cepMonitor: Elektronische Identifizierung und Vertrauensdienste (Verordnung)

„Elektronische Identifizierung“ bedeutet Identifizierung einer Person durch elektronische Daten (Art. 3 Abs. 1). 

„Vertrauensdienste“ sind elektronische Dienste zur „Erstellung, Überprüfung, Validierung, Handhabung und Bewahrung“ von elektronischen Signaturen, Siegeln, Zeitstempeln, Dokumenten, Zustelldiensten und Zertifikaten sowie von Verfahren zur Prüfung, ob eine Webseite von ihrem Inhaber stammt (Authentifizierung) (Art. 3 Abs. 12).

„Qualifizierte Vertrauensdienste“ sind Vertrauensdienste, die den Anforderungen der vorliegenden Verordnung genügen (Art. 3 Abs. 13). 

„Einfache elektronische Signaturen“ sind elektronische Daten, die zum Unterzeichnen verwendet werden (Art. 3 Abs. 6). 

 „Fortgeschrittene elektronische Signaturen“ sind elektronische Signaturen, die u.a. (Art. 3 Abs. 7)

• einem Unterzeichner eindeutig zugeordnet sind,

• dessen Identifizierung ermöglichen und

• mit elektronischen Signaturerstellungsdaten erstellt werden, die nur der Unterzeichner verwenden kann. 

„Qualifizierte elektronische Signaturen“ sind fortgeschrittene elektronische Signaturen, die von einer „qualifizierten elektronischen Signaturerstellungseinheit“ erstellt wurden und auf einem „qualifizierten Zertifikat für elektronische Signaturen“ beruhen (Art. 3 Abs. 8).

„Elektronische Identifizierung“ bedeutet (Art. 3 Abs. 1) Identifizierung einer Person oder Bestätigung von Identifizierungsdaten für einen bestimmten Dienst durch elektronische Daten. 

 Im Wesentlichen wie Kommission.

Wie Kommission. 

Wie Kommission. 

„Fortgeschrittene elektronische Signaturen“ sind elektronische Signaturen, die u.a. (Art. 3 Abs. 7)

• einem Unterzeichner eindeutig zugeordnet sind,

• dessen rechtmäßige Identität garantieren können und

• mit elektronischen Signaturerstellungsgeräten erstellt werden, die nur der Unterzeichner verwenden kann

„Qualifizierte elektronische Signaturen“ sind fortgeschrittene elektronische Signaturen, die von einer „qualifizierten elektronischen Signaturerstellungseinheit“ erstellt wurden und auf einem „qualifizierten Zertifikat für elektronische Signaturen“ eines Anbieters von qualifizierten Vertrauensdiensten beruhen (Art. 3 Abs. 8).

Im Wesentlichen wie Kommission.

Im Wesentlichen wie Kommission.

Wie Kommission.

Wie Kommission.

Wie Kommission.

Wie Kommission.

 Die Verordnung regelt (Art. 2 Abs. 1) 

• die elektronische Identifizierung, die von einem Mitgliedstaat selbst oder in dessen Namen oder unter dessen Verantwortung bereitgestellt wird, und

• in der EU niedergelassene Anbieter von Vertrauensdiensten.

Ausgenommen sind elektronische Vertrauensdienste „aufgrund freiwilliger privatrechtlicher Vereinbarungen“ (Art. 2 Abs. 2).

 Die Verordnung regelt (Art. 2 Abs. 1 i.V.m. Art. 2 Abs. 2 S. 1)

• notifizierte Systeme zur elektronischen Identifizierung, die von einem Mitgliedstaat beauftragt, anerkannt oder herausgegeben hat, und

• Anbieter von qualifizierten und nicht-qualifizierten Vertrauensdiensten.

Ausgenommen sind elektronische Vertrauensdienste für eine geschlossene Gruppe, die nur innerhalb dieser Gruppe genutzt werden (Art. 2 Abs. 2 S. 2).

Die Verordnung gilt für (Art. 2 Abs. 1)

• von einem Mitgliedstaat notifizierte Systeme zur elektronischen Identifizierung und

• in der EU niedergelassene Anbieter von Vertrauensdiensten.

Ausgenommen sind Vertrauensdienste, die auf Basis von nationalen Gesetzen oder von Vereinbarungen zwischen Teilnehmern nur in einer geschlossenen Gruppe genutzt werden (Art. 2 Abs. 2)

Die Mitgliedstaaten müssen in einem anderen Mitgliedstaat ausgestellte elektronische Identifizierungsmittel anerkennen und akzeptieren (Art. 5).

Voraussetzung ist, dass (Art. 5)

• das elektronische Identifizierungssystem, welches der ausstellende Mitgliedstaat zur Ausstellung der Identifizierungsmittel verwendet, auf einer von der Kommission veröffentlichten Liste notifizierter Systeme enthalten ist.

