|
Amtsblatt |
DE Reihe L |
|
2025/2243 |
7.11.2025 |
DURCHFÜHRUNGSVERORDNUNG (EU) 2025/2243 DER KOMMISSION
vom 6. November 2025
mit detaillierten Spezifikationen für die funktionalen Anforderungen an eFTI-Plattformen gemäß der Verordnung (EU) 2020/1056 des Europäischen Parlaments und des Rates
(Text von Bedeutung für den EWR)
DIE EUROPÄISCHE KOMMISSION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Verordnung (EU) 2020/1056 des Europäischen Parlaments und des Rates vom 15. Juli 2020 über elektronische Frachtbeförderungsinformationen (1), insbesondere auf Artikel 9 Absatz 2,
in Erwägung nachstehender Gründe:
|
(1) |
Gemäß der Verordnung (EU) 2020/1056 sind die zuständigen Behörden in den Mitgliedstaaten verpflichtet, gesetzlich vorgeschriebene Informationen zu akzeptieren, wenn diese von den betroffenen Unternehmen im Einklang mit den Anforderungen der genannten Verordnung elektronisch zur Verfügung gestellt werden — d. h. über Plattformen für elektronische Frachtbeförderungsinformationen (electronic Freight Transport Information, eFTI), die im Einklang mit den Anforderungen der genannten Verordnung zertifiziert sind. |
|
(2) |
Die betroffenen Unternehmen sowie Anbieter von IKT-Lösungen sollten IKT-Lösungen, die derzeit im Verkehrs- und Logistiksektor, z. B. für die Verwaltung interner Geschäftsabläufe und die Kommunikation mit Geschäftspartnern in der Lieferkette, genutzt werden, im Rahmen der Entwicklung von eFTI-Plattformen flexibel weiterverwenden können. Wird auf bestehenden Lösungen aufgebaut, könnten eFTI-Plattformen schneller und kosteneffizienter entwickelt werden und die betroffenen Unternehmen elektronische Frachtbeförderungsinformationen rascher und umfassender anwenden — ohne beträchtliche Investitionen in Technologie oder erhebliche Belastungen für Geschäftsabläufe. |
|
(3) |
Nach Artikel 12 der Verordnung (EU) 2020/1056 ist ein Zertifizierungsverfahren für eFTI-Plattformen einzurichten, in dessen Rahmen die Erfüllung der Anforderungen in Artikel 9 Absatz 1 der genannten Verordnung bewertet wird. Sobald die entsprechende Bescheinigung von einer Konformitätsbewertungsstelle, die gemäß der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates (2) in einem der Mitgliedstaaten akkreditiert ist, ausgestellt wurde, ist sie in allen Mitgliedstaaten gültig. Die gemeinsamen detaillierten funktionalen und technischen Spezifikationen für die Arbeitsweise der eFTI-Plattformen, die in der vorliegenden Verordnung enthalten sind, sollten der Kommission ermöglichen, zu einem späteren Zeitpunkt im Einklang mit Artikel 12 der Verordnung (EU) 2020/1056 detaillierte Vorschriften zur Gewährleistung einer einheitlichen Konformitätsbewertung im Rahmen der Zertifizierung von eFTI-Plattformen zu erlassen. |
|
(4) |
Die Sensibilität gewerblicher Daten ist nach wie vor ein wichtiger Faktor für die Bereitschaft von Unternehmen, elektronische Daten zu teilen. Um das Vertrauen der betroffenen Unternehmen zu stärken, sollten die Anforderungen an die eFTI-Plattformen gewährleisten, dass die von den Unternehmen auf eFTI-Plattformen gespeicherten Daten den zuständigen Behörden nur über sichere und authentifizierte Verbindungen zu den von den zuständigen Behörden genutzten Systemen zur Verfügung gestellt werden. Zudem sollten die den zuständigen Behörden zur Verfügung gestellten Daten auf jene Informationsanforderungen beschränkt sein, die in von den zuständigen Behörden gemäß den funktionalen und technischen Spezifikationen der Durchführungsverordnung (EU) 2024/1942 der Kommission (3) übermittelten Anträgen auf Zugang zu eFTI-Daten genannt sind. Aus demselben Grund sollten die betroffenen Unternehmen über alle Anträge der zuständigen Behörden auf Zugang zu den von ihnen auf der eFTI-Plattform gespeicherten Daten und über etwaige Folgemitteilungen informiert werden, auch mittels Benachrichtigungen in Echtzeit. |
|
(5) |
Mit der Durchführungsverordnung (EU) 2024/1942 wurden gemeinsame Verfahren und detaillierte Regeln für den Zugang zu von den betroffenen Unternehmen auf eFTI-Plattformen gespeicherten Informationen und deren Verarbeitung durch die zuständigen Behörden festgelegt. Dazu gehören spezifische funktionale und technische Anforderungen an die Kommunikation zwischen den von den zuständigen Behörden genutzten IKT-Systemen und den eFTI-Plattformen. Um die Interoperabilität und die nahtlose Kommunikation zwischen den von den zuständigen Behörden genutzten Systemen und den eFTI-Plattformen zu gewährleisten, sollten die gemeinsamen funktionalen und technischen Anforderungen an die eFTI-Plattformen mit jenen vereinbar sein, die für die von den zuständigen Behörden genutzten Systeme gelten. |
|
(6) |
Der Zugang der Unternehmen zu eFTI-Plattformen sollte zudem durch sichere und transparente Zugangsverwaltungsmechanismen gesichert sein. Nur autorisierten Nutzern sollte der Zugang zu eFTI-Daten und deren Verarbeitung im Namen von Unternehmen möglich sein. Die Autorisierung sollte auf eindeutig identifizierten Verarbeitungsrechten beruhen, deren Erteilung unter Kontrolle jener Unternehmen erfolgt, die nach dem geltenden Recht der Union oder der Mitgliedstaaten oder besonderen gewerblichen Vereinbarungen Rechte oder Pflichten in Bezug auf die betreffenden Daten haben. Gleichzeitig sollte eine Autorisierung nur jenen Nutzern erteilt werden, die durch elektronische Identifizierungsmittel, die den Anforderungen der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates (4) entsprechen, zuverlässig identifiziert und authentifiziert wurden. Solche Zugangsverwaltungsmechanismen dürften das Vertrauen der Unternehmen im Hinblick auf die Teilung ihrer eFTI-Daten an der Quelle stärken und dafür sorgen, dass keine vielfältigen Datenspeicherorte mehr benötigt werden, womit u. a. die Kosten und Schwierigkeiten der Datenverwaltung und -synchronisierung verringert würden. |
|
(7) |
