EIDAS 2014/0910 DE

Um das ordnungsgemäße Funktionieren des Binnenmarkts und gleichzeitig ein angemessenes Sicherheitsniveau bei elektronischen Identifizierungsmitteln und Vertrauensdiensten sicherzustellen, ist in dieser Verordnung Folgendes geregelt:

a)	Sie legt die Bedingungen fest, unter denen die mitgliedstaaten elektronische Identifizierungsmittel für natürliche und juristische Personen, die einem notifizierten elektronischen Identifizierungssystem eines anderen Mitgliedstaats unterliegen, anerkennen.

b)	Sie legt Vorschriften für Vertrauensdienste — insbesondere für elektronische Transaktionen — fest.

c)	Sie legt einen Rechtsrahmen für elektronische Signaturen, elektronische Siegel, elektronische Zeitstempel, elektronische Dokumente, Dienste für die Zustellung elektronischer Einschreiben und Zertifizierungsdienste für die Website- Authentifizierung fest.

Artikel 7

Voraussetzungen für die Notifizierung elektronischer Identifizierungssysteme

Ein elektronisches Identifizierungssystem kann nach Artikel 9 Absatz 1 notifiziert werden, wenn sämtliche folgenden Bedingungen erfüllt sind:

Die elektronischen Identifizierungsmittel im Rahmen des betreffenden Systems werden

i)	vom notifizierenden Mitgliedstaat ausgestellt,

ii)	im Auftrag des notifizierenden Mitgliedstaats ausgestellt oder

iii)	unabhängig vom notifizierenden Mitgliedstaat ausgestellt und von diesem anerkannt.

Die elektronischen Identifizierungsmittel im Rahmen des elektronischen Identifizierungssystems können im notifizierenden Mitgliedstaat für den Zugang zu mindestens einem Dienst verwendet werden, der von einer öffentlichen Stelle bereitgestellt wird und für den eine elektronische Identifizierung erforderlich ist.

c)	Das elektronische Identifizierungssystem und die im Rahmen dieses Systems ausgestellten elektronischen Identifizierungsmittel erfüllen die Anforderungen zumindest eines der Sicherheitsniveaus, die in dem in Artikel 8 Absatz 3 genannten Durchführungsrechtsakt aufgeführt sind.

Der notifizierende Mitgliedstaat stellt sicher, dass zum Zeitpunkt der Ausstellung des elektronischen Identifizierungsmittels im Rahmen des betreffenden Systems die Personenidentifizierungsdaten, die die betreffende Person eindeutig repräsentieren, der in Artikel 3 Nummer 1 genannten natürlichen oder juristischen Person entsprechend den technischen Spezifikationen, Normen und Verfahren für das einschlägige Sicherheitsniveau, die in dem in Artikel 8 Absatz 3 genannten Durchführungsrechtsakt aufgeführt sind, zugeordnet sind.

Der Beteiligte, der das elektronische Identifizierungsmittel im Rahmen des betreffenden Systems ausstellt, stellt sicher, dass das elektronische Identifizierungsmittel der in Buchstabe d dieses Artikels genannten Person entsprechend den technischen Spezifikationen, Normen und Verfahren für das betreffende Sicherheitsniveau, die in dem in Artikel 8 Absatz 3 genannten Durchführungsrechtsakt aufgeführt sind, zugewiesen wird.

Der notifizierende Mitgliedstaat stellt sicher, dass eine Online- Authentifizierung zur Verfügung steht, so dass jeder im Hoheitsgebiet eines anderen Mitgliedstaats niedergelassene vertrauende Beteiligte die in elektronischer Form empfangenen Personenidentifizierungsdaten bestätigen kann.

Für vertrauende Beteiligte, die keine öffentlichen Stellen sind, kann der notifizierende Mitgliedstaat Bedingungen für den Zugang zu dieser Authentifizierung festlegen. Die grenzüberschreitende Authentifizierung sollte gebührenfrei sein, wenn sie in Bezug auf einen Online-Dienst erfolgt, der von einer öffentlichen Stelle erbracht wird.

Die mitgliedstaaten machen vertrauenden Beteiligten, die eine solche Authentifizierung durchführen möchten, keine spezifischen unverhältnismäßigen technischen Vorgaben, wenn derartige Vorgaben die Interoperabilität der notifizierten elektronischen Identifizierungssysteme verhindern oder erheblich beeinträchtigen.

Der notifizierende Mitgliedstaat stellt den anderen mitgliedstaaten für die Zwecke der Verpflichtung nach Artikel 12 Absatz 5 mindestens sechs Monate vor einer Notifizierung gemäß Artikel 9 Absatz 1 nach den in den Durchführungsrechtsakten gemäß Artikel 12 Absatz 7 genannten Verfahrensmodalitäten eine Beschreibung dieses Systems zur Verfügung.

h)	Das elektronische Identifizierungssystem erfüllt die Anforderungen des in Artikel 12 Absatz 8 genannten Durchführungsrechtsakts.

Artikel 10

Sicherheitsverletzung

(1) Im Falle einer Verletzung oder partiellen Beeinträchtigung des nach Artikel 9 Absatz 1 notifizierten elektronischen Identifizierungssystems oder der in Artikel 7 Buchstabe f genannten Authentifizierung in einer Weise, die sich auf die Verlässlichkeit der grenzüberschreitenden Authentifizierung dieses Systems auswirkt, setzt der notifizierende Mitgliedstaat diese grenzüberschreitende Authentifizierung oder die entsprechenden beeinträchtigten Teile umgehend aus oder widerruft sie und unterrichtet hiervon die anderen mitgliedstaaten und die Kommission.

(2) Wurde hinsichtlich der in Absatz 1 genannten Verletzung oder Beeinträchtigung Abhilfe geschaffen, so stellt der notifizierende Mitgliedstaat die grenzüberschreitende Authentifizierung wieder her und unterrichtet unverzüglich die anderen mitgliedstaaten und die Kommission.

(3) Wird hinsichtlich der in Absatz 1 genannten Verletzung oder Beeinträchtigung nicht innerhalb von drei Monaten nach der Aussetzung oder dem Widerruf Abhilfe geschaffen, so meldet der notifizierende Mitgliedstaat den anderen mitgliedstaaten und der Kommission die Zurücknahme des elektronischen Identifizierungssystems.

Die Kommission veröffentlicht die entsprechenden Änderungen an der in Artikel 9 Absatz 2 genannten Liste unverzüglich im Amtsblatt der Europäischen Union.

Artikel 12

Zusammenarbeit und Interoperabilität

(1) Die gemäß Artikel 9 Absatz 1 notifizierten nationalen elektronischen Identifizierungssysteme müssen interoperabel sein.

(2) Für die Zwecke des Absatzes 1 wird ein Interoperabilitätsrahmen geschaffen.

(3) Der Interoperabilitätsrahmen muss folgende Kriterien erfüllen:

a)	Er ist auf Technologieneutralität angelegt und unterscheidet nicht zwischen spezifischen nationalen technischen Lösungen für die elektronische Identifizierung in dem betreffenden Mitgliedstaat,

b)	er entspricht nach Möglichkeit den europäischen und internationalen Normen,

c)	er fördert die Umsetzung des Grundsatzes des „eingebauten Datenschutzes“ (privacy by design) und

d)	er gewährleistet, dass personenbezogene Daten im Einklang mit der Richtlinie 95/46/EG verarbeitet werden.

(4) Der Interoperabilitätsrahmen besteht aus Folgendem:

a)	einer Bezugnahme auf die mit den Sicherheitsniveaus nach Artikel 8 technischen Mindestanforderungen;

b)	Angaben zur Entsprechung zwischen den nationalen Sicherheitsniveaus der notifizierten Identifizierungssysteme und den Sicherheitsniveaus nach Artikel 8;

c)	einer Bezugnahme auf die technischen Mindestanforderungen für die Interoperabilität;

d)	einer Bezugnahme auf einen über elektronische Identifizierungssysteme bereitgestellten Mindestsatz von Personenidentifizierungsdaten, die eine natürliche oder juristische Person eindeutig repräsentieren;

e)	Verfahrensregelungen;

f)	Regelungen zur Streitbeilegung und

g)	gemeinsamen Sicherheitsnormen für den Betrieb.

