Sprache:
Europaflagge

eIDAS 2.0: alle Änderungen im Überblick

Veröffentlicht am 18.12.2023

Die Europäische Union startete 2014 unter einem sperrigen Titel in einen neuen Abschnitt ihrer digitalen Zukunft: Die „Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“ sollte Vertrauen in digitale Geschäfts- und Verwaltungsprozesse bringen. Dafür machte die eIDAS-VO – so die Kurzform – Vorgaben zur sicheren Identifizierung und Authentifizierung im Internet. Zudem definierte sie einen europaweit gültigen Rahmen für Vertrauensdienste, die analoge Verfahren wie die Unterschrift oder das Siegeln digitalisieren, um einen europäischen digitalen Vertrauensraum entstehen zu lassen.

Warum eIDAS 2.0?

Am Ziel der Verordnung hat sich bis heute nichts geändert. Jedoch haben sich sowohl die digitalen Gewohnheiten von Bürgern und Bürgerinnen als auch das Angebot von Online-Diensten stark gewandelt. Und auch die Umsetzung der eIDAS-Verordnung blieb teilweise hinter den Erwartungen zurück, wie die Europäische Kommission nach einer Evaluierung im Jahr 2020 feststellte. So hatten unter anderem zu wenige Mitgliedsstaaten eine eID eingeführt – einen elektronischen Identitätsnachweis, mit dem sich Bürger, Bürgerinnen und juristische Personen für Online-Dienste identifizieren können.

Ebenfalls monierte der Bericht, dass der eIDAS-Werkzeugkasten nicht ausreichend auf die Bedarfe spezieller Sektoren einging. Die Europäische Kommission sah sich deshalb im Jahr 2021 dazu veranlasst, mit eIDAS 2.0 eine Novellierung der Verordnung auf den Weg zu bringen – und in diesem Rahmen die Mitgliedsstaaten zu verpflichten, ihren Bürgern und Bürgerinnen Zugang zu einer europaweit anerkannten digitalen Identität im Rahmen einer digitalen Brieftasche („Wallet“) bereitzustellen. Das Vorhaben soll alltägliche Vorgänge in der EU deutlich erleichtern.

Ziele und Inhalte der eIDAS 2.0

Am 8. November 2023 einigten sich die Kommission, das EU-Parlament und der Rat der Europäischen Union im Trilog auf eine überarbeitete Verordnung. eIDAS 2.0 beziehungsweise das European Digital Identity Framework – so der offizielle Name der Verordnung – soll die Unzulänglichkeiten des „Originals“ beheben und zugleich den europäischen Vertrauensraum vertiefen, ohne die Souveränität der Mitgliedsstaaten zu untergraben.

Zentrales Vorhaben dabei:

  • Alle Mitgliedsstaaten müssen ihren Bürgern und Bürgerinnen sowie juristischen Personen eID-Wallets bereitstellen und diese untereinander anerkennen.
  • Mit der sogenannten European Digital Identity Wallet (EUDIW) sollen sich Bürger und Bürgerinnen zukünftig online für privatwirtschaftliche sowie Verwaltungsdienstleistungen authentifizieren können.
  • Ebenfalls sollen andere digitale Berechtigungsnachweise, beispielsweise Führerscheine oder Ausbildungszeugnisse, in der Wallet gespeichert und bei Bedarf geteilt werden können.

Damit Wallets und digitale Identitäten europaweit eingesetzt und anerkannt werden können, macht die Novellierung Vorgaben zu Interoperabilität, Datenschutz und Sicherheit der Wallets sowie zur Verifizierung digitaler Attribute. Die konkreten Anforderungen an die Wallets werden von den europäischen Standardisierungs- und Normierungsgremien ausgearbeitet.
 

eIDAS 2.0: Lösungen im Werkzeugkasten

Neben neuen Vertrauensdiensten bringt eIDAS 2.0 auch neue Regelungen zur Nutzung bereits bestehender Vertrauensdienste. So sollen etwa Betreiber von Webbrowsern wie Chrome, Edge oder Firefox, künftig dazu verpflichtet werden, qualifizierte Zertifikate für die Website-Authentifizierung anzuerkennen. Diese auch QWACs genannten Zertifikate werden den Nutzenden dann nach den hohen Maßstäben der EU anzeigen, ob hinter der von ihnen aufgerufenen Website auch wirklich jenes Unternehmen steht, das im Browser angezeigt wird. So wird der Daten- und Verbraucherschutz gestärkt, indem etwa Phishing-Attacken verhindert werden.

