Mitteilung der Kommission an den Rat, das Europäische Parlament, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen - Aktionsplan für elektronische Signaturen und die elektronische Identifizierung zur Förderung grenzübergreifender öffentlicher Dienste im Binnenmarkt /* KOM/2008/0798 endg. */
[pic] | KOMMISSION DER EUROPÄISCHEN GEMEINSCHAFTEN | Brüssel, den 28.11.2008 KOM(2008) 798 endgültig MITTEILUNG DER KOMMISSION AN DEN RAT, DAS EUROPÄISCHE PARLAMENT, DEN EUROPÄISCHEN WIRTSCHAFTS- UND SOZIALAUSSCHUSS UND DEN AUSSCHUSS DER REGIONEN Aktionsplan für elektronische Signaturen und die elektronische Identifizierung zur Förderung grenzübergreifender öffentlicher Dienste im Binnenmarkt MITTEILUNG DER KOMMISSION AN DEN RAT, DAS EUROPÄISCHE PARLAMENT, DEN EUROPÄISCHEN WIRTSCHAFTS- UND SOZIALAUSSCHUSS UND DEN AUSSCHUSS DER REGIONEN Aktionsplan für elektronische Signaturen und die elektronische Identifizierung zur Förderung grenzübergreifender öffentlicher Dienste im Binnenmarkt (Text von Bedeutung für den EWR) 1. Einleitung 3 1.1. Ziele dieses Aktionsplans 3 1.2. Derzeitiger Rahmen für elektronische Signaturen und die elektronische Identifizierung auf EU-Ebene 5 1.2.1. Die E-Signatur-Richtlinie 5 1.2.2. Der E-Government-Aktionsplan im Rahmen der i2010-Initiative 5 1.3. Verbesserung der grenzübergreifenden Interoperabilität elektronischer Signaturen und der elektronischen Identifizierung 5 2. Teil 1: Maßnahmen zur Verbesserung der grenzübergreifenden Interoperabilität elektronischer Signaturen 6 2.1. Qualifizierte elektronische Signaturen und fortgeschrittene elektronische Signaturen, die auf einem qualifizierten Zertifikat beruhen 7 2.2. Fortgeschrittene elektronische Signaturen 9 3. Teil 2: Maßnahmen zur Verbesserung der grenzübergreifenden Interoperabilität der elektronischen Identität 12 4. Beobachtung und Umsetzung 13 1. EINLEITUNG 1.1. Ziele dieses Aktionsplans Im Rahmen der Lissabon-Strategie hat sich die EU verpflichtet, die rechtlichen und administrativen Rahmenbedingungen zu verbessern, um bisher ungenutztes wirtschaftliches Potenzial freizusetzen. Öffentliche Verwaltungen online erreichbar zu machen, so dass Unternehmen und Privatpersonen grenzüberschreitend elektronisch mit ihnen kommunizieren können, trägt zur Schaffung eines Umfelds bei, das unternehmerische Initiative begünstigt und den Bürgern den Kontakt mit den Behörden erleichtert. Die elektronische Kommunikation spielt in vielen Aspekten des wirtschaftlichen und öffentlichen Lebens eine immer größere Rolle. Überall in Europa haben öffentliche Verwaltungen begonnen, ihre Behördendienste elektronisch zugänglich zu machen. Dabei konzentrierten sie sich allerdings vor allem auf nationale Anforderungen und Mittel, so dass ein komplexes System mit unterschiedlichen Lösungen entstanden ist. Diese Situation birgt die Gefahr, dass neue Hindernisse für grenzübergreifende Märkte entstehen und dass das Funktionieren des Binnenmarkts für die Unternehmen und Bürger behindert wird. Die größten Hindernisse beim grenzüberschreitenden Zugang zu elektronischen Dienstleistungen der öffentlichen Verwaltungen hängen mit der Verwendung der elektronischen Identifizierung und elektronischer Signaturen zusammen. Wie im herkömmlichen Umfeld können auch in elektronischen Verwaltungsverfahren Identitätsnachweise und Unterschriften erforderlich sein. So ist es auch beim Zugang zu elektronischen Verfahren öffentlicher Verwaltungen häufig notwendig, dass sich Personen ausweisen (damit die Verwaltung nach Prüfung des Identitätsnachweises[1] sicher sein kann, mit wem sie es zu tun hat) und dass elektronische Signaturen geleistet werden müssen (damit die Verwaltung nicht nur den Unterzeichner feststellen, sondern auch sicher sein kann, dass die übermittelten Daten während der Übertragung nicht verändert wurden). Das Haupthindernis ist hierbei die mangelnde Interoperabilität sowohl auf rechtlicher wie auch technischer und organisatorischer Ebene. Zur Erleichterung und Verbesserung der Verwendung elektronischer Signaturen und der elektronischen Identifizierung bietet der derzeitige Rahmen in der Europäischen Union sowohl horizontale als auch sektorale Instrumente. Die E-Signatur-Richtlinie[2] legt die rechtliche Anerkennung elektronischer Signaturen und einen Rechtsrahmen für die Förderung ihrer Interoperabilität fest. Zur Herstellung einer solchen Interoperabilität müssen mehrere praktische, technische und organisatorische Voraussetzungen erfüllt sein. Eine wirksame Interoperabilität ist aber auch notwendig, damit die Mitgliedstaaten ihren rechtlichen Verpflichtungen nachkommen können, die sich aus dem EU-Recht und vor allem aus den besonderen Binnenmarktvorschriften ergeben. Mehrere Binnenmarktinitiativen sehen vor, dass Unternehmen in der Lage sein sollten, auf elektronischem Wege mit öffentlichen Stellen zu kommunizieren, ihre Rechte wahrzunehmen und grenzüberschreitend Geschäfte zu tätigen. Nach der Dienstleistungsrichtlinie müssen die Mitgliedstaaten bis Ende 2009[3] dafür sorgen, dass Dienstleistungserbringer alle zur Ausübung einer