| |
Durchführungsverordnung (EU) 2024/2977 der Kommission vom 28. November 2024 zur Festlegung der Vorschriften für die Anwendung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates in Bezug auf an europäische Brieftaschen für die digitale Identität ausgestellte Personenidentifizierungsdaten und elektronische Attributsbescheinigungen
(ABl. L 2024/2977 vom 04.12.2024)
Die Europäische Kommission -
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG 1, insbesondere auf Artikel 5a Absatz 23,
in Erwägung nachstehender Gründe:
(1) Der durch die Verordnung (EU) Nr. 910/2014 geschaffene europäische Rahmen für die digitale Identität ist eine unverzichtbare Komponente für die Schaffung eines sicheren und interoperablen Ökosystems für die digitale Identität in der gesamten Union. Da die europäischen Brieftaschen für die digitale Identität (im Folgenden "Brieftaschen") den Eckpfeiler des Rahmens bilden, soll damit der Zugang zu Diensten in allen Mitgliedstaaten erleichtert und gleichzeitig der Schutz personenbezogener Daten und der Privatsphäre gewährleistet werden.
(2) Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates 2 und, sofern anwendbar, die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates 3 gelten für jede Verarbeitung personenbezogener Daten gemäß der vorliegenden Verordnung.
(3) Gemäß Artikel 5a Absatz 23 der Verordnung (EU) Nr. 910/2014 muss die Kommission erforderlichenfalls die einschlägigen Spezifikationen und Verfahren festlegen. Erreicht wird dies durch vier Durchführungsverordnungen, nämlich über Protokolle und Schnittstellen: Durchführungsverordnung (EU) 2024/2982 der Kommission 4, Integrität und Kernfunktionen: Durchführungsverordnung (EU) 2024/2979 der Kommission 5, Personenidentifizierungsdaten und elektronische Attributsbescheinigungen: Durchführungsverordnung (EU) 2024/2977 der Kommission 6 sowie Notifizierungen an die Kommission Durchführungsverordnung (EU) 2024/2980 der Kommission 7. In dieser Verordnung werden die einschlägigen Anforderungen an Personenidentifizierungsdaten und elektronische Attributsbescheinigungen festgelegt, die an europäische Brieftaschen für die digitale Identität auszustellen sind.
(4) Die Kommission bewertet regelmäßig neue Technologien, Praktiken, Normen oder technische Spezifikationen. Um ein Höchstmaß an Harmonisierung zwischen den Mitgliedstaaten bei der Entwicklung und Zertifizierung der Brieftaschen zu gewährleisten, beruhen die in dieser Durchführungsverordnung festgelegten technischen Spezifikationen auf den Arbeiten, die auf der Grundlage der Empfehlung (EU) 2021/946 der Kommission vom 3. Juni 2021 für ein gemeinsames Instrumentarium der Union für ein koordiniertes Herangehen an einen europäischen Rahmen für die digitale Identität 8 durchgeführt wurden, insbesondere auf der Architektur und dem Referenzrahmen, die Teil davon sind. Nach Erwägungsgrund 75 der Verordnung (EU) 2024/1183 des Europäischen Parlaments und des Rates 9 sollte die Kommission diese Durchführungsverordnung gegebenenfalls überprüfen und aktualisieren, damit sie mit globalen Entwicklungen, der Architektur und dem Referenzrahmen Schritt hält und den bewährten Verfahren des Binnenmarkts folgt.
(5) Zur Gewährleistung des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen sollten die Brieftaschen mit mehreren den Schutz der Privatsphäre fördernden Merkmalen ausgestattet sein, um zu verhindern, dass Anbieter elektronischer Identifizierungsmittel und elektronischer Attributsbescheinigungen personenbezogene Daten, die im Rahmen der Bereitstellung anderer Dienste gewonnen worden sind, mit den personenbezogenen Daten kombinieren, die verarbeitet werden, um die Dienste bereitzustellen, die in den Anwendungsbereich der Verordnung (EU) Nr. 910/2014 fallen.
