Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2024, Wirtschaft - EU Bund

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG ¹, insbesondere auf Artikel 5a Absatz 23,

in Erwägung nachstehender Gründe:

(1) Der durch die Verordnung (EU) Nr. 910/2014 geschaffene europäische Rahmen für die digitale Identität ist eine unverzichtbare Komponente für die Schaffung eines sicheren und interoperablen Ökosystems für die digitale Identität in der gesamten Union. Da die europäischen Brieftaschen für die digitale Identität (im Folgenden "Brieftaschen") den Eckpfeiler des Rahmens bilden, soll damit der Zugang zu Diensten für natürliche und juristische Personen in allen Mitgliedstaaten erleichtert und gleichzeitig der Schutz personenbezogener Daten und der Privatsphäre gewährleistet werden.

(2) Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates ² und, sofern anwendbar, die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates ³ gelten für jede Verarbeitung personenbezogener Daten gemäß der vorliegenden Verordnung.

(3) Gemäß Artikel 5a Absatz 23 der Verordnung (EU) Nr. 910/2014 muss die Kommission erforderlichenfalls die einschlägigen Spezifikationen und Verfahren festlegen. Erreicht wird dies durch vier Durchführungsverordnungen, nämlich über Protokolle und Schnittstellen: Durchführungsverordnung (EU) 2024/2982 der Kommission ⁴, Integrität und Kernfunktionen: Durchführungsverordnung (EU) 2024/2979 der Kommission ⁵, Personenidentifizierungsdaten und elektronische Attributsbescheinigungen: Durchführungsverordnung (EU) 2024/2977 der Kommission ⁶ sowie Notifizierungen an die Kommission: Durchführungsverordnung (EU) 2024/2980 der Kommission ⁷. In der vorliegenden Verordnung werden die einschlägigen Anforderungen an Protokolle und Schnittstellen festgelegt.

(4) Die Kommission bewertet regelmäßig neue Technologien, Praktiken, Normen oder technische Spezifikationen. Um ein Höchstmaß an Harmonisierung zwischen den Mitgliedstaaten bei der Entwicklung und Zertifizierung der Brieftaschen zu gewährleisten, beruhen die in dieser Durchführungsverordnung festgelegten technischen Spezifikationen auf den Arbeiten, die auf der Grundlage der Empfehlung (EU) 2021/946 der Kommission vom 3. Juni 2021 für ein gemeinsames Instrumentarium der Union für ein koordiniertes Herangehen an einen Rahmen für die europäische digitale Identität ⁸ durchgeführt wurden, insbesondere auf der Architektur und dem Referenzrahmen. Nach Erwägungsgrund 75 der Verordnung (EU) 2024/1183 des Europäischen Parlaments und des Rates ⁹ sollte die Kommission diese Durchführungsverordnung gegebenenfalls überprüfen und aktualisieren, damit sie mit globalen Entwicklungen, der Architektur und dem Referenzrahmen Schritt hält und den bewährten Verfahren des Binnenmarkts folgt.

(5) Um für die Brieftaschennutzer die Transparenz und die Vertrauenswürdigkeit der auf Brieftaschen vertrauenden Beteiligten zu gewährleisten, sollten die von den Brieftaschenlösungen verwendeten Protokolle und Schnittstellen den Brieftaschennutzern einen zuverlässigen Mechanismus zur Authentifizierung von auf Brieftaschen vertrauenden Beteiligten und von anderen Einzelbrieftaschen bieten. Umgekehrt sollten die Brieftaschenanbieter einen Mechanismus zur Authentifizierung und Validierung von Einzelbrieftaschen bereitstellen, damit sich vertrauende Beteiligte der Vertrauenswürdigkeit und Echtheit der Einzelbrieftaschen vergewissern können. Darüber hinaus sollte die technische Infrastruktur der Brieftaschen auch so gestaltet sein, dass nur die erforderliche Mindestmenge an Daten nur an die befugten vertrauenden Beteiligten übermittelt wird, wobei die Unverknüpfbarbeit der verschiedenen Transaktionen gewahrt bleiben muss. Zur Erleichterung der Ausstellung von Personenidentifizierungsdaten und elektronischen Attributsbescheinigungen sollten alle Brieftaschenlösungen einen Mindestsatz von Protokollen und Schnittstellen unterstützen.

