EIDAS 2014/0910 DE

1.	„ Elektronische_Identifizierung“ ist der Prozess der Verwendung von Personenidentifizierungsdaten in elektronischer Form, die eine natürliche oder juristische Person oder eine natürliche Person, die eine juristische Person vertritt, eindeutig repräsentieren.

2.	„ Elektronisches_Identifizierungsmittel“ ist eine materielle und/oder immaterielle Einheit, die Personenidentifizierungsdaten enthält und zur Authentifizierung bei Online-Diensten verwendet wird.

3.	„ Personenidentifizierungsdaten“ sind ein Datensatz, der es ermöglicht, die Identität einer natürlichen oder juristischen Person oder einer natürlichen Person, die eine juristische Person vertritt, festzustellen.

4.	„ Elektronisches_Identifizierungssystem“ ist ein System für die elektronische Identifizierung, in dessen Rahmen natürlichen oder juristischen Personen oder natürlichen Personen, die juristische Personen vertreten, elektronische Identifizierungsmittel ausgestellt werden.

5.	„ Authentifizierung“ ist ein elektronischer Prozess, der die Bestätigung der elektronischen Identifizierung einer natürlichen oder juristischen Person oder die Bestätigung des Ursprungs und der Unversehrtheit von Daten in elektronischer Form ermöglicht.

6.	„ Vertrauender_Beteiligter“ ist eine natürliche oder juristische Person, die auf eine elektronische Identifizierung oder einen Vertrauensdienst vertraut.

„ Öffentliche_Stelle“ bezeichnet einen Staat, eine Gebietskörperschaft, eine Einrichtung_des_öffentlichen_Rechts oder einen Verband, der aus einer oder mehreren dieser Körperschaften oder Einrichtungen des öffentlichen Rechts besteht, oder eine private Einrichtung, die von mindestens einer dieser Körperschaften, Einrichtungen oder Verbände mit der Erbringung von öffentlichen Dienstleistungen beauftragt wurde, wenn sie im Rahmen dieses Auftrags handelt.

8.	„ Einrichtung_des_öffentlichen_Rechts“ ist eine Einrichtung nach Artikel 2 Absatz 1 Nummer 4 der Richtlinie 2014/24/EU des Europäischen Parlaments und des Rates (15).

9.	„ Unterzeichner“ ist eine natürliche Person, die eine elektronische Signatur erstellt.

10.	„ Elektronische Signatur“ sind Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.

11.	„ Fortgeschrittene_Elektronische Signatur“ ist eine elektronische Signatur, die die Anforderungen des Artikels 26 erfüllt.

12.	„ Qualifizierte_Elektronische Signatur“ ist eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde und auf einem qualifizierten Zertifikat_für_Elektronische Signaturen beruht.

13.	„ Elektronische Signaturerstellungsdaten“ sind eindeutige Daten, die vom Unterzeichner zum Erstellen einer elektronischen Signatur verwendet werden.

14.	„ Zertifikat_für_Elektronische Signaturen“ ist eine elektronische Bescheinigung, die elektronische Signaturvalidierungsdaten mit einer natürlichen Person verknüpft und die mindestens den Namen oder das Pseudonym dieser Person bestätigt.

15.	„Qualifiziertes Zertifikat_für_Elektronische Signaturen“ ist ein von einem qualifizierten Vertrauensdiensteanbieter ausgestelltes Zertifikat_für_Elektronische Signaturen, das die Anforderungen des Anhangs I erfüllt.

16.

„ Vertrauensdienst“ ist ein elektronischer Dienst, der in der Regel gegen Entgelt erbracht wird und aus Folgendem besteht:

a)	Erstellung, Überprüfung und Validierung von elektronischen Signaturen, elektronischen Siegeln oder elektronischen Zeitstempeln, und Diensten für die Zustellung elektronischer Einschreiben sowie von diese Dienste betreffenden Zertifikaten oder

b)	Erstellung, Überprüfung und Validierung von Zertifikaten für die Website- Authentifizierung oder

c)	Bewahrung von diese Dienste betreffenden elektronischen Signaturen, Siegeln oder Zertifikaten.

17.	„Qualifizierter Vertrauensdienst“ ist ein Vertrauensdienst, der die einschlägigen Anforderungen dieser Verordnung erfüllt.

18.

„ Konformitätsbewertungsstelle“ ist eine Stelle im Sinne der Begriffsbestimmung in Artikel 2 Nummer 13 der Verordnung (EG) Nr. 765/2008, die gemäß jener Verordnung als zur Durchführung der Konformitätsbewertung qualifizierter Vertrauensdiensteanbieter und der von ihnen erbrachten qualifizierten Vertrauensdienste befähigte Stelle akkreditiert worden ist.

19.	„ Vertrauensdiensteanbieter“ ist eine natürliche oder juristische Person, die einen oder mehrere Vertrauensdienste als qualifizierter oder nichtqualifizierter Vertrauensdiensteanbieter erbringt.

20.	„Qualifizierter Vertrauensdiensteanbieter“ ist ein Vertrauensdiensteanbieter, der einen oder mehrere qualifizierte Vertrauensdienste erbringt und dem von der Aufsichtsstelle der Status eines qualifizierten Anbieters verliehen wurde.

21.	„ Produkt“ bezeichnet Hardware, Software oder spezifische Komponenten von Hard- oder Software, die zur Erbringung von Vertrauensdiensten bestimmt sind.

22.	„ Elektronische Signaturerstellungseinheit“ ist eine konfigurierte Software oder Hardware, die zum Erstellen einer elektronischen Signatur verwendet wird.

23.	„ Qualifizierte_Elektronische Signaturerstellungseinheit“ ist eine elektronische Signaturerstellungseinheit, die die Anforderungen des Anhangs II erfüllt.

24.	„ Siegelersteller“ ist eine juristische Person, die ein elektronisches Siegel erstellt.

25.	„ Elektronisches_Siegel“ sind Daten in elektronischer Form, die anderen Daten in elektronischer Form beigefügt oder logisch mit ihnen verbunden werden, um deren Ursprung und Unversehrtheit sicherzustellen.

26.	„ Fortgeschrittenes_elektronisches_Siegel“ ist ein elektronisches Siegel, das die Anforderungen des Artikels 36 erfüllt.

27.	„ Qualifiziertes_elektronisches_Siegel“ ist ein fortgeschrittenes elektronisches Siegel, das von einer qualifizierten elektronischen Siegelerstellungseinheit erstellt wird und auf einem qualifizierten Zertifikat_für_elektronische_Siegel beruht.

28.	„ Elektronische_Siegelerstellungsdaten“ sind eindeutige Daten, die vom Siegelersteller zum Erstellen eines elektronischen Siegels verwendet werden.

29.	„ Zertifikat_für_elektronische_Siegel“ ist eine elektronische Bescheinigung, die elektronische Siegelvalidierungsdaten mit einer juristischen Person verknüpft und den Namen dieser Person bestätigt.

30.	„Qualifiziertes Zertifikat_für_elektronische_Siegel“ ist ein von einem qualifizierten Vertrauensdiensteanbieter ausgestelltes Zertifikat_für_elektronische_Siegel, das die Anforderungen des Anhangs III erfüllt.

31.	„ Elektronische_Siegelerstellungseinheit“ ist eine konfigurierte Software oder Hardware, die zum Erstellen eines elektronischen Siegels verwendet wird.

32.	„ Qualifizierte_elektronische_Siegelerstellungseinheit“ ist eine elektronische Siegelerstellungseinheit, die die Anforderungen des Anhangs II sinngemäß erfüllt.

33.	„ Elektronischer_Zeitstempel“ bezeichnet Daten in elektronischer Form, die andere Daten in elektronischer Form mit einem bestimmten Zeitpunkt verknüpfen und dadurch den Nachweis erbringen, dass diese anderen Daten zu diesem Zeitpunkt vorhanden waren.

