eIDAS 2.0

Was ist eIDAS 2.0? 

eIDAS 2.0 soll die eIDAS-Verordnung aus dem Jahr 2014 reformieren und dabei bisherige Schwachstellen der Verordnung beheben sowie sogenannte Vertrauensdienste und die ID-Wallet einführen.

Die Europäische Kommission legte bereits im Juni 2021 eine Überarbeitung der eIDAS-Verordnung vor. Dieser Vorschlag wird häufig unter den Schlagworten eIDAS 2021 oder eIDAS 2.0 diskutiert. 

Geplant sind Neuerungen in drei Bereichen: 

  • Schwächen der aktuellen Fassung behoben 
  • Weitere Vertrauensdienste: elektronisches Einschreiben, elektronische Zertifikate zur Authentifizierung u.a. 
  • eID Wallet: digitaler Identitätsnachweis für die gesamte Europäische Union 

Artikel 49 der eIDAS-Verordnung besagt, dass die Europäische Kommission die Anwendung der Verordnung überprüfen und dem Europäischen Parlament und dem Rat bis zum 1. Juli 2020 darüber Bericht erstatten sollte. Ziel dieses Evaluierungsmechanismus war es, die Wirksamkeit, Effizienz, Relevanz, Kohärenz und den europäischen Mehrwert der eIDAS-Verordnung zu analysieren.  

Der im Oktober 2020 fertiggestellte Evaluierungsbericht enthält eine Bestandsaufnahme der Verordnung zum aktuellen Zeitpunkt, ihrer Schwächen und Verbesserungsmöglichkeiten. Er stellt insbesondere fest, dass grundlegende Änderungen an der eIDAS-Verordnung vorgenommen werden müssen, um die vom Privatsektor geforderten Anwendungsfälle für die Identifizierung zu unterstützen. Zwar hätten die Arbeiten an eIDAS 2.0 2018 begonnen, doch er bestätigt und beleuchtet die bevorstehenden Entwicklungen im Detail. 

Der Entwurf befindet sich aktuell in der Abstimmung beim Ministerrat. Er sollte ursprünglich im zweiten oder dritten Quartal 2023 in Kraft treten. Derzeit wird jedoch mit einer Verzögerung bis ins Jahr 2024 gerechnet. 

Was ändert sich durch eIDAS 2.0? 

Seit der ursprünglichen Konzeption der eIDAS-Verordnung im Jahr 2012 hat sich der Rahmen für Vertrauensdienste in unserer Gesellschaft stark verändert. Tatsächlich hat die exponentielle Nutzung von Online-Diensten – unter dem Druck der während der Pandemie verhängten Quarantäne und der Entwicklung unserer digitalen Gewohnheiten – die Notwendigkeit eines neuen Rahmens drastisch hervorgehoben. Neben der Berücksichtigung neuer elektronischer Vertrauensdienste wird die sogenannte eIDAS „2.0“ auch den Schwerpunkt auf eine stärkere Normativität legen, insbesondere auf die technischen und operativen Voraussetzungen, die von Vertrauensdiensteanbietern verlangt werden. 

Ein weiterer Grund für eIDAS 2.0 ist, dass es bislang mit der eIDAS-Verordnung nicht vollständig gelungen ist, ursprüngliche Aufgabe der Verordnung zu erfüllen.  

  • Nur 60% der EU-Bürger hätten Zugang zu einem vertrauenswürdigen Identifizierungssystem, während die Akzeptanz noch darunter liege.  
  • Die Interoperabilität der nationalen Dienste und Infrastrukturen wird ihrerseits nicht als ausreichend angesehen.  

Es schien daher notwendig, den Rechtsrahmen zu erneuern, um ihn besser mit den neuen Identifizierungspraktiken in Einklang zu bringen und die innergemeinschaftliche Integration von Vertrauensdiensten zu fördern. Für die Gesetzgeber wird eine Änderung von eIDAS auch Innovation und Forschung erleichtern. 

Letztendlich wird die eIDAS 2.0-Verordnung eine einheitlichere Umsetzung in allen EU-Mitgliedstaaten gewährleisten, um die Inkonsistenzen und Auslegungsunterschiede zu verringern, die bei der nationalen Umsetzung der ersten eIDAS aufgetreten waren. Sie wird auch neue Arten von elektronischen Vertrauensdiensten einführen, die bisher nicht vorgesehen waren, wie : 

eIDAS 2.0 führt auch das Konzept des Europäischen Identitätsportfolios (DIW) ein, d. h. eine digitale Plattform, die das Identitätsmanagement erleichtert. Diese Brieftasche wird es jedem ermöglichen, sich online und offline auf dem Gebiet der EU für öffentliche oder private Dienste zu identifizieren. Darüber hinaus wird es dem Nutzer die Möglichkeit bieten, die Weitergabe seiner Informationen zu verwalten. Sein „hohes“ Sicherheitsniveau wird durch Anforderungen gewährleistet, die in dieser Regulierung enthalten sind und deren Überprüfung und Zertifizierung öffentlichen oder privaten Akteuren obliegt, die von den Mitgliedstaaten benannt werden.

