Der endgültige Vorschlag für eIDAS 2.0 wurde am 3. Juni 2021 veröffentlicht und hat das Ziel, verschiedene Unzulänglichkeiten zu beheben und den europäischen Bürgern die Möglichkeit zu geben, eine offiziell anerkannte digitale Identität mit größerer Effizienz zu erhalten.
eIDAS 2.0 bietet dazu mit der Einführung der Europäischen Digitalen Identitätsbörse (EUDI) enorme Möglichkeiten. Mit ihr wird das Konzept der Identität auf physische Dienstleistungen und Transaktionen ausgeweitet, die von jedem Ort der Welt aus zugänglich sind, während der Benutzer die alleinige Kontrolle über seine persönlichen Informationen und Daten hat.
In diesem Artikel gehen wir darauf ein, welche Schlüsselrolle die digitale Identitätsüberprüfung spielt.
Der Zweck und Nutzen von eIDAS 2.0
Die ursprüngliche eIDAS-Verordnung galt nur für die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen sowie für die gegenseitige Anerkennung der sicheren elektronischen Interaktion zwischen Bürgern, Organisationen und Behörden. Ziel war und ist es, die Effizienz öffentlicher und privater Online-Dienste zu erhöhen, wobei der Sicherheit elektronischer Dienste mithilfe elektronischer Signaturen, Siegel und Zeitstempel hohe Bedeutung beigemessen wird.
Eine der wichtigsten Änderungen von eIDAS 2.0 ist ihre Ausweitung des Anwendungsbereichs auf neue Arten von elektronischen Vertrauensdiensten. eIDAS 2.0 erweitert diesen Bereich auf elektronische Einschreibedienste, elektronische Zertifikate zur Authentifizierung und elektronische Siegel für elektronische Dokumente.
Die Entwicklung des Konzepts der „qualifizierten Vertrauensdiensteanbieter“ (Qualified Trust Service Providers, QTSPs) ist eine weitere wichtige Neuerung durch die eIDAS-2.0-Verordnung. QTSPs spielen in der aktualisierten Verordnung eine große Rolle, da sie dafür verantwortlich sind, dass die zugelassenen digitalen Identitäten mit der aktualisierten Verordnung übereinstimmen. In der eIDAS-2.0-Verordnung werden die Begriffe „qualifizierter Vertrauensdienst“ (Qualified Trust Service, QTS) und „qualifizierter Vertrauensdienstanbieter“ (Qualified Trust Service Provider, QTSP) näher definiert, um die Einhaltung der hohen Sicherheitsstandards und -verpflichtungen von eIDAS nachweisen zu können. Qualifizierte Vertrauensdienste dürfen nur von einem qualifizierten Vertrauensdiensteanbieter (QTSP) angeboten werden.
QTSPs sind als spezialisierte Anbieter, die sichere elektronische Transaktionen gewährleisten, dazu verpflichtet, verschiedene Sicherheitsvoraussetzungen zu erfüllen, z. B. elektronische Signaturen, digitale Zertifikate oder Zeitstempeldienste. Diese Voraussetzungen umfassen robuste kryptographische Algorithmen, Authentifizierungsmethoden, individuelle Transaktionsprüfpfade sowie eine sichere Systemarchitektur.
Ein QTSP ist ein Vertrauensdiensteanbieter, dem ein qualifizierter Status zuerkannt wurde und der von seiner nationalen Aufsichtsbehörde beaufsichtigt wird.
eIDAS 2.0 will das Konzept der Identität auf physische Dienste ausdehnen, auf die von jedem Ort der Welt aus zugegriffen werden kann. Das soll es jedem Europäer ermöglichen, eine Reihe von digitalen Identitätsnachweisen (wie Personalausweise, Reisepässe, berufliche Zertifikate und Führerscheine) zu besitzen, die in der gesamten EU anerkannt werden – auch bekannt als European Digital Identity (EUDI) Wallets. Bei diesen „Wallets“ – oder „Geldbörsen“ – handelt es sich um mobile Anwendungen oder Cloud-Dienste, die digitale Berechtigungsnachweise sammeln und speichern, damit sie privat und sicher für verschiedenste staatliche und nichtstaatliche Anwendungen genutzt werden können.
