Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. ▢ Regelwerk, EU 2014, Wirtschaft - EU Bund |
Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG
- eIDAS-VO -
(ABl. Nr. L 257 vom 28.08.2014 S. 73, ber. 2015 L 23 S. 19, ber. 2016 L 155 S. 44;)
▾ Änderungen
Neufassung - Ersetzt RL 1999/93/EG
Das Europäische Parlament und der Rat der Europäischen Union -
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 114,
auf Vorschlag der Europäischen Kommission,
nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,
nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses 1,
gemäß dem ordentlichen Gesetzgebungsverfahren 2,
in Erwägung nachstehender Gründe:
(1) Die wirtschaftliche und soziale Entwicklung setzt Vertrauen in das Online-Umfeld voraus. Mangelndes Vertrauen führt dazu, dass Verbraucher, Unternehmen und öffentliche Verwaltungen nur zögerlich elektronische Transaktionen durchführen oder neue Dienste einführen bzw. nutzen, vor allem, wenn sie die Befürchtung hegen, dass es an Rechtssicherheit mangelt.
(2) Diese Verordnung dient der Stärkung des Vertrauens in elektronische Transaktionen im Binnenmarkt, indem eine gemeinsame Grundlage für eine sichere elektronische Interaktion zwischen Bürgern, Unternehmen und öffentlichen Verwaltungen geschaffen wird, wodurch die Effektivität öffentlicher und privater Online-Dienstleistungen, des elektronischen Geschäftsverkehrs und des elektronischen Handels in der Union erhöht wird.
(3) Die Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates 3 hat Regelungen zu elektronischen Signaturen festgelegt, ohne einen umfassenden grenz- und sektorenübergreifenden Rahmen für sichere, vertrauenswürdige und einfach zu nutzende elektronische Transaktionen zu schaffen. Die vorliegende Verordnung stärkt und erweitert die Rechtsvorschriften jener Richtlinie.
(4) In der Mitteilung der Kommission vom 26. August 2010 "Eine Digitale Agenda für Europa" wurden die Fragmentierung des Binnenmarkts, der Mangel an Interoperabilität und die Zunahme der Cyberkriminalität als große Hemmnisse für den Erfolgszyklus der digitalen Wirtschaft benannt. In ihrem Bericht über die Unionsbürgerschaft 2010 mit dem Titel "Weniger Hindernisse für die Ausübung von Unionsbürgerrechten" betonte die Kommission überdies die Notwendigkeit, die Hauptprobleme zu lösen, die Unionsbürger davon abhalten, die Vorteile eines digitalen Binnenmarktes und grenzüberschreitender digitaler Dienste zu nutzen.
(5) In seinen Schlussfolgerungen vom 4. Februar 2011 und vom 23. Oktober 2011 forderte der Europäische Rat die Kommission zur Schaffung eines digitalen Binnenmarkts bis 2015 auf, um durch die Erleichterung der grenzüberschreitenden Nutzung von Online-Diensten und insbesondere der sicheren elektronischen Identifizierung und Authentifizierung rasch Fortschritte in Schlüsselbereichen der digitalen Wirtschaft zu erzielen und einen vollständig integrierten digitalen Binnenmarkt zu fördern.
(6) In seinen Schlussfolgerungen vom 27. Mai 2011 forderte der Rat die Kommission auf, zum digitalen Binnenmarkt beizutragen, indem geeignete Bedingungen für die grenzüberschreitende gegenseitige Anerkennung der Grundvoraussetzungen wie die elektronische Identifizierung, elektronische Dokumente, elektronische Signaturen und elektronische Zustelldienste sowie für interoperable elektronische Behördendienste in der gesamten Europäischen Union geschaffen werden.
(7) Das Europäische Parlament betonte in seiner Entschließung vom 21. September 2010 zur Vollendung des Binnenmarktes für den elektronischen Handel 4, dass die Sicherheit elektronischer Dienstleistungen - insbesondere elektronischer Signaturen - wichtig ist und dass auf europäischer Ebene eine Infrastruktur öffentlicher Schlüssel (PKI - Public Key Infrastructure) geschaffen werden muss, und forderte die Kommission auf, eine Schnittstelle der europäischen Validierungsstellen (European Validation Authorities Gateway) einzurichten, um die grenzüberschreitende Interoperabilität elektronischer Signaturen zu gewährleisten und die Sicherheit von Transaktionen, die über das Internet ausgeführt werden, zu erhöhen.
(8) Die Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates 5 verpflichtet die Mitgliedstaaten zur Einrichtung von einheitlichen Ansprechpartnern genannt -, um sicherzustellen, dass alle Verfahren und Formalitäten, die die Aufnahme oder die Ausübung einer Dienstleistungstätigkeit betreffen, problemlos aus der Ferne und elektronisch über den betreffenden einheitlichen Ansprechpartner oder bei der betreffenden zuständigen Behörde abgewickelt werden können. Viele Online-Dienste, die über einheitliche Ansprechpartner zugänglich sind, erfordern eine elektronische Identifizierung, eine elektronische Authentifizierung und elektronische Signaturen.
(9) In der Regel können Bürger ihre elektronischen Identifizierungsmittel nicht verwenden, um sich in einem anderen Mitgliedstaat zu authentifizieren, weil die nationalen elektronischen Identifizierungssysteme ihres Landes in anderen Mitgliedstaaten nicht anerkannt werden. Aufgrund dieses elektronischen Hindernisses können Diensteanbieter die Vorteile des Binnenmarktes nicht vollständig ausschöpfen. Gegenseitig anerkannte elektronische Identifizierungsmittel werden die grenzüberschreitende Erbringung zahlreicher Dienstleistungen im Binnenmarkt erleichtern, und Unternehmen können grenzüberschreitend tätig werden, ohne beim Zusammenwirken mit öffentlichen Verwaltungen auf viele Hindernisse zu stoßen.
(10) Durch die Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates 6 wird ein Netzwerk der für elektronische Gesundheitsdienste zuständigen nationalen Behörden eingerichtet. Im Hinblick auf die Verbesserung der Sicherheit und Kontinuität der grenzüberschreitenden Gesundheitsversorgung ist das Netzwerk gehalten, Leitlinien für den grenzüberschreitenden Zugang zu elektronischen Gesundheitsdaten und -diensten aufzustellen und "gemeinsame Identifizierungs- und Authentifizierungsmaßnahmen" zu unterstützen, "um die Übertragbarkeit von Daten in der grenzüberschreitenden Gesundheitsversorgung zu erleichtern". Die gegenseitige Anerkennung der elektronischen Identifizierung und Authentifizierung ist der Schlüssel zur Verwirklichung einer grenzüberschreitenden Gesundheitsversorgung der europäischen Bürger. Wenn sich Personen im Ausland behandeln lassen wollen, müssen ihre medizinischen Daten im Behandlungsland zur Verfügung stehen. Dies setzt einen soliden, sicheren und vertrauenswürdigen Rahmen für die elektronische Identifizierung voraus.
(11) Diese Verordnung sollte unter uneingeschränkter Beachtung der Grundsätze des Schutzes personenbezogener Daten gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates 7 angewandt werden. Dabei sollten im Zusammenhang mit dem durch diese Verordnung festgelegten Grundsatz der gegenseitigen Anerkennung bei der Authentifizierung für einen Online-Dienst nur solche Identifizierungsdaten verarbeitet werden, die dem Zweck der Gewährung des Zugangs zu diesem Online-Dienst entsprechen, dafür erforderlich sind und nicht darüber hinausgehen. Des Weiteren sollten Vertrauensdiensteanbieter und Aufsichtsstellen die in der Richtlinie 95/46/EG festgelegten Anforderungen hinsichtlich der Vertraulichkeit und der Sicherheit der Verarbeitung einhalten.
(12) Eines der Ziele dieser Verordnung ist die Beseitigung bestehender Hindernisse bei der grenzüberschreitenden Verwendung elektronischer Identifizierungsmittel, die in den Mitgliedstaaten zumindest die Authentifizierung für öffentliche Dienste ermöglichen. Diese Verordnung bezweckt keinen Eingriff in die in den Mitgliedstaaten bestehenden elektronischen Identitätsmanagementsysteme und zugehörigen Infrastrukturen. Sie soll vielmehr sicherstellen, dass beim Zugang zu Online-Diensten, die von den Mitgliedstaaten grenzüberschreitend angeboten werden, eine sichere elektronische Identifizierung und Authentifizierung möglich ist.
(13) Den Mitgliedstaaten sollte es freigestellt bleiben, zwecks elektronischer Identifizierung eigene Mittel für den Zugang zu Online-Diensten einzuführen oder zu verwenden. Sie sollten auch selbst entscheiden können, ob sie den Privatsektor in die Bereitstellung solcher Mittel einbeziehen. Die Mitgliedstaaten sollten nicht verpflichtet sein, ihre elektronischen Identifizierungssysteme der Kommission zu notifizieren. Die Entscheidung, alle, einige oder keines der elektronischen Identifizierungssysteme der Kommission zu notifizieren, die auf nationaler Ebene zumindest für den Zugang zu öffentlichen Online-Diensten oder bestimmten Diensten verwendet werden, ist Sache der Mitgliedstaaten.
(14) In der Verordnung müssen einige Voraussetzungen im Hinblick darauf festgelegt werden, welche elektronischen Identifizierungsmittel anerkannt werden müssen und wie die elektronischen Identifizierungssysteme notifiziert werden sollten. Diese Voraussetzungen sollen den Mitgliedstaaten helfen, das nötige Vertrauen in die elektronischen Identifizierungssysteme der anderen zu schöpfen und elektronische Identifizierungsmittel, die ihren jeweiligen notifizierten Systemen unterliegen, gegenseitig anzuerkennen. Der Grundsatz der gegenseitigen Anerkennung sollte nur dann Anwendung finden, wenn das elektronische Identifizierungssystem des notifizierenden Mitgliedstaats die Notifizierungsvoraussetzungen erfüllt und die Notifizierung im Amtsblatt der Europäischen Union veröffentlicht wurde. Der Grundsatz der gegenseitigen Anerkennung sollte jedoch nur für die Authentifizierung für einen Online-Dienst gelten. Der Zugang zu diesen Online-Diensten und ihre letztendliche Erbringung gegenüber dem Antragsteller sollten eng mit dem Anspruch auf solche Dienstleistungen unter den im nationalen Recht festgelegten Bedingungen verknüpft sein.
(15) Die Pflicht zur Anerkennung elektronischer Identifizierungsmittel sollte nur in Bezug auf diejenigen Mittel gelten, deren Identitätssicherungsniveau gegenüber dem für den betreffenden Online-Dienst erforderlichen Niveau gleichwertig ist oder höher ist. Außerdem sollte diese Pflicht nur dann gelten, wenn die betreffende öffentliche Stelle für den Zugang zu diesem Online-Dienst das Sicherheitsniveau "substanziell" oder "hoch" verwendet. Den Mitgliedstaaten sollte es im Einklang mit dem Unionsrecht freistehen, elektronische Identifizierungsmittel mit niedrigerem Sicherheitsniveau für die Identität anzuerkennen.
(16) Sicherheitsniveaus sollten den Grad der Vertrauenswürdigkeit eines elektronischen Identifizierungsmittels hinsichtlich der Feststellung der Identität einer Person beschreiben und damit Gewissheit schaffen, dass es sich bei der Person, die eine bestimmte Identität beansprucht, tatsächlich um die Person handelt, der diese Identität zugewiesen wurde. Das Sicherheitsniveau hängt vom Grad der Vertrauenswürdigkeit ab, den das elektronische Identifizierungsmittel hinsichtlich der beanspruchten oder behaupteten Identität einer Person gewährleistet, wobei Prozesse (beispielsweise Identitätsnachweis und -überprüfung, Authentifizierung), Verwaltungstätigkeiten (beispielsweise die elektronische Identifizierungsmittel ausstellende Einrichtung, Verfahren zur Ausstellung dieser Mittel) und durchgeführte technische Überprüfungen berücksichtigt werden. Es existiert eine Reihe technischer Definitionen und Beschreibungen von Sicherheitsniveaus als Ergebnis der von der Union finanzierter Großpilotprojekte, der Normung und internationaler Tätigkeiten. Insbesondere das Großpilotprojekt STORK und die ISO-Norm 29115 beziehen sich unter anderem auf die Niveaus 2, 3 und 4, die so weit wie möglich bei der Festlegung technischer Mindestanforderungen, Normen und Verfahren für die Sicherheitsniveaus "niedrig", "substanziell" und "hoch" im Sinne dieser Verordnung berücksichtigt werden sollten, wobei die kohärente Anwendung dieser Verordnung - insbesondere hinsichtlich des Sicherheitsniveaus "hoch" in Bezug auf den Identitätsnachweis für die Ausstellung qualifizierter Zertifikate - sichergestellt werden sollte. Die festgelegten Anforderungen sollten technologieneutral sein. Es sollte möglich sein, die erforderlichen Sicherheitsanforderungen durch verschiedene Technologien zu erreichen.
(17) Die Mitgliedstaaten sollten den Privatsektor dazu ermutigen, freiwillig elektronische Identifizierungsmittel im Rahmen eines notifizierten Systems zu Identifizierungszwecken zu verwenden, wenn dies für Online-Dienste oder elektronische Transaktionen nötig ist. Durch die Möglichkeit der Verwendung solcher elektronischen Identifizierungsmittel könnte sich der Privatsektor auf eine elektronische Identifizierung und Authentifizierung stützen, die in vielen Mitgliedstaaten zumindest bei öffentlichen Diensten schon weit verbreitet ist, und Unternehmen und Bürgern würde der grenzüberschreitende Zugang zu ihren Online-Diensten erleichtert. Um die grenzüberschreitende Verwendung solcher elektronischen Identifizierungsmittel durch den Privatsektor zu erleichtern, sollten die von den einzelnen Mitgliedstaaten bereitgestellten Authentifizierungsmöglichkeiten den vertrauenden Beteiligten des Privatsektors, die außerhalb des Hoheitsgebiets dieses Mitgliedstaats niedergelassen sind, unter denselben Bedingungen zur Verfügung stehen, die für in diesem Mitgliedstaat niedergelassene vertrauende Beteiligte des Privatsektors gelten. Der notifizierende Mitgliedstaat kann folglich mit Blick auf die vertrauenden Beteiligten des Privatsektors Bedingungen für den Zugang zu den Authentifizierungsmitteln festlegen. Diese Zugangsbedingungen können angeben, dass das Authentifizierungsmittel für das notifizierte System den vertrauenden Beteiligten des Privatsektors derzeit noch nicht zur Verfügung steht.
(18) Diese Verordnung sollte die Haftung des notifizierenden Mitgliedstaats, des das elektronische Identifizierungsmittel ausstellenden Beteiligten und des das Authentifizierungsverfahren durchführenden Beteiligten für die Nichteinhaltung der einschlägigen Pflichten aus dieser Verordnung regeln. Sie sollte jedoch im Einklang mit den nationalen Vorschriften über die Haftung angewendet werden. Daher berührt sie diese nationalen Vorschriften nicht, soweit es etwa um den Schadensbegriff oder die einschlägigen geltende Verfahrensvorschriften - einschließlich der Bestimmungen über die Beweislast - geht.
(19) Die Sicherheit elektronischer Identifizierungssysteme ist ein wesentlicher Faktor für eine vertrauenswürdige grenzüberschreitende gegenseitige Anerkennung elektronischer Identifizierungsmittel. Die Mitgliedstaaten sollten in diesem Zusammenhang mit Blick auf die Sicherheit und die Interoperabilität der elektronischen Identifizierungssysteme auf Ebene der Union zusammenarbeiten. Wann immer für elektronische Identifizierungssysteme die Verwendung bestimmter Hardware oder Software durch vertrauende Beteiligte auf nationaler Ebene erforderlich sein könnte, verlangt die grenzüberschreitende Interoperabilität, dass die Mitgliedstaaten den außerhalb ihres Hoheitsgebiets niedergelassenen vertrauenden Parteien keine solchen Anforderungen und damit verbundene Kosten auferlegen. In diesem Fall sollten innerhalb des Anwendungsbereichs des Interoperabilitätsrahmens geeignete Lösungen erörtert und entwickelt werden. Technische Anforderungen, die sich zwangsläufig aus der Spezifikation der nationalen elektronischen Identifizierungsmittel ergeben und die voraussichtlich Nachteile für die Inhaber solcher Identifizierungsmittel (z.B. Chipkarten) mit sich bringen, sind hingegen unvermeidbar.
(20) Die Zusammenarbeit der Mitgliedstaaten sollte die technische Interoperabilität der notifizierten elektronischen Identifizierungssysteme im Hinblick auf die Förderung eines hohen Maßes an Vertrauen und Sicherheit erleichtern, das der Höhe des Risikos angemessen ist. Der Informationsaustausch und der Austausch bewährter Verfahren zwischen den Mitgliedstaaten im Hinblick auf ihre gegenseitige Anerkennung sollten bei dieser Zusammenarbeit hilfreich sein.
(21) Ferner sollte diese Verordnung einen allgemeinen Rechtsrahmen für die Verwendung von Vertrauensdiensten schaffen. Sie sollte aber keine allgemeine Verpflichtung zu deren Verwendung oder zur Einrichtung eines Zugangspunkts für alle bestehenden Vertrauensdienste einführen. Insbesondere sollte sie nicht die Erbringung von Vertrauensdiensten erfassen, die ausschließlich innerhalb geschlossener Systeme zwischen einem bestimmten Kreis von Beteiligten verwendet werden und keine Wirkung auf Dritte entfalten. So sollten beispielsweise die in Unternehmen oder Behördenverwaltungen eingerichteten Systeme zur Verwaltung interner Verfahren, bei denen Vertrauensdienste verwendet werden, nicht den Anforderungen dieser Verordnung unterliegen. Nur der Öffentlichkeit erbrachte Vertrauensdienste mit Wirkung gegenüber Dritten sollten den in dieser Verordnung festgelegten Anforderungen unterliegen. Ferner sollte diese Verordnung keine Aspekte im Zusammenhang mit dem Abschluss und der Gültigkeit von Verträgen oder anderen rechtlichen Verpflichtungen behandeln, für die nach nationalem Recht oder Unionsrecht Formvorschriften zu erfüllen sind. Unberührt bleiben sollten ferner auch nationale Formvorschriften für öffentliche Register, insbesondere das Handelsregister und das Grundbuch.
(22) Um ihre allgemeine grenzüberschreitende Verwendung zu fördern, sollte es in allen Mitgliedstaaten möglich sein, Vertrauensdienste in Gerichtsverfahren als Beweismittel zu verwenden. Die Rechtswirkung von Vertrauensdiensten ist jedoch durch nationales Recht festzulegen, sofern in dieser Verordnung nichts anderes bestimmt ist.
(23) Soweit die vorliegende Verordnung eine Verpflichtung zur Anerkennung eines Vertrauensdienstes schafft, kann solch ein Vertrauensdienst nur dann abgelehnt werden, wenn der Verpflichtete aus technischen Gründen, die außerhalb der unmittelbaren Kontrolle des Verpflichteten liegen, nicht in der Lage ist, den Dienst zu lesen oder zu überprüfen. Diese Verpflichtung allein sollte jedoch nicht dazu führen, dass sich eine öffentliche Stelle die für die technische Lesbarkeit aller bestehenden Vertrauensdienste erforderliche Hardware und Software beschaffen muss.
(24) Die Mitgliedstaaten können nationale Vorschriften für Vertrauensdienste im Einklang mit dem Unionsrecht beibehalten oder einführen, soweit diese Dienste durch die vorliegende Verordnung nicht vollständig harmonisiert sind. Vertrauensdienste, die dieser Verordnung entsprechen, sollten jedoch im Binnenmarkt frei verkehren können.
(25) Den Mitgliedstaaten sollte es freistehen, auch andere Arten von Vertrauensdiensten zusätzlich zu jenen festzulegen, die auf der in dieser Verordnung vorgesehenen abschließenden Liste der Vertrauensdienste stehen, um diese auf nationaler Ebene als qualifizierte Vertrauensdienste anzuerkennen.
(26) Angesichts des Tempos der technologischen Veränderungen sollte diese Verordnung einen für Innovationen offenen Ansatz verfolgen.
(27) Diese Verordnung sollte technologieneutral sein. Die von ihr ausgehenden Rechtswirkungen sollten mit allen technischen Mitteln erreicht werden können, sofern dadurch die Anforderungen dieser Verordnung erfüllt werden.
(28) Zur Stärkung insbesondere des Vertrauens kleiner und mittlerer Unternehmen (KMU) und der Verbraucher in den Binnenmarkt und zur Förderung der Verwendung von Vertrauensdiensten und -produkten sollten die Begriffe "qualifizierter Vertrauensdienst" und "qualifizierter Vertrauensdiensteanbieter" eingeführt werden, um Anforderungen und Pflichten festzulegen, die sicherstellen, dass bei der Benutzung oder Bereitstellung aller qualifizierten Vertrauensdienste und -produkte ein hohes Sicherheitsniveau herrscht.
(29) Im Einklang mit den Verpflichtungen aus dem Übereinkommen der Vereinten Nationen über die Rechte von Menschen mit Behinderungen, das durch den Beschluss 2010/48/EG des Rates 8 gebilligt wurde, insbesondere mit Blick auf Artikel 9 des Übereinkommens, sollten behinderte Menschen in der Lage sein, Vertrauensdienste und zur Erbringung solcher Dienste verwendete Endnutzerprodukte in gleicher Weise wie andere Verbraucher zu benutzen. Daher sollten Vertrauensdienste und zur Erbringung solcher Dienste verwendete Endnutzerprodukte Personen mit Behinderungen zugänglich und nutzbar gemacht werden, wann immer dies möglich ist. In die Bewertung der Durchführbarkeit sollten auch technische und wirtschaftliche Überlegungen einfließen.
(30) Die Mitgliedstaaten sollten eine oder mehrere Aufsichtsstellen zur Wahrnehmung der Aufsichtsaufgaben im Rahmen dieser Verordnung benennen. Ein Mitgliedstaat sollte auch aufgrund einer gegenseitigen Vereinbarung mit einem anderen Mitgliedstaat beschließen können, eine Aufsichtsstelle im Hoheitsgebiet dieses anderen Mitgliedstaats zu benennen.
(31) Die Aufsichtsstellen sollten mit Datenschutzbehörden zusammenarbeiten, beispielsweise indem sie diese über die Ergebnisse der Überprüfungen von qualifizierten Vertrauensdiensteanbietern unterrichten, falls dem Anschein nach gegen Datenschutzvorschriften verstoßen wurde. Die Übermittlung von Informationen sollte sich insbesondere auf Sicherheitsverletzungen und auf Verletzungen des Schutzes personenbezogener Daten erstrecken.
(32) Alle Vertrauensdiensteanbieter sollten gehalten sein, eine gute, den aus ihrer Tätigkeit erwachsenden Risiken angemessene Sicherheitspraxis anzuwenden und dadurch das Vertrauen der Benutzer in den Binnenmarkt zu erhöhen.
(33) Bestimmungen über die Benutzung von Pseudonymen in Zertifikaten sollten die Mitgliedstaaten nicht daran hindern, eine Identifizierung der Personen nach Unionsrecht oder nationalem Recht zu verlangen.
(34) Alle Mitgliedstaaten sollten gemeinsame wesentliche Anforderungen an die Aufsicht beachten, damit bei qualifizierten Vertrauensdiensten überall ein vergleichbares Sicherheitsniveau besteht. Um die einheitliche Anwendung dieser Anforderungen in der gesamten Union zu erleichtern, sollten die Mitgliedstaaten vergleichbare Verfahren schaffen und Informationen über ihre Aufsichtstätigkeit und bewährte Verfahren auf diesem Gebiet austauschen.
