Sprache:
Europaflaggen an Fahnenmasten vor einem Gebäude

Die eIDAS-Verordnung: Grundlagen und Ziele

Veröffentlicht am 22.11.2023

Vertrauen ist ein hohes Gut in der digitalen Welt. Schließlich möchte man auch online genau wissen, mit wem man Geschäfte abschließt oder sensible Daten austauscht. Die eIDAS-Verordnung der Europäischen Union stärkt das Vertrauen in elektronische Interaktionen. Davon profitieren nicht nur die Bürger und Bürgerinnen, sondern alle Staaten des europäischen digitalen Binnenmarkts. Alles Wichtige zur eIDAS-Verordnung – und wie sie die digitale Zukunft Europas mitgestaltet – im Überblick.

Eine kurze Einführung in die eIDAS-Verordnung

Die digitale Transformation hat längst Geschäftsmodelle, Arbeitsweisen und Prozesse erfasst und grundlegend verändert – von Online-Bankgeschäften über E-Government bis zur elektronischen Unterschrift auf der Geheimhaltungsvereinbarung. Und wie in der „echten Welt“ spielt Vertrauen auch beim digitalen Austausch mit Geschäftspartnern, Kunden oder Behörden eine entscheidende Rolle.

Schon im September 2014 erließ die Europäische Union einen einheitlichen rechtlichen Rahmen für vertrauenswürdige elektronische Interaktionen, der knapp zwei Jahre später formale Gültigkeit erlangte: die sogenannte eIDAS-Verordnung. eIDAS steht für „electronic IDentification, Authentication and Trust Services“. Sie schafft Vorgaben für den elektronischen Identitätsnachweis und definiert sogenannte Vertrauensdienste, die Prozesse wie die handschriftliche Unterschrift oder das Siegeln in die digitale Welt bringen. Mit diesem Fokus löste die eIDAS-Verordnung dann auch die EU-Signaturrichtlinie (1999/93/EG) ab. Während deren Komplexität den Durchbruch digitaler Unterschriften paradoxerweise verhinderte, steht bei der eIDAS-Verordnung die Anwenderfreundlichkeit im Vordergrund.

Ziele und Anwendungsbereiche der eIDAS-Verordnung

Hinter der eIDAS-Verordnung stecken zwei Ziele. Erstens sollen elektronische Geschäfts- und Behördenprozesse erleichtert werden – schließlich profitieren alle in der EU von der Schnelligkeit und Effizienz der Digitalisierung. Zweitens müssen jene Geschäfts- und Behördenprozesse mindestens so sicher sein wie ihre analogen Pendants. Deshalb schafft die eIDAS-Verordnung einen digitalen Vertrauensraum. Einen Vertrauensraum, in dem niemand Zweifel haben muss, ob die Person oder Institution am anderen Ende auch wirklich die ist, die sie zu sein vorgibt. Ganz einfach, weil alle Transaktionsteilnehmenden ihre Identität belegen.

Personalausweis auf einem Laptop Bildschirm

Die Grafik illustriert einen Personalausweis auf dem Bildschirm eines Laptops.

Dafür tragen zum einen eIDAS-notifizierte elektronische Identifizierungsmittel Sorge, zu denen hierzulande der Personalausweis, der elektronische Aufenthaltstitel und die Unionsbürgerkarte mit ihrer Online-Ausweisfunktion (eID) gehören. Mit ihnen kann sich jeder und jede europaweit für Behördendienstleistungen online ausweisen. Zum anderen kommen Vertrauensdienste wie elektronische Signaturen und Siegel oder Zertifikate zum Einsatz, die Identitäten auf Dokumenten oder Websites bestätigen.

 

Die rechtliche Grundlage und Gültigkeit der eIDAS-Verordnung

Die eIDAS-Verordnung enthält verbindliche und europaweit geltende Regelungen für jene elektronischen Identifizierungsmittel und Vertrauensdienste. Als EU-Verordnung ist sie seit Juli 2016 unmittelbar geltendes Recht in allen 27 EU-Mitgliedsstaaten sowie im Europäischen Wirtschaftsraum (EWR).

