Fragen zu elektronischen Vertrauensdiensten
Auf dieser Seite bieten wir Interessierten Antworten auf die am häufigsten gestellten Fragen.
Fragen zu elektronischen Vertrauensdiensten
Auf dieser Seite bieten wir Interessierten Antworten auf die am häufigsten gestellten Fragen.
Allgemein
-
Welche Vertrauensdienste gibt es und was ist ihre Rechtsgrundlage?
Die Grundlage für die elektronischen Vertrauensdienste bildet die so genannte eIDAS-Verordnung (electronic IDentification, Authentication and trust Service). Dort sind auch die folgenden Vertrauensdienste genannt:
• Qualifizierte elektronische Signatur
• Qualifiziertes elektronisches Siegel
• Qualifizierter elektronischer Zeitstempel
• Qualifizierter Dienst für die Zustellung von elektronischen Einschreiben
• Qualifizierter Validierungsdienst
• Qualifizierter Bewahrungsdienst und
• Websitezertifikate
In Deutschland gibt es in Ergänzung zur eIDAS-Verordnung das Vertrauensdienstegesetz und die Vertrauensdiensteverordnung. -
Was ist ein qualifizierter Vertrauensdiensteanbieter?
Ziel der eIDAS-Verordnung ist es, einen umfassenden grenz- und branchenübergreifenden Rahmen für sichere, vertrauenswürdige und einfach zu nutzende elektronische Transaktionen zu schaffen. Qualifizierte Vertrauensdienste sind ein Mittel zu diesem Zweck, da ihre rechtliche Bedeutung auf europäischer Ebene anerkannt ist. Vertrauensdiensteanbieter benötigen eine Qualifizierung durch eine nationale Aufsichtsbehörde, wie z.B. die Bundesnetzagentur in Deutschland, um als qualifizierter Vertrauensdiensteanbieter (europaweit) anerkannt zu sein. Diese Anbieter unterliegen insbesondere den Anforderungen der eIDAS-Verordnung und in Deutschland zudem den Regelungen des Vertrauensdienstegesetzes und der zugehörigen Verordnung.
Folgende Dienste können von qualifizierten Vertrauensdiensteanbietern angeboten werden:
a) Ausstellen von qualifizierten Zertifikaten für:
- Elektronische Signaturen
- Elektronische Siegel
- Website-Authentifizierung
b) Bereitstellung einer qualifizierten Validierung von:
- Qualifizierten elektronischen Signaturen
- Qualifizierten elektronischen Siegeln
- Qualifizierten elektronischen Zeitstempeln
c) Bereitstellung einer qualifizierten Bewahrung von:
- Qualifizierten elektronischen Signaturen
- Qualifizierten elektronischen Siegeln
d) Ausgabe qualifizierter Zeitstempel
e) Bereitstellung eines qualifizierten Dienstes für die Zustellung von elektronischen Einschreiben.
-
Was ist der Unterschied zwischen nicht qualifizierten und qualifizierten Vertrauensdiensteanbieter?
Die eIDAS-Verordnung definiert einen qualifizierten Vertrauensdiensteanbieter als "[...] eine natürliche oder juristische Person, die einen oder mehrere qualifizierte Vertrauensdienste erbringt [...]".
Im Gegensatz zu nicht-qualifizierten Vertrauensdiensteanbietern erhalten qualifizierte Vertrauensdiensteanbieter somit das Recht, einen oder mehrere qualifizierte Vertrauensdienste zu erbringen, nachdem sie einen strengen Bewertungsprozess durchlaufen haben. Im Anschluss erhalten sie durch die Bundesnetzagentur den Status eines qualifizierten Vertrauensdiensteanbieters.
Mit der Qualifizierung wird der qualifizierte Vertrauensdiensteanbieter auf die nationale Vertrauensliste aufgenommen. Dies gewährleistet insbesondere eine sichere Validierung der Vertrauenswürdigkeit der erbrachten Dienste. -
Was ist ein Zertifikat?
Ein Zertifikat, das von einem Vertrauensdiensteanbieter ausgestellt wird, ist eine elektronische Bescheinigung, die die elektronischen Validierungsdaten mit einer natürlichen oder juristischen Person verknüpft und mindestens den Namen oder das Pseudonym dieser Person bestätigt. Auf diese Weise kann mit dem Zertifikat, das in der Regel mit einem Dokument verknüpft ist, die Identität des Unterzeichners überprüft werden.
-
Welche besonderen Eigenschaften haben qualifizierte Zertifikate?
Elektronische Vertrauensdienste wie z.B. Signaturen auf Basis qualifizierter Zertifikate erlauben eine einfache und zuverlässige Prüfung, da ihre Echtheit automatisch mithilfe der Vertrauenslisten der EU-Mitgliedsstaaten ermittelt werden kann.
Signaturen auf Basis solcher Zertifikate gibt es in zwei Varianten – als qualifizierte und fortgeschrittene Signaturen. Für Prozesse, die der Schriftform bedürfen, werden qualifizierte elektronische Signaturen benötigt. Fortgeschrittene Signaturen auf Basis qualifizierter Zertifikate bieten einen geringeren Beweiswert, profitieren jedoch von der ebenfalls vorhandenen einfachen und zuverlässigen Prüfbarkeit und können Vorteile in der Anwendung haben.
