eIDAS 2.0 und die Bedeutung der digitalen Identitätsprüfung

Der endgültige Vorschlag für eIDAS 2.0 wurde am 3. Juni 2021 veröffentlicht und zielt darauf ab, verschiedene Unzulänglichkeiten zu beheben und den europäischen Bürgern die Möglichkeit zu geben, eine offiziell anerkannte digitale Identität mit größerer Effizienz zu erhalten.

eIDAS 2.0 bietet mit der Einführung der Europäischen Digitalen Identitätsbörse (EUDI) enorme Möglichkeiten. Damit wird das Konzept der Identität auf physische Dienstleistungen und Transaktionen ausgeweitet, die von jedem Ort der Welt aus zugänglich sind, während der Nutzer die alleinige Kontrolle über seine persönlichen Informationen und Daten hat.

In diesem Artikel befassen wir uns damit, wie die digitale Identitätsprüfung eine Schlüsselrolle spielt.

Zweck und Nutzen von eIDAS 2.0

Die ursprüngliche eIDAS-Verordnung galt nur für elektronische Identifizierungs- und Vertrauensdienste für elektronische Transaktionen und die gegenseitige Anerkennung der sicheren elektronischen Interaktion zwischen Bürgern, Organisationen und Behörden. Ziel war und ist es, die Effektivität öffentlicher und privater Online-Dienste zu erhöhen und die Bedeutung der Sicherheit elektronischer Dienste zu betonen, die elektronische Signaturen, Siegel und Zeitstempel umfassen.

Eine der wichtigsten Änderungen, die eIDAS 2.0 mit sich bringt, ist die Ausweitung des Anwendungsbereichs der Verordnung auf neue Arten von elektronischen Vertrauensdiensten. eIDAS 2.0 erweitert den Anwendungsbereich auf elektronische Einschreibedienste, elektronische Zertifikate zur Authentifizierung und elektronische Siegel für elektronische Dokumente.

Die Entwicklung des Konzepts der „Qualified Trust Service Providers“ (QTSPs) ist eine weitere wichtige Neuerung, die durch die eIDAS 2.0-Verordnung eingeführt wurde. QTSPs spielen eine große Rolle in der aktualisierten Verordnung, da sie dafür verantwortlich sind, dass die genehmigten digitalen Identitäten mit der aktualisierten Verordnung übereinstimmen. In der eIDAS 2.0-Verordnung werden qualifizierte Vertrauensdienste (QTS) und qualifizierte Vertrauensdiensteanbieter (QTSP) näher definiert, um die Einhaltung der hohen Sicherheitsstandards und -verpflichtungen von eIDAS nachzuweisen. Qualifizierte Vertrauensdienste können nur von einem qualifizierten Vertrauensdiensteanbieter, wie GlobalSign, angeboten werden.

QTSPs sind verpflichtet, als spezialisierte Anbieter eine Reihe von Sicherheitsvoraussetzungen zu erfüllen, die sichere elektronische Transaktionen wie elektronische Signaturen, digitale Zertifikate oder Zeitstempel-Dienste gewährleisten. Diese Voraussetzungen umfassen robuste kryptographische Algorithmen, Authentifizierungsmethoden, individuelle Transaktionsprüfpfade und eine sichere Systemarchitektur.

Ein QTSP ist ein Treuhanddienstanbieter, dem ein qualifizierter Status zuerkannt wurde und der von seiner nationalen Aufsichtsstelle (SB) beaufsichtigt wird.

eIDAS 2.0 zielt darauf ab, das Konzept der Identität auf physische Dienstleistungen auszuweiten, die von jedem Ort der Welt aus genutzt werden können. Es wird jedem Europäer ermöglichen, einen Satz digitaler Identitätsnachweise (wie Personalausweise, Reisepässe, Berufszertifikate und Führerscheine) zu besitzen, die in der gesamten EU anerkannt werden – auch bekannt als „European Digital Identity (EUDI) Wallets“. Bei diesen „Wallets“ handelt es sich um mobile Anwendungen oder Cloud-Dienste, die digitale Identitätsnachweise sammeln und speichern, so dass sie privat und sicher für eine Vielzahl von staatlichen und nichtstaatlichen Anwendungen genutzt werden können.

Diese Entwicklung erfordert die Einrichtung eines sicheren, vertrauenswürdigen und effizienten Identifizierungsverfahrens, das den Kunden ein nahtloses Erlebnis beim Kauf, bei der Anmeldung oder bei der Nutzung von Dienstleistungen bietet.

Sichere elektronische Interaktionen zwischen Bürgern, Unternehmen und Behörden

Ziel von eIDAS 2.0 ist es, das in der europäischen Initiative „Path to digital decade“ formulierte Ziel zu erreichen, dass bis 2030 80 % der EU-Bürger einen digitalen Ausweis nutzen können.

Dazu gehört die Möglichkeit, ihre Identität grenzüberschreitend zu authentifizieren, die ausdrückliche Zustimmung zur Weitergabe bestimmter personenbezogener Daten zu erteilen und genau zu wissen, an wen und zu welchem Zweck ihre Daten weitergegeben werden. Mit diesem Rechtsakt wird das Konzept der EUDI-Wallet eingeführt und der Rahmen für die digitale Identität in der EU verändert.

Bisher haben sich die Diskussionen um die Überarbeitung des eIDAS-Rahmens vor allem auf die potenziellen Risiken und Vorteile für Bürger und Verbraucher konzentriert. Damit der neue europäische Rahmen für die digitale Identität jedoch erfolgreich sein kann, ist es von entscheidender Bedeutung, dass bei der Umsetzung auch die besonderen Identifizierungsanforderungen von Unternehmen berücksichtigt werden.