Nationale Regelungen flankieren die eIDAS-Verordnung:

  • Das deutsche eIDAS-Durchführungsgesetz trat am 29. Juli 2017 in Kraft. Zugunsten der elektronischen Identifizierung mittels eID wurde eine Änderung des Personalausweisgesetzes und der Personalausweisverordnung vorgenommen.
  • Das Herzstück des Regelwerks ist allerdings das Vertrauensdienstegesetz (VDG) es schickte das in die Jahre gekommene Signaturgesetz (SigG) in Rente.
  • Ende Februar 2019 folgte zudem eine Präzisierung in der Vertrauensdiensteverordnung (VDV). Zentrale Neuerungen hier betreffen die Beweiskraft elektronischer Signaturen, etwa vor Gericht. Die qualifizierte elektronische Signatur wurde dabei mit der handschriftlichen Variante komplett gleichgestellt – dazu später mehr.    

Vertrauensdienste: Definition und Rolle in der eIDAS-Verordnung

Die Definition von Vertrauensdiensten ist meist abstrakt gehalten: Sie bilden die Grundlage für einen Vertrauensraum in der digitalen Welt, in dem Interaktionen zwischen Unternehmen, Verwaltungen sowie Bürgern und Bürgerinnen in einem sicheren Rahmen stattfinden können. Das Bundesministerium für Wirtschaft und Klimaschutz (BMWK) geht einen Schritt weiter und erläutert, wie sie ihrer Funktion gerecht werden, nämlich „indem durch entsprechende Zertifikate die Identität der im Internet beziehungsweise im elektronischen Geschäftsverkehr auftretenden Personen sichergestellt wird“.

Arten von eIDAS-Vertrauensdiensten

Das höchste Vertrauensniveau und damit die höchste Beweiskraft gewährleisten Vertrauensdienste mit dem Prädikat „qualifiziert“. Zu den zentralen unter ihnen gehören:

Qualifizierte elektronische Signaturen (QES), die im digitalen Raum die handschriftliche Unterschrift einer natürlichen Person ersetzen.

Qualifizierte elektronische Siegel (QSiegel), die an juristische Personen – Unternehmen, Behörden und andere Institutionen – gebunden sind und Siegel sowie Stempel digitalisieren.

Qualifizierte elektronische Zeitstempel, die Datum und Uhrzeit einer Dokumentenerstellung festhalten und zudem als Integritätsschutz dienen, das heißt, sie zeigen, dass ein Dokument nach dem festgehaltenen Zeitpunkt nicht mehr verändert wurde – und zwar unabhängig davon, ob das Dokument beim Eingang in die Organisation oder beim Ausgang zu einem Empfänger erstellt wurde.

Qualifizierte Zertifikate für die Website-Authentifizierung (QWACs), mit denen die Inhaber einer Website ihre Identität nachweisen. QWACs entsprechen EV-TLS-Zertifikaten, sozusagen die höchste Güteklasse von Website-Zertifikaten. Im Rahmen der europäischen Zahlungsdiensterichtlinie PSD2 sichern sie zum Beispiel die Kommunikation zwischen Banken und Zahlungsdiensteanbietern ab.

Weniger verbreitet, aber fester Bestandteil der eIDAS-Verordnung sind die folgenden Vertrauensdienste:

  • qualifizierte Dienste für die Zustellung elektronischer Einschreiben;
  • qualifizierte Validierungsdienste, mit denen sich die Gültigkeiten der QES, von QSiegeln und qualifizierten Zeitstempeln prüfen lassen;
  • qualifizierte Bewahrungsdienste, die dafür sorgen, dass die Beweiskraft qualifiziert elektronisch signierter oder gesiegelter Dokumente langfristig erhalten bleibt.

     

Die Rolle qualifizierter Vertrauensdiensteanbieter

Digitale Dienste mit der Aufgabe, Vertrauen im digitalen Raum zu schaffen, sollten nur von vertrauenswürdigen Instanzen ausgegeben werden. Deshalb etablierte die eIDAS-Verordnung den qualifizierten Vertrauensdiensteanbieter (qVDA). Das VDG regelt die Zulassung in Deutschland. Unternehmen, die die Bezeichnung qVDA führen möchten, müssen sich und ihre Produkte von der Bundesnetzagentur (BNetzA) qualifizieren lassen. Zu diesem Zweck prüft der TÜV, ob ein Unternehmen die nötigen Standards, etwa Sicherheits- und Datenschutzbestimmungen, erfüllt. Seinen Bericht reicht er an die BNetzA weiter.

Sind die Kriterien erfüllt und die BNetzA bestätigt die Zertifizierung, darf sich das Unternehmen hierzulande als qualifizierter Vertrauensdiensteanbieter bezeichnen. Es erhält zudem einen Eintrag in die deutsche Vertrauensliste der BNetzA, die Teil eines gesamteuropäischen Vertrauenslistenverzeichnisses ist. Ausruhen kann sich ein qVDA auf seinem Titel indes nicht. Wie beim Auto auch wiederholen der TÜV oder andere unabhängige Stellen die Prüfung regelmäßig und bewerten die Konformität zur eIDAS-Verordnung. Zu den wenigen qualifizierten deutschen Vertrauensdiensteanbietern zählt seit 2016 die D-Trust GmbH, ein Unternehmen der Bundesdruckerei-Gruppe.

