Die eIDAS-Verordnung etabliert den rechtlichen und technischen Rahmen für „elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“, um den sicheren und nahtlosen elektronischen Geschäftsverkehr zwischen Unternehmen, Bürgern und Behörden zu ermöglichen. Dieser Rechtsrahmen bietet Organisationen und Benutzern erhebliche Vorteile. Die europäische eIDAS-Verordnung besteht seit 2014 und hat sich seitdem ständig weiterentwickelt. Erst kürzlich veranstaltete die Europäische Kommission eine offene Konsultation (24. Juli – 2. Oktober 2020), um Feedback zu den Treibern und Barrieren für die Entwicklung und Akzeptanz von elektronischen Identitäten (eID) und Vertrauensdiensten in Europa zu sammeln und zu erörtern, welche Konsequenzen die Optionen für eine Bereitstellung einer digitalen europäischen Identität haben. Für diesen Artikel haben wir die drei eIDAS-Experten Wim Coulier, Jérôme Bordier und Guillaume Forget interviewt, die dazu einiges zu sagen haben.
„Wir lieben eIDAS. Die Verordnung hat sich als voller Erfolg erwiesen, vor allem für Anbieter von Vertrauensdiensten. Qualifizierung ist heute die Regel und wir können Vertrauensdienstanbieter endlich miteinander vergleichen. Aber da sich die digitale Welt ständig weiterentwickelt, müssen das auch die Gesetze.“
– Jérôme Bordier, Direktor von SEALWeb
Basierend auf dem Interview haben wir 3 wesentliche Lücken in der Verordnung ausgemacht, die einige Veränderungen nötig machen:
1. Wie steht es mit dem Privatsektor?
Die Einführung der eIDAS-Verordnung war zweifelsfrei ein großer Schritt vorwärts im Hinblick auf die Harmonisierung, Interoperabilität und die wechselseitige Anerkennung von elektronischen Identifizierungssystemen (eIDs) unter den Mitgliedstaaten. Und obwohl die Meinungen hier stark auseinandergehen, werden wir den Staat noch lange als zuverlässige Quelle von offiziellen elektronischen Identitäten (eID) brauchen. Da ist es gut, dass das reguliert wird.
In vielen Ländern beobachten wir allerdings auch den Trend, dass immer mehr nationale eID-Systeme vom Privatsektor angeführt werden (z. B.: SPID in Italien, itsme® in Belgien usw.). Das zeigt, dass nicht nur der öffentliche, sondern auch der private Sektor eine zentrale Rolle bei der Gestaltung eines Europäischen Wirtschaftsraums spielen, in dem nationale eID-Systeme grenzüberschreitend anerkannt werden. Und genau das ist es, was der eIDAS-Verordnung noch fehlt; ein geregelter Rahmen für die Aussteller privater Identitäten.
Wim Coulier, eIDAS-Experte für Itsme® erklärt:
„Ich glaube, dass der eIDAS-Verordnung die Zertifizierung und die unterschiedlichen Vertrauensstufen für den Privatsektor fehlen, die wir für den öffentlichen Sektor haben, also von gering über mittel bis hoch. Eine Identität kann genauso gut von Privatunternehmen ausgestellt werden, die in gleicher Weise zertifiziert sind, wie sie es auch für andere Vertrauensdienste sind.“
2. Keine konsequente Auditierung
Das Problem ist nicht, dass es an Fachkompetenz mangelt. Das Problem sind die Auditverfahren an sich. In den Niederlanden wird ein Vertrauensdienstanbieter beispielsweise nicht zwangsläufig in gleicher Weise auditiert wie in Italien oder in einem anderen Land. Zwei Vertrauensdienstanbieter können also völlig unterschiedlich auditiert werden und trotzdem das gleiche Ergebnis erzielen. Das deckt sich nicht mit dem Grund, der Anlass zu dieser Verordnung gab: Harmonisierung, Transparenz und Interoperabilität zu schaffen. Die Experten sind sich darin einig, dass die Notwendigkeit besteht, ein einheitliches Verfahren für Auditierung und Qualifizierung mit der gleichen Transparenz und Klarheit für die gesamte Europäische Union zu schaffen.