Ein Beispiel: Die Einführung des Konzepts des „Null-Nachweises von Wissen“ (Zero Proof Knowledge) soll die bestehenden kryptografischen Mittel stärken. Indem eine Partei nachweisen kann, dass sie über eine bestimmte Information verfügt, ohne diese preisgeben zu müssen, wird die Richtigkeit ihrer Aussage de facto bewiesen. 

Der endgültige Vorschlag für die eIDAS 2.0-Verordnung wurde am 3. Juni 2021 veröffentlicht, das Inkrafttreten ist für September 2023 geplant. Ab diesem Zeitpunkt sind alle Mitgliedstaaten verpflichtet, ihren Bürgern eine digitale Identitätsmappe zur Verfügung zu stellen. 

Welche Länder und Branchen werden von eIDAS 2.0 betroffen sein? 

Die eIDAS 2.0-Verordnung wird sich auf viele Bereiche des Lebens der Bürger der EU-Mitgliedsstaaten und der Mitgliedsstaaten des Europäischen Wirtschaftsraums (EWR) auswirken. 

Auf Seiten der Industrie wird die Mehrheit der Branchen, die Online-Dienste anbieten, die eine vertrauenswürdige elektronische Lösung erfordern, von dieser Aktualisierung betroffen sein. Der Vorschlag zur Änderung der eIDAS-Verordnung betont, dass viele Sektoren davon profitieren werden. Namentlich erwähnt werden die Bereiche Gesundheit, Transport, Energie, Banken und Finanzen, Postdienste, Bildung, digitale Infrastruktur und Trinkwasser. Aber auch andere, nicht genannte Sektoren können natürlich betroffen sein, je nachdem, wie sie digitale Dienstleistungen und Online-Transaktionen nutzen. 

Der öffentliche Sektor wird eindeutig zu den glücklichen Nutznießern der aktualisierten eIDAS-Verordnung gehören, da sich die Anwendungsfälle für die Erleichterung des öffentlichen Lebens vervielfachen werden. Regierungsbehörden werden direkt betroffen sein, da sie den grenzüberschreitenden Zugang zu öffentlichen Online-Diensten erleichtern und gleichzeitig die gegenseitige Anerkennung von elektronischen Identitäten ermöglichen müssen. 

Wozu wird die Digital Wallet der digitalen Identität dienen? 

Die Europäische Identitätskarte (DIW) ist eine digitale Plattform, die es jedermann ermöglicht, seine elektronischen Identifikationsmerkmale an einem Ort zu speichern und zu verwalten, und zwar auf sichere und transparente Weise. Es wird in der Lage sein, die verifizierten Elemente des biometrischen nationalen Personalausweises und authentifizierte und zertifizierte persönliche Attribute wie Führerschein, Geburtsurkunde oder sogar Diplome zu speichern. Diese elektronische Brieftasche – die der DSGVO und dem Cyber Security Act entspricht – wird es den europäischen Bürgern auch ermöglichen, die Kontrolle über ihre Daten zurückzugewinnen, indem sie ihnen die Einstellungen für die Weitergabe ihrer Daten öffnen. 

Wie im Änderungsvorschlag zur eIDAS-Verordnung betont wird, wird die Europäische Identitätskartei „vom öffentlichen und privaten Sektor zunehmend als das geeignetste Instrument angesehen, das es den Nutzern ermöglicht, je nach Anwendungsfall und Sicherheitsbedarf zu entscheiden, wann und mit welchem privaten Dienstleister sie zahlreiche Identitätsmerkmale teilen. 

Das DIW ist hochsicher und kann auch offline genutzt werden, was vor allem dem Gesundheitswesen im Rahmen von ePrescriptions zugute kommen wird. Es wird den Nutzern auch ermöglichen, selbst qualifizierte elektronische Signaturen (QES) und Siegel zu erstellen, die in der gesamten Europäischen Union akzeptiert werden. Der Europäische Personalausweis ist auch für die Geschäftswelt gedacht, da er die Möglichkeit bietet, Vertretungsvollmachten und e-Mandate zu erstellen. Ziel ist es, die Verwaltungsverfahren zu vereinfachen und die Kosten zu senken. 

Um eine hohe Akzeptanz zu gewährleisten, muss die Interoperabilität mit anderen Diensten in der Europäischen Union sichergestellt werden. Dies bedeutet, dass die Nutzer in der Lage sein werden, ihre Informationen weiterzugeben und mit verschiedenen Plattformen und Diensten zu interagieren, ohne sich erneut registrieren zu müssen. Dies dürfte sich vor allem im Transport-, Medizin- und Bankwesen als nützlich erweisen. 

Die Europäische Identitätskarte ist ein wichtiger und wesentlicher Teil von eIDAS 2.0, da sie dazu beiträgt, die elektronische Identifizierung und Vertrauensdienste in der Europäischen Union selbst zu fördern und zu übernehmen. Darüber hinaus ist es ein weiterer Schritt der Europäischen Union hin zu mehr Datensouveränität. Schließlich erfüllt es auch die Ziele des Schutzes personenbezogener Daten, indem es den Nutzern die Macht über die Verwaltung und Weitergabe ihrer persönlichen Informationen zurückgibt. 

Play