|
9.9.2015 |
DE |
Amtsblatt der Europäischen Union |
L 235/1 |
DURCHFÜHRUNGSVERORDNUNG (EU) 2015/1501 DER KOMMISSION
vom 8. September 2015
über den Interoperabilitätsrahmen gemäß Artikel 12 Absatz 8 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt
(Text von Bedeutung für den EWR)
DIE EUROPÄISCHE KOMMISSION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (1), insbesondere auf Artikel 12 Absatz 8,
in Erwägung nachstehender Gründe:
|
(1) |
Nach Artikel 12 Absatz 2 der Verordnung (EU) Nr. 910/2014 soll ein Interoperabilitätsrahmen geschaffen werden, um die Interoperabilität der nach Artikel 9 Absatz 1 der Verordnung notifizierten elektronischen Identifizierungssysteme herzustellen. |
|
(2) |
Bei der Zusammenschaltung der elektronischen Identifizierungssysteme der Mitgliedstaaten kommt Knoten eine zentrale Rolle zu. Ihr Beitrag wird in der Dokumentation zu der durch die Verordnung (EU) Nr. 1316/2013 des Europäischen Parlaments und des Rates (2) geschaffenen Fazilität „Connecting Europe“ erläutert, in der auch auf die Funktionen und Bestandteile des „eIDAS-Knotens“ eingegangen wird. |
|
(3) |
Stellt ein Mitgliedstaat oder die Kommission Software bereit, welche die Authentifizierung bei einem in einem anderen Mitgliedstaat betriebenen Knoten ermöglicht, kann derjenige, der die zur Authentifizierung eingesetzte Software liefert und aktualisiert, mit demjenigen, der das Hosting der Software übernimmt, eine Vereinbarung darüber schließen, wie der Betrieb des Authentifizierungsvorgangs verwaltet werden soll. Eine derartige Vereinbarung sollte dem Hosting-Betreiber keine überzogenen technischen Anforderungen auferlegen bzw. übermäßige Kosten verursachen (einschließlich Unterstützungs-, Haftungs-, Hosting- und sonstige Kosten). |
|
(4) |
Soweit die Umsetzung des Interoperabilitätsrahmens es rechtfertigt, könnte die Kommission in Zusammenarbeit mit den Mitgliedstaaten weitere technische Spezifikationen mit Einzelheiten zu in dieser Verordnung festgelegten technischen Anforderungen ausarbeiten, insbesondere unter Berücksichtigung von Stellungnahmen des in Artikel 14 Buchstabe d des Durchführungsbeschlusses (EU) 2015/296 der Kommission (3) genannten Kooperationsnetzes. Solche Spezifikationen sollten entwickelt werden als Teil der digitalen Diensteinfrastrukturen entsprechend der Verordnung (EU) Nr. 1316/2013, in der die Mittel für die praktische Umsetzung eines Moduls für die elektronische Identifizierung vorgegeben werden. |
|
(5) |
Die in dieser Verordnung festgelegten technischen Anforderungen sollten ungeachtet etwaiger Änderungen der technischen Spezifikationen gelten, die gemäß Artikel 12 dieser Verordnung entwickelt werden können. |
|
(6) |
Das Großpilotprojekt STORK und die dort entwickelten Spezifikationen wie auch die Grundsätze und Begriffe des Europäischen Interoperabilitätsrahmens für öffentliche Dienste haben bei der Aufstellung der Regelungen für den durch diese Verordnung geschaffenen Interoperabilitätsrahmen die größtmögliche Berücksichtigung gefunden. |
|
(7) |
Die Ergebnisse der Zusammenarbeit zwischen den Mitgliedstaaten wurden weitestgehend berücksichtigt. |
|
(8) |
Die in dieser Verordnung vorgesehenen Maßnahmen entsprechen der Stellungnahme des gemäß Artikel 48 der Verordnung (EU) Nr. 910/2014 eingesetzten Ausschusses — |
HAT FOLGENDE VERORDNUNG ERLASSEN:
Artikel 1
Gegenstand
Diese Verordnung enthält technische und betriebliche Anforderungen für den Interoperabilitätsrahmen, durch die die Interoperabilität der elektronischen Identifizierungssysteme, die der Kommission von den Mitgliedstaaten notifiziert werden, gewährleistet werden soll.
