1.

Geltungsbereich

Diese Anlage enthält die Anforderungen für die Zulassung und Autorisierung unabhängiger Wirtschaftsakteure, die Zugang zu sicherheitsrelevanten Reparatur- und Wartungsinformationen (RMI) benötigen. In ihr werden die zuständigen Stellen bzw. erforderlichen Verfahren für die Zulassung und Autorisierung unabhängiger Wirtschaftsakteure festgelegt, damit diesen Zugang zu sicherheitsrelevanten Reparatur- und Wartungsinformationen für leichte Personenkraftwagen und Nutzfahrzeuge sowie schwere Nutzfahrzeuge gewährt werden kann.

2.

Begriffsbestimmungen und Abkürzungen

2.1.

Begriffsbestimmungen

Für die Zwecke dieser Anlage gelten die folgenden Begriffsbestimmungen:

2.1.1.

„Akkreditierung”

„Akkreditierung” bezeichnet die Akkreditierung im Sinne von Artikel 2 Nummer 10 der Verordnung (EG) Nr. 765/2008.

2.1.2.

„IO-Mitarbeiter”

„IO-Mitarbeiter” bezeichnet den Mitarbeiter eines zugelassenen unabhängigen Wirtschaftsakteurs ( „independent operator”  — IO), der mit Autorisierung der zuständigen Konformitätsbewertungsstelle (KBS) Zugang zu sicherheitsrelevanten RMI hat.

2.1.3.

„Sicherheitsrelevante Reparatur- und Wartungsinformationen” oder „sicherheitsrelevante RMI”

„Sicherheitsrelevante Reparatur- und Wartungsinformationen” oder „sicherheitsrelevante RMI” bezeichnet die Informationen, Software, Funktionen und Dienstleistungen, die für die Reparatur und Wartung der vom Hersteller in einem Fahrzeug eingebauten Funktionen erforderlich sind, um zu verhindern, dass das Fahrzeug gestohlen oder weggefahren wird bzw. um zu ermöglichen, dass das Fahrzeug zurückverfolgt und wieder in Besitz genommen werden kann.

2.1.4.

Prüfbescheinigung über die Zulassung

„Prüfbescheinigung über die Zulassung” bezeichnet die Bescheinigung, die die Konformitätsbewertungsstelle den unabhängigen Wirtschaftsakteuren ausstellt, die die Kriterien für die Zulassung gemäß dieser Anlage erfüllen; durch sie wird bestätigt, dass diese unabhängigen Wirtschaftsakteure zugelassen sind und dass IO-Mitarbeiter die Autorisierung für den Zugang zu sicherheitsrelevanten RMI beantragen können.

2.1.5.

Prüfbescheinigung über die Autorisierung

„Prüfbescheinigung über die Autorisierung” bezeichnet die Bescheinigung, die die Konformitätsbewertungsstelle den IO-Mitarbeitern ausstellt, die die Kriterien für die Autorisierung gemäß dieser Anlage erfüllen; durch sie wird bestätigt, dass diese IO-Mitarbeiter autorisiert sind, den Zugang zu sicherheitsrelevanten RMI auf der Webseite eines Fahrzeugherstellers zu beantragen.

2.1.6.

„Trustcenter” oder „TC”

„Trustcenter” oder „TC” bezeichnet die vom SERMI benannte und von der Kommission zugelassene Stelle, die für Folgendes zuständig ist:

a)

Verwaltung der elektronischen Zertifikate und des Autorisierungsstatus der IO-Mitarbeiter und Bereitstellung der erforderlichen Sicherheitstoken und digitalen Zertifikate für autorisierte IO-Mitarbeiter an die Konformitätsbewertungsstelle,

b)

Benachrichtigung des Fahrzeugherstellers über den Autorisierungsstatus eines IO-Mitarbeiters.

2.1.7.

„Sicherheitstoken”

„Sicherheitstoken” bezeichnet ein Gerät, das eine sichere Authentifizierung eines unabhängigen Wirtschaftsakteurs ermöglicht.

2.1.8.

„Elektronisches Zertifikat”

„Elektronisches Zertifikat” bezeichnet ein elektronisches Zertifikat, das eine digitale Signatur des ausstellenden Trustcenters erfordert, um einen öffentlichen Schlüssel gemäß der Norm ISO 9594 mit der Identität des IO-Mitarbeiters zu verbinden.

2.1.9.

„Datenbank für die Autorisierungen”

„Datenbank für die Autorisierungen” bezeichnet eine vom Trustcenter geführte Datenbank, in der die Autorisierungsdaten der anonymisierten autorisierten IO-Mitarbeiter und die Registrierung der zugelassenen unabhängigen Wirtschaftsakteure gespeichert sind.

2.1.10.

„Datenbank mit den Zertifizierungen”

„Datenbank mit den Zertifizierungen” bezeichnet eine vom Trustcenter geführte Datenbank zur Verwaltung der Gültigkeit der elektronischen Zertifikate und der Kennungen der autorisierten IO-Mitarbeiter.

2.1.11.

„Europäische Kooperation für Akkreditierung” oder „EA”

„Europäische Kooperation für Akkreditierung” oder „EA” bezeichnet die von der Kommission gemäß Artikel 14 der Verordnung (EG) Nr. 765/2008 anerkannte Stelle, die für die Entwicklung, Aufrechterhaltung und Umsetzung der Akkreditierung in der Union zuständig ist.

2.1.12.

„Forum für den Zugang zu sicherheitsrelevanten Reparatur- und Wartungsinformationen” oder „SERMI”

Das „Forum für den Zugang zu sicherheitsrelevanten Reparatur- und Wartungsinformationen” oder „SERMI” bezeichnet die Stelle, die für die Koordinierung und die Beratung der Kommission in Bezug auf die Umsetzung der Akkreditierungs-, Zulassungs- und Autorisierungsverfahren für den Zugang zu sicherheitsrelevanten RMI zuständig ist.

2.1.13.

„Zuständige Behörden”

„Zuständige Behörden” bezeichnet die Behörden, die rechtlich befugt sind, im Bereich des Schutzes vor sowie der Ermittlung und Verfolgung von Straftaten im Bereich der Fahrzeugsicherheit tätig zu werden.

3.

Akkreditierung von Konformitätsbewertungsstellen, Zulassung von unabhängigen Wirtschaftsakteuren und Autorisierung von IO-Mitarbeitern

Nur Konformitätsbewertungsstellen, die von der nationalen Akkreditierungsstelle (NAS) gemäß Artikel 2 Nummer 11 der Verordnung (EG) Nr. 765/2008 des Mitgliedstaats, in dem sie niedergelassen sind, akkreditiert sind, stellen Prüfbescheinigungen über die Zulassung aus, in denen bescheinigt wird, dass ein unabhängiger Wirtschaftsakteur zugelassen ist, und Prüfbescheinigungen über die Autorisierung, in denen bescheinigt wird, dass ein IO-Mitarbeiter Zugang zu sicherheitsrelevanten RMI hat. Die Zulassung der unabhängigen Wirtschaftsakteure und die Autorisierung der IO-Mitarbeiter werden für einen Zeitraum von 60 Monaten ab dem Datum der Ausstellung der entsprechenden Prüfbescheinigungen erteilt. Unabhängige Wirtschaftsakteure, die Zugang zu sicherheitsrelevanten RMI erhalten möchten, beantragen bei einer Konformitätsbewertungsstelle, die von der nationalen Akkreditierungsstelle des Mitgliedstaats, in dem der unabhängige Wirtschaftsakteur niedergelassen ist, akkreditiert ist, eine Prüfbescheinigung über die Zulassung. IO-Mitarbeiter, die Zugriff auf sicherheitsrelevante RMI erhalten sollen, beantragen bei einer Konformitätsbewertungsstelle, die durch die nationale Akkreditierungsstelle des Mitgliedstaats, in dem der unabhängige Wirtschaftsakteur niedergelassen ist, akkreditiert ist, eine Prüfbescheinigung über die Autorisierung. Die Konformitätsbewertungsstellen unterrichten die Trustcenter über alle ausgestellten Prüfbescheinigungen über die Zulassung bzw. über die Autorisierung, woraufhin die Trustcenter einen Autorisierungseintrag erstellen und einen Sicherheitstoken sowie ein elektronisches Zertifikat ausgeben, anhand derer die IO-Mitarbeiter auf der RMI-Webseite des Fahrzeugherstellers eindeutig identifiziert werden können. Die Konformitätsbewertungsstellen stellen den jeweiligen IO-Mitarbeitern einen Sicherheitstoken und das elektronische Zertifikat zur Verfügung. Fahrzeughersteller können eine Gebühr für die Registrierung von IO-Mitarbeitern auf der RMI-Webseite des jeweiligen Fahrzeugherstellers und für den Zugang zu sicherheitsrelevanten RMI verlangen. Diese Gebühr muss in einem angemessenen Verhältnis zu den Kosten für die Registrierung und die Bereitstellung des Zugangs stehen. Die zu entrichtenden Gebühren sind auf den RMI-Webseiten des Fahrzeugherstellers anzugeben. Jegliche Übermittlung von digitalen Daten zwischen unabhängigen Wirtschaftsakteuren, Trustcentern und Konformitätsbewertungsstellen erfolgt zeitnah als Business-to-Business-Transaktion (B2B) unter Verwendung sicherer Protokolle. Eine Erklärung zur Bescheinigung, dass der unabhängige Wirtschaftsakteur einer legitimen Geschäftstätigkeit im Sinne von Nummer 6.3 dieses Anhangs nachgeht, ist von dem unabhängigen Wirtschaftsakteur zu unterzeichnen, der die Autorisierung durch die Konformitätsbewertungsstelle beantragt. Ein unabhängiger Wirtschaftsakteur wird erst nach Prüfung durch die Konformitätsbewertungsstelle zugelassen; dabei wird überprüft, ob die Erklärung unterzeichnet wurde und ob der unabhängige Wirtschaftsakteur sowie die jeweiligen IO-Mitarbeiter die Anforderungen dieser Anlage erfüllen. Die jeweiligen IO-Mitarbeiter dürfen erst nach Prüfung durch eine Konformitätsbewertungsstelle autorisiert werden. Die Konformitätsbewertungsstellen prüfen die vorgelegten Unterlagen und überprüfen, ob der betreffende IO-Mitarbeiter einen früheren Antrag auf Autorisierung gestellt hat, der von der betreffenden oder einer anderen Konformitätsbewertungsstelle auf Unionsebene abgelehnt wurde. Die Konformitätsbewertungsstellen übermitteln dem Trustcenter alle Daten, die das Trustcenter benötigt, um das elektronische Zertifikat und den Sicherheitstoken zu erstellen; beides übermittelt die Konformitätsbewertungsstelle an die IO-Mitarbeiter. IO-Mitarbeiter, die autorisiert wurden, erhalten von den jeweiligen Konformitätsbewertungsstellen die mit dem elektronischen Zertifikat verknüpfte PIN.

3.1.

Überblick über den Zugang zu sicherheitsrelevanten RMI

Die Fahrzeughersteller gewähren über ihre RMI-Webseite Zugang zu sicherheitsrelevanten RMI, sofern die IO-Mitarbeiter autorisiert sind und ihre Prüfbescheinigung über die Autorisierung vorlegen können und sofern der unabhängige Wirtschaftsakteur, für den die IO-Mitarbeiter tätig sind, über eine Prüfbescheinigung über die Zulassung verfügt. Die Hersteller können autorisierten IO-Mitarbeitern, die für zugelassene unabhängige Wirtschaftsakteure tätig sind, mittels einer speziellen Anwendung, die mit der RMI-Webseite verknüpft ist, den Zugang zu einer Online-Bestellmöglichkeit für sicherheitsrelevante Teile anbieten. Geht ein Antrag auf Zugang zu einer RMI-Webseite ein, erfordern die Webseiten des Fahrzeugherstellers die Identifizierung anhand der eindeutigen Kennung des IO-Mitarbeiters und fordern die Authentifizierungsdaten an. Die Authentifizierung von IO-Mitarbeitern erfolgt ausschließlich unter Verwendung elektronischer Zertifikate. Nach Erhalt eines elektronischen Zertifikats überprüft die RMI-Webseite des Fahrzeugherstellers durch Kommunikation mit dem im elektronischen Zertifikat angegebenen Trustcenter die eindeutige Kennung des IO-Mitarbeiters sowie den aktuellen Status des elektronischen Zertifikats und der Autorisierung. Jegliche Übermittlung von digitalen Daten zwischen unabhängigen Wirtschaftsakteuren, Fahrzeugherstellern, Trustcentern und Konformitätsbewertungsstellen erfolgt zeitnah als Business-to-Business-Transaktion (B2B) unter Verwendung sicherer Protokolle. Sobald die eindeutige Kennung und der Autorisierungsstatus des IO-Mitarbeiters überprüft worden sind, stellt der Fahrzeughersteller auf seiner Webseite den Zugang zu den erforderlichen sicherheitsrelevanten RMI bereit.

4.

Detaillierte Vorschriften für den Zugang zu sicherheitsrelevanten RMI

4.1.

Die Rolle des SERMI

4.1.1.

Zuständigkeiten und Verpflichtungen

Das SERMI überwacht die Umsetzung des Akkreditierungsverfahrens in allen Mitgliedstaaten und unterrichtet die Kommission entsprechend. Das SERMI berät die Kommission über Anträge auf Änderung des Akkreditierungsverfahrens.

a)

Das SERMI berät die Kommission über Anträge auf Änderung des Akkreditierungsverfahrens. Das SERMI überwacht die Umsetzung des Akkreditierungsverfahrens in allen Mitgliedstaaten und unterrichtet die Kommission entsprechend.

b)

Das SERMI konsultiert die Kommission zur Festlegung der Auswahlkriterien für das Trustcenter.

c)

Das SERMI berät die Kommission bei der Erstellung von Leitlinien zur technischen Umsetzung der Zusammenarbeit zwischen den am Verfahren beteiligten Stellen.

d)

Das SERMI richtet sich nach den Vorschriften der Europäischen Kooperation für Akkreditierung in Bezug auf Systemeigner.

e)

Die Mitglieder des SERMI werden durch die Interessenträger vertreten, die an dem Akkreditierungs-, Zulassungs- und Autorisierungsverfahren für den Zugriff auf sicherheitsrelevante RMI beteiligt sind.

4.1.2.

Auswahl der Trustcenter

Das Trustcenter wird vom SERMI ausgewählt und der Kommission zur Genehmigung mitgeteilt. Die ausgewählten Trustcenter müssen der Norm ETSI TS 319411-3 entsprechen und die Anforderungen an elektronische Signaturen gemäß der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates⁽¹⁾ sowie die Anforderungen unter Nummer 4.6 dieser Anlage erfüllen. Darüber hinaus müssen die Trustcenter:

—

über die für das Akkreditierungsverfahren relevanten technischen und Leitungskompetenzen sowie finanzielle Tragfähigkeit und Erfahrung verfügen,

—

über Personal in Schlüsselpositionen verfügen, das die für das Akkreditierungsverfahren erforderlichen Fähigkeiten, Erfahrungen und die notwendige Verfügbarkeit besitzt,

—

in der Lage sein, in allen Mitgliedstaaten tätig zu sein,

—

über ein Qualitätssicherungsverfahren auf operativer Ebene verfügen.

4.2.

Die Rolle der nationalen Akkreditierungsstellen

Die nationale Akkreditierungsstelle ist für die Akkreditierung von Konformitätsbewertungsstellen zum Zwecke der Zulassung von unabhängigen Wirtschaftsakteuren und der Autorisierung von IO-Mitarbeitern für den Zugang zu sicherheitsrelevanten RMI zuständig.

4.2.1.

Zuständigkeiten und Anforderungen

Die Zuständigkeiten und Anforderungen der nationalen Akkreditierungsstellen sind in den Artikeln 8 bis 12 der Verordnung (EG) Nr. 765/2008 festgelegt.

4.2.2.

Kriterien für die Akkreditierung der Konformitätsbewertungsstelle

Konformitätsbewertungsstellen müssen als Prüfstellen des Typs A gemäß ISO/IEC 17020:2012 akkreditiert sein. Konformitätsbewertungsstellen müssen die Anforderungen in Bezug auf das höchste Maß an Unabhängigkeit erfüllen. Darüber hinaus bewerten die nationalen Akkreditierungsstellen die Fähigkeiten der Konformitätsbewertungsstellen zur Einhaltung der Anforderungen der Nummern 4.3.1 bis 4.3.4. Das für die Prüfung unabhängiger Wirtschaftsakteure zuständige Personal muss über für die von ihm wahrgenommenen Aufgaben angemessene Kenntnisse im Bereich des Reparatur- und Wartungsgeschäfts für Kraftfahrzeuge und der Besonderheiten des Kfz-Anschlussmarktes (Aftermarket) verfügen.

4.3.

Die Rolle der Konformitätsbewertungsstellen

Die Konformitätsbewertungsstelle ist für die Prüfung der unabhängigen Wirtschaftsakteure und ihrer jeweiligen IO-Mitarbeiter sowie für die Ausstellung von Prüfbescheinigungen über die Zulassung bzw. über die Autorisierung gemäß dieser Anlage und für die Rücknahme dieser Bescheinigungen zuständig.

4.3.1.

Zuständigkeiten und Anforderungen

a)

Die Konformitätsbewertungsstellen bewahren die zur Zulassung eines unabhängigen Wirtschaftsakteurs vorgelegten Daten auf.

b)

Die Konformitätsbewertungsstellen richten einen Kanal zur sicheren Kommunikation mit dem Trustcenter ein und übermitteln dem Trustcenter die Ergebnisse der Prüfung, damit der Sicherheitstoken und das elektronische Zertifikat ausgestellt werden können.

c)

Die Konformitätsbewertungsstellen benachrichtigen die IO-Mitarbeiter sechs Monate vor Ablauf ihrer Autorisierung.

d)

Die Konformitätsbewertungsstellen unterhalten eine Datenbank mit den Daten, die für die Autorisierung der IO-Mitarbeiter übermittelt wurden.

e)

Konformitätsbewertungsstellen, die die Zulassung eines unabhängigen Wirtschaftsakteurs oder die Autorisierung eines IO-Mitarbeiters versagen, teilen dem Trustcenter die Ergebnisse der Prüfung in Bezug auf diesen unabhängigen Wirtschaftsakteur oder diesen Mitarbeiter mit.

f)

Die Konformitätsbewertungsstellen erheben und verwenden nur solche Daten, die für das Verfahren zur Zulassung bzw. Autorisierung erforderlich sind.

g)

Die Konformitätsbewertungsstellen behandeln alle Daten, die unabhängige Wirtschaftsakteure und IO-Mitarbeiter betreffen, vertraulich und stellen sicher, dass nur autorisierte Mitarbeiter Zugang zu diesen Daten haben.

h)

Die Konformitätsbewertungsstellen legen dem SERMI und der Kommission einmal jährlich Statistiken über die Zahl der erteilten Zulassungen und Autorisierungen sowie der Versagungen vor.

i)

Die Konformitätsbewertungsstellen müssen für einen Zeitraum von 5 Jahren sichere Aufzeichnungen über die Prüfungen über die Zulassung bzw. Autorisierung aufbewahren.

j)

Die Konformitätsbewertungsstellen unterrichten alle anderen Konformitätsbewertungsstellen des Mitgliedstaats, in dem sie niedergelassen sind, über negative Ergebnisse der Prüfung eines unabhängigen Wirtschaftsakteurs.

k)

Unabhängige Wirtschaftsakteure und IO-Mitarbeiter, die ein negatives Prüfergebnis erhalten haben, können der Konformitätsbewertungsstelle innerhalb von 15 Arbeitstagen nach Erhalt des negativen Prüfergebnisses zusätzliche Informationen zur Behebung geringfügiger Mängel vorlegen. Die jeweiligen Konformitätsbewertungsstellen entscheiden dann dementsprechend, ob das Ergebnis der Prüfung geändert wird.

l)

Die Konformitätsbewertungsstellen benachrichtigen die unabhängigen Wirtschaftsakteure sechs Monate vor Ablauf ihrer Zulassung.

m)

Die Konformitätsbewertungsstellen führen stichprobenartige und unangekündigte Vor-Ort-Prüfungen der unabhängigen Wirtschaftsakteure innerhalb der Gültigkeitsdauer der Zulassung von 60 Monaten durch und unterziehen jeden zugelassenen unabhängigen Wirtschaftsakteur während des Zulassungszeitraums von 60 Monaten mindestens einer stichprobenartigen Vor-Ort-Prüfung.

n)

Bei einer Beschwerde gegen einen zugelassenen unabhängigen Wirtschaftsakteur oder einen autorisierten IO-Mitarbeiter überprüfen die Konformitätsbewertungsstellen, ob der betreffende unabhängige Wirtschaftsakteur bzw. der betreffende IO-Mitarbeiter weiterhin die Kriterien erfüllt, aufgrund derer er zugelassen bzw. autorisiert wurde. Die Konformitätsbewertungsstelle entscheidet bei ihrer Untersuchung, ob eine Vor-Ort-Prüfung erforderlich ist.

o)

Für die Zwecke von Vor-Ort-Prüfungen können die Konformitätsbewertungsstellen die Marktüberwachungsbehörden des Mitgliedstaats, in dem sie niedergelassen sind, um Unterstützung bitten.

p)

Die Konformitätsbewertungsstellen nehmen die Zulassungen von unabhängigen Wirtschaftsakteuren bzw. die Autorisierungen von IO-Mitarbeitern zurück, wenn diese die Kriterien, nach denen sie zugelassen bzw. autorisiert wurden, nicht mehr erfüllen. Die Konformitätsbewertungsstellen fordern dementsprechend das Trustcenter auf, das elektronische Zertifikat des betreffenden IO-Mitarbeiters auszusetzen und aufzuheben.

4.3.2.

Erneuerung der Zulassung

Die Konformitätsbewertungsstellen führen auf Antrag eines unabhängigen Wirtschaftsakteurs oder sechs Monate vor Ablauf der Gültigkeit der Zulassung eine Vor-Ort-Prüfung durch und erneuern im Falle eines positiven Prüfergebnisses die Zulassung. Die Konformitätsbewertungsstellen stellen einem unabhängigen Wirtschaftsakteur, der die Zulassungskriterien erfüllt, eine neue Prüfbescheinigung über die Zulassung aus. Die Konformitätsbewertungsstellen bewerten die Anträge auf Erneuerung der Autorisierungen und stellen den IO-Mitarbeitern, die die Autorisierungskriterien erfüllen, eine Prüfbescheinigung über die Autorisierung aus.

4.3.3.

Kriterien über die Zulassung der unabhängigen Wirtschaftsakteure durch die Konformitätsbewertungsstelle

Vor der Zulassung eines unabhängigen Wirtschaftsakteurs und bei einer Vor-Ort-Prüfung während der Gültigkeitsdauer der Zulassung prüfen die Konformitätsbewertungsstellen Folgendes:

a)

Nachweis der Inhaberschaft des unabhängigen Wirtschaftsakteurs, Name des Geschäftsführers,

b)

die vom unabhängigen Wirtschaftsakteur vorgelegte Liste der zu autorisierenden IO-Mitarbeiter,

c)

Informationen über Zuständigkeit und Funktion der unter Buchstabe a genannten Mitarbeiter,

d)

ob der unabhängige Wirtschaftsakteur über eine Haftpflichtversicherung mit einem Mindestdeckungsbetrag von 1 Mio. EUR für Personenschäden und 0,5 Mio. EUR für Sachschäden verfügt,

e)

ob die Zulassung des unabhängigen Wirtschaftsakteurs wegen missbräuchlicher Verwendung zurückgenommen wurde,

f)

ob der unabhängige Wirtschaftsakteur den Nachweis über die Tätigkeit im Automobilbereich erbracht hat,

g)

ob die Erklärung, mit der bescheinigt wird, dass der unabhängige Wirtschaftsakteur einer legitimen Geschäftstätigkeit gemäß Nummer 6.3 nachgeht, vom unabhängigen Wirtschaftsakteur unterzeichnet wurde; während einer Prüfung vor Ort: ob der unabhängige Wirtschaftsakteur tatsächlich einer legitimen Geschäftstätigkeit nachgeht,

h)

Nachweis der Vorstrafenfreiheit des unabhängigen Wirtschaftsakteurs bzw. der IO-Mitarbeiter,

i)

ob eine vom rechtlichen Vertreter des unabhängigen Wirtschaftsakteurs unterzeichnete Erklärung darüber existiert, dass die Einhaltung der Verfahrensvorschriften gemäß Nummer 4.3.4 für alle Tätigkeiten im Zusammenhang mit der Fahrzeugsicherheit gewährleistet ist.

4.3.4.

Kriterien für die Autorisierung der IO-Mitarbeiter durch die Konformitätsbewertungsstelle

Vor der Autorisierung eines Mitarbeiters als IO-Mitarbeiter und bei einer Vor-Ort-Prüfung während der Gültigkeitsdauer der Zulassung stellen die Konformitätsbewertungsstellen sicher, dass:

a)

der betreffende Mitarbeiter nicht über eine vorherige Autorisierung verfügte, die wegen missbräuchlicher Nutzung zurückgenommen wurde,

b)

bei dem Mitarbeiter keine Einträge im Strafregister bestehen,

c)

zwischen dem betreffenden Mitarbeiter und dem zugelassenen unabhängigen Wirtschaftsakteur ein Arbeitsverhältnis besteht,

d)

dass der betreffende Mitarbeiter über einen gültigen länderspezifischen Personalausweis oder ein gleichwertiges Dokument verfügt.

4.4.

Rolle der unabhängigen Wirtschaftsakteure

4.4.1.

Zuständigkeiten und Anforderungen

a)

Die unabhängigen Wirtschaftsakteure müssen beantragen bei der jeweiligen Konformitätsbewertungsstelle eine Prüfung zur Zulassung beantragen.

b)

Die unabhängigen Wirtschaftsakteure benachrichtigen die jeweilige Konformitätsbewertungsstelle über etwaige Änderungen ihrer Kontaktdaten.

c)

Die unabhängigen Wirtschaftsakteure benachrichtigen die jeweilige Konformitätsbewertungsstelle über die etwaige Auflösung ihres Unternehmens.

d)

Die unabhängigen Wirtschaftsakteure müssen alle Transaktionen und Tätigkeiten mit Bezug zu sicherheitsrelevanten RMI aufzeichnen.

e)

Die unabhängigen Wirtschaftsakteure müssen die jeweiligen Konformitätsbewertungsstellen über eine etwaige Beendigung eines Beschäftigungsverhältnisses ihrer autorisierten Mitarbeiter unterrichten.

f)

Die unabhängigen Wirtschaftsakteure melden den zuständigen Behörden jegliche von ihren autorisierten Mitarbeitern begangenen Straftaten und jegliches Fehlverhalten, die sicherheitsrelevante RMI betreffen.

g)

Die unabhängigen müssen Wirtschaftsakteure sicherstellen, dass ihre autorisierten Mitarbeiter nur ihre eigenen Prüfbescheinigungen über die Autorisierung verwenden.

h)

Die unabhängigen Wirtschaftsakteure müssen stellen sicherstellen, dass alle Gebühren im Zusammenhang mit der Autorisierung der IO-Mitarbeiter entrichtet wurden.

i)

Die unabhängigen Wirtschaftsakteure müssen sicherstellen, dass die IO-Mitarbeiter für Reparaturarbeiten im Zusammenhang mit Wartung, Umprogrammierung sowie Sicherheits- und Schutzfunktionen von Kraftfahrzeugen geschult sind.

j)

Die unabhängigen Wirtschaftsakteure müssen bei ihrer Konformitätsbewertungsstelle im Zeitraum von sechs Monaten vor Ablauf der Prüfbescheinigung über die Zulassung eine Vor-Ort-Prüfung beantragen.

4.5.

Rolle der IO-Mitarbeiter

4.5.1.

Zuständigkeiten und Anforderungen

a)

Die IO-Mitarbeiter beantragen ihre Autorisierung bei der zuständigen Konformitätsbewertungsstelle.

b)

Die IO-Mitarbeiter registrieren sich im RMI-System des Fahrzeugherstellers.

c)

Der Zugriff der IO-Mitarbeiter auf sicherheitsrelevante RMI muss im Einklang mit der Norm EN ISO 18541-2014 erfolgen.

d)

Die IO-Mitarbeiter stellen sicher, dass alle Aufzeichnungen sicherheitsrelevanter RMI, die aus dem RMI-System des Fahrzeugherstellers heruntergeladen werden, nicht länger gespeichert werden als für die Durchführung der Tätigkeit, für die die Informationen benötigt werden, erforderlich ist.

e)

Die IO-Mitarbeiter teilen gegebenenfalls ihrem Arbeitgeber mit, wenn sie ihr elektronisches Zertifikat nicht mehr benötigen.

f)

Der IO-Mitarbeiter darf den Sicherheitstoken, das elektronische Zertifikat und die PIN nicht an Dritte weitergeben.

g)

Die IO-Mitarbeiter ist für die korrekte Verwendung des persönlichen Sicherheitstokens und der PIN verantwortlich.

h)

IO-Mitarbeiter informieren ihren unabhängigen Wirtschaftsakteur und ihr zuständiges Trustcenter innerhalb von 24 Stunden über jeglichen Verlust oder jegliche missbräuchliche Nutzung ihres Sicherheitstokens.

i)

Die IO-Mitarbeiter melden den zuständigen Behörden alle Anfragen oder Handlungen anderer IO-Mitarbeiter im Zusammenhang mit sicherheitsrelevanten RMI, die keine legitime Geschäftstätigkeit im Sinne von Nummer 6.3 dieses Anhangs darstellen.

4.6.

Rolle des Trustcenters

Die Trustcenter erstellen und versenden die elektronischen Zertifikate über die jeweiligen Konformitätsbewertungsstellen an die unabhängigen Wirtschaftsakteure und die IO-Mitarbeiter. Die Trustcenter führen eine Datenbank über die Prüfbescheinigungen über die Autorisierung, die ausgestellt worden sind. Die Trustcenter stellen den Fahrzeugherstellern eine Schnittstelle zur Verfügung, durch die der Status der elektronischen Zertifikate und der Prüfbescheinigungen über die Autorisierung überprüft werden kann. Die Trustcenter müssen die Informationen über IO-Mitarbeiter für einen zusätzlichen Zeitraum von höchstens 60 Monaten in der Datenbank für die Autorisierungen aufbewahren. Dieser Zeitraum darf nicht länger sein als die verbleibende Gültigkeitsdauer der Zulassung des unabhängigen Wirtschaftsakteurs, für den der IO-Mitarbeiter tätig ist.

4.6.1.

Zuständigkeiten und Anforderungen

a)

Trustcenter können auf Antrag der Konformitätsbewertungsstelle elektronische Zertifikate aussetzen und aufheben.

b)

Trustcenter stellen den unabhängigen Wirtschaftsakteuren und den IO-Mitarbeitern die Software für die Nutzung der elektronischen Zertifikate zur Verfügung.

c)

Trustcenter müssen rund um die Uhr und sieben Tage pro Woche in Betrieb sein.

4.7.

Rolle der Fahrzeughersteller

Die Fahrzeughersteller gewähren allen zugelassenen unabhängigen Wirtschaftsakteuren und allen autorisierten IO-Mitarbeitern Zugang zu sicherheitsrelevanten Reparatur- und Wartungsinformationen. Die Fahrzeughersteller kommunizieren mit den Trustcentern, um den Autorisierungs- und Authentifizierungsstatus der IO-Mitarbeiter, die den Zugang zu diesen Informationen anfordern, zu überprüfen.

4.7.1.

Zuständigkeiten und Anforderungen

a)

Die Fahrzeughersteller stellen sicher, dass ihre Webseiten so angepasst werden, dass der Zugang unabhängiger Wirtschaftsakteure zu sicherheitsrelevanten RMI unterstützt wird.

b)

Die Fahrzeughersteller stellen sicher, dass sie die auf der SERMI-Website bereitgestellten technischen Spezifikationen herunterladen.

4.7.2.

Verfahrensvorschriften für Fahrzeughersteller

Fahrzeughersteller gewähren nur dann Zugang zu sicherheitsrelevanten RMI, wenn alle folgenden Verfahrensvorschriften erfüllt sind:

(1)

Verfahrensvorschriften bei gestohlenen Fahrzeugen

Die Fahrzeughersteller führen Aufzeichnungen über alle Fahrzeuge ihrer Marke, die von den Behörden als gestohlen gemeldet wurden.

Die Fahrzeughersteller richten ein Verfahren ein, durch das eine eindeutige Rückverfolgbarkeit und Rechenschaftspflicht ermöglicht wird und durch das es den zuständigen Behörden möglich ist, die vom Fahrzeughersteller an den IO-Mitarbeiter, der Zugang zu den Informationen über das gestohlene Fahrzeug erhalten hat, übermittelten Daten zurückzuverfolgen.

(2)

Verfahrensvorschriften für die Speicherung von Informationen

Die Fahrzeughersteller müssen für jeden Zugang zu sicherheitsrelevanten Reparatur- und Wartungsinformationen, der gewährt wurde, folgende Informationen speichern:

a)

Fahrzeug-Identifizierungsnummer (FIN) des Fahrzeugs, für das die Informationen angefordert wurden,

b)

Datum der Anfrage,

c)

wenn verfügbar, das amtliche Kennzeichen des Fahrzeugs, für das die Informationen angefordert wurden,

d)

Variante des Fahrzeugs, für das die Informationen angefordert wurden, und, sofern verfügbar, Version des Fahrzeugs.

Die Fahrzeughersteller müssen diese Daten für einen Zeitraum von 5 Jahren speichern.