Standardisierung der digitalen Identität in der EU

eIDAS in Kürze

eIDAS (electronic IDentification, Authentication and trust Services) ist eine EU-Verordnung über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen, die als Gesetz in der gesamten EU gilt.

Die eIDAS-Verordnung unterstützt die Initiative der Europäischen Kommission für den digitalen Binnenmarkt, indem sie den reibungslosen Ablauf des Handels in der EU durch Harmonisierung der Gesetze, Transparenz, Sicherheit, Technologieneutralität, Zusammenarbeit und Interoperabilität erleichtern soll.

Um diese Vorgaben zu erreichen, gewährleistet eIDAS Folgendes:

• Standardisierung der Verwendung der elektronischen Identifizierung (eID)
• Definition einer neuen Klasse von „elektronischen Vertrauensdiensten“ (eTS
• Klärung und Gewährleistung der Rechtsgültigkeit elektronischer Signaturenes
• Schaffung eines EU-weiten europäischen Binnenmarktes für elektronische Vertrauensdienste

Diese Standards gelten sowohl grenzübergreifend als auch innerhalb der einzelnen Mitgliedstaaten.

Die 2016 in Kraft getretene eIDAS-Verordnung hebt die Richtlinie 1999/93/EG über elektronische Signaturen auf und ersetzt sie. eIDAS behebt die Mängel der Richtlinie von 1999 und erweitert deren Anwendungsbereich um zahlreiche wichtige Punkte, u. a. um eine klare Definition der Nutzung der elektronischen Identifizierung. Bei einer Verordnung (wie eIDAS) handelt es sich um einen Rechtsakt der EU, der sofort in allen Mitgliedstaaten gleichzeitig als Gesetz vollstreckbar wird. Verordnungen sind von Richtlinien zu unterscheiden, die zumindest grundsätzlich in nationales Recht umgesetzt werden müssen. Im Jahr 1972 verabschiedete das Europäische Parlament das Gesetz über die Europäischen Gemeinschaften. Seitdem müssen die nationalen Gerichte im Falle eines Konflikts zwischen nationalem Recht und EU-Recht dem EU-Recht Vorrang einräumen.

Standardisierung der eID in der EU

„eIDAS ist in erster Linie dazu gedacht, die Herausforderungen bei der Identifizierung durch den digitalen öffentlichen Dienst zu bewältigen. Die Mitgliedstaaten sind außerdem angehalten, die freiwillige Verwendung von eIDAS-basierten eIDs durch die Privatwirtschaft zu unterstützen.“

Aus rein rechtlicher Sicht gewährleistet die eIDAS-Verordnung den grenzüberschreitenden Zugang zu öffentlichen Dienstleistungen: Personen und Organisationen in einem EU-Mitgliedstaat sollen ihre eigenen eID-Mittel für den Zugang zu öffentlichen Dienstleistungen in anderen EU-Mitgliedstaaten verwenden können (unter der Voraussetzung, dass diese öffentlichen Dienste ihren eigenen Bürgern eine sichere Anmeldung bei ihren Webdiensten als Option anbieten).

So darf beispielsweise eine französische Studentin, die in Schweden studieren möchte, nicht daran gehindert werden, am Online-Anmeldeverfahren teilzunehmen und es abzuschließen, nur weil sie keine schwedische BankID (das in Schweden am häufigsten verwendete eID-Mittel) zur Authentifizierung ihrer Identität besitzt. Im Rahmen von eIDAS ist ihre FrenchConnect eID genauso gültig.

Zu beachten ist, dass das obige Beispiel derzeit noch nicht der Realität entspricht. Der Sachverhalt wird erst dann eintreten, wenn das FrenchConnect eID-System bei der EU-Kommission notifiziert wurde und das offizielle Verfahren der EU zur Genehmigung der eID-Interoperabilität im Rahmen von eIDAS angelaufen ist, wie im Folgenden erläutert wird. Zum jetzigen Zeitpunkt sind zwölf eID-Systeme notifiziert worden, weitere durchlaufen derzeit das Verfahren, sodass das oben beschriebene Szenario je nach Land und eID-Mittel bereits möglich ist. Sie können den Status der notifizierten Systeme auf der Website der Europäischen Kommission überprüfen.

Zwei wichtige Punkte sind dabei zu beachten:

• eIDAS schreibt die Verwendung von eID nicht vor, sondern ermöglicht und schützt lediglich deren Verwendung.
• Durch die Schaffung eines EU-weiten Rechtsrahmens hat die Verordnung auch große Auswirkungen auf die Nutzung von eID im privaten Sektor.