(5) Die mitgliedstaaten arbeiten in Bezug auf Folgendes zusammen:

a)	Interoperabilität der nach Artikel 9 Absatz 1 notifizierten elektronischen Identifizierungssysteme und der elektronischen Identifizierungssysteme, die die mitgliedstaaten notifizieren möchten, und

b)	Sicherheit der elektronischen Identifizierungssysteme.

(6) Die Zusammenarbeit zwischen den mitgliedstaaten umfasst Folgendes:

a)	Austausch von Informationen, Erfahrungen und bewährten Verfahren in Bezug auf elektronische Identifizierungssysteme und insbesondere in Bezug auf technische Anforderungen an Interoperabilität und Sicherheitsniveaus;

b)	Austausch von Informationen, Erfahrungen und bewährten Verfahren in Bezug auf Sicherheitsniveaus elektronischer Identifizierungssysteme nach Artikel 8;

c)	gegenseitige Begutachtung der unter diese Verordnung fallenden elektronischen Identifizierungssysteme;

d)	Prüfung der einschlägigen Entwicklungen auf dem Gebiet der elektronischen Identifizierung.

(7) Bis zum 18. März 2015 legt die Kommission im Wege von Durchführungsrechtsakten die nötigen Verfahrensmodalitäten fest, um die in den Absätzen 5 und 6 genannte Zusammenarbeit zwischen den mitgliedstaaten im Hinblick auf die Förderung eines hohen Maßes an Vertrauen und Sicherheit, das der Höhe des Risikos angemessen ist, zu erleichtern.

(8) Bis zum 18. September 2015 erlässt die Kommission unter Zugrundelegung der in Absatz 3 aufgeführten Kriterien und unter Berücksichtigung der Ergebnisse der Zusammenarbeit zwischen den mitgliedstaaten Durchführungsrechtsakte zum Interoperabilitätsrahmen gemäß Absatz 4, um einheitliche Voraussetzungen für die Umsetzung der Verpflichtung gemäß Absatz 1 vorzugeben.

(9) Die in den Absätzen 7 und 8 genannten Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

KAPITEL III

VERTRAUENSDIENSTE

ABSCHNITT 1

Allgemeine Bestimmungen

Artikel 16

Sanktionen

Die mitgliedstaaten legen Regeln für Sanktionen bei Verstößen gegen diese Verordnung fest. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.

ABSCHNITT 2

Aufsicht

Artikel 17

Aufsichtsstelle

(1) Die mitgliedstaaten benennen eine Aufsichtsstelle, die in ihrem Hoheitsgebiet niedergelassen ist oder die aufgrund einer gegenseitigen Vereinbarung mit einem anderen Mitgliedstaat in diesem anderen Mitgliedstaat niedergelassen ist. Diese Aufsichtsstelle ist für die Wahrnehmung der Aufsichtsaufgaben im benennenden Mitgliedstaat verantwortlich.

Die Aufsichtsstellen verfügen über die für die Wahrnehmung ihrer Aufgaben notwendigen Befugnisse und eine angemessene Ausstattung mit Ressourcen.

(2) Die mitgliedstaaten teilen der Kommission und den anderen mitgliedstaaten Namen und Anschrift ihrer jeweiligen benannten Aufsichtsstellen mit.

(3) Die Aufsichtsstelle nimmt folgende Funktionen wahr:

Ausübung der Aufsicht über die im Hoheitsgebiet des benennenden Mitgliedstaats niedergelassenen qualifizierten Vertrauensdiensteanbieter mit dem Ziel, im Wege von Ex-ante- und Ex-post-Aufsichtstätigkeiten zu gewährleisten, dass diese qualifizierten Vertrauensdiensteanbieter und die von ihnen erbrachten qualifizierten Vertrauensdienste den Anforderungen dieser Verordnung entsprechen;

erforderlichenfalls Durchführung von Maßnahmen im Wege von Ex-post-Aufsichtstätigkeiten in Bezug auf die im Hoheitsgebiet des benennenden Mitgliedstaats niedergelassenen nichtqualifizierten Vertrauensdiensteanbieter, wenn sie Kenntnis davon erhalten, dass diese nichtqualifizierten Vertrauensdiensteanbieter oder die von ihnen erbrachten Vertrauensdienste die Anforderungen dieser Verordnung mutmaßlich nicht erfüllen.

(4) Für die Zwecke des Absatzes 3 und im Rahmen der dort vorgegebenen Beschränkungen umfassen die Aufgaben der Aufsichtsstelle insbesondere Folgendes:

a)	Zusammenarbeit mit anderen Aufsichtsstellen und Unterstützung dieser Stellen gemäß Artikel 18;

b)	Analyse der Konformitätsbewertungsberichte gemäß Artikel 20 Absatz 1 und Artikel 21 Absatz 1;

c)	Unterrichtung der anderen Aufsichtsstellen und der Öffentlichkeit über Sicherheitsverletzungen oder Integritätsverluste gemäß Artikel 19 Absatz 2;

d)	Berichterstattung an die Kommission über ihre Haupttätigkeiten gemäß Absatz 6;

e)	Durchführung von Überprüfungen oder Beauftragung einer Konformitätsbewertungsstelle mit der Durchführung einer Konformitätsbewertung der qualifizierten Vertrauensdiensteanbieter gemäß Artikel 20 Absatz 2;

f)	Zusammenarbeit mit den Datenschutzbehörden, insbesondere indem sie diese unverzüglich über die Ergebnisse der Überprüfungen von qualifizierten Vertrauensdiensteanbietern unterrichtet, falls dem Anschein nach gegen Datenschutzvorschriften verstoßen wurde;

g)	Verleihung des Qualifikationsstatus an Vertrauensdiensteanbieter und die von ihnen erbrachten Dienste sowie Entzug dieses Status gemäß den Artikeln 20 und 21;

h)	Unterrichtung der in Artikel 22 Absatz 3 genannten, für die nationale Vertrauensliste verantwortlichen Stelle über ihre Entscheidung, den Qualifikationsstatus zu verleihen oder zu entziehen, soweit es sich dabei nicht um die Aufsichtsstelle selbst handelt;

Überprüfung des Vorliegens und der ordnungsgemäßen Anwendung von Vorschriften über Beendigungspläne für den Fall, dass der Vertrauensdiensteanbieter seine Tätigkeit einstellt, wobei auch die Frage, wie die Informationen gemäß Artikel 24 Absatz 2 Buchstabe h weiter zugänglich gehalten werden, geprüft wird;

j)	Verpflichtung der Vertrauensdiensteanbieter, bei jedem Fall von Nichteinhaltung der Anforderungen dieser Verordnung Abhilfe zu schaffen.

(5) Die mitgliedstaaten können verlangen, dass die Aufsichtsstelle nach Maßgabe des nationalen Rechts eine Vertrauensinfrastruktur einrichtet, unterhält und aktualisiert.

(6) Bis zum 31. März jedes Jahres legt jede Aufsichtsstelle der Kommission einen Bericht über ihre Haupttätigkeiten im abgelaufenen Kalenderjahr zusammen mit einer Zusammenfassung der von den Vertrauensdiensteanbietern gemäß Artikel 19 Absatz 2 gemeldeten Sicherheitsverletzungen vor.

(7) Die Kommission macht den mitgliedstaaten den in Absatz 6 genannten Jahresbericht zugänglich.

(8) Die Kommission kann im Wege von Durchführungsrechtsakten Form und Verfahren für die Berichterstattung nach Absatz 6 festlegen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 18

Gegenseitige Amtshilfe

(1) Die Aufsichtsstellen arbeiten im Hinblick auf den Austausch bewährter Verfahren zusammen.

Eine Aufsichtsstelle leistet einer anderen Aufsichtsstelle nach Empfang eines begründeten Ersuchens hin Unterstützung, so dass die Tätigkeiten von Aufsichtsstellen kohärent ausgeübt werden können. Die Amtshilfe kann sich insbesondere auf Auskunftsersuchen und Aufsichtsmaßnahmen, beispielsweise Ersuchen um Nachprüfungen im Zusammenhang mit den Konformitätsbewertungsberichten gemäß den Artikeln 20 und 21 erstrecken.

