Die eIDAS-Verordnung: Grundlagen einfach erklärt
Wenn man sich mit der elektronischen Signatur beschäftigt, wird man unweigerlich über den Begriff „eIDAS-Verordnung“ stolpern. Die eIDAS-Verordnung bezeichnet die rechtliche Grundlage für elektronische Identifizierung und Vertrauensdienste in der EU. Wir klären in diesem Artikel, welche Regelungen die eIDAS-Verordnung enthält und inwiefern diese relevant für das elektronische Signieren sind.
Was ist die eIDAS-Verordnung?
eIDAS, auch bekannt als Artikel Nr. 910/2014, ist eine gesetzliche Verordnung der EU, die seit 2016 vollständig in Kraft ist. Dabei handelt es sich um eine EU-Verordnung, mit der ein einheitlicher Rahmen für Vertrauensdienste und die elektronische Identifizierung (eID) geschaffen wurde, um die EU-weite Nutzung elektronischer Dienstleistungen zu erleichtern.
eIDAS fördert die grenzüberschreitende Zusammenarbeit in allen 27 EU-Mitgliedstaaten und stellt sicher, dass die Länder elektronische Dienstleistungen gegenseitig anerkennen und diese auch im Falle eines Gerichtsverfahrens akzeptiert.
Die Abkürzung eIDAS steht für:
- electronic
- IDentification
- Authentication and
- trust Services
Gut zu wissen: In der Schweiz ist das Bundesgesetz ZertES und nicht die eIDAS-Verordnung die geltende rechtliche Grundlage, wenn es um die E-Signatur geht – die Inhalte sind jedoch sehr ähnlich.
E-Signing Report 2023: Treiben Sie die digitale Transformation mit diesem praktischen Nachschlagewerk voran
Die Ziele von eIDAS
Die eIDAS-Verordnung (kurz: eIDAS-VO) ist die rechtliche Grundlage für elektronische Identifizierung und Vertrauensdienste in der EU. Sie ermöglicht das rechtssichere Signieren von Dokumenten auf digitalem Weg – ein wichtiger Baustein für schnelle und sichere Digitalisierung von Organisationen in der EU.
Die eIDAS-Verordnung – auch bekannt als Artikel Nr. 910/2014 – ist am 1. September 2014 in Kraft getreten. Im Juli 2016 hat sie die vorher gültige EU-Signaturrichtlinie (1999/93/EG) abgelöst. Grund für die Ablösung der EU-Signaturrichtlinie (1999/93/EG) war, dass ihre Komplexität eine EU-weite Nutzung elektronischer Signaturen verhinderte. Die eIDAS-Verordnung ist im Vergleich viel nutzerzentrierter.
Vorteile der eIDAS-Verordnung für Unternehmen
Die eIDAS-Verordnung ist ein Schlüsselinstrument für Unternehmen im europäischen Binnenmarkt. Sie vereinheitlicht die Regeln für elektronische Signaturen und Vertrauensdienste in der EU. Zudem sorgt sie dafür, dass elektronische Interaktionen zwischen Unternehmen sicherer, schneller und effizienter werden, unabhängig davon, in welchem europäischen Land sie stattfinden.
Die wesentlichen Vorteile für Unternehmen:
- EU-weite Anerkennung: Die Verordnung sorgt dafür, dass elektronische Signaturen in allen EU-Mitgliedstaaten gültig sind. Dies vereinfacht grenzüberschreitende Geschäfte erheblich.
- Rechtssicherheit: Sie gewährleistet, dass digitale Transaktionen und Verträge in der gesamten EU anerkannt und durchsetzbar sind. Dies bietet Unternehmen Rechtssicherheit bei internationalen Aktivitäten.
- Effizienz und Kostenersparnis: Durch die Standardisierung digitaler Prozesse können Unternehmen ihre Verwaltungsprozesse optimieren und Kosten reduzieren. Elektronische Transaktionen sind zudem oft schneller und günstiger als traditionelle Methoden.
Wo genau gilt die eIDAS-Verordnung?
