Die eIDAS-Verordnung: Grundlagen einfach erklärt

Wenn man sich mit der elektronischen Signatur beschäftigt, wird man unweigerlich über den Begriff „eIDAS-Verordnung“  stolpern. Die eIDAS-Verordnung bezeichnet die rechtliche Grundlage für elektronische Identifizierung und Vertrauensdienste in der EU. Wir klären in diesem Artikel, welche Regelungen die eIDAS-Verordnung enthält und inwiefern diese relevant für das elektronische Signieren sind.

Was ist die eIDAS-Verordnung?

eIDAS, auch bekannt als Artikel Nr. 910/2014, ist eine gesetzliche Verordnung der EU, die eine einheitliche Grundlage für die elektronische Identifizierung und Vertrauensdienste bringt. Die eIDAS-Verordnung ist seit 2016 vollständig in Kraft. 

Die Abkürzung eIDAS steht für:

• electronic 
• IDentification 
• Authentication and
• trust Services

Gut zu wissen: In der Schweiz ist das Bundesgesetz ZertES und nicht die eIDAS-Verordnung die geltende rechtliche Grundlage, wenn es um die E-Signatur geht – die Inhalte sind jedoch sehr ähnlich.

Die Ziele von eIDAS

Die eIDAS-Verordnung (kurz: eIDAS-VO) ist die rechtliche Grundlage für elektronische Identifizierung und Vertrauensdienste in der EU. Sie ermöglicht das rechtssichere Signieren von Dokumenten auf digitalem Weg – ein wichtiger Baustein für schnelle und sichere Digitalisierung von Organisationen in der EU. 

Die eIDAS-Verordnung – auch bekannt als Artikel Nr. 910/2014 – ist am 1. September 2014 in Kraft getreten. Im Juli 2016 hat sie die vorher gültige EU-Signaturrichtlinie (1999/93/EG) abgelöst. Grund für die Ablösung der EU-Signaturrichtlinie (1999/93/EG) war, dass ihre Komplexität eine EU-weite Nutzung elektronischer Signaturen verhinderte. Die eIDAS-Verordnung ist im Vergleich viel nutzerzentrierter. 

Die eIDAS-Verordnung bringt eine einheitliche Grundlage für elektronisches Unterschreiben

Wo genau gilt die eIDAS-Verordnung?

Die eIDAS-Verordnung ist die „Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“ der Europäischen Union. Sie ist das geltende Recht für alle 27 Mitgliedsstaaten der EU sowie für:

• das Vereinigte Königreich
• Island
• Norwegen
• Liechtenstein

Mit der eIDAS-Verordnung werden einheitliche Rahmenbedingungen für die grenzüberschreitende Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste geschaffen. Sie ist also sowohl grenzübergreifend als auch innerhalb der einzelnen Länder gültig. 

eIDAS: Inhalte kurz zusammengefasst

Die eIDAS-Verordnung zielt darauf ab, einen reibungslosen Ablauf elektronischen Handelns in der EU zu gewährleisten. Zur Förderung dessen standardisiert und definiert sie unter anderem die folgenden Aspekte:

Vertrauensdienste

Die eIDAS-Verordnung definiert unter anderem eine neue Klasse von „elektronischen Vertrauensdiensten“ (auch bekannt als Zertifizierungsstellen), standardisiert die Verwendung elektronischer Identifizierung (eID) und schafft innerhalb einen gemeinsamen europäischen Markt (auch: Binnenmarkt) für elektronische Vertrauensdienste.  

Elektronische Signaturen

Die eIDAS-Verordnung zielt darauf ab, die Rechtsgültigkeit elektronischer Signaturen zu klären und sicherzustellen. Sie definiert einerseits, elektronische Signatur seien „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden (...)“. Andererseits definiert eIDAS auch drei Arten elektronischer Signatur: die einfache, fortgeschrittene und qualifizierte elektronische Signatur. 

Elektronische Siegel

Die eIDAS-Verordnung führt elektronische Siegel als neuen Dienst ein. Sie sind technisch vergleichbar mit elektronischen Signaturen, werden jedoch nur juristischen Personen, also Organisationen, zugeordnet. Eingesetzt werden sie gemäß der eIDAS-Verordnung, wo eine persönliche Unterschrift nicht nötig, aber ein Authentizitätsnachweis gewünscht ist (z. B. bei Urkunden). 