(6) Im Interesse der Harmonisierung sollten in allen elektronischen Brieftaschen bestimmte gemeinsame Funktionen zur Verfügung stehen, darunter das sichere Anfordern, Erhalten, Auswählen, Kombinieren, Speichern, Löschen, Weitergeben und Vorweisen - unter alleiniger Kontrolle durch den Brieftaschennutzer - von Personenidentifizierungsdaten und elektronischen Attributsbescheinigungen. Damit Personenidentifizierungsdaten und elektronische Attributsbescheinigungen über jede Einzelbrieftasche verarbeitet werden können, müssen technische Spezifikationen für Personenidentifizierungsdatenattribute, das Datenformat und die Infrastruktur, die erforderlich sind, um eine angemessene Vertrauenswürdigkeit der Personenidentifizierungsdaten zu gewährleisten, durch alle Brieftaschenlösungen unterstützt werden. Darüber hinaus sollen gemeinsame Spezifikationen für Attribute der Personenidentifizierungsdaten sicherstellen, dass diese Daten bei Bedarf für den Identitätsabgleich verwendet werden können.
(7) Die Mitgliedstaaten müssen sicherstellen, dass die Brieftaschen vertrauende Beteiligte, Anbieter von Personenidentifizierungsdaten und Anbieter elektronischer Attributsbescheinigungen unabhängig davon, wo sie in der Union niedergelassen sind, authentifizieren können. Dazu sollten diese Einrichtungen Zugriffszertifikate für auf Brieftaschen vertrauende Beteiligte verwenden, wenn sie sich gegenüber Einzelbrieftaschen identifizieren. Zur Gewährleistung der Interoperabilität dieser Zertifikate für alle in der Union bereitgestellten Brieftaschen sollten die Zugriffszertifikate für auf Brieftaschen vertrauende Beteiligte gemeinsamen Normen entsprechen. Die Kommission sollte in Zusammenarbeit mit den Mitgliedstaaten die Entwicklung neuer oder alternativer Normen, auf denen Zugriffszertifikate für auf Brieftaschen vertrauende Beteiligte aufgebaut werden könnten, genau überwachen. Insbesondere sollten Vertrauensmodelle bewertet werden, die sich in den Mitgliedstaaten als wirksam und sicher erwiesen haben.
(8) Um für Transparenz gegenüber den Nutzern von elektronischen Brieftaschen zu sorgen, sollten die Mitgliedstaaten Informationen veröffentlichen, aus denen hervorgeht, welche Brieftaschenlösungen von den Anbietern von Personenidentifizierungsdaten in ihrem Hoheitsgebiet unterstützt werden. Da die Identität des Nutzers so verlässlich wie möglich sein muss, sollte für den Identitätsnachweis von Brieftaschennutzern vor dem Beginn der Ausstellung von Personenidentifizierungsdaten ein gemeinsames Sicherheitsniveau "hoch" vorgeschrieben werden, das dem in der Verordnung (EU) Nr. 910/2014 für elektronische Identifizierungsmittel festgelegten Sicherheitsniveau entspricht. Auf diese Weise gewährleisten die Einzelbrieftaschen das höchstmögliche Maß an Vertrauenswürdigkeit für Identifizierungsmittel in der gesamten Union. Bei der Anmeldung von Brieftaschennutzern auf dem Sicherheitsniveau "hoch" kann auf verschiedene sichere Prozesse zurückgegriffen werden; wurde z.B. festgestellt, dass die Person im Besitz eines mit Foto oder biometrischen Merkmalen versehenen Identitätsnachweises ist, der zwar von dem Mitgliedstaat, in dem das elektronische Identifizierungsmittel beantragt wird, anerkannt wird, aber nicht ausgestellt wurde, und dass der Identitätsnachweis die beanspruchte Identität repräsentiert, so sollte geprüft werden, ob der Identitätsnachweis bei einer relevanten verlässlichen Quelle als gültig geführt wird,
(9) Im Interesse der Interoperabilität sollten für elektronische Attributsbescheinigungen einheitliche Anforderungen an das Format gelten.