Die eIDAS-Verordnung ist die „Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“ der Europäischen Union. Sie ist das geltende Recht für alle 27 Mitgliedsstaaten der EU sowie für:
- das Vereinigte Königreich
- Island
- Norwegen
- Liechtenstein
Mit der eIDAS-Verordnung werden einheitliche Rahmenbedingungen für die grenzüberschreitende Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste geschaffen. Sie ist also sowohl grenzübergreifend als auch innerhalb der einzelnen Länder gültig.
eIDAS: Inhalte kurz zusammengefasst
Die eIDAS-Verordnung zielt darauf ab, einen reibungslosen Ablauf elektronischen Handelns in der EU zu gewährleisten. Zur Förderung dessen standardisiert und definiert sie unter anderem die folgenden Aspekte:
Vertrauensdienste
Der Begriff Vertrauensdienste ist in Artikel 3, Punkt 16 der eIDAS-Verordnung definiert. Es handelt sich dabei um elektronische Dienstleistungen, wie z. B. elektronische Signatur und Siegel, die in der Regel gegen ein Entgelt erbracht und durch Vertrauensdiensteanbieter bereitgestellt werden. Sie dienen dazu, die Authentizität und Integrität elektronischer Transaktionen zu sichern und die Verwendung elektronischer Identifizierungen (eID) in Europa zu standardisieren. Die eIDAS-Verordnung schafft somit einen gemeinsamen europäischen Markt (auch: Binnenmarkt) für elektronische Vertrauensdienste.
Elektronische Signaturen
Die eIDAS-Verordnung zielt darauf ab, die Rechtsgültigkeit elektronischer Signaturen zu klären und sicherzustellen. Sie definiert einerseits, elektronische Signatur seien „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden (...)“. Andererseits definiert eIDAS auch drei Arten elektronischer Signatur: die einfache, fortgeschrittene und qualifizierte elektronische Signatur.
Elektronische Siegel
Die eIDAS-Verordnung führt elektronische Siegel als neuen Dienst ein. Sie sind technisch vergleichbar mit elektronischen Signaturen, werden jedoch nur juristischen Personen, also Organisationen, zugeordnet. Sie sind vergleichbar mit der elektronischen Version eines Firmenstempels. Eingesetzt werden sie gemäß der eIDAS-Verordnung, wo eine persönliche Unterschrift nicht nötig, aber ein Authentizitätsnachweis gewünscht ist (z. B. bei Urkunden). Das E-Siegel dient dementsprechend als Nachweis, dass ein Dokument nach der Siegelung unverändert geblieben ist.
Elektronische Zeitstempel
Mit der eIDAS-Verordnung haben elektronische Zeitstempel eine neue, offizielle Rolle erhalten. Im Zuge der Einführung der eIDAS-Verordnung wurde auch geklärt, was ein qualifizierter elektronischer Stempel ist und was die Funktionsweisen sowie Anforderungen sind. Sie fungieren als Nachweis, dass ein Dokument seit der Anbringung des E-Zeitstempels nicht verändert wurde und schaffen so eine zusätzliche Sicherheitsebene.
Dienste für elektronische Einschreiben
Die eIDAS-Verordnung regelt unter anderem die „Dienste zur Zustellung elektronischer Einschreiben”. Nach Art. 3 Nr. 36. wird ein solcher Dienst definiert als „elektronischer Dienst, der in der Regel gegen Entgelt erbracht wird“,, „der die Übermittlung von Daten zwischen Dritten mit elektronischen Mitteln ermöglicht und einen Nachweis der Handhabung der übermittelten Daten erbringt (...)“. Die eIDAS-Verordnung definiert des Weiteren die Rechtsgültigkeit dieser Dienste.
Zertifikate für die Website-Authentifizierung
Zertifikate für Website-Authentifizierung stellen sicher, dass hinter einer Website eine echte und vertrauenswürdige Einrichtung steht. Die eIDAS-Verordnung führt darum qualifizierte Website-Zertifikate ein. Zwar gab es auch schon vor eIDAS einige Vorgaben von Browser-Anbietern, jedoch handelte es sich bei diesen nicht um qualifizierte Zertifikate.
Die eIDAS-Verordnung und elektronische Signaturen
Die eIDAS-Verordnung ermöglicht das rechtssichere und rechtsgültige Signieren von Dokumenten auf digitalem Weg. eIDAS definiert und vereinheitlicht für den EU-Raum, welche Standards für elektronische Signaturen zur Verfügung stehen bzw. welche Anforderungen für deren Erstellung gelten. Wann welcher Standard rechtsgültig eingesetzt werden kann, wird durch das jeweilige nationale Recht festgelegt.
