search
Das Medium für diejenigen, die das Unternehmen neu erfinden
Software anbieten

Der aktuelle Stand der eIDAS-Verordnung, des europäischen Rahmens für elektronische Signaturen

Der aktuelle Stand der eIDAS-Verordnung, des europäischen Rahmens für elektronische Signaturen

Von Samantha Mur

Am 29. Oktober 2024

Die eIDAS-Verordnung, die die Entwicklung der digitalen Nutzung in der Europäischen Gemeinschaft fördern soll, wurde am 23. Juli 2014 vom Europäischen Parlament und dem Rat der Europäischen Union verabschiedet.

Die seit dem 1. Juli 2016 geltende Verordnung schafft eine gemeinsame Grundlage für die Entmaterialisierung und harmonisiert die Regeln für die elektronische Interaktion zwischen allen Mitgliedstaaten. Insbesondere hat sie alle Grauzonen rund um den rechtlichen Wert einer elektronischen Signatur beseitigt.

Welche Anforderungen stellt die europäische eIDAS-Verordnung? Wie können Sie sicherstellen, dass Ihre elektronischen Signaturen den Anforderungen entsprechen? Warum sollten Sie sich an einen Vertrauensdiensteanbieter wenden? Wir entschlüsseln all Ihre Fragen in diesem Artikel!

eIDAS-Verordnung: Definition

Bedeutung von eIDAS

Die eIDAS-Verordnung, die für Electronic Identification And trust Services steht, ist ein Regelwerk über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen innerhalb der Europäischen Gemeinschaft.

Sie betrifft insbesondere öffentliche Stellen und Anbieter von Vertrauensdiensten innerhalb des Binnenmarktes.

Ziele der europäischen Verordnung

Ziel der Verordnung ist es, :

  • Die Entstehung eines digitalen Binnenmarkts fördern, indem das Vertrauen in elektronische Transaktionen innerhalb der EU gestärkt wird ;

  • Standardisierung und Klärung der Regeln für die elektronische Identifizierung (eID) und Vertrauensdienste für alle Mitgliedstaaten ;

  • einen strengen Rechtsrahmen und anspruchsvolle Standards schaffen , die jeder elektronischen Signatur die gleiche Rechtsgültigkeit verleihen wie einer handschriftlichen Unterschrift.

💡Die Richtlinie hebt die Richtlinie 1999/93/EG auf, die von den Mitgliedstaaten unterschiedlich in nationales Recht umgesetzt und technisch implementiert wurde, was die erwartete Entwicklung des grenzüberschreitenden Handels verlangsamte. Außerdem betraf sie nur die elektronische Signatur, während die eIDAS-Verordnung alle Arten der elektronischen Interaktion im weiteren Sinne anspricht.

Anwendungsbereich

Die eIDAS-Verordnung befasst sich mit folgenden Hauptthemen:

  • Interoperabilität und Rechtswirkungen von Vertrauensdiensten wie :
    • die elektronische Signatur,
    • der Zeitstempel,
    • den elektronischen Stempel,
    • das Versenden von elektronischen Einschreiben,
    • die Ausstellung von Zertifikaten zur Authentifizierung von Webseiten ;
  • die Qualifizierung von Vertrauensdiensteanbietern (Trusted Service Providers, TSP) ;
  • die Erstellung von europäischen Vertrauenslisten ("Trust lists"), in denen die ECCPs und qualifizierten Betreiber aufgeführt sind;
  • die Garantieniveaus von eIDs (niedrig, wesentlich und hoch) für die Online-Identifizierung und -Authentifizierung von EU-Bürgern.

Die drei Arten von rechtsgültigen Signaturen nach eIDAS

Die eIDAS-Verordnung stärkt den rechtlichen Wert der elektronischen Signatur. Sie unterscheidet zwei Haupttypen elektronischer Signaturen :

  • Qualifizierte Signaturen auf der einen Seite,
  • und nicht qualifizierte Signaturen auf der anderen Seite (einfache und fortgeschrittene).

Sie haben jeweils spezifische Verwendungszwecke, die man kennen sollte, je nach dem Grad der erforderlichen Zuverlässigkeit und Sicherheit.

Die einfache elektronische Signatur

Die einfache Signatur bietet ein grundlegendes Sicherheitsniveau und garantiert die Integrität des signierten Dokuments. Sie kann weder die Identität der unterzeichnenden Person garantieren, noch zusätzliche Informationen wie Datum und Uhrzeit der Unterzeichnung liefern.

Es ist das am häufigsten verwendete Protokoll, da es schnell und einfach zu implementieren ist.