34.	„ Qualifizierter_elektronischer_Zeitstempel“ ist ein elektronischer Zeitstempel, der die Anforderungen des Artikels 42 erfüllt.

35.	„ Elektronisches_Dokument“ ist jeder in elektronischer Form, insbesondere als Text-, Ton-, Bild- oder audiovisuelle Aufzeichnung gespeicherte Inhalt.

36.

„ Dienst_für_die_Zustellung_elektronischer_Einschreiben“ ist ein Dienst, der die Übermittlung von Daten zwischen Dritten mit elektronischen Mitteln ermöglicht und einen Nachweis der Handhabung der übermittelten Daten erbringt, darunter den Nachweis der Absendung und des Empfangs der Daten, und der die übertragenen Daten vor Verlust, Diebstahl, Beschädigung oder unbefugter Veränderung schützt.

37.	„Qualifizierter Dienst_für_die_Zustellung_elektronischer_Einschreiben“ ist ein Dienst_für_die_Zustellung_elektronischer_Einschreiben, der die Anforderungen des Artikels 44 erfüllt.

38.	„Zertifikat für die Website- Authentifizierung“ ist ein Zertifikat, das die Authentifizierung einer Website ermöglicht und die Website mit der natürlichen oder juristischen Person verknüpft, der das Zertifikat ausgestellt wurde.

39.	„Qualifiziertes Zertifikat für die Website- Authentifizierung“ ist ein von einem qualifizierten Vertrauensdiensteanbieter ausgestelltes Zertifikat für Website- Authentifizierung, das die Anforderungen des Anhangs IV erfüllt.

40.	„ Validierungsdaten“ sind Daten, die zur Validierung einer elektronischen Signatur oder eines elektronischen Siegels verwendet werden.

41.	„ Validierung“ ist der Prozess der Überprüfung und Bestätigung der Gültigkeit einer elektronischen Signatur oder eines elektronischen Siegels.

Artikel 1

Gegenstand

Um das ordnungsgemäße Funktionieren des Binnenmarkts und gleichzeitig ein angemessenes Sicherheitsniveau bei elektronischen Identifizierungsmitteln und Vertrauensdiensten sicherzustellen, ist in dieser Verordnung Folgendes geregelt:

a)	Sie legt die Bedingungen fest, unter denen die Mitgliedstaaten elektronische Identifizierungsmittel für natürliche und juristische Personen, die einem notifizierten elektronischen Identifizierungssystem eines anderen Mitgliedstaats unterliegen, anerkennen.

b)	Sie legt Vorschriften für Vertrauensdienste — insbesondere für elektronische Transaktionen — fest.

c)	Sie legt einen Rechtsrahmen für elektronische Signaturen, elektronische Siegel, elektronische Zeitstempel, elektronische Dokumente, Dienste für die Zustellung elektronischer Einschreiben und Zertifizierungsdienste für die Website- Authentifizierung fest.

Artikel 3

Begriffsbestimmungen

Für die Zwecke dieser Verordnung gelten die folgenden Begriffsbestimmungen:

1.	„ Elektronische_Identifizierung“ ist der Prozess der Verwendung von Personenidentifizierungsdaten in elektronischer Form, die eine natürliche oder juristische Person oder eine natürliche Person, die eine juristische Person vertritt, eindeutig repräsentieren.

2.	„ Elektronisches_Identifizierungsmittel“ ist eine materielle und/oder immaterielle Einheit, die Personenidentifizierungsdaten enthält und zur Authentifizierung bei Online-Diensten verwendet wird.

3.	„ Personenidentifizierungsdaten“ sind ein Datensatz, der es ermöglicht, die Identität einer natürlichen oder juristischen Person oder einer natürlichen Person, die eine juristische Person vertritt, festzustellen.

4.	„ Elektronisches_Identifizierungssystem“ ist ein System für die elektronische Identifizierung, in dessen Rahmen natürlichen oder juristischen Personen oder natürlichen Personen, die juristische Personen vertreten, elektronische Identifizierungsmittel ausgestellt werden.

5.	„ Authentifizierung“ ist ein elektronischer Prozess, der die Bestätigung der elektronischen Identifizierung einer natürlichen oder juristischen Person oder die Bestätigung des Ursprungs und der Unversehrtheit von Daten in elektronischer Form ermöglicht.

6.	„ Vertrauender_Beteiligter“ ist eine natürliche oder juristische Person, die auf eine elektronische Identifizierung oder einen Vertrauensdienst vertraut.

8.	„ Einrichtung_des_öffentlichen_Rechts“ ist eine Einrichtung nach Artikel 2 Absatz 1 Nummer 4 der Richtlinie 2014/24/EU des Europäischen Parlaments und des Rates (15).

9.	„ Unterzeichner“ ist eine natürliche Person, die eine elektronische Signatur erstellt.

10.	„ Elektronische Signatur“ sind Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.

11.	„ Fortgeschrittene_Elektronische Signatur“ ist eine elektronische Signatur, die die Anforderungen des Artikels 26 erfüllt.

12.	„ Qualifizierte_Elektronische Signatur“ ist eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde und auf einem qualifizierten Zertifikat_für_Elektronische Signaturen beruht.

13.	„ Elektronische Signaturerstellungsdaten“ sind eindeutige Daten, die vom Unterzeichner zum Erstellen einer elektronischen Signatur verwendet werden.

14.	„ Zertifikat_für_Elektronische Signaturen“ ist eine elektronische Bescheinigung, die elektronische Signaturvalidierungsdaten mit einer natürlichen Person verknüpft und die mindestens den Namen oder das Pseudonym dieser Person bestätigt.

15.	„Qualifiziertes Zertifikat_für_Elektronische Signaturen“ ist ein von einem qualifizierten Vertrauensdiensteanbieter ausgestelltes Zertifikat_für_Elektronische Signaturen, das die Anforderungen des Anhangs I erfüllt.

16.

„ Vertrauensdienst“ ist ein elektronischer Dienst, der in der Regel gegen Entgelt erbracht wird und aus Folgendem besteht:

a)	Erstellung, Überprüfung und Validierung von elektronischen Signaturen, elektronischen Siegeln oder elektronischen Zeitstempeln, und Diensten für die Zustellung elektronischer Einschreiben sowie von diese Dienste betreffenden Zertifikaten oder

b)	Erstellung, Überprüfung und Validierung von Zertifikaten für die Website- Authentifizierung oder

c)	Bewahrung von diese Dienste betreffenden elektronischen Signaturen, Siegeln oder Zertifikaten.

17.	„Qualifizierter Vertrauensdienst“ ist ein Vertrauensdienst, der die einschlägigen Anforderungen dieser Verordnung erfüllt.

18.

19.	„ Vertrauensdiensteanbieter“ ist eine natürliche oder juristische Person, die einen oder mehrere Vertrauensdienste als qualifizierter oder nichtqualifizierter Vertrauensdiensteanbieter erbringt.

20.	„Qualifizierter Vertrauensdiensteanbieter“ ist ein Vertrauensdiensteanbieter, der einen oder mehrere qualifizierte Vertrauensdienste erbringt und dem von der Aufsichtsstelle der Status eines qualifizierten Anbieters verliehen wurde.

21.	„ Produkt“ bezeichnet Hardware, Software oder spezifische Komponenten von Hard- oder Software, die zur Erbringung von Vertrauensdiensten bestimmt sind.

22.	„ Elektronische Signaturerstellungseinheit“ ist eine konfigurierte Software oder Hardware, die zum Erstellen einer elektronischen Signatur verwendet wird.

23.	„ Qualifizierte_Elektronische Signaturerstellungseinheit“ ist eine elektronische Signaturerstellungseinheit, die die Anforderungen des Anhangs II erfüllt.

