EIDAS 2014/0910 DE

Um das ordnungsgemäße Funktionieren des Binnenmarkts und gleichzeitig ein angemessenes Sicherheitsniveau bei elektronischen Identifizierungsmitteln und Vertrauensdiensten sicherzustellen, ist in dieser Verordnung Folgendes geregelt:

a)	Sie legt die Bedingungen fest, unter denen die Mitgliedstaaten elektronische Identifizierungsmittel für natürliche und juristische Personen, die einem notifizierten elektronischen Identifizierungssystem eines anderen Mitgliedstaats unterliegen, anerkennen.

b)	Sie legt Vorschriften für Vertrauensdienste — insbesondere für elektronische Transaktionen — fest.

c)	Sie legt einen Rechtsrahmen für elektronische Signaturen, elektronische Siegel, elektronische Zeitstempel, elektronische Dokumente, Dienste für die Zustellung elektronischer Einschreiben und Zertifizierungsdienste für die Website- Authentifizierung fest.

Artikel 3

Begriffsbestimmungen

Für die Zwecke dieser Verordnung gelten die folgenden Begriffsbestimmungen:

1.	„ Elektronische_Identifizierung“ ist der Prozess der Verwendung von Personenidentifizierungsdaten in elektronischer Form, die eine natürliche oder juristische Person oder eine natürliche Person, die eine juristische Person vertritt, eindeutig repräsentieren.

2.	„ Elektronisches_Identifizierungsmittel“ ist eine materielle und/oder immaterielle Einheit, die Personenidentifizierungsdaten enthält und zur Authentifizierung bei Online-Diensten verwendet wird.

3.	„ Personenidentifizierungsdaten“ sind ein Datensatz, der es ermöglicht, die Identität einer natürlichen oder juristischen Person oder einer natürlichen Person, die eine juristische Person vertritt, festzustellen.

4.	„ Elektronisches_Identifizierungssystem“ ist ein System für die elektronische Identifizierung, in dessen Rahmen natürlichen oder juristischen Personen oder natürlichen Personen, die juristische Personen vertreten, elektronische Identifizierungsmittel ausgestellt werden.

5.	„ Authentifizierung“ ist ein elektronischer Prozess, der die Bestätigung der elektronischen Identifizierung einer natürlichen oder juristischen Person oder die Bestätigung des Ursprungs und der Unversehrtheit von Daten in elektronischer Form ermöglicht.

6.	„ Vertrauender_Beteiligter“ ist eine natürliche oder juristische Person, die auf eine elektronische Identifizierung oder einen Vertrauensdienst vertraut.

„ Öffentliche_Stelle“ bezeichnet einen Staat, eine Gebietskörperschaft, eine Einrichtung_des_öffentlichen_Rechts oder einen Verband, der aus einer oder mehreren dieser Körperschaften oder Einrichtungen des öffentlichen Rechts besteht, oder eine private Einrichtung, die von mindestens einer dieser Körperschaften, Einrichtungen oder Verbände mit der Erbringung von öffentlichen Dienstleistungen beauftragt wurde, wenn sie im Rahmen dieses Auftrags handelt.

8.	„ Einrichtung_des_öffentlichen_Rechts“ ist eine Einrichtung nach Artikel 2 Absatz 1 Nummer 4 der Richtlinie 2014/24/EU des Europäischen Parlaments und des Rates (15).

9.	„ Unterzeichner“ ist eine natürliche Person, die eine elektronische Signatur erstellt.

10.	„ Elektronische_Signatur“ sind Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.

11.	„ Fortgeschrittene_elektronische_Signatur“ ist eine elektronische Signatur, die die Anforderungen des Artikels 26 erfüllt.

12.	„ Qualifizierte_elektronische_Signatur“ ist eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde und auf einem qualifizierten Zertifikat_für_elektronische_Signaturen beruht.

13.	„ Elektronische_Signaturerstellungsdaten“ sind eindeutige Daten, die vom Unterzeichner zum Erstellen einer elektronischen Signatur verwendet werden.

14.	„ Zertifikat_für_elektronische_Signaturen“ ist eine elektronische Bescheinigung, die elektronische Signaturvalidierungsdaten mit einer natürlichen Person verknüpft und die mindestens den Namen oder das Pseudonym dieser Person bestätigt.

15.	„Qualifiziertes Zertifikat_für_elektronische_Signaturen“ ist ein von einem qualifizierten Vertrauensdiensteanbieter ausgestelltes Zertifikat_für_elektronische_Signaturen, das die Anforderungen des Anhangs I erfüllt.

16.

„ Vertrauensdienst“ ist ein elektronischer Dienst, der in der Regel gegen Entgelt erbracht wird und aus Folgendem besteht:

a)	Erstellung, Überprüfung und Validierung von elektronischen Signaturen, elektronischen Siegeln oder elektronischen Zeitstempeln, und Diensten für die Zustellung elektronischer Einschreiben sowie von diese Dienste betreffenden Zertifikaten oder

b)	Erstellung, Überprüfung und Validierung von Zertifikaten für die Website- Authentifizierung oder

c)	Bewahrung von diese Dienste betreffenden elektronischen Signaturen, Siegeln oder Zertifikaten.

17.	„Qualifizierter Vertrauensdienst“ ist ein Vertrauensdienst, der die einschlägigen Anforderungen dieser Verordnung erfüllt.

18.

„ Konformitätsbewertungsstelle“ ist eine Stelle im Sinne der Begriffsbestimmung in Artikel 2 Nummer 13 der Verordnung (EG) Nr. 765/2008, die gemäß jener Verordnung als zur Durchführung der Konformitätsbewertung qualifizierter Vertrauensdiensteanbieter und der von ihnen erbrachten qualifizierten Vertrauensdienste befähigte Stelle akkreditiert worden ist.

19.	„ Vertrauensdiensteanbieter“ ist eine natürliche oder juristische Person, die einen oder mehrere Vertrauensdienste als qualifizierter oder nichtqualifizierter Vertrauensdiensteanbieter erbringt.

20.	„Qualifizierter Vertrauensdiensteanbieter“ ist ein Vertrauensdiensteanbieter, der einen oder mehrere qualifizierte Vertrauensdienste erbringt und dem von der Aufsichtsstelle der Status eines qualifizierten Anbieters verliehen wurde.

21.	„ Produkt“ bezeichnet Hardware, Software oder spezifische Komponenten von Hard- oder Software, die zur Erbringung von Vertrauensdiensten bestimmt sind.

22.	„ Elektronische_Signaturerstellungseinheit“ ist eine konfigurierte Software oder Hardware, die zum Erstellen einer elektronischen Signatur verwendet wird.

23.	„ Qualifizierte_elektronische_Signaturerstellungseinheit“ ist eine elektronische Signaturerstellungseinheit, die die Anforderungen des Anhangs II erfüllt.

24.	„ Siegelersteller“ ist eine juristische Person, die ein elektronisches Siegel erstellt.

25.	„ Elektronisches_Siegel“ sind Daten in elektronischer Form, die anderen Daten in elektronischer Form beigefügt oder logisch mit ihnen verbunden werden, um deren Ursprung und Unversehrtheit sicherzustellen.

26.	„ Fortgeschrittenes_elektronisches_Siegel“ ist ein elektronisches Siegel, das die Anforderungen des Artikels 36 erfüllt.

27.	„ Qualifiziertes_elektronisches_Siegel“ ist ein fortgeschrittenes elektronisches Siegel, das von einer qualifizierten elektronischen Siegelerstellungseinheit erstellt wird und auf einem qualifizierten Zertifikat_für_elektronische_Siegel beruht.

28.	„ Elektronische_Siegelerstellungsdaten“ sind eindeutige Daten, die vom Siegelersteller zum Erstellen eines elektronischen Siegels verwendet werden.

29.	„ Zertifikat_für_elektronische_Siegel“ ist eine elektronische Bescheinigung, die elektronische Siegelvalidierungsdaten mit einer juristischen Person verknüpft und den Namen dieser Person bestätigt.

30.	„Qualifiziertes Zertifikat_für_elektronische_Siegel“ ist ein von einem qualifizierten Vertrauensdiensteanbieter ausgestelltes Zertifikat_für_elektronische_Siegel, das die Anforderungen des Anhangs III erfüllt.

31.	„ Elektronische_Siegelerstellungseinheit“ ist eine konfigurierte Software oder Hardware, die zum Erstellen eines elektronischen Siegels verwendet wird.

32.	„ Qualifizierte_elektronische_Siegelerstellungseinheit“ ist eine elektronische Siegelerstellungseinheit, die die Anforderungen des Anhangs II sinngemäß erfüllt.

33.	„ Elektronischer_Zeitstempel“ bezeichnet Daten in elektronischer Form, die andere Daten in elektronischer Form mit einem bestimmten Zeitpunkt verknüpfen und dadurch den Nachweis erbringen, dass diese anderen Daten zu diesem Zeitpunkt vorhanden waren.

