Unterrichtung durch die Europäische Kommission
Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt - COM (2012) 238 final

Der Bundesrat wird über die Vorlage gemäß § 2 EUZBLG auch durch die Bundesregierung unterrichtet.

Der Europäische Wirtschafts- und Sozialausschuss und der Europäische Datenschutzbeauftragte werden an den Beratungen beteiligt.

Hinweis: vgl.
Drucksache 703/98 = AE-Nr. 982495,
Drucksache 306/10 (PDF) = AE-Nr. 100375,
Drucksache 232/11 (PDF) = AE-Nr. 110287 und AE-Nr. 110814

Europäische Kommission
Brüssel, den 4.6.2012
COM (2012) 238 final
2012/0146 (COD)

Vorschlag für eine Verordnung des Europäischen Parlaments des Rates über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (Text von Bedeutung für den EWR)

{SWD(2012) 135 final}
{SWD(2012) 136 final}

Begründung

1. Kontext des Vorschlags

In dieser Begründung wird ein Vorschlag für einen Rechtsrahmen erläutert, der das Vertrauen in elektronische Transaktionen im Binnenmarkt stärken soll.

Die wirtschaftliche Entwicklung setzt Vertrauen in das Online-Umfeld voraus. Mangelndes Vertrauen führt dazu, dass Verbraucher, Unternehmen und Verwaltungen nur zögerlich elektronische Transaktionen durchführen oder neue Dienste einführen bzw. nutzen.

Die Digitale Agenda für Europa1 benennt bestehende Hindernisse bei der digitalen Entwicklung Europas und kündigt Vorschläge für Rechtsvorschriften im Bereich der elektronischen Signaturen (Schlüsselaktion 3) sowie der gegenseitigen Anerkennung der elektronischen Identifizierung und Authentifizierung (Schlüsselaktion 16) an, mit denen ein klarer Rechtsrahmen geschaffen werden soll, um die Fragmentierung und den Mangel an Interoperabilität zu beseitigen, die digitale Bürgerschaft zu stärken und der Cyberkriminalität vorzubeugen. Der Erlass von Rechtsvorschriften zur EU-weiten gegenseitigen Anerkennung der elektronischen Identifizierung und Authentifizierung und die Überarbeitung der Richtlinie über elektronische Signaturen sind auch eine der Leitaktionen, die in der Binnenmarktakte2 zur Verwirklichung des digitalen Binnenmarkts vorgesehenen sind. Der Fahrplan für Stabilität und Wachstum3 unterstreicht die Schlüsselrolle, die dem künftigen gemeinsamen Rechtsrahmen für die gegenseitige Anerkennung und Akzeptierung der elektronischen Identifizierung und Authentifizierung bei der Entwicklung der digitalen Wirtschaft zukommt.

Der vorgeschlagene Rechtsrahmen, eine "Verordnung über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt", soll sichere und nahtlose elektronische Transaktionen zwischen Unternehmen, Bürgern und öffentlichen Verwaltungen ermöglichen und dadurch die Effektivität öffentlicher und privater Online-Dienstleistungen, des elektronischen Geschäftsverkehrs und des elektronischen Handels in der EU erhöhen.

Das bestehende EU-Recht, vor allem die Richtlinie 1999/93/EG über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen 4, regelt im Wesentlichen nur elektronische Signaturen. Es gibt keinen umfassenden grenz- und sektorenübergreifenden EU-Rahmen für sichere, vertrauenswürdige und einfach zu nutzende elektronische Transaktionen, der elektronische Identifizierung, Authentifizierung und Signaturen umfassen würde.

Das Ziel besteht somit darin, die bestehenden Rechtsvorschriften zu erweitern und die gegenseitige Anerkennung und Akzeptierung notifizierter elektronischer Identifizierungssysteme und anderer wichtiger einschlägiger elektronischer Vertrauensdienste auf EU-Ebene zu regeln.

2. Ergebnisse der Konsultation der interessierten Kreise der Folgenabschätzungen

Diese Initiative ist das Ergebnis umfassender Konsultationen der interessierten Kreise zur Überprüfung des derzeitigen Rechtsrahmens für elektronische Signaturen, in deren Verlauf die Kommission Stellungnahmen aus den Mitgliedstaaten, aus dem Europäischen Parlament und von anderen Akteuren einholte 5. Eine öffentliche Online-Konsultation wurde ergänzt durch eine "KMU-Testgruppe", um die besonderen Ansichten und Bedürfnisse der KMU zu ermitteln, sowie durch zielgerichtete Konsultationen der interessierten Kreise 6,7. Außerdem gab die Kommission eine Reihe von Studien zum Thema "elektronische Identifizierung, Authentifizierung und Signaturen sowie einschlägige Vertrauensdienste" (eIAS) in Auftrag.

