Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der RL 1999/93/EG (eIDAS-VO)

EU-Verordnung

Adressat: Alle von den Mitgliedstaaten notifizierten elektronischen Identifizierungssysteme sowie in der Union niedergelassene Vertrauensdiensteanbieter

Relevante Normen: Art. 19; Art. 24; Anhang II Abs. 1 lit. c)

Regelungsgehalt

Allgemein

Durch die am 18.09.2014 in Kraft getretene europäische Vertrauensdiensteverordnung (eIDAS-VO) soll das Vertrauen in den elektronischen Rechtsverkehr in der EU gestärkt werden. Seit dem 01.07.2016 können in allen 28 EU-Mitgliedsstaaten und im Europäischen Wirtschaftsraum (EWR – Island, Lichtenstein, Norwegen) Vertrauensdienste nach der eIDAS-Verordnung angeboten werden.[1] Die eIDAS-VO beruht auf Art. 114 AEUV zur Rechtsangleichung im Binnenmarkt. Nach Art. 288 Abs. 2 AEUV besitzt sie allgemeine Geltung, ist in allen Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.[2] Als eine alle Bereiche der Informationsgesellschaft durchdringende Querschnittsmaterie ist sie zentraler Baustein zur Verwirklichung von eGovernment, eHealth, eCommerce und eBusiness.[3]

Die Verordnung setzt bereits bestehende nationale Regelungen nicht außer Kraft, sondern genießt nur Anwendungsvorrang. Der Grundsatz des Anwendungsvorrangs bedeutet, dass die gemeinschaftswidrige Norm „ohne weiteres unanwendbar“ wird. Hierbei findet lediglich eine Überlagerung des mitgliedstaatlichen Rechts in dem Sinne statt, dass nationales Recht „nicht gebrochen“ wird, sondern im Falle des Außerkrafttretens der Gemeinschaftsnorm wieder aufleben kann.[4] Mitgliedstaatliche Vorschriften haben weiterhin Geltung, finden aber nur insoweit Anwendung als sie den Regelungen der Verordnung nicht widersprechen.[5] Die Reichweite des Anwendungsvorrangs folgt aus der Anerkennungspflicht des Art. 6 eIDAS-VO: So müssen alle öffentlichen Stellen in Deutschland notifizierte elektronische Identifizierungsmittel aus anderen Mitgliedstaaten für die elektronische Identifizierung und Authentifizierung auch dann anerkennen, wenn sie den Anforderungen des PAuswG oder anderer Identifizierungsvorschriften nicht entsprechen.[6] Nationale Regelungen finden allerdings solange Anwendung, bis die Kommission abschließende Durchführungsakte festgelegt hat.[7] Denn solange die EU weder vollziehbare Regelungen in der Verordnung noch in solchen Akten getroffen hat, gelten weiterhin die einschlägigen nationalen Regelungen. Es darf bloß kein Widerspruch zu den Regelungen der Verordnung bestehen.[8] Relevant wird die Frage bspw. bei den Anforderungen an qualifizierte sichere Signaturerstellungseinheiten. Die weitreichenden beweisrechtlichen Änderungen auf europäischer Ebene werden auch Einfluss auf zivilprozessuale Fragestellungen haben.[9]

Um die unterschiedlichen Identifikationsstandards in den Mitgliedsstaaten zu vereinheitlichten, regelt die eIDAS-VO Sicherungsmittel und -dienste, die Manipulations-, Rechts- und Beweissicherheit unionsweit gewährleisten sollen.[10] Dadurch sollen Handelshemmnisse durch unterschiedliche Verfahren abgebaut werden und der EU-Binnenmarkt gestärkt werden, vgl. Art. 4 Abs. 2 eIDAS-VO. In Deutschland sind bspw. Verschlüsselungszertifikate wie die eID-Funktion des neuen Personalausweises (nPA) betroffen. Durch die Vereinheitlichung dieser Standards soll es zukünftig erleichtert werden festzustellen, ob ein übersandtes Dokument unversehrt ist und dem ausstellenden Autor zugeordnet werden kann. Eine Zertifizierung nach der Technischen Richtlinie BSI TR-03145[11] erfüllt die technischen und organisatorischen Sicherheitsanforderungen der eIDAS-Verordnung für qualifizierte Signatur- und Siegelzertifikate gem. Art. 29 Abs.  1 eIDAS-VO i.V.m. Anhang II.[12]