34.	„ Qualifizierter_elektronischer_Zeitstempel“ ist ein elektronischer Zeitstempel, der die Anforderungen des Artikels 42 erfüllt.

35.	„ Elektronisches_Dokument“ ist jeder in elektronischer Form, insbesondere als Text-, Ton-, Bild- oder audiovisuelle Aufzeichnung gespeicherte Inhalt.

36.

„ Dienst_für_die_Zustellung_elektronischer_Einschreiben“ ist ein Dienst, der die Übermittlung von Daten zwischen Dritten mit elektronischen Mitteln ermöglicht und einen Nachweis der Handhabung der übermittelten Daten erbringt, darunter den Nachweis der Absendung und des Empfangs der Daten, und der die übertragenen Daten vor Verlust, Diebstahl, Beschädigung oder unbefugter Veränderung schützt.

37.	„Qualifizierter Dienst_für_die_Zustellung_elektronischer_Einschreiben“ ist ein Dienst_für_die_Zustellung_elektronischer_Einschreiben, der die Anforderungen des Artikels 44 erfüllt.

38.	„Zertifikat für die Website- Authentifizierung“ ist ein Zertifikat, das die Authentifizierung einer Website ermöglicht und die Website mit der natürlichen oder juristischen Person verknüpft, der das Zertifikat ausgestellt wurde.

39.	„Qualifiziertes Zertifikat für die Website- Authentifizierung“ ist ein von einem qualifizierten Vertrauensdiensteanbieter ausgestelltes Zertifikat für Website- Authentifizierung, das die Anforderungen des Anhangs IV erfüllt.

40.	„ Validierungsdaten“ sind Daten, die zur Validierung einer elektronischen Signatur oder eines elektronischen Siegels verwendet werden.

41.	„ Validierung“ ist der Prozess der Überprüfung und Bestätigung der Gültigkeit einer elektronischen Signatur oder eines elektronischen Siegels.

Artikel 4

Binnenmarktgrundsatz

(1) Die Erbringung von Vertrauensdiensten im Gebiet eines Mitgliedstaats durch einen in einem anderen Mitgliedstaat niedergelassenen Vertrauensdiensteanbieter unterliegt keinen Beschränkungen aus Gründen, die in den Anwendungsbereich dieser Verordnung fallen.

(2) Produkte und Vertrauensdienste, die dieser Verordnung entsprechen, dürfen im Binnenmarkt frei verkehren.

Artikel 7

Voraussetzungen für die Notifizierung elektronischer Identifizierungssysteme

Ein elektronisches Identifizierungssystem kann nach Artikel 9 Absatz 1 notifiziert werden, wenn sämtliche folgenden Bedingungen erfüllt sind:

Die elektronischen Identifizierungsmittel im Rahmen des betreffenden Systems werden

i)	vom notifizierenden Mitgliedstaat ausgestellt,

ii)	im Auftrag des notifizierenden Mitgliedstaats ausgestellt oder

iii)	unabhängig vom notifizierenden Mitgliedstaat ausgestellt und von diesem anerkannt.

Die elektronischen Identifizierungsmittel im Rahmen des elektronischen Identifizierungssystems können im notifizierenden Mitgliedstaat für den Zugang zu mindestens einem Dienst verwendet werden, der von einer öffentlichen Stelle bereitgestellt wird und für den eine elektronische Identifizierung erforderlich ist.

c)	Das elektronische Identifizierungssystem und die im Rahmen dieses Systems ausgestellten elektronischen Identifizierungsmittel erfüllen die Anforderungen zumindest eines der Sicherheitsniveaus, die in dem in Artikel 8 Absatz 3 genannten Durchführungsrechtsakt aufgeführt sind.

Der notifizierende Mitgliedstaat stellt sicher, dass zum Zeitpunkt der Ausstellung des elektronischen Identifizierungsmittels im Rahmen des betreffenden Systems die Personenidentifizierungsdaten, die die betreffende Person eindeutig repräsentieren, der in Artikel 3 Nummer 1 genannten natürlichen oder juristischen Person entsprechend den technischen Spezifikationen, Normen und Verfahren für das einschlägige Sicherheitsniveau, die in dem in Artikel 8 Absatz 3 genannten Durchführungsrechtsakt aufgeführt sind, zugeordnet sind.

Der Beteiligte, der das elektronische Identifizierungsmittel im Rahmen des betreffenden Systems ausstellt, stellt sicher, dass das elektronische Identifizierungsmittel der in Buchstabe d dieses Artikels genannten Person entsprechend den technischen Spezifikationen, Normen und Verfahren für das betreffende Sicherheitsniveau, die in dem in Artikel 8 Absatz 3 genannten Durchführungsrechtsakt aufgeführt sind, zugewiesen wird.

Der notifizierende Mitgliedstaat stellt sicher, dass eine Online- Authentifizierung zur Verfügung steht, so dass jeder im Hoheitsgebiet eines anderen Mitgliedstaats niedergelassene vertrauende Beteiligte die in elektronischer Form empfangenen Personenidentifizierungsdaten bestätigen kann.

Für vertrauende Beteiligte, die keine öffentlichen Stellen sind, kann der notifizierende Mitgliedstaat Bedingungen für den Zugang zu dieser Authentifizierung festlegen. Die grenzüberschreitende Authentifizierung sollte gebührenfrei sein, wenn sie in Bezug auf einen Online-Dienst erfolgt, der von einer öffentlichen Stelle erbracht wird.

Die Mitgliedstaaten machen vertrauenden Beteiligten, die eine solche Authentifizierung durchführen möchten, keine spezifischen unverhältnismäßigen technischen Vorgaben, wenn derartige Vorgaben die Interoperabilität der notifizierten elektronischen Identifizierungssysteme verhindern oder erheblich beeinträchtigen.

Der notifizierende Mitgliedstaat stellt den anderen Mitgliedstaaten für die Zwecke der Verpflichtung nach Artikel 12 Absatz 5 mindestens sechs Monate vor einer Notifizierung gemäß Artikel 9 Absatz 1 nach den in den Durchführungsrechtsakten gemäß Artikel 12 Absatz 7 genannten Verfahrensmodalitäten eine Beschreibung dieses Systems zur Verfügung.

h)	Das elektronische Identifizierungssystem erfüllt die Anforderungen des in Artikel 12 Absatz 8 genannten Durchführungsrechtsakts.

Artikel 9

Notifizierung

(1) Der notifizierende Mitgliedstaat notifiziert der Kommission folgende Informationen und unverzüglich alle späteren Änderungen dieser Informationen:

a)	eine Beschreibung des elektronischen Identifizierungssystems einschließlich seiner Sicherheitsniveaus und des Ausstellers bzw. der Aussteller elektronischer Identifizierungsmittel im Rahmen des Systems;

das geltende Aufsichtssystem und Informationen über die Haftungsregelung in Bezug auf Folgendes:

i)	den das elektronische Identifizierungsmittel ausstellenden Beteiligten;

ii)	den das Authentifizierungsverfahren durchführenden Beteiligten;

c)	die für das elektronische Identifizierungssystem zuständige(n) Behörde(n);

d)	Informationen über die Einrichtung bzw. Einrichtungen, die die Registrierung der eindeutigen Personenidentifizierungsdaten verwaltet bzw. verwalten;

e)	eine Beschreibung, inwieweit die Anforderungen des in Artikel 12 Absatz 8 genannten Durchführungsrechtsakts erfüllt werden;

f)	eine Beschreibung der Authentifizierung gemäß Artikel 7 Buchstabe f;

g)	Regelungen für die Aussetzung oder den Widerruf des notifizierten elektronischen Identifizierungssystems oder der Authentifizierung oder von den betroffenen beeinträchtigten Teilen.

(2) Ein Jahr nach dem Zeitpunkt des Beginns der Anwendung der Durchführungsrechtsakte gemäß Artikel 8 Absatz 3 und Artikel 12 Absatz 8 veröffentlicht die Kommission im Amtsblatt der Europäischen Union eine Liste der gemäß Absatz 1 dieses Artikels notifizierten elektronischen Identifizierungssysteme und die grundlegenden Informationen darüber.

(3) Geht der Kommission nach Ablauf der in Absatz 2 genannten Frist eine Notifizierung zu, so veröffentlicht sie die Änderungen an der in Absatz 2 genannten Liste innerhalb von zwei Monaten ab dem Zeitpunkt des Eingangs dieser Notifizierung im Amtsblatt der Europäischen Union.

(4) Ein Mitgliedstaat kann bei der Kommission die Streichung eines von diesem Mitgliedstaat notifizierten Identifizierungssystems aus der in Absatz 2 genannten Liste beantragen. Die Kommission veröffentlicht im Amtsblatt der Europäischen Union die entsprechenden Änderungen der Liste innerhalb eines Monats ab dem Zeitpunkt, zu dem das Ersuchen des Mitgliedstaats eingegangen ist.