(6) Um die Nutzbarkeit von Brieftaschenlösungen in allen Mitgliedstaaten zu gewährleisten, sollten alle Brieftaschenlösungen gemeinsame technische Spezifikationen unterstützen, wenn Personenidentifizierungsdaten und elektronische Attributsbescheinigungen mittels der Brieftaschen an vertrauende Beteiligte aus der Ferne oder aus der Nähe übermittelt werden. Zusätzlich können Einzelbrieftaschen auch noch andere Protokolle und Schnittstellen für bestimmte Anwendungsfälle unterstützen.

(7) Zur Gewährleistung des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen sollten die Brieftaschen mit mehreren den Schutz der Privatsphäre fördernden Merkmalen ausgestattet sein, um zu verhindern, dass Anbieter elektronischer Identifizierungsmittel und elektronischer Attributsbescheinigungen personenbezogene Daten, die im Rahmen der Bereitstellung anderer Dienste gewonnen worden sind, mit den personenbezogenen Daten kombinieren, die verarbeitet werden, um die Dienste bereitzustellen, die in den Anwendungsbereich der Verordnung (EU) Nr. 910/2014 fallen. Wie in der Verordnung (EU) Nr. 910/2014 festgelegt, dürfen vertrauende Beteiligte von den Nutzern nur die Daten verlangen, die im Registrierungsprozess für die beabsichtigte Verwendung der Brieftaschen angegeben wurden. Die Brieftaschennutzer sollten die Registrierungsdaten vertrauender Beteiligter jederzeit überprüfen können. Außerdem sollten Einzelbrieftaschen bei der Abfrage von Attributen den Nutzern etwaige Registrierungszertifikate der auf Brieftaschen vertrauenden Beteiligten anzeigen können. Dies sollte es den Brieftaschennutzern ermöglichen, zu überprüfen, ob die vom vertrauenden Beteiligten abgefragten Attribute zu den von ihm registrierten Attributen gehören, und sich so zu vergewissern, dass die Abfrage rechtmäßig und vertrauenswürdig ist.

(8) Zum Schutz der Daten der Brieftaschennutzer sollten die Brieftaschenanbieter sicherstellen, dass Einzelbrieftaschen alle von auf Brieftaschen vertrauenden Beteiligten oder von anderen Einzelbrieftaschen eingehenden Abfragen zuerst validieren, bevor sie selbst Daten übermitteln. Aus demselben Grund und im Einklang mit Artikel 5a Absatz 4 Buchstabe d Ziffer ii der Verordnung (EU) Nr. 910/2014 sollten die Brieftaschenanbieter sicherstellen, dass Einzelbrieftaschen es Brieftaschennutzern ermöglichen, die Löschung von Daten bei den auf Brieftaschen vertrauenden Beteiligten zu veranlassen.

(9) Um im Hinblick auf Artikel 5a Absatz 4 Buchstabe d Ziffer iii der Verordnung (EU) Nr. 910/2014 rasche Reaktionen auf Datenschutzbedenken zu ermöglichen, sollten die Brieftaschenanbieter sicherstellen, dass Brieftaschenlösungen Mechanismen bereitstellen, mit denen vertrauende Beteiligte Meldung bei der zuständigen nationale Datenschutzbehörde machen können. Den Brieftaschenanbietern und den Datenschutzbehörden sollte eine angemessene Flexibilität bei der Einrichtung geeigneter Mechanismen für das Zusammenwirken mit den Datenschutzbehörden der Mitgliedstaaten eingeräumt werden.

(10) Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates ¹⁰ angehört und gab am 30. September 2024 seine Stellungnahme ab.