Aufgrund der Bestimmungen in Artikel 2 Absatz 1 der Verordnung (EU) 2020/1056 werden die betroffenen Unternehmen zur Bereitstellung der erforderlichen Frachtbeförderungsinformationen in den meisten Fällen im Schriftverkehr zwischen Unternehmen verwendete Dokumente (B2B-Dokumente) weiternutzen können. Die detaillierten Spezifikationen dieser Verordnung sollten im gleichen Geist verfasst sein, wobei der Schwerpunkt auf den Modalitäten der elektronischen Teilung der Frachtbeförderungsinformationen mit den zuständigen Behörden liegen sollte. Sie sollten keine Anforderungen an das elektronische Format und die elektronische Verwendung geschäftlicher Unterlagen vorsehen, damit die Auswirkungen auf Frachtbeförderungsinformationen nicht über den Anwendungsbereich der Verordnung (EU) 2020/1056 hinausgehen und die Flexibilität der Unternehmen in Bezug auf die Erstellung und den Austausch von B2B-Informationen nicht beeinträchtigt wird. Daher sollten die in dieser Verordnung enthaltenen Spezifikationen für die Zusammensetzung des eFTI-Datensatzes so festgelegt werden, dass die betreffenden Unternehmen zum Nachweis der Einhaltung der geltenden gesetzlichen Informationsanforderungen der Union und der Mitgliedstaaten gemäß Artikel 2 Absatz 1 der Verordnung (EU) 2020/1056 die betreffenden Daten nur einmal teilen müssen. Der eFTI-Datensatz sollte gemäß den Spezifikationen für den gemeinsamen eFTI-Datensatz und die eFTI-Teildatensätze im Anhang der Delegierten Verordnung (EU) 2024/2024 der Kommission (5) zusammengesetzt sein. Was die für den eFTI-Datensatz bereitzustellenden Informationen angeht, sollten die Unternehmen so weit wie möglich auf Informationen zurückgreifen können, die in internen elektronischen Datenverwaltungssystemen wie unternehmensseitigen Ressourcenplanungs- oder Beförderungsverwaltungssystemen, die zur Verwaltung gewerblicher Beförderungsdokumente wie Frachtbriefen oder Beförderungsaufträgen genutzt werden, vorhanden sind. |
|
(8) |
Nach Artikel 4 der Verordnung (EU) 2020/1056 müssen die betroffenen Unternehmen den zuständigen Behörden die Daten nicht auf elektronischem Wege zur Verfügung stellen, sondern dürfen die gesetzlich vorgeschriebenen Informationen über den Frachtverkehr weiterhin in Papierform vorlegen. Die Betreiber von eFTI-Plattformen sollten daher sicherstellen, dass die betreffenden Unternehmen darüber informiert sind, dass sie durch die Verarbeitung von Daten auf einer eFTI-Plattform zustimmen, dass die gesetzlich vorgeschriebenen Informationen über den Frachtverkehr, die auf der eFTI-Plattform als eFTI-Daten gespeichert oder anderweitig verarbeitet werden, von der eFTI-Plattform den zuständigen Behörden im Namen des betroffenen Unternehmens zur Verfügung gestellt werden, wenn die betreffende Plattform einen gemäß den Anforderungen der Durchführungsverordnung (EU) 2024/1942 übermittelten Antrag der zuständigen Behörden auf Zugang zu eFTI-Daten erhält. Die Betreiber von eFTI-Plattformen sollten zudem sicherstellen, dass die Unternehmen darüber informiert sind, dass sie durch die Verarbeitung von Daten auf einer eFTI-Plattform zustimmen, dass die betreffende Plattform die gespeicherten Datenverarbeitungsprotokolle gemäß dem geltenden Recht der Union oder der Mitgliedstaaten zu Prüfzwecken verfügbar macht. |
|
(9) |
Nach Artikel 27 Absatz 3 der Verordnung (EU) 2024/1157 des Europäischen Parlaments und des Rates (6) muss das gemäß der genannten Verordnung eingerichtete zentrale System für die elektronische Übermittlung und den elektronischen Austausch von Informationen und Dokumenten über Abfallverbringungen zwischen den betroffenen Unternehmen und den zuständigen Behörden — das auch Digitales Abfallverbringungssystem (Digital Waste Shipment System, DIWASS) genannt wird — mit der eFTI-Austauschumgebung interoperabel sein. Darüber hinaus ist in Artikel 5 Absatz 2 der Durchführungsverordnung (EU) 2025/1290 der Kommission (7) festgelegt, dass sich Nutzer, die betroffene Unternehmen vertreten, die als Transportunternehmen im Bereich der Abfallverbringung tätig sind, über eine eFTI-Plattform, die über eine Anwendungsprogrammierschnittstelle mit dem DIWASS verbunden ist, mit diesem System verbinden dürfen. Um die Interoperabilität zwischen den eFTI-Plattformen und dem DIWASS zu gewährleisten, müssen Spezifikationen für den Austausch von Abfallinformationen festgelegt werden, die gemäß Artikel 2 Absatz 1 Buchstabe a Ziffer iv der Verordnung (EU) 2020/1056 in den Anwendungsbereich der genannten Verordnung fallen. Mit dieser Interoperabilität werden Abfalltransporte durchführende Unternehmen leichter elektronisch nachweisen können, dass sie sowohl die Anforderungen für die Bereitstellung gesetzlich vorgeschriebener Informationen gemäß den Bestimmungen in Artikel 2 Absatz 1 der Verordnung (EU) 2020/1056 als auch die Anforderungen für die Bereitstellung von Informationen über die Abfallverbringung gemäß der Verordnung (EU) 2024/1157 erfüllen. |
|
(10) |
Die Daten, die Unternehmen auf eFTI-Plattformen speichern, werden einen erheblichen gewerblichen Wert haben, sowohl als Nachweis der betroffenen Unternehmen über die Erfüllung der Verwaltungsanforderungen als auch als Grundlage für gewerbliche Transaktionen, die Erbringung von Dienstleistungen sowie Überwachung und Planung der Unternehmenstätigkeit. Daher ist es von wesentlicher Bedeutung, dass die Betreiber von eFTI-Plattformen — über die strenge Zugangsverwaltung hinaus — Maßnahmen ergreifen, die die ununterbrochene Zugänglichkeit, den Erhalt und die Sicherheit der betreffenden Daten gewährleisten, unabhängig davon, ob sie auf physischen Speichermedien unter der Kontrolle des Betreibers der eFTI-Plattform oder in Datenwolken, die im Rahmen von Datenspeicherdiensten erworben werden, gespeichert werden. Unbeschadet geltender Cybersicherheitsanforderungen der EU oder der Mitgliedstaaten sollten die Betreiber von eFTI-Plattformen daher die neuesten international bewährten Verfahren und Normen für den Datenschutz und die Datensicherheit wie ISO 27001, ISO 27017 und ISO 27701 anwenden. Werden im Rahmen der Anwendung dieser Durchführungsverordnung personenbezogene Daten verarbeitet, so gilt die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (8). |
|
(11) |
