Die Bedeutung der eidas-verordnung für Behörden. Chancen und Herausforderungen im E-Government. Steffen Schwalm, Theresa Vogt.

Transkript

1 Die Bedeutung der eidas-verordnung für Behörden Chancen und Herausforderungen im E-Government Steffen Schwalm, Theresa Vogt BearingPoint GmbH 1 Ausgangslage Seit 1993 besteht der EU-weite Binnenmarkt und hat seitdem das Wachstum der europäischen Wirtschaft stark gefördert. Die zunehmende Digitalisierung der Arbeitswelt fordert als Konsequenz, dass diese grenzüberschreitende Interoperabilität und Harmonisierung auch auf dem Gebiet der elektronischen Geschäftsprozesse ausgebaut wird. Trotz des bereits seit 2001 geltenden Signaturgesetzes und des E-Government-Gesetzes aus dem Jahr 2013 konnten sich elektronische Signaturen, elektronische Identifizierungsmittel sowie Zustelldienste in Deutschland nicht flächendeckend durchsetzen. Die Möglichkeit sich mit dem neuen Personalausweis zu identifizieren sowie mittels einer elektronischen Signatur Dokumente zu unterzeichnen wird weder von Bürgern noch von Behörden und Unternehmen umfassend genutzt. Die Gründe liegen zum einen in der organisatorischen und technischen Komplexität der an die physische Smartcard gebundenen Signatur sowie zum anderen der mangelnden länderübergreifenden Interoperabilität und Anerkennung. Speziell für Unternehmen stellt dies ein wesentliches Entscheidungskriterium für Anwendung und Umsetzung. 1 Im August 2014 trat die EU-Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen (eidas-verordnung) in Kraft. Sie löst die bis dahin geltende EU-Signaturrichtlinie (1999/93/EG) ab und stellt durch ihren Anwendungsvorrang direkt geltendes Recht in allen EU-Mitgliedstaaten dar. Die eidas-verordnung bildet somit die neue rechtliche Grundlage für die Nutzung elektronischer Identifizierungsmittel und elektronischer Vertrauensdienste, zu denen u.a. elektronische Signaturen, Siegel und Zeitstempel zählen. Es ergeben sich weitreichende rechtliche Veränderungen hinsichtlich vertrauenswürdiger elektronischer Geschäftsprozesse, die sich in EU und EFTA sowohl in der Privatwirtschaft als auch im öffentlichen Sektor niederschlagen. Auswirkungen hat die Verordnung in Deutschland vor allem auf das in Arbeit befindliche Vertrauensdienstegesetz (VDG), das Signaturgesetz (SigG) sowie die Signaturverordnung, das E-Government-Gesetz und das D -Gesetz 2. 1 Vgl. Kusber, Dörner, Vogt, Schwalm 2 Vgl. ebenda 1

2 Eine Übersicht zu Bedeutung und Einfluss der eidas-verordnung findet sich in der untenstehenden Grafik: Abbildung 1: Bedeutung der eidas-verordnung Die Regelungen der Verordnung werden durch sogenannte Durchführungsrechtsakte (Implementing Acts) untersetzt. Diese verweisen auf technische Normen, welche wiederum von den Normungsorganisationen ETSI und CEN erarbeitet werden. Einigen dieser Durchführungsrechtsakte wird durch die eidas-verordnung ein verpflichtender Charakter zugesprochen. Den Zusammenhang zwischen der EU-Verordnung, den Durchführungsrechtsakten und den technischen Normen zeigt die nachstehende Abbildung. 2

3 Abbildung 2: Beziehung eidas-durchführungsrechtsakte-normen 2 Grundlegende Regelungsinhalte 2.1 Überblick Die eidas-verordnung deckt die beiden Themen elektronische Identifizierung und Vertrauensdienste ab. Die konkreten Inhalte sind in der folgenden Grafik zusammengestellt: Abbildung 3: Übersicht über Inhalte der eidas-verordnung 2.2 Elektronische Vertrauensdienste Elektronische Vertrauensdienste werden von sogenannten Vertrauensdiensteanbietern (VDA) erbracht. Diese können sich nach einem standardisierten Verfahren zertifizieren lassen. Die Zertifizierung unterliegt in jedem Mitgliedstaat einer zuständigen nationalen Aufsichtsstelle. In Deutschland übernimmt diese Aufgabe die Bundesnetzagentur (BNetzA). Nach erfolgreicher Zertifizierung, darf sich der VDA als qualifizierter Vertrauensdiensteanbieter bezeichnen und das eigens dafür entworfene europäische Vertrauenssiegel auf seiner Webseite anbringen. Zudem werden der qualifizierte VDA und die von ihm angebotenen Dienste in öffentlich zugänglichen Vertrauenslisten (Trusted Lists) geführt, die bei der EU-Kommission zu einer europäischen Liste zusammengefasst werden und online abrufbar sind. Da alle zwei Jahre eine 3

