eIDAS

eIDAS Verordnung

VERORDNUNG (EU) 2024 DES EUROPÄISCHEN PARLAMENTS UND DES RATES

vom 11. April 2024

zur Änderung der Verordnung (EU) Nr. 910/2014 im Hinblick auf die Schaffung des europäischen Rahmens für eine digitale Identität

Präambel

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 114,

auf Vorschlag der Europäischen Kommission,

nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,

nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses¹, nach Stellungnahme des Ausschusses der Regionen², gemäß dem ordentlichen Gesetzgebungsverfahren³,

gemäß dem ordentlichen Gesetzgebungsverfahren,

in Erwägung nachstehender Gründe:

(1)

In der Mitteilung der Kommission vom 19. Februar 2020 mit dem Titel „Gestaltung der digitalen Zukunft Europas“ wird eine Überarbeitung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates4 angekündigt, um ihre Wirksamkeit zu verbessern, ihre Vorteile auf den privaten Sektor auszuweiten und vertrauenswürdige digitale Identitäten für alle Europäer zu fördern.

(2)

In den Schlussfolgerungen seiner Tagung vom 1. und 2. Oktober 2020 ersuchte der Europäische Rat die Kommission, einen Vorschlag zur Entwicklung eines unionsweiten Rahmens für die sichere öffentliche elektronische Identifizierung, einschließlich interoperabler digitaler Signaturen, vorzulegen, damit die Menschen die Kontrolle über ihre Online-Identität und ihre Daten haben und der Zugang zu öffentlichen, privaten und grenzüberschreitenden digitalen Diensten möglich ist.

(3)

In dem Politikprogramm 2030 für die digitale Dekade, das durch den Beschluss (EU) 2022/2481 des Europäischen Parlaments und des Rates5 aufgestellt wurde, sind die Vorhaben und die Digitalziele eines Unionsrahmens vorgegeben, die bis 2030 bei OnlineInteraktionen zu einer umfassenden Einführung einer vertrauenswürdigen, freiwilligen, von den Nutzern kontrollierten digitalen Identität führen sollen, die unionsweit anerkannt wird und es jedem Nutzer ermöglicht, seine Daten und seine Präsenz in OnlineInteraktionen zu überwachen.

(4)

In der vom Europäischen Parlament, dem Rat und der Kommission proklamierten „Europäischen Erklärung zu den digitalen Rechten und Grundsätzen für die digitale Dekade“6 (im Folgenden „Erklärung“) wird das Recht jeder Person auf Zugang zu digitalen Technologien, Produkten und Dienstleistungen, die sicher und so konzipiert sind, dass sie den Schutz der Privatsphäre gewährleisten, betont. Dazu gehört auch, dass allen Menschen, die in der Union leben, eine barrierefreie, sichere und vertrauenswürdige digitale Identität geboten wird, die den Zugang zu einer breiten Palette von Online- und Offline-Diensten ermöglicht und vor Cybersicherheitsrisiken und Cyberkriminalität, einschließlich Verletzung des Schutzes personenbezogener Daten, Identitätsdiebstahl oder -manipulation, geschützt ist. In der Erklärung heißt es ferner, dass jede Person das Recht auf den Schutz der sie betreffenden personenbezogenen Daten hat. Dieses Recht umfasst auch die Kontrolle darüber, wie die Daten verwendet und an wen sie weitergegeben werden.

(5)

Alle Unionsbürger und in der Union ansässige Personen sollten das Recht auf eine digitale Identität haben, über die sie die alleinige Kontrolle ausüben und die es ihnen ermöglicht, ihre Rechte im digitalen Umfeld wahrzunehmen und an der digitalen Wirtschaft teilzuhaben. Um dieses Ziel zu erreichen, sollte ein europäischer Rahmen für eine digitale Identität geschaffen werden, der Unionsbürgern und in der Union ansässigen Personen Zugang zu privaten und öffentlichen Online- und Offline-Diensten ermöglicht.p>

(6)

Ein harmonisierter Rahmen für eine digitale Identität sollte zur Schaffung einer digital stärker integrierten Union beitragen, indem er die digitalen Schranken zwischen den Mitgliedstaaten abbaut, die Unionsbürger und in der Union ansässige Personen in die Lage versetzt, die Vorteile der Digitalisierung zu nutzen, und gleichzeitig die Transparenz und den Schutz ihrer Rechte erhöht.

(7)

Ein harmonisiertes Herangehen an die elektronische Identifizierung dürfte die Risiken und Kosten der derzeitigen Fragmentierung verringern, die sich aus der Verwendung unterschiedlicher nationaler Lösungen, oder, in einigen Fällen, aus dem Fehlen derartiger Lösungen für die elektronische Identifizierung, ergibt. Ein solcher Ansatz sollte den Binnenmarkt stärken, indem Unionsbürgern und anderen in der Union ansässigen Personen im Sinne des nationalen Rechts sowie den Unternehmen ermöglicht wird, sich in der gesamten Union online und offline auf sichere, vertrauenswürdige, nutzerfreundliche und bequeme Weise zu identifizieren und ihre Identität zu authentifizieren. Die europäische Brieftasche für die Digitale Identität sollte natürlichen und juristischen Personen in der gesamten Union ein harmonisiertes elektronisches Identifizierungsmittel an die Hand geben, das ihnen die Authentifizierung und die Weitergabe von mit ihrer Identität verknüpften Daten ermöglicht. Alle sollten auf sichere Weise Zugang zu öffentlichen und privaten Dienstleistungen erhalten, die sich auf ein verbessertes Ökosystem für Vertrauensdienste und auf überprüfte Identitätsnachweise und elektronische Attributsbescheinigungen stützen können, beispielsweise akademische Qualifikationen, einschließlich Hochschulabschlüsse, oder andere Qualifikationen im Bereich der allgemeinen und beruflichen Bildung. Mit dem europäischen Rahmen für eine digitale Identität wird darauf abgezielt, einen Übergang von der Verwendung bloßer nationaler Lösungen für die digitale Identität zur Bereitstellung in der gesamten Union gültiger und rechtlich anerkannter elektronischer Attributsbescheinigungen zu erreichen. Anbieter elektronischer Attributsbescheinigungen sollten von klaren und einheitlichen Regeln profitieren können, und zugleich sollten öffentliche Verwaltungen sich auf elektronische Dokumente in einem vorgegebenen Format verlassen können.

(8)

Mehrere Mitgliedstaaten haben elektronische Identifizierungsmittel, die von Diensteanbietern in der Union akzeptiert werden, eingeführt und nutzen diese. Darüber hinaus wurde sowohl in nationale als auch in grenzüberschreitende Lösungen auf der Grundlage der Verordnung (EU) Nr. 910/2014, unter anderem in die Interoperabilität notifizierter elektronischer Identifizierungssysteme gemäß jener Verordnung, investiert. Zur Gewährleistung der Komplementarität von europäischen Brieftaschen für die Digitale Identität und ihrer raschen Annahme durch derzeitige Nutzer notifizierter elektronischer Identifizierungsmittel und zur Minimierung der Auswirkungen auf bestehende Diensteanbieter wird erwartet, dass europäische Brieftaschen für die Digitale Identität davon profitieren, dass sie auf den aus bestehenden elektronischen Identifizierungsmitteln und aus der auf Unions- und nationaler Ebene eingerichteten Infrastruktur notifizierter elektronischer Identifizierungssysteme gewonnenen Erfahrungen aufbauen.

(9)

Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates7 und, sofern anwendbar, die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates8 gelten für jede Verarbeitung personenbezogener Daten gemäß der Verordnung (EU) Nr. 910/2014. Die Lösungen, die gemäß dem Interoperabilitätsrahmen in der vorliegenden Verordnung bereitgestellt werden, entsprechen ebenfalls jenen Vorschriften. Die Rechtsvorschriften der Union zum Datenschutz enthalten Datenschutz-Grundsätze, wie die Grundsätze der Datensparsamkeit und der Zweckbindung, sowie Verpflichtungen wie den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.