„Eine denkbare Maßnahme wäre, die Befugnisse der lokalen Aufsichtsbehörden zu begrenzen und im Gegenzug eine globale Taskforce in der Europäischen Kommission zu bilden. So würden die Vorschriften, die auf zentraler Ebene erlassen werden, in allen EU-Mitgliedstaaten in gleicher Weise durchgesetzt. Das wird bereits in anderen Branchen, wie der Pharmaindustrie, so gehandhabt, also warum nicht auch hier?“
, ergänzt Guillaume Forget, Geschäftsführer von Cryptomathic.
3. Notwendigkeit der Zertifizierung von elektronischen Signaturdiensten
Heute kann man sich auditieren lassen, um qualifizierter Vertrauensdienstanbieter für Validierungsdienste, elektronische Signaturen & Website-Zertifikate, Zeitstempel, Archivdienste und Einschreiben zu werden.
Aber wenn wir den Verbraucher überzeugen wollen, dass sich die Umstellung auf digitale Signaturen lohnt, müssen wir Vertrauen schaffen und beweisen, dass digitale Signaturen sicher sind. Zu diesem Zweck sollten wir einen offiziellen elektronischen Signaturerstellungsdienst in die eIDAS-Verordnung aufnehmen.
Jérôme Bordier erklärt:
„In der Liste der Dienste, die eigens für diese Verordnung aufgestellt wurde, hätte klar formuliert werden müssen, dass ein elektronischer Signaturdienst qualifiziert werden kann.“
Fazit
Vorläufig bleibt abzuwarten, was die Europäische Kommission aus den Empfehlungen macht. Die Experten sind sich darin einig, dass es in der Zukunft eine neue Version der eIDAS-Verordnung geben wird. Die Frage ist nur, wann. Connective freut sich schon jetzt darauf!
Zu den Experten
Wim Coulier
Wim ist der eIDAS-Experte für Belgian Mobile ID, dem Unternehmen hinter dem innovativen belgischen Identifizierungssystem ‚itsme®‘. Wim hat umfassende Erfahrungen bei der Implementierung großer Projekte und Programme. Seine Stärken sind die Geschäfts- und IT-Ausrichtung und die Fähigkeit, technisches Wissen mit dem Großen und Ganzen zu kombinieren und die Dinge aus der Vogelperspektive zu betrachten. Er ist außerdem ein Experte in Sachen Vertrauensdienste (PKI-Zertifikate, elektronische Signaturen, eID, eIDAS-Verordnung usw.).
Jérôme Bordier
Jérôme Bordier ist Direktor und Gründer von SEALWeb. Er ist ein anerkannter Experte auf den Gebieten digitale Identität, elektronische Signaturen, digitales Vertragsmanagement und digitale Vertrauensdienste. Er ist außerdem Generalsekretär des Verbands ClubPSCo (www.clubpsco.fr), einer institutionellen Organisation, die mehr als 30 französische Anbieter von eIDAS-qualifizierten Vertrauensdiensten zusammenbringt, und ein Experte in diesen Fragen bei ENISA (Agentur der Europäischen Union für Cybersicherheit).
Guillaume Forget
Guillaume ist Geschäftsführer der Cryptomathic GmbH und leitet die deutschen Tochterunternehmen. Guillaume ist außerdem leidenschaftlicher Verfechter von elektronischen Signaturen weltweit und für diesen Bereich verantwortlich, wo er die Initiativen rundum eIDAS-konformes Unterzeichnen per Fernzugriff und „Was Sie sehen, ist, was Sie unterzeichnen“ leitet. Er hat über 15 Jahre Erfahrung in der Bereitstellung und Integration von Signaturtechnologien und -diensten mit der höchsten Vertrauensstufe.