(5) Die Kommission kann im Wege von Durchführungsrechtsakten Einzelheiten, Form und Verfahren für die Notifizierung nach Absatz 1 festlegen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 13

Haftung und Beweislast

(1) Unbeschadet des Absatzes 2 haften Vertrauensdiensteanbieter für alle natürlichen oder juristischen Personen vorsätzlich oder fahrlässig zugefügten Schäden, die auf eine Verletzung der in dieser Verordnung festgelegten Pflichten zurückzuführen sind.

Die Beweislast für den Nachweis des Vorsatzes oder der Fahrlässigkeit seitens eines nichtqualifizierten Vertrauensdiensteanbieters liegt bei der natürlichen oder juristischen Person, die den in Unterabsatz 1 genannten Schaden geltend macht.

Bei einem qualifizierten Vertrauensdiensteanbieter wird von Vorsatz oder Fahrlässigkeit ausgegangen, es sei denn, der qualifizierte Vertrauensdiensteanbieter weist nach, dass der in Unterabsatz 1 genannte Schaden entstanden ist, ohne dass er vorsätzlich oder fahrlässig gehandelt hat.

(2) Unterrichten Vertrauensdiensteanbieter ihre Kunden im Voraus hinreichend über Beschränkungen der Verwendung der von ihnen erbrachten Dienste und sind diese Beschränkungen für dritte Beteiligte ersichtlich, so haften die Vertrauensdiensteanbieter nicht für Schäden, die bei einer über diese Beschränkungen hinausgehenden Verwendung der Dienste entstanden sind.

(3) Die Absätze 1 und 2 werden im Einklang mit den nationalen Vorschriften über die Haftung angewendet.

Artikel 17

Aufsichtsstelle

(1) Die Mitgliedstaaten benennen eine Aufsichtsstelle, die in ihrem Hoheitsgebiet niedergelassen ist oder die aufgrund einer gegenseitigen Vereinbarung mit einem anderen Mitgliedstaat in diesem anderen Mitgliedstaat niedergelassen ist. Diese Aufsichtsstelle ist für die Wahrnehmung der Aufsichtsaufgaben im benennenden Mitgliedstaat verantwortlich.

Die Aufsichtsstellen verfügen über die für die Wahrnehmung ihrer Aufgaben notwendigen Befugnisse und eine angemessene Ausstattung mit Ressourcen.

(2) Die Mitgliedstaaten teilen der Kommission und den anderen Mitgliedstaaten Namen und Anschrift ihrer jeweiligen benannten Aufsichtsstellen mit.

(3) Die Aufsichtsstelle nimmt folgende Funktionen wahr:

Ausübung der Aufsicht über die im Hoheitsgebiet des benennenden Mitgliedstaats niedergelassenen qualifizierten Vertrauensdiensteanbieter mit dem Ziel, im Wege von Ex-ante- und Ex-post-Aufsichtstätigkeiten zu gewährleisten, dass diese qualifizierten Vertrauensdiensteanbieter und die von ihnen erbrachten qualifizierten Vertrauensdienste den Anforderungen dieser Verordnung entsprechen;

erforderlichenfalls Durchführung von Maßnahmen im Wege von Ex-post-Aufsichtstätigkeiten in Bezug auf die im Hoheitsgebiet des benennenden Mitgliedstaats niedergelassenen nichtqualifizierten Vertrauensdiensteanbieter, wenn sie Kenntnis davon erhalten, dass diese nichtqualifizierten Vertrauensdiensteanbieter oder die von ihnen erbrachten Vertrauensdienste die Anforderungen dieser Verordnung mutmaßlich nicht erfüllen.

(4) Für die Zwecke des Absatzes 3 und im Rahmen der dort vorgegebenen Beschränkungen umfassen die Aufgaben der Aufsichtsstelle insbesondere Folgendes:

a)	Zusammenarbeit mit anderen Aufsichtsstellen und Unterstützung dieser Stellen gemäß Artikel 18;

b)	Analyse der Konformitätsbewertungsberichte gemäß Artikel 20 Absatz 1 und Artikel 21 Absatz 1;

c)	Unterrichtung der anderen Aufsichtsstellen und der Öffentlichkeit über Sicherheitsverletzungen oder Integritätsverluste gemäß Artikel 19 Absatz 2;

d)	Berichterstattung an die Kommission über ihre Haupttätigkeiten gemäß Absatz 6;

e)	Durchführung von Überprüfungen oder Beauftragung einer Konformitätsbewertungsstelle mit der Durchführung einer Konformitätsbewertung der qualifizierten Vertrauensdiensteanbieter gemäß Artikel 20 Absatz 2;

f)	Zusammenarbeit mit den Datenschutzbehörden, insbesondere indem sie diese unverzüglich über die Ergebnisse der Überprüfungen von qualifizierten Vertrauensdiensteanbietern unterrichtet, falls dem Anschein nach gegen Datenschutzvorschriften verstoßen wurde;

g)	Verleihung des Qualifikationsstatus an Vertrauensdiensteanbieter und die von ihnen erbrachten Dienste sowie Entzug dieses Status gemäß den Artikeln 20 und 21;

h)	Unterrichtung der in Artikel 22 Absatz 3 genannten, für die nationale Vertrauensliste verantwortlichen Stelle über ihre Entscheidung, den Qualifikationsstatus zu verleihen oder zu entziehen, soweit es sich dabei nicht um die Aufsichtsstelle selbst handelt;

Überprüfung des Vorliegens und der ordnungsgemäßen Anwendung von Vorschriften über Beendigungspläne für den Fall, dass der Vertrauensdiensteanbieter seine Tätigkeit einstellt, wobei auch die Frage, wie die Informationen gemäß Artikel 24 Absatz 2 Buchstabe h weiter zugänglich gehalten werden, geprüft wird;

j)	Verpflichtung der Vertrauensdiensteanbieter, bei jedem Fall von Nichteinhaltung der Anforderungen dieser Verordnung Abhilfe zu schaffen.

(5) Die Mitgliedstaaten können verlangen, dass die Aufsichtsstelle nach Maßgabe des nationalen Rechts eine Vertrauensinfrastruktur einrichtet, unterhält und aktualisiert.

(6) Bis zum 31. März jedes Jahres legt jede Aufsichtsstelle der Kommission einen Bericht über ihre Haupttätigkeiten im abgelaufenen Kalenderjahr zusammen mit einer Zusammenfassung der von den Vertrauensdiensteanbietern gemäß Artikel 19 Absatz 2 gemeldeten Sicherheitsverletzungen vor.

(7) Die Kommission macht den Mitgliedstaaten den in Absatz 6 genannten Jahresbericht zugänglich.

(8) Die Kommission kann im Wege von Durchführungsrechtsakten Form und Verfahren für die Berichterstattung nach Absatz 6 festlegen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 18

Gegenseitige Amtshilfe

(1) Die Aufsichtsstellen arbeiten im Hinblick auf den Austausch bewährter Verfahren zusammen.

Eine Aufsichtsstelle leistet einer anderen Aufsichtsstelle nach Empfang eines begründeten Ersuchens hin Unterstützung, so dass die Tätigkeiten von Aufsichtsstellen kohärent ausgeübt werden können. Die Amtshilfe kann sich insbesondere auf Auskunftsersuchen und Aufsichtsmaßnahmen, beispielsweise Ersuchen um Nachprüfungen im Zusammenhang mit den Konformitätsbewertungsberichten gemäß den Artikeln 20 und 21 erstrecken.

(2) Die Aufsichtsstelle, an die ein Amtshilfeersuchen gerichtet wird, kann dieses Ersuchen aus einem der folgenden Gründe ablehnen:

a)	Die Aufsichtsstelle ist für die Gewährung der erbetenen Unterstützung nicht zuständig;

b)	die erbetene Unterstützung steht in keinem angemessenen Verhältnis zu den gemäß Artikel 17 durchgeführten Aufsichtstätigkeiten der Aufsichtsstelle;

c)	die Gewährung der erbetenen Unterstützung wäre nicht vereinbar mit dieser Verordnung.

(3) Gegebenenfalls können die Mitgliedstaaten ihre jeweiligen Aufsichtsstellen ermächtigen, gemeinsame Untersuchungen durchzuführen, an denen Mitarbeiter der Aufsichtsstellen anderer Mitgliedstaaten teilnehmen. Die Vorkehrungen und Verfahren für derartige gemeinsame Maßnahmen werden von den betreffenden Mitgliedstaaten nach Maßgabe ihres jeweiligen nationalen Rechts vereinbart und festgelegt.

Artikel 20

Beaufsichtigung qualifizierter Vertrauensdiensteanbieter

(1) Qualifizierte Vertrauensdiensteanbieter werden mindestens alle 24 Monate auf eigene Kosten von einer Konformitätsbewertungsstelle geprüft. Zweck dieser Prüfung ist es nachzuweisen, dass sie und die von ihnen erbrachten qualifizierten Vertrauensdienste die in dieser Verordnung festgelegten Anforderungen erfüllen. Die qualifizierten Vertrauensdiensteanbieter legen der Aufsichtsstelle den entsprechenden Konformitätsbewertungsbericht innerhalb von drei Arbeitstagen nach Empfang vor.

