keyboard_tab EIDAS 2014/0910 DE
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
KAPITEL I
ALLGEMEINE BESTIMMUNGEN
KAPITEL II
ELEKTRONISCHE IDENTIFIZIERUNG
KAPITEL III
VERTRAUENSDIENSTE
ABSCHNITT 1
Allgemeine Bestimmungen
ABSCHNITT 2
Aufsicht
ABSCHNITT 3
Qualifizierte Vertrauensdienste
ABSCHNITT 4
Elektronische Signaturen
ABSCHNITT 5
Elektronische Siegel
ABSCHNITT 6
Elektronische Zeitstempel
ABSCHNITT 7
Dienste für die Zustellung elektronischer Einschreiben
ABSCHNITT 8
Website-Authentifizierung
KAPITEL IV
ELEKTRONISCHE DOKUMENTE
KAPITEL V
BEFUGNISÜBERTRAGUNGEN UND DURCHFÜHRUNGSBESTIMMUNGEN
KAPITEL VI
SCHLUSSBESTIMMUNGEN
- Elektronische Identifizierung
- Elektronisches Identifizierungsmittel
- Personenidentifizierungsdaten
- Elektronisches Identifizierungssystem
- Authentifizierung
- Vertrauender Beteiligter
- Öffentliche Stelle
- Einrichtung des öffentlichen Rechts
- Unterzeichner
- Elektronische Signatur
- Fortgeschrittene elektronische Signatur
- Qualifizierte elektronische Signatur
- Elektronische Signaturerstellungsdaten
- Zertifikat für elektronische Signaturen
- Qualifiziertes Zertifikat für elektronische Signaturen
- Vertrauensdienst
- Qualifizierter Vertrauensdienst
- Konformitätsbewertungsstelle
- Vertrauensdiensteanbieter
- Qualifizierter Vertrauensdiensteanbieter
- Produkt
- Elektronische Signaturerstellungseinheit
- Qualifizierte elektronische Signaturerstellungseinheit
- Siegelersteller
- Elektronisches Siegel
- Fortgeschrittenes elektronisches Siegel
- Qualifiziertes elektronisches Siegel
- Elektronische Siegelerstellungsdaten
- Zertifikat für elektronische Siegel
- Qualifiziertes Zertifikat für elektronische Siegel
- Elektronische Siegelerstellungseinheit
- Qualifizierte elektronische Siegelerstellungseinheit
- Elektronischer Zeitstempel
- Qualifizierter elektronischer Zeitstempel
- Elektronisches Dokument
- Dienst für die Zustellung elektronischer Einschreiben
- Qualifizierter Dienst für die Zustellung elektronischer Einschreiben
- Zertifikat für die Website-Authentifizierung
- Qualifiziertes Zertifikat für die Website-Authentifizierung
- Validierungsdaten
- Validierung
- artikel 48
- absatz 46
- oder 40
- für 35
- nach 29
- gemäß 26
- elektronischen 24
- kommission 21
- genannten 21
- über 21
- werden 20
- eine 19
- identifizierungsmittel 18
- die 18
- einer 17
- vertrauensdiensteanbieter 17
- qualifizierten 15
- person 15
- normen 15
- mitgliedstaat 15
- mitgliedstaaten 15
- diese 15
- verfahren 14
- identifizierungssysteme 14
- sicherheitsniveaus 13
- bezug 12
- wird 12
- informationen 12
- anforderungen 12
- eines 12
- elektronische 12
- dass 12
- elektronischer 11
- rahmen 10
- technischen 10
- dieses 10
- sind 10
- daten 10
- dieser 10
- verordnung 10
- aufsichtsstelle 10
- anderen 9
- einem 9
- qualifizierte 9
- durchführungsrechtsakte 8
- einen 8
- kann 8
- spezifikationen 8
- wege 8
- erfüllen 7
Artikel 2
Anwendungsbereich
(1) Diese Verordnung gilt für von einem Mitgliedstaat notifizierte elektronische Identifizierungssysteme und für in der Union niedergelassene Vertrauensdiensteanbieter.
