eIDAS 2.0 gibt es gar nicht? Wie denn das, wo doch die Novellierung der eIDAS-Verordnung so lange vorbereitet wurde? Und: Was ist eIDAS eigentlich? Dazu in diesem Beitrag mehr. Plus: Eine Übersicht über die Neuerungen und deren Auswirkungen.

Der Beitrag ist wie folgt sortiert:

  • Was ist die eIDAS?
  • Was ist die novellierte eIDAS?
  • Was sind die wesentlichen Änderungen der Novelle?
  • Welche Auswirkungen bringt die novellierte eIDAS?

Was ist die eIDAS?

Die europäische eIDAS-Verordnung heißt im vollen Wortlaut: „Verordnung (EU) Nr. 910/2014 des europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG“. Sie gilt seit 2016 und löste seinerzeit die EU-Signaturrichtlinie sowie das deutsche Signaturgesetz in weiten Teilen ab, vgl. dazu auch unseren Blogbeitrag.

Expertenwissen: Einige Bestandteile des Signaturgesetzes (SigG), die keinen Eingang in die eIDAS gefunden haben, wurden in das Vertrauensdienstegesetz (VDG) überführt.

Expertenwissen: Während die Signaturrichtlinie mit dem Signaturgesetz die nationale Umsetzung darstellte, wirkt die eIDAS als Europäische Verordnung direkt und unmittelbar.

Und was regelt nun die eIDAS?

Zentrales Element der eIDAS sind sogenannte Vertrauensdienste, die zentrale Dienste für eine sichere Kommunikation ermöglichen. Dies sind gem. Artikel 3 Nr. 16:

  1. „Erstellung, Überprüfung und Validierung von elektronischen Signaturen, elektronischen Siegeln oder elektronischen Zeitstempeln, und Diensten für die Zustellung elektronischer Einschreiben sowie von diese Dienste betreffenden Zertifikaten oder
  2. Erstellung, Überprüfung und Validierung von Zertifikaten für die Website-Authentifizierung oder
  3. Bewahrung von diese Dienste betreffenden elektronischen Signaturen, Siegeln oder Zertifikaten.“

Anbieter solcher Vertrauensdienste heißen demzufolge Vertrauensdiensteanbieter (VDA). Vertrauensdiensteanbieter können sich qualifizieren lassen und sodann als qualifizierter Vertrauensdiensteanbieter auf der Europäischen TrustList aufgeführt werden:. Zuständig für die Qualifizierung ist in Deutschland die Bundesnetzagentur in Mainz, vgl. hier (Ausnahme: Website-Authentisierung, hier ist das BSI in Bonn zuständig).

Grundlage für eine solche Qualifizierung ist u.a. die Überprüfung des Dienstes und des Anbieters durch eine akkreditierte Konformitätsbewertungsstelle; in Deutschland sind dies vier Stellen – u.a. die datenschutz cert GmbH, siehe hier.

Rund um die eIDAS verweise ich auch gerne auf meinen Beitrag von 2015.

Was ist die novellierte eIDAS?

Seit dem 30.04.2024 ist nun die folgende europäische Verordnung im Amtsblatt veröffentlicht: „Verordnung (EU) 2024/1183 des europäischen Parlaments und des Rates vom 11. April 2024 zur Änderung der Verordnung (EU) Nr. 910/2014 im Hinblick auf die Schaffung des europäischen Rahmens für eine digitale Identität“. Sie tritt gem. Artikel 2 am „zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft“, also am 20.05.2024.

Die vorliegende Verordnung 2024/1183 ist ein sogenanntes Änderungsgesetz, das den Wortlaut der eIDAS-VO 910/2014 in vielen Artikeln ändert. Die konsolidierte Fassung – welche noch nicht vorliegt – wird dann vermutlich exakt heißen: „Verordnung (EU) Nr. 910/2014 des europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, zuletzt geändert durch Verordnung (EU) Nr. 2024/1183“.