Bislang einzigartig ist die gegenseitige Anerkennung von Identitätsmanagement-Systemen in der EU. So fordert Art. 6 eIDAS-VO von jedem Mitgliedstaat, der für nationale Online-Dienste die Verwendung eines elektronischen Identifizierungssystems verlangt, auch alle Identifizierungssysteme aus anderen Mitgliedstaaten anzuerkennen, die bei der Kommission notifiziert worden sind.[13] Es besteht allerdings keine Pflicht zur Anbietung oder Notifizierung eines elektronischen Identifizierungssystems. Will der Mitgliedstaat das entsprechende elektronische Verfahren allerdings unionsweit einsetzen, so ist eine Notifizierung erforderlich.[14]

Weitere Regelungsgegenstände sind:
• Elektronische Signaturen
• Elektronische Siegel
• Elektronische Zeitstempel
• Elektronische Einschreiben
• Webseiten-Authentifizierung

Art. 2:

Nach Art. 2 eIDAS-VO gilt die eIDAS-VO für notifizierte elektronische Identifizierungssysteme und für Vertrauensdiensteanbieter, die in der EU niedergelassen sind. Ein elektronisches Identifizierungssystem ist ein System für die elektronische Identifizierung, in dessen Rahmen natürlichen oder juristischen Personen oder natürlichen Personen, die juristische Personen vertreten, elektronische Identifizierungsmittel ausgestellt werden.

Art. 3:

Elektronische Identifizierungsmittel sind nach Art. 3 Nr. 2 eIDAS-VO eine materielle und/oder immaterielle Einheit, die Personenidentifizierungsdaten enthält und zur Authentifizierung bei Online-Diensten verwendet wird. Gemäß Art. 3 Nr. 3 eIDAS-VO ist ein Datensatz als “Personenidentifizierungsdaten” zu qualifizieren, wenn er es ermöglicht, die Identität der dahinterstehenden natürlichen oder juristischen Person festzustellen. So kann die Adresse eines Mehrfamilienhauses an sich noch kein Personenidentifizierungsdatum, wohl aber ein personenbezogenes Datum darstellen. Vertrauensdienstanbieter ist nach Art. 3 Nr. 19 eIDAS-VO eine natürliche oder juristische Person, die einen oder mehrere Vertrauensdienste erbringt. Vertrauensdienste werden in der Regel gegen Bezahlung erbracht und haben zum Inhalt, dass sie mit der Erstellung, Überprüfung, Bewahrung und Validierung von elektronischen Signaturen, Siegeln, Zertifikaten etc. betraut sind (Art. 3 Nr. 16 eIDAS-VO). Weiterhin unterscheidet die Verordnung zwischen Vertrauensdiensten und qualifizierten Vertrauensdiensten. Hiermit sind unterschiedliche Sicherheitsanforderungen verbunden. Nach Art. 3 Nr. 17 eIDAS-VO ist ein Anbieter qualifiziert, wenn er bestimmten, besonderen Anforderungen (insbesondere Art. 24 Abs. 2 eIDAS-VO) entspricht. Fällt jemand unter diese Kategorisierung, so muss er seine Dienste unter besonderen Voraussetzungen der eIDAS-VO betreiben.

Art. 19 Abs. 1:

Art. 19 Abs. 1 eIDAS-VO verlangt sowohl von qualifizierten als auch von nicht qualifizierten Vertrauensdienstleistern, dass diese geeignete technische und organisatorische Maßnahmen treffen, um mögliche Sicherheitsrisiken zu beherrschen. Dabei ist der neuste Stand der Technik immer insoweit zu beachten, als dass das gewährleistete Sicherheitsniveau der Höhe des Sicherheitsrisikos angemessen ist. Das Gesetz hebt besonders hervor, dass Vertrauensdiensteanbieter insbesondere zu Maßnahmen verpflichtet sind, die Sicherheitsverletzungen geringhalten und dass die Beteiligten möglichst schnell informiert werden.