Die fortgeschrittene elektronische Signatur

Die fortgeschrittene Signatur fügt der einfachen Signatur eine zusätzliche Sicherheitsebene hinzu. Die Daten werden mithilfe einer Technologie verschlüsselt, wodurch sie geschützt werden und ein höheres Maß an Zuverlässigkeit erreicht wird. Dies wird erreicht durch :

  • ein digitales Zertifikat, das mit dem Unterzeichner verbunden ist,
  • ein PAdES-Signaturformat (PDF Advanced Electronic Signatures), das sie identifizierbar und sichtbar macht,
  • Zwei-Faktor-Authentifizierung zur Überprüfung der Identität.

Jede Änderung des Dokuments, die nach der Unterzeichnung vorgenommen wird, wird erkannt, was den Vorgang sehr sicher macht.

Die qualifizierte elektronische Signatur

Die qualifizierte Signatur fügt im Vergleich zur fortgeschrittenen Signatur neue Sicherheitselemente hinzu, nämlich :

  • die visuelle Überprüfung der Identität des Unterzeichners, entweder physisch oder per Videokonferenz ;
  • die Verwendung eines SSCD-zertifizierten Signatursystems.

Dies ist die höchste Sicherheitsstufe, da sie nur von einem Trusted Service Provider ausgestellt werden kann, der eine sichere und einzigartige Signatur über ein qualifiziertes Zertifikat garantiert.

Sein sicheres und komplexes System macht es einer handschriftlichen Unterschrift im Präsenzunterricht völlig gleichwertig.

Wie garantiert eIDAS die Rechtsgültigkeit einer elektronischen Signatur?

Die eIDAS-Verordnung führt mehrere Kriterien auf, um die Rechtsgültigkeit einer elektronischen Signatur auf europäischer Ebene zu definieren:

  • Die Ausstellung eines elektronischen Zertifikats, um die Identität des Unterzeichners zu authentifizieren,
  • die Konformität des Verfahrens der elektronischen Signatur und die Anwendung hoher Sicherheitsstandards, die durch eine eIDAS-Zertifizierung belegt werden,
  • Jede Unterschrift in elektronischer Form, auch wenn sie die Anforderungen an eine qualifizierte elektronische Signatur nicht erfüllt, muss auf europäischer Ebene als Beweismittel vor Gericht akzeptiert werden können,
  • die Wahrung der Integrität des signierten Dokuments , das nicht verändert werden darf,
  • die Aufbewahrung der elektronischen Dokumente für zehn Jahre in einem sicheren elektronischen Tresor.

In der Praxis können Sie sich von der Zuverlässigkeit und Konformität der von Ihnen genutzten Dienste für elektronische Signaturen überzeugen, indem Sie überprüfen, ob das Zertifikat für die elektronische Signatur von einer zuständigen Behörde oder einem vertrauenswürdigen Dritten ausgestellt wurde.

Als Akteur des digitalen Vertrauens bürgt ein vertrauenswürdiger Dritter für den Schutz der Daten und elektronischen Dokumente, die zwischen allen Nutzern ausgetauscht werden. Er muss seine eIDAS-Zertifizierung nachweisen können, wenn Sie diese beantragen.

Diese Bescheinigungen über die Einhaltung der eIDAS-Verordnung gewährleisten, dass die von eIDAS vorgeschriebenen Sicherheits- und Datenschutzstandards eingehalten werden.

💡Sie sind noch nicht so weit und fragen sich genauer, wie die elektronische Signatur funktioniert und wofür sie verwendet wird? Dann haben wir genau das Richtige für Sie! Dank dieses von DocuSign konzipierten Leitfadens erfahren Sie alles über die elektronische Signatur: wie sie funktioniert, was sie Ihnen bringen kann, wie man seinen Anbieter auswählt... in einem zusammenfassenden und unverzichtbaren Leitfaden, der Ihnen hilft, die Herausforderungen besser zu verstehen. Kostenloser Download :

Auswahl eines Vertrauensdiensteanbieters

Im Sinne von Artikel 3 Unterabsatz 19 der eIDAS-Verordnung kann ein Vertrauensdiensteanbieter eine natürliche oder juristische Person sein, die einen oder mehrere Vertrauensdienste anbietet. Er kann qualifiziert oder nicht qualifiziert sein.

(1) Stellt ein qualifizierter Vertrauensdiensteanbieter ein qualifiziertes Zertifikat für einen Vertrauensdienst aus, so prüft er mit geeigneten Mitteln und gemäß(2) Der Aussteller eines qualifizierten Zertifikats muss die Identität und gegebenenfalls alle spezifischen Attribute der natürlichen oder juristischen Person, für die er das qualifizierte Zertifikat ausstellt, nach Maßgabe des nationalen Rechts überprüfen.