Dienstleistungstätigkeit erforderlichen Verfahren und Formalitäten elektronisch und aus der Ferne abwickeln können. Dies schließt u. a. auch die Möglichkeit der grenzüberschreitenden Identifizierung des Dienstleistungserbringers und der Authentifizierung der übermittelten Daten ein. Die Richtlinien zur Vergabe öffentlicher Aufträge[4] sollen die Entwicklung und den Einsatz elektronischer Mittel und Verfahren im öffentlichen Beschaffungswesen fördern, wodurch die Unternehmen ganz erhebliche Kosteneinsparungen erzielen könnten[5]. In Übereinstimmung mit den Verpflichtungen aus der E-Signatur-Richtlinie können die Mitgliedstaaten selbst regeln, welche Stufe der elektronischen Signatur verlangt werden soll, und festlegen, dass öffentliche Auftraggeber stets qualifizierte Signaturen verwenden[6]. Die elektronische Rechnungstellung – also die elektronische Übermittlung von Rechnungsinformationen (Abrechnung und Bezahlung) zwischen Geschäftspartnern (Lieferant und Käufer) – ist ein unverzichtbarer Bestandteil einer effizienten finanziellen Abwicklungskette. Begleitend zur Schaffung des Euro-Zahlungsverkehrsraumes laufen Vorbereitungsarbeiten für eine Initiative zur elektronischen Rechnungstellung, die ebenfalls Einsparungen für die Unternehmen bringen wird (die Europäische Kommission hat eine Sachverständigengruppe beauftragt, bis 2009 einen Europäischen Rechtsrahmen für die elektronische Rechnungsstellung auszuarbeiten)[7]. Ziel dieses Aktionsplans ist es daher, einen umfassenden und pragmatischen Rahmen für interoperable elektronische Signaturen und Identifizierungsverfahren zu schaffen, um den Zugang der Unternehmen und Bürger zu grenzübergreifenden elektronischen Behördendiensten zu erleichtern. Um dieses Ziel zu erreichen, konzentriert sich der Aktionsplan auf eine Reihe praktischer, organisatorischer und technischer Fragen, die den bestehenden Rechtsrahmen ergänzen. 1.2. Derzeitiger Rahmen für elektronische Signaturen und die elektronische Identifizierung auf EU-Ebene 1.2.1. Die E-Signatur-Richtlinie Die E-Signatur-Richtlinie wurde im Jahr 1999 erlassen, um die rechtliche Anerkennung elektronischer Signaturen zu fördern und um im Binnenmarkt den freien Verkehr von Produkten, Geräten und Diensten für elektronische Signaturen sicherzustellen. Wie jedoch die rechtliche und technische Analyse der praktischen Nutzung elektronischer Signaturen ergeben hat, bestehen Interoperabilitätsprobleme, die eine grenzüberschreitende Verwendung elektronischer Signaturen einschränken. Die Analyse macht die Notwendigkeit eines wirksameren Konzepts für die gegenseitige Anerkennung deutlich. Die Fragmentierung aufgrund mangelnder grenzübergreifender Interoperabilität dürfte vor allem elektronische Behördendienste beeinträchtigen, die heute den größten Transaktionskanal darstellen, in dem elektronische Signaturen verwendet werden[8]. 1.2.2. Der E-Government-Aktionsplan im Rahmen der i2010-Initiative Für die grenzüberschreitende elektronische Identifizierung gibt es noch kein Gemeinschaftsinstrument, auf dessen Grundlage die Gemeinschaft tätig werden könnte. Dennoch unterstützt die Kommission (sowohl politisch als auch finanziell) bestimmte Tätigkeiten, die darauf gerichtet sind, Lösungen für interoperable Identifizierungsverfahren auf EU-Ebene zu finden. In dieser Hinsicht wird im E-Government-Aktionsplan im Rahmen der i2010-Initiative[9], den die Europäische Kommission am 25. April 2006 annahm, das interoperable elektronische Identitätsmanagement (eIDM) als eine wichtige Grundvoraussetzung für den Zugang zu öffentlichen Diensten genannt. Die große Bedeutung des interoperablen elektronischen Identitätsmanagements wurde auch von den Mitgliedstaaten anerkannt, die sich verpflichtet haben, dafür zu sorgen, dass „die europäischen Bürger und Unternehmen bis 2010 über sichere und bequeme elektronische Mittel verfügen, die auf lokaler, regionaler oder nationaler Ebene ausgegeben werden und den Datenschutzvorschriften genügen, um sich gegenüber öffentlichen Diensten im eigenen Land und jedem anderen EU-Mitgliedstaat zu identifizieren“ . 1.3. Verbesserung der grenzübergreifenden Interoperabilität elektronischer Signaturen und der elektronischen Identifizierung Trotz der bestehenden Rechtsvorschriften und der politischen Zusagen seitens der Mitgliedstaaten und der Kommission ist ein besser koordiniertes und umfassendes Vorgehen notwendig, um die grenzüberschreitende Verwendung der elektronischen Identifizierung und elektronischer Signaturen in der Praxis voranzubringen. Dies ist unverzichtbar, um eine Fragmentierung des Binnenmarkts zu verhindern. Deshalb schlug die Kommission in ihrer Mitteilung vom 20. November 2007 mit dem Titel „Ein Binnenmarkt für das Europa des 21. Jahrhunderts“ vor, einen Aktionsplan für elektronische Signaturen und Authentifizierungen [10] aufzustellen. Dieser Aktionsplan soll die Mitgliedstaaten bei der Einführung gegenseitig anerkannter und interoperabler Lösungen für elektronische Signaturen und die elektronische Identifizierung unterstützen, um die Bereitstellung grenzüberschreitender