(10) Zum Schutz der Daten der Brieftaschennutzer und zur Gewährleistung der Echtheit elektronischer Attributsbescheinigungen sollten vor dem Beginn der Ausstellung der Bescheinigungen an Einzelbrieftaschen Mechanismen für die Authentifizierung der Anbieter elektronischer Attributsbescheinigungen und für die Überprüfung der Echtheit und Gültigkeit von Einzelbrieftaschen durch diesen Anbieter gelten.
(11) Um die Verwendung von Personenidentifizierungsdaten und elektronischen Attributsbescheinigungen, die nach ihrer Ausstellung an eine Einzelbrieftasche ihre rechtliche Gültigkeit verloren haben, und ein späteres Vertrauen darauf zu verhindern, sollten die Anbieter von Personenidentifizierungsdaten und elektronischen Attributsbescheinigungen ein Konzept veröffentlichen, in dem die Umstände und Verfahren für den Widerruf dargelegt werden.
(12) Damit die Personenidentifizierungsdaten eindeutig den Brieftaschennutzer der Brieftasche repräsentieren, sollten die Mitgliedstaaten zusätzlich zu den in dieser Verordnung festgelegten obligatorischen Attributen in den Personenidentifizierungsdaten optionale Attribute bereitstellen, die erforderlich sind, um sicherzustellen, dass der Personenidentifizierungsdatensatz eindeutig zuzuordnen ist.
(13) Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates 10 angehört und gab am 30. September 2024 seine Stellungnahme ab.
(14) Die in dieser Verordnung vorgesehenen Maßnahmen entsprechen der Stellungnahme des in Artikel 48 der Verordnung (EU) Nr. 910/2014 genannten Ausschusses
- hat folgende Verordnung erlassen:
Artikel 1 Gegenstand und Anwendungsbereich
Mit dieser Verordnung werden Vorschriften für die Ausstellung von Personenidentifizierungsdaten und elektronischen Attributsbescheinigungen für Einzelbrieftaschen festgelegt, die regelmäßig zu aktualisieren sind, damit sie mit den Entwicklungen von Technologie und Normen sowie mit den auf der Grundlage der Empfehlung (EU) 2021/946 durchgeführten Arbeiten und insbesondere mit der Architektur und dem Referenzrahmen Schritt halten.
Artikel 2 Begriffsbestimmungen
Für die Zwecke dieser Verordnung bezeichnet der Ausdruck
1. "Brieftaschennutzer" einen Nutzer, der die Kontrolle über die Einzelbrieftasche hat;2. "Einzelbrieftasche" eine einzigartige Konfiguration einer Brieftaschenlösung, die Brieftascheninstanzen, sichere Kryptoanwendungen für Brieftaschen und sichere Kryptomodule für Brieftaschen umfasst, die einem einzelnen Brieftaschennutzer von einem Brieftaschenanbieter bereitgestellt werden;
3. "Brieftaschenlösung" eine Kombination aus Software, Hardware, Diensten, Einstellungen und Konfigurationen, einschließlich Brieftascheninstanzen, einer oder mehreren sicheren Kryptoanwendungen für Brieftaschen und einem oder mehreren sicheren Kryptomodulen für Brieftaschen;
4. "Anbieter von Personenidentifizierungsdaten" eine natürliche oder juristische Person, die für die Ausstellung und den Widerruf der Personenidentifizierungsdaten verantwortlich ist und sicherstellt, dass die Personenidentifizierungsdaten eines Nutzers kryptografisch an eine Einzelbrieftasche gebunden sind;
5. "Einzelbrieftaschenbescheinigung" ein Datenobjekt, das die Komponenten der Einzelbrieftasche beschreibt oder die Authentifizierung und Validierung dieser Komponenten ermöglicht;
6. "Brieftascheninstanz" die Anwendung, die als Bestandteil einer Einzelbrieftasche auf dem Gerät oder in der Umgebung eines Brieftaschennutzers installiert und konfiguriert ist und die der Brieftaschennutzer verwendet, um mit der Brieftasche zu interagieren;
7. "sichere Kryptoanwendung für Brieftaschen" (Wallet Secure Cryptographic Application) eine Anwendung, die kritische Werte verwaltet und dabei mit den kryptografischen und den nicht-kryptografischen Funktionen eines sicheren Kryptomoduls für Brieftaschen verknüpft ist und diese nutzt;
