eIDAS 2.0: Alles Wissenswerte zur neuen Version der EU-Verordnung

Die voranschreitende Digitalisierung bedeutet nicht nur die Entwicklung neuer Technologien und Innovationen, sondern auch, dass sich zugehörige Vorschriften, Gesetze und Regularien EU- und deutschlandweit weiterentwickeln und den aktuellen Bedingungen angepasst werden. Dies ist auch in der Welt der elektronischen Vertrauensdienste zu spüren. Die eIDAS-Verordnung, die die Richtlinien für elektronische Signaturen und andere e-Services festlegt, wurde überarbeitet. Das Ergebnis lautet “eIDAS 2.0”. Wir klären Sie in diesem Artikel darüber auf, worum es sich bei eIDAS 2.0 handelt, welche Änderungen sich dadurch ergeben und was diese für Sie als Unternehmen bedeuten.

Bevor wir uns in die Details über die Änderungen durch eIDAS 2.0 stürzen, sollten wir zunächst einmal klären, worum es sich bei der eIDAS-Verordnung ganz grundsätzlich handelt und warum diese ins Leben gerufen wurde.

Das Akronym eIDAS steht für electronic IDentification, Authentification and trust Services. Es handelt sich hierbei um den europäischen Rechtsrahmen für elektronische Identifizierung und elektronische Vertrauensdienste, der im Juli 2016 in Kraft getreten ist und für alle 27 EU-Mitgliedsstaaten sowie für die Länder des Europäischen Wirtschaftsraums (EWR) verbindlich ist.

Hintergrund der Einführung der EU-Verordnung war die europaweite Vereinheitlichung elektronischer Vertrauensdienste für elektronische Transaktionen im europäischen Binnenmarkt.

Als rechtlicher Rahmen für elektronische Dienste und Identifizierungsmittel setzt die eIDAS-Verordnung technische Standards und regelt in Europa damit die ordnungsgemäße Nutzung elektronischer Signaturen, elektronischer Siegel und elektronischer Zeitstempel.

Möchte man als europäischer Vertrauensdiensteanbieter eine oder mehrere dieser elektronischen Services rechtssicher europaweit vertreiben, so muss man dafür die Anforderungen der eIDAS-Verordnung einhalten. Ist dies der Fall, kann der Vertrauensdiensteanbieter von der EU-Kommission eine eIDAS-Zertifizierung ausgestellt bekommen. Alle zertifizierten Anbieter, darunter auch Yousign, stehen auf der von der Europäischen Kommission geführten European Trusted List (EUTL).

Die Technik entwickelt sich heutzutage in einem rasanten Tempo weiter, weshalb auch die entsprechende Gesetzgebung stetig angepasst werden muss. Dies gilt auch für elektronische Vertrauensdienste und die eIDAS-VO, dessen Ursprungsversion bereits 2014 erarbeitet wurde und 2016 in Kraft getreten ist. Ein Vorschlag für die neue, überarbeitete Version namens eIDAS 2.0 wurde 2021 veröffentlicht und unterscheidet sich in drei wesentlichen Punkten von der ursprünglichen Version:

• Behebung von Schwachstellen,
• Erweiterung der Vertrauensdienste, 
• Einführung der ID-Wallet.

Im Folgenden erläutern wir Ihnen, welche konkreten Änderungen in diesen drei Themengebieten vorgenommen wurden.

Ein wichtiges Ziel, das sich bei der Erstellung des Entwurfs von eIDAS 2.0 gesetzt wurde, war es, die Nutzung elektronischer Vertrauensdienste in Europa noch einheitlicher zu gestalten. Auch wenn es bereits länderübergreifende Normen und Anforderungen gibt, so herrschen in der länderspezifischen Umsetzung trotzdem noch Inkonsistenzen zwischen den einzelnen Mitgliedsstaaten. Diese Diskrepanzen sollen durch eIDAS 2.0 nun ausgeglichen werden. Auf diese Weise sollen elektronische Interaktionen zwischen Unternehmen, Bürger:innen und Behörden vereinfacht, sicherer gemacht und vor Betrug und Identitätsdiebstahl geschützt werden. 

