Viele Bürgerinnen und Bürger schätzen die Wallet auf ihrem Smartphone, vor allem auf Reisen und beim Bezahlen. Was dürfen sie von der neuen, auf eIDAS-basierenden Wallet für den gesamten EU-Raum erwarten?
Elektronische Identifizierung und Vertrauensdienste begegnen uns oft unbemerkt beinahe täglich im Alltag. Sie alle unterliegen der eIDAS-Verordnung. Clemens Wanko leitet die akkreditierte Konformitätsbewertungsstelle sowie ein hochqualifiziertes Expertenteam bei der TÜV TRUST IT, welches seine jahrelange Erfahrung in diesem durchaus komplexen Themenbereich gerne mit seinen Kunden teilt. Mit uns spricht Clemens Wanko über seinen Job sowie aktuelle und spannende Entwicklungen rund um das Thema eIDAS.
Herr Wanko, womit befasst sich die eIDAS-Verordnung? Bitte geben Sie uns einen kurzen Überblick.
Gerne, die eIDAS-Verordnung ist europaweit die rechtliche Grundlage für elektronische Identifizierung (eID) und Vertrauensdienste. Gültig seit 2014 wurde sie aufgrund einer zweijährigen Übergangsfrist im Jahr 2016 schließlich wirksam. Die Verordnung regelt elektronische Identifizierungsmöglichkeiten für EU-Bürger und Tools aus der elektronischen Infrastruktur, die für rechtsverbindlichen elektronischen Geschäftsverkehr notwendig sind. Die Vertrauensdienste schließen also die Lücke zwischen der Technik auf der einen Seite und EU-weiter rechtsverbindlicher Kommunikation auf der anderen Seite.
Ende 2023 soll nun die Novelle, eIDAS 2, in Kraft treten. Was kommt damit auf die EU-Bürger zu?
Ich würde die Frage etwas anders formulieren: Was dürfen die EU-Bürger erwarten? Denn da steht uns eine wirklich tolle Sache bevor: die Europäische Digital Identity Wallet (EUDIW). Diese wird mit eIDAS 2 durch die EU-Kommission geregelt und stellt in Sachen elektronischer Identifizierung und Kommunikation für EU-Bürger einen großen Sprung nach vorn dar.
Die EUDIW wird unmittelbar mit der Identität des Bürgers verknüpft sein und auf modernen Smartphones die Möglichkeit der Speicherung und rechtssicheren Nutzung von wichtigen Ausweisen und Unterlagen bieten. Das werden zunächst Ausweisdokumente, wie der Personalausweis oder der Führerschein sein. Im nächsten Schritt aber auch Zeugnisse aus Uni und Schule, Diplome oder sogar Tickets für den ÖPNV, Kino und Ähnliches. Der EU-Kommission war dabei besonders wichtig, dass alle Funktionen der Wallet selbstverständlich vollständig datenschutzkonform und für den Nutzer nachvollziehbar und transparent umgesetzt werden.
Die EU-Wallet funktioniert also ähnlich wie wir es heute schon von der Google oder Apple Wallet kennen?
Richtig – sie hat jedoch einen entscheidenden Vorteil! Denn im Unterschied zu diesen Wallets werden die Inhalte der EUDIW rechtsverbindlich vorzeigbar sein. Jeder EU-Bürger bekommt so die Möglichkeit, sich digital auszuweisen, offizielle Dokumente und Informationen vertraulich elektronisch vorzuhalten. Das gibt es bislang in dieser Form nicht. Es ist ein großer Schritt in Richtung europäischer Digitalisierung und wird eine Vielzahl an Möglichkeiten bieten, von der Eröffnung eines Bankkontos über die Bewerbung an einer Universität bis zum einfachen Altersnachweis.
Auch Unterlagen für Versicherungen, Behörden oder den Arbeitgeber müssen nicht mehr aufwändig postalisch verschickt oder an eine E-Mail angehängt werden, sondern können einfach, schnell und sicher digital geteilt werden. Als Basisfunktion und feste Verknüpfung mit der EUDIW wird es dann auch möglich sein, Verträge und andere Dokumente zu signieren. Einfach und schnell digital unterschreiben, anstatt auszudrucken, manuell zu signieren und wieder einzuscannen. So funktioniert Digitalisierung bereits heute in vielen EU-Ländern. Künftig gibt es das für alle.
Und wie werden Dokumente in der Wallet abgelegt?
Das funktioniert über die Verknüpfung mit einem Vertrauensdienst, beispielsweise einer Bildungseinrichtung, welche die Zeugnisse oder Diplome gleich elektronisch für die Wallet bereitstellt. Um das tun zu können, werden die Organisationen selbst Vertrauensdienstanbieter oder nutzen einen entsprechenden Dienstleister. Bei Fragen hierzu unterstützen wir als TÜV TRUST IT die entsprechenden Stellen gerne.
Wie sieht diese Unterstützung in der Praxis aus?