4 Überprüfung des qualifizierten VDA durch eine Konformitätsbewertungsstelle vorgeschrieben wird, ist der Status des qualifizierten VDA vergleichbar mit dem des bisherigen akkreditierten Trust-Centers. Der qualifizierten elektronischen Signatur (QES) wird durch die Verordnung die gleiche Rechtswirkung wie einer handschriftlichen Unterschrift zugesprochen. 3 Dies entspricht dem aktuellen Stand im Signaturgesetz, wonach die QES einer handschriftlichen Unterschrift gleichgesetzt werden kann. 4 Demnach haben alle QES beruhend auf einem Zertifikat eines qualifizierten VDA aus einem anderen EU-Land ebenfalls den Beweiswert einer handschriftlichen Unterschrift. 5 Allerdings kann eine QES ebenso wie ein qualifiziertes elektronisches Siegel und ein qualifizierter elektronischer Zeitstempel nur von einem qualifizierten, also zertifizierten VDA angeboten werden. Weitreichend ist die Festlegung, dass jede qualifizierte elektronische Signatur, aus jedem EUund EFTA-Staat durch alle öffentlichen Stellen in EU und EFTA anzunehmen und zu prüfen sind. Folglich können sich Bürger bzw. Unternehmen jeder QES aus EU und EFTA bedienen und Behörden ist es nicht erlaubt diese abzulehnen. Gleiches gilt für elektronische Siegel und Zeitstempel Haftungsregelung Aktuell haftet der Zertifizierungsdiensteanbieter nach SigG bzw. Signaturverordnung grundsätzlich für Schäden von Personen, wenn diese dadurch entstehen, dass der Anbieter die Vorschriften des Gesetzes bzw. der Verordnung missachtet. Durch die EU-Verordnung wird es künftig eine Unterscheidung zwischen qualifizierten und nichtqualifizierten VDA bezüglich der Beweislast geben. Nimmt eine Person Schaden und legt diese dem VDA zu Lasten, so muss nach Artikel 13 folgendermaßen vorgegangen werden: - Bei einem qualifizierten VDA liegt die Beweislast beim Anbieter selbst. Es wird hier grundsätzlich von Fahrlässigkeit oder Vorsatz ausgegangen. Diese Annahme muss vom VDA widerlegt werden. - Bei einem nichtqualifizierten VDA liegt die Beweislast bei der Person, die den Schaden anzeigt. Diese natürliche oder juristische Person muss dem nicht-qualifizierten VDA ein fahrlässiges oder vorsätzliches Verhalten nachweisen. 7 3 Vgl. Verordnung (EU) Nr. 910/2014, Art Vgl. Roßnagel, Alexander; Altenhain, Karsten (2013), S Vgl. Verordnung (EU) Nr. 910/2014, Art Vgl. Verordnung (EU) Nr. 910/2014, Kap. 3 7 Gesetz über Rahmenbedingungen für elektronische Signaturen, 11 und vgl. Verordnung (EU) Nr. 910/2014, Art. 13 4