(35) Alle Vertrauensdiensteanbieter sollten - insbesondere in Bezug auf Sicherheit und Haftung - den Anforderungen dieser Verordnung unterliegen, um die gebotene Sorgfalt, Transparenz und Zurechenbarkeit ihrer Tätigkeiten und Dienste zu gewährleisten. Abhängig von der Art der von den Vertrauensdiensteanbietern erbrachten Vertrauensdienste ist es jedoch angemessen im Hinblick auf diese Anforderungen zwischen qualifizierten und nichtqualifizierten Vertrauensdiensteanbietern zu unterscheiden.
(36) Durch die Errichtung eines Aufsichtssystems für alle Vertrauensdiensteanbieter sollten gleiche Rahmenbedingungen für die Sicherheit und die Zurechenbarkeit ihrer Tätigkeiten und Dienste gewährleistet werden, um zum Schutz der Nutzer und zum Funktionieren des Binnenmarkts beizutragen. Nichtqualifizierte Vertrauensdiensteanbieter sollten weniger strikten reaktiven Expost-Aufsichtstätigkeiten unterliegen, die durch die Art ihrer Dienste und Tätigkeiten gerechtfertigt sind. Die Aufsichtsstelle sollte daher keine generelle Verpflichtung zur Beaufsichtigung nichtqualifizierter Diensteanbieter haben. Sie sollte nur dann tätig werden, wenn sie (beispielsweise durch den nichtqualifizierten Vertrauensdiensteanbieter selbst, durch eine andere Aufsichtsstelle, durch Mitteilung eines Nutzers oder eines Geschäftspartners oder aufgrund ihrer eigenen Untersuchungen) erfährt, dass ein nichtqualifizierter Vertrauensdiensteanbieter die Anforderungen der Verordnung nicht erfüllt.
(37) Diese Verordnung sollte die Haftung aller Vertrauensdiensteanbieter vorsehen. Insbesondere schafft sie eine Haftungsregelung, in deren Rahmen alle Vertrauensdiensteanbieter für Schäden haften sollen, die einer natürlichen oder juristischen Person aufgrund einer Nichteinhaltung der Verpflichtungen gemäß dieser Verordnung entstehen. Um die Bewertung des finanziellen Risikos zu erleichtern, das für Vertrauensdiensteanbieter entstehen könnte oder gegen das diese sich versichern sollten, erlaubt diese Verordnung den Vertrauensdiensteanbietern, die Nutzung der von ihnen angebotenen Dienste unter bestimmten Bedingungen zu beschränken und damit eine Haftung für Schäden aus einer darüber hinausgehenden Nutzung auszuschließen. Die Kunden sollten über die Beschränkungen vorab in angemessener Form unterrichtet werden. Diese Beschränkungen sollten für eine dritte Partei erkennbar sein, z.B. durch einen Hinweis auf die Beschränkungen in den Geschäfts- und Nutzungsbedingungen für den zu erbringenden Dienst oder in anderer erkennbarer Form. Für die Zwecke der Durchsetzung dieser Grundsätze sollte diese Verordnung im Einklang mit den nationalen Vorschriften über die Haftung angewendet werden. Diese nationalen Vorschriften, zum Beispiel was die Definition von Schäden, Vorsatz oder Fahrlässigkeit angeht, und die diesbezüglich geltenden Verfahrensvorschriften bleiben daher durch diese Verordnung unberührt.
(38) Das Melden von Sicherheitsverletzungen und Sicherheitsrisikoabschätzungen ist wichtig im Hinblick auf die Übermittlung angemessener Informationen an die Betroffenen im Fall einer Sicherheitsverletzung oder eines Integritätsverlustes.
(39) Damit die Kommission und die Mitgliedstaaten die Wirksamkeit der durch diese Verordnung eingeführten Meldeverfahren für Sicherheitsverletzungen beurteilen können, sollten die Aufsichtsstellen der Kommission und der Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) zusammengefasste Informationen hierüber übermitteln.
(40) Damit die Kommission und die Mitgliedstaaten die Wirksamkeit der durch diese Verordnung eingeführten erweiterten Aufsichtsmechanismen beurteilen können, sollten die Aufsichtsstellen verpflichtet werden, über ihre Tätigkeit zu berichten. Dies wäre von größter Bedeutung für die Erleichterung des Austauschs guter Verfahren zwischen den Aufsichtsstellen und würde es ermöglichen, die einheitliche und effiziente Umsetzung der wesentlichen Aufsichtsanforderungen in allen Mitgliedstaaten zu überprüfen.
(41) Zur Gewährleistung der Tragfähigkeit und Dauerhaftigkeit qualifizierter Vertrauensdienste und zur Stärkung des Vertrauens der Benutzer in die Kontinuität qualifizierter Vertrauensdienste sollten die Aufsichtsstellen überprüfen, dass für den Fall, dass qualifizierte Vertrauensdiensteanbieter ihre Tätigkeit einstellen, Vorschriften über Einstellungskonzepte vorliegen und diese ordnungsgemäß angewandt werden.
(42) Um die Beaufsichtigung qualifizierter Vertrauensdiensteanbieter zu erleichtern, wenn beispielsweise ein Anbieter seine Dienste in einem anderen Mitgliedstaat erbringt, in dem er keiner Aufsicht unterliegt, oder wenn sich die Rechner eines Anbieters in einem anderen Mitgliedstaat als dem seiner Niederlassung befinden, sollte ein System der gegenseitigen Amtshilfe zwischen den Aufsichtsstellen der Mitgliedstaaten eingerichtet werden.
(43) Um sicherzustellen, dass die qualifizierten Vertrauensdiensteanbieter und die von ihnen erbrachten Dienste den Anforderungen dieser Verordnung entsprechen, sollte eine Konformitätsbewertung durch eine Konformitätsbewertungsstelle durchgeführt werden, und die entsprechenden Konformitätsbewertungsberichte sollten der Aufsichtsstelle durch die qualifizierten Vertrauensdiensteanbieter vorgelegt werden. Wann immer die Aufsichtsstelle von einem qualifizierten Vertrauensdiensteanbieter verlangt, einen Adhoc-Konformitätsbewertungsbericht vorzulegen, sollte sie dabei insbesondere den Grundsätzen guter Verwaltungspraxis - einschließlich der Pflicht, ihre Entscheidungen zu begründen - und dem Grundsatz der Verhältnismäßigkeit Rechnung tragen. Die Aufsichtsstelle sollte daher ihre Entscheidung, eine Adhoc-Konformitätsbewertung zu verlangen, gebührend begründen.
(44) Mit dieser Verordnung soll ein kohärenter Rahmen geschaffen werden, der ein hohes Maß an Sicherheit und Rechtssicherheit der Vertrauensdienste gewährleistet. Mit Blick darauf sollte die Kommission bei der Ausgestaltung der Konformitätsbewertung von Produkten und Diensten gegebenenfalls Synergien mit bestehenden einschlägigen europäischen und internationalen Systemen wie etwa der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates 9 über die Vorschriften für die Akkreditierung von Konformitätsbewertungsstellen und Marktüberwachung von Produkten anstreben.
(45) Im Hinblick auf eine effiziente Einleitung des Verfahrens zur Aufnahme qualifizierter Vertrauensdiensteanbieter und von ihnen erbrachter qualifizierter Vertrauensdienste in die Vertrauenslisten sollte bereits im Vorfeld ein Zusammenwirken möglicher künftiger qualifizierter Vertrauensdiensteanbieter mit der zuständigen Aufsichtsstelle gefördert werden, um die gebotene Sorgfalt zu erleichtern, die zur Erbringung qualifizierter Vertrauensdienste führt.
(46) Vertrauenslisten sind ein wesentliches Element für die Schaffung von Vertrauen unter den Marktteilnehmern, denn sie geben Auskunft über den Qualifikationsstatus des Vertrauensdiensteanbieters zum Zeitpunkt der Beaufsichtigung.
(47) Das Vertrauen in Online-Dienste und ihre Benutzerfreundlichkeit sind entscheidend dafür, dass Anwender elektronische Dienste in vollem Umfang nutzen und sich auf solche Dienste bewusst verlassen. Es sollte daher ein EU- Vertrauenssiegel zur Kennzeichnung qualifizierter Vertrauensdienste, die von qualifizierten Vertrauensdiensteanbietern erbracht werden, eingeführt werden. Mit einem EU-Vertrauenssiegel würden qualifizierte Vertrauensdienste eindeutig von anderen Vertrauensdiensten unterschieden, wodurch ein Beitrag zur Markttransparenz geleistet würde. Die Verwendung eines EU-Vertrauenssiegels durch qualifizierte Vertrauensdiensteanbieter sollte freiwillig sein und sollte zu keiner anderen Verpflichtung als den in dieser Verordnung bereits vorgesehenen Verpflichtungen führen.
(48) Zur Gewährleistung der gegenseitigen Anerkennung elektronischer Signaturen ist zwar ein hohes Sicherheitsniveau erforderlich, dennoch sollten in bestimmten Fällen wie im Zusammenhang mit der Entscheidung 2009/767/EG der Kommission 10 auch elektronische Signaturen akzeptiert werden, die ein niedrigeres Sicherheitsniveau aufweisen.
(49) Diese Verordnung sollte den Grundsatz festlegen, dass einer elektronischen Signatur die Rechtswirkung nicht deshalb abgesprochen werden darf, weil sie in elektronischer Form vorliegt oder nicht alle Anforderungen einer qualifizierten elektronischen Signatur erfüllt. Die Rechtswirkung elektronischer Signaturen in den Mitgliedstaaten sollte jedoch durch nationales Recht festgelegt werden, außer hinsichtlich der in dieser Verordnung festgelegten Anforderungen, dass eine qualifizierte elektronische Signatur die gleiche Rechtswirkung wie eine handschriftliche Unterschrift haben sollte.
(50) Da zuständige Behörden in den Mitgliedstaaten derzeit zur elektronischen Unterzeichnung ihrer Dokumente unterschiedliche Formate fortgeschrittener elektronischer Signaturen verwenden, muss dafür gesorgt werden, dass die Mitgliedstaaten beim Empfang elektronisch unterzeichneter Dokumente zumindest eine gewisse Anzahl von Formaten fortgeschrittener elektronischer Signaturen technisch unterstützen können. Wenn zuständige Behörden in den Mitgliedstaaten fortgeschrittene elektronische Siegel verwenden, müsste ebenfalls dafür gesorgt werden, dass die Mitgliedstaaten zumindest eine gewisse Anzahl von Formaten fortgeschrittener elektronischer Siegel unterstützen.
(51) Es sollte dem Unterzeichner möglich sein, qualifizierte elektronische Signaturerstellungseinheiten der Obhut eines Dritten anzuvertrauen, sofern angemessene Mechanismen und Verfahren bestehen, die sicherstellen, dass der Unterzeichner die alleinige Kontrolle über die Verwendung seiner eigenen elektronischen Signaturerstellungsdaten hat und bei der Verwendung der Einheit die Anforderungen an qualifizierte elektronische Signaturen erfüllt werden.
(52) Die Erstellung elektronischer Fernsignaturen in einer von einem Vertrauensdiensteanbieter im Namen des Unterzeichners geführten Umgebung soll aufgrund der vielfältigen damit verbundenen wirtschaftlichen Vorteile ausgebaut werden. Damit elektronische Fernsignaturen tatsächlich rechtlich in gleicher Weise anerkannt werden können wie elektronische Signaturen, die vollständig in der Umgebung des Nutzers erstellt werden, sollten die Anbieter von elektronischen Fernsignaturdiensten jedoch spezielle Verfahren für die Handhabung und Sicherheitsverwaltung mit vertrauenswürdigen Systemen und Produkten anwenden, u. a. durch abgesicherte elektronische Kommunikationskanäle, um für eine vertrauenswürdige Umgebung zur Erstellung elektronischer Signaturen zu sorgen und zu gewährleisten, dass diese Umgebung unter alleiniger Kontrolle des Unterzeichners genutzt worden ist. Für qualifizierte elektronische Signaturen, die mit Einheiten zur Erstellung elektronischer Fernsignaturen erstellt werden, gelten die in dieser Verordnung festgelegten Anforderungen an die Vertrauensdiensteanbieter.
(53) Die Aussetzung qualifizierter Zertifikate ist in einer Reihe von Mitgliedstaaten etablierte Praxis von Vertrauensdiensteanbietern und unterscheidet sich vom Widerruf; sie führt zum vorübergehenden Verlust der Gültigkeit eines Zertifikats. Aus Gründen der Rechtssicherheit ist die Aussetzung eines Zertifikats stets deutlich auszuweisen. Vertrauensdiensteanbieter sollten daher dafür verantwortlich sein, den Status des Zertifikats und, wenn das Zertifikat ausgesetzt ist, den genauen Zeitraum, für den das Zertifikat ausgesetzt wurde, deutlich auszuweisen. Mit dieser Verordnung sollte Vertrauensdiensteanbietern oder Mitgliedstaaten die Anwendung der Aussetzung nicht auferlegt werden, aber es sollten Transparenzvorschriften vorgesehen werden, wenn eine solche Praxis zur Verfügung steht.
(54) Die grenzüberschreitende Interoperabilität und Anerkennung qualifizierter Zertifikate ist eine Vorbedingung für die grenzüberschreitende Anerkennung qualifizierter elektronischer Signaturen. Für qualifizierte Zertifikate sollten daher keine verbindlichen Anforderungen gelten, die über die in dieser Verordnung festgelegten hinausgehen. Auf nationaler Ebene sollte jedoch die Einbeziehung spezieller Merkmale wie etwa eindeutiger Identifikatoren in qualifizierte Zertifikate zulässig sein, sofern diese Merkmale die grenzüberschreitende Interoperabilität und Anerkennung qualifizierter Zertifikate und qualifizierter elektronischer Signaturen nicht behindern.
(55) Eine auf internationalen Normen wie der Norm ISO 15408 und damit verbundenen Evaluierungsmethoden und Regelungen für die gegenseitige Anerkennung beruhende IT-Sicherheitszertifizierung ist ein wichtiges Instrument, um die Sicherheit qualifizierter elektronischer Signaturerstellungseinheiten zu prüfen, und sollte gefördert werden. Innovative Lösungen und Dienste wie Mobil- oder Cloud-Signierung stützen sich indes auf technische und organisatorische Lösungen für qualifizierte elektronische Signaturerstellungseinheiten, für die Sicherheitsstandards unter Umständen noch nicht zur Verfügung stehen oder die erste IT-Sicherheitszertifizierung im Gange ist. Nur wenn die Sicherheitsstandards nicht zur Verfügung stehen oder die erste IT-Sicherheitszertifizierung im Gange ist, könnte das Sicherheitsniveau solcher qualifizierter elektronischer Signaturerstellungseinheiten durch alternative Verfahren evaluiert werden. Diese Verfahren sollten mit den Standards für die IT-Sicherheitszertifizierung vergleichbar sein, soweit ihre Sicherheitsniveaus gleichwertig sind. Diese Verfahren könnten durch eine gegenseitige Begutachtung erleichtert werden.
(56) In dieser Verordnung sollten Anforderungen an qualifizierte elektronische Signaturerstellungseinheiten festgelegt werden, mit denen die Funktionalität fortgeschrittener elektronischer Signaturen gewährleistet werden soll. Diese Verordnung sollte nicht die gesamte Systemumgebung abdecken, in der die Einheit betrieben wird. Daher sollte sich der Anwendungsbereich der Zertifizierung qualifizierter Signaturerstellungseinheiten nur auf die Hardware und die Systemsoftware erstrecken, die verwendet werden, um die in der Signaturerstellungseinheit erstellten, gespeicherten oder verarbeiteten Signaturerstellungsdaten zu verwalten und zu schützen. Wie in den einschlägigen Normen angegeben, sollte der Anwendungsbereich der Zertifizierungspflicht Signaturerstellungsanwendungen ausschließen.
(57) Um Rechtssicherheit bezüglich der Gültigkeit der Signatur zu schaffen, müssen die Bestandteile einer qualifizierten elektronischen Signatur im Einzelnen festgelegt werden, die von dem vertrauenden Beteiligten, der die Validierung durchführt, überprüft werden sollten. Ferner dürften durch die Festlegung der Anforderungen an qualifizierte Vertrauensdiensteanbieter, die einen qualifizierten Validierungsdienst für vertrauende Dritte erbringen können, welche nicht willens oder in der Lage sind, qualifizierte elektronische Signaturen selbst zu validieren, für den privaten und öffentlichen Sektor Anreize zu Investitionen in solche Dienste entstehen. Beide Elemente sollten die Validierung qualifizierter elektronischer Signaturen auf Unionsebene für alle Beteiligten einfach und bequem machen.
(58) Erfordert eine Transaktion ein qualifiziertes elektronisches Siegel einer juristischen Person, so sollte eine qualifizierte elektronische Signatur eines befugten Vertreters der juristischen Person ebenfalls akzeptabel sein.
(59) Elektronische Siegel sollten als Nachweis dafür dienen, dass ein elektronisches Dokument von einer juristischen Person ausgestellt wurde, und sollten den Ursprung und die Unversehrtheit des Dokuments belegen.
(60) Vertrauensdiensteanbieter, die qualifizierte Zertifikate für elektronische Siegel erstellen, sollten die erforderlichen Maßnahmen ergreifen, damit sie die Identität der natürlichen Person, welche die juristische Person vertritt, für die das qualifizierte Zertifikat für elektronische Siegel bestimmt ist, feststellen können, wenn eine solche Identifizierung auf nationaler Ebene im Zusammenhang mit Gerichts- oder Verwaltungsverfahren erforderlich ist.
(61) Diese Verordnung sollte die Langzeitbewahrung von Informationen gewährleisten, um die rechtliche Gültigkeit elektronischer Signaturen und elektronischer Siegel über lange Zeiträume zu gewährleisten und sicherzustellen, dass diese ungeachtet künftiger technologischer Veränderungen noch validiert werden können.
(62) Um die Sicherheit qualifizierter elektronischer Zeitstempel sicherzustellen, sollte diese Verordnung die Verwendung eines fortgeschrittenen elektronischen Siegels oder einer fortgeschrittenen elektronischen Signatur oder anderer gleichwertiger Methoden vorschreiben. Es ist davon auszugehen, dass im Zuge der Innovation möglicherweise neue Technologien entwickelt werden, die für Zeitstempel ein gleichwertiges Sicherheitsniveau gewährleisten können. Wann immer eine andere Methode als ein fortgeschrittenes elektronisches Siegel oder eine fortgeschrittene elektronische Signatur verwendet wird, sollte es Sache des qualifizierten Vertrauensdiensteanbieters sein, im Konformitätsbewertungsbericht darzulegen, dass eine solche Methode ein gleichwertiges Sicherheitsniveau gewährleistet und dass sie die in dieser Verordnung festgelegten Verpflichtungen erfüllt.
(63) Elektronische Dokumente sind wichtig für die weitere Entwicklung grenzüberschreitender Transaktionen im Binnenmarkt. Diese Verordnung sollte den Grundsatz festlegen, dass einem elektronischen Dokument die Rechtswirkung nicht deshalb abgesprochen werden darf, weil es in elektronischer Form vorliegt, damit sichergestellt ist, dass eine elektronische Transaktion nicht allein deshalb verweigert werden kann, weil ein Dokument in elektronischer Form vorliegt.
(64) Bei der Ausgestaltung der Formate fortgeschrittener elektronischer Signaturen und Siegel sollte die Kommission auf bestehenden Verfahren, Normen und Rechtsvorschriften, insbesondere dem Beschluss 2011/130/EU der Kommission 11, aufbauen.
(65) Zusätzlich zur Authentifizierung eines von einer juristischen Person ausgestellten Dokuments können elektronische Siegel auch verwendet werden, um digitale Besitzgegenstände der juristischen Person wie z.B. Software-Code oder Server zu authentifizieren.
(66) Es ist von wesentlicher Bedeutung, dass ein Rechtsrahmen geschaffen wird, um die grenzüberschreitende Anerkennung zwischen den bestehenden nationalen rechtlichen Regelungen in Bezug auf Dienste für die Zustellung elektronischer Einschreiben zu erleichtern. Dieser Rahmen könnte Vertrauensdiensteanbietern der Union außerdem neue Marktchancen eröffnen, denn sie werden europaweit neue Dienste für die Zustellung elektronischer Einschreiben anbieten können.
(67) Website-Authentifizierungsdienste geben dem Besucher einer Website die Sicherheit, dass hinter der Website eine echte und rechtmäßige Einrichtung steht. Diese Dienste tragen zur Vertrauensbildung in der Abwicklung des elektronischen Geschäftsverkehrs bei, da die Nutzer einer authentifizierten Website vertrauen werden. Die Bereitstellung und Nutzung von Website-Authentifizierungsdiensten erfolgt ausschließlich auf freiwilliger Basis. Damit jedoch die Website-Authentifizierung zu einem Mittel wird, mit dem Vertrauen gestärkt wird, der Benutzer positivere Erfahrungen machen kann und das Wachstum im Binnenmarkt gefördert wird, sollten in dieser Verordnung Mindestanforderungen an Sicherheit und Haftung für die Anbieter und ihre Dienste festgelegt werden. Mit Blick darauf sind die Ergebnisse bestehender Initiativen unter Federführung der Branche, z.B. des Forums der Zertifizierungsstellen und Browser-Anbieter - CA/B-Forum - berücksichtigt worden. Des Weiteren sollte diese Verordnung weder die Nutzung anderer, nicht unter diese Verordnung fallender Mittel und Methoden zur Website- Authentifizierung behindern, noch die Anbieter von Website-Authentifizierungsdiensten aus Drittländern daran hindern, ihre Dienste für Kunden in der Union zu erbringen. Die Website-Authentifizierungsdienste eines Anbieters aus einem Drittland sollten allerdings nur dann als qualifiziert im Sinne dieser Verordnung anerkannt werden können, wenn eine internationale Vereinbarung zwischen der Union und dem Land, in dem der Anbieter niedergelassen ist, geschlossen wurde.
(68) Der Begriff der "juristischen Person" im Sinne der Bestimmungen über die Niederlassung im Vertrag über die Arbeitsweise der Europäischen Union (AEUV) stellt es dem Marktteilnehmer frei, die Rechtsform zu wählen, die er für die Ausübung seiner Tätigkeit für geeignet hält. Folglich sind "juristische Personen" im Sinne des AEUV sämtliche Einrichtungen, die nach dem Recht eines Mitgliedstaats gegründet wurden oder diesem Recht unterstehen, unabhängig von ihrer Rechtsform.
(69) Die Organe, Einrichtungen und sonstigen Stellen der Union sollten elektronische Identifizierung und Vertrauensdienste, die unter diese Verordnung fallen, zum Zweck der Verwaltungszusammenarbeit anerkennen und dabei insbesondere Nutzen aus bewährten Verfahren und den Ergebnissen laufender Projekte in den unter diese Verordnung fallenden Bereichen ziehen.
(70) Im Hinblick auf eine flexible und zügige Vervollständigung bestimmter technischer Einzelaspekte dieser Verordnung sollte der Kommission die Befugnis übertragen werden, gemäß Artikel 290 AEUV Rechtsakte in Bezug auf die Kriterien, die die für die Zertifizierung qualifizierter elektronischer Signaturerstellungseinheiten zuständigen Stellen zu erfüllen haben, zu erlassen. Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeit angemessene Konsultationen, auch auf der Ebene von Sachverständigen, durchführt. Bei der Vorbereitung und Ausarbeitung delegierter Rechtsakte sollte die Kommission dafür sorgen, dass die einschlägigen Dokumente dem Europäischen Parlament und dem Rat gleichzeitig, rechtzeitig und auf angemessene Weise übermittelt werden.
(71) Zur Gewährleistung einheitlicher Bedingungen für die Durchführung dieser Verordnung sollten der Kommission Durchführungsbefugnisse übertragen werden, damit sie insbesondere Kennnummern für Normen festlegen kann, deren Einhaltung die Vermutung begründet, dass bestimmte Anforderungen, die in dieser Verordnung festgelegt sind, erfüllt werden. Diese Befugnisse sollten im Einklang mit der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates 12 ausgeübt werden.