Ziele von eIDAS für öffentliche Verwaltung und Privatwirtschaft

Die eIDAS-Verordnung wird sich auf die Privatwirtschaft ebenso stark wie auf die öffentliche Verwaltung auswirken, möglicherweise sogar stärker.

„Der Abschnitt der eIDAS-Verordnung, der sich mit der elektronischen Identifizierung befasst und im September 2018 in Kraft getreten ist, schafft ein vorhersehbares rechtliches Umfeld, das eine sichere und nahtlose elektronische Interaktion zwischen Unternehmen, Bürgern und Behörden ermöglicht. Eines der Hauptziele ist dabei, sicherzustellen, dass Menschen und Unternehmen ihre eigenen nationalen eIDs für den Zugang zu öffentlichen Online-Diensten in anderen EU-Ländern nutzen können, was die Einrichtung eines wechselseitig interoperablen Netzwerks von eID-Systemen in Europa erfordert.“ (5)

Die Erleichterung des privatwirtschaftlichen Handels im digitalen Zeitalter ist ein weiteres Hauptziel der eIDAS-Verordnung. Zur Unterstützung dieses Ziels bietet die Europäische Kommission Online-Ressourcen an, die die Vorteile von eID und Vertrauensdiensten für Unternehmen verdeutlichen, einschließlich eines Leitfadens für die Einführung dieser Instrumente im Geschäftsbetrieb. (6)

Sowohl öffentliche als auch private Organisationen (sowie gemeinsam betriebene öffentlich-private Allianzen) haben auf der Grundlage ihrer unterschiedlichen Mandate und Motivationen aktiv an der Entwicklung von eID-Systemen, -Mitteln und -Infrastruktur gearbeitet. Der Bankensektor war und ist besonders aktiv. „Die Banken geben heute zusammen mehr als 1 Milliarde US-Dollar pro Jahr für die Forschung und Entwicklung im Bereich Identitätslösungen aus, was sie damit zu den weltweit führenden Investoren noch vor nationalen Regierungen und Polizeibehörden macht.“ (7)

Sicherheitsniveaus

Um die Interoperabilität zwischen den Mitgliedstaaten rechtlich zu gewährleisten, werden in der eIDAS-Verordnung die Standards, die ein eID-System erfüllen muss, klar definiert. Diese Standards sind wiederum die Richtschnur für die technischen und sicherheitsrelevanten Spezifikationen der eID-Mittel sowie deren Verwendung und Akzeptanz.

Um den Wert eines gemeinsamen EU-weiten Rechtsrahmens zu verdeutlichen, betrachten wir eine der wichtigsten Spezifikationen: die Sicherheitsniveaus (Levels of Assurance, LoA). (8) Jedes eIDAS-konforme eID-System wird in eines oder mehrere von drei verschiedenen Sicherheitsniveaus eingestuft: niedrig, substanziell und hoch. „Sicherheitsniveaus bezeichnen den Grad der Vertrauenswürdigkeit, der dem zur Feststellung der Identität einer Person verwendeten elektronischen Identifikationsnachweis entgegengebracht wird, und bieten die Sicherheit, dass die Person, die eine Identität für sich beansprucht, tatsächlich die Person ist, der die Identität zugewiesen ist.“ (9)

Die drei Sicherheitsniveaus nach eIDAS basieren auf der Norm ISO/IEC 2915, die die Grundlage für viele Vertrauenswürdigkeitsregelwerke auf der ganzen Welt bildet. (Niedrig, substanziell und hoch entsprechen den Stufen 2, 3 und 4 von ISO/IEC 2915.) Zwei Hauptfaktoren bestimmen den Grad der Vertrauenswürdigkeit, den jedes Sicherheitsniveau bietet:

• Identitätssicherheit zum Zeitpunkt der Registrierung: Wie streng war das Verfahren zur Identifizierung der Person oder Stelle, als sie ihre eID beantragte?
• Authentifizierungssicherheit: Stärke der Methode, die zum Zeitpunkt der Authentifizierung verwendet wird

Neben der Identitäts- und Authentifizierungssicherheit sind weitere wichtige Faktoren „die Zuverlässigkeit und Qualität“ der Verfahren zur Ausstellung der eID-Mittel, der Stelle, die die eID-Mittel ausstellt, und „jeder anderen Stelle“, die an der Beantragung der Ausstellung der eID-Mittel beteiligt sein könnte. (10)

Anhand dieses Rahmens kann der Gesetzgeber dann leicht festlegen, welches Sicherheitsniveau ein eID-Mittel für eine bestimmte Art von Transaktion haben muss. Privatunternehmen können nach eigenem Ermessen ein noch höheres Sicherheitsniveau als das gesetzlich vorgeschriebene verlangen, wenn sie entschieden haben, dass ihr eigenes Geschäftsrisiko dies rechtfertigt. Die Vorteile der zusätzlichen Sicherheit müssen natürlich gegen die Qualität der Kundenerfahrung und die zusätzlichen Transaktionskosten für das Unternehmen abgewogen werden.