(2) Diese Verordnung findet keine Anwendung auf die Erbringung von Vertrauensdiensten, die ausschließlich innerhalb geschlossener Systeme aufgrund von nationalem Recht oder von Vereinbarungen zwischen einem bestimmten Kreis von Beteiligten verwendet werden.
(3) Diese Verordnung berührt nicht das nationale Recht oder das Unionsrecht in bezug auf den Abschluss und die Gültigkeit von Verträgen oder andere rechtliche oder verfahrensmäßige Formvorschriften.
Artikel 7
Voraussetzungen für die Notifizierung elektronischer Identifizierungssysteme
Ein elektronisches Identifizierungssystem kann nach Artikel 9 Absatz 1 notifiziert werden, wenn sämtliche folgenden Bedingungen erfüllt sind:
a) | Die elektronischen Identifizierungsmittel im Rahmen des betreffenden Systems werden
|
b) | Die elektronischen Identifizierungsmittel im Rahmen des elektronischen Identifizierungssystems können im notifizierenden Mitgliedstaat für den Zugang zu mindestens einem Dienst verwendet werden, der von einer öffentlichen Stelle bereitgestellt wird und für den eine elektronische Identifizierung erforderlich ist. |
c) | Das elektronische Identifizierungssystem und die im Rahmen dieses Systems ausgestellten elektronischen Identifizierungsmittel erfüllen die Anforderungen zumindest eines der Sicherheitsniveaus, die in dem in Artikel 8 Absatz 3 genannten Durchführungsrechtsakt aufgeführt sind. |
d) | Der notifizierende Mitgliedstaat stellt sicher, dass zum Zeitpunkt der Ausstellung des elektronischen Identifizierungsmittels im Rahmen des betreffenden Systems die Personenidentifizierungsdaten, die die betreffende Person eindeutig repräsentieren, der in Artikel 3 Nummer 1 genannten natürlichen oder juristischen Person entsprechend den technischen Spezifikationen, Normen und Verfahren für das einschlägige Sicherheitsniveau, die in dem in Artikel 8 Absatz 3 genannten Durchführungsrechtsakt aufgeführt sind, zugeordnet sind. |
e) | Der Beteiligte, der das elektronische Identifizierungsmittel im Rahmen des betreffenden Systems ausstellt, stellt sicher, dass das elektronische Identifizierungsmittel der in Buchstabe d dieses Artikels genannten Person entsprechend den technischen Spezifikationen, Normen und Verfahren für das betreffende Sicherheitsniveau, die in dem in Artikel 8 Absatz 3 genannten Durchführungsrechtsakt aufgeführt sind, zugewiesen wird. |
f) | Der notifizierende Mitgliedstaat stellt sicher, dass eine Online- Authentifizierung zur Verfügung steht, so dass jeder im Hoheitsgebiet eines anderen Mitgliedstaats niedergelassene vertrauende Beteiligte die in elektronischer Form empfangenen Personenidentifizierungsdaten bestätigen kann. Für vertrauende Beteiligte, die keine öffentlichen Stellen sind, kann der notifizierende Mitgliedstaat Bedingungen für den Zugang zu dieser Authentifizierung festlegen. Die grenzüberschreitende Authentifizierung sollte gebührenfrei sein, wenn sie in bezug auf einen Online-Dienst erfolgt, der von einer öffentlichen Stelle erbracht wird. Die Mitgliedstaaten machen vertrauenden Beteiligten, die eine solche Authentifizierung durchführen möchten, keine spezifischen unverhältnismäßigen technischen Vorgaben, wenn derartige Vorgaben die Interoperabilität der notifizierten elektronischen Identifizierungssysteme verhindern oder erheblich beeinträchtigen. |
g) | Der notifizierende Mitgliedstaat stellt den anderen Mitgliedstaaten für die Zwecke der Verpflichtung nach Artikel 12 Absatz 5 mindestens sechs Monate vor einer Notifizierung gemäß Artikel 9 Absatz 1 nach den in den Durchführungsrechtsakten gemäß Artikel 12 Absatz 7 genannten Verfahrensmodalitäten eine Beschreibung dieses Systems zur Verfügung. |
h) | Das elektronische Identifizierungssystem erfüllt die Anforderungen des in Artikel 12 Absatz 8 genannten Durchführungsrechtsakts. |
Artikel 8
Sicherheitsniveaus elektronischer Identifizierungssysteme
(1) Ein gemäß Artikel 9 Absatz 1 notifiziertes elektronisches Identifizierungssystem gibt die Sicherheitsniveaus „niedrig“, „substanziell“ und/oder „hoch“ an, die den nach diesem System ausgestellten elektronischen Identifizierungsmitteln zuerkannt wurden.