(72) Damit ein hohes Maß an Sicherheit und Interoperabilität bei der elektronischen Identifizierung und bei den elektronischen Vertrauensdiensten herrscht, sollte die Kommission beim Erlass von delegierten Rechtsakten bzw. Durchführungsrechtsakten die von europäischen und internationalen Normungsorganisationen und -einrichtungen - insbesondere dem Europäischen Komitee für Normung (CEN), dem Europäischen Institut für Telekommunikationsnormen (ETSI), der Internationalen Normungsorganisation (ISO) und der Internationalen Fernmeldeunion (ITU) - festgelegten Normen und technischen Spezifikationen gebührend berücksichtigen.
(73) Aus Gründen der Rechtssicherheit und Klarheit sollte die Richtlinie 1999/93/EG aufgehoben werden.
(74) Zur Gewährleistung der Rechtssicherheit für Marktteilnehmer, die bereits qualifizierte Zertifikate verwenden, welche gemäß der Richtlinie 1999/93/EG an natürliche Personen ausgestellt wurden, ist es notwendig, für technische Zwecke einen ausreichenden Übergangszeitraum vorzusehen. Ebenso sollten Übergangsmaßnahmen für sichere Signaturerstellungseinheiten, deren Konformität gemäß der Richtlinie 1999/93/EG festgestellt wurde, sowie für Zertifizierungsdiensteanbieter, die vor dem 1. Juli 2016 qualifizierte Zertifikate ausstellen, vorgesehen werden. Schließlich ist es auch notwendig, der Kommission vor diesem Termin die Mittel zum Erlass der Durchführungsrechtsakte und delegierten Rechtsakte zur Verfügung zu stellen.
(75) Bestehende Verpflichtungen, denen die Mitgliedstaaten nach dem Unionsrecht, insbesondere nach der Richtlinie 2006/123/EG, bereits unterliegen, werden durch die in dieser Verordnung festgelegten Fristen für die Anwendung nicht berührt.
(76) Da die Ziele dieser Verordnung von den Mitgliedstaaten nicht ausreichend verwirklicht werden können, sondern vielmehr wegen des Umfangs der Maßnahmen auf Unionsebene besser zu verwirklichen sind, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Verordnung nicht über das für die Verwirklichung dieser Ziele erforderliche Maß hinaus.
(77) Der Europäische Datenschutzbeauftragte ist gemäß Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates 13 angehört worden und hat am 27. September 2012 eine Stellungnahme abgegeben 14
- haben folgende Verordnung erlassen:
Kapitel I
Allgemeine Bestimmungen
Diese Verordnung dient dem ordnungsgemäßen Funktionieren des Binnenmarkts und der Gewährleistung eines angemessenen Sicherheitsniveaus bei unionsweit genutzten elektronischen Identifizierungsmitteln und Vertrauensdiensten, um natürlichen und juristischen Personen die Ausübung des Rechts auf sichere Teilhabe an der digitalen Gesellschaft und auf Zugang zu öffentlichen und privaten Online-Diensten in der gesamten Union zu ermöglichen und zu erleichtern. Dazu wird in dieser Verordnung Folgendes festgelegt:
Artikel 2 Anwendungsbereich 24
(1) Diese Verordnung gilt für von einem Mitgliedstaat notifizierte elektronische Identifizierungssysteme, für von einem Mitgliedstaat bereitgestellte europäische Brieftaschen für die Digitale Identität und für in der Union niedergelassene Vertrauensdiensteanbieter.
(2) Diese Verordnung findet keine Anwendung auf die Erbringung von Vertrauensdiensten, die ausschließlich innerhalb geschlossener Systeme aufgrund von nationalem Recht oder von Vereinbarungen zwischen einem bestimmten Kreis von Beteiligten verwendet werden.
(3) Diese Verordnung berührt nicht das Unionsrecht oder das nationale Recht in Bezug auf den Abschluss und die Gültigkeit von Verträgen oder andere rechtliche oder verfahrensmäßige Formvorschriften oder sektorspezifische Formvorschriften.
(4) Die vorliegende Verordnung gilt unbeschadet der Verordnung (EG) 2016/679 des Europäischen Parlaments und des Rates 16.
Artikel 3 Begriffsbestimmungen 24
Für die Zwecke dieser Verordnung gelten die folgenden Begriffsbestimmungen:
1. "Elektronische Identifizierung" ist der Prozess der Verwendung von Personenidentifizierungsdaten in elektronischer Form, die eine natürliche oder juristische Person oder eine natürliche Person, die eine andere natürliche Person oder eine juristische Person vertritt, eindeutig repräsentieren.
2. "Elektronisches Identifizierungsmittel" ist eine materielle und/oder immaterielle Einheit, die Personenidentifizierungsdaten enthält und zur Authentifizierung bei Online-Diensten oder gegebenenfalls bei Offline-Diensten verwendet wird.
3. "Personenidentifizierungsdaten" sind ein Datensatz, der im Einklang mit dem Unionsrecht oder dem nationalen Recht ausgestellt wird und es ermöglicht, die Identität einer natürlichen oder juristischen Person oder einer natürlichen Person, die eine andere natürliche Person oder eine juristische Person vertritt, festzustellen.
4. "Elektronisches Identifizierungssystem" ist ein System für die elektronische Identifizierung, in dessen Rahmen natürlichen oder juristischen Personen oder natürlichen Personen, die andere natürliche Personen oder juristische Personen vertreten, elektronische Identifizierungsmittel ausgestellt werden.
5. "Authentifizierung" ist ein elektronischer Prozess, der die Bestätigung der elektronischen Identifizierung einer natürlichen oder juristischen Person oder die Bestätigung des Ursprungs und der Unversehrtheit von Daten in elektronischer Form ermöglicht.
5a. "Nutzer" ist eine natürliche oder juristische Person oder eine natürliche Person, die eine andere natürliche Person oder eine juristische Person vertritt, die gemäß dieser Verordnung bereitgestellte Vertrauensdienste oder elektronische Identifizierungsmittel verwendet.
6. "Vertrauender Beteiligter" ist eine natürliche oder juristische Person, die auf eine elektronische Identifizierung, europäische Brieftaschen für die Digitale Identität oder andere Mittel zur elektronischen Identifizierung oder einen Vertrauensdienst vertraut.
7. "Öffentliche Stelle" bezeichnet einen Staat, eine Gebietskörperschaft, eine Einrichtung des öffentlichen Rechts oder einen Verband, der aus einer oder mehreren dieser Körperschaften oder Einrichtungen des öffentlichen Rechts besteht, oder eine private Einrichtung, die von mindestens einer dieser Körperschaften, Einrichtungen oder Verbände mit der Erbringung von öffentlichen Dienstleistungen beauftragt wurde, wenn sie im Rahmen dieses Auftrags handelt.
8. "Einrichtung des öffentlichen Rechts" ist eine Einrichtung nach Artikel 2 Absatz 1 Nummer 4 der Richtlinie 2014/24/EU des Europäischen Parlaments und des Rates 15.
9. "Unterzeichner" ist eine natürliche Person, die eine elektronische Signatur erstellt.
10. "Elektronische Signatur" sind Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.
11. "Fortgeschrittene elektronische Signatur" ist eine elektronische Signatur, die die Anforderungen des Artikels 26 erfüllt.
12. "Qualifizierte elektronische Signatur" ist eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde und auf einem qualifizierten Zertifikat für elektronische Signaturen beruht.
13. "Elektronische Signaturerstellungsdaten" sind eindeutige Daten, die vom Unterzeichner zum Erstellen einer elektronischen Signatur verwendet werden.
14. "Zertifikat für elektronische Signaturen" ist eine elektronische Bescheinigung, die elektronische Signaturvalidierungsdaten mit einer natürlichen Person verknüpft und die mindestens den Namen oder das Pseudonym dieser Person bestätigt.
15. "Qualifiziertes Zertifikat für elektronische Signaturen" ist ein von einem qualifizierten Vertrauensdiensteanbieter ausgestelltes Zertifikat für elektronische Signaturen, das die Anforderungen des Anhangs I erfüllt.
16. "Vertrauensdienst" ist ein elektronischer Dienst, der in der Regel gegen Entgelt erbracht wird und aus irgendeiner der folgenden Tätigkeiten besteht:
17. "Qualifizierter Vertrauensdienst" ist ein Vertrauensdienst, der die einschlägigen Anforderungen dieser Verordnung erfüllt.
18. "Konformitätsbewertungsstelle" ist eine Konformitätsbewertungsstelle im Sinne der Begriffsbestimmung in Artikel 2 Nummer 13 der Verordnung (EG) Nr. 765/2008, die gemäß jener Verordnung als zur Durchführung der Konformitätsbewertung qualifizierter Vertrauensdiensteanbieter und der von ihnen erbrachten qualifizierten Vertrauensdienste oder zur Durchführung der Zertifizierung von europäischen Brieftaschen für die Digitale Identität oder elektronischen Identifizierungsmitteln befähigte Stelle akkreditiert worden ist.
19. "Vertrauensdiensteanbieter" ist eine natürliche oder juristische Person, die einen oder mehrere Vertrauensdienste als qualifizierter oder nichtqualifizierter Vertrauensdiensteanbieter erbringt.
20. "Qualifizierter Vertrauensdiensteanbieter" ist ein Vertrauensdiensteanbieter, der einen oder mehrere qualifizierte Vertrauensdienste erbringt und dem von der Aufsichtsstelle der Status eines qualifizierten Anbieters verliehen wurde.
21. "Produkt" bezeichnet Hardware, Software oder spezifische Komponenten von Hard- oder Software, die zur Erbringung von elektronischen Identifizierungsdiensten und Vertrauensdiensten bestimmt sind.
22. "Elektronische Signaturerstellungseinheit" ist eine konfigurierte Software oder Hardware, die zum Erstellen einer elektronischen Signatur verwendet wird.
23. "Qualifizierte elektronische Signaturerstellungseinheit" ist eine elektronische Signaturerstellungseinheit, die die Anforderungen des Anhangs II erfüllt.
23a "Qualifizierte elektronische Fernsignaturerstellungseinheit" ist eine qualifizierte elektronische Signaturerstellungseinheit, die von einem qualifizierten Vertrauensdiensteanbieter gemäß Artikel 29a im Namen eines Unterzeichners verwaltet wird.
23b. "Qualifizierte elektronische Fernsiegelerstellungseinheit" ist eine qualifizierte elektronische Siegelerstellungseinheit, die von einem qualifizierten Vertrauensdiensteanbieter gemäß Artikel 39a im Namen eines Siegelerstellers verwaltet wird.
24. "Siegelersteller" ist eine juristische Person, die ein elektronisches Siegel erstellt.
25. "Elektronisches Siegel" sind Daten in elektronischer Form, die anderen Daten in elektronischer Form beigefügt oder logisch mit ihnen verbunden werden, um deren Ursprung und Unversehrtheit sicherzustellen.
26. "Fortgeschrittenes elektronisches Siegel" ist ein elektronisches Siegel, das die Anforderungen des Artikels 36 erfüllt.
27. "Qualifiziertes elektronisches Siegel" ist ein fortgeschrittenes elektronisches Siegel, das von einer qualifizierten elektronischen Siegelerstellungseinheit erstellt wird und auf einem qualifizierten Zertifikat für elektronische Siegel beruht.
28. "Elektronische Siegelerstellungsdaten" sind eindeutige Daten, die vom Siegelersteller zum Erstellen eines elektronischen Siegels verwendet werden.
29. "Zertifikat für elektronische Siegel" ist eine elektronische Bescheinigung, die elektronische Siegelvalidierungsdaten mit einer juristischen Person verknüpft und den Namen dieser Person bestätigt.
30. "Qualifiziertes Zertifikat für elektronische Siegel" ist ein von einem qualifizierten Vertrauensdiensteanbieter ausgestelltes Zertifikat für elektronische Siegel, das die Anforderungen des Anhangs III erfüllt.
31. "Elektronische Siegelerstellungseinheit" ist eine konfigurierte Software oder Hardware, die zum Erstellen eines elektronischen Siegels verwendet wird.
32. "Qualifizierte elektronische Siegelerstellungseinheit" ist eine elektronische Siegelerstellungseinheit, die die Anforderungen des Anhangs II sinngemäß erfüllt.
33. "Elektronischer Zeitstempel" bezeichnet Daten in elektronischer Form, die andere Daten in elektronischer Form mit einem bestimmten Zeitpunkt verknüpfen und dadurch den Nachweis erbringen, dass diese anderen Daten zu diesem Zeitpunkt vorhanden waren.
34. "Qualifizierter elektronischer Zeitstempel" ist ein elektronischer Zeitstempel, der die Anforderungen des Artikels 42 erfüllt.
35. "Elektronisches Dokument" ist jeder in elektronischer Form, insbesondere als Text-, Ton-, Bild- oder audiovisuelle Aufzeichnung gespeicherte Inhalt.
36. "Dienst für die Zustellung elektronischer Einschreiben" ist ein Dienst, der die Übermittlung von Daten zwischen Dritten mit elektronischen Mitteln ermöglicht und einen Nachweis der Handhabung der übermittelten Daten erbringt, darunter den Nachweis der Absendung und des Empfangs der Daten, und der die übertragenen Daten vor Verlust, Diebstahl, Beschädigung oder unbefugter Veränderung schützt.
37. "Qualifizierter Dienst für die Zustellung elektronischer Einschreiben" ist ein Dienst für die Zustellung elektronischer Einschreiben, der die Anforderungen des Artikels 44 erfüllt.
38. "Zertifikat für die Website-Authentifizierung" ist eine elektronische Bescheinigung, die die Authentifizierung einer Website ermöglicht und die Website mit der natürlichen oder juristischen Person verknüpft, der das Zertifikat ausgestellt wurde.
39. "Qualifiziertes Zertifikat für die Website-Authentifizierung" ist ein von einem qualifizierten Vertrauensdiensteanbieter ausgestelltes Zertifikat für Website-Authentifizierung, das die Anforderungen des Anhangs IV erfüllt.
40. "Validierungsdaten" sind Daten, die zur Validierung einer elektronischen Signatur oder eines elektronischen Siegels verwendet werden.
41. "Validierung" ist der Prozess der Überprüfung und Bestätigung der Gültigkeit von Daten in elektronischer Form gemäß den Anforderungen dieser Verordnung.
42. "Europäische Brieftasche für die Digitale Identität" ist ein elektronisches Identifizierungsmittel, das es dem Nutzer ermöglicht, Personenidentifizierungsdaten und elektronische Attributsbescheinigungen sicher zu speichern, zu verwalten und zu validieren, um sie vertrauenden Beteiligten und anderen Nutzern von europäischen Brieftaschen für die Digitale Identität zu präsentieren und mittels qualifizierter elektronischer Signaturen zu unterzeichnen oder mittels qualifizierter elektronischer Siegel zu besiegeln.
43. "Attribut" ist ein Merkmal, eine Qualität, ein Recht oder die Erlaubnis einer natürlichen oder juristischen Person oder eines Objekts.
44. "Elektronische Attributsbescheinigung" ist eine in elektronischer Form vorliegende Bescheinigung, die die Authentifizierung von Attributen ermöglicht.
45. "Qualifizierte elektronische Attributsbescheinigung" ist eine von einem qualifizierten Vertrauensdiensteanbieter ausgestellte elektronische Attributsbescheinigung, die die Anforderungen des Anhangs V erfüllt.
46. "Von oder im Namen einer für eine authentische Quelle zuständigen öffentlichen Stelle ausgestellte elektronische Attributsbescheinigung" ist eine elektronische Attributsbescheinigung, die gemäß Artikel 45f und Anhang VII von einer öffentlichen Stelle, die für eine authentische Quelle zuständig ist, oder von einer öffentlichen Stelle, die von dem Mitgliedstaat dafür benannt wurde, solche Attributsbescheinigungen im Namen der öffentlichen Stellen, die für authentische Quellen zuständig sind, auszustellen, ausgestellt wurde.
47. "Authentische Quelle" ist ein Datenspeicher oder ein System, der bzw. das unter der Verantwortung einer öffentlichen Stelle oder privaten Einrichtung betrieben wird, Attribute zu einer natürlichen oder juristischen Person oder zu einem Objekt enthält und bereitstellt und als eine primäre Quelle für diese Informationen gilt oder im Einklang mit Unionsrecht oder nationalem Recht - einschließlich der Verwaltungspraxis - als authentisch anerkannt wird.
48. "Elektronische Archivierung" ist ein Dienst für die Entgegennahme, die Speicherung, den Abruf und die Löschung elektronischer Daten und elektronischer Dokumente, der ihre Dauerhaftigkeit und Lesbarkeit gewährleistet sowie ihre Unversehrtheit, Vertraulichkeit und den Nachweis ihrer Herkunft während des gesamten Bewahrungszeitraums erhält.
49. "Qualifizierter elektronischer Archivierungsdienst" ist ein elektronischer Archivierungsdienst, der von einem qualifizierten Vertrauensdiensteanbieter erbracht wird und der die Anforderungen des Artikels 45j erfüllt.
50. "Vertrauenssiegel der europäischen Brieftasche für die Digitale Identität" ist eine nachprüfbare, einfache und erkennbare sowie eindeutig kommunizierte Angabe, dass eine europäische Brieftasche für die Digitale Identität gemäß dieser Verordnung bereitgestellt wurde.
51. "Starke Nutzerauthentifizierung" ist eine Authentifizierung unter Heranziehung von mindestens zwei Authentifizierungsfaktoren aus verschiedenen Kategorien entweder von Wissen - etwas, das nur der Nutzer weiß -, Besitz - etwas, das nur der Nutzer besitzt - oder Inhärenz - etwas, das der Nutzer ist -, die insofern voneinander unabhängig sind, als die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt, und die so konzipiert ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist.
52. "Elektronisches Journal" ist eine Abfolge von Aufzeichnungen elektronischer Daten, die die Unversehrtheit dieser Aufzeichnungen und die Richtigkeit ihrer chronologischen Reihenfolge gewährleistet.
53. "Qualifiziertes elektronisches Journal" ist ein elektronisches Journal, das von einem qualifizierten Vertrauensdiensteanbieter geführt wird und die Anforderungen des Artikels 45l erfüllt.
54. "Personenbezogene Daten" sind alle Informationen im Sinne des Artikels 4 Nummer 1 der Verordnung (EU) 2016/679.
55. "Identitätsabgleich" ist ein Verfahren, bei dem Personenidentifizierungsdaten oder elektronische Identifizierungsmittel mit einem bestehenden Konto, das derselben Person gehört, abgeglichen oder verknüpft werden.
56. "Datensatz" sind elektronische Daten, die mit zugehörigen Metadaten zur Unterstützung der Verarbeitung der Daten erfasst werden.
57. "Offline-Modus" - im Hinblick auf die Nutzung von europäischen Brieftaschen für die Digitale Identität - ist eine Interaktion zwischen einem Nutzer und einem Dritten an einem physischen Ort unter Nutzung von Technologien für kurze Distanzen (Proximity-Technologien), bei der für die Zwecke dieser Interaktion die europäische Brieftasche für die Digitale Identität nicht über elektronische Kommunikationsnetze auf internetbasierte Systeme zugreifen muss.
Artikel 4 Binnenmarktgrundsatz
(1) Die Erbringung von Vertrauensdiensten im Gebiet eines Mitgliedstaats durch einen in einem anderen Mitgliedstaat niedergelassenen Vertrauensdiensteanbieter unterliegt keinen Beschränkungen aus Gründen, die in den Anwendungsbereich dieser Verordnung fallen.
(2) Produkte und Vertrauensdienste, die dieser Verordnung entsprechen, dürfen im Binnenmarkt frei verkehren.
Artikel 5 Pseudonyme bei elektronischen Transaktionen 24
Unbeschadet spezifischer Vorschriften des Unionsrechts oder des nationalen Rechts, wonach die Nutzer sich identifizieren müssen, oder der Rechtswirkungen, die Pseudonyme nach nationalem Recht haben, darf die Benutzung von vom Nutzer gewählten Pseudonymen nicht untersagt werden.
Kapitel II
Elektronische Identifizierung
Abschnitt 1
Europäische Brieftasche für die digitale Identität 24
Artikel 5a Europäische Brieftaschen für die Digitale Identität 24
(1) Damit alle natürlichen und juristischen Personen in der Union einen sicheren, vertrauenswürdigen und nahtlosen grenzüberschreitenden Zugang zu öffentlichen und privaten Diensten erhalten -unter Wahrung der vollständigen Kontrolle über ihre Daten -, stellt jeder Mitgliedstaat innerhalb von 24 Monaten nach dem Tag des Inkrafttretens der in Absatz 23 und Artikel 5c Absatz 6 genannten Durchführungsrechtsakte mindestens eine europäische Brieftasche für die Digitale Identität bereit.
(2) Europäische Brieftaschen für die Digitale Identität werden auf eine der folgenden Art und Weisen bereitgestellt:
(3) Für den Quellcode der Anwendungssoftwarekomponenten von europäischen Brieftaschen für die Digitale Identität muss eine Open-Source-Lizenz gelten. Die Mitgliedstaaten können vorsehen, dass in hinreichend begründeten Fällen der Quellcode bestimmter Komponenten, die nicht auf den Geräten des Nutzers installiert sind, nicht offengelegt wird.
(4) Europäische Brieftaschen für die Digitale Identität müssen dem Nutzer Folgendes auf eine nutzerfreundliche und für ihn transparente und nachvollziehbare Weise ermöglichen:
(5) Europäische Brieftaschen für die Digitale Identität müssen insbesondere
Ungeachtet des Unterabsatzes 1 Buchstabe g können die Mitgliedstaaten verhältnismäßige Maßnahmen vorsehen, um sicherzustellen, dass die kostenlose Verwendung qualifizierter elektronischer Signaturen durch natürliche Personen auf nichtgewerbliche Zwecke beschränkt wird.
(6) Die Mitgliedstaaten setzen die Nutzer unverzüglich von Sicherheitsverletzungen in Kenntnis, die ihre europäische Brieftasche für die Digitale Identität oder deren Inhalt möglicherweise vollständig oder teilweise kompromittiert haben könnten, und zwar insbesondere dann, wenn ihre europäische Brieftasche für die Digitale Identität gemäß Artikel 5e ausgesetzt oder widerrufen wurde;
(7) Unbeschadet des Artikels 5f können die Mitgliedstaaten im Einklang mit dem nationalen Recht zusätzliche Funktionen von europäischen Brieftaschen für die Digitale Identität vorsehen, einschließlich der Interoperabilität mit bestehenden nationalen elektronischen Identifikationsmitteln. Diese zusätzlichen Funktionen müssen dem vorliegenden Artikel entsprechen.
(8) Die Mitgliedstaaten stellen kostenlose Validierungsmechanismen bereit, um
(9) Die Mitgliedstaaten tragen dafür Sorge, dass die Gültigkeit der europäischen Brieftasche für die Digitale Identität unter den folgenden Umständen widerrufen werden kann:
(10) Anbieter von europäischen Brieftaschen für die Digitale Identität tragen dafür Sorge, dass Nutzer auf einfache Weise technische Unterstützung anfordern und technische Probleme oder andere Vorfälle, die negative Auswirkungen auf die Nutzung von europäischen Brieftaschen für die Digitale Identität haben, melden können.
(11) Europäische Brieftaschen für die Digitale Identität werden im Rahmen eines notifizierten elektronischen Identifizierungssystems mit der Sicherheitsstufe "hoch" bereitgestellt.
(12) Europäische Brieftaschen für die Digitale Identität sind mit "konzeptintegrierter Sicherheit" auszustatten.
(13) Die Ausstellung, die Verwendung und der Widerruf von europäischen Brieftaschen für die Digitale Identität erfolgt für alle natürlichen Personen kostenlos.