(11) Die in dieser Verordnung vorgesehenen Maßnahmen entsprechen der Stellungnahme des in Artikel 48 der Verordnung (EU) Nr. 910/2014 genannten Ausschusses

- hat folgende Verordnung erlassen:

Artikel 1 Gegenstand und Anwendungsbereich

Diese Verordnung enthält Vorschriften für die Protokolle und Schnittstellen von Brieftaschenlösungen für

1. das Ausstellen von Personenidentifizierungsdaten und elektronischen Attributsbescheinigungen an Einzelbrieftaschen,
2. das Vorweisen von Attributen der Personenidentifizierungsdaten und von elektronischen Attributsbescheinigungen gegenüber auf Brieftaschen vertrauenden Beteiligte und anderen Einzelbrieftaschen,
3. das Veranlassen der Löschung von Daten bei auf Brieftaschen vertrauenden Beteiligten,
4. das Melden von auf Brieftaschen vertrauenden Beteiligten bei den Aufsichtsbehörden gemäß Artikel 51 der Verordnung (EU) 2016/679.
   Diese sind regelmäßig zu aktualisieren, damit sie mit den Entwicklungen von Technologie und Normen sowie mit den auf der Grundlage der Empfehlung (EU) 2021/946 durchgeführten Arbeiten und insbesondere mit der Architektur und dem Referenzrahmen Schritt halten.

Artikel 2 Begriffsbestimmungen

Für die Zwecke dieser Verordnung bezeichnet der Ausdruck

1. "auf Brieftaschen vertrauender Beteiligter" einen vertrauenden Beteiligten, der beabsichtigt, zur Erbringung öffentlicher oder privater Dienste mittels digitaler Interaktion auf Einzelbrieftaschen zu vertrauen;

2. "Brieftaschennutzer" einen Nutzer, der die Kontrolle über die Einzelbrieftasche hat;

3. "Brieftaschenlösung" eine Kombination aus Software, Hardware, Diensten, Einstellungen und Konfigurationen, einschließlich Brieftascheninstanzen, einer oder mehreren sicheren Kryptoanwendungen für Brieftaschen und einem oder mehreren sicheren Kryptomodulen für Brieftaschen;

4. "Einzelbrieftasche" eine einzigartige Konfiguration einer Brieftaschenlösung, die Brieftascheninstanzen, sichere Kryptoanwendungen für Brieftaschen und sichere Kryptomodule für Brieftaschen umfasst, die einem einzelnen Brieftaschennutzer von einem Brieftaschenanbieter bereitgestellt werden;

5. "Brieftaschenanbieter" eine natürliche oder juristische Person, die Brieftaschenlösungen bereitstellt;

6. "Brieftascheninstanz" die Anwendung, die als Bestandteil einer Einzelbrieftasche auf dem Gerät oder in der Umgebung eines Brieftaschennutzers installiert und konfiguriert ist und die der Brieftaschennutzer verwendet, um mit der Brieftasche zu interagieren;

7. "sichere Kryptoanwendung für Brieftaschen" (Wallet Secure Cryptographic Application) eine Anwendung, die kritische Werte verwaltet und dabei mit den kryptografischen und den nicht-kryptografischen Funktionen eines sicheren Kryptomoduls für Brieftaschen verknüpft ist und diese nutzt;

8. "sicheres Kryptomodul für Brieftaschen" (Wallet Secure Cryptographic Device) eine manipulationssichere Vorrichtung, die eine Umgebung bietet, die mit der sicheren Kryptoanwendung für Brieftaschen verknüpft ist und von dieser genutzt wird, um kritische Werte zu schützen und kryptografische Funktionen für die sichere Ausführung kritischer Vorgänge bereitzustellen;

9. "kritische Werte" Werte bzw. Daten innerhalb oder im Zusammenhang mit einer Einzelbrieftasche, die so außerordentlich wichtig sind, dass die Beeinträchtigung ihrer Verfügbarkeit, Vertraulichkeit oder Integrität eine sehr schwerwiegende, beeinträchtigende Wirkung auf die verlässliche Verwendbarkeit der Einzelbrieftasche hätte;

