Quo Vadis EU-Vertrauensdienste?

Die Digitalisierung von Wirtschaft und Verwaltung verlangt grenzüberschreitend eine rechtsichere Datenkommunikation. Aufgrund der „eIDAS-VO“ wird dies in Europa über elektronische Vertrauensdienste gewährleistet. Mit dieser Verordnung steht nun eine umfangreiche Sammlung an EU-weit gültigen und rechtsverbindlichen Tools zur Verfügung. Clemens Wanko von der TÜV TRUST IT GmbH gibt einen aktuellen Stand zur Umsetzung der „eIDAS-VO“.

Vertrauensdienste dienen dazu, ihrem Namen entsprechend eine vertrauensvolle digitale Kommunikation zu gewährleisten. Zu diesen Tools zählen elektronische Signaturen, Siegel und Zeitstempel, aber auch Validierungsdienste, Aufbewahrungsdienste und Dienste für die Zustellung digitaler Einschreiben sowie die Website-Authentifizierung auf Zertifikatsbasis.

Mit Bezug darauf hatte die Europäische Union 2010 im Rahmendes Projekts „Digitale Agenda für Europa 2020“ Maßnahmen zur Stärkung der Wirtschaft und Wettbewerbsfähigkeit auf den Weg gebracht. Hierzu wurde mit der „eIDAS-VO“ am 1. Juli 2016 die Verordnung über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt wirksam. Früher gab es lediglich eine Richtlinie für qualifizierte elektronische Signaturen, und sie musste zudem durch jeden EU-Mitgliedsstaat in einem eigenen Gesetz umgesetzt werden, ohne dass damit jedoch eine EU-weite Rechtsverbindlichkeit bestand. Als gemeinsame Grundlage gelten im Sinne der Verordnung elektronische Methoden der Identifikation und des rechtsverbindlichen Datenaustauschs. Bezüglich der elektronischen Identifikation (eID) definiert die eIDAS-VO die Bedingungen für die gegenseitige Anerkennung von Identifizierungsmitteln der EU-Mitgliedsstaaten. Für den rechtsverbindlichen elektronischen Datenaustausch werden insgesamt sieben Vertrauensdienste auf zwei Qualitätsniveaus defi niert.

Mit dem hohen Niveau der „qualifizierten“ Vertrauensdienste stehen dabei erstmals Möglichkeiten zur Verfügung, Interaktionen in allen Bereichen der Wirtschaft, der öffentlichen Verwaltungen sowie zwischen Bürgern vollelektronisch medienbruchfrei und rechtsverbindlich zu tätigen. Dies schließt ein, dass die elektronischen Informationen – anders als bei den nicht qualifi zierten Diensten – rechtsverbindlich gesichert übertragen und beweiswerterhaltend archiviert werden. Und dies überall auf dem Rechtsgebiet der EU, was nach einer kleinen Revolution aussieht.

Qualifizierte Vertrauensdienste

Solche nach der eIDAS-VO definierten Vertrauensdienste können von Anbietern einzeln oder als Kombination mehrerer Dienste erbracht werden. Ein einzelner Dienst ist beispielsweise die Erstellung von qualifizierten Zertifikaten für elektronische Signaturen. Hingegen sind Fernsignaturdienste ein typisches Beispiel für die Kombination von Diensten, da sie die Erstellung von qualifizierten Zertifikaten für elektronische Signaturen und die qualifizierten elektronischen Signaturen selbst beinhalten. Anbieter im Sinne der eIDAS-Verordnung sind Dienstleister, die eine solche Leistung außerhalb geschlossener Benutzergruppen in der EU kostenfrei oder gegen Entgelt bereitstellen. Dabei sollten die Anbieter wissen, dass sie – selbst wenn ihre Dienstleistung nicht auf dem hohen Leistungslevel „qualifiziert“ angeboten wird – stets den Anforderungen der Verordnung unterliegen. Diese umfassen mindestens die Umsetzung entsprechender Sicherheitsmaßnahmen für die identifizierten Risiken, zudem muss ein Meldeverfahren für Sicherheitsvorfälle implementiert werden.

Anbieter mit nicht qualifizierten Vertrauensdiensten unterliegen lediglich einer nachgelagerten Aufsicht durch die nationale Aufsichtsstelle. Dagegen muss der qualifizierte Anbieter eine Konformitätsbewertung durch eine akkreditierte unabhängige Stelle nachweisen. Erst nach positiver Bewertung durch die Aufsichtsstelle wird diese den qualifizierten Dienst auf der EU Trusted List of Trust Service Providers (TSL) mit einem positiven Status veröffentlichen.