Digitale Identität ist ein weit gefasster Begriff, der verschiedene Identitätslösungen umfasst. Unabhängig von der spezifischen Art der Identitätslösung sind in allen Szenarien stets drei Parteien beteiligt:

• den Emittenten oder Identitätsanbieter,
• der Benutzer (oder Identitätsinhaber),
• die vertrauende Partei (die die vom Emittenten bereitgestellte Identität nutzt).

Der Besitz einer digitalen Identität, z. B. eines digitalen Personalausweises, ermöglicht es dem Einzelnen, seine Identität festzustellen, gibt aber keine Auskunft über seine Qualifikationen oder Zeugnisse. Der Zugang zu digitalen Diensten erfordert jedoch häufig solche Attribute (ein Merkmal, eine Eigenschaft oder eine Qualität einer natürlichen oder juristischen Person oder eines Unternehmens in elektronischer Form). Infolgedessen sind zusätzliche Attribute wie ärztliche Bescheinigungen, berufliche Qualifikationen oder Führerscheine, die mit einer digitalen Identität verknüpft sind und von einem qualifizierten Vertrauensdiensteanbieter überprüft werden, inzwischen zu entscheidenden Komponenten digitaler Identitätssysteme geworden – qualifizierte Vertrauensdienste ermöglichen die Bereitstellung qualifizierter elektronischer Bescheinigungen von Attributen (Anhang V), die mit vertrauenswürdigen Quellen verknüpft und grenzüberschreitend durchsetzbar sind, und unterstützen damit wiederum zahlreiche Anwendungsfälle, die auf der Anforderung beruhen, Identitätsattribute, die mit einer Person verknüpft sind, mit einem hohen Maß an Sicherheit zu überprüfen.

Digitale Identitätsüberprüfung – Wie die gemeinsame Nutzung von Informationen mit ausdrücklicher Zustimmung erfolgt

Einer der wichtigsten Aspekte von eIDAS 2.0 ist, dass der Nutzer die alleinige Kontrolle über alle persönlichen Informationen hat. Die EUDI-Wallet wurde mit dem Ziel entwickelt, Privatpersonen und Unternehmen den Zugang zu Online-Diensten, die Durchführung sicherer Transaktionen und die Navigation bei grenzüberschreitenden Transaktionen und Reisen zu erleichtern. Durch die Speicherung und Verwaltung von elektronischen Identifikations- und Vertrauensdiensten wie elektronischen Signaturen und Zertifikaten an einem zentralen Ort können die Nutzer bei Bedarf bequem auf ihre Daten und Zertifikate zugreifen und diese nutzen.

Die Aufgaben des EUDI Wallet Ecosystems werden im Folgenden beschrieben:

Quelle: Europäische Kommission

Dieser schlanke Ansatz verbessert die Zugänglichkeit für die Nutzer und erleichtert die effiziente Nutzung dieser Dienste.

Datenschutz

Die EUDI Wallet stellt sicher, dass alle über ihre Nutzung gesammelten Informationen streng auf das beschränkt sind, was für die Bereitstellung der Wallet-Dienste erforderlich ist. Personenbezogene Identifikationsdaten oder andere personenbezogene Daten, die mit der Europäischen Digitalen Identitätsbörse verbunden sind, werden nicht mit personenbezogenen Daten zusammengeführt, die von anderen Diensten des Emittenten oder von Diensten Dritter stammen, es sei denn, der Nutzer hat dies ausdrücklich gewünscht. In der EUDI-Wallet werden der „Privacy by Design“ und die selektive Offenlegung von Attributen durchgesetzt, wobei die Privatsphäre der Nutzer und der Datenschutz Vorrang haben.

*Zusätzliche Regeln für die Erbringung von elektronischen Bescheinigungsdiensten für Attribute:

1. Anbieter von qualifizierten und nicht qualifizierten elektronischen Bescheinigungsdiensten für Attribute dürfen personenbezogene Daten im Zusammenhang mit der Erbringung dieser Dienste nicht mit personenbezogenen Daten aus anderen von ihnen angebotenen Diensten kombinieren.
2. Personenbezogene Daten im Zusammenhang mit der Erbringung von Diensten zur elektronischen Bescheinigung von Attributen sind logisch von anderen Daten getrennt zu halten.
3. Personenbezogene Daten, die sich auf die Erbringung qualifizierter elektronischer Bescheinigungsdienste für Attribute beziehen, sind physisch und logisch getrennt von allen anderen Daten aufzubewahren.
4. Die Erbringer qualifizierter elektronischer Bescheinigungsdienste erbringen diese Dienste im Rahmen einer eigenen Rechtspersönlichkeit.

Schlussfolgerung

eIDAS 2.0 legt einheitliche Regeln für die Bereitstellung von elektronischen Identitäts- (eID) und Vertrauensdiensten innerhalb des Binnenmarktes fest. Diese Regeln stellen nicht nur die Erhaltung des Vertrauens in den Vordergrund, sondern betonen auch die Kontrolle der Nutzer über ihre persönlichen Daten. Dies bedeutet einen bedeutenden Fortschritt in Bezug auf den Schutz der Privatsphäre, die Sicherheit und die Autonomie des Nutzers und stellt einen wesentlichen Fortschritt bei der Wahrung der Datenschutzrechte und der Verbesserung der allgemeinen Nutzerkontrolle dar.

Haben Sie Fragen? Kontaktieren Sie unsere Experten. Wir freuen uns auf Sie.

(Quelle: eIDAS 2.0 and The Key Role of Digital Identity Verification (globalsign.com))