JurPC Web-Dok. 107/2017 - DOI 10.7328/jurpcb2017328107

Jennifer Seiffge *

Tagungsbericht zum Symposium "Die Umsetzung der eIDAS-Verordnung in Deutschland - ein Update (rechtlich und technisch)" am 22.06.2017 in Berlin

JurPC Web-Dok. 107/2017, Abs. 1 - 26


Am 22. Juni 2017 fand in Berlin das Symposium „Die Umsetzung der eIDAS-Verordnung in Deutschland – ein Update (rechtlich und technisch)" statt. Es war das zweite Symposium zur Umset­zung der eIDAS-VO in Deutschland, das vom EDV-Gerichtstag veranstaltet wurde. Hochrangige Experten der EU-Kommission, der beteiligten Ministerien, der Bundesnetzagentur und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie der betroffenen Wirtschaft informierten über die Entwicklungen der rechtlichen und tatsächlichen Umsetzung der eIDAS-VO.Abs. 1
Nach einer kurzen Einführung von Professor Dr. Georg Borges und Dr. Astrid Schumacher hielt Gábor Bartha, der bei der EU-Kommission tätig ist, den ersten Vortrag mit dem Titel „eIDAS Regulation: eID and electronic trust services" per Audio-Zuschaltung.Abs. 2
Er bezeichnete die eIDAS-VO als einen Werkzeugkoffer, der die Hilfsmittel für elektronische Transaktionen umfasse, und stellte den Workflow dar. Hierbei veranschaulichte er den Weg von der Authentifizierung der Website, der Benutzung des elektronischen Identifizierungsmittels und einer elektronischen Signatur, eines elektronischen Siegels oder Zeitstempels bis zum Eingang und der Speicherung des elektronischen Dokuments. Herr Bartha erläuterte in diesem Zusammenhang, dass Deutschland bislang der einzige notifizierende Mitgliedsstaat sei und die Notifizierung aller Mitgliedsstaaten voraussichtlich im September 2018 abgeschlossen sei.Abs. 3
Im nächsten Vortrag gab Konstantin Götze, der seit 2008 Referent für elektronische Vertrauensdienste bei der Bundesnetzagentur ist, einen „Überblick über das Vertrauensdienstegesetz: Dauerhaft prüfbare Vertrauensdienste".Abs. 4
Wie der Name schon sage, beschäftige sich das Vertrauensdienstegesetz (kurz: VDG) mit den Vertrauensdiensten und klammere die elektronische Identifizierung bewusst aus. Die eIDAS-VO weise Regelungslücken auf, die für deren Durchführbarkeit nun im VDG geschlossen würden. Herr Götze führte aus, dass durch die Entscheidung für eine Stichtagsablösung die Verweise auf das Signaturgesetz in den Fachgesetzen (z. B. BGB, ZPO, StPO) zeitgleich angepasst werden müssten und Übergangsregelungen für Anbieter erforderlich seien.Abs. 5