In Deutschland ist es das Bürgerliche Gesetzbuch (BGB), in Österreich das Allgemeine Bürgerliche Gesetzbuch (ABGB) und in der Schweiz das Zivilgesetzbuch (ZGB).
E-Signatur-Standards nach eIDAS
Die eIDAS-Verordnung definiert drei verschiedenen Sicherheitsstufen von elektronischen Unterschriften, die auch als E-Signatur-Standards bezeichnet werden:
- die einfache elektronische Signatur (EES), die sehr einfach zu handhaben ist, jedoch auch nur eine geringe Beweiskraft hat.
- die fortgeschrittene elektronische Signatur (FES), für die schon eine höhere Identifikation erforderlich ist und dadurch auch mehr Beweiskraft hat.
- die qualifizierte elektronische Signatur (QES), die maximale Identifikationsanforderungen stellt, gleichzeitig aber auch höchste Beweiskraft garantiert.
Tipp: Erfahren Sie mehr dazu auf unserer informativen Übersichtsseite
Gut zu wissen: Eine gescannte Unterschrift oder der Fingerwisch auf einem Touch-Display gehören zur einfachen elektronischen Signatur. Da diese Signaturen einfach zu kopieren oder zu fälschen sind, haben sie wenig Beweiskraft vor Gericht.
Rechtsgültigkeit von E-Signatur-Standards gemäß eIDAS
Zur Rechtsgültigkeit von E-Signaturen allgemein ist in der eIDAS-Verordnung nichts Weiteres erlassen. Deshalb definiert das nationale Recht, für welche Dokumente die E-Signatur zugelassen ist und für welche Verträge welcher E-Signatur-Standard vorgeschrieben ist.
Dr. Patrick Treitz, Rechtsanwalt bei RITTERSHAUS Rechtsanwälte Steuerberater PartmbB (Unbedenklichkeitsbestätigung, Februar 2022)Die qualifizierte elektronische Signatur (QES) kann in Deutschland gemäß § 126a, 126 ABs. 3 BGB die handschriftliche Unterschrift und damit die Schriftform ersetzen.
Aufgrund dessen machen wir hier einen kurzen Abstecher zum Vertragsrecht in Deutschland. Dieses unterscheidet zwischen:
- Dokumenten mit Schriftformerfordernis
- formfreien Dokumenten
Formfreie Dokumente können auf beliebige Weise abgeschlossen werden, zum Beispiel auch mündlich. Solange die Schriftform für einen Vertrag nicht gesetzlich vorgeschrieben ist, kann somit jede der drei Sicherheitsstufen nach eIDAS-Verordnung als rechtsgültig eingestuft werden.
Bei Verträgen mit Schriftformerfordernis kann jedoch nur die QES verwendet werden – ansonsten ist der Vertrag nichtig. Die folgende Grafik verdeutlicht, welcher E-Signatur-Standard bei welcher Formvorschrift gewählt werden kann und wie sich das auf Ihr Haftungsrisiko auswirkt.
Tipp: Erfahren Sie mehr dazu in unserem informativen Blogbeitrag
Bei der Entscheidung, welchen E-Signatur-Standard Unternehmen bei formfreien Verträgen wählen, fließt aber nicht nur die Frage nach der Rechtsgültigkeit mit ein, sondern auch die Frage nach der Beweiskraft.
Die Beweiskraft der EES ist viel geringer als die der QES. Wenn die Authentizität oder Integrität der Unterschrift angefochten wird, hat man es mit der EES deshalb viel schwieriger – nicht zuletzt auch weil bei der einfachen und fortgeschrittenen elektronischen Signatur die konkreten Rechtsfolgen im Ermessen des Gerichts liegen.
Bei der QES definiert eIDAS hingegen die Rechtsfolge:
eIDAS, Art. 25, Absatz. 2, VERORDNUNG (EU) Nr. 910/2014Eine qualifizierte elektronische Signatur hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift.
Ein weiterer Vorteil der QES ist, dass sie in allen EU-Mitgliedstaaten grenzübergreifend als „qualifiziert“ anerkannt werden muss und somit standardisiert eingesetzt werden kann. Das ist ein weiterer Grund, warum durch die eIDAS-Verordnung im Bereich der elektronischen Signatur Rechtsgültigkeit entstanden ist.