Wie bei den Konsultationen deutlich wurde, ist sich eine breite Mehrheit der Akteure darin einig, dass der derzeitige Rahmen überarbeitet werden muss, um die von der Richtlinie über elektronische Signaturen gelassenen Lücken zu schließen. Dies wäre nach allgemeiner Auffassung nötig, um besser auf die rasante Entwicklung neuer Technologien (vor allem Online-Technologien und mobile Zugangswege) und die zunehmende Globalisierung reagieren zu können, ohne die Technologieneutralität des Rechtsrahmens aufzugeben.

Entsprechend ihrer Strategie für eine bessere Rechtsetzung hat die Kommission eine Folgenabschätzung zu den in Frage kommenden Optionen vorgenommen. Geprüft wurden die bestehenden Politikoptionen unter drei Aspekten, nämlich 1) Anwendungsbereich des neuen Rahmens, 2) Rechtsinstrument und 3) erforderliche Aufsichtsebene 8. Die favorisierte Option würde die Erhöhung der Rechtssicherheit, die verstärkte Koordinierung der nationalen Aufsicht und die Gewährleistung der gegenseitigen Anerkennung und Akzeptierung elektronischer Identifizierungssysteme sowie die Einbeziehung wichtiger einschlägiger Vertrauensdienste bewirken. Die Folgenabschätzung führte zu dem Ergebnis, dass sich dadurch erhebliche Verbesserungen in Bezug auf Rechtssicherheit, Sicherheit und Vertrauen bei grenzüberschreitenden elektronischen Transaktionen erzielen lassen, was eine Verringerung der Marktfragmentierung zur Folge hätte.

3. Rechtliche Aspekte des Vorschlags

3.1 Rechtsgrundlage

Dieser Vorschlag beruht auf Artikel 114 AEUV, der die Annahme von Vorschriften zur Beseitigung bestehender Hindernisse für das Funktionieren des Binnenmarkts betrifft. Bürger, Unternehmen, und Verwaltungen sollen in die Lage versetzt werden, sich die Vorteile der gegenseitigen Anerkennung und Akzeptierung der elektronischen Identifizierung, Authentifizierung und Signaturen sowie einschlägiger Vertrauensdienste grenzüberschreitend zunutze zu machen, wenn dies zur Inanspruchnahme und Abwicklung elektronischer Verfahren oder Transaktionen erforderlich ist.

Eine Verordnung wird als am besten geeignetes Rechtsinstrument betrachtet. Aufgrund ihrer unmittelbaren Anwendbarkeit nach Artikel 288 AEUV trägt sie zur Rechtsvereinheitlichung bei und erhöht die Rechtssicherheit durch Einführung harmonisierter Kernbestimmungen, die zum besseren Funktionieren des Binnenmarktes beitragen.

3.2 Subsidiarität und Verhältnismäßigkeit

Bei einem Tätigwerden der EU muss das Subsidiaritätsprinzip gewahrt sein:

a) Transnationaler Charakter des Problems (Kriterium der Erforderlichkeit)

Der transnationale Charakter der eIAS erfordert ein Tätigwerden der EU. Einzelstaatliche (d.h. nationale) Maßnahmen allein würden weder ausreichen, um die Zielsetzungen zu erfüllen, noch um die mit der Strategie Europa 20209 angestrebten Ziele zu verwirklichen. Zudem zeigt die Erfahrung, dass nationale Maßnahmen de facto zu Hindernissen bei der EU-weiten Interoperabilität elektronischer Signaturen geführt haben, und dass davon derzeit die gleiche Wirkung auf die elektronische Identifizierung, die elektronische Authentifizierung und einschlägige Vertrauensdienste ausgeht. Deshalb ist es notwendig, dass die EU einen grundlegenden Rahmen für die Regelung der grenzübergreifenden Interoperabilität schafft und nationale Aufsichtssysteme besser koordiniert. Die elektronische Identifizierung kann in der vorgeschlagenen Verordnung jedoch nicht in der gleichen allgemeinen Weise geregelt werden wie einschlägige Vertrauensdienste, weil die Ausstellung von Identifizierungsmitteln in die nationale Zuständigkeit fällt. Der Vorschlag konzentriert sich daher strikt auf die grenzübergreifenden Aspekte der elektronischen Identifizierung.

