Die Europäische Kommission hat am 4. Juni 2012 mit dem Dokument KOM (2012) 238 den Vorschlag einer Verordnung vorgelegt, die die gegenseitige Anerkennung der verschiedenen nationalen „Vertrauensdienste“ und elektronische Identifizierungen ermöglichen soll.
Hintergrund ist zwar in erster Linie die – aus Sicht der Kommission – enttäuschende Verbreitung der Signaturtechnologie, die zu regeln und zu fördern die inzwischen auch schon wieder 12 Jahre alte Signaturrichtlinie 1999/93/EG angetreten war. (Die Enttäuschung wurde deutlich postuliert im „Stakeholder Workshop“, den die Kommission am 10. März 2011 veranstaltete.) Insbesondere ist die Interoperabilität der verschiedenen nationalen Systeme bislang nicht gesichert. Die Verwendung etwa deutscher Signaturen im europäischen Ausland wird dadurch erschwert. Hierin erkennt die Kommission eine Behinderung für den angestrebten europäischen Binnenmarkt. In der „Digitalen Agenda für Europa“ der Kommission heißt es:
Für den Aufbau einer wirklich digitalen Gesellschaft brauchen wir die effektive Interoperabilität aller IT-Produkte und -Dienste.
Das erfordert zum einen die technische Vereinheitlichung in entsprechenden Normen und Standards. Zum anderen müssen die verschiedenen nationalen Systeme auch rechtlich gegenseitige Anerkennung finden.
Das will die vorgeschlagene Verordnung ermöglichen. Sie soll die Signaturrichtlinie ablösen, ihren Regelungsgehalt erneuern und erweitern.
Einerseits greift der Vorschlag die Signaturrichtlinie in weiten Teilen auf, sie an entscheidenden Stellen aber modifizierend. So wird zum Beispiel die strikte Bindung der „Signaturerstellungsdaten“ an den Unterzeichner gelockert. Während die heutige Regelung in Art. 2. Nr. 2 lit. c) SigRL 1999/93/EG fordert, die fortgeschrittene elektronische Signatur müsse „mit Mitteln erstellt [werden], die der Unterzeichner unter seiner alleinigen Kontrolle halten kann“, genügt nach dem vorgeschlagenen Art. 3 Abs. 7 lit. c), dass der Unterzeichner die Signaturerstellungsdaten „mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann“ (Hervorhebung je nur hier). Das dient augenscheinlich und eingeräumtermaßen der Legalisierung von Modellen wie der „Handy-Signatur“ des österreichischen Anbieters „A1“, die derzeit keine „fortgeschrittene“ oder „qualifizierte“ Signatur darstellt.
Andererseits greift die Kommission die wiederholte Forderung nach einer „Signatur der juristischen Person“ auf. Das soll ein der Signatur weitgehend nachgebildetes „Siegel“ (Art. 3 Abs. 19 ff., Art. 28 ff.) leisten. Dies stößt auf Kritik beim Verband TeleTrusT.
Schließlich aber erfasst die Verordnung auch andere elektronische Identifizierungs- und Vertrauensdienste einschließlich der „quaflifizierten elektronischen Zustelldienste“. Art. 36 des Vorschlags lautet:
Artikel 36
Anforderungen an qualifizierte elektronische Zustelldienste(1) Qualifizierte elektronische Zustelldienste müssen folgende Anforderungen erfüllen:
a) sie müssen von einem oder mehreren qualifizierten Vertrauensdiensteanbietern erbracht werden;
b) sie müssen die eindeutige Identifizierung des Absenders und gegebenenfalls des Empfängers ermöglichen;
c) der Prozess des Absendens oder Empfangens der Daten muss durch eine
fortgeschrittene elektronische Signatur oder ein fortgeschrittenes elektronisches
Siegel eines qualifizierten Vertrauensdiensteanbieters auf eine Weise gesichert sein, die jede Möglichkeit einer unbemerkten Veränderung der Daten ausschließt;
d) jede Veränderung der Daten, die zum Absenden oder Empfangen der Daten nötig ist, muss dem Absender und dem Empfänger der Daten deutlich angezeigt werden;
e) das Datum des Absendens, Empfangens oder einer Änderung der Daten muss durch einen qualifizierten elektronischen Zeitstempel angezeigt werden;
f) im Fall der Weiterleitung der Daten zwischen zwei oder mehreren qualifizierten Vertrauensdiensteanbietern gelten die Anforderungen der Buchstaben a bis e für alle beteiligten qualifizierten Vertrauensdiensteanbieter.