Werden qualifizierte Zertifikate deutscher Anbieter verwendet, stellt zudem das System DA:VE der Bundesnetzagentur die notwendige Auskunft der Anbieter sicher und trägt so zu einer dauerhaften Prüfbarkeit von Signaturen bei. Für die langfristige Sicherheit signierter Dokumente werden ergänzende Maßnahmen empfohlen, z.B. die Nutzung eines qualifizierten Bewahrungsdienstes oder eines nach der TR-ESOR zertifizierten Systems. -
Warum muss ich mich bei einem Vertrauensdiensteanbieter identifizieren?
Vertrauen ist für Transaktionen in der digitalen Welt ein entscheidender Faktor. Mit einer Identitätsprüfung stellt der Vertrauensdiensteanbieter sicher, dass eine natürliche Person hinter den Vorgängen steht. Die Identitätsprüfung beweist ebenfalls, dass die Person diejenige ist, die sie vorgibt zu sein. Gerade bei Vertragsabschlüssen oder dem Austausch sensibler Daten über das Internet verhindert dies, dass unbefugte Person einen Vorgang im Namen einer anderen Person durchführen.
Nach einer positiven Prüfung wird auf einem qualifizierten Zertifikat die geprüfte elektronische Identität festgehalten. Mit diesem Zertifikat können bei Ihrem qualifizierten Vertrauensdiensteanbieter nun qualifiziert elektronische Signaturen oder Siegel erstellen werden.
Die Prüfung der Identität einer natürlichen oder juristischen Person ist zwingend vor der Ausstellung eines qualifizierten Zertifikates durchzuführen. Die Anforderungen und Möglichkeiten für die Vertrauensdiensteanbieter, anhand welcher Methode die Identifizierung durchgeführt werden kann, ist in Artikel 24 der eIDAS-Verordnung festgelegt. -
Welche Identifizierungsmethoden gibt es?
Dem Vertrauensdiensteanbieter stehen zur Überprüfung der Identität von natürlicheren oder juristischen Personen verschiedene Methoden zur Verfügung. Alle Identifizierungsmethoden sind gesetzlich durch die eIDAS-Verordnung und in Deutschland durch das Vertrauensdienstegesetz geregelt. Eine Identitätsprüfung kann auf folgende Arten erfolgen:
- mit der europäischen Brieftasche für die Digitale Identität oder einem notifizierten elektronischen Identifizierungsmittel, das die Anforderungen des Artikels 8 in Bezug auf das Sicherheitsniveau hoch erfüllt;
- mit einem Zertifikat einer qualifizierten elektronischen Signatur oder eines qualifizierten elektronischen Siegels, das gemäß Buchstabe a, c oder d ausgestellt wurde;
- mit anderen Identifizierungsmethoden, die die Identifizierung der Person mit einem hohen Maß an Vertrauen gewährleisten und deren Konformität von einer Konformitätsbewertungsstelle bestätigt wird;
- durch die physische Anwesenheit der natürlichen Person oder eines bevollmächtigten Vertreters der juristischen Person nach geeigneten Nachweisen und Verfahren im Einklang mit dem nationalen Recht.
Qualifizierte elektronische Signatur
-
Was wird benötigt, um eine qualifizierte elektronische Signatur zu erzeugen?
Hier ist zwischen der qualifizierten elektronischen Signatur auf Basis einer Signaturkarte und der Fernsignatur zu unterscheiden.
Für die Fernsignatur sind keine weiteren Hilfsmittel notwendig, da sich die qualifizierte Signaturerstellungseinheit beim qualifizierten Vertrauensdiensteanbieter befindet. (Was ist eine qualifizierte Signatur-/Siegelerstellungseinheit?)
Für eine qualifizierte elektronische Signatur auf Basis einer Signaturkarte, ist ein qualifiziertes Zertifikat auf einer sicheren Signaturerstellungseinheit (umgangssprachlich z.B. die sogenannte Signaturkarte), ein Chipkartenleser und eine entsprechende Software (Signaturanwendungskomponente) notwendig. Weitere Informationen erhalten Sie hier vom entsprechenden qualifizierten Vertrauensdiensteanbieter für Signaturen. -
Welche Angaben können in ein qualifiziertes Zertifikat aufgenommen werden?
Auf Verlangen des Antragstellers bzw. des zukünftigen Signaturschlüssel-Inhabers können die Vertretungsmacht für eine dritte Person, berufsbezogene und sonstige Angaben zu seiner Person in das qualifizierte Zertifikat aufgenommen werden (Attribute).