öffentlicher Dienste in einem elektronischen Umfeld zu fördern. Er sieht konkrete Maßnahmen in Bezug auf elektronische Signaturen (Teil 1) und die elektronische Identifizierung (Teil 2) vor. Im Mittelpunkt des Aktionsplans stehen zwar hauptsächlich Anwendungen für elektronische Behördendienste, die vorgeschlagenen Maßnahmen werden sich insofern aber auch nutzbringend auf Unternehmensanwendungen auswirken, als die eingesetzten Mittel und Wege auch in Transaktionen zwischen Unternehmen (B2B) und zwischen Unternehmern und Verbrauchern (B2C) eingesetzt werden können. Auf der Frühjahrstagung des Europäischen Rates im März 2008 erklärten die Staats- und Regierungschefs, dass es von entscheidender Bedeutung ist, grenzübergreifende interoperable Lösungen für elektronische Signaturen und für die elektronische Authentifizierung bereitzustellen, um das Funktionieren des „elektronischen Binnenmarkts“ zu verbessern. Die Kommission wird ihren Beitrag zur Entwicklung einer koordinierten Antwort auf die bestehenden Interoperabilitätsprobleme leisten, indem sie die Fortschritte beobachtet und den Mitgliedstaaten und den Akteuren Leitlinien für die Umsetzung des Aktionsplans gibt. 2. TEIL 1: MAßNAHMEN ZUR VERBESSERUNG DER GRENZÜBERGREIFENDEN INTEROPERABILITÄT ELEKTRONISCHER SIGNATUREN Hauptziel der E-Signatur-Richtlinie ist die Schaffung eines Gemeinschaftsrahmens für die Verwendung elektronischer Signaturen, der den freien grenzüberschreitenden Verkehr von Produkten und Diensten für elektronische Signaturen ermöglicht und eine grundlegende rechtliche Anerkennung elektronischer Signaturen gewährleistet. Die Richtlinie behandelt drei Formen elektronischer Signaturen. Die erste ist die „einfache elektronische Signatur“, die eine breite Bedeutung hat. Sie dient zur Identifizierung der unterzeichnenden Person und zur Authentifizierung von Daten. Dabei kann es sich einfach um die Unterzeichnung einer elektronischen Nachricht mit dem Namen einer Person oder durch Verwendung eines PIN-Codes handeln. Die zweite Form ist die „fortgeschrittene elektronische Signatur“ ( AES ). Diese Form der Signatur muss erstens ausschließlich dem Unterzeichner zugeordnet sein, zweitens die Identifizierung des Unterzeichners ermöglichen, drittens mit Mitteln erstellt werden, die der Unterzeichner unter seiner alleinigen Kontrolle halten kann, und viertens so mit den Daten, auf die sie sich bezieht, verknüpft sein, dass eine nachträgliche Veränderung der Daten erkannt werden kann (siehe Artikel 2 Absatz 2 der Richtlinie). Die dritte Form ist die „qualifizierte elektronische Signatur“ ( QES ). Hierbei handelt es sich um eine fortgeschrittene elektronische Signatur, die auf einem qualifizierten Zertifikat ( QC ) beruht und von einer sicheren Signaturerstellungseinheit erstellt wird. Sie bietet die höchste Sicherheit, dass die übermittelten Daten tatsächlich vom vorgeblichen Absender stammen und nicht nachträglich verändert wurden. Der allgemeine Grundsatz der rechtlichen Anerkennung gilt für alle drei Arten elektronischer Signaturen, die in der Richtlinie festgelegt sind. Das bedeutet, dass keine von ihnen allein deshalb zurückgewiesen werden darf, weil sie in elektronischer Form vorliegt (siehe Artikel 5 der E-Signatur-Richtlinie). Darüber hinaus begründet Artikel 5 Absatz 1 die Rechtsvermutung, dass eine qualifizierte elektronische Signatur einer handschriftlichen Unterschrift gleichwertig ist. Die grenzüberschreitende Anerkennung elektronischer Signaturen gilt jedoch nur für qualifizierte Signaturen, denn Artikel 4 Absatz 2 schreibt vor, dass Produkte für elektronische Signaturen, die den Anforderungen dieser Richtlinie entsprechen, frei im Binnenmarkt verkehren können (was in der Praxis bedeutet, dass diese den Anforderungen für qualifizierte Signaturen gemäß den Anhängen der Richtlinie genügen müssen). Wenn die Mitgliedstaaten gemäß Artikel 3 Absatz 7 der Richtlinie für den Einsatz elektronischer Signaturen im öffentlichen Bereich zusätzliche Anforderungen festlegen, so müssen sie entsprechend den Binnenmarktzielen der Richtlinie dafür sorgen, dass solche Anforderungen kein Hindernis für grenzüberschreitende Dienste für den Bürger darstellen[11]. Abgesehen von der Notwendigkeit, diese aus der E-Signatur-Richtlinie erwachsenden Verpflichtungen ordnungsgemäß umzusetzen, gibt es eine Reihe technischer und organisatorischer Probleme, die gelöst werden müssen, um die grenzüberschreitende Verwendung elektronischer Signaturen in der Praxis zu verbessern. 