Signatur software
Der Hintergrund der EU-Verordnung Nr. 910/2014 (die „eIDAS-Verordnung“) ist kürzlich in Kraft getreten und hat ein neues Rechtssystem für die elektronische Identifizierung („eID„) und Vertrauensdienste für elektronische Transaktionen geschaffen. Die eIDAS-Verordnung, in Deutschland auch IVT, hebt die Richtlinie 1999/93 (die „Richtlinie“ ) auf und gilt unmittelbar in allen EU-Mitgliedstaaten, so dass für ihre Umsetzung kein nationales Gesetz erforderlich ist.
Die eIDAS-Verordnung führt die gegenseitige Anerkennung elektronischer Identitäten und elektronischer Vertrauensdienste (einschließlich elektronischer Signaturen, elektronischer Siegel, elektronischer Zeitstempel und der Authentifizierung von Webseiten) ein.
In Bezug auf elektronische Signaturen ist die eIDAS-Verordnung so konzipiert, dass Unternehmen und andere Personen, die Transaktionen innerhalb der EU durchführen, sicher sein können, dass ihre elektronischen Signaturen für die Zwecke der Ausführung von Dokumenten rechtsgültig sind.
Wenn kein Zweifel mehr an der Rechtsgültigkeit elektronischer Signaturen besteht, wird davon ausgegangen, dass digitale Interaktionen zur Norm werden. Insbesondere bei grenzüberschreitenden Transaktionen wird die digitale Interaktion zum De-facto-Modus werden.
Der frühere Rechtsrahmen für elektronische Signaturen war in der EU-Richtlinie 1999/93 vorgesehen. Die Umsetzung der Richtlinie in den EU-Mitgliedstaaten führte jedoch zu Unsicherheiten hinsichtlich der Rechtsgültigkeit elektronischer Signaturen.
Die Richtlinie wurde durch das Gesetz über den elektronischen Geschäftsverkehr aus dem Jahr 2000 (das „Gesetz“) in irisches Recht umgesetzt. Dieses Gesetz sieht vor, dass elektronische Signaturen die gleiche Rechtswirkung wie herkömmliche „Nass-Tinten“-Signaturen haben, mit einigen Ausnahmen; Testamente, Kodizes, Trusts, dauerhafte Vollmachten und jegliche Vollmachten und jedes Dokument, in dem ein Interesse an einer Immobilie begründet, erworben, veräußert oder eingetragen werden kann, mit Ausnahme von Errichtungsverträgen,
den Erwerb oder die Veräußerung eines solchen Interesses, die vom Anwendungsbereich des Gesetzes ausgenommen sind.
Die eIDAS-Verordnung verlangt von den EU-Mitgliedstaaten, dass sie jedes elektronische Identifikationsmittel anerkennen und akzeptieren, das in einem anderen Mitgliedstaat ausgestellt wurde und der Kommission gemeldet wurde, wie in der eIDAS-Verordnung vorgesehen. Die Meldung der akzeptierten elektronischen Identifizierungsmittel ist freiwillig. Die mitgeteilten elektronischen Identifizierungsmittel werden im Amtsblatt der Europäischen Union veröffentlicht.
Die eIDAS-Verordnung sieht vor, dass elektronischen Signaturen nicht deshalb die Rechtswirkung entzogen werden darf, weil sie in elektronischer Form vorliegen. Wie bereits erwähnt, war die Rechtsgültigkeit elektronischer Signaturen aufgrund der Umsetzung der Richtlinie unklar. Die eIDAS-Verordnung versucht nun, diese Unsicherheit zu beheben.
Die eIDAS-Verordnung erkennt drei Ebenen elektronischer Signaturen an:
Einfache elektronische Signaturen :
Dabei handelt es sich um „Daten in elektronischer Form, die anderen Daten in elektronischer Form beigefügt oder logisch mit ihnen verknüpft sind und die vom Unterzeichner zum Signieren verwendet werden“. Alles, was unter diese Definition fällt, kann als einfache elektronische Signatur betrachtet werden, z. B. eine maschinengeschriebene Unterschrift.
Fortgeschrittene E-Signaturen: Eine fortgeschrittene E-Signatur ist eine elektronische Signatur, die :
– eindeutig mit dem Unterzeichner verknüpft ist – den Unterzeichner identifizieren kann – unter der alleinigen Kontrolle des Unterzeichners steht – mit den signierten Daten auf eine Weise verknüpft ist, dass jede Änderung sie ungültig macht.
Qualifizierte elektronische Signaturen :
Eine qualifizierte elektronische Signatur ist eine Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wird und auf einem für elektronische Signaturen qualifizierten Zertifikat basiert.
Die eIDAS-Verordnung sieht vor, dass die EU-Mitgliedstaaten eine (oder mehrere) Aufsichtsstelle(n) benennen, die für die Regulierung qualifizierter Vertrauensdiensteanbieter – früher als Zertifizierungsdiensteanbieter bezeichnet – zuständig ist (sind). Diese können qualifiziert oder nicht qualifiziert sein. Die eIDAS-Verordnung führt auch eine europäische „Vertrauensmarke“ ein. Diese ist für qualifizierte Vertrauensdienste bestimmt. Sobald der qualifizierte Status erreicht ist, kann der qualifizierte Vertrauensdiensteanbieter die EU-Vertrauensmarke verwenden, um ein höheres Sicherheitsniveau anzuzeigen.
Qualifizierte Vertrauensdiensteanbieter müssen sich an strengere Regeln halten und werden vom Aufsichtsorgan genauer überwacht. Die Aufsichtsorgane werden eingerichtet, um beide Formen von Vertrauensdiensteanbietern zu beaufsichtigen, damit sichergestellt ist, dass sie die in der eIDAS-Verordnung festgelegten Anforderungen erfüllen.
Beide Formen von Vertrauensdiensteanbietern sind verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheitsrisiken der von ihnen angebotenen Vertrauensdienste zu bewältigen, und das Aufsichtsorgan im Falle einer Sicherheitsverletzung zu informieren. Wenn die Sicherheitsverletzung eine natürliche oder juristische Person betreffen könnte, muss der Vertrauensdiensteanbieter die betroffene Partei darüber informieren.
Das Aufsichtsorgan muss Sicherheitsverletzungen jährlich an die ENISA melden. Die Mitgliedstaaten können in gegenseitigem Einvernehmen auch eine Aufsichtsstelle im Hoheitsgebiet eines anderen Mitgliedstaates einrichten.