(2) Die Aufsichtsstelle, an die ein Amtshilfeersuchen gerichtet wird, kann dieses Ersuchen aus einem der folgenden Gründe ablehnen:

a)	Die Aufsichtsstelle ist für die Gewährung der erbetenen Unterstützung nicht zuständig;

b)	die erbetene Unterstützung steht in keinem angemessenen Verhältnis zu den gemäß Artikel 17 durchgeführten Aufsichtstätigkeiten der Aufsichtsstelle;

c)	die Gewährung der erbetenen Unterstützung wäre nicht vereinbar mit dieser Verordnung.

(3) Gegebenenfalls können die mitgliedstaaten ihre jeweiligen Aufsichtsstellen ermächtigen, gemeinsame Untersuchungen durchzuführen, an denen Mitarbeiter der Aufsichtsstellen anderer mitgliedstaaten teilnehmen. Die Vorkehrungen und Verfahren für derartige gemeinsame Maßnahmen werden von den betreffenden mitgliedstaaten nach Maßgabe ihres jeweiligen nationalen Rechts vereinbart und festgelegt.

Artikel 19

Sicherheitsanforderungen an Vertrauensdiensteanbieter

(1) Qualifizierte und nichtqualifizierte Vertrauensdiensteanbieter ergreifen geeignete technische und organisatorische Maßnahmen zur Beherrschung der Sicherheitsrisiken im Zusammenhang mit den von ihnen erbrachten Vertrauensdiensten. Diese Maßnahmen müssen unter Berücksichtigung des jeweils neuesten Standes der Technik gewährleisten, dass das Sicherheitsniveau der Höhe des Risikos angemessen ist. Insbesondere sind Maßnahmen zu ergreifen, um Auswirkungen von Sicherheitsverletzungen zu vermeiden bzw. so gering wie möglich zu halten und die Beteiligten über die nachteiligen Folgen solcher Vorfälle zu informieren.

(2) Qualifizierte und nichtqualifizierte Vertrauensdiensteanbieter melden der Aufsichtsstelle und wo zutreffend anderen einschlägigen Stellen wie etwa der für Informationssicherheit zuständigen nationalen Stelle oder der Datenschutzbehörde unverzüglich, in jedem Fall aber innerhalb von 24 Stunden nach Kenntnisnahme von dem betreffenden Vorfall, jede Sicherheitsverletzung oder jeden Integritätsverlust, die bzw. der sich erheblich auf den erbrachten Vertrauensdienst oder die darin vorhandenen personenbezogenen Daten auswirkt.

Wenn sich die Sicherheitsverletzung oder der Integritätsverlust voraussichtlich nachteilig auf eine natürliche oder juristische Person auswirken, für die der Vertrauensdienst erbracht wurde, so unterrichtet der Vertrauensdiensteanbieter auch diese natürliche oder juristische Person unverzüglich über die Sicherheitsverletzung oder den Integritätsverlust.

Gegebenenfalls unterrichtet die notifizierte Aufsichtsstelle die Aufsichtsstellen anderer betroffener mitgliedstaaten und die ENISA, insbesondere, wenn von der Sicherheitsverletzung oder dem Integritätsverlust zwei oder mehr mitgliedstaaten betroffen sind.

Die notifizierte Aufsichtsstelle unterrichtet ferner die Öffentlichkeit oder verpflichtet den Vertrauensdiensteanbieter hierzu, wenn sie zu dem Schluss gelangt, dass die Bekanntgabe der Sicherheitsverletzung oder des Integritätsverlustes im öffentlichen Interesse liegt.

(3) Die Aufsichtsstelle übermittelt der ENISA einmal jährlich eine Übersicht über die von den Vertrauensdiensteanbietern gemeldeten Sicherheitsverletzungen und Integritätsverlusten.

(4) Die Kommission kann im Wege von Durchführungsrechtsakten Folgendes festlegen:

a)	weitere Präzisierungen der in Absatz 1 genannten Maßnahmen;

b)	Form und Verfahren — einschließlich der Fristen — für die Zwecke des Absatzes 2.

Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

ABSCHNITT 3

Qualifizierte Vertrauensdienste

Artikel 22

Vertrauenslisten

(1) Jeder Mitgliedstaat sorgt für die Aufstellung, Führung und Veröffentlichung von Vertrauenslisten, die Angaben zu den qualifizierten Vertrauensdiensteanbietern, für die er verantwortlich ist, und den von ihnen erbrachten qualifizierten Vertrauensdiensten, umfassen.

(2) Die mitgliedstaaten erstellen, führen und veröffentlichen auf gesicherte Weise elektronisch unterzeichnete oder besiegelte Vertrauenslisten gemäß Absatz 1 in einer für eine automatisierte Verarbeitung geeigneten Form.

(3) Die mitgliedstaaten übermitteln der Kommission unverzüglich Informationen über die für die Erstellung, Führung und Veröffentlichung der nationalen Vertrauenslisten verantwortlichen Stellen, den Ort der Veröffentlichung der Listen, die zur Unterzeichnung oder Besiegelung der Vertrauenslisten verwendeten Zertifikate und alle etwaigen Änderungen dieser Informationen.

(4) Die Kommission macht die Informationen nach Absatz 3 auf sichere Weise und elektronisch unterzeichnet oder besiegelt in einer für eine automatisierte Verarbeitung geeigneten Form öffentlich zugänglich.

(5) Bis 18. September 2015 präzisiert die Kommission im Wege von Durchführungsrechtsakten die Angaben gemäß Absatz 1 und legt die technischen Spezifikationen und die Form der Vertrauenslisten für die Zwecke der Absätze 1 bis 4 fest. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 25

Rechtswirkung elektronischer Signaturen

(1) Einer elektronischen Signatur darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt oder weil sie die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt.

(2) Eine qualifizierte elektronische Signatur hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift.

(3) Eine qualifizierte elektronische Signatur, die auf einem in einem Mitgliedstaat ausgestellten qualifizierten Zertifikat beruht, wird in allen anderen mitgliedstaaten als qualifizierte elektronische Signatur anerkannt.

Artikel 27

Elektronische_Signaturen in öffentlichen Diensten

(1) Verlangt ein Mitgliedstaat für die Verwendung in einem Online-Dienst, der von einer öffentlichen Stelle oder im Namen einer öffentlichen Stelle angeboten wird, eine fortgeschrittene elektronische Signatur, so erkennt dieser Mitgliedstaat fortgeschrittene elektronische Signaturen, fortgeschrittene elektronische Signaturen, die auf einem qualifizierten Zertifikat_für_elektronische_Signaturen beruhen, und qualifizierte elektronische Signaturen zumindest in den Formaten oder unter Verwendung der Verfahren an, die in den Durchführungsrechtsakten nach Absatz 5 festgelegt sind.

(2) Verlangt ein Mitgliedstaat für die Verwendung in einem Online-Dienst, der von einer öffentlichen Stelle oder im Namen einer öffentlichen Stelle angeboten wird, eine fortgeschrittene elektronische Signatur, die auf einem qualifizierten Zertifikat beruht, so erkennt dieser Mitgliedstaat fortgeschrittene elektronische Signaturen, die auf einem qualifizierten Zertifikat beruhen, und qualifizierte elektronische Signaturen zumindest in den Formaten oder unter Verwendung der Verfahren an, die in den Durchführungsrechtsakten nach Absatz 5 festgelegt sind.

(3) Die mitgliedstaaten verlangen für die grenzüberschreitende Verwendung in einem Online-Dienst, der von einer öffentlichen Stelle angeboten wird, keine elektronische Signatur mit einem höheren Sicherheitsniveau als dem der qualifizierten elektronischen Signatur.

