Was genau ist die eIDAS-Verordnung?

Die eIDAS-Verordnung (eIDAS steht für „Electronic Identification And Trust Services) ist eine Verordnung über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen in den 28 Mitgliedstaaten der Europäischen Gemeinschaft.

eIDAS stellt eine echte rechtliche Neuerung dar, deren erklärter Zweck darin besteht, die Entwicklung digitaler Anwendungen in Europa zu fördern.

Einer der Anwendungsbereiche, auf den die eIDAS-Verordnung die größten Auswirkungen hat, ist das Signieren von Dokumenten: eIDAS soll dazu dienen, den zunehmenden Einsatz der elektronischen Signatur in Europa durch die Klärung und Standardisierung des rechtlichen Rahmens für diese Technologie zu fördern.

 

eIDAS und elektronische Signaturen

eIDAS ersetzt in Bezug auf die elektronische Signatur die Richtlinie 1999/93/EG. Ebenso wie bereits die vorgenannte Richtlinie beinhaltet eIDAS das Konzept dreier unterschiedlicher Signaturarten – einfach, fortgeschritten und qualifiziert.

Dabei handelt es sich um verschiedene Formen der elektronischen Signatur, die allesamt rechtskräftig sind und sich jeweils für sehr unterschiedliche Anwendungsbereiche eignen.

  • Die einfache Signatur ist als Beweismittel in Rechtsstreitigkeiten zugelassen, sie ist sehr einfach zu handhaben und eignet sich gut für Transaktionen, die mit geringen rechtlichen Risiken verbunden sind, wie z. B. interne Dokumente: Dienstreiseanordnungen, Reisekostenabrechnung, Validierung von internen Entscheidungsprozessen usw.
  • Die fortgeschrittene Signatur ist ebenfalls als Beweismittel in Rechtsstreitigkeiten zugelassen und wird zusätzlich durch spezielle Normen geregelt, welche die Prüfung der Gültigkeit im Streitfall erleichtern. Sie eignet sich daher gut für Transaktionen, die mit mittleren rechtlichen Risiken einhergehen. Dabei kann es sich um unbefristete Verträge, B2B-Handelsverträge, grenzüberschreitende Transaktionen usw. handeln.
  • Die qualifizierte elektronische Signatur entspricht der eigenhändigen Unterschrift und ist darüber hinaus in bestimmten Anwendungsfällen (Verbraucherkredite, Zeitarbeit) gesetzlich vorgeschrieben. Sie ist für regulierte Umgebungen (Finanzen, Pharmaindustrie, Arbeitsrecht) geeignet. Sie setzt voraus, dass die Identität des Unterzeichners direkt vor Ort überprüft wird.

Zu den wirklichen Neuerungen, die eIDAS mit sich bringt, zählen:

  1. Mit eIDAS können die Rechtskraft und Zulässigkeit elektronischer Signaturen als Beweismittel vor Gericht nicht mit der bloßen Begründung abgelehnt werden, dass die Unterschrift in elektronischer Form vorliegt oder nicht die Anforderungen an eine qualifizierte elektronische Signatur erfüllt. Dies führt zu einer massiven Erhöhung der Rechtswirksamkeit der so genannten einfachen Signatur. Dieseo wurde vor der eIDAS-Verordnung in einigen europäischen Ländern als nicht rechtskräftig betrachtet.
  2. eIDAS macht einen identischen Gesetzeswortlaut in ganz Europa verbindlich. Die bisherige Richtlinie wurde innerhalb der verschiedenen nationalen Rechtsordnungen nicht einheitlich umgesetzt. Dies hat die Verbreitung der Verwendung der elektronischen Signatur im Rahmen von grenzüberschreitenden Transaktionen verlangsamt.
  3. Betrachtet man qualifizierte Signaturen, so lassen sich diese in der Cloud ohne spezielle Hardware erstellen. Vor der Einführung der eIDAS-Verordnung war es notwendig, eine so genannte qualifizierte Signatur mithilfe einer Smartcard zu erzeugen, die mit einer PIN geschützt wurde. Somit erfordert die qualifizierte elektronische Signatur ein physikalisches Medium.
    Die Lösung erscheint attraktiv, ist jedoch in der Realität eher unpraktisch: Nur wenige europäische Bürger verfügen über eine solche Vorrichtung, und noch weniger können diese problemlos auf ihren Geräten verwenden (PC oder MAC-Computer, Tablets, Smartphones usw.). Die Neuerung, die eIDAS-Verordnung in diesem Punkt gebracht hat, besteht darin, dass ein solches Gerät und ein entsprechendes Maß an Sicherheit nun per Remote-Service bereitgestellt werden kann. Es ist also möglich, eine qualifizierte Signatur beispielsweise vom eigenen Mobiltelefon aus zu aktivieren. Natürlich muss das verwendete Gerät weiterhin ausgesprochen strenge Vorschriften hinsichtlich der Sicherheitszertifizierungen erfüllen. Seine Verwendung ist jedoch einfach und transparent, und die komplexeren Abläufe werden an „Anbieter von qualifizierten Vertrauensdiensten“ übertragen, die diese Art von Vorrichtung unter optimalen Sicherheitsbedingungen implementieren können. Eine persönliche Identitätsprüfung direkt vor Ort lässt sich ebenso per Video durchführen, wodurch ein physisches Aufeinandertreffen vermieden werden und somit auch die Anwendung auf Remote-Transaktionen ermöglicht werden kann

