1.
Praxiswirkungen der Verordnung (EU) Nr. 910/2014 ^
2.1.
Anwendungsbereich ^
2.2.
Elektronische Signatur ^
2.3.
Definition der fortgeschrittenen elektronischen Signatur ^
2.4.
Unterzeichner ^
2.5.
Qualifizierte elektronische Signatur ^
2.6.
Elektronische Signaturerstellungsdaten ^
2.7.
Elektronische Signaturerstellungseinheit ^
2.8.
Pflichtangaben für Zertifikate ^
2.8.1.
Pflichtangaben ^
2.8.2.
Unterzeichnerattribut ^
2.8.3.
Elektronische Siegel ^
Vordergründig unterscheidet sich Anhang I Buchstabe h) der Richtlinie in der Wortwahl von Anhang I Buchstabe g) der Verordnung, welche die fortgeschrittene elektronische Signatur oder das fortgeschrittene elektronische Siegel des ausstellenden qualifizierten Vertrauensdiensteanbieters verlangt. Da das «Siegel» aber funktional auch eine Signatur ist, nur eben die einer nicht natürlichen Person, und da der Zertifizierungsdiensteanbieter der Richtlinie dem qualifizierten Vertrauensdiensteanbieter der Verordnung gemäß deren Artikel 51 entspricht, sind Alt- und Neuregelung hier dennoch kongruent.
2.8.4.
Beschränkungen des Geltungsbereichs ^
Was in der Verordnung allerdings entfallen ist, sind die «gegebenenfalls» anzugebenden Beschränkungen des Geltungsbereichs des Zertifikats oder des abgedeckten Wertes von Transaktionen nach Anhang I Buchstaben i) und j) der Richtlinie. Solche risikobegrenzenden «Angstklauseln» sind nicht mehr möglich, vermutlich weil sie nach Einschätzung der Verordnungsgeber die Akzeptanz digitaler Signaturen als Grundlage eines modernen Binnenmarktes behindert hatten.
2.8.5.
Pflichtinhalte des Zertifikats ^
2.9.
Anbieter qualifizierter Zertifizierungsdienste ^
Der bisher in Artikel 2 Ziffer 11 der Richtlinie genannte «Anbieter qualifizierter Zertifizierungsdienste» als Person oder Stelle, die Zertifikate ausstellte, oder anderweitige Dienste im Zusammenhang mit elektronischen Signaturen bereitstellte, konnte sich qualifizieren, indem er qualifizierte Zertifikate nach Anhang I ausstellte und er konnte sich freiwillig akkreditieren lassen. Gemäß Artikel 51 der Verordnung entspricht so ein qualifizierter Zertifizierungsdiensteanbieter künftig einem qualifizierten Vertrauensdiensteanbieter. Da dieser aber nicht mehr in gleicher Weise «qualifiziert» wird wie bisher, sondern durch Konformitätsbewertungsberichte, die er nach Artikel 20 der Verordnung einer akkreditierten Konformitätsbewertungsstelle vorlegt, muss ein bisheriger qualifizierter Zertifizierungsdiensteanbieter erstmalig dieses Verfahren durchlaufen, um künftig «qualifizierter Vertrauensdiensteanbieter» im Sinne der Verordnung zu heißen. Ansonsten kann er seinen Status verlieren. Seine freiwillige Akkreditierung entfällt, akkreditiert werden nur noch die aufsichtführenden Konformitätsbewertungsstellen (Artikel 3 Ziffer 18 der Verordnung).
2.10.
Validierungsdaten ^
2.11.
Pseudonyme ^
2.12.
Verkehrsfähigkeit im europäischen Binnenmarkt ^
Einen Schritt nach vorn macht die freie Verkehrsfähigkeit im europäischen Binnenmarkt beim Inkrafttreten der Verordnung nach deren Artikel 4. Produkte und Vertrauensdienste, die der Verordnung entsprechen, dürfen dann automatisch im Binnenmarkt frei verkehren. In der Richtlinie gab es eine umzusetzende Verpflichtung der Mitgliedstaaten, für den freien Verkehr zu sorgen; dies betraf dem Wortlaut nach nur Produkte für elektronische Signaturen; für sonstige Vertrauensdienste waren nach Artikel 4 der Richtlinie diskriminierungsfreie, aber von Land zu Land unterschiedliche, innerstaatliche Regelungen zulässig. Die Verkehrsfähigkeit eröffnet im privatrechtlichen Bereich den freien grenzüberschreitenden Verkehr, insbesondere auch die Erbringung von Dienstleistungen mit Identifikationssystemen und Postdiensten.
2.13.
Rechtswirkung von Signaturen ^
2.14.
Regulatorische Annexmaterien ^
2.14.1.