In einem Umfeld, in dem die derzeit bestehenden Unterschiede im nationalen Recht häufig zu Rechtsunsicherheit und zusätzlichen Belastungen führen, schafft die vorgeschlagene Verordnung gleiche Wettbewerbsbedingungen für Unternehmen, die Vertrauensdienste erbringen. Die Rechtssicherheit wird durch klare Verpflichtungen der Mitgliedstaaten bezüglich der Akzeptierung qualifizierter Vertrauensdienste beträchtlich erhöht, wodurch für die Unternehmen zusätzliche Anreize für eine Tätigkeit im Ausland entstehen. So wird sich beispielsweise ein Unternehmen auf elektronischem Wege an einer öffentlichen Ausschreibung, die von einer Verwaltung eines anderen Mitgliedstaats durchgeführt wird, beteiligen können, ohne dass seine elektronische Signatur wegen besonderer nationaler Anforderungen oder wegen Interoperabilitätsproblemen blockiert wird. Überdies wird ein Unternehmen so die Möglichkeit haben, mit einem Geschäftspartner in einen anderen Mitgliedstaat auf elektronischem Wege Verträge zu schließen, ohne fürchten zu müssen, dass unterschiedliche rechtliche Anforderungen an Vertrauensdienste wie elektronische Siegel, elektronische Dokumente oder Zeitstempel zu Problemen führen. Auch eine Inverzugsetzung wird von einem Mitgliedstaat in einen anderen mit der Gewissheit ihrer rechtlichen Geltung in beiden Mitgliedstaaten zugestellt werden. Schließlich wird auch der Online-Handel an Vertrauenswürdigkeit gewinnen, wenn die Einkäufer über die nötigen Mittel verfügen, um nachzuprüfen, ob sie tatsächlich die Website des gewünschten Händlers aufrufen und nicht etwa eine gefälschte Website.

Dank gegenseitiger Anerkennung der elektronischen Identifizierung und weithin akzeptierter elektronischer Signaturen wird die grenzüberschreitende Erbringung zahlreicher Dienstleistungen im Binnenmarkt erleichtert, und die Unternehmen können grenzüberschreitend tätig werden, ohne beim Zusammenwirkungen mit öffentlichen Verwaltungen auf Hindernisse zu stoßen. In der Praxis ergeben sich hieraus bei der Erfüllung von Verwaltungsformalitäten erhebliche Effizienzsteigerungen sowohl für die Unternehmen als auch für die Bürger. So wird es beispielsweise möglich, dass sich Studenten auf elektronischem Weg an einer ausländischen Universität einschreiben, Bürger ihre Steuererklärung online in einem anderen Mitgliedstaat abgeben oder Patienten online auf ihre Gesundheitsdaten zugreifen. Ohne gegenseitig anerkannte elektronische Identifizierungsmittel kann ein Arzt dagegen auf behandlungsrelevante medizinische Daten seiner Patienten nicht zugreifen, so dass Untersuchungen und Labortests, denen sie sich bereits unterzogen hatten, erneut durchgeführt werden müssen.

b) Mehrwert (Kriterium der Wirksamkeit)

Die oben dargelegten Ziele werden bislang durch eine freiwillige Koordinierung unter den Mitgliedstaaten nicht erreicht, und es ist auch nicht davon auszugehen, dass dies in Zukunft möglich sein wird. Ein solches Vorgehen führt zu unnötiger Doppelarbeit und unterschiedlichen Normen, transnationalen Auswirkungen des IKT-Einsatzes und hoher Verwaltungskomplexität bei einer Koordinierung durch bilaterale und multilaterale Vereinbarungen.

Zur Überwindung von Problemen wie

3.3 Erläuterung des Vorschlags im Einzelnen

3.3.1 Kapitel I - Allgemeine Bestimmungen

Artikel 1 bestimmt den Gegenstand der Verordnung.

Artikel 2 bestimmt den sachlichen Anwendungsbereich der Verordnung.

Artikel 3 enthält die Definitionen der in der Verordnung verwendeten Begriffe. Einige Begriffsbestimmungen stammen aus der Richtlinie 1999/93/EG, andere werden präzisiert, durch weitere Merkmale ergänzt oder gänzlich neu eingeführt.

Artikel 4 legt die Binnenmarktgrundsätze in Bezug auf den räumlichen Anwendungsbereich der Verordnung fest. Es wird ausdrücklich darauf verwiesen, dass keinerlei Einschränkungen der Dienstleistungsfreiheit und des freien Verkehrs der Produkte zulässig sind.

3.3.2 Kapitel II - Elektronische Identifizierung

Artikel 5 sieht die gegenseitige Anerkennung und Akzeptierung elektronischer Identifizierungsmittel vor, die einem System unterliegen, das der Kommission unter den in der Verordnung festgelegten Bedingungen notifiziert wurde. Die meisten EU-Mitgliedstaaten haben in der einen oder anderen Form ein elektronisches Identifizierungssystem eingeführt. Diese Systeme unterscheiden sich jedoch in vielen Aspekten. Die fehlende gemeinsame Rechtsgrundlage, die jeden Mitgliedstaat dazu verpflichten würde, von anderen Mitgliedstaaten ausgestellte elektronische Identifizierungsmittel für den Zugang zu Online-Diensten anzuerkennen und zu akzeptieren, wie auch die mangelnde grenzübergreifende Interoperabilität der nationalen elektronischen Identifizierungssysteme führt zu Hindernissen, die es den Bürgern und Unternehmen unmöglich machen, die Vorteile des digitalen Binnenmarkts in vollem Umfang zu nutzen. Durch die gegenseitige Anerkennung und Akzeptierung aller elektronischen Identifizierungsmittel, die einem gemäß dieser Verordnung notifizierten System unterliegen, werden diese rechtlichen Hindernisse beseitigt.