24.	„ Siegelersteller“ ist eine juristische Person, die ein elektronisches Siegel erstellt.

25.	„ Elektronisches_Siegel“ sind Daten in elektronischer Form, die anderen Daten in elektronischer Form beigefügt oder logisch mit ihnen verbunden werden, um deren Ursprung und Unversehrtheit sicherzustellen.

26.	„ Fortgeschrittenes_elektronisches_Siegel“ ist ein elektronisches Siegel, das die Anforderungen des Artikels 36 erfüllt.

27.	„ Qualifiziertes_elektronisches_Siegel“ ist ein fortgeschrittenes elektronisches Siegel, das von einer qualifizierten elektronischen Siegelerstellungseinheit erstellt wird und auf einem qualifizierten Zertifikat_für_elektronische_Siegel beruht.

28.	„ Elektronische_Siegelerstellungsdaten“ sind eindeutige Daten, die vom Siegelersteller zum Erstellen eines elektronischen Siegels verwendet werden.

29.	„ Zertifikat_für_elektronische_Siegel“ ist eine elektronische Bescheinigung, die elektronische Siegelvalidierungsdaten mit einer juristischen Person verknüpft und den Namen dieser Person bestätigt.

30.	„Qualifiziertes Zertifikat_für_elektronische_Siegel“ ist ein von einem qualifizierten Vertrauensdiensteanbieter ausgestelltes Zertifikat_für_elektronische_Siegel, das die Anforderungen des Anhangs III erfüllt.

31.	„ Elektronische_Siegelerstellungseinheit“ ist eine konfigurierte Software oder Hardware, die zum Erstellen eines elektronischen Siegels verwendet wird.

32.	„ Qualifizierte_elektronische_Siegelerstellungseinheit“ ist eine elektronische Siegelerstellungseinheit, die die Anforderungen des Anhangs II sinngemäß erfüllt.

33.	„ Elektronischer_Zeitstempel“ bezeichnet Daten in elektronischer Form, die andere Daten in elektronischer Form mit einem bestimmten Zeitpunkt verknüpfen und dadurch den Nachweis erbringen, dass diese anderen Daten zu diesem Zeitpunkt vorhanden waren.

34.	„ Qualifizierter_elektronischer_Zeitstempel“ ist ein elektronischer Zeitstempel, der die Anforderungen des Artikels 42 erfüllt.

35.	„ Elektronisches_Dokument“ ist jeder in elektronischer Form, insbesondere als Text-, Ton-, Bild- oder audiovisuelle Aufzeichnung gespeicherte Inhalt.

36.

37.	„Qualifizierter Dienst_für_die_Zustellung_elektronischer_Einschreiben“ ist ein Dienst_für_die_Zustellung_elektronischer_Einschreiben, der die Anforderungen des Artikels 44 erfüllt.

38.	„Zertifikat für die Website- Authentifizierung“ ist ein Zertifikat, das die Authentifizierung einer Website ermöglicht und die Website mit der natürlichen oder juristischen Person verknüpft, der das Zertifikat ausgestellt wurde.

39.	„Qualifiziertes Zertifikat für die Website- Authentifizierung“ ist ein von einem qualifizierten Vertrauensdiensteanbieter ausgestelltes Zertifikat für Website- Authentifizierung, das die Anforderungen des Anhangs IV erfüllt.

40.	„ Validierungsdaten“ sind Daten, die zur Validierung einer elektronischen Signatur oder eines elektronischen Siegels verwendet werden.

41.	„ Validierung“ ist der Prozess der Überprüfung und Bestätigung der Gültigkeit einer elektronischen Signatur oder eines elektronischen Siegels.

Artikel 24

Anforderungen an qualifizierte Vertrauensdiensteanbieter

(1) Bei der Ausstellung eines qualifizierten Zertifikats für einen Vertrauensdienst überprüft der qualifizierte Vertrauensdiensteanbieter anhand geeigneter Mittel und im Einklang mit dem jeweiligen nationalen Recht die Identität und gegebenenfalls die spezifischen Attribute der natürlichen oder juristischen Person, der das qualifizierte Zertifikat ausgestellt wird.

Die Informationen nach Unterabsatz 1 werden vom qualifizierten Vertrauensdiensteanbieter im Einklang mit dem nationalen Recht entweder unmittelbar oder unter Rückgriff auf einen Dritten wie folgt überprüft:

a)	durch persönliche Anwesenheit der natürlichen Person oder eines bevollmächtigten Vertreters der juristischen Person oder

aus der Ferne mittels elektronischer Identifizierungsmittel, für die vor der Ausstellung des qualifizierten Zertifikats eine persönliche Anwesenheit der natürlichen Person oder eines bevollmächtigten Vertreters der juristischen Person gewährleistet war und die die Anforderungen gemäß Artikel 8 hinsichtlich der Sicherheitsniveaus „substanziell“ oder „hoch“ erfüllen, oder

c)	durch ein Zertifikat einer qualifizierten elektronischen Signatur oder eines qualifizierten elektronischen Siegels, das gemäß Buchstabe a oder b ausgestellt wurde, oder

d)	durch sonstige Identifizierungsmethoden, die auf nationaler Ebene anerkannt sind und gleichwertige Sicherheit hinsichtlich der Verlässlichkeit bei der persönlichen Anwesenheit bieten. Die gleichwertige Sicherheit muss von einer Konformitätsbewertungsstelle bestätigt werden.

(2) Für qualifizierte Vertrauensdiensteanbieter, die qualifizierte Vertrauensdienste erbringen, gilt Folgendes:

a)	Sie unterrichten die Aufsichtsstelle über alle Änderungen bei der Erbringung ihrer qualifizierten Vertrauensdienste und eine beabsichtigte Einstellung dieser Tätigkeiten.

Sie beschäftigen Personal und gegebenenfalls Unterauftragnehmer, das bzw. die über das erforderliche Fachwissen, die erforderliche Zuverlässigkeit, die erforderliche Erfahrung und die erforderlichen Qualifikationen verfügt bzw. verfügen, in Bezug auf die Vorschriften für die Sicherheit und den Schutz personenbezogener Daten angemessen geschult worden ist und Verwaltungs- und Managementverfahren anwendet, die den anerkannten europäischen oder internationalen Normen entsprechen.

c)	Sie verfügen in Bezug auf das Haftungsrisiko für Schäden gemäß Artikel 13 über ausreichende Finanzmittel und/oder schließen eine angemessene Haftpflichtversicherung nach nationalem Recht ab.

d)	Sie unterrichten Personen, die einen qualifizierten Vertrauensdienst nutzen wollen, klar und umfassend über die genauen Bedingungen für die Nutzung des Dienstes, einschließlich Nutzungsbeschränkungen, bevor sie vertragliche Beziehungen zu dieser Person eingehen.

e)	Sie verwenden vertrauenswürdige Systeme und Produkte, die vor Veränderungen geschützt sind und die technische Sicherheit und Zuverlässigkeit der von ihnen unterstützten Prozesse sicherstellen.

Sie verwenden vertrauenswürdige Systeme für die Speicherung der ihnen übermittelten Daten in einer überprüfbaren Form, so dass

i)	diese nur mit Zustimmung der Person, auf die sich die Daten beziehen, öffentlich abrufbar sind,

ii)	nur befugte Personen Daten eingeben und gespeicherte Daten ändern können,

iii)	die Daten auf ihre Echtheit hin überprüft werden können.

g)	Sie ergreifen geeignete Maßnahmen gegen Fälschung und Diebstahl von Daten.