Diese Entwicklung macht die Einrichtung eines sicheren, vertrauenswürdigen und effizienten Identifizierungsverfahrens erforderlich, das Kunden eine problemlose Erfahrung beim Kauf, bei der Anmeldung oder bei der Inanspruchnahme von Dienstleistungen bietet.
Sichere elektronische Interaktionen zwischen Bürgern, Unternehmen und Behörden
Ziel von eIDAS 2.0 ist es, das in der europäischen Initiative „Weg in die digitale Dekade“ formulierte Ziel zu erreichen, dass bis 2030 möglichst 80 % der EU-Bürger einen digitalen Ausweis nutzen können.
Dazu gehört die Möglichkeit, ihre Identität grenzüberschreitend zu authentifizieren, die ausdrückliche Zustimmung zur Weitergabe bestimmter personenbezogener Daten zu erteilen und genaue Kenntnisse über die Empfänger und den Zweck der von ihnen geteilten Daten zu erhalten. Mit diesem Rechtsakt wird das Konzept der EUDI-Wallet eingeführt und der Rahmen für die digitale Identität in der EU umgestaltet.
Bisher haben sich die Diskussionen um die Überarbeitung des eIDAS-Rahmens vor allem auf die potenziellen Risiken und Vorteile für Bürger und Verbraucher konzentriert. Damit der neue europäische Rahmen für die digitale Identität Erfolg hat, müssen jedoch bei der Umsetzung auch die besonderen Identifikationsanforderungen von Unternehmen berücksichtigt werden.
Digitale Identität ist ein weit gefasster Begriff, der verschiedene Identitätslösungen umfasst. Unabhängig von der spezifischen Art sind an allen Szenarien aber stets drei Parteien beteiligt:
- den Aussteller oder Identitätsanbieter,
- der Benutzer (oder Identitätsinhaber),
- die vertrauende Stelle (die eine vom Aussteller bereitgestellte Identität nutzt).
Der Besitz einer digitalen Identität, z. B. eines digitalen Personalausweises, ermöglicht es dem Einzelnen, seine Identität nachzuweisen, gibt aber keine Auskunft über seine Qualifikationen oder Zeugnisse. Der Zugang zu digitalen Diensten erfordert jedoch häufig solche Attribute (ein Merkmal, eine Eigenschaft oder eine Qualität einer natürlichen oder juristischen Person oder eines Unternehmens in elektronischer Form). Infolgedessen sind zusätzliche Attribute wie ärztliche Bescheinigungen, berufliche Qualifikationen oder Führerscheine, die mit einer digitalen Identität verknüpft sind und von einem qualifizierten Vertrauensdiensteanbieter überprüft werden, zu entscheidenden Komponenten digitaler Identitätssysteme geworden. Qualifizierte Vertrauensdienste ermöglichen die Bereitstellung qualifizierter elektronischer Bescheinigungen von Attributen (Anhang V), die mit vertrauenswürdigen Quellen verknüpft und grenzüberschreitend durchsetzbar sind. Damit unterstützen sie wiederum zahlreiche Anwendungsfälle, die auf der Anforderung beruhen, mit Personen verknüpfte Identitätsattribute mit einem hohen Sicherheitsniveau zu überprüfen.
Digitale Identitätsüberprüfung – So funktioniert die gemeinsame Nutzung von Informationen mit ausdrücklicher Zustimmung
Einer der Hauptaspekte von eIDAS 2.0 ist, dass der Benutzer die alleinige Kontrolle über alle persönlichen Informationen hat. Die EUDI Wallet wurde mit dem Ziel entwickelt, Privatpersonen und Unternehmen den Zugang zu Online-Diensten zu erleichtern, sichere Transaktionen durchzuführen und grenzüberschreitende Dienste und Reisen zu ermöglichen. Durch die zentrale Speicherung und Verwaltung von elektronischen Identifizierungs- und Vertrauensdiensten, wie elektronischen Signaturen und Zertifikaten, können Benutzer bei Bedarf bequem auf ihre Daten und Zertifikate zugreifen und diese nutzen.
