eiDAS und qualifizierte Zustelldienste: was sie sind und wie verbreitet sie sind

In diesem Beitrag konzentrieren wir uns auf ein wichtiges und aktuelles Thema, mit einigen wichtigen Aktualisierungen am Horizont. Wir beginnen mit technischen und rechtlichen Fragen, aber diese wirken sich täglich auf das Leben von uns allen aus: sowohl als Einzelpersonen als auch als Unternehmen.

Die Rede ist vom Electronic Service of Qualified Certified Delivery, bekannt als SERCQ. Es ist daher gut, mit dem Rahmen der aktuellen Vorschriften zu beginnen; dazu kommen wir im nächsten Abschnitt.

Als nächstes sehen wir uns die Unterschiede zwischen SERCQ (Qualified Certified Electronic Delivery Service) und SERC (Certified Electronic Delivery Service) an und konzentrieren uns dann auf PEC , das spezifisch für das italienische digitale und gesetzgeberische Ökosystem ist. Beachten Sie hier, dass auf diesem Gebiet neue Entwicklungen kommen, die alle darauf abzielen, PEC in einheitliche europäische Standards einzuordnen.

Gehen wir der Reihe nach vor.

Qualifizierter elektronischer Zertifikatslieferdienst und eIDAS

Packen wir schnell ein weiteres Akronym aus, das hinter dieser Diskussion steht: eIDAS (Electronic IDentification, Authentication and Trust Services) ist die europäische Verordnung 910/2014, die sich auf elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt konzentriert.

eIDAS bietet eine gemeinsame Regulierungsgrundlage für sichere elektronische Interaktionen zwischen Bürgern, Unternehmen und öffentlichen Verwaltungen in der Europäischen Union . Darüber hinaus befasst sich eIDAS mit der Sicherheit, Transparenz und Effektivität von elektronischen Diensten und E-Business- und E-Commerce-Transaktionen.

Diese Verordnung führte unter anderem den Certified Electronic Delivery Service ( SERC ) und den Qualified Certified Electronic Delivery Service ( SERCQ ) ein. Diese beiden Akronyme können irreführend und verwirrend sein. Tatsächlich müssen wir genau aufpassen, da es entscheidende Unterschiede zwischen den beiden Systemen gibt, die entscheidende Auswirkungen auf der rechtlichen und bürokratischen Ebene im Allgemeinen haben.

In diesem Zusammenhang interessieren uns vor allem die Artikel 43 und 44. Diese erläutern wir im Folgenden im Detail:

• Artikel 43: Die Rechtswirkungen eines zertifizierten elektronischen Zustelldienstes

1. Daten, die mittels eines zertifizierten elektronischen Zustelldienstes gesendet und empfangen werden, darf die Rechtswirkung und Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb verweigert werden, weil sie in elektronischer Form vorliegen oder den Anforderungen des qualifizierten zertifizierten elektronischen Zustelldienstes nicht genügen.
2. Daten, die von einem qualifizierten zertifizierten elektronischen Zustelldienst gesendet und empfangen werden, genießen die Vermutung der Datenintegrität, das Senden dieser Daten durch den identifizierten Absender, ihr Empfang durch den identifizierten Empfänger und die Genauigkeit des Datums und der Uhrzeit des Sendens und Empfangens, die vom angegeben werden qualifizierter zertifizierter elektronischer Zustelldienst.

• Artikel 44: Anforderungen an qualifizierte zertifizierte elektronische Zustelldienste

1. Qualifizierte zertifizierte elektronische Zustelldienste müssen die folgenden Anforderungen erfüllen:

(a) sie werden von einem oder mehreren qualifizierten Vertrauensdiensteanbietern bereitgestellt;

(b) Gewährleistung der Identifizierung des Absenders mit einem hohen Sicherheitsniveau;

(c) die Identifizierung des Empfängers vor der Datenübermittlung sicherzustellen;

(d) das Senden und Empfangen der Daten durch eine fortgeschrittene elektronische Signatur oder ein fortgeschrittenes elektronisches Siegel eines qualifizierten Vertrauensdiensteanbieters gesichert sind, um die Möglichkeit einer nicht erkennbaren Änderung der Daten auszuschließen;

(e) alle Änderungen an den Daten, die zum Senden oder Empfangen erforderlich sind, werden dem Absender und Empfänger der Daten deutlich angezeigt;

(f) Datum und Uhrzeit des Versands und des Empfangs sowie jede Änderung der Daten werden durch einen qualifizierten elektronischen Zeitstempel angezeigt.

Werden Daten zwischen zwei oder mehreren qualifizierten Vertrauensdiensteanbietern übermittelt, gelten die Anforderungen in (a) bis (f) für alle qualifizierten Vertrauensdiensteanbieter.

2. Die Kommission kann im Wege von Durchführungsrechtsakten die Referenznummern der Standards festlegen, die für die Prozesse des Sendens und Empfangens von Daten gelten. Die Einhaltung der in Absatz 1 genannten Anforderungen wird vermutet, wenn der Vorgang des Sendens und Empfangens von Daten diesen Standards entspricht. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

Die Unterschiede zwischen zertifiziertem elektronischem Zustelldienst (SERC) und qualifiziertem zertifiziertem elektronischem Zustelldienst (SERCQ)

Hier kommen wir zu einem heiklen und wichtigen Punkt, nämlich dem, der die Unterschiede zwischen SERC und SERCQ betrifft . Die oben zitierte eIDAS-Verordnung ist in dieser Hinsicht erschöpfend. Aber lassen Sie es uns unten scharf und klar zusammenfassen.

