Die eIDAS-Verordnung

Die 2016 eingeführte eIDAS-Verordnung schafft einheitliche Standards für die Signatur elektronischer Dokumente in der EU. Ihr Ziel: ein gemeinsamer Rahmen für die grenzüberschreitende Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste in Europa. Was genau sich hinter der eIDAS-Verordnung verbirgt und warum ein Enterprise Content Management System (ECM-System) für die rechtskonforme elektronische Identifizierung sinnvoll ist, wollen wir in diesem Artikel näher beleuchten.

Die eIDAS-Verordnung (engl. Electronic Identification And Trust Services) legt EU-weit einheitliche Regeln für elektronische Identifizierung und sogenannte Vertrauensdienste fest. Ihr Ziel: Bürger, Unternehmen und Behörden sollen digitale Dokumente sicher unterzeichnen, authentifizieren und austauschen können – über Ländergrenzen hinweg.

Besonders wichtig ist dabei die rechtliche Anerkennung elektronischer Signaturen: Dank eIDAS können sie vor Gericht als verbindlicher Beweis gelten. Die Verordnung definiert zudem, welche Anforderungen erfüllt sein müssen, damit eine elektronische Signatur als ebenso rechtsgültig gilt wie eine handschriftliche Unterschrift.

Hintergrund der EU-Verordnung

Die eIDAS-Verordnung wurde am 23. Juli 2014 im Amtsblatt der EU veröffentlicht und trat am 1. Juli 2016 in Kraft. Sie löste die vorherige Signaturrichtlinie 1999/93/EG ab. Ziel war es, einheitliche und grenzüberschreitend gültige Regeln für elektronische Identifizierungsmittel und Vertrauensdienste zu schaffen – als Grundlage für einen funktionierenden digitalen Binnenmarkt. Die Einführung markierte einen wichtigen Meilenstein für digitale Geschäftsprozesse in der EU, insbesondere in Bezug auf Rechtsverbindlichkeit und Interoperabilität.

Rechtliche Grundlagen

Als EU-Verordnung (Nr. 910/2014) ist eIDAS unmittelbar geltendes Recht in allen Mitgliedstaaten der Europäischen Union. Sie regelt insbesondere die Anforderungen an elektronische Signaturen, Siegel, Zeitstempel, Zustelldienste und Website-Zertifikate. Nationale Gesetze, wie etwa das deutsche Vertrauensdienstegesetz (VDG), konkretisieren die Umsetzung und Kontrolle auf Landesebene.

Für wen gilt die eIDAS-Verordnung?

Die eIDAS-Verordnung richtet sich an alle Akteure, die digitale Identifizierungs- und Signaturprozesse nutzen oder anbieten – also an Bürger, Unternehmen und Behörden. Sie gilt in allen 27 EU-Mitgliedstaaten sowie in Island, Norwegen und Liechtenstein.

Besonders wichtig ist dabei die gegenseitige Anerkennung nationaler elektronischer Identifizierungsmittel: Wenn ein eID-System in einem EU-Land zugelassen ist, muss es auch in anderen Mitgliedstaaten akzeptiert werden – etwa bei digitalen Behördengängen oder grenzüberschreitenden Geschäftsabschlüssen.

eIDAS und die DSGVO

Obwohl die eIDAS-Verordnung und die Datenschutz-Grundverordnung (DSGVO) unterschiedliche Schwerpunkte setzen, ergänzen sie sich in der Praxis. Während eIDAS den Fokus auf Vertrauenswürdigkeit, Authentizität und Integrität elektronischer Transaktionen legt, regelt die DSGVO die Verarbeitung personenbezogener Daten. Bei der Anwendung elektronischer Signaturen und Identifikationsverfahren ist sicherzustellen, dass beide Regelwerke eingehalten werden – insbesondere hinsichtlich Datenschutz und Transparenz.

Videotipp: Wer noch tiefer in das Thema einsteigen möchte, findet in diesem kurzen Erklärvideo der Bundesdruckerei eine anschauliche Einführung in die eIDAS-Verordnung.

Seit dem 20. Mai 2024 ist die eIDAS 2.0 in Kraft. Mit der überarbeiteten eIDAS-Verordnung von 2024 reagiert die EU auf die gestiegenen Anforderungen an digitale Identitäten und schafft die Grundlage für die flächendeckende Einführung der European Digital Identity Wallet (EUid-Wallet).