Sie zeichnen alle einschlägigen Informationen über die von dem qualifizierten Vertrauensdiensteanbieter ausgegebenen und empfangenen Daten auf und bewahren sie so auf, dass sie über einen angemessenen Zeitraum, auch über den Zeitpunkt der Einstellung der Tätigkeit des qualifizierten Vertrauensdiensteanbieters hinaus, verfügbar sind, um insbesondere bei Gerichtsverfahren entsprechende Beweise liefern zu können und die Kontinuität des Dienstes sicherzustellen. Die Aufzeichnung kann in elektronischer Form erfolgen.

i)	Sie verfügen über einen fortlaufend aktualisierten Beendigungsplan, um die Dienstleistungskontinuität nach den von der Aufsichtsstelle gemäß Artikel 17 Absatz 4 Buchstabe i geprüften Vorgaben sicherzustellen.

j)	Sie stellen eine rechtmäßige Verarbeitung personenbezogener Daten gemäß der Richtlinie 95/46/EG sicher.

k)	Sie erstellen im Falle qualifizierter Vertrauensdiensteanbieter, die qualifizierte Zertifikate ausstellen, eine Zertifikatsdatenbank und halten sie auf dem neuesten Stand.

(3) Beschließt ein qualifizierter Vertrauensdiensteanbieter, der qualifizierte Zertifikate ausstellt, ein Zertifikat zu widerrufen, so registriert er den Widerruf in seiner Zertifikatsdatenbank und veröffentlicht den Widerrufsstatus des Zertifikats zeitnah und in jedem Fall innerhalb von 24 Stunden nach Erhalt des Ersuchens. Der Widerruf wird sofort nach seiner Veröffentlichung wirksam.

(4) Im Zusammenhang mit Absatz 3 stellen qualifizierte Vertrauensdiensteanbieter, die qualifizierte Zertifikate ausstellen, den vertrauenden Beteiligten Informationen über den Gültigkeits- oder Widerrufsstatus der von ihnen ausgestellten qualifizierten Zertifikate zur Verfügung. Diese Informationen werden zumindest auf Zertifikatsbasis jederzeit und über die Gültigkeitsdauer des Zertifikats hinaus automatisch auf zuverlässige, kostenlose und effiziente Weise bereitgestellt.

(5) Die Kommission kann im Wege von Durchführungsrechtsakten Kennnummern für Normen für vertrauenswürdige Systeme und Produkte festlegen, die die Anforderungen nach Absatz 2 Buchstaben e und f dieses Artikels erfüllen. Bei vertrauenswürdigen Systemen und Produkten, die diesen Normen entsprechen, wird davon ausgegangen, dass sie die Anforderungen dieses Artikels erfüllen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

ABSCHNITT 4

Elektronische Signaturen

Artikel 25

Rechtswirkung elektronischer Signaturen

(1) Einer elektronischen Signatur darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt oder weil sie die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt.

(2) Eine qualifizierte elektronische Signatur hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift.

(3) Eine qualifizierte elektronische Signatur, die auf einem in einem Mitgliedstaat ausgestellten qualifizierten Zertifikat beruht, wird in allen anderen Mitgliedstaaten als qualifizierte elektronische Signatur anerkannt.

Artikel 26

Anforderungen an fortgeschrittene elektronische Signaturen

Eine fortgeschrittene elektronische Signatur erfüllt alle folgenden Anforderungen:

a)	Sie ist eindeutig dem Unterzeichner zugeordnet.

b)	Sie ermöglicht die Identifizierung des Unterzeichners.

c)	Sie wird unter Verwendung elektronischer Signaturerstellungsdaten erstellt, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann.

d)	Sie ist so mit den auf diese Weise unterzeichneten Daten verbunden, dass eine nachträgliche Veränderung der Daten erkannt werden kann.

Artikel 27

Elektronische Signaturen in öffentlichen Diensten

(1) Verlangt ein Mitgliedstaat für die Verwendung in einem Online-Dienst, der von einer öffentlichen Stelle oder im Namen einer öffentlichen Stelle angeboten wird, eine fortgeschrittene elektronische Signatur, so erkennt dieser Mitgliedstaat fortgeschrittene elektronische Signaturen, fortgeschrittene elektronische Signaturen, die auf einem qualifizierten Zertifikat_für_Elektronische Signaturen beruhen, und qualifizierte elektronische Signaturen zumindest in den Formaten oder unter Verwendung der Verfahren an, die in den Durchführungsrechtsakten nach Absatz 5 festgelegt sind.

(2) Verlangt ein Mitgliedstaat für die Verwendung in einem Online-Dienst, der von einer öffentlichen Stelle oder im Namen einer öffentlichen Stelle angeboten wird, eine fortgeschrittene elektronische Signatur, die auf einem qualifizierten Zertifikat beruht, so erkennt dieser Mitgliedstaat fortgeschrittene elektronische Signaturen, die auf einem qualifizierten Zertifikat beruhen, und qualifizierte elektronische Signaturen zumindest in den Formaten oder unter Verwendung der Verfahren an, die in den Durchführungsrechtsakten nach Absatz 5 festgelegt sind.

(3) Die Mitgliedstaaten verlangen für die grenzüberschreitende Verwendung in einem Online-Dienst, der von einer öffentlichen Stelle angeboten wird, keine elektronische Signatur mit einem höheren Sicherheitsniveau als dem der qualifizierten elektronischen Signatur.

(4) Die Kommission kann im Wege von Durchführungsrechtsakten Kennnummern für Normen für qualifizierte Zertifikate für fortgeschrittene elektronische Signaturen festlegen. Bei fortgeschrittenen elektronischen Signaturen wird davon ausgegangen, dass sie die Anforderungen gemäß den Absätzen 1 und 2 dieses Artikels und Artikel 26 erfüllen, wenn sie diesen Normen entsprechen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

(5) Die Kommission legt bis zum 18. September 2015 im Wege von Durchführungsrechtsakten und unter Berücksichtigung der bestehenden Praxis sowie bestehender Normen und Unionsrechtsvorschriften Referenzformate für fortgeschrittene elektronische Signaturen oder Referenzverfahren fest, wenn alternative Formate verwendet werden. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 28

Qualifizierte Zertifikate für elektronische Signaturen

(1) Qualifizierte Zertifikate für elektronische Signaturen müssen die Anforderungen des Anhangs I erfüllen.

(2) Für qualifizierte Zertifikate für elektronische Signaturen dürfen keine obligatorischen Anforderungen gelten, die über die in Anhang I festgelegten hinausgehen.

(3) Qualifizierte Zertifikate für elektronische Signaturen können zusätzliche fakultative spezifische Attribute enthalten. Diese Attribute dürfen die Interoperabilität und Anerkennung qualifizierter elektronischer Signaturen nicht berühren.

(4) Wird ein qualifiziertes Zertifikat_für_Elektronische Signaturen nach der anfänglichen Aktivierung widerrufen, ist es ab dem Zeitpunkt des Widerrufs nicht mehr gültig und sein Status darf unter keinen Umständen rückgängig gemacht werden.

(5) Die Mitgliedstaaten können vorbehaltlich der folgenden Bedingungen nationale Vorschriften zur vorläufigen Aussetzung eines qualifizierten Zertifikats für eine elektronische Signatur erlassen:

a)	Ist ein qualifiziertes Zertifikat_für_Elektronische Signaturen vorläufig ausgesetzt worden, so verliert dieses Zertifikat für die Dauer der Aussetzung seine Gültigkeit.

b)	Die Dauer der Aussetzung wird in der Zertifikatsdatenbank deutlich angegeben und der Status der Aussetzung ist während der Dauer der Aussetzung im Rahmen des Dienstes, der die Informationen über den Status des Zertifikats bereitstellt, ersichtlich.

(6) Die Kommission kann im Wege von Durchführungsrechtsakten Kennnummern für Normen für qualifizierte Zertifikate für elektronische Signaturen festlegen. Bei qualifizierten Zertifikaten für elektronische Signaturen, die diesen Normen entsprechen, wird davon ausgegangen, dass sie die Anforderungen des Anhangs I erfüllen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 29

Anforderungen an qualifizierte elektronische Signaturerstellungseinheiten

(1) Qualifizierte_Elektronische Signaturerstellungseinheiten müssen die Anforderungen des Anhangs II erfüllen.