–

–

–

–

–

Die Mitgliedstaaten müssen in einem anderen Mitgliedstaat ausgestellte elektronische Identifizierungsmittel anerkennen. Voraussetzung dafür ist, dass dieser Staat das elektronische Identifizierungssystem, welches er zur Ausstellung der Identifizierungsmittel verwendet, bei der Kommission notifiziert hat und dieses seit mehr als sechs Monaten auf der entsprechenden Liste der Kommission steht. (Art. 5) 

Voraussetzung ist, dass (Art. 5)

• das elektronische Identifizierungssystem, welches der ausstellende Mitgliedstaat zur Ausstellung der Identifizierungsmittel verwendet, auf einer von der Kommission veröffentlichten Liste notifizierter Systeme enthalten ist oder

• das Identifizierungsmittel des ausstellenden Mitgliedstaats mindestens den vom anerkennenden Mitgliedstaat verlangten Sicherheitsstandard erfüllt.

Der anerkennende Mitgliedstaat erkennt die Systeme spätestens sechs Monate nach Veröffentlichung der Kommissionsliste an (Art. 5).

–

Wenn das elektronische Identifizierungssystem oder die Authentifizierungsmöglichkeit die Zuverlässigkeit von grenzüberschreitenden Transaktionen nicht mehr sicherstellen kann, muss der notifizierende Mitgliedstaat deren Verwendung unverzüglich stoppen und die anderen Mitgliedstaaten und die Kommission informieren (Art. 7a Abs. 1).

Verstoßen elektronische Identifizierungsmittel gegen Anforderungen der Verordnung, haften die notifizie­renden Mitgliedstaaten für alle „unmittelbaren Schäden“. Der Ausgeber elektronischer Identifizierungsmittel haftet für die eindeutige Zuordnung persönlicher Identifizierungsdaten und die Authentifizierungsmöglichkeit.

Dabei ist eine Beweislastumkehr vorgesehen: Beide müssen beweisen, dass sie nicht fahrlässig gehandelt haben. (Art. 7b)

Die notifizierten elektronischen Identifizierungssysteme müssen interoperabel sein (Art. 8 Abs. 1a).

Die Mitgliedstaaten müssen bei Dienstleistungen von öffentlichen Stellen in einem anderen Mitgliedstaat ausgestellte elektronische Identifizierungsmittel anerkennen (Art. 5 Abs. 1).

Voraussetzung ist, dass (Art. 5 Abs. 1)

• das elektronische Identifizierungssystem, welches der ausstellende Mitgliedstaat zur Ausstellung der Identifizierungsmittel verwendet, auf einer von der Kommission veröffentlichten Liste notifizierter Systeme enthalten ist oder

• das Identifizierungsmittel des ausstellenden Mitgliedstaats mindestens den vom anerkennenden Mitgliedstaat verlangten Sicherheitsstandard erfüllt oder

• der anerkennende Mitgliedstaat für die konkrete Dienstleistung einen substanziellen oder hohen Sicherheitsstandard vorschreibt.

Der anerkennende Mitgliedstaat erkennt die Systeme spätestens ein Jahr nach Veröffentlichung der Kommissionsliste an (Art. 5 Abs. 1).

Der Kommission notifizierte Identifizierungsmittel mit einem niedrigen Sicherheitsstandard können in einem anderen Mitgliedstaat anerkannt werden (Art. 5 Abs. 2).

Wie EP-Ausschuss.

Die Mitgliedstaaten haften für die eindeutige Zuordnung persönlicher Identifizierungsdaten und die Authentifizierungsmöglichkeit. Der Ausgeber haftet für die Einhaltung der gewählten Sicherheitsstufe.

Es gibt keine Beweislastumkehr (Art. 7b).

Wie EP-Ausschuss (Art. 8 Abs. 1).

Die Mitgliedstaaten müssen eine Aufsichtsstelle für Anbieter von Vertrauensdiensten benennen (Art. 13 Abs. 1 und 2). 

Diese Anbieter müssen „technische und organisatorische Maßnahmen“ ergreifen, um ein „angemessenes Sicherheitsniveau“ sicherzustellen (Art. 15 Abs. 1 UAbs. 1). „Erhebliche“ Sicherheitsverletzungen müssen sie „unverzüglich“ melden (Art. 15 Abs. 2 UAbs. 1). 

Verletzen Anbieter von Vertrauensdiensten die Anforderungen der Verordnung, haften sie für alle „unmittelbaren Schäden“. Dabei ist eine Beweislastumkehr vorgesehen: Die Anbieter müssen beweisen, dass sie nicht fahrlässig gehandelt haben. (Art. 9 Abs. 1 und 2)

Im Wesentlichen wie Kommission.

Wie Kommission.