(10)

Um die Wettbewerbsfähigkeit der Unternehmen der Union zu stärken, sollten sich sowohl Online- als auch Offline-Diensteanbieter auf unionsweit anerkannte Lösungen für die digitale Identität stützen können, unabhängig davon, in welchem Mitgliedstaat diese Lösungen bereitgestellt werden, denn nur so können sie von einem harmonisierten Konzept der Union für Vertrauen, Sicherheit und Interoperabilität profitieren. Sowohl Nutzer als auch Diensteanbieter sollten sich darauf verlassen können, dass elektronische Attributsbescheinigungen unionsweit die gleiche Rechtswirkung haben. Ein harmonisierter Rahmen für eine digitale Identität soll einen wirtschaftlichen Wert generieren, indem der Zugang zu Waren und Diensten vereinfacht wird und die Betriebskosten im Zusammenhang mit elektronischen Identifizierungs- und Authentifizierungsverfahren, z. B. bei der Einbindung neuer Kunden, erheblich gesenkt werden, das Potenzial für Cyberkriminalität wie Identitätsdiebstahl, Datendiebstahl und Online-Betrug reduziert wird, wodurch Effizienzgewinne und der sichere digitale Wandel der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (KMU) in der Union gefördert werden.

(11)

Europäische Brieftaschen für die digitale Identität sollten die Anwendung des Grundsatzes der einmaligen Erfassung unterstützen, um den Verwaltungsaufwand zu verringern, die grenzüberschreitende Mobilität von Unionsbürgern und in der Union ansässigen Personen sowie Unternehmen in der gesamten Union zu fördern und die Entwicklung interoperabler elektronischer Behördendienste in der gesamten Union voranzutreiben.

(12)

Für die Verarbeitung personenbezogener Daten im Rahmen der Durchführung der vorliegenden Verordnung gelten die Verordnung (EU) 2016/679 und die Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates9 sowie die Richtlinie 2002/58/EC. Daher sollten in der vorliegenden Verordnung besondere Schutzvorkehrungen getroffen werden, um zu verhindern, dass Anbieter elektronischer Identifizierungsmittel und elektronischer Attributsbescheinigungen personenbezogene Daten, die im Rahmen der Bereitstellung anderer Dienste gewonnen worden sind, mit den personenbezogenen Daten kombinieren, die verarbeitet werden, um die Dienste bereitzustellen, die in den Anwendungsbereich der vorliegenden Verordnung fallen. Personenbezogene Daten im Zusammenhang mit der Bereitstellung von europäischen Brieftaschen für die Digitale Identität sollten vom Anbieter der europäischen Brieftasche für die Digitale Identität von allen anderen gespeicherten Daten logisch getrennt gehalten werden. Die vorliegende Verordnung sollte die Anbieter von europäischen Brieftaschen für die Digitale Identität nicht daran hindern, zusätzliche technische Maßnahmen anzuwenden, die zum Schutz personenbezogener Daten beitragen, wie etwa die physische Trennung personenbezogener Daten im Zusammenhang mit der Bereitstellung von europäischen Brieftaschen für die Digitale Identität von allen anderen vom Anbieter gespeicherten Daten. In der vorliegenden Verordnung wird, unbeschadet der Verordnung (EU) 2016/679, außerdem die Anwendung der Grundsätze der Zweckbindung, der Datensparsamkeit und des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen näher ausgeführt.

(13)

Europäische Brieftaschen für die Digitale Identität sollten über die Funktion eines in das Design eingebetteten gemeinsamen Dashboards für das Datenschutzmanagement verfügen, um ein höheres Maß an Transparenz, Privatsphäre und Kontrolle der Nutzer über ihre personenbezogenen Daten sicherzustellen. Diese Funktion sollte eine einfache und nutzerfreundliche Anzeige mit einem Überblick über alle vertrauenden Beteiligten bieten, an die der Nutzer Daten oder Attribute weitergibt, sowie mit der Art der Daten, die an die einzelnen vertrauenden Beteiligten weitergegeben werden. Sie sollte es Nutzern ermöglichen, alle über die europäische Brieftasche für die Digitale Identität getätigten Transaktionen nachzuvollziehen, und zwar mindestens anhand der folgenden Daten: Uhrzeit und Datum der Transaktion, Kennung der Gegenseite, angeforderte personenbezogene Daten und weitergegebene Daten. Diese Informationen sollten auch dann gespeichert werden, wenn die Transaktion nicht abgeschlossen wurde. Es sollte nicht möglich sein, die Authentizität der Informationen in der Transaktionshistorie abzustreiten. Eine solche Funktion sollte standardmäßig aktiviert sein. Sie sollte es Nutzern ermöglichen, gemäß Artikel 17 der Verordnung (EU) 2016/679 auf einfache Weise die unverzügliche Löschung von personenbezogenen Daten durch einen vertrauenden Beteiligten zu verlangen, und den vertrauenden Beteiligten auf einfache Weise, direkt über die europäische Brieftasche für die Digitale Identität, der zuständigen nationalen Datenschutzbehörde zu melden, wenn eine mutmaßlich unrechtmäßige oder verdächtige Abfrage personenbezogener Daten eingeht

(14)

Die Mitgliedstaaten sollten verschiedene Technologien zum Schutz der Privatsphäre, beispielsweise Zero-Knowledge-Proof (Null-Wissens-Beweis), in die europäische Brieftasche für die Digitale Identität integrieren. Diese kryptografischen Methoden sollten es einem vertrauenden Beteiligten ermöglichen, die Richtigkeit einer bestimmten Aussage, die auf der Grundlage der Identifizierungsdaten und der Attributsbescheinigung in der europäischen Brieftasche für die Digitale Identität eines Nutzers erfolgt, zu validieren, ohne dass Daten, auf denen die Aussage beruht, preisgegeben werden, wodurch die Privatsphäre des Nutzers gewahrt bleibt.

(15)

Mit dieser Verordnung werden harmonisierte Bedingungen für die Schaffung eines Rahmens für europäische Brieftaschen für die Digitale Identität festgelegt, die von den Mitgliedstaaten bereitzustellen sind. Allen Unionsbürgern und in der Union ansässigen Personen im Sinne des nationalen Rechts sollte die Möglichkeit gegeben werden, auf sicherem Weg Daten über ihre Identität anzufordern, auszuwählen, zu kombinieren, zu speichern, zu löschen, weiterzugeben und zu präsentieren, und auf benutzerfreundliche und bequeme Weise zu verlangen, dass personenbezogene Daten unverzüglich gelöscht werden, unter der alleinigen Kontrolle der jeweiligen Nutzer, wobei gleichzeitig eine selektive Freigabe von personenbezogenen Daten ermöglicht werden sollte. Diese Verordnung trägt den gemeinsamen Werten Rechnung und respektiert die Grundrechte, die rechtlichen Schutzvorkehrungen und die Haftung und schützt so die demokratischen Gesellschaften, die Unionsbürger und in der Union ansässige Personen. Bei der Entwicklung der Technologien zur Erreichung dieser Ziele sollten ein Höchstmaß an Sicherheit, Schutz der Privatsphäre und Benutzerfreundlichkeit sowie breite Nutzbarkeit und nahtlose Interoperabilität angestrebt werden. Die Mitgliedstaaten sollten dafür sorgen, dass alle ihre Bürger und in ihnen ansässige Personen einen gleichberechtigten Zugang zur elektronischen Identifizierung haben. Die Mitgliedstaaten sollten den Zugang natürlicher oder juristischer Personen, die sich gegen die Verwendung einer europäischen Brieftasche für die Digitale Identität entscheiden, zu öffentlichen oder privaten Diensten weder direkt noch indirekt beschränken und alternative Lösungen zur Verfügung stellen.

(16)

Die Mitgliedstaaten sollten die durch diese Verordnung gebotenen Möglichkeiten nutzen, um, im Rahmen ihrer Zuständigkeit, europäische Brieftaschen für die Digitale Identität für auf ihrem Hoheitsgebiet ansässige natürliche und juristische Personen bereitzustellen. Um den Mitgliedstaaten Flexibilität zu bieten und modernste Technologie zu nutzen, sollte durch diese Verordnung die Bereitstellung von europäischen Brieftaschen für die Digitale Identität direkt durch einen Mitgliedstaat, im Auftrag eines Mitgliedstaats oder unabhängig von einem Mitgliedstaat, aber von einem Mitgliedstaat anerkannt, ermöglicht werden.