Zeitstempel ^
2.14.2.
Einschreiben ^
2.14.3.
Webseiten-Zertifikat ^
3.1.
Anerkennungspflicht von Identifizierungssystemen ^
3.2.
Haftungsregeln ^
4.
Zusammenfassung und Ergebnisse ^
4.1.
Was vergleichbar geregelt bleibt ^
Vergleichbar bleiben die technischen Voraussetzungen der elektronischen Signatur, die Begriffskaskaden der Legaldefinitionen, die Systemoffenheit, der Zertifizierungsdiensteanbieter, der nur zum Vertrauensdiensteanbieter umbenannt – und auch in Artikel 51 der Verordnung umqualifiziert wurde. Das Stufenverhältnis von einfacher Signatur, fortgeschrittener und qualifizierter fortgeschrittener Signatur bleibt erhalten, weiterhin die Pseudonymerlaubnis, und sogar – siehe Artikel 50 der Verordnung – Bezugnahmen auf die alte Richtlinie werden legal umgedeutet in Bezugnahmen auf die neue Verordnung. Für die exakte Umdeutung solcher Bezugnahmen bei Binnenzitaten bestimmter Einzelartikel der alten Richtlinie empfiehlt sich eine Entsprechungstabelle. Signaturkarten oder -server können weiter verwendet werden, ebenso Lesegeräte und Software. Die gesondert geregelten Notifizierungen sind (lediglich) erforderlich, um EU-weite Anerkennung zu sichern; die Diensteanbieter können weitermachen, alte Signaturen und Zertifikate bleiben gültig und müssen nicht etwa wiederholt werden.
4.2.
Ausnahmen: Notifizierung und Haftung ^
4.3.
Neuerungen ^
Neu ist hierbei, dass «Die Mitgliedstaaten tragen dafür Sorge...» entfällt, denn es sind keine Umsetzungsrechtsakte der Mitgliedstaaten mehr nötig, um die Haftung der Aussteller von Identifizierungsmitteln und der Durchführer von Authentifizierungsverfahren herbeizuführen, sowie die neu hinzugekommene Haftung der notifizierenden Mitgliedstaaten zu begründen. Damit entfällt auch die – in Artikel 5 der Richtlinie etwas systemwidrig angesiedelte – Verpflichtung, fortgeschrittene qualifizierte Signaturen Unterschriften als Beweismittel innerstaatlich gleichzustellen. Neu sind die Rechtswirkungen der Notifizierung in Form der Anerkennungspflicht im EU-Ausland einerseits und der grenzüberschreitenden Haftung andererseits. Ebenso neu ist die Publikation der Liste der notifizierten Identifikationssysteme im Amtsblatt der EU. Neu sind zudem die im Vergleich zur Richtlinie inzwischen hinzugekommenen regulatorischen Annexmaterien, nämlich das «Siegel» für juristische Personen, das von der Signatur ihres gesetzlichen Vertreters zu unterscheiden ist, das Interoperabilitätserfordernis (Artikel 12), die Einbeziehung der Organisation ENISA (Artikel 19), das EU-Vertrauenssiegel (Artikel 23), das nunmehr legal definierte «elektronische Dokument» (Artikel 46) sowie die abgeleiteten Produkte Zeitstempel, Einschreiben und Webseiten-Zertifikat. Dieser Block der Vertrauensdienste wird von der EU vollständig reguliert, während für die davon getrennt behandelten Identifizierungssysteme nur die Voraussetzungen für Interoperabilität und Anerkennungspflicht geregelt werden.
Rechtspolitisch ist als Neuerung hervorzuheben, dass die eIDAS-Verordnung nur die Spitze eines Eisbergs ist, denn ihre Entstehung war und ist flankiert von gezielt geförderten Pilotprojekten und Initiativen zur Definition einheitlicher Spezifikationen und zur konkreten Erprobung grenzüberschreitender Techniken, in welche öffentliche und private Institutionen verantwortlich eingebunden sind. In Gremien von STORK 2.0, e-SENS, opensignature.org etc. finden sich viele politisch und wirtschaftlich interessierte Teilnehmer, deren Beteiligung gewährleisten soll, dass sich die Verordnung und ihre nachgelagerten Spezifikationen in die technische und wirtschaftliche Realität einfügen. Für technische Spezifikationen, Normen und Verfahren verweist die Verordnung auf Durchführungsrechtsakte der Kommission; insofern sind also Umsetzungsakte erforderlich; diese hat aber – abweichend vom Ansatz der Richtlinie – nunmehr die EU an sich gezogen.
- 1 Verordnung des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257 vom 28. August 2014 S. 73).
- 2 Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen (ABl. L 13 vom 19. Januar 2000, S. 12).