(2) Die Sicherheitsniveaus „niedrig“, „substanziell“ bzw. „hoch“ erfüllen folgende Kriterien:
a) | Das Sicherheitsniveau „niedrig“ bezieht sich auf ein elektronisches Identifizierungmittel im Rahmen eines elektronischen Identifizierungssystems, das ein begrenztes Maß an Vertrauen in die beanspruchte oder behauptete Identität einer Person vermittelt und durch die bezugnahme auf die diesbezüglichen technischen Spezifikationen, Normen und Verfahren einschließlich technischer Überprüfungen — deren Zweck in der Minderung der Gefahr des Identitätsmissbrauchs oder der Identitätsveränderung besteht — gekennzeichnet ist. |
b) | Das Sicherheitsniveau „substanziell“ bezieht sich auf ein elektronisches Identifizierungsmittel im Rahmen eines elektronischen Identifizierungssystems, das ein substanzielles Maß an Vertrauen in die beanspruchte oder behauptete Identität einer Person vermittelt und durch die bezugnahme auf die diesbezüglichen technischen Spezifikationen, Normen und Verfahren einschließlich entsprechender technischer Überprüfungen — deren Zweck in der substanziellen Minderung der Gefahr des Identitätsmissbrauchs oder der Identitätsveränderung besteht — gekennzeichnet ist. |
c) | Das Sicherheitsniveau „hoch“ bezieht sich auf ein elektronisches Identifizierungsmittel im Rahmen eines elektronischen Identifizierungssystems, das ein höheres Maß an Vertrauen in die beanspruchte oder behauptete Identität einer Person als ein Identifizierungsmittel mit dem Sicherheitsniveau „substanziell“ vermittelt und durch die bezugnahme auf die diesbezüglichen technischen Spezifikationen, Normen und Verfahren einschließlich technischer Überprüfungen — deren Zweck in der Verhinderung des Identitätsmissbrauchs oder der Identitätsveränderung besteht — gekennzeichnet ist. |
(3) Bis zum 18. September 2015 legt die Kommission unter Berücksichtigung der einschlägigen internationalen Normen vorbehaltlich des Absatzes 2 im Wege von Durchführungsrechtsakten technische Spezifikationen, Normen und Verfahren mit Mindestanforderungen fest, auf die sich die Festlegung der Sicherheitsniveaus „niedrig“, „substanziell“ und „hoch“ für elektronische Identifizierungsmittel für die Zwecke des Absatzes 1 bezieht.