 

DocuSign und eIDAS

Die elektronischen Signaturlösungen von DocuSign erfüllen die technischen Anforderungen an die fortgeschrittene elektronische Signatur sowie an die qualifizierte elektronische Signatur im Sinne der eIDAS-Verordnung.

Verwandte Themen

Weitere Informationen über die elektronische Signatur

Elektronische Signatur

Weitere Informationen über die digitale Signatur

FAQ zur digitalen Signatur

Sie brauchen den Rat eines Experten?

Kontaktieren Sie uns
 

FAQ zur eIDAS-Verordnung

Welches Gesetz regelt heutzutage digitale Transaktionen und die Rechtswirksamkeit elektronisch signierter Dokumente?

Das Europäische Parlament und der Rat der Europäischen Union haben am 23. Juli 2014 die Verordnung über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt verabschiedet, die unter dem Akronym „eIDAS“ (kurz für „Electronic IDentification And Trust Services) bekannt ist.

Damit wurde ein weiterer Schritt in Richtung Digitalisierung unternommen. Seit dem 1. Juli 2016 ersetzt die eIDAS-Verordnung die Richtlinie 1999/93/EG.

Es handelt sich dabei um eine Verordnung, was bedeutet, dass diese in Europa bei eventuellen Konflikten zwischen denn örtlichen Vorschriften und der eIDAS-Verordnung Vorrang vor der jeweiligen nationalen Gesetzgebung hat. Die eIDAS-Verordnung tritt automatisch an die Stelle nationaler Gesetze, insbesondere in Bezug auf die Definition der verschiedenen Signaturstufen.

Worin liegt der wahre Vorteil der eIDAS?

eIDAS hat alle Unklarheiten aus dem Wege geräumt, die im Hinblick auf die Rechtsgültigkeit einer elektronischen Signatur existierten, und insbesondere die Vorschriften und Bestimmungen zu Signaturen in der gesamten Europäischen Union harmonisiert. Zudem hat sie Cloud-Lösungen, die eine schnellere und umfassendere Bereitstellung ermöglichen, legitimiert. eIDAS stellt somit eine rechtliche Neuerung dar, die eventuell als die beste Möglichkeit betrachtet werden kann, den in Unternehmen eingeleiteten Prozess der Digitalisierung zu beschleunigen. Sie ist auch und vor allem ein Schritt, der die gesamte europäische Wirtschaft ankurbeln könnte.

In der eIDAS-Verordnung wird über eine einfache Signatur, eine fortgeschrittene Signatur und eine qualifizierte Signatur gesprochen. Worin liegen die Unterschiede zwischen den verschiedenen Signaturstufen?

Bei einer einfachen elektronischen Signatur handelt es sich um einen Prozess, der die Integrität des Dokuments nach der Unterzeichnung gewährleistet und der eine Datei bereitstellt, womit sich die Identität des Unterzeichners nachweisen lässt.