2.1. Qualifizierte elektronische Signaturen und fortgeschrittene elektronische Signaturen, die auf einem qualifizierten Zertifikat beruhen Es wird davon ausgegangen, dass die grenzüberschreitende Verwendung von qualifizierten elektronischen Signaturen ( QES ) und von auf qualifizierten Zertifikaten beruhenden fortgeschrittenen elektronischen Signaturen ( AEC-QC ) relativ schnell verbessert werden kann[12]. Beide Signaturarten haben aufgrund der E-Signatur-Richtlinie einen eindeutigen rechtlichen Status, der insbesondere die Vermutung der Gleichwertigkeit mit einer handschriftlichen Unterschrift für die QES und die rechtliche Verpflichtung der Mitgliedstaaten zur gegenseitigen Anerkennung qualifizierter Zertifikate umfasst. Darüber hinaus liegen bereits erhebliche Arbeitsergebnisse auf dem Gebiet der Normung beider Signaturarten ( QES und AES-QC ) vor. Als Haupthindernisse für eine grenzüberschreitende Verwendung elektronischer Signaturen erweisen sich in der Praxis das mangelnde Vertrauen in elektronische Signaturen aus anderen Mitgliedstaaten und die Schwierigkeiten in Bezug auf die Validierung solcher Signaturen. Zur Erhöhung des Vertrauens in elektronische Signaturen aus anderen Mitgliedstaaten sollte erstens der Empfänger in der Lage sein, den Status der Zertifizierungsdiensteanbieter (CSP), die qualifizierte Zertifikate in anderen Mitgliedstaaten ausstellen, zu überprüfen. Die E-Signatur-Richtlinie (Artikel 3 Absatz 3) verpflichtet die Mitgliedstaaten, dafür zu sorgen, dass ein geeignetes System zur Überwachung der in ihrem Hoheitsgebiet niedergelassenen Zertifizierungsdiensteanbieter, die qualifizierte Zertifikate ausstellen, eingerichtet wird. Zweitens muss der Empfänger zur Validierung eines QES oder eines AES-QC aus einem anderen Mitgliedstaat die „Qualität“ einer Signatur überprüfen. Das bedeutet, dass der Empfänger nachprüfen können muss, ob es sich bei der Signatur um eine fortgeschrittene elektronische Signatur handelt und ob diese auf einem qualifizierten Zertifikat beruht, das von einem überwachten Zertifizierungsdiensteanbieter ausgestellt wurde (siehe die obige Erläuterung zur Überwachung, Artikel 3 Absatz 3). Bei einer QES muss er außerdem überprüfen können, ob die Signatur von einer sicheren Signaturerstellungseinheit stammt. Grundsätzlich sind alle diese Informationen aus der Signatur selbst und aus dem Inhalt des qualifizierten Zertifikats ersichtlich. Es ist gegenwärtig jedoch schwierig, diese Informationen tatsächlich zu erhalten, weil es Unterschiede bei der Anwendung der bestehenden Normen und Verfahren gibt. Dies führt zu Unterschieden in Umfang und Qualität der Informationen, die tatsächlich aus der erhaltenden Signatur und dem Zertifikat herauslesbar sind. Dadurch entsteht wiederum ein zusätzliches Hindernis für den Empfänger, der möglicherweise jede aus einem anderen Mitgliedstaat stammende Signatur einzeln zu beurteilen hätte. Der Validierungsprozess für elektronische Signaturen könnte folglich dadurch vereinfacht werden, dass dem Empfänger die notwendigen Informationen über die auf nationaler Ebene anerkannten und überwachten Zertifizierungsdiensteanbieter bereitgestellt werden und dass Hilfestellung bei der Umsetzung der bestehenden Normen und Verfahren gewährt wird, um deren Interoperabilität herzustellen. In Vorbereitung der Maßnahmen, die notwendig sind, um das Vertrauen zu erhöhen und die grenzüberschreitende Validierung elektronischer Signaturen zu erleichtern, führt die Kommission derzeit eine Studie durch, um die Anforderungen an die grenzüberschreitende Verwendung elektronischer Signaturen ( QES und AES-QC ) zu analysieren. Im Mittelpunkt der Studie stehen vor allem das Überwachungsmodell für die Zertifizierungsdiensteanbieter, die qualifizierte Zertifikate ausstellen, die Aufstellung einer „Vertrauensliste der überwachten, qualifizierte Zertifikate ausstellenden Zertifizierungsdiensteanbieter“, die Profile der qualifizierten Zertifikate, die von den überwachten Zertifizierungsdiensteanbietern in den Mitgliedstaaten ausgestellt werden, das Profil der sicheren Signaturerstellungseinheiten und das Format der qualifizierten/fortgeschrittenen Signaturen. Ausgangspunkt und Hintergrund der Studie sind die einschlägigen Bestimmungen der E-Signatur-Richtlinie und deren nationale Umsetzungsvorschriften sowie die bereits vorliegenden, auf der Richtlinie beruhenden Normungsarbeiten[13]. Maßnahmen: - Bis zum dritten Quartal 2009: Die Kommission wird die Entscheidung 2003/511/EG[14], die das Verzeichnis der allgemein anerkannten Normen für Produkte für elektronische Signaturen enthält, aktualisieren und dabei prüfen, ob die Entscheidung über die bereits aufgeführten Produkte hinaus auf andere E-Signatur-Produkte ausgedehnt werden sollte (z. B. Profile der qualifizierten Zertifikate und der sicheren Signaturerstellungseinheiten). Dies dient der Vereinfachung der derzeit komplizierten Normungslage und wird den Beteiligten helfen, die Normen auf interoperable Weise umzusetzen. - Bis zum zweiten Quartal 2009: Die Kommission wird auf europäischer Ebene eine „Vertrauensliste der überwachten, qualifizierte Zertifikate ausstellenden Zertifizierungsdiensteanbieter“ aufstellen. In dieser Liste werden alle notwendigen Informationen über bestehende überwachte Zertifizierungsdiensteanbieter, die qualifizierte Zertifikate ausstellen, zentral zusammengefasst, um den Prozess der Validierung von elektronischen Signaturen, die auf qualifizierten Zertifikaten beruhen, zu vereinfachen. - Bis zum dritten Quartal 2009: Die Kommission wird Leitlinien und Empfehlungen für gemeinsame Anforderungen aufstellen, um die Akteure bei der interoperablen Umsetzung von qualifizierten elektronischen Signaturen ( QES ) oder auf qualifizierten Zertifikaten beruhenden fortgeschrittenen elektronischen Signaturen ( AES-QC ) zu unterstützen. - Derzeit laufend: Die Mitgliedstaaten sind aufgefordert, der Kommission regelmäßig die notwendigen Informationen zu übermitteln und – falls erforderlich – die Schritte zu unternehmen, die sich aus den obigen E-Signatur-Maßnahmen ergeben. 