Diese technischen Spezifikationen, Normen und Verfahren mit Mindestanforderungen werden unter bezugnahme auf die Zuverlässigkeit und Qualität folgender Elemente festgelegt:
a) | des Verfahrens zum Nachweis und zur Überprüfung der Identität natürlicher oder juristischer Personen, die die Ausstellung elektronischer Identifizierungsmittel beantragen; |
b) | des Verfahrens zur Ausstellung der beantragten elektronischen Identifizierungsmittel; |
c) | des Authentifizierungsmechanismus, bei dem die natürliche oder juristische Person die elektronischen Identifizierungsmittel verwendet, um einem vertrauenden Beteiligten ihre Identität zu bestätigen; |
d) | der Einrichtung, die die Identifizierungsmittel ausstellt; |
e) | jeder anderen Stelle, die mit dem Antrag für die Ausstellung elektronischer Identifizierungsmittel befasst ist; |
f) | technischer und sicherheitsbezogener Spezifikationen der ausgestellten elektronischen Identifizierungsmittel. |
Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 9
Notifizierung
(1) Der notifizierende Mitgliedstaat notifiziert der Kommission folgende Informationen und unverzüglich alle späteren Änderungen dieser Informationen:
a) | eine Beschreibung des elektronischen Identifizierungssystems einschließlich seiner Sicherheitsniveaus und des Ausstellers bzw. der Aussteller elektronischer Identifizierungsmittel im Rahmen des Systems; |
b) | das geltende Aufsichtssystem und Informationen über die Haftungsregelung in bezug auf Folgendes:
|
c) | die für das elektronische Identifizierungssystem zuständige(n) Behörde(n); |
d) | Informationen über die Einrichtung bzw. Einrichtungen, die die Registrierung der eindeutigen Personenidentifizierungsdaten verwaltet bzw. verwalten; |
e) | eine Beschreibung, inwieweit die Anforderungen des in Artikel 12 Absatz 8 genannten Durchführungsrechtsakts erfüllt werden; |
f) | eine Beschreibung der Authentifizierung gemäß Artikel 7 Buchstabe f; |
g) | Regelungen für die Aussetzung oder den Widerruf des notifizierten elektronischen Identifizierungssystems oder der Authentifizierung oder von den betroffenen beeinträchtigten Teilen. |
(2) Ein Jahr nach dem Zeitpunkt des Beginns der Anwendung der Durchführungsrechtsakte gemäß Artikel 8 Absatz 3 und Artikel 12 Absatz 8 veröffentlicht die Kommission im Amtsblatt der Europäischen Union eine Liste der gemäß Absatz 1 dieses Artikels notifizierten elektronischen Identifizierungssysteme und die grundlegenden Informationen darüber.
(3) Geht der Kommission nach Ablauf der in Absatz 2 genannten Frist eine Notifizierung zu, so veröffentlicht sie die Änderungen an der in Absatz 2 genannten Liste innerhalb von zwei Monaten ab dem Zeitpunkt des Eingangs dieser Notifizierung im Amtsblatt der Europäischen Union.
(4) Ein Mitgliedstaat kann bei der Kommission die Streichung eines von diesem Mitgliedstaat notifizierten Identifizierungssystems aus der in Absatz 2 genannten Liste beantragen. Die Kommission veröffentlicht im Amtsblatt der Europäischen Union die entsprechenden Änderungen der Liste innerhalb eines Monats ab dem Zeitpunkt, zu dem das Ersuchen des Mitgliedstaats eingegangen ist.
(5) Die Kommission kann im Wege von Durchführungsrechtsakten Einzelheiten, Form und Verfahren für die Notifizierung nach Absatz 1 festlegen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 12
Zusammenarbeit und Interoperabilität
(1) Die gemäß Artikel 9 Absatz 1 notifizierten nationalen elektronischen Identifizierungssysteme müssen interoperabel sein.
(2) Für die Zwecke des Absatzes 1 wird ein Interoperabilitätsrahmen geschaffen.
(3) Der Interoperabilitätsrahmen muss folgende Kriterien erfüllen:
a) | Er ist auf Technologieneutralität angelegt und unterscheidet nicht zwischen spezifischen nationalen technischen Lösungen für die elektronische Identifizierung in dem betreffenden Mitgliedstaat, |
b) | er entspricht nach Möglichkeit den europäischen und internationalen Normen, |
c) | er fördert die Umsetzung des Grundsatzes des „eingebauten Datenschutzes“ (privacy by design) und |
d) | er gewährleistet, dass personenbezogene Daten im Einklang mit der Richtlinie 95/46/EG verarbeitet werden. |
(4) Der Interoperabilitätsrahmen besteht aus Folgendem:
a) | einer bezugnahme auf die mit den Sicherheitsniveaus nach Artikel 8 technischen Mindestanforderungen; |
b) | Angaben zur Entsprechung zwischen den nationalen Sicherheitsniveaus der notifizierten Identifizierungssysteme und den Sicherheitsniveaus nach Artikel 8; |
c) | einer bezugnahme auf die technischen Mindestanforderungen für die Interoperabilität; |
d) | einer bezugnahme auf einen über elektronische Identifizierungssysteme bereitgestellten Mindestsatz von Personenidentifizierungsdaten, die eine natürliche oder juristische Person eindeutig repräsentieren; |
e) | Verfahrensregelungen; |
f) | Regelungen zur Streitbeilegung und |
g) | gemeinsamen Sicherheitsnormen für den Betrieb. |
(5) Die Mitgliedstaaten arbeiten in bezug auf Folgendes zusammen:
a) | Interoperabilität der nach Artikel 9 Absatz 1 notifizierten elektronischen Identifizierungssysteme und der elektronischen Identifizierungssysteme, die die Mitgliedstaaten notifizieren möchten, und |
b) | Sicherheit der elektronischen Identifizierungssysteme. |
(6) Die Zusammenarbeit zwischen den Mitgliedstaaten umfasst Folgendes:
a) | Austausch von Informationen, Erfahrungen und bewährten Verfahren in bezug auf elektronische Identifizierungssysteme und insbesondere in bezug auf technische Anforderungen an Interoperabilität und Sicherheitsniveaus; |
b) | Austausch von Informationen, Erfahrungen und bewährten Verfahren in bezug auf Sicherheitsniveaus elektronischer Identifizierungssysteme nach Artikel 8; |
c) | gegenseitige Begutachtung der unter diese Verordnung fallenden elektronischen Identifizierungssysteme; |
d) | Prüfung der einschlägigen Entwicklungen auf dem Gebiet der elektronischen Identifizierung. |
(7) Bis zum 18. März 2015 legt die Kommission im Wege von Durchführungsrechtsakten die nötigen Verfahrensmodalitäten fest, um die in den Absätzen 5 und 6 genannte Zusammenarbeit zwischen den Mitgliedstaaten im Hinblick auf die Förderung eines hohen Maßes an Vertrauen und Sicherheit, das der Höhe des Risikos angemessen ist, zu erleichtern.
(8) Bis zum 18. September 2015 erlässt die Kommission unter Zugrundelegung der in Absatz 3 aufgeführten Kriterien und unter Berücksichtigung der Ergebnisse der Zusammenarbeit zwischen den Mitgliedstaaten Durchführungsrechtsakte zum Interoperabilitätsrahmen gemäß Absatz 4, um einheitliche Voraussetzungen für die Umsetzung der Verpflichtung gemäß Absatz 1 vorzugeben.
(9) Die in den Absätzen 7 und 8 genannten Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
KAPITEL III
VERTRAUENSDIENSTE
ABSCHNITT 1
Allgemeine Bestimmungen
Artikel 17
Aufsichtsstelle
(1) Die Mitgliedstaaten benennen eine Aufsichtsstelle, die in ihrem Hoheitsgebiet niedergelassen ist oder die aufgrund einer gegenseitigen Vereinbarung mit einem anderen Mitgliedstaat in diesem anderen Mitgliedstaat niedergelassen ist. Diese Aufsichtsstelle ist für die Wahrnehmung der Aufsichtsaufgaben im benennenden Mitgliedstaat verantwortlich.
Die Aufsichtsstellen verfügen über die für die Wahrnehmung ihrer Aufgaben notwendigen Befugnisse und eine angemessene Ausstattung mit Ressourcen.
(2) Die Mitgliedstaaten teilen der Kommission und den anderen Mitgliedstaaten Namen und Anschrift ihrer jeweiligen benannten Aufsichtsstellen mit.