Damit die Betreiber von eFTI-Plattformen der ständigen Weiterentwicklung im Bereich der Technologie und Normen Rechnung tragen können, sollten die in dieser Verordnung enthaltenen detaillierten Spezifikationen nicht über das hinausgehen, was zur Gewährleistung der funktionalen und minimalen technischen Interoperabilität mit anderen Komponenten der eFTI-Austauschumgebung gemäß der Durchführungsverordnung (EU) 2024/1942 erforderlich ist. Zugleich ist eine nahtlose Interoperabilität zwischen den verschiedenen IKT-Komponenten nicht ohne eine Reihe gemeinsamer detaillierter technischer Spezifikationen, die leicht aktualisiert und von allen Interessenträgern angewendet werden können, zu erreichen. Daher sollte zur Unterstützung der Umsetzung dieser Verordnung ein technischer Leitfaden ausgearbeitet werden, wobei Interessenträger sowohl aus dem öffentlichen als auch dem privaten Sektor und insbesondere die von den Mitgliedstaaten benannte Expertenarbeitsgruppe, die gemäß Artikel 13 der Durchführungsverordnung (EU) 2024/1942 als Netzwerk für operative Unterstützung fungieren soll, und die einschlägigen Arbeitsgruppen oder Untergruppen der Expertengruppe des Digitalforums für Verkehr und Logistik (9) einbezogen werden sollten. |
|
(12) |
Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (10) angehört und hat am 8. Juli 2025 eine Stellungnahme abgegeben. |
|
(13) |
Die in dieser Verordnung vorgesehenen Maßnahmen entsprechen der Stellungnahme des nach Artikel 15 Absatz 1 der Verordnung (EU) 2020/1056 eingesetzten Ausschusses — |
HAT FOLGENDE VERORDNUNG ERLASSEN:
KAPITEL I
ALLGEMEINE BESTIMMUNGEN
Artikel 1
Begriffsbestimmungen
Für die Zwecke dieser Verordnung bezeichnet der Ausdruck
|
1. |
„IKT-System“ eine organisierte Gruppe von Informations- und Kommunikationstechnologien (IKT), einschließlich Hardware, Software und Netzwerken, die durch Interaktion oder Interdependenz vereint und geregelt sind, um eine Reihe spezifischer Funktionen zu erfüllen; |
|
2. |
„tributäres IKT-System“ ein außerhalb einer eFTI-Plattform identifizierbares IKT-System, auch eine andere eFTI-Plattform, über das/die gewerbliche Nutzer die Verbindung zu einer eFTI-Plattform herstellen, um Zugang zu eFTI-Daten zu erhalten und diese zu verarbeiten; |
|
3. |
„eFTI-Daten“ Daten, die gesetzlich vorgeschriebenen Informationen im Sinne von Artikel 3 Nummer 1 der Verordnung (EU) 2020/1056 entsprechen; |
|
4. |
„eFTI-Plattformbetreiber“ eine natürliche oder juristische Person, die für das ordnungsgemäße Funktionieren einer eFTI-Plattform rechtlich verantwortlich ist; |
|
5. |
„eFTI-Gate“ eine IKT-Komponente oder eine Reihe von IKT-Komponenten, die die in Artikel 6 der Durchführungsverordnung (EU) 2024/1942 festgelegten Funktionen ausführen; |
|
6. |
„gewerblicher Nutzer“ eine natürliche oder juristische Person, bei der sich um ein betroffenes Unternehmen im Sinne der Verordnung (EU) 2020/1056 handelt oder die zur Vertretung eines solchen autorisiert ist oder bei der es sich um ein anderes Unternehmen handelt, das ein Dateninhaber im Sinne von Nummer 23 ist und im Namen des betroffenen Unternehmens oder eines anderen Dateninhabers Daten auf einer eFTI-Plattform verarbeitet; |
|
7. |
„Login-Sitzung“ einen begrenzten Zeitraum, für den einem gewerblichen Nutzer Zugang zu einer eFTI-Plattform gewährt wird; |
|
8. |
„Sendungsbewegung“ die Beförderung einer Zusammenstellung von Gütern mittels eines Beförderungsmittels mit eigenem Antrieb, mit oder ohne Beförderungsgerät wie Anhänger, Palette oder Container, vom selben Lade- oder Übernahmeort zum selben Entlade- oder Übergabeort im Rahmen eines einzigen Beförderungsvertrags; |
|
9. |
„eFTI-Sendungsbewegungsdatensatz“ oder „eFTI-CMDS“ (eFTI Consignment Movement DataSet) einen eindeutig identifizierten eFTI-Datensatz, der aus den eFTI-Daten besteht, die zusammengenommen die gesetzlich vorgeschriebenen Frachtbeförderungsinformationen im Zusammenhang mit einer bestimmten Sendungsbewegung darstellen; |
|
10. |
„geltende gesetzliche Informationsanforderungen“ die in Artikel 2 Nummer 1 der Verordnung (EU) 2020/1056 genannten Informationsanforderungen, die für eine bestimmte Sendungsbewegung gelten; |
|
11. |
„Identifikatoren der eFTI-Teildatensätze“ die Identifikatoren (Kennungen) der eFTI-Teildatensätze im Format „EUyy“ oder „XXyy“ gemäß den Abschnitten 3 und 4 des Anhangs der Delegierten Verordnung (EU) 2024/2024; |
|
12. |
„universeller eindeutiger Identifikator (Universal Unique Identifier, UUID) des eFTI-Datensatzes“ die eindeutige Nummer gemäß Artikel 11 Absatz 2 Buchstabe c der Durchführungsverordnung (EU) 2024/1942, die einem eFTI-Datensatz, der einen eFTI-CMDS darstellt, von der eFTI-Plattform automatisch zugewiesen wird; |
|
13. |
„eindeutige Identifikationsnummer des Antrags“ die eindeutige Nummer eines von einem Beschäftigten der zuständigen Behörde gestellten Antrags auf Zugang zu eFTI-Daten gemäß Artikel 3 Absatz 2 Buchstabe c der Durchführungsverordnung (EU) 2024/1942, die automatisch erstellt und dem Antrag zugewiesen wird; |
|
14. |
„Folgemitteilung“ eine Mitteilung zwischen den zuständigen Behörden und den betroffenen Unternehmen im Sinne von Artikel 1 Nummer 6 der Durchführungsverordnung (EU) 2024/1942; |
|
15. |
„Mensch-zu-Maschine-Benutzeroberfläche“ eine web- oder anwendungsbasierte grafische Benutzeroberfläche, über die natürliche Personen Datenverarbeitungsvorgänge auf einer eFTI-Plattform durchführen können; |
|
16. |
„elektronisches Identifizierungsmittel“ ein materielles oder immaterielles Element, das Personenidentifizierungsdaten enthält und zur Authentifizierung beim Zugang zu Online-Diensten oder gegebenenfalls Offline-Diensten verwendet wird; |
|
17. |
„elektronisches Identifizierungssystem“ ein System für die elektronische Identifizierung, in dessen Rahmen natürlichen oder juristischen Personen oder natürlichen Personen, die andere natürliche Personen oder juristische Personen vertreten, elektronische Identifizierungsmittel ausgestellt werden; |
|
18. |
