eIDAS-Verordnung

Durch die am 18.09.2014 in Kraft getretene europäische Vertrauensdiensteverordnung (eIDAS-VO) soll das Vertrauen in den elektronischen Rechtsverkehr in der EU gestärkt werden. Seit dem 01.07.2016 können in allen 28 EU-Mitgliedsstaaten und im Europäischen Wirtschaftsraum (EWR – Island, Lichtenstein, Norwegen) Vertrauensdienste nach der eIDAS-Verordnung angeboten werden.1Elektronische Identifizierung: eIDAS ab dem 1.7.2016 im Einsatz, BC 2016, 300. Mit der Verordnung 910/2014 werden die unterschiedlichen Identifikationsstandards in den Mitgliedsstaaten vereinheitlicht und durch die EU-Kommission zertifiziert, vgl. Art. 9. Zu diesem Zweck regelt die eIDAS-VO Sicherungsmittel und -dienste, die Manipulations-, Rechts- und Beweissicherheit unionsweit gewährleisten sollen.2Hierzu umfassend Rossnagel, NJW 2014, 3686. Dadurch sollen Handelshemmnisse durch unterschiedliche Verfahren abgebaut werden und folglich der EU-Binnenmarkt gestärkt werden, vgl. Art 4 Abs. 2. In Deutschland sind davon beispielsweise Verschlüsselungszertifikate wie die eID-Funktion des neuen Personalausweises (nPA) betroffen. Durch diese Vereinheitlichung der Standards soll es zukünftig erleichtert werden festzustellen, ob ein übersandtes Dokument unversehrt ist und dem ausstellenden Autor zugeordnet werden kann. Eine Zertifizierung nach der Technischen Richtlinie BSI TR-03145 erfüllt die technischen und organisatorischen Sicherheitsanforderungen der eIDAS-Verordnung für qualifizierte Signatur- und Siegelzertifikate gem. Artikel 29 Abs. 1 der Verordnung i.V.m. Anhang II.3Elektronische Identifizierung: eIDAS ab dem 1.7.2016 im Einsatz, BC 2016, 300.

ANFORDERUNGEN AN QUALIFIZIERTE ELEKTRONISCHE SIGNATURERSTELLUNGSEINHEITEN

(1) Qualifizierte elektronische Signaturerstellungseinheiten müssen durch geeignete Technik und Verfahren zumindest gewährleisten, dass
a) die Vertraulichkeit der zum Erstellen der elektronischen Signatur verwendeten elektronischen Signaturerstellungsdaten angemessen sichergestellt ist,
b) die zum Erstellen der elektronischen Signatur verwendeten elektronischen Signaturerstellungsdaten praktisch nur einmal vorkommen können,
c) die zum Erstellen der elektronischen Signatur verwendeten elektronischen Signaturerstellungsdaten mit hinreichender Sicherheit nicht abgeleitet werden können und die elektronische Signatur bei Verwendung der jeweils verfügbaren Technik verlässlich gegen Fälschung geschützt ist,
d) die zum Erstellen der elektronischen Signatur verwendeten elektronischen Signaturerstellungsdaten vom rechtmäßigen Unterzeichner gegen eine Verwendung durch andere verlässlich geschützt werden können.

(2) Qualifizierte elektronische Signaturerstellungseinheiten dürfen die zu unterzeichnenden Daten nicht verändern und nicht verhindern, dass dem Unterzeichner diese Daten vor dem Unterzeichnen angezeigt werden.

(3) Das Erzeugen oder Verwalten von elektronischen Signaturerstellungsdaten im Namen eines Unterzeichners darf nur von einem qualifizierten Vertrauensdiensteanbieter durchgeführt werden.

(4) Unbeschadet des Absatzes 1 Buchstabe d dürfen qualifizierte Vertrauensdiensteanbieter, die elektronische Signaturerstellungsdaten im Namen des Unterzeichners verwalten, die elektronischen Signaturerstellungsdaten ausschließlich zu Sicherungszwecken kopieren, sofern folgende Anforderungen erfüllt sind:
a) Die kopierten Datensätze müssen das gleiche Sicherheitsniveau wie die Original-Datensätze aufweisen.
b) Es dürfen nicht mehr kopierte Datensätze vorhanden sein als zur Gewährleistung der Dienstleistungskontinuität unbedingt nötig.