(3) Die Aufsichtsstelle nimmt folgende Funktionen wahr:
a) | Ausübung der Aufsicht über die im Hoheitsgebiet des benennenden Mitgliedstaats niedergelassenen qualifizierten Vertrauensdiensteanbieter mit dem Ziel, im Wege von Ex-ante- und Ex-post-Aufsichtstätigkeiten zu gewährleisten, dass diese qualifizierten Vertrauensdiensteanbieter und die von ihnen erbrachten qualifizierten Vertrauensdienste den Anforderungen dieser Verordnung entsprechen; |
b) | erforderlichenfalls Durchführung von Maßnahmen im Wege von Ex-post-Aufsichtstätigkeiten in bezug auf die im Hoheitsgebiet des benennenden Mitgliedstaats niedergelassenen nichtqualifizierten Vertrauensdiensteanbieter, wenn sie Kenntnis davon erhalten, dass diese nichtqualifizierten Vertrauensdiensteanbieter oder die von ihnen erbrachten Vertrauensdienste die Anforderungen dieser Verordnung mutmaßlich nicht erfüllen. |
(4) Für die Zwecke des Absatzes 3 und im Rahmen der dort vorgegebenen Beschränkungen umfassen die Aufgaben der Aufsichtsstelle insbesondere Folgendes:
a) | Zusammenarbeit mit anderen Aufsichtsstellen und Unterstützung dieser Stellen gemäß Artikel 18; |
b) | Analyse der Konformitätsbewertungsberichte gemäß Artikel 20 Absatz 1 und Artikel 21 Absatz 1; |
c) | Unterrichtung der anderen Aufsichtsstellen und der Öffentlichkeit über Sicherheitsverletzungen oder Integritätsverluste gemäß Artikel 19 Absatz 2; |
d) | Berichterstattung an die Kommission über ihre Haupttätigkeiten gemäß Absatz 6; |
e) | Durchführung von Überprüfungen oder Beauftragung einer Konformitätsbewertungsstelle mit der Durchführung einer Konformitätsbewertung der qualifizierten Vertrauensdiensteanbieter gemäß Artikel 20 Absatz 2; |
f) | Zusammenarbeit mit den Datenschutzbehörden, insbesondere indem sie diese unverzüglich über die Ergebnisse der Überprüfungen von qualifizierten Vertrauensdiensteanbietern unterrichtet, falls dem Anschein nach gegen Datenschutzvorschriften verstoßen wurde; |
g) | Verleihung des Qualifikationsstatus an Vertrauensdiensteanbieter und die von ihnen erbrachten Dienste sowie Entzug dieses Status gemäß den Artikeln 20 und 21; |
h) | Unterrichtung der in Artikel 22 Absatz 3 genannten, für die nationale Vertrauensliste verantwortlichen Stelle über ihre Entscheidung, den Qualifikationsstatus zu verleihen oder zu entziehen, soweit es sich dabei nicht um die Aufsichtsstelle selbst handelt; |
i) | Überprüfung des Vorliegens und der ordnungsgemäßen Anwendung von Vorschriften über Beendigungspläne für den Fall, dass der Vertrauensdiensteanbieter seine Tätigkeit einstellt, wobei auch die Frage, wie die Informationen gemäß Artikel 24 Absatz 2 Buchstabe h weiter zugänglich gehalten werden, geprüft wird; |
j) | Verpflichtung der Vertrauensdiensteanbieter, bei jedem Fall von Nichteinhaltung der Anforderungen dieser Verordnung Abhilfe zu schaffen. |
(5) Die Mitgliedstaaten können verlangen, dass die Aufsichtsstelle nach Maßgabe des nationalen Rechts eine Vertrauensinfrastruktur einrichtet, unterhält und aktualisiert.
(6) Bis zum 31. März jedes Jahres legt jede Aufsichtsstelle der Kommission einen Bericht über ihre Haupttätigkeiten im abgelaufenen Kalenderjahr zusammen mit einer Zusammenfassung der von den Vertrauensdiensteanbietern gemäß Artikel 19 Absatz 2 gemeldeten Sicherheitsverletzungen vor.
(7) Die Kommission macht den Mitgliedstaaten den in Absatz 6 genannten Jahresbericht zugänglich.
(8) Die Kommission kann im Wege von Durchführungsrechtsakten Form und Verfahren für die Berichterstattung nach Absatz 6 festlegen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 24
Anforderungen an qualifizierte Vertrauensdiensteanbieter
(1) Bei der Ausstellung eines qualifizierten Zertifikats für einen Vertrauensdienst überprüft der qualifizierte Vertrauensdiensteanbieter anhand geeigneter Mittel und im Einklang mit dem jeweiligen nationalen Recht die Identität und gegebenenfalls die spezifischen Attribute der natürlichen oder juristischen Person, der das qualifizierte Zertifikat ausgestellt wird.
