EIDAS 2014/0910 DE

(1) Der notifizierende Mitgliedstaat notifiziert der Kommission folgende Informationen und unverzüglich alle späteren Änderungen dieser Informationen:

a)	eine Beschreibung des elektronischen Identifizierungssystems einschließlich seiner Sicherheitsniveaus und des Ausstellers bzw. der Aussteller elektronischer Identifizierungsmittel im Rahmen des Systems;

das geltende Aufsichtssystem und Informationen über die Haftungsregelung in Bezug auf Folgendes:

i)	den das elektronische Identifizierungsmittel ausstellenden Beteiligten;

ii)	den das Authentifizierungsverfahren durchführenden Beteiligten;

c)	die für das elektronische Identifizierungssystem zuständige(n) Behörde(n);

d)	Informationen über die Einrichtung bzw. Einrichtungen, die die Registrierung der eindeutigen Personenidentifizierungsdaten verwaltet bzw. verwalten;

e)	eine Beschreibung, inwieweit die Anforderungen des in Artikel 12 Absatz 8 genannten Durchführungsrechtsakts erfüllt werden;

f)	eine Beschreibung der Authentifizierung gemäß Artikel 7 Buchstabe f;

g)	Regelungen für die Aussetzung oder den Widerruf des notifizierten elektronischen Identifizierungssystems oder der Authentifizierung oder von den betroffenen beeinträchtigten Teilen.

(2) Ein Jahr nach dem Zeitpunkt des Beginns der Anwendung der Durchführungsrechtsakte gemäß Artikel 8 Absatz 3 und Artikel 12 Absatz 8 veröffentlicht die Kommission im Amtsblatt der Europäischen Union eine Liste der gemäß Absatz 1 dieses Artikels notifizierten elektronischen Identifizierungssysteme und die grundlegenden Informationen darüber.

(3) Geht der Kommission nach Ablauf der in Absatz 2 genannten Frist eine Notifizierung zu, so veröffentlicht sie die Änderungen an der in Absatz 2 genannten Liste innerhalb von zwei Monaten ab dem Zeitpunkt des Eingangs dieser Notifizierung im Amtsblatt der Europäischen Union.

(4) Ein Mitgliedstaat kann bei der Kommission die Streichung eines von diesem Mitgliedstaat notifizierten Identifizierungssystems aus der in Absatz 2 genannten Liste beantragen. Die Kommission veröffentlicht im Amtsblatt der Europäischen Union die entsprechenden Änderungen der Liste innerhalb eines Monats ab dem Zeitpunkt, zu dem das Ersuchen des Mitgliedstaats eingegangen ist.

(5) Die Kommission kann im Wege von Durchführungsrechtsakten Einzelheiten, Form und Verfahren für die Notifizierung nach Absatz 1 festlegen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 20

Beaufsichtigung qualifizierter Vertrauensdiensteanbieter

(1) Qualifizierte Vertrauensdiensteanbieter werden mindestens alle 24 Monate auf eigene Kosten von einer Konformitätsbewertungsstelle geprüft. Zweck dieser Prüfung ist es nachzuweisen, dass sie und die von ihnen erbrachten qualifizierten Vertrauensdienste die in dieser Verordnung festgelegten Anforderungen erfüllen. Die qualifizierten Vertrauensdiensteanbieter legen der Aufsichtsstelle den entsprechenden Konformitätsbewertungsbericht innerhalb von drei Arbeitstagen nach Empfang vor.

(2) Unbeschadet des Absatzes 1 kann die Aufsichtsstelle jederzeit eine Überprüfung vornehmen oder eine Konformitätsbewertungsstelle um eine Konformitätsbewertung der qualifizierten Vertrauensdiensteanbieter — auf Kosten dieser Vertrauensdiensteanbieter — ersuchen, um nachzuweisen, dass sie und die von ihnen erbrachten qualifizierten Vertrauensdienste die in dieser Verordnung festgelegten Anforderungen erfüllen. Ist dem Anschein nach gegen Vorschriften zum Schutz personenbezogener Daten verstoßen worden, so unterrichtet die Aufsichtsstelle die Datenschutzbehörden über die Ergebnisse ihrer Überprüfungen.