Die eIDAS-VO beruht auf Art. 114 AEUV zur Rechtsangleichung im Binnenmarkt. Nach Art. 288 Abs. 2 AEUV besitzt sie allgemeine Geltung, ist in allen Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.4Rossnagel, NJW 2014, 3686, 3687. Als eine alle Bereiche der Informationsgesellschaft durchdringende Querschnittsmaterie ist sie zentraler Baustein zur Verwirklichung von eGovernment, eHealth, eCommerce und eBusiness.5Rossnagel, NJW 2014, 3686, 3687 sowie kritisch Rossnagel, MMR 2012, 781.

Nach Art. 2 gilt die eIDAS-VO für notifizierte elektronische Identifizierungssysteme und für Vertrauensdiensteanbieter, die in der EU niedergelassen sind. Unter einem elektronischen Identifizierungssystem wird ein System für die elektronische Identifizierung verstanden. Letztere liegt vor, wenn bei einem Prozess der Verwendung von elektronischen Datensätzen, die es ermöglichen, die Identität einer in elektronischer Form, die eine natürliche oder juristische Person oder eine natürliche Person, die eine juristische Person vertritt, eindeutig repräsentiert.

Ein Vertrauensdienst ist ein elektronischer Dienst, der in der Regel gegen Entgelt erbracht wird und aus der Erstellung, Überprüfung und Validierung von elektronischen Signaturen, elektronischen Siegeln oder elektronischen Zeitstempeln, und Diensten für die Zustellung elektronischer Einschreiben sowie von diese Dienste betreffenden Zertifikaten oder Erstellung, Überprüfung und Validierung von Zertifikaten für die Website-Authentifizierung oder Bewahrung von diese Dienste betreffenden elektronischen Signaturen, Siegeln oder Zertifikaten besteht.

Keine Anwendung findet sie für Vertrauensdiente, die ausschließlich innerhalb geschlossener Systeme verwendet werden.

Bislang einzigartig ist die gegenseitige Anerkennung von Identitätsmanagement-Systemen in der EU. So fordert Art. 6 eIDAS-VO von jedem Mitgliedstaat, der für nationale Online-Dienste die Verwendung eines elektronischen Identifizierungssystems verlangt, auch alle Identifizierungssysteme aus anderen Mitgliedstaaten anzuerkennen, die bei der Kommission notifiziert worden sind.6Rossnagel, NJW 2014, 3686, 3687. Es besteht allerdings keine Pflicht zur Anbietung oder Notifizierung eines elektronischen Identifizierungssystems. Will der Mitgliedstaat das entsprechende elektronische Verfahren allerdings unionsweit einsetzen, so ist eine Notifizierung erforderlich.7Rossnagel, NJW 2014, 3686, 3687.

Weiterhin unterscheidet die Verordnung zwischen Vertrauensdiensten und qualifizierten Vertrauensdiensten. Hiermit sind unterschiedliche Sicherheitsanforderungen verbunden. Nichtqualifizierte Vertrauensdienste unterliegen nach Art. 17 Abs. 3 b der „Ex-post-Aufsicht“ der nationalen Aufsichtsstelle. Sie haften nach Art. 13 für vorsätzlich oder fahrlässig zugefügte Schäden, die auf eine Nichterfüllung der Anforderungen der Verordnung zurückzuführen sind. Hierfür trägt der Geschädigte die Beweislast.8Rossnagel, NJW 2014, 3686, 3688.

Um einen qualifizierten Vertrauensdienst nach Art. 2 Nr. 17 eIDAS-VO handelt es sich hingegen, wenn er alle einschlägigen Anforderungen der Verordnung erfüllt. Zusätzlich gelten die Voraussetzungen für nichtqualifizierte Vertrauensdienste. Für die Ausstellung qualifizierter Zertifikate fordert Art. 24 Abs. 1 eine sichere Identifizierung des Antragstellers, Art. 24 Abs. 3 einen Widerrufsdienst, der innerhalb von 24 Stunden den Widerruf prüfbar macht, und nach Art. 24 Abs. 4 einen Verzeichnisdienst, der jederzeit eine kostenlose Online-Überprüfung eines Zertifikats ermöglicht.9Rossnagel, NJW 2014, 3686, 3689. Die nationalen Aufsichtsstellen haben die Einhaltung dieser Anforderungen nach Art. 17 Abs. 3 a „im Wege der Ex-ante- und Ex-post-Kontrolle zu gewährleisten“.10Rossnagel, NJW 2014, 3686, 3689.

Weiterer Regelungsgegenstand sind:
• Elektronische Signaturen
• Elektronische Siegel
• Elektronische Zeitstempel
• Elektronische Einschreiben
• Webseiten-Authentifizierung

Die Verordnung setzt deutsche bereits bestehende Regelungen nicht außer Kraft, sondern genießt nur Anwendungsvorrang. Der Grundsatz des Anwendungsvorrangs bedeutet, dass die gemeinschaftswidrige Norm „ohne weiteres unanwendbar“ wird. Hierbei findet lediglich eine bloße Überlagerung des mitgliedstaatlichen Rechts in dem Sinne statt, dass nationales Recht „nicht gebrochen“ wird, sondern im Falle des Außerkrafttretens der Gemeinschaftsnorm wieder aufleben kann.11Stettner, in: Dauses, Handbuch des EU-Wirtschaftsrechts, 37. Erg-Lieferung April 2015, A. IV. Rn. 28.

Mitgliedstaatliche Vorschriften haben weiterhin Geltung, finden aber nur insoweit Anwendung als sie den Regelungen der Verordnung nicht widersprechen.12Biervert, in: Schwarze, EU-Kommentar, 3. Aufl. 2012, Art. 288 Rn. 6. Die Reichweite des Anwendungsvorrangs folgt aus der Anerkennungspflicht des Art. 6 eIDAS-VO: So müssen alle öffentlichen Stellen in Deutschland notifizierte elektronische Identifizierungsmittel aus anderen Mitgliedstaaten für die elektronische Identifizierung und Authentifizierung auch dann anerkennen, wenn sie den Anforderungen des PAuswG oder anderer Identifizierungsvorschriften nicht entsprechen.13Rossnagel, NJW 2014, 3686, 3691. Nationale Regelungen finden allerdings solange Anwendung, bis die Kommission abschließende Durchführungsakte festgelegt hat.14Rossnagel, NJW 2014, 3686, 3691. Denn solange die EU weder vollziehbare Regelungen in der Verordnung noch in solchen Akten getroffen hat, gelten weiterhin die einschlägigen nationalen Regelungen. Es darf bloß kein Widerspruch zu den Regelungen der Verordnung bestehen.15Rossnagel, NJW 2014, 3686, 3691. Relevant wird die Frage bspw. bei den Anforderungen an qualifizierte sichere Signaturerstellungseinheiten.

Die weitreichenden beweisrechtlichen Änderungen auf europäischer Ebene werden auch Einfluss auf zivilprozessuale Fragestellungen haben. 16Vgl. Jandt, NJW 2015, 1205, 1209.

Mehr Informationen zu Signaturen finden Sie hier.

Referenzen   [ + ]

1. Elektronische Identifizierung: eIDAS ab dem 1.7.2016 im Einsatz, BC 2016, 300.
2. Hierzu umfassend Rossnagel, NJW 2014, 3686.
3. Elektronische Identifizierung: eIDAS ab dem 1.7.2016 im Einsatz, BC 2016, 300.
4. Rossnagel, NJW 2014, 3686, 3687.
5. Rossnagel, NJW 2014, 3686, 3687 sowie kritisch Rossnagel, MMR 2012, 781.
6. Rossnagel, NJW 2014, 3686, 3687.
7. Rossnagel, NJW 2014, 3686, 3687.
8. Rossnagel, NJW 2014, 3686, 3688.
9. Rossnagel, NJW 2014, 3686, 3689.
10. Rossnagel, NJW 2014, 3686, 3689.
11. Stettner, in: Dauses, Handbuch des EU-Wirtschaftsrechts, 37. Erg-Lieferung April 2015, A. IV. Rn. 28.
12. Biervert, in: Schwarze, EU-Kommentar, 3. Aufl. 2012, Art. 288 Rn. 6.
13. Rossnagel, NJW 2014, 3686, 3691.
14. Rossnagel, NJW 2014, 3686, 3691.
15. Rossnagel, NJW 2014, 3686, 3691.
16. Vgl. Jandt, NJW 2015, 1205, 1209.