Art. 24:

In Art. 24 eIDAS-VO sind die Anforderungen aufgelistet, die qualifizierte Vertrauensdienstleister im Unterschied zu nichtqualifizierten zu erfüllen haben. Die Ausstellung qualifizierter Zertifikate erfordert gem. Art. 24 Abs. 1 eIDAS-VO eine sichere Identifizierung des Antragstellers. Zudem bedarf es nach Art. 24 Abs. 3 eIDAS-VO einen Widerrufsdienst, der innerhalb von 24 Stunden den Widerruf prüfbar macht und gem. Art. 24 Abs. IV eIDAS-VO einen Verzeichnisdienst, der jederzeit eine kostenlose Online-Überprüfung eines Zertifikats ermöglicht.[15] Die nationalen Aufsichtsstellen haben die Einhaltung dieser Anforderungen nach Art. 17 Abs. 3a eIDAS-VO „im Wege der Ex-ante- und Ex-post-Kontrolle zu gewährleisten“.[16] Besonders hervorzuheben sind Art. 24 Abs. 2 lit. e), f) eIDAS-VO. Lit. e) verlangt, dass qualifizierte Vertrauensdienstleister vertrauenswürdige Systeme und Produkte verwenden. Das heißt, dass diese Systeme und Produkte vor Veränderungen von außen geschützt sein müssen und dass die durch sie unterstützten Prozesse technisch sicher und zuverlässig arbeiten. Lit. f) verlangt dasselbe, nur für die Speicherung der ihnen übermittelten Daten in überprüfbarer Form. Die Daten müssen so vertrauenswürdig gespeichert werden, dass sie nur dann öffentlich abrufbar sind, wenn dies mit der Zustimmung der betroffenen Person geschieht, dass nur befugte Personen Daten in die Systeme eingeben und verändern können und dass überprüft werden kann, ob die Daten wirklich echt sind. Zusätzlich gelten die Voraussetzungen für nichtqualifizierte Vertrauensdienste. Nichtqualifizierte Vertrauensdienste unterliegen nach Art. 17 Abs. 3 lit. b eIDAS-VO der „Ex-post-Aufsicht“ der nationalen Aufsichtsstelle. Sie haften nach Art. 13 eIDAS-VO für vorsätzlich oder fahrlässig zugefügte Schäden, die auf eine Nichterfüllung der Anforderungen der Verordnung zurückzuführen sind. Hierfür trägt der Geschädigte die Beweislast.[17] Keine Anwendung findet die eIDAS-VO auf Vertrauensdiente, die ausschließlich innerhalb geschlossener Systeme verwendet werden.

Anhang II Abs. 1 lit. c):

In Anhang II der eIDAS-VO werden konkrete Anforderungen an die Signaturerstellungseinheit gestellt, die den private key generiert. Insbesondere muss der Anbieter nach Abs. 1 lit. c) darauf achten, dass er durch geeignete Technik und Verfahren gewährleisten kann, dass der private key so generiert wird, dass er mit hinreichender Sicherheit nicht mathematisch oder informatisch ermittelt werden kann und verlässlich gegen Fälschung geschützt ist. Diese Anforderungen müssen unter Berücksichtigung künftiger Entwicklungen ausgelegt werden. So ist heute davon auszugehen, dass mindestens ein 128 bit Schlüssel (2 hoch 128 Möglichkeiten) zur Gewährleistung deiner hinreichenden Sicherheit Verwendung finden sollte; in Zukunft kann aber von Rechenleistungen ausgegangen werden, die auch einen 128 bit Schlüssel zuverlässig ableiten können.


[1] Elektronische Identifizierung: eIDAS ab dem 1.7.2016 im Einsatz, BC 2016, 300.

[2] Rossnagel, NJW 2014, 3686, 3687.

[3] Rossnagel, NJW 2014, 3686, 3687 sowie kritisch Rossnagel, MMR 2012, 781.

[4] Stettner, in: Dauses, Handbuch des EU-Wirtschaftsrechts, 37. Erg-Lieferung April 2015, A. IV. Rn. 28.

[5] Biervert, in: Schwarze, EU-Kommentar, 3. Aufl. 2012, Art. 288 Rn. 6.

[6] Rossnagel, NJW 2014, 3686, 3691.

[7] Rossnagel, NJW 2014, 3686, 3691.

[8] Rossnagel, NJW 2014, 3686, 3691.

[9] Vgl. Jandt, NJW 2015, 1205, 1209.

[10] Hierzu umfassend Rossnagel, NJW 2014, 3686.

[11] Informationen des BSI hierzu abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/TechGuidelines/TR03145/TR03145.pdf?__blob=publicationFile&v=2 , (letzter Abruf 09.04.2020).

[12] Elektronische Identifizierung: eIDAS ab dem 1.7.2016 im Einsatz, BC 2016, 300.

[13] Rossnagel, NJW 2014, 3686, 3687.

[14] Rossnagel, NJW 2014, 3686, 3687

[15] Rossnagel, NJW 2014, 3686, 3689.

[16] Rossnagel, NJW 2014, 3686, 3689.

[17] Rossnagel, NJW 2014, 3686, 3688.