(2) Unbeschadet des Absatzes 1 kann die Aufsichtsstelle jederzeit eine Überprüfung vornehmen oder eine Konformitätsbewertungsstelle um eine Konformitätsbewertung der qualifizierten Vertrauensdiensteanbieter — auf Kosten dieser Vertrauensdiensteanbieter — ersuchen, um nachzuweisen, dass sie und die von ihnen erbrachten qualifizierten Vertrauensdienste die in dieser Verordnung festgelegten Anforderungen erfüllen. Ist dem Anschein nach gegen Vorschriften zum Schutz personenbezogener Daten verstoßen worden, so unterrichtet die Aufsichtsstelle die Datenschutzbehörden über die Ergebnisse ihrer Überprüfungen.

(3) Verlangt die Aufsichtsstelle vom qualifizierten Vertrauensdiensteanbieter, bei Nichteinhaltung der Anforderungen nach dieser Verordnung für Abhilfe zu sorgen und kommt dieser Anbieter dieser Aufforderung — und gegebenenfalls innerhalb einer von der Aufsichtsstelle gestellten Frist — nicht nach, so kann die Aufsichtsstelle unter Berücksichtigung insbesondere der Tragweite, der Dauer und der Auswirkungen der Nichteinhaltung dem Anbieter oder dem betreffenden von ihm erbrachten Dienst den Qualifikationsstatus entziehen und die in Artikel 22 Absatz 3 genannte Stelle unterrichten, damit die in Artikel 22 Absatz 1 genannte Vertrauensliste entsprechend aktualisiert wird. Die Aufsichtsstelle unterrichtet den qualifizierten Vertrauensdiensteanbieter darüber, dass ihm oder dem betreffenden Dienst der Qualifikationsstatus entzogen wurde.

(4) Die Kommission kann im Wege von Durchführungsrechtsakten Kennnummern für die folgenden Normen festlegen:

a)	die Akkreditierung der Konformitätsbewertungsstellen und für den in Absatz 1 genannten Konformitätsbewertungsbericht;

b)	die Überprüfungsvorschriften, gemäß denen Konformitätsbewertungsstellen ihre Konformitätsbewertung der qualifizierten Vertrauensdiensteanbieter im Sinne von Absatz 1 durchführen.

Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 21

Beginn der Erbringung qualifizierter Vertrauensdienste

(1) Wenn Vertrauensdiensteanbieter ohne Qualifikationsstatus beabsichtigen, die Erbringung qualifizierter Vertrauensdienste aufzunehmen, legen sie der Aufsichtsstelle eine Mitteilung über ihre Absicht zusammen mit einem von einer Konformitätsbewertungsstelle ausgestellten Konformitätsbewertungsbericht vor.

(2) Die Aufsichtsstelle überprüft, ob der Vertrauensdiensteanbieter und die von ihm erbrachten Vertrauensdienste den in dieser Verordnung festgelegten Anforderungen genügen, insbesondere hinsichtlich der Anforderungen an qualifizierte Vertrauensdiensteanbieter und an die von ihnen erbrachten qualifizierten Vertrauensdienste.

Gelangt die Aufsichtsstelle zu dem Schluss, dass der Vertrauensdiensteanbieter und die von ihm erbrachten Vertrauensdienste den Anforderungen des Unterabsatzes 1 entsprechen, so verleiht sie dem Vertrauensdiensteanbieter und den von ihm erbrachten Vertrauensdiensten den Qualifikationsstatus und unterrichtet die in Artikel 22 Absatz 3 genannte Stelle, damit die in Artikel 22 Absatz 1 genannten Vertrauenslisten entsprechend aktualisiert werden; dies erfolgt spätestens drei Monate nach der Mitteilung gemäß Absatz 1 dieses Artikels.

Wird die Überprüfung nicht innerhalb von drei Monaten nach der Mitteilung abgeschlossen, so unterrichtet die Aufsichtsstelle den Vertrauensdiensteanbieter hierüber unter Angabe der Gründe für die Verzögerung und der Frist, innerhalb deren die Überprüfung abzuschließen ist.

(3) Qualifizierte Vertrauensdiensteanbieter können mit der Erbringung des qualifizierten Vertrauensdienstes beginnen, nachdem der qualifizierte Status in den in Artikel 22 Absatz 1 genannten Vertrauenslisten ausgewiesen wurde.

(4) Die Kommission kann im Wege von Durchführungsrechtsakten Form und Verfahren für die Zwecke der Absätze 1 und 2 festlegen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 22

Vertrauenslisten

(1) Jeder Mitgliedstaat sorgt für die Aufstellung, Führung und Veröffentlichung von Vertrauenslisten, die Angaben zu den qualifizierten Vertrauensdiensteanbietern, für die er verantwortlich ist, und den von ihnen erbrachten qualifizierten Vertrauensdiensten, umfassen.

(2) Die Mitgliedstaaten erstellen, führen und veröffentlichen auf gesicherte Weise elektronisch unterzeichnete oder besiegelte Vertrauenslisten gemäß Absatz 1 in einer für eine automatisierte Verarbeitung geeigneten Form.

(3) Die Mitgliedstaaten übermitteln der Kommission unverzüglich Informationen über die für die Erstellung, Führung und Veröffentlichung der nationalen Vertrauenslisten verantwortlichen Stellen, den Ort der Veröffentlichung der Listen, die zur Unterzeichnung oder Besiegelung der Vertrauenslisten verwendeten Zertifikate und alle etwaigen Änderungen dieser Informationen.

(4) Die Kommission macht die Informationen nach Absatz 3 auf sichere Weise und elektronisch unterzeichnet oder besiegelt in einer für eine automatisierte Verarbeitung geeigneten Form öffentlich zugänglich.

(5) Bis 18. September 2015 präzisiert die Kommission im Wege von Durchführungsrechtsakten die Angaben gemäß Absatz 1 und legt die technischen Spezifikationen und die Form der Vertrauenslisten für die Zwecke der Absätze 1 bis 4 fest. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 24

Anforderungen an qualifizierte Vertrauensdiensteanbieter

(1) Bei der Ausstellung eines qualifizierten Zertifikats für einen Vertrauensdienst überprüft der qualifizierte Vertrauensdiensteanbieter anhand geeigneter Mittel und im Einklang mit dem jeweiligen nationalen Recht die Identität und gegebenenfalls die spezifischen Attribute der natürlichen oder juristischen Person, der das qualifizierte Zertifikat ausgestellt wird.

Die Informationen nach Unterabsatz 1 werden vom qualifizierten Vertrauensdiensteanbieter im Einklang mit dem nationalen Recht entweder unmittelbar oder unter Rückgriff auf einen Dritten wie folgt überprüft:

a)	durch persönliche Anwesenheit der natürlichen Person oder eines bevollmächtigten Vertreters der juristischen Person oder

aus der Ferne mittels elektronischer Identifizierungsmittel, für die vor der Ausstellung des qualifizierten Zertifikats eine persönliche Anwesenheit der natürlichen Person oder eines bevollmächtigten Vertreters der juristischen Person gewährleistet war und die die Anforderungen gemäß Artikel 8 hinsichtlich der Sicherheitsniveaus „substanziell“ oder „hoch“ erfüllen, oder

c)	durch ein Zertifikat einer qualifizierten elektronischen Signatur oder eines qualifizierten elektronischen Siegels, das gemäß Buchstabe a oder b ausgestellt wurde, oder

d)	durch sonstige Identifizierungsmethoden, die auf nationaler Ebene anerkannt sind und gleichwertige Sicherheit hinsichtlich der Verlässlichkeit bei der persönlichen Anwesenheit bieten. Die gleichwertige Sicherheit muss von einer Konformitätsbewertungsstelle bestätigt werden.

(2) Für qualifizierte Vertrauensdiensteanbieter, die qualifizierte Vertrauensdienste erbringen, gilt Folgendes:

a)	Sie unterrichten die Aufsichtsstelle über alle Änderungen bei der Erbringung ihrer qualifizierten Vertrauensdienste und eine beabsichtigte Einstellung dieser Tätigkeiten.