Zum einen bieten wir Unternehmen und Organisationen, die in dem Bereich tätig werden möchten, Unterstützung in Form von Vor-Audits an. Die Details besprechen wir mit unseren Kunden in einem persönlichen, individuellen Termin. Oft sind die Sachverhalte hier sehr komplex, so dass die Umsetzung ohne Erfahrungshintergrund nur schwer machbar ist. Da ergibt es durchaus Sinn, unsere eIDAS-Experten ins Projekt zu holen, die wissen, wo die Fallstricke liegen und worauf man achten sollte.
Solche Unterstützungsleistungen übernimmt unser Fachbereich TRUST Infrastructure in Köln sehr gerne. Dabei orientiert man sich stets individuell an den Ideen auf Kundenseite und unterstützt die Ausarbeitung von Lösungswegen durch regelmäßige Treffen im Laufe des Projektes. Auf diese Weise erhöhen die Unternehmen ihre Chance einer erfolgreichen Zulassung im ersten Wurf deutlich. Zulassungsverfahren können jederzeit durch unsere für eIDAS-Prüfungen akkreditierte Konformitätsbewertungsstelle im Mutterkonzern TÜV AUSTRIA in Wien durchgeführt werden.
Künftig unterliegen Vertrauensdienste, ganz gleich, ob qualifiziert oder nicht, auch der EU-Richtlinie NIS2. Was bedeutet das konkret und wie können Sie Ihre Kunden auf dem Gebiet unterstützen?
Genau, NIS2 muss in nationales Recht überführt werden. In Deutschland sind das in diesem Fall die Regelungen um KRITIS, in die Vertrauensdienstanbieter nun künftig mit einbezogen werden. In anderen EU-Ländern die jeweiligen nationalen Gesetze. Und für die Vertrauensdienste gelten dann dieselben Anforderungen wie für alle Betreiber Kritischer Infrastrukturen.
Nun ist es aber so, dass insbesondere qualifizierte Vertrauensdienste die fachlichen Anforderungen in aller Regel bereits erfüllen und deren Erfüllung eigentlich sogar schon durch die eIDAS-Prüfung nachweisen. Wir arbeiten derzeit mit den Aufsichtsbehörden daran, die Prüfungen nach eIDAS und NIS2/KRITIS in den Konformitätsbewertungsberichten zu vereinen und doppelte separate Prüfungen, nach eIDAS und NIS2/KRITIS, zu vermeiden. Wer nicht die nötigen Ressourcen hat, um sich durch diesen „Verordnungs-Dschungel“ zu kämpfen, den unterstützen wir gerne – auch bei der Abstimmung mit den zuständigen Behörden.
Abschließend ein kurzer Ausblick: Welche Entwicklungen laufen derzeit rund um Vertrauensdienste, die EUDI-Wallet und elektronische Identitäten?
Zunächst freuen wir uns auf die Wallet und die Vereinfachungen, die sie für uns alle als EU-Bürger im täglichen Geschäftsverkehr bringen wird – die Wallet wird uns künftig mit ihrer rechtsverbindlichen Ausweisfunktion in vielen täglichen Situationen helfen und sie bringt sogar eine qualifizierte Signaturfunktion für jeden Bürger mit. Ferner wird es weitere lange erwartete neue Vertrauensdienste geben, darunter das rechtsverbindliche elektronische Langzeitarchiv. Auch die sogenannten elektronischen Fernsignaturen und das -Siegel werden nun klar geregelt.
Es tut sich also einiges in diesem Bereich – wir EU-Bürger werden davon profitieren.
Danke für das Interview, Herr Wanko!
Was ist die EU Digital Identity Wallet?
Die EU Digital Identity Wallet (EUDI-Wallet) soll künftig wie eine digitale Brieftasche funktionieren. EU-Bürger sollen Personalausweis, Führerschein und weitere Nachweise darin speichern können. Die EUDI-Wallet soll auch eine qualifizierte Signaturfunktion für jeden Bürger mitbringen. Unter Leitung des BMI wird im nationalen „Wallet Projekt“ gegenwärtig eine Smartphone-Wallet für Bürger entwickelt, die schrittweise alle in Deutschland geplanten Anwendungsfälle abdecken soll. Auch wenn bereits 2024 mit ersten Tests gerechnet wird, werden Bürger die Wallet im App-Store erst voraussichtlich im Laufe des Jahres 2026 vorfinden – parallel zur Umsetzungsfrist aus der eIDAS 2.0 Verordnung.
Was regelt die eIDAS 2 Verordnung?
Die Abkürzung eIDAS steht für elektronische IDentifizierungs-, Authentifizierungs- und Vertrauensdienste (electronic IDentification, Authentication and trust Services). Sie entspricht der (EU) Verordnung Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014. Die eIDAS-Verordnung enthält verbindliche europaweit geltende Regelungen in den Bereichen „Elektronische Identifizierung“ und „Elektronische Vertrauensdienste“. Mit der Verordnung werden einheitliche Rahmenbedingungen für die grenzüberschreitende Nutzung nationaler elektronischer Identifizierungsmittel – und damit auch für den Einsatz des deutschen Online-Ausweises – und Vertrauensdienste geschaffen.