Drei Thesen zur eIDAS-Novelle

Headergrafik-eIDAS-Novelle

Die Europäische Kommission präsentiert mit ihrem Vorschlag zur Novellierung der eIDAS-Verordnung ein ehrgeiziges und zukunftsorientiertes Programm. Die wichtigsten Vorteile gibt es hier im Überblick.

So machen digitale Identitäten und Vertrauensdienste Europa digitaler

Regulierung als Fortschrittsbremse? Im Falle der eIDAS-Verordnung greift dieses Narrativ auf keinen Fall. Denn mit ihr schuf die Europäische Union schon 2014 das Instrumentarium für einen nachhaltigen Digitalisierungsschub in der EU. Bürger, Wirtschaft und Verwaltung gleichermaßen können von „electronic Identification, Authentication and trust Services“ (eIDAS) profitieren. Insbesondere, weil sichere digitale Identitäten sowie Vertrauensdienste komplett digitale Transaktionen und Workflows ermöglichen.

Ein Blick in die Praxis zeigt, dass eIDAS bereits wirkt: Qualifizierte Website-Zertifikate (QWACs) bringen Europa einen großen Schritt näher in Richtung Open Banking. Und dank der qualifizierten elektronischen Signatur können deutsche Ärzte bald wichtige Dokumente medienbruchfrei am PC bearbeiten. Doch obwohl gerade die vergangenen anderthalb Jahre einen enormen Bedarf nach mehr eIDAS-Vertrauensdiensten offenlegten, ist die Verordnung noch nicht flächendeckend umgesetzt.

Auch deshalb hat die Europäische Kommission einen Entwurf zur Novellierung ihrer Verordnung (EU) Nr. 910/2014 erarbeitet. Und dieser sieht neben neuen Regelungen zu Vertrauensdiensten die Einführung einer europäischen digitalen Identität vor. So soll jeder EU-Mitgliedsstaat natürlichen und juristischen Personen bis Ende 2023 eine sogenannte EUid-Brieftasche (European Digital Identity Wallet) zur Verfügung stellen. Diese soll wichtige Nachweise auf dem Smartphone bündeln und grenzüberschreitend nutzbar werden. Ohne Frage: Die Vorschläge der Kommission sind ambitioniert. Ihre Bedeutung für den europäischen Vertrauensraum wäre immens.

These 1: Die eIDAS-Novellierung würde die digitale Souveränität der Europäischen Union festigen

Die „digitale Souveränität“ dürfte in den kommenden Jahren zu einem Schlüsselbegriff werden. Das Prinzip: Eine Gesellschaft soll von den Vorteilen der Digitalisierung profitieren, dabei jedoch immer selbstbestimmt bleiben.

Dr. Kim Nguyen, Geschäftsführer der D-TRUST GmbH
Digitale Souveränität beginnt bei den digitalen Identitäten
Dr. Kim Nguyen, Geschäftsführer von D-Trust GmbH, dem Vertrauensdiensteanbieter der Bundesdruckerei-Gruppe

Aktuell bekommen die EU-Bürger diese Identitäten allerdings von den Unternehmen, bei denen sie online Dienstleistungen buchen, oder – über Single Sign-ons – von den großen amerikanischen Tech-Konzernen. Die im Novellierungsvorschlag eingeführte EUid-Brieftasche soll mit derlei Abhängigkeiten aufräumen. Das Konzept: Die Wallet bringt wichtige Dokumente wie den Personalausweis oder den Führerschein aufs Smartphone. Mit ihnen können sich Bürger dann online identifizieren und authentifizieren. Das heißt auch: Alle personenbezogenen Daten sind nur in einer sicheren Umgebung auf dem Smartphone gespeichert, die Bürger behalten also jederzeit die Kontrolle über sie.

Stärkung des Vertrauensraums gleich Stärkung der digitalen Souveränität

Die Verwaltung sowie viele Sektoren der Privatwirtschaft müssen laut dem Vorschlag der Kommission eine Identifizierung und Authentifizierung mittels der EUid-Brieftasche anbieten. Diese Verpflichtung ist für Nguyen von zentraler Bedeutung: „Die eIDAS-Verordnung hat einen gemeinsamen Vertrauensraum geschaffen – die Basis für eine digital souveräne EU. Dieser Vertrauensraum würde durch die EUid automatisch eine größere Rolle spielen – weil man ihn nutzen muss.“ Allerdings weist Nguyen auch darauf hin, dass es für Sicherheit und Vertrauen in den europäischen Wallets vor allem eine verlässliche Kernidentität als Anker brauche. „Die Brieftasche sollte auf einer Ableitung der hoheitlichen Identität eines Mitgliedsstaats basieren“, so der D-Trust-Geschäftsführer. „Deutschland hat hier mit der Smart-eID bereits die richtige Technologie.“