(14) Die Nutzer haben die uneingeschränkte Kontrolle über die Nutzung ihrer europäischen Brieftasche für die Digitale Identität und über die darin enthaltenen Daten. Der Anbieter der europäischen Brieftasche für die Digitale Identität sammelt weder Informationen über die Nutzung der europäischen Brieftasche für die Digitale Identität, die für die Erbringung der mit der europäischen Brieftasche für die Digitale Identität verbundenen Dienste nicht erforderlich sind, noch kombiniert er Personenidentifizierungsdaten oder andere gespeicherte oder im Zusammenhang mit der Verwendung der europäischen Brieftasche für die Digitale Identität stehende personenbezogene Daten mit personenbezogenen Daten aus anderen vom Anbieter angebotenen Diensten oder aus Diensten Dritter, die für die Bereitstellung der mit der europäischen Brieftasche für die Digitale Identität verbundenen Dienste nicht erforderlich sind, es sei denn, der Nutzer hat dies ausdrücklich anders verlangt. Personenbezogene Daten in Bezug auf die Bereitstellung der europäischen Brieftasche für die Digitale Identität werden vom Anbieter der europäischen Brieftasche für die Digitale Identität von allen anderen gespeicherten Daten logisch getrennt gehalten. Wird die europäischen Brieftasche für die Digitale Identität von privaten Beteiligten gemäß Absatz 2 Buchstaben b und c des vorliegenden Artikels bereitgestellt, so gelten sinngemäß die Bestimmungen von Artikel 45h Absatz 3.
(15) Die Nutzung von europäischen Brieftaschen für die Digitale Identität ist freiwillig. Natürliche oder juristische Personen, die die europäische Brieftasche für die Digitale Identität nicht nutzen, dürfen in ihrem Zugang zu öffentlichen und privaten Diensten und zum Arbeitsmarkt sowie in ihrer unternehmerischen Freiheit in keiner Weise eingeschränkt oder benachteiligt werden. Der Zugang zu öffentlichen und privaten Diensten muss weiterhin über andere bestehende Identifizierungs- und Authentifizierungsmittel möglich sein.
(16) Der technische Rahmen der europäischen Brieftasche für die Digitale Identität
(17) Jede Verarbeitung personenbezogener Daten durch die Mitgliedstaaten oder in deren Namen durch Stellen oder Parteien, die für die Bereitstellung von europäischen Brieftaschen für die Digitale Identität als elektronisches Identifizierungsmittel verantwortlich sind, erfolgt im Einklang mit geeigneten und wirksamen Datenschutzmaßnahmen. Es ist nachzuweisen, dass diese Verarbeitungstätigkeiten mit der Verordnung (EU) 2016/679 im Einklang stehen. Die Mitgliedstaaten können nationale Bestimmungen erlassen, um die Anwendung dieser Maßnahmen zu präzisieren.
(18) Die Mitgliedstaaten übermitteln der Kommission unverzüglich Informationen über
Die Kommission macht die gemäß dem ersten Unterabsatz übermittelten Informationen der Öffentlichkeit über einen gesicherten Kanal in elektronisch signierter oder besiegelter Form zugänglich, die für eine automatisierte Verarbeitung geeignet ist.
(19) Unbeschadet des Absatzes 22 des vorliegenden Artikels gilt Artikel 11 entsprechend für die europäische Brieftasche für die Digitale Identität.
(20) Artikel 24 Absatz 2 Buchstabe b und Buchstaben d bis h gilt entsprechend für Anbieter von europäischen Brieftaschen für die Digitale Identität.
(21) Europäische Brieftaschen für die Digitale Identität werden gemäß der Richtlinie (EU) 2019/882 des Europäischen Parlaments und des Rates 17 für Menschen mit Behinderungen zur gleichberechtigen Nutzung zugänglich gemacht.
(22) Für die Zwecke der Bereitstellung von europäischen Brieftaschen für die Digitale Identität und der elektronischen Identifizierungssysteme, in deren Rahmen sie bereitgestellt werden, unterliegen sie nicht den Anforderungen der Artikel 7, 9, 10, 12 und 12a.
(23) Bis zum 21. November 2024 erstellt die Kommission im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards und legt, sofern erforderlich, die Spezifikationen und Verfahren für die in den Absätzen 4, 5, 8 und 18 des vorliegenden Artikels genannten Anforderungen in Bezug auf die europäische Brieftasche für die Digitale Identität fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
(24) Die Kommission erstellt im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards und legt erforderlichenfalls Spezifikationen und Verfahren fest, um die Einbindung von Nutzern in die europäische Brieftasche für die Digitale Identität unter Nutzung entweder von elektronischen Identifizierungsmitteln der Sicherheitsstufe "hoch" oder von elektronischen Identifizierungsmitteln der Sicherheitsstufe "substanziell"- in Verbindung mit zusätzlichen Verfahren der Ferneinbindung, die zusammen den Anforderungen der Sicherheitsstufe "hoch" entsprechen - zu erleichtern. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 5b Vertrauende Beteiligte der europäischen Brieftaschen für die Digitale Identität 24
(1) Wenn ein vertrauender Beteiligter beabsichtigt, für die Bereitstellung öffentlicher oder privater Dienste auf europäische Brieftaschen für die Digitale Identität zurückzugreifen, registriert sich der vertrauende Beteiligte in dem Mitgliedstaat, in dem er niedergelassen ist.
(2) Das Registrierungsverfahren muss kosteneffizient und dem Risiko angemessen sein. Der vertrauende Beteiligte stellt mindestens Folgendes bereit:
(3) Vertrauende Beteiligte dürfen von Nutzern keine anderen Daten als die Daten verlangen, die gemäß Absatz 2 Buchstabe c angegeben wurden.
(4) Die Absätze 1 und 2 lassen das Unionsrecht oder das nationale Recht, das auf die Erbringung bestimmter Dienste anwendbar ist, unberührt.
(5) Die Mitgliedstaaten machen die in Absatz 2 genannten Informationen der Öffentlichkeit online in elektronisch signierter oder besiegelter Form zugänglich, die für eine automatisierte Verarbeitung geeignet ist.
(6) Vertrauende Beteiligte, die gemäß diesem Artikel registriert wurden, unterrichten die Mitgliedstaaten unverzüglich über jede Änderung der gemäß Absatz 2 in der Registrierung bereitgestellten Informationen.
(7) Die Mitgliedstaaten stellen einen gemeinsamen Mechanismus zur Ermöglichung der Identifizierung und Authentifizierung der vertrauenden Beteiligten entsprechend Artikel 5a Absatz 5 Buchstabe c bereit.
(8) Beabsichtigen vertrauende Beteiligte, auf europäische Brieftaschen für die Digitale Identität zurückzugreifen, so müssen sie sich gegenüber dem Nutzer identifizieren.
(9) Die vertrauenden Beteiligten sind für die Durchführung des Verfahrens zur Authentifizierung und Validierung von Personenidentifizierungsdaten und elektronischen Attributsbescheinigungen, die über europäische Brieftaschen für die Digitale Identität verlangt werden, verantwortlich. Vertrauende Beteiligte dürfen die Verwendung von Pseudonymen nicht verweigern, wenn die Identifizierung des Nutzers nicht im Unionsrecht oder im nationalen Recht vorgeschrieben ist.
(10) Vermittler, die im Namen vertrauender Beteiligter handeln, sind als vertrauende Beteiligte zu betrachten und dürfen keine Daten über den Inhalt der Transaktion speichern.
(11) Bis zum 21. November 2024 legt die Kommission technische und betriebliche Spezifikationen und Verfahren für die Anforderungen der Absätze 2, 5 und 6 bis 9 dieses Artikels im Wege von Durchführungsrechtsakten zur Umsetzung der europäischen Brieftasche für die Digitale Identität gemäß Artikel 5a Absatz 23 fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 5c Zertifizierung der europäischen Brieftaschen für die Digitale Identität 24
(1) Die Konformität der europäischen Brieftaschen für die Digitale Identität und des elektronischen Identifizierungssystems, in dessen Rahmen sie bereitgestellt werden, mit den Anforderungen gemäß Artikel 5a Absätze 4, 5 und 8, der Anforderung der logischen Trennung gemäß Artikel 5a Absatz 14 und, falls anwendbar, mit den in Artikel 5a Absatz 24 genannten Standards und technischen Spezifikationen werden von den von den Mitgliedstaaten benannten Konformitätsbewertungsstellen zertifiziert.
(2) Die Zertifizierung der Konformität von europäischen Brieftaschen für die Digitale Identität mit den in Absatz 1 dieses Artikels genannten Anforderungen oder Teilen davon, die für die Cybersicherheit relevant sind, erfolgt im Einklang mit den gemäß der Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates 18 erlassenen und in den gemäß Absatz 6 des vorliegenden Artikels erlassenen Durchführungsrechtsakten genannten europäischen Schemata für die Cybersicherheitszertifizierung.
(3) Für Anforderungen in Absatz 1 des vorliegenden Artikels genannte Anforderungen, die nicht für die Cybersicherheit relevant sind, und auch für in Absatz 1 vorliegenden Artikels genannte Anforderungen, die für die Cybersicherheit relevant sind, soweit die in Absatz 2 vorliegenden Artikels genannten Schemata für die Cybersicherheitszertifizierung diese Cybersicherheitsanforderungen nicht oder nur teilweise abdecken, richten die Mitgliedstaaten für diese Anforderungen nationale Zertifizierungssysteme ein, die den Anforderungen entsprechen, die in den in Absatz 6 des vorliegenden Artikels genannten Durchführungsrechtsakten festgelegt sind. Die Mitgliedstaaten übermitteln die Entwürfe ihrer nationalen Schemata für die Zertifizierung der gemäß Artikel 46e Absatz 1 eingesetzten europäische Kooperationsgruppe für die digitale Identität (im Folgenden "Kooperationsgruppe"). Die Kooperationsgruppe kann Stellungnahmen und Empfehlungen abgeben.
(4) Die Zertifizierung gemäß Absatz 1 gilt für einen Zeitraum von bis zu fünf Jahren, sofern alle zwei Jahre eine Schwachstellenbeurteilung durchgeführt wird. Wird eine Schwachstelle festgestellt und nicht zeitnah behoben, so wird die Zertifizierung aufgehoben.
(5) Die Erfüllung der Anforderungen nach Artikel 5a der vorliegenden Verordnung in Bezug auf die Verarbeitung personenbezogener Daten kann gemäß der Verordnung (EU) 2016/679 zertifiziert werden.
(6) Bis zum 21. November 2024 erstellt die Kommission im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards und legt erforderlichenfalls die Spezifikationen und Verfahren für die Zertifizierung von in den Absätzen 1, 2 und 3 des vorliegenden Artikels genannten europäischen Brieftaschen für die Digitale Identität fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
(7) Die Mitgliedstaaten teilen der Kommission die Namen und Anschriften der in Absatz 1 genannten Konformitätsbewertungsstellen mit. Die Kommission stellt diese Informationen allen Mitgliedstaaten zur Verfügung.
(8) Der Kommission wird die Befugnis übertragen, gemäß Artikel 47 delegierte Rechtsakte zur Festlegung besonderer Kriterien, die von den in Absatz 1 dieses Artikels aufgeführten benannten Konformitätsbewertungsstellen zu erfüllen sind, zu erlassen.
Artikel 5d Veröffentlichung einer Liste der zertifizierten europäischen Brieftaschen für die Digitale Identität 24
(1) Die Mitgliedstaaten unterrichten die Kommission und die gemäß Artikel 46e Absatz 1 eingesetzte Kooperationsgruppe unverzüglich über europäische Brieftaschen für die Digitale Identität, die gemäß Artikel 5a bereitgestellt und von den in Artikel 5c Absatz 1 genannten Konformitätsbewertungsstellen zertifiziert worden sind. Sie unterrichten die Kommission und die gemäß Artikel 46e Absatz 1 eingesetzte Kooperationsgruppe unverzüglich über jede Aufhebung der Zertifizierung und geben die Gründe für die Aufhebung an.
(2) Unbeschadet des Artikels 5a Absatz 18 umfassen die von den Mitgliedstaaten gemäß Absatz 1 des vorliegenden Artikels übermittelten Informationen mindestens Folgendes:
(3) Auf der Grundlage der gemäß Absatz 1 erhaltenen Informationen sorgt die Kommission für die Aufstellung, die Veröffentlichung im Amtsblatt der Europäischen Union und die Führung einer maschinenlesbaren Liste der zertifizierten europäischen Brieftaschen für die Digitale Identität.
(4) Ein Mitgliedstaat kann bei der Kommission die Streichung einer europäischen Brieftasche für die Digitale Identität und des elektronischen Identifizierungssystems, in dessen Rahmen sie bereitgestellt wird, aus der in Absatz 3 genannten Liste beantragen.
(5) Bei Änderungen an den gemäß Absatz 1 übermittelten Informationen übermittelt der Mitgliedstaat der Kommission aktualisierte Informationen.
(6) Die Kommission hält die in Absatz 3 genannte Liste auf dem neuesten Stand, indem sie die entsprechenden Änderungen an der Liste innerhalb eines Monats nach Eingang eines Antrags gemäß Absatz 4 oder an den aktualisierten Informationen gemäß Absatz 5 im Amtsblatt der Europäischen Union veröffentlicht.
(7) Bis zum 21. November 2024 legt die Kommission die Formate und Verfahren für die Zwecke der Absätze 1, 4 und 5 des vorliegenden Artikels im Wege eines Durchführungsrechtsakts zur Umsetzung von europäischen Brieftaschen für die Digitale Identität gemäß Artikel 5a Absatz 23 fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 5e Sicherheitsverletzung bei europäischen Brieftaschen für die Digitale Identität 24
(1) Im Falle einer Verletzung oder partiellen Beeinträchtigung der nach Artikel 5a bereitgestellten europäischen Brieftaschen für die Digitale Identität, der in Artikel 5a Absatz 8 genannten Validierungsmechanismen oder des elektronischen Identifizierungssystems, in dessen Rahmen die europäischen Brieftaschen für die Digitale Identität bereitgestellt werden, in einer Weise, die sich auf ihre Verlässlichkeit oder die Verlässlichkeit anderer europäischer Brieftaschen für die Digitale Identität auswirkt, setzt der Mitgliedstaat, der die europäische Brieftasche für die Digitale Identität bereitgestellt hat, unverzüglich die Bereitstellung und Nutzung von europäischen Brieftaschen für die Digitale Identität aus.
Wenn dies durch die Schwere der in Unterabsatz 1 genannten Sicherheitsverletzung oder -beeinträchtigung gerechtfertigt ist, entzieht der Mitgliedstaat europäische Brieftaschen für die Digitale Identität unverzüglich.
Der Mitgliedstaat unterrichtet die betroffenen Nutzer, die gemäß Artikel 46c Absatz 1 benannten einheitlichen Anlaufstellen, die vertrauenden Beteiligten und die Kommission entsprechend.
(2) Wird die in Absatz 1 Unterabsatz 1 dieses Artikels genannte Sicherheitsverletzung oder -beeinträchtigung nicht innerhalb von drei Monaten nach der Aussetzung behoben, so entzieht der Mitgliedstaat, der die europäischen Brieftaschen für die Digitale Identität bereitgestellt hat, europäische Brieftaschen für die Digitale Identität und widerruft deren Gültigkeit. Der Mitgliedstaat unterrichtet die betroffenen Nutzer, die gemäß Artikel 46c Absatz 1 benannten einheitlichen Anlaufstellen, die vertrauenden Beteiligten und die Kommission entsprechend von dem Entzug.
(3) Wurde hinsichtlich der in Absatz 1 Unterabsatz 1 des vorliegenden Artikels genannten Sicherheitsverletzung oder -beeinträchtigung Abhilfe geschaffen, so stellt der bereitstellende Mitgliedstaat die Bereitstellung und Nutzung von europäischen Brieftaschen für die Digitale Identität wieder her und unterrichtet hiervon unverzüglich die betroffenen Nutzer und die vertrauenden Beteiligten, die einheitliche Anlaufstelle gemäß Artikel 46c Absatz 1 und die Kommission.
(4) Die Kommission veröffentlicht die entsprechenden Änderungen an der in Artikel 5d genannten Liste unverzüglich im Amtsblatt der Europäischen Union.
(5) Bis zum 21. November 2024 erstellt die Kommission im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards und legt, sofern erforderlich, die Spezifikationen und Verfahren für die in den Absätzen 1, 2 und 3 dieses Artikels genannten Maßnahmen fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 5f Grenzüberschreitende Verwendung auf europäische Brieftaschen für die Digitale Identität 24
(1) Verlangen Mitgliedstaaten für den Zugang zu einem von einer öffentlichen Stelle erbrachten Online-Dienst eine elektronische Identifizierung und Authentifizierung, so akzeptieren sie auch europäische Brieftaschen für die Digitale Identität, die gemäß dieser Verordnung bereitgestellt werden.
(2) Sind private vertrauende Beteiligte, die Dienste erbringen - mit Ausnahme von Kleinst- und kleinen Unternehmen im Sinne von Artikel 2 des Anhangs der Empfehlung 2003/361/EG der Kommission 19 -, nach Unionsrecht oder nationalem Recht verpflichtet, eine Online-Identifizierung mit starker Nutzerauthentifizierung vorzunehmen, oder ist eine Online-Identifizierung mit starker Nutzerauthentifizierung vertraglich vorgeschrieben, auch in den Bereichen Verkehr, Energie, Bankenwesen, Finanzdienstleistungen, soziale Sicherheit, Gesundheit, Trinkwasser, Postdienste, digitale Infrastrukturen, Bildung oder Telekommunikation, so akzeptieren diese privaten vertrauenden Beteiligten hierfür spätestens 36 Monate nach dem Tag des Inkrafttretens der Durchführungsrechtsakte gemäß Artikel 5a Absatz 23 und Artikel 5c Absatz 6 und nur auf das freiwilliges Verlangen des Nutzers auch europäische Brieftaschen für die Digitale Identität, die gemäß dieser Verordnung bereitgestellt werden.
(3) Verlangen Anbieter sehr großer Online-Plattformen gemäß Artikel 33 der Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates 20 für den Zugang zu Online-Diensten eine Nutzerauthentifizierung, so akzeptieren und erleichtern sie hierfür auch die Verwendung von europäischen Brieftaschen für die Digitale Identität, die gemäß dieser Verordnung zur Nutzerauthentifizierung bereitgestellt werden, und zwar nur auf freiwilliges Verlangen des Nutzers und nur mit den Mindestdaten, die für den spezifischen Online-Dienst, für den die Authentifizierung verlangt wird, erforderlich sind.
(4) In Zusammenarbeit mit den Mitgliedstaaten erleichtert die Kommission die Aufstellung von Verhaltenskodizes in enger Zusammenarbeit mit allen einschlägigen Interessenträgern, einschließlich der Zivilgesellschaft, um zu der breiten Verfügbarkeit und Nutzbarkeit von europäischen Brieftaschen für die Digitale Identität im Anwendungsbereich dieser Verordnung beizutragen und Diensteanbieter dazu anzuhalten, die Entwicklung von Verhaltenskodizes abzuschließen.
(5) Innerhalb von 24 Monaten nach Einführung von europäischen Brieftaschen für die Digitale Identität bewertet die Kommission die Nachfrage, Verfügbarkeit und Nutzbarkeit von europäischen Brieftaschen für die Digitale Identität durch, wobei sie Kriterien wie die Inanspruchnahme durch Nutzer, die grenzüberschreitende Präsenz von Diensteanbietern, die technische Entwicklung, die Entwicklung der Verwendungsmuster und die Verbrauchernachfrage berücksichtigt.
Abschnitt 2
Elektronische Identifizierungssysteme 24
Artikel 6 Gegenseitige Anerkennung
(1) Ist für den Zugang zu einem von einer öffentlichen Stelle in einem Mitgliedstaat erbrachten Online-Dienst nach nationalem Recht oder aufgrund der Verwaltungspraxis eine elektronische Identifizierung mit einem elektronischen Identifizierungsmittel und mit einer Authentifizierung erforderlich, so wird ein in einem anderen Mitgliedstaat ausgestelltes elektronisches Identifizierungsmittel im ersten Mitgliedstaat für die Zwecke der grenzüberschreitenden Authentifizierung für diesen Online-Dienst anerkannt, sofern folgende Bedingungen erfüllt sind:
Diese Anerkennung muss spätestens 12 Monate nach Veröffentlichung der in Unterabsatz 1 Buchstabe a genannten Liste durch die Kommission erfolgen.
(2) Ein elektronisches Identifizierungsmittel, das über ein in der von der Kommission gemäß Artikel 9 veröffentlichten Liste enthaltenes elektronisches Identifizierungssystem ausgestellt wird und dem Sicherheitsniveau "niedrig" entspricht, kann von öffentlichen Stellen für die Zwecke der grenzüberschreitenden Authentifizierung der von diesen Stellen erbrachten Online-Dienste anerkannt werden.
Artikel 7 Voraussetzungen für die Notifizierung elektronischer Identifizierungssysteme 24
Ein elektronisches Identifizierungssystem kann nach Artikel 9 Absatz 1 notifiziert werden, wenn sämtliche folgenden Bedingungen erfüllt sind:
Für vertrauende Beteiligte, die keine öffentlichen Stellen sind, kann der notifizierende Mitgliedstaat Bedingungen für den Zugang zu dieser Authentifizierung festlegen. Die grenzüberschreitende Authentifizierung ist gebührenfrei, wenn sie in Bezug auf einen Online-Dienst erfolgt, der von einer öffentlichen Stelle erbracht wird.
Die Mitgliedstaaten machen vertrauenden Beteiligten, die eine solche Authentifizierung durchführen möchten, keine spezifischen unverhältnismäßigen technischen Vorgaben, wenn derartige Vorgaben die Interoperabilität der notifizierten elektronischen Identifizierungssysteme verhindern oder erheblich beeinträchtigen.
Artikel 8 Sicherheitsniveaus elektronischer Identifizierungssysteme 24
(1) Ein gemäß Artikel 9 Absatz 1 notifiziertes elektronisches Identifizierungssystem gibt die Sicherheitsniveaus "niedrig", "substanziell" und/oder "hoch" an, die den nach diesem System ausgestellten elektronischen Identifizierungsmitteln zuerkannt wurden.
(2) Die Sicherheitsniveaus "niedrig", "substanziell" bzw."hoch" erfüllen folgende Kriterien:
(3) Bis zum 18. September 2015 legt die Kommission unter Berücksichtigung der einschlägigen internationalen Normen vorbehaltlich des Absatzes 2 im Wege von Durchführungsrechtsakten technische Spezifikationen, Standards und Verfahren mit Mindestanforderungen fest, auf die sich die Festlegung der Sicherheitsniveaus "niedrig", "substanziell" und "hoch" für elektronische Identifizierungsmittel bezieht.
Diese technischen Spezifikationen, Normen und Verfahren mit Mindestanforderungen werden unter Bezugnahme auf die Zuverlässigkeit und Qualität folgender Elemente festgelegt:
Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
(1) Der notifizierende Mitgliedstaat notifiziert der Kommission folgende Informationen und unverzüglich alle späteren Änderungen dieser Informationen:
(2) Die Kommission veröffentlicht im Amtsblatt der Europäischen Union unverzüglich eine Liste der gemäß Absatz 1 notifizierten elektronischen Identifizierungssysteme zusammen mit grundlegenden Informationen über diese Systeme.
(3) Die Kommission veröffentlicht im Amtsblatt der Europäischen Union die Änderungen an der in Absatz 2 genannten Liste innerhalb eines Monats ab dem Tag des Eingangs der Notifizierung des Mitgliedstaats.
(4) Ein Mitgliedstaat kann bei der Kommission die Streichung eines von diesem Mitgliedstaat notifizierten Identifizierungssystems aus der in Absatz 2 genannten Liste beantragen. Die Kommission veröffentlicht im Amtsblatt der Europäischen Union die entsprechenden Änderungen der Liste innerhalb eines Monats ab dem Zeitpunkt, zu dem das Ersuchen des Mitgliedstaats eingegangen ist.
