Читать книгу Recht im E-Commerce und Internet - Jürgen Taeger - Страница 81
ОглавлениеIII. Rechtslage nach der eIDAS-Verordnung der EU
1. Allgemeines
14
Elektronische Kommunikationswege und elektronischer Geschäftsverkehr bieten große Chancen und Möglichkeiten, Handlungsspielräume zu erweitern und die Effizienz in Produktion, Handel und Dienstleistungen zu steigern.8 Gerade bei elektronischen Transaktionen in Wirtschaft und Verwaltung verhindern Sicherungsmittel wie Signaturen und Zeitstempel Manipulationen, sorgen für die Einhaltung bestimmter Formen bei Willenserklärungen und gewährleisten Beweissicherheit.9
15
Unter Verfolgung des Ziels eines einheitlichen digitalen Binnenmarktes und einheitlicher Rahmenbedingungen für die grenzüberschreitende Nutzung elektronischer Identifizierungsmittel ist deshalb am 17.9.2014 die eIDAS-Verordnung10 der EU in Kraft getreten, welche das bisherige Signaturrecht mit der Signaturrichtlinie und nationalen Umsetzungsgesetzen wie dem SigG und der SigV ablöste.11 Gemäß Art. 52 Abs. 2 eIDAS-Verordnung gilt die Verordnung mit einigen abschließend aufgezählten Ausnahmen seit dem 1.7.2016. Seitdem können demnach in allen EU-Mitgliedstaaten und im Europäischen Wirtschaftsraum (EWR) die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen nach dieser Verordnung angeboten werden.
16
Zu den Regelungen der Verordnung zählen neben Neuregelungen betreffend die elektronische Signatur auch solche betreffend Dienste rund um elektronische Siegel, Zeitstempel, Zustellung elektronischer Einschreiben und Website-Zertifikate. Womit die Verordnung sich allerdings nicht beschäftigt, sind datenschutzrechtliche Regelungen. Dies wurde vielfach kritisiert, weswegen sich in Art. 4 Abs. 1 der Verordnung ein Verweis auf die Datenschutzrichtlinie 95/46/EG findet, die am 25.5.2018 durch die Europäische Datenschutz-Grundverordnung abgelöst wurde.12 Darüber hinaus normiert Art. 4 Abs. 2 eIDAS-Verordnung, dass die Benutzung von Pseudonymen bei elektronischen Transaktionen nicht untersagt werden darf.
2. Anwendungsvorrang
17
Als EU-Verordnung entfaltet die eIDAS-Verordnung gem. Art. 288 Abs. 2 S. 1 AEUV unmittelbare Geltung in den Mitgliedstaaten. Es bedarf für die Geltung keines weiteren Umsetzungsaktes.13
18
Die EU hat allerdings keine Kompetenz, das Recht eines Mitgliedstaates zu verändern oder außer Kraft zu setzen. Soweit sich jedoch die Verordnung und geltendes nationales Recht widersprechen, besteht ein Anwendungsvorrang der Verordnung. Dieser Anwendungsvorrang ist als ungeschriebene Norm des primären Unionsrechts zu verstehen.14 Zur Anpassung an die eIDAS-Verordnung sind deshalb verspätet am 29.7.2017 das SigG und die SigV durch das Vertrauensdienstegesetz (VDG) abgelöst worden, welches die Anforderungen der eIDAS-Verordnung konkretisiert und ergänzt.15
3. Elektronische Identifizierung
19
Im Bereich der elektronischen Identifizierung beseitigt die eIDAS-Verordnung bestehende Hindernisse. So war es zuvor nicht möglich, nationale Identifizierungsmittel auch international zu gebrauchen. Es mangelte sowohl an der Interoperabilität als auch an der Anerkennung von Identifizierungsmitteln anderer Mitgliedstaaten.16
20
Gemäß Art. 6 eIDAS-Verordnung sind Mitgliedstaaten, die für nationale Online-Dienste die Verwendung eines elektronischen Identifizierungssystems verlangen, verpflichtet, solche Identifizierungssysteme anderer Mitgliedstaaten ebenfalls anzuerkennen. Diese Identifizierungssysteme müssen nach Art. 9 Abs. 2 eIDAS-Verordnung allerdings bei der Kommission notifiziert und in einer Liste veröffentlicht worden sein sowie dem Sicherheitsniveau „substanziell“ oder „hoch“ entsprechen. Eine Notifizierung ist nur dann notwendig, wenn das elektronische Identifizierungssystem unionsweit einsetzbar sein soll.17 Dies ist grundsätzlich möglich, wenn die Anforderungen aus Art. 7 eIDAS-Verordnung erfüllt sind.
