Zum Hauptinhalt springen
lila Hexagonmuster

Was ist eIDAS?

eIDAS ist eine EU-Verordnung, mit der ein rechtlicher Rahmen geschaffen wurde, um sicherzustellen, dass elektronische Transaktionen sicherer, schneller und effizienter sind, unabhängig davon, in welchem EU-Land sie stattfinden. Ziel der eIDAS-Verordnung ist es, die Schaffung eines europäischen Binnenmarktes für sicheren elektronischen Handel zu fördern.

Zum Verständnis: eIDAS ist nicht die erste EU-Verordnung über elektronische Transaktionen. Die Richtlinie über elektronische Signaturen aus dem Jahr 1999 verfolgte einen ganz anderen Zweck: Sie sollte die elektronische Signatur in allen Mitgliedstaaten formell zum rechtlichen Äquivalent der handschriftlichen Unterschrift erklären.

Die Richtlinie gab jedoch auch jedem EU-Land die Freiheit, seine eigenen Regeln für die Sicherheit elektronischer Transaktionen festzulegen. Jeder hatte seine eigenen rechtlichen Anforderungen, Richtlinien für den Umgang mit Daten und eine eigene Infrastruktur für Vertrauensdienste, aber die meisten funktionierten nicht grenzüberschreitend.

So hat ein in einem Land unterzeichnetes elektronisches Dokument in einem anderen Land unter Umständen nicht die gleiche Rechtswirkung. Probleme wie diese führten zu Uneinheitlichkeit in der gesamten EU und zu Verwirrung über die Rechtmäßigkeit und Gültigkeit der elektronischen Identifizierung. Schlimmer noch, der grenzüberschreitende Handel wurde dadurch extrem erschwert.

Die EU beschloss 2014, dieses Problem mit der Einführung von eIDAS zu lösen. Die Gesetzgebung trat 2016 in vollem Umfang in Kraft. Ab diesem Zeitpunkt galten in allen EU-Mitgliedstaaten einheitliche Standards für elektronische Identitäten, Authentifizierung und Signaturen.

Letztendlich bewirkt der eIDAS-Rahmen Folgendes:

  1. Es wird sichergestellt, dass Personen und Unternehmen ihr eigenes nationales elektronisches Identitätssystem nutzen können, um online auf öffentliche Dienste zuzugreifen.
  2. Es entsteht ein europäischer Binnenmarkt für Vertrauensdienste, indem sichergestellt wird, dass alle Identitätssysteme grenzüberschreitend funktionieren und den gleichen rechtlichen Status wie eine herkömmliche handschriftliche Unterschrift haben.

Who and what are affected by the eIDAS Regulation?

Im Großen und Ganzen hat eIDAS Auswirkungen für:

  • Bürger der EU-Länder
  • Unternehmen/Organisationen, die ihren Hauptsitz in der EU haben oder mit anderen EU-Unternehmen/-Organisationen und/oder -Bürgern zu tun haben
  • EU-Vertrauensdiensteanbieter (Trust Service Provider, TSP) schützen EU-Transaktionen über ein öffentliches Netz, insbesondere solche, die kommerzielle oder rechtliche Angelegenheiten betreffen, bei denen die Authentifizierung der digitalen Identität wichtig ist. Ein TSP ist jede Stelle, die an der Erstellung, Validierung und Aufbewahrung von elektronischen Identitäten, elektronischen Signaturen, elektronischen Siegeln oder digitalen Zertifikaten beteiligt ist.

Im Folgenden finden Sie eine nicht vollständige Liste digitaler Transaktionen, die unter eIDAS fallen:

  • Reisebezogene Transaktionen
  • Elektronische Rechnungsstellung im Geschäftsverkehr zwischen Unternehmen
  • Behördliche Dienstleistungen, z. B. Stimmzettel oder Steuererklärungen
  • Bankvereinbarungen, Investitionen und Darlehen
  • Website-Authentifizierung
  • Zahlungsdienste von Dritten

Die eIDAS-Verordnung verlangt außerdem, dass Behördendienste sowie kommerzielle und öffentliche Dienste einheitliche Signaturformate und europaweite Identitäten anerkennen. Mit anderen Worten: Der elektronische Personalausweis eines Bürgers muss in jedem EU-Mitgliedstaat gleichermaßen anerkannt werden. Insbesondere liegt die Last der Einhaltung der Vorschriften bei den Vertrauensdiensteanbietern und nicht bei den Verbrauchern selbst.

Welche Vorteile hat eIDAS?

