Sicherere Transaktionen im Internet

ZUSAMMENFASSUNG DES DOKUMENTS:

Verordnung (EU) Nr. 910/2014: über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt

ZUSAMMENFASSUNG

WAS IST DER ZWECK DIESER VERORDNUNG?

• Die Verordnung über die elektronische Identifizierung und Vertrauensdienste (eIDAS) schafft ein neues System für sichere elektronische Interaktion zwischen Unternehmen, Bürgern und öffentlichen Behörden in der gesamten EU.
• Diese Verordnung dient der Stärkung des Vertrauens in EU-weite elektronische Transaktionen, wodurch die Effektivität öffentlicher und privater Online-Dienstleistungen und des elektronischen Handels erhöht wird. Sie gilt für:
  • elektronische Identifizierungssysteme*, die der Europäischen Kommission von den EU-Ländern mitgeteilt wurden;
  • Vertrauensdiensteanbieter mit Sitz in der EU.
• Sie beseitigt bestehende Hindernisse bei der Verwendung elektronischer Identifizierungsmittel in der EU. Beispielsweise wäre es jetzt unkompliziert für ein portugiesisches Unternehmen, an einer Ausschreibung für einen öffentlichen Dienstleistungsvertrag in Schweden teilzunehmen, da die EU-Finanzzuschüsse vollständig elektronisch abgewickelt werden können.

WICHTIGE ECKPUNKTE

Elektronische Identifizierung

• In einem EU-Land ausgestellte elektronische Identifizierungsmittel müssen in allen anderen EU-Ländern anerkannt werden. Dies gilt nur für elektronische Identifizierungsmittel, die die Anforderungen der Verordnung erfüllen, an die Kommission gemeldet und in einer Liste veröffentlicht wurden. Die gegenseitige Anerkennung der elektronischen Identifizierungsmittel wird ab 28. September 2018 obligatorisch und sichere elektronische Transaktionen in der gesamten EU vereinfachen.
• Ein elektronisches Identifizierungssystem gibt eines der drei Sicherheitsniveaus (niedrig, substanziell, hoch) an, die den nach diesem System ausgestellten elektronischen Identifizierungsmitteln zuerkannt wurden. Die gegenseitige Anerkennung ist nur dann obligatorisch, wenn die betreffende öffentliche Stelle für den Zugang zu diesem Online-Dienst das Sicherheitsniveau „substanziell“ oder „hoch“ verwendet.

Notifizierung

• Das notifizierende EU-Land notifiziert der Kommission folgende Informationen:
  • eine Beschreibung der Sicherheitsniveaus und des Ausstellers elektronischer Identifizierungsmittel im Rahmen des Systems;
  • das geltende Aufsichtssystem und die Haftungsregelung;
  • Informationen über die Einrichtung, die die Registrierung der eindeutigen Personenidentifizierungsdaten verwaltet.
• Im Falle einer Sicherheitsverletzung des elektronischen Identifizierungssystems oder der Authentifizierung muss das notifizierende EU-Land:
  • diese grenzüberschreitende Authentifizierung oder die entsprechenden beeinträchtigten Teile umgehend aussetzen oder widerrufen und
  • die anderen EU-Länder und die Kommission darüber unterrichten.

Haftung

• Für die Schäden, die natürlichen oder juristischen Personen vorsätzlich oder fahrlässig zugefügt werden und die auf eine Verletzung der festgelegten Pflichten bei einer grenzüberschreitenden Transaktion zurückzuführen sind, haftet:
  • das notifizierende EU-Land;
  • der das elektronische Identifizierungsmittel ausstellende Beteiligte;
  • der das Authentifizierungsverfahren durchführende Beteiligte.

Zusammenarbeit und Interoperabilität zwischen den EU-Ländern

• Die notifizierten nationalen elektronischen Identifizierungssysteme müssen interoperabel sein. Der Interoperabilitätsrahmen ist auf Technologieneutralität angelegt und unterscheidet nicht zwischen spezifischen nationalen technischen Lösungen für die elektronische Identifizierung.