Und wieso gibt es nun keine „eIDAS 2.0“? Nun, weil die „Verordnung (EU) Nr. 910/2014 des europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG“ schlichtweg in der geänderten Fassung zum 20.05.2024 den gültigen Rechtsrahmen darstellt. Kurz: Es gibt nur einen Rechtsrahmen. Seit Pfingstmontag in einer neuen Fassung.

Was sind die wesentlichen Änderungen der novellierten eIDAS-Verordnung?

Ganz klar, die Wallet. Offiziell „European Digital Identity Wallet“, in der deutschen Fassung der eIDAS als „europäische Brieftasche für die Digitale Identität“ bezeichnet.

Die Wallet steht aus meiner Sicht ganz klar im Vordergrund der novellierten eIDAS. Die Wallet sollte lt. Erwägungsgrund 7 „natürlichen und juristischen Personen in der gesamten Union ein harmonisiertes elektronisches Identifizierungsmittel an die Hand geben, das ihnen die Authentifizierung und die Weitergabe von mit ihrer Identität verknüpften Daten ermöglicht. Alle sollten auf sichere Weise Zugang zu öffentlichen und privaten Dienstleistungen erhalten, die sich auf ein verbessertes Ökosystem für Vertrauensdienste und auf überprüfte Identitätsnachweise und elektronische Attributsbescheinigungen stützen können, beispielsweise akademische Qualifikationen, einschließlich Hochschulabschlüsse, oder andere Qualifikationen im Bereich der allgemeinen und beruflichen Bildung.“ Ein hehres Ziel. Mit der Wallet werden wir uns in einem separaten Artikel befassen.

Was ist sonst neu?

Nun, die bisherigen Dienste werden neu sortiert und erweitert. Artikel 3 Nr. 16 wird wie folgt geändert und präsentiert sich neu mit einer Übersicht über die möglichen Vertrauensdienste wie folgt:

  1. Ausstellung von Zertifikaten für elektronische Signaturen, von Zertifikaten für elektronische Siegel, von Zertifikaten für die Website-Authentifizierung oder von Zertifikaten für die Erbringung anderer Vertrauensdienste;
  2. Validierung von Zertifikaten für elektronische Signaturen, Zertifikaten für elektronische Siegel, Zertifikaten für die Website-Authentifizierung oder Zertifikaten für die Erbringung anderer Vertrauensdienste;
  3. Erstellung elektronischer Signaturen oder elektronischer Siegel;
  4. Validierung elektronischer Signaturen oder elektronischer Siegel;
  5. Bewahrung von elektronischen Signaturen, elektronischen Siegeln, Zertifikaten für elektronische Signaturen oder Zertifikaten für elektronische Siegel;
  6. Verwaltung elektronischer Fernsignaturerstellungseinheiten oder elektronischer Fernsiegelerstellungseinheiten;
  7. Ausstellung elektronischer Attributsbescheinigungen;
  8. Validierung elektronischer Attributsbescheinigungen;
  9. Erstellung elektronischer Zeitstempel;
  10. Validierung elektronischer Zeitstempel;
  11. Erbringung von Diensten für die Zustellung elektronischer Einschreiben;
  12. Validierung von durch Dienste für die Zustellung elektronischer Einschreiben übermittelten Daten und damit zusammenhängenden Nachweisen;
  13. elektronische Archivierung elektronischer Daten und elektronischer Dokumente;
  14. Aufzeichnung elektronischer Daten in einem elektronischen Journal.“

Die Qualifizierung von Vertrauensdiensten und -anbietern mit der Listung auf der EU TrustList wurde nicht geändert.

