“Identität ohne Grenzen” war der Slogan, den die Europäische Union in Bezug auf die eIDAS-Verordnung verkündete, die (Verordnung) darauf abzielt, Online trust zu schaffen, um die wirtschaftliche und soziale Entwicklung zu erleichtern. Lassen Sie uns nun versuchen zu verstehen, warum diese Verordnung bei der Entwicklung neuer Standards für die digitale Identität unbedingt berücksichtigt werden muss.
In diesem ersten Teil verstehen wir die Rolle von eIDAS innerhalb des europäischen digitalen Marktes, während wir im zweiten Teil sehen werden, wie sich die Verordnung notwendigerweise der Welt der Self-Sovereign Identity nähert, und umgekehrt.
Die Geschichte von Eidas
Eidas ist der Höhepunkt vieler Einzelinitiativen auf europäischer Ebene. So gibt es in Italien seit 1999 die Bassanini-Verordnung, mit der die ersten Regelungen zur Telearbeit eingeführt wurden und welche Behörden Fernarbeitstätigkeiten zertifizieren können. Mit Eidas sollte ein internationaler Rahmen geschaffen werden, um die Gültigkeit und Interoperabilität von grenzüberschreitenden Diensten zu verbessern. Eidas wurde 2014 konzipiert, trat aber erst 2016 in Kraft. Die Auswirkungen im realen Leben sind offensichtlich: Der elektronische Personalausweis oder/und spid, sind dank dieser europäischen Verordnung einsatzbereit.
Um die formale Beschreibung aufzugreifen:
“Die eIDAS-Verordnung (electronic IDentification Authentication and Signature) – EU-Verordnung Nr. 910/2014 zur digitalen Identität – hat das Ziel, auf EU-Ebene eine regulatorische Grundlage für Vertrauensdienste und elektronische Identifizierungsdienste in den Mitgliedsstaaten zu schaffen. Die eIDAS-Verordnung soll das Vertrauen in Transaktionen in der Europäischen Union stärken, indem sie eine gemeinsame regulatorische Grundlage für sichere elektronische Interaktionen zwischen Bürgern, Unternehmen und öffentlichen Verwaltungen schafft.”
Die Verordnung wurde geschaffen
“mit dem Ziel, das ordnungsgemäße Funktionieren des Binnenmarktes zu gewährleisten und gleichzeitig ein angemessenes Sicherheitsniveau bei elektronischen Identifizierungsmitteln und Vertrauensdiensten zu erreichen: Sie legt die Bedingungen fest, unter denen die Mitgliedstaaten elektronische Identifizierungsmittel juristischer Personen anerkennen, die unter ein notifiziertes elektronisches Identifizierungssystem eines anderen Mitgliedstaates fallen, und stellt Regeln für Vertrauensdienste, insbesondere für elektronische Transaktionen, auf. Schließlich schafft sie einen Rechtsrahmen für elektronische Signaturen, elektronische Dokumente, elektronische zertifizierte Zustelldienste und Website-Authentifizierungszertifikatsdienste.”
Die Verordnung wurde geschaffen
“mit dem Ziel, das ordnungsgemäße Funktionieren des Binnenmarktes zu gewährleisten und gleichzeitig ein angemessenes Sicherheitsniveau für elektronische Identifizierungsmittel und Vertrauensdienste zu erreichen: Sie legt die Bedingungen fest, unter denen die Mitgliedstaaten elektronische Identifizierungsmittel juristischer Personen anerkennen, die unter ein notifiziertes elektronisches Identifizierungssystem eines anderen Mitgliedstaats fallen, und legt Regeln für Vertrauensdienste, insbesondere für elektronische Transaktionen, fest. Schließlich wird ein Rechtsrahmen für elektronische Signaturen, elektronische Dokumente, elektronische zertifizierte Zustelldienste und Website-Authentifizierungszertifikatsdienste geschaffen.”
Die Idee ist, eine Art europäische Staatsbürgerschaft in der Welt des Webs zu gewährleisten. So sollen Hindernisse für die Ausübung der Rechte der europäischen Bürger beseitigt werden, die Bürger sollen sich mit ihrem elektronischen Ausweis in einem anderen Mitgliedstaat authentifizieren können, und es soll eine gemeinsame Grundlage für eine sichere wirtschaftliche Interaktion zwischen Unternehmen geschaffen werden, die die Effizienz elektronischer Dienste für öffentliche und private Personen verbessert.