Elektronische Signatur: ein Kernelement von eIDAS

Da die eIDAS-Verordnung als unmittelbare Nachfolgerin der Signaturrichtlinie gilt, wird sie in der öffentlichen Wahrnehmung mitunter auf die digitale Unterschrift reduziert. Obwohl das zu kurz greift, lässt sich die herausgehobene Stellung der elektronischen Signatur nicht abstreiten. Sie zu stärken, war ohne Frage eine Kernmotivation hinter eIDAS. Aus gutem Grund: In vielen Unternehmen und Behörden verhindern Medienbrüche noch immer durchgängig digitale Workflows und Arbeitsprozesse. Am Computer erstellte Dokumente werden ausgedruckt, händisch unterzeichnet und wieder eingescannt. Das treibt nicht nur Kosten in die Höhe und verschwendet Ressourcen, sondern hemmt auch die Digitalisierung in der Organisation insgesamt. Der Einsatz von elektronischen Signaturen gehört daher zu den wichtigsten Digitalisierungsbeschleunigern.

Das qualifizierte elektronische Siegel

Während die qualifizierte elektronische Signatur auf Dokumenten auf höchstem Niveau die Identität natürlicher Personen belegt, ersetzt das qualifizierte elektronische Siegel den altbekannten Unternehmensstempel. In der Verwaltung kann das elektronische Siegel als digitales Pendant des Behördensiegels zum Einsatz kommen. Die Novelle zum Onlinezugangsgesetz (OZG 2.0) sieht das QSiegel auch explizit für E-Government-Leistungen vor.

Umsetzungsformen von QES und QSiegeln

Nutzen lassen sich qualifizierte elektronische Signaturen und Siegel über zwei Kategorien von Produkten:

Signatur- bzw. Siegelkarten sind der Klassiker. Die Karten enthalten qualifizierte Zertifikate und sind an die Nutzung mit einem Lesegerät gebunden. Der zweite Faktor zur Authentifizierung ist eine PIN.

Fernsignatur bzw. Fernsiegel: Hier erfolgt das Auslösen der Signatur nach einer Zwei-Faktor-Authentifizierung rein webbasiert, zum Beispiel von einem Mobiltelefon aus oder innerhalb organisationseigener Fachanwendungen.

Elektronische Identifizierung gemäß eIDAS: EU-weiter Identitätsnachweis

eIDAS hat Vertrauensdienste inklusive deren Anbieter etabliert und definiert Rahmenbedingungen für die grenzüberschreitende elektronische Identifizierung. Wer in den EU-Mitgliedsstaaten etwa in einer digitalen Verwaltung Leistungen beantragen möchte, muss sich eindeutig identifizieren. In Deutschland wurde für solche Fälle die Online-Ausweisfunktion beziehungsweise eID-Funktion des Personalausweises, der Unionsbürgerkarte oder des elektronischen Aufenthaltstitels entwickelt.

Die eID kann in Deutschland zudem in der Privatwirtschaft genutzt werden – etwa zur Kontoeröffnung bei der Bank, beim Abschließen von Versicherungen, beim Zugang zur Patientenakte oder bei der Aktivierung einer SIM-Karte fürs Telefon. Neben der Vertrauenswürdigkeit bringt die eID zudem einen echten Usability-Vorteil mit sich: Bürger und Bürgerinnen müssen nur ihr Ausweisdokument an ein Smartphone halten und ihre selbstgesetzte PIN eingeben. Bei den Serviceanbietern wiederum landen die ausgelesenen Daten automatisch im System – ohne dass Personal das Dokument vorher prüfen muss.

Seit dem Jahr 2018 verpflichtet Brüssel die einzelnen Staaten zur gegenseitigen Anerkennung der nationalen eID-Systeme. Voraussetzung dafür ist die sogenannte Notifizierung des jeweiligen eID-Systems bei der Europäischen Kommission. Während die Notifizierung auf freiwilliger Basis erfolgt, ist die Anerkennung notifizierter eIDs in Verwaltungsverfahren verpflichtend.