(2) Die Kommission kann im Wege von Durchführungsrechtsakten Kennnummern für Normen für qualifizierte elektronische Signaturerstellungseinheiten festlegen. Bei qualifizierten elektronischen Signaturerstellungseinheiten, die diesen Normen entsprechen, wird davon ausgegangen, dass sie die Anforderungen des Anhangs II erfüllen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 31

Veröffentlichung einer Liste zertifizierter qualifizierter elektronischer Signaturerstellungseinheiten

(1) Die Mitgliedstaaten notifizieren der Kommission unverzüglich, spätestens aber innerhalb eines Monats nach Abschluss der Zertifizierung, Informationen über qualifizierte elektronische Signaturerstellungseinheiten, die von den in Artikel 30 Absatz 1 genannten Stellen zertifiziert worden sind. Sie notifizieren der Kommission ferner unverzüglich, spätestens aber innerhalb eines Monats nach Annullierung der Zertifizierung, Informationen über nicht mehr zertifizierte elektronische Signaturerstellungseinheiten.

(2) Auf der Grundlage der erhaltenen Informationen sorgt die Kommission für die Aufstellung, Veröffentlichung und Führung einer Liste zertifizierter qualifizierter elektronischer Signaturerstellungseinheiten.

(3) Die Kommission kann im Wege von Durchführungsrechtsakten Form und Verfahren für die Zwecke des Absatzes 1 festlegen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 32

Anforderungen an die Validierung qualifizierter elektronischer Signaturen

(1) Mit dem Verfahren für die Validierung einer qualifizierten elektronischen Signatur wird die Gültigkeit einer qualifizierten elektronischen Signatur bestätigt, wenn

a)	das der Signatur zugrunde liegende Zertifikat zum Zeitpunkt des Signierens ein qualifiziertes Zertifikat_für_Elektronische Signaturen war, das die Anforderungen des Anhangs I erfüllt,

b)	das qualifizierte Zertifikat von einem qualifizierten Vertrauensdiensteanbieter ausgestellt wurde und zum Zeitpunkt des Signierens gültig war,

c)	die Signaturvalidierungsdaten den Daten entsprechen, die dem vertrauenden Beteiligten bereitgestellt werden,

d)	der eindeutige Datensatz, der den Unterzeichner im Zertifikat repräsentiert, dem vertrauenden Beteiligten korrekt bereitgestellt wird,

e)	die etwaige Benutzung eines Pseudonyms dem vertrauenden Beteiligten eindeutig angegeben wird, wenn zum Zeitpunkt des Signierens ein Pseudonym benutzt wurde,

f)	die elektronische Signatur von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde,

g)	die Unversehrtheit der unterzeichneten Daten nicht beeinträchtigt ist,

h)	die Anforderungen des Artikels 26 zum Zeitpunkt des Signierens erfüllt waren.

(2) Das zur Validierung der qualifizierten elektronischen Signatur verwendete System stellt dem vertrauenden Beteiligten das korrekte Ergebnis des Validierungsprozesses bereit und ermöglicht es ihm, etwaige Sicherheitsprobleme zu erkennen.

(3) Die Kommission kann im Wege von Durchführungsrechtsakten Kennnummern für Normen für die Validierung qualifizierter elektronischer Signaturen festlegen. Bei einer Validierung qualifizierter elektronischer Signaturen, die diesen Normen entspricht, wird davon ausgegangen, dass sie die Anforderungen des Absatzes 1 erfüllt. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 33

Qualifizierter Validierungsdienst für qualifizierte elektronische Signaturen

(1) Qualifizierte Validierungsdienste für qualifizierte elektronische Signaturen können nur von qualifizierten Vertrauensdiensteanbietern erbracht werden, die

a)	eine Validierung gemäß Artikel 32 Absatz 1 durchführen und

es vertrauenden Beteiligten ermöglichen, das Ergebnis des Validierungsprozesses automatisch in zuverlässiger und effizienter Weise mit Bestätigung durch die fortgeschrittene elektronische Signatur oder das fortgeschrittene elektronische Siegel des Anbieters des qualifizierten Validierungsdienstes zu erhalten.

(2) Die Kommission kann im Wege von Durchführungsrechtsakten Kennnummern für Normen für die in Absatz 1 genannten qualifizierten Validierungsdienste festlegen. Bei Validierungsdiensten für qualifizierte elektronische Signaturen, die diesen Normen entsprechen, wird davon ausgegangen, dass sie die Anforderungen in Absatz 1 erfüllen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 34

Qualifizierter Bewahrungsdienst für qualifizierte elektronische Signaturen

(1) Ein qualifizierter Bewahrungsdienst für qualifizierte elektronische Signaturen kann nur von qualifizierten Vertrauensdiensteanbietern erbracht werden, die Verfahren und Technologien verwenden, die es ermöglichen, die Vertrauenswürdigkeit der qualifizierten elektronischen Signatur über den Zeitraum ihrer technologischen Geltung hinaus zu verlängern.

(2) Die Kommission kann im Wege von Durchführungsrechtsakten Kennnummern für Normen für den qualifizierten Bewahrungsdienst für qualifizierte elektronische Signaturen festlegen. Bei Maßnahmen zu qualifizierten Bewahrungsdiensten für qualifizierte elektronische Signaturen, die diesen Normen entsprechen, wird davon ausgegangen, dass sie die Anforderungen des Absatzes 1 erfüllen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

ABSCHNITT 5

Elektronische Siegel

Artikel 44

Anforderungen an qualifizierte Dienste für die Zustellung elektronischer Einschreiben

(1) Qualifizierte Dienste für die Zustellung elektronischer Einschreiben müssen folgende Anforderungen erfüllen:

a)	Sie werden von einem oder mehreren qualifizierten Vertrauensdiensteanbietern erbracht.

b)	Sie stellen die Identifizierung des Absenders mit einem hohen Maß an Vertrauenswürdigkeit sicher.

c)	Sie stellen die Identifizierung des Empfängers vor der Zustellung der Daten sicher.

d)	Das Absenden und Empfangen der Daten ist durch eine fortgeschrittene elektronische Signatur oder ein fortgeschrittenes elektronisches Siegel eines qualifizierten Vertrauensdiensteanbieters auf eine Weise gesichert, die die Möglichkeit einer unbemerkten Veränderung der Daten ausschließt.

e)	Jede Veränderung der Daten, die zum Absenden oder Empfangen der Daten nötig ist, wird dem Absender und dem Empfänger der Daten deutlich angezeigt.

f)	Das Datum und die Zeit des Absendens, Empfangens oder einer Änderung der Daten werden durch einen qualifizierten elektronischen Zeitstempel angezeigt.

Im Fall der Weiterleitung der Daten zwischen zwei oder mehreren qualifizierten Vertrauensdiensteanbietern gelten die Anforderungen der Buchstaben a bis f für alle beteiligten qualifizierten Vertrauensdiensteanbieter.

(2) Die Kommission kann im Wege von Durchführungsrechtsakten Kennnummern für Normen für Prozesse des Absendens und Empfangens von Daten festlegen. Bei Prozessen des Absendens und Empfangens von Daten, die diesen Normen entsprechen, wird davon ausgegangen, dass sie die Anforderungen des Absatzes 1 erfüllen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

ABSCHNITT 8

Website- Authentifizierung

Artikel 51

Übergangsmaßnahmen

(1) Sichere Signaturerstellungseinheiten, deren Übereinstimmung mit den Anforderungen gemäß Artikel 3 Absatz 4 der Richtlinie 1999/93/EG festgestellt wurde, gelten als qualifizierte Signaturerstellungseinheiten gemäß dieser Verordnung.