Sie beschäftigen Personal und gegebenenfalls Unterauftragnehmer, das bzw. die über das erforderliche Fachwissen, die erforderliche Zuverlässigkeit, die erforderliche Erfahrung und die erforderlichen Qualifikationen verfügt bzw. verfügen, in Bezug auf die Vorschriften für die Sicherheit und den Schutz personenbezogener Daten angemessen geschult worden ist und Verwaltungs- und Managementverfahren anwendet, die den anerkannten europäischen oder internationalen Normen entsprechen.

c)	Sie verfügen in Bezug auf das Haftungsrisiko für Schäden gemäß Artikel 13 über ausreichende Finanzmittel und/oder schließen eine angemessene Haftpflichtversicherung nach nationalem Recht ab.

d)	Sie unterrichten Personen, die einen qualifizierten Vertrauensdienst nutzen wollen, klar und umfassend über die genauen Bedingungen für die Nutzung des Dienstes, einschließlich Nutzungsbeschränkungen, bevor sie vertragliche Beziehungen zu dieser Person eingehen.

e)	Sie verwenden vertrauenswürdige Systeme und Produkte, die vor Veränderungen geschützt sind und die technische Sicherheit und Zuverlässigkeit der von ihnen unterstützten Prozesse sicherstellen.

Sie verwenden vertrauenswürdige Systeme für die Speicherung der ihnen übermittelten Daten in einer überprüfbaren Form, so dass

i)	diese nur mit Zustimmung der Person, auf die sich die Daten beziehen, öffentlich abrufbar sind,

ii)	nur befugte Personen Daten eingeben und gespeicherte Daten ändern können,

iii)	die Daten auf ihre Echtheit hin überprüft werden können.

g)	Sie ergreifen geeignete Maßnahmen gegen Fälschung und Diebstahl von Daten.

Sie zeichnen alle einschlägigen Informationen über die von dem qualifizierten Vertrauensdiensteanbieter ausgegebenen und empfangenen Daten auf und bewahren sie so auf, dass sie über einen angemessenen Zeitraum, auch über den Zeitpunkt der Einstellung der Tätigkeit des qualifizierten Vertrauensdiensteanbieters hinaus, verfügbar sind, um insbesondere bei Gerichtsverfahren entsprechende Beweise liefern zu können und die Kontinuität des Dienstes sicherzustellen. Die Aufzeichnung kann in elektronischer Form erfolgen.

i)	Sie verfügen über einen fortlaufend aktualisierten Beendigungsplan, um die Dienstleistungskontinuität nach den von der Aufsichtsstelle gemäß Artikel 17 Absatz 4 Buchstabe i geprüften Vorgaben sicherzustellen.

j)	Sie stellen eine rechtmäßige Verarbeitung personenbezogener Daten gemäß der Richtlinie 95/46/EG sicher.

k)	Sie erstellen im Falle qualifizierter Vertrauensdiensteanbieter, die qualifizierte Zertifikate ausstellen, eine Zertifikatsdatenbank und halten sie auf dem neuesten Stand.

(3) Beschließt ein qualifizierter Vertrauensdiensteanbieter, der qualifizierte Zertifikate ausstellt, ein Zertifikat zu widerrufen, so registriert er den Widerruf in seiner Zertifikatsdatenbank und veröffentlicht den Widerrufsstatus des Zertifikats zeitnah und in jedem Fall innerhalb von 24 Stunden nach Erhalt des Ersuchens. Der Widerruf wird sofort nach seiner Veröffentlichung wirksam.

(4) Im Zusammenhang mit Absatz 3 stellen qualifizierte Vertrauensdiensteanbieter, die qualifizierte Zertifikate ausstellen, den vertrauenden Beteiligten Informationen über den Gültigkeits- oder Widerrufsstatus der von ihnen ausgestellten qualifizierten Zertifikate zur Verfügung. Diese Informationen werden zumindest auf Zertifikatsbasis jederzeit und über die Gültigkeitsdauer des Zertifikats hinaus automatisch auf zuverlässige, kostenlose und effiziente Weise bereitgestellt.

(5) Die Kommission kann im Wege von Durchführungsrechtsakten Kennnummern für Normen für vertrauenswürdige Systeme und Produkte festlegen, die die Anforderungen nach Absatz 2 Buchstaben e und f dieses Artikels erfüllen. Bei vertrauenswürdigen Systemen und Produkten, die diesen Normen entsprechen, wird davon ausgegangen, dass sie die Anforderungen dieses Artikels erfüllen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

ABSCHNITT 4

Elektronische_Signaturen

Artikel 27

Elektronische_Signaturen in öffentlichen Diensten

(1) Verlangt ein Mitgliedstaat für die Verwendung in einem Online-Dienst, der von einer öffentlichen Stelle oder im Namen einer öffentlichen Stelle angeboten wird, eine fortgeschrittene elektronische Signatur, so erkennt dieser Mitgliedstaat fortgeschrittene elektronische Signaturen, fortgeschrittene elektronische Signaturen, die auf einem qualifizierten Zertifikat_für_elektronische_Signaturen beruhen, und qualifizierte elektronische Signaturen zumindest in den Formaten oder unter Verwendung der Verfahren an, die in den Durchführungsrechtsakten nach Absatz 5 festgelegt sind.

(2) Verlangt ein Mitgliedstaat für die Verwendung in einem Online-Dienst, der von einer öffentlichen Stelle oder im Namen einer öffentlichen Stelle angeboten wird, eine fortgeschrittene elektronische Signatur, die auf einem qualifizierten Zertifikat beruht, so erkennt dieser Mitgliedstaat fortgeschrittene elektronische Signaturen, die auf einem qualifizierten Zertifikat beruhen, und qualifizierte elektronische Signaturen zumindest in den Formaten oder unter Verwendung der Verfahren an, die in den Durchführungsrechtsakten nach Absatz 5 festgelegt sind.

(3) Die Mitgliedstaaten verlangen für die grenzüberschreitende Verwendung in einem Online-Dienst, der von einer öffentlichen Stelle angeboten wird, keine elektronische Signatur mit einem höheren Sicherheitsniveau als dem der qualifizierten elektronischen Signatur.

(4) Die Kommission kann im Wege von Durchführungsrechtsakten Kennnummern für Normen für qualifizierte Zertifikate für fortgeschrittene elektronische Signaturen festlegen. Bei fortgeschrittenen elektronischen Signaturen wird davon ausgegangen, dass sie die Anforderungen gemäß den Absätzen 1 und 2 dieses Artikels und Artikel 26 erfüllen, wenn sie diesen Normen entsprechen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

(5) Die Kommission legt bis zum 18. September 2015 im Wege von Durchführungsrechtsakten und unter Berücksichtigung der bestehenden Praxis sowie bestehender Normen und Unionsrechtsvorschriften Referenzformate für fortgeschrittene elektronische Signaturen oder Referenzverfahren fest, wenn alternative Formate verwendet werden. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 37

Elektronische Siegel in öffentlichen Diensten

(1) Verlangt ein Mitgliedstaat ein fortgeschrittenes elektronisches Siegel für die Verwendung in einem Online-Dienst, der von einer öffentlichen Stelle oder im Namen einer öffentlichen Stelle angeboten wird, so erkennt dieser Mitgliedstaat fortgeschrittene elektronische Siegel, fortgeschrittene elektronische Siegel, die auf einem qualifizierten Zertifikat_für_elektronische_Siegel beruhen, und qualifizierte elektronische Siegel zumindest in den Formaten oder unter Verwendung der Verfahren, die in den Durchführungsrechtsakten nach Absatz 5 festgelegt sind, an.

(2) Verlangt ein Mitgliedstaat für die Verwendung in einem Online-Dienst, der von einer öffentlichen Stelle oder im Namen einer öffentlichen Stelle angeboten wird, ein fortgeschrittenes elektronisches Siegel, das auf einem qualifizierten Zertifikat beruht, so erkennt dieser Mitgliedstaat fortgeschrittene elektronische Siegel, die auf einem qualifizierten Zertifikat beruhen, und qualifizierte elektronische Siegel zumindest in den Formaten oder unter Verwendung der Verfahren, die in den Durchführungsrechtsakten nach Absatz 5 festgelegt sind, an.

(3) Die Mitgliedstaaten verlangen für die grenzüberschreitende Verwendung in einem Online-Dienst, der von einer öffentlichen Stelle angeboten wird, kein elektronisches Siegel mit einem höheren Sicherheitsniveau als dem des qualifizierten elektronischen Siegels.

(4) Die Kommission kann im Wege von Durchführungsrechtsakten Kennnummern für Normen für qualifizierte Zertifikate für fortgeschrittene elektronische Siegel festlegen. Bei fortgeschrittenen elektronischen Siegeln wird davon ausgegangen, dass sie die Anforderungen gemäß den Absätzen 1 und 2 und Artikel 36 erfüllen, wenn sie diesen Normen entsprechen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen. Die Kommission veröffentlicht diese Rechtsakte im Amtsblatt der Europäischen Union.

(5) Die Kommission legt bis zum 18. September 2015 im Wege von Durchführungsrechtsakten und unter Berücksichtigung der bestehenden Praxis sowie der bestehenden Normen und Unionsrechtsakte Durchführungsrechtsakte Referenzformate für fortgeschrittene elektronische Siegel oder Referenzverfahren fest, wenn alternative Formate verwendet werden. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 43

Rechtswirkung eines Dienstes für die Zustellung elektronischer Einschreiben

(1) Daten, die mittels eines Dienstes für die Zustellung elektronischer Einschreiben abgesendet und empfangen werden, darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegen oder weil die Anforderungen an qualifizierte Dienste für die Zustellung elektronischer Einschreiben nicht erfüllt sind.

