Stellungnahme des Bundesrates
Entwurf eines Gesetzes zur Durchführung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG
(eIDAS-Durchführungsgesetz)

Der Bundesrat hat in seiner 957. Sitzung am 12. Mai 2017 beschlossen, zu dem Gesetzentwurf gemäß Artikel 76 Absatz 2 des Grundgesetzes wie folgt Stellung zu nehmen:

1. Zu Artikel 1 (§ 14 Absatz 1 Satz 1 VDG)

In Artikel 1 sind in § 14 Absatz 1 Satz 1 die Wörter "insbesondere dann" zu streichen.

Begründung:

Die gewählte Regelungssystematik erscheint fehlerhaft. Mit dem Wort "insbesondere" soll ausweislich des Besonderen Teils der Begründung des Gesetzentwurfs angeordnet werden, dass die darauf folgende Auflistung von Sachverhalten, in denen der qualifizierte Vertrauensdiensteanbieter ein noch gültiges qualifiziertes Zertifikat zu widerrufen hat, nicht - wie noch im Referentenentwurf vorgesehen und in der weitgehend nachvollzogenen Regelung des derzeitigen § 8 Absatz 1 des Signaturgesetzes (SigG) angelegt - abschließend ist, sondern durch weitere, nicht ausdrücklich angeführte Gegebenheiten ergänzt werden kann. Um welche Art von Gegebenheiten es sich hierbei handeln kann, welche Bedeutung ihnen zukommen muss oder ähnliches, bleibt jedoch völlig unklar. Denn es fehlt eine vorrangige abstraktgenerelle Beschreibung der allgemeinen Grundvoraussetzungen, unter denen das Gesetz den zwingenden Widerruf eines gültigen qualifizierten Zertifikats anordnet und zu dem die in den Nummern 1 bis 4 des Satzes 1 angeführten Konstellationen lediglich - ergänzungsfähige - Beispiele bilden. Die eIDAS-Verordnung selbst enthält insoweit keine inhaltlichen Vorgaben, wovon in der Begründung des Gesetzentwurfs ebenfalls ausgegangen wird.

Eine derartige abstraktgenerelle Beschreibung von allgemeinen Grundvoraussetzungen erscheint in diesem Zusammenhang angesichts der Verschiedenheit der explizit genannten Beispiele auch nicht greifbar. So gründen die in § 14 Absatz 1 Satz 1 VDG-E angeführten Fallkonstellationen zunächst im Willen der Person - oder ihres Vertreters -, der das qualifizierte Zertifikat ausgestellt wurde, sodann in der Tatsache, dass das qualifizierte Zertifikat durch falsche Angaben "erschlichen" worden war, ferner darin, dass der qualifizierte Vertrauensdiensteanbieter seine Tätigkeit beendet, ohne von einem anderen qualifizierten Vertrauensdiensteanbieter fortgeführt zu werden, und schließlich in dem Umstand einer Fälschung oder fehlenden Fälschungssicherheit des Zertifikats, alternativ in Sicherheitsmängeln der verwendeten qualifizierten elektronischen Signatur- oder Siegelerstellungseinheiten. Damit haben alle Sachverhaltskonstellationen sich grundlegend voneinander unterscheidende Anknüpfungspunkte, für die ein gemeinsamer Oberbegriff nicht zu finden sein dürfte.

Ist dies der Fall, kann es jedoch nicht vom Gesetz offen gelassen und stattdessen der Entscheidung des einzelnen qualifizierten Vertrauensdiensteanbieters zugewiesen werden, unter welchen anderweitigen Voraussetzungen seine Pflicht zum Einschreiten gegenüber dem Zertifikatsinhaber auch noch entstehen kann. Dies gilt umso mehr, als der qualifizierte Vertrauensdiensteanbieter nicht lediglich zum Einschreiten befugt, sondern sogar verpflichtet werden soll und eine vorsätzliche oder fahrlässige Verletzung dieser Pflicht gemäß § 19 Absatz 1 Nummer 2 VDG-E eine bußgeldbewehrte Ordnungswidrigkeit darstellt. In dieser Hinsicht bestehen zugleich nicht unerhebliche Bedenken gegen die Bestimmtheit des § 19 Absatz 1 Nummer 2 VDG-E.

Ein Bedürfnis dafür, in § 14 Absatz 1 Satz 1 VDG-E von der üblichen Regelungssystematik abzuweichen und ohne grundlegende abstrakte Vorgaben sogleich nicht abschließende Regelungsbeispiele zu benennen, ist nicht ersichtlich und wird in der Begründung des Gesetzentwurfs nicht dargelegt. Dass die Regelung des derzeitigen § 8 SigG sich in der Praxis als unzureichend und ergänzungsbedürftig erwiesen hätte, wird nicht geltend gemacht. Die in § 14 Absatz 1 Satz 2 VDG-E eröffnete Möglichkeit, in dem Vertrag zwischen qualifiziertem Vertrauensdiensteanbieter und Zertifikatsinhaber weitere Widerrufsgründe zu vereinbaren, erfordert die potentielle Erweiterbarkeit der gesetzlichen Widerrufsgründe gleichfalls nicht.