Die wichtigsten Punkte zur eIDAS 2.0:

• Verpflichtung der EU-Mitgliedstaaten: Alle Mitgliedstaaten müssen bis spätestens 2027 mindestens eine EUid-Wallet bereitstellen.
• Digitale Brieftasche: Die EUid-Wallet ermöglicht es Bürgern, ihre Identität und persönliche Nachweise (z. B. Führerschein, Abschlusszeugnisse, Bankdaten) sicher, datensparsam und grenzüberschreitend digital zu nutzen.
• Schrittweise Einführung: Die Einführung erfolgt durch Pilotprojekte, Standardisierungen und nationale Umsetzungsstrategien.
• Ziel: Die eIDAS 2.0 soll den digitalen Binnenmarkt stärken und Vertrauen in Online-Dienste fördern, um Bürgern und Unternehmen einen sicheren und einheitlichen Zugang zu digitalen Verwaltungs- und Privatdiensten zu ermöglichen – vom Behördengang bis zur Kontoeröffnung.

Ein zentrales Anwendungsfeld der eIDAS-Verordnung ist die elektronische Signatur. Eine elektronische Signatur (auch eSignatur genannt) bestätigt die Unterzeichnung eines elektronischen Dokuments, dient als Identitätsnachweis und wird gemäß der eIDAS-Verordnung vor EU-Gerichten als Beweismittel akzeptiert. Unternehmen nutzen sie beispielsweise, um Bestellungen, Aufträge und Rechnungen online abzuwickeln oder Verträge, Kündigungen und andere digitale Dokumente mit der erforderlichen Unterschrift zu versehen.

Hey Doxi, nenne mir die drei Arten der eIDAS-Signatur!

Eine elektronische Signatur (auch eSignatur genannt) bestätigt die Unterzeichnung eines elektronischen Dokuments, dient als Identitätsnachweis und wird gemäß der eIDAS-Verordnung vor EU-Gerichten als Beweismittel akzeptiert. Unternehmen nutzen sie beispielsweise, um Bestellungen, Aufträge und Rechnungen online abzuwickeln oder Verträge, Kündigungen und andere digitale Dokumente mit der erforderlichen Unterschrift zu versehen.

Die eIDAS-Verordnung unterscheidet verschiedene Arten von eSignaturen:

Einfache elektronische Signatur

Im Zusammenhang mit der eIDAS-Verordnung bezeichnet der Begriff „elektronische Signatur“ die digitale Form einer Unterschrift, die der Unterzeichner verwendet, um ein Dokument zu bestätigen oder zu genehmigen, zum Beispiel eine eingescannte handschriftliche Unterschrift. Damit wird zwar der Urheber dokumentiert, seine Identität bleibt jedoch ungeprüft. Dies macht diese Form der eSignatur „einfach“.

Fortgeschrittene elektronische Signatur 

Fortgeschrittene elektronische Signaturen erfordern eine eindeutige Zuordnung zum Unterzeichner, ermöglichen eine Identifizierung, verwenden Signaturerstellungsdaten und sind so verknüpft, dass nachträgliche Veränderungen der Daten erkannt werden.

Qualifizierte elektronische Signatur

Die qualifizierte elektronische Signatur hat innerhalb der EU-Mitgliedstaaten eine besondere rechtliche Bedeutung und ist der herkömmlichen handschriftlichen Unterschrift gleichgestellt. Ihre Verwendung setzt eine sorgfältige Identifizierung und ein entsprechendes qualifiziertes Zertifikat voraus.

Hinweis: Zusätzlich zur qualifizierten eSignatur ist es möglich, ein Dokument mit einem qualifizierten Zeitstempel zu versehen. Dieser stellt sicher, dass das Dokument tatsächlich zu dem angegebenen Zeitpunkt erstellt wurde.

Tipp: Unter „Elektronische Signaturen: rechtsgültig digital unterschreiben“ erfahren Sie mehr über die verschiedenen Arten von eSignaturen und wann sie jeweils zum Einsatz kommen.

Neben der elektronischen Signatur gibt es auch das elektronische Siegel. Der Unterschied zur eSignatur: Ein Siegel ist nur juristischen Personen zuordenbar und dient ausschließlich als Herkunftsnachweis. Es findet überall dort Anwendung, wo eine persönliche Unterschrift nicht erforderlich ist, aber der Nachweis der Echtheit gewünscht wird – zum Beispiel bei amtlichen Bescheiden.