Verletzen Anbieter von Vertrauensdiensten die Anforderungen der Verordnung, haften sie für alle „unmittelbaren Schäden“. Dabei ist eine Beweislastumkehr vorgesehen: Die Anbieter müssen beweisen, dass sie nicht fahrlässig gehandelt haben. (Art. 9 Abs. 1 und 2) Es gilt das Recht des Mitgliedstaats des Nutzers, es sei denn, es liegt eine andere Vereinbarung vor (Art. 9 Abs. 2a).

Im Wesentlichen wie Kommission.

Im Wesentlichen wie Kommission.

Verletzen Anbieter von Vertrauensdiensten die Anforderungen der Verordnung, haften sie für Schäden. Dabei ist nur für Anbieter von qualifizierten Vertrauensdiensten eine Beweislastumkehr vorgesehen: Diese Anbieter müssen beweisen, dass sie nicht fahrlässig gehandelt haben. (Art. 9 Abs. 1) Die Haftungsregeln müssen im Einklang mit dem jeweiligen nationalen Recht angewandt werden (Art. 9 Abs. 3).

Anbieter von qualifizierten Vertrauensdiensten müssen insbesondere die Identität einer Person überprüfen, für die sie ein „qualifiziertes Zertifikat“ ausstellen (Art. 19 Abs. 1 UAbs. 1). 

Anbieter von qualifizierten Vertrauensdiensten werden einmal jährlich von einer „anerkannten unabhängigen Stelle“ überprüft (Art. 16 Abs. 1). 

–

Wie Kommission. 

Anbieter von qualifizierten Vertrauensdiensten werden einmal jährlich und nach „erheblichen technologischen oder organisatorischen Veränderungen“ von einer „anerkannten unabhängigen Stelle“ überprüft. Treten innerhalb von drei Jahren keine Beanstandungen auf, findet die Überprüfung nur noch alle zwei Jahre statt. (Art. 16 Abs. 1) 

Anbieter von qualifizierten Vertrauensdiensten, die die Anforderungen der Verordnung erfüllen, dürfen ein Vertrauenssiegel nutzen (Art. 18a Abs. 1).

Wie Kommission.

Anbieter von qualifizierten Vertrauensdiensten werden mindestens alle 24 Monate auf ihre Kosten von einer „Überwachungsstelle“ überprüft (Art. 16 Abs. 1).

Im Wesentlichen wie EP-Ausschuss.

Qualifizierte elektronische Signaturen können handschriftliche Unterschriften ersetzen (Art. 20 Abs. 2). Die Mitgliedstaaten müssen sie anerkennen und akzeptieren (Art. 20 Abs. 3).

Die Mitgliedstaaten dürfen für den grenzüberschreitenden Zugang zu Online-Diensten öffentlicher Stellen keinen höheren Sicherheitsstandard als den der qualifizierten elektronischen Signatur verlangen (Art. 20 Abs. 5).

Verlangt ein Mitgliedstaat einen niedrigeren Sicherheitsstandard, so muss er alle elektronischen Signaturen anerkennen und akzeptieren, die zumindest diesen Standard erfüllen (Art. 20 Abs. 4).

–

–

Qualifizierte elektronische Signaturen können handschriftliche Unterschriften ersetzen (Art. 20 Abs. 2). Die Mitgliedstaaten und EU-Institutionen müssen sie anerkennen und akzeptieren (Art. 20 Abs. 3). 

Wie Kommission. 

Verlangt ein Mitgliedstaat oder eine EU-Stelle einen niedrigeren Sicherheitsstandard, so müssen sie alle elektronischen Signaturen anerkennen und akzeptieren, die zumindest diesen Standard erfüllen (Art. 20 Abs. 4).

–

–

Im Wesentlichen wie Kommission.

Wie Kommission (Art. 20a Abs. 3).

Verlangt ein Mitgliedstaat bei Dienstleistungen von öffentlichen Stellen eine fortgeschrittene elektronische Signatur, so muss er fortgeschrittene elektronische Signaturen, fortgeschrittene elektronische Signaturen mit einem qualifizierten Zertifikat und qualifizierte elektronische Signaturen anerkennen. Verlangt er eine fortgeschrittene elektronische Signatur mit einem qualifizierten Zertifikat, muss er fortgeschrittene elektronische Signaturen mit einem qualifizierten Zertifikat und qualifizierte elektronische Signaturen anerkennen. (Art. 20a Abs. 1 und 2).

Die Kommission kann Durchführungsrechtsakte über „Referenznummern für Standards“ für fortgeschrittene Signaturen erlassen (Art. 20a Abs. 4).

Die Kommission kann Durchführungsrechtsakte über „Referenzformate“ für fortgeschrittene elektronische Signaturen und „Referenzmethoden“ für „alternative Formate“ erlassen (Art. 20a Abs. 5).