Die eIDAS-Verordnung: Grundlagen
Noch eine gute Nachricht: Mit DocuSign verfügen Unternehmen über die passende Lösung für alle Arten elektronischer Signaturen, die in der eIDAS-Verordnung definiert sind: DocuSign unterstützt einfache, fortgeschrittene und qualifizierte Signaturen.
Was ist die eIDAS-Verordnung?
Die Verordnung (EU) Nr. 910/2014, besser bekannt als „eIDAS-Verordnung“, trat am 1. Juli 2016 in Kraft. Sie ist für alle EU-Mitgliedsstaaten verbindlich, muss von diesen vollständig umgesetzt werden und hat Vorrang vor allen damit kollidierenden nationalen Gesetzen. Sie ersetzt die Richtlinie 1999/93/EG über elektronische Signaturen und schafft EU-weit einheitliche Rechtsgrundlagen für elektronische Signaturen sowie neu definierte elektronische „Vertrauensdienste“.
Die eIDAS-Verordnung soll Bürgern, Unternehmen und öffentlichen Einrichtungen bequeme und sichere elektronische Transaktionen über EU-Grenzen hinweg ermöglichen.
Häufig gestellte Fragen zur eIDAS-Verordnung
Definition elektronischer Signaturen in der EU
Die eIDAS-Verordnung unterscheidet drei verschiedene Typen von elektronischen Signaturen, nämlich einfache, fortgeschrittene und qualifizierte Signaturen:
-
Einfache elektronische Signaturen im Sinne der eIDAS-Verordnung ist eine Sammelbezeichnung für „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet“. Kurzum, es handelt sich um die elektronische Form einer Unterschrift, die der Unterzeichner als Nachweis seiner Annahme oder seines Einverständnisses auf ein Dokument anwenden kann. Konkret kann dies eine eingescannte händische Unterschrift, ein Klick auf eine Website-Schaltfläche wie „Ich akzeptiere“ oder ähnliches sein.
-
Eine fortgeschrittene elektronische Signatur muss bestimmte Anforderungen hinsichtlich Sicherheit, Manipulationsschutz und Überprüfung der Unterzeichneridentität erfüllen. Konkret verlangt die Verordnung, dass eine fortgeschrittene elektronische Signatur
-
eindeutig dem Unterzeichner zugeordnet ist,
-
die Identifizierung des Unterzeichners ermöglicht,
-
mithilfe von Signaturerstellungsdaten erstellt wurde, die der Unterzeichner unter seiner alleinigen Kontrolle verwenden kann, und
-
so mit den auf diese Weise unterzeichneten Daten verbunden ist, dass sich eine nachträgliche Veränderung der Daten erkennen lässt.
-
-
Die qualifizierte elektronische Signatur ist die einzige Art von elektronischer Signatur, die in den EU-Mitgliedsstaaten einen besonderen Rechtsstatus hat, da sie als juristisch gleichwertig zur handschriftlichen Unterschrift gilt. Eine qualifizierte Signature muss besonderen Anforderungen genügen und setzt ein qualifiziertes Zertifikat voraus. Sie wird mit einer sogenannten sicheren Signaturerstellungseinheit (SSEE) sehr sicher erzeugt. Die SSEE funktioniert in etwa wie eine Smartcard, der TSP kann sie jedoch im Auftrag des Unterzeichners aus der Ferne verwalten. So kann er die Manipulation von persönlichen Smartcards/Lesegeräten/Middlewares, mit denen Unterzeichner nicht sicher umgehen können, verhindern. Das Ausstellungsverfahren für digitale Zertifikate kann erst dann in Gang gesetzt werden, wenn der Unterzeichner seine Identität bestätigt hat. Ein solches digitales Zertifikat mit hohem Identifikationsgrad wird als qualifiziertes Zertifikat bezeichnet. Angesichts dieser strengen Identifizierungs- und Zertifizierungsvorschriften sind qualifizierte elektronische Signaturen jedoch für viele geschäftliche Transaktionen zu umständlich.
In der eIDAS-Verordnung sind auch die Erstellung und die Überprüfung elektronischer Siegel geregelt. Derartige Siegel dürfen nur für juristische Personen (z. B. Unternehmen) ausgestellt und von diesen verwendet werden.