„Authentifizierung“ einen elektronischen Vorgang, der die Bestätigung der elektronischen Identifizierung einer natürlichen oder juristischen Person oder die Bestätigung des Ursprungs und der Unversehrtheit von Daten in elektronischer Form ermöglicht; |
|
19. |
„fortgeschrittene elektronische Signatur“ eine elektronische Signatur, die die Anforderungen in Artikel 26 der Verordnung (EU) Nr. 910/2014 erfüllt; |
|
20. |
„fortgeschrittenes elektronisches Siegel“ ein elektronisches Siegel, das die Anforderungen in Artikel 36 der Verordnung (EU) Nr. 910/2014 erfüllt; |
|
21. |
„eingegliederter Nutzer“ einen gewerblichen Nutzer, dessen Identifizierung, Authentifizierung und Autorisierung gemäß den Anforderungen in Artikel 4 Absatz 2 Buchstabe a erfolgt ist; |
|
22. |
„nicht eingegliederter Nutzer“ einen gewerblichen Nutzer, dem der Zugang zu einer eFTI-Plattform nur auf der Grundlage vorübergehender Zugangs- und Verarbeitungsrechte gewährt wird, die gemäß den Anforderungen in Artikel 5 Absatz 1 Buchstabe b erteilt wurden; |
|
23. |
„Dateninhaber“ eine natürliche oder juristische Person, die nach geltendem Recht der Union oder der Mitgliedstaaten oder privaten vertraglichen Vereinbarungen zur Nutzung oder Zurverfügungstellung von Daten, die gesetzlich vorgeschriebene Informationen gemäß den Anforderungen in Artikel 2 Absatz 1 der Verordnung (EU) 2020/1056 darstellen, berechtigt oder verpflichtet ist; |
|
24. |
„primärer Autorisierer“ einen eingegliederten gewerblichen Nutzer, der die im Profil eines eingegliederten Nutzers gespeicherten Informationen ändern und ein Nutzerprofil erstellen oder löschen darf; |
|
25. |
„vorübergehender Autorisierer“ einen eingegliederten gewerblichen Nutzer, der nicht eingegliederten Nutzern vorübergehende Datenverarbeitungsrechte erteilen darf; |
|
26. |
„Zwei-Faktor-Authentifizierung“ eine Sicherheitsmethode für die Identitäts- und Zugangsverwaltung, bei der zwei Formen der Identifizierung für den Zugang zu einer eFTI-Plattform vorgeschrieben sind; |
|
27. |
„Zertifizierungskennzeichnung“ einen codierten Verweis auf die betreffende eFTI-Plattform, mit dem die Gültigkeit ihres Zertifizierungsstatus bescheinigt wird und den gemäß Artikel 12 Absatz 3 der Verordnung (EU) 2020/1056 alle den zuständigen Behörden über eine zertifizierte eFTI-Plattform zur Verfügung gestellten Informationen tragen müssen; |
|
28. |
„Digitales Abfallverbringungssystem“ (Digital Waste Shipment System, DIWASS) das in Artikel 27 Absatz 3 der Verordnung (EU) 2024/1157 genannte zentrale System; |
|
29. |
„Abfallverbringungsbetreiber“ einen Betreiber im Sinne von Artikel 2 Absatz 2 Nummer 13 der Durchführungsverordnung (EU) 2025/1290; |
|
30. |
„Abfallverbringungsunterlagen“ die in Artikel 9 Absatz 2, Artikel 16 Absatz 1 und Artikel 18 Absatz 4 der Verordnung (EU) 2024/1157 genannten Unterlagen; |
|
31. |
„Angaben zur Beförderung im kombinierten Verkehr“ die gesetzlich vorgeschriebenen Informationen gemäß Artikel 3 der Richtlinie 92/106/EWG des Rates (11); |
|
32. |
„qualifizierter elektronischer Zeitstempel“ einen elektronischen Zeitstempel, der den Anforderungen in Artikel 42 der Verordnung (EU) Nr. 910/2014 entspricht; |
Artikel 2
Systemarchitektur von eFTI-Plattformen
Die Systemarchitektur von eFTI-Plattformen besteht aus einer Kombination von IKT-Komponenten oder -Systemen, die den Anforderungen dieser Verordnung entsprechen.
KAPITEL II
ZUGANG ZU eFTI-PLATTFORMEN
Artikel 3
Zugang der zuständigen Behörden zu eFTI-Plattformen
(1) Den zuständigen Behörden ermöglichen eFTI-Plattformen den Zugang zu eFTI-Daten mittels reiner Maschine-zu-Maschine-Kommunikation über eine sichere Verbindung zwischen der eFTI-Plattform und einem eFTI-Gate. Eine eFTI-Plattform stellt eine solche Verbindung zu mindestens einem eFTI-Gate her.
(2) Um die Kommunikation gemäß Absatz 1 zu ermöglichen, muss eine eFTI-Plattform folgende Funktionen bieten:
|
a) |
Validierung des Antrags auf Zugang zu eFTI-Daten oder der vom eFTI-Gate erhaltenen Folgemitteilung durch Überprüfung des Sicherheitsschlüssels des eFTI-Gates; |
|
b) |
Verarbeitung des Antrags auf Zugang zu eFTI-Daten, wobei Folgendes festgestellt wird:
|
|
c) |
Aufbewahrung eines Prüfpfads für den Antrag auf Zugang zu eFTI-Daten, wobei mindestens die folgenden Informationen gespeichert werden:
|
|
d) |
Vorbereitung und Übermittlung der geeigneten Antwort auf den Antrag auf Zugang zu eFTI-Daten an das eFTI-Gate in einer der folgenden Formen:
|
|
e) |
Aufbewahrung eines Prüfpfads für die Antwort, über den mindestens die folgenden Informationen abgerufen werden können:
|
|
f) |
Verarbeitung der Folgemitteilung, wobei
|
|
g) |
Aufbewahrung eines Prüfpfads für die Folgemitteilung, über den mindestens die folgenden Informationen abgerufen werden können:
|
Artikel 4
Zugang der gewerblichen Nutzer zu eFTI-Plattformen
(1) Gewerblichen Nutzern ermöglichen eFTI-Plattformen den Zugang zu eFTI-Daten und deren Verarbeitung mittels einer oder beider der folgenden Modalitäten:
|
a) |
Mensch-zu-Maschine-Benutzeroberflächen; |
|
b) |
Maschine-zu-Maschine-Kommunikation über sichere Verbindungen zu anderen IKT-Systemen, die als tributäre IKT-Systeme fungieren. |
(2) Für den Zugang zu eFTI-Daten und deren Verarbeitung mittels Mensch-zu-Maschine-Benutzeroberflächen müssen eFTI-Plattformen Funktionen bereitstellen, die Folgendes gewährleisten:
|
a) |
für jeden eingegliederten Nutzer:
|
|
b) |
für nicht eingegliederte Nutzer: die Identifizierung, Authentifizierung und Autorisierung des Nutzers mittels des Berechtigungsmechanismus gemäß Artikel 5 Absatz 1 Buchstabe b. |
(3) Das elektronische Identifizierungssystem gemäß Absatz 2 Buchstabe a Ziffer i entspricht mindestens den Anforderungen in Artikel 8 Absatz 2 Buchstabe b der Verordnung (EU) Nr. 910/2014.
Die elektronischen Identifizierungsmittel gemäß Absatz 2 Buchstabe a Ziffer i müssen für Nutzer, die Zugang zu eFTI-Daten haben, die den Informationsanforderungen in Artikel 2 Absatz 1 Buchstabe a Ziffer iv der Verordnung (EU) 2020/1056 entsprechen, und diese verarbeiten, einen Verweis auf die Identifikationsnummer des Abfallverbringungsbetreibers gemäß Artikel 9 der Durchführungsverordnung (EU) 2025/1290 enthalten.