(2) Qualifizierte Zertifikate, die gemäß der Richtlinie 1999/93/EG für natürliche Personen ausgestellt worden sind, gelten bis zu ihrem Ablauf als qualifizierte Zertifikate für elektronische Signaturen gemäß dieser Verordnung.

(3) Ein Zertifizierungsdiensteanbieter, der qualifizierte Zertifikate gemäß der Richtlinie 1999/93/EG ausstellt, legt der Aufsichtsstelle so bald wie möglich, spätestens aber bis zum 1. Juli 2017 einen Konformitätsbewertungsbericht vor. Bis zur Vorlage dieses Konformitätsbewertungsberichts und zum Abschluss der Bewertung des Berichts durch die Aufsichtsstelle gilt dieser Zertifizierungsdiensteanbieter als qualifizierter Vertrauensdiensteanbieter im Sinne dieser Verordnung.

(4) Legt ein Zertifizierungsdiensteanbieter, der qualifizierte Zertifikate gemäß der Richtlinie 1999/93/EG ausstellt, der Aufsichtsstelle innerhalb der in Absatz 3 vorgesehenen Frist keinen Konformitätsbewertungsbericht vor, so gilt dieser Zertifizierungsdiensteanbieter ab dem 2. Juli 2017 nicht mehr als qualifizierter Vertrauensdiensteanbieter im Sinne dieser Verordnung.

Artikel 52

Inkrafttreten

(1) Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

(2) Diese Verordnung gilt ab dem 1. Juli 2016 mit folgenden Ausnahmen:

Artikel 8 Absatz 3, Artikel 9 Absatz 5, Artikel 12 Absätze 2 bis 9, Artikel 17 Absatz 8, Artikel 19 Absatz 4, Artikel 20 Absatz 4, Artikel 21 Absatz 4, Artikel 22 Absatz 5, Artikel 23 Absatz 3, Artikel 24 Absatz 5, Artikel 27 Absätze 4 und 5, Artikel 28 Absatz 6, Artikel 29 Absatz 2, Artikel 30 Absätze 3 und 4, Artikel 31 Absatz 3, Artikel 32 Absatz 3, Artikel 33 Absatz 2, Artikel 34 Absatz 2, Artikel 37 Absätze 4 und 5, Artikel 38 Absatz 6, Artikel 42 Absatz 2, Artikel 44 Absatz 2, Artikel 45 Absatz 2 sowie Artikel 47 und 48 gelten ab dem 17. September 2014;

b)	Artikel 7, Artikel 8 Absätze 1 und 2, Artikel 9, 10, 11 und Artikel 12 Absatz 1 gelten ab dem Datum des Beginns der Anwendung der in Artikel 8 Absatz 3 und Artikel 12 Absatz 8 genannten Durchführungsrechtsakte;

c)	Artikel 6 findet drei Jahre nach dem Datum des Beginns der Anwendung der in Artikel 8 Absatz 3 und Artikel 12 Absatz 8 genannten Durchführungsrechtsakte Anwendung.

(3) Ist das notifizierte elektronische Identifizierungssystem vor dem in Absatz 2 Buchstabe c genannten Datum in der von der Kommission gemäß Artikel 9 veröffentlichten Liste aufgeführt, so erfolgt die Anerkennung der elektronischen Identifizierungsmittel dieses Systems gemäß Artikel 6 spätestens 12 Monate nach der Veröffentlichung dieses Systems, jedoch nicht vor dem in Absatz 2 Buchstabe c genannten Datum.

(4) Abweichend von Absatz 2 Buchstabe c kann ein Mitgliedstaat entscheiden, dass elektronische Identifizierungsmittel eines von einem anderen Mitgliedstaat gemäß Artikel 9 Absatz 1 notifizierten elektronischen Identifizierungssystems in dem ersten Mitgliedstaat ab dem Datum des Beginns der Anwendung der in Artikel 8 Absatz 3 und Artikel 12 Absatz 8 genannten Durchführungsrechtsakte anerkannt werden. Die betreffenden Mitgliedstaaten setzen die Kommission davon in Kenntnis. Die Kommission veröffentlicht diese Informationen.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Geschehen zu Brüssel am 23. Juli 2014.

Im Namen des Europäischen Parlaments

Der Präsident

M. SCHULZ

Im Namen des Rates

Der Präsident

S. GOZI

(1) ABl. C 351 vom 15.11.2012, S. 73.

(2) Standpunkt des Europäischen Parlaments vom 3. April 2014 (noch nicht im Amtsblatt veröffentlicht) und Beschluss des Rates vom 23. Juli 2014.

(3) Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen (ABl. L 13 vom 19.1.2000, S. 12).

(4) ABl. C 50 E vom 21.2.2012, S. 1.

(5) Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates vom 12. Dezember 2006 über Dienstleistungen im Binnenmarkt (ABl. L 376 vom 27.12.2006, S. 36).

(6) Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates vom 9. März 2011 über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung (ABl. L 88 vom 4.4.2011, S. 45).

(7) Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31).

(8) Beschluss 2010/48/EG des Rates vom 26. November 2009 über den Abschluss des Übereinkommens der Vereinten Nationen über die Rechte von Menschen mit Behinderungen durch die Europäische Gemeinschaft (ABl. L 23 vom 27.1.2010, S. 35).

(9) Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über die Vorschriften für die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 des Rates (ABl. L 218 vom 13.8.2008, S. 30).

(10) Entscheidung 2009/767/EG der Kommission vom 16. Oktober 2009 über Maßnahmen zur Erleichterung der Nutzung elektronischer Verfahren über „einheitliche Ansprechpartner“ gemäß der Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates über Dienstleistungen im Binnenmarkt (ABl. L 274 vom 20.10.2009, S. 36).

(11) Beschluss 2011/130/EU der Kommission vom 25. Februar 2011 über Mindestanforderungen für die grenzüberschreitende Verarbeitung von Dokumenten, die gemäß der Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates über Dienstleistungen im Binnenmarkt von zuständigen Behörden elektronisch signiert worden sind (ABl. L 53 vom 26.2.2011, S. 66).

(12) Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13).

(13) Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1).

(14) ABl. C 28 vom 30.1.2013, S. 6.

(15) Richtlinie 2014/24/EU des Europäischen Parlaments und des Rates vom 26. Februar 2014 über die öffentliche Auftragsvergabe und zur Aufhebung der Richtlinie 2004/18/EG (ABl. L 94 vom 28.3.2014, S. 65).

ANHANG I

ANFORDERUNGEN AN QUALIFIZIERTE ZERTIFIKATE FÜR ELEKTRONISCHE SIGNATUREN

Qualifizierte Zertifikate für elektronische Signaturen enthalten Folgendes:

a)	eine Angabe, dass das Zertifikat als qualifiziertes Zertifikat_für_Elektronische Signaturen ausgestellt wurde, zumindest in einer zur automatischen Verarbeitung geeigneten Form;

einen Datensatz, der den qualifizierten Vertrauensdiensteanbieter, der die qualifizierten Zertifikate ausstellt, eindeutig repräsentiert und zumindest die Angabe des Mitgliedstaats enthält, in dem der Anbieter niedergelassen ist, sowie

—	bei einer juristischen Person: den Namen und gegebenenfalls die Registriernummer gemäß der amtlichen Eintragung;

—	bei einer natürlichen Person: den Namen der Person;

c)	mindestens den Namen des Unterzeichners oder ein Pseudonym; wird ein Pseudonym verwendet, ist dies eindeutig anzugeben;

d)	elektronische Signaturvalidierungsdaten, die den elektronischen Signaturerstellungsdaten entsprechen;

e)	Angaben zu Beginn und Ende der Gültigkeitsdauer des Zertifikats;

f)	den Identitätscode des Zertifikats, der für den qualifizierten Vertrauensdiensteanbieter eindeutig sein muss;

g)	die fortgeschrittene elektronische Signatur oder das fortgeschrittene elektronische Siegel des ausstellenden qualifizierten Vertrauensdiensteanbieters;

h)	den Ort, an dem das Zertifikat, das der fortgeschrittenen elektronischen Signatur oder dem fortgeschrittenen elektronischen Siegel gemäß Buchstabe g zugrunde liegt, kostenlos zur Verfügung steht;

i)	den Ort der Dienste, die genutzt werden können, um den Gültigkeitsstatus des qualifizierten Zertifikats zu überprüfen;

falls sich die elektronischen Signaturerstellungsdaten, die den elektronischen Signaturvalidierungsdaten entsprechen, in einer qualifizierten elektronischen Signaturerstellungseinheit befinden — eine geeignete Angabe dieses Umstands, zumindest in einer zur automatischen Verarbeitung geeigneten Form.