Formalisierung und Umsetzung von eID-Systemen: Notifizierung und eIDAS-Netzwerk

Die Ermöglichung der Interoperabilität von eID-Systemen verschiedener Mitgliedstaaten erfordert eine Methode zur Verwaltung und Durchführung der grenzüberschreitenden Authentifizierung sowie ein Verfahren zur Formalisierung der genehmigten eID-Systeme gemäß eIDAS.

Der Prozess der offiziellen Genehmigung eines eID-Systems wird als Notifizierung bezeichnet. Jeder Mitgliedstaat ist für die Notifizierung seiner eigenen eID-Systeme verantwortlich und muss sicherstellen, dass diese alle Sicherheits- und Qualitätsanforderungen von eIDAS erfüllen. (11) Das Verfahren umfasst eine wechselseitige Prüfung durch die Mitgliedstaaten. Sobald das eID-System offiziell in das eIDAS-Netzwerk aufgenommen wurde (siehe unten), müssen die EU-Mitgliedstaaten es „spätestens 12 Monate nach der Veröffentlichung im Amtsblatt der Europäischen Union“ anerkennen. (12)

Die technische Infrastruktur, die die verschiedenen eID-Systeme und -Mittel verbindet, wird als eIDAS-Netzwerk bezeichnet. Dieses Netzwerk basiert auf einer Reihe von Knotenpunkten (eIDAS-Knoten), die auf der Ebene der Mitgliedstaaten eingerichtet werden. Im Rahmen einer einzelnen Transaktion kann jeder Knoten die grenzüberschreitende Authentifizierung sowohl anfordern als auch durchführen.

Förderung der eID-Einführung, Erleichterung des Handels

Neue eID-Systeme werden Schritt für Schritt entwickelt und in das eIDAS-Netzwerk aufgenommen. Unternehmen müssen jedoch nicht auf die Notifizierung warten, um die Vorteile der elektronischen Identifizierung z. B. für die Erfüllung von Compliance-Anforderungen (auf nationaler Ebene), das Management von Geschäftsrisiken und die Verbesserung des Kundenerlebnisses nutzen zu können.

Die Auswirkungen von eIDAS auf den Handel werden deutlich, wenn man die Folgen einer klaren rechtlichen eID-Definition in der gesamten EU betrachtet. Die eIDAS-Verordnung:

• bietet dem Gesetzgeber in den Mitgliedstaaten einen gemeinsamen Rechtsrahmen für die Ausarbeitung von Gesetzen zur elektronischen Identität …
• … was wiederum einen stärkeren Anreiz für die Entwicklung von eID-Systemen und -Mitteln in den einzelnen Mitgliedstaaten schafft und
• Unternehmen eine anerkannte Rechtsgrundlage bietet, um ihren Kunden eID als Methode zur Überprüfung ihrer Identität und zur Authentifizierung in einer digitalen Umgebung anzubieten und Dokumente zu unterzeichnen, die dem eIDAS-Standard für fortgeschrittene und qualifizierte elektronische Signaturen entsprechen.

Während die EU-Kommission bei der Förderung von eIDAS die grenzüberschreitende Zusammenarbeit betont, ist zu beachten, dass die elektronische Identifizierung auch für Unternehmen und Kunden innerhalb desselben Mitgliedstaates einen enormen Nutzen bietet. Ein gutes Beispiel ist Schweden, einer der wenigen Mitgliedstaaten, in denen sich die elektronische Identifizierung lange vor eIDAS durchgesetzt hat.

Die schwedische BankID, ein eID-System, das von einer Gruppe großer Banken entwickelt wurde, kam erstmals 2003 zum Einsatz. Die BankID ist nach schwedischem Recht anerkannt und genießt großes Vertrauen. 7,5 Millionen Nutzer (73 % der Bevölkerung) verwenden sie regelmäßig, um sich online zu authentifizieren, Transaktionen zu genehmigen und Zugang zu öffentlichen Dienstleistungen zu erhalten.

