(1)

Mit der Verordnung (EU) Nr. 910/2014 wurde ein Rechtsrahmen für die Ausstellung und Validierung elektronischer Attributsbescheinigungen geschaffen, einschließlich einer Verpflichtung für Anbieter elektronischer Attributsbescheinigungen, Nutzern europäischer Brieftaschen für die digitale Identität (im Folgenden „Brieftasche“) die Möglichkeit zu geben, die elektronische Attributsbescheinigung unabhängig von dem Mitgliedstaat, in dem die Brieftaschen bereitgestellt werden, anzufordern, zu erhalten, zu speichern und zu verwalten. Elektronische Attributsbescheinigungen sind unverzichtbare Komponenten für den Aufbau eines sicheren und interoperablen Ökosystems europäischer Brieftaschen für die digitale Identität (im Folgenden „Brieftaschen-Ökosystem“). Sie ermöglichen es den Nutzern, in einer Vielzahl von Anwendungsfällen auf vertrauenswürdige Weise Informationen an vertrauende Beteiligte weiterzugeben.

(2)

Die Schnittstellen zu den europäischen Brieftaschen für die digitale Identität, die von Anbietern qualifizierter elektronischer Attributsbescheinigungen gemäß Artikel 45g der Verordnung (EU) Nr. 910/2014 bereitzustellen sind, unterstreichen die Bedeutung der elektronischen Attributsbescheinigungen für das Brieftaschen-Ökosystem und erleichtern deren rasche Einführung.

(3)

Die Kommission bewertet regelmäßig neue Technologien, Praktiken, Normen und technische Spezifikationen. Um ein Höchstmaß an Harmonisierung zwischen den Mitgliedstaaten bei der Entwicklung und Zertifizierung der Brieftaschen zu gewährleisten, beruhen die in dieser Verordnung festgelegten technischen Spezifikationen auf den Arbeiten, die auf der Grundlage der Empfehlung (EU) 2021/946 der Kommission vom 3. Juni 2021 für ein gemeinsames Instrumentarium der Union für ein koordiniertes Herangehen an einen Rahmen für die europäische digitale Identität (2) durchgeführt wurden, insbesondere auf der Architektur und dem dazugehörigen Referenzrahmen. Nach Erwägungsgrund 75 der Verordnung (EU) 2024/1183 des Europäischen Parlaments und des Rates (3) sollte die Kommission diese Verordnung überprüfen und gegebenenfalls aktualisieren, damit sie mit globalen Entwicklungen, der Architektur und dem Referenzrahmen Schritt hält und den bewährten Verfahren des Binnenmarkts folgt, insbesondere in Bezug auf die Ausstellung elektronischer Attributsbescheinigungen und die Überprüfung von Attributen anhand authentischer Quellen oder benannter Vermittler.

(4)

Machen Anbieter qualifizierter elektronischer Attributsbescheinigungen und Anbieter elektronischer Attributsbescheinigungen, die von einer für eine authentische Quelle zuständigen öffentlichen Stelle oder in deren Namen ausgestellt werden, geltend, die Anforderungen der im Katalog registrierten Attributsbescheinigungsregelungen zu erfüllen, sollten Konzepte und Verfahren für die Einhaltung der Anforderungen dieser Regelungen Teil der Konformitätsbewertung gemäß der Verordnung (EU) Nr. 910/2014 sein.

(5)