Article 24-1, eIDAS

Ein sogenannter "qualifizierter" Vertrauensdiensteanbieter (Trust Service Provider, SSP) muss qualifizierte elektronische Vertrauensdienste anbieten, wie sie in der eIDAS-Verordnung definiert sind. Dies ist insbesondere bei Universign der Fall, der elektronische Signaturen, Zeitstempel und elektronische Siegel anbietet.

Wenn Sie sich für einen PSCo entscheiden, können Sie sicher sein, dass Ihre elektronisch signierten Dokumente einen anerkannten Rechtswert haben und dass alle Ihre digitalen Transaktionen zuverlässig, sicher und mit der eIDAS-Verordnung konform sind.

Denn diese Anbieter müssen sich an eine Reihe von Sicherheitsvorschriften halten und einen strengen Qualifikationsprozess durchlaufen. Sie erhalten von einem Kontrollorgan eine Zertifizierung, die bestätigt, dass sie die Anforderungen der eIDAS-Verordnung erfüllen.

💡 In Frankreich ist das nationale Aufsichtsorgan die Nationale Agentur für die Sicherheit von Informationssystemen (ANSSI), deren Aufgabe es ist, die Verordnung umzusetzen und insbesondere die Qualifikation der Vertrauensanbieter auf französischem Hoheitsgebiet zu überwachen.

FAQ: eIDAS und die elektronische Signatur

Ist der rechtliche Wert einer digitalen Signatur nach eIDAS derselbe wie der einer handschriftlichen Unterschrift?

Gemäß Artikel 25-2 der eIDAS-Verordnung ist jede elektronische Signatur als Beweismittel vor Gericht zulässig und hat somit Rechtskraft. Eine elektronische Signatur kann nicht als Beweismittel bei einem Gerichtsverfahren abgelehnt werden, nur weil sie nicht im handschriftlichen Format vorliegt.

Darüber hinaus ist bei einer qualifizierten elektronischen Signatur, die das höchstmögliche Maß an Sicherheit und Zuverlässigkeit darstellt, "die rechtliche Wirkung (...) der einer handschriftlichen Unterschrift gleichwertig".

Wann sollte man einfache, fortgeschrittene und qualifizierte elektronische Signaturen verwenden?

Hier sind die Nutzungsempfehlungen für jeden Typ der elektronischen Signatur :

  • die einfache Signatur : sollte bei geringen rechtlichen oder finanziellen Risiken verwendet werden, z. B. bei Mietverträgen, Arbeitsverträgen, Kostenvoranschlägen oder Spesenabrechnungen ;

  • die fortgeschrittene elektronische Signatur : zu bevorzugen bei mäßigen Prozessrisiken, z. B. bei Verträgen, die keinen besonderen Vorschriften unterliegen, wie Kreditverträge, Lebensversicherungen usw. ;

  • die qualifizierte elektronische Signatur: unbedingt zu verwenden, wenn die Risiken hoch sind, bei regulierten Finanztransaktionen und/oder hohen Beträgen oder bei Vertragsdokumenten mit hohem Risiko, die die Schriftform als Beweis erfordern.

Was ist eine Zertifizierungsstelle?

Eine Zertifizierungsstelle (CA) ist eine vertrauenswürdige Organisation (z. B. ein Unternehmen oder eine Verwaltungsbehörde), die berechtigt ist, im Auftrag von Nutzern digitale Zertifikate auszustellen und zu verwalten.

Diese Zertifikate stellen die Gültigkeit, Zuverlässigkeit und das Sicherheitsniveau Ihrer elektronischen Signaturen gemäß der eIDAS-Verordnungsicher.

Woran erkenne ich einen zertifizierten Vertrauensdiensteanbieter?

Sie können den Vertrauensdiensteanbieter Ihrer Wahl in Frankreich oder in der Europäischen Union in Anspruch nehmen.

Für Ihre qualifizierten elektronischen Signaturen auf europäischer Ebene müssen Sie Ihre Lösung unter den zertifizierten Vertrauensdiensteanbietern auswählen, die von der Europäischen Kommission in Listen ( European Union Trusted Lists - EUTL) zusammengefasst und von allen Mitgliedstaaten als vertrauenswürdig anerkannt werden.

Auf französischer Ebene konsultieren Sie die von der ANSSI erstellte nationale Vertrauens liste: Sie listet qualifizierte Vertrauensdiensteanbieter und ihre qualifizierten Vertrauensdienste auf, die in Frankreich anerkannt sind.

Artikel übersetzt aus dem Französischen