eIDAS-Verordnung: Signaturgesetz ade!

Die seit dem 01.07.2016 geltende Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (kurz: eIDAS-Verordnung) schafft einheitliche Rahmenbedingungen für die Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste in allen EU-Mitgliedsstaaten und im Europäischen Wirtschaftsraum (EWR).

Welche Folgen hat die eIDAS-Verordnung?

Die EU-Verordnung (vgl. Art. 288 Abs. 2 AEUV) gilt unmittelbar und genießt einen sog. Anwendungsvorrang: Bisher geltendes nationales Recht, das im Widerspruch zur eIDAS-Verordnung steht, darf nicht mehr angewendet und muss an diese angepasst werden. So hat z.B. das eIDAS-konforme Vertrauensdienstegesetz (VDG) das Signaturgesetz (SigG) am 29.07.2017 abgelöst.

Was sind die zentralen Regelungen und Neuerungen der eIDAS-Verordnung?

Vertrauensdiensteanbieter müssen generell „geeignete technische und organisatorische Maßnahmen“ unter „Berücksichtigung des jeweils neuesten Stands der Technik“ verwenden, sodass ein hohes Sicherheitsniveau gewährleistet werden kann. (vgl. Art. 19 Abs. 1 eIDAS-Verordnung) Zuwiderhandlungen sind der Aufsichtsstelle nach Art. 19 Abs. 2 eIDAS-Verordnung unverzüglich zu melden.

Die elektronische Signatur

Die elektronische Signatur musste dem Unterzeichner bislang ausschließlich zugeordnet werden können und mit Mitteln erzeugt werden, die unter seiner alleinigen Kontrolle stehen (vgl. § 2 Nr. 2 Sign). Art. 3 eIDAS-Verordnung reduziert die Anforderung an die elektronische Signatur auf eine eindeutige Zuordnung zum Unterzeichner. Auch muss der Ersteller der Signatur nun nach Art. 26 lit. c eIDAS-Verordnung elektronische Signaturerstellungsdaten verwenden, die er mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann.

Anforderungen an weitere Vertrauensdienste

Über die Möglichkeit der Nutzung der elektronischen Signatur als Vertrauensdienst sieht die eIDAS-Verordnung weitere Vertrauensdienste als zulässig an:

  • das elektronische Siegel,
  • der elektronische Zeitstempel, sowie
  • elektronische Zustelldienste und Webseitenzertifikate.

War eine elektronische Signatur bislang nur für natürliche Personen möglich, eröffnet die Einführung des elektronischen Siegels (vgl. Art. 35-40 eIDAS-Verordnung) nun auch für juristische Personen und Behörden die Möglichkeit, einen elektronischen Behörden- bzw. Firmenstempel unter Dokumente zu bringen.

Der elektronische Zeitstempel ermöglicht die Bestätigung, dass ein Dokument zu einer bestimmten Zeit einen bestimmten Inhalt hatte. In Art. 41-42 eIDAS-Verordnung werden vor allem die Anforderungen an qualifizierte elektronische Zeitstempel konkretisiert.

Auch bietet die eIDAS-Verordnung die Möglichkeit der Zustellung elektronischer Einschreiben (vgl. Art. 43-44 eIDAS-Verordnung).

Art. 45 eIDAS-Verordnung stellt für Website-Authentifizierungen zudem noch Anforderungen an qualifizierte Zertifikate für die Website-Authentifizierung auf.

Wie unterscheidet sich das Vertrauensdienstegesetz vom Signaturgesetz?

Enthält die eIDAS-Verordnung selbst Präzisierungen, bedürfen diese aufgrund ihrer unmittelbaren Geltung keiner weiteren Umsetzung im Mitgliedsstaat. Lediglich bei bestehendem Präzisierungsbedarf muss das das SigG ablösende VDG neue Regelungen treffen, wobei sich dabei stark an den bisherigen Regelungen des SigG orientiert wurde. Dennoch lassen sich auch signifikante Unterschiede zum SigG erkennen, die im Folgenden aufgezeigt werden.

Wer ist die zuständige Aufsichtsstelle?

§ 3 SigG regelte bislang die Zuständigkeit der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahn (Bundesnetzagentur) als Aufsichtsstelle. Nunmehr obliegt die Wahrnehmung der Aufgaben nicht mehr nur der Bundesnetzagentur, die nur noch zuständig für die Erstellung, Überprüfung und Validierung elektronischer Signaturen, elektronischer Zeitstempel und Dienste für die Zustellung elektronischer Einschreiben sowie für diese Dienste betreffende Zertifikate und ihre Bewahrung ist. Dem Bundesamt für Sicherheit in der Informationstechnik obliegen hingegen die Aufgaben der Erstellung, Überprüfung und Validierung von Zertifikaten für die Website-Authentifizierung. (vgl. § 2 Abs. 1 VDG)

Vertrauensdiensteanbieter vs. Zertifizierungsanbieter

Wurde vormals im SigG der Begriff des „Zertifizierungsanbieters“ geführt, wurde dieser im VDG durch den Begriff des „Vertrauensdiensteanbieters“ ersetzt. Unterschied das SigG zwischen akkreditierten und „einfachen“ Zertifizierungsanbietern, lässt sich in der VDG eine ähnliche Differenzierung zwischen „einfachen“ Vertrauensdiensteanbietern und qualifizierten Vertrauensanbietern (bei Vorliegen der Voraussetzung des Art. 3 Nr. 17 eIDAS-Verordnung) finden.