Vertrauensdiensteanbieter stellen zertifizierte Dienste zur Verfügung, die für die elektronische Identifizierung und qualifizierte elektronische Signaturen (QES) erforderlich sind. Sie bieten eIDAS-Zertifikate an, die für die rechtsgültige Signatur von Dokumenten notwendig sind.

Ein Beispiel ist DocuSign, das eIDAS-konforme Signaturen ermöglicht. Mit der qualifizierten elektronischen Signatur über DocuSign können Unternehmen Verträge und andere Dokumente sicher und rechtsverbindlich unterzeichnen.

Für die Identifizierung von Unterzeichnern setzen viele Vertrauensdiensteanbieter auf Verfahren wie Video-Identifikation, die eine eindeutige, sichere Identifikation in Echtzeit ermöglichen. Diese Identifizierungsmethoden spielen eine wichtige Rolle, um sicherzustellen, dass der Unterzeichner tatsächlich die Person ist, die er vorgibt zu sein.

Hinweis: Idealerweise verfügt Ihr Dokumentenmanagement-System (DMS) über Schnittstellen zu diesen Vertrauensdiensten, sodass Sie Dokumente direkt aus Ihrem DMS heraus digital signieren können.

Was regelt das Vertrauensdienstegesetz?

Das Vertrauensdienstegesetz (VDG) bildet den Kern der eIDAS-Verordnung und reglementiert verschiedene elektronische Vertrauensdienste, unter anderem die Ausstellung von eIDAS-Zertifikaten für fortgeschrittene und qualifizierte Signaturen. Anbieter, die Vertrauensdienste für elektronische Transaktionen offerieren, müssen von der zuständigen Aufsichtsstelle einen entsprechenden Qualifikationsstatus erhalten. Neben DocuSign ist zum Beispiel auch Adobe Acrobat Sign ein qualifizierter Vertrauensdiensteanbieter.

Die eIDAS-Verordnung regelt die Anerkennung von elektronischen Signaturen und Vertrauensdiensten in der EU, nicht jedoch die konkreten Anforderungen oder die Art der Signatur. Dies bleibt den nationalen Gesetzen der Mitgliedstaaten überlassen.

• In Deutschland regelt das Vertrauensdienstegesetz (VDG) die Umsetzung der eIDAS-Vorgaben auf nationaler Ebene. Es ersetzt das Signaturgesetz (SigG) und definiert die Anforderungen an verschiedene Signaturtypen und Vertrauensdiensteanbieter sowie die Regeln für die rechtliche Anerkennung und Verwendung elektronischer Signaturen.
• Die Schweiz reguliert den Einsatz von elektronischen Signaturen und Vertrauensdiensten im Bundesgesetz über die elektronische Signatur (ZertES). Es definiert verschiedene Signaturtypen und legt Anforderungen an deren Verwendung fest, um die rechtliche Anerkennung und die Interoperabilität der Vertrauensdienste zu gewährleisten.
• In Österreich regelt das Bundesgesetz über die elektronische Signatur die Anwendung elektronischer Signaturen und Vertrauensdienste.

Die eIDAS-Richtlinie für elektronische Transaktionen im Binnenmarkt stellt strenge Compliance-Anforderungen, um Unterzeichner zu identifizieren und die Authentizität signierter Dokumente zu gewährleisten. Bei fortgeschrittenen und qualifizierten elektronischen Signaturen ist es beispielsweise wichtig, eindeutig zu erkennen, wer das Dokument wann signiert hat und ob nachträgliche Änderungen vorgenommen wurden.

Eine ECM-Software trägt wesentlich dazu bei, diese hohen Compliance-Anforderungen zu erfüllen. Dies wird durch folgende Faktoren erreicht:

• Sicherstellung der Transparenz im gesamten Erstellungs- und Signaturprozess
• Schutz von Dokumenten und Daten vor unberechtigten Änderungen
• Differenzierter Zugriffsschutz für Dokumente, je nach Berechtigung
• Sicherer Austausch von signierten Dokumenten

Mit der Einführung der eIDAS-Signatur wurden einheitliche europäische Standards für elektronische Identifizierungs- und Vertrauensdienste geschaffen. Sie ermöglicht die rechtsverbindliche Anerkennung elektronischer Signaturen als Beweismittel und stellt qualifizierte Signaturen der eigenhändigen Unterschrift gleich. Ein modernes ECM-System unterstützt diese Konformität und sorgt für Transparenz, Dokumentenschutz und sicheren Datenaustausch