Vertrauensdienste

• Diese Verordnung definiert Vertrauensdienste als elektronische Dienste, die in der Regel gegen Entgelt erbracht werden und aus Folgendem bestehen:
  • Erstellung, Überprüfung und Validierung von elektronischen Signaturen, elektronischen Siegeln, elektronischen Zeitstempeln, Diensten für die Zustellung elektronischer Einschreiben sowie von diese Dienste betreffenden Zertifikaten;
  • Erstellung, Überprüfung und Validierung von Zertifikaten für die Website-Authentifizierung oder
  • Bewahrung von diese Dienste betreffenden elektronischen Signaturen, Siegeln oder Zertifikaten.
• Vertrauensdiensteanbieter mit Sitz in der EU werden als „qualifiziert“ betrachtet, wenn sie die einschlägigen Anforderungen dieser Verordnung erfüllen. Sie sind gesetzlich berechtigt, qualifizierte Vertrauensdienste (z. B. qualifizierte elektronische Signaturen, Siegel oder Zertifikate) in allen EU-Ländern anzubieten. Vertrauensdienste, die von Vertrauensdiensteanbietern aus einem Drittland bereitgestellt werden, werden als rechtlich gleichwertig mit den qualifizierten Vertrauensdiensten anerkannt, sofern sie im Rahmen einer geschlossenen Vereinbarung zwischen der Union und dem betreffenden Drittland oder einer internationalen Organisation anerkannt sind.

Aufsicht

• Die EU-Länder benennen eine oder mehrere Aufsichtsstellen zur Wahrnehmung der Aufsichtsaufgaben im Rahmen dieser Verordnung. Die Aufsichtsstellen arbeiten mit Datenschutzbehörden zusammen.
• Alle Vertrauensdiensteanbieter unterliegen der Aufsicht, dem Risikomanagement und der Notifizierungspflicht bei Sicherheitsverletzungen.
• Nichtqualifizierte Vertrauensdiensteanbieter unterliegen einer „weniger strikten“ Aufsicht, d. h., die Aufsichtsstelle reagiert nur, wenn der Diensteanbieter des Fehlverhaltens verdächtigt wird.
• Qualifizierte Vertrauensdiensteanbieter mit Sitz in der EU unterliegen einer strengen Aufsicht. Diese umfasst die vorherige Genehmigung durch die Aufsichtsstelle sowie mindestens alle zwei Jahre eine Konformitätsbewertung durch eine Konformitätsbewertungsstelle, um sicherzustellen, dass sie und die von ihnen erbrachten qualifizierten Vertrauensdienste den Anforderungen dieser Verordnung entsprechen.
• Ein neues, freiwilliges EU-Vertrauenssiegel kennzeichnet die qualifizierten Vertrauensdienste der einschlägigen Diensteanbieter.

Eine Reihe von Rechtsakten, die im Laufe des Jahres 2015 von der Europäischen Kommission verabschiedet wurden, legten Folgendes fest:

• Verfahrensmodalitäten für die Zusammenarbeit zwischen den EU-Ländern auf dem Gebiet der elektronischen Identifizierung;
• Spezifikationen für die Form des EU-Vertrauenssiegels für qualifizierte Vertrauensdienste;
• technische und betriebliche Anforderungen für den Interoperabilitätsrahmen;
• Mindestanforderungen an technische Spezifikationen und Verfahren für Sicherheitsniveaus elektronischer Identifizierungsmittel;
• technische Spezifikationen und Formate in Bezug auf Vertrauenslisten;
• Spezifikationen für Formate fortgeschrittener elektronischer Signaturen und fortgeschrittener Siegel, die von öffentlichen Stellen anerkannt werden und
• Umstände, Formate und Verfahren der Notifizierung elektronischer Identifizierungssysteme.

WANN TRITT DIESE VERORDNUNG IN KRAFT?

Die Verordnung ist am 17. September 2014 in Kraft getreten.

SCHLÜSSELBEGRIFF

* Elektronische Identifizierungsmittel: materielle oder immaterielle Formen der Identifizierung, die personenbezogene Daten enthalten, die zum Beispiel für die Authentifizierung eines Online-Dienstes verwendet werden.

RECHTSAKT

Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257, 28.8.2014, S. 73-114)

Die im Nachhinein vorgenommenen Änderungen der Verordnung (EU) Nr. 910/2014 wurden in den Grundlagentext eingefügt. Diese konsolidierte Fassung hat ausschließlich dokumentarischen Charakter.

Letzte Aktualisierung: 17.03.2016