eIDAS – elektronischer, internationaler Durchbruch am Signaturmarkt

eIDAS – elektronischer, internationaler Durchbruch am Signaturmarkt
07 Jul 2016

Nein, dafür steht „eIDAS“ nicht, hinter diesem Kürzel verbirgt sich die „Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“. Diese Verordnung wurde am 28. August 2014 im Europäischen Parlament beschlossen, ersetzt die Richtlinie 1999/93/EG für elektronische Signaturen und ist seit 1. Juli gültig. Was steckt dahinter und welche Chancen und Möglichkeiten bietet die eIDAS-Verordnung? Hier ein kurzer Überblick.

Wenn man in diesen Tagen einen Blick auf die Geschehnisse rund um die EU wirft, dann steht zwangsläufig ein Thema im Fokus: der „Brexit“ und seine möglichen Konsequenzen für Europa. Doch im Schatten des britischen Referendums zum EU-Austritt und dessen Folgen hat sich auf der EU-Bühne auch noch etwas Anderes mit weitreichenden Auswirkungen getan. Seit wenigen Tagen, genauer gesagt seit 1. Juli, ist die Verordnung Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt, oder kurz: eIDAS-Verordnung, in Kraft. Vor knapp zwei Jahren im Europäischen Parlament beschlossen, soll diese Verordnung elektronische Transaktionen im gesamten EU-Raum zwischen den Bürgern, Behörden und Unternehmen vereinfachen.

Ein wichtiges Ziel ist es, das Vertrauen in genau diese Transaktionen am Binnenmarkt zu erhöhen und die grenzüberschreitende elektronische Identifizierung zu erleichtern. Deshalb wurde unter anderem festgelegt, dass alle Identifizierungsmittel, die in einem bestimmten EU-Mitgliedsstaat anerkannt werden, auch in allen anderen Mitgliedsstaaten anerkannt werden müssen.

 

eIDAS-Verordnung – elektronisches Siegel und Fernsignatur

Bereits die EU-Richtlinie 1999/93/EG hat die grundsätzlichen Rahmenbedingungen für elektronische Signaturen festgelegt. Länderübergreifende Transaktionen sowie die gegenseitige Anerkennung elektronischer Identitäten waren dabei noch kein Thema. Die Umsetzung solcher Prozesse gestaltete sich bislang vor allem bei rein nationalen Regelungen wie etwa der Amtssignatur in Österreich oder dem neuen Personalausweis in Deutschland schwierig. Außerdem waren unterschiedliche technische und fachliche Standards in den einzelnen Staaten problematisch. In einigen Staaten stellten vor allem die Tatsachen, dass eine Identität immer an eine natürliche Person gebunden sein muss und dass qualifizierte elektronische Signaturen nur mit Signaturkarten erzeugt werden können, ein Hindernis dar.
Mit der eIDAS-Verordnung und deren Implementing Acts sowie die begleitend entstehenden europäischen ETSI- und CEN-Normen sollen die Probleme nun beseitigt werden. Da es sich um eine Verordnung handelt, ist sie ab sofort geltendes Recht und nicht erst in nationales Recht umzusetzen. Mit dem Inkrafttreten der eIDAS-Verordnung am 1.7.2016 wurde die Richtlinie 1999/93/EG aufgehoben.

Elektronisches Siegel

Für Unternehmen wird vor allem das elektronische Siegel der eIDAS-Verordnung interessant. Darunter versteht man “Daten in elektronischer Form, die anderen Daten in elektronischer Form beigefügt oder logisch mit ihnen verbunden werden, um deren Ursprung und Unversehrtheit sicherzustellen” (Kap. 1, Art. 3, Z 25). Das elektronische Siegel ermöglicht die Authentifizierung von digitalen Besitzgegenständen für Unternehmen. Bisher konnte nämlich nur eine vertretungsbefugte natürliche Person im Namen des Unternehmens unterzeichnen. Seit dem 1. Juli ist das nicht mehr erforderlich, sondern das Unternehmen kann dies mit Hilfe des elektronischen Siegels selbst erledigen.

Die Fernsignatur

Mit der eIDAS-Verordnung soll auch auch der Fernsignatur EU-weit größere Bedeutung zukommen. Bei der Fernsignatur wird eine qualifizierte elektronische Signatur – der händischen Unterschrift rechtlich gleichgestellt – mittels Smartphone ausgelöst. In Österreich im Rahmen der Handy-Signatur schon seit längerem etabliert, spielt diese Form der Unterschrift anderswo noch eine eher untergeordnete Rolle.

