EU will eID-Anwendungen in Europa vereinheitlichen

Die Europäische Kommission hat den Entwurf einer Verordnung (PDF-Datei) über die elektronische Identifikation vorgestellt. Die Neufassung soll die Signatur-Richtlinie der EU (PDF-Datei) aus dem Jahr 1999 ablösen und die Nutzung von eID-Systemen vereinfachen, wie sie in verschiedenen europäischen Länden mit unterschiedlichen Smartcards (z.B. Personalausweisen oder Krankenversicherungskarten) angeboten werden.

Europa lebt digital, doch zwischenstaatlich gibt es zahlreiche Hindernisse: Eine belgische Studentin möchte sich an einer italienischen Universität immatrikulieren, eine kleine ungarische Firma will sich an einer portugiesischen Ausschreibung beteiligen, ein Franzose will in Litauen ein elektronisches Dokument unterschreiben – solche Beispiele, mit denen die Kommission ihr Vorhaben illustriert, sind noch Zukunftsmusik, weil es kein einheitliches Rahmenwerk für die elektronische Identifikation gibt. Das soll sich mit der neuen Verordnung ändern.

Im Kommentar (PDF-Datei) zur neuen Verordnung heißt es: "Ein Rechtsrahmen besteht auf EU-Ebene nur für elektronische Signaturen, jedoch weder für die elektronische Identifizierung und Authentifizierung, noch für einschlägige Vertrauensdienste." An die Stelle der Signatur-Richtlinie soll mit der Verordnung nun eine Rechtsvorschrift treten, die folgende Dienste abdeckt: "elektronische Zeitstempel, elektronische Siegel, Langzeitbewahrung von Informationen, bescheinigte elektronische Dokumentenzustellung, Zulässigkeit elektronischer Dokumente und eine Authentifizierung-Möglichkeit für Websites."

Unterschiedliche nationale eiD-Systeme, wie es sie etwa in Belgien und Spanien gibt, sollen nahtlos mit der eID-Funktion des neuen Personalausweises arbeiten können, auch Gesundheitsinformationen sollen grenzüberschreitend über entsprechende Karten ausgetauscht werden können. Das praktische Vorbild für das ehrgeizige Vorhaben liefert das 2008 gestartete STORK-Projekt von untereinander vernetzten Zertifizierungs-Proxys unter technischer Oberaufsicht der europäischen Sicherheitsbehörde ENISA. Ein weiteres Projekt, dass in den Papieren als Vorbild erwähnt wird, ist das epSOS-Projekt der europäischen Krankenkassen, die netzübergreifend Versicherteninformationen austauschen wollen. ENISA ist im Vorschlag zur neuen EU-Verordnung denn auch die aufsichtsführende Behörde, die die nationalen staatlichen wie privaten Zertifizierungsdiensteanbieter überwachen und die Interoperabilität gewährleisten soll.

Seitens der Bundesregierung liegen noch keine Stellungnahmen zur vorgeschlagenen EU-Verordnung vor. Sicher ist jedoch, dass diese Verordnung vor allem der eID-Funktion des deutschen Personalausweises sehr entgegenkommt und diese Smartcard in vieler Hinsicht aufwertet. Gleichzeitig wendet sich die EU-Verordnung gegen das deutsche eGovernment-Gesetz, das unter Berufung auf §3a des Verwaltungsverfahrensgesetzes die qualifizierte elektronische Signatur voraussetzt, für die es europaweit kein direktes Äquivalent gibt, weil andere Staaten mit der fortgeschrittenen Signatur nach der elektronischen Signaturrichtlinie arbeiten.

In diesem Rahmen ist auch die Formulierung "bescheinigte elektronische Dokumentenzustellung und E-Mail" im Verordnungsvorschlag bemerkenswert, mit der nach Vorstellung der EU-Kommission eine ganze Reihe von Maildiensten das anbieten können, was in Deutschland als De-Mail als nationale Lösung existiert. Im englischen Erläuterungstext zu diesem Punkt wird der derzeitige Missstand benannt: "Im Moment endet die rechtliche Wirkung einer registrierten E-Mail an der Grenze des Mitgliedsstaates, aus dem die Nachricht versendet wird, es sei denn der Mitgliedsstaat des Adressaten erkennt die Registrierung der Mail-Adresse an." Hier will die EU-Verordnung einen europaweiten Wettbewerb und eine Interoperabilität der e-Mail-Anbieter mit den per eID ausweislich registrierten Nutzern anstreben. (vbr)