Stand der EU-Vertrauensdienste

Die Regelungen der eIDAS-VO gelten für Anbieter nicht qualifizierter Vertrauensdienste unmittelbar seit 01. Juli 2016. Für qualifizierte Dienste, die vorher zugelassen wurden, galt eine Übergangsregelung bis 01. Juli 2017. Seitdem müssen qualifizierte Anbieter für jeden einzelnen ihrer Dienste einen umfassenden Konformitätsbewertungsbericht vorlegen, um den Status als „qualifizierter“ Dienst aufrechtzuerhalten. Allein aufgrund der Dienste-Definition der eIDAS-VO ist anzunehmen, dass eine sehr große Zahl von EU-Unternehmen der Verordnung bereits im nicht qualifizierten Bereich unterliegt. Im qualifizierten Bereich ist die Anzahl der Anbieter deutlich geringer. Vor Inkrafttreten der eIDAS-VO waren es 175 Anbieter, seitdem ist ihre Anzahl auf 206 gestiegen. Erheblich imposanter ist die Zunahme der bereitgestellten qualifizierten Dienste, sie hat sich im gleichen Zeitraum von 350 auf 2.033 fast versechsfacht. Dies zeigt die deutlich wachsende Akzeptanz der qualifizierten Vertrauensdienste in der EU. 

Zudem haben sich an den Randbereichen Spezialanbieter wie Ident-Service Provider etabliert, auf die Vertrauensdiensteanbieter für Identifi zierungsdienstleistungen zurückgreifen. Die Leistungen der Ident-Service Provider sind dadurch integraler Bestandteil der Prozesse von Vertrauensdiensten und sorgen für die zuverlässige Identifizierung von Menschen oder Organisationen. Die Entwicklung in diesem Bereich verläuft rasant und fokussiert auf sichere Verfahren, die vollständig online abgewickelt werden können. Nicht unumstritten, jedoch sicherheitstechnisch mit vielen Innovationen stets in der Weiterentwicklung befindlich, sind Video-Ident-Verfahren, die einen solchen medienbruchfreien Onlineprozess unterstützen.

Quo Vadis EU-Vertrauensdienste

In den 28 EU-Mitgliedsstaaten sind eIDAS- gestützte Geschäftsprozesse zurzeit unterschiedlich weit fortgeschritten implementiert. So weisen einzelne Staaten wie Estland quasi eine Vollintegration der eIDAS in die Prozesse der öffentlichen Verwaltungen und der (lokalen) Wirtschaft auf. Andere Länder wie etwa Deutschland befinden sich in einer Umsetzungsphase, bei weiteren sind noch kaum relevante Implementierungen erkennbar. Infolge der dynamisch wachsenden Digitalisierung ist davon auszugehen, dass die Nutzung gerade der qualifizierten Vertrauensdienste deutlich wachsen wird.

Diese Erwartung wird auch durch Folgeregelungen der EU gestützt, die nun bereits wie selbstverständlich auf qualifi zierte Vertrauensdienste nach „eIDAS“ zurückgreifen. So hat beispielsweise die Europäische Bankenaufsicht (EBA) für die Umsetzung der neuen Payment Services Directive 2 (PSD2) für die Absicherung von Zahlungsverkehrsdaten die verpfl ichtende Nutzung von qualifi zierten Vertrauensdiensten nach eIDAS vorgesehen.

Insofern: Die eIDAS-Verordnung definiert einen modularen Baukasten von Vertrauensdiensten. Damit können Geschäftsprozesse künftig vollintegriert und medienbruchfrei über Ländergrenzen hinweg realisiert werden. Die Bremsen für eine sichere und rechtsverbindliche Datenkommunikation auf dem gesamten Gebiet aller EU-Länder sind gelöst worden. Dies wird nicht nur dem gesamten Digitalisierungsprozess in Verwaltung, Wirtschaft und Gesellschaft zusätzliche Impulse verleihen. Vielmehr hat die Verordnung Vorbildcharakter für andere notwendige internationale Regelungen in der zukünftig vollständig digital vernetzten Welt.

Clemens Wanko, Leiter Bereich Trust Infrastructure, TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA, Köln, www.it-tuv.com