Die Verordnung verpflichtet die Mitgliedstaaten nicht zur Einführung oder Notifizierung elektronischer Identifizierungssysteme, sondern zur Anerkennung und Akzeptierung notifizierter elektronischer Identifizierungen für alle Online-Dienste, bei denen für die Zugangsgewährung auf nationaler Ebene eine elektronische Identifizierung erforderlich ist.

Mögliche Größeneinsparungen, die durch eine grenzübergreifende Nutzung notifizierter elektronischer Identifizierungsmittel und Authentifizierungssysteme erzielt werden, können den Mitgliedstaaten Anreize bieten, ihre elektronischen Identifizierungssysteme zu notifizieren.

Artikel 6 enthält die fünf Voraussetzungen für die Notifizierung elektronischer Identifizierungssysteme:

Die Mitgliedstaaten können jene elektronischen Identifizierungssysteme notifizieren, die sie nach den eigenen Rechtsvorschriften selbst akzeptieren, wenn für öffentliche Dienste eine elektronische Identifizierung erforderlich ist. Eine weitere Voraussetzung ist, dass die jeweiligen elektronischen Identifizierungsmittel vom notifizierenden Mitgliedstaat bzw. in seinem Namen oder unter seiner Verantwortlichkeit ausgestellt werden.

Die Mitgliedstaaten müssen eine eindeutige Verknüpfung der elektronischen Identifizierungsdaten mit der betreffenden Person gewährleisten. Das heißt nicht, dass eine Person nicht mehrere elektronische Identifizierungsmittel haben kann, sondern dass sie alle mit derselben Person verknüpft sein müssen.

Die Verlässlichkeit einer elektronischen Identifizierung hängt von der Zugänglichkeit von Authentifizierungsmitteln ab (d.h. der Möglichkeit, die Gültigkeit der elektronischen Identifizierungsdaten zu überprüfen). Die Verordnung verpflichtet die notifizierenden Mitgliedstaaten, kostenlos eine Online-Authentifizierung durch Dritte zu ermöglichen. Die

Authentifizierungsmöglichkeit muss unterbrechungsfrei zur Verfügung stehen. Den auf eine solche Authentifizierung vertrauenden Beteiligten können keine bestimmten technischen Vorgaben, z.B. für eine bestimmte Hardware oder Software, gemacht werden. Dies gilt jedoch nicht für Anforderungen an die Nutzer (Inhaber) elektronischer Identifizierungsmittel, soweit diese für die Benutzung der elektronischen Identifizierungsmittel technisch notwendig sind, z.B. das Vorhandensein von Kartenlesegeräten.

Die Mitgliedstaaten müssen die Haftung für die Eindeutigkeit der Verknüpfung (d.h. dafür, dass die der Person zugeordneten Identifizierungsdaten mit keiner anderen Person verknüpft sind) und für die Authentifizierungsmöglichkeit (d.h. die Möglichkeit, die Gültigkeit der elektronischen Identifizierungsdaten zu überprüfen) übernehmen. Die Haftung der Mitgliedstaaten erstreckt sich jedoch nicht auf andere Aspekte des Identifizierungsprozesses oder auf Transaktionen, die eine Identifizierung erfordern.

Artikel 7 enthält Bestimmungen über die Notifizierung elektronischer Identifizierungssysteme bei der Kommission.

Artikel 8 dient der Gewährleistung der technischen Interoperabilität der notifizierten Identifizierungssysteme mittels eines Koordinierungsansatzes, der auch delegierte Rechtsakte umfasst.

3.3.3 Kapitel III -Vertrauensdienste 3.3.3.1 Abschnitt 1 - Allgemeine Bestimmungen

Artikel 9 enthält die Grundsätze für die Haftung nichtqualifizierter und qualifizierter Vertrauensdiensteanbieter. Er beruht auf Artikel 6 der Richtlinie 1999/93/EG und erweitert den Schadenersatzanspruch auf den Fall, dass ein fahrlässiger Verstoß eines Vertrauensdiensteanbieters gegen die bewährte Sicherheitspraxis zu einer Sicherheitsverletzung mit beträchtlichen Auswirkungen auf den Dienst führt.