Regelungslücken seien insbesondere bei den Zuständigkeiten für die Aufsicht über Anbieter, bei der Zertifizierung qualifizierter Signaturerstellungseinheiten und beim Führen und Veröffentlichen der deutschen Vertrauensliste vorhanden. Ferner seien die Barrierefreiheit und der Datenschutz nicht ausreichend geregelt. Hier würden das Interesse am Schutz persönlicher Daten und der Sicherheit bei der Erbringung und dem Komfort bei der Nutzung der Vertrauensdienste widerstreiten. Herr Götze erläuterte, dass außerdem die Deckungsvorsorge für Anbieter, deren Höhe sich am Signaturgesetz und an der Signaturverordnung orientiere, sowie Bußgelder und Gebühren zu regeln seien. Bezüglich der Deckungsvorsorgesummen für Anbieter sowie der Bußgelder und Gebühren bestünden in den Mitgliedsstaaten Unterschiede, die sich in unterschiedlichen Marktchancen für Anbieter manifestieren könnten. Daher strebe die FESA (Forum of European Supervisory Authorities for Electronic Signatures – Forum der Aufsichtsbehörden für elektronische Signaturen) eine Harmonisierung an.Abs. 6
Ferner merkte Herr Götze an, dass in dem VDG einige „Altlasten" aus dem Signaturgesetz beseitigt würden, z. B. die Attribute in qualifizierten Zertifikaten und die Unterrichtungs- und Informationspflichten über Produkte und Algorithmen. Danach verglich er die Akkreditierung nach dem Signaturgesetz und der eIDAS-VO und ging hierbei insbesondere auf die Aufbewahrung der einschlägigen Informationen über ausgegebene und empfangene Daten ein.Abs. 7
Herr Götze berichtete schließlich, dass am Tag des Symposiums die abschließende Beratung und Beschlussempfehlung im Bundesrat stattfinde. Am Ende des Symposiums wurde mitgeteilt, dass das VDG verabschiedet worden sei.Abs. 8
Christian Drews, tätig bei der Governikus KG, stellte „die eIDAS-VO aus Sicht der Hersteller und Anwender" dar.Abs. 9
Er gab einen Überblick über die tertiäre Rechtssetzung zur eIDAS-VO. Es seien 26 Durchführungsrechtsakte und ein delegierter Rechtsakt erlassen worden. Ferner gebe es einige veröffentlichte Standards. Aufgrund von Ermächtigungsbefugnissen in Basisrechtsakten (hier die eIDAS-VO) könne die Kommission in einem Ausschuss weitergehende Regelungen festlegen. Bei delegierten Rechtsakten handele es sich um Rechtsakte der Kommission ohne Gesetzescharakter, aber mit allgemeiner Geltung zur Ergänzung oder Änderung bestimmter, nicht wesentlicher Vorschriften.Abs. 10
Herr Drews stellte die sog. Large Scale Pilots, d. h. die groß anlegten Pilotprojekte im Vorfeld der eIDAS-VO, vor. Darüber hinaus legte er die Aufgaben des Gesetzgebers aufgrund der eIDAS-VO dar, namentlich die Anpassung der Form-, Verfahrens- und Beweisvorschriften sowie der Verweise. Es sei ferner zu klären, wo das elektronische Siegel als Äquivalent für die elektronische Signatur zugelassen werden könne. Ausdrücklich bedauerte er, dass das Behördensiegel im VDG bislang nur für das Vergabewesen vorgesehen sei.Abs. 11
 