Die Einführung von elektronischen Identifizierungs- und Vertrauensdiensten kann viele Vorteile haben. Laut Europäischer Kommission zählen dazu folgende Vorteile:

  1. Bessere Benutzererfahrung: Die Arten von Authentifizierungsdiensten, die eIDAS ermöglicht, gewährleisten eine reibungslose Produktlieferung für die Verbraucher. Noch wichtiger ist, dass sie das Vertrauen und die Zufriedenheit erhöhen, indem sie den Kunden ein höheres Maß an Sicherheit während des Transaktionsprozesses bieten.
  2. Erhöhte Sicherheit: Mit eIDAS können Einzelpersonen bequem auf eine breite Palette von Online-Diensten zugreifen, ohne ihre Daten preiszugeben. Unternehmen unterliegen strengeren Datenschutzanforderungen und müssen sicherstellen, dass sie mit den personenbezogenen Daten der Verbraucher mit größter Sorgfalt und im Einklang mit ihren rechtlichen Verpflichtungen umgehen.
  3. Straffung der grenzüberschreitenden Effizienz: Mit eIDAS müssen sich Unternehmen nicht mehr mit komplexen und unterschiedlichen Systemen herumschlagen, die sich je nach Standort unterscheiden, was früher ein häufiges Problem im internationalen E-Commerce war. Nun können Unternehmen Transaktionen unabhängig davon durchführen, in welchem EU-Mitgliedstaat sie sich gerade befinden.

Natürlich hat eIDAS auch positive sozioökonomische Auswirkungen. Die Verordnung fördert das digitale Wirtschaftswachstum durch die Beseitigung von Hindernissen für den elektronischen Handel, die sonst Online-Dienste erschweren.

In April 2024, the European Commission updated the eIDAS Regulation. This update, commonly referred to as eIDAS 2 or eIDAS 2.0, introduces some new trust services and provides a strong framework for the deployment of EU Digital Identity Wallets. Learn more about eIDAS 2 here.

Möchten Sie mehr über die Einhaltung von eIDAS erfahren? Laden Sie noch heute das E-Book herunter.

Was ist die elektronische Identität?

Eine elektronische Identifizierung oder „eID“ ist ein elektronisches Mittel zur Überprüfung der digitalen Identität einer Person. Nach Ansicht der Europäischen Kommission ist eine sichere elektronische Identität für das tägliche Leben in der digitalen Welt unerlässlich.

Sie kann zum Abrufen von E-Mails, zum Online-Shopping, zum Entsperren von Geräten und für viele andere regelmäßige Aktivitäten verwendet werden. Die elektronische Identifizierung kann auch die eindeutige Identifizierung einer Person gewährleisten und sicherstellen, dass die richtige Dienstleistung an die Person geliefert wird, die tatsächlich Anspruch darauf hat. Die eIDs wiederum sind ein wesentlicher Aspekt des Online-Bankings und anderer sensibler digitaler Transaktionen.

eIDAS-Sicherheitsniveaus

Der Begriff „Sicherheitsniveau“ bezieht sich darauf, wie sicher ein Diensteanbieter sein kann, dass die von einer Person angegebene Identität korrekt ist. Mit anderen Worten, es ist der Grad des Vertrauens, den man hat, dass jemand derjenige ist, der er vorgibt zu sein, wenn er eine eID für den Zugang zu einem Online-Dienst verwendet.

Im Rahmen von eIDAS muss ein eID-System nach drei Sicherheitsniveaus klassifiziert werden:

  1. Niedrig: This level of identification gives only a small amount of confidence that a person is who they say they are. This level does however require some rules and controls to help reduce the risk of someone misusing or changing the identity information.
  2. Substanziell: This level gives a good amount of confidence that a person is who they say they are. This level also requires specific technical rules and controls that greatly reduce the risk of someone misusing or changing the identity information.
  3. Hoch: This level gives a very high level of confidence that a person is who they say they are. It uses strict technical rules and controls to prevent anyone from misusing or changing the identity information.

Alle drei Niveaus stützen sich in hohem Maße auf die Authentifizierung, bei der es sich im Wesentlichen um den Prozess der Überprüfung einer elektronischen Identifizierung handelt. Dazu gehört die Erfassung relevanter Identitätsdaten, d. h. von Informationen über eine natürliche oder juristische Person, die nur die tatsächliche Person mitteilen kann. Im Allgemeinen werden bei den Authentifizierungsmethoden drei Faktoren zur Identitätsüberprüfung verwendet:

  1. Wissensbasierte Authentifizierung: Der Unterzeichner gibt etwas an, das nur er kennt, z. B. ein Passwort oder einen Code.
  2. Besitzbasierte Authentifizierung: Der Unterzeichner stellt etwas zur Verfügung, über das nur er selbst verfügen kann, z. B. ein Ausweisdokument oder eine Chipkarte.
  3. Biometrisch gestützte Authentifizierung: Der Unterzeichner wird anhand seiner physischen Merkmale verifiziert, z. B. durch Fingerabdrücke oder Gesichtserkennung.