(4) Die Kommission kann im Wege von Durchführungsrechtsakten Kennnummern für Normen für qualifizierte Zertifikate für fortgeschrittene elektronische Signaturen festlegen. Bei fortgeschrittenen elektronischen Signaturen wird davon ausgegangen, dass sie die Anforderungen gemäß den Absätzen 1 und 2 dieses Artikels und Artikel 26 erfüllen, wenn sie diesen Normen entsprechen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

(5) Die Kommission legt bis zum 18. September 2015 im Wege von Durchführungsrechtsakten und unter Berücksichtigung der bestehenden Praxis sowie bestehender Normen und Unionsrechtsvorschriften Referenzformate für fortgeschrittene elektronische Signaturen oder Referenzverfahren fest, wenn alternative Formate verwendet werden. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 28

Qualifizierte Zertifikate für elektronische Signaturen

(1) Qualifizierte Zertifikate für elektronische Signaturen müssen die Anforderungen des Anhangs I erfüllen.

(2) Für qualifizierte Zertifikate für elektronische Signaturen dürfen keine obligatorischen Anforderungen gelten, die über die in Anhang I festgelegten hinausgehen.

(3) Qualifizierte Zertifikate für elektronische Signaturen können zusätzliche fakultative spezifische Attribute enthalten. Diese Attribute dürfen die Interoperabilität und Anerkennung qualifizierter elektronischer Signaturen nicht berühren.

(4) Wird ein qualifiziertes Zertifikat_für_elektronische_Signaturen nach der anfänglichen Aktivierung widerrufen, ist es ab dem Zeitpunkt des Widerrufs nicht mehr gültig und sein Status darf unter keinen Umständen rückgängig gemacht werden.

(5) Die mitgliedstaaten können vorbehaltlich der folgenden Bedingungen nationale Vorschriften zur vorläufigen Aussetzung eines qualifizierten Zertifikats für eine elektronische Signatur erlassen:

a)	Ist ein qualifiziertes Zertifikat_für_elektronische_Signaturen vorläufig ausgesetzt worden, so verliert dieses Zertifikat für die Dauer der Aussetzung seine Gültigkeit.

b)	Die Dauer der Aussetzung wird in der Zertifikatsdatenbank deutlich angegeben und der Status der Aussetzung ist während der Dauer der Aussetzung im Rahmen des Dienstes, der die Informationen über den Status des Zertifikats bereitstellt, ersichtlich.

(6) Die Kommission kann im Wege von Durchführungsrechtsakten Kennnummern für Normen für qualifizierte Zertifikate für elektronische Signaturen festlegen. Bei qualifizierten Zertifikaten für elektronische Signaturen, die diesen Normen entsprechen, wird davon ausgegangen, dass sie die Anforderungen des Anhangs I erfüllen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 30

Zertifizierung qualifizierter elektronischer Signaturerstellungseinheiten

(1) Die Konformität qualifizierter elektronischer Signaturerstellungseinheiten mit den Anforderungen des Anhangs II wird von geeigneten, von den mitgliedstaaten benannten öffentlichen oder privaten Stellen zertifiziert.

(2) Die mitgliedstaaten teilen der Kommission die Namen und Anschriften der öffentlichen oder privaten Stellen gemäß Absatz 1 mit. Die Kommission stellt diese Informationen den mitgliedstaaten zur Verfügung.

(3) Die Zertifizierung nach Absatz 1 beruht auf einem der folgenden Verfahren:

a)	einem Sicherheitsbewertungsverfahren, das entsprechend einer der Normen für die Sicherheitsbewertung informationstechnischer Produkte durchgeführt wurde, die auf der gemäß Unterabsatz 2 aufzustellenden Liste stehen;

einem anderen als dem unter Buchstabe a genannten Verfahren, sofern dabei gleichwertige Sicherheitsniveaus angewendet werden und die öffentliche oder private Stelle gemäß Absatz 1 der Kommission dieses Verfahren mitteilt. Dieses Verfahren darf nur angewendet werden, wenn Normen im Sinne des Buchstaben a nicht vorliegen oder ein Sicherheitsbewertungsverfahren im Sinne des Buchstaben a im Gange ist.

Die Kommission stellt im Wege von Durchführungsrechtsakten eine Liste mit Normen für die Sicherheitsbewertung informationstechnischer Produkte nach Buchstabe a auf. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

(4) Der Kommission wird die Befugnis übertragen, gemäß Artikel 47 delegierte Rechtsakte in Bezug auf die Festlegung besonderer Kriterien, die von den in Absatz 1 dieses Artikels aufgeführten benannten Stellen zu erfüllen sind, zu erlassen.

Artikel 31

Veröffentlichung einer Liste zertifizierter qualifizierter elektronischer Signaturerstellungseinheiten

(1) Die mitgliedstaaten notifizieren der Kommission unverzüglich, spätestens aber innerhalb eines Monats nach Abschluss der Zertifizierung, Informationen über qualifizierte elektronische Signaturerstellungseinheiten, die von den in Artikel 30 Absatz 1 genannten Stellen zertifiziert worden sind. Sie notifizieren der Kommission ferner unverzüglich, spätestens aber innerhalb eines Monats nach Annullierung der Zertifizierung, Informationen über nicht mehr zertifizierte elektronische Signaturerstellungseinheiten.

(2) Auf der Grundlage der erhaltenen Informationen sorgt die Kommission für die Aufstellung, Veröffentlichung und Führung einer Liste zertifizierter qualifizierter elektronischer Signaturerstellungseinheiten.

(3) Die Kommission kann im Wege von Durchführungsrechtsakten Form und Verfahren für die Zwecke des Absatzes 1 festlegen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 35

Rechtswirkung elektronischer Siegel

(1) Einem elektronischen Siegel darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil es in einer elektronischen Form vorliegt oder nicht die Anforderungen an qualifizierte elektronische Siegel erfüllt.

(2) Für ein qualifiziertes elektronisches Siegel gilt die Vermutung der Unversehrtheit der Daten und der Richtigkeit der Herkunftsangabe der Daten, mit denen das qualifizierte elektronische Siegel verbunden ist.

(3) Ein qualifiziertes elektronisches Siegel, das auf einem in einem Mitgliedstaat ausgestellten qualifizierten Zertifikat beruht, wird in allen anderen mitgliedstaaten als qualifiziertes elektronisches Siegel anerkannt.

Artikel 37

Elektronische Siegel in öffentlichen Diensten

(1) Verlangt ein Mitgliedstaat ein fortgeschrittenes elektronisches Siegel für die Verwendung in einem Online-Dienst, der von einer öffentlichen Stelle oder im Namen einer öffentlichen Stelle angeboten wird, so erkennt dieser Mitgliedstaat fortgeschrittene elektronische Siegel, fortgeschrittene elektronische Siegel, die auf einem qualifizierten Zertifikat_für_elektronische_Siegel beruhen, und qualifizierte elektronische Siegel zumindest in den Formaten oder unter Verwendung der Verfahren, die in den Durchführungsrechtsakten nach Absatz 5 festgelegt sind, an.

(2) Verlangt ein Mitgliedstaat für die Verwendung in einem Online-Dienst, der von einer öffentlichen Stelle oder im Namen einer öffentlichen Stelle angeboten wird, ein fortgeschrittenes elektronisches Siegel, das auf einem qualifizierten Zertifikat beruht, so erkennt dieser Mitgliedstaat fortgeschrittene elektronische Siegel, die auf einem qualifizierten Zertifikat beruhen, und qualifizierte elektronische Siegel zumindest in den Formaten oder unter Verwendung der Verfahren, die in den Durchführungsrechtsakten nach Absatz 5 festgelegt sind, an.

(3) Die mitgliedstaaten verlangen für die grenzüberschreitende Verwendung in einem Online-Dienst, der von einer öffentlichen Stelle angeboten wird, kein elektronisches Siegel mit einem höheren Sicherheitsniveau als dem des qualifizierten elektronischen Siegels.

(4) Die Kommission kann im Wege von Durchführungsrechtsakten Kennnummern für Normen für qualifizierte Zertifikate für fortgeschrittene elektronische Siegel festlegen. Bei fortgeschrittenen elektronischen Siegeln wird davon ausgegangen, dass sie die Anforderungen gemäß den Absätzen 1 und 2 und Artikel 36 erfüllen, wenn sie diesen Normen entsprechen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen. Die Kommission veröffentlicht diese Rechtsakte im Amtsblatt der Europäischen Union.