Der Schutz vor unzuverlässigen Informationen ist für die Digitalisierung von Bescheinigungen überaus wichtig. Daher sollten qualifizierte elektronische Attributsbescheinigungen und elektronische Attributsbescheinigungen, die von einer für eine authentische Quelle zuständigen öffentlichen Stelle oder in deren Namen ausgestellt werden, widerrufen werden können, oder es sollten alternative Maßnahmen ergriffen werden, um die Risiken im Zusammenhang mit einer Unwiderruflichkeit auszugleichen. Bestimmte Umstände wie das ausdrückliche Verlangen der Person, der die elektronische Attributsbescheinigung ausgestellt wurde, oder wenn dem Anbieter bekannt ist, dass die Sicherheit oder Vertrauenswürdigkeit der qualifizierten elektronischen Attributsbescheinigungen oder der elektronischen Attributsbescheinigungen, die von einer für eine authentische Quelle zuständigen öffentlichen Stelle oder in deren Namen ausgestellt werden, beeinträchtigt ist, oder wenn dies gemäß Unionsrecht oder nationalem Recht vorgeschrieben ist, sollten den Widerruf durch den Anbieter der elektronischen Attributsbescheinigung nach sich ziehen. Um die Grundrechte des Nutzers auf Privatsphäre und Datenschutz zu wahren, indem insbesondere die Risiken der Verknüpfbarkeit und Rückverfolgung möglichst gering gehalten werden, sollten Anbieter qualifizierter elektronischer Attributsbescheinigungen und Anbieter elektronischer Attributsbescheinigungen, die von einer für eine authentische Quelle zuständigen öffentlichen Stelle oder in deren Namen ausgestellt werden, Konzepte für die Verwaltung von Widerrufen schaffen, mit denen die Privatsphäre gewahrt wird.

(6)

Um die Zusammenarbeit zwischen den Mitgliedstaaten und die Schaffung eines sicheren und interoperablen Ökosystems für die digitale Identität zu erleichtern, einschließlich der grenzüberschreitenden Anerkennung und Interoperabilität qualifizierter elektronischer Attributsbescheinigungen und elektronischer Attributsbescheinigungen, die von einer für eine authentische Quelle zuständigen öffentlichen Stelle oder in deren Namen ausgestellt werden, müssen vereinfachte Verfahren für die Kommunikation zwischen den einschlägigen Interessenvertretern eingeführt werden, einschließlich der Veröffentlichung von Informationen zur raschen Ermittlung der einschlägigen öffentlichen Stellen. Die Mitgliedstaaten sollten der Kommission die einschlägigen Attribute melden. Damit all diese Attribute zeitnah, wirksam und interoperabel nutzbar sind, sollten die entsprechenden Meldungen an die Kommission zumindest in englischer Sprache erfolgen, da dies ihre breite Zugänglichkeit, Bewertung und Verständlichkeit erleichtert und gleichzeitig die Zusammenarbeit zwischen den einschlägigen Beteiligten verbessert. Die Übersetzung bereits vorhandener Unterlagen sollte jedoch keinen unzumutbaren Verwaltungs- oder finanziellen Aufwand verursachen.

(7)

Damit Nutzer und Diensteanbieter überprüfen können, ob elektronische Attributsbescheinigungen, die von einer für eine authentische Quelle zuständigen öffentlichen Stelle oder in deren Namen ausgestellt werden, tatsächlich von dieser öffentlichen Stelle oder in deren Namen ausgestellt wurden, sollten die Mitgliedstaaten der Kommission diese öffentlichen Stellen melden. Bei der Meldung öffentlicher Stellen, die elektronische Attributsbescheinigungen gemäß Artikel 45f und Anhang VII der Verordnung (EU) Nr. 910/2014 ausstellen, legen die Mitgliedstaaten einen Konformitätsbewertungsbericht vor, der ein Maß an Verlässlichkeit und Vertrauenswürdigkeit bestätigt, das den qualifizierten Vertrauensdiensteanbietern entspricht. Im Gegensatz zu qualifizierten Vertrauensdiensteanbietern, die qualifizierte elektronische Attributsbescheinigungen ausstellen, ist es bei diesen öffentlichen Stellen jedoch Sache der Mitgliedstaaten, wie sie sicherstellen, dass die Anbieter die Anforderungen auf Dauer erfüllen. Um ein hohes Maß an Vertrauen in Bescheinigungen öffentlicher Stellen in der gesamten Union aufrechtzuerhalten, werden die Mitgliedstaaten daher aufgefordert, im Rahmen der gemäß Artikel 46e Absatz 1 der Verordnung (EU) Nr. 910/2014 eingesetzten europäischen Kooperationsgruppe für die digitale Identität (im Folgenden „Kooperationsgruppe“) ihre bewährten Verfahren auszutauschen, mit denen sie für die kontinuierliche Verlässlichkeit und Vertrauenswürdigkeit sorgen. Die Kommission sollte eine Liste der Anbieter erstellen, führen und veröffentlichen und sicherstellen, dass diese Liste für die Öffentlichkeit leicht zugänglich ist.

(8)

Die Kommission sollte mit Unterstützung der Kooperationsgruppe einen Attributskatalog erstellen, um die Überprüfung von Attributen anhand authentischer Quellen durch qualifizierte Vertrauensdiensteanbieter, die qualifizierte elektronische Attributsbescheinigungen ausstellen, zu erleichtern. Die in Anhang VI der Verordnung (EU) Nr. 910/2014 aufgeführten Attribute sollten obligatorisch in dem Attributskatalog registriert werden müssen. Bei anderen Attributen wäre die Registrierung fakultativ.

(9)

Die Kommission sollte mit Unterstützung der Kooperationsgruppe einen Katalog der Attributsbescheinigungsregelungen einrichten, um die Ausstellung von Bescheinigungen durch qualifizierte Vertrauensdiensteanbieter, die qualifizierte elektronische Attributsbescheinigungen ausstellen, und Anbieter elektronischer Attributsbescheinigungen, die von einer für eine authentische Quelle zuständigen öffentlichen Stelle oder in deren Namen ausgestellt werden, sowie die Harmonisierung und grenzüberschreitende Interoperabilität dieser Bescheinigungen zu erleichtern. Die Registrierung solcher Regelungen im Katalog der Regelungen sollte fakultativ sein. Anträge auf Registrierung oder Änderung des Katalogs sollten vom Inhaber einer Attributsbescheinigungsregelung gestellt werden und können Attribute umfassen, die nicht im Attributskatalog aufgeführt sind. Die Kommission sollte diese Anträge unter Berücksichtigung des Interoperabilitäts- und Harmonisierungsbedarfs prüfen.

(10)

Um sicherzustellen, dass der Attributskatalog aussagekräftige Informationen enthält und ein hohes Maß an Interoperabilität mit dem Ökosystem für elektronische Attributsbescheinigungen aufweist, sollte er zumindest einen Mindestsatz an Informationen bereitstellen, wie z. B. eine semantische Beschreibung des Attributs, den Namensraum seiner Kennung und die Datenart des Attributs. Zu demselben Zweck sollte der Katalog der Attributsbescheinigungsregelungen Beschreibungen häufiger Arten elektronischer Attributsbescheinigungen sowie eine Beschreibung des Vertrauensmodells und der im Rahmen der Bescheinigungsregelung angewandten Governance-Mechanismen enthalten. Die in den Katalogen enthaltenen Informationen sollten die Version von Attributen und Regelungen umfassen, damit sich Änderungen dieser Attribute und Regelungen nicht auf Bescheinigungen auswirken, die nach bestimmten Versionen ausgestellt wurden.

(11)

Um die Wirksamkeit der Überprüfung von Attributen anhand authentischer Quellen durch qualifizierte Vertrauensdiensteanbieter, die qualifizierte elektronische Attributsbescheinigungen ausstellen, auch über benannte Vermittler, die Diensteanbietern indirekte Überprüfungsmechanismen zur Verfügung stellen, sicherzustellen, sollten die Mitgliedstaaten innerhalb der in Artikel 45e Absatz 1 der Verordnung (EU) Nr. 910/2014 festgelegten Frist Mechanismen einrichten, die es qualifizierten Vertrauensdiensteanbietern, die qualifizierte elektronische Attributsbescheinigungen ausstellen, ermöglichen, die Überprüfung von Attributen zu beantragen. Mithilfe der Mechanismen sollten qualifizierte Vertrauensdiensteanbieter, die qualifizierte elektronische Attributsbescheinigungen ausstellen, bestimmen können, welche Attribute auf welche Weise überprüft werden können. Diese Mechanismen sollten Einzelheiten über Zugangspunkte und Dienstprotokolle zur Überprüfung der Gültigkeit und Richtigkeit der Attribute enthalten, und es sollte die Möglichkeit erwogen werden, auf nationaler Ebene eine zentrale Überprüfungsstelle anzubieten.

(12)

Insbesondere sollten die Mitgliedstaaten qualifizierten Vertrauensdiensteanbietern, die qualifizierte elektronische Attributsbescheinigungen ausstellen, auf nationaler Ebene die Mechanismen für den Zugang zu Überprüfungsstellen und deren Nutzung für jedes der in Anhang VI der Verordnung (EU) Nr. 910/2014 aufgeführten Attribute zur Verfügung stellen. Diese Mechanismen sollten es qualifizierten Vertrauensdiensteanbietern, die qualifizierte elektronische Attributsbescheinigungen ausstellen, ermöglichen, auf Veranlassung des Nutzers einer Überprüfungsstelle spezifische Attribute für die Ausstellung der Bescheinigung und während ihrer Lebensdauer vorzulegen. Bei den Überprüfungsmechanismen sollten elektronische Mittel eingesetzt werden, die für eine automatische Verarbeitung und für den schnellstmöglichen Erhalt von Antworten von der Überprüfungsstelle geeignet sind. In dieser Antwort sollte bestätigt werden, ob die von den qualifizierten Vertrauensdiensteanbietern, die qualifizierte elektronische Attributsbescheinigungen ausstellen, vorgelegten Attribute den Attributen entsprechen, die in Bezug auf diesen Nutzer in der betreffenden authentischen Quelle gespeichert sind, und es sollte die authentische Quelle angegeben werden, anhand der die Überprüfung durchgeführt wurde. Um Fehlverhalten wie rechtswidrige oder offensichtlich übermäßige Überprüfungsanträge zu vermeiden, können die Mitgliedstaaten Kontrollmechanismen für die Nutzung der Überprüfungsstelle vorschreiben, wenn sie dies unter Berücksichtigung einschlägiger Faktoren für angemessen halten, einschließlich der Frage, ob die authentischen Quellen Informationen enthalten, die nach Unionsrecht oder nationalem Recht als personenbezogene Daten gelten oder anderweitig vertraulich oder sensibel sind.

(13)

Im Einklang mit den in der Verordnung für ein interoperables Europa (4) festgelegten Grundsätzen sollte die Kommission gegebenenfalls Synergien mit den gemeinsamen Diensten des technischen Systems gemäß der Verordnung (EU) 2018/1724 des Europäischen Parlaments und des Rates über die Einrichtung eines einheitlichen digitalen Zugangstors und zur Änderung der Verordnung (EU) Nr. 1024/2012 (5) nutzen, um die Einrichtung eines Attributskatalogs und eines Katalogs von Attributsbescheinigungsregelungen sowie die Weiterverwendung bestehender Kataloge, Regelungen und Informationen so weit wie möglich zu erleichtern.

(14)

Um die Interoperabilität der von nicht qualifizierten Vertrauensdiensteanbietern ausgestellten elektronischen Attributsbescheinigungen zu verbessern, können die Aussteller von Bescheinigungen auch bei nicht qualifizierten elektronischen Attributsbescheinigungen die in der vorliegenden Verordnung festgelegten Grundsätze und Anforderungen einhalten.

(15)

Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (6) und, sofern anwendbar, die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (7) gelten für die Verarbeitung personenbezogener Daten gemäß der vorliegenden Verordnung.

(16)

Um der Kommission und den Mitgliedstaaten ausreichend Zeit für die Erstellung der Liste der Anbieter elektronischer Attributsbescheinigungen, die von einer für eine authentische Quelle zuständigen öffentlichen Stelle oder in deren Namen ausgestellt werden, zu geben, sollten die Anforderungen dieser Verordnung in Bezug auf den Attributskatalog, den Katalog der Attributsbescheinigungsregelungen und die Überprüfungsstellen für Attribute zwölf Monate nach Inkrafttreten dieser Verordnung anwendbar werden.

(17)

Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (8) angehört und gab am 31. Januar 2025 seine Stellungnahme ab.