Im Anschluss referierte Dr. Jens Bender vom Bundesamt für Sicherheit in der Informationstechnik zum Thema „eIDAS, die deutsche eID und das deutsche eGovernment".Abs. 12
Herr Dr. Bender gab zunächst einen Überblick über die zeitlichen Vorgaben. Ab September 2018 müssten alle Mitgliedsstaaten die elektronischen Identifizierungsmittel anderer Länder anerkennen.Abs. 13
Er erläuterte im Anschluss das Verfahren zur elektronischen Identifizierung. Grundprinzipien nach eIDAS seien die Interoperabilität und Anerkennung nationaler eID-Systeme, da die Anerkennung der elektronischen Identifizierungsmittel anderer Länder verpflichtend sei. Herr Dr. Bender stellte sodann den Ablauf der Notifizierung dar. Der deutsche Personalausweis oder der elektronische Aufenthaltstitel seien notwendige Notifizierungsunterlagen. Hier bedauerte er, dass Europäer nicht am deutschen Notifizierungsverfahren teilnehmen könnten, weil es keine europäische eID-Karte gebe. Deutschland habe bereits am 20.02.2017 als erster Mitgliedsstaat die Notifizierungsunterlagen eingereicht. Zehn bis zwölf weitere Mitgliedsstaaten hätten vor, auch in diesem Jahr zu notifizieren.Abs. 14
Im Durchführungsrechtsakt zur eIDAS-VO seien Identitätsattribute definiert, die ein notifiziertes System liefern müsse. Für natürliche Personen seien das der Vorname, der Name, das Geburtsdatum und ein Pseudonym. Falls diese nicht eindeutig seien, könnten zusätzlich nach Wahl des Mitgliedsstaates der Geburtsname, -ort, das Geschlecht und die Adresse herangezogen werden. Problematisch sei hierbei, dass der Online-Dienst nicht genau wisse, welche Daten er erhalte. Geburtsname und Adresse würden jedenfalls nicht immer verfügbar sein. Dies bedeute für das eGovernment in Deutschland, dass geprüft werden müsse, ob fehlende Daten tatsächlich für den Dienst benötigt werden. Die Kommission sei der Ansicht, dass eIDAS die Anerkennung der eID verlange, aber nicht den Zugang der Dienste.Abs. 15
Herr Dr. Bender stellte fest, dass die Haftung bei grenzüberschreitenden Identifizierungen grundsätzlich durch die Verordnung geklärt sei. Probleme gebe es jedoch bei „gateway-Notifizierungen", an denen mehrere Parteien beteiligt seien.Abs. 16
Sodann stellte er kurz das bereits vom Bundestag und -rat verabschiedete Gesetz zur Förderung des elektronischen Identitätsnachweises vor, das für Vereinfachungen sorge und neue Anwendungsgebiete schaffe. Das elektronische Postident-Verfahren sei beispielsweise möglich und der öffentliche Sektor anderer Mitgliedsstaaten im Vergabeverfahren „automatisch" berechtigt.Abs. 17
Den nächsten Vortrag mit dem Titel „Identifizierung und Authentifizierung für qualifizierte Vertrauensdienste" hielt Dr. Ulf Löckmann vom BSI.Abs. 18
Er stellte die Vertrauensniveaus elektronischer Identifizierungssysteme vor. Die Mindestanforderungen, die für die jeweiligen Vertrauensniveaus gelten würden, seien in einer Durchführungsverordnung festgelegt worden. Sodann gab Herr Dr. Löckmann einen Überblick über die verschiedenen Arten von Vertrauensdiensten, namentlich (Fern-)Signaturen, elektronische Siegel als Herkunftsnachweis, Zeitstempel und Dienste für die Zustellung elektronischer Einschreiben. Danach wurde die Identifizierung bei der Ausstellung qualifizierter Zertifikate sowie die nationale Anerkennung sonstiger Identifizierungsmaßnahmen behandelt. Herr Dr. Löckmann ging auch auf die Authentifizierung qualifizierter Signaturen und Siegel sowie die Anforderungen an die Authentifizierung für qualifizierte Fernsignaturen ein. Als nächstes behandelte er die Identifizierung und Authentifizierung bei der Nutzung qualifizierter Zustelldienste. Nicht klar sei, welches Vertrauensniveau für die Authentifizierung gelte. Herr Dr. Löckmann ist der Meinung, dass die Authentifizierung mindestens auch auf dem Vertrauensniveau „substanziell" erfolgen müsse. Im Anschluss erläuterte er die Vertrauensniveaus der Identifizierungs- und Authentifizierungsverfahren und stellte die jeweiligen Projekte „Perso-Ident" und „Pro-ID" vor.Abs. 19
Markus Schuster, tätig bei der intarsys consulting GmbH, behandelte in seinem Vortrag „Die eIDAS-Verordnung: Erste Anwendungen deutscher Vertrauensdiensteanbieter" Anwendungen elektronischer Vertrauensdienste.Abs. 20