(5) Die Kommission kann im Wege von Durchführungsrechtsakten Einzelheiten, Form und Verfahren für die Notifizierung nach Absatz 1 festlegen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 10 Sicherheitsverletzung bei elektronischen Identifizierungssystemen 24
(1) Im Falle einer Verletzung oder partiellen Beeinträchtigung des nach Artikel 9 Absatz 1 notifizierten elektronischen Identifizierungssystems oder der in Artikel 7 Buchstabe f genannten Authentifizierung in einer Weise, die sich auf die Verlässlichkeit der grenzüberschreitenden Authentifizierung dieses Systems auswirkt, setzt der notifizierende Mitgliedstaat diese grenzüberschreitende Authentifizierung oder die entsprechenden beeinträchtigten Teile umgehend aus oder widerruft sie und unterrichtet hiervon die anderen Mitgliedstaaten und die Kommission.
(2) Wurde hinsichtlich der in Absatz 1 genannten Verletzung oder Beeinträchtigung Abhilfe geschaffen, so stellt der notifizierende Mitgliedstaat die grenzüberschreitende Authentifizierung wieder her und unterrichtet unverzüglich die anderen Mitgliedstaaten und die Kommission.
(3) Wird hinsichtlich der in Absatz 1 genannten Verletzung oder Beeinträchtigung nicht innerhalb von drei Monaten nach der Aussetzung oder dem Widerruf Abhilfe geschaffen, so meldet der notifizierende Mitgliedstaat den anderen Mitgliedstaaten und der Kommission die Zurücknahme des elektronischen Identifizierungssystems.
Die Kommission veröffentlicht die entsprechenden Änderungen an der in Artikel 9 Absatz 2 genannten Liste unverzüglich im Amtsblatt der Europäischen Union.
Artikel 11 Haftung
(1) Der notifizierende Mitgliedstaat haftet für die Schäden, die natürlichen oder juristischen Personen vorsätzlich oder fahrlässig zugefügt werden und die auf eine Verletzung der in Artikel 7 Buchstaben d und f festgelegten Pflichten bei einer grenzüberschreitenden Transaktion zurückzuführen sind.
(2) Der das elektronische Identifizierungsmittel ausstellende Beteiligte haftet für die Schäden, die natürlichen oder juristischen Personen vorsätzlich oder fahrlässig zugefügt werden und die auf eine Verletzung der in Artikel 7 Buchstabe e festgelegten Pflichten bei einer grenzüberschreitenden Transaktion zurückzuführen sind.
(3) Der das Authentifizierungsverfahren durchführende Beteiligte haftet für die Schäden, die natürlichen oder juristischen Personen vorsätzlich oder fahrlässig zugefügt werden und die auf die inkorrekte Durchführung der Authentifizierung nach Artikel 7 Buchstabe f bei einer grenzüberschreitenden Transaktion zurückzuführen sind.
(4) Die Absätze 1, 2 und 3 werden im Einklang mit den nationalen Vorschriften über die Haftung angewendet.
(5) Die Absätze 1, 2 und 3 berühren nicht die unter das nationale Recht fallende Haftung der Beteiligten an einer Transaktion, bei der dem gemäß Artikel 9 Absatz 1 notifizierten elektronischen Identifizierungssystem unterliegende elektronische Identifizierungsmittel verwendet wurden.
Artikel 11a Grenzüberschreitender Identitätsabgleich 24
(1) Sind Mitgliedstaaten im Rahmen von grenzüberschreitenden Diensten vertrauende Beteiligte, so stellen sie einen Identitätsabgleich in Bezug auf natürliche Personen, die notifizierte elektronische Identifizierungsmittel oder europäischen Brieftaschen für die Digitale Identität verwenden, sicher.
(2) Die Mitgliedstaaten sehen technische und organisatorische Maßnahmen vor, um ein hohes Schutzniveau für personenbezogene Daten, die für den Identitätsabgleich verwendet werden, sicherzustellen und die Erstellung von Nutzerprofilen zu verhindern.
(3) Bis zum 21. November 2024 erstellt die Kommission eine Liste der Referenzstandards und legt, sofern notwendig, die Spezifikationen und Verfahren für die in Absatz 1 des vorliegenden Artikels genannten Anforderungen im Wege von Durchführungsrechtsakten fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 12 Interoperabilität 24
(1) Die gemäß Artikel 9 Absatz 1 notifizierten nationalen elektronischen Identifizierungssysteme müssen interoperabel sein.
(2) Für die Zwecke des Absatzes 1 wird ein Interoperabilitätsrahmen geschaffen.
(3) Der Interoperabilitätsrahmen muss folgende Kriterien erfüllen:
(4) Der Interoperabilitätsrahmen besteht aus Folgendem:
(5) Die Mitgliedstaaten führen gegenseitige Begutachtungen der elektronischen Identifizierungssysteme, die in den Anwendungsbereich dieser Verordnung fallenden und die gemäß Artikel 9 Absatz 1 Buchstabe a zu notifizieren sind, durch.
(6) Bis zum 18. März 2025 legt die Kommission im Wege von Durchführungsrechtsakten die nötigen Verfahrensmodalitäten für die in Absatz 5 dieses Artikels genannten gegenseitigen Begutachtungen fest, um ein hohes Maß an Vertrauen und Sicherheit, das der Höhe des Risikos angemessen ist, zu fördern. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
(7) - gestrichen -
(8) Bis zum 18. September 2025 erlässt die Kommission unter Zugrundelegung der in Absatz 3 des vorliegenden Artikels aufgeführten Kriterien und unter Berücksichtigung der Ergebnisse der Zusammenarbeit zwischen den Mitgliedstaaten Durchführungsrechtsakte zum Interoperabilitätsrahmen gemäß Absatz 4 des vorliegenden Artikels, um einheitliche Voraussetzungen für die Umsetzung der Verpflichtung gemäß Absatz 1 dieses Artikels vorzugeben. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
(9) Die in den Absätzen 7 und 8 genannten Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 12a Zertifizierung elektronischer Identifizierungssysteme 24
(1) Die Konformität der zu notifizierenden elektronischen Identifizierungssysteme mit den in dieser Verordnung festgelegten Cybersicherheitsanforderungen, einschließlich der Konformität mit den für die Cybersicherheit relevanten Anforderungen, die in Artikel 8 Absatz 2 zu den Sicherheitsniveaus elektronischer Identifizierungssysteme festgelegt sind, wird von Konformitätsbewertungsstellen zertifiziert, die von den Mitgliedstaaten benannt werden.
(2) Die Zertifizierung gemäß Absatz 1 dieses Artikels wird im Rahmen eines einschlägigen Schemas für die Cybersicherheitszertifizierung gemäß der Verordnung (EU) 2019/881 oder Teilen davon durchgeführt, sofern das Cybersicherheitszertifikat oder Teile davon die Cybersicherheitsanforderungen abdecken.
(3) Die Zertifizierung gemäß Absatz 1 gilt für einen Zeitraum von bis zu fünf Jahren, sofern alle zwei Jahre eine Schwachstellenbeurteilung durchgeführt wird. Wird eine Schwachstelle festgestellt und nicht innerhalb von drei Monaten, nachdem dies festgestellt wurde, behoben, so wird die Zertifizierung aufgehoben.
(4) Ungeachtet des Absatzes 2 können die Mitgliedstaaten gemäß dem genannten Absatz von einem notifizierenden Mitgliedstaat zusätzliche Informationen über zertifizierte elektronische Identifizierungssysteme oder Teile davon anfordern.
(5) Die gegenseitige Begutachtung elektronischer Identifizierungssysteme gemäß Artikel 12 Absatz 5 erfolgt nicht bei elektronischen Identifizierungssystemen oder Teilen davon, die im Einklang mit Absatz 1 dieses Artikels zertifiziert wurden. Die Mitgliedstaaten können ein Zertifikat oder eine Erklärung der Konformität mit den in Artikel 8 Absatz 2 in Bezug auf das Sicherheitsniveau elektronischer Identifizierungssysteme festgelegten, nicht die Cybersicherheit betreffenden Anforderungen verwenden, das bzw. die nach einem einschlägigen Zertifizierungsschema oder Teilen solcher Schemata ausgestellt wurde.
(6) Die Mitgliedstaaten teilen der Kommission die Namen und Anschriften der in Absatz 1 genannten Konformitätsbewertungsstellen mit. Die Kommission stellt diese Informationen allen Mitgliedstaaten zur Verfügung.
Artikel 12b Zugang zu Hardware- und Software-Funktionen 24
Wenn Anbieter von europäischen Brieftaschen für die Digitale Identität und Aussteller notifizierter elektronischer Identifizierungsmittel, die in gewerblicher oder beruflicher Eigenschaft handeln und dazu zentrale Plattformdienste im Sinne von Artikel 2 Nummer 2 der Verordnung (EU) 2022/1925 des Europäischen Parlaments und des Rates 21 zum Zwecke oder im Zuge der Bereitstellung von Diensten im Zusammenhang mit der europäischen Brieftasche für die Digitale Identität und elektronischen Identifizierungsmitteln an Endnutzer verwenden, gewerbliche Nutzer im Sinne des Artikels 2 Nummer 21 der genannten Verordnung sind, so ermöglichen Torwächter ihnen insbesondere wirksame Interoperabilität mit - und Zugang für Zwecke der Interoperabilität zu - denselben Betriebssystem-, Hardware- oder Software-Funktionen. Im Sinne von Artikel 6 Absatz 7 der Verordnung (EU) 2022/1925 werden diese wirksame Interoperabilität und der Zugang kostenlos und unabhängig davon, ob die Hardware- oder Software-Funktionen, die der Torwächter bei der Erbringung solcher Dienste zur Verfügung hat oder verwendet, Teil des Betriebssystems sind, ermöglicht. Der vorliegende Artikel gilt unbeschadet des Artikels 5a Absatz 14 der vorliegenden Verordnung.
Kapitel III
Vertrauensdienste
Abschnitt 1
Allgemeine Bestimmungen
Artikel 13 Haftung und Beweislast 24
(1) Ungeachtet des Absatzes 2 dieses Artikels und unbeschadet der Verordnung (EU) 2016/679 haften Vertrauensdiensteanbieter für alle natürlichen oder juristischen Personen vorsätzlich oder fahrlässig zugefügten Schäden, die auf eine Verletzung der in dieser Verordnung festgelegten Pflichten zurückzuführen sind. Jede natürliche oder juristische Person, der infolge eines Verstoßes gegen diese Verordnung durch einen Vertrauensdiensteanbieter ein materieller oder immaterieller Schaden entstanden ist, hat das Recht, im Einklang mit dem Unionsrecht und dem nationalen Recht einen Anspruch auf Schadensersatz geltend zu machen.
Die Beweislast für den Nachweis des Vorsatzes oder der Fahrlässigkeit seitens eines nichtqualifizierten Vertrauensdiensteanbieters liegt bei der natürlichen oder juristischen Person, die den in Unterabsatz 1 genannten Schaden geltend macht.
Bei einem qualifizierten Vertrauensdiensteanbieter wird von Vorsatz oder Fahrlässigkeit ausgegangen, es sei denn, der qualifizierte Vertrauensdiensteanbieter weist nach, dass der in Unterabsatz 1 genannte Schaden entstanden ist, ohne dass er vorsätzlich oder fahrlässig gehandelt hat.
(2) Unterrichten Vertrauensdiensteanbieter ihre Kunden im Voraus hinreichend über Beschränkungen der Verwendung der von ihnen erbrachten Dienste und sind diese Beschränkungen für dritte Beteiligte ersichtlich, so haften die Vertrauensdiensteanbieter nicht für Schäden, die bei einer über diese Beschränkungen hinausgehenden Verwendung der Dienste entstanden sind.
(3) Die Absätze 1 und 2 werden im Einklang mit den nationalen Vorschriften über die Haftung angewendet.
Artikel 14 Internationale Aspekte 24
(1) Vertrauensdienste, die von in einem Drittland niedergelassenen Vertrauensdiensteanbietern oder von einer internationalen Organisation bereitgestellt werden, werden als rechtlich gleichwertig mit den Vertrauensdiensten anerkannt, die von in der Union niedergelassenen qualifizierten Vertrauensdiensteanbietern bereitgestellt werden, sofern die aus dem Drittland oder von einer internationalen Organisation stammenden Vertrauensdienste im Wege von Durchführungsrechtsakten oder einer gemäß Artikel 218 AEUV geschlossenen Vereinbarung zwischen der Union und dem betreffenden Drittland oder der internationalen Organisation anerkannt sind.
Die in Unterabsatz 1 genannten Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
(2) Mit den in Absatz 1 genannten Durchführungsrechtsakten und der dort genannten Vereinbarung wird dafür gesorgt, dass die Anforderungen, die für die in der Union niedergelassenen qualifizierten Vertrauensdiensteanbieter und für die von ihnen erbrachten qualifizierten Vertrauensdienste gelten, von den Vertrauensdiensteanbietern in dem betroffenen Drittland oder von den internationalen Organisationen und von den von diesen erbrachten Vertrauensdiensten eingehalten werden. Drittländer und internationale Organisation erstellen, führen und veröffentlichen insbesondere eine Vertrauensliste anerkannter Vertrauensdiensteanbieter.
(3) Mit den Vereinbarungen gemäß Absatz 1 wird dafür gesorgt, dass die qualifizierten Vertrauensdienste, die von in der Union niedergelassenen qualifizierten Vertrauensdiensteanbietern erbracht werden, als rechtlich gleichwertig mit den Vertrauensdiensten anerkannt werden, die von Vertrauensdiensteanbietern in den Drittländern oder von internationalen Organisationen, mit denen die Vereinbarungen geschlossen wurden, erbracht werden.
Artikel 15 Barrierefreie Zugänglichkeit für Personen mit Behinderungen und besonderen Bedürfnissen 24
Elektronische Identifizierungsmittel, Vertrauensdienste und zur Erbringung solcher Dienste verwendete Endnutzerprodukte werden in einfacher und verständlicher Sprache gemäß dem Übereinkommen über die Rechte von Menschen mit Behinderungen und den Barrierefreiheitsanforderungen der Richtlinie (EU) 2019/882 zugänglich gemacht, wodurch sie auch Personen mit funktionellen Einschränkungen, wie z.B. ältere Personen, und Personen mit eingeschränktem Zugang zu digitalen Technologien zugutekommen.
Artikel 16 Sanktionen 24
(1) Unbeschadet des Artikels 31 der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates 22 legen die Mitgliedstaaten Regeln für Sanktionen bei Verstößen gegen diese Verordnung fest. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.
(2) Die Mitgliedstaaten stellen sicher, dass für Verstöße gegen diese Verordnung von qualifizierten und nichtqualifizierten Vertrauensdiensteanbietern Geldbußen verhängt werden mit einem Höchstmaß von mindestens:
(3) In Abhängigkeit vom Rechtssystem des betreffenden Mitgliedstaats können die Vorschriften über Geldbußen je nach den dort geltenden Regeln so angewandt werden, dass die Geldbuße von der zuständigen Aufsichtsstelle in die Wege geleitet und von den zuständigen nationalen Gerichten verhängt wird. Durch die Anwendung solcher Vorschriften in diesen Mitgliedstaaten wird sichergestellt, dass diese Rechtsmittel wirksam sind und die gleiche Wirkung wie direkt von zuständigen Aufsichtsbehörden verhängte Geldbußen haben.
Abschnitt 2
Nichtqualifizierte Vertrauensdienste 24
Artikel 17 - gestrichen - 24
Artikel 18 - gestrichen - 24
Artikel 19 - gestrichen - 22
Artikel 19a Anforderungen an nichtqualifizierte Vertrauensdiensteanbieter 24
(1) Für nichtqualifizierte Vertrauensdiensteanbieter, die nichtqualifizierte Vertrauensdienste erbringen, gilt Folgendes:
(2) Bis zum 21. Mai 2025 erstellt die Kommission im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards und legt, sofern erforderlich, die Spezifikationen und Verfahren für Absatz 1 Buchstabe a des vorliegenden Artikels fest. Werden diese Standards, Spezifikationen und Verfahren eingehalten, so wird davon ausgegangen, dass die Anforderungen dieses Artikels erfüllt sind. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Abschnitt 3
Qualifizierte Vertrauensdienste
Artikel 20 Beaufsichtigung qualifizierter Vertrauensdiensteanbieter 24
(1) Qualifizierte Vertrauensdiensteanbieter werden mindestens alle 24 Monate auf eigene Kosten von einer Konformitätsbewertungsstelle geprüft. Mit der Prüfung soll bestätigt werden, dass die qualifizierten Vertrauensdiensteanbieter und die von ihnen erbrachten qualifizierten Vertrauensdienste die Anforderungen dieser Verordnung und des Artikels 21 der Richtlinie (EU) 2022/2555 erfüllen. Die qualifizierten Vertrauensdiensteanbieter legen der Aufsichtsstelle den entsprechenden Konformitätsbewertungsbericht innerhalb von drei Arbeitstagen nach dessen Eingang vor.
(1a) Qualifizierte Vertrauensdiensteanbieter unterrichten die Aufsichtsstelle mindestens einen Monat vor geplanten Prüfungen und gestatten der Aufsichtsstelle auf Anfrage die Teilnahme als Beobachter.
(1b) Die Mitgliedstaaten teilen der Kommission unverzüglich die Namen, Adressen und Angaben zur Akkreditierung der in Absatz 1 genannten Konformitätsbewertungsstellen sowie alle nachfolgenden Änderungen daran mit. Die Kommission stellt diese Informationen allen Mitgliedstaaten zur Verfügung.
(2) Unbeschadet des Absatzes 1 kann die Aufsichtsstelle jederzeit eine Überprüfung vornehmen oder eine Konformitätsbewertungsstelle um eine Konformitätsbewertung der qualifizierten Vertrauensdiensteanbieter - auf Kosten dieser Vertrauensdiensteanbieter - ersuchen, um nachzuweisen, dass sie und die von ihnen erbrachten qualifizierten Vertrauensdienste die in dieser Verordnung festgelegten Anforderungen erfüllen. Ist dem Anschein nach gegen Vorschriften zum Schutz personenbezogener Daten verstoßen worden, so unterrichtet die betreffende Aufsichtsstelle unverzüglich die gemäß Artikel 51 der Verordnung (EU) 2016/679 eingerichteten zuständigen Aufsichtsbehörden.
(3) Verstößt der qualifizierte Vertrauensdiensteanbieter gegen eine in dieser Verordnung festgelegte Anforderung, so fordert die Aufsichtsstelle ihn auf, gegebenenfalls innerhalb einer bestimmten Frist Abhilfe zu schaffen.
Schafft dieser Anbieter keine Abhilfe bzw. innerhalb der von der Aufsichtsstelle gegebenenfalls gesetzten Frist keine Abhilfe, so entzieht die Aufsichtsstelle, soweit dies insbesondere durch die Tragweite, die Dauer und die Auswirkungen dieses Verstoßes gerechtfertigt ist, dem betreffenden Anbieter oder dem von ihm erbrachten betroffenen Dienst den Qualifikationsstatus.
(3a) Wenn die gemäß Artikel 8 Absatz 1 der Richtlinie (EU) 2022/2555 benannten oder eingerichteten zuständigen Behörden die Aufsichtsstelle davon in Kenntnis setzen, dass der qualifizierte Vertrauensdiensteanbieter gegen eine der in Artikel 21 der genannten Richtlinie festgelegten Anforderungen verstößt, so entzieht die Aufsichtsstelle, soweit dies insbesondere durch die Tragweite, die Dauer und die Auswirkungen dieses Verstoßes gerechtfertigt ist, dem betreffenden Anbieter oder dem von ihm erbrachten betroffenen Dienst den Qualifikationsstatus.
(3b) Wenn die gemäß Artikel 51 der Verordnung (EU) 2016/679 eingerichteten Aufsichtsbehörden die Aufsichtsstelle davon in Kenntnis setzen, dass der qualifizierte Vertrauensdiensteanbieter gegen eine der in der genannten Verordnung festgelegten Anforderungen verstößt, entzieht die Aufsichtsstelle, soweit dies insbesondere durch die Tragweite, die Dauer und die Auswirkungen dieses Verstoßes gerechtfertigt ist, dem betreffenden Anbieter oder dem von ihm erbrachten betroffenen Dienst den Qualifikationsstatus.
(3c) Die Aufsichtsstelle unterrichtet den qualifizierten Vertrauensdiensteanbieter darüber, dass ihm oder dem betreffenden Dienst der Qualifikationsstatus entzogen wurde. Die Aufsichtsstelle unterrichtet die gemäß Artikel 22 Absatz 3 der vorliegenden Verordnung notifizierte Stelle, damit die in Absatz 1 jenes Artikels genannten Vertrauenslisten aktualisiert werden, und die gemäß Artikel 8 Absatz 1 der Richtlinie (EU) 2022/2555 benannte oder eingerichtete zuständige Behörde.
(4) Bis zum 21. Mai 2025 erstellt die Kommission im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards und legt, sofern erforderlich, Spezifikationen und Verfahren für Folgendes fest:
Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 21 Beginn der Erbringung qualifizierter Vertrauensdienste 24
(1) Beabsichtigen Vertrauensdiensteanbieter, mit der Erbringung eines qualifizierten Vertrauensdienstes zu beginnen, so teilen sie der Aufsichtsstelle ihre Absicht mit und legen einen von einer Konformitätsbewertungsstelle ausgestellten Konformitätsbewertungsbericht bei, in dem die Erfüllung der in dieser Verordnung und in Artikel 21 der Richtlinie (EU) 2022/2555 festgelegten Anforderungen bestätigt wird.
(2) Die Aufsichtsstelle überprüft, ob der Vertrauensdiensteanbieter und die von ihm erbrachten Vertrauensdienste die in dieser Verordnung festgelegten Anforderungen erfüllen, insbesondere hinsichtlich der Anforderungen an qualifizierte Vertrauensdiensteanbieter und an die von ihnen erbrachten qualifizierten Vertrauensdienste.
Zur Überprüfung, ob der Vertrauensdiensteanbieter die Anforderungen des Artikels 21 der Richtlinie (EU) 2022/2555 erfüllt, fordert die Aufsichtsstelle die gemäß Artikel 8 Absatz 1 der genannten Richtlinie benannten oder eingerichteten zuständigen Behörden auf, diesbezügliche Aufsichtsmaßnahmen durchzuführen und sie unverzüglich und in jedem Fall innerhalb von zwei Monaten nach Erhalt des Ersuchens über das Ergebnis zu unterrichten. Wird die Überprüfung nicht innerhalb von zwei Monaten nach der Mitteilung abgeschlossen, so unterrichten diese zuständigen Behörden die Aufsichtsstelle hierüber unter Angabe der Gründe für die Verzögerung und der Frist, innerhalb deren die Überprüfung abzuschließen ist.
Gelangt die Aufsichtsstelle zu dem Schluss, dass der Vertrauensdiensteanbieter und die von ihm erbrachten Vertrauensdienste die in dieser Verordnung festgelegten Anforderungen erfüllen, so verleiht sie dem Vertrauensdiensteanbieter und den von ihm erbrachten Vertrauensdiensten den Qualifikationsstatus und unterrichtet die in Artikel 22 Absatz 3 genannte Stelle, damit die in Artikel 22 Absatz 1 genannten Vertrauenslisten entsprechend aktualisiert werden; dies erfolgt spätestens drei Monate nach der Mitteilung gemäß Absatz 1 dieses Artikels.
Wird die Überprüfung nicht innerhalb von drei Monaten nach der Mitteilung abgeschlossen, so unterrichtet die Aufsichtsstelle den Vertrauensdiensteanbieter hierüber unter Angabe der Gründe für die Verzögerung und der Frist, innerhalb deren die Überprüfung abzuschließen ist.