Die Informationen nach Unterabsatz 1 werden vom qualifizierten Vertrauensdiensteanbieter im Einklang mit dem nationalen Recht entweder unmittelbar oder unter Rückgriff auf einen Dritten wie folgt überprüft:
a) | durch persönliche Anwesenheit der natürlichen Person oder eines bevollmächtigten Vertreters der juristischen Person oder |
b) | aus der Ferne mittels elektronischer Identifizierungsmittel, für die vor der Ausstellung des qualifizierten Zertifikats eine persönliche Anwesenheit der natürlichen Person oder eines bevollmächtigten Vertreters der juristischen Person gewährleistet war und die die Anforderungen gemäß Artikel 8 hinsichtlich der Sicherheitsniveaus „substanziell“ oder „hoch“ erfüllen, oder |
c) | durch ein Zertifikat einer qualifizierten elektronischen Signatur oder eines qualifizierten elektronischen Siegels, das gemäß Buchstabe a oder b ausgestellt wurde, oder |
d) | durch sonstige Identifizierungsmethoden, die auf nationaler Ebene anerkannt sind und gleichwertige Sicherheit hinsichtlich der Verlässlichkeit bei der persönlichen Anwesenheit bieten. Die gleichwertige Sicherheit muss von einer Konformitätsbewertungsstelle bestätigt werden. |
(2) Für qualifizierte Vertrauensdiensteanbieter, die qualifizierte Vertrauensdienste erbringen, gilt Folgendes:
a) | Sie unterrichten die Aufsichtsstelle über alle Änderungen bei der Erbringung ihrer qualifizierten Vertrauensdienste und eine beabsichtigte Einstellung dieser Tätigkeiten. |
b) | Sie beschäftigen Personal und gegebenenfalls Unterauftragnehmer, das bzw. die über das erforderliche Fachwissen, die erforderliche Zuverlässigkeit, die erforderliche Erfahrung und die erforderlichen Qualifikationen verfügt bzw. verfügen, in bezug auf die Vorschriften für die Sicherheit und den Schutz personenbezogener Daten angemessen geschult worden ist und Verwaltungs- und Managementverfahren anwendet, die den anerkannten europäischen oder internationalen Normen entsprechen. |
c) | Sie verfügen in bezug auf das Haftungsrisiko für Schäden gemäß Artikel 13 über ausreichende Finanzmittel und/oder schließen eine angemessene Haftpflichtversicherung nach nationalem Recht ab. |
d) | Sie unterrichten Personen, die einen qualifizierten Vertrauensdienst nutzen wollen, klar und umfassend über die genauen Bedingungen für die Nutzung des Dienstes, einschließlich Nutzungsbeschränkungen, bevor sie vertragliche Beziehungen zu dieser Person eingehen. |
e) | Sie verwenden vertrauenswürdige Systeme und Produkte, die vor Veränderungen geschützt sind und die technische Sicherheit und Zuverlässigkeit der von ihnen unterstützten Prozesse sicherstellen. |
f) | Sie verwenden vertrauenswürdige Systeme für die Speicherung der ihnen übermittelten Daten in einer überprüfbaren Form, so dass
|
g) | Sie ergreifen geeignete Maßnahmen gegen Fälschung und Diebstahl von Daten. |
h) | Sie zeichnen alle einschlägigen Informationen über die von dem qualifizierten Vertrauensdiensteanbieter ausgegebenen und empfangenen Daten auf und bewahren sie so auf, dass sie über einen angemessenen Zeitraum, auch über den Zeitpunkt der Einstellung der Tätigkeit des qualifizierten Vertrauensdiensteanbieters hinaus, verfügbar sind, um insbesondere bei Gerichtsverfahren entsprechende Beweise liefern zu können und die Kontinuität des Dienstes sicherzustellen. Die Aufzeichnung kann in elektronischer Form erfolgen. |
i) | Sie verfügen über einen fortlaufend aktualisierten Beendigungsplan, um die Dienstleistungskontinuität nach den von der Aufsichtsstelle gemäß Artikel 17 Absatz 4 Buchstabe i geprüften Vorgaben sicherzustellen. |
j) | Sie stellen eine rechtmäßige Verarbeitung personenbezogener Daten gemäß der Richtlinie 95/46/EG sicher. |
k) | Sie erstellen im Falle qualifizierter Vertrauensdiensteanbieter, die qualifizierte Zertifikate ausstellen, eine Zertifikatsdatenbank und halten sie auf dem neuesten Stand. |
(3) Beschließt ein qualifizierter Vertrauensdiensteanbieter, der qualifizierte Zertifikate ausstellt, ein Zertifikat zu widerrufen, so registriert er den Widerruf in seiner Zertifikatsdatenbank und veröffentlicht den Widerrufsstatus des Zertifikats zeitnah und in jedem Fall innerhalb von 24 Stunden nach Erhalt des Ersuchens. Der Widerruf wird sofort nach seiner Veröffentlichung wirksam.