Zunächst stellte er die Beweisvorschriften der eIDAS-VO und Einsatzszenarien für das elektronische Siegel dar. Anwendung könnte es z. B. als elektronischer Eingangsstempel, bei Beglaubigungen von Dokumenten, zum Softwareschutz und bei der Archivierung bzw. Integritätssicherung nach BSI TR-RESISCAN im Prozess des ersetzenden Scannens finden. Herr Schuster stellte die Integrationssicherung mit der qualifizierten elektronischen Signatur bzw. mit einem zentralen Siegel gegenüber. Die Bundesdruckerei sei momentan der einzige qualifizierte Vertrauensdiensteanbieter für die Erstellung von qualifizierten Zertifikaten für elektronische Siegel und stelle qualifizierte Siegelzertifikate als Einzel- und Multi-Siegelkarten mit einer Laufzeit von drei Jahren zur Verfügung. Die Siegelkarten enthielten ein qualifiziertes Organisationszertifikat und entsprächen einem elektronischen Unternehmensstempel, sodass sie den Ursprung und die Unversehrtheit elektronischer Dokumente sicherstellen und nachweisen würden, dass diese elektronischen Dokumente von einer bestimmten juristischen Person stammen. Schließlich stellte Herr Schuster den Fernsignaturdienst „sign-me" der Bundesdruckerei, d. h. die Identifizierung, Authentisierung und Anwendungsgebiete, vor.Abs. 21
Professor Dr. Georg Borges klärte in seinem Vortrag „Beweisfragen im Zusammenhang mit Vertrauensdiensten".Abs. 22
Zunächst stellte er die beweisrechtlichen Vorgaben der eIDAS-VO für elektronische Signaturen, Siegel, Zeitstempel und Dienste für die Zustellung elektronischer Einschreiben dar, bevor er auf das eIDAS-Durchführungsgesetz und insbesondere das VDG einging. Herr Professor Borges gab einen Überblick über die hier vorgenommenen Änderungen in der ZPO, z. B. die Anpassung des Anscheinsbeweises für elektronische Signaturen.Abs. 23
Nachdem Herr Professor Borges die Beweiserleichterungen im Zivilprozess erläutert hatte, berichtete er über die Beweiswirkung elektronischer Signaturen. Festzuhalten bleibe, dass die eIDAS-VO die Regelung der Beweiswirkung elektronischer Signaturen den Mitgliedstaaten überlasse.Abs. 24
Sodann behandelte Herr Professor Borges die Beweiswirkung elektronischer Siegel. In Bezug auf die in Art. 35 Abs. 2 eIDAS-VO geregelte Vermutung der Unversehrtheit der Daten und der Richtigkeit der Herkunftsangabe der Daten gebe es verschiedene Meinungen. Zum einen werde vertreten, dass für das qualifizierte elektronische Siegel eine Vermutung i. S. d. deutschen Rechts gelte, die zu einer Beweislastumkehr führe. Zum anderen werde die Vermutung als Anscheinsbeweis angesehen, da dem elektronischen Siegel sonst eine stärkere Beweiswirkung als der elektronischen Signatur zukäme, für die lediglich ein Anscheinsbeweis gelte. Herr Professor Borges legte die Regelung aus und kam zu dem Ergebnis, dass sich die Vermutung des Art. 35 Abs. 2 eIDAS-VO weder auf die Erstellung durch eine konkrete natürliche Person noch auf die Zugehörigkeit der tatsächlich handelnden Person zur siegelführenden Institution oder die Vertretungsmacht der tatsächlich handelnden Person beziehe, sondern auf die Erzeugung durch die Siegelerstellungseinheit. Die Beweiswirkung des elektronischen Siegels unterliege insoweit wie bei der Signatur dem mitgliedstaatlichen Recht.Abs. 25
In ihren Schlussbemerkungen fasste Dr. Astrid Schumacher zusammen, dass das Symposium viele interessante Fragen aufgeworfen habe, zugleich nicht auf alles eine Antwort habe geben können. Sie hob hervor, dass dies jedoch auch nicht das Ziel gewesen sei. Bei der Einführung des Siegels gebe es nun die gleichen Fragen wie bei der früheren Einführung der Signaturen. Ferner bezeichnete sie die Fernsignaturen als „ein schwarzes Loch", bei dem sich letztlich zeigen werde, wie die Gerichte künftig damit umgehen würden. Auch das Thema „eGovernment", insbesondere die Implementierung und Akzeptanz der EU-ausländischen eIDs, bleibe in Deutschland spannend.Abs. 26

* Richterin Jennifer Seiffge ist richterliche Mitarbeiterin beim Oberlandesgericht Düsseldorf in der Verfahrenspflegestelle JUDICA.

 
(online seit: 08.08.2017)
 
Zitiervorschlag: Autor, Titel, JurPC Web-Dok, Abs.
 
Zitiervorschlag: Seiffge, Jennifer, Tagungsbericht zum Symposium "Die Umsetzung der eIDAS-Verordnung in Deutschland - ein Update (rechtlich und technisch)" am 22.06.2017 in Berlin - JurPC-Web-Dok. 0107/2017