Die eIDAS-Verordnung legt nicht fest, welche Technologien oder Authentifizierungsmethoden erforderlich sind, um die einzelnen Sicherheitsniveaus zu erfüllen. Aus diesem Grund entwickeln die EU-Länder ihre eigenen eID-Systeme. Obwohl sie auf den eIDAS-Grundsätzen beruhen, steht es jedem Staat frei, sein System so zu gestalten, dass es seiner jeweiligen technologischen Landschaft entspricht.

Eine Studie von 2022 gibt Aufschluss darüber, wie die EU-Mitgliedstaaten ihre Systeme gestalten. Die Ergebnisse zeigen Folgendes:

  • Die eID-Systeme von 25 Ländern bieten eine hohe Sicherheit.
  • 20 Länder bieten eine substanzielle Sicherheit.
  • 12 Länder bieten eine niedrige Sicherheit.

Wie Sie sehen können, tendiert die EU zu einer größeren Sicherheit, was die Bedeutung einer sicheren elektronischen Identifizierung unterstreicht.

Was sind eIDAS-Vertrauensdienste?

Vertrauensdienste beziehen sich auf ein breites Spektrum von Authentifizierungs- und Signaturaktivitäten zum Schutz elektronischer Transaktionen. Einige der gängigsten Vertrauensdienste sind:

  • Zertifikate: Eine Methode zur Sicherstellung der Identität einer Person ist die Ausstellung eines digitalen Zertifikats durch eine dritte Behörde. Kurz gesagt ist ein Zertifikat eine Datei, die die Authentizität eines Geräts, Servers, Benutzers oder einer Entität durch Kryptografie mit öffentlichen Schlüsseln nachweist. Es enthält eine Kopie eines öffentlichen Schlüssels des Zertifikatsinhabers, der mit einem entsprechenden privaten Schlüssel abgeglichen werden muss, um seine Echtheit zu überprüfen.
  • Electronic timestamp: Timestamping is a process whereby a date and time are electronically and cryptographically bound to a document, its signature, and other information, therefore certifying its existence at a given time. Die Genauigkeit des Datums und der Uhrzeit wird vom Vertrauensdiensteanbieter garantiert und kann nicht von Dritten manipuliert werden. Dies kann aus vielen Gründen rechtlich wichtig sein, ist aber besonders hilfreich, wenn vertragliche Vereinbarungen streitig sind.
  • Elektronische Signatur und elektronisches Siegel: Eine elektronische Signatur ist wie ihr handschriftliches Gegenstück eine Möglichkeit, die Echtheit eines Rechtsdokuments zu bestätigen und die Absicht zu bekunden, an die darin enthaltenen Bestimmungen gebunden zu sein. Ein elektronisches Siegel hingegen repräsentiert eine ganze Organisation/ein Unternehmen und nicht nur eine Person.
  • Digitale Signatur: Eine digitale Signatur ist eine Art von elektronischer Signatur, die mit einem digitalen Zertifikat und einem privaten Signaturschlüssel erstellt wird. Da digitale Signaturen fälschungssicher sind, stellen sie sicher, dass ein Dokument nach seiner Unterzeichnung nicht mehr verändert wurde.
  • Registered e-delivery: This trust service provides the digital equivalent of sending a registered letter with tracking and acknowledgement of receipt.
  • Electronic archiving: This trust service provides a digital archiving vault to keep records in a way that won’t damage them over time and that will retain their legal value.
  • Electronic ledgers: This trust service provides an official (legally recognized) and secure way to record information (typically digital transactions and agreements), just like a notary would.
  • Management of remote electronic signature- and seal-creation devices: This may be the least obvious trust service, because it’s designed for TSPs and not for citizens and businesses. This trust service enables e-signature vendors to manage digital signing and sealing processes remotely, in a way that is secure and that ensures the signatories retain full control of the signing process even if they aren’t physically performing the signature.
  • Issuance of electronic attestation of attributes (EAAs): This trust service enables the issuance of EAAs, which are then stored in a digital identity wallet. An EAA is like a digital stamp of approval that confirms that a piece of information is true.

Organisationen/Unternehmen, die einen der oben genannten Punkte unterstützen, gelten als Vertrauensdiensteanbieter und müssen daher der eIDAS-Verordnung einhalten.

Arten elektronischer Signaturen gemäß eIDAS

eIDAS definiert drei Arten von elektronischen Signaturen, die ein Diensteanbieter anbieten kann:

1. Einfache elektronische Signatur

Die Europäische Kommission betrachtet die einfache elektronische Signatur als die einfachste der drei Möglichkeiten. Sie ist wie folgt definiert: „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.“ Im Grunde genommen kann etwas so Einfaches wie das Kritzeln Ihres Namens auf einem elektronischen Dokument eine einfache elektronische Signatur darstellen.