Artikel 10 legt das Verfahren für die Anerkennung und Akzeptierung qualifizierter Vertrauensdienste fest, die von einem Anbieter mit Sitz in einem Drittland erbracht werden. Er beruht auf Artikel 7 der Richtlinie 1999/93/EG, übernimmt aber nur die einzig praktikable Möglichkeit, nämlich die der Anerkennung im Rahmen eines internationalen Übereinkommens zwischen der Europäischen Union und Drittländern oder internationalen Organisationen.

Artikel 11 beinhaltet den Grundsatz des Datenschutzes und der Datenminimierung. Er beruht auf Artikel 8 der Richtlinie 1999/93/EG.

Artikel 12 macht Vertrauensdienste für Behinderte zugänglich.

3.3.3.2 Abschnitt 2 - Beaufsichtigung

Artikel 13 verpflichtet die Mitgliedstaaten zur Einrichtung von Aufsichtsstellen in Anlehnung an Artikel 3 Absatz 3 der Richtlinie 1999/93/EG; ferner präzisiert und erweitert er deren Auftrag in Bezug auf Vertrauensdiensteanbieter und qualifizierte Vertrauensdiensteanbieter.

Artikel 14 führt ein besonderes Verfahren für die gegenseitige Amtshilfe zwischen den Aufsichtsstellen in den Mitgliedstaaten ein, um die grenzübergreifende Beaufsichtigung von Vertrauensdiensteanbietern zu erleichtern. Er enthält auch Vorschriften über gemeinsame Maßnahmen und das Recht der Aufsichtsstellen, sich an solchen Maßnahmen zu beteiligen.

Artikel 15 führt für qualifizierte und nichtqualifizierte Vertrauensdiensteanbieter eine Verpflichtung ein, ihre Tätigkeiten durch technische und organisatorische Maßnahmen zu sichern. Darüber hinaus müssen Sicherheitsverletzungen den zuständigen Aufsichtsstellen und anderen einschlägigen Behörden gemeldet werden. Diese müssen dann gegebenenfalls die Aufsichtsstellen der anderen Mitgliedstaaten unterrichten und die Öffentlichkeit entweder direkt oder über den betreffenden Vertrauensdiensteanbieter informieren.

Artikel 16 legt die Bedingungen für die Beaufsichtigung qualifizierter Vertrauensdiensteanbieter und von ihnen erbrachter qualifizierter Vertrauensdienste fest. Er verpflichtet qualifizierte Vertrauensdiensteanbieter, sich jährlich einer Prüfung (Audit) seitens einer anerkannten unabhängigen Stelle zu unterziehen, um der Aufsichtsstelle zu bestätigen, dass sie die in dieser Verordnung festgelegten Pflichten erfüllen. Außerdem kann die Aufsichtsstelle gemäß Artikel 16 Absatz 2 bei qualifizierten Vertrauensdiensteanbietern jederzeit Vor-Ort-Prüfungen durchführen. Die Aufsichtsstelle ist zudem befugt, qualifizierten Vertrauensdiensteanbietern verbindliche Anweisungen zur angemessenen Behebung von Pflichtverletzungen zu erteilen, die bei einem Sicherheitsaudit festgestellt werden.

Artikel 17 betrifft das Vorgehen der Aufsichtsstelle, nachdem ein Vertrauensdiensteanbieter seine Absicht bekundet hat, einen qualifizierten Vertrauensdienst anzubieten.

Artikel 18 regelt die Aufstellung von Vertrauenslisten10 mit Angaben über die beaufsichtigten qualifizierten Vertrauensdiensteanbieter und die von ihnen angebotenen qualifizierten Dienste. Diese Informationen müssen auf Grundlage einer einheitlichen Vorlage öffentlich zugänglich gemacht werden, um ihre automatisierte Nutzung zu erleichtern und eine hinreichende Ausführlichkeit der Angaben zu gewährleisten.

Artikel 19 enthält die Anforderungen, die qualifizierte Vertrauensdiensteanbieter erfüllen müssen, um als solche anerkannt zu werden. Er beruht auf Anhang II der Richtlinie 1999/93/EG.

3.3.3.3 Abschnitt 3 - Elektronische Signaturen

Artikel 20 enthält die Vorschriften über die Rechtswirkung elektronischer Signaturen natürlicher Personen. Er präzisiert und erweitert den Artikel 5 der Richtlinie 1999/93/EG durch die Einführung einer ausdrücklichen Verpflichtung, qualifizierten elektronischen Signaturen die gleiche Rechtswirkung zuzubilligen wie handschriftlichen Unterschriften. Darüber hinaus müssen die Mitgliedstaaten dafür sorgen, dass qualifizierte elektronische Signaturen im Zusammenhang mit der Erbringung öffentlicher Dienste grenzübergreifend akzeptiert werden, und dürfen keine zusätzlichen Anforderungen stellen, die den Einsatz solcher Signaturen behindern könnten.

