cepMonitor: Elektronische Identifizierung und Vertrauensdienste (Verordnung)
Verordnung des Europäischen Parlaments (EP) und des Rates über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt
Zuletzt aktualisiert: 23. Juli 2014
ERLASSEN:
Inkrafttreten: 17.09.2014 |
04.06.2012 Verordnungsvorschlag COM(2012) 238 |
14.10.2013 EP: Ausschussbericht |
28.02.2014 Kommission, EP und Rat: Trilogergebnis |
---|---|---|---|
Begriffe | „Elektronische Identifizierung“ bedeutet Identifizierung einer Person durch elektronische Daten (Art. 3 Abs. 1). „Vertrauensdienste“ sind elektronische Dienste zur „Erstellung, Überprüfung, Validierung, Handhabung und Bewahrung“ von elektronischen Signaturen, Siegeln, Zeitstempeln, Dokumenten, Zustelldiensten und Zertifikaten sowie von Verfahren zur Prüfung, ob eine Webseite von ihrem Inhaber stammt (Authentifizierung) (Art. 3 Abs. 12). „Qualifizierte Vertrauensdienste“ sind Vertrauensdienste, die den Anforderungen der vorliegenden Verordnung genügen (Art. 3 Abs. 13). „Einfache elektronische Signaturen“ sind elektronische Daten, die zum Unterzeichnen verwendet werden (Art. 3 Abs. 6). „Fortgeschrittene elektronische Signaturen“ sind elektronische Signaturen, die u.a. (Art. 3 Abs. 7)
„Qualifizierte elektronische Signaturen“ sind fortgeschrittene elektronische Signaturen, die von einer „qualifizierten elektronischen Signaturerstellungseinheit“ erstellt wurden und auf einem „qualifizierten Zertifikat für elektronische Signaturen“ beruhen (Art. 3 Abs. 8). |
„Elektronische Identifizierung“ bedeutet (Art. 3 Abs. 1) Identifizierung einer Person oder Bestätigung von Identifizierungsdaten für einen bestimmten Dienst durch elektronische Daten. Im Wesentlichen wie Kommission. Wie Kommission. Wie Kommission. „Fortgeschrittene elektronische Signaturen“ sind elektronische Signaturen, die u.a. (Art. 3 Abs. 7)
„Qualifizierte elektronische Signaturen“ sind fortgeschrittene elektronische Signaturen, die von einer „qualifizierten elektronischen Signaturerstellungseinheit“ erstellt wurden und auf einem „qualifizierten Zertifikat für elektronische Signaturen“ eines Anbieters von qualifizierten Vertrauensdiensten beruhen (Art. 3 Abs. 8).
|
Im Wesentlichen wie Kommission. Im Wesentlichen wie Kommission. Wie Kommission. Wie Kommission. Wie Kommission. Wie Kommission. |
Anwendungsbereich | Die Verordnung regelt (Art. 2 Abs. 1)
Ausgenommen sind elektronische Vertrauensdienste „aufgrund freiwilliger privatrechtlicher Vereinbarungen“ (Art. 2 Abs. 2). |
Die Verordnung regelt (Art. 2 Abs. 1 i.V.m. Art. 2 Abs. 2 S. 1)
Ausgenommen sind elektronische Vertrauensdienste für eine geschlossene Gruppe, die nur innerhalb dieser Gruppe genutzt werden (Art. 2 Abs. 2 S. 2). |
Die Verordnung gilt für (Art. 2 Abs. 1)
Ausgenommen sind Vertrauensdienste, die auf Basis von nationalen Gesetzen oder von Vereinbarungen zwischen Teilnehmern nur in einer geschlossenen Gruppe genutzt werden (Art. 2 Abs. 2) |
Datenverarbeitung und Datenschutz | – |
– |
Die Verwendung von Pseudonymen ist bei elektronischen Transaktionen nicht verboten. Die rechtlichen Wirkungen von Pseudonymen regelt das nationale Recht. (Art. 4a Abs. 2) |
Elektronische Identifizierung | Die Mitgliedstaaten müssen in einem anderen Mitgliedstaat ausgestellte elektronische Identifizierungsmittel anerkennen und akzeptieren (Art. 5). Voraussetzung ist, dass (Art. 5)
– – – – –
|
