Die Regulierungslandschaft in der EU erfährt mit der Einführung neuer Durchführungsrechtsakte als Teil der überarbeiteten eIDAS (EU 2024/1183) eine bedeutende Erweiterung. Die Europäische Union arbeitet an der Fertigstellung der Entwürfe, bevor die endgültigen Fassungen veröffentlicht werden. Auch wenn ein konkreter Zeitplan noch aussteht, ist das erwartete Ergebnis klar: Langfristig zielen die Änderungen der überarbeiteten eIDAS-Verordnung darauf ab, die digitale Sicherheit, die Interoperabilität und das Vertrauen zu stärken und neue Geschäftspotenziale zu erschliessen.
Was ist das langfristige Ziel?
Bislang haben die EU-Mitgliedstaaten ihre eigenen Regeln für die digitale Identifizierung, z. B. für elektronische Signaturen, befolgt. Dieser fragmentierte Ansatz wird sich nun ändern. Mit den eIDAS-Durchführungsbestimmungen werden neue robuste (technische) Standards, strengere Anforderungen und EU-weit harmonisierte Arbeitsabläufe zur Identitätsprüfung eingeführt. So wird etwa das menschliche Auge nicht mehr ausreichen, um die Identität einer Person manuell zu überprüfen. Stattdessen werden zusätzliche digitale Überprüfungsmethoden wie KI-basierte Erkennung oder NFC-Validierung erforderlich sein und zur Norm werden.
Durch die Schaffung eines standardisierten Rechtsrahmens werden die Anbieter von Vertrauensdiensten in die Lage versetzt, europaweit sicherere, benutzerfreundlichere und eIDAS-konforme Dienste wie qualifizierte elektronische Signaturen (QES) anzubieten. Dieser Ansatz unterstützt die Digitalisierung von Geschäftsprozessen und stärkt das Vertrauen in digitale Transaktionen und Dienste.
Standardisierung von Vertrauensdiensten
Um Sicherheit und Interoperabilität zu gewährleisten, plant die EU die Einführung und Standardisierung von zwei zusätzlichen Vertrauensdiensten, die neue Wachstumsmöglichkeiten für TSPs und ihre Partner schaffen:
- Verwaltung von entfernten qualifizierten elektronischen Signaturerstellungseinheiten (rQSCDs)
rQSCDs sind eIDAS-zertifizierte Systeme, die elektronische Signaturen oder Siegel erzeugen, ohne auf einen lokal gespeicherten privaten Schlüssel angewiesen zu sein. Stattdessen befindet sich der Schlüssel in einer sicheren Serverinfrastruktur wie einem Hardware-Sicherheitsmodul (HSM) und kann nur aus der Ferne über das Internet abgerufen werden. Um den Unterschriftvorgang einzuleiten, muss sich der Unterzeichner authentifizieren. In Artikel 29a Absatz 2 und Artikel 39 Buchstabe a werden alle (technischen) Anforderungen an Anbieter von verwalteten rQSCDs beschrieben.
rQSCDs sind ideale Lösungen, wenn elektronische Signaturen hohen rechtlichen und sicherheitstechnischen Anforderungen genügen müssen. Gleichzeitig erfüllen sie die Forderung nach benutzerfreundlichen, bequemen und flexiblen digitalen Prozessen, die es ermöglichen, rechtsverbindliche Dokumente zu unterschreiben, wo man immer will. Beispielsweise können rQSCDs in branchenspezifische SaaS-Plattformen wie Personal-, Finanz- oder Rechtstools integriert werden, damit Benutzer Dokumente wie Arbeitsverträge, Kreditverträge oder notarielle Beglaubigungen aus der Ferne unterzeichnen können. Mit der neuen Verordnung wird der Zugang zu rQSCDs als Dienst von vertrauenswürdigen Anbietern möglich sein, ohne dass man die Geräte besitzen muss.
- Qualifizierte elektronische registrierte Zustelldienste
Unternehmen benötigen beim Versand sensibler Nachrichten oft einen genauen Nachweis über Inhalt, Versand und erfolgreiche Zustellung. Traditionell wurde dies über papiergebundene Einschreiben abgewickelt. Qualifizierte elektronische Einschreibedienste erfüllen diese Aufgabe auf digitalem Wege. Auf diese Weise können Unternehmen die verbindliche Zustellung ihrer Nachrichten in Echtzeit nachverfolgen und gleichzeitig die Integrität, Sicherheit und Haftung wahren, das Risiko von Manipulationen und Streitigkeiten vermeiden und Abfall reduzieren. Alle Anforderungen, Normen und technischen Spezifikationen sowie das Zertifizierungsverfahren sind in Artikel 44 Absatz 2 beschrieben.
Vor allem in streng regulierten Branchen und Fällen schafft ein qualifizierter elektronischer Einschreiben-Zustelldienst einen offiziellen Kommunikationsweg, wo dies zwingend erforderlich ist, z. B. bei Mahnungen, Kündigungen und Verwaltungsbescheiden, Steuererklärungen, Finanz-, Versicherungs-, Gesundheits- und Justizinhalten. Schliesslich müssen die Unternehmen sicherstellen, dass sie über einen rechtsgültigen Zustellungsnachweis verfügen, wenn der Empfänger behauptet, er habe keine Dokumente erhalten. Ebenso vereinfacht dieser Dienst das Vertragsmanagement und unterstützt eine revisionssichere Berichterstattung.
Vorbereiten auf das, was kommen wird
Die Einführung dieser neuen Dienste wird allmählich einen neuen Markt schaffen. Unternehmen, die in diesem Bereich tätig werden wollen, sollten sich frühzeitig mit den rechtlichen Anforderungen vertraut machen und eine Partnerschaft mit einem erfahrenen Anbieter in Betracht ziehen.
Wenn Sie mehr über die jüngsten Änderungen und Ergänzungen der eIDAS-Verordnung und der Durchführungsgesetze wissen möchten, finden Sie einen detaillierten Überblick in unserem Spickzettel zum Stand der eIDAS-Implementing Acts 2025.