SERC ermöglicht die elektronische Übermittlung von Daten zwischen Dritten, erbringt Nachweise über die Verarbeitung der übermittelten Daten, einschließlich des Nachweises, dass die Daten gesendet und empfangen wurden, und schützt die übermittelten Daten vor dem Risiko von Verlust, Diebstahl, Beschädigung oder unbefugter Änderung. Es erfüllt auch die erforderlichen Grundsätze der „Genauigkeit von Datum und Uhrzeit des Sendens und Empfangens“. Was SERC fehlt, sind vor allem Garantien mit hohem Sicherheitsniveau für die Identifizierung des Absenders. Und dann des Empfängers, in den Phasen vor der Datenübertragung. Und genau diese Eigenschaften und Standards garantiert der Electronic Service for Qualified Certified Delivery (SERCQ). Im Kontext der Europäischen Union sind SERC- und SERCQ- Systeme mittlerweile auf allen Ebenen weit verbreitet. Italien ist in dieser Hinsicht eine Anomalie.

Derzeit haben wir PEC nur in Italien. Die italienische Gesetzgebung erlaubt jedoch bereits die Nutzung von SERCQ-Diensten: Übersetzt ist es nur eine Frage der Zeit, bis sie sich auch hierzulande verbreiten. Sich frühzeitig darauf vorzubereiten, kann ein wichtiger Wettbewerbsvorteil sein.

Achten Sie auch auf einen weiteren Aspekt. Allein an der PEC-Front zeichnen sich einige wichtige Entwicklungen ab, die sich bald an die SERCQ-Standards anpassen könnten. Darüber sprechen wir im nächsten Abschnitt.

Die Zukunft von PEC weist in Richtung SERCQ

PEC (Certified Electronic Mail) ist uns allen vertraut. Es ist jetzt ein alltägliches Werkzeug für ein großes Segment von Fachleuten und anderen. Nach den neuesten verfügbaren Daten gibt es mehr als 14 Millionen aktive PEC-Adressen ; 2016 waren es zwischen 7 und 8 Millionen.

Vereinfachend kann gesagt werden, dass PEC dem alten Einschreiben mit Rückschein entspricht; und es handelt sich, wie bereits erwähnt, um eine rein italienische Besonderheit, die sich jedoch an europäische Standards anpasst. Aber gehen wir der Reihe nach vor.

Sicher ist, dass PEC als Certified Electronic Delivery Service (SERC) angesehen werden kann, da es die Anforderungen des Artikels 43 der oben zitierten eIDAS-Verordnung erfüllt. Beachten Sie jedoch: Es kann nicht als Qualified Certified Electronic Delivery Service (SERCQ) angesehen werden.

Die Unterscheidung ist in der Tat das, was wir bereits oben isoliert haben: die Garantien für Sender und Empfänger. Insbesondere ist derzeit keine sichere Überprüfung der Identität des Antragstellers der PEC-Box vorgesehen. Darüber hinaus besteht für den Betreiber auch keine Verpflichtung, sich obligatorischen Compliance-Audits durch benannte Stellen zu unterziehen. Aus diesem Grund schaffen es Spam und einige Betrügereien manchmal sogar in den Posteingang zertifizierter Postfächer: PEC verfügt über vereinfachtere (und damit weniger sichere) Verfahren zur Identifizierung von Anforderern (leichter und umgehbarer als beispielsweise die für SPID bereitgestellten).

Die gute Nachricht ist jedoch, dass PEC nicht stillsteht . Seine Entwicklung wird seit einiger Zeit diskutiert, und der Weg in Richtung einer Aufnahme in die qualifizierten zertifizierten elektronischen Zustelldienste scheint bereits gut vorgezeichnet zu sein.

Auf diesem Weg sind zwei Akronyme zu beachten: ETSI und REM . ETSI ist das Europäische Institut für Telekommunikationsnormen. Dies sind die Standards, die der EU-weiten Interoperabilität von digitalen Signatursystemen und REM-Systemen gewidmet sind. Und hier ist unser zweites Akronym: Registered Electronic Mail. REM-Protokolle beinhalten bereits die italienische PEC.

Ohne sich in technischen Dingen zu verlieren, genügt es zu sagen, dass 2019 eine Arbeitsgruppe zwischen der Digital Italy Agency, PEC-Betreibern, Uninfo und Assocertificatori eingerichtet wurde, die die technischen Regeln fertigstellt, die erforderlich sind, um PEC „aufzusteigen“ , damit es möglich ist den europäischen Standards entsprechen, die für den Qualified Certified Electronic Delivery Service (SERCQ) erforderlich sind.

Dadurch soll die Schaffung alternativer Tools vermieden werden. Tatsächlich wäre die Verdrängung eines so weit verbreiteten und eingesetzten Werkzeugs wie CEM langsam, sehr ineffizient und sicherlich unwirtschaftlich.

Jenseits von Compliance – die Chancen einer ausgereiften Digitalisierung

Wenn wir über Digitalisierung, digitale Identität, Authentifizierungs- und Zertifizierungssysteme sprechen, dürfen wir nie vergessen: Dies sind nicht nur Erfüllungen, sondern Chancen, die es zu nutzen gilt . Da sind zunächst einmal die großen Vorteile in puncto Sicherheit, Transparenz, Komfort und Effizienzsteigerung .

Aber es gibt noch ein weiteres Stichwort, das man immer im Auge behalten sollte: Integration . Dies ist ein Schlüsselwort, das absolut entscheidend ist, wenn wir uns von der Sphäre der Privatpersonen in die der Unternehmen bewegen.

Kurz gesagt, eine echte Revolution, die sich in eine Spirale der kontinuierlichen Optimierung verwandelt!