(3) Qualifizierte Vertrauensdiensteanbieter können mit der Erbringung des qualifizierten Vertrauensdienstes beginnen, nachdem der qualifizierte Status in den in Artikel 22 Absatz 1 genannten Vertrauenslisten ausgewiesen wurde.
(4) Bis zum 21. Mai 2025 legt die Kommission im Wege von Durchführungsrechtsakten Form und Verfahren der Mitteilung und Überprüfung für die Zwecke der Absätze 1 und 2 des vorliegenden Artikels fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 22 Vertrauenslisten
(1) Jeder Mitgliedstaat sorgt für die Aufstellung, Führung und Veröffentlichung von Vertrauenslisten, die Angaben zu den qualifizierten Vertrauensdiensteanbietern, für die er verantwortlich ist, und den von ihnen erbrachten qualifizierten Vertrauensdiensten, umfassen.
(2) Die Mitgliedstaaten erstellen, führen und veröffentlichen auf gesicherte Weise elektronisch unterzeichnete oder besiegelte Vertrauenslisten gemäß Absatz 1 in einer für eine automatisierte Verarbeitung geeigneten Form.
(3) Die Mitgliedstaaten übermitteln der Kommission unverzüglich Informationen über die für die Erstellung, Führung und Veröffentlichung der nationalen Vertrauenslisten verantwortlichen Stellen, den Ort der Veröffentlichung der Listen, die zur Unterzeichnung oder Besiegelung der Vertrauenslisten verwendeten Zertifikate und alle etwaigen Änderungen dieser Informationen.
(4) Die Kommission macht die Informationen nach Absatz 3 auf sichere Weise und elektronisch unterzeichnet oder besiegelt in einer für eine automatisierte Verarbeitung geeigneten Form öffentlich zugänglich.
(5) Bis 18. September 2015 präzisiert die Kommission im Wege von Durchführungsrechtsakten die Angaben gemäß Absatz 1 und legt die technischen Spezifikationen und die Form der Vertrauenslisten für die Zwecke der Absätze 1 bis 4 fest. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 23 EU-Vertrauenssiegel für qualifizierte Vertrauensdiensteanbieter
(1) Nachdem der Qualifikationsstatus nach Artikel 21 Absatz 2 Unterabsatz 2 in der Vertrauensliste nach Artikel 22 Absatz 1 ausgewiesen wurde, können qualifizierte Vertrauensdiensteanbieter das EU-Vertrauenssiegel verwenden, um in einfacher, wiedererkennbarer und klarer Weise die von ihnen erbrachten qualifizierten Vertrauensdienste zu kennzeichnen.
(2) Qualifizierte Vertrauensdienstanbieter, die für die qualifizierten Vertrauensdienste das EU-Vertrauenssiegel nach Absatz 1 verwenden, sorgen dafür, dass auf ihrer Website ein Link zur einschlägigen Vertrauensliste zur Verfügung steht.
(3) Die Kommission legt bis 1. Juli 2015 im Wege von Durchführungsrechtsakten Spezifikationen zur Form und insbesondere zur Aufmachung, Zusammensetzung, Größe und Gestaltung des EU-Vertrauenssiegels für qualifizierte Vertrauensdienste fest. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 24 Anforderungen an qualifizierte Vertrauensdiensteanbieter 24
(1) Bei der Ausstellung eines qualifizierten Zertifikats oder einer qualifizierten elektronischen Attributsbescheinigung überprüft der qualifizierte Vertrauensdiensteanbieter die Identität und gegebenenfalls spezifische Attribute der natürlichen oder juristischen Person, der das qualifizierte Zertifikat oder die qualifizierte elektronische Attributsbescheinigung ausgestellt werden soll.
(1a) Die Überprüfung der Identität nach Absatz 1 wird anhand geeigneter Mittel vom qualifizierten Vertrauensdiensteanbieter entweder unmittelbar oder über einen Dritten auf der Grundlage einer der folgenden Methoden oder - sofern erforderlich - einer Kombination davon im Einklang mit den in Absatz 1c genannten Durchführungsrechtsakten durchgeführt:
(1b) Die Überprüfung der Attribute gemäß Absatz 1 wird anhand geeigneter Mittel vom qualifizierten Vertrauensdiensteanbieter entweder unmittelbar oder über einen Dritten auf der Grundlage einer der folgenden Methoden oder - sofern erforderlich - einer Kombination davon im Einklang mit den in Absatz 1c genannten Durchführungsrechtsakten durchgeführt:
(1c) Bis zum 21. Mai 2025 erstellt die Kommission im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards und legt, sofern erforderlich, Spezifikationen und Verfahren für die Überprüfung der Identität und der Attribute im Einklang mit Absätzen 1, 1a und 1b dieses Artikels fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
(2) Für qualifizierte Vertrauensdiensteanbieter, die qualifizierte Vertrauensdienste erbringen, gilt Folgendes:
Die Aufsichtsstelle kann ergänzende Informationen zu den gemäß Unterabsatz 1 Buchstabe a übermittelten Angaben oder das Ergebnis einer Konformitätsbewertung anfordern und kann die Erteilung der Erlaubnis, die beabsichtigten Änderungen an den qualifizierten Vertrauensdiensten vorzunehmen, an Bedingungen knüpfen. Wird die Überprüfung nicht innerhalb von drei Monaten nach der Mitteilung abgeschlossen, so unterrichtet die Aufsichtsstelle den Vertrauensdiensteanbieter hierüber unter Angabe der Gründe für die Verzögerung und der Frist, innerhalb deren die Überprüfung abzuschließen ist.
(3) Beschließt ein qualifizierter Vertrauensdiensteanbieter, der qualifizierte Zertifikate ausstellt, ein Zertifikat zu widerrufen, so registriert er den Widerruf in seiner Zertifikatsdatenbank und veröffentlicht den Widerrufsstatus des Zertifikats zeitnah und in jedem Fall innerhalb von 24 Stunden nach Erhalt des Ersuchens. Der Widerruf wird sofort nach seiner Veröffentlichung wirksam.
(4) Im Zusammenhang mit Absatz 3 stellen qualifizierte Vertrauensdiensteanbieter, die qualifizierte Zertifikate ausstellen, den vertrauenden Beteiligten Informationen über den Gültigkeits- oder Widerrufsstatus der von ihnen ausgestellten qualifizierten Zertifikate zur Verfügung. Diese Informationen werden zumindest auf Zertifikatsbasis jederzeit und über die Gültigkeitsdauer des Zertifikats hinaus automatisch auf zuverlässige, kostenlose und effiziente Weise bereitgestellt.
(4a) Die Absätze 3 und 4 gelten für den Widerruf qualifizierter elektronischer Attributsbescheinigungen entsprechend.
(4b) Der Kommission wird die Befugnis übertragen, gemäß Artikel 47 delegierte Rechtsakte zur Einführung von zusätzlichen Maßnahmen im Sinne von Absatz 2 Buchstabe fa dieses Artikels zu erlassen.
(5) Bis zum 21. Mai 2025 erstellt die Kommission im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards und legt, sofern erforderlich, die Spezifikationen und Verfahren für die in Absatz 2 des vorliegenden Artikels genannten Anforderungen fest. Werden diese Standards, Spezifikationen und Verfahren eingehalten, so wird davon ausgegangen, dass die Anforderungen dieses Absatzes erfüllt sind. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 24a Anerkennung qualifizierter Vertrauensdienste 24
(1) Qualifizierte elektronische Signaturen, die auf einem von einem Mitgliedstaat ausgestellten qualifizierten Zertifikat beruhen, und qualifizierte elektronische Siegel, die auf einem in einem Mitgliedstaat ausgestellten qualifizierten Zertifikat beruhen, werden in allen anderen Mitgliedstaaten als qualifizierte elektronische Signaturen bzw. qualifizierte elektronische Siegel anerkannt.
(2) In einem Mitgliedstaat zertifizierte qualifizierte elektronische Signaturerstellungseinheiten und qualifizierte elektronische Siegelerstellungseinheiten werden in allen anderen Mitgliedstaaten als qualifizierte elektronische Signaturerstellungseinheiten bzw. qualifizierte elektronische Siegelerstellungseinheiten anerkannt.
(3) Ein qualifiziertes Zertifikat für elektronische Signaturen, ein qualifiziertes Zertifikat für elektronische Siegel, ein qualifizierter Vertrauensdienst zur Verwaltung qualifizierter elektronischer Fernsignaturerstellungseinheiten und ein qualifizierter Vertrauensdienst zur Verwaltung qualifizierter elektronischer Fernsiegelerstellungseinheiten, das bzw. der in einem Mitgliedstaat bereitgestellt wird, wird in alle anderen Mitgliedstaaten als qualifiziertes Zertifikat für elektronische Signaturen, qualifiziertes Zertifikat für elektronische Siegel, qualifizierter Vertrauensdienst zur Verwaltung qualifizierter elektronischer Fernsignaturerstellungseinheiten und qualifizierter Vertrauensdienst zur Verwaltung qualifizierter elektronischer Fernsiegelerstellungseinheiten anerkannt.
(4) Ein qualifizierter Validierungsdienst für qualifizierte elektronische Signaturen und ein qualifizierter Validierungsdienst für qualifizierte elektronische Siegel, die in einem Mitgliedstaat bereitgestellt werden, werden in allen anderen Mitgliedstaaten als qualifizierter Validierungsdienst für qualifizierte elektronische Signaturen bzw. qualifizierter Validierungsdienst für qualifizierte elektronische Siegel anerkannt.
(5) Ein qualifizierter Bewahrungsdienst für qualifizierte elektronische Signaturen und ein qualifizierter Bewahrungsdienst für qualifizierte elektronische Siegel, die in einem Mitgliedstaat bereitgestellt werden, werden in allen anderen Mitgliedstaaten als qualifizierter Bewahrungsdienst für qualifizierte elektronische Signaturen bzw. qualifizierter Bewahrungsdienst für qualifizierte elektronische Siegel anerkannt.
(6) Ein in einem Mitgliedstaat bereitgestellter qualifizierter elektronischer Zeitstempel wird in allen anderen Mitgliedstaaten als qualifizierter elektronischer Zeitstempel anerkannt.
(7) Ein in einem Mitgliedstaat ausgestelltes qualifiziertes Zertifikat für die Website-Authentifizierung wird in allen anderen Mitgliedstaaten als qualifiziertes Zertifikat für die Website-Authentifizierung anerkannt.
(8) Ein in einem Mitgliedstaat bereitgestellter qualifizierter Dienst für die Zustellung elektronischer Einschreiben wird in allen anderen Mitgliedstaaten als qualifizierter Dienst für die Zustellung elektronischer Einschreiben anerkannt.
(9) Eine in einem Mitgliedstaat ausgestellte qualifizierte elektronische Attributsbescheinigung wird in allen anderen Mitgliedstaaten als qualifizierte elektronische Attributsbescheinigung anerkannt.
(10) Ein qualifizierter elektronischer Archivierungsdienst, der in einem Mitgliedstaat bereitgestellt wird, wird in allen anderen Mitgliedstaaten als qualifizierter elektronischer Archivierungsdienst anerkannt.
(11) Ein qualifiziertes elektronisches Journal, das in einem Mitgliedstaat bereitgestellt wird, wird in allen anderen Mitgliedstaaten als qualifiziertes elektronisches Journal anerkannt.
Abschnitt 4
Elektronische Signaturen
Artikel 25 Rechtswirkung elektronischer Signaturen 24
(1) Einer elektronischen Signatur darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt oder weil sie die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt.
(2) Eine qualifizierte elektronische Signatur hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift.
Artikel 26 Anforderungen an fortgeschrittene elektronische Signaturen 24
(1) Eine fortgeschrittene elektronische Signatur erfüllt alle folgenden Anforderungen:
(2) Bis zum 21. Mai 2026 bewertet die Kommission, ob es erforderlich ist, Durchführungsrechtsakte zu erlassen, mit denen eine Liste von Referenzstandards erstellt wird und gegebenenfalls Spezifikationen und Verfahren für fortgeschrittene elektronische Signaturen festgelegt werden. Auf der Grundlage dieser Bewertung kann die Kommission solche Durchführungsrechtsakte erlassen. Bei fortgeschrittenen elektronischen Signaturen, die diese Standards, Spezifikationen und Verfahren erfüllen, wird davon ausgegangen, dass sie die Anforderungen an fortgeschrittene elektronische Signaturen erfüllen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 27 Elektronische Signaturen in öffentlichen Diensten 24
(1) Verlangt ein Mitgliedstaat für die Verwendung in einem Online-Dienst, der von einer öffentlichen Stelle oder im Namen einer öffentlichen Stelle angeboten wird, eine fortgeschrittene elektronische Signatur, so erkennt dieser Mitgliedstaat fortgeschrittene elektronische Signaturen, fortgeschrittene elektronische Signaturen, die auf einem qualifizierten Zertifikat für elektronische Signaturen beruhen, und qualifizierte elektronische Signaturen zumindest in den Formaten oder unter Verwendung der Verfahren an, die in den Durchführungsrechtsakten nach Absatz 5 festgelegt sind.
(2) Verlangt ein Mitgliedstaat für die Verwendung in einem Online-Dienst, der von einer öffentlichen Stelle oder im Namen einer öffentlichen Stelle angeboten wird, eine fortgeschrittene elektronische Signatur, die auf einem qualifizierten Zertifikat beruht, so erkennt dieser Mitgliedstaat fortgeschrittene elektronische Signaturen, die auf einem qualifizierten Zertifikat beruhen, und qualifizierte elektronische Signaturen zumindest in den Formaten oder unter Verwendung der Verfahren an, die in den Durchführungsrechtsakten nach Absatz 5 festgelegt sind.
(3) Die Mitgliedstaaten verlangen für die grenzüberschreitende Verwendung in einem Online-Dienst, der von einer öffentlichen Stelle angeboten wird, keine elektronische Signatur mit einem höheren Sicherheitsniveau als dem der qualifizierten elektronischen Signatur.
(4) - gestrichen -
(5) Die Kommission legt bis zum 18. September 2015 im Wege von Durchführungsrechtsakten und unter Berücksichtigung der bestehenden Praxis sowie bestehender Normen und Unionsrechtsvorschriften Referenzformate für fortgeschrittene elektronische Signaturen oder Referenzverfahren fest, wenn alternative Formate verwendet werden. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 28 Qualifizierte Zertifikate für elektronische Signaturen 24
(1) Qualifizierte Zertifikate für elektronische Signaturen müssen die Anforderungen des Anhangs I erfüllen.
(2) Für qualifizierte Zertifikate für elektronische Signaturen dürfen keine obligatorischen Anforderungen gelten, die über die in Anhang I festgelegten hinausgehen.
(3) Qualifizierte Zertifikate für elektronische Signaturen können zusätzliche fakultative spezifische Attribute enthalten.
Diese Attribute dürfen die Interoperabilität und Anerkennung qualifizierter elektronischer Signaturen nicht berühren.
(4) Wird ein qualifiziertes Zertifikat für elektronische Signaturen nach der anfänglichen Aktivierung widerrufen, ist es ab dem Zeitpunkt des Widerrufs nicht mehr gültig und sein Status darf unter keinen Umständen rückgängig gemacht werden.
(5) Die Mitgliedstaaten können vorbehaltlich der folgenden Bedingungen nationale Vorschriften zur vorläufigen Aussetzung eines qualifizierten Zertifikats für eine elektronische Signatur erlassen:
(6) Bis zum 21. Mai 2025 erstellt die Kommission im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards und legt, sofern erforderlich, Spezifikationen und Verfahren für qualifizierte Zertifikate für elektronische Signaturen fest. Bei qualifizierten Zertifikaten für elektronische Signaturen, die diese Standards, Spezifikationen und Verfahren erfüllen, wird davon ausgegangen, dass sie die Anforderungen des Anhangs I erfüllen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 29 Anforderungen an qualifizierte elektronische Signaturerstellungseinheiten 24
(1) Qualifizierte elektronische Signaturerstellungseinheiten müssen die Anforderungen des Anhangs II erfüllen.
(1a) Das Erzeugen oder Verwalten elektronischer Signaturerstellungsdaten oder das Vervielfältigen solcher Signaturerstellungsdaten zu Sicherungszwecken wird nur im Namen des Unterzeichners, auf dessen Verlangen, und von einem qualifizierten Vertrauensdiensteanbieter durchgeführt, der einen qualifizierten Vertrauensdienst zur Verwaltung einer qualifizierten elektronischen Fernsignaturerstellungseinheit erbringt.
(2) Die Kommission kann im Wege von Durchführungsrechtsakten Kennnummern für Normen für qualifizierte elektronische Signaturerstellungseinheiten festlegen. Bei qualifizierten elektronischen Signaturerstellungseinheiten, die diesen Normen entsprechen, wird davon ausgegangen, dass sie die Anforderungen des Anhangs II erfüllen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 29a Anforderungen an einen qualifizierten Dienst zur Verwaltung qualifizierter elektronischer Fernsignaturerstellungseinheiten 24
(1) Die Verwaltung qualifizierter Fernsignaturerstellungseinheiten als qualifizierter Dienst wird nur von einem qualifizierten Vertrauensdiensteanbieter durchgeführt, der
(2) Bis zum 21. Mai 2025 erstellt die Kommission im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards und legt, sofern erforderlich, Spezifikationen und Verfahren für die Zwecke des Absatzes 1 des vorliegenden Artikels fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 30 Zertifizierung qualifizierter elektronischer Signaturerstellungseinheiten 24
(1) Die Konformität qualifizierter elektronischer Signaturerstellungseinheiten mit den Anforderungen des Anhangs II wird von geeigneten, von den Mitgliedstaaten benannten öffentlichen oder privaten Stellen zertifiziert.
(2) Die Mitgliedstaaten teilen der Kommission die Namen und Anschriften der öffentlichen oder privaten Stellen gemäß Absatz 1 mit. Die Kommission stellt diese Informationen den Mitgliedstaaten zur Verfügung.
(3) Die Zertifizierung nach Absatz 1 beruht auf einem der folgenden Verfahren:
Die Kommission stellt im Wege von Durchführungsrechtsakten eine Liste mit Normen für die Sicherheitsbewertung informationstechnischer Produkte nach Buchstabe a auf. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
(3a) Die Gültigkeitsdauer einer Zertifizierung nach Absatz 1 darf einen Zeitraum von fünf Jahren nicht überschreiten, sofern Schwachstellenbeurteilungen alle zwei Jahre durchgeführt werden. Werden Schwachstellen festgestellt und nicht behoben, so wird die Zertifizierung aufgehoben.
(4) Der Kommission wird die Befugnis übertragen, gemäß Artikel 47 delegierte Rechtsakte in Bezug auf die Festlegung besonderer Kriterien, die von den in Absatz 1 dieses Artikels aufgeführten benannten Stellen zu erfüllen sind, zu erlassen.
Artikel 31 Veröffentlichung einer Liste zertifizierter qualifizierter elektronischer Signaturerstellungseinheiten 24
(1) Die Mitgliedstaaten notifizieren der Kommission unverzüglich, spätestens aber innerhalb eines Monats nach Abschluss der Zertifizierung, Informationen über qualifizierte elektronische Signaturerstellungseinheiten, die von den in Artikel 30 Absatz 1 genannten Stellen zertifiziert worden sind. Sie notifizieren der Kommission ferner unverzüglich, spätestens aber innerhalb eines Monats nach Annullierung der Zertifizierung, Informationen über nicht mehr zertifizierte elektronische Signaturerstellungseinheiten.
(2) Auf der Grundlage der erhaltenen Informationen sorgt die Kommission für die Aufstellung, Veröffentlichung und Führung einer Liste zertifizierter qualifizierter elektronischer Signaturerstellungseinheiten.
(3) Bis zum 21. Mai 2025 legt die Kommission im Wege von Durchführungsrechtsakten Form und Verfahren, die für die Zwecke des Absatzes 1 dieses Artikels anwendbar sind, fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 32 Anforderungen an die Validierung qualifizierter elektronischer Signaturen 24
(1) Mit dem Verfahren für die Validierung einer qualifizierten elektronischen Signatur wird die Gültigkeit einer qualifizierten elektronischen Signatur bestätigt, wenn
Bei einer Validierung qualifizierter elektronischer Signaturen, die den in Absatz 3 genannten Standards, Spezifikationen und Verfahren entspricht, wird davon ausgegangen, dass sie die Anforderungen des Unterabsatzes 1 erfüllt.
(2) Das zur Validierung der qualifizierten elektronischen Signatur verwendete System stellt dem vertrauenden Beteiligten das korrekte Ergebnis des Validierungsprozesses bereit und ermöglicht es ihm, etwaige Sicherheitsprobleme zu erkennen.
(3) Bis zum 21. Mai 2025 erstellt die Kommission im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards und legt, sofern erforderlich, Spezifikationen und Verfahren für die Validierung qualifizierter elektronischer Signaturen fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 32a Anforderungen an die Validierung fortgeschrittener elektronischer Signaturen, die auf qualifizierten Zertifikaten beruhen 24
(1) Mit dem Verfahren für die Validierung einer fortgeschrittenen elektronischen Signatur, die auf einem qualifizierten Zertifikat beruht, wird die Gültigkeit einer fortgeschrittenen elektronischen Signatur, die auf einem qualifizierten Zertifikat beruht, bestätigt, wenn
(2) Das zur Validierung der auf einem qualifizierten Zertifikat beruhenden fortgeschrittenen elektronischen Signatur verwendete System stellt dem vertrauenden Beteiligten das korrekte Ergebnis des Validierungsprozesses bereit und ermöglicht es ihm, etwaige Sicherheitsprobleme zu erkennen.
(3) Bis zum 21. Mai 2025 erstellt die Kommission im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards und legt, sofern erforderlich, Spezifikationen und Verfahren für die Validierung fortgeschrittener elektronischer Signaturen, die auf qualifizierten Zertifikaten beruhen, fest. Bei einer Validierung fortgeschrittener elektronischer Signaturen, die auf qualifizierten Zertifikaten beruhen, die diesen Standards, Spezifikationen und Verfahren entspricht, wird davon ausgegangen, dass sie die Anforderungen des Absatzes 1 des vorliegenden Artikels erfüllt. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 33 Qualifizierter Validierungsdienst für qualifizierte elektronische Signaturen 24
(1) Qualifizierte Validierungsdienste für qualifizierte elektronische Signaturen können nur von qualifizierten Vertrauensdiensteanbietern erbracht werden, die
(2) Bis zum 21. Mai 2025 erstellt die Kommission im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards und legt, sofern erforderlich, die Spezifikationen und Verfahren für qualifizierte Validierungsdienste nach Absatz 1 dieses Artikels fest. Bei einer Validierung qualifizierter Validierungsdienste für qualifizierte elektronische Signaturen, die diesen Standards, Spezifikationen und Verfahren entspricht, wird davon ausgegangen, dass sie die Anforderungen des Absatzes 1 des vorliegenden Artikels erfüllt. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 34 Qualifizierter Bewahrungsdienst für qualifizierte elektronische Signaturen 24
(1) Ein qualifizierter Bewahrungsdienst für qualifizierte elektronische Signaturen kann nur von qualifizierten Vertrauensdiensteanbietern erbracht werden, die Verfahren und Technologien verwenden, die es ermöglichen, die Vertrauenswürdigkeit der qualifizierten elektronischen Signatur über den Zeitraum ihrer technologischen Geltung hinaus zu verlängern.
(1a) Bei Regelungen für qualifizierte Bewahrungsdienste für qualifizierte elektronische Signaturen, die den in Absatz 2 genannten Standards, Spezifikationen und Verfahren entsprechen, wird davon ausgegangen, dass sie die Anforderungen des Absatzes 1 erfüllen.