2. Fortgeschrittene elektronische Signatur

Eine fortgeschrittene elektronische Signatur hat genauere Anforderungen. Zum Beispiel muss sie folgende Anforderungen erfüllen:

 

  • Sie ist eindeutig dem Unterzeichner zugeordnet und ermöglicht die Identifizierung des Unterzeichners.
  • Sie wird so erstellt, dass der Unterzeichner sie unter seiner alleinigen Kontrolle verwenden kann.
  • Linked to the document so that any subsequent change is detected

Normalerweise wird eine fortgeschrittene elektronische Signatur mit digitalen Zertifikaten und kryptografischen Schlüsseln erstellt, so dass sie auch als digitale Signatur betrachtet werden kann. Sie können aber auch biometrische Daten, Zugangscodes und andere elektronische Mittel verwenden.

 

3. Qualifizierte elektronische Signatur

Die qualifizierte elektronische Signatur ist die anspruchsvollste der drei Möglichkeiten und bietet das höchste Maß an Sicherheit. Es sind jedoch zwei zusätzliche Anforderungen zu beachten:

  1. Eine qualifizierte elektronische Signatur kann nur mit einer qualifizierten Signaturerstellungseinheit (QSCD) erstellt werden. Eine QSCD ist eine Art von kryptografischer Hardware, wie z. B. ein Hardware-Sicherheitsmodul (HSM), das einen eIDAS-Zertifizierungsprozess durchlaufen hat.
  2. Eine qualifizierte Signatur muss auch auf einem qualifizierten Zertifikat beruhen. Im Rahmen von eIDAS unterliegt ein qualifiziertes Zertifikat strengeren Anforderungen als ein typisches digitales Zertifikat. Außerdem kann es nur von einem qualifizierten Vertrauensdiensteanbieter (QSTP) wie Entrust ausgestellt werden. QSTPs sind Unternehmen/Organisationen, die von einer zuständigen nationalen Behörde geprüft und mit einem qualifizierten Status versehen wurden, wie er in der Vertrauensliste der EU aufgeführt ist.

Verstärken Sie Ihre eIDAS-Konformität mit Entrust-Lösungen

Wir bei Entrust wissen, dass die Einhaltung von Vorschriften nicht einfach ist. Das gilt auch für die eIDAS-Verordnung. Egal, ob Sie ein EU-Unternehmen oder ein Anbieter von Vertrauensdiensten sind, Sie wollen den Verbrauchern eine sichere und nahtlose Transaktion bieten, unabhängig davon, wann und wo sie stattfindet.

EU-Unternehmen: Erzeugen Sie fortgeschrittene und qualifizierte Signaturen und Siegel mit Entrust

Entrust offers an e-signature service, available via a web portal or a REST API. We can help you to create eIDAS advanced or qualified signatures and seals.

Informieren Sie sich über unser Signierportal und testen Sie es kostenlos unter signhost.com.

Vertrauensdiensteanbieter: Aufbau eines eIDAS-Vertrauensdienstes

Für den Betrieb Ihrer Vertrauensdienste ist eine starke Root of Trust erforderlich. Entrust kann Ihnen helfen, eine eIDAS-zertifizierte qualifizierte Signaturerstellungseinheit mit nShield HSMs in Kombination mit dem Entrust Signature Activation Module einzusetzen.

Unsere HSMs ermöglichen es Vertrauensdiensteanbietern, das Vertrauen zu maximieren und rechtsverbindliche Transaktionen über Grenzen hinweg zu ermöglichen – und das alles bei erhöhter Sicherheit. Dienstleister können nShield HSMs verwenden, um digitale Zertifikate, Zeitstempel oder digitale Signaturen im Rahmen von eIDAS-konformen Lösungen auszustellen.

Entrust kann auch Engines für digitale Signaturen zur Erzeugung von eIDAS-konformen digitalen Signaturen bereitstellen. Kombiniert mit Entrust PKI-Lösungen und Entrust-Lösungen für Identitäts- und Zugriffsverwaltung haben Sie alles, was Sie brauchen, um Ihren eigenen Signierdienst einzurichten.

This content does not constitute legal advice. Although definitions provided are based on the Official Journal of the European Union definitions and requirements for electronic and digital signatures are typically more elaborate than how they are described in this content and there may be variations to take into consideration. The suitability, enforceability, or admissibility of electronic documents will likely depend on many factors such as the country or state where you operate, the country or state where the electronic document will be distributed, as well as the type of electronic document involved. Appropriate legal counsel should be consulted to analyze any potential legal implications and questions related to the use of electronic documents and the use of suitable and/or required solutions to generate and/or authenticate an electronic signature for each use case.