8. "sicheres Kryptomodul für Brieftaschen" (Wallet Secure Cryptographic Device) eine manipulationssichere Vorrichtung, die eine Umgebung bietet, die mit der sicheren Kryptoanwendung für Brieftaschen verknüpft ist und von dieser genutzt wird, um kritische Werte zu schützen und kryptografische Funktionen für die sichere Ausführung kritischer Vorgänge bereitzustellen;
9. "Brieftaschenanbieter" eine natürliche oder juristische Person, die Brieftaschenlösungen bereitstellt;
10. "kritische Werte" Werte bzw. Daten innerhalb oder im Zusammenhang mit einer Einzelbrieftasche, die so außerordentlich wichtig sind, dass die Beeinträchtigung ihrer Verfügbarkeit, Vertraulichkeit oder Integrität eine sehr schwerwiegende, beeinträchtigende Wirkung auf die verlässliche Verwendbarkeit der Einzelbrieftasche hätte;
11. "auf Brieftaschen vertrauender Beteiligter" einen vertrauenden Beteiligten, der beabsichtigt, zur Erbringung öffentlicher oder privater Dienste mittels digitaler Interaktion auf Einzelbrieftaschen zu vertrauen;
12. "Zugriffszertifikat für auf Brieftaschen vertrauende Beteiligte" ein Zertifikat für elektronische Siegel oder Signaturen, mit dem auf Brieftaschen vertrauende Beteiligte authentifiziert und validiert werden und das von einem Anbieter von Zugriffszertifikaten für auf Brieftaschen vertrauende Beteiligte ausgestellt wird;
13. "Anbieter von Zugriffszertifikaten für auf Brieftaschen vertrauende Beteiligte" eine natürliche oder juristische Person, die von einem Mitgliedstaat beauftragt wurde, Zugriffszertifikate für auf Brieftaschen vertrauende Beteiligte auszustellen, die in diesem Mitgliedstaat registriert sind.
Artikel 3 Ausstellung von Personenidentifizierungsdaten an Einzelbrieftaschen
(1) Die Anbieter von Personenidentifizierungsdaten stellen Personenidentifizierungsdaten an Einzelbrieftaschen im Einklang mit den elektronischen Identifizierungssystemen aus, in deren Rahmen Brieftaschenlösungen bereitgestellt werden.
(2) Die Anbieter von Personenidentifizierungsdaten stellen sicher, dass die an Einzelbrieftaschen ausgestellten Personenidentifizierungsdaten die Informationen enthalten, die für die Authentifizierung und Validierung der Personenidentifizierungsdaten erforderlich sind.
(3) Die Anbieter von Personenidentifizierungsdaten stellen sicher, dass die an Einzelbrieftaschen ausgestellten Personenidentifizierungsdaten den technischen Spezifikationen im Anhang entsprechen.
(4) Die Mitgliedstaaten stellen sicher, dass die einem bestimmten Brieftaschennutzer ausgestellten Personenidentifizierungsdaten für den Mitgliedstaat eindeutig zuzuordnen sind.
(5) Die Anbieter von Personenidentifizierungsdaten stellen sicher, dass die von ihnen ausgestellten Personenidentifizierungsdaten kryptografisch an die Einzelbrieftasche, an die sie ausgestellt werden, gebunden sind.
(6) Die Mitgliedstaaten veröffentlichen eine Liste der Brieftaschenlösungen, die von Anbietern von Personenidentifizierungsdaten, die Teil der elektronischen Identifizierungssysteme des betreffenden Mitgliedstaats sind, unterstützt werden.
(7) Die Mitgliedstaaten melden die Brieftaschennutzer gemäß den in der Durchführungsverordnung (EU) 2015/1502 der Kommission 11 festgelegten Anforderungen an die Anmeldung auf dem Sicherheitsniveau "hoch" an. Im Zusammenhang mit dem Anmeldeverfahren führen die Anbieter von Personenidentifizierungsdaten eine Identitätsüberprüfung des Brieftaschennutzers gemäß den Anforderungen an Identitätsnachweis und -überprüfung durch, bevor sie die Personenidentifizierungsdaten an die Einzelbrieftasche des betreffenden Brieftaschennutzers ausstellen.