Neue Vertrauensdienste - digitale Berechtigungsnachweise

Neu in der Palette der Vertrauensdienste sind unter anderem Dienste zur elektronischen Archivierung und zur Verwaltung elektronischer Fernsignatur- und Siegelerstellungseinheiten.

Hinzu kommt die sogenannte qualifizierte Attestierung elektronischer Attribute (QEAA). Die QEAAs spielen eine besondere Rolle im eIDAS-2.0-Werkzeugkasten: Schließlich erkannte bereits der Evaluierungsbericht der Kommission, dass eIDAS in vielen Lebensbereichen, beispielsweise in der Bildung, im Bankwesen oder in der Reisebranche, zu kurz griff.

Warum? Weil eine Person bei der Online-Identifizierung in jenen Sektoren eigentlich nicht nur nachweisen müsste, wer sondern auch was sie ist. Anders ausgedrückt: Wer sich bei einer Universität für einen Studienplatz bewirbt, sollte neben Namen, Alter und Geburtsdatum vor allem die allgemeine Hochschulreife belegen können. Im Falle der Anmietung eines Autos benötigt der Verleiher nicht zuletzt auch den Beleg einer Fahrerlaubnis.

Und hier kommen die QEAAs ins Spiel: Bei diesen Attributen prüft und validiert ein qualifizierter Vertrauensdiensteanbieter entsprechende Daten – zum Beispiel zu Berufsqualifikationen, Bildungsabschlüssen, behördlichen Genehmigungen oder Lizenzen, die dann an die EUDI-Wallet ausgegeben werden können. QEAAs stellen damit im Grunde die notwendige Voraussetzung für eine funktionierende Wallet dar. Erst durch sie lassen sich aus ihr heraus Nachweise und Erlaubnisse – vom Schulzeugnis über die Heiratsurkunde bis hin zum Führerschein – schnell und komfortabel digital belegen.

Die EUDI-Wallet: mit eIDAS 2.0 digital ausweisen

Inhaber und Inhaberinnen einer EUDI-Wallet sollen ihre digitalen Nachweise bequem über das Smartphone verwalten können und stets dann parat haben, wenn privatwirtschaftliche Diensteanbieter, Behörden oder Bildungseinrichtungen sie benötigen. Die EUDI-Wallet nimmt außerdem eine zentrale Rolle bei laufenden oder geplanten europäischen Vorhaben zur elektronischen Identifikation ein. So ist etwa denkbar, dass Patienten und Patientinnen in Deutschland von hier aus auf ihre elektronische Patientenakte zugreifen können oder Ärzte und Ärztinnen auf ihren elektronischen Heilberufsausweis, um sich zum Beispiel im geplanten Europäischen Gesundheitsdatenraum (EDHS) als Angehörige ihrer Berufsgruppe zu authentifizieren.

Funktionieren könnte das geplante Ökosystem um die Wallet folgendermaßen: Sämtliche Identitätsnachweise auf dem Smartphone werden von qualifizierten Vertrauensdiensteanbietern oder berechtigten staatlichen Quellen wie dem Einwohnermeldeamt oder der Kfz-Behörde geprüft und elektronisch signiert. Gespeichert werden sie auf dem Smartphone des Inhabers oder der Inhaberin der Wallet. Diese Person muss dann der Weitergabe an die Relying Parties, das sind die Endnutzer, beispielsweise Banken, Mietwagenverleiher oder bestimmte Behörden, zustimmen. Die Relying Party, die die Daten benötigt, kann anschließend über eine EU Trusted List, das sind Vertrauenslisten der EU, überprüfen, ob sie auch wirklich von der ausstellenden Instanz verifiziert wurden. Der Aussteller selbst bekommt davon hingegen nichts mit – ganz im Sinne der Privatsphäre des Inhabers oder der Inhaberin.
 