10. "Zugriffszertifikat für auf Brieftaschen vertrauende Beteiligte" ein Zertifikat für elektronische Siegel oder Signaturen, mit dem auf Brieftaschen vertrauende Beteiligte authentifiziert und validiert werden und das von einem Anbieter von Zugriffszertifikaten für auf Brieftaschen vertrauende Beteiligte ausgestellt wird;

11. "Anbieter von Zugriffszertifikaten für auf Brieftaschen vertrauende Beteiligte" eine natürliche oder juristische Person, die von einem Mitgliedstaat beauftragt wurde, Zugriffszertifikate für auf Brieftaschen vertrauende Beteiligte auszustellen, die in diesem Mitgliedstaat registriert sind;

12. "Einzelbrieftaschenbescheinigung" ein Datenobjekt, das die Komponenten der Einzelbrieftasche beschreibt oder die Authentifizierung und Validierung dieser Komponenten ermöglicht;

13. "einbettete Offenlegungsregelung" eine Reihe von Vorschriften, die ein Anbieter in seine elektronische Attributsbescheinigung einbettet und die angibt, welche Bedingungen ein auf Brieftaschen vertrauender Beteiligter erfüllen muss, um auf die elektronische Attributsbescheinigung zugreifen zu können;

14. "Registrierungszertifikat des auf Brieftaschen vertrauenden Beteiligten" ein Datenobjekt, das die Attribute angibt, für die der vertrauende Beteiligte die Absicht registriert hat, sie von Nutzern abzufragen;

15. "Anbieter von Personenidentifizierungsdaten" eine natürliche oder juristische Person, die für die Ausstellung und den Widerruf der Personenidentifizierungsdaten verantwortlich ist und sicherstellt, dass die Personenidentifizierungsdaten eines Nutzers kryptografisch an eine Einzelbrieftasche gebunden sind;

16. "kryptografische Bindung" die Methode zur Verknüpfung von Personenidentifizierungsdaten oder elektronischen Attributsbescheinigungen mit Einzelbrieftaschen durch kryptografische Mittel.

Artikel 3 Allgemeine Bestimmungen

In Bezug auf die in den Artikeln 4 und 5 genannten Protokolle und Schnittstellen gewährleisten die Brieftaschenanbieter, dass Einzelbrieftaschen

1. die Zugriffszertifikate für auf Brieftaschen vertrauende Beteiligte authentifizieren und validieren, wenn sie mit auf Brieftaschen vertrauenden Beteiligten interagieren;
2. die Einzelbrieftaschenbescheinigungen anderer Einzelbrieftaschen authentifizieren und validieren, wenn sie mit anderen Einzelbrieftaschen interagieren;
3. Abfragen, die unter Verwendung von Zugriffszertifikaten für auf Brieftaschen vertrauende Beteiligte oder von Einzelbrieftaschenbescheinigungen anderer Einzelbrieftaschen erfolgen, authentifizieren und validieren, soweit zutreffend;
4. das Registrierungszertifikat des auf Brieftaschen vertrauenden Beteiligten authentifizieren und validieren, soweit zutreffend;
5. den Brieftaschennutzern die Informationen anzeigen, die in den Zugriffszertifikaten für auf Brieftaschen vertrauende Beteiligte oder in den Einzelbrieftaschenbescheinigungen enthalten sind;
6. den Brieftaschennutzern - soweit zutreffend - die Attribute anzeigen, die von den Brieftaschennutzern abgefragt werden;
7. den Brieftaschennutzern - soweit zutreffend - die im Registrierungszertifikat des auf Brieftaschen vertrauenden Beteiligten enthaltenen Informationen anzeigen;
8. Einzelbrieftaschenbescheinigungen der Einzelbrieftasche an die auf Brieftaschen vertrauenden Beteiligten oder an die Einzelbrieftaschen, die solche Bescheinigungen abfragen, übermitteln;
9. keine abgefragten Attribute an auf Brieftaschen vertrauende Beteiligte oder an Einzelbrieftaschen übermitteln, solange die folgenden Voraussetzungen nicht erfüllt sind:
   1. Sie haben überprüft, dass die sichere Kryptoanwendung für Brieftaschen die Identität des Brieftaschennutzers authentifiziert hat;
   2. sie haben überprüft, dass in der Einzelbrieftasche eingebettete Offenlegungsregelungen gemäß Artikel 11 der Durchführungsverordnung (EU) 2024/2979 verarbeitet wurden, sofern zutreffend;
   3. sie haben überprüft, dass die Brieftaschennutzer das Vorweisen der Daten teilweise oder vollständig genehmigt haben;
10. Techniken zum Schutz der Privatsphäre einsetzen, die die Unverknüpfbarkeit gewährleisten, wenn für die elektronischen Attributsbescheinigungen keine Identifizierung des Brieftaschennutzers erforderlich ist, um Bescheinigungen oder Personenidentifizierungsdaten bei verschiedenen auf Brieftaschen vertrauenden Beteiligten vorzuweisen.

