key: cord-0072831-60cen88e authors: Fiedler, Arno; Granc, Franziska title: Nationale und europäische Sicht auf eIDAS 2.0 – Aufwand und Nutzen date: 2022-01-05 journal: Datenschutz Datensich DOI: 10.1007/s11623-022-1556-0 sha: 64f9e0806e76f9393034636887ee449dd3786c48 doc_id: 72831 cord_uid: 60cen88e Der digitale Binnenmarkt bietet für Bürger:innen, Wirtschaft und Verwaltung einen großen Nutzen. Die 2014 in Kraft getretene eIDAS-Verordnung hat dafür den Grundbaustein gelegt und die Digitalisierung Europas gestärkt. Leider haben die Potentiale der Verordnung nur in wenigen Mitgliedsstaaten Anwendung gefunden. Die gestiegene Nachfrage für vertrauenswürdige Identifizierungen im Netz und die immer weiterwachsende Abhängigkeit von wenigen globalen Unternehmen erfordert eine Novellierung der bestehenden Verordnung. Die Kommission stellt mit ihrem Revisionsvorschlag eine souveräne Nutzung von digitalen Identitäten in den Vordergrund und ebnet den Weg für neue dezentrale Technologien. Der Bedarf nach qualifizierten elektronischen Signaturen und einheitlichen europäischen Standards wurde bereits 1999 erkannt und durch die Einführung der Electronic Signatures Directive gedeckt. Die Verordnung schrieb vor, dass elektronische Signaturen gleichermaßen anzuerkennen sind wie Unterschriften auf dem Papier. Die Verordnung wurde 2014 durch eIDAS ersetzt. Ziel von eIDAS ist die Schaffung eines rechtlichen Rahmenwerks, in dem Bürger:innen, Wirtschaft und Verwaltung digitale grenzüberschreitende Transaktionen ausüben können. Services aus verschiedenen Branchen, wie zum Beispiel dem Finanzsektor, dem Bildungssektor oder der öffentlichen Verwaltung sollen in allen Mitgliedsstaaten sicher und grenzüberschreitend beansprucht werden können. Digitalen Identitäten kommt dabei die Schlüsselfunktion zu. Hierfür schreibt eIDAS die Anerkennung der jeweils nationalen eID-Systeme vor. Dadurch soll das im Single Digital Gateway (SDG) vorgesehene Once-Only Prinzip verwirklicht werden können [6] . Nicht in allen Mitgliedsstaaten wurden die nach eIDAS definierten ID-Lösungen jedoch gleichermaßen umgesetzt. In diesem Jahr hat die Kommission einen Vorschlag zur Revision der eIDAS Verordnung vorgelegt. Mit diesem Vorschlag geht die für alle Mitgliedsstaaten verpflichtende Einführung einer sogenannten EUid einher. Konkret sollen Mitgliedsstaaten verpflichtet werden eine EU-Identity Wallet anzubieten. Dabei handelt es sich um eine digitale Brieftasche, in der die hoheitliche nationale Identität und weitere digitale Identitätsnachweise abgelegt werden können. Die Wallet soll nach europäisch standardisierten und definierten technischen Regeln von den jeweiligen Mitgliedsstaaten selbst bereitgestellt werden und anschließend EU-weit genutzt werden können. Dadurch sollen Bürger:innen der EU und Unternehmen grenzüberschreitend Online-Dienste nutzen können. Die digitalen Nachweise in dieser Wallet werden in eIDAS 2 als "Attribute Attestations" definiert. Hierbei handelt es sich um digitale, identitätsbezogene Nachweise. In dem novellierten eIDAS Vorschlag steht die Souveränität des Nutzers im Vordergrund. Dabei werden im Vorschlag verschiedene Technologien, darunter auch die Distributed Ledger Technologie (DLT) berücksichtigt. Die "Attribute Attestations" können in verschiedenen technologischen Ausprägungen vorkommen. Mögliche Formen sind beispielsweise Verifiable Credentials (VC). Von VCs spricht man oftmals im Kontext der Self-Sovereign-Identity (SSI). Beim SSI Ansatz steht der Nutzende im Vordergrund. Konkret bedeutet dieser Ansatz, dass der User jederzeit über seine Identität verfügt und einzelne Nachweise seiner Identität selbstbestimmt und ausgewählt mit Dritten teilen kann. Neu an dem SSI-Ansatz ist also, dass es keinen zentralen Speicher mit Identitätsinformationen gibt, sondern der Inhaber einer Identität auch derjenige ist, der seine Daten auf beispielsweise einem mobilen Endgerät (Smartphone) besitzt. Neben der hoheitlichen, nationalen Identität sollen auch weitere Nachweise, wie zum Beispiel der Führerschein, Hochschulzeugnisse, anderweitige Zertifikate und Bescheinigungen in die