2.2. Fortgeschrittene elektronische Signaturen Die grenzüberschreitende Verwendung fortgeschrittener elektronischer Signaturen ( AES ) wirft ganz ähnliche Interoperabilitätsprobleme auf, wie sie bereits oben im Zusammenhang mit qualifizierten elektronischen Signaturen ( QES ) und auf qualifizierten Zertifikaten beruhenden fortgeschrittenen elektronischen Signaturen ( AEC-QC ) erörtert wurden. In der Praxis ist die Situation der AES jedoch komplizierter, weil die AES derzeit größeren rechtlichen, technischen und organisatorischen Einschränkungen unterliegen als die QES . In Artikel 2 Absatz 2 der E-Signatur-Richtlinie wird die fortgeschrittene elektronische Signatur generisch definiert. Dies hat dazu geführt, dass die Mitgliedstaaten sehr verschiedenartige technische Lösungen mit unterschiedlichen Sicherheitsstufen verwenden. Die Mitgliedstaaten können auch besondere nationale Lösungen für besondere Anwendungen vorschreiben, wodurch allerdings noch weitere Hindernisse für eine grenzüberschreitenden Nutzung fortgeschrittener elektronischer Signaturen entstehen. Nach der E-Signatur-Richtlinie haben die AES nicht den gleichen klaren rechtlichen Status einer Gleichstellung mit handschriftlichen Unterschriften wie die QES . Die Mitgliedstaaten dürfen lediglich den AES nicht allein deshalb die Rechtswirkung verweigern, weil sie in elektronischer Form vorliegen. Sie haben somit einen größeren Ermessensspielraum, wenn sie in Abhängigkeit von den besonderen Anforderungen einer bestimmten Anwendung entscheiden, welche fortgeschrittene elektronische Signatur sie anerkennen (und welche nicht). Überdies könnte zwar grundsätzlich eine AES aus einem anderen Mitgliedstaat akzeptiert werden, falls sie den Anforderungen der jeweiligen Anwendung genügt, aufgrund der Vielzahl der vorhandenen technischen Lösungen stößt eine solche AES -Anerkennung aber auf praktische Schwierigkeiten. In diesem Zusammenhang ist sowohl die Validierung einer AES durch den Empfänger als auch die Beurteilung ihrer Rechtswirkung oder Sicherheitsstufe innerhalb einer bestimmen Anwendung eine anspruchvolle Aufgabe, die heutzutage häufig eine Einzelfallprüfung und Verarbeitung der empfangenen Signatur erfordert. Um die grenzüberschreitende Verwendung von AES zu fördern, müssen die notwendigen Voraussetzungen geschaffen werden, damit der Empfänger – ähnlich wie bei QES und AES-QC – auch einer AES aus einem beliebigen anderen Mitgliedstaat vertrauen kann und in der Lage ist, diese zu validieren. Ein erster Schritt ist die Verbesserung der Informationen über die AES , die gegenwärtig schon in elektronischen Behördendiensten genutzt werden. Dazu wird die Kommission die vorhandenen Länderprofile, die 2007 in der IDABC-Studie über die gegenseitige Anerkennung elektronischer Signaturen für elektronische Behördendienste aufgestellt wurden, aktualisieren und online zugänglich machen. Die große Vielfalt von AES -Lösungen, die gegenwärtig mit unterschiedlichen Anforderungen (und unterschiedlichen Überwachungskriterien) in den Mitgliedstaaten besteht, macht es jedoch praktisch unmöglich, im Rahmen dieses Aktionsplans eine gemeinsame Strategie und gemeinsame Kriterien für AES auszuarbeiten. Gleichzeitig könnte zur Vermeidung der mehrfachen Validierung in allen Mitgliedstaaten – die ja das Hauptproblem der grenzübergreifenden Interoperabilität ist – eine Lösungsmöglichkeit darin bestehen, im Zuge der schrittweisen Beseitigung der Haupthindernisse für die AES -Interoperabililtät die Überprüfung und Validierung einem zentralisierten oder dezentralen Validierungsdienst übertragen. Die Kommission wird in einer Durchführbarkeitsstudie untersuchen, welche Möglichkeiten es für die Schaffung eines solchen Validierungsmechanismus auf EU-Ebene gibt. In der Studie wird insbesondere auf die rechtlichen, technischen und organisatorischen Voraussetzungen für einen solchen Dienst eingegangen werden, darunter auch auf die etwaige Notwendigkeit gemeinsam definierter Anforderungsstufen für unterschiedliche AES -Typen, wobei zunächst die in elektronischen Behördendiensten verwendeten AES im Mittelpunkt stehen werden. Soweit möglich sollten die Ergebnisse der Durchführbarkeitsstudie auch in das groß angelegte grenzüberschreitende E-Vergabe-Pilotprojekt „PEPPOL“ ( Pan European Public Procurement Online ) einfließen, das von der Kommission und mehreren Mitgliedstaaten im Mai 2008 (im Rahmen des Programms zur Unterstützung der IKT-Politik (IKT-Förderprogramm)[15] eingeleitet wurde. Zusätzlich zu der obigen Studie wird die Kommission präzisieren, welche Maßnahmen notwendig wären, um die grenzüberschreitende Verwendung von AES