EIDAS 2014/0910 DE

(1) Vertrauensdienste, die von in einem Drittland niedergelassenen Vertrauensdiensteanbietern bereitgestellt werden, werden als rechtlich gleichwertig mit den Vertrauensdiensten anerkannt, die von in der Union niedergelassenen qualifizierten Vertrauensdiensteanbietern bereitgestellt werden, sofern die Vertrauensdienste aus dem Drittland im Rahmen einer gemäß Artikel 218 AEUV geschlossenen Vereinbarung zwischen der Union und dem betreffenden Drittland oder einer internationalen Organisation anerkannt sind.

(2) Die in Absatz 1 genannten Vereinbarungen müssen insbesondere sicherstellen, dass

die Anforderungen, die für die in der Union niedergelassenen qualifizierten Vertrauensdiensteanbieter und für die von ihnen erbrachten qualifizierten Vertrauensdienste gelten, von den Vertrauensdiensteanbietern in den Drittländern oder internationalen Organisationen, mit denen die Vereinbarungen geschlossen wurden, sowie von den von diesen erbrachten Diensten eingehalten werden;

die qualifizierten Vertrauensdienste, die von in der Union niedergelassenen qualifizierten Vertrauensdiensteanbietern erbracht werden, als rechtlich gleichwertig mit den Vertrauensdiensten anerkannt werden, die von Vertrauensdiensteanbietern in den Drittländern oder internationalen Organisationen, mit denen die Vereinbarungen geschlossen wurden, erbracht werden.

Artikel 17

Aufsichtsstelle

(1) Die Mitgliedstaaten benennen eine Aufsichtsstelle, die in ihrem Hoheitsgebiet niedergelassen ist oder die aufgrund einer gegenseitigen Vereinbarung mit einem anderen Mitgliedstaat in diesem anderen Mitgliedstaat niedergelassen ist. Diese Aufsichtsstelle ist für die Wahrnehmung der Aufsichtsaufgaben im benennenden Mitgliedstaat verantwortlich.

Die Aufsichtsstellen verfügen über die für die Wahrnehmung ihrer Aufgaben notwendigen Befugnisse und eine angemessene Ausstattung mit Ressourcen.

(2) Die Mitgliedstaaten teilen der Kommission und den anderen Mitgliedstaaten Namen und Anschrift ihrer jeweiligen benannten Aufsichtsstellen mit.

(3) Die Aufsichtsstelle nimmt folgende Funktionen wahr:

Ausübung der Aufsicht über die im Hoheitsgebiet des benennenden Mitgliedstaats niedergelassenen qualifizierten Vertrauensdiensteanbieter mit dem Ziel, im Wege von Ex-ante- und Ex-post-Aufsichtstätigkeiten zu gewährleisten, dass diese qualifizierten Vertrauensdiensteanbieter und die von ihnen erbrachten qualifizierten Vertrauensdienste den Anforderungen dieser Verordnung entsprechen;

erforderlichenfalls Durchführung von Maßnahmen im Wege von Ex-post-Aufsichtstätigkeiten in Bezug auf die im Hoheitsgebiet des benennenden Mitgliedstaats niedergelassenen nichtqualifizierten Vertrauensdiensteanbieter, wenn sie Kenntnis davon erhalten, dass diese nichtqualifizierten Vertrauensdiensteanbieter oder die von ihnen erbrachten Vertrauensdienste die Anforderungen dieser Verordnung mutmaßlich nicht erfüllen.

(4) Für die Zwecke des Absatzes 3 und im Rahmen der dort vorgegebenen Beschränkungen umfassen die Aufgaben der Aufsichtsstelle insbesondere Folgendes:

a)	Zusammenarbeit mit anderen Aufsichtsstellen und Unterstützung dieser Stellen gemäß Artikel 18;

b)	Analyse der Konformitätsbewertungsberichte gemäß Artikel 20 Absatz 1 und Artikel 21 Absatz 1;

c)	Unterrichtung der anderen Aufsichtsstellen und der Öffentlichkeit über Sicherheitsverletzungen oder Integritätsverluste gemäß Artikel 19 Absatz 2;