Wallet abgelegt werden können. Die Bereitstellung der Wallet selbst obliegt dem Mitgliedsstaat und kann, wenn von dem jeweiligen Mitgliedstaat vorgesehen, auch von Privatunternehmen angeboten werden. So wie die Mitgliedsstaaten verpflichtet werden sowohl die Bereitstellung der Wallet als auch die entsprechenden Nachweise zu organisieren, so werden juristische Personen, also Unternehmen und Behörden verpflichtet die hoheitliche eID und Nachweise als Identifikationslösung zu akzeptieren. Artikel 12b (2) erwähnt explizit die Anwendungsfelder Verkehr, Energie, Bank-und Finanzdienstleistungen, soziale Sicherheit, Gesundheit, Trinkwasser, Postdienste, digitale Infrastrukturen, Bildung oder Telekommunikation. Wichtige neue Anwendungsfelder werden auch dadurch erschlossen, dass die großen Online-Plattformanbieter dazu verpflichtet werden, für den Zugang zu ihren Online-Diensten die EUid für die Nutzer-Authentifizierung zu akzeptieren. Für Bürgerinnen ergeben sich dadurch neue Anwendungsmöglichkeiten ihre Identität selbstbestimmt und souverän nachzuweisen. Durch die genannten Attribute Attestations können nun ausgewählte zusätzliche Eigenschaften, Qualifikationen und Rechte von natürlichen und juristischen Personen geteilt werden, ohne dass dabei die gesamte Identität, also alle zu einer Person oder Organisation gehörenden Identitätsinformationen preisgegeben werden müssen. Folglich könnten unter eIDAS 2.0 mit den "Attribute Attestations" pseudonyme Identifizierung und Authentisierung dort wo es möglich ist gewahrt werden. Dies gilt insbesondere für Anwendungen im nicht-hoheitlichen Bereich. Muss beispielsweise nachgewiesen werden, dass es sich bei einer Person um eine Volljährige handelt, so ist lediglich der Nachweis darüber, dass die Person älter als 18 Jahre alt ist, erforderlich. Der Name und das genaue Geburtsdatum werden nicht benötigt. Wenn auch die Etablierung eines EU-Identity Frameworks im Vordergrund der eIDAS Revision steht, so wurden von der Kommission auch die verbindliche Einführung von Normen für vertrauenswürdige Systeme und Produkte vorgeschlagen. Neben der Einführung eines EU-Identity Frameworks sieht der Vorschlag der EU-Kommission zur eIDAS-Novellierung die Einführung qualifizierter Archivierungsdienste als neuartige Vertrauensdienste vor. Somit wird der bisher definierte Rahmen der qualifizierten Bewahrungsdienste um die langfristig unveränderbare Aufbewahrung von Dokumenten erweitert. Hieraus ergibt sich ein neuartiges Geschäftsfeld für Vertrauensdiensteanbieter, welches bisher nur von Bibliotheken und Notaren rechtsverbindlich angeboten werden konnte. Zwar muss der Vorschlag der Kommission im Rahmen des Gesetzgebungsprozesses der EU im Trilog-Verfahren mit dem Euro- Abhilfe bei der Bereitstellung aller in eIDAS 2.0 vorgeschriebenen Attribute können die Unternehmen bzw. die Wirtschaft schaffen. Insbesondere im nicht-hoheitlichen Bereich ist es nicht immer erforderlich, dass der Staat als Provider bestimmter ID-Nachweise fungiert. Umgekehrt profitieren viele Unternehmen von der eIDAS Revision. Langwierige Identifizierungsprozesse können maßgeblich verkürzt werden. Beispielsweise im Bankensektor bei der Eröffnung eines Bankkontos oder bei der Beantragung eines Kredits. Um der Komplexität gerecht zu werden ist eine enge Zusammenarbeit zwischen Staat und Wirtschaft unbedingt erforderlich. Hier kann Deutschland EU-weit eine Vorbildfunktion übernehmen. Laufende Projekte wie zum Beispiel das Schaufensterprogramm "Sichere Digitale Identitä-ten" des Bundeswirtschaftsministeriums arbeiten an der Etablierung sicherer digitaler Identitätslösungen im Alltag. Die von den Schaufensterprojekten erprobten Lösungen zeigen, wie das Zusammenspiel zwischen Staat und Wirtschaft praktisch aussehen kann. Während die Einführung der deutschen Smart-eID in den hoheitlichen Bereich fällt, arbeiten die Schaufensterprojekte in über 100 Use Cases an der Bereitstellung digitaler Nachweise. Diese Nachweise könnten nach Inkrafttreten von eIDAS 2.0 in die Liste der "Attribute Attestations" mitaufgenommen werden. Wenngleich also in Deutschland die Smart-eID den