Artikel 21 enthält die Anforderungen an qualifizierte Signaturzertifikate. Er präzisiert Anhang I der Richtlinie 1999/93/EG und entfernt Bestimmungen, die sich als unpraktikabel erwiesen haben (z.B. Begrenzung des Transaktionswerts).

Artikel 22 enthält die Anforderungen an qualifizierte elektronische Signaturerstellungseinheiten. Er präzisiert die Anforderungen an sichere Signaturerstellungseinheiten in Artikel 3 Absatz 5 der Richtlinie 1999/93/EG, die nun im Rahmen dieser Verordnung als qualifizierte Signaturerstellungseinheiten gelten. Außerdem wird klargestellt, dass eine Signaturerstellungseinheit weit mehr sein kann als nur eine Vorrichtung, die Signaturerstellungsdaten enthält. Ferner kann die Kommission eine Liste mit Verweisen auf Normen für Sicherheitsanforderungen an Erstellungseinheiten festlegen.

In Artikel 23 wird aufbauend auf Artikel 3 Absatz 4 der Richtlinie 1999/93/EG der Begriff der Zertifizierung qualifizierter elektronischer Signaturerstellungseinheiten eingeführt, damit überprüft werden kann, ob die Sicherheitsanforderungen in Anhang II erfüllt sind. Diese Einheiten müssen von allen Mitgliedstaaten als anforderungsgerecht anerkannt werden, wenn eine von einem Mitgliedstaat benannte Zertifizierungsstelle ein Zertifizierungsverfahren durchgeführt hat. Die Kommission wird gemäß Artikel 24 eine Positivliste solcher zertifizierten Einheiten veröffentlichen. Ferner kann die Kommission eine Liste mit Verweisen auf Normen für die Sicherheitsbewertung von informationstechnischen Produkten gemäß Artikel 23 Absatz 1 festlegen.

Artikel 24 betrifft die Veröffentlichung einer Liste qualifizierter elektronischer Signaturerstellungseinheiten durch die Kommission im Anschluss an eine entsprechende Notifizierung seitens der Mitgliedstaaten.

Artikel 25 enthält aufbauend auf den Empfehlungen in Anhang IV der Richtlinie 1999/93/EG verbindliche Anforderungen an die Validierung qualifizierter elektronischer Signaturen, um die Rechtssicherheit einer solchen Validierung zu erhöhen.

Artikel 26 enthält die Bedingungen für qualifizierte Validierungsdienste.

Artikel 27 legt die Bedingungen für die Langzeitbewahrung qualifizierter elektronischer Signaturen fest. Möglich ist diese dank der Anwendung von Verfahren und Technologien, die es ermöglichen, die Vertrauenswürdigkeit der Validierungsdaten für qualifizierte elektronische Signaturen über den Zeitraum ihrer technologischen Geltung hinaus zu verlängern, wenn eine Fälschung für Cyberkriminelle zu einfach zu werden droht.

3.3.3.4 Abschnitt 4 - Elektronische Siegel

Artikel 28 betrifft die Rechtswirkung elektronischer Siegel juristischer Personen. Es wird eine besondere rechtliche Vermutung eingeführt, dass ein qualifiziertes elektronisches Siegel den Ursprung und die Unversehrtheit der damit verbundenen elektronischen Dokumente garantiert.

Artikel 29 enthält die Anforderungen an qualifizierte Zertifikate für elektronische Siegel.

Artikel 30 enthält die Anforderungen an die Zertifizierung und die Veröffentlichung einer Liste qualifizierter elektronischer Siegelerstellungseinheiten.

Artikel 31 legt die Bedingungen für die Validierung und Bewahrung qualifizierter elektronischer Siegel fest.

3.3.3.5 Abschnitt 5 - Elektronische Zeitstempel

Artikel 32 betrifft die Rechtswirkung elektronischer Zeitstempel. Es wird eine besondere rechtliche Vermutung eingeführt, dass qualifizierte elektronische Zeitstempel die Gewissheit des Zeitpunkts garantieren.

Artikel 33 enthält die Anforderungen an qualifizierte elektronische Zeitstempel.

3.3.3.6 Abschnitt 6 - Elektronische Dokumente

Artikel 34 bezieht sich auf die Rechtswirkung und die Akzeptierungsbedingungen für elektronische Dokumente. Es besteht eine besondere rechtliche Vermutung der Echtheit und Unversehrtheit eines elektronischen Dokuments, das mit einer qualifizierten elektronischen Signatur oder einem qualifizierten elektronischen Siegel versehen ist. Hinsichtlich der Akzeptierung elektronischer Dokumente müssen die Mitgliedstaaten, wenn ein Originaldokument oder eine beglaubigte Kopie für die Erbringung eines öffentlichen Dienstes erforderlich ist, zumindest elektronische Dokumente akzeptieren, die von Personen ausgestellt sind, welche für die Ausstellung der entsprechenden Dokumente zuständig sind, die nach dem Recht des Ursprungsmitgliedstaates als Originale oder beglaubigte Kopien gelten.