(4) Im Zusammenhang mit Absatz 3 stellen qualifizierte Vertrauensdiensteanbieter, die qualifizierte Zertifikate ausstellen, den vertrauenden Beteiligten Informationen über den Gültigkeits- oder Widerrufsstatus der von ihnen ausgestellten qualifizierten Zertifikate zur Verfügung. Diese Informationen werden zumindest auf Zertifikatsbasis jederzeit und über die Gültigkeitsdauer des Zertifikats hinaus automatisch auf zuverlässige, kostenlose und effiziente Weise bereitgestellt.
(5) Die Kommission kann im Wege von Durchführungsrechtsakten Kennnummern für Normen für vertrauenswürdige Systeme und Produkte festlegen, die die Anforderungen nach Absatz 2 Buchstaben e und f dieses Artikels erfüllen. Bei vertrauenswürdigen Systemen und Produkten, die diesen Normen entsprechen, wird davon ausgegangen, dass sie die Anforderungen dieses Artikels erfüllen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
ABSCHNITT 4
Elektronische_Signaturen
Artikel 30
Zertifizierung qualifizierter elektronischer Signaturerstellungseinheiten
(1) Die Konformität qualifizierter elektronischer Signaturerstellungseinheiten mit den Anforderungen des Anhangs II wird von geeigneten, von den Mitgliedstaaten benannten öffentlichen oder privaten Stellen zertifiziert.
(2) Die Mitgliedstaaten teilen der Kommission die Namen und Anschriften der öffentlichen oder privaten Stellen gemäß Absatz 1 mit. Die Kommission stellt diese Informationen den Mitgliedstaaten zur Verfügung.
(3) Die Zertifizierung nach Absatz 1 beruht auf einem der folgenden Verfahren:
a) | einem Sicherheitsbewertungsverfahren, das entsprechend einer der Normen für die Sicherheitsbewertung informationstechnischer Produkte durchgeführt wurde, die auf der gemäß Unterabsatz 2 aufzustellenden Liste stehen; |
b) | einem anderen als dem unter Buchstabe a genannten Verfahren, sofern dabei gleichwertige Sicherheitsniveaus angewendet werden und die öffentliche oder private Stelle gemäß Absatz 1 der Kommission dieses Verfahren mitteilt. Dieses Verfahren darf nur angewendet werden, wenn Normen im Sinne des Buchstaben a nicht vorliegen oder ein Sicherheitsbewertungsverfahren im Sinne des Buchstaben a im Gange ist. |
Die Kommission stellt im Wege von Durchführungsrechtsakten eine Liste mit Normen für die Sicherheitsbewertung informationstechnischer Produkte nach Buchstabe a auf. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.
(4) Der Kommission wird die Befugnis übertragen, gemäß Artikel 47 delegierte Rechtsakte in bezug auf die Festlegung besonderer Kriterien, die von den in Absatz 1 dieses Artikels aufgeführten benannten Stellen zu erfüllen sind, zu erlassen.
Artikel 48
Ausschussverfahren
(1) Die Kommission wird von einem Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.
(2) Wird auf diesen Absatz bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.
KAPITEL VI
SCHLUSSBESTIMMUNGEN
Artikel 50
Aufhebung
(1) Die Richtlinie 1999/93/EG wird mit Wirkung vom 1. Juli 2016 aufgehoben.
(2) bezugnahmen auf die aufgehobene Richtlinie gelten als bezugnahmen auf diese Verordnung.
whereas