Diese Anforderungen betreffen insbesondere
|
a) |
die technischen Mindestanforderungen an die Sicherheitsniveaus und die Entsprechung zwischen nationalen Sicherheitsniveaus notifizierter elektronischer Identifizierungsmittel, die nach einem notifizierten elektronischen Identifizierungssystem nach Artikel 8 der Verordnung (EU) Nr. 910/2014 ausgestellt wurden, gemäß den Artikeln 3 und 4; |
|
b) |
die technischen Mindestanforderungen für die Interoperabilität gemäß den Artikeln 5 bis 8; |
|
c) |
den Mindestsatz der Personenidentifizierungsdaten, die eine natürliche oder juristische Person eindeutig repräsentieren, gemäß Artikel 11 und dem Anhang; |
|
d) |
gemeinsame Sicherheitsnormen für den Betrieb gemäß den Artikeln 6, 7, 9 und 10; |
|
e) |
Regelungen zur Streitbeilegung gemäß Artikel 13. |
Artikel 2
Begriffsbestimmungen
Für die Zwecke dieser Verordnung gelten die folgenden Begriffsbestimmungen:
|
1. |
„Knoten“ ist ein Anschlusspunkt, der als Teil der Interoperabilitätsarchitektur für die elektronische Identifizierung an der grenzüberschreitenden Authentifizierung von Personen mitwirkt und der Datenübertragungen erkennen und verarbeiten oder an andere Knoten weiterleiten kann; er ermöglicht damit über eine Schnittstelle die Verbindung zwischen der nationalen elektronischen Identifizierungsinfrastruktur eines Mitgliedstaats und der nationalen elektronischen Identifizierungsinfrastruktur eines anderen Mitgliedstaats; |
|
2. |
„Knotenbetreiber“ ist die Stelle, die dafür verantwortlich ist, dass der Knoten seine Funktion als Anschlusspunkt ordnungsgemäß und zuverlässig erfüllt. |
Artikel 3
Technische Mindestanforderungen an die Sicherheitsniveaus
Die technischen Mindestanforderungen an die Sicherheitsniveaus werden in der Durchführungsverordnung (EU) 2015/1502 der Kommission (4) festgelegt.
Artikel 4
Entsprechung zwischen nationalen Sicherheitsniveaus
Die Entsprechung zwischen nationalen Sicherheitsniveaus der notifizierten Identifizierungssysteme richtet sich nach den Anforderungen der Durchführungsverordnung (EU) 2015/1502. Die Entsprechungsergebnisse werden der Kommission anhand des im Durchführungsbeschluss (EU) 2015/1505 der Kommission (5) festgelegten Notifizierungsmusters mitgeteilt.
Artikel 5
Knoten
(1) Ein Knoten in einem Mitgliedstaat muss in der Lage sein, sich mit Knoten in anderen Mitgliedstaaten zu verbinden.
(2) Die Knoten müssen in der Lage sein, anhand technischer Mittel zwischen öffentlichen Stellen und anderen vertrauenden Beteiligten zu unterscheiden.
(3) Durch die Umsetzung der in dieser Verordnung festgelegten technischen Anforderungen in einem Mitgliedstaat dürfen anderen Mitgliedstaaten, um mit dem in jenem Mitgliedstaat umgesetzten System zusammenwirken zu können, keine überzogenen technischen Anforderungen bzw. übermäßigen Kosten auferlegt bzw. verursacht werden.
Artikel 6
Datenschutz und Vertraulichkeit
(1) Der Schutz der Privatsphäre und der Vertraulichkeit der ausgetauschten Daten sowie die Erhaltung der Unversehrtheit der Daten zwischen den Knoten werden durch den Einsatz der besten verfügbaren technischen Lösungen und Schutzverfahren sichergestellt.