Wie eIDAS 2.0 Sicherheit und Datenschutz gewährleistet

Die eIDAS 2.0 und die EUDI-Wallet als ihr Kernelement sind fest in der Datenschutzgrundverordnung (DSGVO) sowie im Europäischen Rechtsakt zur Cybersicherheit (Cyber Security Act) verankert. Damit eine Wallet in einem Mitgliedsstaat als Identifizierungsmittel anerkannt ist, muss sie zwingend zertifiziert und nach dem höchsten Vertrauensniveau „hoch“ gemäß eIDAS notifiziert sein. Dass ausschließlich qualifizierte Vertrauensdiensteanbieter die für die Brieftaschen unverzichtbaren QEAAs bereitstellen können, ist ein weiterer Baustein in der Sicherheitsarchitektur rund um die EUDI.

Zum zentralen Bestandteil der Wallet auf dem Smartphone macht die eIDAS-2.0-Verordnung zudem die staatliche digitale Identität. In Deutschland ist das die eID, die Online-Ausweisfunktion, die Personenidentifizierungsdaten auf hohem Vertrauensniveau für die digitale Brieftasche bereitstellen wird. Wie das BMI in einem Diskussionspapier mitteilt, können diese Daten auch nicht abgeleitet werden. Sie werden wahlweise in der Chipkarte des Personalausweises, dem Secure Element auf dem Telefon oder dort auch in der fest verbauten eSIM-Karte verbleiben.

Bei der EUDI-Wallet sollen also wie bei der Smart-eID alle personenbezogenen Daten in einer sicheren Umgebung auf dem Smartphone liegen – und zwar nur dort. Das bedeutet auch, dass die Bürger und Bürgerinnen jede Datenübermittlung aus der Wallet ausdrücklich selbst freigeben. Zudem müssen sich die Relying Parties, die die Wallet zur Identifikation zulassen, für ein differenziertes Zugriffssystem registrieren. Im Fall eines Missbrauchs werden Nutzende sich direkt über die Wallet bei der Datenschutzaufsicht melden können.

Die Nutzung der EUDI-Wallet ist außerdem datensparsamer als die eines analogen Pendants. So würde beispielsweise bei einer Alterskontrolle mit der Wallet nur übermittelt, dass die relevante Person das gefragte Alter überschritten hat. Weiterführende Informationen wie das vollständige Geburtsdatum oder die Adresse, die heute beispielsweise beim Vorzeigen des Personalausweises sichtbar sind, würden nicht mitgeteilt werden.

Die eIDAS 2.0 und ihr Zeitplan

Bleibt die Frage, wann derartige Verfahren in Europas Behörden, Hotels oder Banken Realität werden. Die sogenannten Trilogverhandlungen zu eIDAS 2.0 zwischen der Europäischen Kommission, dem Rat der Europäischen Union sowie dem Europäischen Parlament sind abgeschlossen. Im nächsten Schritt steht noch die offizielle Annahme durch EU-Rat und Parlament an. Der federführende ITRE-Ausschuss hat bereits am 7. Dezember zugestimmt, das Plenum soll im Februar 2024 folgen. Dann wird die eIDAS 2.0 im Amtsblatt der EU veröffentlicht. 20 Tage danach tritt die Verordnung in Kraft – und gilt unmittelbar in allen Mitgliedsstaaten. Allerdings haben die Mitgliedsstaaten dann noch mehr als zwei Jahre Zeit, bis sie die digitale Brieftasche tatsächlich anbieten müssen. 