Elektronische Zeitstempel

Mit der eIDAS-Verordnung haben elektronische Zeitstempel eine neue, offizielle Rolle erhalten. Im Zuge der Einführung der eIDAS-Verordnung wurde auch geklärt, was ein qualifizierter elektronischer Stempel ist und was die Funktionsweisen sowie Anforderungen sind.  

Dienste für elektronische Einschreiben

Die eIDAS-Verordnung regelt unter anderem die „Dienste zur Zustellung elektronischer Einschreiben”. Nach Art. 3 Nr. 36. wird ein solcher Dienst definiert als „elektronischer Dienst, der in der Regel gegen Entgelt erbracht wird“,, „der die Übermittlung von Daten zwischen Dritten mit elektronischen Mitteln ermöglicht und einen Nachweis der Handhabung der übermittelten Daten erbringt (...)“. Die eIDAS-Verordnung definiert des Weiteren die Rechtsgültigkeit dieser Dienste. 

Zertifikate für die Website-Authentifizierung

Zertifikate für Website-Authentifizierung stellen sicher, dass hinter einer Website eine echte und vertrauenswürdige Einrichtung steht. Die eIDAS-Verordnung führt darum qualifizierte Website-Zertifikate ein. Zwar gab es auch schon vor eIDAS einige Vorgaben von Browser-Anbietern, jedoch handelte es sich bei diesen nicht um qualifizierte Zertifikate. 

Die eIDAS-Verordnung regelt die rechtlichen Rahmenbedingungen für elektronische Vertrauensdienste

Die eIDAS-Verordnung und elektronische Signaturen

Die eIDAS-Verordnung ermöglicht das rechtssichere Signieren von Dokumenten auf digitalem Weg. eIDAS definiert und standardisiert für den EU-Raum, welche E-Signatur-Standards es gibt beziehungsweise welche Anforderungen an deren Erstellung gelten. Wann welcher Standard rechtsgültig zum Einsatz kommt, definiert das nationale Recht. 

E-Signatur-Standards nach eIDAS

Die eIDAS-Verordnung definiert drei verschiedenen Sicherheitsstufen von elektronischen Unterschriften, die auch als E-Signatur-Standards bezeichnet werden:

• die einfache elektronische Signatur (EES), die sehr einfach zu handhaben ist, jedoch auch nur eine geringe Beweiskraft hat.
• die fortgeschrittene elektronische Signatur (FES), für die schon eine höhere Identifikation erforderlich ist und dadurch auch mehr Beweiskraft hat.
• die qualifizierte elektronische Signatur (QES), die maximale Identifikationsanforderungen stellt, gleichzeitig aber auch höchste Beweiskraft garantiert.

Die eIDAS-Verordnung definiert drei E-Signatur-Standards (Quelle: Skribble)

Gut zu wissen: Eine gescannte Unterschrift oder der Fingerwisch auf einem Touch-Display gehören zur einfachen elektronischen Signatur. Da diese Signaturen einfach zu kopieren oder zu fälschen sind, haben sie wenig Beweiskraft vor Gericht.

Rechtsgültigkeit von E-Signatur-Standards gemäß eIDAS

Zur Rechtsgültigkeit von E-Signaturen allgemein ist in der eIDAS-Verordnung nichts Weiteres erlassen. Deshalb definiert das nationale Recht, für welche Dokumente die E-Signatur zugelassen ist und für welche Verträge welcher E-Signatur-Standard vorgeschrieben ist.

Aufgrund dessen machen wir hier einen kurzen Abstecher zum Vertragsrecht in Deutschland. Dieses unterscheidet zwischen:

• Dokumenten mit Schriftformerfordernis 
• formfreien Dokumenten

Formfreie Dokumente können auf beliebige Weise abgeschlossen werden, zum Beispiel auch mündlich. Solange die Schriftform für einen Vertrag nicht gesetzlich vorgeschrieben ist, kann somit jede der drei Sicherheitsstufen nach eIDAS-Verordnung als rechtsgültig eingestuft werden.

Bei Verträgen mit Schriftlichkeitserfordernis kann jedoch nur die QES verwendet werden – ansonsten ist der Vertrag nichtig. 

Bei der Entscheidung, welchen E-Signatur-Standard Unternehmen bei formfreien Verträgen wählen, fließt aber nicht nur die Frage nach der Rechtsgültigkeit mit ein, sondern auch die Frage nach der Beweiskraft.

Die Beweiskraft der EES ist viel geringer als die der QES. Wenn die Authentizität oder Integrität der Unterschrift angefochten wird, hat man es mit der EES deshalb viel schwieriger – nicht zuletzt auch weil bei der einfachen und fortgeschrittenen elektronischen Signatur die konkreten Rechtsfolgen im Ermessen des Gerichts liegen. 

