Novellierung der eIDAS-Verordnung

Die europäische eIDAS-Verordnung wurde 2024 novelliert. Hier erhalten Sie Informationen zur eIDAS grundsätzlich und zur novellierten eIDAS sowie einen Überblick über die Auswirkungen:

  • Was ist die eIDAS?
  • Was ist die novellierte eIDAS?
  • Was sind die wesentlichen Änderungen der Novelle?
  • Und welche Auswirkungen bringt die novellierte eIDAS?

1. Was ist die eIDAS?

Die europäische eIDAS-VO heißt im vollen Wortlaut: „Verordnung (EU) Nr. 910/2014 des europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG“. Sie gilt seit 2016 und löste seinerzeit die EU-Signaturrichtlinie sowie das deutsche Signaturgesetz in weiten Teilen ab, vgl. dazu auch hier

. www.datenschutz-notizen.de/aus-sigg-wird-eidas-1614951/ .

Einige Bestandteile des Signaturgesetzes (SigG), die keinen Eingang in die eIDAS gefunden haben, wurden in das Vertrauensdienstegesetz (VDG) überführt. Während die Signaturrichtlinie mit dem Signaturgesetz die nationale Umsetzung darstellte, wirkt die eIDAS als Europäische Verordnung direkt und unmittelbar.
 

Zentrales Element der eIDAS sind sogenannte Vertrauensdienste, die zentrale Dienste für eine sichere Kommunikation ermöglichen. Dies sind gem. Artikel 3 Nr. 16:

a) „Erstellung, Überprüfung und Validierung von elektronischen Signaturen, elektronischen Siegeln oder elektronischen Zeitstempeln, und Diensten für die Zustellung elektronischer

b) Einschreiben sowie von diese Dienste betreffenden Zertifikaten oder

c) Erstellung, Überprüfung und Validierung von Zertifikaten für die Website-Authentifizierung oder
Bewahrung von diese Dienste betreffenden elektronischen Signaturen, Siegeln oder Zertifikaten.“ 
 

Anbieter solcher Vertrauensdienste heißen demzufolge Vertrauensdiensteanbieter (VDA). Vertrauensdiensteanbieter können sich qualifizieren lassen und sodann als qualifizierter Vertrauensdiensteanbieter auf der Europäischen TrustList aufgeführt werden. Zuständig für die Qualifizierung ist in Deutschland die Bundesnetzagentur in Mainz, vgl. hier (Ausnahme: Website-Authentisierung, hier ist das BSI in Bonn zuständig).

Grundlage für eine solche Qualifizierung ist u.a. die Überprüfung des Dienstes und des Anbieters durch eine akkreditierte Konformitätsbewertungsstelle; in Deutschland sind dies vier Stellen – u.a. die datenschutz cert GmbH, vgl. hier

2. Was ist die novellierte eIDAS?

Seit dem 30. April 2024 ist nun die folgende europäische Verordnung im Amtsblatt veröffentlicht: „Verordnung (EU) 2024/1183 des europäischen Parlaments und des Rates vom 11. April 2024 zur Änderung der Verordnung (EU) Nr. 910/2014 im Hinblick auf die Schaffung des europäischen Rahmens für eine digitale Identität“. Sie trat gem. Artikel 2 am „zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft“, also am 20. Mai 2024.

Die vorliegende Verordnung 2024/1183 ist ein sogenanntes Änderungsgesetz, das den Wortlaut der eIDAS-VO 910/2014 in vielen Artikeln ändert. Die konsolidierte Fassung – welche noch nicht vorliegt – wird dann vermutlich exakt heißen: „Verordnung (EU) Nr. 910/2014 des europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, zuletzt geändert durch Verordnung (EU) Nr. 2024/1183“.

Und wieso gibt es nun keine „eIDAS 2.0“, wie häufig kolportiert wird? Nun, weil dieVerordnung (EU) Nr. 910/2014 des europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG“ schlichtweg in der geänderten Fassung zum 20. Mai 2024 den gültigen Rechtsrahmen darstellt
 

3. Was sind die wesentlichen Änderungen der novellierten eIDAS-Verordnung?

Die Wallet steht ganz klar im Vordergrund der novellierten eIDAS. Offiziell „European Digital Identity Wallet“, in der deutschen Fassung der eIDAS als „europäische Brieftasche für die Digitale Identität“ bezeichnet. Die Wallet sollte lt. Erwägungsgrund 7 „natürlichen und juristischen Personen in der gesamten Union ein harmonisiertes elektronisches Identifizierungsmittel an die Hand geben, das ihnen die Authentifizierung und die Weitergabe von mit ihrer Identität verknüpften Daten ermöglicht. Alle sollten auf sichere Weise Zugang zu öffentlichen und privaten Dienstleistungen erhalten, die sich auf ein verbessertes Ökosystem für Vertrauensdienste und auf überprüfte Identitätsnachweise und elektronische Attributsbescheinigungen stützen können, beispielsweise akademische Qualifikationen, einschließlich Hochschulabschlüsse, oder andere Qualifikationen im Bereich der allgemeinen und beruflichen Bildung.“ 