5 In der konkreten Umsetzung muss der qualifizierte VDA stets den Beweis erbringen, dass er rechtmäßig im Sinne der Verordnung gehandelt hat. Damit steigt für Anbieter das Risiko aufgrund des angenommenen Vorsatzes bzw. der Fahrlässigkeit, in einem möglichen Gerichtsverfahren zu unterliegen. Um dieses Risiko zu minimieren, müssen die Anbieter großen Wert auf die korrekte Durchführung der Dienste und eine umfassende Dokumentation legen. Für den vertrauenden Beteiligten dagegen wird, durch den erhöhten Druck zur fehlerfreien Durchführung der Dienstleistungen, das Vertrauen in die Anbieter gestärkt. Insofern kann die Verschiebung der Beweislast zu Lasten des VDA durchaus zu einer Steigerung der Zuverlässigkeit und damit der Sicherheit von Vertrauensdiensten führen. 3 Wichtigste Neuerungen 3.1 EU-weite Anerkennung und Harmonisierung der Signaturformate Wie im vorherigen Abschnitt dargelegt müssen QES, die auf einem Zertifikat eines qualifizierten VDA mit Sitz in einem anderen EU-/EFTA-Staat beruhen, anerkannt werden. Um die EU-/ EFTA-weite Prüfung zu ermöglichen, werden in den Durchführungsrechtsakten technische Formate für elektronische Signaturen und Siegel verbindlich festgelegt. Für die Erzeugung eidas-konformer Signaturen werden die Signaturformate CAdES 8 (CMS-basiert), XAdES 9 (XML-basiert), PAdES 10 (PDF-basiert) und ASiC 11 (ZIP-Signaturcontainer) als Referenzformate definiert. Dies stellt insofern eine Neuerung dar, da in Deutschland bisher vorrangig das PKCS#7-Format, ein CAdES-Derivat für elektronische Signaturen, verwendet wurde. PKCS#7 ist somit nicht mehr anwendbar. 3.2 Elektronisches Siegel Eine der größten Veränderungen mit Folgen für den Handlungsspielraum einer deutschen Behörde bewirkt die Einführung des qualifizierten elektronischen Siegels als technisches Pendant zur QES. Durch das Inkrafttreten der Verordnung wird in Deutschland erstmals die Vergabe von Organisationszertifikaten für juristische Personen ermöglicht. Aktuell ist es gemäß dem Signaturgesetz nur natürlichen Personen als Signaturschlüssel-Inhaber möglich, eine QES im Sinne des SigG zu erzeugen. Rein technisch entspricht das elektronische Siegel einer elektronischen Signatur, jedoch mit einem zugrundeliegenden Zertifikat, das sich auf eine juristische Person bezieht. Die nötigen Mindestangaben, um diese juristische Person zu identifizieren, werden in der Verordnung fest- 8 Vgl. EN Vgl. EN Vgl. EN Vgl. EN

6 gelegt. Rechtlich gilt für die besiegelten Daten die Vermutung der Unversehrtheit und der Richtigkeit der Herkunftsangabe. 12 Es drückt jedoch keine persönliche Willenserklärung entsprechend einer handschriftlichen Unterschrift aus, wie dies bei einer QES der Fall ist. Gerade weil das qualifizierte elektronische Siegel nicht die persönliche Willenserklärung einer natürlichen Person ausdrückt, bietet sich für dessen Nutzung im behördlichen Umfeld ein umfassendes Optimierungspotenzial. Damit könnte die bisherige Krux bereinigt werden, bei der Verwaltungsmitarbeiter Bescheide der Behörde mit ihrer eigenen QES versehen, obwohl sie damit nicht ihren eigenen Willen belegen sondern im Namen der Organisation handeln. 13 Ein weiteres Anwendungsfeld wäre z.b. die Nutzung qualifizierter elektronische Siegel zur Transformationsbestätigung beim ersetzenden Scannen gemäß BSI TR-RESISCAN, da auch hier nicht die Willenserklärung des Mitarbeiters im Vordergrund steht. 3.3 Serversignatur Nach Art. 2 der Signaturrichtlinie muss der Signierende die Signaturerstellungsdaten unter seiner alleinigen Kontrolle halten. 14 Bislang wurde hierfür in Deutschland die Signaturkarte gefordert. Dagegen ergibt sich durch die neuen Regelungen der eidas, dass private Signaturschlüssel nicht mehr ausschließlich auf der Signaturkarte sondern ebenso beim qualifizierten VDA selbst gespeichert und entsprechend verwaltet werden können. 15,16 Die neuen Anforderungen an die Signaturerstellung ermöglichen die Erzeugung von Serversignaturen, auch Remote- oder Fernsignaturen genannt. Bei dieser Variante der Signaturerzeugung sind die Signaturerstellungsdaten beim VDA gespeichert, die Signatur selbst wird direkt auf dessen Server erzeugt und anschließend an den Signierenden ausgegeben. Die Signaturerstellungsdaten müssen laut eidas-verordnung mit einem hohen Maß an Vertrauen unter der alleinigen Kontrolle des Signierenden stehen. 17 Deshalb ist es von besonderer Wichtigkeit bei jeglicher Art von Serversignatur, dass die signierende Person sich über ein sicheres Verfahren identifiziert, bevor sie den privaten Schlüssel abrufen und eine QES erzeugen kann. Durch die eidas bzw. ETSI und CEN werden hierzu Protection Profiles gemäß Common Criteria definiert. Der Server muss durch ein Hardware-Sicherheitsmodul (HSM) sicherstellen, dass der private Schlüssel nur für die berechtigte Person abrufbar ist. Technisch kann das HSM auch in die Infrastruktur der Behörde oder deren Rechenzentrum integriert werden. Gegenüber dem VDA ist eine sichere Authentisierung (z.b. eid, Token, biometrische 12 Vgl. Verordnung (EU) Nr. 910/2014, Art Vgl. Sosna, Sabina (2014), S Vgl. Richtlinie 1999/93/EG, Art Vgl. Verordnung (EU) Nr. 910/2014, Art Vgl. Kügler (2015b), S Vgl. Kügler (2015a), S