Bei Angaben zur Vertretungsmacht ist die Einwilligung dieser dritten Person nachzuweisen, d.h. der Vertretene muss gegenüber dem Vertrauensdiensteanbieter die Vertretungsmacht des Vertreters bestätigen. Soll beispielsweise einigen Mitarbeitern im Unternehmensbereich eine Vertretungsmacht für das Unternehmen eingeräumt werden, obliegt es dem jeweiligen Unternehmen, auf welche Mitarbeiter ein qualifiziertes Zertifikat mit der entsprechenden Vertretungsmacht für das Unternehmen ausgestellt wird. Die Einwilligung in die Vertretungsmacht ist dann dem Vertrauensdiensteanbieter nachzuweisen.
In ein qualifiziertes Zertifikat können auch berufsbezogene Angaben zum Signaturschlüssel-Inhaber aufgenommen werden (z.B. Arzt, Rechtsanwalt). Diese Angaben müssen gegenüber dem Vertrauensdiensteanbieter durch die für die berufsbezogenen Angaben zum Signaturschlüssel-Inhaber zuständigen Stellen (register- oder berufsaufsichtsführenden Stellen) bestätigt werden. Gleiches gilt für die sonstigen Angaben zur Person. Auch für diese ist die Vorlage einer Bestätigung beim Vertrauensdiensteanbieter erforderlich. -
Wie wird eine qualifizierte elektronische Signatur erstellt?
Es gibt eine Vielzahl von (Software-)Lösungen mit denen qualifizierte elektronische Signaturen erzeugt werden können. Diese Produkte unterscheiden sich in ihrer Anwendung.
Der Ablauf ist, bezogen auf die im konkreten Fall eingesetzten Produkte, beim jeweiligen Anbieter zu erfragen. -
Kann man mit der qualifizierten elektronischen Signatur auch Daten verschlüsseln?
Nein. Die Signatur ist völlig losgelöst von der Verschlüsselung von Daten, also z.B. einer Nachricht oder eines Dokuments, zu sehen.
Während die Verschlüsselung dem Schutz von Daten gegen Kenntnisnahme unberechtigter Personen dient (Umwandlung der Daten in eine für diese unleserliche Zeichenfolge), liegen diese Daten, wenn sie ausschließlich signiert wurden, immer noch im Klartext und somit auch für einen Dritten lesbar vor. Bei Daten bzw. Dokumenten, die qualifiziert elektronisch signiert wurden, ist mittels einer Prüfsoftware erkennbar, ob die signierten Daten unverändert vorliegen. Man kann also im Umkehrschluss anhand des Prüfergebnisses erkennen, ob der Inhalt eines Dokuments nach dessen Signatur nachträglich verändert wurde.
Sollen jedoch die signierten Daten auch vor Kenntnisnahme des Inhalts durch unbefugte Personen geschützt werden, müssen diese zusätzlich verschlüsselt werden.
Sehr vereinfacht dargestellt, kann man also die Verschlüsselung mit einem verschlossenen Briefumschlag und die qualifizierte elektronische Signatur mit der Unterschrift auf dem Briefbogen, der in diesem Umschlag enthalten ist, vergleichen.
Die Verschlüsselung ist im Gegensatz zur qualifizierten elektronischen Signatur nicht in den gesetzlichen Vorgaben zu elektronischen Vertrauensdiensten geregelt und somit auch nicht vom Zuständigkeitsbereich der Bundesnetzagentur erfasst. -
Was passiert, wenn Signaturkarte und/oder PIN für die (Fern)Signatur an eine andere Person weitergegeben werden?
Dem Signaturschlüssel-Inhaber kommen gegen einen Missbrauch des elektronischen Äquivalents seiner eigenhändigen Unterschrift im elektronischen Rechtsverkehr zwei Sicherungsmittel zugute. Diese sind einerseits der Besitz der Signaturkarte, auf der das ihm zugeordnete qualifizierte Zertifikat und der geheime, nicht auslesbare Signaturschlüssel aufgebracht sind, und andererseits das Wissen der Signatur-PIN zur Verwendung dieses Schlüssels.
Gibt der Signaturschlüssel-Inhaber die Signaturkarte einschließlich der PIN an eine andere Person weiter, gibt er zugleich die Mittel zur Erzeugung der elektronischen Form seiner eigenhändigen Unterschrift an diese weiter. Diese Weitergabe ist aber für den Empfänger der qualifiziert elektronisch signierten Daten nicht erkennbar. Aus seiner Sicht hat der Signaturschlüssel-Inhaber diese Signatur erstellt. Deshalb tritt die andere Person, die mit der weitergegebenen Signaturkarte signiert, nach außen nicht als Vertreter des Signaturschlüssel-Inhabers auf, sondern als Signaturschlüssel-Inhaber selbst. Die rechtlichen Folgen treffen also zunächst den Signaturschlüssel-Inhaber unmittelbar. Bei einem möglichen Missbrauch der Signaturmittel (Karte und PIN) ist somit der Signaturschlüsselinhaber mit dem Beweis des Missbrauchs belastet.
Vertrauensanbieter werden
-
Ich möchte gern selbst ein Vertrauensdienst werden. Wie gehe ich vor?
Für Unternehmen oder Behörden, die selbst qualifizierter Vertrauensdiensteanbieter werden wollen, haben wir die nötigen Informationen auf dieser Seite zusammengestellt.