Kernpunkte von Eidas
Die wichtigsten Punkte der Eidas-Verordnung sind:
- Festlegung der Bedingungen, unter denen die Mitgliedsstaaten elektronische Identifizierungsmittel von natürlichen und juristischen Personen anerkennen, die von einem notifizierten elektronischen Identifizierungssystem eines anderen Mitgliedsstaates erfasst sind
- Festlegung von Standards für Vertrauensdienste, insbesondere für elektronische Transaktionen
- Schaffung eines Rechtsrahmens für elektronische Signaturen, elektronische Siegel, elektronische Zeitstempel, elektronische Dokumente, elektronische zertifizierte Lieferdienste und Website-Authentifizierungszertifikatsdienste.
Ziel ist es also, einen gemeinsamen Markt für digitale Identität zu schaffen, der Unternehmen, Bürgern und der öffentlichen Verwaltung die Digitalisierung von Prozessen und die Dematerialisierung von Dokumenten und Praktiken erleichtern kann.
Die eIDAS-Verordnung wird etwas technischer und schafft Richtlinien für folgende Zwecke
- Umreißen der Rechte und Pflichten aller Anbieter von Vertrauensdiensten, je nach ihren Eigenschaften
- Vollständige Anerkennung digitaler Signaturen innerhalb des regulatorischen Regimes
- Identifizierung europäischer technischer Standards für digitale Signaturen
- Erleichterung der Identifizierung, Authentifizierung und Autorisierung, wenn ein Benutzer, ein Unternehmen oder eine öffentliche Verwaltung in der Infosphäre operieren möchte
Nachfolgend finden Sie eine kurze Beschreibung der Verordnung bezüglich der Rolle von Trust Service Providern (TSPs). Wir möchten Sie jedoch daran erinnern, dass im Zentrum der Verordnung immer das Konzept der Identität steht. Die Idee der digitalen Signatur ist konzeptionell eine logische Folge der digitalen Identität.
Trust Service Provider (TSP)
Die eIDAS-Verordnung, so wie sie konzipiert ist, basiert auf einer zentralisierten Struktur und benötigt daher vertrauenswürdige Drittparteien, die Vertrauensdienste innerhalb des digitalen Marktplatzes erbringen können. Die Rolle des Vertrauensdiensteanbieters (TSP) besteht genau darin, das Bindeglied zwischen der Verordnung, der digitalen Identität und dem Bürger oder Unternehmen zu sein. Unter den Arten von Vertrauensdiensteanbietern gibt es eine Untergruppe, die als Qualified Trust Service Provider (QTSP) definiert ist und deren Akteure von Zertifizierungsstellen, definiert als CAB, zertifiziert sind. Ein TSP ist erst dann ein QTSP, wenn eine CAB ein Audit durchgeführt hat.
Die Unterscheidung zwischen den Rollen innerhalb des Marktes lässt sich durch die Notwendigkeit erklären, unterschiedliche Stufen der Vertrauenswürdigkeit gegenüber einer digitalen Identität zu haben. Um es deutlicher zu sagen: Die Erstellung einer digitalen Identität kann, zumindest derzeit, in drei verschiedene Stufen der Vertrauenswürdigkeit unterteilt werden: niedrig, signifikant und hoch. Nehmen wir ein Beispiel: Wenn ich online eine Kinokarte kaufen muss, oder wenn ich online einem Fitnessstudio beitreten muss, oder wenn ich online eine Finanztransaktion durchführen muss, muss der Grad der Vertrauenswürdigkeit zwischen der erklärenden Partei und der erklärenden digitalen Identität auf eine ganz andere Weise zertifiziert werden. Deshalb wird ein TSP oder ein QTSP unter bestimmten Umständen zum grundlegenden Vertrauensdienst, wenn man die missbräuchliche Nutzung einer Identität ausschließen will.
Fazit
Ein Haus in Nizza zu kaufen, ohne von Rom aus umzuziehen, ist jetzt dank der eIDAS-Verordnung möglich. Wir haben also verstanden, wie sehr die Rolle der digitalen Identität in das Leben der Bürger eingreift. Und vielleicht noch mehr in der Welt der privaten Unternehmen mit großen Warenbewegungen, großen Import- und Exportsystemen, die sich dank europaweit anerkannter Authentifizierungssysteme problemlos bewegen können.
In diesem ersten Teil haben wir versucht, die wichtigsten Begriffe zur eIDAS-Verordnung zusammenzufassen. Im zweiten Teil werden wir Ihnen sagen, wie diese Verordnung mit der Self-Sovereign Identity zusammenhängt.