2. Zu Artikel 2 Nummer 3 - neu - (§ 19 Absatz 1 De-Mail-G)

Dem Artikel 2 ist folgende Nummer 3 anzufügen:

Begründung:

Durch die eIDAS-Verordnung werden Anforderungen an qualifizierte Vertrauensdienste festgelegt. Zusammen mit der Regelung des § 18 VDG-E bleibt kein Raum für die Herausnahme der hoheitlichen Tätigkeit für Vertrauensdienste aus anderen EU-Mitgliedstaaten.

3. Zu Artikel 10 Absatz 3 (§ 5 Absatz 5 Satz 3 VwZG)

In Artikel 10 Absatz 3 ist das Wort "gestrichen" durch die Wörter 'durch die Wörter "oder einem qualifizierten elektronischen Siegel" ersetzt' zu ersetzen.

Begründung:

Das qualifizierte elektronische Siegel stellt gerade für die öffentliche Verwaltung eine Erleichterung gegenüber der qualifizierten elektronischen Signatur dar, da die Personengebundenheit bei der Ausstellung des Siegels entfällt. Das Siegel ist nicht einer Person sondern einer Behörde zugeordnet. Durch die Zulassung des qualifizierten elektronischen Siegels bei der förmlichen Zustellung elektronischer Dokumente wird somit eine Kostenersparnis erreicht, da bei personellen Veränderungen in der Behörde nicht mehr zwingend ein neues Siegel beschafft werden muss.

4. Zum Gesetzentwurf allgemein

Der Bundesrat bittet im weiteren Gesetzgebungsverfahren zu prüfen, ob in den Fällen des Einsatzes einer qualifizierten elektronischen Signatur durch Behörden auch der Einsatz eines qualifizierten elektronischen Siegels zugelassen werden kann. Dies betrifft exemplarisch § 3a Absatz 2 VwVfG.

Begründung:

Das qualifizierte elektronische Siegel stellt gerade für die öffentliche Verwaltung eine Erleichterung gegenüber der qualifizierten elektronischen Signatur dar, da die Personengebundenheit bei der Ausstellung des Siegels entfällt. Das Siegel ist nicht einer Person sondern einer Behörde zugeordnet. Durch die Zulassung des qualifizierten elektronischen Siegels bei der förmlichen Zustellung elektronischer Dokumente wird somit eine Kostenersparnis erreicht, da bei personellen Veränderungen in der Behörde nicht mehr zwingend ein neues Siegel beschafft werden muss.

5. Zum Gesetzentwurf allgemein

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren zu prüfen, ob aus Gründen der Rechtsklarheit die Zulässigkeit der Verwendung von Identifizierungsmitteln und Vertrauensdiensten aus EU/EWR-Mitgliedstaaten, beispielsweise in § 3a Absatz 2 VwVfG, § 150e GewO und § 30c Absatz 2 BZRG, in Fachgesetzen niedergelegt werden kann.

Begründung:

In einzelnen Normen wird direkt auf die Verwendung des elektronischen Identitätsnachweises nach § 18 des Personalausweisgesetzes oder nach § 78 Absatz 5 des Aufenthaltsgesetzes abgestellt. Soweit Identitätsnachweise nach der eIDAS-Verordnung zertifiziert sind, müssen diese in vergleichbarer Weise genutzt werden können. Dem Rechtsanwender ist aber diese Rechtsfolge der eIDAS-Verordnung nicht klar ersichtlich, wenn dies in zentralen Normen wie dem VwVfG auf den neuen Personalausweis oder den elektronischen Aufenthaltstitel eingeschränkt wird. Hinzu kommt, dass der neue Personalausweis EU-Ausländern nicht zur Verfügung steht und diese aufgrund der Freizügigkeit keinen Anlass haben, einen elektronischen Aufenthaltstitel zu beantragen. Analog gilt dies auch für den Einsatz von De-Mail.

6. Zum Gesetzentwurf allgemein

Der Bundesrat weist darauf hin, dass Erfüllungskosten für die Länder und Kommunen zu erwarten sind. Deren Höhe lässt sich derzeit noch nicht abschätzen, da noch nicht geklärt ist, ob und inwieweit die umgesetzten oder geplanten Nutzerkonten für die Bürger und die Unternehmen als Vertrauensdienste im Sinne des Gesetzes zu bewerten sind.

Der Bundesrat bittet die Bundesregierung, zu dieser Frage eine Einschätzung abzugeben, die auch den OZG-E (vergleiche Artikel 9 in BR-Drucksache 814/16 (PDF) ) berücksichtigt, und auf dieser Grundlage eine neue Kostenschätzung vorzunehmen.

Begründung:

Der VDG-E geht davon aus, dass Vertrauensdiensteanbieter privatwirtschaftliche Unternehmen sind. Aus diesem Grund sind die entsprechenden detaillierten und teilweise engen gesetzlichen Vorgaben zu Eingriffskompetenzen, Datenschutz und Identitätsprüfung vorgesehen. Sollten jedoch Nutzerkonten - oder Teile davon -, die von Trägern öffentlicher Gewalt angeboten werden und die nach § 3 OZG-E durch Bund und Land eingerichtet werden sollen, unter den Begriff des Vertrauensdienstes fallen, sind die geplanten Regelungen zu den Vertrauensdiensten zu weitgehend. Folglich sollte klargestellt werden, dass Nutzerkonten, die Träger öffentlicher Gewalt für Verwaltungsdienstleistungen anbieten, keine Vertrauensdienste sind.

Sofern dies nicht der Fall ist, sollte eine entsprechende Kostenschätzung erfolgen.