(2) Außer zu dem in Artikel 9 Absatz 3 genannten Zweck dürfen die Knoten keine personenbezogenen Daten speichern.
Artikel 7
Unversehrtheit und Echtheit der Daten bei der Übermittlung
Bei der Datenübermittlung wird die Unversehrtheit und Echtheit der Daten gewährleistet, um sicherzustellen, dass alle Abfragen und Antworten echt sind und nicht verfälscht worden sind. Zu diesem Zweck setzen die Knoten Lösungen ein, die sich im grenzüberschreitenden Betrieb bereits bewährt haben.
Artikel 8
Meldungsformat für die Übermittlung
Die Knoten verwenden als Syntax gemeinsame Meldungsformate, die auf Normen beruhen, welche bereits mehrfach zwischen Mitgliedstaaten eingesetzt worden sind und sich im Betriebsumfeld bewährt haben. Die Syntax muss Folgendes ermöglichen:
|
a) |
ordnungsgemäße Verarbeitung des Mindestsatzes von Personenidentifizierungsdaten, die eine natürliche oder juristische Person eindeutig repräsentieren; |
|
b) |
ordnungsgemäße Verarbeitung der Sicherheitsniveaus der elektronischen Identifizierungsmittel; |
|
c) |
Unterscheidung zwischen öffentlichen Stellen und anderen vertrauenden Beteiligten; |
|
d) |
Flexibilität im Falle eines Bedarfs an zusätzlichen Merkmalen für die Identifizierung. |
Artikel 9
Verwaltung von Sicherheitsinformationen und Metadaten
(1) Der Knotenbetreiber übermittelt die Metadaten der Knotenverwaltung in genormter maschinenlesbarer Form auf sichere und vertrauenswürdige Weise.
(2) Zumindest die sicherheitsbezogenen Parameter werden automatisch abgerufen.
(3) Der Knotenbetreiber speichert Daten, mit denen im Falle eines Vorfalls die Abfolge des Meldungsaustauschs rekonstruiert werden kann, damit Ort und Art des Vorfalls festgestellt werden können. Die Daten werden für einen Zeitraum gespeichert, der im Einklang mit nationalen Vorgaben steht, und müssen zumindest folgende Elemente umfassen:
|
a) |
Kennung des Knotens; |
|
b) |
Kennung der Meldung; |
|
c) |
Datum und Uhrzeit der Meldung. |
Artikel 10
Informationssicherheit und Sicherheitsnormen
(1) Knotenbetreiber von Knoten, die eine Authentifizierung vornehmen, müssen durch Zertifizierung oder ein gleichwertiges Bewertungsverfahren oder durch Einhaltung nationaler Rechtsvorschriften nachweisen, dass ihr Knoten im Hinblick auf die am Interoperabilitätsrahmen beteiligten Knoten die Anforderungen der Norm ISO/IEC 27001 erfüllt.
(2) Knotenbetreiber führen sicherheitskritische Aktualisierungen unverzüglich durch.
Artikel 11
Personenidentifizierungsdaten
(1) Wird ein Mindestsatz von Personenidentifizierungsdaten, die eine natürliche oder juristische Person eindeutig repräsentieren, in einem grenzüberschreitenden Umfeld verwendet, so muss er den Anforderungen des Anhangs entsprechen.
(2) Wird ein Mindestdatensatz einer natürlichen Person, die eine juristische Person repräsentiert, in einem grenzüberschreitenden Umfeld verwendet, so muss er die Kombination der Merkmale enthalten, die im Anhang für natürliche und juristische Personen aufgeführt sind.
(3) Die Datenübertragung erfolgt in den Original-Schriftzeichen sowie gegebenenfalls transliteriert in lateinischen Schriftzeichen.
Artikel 12
Technische Spezifikationen
(1) Soweit der Prozess der Umsetzung des Interoperabilitätsrahmens es rechtfertigt, kann das durch den Durchführungsbeschluss (EU) 2015/296 der Kommission geschaffene Kooperationsnetz Stellungnahmen gemäß Artikel 14 Buchstabe d des genannten Beschlusses bezüglich des Bedarfs der Ausarbeitung technischer Spezifikationen abgeben. In solchen technischen Spezifikationen werden weitere Einzelheiten zu den technischen Anforderungen dieser Verordnung festgelegt.
(2) Aufgrund der in Absatz 1 genannten Stellungnahme arbeitet die Kommission in Zusammenarbeit mit den Mitgliedstaaten die technischen Spezifikationen als Teil der digitalen Diensteinfrastrukturen der Verordnung (EU) Nr. 1316/2013 aus.
(3) Das Kooperationsnetz gibt eine Stellungnahme gemäß Artikel 14 Buchstabe d des Durchführungsbeschlusses (EU) 2015/296 ab, in der es beurteilt, ob und in welchem Maße die gemäß Absatz 2 ausgearbeiteten technischen Spezifikationen dem in der Stellungnahme nach Absatz 1 festgestellten Bedarf oder den Anforderungen dieser Verordnung entsprechen. Es kann den Mitgliedstaaten empfehlen, die technischen Spezifikationen bei der Umsetzung des Interoperabilitätsrahmens zu berücksichtigen.
(4) Die Kommission stellt eine Referenzimplementierung als Beispiel für die Auslegung der technischen Spezifikationen bereit. Die Mitgliedstaaten können diese Referenzimplementierung anwenden oder sie als Muster zur Erprobung anderer Implementierungen der technischen Spezifikationen verwenden.
Artikel 13
Streitbeilegung
(1) Soweit möglich, werden Streitigkeiten in Bezug auf den Interoperabilitätsrahmen von den betroffenen Mitgliedstaaten auf dem Verhandlungsweg beigelegt.
(2) Wird keine Lösung gemäß Absatz 1 gefunden, ist das durch Artikel 12 des Durchführungsbeschlusses (EU) 2015/296 geschaffene Kooperationsnetz im Einklang mit seiner Geschäftsordnung für die Beilegung des Streits zuständig.
Artikel 14
Inkrafttreten
Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Brüssel, den 8. September 2015
Für die Kommission
Der Präsident
Jean-Claude JUNCKER
(1) ABl. L 257 vom 28.8.2014, S. 73.
(2) Verordnung (EU) Nr. 1316/2013 des Europäischen Parlaments und des Rates vom 11. Dezember 2013 zur Schaffung der Fazilität „Connecting Europe“, zur Änderung der Verordnung (EU) Nr. 913/2010 und zur Aufhebung der Verordnungen (EG) Nr. 680/2007 und (EG) Nr. 67/2010 (ABl. L 348 vom 20.12.2013, S. 129).
(3) Durchführungsbeschluss (EU) 2015/296 der Kommission vom 24. Februar 2015 zur Festlegung von Verfahrensmodalitäten für die Zusammenarbeit zwischen den Mitgliedstaaten auf dem Gebiet der elektronischen Identifizierung gemäß Artikel 12 Absatz 7 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (ABl. L 53 vom 25.2.2015, S. 14).
(4) Durchführungsverordnung (EU) 2015/1502 der Kommission vom 8. September 2015 zur Festlegung von Mindestanforderungen an technische Spezifikationen und Verfahren für Sicherheitsniveaus elektronischer Identifizierungsmittel gemäß Artikel 8 Absatz 3 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (siehe Seite 7 dieses Amtsblatts).
(5) Durchführungsbeschluss (EU) 2015/1505 der Kommission vom 8. September 2015 über technische Spezifikationen und Formate in Bezug auf Vertrauenslisten gemäß Artikel 22 Absatz 5 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (siehe Seite 26 dieses Amtsblatts).
