Die eIDAS 2.0 – gemeint ist die aktuell gültige Fassung der eIDAS-Verordnung 910/2014 – sieht in Art. 29a „Anforderungen an einen qualifizierten Dienst zur Verwaltung qualifizierter elektronischer Fernsignaturerstellungseinheiten“ vor.
Was zunächst technisch klingt, betrifft einen zentralen Baustein der digitalen Transformation: die rechtsverbindliche elektronische Unterschrift. Denn qualifizierte Signaturen werden häufig nicht genutzt, weil das Handling mit einer sicheren Signaturerstellungseinheit – meist einer Signaturkarte – noch immer als umständlich gilt. Evtl. bessert sich die Situation mit der Wallet (Europäische Brieftasche für die Digitale Identität).
Fernsignaturen lösen dieses Problem
Die sichere Signaturerstellungseinheit wird nicht mehr vom Unterzeichner selbst verwaltet, sondern bei einem qualifizierten Vertrauensdiensteanbieter sicher verwahrt und betrieben. Der Signierende autorisiert seine Signatur aus der Ferne.
In Art. 29a werden unter Abs. 2 nähere Details in einem Durchführungsrechtsakt versprochen, einem sogenannten Implementing Act. Dieser Implementing Act liegt nun mit Implementing Act 2025/1567 vor.
Implementing Acts dienen der europaweiten Harmonisierung und sie konkretisieren einzelne Anforderungen. Charakteristisch ist dabei der Rückgriff auf etablierte Standards.
Der Implementing Act 2025/1567 verweist auf den ETSI-Standard ETSI TS 119 431-1 „TSP services operating a remote QSCD / SCDev“. Dieser Standard konkretisiert die grundlegenden Anforderungen an einen Vertrauensdiensteanbieter aus der ETSI 319 401 um spezifische Anforderungen. Ferner referenziert die ETSI TS 119 431-1 auf eine weitere Norm, die DIN EN 419 241-1.
Wichtig ist dabei:
- Implementing Act 1567 adressiert lediglich den Dienst, nicht den Anbieter.
- Für Anbieter, der Fernsignaturen/-siegel anbietet, gilt Implementing Act 2025/2530.
Die Regelungen gelten im Übrigen gleichermaßen für Fernsiegel gem. Art. 39a eIDAS.
Zentrale Anforderungen an qualifizierte Fernsignaturen
Die regulatorischen Vorgaben lassen sich im Kern auf drei Themenfelder verdichten:
- Signaturschlüssel-Erzeugung
- Identitätsfeststellung
- Auslösung einer Signatur
1. Signaturschlüssel-Erzeugung
Für qualifizierte Fernsignaturen ist ein Qualified Signature Creation Device (QSCD) erforderlich. Dieses geht über die Anforderungen an ein „normales“ Secure Signature Creation Device (SSCD) hinaus.Wesentliche Anforderungen:
- Einsatz hinreichend geeigneter Algorithmen und Parameter
- Initialisierung im 4-Augen-Prinzip
- Vorgaben für ein Backup
- Schlüssel dürfen vorab erzeugt werden
2. Identitätsfeststellung
Wie immer bei qualifizierten Zertifikaten ist die Identitätsfeststellung zentral, also auf welcher Basis die Identität des Unterzeichners festgestellt wird. Wichtig ist auch, ob ein eID means (electronic Identification means) genutzt wird, welches dann auf die Identität verweist, oder ob direkt auf eine Identität verwiesen wird.
Wenn kein eID means genutzt wird, kann nur eine sog. ad-hoc-/Einmal-Zertifikat (one-time signing key) ausgestellt werden.
Auch kommen hier wieder die Level of Identity Proofing (LoIP) ins Spiel, für die über den Implementing Act 2025/1566 die ETSI-Norm 119 461 herangezogen wird:
- Baseline LoIP
- Extended LoIP
Für qualifizierte Zertifikate im eIDAS-Kontext ist Extended LoIP verpflichtend.
3. Auslösung einer Signatur
Auch wenn der eigentliche Signaturschlüssel sicher beim Vertrauensdiensteanbieter verwahrt ist, ist für die Auslösung einer Signatur doch der Unterzeichner (Signer) verantwortlich; rechtlich bleibt die Signatur dem Unterzeichner zugeordnet.
Deshalb sind Maßnahmen zur alleinigen Kontrolle des Signierenden, sichere Authentifizierungsmechanismen und geschützte Protokolle für die Signaturauslösung erforderlich.
Anforderungen an den Vertrauensdiensteanbieter
Der Implementing Act 2025/2530 normiert bzw. konkretisiert einige Anforderungen an den Vertrauensdiensteanbieter, etwa zur Meldung bei der Aufsichtsstelle, dem Risikomanagement oder dem Beendigungsplan. Im Annex werden Referenzstandards und Spezifikationen vorgegeben u. a. ETSI TS 119 431-1.
Fazit
Qualifizierte Fernsignaturen werden über den Implementing Act 2025/1567 europaweit harmonisiert. Kernstück ist die verbindliche Einbindung der ETSI TS 119 431-1, die ihrerseits auf DIN EN 419 241-1 Bezug nimmt. Für qualifizierte Fernsignaturen bleibt als Identitätsfeststellung Extended LoIP verpflichtend. Für ad-hoc-/Einmal-/One-time-Zertifikate ist nicht zwingend ein eID means erforderlich.
Qualifizierte Vertrauensdiensteanbieter für die Nutzung von Fernsignaturen-/siegeln werden über den Implementing Act 2025/2530 europaweit harmonisiert; hierüber werden anerkannte ETSI-Standards einbezogen, hier: 391 401 und 119 431-1. Beide werden von der datenschutz cert im Rahmen der Zertifizierung genutzt.
Mehr finden Sie in unserem White Paper „Fernsignaturen gem. Art. 29a/39a eIDAS“. Für weitere Informationen zu den Implementing Acts besuchen Sie unsere Webseite.