zu fördern. Dabei wird sie sich auf die Ergebnisse der laufenden Arbeiten und die Fortschritte bei der Einführung und grenzübergreifenden Anerkennung von QES und AES-QC stützten. Maßnahmen: - Bis zum zweiten Quartal 2009: Die Kommission wird die Länderprofile in der IDABC[16]-Studie[17] ( Interoperable Delivery of European e-Government Services to public Administrations, Business and Citizens , interoperable Erbringung europaweiter elektronischer Behördendienste für öffentliche Verwaltungen, Unternehmen und Bürger) über die gegenseitige Anerkennung elektronischer Signaturen für elektronische Behördendienste aktualisieren. - Bis zum zweiten Quartal 2009: Die Kommission wird die Durchführbarkeit (hinsichtlich der rechtlichen, technischen und organisatorischen Voraussetzungen) eines europäischen föderativen Validierungsdienstes untersuchen. Ausgehend von den Ergebnissen der Durchführbarkeitsstudie wird die Kommission entscheiden, ob und in welcher Form ein solcher Validierungsdienst eingerichtet werden soll. - Bis 2010: Anhand der Ergebnisse der laufenden Arbeiten und der Fortschritte bei der Einführung und grenzübergreifenden Anerkennung von QES und AES-QC wird die Kommission darüber berichten, welche weiteren Maßnahmen notwendig wären, um die grenzüberschreitende Verwendung von AES zu fördern. - Nach Vorlage der Ergebnisse der Durchführbarkeitsstudie für den europäischen föderativen Validierungsdienst werden die Mitgliedstaaten aufgefordert, der Kommission alle einschlägigen Informationen zu übermitteln und für die notwendige Zusammenarbeit bei der Durchführung der Maßnahmen, insbesondere dem Aufbau des Validierungsdienstes, entsprechend den Ergebnissen der Studie zu sorgen. - In Abhängigkeit vom Ergebnis der Durchführbarkeitsstudie für den europäischen föderativen Validierungsdienst werden die Mitgliedstaaten in Absprache mit dem Projektkonsortium aufgefordert, den Validierungsdienst zu erproben, und zwar innerhalb des groß angelegten grenzüberschreitenden E-Vergabe-Pilotprojekts „PEPPOL“ (Pan European Public Procurement Online) , das im Zuge des CIP[18] durchgeführt wird. 3. TEIL 2: MAßNAHMEN ZUR VERBESSERUNG DER GRENZÜBERGREIFENDEN INTEROPERABILITÄT DER ELEKTRONISCHEN IDENTITÄT Die Mitgliedstaaten richten heutzutage Systeme für das elektronische Identitätsmanagement (eIDM) als Teil der Modernisierung der Dienstleistungserbringung ein. Das elektronische Identitätsmanagement (eIDM) ist eine wichtige Voraussetzung für die Bereitstellung elektronischer Dienstleistungen aller Art. Einerseits gibt die elektronische Identifizierung dem einzelnen Nutzer solcher elektronischen Verfahren die Gewissheit, dass seine Identität und seine personenbezogenen Daten nicht unbefugt verwendet werden. Andererseits können die Verwaltungen sicherstellen, dass die Personen tatsächlich die sind, die zu sein sie behaupten und dass ihnen die beanspruchten Rechte auch zustehen (z. B. eine bestimmte Leistung in Anspruch zu nehmen). Einige Mitgliedstaaten haben bereits elektronische Identifizierungssysteme in Betrieb genommen, die den Zugang zu elektronischen Verfahren ihrer öffentlichen Verwaltungen ermöglichen. Die technische Umsetzung unterscheidet sich aber beträchtlich, selbst wenn sich heute der Trend zum Einsatz elektronischer Personalausweise abzeichnet. Die zur elektronischen Identifizierung eingesetzten Mittel wurden von den Mitgliedstaaten ohne jegliche Koordinierung eingeführt. Die Interoperabilität der elektronischen Identifizierung ist aber eine weitere Voraussetzung für den grenzüberschreitenden Zugang zu elektronischen öffentlichen Diensten. Ohne interoperablen Mechanismus für die elektronische Identifizierung in der Europäischen Union werden in der Praxis neue Hindernisse entstehen, die mit den Binnenmarktvorschriften unvereinbar sind, deren Ziel aber gerade darin besteht, das Funktionieren des Binnenmarktes zu verbessern. Auf politischer Ebene wurde 2005 und 2007 in Ministererklärungen[19] die Einrichtung eines interoperablen elektronischen Identitätsmanagementsystems in Europa gefordert, damit die Bürger und Unternehmen auf Verlangen der öffentlichen Verwaltungen ihre Identität nachweisen können. Es wurden einige gemeinsame Maßnahmen eingeleitet, um eine Lösung für die grenzüberschreitende Identifizierung zu finden, die auf den vorhandenen Identifizierungslösungen aufbauen kann. Bei den elektronischen Signaturen wird eine horizontale Lösung angestrebt, auf denen sektorale Anwendungen aufbauen können und die auf einer gegenseitigen Anerkennung der anderen Mechanismen zur elektronischen Identifizierung beruhen. Es muss jedoch noch eine Vielzahl von Problemen gelöst werden, bevor die grenzüberschreitende Verwendung und Anerkennung elektronischer Identitätsnachweise in der Praxis funktioniert. Als erster Schritt wird im Rahmen des bereits erwähnten IKT-Förderprogramms ein Großpilotprojekt (mit der Bezeichnung „STORK“) durchgeführt, das sich gezielt mit der Interoperabilität der elektronischen Identifizierung in öffentlichen Diensten befasst. Im Pilotprojekt STORK geht es um eine interoperable