(8) Bei der Ausstellung von Personenidentifizierungsdaten an Einzelbrieftaschen identifizieren sich die Anbieter von Personenidentifizierungsdaten anhand ihres Zugriffszertifikats für auf Brieftaschen vertrauende Beteiligte oder eines anderen Authentifizierungsmechanismus gemäß einem auf dem Sicherheitsniveau "hoch" notifizierten elektronischen Identifizierungssystem.
(9) Vor der Ausstellung von Personenidentifizierungsdaten an eine Brieftasche authentifizieren und validieren die Anbieter von Personenidentifizierungsdaten die Einzelbrieftaschenbescheinigung und überprüfen, ob die Einzelbrieftasche zu einer Brieftaschenlösung gehört, die der Anbieter von Personenidentifizierungsdaten akzeptiert, oder sie verwenden dazu einen anderen Authentifizierungsmechanismus gemäß einem auf dem Sicherheitsniveau "hoch" notifizierten elektronischen Identifizierungssystem.
Artikel 4 Ausstellung elektronischer Attributsbescheinigungen an Einzelbrieftaschen
(1) Elektronische Attributsbescheinigungen, die an Einzelbrieftaschen ausgestellt werden, müssen zumindest einer der Normen entsprechen, die in der Liste in Anhang I der Durchführungsverordnung (EU) 2024/2979 aufgeführt ist.
(2) Die Anbieter elektronischer Attributsbescheinigungen müssen sich anhand ihres Zugriffszertifikats für auf Brieftaschen vertrauende Beteiligte gegenüber der Einzelbrieftasche identifizieren.
(3) Die Anbieter elektronischer Attributsbescheinigungen stellen sicher, dass die an Einzelbrieftaschen ausgestellten elektronischen Attributsbescheinigungen die Informationen enthalten, die für die Authentifizierung und Validierung dieser elektronischen Attributsbescheinigungen erforderlich sind.
Artikel 5 Widerruf von Personenidentifizierungsdaten
(1) Anbieter von Personenidentifizierungsdaten, die an eine Einzelbrieftasche ausgestellt wurden, verfügen über schriftliche und öffentlich zugängliche Konzepte für die Verwaltung des Gültigkeitsstatus, gegebenenfalls einschließlich der Bedingungen, unter denen solche Personenidentifizierungsdaten unverzüglich widerrufen werden können.
(2) Nur Anbieter von Personenidentifizierungsdaten oder elektronischen Attributsbescheinigungen können die von ihnen ausgestellten Personenidentifizierungsdaten oder elektronischen Attributsbescheinigungen widerrufen.
(3) Wenn Anbieter von Personenidentifizierungsdaten solche Personenidentifizierungsdaten widerrufen haben, informieren sie die Brieftaschennutzer, auf die sich diese Personenidentifizierungsdaten beziehen, innerhalb von 24 Stunden über spezielle sichere Kanäle über den Widerruf und die Gründe für den Widerruf. Dies muss auf präzise und leicht zugängliche Weise und in klarer und einfacher Sprache erfolgen.
(4) Anbieter von Personenidentifizierungsdaten müssen Personenidentifizierungsdaten, die an Brieftascheneinheiten ausgestellt wurden, in jedem der folgenden Fälle widerrufen:
(5) Anbieter von Personenidentifizierungsdaten, die an eine Einzelbrieftasche ausgestellt wurden, stellen sicher, dass Widerrufe nicht rückgängig gemacht werden können.
(6) Die widerrufenen Personenidentifizierungsdaten bleiben so lange zugänglich, wie dies nach Unionsrecht oder nationalem Recht erforderlich ist.