Neben neuen Diensten sind die Anforderungen an die Dienste und Anbieter fokussiert worden, u.a. in Richtung des Datenschutzes und der Cybersecurity. Wir erinnern uns, dass mit der Datenschutz-Grundverordnung (DSGVO) und der NIS-2-Richtlinie zwei europäische Gesetzesrahmen für Datenschutz und Cybersecurity geschaffen wurden. Dass die eIDAS nun bzgl. Datenschutz- und Cybersecurity-Aspekten auf die entsprechende Initiativen verweist, ist grundsätzlich zu begrüßen. Gleichwohl kommen damit weitere Akteure ins Spiel: So müssen Vertrauensdiensteanbieter zukünftig auch Artikels 21 der Richtlinie (EU) 2022/2555 zum „Risikomanagementmaßnahmen im Bereich der Cybersicherheit“ umsetzen und gegenüber den zuständigen Behörden nachweisen. Artikel 21 fordert insbesondere Maßnahmen „unter Berücksichtigung des Stands der Technik“; was das genau ist, soll noch in Implementing Acts konkretisiert werden. Dazu gleich mehr.

Wegen der vielen Verweise auf andere EU-Verordnungen lohnt es sich, sich die folgenden Bezeichnungen zu merken:

  • Verordnung (EU) 2016/679 ist die Datenschutz-Grundverordnung (DSGVO)
  • Verordnung (EU) 2022/2555 ist die NIS-2: „Richtlinie (EU) 2022/2555 des europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie)“
  • Verordnung (EU) 2019/881 ist für Cybersecurity-Zertifizierung zuständig: „Verordnung (EU) 2019/881 des europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit)“

Welche Prüfungen sind nun vorgesehen? Qualifizierte Vertrauensdiensteanbieter werden – wie bislang auch – von Konformitätsbewertungsstellen überprüft. Konformitätsbewertungsstellen kommen auch zum Einsatz im Hinblick auf die Zertifizierung der Wallet oder der elektronischen Identifizierungssysteme.

Da die datenschutz cert GmbH ein Art. 42 DSGVO-konformes Zertifizierungsschema entwickelt hat (vgl. hier), ist Art. 5c (5) besonders interessant, denn dort heißt es, dass die „Erfüllung der Anforderungen nach Artikel 5a der vorliegenden Verordnung in Bezug auf die Verarbeitung personenbezogener Daten […] gemäß der Verordnung (EU) 2016/679 zertifiziert werden“ kann. Damit kann die Wallet als Verarbeitungsvorgang gem. Art. 42 DSGVO zertifiziert werden.

Auffällig an der nun vorgestellten eIDAS ist aber auch, dass etliche Themen ausgeklammert und in spätere delegierte Rechtsakte (Delegated Acts) oder Durchführungsrechtsakte (Implementing Acts) vertagt werden, etwa:

  • bis zum 21. November 2024 sollen Referenzstandards, Spezifikationen und Verfahren für die Wallet festgelegt werden
  • bis zum 21.05.2025 sollen Referenzstandards, Spezifikationen und Verfahren für die Akkreditierung von Konformitätsbewertungsstellen, aber auch für die Prüfvorschriften, nach denen die Stellen arbeiten festgelegt werden
  • bis zum 21.05.2025 sollen Referenzstandards, Spezifikationen und Verfahren für die Identitätsfeststellung gem. Art. 24 eIDAS festgelegt werden

Und was bedeutet dies nun alles für bereits bestehende VDAs? Und für Anbieter, die VDA werden wollen?

Welche Auswirkungen bringt die novellierte eIDAS mit sich?

Zunächst einmal neue Anbieter: Stellen Sie sich vor, Sie sind Anbieter eines der in der novellierten eIDAS-VO aufgeführten Dienste, die Sie als qualifizierter VDA anbieten möchten. Sie streben eine Qualifizierung an und benötigen eine Konformitätsbewertung durch eine akkreditierte Konformitätsbewertungsstelle.

Gibt es denn bereits akkreditierte Konformitätsbewertungsstellen (KBS)? Aber sicher doch: In Deutschland sind vier Stellen gelistet. Entscheidend ist, wofür eine KBS akkreditiert ist; dies geht aus der Akkreditierungsurkunde hervor. Die Akkreditierungsurkunde ist von der DAkkS erteilt und weist neben dem eIDAS-Rechtsrahmen ein sogenanntes Zertifizierungsprogramm auf, das beschreibt, wie die jeweilige KBS Konformitätsbewertungen gem. eIDAS durchführt. Wenn also die DAkkS-Akkreditierungsurkunde mit dem zugehörigen Zertifizierungsprogramm ausweist, dass eine KBS eine Konformitätsbewertung für Ihren Vertrauensdienst durchführen darf, dann können Sie diese KBS beauftragen, um eine Qualifizierung bei der zuständigen Aufsichtsstelle zu erreichen. Damit können die bislang akkreditierten Konformitätsbewertungsstellen die bisherigen Dienste mit ihrer Akkreditierung weiterhin bewerten.