elektronische Identität, die von den Mitgliedstaaten gegenseitig anerkannt wird, ihnen aber die Möglichkeit lässt, ihre vorhandenen Systeme und Verfahren beizubehalten. Das Pilotprojekt ist ein erster Schritt auf dem Weg zur Interoperabilität. Erwartet wird, dass es Lösungen aufzeigt, wie die für bestimmte Bereiche gefundenen Lösungen auf andere Gebiete ausgedehnt werden können. Überdies wird die Kommission in Abhängigkeit von den Ergebnissen des Pilotprojekts entscheiden, ob und welche Maßnahmen im Anschluss an die 2012 vorzulegenden Ergebnisse notwendig sein werden[20]. Maßnahmen: - Bis Ende 2009: Die Kommission wird die Länderprofile der IDABC-Studie „e-ID Interoperability for Pan European e-Government Services“ (Interoperabilität der elektronischen Identifizierung für europaweite elektronische Behördendienste) aktualisieren, damit die Mitgliedstaaten und die Kommission mit den Entwicklungen bei der Verwendung der elektronischen Identifizierung in den Mitgliedstaaten Schritt halten können. - Bis Ende 2009: Die Kommission wird in Zusammenarbeit mit den Mitgliedstaaten spezifische Umfragen über die Verwendung der elektronischen Identifizierung in den Mitgliedstaaten in Auftrag geben, um das Projekt STORK zu ergänzen und zu unterstützen (z. B. die künftige Entwicklung gemeinsamer Spezifikationen für die Interoperabilität der elektronischen Identifizierung). - Nach Vorlage der Ergebnisse des Projekts STORK: Die Kommission wird entscheiden, ob und welche Maßnahmen erforderlich sind, um eine wirksame EU-weite Verwendung der elektronischen Identifizierung zu ermöglichen. - Bis 2012: Die Mitgliedstaaten werden aufgefordert, Lösungen für die grenzüberschreitende Verwendung der elektronischen Identifizierung im Projekt STORK zu demonstrieren. 4. BEOBACHTUNG UND UMSETZUNG Mit der Durchführung dieses Aktionsplans wird ein horizontaler und koordinierter Ansatz sichergestellt, um die grenzübergreifende Nutzung von E-Government-Anwendungen in allen Bereichen des Binnenmarktes zu erleichtern und zu verbessern. Dank seines Gesamtansatzes, der Unternehmen wie Bürgern den Zugang zu grenzüberschreitenden Behördendiensten erleichtert, wird er zu einem besseren Funktionieren des Binnenmarktes beitragen. Die dazu einzusetzenden Mittel werden zur Verbesserung der derzeitigen Rahmenvorgaben und zur weiteren Annäherung der technischen Lösungen beitragen. Für den Privatsektor liegt der Mehrwert in einer breiten Verwendung von Werkzeugen, mit denen sichere elektronische Verfahren verbessert werden, die auch in Transaktionen zwischen Unternehmen (B2B) und zwischen Unternehmen und Verbrauchern (B2C) eingesetzt werden können. Die Kommission wird die Durchführung des Aktionsplans in enger Zusammenarbeit mit den Mitgliedstaaten überwachen. Ziel ist es dabei, die Einheitlichkeit der vorgeschlagenen Maßnahmen, der verschiedenen rechtlichen Anforderungen auf EU-Ebene und der einschlägigen operativen Projekte, z. B. des CIP-Pilotprojekts, zu wahren. Angestrebt wird insbesondere ein ständiger Dialog mit den Mitgliedstaaten, der diesen Aktionsplan begleiten soll und in den auch die für die Wettbewerbs- und Binnenmarktpolitik zuständigen Behörden aus den Mitgliedstaaten einzubeziehen sind. Die Durchführung dieses Aktionsplans durch die Kommission und die Mitgliedstaaten sowie die Überwachung der Fortschritte sind Teil der Folgemaßnahmen auf die Überprüfung des Binnenmarkts. Ein Jahr nach der Annahme dieses Aktionsplans wird die Kommission gemeinsam mit den Mitgliedstaaten damit beginnen, die erreichten Fortschritte zu prüfen, um dann dem Rat 2010 einen Fortschrittsbericht vorzulegen. Die Mitgliedstaaten sind aufgefordert, der Kommission alle einschlägigen Informationen über die Durchführung und die Ergebnisse der zur Herstellung der grenzüberschreitenden Interoperabilität vorgeschlagenen Maßnahmen zu übermitteln. Auf der Grundlage des Fortschrittsberichts und des Gesprächs mit den Mitgliedstaaten in den einschlägigen Gremien wird die Kommission einschätzen, ob weitere horizontale und/oder sektorale Initiativen notwendig sind.[pic] [1] Identifizierung ist der Prozess, in dem aus behaupteten oder beobachteten Attributen einer Instanz abgeleitet wird, wer diese Instanz ist. Der Begriff „Identifizierung“ wird auch als Instanzenauthentisierung bezeichnet. ( Modinis IDM Terminology paper , https://www.cosic.esat.kuleuven.be/modinis-idm/twiki/bin/view.cgi/Main/GlossaryDoc. [2] Richtlinie 1999/93/EG, ABl. L 13 vom 19.1.2000, S. 12, und der Bericht über die Anwendung der E-Signatur-Richtlinie, KOM(2006) 120 endg. [3] Artikel 8 der Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates vom 12. Dezember 2006 über Dienstleistungen im Binnenmarkt. Die Dienstleistungsrichtlinie muss bis zum 28. Dezember 2009 umgesetzt werden. [4] Artikel 42 Absatz 5 Buchstabe b und Anhang X der Richtlinie 2004/18/EG sowie Artikel 48 Absatz 5 Buchstabe b und Anhang XXIV der Richtlinie 2004/17/EG zur öffentlichen Auftragsvergabe. [5] Weiteres hierzu enthält der Aktionsplan zur Umsetzung und Anwendung der Rechtsvorschriften über die