(7) Wenn Anbieter von Personenidentifizierungsdaten Personenidentifizierungsdaten, die an Einzelbrieftaschen ausgestellt wurden, widerrufen, machen sie den Gültigkeitsstatus der von ihnen ausgestellten Personenidentifizierungsdaten unter Wahrung der Privatsphäre öffentlich zugänglich und geben in den Personenidentifizierungsdaten an, wo diese Informationen abrufbar sind.
(8) Anbieter elektronischer Identifizierungsmittel ermöglichen technische Verfahren zum Schutz der Privatsphäre, die die Unverknüpfbarkeit gewährleisten, wenn für die elektronischen Attributsbescheinigungen keine Identifizierung des Nutzers erforderlich ist.
Artikel 6 Inkrafttreten
Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Brüssel, den 28. November 2024
2) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG ( Datenschutz-Grundverordnung) (ABl. L 119 vom 04.05.2016 S. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
3) Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.07.2002 S. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
4) Durchführungsverordnung (EU) 2024/2982 der Kommission vom 28. November 2024 zur Festlegung der Vorschriften für die Anwendung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates in Bezug auf vom europäischen Rahmen für die digitale Identität zu unterstützende Protokolle und Schnittstellen (ABl. L, 2024/2982, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2982/oj).
5) Durchführungsverordnung (EU) 2024/2979 der Kommission vom 28. November 2024 zur Festlegung der Vorschriften für die Anwendung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates in Bezug auf die Integrität und die Kernfunktionen europäischer Brieftaschen für die digitale Identität (ABl. L, 2024/2979, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2979/oj).
6) Durchführungsverordnung (EU) 2024/2977 der Kommission vom 28. November 2024 zur Festlegung der Vorschriften für die Anwendung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates in Bezug auf an europäische Brieftaschen für die digitale Identität ausgestellte Personenidentifizierungsdaten und elektronische Attributsbescheinigungen (ABl. L, 2024/2977, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2977/oj).
7) Durchführungsverordnung (EU) 2024/2980 der Kommission vom 28. November 2024 zur Festlegung der Vorschriften für die Anwendung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates in Bezug auf Notifizierungen an die Kommission bezüglich des Ökosystems europäischer Brieftaschen für die digitale Identität (ABl. L, 2024/2980, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2980/oj).
8) ABl. L 210 vom 14.06.2021 S. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj.
9) Verordnung (EU) 2024/1183 des Europäischen Parlaments und des Rates vom 11. April 2024 zur Änderung der Verordnung (EU) Nr. 910/2014 im Hinblick auf die Schaffung des europäischen Rahmens für eine digitale Identität (ABl. L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
10) Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018 S. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
11) Durchführungsverordnung (EU) 2015/1502 der Kommission vom 8. September 2015 zur Festlegung von Mindestanforderungen an technische Spezifikationen und Verfahren für Sicherheitsniveaus elektronischer Identifizierungsmittel gemäß Artikel 8 Absatz 3 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (ABl. L 235 vom 09.09.2015 S. 7, ELI: http://data.europa.eu/eli/reg_impl/2015/1502/oj).
| Technische Spezifikationen für Personenidentifizierungsdaten gemäß Artikel 3 Absatz 3 | Anhang |
1. Identifizierungsdatensatz für natürliche Personen
Tabelle 1: Obligatorische Personenidentifizierungsdaten für natürliche Personen
| Datenkennung | Definition | Vorhandensein |
| family_name | Derzeitige(r) Nachname(n) des Nutzers, auf den sich die Personenidentifizierungsdaten beziehen | Obligatorisch |
| given_name | Derzeitige(r) Vorname(n) des Nutzers, auf den sich die Personenidentifizierungsdaten beziehen, einschließlich weitere(r) Vorname(n) | Obligatorisch |
| birth_date | Geburtstag, -monat und -jahr des Nutzers, auf den sich die Personenidentifizierungsdaten beziehen | Obligatorisch |
| birth_place | Land als alpha-2-Ländercode gemäß ISO 3166-1 oder Staat, Provinz, Distrikt oder Gebiet, Gemeinde, Stadt, Kleinstadt oder Dorf, in der/dem der Nutzer, auf den sich die Personenidentifizierungsdaten bezieht, geboren wurde | Obligatorisch |
| nationality | Ein oder mehrere alpha-2-Ländercodes nach ISO 3166-1, die die Staatsangehörigkeit des Nutzers angeben, auf den sich die Personenidentifizierungsdaten beziehen | Obligatorisch |
Ist ein Attributswert für die Person nicht bekannt oder kann er nicht auf andere Weise als Teil des Personenidentifizierungsdatensatzes ausgestellt werden, verwenden die Mitgliedstaaten stattdessen einen der Situation angemessenen Attributswert.