(2) Für Daten, die mittels eines qualifizierten Dienstes für die Zustellung elektronischer Einschreiben abgesendet und empfangen werden, gilt die Vermutung der Unversehrtheit der Daten, der Absendung dieser Daten durch den identifizierten Absender und des Empfangs der Daten durch den identifizierten Empfänger und der Korrektheit des Datums und der Uhrzeit der Absendung und des Empfangs, wie sie von dem qualifizierten Dienst_für_die_Zustellung_elektronischer_Einschreiben angegeben werden.

Artikel 47

Ausübung der Befugnisübertragung

(1) Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.

(2) Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 30 Absatz 4 wird der Kommission auf unbestimmte Zeit ab dem 17. September 2014 übertragen.

(3) Die Befugnisübertragung gemäß Artikel 30 Absatz 4 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem darin angegebenen späteren Zeitpunkt wirksam. Die Gültigkeit von delegierten Rechtsakten, die bereits in Kraft sind, wird von dem Beschluss über den Widerruf nicht berührt.

(4) Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.

(5) Ein delegierter Rechtsakt, der gemäß Artikel 30 Absatz 4 erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von zwei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben haben oder wenn vor Ablauf dieser Frist das Europäische Parlament und der Rat beide der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Initiative des Europäischen Parlaments oder des Rates wird diese Frist um zwei Monate verlängert.

Artikel 48

Ausschussverfahren

(1) Die Kommission wird von einem Ausschuss unterstützt. dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.

(2) Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.

KAPITEL VI

SCHLUSSBESTIMMUNGEN

Artikel 49

Überprüfung

Die Kommission überprüft die Anwendung dieser Verordnung und erstattet dem Europäischen Parlament und dem Rat spätestens am 1. Juli 2020 darüber Bericht. Die Kommission bewertet insbesondere, ob es angezeigt ist, den Anwendungsbereich dieser Verordnung oder ihrer spezifischen Bestimmungen einschließlich Artikel 6, Artikel 7 Buchstabe f oder die Artikel 34, 43, 44 und 45 zu ändern, wobei den bei der Anwendung dieser Verordnung gesammelten Erfahrungen sowie den Entwicklungen der Technologie, des Marktes und des Rechts Rechnung getragen wird.

Dem in Absatz 1 genannten Bericht werden gegebenenfalls Gesetzgebungsvorschläge beigefügt.

Ferner legt die Kommission dem Europäischen Parlament und dem Rat alle vier Jahre nach dem in Absatz 1 genannten Bericht einen Bericht über die Fortschritte im Hinblick auf die Verwirklichung der mit dieser Verordnung verfolgten Ziele vor.

Artikel 51

Übergangsmaßnahmen

(1) Sichere Signaturerstellungseinheiten, deren Übereinstimmung mit den Anforderungen gemäß Artikel 3 Absatz 4 der Richtlinie 1999/93/EG festgestellt wurde, gelten als qualifizierte Signaturerstellungseinheiten gemäß dieser Verordnung.

(2) Qualifizierte Zertifikate, die gemäß der Richtlinie 1999/93/EG für natürliche Personen ausgestellt worden sind, gelten bis zu ihrem Ablauf als qualifizierte Zertifikate für elektronische Signaturen gemäß dieser Verordnung.

(3) Ein Zertifizierungsdiensteanbieter, der qualifizierte Zertifikate gemäß der Richtlinie 1999/93/EG ausstellt, legt der Aufsichtsstelle so bald wie möglich, spätestens aber bis zum 1. Juli 2017 einen Konformitätsbewertungsbericht vor. Bis zur Vorlage dieses Konformitätsbewertungsberichts und zum Abschluss der Bewertung des Berichts durch die Aufsichtsstelle gilt dieser Zertifizierungsdiensteanbieter als qualifizierter Vertrauensdiensteanbieter im Sinne dieser Verordnung.

(4) Legt ein Zertifizierungsdiensteanbieter, der qualifizierte Zertifikate gemäß der Richtlinie 1999/93/EG ausstellt, der Aufsichtsstelle innerhalb der in Absatz 3 vorgesehenen Frist keinen Konformitätsbewertungsbericht vor, so gilt dieser Zertifizierungsdiensteanbieter ab dem 2. Juli 2017 nicht mehr als qualifizierter Vertrauensdiensteanbieter im Sinne dieser Verordnung.

whereas

(12) Eines der Ziele dieser Verordnung ist die Beseitigung bestehender Hindernisse bei der grenzüberschreitenden Verwendung elektronischer Identifizierungsmittel, die in den Mitgliedstaaten zumindest die Authentifizierung für öffentliche Dienste ermöglichen.
Diese Verordnung bezweckt keinen Eingriff in die in den Mitgliedstaaten bestehenden elektronischen Identitätsmanagementsysteme und zugehörigen Infrastrukturen.
Sie soll vielmehr sicherstellen, dass beim Zugang zu Online-Diensten, die von den Mitgliedstaaten grenzüberschreitend angeboten werden, eine sichere elektronische Identifizierung und Authentifizierung möglich ist.

- = -

(16) Sicherheitsniveaus sollten den Grad der Vertrauenswürdigkeit eines elektronischen Identifizierungsmittels hinsichtlich der Feststellung der Identität einer Person beschreiben und damit Gewissheit schaffen, dass es sich bei der Person, die eine bestimmte Identität beansprucht, tatsächlich um die Person handelt, der diese Identität zugewiesen wurde.
Das Sicherheitsniveau hängt vom Grad der Vertrauenswürdigkeit ab, den das elektronische Identifizierungsmittel hinsichtlich der beanspruchten oder behaupteten Identität einer Person gewährleistet, wobei Prozesse (beispielsweise Identitätsnachweis und -überprüfung, Authentifizierung), Verwaltungstätigkeiten (beispielsweise die elektronische Identifizierungsmittel ausstellende Einrichtung, Verfahren zur Ausstellung dieser Mittel) und durchgeführte technische Überprüfungen berücksichtigt werden.
Es existiert eine Reihe technischer Definitionen und Beschreibungen von Sicherheitsniveaus als Ergebnis der von der Union finanzierter Großpilotprojekte, der Normung und internationaler Tätigkeiten.
Insbesondere das Großpilotprojekt STORK und die ISO-Norm 29115 beziehen sich unter anderem auf die Niveaus 2, 3 und 4, die so weit wie möglich bei der Festlegung technischer Mindestanforderungen, Normen und Verfahren für die Sicherheitsniveaus „niedrig“, „substanziell“ und „hoch“ im Sinne dieser Verordnung berücksichtigt werden sollten, wobei die kohärente Anwendung dieser Verordnung — insbesondere hinsichtlich des Sicherheitsniveaus „hoch“ in Bezug auf den Identitätsnachweis für die Ausstellung qualifizierter Zertifikate — sichergestellt werden sollte.
Die festgelegten Anforderungen sollten technologieneutral sein.
Es sollte möglich sein, die erforderlichen Sicherheitsanforderungen durch verschiedene Technologien zu erreichen.

- = -

(18) Diese Verordnung sollte die Haftung des notifizierenden Mitgliedstaats, des das elektronische Identifizierungsmittel ausstellenden Beteiligten und des das Authentifizierungsverfahren durchführenden Beteiligten für die Nichteinhaltung der einschlägigen Pflichten aus dieser Verordnung regeln.
Sie sollte jedoch im Einklang mit den nationalen Vorschriften über die Haftung angewendet werden.
Daher berührt sie diese nationalen Vorschriften nicht, soweit es etwa um den Schadensbegriff oder die einschlägigen geltende Verfahrensvorschriften — einschließlich der Bestimmungen über die Beweislast — geht.

- = -

(20) Die Zusammenarbeit der Mitgliedstaaten sollte die technische Interoperabilität der notifizierten elektronischen Identifizierungssysteme im Hinblick auf die Förderung eines hohen Maßes an Vertrauen und Sicherheit erleichtern, das der Höhe des Risikos angemessen ist.
Der Informationsaustausch und der Austausch bewährter Verfahren zwischen den Mitgliedstaaten im Hinblick auf ihre gegenseitige Anerkennung sollten bei dieser Zusammenarbeit hilfreich sein.