d)	Berichterstattung an die Kommission über ihre Haupttätigkeiten gemäß Absatz 6;

e)	Durchführung von Überprüfungen oder Beauftragung einer Konformitätsbewertungsstelle mit der Durchführung einer Konformitätsbewertung der qualifizierten Vertrauensdiensteanbieter gemäß Artikel 20 Absatz 2;

f)	Zusammenarbeit mit den Datenschutzbehörden, insbesondere indem sie diese unverzüglich über die Ergebnisse der Überprüfungen von qualifizierten Vertrauensdiensteanbietern unterrichtet, falls dem Anschein nach gegen Datenschutzvorschriften verstoßen wurde;

g)	Verleihung des Qualifikationsstatus an Vertrauensdiensteanbieter und die von ihnen erbrachten Dienste sowie Entzug dieses Status gemäß den Artikeln 20 und 21;

h)	Unterrichtung der in Artikel 22 Absatz 3 genannten, für die nationale Vertrauensliste verantwortlichen Stelle über ihre Entscheidung, den Qualifikationsstatus zu verleihen oder zu entziehen, soweit es sich dabei nicht um die Aufsichtsstelle selbst handelt;

Überprüfung des Vorliegens und der ordnungsgemäßen Anwendung von Vorschriften über Beendigungspläne für den Fall, dass der Vertrauensdiensteanbieter seine Tätigkeit einstellt, wobei auch die Frage, wie die Informationen gemäß Artikel 24 Absatz 2 Buchstabe h weiter zugänglich gehalten werden, geprüft wird;

j)	Verpflichtung der Vertrauensdiensteanbieter, bei jedem Fall von Nichteinhaltung der Anforderungen dieser Verordnung Abhilfe zu schaffen.

(5) Die Mitgliedstaaten können verlangen, dass die Aufsichtsstelle nach Maßgabe des nationalen Rechts eine Vertrauensinfrastruktur einrichtet, unterhält und aktualisiert.

(6) Bis zum 31. März jedes Jahres legt jede Aufsichtsstelle der Kommission einen Bericht über ihre Haupttätigkeiten im abgelaufenen Kalenderjahr zusammen mit einer Zusammenfassung der von den Vertrauensdiensteanbietern gemäß Artikel 19 Absatz 2 gemeldeten Sicherheitsverletzungen vor.

(7) Die Kommission macht den Mitgliedstaaten den in Absatz 6 genannten Jahresbericht zugänglich.

(8) Die Kommission kann im Wege von Durchführungsrechtsakten Form und Verfahren für die Berichterstattung nach Absatz 6 festlegen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 19

Sicherheitsanforderungen an Vertrauensdiensteanbieter

(1) Qualifizierte und nichtqualifizierte Vertrauensdiensteanbieter ergreifen geeignete technische und organisatorische Maßnahmen zur Beherrschung der Sicherheitsrisiken im Zusammenhang mit den von ihnen erbrachten Vertrauensdiensten. Diese Maßnahmen müssen unter Berücksichtigung des jeweils neuesten Standes der Technik gewährleisten, dass das Sicherheitsniveau der Höhe des Risikos angemessen ist. Insbesondere sind Maßnahmen zu ergreifen, um Auswirkungen von Sicherheitsverletzungen zu vermeiden bzw. so gering wie möglich zu halten und die Beteiligten über die nachteiligen Folgen solcher Vorfälle zu informieren.

(2) Qualifizierte und nichtqualifizierte Vertrauensdiensteanbieter melden der Aufsichtsstelle und wo zutreffend anderen einschlägigen Stellen wie etwa der für Informationssicherheit zuständigen nationalen Stelle oder der Datenschutzbehörde unverzüglich, in jedem Fall aber innerhalb von 24 Stunden nach Kenntnisnahme von dem betreffenden Vorfall, jede Sicherheitsverletzung oder jeden Integritätsverlust, die bzw. der sich erheblich auf den erbrachten Vertrauensdienst oder die darin vorhandenen personenbezogenen Daten auswirkt.