(5) Die Kommission legt bis zum 18. September 2015 im Wege von Durchführungsrechtsakten und unter Berücksichtigung der bestehenden Praxis sowie der bestehenden Normen und Unionsrechtsakte Durchführungsrechtsakte Referenzformate für fortgeschrittene elektronische Siegel oder Referenzverfahren fest, wenn alternative Formate verwendet werden. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 38

Qualifizierte Zertifikate für elektronische Siegel

(1) Qualifizierte Zertifikate für elektronische Siegel müssen die Anforderungen des Anhangs III erfüllen.

(2) Für qualifizierte Zertifikate für elektronische Siegel dürfen keine verbindlichen Anforderungen gelten, die über die in Anhang III festgelegten hinausgehen.

(3) Qualifizierte Zertifikate für elektronische Siegel können zusätzliche fakultative spezifische Attribute enthalten. Diese Attribute berühren nicht die Interoperabilität und Anerkennung qualifizierter elektronischer Siegel.

(4) Wird ein qualifiziertes Zertifikat_für_elektronische_Siegel nach der anfänglichen Aktivierung widerrufen, ist es ab dem Zeitpunkt des Widerrufs nicht mehr gültig und sein Status darf unter keinen Umständen rückgängig gemacht werden.

(5) Die mitgliedstaaten können vorbehaltlich der folgenden Bedingungen nationale Vorschriften zur vorläufigen Aussetzung qualifizierter Zertifikate für elektronische Siegel erlassen:

a)	Ist ein qualifiziertes Zertifikat_für_elektronische_Siegel vorläufig ausgesetzt worden, so verliert dieses Zertifikat für die Dauer der Aussetzung seine Gültigkeit.

b)	Die Dauer der Aussetzung wird in der Zertifikatsdatenbank deutlich angegeben und der Status der Aussetzung ist während der Dauer der Aussetzung im Rahmen des Dienstes, der die Informationen über den Status des Zertifikats bereitstellt, ersichtlich.

(6) Die Kommission kann im Wege von Durchführungsrechtsakten Kennnummern für Normen für qualifizierte Zertifikate für elektronische Siegel festlegen. Bei qualifizierten Zertifikaten für elektronische Siegel, die diesen Normen entsprechen, wird davon ausgegangen, dass sie die Anforderungen des Anhangs III erfüllen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 41

Rechtswirkung elektronischer Zeitstempel

(1) Einem elektronischen Zeitstempel darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil er in elektronischer Form vorliegt oder nicht die Anforderungen an qualifizierte elektronische Zeitstempel erfüllt.

(2) Für qualifizierte elektronische Zeitstempel gilt die Vermutung der Richtigkeit des Datums und der Zeit, die darin angegeben sind, sowie der Unversehrtheit der mit dem Datum und der Zeit verbundenen Daten.

(3) Ein in einem Mitgliedstaat ausgestellter qualifizierter elektronischer Zeitstempel wird in allen anderen mitgliedstaaten als qualifizierter elektronischer Zeitstempel anerkannt.

Artikel 52

Inkrafttreten

(1) Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

(2) Diese Verordnung gilt ab dem 1. Juli 2016 mit folgenden Ausnahmen:

Artikel 8 Absatz 3, Artikel 9 Absatz 5, Artikel 12 Absätze 2 bis 9, Artikel 17 Absatz 8, Artikel 19 Absatz 4, Artikel 20 Absatz 4, Artikel 21 Absatz 4, Artikel 22 Absatz 5, Artikel 23 Absatz 3, Artikel 24 Absatz 5, Artikel 27 Absätze 4 und 5, Artikel 28 Absatz 6, Artikel 29 Absatz 2, Artikel 30 Absätze 3 und 4, Artikel 31 Absatz 3, Artikel 32 Absatz 3, Artikel 33 Absatz 2, Artikel 34 Absatz 2, Artikel 37 Absätze 4 und 5, Artikel 38 Absatz 6, Artikel 42 Absatz 2, Artikel 44 Absatz 2, Artikel 45 Absatz 2 sowie Artikel 47 und 48 gelten ab dem 17. September 2014;

b)	Artikel 7, Artikel 8 Absätze 1 und 2, Artikel 9, 10, 11 und Artikel 12 Absatz 1 gelten ab dem Datum des Beginns der Anwendung der in Artikel 8 Absatz 3 und Artikel 12 Absatz 8 genannten Durchführungsrechtsakte;

c)	Artikel 6 findet drei Jahre nach dem Datum des Beginns der Anwendung der in Artikel 8 Absatz 3 und Artikel 12 Absatz 8 genannten Durchführungsrechtsakte Anwendung.

(3) Ist das notifizierte elektronische Identifizierungssystem vor dem in Absatz 2 Buchstabe c genannten Datum in der von der Kommission gemäß Artikel 9 veröffentlichten Liste aufgeführt, so erfolgt die Anerkennung der elektronischen Identifizierungsmittel dieses Systems gemäß Artikel 6 spätestens 12 Monate nach der Veröffentlichung dieses Systems, jedoch nicht vor dem in Absatz 2 Buchstabe c genannten Datum.

(4) Abweichend von Absatz 2 Buchstabe c kann ein Mitgliedstaat entscheiden, dass elektronische Identifizierungsmittel eines von einem anderen Mitgliedstaat gemäß Artikel 9 Absatz 1 notifizierten elektronischen Identifizierungssystems in dem ersten Mitgliedstaat ab dem Datum des Beginns der Anwendung der in Artikel 8 Absatz 3 und Artikel 12 Absatz 8 genannten Durchführungsrechtsakte anerkannt werden. Die betreffenden mitgliedstaaten setzen die Kommission davon in Kenntnis. Die Kommission veröffentlicht diese Informationen.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Geschehen zu Brüssel am 23. Juli 2014.

Im Namen des Europäischen Parlaments

Der Präsident

M. SCHULZ

Im Namen des Rates

Der Präsident

S. GOZI

(1) ABl. C 351 vom 15.11.2012, S. 73.

(2) Standpunkt des Europäischen Parlaments vom 3. April 2014 (noch nicht im Amtsblatt veröffentlicht) und Beschluss des Rates vom 23. Juli 2014.

(3) Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen (ABl. L 13 vom 19.1.2000, S. 12).

(4) ABl. C 50 E vom 21.2.2012, S. 1.

(5) Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates vom 12. Dezember 2006 über Dienstleistungen im Binnenmarkt (ABl. L 376 vom 27.12.2006, S. 36).

(6) Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates vom 9. März 2011 über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung (ABl. L 88 vom 4.4.2011, S. 45).

(7) Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31).

(8) Beschluss 2010/48/EG des Rates vom 26. November 2009 über den Abschluss des Übereinkommens der Vereinten Nationen über die Rechte von Menschen mit Behinderungen durch die Europäische Gemeinschaft (ABl. L 23 vom 27.1.2010, S. 35).

(9) Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über die Vorschriften für die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 des Rates (ABl. L 218 vom 13.8.2008, S. 30).

(10) Entscheidung 2009/767/EG der Kommission vom 16. Oktober 2009 über Maßnahmen zur Erleichterung der Nutzung elektronischer Verfahren über „einheitliche Ansprechpartner“ gemäß der Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates über Dienstleistungen im Binnenmarkt (ABl. L 274 vom 20.10.2009, S. 36).

(11) Beschluss 2011/130/EU der Kommission vom 25. Februar 2011 über Mindestanforderungen für die grenzüberschreitende Verarbeitung von Dokumenten, die gemäß der Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates über Dienstleistungen im Binnenmarkt von zuständigen Behörden elektronisch signiert worden sind (ABl. L 53 vom 26.2.2011, S. 66).

(12) Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13).

(13) Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1).

(14) ABl. C 28 vom 30.1.2013, S. 6.

(15) Richtlinie 2014/24/EU des Europäischen Parlaments und des Rates vom 26. Februar 2014 über die öffentliche Auftragsvergabe und zur Aufhebung der Richtlinie 2004/18/EG (ABl. L 94 vom 28.3.2014, S. 65).