(4) Für den Zugang zu eFTI-Daten und deren Verarbeitung mittels Maschine-zu-Maschine-Kommunikation müssen eFTI-Plattformen Funktionen bereitstellen, die Folgendes gewährleisten:
|
a) |
die Identifizierung und Authentifizierung des gewerblichen Nutzers, unter dessen rechtlicher Verantwortung das tributäre IKT-System betrieben wird, mittels eines Registers, in dem mindestens die folgenden Informationen gespeichert und auf dem neuesten Stand gehalten werden:
|
|
b) |
die Autorisierung des gewerblichen Nutzers, unter dessen rechtlicher Verantwortung das tributäre IKT-System betrieben wird, mittels des Berechtigungsregisters gemäß Artikel 5 Absatz 1 Buchstabe a. |
(5) Die Betreiber von eFTI-Plattformen legen Maßnahmen für eine geeignete Eingliederung von tributären IKT-Systemen fest und setzen sie um; diese Maßnahmen umfassen mindestens Folgendes:
|
a) |
Überprüfung, ob das tributäre IKT-System die Nutzer, die als gewerbliche Nutzer der eFTI-Plattform tätig werden dürfen, mittels eines elektronischen Identifizierungsmittels, das im Rahmen eines den Anforderungen in Absatz 3 entsprechenden elektronischen Identifizierungssystems ausgestellt wurde, identifiziert und authentifiziert; |
|
b) |
Überprüfung, ob das tributäre IKT-System den Zugang von Nutzern, die als gewerbliche Nutzer der eFTI-Plattform tätig werden dürfen, mittels eines Berichtigungsregisters gemäß Artikel 5 Absatz 1 Buchstabe a kontrolliert. |
(6) Bei jeder Login-Sitzung stellt die eFTI-Plattform die Identifizierung, Authentifizierung und Autorisierung des gewerblichen Nutzers sicher, bevor sie ihm die Verarbeitung von eFTI-Daten ermöglicht.
Artikel 5
Berechtigungsmechanismus
(1) Von eFTI-Plattformen werden eine oder beide der folgenden Arten von Berechtigungsmechanismen genutzt:
|
a) |
Überprüfung der Verarbeitungsrechte des Nutzers mittels Berechtigungsregistern, in denen die Verarbeitungsrechte der eingegliederten Nutzer gespeichert, auf dem neuesten Stand gehalten werden und zu Prüfzwecken verfügbar bleiben, was den Hauptmechanismus für die Autorisierung darstellt; |
|
b) |
Erteilung und Überprüfung vorübergehender Verarbeitungsrechte mittels Berechtigungsregistern, in denen der vorübergehende Zugangsnachweis nicht eingegliederter Nutzer gespeichert wird. |
(2) Die Berechtigungsregister gemäß Absatz 1 werden als gesonderte IKT-Komponente eingerichtet und gepflegt. Diese gesonderte IKT-Komponente muss entweder innerhalb der eFTI-Plattform oder Teil eines IKT-Systems außerhalb der eFTI-Plattform sein, zu dem die eFTI-Plattform eine sichere Verbindung gemäß Artikel 12 Absatz 4 herstellt.
(3) In den Berechtigungsregistern gemäß Absatz 1 Buchstabe a wird für jeden eingegliederten gewerblichen Nutzer ein eindeutiges „Nutzerprofil“ geführt, indem mindestens die folgenden Informationen gespeichert werden:
|
a) |
eindeutige Identifikationskennung des gewerblichen Nutzers, codiert; |
|
b) |
Verarbeitungsrechte in Form von Verweisen, wenn diese Folgendes umfassen:
|
|
c) |
die Angabe, ob der gewerbliche Nutzer als primärer oder vorübergehender Autorisierer handeln kann; |
|
d) |
für als primäre Autorisierer gekennzeichnete gewerbliche Nutzer die eindeutigen Identifikationsnummern der bestehenden Profile eingegliederter Nutzer, die sie ändern dürfen; |
|
e) |
für als vorübergehende Autorisierer gekennzeichnete gewerbliche Nutzer die vorübergehenden Verarbeitungsrechte, die sie nicht eingegliederten Nutzern erteilen dürfen, ausgedrückt als Verweise auf die Verarbeitungsvorgänge gemäß Artikel 8; |
|
f) |
die Angabe, ob der gewerbliche Nutzer Benachrichtigungen im Zusammenhang mit Anträgen der zuständigen Behörden auf Zugang zu eFTI-Daten und damit verbundenen Folgemitteilungen anfordern kann, wenn diese mit dem eFTI-CMDS, für den er Verarbeitungsrechte hat, in Zusammenhang stehen. |
(4) Der Betreiber der eFTI-Plattform oder, wenn das Berechtigungsregister als Teil eines IKT-Systems außerhalb der eFTI-Plattform eingerichtet ist, der Betreiber des externen IKT-Systems ergreift Maßnahmen, um für eine geeignete Eingliederung der gewerblichen Nutzer, die als „primäre Autorisierer“ handeln können, zu sorgen. Diese Maßnahmen umfassen mindestens:
|
a) |
die Identifizierung und Authentifizierung gemäß den Anforderungen in Artikel 4 Absatz 2 Buchstabe a; |
|
b) |
die Überprüfung des Nachweises darüber, dass der gewerbliche Nutzer ein Dateninhaber oder der gesetzliche Vertreter eines Dateninhabers ist oder dass der gewerbliche Nutzer befugt ist, im Namen eines Dateninhabers die Verarbeitung von Daten, bezüglich deren der betreffende Dateninhaber Rechte oder Pflichten gemäß Artikel 1 Nummer 23 hat, zu autorisieren; |
|
c) |
die Aufbewahrung von Aufzeichnungen über den genannten Nachweis zu Prüfzwecken. |
(5) Der Berechtigungsmechanismus gemäß Absatz 1 Buchstabe b umfasst Funktionen, die mindestens den folgenden Spezifikationen entsprechen:
|
a) |
Eingegliederten Nutzern, die als vorübergehende Autorisierer gekennzeichnet sind, wird ermöglicht, nicht eingegliederten Nutzern vorübergehende Verarbeitungsrechte zu erteilen, indem sie den vorübergehenden Zugangsnachweis der nicht eingegliederten Nutzer in einem speziellen Register speichern, darunter mindestens
|
|
b) |
eingegliederten Nutzern, die als vorübergehende Autorisierer gekennzeichnet sind, wird ermöglicht, nicht eingegliederten Nutzern, für die sie einen vorübergehenden Zugangsnachweis gespeichert haben, vorübergehend Zugang zu eFTI-Daten zu gewähren, indem sie eine Nachricht an die gespeicherte Kontaktadresse des nicht eingegliederten Nutzers senden, die mindestens Folgendes enthält:
|
|
c) |
wenn der Zugang zur eFTI-Plattform von einem nicht eingegliederten Nutzer beantragt wird, wird dem nicht eingegliederten Nutzer über eine Zwei-Faktor-Authentifizierung Zugang zur eFTI-Plattform gewährt und ihm ermöglicht, Verarbeitungsvorgänge auf der Grundlage seiner gemäß Buchstabe a gespeicherten Verarbeitungsrechte durchzuführen; |
|
d) |
die Login-Sitzung eines nicht eingegliederten Nutzers wird beendet, sobald eines der folgenden Ereignisse eintritt:
|
(6) Die gemäß den Absätzen 1 bis 5 in den Berechtigungsregistern gespeicherten Informationen werden zu Prüfzwecken gemäß Artikel 9 Absatz 1 Buchstabe i der Verordnung (EU) 2020/1056 mindestens für den Zeitraum aufbewahrt, in dem der eFTI-CMDS, an dem die jeweiligen Nutzer Verarbeitungsvorgänge durchgeführt haben, nach geltendem Recht der Union oder der Mitgliedstaaten verfügbar gehalten wird.
(7) Auf eFTI-Plattformen werden alle Informationen, die personenbezogene Daten gemäß der Verordnung (EU) 2016/679 darstellen, in angemessener Frist nach Ablauf des in Absatz 6 genannten Zeitraums gelöscht.
Artikel 6
Kommunikation mit dem DIWASS
(1) Damit die betroffenen Unternehmen den zuständigen Behörden die in Artikel 2 Absatz 1 Buchstabe a Ziffer iv der Verordnung (EU) 2020/1056 genannten gesetzlich vorgeschriebenen Informationen zur Verfügung stellen können, richten eFTI-Plattformen sichere Verbindungen zu dem in Artikel 27 Absatz 3 der Verordnung (EU) 2024/1157 genannten zentralen System über eine Anwendungsprogrammierschnittstelle gemäß Artikel 5 Absatz 2 der Durchführungsverordnung (EU) 2025/1290 oder — bei Zurverfügungstellung durch einen Mitgliedstaat — über eine Verbindung zu dem lokalen System ein, das gemäß Artikel 27 Absatz 4 der Verordnung (EU) 2024/1157 von einer zuständigen Behörde des betreffenden Mitgliedstaats betrieben und gemäß den Anforderungen der Durchführungsverordnung (EU) 2025/1290 mit dem genannten zentralen System verbunden wird.
(2) Wenn eFTI-Plattformen eine der in Absatz 1 genannten Verbindungen einrichten, stellen sie zugleich entsprechende zusätzliche Funktionen gemäß Artikel 9 Absatz 2 dieser Verordnung bereit.
Artikel 7
Transparenz
(1) Von eFTI-Plattformen werden Funktionen bereitgestellt, über die gewerbliche Nutzer auf der Grundlage geeigneter Autorisierungen Benachrichtigungen, auch in Form regelmäßiger Berichte, anfordern und empfangen können. Diese Benachrichtigungen und Berichte betreffen Anträge der zuständigen Behörden auf Zugang zu eFTI-Daten und damit zusammenhängende Folgemitteilungen. Zudem betreffen sie Verarbeitungsvorgänge durch gewerbliche Nutzer, wenn der gewerbliche Nutzer, der die betreffenden Benachrichtigungen oder Berichte anfordert, ein Dateninhaber ist oder ihm im Berechtigungsregister gemäß Artikel 5 Absatz 1 Buchstabe a Verarbeitungsrechte in Bezug auf die betreffenden Daten erteilt wurden.
(2) Betreffen die in Absatz 1 genannten Benachrichtigungen oder Berichte Anträge der zuständigen Behörden auf Zugang zu eFTI-Daten und damit zusammenhängende Folgemitteilungen, so enthalten diese Benachrichtigungen mindestens die folgenden Informationen:
|
a) |
das Datum und die Uhrzeit des Eingangs des Antrags auf Zugang zu eFTI-Daten und der etwaigen Folgemitteilung; |
|
b) |
den Mitgliedstaat der zuständigen Behörde, von der der Antrag auf Zugang zu eFTI-Daten gestellt wurde; |
|
c) |
den UUID des eFTI-CMDS, für den der Antrag auf Zugang zu eFTI-Daten gestellt wurde; |
|
d) |
die in der etwaigen Folgemitteilung enthaltenen Informationen. |
KAPITEL III
DATENVERARBEITUNG AUF eFTI-PLATTFORMEN
Artikel 8
eFTI-CMDS
(1) Auf eFTI-Plattformen erfolgt die Verarbeitung von eFTI-Daten auf der Grundlage eindeutig identifizierter Datensätze, die jeweils einen eFTI-CMDS darstellen.
(2) Ein eFTI-CMDS wird erzeugt, indem alle Datenelemente ausgewählt werden, die den geltenden gesetzlichen Informationsanforderungen für eine bestimmte Sendungsbewegung entsprechende eFTI-Teildatensätze darstellen, wobei alle Datenelemente, die zwei oder mehr eFTI-Teildatensätzen gemeinsam sind, nur einmal aufgenommen werden.
(3) Alle auf einer eFTI-Plattform verarbeiteten eFTI-Daten müssen den Begriffsbestimmungen der Delegierten Verordnung (EU) 2024/2024 und den darin festgelegten technischen Merkmalen, einschließlich Struktur, Codelisten und Geschäftsregeln, entsprechen.
Artikel 9
Verarbeitungsvorgänge
(1) Von eFTI-Plattformen werden Funktionen bereitgestellt, über die gewerbliche Nutzer nach der Validierung ihrer Verarbeitungsrechte mittels eines Berechtigungsmechanismus gemäß Artikel 5 die folgenden Verarbeitungsvorgänge an eFTI-Daten durchführen können:
|
a) |
Anlage des eFTI-CMDS; |
|
b) |
Bearbeiten des eFTI-CMDS; |
|
c) |
Lesen der Daten des eFTI-CMDS; |
|
d) |
Herunterladen einer Kopie der Daten des eFTI-CMDS; |
|
e) |
Signatur des Versenders; |
|
f) |
Signatur des Beförderers; |
|
g) |
Signatur des Empfängers; |
|
h) |
Stempel „Beförderung im kombinierten Verkehr“ der Hafen- oder Eisenbahnverwaltung in See- oder Binnenhäfen oder Bahnhöfen; |
|
i) |
Archivieren des eFTI-CMDS. |
(2) Die von eFTI-Plattformen gemäß Artikel 6 bereitgestellten Funktionen ermöglichen es gewerblichen Nutzern, nach der Validierung ihrer Verarbeitungsrechte mittels eines Berechtigungsmechanismus gemäß Artikel 5 die folgenden Verarbeitungsvorgänge an eFTI-Daten durchzuführen:
|
a) |
Herunterladen einer Kopie der Abfallverbringungsdokumente; |
|
b) |
Übermittlung von Bestätigungen der Übergabe an das Transportunternehmen für die Abfallverbringung gemäß Anhang II Teil B Nummer 3 und Teil C Nummer 3 der Durchführungsverordnung (EU) 2025/1290; |
|
c) |
Bearbeiten von übermittelten Bestätigungen der Übergabe an das Transportunternehmen für die Abfallverbringung gemäß Anhang II Teil B Nummer 4 und Teil C Nummer 4 der Durchführungsverordnung (EU) 2025/1290. |
(3) Die in den Absätzen 1 und 2 genannten Verarbeitungsvorgänge und die Maßnahmen, mit denen eFTI-Plattformen gewerblichen Nutzern die Durchführung dieser Vorgänge ermöglichen, sind im Anhang festgelegt.