(2) Bis zum 21. Mai 2025 erstellt die Kommission im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards und legt, sofern erforderlich, Spezifikationen und Verfahren für qualifizierte Bewahrungsdienste für qualifizierte elektronische Signaturen fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Abschnitt 5
Elektronische Siegel
Artikel 35 Rechtswirkung elektronischer Siegel 24
(1) Einem elektronischen Siegel darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil es in einer elektronischen Form vorliegt oder nicht die Anforderungen an qualifizierte elektronische Siegel erfüllt.
(2) Für ein qualifiziertes elektronisches Siegel gilt die Vermutung der Unversehrtheit der Daten und der Richtigkeit der Herkunftsangabe der Daten, mit denen das qualifizierte elektronische Siegel verbunden ist.
Artikel 36 Anforderungen an fortgeschrittene elektronische Siegel 24
(1) Ein fortgeschrittenes elektronisches Siegel erfüllt alle folgenden Anforderungen:
(2) Bis zum 21. Mai 2026 führt die Kommission eine Bewertung durch, ob es erforderlich ist, Durchführungsrechtsakte zu erlassen, mit denen eine Liste von Referenzstandards erstellt wird und gegebenenfalls Spezifikationen und Verfahren für fortgeschrittene elektronische Signaturen festgelegt werden. Auf der Grundlage der Ergebnisse dieser Bewertung kann die Kommission solche Durchführungsrechtsakte erlassen. Bei fortgeschrittenen elektronischen Siegeln, die diesen Standards, Spezifikationen und Verfahren entsprechen, wird davon ausgegangen, dass sie die Anforderungen an fortgeschrittene elektronische Siegel erfüllen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 37 Elektronische Siegel in öffentlichen Diensten 24
(1) Verlangt ein Mitgliedstaat ein fortgeschrittenes elektronisches Siegel für die Verwendung in einem Online-Dienst, der von einer öffentlichen Stelle oder im Namen einer öffentlichen Stelle angeboten wird, so erkennt dieser Mitgliedstaat fortgeschrittene elektronische Siegel, fortgeschrittene elektronische Siegel, die auf einem qualifizierten Zertifikat für elektronische Siegel beruhen, und qualifizierte elektronische Siegel zumindest in den Formaten oder unter Verwendung der Verfahren, die in den Durchführungsrechtsakten nach Absatz 5 festgelegt sind, an.
(2) Verlangt ein Mitgliedstaat für die Verwendung in einem Online-Dienst, der von einer öffentlichen Stelle oder im Namen einer öffentlichen Stelle angeboten wird, ein fortgeschrittenes elektronisches Siegel, das auf einem qualifizierten Zertifikat beruht, so erkennt dieser Mitgliedstaat fortgeschrittene elektronische Siegel, die auf einem qualifizierten Zertifikat beruhen, und qualifizierte elektronische Siegel zumindest in den Formaten oder unter Verwendung der Verfahren, die in den Durchführungsrechtsakten nach Absatz 5 festgelegt sind, an.
(3) Die Mitgliedstaaten verlangen für die grenzüberschreitende Verwendung in einem Online-Dienst, der von einer öffentlichen Stelle angeboten wird, kein elektronisches Siegel mit einem höheren Sicherheitsniveau als dem des qualifizierten elektronischen Siegels.
(4) - gestrichen -
(5) Die Kommission legt bis zum 18. September 2015 im Wege von Durchführungsrechtsakten und unter Berücksichtigung der bestehenden Praxis sowie der bestehenden Normen und Unionsrechtsakte Durchführungsrechtsakte Referenzformate für fortgeschrittene elektronische Siegel oder Referenzverfahren fest, wenn alternative Formate verwendet werden. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 38 Qualifizierte Zertifikate für elektronische Siegel 24
(1) Qualifizierte Zertifikate für elektronische Siegel müssen die Anforderungen des Anhangs III erfüllen.
(2) Für qualifizierte Zertifikate für elektronische Siegel dürfen keine verbindlichen Anforderungen gelten, die über die in Anhang III festgelegten hinausgehen.
(3) Qualifizierte Zertifikate für elektronische Siegel können zusätzliche fakultative spezifische Attribute enthalten. Diese Attribute berühren nicht die Interoperabilität und Anerkennung qualifizierter elektronischer Siegel.
(4) Wird ein qualifiziertes Zertifikat für elektronische Siegel nach der anfänglichen Aktivierung widerrufen, ist es ab dem Zeitpunkt des Widerrufs nicht mehr gültig und sein Status darf unter keinen Umständen rückgängig gemacht werden.
(5) Die Mitgliedstaaten können vorbehaltlich der folgenden Bedingungen nationale Vorschriften zur vorläufigen Aussetzung qualifizierter Zertifikate für elektronische Siegel erlassen:
(6) Bis zum 21. Mai 2025 erstellt die Kommission im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards und legt, sofern erforderlich, Spezifikationen und Verfahren für qualifizierte Zertifikate für elektronische Siegel fest. Bei qualifizierten Zertifikaten für elektronische Siegel, die diesen Standards, Spezifikationen und Verfahren entsprechen, wird davon ausgegangen, dass sie die Anforderungen des Anhangs III erfüllen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 39 Qualifizierte elektronische Siegelerstellungseinheiten
(1) Artikel 29 gilt sinngemäß für die Anforderungen an qualifizierte elektronische Siegelerstellungseinheiten.
(2) Artikel 30 gilt sinngemäß für die Zertifizierung qualifizierter elektronischer Siegelerstellungseinheiten.
(3) Artikel 31 gilt sinngemäß für die Veröffentlichung einer Liste qualifizierter elektronischer Siegelerstellungseinheiten.
Artikel 39a Anforderungen an einen qualifizierten Dienst zur Verwaltung qualifizierter elektronischer Fernsiegelerstellungseinheiten 24
Artikel 29a gilt sinngemäß für einen qualifizierten Dienst zur Verwaltung qualifizierter elektronischer Fernsiegelerstellungseinheiten.
Artikel 40 Validierung und Bewahrung qualifizierter elektronischer Siegel
Die Artikel 32, 33 und 34 gelten sinngemäß für die Validierung und Bewahrung qualifizierter elektronischer Siegel.
Artikel 40a Anforderungen an die Validierung fortgeschrittener elektronischer Siegel, die auf qualifizierten Zertifikaten beruhen 24
Artikel 32a gilt sinngemäß für die Validierung fortgeschrittener elektronischer Siegel, die auf qualifizierten Zertifikaten beruhen.
Abschnitt 6
Elektronische Zeitstempel
Artikel 41 Rechtswirkung elektronischer Zeitstempel 24
(1) Einem elektronischen Zeitstempel darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil er in elektronischer Form vorliegt oder nicht die Anforderungen an qualifizierte elektronische Zeitstempel erfüllt.
(2) Für qualifizierte elektronische Zeitstempel gilt die Vermutung der Richtigkeit des Datums und der Zeit, die darin angegeben sind, sowie der Unversehrtheit der mit dem Datum und der Zeit verbundenen Daten.
Artikel 42 Anforderungen an qualifizierte elektronische Zeitstempel 24
(1) Der qualifizierte elektronische Zeitstempel muss die folgenden Anforderungen erfüllen:
(1a) Bei der Verknüpfung von Datums- und Zeitangaben mit Daten und einer Richtigkeit der Zeitquellen, die den in Absatz 2 genannten Standards, Spezifikationen und Verfahren entsprechen, wird davon ausgegangen, dass die Anforderungen des Absatzes 1 erfüllt sind.
(2) Bis zum 21. Mai 2025 erstellt die Kommission im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards und legt, sofern erforderlich, Spezifikationen und Verfahren für die Verknüpfung von Datums- und Zeitangaben mit Daten und für die Bestimmung der Richtigkeit von Zeitquellen fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Abschnitt 7
Dienste für die Zustellung elektronischer Einschreiben
Artikel 43 Rechtswirkung eines Dienstes für die Zustellung elektronischer Einschreiben
(1) Daten, die mittels eines Dienstes für die Zustellung elektronischer Einschreiben abgesendet und empfangen werden, darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegen oder weil die Anforderungen an qualifizierte Dienste für die Zustellung elektronischer Einschreiben nicht erfüllt sind.
(2) Für Daten, die mittels eines qualifizierten Dienstes für die Zustellung elektronischer Einschreiben abgesendet und empfangen werden, gilt die Vermutung der Unversehrtheit der Daten, der Absendung dieser Daten durch den identifizierten Absender und des Empfangs der Daten durch den identifizierten Empfänger und der Korrektheit des Datums und der Uhrzeit der Absendung und des Empfangs, wie sie von dem qualifizierten Dienst für die Zustellung elektronischer Einschreiben angegeben werden.
Artikel 44 Anforderungen an qualifizierte Dienste für die Zustellung elektronischer Einschreiben 24
(1) Qualifizierte Dienste für die Zustellung elektronischer Einschreiben müssen folgende Anforderungen erfüllen:
Im Fall der Weiterleitung der Daten zwischen zwei oder mehreren qualifizierten Vertrauensdiensteanbietern gelten die Anforderungen der Buchstaben a bis f für alle beteiligten qualifizierten Vertrauensdiensteanbieter.
(1a) Bei Prozessen des Absendens und Empfangens von Daten, die den in Absatz 2 genannten Standards, Spezifikationen und Verfahren entsprechen, wird davon ausgegangen, dass sie die Anforderungen des Absatzes 1 erfüllen.
(2) Bis zum 21. Mai 2025 erstellt die Kommission im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards und legt, sofern erforderlich, Spezifikationen und Verfahren für Prozesse des Absendens und Empfangens von Daten fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
(2a) Anbieter qualifizierter Dienste für die Zustellung elektronischer Einschreiben können sich auf Interoperabilität zwischen von ihnen erbrachten qualifizierten Diensten für die Zustellung elektronischer Einschreiben einigen. Ein solcher Interoperabilitätsrahmen muss die Anforderungen des Absatzes 1 erfüllen und diese Erfüllung wird von einer Konformitätsbewertungsstelle bestätigt.
(2b) Die Kommission kann im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards erstellen und, sofern erforderlich, Spezifikationen und Verfahren für den Interoperabilitätsrahmen nach Absatz 2a des vorliegenden Artikels festlegen. Die technischen Spezifikationen und der Inhalt der Standards müssen kosteneffizient und verhältnismäßig sein. Die Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Abschnitt 8
Website-Authentifizierung
Artikel 45 Anforderungen an qualifizierte Zertifikate für die Website-Authentifizierung 24
(1) Qualifizierte Zertifikate für die Website-Authentifizierung müssen die Anforderungen des Anhangs IV erfüllen. Die Bewertung der Erfüllung dieser Anforderungen erfolgt entsprechend den Standards, Spezifikationen und Verfahren nach Absatz 2 dieses Artikels.
(1a) Die gemäß Absatz 1 des vorliegenden Artikels ausgestellten qualifizierten Zertifikate für die Website-Authentifizierung werden von Anbietern von Webbrowsern anerkannt. Anbieter von Webbrowsern stellen sicher, dass in dem Zertifikat bescheinigte Identitätsdaten und zusätzliche bescheinigte Attribute benutzerfreundlich dargestellt werden. Anbieter von Webbrowsern gewährleisten die Unterstützung der in Absatz 1 des vorliegenden Artikels genannten qualifizierten Zertifikate für die Website-Authentifizierung und die Interoperabilität mit diesen; davon ausgenommen sind Kleinstunternehmen und Kleinunternehmen, wie in Artikel 2 des Anhangs der Empfehlung 2003/361/EG der Kommission definiert, während der ersten fünf Jahre ihrer Tätigkeit als Anbieter von Webbrowserdiensten.
(1b) Für qualifizierte Zertifikate für die Website-Authentifizierung dürfen keine verbindlichen Anforderungen gelten, die über die in Absatz 1 festgelegten hinausgehen.
(2) Bis zum 21. Mai 2025 erstellt die Kommission im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards und legt, sofern erforderlich, die Spezifikationen und Verfahren für qualifizierte Zertifikate für die Website-Authentifizierung nach Absatz 1 des vorliegenden Artikels fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 45a Cybersicherheits-Vorsorgemaßnahmen 24
(1) Anbieter von Webbrowsern ergreifen keine Maßnahmen, die ihren Verpflichtungen nach Artikel 45 entgegenstehen, insbesondere den Anforderungen, qualifizierte Zertifikate für die Website-Authentifizierung anzuerkennen und die bereitgestellten Identitätsdaten benutzerfreundlich darzustellen.
(2) Abweichend von Absatz 1, und nur in Fällen begründeter Bedenken hinsichtlich Sicherheitsverletzungen oder eines Integritätsverlusts eines bestimmten Zertifikats oder eines Satzes von Zertifikaten, können Anbieter von Webbrowsern Vorsorgemaßnahmen in Bezug auf dieses Zertifikat oder diesen Satz von Zertifikaten ergreifen.
(3) Wenn ein Anbieter eines Webbrowsers Maßnahmen gemäß Absatz 2 ergreift, teilt der Anbieter des Webbrowsers der Kommission, der zuständigen Aufsichtsstelle, der Einrichtung, der das Zertifikat ausgestellt wurde und dem qualifizierten Vertrauensdiensteanbieter, der das Zertifikat oder den Satz von Zertifikaten ausgestellt hat, ihre Bedenken unverzüglich schriftlich zusammen mit einer Beschreibung der Maßnahmen, die aufgrund dieser Bedenken ergriffen worden sind, mit. Bei Erhalt einer solchen Meldung stellt die zuständige Aufsichtsstelle dem betreffenden Anbieter des Webbrowsers eine Empfangsbestätigung aus.
(4) Die zuständige Aufsichtsstelle untersucht die in der Meldung vorgebrachten Themen gemäß Artikel 46b Absatz 4 Buchstabe k. Wenn das Ergebnis der Untersuchung nicht zum Widerruf des Qualifikationsstatus des Zertifikats führt, informiert die Aufsichtsstelle den Anbieter des Webbrowsers entsprechend und fordert diesen Anbieter auf, die Vorsorgemaßnahmen nach Absatz 2 dieses Artikels zu beenden.
Abschnitt 9
Elektronische Attributsbescheinigung 24
Artikel 45b Rechtswirkungen der elektronischen Attributsbescheinigung 24
(1) Einer elektronischen Attributsbescheinigung darf die Rechtswirkung oder die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt oder nicht die Anforderungen an qualifizierte elektronische Attributsbescheinigungen erfüllt.
(2) Eine qualifizierte elektronische Attributsbescheinigung und Attributsbescheinigungen, die von oder im Namen einer für eine authentische Quelle zuständigen öffentlichen Stelle ausgestellt werden, haben dieselbe Rechtswirkung wie rechtmäßig ausgestellte Bescheinigungen in Papierform.
(3) Eine Attributsbescheinigung, die von oder im Namen einer für eine authentische Quelle zuständigen öffentlichen Stelle in einem Mitgliedstaat ausgestellt wurde, wird in allen Mitgliedstaaten als Attributsbescheinigung, die von oder im Namen einer für eine authentische Quelle zuständigen öffentlichen Stelle ausgestellt wurde, anerkannt.
Artikel 45c Elektronische Attributsbescheinigung in öffentlichen Diensten 24
Wird eine elektronische Identifizierung mit einem elektronischen Identifizierungsmittel und einer Authentifizierung nach nationalem Recht für den Zugang zu einem von einer öffentlichen Stelle erbrachten Online-Dienst verlangt, so dürfen Personenidentifizierungsdaten, die in der elektronischen Attributsbescheinigung enthalten sind, eine elektronische Identifizierung mit einem elektronischen Identifizierungsmittel und eine Authentifizierung der elektronischen Identifizierung nicht ersetzen, es sei denn, der Mitgliedstaat hat dies ausdrücklich gestattet. In diesem Fall werden auch qualifizierte elektronische Attributsbescheinigungen aus anderen Mitgliedstaaten akzeptiert.
Artikel 45d Anforderungen an die qualifizierte elektronische Attributsbescheinigung 24
(1) Qualifizierte elektronische Attributsbescheinigungen müssen die Anforderungen des Anhangs V erfüllen.
(2) Die Bewertung der Erfüllung der Anforderungen des Anhangs V erfolgt gemäß den in Absatz 5 dieses Artikels genannten Standards, Spezifikationen und Verfahren.
(3) Für qualifizierte elektronische Attributsbescheinigungen dürfen keine verbindlichen Anforderungen gelten, die über die in Anhang V festgelegten hinausgehen.
(4) Wird eine qualifizierte elektronische Attributsbescheinigung nach der anfänglichen Ausstellung widerrufen, so ist sie ab dem Zeitpunkt des Widerrufs nicht mehr gültig und darf unter keinen Umständen erneut Gültigkeit erlangen.
(5) Bis zum 21. November 2024 erstellt die Kommission im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards und legt, sofern erforderlich, Spezifikationen und Verfahren für qualifizierte elektronische Attributsbescheinigungen fest. Diese Durchführungsrechtsakte stehen im Einklang mit den Durchführungsrechtsakten zur Umsetzung der europäischen Brieftasche für die Digitale Identität nach Artikel 5a Absatz 23. Sie werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 45e Überprüfung der Attribute anhand authentischer Quellen 24
(1) Die Mitgliedstaaten sorgen innerhalb von 24 Monaten nach dem Tag des Inkrafttretens der Durchführungsrechtsakte nach Artikel 5a Absatz 23 und Artikel 5c Absatz 6 dafür, dass zumindest für die in Anhang VI aufgeführten Attribute, soweit diese Attribute auf authentischen Quellen des öffentlichen Sektors beruhen, Maßnahmen getroffen werden, die es qualifizierten Vertrauensdiensteanbietern elektronischer Attributsbescheinigungen ermöglichen, diese Attribute auf Verlangen des Nutzers gemäß Unionsrecht oder nationalem Recht mit elektronischen Mitteln zu überprüfen.
(2) Bis zum 21. November 2024 erstellt die Kommission unter Berücksichtigung einschlägiger internationaler Normen im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards und legt, sofern erforderlich, Spezifikationen und Verfahren für den Katalog der Attribute sowie die Systeme für die Attributsbescheinigung und die Überprüfungsverfahren für qualifizierte elektronische Attribute für die Zwecke von Absatz 1 des vorliegenden Artikels fest. Diese Durchführungsrechtsakte stehen im Einklang mit den Durchführungsrechtsakten zur Umsetzung der europäischen Brieftasche für die Digitale Identität nach Artikel 5a Absatz 23. Sie werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 45f Anforderungen an elektronische Attributsbescheinigungen, die von oder im Namen einer für eine authentische Quelle zuständigen öffentlichen Stelle ausgestellt werden 24
(1) Eine elektronische Attributsbescheinigung, die von oder im Namen einer für eine authentische Quelle zuständigen öffentlichen Stelle ausgestellt wird, muss folgende Anforderungen erfüllen:
(2) Der Mitgliedstaat, in dem die öffentlichen Stellen nach Artikel 3 Nummer 46 niedergelassen sind, stellt sicher, dass die öffentlichen Stellen, die elektronische Attributsbescheinigungen ausstellen, ein Maß an Verlässlichkeit und Vertrauenswürdigkeit aufweisen, die den qualifizierten Vertrauensdiensteanbietern gemäß Artikel 24 entsprechen.
(3) Die Mitgliedstaaten teilen der Kommission die öffentlichen Stellen nach Artikel 3 Nummer 46 mit. Diese Mitteilung umfasst einen von einer Konformitätsbewertungsstelle ausgestellten Konformitätsbewertungsbericht, in dem bestätigt wird, dass die Anforderungen der Absätze 1, 2 und 6 des vorliegenden Artikels erfüllt sind. Die Kommission macht die Liste der öffentlichen Stellen nach Artikel 3 Nummer 46 auf sichere Weise und elektronisch unterzeichnet oder besiegelt in einer für eine automatisierte Verarbeitung geeigneten Form öffentlich zugänglich.
(4) Wurde eine elektronische Attributsbescheinigung, die von oder im Namen einer für eine authentische Quelle zuständigen öffentlichen Stelle ausgestellt wurde, nach der ursprünglichen Ausstellung widerrufen, so verliert sie ab dem Zeitpunkt ihres Widerrufs ihre Gültigkeit und ihr Status wird nicht wiederhergestellt.
(5) Bei elektronischen Attributsbescheinigungen, die von oder im Namen einer für eine authentische Quelle zuständigen öffentlichen Stelle ausgestellt wurden, wird davon ausgegangenen, dass sie die Anforderungen des Absatzes 1 erfüllen, sofern sie den in Standards, Spezifikationen und Verfahren nach Absatz 6 entsprechen.
(6) Bis zum 21. November 2024 erstellt die Kommission im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards und legt, sofern erforderlich, Spezifikationen und Verfahren für elektronische Attributsbescheinigungen, die von oder im Namen einer für eine authentische Quelle zuständigen öffentlichen Stelle ausgestellt werden, fest. Diese Durchführungsrechtsakte stehen im Einklang mit den Durchführungsrechtsakten zur Umsetzung der europäischen Brieftasche für die Digitale Identität nach Artikel 5a Absatz 23. Sie werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
(7) Bis zum 21. November 2024 erstellt die Kommission im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards und legt, sofern erforderlich, die Spezifikationen und Verfahren für die Zwecke des Absatzes 3 dieses Artikels fest. Diese Durchführungsrechtsakte stehen im Einklang mit den Durchführungsrechtsakten zur Umsetzung der europäischen Brieftasche für die Digitale Identität nach Artikel 5a Absatz 23. Sie werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
(8) Öffentliche Stellen nach Artikel 3 Nummer 46, die elektronische Attributsbescheinigungen ausstellen, stellen eine Schnittstelle zu den nach Artikel 5a bereitgestellten europäischen Brieftaschen für die Digitale Identität bereit.
Artikel 45g Ausstellung elektronischer Attributsbescheinigungen für europäische Brieftaschen für die Digitale Identität 24
(1) Anbieter elektronischer Attributsbescheinigungen bieten Nutzern der europäischen Brieftasche für die Digitale Identität die Möglichkeit, die elektronische Attributsbescheinigung unabhängig von dem Mitgliedstaat, in dem die europäische Brieftasche für die Digitale Identität bereitgestellt wird, anzufordern, zu erhalten, zu speichern und zu verwalten.
(2) Anbieter qualifizierter elektronischer Attributsbescheinigungen stellen eine Schnittstelle zu den nach Artikel 5a bereitgestellten europäischen Brieftaschen für die Digitale Identität bereit.
Artikel 45h Zusätzliche Vorschriften für die Erbringung von Diensten für elektronische Attributsbescheinigungen 24
(1) Anbieter qualifizierter und nichtqualifizierter Dienste für elektronische Attributsbescheinigungen dürfen personenbezogene Daten in Bezug auf die Erbringung dieser Dienste nicht mit personenbezogenen Daten aus anderen von ihnen oder ihren Geschäftspartnern angebotenen Diensten kombinieren.
(2) Personenbezogene Daten in Bezug auf die Erbringung von Diensten für elektronische Attributsbescheinigungen werden von allen anderen vom Anbieter elektronischer Attributsbescheinigungen gespeicherten Daten logisch getrennt gehalten.
(3) Anbieter elektronischer Attributsbescheinigungen setzen die Bereitstellung solcher qualifizierter Vertrauensdienste auf eine Weise um, dass sie von anderen von ihnen bereitgestellten Diensten funktional getrennt ist.
Abschnitt 10
Elektronische Archivierungsdienste 24
Artikel 45i Rechtswirkung elektronischer Archivierungsdienste 24
(1) Elektronischen Daten und elektronischen Dokumenten, die mittels eines elektronischen Archivierungsdienstes aufbewahrt werden, darf die Rechtswirkung oder die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegen oder weil sie nicht mittels eines qualifizierten elektronischen Archivierungsdienstes aufbewahrt werden.
(2) Für elektronische Daten und elektronische Dokumente, die mittels eines qualifizierten elektronischen Archivierungsdienstes aufbewahrt werden, gilt die Vermutung der Unversehrtheit und der Richtigkeit der Herkunftsangabe für den Zeitraum der Bewahrung durch den qualifizierten Vertrauensdiensteanbieter.