 

Der rechtliche Rahmen

In der eIDAS-Verordnung werden im Wesentlichen zwei Bereiche geregelt, zum einen die elektronische Identifizierung (eID), zum anderen die elektronischen Vertrauensdienste.

  • Elektronische Identifizierung

Bei der elektronischen Identifizierung unterscheidet die eIDAS-Verordnung zwischen Identifizierungssystem und Identifizierungsmittel. Bei einem Identifizierungssystem handelt es sich um ein System für die elektronische Identifizierung, bei dem eine Person ihr elektronisches Identifizierungsmittel erhält. Ein Identifizierungsmittel wiederum ist eine materielle und/oder immaterielle Einheit, die alle Informationen besitzt um eine Person eindeutig zu identifizieren (Personenidentifizierungsdaten) und zur Authentifizierung bei Online-Diensten verwendet werden kann. Den Prozess der elektronischen Identifizierung definiert die Verordnung dabei so, dass die elektronischen Personenidentifizierungsdaten einer Person dazu verwendet werden, um diese gegenüber Dritten zu authentifizieren.

  • Elektronische Vertrauensdienste

Zu den elektronischen Vertrauensdiensten gehören laut eIDAS-Verordnung IT-Services, die der Erstellung, Überprüfung und/oder Validierung elektronischer Signaturen, Zeitstempel, Siegel sowie elektronischer Einschreiben und/oder Website-Zertifikaten ermöglichen. Zusätzlich dazu zählt auch die beweissichere Archivierung von qualifiziert elektronisch signierten Dokumenten zu den elektronischen Vertrauensdiensten der eIDAS. Mithilfe dieser Vertrauensdienste deckt die eIDAS-Verordnung daher vertrauenswürdige elektronische Geschäftsprozesse im vollständigen Lebenszyklus ab. Diese Vertrauensdienste werden von sogenannten Vertrauensdiensteanbietern angeboten. Unterzieht sich ein solcher einer Konformitätsprüfung, wird dieser als qualifizierter Vertrauensdiensteanbieter bezeichnet. Die Überprüfung ist laut eIDAS und den zugrundeliegenden Standards nicht zwingend erforderlich, es ermöglicht qualifizierten Vertrauensdiensteanbietern jedoch, Validierungsdienste, Bewahrungsdienste sowie Einschreib- und Zustelldienste anzubieten.

 

eIDAS und XiTrust

Österreich hat bei der elektronischen Signatur lange eine Art Vorreiterrolle in der EU eingenommen. Die Handy-Signatur bietet schon seit einigen Jahren die Möglichkeit, Dokumente elektronisch ohne Karte zu unterzeichnen und liefert auch die Grundlage für XiTrust MOXIS, der elektronischen Unterschriftenmappe von XiTrust. In Österreich nutzen mittlerweile ca. 600000 Bürgerinnen und Bürger die Handy-Signatur, für Personen außerhalb Österreichs ist das in der Praxis jedoch nur schwer möglich, da die Registrierung und Authentifizierung der persönlichen Daten ans Zentrale Melderegister (ZMR) gekoppelt ist.

Seit kurzem bietet XiTrust via Xidentity.eu eine digitale Identität aus eigenem Hause an. Mit einem qualifizierten Vertrauensdiensteanbieter im Hintergrund kann diese eID in der gesamten EU ausgestellt und muss auch anerkannt werden – durch die eIDAS-Verordnung nun rechtlich verankert.

„Die eIDAS-Verordnung macht es uns möglich, mit unseren Lösungen leichter am internationalen Parkett aufzutreten“, so DI Georg Lindsberger, CEO von XiTrust. „Mit XiDentity können wir unseren Kunden innerhalb weniger Minuten eine digitale Identität ausstellen, mit der sie Dokumente rechtsgültig elektronisch signieren können – egal ob sie aus Österreich, Frankreich oder Polen kommen, diese digitale Identität wird nun EU-weit anerkannt!“


Ausführliche Informationen zur eIDAS-Verordnung finden Sie in Kürze in unserem Signatur-ABC.


Share it toShare on FacebookTweet about this on TwitterShare on LinkedInShare on Google+


Leave a Reply

Your email address will not be published. Required fields are marked *