Expertenwissen: Wie oben ausgeführt, sind Konkretisierungen der Anforderungen durch Delegated und Implementing Acts geplant. Sobald diese vorliegen, müssen die Zertifizierungsprogramme überprüft und ggf. angepasst werden.

Expertenwissen: Zum jetzigen Zeitpunkt liegen – meiner Erkenntnis nach – noch keine Zertifizierungsprogramme für neue Dienste vor. Es müsste also im Einzelfall geprüft – und bestenfalls mit der zuständigen Aufsichtsstelle abgestimmt werden –, ob eine Qualifizierung eines Vertrauensdienstes eines Vertrauensanbieters durch einen Konformitätsbewertungsbericht einer akkreditierten Konformitätsbewertungsstelle akzeptiert wird – die Akkreditierung also schlichtweg ausreicht.

Expertenwissen: Die Zertifizierungsprogramme der Konformitätsbewertungsstelle werden zukünftig sehr viel mehr behördlichen und gesetzgeberischen Vorgaben genügen müssen – und vermutlich auch einem stetigen Wandel unterzogen sein, was jedes Mal eine Änderung der Akkreditierung nach sich zieht:

  • ISO/IEC 17065 i.V.m. ISO/IEC 17067 für Aufbau und Struktur des Programms, verifiziert durch DAkkS
  • delegated acts und implementing acts der EU-Kommission mit Präzisierungen
  • Konformitätsbewertungsprogramm der Bundesnetzagentur mit weiteren Präzisierungen
  • ETSI-Standards: Bislang wurden in Deutschland häufig sogenannte ETSI-Standards für die Bewertung von Vertrauensdiensten herangezogen, etwa die ETSI 319 401 für grundsätzliche Anforderungen oder ETSI 319 411-1 für die Ausstellung von qualifizierten elektronischen Zertifikaten. Anerkannte Standards heranzuziehen ist sinnvoll und soll möglichst beibehalten und auch für die neuen Dienste herangezogen werden, insb. um die europäische Interoperabilität zu gewährleisten.

Und was bedeutet die novellierte eIDAS-VO für bereits qualifizierte Vertrauensdiensteanbieter?

Für bereits qualifizierte VDAs gelten mit Artikel 51 (4) folgende Übergangsregeln: „Qualifizierte Vertrauensdiensteanbieter, denen der Qualifikationsstatus gemäß dieser Verordnung vor dem 20. Mai 2024 zuerkannt wurde, legen der Aufsichtsstelle so bald wie möglich, jedenfalls bis zum 21. Mai 2026, einen Konformitätsbewertungsbericht vor, mit dem die Einhaltung des Artikels 24 Absätze 1, 1a und 1b nachgewiesen wird.“

Da Konformitätsbewertungsberichte, die die Grundlage für eine Qualifizierung darstellen und stets maximal zwei Jahre gültig sind, wird also quasi eine Übergangsfrist von max. einem Zyklus festgeschrieben.

