Vertrauensdienste
Nach der europäischen Verordnung über die digitale Identität ist die Definition von Vertrauensdiensten breiter als in der ursprünglichen eIDAS-Verordnung. Folgende Vertrauensdienste sind abgedeckt:
Zertifikate für elektronische Signaturen, Zertifikate für elektronische Siegel, Zertifikate für die Website-Authentifizierung oder Zertifikate für die Erbringung anderer Vertrauensdienste
Die Europäische Verordnung über die digitale Identitätbewahrt den Rechtsrahmen für Zertifikate, insbesondere verschiedene Zertifikate, die auf bestimmte Zwecke zugeschnitten sind. Dazu gehören Zertifikate für elektronische Signaturen, für elektronische Siegel, für die Website-Authentifizierung und für die Bereitstellung anderer Vertrauensdienste. Ein Zertifikat ist definiert als eine elektronische Bescheinigung über die Identität der Person, der es ausgestellt wird, und dient als Nachweis, um bestimmte Handlungen zu erleichtern. Die Unterscheidung zwischen qualifizierten und nicht qualifizierten Zertifikaten wird beibehalten, was vom Status des Vertrauensdiensteanbieters und vom Grad der Zuverlässigkeit in Bezug auf die bescheinigten Informationen abhängt. Schließlich ist die einzige Ergänzung in Bezug auf Zertifikate die Möglichkeit, diese Zertifikateunabhängig von der Art des Zertifikats innerhalbder europäischen Brieftaschefür digitale Identität anzufordern und zu speichern.
Elektronische Signaturen
Die Europäische Verordnung über die digitale Identität behält den Rechtsrahmen für die Ausstellung elektronischer Signaturen bei, die von natürlichen Personen zur Unterzeichnung eines Dokuments oder von Daten verwendet werden. Die Unterscheidung zwischen elektronischen Signaturen, fortgeschrittenen elektronischen Signaturen und qualifizierten elektronischen Signaturen wird beibehalten, wobei letztere die gleiche Rechtswirkung wie handschriftliche Signaturen in der gesamten Union haben. Die neue Verordnung über die europäische digitale Identität wird die Nutzung qualifizierter elektronischer Signaturen für alle natürlichen Personen für nicht professionelle Zwecke kostenlos machen, wenn sie mit Hilfe der europäischen Geldbörse für digitale Identität erstellt werden.
Elektronische Dichtungen
Die Europäische Verordnung über die digitale Identität ändert weder die Definition von elektronischen Siegeln noch deren Erstellung, Validierung oder Erhaltung. Elektronische Siegel sind von juristischen Personen zu erstellen und zu verwenden, um die Herkunft und Integrität der Daten/Dokumente zu gewährleisten. In der Verordnung wird auch die Unterscheidung zwischen elektronischen Siegeln, fortgeschrittenen elektronischen Siegeln und qualifizierten elektronischen Siegeln beibehalten.
Elektronische Attestationen von Attributen
Die Europäische Verordnung über die digitale Identität hat die Ausstellung der Electronic Attestation of Attributes (EAA) als neuen Vertrauensdienst eingeführt. EAAs sind definiert als eine Bescheinigung in elektronischer Form, mit deren Hilfe Attribute authentifiziert werden können. Nach Art. 45b Abs. 1 kann diesen Bescheinigungen die Rechtswirkung oder die Zulässigkeit als Beweismittel in Gerichtsverfahren allein deshalb nicht verwehrt werden, weil sie in elektronischer Form vorliegen. Während diese Vertrauensdienste entweder qualifiziert oder nicht qualifiziert sein können, müssen in Abhängigkeit vom Status des Vertrauensdiensteanbieters noch nicht qualifizierte EAA zugelassen und in Gerichtsverfahren anerkannt werden, obwohl die grenzüberschreitende Anerkennung für sie nicht obligatorisch ist. Die EAA kann auch von einer öffentlichen Stelle ausgestellt werden, die für eine authentische Quelle verantwortlich ist, oder von einer Organisation, die in ihrem Namen handelt. Nutzer können ihre europäischen Geldbörsen für digitale Identität verwenden, um ihre EAA zu erhalten, zu validieren und zu teilen.
Elektronische Zeitstempel
Die Europäische Verordnung über die digitale Identität ändert nichts an den Bestimmungen über elektronische Zeitstempel. Ihre Ausgabe beabsichtigt, die Korrektheit der Zeit im Zusammenhang mit Daten/Dokumenten zu gewährleisten. Die Europäische Verordnung über die digitale Identität ändert nichts an den Bestimmungen, die Vertrauensdienste regeln, die ihre Schaffung (auch auf qualifizierter Ebene) und ihre Validierung gewährleisten.
Website-Authentifizierung
DieWebsite-Authentifizierung wurde bereits durch die eIDAS-Verordnung 910/2014 gedeckt. Gemäß der überarbeiteten Verordnung wird ein qualifiziertes Website-Authentifizierungszertifikat (QWAC) entweder an eine natürliche oder juristische Person ausgestellt und ermöglicht es, eine Website zu authentifizieren und die Website mit der Identität der Person zu verknüpfen, der das Zertifikat ausgestellt wird. Die Verordnung verlangt von Webbrowsern, ein QWAC zu erkennen und die Identitätsdaten des Inhabers der Website benutzerfreundlich anzuzeigen. Die Zertifikate können entweder qualifiziert oder nicht qualifiziert sein, und die Verwendung solcher Zertifikate durch Websites sollte freiwillig erfolgen.
Elektronische Archivierung
Mit der Verordnung über die europäische digitale Identität wurde die elektronische Archivierung elektronischer Daten und elektronischer Dokumente als Vertrauensdienst eingeführt, der sich auf die Sicherstellung des Empfangs, der Speicherung, des Abrufs und der Löschung elektronischer Daten und elektronischer Dokumente bezieht. Sie können entweder qualifiziert oder nicht qualifiziert sein, wenn sie von einem qualifizierten oder nicht qualifizierten Vertrauensdienstleister bereitgestellt werden.
Signatur-/Siegelerstellungsgeräte
Mit der Verordnung über die europäische digitale Identität wurde ein qualifizierter Vertrauensdienst für die Verwaltung qualifizierter Geräte zur Erstellung elektronischer Signaturen/Siegel im Namen der Nutzer eingeführt. In der Verordnung (EU) Nr. 910/2014 wurde die Verwaltung solcher Remote-qualifizierten Geräte nicht als eigenständiger Vertrauensdienst eingestuft.
Elektronische Ledger
Die Europäische Verordnung über die digitale Identität führt die Erfassung elektronischer Daten in elektronischen Ledgern als Vertrauensdienst ein. Elektronische Ledger sind Dienstleistungen, die eine sequenzielle chronologische Reihenfolge der Datensätze bieten und die Integrität und Genauigkeit sowohl der Aufzeichnungen selbst als auch ihrer chronologischen Reihenfolge garantieren. Zwei Typologien von elektronischen Ledgern können unterschieden werden: zentralisiert und verteilt. Die Verordnung nimmt eine neutrale Position in Bezug auf diese Typologie oder sogar die verwendete Technologie ein. Darüber hinaus können elektronische Ledger entweder qualifiziert oder nicht qualifiziert sein. Insgesamt sollen elektronische Ledger zusammen mit anderen Technologien zu Lösungen für effizientere und transformative öffentliche Dienstleistungen beitragen.
Elektronischer registrierter Zustelldienst
Die Europäische Verordnung über die digitale Identität unterhält die elektronischen Zustellungsdienste als Vertrauensdienste. Diese Dienste bieten einen sicheren Kanal für die Übermittlung von Dokumenten einschließlich des Nachweises des Sendens und Empfangs der Daten. Sie gewährleisten absolute Sicherheit bei der Identifizierung des Empfängers und bewahren ein hohes Maß an Vertrauen in die Identifizierung des Absenders. Sie können qualifiziert oder nicht qualifiziert sein, während nur qualifizierte elektronische Zustellungsdienste eine EU-weite Anerkennung erhalten.
Aus rechtlicher Sicht profitieren sowohl qualifizierte als auch nicht qualifizierte Vertrauensdienste von einer Nichtdiskriminierungsklausel als Beweismittel vor Gericht. Mit anderen Worten, Vertrauensdienste dürfen in Gerichtsverfahren nicht nur deshalb verworfen werden, weil sie in elektronischer Form vorliegen oder weil sie nicht qualifiziert sind.
Aufgrund der strengeren Anforderungen an qualifizierte Vertrauensdienste bieten qualifizierte Vertrauensdienstejedoch eine stärkere spezifische Rechtswirkung als nicht qualifizierte und eine höhere technische Sicherheit: Eine qualifizierte elektronische Signatur hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift. Ein qualifiziertes elektronisches Siegel genießt die Vermutung der Unversehrtheit der Daten und der Richtigkeit der Herkunft der Daten, mit denen das qualifizierte elektronische Siegel verbunden ist. Eine qualifizierte elektronische Bescheinigung von Attributen und Bescheinigungen von Attributen, die von oder im Namen einer öffentlichen Stelle ausgestellt wurden, die für eine authentische Quelle verantwortlich ist, hat die gleiche Rechtswirkung wie rechtmäßig ausgestellte Bescheinigungen in Papierform. Qualifizierte Vertrauensdienste bieten daher höhere Rechtssicherheit und höhere Sicherheit bei elektronischen Transaktionen.
Hinsichtlich der Rechtswirkung, die elektronische Signaturen von der ursprünglichen eIDAS-Verordnung zur Europäischen Verordnung für digitale Identität gewährt wird, ändert sichnichts. Was sich ändern wird, ist die Verfügbarkeit und Leichtigkeit für alle, qualifizierte elektronische Signaturen zu erstellen. Sobald sie in eine europäische Brieftasche für digitale Identität integriert sind, haben alle natürlichen Personen die Möglichkeit, standardmäßig über eine europäische Geldbörse für digitale Identität für nicht professionelle Zwecke kostenlos mit einer qualifizierten elektronischen Signatur zu unterzeichnen.
Mit der eIDAS-Verordnung 910/2014 wurde zunächst die Verwendung elektronischer Siegel durch juristische Personen eingeführt, und diese Bestimmung bleibt im Rahmen der geänderten Verordnung unverändert. Ebenso wie natürliche Personen erhalten auch juristische Personen Zugriff auf die Funktionalität der elektronischen Versiegelung von Dokumenten durch die Nutzung ihrer europäischen digitalen Identitäts-Brieftasche. Die europäischen Anbieter von Geldbörsen für digitale Identität oder die Mitgliedstaaten sind jedoch nicht verpflichtet, solche Funktionalitäten für juristische Personen und/oder für berufliche Zwecke kostenlos anzubieten.
Die Europäische Verordnung über die digitale Identität behält den Grundsatz der Nichtdiskriminierung elektronischer Dokumente bei und erklärt, dass diesen nicht die Rechtswirkung oder die Zulässigkeit allein deshalb verwehrt werden darf, weil sie in elektronischer Form vorliegen. Darüber hinaus darf nicht zwischen elektronischen Daten, elektronischen Dokumenten in elektronischer Form und physischen Dokumenten, die digitalisiert wurden, unterschieden werden. Schließlich legt die Verordnung einen Rahmen für die elektronische Archivierung als Vertrauensdienst fest, der die Haltbarkeit und Lesbarkeit elektronischer Dokumente sowie die Wahrung ihrer Integrität, Vertraulichkeit und Herkunftsnachweise während des gesamten Aufbewahrungszeitraums erleichtert.
Hinsichtlich der Rechtswirkungen wurden die Bestimmungen der eIDAS-Verordnung, wonach eine qualifizierte elektronische Signatur oder Siegel auf der Grundlage eines qualifizierten Zertifikats, das in einem Mitgliedstaat ausgestellt wurde, in allen anderen Mitgliedstaaten als qualifizierte elektronische Signatur bzw. als Siegel anerkannt wird, in der Verordnung über die europäische digitale Identität (EUDI) beibehalten.
Innerhalb von zwölf Monaten nach Inkrafttreten der EUDI-Verordnung erstellt die Kommission gegebenenfalls im Wege von Durchführungsrechtsakten eine Liste von Referenznormen, Spezifikationen und Verfahren für qualifizierte Zertifikate für elektronische Signaturen. Daher müssen qualifizierte Vertrauensdiensteanbieter, die für die Ausstellung oder Validierung qualifizierter Zertifikate für elektronische Signaturen zuständig sind, diese festgelegten Standards und Verfahren einhalten. Qualifizierte Zertifikate für elektronische Signaturen, die vor dem Datum des Inkrafttretens dieser Durchführungsrechtsakte ausgestellt wurden, bleiben bis zu ihrem Ablauf oder Widerruf gültig, je nachdem, was zuerst eintritt.
Innerhalb von zwölf Monaten nach Inkrafttreten der EUDI-Verordnung erstellt die Kommission gegebenenfalls im Wege von Durchführungsrechtsakten eine Liste von Referenznormen, Spezifikationen und Verfahren für qualifizierte Zertifikate für elektronische Siegel. Daher müssen qualifizierte Vertrauensdiensteanbieter, die für die Ausstellung oder Validierung von Zertifikaten für qualifizierte elektronische Siegel zuständig sind, diese festgelegten Standards und Verfahren einhalten. Qualifizierte Zertifikate für elektronische Siegel, die vor dem Datum des Inkrafttretens dieser Durchführungsrechtsakte ausgestellt wurden, bleiben bis zu ihrem Ablauf oder Widerruf gültig, je nachdem, was zuerst eintritt.
Vertrauensdiensteanbieter
- Möchte ein Vertrauensdienstleister (TSP) einen qualifizierten Vertrauensdienst erbringen, fordert er zunächst eine Bewertung bei einer akkreditierten Konformitätsbewertungsstelle (CAB) an. Die CAB muss bestätigen, dass der Bewerber qualifizierte Vertrauensdiensteanbieter und der qualifizierte Vertrauensdienst, den sie erbringen will, die Anforderungen der Verordnung über die europäische digitale Identität und des Artikels 21 der NIS2-Richtlinie (EU) 2022/2555 erfüllen. Dieser Prozess wird allgemein als „Audit“ bezeichnet.
- Sobald der TSP den Bericht erhält, muss er bei der Aufsichtsstelle des Landes, in dem er niedergelassen ist, zusammen mit dem Bericht der Konformitätsbewertungsstelle, die die Einhaltung bestätigt, einen Antrag stellen. Die Aufsichtsbehörde sollte diese behauptete Einhaltung innerhalb von drei Monaten überprüfen. Wenn die Aufsichtsstelle länger dauert als erwartet, wird der TSP innerhalb von drei Monaten nach Einreichung über eine solche Verzögerung informiert, wobei die Gründe für die Verzögerung erläutert werden und ein aktualisierter Zeitplan angegeben wird.
- Sobald die Überprüfung positiv abgeschlossen ist, würde die Aufsichtsstelle einen qualifizierten Status gewähren. Im Anschluss daran würde die nationale Vertrauensliste qualifizierter Vertrauensdiensteanbieter aktualisiert. Erst nachdem die zuständige Stelle sie in die Liste aufgenommen hat, kann der QTSP seinen qualifizierten Vertrauensdienst anbieten. Die angebotenen qualifizierten Vertrauensdienste werden von einer EU-weiten grenzüberschreitenden Anerkennung profitieren.
Qualifizierte Vertrauensdienste werden alle 24 Monate einer Konformitätsbewertung unterzogen. Eine Konformitätsbewertungsstelle prüft das QTSP und den erbrachten qualifizierten Vertrauensdienst. Erfüllt es weiterhin die Anforderungen der europäischen Verordnung über digitale Identität, wird dem QTSP ein Bericht vorgelegt. Nach Eingang des QTSP verfügt das QTSP über drei Arbeitstage ab dem Tag des Eingangs, um den Bericht an das Aufsichtsorgan zu übermitteln. Nach positiver Überprüfung durch die Aufsichtsstelle wird der qualifizierte Status beibehalten. Die Aufsichtsstelle behält sich jedoch das Recht vor, jederzeit zusätzliche Nachweise zu verlangen oder weitere Bewertungen vorzunehmen.
Wann immer ein QTSP eine Prüfung plant, muss er das Aufsichtsorgan mindestens einen Monat im Voraus informieren. Darüber hinaus ist die Aufsichtsstelle berechtigt, bei der Konformitätsbewertungsstelle an der Prüfung teilzunehmen, wenn dies von der Aufsichtsstelle gewünscht wird.
Zwischen zwei regelmäßigen Audits kann die Aufsichtsstelle jederzeit eine Konformitätsbewertungsstelle prüfen oder auffordern, eine Konformitätsbewertung durchzuführen, um den qualifizierten Status der erbrachten Dienste und sich selbst zu bestätigen.
Wenn ein QTSP vor Inkrafttreten der Verordnung bereits einen qualifizierten Status für die Ausstellung qualifizierter Zertifikate erhalten hat, muss er einer Aufsichtsstelle spätestens zwei Jahre nach Inkrafttreten der Verordnung einen Konformitätsbewertungsbericht vorlegen.
Erfüllt das QTSP die Anforderungen der Verordnung über die europäische digitale Identität nicht und berichtigt sie nicht innerhalb des angegebenen Zeitraums nach der Unterrichtung, kann der qualifizierte Status entzogen und die nationale Vertrauensliste entsprechend aktualisiert werden.
Da der qualifizierte Status des von der TSP bereitgestellten Vertrauensdienstes in der vertrauenswürdigen Liste als zurückgezogen angegeben wird, ist der TSP nicht mehr berechtigt, diesen qualifizierten Vertrauensdienst zu erbringen.
In der Verordnung über die europäische digitale Identität ist eine Konformitätsbewertungsstelle definiert als eine Stelle, die für die Bewertung qualifizierter Vertrauensdiensteanbieter und der von ihnen angebotenen Dienstleistungen zuständig ist.
Zunächst bestand für die nationalen Akkreditierungsstellen oder die Mitgliedstaaten keine Verpflichtung, die Europäische Kommission über akkreditierte CAB gemäß Artikel 3 Absatz 18 eIDAS zu informieren.
Dank der Zusammenarbeit der NAB und der Aufsichtsgremien erstellte die Kommission jedoch eine Liste der eIDAS-akkreditierten CABs.
Gemäß der eIDAS-Verordnung 910/2014 sind CABs unter dem Land aufgeführt, in dem sich die akkreditierte NAB befindet, die sich vom Niederlassungsland der CAB unterscheiden könnte.
Mit der Verordnung über die europäische digitale Identität wird eine Änderung eingeführt, da die Mitgliedstaaten verpflichtet sein werden, die Kommission unverzüglich über akkreditierte CABs, einschließlich deren Namen, Anschriften und Akkreditierungsdetails, sowie etwaige spätere Änderungen zu unterrichten. Diese Informationen werden an alle Mitgliedstaaten weitergegeben und bleiben der Öffentlichkeit zugänglich.
Vertrauenswürdige Listen sind unerlässlich, um Sicherheit zu gewährleisten und Vertrauen unter den Marktteilnehmern aufzubauen. Vertrauenswürdige Listen geben kontinuierlich den qualifizierten Status eines Vertrauensdiensteanbieters und den von ihm angebotenen Vertrauensdienst an. Die Liste fördert die Interoperabilität qualifizierter Vertrauensdienste, indem sie unter anderem die Validierung qualifizierter elektronischer Signaturen und qualifizierter elektronischer Siegel erleichtert.
Nach der europäischen Verordnung über die digitale Identität haben nationale Trusted Lists weiterhin eine konstitutive Rechtswirkung, wie es bereits bei der ursprünglichen eIDAS-Verordnung der Fall war. Mit anderen Worten, ein Anbieter/Dienstleister wird nur dann qualifiziert, wenn er in der nationalen vertrauenswürdigen Liste des Mitgliedstaats, in dem er niedergelassen ist, einen gültigen qualifizierten Status aufweist. Folglich profitieren die Nutzer (Bürger, Unternehmen oder öffentliche Verwaltungen) nur dann von der Rechtswirkung, die mit einem bestimmten qualifizierten Vertrauensdienst verbunden ist, wenn dieser in der entsprechenden Trusted List (als qualifiziert) aufgeführt ist.
Gemäß der neuen Verordnung über die digitale Identität sind Browser-Anbieter nicht verpflichtet, die vertrauenswürdigen Listen in ihren Produkten zu erkennen, zu integrieren oder zu nutzen. Die Verpflichtung für Browser beschränkt sich darauf, die zertifizierten Identitätsdaten und die anderen bescheinigten Attribute dem Endnutzer benutzerfreundlich in der Browserumgebung durch technische Mittel ihrer Wahl anzuzeigen. Dies zielt darauf ab, die Sicherheit und Transparenz des Internets als vertrauenswürdige Dienste zu verbessern.
Nein. Es handelt sich um eine geschäftliche Entscheidung der Vertrauensdiensteanbieter, ob sie einen, mehrere oder alle Vertrauensdienste erbringen, einschließlich der Bereitstellung solcher in ihrer qualifizierten Version.
Ja, im Zusammenhang mit der Bereitstellung eines qualifizierten Zertifikats oder einer qualifizierten Bescheinigung von Attributen ist ein qualifizierter vertrauenswürdiger Dienstleister (QTSP) verpflichtet, die Identität der natürlichen oder juristischen Person zu überprüfen. Diese Anforderung erstreckt sich auf Fälle, in denen ein qualifizierter elektronischer registrierter Zustelldienst ausgestellt wird. Gemäß Artikel 24 der Verordnung über die europäische digitale Identität muss ein QTSP bei der Ausstellung eines qualifizierten Zertifikats oder einer qualifizierten elektronischen Bescheinigung der betreffenden Person die Identität und alle erforderlichen Eigenschaften der betreffenden Person überprüfen. Dadurch wird sichergestellt, dass der QTSP zum Zeitpunkt der Ausgabe Sicherheit in Bezug auf die Genauigkeit und Korrektheit der Identität der Person sowie aller relevanten Attribute hat. Die Verifizierung kann mit verschiedenen Methoden durchgeführt werden, darunter die europäische Brieftasche für digitale Identität, qualifizierte elektronische Signaturen oder Siegel oder andere hochzuverlässige Methoden. Darüber hinaus kann die physische Anwesenheit der natürlichen Person oder eines bevollmächtigten Vertreters der juristischen Person auch als Mittel zur Überprüfung dienen.
Nein. Gemäß dem Binnenmarktprinzip (Artikel 4) und Artikel 24a der Europäischen Verordnung über die digitale Identität wird ein qualifizierter Vertrauensdienst, der in einem Mitgliedstaat erbracht wird, in allen anderen Mitgliedstaaten als qualifiziert anerkannt.
Mit der Verordnung über die europäische digitale Identität wird der Prozess der gegenseitigen Anerkennung von Vertrauensdiensten einfacher gestaltet, indem in die internationale Übereinkunft nach Artikel 218 AEUV die Möglichkeit aufgenommen wird, Durchführungsrechtsakte zu erlassen, um die Bedingungen festzulegen, unter denen Vertrauensrahmen von Drittländern als dem Rahmen für qualifizierte Vertrauensdienste in der Union gleichwertig angesehen werden können.
Was kann/muss auf nationaler Ebene getan werden?
Die Europäische Verordnung über die digitale Identität enthält einen neuen umfassenden Governance-Rahmen für elektronische Identifizierung und Vertrauensdienste. Dieser Rahmen soll die Umsetzung und Überwachung sowohl der europäischen Geldbörsen für digitale Identität als auch der Vertrauensdienste erleichtern. Der neue Governance-Rahmen umfasst insbesondere ein neues Kooperations- und Koordinierungsgremium, die Europäische Gruppe für Zusammenarbeit im digitalen Identitätssektor. Dieses Gremium wurde mit einer Vielzahl von Aufgaben beauftragt, z. B. Beratung auszutauschen und mit der Kommission bei aufkommenden politischen Initiativen zusammenzuarbeiten, Peer-Reviews notifizierter elektronischer Identifizierungsmittel mit Ausnahme der europäischen Geldbörse für digitale Identität zu organisieren, Ersuchen um Amtshilfe zu erörtern und Meinungen, bewährte Verfahren und andere Informationen zwischen allen Parteien auszutauschen. Die neue Einrichtung wird die Kohärenz und Wirksamkeit des derzeitigen Governance-Systems verbessern und die derzeitige fragmentierte Struktur ersetzen.
Ja, die Mitgliedstaaten können andere Vertrauensdienste einrichten. Wenn diese Dienste jedoch nicht dem Rechtsrahmen entsprechen, der in der geänderten eIDAS-Verordnung, insbesondere für qualifizierte Vertrauensdienste, festgelegt ist, werden sie grenzüberschreitend keine Rechtswirkung haben.
Grundsätzlich dürfen elektronischen Signaturen und elektronischen Siegeln die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren, auch von öffentlichen Verwaltungen, nicht allein deshalb verwehrt werden, weil sie sich in elektronischer Form befinden oder die Anforderungen an qualifizierte elektronische Signaturen/Siegel nicht erfüllen. Solche elektronischen Signaturen/Siegel sollten von diesem Grundsatz unabhängig von ihrem technischen Format profitieren. Die EUDI-Verordnung hat die Verpflichtung für Online-Dienste, die von einer öffentlichen Stelle oder im Namen einer öffentlichen Stelle angeboten werden, beibehalten, zumindest jene technischen Formate oder Methoden anzuerkennen, die in einem gemäß Artikel 27/37I erlassenen Durchführungsrechtsakt aufgeführt sind.
Nein, es ist verboten, dass nationale Gesetze die Gültigkeitsdauer qualifizierter Zertifikate regeln, da dies durch die Verordnung über die europäische digitale Identität harmonisiert wird.
Nein, es ist den nationalen Rechtsvorschriften verboten, in dieser Angelegenheit zu regeln, da dies durch die Europäische Verordnung über die digitale Identität harmonisiert wird. Die Europäische Verordnung über die digitale Identität legt fest, dass die Gültigkeit einer solchen Zertifizierung fünf Jahre nicht überschreiten darf, sofern Schwachstellenbeurteilungen alle zwei Jahre durchgeführt werden. Die Kommission wird für die Ausstellung von Leitlinien für die Zertifizierung und Rezertifizierung qualifizierter elektronischer Signaturerstellungsgeräte und qualifizierter elektronischer Siegelerstellungsgeräte zuständig sein, einschließlich ihrer Gültigkeit und ihrer zeitlichen Begrenzungen. Dies wird die Kohärenz der Zertifizierungspraktiken in der gesamten Union gewährleisten.
Die Europäische Verordnung über die digitale Identität sieht vor, dass die Mitgliedstaaten Sanktionen für Verstöße festlegen müssen, einschließlich für den Missbrauch des EU-Vertrauenszeichens für qualifizierte Vertrauensdienste durch nicht qualifizierte Vertrauensdiensteanbieter. Um eine wirksame Durchsetzung der Verordnung zu gewährleisten und gleichzeitig sicherzustellen, dass Sanktionen wirksam, verhältnismäßig und abschreckend sind, sind in der Verordnung Leitlinien für Geldbußen für qualifizierte und nicht qualifizierte Vertrauensdiensteanbieter festgelegt. Die Verordnung legt einen Schwellenwert für die Höchststrafen fest, die gegen Vertrauensdiensteanbieter verhängt werden können, die gegen die Vorschriften über natürliche Personen verstoßen.
Maßnahmen der EU-Institutionen und der Mitgliedstaaten
Nach Inkrafttreten der Verordnung über die europäische digitale Identität wird die Kommission eine Reihe von Durchführungsrechtsakten erlassen, mit denen die Umsetzung der Anforderungen der Verordnung harmonisiert werden soll. Darüber hinaus wird die Kommission eine enge und strukturierte Zusammenarbeit mit verschiedenen Interessenträgern, darunter den Mitgliedstaaten, der Zivilgesellschaft und dem Privatsektor, fördern. Diese Zusammenarbeit wird durch Expertengruppen, gezielte Konsultationen der Interessenträger und öffentliche Konsultationen erleichtert.
Die Verordnung über die digitale Identität ist in allen 27 EU-Mitgliedstaaten unmittelbar anwendbar. Die Mitgliedstaaten sorgen unter anderem dafür, dass
- Benennen Sie eine oder mehrere Aufsichtsstellen und teilen Sie der Kommission ihre Namen und Anschriften mit.
- Benennen Sie Konformitätsbewertungsstellen für die Zertifizierung von europäischen Geldbörsen für digitale Identität und teilen Sie der Kommission ihre Namen, Anschriften und Akkreditierungsdetails mit.
- Zusammenarbeit mit der Kommission bei der Benennung von Vertretern in der Kooperationsgruppe für die grenzüberschreitende Zusammenarbeit.
- Wirksame, verhältnismäßige und abschreckende Sanktionen für Verstöße zu verhängen.
- Stellen Sie sicher, dass qualifizierte Vertrauensdiensteanbieter elektronischer Attribute auf Anfrage des Nutzers die Schlüsselattribute elektronisch überprüfen können. Zu diesen Attributen gehören mindestens die in Anhang VI der Verordnung über die europäische digitale Identität aufgeführten Attribute, sofern diese auf authentische Quellen im öffentlichen Sektor zurückgreifen.
- Erwägen Sie, qualifizierte Zertifikate für die Website-Authentifizierung auf staatlichen Websites zu integrieren.
- Weiterhin im Einklang mit Artikel 22 eine nationale vertrauenswürdige Liste veröffentlichen und pflegen.
- Sicherzustellen, dass öffentliche Stellen Formate für fortgeschrittene elektronische Signaturen und elektronische Siegel gemäß Artikel 27/37 anerkennen.
Die Verordnung gilt nicht für EU-Organe, für die ihre eigenen Geschäftsordnungen gelten. Die Europäische Kommission wird derzeit in diesem Bereich durch den Beschluss 2021/2121 der Kommission zur Festlegung eigener Bestimmungen der Kommission über elektronische und digitalisierte Dokumente geregelt.