ANHANG I

ANFORDERUNGEN AN QUALIFIZIERTE ZERTIFIKATE FÜR ELEKTRONISCHE SIGNATUREN

Qualifizierte Zertifikate für elektronische Signaturen enthalten Folgendes:

a)	eine Angabe, dass das Zertifikat als qualifiziertes Zertifikat_für_elektronische_Signaturen ausgestellt wurde, zumindest in einer zur automatischen Verarbeitung geeigneten Form;

einen Datensatz, der den qualifizierten Vertrauensdiensteanbieter, der die qualifizierten Zertifikate ausstellt, eindeutig repräsentiert und zumindest die Angabe des Mitgliedstaats enthält, in dem der Anbieter niedergelassen ist, sowie

—	bei einer juristischen Person: den Namen und gegebenenfalls die Registriernummer gemäß der amtlichen Eintragung;

—	bei einer natürlichen Person: den Namen der Person;

c)	mindestens den Namen des Unterzeichners oder ein Pseudonym; wird ein Pseudonym verwendet, ist dies eindeutig anzugeben;

d)	elektronische Signaturvalidierungsdaten, die den elektronischen Signaturerstellungsdaten entsprechen;

e)	Angaben zu Beginn und Ende der Gültigkeitsdauer des Zertifikats;

f)	den Identitätscode des Zertifikats, der für den qualifizierten Vertrauensdiensteanbieter eindeutig sein muss;

g)	die fortgeschrittene elektronische Signatur oder das fortgeschrittene elektronische Siegel des ausstellenden qualifizierten Vertrauensdiensteanbieters;

h)	den Ort, an dem das Zertifikat, das der fortgeschrittenen elektronischen Signatur oder dem fortgeschrittenen elektronischen Siegel gemäß Buchstabe g zugrunde liegt, kostenlos zur Verfügung steht;

i)	den Ort der Dienste, die genutzt werden können, um den Gültigkeitsstatus des qualifizierten Zertifikats zu überprüfen;

falls sich die elektronischen Signaturerstellungsdaten, die den elektronischen Signaturvalidierungsdaten entsprechen, in einer qualifizierten elektronischen Signaturerstellungseinheit befinden — eine geeignete Angabe dieses Umstands, zumindest in einer zur automatischen Verarbeitung geeigneten Form.

ANHANG II

ANFORDERUNGEN AN QUALIFIZIERTE ELEKTRONISCHE SIGNATURERSTELLUNGSEINHEITEN

(1)

Qualifizierte_elektronische_Signaturerstellungseinheiten müssen durch geeignete Technik und Verfahren zumindest gewährleisten, dass

a)	die Vertraulichkeit der zum Erstellen der elektronischen Signatur verwendeten elektronischen Signaturerstellungsdaten angemessen sichergestellt ist,

b)	die zum Erstellen der elektronischen Signatur verwendeten elektronischen Signaturerstellungsdaten praktisch nur einmal vorkommen können,

c)	die zum Erstellen der elektronischen Signatur verwendeten elektronischen Signaturerstellungsdaten mit hinreichender Sicherheit nicht abgeleitet werden können und die elektronische Signatur bei Verwendung der jeweils verfügbaren Technik verlässlich gegen Fälschung geschützt ist,

d)	die zum Erstellen der elektronischen Signatur verwendeten elektronischen Signaturerstellungsdaten vom rechtmäßigen Unterzeichner gegen eine Verwendung durch andere verlässlich geschützt werden können.

(2)

Qualifizierte_elektronische_Signaturerstellungseinheiten dürfen die zu unterzeichnenden Daten nicht verändern und nicht verhindern, dass dem Unterzeichner diese Daten vor dem Unterzeichnen angezeigt werden.

(3)

Das Erzeugen oder Verwalten von elektronischen Signaturerstellungsdaten im Namen eines Unterzeichners darf nur von einem qualifizierten Vertrauensdiensteanbieter durchgeführt werden.

(4)

Unbeschadet des Absatzes 1 Buchstabe d dürfen qualifizierte Vertrauensdiensteanbieter, die elektronische Signaturerstellungsdaten im Namen des Unterzeichners verwalten, die elektronischen Signaturerstellungsdaten ausschließlich zu Sicherungszwecken kopieren, sofern folgende Anforderungen erfüllt sind:

a)	Die kopierten Datensätze müssen das gleiche Sicherheitsniveau wie die Original-Datensätze aufweisen.

b)	Es dürfen nicht mehr kopierte Datensätze vorhanden sein als zur Gewährleistung der Dienstleistungskontinuität unbedingt nötig.

ANHANG III

ANFORDERUNGEN AN QUALIFIZIERTE ZERTIFIKATE FÜR ELEKTRONISCHE SIEGEL

Qualifizierte Zertifikate für elektronische Siegel enthalten

a)	eine Angabe, dass das Zertifikat als qualifiziertes Zertifikat_für_elektronische_Siegel ausgestellt wurde, zumindest in einer zur automatischen Verarbeitung geeigneten Form,

—	bei einer juristischen Person: den Namen und gegebenenfalls die Registriernummer gemäß der amtlichen Eintragung,

—	bei einer natürlichen Person: den Namen der Person,

c)	zumindest den Namen des Siegelerstellers und gegebenenfalls die Registriernummer gemäß der amtlichen Eintragung,

d)	elektronische Siegelvalidierungsdaten, die den elektronischen Siegelerstellungsdaten entsprechen,

e)	Angaben zu Beginn und Ende der Gültigkeitsdauer des Zertifikats,

f)	den Identitätscode des Zertifikats, der für den qualifizierten Vertrauensdiensteanbieter eindeutig sein muss,

g)	die fortgeschrittene elektronische Signatur oder das fortgeschrittene elektronische Siegel des ausstellenden qualifizierten Vertrauensdiensteanbieters,

h)	den Ort, an dem das Zertifikat, das der fortgeschrittenen elektronischen Signatur oder dem fortgeschrittenen elektronischen Siegel gemäß Buchstabe g zugrunde liegt, kostenlos zur Verfügung steht,

i)	den Ort der Dienste, die genutzt werden können, um den Gültigkeitsstatus des qualifizierten Zertifikats zu überprüfen,

j)	falls sich die elektronischen Siegelerstellungsdaten, die den elektronischen Siegelvalidierungsdaten entsprechen, in einer qualifizierten elektronischen Siegelerstellungseinheit befinden — eine geeignete Angabe dieses Umstands, zumindest in einer zur automatischen Verarbeitung geeigneten Form.

ANHANG IV

ANFORDERUNGEN AN QUALIFIZIERTE ZERTIFIKATE FÜR DIE WEBSITE-AUTHENTIFIZIERUNG

Qualifizierte Zertifikate für die Website- Authentifizierung enthalten Folgendes:

a)	eine Angabe, dass das Zertifikat als qualifiziertes Zertifikat für die Website- Authentifizierung ausgestellt wurde, zumindest in einer zur automatischen Verarbeitung geeigneten Form;

—	bei einer juristischen Person: den Namen und gegebenenfalls die Registriernummer gemäß der amtlichen Eintragung;

—	bei einer natürlichen Person: den Namen der Person;

bei natürlichen Personen: zumindest den Namen der Person, der das Zertifikat ausgestellt wurde, oder ein Pseudonym. Wird ein Pseudonym verwendet, ist dies eindeutig anzugeben;

bei juristischen Personen: zumindest den Namen der juristischen Person, der das Zertifikat ausgestellt wird, und gegebenenfalls die Registriernummer gemäß der amtlichen Eintragung;

d)	Bestandteile der Anschrift der natürlichen oder juristischen Person, der das Zertifikat ausgestellt wird, zumindest den Ort und den Staat, und gegebenenfalls gemäß der amtlichen Eintragung;

e)	die Domänennamen, die von der natürlichen oder juristischen Person, der das Zertifikat ausgestellt wird, betrieben werden;

f)	Angaben zu Beginn und Ende der Gültigkeitsdauer des Zertifikats;

g)	den Identitätscode des Zertifikats, der für den qualifizierten Vertrauensdiensteanbieter eindeutig sein muss;

h)	die fortgeschrittene elektronische Signatur oder das fortgeschrittene elektronische Siegel des ausstellenden qualifizierten Vertrauensdiensteanbieters;

i)	den Ort, an dem das Zertifikat, das der fortgeschrittenen elektronischen Signatur oder dem fortgeschrittenen elektronischen Siegel gemäß Buchstabe h zugrunde liegt, kostenlos zur Verfügung steht;

j)	den Ort, an dem die Dienste für die Abfrage des Zertifikatsgültigkeitsstatus genutzt werden können, um den Gültigkeitsstatus des qualifizierten Zertifikats zu überprüfen.