Tabelle 2: Fakultative Personenidentifizierungsdaten für natürliche Personen
| Datenkennung | Definition | Vorhandensein |
| resident_address | Vollständige Anschrift des Ortes, in dem der Nutzer, auf den sich die Personenidentifizierungsdaten beziehen, derzeit seinen Wohnsitz hat oder erreichbar ist (Straße, Hausnummer, Stadt usw.) | Fakultativ |
| resident_country | Derzeitiges Wohnsitzland des Nutzers, auf den sich die Personenidentifizierungsdaten beziehen, als alpha-2-Ländercode nach ISO 3166-1 | Fakultativ |
| resident_state | Staat, Provinz, Distrikt oder Gebiet, in dem/der der Nutzer, auf den sich die Personenidentifizierungsdaten beziehen, derzeit seinen Wohnsitz hat | Fakultativ |
| resident_city | Gemeinde, Stadt, Kleinstadt oder Dorf, in der/dem der Nutzer, auf den sich die Personenidentifizierungsdaten beziehen, derzeit seinen Wohnsitz hat | Fakultativ |
| resident_postal_code | Postleitzahl des Orts, in dem der Nutzer, auf den sich die Personenidentifizierungsdaten beziehen, derzeit seinen Wohnsitz hat | Fakultativ |
| resident_street | Name der Straße, in der der Nutzer, auf den sich die Personenidentifizierungsdaten beziehen, derzeit seinen Wohnsitz hat | Fakultativ |
| resident_house_number | Nummer des Hauses, in dem der Nutzer, auf den sich die Personenidentifizierungsdaten beziehen, derzeit seinen Wohnsitz hat, einschließlich etwaiger Adresszusätze | Fakultativ |
| personal_administrative_number | Ein der natürlichen Person zugewiesener Wert, der unter allen vom Anbieter von Personenidentifizierungsdaten ausgestellten persönlichen Verwaltungsnummern eindeutig ist. Entscheiden sich die Mitgliedstaaten für die Aufnahme dieses Attributs, so beschreiben sie in ihren elektronischen Identifizierungssystemen, nach denen die Personenidentifizierungsdaten ausgestellt werden, die Grundsätze, die sie für die Werte dieses Attributs anwenden, gegebenenfalls einschließlich spezifischer Bedingungen für die Verarbeitung dieses Werts. | Fakultativ |
| portrait | Gesichtsbild des Brieftaschennutzers entsprechend den Spezifikationen nach ISO 19794-5 oder ISO 39794 | Fakultativ |
| family_name_birth | Nachname(n) des Personenidentifizierungsdatennutzers zum Zeitpunkt seiner Geburt | Fakultativ |
| given_name_birth | Vorname(n), einschließlich weitere(r) Vorname(n), des Personenidentifizierungsdatennutzers zum Zeitpunkt seiner Geburt | Fakultativ |
| sex | Die Werte müssen einem der folgenden entsprechen:
0 = unbekannt, 1 = männlich, 2 = weiblich, 3 = sonstiges, 4 = inter, 5 = divers, 6 = offen, 9 = nicht zutreffend. | Fakultativ |
| email_address | E-Mail-Adresse des Nutzers, auf den sich die Personenidentifizierungsdaten beziehen [gemäß RFC 5322] | Fakultativ |
| mobile_phone_number | Mobiltelefonnummer des Nutzers, auf den sich die Personenidentifizierungsdaten beziehen, beginnend mit dem Symbol "+" als internationalem Vorwahl-Präfix und dem Ländercode, ausschließlich gefolgt von Zahlen | Fakultativ |
2. Identifizierungsdatensatz für juristische Personen
Tabelle 3: Obligatorische Personenidentifizierungsdaten für juristische Personen
| Datenelement | Vorhandensein |
| Derzeitiger offizieller Name | Obligatorisch |
| Eine eindeutige Kennung, die vom übermittelnden Mitgliedstaat entsprechend den technischen Spezifikationen für die Zwecke der grenzüberschreitenden Identifizierung erstellt wurde und möglichst dauerhaft fortbesteht. | Obligatorisch |
Ist ein Datenelement für die Person nicht bekannt oder kann es nicht auf andere Weise als Teil des Personenidentifizierungsdatensatzes ausgestellt werden, verwenden die Mitgliedstaaten stattdessen einen der Situation angemessenen Attributswert.
