Am 16.04.2024 fand der eIDAS Summit der Bitkom (#eidas24) in hybrider Form in Berlin statt. Hier gab es Einblicke in die aktuellen Themen rund um eIDAS, digitale Identitäten und deren Anwendungsbereiche.

Worum geht es bei eIDAS überhaupt?

eIDAS steht für „electronic IDentification, Authentification and Trust Services“ und ist der europäische Rechtsrahmen für elektronische Identifizierung und elektronische Vertrauensdienste, der im Juli 2016 in Kraft getreten ist und für alle 27 EU-Mitgliedsstaaten sowie für die Länder des Europäischen Wirtschaftsraums (EWR) verbindlich ist.

Hintergrund der Einführung der EU-Verordnung war die europaweite Vereinheitlichung elektronischer Vertrauensdienste für elektronische Transaktionen im europäischen Binnenmarkt.

Vertrauensdienste wie elektronische Signaturen, Zeitstempel, Zustelldienste und Zertifikate ermöglichen die Digitalisierung von papierbasierten Prozessen und schaffen somit die Grundlage für intelligente elektronische Workflows.

Auf dem diesjährigen eIDAS Summit wurden verschiedene Vertrauensdienste und konkrete Use Cases vorgestellt, um die digitale Transformation in der öffentlichen Verwaltung und in Unternehmen sicher, schnell und effizient zu realisieren.

Im Fokus stand insbesondere die novellierte eIDAS 2.0-Verordnung (am 29.02.2024 vom Europäischen Parlament verabschiedet), die sich in drei wesentlichen Punkten von der bisherigen eIDAS-Verordnung unterscheidet:

  • Behebung von Schwachstellen wie bspw. Inkonsistenzen in den länderspezifischen Umsetzungen der Mitgliedstaaten. Damit sollen auch elektronische Interaktionen zwischen Unternehmen, Bürger*innen und Behörden vereinfacht, sicherer gemacht und vor Betrug und Identitätsdiebstahl geschützt werden.
  • Erweiterung um zusätzliche Vertrauensdienste wie elektronische Einschreiben und elektronische Zertifikate zur Authentifizierung. Eine weitere bedeutende Neuerung betrifft die Einführung des Konzepts der „Qualifizierten Vertrauensdiensteanbieter“ (Qualified Trust Service Provider, QTSP). Damit verbunden sind sehr strenge Sicherheitsstandards der EU für entsprechende Provider.
  • Einführung der „EU Digital Identity Wallet“, kurz EUDI-Wallet: Die EUDI-Wallet ist eine digitale Brieftasche für selbstverwaltete Identitäten, um sich ohne Karten und Papiere ausweisen zu können. Beispiele sind:
    • Anmietung von Mietwagen
    • Eröffnung eines Bankkontos
    • Nutzung von Diensten der öffentlichen Verwaltung
    • Altersnachweis

Damit soll der Zugriff auf Online-Dienste sowie die Durchführung elektronischer Transaktionen erleichtert werden.

Aktuell wird hierzu auf EU-Ebene in einem Pilotbetrieb „Large-Scale-Pilot-Consortium an möglichen Anwendungsfällen (z. B. Bankkontoeröffnung, SIM-Card-Registrierung) und deren technischen Umsetzung gearbeitet. Beteiligt sind staatliche Stellen und privatwirtschaftliche Unternehmen.

Welche Möglichkeiten und Perspektiven sich dadurch für Unternehmen ergeben und wie genau Tech Trends und eIDAS-Tools für effizientere Geschäftsprozesse verbunden werden, wurde in mehreren Vorträgen vorgestellt und es wurden nächste Schritte zur weiteren Umsetzung diskutiert.

Nutzerfreundlichkeit der EUDI-Wallet im Fokus

Den Einstieg machte eine Paneldiskussion zur Einführung der EUDI-Wallet. Diskutiert wurden die wesentlichen Anforderungen aus Sicht von Anwender*innen, Unternehmen und Behörden.

Die wesentliche Kernaussage lautete: Digitale Lösungen funktionieren nur mit Akzeptanz in Bezug auf die Usability und User Experience. Daher müssen die zukünftigen Anwender*innen im Vordergrund stehen. Die intendierte Nutzung muss also im Einklang mit erprobten Abläufen sein, wie wir sie schon heute bspw. bei digitalen Bezahlvorgängen kennen. Nur so findet das Konzept der digitalen Identitäten eine Akzeptanz.

Digitaler Fortschritt im Fokus: Was ist schon möglich und wo wurden bereits eID-Konzepte erfolgreich umgesetzt?

Am Erfolgskonzept der ID Austria wurde vorgestellt, wie Bürger*innen schon heute digitale Dienste in Österreich nutzen können.

Auf Basis einer kostenlosen qualifizierten elektronischen Signatur (QES) für Bürger*innen können eGovernment-Services in Österreich genutzt werden.

Über die ID Austria lassen sich digitale Ausweise, wie Führerschein, Zulassungsschein, Schülerausweis oder Altersnachweis, elektronisch speichern und nutzen.

In Dänemark ist die eID schon lange ein Katalysator der digitalen Ökonomie

Aufgrund der schon früh (seit 2001) begonnenen Digitalisierung, hat sich Dänemark zu einer der fortschrittlichsten Gesellschaften in Europa entwickelt. Seit 2001 sind mehrere digitale öffentliche Dienste gesetzlich verankert: E-Mail, digitale Signaturen zwischen öffentlichen Einrichtungen, elektronische Rechnungsstellung und das erste digitale Gesundheitsportal in Dänemark.