whereas

(8) Die Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates (5) verpflichtet die mitgliedstaaten zur Einrichtung von einheitlichen Ansprechpartnern genannt —, um sicherzustellen, dass alle Verfahren und Formalitäten, die die Aufnahme oder die Ausübung einer Dienstleistungstätigkeit betreffen, problemlos aus der Ferne und elektronisch über den betreffenden einheitlichen Ansprechpartner oder bei der betreffenden zuständigen Behörde abgewickelt werden können.
Viele Online-Dienste, die über einheitliche Ansprechpartner zugänglich sind, erfordern eine elektronische Identifizierung, eine elektronische Authentifizierung und elektronische Signaturen.

- = -

(9) In der Regel können Bürger ihre elektronischen Identifizierungsmittel nicht verwenden, um sich in einem anderen Mitgliedstaat zu authentifizieren, weil die nationalen elektronischen Identifizierungssysteme ihres Landes in anderen mitgliedstaaten nicht anerkannt werden.
Aufgrund dieses elektronischen Hindernisses können Diensteanbieter die Vorteile des Binnenmarktes nicht vollständig ausschöpfen.
Gegenseitig anerkannte elektronische Identifizierungsmittel werden die grenzüberschreitende Erbringung zahlreicher Dienstleistungen im Binnenmarkt erleichtern, und Unternehmen können grenzüberschreitend tätig werden, ohne beim Zusammenwirken mit öffentlichen Verwaltungen auf viele Hindernisse zu stoßen.

- = -

(12) Eines der Ziele dieser Verordnung ist die Beseitigung bestehender Hindernisse bei der grenzüberschreitenden Verwendung elektronischer Identifizierungsmittel, die in den mitgliedstaaten zumindest die Authentifizierung für öffentliche Dienste ermöglichen.
Diese Verordnung bezweckt keinen Eingriff in die in den mitgliedstaaten bestehenden elektronischen Identitätsmanagementsysteme und zugehörigen Infrastrukturen.
Sie soll vielmehr sicherstellen, dass beim Zugang zu Online-Diensten, die von den mitgliedstaaten grenzüberschreitend angeboten werden, eine sichere elektronische Identifizierung und Authentifizierung möglich ist.

- = -

(13) Den mitgliedstaaten sollte es freigestellt bleiben, zwecks elektronischer Identifizierung eigene Mittel für den Zugang zu Online-Diensten einzuführen oder zu verwenden.
Sie sollten auch selbst entscheiden können, ob sie den Privatsektor in die Bereitstellung solcher Mittel einbeziehen.
Die mitgliedstaaten sollten nicht verpflichtet sein, ihre elektronischen Identifizierungssysteme der Kommission zu notifizieren.
Die Entscheidung, alle, einige oder keines der elektronischen Identifizierungssysteme der Kommission zu notifizieren, die auf nationaler Ebene zumindest für den Zugang zu öffentlichen Online-Diensten oder bestimmten Diensten verwendet werden, ist Sache der mitgliedstaaten.

- = -

(14) In der Verordnung müssen einige Voraussetzungen im Hinblick darauf festgelegt werden, welche elektronischen Identifizierungsmittel anerkannt werden müssen und wie die elektronischen Identifizierungssysteme notifiziert werden sollten.
Diese Voraussetzungen sollen den mitgliedstaaten helfen, das nötige Vertrauen in die elektronischen Identifizierungssysteme der anderen zu schöpfen und elektronische Identifizierungsmittel, die ihren jeweiligen notifizierten Systemen unterliegen, gegenseitig anzuerkennen.
Der Grundsatz der gegenseitigen Anerkennung sollte nur dann Anwendung finden, wenn das elektronische Identifizierungssystem des notifizierenden Mitgliedstaats die Notifizierungsvoraussetzungen erfüllt und die Notifizierung im Amtsblatt der Europäischen Union veröffentlicht wurde.
Der Grundsatz der gegenseitigen Anerkennung sollte jedoch nur für die Authentifizierung für einen Online-Dienst gelten.
Der Zugang zu diesen Online-Diensten und ihre letztendliche Erbringung gegenüber dem Antragsteller sollten eng mit dem Anspruch auf solche Dienstleistungen unter den im nationalen Recht festgelegten Bedingungen verknüpft sein.

- = -

(15) Die Pflicht zur Anerkennung elektronischer Identifizierungsmittel sollte nur in Bezug auf diejenigen Mittel gelten, deren Identitätssicherungsniveau gegenüber dem für den betreffenden Online-Dienst erforderlichen Niveau gleichwertig ist oder höher ist.
Außerdem sollte diese Pflicht nur dann gelten, wenn die betreffende öffentliche Stelle für den Zugang zu diesem Online-Dienst das Sicherheitsniveau „substanziell“ oder „hoch“ verwendet.
Den mitgliedstaaten sollte es im Einklang mit dem Unionsrecht freistehen, elektronische Identifizierungsmittel mit niedrigerem Sicherheitsniveau für die Identität anzuerkennen.

- = -

(17) Die mitgliedstaaten sollten den Privatsektor dazu ermutigen, freiwillig elektronische Identifizierungsmittel im Rahmen eines notifizierten Systems zu Identifizierungszwecken zu verwenden, wenn dies für Online-Dienste oder elektronische Transaktionen nötig ist.
Durch die Möglichkeit der Verwendung solcher elektronischen Identifizierungsmittel könnte sich der Privatsektor auf eine elektronische Identifizierung und Authentifizierung stützen, die in vielen mitgliedstaaten zumindest bei öffentlichen Diensten schon weit verbreitet ist, und Unternehmen und Bürgern würde der grenzüberschreitende Zugang zu ihren Online-Diensten erleichtert.
Um die grenzüberschreitende Verwendung solcher elektronischen Identifizierungsmittel durch den Privatsektor zu erleichtern, sollten die von den einzelnen mitgliedstaaten bereitgestellten Authentifizierungsmöglichkeiten den vertrauenden Beteiligten des Privatsektors, die außerhalb des Hoheitsgebiets dieses Mitgliedstaats niedergelassen sind, unter denselben Bedingungen zur Verfügung stehen, die für in diesem Mitgliedstaat niedergelassene vertrauende Beteiligte des Privatsektors gelten.
Der notifizierende Mitgliedstaat kann folglich mit Blick auf die vertrauenden Beteiligten des Privatsektors Bedingungen für den Zugang zu den Authentifizierungsmitteln festlegen.
Diese Zugangsbedingungen können angeben, dass das Authentifizierungsmittel für das notifizierte System den vertrauenden Beteiligten des Privatsektors derzeit noch nicht zur Verfügung steht.

- = -

(19) Die Sicherheit elektronischer Identifizierungssysteme ist ein wesentlicher Faktor für eine vertrauenswürdige grenzüberschreitende gegenseitige Anerkennung elektronischer Identifizierungsmittel.
Die mitgliedstaaten sollten in diesem Zusammenhang mit Blick auf die Sicherheit und die Interoperabilität der elektronischen Identifizierungssysteme auf Ebene der Union zusammenarbeiten.
Wann immer für elektronische Identifizierungssysteme die Verwendung bestimmter Hardware oder Software durch vertrauende Beteiligte auf nationaler Ebene erforderlich sein könnte, verlangt die grenzüberschreitende Interoperabilität, dass die mitgliedstaaten den außerhalb ihres Hoheitsgebiets niedergelassenen vertrauenden Parteien keine solchen Anforderungen und damit verbundene Kosten auferlegen.
In diesem Fall sollten innerhalb des Anwendungsbereichs des Interoperabilitätsrahmens geeignete Lösungen erörtert und entwickelt werden.
Technische Anforderungen, die sich zwangsläufig aus der Spezifikation der nationalen elektronischen Identifizierungsmittel ergeben und die voraussichtlich Nachteile für die Inhaber solcher Identifizierungsmittel (z.
B.
Chipkarten) mit sich bringen, sind hingegen unvermeidbar.