Die bisherigen Dienste werden neu sortiert und erweitert. Artikel 3 Nr. 16 wird geändert und präsentiert sich mit einer Übersicht über die möglichen Vertrauensdienste wie folgt:

a) Ausstellung von Zertifikaten für elektronische Signaturen, von Zertifikaten für elektronische Siegel, von Zertifikaten für die Website-Authentifizierung oder von Zertifikaten für die Erbringung anderer Vertrauensdienste;

b) Validierung von Zertifikaten für elektronische Signaturen, Zertifikaten für elektronische Siegel, Zertifikaten für die Website-Authentifizierung oder Zertifikaten für die Erbringung anderer Vertrauensdienste;

c) Erstellung elektronischer Signaturen oder elektronischer Siegel;

d) Validierung elektronischer Signaturen oder elektronischer Siegel;

e) Bewahrung von elektronischen Signaturen, elektronischen Siegeln, Zertifikaten für elektronische Signaturen oder Zertifikaten für elektronische Siegel;

f) Verwaltung elektronischer Fernsignaturerstellungseinheiten oder elektronischer Fernsiegelerstellungseinheiten;

g) Ausstellung elektronischer Attributsbescheinigungen;

h) Validierung elektronischer Attributsbescheinigungen;

i) Erstellung elektronischer Zeitstempel;

j) Validierung elektronischer Zeitstempel;

k) Erbringung von Diensten für die Zustellung elektronischer Einschreiben;

l) Validierung von durch Dienste für die Zustellung elektronischer Einschreiben übermittelten Daten und damit zusammenhängenden Nachweisen;

m) elektronische Archivierung elektronischer Daten und elektronischer Dokumente; 

n) Aufzeichnung elektronischer Daten in einem elektronischen Journal.“

Die Qualifizierung von Vertrauensdiensten und -anbietern mit der Listung auf der EU TrustList wurde nicht geändert.

Neben neuen Diensten wurden die Anforderungen an die Dienste und Anbieter fokussiert, u.a. in Richtung des Datenschutzes und der Cybersecurity. Wir erinnern uns, dass mit der Datenschutz-Grundverordnung (DSGVO) und der NIS-2-Richtlinie zwei europäische Gesetzesrahmen für Datenschutz und Cybersecurity geschaffen wurden. Dass die eIDAS nun bzgl. Datenschutz- und Cybersecurity-Aspekten auf die entsprechenden Initiativen verweist, ist grundsätzlich zu begrüßen. Gleichwohl kommen damit weitere Akteure ins Spiel: So müssen Vertrauensdiensteanbieter zukünftig auch Artikel 21 der Richtlinie (EU) 2022/2555 zum „Risikomanagementmaßnahmen im Bereich der Cybersicherheit“ umsetzen und ggü. den zuständigen Behörden nachweisen. Artikel 21 fordert insbesondere Maßnahmen „unter Berücksichtigung des Stands der Technik“; was das genau ist, soll noch in Implementing Acts konkretisiert werden. 

Wegen der vielen Verweise auf andere EU-Verordnungen lohnt es sich vermutlich, sich die kryptische Bezeichnungen zu merken:

  • Verordnung (EU) 2016/679 ist die Datenschutz-Grundverordnung (DSGVO)
  • Verordnung (EU) 2022/2555 ist die NIS-2: „Richtlinie (EU) 2022/2555 des europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie)“
  • Verordnung (EU) 2019/881 ist für Cybersecurity-Zertifizierung zuständig: „Verordnung (EU) 2019/881 des europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit)“
     

Welche Prüfungen sind nun vorgesehen? Qualifizierte Vertrauensdiensteanbieter werden – wie bislang auch – von Konformitätsbewertungsstellen überprüft.

Konformitätsbewertungsstellen kommen auch zum Einsatz im Hinblick auf die Zertifizierung der Wallet oder der elektronischen Identifizierungssysteme.

Da die datenschutz cert GmbH ein Art. 42 DSGVO-konformes Zertifizierungsschema entwickelt hat (vgl. hier), ist Art. 5c (5) besonders interessant, denn dort heißt es, dass die „Erfüllung der Anforderungen nach Artikel 5a der vorliegenden Verordnung in Bezug auf die Verarbeitung personenbezogener Daten […] gemäß der Verordnung (EU) 2016/679 zertifiziert werden“ kann. Damit kann die Wallet als Verarbeitungsvorgang gem. Art. 42 DSGVO zertifiziert werden. 