Die eID-Identität ermöglicht eine sichere Anmeldung für den Zugang zu obligatorischen digitalen Diensten der öffentlichen Verwaltung (z. B. Steuern zahlen) und des Privatsektors (z. B. Zugang zum Online-Banking oder Abschluss von Versicherungen).

Interessant ist insbesondere die aktuelle Durchdringung der eID am Beispiel des Mutterschaftsgeldes: 100 % der Anträge wurden über das eID-Verfahren beantragt. Bei Schuleinschreibungen sind es 97 % und bei der Rente liegt der Anteil bei 95 %.

Vertrauen in die Verwaltung, Vorteile für die Bürger*innen wie bspw. schnellere Steuerrückzahlungen oder auch das große Angebot an Dienstleistungen sind hier der Schlüssel für die breite Akzeptanz in Dänemark.

Qualifizierte Signatur – Telemedizin – Doctorderma

Sehr spannend war das Beispiel eines Start-Ups im Bereich der Diagnostik von Hautkrankheiten. Anhand des Beispiels wurde die Bedeutung von Signaturen in der Telemedizin verdeutlicht.

In drei Schritten zur Hautarzt-Diagnose: Nach Einrichtung des Profils müssen die Nutzer*innen drei Bilder der betroffenen Hautstelle hochladen. Innerhalb von 24 Stunden schauen sich Fachärzte die Bilder an und erstellen eine Diagnose. Innerhalb dieser Zeit wird auch der digitale und elektronisch signierte Arztbrief mit einem individuellem Therapieplan erstellt.

Das Angebot überzeugt – keine langen Wartezeiten auf einen Facharzttermin und eine schnelle Erstdiagnose gegen eine moderate Gebühr.

Digitale Signaturen ermöglichen es, medizinische Aufzeichnungen, Rezepte, Behandlungspläne und andere wichtigen Dokumente zu signieren und zu verifizieren. Für die Telemedizin ergeben sich daraus eine Reihe von Vorteilen wie Rechtsverbindlichkeit, Effizienz, Sicherheit und Nachverfolgbarkeit.

Vertrauen ist die Basis zur Nutzung digitaler Identitäten

Die eIDAS 2.0-Verordnung schafft durch die Verankerung von Datenschutz über die DSGVO und Cybersicherheit über den Cyber Security Act weiteres Vertrauen. Der Datenschutz gewährleistet, dass persönliche Daten nur rechtmäßig und transparent verarbeitet und die Rechte der betroffenen Personen respektiert werden. Dies beinhaltet u. a. die Notwendigkeit einer klaren Einwilligung zur Datennutzung und das Recht auf Auskunft und Löschung von Daten.

Der Cyber Security Act sorgt dafür, dass die digitalen Infrastrukturen und Dienste durch geeignete Sicherheitsmaßnahmen geschützt sind. Dies umfasst die Einführung eines europaweiten Zertifizierungsrahmens für die Cybersicherheit, der sicherstellt, dass Produkte, Prozesse und Dienste die notwendigen Sicherheitsanforderungen erfüllen.

Zusammen bilden diese Regelwerke eine solide Grundlage für den Aufbau und die Pflege einer vertrauenswürdigen digitalen Identität. Eine sichere digitale Identität ist entscheidend für die Akzeptanz und den Erfolg digitaler Dienste und Geschäftsmodelle. Sie ermöglicht es Nutzer*innen, sicher und zuverlässig auf Online-Dienste zuzugreifen und Transaktionen durchzuführen, während gleichzeitig die Integrität und Vertraulichkeit ihrer persönlichen Daten gewahrt bleiben.

Einbindung des BSI

In ihrer Keynote stellte Claudia Plattner, die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die Sicht ihrer Behörde auf die eIDAS 2.0-Verordnung dar. Die auf EU-Ebene fertigverhandelte Verordnung müsse jetzt in den Ländern umgesetzt werden. Offen seien jedoch noch viele Durchführungsrechtsakte (z. B. Festlegungen für EUDI-Wallet). Die nationale Umsetzung der Umsetzungsverpflichtung müsse angegangen werden. Dazu brauche es eine deutsche EUDI-Wallet, eID-Systeme sowie Dienste bzw. Angebote der Wirtschaft und Verwaltung. Der bisherige Zeitplan sehe eine Verfügbarkeit der EUDI-Wallet ab 2027 vor. Im Rahmen der Entwicklung potentieller Lösungen werde das BSI konsultiert, d. h. das BSI betrachte und bewerte verschiedene Varianten des digitalen Ökosystems.

Fazit

Auf allen Ebenen, angefangen bei den politischen Entscheidungsträgern bis hin zur öffentlichen Verwaltung, ist in Deutschland noch viel zu tun, um den Bürger*innen ein attraktives Ökosystem aus Lösungen für die Verwaltung und Privatwirtschaft zur Nutzung der digitalen Identitäten zur Verfügung zu stellen.

Noch fehlen attraktive Angebote zur Nutzung digitaler Identitäten. Ein Blick in unsere Nachbarländer Österreich oder Dänemark zeigt, was jetzt schon geht, wenn die Angebotsbreite attraktiv und das Vertrauen der Bürger*innen in die Akteure gegeben ist.

Letztlich trägt eine robuste „Chain of Trust“ dazu bei, das Vertrauen der Bürger*innen in digitale Technologien zu stärken und die digitale Transformation zu fördern. Sie schafft die Grundlage für eine sichere und effiziente digitale Wirtschaft und Gesellschaft, in der digitale Identitäten eine Schlüsselrolle spielen.