3.3.3.7 Abschnitt 7 - Elektronische Zustelldienste

Artikel 35 betrifft die Rechtswirkung von Daten, die mittels eines elektronischen Zustelldienstes abgesendet oder empfangen wurden. Für qualifizierte elektronische Zustelldienste besteht eine besondere rechtliche Vermutung der Unversehrtheit der abgesendeten oder empfangenen Daten und der Korrektheit des Zeitpunkts, zu dem die Daten abgesendet oder empfangen wurden. Außerdem gewährleistet er auf EU-Ebene die gegenseitige Anerkennung qualifizierter elektronischer Zustelldienste.

Artikel 36 enthält die Anforderungen an qualifizierte elektronische Zustelldienste. 3.3.3.8 Abschnitt 8 - Website-Authentifizierung

Dieser Abschnitt soll sicherstellen, dass die Echtheit einer Website in Bezug auf den Inhaber der Site garantiert wird.

Artikel 37 enthält die Anforderungen an qualifizierte Zertifikate für die Website-Authentifizierung, die verwendet werden können, um die Echtheit einer Website zu garantieren. Ein qualifiziertes Zertifikat für die Website-Authentifizierung enthält bestimmte vertrauenswürdige Mindestangaben über die Website und die Rechtspersönlichkeit ihres Inhabers.

3.3.4 Kapitel IV - Delegierte Rechtsakte

Artikel 38 enthält die Standardbestimmungen für die Übertragung der Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 290 AEUV. Der Gesetzgeber kann der Kommission demnach die Befugnis übertragen, Rechtsakte ohne Gesetzescharakter mit allgemeiner Geltung zur Ergänzung oder Änderung bestimmter nicht wesentlicher Vorschriften eines Gesetzgebungsakts zu erlassen.

3.3.5 Kapitel V - D UR CHFÜHR Ungsrechtsakte

Artikel 39 regelt das Ausschussverfahren für die Übertragung von Durchführungsbefugnissen an die Kommission in Fällen, in denen es nach Artikel 291 AEUV einheitlicher Bedingungen für die Durchführung verbindlicher Rechtsakte der Union bedarf. Es gilt das Prüfverfahren.

3.3.6 Kapitel VI - Schlussbestimmungen

Artikel 40 verpflichtet die Kommission zur Bewertung der Verordnung und zur Vorlage entsprechender Berichte.

Artikel 41 hebt die Richtlinie 1999/93/EG auf und regelt den reibungslosen Übergang der bestehenden Infrastrukturen für elektronische Signaturen zu den neuen Anforderungen der Verordnung.

Artikel 42 legt den Zeitpunkt des Inkrafttretens der Verordnung fest. 4. Auswirkungen auf den Haushalt

Die konkreten Auswirkungen des Vorschlags auf den Haushalt hängen mit den der Europäischen Kommission übertragenen Aufgaben zusammen und werden im beigefügten Finanzbogen dargelegt.

Der Vorschlag hat keine Auswirkungen auf die operativen Ausgaben.

Der Finanzbogen zu diesem Verordnungsvorschlag gibt Aufschluss über die Haushaltsauswirkungen der Verordnung selbst.

Vorschlag für eine Verordnung des Europäischen Parlaments des Rates über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (Text von Bedeutung für den EWR)

DAS Europäische Parlament der Rat der Europäischen Union - gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 114, auf Vorschlag der Europäischen Kommission, nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente, nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses11, nach Anhörung des europäischen Datenschutzbeauftragten12, gemäß dem ordentlichen Gesetzgebungsverfahren, in Erwägung nachstehender Gründe:

Haben folgende Verordnung Erlassen:

Kapitel I
Allgemeine Bestimmungen

Artikel 1
Gegenstand

Artikel 2
Anwendungsbereich

Artikel 3
Begriffsbestimmungen

Für die Zwecke dieser Verordnung gelten die folgenden Begriffsbestimmungen:

Artikel 4
Binnenmarktgrundsatz

Kapitel II
ELEKTRONISCHE Identifizierung

Artikel 5
Gegenseitige Anerkennung und Akzeptierung

Ist für den Zugang zu einem Online-Dienst nach nationalem Recht oder nationaler Verwaltungspraxis eine elektronische Identifizierung mit einem elektronischen Identifizierungsmittel und mit Authentifizierung erforderlich, wird für die Gewährung des Zugangs zu diesem Dienst jedes in einem anderen Mitgliedstaat ausgestellte elektronische Identifizierungsmittel anerkannt und akzeptiert, das einem System unterliegt, das auf der Liste steht, die von der Kommission nach dem Verfahren des Artikels 7 veröffentlicht wird.

