eIDAS 1/2

Die eIDAS-Verordnung (EU) Nr. 910/2014 hat einen fühlbaren Einfluss auf die bundesdeutsche Rechtswirklichkeit. Seit ihrem Inkrafttreten am 1. Juli  2016 sind legislative Auswirkungen in Deutschland eingetreten, insbesondere der Entwurf des neuen Vertrauensdienstegesetzes VDG. »eIDAS« steht für elektronische Identitäten und Authentifizierungs-Services, wozu Zertifikate, Zeitstempel, Siegel, andere Signaturen, Signaturgeräte sowie die technische und definitorische Infrastruktur solcher Identifizierungsdienste gehören. EU-Verordnung und Gesetzentwurf werfen die Frage auf:

1.      Was sind überhaupt Vertrauensdienste?

»Vertrauensdienste« sind – einfach ausgedrückt – hilfreiche Technik-Schnipsel, die zum Einsatz kommen, wenn auf Dokumente oder Personen vertraut werden soll, die bisher unbekannt sind oder aus der Anonymität des Internet heraustreten wollen, wie z. B. beim online-Banking: Die Bank soll ständig über eine www-Adresse erreichbar sein, mehrere Kunden möchten gleichzeitig über diese Schnittstelle mit ihrer Bank kommunizieren. Gleichzeitig soll sichergestellt sein, dass keiner der Kunden die Antworten des Bank-Servers an einen der anderen Kunden zu sehen bekommt. Daher muss sich die Bank über eine »https«-Adresse als sicher zu erkennen geben, alle Kunden müssen sich mit unterschiedlichen Nutzernamen und Passwörtern identifizieren und ihre Transaktionen zusätzlich mit zeitlich begrenzt haltbaren individuellen Transaktionscodes (TAN) bestätigen. Der Bankserver kommuniziert nun über dieselbe Webseite gleichzeitig mit allen, aber die www-Adresse wird jeweils durch einen »Session-ID« ergänzt, sodass jede »Sitzung« zuverlässig abgeschottet wird, obwohl sie über das allgemein zugängliche Internet abgewickelt wird.

Außerdem werden die übertragenen Daten jeweils noch verschlüsselt, damit sie niemand lesen kann, der sie zufällig oder gewollt mitloggt. Wer einem solchen System vertraut, kann auch das Zusammenspiel von identitätsstiftenden oder ‑bestätigenden Technologien, die beim online-Banking zum Einsatz kommen, als eine Art digitaler Signaturen der Beteiligten betrachten, denn eine »Signatur« vermittelt Vertrauen in die Identität desjenigen, der sie leistet, in die Echtheit des unterzeichneten Dokuments und in die Sicherheit gegen Fälschung. Bei der klassischen Unterschrift ist diese Sicherheit erhöht, wenn ein Zeuge beglaubigt, dass sie in seiner Gegenwart durch die von ihm identifizierte Person geleistet wurde. Ein Äquivalent zu diesem Zeugen ist bei der online-Kommunikation ein Vertrauensdiensteanbieter, der Sicherheitszertifikate, Zeitstempel, Signaturserver oder-geräte verwaltet.

2.      Für Deutschland neuartige digitale Signaturen

Die Verordnung (EU) Nr. 910/2014 gilt unmittelbar und ersetzt das Framework der bisherigen Signaturrichtlinie 1999/93/EG. Die Richtlinie war zur Umsetzung durch nationale Regelungen bestimmt und führte zu einer unerwünschten Diversifikation, die einer rechtlich abgesicherten und vertrauensbildenden EU-weiten einheitlichen digitalen Kommunikation im Wege steht. Im zweiten Anlauf erließ die EU daher nach ausgiebigen Tests und unter Beteiligung öffentlicher und privater interessierter Stellen eine Verordnung. Diese regelt aber nicht mehr nur digitale Signaturen, sondern auch das gesamte technische und infrastrukturelle Umfeld. Aufgrund der Vorbereitungsphasen konnten die technischen Durchführungsvorschriften und die erforderlichen Standards parallel entwickelt werden und sie wurden spätestens gleichzeitig mit der Verordnung publiziert. 104 Seiten pure Technik finden sich beipielsweise im Standard ETSI TS 101 903 XAdES für eine sichere XML-basierte Signatur unter http://www.etsi.org/deliver/etsi_ts/101900_101999/101903/01.04.02_60/ts_101903v010402p.pdf. Die eIDAS-Verordnung verbietet keineswegs abweichende oder kompliziertere nationale Regeln zur digitalen Signatur und zu Vertrauensdiensten wie Zeitstempeln, elektronischen Einschreiben und Identifizierungsdiensten. Sie besagt aber, dass mit dieser Verordnung konforme technische Produkte EU-weit in eine online verfügbare »Vertrauensliste« (trusted list) aufgenommen werden können. Für Identifizierungsdienste haftet dann einerseits der Verantwortliche und auch der notifizierende Mitgliedstaat sowie der das Authentifizierungsverfahren durchführende Beteiligte; andererseits kann kein EU-Mitgliedstaat und kein dem EU-Recht unterliegender Adressat die Zuordnung einer Signatur anzweifeln, die von einer notifizierten Einrichtung stammt. Der internationale Wettbewerb soll durch diese Doppelregelung gestärkt werden.