Zusätzlich zur Behebung von Schwachstellen wird im Rahmen von eIDAS 2.0 außerdem die Auswahl der verschiedenen Vertrauensdienste erweitert. In der Ursprungsversion eIDAS 1.0 wurden bislang nur elektronische Signaturen, elektronische Siegel und elektronische Zeitstempel berücksichtigt. Nun kommen mit eIDAS 2 zusätzliche Vertrauensdienste wie elektronische Einschreiben sowie elektronische Zertifikate zur Authentifizierung hinzu. Eine weitere bedeutende Neuerung betrifft die Einführung des Konzepts der "Qualifizierten Vertrauensdiensteanbieter" (Qualified Trust Service Provider, QTSP). Um als QTSP zu gelten, muss ein Anbieter sehr strenge Sicherheitsstandards, die von der Europäischen Union festgelegt wurden, erfüllen. 

Ein sehr bedeutendes neues Element der aktualisierten Version der EU-Verordnung ist die geplante Einführung einer digitalen Brieftasche, auch ID-Wallet oder EUid-Brieftasche genannt. Hierbei handelt es sich um eine Software, die sich Privatpersonen und Unternehmen auf ihrem Smartphone herunterladen können, um ihre Zertifikate und Nachweise rund um das Thema elektronische Identifizierung und Vertrauensdienste zentral an einem Ort speichern und verwalten zu können. So hat man weniger Dokumente an verschiedenen Orten verteilt, bekommt einen besseren Überblick über die eigenen Daten zur digitalen Identität und kann leichter auf diese zugreifen. Die digitale Brieftasche soll auch mit anderen digitalen Plattformen gut funktionieren und so verhindern, dass man sich bei jedem digitalen Dienst einzeln registrieren muss. Die ID-Wallet soll unter anderem im Verwaltungs- und Bankensektor, bei Reisen (z.B. Hotelbuchungen), bei medizinischer Hilfe oder Alterskontrollen zum Einsatz kommen und den Zugriff auf Online-Dienste sowie die Durchführung elektronischer Transaktionen erleichtern.

Während der endgültige Vorschlag für die eIDAS-Verordnung 2.0 bereits im Juni 2021 veröffentlicht wurde, wird das tatsächliche Inkrafttreten der Richtlinie aller Voraussicht nach erst im September 2023 vonstattengehen. Anschließend müssen die EU-Mitgliedstaaten allen EU-Bürgern, Einwohner:innen und Unternehmen eine digitale Identität (Digital Identity Wallet: DIW) zur Verfügung stellen. Ziel ist es, dass im Jahr 2023 mindestens 80 % der EU-Bürger:innen über ein digitales Identifizierungssystem verfügen, mit dem sie mit Behörden, Verwaltungen, Institutionen und Unternehmen in Kontakt treten und digital interagieren können.

Die Überarbeitung der eIDAS-Richtlinien war aufgrund der fortschreitenden Entwicklung der Technik und der damit einhergehenden Veränderung des Marktes nur eine Frage der Zeit. In vielerlei Hinsicht wird eIDAS 2.0 deshalb als notwendig und richtig erachtet.  

So kann die Sicherheit und Zuverlässigkeit elektronischer Dienste verbessert, das Risiko für Betrug und Identitätsdiebstahl reduziert und der Zugriff auf Online-Dienste durch die eIDAS-VO 2 erleichtert werden.

Die größte Herausforderung wird, wie bei so vielen digitalen Diensten, der Umgang mit Schutzmaßnahmen vor Datenmissbrauch sein. Aus diesem Grund wird von den Verantwortlichen stetig daran gearbeitet, beim Thema Datenschutz strenge Sicherheitsstandards zu fordern.

Als überarbeitete Fassung der ursprünglich im Jahre 2016 in Kraft getretenen Verordnung über elektronische Identifizierung und Vertrauensdienste sorgt eIDAS 2.0 für eine noch weiterführende Vereinheitlichung von elektronischen Transaktionen im europäischen Binnenmarkt. eIDAS 2 wird voraussichtlich Ende 2023 in Kraft treten und damit Inkonsistenzen zwischen den EU-Mitgliedsstaaten beseitigen, die Palette elektronischer Vertrauensdienste um elektronische Einschreiben und elektronische Zertifikate zur Authentifizierung erweitern sowie eine europaweit gültige EUid-Brieftasche einführen. Yousign und Yousigns angebotenen Produkte sind 100 % eIDAS-konform und werden dies auch weiterhin mit den neuen Anforderungen von eIDAS 2.0 sein.

_

Dieses Dokument wird nur zu Informationszwecken zur Verfügung gestellt. Wir übernehmen weder eine Garantie für deren Vollständigkeit noch für deren Aktualität im Hinblick auf die geltenden Vorschriften. Schließlich ist dies kein Ersatz für eine Rechtsberatung.