Auffällig an der nun vorgestellten eIDAS ist aber auch, dass etliche Themen ausgeklammert und in spätere delegierte Rechtsakte (Delegated Acts) oder Durchführungsrechtsakte (Implementing Acts) vertagt werden, etwa:

  • bis zum 21. November 2024: Referenzstandards, Spezifikationen und Verfahren für die Wallet
  • bis zum 21. Mai 2025: Referenzstandards, Spezifikationen und Verfahren für die Akkreditierung von Konformitätsbewertungsstellen, aber auch für die Prüfvorschriften, nach denen die Stellen arbeiten
  • bis zum 21. Mai 2025: Referenzstandards, Spezifikationen und Verfahren für die Identitätsfeststellung gem. Art. 24 eIDAS
     

4. Welche Auswirkungen bringt die novellierte eIDAS mit sich?

Zunächst einmal für neue Anbieter: Stellen Sie sich vor, Sie sind Anbieter eines der in der novellierten eIDAS-VO aufgeführten Dienste, die Sie als qualifizierter VDA anbieten möchten. Sie streben eine Qualifizierung an und benötigen eine Konformitätsbewertung durch eine akkreditierte Konformitätsbewertungsstelle.

Gibt es denn bereits akkreditierte Konformitätsbewertungsstellen (KBS)? Aber sicher doch: In Deutschland sind vier Stellen gelistet. Entscheidend ist, wofür eine KBS akkreditiert ist; dies geht aus der Akkreditierungsurkunde hervor. Die Akkreditierungsurkunde ist von der DAkkS erteilt und weist neben dem eIDAS-Rechtsrahmen eine sogenanntes Zertifizierungsprogramm auf, das beschreibt, wie die jeweilige KBS Konformitätsbewertungen gem. eIDAS durchführt. Wenn also die DAkkS-Akkreditierungsurkunde mit dem zugehörigen Zertifizierungsprogramm ausweist, dass eine KBS eine Konformitätsbewertung für Ihren Vertrauensdienst durchführen darf, dann können Sie diese KBS beauftragen, um eine Qualifizierung bei der zuständigen Aufsichtsstelle zu erreichen. Damit können die bislang akkreditierten Konformitätsbewertungsstellen die bisherigen Dienste mit ihrer Akkreditierung weiterhin bewerten.
 

Wie oben ausgeführt, sind Konkretisierungen der Anforderungen durch Delegated und Implementing Acts geplant. Sobald diese vorliegen, müssen die Zertifizierungsprogramme überprüft und ggf. angepasst werden. 

Zum jetzigen Zeitpunkt liegen noch keine Zertifizierungsprogramme für neue Dienste vor. Es müsste also im Einzelfall geprüft – und bestenfalls mit der zuständigen Aufsichtsstelle abgestimmt – werden, ob eine Qualifizierung eines Vertrauensdienstes oder -anbieters durch einen Konformitätsbewertungsbericht einer akkreditierten Konformitätsbewertungsstelle akzeptiert wird – die Akkreditierung also schlichtweg ausreicht. 

Die Zertifizierungsprogramme der Konformitätsbewertungsstelle werden zukünftig sehr viel mehr behördlichen und gesetzgeberischen Vorgaben genügen müssen – und vermutlich auch einem stetigen Wandel unterzogen sein, was jedes Mal eine Änderung der Akkreditierung nach sich zieht:

  • ISO/IEC 17065 i.V.m. ISO/IEC 17067 für Aufbau und Struktur des Programms, verifiziert durch DAkkS
  • Delegated Acts und Implementing Acts der EU-Kommission mit Präzisierungen
  • Konformitätsbewertungsprogramm der Bundesnetzagentur mit weiteren Präzisierungen
  • ETSI-Standards: Bislang wurden in Deutschland häufig sogenannte ETSI-Standards für die Bewertung von Vertrauensdiensten herangezogen, etwa die ETSI 319 401 für grundsätzliche Anforderungen oder ETSI 319 411-1 für die Ausstellung von qualifizierten elektronischen Zertifikaten. Anerkannte Standards heranzuziehen ist sinnvoll und soll möglichst auch für die neuen Dienste beibehalten werden, insb. um die europäische Interoperabilität zu gewährleisten.

Und was bedeutet die novellierte eIDAS-VO für bereits qualifizierte Vertrauensdiensteanbieter?