elektronische Vergabe öffentlicher Aufträge vom 13. Dezember 2004, KOM(2004) 841. [6] Im Zuge der Online-Abwicklung ihrer Vergabeverfahren müssen öffentliche Auftraggeber in der Lage sein, elektronische Angebote grenzüberschreitend zu empfangen und zu bearbeiten. Vollständig elektronisch übermittelte Angebote sind komplexe „Umschläge“, die aus einer Vielzahl elektronisch signierter Unterlagen und Bescheinigungen aus verschiedenen Quellen mit unterschiedlicher nationaler Herkunft und technischem Aufbau bestehen und auch beglaubigte Übersetzungen enthalten können (z. B. zur Anerkennung des Qualifikationsnachweises eines Dienstleistungserbringers). Das bedeutet, dass die politischen Entscheidungsträger komplexe elektronische Kommunikationsabläufe in einem offenen Kreislauf organisieren müssen, bei dem der Empfänger der Informationen (der öffentliche Auftraggeber) nicht alle möglichen Einsender (die Bieter) im Voraus kennt. [7] Die Sachverständigengruppe für elektronische Rechnungstellung hat erklärt, dass die elektronische Rechnungstellung nicht durch uneinheitliche nationale Vorschriften über die elektronische Signatur behindert werden dürfe. Dieser horizontale Aktionsplan beinhaltet jedoch keine Folgenabschätzung in Bezug auf die Verwendung elektronischer Signaturen im Zusammenhang mit der Einhaltung der Mehrwertsteuervorschriften (elektronische Signaturen auf Rechnungen gemäß Artikel 233 der Richtlinie 2006/112/EG des Rates über das gemeinsame Mehrwertsteuersystem) und die elektronische Rechnungstellung oder die damit verbundenen Hindernisse und die erforderlichen Maßnahmen zu deren Beseitigung. [8] Die Europäische Kommission arbeitet auch an einem Projekt zur Erleichterung der Einführung elektronischer Signaturen in ihrem eigenen internen und externen Datenaustausch. Dieses Projekt trägt den Namen „Electronic Signature Service Infrastructure (ESSI)“ (Diensteinfrastruktur für elektronische Signaturen) und ist eine wichtige Voraussetzung für die Dematerialisierung der Verfahren in der Europäischen Kommission, wie sie in den „Bestimmungen der Kommission für elektronische und nummerisierte Dokumente“ (SEK(2005) 1578) vorgesehen ist. [9] E-Government-Aktionsplan im Rahmen der i2010-Initiative: Beschleunigte Einführung elektronischer Behördendienste in Europa zum Nutzen aller, KOM(2006) 173 endg. [10] Unter elektronischer Authentifizierung wird hier die Instanzenauthentisierung verstanden, d. h. die elektronische Identifizierung. Im Interesse einer klaren Abgrenzung zwischen „Instanzenauthentisierung“ und „Datenauthentifizierung“ wird in dieser Mitteilung wird der Begriff der „elektronischen Identifizierung“ verwendet. [11] Nach Artikel 3 Absatz 7 müssen diese zusätzlichen Anforderungen objektiv, transparent, verhältnismäßig und nichtdiskriminierend sein und dürfen sich nur auf die spezifischen Merkmale der betreffenden Anwendung beziehen. [12] Diesbezügliche Arbeiten werden bereits im Zusammenhang mit der Umsetzung der Dienstleistungsrichtlinie mit den Mitgliedstaaten erörtert. [13] Im Einklang mit der E-Signatur-Richtlinie haben das CEN (Europäisches Komitee für Normung) und das ETSI (Europäisches Institut für Telekommunikationsnormen) innerhalb der EESSI (Europäische Initiative zur Normung elektronischer Signaturen) Normen ausgearbeitet. [14] ABl. L 175 vom 15.7.2003, S. 45. Das Verzeichnis enthält allgemein anerkannte Normen für Produkte für elektronische Signaturen, bei denen die Mitgliedsstaaten davon ausgehen sollen, dass diese in Übereinstimmung mit den Anforderungen der E-Signatur-Richtlinie stehen. [15] Teil des Rahmenprogramms für Wettbewerbsfähigkeit und Innovation. http://ec.europa.eu/cip. [16] Das IDABC-Programm läuft im Dezember 2009 aus. Die Kommission hat im Anschluss an das IDABC-Programm ein Programm zu Interoperabilitätslösungen für öffentliche Verwaltungen (ISA) vorgeschlagen. [17] Ziel der Studie (die bis Ende 2009 abgeschlossen wird, deren erste Ergebnisse aber bereits vorliegen) ist die Analyse der Anforderungen unterschiedlicher E-Government-Anwendungen und -dienste bezüglich der Interoperabilität elektronischer Signaturen unter Berücksichtigung der Bestimmungen der E-Signatur-Richtlinie und deren Umsetzung in den Mitgliedstaaten. Die Studie soll pro E-Government-Anwendung und pro Mitgliedstaat klären, welche Art der elektronischen Signatur rechtlich erforderlich ist und welche technischen Zwänge bestehen. [18] Rahmenprogramm für Wettbewerbsfähigkeit und Innovation 2007–2013. [19] http://ec.europa.eu/information_society/activities/egovernment/conferences/2005/index_en.htm, http://ec.europa.eu/information_society/activities/egovernment/docs/lisbon_2007/ministerial_declaration_180907.pdf [20] Die konkreten Gebiete sind: grenzübergreifende Authentifizierungsplattform für elektronische Dienste; Mobilität der Studierenden; Änderung des Wohnsitzes; elektronische Ausgabe von Dokumenten; sichere Nutzung des Internet durch Kinder. Gegenwärtig sind daran 13 Mitgliedstaaten sowie Island beteiligt. Das Projekt hat insgesamt 29 (öffentliche und private) Teilnehmer.