BNetzA soll ab sofort digitale Signatur-Anbieter beaufsichtigen
BNetzA soll ab sofort digitale Signatur-Anbieter beaufsichtigen
Bild: dpa
Im Juli 2014 hat die EU die Verordnung Nr. 910/2014 mit dem sperrigen Titel "Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt" veröffentlicht. Darin geht es um die Einführung einer vertrauenswürdigen elektronischen Signatur, bei der Verordnung handelt es sich also um die europaweit einheitliche Grundlage für vertrauenswürdige und dauerhaft nachweisbare elektronische Geschäftsprozesse.
In der EU-Verordnung heißt es unter anderem: "Die Mitgliedstaaten sollten eine oder mehrere Aufsichtsstellen zur Wahrnehmung der Aufsichtsaufgaben im Rahmen dieser Verordnung benennen. Ein Mitgliedstaat sollte auch aufgrund einer gegenseitigen Vereinbarung mit einem anderen Mitgliedstaat beschließen können, eine Aufsichtsstelle im Hoheitsgebiet dieses anderen Mitgliedstaats zu benennen. Die Aufsichtsstellen sollten mit Datenschutzbehörden zusammenarbeiten, beispielsweise indem sie diese über die Ergebnisse der Überprüfungen von qualifizierten Vertrauensdiensteanbietern unterrichten, falls dem Anschein nach gegen Datenschutzvorschriften verstoßen wurde. Die Übermittlung von Informationen sollte sich insbesondere auf Sicherheitsverletzungen und auf Verletzungen des Schutzes personenbezogener Daten erstrecken."
Dieser Pflicht zur Ernennung einer Aufsichtsbehörde ist das Bundesministerium für Wirtschaft und Energie nun nachgekommen - die Wahl ist auf die Bundesnetzagentur gefallen.
Dafür ist die BNetzA nun zuständig
BNetzA soll ab sofort digitale Signatur-Anbieter beaufsichtigen
Bild: dpa
Wie die BNetzA heute selbst mitteilt, wurde sie am 1. Juni als Aufsichtsstelle für Vertrauensdienste im Sinne der oben genannten Verordnung benannt, die EU-Vorgabe wird auch "eIDAS-Verordnung" genannt. Die BNetzA ist damit die offizielle Aufsichtsstelle für die Bereiche elektronische Signatur, elektronisches Siegel, elektronische Zeitstempel und elektronische Einschreiben.
Die Ernennung kommt mehr oder weniger "kurz vor knapp", denn die Richtlinie gilt ab dem 1. Juli. Laut der BNetzA soll die Einführung europaweit einheitlicher elektronischer Vertrauensdienste im Sinne der eIDAS-Verordnung die Möglichkeit bieten, "schnelle, kostengünstige sowie vertrauenswürdige elektronische Transaktionen über Ländergrenzen hinweg vorzunehmen." Insbesondere eine Verbreitung elektronischer Siegel bei der Kommunikation mit Verwaltungen oder Unternehmen soll ein gewisses Potenzial an Einsparungen und Komfort bieten, beispielsweise bei der Erledigung von Online-Behördengängen, soweit diese in Deutschland überhaupt angeboten werden.
Die EU-Verordnung gibt weiterhin vor: "Alle Mitgliedstaaten sollten gemeinsame wesentliche Anforderungen an die Aufsicht beachten, damit bei qualifizierten Vertrauensdiensten überall ein vergleichbares Sicherheitsniveau besteht [...] Durch die Errichtung eines Aufsichtssystems für alle Vertrauensdiensteanbieter sollten gleiche Rahmenbedingungen für die Sicherheit und die Zurechenbarkeit ihrer Tätigkeiten und Dienste gewährleistet werden, um zum Schutz der Nutzer und zum Funktionieren des Binnenmarkts beizutragen."
Die BNetzA muss allerdings nicht jeden Zertifikatsanbieter von sich aus überwachen: "Die Aufsichtsstelle sollte [...] keine generelle Verpflichtung zur Beaufsichtigung nichtqualifizierter Diensteanbieter haben. Sie sollte nur dann tätig werden, wenn sie (beispielsweise durch den nichtqualifizierten Vertrauensdiensteanbieter selbst, durch eine andere Aufsichtsstelle, durch Mitteilung eines Nutzers oder eines Geschäftspartners oder aufgrund ihrer eigenen Untersuchungen) erfährt, dass ein nichtqualifizierter Vertrauensdiensteanbieter die Anforderungen der Verordnung nicht erfüllt."
Die Verordnung will auch der Praxis einen Riegel vorschieben, dass Diensteanbieter sich in ein Land absetzen können, in dem es keine Aufsichtsbehörde gibt: "Um die Beaufsichtigung qualifizierter Vertrauensdiensteanbieter zu erleichtern, wenn beispielsweise ein Anbieter seine Dienste in einem anderen Mitgliedstaat erbringt, in dem er keiner Aufsicht unterliegt, oder wenn sich die Rechner eines Anbieters in einem anderen Mitgliedstaat als dem seiner Niederlassung befinden, sollte ein System der gegenseitigen Amtshilfe zwischen den Aufsichtsstellen der Mitgliedstaaten eingerichtet werden."
Ein Sicherheitsbereich wird aber nicht von der BNetzA beaufsichtigt werden: Für die Aufsicht über die Anbieter von Webseiten-Zertifikaten wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) die zuständige Aufsichtsstelle.