Drei Hände halten einen Personalausweis, eine Unionsbürgerkarte und einen elektronischer Aufenthaltstitel

Die Grafik illustriert den Personalausweis, die Unionsbürgerkarte und den elektronischen Aufenthaltstitel.

eIDAS-Vertrauensniveaus

Bei der Notifizierung der Identifizierungsmittel können die Mitgliedsstaaten verschiedene Vertrauensniveaus vergeben. Das System, das eIDAS vorgibt, ist denkbar einfach zu merken: Das niedrigste Vertrauensniveau heißt „niedrig“, das höchste „hoch“. Dazwischen rangiert „substanziell“. Deutschlands Online-Ausweisfunktion des Personalausweises erfüllt das Niveau „hoch“. Das heißt auch: Überall dort, wo die Mitgliedsstaaten eine elektronische Identifizierung auf dem Niveau „hoch“ oder niedriger vorschreiben, könnten Deutsche ihren Online-Ausweis benutzen – zum Beispiel, um im Ausland ein Gewerbe anzumelden.

eIDAS: Grundlage für einen europäischen digitalen Binnenmarkt

Wichtig sind die elektronische Identifizierung und die Vertrauensdienste vor allem für die Verwirklichung eines gemeinsamen europäischen digitalen Binnenmarkts. Wie kaum ein anderes Land profitiert Deutschland vom wirtschaftlichen Zusammenwachsen Europas, knapp 60 Prozent der deutschen Ausfuhren gehen in EU-Staaten. Ein digitaler Binnenmarkt stärkt die Wettbewerbsfähigkeit europäischer Unternehmen und garantiert, dass sie Produkte und Dienstleistungen nach gemeinsamen Regeln und Standards innerhalb der EU anbieten können. Die Verbraucher und Verbraucherinnen wiederum profitieren von Kosteneinsparungen und einem größeren Angebot.

Mehr Rechtssicherheit im digitalen Handel

Indem sie den rechtlichen und organisatorischen Rahmen für die elektronische Identifizierung sowie die Verwendung von Vertrauensdiensten vorgibt, schafft die eIDAS-Verordnung die Grundlage für mehr grenzüberschreitende Interaktionen. Die Verordnung harmonisiert nationale Einzelmärkte und ermöglicht auch eine europaweite digitale Verwaltung. Laut einer Studie des Forschungsdiensts des EU-Parlaments aus dem Jahr 2023 könnte allein mehr digitale Integration die Wirtschaftsleistung der Union in den nächsten zehn Jahren um 384 Milliarden Euro steigern.

Für diesen Durchbruch müssten Signaturen, Siegel und Co. aber auch stärker Berücksichtigung in nationaler Gesetzgebung finden. So fordert es zum Beispiel Christian Seegebarth von der D-Trust GmbH. „Wann immer Authentisierung und Identifizierung eine Rolle spielen, müsste es im Gesetz sinngemäß heißen: ‚Für diese Zwecke sind eIDAS-Vertrauensdienste einzubinden‘“, so Seegebarth. Und der Nationale Normenkontrollrat scheint diese Forderung in seinem „Monitor Digitale Verwaltung #6“ von 2021 zu teilen, wenn er anregt, Gesetze auf ihre Digitaltauglichkeit zu überprüfen.

eIDAS 2.0: Wie sieht die digitale Zukunft Europas aus?

Die Europäische Kommission arbeitet derweil längst an den nächsten Schritten. Im Juni 2021 legte sie einen Entwurf zur Novellierung der eIDAS-Verordnung vor. Die eIDAS 2.0 ist aber mehr als eine reine Überarbeitung der Regelungen zu Vertrauensdiensten. Es ist davon auszugehen, dass das Gesetzgebungsverfahren Ende 2023 abgeschlossen wird.

Mann steht in einer rasenden Menschenmasse

Das Bild zeigt einen Mann steht inmitten einer wirbelnden Menschenmenge.

eIDAS 2.0 und die Einführung der EUDI-Wallet

Die Novellierung sieht die verpflichtende Einführung einer europäischen digitalen Identität vor: Jeder EU-Mitgliedsstaat soll natürlichen und juristischen Personen künftig eine sogenannte EUDI-Wallet zur Verfügung stellen, die neben der PID (Person Identification Data) andere Berechtigungsnachweise wie z. B. den Führerschein auf dem Smartphone bündelt. Sie muss grenzüberschreitend einsetzbar sein, was auch eine Reaktion darauf ist, dass viele Mitgliedsstaaten noch immer keine eID eingeführt haben.