- = -

(20) Die Zusammenarbeit der mitgliedstaaten sollte die technische Interoperabilität der notifizierten elektronischen Identifizierungssysteme im Hinblick auf die Förderung eines hohen Maßes an Vertrauen und Sicherheit erleichtern, das der Höhe des Risikos angemessen ist.
Der Informationsaustausch und der Austausch bewährter Verfahren zwischen den mitgliedstaaten im Hinblick auf ihre gegenseitige Anerkennung sollten bei dieser Zusammenarbeit hilfreich sein.

- = -

(22) Um ihre allgemeine grenzüberschreitende Verwendung zu fördern, sollte es in allen mitgliedstaaten möglich sein, Vertrauensdienste in Gerichtsverfahren als Beweismittel zu verwenden.
Die Rechtswirkung von Vertrauensdiensten ist jedoch durch nationales Recht festzulegen, sofern in dieser Verordnung nichts anderes bestimmt ist.

- = -

(24) Die mitgliedstaaten können nationale Vorschriften für Vertrauensdienste im Einklang mit dem Unionsrecht beibehalten oder einführen, soweit diese Dienste durch die vorliegende Verordnung nicht vollständig harmonisiert sind.
Vertrauensdienste, die dieser Verordnung entsprechen, sollten jedoch im Binnenmarkt frei verkehren können.

- = -

(25) Den mitgliedstaaten sollte es freistehen, auch andere Arten von Vertrauensdiensten zusätzlich zu jenen festzulegen, die auf der in dieser Verordnung vorgesehenen abschließenden Liste der Vertrauensdienste stehen, um diese auf nationaler Ebene als qualifizierte Vertrauensdienste anzuerkennen.

- = -

(30) Die mitgliedstaaten sollten eine oder mehrere Aufsichtsstellen zur Wahrnehmung der Aufsichtsaufgaben im Rahmen dieser Verordnung benennen.
Ein Mitgliedstaat sollte auch aufgrund einer gegenseitigen Vereinbarung mit einem anderen Mitgliedstaat beschließen können, eine Aufsichtsstelle im Hoheitsgebiet dieses anderen Mitgliedstaats zu benennen.

- = -

(33) Bestimmungen über die Benutzung von Pseudonymen in Zertifikaten sollten die mitgliedstaaten nicht daran hindern, eine Identifizierung der Personen nach Unionsrecht oder nationalem Recht zu verlangen.

- = -

(34) Alle mitgliedstaaten sollten gemeinsame wesentliche Anforderungen an die Aufsicht beachten, damit bei qualifizierten Vertrauensdiensten überall ein vergleichbares Sicherheitsniveau besteht.
Um die einheitliche Anwendung dieser Anforderungen in der gesamten Union zu erleichtern, sollten die mitgliedstaaten vergleichbare Verfahren schaffen und Informationen über ihre Aufsichtstätigkeit und bewährte Verfahren auf diesem Gebiet austauschen.

- = -

(39) Damit die Kommission und die mitgliedstaaten die Wirksamkeit der durch diese Verordnung eingeführten Meldeverfahren für Sicherheitsverletzungen beurteilen können, sollten die Aufsichtsstellen der Kommission und der Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) zusammengefasste Informationen hierüber übermitteln.

- = -

(40) Damit die Kommission und die mitgliedstaaten die Wirksamkeit der durch diese Verordnung eingeführten erweiterten Aufsichtsmechanismen beurteilen können, sollten die Aufsichtsstellen verpflichtet werden, über ihre Tätigkeit zu berichten.
Dies wäre von größter Bedeutung für die Erleichterung des Austauschs guter Verfahren zwischen den Aufsichtsstellen und würde es ermöglichen, die einheitliche und effiziente Umsetzung der wesentlichen Aufsichtsanforderungen in allen mitgliedstaaten zu überprüfen.

- = -

(42) Um die Beaufsichtigung qualifizierter Vertrauensdiensteanbieter zu erleichtern, wenn beispielsweise ein Anbieter seine Dienste in einem anderen Mitgliedstaat erbringt, in dem er keiner Aufsicht unterliegt, oder wenn sich die Rechner eines Anbieters in einem anderen Mitgliedstaat als dem seiner Niederlassung befinden, sollte ein System der gegenseitigen Amtshilfe zwischen den Aufsichtsstellen der mitgliedstaaten eingerichtet werden.

- = -

(49) Diese Verordnung sollte den Grundsatz festlegen, dass einer elektronischen Signatur die Rechtswirkung nicht deshalb abgesprochen werden darf, weil sie in elektronischer Form vorliegt oder nicht alle Anforderungen einer qualifizierten elektronischen Signatur erfüllt.
Die Rechtswirkung elektronischer Signaturen in den mitgliedstaaten sollte jedoch durch nationales Recht festgelegt werden, außer hinsichtlich der in dieser Verordnung festgelegten Anforderungen, dass eine qualifizierte elektronische Signatur die gleiche Rechtswirkung wie eine handschriftliche Unterschrift haben sollte.

- = -

(50) Da zuständige Behörden in den mitgliedstaaten derzeit zur elektronischen Unterzeichnung ihrer Dokumente unterschiedliche Formate fortgeschrittener elektronischer Signaturen verwenden, muss dafür gesorgt werden, dass die mitgliedstaaten beim Empfang elektronisch unterzeichneter Dokumente zumindest eine gewisse Anzahl von Formaten fortgeschrittener elektronischer Signaturen technisch unterstützen können.
Wenn zuständige Behörden in den mitgliedstaaten fortgeschrittene elektronische Siegel verwenden, müsste ebenfalls dafür gesorgt werden, dass die mitgliedstaaten zumindest eine gewisse Anzahl von Formaten fortgeschrittener elektronischer Siegel unterstützen.

- = -

(53) Die Aussetzung qualifizierter Zertifikate ist in einer Reihe von mitgliedstaaten etablierte Praxis von Vertrauensdiensteanbietern und unterscheidet sich vom Widerruf; sie führt zum vorübergehenden Verlust der Gültigkeit eines Zertifikats.
Aus Gründen der Rechtssicherheit ist die Aussetzung eines Zertifikats stets deutlich auszuweisen.
Vertrauensdiensteanbieter sollten daher dafür verantwortlich sein, den Status des Zertifikats und, wenn das Zertifikat ausgesetzt ist, den genauen Zeitraum, für den das Zertifikat ausgesetzt wurde, deutlich auszuweisen.
Mit dieser Verordnung sollte Vertrauensdiensteanbietern oder mitgliedstaaten die Anwendung der Aussetzung nicht auferlegt werden, aber es sollten Transparenzvorschriften vorgesehen werden, wenn eine solche Praxis zur Verfügung steht.

- = -

(75) Bestehende Verpflichtungen, denen die mitgliedstaaten nach dem Unionsrecht, insbesondere nach der Richtlinie 2006/123/EG, bereits unterliegen, werden durch die in dieser Verordnung festgelegten Fristen für die Anwendung nicht berührt.

- = -

(76) Da die Ziele dieser Verordnung von den mitgliedstaaten nicht ausreichend verwirklicht werden können, sondern vielmehr wegen des Umfangs der Maßnahmen auf Unionsebene besser zu verwirklichen sind, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union verankerten Subsidiaritätsprinzip tätig werden.
Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Verordnung nicht über das für die Verwirklichung dieser Ziele erforderliche Maß hinaus.

- = -

keyboard_tab EIDAS 2014/0910 DE

EIDAS 2014/0910 DE