These 2: Die eIDAS-Novellierung würde die Akzeptanz hoheitlicher digitaler Identitäten fördern

Das liegt allein schon an der Schwerfälligkeit der aktuell dominierenden digitalen Identitäten – die Nutzername-Passwort-Kombinationen. „Wenn wir online eine neue Dienstleistung buchen, kommt zunächst der leidige Prozess der Registrierung“, sagt Nguyen. „Und wenn wir uns dann Wochen später wieder einloggen wollen, klicken die meisten von uns wahrscheinlich direkt auf ‚Passwort vergessen‘ – die Registrierung beginnt dann eigentlich von vorn.“ Mit einer Wallet-Lösung würden solche Abläufe der Vergangenheit angehören.

Privatwirtschaft kann breite Nutzung fördern

Nicht minder essenziell für eine breite gesellschaftliche Akzeptanz der Lösung ist die im Kommissionsentwurf vorgesehene Verpflichtung vieler Unternehmen, die EUid-Brieftasche als Identifizierungs- und Authentifizierungsmöglichkeit einzubinden. „Die Erfahrungen mit dem Online-Personalausweis zeigen: Die Angebote, die es im öffentlichen Bereich gibt, sind praktisch und werden durchaus genutzt“, erklärt Nguyen. „Allerdings ist die Frequenz der Nutzung natürlich sehr niedrig. Nachhaltig kann eine hoheitliche Identität nur wirken, wenn sie in den privaten Sektor Einzug hält. Mit dem interagieren Bürger nämlich weitaus öfter.“

Tatsächlich profitieren Unternehmen und Behörden selbst von einer hoheitlichen Wallet. „Zum Beispiel, weil eine langwierige Identifizierung entfällt“, so Nguyen. Er verweist auf den Bankensektor: „Will ein Neukunde ein Konto eröffnen, beginnt erst einmal ein umfangreicher KYC-Prozess. Das wäre mit der Wallet überhaupt nicht mehr notwendig, weil sofort eine sorgfältig geprüfte Identität vorliegen würde.“ Auch die europaweite Nutzbarkeit der EUid dürfte lukrativ sein. So könnte ein Serviceanbieter problemlos jeden EU-Bürger identifizieren – und dadurch neue Kunden erschließen. Darüber hinaus verringert die dezentrale Speicherung personenbezogener Daten auf dem Smartphone das Risiko von Datendiebstahl und DSGVO-Verstößen.  

Jedoch sollen gemäß der eIDAS-Novellierung Unternehmen nicht nur die Wallets von Verbrauchern in ihre Services integrieren, sondern auch selbst welche erhalten. „Das ist folgerichtig, schließlich finden digitale Prozesse zu einem großen Teil zwischen juristischen Personen statt“, so Nguyen. Im Kontakt mit Behörden wäre ein einfacher Identifizierungsprozess eine enorme Erleichterung. Ebenso ist es derzeit eine erhebliche Herausforderung, juristische Personen grenzüberschreitend zu validieren. Zu groß sind die Unterschiede im nationalen Recht. Die EUid-Brieftasche könnte hier Abhilfe schaffen, zum Türöffner für Unternehmen werden.

These 3: Die eIDAS-Novellierung würde Vertrauensdienste nachhaltig stärken

Es gibt Novellierungen, in denen sinnbildlich kein Stein auf dem anderen bleibt. Bei der Revision der eIDAS-Verordnung ist das gerade mit Blick auf die Vertrauensdienste komplett anders. „Die Europäische Kommission bekennt sich in ihrem Entwurf ganz klar zu den Trustcenter-Services“, hält Nguyen fest.

Nutzerfreundliche Visualisierung von QWACs

Das zeigt allem voran die Vorgabe, dass Browser qualifizierte Website-Zertifikate (QWACs) nutzerfreundlich anzeigen sollen. Eine Maßnahme, die ganz im Sinne des Daten- und Verbraucherschutzes ist und Transparenz schafft. Nguyen sieht darin auch einen großen politischen Schritt. „Die Kommission hat sich hier bewusst gegen die Marktmacht der nichteuropäischen Digitalkonzerne gewandt, die ja ihre eigenen Ökosysteme haben“, so der D-Trust-Geschäftsführer. „Es reicht eben nicht, wenn der Nutzer im Browser nur sieht, dass eine Verbindung verschlüsselt ist. Verschlüsselt heißt nicht zwangsläufig sicher – da braucht es mehr Differenzierungsmerkmale, gerade was die Identität des digitalen Gegenübers angeht. Bei einem QWAC erkennt jeder: Der Website-Inhaber ist durch einen strengen öffentlichen Prüfprozess gegangen.“