Tabelle 4: Fakultative Personenidentifizierungsdaten für juristische Personen
| Datenelement | Vorhandensein |
| Derzeitige Anschrift | Fakultativ |
| Umsatzsteuer-Identifikationsnummer | Fakultativ |
| Steuerregisternummer | Fakultativ |
| Europäische einheitliche Kennung gemäß der Richtlinie (EU) 2017/1132 des Europäischen Parlaments und des Rates | Fakultativ |
| Rechtsträgerkennung (LEI) gemäß der Durchführungsverordnung (EU) 2022/1860 der Kommission | Fakultativ |
| Registrierungs- und Identifizierungsnummer für die Wirtschaftsbeteiligten (EORI-Nr.) gemäß der Durchführungsverordnung (EU) Nr. 1352/2013 der Kommission | Fakultativ |
| Verbrauchsteuernummer gemäß Artikel 2 Nummer 12 der Verordnung (EU) Nr. 389/2012 des Rates | Fakultativ |
3. Metadatensatz für Personenidentifizierungsdaten
Tabelle 5: Metadaten für die Personenidentifizierungsdaten
| Datenkennung | Definition | Vorhandensein |
| expiry_date | Datum (und nach Möglichkeit Uhrzeit) des Ablaufs der Gültigkeit der Personenidentifizierungsdaten | Obligatorisch |
| issuing_authority | Name der Verwaltungsbehörde, die die Personenidentifizierungsdaten ausgestellt hat, oder der alpha-2-Ländercode nach ISO 3166 des jeweiligen Mitgliedstaats, wenn es keine gesonderte Behörde gibt, die zur Ausstellung von Personenidentifizierungsdaten befugt ist | Obligatorisch |
| issuing_country | Alpha-2-Ländercode nach ISO 3166-1 des Landes oder Gebiets des Anbieters der Personenidentifizierungsdaten | Obligatorisch |
| document_number | Eine vom Anbieter der Personenidentifizierungsdaten zugeteilte Nummer für die Personenidentifizierungsdaten | Fakultativ |
| issuing_jurisdiction | Länderuntercode des Hoheitsgebiets, das die Personenidentifizierungsdaten ausgestellt hat, nach ISO 3166-2:2020, Klausel 8. Der erste Teil des Codes entspricht dem Wert für das ausstellende Land. | Fakultativ |
| location_status | Angaben dazu, wo die Informationen zum Gültigkeitsstatus in Bezug auf die Personenidentifizierungsdaten abrufbar sind, wenn die Anbieter von Personenidentifizierungsdaten diese Daten widerrufen | Fakultativ |
4. Kodierung von Personenidentifizierungsdatenattributen
Personenidentifizierungsdaten werden in zwei Formaten ausgestellt:
5. Einzelheiten der Vertrauensinfrastruktur
Die Liste der Anbieter von Personenidentifizierungsdaten, die die Kommission gemäß der Durchführungsverordnung (EU) 2024/2980 zur Festlegung der Vorschriften für die Anwendung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates in Bezug auf Notifizierungen an die Kommission bezüglich des Ökosystems europäischer Brieftaschen für die digitale Identität [vom Amt für Veröffentlichungen einzufügen] bereitgestellt hat, ermöglicht die Authentifizierung der Personenidentifizierungsdaten.
 | ENDE | |