Artikel 4 Ausstellung von Personenidentifizierungsdaten und elektronischen Attributsbescheinigungen an Einzelbrieftaschen

(1) Brieftaschenanbieter stellen sicher, dass Brieftaschenlösungen Protokolle und Schnittstellen für die Ausstellung von Personenidentifizierungsdaten und elektronischen Attributsbescheinigungen an Einzelbrieftaschen unterstützen.

(2) Brieftaschenanbieter stellen sicher, dass Einzelbrieftaschen die Ausstellung von Personenidentifizierungsdaten und elektronischen Attributsbescheinigungen nur bei Beteiligten veranlassen, die ein echtes und gültiges Zugriffszertifikat für auf Brieftaschen vertrauende Beteiligte haben, das sie ausweist als

1. Anbieter von Personenidentifizierungsdaten,
2. Anbieter einer qualifizierten elektronischen Attributsbescheinigung,
3. Anbieter einer elektronischen Attributsbescheinigung, die von einer für eine authentische Quelle zuständigen öffentlichen Stelle oder in deren Namen ausgestellt wird, oder
4. Anbieter nicht qualifizierter elektronischer Attributsbescheinigungen.

(3) In Bezug auf die Ausstellung von Personenidentifizierungsdaten und elektronischen Attributsbescheinigungen an eine Einzelbrieftasche stellen die Brieftaschenanbieter sicher, dass die folgenden Anforderungen erfüllt sind:

1. Wenn Brieftaschennutzer mithilfe ihrer Einzelbrieftasche die Ausstellung von Personenidentifizierungsdaten oder elektronischen Attributsbescheinigungen bei Anbietern von Personenidentifizierungsdaten oder Anbietern elektronischer Attributsbescheinigungen, die Personenidentifizierungsdaten oder elektronische Bescheinigungen in mehreren Formaten ausstellen können, veranlassen, so beantragt die Einzelbrieftasche diese in allen Formaten gemäß Artikel 8 der Durchführungsverordnung (EU) 2024/2979 zur Festlegung der Vorschriften für die Anwendung der Verordnung (EU) Nr. 910/2014 in Bezug auf die Integrität und die Kernfunktionen europäischer Brieftaschen für die digitale Identität;
2. wenn Brieftaschennutzer mithilfe ihrer Einzelbrieftasche mit Anbietern von Personenidentifizierungsdaten oder elektronischen Attributsbescheinigungen interagieren, ermöglichen die Einzelbrieftaschen die Authentifizierung und Validierung der Einzelbrieftaschenkomponenten, indem sie diesen Anbietern die Einzelbrieftaschenbescheinigungen auf deren Verlangen vorweisen;
3. Brieftaschenlösungen unterstützen Mechanismen, die es Anbietern von Personenidentifizierungsdaten ermöglichen, die Ausstellung, Auslieferung und Aktivierung gemäß den in der Durchführungsverordnung (EU) 2015/1502 der Kommission ¹¹ festgelegten Anforderungen an das Sicherheitsniveau "hoch" zu überprüfen;
4. Einzelbrieftaschen überprüfen die Echtheit und Gültigkeit der Personenidentifizierungsdaten und der elektronischen Attributsbescheinigungen.

