30.1.2013   

DE

Amtsblatt der Europäischen Union

C 28/6

Zusammenfassung der Stellungnahme des Europäischen Datenschutzbeauftragten zum Vorschlag der Kommission für eine Verordnung des Europäischen Parlaments und des Rates über Vertrauen und Zutrauen in elektronische Transaktionen im Binnenmarkt (Verordnung über elektronische Vertrauensdienste)

(Der vollständige Text dieser Stellungnahme ist in englischer, französischer und deutscher Sprache auf der Internetpräsenz des EDSB unter http://www.edps.europa.eu erhältlich)

2013/C 28/04

I.   Einleitung

I.1   Der Vorschlag

1.

Am 4. Juni 2012 nahm die Kommission einen Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Änderung der Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt („Vorschlag“) an (1).

2.

Der Vorschlag gehört zu den Maßnahmen, die die Kommission zur Förderung der Einführung elektronischer Transaktionen in der Europäischen Union vorgelegt hat. Sie schließen an die in der Digitalen Agenda für Europa (2) vorgesehenen Aktionen an, in denen es um bessere Rechtsvorschriften für „eSignaturen“ (Schlüsselaktion 3) und einen kohärenten Rahmen für die gegenseitige Anerkennung der elektronischen Identität und Authentifizierung geht (Schlüsselaktion 16).

3.

Der Vorschlag soll das Vertrauen in EU-weite elektronische Transaktionen stärken und die grenzüberschreitende rechtliche Anerkennung der elektronischen Identifizierung, Authentifizierung, Signatur und damit verbundener Vertrauensdienste im Binnenmarkt gewährleisten und gleichzeitig für ein hohes Datenschutzniveau und die Ermächtigung der Nutzer sorgen.

4.

Ein hohes Datenschutzniveau ist für den Einsatz elektronischer Identifizierungssysteme und Vertrauensdienste unerlässlich. Entwicklung und Einsatz solcher elektronischen Mittel müssen sich auf eine angemessene Verarbeitung personenbezogener Daten durch Vertrauensdienstanbieter und Aussteller elektronischer Identifizierungen stützen. Dies ist umso wichtiger, als eine derartige Verarbeitung die Grundlage unter anderem für eine möglichst zuverlässige Identifizierung und Authentifizierung natürlicher (oder juristischer) Personen sein soll.

I.2   Konsultation des EDSB

5.

Vor der Annahme des Vorschlags hatte der EDSB Gelegenheit, informell Kommentare abzugeben. Viele dieser Kommentare wurden in dem Vorschlag berücksichtigt. Im Ergebnis wurden die Datenschutzgarantien in dem Vorschlag gestärkt.

6.

Der EDSB begrüßt, dass er von der Kommission auch formal konsultiert wird, im Einklang mit Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001.

I.3   Hintergrund des Vorschlags

7.

Der Vorschlag beruht auf Artikel 114 des Vertrags über die Arbeitsweise der Europäischen Union und legt die Bedingungen und Mechanismen für die gegenseitige Anerkennung und Akzeptierung der elektronischen Identifizierung und von Vertrauensdiensten zwischen Mitgliedstaaten fest. Er enthält insbesondere die Grundsätze, nach denen die Erbringung von Identifizierungs- und elektronischen Vertrauensdiensten erfolgt, einschließlich der Vorschriften für Anerkennung und Akzeptierung. Ferner legt er die Anforderungen für die Erstellung, Überprüfung, Validierung, Handhabung und Bewahrung elektronischer Signaturen, elektronischer Siegel, elektronischer Zeitstempel, elektronischer Dokumente, elektronischer Zustelldienste, der Website-Authentifizierung und elektronischer Zertifikate fest.

8.

Weiterhin enthält der Verordnungsvorschlag Vorschriften für die Beaufsichtigung der Erbringung von Vertrauensdiensten und verpflichtet die Mitgliedstaaten zur Einrichtung entsprechender Aufsichtsstellen. Zu den Aufgaben dieser Stellen gehört die Beurteilung der Frage, ob die von den Anbietern elektronischer Vertrauensdienste ergriffenen technischen und organisatorischen Maßnahmen den Vorschriften entsprechen.

9.