ANHANG II

ANFORDERUNGEN AN QUALIFIZIERTE ELEKTRONISCHE SIGNATURERSTELLUNGSEINHEITEN

(1)

Qualifizierte_Elektronische Signaturerstellungseinheiten müssen durch geeignete Technik und Verfahren zumindest gewährleisten, dass

a)	die Vertraulichkeit der zum Erstellen der elektronischen Signatur verwendeten elektronischen Signaturerstellungsdaten angemessen sichergestellt ist,

b)	die zum Erstellen der elektronischen Signatur verwendeten elektronischen Signaturerstellungsdaten praktisch nur einmal vorkommen können,

c)	die zum Erstellen der elektronischen Signatur verwendeten elektronischen Signaturerstellungsdaten mit hinreichender Sicherheit nicht abgeleitet werden können und die elektronische Signatur bei Verwendung der jeweils verfügbaren Technik verlässlich gegen Fälschung geschützt ist,

d)	die zum Erstellen der elektronischen Signatur verwendeten elektronischen Signaturerstellungsdaten vom rechtmäßigen Unterzeichner gegen eine Verwendung durch andere verlässlich geschützt werden können.

(2)

Qualifizierte_Elektronische Signaturerstellungseinheiten dürfen die zu unterzeichnenden Daten nicht verändern und nicht verhindern, dass dem Unterzeichner diese Daten vor dem Unterzeichnen angezeigt werden.

(3)

Das Erzeugen oder Verwalten von elektronischen Signaturerstellungsdaten im Namen eines Unterzeichners darf nur von einem qualifizierten Vertrauensdiensteanbieter durchgeführt werden.

(4)

Unbeschadet des Absatzes 1 Buchstabe d dürfen qualifizierte Vertrauensdiensteanbieter, die elektronische Signaturerstellungsdaten im Namen des Unterzeichners verwalten, die elektronischen Signaturerstellungsdaten ausschließlich zu Sicherungszwecken kopieren, sofern folgende Anforderungen erfüllt sind:

a)	Die kopierten Datensätze müssen das gleiche Sicherheitsniveau wie die Original-Datensätze aufweisen.

b)	Es dürfen nicht mehr kopierte Datensätze vorhanden sein als zur Gewährleistung der Dienstleistungskontinuität unbedingt nötig.

ANHANG III

ANFORDERUNGEN AN QUALIFIZIERTE ZERTIFIKATE FÜR ELEKTRONISCHE SIEGEL

Qualifizierte Zertifikate für elektronische Siegel enthalten

a)	eine Angabe, dass das Zertifikat als qualifiziertes Zertifikat_für_elektronische_Siegel ausgestellt wurde, zumindest in einer zur automatischen Verarbeitung geeigneten Form,

—	bei einer juristischen Person: den Namen und gegebenenfalls die Registriernummer gemäß der amtlichen Eintragung,

—	bei einer natürlichen Person: den Namen der Person,

c)	zumindest den Namen des Siegelerstellers und gegebenenfalls die Registriernummer gemäß der amtlichen Eintragung,

d)	elektronische Siegelvalidierungsdaten, die den elektronischen Siegelerstellungsdaten entsprechen,

e)	Angaben zu Beginn und Ende der Gültigkeitsdauer des Zertifikats,

f)	den Identitätscode des Zertifikats, der für den qualifizierten Vertrauensdiensteanbieter eindeutig sein muss,

g)	die fortgeschrittene elektronische Signatur oder das fortgeschrittene elektronische Siegel des ausstellenden qualifizierten Vertrauensdiensteanbieters,

h)	den Ort, an dem das Zertifikat, das der fortgeschrittenen elektronischen Signatur oder dem fortgeschrittenen elektronischen Siegel gemäß Buchstabe g zugrunde liegt, kostenlos zur Verfügung steht,

i)	den Ort der Dienste, die genutzt werden können, um den Gültigkeitsstatus des qualifizierten Zertifikats zu überprüfen,

j)	falls sich die elektronischen Siegelerstellungsdaten, die den elektronischen Siegelvalidierungsdaten entsprechen, in einer qualifizierten elektronischen Siegelerstellungseinheit befinden — eine geeignete Angabe dieses Umstands, zumindest in einer zur automatischen Verarbeitung geeigneten Form.

ANHANG IV

ANFORDERUNGEN AN QUALIFIZIERTE ZERTIFIKATE FÜR DIE WEBSITE-AUTHENTIFIZIERUNG

Qualifizierte Zertifikate für die Website- Authentifizierung enthalten Folgendes:

a)	eine Angabe, dass das Zertifikat als qualifiziertes Zertifikat für die Website- Authentifizierung ausgestellt wurde, zumindest in einer zur automatischen Verarbeitung geeigneten Form;

—	bei einer juristischen Person: den Namen und gegebenenfalls die Registriernummer gemäß der amtlichen Eintragung;

—	bei einer natürlichen Person: den Namen der Person;

bei natürlichen Personen: zumindest den Namen der Person, der das Zertifikat ausgestellt wurde, oder ein Pseudonym. Wird ein Pseudonym verwendet, ist dies eindeutig anzugeben;

bei juristischen Personen: zumindest den Namen der juristischen Person, der das Zertifikat ausgestellt wird, und gegebenenfalls die Registriernummer gemäß der amtlichen Eintragung;

d)	Bestandteile der Anschrift der natürlichen oder juristischen Person, der das Zertifikat ausgestellt wird, zumindest den Ort und den Staat, und gegebenenfalls gemäß der amtlichen Eintragung;

e)	die Domänennamen, die von der natürlichen oder juristischen Person, der das Zertifikat ausgestellt wird, betrieben werden;

f)	Angaben zu Beginn und Ende der Gültigkeitsdauer des Zertifikats;

g)	den Identitätscode des Zertifikats, der für den qualifizierten Vertrauensdiensteanbieter eindeutig sein muss;

h)	die fortgeschrittene elektronische Signatur oder das fortgeschrittene elektronische Siegel des ausstellenden qualifizierten Vertrauensdiensteanbieters;

i)	den Ort, an dem das Zertifikat, das der fortgeschrittenen elektronischen Signatur oder dem fortgeschrittenen elektronischen Siegel gemäß Buchstabe h zugrunde liegt, kostenlos zur Verfügung steht;

j)	den Ort, an dem die Dienste für die Abfrage des Zertifikatsgültigkeitsstatus genutzt werden können, um den Gültigkeitsstatus des qualifizierten Zertifikats zu überprüfen.

whereas

(6) In seinen Schlussfolgerungen vom 27.
Mai 2011 forderte der Rat die Kommission auf, zum digitalen Binnenmarkt beizutragen, indem geeignete Bedingungen für die grenzüberschreitende gegenseitige Anerkennung der Grundvoraussetzungen wie die elektronische Identifizierung, elektronische Dokumente, elektronische Signaturen und elektronische Zustelldienste sowie für interoperable elektronische Behördendienste in der gesamten Europäischen Union geschaffen werden.

