Was ist eIDAS?

Die eIDAS-Verordnung hat ein neues System für sichere elektronische Interaktionen zwischen Unternehmen, Bürgern und Behörden in der gesamten EU geschaffen. Obwohl der Umfang der eingeführten gesetzlichen Regelungen sehr weit gefasst ist, sind aus Sicht der Unternehmen die Bestimmungen über elektronische Signaturen, einschließlich qualifizierter Signaturen, besonders wichtig.

Was versteht man unter eIDAS?

Die Abkürzung eIDAS (engl. electronic IDentification, Authentication and trust Services) bezeichnet die Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt. Das Dokument ist seit dem 1. Juli 2016 in der gesamten Europäischen Union in Kraft und ist in der deutschen Rechtsordnung unmittelbar anwendbar. Das Ziel der eIDAS-Verordnung ist es, das Vertrauen in elektronische Transaktionen zu stärken, durch einen Rechtsrahmen, der ihre Sicherheit auf europäischer Ebene gewährleistet.

Was betrifft die eIDAS-Verordnung?

Die eIDAS-Verordnung betrifft zwei allgemeine Aspekte:

1. Elektronische Identifizierungssysteme;

2. Vertrauensdienste.

Im ersten Fall ging es vor allem darum, die Bedingungen festzulegen, unter denen die EU-Länder die in anderen Mitgliedstaaten verwendeten elektronischen Identifizierungsmittel natürlicher und juristischer Personen anerkennen. Dies hat unter anderem Transaktionen zwischen Unternehmen und öffentlichen Einrichtungen erleichtert (z. B. kann sich ein portugiesisches Unternehmen jetzt problemlos um einen öffentlichen Dienstleistungsauftrag in Schweden bewerben und sich vollständig online abrechnen). Dieser Teil des Gesetzes trat später, am 28. September 2018, in Kraft.

eIDAS hat bereits schon früher einen neuen Rechtsrahmen für eine Reihe von Vertrauensdiensten eingeführt. Dazu gehören neben elektronischen Signaturen, einschließlich qualifizierter Signaturen, auch:

• Elektronische Siegel (im Gegensatz zu elektronischen Signaturen werden sie von juristischen Personen eingereicht und gewährleisten die Authentizität der Herkunft und Integrität der damit versehenen Daten);

• Elektronische Zeitstempel (d. h. Daten in elektronischer Form, die andere Daten in elektronischer Form mit einem bestimmten Zeitpunkt verknüpfen und damit nachweisen, dass diese anderen Daten zu diesem Zeitpunkt existierten);

• Dienst zur Zustellung elektronischer Einschreiben (ermöglichen den elektronischen Empfang und Versand von Amtsschreiben, so dass ein Versand- und Empfangsnachweis vorliegt und das Schreiben vor Verlust, Diebstahl, Beschädigung oder unbefugter Änderung geschützt ist);

• Zertifikate für die Website-Authentifizierung.

eIDAS-Verordnung und elektronische Signatur

In der eIDAS-Verordnung sind elektronische Signaturen „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet“ (Art. 3 Abs. 10) Der Unterzeichner ist eine natürliche Person, die eine elektronische Signatur erstellt (Art. 3 Abs. 9). Mit anderen Worten, das Dokument erlaubt verschiedene Arten von Daten als elektronische Signatur, solange sie bewusst verwendet wurden, um bestimmte Inhalte in elektronischer Form zu signieren und ihre Beziehung zu den signierten Inhalten nachgewiesen werden kann. 

Außerdem „einer elektronischen Signatur darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt oder weil sie die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt“ (Art. 25 Abs. 1 eIDAS). Praktisch bedeutet dies, dass bei den meisten Verträgen im Geschäftsverkehr eine beliebige elektronische Signatur verwendet werden kann, einschließlich einer, die keine zusätzlichen Bedingungen zusätzlich zu den oben aufgeführten erfüllt.

Was ist eine qualifizierte Signatur im Lichte der eIDAS-Verordnung?

Die eIDAS-Verordnung definiert auch, was eine sogenannte qualifizierte Signatur ist, d. h. eine besondere Form der fortgeschrittenen elektronischen Signatur. In Artikel 26 des Dokuments heißt es: „Eine fortgeschrittene elektronische Signatur erfüllt alle folgenden Anforderungen:

1. Sie ist eindeutig dem Unterzeichner zugeordnet.

2. Sie ermöglicht die Identifizierung des Unterzeichners.

3. Sie wird unter Verwendung elektronischer Signaturerstellungsdaten erstellt, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann.

4. Sie ist so mit den auf diese Weise unterzeichneten Daten verbunden, dass eine nachträgliche Veränderung der Daten erkannt werden kann.“

Darüber hinaus wird eine qualifizierte elektronische Signatur unter Verwendung einer qualifizierten elektronischen Signaturerstellungseinheit eingereicht und basiert auf einem qualifizierten Zertifikat für elektronische Signaturen (Art. 3 Abs. 12). Das Zertifikat wird für einen begrenzten Zeitraum ausgestellt, nur durch qualifizierte Vertrauensdiensteanbieter – wie z. B. durch kooperierende qualifizierte Autenti-Partner – nach der Verifizierung der Identität der beantragenden Person. Ähnlich wie die „einfache“ elektronische Signatur auf der Autenti-Plattform, können auch qualifizierte Signaturen komplett online bezogen werden – dank Videoverifizierung. 

Aufgrund der zusätzlichen Anforderungen, die sie erfüllen muss, hat eine qualifizierte Signatur ein breiteres Anwendungsspektrum als andere elektronische Signaturen. In eIDAS heißt es: „Eine qualifizierte elektronische Signatur hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift“ (Art. 25 Abs. 2).

Das bedeutet, dass Sie damit auch Dokumente unterzeichnen können, die der Schriftform bei sonstiger Unwirksamkeit bedürfen (z. B. Arbeitsverträge, alle Verträge mit Übertragung der Verwertungsrechte, Bankkontoverträge, Leasingverträge oder Generalvollmachten). Eine qualifizierte Signatur wird auch häufig von staatlichen und lokalen Verwaltungsbehörden verlangt.

In Art. 25 Nr. 3 eIDAS heißt es: „Eine qualifizierte elektronische Signatur, die auf einem in einem Mitgliedstaat ausgestellten qualifizierten Zertifikat beruht, wird in allen anderen Mitgliedstaaten als qualifizierte elektronische Signatur anerkannt.“ Eine in Deutschland ausgestellte qualifizierte Signatur ist daher in der gesamten Europäischen Union gültig.