(18)

Die in dieser Verordnung vorgesehenen Maßnahmen entsprechen der Stellungnahme des gemäß Artikel 48 der Verordnung (EU) Nr. 910/2014 eingesetzten Ausschusses —

1.

qualifizierte elektronische Attributsbescheinigungen,

2.

elektronische Attributsbescheinigungen, die von einer für eine authentische Quelle zuständigen öffentlichen Stelle oder in deren Namen ausgestellt werden,

3.

die Liste der Anbieter elektronischer Attributsbescheinigungen, die von einer für eine authentische Quelle zuständigen öffentlichen Stelle oder in deren Namen ausgestellt werden,

4.

den Attributskatalog und den Katalog der Attributsbescheinigungsregelungen gemäß den Absätzen 1 und 2,

5.

die Überprüfung von Attributen anhand authentischer Quellen oder benannter Vermittler.

1.

„Einzelbrieftasche“ eine einzigartige Konfiguration einer Brieftaschenlösung, die Brieftascheninstanzen, sichere Kryptoanwendungen für Brieftaschen und sichere Kryptomodule für Brieftaschen umfasst, die einem einzelnen Brieftaschennutzer von einem Brieftaschenanbieter bereitgestellt werden;

2.

„Brieftaschennutzer“ einen Nutzer, der die Kontrolle über die Einzelbrieftasche hat;

3.

„Attributskatalog“ ein digitales Verzeichnis von Attributen, das von der Kommission geführt und online veröffentlicht wird;

4.

„Attributsbescheinigungsregelung“ eine Reihe von Vorschriften, die für eine oder mehrere Arten elektronischer Attributsbescheinigungen gelten;

5.

„Art elektronischer Attributsbescheinigungen“ eine bestimmte benannte und semantisch beschriebene Gruppe elektronischer Attributsbescheinigungen;

6.

„Katalog der Attributsbescheinigungsregelungen“ ein digitales Verzeichnis, in dem die gemäß dieser Verordnung registrierten Attributsbescheinigungsregelungen aufgeführt sind, das von der Kommission geführt [und online veröffentlicht] wird;

7.

„Brieftaschenlösung“ eine Kombination aus Software, Hardware, Diensten, Einstellungen und Konfigurationen, einschließlich Brieftascheninstanzen, einer oder mehreren sicheren Kryptoanwendungen für Brieftaschen und einem oder mehreren sicheren Kryptomodulen für Brieftaschen;

8.

„Brieftascheninstanz“ die Anwendung, die als Bestandteil einer Einzelbrieftasche auf dem Gerät oder in der Umgebung eines Brieftaschennutzers installiert und konfiguriert ist und die der Brieftaschennutzer verwendet, um mit der Brieftasche zu interagieren;

9.

„sichere Kryptoanwendung für Brieftaschen“ (Wallet Secure Cryptographic Application) eine Anwendung, die kritische Werte verwaltet und dabei mit den kryptografischen und den nicht-kryptografischen Funktionen eines sicheren Kryptomoduls für Brieftaschen verknüpft ist und diese nutzt;

10.

„sicheres Kryptomodul für Brieftaschen“ (Wallet Secure Cryptographic Device) eine manipulationssichere Vorrichtung, die eine Umgebung bietet, die mit der sicheren Kryptoanwendung für Brieftaschen verknüpft ist und von dieser genutzt wird, um kritische Werte zu schützen und kryptografische Funktionen für die sichere Ausführung kritischer Vorgänge bereitzustellen;

11.

„Brieftaschenanbieter“ eine natürliche oder juristische Person, die Brieftaschenlösungen bereitstellt;

12.

„kritische Werte“ Werte bzw. Daten innerhalb oder im Zusammenhang mit einer Einzelbrieftasche, die so außerordentlich wichtig sind, dass die Beeinträchtigung ihrer Verfügbarkeit, Vertraulichkeit oder Integrität eine sehr schwerwiegende, beeinträchtigende Wirkung auf die verlässliche Verwendbarkeit der Einzelbrieftasche hätte;

13.

„Inhaber einer Attributsbescheinigungsregelung“ eine Stelle, die für die Einrichtung und Pflege einer Attributsbescheinigungsregelung zuständig ist.