Die Mitgliedstaaten müssen in einem anderen Mitgliedstaat ausgestellte elektronische Identifizierungsmittel anerkennen. Voraussetzung dafür ist, dass dieser Staat das elektronische Identifizierungssystem, welches er zur Ausstellung der Identifizierungsmittel verwendet, bei der Kommission notifiziert hat und dieses seit mehr als sechs Monaten auf der entsprechenden Liste der Kommission steht. (Art. 5) Voraussetzung ist, dass (Art. 5)
Der anerkennende Mitgliedstaat erkennt die Systeme spätestens sechs Monate nach Veröffentlichung der Kommissionsliste an (Art. 5). – Wenn das elektronische Identifizierungssystem oder die Authentifizierungsmöglichkeit die Zuverlässigkeit von grenzüberschreitenden Transaktionen nicht mehr sicherstellen kann, muss der notifizierende Mitgliedstaat deren Verwendung unverzüglich stoppen und die anderen Mitgliedstaaten und die Kommission informieren (Art. 7a Abs. 1). Verstoßen elektronische Identifizierungsmittel gegen Anforderungen der Verordnung, haften die notifizierenden Mitgliedstaaten für alle „unmittelbaren Schäden“. Der Ausgeber elektronischer Identifizierungsmittel haftet für die eindeutige Zuordnung persönlicher Identifizierungsdaten und die Authentifizierungsmöglichkeit. Dabei ist eine Beweislastumkehr vorgesehen: Beide müssen beweisen, dass sie nicht fahrlässig gehandelt haben. (Art. 7b) Die notifizierten elektronischen Identifizierungssysteme müssen interoperabel sein (Art. 8 Abs. 1a).
|
Die Mitgliedstaaten müssen bei Dienstleistungen von öffentlichen Stellen in einem anderen Mitgliedstaat ausgestellte elektronische Identifizierungsmittel anerkennen (Art. 5 Abs. 1). Voraussetzung ist, dass (Art. 5 Abs. 1)
Der anerkennende Mitgliedstaat erkennt die Systeme spätestens ein Jahr nach Veröffentlichung der Kommissionsliste an (Art. 5 Abs. 1). Der Kommission notifizierte Identifizierungsmittel mit einem niedrigen Sicherheitsstandard können in einem anderen Mitgliedstaat anerkannt werden (Art. 5 Abs. 2). Wie EP-Ausschuss. Die Mitgliedstaaten haften für die eindeutige Zuordnung persönlicher Identifizierungsdaten und die Authentifizierungsmöglichkeit. Der Ausgeber haftet für die Einhaltung der gewählten Sicherheitsstufe. Es gibt keine Beweislastumkehr (Art. 7b). Wie EP-Ausschuss (Art. 8 Abs. 1). |
Vorschriften für alle Anbieter von Vertrauensdiensten | Die Mitgliedstaaten müssen eine Aufsichtsstelle für Anbieter von Vertrauensdiensten benennen (Art. 13 Abs. 1 und 2). Diese Anbieter müssen „technische und organisatorische Maßnahmen“ ergreifen, um ein „angemessenes Sicherheitsniveau“ sicherzustellen (Art. 15 Abs. 1 UAbs. 1). „Erhebliche“ Sicherheitsverletzungen müssen sie „unverzüglich“ melden (Art. 15 Abs. 2 UAbs. 1). Verletzen Anbieter von Vertrauensdiensten die Anforderungen der Verordnung, haften sie für alle „unmittelbaren Schäden“. Dabei ist eine Beweislastumkehr vorgesehen: Die Anbieter müssen beweisen, dass sie nicht fahrlässig gehandelt haben. (Art. 9 Abs. 1 und 2) |
Im Wesentlichen wie Kommission. Wie Kommission. Verletzen Anbieter von Vertrauensdiensten die Anforderungen der Verordnung, haften sie für alle „unmittelbaren Schäden“. Dabei ist eine Beweislastumkehr vorgesehen: Die Anbieter müssen beweisen, dass sie nicht fahrlässig gehandelt haben. (Art. 9 Abs. 1 und 2) Es gilt das Recht des Mitgliedstaats des Nutzers, es sei denn, es liegt eine andere Vereinbarung vor (Art. 9 Abs. 2a). |