7 Daten o.ä.) und sichere Kommunikation zu gewährleisten. Die technischen Maßgaben hierfür sind als europäische Normen branchenübergreifend definiert. Von der Möglichkeit zur Erzeugung von Serversignaturen und deren Anerkennung als QES erhofft sich die Europäische Union eine erhöhte Verbreitung der Technologie, da es eine Vereinfachung des Verfahrens und damit einen wirtschaftlichen Vorteil bietet. Zusätzlich wird gefordert, dass die Erzeugung und Übertragung über einen sicheren Kommunikationskanal erfolgt und eine entsprechend sichere Systemumgebung eingesetzt wird. Um dies zu gewährleisten, können diese Dienste nur von qualifizierten VDA erbracht werden. 18 Praktisch heißt das, dass künftig für elektronische Unterschriften keine Signaturkarte mehr benötigt wird. Vielmehr kann der Schritt zur Unterzeichnung eines Bescheides direkt in das Vorgangsbearbeitungssystem eingebunden werden, wobei der Mitarbeiter letztlich nur noch die Anbringung der Unterschrift per Mausklick bestätigt. Die Authentisierung und anschließende Signierung kann automatisiert im Hintergrund ablaufen. Ein Beispiel aus der Privatwirtschaft ist der elektronische Versicherungsantrag. Dabei wird der Vertragsentwurf vom Versicherungsvertreter auf dem Tablet erzeugt und unter Verwendung einer Signatursoftware unterschrieben. Die Authentisierung mittels biometrischer Daten erfolgt über ein ins Tablet integriertes Signaturpad, wie man es beispielsweise von Autovermietungen kennt. Der Kunde selbst kann sich auf gleiche Weise gegenüber dem TrustCenter authentisieren und so eine Einmalsignatur, äquivalent der aktuellen Lösung der Bundesdruckerei, erhalten. Das nachstehende Bild verdeutlicht dies. Hierzu sind im Moment weitere Geschäftsideen in verschiedenen Branchen in Entwicklung. Abbildung 4: Anwendungsbeispiel elektronische Versicherung 18 Vgl. Verordnung (EU) Nr. 910/2014, Erwägungsgrund 52 7

