Evaluation der eIDAS-Verordnung abgeschlossen

Die Europäische Kommission hat ihre Evaluation der eIDAS-Verordnung abgeschlossen. Diese wurde 2020 durch eine öffentliche Befragung gestartet und nun intern fertiggestellt.

Die eIDAS-Verordnung legt einheitliche Rahmenbedingungen für die grenzüberschreitende Nutzung von Identifizierungsmittel und Vertrauensdienste fest. Sie wurde 2014 verabschiedet und gilt für die Mitgliedsstaaten überwiegend seit 2016. Die Verordnung hat immer wieder öffentliches Interesse erhalten, da hier mögliche Weichen für die Zukunft europäischer digitaler Identitäten gestellt werden. Wie die Kommission sich die Gestaltung der Zukunft nun vorstellt, ist hier zusammengefasst:

• • Die Europäische Kommission setzt auf nationale Identitätslösungen. Das heißt, dass es keine europäische digitale Identität geben wird. Stattdessen werden die Mitgliedsstaaten nun dazu verpflichtet, eine digitale Identitätslösung anzubieten und zu notifizieren.
• • Damit die digitale Identität einfach genutzt werden kann, sollen Wallets etabliert werden. Diese werden ebenfalls von den Mitgliedsstaaten angeboten und setzen auf der notifizierten Identität auf. Dabei muss jede Wallet an eine hoheitliche Identität geknüpft werden. Zusätzlich dazu können aber in der Wallet auch weitere Nachweise, wie ein Führerschein oder ein Bildungsabschluss, hinterlegt sein. Die Wallets können auch von Privatunternehmen angeboten werden, falls der Mitgliedsstaat dies national entscheidet.
• • Die nationalen eID-Lösungen sollen in der gesamten EU nutzbar sein – sowohl private als auch staatliche Leistungen in anderen Mitgliedsstaaten sollen durch die eigenen eID genutzt werden können. Bestimmte private Anbieter werden deshalb dazu verpflichtet, die eID Lösung als Identifikationsmöglichkeit zu akzeptieren. So sollen beispielsweise Plattformen, die von mehr als 10% der europäischen Bevölkerung genutzt werden, die EU-Wallet akzeptieren müssen.
• • Die digitale Souveränität der Nutzer steht im Vordergrund: Alle können jeweils abwägen, welche Aspekte ihrer Identität sie an Dritte weitergeben wollen. So kann beispielsweise alleinig das Alter nachgewiesen werden ohne den Namen etc. preiszugeben.
• • Die Sicherheitsanforderungen für Vertrauensdienstanbieter sollen nicht geändert werden. Allerdings sollen zertifizierte Vertrauensdienstanbieter dazu verpflichtet werden, alle 24 Monate ein Audit auf eigenen Kosten durchzuführen, um sicherzustellen, dass alle Regulierungsanforderungen erfüllt werden.
• • Die Kommission will nun Kennnummern für Normen für vertrauenswürdige Systeme und Produkte festlegen. Dazu zählen Kennnummern für qualifizierte Zertifikate für elektronische Signaturen, für qualifizierte elektronische Signaturerstellungseinheiten, für den qualifizierten Bewahrungsdienst für qualifizierte elektronische Signaturen, für qualifizierte Zertifikate für fortgeschrittene elektronische Siegel und für qualifizierte Zertifikate für elektronische Siegel und elektronische Archivierungsdienste. Außerdem sollen Standardkennzahlen für qualifizierte elektronische Zeitstempel und die Zustellung elektronischer Einschreiben eingeführt werden.

Neben dem jetzt folgenden Gesetzgebungsprozess, um die vorgeschlagenen Änderungen in die Verordnung einzubringen, wird nun auch an den technischen Anforderungen gearbeitet. Im September sollen Online-Diskussionen zur technischen Architektur anlaufen, bis Dezember will die Kommission dann den groben Architekturrahmen für die Wallets festlegen. Angestrebt wird, dass das Instrumentarium bis Herbst 2022 festgelegt wird. Damit soll sichergestellt werden, dass spätesten ein Jahr nach Inkrafttreten der neuen Verordnung die ersten Wallets genutzt werden können.

Der VSDI sieht in der jetzt vorgeschlagenen Revision der eIDAS-Verordnung, die Möglichkeit, dass sichere, digitale Identitäten für europäische Bürger nun flächendeckend verwirklicht werden können. Die Fokussierung auf nationale Lösungen, die dann interoperabel zwischen den Mitgliedsstaaten angewendet werden, ist sinnvoll und ermöglicht den Aufbau eines europäischen Identitätsökosystems. Allerdings muss jetzt schon die Implementierung konsequent mitgedacht werden: „Hier müssen die Weichen gestellt werden und ermöglicht werden, dass sowohl Verwaltungen als auch private Unternehmen die eID-Lösungen ab Start der Wallet auch wirklich akzeptieren“ so VSDI-Geschäftsführer Christian Wilke.