Artikel 6
Bedingungen für die Notifizierung elektronischer Identifizierungssysteme

Artikel 7
Notifizierung

Artikel 8
Koordinierung

Kapitel III
Vertrauensdienste

Abschnitt 1
Allgemeine Bestimmungen

Artikel 9
Haftung

Artikel 10
Vertrauensdiensteanbieter aus Drittländern

Artikel 11
Datenverarbeitung und Datenschutz

Artikel 12
Zugänglichkeit für Personen mit Behinderungen

Vertrauensdienste und zur Erbringung solcher Dienste verwendete Endnutzerprodukte werden für Personen mit Behinderungen barrierefrei zugänglich gemacht, wann immer dies möglich ist.

Abschnitt 2
Beaufsichtigung

Artikel 13
Aufsichtsstelle

Artikel 14
Gegenseitige Amtshilfe

Artikel 15
Sicherheitsanforderungen an Vertrauensdiensteanbieter

Artikel 16
Beaufsichtigung qualifizierter Vertrauensdiensteanbieter

Artikel 17
Beginn der Erbringung qualifizierter Vertrauensdienste

Artikel 18
Vertrauenslisten

Artikel 19
Anforderungen an qualifizierte Vertrauensdiensteanbieter

Abschnitt 3
Elektronische Signaturen

Artikel 20
Rechtswirkung und Akzeptierung elektronischer Signaturen

Artikel 21
Qualifizierte Zertifikate für elektronische Signaturen

Artikel 22
Anforderungen an qualifizierte elektronische Signaturerstellungseinheiten

Artikel 23
Zertifizierung qualifizierter elektronischer Signaturerstellungseinheiten

Artikel 24
Veröffentlichung einer Liste zertifizierter qualifizierter elektronischer Signaturerstellungseinheiten

Artikel 25
Anforderungen an die Validierung qualifizierter elektronischer Signaturen

Artikel 26
Qualifizierter Validierungsdienst für qualifizierte elektronische Signaturen

Artikel 27
Bewahrung qualifizierter elektronischer Signaturen

Abschnitt 4
Elektronische Siegel

Artikel 28
Rechtswirkung elektronischer Siegel

Artikel 29
Anforderungen an qualifizierte Zertifikate für elektronische Siegel

Artikel 30
Qualifizierte elektronische Siegelerstellungseinheiten

Artikel 31
Validierung und Bewahrung qualifizierter elektronischer Siegel

Die Artikel 25, 26 und 27 gelten entsprechend für die Validierung und Bewahrung qualifizierter elektronischer Siegel.

Abschnitt 5
Elektronische Zeitstempel

Artikel 32
Rechtswirkung elektronischer Zeitstempel

Artikel 33
Anforderungen an qualifizierte elektronische Zeitstempel

Abschnitt 6
Elektronische Dokumente

Artikel 34
Rechtswirkung und Akzeptierung elektronischer Dokumente

Abschnitt 7
Qualifizierter elektronischer Zustelldienst

Artikel 35
Rechtswirkung des elektronischen Zustelldienstes

Artikel 36
Anforderungen an qualifizierte elektronische Zustelldienste

Abschnitt 8
Website-Authentifizierung

Artikel 37
Anforderungen an qualifizierte Zertifikate für die Website-Authentifizierung

Kapitel IV
Delegierte Rechtsakte

Artikel 38
Befugnisübertragung

Kapitel V
Durchführungsrechtsakte

Artikel 39
Ausschussverfahren

Kapitel VI
Schlussbestimmungen

Artikel 40
Berichterstattung

Die Kommission erstattet dem Europäischen Parlament und dem Rat Bericht über die Anwendung dieser Verordnung. Der erste Bericht wird spätestens vier Jahre nach Inkrafttreten dieser Verordnung vorgelegt. Danach wird alle vier Jahre ein weiterer Bericht vorgelegt.

Artikel 41
Aufhebung

Artikel 42
Inkrafttreten

Diese Verordnung tritt am 20. Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Geschehen zu Brüssel am
Im Namen des Europäischen Parlaments
Der Präsident
Im Namen des Rates
Der Präsident

Anhang I
Anforderungen an qualifizierte Zertifikate für elektronische Signaturen Qualifizierte Zertifikate für elektronische Signaturen enthalten

Anhang II
Anforderungen an qualifizierte Signaturerstellungseinheiten

Anhang III
Anforderungen an qualifizierte Zertifikate für elektronische Siegel Qualifizierte Zertifikate für elektronische Siegel enthalten

Anhang IV
Anforderungen an qualifizierte Zertifikate für die Website-Authentifizierung Qualifizierte Zertifikate für die Website-Authentifizierung enthalten:

Finanzbogen zu Rechtsakten

Der Finanzbogen befindet sich im PDF-Dokument.