Die Aufgaben des EUDI Wallet Ecosystems werden nachfolgend beschrieben:
Quelle: European Commission
Dieser rationelle Ansatz verbessert die Zugänglichkeit für die Benutzer und erleichtert die effiziente Nutzung dieser Dienste.
Datenschutz
Die EUDI Wallet stellt sicher, dass alle durch ihre Nutzung gesammelten Informationen streng auf das beschränkt werden, was für die Bereitstellung der Wallet-Dienste erforderlich ist. Es werden also keine persönlichen Identifikationsdaten oder andere persönliche Daten, die mit der Europäischen Digitalen Identitätsbörse verbunden sind, mit persönlichen Daten zusammengeführt, die aus anderen vom Emittenten angebotenen Diensten oder aus Diensten Dritter stammen, es sei denn, der Benutzer hat dies ausdrücklich gewünscht. In der EUDI Wallet werden der Datenschutz und die selektive Offenlegung von Attributen durchgesetzt, wobei die Privatsphäre der Benutzer und der Datenschutz im Vordergrund stehen.
*Zusätzliche Regeln für die Erbringung von elektronischen Bescheinigungsdiensten für Attribute:
- Anbieter von qualifizierten und nicht qualifizierten elektronischen Bescheinigungsdiensten für Attribute dürfen personenbezogene Daten im Zusammenhang mit der Erbringung dieser Dienste nicht mit personenbezogenen Daten aus anderen von ihnen angebotenen Diensten kombinieren.
- Personenbezogene Daten im Zusammenhang mit der Erbringung von Diensten zur elektronischen Bescheinigung von Attributen müssen logisch von anderen Daten getrennt gehalten werden.
- Personenbezogene Daten im Zusammenhang mit der Erbringung von Diensten zur qualifizierten elektronischen Bescheinigung von Attributen müssen physisch und logisch von sämtlichen anderen Daten getrennt gehalten werden.
- Die Anbieter qualifizierter elektronischer Bescheinigungsdienste erbringen diese Dienste im Rahmen einer eigenen juristischen Person.
(*Article 45f)
Fazit
eIDAS 2.0 legt standardisierte Regelungen für die Bereitstellung von elektronischen Identitäts- (eID) und Vertrauensdiensten innerhalb des Binnenmarktes fest. Diese Regeln stellen nicht nur die Erhaltung des Vertrauens in den Vordergrund, sondern sie betonen auch die Kontrolle der Benutzer über ihre persönlichen Daten. Dies stellt einen bedeutenden Fortschritt in Bezug auf den Schutz der Privatsphäre, die Sicherheit und die Autonomie des Benutzers dar. Zudem ist es ein wesentlicher Fortschritt bei der Wahrung der Datenschutzrechte und der Verbesserung der allgemeinen Kontrolle durch die Benutzer.
Um mehr über anstehende eIDAS 2.0-Innovationen zu erfahren und darüber, wie die Digitalisierung die Annahme elektronischer Signaturdienste sowohl in der EU als auch in Großbritannien vorantreibt, lesen Sie GlobalSigns eBook.
Lösungen, die der eIDAS-Verordnung entsprechen
Hier bei GlobalSign wissen wir, wie wichtig es ist, mit den aktuellen Verordnungen, einschließlich eIDAS, auf dem Laufenden zu bleiben. Es gibt zahlreiche Möglichkeiten, wie wir Organisationen bei der Einhaltung der eIDAS-Verordnung unterstützen können, darunter Authentifizierung, Zeitstempel, qualifizierte Signaturen und Siegel. Kontaktieren Sie noch heute unser Team.