21
Im Gegensatz zu dem zuvor in Deutschland geltenden Recht zur Regelung elektronischer Signaturen enthält die Verordnung deutlich weniger Regelungen. Die Verordnung sieht allerdings einen delegierten Rechtsakt sowie Ermächtigungen zum Erlass von Durchführungsrechtsakten vor, mit deren Hilfe die dünnen Regelungen durch die EU konkretisiert werden können.18
4. Vertrauensdienste
22
Im Bereich der Vertrauensdienste werden durch die Verordnung in weiten Teilen erstmals Regelungen getroffen. Im Rahmen der Regelungen zu den Vertrauensdiensten wird zwischen „Vertrauensdiensten“ und „qualifizierten Vertrauensdiensten“ unterschieden.
23
Die allgemeinen Vertrauensdienste müssen gemäß Art. 19 Abs. 1 eIDAS-Verordnung durch „geeignete technische und organisatorische Maßnahmen zur Beherrschung der Sicherheitsrisiken“ geschützt sein, die unter „Berücksichtigung des jeweils neuesten Standes der Technik gewährleisten, dass das Sicherheitsniveau der Höhe des Risikos angemessen ist“. Darüber hinaus sind Sicherheitsverletzungen gemäß Art. 19 Abs. 2 eIDAS-Verordnung durch die Vertrauensdiensteanbieter den zuständigen Aufsichtsstellen zu melden.
24
Qualifizierte Vertrauensdienste sind solche, die alle einschlägigen Anforderungen aus Art. 3 Nr. 17 eIDAS-Verordnung erfüllen. Neben den Anforderungen an Vertrauensdienste sind deshalb noch die allgemeinen Anforderungen für qualifizierte Vertrauensdienste aus den Art. 20 bis 24 sowie die spezifischen Anforderungen aus den Art. 25 bis 45 eIDAS-Verordnung zu erfüllen. Darüber hinaus sind die Vorgaben aus den §§ 9 bis 16 VDG für qualifizierte Vertrauensdienste zu beachten.
5. Elektronische Signaturen und elektronisches Siegel
25
Neben der elektronischen Signatur, die weiterhin nur für natürliche Personen ausgestellt wird, enthält die eIDAS-Verordnung Regelungen zu sog. elektronischen Siegeln, die juristischen Personen nun elektronische Signaturen ermöglicht.
26
Die Anforderungen an elektronische Signaturen entsprechen weitgehend den Anforderungen aus Art. 2 Nr. 2 Signatur-Richtlinie und § 2 Nr. 2 SigG. Neu ist lediglich, dass die Signatur dem Unterzeichner nicht mehr ausschließlich, sondern lediglich eindeutig zugeordnet sein muss. Darüber hinaus wird nur noch gefordert, dass der Unterzeichner die Signaturerstellungsdaten mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann, die alleinige Kontrolle ist nicht mehr Voraussetzung.
27
Bisher konnte durch die vertretungsberechtigten natürlichen Personen einer juristischen Person lediglich ein Zertifikat verwendet werden, das auf die juristische Person als Pseudonym lautete.19 Nach der eIDAS-Verordnung können nun Zertifikate auch direkt auf die juristische Person lauten, was in Art. 35 bis 38 der Verordnung geregelt wird.
8 Roßnagel, NJW 2014, 3686. 9 Roßnagel, MMR 2015, 359. 10 Verordnung (EU) Nr. 910/2014 über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, ABl. EU L 257/73. 11 Sosna, CR 2014, 825. 12 Ausführlich zum Datenschutz und zur DSGVO Kap. 8. 13 Siehe zur eIDAS-VO Dorndorf/Schneidereit, CR 2017, 21. 14 BVerfG, Beschl. v. 8.4.1987 – 2 BvR 687/85, BB 1987, 2111. 15 Einen Überblick bietet Söbbing, ITRB 2018, 269; eingehender Roßnagel, MMR 2018, 31. 16 Sosna, CR 2014, 825. 17 Roßnagel, NJW 2014, 3686, 3688. 18 Roßnagel, NJW 2014, 3686, 3687; eine Übersicht der Durchführungsrechtsakte zum elektronischen Identitätsnachweis (sog. eID) findet sich unter https://www.bmi.bund.de/Webs/PA/DE/verwaltung/eIDAS-verordnung-der-EU/verordnung-und-durchfuehrungsakte/verordnung-und-durchfuehrungsakte-node.html. 19 Roßnagel, in: Roßnagel, Recht der Telemediendienste, 2013, § 2 SigG Rn. 58.