Zulässigkeit und Rechtswirkung elektronischer Signaturen gemäß der eIDAS-Verordnung
Die eIDAS-Verordnung stellt sicher, dass jede Art der elektronischen Signatur als Beweismittel vor EU-Gerichten zulässig ist. Elektronischen Signaturen darf also nicht die Rechtswirkung abgesprochen werden, nur weil sie in elektronischer Form vorliegen.
Ob eine vereinbarte Transaktion mithilfe elektronischer Signaturen durchgeführt werden kann, hängt von mehreren Faktoren ab. Dazu gehören die Art der zu verwendenden Signatur und die darin eingebundenen Nachweise. So lässt sich etwa ein maschinell eingegebener Name am Ende einer E-Mail mit größerer Erfolgswahrscheinlichkeit anfechten als eine qualifizierte elektronische Signatur, die mehrere technische EU-Vorgaben erfüllt, also beispielsweise von einem Vertrauensdienste-Anbieter (Trust Service Provider – TSP) unterstützt wird, von einem EU-Mitgliedsstaat geregelt wurde und aussagekräftige Angaben zum Unterzeichner umfasst.
Die eIDAS-Verordnung schreibt daher nicht vor, wann für eine Transaktion eine Signatur erforderlich ist oder welche Art von Signatur verwendet werden muss. Dies bedeutet, dass jedes EU-Land selbst gesetzlich regeln muss, wann eine bestimmte Transaktion (i) nicht elektronisch signiert werden darf oder (ii) eine höhere Form der elektronischen Signatur—sprich: eine fortgeschrittene oder qualifizierte Signatur—voraussetzt.
Qualifizierte elektronische Signaturen entfalten dieselbe Rechtswirkung wie handschriftliche Unterschriften und werden von sämtlichen Mitgliedsstaaten der EU gegenseitig anerkannt. Allerdings ist es unüblich, dass ein Staat (oder dessen Gerichte) eine Transaktion mit einer qualifizierten Signatur authentifiziert. Auch rechtliche Einschränkungen, die andere spezielle Arten von Signaturen vorschreiben oder den Gebrauch elektronischer Signaturen verhindern, sind unüblich.
Die gute Nachricht: Für die allermeisten Unternehmens-, Handels-, Verbraucher-, Personal- und Finanztransaktionen ist nach EU-Recht keine bestimmte Art der elektronischen Signatur vorgeschrieben. Eine exemplarische Aufzählung von Transaktionstypen, die eine qualifizierte oder fortgeschrittene elektronische Signatur voraussetzen, sowie Ausschlüsse für elektronische Signaturen finden Sie im DocuSign-Leitfaden zur Rechtmäßigkeit elektronischer Signaturen.
Die eIDAS-Verordnung und europäische Technologiestandards für elektronische Signaturen
Ebenso wie ihre Vorgängerin ist die eIDAS-Verordnung technologieneutral. Allerdings gelten Vertrauensdienste-Anbieter, die nach den von der Europäischen Kommission empfohlenen technischen Standards für elektronische Signaturen zertifiziert sind, als eIDAS-konform. In der Praxis verlangen die meisten, wenn nicht alle EU-Staaten von Vertrauensdienste-Anbietern, dass sie diese technischen Standards erfüllen, bevor sie auf die Trust-Liste der EU gesetzt werden.
Diese technischen Standards bilden das Fundament für die Regulierung und Zertifizierung von EU-Vertrauensdienste-Anbietern und umfassen unter anderem folgende Standards:
-
Spezifikationen für die verschiedenen in der Verordnung definierten Arten elektronischer Signaturen, einschließlich fortgeschrittener und qualifizierter elektronischer Signaturen
-
Spezifikationen für die Zertifizierung und Verwaltung von Vertrauensdienste-Anbietern sowie der Trust-Listen der EU
-
Technische Spezifikationen für elektronische Identitäten und deren Bestätigung
Auf Standards basierende DocuSign-Signaturen sind nach den von der Europäischen Kommission empfohlenen Technologiestandards zertifiziert und ermöglichen die Überprüfung der Unterzeichneridentität mit verschiedenen Methoden. DocuSign bietet somit aus einer Hand Lösungen für alle Arten elektronischer Signaturen, die in der eIDAS-Verordnung definiert sind, fortgeschrittene und qualifizierte Signaturen eingeschlossen.