1.1.
Für Deutschland neuartige digitale Signaturen ^
Die Verordnung (EU) Nr. 910/2014 gilt unmittelbar und ersetzt das Framework der bisherigen Signaturrichtlinie 1999/93/EG. Die Richtlinie war zur Umsetzung durch nationale Regelungen bestimmt und führte zu einer Diversifikation, die einer rechtlich abgesicherten und vertrauensbildenden EU-weiten einheitlichen digitalen Kommunikation im Wege steht. Im zweiten Anlauf erließ die EU nach ausgiebigen Tests und unter Beteiligung öffentlicher und privater interessierter Stellen eine Verordnung. Diese regelt aber nicht mehr nur digitale Signaturen, sondern auch das gesamte technische und infrastrukturelle Umfeld. Aufgrund der Vorbereitungsphasen konnten die technischen Durchführungsvorschriften und die erforderlichen Standards parallel entwickelt werden und sie wurden ungefähr gleichzeitig mit der Verordnung publiziert. Die eIDAS-Verordnung verbietet keineswegs abweichende oder kompliziertere nationale Regeln zur digitalen Signatur und zu Vertrauensdiensten wie Zeitstempeln, elektronischen Einschreiben und Identifizierungsdiensten. Sie besagt aber, dass mit dieser Verordnung konforme technische Produkte EU-weit in eine online verfügbare «Vertrauensliste» (trusted list) aufgenommen werden können. Für Identifizierungsdienste haftet dann einerseits der Verantwortliche und auch der notifizierende Mitgliedstaat sowie der das Authentifizierungsverfahren durchführende Beteiligte; andererseits kann kein EU-Mitgliedstaat und kein dem EU-Recht unterliegender Adressat die Zuordnung einer Signatur anzweifeln, die von einer notifizierten Einrichtung stammt. Der internationale Wettbewerb soll dadurch gestärkt werden.
1.2.
Zuständigkeiten und erste Diensteangebote ^
1.3.
Gesetzentwurf ^
2.
Spezielle Auswirkungen der eIDAS-Verordnung auf die deutsche Gesetzgebung im Rahmen des Vertrauensdienstegesetzes ^
2.1.
Gliederung ^
Der Entwurf des deutschen Vertrauensdienstegesetzes enthält mit Stand Ende 2016 die folgenden wichtigen Gliederungspunkte:
§ 1 – Anwendungsbereich,
§ 2 – Aufsichtsstellen: Bundesnetzagentur für e-Signaturen, e-Siegel, e-Zeitstempel, e-Zustelldienste, Bewahrungsdienste; Bundesamt für Sicherheit in der Informationstechnik für Website-Authentifizierung,
§ 3 – Verfahren über den einheitlichen Ansprechpartner im Sinne der Dienstleistungsrichtlinie,
§ 4 – Voraussetzungen für Untersagung des Betriebes durch die Aufsichtsstelle,
§ 5 – Mitwirkungspflichten für Vertrauensdiensteanbieter: Gestattung des Betretens der Geschäftsräume durch Aufsichtsstelle, Vorlage von Schriftstücken, Auskunftserteilung,
§ 6 – Haftung: Haftung für Dritte wie für eigenes Handeln,
§ 7 – Datenschutz: Datenerhebung nur unmittelbar bei betroffener Person und sofern für die Erbringung des Vertrauensdienstes erforderlich,
§ 8 – Vertrauensliste: geführt durch BNetzA,
§ 9 – Deckungsvorsorge in Höhe von mindestens 250.000 EURO für Schaden, der durch ein haftungsauslösendes Ereignis verursacht wurde,
§ 10 – Identitätsprüfung: BNetzA legt fest, welche sonstigen Identifizierungsmethoden anerkannt sind und gleichwertige Sicherheit gegenüber persönlicher Anwesenheit bieten; «Vorratsidentifizierung» (Abs. 2),
§ 11 – Attribute in qualifizierten Zertifikaten,
§ 12 – Pflicht zur Unterrichtung über Sicherheitsmaßnahmen und deren Rechtswirkungen für qualifizierte Diensteanbieter und Nutzer qualifizierter Vertrauensdienste,
§ 13 – Widerruf qualifizierter Zertifikate,
§ 14 – Aufzeichnungen,
§ 15 – Beendigungsplan und dauerhafte Prüfbarkeit,
§ 16 – Benannte Stellen: die deutsche Akkreditierungsstelle erkennt private Zertifizierungsstellen an. Das BSI veröffentlicht dazu erforderliche fachliche Kriterien und ist «öffentliche Stelle» gemäß Art. 30 der eIDAS-VO,
§ 17 – Verweis auf Regelungen zu qualifizierten elektronischen Signaturen,
§ 18 – Dienste für die Zustellung elektronischer Einschreiben,
§ 19 – Bußgeldvorschriften,
§ 20 – Verordnungsermächtigung,
§ 21 – Übergangsvorschriften.
2.2.
Bereits bestehende Verpflichtungen zur volldigitalen Kommunikation ^
- Im elektronischen Mahnverfahren werden Mahnanträge qualifiziert signiert über das elektronische Gerichts- und Verwaltungspostfach (EGVP) eingereicht2.
- Eine sogenannte Vollständigkeitserklärung bezüglich Angaben für Verkaufsverpackungen müssen ca. 5‘000 Unternehmen in elektronischer Form an ihre IHK senden. Diese Vollständigkeitserklärung muss von einem Wirtschaftsprüfer, Steuerberater, vereidigten Buchprüfer oder unabhängigen Sachverständigen in elektronischer Form testiert werden. Die Bestätigung der Prüfung erfolgt durch eine qualifizierte elektronische Signatur3.
