Europäische Verordnung über Vertrauensdiensteanbieter – eIDAS und das deutsche eID-System


» nützliche Hinweise zu Kartenlesern


Mit der Zustimmung des EU-Parlament und des EU-Rat zum Vorschlag für eine Verordnung über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eIDAS) wird ein umfassender europäischer Rechtsrahmen geschaffen, der elektronische Transaktionen zwischen Bürgern, Unternehmen bzw. staatlichen Institutionen sicher und interoperabel ermöglicht.

Durch eIDAS werden Bürger und Unternehmen sowie staatlich Institutionen in die Lage versetzt werden, ihre eigenen eID-Systeme bzw. eID-Dienste auch in anderen EU-Ländern nutzen können, so dass diese grenzüberschreitend in der EU arbeiten und dabei den gleichen rechtlichen Status besitzen, wie entsprechendes Papier basierte Umsetzungen. So wäre ein möglicher Use Case, dass sich eine Student aus Österreich der gerade an einer Universität in Deutschland studiert und somit in Deutschland lebt, seinen österreichischen eID-Dienst nutzt, um sich an einer spanischen Universität für eine Auslandsstudienplatz zu bewerben.

eIDAS und deutsche eID-Systeme

Das EU-Parlament verabschiedete mit eindeutiger Mehrheit eine einheitliche Vorgabe bezüglich der E-Identifikation, welche die Konformität beim Einsatz von elektronischen Signaturen bzw. entsprechenden Systemen zur Identifikation erhöhen und damit vereinfachen sollen.

Gegenseitiges anerkennen von eID-Systemen europaweit

Ziel ist es, Unternehmen, staatlichen Einrichtungen und EU-Bürgern die Möglichkeit zu geben, Dokumente elektronisch mit europaweiter Geltung zu signieren und zu zertifizieren. Hierzu ist es nötig, dass die EU-Mitgliedsländer gegenseitig ihre eID-Systeme anerkennen, ihnen gegenseitig Vertrauen schenken.

Die eID-Funktion als Vorbild für Europa bezüglich der pseudonymen Nutzung von Diensten

So existieren in Europa bereits verschiedenen eID-Mechanismen bzw. Vertrauensdienste allgemein, wie z. B. in Österreich, Estland, Spanien, Deutschland u. a.. In Deutschland sind dies beispielsweise die Online-Ausweisfunktion des Personalausweises bzw. der De-Mail-Dienst. Wobei der Personalausweis sogar die pseudonyme Anmeldung bei einem entsprechenden Dienst unterstützt. Speziell das pseudonyme Anmelden und Nutzen von Diensten wurde nun auf EU-Ebene übernommen.

Zukünftige Zertifizierung von Vertrauensdiensten in Europa bzw. Drittländern

So ist für die Zukunft geplant, dass sich relevante eID-System bei der EU-Kommission registrieren und folgend auf Eignung geprüft werden. Falls sie als hinreichend sicher bewertet werden, gelten diese Dienste als ausreichend qualifiziert, um sicher und vertrauenswürdige Kommunikation bzw. Interaktionen mit weiteren Beteiligten in anderen EU-Staaten zu gewährleisten. Mögliche Qualifizierungen von Dienstangeboten aus Drittländern sollen nur dann erfolgen, wenn diese von einer übergeordneten internationalen Einigung bzw. Vereinbarung zwischen der EU und dem jeweiligen Drittland gestützt und abgesichert sind. Allerdings besteht eine Akzeptanzpflicht für elektronischen Identifier ausschließlich für Mechanismen, deren Sicherungsniveau zur Identitätsabbildung dem Sicherheitsgrad entspricht bzw. der Sicherheitsgrad höher ist, welchen der Online-Dienst erfordert. Weiterhin sind diese Anforderungen nur relevant, wenn die jeweilige verantwortliche öffentliche Organisation den Online-Zugang zu dem entsprechenden Online-Dienst mit dem Sicherheitsniveau „substanziell“ oder „hoch“ eingestuft hat. Allerdings sollen EU-Mitgliedstaaten die Möglichkeit gegeben werden, eID-Mechanismen mit geringerem Sicherheitsniveau anzuerkennen.

Die jeweiligen Dienste, sprich die Vertrauensdienste, müssen dabei die entsprechenden Vorgaben und Anforderungen der allgemeinen Datenschutz-Richtlinien in Bezug auf Sicherheit und Vertrauen erfüllen. Ebenso wurde die Nutzung von Pseudonymen verankert und damit das Prinzip der Datensparsamkeit verfolgt, da bei Anmeldungen bzw. Authentifizierungsprozessen an Online-Diensten ausschließlich die nötigen Informationen (Attribute eines Nutzers) bzw. Identifizierungsdaten erfasst und verarbeitet werden, die für die Gewährleistung des Zugangs zum Online-Dienst erheblich sind.

Umfang der aktuelle Gesetzesvorlage (eIDAS)

Die aktuelle Gesetzesvorlage zielt auf elektronische Zeitspempel und Siegel, auf Langzeitarchivierung von Informationen sowie die bescheinigte elektronische Dokumentenübersendung bzw. -zustellung ab. Weiterhin eingeschlossen sind Mechanismen und Verfahren zur sicheren Authentifizierung von Webangeboten, speziell Webseiten.

Inkrafttreten von eIDAS

Die Verabschiedung der Verordnung (eIDAS) durch das EU-Parlament und den Rat sowie die damit verbundene Veröffentlichung im Official Journal, erfolgt zeitnah und tritt 20 Tagen später in Kraft.

Somit soll die Regeln von Anfang Juli 2016 an gelten. Allerdings ist es EU-Mitgliedsstaaten schon ein Jahr zuvor möglich, sich dem geplanten System zur gegenseitigen Anerkennung anschließen. Der späteste Zeitpunkt dafür ist der 01.07.2018. Da der Verordnungsentwurf (eIDAS) bereits mit dem Rat kommuniziert und abgestimmt wurde, steht nur noch eine offizielle Zustimmung durch das Ministergremium in einer Plenarsitzung aus, wodurch die aktuelle Signatur-Richtlinie aus dem Jahr 1999 anschließend abgelöst wird.

(Quelle: http://ec.europa.eu/digital-agenda/trust-services-and-eid)

Dieser Beitrag wurde unter Allgemein, eID-Anwendung, eID-Infrastruktur, eID-Komponenten, eID-Services, eID-System abgelegt und mit , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar