| |
Durchführungsverordnung (EU) 2025/1945 der Kommission vom 29. September 2025 zur Festlegung von Vorschriften für die Anwendung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates in Bezug auf die Validierung qualifizierter elektronischer Signaturen und qualifizierter elektronischer Siegel sowie die Validierung fortgeschrittener elektronischer Signaturen, die auf qualifizierten Zertifikaten beruhen, und fortgeschrittener elektronischer Siegel, die auf qualifizierten Zertifikaten beruhen
(ABl. L 2025/1945 vom 30.09.2025)
Die Europäische Kommission -
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG 1, insbesondere auf Artikel 32 Absatz 3, Artikel 32a Absatz 3, Artikel 40 und Artikel 40a,
in Erwägung nachstehender Gründe:
(1) Qualifizierte elektronische Signaturen, qualifizierte elektronische Siegel, fortgeschrittene elektronische Signaturen, die auf qualifizierten Zertifikaten für elektronische Signaturen beruhen, und fortgeschrittene elektronische Siegel, die auf qualifizierten Zertifikaten für elektronische Siegel beruhen, garantieren - sofern ihre Gültigkeit bestätigt werden kann - den vertrauenden Beteiligten die Integrität und Authentizität der unterzeichneten oder besiegelten Daten und erhöhen die Gewissheit in Bezug auf die Identität des Unterzeichners oder des Siegelerstellers. Solche elektronischen Signaturen und Siegel haben im digitalen Geschäftsumfeld eine große Bedeutung, weil sie den Übergang von herkömmlichen papiergestützten Verfahren zu entsprechenden elektronischen Verfahren fördern.
(2) Die Konformitätsvermutung gemäß Artikel 32 Absatz 1, Artikel 40, Artikel 32a Absatz 3 und Artikel 40a der Verordnung (EU) Nr. 910/2014 sollte gelten, wenn die Verfahren für die Validierung qualifizierter elektronischer Signaturen, qualifizierter elektronischer Siegel, fortgeschrittener elektronischer Signaturen, die auf qualifizierten Zertifikaten für elektronische Signaturen beruhen, und fortgeschrittener elektronischer Siegel, die auf qualifizierten Zertifikaten für elektronische Siegel beruhen, den in der vorliegenden Verordnung festgelegten technischen Standards bzw. Normen entsprechen. Diese Standards bzw. Normen sollten bewährte Verfahren widerspiegeln und in den betreffenden Sektoren weithin anerkannt sein. Sie sollten so angepasst werden, dass sie zusätzliche Kontrollen umfassen, um die technische Gültigkeit dieser Signaturen und Siegel und gegebenenfalls ihren Qualifikationsstatus überprüfen zu können.
(3) Die Kommission bewertet regelmäßig neue Technologien, Praktiken, Standards bzw. Normen oder technische Spezifikationen. Nach Erwägungsgrund 75 der Verordnung (EU) 2024/1183 des Europäischen Parlaments und des Rates 2 sollte die Kommission die vorliegende Verordnung überprüfen und erforderlichenfalls aktualisieren, um sie mit globalen Entwicklungen, neuen Technologien, Standards oder technischen Spezifikationen in Einklang zu halten und den bewährten Verfahren im Binnenmarkt zu folgen.
(4) Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates 3 und, sofern anwendbar, die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates 4 gelten für jede Verarbeitung personenbezogener Daten gemäß der vorliegenden Verordnung.
(5) Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates 5 angehört und gab am 6. Juni 2025 seine Stellungnahme ab.
(6) Die in der vorliegenden Verordnung vorgesehenen Maßnahmen entsprechen der Stellungnahme des gemäß Artikel 48 der Verordnung (EU) Nr. 910/2014 eingesetzten Ausschusses
- hat folgende Verordnung erlassen:
Artikel 1 Referenzstandards und Spezifikationen
(1) Die in Artikel 32 Absatz 3 und Artikel 40 der Verordnung (EU) Nr. 910/2014 genannten Referenzstandards und Spezifikationen sind in Anhang I der vorliegenden Verordnung festgelegt.
(2) Die in Artikel 32a Absatz 3 und Artikel 40a der Verordnung (EU) Nr. 910/2014 genannten Referenzstandards und Spezifikationen sind in Anhang II der vorliegenden Verordnung festgelegt.
Artikel 2 Inkrafttreten
Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Brüssel, den 29. September 2025
2) Verordnung (EU) 2024/1183 des Europäischen Parlaments und des Rates vom 11. April 2024 zur Änderung der Verordnung (EU) Nr. 910/2014 im Hinblick auf die Schaffung des europäischen Rahmens für eine digitale Identität (ABl. L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
3) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG ( Datenschutz-Grundverordnung) (ABl. L 119 vom 04.05.2016 S. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
4) Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.07.2002 S. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
5) Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018 S. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
| Liste der Referenzstandards und Spezifikationen für die Validierung qualifizierter elektronischer Signaturen und qualifizierter elektronischer Siegel | Anhang I |
Die Normen ETSI TS 119.172-4 V1.1.1 (2021-05) 1 ("ETSI TS 119.172-4") und ETSI TS 119.102-2 V1.4.1 (2023-06) 2 ("ETSI TS 119.102-2") gelten mit den folgenden Anpassungen:
1. Für ETSI TS 119.172-4
1) 2.1 Normative Verweise:
- [1] ETSI EN 319.102-1 V1.4.1 (2024-06) - Elektronische Signaturen und Vertrauensinfrastrukturen (ESI) - Verfahren für die Erzeugung und Gültigkeitsprüfung digitaler AdES-Signaturen - Teil 1: Erzeugung und Gültigkeitsprüfung.
- Alle Bezugnahmen auf "ETSI TS 119.102-1 [1]" sind als Bezugnahmen auf "ETSI EN 319.102-1 [1]" zu verstehen.
- [2] ETSI TS 119.612 V2.3.1 (2024-11) - Elektronische Signaturen und Infrastrukturen (ESI) - Vertrauenslisten.
- [13] ETSI TS 119.101 V1.1.1 (2016-03) - Elektronische Signaturen und Infrastrukturen (ESI) - Regelungs- und Sicherheitsanforderungen an Anwendungen für die Erzeugung und Validierung von Signaturen.
2) 4.2 Validierungsbeschränkungen und Validierungsverfahren, Anforderung REQ-4.2-03 Abschnitt "X.509 Validierungsbeschränkungen" Buchstabe c:
- i) Wenn das Zertifikat einer End-Entität einen Vertrauensanker darstellt, dürfen die "RevocationCheckingConstraints" nicht verwendet werden.
- ii) Wenn das Zertifikat einer End-Entität keinen Vertrauensanker darstellt, sind die "RevocationCheckingConstraints" gemäß ETSI TS 119.172-1 [3] Abschnitt A.4.2.1 Tabelle A.2 Zeile (m)2.1 auf "eitherCheck" zu setzen.
- iii) Wenn das Zertifikat einer End-Entität einen Vertrauensanker darstellt, dürfen die "RevocationFreshnessConstraints" gemäß ETSI TS 119.172-1 [3] Abschnitt A.4.2.1 Tabelle A.2 Zeile (m)2.2 nicht verwendet werden.
- iv) Wenn das Zertifikat einer End-Entität keinen Vertrauensanker darstellt, sind die "RevocationFreshnessConstraints" gemäß ETSI TS 119.172-1 [3] Abschnitt A.4.2.1 Tabelle A.2 Zeile (m)2.2 mit einem Höchstwert von 24 Stunden für das Signierzertifikat zu verwenden. Für andere Zertifikate als die Signierzertifikate, auch Zertifikate mit Zeitstempel, darf für die "RevocationFreshnessConstraints" kein Wert gesetzt werden.
3) 4.3 Anforderungen an die Verfahren der Signaturvalidierung und der Prüfung der Regeln für die Anwendbarkeit
- REQ-4.3-02 Signaturvalidierungsanwendungen müssen der Norm ETSI TS 119.101 [13] entsprechen.
4) 4.4 Prozess der Prüfung der technischen Anwendbarkeit (Regeln)
- REQ-4.4.2-03 Falls eine in REQ-4.4.2-01 angegebene Prüfung scheitert, so gilt Folgendes:
- der Prozess wird beendet,
- die Signatur wird technisch als unbestimmt behandelt, d. h. weder als qualifizierte elektronische Signatur der EU noch als qualifiziertes elektronisches Siegel der EU, und
- das obige Ergebnis und die Prozessergebnisse aller Zwischenprozesse werden im Bericht über die Überprüfung der Regeln für die Anwendbarkeit der Signaturen aufgeführt.
2) ETSI TS 119.102-2 - Elektronische Signaturen und Infrastrukturen (ESI) - Verfahren für die Erzeugung und Gültigkeitsprüfung digitaler AdES-Signaturen - Teil 2: Signaturvalidierungsbericht, V1.4.1 (2023-06).
| Liste der Referenzstandards und Spezifikationen für die Validierung fortgeschrittener elektronischer Signaturen, die auf qualifizierten Zertifikaten beruhen, und fortgeschrittener elektronischer Siegel, die auf qualifizierten Zertifikaten beruhen | Anhang II |
Die Normen ETSI TS 119.172-4 V1.1.1 (2021-05) 1 ("ETSI TS 119.172-4") und ETSI TS 119.102-2 V1.4.1 (2023-06) 2 ("ETSI TS 119.102-2") gelten mit den folgenden Anpassungen:
1. Für ETSI TS 119.172-4
1) 2.1 Normative Verweise:
- [1] ETSI EN 319.102-1 V1.4.1 (2024-06) - Elektronische Signaturen und Vertrauensinfrastrukturen (ESI) - Verfahren für die Erzeugung und Gültigkeitsprüfung digitaler AdES-Signaturen - Teil 1: Erzeugung und Gültigkeitsprüfung.
- Alle Bezugnahmen auf "ETSI TS 119.102-1 [1]" sind als Bezugnahmen auf "ETSI EN 319.102-1 [1]" zu verstehen.
- [2] ETSI TS 119.612 V2.3.1 (2024-11) - Elektronische Signaturen und Infrastrukturen (ESI) - Vertrauenslisten.
- [13] ETSI TS 119.101 V1.1.1 (2016-03) - Elektronische Signaturen und Infrastrukturen (ESI) - Regelungs- und Sicherheitsanforderungen an Anwendungen für die Erzeugung und Validierung von Signaturen.
2) 4.2 Validierungsbeschränkungen und Validierungsverfahren, Anforderung REQ-4.2-03 Abschnitt "X.509 Validierungsbeschränkungen" Buchstabe c:
- i) Wenn das Zertifikat einer End-Entität einen Vertrauensanker darstellt, dürfen die "RevocationCheckingConstraints" nicht verwendet werden.
- ii) Wenn das Zertifikat einer End-Entität keinen Vertrauensanker darstellt, sind die "RevocationCheckingConstraints" gemäß ETSI TS 119.172-1 [3] Abschnitt A.4.2.1 Tabelle A.2 Zeile (m)2.1 auf "eitherCheck" zu setzen.
- iii) Wenn das Zertifikat einer End-Entität einen Vertrauensanker darstellt, dürfen die "RevocationFreshnessConstraints" gemäß ETSI TS 119.172-1 [3] Abschnitt A.4.2.1 Tabelle A.2 Zeile (m)2.2 nicht verwendet werden.
- iv) Wenn das Zertifikat einer End-Entität keinen Vertrauensanker darstellt, sind die "RevocationFreshnessConstraints" gemäß ETSI TS 119.172-1 [3] Abschnitt A.4.2.1 Tabelle A.2 Zeile (m)2.2 mit einem Höchstwert von 24 Stunden für das Signierzertifikat zu verwenden. Für andere Zertifikate als die Signierzertifikate, auch Zertifikate mit Zeitstempel, darf für die "RevocationFreshnessConstraints" kein Wert gesetzt werden.
3) 4.3 Anforderungen an die Verfahren der Signaturvalidierung und der Prüfung der Regeln für die Anwendbarkeit
- REQ-4.3-02 Signaturvalidierungsanwendungen müssen der Norm ETSI TS 119.101 [13] entsprechen.
4) 4.4 Prozess der Prüfung der technischen Anwendbarkeit (Regeln)
- REQ-4.4.2-03 Falls eine in REQ-4.4.2-01 angegebene Prüfung scheitert, so gilt Folgendes:
- der Prozess wird beendet,
- die Signatur wird technisch als unbestimmt behandelt, d. h. weder als fortgeschrittene elektronische Signatur, die auf einem qualifizierten Zertifikat der EU beruht, noch als fortgeschrittenes elektronisches Siegel, das auf einem qualifizierten Zertifikat der EU beruht, und
- das obige Ergebnis und die Prozessergebnisse aller Zwischenprozesse werden im Bericht über die Überprüfung der Regeln für die Anwendbarkeit der Signaturen aufgeführt.
- REQ-4.4.2-04 ungültig.
- REQ-4.4.2-05 ungültig.
- REQ-4.4.2-06 An diesem Punkt des TARC-Prozesses, unter der Bedingung, dass
- das Signaturzertifikat zur besten Signaturzeit als qualifiziertes Zertifikat der EU für elektronische Signaturen (bzw. für elektronische Siegel) gemäß REQ-4.4.2-02a bestimmt ist und
- das Ergebnis des nach Abschnitt 4.2 dieses Dokuments durchgeführten Prozesses "TOTAL-PASSED" ist,
wird die digitale Signatur als technisch geeignet zur Umsetzung einer fortgeschrittenen elektronischen Signatur der EU, die auf einem qualifizierten Zertifikat beruht, bzw. eines fortgeschrittenen elektronischen Siegels der EU, das auf einem qualifizierten Zertifikat beruht, bestimmt; andernfalls wird die Signatur weder als fortgeschrittene elektronische Signatur der EU, die auf einem qualifizierten Zertifikat beruht, noch als fortgeschrittenes elektronisches Siegel der EU, das auf einem qualifizierten Zertifikat beruht, bestimmt.
2) ETSI TS 119.102-2 - Elektronische Signaturen und Infrastrukturen (ESI) - Verfahren für die Erzeugung und Gültigkeitsprüfung digitaler AdES-Signaturen - Teil 2: Signaturvalidierungsbericht, V1.4.1 (2023-06).
 | ENDE | |