Artikel 24 eIDAS (VO (EU) 2014/910)

(1) Bei der Ausstellung eines qualifizierten Zertifikats oder einer qualifizierten elektronischen Attributsbescheinigung überprüft der qualifizierte Vertrauensdiensteanbieter die Identität und gegebenenfalls spezifische Attribute der natürlichen oder juristischen Person, der das qualifizierte Zertifikat oder die qualifizierte elektronische Attributsbescheinigung ausgestellt werden soll.

(1a) Die Überprüfung der Identität nach Absatz 1 wird anhand geeigneter Mittel vom qualifizierten Vertrauensdiensteanbieter entweder unmittelbar oder über einen Dritten auf der Grundlage einer der folgenden Methoden oder — sofern erforderlich — einer Kombination davon im Einklang mit den in Absatz 1c genannten Durchführungsrechtsakten durchgeführt:

a)

mit der europäischen Brieftasche für die Digitale Identität oder einem notifizierten elektronischen Identifizierungsmittel, das die Anforderungen des Artikels 8 in Bezug auf das Sicherheitsniveau hoch erfüllt;

b)

mit einem Zertifikat einer qualifizierten elektronischen Signatur oder eines qualifizierten elektronischen Siegels, das gemäß Buchstabe a, c oder d ausgestellt wurde;

c)

mit anderen Identifizierungsmethoden, die die Identifizierung der Person mit einem hohen Maß an Vertrauen gewährleisten und deren Konformität von einer Konformitätsbewertungsstelle bestätigt wird;

d)

durch die physische Anwesenheit der natürlichen Person oder eines bevollmächtigten Vertreters der juristischen Person nach geeigneten Nachweisen und Verfahren im Einklang mit dem nationalen Recht.

(1b) Die Überprüfung der Attribute gemäß Absatz 1 wird anhand geeigneter Mittel vom qualifizierten Vertrauensdiensteanbieter entweder unmittelbar oder über einen Dritten auf der Grundlage einer der folgenden Methoden oder — sofern erforderlich — einer Kombination davon im Einklang mit den in Absatz 1c genannten Durchführungsrechtsakten durchgeführt:

a)

mit der europäischen Brieftasche für die Digitale Identität oder einem notifizierten elektronischen Identifizierungsmittel, das die Anforderungen des Artikels 8 in Bezug auf das Sicherheitsniveau hoch erfüllt;

b)

mit einem Zertifikat einer qualifizierten elektronischen Signatur oder eines qualifizierten elektronischen Siegels, das gemäß Absatz 1a Buchstabe a, c oder d ausgestellt wurde;

c)

mit einer qualifizierten elektronischen Attributsbescheinigung;

d)

mit anderen Methoden, die die Überprüfung von Attributen mit einem hohen Maß an Vertrauen gewährleisten und deren Konformität von einer Konformitätsbewertungsstelle bestätigt wird;

e)

über die physische Anwesenheit der natürlichen Person oder eines bevollmächtigten Vertreters der juristischen Person nach geeigneten Nachweisen und Verfahren im Einklang mit dem nationalen Recht.

(1c) Bis zum 21. Mai 2025 erstellt die Kommission im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards und legt, sofern erforderlich, Spezifikationen und Verfahren für die Überprüfung der Identität und der Attribute im Einklang mit Absätzen 1, 1a und 1b dieses Artikels fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.

(2) Für qualifizierte Vertrauensdiensteanbieter, die qualifizierte Vertrauensdienste erbringen, gilt Folgendes:

a)

Sie unterrichten die Aufsichtsstelle mindestens einen Monat vor der Vornahme von Änderungen bei der Erbringung ihrer qualifizierten Vertrauensdienste bzw. mindestens drei Monate vorher im Fall einer beabsichtigten Einstellung dieser Tätigkeiten.

b)

Sie beschäftigen Personal und gegebenenfalls Unterauftragnehmer, das bzw. die über das erforderliche Fachwissen, die erforderliche Zuverlässigkeit, die erforderliche Erfahrung und die erforderlichen Qualifikationen verfügt bzw. verfügen, in Bezug auf die Vorschriften für die Sicherheit und den Schutz personenbezogener Daten angemessen geschult worden ist und Verwaltungs- und Managementverfahren anwendet, die den anerkannten europäischen oder internationalen Normen entsprechen.

c)

Sie verfügen in Bezug auf das Haftungsrisiko für Schäden gemäß Artikel 13 über ausreichende Finanzmittel und/oder schließen eine angemessene Haftpflichtversicherung nach nationalem Recht ab.

d)

Sie informieren Personen, die einen qualifizierten Vertrauensdienst nutzen wollen, in klarer, umfassender und leicht zugänglicher Weise in einem öffentlich zugänglichen Raum und individuell über die genauen Bedingungen für die Nutzung des Dienstes, einschließlich Nutzungsbeschränkungen, bevor sie vertragliche Beziehungen zu dieser Person eingehen.

e)

Sie verwenden vertrauenswürdige Systeme und Produkte, die vor Veränderungen geschützt sind und die technische Sicherheit und Zuverlässigkeit der von ihnen unterstützten Prozesse sicherstellen, einschließlich der Verwendung geeigneter kryptografischer Verfahren.

f)

Sie verwenden vertrauenswürdige Systeme für die Speicherung der ihnen übermittelten Daten in einer überprüfbaren Form, so dass

i)

diese nur mit Zustimmung der Person, auf die sich die Daten beziehen, öffentlich abrufbar sind,

ii)

nur befugte Personen Daten eingeben und gespeicherte Daten ändern können,

iii)

die Daten auf ihre Echtheit hin überprüft werden können.

fa)

Unbeschadet des Artikels 21 der Richtlinie (EU) 2022/2555 haben sie angemessene Strategien und treffen entsprechende Maßnahmen zur Beherrschung rechtlicher, geschäftlicher, betrieblicher und sonstiger direkter oder indirekter Risiken bei der Erbringung des qualifizierten Vertrauensdienstes, einschließlich zumindest Maßnahmen in Bezug auf Folgendes:

i)

Registrierungs- und Einbindungsverfahren für einen Dienst;

ii)

Verfahrens- oder Verwaltungskontrollen;

iii)

die Verwaltung und Durchführung von Diensten.

fb)

Sie teilen der Aufsichtsstelle, den identifizierbaren betroffenen Personen, gegebenenfalls anderen einschlägigen zuständigen Stellen und — auf Ersuchen der Aufsichtsstelle — der Öffentlichkeit, wenn es von öffentlichem Interesse ist, unverzüglich, in jedem Fall innerhalb von 24 Stunden nach dem Vorfall, alle Sicherheitsverstöße oder Störungen bei der Erbringung des Dienstes oder der Durchführung der in Buchstabe fa Ziffern i, ii oder iii genannten Maßnahmen, die erhebliche Auswirkungen auf den erbrachten Vertrauensdienst oder die darin gespeicherten personenbezogenen Daten haben, mit.

g)

Sie ergreifen geeignete Maßnahmen gegen Fälschung, Diebstahl oder missbräuchliche Verwendung von Daten oder gegen unberechtigte Löschung, Änderung oder Unzugänglichmachung von Daten;

h)

Sie zeichnen alle einschlägigen Informationen über die von dem qualifizierten Vertrauensdiensteanbieter ausgegebenen und empfangenen Daten auf und bewahren sie auch nach der Einstellung der Tätigkeit des qualifizierten Vertrauensdiensteanbieters so lange wie nötig auf, um bei Gerichtsverfahren entsprechende Beweismittel liefern zu können und die Kontinuität des Dienstes sicherzustellen. Die Aufzeichnung kann in elektronischer Form erfolgen.

i)

Sie verfügen über einen fortlaufend aktualisierten Beendigungsplan, um die Kontinuität des Dienstes nach den von der Aufsichtsstelle gemäß Artikel 46b Absatz 4 Buchstabe i geprüften Vorgaben sicherzustellen.

j)

Sie stellen eine rechtmäßige Verarbeitung personenbezogener Daten gemäß der Richtlinie 95/46/EG sicher.

k)

Sie erstellen im Falle qualifizierter Vertrauensdiensteanbieter, die qualifizierte Zertifikate ausstellen, eine Zertifikatsdatenbank und halten sie auf dem neuesten Stand.

Die Aufsichtsstelle kann ergänzende Informationen zu den gemäß Unterabsatz 1 Buchstabe a übermittelten Angaben oder das Ergebnis einer Konformitätsbewertung anfordern und kann die Erteilung der Erlaubnis, die beabsichtigten Änderungen an den qualifizierten Vertrauensdiensten vorzunehmen, an Bedingungen knüpfen. Wird die Überprüfung nicht innerhalb von drei Monaten nach der Mitteilung abgeschlossen, so unterrichtet die Aufsichtsstelle den Vertrauensdiensteanbieter hierüber unter Angabe der Gründe für die Verzögerung und der Frist, innerhalb deren die Überprüfung abzuschließen ist.

(3) Beschließt ein qualifizierter Vertrauensdiensteanbieter, der qualifizierte Zertifikate ausstellt, ein Zertifikat zu widerrufen, so registriert er den Widerruf in seiner Zertifikatsdatenbank und veröffentlicht den Widerrufsstatus des Zertifikats zeitnah und in jedem Fall innerhalb von 24 Stunden nach Erhalt des Ersuchens. Der Widerruf wird sofort nach seiner Veröffentlichung wirksam.

(4) Im Zusammenhang mit Absatz 3 stellen qualifizierte Vertrauensdiensteanbieter, die qualifizierte Zertifikate ausstellen, den vertrauenden Beteiligten Informationen über den Gültigkeits- oder Widerrufsstatus der von ihnen ausgestellten qualifizierten Zertifikate zur Verfügung. Diese Informationen werden zumindest auf Zertifikatsbasis jederzeit und über die Gültigkeitsdauer des Zertifikats hinaus automatisch auf zuverlässige, kostenlose und effiziente Weise bereitgestellt.

(4a) Die Absätze 3 und 4 gelten für den Widerruf qualifizierter elektronischer Attributsbescheinigungen entsprechend.

(4b) Der Kommission wird die Befugnis übertragen, gemäß Artikel 47 delegierte Rechtsakte zur Einführung von zusätzlichen Maßnahmen im Sinne von Absatz 2 Buchstabe fa dieses Artikels zu erlassen.

(5) Bis zum 21. Mai 2025 erstellt die Kommission im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards und legt, sofern erforderlich, die Spezifikationen und Verfahren für die in Absatz 2 des vorliegenden Artikels genannten Anforderungen fest. Werden diese Standards, Spezifikationen und Verfahren eingehalten, so wird davon ausgegangen, dass die Anforderungen dieses Absatzes erfüllt sind. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 48 Absatz 2 genannten Prüfverfahren erlassen.