Wenn sich die Sicherheitsverletzung oder der Integritätsverlust voraussichtlich nachteilig auf eine natürliche oder juristische Person auswirken, für die der Vertrauensdienst erbracht wurde, so unterrichtet der Vertrauensdiensteanbieter auch diese natürliche oder juristische Person unverzüglich über die Sicherheitsverletzung oder den Integritätsverlust.

Gegebenenfalls unterrichtet die notifizierte Aufsichtsstelle die Aufsichtsstellen anderer betroffener Mitgliedstaaten und die ENISA, insbesondere, wenn von der Sicherheitsverletzung oder dem Integritätsverlust zwei oder mehr Mitgliedstaaten betroffen sind.

Die notifizierte Aufsichtsstelle unterrichtet ferner die Öffentlichkeit oder verpflichtet den Vertrauensdiensteanbieter hierzu, wenn sie zu dem Schluss gelangt, dass die Bekanntgabe der Sicherheitsverletzung oder des Integritätsverlustes im öffentlichen Interesse liegt.

(3) Die Aufsichtsstelle übermittelt der ENISA einmal jährlich eine Übersicht über die von den Vertrauensdiensteanbietern gemeldeten Sicherheitsverletzungen und Integritätsverlusten.

(4) Die Kommission kann im Wege von Durchführungsrechtsakten Folgendes festlegen:

a)	weitere Präzisierungen der in Absatz 1 genannten Maßnahmen;

b)	Form und Verfahren — einschließlich der Fristen — für die Zwecke des Absatzes 2.

Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

ABSCHNITT 3

Qualifizierte Vertrauensdienste

Artikel 22

Vertrauenslisten

(1) Jeder Mitgliedstaat sorgt für die Aufstellung, Führung und Veröffentlichung von Vertrauenslisten, die Angaben zu den qualifizierten Vertrauensdiensteanbietern, für die er verantwortlich ist, und den von ihnen erbrachten qualifizierten Vertrauensdiensten, umfassen.

(2) Die Mitgliedstaaten erstellen, führen und veröffentlichen auf gesicherte Weise elektronisch unterzeichnete oder besiegelte Vertrauenslisten gemäß Absatz 1 in einer für eine automatisierte Verarbeitung geeigneten Form.

(3) Die Mitgliedstaaten übermitteln der Kommission unverzüglich Informationen über die für die Erstellung, Führung und Veröffentlichung der nationalen Vertrauenslisten verantwortlichen Stellen, den Ort der Veröffentlichung der Listen, die zur Unterzeichnung oder Besiegelung der Vertrauenslisten verwendeten Zertifikate und alle etwaigen Änderungen dieser Informationen.

(4) Die Kommission macht die Informationen nach Absatz 3 auf sichere Weise und elektronisch unterzeichnet oder besiegelt in einer für eine automatisierte Verarbeitung geeigneten Form öffentlich zugänglich.

(5) Bis 18. September 2015 präzisiert die Kommission im Wege von Durchführungsrechtsakten die Angaben gemäß Absatz 1 und legt die technischen Spezifikationen und die Form der Vertrauenslisten für die Zwecke der Absätze 1 bis 4 fest. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 33

Qualifizierter Validierungsdienst für qualifizierte elektronische Signaturen

(1) Qualifizierte Validierungsdienste für qualifizierte elektronische Signaturen können nur von qualifizierten Vertrauensdiensteanbietern erbracht werden, die

a)	eine Validierung gemäß Artikel 32 Absatz 1 durchführen und

es vertrauenden Beteiligten ermöglichen, das Ergebnis des Validierungsprozesses automatisch in zuverlässiger und effizienter Weise mit Bestätigung durch die fortgeschrittene elektronische Signatur oder das fortgeschrittene elektronische Siegel des Anbieters des qualifizierten Validierungsdienstes zu erhalten.