- = -

(21) Ferner sollte diese Verordnung einen allgemeinen Rechtsrahmen für die Verwendung von Vertrauensdiensten schaffen.
Sie sollte aber keine allgemeine Verpflichtung zu deren Verwendung oder zur Einrichtung eines Zugangspunkts für alle bestehenden Vertrauensdienste einführen.
Insbesondere sollte sie nicht die Erbringung von Vertrauensdiensten erfassen, die ausschließlich innerhalb geschlossener Systeme zwischen einem bestimmten Kreis von Beteiligten verwendet werden und keine Wirkung auf Dritte entfalten.
So sollten beispielsweise die in Unternehmen oder Behördenverwaltungen eingerichteten Systeme zur Verwaltung interner Verfahren, bei denen Vertrauensdienste verwendet werden, nicht den Anforderungen dieser Verordnung unterliegen.
Nur der Öffentlichkeit erbrachte Vertrauensdienste mit Wirkung gegenüber Dritten sollten den in dieser Verordnung festgelegten Anforderungen unterliegen.
Ferner sollte diese Verordnung keine Aspekte im Zusammenhang mit dem Abschluss und der Gültigkeit von Verträgen oder anderen rechtlichen Verpflichtungen behandeln, für die nach nationalem Recht oder Unionsrecht Formvorschriften zu erfüllen sind.
Unberührt bleiben sollten ferner auch nationale Formvorschriften für öffentliche Register, insbesondere das Handelsregister und das Grundbuch.

- = -

(22) Um ihre allgemeine grenzüberschreitende Verwendung zu fördern, sollte es in allen Mitgliedstaaten möglich sein, Vertrauensdienste in Gerichtsverfahren als Beweismittel zu verwenden.
Die Rechtswirkung von Vertrauensdiensten ist jedoch durch nationales Recht festzulegen, sofern in dieser Verordnung nichts anderes bestimmt ist.

- = -

(24) Die Mitgliedstaaten können nationale Vorschriften für Vertrauensdienste im Einklang mit dem Unionsrecht beibehalten oder einführen, soweit diese Dienste durch die vorliegende Verordnung nicht vollständig harmonisiert sind.
Vertrauensdienste, die dieser Verordnung entsprechen, sollten jedoch im Binnenmarkt frei verkehren können.

- = -

(25) Den Mitgliedstaaten sollte es freistehen, auch andere Arten von Vertrauensdiensten zusätzlich zu jenen festzulegen, die auf der in dieser Verordnung vorgesehenen abschließenden Liste der Vertrauensdienste stehen, um diese auf nationaler Ebene als qualifizierte Vertrauensdienste anzuerkennen.

- = -

(27) Diese Verordnung sollte technologieneutral sein.
Die von ihr ausgehenden Rechtswirkungen sollten mit allen technischen Mitteln erreicht werden können, sofern dadurch die Anforderungen dieser Verordnung erfüllt werden.

- = -

(30) Die Mitgliedstaaten sollten eine oder mehrere Aufsichtsstellen zur Wahrnehmung der Aufsichtsaufgaben im Rahmen dieser Verordnung benennen.
Ein Mitgliedstaat sollte auch aufgrund einer gegenseitigen Vereinbarung mit einem anderen Mitgliedstaat beschließen können, eine Aufsichtsstelle im Hoheitsgebiet dieses anderen Mitgliedstaats zu benennen.

- = -

(34) Alle Mitgliedstaaten sollten gemeinsame wesentliche Anforderungen an die Aufsicht beachten, damit bei qualifizierten Vertrauensdiensten überall ein vergleichbares Sicherheitsniveau besteht.
Um die einheitliche Anwendung dieser Anforderungen in der gesamten Union zu erleichtern, sollten die Mitgliedstaaten vergleichbare Verfahren schaffen und Informationen über ihre Aufsichtstätigkeit und bewährte Verfahren auf diesem Gebiet austauschen.

- = -

(35) Alle Vertrauensdiensteanbieter sollten — insbesondere in Bezug auf Sicherheit und Haftung — den Anforderungen dieser Verordnung unterliegen, um die gebotene Sorgfalt, Transparenz und Zurechenbarkeit ihrer Tätigkeiten und Dienste zu gewährleisten.
Abhängig von der Art der von den Vertrauensdiensteanbietern erbrachten Vertrauensdienste ist es jedoch angemessen im Hinblick auf diese Anforderungen zwischen qualifizierten und nichtqualifizierten Vertrauensdiensteanbietern zu unterscheiden.

- = -

(37) Diese Verordnung sollte die Haftung aller Vertrauensdiensteanbieter vorsehen.
Insbesondere schafft sie eine Haftungsregelung, in deren Rahmen alle Vertrauensdiensteanbieter für Schäden haften sollen, die einer natürlichen oder juristischen Person aufgrund einer Nichteinhaltung der Verpflichtungen gemäß dieser Verordnung entstehen.
Um die Bewertung des finanziellen Risikos zu erleichtern, das für Vertrauensdiensteanbieter entstehen könnte oder gegen das diese sich versichern sollten, erlaubt diese Verordnung den Vertrauensdiensteanbietern, die Nutzung der von ihnen angebotenen Dienste unter bestimmten Bedingungen zu beschränken und damit eine Haftung für Schäden aus einer darüber hinausgehenden Nutzung auszuschließen.
Die Kunden sollten über die Beschränkungen vorab in angemessener Form unterrichtet werden.
Diese Beschränkungen sollten für eine dritte Partei erkennbar sein, z.
B.
durch einen Hinweis auf die Beschränkungen in den Geschäfts- und Nutzungsbedingungen für den zu erbringenden Dienst oder in anderer erkennbarer Form.
Für die Zwecke der Durchsetzung dieser Grundsätze sollte diese Verordnung im Einklang mit den nationalen Vorschriften über die Haftung angewendet werden.
Diese nationalen Vorschriften, zum Beispiel was die Definition von Schäden, Vorsatz oder Fahrlässigkeit angeht, und die diesbezüglich geltenden Verfahrensvorschriften bleiben daher durch diese Verordnung unberührt.

- = -

(43) Um sicherzustellen, dass die qualifizierten Vertrauensdiensteanbieter und die von ihnen erbrachten Dienste den Anforderungen dieser Verordnung entsprechen, sollte eine Konformitätsbewertung durch eine Konformitätsbewertungsstelle durchgeführt werden, und die entsprechenden Konformitätsbewertungsberichte sollten der Aufsichtsstelle durch die qualifizierten Vertrauensdiensteanbieter vorgelegt werden.
Wann immer die Aufsichtsstelle von einem qualifizierten Vertrauensdiensteanbieter verlangt, einen Ad-hoc-Konformitätsbewertungsbericht vorzulegen, sollte sie dabei insbesondere den Grundsätzen guter Verwaltungspraxis — einschließlich der Pflicht, ihre Entscheidungen zu begründen — und dem Grundsatz der Verhältnismäßigkeit Rechnung tragen.
Die Aufsichtsstelle sollte daher ihre Entscheidung, eine Ad-hoc-Konformitätsbewertung zu verlangen, gebührend begründen.

- = -

(44) Mit dieser Verordnung soll ein kohärenter Rahmen geschaffen werden, der ein hohes Maß an Sicherheit und Rechtssicherheit der Vertrauensdienste gewährleistet.
Mit Blick darauf sollte die Kommission bei der Ausgestaltung der Konformitätsbewertung von Produkten und Diensten gegebenenfalls Synergien mit bestehenden einschlägigen europäischen und internationalen Systemen wie etwa der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates (9) über die Vorschriften für die Akkreditierung von Konformitätsbewertungsstellen und Marktüberwachung von Produkten anstreben.

- = -

(47) Das Vertrauen in Online-Dienste und ihre Benutzerfreundlichkeit sind entscheidend dafür, dass Anwender elektronische Dienste in vollem Umfang nutzen und sich auf solche Dienste bewusst verlassen.
Es sollte daher ein EU-Vertrauenssiegel zur Kennzeichnung qualifizierter Vertrauensdienste, die von qualifizierten Vertrauensdiensteanbietern erbracht werden, eingeführt werden.
Mit einem EU-Vertrauenssiegel würden qualifizierte Vertrauensdienste eindeutig von anderen Vertrauensdiensten unterschieden, wodurch ein Beitrag zur Markttransparenz geleistet würde.
Die Verwendung eines EU-Vertrauenssiegels durch qualifizierte Vertrauensdiensteanbieter sollte freiwillig sein und sollte zu keiner anderen Verpflichtung als den in dieser Verordnung bereits vorgesehenen Verpflichtungen führen.

- = -

(49) Diese Verordnung sollte den Grundsatz festlegen, dass einer elektronischen Signatur die Rechtswirkung nicht deshalb abgesprochen werden darf, weil sie in elektronischer Form vorliegt oder nicht alle Anforderungen einer qualifizierten elektronischen Signatur erfüllt.
Die Rechtswirkung elektronischer Signaturen in den Mitgliedstaaten sollte jedoch durch nationales Recht festgelegt werden, außer hinsichtlich der in dieser Verordnung festgelegten Anforderungen, dass eine qualifizierte elektronische Signatur die gleiche Rechtswirkung wie eine handschriftliche Unterschrift haben sollte.