Für bereits qualifizierte VDAs gelten mit Artikel 51 (4) folgende Übergangsregeln: „Qualifizierte Vertrauensdiensteanbieter, denen der Qualifikationsstatus gemäß dieser Verordnung vor dem 20. Mai 2024 zuerkannt wurde, legen der Aufsichtsstelle so bald wie möglich, jedenfalls bis zum 21. Mai 2026, einen Konformitätsbewertungsbericht vor, mit dem die Einhaltung des Artikels 24 Absätze 1, 1a und 1b nachgewiesen wird.“

Da Konformitätsbewertungsberichte die Grundlage für eine Qualifizierung darstellen und stets maximal zwei Jahre gültig sind, wird also quasi eine Übergangsfrist von max. einem Zyklus festgeschrieben.


Ein in der Praxis ganz wichtiger Passus der eIDAS ist Artikel 24 zur Identifizierung von Personen zur Ausstellung eines qualifizierten elektronischen Zertifikates. Bislang wies Artikel 24 (1) vier Möglichkeiten auf:

a) durch persönliche Anwesenheit der natürlichen Person oder eines bevollmächtigten Vertreters der juristischen Person, oder

b) aus der Ferne mittels elektronischer Identifizierungsmittel, für die vor der Ausstellung des qualifizierten Zertifikats eine persönliche Anwesenheit der natürlichen Person oder eines bevollmächtigten Vertreters der juristischen Person gewährleistet war und die die Anforderungen gemäß Artikel 8 hinsichtlich der Sicherheitsniveaus „substanziell“ oder „hoch“ erfüllen, oder

c) durch ein Zertifikat einer qualifizierten elektronischen Signatur oder eines qualifizierten elektronischen Siegels, das gemäß Buchstabe a oder b ausgestellt wurde, oder

d) durch sonstige Identifizierungsmethoden, die auf nationaler Ebene anerkannt sind und gleichwertige Sicherheit hinsichtlich der Verlässlichkeit bei der persönlichen Anwesenheit bieten. Die gleichwertige Sicherheit muss von einer Konformitätsbewertungsstelle bestätigt werden.

Diese Möglichkeiten wurden jetzt gänzlich neu geregelt; Artikel 24 (1a) lautet nunmehr:

a) mit der europäischen Brieftasche für die Digitale Identität oder einem notifizierten elektronischen Identifizierungsmittel, das die Anforderungen des Artikels 8 in Bezug auf das Sicherheitsniveau hoch erfüllt;

b) mit einem Zertifikat einer qualifizierten elektronischen Signatur oder eines qualifizierten elektronischen Siegels, das gemäß Buchstabe a, c oder d ausgestellt wurde;

c) mit anderen Identifizierungsmethoden, die die Identifizierung der Person mit einem hohen Maß an Vertrauen gewährleisten und deren Konformität von einer Konformitätsbewertungsstelle bestätigt wird;

d) durch die physische Anwesenheit der natürlichen Person oder eines bevollmächtigten Vertreters der juristischen Person nach geeigneten Nachweisen und Verfahren im Einklang mit dem nationalen Recht.

Ein Vergleich zeigt, dass sowohl die Identifizierung durch persönliche/physische Anwesenheit oder ein qualifiziertes elektronisches Zertifikat faktisch geblieben ist. Die Identifizierung „aus der Ferne“ wird auf die neue Wallet übertragen. Und die „sonstigen Identifizierungsmethoden“ nach Art. 24 (1) d), die bislang häufig für videobasierte oder automatisierte Verfahren genutzt wurde und für die es bislang in Deutschland ergänzende Bewertungskriterien gab, werden komplett auf die Einschätzung und Bestätigung durch eine Konformitätsbewertungsstelle ausgelagert. Hinsichtlich konkreter Vorgaben werden – wie oben dargestellt – bis zum 21. Mai 2025 entsprechende Implementing Acts erwartet. 

5. Fazit

Ob die novellierte eIDAS nun dem Bürokratieabbau dienlich ist oder alles komplizierter wird, mag jeder selber bewerten. Festzuhalten bleibt aber, 

  • dass mit der europäischen Brieftasche – der Wallet – ein modernes Identifizierungsmittel entsteht,
  • dass die bisherigen Vertrauensdienste sehr viel granularer dargestellt und erweitert werden,
  • dass die Anforderungen an Vertrauensdiensteanbieter signifikant steigen, insb. zur Einhaltung der Cybersecurity,
  • dass damit aber auch weitere Aufsichtsbehörden einbezogen werden,
  • dass die Anforderungen an Konformitätsbewertungsstellen deutlich zunehmen, und
  • dass die Zukunft mit einer Vielzahl von Delegated Acts und Implementing Acts noch Spannung – und Arbeit – verspricht.

Wichtig aber aus Sicht einer Konformitätsbewertungsstelle ist, dass der eigentliche Rechtsrahmen lediglich novelliert wurde und die bisherigen Vertrauensdiensteanbieter im Zuge eines Übergangs weiterarbeiten können.

Wir bieten Ihnen diesen Beitrag auch zum Downloaden an.