ANHANG
Anforderungen an den Mindestsatz von Personenidentifizierungsdaten, die eine natürliche oder juristische Person eindeutig repräsentieren, gemäß Artikel 11
1. Mindestdatensatz einer natürlichen Person
Der Mindestdatensatz einer natürlichen Person muss alle folgenden obligatorischen Merkmale enthalten:
|
a) |
derzeitige(r) Familienname(n), |
|
b) |
derzeitige(r) Vorname(n), |
|
c) |
Geburtsdatum, |
|
d) |
eine eindeutige Kennung, die vom übermittelnden Mitgliedstaat entsprechend den technischen Spezifikationen für die Zwecke der grenzüberschreitenden Identifizierung erstellt wurde und möglichst dauerhaft fortbesteht. |
Der Mindestdatensatz einer natürlichen Person kann eines oder mehrere der folgenden zusätzlichen Merkmale enthalten:
|
a) |
Vorname(n) und Familienname(n) bei der Geburt, |
|
b) |
Geburtsort, |
|
c) |
derzeitige Anschrift, |
|
d) |
Geschlecht. |
2. Mindestdatensatz einer juristischen Person
Der Mindestdatensatz einer juristischen Person muss alle folgenden obligatorischen Merkmale enthalten:
|
a) |
derzeitige amtliche Bezeichnung, |
|
b) |
eine eindeutige Kennung, die vom übermittelnden Mitgliedstaat entsprechend den technischen Spezifikationen für die Zwecke der grenzüberschreitenden Identifizierung erstellt wurde und möglichst dauerhaft fortbesteht. |
Der Mindestdatensatz einer juristischen Person kann eines oder mehrere der folgenden zusätzlichen Merkmale enthalten:
|
a) |
derzeitige Anschrift, |
|
b) |
Umsatzsteuer-Identifikationsnummer, |
|
c) |
Steuerregisternummer, |
|
d) |
Kennnummer in Bezug auf Artikel 3 Absatz 1 der Richtlinie 2009/101/EG des Europäischen Parlaments und des Rates (1), |
|
e) |
Kennziffer der juristischen Person (LEI) gemäß der Durchführungsverordnung (EU) Nr. 1247/2012 der Kommission (2); |
|
f) |
Registrierungs- und Identifizierungsnummer des Wirtschaftsbeteiligten (EORI-Nr.) gemäß der Durchführungsverordnung (EU) Nr. 1352/2013 der Kommission (3); |
|
g) |
Verbrauchsteuernummer gemäß Artikel 2 Absatz 12 der Verordnung (EU) Nr. 389/2012 des Rates (4). |
(1) Richtlinie 2009/101/EG des Europäischen Parlaments und des Rates vom 16. September 2009 zur Koordinierung der Schutzbestimmungen, die in den Mitgliedstaaten den Gesellschaften im Sinne des Artikels 48 Absatz 2 des Vertrags im Interesse der Gesellschafter sowie Dritter vorgeschrieben sind, um diese Bestimmungen gleichwertig zu gestalten (ABl. L 258 vom 1.10.2009, S. 11).
(2) Durchführungsverordnung (EU) Nr. 1247/2012 der Kommission vom 19. Dezember 2012 zur Festlegung technischer Durchführungsstandards im Hinblick auf das Format und die Häufigkeit von Transaktionsmeldungen an Transaktionsregister gemäß der Verordnung (EU) Nr. 648/2012 des Europäischen Parlaments und des Rates über OTC-Derivate, zentrale Gegenparteien und Transaktionsregister (ABl. L 352 vom 21.12.2012, S. 20).
(3) Durchführungsverordnung (EU) Nr. 1352/2013 der Kommission vom 4. Dezember 2013 zur Festlegung der in der Verordnung (EU) Nr. 608/2013 des Europäischen Parlaments und des Rates zur Durchsetzung der Rechte geistigen Eigentums durch die Zollbehörden vorgesehenen Formblätter (ABl. L 341 vom 18.12.2013, S. 10).
(4) Verordnung (EU) Nr. 389/2012 des Rates vom 2. Mai 2012 über die Zusammenarbeit der Verwaltungsbehörden auf dem Gebiet der Verbrauchsteuern und zur Aufhebung von Verordnung (EG) Nr. 2073/2004 (ABl. L 121 vom 8.5.2012, S. 1).