Ist die Aussage so korrekt: „Aus SigG wird eIDAS“? Formaljuristisch vermutlich nicht. Aber dennoch ist etwas dran. Zum 01. Juli 2016 starten die eIDAS-Vertrauensdienste. Und eIDAS genießt einen sogenannten „Anwendungsvorrang“ vor dem deutschen Signaturgesetz, so dass diejenigen Regelungen, die im SigG enthalten sind, durch eIDAS abgelöst werden. Was sich sonst noch ändert und welche Möglichkeiten eIDAS bietet, wird nachfolgend dargestellt.
Was ist eIDAS?
eIDAS steht für „Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG“.
Vertrauensdienste gem. eIDAS gelten ab 01.07.2016. Damit können Vertrauensdienste nach eIDAS-VO ab diesem Datum angeboten werden.
eIDAS löst das deutsche Signaturgesetz SigG weitestgehend ab bzw. eIDAS wird als EU-Verordnung Anwendungsvorrang vor dem SigG genießen, so dass die Anforderungen aus SigG und SigV nicht mehr angewendet werden können, die nunmehr eIDAS regelt. Das, was von SigG „übrig bleibt“, also nicht von eIDAS geregelt wird, soll in einem sogenannten Vertrauensdienstegesetz neu gesetzlich verankert werden.
Was regelt eIDAS?
eIDAS regelt elektronische Identifizierungsmittel für natürliche und juristische Personen sowie Vertrauensdienste. Damit gibt eIDAS den Rechtsrahmen für elektronische Signaturen, Siegel, Zeitstempel sowie Dienste für Zustellung elektronischer Einschreiben und Dienste für Website-Authentisierung vor. eIDAS sieht im Detail folgende Dienste vor:
- Erstellung
- qualifizierter Zertifikate für elektronische Signaturen
- qualifizierter Zertifikate für elektronische Siegel
- qualifizierter Zertifikate für die Website-Authentifizierung
- qualifizierter elektronischer Zeitstempel
- qualifizierter elektronischer Signaturen
- qualifizierter elektronischer Siegeln
- Überprüfung und Validierung
- qualifizierter elektronischer Signaturen, Siegeln, Zeitstempeln und zugehöriger qualifizierter Zertifikate
- qualifizierter Zertifikate für die Website-Authentifizierung
- Aufbewahrung
- qualifizierter elektronischer Signaturen, Siegeln oder zugehöriger qualifizierter Zertifikate
- Zustellung
- elektronischer Einschreiben
Während elektronische Signaturen, Zertifikate und Zeitstempel aus SigG und SigV grundsätzlich bekannt sind, sind elektronische Siegel neu. Damit kommt der Gesetzgeber dem langgehegten Wunsch aus Behörden und der Wirtschaft nach, dass auch Organisationen eine Signatur erzeugen können .
Ferner neu sind Bewahrungs- und Einschreib-/Zustelldienste. Lt. eIDAS-VO ist der „Dienst für die Zustellung elektronischer Einschreiben […] ein Dienst, der die Übermittlung von Daten zwischen Dritten mit elektronischen Mitteln ermöglicht und einen Nachweis der Handhabung der übermittelten Daten erbringt, darunter den Nachweis der Absendung und des Empfangs der Daten, und der die übertragenen Daten vor Verlust, Diebstahl, Beschädigung oder unbefugter Veränderung schützt.“
Webseiten-Zertifikate wurden bereits zuvor über das CA/Browser (CAB)-Forum eingefordert: Wer bislang in die Browser und Betriebssysteme sein Zertifikat vorinstalliert haben wollte, musste eine entsprechende Zertifizierung aufweisen. Diese Regelungen wurden nun auch in eIDAS aufgenommen.
Für wen gilt eIDAS?
eIDAS gilt für elektronische Identifizierungsdienste und Vertrauensdiensteanbieter.
Wonach wird bei eIDAS geprüft?
Für die Prüfung und Zertifizierung von Vertrauensdiensteanbietern und den von ihnen angebotenen Vertrauensdiensten werden ETSI-Normen herangezogen:
- ETSI EN 319 401: Die grundlegenden Anforderungen an Vertrauensdiensteanbieter (Trust Service Provider – TSP) werden in der Norm ETSI EN 319 401 aufgestellt. Ihr Titel („General Policy Requirements for Trust Service Providers supporting Electronic Signatures”) zeigt, dass alle nachgeordneten Normen die Erfüllung der ETSI EN 319 401 verlangen.
- ETSI EN 319 411-2 („Trust Service Providers issuing certificates; Part 2: Policy requirements for certification authorities issuing qualified certificates”) definiert die Anforderungen, die an einen TSP gestellt werden, der qualifizierte Zertifikate herausgeben will.
- ETSI TS 319 411-3 („Trust Service Providers issuing certificates; Part 3: Policy requirements for Certification Authorities issuing public key certificates“) definiert die Anforderungen, die an einen TSP gestellt werden, die allgemeine, z. B. fortgeschrittene Zertifikate herausgeben will. Die Zertifizierung nach dieser Norm hat einen weiteren Vorteil: Die Hersteller von Internet-Browsern akzeptieren diese Zertifizierung als Vorbedingung für die Aufnahme des TSP in den Zertifikatsspeicher ihres jeweiligen Internet-Browsers.
- ETSI EN 319 421: Anforderungen an TSPs, die qualifizierte elektronische Zeitstempel ausstellen
Wie vormals im SigG auch werden für die Erzeugung von Signaturen sichere Signaturerstellungseinheiten benötigt, dazu gibt eIDAS in Anhang II grobe Anforderungen vor. Diese Anforderungen werden nun in einem Durchführungsbeschluss konkretisiert: Im Durchführungsbeschluss (EU) 2016/650 vom 25. April 2016 „zur Festlegung von Normen für die Sicherheitsbewertung qualifizierter Signatur- und Siegelerstellungseinheiten gemäß Artikel 30 Absatz 3 und Artikel 39 Absatz 2 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“ werden Common Criteria-Zertifizierungen auf Basis von Common Criteria-Schutzprofile normiert.
Wer prüft?
Die Deutsche Akkreditierungsstelle (DAkkS) akkreditiert Zertifizierungsstellen auf Basis der ETSI EN 319 403 i.V.m. ISO/IEC 17065. Diese von der DAkkS akkreditierten Stellen werden die o.g. Vertrauensdienste zertifizieren dürfen.