Während einer Übergangsfrist gelten Diensteanbieter nach altem Recht noch ohne die erforderlichen Konformitätsbewertungsberichte auch als Diensteanbieter nach neuem Recht. Allerdings sind auch alle ausländischen in Vertrauenslisten aufgenommenen Anbieter nunmehr gleichwertige Konkurrenten. Zum Beispiel kann theoretisch die österreichische Handy-Signatur für deutsche Nutzer angeboten werden; diese ist für den Nutzer bequemer als die an ein Kartenlesegerät gebundene Signatur mit dem neuen deutschen Personalausweis. Die e-Residency-Card aus Estland (http://www.howtostayin.eu) ist schon in Betrieb genommen und soll nach Herstellung der vollen Interoperabilität im Jahr 2018 europaweit gültiges elektronisches Signieren erlauben. Bei Signaturen ist für Deutschland neu, dass man das Schlüsselpaar nicht mehr selbst verwalten muss, sondern es kann von einem Dritten kommen, der einen authentifiziert hat. Dies betrifft Dienste wie SMS-TAN und »fernausgelöste« online-Signaturen.

3.      Gesetzentwurf

Das Vertrauensdienstegesetz (VDG) löst die bisherigen Regelungen zur digitalen Signatur (SigG und SigV) ab, denn deren zum Teil engere Regeln werden durch die eIDAS-Verordnung derart überlagert, dass Verwirrung über nicht anwendbare Gesetzeswortlaute entstehen würde. Dieses neue Gesetz soll 2017 in Kraft treten. Darin müssen z.B. die wichtigen Beweisregeln in § 126a des Bürgerlichen Gesetzbuches, § 37 Absatz  4 des Verwaltungsverfahrensgesetzes und § 371b der Zivilprozessordnung daran angepasst werden, dass nicht nur Signaturen von natürlichen Personen, sondern auch institutionelle Siegel Unterschriften gleichgestellt sind. Es folgt ein Überblick über die geplanten Neuregelungen und über den Verfahrensstand.

3.1.      Neuregelungen

Der Entwurf des deutschen Vertrauensdienstegesetzes enthielt Ende 2016 die folgenden wichtigen Gliederungspunkte:

Den Anwendungsbereich regelt § 1, als Aufsichtsstellen nennt § 2 die Bundesnetzagentur für e-Signaturen, e-Siegel, e-Zeitstempel, e-Zustelldienste und Bewahrungsdienste sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) für die Website-Authentifizierung. Das Verfahren über den einheitlichen Ansprechpartner im Sinne der Dienstleistungsrichtlinie findet sich in § 3; § 4 normiert  Voraussetzungen für eine Untersagung des Betriebes durch die Aufsichtsstelle. § 5 listet Mitwirkungspflichten für Vertrauensdiensteanbieter auf: Gestattung des Betretens der Geschäftsräume durch die Aufsichtsstelle, Vorlage von Schriftstücken und Auskunftserteilung. § 6 statuiert eine Haftung für Dritte wie für eigenes Handeln. Laut § 7 ist eine Datenerhebung nur unmittelbar bei der betroffenen Person zulässig und sofern sie für die Erbringung des Vertrauensdienstes erforderlich ist. Die sogenannte Vertrauensliste wird laut § 8 durch die Bundesnetzagentur geführt und online aktualisiert; sie enthält eIDAS-konforme Dienste und deren Anbieter. § 9 sieht eine Deckungsvorsorge in Höhe von mindestens 250.000  Euro vor pro Schaden, der durch ein haftungsauslösendes Ereignis verursacht wird. Die Bundesnetzagentur legt gemäß § 10 fest, welche Methoden der Identitätsprüfung anerkannt sind und gleichwertige Sicherheit gegenüber persönlicher Anwesenheit bieten; dazu gehört auch die »Vorratsidentifizierung« gemäß Absatz 2. § 11 enthält Regeln über Attribute in qualifizierten Zertifikaten; eine Pflicht zur Unterrichtung über Sicherheitsmaßnahmen und deren Rechtswirkungen für qualifizierte Diensteanbieter und Nutzer qualifizierter Vertrauensdienste instituiert § 12. Der Widerruf qualifizierter Zertifikate erfolgt gemäß § 13. Erforderliche Aufzeichnungen regelt  § 14, § 15 den sogenannten Beendigungsplan und die dauerhafte Prüfbarkeit von Zertifikaten und Identitäten. Die deutsche Akkreditierungsstelle im Sinne des § 16 erkennt private Zertifizierungsstellen an. Das BSI veröffentlicht dazu erforderliche fachliche Kriterien und ist »öffentliche Stelle« gemäß Art.  30 der eIDAS-VO. § 17 verweist auf Regelungen zu qualifizierten elektronischen Signaturen, Dienste für die Zustellung elektronischer Einschreiben unterliegen § 18 des VDG. Es folgen noch Bußgeldvorschriften (§ 19), Verordnungsermächtigungen (§ 20) und Übergangsvorschriften (§ 21). Die Artikel 2 ff. VDG-E enthalten Folgeänderungen in Fachgesetzen, in denen bestimmte Vertrauensdienste genannt sind. Das Siegel einer juristischen Person wird als Äquivalent zur elektronischen Signatur einer natürlichen Person eingeführt. Z.B. kann nach § 53 Absatz 3 der Vergabeverordnung ein öffentlicher Auftraggeber verlangen, dass Interessenbekundungen, Teilnahmeanträge oder Ähnliches mit einer fortgeschrittenen oder qualifizierten elektronischen Signatur oder entsprechenden Siegeln zu versehen sind. Parallel zum Gesetz soll wegen der Durchführungsvorschriften zu den Details eine Vertrauensdiensteverordnung erlassen werden.