(4) Bevor die eFTI-Plattform einem gewerblichen Nutzer die Durchführung von Verarbeitungsvorgängen an eFTI-Daten gestattet, teilt sie dem betreffenden Nutzer mittels unmissverständlich formulierter Nachrichten mit, dass dieser durch die Datenverarbeitung auf der eFTI-Plattform zustimmt, dass
|
a) |
die von ihm verarbeiteten Daten den zuständigen Behörden automatisch zur Verfügung gestellt werden können, wenn die eFTI-Plattform von einer zuständigen Behörde einen Antrag auf Zugang zu eFTI-Daten in Bezug auf den bzw. die spezifischen eFTI-CMDS, zu dem bzw. denen die betreffenden Daten gehören, erhält; |
|
b) |
ein Prüfpfad gemäß Absatz 6 in Bezug auf die von ihm durchgeführten Datenverarbeitungsvorgänge gespeichert wird und nach geltendem Recht der Union und der Mitgliedstaaten den zuständigen Behörden zur Einsicht verfügbar gemacht werden kann. |
(5) Auf eFTI-Plattformen wird jeder von einem gewerblichen Nutzer durchgeführte Verarbeitungsvorgang an einem eFTI-CDMS protokolliert, wobei für jedes verarbeitete Datenelement folgende Informationen gespeichert werden:
|
a) |
der UUID des eFTI-CMDS; |
|
b) |
für eingegliederte Nutzer eine codierte Identifikationskennung, die mit ihrem Nutzerkonto verknüpft ist; |
|
c) |
für nicht eingegliederte Nutzer die von dem Nutzer im Rahmen der Zwei-Faktor-Authentifizierung gemäß Artikel 5 Absatz 5 Buchstabe c bereitgestellten Identifikationsinformationen; |
|
d) |
das Datum und die Uhrzeit, |
|
e) |
die Art des durchgeführten Vorgangs gemäß den Absätzen 1 und 2; wird im Rahmen der Verarbeitung der Wert eines Datenelements geändert oder gelöscht, so ist auch der ursprüngliche Wert des Datenelements beizubehalten. |
(6) Auf eFTI-Plattformen werden die Daten des eFTI-CMDS in einem Online-Datenspeichersystem gespeichert und sowohl für gewerbliche Nutzer als auch für zuständige Behörden mindestens für den Zeitraum zugänglich gehalten, in dem der eFTI-CMDS den von der eFTI-Plattform gemäß den Spezifikationen im Anhang dieser Verordnung zugewiesenen Status „aktiv“ und gegebenenfalls „inaktiv“ hat.
(7) Auf eFTI-Plattformen werden eFTI-CMDS, die den Status „archivierbar“ oder „archiviert“ haben, und die entsprechenden Verarbeitungsvorgangsprotokolle für die in Artikel 9 Absatz 1 Buchstabe i der Verordnung (EU) 2020/1056 genannten Zeiträume für die zuständigen Behörden zugänglich gehalten.
(8) Auf eFTI-Plattformen werden alle Informationen, die personenbezogene Daten gemäß der Verordnung (EU) 2016/679 darstellen, in angemessener Frist nach Ablauf der in Absatz 8 genannten Zeiträume gelöscht.
Artikel 10
Mensch-zu-Maschine-Benutzeroberflächen
(1) Die in Artikel 4 Absatz 1 Buchstabe a genannten Mensch-zu-Maschine-Benutzeroberflächen bieten die folgenden web- oder anwendungsbasierten Funktionen:
|
a) |
Gewerblichen Nutzern wird es ermöglicht, zum Zwecke der Identifizierung, Authentifizierung und Autorisierung durch die eFTI-Plattform gemäß den Artikeln 4 und 5 sowie der Verarbeitung von eFTI-Daten auf der eFTI-Plattform gemäß den Artikeln 5 und 9 mit der eFTI-Plattform zu interagieren; |
|
b) |
autorisierten Nutzern wird es ermöglicht, die eindeutige, die Identifizierung ermöglichende elektronische Verbindung (Unique electronic Identifying Link, UIL) des eFTI-CMDS herunterzuladen und in maschinenlesbarem Format den zuständigen Behörden zu übermitteln; |
|
c) |
autorisierten Nutzern wird es ermöglicht, eine vom Menschen lesbare Kopie des eFTI-CMDS und gegebenenfalls der Abfallverbringungsdokumente herunterzuladen und diese Kopien den Beschäftigten der zuständigen Behörde auf Anfrage gemäß Artikel 4 Absatz 2 der Verordnung (EU) 2020/1056 zur Kontrolle anzuzeigen. |
(2) Die vom Menschen lesbaren Kopien gemäß Absatz 1 Buchstabe d enthalten einen maschinenlesbaren codierten Verweis auf das Zertifizierungskennzeichen der eFTI-Plattform sowie das Datum und die Uhrzeit des Herunterladens in Form eines Zeitstempels.
(3) Mensch-zu-Maschine-Benutzeroberflächen von eFTI-Plattformen sind mit Zugangsschutzmerkmalen ausgestattet, die einen unautorisierten Zugang zu eFTI-Daten und Funktionen der eFTI-Plattform verhindern, wenn das Gerät, über das der gewerbliche Nutzer auf die eFTI-Plattform zugreift, nicht der Kontrolle des Nutzers unterliegt.
KAPITEL IV
VERFÜGBARKEIT, SICHERHEIT UND RESILIENZMAẞNAHMEN
Artikel 11
Verfügbarkeit
Eine eFTI-Plattform wird für die in Artikel 3 genannten zuständigen Behörden mindestens für den Zeitraum zugänglich gehalten, in dem die auf der eFTI-Plattform gespeicherten eFTI-CMDS den von der eFTI-Plattform gemäß den Spezifikationen im Anhang dieser Verordnung zugewiesenen Status „aktiv“ und gegebenenfalls „inaktiv“ haben.
Artikel 12
Sicherheit des Datenaustauschs
(1) Für die Kommunikation mit einem eFTI-Gate gewährleisten eFTI-Plattformen Folgendes:
|
a) |
Pflege eines eDelivery-Zugangspunkts gemäß den Spezifikationen für den Austausch von eDelivery-Nachrichten oder eines Zugangspunkts, der den vom eFTI-Gate unterstützten gleichwertigen Spezifikationen für den Nachrichtenaustausch entspricht, sofern ein Mitgliedstaat solche Spezifikationen für den Nachrichtenaustausch gemäß Artikel 9 Absatz 4 der Durchführungsverordnung (EU) 2024/1942 festgelegt hat; |
|
b) |
Verwendung sicherer Verfahren und Protokolle für den Empfang, die Speicherung, die Abfrage und die Validierung der Sicherheitsschlüssel oder Sicherheitszertifikate des eFTI-Gates. |
(2) Die in Absatz 1 Buchstabe a genannten Zugangspunkte verwenden Sicherheitszertifikate, die über eine Zertifizierungsbehörde von jenem Mitgliedstaat ausgestellt werden, in dem die eFTI-Plattform die Übereinstimmungsbescheinigung gemäß Artikel 12 Absatz 1 der Verordnung (EU) 2020/1056 erhalten hat.
(3) Jede Kommunikation zwischen der eFTI-Plattform und dem eFTI-Gate erfolgt im Wege eines Nachrichtenaustauschs, der den Spezifikationen in Artikel 9 Absätze 3 und 4 der Durchführungsverordnung (EU) 2024/1942 entspricht.