(17)

Zu Zwecken der Registrierung sollten die vertrauenden Beteiligten die Informationen bereitstellen, die für ihre elektronische Identifizierung und Authentifizierung für europäische Brieftaschen für die Digitale Identität erforderlich sind. Bei der Angabe der beabsichtigten Verwendung der europäischen Brieftasche für die Digitale Identität sollten die vertrauenden Beteiligten Informationen bereitstellen in Bezug auf die Daten, die sie gegebenenfalls anfordern werden, um ihre Dienste zu erbringen, sowie über die Gründe für das Anfordern dieser Daten. Die Registrierung vertrauender Beteiligter erleichtert eine Überprüfung durch die Mitgliedstaaten in Bezug auf die Rechtmäßigkeit der Tätigkeiten der vertrauenden Beteiligten gemäß dem Unionsrecht. Die in dieser Verordnung vorgesehene Registrierungspflicht sollte Verpflichtungen aus anderen Unions- oder nationalen Rechtsvorschriften unberührt lassen, wie z. B. in Bezug auf die Informationen, die den betroffenen Personen gemäß der Verordnung (EU) 2016/679 zur Verfügung zu stellen sind. Die vertrauenden Beteiligten sollten die Schutzvorkehrungen, die gemäß den Artikeln 35 und 36 jener Verordnung geboten werden, einhalten, insbesondere indem sie Datenschutz-Folgenabschätzungen durchführen und die zuständigen Datenschutzbehörden konsultieren, bevor sie Daten verarbeiten, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung mit einem hohen Risiko verbunden wäre. Durch solche Schutzvorkehrungen sollte die rechtmäßige Verarbeitung von Daten durch vertrauende Beteiligte unterstützt werden, insbesondere in Bezug auf besondere Kategorien von Daten, wie beispielsweise Gesundheitsdaten. Mit der Registrierung der vertrauenden Beteiligten sollen die Transparenz und das Vertrauen bei der Verwendung von europäischen Brieftaschen für die Digitale Identität verbessert werden. Die Registrierung sollte kosteneffizient sein und in einem angemessenen Verhältnis zu den damit verbundenen Risiken stehen, um die Akzeptanz durch die Diensteanbieter sicherzustellen. In diesem Zusammenhang sollten für die Registrierung automatische Verfahren vorgesehen werden, einschließlich der Heranziehung und Nutzung bestehender Register durch Mitgliedstaaten, und die Registrierung sollte kein Verfahren zur Vorabgenehmigung umfassen. Das Registrierungsverfahren sollte verschiedene Anwendungsfälle ermöglichen, die sich hinsichtlich der Betriebsart, ob im Online- oder Offline-Modus, oder hinsichtlich der Anforderung zur Authentifizierung von Geräten zum Zwecke des Austauschs mit der europäischen Brieftasche für die Digitale Identität, unterscheiden können. Die Registrierung sollte ausschließlich für vertrauende Beteiligte gelten, die Dienste im Wege digitaler Interaktion bereitstellen.

(18)

Der Schutz der Unionsbürger und in der Union ansässigen Personen vor der unbefugten oder betrügerischen Verwendung der europäischen Brieftaschen für die Digitale Identität ist von großer Bedeutung, um das Vertrauen in europäische Brieftaschen für die Digitale Identität und deren breite Akzeptanz zu gewährleisten. Den Nutzern sollte wirksamer Schutz vor solchem Missbrauch geboten werden. Insbesondere sollten, wenn von einem nationalen Justizorgan im Zusammenhang mit einem anderen Verfahren Sachverhalte festgestellt werden, die die Grundlage für betrügerische oder andere rechtswidrige Verwendung einer europäischen Brieftasche für die Digitale Identität bilden, Aufsichtsstellen, die für Aussteller von europäischen Brieftaschen für die Digitale Identität zuständig sind, bei Erhalt einer entsprechenden Meldung sicherstellen, dass die Registrierung des vertrauenden Beteiligten und die Aufnahme von vertrauenden Beteiligten in den Authentifizierungsmechanismus zurückgezogen oder ausgesetzt werden, bis die festgestellten Unregelmäßigkeiten behoben sind.

(19)

Alle europäischen Brieftaschen für die Digitale Identität sollten es Nutzern ermöglichen, sich online und offline grenzübergreifend elektronisch zu identifizieren und zu authentifizieren, um Zugang zu einem breiten Spektrum öffentlicher und privater Dienste zu erhalten. Unbeschadet der Vorrechte der Mitgliedstaaten hinsichtlich der Identifizierung ihrer Bürger und der in ihnen ansässigen Personen können europäische Brieftaschen für die Digitale Identität auch den institutionellen Bedürfnissen der öffentlichen Verwaltungen, internationalen Organisationen und Organe, Einrichtungen und sonstigen Stellen der Union dienen. Authentifizierung im Offline-Modus wäre in vielen Sektoren wichtig, unter anderem im Gesundheitssektor, wo Dienstleistungen häufig im Rahmen persönlicher Kontakte erbracht werden, und es sollte möglich sein, dabei die Echtheit elektronischer Verschreibungen anhand von QR-Codes oder ähnlicher Technik zu überprüfen. Unter Rückgriff auf das Sicherheitsniveau „hoch“ für elektronische Identifizierungssysteme sollten europäische Brieftaschen für die Digitale Identität das Potenzial nutzen, das durch manipulationssichere Lösungen wie sichere Elemente geboten wird, um die Sicherheitsanforderungen dieser Verordnung zu erfüllen. Europäische Brieftaschen für die Digitale Identität sollten es den Nutzern auch ermöglichen, qualifizierte elektronische Signaturen und Siegel, die in der gesamten Union akzeptiert werden, zu erstellen und zu verwenden. Einmal eingebunden in eine europäische Brieftasche für die Digitale Identität sollten natürliche Personen diese nutzen können, um mit qualifizierten elektronischen Signaturen zu signieren, standardmäßig und kostenfrei, ohne zusätzliche administrative Verfahren durchlaufen zu müssen. Nutzer sollten selbst erklärte Nachweise oder Attribute unterzeichnen oder besiegeln können. Um Vorteile aufgrund von Vereinfachungen und Kosteneinsparungen für Personen und Unternehmen in der gesamten Union zu erzielen, einschließlich indem Vertretungsbefugnisse und e-Mandate ermöglicht werden, sollten die Mitgliedstaaten europäische Brieftaschen für die Digitale Identität bereitstellen, die sich auf gemeinsame Standards und technische Spezifikationen stützen, um für nahtlose Interoperabilität zu sorgen und die IT-Sicherheit angemessen zu erhöhen, die Robustheit gegenüber Cyberangriffen zu stärken und damit die potenziellen Risiken der fortschreitenden Digitalisierung für Unionsbürger und in der Union ansässige Personen sowie für Unternehmen deutlich zu verringern. PE-CONS 68/1/23 REV 1 13 DE Nur die zuständigen Behörden der Mitgliedstaaten können bei der Feststellung der Identität einer Person einen hohen Grad an Vertrauen gewährleisten und somit Gewissheit bieten, dass es sich bei Personen, die eine bestimmte Identität beanspruchen oder geltend machen, tatsächlich um die angegebenen Personen handelt. Für die Bereitstellung von europäischen Brieftaschen für die Digitale Identität ist es daher notwendig, auf die rechtliche Identität von Unionsbürgern, in der Union ansässigen Personen oder juristischen Personen zurückzugreifen. Der Rückgriff auf die rechtliche Identität sollte die Nutzer der europäischen Brieftaschen für die Digitale Identität nicht daran hindern, beim Zugang zu Diensten ein Pseudonym zu verwenden, wenn die rechtliche Identität für die Authentifizierung nicht vorgeschrieben ist. Das Vertrauen in die europäischen Brieftaschen für die Digitale Identität würde gestärkt, wenn ausstellende und verwaltende Parteien, im Einklang mit der Verordnung (EU) 2016/679, verpflichtet wären, geeignete technische und organisatorische Maßnahmen zu ergreifen, um das höchste Schutzniveau zu gewährleisten, das den Risiken für die Rechte und Freiheiten natürlicher Personen angemessen ist.

(20)

Die Verwendung einer qualifizierten elektronischen Signatur sollte für alle natürlichen Personen für nicht-berufliche Zwecke kostenfrei sein. Es sollte für die Mitgliedstaaten möglich sein, Maßnahmen zur Verhinderung einer kostenfreien Verwendung qualifizierter elektronischer Signaturen durch natürliche Personen für berufliche Zwecke einzuführen, wobei zu gewährleisten ist, dass solche Maßnahmen in einem angemessenen Verhältnis zu den festgestellten Risiken stehen und gerechtfertigt sind.