Bei der QES definiert eIDAS hingegen die Rechtsfolge:

Das Gesetz erachtet die QES als genauso rechtsgültig wie die handschriftliche Unterschrift (Quelle: Skribble)

Ein weiterer Vorteil der QES ist, dass sie in allen EU-Mitgliedstaaten grenzübergreifend als „qualifiziert“ anerkannt werden muss und somit standardisiert eingesetzt werden kann. Das ist ein weiterer Grund, warum durch die eIDAS-Verordnung im Bereich der elektronischen Signatur Rechtsgültigkeit entstanden ist. 

Beweiskraft von E-Signaturen nach eIDAS

Bezüglich der Beweiskraft der elektronischen Signatur schreibt die eIDAS-Verordnung vor, dass diese von Gerichten als Beweismittel gewürdigt werden muss: 

Anders als bei der handschriftlichen Unterschrift mit Kugelschreiber gilt im digitalen Bereich nicht das Schriftbild als ausschlaggebend für die Beweiskraft einer Signatur, sondern eine Verknüpfung von Daten. Nutzt man z. B. den Scan einer Unterschrift als einfache elektronische Signatur, dann ist die Beweiskraft sehr gering, weil sie einfach zu kopieren ist.

Ganz anders sieht es bei der QES aus: Diese besitzt maximale Beweiskraft – unter anderem aufgrund der folgenden Anforderungen.

1. eIDAS schreibt vor, dass jeder E-Signatur mit dem Standard QES ein digitales qualifiziertes Zertifikat hinzugefügt wird. Dieses dient als elektronischer Ausweis der signierenden Person und garantiert folglich die Identität des Unterzeichners. Zudem stellt es sicher, dass das unterschriebene Dokument nicht unbemerkt verändert wurde (Integrität).
2. Die Zertifikate werden von Vertrauensdiensteanbietern (VDA) ausgestellt und dürfen nur nach Identitätsprüfung des Unterzeichners herausgegeben werden. Um qualifiziert zu werden, muss ein VDA alle Anforderungen der eIDAS-Verordnung erfüllen und von einer Aufsichtsstelle geprüft werden. 

Die maximale Beweiskraft der qualifizierten elektronischen Signatur wird somit mithilfe von qualifizierten VDA und allen Prüfungsverfahren, welche diese durchlaufen, garantiert.

Was sind zertifizierte Vertrauensdienste-Anbieter?

Eine Vertrauensdienste-Anbieter (auch: Zertifizierungsstelle) ist ein unabhängiger und vom Staat regelmäßig zertifizierter Anbieter von Vertrauensdiensten oder Trust Services wie z. B.: 

• die Telekom AG 
• Swisscom
• A-Trust. 

Ihre Aufgabe besteht im Wesentlichen darin, einen digitalen Vertrauensraum im Internet zu schaffen. Dazu stellen Zertifizierungsstellen elektronische Zertifikate für Signaturen und Websites aus, um deren Integrität und Urheberschaft zu bestätigen. 

Skribble arbeitet mit eIDAS-konformen Zertifizierungsstellen zusammen

Neuerungen in Deutschland durch die eIDAS-Verordnung

Die 2016 in Kraft getretene eIDAS-Verordnung ersetzt die Richtlinie 1999/93/EG über elektronische Signaturen und behebt einerseits ihre Mängel und erweitert andererseits deren Anwendungsbereich um zahlreiche wichtige Punkte. Die größte Auswirkung der eIDAS-Verordnung hat das Signieren von Dokumenten. Zu Recht, denn eIDAS soll den Einsatz der elektronischen Signatur in Europa fördern. 

Zu den wichtigen Neuerungen zählen: 

• Rechtsgültigkeit der einfachen elektronischen Signatur massiv erhöht
• Einführung eines einheitlichen und  in Europa verbindlichen Gesetzeswortlauts
• Signieren per Fernsignatur möglich (Beispiel: QES via Online-identifikation aktivieren) 

eIDAS fördert die Digitalisierung am europäischen Binnenmarkt

eIDAS – kurz für „Electronic Identification And Trust Services“ – ist die „Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“. Sie ist seit 2016 in Kraft und das geltende Recht für alle 27 Mitgliedstaaten der EU sowie für das Vereinigte Königreich, Island, Norwegen und Liechtenstein. eIDAS soll den Einsatz der elektronischen Signatur in Europa fördern. 

FAQs