- = -

(52) Die Erstellung elektronischer Fernsignaturen in einer von einem Vertrauensdiensteanbieter im Namen des Unterzeichners geführten Umgebung soll aufgrund der vielfältigen damit verbundenen wirtschaftlichen Vorteile ausgebaut werden.
Damit elektronische Fernsignaturen tatsächlich rechtlich in gleicher Weise anerkannt werden können wie elektronische Signaturen, die vollständig in der Umgebung des Nutzers erstellt werden, sollten die Anbieter von elektronischen Fernsignaturdiensten jedoch spezielle Verfahren für die Handhabung und Sicherheitsverwaltung mit vertrauenswürdigen Systemen und Produkten anwenden, u.
a.
durch abgesicherte elektronische Kommunikationskanäle, um für eine vertrauenswürdige Umgebung zur Erstellung elektronischer Signaturen zu sorgen und zu gewährleisten, dass diese Umgebung unter alleiniger Kontrolle des Unterzeichners genutzt worden ist.
Für qualifizierte elektronische Signaturen, die mit Einheiten zur Erstellung elektronischer Fernsignaturen erstellt werden, gelten die in dieser Verordnung festgelegten Anforderungen an die Vertrauensdiensteanbieter.

- = -

(53) Die Aussetzung qualifizierter Zertifikate ist in einer Reihe von Mitgliedstaaten etablierte Praxis von Vertrauensdiensteanbietern und unterscheidet sich vom Widerruf; sie führt zum vorübergehenden Verlust der Gültigkeit eines Zertifikats.
Aus Gründen der Rechtssicherheit ist die Aussetzung eines Zertifikats stets deutlich auszuweisen.
Vertrauensdiensteanbieter sollten daher dafür verantwortlich sein, den Status des Zertifikats und, wenn das Zertifikat ausgesetzt ist, den genauen Zeitraum, für den das Zertifikat ausgesetzt wurde, deutlich auszuweisen.
Mit dieser Verordnung sollte Vertrauensdiensteanbietern oder Mitgliedstaaten die Anwendung der Aussetzung nicht auferlegt werden, aber es sollten Transparenzvorschriften vorgesehen werden, wenn eine solche Praxis zur Verfügung steht.

- = -

(54) Die grenzüberschreitende Interoperabilität und Anerkennung qualifizierter Zertifikate ist eine Vorbedingung für die grenzüberschreitende Anerkennung qualifizierter elektronischer Signaturen.
Für qualifizierte Zertifikate sollten daher keine verbindlichen Anforderungen gelten, die über die in dieser Verordnung festgelegten hinausgehen.
Auf nationaler Ebene sollte jedoch die Einbeziehung spezieller Merkmale wie etwa eindeutiger Identifikatoren in qualifizierte Zertifikate zulässig sein, sofern diese Merkmale die grenzüberschreitende Interoperabilität und Anerkennung qualifizierter Zertifikate und qualifizierter elektronischer Signaturen nicht behindern.

- = -

(56) In dieser Verordnung sollten Anforderungen an qualifizierte elektronische Signaturerstellungseinheiten festgelegt werden, mit denen die Funktionalität fortgeschrittener elektronischer Signaturen gewährleistet werden soll.
Diese Verordnung sollte nicht die gesamte Systemumgebung abdecken, in der die Einheit betrieben wird.
Daher sollte sich der Anwendungsbereich der Zertifizierung qualifizierter Signaturerstellungseinheiten nur auf die Hardware und die Systemsoftware erstrecken, die verwendet werden, um die in der Signaturerstellungseinheit erstellten, gespeicherten oder verarbeiteten Signaturerstellungsdaten zu verwalten und zu schützen.
Wie in den einschlägigen Normen angegeben, sollte der Anwendungsbereich der Zertifizierungspflicht Signaturerstellungsanwendungen ausschließen.

- = -

(62) Um die Sicherheit qualifizierter elektronischer Zeitstempel sicherzustellen, sollte diese Verordnung die Verwendung eines fortgeschrittenen elektronischen Siegels oder einer fortgeschrittenen elektronischen Signatur oder anderer gleichwertiger Methoden vorschreiben.
Es ist davon auszugehen, dass im Zuge der Innovation möglicherweise neue Technologien entwickelt werden, die für Zeitstempel ein gleichwertiges Sicherheitsniveau gewährleisten können.
Wann immer eine andere Methode als ein fortgeschrittenes elektronisches Siegel oder eine fortgeschrittene elektronische Signatur verwendet wird, sollte es Sache des qualifizierten Vertrauensdiensteanbieters sein, im Konformitätsbewertungsbericht darzulegen, dass eine solche Methode ein gleichwertiges Sicherheitsniveau gewährleistet und dass sie die in dieser Verordnung festgelegten Verpflichtungen erfüllt.

- = -

(66) Es ist von wesentlicher Bedeutung, dass ein Rechtsrahmen geschaffen wird, um die grenzüberschreitende Anerkennung zwischen den bestehenden nationalen rechtlichen Regelungen in Bezug auf Dienste für die Zustellung elektronischer Einschreiben zu erleichtern.
dieser Rahmen könnte Vertrauensdiensteanbietern der Union außerdem neue Marktchancen eröffnen, denn sie werden europaweit neue Dienste für die Zustellung elektronischer Einschreiben anbieten können.

- = -

(67) Website- Authentifizierungsdienste geben dem Besucher einer Website die Sicherheit, dass hinter der Website eine echte und rechtmäßige Einrichtung steht.
Diese Dienste tragen zur Vertrauensbildung in der Abwicklung des elektronischen Geschäftsverkehrs bei, da die Nutzer einer authentifizierten Website vertrauen werden.
Die Bereitstellung und Nutzung von Website- Authentifizierungsdiensten erfolgt ausschließlich auf freiwilliger Basis.
Damit jedoch die Website- Authentifizierung zu einem Mittel wird, mit dem Vertrauen gestärkt wird, der Benutzer positivere Erfahrungen machen kann und das Wachstum im Binnenmarkt gefördert wird, sollten in dieser Verordnung Mindestanforderungen an Sicherheit und Haftung für die Anbieter und ihre Dienste festgelegt werden.
Mit Blick darauf sind die Ergebnisse bestehender Initiativen unter Federführung der Branche, z.
B.
des Forums der Zertifizierungsstellen und Browser-Anbieter — CA/B-Forum — berücksichtigt worden.
Des Weiteren sollte diese Verordnung weder die Nutzung anderer, nicht unter diese Verordnung fallender Mittel und Methoden zur Website- Authentifizierung behindern, noch die Anbieter von Website- Authentifizierungsdiensten aus Drittländern daran hindern, ihre Dienste für Kunden in der Union zu erbringen.
Die Website- Authentifizierungsdienste eines Anbieters aus einem Drittland sollten allerdings nur dann als qualifiziert im Sinne dieser Verordnung anerkannt werden können, wenn eine internationale Vereinbarung zwischen der Union und dem Land, in dem der Anbieter niedergelassen ist, geschlossen wurde.

- = -

(70) Im Hinblick auf eine flexible und zügige Vervollständigung bestimmter technischer Einzelaspekte dieser Verordnung sollte der Kommission die Befugnis übertragen werden, gemäß Artikel 290 AEUV Rechtsakte in Bezug auf die Kriterien, die die für die Zertifizierung qualifizierter elektronischer Signaturerstellungseinheiten zuständigen Stellen zu erfüllen haben, zu erlassen.
Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeit angemessene Konsultationen, auch auf der Ebene von Sachverständigen, durchführt.
Bei der Vorbereitung und Ausarbeitung delegierter Rechtsakte sollte die Kommission dafür sorgen, dass die einschlägigen Dokumente dem Europäischen Parlament und dem Rat gleichzeitig, rechtzeitig und auf angemessene Weise übermittelt werden.

- = -

(71) Zur Gewährleistung einheitlicher Bedingungen für die Durchführung dieser Verordnung sollten der Kommission Durchführungsbefugnisse übertragen werden, damit sie insbesondere Kennnummern für Normen festlegen kann, deren Einhaltung die Vermutung begründet, dass bestimmte Anforderungen, die in dieser Verordnung festgelegt sind, erfüllt werden.
Diese Befugnisse sollten im Einklang mit der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates (12) ausgeübt werden.

- = -

(75) Bestehende Verpflichtungen, denen die Mitgliedstaaten nach dem Unionsrecht, insbesondere nach der Richtlinie 2006/123/EG, bereits unterliegen, werden durch die in dieser Verordnung festgelegten Fristen für die Anwendung nicht berührt.

- = -

(76) Da die Ziele dieser Verordnung von den Mitgliedstaaten nicht ausreichend verwirklicht werden können, sondern vielmehr wegen des Umfangs der Maßnahmen auf Unionsebene besser zu verwirklichen sind, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union verankerten Subsidiaritätsprinzip tätig werden.
Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Verordnung nicht über das für die Verwirklichung dieser Ziele erforderliche Maß hinaus.

- = -

keyboard_tab EIDAS 2014/0910 DE

EIDAS 2014/0910 DE