8 Besonders die damit zugelassene Handysignatur oder mobile Signatur eröffnet neue Möglichkeiten für durchgängig elektronische Prozesse vom Bürger zur Behörde bzw. zwischen Behörden und Unternehmen. 4 Chancen und Herausforderungen 4.1 Herausforderungen Durch die Vereinheitlichung der organisatorischen und technischen Anforderungen, insbesondere die Ermöglichung von Serversignaturen und Siegeln, sowie durch die Harmonisierung der Formate ist eine vermehrte Verbreitung von Signaturen im behördlichen Bereich zu erwarten. Öffentliche Stellen stehen nun vor der Herausforderung die notwendigen Technologien bereitzuhalten, um QES, qualifizierte elektronische Siegel und Zeitstempel gemäß eidas annehmen zu können. Gleichzeitig sollten neben der Erfüllung der genannten Verpflichtungen neue Einsatzgebiete für elektronische Signaturen, Siegel und Zeitstempel ausgemacht und geprüft werden. Besonders zur Umsetzung vertrauenswürdiger wie durchgängig elektronischer Prozesse ist der Aufwand denkbar lohnenswert. Die angenommenen signierten Dokumente sind zu verakten und müssen entsprechend rechtssicher aufbewahrt werden. In Folge müssen Lösungen zur beweiswerterhaltenden Langzeitspeicherung entsprechend den in der eidas-verordnung definierten Bewahrungsdiensten konzipiert und implementiert werden. Mit der TR-ESOR v1.2 des BSI liegt hierzu ein etablierter technischer Standard vor, der die Anforderungen der eidas erfüllt. Neben den bereits genannten technischen Herausforderungen sind organisatorische und regulatorische zu berücksichtigen. So muss bei der Anwendung des qualifizierten elektronischen Siegels exakt definiert werden, welche Mitarbeiter berechtigt sind das Organisationszertifikat zu nutzen und elektronische Siegel im Namen der Behörde auszustellen. Diese Angaben werden nach eidas nicht im Organisationszertifikat festgehalten. Daher ist es für eine Behörde von großer Wichtigkeit, die Berechtigungen für die Siegelvergabe genau zu dokumentieren und dafür Sorge zu tragen, dass es Unbefugten nicht gelingt dennoch ein Siegel im Namen der Behörde zu erzeugen. Dies könnte z.b. durch ein verwaltungsinternes Identifizierungssystem gelöst werden, dass nur nachweislich berechtigten Personen den Zugang zur virtuellen Siegelerstellungseinheit gewährt und beispielsweise an den Dienstausweis gekoppelt ist. Zwar wird die Zertifizierung der qualifizierten VDA basierend auf den festgelegten Standards vorgenommen. Sie wird jedoch nicht EU-übergreifend sondern national abgewickelt. Es ist daher nicht auszuschließen, dass Abweichungen bei den Ansprüchen an die VDA und deren Vertrauensdiensten auftreten. In Deutschland wurden die Regelungen zur elektronischen Signatur bisher sehr streng gehandhabt. Doch auch wenn in anderen EU-Ländern möglicherweise 8

9 geringere Anforderungen für eine Zertifizierung als qualifizierter VDA genügen, haben die Vertrauensdienste dennoch die Rechtswirkungen nach eidas und jede öffentliche Stelle ist verpflichtet diese anzuerkennen. 4.2 Chancen Als eine große Chance ist die Einführung eines EU-/EFTA-weiten Rechtsverständnisses in Bezug auf Vertrauensdienste zu nennen. Die unterschiedlichen nationalen Gesetzgebungen werden unter einem allgemeingültigen EU-Gesetz vereinheitlicht. Insofern ist EU-/EFTA-weit die entsprechende Akzeptanz der definierten Beweiswerte gegeben. Für Behörden bedeutet dies eine gesteigerte Rechtssicherheit bei der Verwendung der Dienste. Zudem werden die rechtlichen Vorgaben durch europaweite Standards spezifiziert, sodass die Harmonisierung auf der technischen Umsetzungsebene fortgeführt wird. Durch die zu erwartende steigende Nutzung von elektronischen Vertrauensdiensten wird sich die Arbeitsweise von Behörden effizienter gestalten lassen. Gerade da sich die Nutzung von elektronischen Signaturen in Deutschland bisher nicht flächendeckend durchgesetzt hat, bietet sich ein großes Potential diesen Markt auszubauen. Grundsätzlich wird nicht nur die Kommunikation zwischen Behörde und Bürger vereinfacht und beschleunigt, sondern auch die Kommunikation auf internationaler Ebene. Durch die verpflichtende grenzübergreifende Anerkennung von Vertrauensdiensten, ist es möglich EU-weite beweissichere Kommunikation zu betreiben. Im Gegensatz zum Papierdokument bietet dies eine Zeit- und Kosteneinsparung sowie die Möglichkeit neue Methoden der Kooperation zu entwickeln. Die erhöhte EU-weite Interoperabilität ermöglicht eine intensivere Zusammenarbeit und einen rechtssicheren, medienbruchfreien Datenaustausch über Landesgrenzen hinweg. Die standardisierten Signaturformate und die regelmäßigen Konformitätsprüfungen der VDA gewährleistet zudem eine erhöhte Sicherheit bei der Verwendung von Vertrauensdiensten. Die nachstehende Grafik zeigt beispielhaft die Chancen und Vorteile aus Sicht eines Unternehmens im Überblick. 9

