Smartphone, das als Sicherheitsschlüssel dient.

Die Evolution von eIDAS: Welche Neuerungen und Potenziale es birgt

Autoren

7 Minuten Lesezeit 16 Apr. 2024

Zukunft der digitalen Identität: eIDAS 2.0 revolutioniert die Nutzung elektronischer Signaturen und Vertrauensdienste in Europa.

Überblick

  • eIDAS 2.0 revolutioniert die Nutzung elektronischer Signaturen und Vertrauensdienste in Europa.
  • Sicherheit, Datenschutz und Effizienz stehen im Mittelpunkt dieser neuen Verordnung.
  • Die Einführung der ID-Wallet verändert die Art und Weise, wie digitale Identitäten verwaltet werden.

Am 01.07.2016 ist die eIDAS-Regulierung („eIDAS“ steht für „Electronic Identification, Authentication and Trust Services“)  in der Version 1.0 in der Europäischen Union in Kraft getreten. Damit war die Grundlage geschaffen, der Anwendung elektronischer Signaturen in Europa den Weg zu bereiten, verbunden mit der Hoffnung, Prozesse papierlos und effizient elektronisch abbilden zu können. Neben einer Neuregelung elektronischer Signaturen wurden damit auch Dienste rund um elektronische Siegel und Zeitstempel, die Zustellung elektronischer Einschreiben und Webseiten-Zertifikate reguliert. 

So unterstützen wir Sie

  • Technologietransformation

    Entdecken Sie, wie das Technologietransformationsteam von EY Ihrem Unternehmen helfen kann, die Technologie vollständig auf Ihre Gesamtzwecke und Geschäftsziele auszurichten.

    Mehr erfahren

Wie bei jeder Einführung einer neuen, weitreichenden Verordnung – hier sogar eine, die besonders sensible Bereiche wie die Identität von Personen betrifft – gibt es anfangs Unzulänglichkeiten. Diese beeinflussen die Einsetzbarkeit und Akzeptanz der durch die Verordnung betroffenen Verfahren. Besondere Hindernisse, die in den betreffenden Communitys häufig zu lang anhaltenden Diskussionen führten, sollen nun mit der eIDAS 2.0 beseitigt werden. Im europäischen Trilog-Verfahren hat man sich am 08.11.2023 diesbezüglich auf die neuen Vorgaben geeinigt (Inkrafttreten im April 2024). Betroffen sind unter anderem die folgenden drei Aspekte:

 

1. Sicherheit/Datenschutz in europaweit einheitlich akzeptierter Weise

Angestrebt wird eine europaweite Harmonisierung in Bezug auf die Qualität und damit Verlässlichkeit der Identität und dass diese datenschutzkonform verarbeitet, übertragen und gespeichert wird. Technisch ist es darüber hinaus wichtig, dass die im Identitätssystem gespeicherten Informationen immer verschlüsselt bleiben. Nur auf diese Weise lässt sich verlässlich die Selbstsouveränität im Umgang mit persönlichen Informationen umsetzen (SSI). Es geht somit darum, Legitimität nachzuweisen, ohne Zugriff auf die persönlichen Daten des Benutzers gewähren zu müssen.

 

2. Erweiterter Anwendungsbereich

Im erweiterten Anwendungsbereich sind vor allem Vertrauensdienste zur elektronischen Archivierung und zur Verwaltung elektronischer Fernsignatur- und Siegelerstellungseinheiten definiert. Darüber hinaus ist jetzt auch die qualifizierte Attestierung elektronischer Attribute (QEAA) durch die Regulierung festgelegt. Das hat erhebliche Bedeutung für die Anwendbarkeit elektronischer Identitäten. Es kommt in den meisten Fällen nicht nur darauf an nachzuweisen, wer man ist, sondern auch, dass man über bestimmte Eigenschaften oder Berechtigungen verfügt. So kann es zum Beispiel wichtig sein, das eigene Alter oder das Vorhandensein einer Fahrerlaubnis elektronisch zu bestätigen. Ein qualifizierter Vertrauensdiensteanbieter prüft und validiert diese Daten, die dann gemeinsam mit der Identität in der ID-Wallet gespeichert werden können.