3.2.      Verfahrensstand VDG-E

Der Referentenentwurf wurde vorerst zur Stellungnahme an sogenannte interessierte Kreise versandt. Erste Stellungnahmen sind auch publiziert worden. Die Bundesärztekammer hat sich am 1. 11. 2016 dahingehend geäußert, dass sie den Entwurf zwar begrüße, dass aber noch weiterer Regelungsbedarf bestehe. Dabei geht es unter anderem um qualifizierte Attribut-Zertifikate in § 11 für Berufsgruppeninformationen. Details sind nachlesbar unter www.bundesaerztekammer.de/fileadmin/user_upload/downloads/pdf-Ordner/Stellungnahmen/Vertrauensdienstegesetz.pdf.

Der Deutsche Industrie- und Handelskammertag DIHT hat Vorbehalte gegenüber der Anerkennung privater Zertifizierungsstellen in § 16 und schlägt das BSI als Ersatz vor. Der DIHT lehnt »gesonderte qualifizierte Zertifikate« gemäß § 11 Absatz 3 VDG-E ab, da diese die EU-weite Interoperabilität behinderten. Die Stellungnahme vom 9. 11. 2016 findet sich unter http://www.dihk.de/themenfelder/recht-steuern/rechtspolitik/nationale-stellungnahmen/dihk-positionen-zu-nationalen-gesetzesvorhaben/dihk-stellungname-vertrauensdienste.pdf.

Im vollen Wortlaut scheint der Referentenentwurf im Herbst 2016 noch nicht allgemein zugänglich gemacht worden zu sein; die Homepage des Bundeswirtschaftsministeriums fragte noch im Dezember bei einer Suche nach dem Stichwort »eIDAS-Verordnung« zurück: »Meinten Sie Adidas-Verordnung?« und hat auch heute noch nur zwei Treffer zum Stichwort »Vertrauensdienste« vorrätig, die beide nicht den Entwurf des Vertrauensdienste-Gesetzes betreffen. Angesichts der Bedeutung, die dieser Entwurf für die deutsche Wirtschaft haben sollte, erscheinen die amtlichen Veröffentlichungen dazu durchaus sparsam. Immerhin fand am 8. November  2016 die Tagung »eIDAS Summit – Vertrauensdienste in Deutschland und Europa« in Berlin statt. Hierbei gaben Staatsekretär Uwe  Beckmeyer, Bitkom Hauptgeschäftsführer Dr.  Bernhard  Rohleder, der Vizepräsident der Bundesnetzagentur Wilhelm  Eschweiler und weitere unmittelbar an der Umsetzung beteiligte institutionelle Redner Einblicke in ihre Arbeit: https://www.bitkom.org/Themen/Datenschutz-Sicherheit/Datenschutz-Sicherheit/eIDAS-Summit-Rueckblick.html.

4.      Fazit

Obwohl die eIDAS-Verordnung ohne Umsetzungsakte unmittelbar in den EU-Mitgliedstaaten gilt, ist legislativ also  Bewegung zu verzeichnen. Es ist interessant zu sehen, dass eine EU-Vorschrift, deren Entstehung nicht »am grünen Tisch« sondern unmittelbar von den interessierten Kreisen mitgeplant und -verantwortet wurde, bereits parallel zu ihrem Inkrafttreten messbare Auswirkungen zeitigen kann. Eine Resonanz auf nationaler Ebene ist eingetreten.

Hinweis der Redaktion: Siehe hierzu auch Symposium: Die Umsetzung der eIDAS-Verordnung in Deutschland – ein Update (rechtlich und technisch) am 22.06.2017 in Berlin: https://www.edvgt.de/veranstaltung/symposium-die-umsetzung-der-eidas-verordnung-in-deutschland-ein-update-rechtlich-und-technisch-am-22-06-2017-in-berlin/