Der Vorteil der EUDI-Wallet: Alle personenbezogenen Daten sollen in einer sicheren Umgebung auf dem Smartphone gespeichert werden. Die komplette Kontrolle über sie bleibt somit bei den Bürgern und Bürgerinnen. Zudem soll die Wallet-Lösung die Nutzung von Online-Dienstleistungen erleichtern.

Darüber hinaus soll es möglich werden, juristische Identitäten mit einer Wallet abzubilden.  Auch bestimmte Diensteanbieter sollen die Wallet zudem als Identifizierungsmöglichkeit akzeptieren. Zu ihnen gehören etwa Banken, Post- und Telekommunikationsdienstleister, aber auch Verkehrs- sowie Energieunternehmen, denn digitale Prozesse finden gerade zu einem großen Teil zwischen juristischen Personen statt.

Neue Vertrauensdienste

Bei der Überarbeitung der Regelungen für Vertrauensdienste wird die Nutzerfreundlichkeit einmal mehr in den Fokus gerückt. Außerdem werden neue Vertrauensdienste hinzukommen, wobei die sogenannte qualifizierte elektronische Attestierung von Attributen (QEAA) besonderes Augenmerk verdient hat.

Der Grundgedanke der QEAA ist dabei, dass eine Identität mehr als Vor- und Zuname, Wohnort und Geburtsdatum ist. Auch die Art des Bildungsabschlusses, das Vorliegen einer Fahrerlaubnis oder die Angehörigkeit zu einer Berufsgruppe gehört zum Individuum. Qualifizierte Vertrauensdiensteanbieter sollen derartige Attribute bestätigen können. Inhaber und Inhaberinnen der Wallet können sie dann bei elektronischen Interaktionen nutzen – und so zugleich den digitalen Binnenmarkt weiter ankurbeln.

Zusammenfassung: eIDAS-Verordnung im Überblick

Die eIDAS-Verordnung schafft den rechtlichen Rahmen für eine tiefgreifende digitale Transformation unserer Gesellschaft. Sie etabliert europaweit geltende Regeln, die einen reibungslosen grenzüberschreitenden Einsatz von elektronischen Identifizierungsmitteln und Vertrauensdiensten sicherstellen sollen. Vor allem der Einsatz von elektronischen Signaturen wird durch die eIDAS-Verordnung weiter gefördert.

Insgesamt treibt die Europäische Union mit der Novellierung der eIDAS-Verordnung die Digitalisierung der EU voran: Sichere digitale Identitäten und Vertrauensdienste ermöglichen volldigitale Prozesse und Workflows in vielen Bereichen und Branchen. Mit der eIDAS-Novellierung hat die Europäische Kommission bereits eine Überarbeitung der Verordnung vorgelegt: Sie sieht neben einer Stärkung von bestehenden und dem Einsatz von neuen Vertrauensdiensten auch die verpflichtende Einführung einer sogenannten EUDI-Wallet vor, die wichtige Nachweise auf dem Smartphone bündelt und grenzübergreifend nutzbar sein soll. Am Ende bedeutet das mehr digitalen Spielraum für Bürger und Bürgerinnen sowie Unternehmen. Der europäische Binnenmarkt dürfte davon nachhaltig profitieren.

Die häufigsten Fragen rund um die eIDAS-Verordnung

Die Abkürzung eIDAS steht für „electronic IDentification, Authentication and Trust Services“.

Die eIDAS-Verordnung ist die rechtliche Grundlage für die elektronische Identifizierung und Vertrauensdienste in der EU. Sie unterstützt Unternehmen, Verwaltungen und Bürger bzw. Bürgerinnen dabei, sichere grenzübergreifende elektronische Transaktionen durchzuführen.

Mit der eIDAS-Verordnung werden die Rahmenbedingungen für die grenzüberschreitende Nutzung nationaler elektronischer Identifizierungsmittel – und damit auch für den Einsatz des deutschen Online-Ausweises – geschaffen. Dabei soll die grenzüberschreitende Identifizierung auf Basis der gegenseitigen Anerkennung der nationalen elektronischen Identifizierungsmittel der Mitgliedsstaaten erfolgen.

Dafür können die Mitgliedsstaaten ihre elektronischen Identifizierungsmittel auf freiwilliger Basis bei der EU-Kommission notifizieren. Anschließend müssen alle notifizierten elektronischen Identifizierungsmittel von anderen Mitgliedsstaaten verbindlich anerkannt werden. Der Online-Ausweis ist ein solches notifiziertes eID-Mittel und lässt sich mit dem Personalausweis, dem elektronischen Aufenthaltstitel sowie der Unionsbürgerkarte nutzen.