 

3. Sichere Aufbewahrung der Identität (ID-Wallet)

Beim letzten Punkt handelt es sich um die wichtigste Neuerung der eIDAS 2.0. Die ID-Wallet-App kann sowohl von Privatpersonen als auch von Unternehmen genutzt werden. Sie dient dazu, Zertifikate und Nachweise im Bereich der elektronischen Identifikation und Vertrauensdienste zentral zu speichern und zu verwalten. Dies erleichtert die Aufbewahrung von Dokumenten und ermöglicht zudem eine bessere Übersicht und ständigen Zugang zu den eigenen digitalen Identitätsdaten. Es handelt sich also um die Fortsetzung des eID-Ansatzes, der sich aufgrund der Fragmentierung in eine Vielzahl nationaler eID-Systeme nicht durchsetzen konnte. Aufgrund der damit entstandenen Unsicherheiten in Bezug auf die Einsatzszenarien ist die Akzeptanz der eID nicht ausreichend gegeben. Wer von uns kennt schon die PIN für die im eigenen Personalausweis vorhandene elektronische Identität? Letztlich haben sich darüber hinaus technische Herausforderungen ergeben, die die Integration notwendiger Basistechnologien in Anwendungen und Dienste erschwerten.

 

Mit der ID-Wallet wird jetzt also ein neuer Weg beschritten, um die Nutzung der elektronischen Identität zu vereinfachen. Aktuelle technische Probleme betreffen vor allem die Abhängigkeit vom Endnutzergerät. Es gibt eine Vielzahl unterschiedlicher Typen an Mobilfunkgeräten und Betriebssystemversionen. Um diese Situation in den Griff zu bekommen, werden Lösungen in europaweiten Förderprojekten wie zum Beispiel dem EWC (EU Digital Wallet Consortium) erarbeitet, die dann auch direkt mit Anwendungsszenarien verbunden sind.

Vor allem bei Transaktionen mit Finanzdienstleistern, also bei der Eröffnung von Bankkonten, der Kreditbeantragung und dem Handel mit Wertpapieren oder Kryptowerten, können in Zukunft unter Nutzung der digitalen Identität und gegebenenfalls vorhandener Attribute erhebliche Effizienzgewinne erreicht werden.  

Wichtige Anwendungsszenarien werden sich vor allem dort ergeben, wo Prozesse hinsichtlich ihrer Geschwindigkeit kritisch, aber derzeit mit viel Papierarbeit verbunden sind. Vor allem bei Transaktionen mit Finanzdienstleistern, also bei der Eröffnung von Bankkonten, der Kreditbeantragung und dem Handel mit Wertpapieren oder Kryptowerten, können in Zukunft unter Nutzung der digitalen Identität und gegebenenfalls vorhandener Attribute erhebliche Effizienzgewinne erreicht werden. Das betrifft nicht nur natürliche Personen, sondern auch juristische, das heißt Unternehmen, die ebenfalls eine digitale Identität erhalten können.

Vor allem in der öffentlichen Verwaltung ist die elektronische Identität ein fundamentales Element der digitalen Transformation, die dazu beitragen soll, bürokratische Hürden zu überwinden, Prozesse zu optimieren und Dienstleistungen effizienter und bürgerfreundlicher zu gestalten. Ein wesentlicher Faktor beim Scheitern des Onlinezugangsgesetzes (OZG) war das Fehlen einer verlässlichen und verfügbaren digitalen Identität für Bürger, die elektronische Verwaltungsdienstleistungen in Anspruch nehmen wollten.

Auch im kommunalen Bereich kann der Einsatz elektronischer Identitäten von großem Nutzen sein und erhebliche Vorteile mit sich bringen. Es gibt bereits erste Ansätze im Kontext von Smart-City-Projekten, die Dienstleistungen sowohl von städtischen Einrichtungen als auch von privaten Anbietern umfassen. Einige der hier umsetzbaren Einzelfälle können einen großen Wirkungsbereich abdecken. Mit der zunehmenden Anzahl Anwendungsszenarien wird sich die elektronische Identität gerade in Bereichen mit regulatorischen Anforderungen durchsetzen. Neben den regulatorisch vorgegebenen Einsatzszenarien wird es jedoch auch immer Wallet-Lösungen geben, die von Anbietern von Mobilfunkgeräten oder deren Betriebssystemen bereitgestellt werden. Diese haben schon heute eine hohe Verbreitung und sind für einfache Anwendungsfälle wie Bezahlvorgänge im ÖPNV ausreichend.