Im Wesentlichen wie Kommission. Im Wesentlichen wie Kommission. Verletzen Anbieter von Vertrauensdiensten die Anforderungen der Verordnung, haften sie für Schäden. Dabei ist nur für Anbieter von qualifizierten Vertrauensdiensten eine Beweislastumkehr vorgesehen: Diese Anbieter müssen beweisen, dass sie nicht fahrlässig gehandelt haben. (Art. 9 Abs. 1) Die Haftungsregeln müssen im Einklang mit dem jeweiligen nationalen Recht angewandt werden (Art. 9 Abs. 3). |
Vorschriften für Anbieter von qualifizierten Vertrauensdiensten | Anbieter von qualifizierten Vertrauensdiensten müssen insbesondere die Identität einer Person überprüfen, für die sie ein „qualifiziertes Zertifikat“ ausstellen (Art. 19 Abs. 1 UAbs. 1). Anbieter von qualifizierten Vertrauensdiensten werden einmal jährlich von einer „anerkannten unabhängigen Stelle“ überprüft (Art. 16 Abs. 1). – |
Wie Kommission. Anbieter von qualifizierten Vertrauensdiensten werden einmal jährlich und nach „erheblichen technologischen oder organisatorischen Veränderungen“ von einer „anerkannten unabhängigen Stelle“ überprüft. Treten innerhalb von drei Jahren keine Beanstandungen auf, findet die Überprüfung nur noch alle zwei Jahre statt. (Art. 16 Abs. 1) Anbieter von qualifizierten Vertrauensdiensten, die die Anforderungen der Verordnung erfüllen, dürfen ein Vertrauenssiegel nutzen (Art. 18a Abs. 1). |
Wie Kommission. Anbieter von qualifizierten Vertrauensdiensten werden mindestens alle 24 Monate auf ihre Kosten von einer „Überwachungsstelle“ überprüft (Art. 16 Abs. 1). Im Wesentlichen wie EP-Ausschuss. |
Elektronische Signaturen | Qualifizierte elektronische Signaturen können handschriftliche Unterschriften ersetzen (Art. 20 Abs. 2). Die Mitgliedstaaten müssen sie anerkennen und akzeptieren (Art. 20 Abs. 3). Die Mitgliedstaaten dürfen für den grenzüberschreitenden Zugang zu Online-Diensten öffentlicher Stellen keinen höheren Sicherheitsstandard als den der qualifizierten elektronischen Signatur verlangen (Art. 20 Abs. 5). Verlangt ein Mitgliedstaat einen niedrigeren Sicherheitsstandard, so muss er alle elektronischen Signaturen anerkennen und akzeptieren, die zumindest diesen Standard erfüllen (Art. 20 Abs. 4). – – |
Qualifizierte elektronische Signaturen können handschriftliche Unterschriften ersetzen (Art. 20 Abs. 2). Die Mitgliedstaaten und EU-Institutionen müssen sie anerkennen und akzeptieren (Art. 20 Abs. 3). Wie Kommission. Verlangt ein Mitgliedstaat oder eine EU-Stelle einen niedrigeren Sicherheitsstandard, so müssen sie alle elektronischen Signaturen anerkennen und akzeptieren, die zumindest diesen Standard erfüllen (Art. 20 Abs. 4). – – |
Im Wesentlichen wie Kommission. Wie Kommission (Art. 20a Abs. 3). Verlangt ein Mitgliedstaat bei Dienstleistungen von öffentlichen Stellen eine fortgeschrittene elektronische Signatur, so muss er fortgeschrittene elektronische Signaturen, fortgeschrittene elektronische Signaturen mit einem qualifizierten Zertifikat und qualifizierte elektronische Signaturen anerkennen. Verlangt er eine fortgeschrittene elektronische Signatur mit einem qualifizierten Zertifikat, muss er fortgeschrittene elektronische Signaturen mit einem qualifizierten Zertifikat und qualifizierte elektronische Signaturen anerkennen. (Art. 20a Abs. 1 und 2). Die Kommission kann Durchführungsrechtsakte über „Referenznummern für Standards“ für fortgeschrittene Signaturen erlassen (Art. 20a Abs. 4). Die Kommission kann Durchführungsrechtsakte über „Referenzformate“ für fortgeschrittene elektronische Signaturen und „Referenzmethoden“ für „alternative Formate“ erlassen (Art. 20a Abs. 5). |
Nächste Schritte im EU-Gesetzgebungsverfahren:
Das Gesetzgebungsverfahren ist abgeschlossen.