(4) Für die Kommunikation mit tributären IKT-Systemen oder anderen externen IKT-Systemen, in denen Komponenten enthalten sind, die bestimmte Funktionen von eFTI-Plattformen ausführen, gewährleisten eFTI-Plattformen mindestens Folgendes:
|
a) |
Pflege von Zugangspunkten mit gültigen Sicherheitsschlüsseln oder Sicherheitszertifikaten; |
|
b) |
Verwendung sicherer Verfahren und Protokolle für den Empfang, die Speicherung, die Abfrage und die Validierung der Sicherheitsschlüssel oder Sicherheitszertifikate der genannten anderen IKT-Systeme. |
(5) Für die Kommunikation mit dem DIWASS gewährleisten eFTI-Plattformen Folgendes:
|
a) |
Pflege von Zugangspunkten, die den Spezifikationen in Artikel 12 der Durchführungsverordnung (EU) 2025/1290 entsprechen; |
|
b) |
Verwendung sicherer Verfahren und Protokolle für den Empfang, die Speicherung, die Abfrage und die Validierung der Sicherheitsschlüssel des DIWASS; |
|
c) |
Pflege einer Anwendungsprogrammierschnittstelle, über die DIWASS-Daten im Zusammenhang mit der Signatur des Empfängers empfangen werden können, wenn es sich bei dem Empfänger um eine Abfallbehandlungsanlage gemäß der Verordnung (EU) 2024/1157 handelt. |
Artikel 13
Sicherheit gespeicherter Daten
Betreiber von eFTI-Plattformen legen Maßnahmen fest, die die Sicherheit und den Erhalt der auf eFTI-Plattformen gespeicherten Daten gewährleisten, und setzen diese um, und zwar im Einzelnen:
|
a) |
wenn eFTI-Daten auf physischen Speichermedien, die vom Plattformbetreiber verwaltet werden, gespeichert werden:
|
|
b) |
wenn eFTI-Daten in Datenwolken gespeichert werden: Maßnahmen, die gewährleisten, dass der Speicherplatz in Datenwolken bei Dienstleistern erworben wird, die die wichtigsten internationalen Normen und bewährten Verfahren für die Sicherheit von Datenwolken und den Schutz personenbezogener Daten anwenden; |
|
c) |
Maßnahmen, die gewährleisten, dass eFTI-Daten innerhalb der Union oder im Bereich der Gerichtsbarkeit der Union oder der Mitgliedstaaten gespeichert werden. |
KAPITEL V
SCHLUSSBESTIMMUNGEN
Artikel 14
Inkrafttreten
Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Brüssel, den 6. November 2025
Für die Kommission
Die Präsidentin
Ursula VON DER LEYEN
(1) ABl. L 249 vom 31.7.2020, S. 33, ELI: http://data.europa.eu/eli/reg/2020/1056/oj.
(2) Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über die Vorschriften für die Akkreditierung und zur Aufhebung der Verordnung (EWG) Nr. 339/93 des Rates (ABl. L 218 vom 13.8.2008, S. 30, ELI: http://data.europa.eu/eli/reg/2008/765/oj).
(3) Durchführungsverordnung (EU) 2024/1942 der Kommission vom 5. Juli 2024 zur Festlegung gemeinsamer Verfahren und detaillierter Regeln für den Zugang zu elektronischen Frachtbeförderungsinformationen und deren Verarbeitung durch die zuständigen Behörden gemäß der Verordnung (EU) 2020/1056 des Europäischen Parlaments und des Rates (ABl. L, 2024/1942, 20.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/1942/oj).
(4) Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257 vom 28.8.2014, S. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj).
(5) Delegierte Verordnung (EU) 2024/2024 der Kommission vom 26. Juli 2024 zur Ergänzung der Verordnung (EU) 2020/1056 durch Festlegung des gemeinsamen eFTI-Datensatzes und der eFTI-Teildatensätze (ABl. L, 2024/2024, 20.12.2024, ELI: http://data.europa.eu/eli/reg_del/2024/2024/oj).
(6) Verordnung (EU) 2024/1157 des Europäischen Parlaments und des Rates vom 11. April 2024 über die Verbringung von Abfällen, zur Änderung der Verordnungen (EU) Nr. 1257/2013 und (EU) 2020/1056 und zur Aufhebung der Verordnung (EG) Nr. 1013/2006 (ABl. L, 2024/1157, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1157/oj).
(7) Durchführungsverordnung (EU) 2025/1290 der Kommission vom 2. Juli 2025 mit Durchführungsbestimmungen zur Verordnung (EU) 2024/1157 des Europäischen Parlaments und des Rates in Bezug auf die erforderlichen Anforderungen an die Interoperabilität zwischen dem zentralen System für die elektronische Übermittlung und den elektronischen Austausch von Informationen und Dokumenten im Zusammenhang mit Verbringungen von Abfällen und anderen Systemen oder anderer Software sowie auf sonstige technische und organisatorische Anforderungen, die für die praktische Umsetzung dieser elektronischen Übermittlung und dieses elektronischen Austauschs von Informationen und Dokumenten erforderlich sind (ABl. L, 2025/1290, 14.7.2025, ELI: http://data.europa.eu/eli/reg_impl/2025/1290/oj).
(8) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(9) https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=de&groupID=3280.
(10) Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(11) Richtlinie 92/106/EWG des Rates vom 7. Dezember 1992 über die Festlegung gemeinsamer Regeln für bestimmte Beförderungen im kombinierten Güterverkehr zwischen Mitgliedstaaten (ABl. L 368 vom 17.12.1992, S. 38, ELI: http://data.europa.eu/eli/dir/1992/106/oj).
ANHANG
VERARBEITUNGSVORGÄNGE, DIE VON GEWERBLICHEN NUTZERN AUF eFTI-PLATTFORMEN DURCHGEFÜHRT WERDEN KÖNNEN
(gemäß Artikel 9)
In der folgenden Tabelle werden die Verarbeitungsvorgänge an eFTI-Daten, die gewerbliche Nutzer gemäß Artikel 9 Absätze 1 und 2 auf eFTI-Plattformen durchführen können, und die automatischen Tätigkeiten der eFTI-Plattformen zur Gewährleistung der Durchführung der jeweiligen Verarbeitungsvorgänge beschrieben, wobei
|
a) |
in der Spalte „Vorgang“ die in Artikel 9 Absatz 1 oder 2 für den jeweiligen Verarbeitungsvorgang verwendete Kurzbezeichnung angegeben ist; |
|
b) |
in der Spalte „Aktion des gewerblichen Nutzers“ die Tätigkeiten beschrieben werden, die gewerbliche Nutzer auf eFTI-Plattformen zur Durchführung des jeweiligen Verarbeitungsvorgangs vornehmen können müssen; |
|
c) |
in der Spalte „Aktion der eFTI-Plattform“ die Tätigkeiten beschrieben werden, die eFTI-Plattformen im Zusammenhang mit den entsprechenden Tätigkeiten der gewerblichen Nutzer zur Gewährleistung des Abschlusses des jeweiligen Vorgangs mindestens vornehmen müssen. Tabelle
|
(1) Verordnung (EG) Nr. 1072/2009 des Europäischen Parlaments und des Rates vom 21. Oktober 2009 über gemeinsame Regeln für den Zugang zum Markt des grenzüberschreitenden Güterkraftverkehrs (ABl. L 300 vom 14.11.2009, S. 72, ELI: http://data.europa.eu/eli/reg/2009/1072/oj).
ELI: http://data.europa.eu/eli/reg_impl/2025/2243/oj
ISSN 1977-0642 (electronic edition)