Artikel 45j Anforderungen an qualifizierte elektronische Archivierungsdienste 24
(1) Qualifizierte elektronische Archivierungsdienste müssen folgende Anforderungen erfüllen:
(2) Bis zum 21. Mai 2025 erstellt die Kommission im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards und legt, sofern erforderlich, Spezifikationen und Verfahren für qualifizierte elektronische Archivierungsdienste fest. Bei qualifizierten elektronischen Archivierungsdiensten, die diesen Standards, Spezifikationen und Verfahren entsprechen, wird davon ausgegangen, dass sie die Anforderungen für qualifizierte elektronische Archivierungsdienste erfüllen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Abschnitt 11
Elektronische Journale 24
Artikel 45k Rechtswirkungen elektronischer Journale 24
(1) Einem elektronischen Journal darf die Rechtswirkung oder die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil es in elektronischer Form vorliegt oder die Anforderungen an qualifizierte elektronische Journale nicht erfüllt.
(2) Für Datensätze in einem qualifizierten elektronischen Journal gilt die Vermutung der eindeutigen und genauen fortlaufenden chronologischen Reihenfolge und der Unversehrtheit.
Artikel 45l Anforderungen an qualifizierte elektronische Journale 24
(1) Qualifizierte elektronische Journale müssen folgende Anforderungen erfüllen:
(2) Bei einem elektronischen Journal, das den in Absatz 3 genannten Standards, Spezifikationen und Verfahren entspricht, wird davon ausgegangen, dass es die Anforderungen des Absatzes 1 erfüllt.
(3) Bis zum 21. Mai 2025 erstellt die Kommission im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards und legt, sofern erforderlich, die Spezifikationen und Verfahren für qualifizierte Validierungsdienste nach Absatz 1 des vorliegenden Artikels fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Kapitel IV
Elektronische Dokumente
Artikel 46 Rechtswirkung elektronischer Dokumente
Einem elektronischen Dokument darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil es in elektronischer Form vorliegt.
Kapitel IVa
Rahmen für die Governance 24
Artikel 46a Aufsicht über den Rahmen für die europäischen Brieftasche für die Digitale Identität 24
(1) Die Mitgliedsstaaten benennen eine oder mehrere in ihrem Hoheitsgebiet niedergelassene Aufsichtsstellen.
Die gemäß Unterabsatz 1 benannten Aufsichtsstellen erhalten die erforderlichen Befugnisse und angemessene Ressourcen für die Wahrnehmung ihrer Aufgaben auf wirksame, effiziente und unabhängige Weise.
(2) Die Mitgliedstaaten teilen der Kommission die Namen und die Adressen ihrer nach Absatz 1 benannten Aufsichtsstellen sowie alle nachfolgenden Änderungen daran mit. Die Kommission veröffentlicht eine Liste der benannten Aufsichtsstellen.
(3) Die nach Absatz 1 benannten Aufsichtsstellen nehmen folgende Funktionen wahr:
(4) Die nach Absatz 1 benannten Aufsichtsstellen nehmen unter anderem insbesondere folgende Aufgaben wahr:
(5) Verlangt die nach Absatz 1 benannte Aufsichtsstelle vom Anbieter einer europäischen Brieftasche für die Digitale Identität bei Nichteinhaltung der Anforderungen nach dieser Verordnung gemäß Absatz 4 Buchstabe e Abhilfe zu schaffen und kommt dieser Anbieter dieser Aufforderung - gegebenenfalls innerhalb einer von der Aufsichtsstelle gesetzten Frist - nicht nach, so kann die nach Absatz 1 benannte Aufsichtsstelle unter Berücksichtigung insbesondere der Tragweite, der Dauer und der Auswirkungen der Nichteinhaltung anordnen, dass der Anbieter die Bereitstellung der europäischen Brieftasche für die Digitale Identität aussetzt oder beendet. Die Aufsichtsstelle setzt die Aufsichtsstellen anderer Mitgliedstaaten, die Kommission, vertrauende Beteiligte und Nutzer der europäischen Brieftasche für die Digitale Identität unverzüglich von der Entscheidung, die Aussetzung oder Beendigung der Bereitstellung der europäischen Brieftasche für die Digitale Identität zu verlangen, in Kenntnis.
(6) Bis zum 31. März jedes Jahres legt jede nach Absatz 1 benannte Aufsichtsstelle der Kommission einen Bericht über ihre hauptsächlichen Tätigkeiten während des vorangegangenen Kalenderjahres vor. Die Kommission stellt diese jährlichen Berichte dem Parlament und dem Rat zur Verfügung.
(7) Bis zum 21. Mai 2025 legt die Kommission im Wege von Durchführungsrechtsakten Form und Verfahren für die in Absatz 6 des vorliegenden Artikels genannten Berichte fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 46b Beaufsichtigung von Vertrauensdiensten 24
(1) Die Mitgliedstaaten benennen eine Aufsichtsstelle, die in ihrem Hoheitsgebiet niedergelassen ist, oder sie benennen, aufgrund einer gegenseitigen Vereinbarung mit einem anderen Mitgliedstaat, eine in diesem anderen Mitgliedstaat niedergelassene Aufsichtsstelle. Diese Aufsichtsstelle ist für die Wahrnehmung der Aufsichtsaufgaben im benennenden Mitgliedstaat im Hinblick auf Vertrauensdienste verantwortlich.
Die gemäß Unterabsatz 1 benannten Aufsichtsstellen erhalten die erforderlichen Befugnisse und angemessene Ressourcen für die Wahrnehmung ihrer Aufgaben.
(2) Die Mitgliedstaaten teilen der Kommission die Namen und die Adressen ihrer nach Absatz 1 benannten Aufsichtsstellen sowie alle nachfolgenden Änderungen daran mit. Die Kommission veröffentlicht eine Liste der benannten Aufsichtsstellen.
(3) Die nach Absatz 1 benannten Aufsichtsstellen nehmen folgende Funktionen wahr:
(4) Die nach Absatz 1 benannten Aufsichtsstelle nimmt unter anderem insbesondere folgende Aufgaben wahr:
(5) Die Mitgliedstaaten können verlangen, dass die nach Absatz 1 benannte Aufsichtsstelle nach Maßgabe des nationalen Rechts eine Vertrauensinfrastruktur einrichtet, unterhält und aktualisiert.
(6) Bis zum 31. März jedes Jahres legt jede nach Absatz 1 benannte Aufsichtsstelle der Kommission einen Bericht über ihre hauptsächlichen Tätigkeiten während des vorangegangenen Kalenderjahres vor. Die Kommission stellt diese jährlichen Berichte dem Parlament und dem Rat zur Verfügung.
(7) Bis zum 21. Mai 2025 nimmt die Kommission Leitlinien über die Wahrnehmung der Aufgaben nach Absatz 4 dieses Artikels durch die nach Absatz 1 benannten Aufsichtsstellen an und legt im Wege von Durchführungsrechtsakten Form und Verfahren für die in Absatz 6 des vorliegenden Artikels genannten Berichte fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 46c Einheitliche Anlaufstellen 24
(1) Jeder Mitgliedstaat benennt eine einheitliche Anlaufstelle für Vertrauensdienste, europäische Brieftaschen für die Digitale Identität und notifizierte elektronische Identifizierungssysteme.
(2) Jede einheitliche Anlaufstelle fungiert als Verbindungsstelle, um die grenzüberschreitende Zusammenarbeit zwischen den Aufsichtsstellen für Vertrauensdiensteanbieter und zwischen den Aufsichtsstellen für die Anbieter von europäischen Brieftaschen für die Digitale Identität und gegebenenfalls der Kommission und der Agentur der Europäischen Union für Cybersicherheit (ENISA) sowie mit anderen nationalen zuständigen Behörden innerhalb des Mitgliedstaats zu gewährleisten.
(3) Jeder Mitgliedstaat veröffentlicht die Namen und die Adressen der nach Absatz 1 benannten einheitlichen Anlaufstellen sowie alle nachfolgenden Änderungen daran und teilt diese der Kommission unverzüglich mit.
(4) Die Kommission veröffentlicht eine Liste der nach Absatz 3 mitgeteilten einheitlichen Anlaufstellen.
Artikel 46d Gegenseitige Amtshilfe 24
(1) Um die Beaufsichtigung und Durchsetzung von Verpflichtungen im Rahmen dieser Verordnung zu erleichtern, können nach Artikel 46a Absatz 1 und Artikel 46b Absatz 1 benannten Aufsichtsstellen unter anderem durch die gemäß Artikel 46e Absatz 1 eingerichtete Kooperationsgruppe, um Amtshilfe von den Aufsichtsstellen eines anderen Mitgliedstaats ersuchen, in dem der Anbieter der europäischen Brieftasche für die Digitale Identität oder der Vertrauensdienstanbieter ansässig ist, oder in dem sich sein Netz und seine Informationssysteme befinden, oder in dem seine Dienste angeboten werden.
(2) Gegenseitige Amtshilfe umfasst mindestens Folgendes:
Die Vorkehrungen und Verfahren für gemeinsame Tätigkeiten nach Unterabsatz 1 werden von den betreffenden Mitgliedstaaten nach Maßgabe ihres jeweiligen nationalen Rechts vereinbart und festgelegt.
(3) Die Aufsichtsstelle, an die ein Amtshilfeersuchen gerichtet wird, kann dieses Ersuchen aus einem der folgenden Gründe ablehnen:
(4) Bis zum 21. Mai 2025 und danach alle zwei Jahre gibt die gemäß Artikel 46e Absatz 1 eingerichtete Kooperationsgruppe Leitlinien zu organisatorischen Aspekten und Verfahren für die gegenseitige Amtshilfe gemäß den Absätzen 1 und 2 dieses Artikels heraus.
Artikel 46e Europäische Kooperationsgruppe für die digitale Identität 24
(1) Um die grenzübergreifende Zusammenarbeit und den Informationsaustausch unter den Mitgliedstaaten im Bereich der Vertrauensdienste, der europäischen Brieftaschen für die Digitale Identität und der notifizierten elektronischen Identifizierungssysteme zu erleichtern, richtet die Kommission die europäische Kooperationsgruppe für die digitale Identität (im Folgenden "Kooperationsgruppe') ein.
(2) Die Kooperationsgruppe setzt sich aus von den Mitgliedstaaten und der Kommission ernannten Vertretern zusammen. Den Vorsitz in der Kooperationsgruppe führt die Kommission. Die Kommission stellt das Sekretariat der Kooperationsgruppe bereit.
(3) Vertreter einschlägiger Interessenträger können ad hoc zur Teilnahme an Sitzungen der Kooperationsgruppe und an ihrer Tätigkeit als Beobachter eingeladen werden.
(4) Die ENISA wird als Beobachter zur Teilnahme an den Tätigkeiten der Kooperationsgruppe, zum Gedankenaustausch, zum Austausch von bewährten Verfahren und Informationen zu relevanten Aspekten der Cybersicherheit, wie beispielsweise das Melden von Sicherheitsverletzungen, und zur Verwendung von Cybersicherheitszertifikaten oder Cybersicherheitsnormen eingeladen.
(5) Die Kooperationsgruppe nimmt folgende Aufgaben wahr:
(6) Die Mitgliedstaaten gewährleisten eine sichere, wirksame und effiziente Zusammenarbeit der benannten Vertreter in der Kooperationsgruppe.
(7) Bis zum 21. Mai 2025 legt die Kommission im Wege von Durchführungsrechtsakten die erforderlichen Verfahrensmodalitäten zur Erleichterung der Zusammenarbeit zwischen den Mitgliedstaaten nach Absatz 5 Buchstabe d dieses Artikels fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Kapitel V
Befugnisübertragungen und Durchführungsbestimmungen
Artikel 47 Ausübung der Befugnisübertragung 24
(1) Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.
(2) Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 5c Absatz 7, Artikel 24 Absatz 4b und Artikel 30 Absatz 4 wird der Kommission auf unbestimmte Zeit ab dem 17. September 2014 übertragen.
(3) Die Befugnisübertragung gemäß Artikel 5c Absatz 7, Artikel 24 Absatz 4b und Artikel 30 Absatz 4 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem im Beschluss über den Widerruf angegebenen späteren Zeitpunkt wirksam. Die Gültigkeit von delegierten Rechtsakten, die bereits in Kraft sind, wird von dem Beschluss über den Widerruf nicht berührt.
(4) Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.
(5) Ein delegierter Rechtsakt, der gemäß Artikel 5c Absatz 7, Artikel 24 Absatz 4b oder Artikel 30 Absatz 4 erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von zwei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben haben oder wenn vor Ablauf dieser Frist das Europäische Parlament und der Rat beide der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Initiative des Europäischen Parlaments oder des Rates wird diese Frist um zwei Monate verlängert.
Artikel 48 Ausschussverfahren
(1) Die Kommission wird von einem Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.
(2) Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.
Artikel 48a Berichtspflichten 24
(1) Die Mitgliedstaaten sorgen für die Erhebung von Statistiken über das Funktionieren von europäischen Brieftaschen für die Digitale Identität und der qualifizierten Vertrauensdienste, die in ihrem Hoheitsgebiet angeboten werden.
(2) Die nach Absatz 1 erhobenen Statistiken umfassen Folgendes:
(3) Die in Absatz 2 genannten Statistiken werden der Öffentlichkeit in einem offenen und weithin verwendeten maschinenlesbaren Format zur Verfügung gestellt.
(4) Bis zum 31. März jedes Jahres übermitteln die Mitgliedstaaten der Kommission einen Bericht über die nach Absatz 2 erhobenen Statistiken.
Kapitel VI
Schlussbestimmungen
Artikel 49 Überprüfung 24
(1) Die Kommission überprüft die Anwendung dieser Verordnung und erstattet dem Europäischen Parlament und dem Rat bis zum 21. Mai 2026 darüber Bericht. In diesem Bericht bewertet die Kommission insbesondere, ob es angezeigt ist, den Anwendungsbereich dieser Verordnung oder ihrer spezifischen Bestimmungen, einschließlich insbesondere der Bestimmungen in Artikel 5c Absatz 5, zu ändern, wobei den bei der Anwendung dieser Verordnung gesammelten Erfahrungen sowie den Entwicklungen der Technologie, des Marktes und des Rechts Rechnung getragen wird. Diesem Bericht wird erforderlichenfalls ein Vorschlag zur Änderung dieser Verordnung beigefügt.
(2) Der in Absatz 1 genannte Bericht enthält eine Bewertung der Verfügbarkeit, Sicherheit und Nutzbarkeit der notifizierten elektronischen Identifizierungsmittel und der europäischen Brieftaschen für die Digitale Identität, die in den Anwendungsbereich dieser Verordnung fallen, und eine Bewertung, ob alle privaten Online-Diensteanbieter, die zur Authentifizierung der Nutzer auf elektronische Identifizierungsdienste Dritter zurückgreifen, dazu verpflichtet werden sollen, die Verwendung von notifizierten elektronischen Identifizierungsmitteln und europäischen Brieftaschen für die Digitale Identität zu akzeptieren.
(3) Bis zum 21. Mai 2030 und danach alle vier Jahre legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Fortschritte im Hinblick auf die Verwirklichung der mit dieser Verordnung verfolgten Ziele vor.
Artikel 50 Aufhebung
(1) Die Richtlinie 1999/93/EG wird mit Wirkung vom 1. Juli 2016 aufgehoben.
(2) Bezugnahmen auf die aufgehobene Richtlinie gelten als Bezugnahmen auf diese Verordnung.
Artikel 51 Übergangsbestimmungen 24
(1) Sichere Signaturerstellungseinheiten, deren Übereinstimmung mit den Anforderungen des Artikels 3 Absatz 4 der Richtlinie 1999/93/EG festgestellt wurde, gelten bis zum 21. Mai 2027 weiterhin als qualifizierte elektronische Signaturerstellungseinheiten gemäß dieser Verordnung.
(2) Qualifizierte Zertifikate, die natürlichen Personen gemäß der Richtlinie 1999/93/EG ausgestellt wurden, gelten bis zum 21. Mai 2026 weiterhin als qualifizierte Zertifikate für elektronische Signaturen gemäß dieser Verordnung.
(3) Die Verwaltung qualifizierter elektronischer Fernsignaturerstellungseinheiten und Fernsiegelerstellungseinheiten durch qualifizierte Vertrauensdiensteanbieter, die keine qualifizierten Vertrauensdiensteanbieter sind, die qualifizierte Vertrauensdienste für die Verwaltung qualifizierter elektronischer Fernsignaturerstellungseinheiten und Fernsiegelerstellungseinheiten gemäß den Artikeln 29a und 39a erbringen, darf bis zum 21. Mai 2026 fortgeführt werden, ohne dass die Pflicht besteht, für diese Verwaltungsdienste den Qualifikationsstatus zu erlangen.
(4) Qualifizierte Vertrauensdiensteanbieter, denen der Qualifikationsstatus gemäß dieser Verordnung vor dem 20. Mai 2024 zuerkannt wurde, legen der Aufsichtsstelle so bald wie möglich, jedenfalls bis zum 21. Mai 2026, einen Konformitätsbewertungsbericht vor, mit dem die Einhaltung des Artikels 24 Absätze 1, 1a und 1b nachgewiesen wird.
Artikel 52 Inkrafttreten
(1) Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
(2) Diese Verordnung gilt ab dem 1. Juli 2016 mit folgenden Ausnahmen:
(3) Ist das notifizierte elektronische Identifizierungssystem vor dem in Absatz 2 Buchstabe c genannten Datum in der von der Kommission gemäß Artikel 9 veröffentlichten Liste aufgeführt, so erfolgt die Anerkennung der elektronischen Identifizierungsmittel dieses Systems gemäß Artikel 6 spätestens 12 Monate nach der Veröffentlichung dieses Systems, jedoch nicht vor dem in Absatz 2 Buchstabe c genannten Datum.
(4) Abweichend von Absatz 2 Buchstabe c kann ein Mitgliedstaat entscheiden, dass elektronische Identifizierungsmittel eines von einem anderen Mitgliedstaat gemäß Artikel 9 Absatz 1 notifizierten elektronischen Identifizierungssystems in dem ersten Mitgliedstaat ab dem Datum des Beginns der Anwendung der in Artikel 8 Absatz 3 und Artikel 12 Absatz 8 genannten Durchführungsrechtsakte anerkannt werden. Die betreffenden Mitgliedstaaten setzen die Kommission davon in Kenntnis. Die Kommission veröffentlicht diese Informationen.
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Geschehen zu Brüssel am 23. Juli 2014.
2) Standpunkt des Europäischen Parlaments vom 3. April 2014 (noch nicht im Amtsblatt veröffentlicht) und Beschluss des Rates vom 23. Juli 2014.
3) Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen (ABl. Nr. L 13 vom 19.01.2000 S. 12).
4) ABl. C 50 E vom 21.02.2012 S. 1.
5) Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates vom 12. Dezember 2006 über Dienstleistungen im Binnenmarkt (ABl. Nr. L 376 vom 27.12.2006 S. 36).
6) Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates vom 9. März 2011 über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung (ABl. Nr. L 88 vom 04.04.2011 S. 45).
7) Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. Nr. L 281 vom 23.11.1995 S. 31).
8) Beschluss 2010/48/EG des Rates vom 26. November 2009 über den Abschluss des Übereinkommens der Vereinten Nationen über die Rechte von Menschen mit Behinderungen durch die Europäische Gemeinschaft (ABl. Nr. L 23 vom 27.01.2010 S. 35).
9) Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über die Vorschriften für die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 des Rates (ABl. Nr. L 218 vom 13.08.2008 S. 30).
10) Entscheidung 2009/767/EG der Kommission vom 16. Oktober 2009 über Maßnahmen zur Erleichterung der Nutzung elektronischer Verfahren über "einheitliche Ansprechpartner" gemäß der Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates über Dienstleistungen im Binnenmarkt (ABl. Nr. L 274 vom 20.10.2009 S. 36).
11) Beschluss 2011/130/EU der Kommission vom 25. Februar 2011 über Mindestanforderungen für die grenzüberschreitende Verarbeitung von Dokumenten, die gemäß der Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates über Dienstleistungen im Binnenmarkt von zuständigen Behörden elektronisch signiert worden sind (ABl. Nr. L 53 vom 26.02.2011 S. 66).
12) Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren (ABl. Nr. L 55 vom 28.02.2011 S. 13).
13) Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. Nr. L 8 vom 12.01.2001 S. 1).
14) ABl. C 28 vom 30.01.2013 S. 6.
15) Richtlinie 2014/24/EU des Europäischen Parlaments und des Rates vom 26. Februar 2014 über die öffentliche Auftragsvergabe und zur Aufhebung der Richtlinie 2004/18/EG (ABl. Nr. L 94 vom 28.03.2014 S. 65).
16) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 04.05.2016 S. 1).
17) Richtlinie (EU) 2019/882 des Europäischen Parlaments und des Rates vom 17. April 2019 über die Barrierefreiheitsanforderungen für Produkte und Dienstleistungen (ABl. L 151 vom 07.06.2019 S. 70).
18) Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit) (ABl. L 151 vom 07.06.2019 S. 15).
19) Empfehlung der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (2003/361/EG) (ABl. L 124 vom 20.05.2003 S. 36).
20) Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates vom 19. Oktober 2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG (Gesetz über digitale Dienste) (ABl. L 277 vom 27.10.2022 S. 1).
21) Verordnung (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 (Gesetz über digitale Märkte) (ABl. L 265 vom 12.10.2022 S. 1).
22) Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) (ABl. L 333 vom 27.12.2022 S. 80).
Anforderungen an qualifizierte Zertifikate für elektronische Signaturen | Anhang I 24 |
Qualifizierte Zertifikate für elektronische Signaturen enthalten Folgendes:
Anforderungen an qualifizierte elektronische Signaturerstellungseinheiten | Anhang II 24 |
(1) Qualifizierte elektronische Signaturerstellungseinheiten müssen durch geeignete Technik und Verfahren zumindest gewährleisten, dass
(2) Qualifizierte elektronische Signaturerstellungseinheiten dürfen die zu unterzeichnenden Daten nicht verändern und nicht verhindern, dass dem Unterzeichner diese Daten vor dem Unterzeichnen angezeigt werden.
Anforderungen an qualifizierte Zertifikate für elektronische Siegel | Anhang III 24 |
Qualifizierte Zertifikate für elektronische Siegel enthalten
Anforderungen an qualifizierte Zertifikate für die Website-Authentifizierung | Anhang IV 24 |
Qualifizierte Zertifikate für die Website-Authentifizierung enthalten Folgendes:
Anforderungen an qualifizierte elektronische Attributsbescheinigungen | Anhang V 24 |
Qualifizierte elektronische Attributsbescheinigungen enthalten Folgendes:
Mindestliste der Attribute | Anhang VI 24 |
Gemäß Artikel 45e sorgen die Mitgliedstaaten dafür, dass Maßnahmen getroffen werden, die es qualifizierten Vertrauensdiensteanbietern elektronischer Attributsbescheinigungen ermöglichen, auf Verlangen des Nutzers mit elektronischen Mitteln anhand der betreffenden authentischen Quelle auf nationaler Ebene oder über benannte Vermittler, die auf nationaler Ebene anerkannt sind, nach Maßgabe des Unionsrechts oder des nationalen Rechts und sofern diese Attribute aus authentischen Quellen des öffentlichen Sektors stammen, die Echtheit der folgenden Attribute zu überprüfen:
Anforderungen an elektronische Attributsbescheinigungen, die von oder im Namen einer für eine authentische Quelle zuständigen öffentlichen Stelle ausgestellt werden | Anhang VII 24 |
Eine elektronische Attributsbescheinigung, die von oder im Namen einer für eine authentische Quelle zuständigen öffentlichen Stelle ausgestellt wird, enthält Folgendes:
ENDE |
...
X
⍂
↑
↓