Mit eIDAS 2.0 bieten sich umfangreichere Möglichkeiten der Selbstsouveränität von Identitäten. Insbesondere die Konzeption, eine eigene ID-Wallet auf dem Smartphone zu verwenden, ist interessant. Diese würde sämtliche Zertifikate, elektronischen Signaturen, Identifizierungsdokumente und Daten enthalten. Diese Wallet könnte selbstständig verwaltet und für zahlreiche Anwendungen genutzt werden. Als Eigentümer kann man dann selbstsouverän entscheiden, was in der Wallet untergebracht wird und an wen welche Daten weitergegeben werden. Die sich daraus ergebenden Anwendungsfälle sind mannigfaltig und momentan noch nicht vollständig überschaubar.

Wann können wir die Vorteile von eIDAS im täglichen Leben nutzen?

Wir haben bereits gesehen, dass von 2016 bis heute eine Menge Zeit vergangen ist, in der bisher nur Fragmente für die Nutzung von Identitäten erzeugt wurden. Da jetzt ein neuer regulatorischer Rahmen entsteht, ist mit einer deutlichen Beschleunigung der Entwicklung zu rechnen. Mit der Inkraftsetzung der neuen eIDAS 2.0 wird noch im zweiten Quartal 2024 gerechnet. Bis Ende März erfolgt die Unterzeichnung und Veröffentlichung im Amtsblatt, Mitte April 2024 tritt sie dann in Kraft. Eine ID-Wallet, die verpflichtend von allen Mitgliedstaaten der EU akzeptiert werden muss, soll im Oktober 2026 bereitstehen. Bis 2030 sollen circa 80 Prozent der Bürger das neue System nutzen. Dieser Zeitplan ist ambitioniert, vor allem wenn man den bisherigen Verlauf der Entwicklung und Bereitstellung von Ökosystemen für elektronische Identitäten betrachtet, der bis 1997 zurückreicht. Ein Key-Faktor für die Erreichung dieses Zieles ist es, technische und organisatorische Hürden zu meistern, Use Cases zu entwickeln, Erkenntnisse und Erfahrungen zu teilen und in die Weiterentwicklung des Ökosystems einfließen zu lassen.

Schlüsselrollen werden dabei spezialisierte Beratungsunternehmen spielen, die einerseits Softwaresysteme für das Management der Identitäten bereitstellen und andererseits den besten und effizientesten Weg für die Implementierung der Prozessketten kennen. Dafür ist tiefe Kenntnis des Standards und sonstiger regulatorischer Rahmenbedingungen (DSGVO, EgovG, GWG, SGB IV, um nur einige zu nennen) erforderlich.

Fazit

Die eIDAS-Verordnung wurde 2016 eingeführt, um elektronische Signaturen und damit verbundene Dienste in Europa zu standardisieren. Die eIDAS 2.0, die im April 2024 in Kraft tritt, geht auf Unzulänglichkeiten ein und erweitert den Anwendungsbereich. Neue Aspekte umfassen Sicherheit und Datenschutz, erweiterte Vertrauensdienste und die Einführung der ID-Wallet zur sicheren Aufbewahrung digitaler Identitäten. Diese Neuerungen sollen die Akzeptanz und Nutzung elektronischer Identitäten fördern, besonders in Bereichen wie Finanzdienstleistungen und öffentlicher Verwaltung. Die Einführung dieser Verordnung wird voraussichtlich bis 2030 zu einer weit verbreiteten Nutzung führen.

Über diesen Artikel

Autoren

Verwandte Themen
Digitalisierung
Cybersecurity
Finanzdienstleistungen

Mehr zum Thema

Digitaler Euro – Was Banken bereits heute vorbereiten sollten

Lesen Sie im neuen EY-Whitepaper welche Chancen und Potenziale der digitale Euro für Banken und Zahlungsdienstleister birgt.

Dr. Jan Rosam

Haben Sie Ihre digitalen Zugriffe im Griff?

Die digitale Welt birgt Gefahren für Mittelständler. Lesen Sie hier, wie pragmatische Lösungen auch ohne große IT-Abteilung funktionieren.

Matthias Bandemer + 1

    Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten.