EU-Parlament verabschiedet einheitliche Vorgaben zur E-Identifikation
Mit großer Mehrheit haben die EU-Abgeordneten einen Verordnungsentwurf über die elektronische Identifizierung und "Vertrauensdienste" im Binnenmarkt abgesegnet. Pseudonyme sollen unterstützt werden.
Das EU-Parlament hat am Donnerstag mit 534 zu 73 Stimmen bei 7 Enthaltungen eine Initiative der EU-Kommission mit einigen Änderungen befürwortet, mit der die Nutzung elektronischer Signaturen und vergleichbarer Identifikationssysteme vereinfacht und harmonisiert werden soll. Die Abgeordneten möchten so Firmen, Behörden und Bürger in die Lage versetzen, Dokumente in der gesamten EU elektronisch zu unterzeichnen und zu zertifizieren. Die Mitgliedsstaaten sollen verpflichtet werden, Systeme zur elektronischen Identifizierung (eID) anderer EU-Länder offiziell anzuerkennen.
(Bild: dpa, dpa)
In Europa gibt es bereits einige unterschiedliche eID-Verfahren. In Deutschland ist ein solches etwa mit dem De-Mail-Dienst verknüpft und auf dem neuen Personalausweis integriert. Letzteres erlaubt die gezielte Übermittlung erforderlicher Identitätsdaten übers Internet an den Diensteanbieter nach vorheriger Zustimmung des Betroffenen. Nutzer können sich bei einem Provider dabei auch unter Pseudonym identifizieren, was die europäischen Volksvertreter mit ihren Ergänzungen übernommen haben.
Zertifizierung durch die EU-Kommission
Künftig sollen Mitgliedsstaaten solche Systeme bei der EU-Kommission anmelden, überprüfen und gegebenenfalls als "sicher" einstufen lassen. Zertifizierte Ansätze gelten dann als qualifiziert für die vertrauenswürdige Kommunikation mit öffentlichen Akteuren in anderen Mitgliedsstaaten. Bei der Authentifizierung für einen Online-Dienst sollen nun nur solche Identifizierungsdaten verarbeitet werden, die dem Zweck der Zugangsgewährung entsprechen, dafür "erheblich sind" und nicht darüber hinausgehen. Ferner müssen "Vertrauensdiensteanbieter" die in der allgemeinen Datenschutz-Richtlinie festgelegten Anforderungen an die Vertraulichkeit und Sicherheit der Informationsverarbeitung einhalten.
Die Pflicht zur Anerkennung elektronischer Identifizierungsmittel gilt nur für Verfahren, deren Identitätssicherungsniveau dem für den betreffenden Online-Dienst erforderlichen Grad entspricht oder höher ist. Außerdem soll die Anforderung nur dann greifen, wenn die betreffende Stelle des öffentlichen Sektors für den Zugang zu diesem Online-Dienst das Sicherheitsniveau "substanziell" oder "hoch" verwendet. Den Mitgliedstaaten wollen die Abgeordneten aber auch die Möglichkeit einräumen, eID-Verfahren mit niedrigerem Sicherheitsniveau anzuerkennen.
Angebote aus Drittländern können anerkannt werden
Der Gesetzesentwurf bezieht sich auf elektronische Zeitstempel und Siegel, die Langzeitaufbewahrung von Informationen und die bescheinigte elektronische Dokumentenzustellung. Eingeschlossen sind auch Verfahren zur Authentifizierung von Webseiten, was der europäische Internetverwalter RIPE kritisiert hatte. Die Volksvertreter fordern bei den Mindestanforderungen an Sicherheit und Haftung schärfere Auflagen. Angebote eines Dienstleisters aus einem Drittland sollen nur dann als qualifiziert im Sinne der Verordnung anerkannt werden können, wenn es eine internationale Vereinbarung zwischen der EU und dem Staat gibt.
Die Regeln sollen mit einigen Ausnahmen von Anfang Juli 2016 an gelten. Mitgliedsstaaten können sich dem geplanten System zur gegenseitigen Anerkennung schon ein Jahr zuvor anschließen, als spätester Zeitpunkt dafür gilt der 1. Juli 2018. Mit dem EU-Rat ist der Entwurf bereits abgesprochen, das Ministergremium muss ihn bei einer Plenarsitzung nur noch offiziell bestätigen. Die bestehende Signatur-Richtlinie von 1999 ist im Anschluss Geschichte. (mho)