10 Abbildung 5: Anwendungsbeispiel öffentliche Ausschreibung Auch weiterhin wird ein Teil des Schriftverkehrs über den postalischen Weg und in Papierform erfolgen. Die eidas-verordnung enthält keine Angaben zum Scannen von Papierdokumenten. Folglich wird in diesem Fall das E-Government-Gesetz weiter Anwendung finden. Es besagt, dass das ersetzende Scannen und die anschließende Vernichtung der Originaldokumente bei Einhaltung bestimmter Anforderungen zulässig sind. Diese Bedingungen werden in Deutschland von der technischen Richtlinie des Bundesamts für Sicherheit in der Informationstechnik (TR-RESISCAN) vorgegeben. Demnach kann die technische Richtlinie weiterhin angewendet werden. Um den Beweiswert zu erhöhen, ist es laut TR-RESISCAN möglich eine elektronische Signatur an das gescannte Dokument anzubringen. Dies ist momentan sehr umständlich, da in der Praxis jeder signierende Mitarbeiter mit einer Signaturkarte und dem entsprechenden Lesegerät ausgestattet werden muss. Mit Inkrafttreten der eidas-verordnung ist es nun denkbar, dass alle gescannten Dokumente mit einem fortgeschrittenen oder qualifizierten elektronischen Siegel versehen werden. Dieser Arbeitsvorgang ist damit unabhängig von bestimmten Mitarbeitern und die Behörde muss nur ein einziges Zertifikat beantragen, welches dann allen elektronischen Siegeln zugrunde liegt. 10

11 Durch die einheitlichen Anforderungen, die an qualifizierte VDA gestellt werden, ist es für eine Behörde problemlos möglich die Dienste eines qualifizierten VDA aus einem anderen EU-Land zu nutzen. Dies bringt eine erhöhte Flexibilität mit sich. Es ist anzunehmen, dass sich die Marktlage durch die EU-weite Anerkennung von VDA für Endanwender und somit für Behörden verbessern wird. Sie werden von günstigeren Konditionen bei der Inanspruchnahme von Vertrauensdiensten profitieren können. Im Großen und Ganzen ist damit zu rechnen, das sich langfristig die Verwendung von Papierdokumenten in öffentlichen Stellen verringern wird, was eine Reduktion der Verwaltungskosten bedeutet. Zudem werden dadurch weniger Medienbrüche verursacht. Dies bietet den Vorteil, dass der hohe Beweiswert der Dokumente über den gesamten Geschäftsprozess bis hin zur beweiswerterhaltenden Langzeitspeicherung erhalten bleibt. Weiterhin können Geschäftsprozesse durch die durchgehende elektronische Abwicklung effizienter und damit kostengünstiger realisiert werden. Abbildung 6: Chancen und Herausforderungen der eidas-verordnung 5 Aktuelle Entwicklungen/Stand der Umsetzung: Seit dem 1. Juli 2016 gelten die Durchführungsrechtsakte, die sich auf die Regelung der elektronischen Signaturen, Siegel und Zeitstempel beziehen. Das bedeutet, dass aktuell bereits alle öffentlichen Stellen innerhalb der EU dazu verpflichtet sind qualifizierte elektronische Signaturen und Siegel von zertifizierten Vertrauensdiensteanbietern anzuerkennen unabhängig davon, in welchem Mitgliedstaat der Diensteanbieter seinen Sitz hat. Gleiches gilt ab 18. September 2018 für die Anerkennung und Prüfung von elektronischen Identifizierungsmitteln (eid). 11