(2) Die Kommission kann im Wege von Durchführungsrechtsakten Kennnummern für Normen für die in Absatz 1 genannten qualifizierten Validierungsdienste festlegen. Bei Validierungsdiensten für qualifizierte elektronische Signaturen, die diesen Normen entsprechen, wird davon ausgegangen, dass sie die Anforderungen in Absatz 1 erfüllen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 34

Qualifizierter Bewahrungsdienst für qualifizierte elektronische Signaturen

(1) Ein qualifizierter Bewahrungsdienst für qualifizierte elektronische Signaturen kann nur von qualifizierten Vertrauensdiensteanbietern erbracht werden, die Verfahren und Technologien verwenden, die es ermöglichen, die Vertrauenswürdigkeit der qualifizierten elektronischen Signatur über den Zeitraum ihrer technologischen Geltung hinaus zu verlängern.

(2) Die Kommission kann im Wege von Durchführungsrechtsakten Kennnummern für Normen für den qualifizierten Bewahrungsdienst für qualifizierte elektronische Signaturen festlegen. Bei Maßnahmen zu qualifizierten Bewahrungsdiensten für qualifizierte elektronische Signaturen, die diesen Normen entsprechen, wird davon ausgegangen, dass sie die Anforderungen des Absatzes 1 erfüllen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

ABSCHNITT 5

Elektronische Siegel

Artikel 44

Anforderungen an qualifizierte Dienste für die Zustellung elektronischer Einschreiben

(1) Qualifizierte Dienste für die Zustellung elektronischer Einschreiben müssen folgende Anforderungen erfüllen:

a)	Sie werden von einem oder mehreren qualifizierten Vertrauensdiensteanbietern erbracht.

b)	Sie stellen die Identifizierung des Absenders mit einem hohen Maß an Vertrauenswürdigkeit sicher.

c)	Sie stellen die Identifizierung des Empfängers vor der Zustellung der Daten sicher.

d)	Das Absenden und Empfangen der Daten ist durch eine fortgeschrittene elektronische Signatur oder ein fortgeschrittenes elektronisches Siegel eines qualifizierten Vertrauensdiensteanbieters auf eine Weise gesichert, die die Möglichkeit einer unbemerkten Veränderung der Daten ausschließt.

e)	Jede Veränderung der Daten, die zum Absenden oder Empfangen der Daten nötig ist, wird dem Absender und dem Empfänger der Daten deutlich angezeigt.

f)	Das Datum und die Zeit des Absendens, Empfangens oder einer Änderung der Daten werden durch einen qualifizierten elektronischen Zeitstempel angezeigt.

Im Fall der Weiterleitung der Daten zwischen zwei oder mehreren qualifizierten Vertrauensdiensteanbietern gelten die Anforderungen der Buchstaben a bis f für alle beteiligten qualifizierten Vertrauensdiensteanbieter.

(2) Die Kommission kann im Wege von Durchführungsrechtsakten Kennnummern für Normen für Prozesse des Absendens und Empfangens von Daten festlegen. Bei Prozessen des Absendens und Empfangens von Daten, die diesen Normen entsprechen, wird davon ausgegangen, dass sie die Anforderungen des Absatzes 1 erfüllen. Diese Durchführungsrechtsakte werden nach dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

ABSCHNITT 8

Website- Authentifizierung

whereas

(31) Die Aufsichtsstellen sollten mit Datenschutzbehörden zusammenarbeiten, beispielsweise indem sie diese über die Ergebnisse der Überprüfungen von qualifizierten Vertrauensdiensteanbietern unterrichten, falls dem Anschein nach gegen Datenschutzvorschriften verstoßen wurde.
Die Übermittlung von Informationen sollte sich insbesondere auf Sicherheitsverletzungen und auf Verletzungen des Schutzes personenbezogener Daten erstrecken.

- = -

(35) Alle Vertrauensdiensteanbieter sollten — insbesondere in Bezug auf Sicherheit und Haftung — den Anforderungen dieser Verordnung unterliegen, um die gebotene Sorgfalt, Transparenz und Zurechenbarkeit ihrer Tätigkeiten und Dienste zu gewährleisten.
Abhängig von der Art der von den Vertrauensdiensteanbietern erbrachten Vertrauensdienste ist es jedoch angemessen im Hinblick auf diese Anforderungen zwischen qualifizierten und nichtqualifizierten Vertrauensdiensteanbietern zu unterscheiden.