Neue eIDAS-Vertrauensdienste

Das Bekenntnis der Kommission zu Vertrauensdiensten manifestiert sich auch in der vorgeschlagenen Einführung neuer Tools. Zu ihnen zählen qualifizierte elektronische Archivierungsdienste, elektronische Vorgangsregister sowie elektronische Attributsbestätigungen. Letztere sind für Nguyen besonders interessant und fast genauso wichtig wie die Bestätigung von Identitäten. „Mit ihrer digitalen Identität weisen Menschen nach, wer sie sind. Aber in vielen Prozessen ist es doch viel spannender, ob ein Mensch in einer bestimmten Rolle agiert. Vertritt er rechtsverbindlich eine Firma? Ist er vielleicht sogar Geschäftsführer? Ist er Mitglied in einem Verband? Solche Aussagen wären über eine Attributsbestätigung möglich.“

Dieses Video wird über den Youtube-Kanal der Bundesdruckerei bereitgestellt. Weitere Informationen entnehmen Sie der Datenschutzerklärung.

In diesem Video erklärt Expertin für Trusted Services Elisabeth Grießl, welche Aufgaben Vertrauensdiensteanbieter haben und welche digitalen Werkzeuge ihnen zur Verfügung stehen.

Einheitlichere Zertifizierung von Vertrauensdiensteanbietern

Ob neu oder bewährt: Im Grunde sind Vertrauensdienste immer nur so gut wie die qualifizierten Vertrauensdiensteanbieter (qVDA) dahinter. Und tatsächlich schwankt deren Qualität derzeit noch zu stark von Mitgliedsstaat zu Mitgliedsstaat. Es gibt zu große Unterschiede beim Vorgehen der Prüfstellen. Und auch die Aufsichtsstellen reglementieren die Prüfstellen nicht einheitlich. „Das führt dazu, dass bestimmte Technologien in einigen Staaten zugelassen sind, obwohl sie in Deutschland keinesfalls eIDAS-konform wären“, erklärt Nguyen. Das Problem: Diese Technologien dürfte man in Deutschland trotzdem anbieten, was zu einer Marktverzerrung führt. Daher plädiert die Kommission in ihrem Entwurf zur eIDAS-Novellierung dafür, mittels Durchführungsrechtsakten die Anforderungen an die Zertifizierung von qVDA stärker zu harmonisieren. „Eine wichtige Maßnahme, sofern man sich auf einen Mindeststandard einigt“, so Nguyen.

Engere Verknüpfung von digitaler Identität und Vertrauensdiensten

Tatsächlich verspricht der Novellierungsentwurf der Kommission auch eine stärkere Verknüpfung der beiden eIDAS-Grundpfeiler digitale Identität und Vertrauensdienste. So soll die EUid-Brieftasche neben Nachweisen eine elektronische Signatur beinhalten. „Wenn ich in der Wallet eine von einem qVDA geprüfte Identität habe, kann ich diese eigentlich direkt für eine qualifizierte elektronische Signatur einsetzen.“ Die für die Signaturen oft aufwendige Identitätsprüfung würde dann entfallen. Außerdem wäre es möglich, nachweisspezifische Unterschriften einzubinden. Dadurch könnte eine natürliche Person als Angehöriger einer Berufsgruppe oder gar im Auftrag des Arbeitgebers signieren.

Noch müssen das EU-Parlament und der Rat der Europäischen Union über den Vorschlag der Kommission abstimmen. Und selbstverständlich bedürfen viele Punkte noch einer Ausgestaltung. Auf die Fortschrittsbremse würden die beiden Institutionen mit einem positiven Votum aber auf keinen Fall treten.

Der Entwurf der EU-Kommission ist ein großer politischer Schritt, der bekräftigt, dass der europäische Vertrauensraum ein politisches Schwergewicht ist.
Dr. Kim Nguyen, Geschäftsführer der D-Trust GmbH
Expertentipp-neue-eIDAS-Verordnung
Expertentipp-neue-eIDAS-Verordnung
E-Government

Die EUid: viele Vorteile und noch mehr Herausforderungen?

Digitale Identitäten

Anreize für sichere Daten in Krankenhäusern

Die Bundesregierung stellt Milliarden für die Digitalisierung deutscher Krankenhäuser bereit. Doch die Förderung ist an Bedingungen geknüpft: Wer Geld will, muss in die IT-Sicherheit investieren.

E-Government

eIDAS-Werkzeuge unterstützen digitales Arbeiten

Behörden und Unternehmen müssen auch in Krisensituationen voll funktionsfähig bleiben. Die digitalen eIDAS-Werkzeuge – schon seit 2016 greift die entsprechende Verordnung – helfen dabei. Derzeit wird die Verordnung evaluiert.