Erhebung personenbezogener Daten

Erlaubte § 14 Abs. 1 S. 1 SigG die Erhebung personenbezogener Daten durch den Zertifizierungsanbieter nur unmittelbar beim Betroffenen selbst und soweit dies für den Zweck eines qualifizierten Zertifikats erforderlich ist – die Erhebung der Daten eines Dritten sogar nur bei Vorliegen seiner Einwilligung (§ 14 Abs. 1 S. 2 SigG), kann die Datenerhebung auch bei Dritten nunmehr dann erfolgen, wenn es für die Erbringung des jeweiligen Vertrauensdienstes erforderlich ist. Das Einwilligungserfordernis des Dritten ist mithin weggefallen. (vgl. § 8 Abs. 1 VDG)

Neu in datenschutzrechtlicher Sicht ist, dass eine schon mit dem SigG eingeführte erforderliche Dokumentation der Übermittlung von personenbezogenen Daten zwölf Monate aufbewahrt werden muss (vgl. § 8 Abs. 3 S. 2 VDG).

Die von der Datenerhebung betroffene Person muss im Falle der Übermittlung, wie dies auch schon das SigG vorsah (vgl. § 14 Abs. 2 S. 3 SigG), unterrichtet werden. Neu ist hingegen, dass nach einer Zeit von fünf Jahren nach der Übermittlung von einer Benachrichtigung abgesehen werden kann, wenn die Voraussetzungen für eine Benachrichtigung mit an Sicherheit grenzender Wahrscheinlichkeit auch in Zukunft nicht vorliegen werden (vgl. § 8 Abs. 4 S. 3 VDG).

Widerruf qualifizierter Zertifikate

§ 14 VDG trifft Regelungen zu Widerrufspflichten noch gültiger qualifizierter Zertifikate durch den Vertrauensdiensteanbieter und erneuert damit § 8 SigG, der eine „Sperrung“ der Zertifikate vorsah. Neu im Gegensatz zum SigG ist § 14 Abs. 1 Nr. 4 VDG, der Widerrufspflichten dann begründet, wenn die Annahme besteht, dass Zertifikate gefälscht wurden oder nicht fälschungssicher waren oder die Signatur- oder Siegelerstellungseinheiten Sicherheitsmängel aufweisen.

Zudem kann nun die dritte Person auch für den Fall des Wegfalls der Vertretungsmacht einen Widerruf des Zertifikats verlangen (vgl. § 14 Abs. 2 Nr. 1 VDG).

Bußgeldvorschriften und Verwaltungsbehörden

Im Gegensatz zum bisher geltenden § 21 SigG hat sich die Maximalhöhe möglicher Bußgelder verändert. Nunmehr können nach § 19 Abs. 3 VDG Zuwiderhandlungen mit einer Geldbuße bis zu 20.000 Euro, in einzelnen Fällen sogar bis zu 100.000 Euro, geahndet werden.

Sowohl die Bundesnetzagentur als auch das Bundesamt für Sicherheit in der Informationstechnik sind für die im Rahmen ihrer Zuständigkeit liegenden Ordnungswidrigkeiten als Verwaltungsbehörden zuständig (vgl. § 19 Abs. 4 VDG).

Welche neuen Regelungen bringt das Vertrauensdienstegesetz mit sich?

Im Vertrauensdienstegesetz lassen sich aber auch neue, die ordnungsgemäße Ausführung der eIDAS-Verordnung bedingende Regelungen finden.

§ 5 VDG enthält zunächst Regelungen zu Mitwirkungspflichten der Vertrauensdiensteanbieter an der Überprüfung der ordnungsgemäßen Einhaltung ihrer Verpflichtungen. Dazu müssen der Aufsichtsstelle bestimmte Rechte, wie z.B. Betretungsbefugnisse der Geschäfts- und Betriebsräume, eingeräumt und bestimmte Pflichten, wie z.B. die Auskunftserteilung, ihr gegenüber wahrgenommen werden.

§ 7 VDG stellt die Umsetzung des Art. 15 eIDAS-Verordnung sicher und statuiert dabei besondere Regelungen für eine barrierefreie Nutzung der Vertrauensdienste durch Menschen mit Behinderungen.

§ 9 VDG ordnet die Zuständigkeit der Bundesnetzagentur für die nach der eIDAS-Verordnung zu erstellenden Vertrauenslisten (vgl. Art. 22 eIDAS-Verordnung) an, welche Angaben zu den qualifizierten Vertrauensdiensteanbietern und den von ihnen erbrachten Vertrauensdiensten umfassen.

Zudem definiert das VDG in Teil 3 und Teil 4 Regelungen für qualifizierte elektronische Signaturen und Siegel und für Dienste für die Zustellung elektronischer Einschreiben.

Nach § 21 VDG dürfen die Zertifizierungsanbieter, die qualifizierte Zertifikate ausgestellt haben, diese auch weiterhin in ihrem Zertifikatsverzeichnis führen.

Fazit

Die eIDAS-Verordnung zielt auf die Vereinheitlichung des digitalen Binnenmarkts ab. War bislang nur das nationale Verfahren mit Beweiswert anerkannt, so können nun auf dem elektronischen Wege in Verkehr gebrachte Schriftstücke auch international mit Beweiswert anerkannt werden. Vor allem in den EU-Mitgliedsstaaten und im EWR verhilft die eIDAS-Verordnung zu mehr Rechtssicherheit, da sie gerade hinsichtlich der Fälschungssicherheit der elektronischen Signaturen bestimmte einheitliche Anforderungen stellt.

Haben Sie als Vertrauensdiensteanbieter oder Anbieter elektronischer Identifizierungsmittel Fragen zu den in der eIDAS-Verordnung getroffenen Regelungen? Brauchen Sie Unterstützung, ihre Dienste eIDAS-konform auszugestalten? Unsere Ansprechpartner helfen Ihnen gerne weiter.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.