Grundbaustein für eine sichere, vom Staat bereitgestellte digitale Identität legt, ist diese hoheitliche Identifizierung nach eIDAS "hoch" nicht unbedingt in jedem Anwendungsfall notwendig. In eIDAS werden drei Sicherheitsniveaus (Level of Assurance) vorgegeben: niedrig, substanziell und hoch. Diese Unterscheidung spielt bei der Zusammenarbeit zwischen Staat und Wirtschaft eine wichtige Rolle. Um das Sicherheitsniveau "hoch" zu erreichen ist fast immer eine hoheitliche eID erforderlich. Das kann in Deutschland die Wirtschaft bisher kaum oder gar nicht leisten. In anderen Ländern hingegen, wie zum Beispiel in Norwegen und Italien, ist der Einsatz von privat ausgestellten Identitäten auch bei hoheitlichen Anwendungsfällen möglich. 1 Bei Anwendungen mit niedrigem oder substanziellen Sicherheitsniveau kann die Privatwirtschaft jedoch die Verwaltung entlasten und selbst Identitätsnachweise ausstellen. Für Bürger:innen schafft die novellierte eIDAS Verordnung potenziell den größten Nutzen, da die EUid branchenübergreifend Anwendung finden könnte. Sie könnte Abhilfe bei der aufwändigen und oftmals unsicheren Nutzername-Passwort Identifizierung schaffen, da sich Bürger:innen mit einem vereinheitlichten und global anerkannten Instrumentarium bei Online-Services authentisieren könnten. Single-Sign-Ons von großen globalen Unternehmen bringen Bürgerinnen in eine Abhängigkeit, bei der die Kontrolle darüber, welche Daten wann und mit wem geteilt werden, nicht gewährleistet ist. Dem wird durch die novellierte eIDAS Verordnung Abhilfe geschaffen. Dies hat nicht nur Vorteile für die Bürger:innen, sondern ermöglicht auch Unternehmen sichere und vertrauenswürdige Identifizierungsvorgänge [2] . Die Rollenverteilung nach eIDAS 2.0 unterteilt sich in drei Akteure: Inhaber, Aussteller und Vertrauender Dritter (Relying Party). Bürger:innen, Verwaltung und Wirtschaft können dabei jede der drei Rollen einnehmen. Diese Flexibilität schafft die Voraussetzung für ein selbstsouveränes ID-Ökosystem und bietet einen Mehrwert gegenüber dem bisherigen Ansatz. Die folgende Graphik stellt die Rollenverteilung beispielhaft dar. Eine Herausforderung von der bestehenden eIDAS-Verordnung ist die bisher noch uneinheitliche eID Landschaft in Europa. Die verpflichtende Einführung bei eIDAS 2.0 in allen Mitgliedsstaaten ist daher ein wichtiger Schritt in die richtige Richtung, wird aber einen großen Aufwand gerade von Mitgliedsstaaten, welche sich noch am Anfang einer solchen Einführung befinden, erfordern. Deutschland kann aus europäischer Sicht hier unterstützen und bei der Interoperabilität der Lösungen eine aktive Rolle einnehmen. Ein weiterer Nutzen von eIDAS 2.0 wäre aus Sicht der EU, dass Anbieter von Online-Diensten dadurch auch konform mit bereits geltenden Gesetzen und Regelungen wie zum Beispiel der DGSVO werden würden, da sie die eIDAS Standards und Vorgaben implementieren müssen [6] . Die Kommission strebt mit ihrem Vorschlag der eIDAS Revision in erster Linie an, die europäische Souveränität zu stärken und die Abhängigkeit von wenigen globalen Playern zu reduzieren. Letztere haben sich in offiziellen Stellungnahmen zu dem Vorschlag der eIDAS Novellierung geäußert. 2 Während der Ansatz der Etablierung eines EU-Identity Frameworks begrüßt wurde, wurden ebenfalls Bedenken, Kritik und Wünsche geäußert. Unter anderem besteht der Wunsch, insbesondere bei der Ausgestaltung der eIDAS Toolbox auf internationale Standards, wie den ISO-Normen zu setzen. Des Weiteren wurde von den Unternehmen der in Teilen bereits in eIDAS vorgesehene Ansatz der "Datenminimierung" nochmals unterstrichen. Im vorherigen Kapitel dieses Artikels wurde bereits der Ansatz der Self-Sovereign-Identity beschrieben. Dieser bietet zumindest in der Theorie die Möglichkeit, dass der User selbstbestimmt ausgewählte Attribute teilt und nicht bei jedem Identifizierungsprozess die gesamte Identität preisgeben muss. Folglich würde eine eIDAS 2.0 Umsetzung nach SSI Prinzipien den von Unternehmen angesprochenen Aspekt der Datenminimierung erfüllen. Ein wesentlicher Kritikpunkt, der von den globalen Playern geäußert wurde, ist