für sichere, vertrauenswürdige und einfach zu nutzende elektronische Transaktionen darzustellen. Die nun vorliegende eIDAS-Verordnung stärkt und erweitert die Rechtsvorschriften jener Ur-Richtlinie.
Die zentrale Motivation für diese Novelle war es seitens des Europäisches Parlaments und des Rates der Europäischen Union, einen verlässlichen Rechtsrahmen für elektronische Transaktionen zu schaffen. In der Präambel der eIDAS-Verordnung heißt es deshalb: „Diese Verordnung dient der Stärkung des Vertrauens in elektronische Transaktionen im Binnenmarkt, indem eine gemeinsame Grundlage für eine sichere elektronische Interaktion zwischen Bürgern, Unternehmen und öffentlichen Verwaltungen geschaffen wird.“ Ziel ist es, die Effektivität öffentlicher und privater Online-Dienstleistungen, des elektronischen Geschäftsverkehrs und des elektronischen Handels in der Union zu erhöhen.
Die eIDAS-Verordnung ordnet für die EU im Wortsinn zum ersten Mal den Umgang mit der elektronischen Signatur und schafft umfassende Rechtssicherheit. Die eIDAS-Verordnung ist damit auch grundlegende Gesetzeswerk für elektronische Signaturen, die heute privat von Einzelpersonen, behördlich und von Unternehmen in internen und externen Signaturprozessen geleistet werden. Die EU hat mit der Verordnung den Status von digitalen Unterschriften gegenüber handschriftlichen eindeutig geklärt: Keine Unterschrift darf allein deshalb abgelehnt, werden, weil sie elektronisch gesetzt worden ist. Die eIDAS-Verordnung schafft nach Lesart der Europäischen Kommission ein vorhersehbares regulatorisches Umfeld für elektronische Signaturen zwischen Privatpersonen, Unternehmen und Behörden.
Vorteile der eIDAS-Verordnung sind:
- Rechtssicherheit durch einheitlichen Gesetzesrahmen für alle Mitgliedstaaten
- Ermöglichung der digitalen Fernsignatur auch mit mobile Devices
- Transparenz und Standardisierung von Vertrauensdienstleistern
- Abbau von bürokratischen Prozessen
Signaturtypen
Die eine elektronische Signatur gibt es nicht. Ebenso gibt es per eIDAS-Verordnung keine generelle Vorschrift darüber, welche Art der elektronischen Signatur für Unternehmens-, Handels- oder auch Finanztransaktionen zu verwenden ist. Die eIDAS-Verordnung unterscheidet dagegen in drei Kategorien elektronischer Signaturen, die sich in ihrer Qualität und damit in ihrer Rechtsverbindlichkeit unterscheiden:
Einfache elektronische Signatur
Die einfachste Form einer digitalen Unterschrift ist vom Gesetzgeber mit „Daten in elektronischer Form“ beschrieben, „die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.“ Das heißt konkret, dass zum Beispiel auch ein von Hand signiertes Dokument eingescannt und damit digitalisiert, eine einfache elektronische Signatur aufweist. Denn es ist das elektronische Pendant einer händischen Unterschrift, mit der der Unterzeichner sein Einverständnis mit Inhalten des jeweiligen Dokuments zum Ausdruck bringt. Diese Form der elektronischen Signatur weist ein niedriges Sicherheitsniveau auf.
Fortgeschrittene elektronische Signatur
Die Anforderungen an die fortgeschrittene Signatur, wie sie in Artikel 26 der eIDAS-Verordnung beschrieben sind, gehen darüber hinaus. Diese substanzielle Form der elektronischen Signatur ist eindeutig einem Unterzeichner zugeordnet, denn sie stellt sicher, dass der Unterzeichner identifiziert werden kann. Gleichzeitig muss gewährleistet sein, dass der Inhalt eines signierten Dokuments nicht nachträglich verändert werden kann, ohne dass dies sofort ersichtlich wird, wodurch das Dokument ungültig würde. Man kann zusammenfassen, dass die fortgeschrittene elektronische Signatur sowohl die Integrität des Dokuments sichert, als auch die die Authentizität des Unterzeichners zweifelsfrei belegt.
Qualifizierte elektronische Signatur
Die qualifizierte elektronische Signatur ist die höchste Form der digitalen Unterschrift. Sie besitzt die höchste Rechtsverbindlichkeit und ist in allen EU-Mitgliedsstaaten der handgeschriebenen Unterschrift zu 100 Prozent gleichgestellt. Dafür werden an die QES auch die höchsten Anforderungen gestellt, welche in der eIDAS-Verordnung beschrieben sind. Wesentlich für die QES sind zwei Elemente:
- Das Vorliegen einer digitalen Identität, wie sie in verschiedenen Identifikationsverfahren durch privatwirtschaftliche und staatliche Anbieter erlangt werden kann.
- Ein qualifiziertes Zertifikat eines staatlich anerkannten Vertrauensdiensteanbieters, eines so genannten Trust Centers verleiht dem signierten Dokument seinen eindeutigen Rechtsstatus.
Vertrauensdienste
Die eIDAS-Verordnung formuliert deshalb in Kapitel III einen präzisen Anforderungskatalog für Vertrauensdiensteanbieter. Sie stellen die digitale Identität sicher und sind verantwortlich für digitale Zertifikate und Signaturen. Ausschließlich Vertrauensdiensteanbieter, die die ab Artikel 13 aufgeführten Voraussetzungen erfüllen, gelten als qualifiziert. Qualifizierte, und damit staatlich anerkannte Trust Center sind zum Beispiel A-Trust, D-Trust oder die Swisscom.
Qualifizierte Trust Center lösen rechtssichere qualifizierte Signaturen aus durch die Ausgabe elektronischer Zertifikate. In Artikel 24, Abs. 1, formuliert die eIDAS-Verordnung dieses Kernelement für die Ausstellung qualifizierter elektronischer Signaturen: „Bei der Ausstellung eines qualifizierten Zertifikats für einen Vertrauensdienst überprüft der qualifizierte Vertrauensdiensteanbieter anhand geeigneter Mittel und im Einklang mit dem jeweiligen nationalen Recht die Identität und gegebenenfalls die spezifischen Attribute der natürlichen oder juristischen Person, der das qualifizierte Zertifikat ausgestellt wird.“
Ein kurzer Überblick über die Aufgaben von Vertrauensdiensteanbietern laut eIDAS-Verordnung:
- Ausgabe von qualifizierten Zertifikaten für elektronische Signaturen, elektronische
- Elektronischer Zeitstempel
- Validierung von elektronischen Signaturen
- Archivierung von elektronischen Signaturen
Die eIDAS-Verordnung unterscheidet in qualifizierte und nicht-qualifizierte Vertrauensdienstanbieter. Unternehmen und Privatpersonen haben die Möglichkeit diese anhand der sog. „Trust List“ zu unterscheiden. In dieser Liste sind alle Anbieter und Dienstleistungen aufgeführt, die in den betreffenden EU-Staaten einen qualifizierten Status besitzen. Wer nicht auf der Liste steht, ist von qualifizierten Vertrauensdienstleistungen ausgeschlossen.