(3) Verlangt die Aufsichtsstelle vom qualifizierten Vertrauensdiensteanbieter, bei Nichteinhaltung der Anforderungen nach dieser Verordnung für Abhilfe zu sorgen und kommt dieser Anbieter dieser Aufforderung — und gegebenenfalls innerhalb einer von der Aufsichtsstelle gestellten Frist — nicht nach, so kann die Aufsichtsstelle unter Berücksichtigung insbesondere der Tragweite, der Dauer und der Auswirkungen der Nichteinhaltung dem Anbieter oder dem betreffenden von ihm erbrachten Dienst den Qualifikationsstatus entziehen und die in Artikel 22 Absatz 3 genannte Stelle unterrichten, damit die in Artikel 22 Absatz 1 genannte Vertrauensliste entsprechend aktualisiert wird. Die Aufsichtsstelle unterrichtet den qualifizierten Vertrauensdiensteanbieter darüber, dass ihm oder dem betreffenden Dienst der Qualifikationsstatus entzogen wurde.

(4) Die Kommission kann im Wege von Durchführungsrechtsakten Kennnummern für die folgenden Normen festlegen:

a)	die Akkreditierung der Konformitätsbewertungsstellen und für den in Absatz 1 genannten Konformitätsbewertungsbericht;

b)	die Überprüfungsvorschriften, gemäß denen Konformitätsbewertungsstellen ihre Konformitätsbewertung der qualifizierten Vertrauensdiensteanbieter im Sinne von Absatz 1 durchführen.

Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 49

Überprüfung

Die Kommission überprüft die Anwendung dieser Verordnung und erstattet dem Europäischen Parlament und dem Rat spätestens am 1. Juli 2020 darüber Bericht. Die Kommission bewertet insbesondere, ob es angezeigt ist, den Anwendungsbereich dieser Verordnung oder ihrer spezifischen Bestimmungen einschließlich Artikel 6, Artikel 7 Buchstabe f oder die Artikel 34, 43, 44 und 45 zu ändern, wobei den bei der Anwendung dieser Verordnung gesammelten Erfahrungen sowie den Entwicklungen der Technologie, des Marktes und des Rechts Rechnung getragen wird.

Dem in Absatz 1 genannten Bericht werden gegebenenfalls Gesetzgebungsvorschläge beigefügt.

Ferner legt die Kommission dem Europäischen Parlament und dem Rat alle vier Jahre nach dem in Absatz 1 genannten Bericht einen Bericht über die Fortschritte im Hinblick auf die Verwirklichung der mit dieser Verordnung verfolgten Ziele vor.

whereas

(11) Diese Verordnung sollte unter uneingeschränkter Beachtung der Grundsätze des Schutzes personenbezogener Daten gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (7) angewandt werden.
Dabei sollten im Zusammenhang mit dem durch diese Verordnung festgelegten Grundsatz der gegenseitigen Anerkennung bei der Authentifizierung für einen Online-Dienst nur solche Identifizierungsdaten verarbeitet werden, die dem Zweck der Gewährung des Zugangs zu diesem Online-Dienst entsprechen, dafür erforderlich sind und nicht darüber hinausgehen.
Des Weiteren sollten Vertrauensdiensteanbieter und Aufsichtsstellen die in der Richtlinie 95/46/EG festgelegten Anforderungen hinsichtlich der Vertraulichkeit und der Sicherheit der Verarbeitung einhalten.

- = -

(37) Diese Verordnung sollte die Haftung aller Vertrauensdiensteanbieter vorsehen.
Insbesondere schafft sie eine Haftungsregelung, in deren Rahmen alle Vertrauensdiensteanbieter für Schäden haften sollen, die einer natürlichen oder juristischen Person aufgrund einer Nichteinhaltung der Verpflichtungen gemäß dieser Verordnung entstehen.
Um die Bewertung des finanziellen Risikos zu erleichtern, das für Vertrauensdiensteanbieter entstehen könnte oder gegen das diese sich versichern sollten, erlaubt diese Verordnung den Vertrauensdiensteanbietern, die Nutzung der von ihnen angebotenen Dienste unter bestimmten Bedingungen zu beschränken und damit eine Haftung für Schäden aus einer darüber hinausgehenden Nutzung auszuschließen.
Die Kunden sollten über die Beschränkungen vorab in angemessener Form unterrichtet werden.
Diese Beschränkungen sollten für eine dritte Partei erkennbar sein, z.
B.
durch einen Hinweis auf die Beschränkungen in den Geschäfts- und Nutzungsbedingungen für den zu erbringenden Dienst oder in anderer erkennbarer Form.
Für die Zwecke der Durchsetzung dieser Grundsätze sollte diese Verordnung im Einklang mit den nationalen Vorschriften über die Haftung angewendet werden.
Diese nationalen Vorschriften, zum Beispiel was die Definition von Schäden, Vorsatz oder Fahrlässigkeit angeht, und die diesbezüglich geltenden Verfahrensvorschriften bleiben daher durch diese Verordnung unberührt.

- = -

keyboard_tab EIDAS 2014/0910 DE

EIDAS 2014/0910 DE