Artikel 5 Vorweisen von Attributen bei auf Brieftaschen vertrauenden Beteiligten

(1) Brieftaschenanbieter stellen sicher, dass Brieftaschenlösungen Protokolle und Schnittstellen für das Vorweisen von Attributen bei auf Brieftaschen vertrauenden Beteiligten aus der Ferne und gegebenenfalls aus der Nähe gemäß den im Anhang festgelegten Normen unterstützen.

(2) Brieftaschenanbieter stellen sicher, dass Einzelbrieftaschen auf Veranlassung der Nutzer erfolgreich authentifizierte und validierte Abfragen der in Artikel 3 genannten auf Brieftaschen vertrauenden Beteiligten gemäß den im Anhang festgelegten Normen beantworten.

(3) Brieftaschenanbieter stellen sicher, dass Einzelbrieftaschen den Nachweis des Besitzes der privaten Schlüssel zu den in kryptografischen Bindungen verwendeten öffentlichen Schlüsseln unterstützen.

(4) Brieftaschenanbieter stellen sicher, dass Brieftaschenlösungen die selektive Offenlegung von Attributen von Personenidentifizierungsdaten und von elektronischen Attributsbescheinigungen unterstützen.

(5) Die Absätze 1 bis 4 gelten für Interaktionen zwischen zwei Brieftaschen in gegenseitiger Nähe entsprechend.

Artikel 6 Mitteilung zur Veranlassung der Löschung von Daten

(1) Brieftaschenanbieter stellen sicher, dass Einzelbrieftaschen Protokolle und Schnittstellen unterstützen, die es Brieftaschennutzern ermöglichen, bei auf Brieftaschen vertrauenden Beteiligten, mit denen sie über diese Einzelbrieftaschen interagiert haben, die Löschung ihrer über diese Brieftaschen übermittelten personenbezogenen Daten gemäß Artikel 17 der Verordnung (EU) 2016/679 zu veranlassen.

(2) Die in Absatz 1 genannten Protokolle und Schnittstellen müssen es den Brieftaschennutzern ermöglichen, die auf Brieftaschen vertrauenden Beteiligten auszuwählen, an die Verlangen auf Löschung von Daten zu richten sind.

(3) Die Einzelbrieftaschen müssen den Brieftaschennutzern die Verlangen auf Löschung von Daten anzeigen, die zuvor über diese Brieftaschen übermittelt wurden.

Artikel 7 Meldung von auf Brieftaschen vertrauenden Beteiligten bei den Aufsichtsbehörden gemäß Artikel 51 der Verordnung (EU) 2016/679

(1) Brieftaschenanbieter stellen sicher, dass Einzelbrieftaschen es den Brieftaschennutzern ermöglichen, auf Brieftaschen vertrauende Beteiligte in einfacher Weise bei den Aufsichtsbehörden gemäß Artikel 51 der Verordnung (EU) 2016/679 zu melden.

(2) Brieftaschenanbieter implementieren die Protokolle und Schnittstellen für die Meldung von auf Brieftaschen vertrauenden Beteiligten im Einklang mit dem nationalen Verfahrensrecht der Mitgliedstaaten.

(3) Brieftaschenanbieter stellen sicher, dass Einzelbrieftaschen es den Brieftaschennutzern ermöglichen, die Meldungen zu begründen, und schaffen dazu die Möglichkeit, einschlägige Informationen zur Identifizierung des auf Brieftaschen vertrauenden Beteiligten und die Aussagen des Brieftaschennutzers in maschinenlesbarem Format beizufügen.

Artikel 8 Inkrafttreten

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Brüssel, den 28. November 2024

.

• ISO/IEC 18013-5:2021
• ISO/IEC TS 18013-7:2024

ENDE