- = -

(37) Diese Verordnung sollte die Haftung aller Vertrauensdiensteanbieter vorsehen.
Insbesondere schafft sie eine Haftungsregelung, in deren Rahmen alle Vertrauensdiensteanbieter für Schäden haften sollen, die einer natürlichen oder juristischen Person aufgrund einer Nichteinhaltung der Verpflichtungen gemäß dieser Verordnung entstehen.
Um die Bewertung des finanziellen Risikos zu erleichtern, das für Vertrauensdiensteanbieter entstehen könnte oder gegen das diese sich versichern sollten, erlaubt diese Verordnung den Vertrauensdiensteanbietern, die Nutzung der von ihnen angebotenen Dienste unter bestimmten Bedingungen zu beschränken und damit eine Haftung für Schäden aus einer darüber hinausgehenden Nutzung auszuschließen.
Die Kunden sollten über die Beschränkungen vorab in angemessener Form unterrichtet werden.
Diese Beschränkungen sollten für eine dritte Partei erkennbar sein, z.
B.
durch einen Hinweis auf die Beschränkungen in den Geschäfts- und Nutzungsbedingungen für den zu erbringenden Dienst oder in anderer erkennbarer Form.
Für die Zwecke der Durchsetzung dieser Grundsätze sollte diese Verordnung im Einklang mit den nationalen Vorschriften über die Haftung angewendet werden.
Diese nationalen Vorschriften, zum Beispiel was die Definition von Schäden, Vorsatz oder Fahrlässigkeit angeht, und die diesbezüglich geltenden Verfahrensvorschriften bleiben daher durch diese Verordnung unberührt.

- = -

(47) Das Vertrauen in Online-Dienste und ihre Benutzerfreundlichkeit sind entscheidend dafür, dass Anwender elektronische Dienste in vollem Umfang nutzen und sich auf solche Dienste bewusst verlassen.
Es sollte daher ein EU-Vertrauenssiegel zur Kennzeichnung qualifizierter Vertrauensdienste, die von qualifizierten Vertrauensdiensteanbietern erbracht werden, eingeführt werden.
Mit einem EU-Vertrauenssiegel würden qualifizierte Vertrauensdienste eindeutig von anderen Vertrauensdiensten unterschieden, wodurch ein Beitrag zur Markttransparenz geleistet würde.
Die Verwendung eines EU-Vertrauenssiegels durch qualifizierte Vertrauensdiensteanbieter sollte freiwillig sein und sollte zu keiner anderen Verpflichtung als den in dieser Verordnung bereits vorgesehenen Verpflichtungen führen.

- = -

(53) Die Aussetzung qualifizierter Zertifikate ist in einer Reihe von Mitgliedstaaten etablierte Praxis von Vertrauensdiensteanbietern und unterscheidet sich vom Widerruf; sie führt zum vorübergehenden Verlust der Gültigkeit eines Zertifikats.
Aus Gründen der Rechtssicherheit ist die Aussetzung eines Zertifikats stets deutlich auszuweisen.
Vertrauensdiensteanbieter sollten daher dafür verantwortlich sein, den Status des Zertifikats und, wenn das Zertifikat ausgesetzt ist, den genauen Zeitraum, für den das Zertifikat ausgesetzt wurde, deutlich auszuweisen.
Mit dieser Verordnung sollte Vertrauensdiensteanbietern oder Mitgliedstaaten die Anwendung der Aussetzung nicht auferlegt werden, aber es sollten Transparenzvorschriften vorgesehen werden, wenn eine solche Praxis zur Verfügung steht.

- = -

(66) Es ist von wesentlicher Bedeutung, dass ein Rechtsrahmen geschaffen wird, um die grenzüberschreitende Anerkennung zwischen den bestehenden nationalen rechtlichen Regelungen in Bezug auf Dienste für die Zustellung elektronischer Einschreiben zu erleichtern.
Dieser Rahmen könnte Vertrauensdiensteanbietern der Union außerdem neue Marktchancen eröffnen, denn sie werden europaweit neue Dienste für die Zustellung elektronischer Einschreiben anbieten können.

- = -

keyboard_tab EIDAS 2014/0910 DE

EIDAS 2014/0910 DE