Der aktuelle eIDAS-2.0-Zeitplan

Der aktuelle eIDAS-2.0-Zeitplan
Zeitpunkte Meilensteine
8. November 2023 Abschluss der Trilogverhandlungen zwischen EU-Kommission, Rat der EU und EU-Parlament
7. Dezember 2023 Annahme der Einigung des federführenden Ausschusses für Industrie, Forschung und Energie (ITRE) des Europaparlaments
Voraussichtlich Februar 2024 Abstimmung im Plenum des EU-Parlaments und im Rat der Europäischen Union 
Voraussichtlich Ende März 2024 Unterschrift und Veröffentlichung im Amtsblatt der EU
Mitte April 2024 Inkrafttreten der eIDAS-2.0-Verordnung
Circa Oktober 2026 Ablauf der Frist zur Bereitstellung einer Wallet durch die Mitgliedsstaaten

Umsetzung der eIDAS-2.0-Verordnung

Die notwendigen Regelungen zur technischen Umsetzung der Verordnung muss die EU-Kommission innerhalb von sechs bis zwölf Monaten im Rahmen sogenannter Durchführungsrechtsakte (insgesamt sind es ca. 50) erlassen. Nach deren Veröffentlichung haben die Mitgliedsstaaten zwei Jahre Zeit, eine Wallet für ihre Bürger und Bürgerinnen anzubieten. 

eIDAS 2.0: Zukunft der elektronischen Identifizierung in Europa

Mit der eIDAS 2.0 setzt die EU einen Meilenstein der sicheren, selbstbestimmten Identifizierung im digitalen Raum, von dem der gesamte europäische Binnenmarkt profitieren kann. Das Zusammenspiel von qualifizierter elektronischer Attestierung von Attributen (QEAA) und EUDI-Wallet wird nicht nur dafür sorgen, dass Nachweise jeder Art digital zur Verfügung stehen. Sie  dürfte natürliche und juristische Personen auch von deutlich mehr digitalen Dienstleistungen profitieren lassen – in der öffentlichen Verwaltung, im Bildungs- und Bankwesen oder in der Reisewirtschaft. 
Gerade in diesen Bereichen erfordert eine umfassende Identifizierung die Einreichung von Attributen und Nachweisen. Stünden sie in einer Wallet mit wenigen Klicks zur Verfügung, ließen sich viele Prozesse, die früher Zusatzaufwand vor Ort bedeuteten, komplett digital abwickeln. Damit einher ginge eine enorme Beschleunigung von Verwaltungs- und Geschäftsprozessen. Keine Frage: eIDAS 2.0 verspricht viele Vorteile. Umso wichtiger erscheint nun eine schnelle und umfassende Umsetzung.

Ärzte Frau und Mann im Meeting sitzend am Tisch in Klinik
Artikel
Anreize für sichere Daten in Krankenhäusern

Die Bundesregierung stellt Milliarden für die Digitalisierung deutscher Krankenhäuser bereit. Doch die Förderung ist an Bedingungen geknüpft: Wer Geld will, muss in die IT-Sicherheit investieren. 

Frau Mann mit Tablet am Tisch zu Hause
Artikel
Drei Thesen zur geplanten eIDAS-Novelle

Die Europäische Kommission präsentiert mit ihrem Vorschlag zur Novellierung der eIDAS-Verordnung ein ehrgeiziges und zukunftsorientiertes Programm. Eine europäische ID-Wallet und eine Stärkung von Vertrauensdiensten könnten der EU einen echten Digitalisierungsschub verleihen. 

Mann Smartphone steht Büro
Artikel
Gesichtserkennung - was muss sie leisten?

Was muss Gesichtserkennung heute leisten, um Akzeptanz zu finden? Um diese Frage und die Themen Nutzerkomfort, Sicherheit und Datenschutz geht es im ersten Teil unserer Miniserie zur Gesichtserkennung.

Frau mit Smartphone steht draussen
Artikel
Bedrohungsszenarien bei Gesichtserkennungssystemen

Lesen Sie, welche Bedrohungen es bei der biometrischen Gesichtserkennung gibt und warum moderne, leistungsfähige Systeme die meisten Angriffsszenarien erkennen.