Eine fortgeschrittene Unterschrift muss vier Merkmale aufweisen: (a) Sie muss ausschließlich dem Unterzeichner zugeordnet sein; (b) sie muss die Identifikation des Unterzeichners ermöglichen; (s) sie muss unter Verwendung von elektronischen Signaturerstellungsdaten verfasst worden sein, die der Unterzeichner unter seiner alleinigen Kontrolle hat und die ausschließlich der Unterzeichner unter Einhaltung höchster Vertraulichkeit verwenden kann; und (d) sie muss den Daten, die mit dieser Signatur verknüpft sind, derart zugeordnet sein, dass eine nachträgliche Veränderung der Daten erkennbar ist (Artikel 26). In der Praxis stützt sie sich auf die Verwendung eines standardisierten Signaturformats (PAdES für PDF-Dateien) sowie ein formalisiertes Verfahren zur Überprüfung der Identität des Unterzeichners und Gewährleistung einer starken Authentifizierung des Unterzeichners (Zwei-Faktoren-Authentifizierung). Sie wird ebenfalls mit einer Datei kombiniert, die den Nachweis aller oben genannten Punkte erlaubt.

Eine qualifizierte Signatur ist eine fortgeschrittene Signatur, die jedoch zusätzlich erfordert, dass die Identität des Unterzeichners zuvor mindestens einmal „von Angesicht zu Angesicht“ überprüft worden ist (dies kann z. B. auch in Form von Videokonferenzen erfolgen) und dass ein Signatursystem mit zertifizierten QSCD (per Smartcard oder als Remote-Service) verwendet wird.

Wie lässt sich die Identität einer Person von Angesicht zu Angesicht oder auf äquivalente Weise aus der Ferne überprüfen?

Dies ist eine wichtige Voraussetzung bei Anwendungsbereichen, die eine qualifizierte Signatur erfordern. Das Unternehmen, das ein Dokument zur Unterzeichnung an eine Person sendet, muss zunächst die Identität des Unterzeichners mit einem Maß an Zuverlässigkeit überprüfen, das jenem bei einem persönlichen Aufeinandertreffen entspricht; Mit der eIDAS-Verordnung werden z. B. Videokonferenzen über das Internet als Äquivalent zu einem persönlichen Treffen betrachtet. DocuSign hat daher Optionen zur Authentifizierung per Video in seine Lösung integriert, um die Verwendung der qualifizierten Signatur einfacher zu gestalten.

Was ist ein QSCD-Fernsignaturmodul?

eIDAS ebnet den Weg für QSCD-Fernsignaturmodule (qualifizierte Fernsignaturerstellungseinheiten). Eine QSCD ist eine ausgesprochen sichere Vorrichtung, die hohen Anforderungen entspricht, um jegliche Form der Manipulation zu verhindern und den Missbrauch der elektronischen Signatur einer Person durch Dritte zu vermeiden. Diese Art von Vorrichtung kann sich im Besitz des Unterzeichners befinden (in Form eines Tokens oder einer Smartcard), oder aber, dank eIDAS, jetzt auch aus der Ferne verwaltet werden (sofern sie von einem qualifizierten Anbieter elektronischer Zertifizierungsdienste – PSCE – gehostet wird). Die Fernaktivierung von QSCD durch die rechtmäßigen Unterzeichner erfolgt über eine sichere Authentifizierung (beispielsweise mit einem Mobiltelefon, wie etwa bei einer sicheren Online-Zahlung). Somit ist die qualifizierte Signatur dank der Verbesserungen, die durch die eIDAS-Verordnung auf den Weg gebracht wurden, auf unkomplizierte, generalisierte Weise für wirklich jedermann zugänglich.

Wann sollte man die einfache Signatur verwenden? Wann sollte man die fortgeschrittene Signatur verwenden? Wann sollte man die qualifizierte Signatur verwenden?

Wenn das Prozessrisiko gering bis mäßig ist und die Art des Vertrags keinen speziellen Vorschriften unterliegt (wie z. B. bei B2B-Verträgen), empfehlen wir die Verwendung der einfachen oder fortgeschrittenen Signatur.

Wenn das Prozessrisiko hoch ist (z. B. bei Gefahr von Sammelklagen) oder die Art des Vertrages bestimmten Vorschriften unterliegt, welche die Schriftform zur Zulassung als Beweismittel erfordern, ist die Verwendung der qualifizierten Signatur de facto notwendig. In Deutschland zum Beispiel sieht das Gesetz vor, dass die qualifizierte Signatur für folgende Zwecke zwingend erforderlich ist:

  • Vertrieb von Verbraucherkrediten
  • Arbeitsverträge für Zeitarbeitskräfte

Verfügt eine elektronische Signatur durch die eIDAS-Verordnung über das gleiche Maß an Rechtswirksamkeit wie eine handschriftliche Unterschrift?