Expertenwissen: Ein in der Praxis ganz wichtiger Passus der eIDAS ist Artikel 24 zur Identifizierung von Personen zur Ausstellung eines qualifizierten elektronischen Zertifikates. Bislang wies Artikel 24 (1) vier Möglichkeiten auf:

  1. durch persönliche Anwesenheit der natürlichen Person oder eines bevollmächtigten Vertreters der juristischen Person oder
  2. aus der Ferne mittels elektronischer Identifizierungsmittel, für die vor der Ausstellung des qualifizierten Zertifikats eine persönliche Anwesenheit der natürlichen Person oder eines bevollmächtigten Vertreters der juristischen Person gewährleistet war und die die Anforderungen gemäß Artikel 8 hinsichtlich der Sicherheitsniveaus „substanziell“ oder „hoch“ erfüllen, oder
  3. durch ein Zertifikat einer qualifizierten elektronischen Signatur oder eines qualifizierten elektronischen Siegels, das gemäß Buchstabe a oder b ausgestellt wurde, oder
  4. durch sonstige Identifizierungsmethoden, die auf nationaler Ebene anerkannt sind und gleichwertige Sicherheit hinsichtlich der Verlässlichkeit bei der persönlichen Anwesenheit bieten. Die gleichwertige Sicherheit muss von einer Konformitätsbewertungsstelle bestätigt werden.

Diese Möglichkeiten wurden jetzt gänzlich neu geregelt; Artikel 24 (1a) lautet nunmehr:

  1. mit der europäischen Brieftasche für die Digitale Identität oder einem notifizierten elektronischen Identifizierungsmittel, das die Anforderungen des Artikels 8 in Bezug auf das Sicherheitsniveau hoch erfüllt;
  2. mit einem Zertifikat einer qualifizierten elektronischen Signatur oder eines qualifizierten elektronischen Siegels, das gemäß Buchstabe a, c oder d ausgestellt wurde;
  3. mit anderen Identifizierungsmethoden, die die Identifizierung der Person mit einem hohen Maß an Vertrauen gewährleisten und deren Konformität von einer Konformitätsbewertungsstelle bestätigt wird;
  4. durch die physische Anwesenheit der natürlichen Person oder eines bevollmächtigten Vertreters der juristischen Person nach geeigneten Nachweisen und Verfahren im Einklang mit dem nationalen Recht.

Ein Vergleich zeigt, dass sowohl die Identifizierung durch persönliche/physische Anwesenheit oder ein qualifiziertes elektronisches Zertifikat faktisch geblieben ist. Die Identifizierung „aus der Ferne“ wird auf die neue Wallet übertragen. Und die „sonstigen Identifizierungsmethoden“ nach Art. 24 (1) d), die bislang häufig für Videobasierte- oder automatisierte Verfahren genutzt wurde und für die es bislang in Deutschland ergänzende Bewertungskriterien gab, werden komplett auf die Einschätzung und Bestätigung durch eine Konformitätsbewertungsstelle ausgelagert. Hinsichtlich konkreter Vorgaben werden – wie oben dargestellt – bis zum 21.05.2025 entsprechende Implementing Acts erwartet.

Fazit

Ob die novellierte eIDAS nun dem Bürokratieabbau dienlich ist oder alles komplizierter wird, mag jeder selber bewerten. Festzuhalten bleibt aber, dass

  • mit der europäischen Brieftasche – der Wallet – ein modernes Identifizierungsmittel entsteht,
  • die bisherigen Vertrauensdienste sehr viel granularer dargestellt und erweitert werden,
  • die Anforderungen an Vertrauensdiensteanbieter signifikant steigen, insb. zur Einhaltung der Cybersecurity,
  • damit aber auch weitere Aufsichtsbehörden einbezogen werden,
  • die Anforderungen an Konformitätsbewertungsstellen signifikant steigen und
  • die Zukunft mit einer Vielzahl von Delegated Acts und Implementing Acts noch Spannung – und Arbeit – verspricht.

Wichtig aber aus Sicht einer Konformitätsbewertungsstelle ist, dass der eigentliche Rechtsrahmen lediglich novelliert wurde und die bisherigen Vertrauensdiensteanbieter im Zuge eines Übergangs weiterarbeiten können.

Bemerkenswert zur „Verordnung (EU) Nr. 910/2014 des europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, zuletzt geändert durch Verordnung (EU) Nr. 2024/1183“ bleibt aber natürlich auch, wie sperrig ein solches europäisches Regelwerk zu lesen ist.

Dennoch mein abschließendes Urteil: Insgesamt lesenswert. Sollte in keinem Haushalt fehlen.