Gegenstand von Kapitel II sind elektronische Identifizierungsdienste, während sich Kapitel III mit anderen elektronischen Vertrauensdiensten wie elektronischen Signaturen, Siegeln, Zeitstempeln, Dokumenten, Zustellungsdiensten, Zertifikaten und der Website-Authentifizierung befasst. Elektronische Identifizierungsdienste haben mit nationalen Personalausweisen zu tun und können beim Zugang zu digitalen Diensten und hier vor allem zu „eGovernment“-Diensten verwendet werden; das bedeutet, dass eine Stelle, die eine elektronische Identifizierung ausstellt, im Namen eines Mitgliedstaats handelt, und dass der Mitgliedstaat für die Herstellung einer korrekten Korrelation zwischen einer bestimmten natürlichen Person und ihren elektronischen Identifizierungsmitteln verantwortlich ist. Bei den anderen elektronischen Vertrauensdiensten ist der Anbieter/Aussteller eine natürliche oder juristische Person und für die ordnungsgemäße und sichere Erbringung dieser Dienste verantwortlich.

I.4   Vom Vorschlag aufgeworfene Datenschutzfragen

10.

Die Verarbeitung personenbezogener Daten ist mit dem Einsatz von Identifizierungssystemen und bis zu einem gewissen Ausmaß auch mit der Erbringung anderer Vertrauensdienste (z. B. bei elektronischen Signaturen) untrennbar verbunden. Eine Verarbeitung personenbezogener Daten wird erforderlich sein, um eine vertrauenswürdige Verknüpfung zwischen den von einer natürlichen Person verwendeten elektronischen Identifizierungs- und Authentifizierungsmitteln und dieser Person herzustellen, damit bescheinigt werden kann, dass die Person hinter dem elektronischen Zertifikat auch die ist, die sie zu sein vorgibt. So beziehen sich elektronische Identifizierungen oder elektronische Zertifikate auf natürliche Personen und beinhalten eine Reihe von Daten, die diese Personen eindeutig repräsentieren. Das bedeutet mit anderen Worten, dass die Erstellung, Überprüfung, Validierung und Handhabung der in Artikel 3 Absatz 12 des Vorschlags genannten elektronischen Mittel auf jeden Fall die Verarbeitung personenbezogener Daten beinhalten, weshalb der Datenschutz Bedeutung erhält.

11.

Aus diesem Grund ist es von zentraler Bedeutung, dass die Verarbeitung von Daten im Zusammenhang mit der Bereitstellung elektronischer Identifizierungssysteme oder elektronischer Vertrauensdienste im Einklang mit dem EU-Datenschutzrahmen und hier vor allem mit den einzelstaatlichen Rechtsvorschriften zur Umsetzung der Richtlinie 95/46/EG geschieht.

12.

In der vorliegenden Stellungnahme wird sich der EDSB vorwiegend mit drei Hauptfragen befassen, nämlich

a)

der Behandlung des Datenschutzes im Vorschlag;

b)

Datenschutzaspekten elektronischer Identifizierungssysteme, die grenzüberschreitend anerkannt und akzeptiert werden sollen, und

c)

Datenschutzaspekten elektronischer Vertrauensdienste, die grenzüberschreitend anerkannt und akzeptiert werden sollen.

III.   Schlussfolgerungen

50.

Der EDSB begrüßt den Vorschlag, da er zur gegenseitigen Anerkennung (und Akzeptierung) elektronischer Vertrauensdienste und Identifizierungssysteme auf europäischer Ebene beitragen kann. Er begrüßt ferner die Aufstellung von Anforderungen, die von Ausstellern elektronischer Identifizierungsmittel und Vertrauensdienstanbietern gleichermaßen zu erfüllen sind. Ungeachtet seiner allgemeinen Unterstützung des Vorschlags spricht der EDSB die folgenden allgemeinen Empfehlungen aus:

Die Datenschutzvorschriften im Vorschlag sollten nicht auf Vertrauensdienstanbieter beschränkt sein, sondern auch für die Verarbeitung personenbezogener Daten in den, in Kapitel II des Vorschlags beschriebenen, elektronischen Identifizierungssystemen gelten;

die vorgeschlagene Verordnung sollte eine Reihe gemeinsamer Sicherheitsanforderungen für Vertrauensdienstanbieter und Aussteller elektronische Identifizierungen enthalten. Alternativ könnte sie der Kommission die Möglichkeit geben, bei Bedarf im Wege der selektiven Anwendung delegierter Rechtsakte oder von Durchführungsrechtsakten die Kriterien, Bedingungen und Anforderungen an die Sicherheit in elektronischen Vertrauensdiensten und Identifizierungssystemen festzulegen;

von den Anbietern elektronischer Vertrauensdienste und von Ausstellern elektronischer Identifizierungen sollte gefordert werden, den Nutzern ihrer Dienste Folgendes bereitzustellen: i) angemessene Informationen über die Erhebung, Weitergabe und Aufbewahrung ihrer Daten sowie ii) Möglichkeiten zur Kontrolle ihrer personenbezogenen Daten und zur Ausübung ihrer Datenschutzrechte;

der EDSB empfiehlt, Bestimmungen, denen zufolge die Kommission nach Annahme des Vorschlags konkrete Bestimmungen mit Hilfe delegierter Rechtsakte oder von Durchführungsrechtsakten näher spezifizieren kann, selektiver in den Vorschlag aufzunehmen.

51.

Auch einige Bestimmungen über die gegenseitige Anerkennung elektronischer Identifizierungssysteme sollten verbessert werden:

In der vorgeschlagenen Verordnung sollte genau festgelegt werden, welche Daten oder Datenkategorien für den Zweck der grenzüberschreitenden Identifizierung natürlicher Personen verarbeitet werden sollen. Bei diesen Angaben sollte mindestens der gleiche Detailgrad wie in Anhängen über andere Vertrauensdienste erreicht und auf die Wahrung des Grundsatzes der Verhältnismäßigkeit geachtet werden;

die für die Bereitstellung von Identifizierungssystemen geforderten Garantien sollten zumindest den Anforderungen an die Anbieter qualifizierter Vertrauensdienste genügen;

der Vorschlag sollte geeignete Mechanismen für den Aufbau eines Rahmens für die Interoperabilität nationaler Identifizierungssysteme festlegen.

52.

Abschließend spricht der EDSB noch die folgenden Empfehlungen bezüglich der Anforderungen an die Erbringung und Anerkennung elektronischer Vertrauensdienste aus:

Bei allen elektronischen Diensten sollte bestimmt werden, ob personenbezogene Daten verarbeitet werden, und in den Fällen, in denen personenbezogene Daten verarbeitet werden, sollten die zu verarbeitenden Daten oder Datenkategorien festgelegt werden;

die Verordnung sollte mit angemessenen Garantien dafür sorgen, dass es nicht zu Überschneidungen der Zuständigkeiten der Aufsichtsstellen für elektronische Vertrauensdienste und denen der Datenschutzbehörden kommt;

die für Anbieter elektronischer Vertrauensdienste geltenden Verpflichtungen bei Verletzungen des Datenschutzes und Sicherheitszwischenfällen sollten im Einklang mit den Anforderungen der überarbeiteten Datenschutzrichtlinie für elektronische Kommunikation und des Vorschlags für eine Datenschutzverordnung stehen;

es sollten die privaten oder öffentlichen Stellen eindeutiger definiert werden, die gemäß Artikel 16 und 17 als Dritte zu Audits befugt sind oder gemäß Artikel 23 elektronische Signaturerstellungseinheiten überprüfen dürfen; ferner sollten die Kriterien klarer formuliert werden, nach denen die Unabhängigkeit dieser Stellen beurteilt werden soll;

die Verordnung sollte eine genaue Frist für die Aufbewahrung der in Artikel 19 Absatz 2 und Artikel 19 Absatz 4 genannten Daten festlegen (3).

Brüssel, den 27. September 2012

Giovanni BUTTARELLI

Stellvertretender Europäischer Datenschutzbeauftragter

(1)  KOM(2012) 238 endgültig.

(2)  KOM(2010) 245 vom 19.5.2010.

(3)  Gemäß Artikel 19 Absatz 2 Buchstabe g zeichnen qualifizierte Vertrauensdienstanbieter alle einschlägigen Informationen über die ausgegebenen und empfangenen Daten über einen angemessenen Zeitraum auf. Gemäß Artikel 19 Absatz 4 sollten qualifizierte Vertrauensdienstanbieter allen, sich auf solche Zertifikate verlassenden, Beteiligten, Informationen über den Gültigkeits- oder Widerrufsstatus der von ihnen ausgestellten qualifizierten Zertifikate zur Verfügung stellen.