- = -

(8) Die Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates (5) verpflichtet die Mitgliedstaaten zur Einrichtung von einheitlichen Ansprechpartnern genannt —, um sicherzustellen, dass alle Verfahren und Formalitäten, die die Aufnahme oder die Ausübung einer Dienstleistungstätigkeit betreffen, problemlos aus der Ferne und elektronisch über den betreffenden einheitlichen Ansprechpartner oder bei der betreffenden zuständigen Behörde abgewickelt werden können.
Viele Online-Dienste, die über einheitliche Ansprechpartner zugänglich sind, erfordern eine elektronische Identifizierung, eine elektronische Authentifizierung und elektronische Signaturen.

- = -

(48) Zur Gewährleistung der gegenseitigen Anerkennung elektronischer Signaturen ist zwar ein hohes Sicherheitsniveau erforderlich, dennoch sollten in bestimmten Fällen wie im Zusammenhang mit der Entscheidung 2009/767/EG der Kommission (10) auch elektronische Signaturen akzeptiert werden, die ein niedrigeres Sicherheitsniveau aufweisen.

- = -

(49) Diese Verordnung sollte den Grundsatz festlegen, dass einer elektronischen Signatur die Rechtswirkung nicht deshalb abgesprochen werden darf, weil sie in elektronischer Form vorliegt oder nicht alle Anforderungen einer qualifizierten elektronischen Signatur erfüllt.
Die Rechtswirkung elektronischer Signaturen in den Mitgliedstaaten sollte jedoch durch nationales Recht festgelegt werden, außer hinsichtlich der in dieser Verordnung festgelegten Anforderungen, dass eine qualifizierte elektronische Signatur die gleiche Rechtswirkung wie eine handschriftliche Unterschrift haben sollte.

- = -

(51) Es sollte dem Unterzeichner möglich sein, qualifizierte elektronische Signaturerstellungseinheiten der Obhut eines Dritten anzuvertrauen, sofern angemessene Mechanismen und Verfahren bestehen, die sicherstellen, dass der Unterzeichner die alleinige Kontrolle über die Verwendung seiner eigenen elektronischen Signaturerstellungsdaten hat und bei der Verwendung der Einheit die Anforderungen an qualifizierte elektronische Signaturen erfüllt werden.

- = -

(52) Die Erstellung elektronischer Fernsignaturen in einer von einem Vertrauensdiensteanbieter im Namen des Unterzeichners geführten Umgebung soll aufgrund der vielfältigen damit verbundenen wirtschaftlichen Vorteile ausgebaut werden.
Damit elektronische Fernsignaturen tatsächlich rechtlich in gleicher Weise anerkannt werden können wie elektronische Signaturen, die vollständig in der Umgebung des Nutzers erstellt werden, sollten die Anbieter von elektronischen Fernsignaturdiensten jedoch spezielle Verfahren für die Handhabung und Sicherheitsverwaltung mit vertrauenswürdigen Systemen und Produkten anwenden, u.
a.
durch abgesicherte elektronische Kommunikationskanäle, um für eine vertrauenswürdige Umgebung zur Erstellung elektronischer Signaturen zu sorgen und zu gewährleisten, dass diese Umgebung unter alleiniger Kontrolle des Unterzeichners genutzt worden ist.
Für qualifizierte elektronische Signaturen, die mit Einheiten zur Erstellung elektronischer Fernsignaturen erstellt werden, gelten die in dieser Verordnung festgelegten Anforderungen an die Vertrauensdiensteanbieter.

- = -

(55) Eine auf internationalen Normen wie der Norm ISO 15408 und damit verbundenen Evaluierungsmethoden und Regelungen für die gegenseitige Anerkennung beruhende IT-Sicherheitszertifizierung ist ein wichtiges Instrument, um die Sicherheit qualifizierter elektronischer Signaturerstellungseinheiten zu prüfen, und sollte gefördert werden.
Innovative Lösungen und Dienste wie Mobil- oder Cloud-Signierung stützen sich indes auf technische und organisatorische Lösungen für qualifizierte elektronische Signaturerstellungseinheiten, für die Sicherheitsstandards unter Umständen noch nicht zur Verfügung stehen oder die erste IT-Sicherheitszertifizierung im Gange ist.
Nur wenn die Sicherheitsstandards nicht zur Verfügung stehen oder die erste IT-Sicherheitszertifizierung im Gange ist, könnte das Sicherheitsniveau solcher qualifizierter elektronischer Signaturerstellungseinheiten durch alternative Verfahren evaluiert werden.
Diese Verfahren sollten mit den Standards für die IT-Sicherheitszertifizierung vergleichbar sein, soweit ihre Sicherheitsniveaus gleichwertig sind.
Diese Verfahren könnten durch eine gegenseitige Begutachtung erleichtert werden.

- = -

(56) In dieser Verordnung sollten Anforderungen an qualifizierte elektronische Signaturerstellungseinheiten festgelegt werden, mit denen die Funktionalität fortgeschrittener elektronischer Signaturen gewährleistet werden soll.
Diese Verordnung sollte nicht die gesamte Systemumgebung abdecken, in der die Einheit betrieben wird.
Daher sollte sich der Anwendungsbereich der Zertifizierung qualifizierter Signaturerstellungseinheiten nur auf die Hardware und die Systemsoftware erstrecken, die verwendet werden, um die in der Signaturerstellungseinheit erstellten, gespeicherten oder verarbeiteten Signaturerstellungsdaten zu verwalten und zu schützen.
Wie in den einschlägigen Normen angegeben, sollte der Anwendungsbereich der Zertifizierungspflicht Signaturerstellungsanwendungen ausschließen.

- = -

(57) Um Rechtssicherheit bezüglich der Gültigkeit der Signatur zu schaffen, müssen die Bestandteile einer qualifizierten elektronischen Signatur im Einzelnen festgelegt werden, die von dem vertrauenden Beteiligten, der die Validierung durchführt, überprüft werden sollten.
Ferner dürften durch die Festlegung der Anforderungen an qualifizierte Vertrauensdiensteanbieter, die einen qualifizierten Validierungsdienst für vertrauende Dritte erbringen können, welche nicht willens oder in der Lage sind, qualifizierte elektronische Signaturen selbst zu validieren, für den privaten und öffentlichen Sektor Anreize zu Investitionen in solche Dienste entstehen.
Beide Elemente sollten die Validierung qualifizierter elektronischer Signaturen auf Unionsebene für alle Beteiligten einfach und bequem machen.

- = -

(58) Erfordert eine Transaktion ein qualifiziertes elektronisches Siegel einer juristischen Person, so sollte eine qualifizierte elektronische Signatur eines befugten Vertreters der juristischen Person ebenfalls akzeptabel sein.

- = -

(62) Um die Sicherheit qualifizierter elektronischer Zeitstempel sicherzustellen, sollte diese Verordnung die Verwendung eines fortgeschrittenen elektronischen Siegels oder einer fortgeschrittenen elektronischen Signatur oder anderer gleichwertiger Methoden vorschreiben.
Es ist davon auszugehen, dass im Zuge der Innovation möglicherweise neue Technologien entwickelt werden, die für Zeitstempel ein gleichwertiges Sicherheitsniveau gewährleisten können.
Wann immer eine andere Methode als ein fortgeschrittenes elektronisches Siegel oder eine fortgeschrittene elektronische Signatur verwendet wird, sollte es Sache des qualifizierten Vertrauensdiensteanbieters sein, im Konformitätsbewertungsbericht darzulegen, dass eine solche Methode ein gleichwertiges Sicherheitsniveau gewährleistet und dass sie die in dieser Verordnung festgelegten Verpflichtungen erfüllt.

- = -

keyboard_tab EIDAS 2014/0910 DE

EIDAS 2014/0910 DE