- Ausschreibungen des Bundes über die e-Vergabe-Plattform www.evergabe-online.de werden vollständig elektronisch abgewickelt4. Bieter müssen dafür Identitäts-Zertifikate vorhalten (z.B. von D-Trust oder Telesec5).
- Anträge auf Ausgleich gemäß dem Erneuerbare-Energien-Gesetz müssen in elektronischer Form mit qualifizierter Signatur gestellt werden6.
- Die elektronische Steuererklärung über das Portal www.elsteronline.de der Finanzverwaltung erfordert von Steuerberatern ebenfalls das Vorhalten eines Zertifikats, wobei die Infrastruktur von elsteronline.de die Erteilung und Verwaltung von Zertifikaten für Personen und Institutionen umfasst7.
- Eine Vielzahl von Schutzrechten kann beim Deutschen Patent- und Markenamt mit einer qualifizierten Elektronischen Signatur angemeldet werden: Für die Patent-, Marken- und Gebrauchsmusteranmeldung sowie die Europäische Patentanmeldung und die PCT-Patentanmeldung steht dieser Weg der rechtswirksamen Online-Kommunikation offen8. Das Gleiche gilt für Einsprüche und Beschwerden in Patent- und Markenangelegenheiten.
3.
Verfahrensstand VDG-E ^
Im vollen Wortlaut scheint der Referentenentwurf im Herbst 2016 noch nicht allgemein zugänglich gemacht worden zu sein; die Homepage des Bundeswirtschaftsministeriums fragte bei einer Suche nach dem Stichwort «eIDAS-Verordnung» zurück: «Meinten Sie Adidas-Verordnung?» und hat nur zwei Treffer zum Stichwort «Vertrauensdienste» vorrätig, die beide nicht den Entwurf des Vertrauensdienstegesetzes betreffen. Angesichts der Bedeutung, die dieser Entwurf für die deutsche Wirtschaft haben sollte, erscheinen die amtlichen Veröffentlichungen dazu durchaus sparsam.
4.
Aufnahmen in die deutsche Vertrauensliste ^
4.1.
Staatliche Stellen und staatsnahe Unternehmen ^
4.2.
Private Unternehmen ^
- Bei De-Mail versehe nach De-Mail-Gesetz (De-Mail-G) immer der akkreditierte Anbieter selbst die Nachrichten mit einer qualifizierten Signatur.15 Es sei also nur eine Art der Fernsignatur zulässig.
- Überall, wo in der eIDAS-Verordnung qualifizierte Zeitstempel vorgesehen seien, benutze De-Mail Prüfsummen und qualifizierte Signaturen.
- De-Mail schreibe zwingend eine Transportverschlüsselung zwischen den Anbietern vor16.
- De-Mail überlasse es den Anbietern, eine sichere Dokumentenablage anzubieten.17
5.
Ausblick ^
- 1 http://www.howtostayin.eu/ (alle Websites aufgerufen am 23. Januar 2017), «About us», 2. Absatz, zur EIDAS-Konformität.
- 2 § 690 Abs. 3 Satz 2 ZPO.
- 3 § 10 Abs. 5 VerpackV.
- 4 § 53 der Vergabeverordnung.
- 5 Vgl. http://www.evergabe-online.info/e-Vergabe/DE/5%20Service/Unterst%C3%BCtzte%20Zertifikate/node_zertifikate.html.
- 6 § 66 Abs. 2 EEG 2014.
- 7 https://www.elsteronline.de/eportal/Oeffentlich.tax.
- 8 https://www.dpma.de/service/e_dienstleistungen/dpmadirekt/allgemeineinformationen/digitalesignatur/.
- 9 www.bundesaerztekammer.de/fileadmin/user_upload/downloads/pdf-Ordner/Stellungnahmen/Vertrauensdienstegesetz.pdf.
- 10 http://www.dihk.de/themenfelder/recht-steuern/rechtspolitik/nationale-stellungnahmen/dihk-positionen-zu-nationalen-gesetzesvorhaben/dihk-stellungname-vertrauensdienste.pdf.
- 11 http://www.deutsche-rentenversicherung.de/Bund/de/Inhalt/5_Services/05_fachinformationen/Trustcenter/_Uebersicht_Certs.html und http://www.deutsche-rentenversicherung.de/Bund/de/Inhalt/5_Services/05_fachinformationen/Trustcenter/_Uebersicht_Policys.html.
- 12 http://www.intarsys.de/produkte/fernsignatur.
- 13 http://www.exceet-secure-solutions.de/it-security/elektronische-zeitstempel-nach-eidas/.
- 14 http://norbert-pohlmann.com/app/uploads/2015/11/336-Der-Aufschwung-der-Vertrauensdienste-Verordnung-%C3%BCber-elektronische-Identifizierung-und-Vertrauensdienste-f%C3%BCr-elektronische-Transaktionen-im-Binnenmarkt-%E2%80%93-eIDAS-Prof-Norbert-Pohlmann.pdf, insb. Seite 53.
- 15 § 5 Abs. 7 De-Mail-G.
- 16 § 5 Abs. 3 Satz 1 De-Mail-G.
- 17 § 8 De-Mail-G.
- 18 BT-Drs. 18/4042, http://dip21.bundestag.de/dip21/btd/18/040/1804042.pdf.