die Verpflichtung der Unternehmen oder Relying Parties die EUid-Wallet als Identifizierungsmittel zu akzeptieren. Dies sei insbesondere eine Herausforderung für Unternehmen, welche bisher keine hoheitlichen Identifizierungsprozesse innerhalb ihrer Services vorsehen. Insbesondere im privatwirtschaftlichen Bereich erfordern viele Identifizierungsprozesse nicht das von eIDAS definierte Sicherheitsniveau "hoch". Die- Bei den genannten Äußerungen muss berücksichtigt werden, dass wirtschaftliche Interessen der globalen Unternehmen ebenfalls eine Rolle spielen. Beispielsweise wurde von Apple die Adoption der ISO 18013-5 (mobile Driving licence "mDL") angeregt, nachdem in Teilen der USA der Führerschein künftig in der Wallet des Unternehmens abgelegt werden kann. Somit ist zu erwarten, dass Apple sich im Bereich der hoheitlichen Credentials stärker engagiert 4 und somit die Souveränität staatlicher eID-Systeme in Frage stellt. Zuletzt wurde der Wunsch geäußert, die internationale Experten-Community aktiv mit in die Ausgestaltung der eIDAS Tool-box miteinzubeziehen. Eine internationale Kooperation ist sicherlich sinnvoll im Hinblick auf eine globale Interoperabilität. Zusammenfassend ist festzustellen, dass die Revision der eIDAS Verordnung ein essenzieller Schritt ist für die sichere Digitalisierung der EU, da sie eine rechtliche Grundlage für vertrauenswürdige Identifizierungsdienste schafft und somit sowohl öffentliche als auch private Services digital angeboten werden können, die sicher, interoperabel und vertrauenswürdig gemäß eIDAS sind. Das stärkt den europäischen Markt und ermöglicht europäisch souveräne Lösungen. Die Covid-19 Pandemie hat gezeigt, dass eine sichere und nachhaltige Digitalisierung ohne sichere digitale Identitäten und qualifizierte Vertrauensdienste nicht möglich ist. Die bestehende eIDAS Verordnung hat zwar eine gute Grundlage geschaffen, die derzeit bestehende Fragmentierung hinsichtlich eID-Lösungen im europäischen Markt hat aber zur Folge, dass sich ID-Lösungen weniger großer Unternehmen zumindest im privaten Sektor immer weiter ausbreiten. Eine Einführung einer EUid sollte deshalb zügig erfolgen und für natürliche und juristische Personen sicher und breitflächig nutzbar sein. Dies würde durch gemeinsame Standards und die Verpflichtung der Mitgliedsstaaten eine Identity Wallet und digitale Nachweise bereitzustellen, erreicht werden. Das Potential von eIDAS 2.0 aus europäischer Sicht besteht also in erster Linie darin, die fragmentierte eID-Landschaft in der EU zu vereinheitlichen und dadurch neue Geschäftsfelder und Marktzugänge zu ermöglichen. Die Ausweitung der eIDAS Verordnung auf den privaten Sektor steigert die Effektivität der Verordnung und den Einsatz qualifizierter Vertrauensdienste. Es er-geben sich neue Geschäftsmodelle, die zunächst zwar mit einem finanziellen und administrativen Aufwand verbunden sind, langfristig aber technologische Innovationen und somit den Wohlstand in der EU vorantreiben. Deutschland ist durch die nationalen Initiativen der Etablierung einer Smart-eID sowie der Erprobung weiterer dezentraler Identitätslösungen auf einem guten Weg innerhalb Europas eine Vorbildfunktion zu übernehmen und bei der Entwicklung der Standards und Toolbox für eIDAS 2.0 eine zentrale Rolle zu spielen. Study on a marketing plan to stimulate to take-up of eID and trust service for the Digital Single Market. Im Auftrag der Europäischen Kommision durchgeführte Studie Study to support the impact assessment for the revision of the eIDAS regulation Die Digitalisierung der Brieftasche: Identity Wallets. eGovernment Computing. 2.11.2021 BSI: eIDAS-Verordnung über elektronische Identifizierung und Vertrauensdienste DG CNECT H4: Inception Impact Assesment. Revision of the eIDAS Regulation -European Digital Identity (EUid) (D) 14,99 | € (A) 15,41 | *sFr 17 99 | *sFr 13 Ihre Vorteile in unserem Online Shop: Über 280.000 Titel aus allen Fachgebieten | eBooks sind auf allen Endgeräten nutzbar | Kostenloser Versand für Printbücher weltweit springer com/DGUV1 oder in der Buchhandlung A70445 DuD • Datenschutz und Datensicherheit