Beweiskraft von E-Signaturen nach eIDAS
Bezüglich der Beweiskraft der elektronischen Signatur schreibt die eIDAS-Verordnung vor, dass diese von Gerichten als Beweismittel gewürdigt werden muss:
eIDAS, Art. 25, Absatz. 1, VERORDNUNG (EU) Nr. 910/2014Einer elektronischen Signatur darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt oder weil sie die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt.
Anders als bei der handschriftlichen Unterschrift mit Kugelschreiber gilt im digitalen Bereich nicht das Schriftbild als ausschlaggebend für die Beweiskraft einer Signatur, sondern eine Verknüpfung von Daten. Nutzt man z. B. den Scan einer Unterschrift als einfache elektronische Signatur, dann ist die Beweiskraft sehr gering, weil sie einfach zu kopieren ist.
Ganz anders sieht es bei der QES aus: Diese besitzt maximale Beweiskraft – unter anderem aufgrund der folgenden Anforderungen.
- eIDAS schreibt vor, dass jeder E-Signatur mit dem Standard QES ein digitales qualifiziertes Zertifikat hinzugefügt wird. Dieses dient als elektronischer Ausweis der signierenden Person und garantiert folglich die Identität des Unterzeichners. Zudem stellt es sicher, dass das unterschriebene Dokument nicht unbemerkt verändert wurde (Integrität).
- In Deutschland ist die Bundesnetzagentur für diese Prüfung und Anerkennung zuständig. Entspricht ein VDA allen Anforderungen, wird er in die EU-Trusted-Liste eingetragen, sie enthält alle in der EU zugelassenen Vertrauensdiensteanbieter.
Die maximale Beweiskraft der qualifizierten elektronischen Signatur wird somit mithilfe von qualifizierten VDA und allen Prüfungsverfahren, welche diese durchlaufen, garantiert.
Was sind zertifizierte Vertrauensdienste-Anbieter?
Ein Vertrauensdiensteanbieter (auch: Zertifizierungsstelle) ist eine dritte, unabhängige Instanz, die regelmäßig vom Staat überprüft wird und Vertrauensdienste oder Trust Services anbietet. Bekannte Vertrauensdiensteanbieter im deutschsprachigen Raum sind:
- die Telekom AG
- Swisscom
- D-Trust
- A-Trust
Ihre Aufgabe besteht im Wesentlichen darin, die rechtliche und technische Infrastruktur für einen digitalen Vertrauensraum im Internet zu schaffen, um die Digitalisierung im europäischen Binnenmarkt zu beschleunigen. Dazu stellen Zertifizierungsstellen elektronische Zertifikate für Signaturen und Websites aus, um deren Integrität und Urheberschaft zu bestätigen und eine schnellere Alternative zum analogen Postweg zu bieten.
Neuerungen in Deutschland durch die eIDAS-Verordnung
Die 2016 in Kraft getretene eIDAS-Verordnung ersetzt die Richtlinie 1999/93/EG über elektronische Signaturen und behebt einerseits ihre Mängel und erweitert andererseits deren Anwendungsbereich um zahlreiche wichtige Punkte. Die größte Auswirkung der eIDAS-Verordnung hat das Signieren von Dokumenten. Zu Recht, denn eIDAS soll den Einsatz der elektronischen Signatur in Europa fördern.
Zu den wichtigen Neuerungen zählen:
- Rechtsgültigkeit der einfachen elektronischen Signatur massiv erhöht
- Einführung eines einheitlichen und in Europa verbindlichen Gesetzeswortlauts
- Signieren per Fernsignatur möglich (Beispiel: QES via Online-identifikation aktivieren)
eIDAS fördert die Digitalisierung am europäischen Binnenmarkt
eIDAS – kurz für „Electronic Identification And Trust Services“ – ist die „Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“. Sie ist seit 2016 in Kraft und das geltende Recht für alle 27 Mitgliedstaaten der EU sowie für das Vereinigte Königreich, Island, Norwegen und Liechtenstein. eIDAS soll den Einsatz der elektronischen Signatur in Europa fördern.
Jetzt mit Skribble signieren! In wenigen Klicks zur ersten E-Signatur
FAQs
Der Gesetzestext der eIDAS-Verordnung ist vielerorts im Internet zu finden. Wir empfehlen, sich die offizielle Version auf EUR-Lex anzuschauen.