Ja, in Artikel 25, 2 der eIDAS-Verordnung heißt es: „Die Rechtsgültigkeit einer qualifizierten elektronischen Signatur entspricht jener einer handschriftlichen Unterschrift.“ Die drei Signaturarten (einfach, fortgeschritten und qualifiziert) sind rechtskräftig, da sie in einem Gerichtsverfahren als Beweismittel zugelassen sind. Die qualifizierte Signatur verfügt über das gleiche Maß an Rechtswirksamkeit wie eine handschriftliche Unterschrift.

Welche Veränderungen hat die eIDAS-Verordnung in Bezug auf die fortgeschrittene Signatur mit sich gebracht?

Es gibt im Vergleich zur Richtlinie 1999/93 keine Neuerungen. Die Signatur muss stets die folgenden vier Merkmale aufweisen:

  • Sie muss ausschließlich dem Unterzeichner zugeordnet sein (z. B. ein individuelles Zertifikat mit einem einzigartigen privaten Schlüssel für den Unterzeichner)
  • Sie muss die Identifikation des Unterzeichners ermöglichen (z. B. ein individuelles Zertifikat, aus dem dessen Name ersichtlich ist)
  • Sie muss mithilfe eines Mittels erstellt worden sein, das der Unterzeichner unter seiner alleinigen Kontrolle halten kann (eine andere Person kann die Signatur nicht anstelle des rechtmäßigen Unterzeichners aktivieren und das Zertifikat nicht zwecks Erstellung einer Signatur oder für andere Zwecke wiederverwenden)
  • Sie muss gewährleisten, dass eine Verknüpfung mit dem Rechtsakt gegeben ist, dem sie anhängt, durch die eine nachträgliche Änderung des Rechtsakts erkennbar ist (wie beispielsweise im Falle eines Vertrages die nachträgliche Veränderung des Inhalts nach dessen Unterzeichnung).

Die heutige Rechtsprechung steht der fortgeschrittenen Signatur zunehmend positiv gegenüber, vorausgesetzt, dass sich dabei auf einen PSCE gestützt wird und ein bewährter Mechanismus des Evidence-Managements zum Einsatz kommt.

Kann man dank der eIDAS-Verordnung jetzt sicher sein, dass elektronische Signaturen rechtskräftig sind?

Ja, es gibt jedoch kleinere Ausnahmen. Es ist wichtig, zu verstehen, dass die eIDAS-Verordnung keine Festlegungen bezüglich der je nach Anwendungsbereich erforderlichen Art der elektronischen Signatur trifft. Es ist Aufgabe der nationalen Gesetze, die jeweilige Art der Signatur zu definieren, die bei der Unterzeichnung bestimmter Dokumenttypen zu verwenden ist. Es ist möglich, dass ein Mitglied der Europäischen Union Gesetze erlässt oder erlassen hat, welche die Verwendung elektronischer Signaturen – auch qualifizierter Signaturen – im Rahmen von bestimmten Transaktionen verbieten. So untersagt das deutsche Recht beispielsweise die Verwendung von elektronischen Dokumenten bei allem, was so genannte „Familienverträge“ betrifft (Ehevertrag, Adoptionsvertrag, Erbvertrag).

Ausnahmen existieren also, doch diese sind selten und beziehen sich in der Regel auf den privaten Bereich. Die elektronische Signatur verfügt daher über eine garantierte Rechtswirksamkeit und ist in jedem Fall in der Geschäftswelt gang und gäbe.

Ich habe verstanden, dass eine fortgeschrittene oder qualifizierte Signatur ein Zertifikat benötigt. Doch wie funktioniert eine digitale „Full-Cloud“-Signaturerstellungslösung, mit deren Hilfe DocuSign diese Zertifikate verwaltet?

Mit DocuSign liefern wir Ihnen eine schlüsselfertige Lösung: ein Zertifikat UND einen elektronischen Signaturerstellungsdienst. Unsere Lösung nutzt digitale Zertifikate, um alle Arten von Dokumenten zu signieren, macht jedoch zugleich die komplexen Abläufe, die mit der Verwendung dieser digitalen Zertifikate verbunden sind, für den Benutzer unsichtbar. Mit unserer Lösung und dem integrierten „On the fly“-Zertifikatsystem hat das lästige Merken vieler PIN-Nummern ein Ende. Die Benutzer können in aller Ruhe unterzeichnen, ohne jemals zuvor ein Zertifikat angefordert zu haben, weil das System diese zum Zeitpunkt des Signierens vollständig transparent für die Unterzeichner bereitstellt.