Die BankID wird auch zur eindeutigen Identifizierung des Unterzeichners bei der Unterzeichnung von Verträgen verwendet. Wenn die Unterzeichner eines Vertrags die BankID zur eindeutigen Identifizierung verwenden, gilt ein solcher Vertrag als mit der fortgeschrittenen elektronischen Signaturstufe unterzeichnet, die in Schweden die gleiche Rechtswirkung wie eine handschriftliche Unterschrift (d. h. eine besondere Rechtswirkung) hat, auch wenn die eID kein zwingend erforderlicher Bestandteil einer gültigen elektronischen Signatur ist. Da die Sicherheitsinfrastruktur von BankID bereits besteht, gibt es keine Vertragsarten, die eine qualifizierte elektronische Signatur erfordern, welche nur durch die Anwendung von nicht technologieneutralen Industriestandards erreichbar wäre.

Compliance und Kundenerfahrung

Um die Bedeutung von eIDAS für die Wirtschaft zu verstehen, sollte man sich zwei große Herausforderungen vor Augen führen, mit denen das Bankgewerbe heute konfrontiert ist:

• Strengere Compliance-Vorschriften
• Verschärfter Wettbewerb

Die Geldwäscherichtlinie (AMLD) ist ein neues EU-Gesetz, das sich insbesondere auf den Banken- und Finanzsektor auswirkt. Neue Anforderungen der Kundenprüfung (Know Your Customer, KYC) setzen beispielsweise einen höheren Standard für die Identifizierung von Kunden durch Banken. KYC beinhaltet die Überprüfung der Identität neuer Kunden und die Authentifizierung der Identität bestehender Kunden, wenn diese bestimmte Dienstleistungen in Anspruch nehmen.

Gleichzeitig sehen sich traditionelle Banken einer neuen Konkurrenz durch aufstrebende Marktteilnehmer ausgesetzt, die besser in der Lage sind, den heutigen Verbrauchern das überwiegend digitale Kundenerlebnis anzubieten, das sie erwarten.

Die AMLD sieht mehrere Methoden vor, die eine Bank zur Überprüfung der Kundenidentität einsetzen kann, wobei jede einen Kompromiss zwischen dem Zeit- und Kostenaufwand für die Umsetzung einerseits und den Auswirkungen auf das Kundenerlebnis und das Markenimage andererseits darstellt. Sowohl die persönliche Identitätsprüfung als auch die elektronische Identifizierung (eID) sind AMLD-konform, aber im Hinblick auf ein modernes Kundenerlebnis ist die elektronische Identifizierung als Verifizierungsmethode eindeutig besser, als die Kunden zu zwingen, eine Bankfiliale aufzusuchen.

Worin bestehen also die Hindernisse für die Einführung der eID? Institutionelle Trägheit und Risikoscheu stehen wahrscheinlich ganz oben auf der Liste. Es kann schwierig sein, die Zustimmung der internen Rechtsabteilung zu neuen digitalen Instrumenten zu erhalten. Der Verzicht auf die Digitalisierung von Geschäftsabläufen birgt jedoch auch Risiken, insbesondere in einem zunehmend umkämpften Markt.

Ein Ziel von eIDAS ist es, die Hürden für den digitalen Handel zu senken, was in diesem Fall durch klare Definitionen und Kategorien für die elektronische Identifizierung geschieht. Die AMLD wiederum verweist auf diese Definitionen, um die Anforderungen für eine konforme KYC-Prüfung mithilfe der eID festzulegen. Eine Bank, die eID anbieten möchte, muss also nur ein eID-Mittel mit dem im Rahmen eines eIDAS-konformen Systems erforderlichen Sicherheitsniveaus wählen. Es ist nicht erforderlich, einen großen Aufwand im Rechts- und IT-Bereich zu betreiben, um die Compliance sicherzustellen.

Schlussfolgerung

Die eIDAS-Verordnung ist ein wichtiger Schritt auf dem Weg zu einem digitalen Binnenmarkt in der EU, der die digitale Transformation des öffentlichen und privaten Sektors fördert und beschleunigt. Es ist wichtig, Folgendes zu verstehen: Anders als bei Gesetzen, die Verhaltensweisen vorschreiben und einschränken, geht es bei eIDAS um die Ermöglichung des digitalen Handels, indem rechtlich anerkannte Standards für den digitalen Handel und öffentliche Dienstleistungen gesetzt werden. Dank eines EU-weiten Rechtsrahmens haben die Gesetzgeber auf EU- und mitgliedstaatlicher Ebene jetzt einen gemeinsamen Bezugspunkt für die Ausarbeitung von Gesetzen, was es für Privatunternehmen leichter macht, neue digitale Werkzeuge und Dienstleistungen einzuführen.