12 Am 1. Juni 2016 wurde die Bundesnetzagentur als deutsche Aufsichtsstelle benannt. Sie ist zuständig für die Bereiche elektronische Signatur, elektronisches Siegel, elektronischer Zeitstempel und elektronisches Einschreiben im Sinne der eidas-verordnung. 19 Daneben wird derzeit das Vertrauensdienstegesetz (VDG) unter Federführung des Bundesministeriums für Wirtschaft und Technologie erarbeitet. Dieses schließt die Regelungslücken zwischen SigG/SigV und der eidas-verordnung und spezifiziert die Umsetzung weiter. Mit einer Veröffentlichung ist nicht vor 2017 zu rechnen. Die Existenz eines Vertrauensdienstegesetzes determiniert jedoch nicht die Anwendung der Vertrauensdienste nach eidas auch ohne ein VDG ist diese unmittelbares Recht und direkt anwendbar. 6 Fazit Das erklärte Ziel der eidas-verordnung ist es den digitalen europäischen Binnenmarkt zu stärken. Durch den vereinheitlichten Rechtsrahmen und die EU-weite Verwendung von Vertrauensdiensten und elektronischen Identifizierungsmitteln sind gute Voraussetzungen gegeben, um dieses Ziel zu erreichen. Grundsätzlich lässt sich für die öffentliche Verwaltung in Deutschland eine positive Bilanz aus der Betrachtung ziehen. Die neuen Regelungen vereinfachen Prozesse in vielen Fällen und erweitern die Möglichkeit zur beweissicheren, nationalen sowie internationalen Kommunikation. Die vereinfachte Handhabung der Vertrauensdienste lässt einen Bedeutungsgewinn von elektronischen Signaturen und deren erhöhte Verbreitung unter den Bürgern erwarten. Neben der internationalen wird sich dadurch auch die innerdeutsche Kommunikation zwischen Bürgern und Behörden weiter in den digitalen Raum verschieben. Durch die eidas-verordnung wird somit der Gedanke eines sicheren und vertrauenswürdigen Records Managements und E-Governments weitergeführt und zu dessen Umsetzung beigetragen

13 Quellen eidas-verordnung: Bundesnetzagentur wird Aufsichtsstelle für Vertrauensdienste online verfügbar unter: DURCHFÜHRUNGSBESCHLUSS (EU) 2015/1506 DER KOMMISSION zur Festlegung von Spezifikationen für Formate fortgeschrittener elektronischer Signaturen und fortgeschrittener Siegel, die von öffentlichen Stellen gemäß Artikel 27 Absatz 5 und Artikel 37 Absatz 5 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt anerkannt werden, 8. September 2015 ETSI EN {1,2}, Electronic Signatures and Infrastructers (ESI); CAdES digital signatures, ETSI Draft (V1.1.0 ( )) ETSI EN {1,2}, Electronic Signatures and Infrastructures (ESI); XAdES digital signatures, ETSI Draft (V1.1.0 ( )) ETSI EN {1,2}, Electronic Signatures and Infrastructeres (ESI); PAdES digital Signatures, ETSI Draft (V1.1.0 ( )) ETSI EN {1,2}, Electronic Signatures and Infrastrucutres (ESI); Associated Signature Containers (ASiC), ETSI Draft (V1.1.0 ( )) Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz - SigG) ( ). Gesetz zur Förderung der elektronischen Verwaltung (E-Government-Gesetz - EGovG) ( ). Kügler, Dennis (2015a): Remote Signatures und mögliche Angriffe. In: 25. Smartcard-Workshop. Tagungsband. Unter Mitarbeit von Ulrich Waldmann. Smartcard-Workshop. Darmstadt, 4./ Fraunhofer-Institut für sichere Informationstechnologie: Fraunhofer-Verlag, S Kügler, Dennis (2015b): Remote Signatures und mögliche Angriffe. 25. Smartcard-Workshop - Bundesamt für Sicherheit in der Informationstechnik - Darmstadt, T. Kusber, S. Schwalm, A. Dörner, T. Vogt, Die Bedeutung der eidas-verordnung für Unternehmen und Behörden. Neue Chancen und Herausforderungen für vertrauenswürdige elektronische Geschäftsprozesse in Europa. Berlin 2015 Roßnagel, Alexander; Altenhain, Karsten: Beck'scher Kommentar zum Recht der Telemediendienste : Telemediengesetz, Jugendmedienschutz-Staatsvertrag (Auszug), Signaturgesetz, Signaturverordnung, Vorschriften zum elektronischen Rechts- und Geschäftsverkehr, Sosna, Sabina (2014): EU-weite elektronische Identifizierung und Nutzung von Vertrauensdiensten : eidas-verordnung. - ein Überblick über die wichtigsten Inhalte und deren Konsequenzen für Unternehmen. In: Computer und Recht, 30 (12), S VERORDNUNG (EU) Nr. 910/2014 DES EUROPÄISCHEN PARLAMENTS UND DES RA- TES über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG vom