(2) Die Kommission kann mittels Durchführungsrechtsakten Verweise auf Normen für Prozesse des Absendens und Empfangens von Daten festlegen. Bei Prozessen des Absendens und Empfangens von Daten, die diesen Normen entsprechen, wird davon ausgegangen, dass sie die Anforderungen des Absatzes 1 erfüllen. Solche Durchführungsrechtsakte werden nach
dem in Artikel 39 Absatz 2 genannten Prüfverfahren erlassen. Die Kommission veröffentlicht solche Rechtsakte im Amtsblatt der Europäischen Union.
Das entspricht der Konzeption nach den Anforderungen des De-Mail-Gesetzes an die Sende- und Empfangsbestätigungen gemäß § 5 De-Mail-G. Weitergehende Regelungen sieht der Vorschlag insoweit freilich nicht vor.
Und die Interoperabilität und gegenseitige Anerkennung? Die Verordnung möchte sie durch ein Verzeichnis der Dienste befördern, die als „europäisch“ in allen teilnehmenden Staaten akzeptiert werden. In der Pressemitteilung heißt es zu diesem zurückhaltenden Konzept:
Der Vorschlag respektiert sowohl vorhandene nationale Identifizierungssysteme als auch die Präferenzen jener Mitgliedstaaten, die keine nationalen Identifizierungssysteme haben. Länder mit eigenem eID-System haben die Wahl, ob sie sich am europäischen System beteiligen oder nicht. Sobald ein Mitgliedstaat mitteilt, dass er sich am europaweiten System beteiligen möchte, muss er zu seinen öffentlichen Diensten den gleichen Zugang per elektronischer Identifizierung anbieten, wie ihn seine eigenen Bürger genießen.
Die vorgeschlagene Verordnung wird […] weder EU-Mitgliedstaaten zur Einführung noch deren Bürger zur Nutzung nationaler Personalausweise, elektronischer Personalausweise oder anderer eID-Lösungen verpflichten.
Der entscheidende Art. 5 des Vorschlags lautet:
Artikel 5
Gegenseitige Anerkennung und AkzeptierungIst für den Zugang zu einem Online-Dienst nach nationalem Recht oder nationaler Verwaltungspraxis eine elektronische Identifizierung mit einem elektronischen Identifizierungsmittel und mit Authentifizierung erforderlich, wird für die Gewährung des Zugangs zu diesem Dienst jedes in einem anderen Mitgliedstaat ausgestellte elektronische Identifizierungsmittel anerkannt und akzeptiert, das einem System unterliegt, das auf der Liste steht, die von der Kommission nach dem Verfahren des Artikels 7 veröffentlicht wird.
Voraussetzung der Notifizierung ist unter anderem die Haftung des notifizierenden Mitgliedsstaates für die korrekte Personenzuordnung, Art. 6. So soll die gegenseitige Anerkennung unter den Mitgliedsstaaten gesichert werden, die bislang schon bei den Führerscheinen sehr problematisch ist.
[Nachtrag 2013-04-21] Gerrit Hornung sieht in dem Kommissionsvorschlag einen „Brüsseler Angriff auf den neuen Personalausweis?“ (MMR 2012, 633). Sie nehme „das Ende des deutschen elektronischen Identitätsnachweises sehenden Auges in Kauf.“ [/Nachtrag]
[Nachtrag 2013-10-07] Auch Gerhard Spindler und Matti Rockenbauch sehen in dem „VO-Vorschlag in seiner aktuellen Fassung das ‚Aus‘ für den elektronischen Identitätsnachweis mit dem deutschen Personalausweis auf europäischer Ebene“ (MMR 2013, 139). [/Nachtrag]
Im Kommentar: Zur problematischen Interoperabilität der europäischen Signaturverfahren und die Folgen für die Anerkennung siehe K § 25 Rdnr. 10, zu den diversen Versandbestätigungen § 5 Abs. 5 ff. De-Mail-G siehe K § 5 Rdnr. 39 ff., zur Gleichstellung ausländischer Dienste siehe K § 19.