eIDAS-Verordnung

Einführung in die eIDAS-Verordnung und die Rechtmäßigkeit von E-Signaturen in Europa

Was ist die eIDAS-Verordnung?

Die Verordnung über elektronische Identifizierung, Authentifizierung und Vertrauensdienste trat in der Europäischen Union am 1. Juli 2016 in Kraft. Sie wurde geschaffen, um die Vorschriften für elektronische Signaturen und Transaktionen zu vereinheitlichen. Rechtlich gesehen handelt es sich um die EU-Verordnung Nr. 910/2014.

eIDAS ist der Ersatz für die Richtlinie von 1999 über die elektronische Signatur. Es stellt sicher, dass alle Mitgliedstaaten die gleichen Normen und Vorschriften einhalten. eIDAS wurde entwickelt, um Unstimmigkeiten zu beseitigen, das Zögern zu verringern und das Vertrauen zwischen den Binnenmärkten in Bezug auf elektronische Signaturen und Transaktionen zu stärken. Ziel war es, sicherzustellen, dass elektronische Dokumente mit elektronischen Signaturen in allen Mitgliedstaaten der EU anerkannt und akzeptiert werden.

Was deckt die eIDAS-Verordnung ab?

Im Vergleich zur Richtlinie über elektronische Signaturen von 1999 ist die eIDAS-Richtlinie breiter angelegt. Neben elektronischen Signaturen deckt die eIDAS-Verordnung auch die elektronische Identifizierung, Zustellung, Archivdienste und die Authentifizierung von Websites ab.

eIDAS legt ein standardisiertes Regelwerk für die elektronische Identifizierung und Vertrauensdienste fest.

Elektronische Identifizierung

Im Rahmen des Kapitels über die elektronische Identifizierung bietet eIDAS eine Anleitung, um sicherzustellen, dass die elektronische Identifizierung in allen EU-Mitgliedstaaten anerkannt wird.

Vertrauensdienste

Die Richtlinie über elektronische Signaturen aus dem Jahr 1999 konzentrierte sich in erster Linie auf elektronische Signaturen und deren Zertifizierungen.

Die eIDAS-Verordnung enthält ein Kapitel über Vertrauensdienste, das eine stärkere Standardisierung in Bezug auf Vertrauensdienste für Authentifizierung und Signaturen vorsieht, einschließlich:

  • Elektronische Unterschriften
  • Zertifikate für elektronische Signaturen
  • Elektronische Siegel
  • Zeitstempel
  • Website-Authentifizierung
  • Elektronische Zustelldienste per Einschreiben

Qualifizierte Vertrauensdiensteanbieter müssen die von den Mitgliedstaaten festgelegten Anforderungen erfüllen und sind durch das standardmäßige EU-Vertrauenszeichen erkennbar.

Was sind die Vorteile der eIDAS-Verordnung?

Bei der Richtlinie für elektronische Signaturen fehlte es an Einheitlichkeit in der EU. Jedes Land hatte seine eigene Interpretation des Systems. Dies bedeutete, dass die erforderlichen Sicherheits- und Authentifizierungsniveaus sehr unterschiedlich waren.

eIDAS stellt eine Reihe von Leitlinien vor, die Unternehmen und Bürgern gleichermaßen zugute kommen, unter anderem in Form von:

  • Größeres Vertrauen in Online- und elektronische Transaktionen
  • Anerkennung der elektronischen Identifizierung in allen Mitgliedsstaaten
  • Schnelleres und strafferes Verfahren für grenzüberschreitende Transaktionen
  • EU-weit einheitliche Vorschriften für elektronische Signaturen

Wer ist von eIDAS betroffen?

Jeder, der in der EU elektronische Transaktionen mit elektronischen Signaturen durchführt, fällt unter die eIDAS-Verordnung. Dies ermöglicht es Unternehmen und Verbrauchern, ihre Transaktionen ohne physische Anwesenheit durchzuführen.

Während Verbraucher, die elektronische Transaktionen abwickeln, die Vorschriften kennen sollten, liegt die Verantwortung für die Einhaltung der Vorschriften im Allgemeinen bei den Vertrauensdiensteanbietern.

A series of rectangles floating in the air, connected by a thin line some of which have checkmarks on them. Closest to the viewer is a rectangle with the symbol of a monochrome white hammer and gavel

eSignature Legality Guide

Learn the facts about electronic signature laws and local regulations that govern digital identities and digital certificates for e-signatures among EU member states and around the world.

Read More


Was gilt als elektronische Signatur im Sinne der eIDAS-Verordnung?

Elektronische Signaturen im Sinne von eIDAS umfassen alle Daten in elektronischer Form, die an andere Daten in elektronischer Form angehängt oder mit ihnen logisch verknüpft sind und die vom Unterzeichner zum Unterschreiben verwendet werden. Für die Qualifizierung einer elektronischen Signatur im Rahmen von eIDAS muss keine bestimmte Technologie verwendet werden.

eIDAS definiert drei Sicherheitsstufen für die Identifizierung: niedrig, erheblich und hoch. In ähnlicher Weise hat eIDAS drei Kategorien von elektronischen Signaturen festgelegt:

  1. Elektronische Unterschriften
  2. Fortgeschrittene elektronische Signaturen
  3. Qualifizierte elektronische Signaturen

Sie sind zwar alle als elektronische Signaturen gültig, aber die Art der Signatur hat Einfluss darauf, wie viele Beweise erforderlich sind, um die Echtheit der Signatur zu belegen.

Hier sind die wichtigsten Unterschiede zwischen den drei Arten von Signaturen.

Arten von elektronischen Signaturen

Die elektronische Signatur ist in erster Linie ein Rechtsbegriff. Im Allgemeinen geht es darum, die Absicht des Unterzeichners dauerhaft zu dokumentieren. Eine digitale Signatur unterscheidet sich von einer elektronischen Signatur. Die digitale Signatur bezieht sich auf die Verschlüsselungstechnologie, die in Anwendungen des elektronischen Geschäftsverkehrs und des elektronischen Handels, einschließlich der elektronischen Unterschrift, verwendet wird.  

Eine elektronische Signatur gilt als grundlegende oder einfache elektronische Signatur. Dies kann ein maschinengeschriebener Name oder eine Kopie einer handschriftlichen Unterschrift sein. Da diese Arten von Unterschriften gefälscht werden können, kann das Gericht weitere Nachweise für die Echtheit der Unterschrift verlangen.


Grundlegende oder einfache elektronische Signaturen

Die Basis-E-Signatur ist technologieneutral. Das bedeutet, dass jede elektronische Form oder jedes elektronische Verfahren allgemein akzeptiert wird, solange die daraus resultierende elektronische Signatur drei grundlegende Anforderungen für die Unterzeichnung erfüllt. Die Anforderungen für eine elektronische Signatur sind, dass die Unterschrift sein muss:

  • Verwendet von der Person, die mit der Signatur verbunden ist
  • Verwendung in einer Weise, die die Absicht des Unterzeichners deutlich macht
  • In Verbindung mit dem Dokument oder den Daten, die der Unterzeichner zu signieren beabsichtigt

Fortgeschrittene elektronische Signaturen (AES)

Eine fortgeschrittene elektronische Signatur geht über die einfache elektronische Signatur hinaus, indem sie die Authentifizierung mit der Signatur und dem Dokument verknüpft. Dies mindert das Risiko im Geschäftsverkehr, indem es zusätzliche Beweise liefert, mit denen die Echtheit der Unterschrift überprüft werden kann.Sie ist schwieriger zu fälschen, und das Gericht kann weniger Beweise verlangen, um die Absicht und die Echtheit der Unterschrift nachzuweisen.

Zusätzlich zu den Anforderungen, die für eine einfache elektronische Signatur erforderlich sind, muss eine fortgeschrittene elektronische Signatur sein:

  • Eindeutig mit der Person verknüpft, die die Signatur verwendet
  • Den Unterzeichner identifizieren können
  • So erstellt werden, dass der Unterzeichner sicher sein kann, dass es unter seiner alleinigen Kontrolle steht
  • Verknüpfung mit dem Dokument, so dass spätere Änderungen erkennbar sind

Bei der Verwendung elektronischer Signaturen entscheiden sich die meisten Unternehmen und Banken für die fortgeschrittene elektronische Signatur als Standardform der elektronischen Unterschrift. Durch die integrierte Authentifizierung wird die Sicherheit erhöht, ohne die Kundenerfahrung zu beeinträchtigen.

Qualifizierte elektronische Signaturen (QES)

Der Begriff "qualifizierte elektronische Signatur" basiert auf der eIDAS-Verordnung, ähnelt aber vielen anderen Gesetzen in der Welt, die ein von einer akkreditierten Organisation ausgestelltes Zertifikat verlangen.

Die qualifizierte elektronische Signatur von OneSpan ist eine fortgeschrittene elektronische Signatur, die zusätzlich zu allen anderen Standardanforderungen auch ein persönliches digitales Zertifikat erfordert. Das digitale Zertifikat ist ein sicherer, persönlicher und eindeutiger elektronischer Identitätsnachweis, der dem Unterzeichner in einer Form ausgestellt werden muss, die er unter seiner Kontrolle halten kann.

Zusätzlich zu den Anforderungen an elektronische Signaturen und fortgeschrittene elektronische Signaturen, muss eine qualifizierte elektronische Signatur sein:

  • Erstellt mit einer qualifizierten elektronischen Erstellungs- oder Signaturerstellungseinheit
  • Unterstützt durch ein qualifiziertes Zertifikat (ausgestellt von einem qualifizierten Vertrauensdiensteanbieter; ein Beispiel wäre itsme in Belgien)

Wie eine fortgeschrittene elektronische Unterschrift wird sie als gleichwertig mit einer handschriftlichen Unterschrift anerkannt. Wird diese Art der Unterschrift jedoch in einem Rechtsstreit angefochten, muss das Gericht gemäß Artikel 25 eIDAS keine zusätzlichen Beweise vorlegen.

Die qualifizierte e-Signatur kehrt die Beweislast um, die normalerweise bei einer digitalen Transaktion besteht. Bei einfachen elektronischen Signaturen und fortgeschrittenen elektronischen Signaturen obliegt es der Organisation, die die Transaktion initiiert, den Unterzeichner zu authentifizieren. Bei einer qualifizierten elektronischen Signatur muss der Unterzeichner jedoch das digitale Zertifikat vorlegen, mit dem er sich authentifiziert hat.

In der Praxis können andere Formen elektronischer Signaturen in Gerichtsverfahren angefochten werden, und die Organisation, die die Transaktion initiiert, muss dem Gericht unter Umständen nachweisen, dass sie zuverlässig und originell ist, kurz gesagt, dass sie Rechtswirkung hat. Auch wenn einige Länder die Zulässigkeit elektronischer Signaturen auf der Grundlage digitaler Zertifikate befürworten, können sie die Zulässigkeit des signierten Dokuments vor Gericht nicht allein deshalb verweigern, weil die Signatur in Form einer einfachen oder fortgeschrittenen elektronischen Signatur vorliegt.

ZertEs and Swisscom
Blog

Achieving Compliance with ZertEs and eIDAS through Swisscom and OneSpan Sign

Explore the benefits of Swisscom as a Trust Service Provider and learn how integrating Swisscom with OneSpan Sign creates an exceptional, flexible customer experience.

READ MORE

 

Welche Art von Signatur sollten Sie im Rahmen von eIDAS verwenden?

Welche Art von Signatur Sie verwenden sollten, hängt von der Art der Transaktion und dem Risiko ab (z. B. Authentifizierungsrisiko, rechtliches Risiko, Compliance-Risiko, Adoptionsrisiko usw.), das Ihr Unternehmen einzugehen bereit ist. Laut dem White Paper eIDAS and E-Signatures: A Legal Perspective kann eine fortgeschrittene elektronische Signatur ausreichen, wenn das Gesetz nicht vorschreibt, dass eine qualifizierte elektronische Signatur für die Rechtmäßigkeit eines Dokuments erforderlich ist.

Hören Sie aus erster Hand von einem europäischen Unternehmen, der P&V Versicherung in Belgien, über ihren Anwendungsfall und wie ihr Rechtsteam die Entscheidung getroffen hat, die fortgeschrittene elektronische Signatur anstelle der qualifizierten elektronischen Signatur einzuführen. Für P&V Insurance stellte sich die Frage: Wie wählt man die richtige Art von elektronischer Unterschrift für jeden Anwendungsfall? Der erste Anwendungsfall sind Lebensversicherungsanträge - ein Prozess mit geringem Risiko, bei dem die Anforderungen an die Einhaltung der Vorschriften minimal sind.
"Der Versicherungsantrag birgt nicht dasselbe Risiko wie die Police, daher ist eine fortgeschrittene E-Signatur ausreichend. Für Dokumente, die rechtlich durchsetzbar sein müssen, wie z. B. die Versicherungspolice selbst oder das Formular zur Änderung des Begünstigten, benötigen wir jedoch qualifizierte elektronische Signaturen oder sogar Unterschriften mit Tinte, um die Anforderungen zu erfüllen", sagt Marc Lucion, Senior IT Project Manager.

Wir haben dem Unternehmen geraten, qualifizierte elektronische Signaturen (mit staatlicher eID und PIN) zumindest für bestimmte Handlungen oder Verträge zu verwenden, je nach Risiko, Sensibilität oder Betrag", so der General Counsel des Versicherers. Wir waren uns jedoch auch einig, dass fortgeschrittene E-Signaturen (mit Authentifizierung und SMS-Einmalpasscode) für die meisten Versicherungsanträge rechtlich ausreichend sind. In allen Fällen mussten die elektronisch signierten Dokumente in unseren Systemen aufbewahrt und archiviert werden." Lesen Sie mehr in dieser Fallstudie: P&V Insurance legt den Grundstein für Enterprise Esignature.

Zusammengefasst

eIDAS löst das Problem der Uneinheitlichkeit elektronischer Transaktionen in den EU-Mitgliedstaaten. Auch wenn es komplex erscheinen mag, trägt eIDAS durch die Festlegung einer Reihe grundlegender Normen zur Schaffung eines nahtlosen elektronischen Umfelds bei. Das gesteigerte Vertrauen in elektronische Prozesse wird ein schnelleres langfristiges wirtschaftliches und soziales Wachstum in der gesamten EU fördern. Als Unternehmen ist es wichtig, sich mit eIDAS vertraut zu machen und sicherzustellen, dass Ihre Organisation die Vorschriften einhält.

OneSpans Lösung für elektronische Signaturen, OneSpan Sign, unterstützt alle Arten von Signaturen gemäß der eIDAS-Verordnung. Erfahren Sie mehr darüber, wie OneSpan Sign die Anforderungen für elektronische Signaturen in Ländern erfüllt, die Gesetze für elektronische Signaturen erlassen haben.

Weitere Informationen über das Recht der elektronischen Signatur und die rechtliche Wirksamkeit und Durchsetzbarkeit elektronischer Signaturen für Ihre geschäftlichen Transaktionen oder für eine bestimmte Art von Vereinbarung oder Vertrag finden Sie in unserem Leitfaden zur Rechtmäßigkeit elektronischer Signaturen und bei Ihrem Rechtsberater.

Nehmen Sie Kontakt mit uns auf

Setzen Sie sich mit einem unserer Sicherheitsexperten in Verbindung, um mehr darüber zu erfahren, wie unsere Lösungen Ihnen bei Ihren digitalen Sicherheitsanforderungen helfen können