(21)

Es ist sinnvoll, die Einführung und Nutzung der europäischen Brieftaschen für die Digitale Identität zu erleichtern, indem sie nahtlos in das Ökosystem öffentlicher und privater digitaler Dienste integriert werden, das bereits auf nationaler, lokaler oder regionaler Ebene etabliert ist. Um dieses Ziel zu erreichen, sollte es den Mitgliedstaaten möglich sein, rechtliche und organisatorische Maßnahmen vorzusehen, um die Flexibilität für die Anbieter von europäischen Brieftaschen für die Digitale Identität zu erhöhen und zusätzliche Funktionen der europäischen Brieftaschen für die Digitale Identität zu den in dieser Verordnung vorgesehenen Funktionen zu ermöglichen, unter anderem durch eine verstärkte Interoperabilität mit bestehenden nationalen elektronischen Identifizierungsmitteln. Solche zusätzlichen Funktionen sollten keinesfalls zulasten der Erbringung der in dieser Verordnung vorgesehenen Kernfunktionen von europäischen Brieftaschen für die Digitale Identität gehen oder dazu führen, dass bestehende nationale Lösungen gegenüber europäischen Brieftaschen für die Digitale Identität bevorzugt werden. Da solche zusätzlichen Funktionen über diese Verordnung hinausgehen, fallen sie nicht unter die in dieser Verordnung enthaltenen Bestimmungen über die grenzüberschreitende Verwendung der europäischen Brieftaschen für die Digitale Identität.

(22)	Europäische Brieftaschen für die Digitale Identität sollten eine Funktion zum Generieren von nutzergewählten und nutzerverwalteten Pseudonymen für die Authentifizierung beim Zugang zu Online-Diensten enthalten.

(23)

Um ein hohes Maß an Sicherheit und Vertrauenswürdigkeit zu erreichen, werden in dieser Verordnung die Anforderungen für die europäischen Brieftaschen für die Digitale Identität festgelegt. Die Übereinstimmung der europäischen Brieftaschen für die Digitale Identität mit diesen Anforderungen sollte von akkreditierten Konformitätsbewertungsstellen zertifiziert werden, die von den Mitgliedstaaten benannt werden.

(24)

Um divergierende Ansätze zu vermeiden und die Umsetzung der in dieser Verordnung festgelegten Anforderungen zu harmonisieren, sollte die Kommission, um europäische Brieftaschen für die Digitale Identität zu zertifizieren, Durchführungsrechtsakte annehmen, um eine Liste von Referenzstandards zu erstellen und um gegebenenfalls gemeinsame Spezifikationen und Verfahren einzuführen. Soweit die Zertifizierung der Konformität der europäischen Brieftaschen für die Digitale Identität mit einschlägigen Cybersicherheitsanforderungen nicht durch bestehende Schemata für die Cybersicherheitszertifizierung abgedeckt ist, auf die in dieser Verordnung Bezug genommen wird, und in Bezug auf Anforderungen an europäische Brieftaschen für die Digitale Identität, die nicht die Cybersicherheit von europäischen Brieftaschen für die Digitale Identität betreffen, sollten die Mitgliedstaaten gemäß den in dieser Verordnung festgelegten und gemäß dieser Verordnung angenommenen harmonisierten Anforderungen nationale Zertifizierungsschemata einrichten. Die Mitgliedstaaten sollten die Entwürfe ihrer nationalen Zertifizierungsschemata der europäische Kooperationsgruppe für die digitale Identität übermitteln, die Stellungnahmen und Empfehlungen abgeben kann.

(25)

Die Zertifizierung der Konformität mit den in dieser Verordnung festgelegten Cybersicherheitsanforderungen sollte, sofern verfügbar, auf die relevanten Schemata für die Cybersicherheitszertifizierung gemäß der Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates10, in der ein freiwilliger Rahmen für die Cybersicherheitszertifizierung von IKT-Produkten, -Verfahren und -Diensten festgelegt wurde, zurückgreifen.

(26)

Um Risiken im Zusammenhang mit der Sicherheit kontinuierlich zu bewerten und zu mindern, sollten zertifizierte europäische Brieftaschen für die Digitale Identität regelmäßigen Schwachstellenbeurteilungen unterzogen werden, um jede Schwachstelle in zertifizierten produktbezogenen Komponenten, zertifizierten prozessbezogenen Komponenten und zertifizierten Dienstekomponenten der europäischen Brieftasche für die Digitale Identität festzustellen.

(27)

Durch den Schutz von Nutzern und Unternehmen vor Cybersicherheitsrisiken tragen die in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen auch dazu bei, den Schutz personenbezogener Daten und den Schutz der Privatsphäre der Einzelnen zu verbessern. Synergieeffekte sowohl bei der Normung als auch bei der Zertifizierung von Cybersicherheitsaspekten sollten im Rahmen der Zusammenarbeit zwischen der Kommission, den europäischen Normungsorganisationen, der Agentur der Europäischen Union für Cybersicherheit (ENISA), dem durch die Verordnung (EU) 2016/679 eingesetzten Europäischen Datenschutzausschuss und den nationalen Datenschutzaufsichtsbehörden berücksichtigt werden.

(28)

Die Einbindung von Unionsbürgern und in der Union ansässigen Personen in die europäische Brieftasche für die Digitale Identität sollte erleichtert werden, indem auf elektronische Identifizierungsmittel zurückgegriffen wird, die mit dem Sicherheitsniveau hoch ausgestellt werden. Auf elektronische Identifizierungsmittel, die mit dem Sicherheitsniveau substanziell ausgestellt werden, sollte nur zurückgegriffen werden, wenn harmonisierte technische Spezifikationen und Verfahren, die mit dem Sicherheitsniveau „substanziell“ ausgestellte elektronische Identifizierungsmittel in Kombination mit zusätzlichen Mitteln zur Identitätsüberprüfung verwenden, die Erfüllung der in dieser Verordnung festgelegten Anforderungen hinsichtlich des Sicherheitsniveaus „hoch“ ermöglichen. Diese zusätzlichen Mittel sollten zuverlässig und einfach zu verwenden sein, und sie könnten auf der Möglichkeit aufbauen, Verfahren zur Ferneinbindung, qualifizierte elektronische Zertifikate, denen qualifizierte Signaturen zugrunde liegen, qualifizierte elektronische Attributsbescheinigungen oder eine Kombination davon zu verwenden. Um eine ausreichende Verbreitung der europäischen Brieftasche für die Digitale Identität zu gewährleisten, sollten harmonisierte technische Spezifikationen und Verfahren für die Einbindung von Nutzern mittels elektronischer Identifizierungsmittel, einschließlich solcher, die mit dem Sicherheitsniveau substanziell ausgestellt werden, in Durchführungsrechtsakten festgelegt werden.

(29)

Das Ziel dieser Verordnung ist es, den Nutzern eine vollständig mobile, sichere und benutzerfreundliche europäische Brieftasche für die Digitale Identität zur Verfügung zu stellen. Als Übergangsmaßnahme bis zur Verfügbarkeit zertifizierter manipulationssicherer Lösungen, etwa sicherer Elemente innerhalb der Geräte der Nutzer, sollten europäische Brieftaschen für die Digitale Identität auf zertifizierte externe sichere Elemente für den Schutz von kryptografischem Material und anderen sensiblen Daten oder auf notifizierte elektronische Identifizierungsmittel mit dem Sicherheitsniveau „hoch“ zurückgreifen können, um die Übereinstimmung mit den einschlägigen Anforderungen der vorliegenden Verordnung hinsichtlich des Sicherheitsniveaus der europäischen Brieftasche für die Digitale Identität nachzuweisen. Diese Verordnung sollte nationale Bedingungen in Bezug auf die Ausstellung und Verwendung eines zertifizierten externen sicheren Elements unberührt lassen, wenn die Übergangsmaßnahme davon abhängig ist.

(30)

Europäische Brieftaschen für die Digitale Identität sollten für die Zwecke der elektronischen Identifizierung und Authentifizierung ein Höchstmaß an Datenschutz und Sicherheit gewährleisten, um den Zugang zu öffentlichen und privaten Diensten zu ermöglichen, unabhängig davon, ob diese Daten lokal oder über cloudgestützte Lösungen gespeichert werden, wobei den unterschiedlichen Risikostufen gebührend Rechnung zu tragen ist.

(31)

Europäische Brieftaschen für die Digitale Identität sollten über konzeptintegrierte Sicherheit verfügen und fortschrittliche Sicherheitsmerkmale aufweisen, um vor Identitätsdiebstahl und anderem Datendiebstahl, Verhinderung von Diensten (Denial of Service) und sonstigen Cyberbedrohungen zu schützen. Diese Sicherheit sollte dem Stand der Technik entsprechende Verschlüsselungs- und Speichermethoden umfassen, die nur dem Nutzer zugänglich sind und ausschließlich von ihm entschlüsselt werden können, und auf einer durchgängig verschlüsselten Kommunikation mit anderen europäischen Brieftaschen für die Digitale Identität und vertrauenden Beteiligten beruhen. Zudem sollten europäische Brieftaschen für die Digitale Identität eine sichere, ausdrückliche und aktive Bestätigung von Nutzern für die über europäische Brieftaschen für die Digitale Identität getätigten Vorgänge erfordern.

(32)

Die kostenlose Nutzung von europäischen Brieftaschen für die Digitale Identität sollte nicht zur Verarbeitung von Daten führen, die über die für die Erbringung von europäischen Brieftaschen für die Digitale Identität-Diensten erforderlichen Daten hinausgeht. Diese Verordnung sollte die Verarbeitung personenbezogener Daten, die in der europäischen Brieftasche für die Digitale Identität gespeichert sind oder sich aus der Nutzung der europäischen Brieftasche für die Digitale Identität ergeben, durch den Anbieter der europäischen Brieftasche für die Digitale Identität für andere Zwecke als die Erbringung von europäischen Brieftaschen für die Digitale Identität-Diensten nicht zulassen. Um den Schutz der Privatsphäre zu gewährleisten, sollten Anbieter von europäischen Brieftaschen für die Digitale Identität Unbeobachtbarkeit gewährleisten, indem sie keine Daten erfassen und keinen Einblick in die Transaktionen der Nutzer der europäischen Brieftasche für die Digitale Identität haben. Diese Unbeobachtbarkeit bedeutet, dass die Anbieter nicht in der Lage sind, die Einzelheiten der vom Nutzer getätigten Transaktionen einzusehen. In spezifischen Fällen, die auf der vorherigen ausdrücklichen Einwilligung von Nutzern für jeden dieser spezifischen Fälle beruhen, und in vollständigem Einklang mit der Verordnung (EU) 2016/679 könnte Anbietern von europäischen Brieftaschen für die Digitale Identität jedoch Zugang zu den Informationen gewährt werden, die für die Erbringung eines bestimmten Dienstes im Zusammenhang mit europäischen Brieftaschen für die Digitale Identität erforderlich sind.

(33)

Die Transparenz von europäischen Brieftaschen für die Digitale Identität und die Rechenschaftspflicht ihrer Anbieter sind Schlüsselelemente, um soziales Vertrauen zu schaffen und die Akzeptanz des Rahmens herzustellen. Die Funktionsweise der europäischen Brieftaschen für die Digitale Identität sollte daher transparent sein und insbesondere die überprüfbare Verarbeitung personenbezogener Daten ermöglichen. Um dies zu erreichen, sollten die Mitgliedstaaten den Quellcode der Nutzeranwendungssoftwarekomponenten von europäischen Brieftaschen für die Digitale Identität, einschließlich derjenigen, die mit der Verarbeitung von personenbezogenen Daten und Daten von juristischen Personen in Zusammenhang stehen, offenlegen. Die Veröffentlichung dieses Quellcodes im Rahmen einer Open-Source-Lizenz sollte es der Gesellschaft, einschließlich Nutzern und Entwicklern, ermöglichen, seine Funktionsweise zu verstehen und den Code zu prüfen und zu überarbeiten. Dies würde das Vertrauen der Nutzer in das Ökosystem erhöhen und zur Sicherheit von europäischen Brieftaschen für die Digitale Identität beitragen, indem jeder die Möglichkeit erhält, Schwachstellen und Fehler im Code zu melden. Insgesamt sollte dies Herstellern einen Anreiz bieten, Produkte mit einem hohen Maß an Sicherheit bereitzustellen und zu pflegen. In bestimmten Fällen könnte die Offenlegung des Quellcodes der verwendeten Bibliotheken, des Kommunikationskanals oder anderer Elemente, die nicht auf dem Gerät des Nutzers gehostet werden, von Mitgliedstaaten aus hinreichend gerechtfertigten Gründen, insbesondere zum Zweck der öffentlichen Sicherheit, jedoch eingeschränkt werden.

(34)

Die Nutzung von europäischen Brieftaschen für die Digitale Identität sowie die Beendigung ihrer Nutzung sollten das ausschließliche Recht und die Entscheidung von Nutzern sein. Die Mitgliedstaaten sollten einfache und sichere Verfahren entwickeln, damit die Nutzer den sofortigen Widerruf der Gültigkeit von europäischen Brieftaschen für die Digitale Identität beantragen können, auch im Fall von Verlust oder Diebstahl. Für den Fall des Todes des Nutzers oder der Einstellung der Tätigkeit einer juristischen Person sollte ein Mechanismus geschaffen werden, der es der für die Regelung des Nachlasses der natürlichen Person oder des Vermögens der juristischen Person zuständigen Behörde ermöglicht, den sofortigen Widerruf von europäischen Brieftaschen für die Digitale Identität zu beantragen.

(35)

Um die Verbreitung von europäischen Brieftaschen für die Digitale Identität und die breitere Nutzung digitaler Identitäten zu fördern, sollten die Mitgliedstaaten nicht nur für die Vorteile der einschlägigen Dienste werben, sondern auch in Zusammenarbeit mit dem Privatsektor, Forschern und der Wissenschaft Schulungsprogramme entwickeln, die darauf abzielen, die digitalen Kompetenzen ihrer Bürger und der in ihnen ansässigen Personen zu stärken, insbesondere für schutzbedürftige Gruppen wie etwa Menschen mit Behinderungen und ältere Menschen. Ferner sollten die Mitgliedstaaten im Wege von Kommunikationskampagnen auf die Vorteile und Risiken von europäischen Brieftaschen für die Digitale Identität aufmerksam machen.

(36)

Damit der europäische Rahmen für eine digitale Identität offen für Innovation und technologische Entwicklung sowie zukunftssicher ist, werden die Mitgliedstaaten ermutigt, gemeinsam Reallabore einzurichten, um innovative Lösungen in einem kontrollierten und sicheren Umfeld zu erproben und insbesondere die Funktionen, den Schutz personenbezogener Daten, die Sicherheit und die Interoperabilität der Lösungen zu verbessern und in Bezug auf technische Referenzen und rechtliche Anforderungen eine Informationsgrundlage für künftige Aktualisierungen zu schaffen. Dieses Umfeld sollte die Einbeziehung von KMU, Start-up-Unternehmen und einzelnen Innovatoren und Forschern sowie einschlägigen Interessenträgern aus der Industrie fördern. Solche Initiativen sollten dazu beitragen und unterstützen, dass europäische Brieftaschen für die Digitale Identität, die Unionsbürgern und in der Union ansässigen Personen zur Verfügung gestellt werden sollen, den Rechtsvorschriften entsprechen und technisch robust sind, und so die Entwicklung von Lösungen verhindern, die nicht dem Datenschutzrecht der Union entsprechen oder Sicherheitslücken aufweisen.

(37)

Mit der Verordnung (EU) 2019/1157 des Europäischen Parlaments und des Rates11 wird die Sicherheit von Personalausweisen mit verbesserten Sicherheitsmerkmalen ab August 2021 erhöht. Die Mitgliedstaaten sollten prüfen, ob es möglich ist, diese im Rahmen elektronischer Identifizierungssysteme zu notifizieren, um die grenzübergreifende Verfügbarkeit elektronischer Identifizierungsmittel auszuweiten.

(38)

Das Notifizierungsverfahren für elektronische Identifizierungssysteme sollte vereinfacht und beschleunigt werden, um den Zugang zu benutzerfreundlichen, vertrauenswürdigen, sicheren und innovativen Authentifizierungs- und Identifizierungslösungen zu fördern und gegebenenfalls private Identitätsanbieter zu ermutigen, den Behörden der Mitgliedstaaten elektronische Identifizierungssysteme zur Notifizierung als nationale elektronische Identifizierungssysteme gemäß der Verordnung (EU) Nr. 910/2014 anzubieten.

(39)

Die Straffung der derzeitigen Verfahren für die Notifizierung und die gegenseitige Begutachtung wird heterogene Ansätze bei der Bewertung verschiedener notifizierter elektronischer Identifizierungssysteme vermeiden und zur Vertrauensbildung zwischen den Mitgliedstaaten beitragen. Neue, vereinfachte Mechanismen zielen darauf ab, die Zusammenarbeit der Mitgliedstaaten in Bezug auf die Sicherheit und Interoperabilität ihrer notifizierten elektronischen Identifizierungssysteme zu fördern. .

(40)

Die Mitgliedstaaten sollten sich neue, flexible Instrumente zunutze machen, um die Einhaltung der in dieser Verordnung und in den auf ihrer Grundlage erlassenen einschlägigen Durchführungsrechtsakten festgelegten Anforderungen sicherzustellen. Diese Verordnung sollte es den Mitgliedstaaten ermöglichen, auf Berichte und Bewertungen akkreditierter Konformitätsbewertungsstellen, wie sie im Zusammenhang mit Zertifizierungssystemen vorgesehen sind, die auf Unionsebene gemäß der Verordnung (EU) 2019/881 eingerichtet werden, zurückzugreifen, um ihre Angaben hinsichtlich der Angleichung der Systeme oder von Teilen davon an die vorliegende Verordnung (EU) Nr. 910/2014 zu belegen.

(41)

Öffentliche Diensteanbieter verwenden die Personenidentifizierungsdaten, die über elektronische Identifizierungsmittel gemäß der Verordnung (EU) Nr. 910/2014 verfügbar sind, um die elektronische Identität der Nutzer aus anderen Mitgliedstaaten mit den Personenidentifizierungsdaten abzugleichen, die diesen Nutzern in dem Mitgliedstaat, der den grenzüberschreitenden Identitätsabgleich durchführt, zur Verfügung gestellt werden. Trotz der Verwendung des Mindestdatensatzes, der im Rahmen der notifizierten elektronischen Identifizierungssysteme bereitgestellt wird, sind für die Gewährleistung eines genauen Identitätsabgleichs, wenn Mitgliedstaaten als vertrauende Beteiligte auftreten, in vielen Fällen jedoch zusätzliche Informationen über den Nutzer und spezifische ergänzende Verfahren zur eindeutigen Identifizierung auf nationaler Ebene erforderlich. Um die Verwendbarkeit elektronischer Identifizierungsmittel weiter zu verbessern, bessere öffentliche Online-Dienste bereitzustellen und die Rechtssicherheit in Bezug auf die elektronische Identität der Nutzer zu erhöhen, sollte die Verordnung (EU) Nr. 910/2014 die Mitgliedstaaten verpflichten, spezifische Online-Maßnahmen zu ergreifen, um einen eindeutigen Identitätsabgleich zu gewährleisten, wenn Nutzer beabsichtigen, auf grenzüberschreitende öffentliche Dienste online zuzugreifen.

(42)

Bei der Entwicklung von europäischen Brieftaschen für die Digitale Identität müssen die Bedürfnisse von Nutzern unbedingt berücksichtigt werden. Sinnvolle Anwendungsfälle und Online-Dienste sollten verfügbar sein, die auf die europäischen Brieftaschen für die Digitale Identität gestützt sind. Im Interesse der Benutzerfreundlichkeit, und um die grenzüberschreitende Verfügbarkeit solcher Dienste zu gewährleisten, ist es wichtig, Maßnahmen zu ergreifen, um einen ähnlichen Ansatz für die Gestaltung, die Entwicklung und die Umsetzung von Online-Diensten in allen Mitgliedstaaten zu ermöglichen. Unverbindliche Leitlinien für die Gestaltung, Entwicklung und Einführung von OnlineDiensten, die auf die europäischen Brieftaschen für die Digitale Identität gestützt sind, könnten ein nützliches Instrument zur Erreichung dieses Ziels sein. Derartige Leitlinien sollten unter Berücksichtigung des Interoperabilitätsrahmens der Union erstellt werden. Den Mitgliedstaaten sollte eine führende Rolle bei der Annahme dieser Leitlinien zukommen.

(43)

Gemäß der Richtlinie (EU) 2019/882 des Europäischen Parlaments und des Rates12 sollten Menschen mit Behinderungen in der Lage sein, europäische Brieftaschen für die Digitale Identität, Vertrauensdienste und Endnutzerprodukte, die bei der Bereitstellung dieser Dienste eingesetzt werden, gleichberechtigt mit anderen Nutzern zu verwenden.

(44)

Um eine wirksame Durchsetzung dieser Verordnung zu gewährleisten, sollte sowohl für qualifizierte als auch für nichtqualifizierte Vertrauensdiensteanbieter eine Untergrenze für das Höchstmaß an Geldbußen festgelegt werden. Die Mitgliedstaaten sollten wirksame, verhältnismäßige und abschreckende Sanktionen vorsehen. Bei der Festlegung der Sanktionen sollten die Größe der betroffenen Einrichtungen, ihre Geschäftsmodelle und die Schwere der Verstöße gebührend berücksichtigt werden.

(45)

Die Mitgliedstaaten sollten Vorschriften über Sanktionen für Verstöße wie etwa direkte oder indirekte Praktiken, die zu Verwechslungen zwischen nichtqualifizierten und qualifizierten Vertrauensdiensten oder zur missbräuchlichen Verwendung des EUVertrauenssiegels durch nichtqualifizierte Vertrauensdiensteanbieter führen, festlegen. Das EU-Vertrauenssiegel sollte nicht unter Bedingungen verwendet werden, die direkt oder indirekt den Eindruck erwecken, dass es sich bei den von diesen Anbietern bereitgestellten nichtqualifizierten Vertrauensdienste um qualifizierte Dienste handelt.

(46)

Diese Verordnung sollte ich nicht auf Aspekte im Zusammenhang mit dem Abschluss und der Gültigkeit von Verträgen oder anderen rechtlichen Verpflichtungen erstrecken, für die nach Unionsrecht oder nationalem Recht Formvorschriften bestehen. Unberührt bleiben sollten ferner auch nationale Formvorschriften für öffentliche Register, insbesondere Handelsregister und Grundbücher.

(47)

Die Bereitstellung und Verwendung von Vertrauensdiensten und die damit verbundenen Vorteile in Bezug auf Komfort und Rechtssicherheit im Zusammenhang mit grenzüberschreitenden Transaktionen, insbesondere bei der Verwendung qualifizierter Vertrauensdienste, gewinnt für den internationalen Handel und die internationale Zusammenarbeit zunehmend an Bedeutung. Die internationalen Partner der Union richten Vertrauensrahmen ein, die sich an der Verordnung (EU) Nr. 910/2014 orientieren. Um die Anerkennung qualifizierter Vertrauensdienste und ihrer Anbieter zu erleichtern, kann die Kommission Durchführungsrechtsakte erlassen, um die Bedingungen festzulegen, unter denen Vertrauensrahmen von Drittländern als gleichwertig mit dem in dieser Verordnung festgelegten Vertrauensrahmen für qualifizierte Vertrauensdienste und deren Anbieter angesehen werden könnten. Ein solcher Ansatz sollte die Möglichkeit der gegenseitigen Anerkennung von in Drittländern niedergelassenen Vertrauensdiensten und deren Anbietern im Einklang mit Artikel 218 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) ergänzen. Bei der Festlegung der Bedingungen, unter denen die Vertrauensrahmen von Drittländern als gleichwertig mit dem in der Verordnung (EU) Nr. 910/2014 festgelegten Vertrauensrahmen für qualifizierte Vertrauensdienste und deren Anbieter angesehen werden könnten, sollten die Einhaltung der einschlägigen Bestimmungen der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates13 und der Verordnung (EU) 2016/679 sowie die Verwendung von Vertrauenslisten als wesentliche Elemente zur Vertrauensbildung sichergestellt werden.

(48)

Diese Verordnung sollte die Auswahl und die Möglichkeit des Wechsels zwischen europäischen Brieftaschen für die Digitale Identität fördern, wenn ein Mitgliedstaat in seinem Hoheitsgebiet mehr als eine Lösung für die europäische Brieftasche für die Digitale Identität zugelassen hat. Um in solchen Situationen Sperreffekte zu vermeiden, sollten die Anbieter von europäischen Brieftaschen für die Digitale Identität, soweit dies technisch machbar ist, die effektive Übertragbarkeit von Daten auf Antrag von europäischen Brieftaschen für die Digitale Identität-Nutzern gewährleisten und keine vertraglichen, wirtschaftlichen oder technischen Hindernisse nutzen dürfen, um einen effektiven Wechsel zwischen verschiedenen europäischen Brieftaschen für die Digitale Identität zu verhindern oder zu erschweren.

(49)

Um das ordnungsgemäße Funktionieren von europäischen Brieftaschen für die Digitale Identität zu gewährleisten, benötigen Anbieter von europäischen Brieftaschen für die Digitale Identität effektive Interoperabilität und faire, angemessene und diskriminierungsfreie Bedingungen für den Zugang von europäischen Brieftaschen für die Digitale Identität zu spezifischen Hardware- und Softwarefunktionen mobiler Geräte. Diese Komponenten könnten insbesondere Nahfeldkommunikationsantennen und sichere Elemente, einschließlich universeller integrierter Schaltkreise, eingebetteter sicherer Elemente, microSD-Karten und Bluetooth Low Energy, umfassen. Der Zugang zu diesen Komponenten könnte unter der Kontrolle von Mobilfunknetzbetreibern und Geräteherstellern stehen. Daher sollten Originalgerätehersteller mobiler Geräte oder Anbieter elektronischer Kommunikationsdienste den Zugang zu solchen Komponenten nicht verwehren, wenn dies für die Erbringung der Dienste von europäischen Brieftaschen für die Digitale Identität erforderlich ist. Zudem sollten die Unternehmen, die von der Kommission gemäß der Verordnung (EU) 2022/1925 des Europäischen Parlaments und des Rates14 als Torwächter für zentrale Plattformdienste benannt wurden, weiterhin den spezifischen Bestimmungen jener Verordnung unterliegen, gestützt auf deren Artikel 6 Absatz 7.

(50)

Zur Straffung der Cybersicherheitsverpflichtungen, die Vertrauensdiensteanbietern auferlegt werden, und damit diese Anbieter und ihre jeweiligen zuständigen Behörden von dem durch die Richtlinie (EU) 2022/2555 geschaffenen Rechtsrahmen profitieren können, müssen Vertrauensdienste geeignete technische und organisatorische Maßnahmen gemäß jener Richtlinie ergreifen, etwa Maßnahmen für den Umgang mit Systemfehlern, menschlichen Fehlern, böswilligen Handlungen oder natürlichen Phänomenen, um die Risiken für die Sicherheit der von diesen Anbietern bei der Erbringung ihrer Dienste genutzten Netz- und Informationssysteme zu beherrschen und erhebliche Sicherheitsvorfälle und Cyberbedrohungen im Einklang mit jener Richtlinie zu melden. In Bezug auf die Meldung von Sicherheitsvorfällen sollten Vertrauensdiensteanbieter alle Sicherheitsvorfälle melden, die erhebliche Auswirkungen auf die Erbringung ihrer Dienste haben, einschließlich solcher, die durch Diebstahl oder Verlust von Geräten, Netzkabelschäden oder durch Vorfälle im Zusammenhang mit der Identifizierung von Personen verursacht werden. Die Anforderungen an das Cybersicherheitsrisikomanagement und die Meldepflichten gemäß der Richtlinie (EU) 2022/2555 sollten als Ergänzung zu den Anforderungen betrachtet werden, die Vertrauensdiensteanbietern mit der vorliegenden Verordnung auferlegt werden. Gegebenenfalls sollten die gemäß der Richtlinie (EU) 2022/2555 benannten zuständigen Behörden die Anwendung der bestehenden nationalen Praktiken oder Leitlinien zur Umsetzung der Sicherheits- und Berichterstattungsanforderungen und der Überwachung der Einhaltung dieser Anforderungen gemäß der Verordnung (EU) Nr. 910/2014 fortsetzen. Die vorliegende Verordnung lässt die Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679 unberührt.

(51)

Es sollte gebührend darauf geachtet werden, dass eine wirksame Zusammenarbeit zwischen den gemäß Artikel 46b der Verordnung (EU) Nr. 910/2014 benannten Aufsichtsstellen und den gemäß Artikel 8 Absatz 1 der Richtlinie (EU) 2022/2555 benannten oder eingerichteten zuständigen Behörden gewährleistet ist. Handelt es sich bei einer solchen Aufsichtsstelle nicht um eine solche zuständige Behörde, so sollten sie eng und zeitnah zusammenarbeiten, indem sie einschlägige Informationen austauschen, um sicherzustellen, dass Vertrauensdiensteanbieter wirksam beaufsichtigt werden und die Anforderungen der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2022/2555 einhalten. Insbesondere sollten gemäß der Verordnung (EU) Nr. 910/2014 benannte Aufsichtsstellen befugt sein, gemäß der Richtlinie (EU) 2022/2555 benannte oder eingerichtete zuständige Behörden aufzufordern, einschlägige Informationen zu übermitteln, die erforderlich sind, um den Qualifikationsstatus zu verleihen und Aufsichtsmaßnahmen zur Überprüfung der Erfüllung der einschlägigen Anforderungen gemäß der Richtlinie (EU) 2022/2555 durch die Vertrauensdiensteanbieter durchzuführen, oder diese aufzufordern, die Nichterfüllung zu beheben.

(52)

Es ist von wesentlicher Bedeutung, dass ein Rechtsrahmen geschaffen wird, um die grenzüberschreitende Anerkennung zwischen den bestehenden nationalen rechtlichen Regelungen in Bezug auf Dienste für die Zustellung elektronischer Einschreiben zu erleichtern. Dieser Rahmen könnte Vertrauensdiensteanbietern der Union außerdem neue Marktchancen eröffnen, unionsweit neue Dienste für die Zustellung elektronischer Einschreiben anzubieten. Um sicherzustellen, dass Daten unter Verwendung eines qualifizierten Dienstes für die Zustellung elektronischer Einschreiben an den korrekten Empfänger zugestellt werden, sollten qualifizierte Dienste für die Zustellung elektronischer Einschreiben die Identifizierung des Empfängers mit vollständiger Sicherheit gewährleisten, während für die Identifizierung des Absenders ein hohes Maß an Vertrauen ausreichen würde. Die Anbieter qualifizierter Dienste für die Zustellung elektronischer Einschreiben sollten von den Mitgliedstaaten dazu angehalten werden, ihre Dienste mit den qualifizierten Diensten für die Zustellung elektronischer Einschreiben, die von anderen qualifizierten Vertrauensdiensteanbietern bereitgestellt werden, interoperabel zu machen, damit Daten elektronischer Einschreiben einfach zwischen zwei oder mehr qualifizierten Vertrauensdiensteanbietern übertragen werden können und faire Praktiken im Binnenmarkt gefördert werden.

(53)

In den meisten Fällen ist es Unionsbürgern und in der Union ansässigen Personen nicht möglich, digitale Informationen über ihre Identität wie ihre Anschrift, ihr Alter, ihre beruflichen Qualifikationen, ihren Führerschein und andere Berechtigungen sowie Zahlungsdaten sicher und mit einem hohen Datenschutzniveau grenzüberschreitend auszutauschen.

(54)

Es sollte möglich sein, vertrauenswürdige elektronische Attribute auszustellen und zu verwenden und zur Verringerung des Verwaltungsaufwands beizutragen und Unionsbürger und in der Union ansässige Personen damit in die Lage zu versetzen, diese für private und öffentliche Transaktionen zu nutzen. So sollten Unionsbürger und in der Union ansässige Personen beispielsweise nachweisen können, dass sie im Besitz eines gültigen Führerscheins sind, der von einer Behörde in einem Mitgliedstaat ausgestellt wurde und von einschlägigen Behörden in anderen Mitgliedstaaten überprüft und als vertrauenswürdig betrachtet werden kann, oder ihre Sozialversicherungsdaten oder künftige digitale Reisedokumente im grenzüberschreitenden Kontext verwenden können.

(55)

Jeder Diensteanbieter, der bescheinigte Attribute in elektronischer Form ausstellt, wie Abschlusszeugnisse, Führerscheine, Geburtsurkunden oder Vollmachten und Mandate zur Vertretung oder zum Handeln im Namen natürlicher oder juristischer Personen, sollte als Vertrauensdiensteanbieter elektronischer Attributsbescheinigungen angesehen werden. Einer elektronischen Attributsbescheinigung sollte die Rechtswirkung nicht deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt oder nicht alle Anforderungen einer qualifizierten elektronischen Attributsbescheinigung erfüllt. Es sollten allgemeine Anforderungen festgelegt werden, damit qualifizierte elektronische Attributsbescheinigungen die gleiche Rechtswirkung haben wie rechtmäßig ausgestellte Bescheinigungen in Papierform. Diese Anforderungen sollten jedoch Rechtsvorschriften der Union oder der Mitgliedstaaten, die zusätzliche sektorspezifische Vorschriften bezüglich der Form mit damit verbundenen Rechtswirkungen sowie insbesondere die etwaige grenzübergreifende Anerkennung qualifizierter elektronischer Attributsbescheinigungen festlegen, unberührt lassen.

(56)

Die breite Verfügbarkeit und Nutzbarkeit von europäischen Brieftaschen für die Digitale Identität sollte ihre Akzeptanz und das Vertrauen in sie sowohl bei Privatpersonen als auch bei privaten Diensteanbietern erhöhen. Daher sollten private vertrauende Beteiligte, die Dienstleistungen zum Beispiel in den Bereichen Verkehr, Energie, Bankwesen und Finanzdienstleistungen, soziale Sicherheit, Gesundheit, Wasserversorgung, Postdienste, digitale Infrastruktur, Telekommunikation oder Bildung erbringen, die Nutzung von europäischen Brieftaschen für die Digitale Identität für die Erbringung von Diensten akzeptieren, bei denen nach Unionsrecht oder nationalem Recht oder aufgrund vertraglicher Verpflichtungen eine starke Nutzerauthentifizierung für die Online-Identifizierung erforderlich ist. Jedes Ersuchen des vertrauenden Beteiligten um Informationen vom Nutzer einer europäischen Brieftasche für die Digitale Identität sollte für die beabsichtigte Verwendung in einem gegebenen Fall notwendig und verhältnismäßig sein, mit dem Grundsatz der Datenminimierung im Einklang stehen und Transparenz darüber gewährleisten, welche Daten zu welchen Zwecken weitergegeben werden. Um die Verwendung und Akzeptanz von europäischen Brieftaschen für die Digitale Identität zu erleichtern, sollten bei ihrer Einführung weithin anerkannte Industrienormen und Spezifikationen berücksichtigt werden.

(57)

Wenn sehr große Online-Plattformen im Sinne des Artikels 33 Absatz 1 der Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates15 die Authentifizierung der Nutzer für den Zugang zu Online-Diensten verlangen, sollten diese Plattformen dazu verpflichtet werden, auf freiwilliges Verlangen des Nutzers auch die Verwendung der europäischen Brieftaschen für die Digitale Identität zu akzeptieren. Die Nutzer sollten nicht verpflichtet sein, eine europäische Brieftasche für die Digitale Identität für den Zugang zu privaten Diensten zu nutzen, und sollten in ihrem Zugang zu Diensten nicht aus dem Grund eingeschränkt oder behindert werden, dass sie keine europäische Brieftasche für die Digitale Identität nutzen. Wenn Nutzer dies jedoch wünschen, sollten sehr große Online-Plattformen sie zu diesem Zweck akzeptieren, wobei der Grundsatz der Datenminimierung und das Recht der Nutzer, frei gewählte Pseudonyme zu verwenden, zu achten sind. Die Pflicht, europäische Brieftaschen für die Digitale Identität zu akzeptieren, ist angesichts der Bedeutung, die sehr große Online-Plattformen aufgrund ihrer Reichweite, insbesondere in Bezug auf die Zahl der Diensteempfänger und der wirtschaftlichen Transaktionen haben, notwendig, um die Nutzer besser vor Betrug zu schützen und ein hohes Datenschutzniveau zu gewährleisten.

(58)

Es sollten Verhaltenskodizes auf Unionsebene ausgearbeitet werden, um zu einer breiten Verfügbarkeit und Nutzbarkeit elektronischer Identifizierungsmittel, einschließlich europäischer Brieftaschen für die Digitale Identität, im Anwendungsbereich dieser Verordnung beizutragen. Die Verhaltenskodizes sollten die breite Akzeptanz elektronischer Identifizierungsmittel, einschließlich europäischer Brieftaschen für die Digitale Identität, durch diejenigen Diensteanbieter erleichtern, die nicht als sehr große Plattformen gelten und die zur Nutzerauthentifizierung auf externe elektronische Identifizierungsdienste angewiesen sind.

(59)

Die selektive Offenlegung ist ein Konzept, das den Eigentümer von Daten dazu ermächtigt, nur bestimmte Teile größerer Datensätze offenzulegen, damit der Empfänger nur diejenigen Informationen erhält, die für die Erbringung des von einem Nutzer angeforderten Dienstes notwendig sind. Die europäische Brieftasche für die Digitale Identität sollte es technisch ermöglichen, Attribute gegenüber vertrauenden Beteiligten selektiv offenzulegen. Es sollte dem Nutzer technisch möglich sein, Attribute selektiv offenzulegen, auch aus mehreren unterschiedlichen elektronischen Bescheinigungen, und diese zusammenzulegen und den vertrauenden Beteiligten nahtlos vorzulegen. Dieses Merkmal sollte ein grundlegendes Gestaltungsmerkmal von europäischen Brieftaschen für die Digitale Identität werden, das die Benutzerfreundlichkeit und den Schutz personenbezogener Daten, einschließlich der Datenminimierung, verbessert.

(60)	Sofern Nutzer nicht aufgrund spezifischer Vorschriften des Unionsrechts oder des nationalen Rechts verpflichtet sind, sich zu identifizieren, sollte der Zugang zu Diensten unter Verwendung eines Pseudonyms nicht verboten sein.

(61)

Attribute, die von qualifizierten Vertrauensdiensteanbietern im Rahmen qualifizierter Attributsbescheinigungen vorgelegt werden, sollten entweder direkt vom qualifizierten Vertrauensdiensteanbieter oder über benannte Vermittler, die auf nationaler Ebene nach Unionsrecht oder nationalem Recht für den sicheren Austausch bescheinigter Attribute zwischen Diensteanbietern von Identitäten oder Attributsbescheinigungen und vertrauenden Beteiligten anerkannt sind, anhand authentischer Quellen überprüft werden. Die Mitgliedstaaten sollten auf nationaler Ebene geeignete Mechanismen errichten, um sicherzustellen, dass qualifizierte Vertrauensdiensteanbieter, die qualifizierte elektronische Attributsbescheinigungen ausstellen, in der Lage sind, auf der Grundlage der Zustimmung der Person, der die Bescheinigung ausgestellt wird, die Authentizität der Attribute, die aus authentischen Quellen stammen, zu überprüfen. Es sollte möglich sein, dass zu diesen geeigneten Mechanismen der Rückgriff auf spezifische Vermittler oder technische Lösungen gemäß nationalem Recht gehören, die den Zugang zu authentischen Quellen ermöglichen. Die Gewährleistung der Verfügbarkeit eines Mechanismus, der die Überprüfung von Attributen anhand authentischer Quellen ermöglicht, bezweckt die Erleichterung der Einhaltung der in der Verordnung (EU) Nr. 910/2014 festgelegten Verpflichtungen durch qualifizierte Vertrauensdiensteanbieter in Bezug auf die Ausstellung qualifizierter elektronischer Attributsbescheinigungen. Ein neuer Anhang jener Verordnung sollte eine Liste mit Kategorien von Attributen enthalten, für die die Mitgliedstaaten sicherstellen müssen, dass Maßnahmen ergriffen werden, um es qualifizierten Anbietern elektronischer Attributsbescheinigungen zu ermöglichen, auf Antrag des Nutzers die Authentizität anhand der einschlägigen authentischen Quelle mit elektronischen Mitteln zu überprüfen.

(62)

Die sichere elektronische Identifizierung und die Bereitstellung von Attributsbescheinigungen sollten zusätzliche Flexibilität und Lösungen für den Finanzdienstleistungssektor bieten, um die Identifizierung von Kunden und den Austausch bestimmter Attribute zu ermöglichen, die erforderlich sind, um beispielsweise den Sorgfaltspflichten gegenüber Kunden im Rahmen einer künftigen Verordnung zur Errichtung der Behörde zur Bekämpfung der Geldwäsche zu genügen, sich aus dem Anlegerschutzrecht ergebende Eignungsanforderungen zu erfüllen oder um die Erfüllung der Erfordernisse einer starken Kundenauthentifizierung für die Online-Identifizierung für die Zwecke der Kontoanmeldung und der Auslösung von Zahlungsvorgängen zu unterstützen.

(63)

Die Rechtswirkung einer elektronischen Signatur kann nicht aus dem Grund angefochten werden, dass sie in elektronischer Form vorliegt oder die Anforderungen der qualifizierten elektronischen Signatur nicht erfüllt. Die Rechtswirkung elektronischer Signaturen sollte jedoch im nationalen Recht festgelegt werden, mit Ausnahme der in dieser Verordnung festgelegten Anforderungen, wonach die Rechtswirkung einer qualifizierten elektronischen Signatur der einer handschriftlichen Unterschrift entsprechen sollte. Bei der Bestimmung der Rechtswirkungen elektronischer Signaturen sollten die Mitgliedstaaten dem Grundsatz der Verhältnismäßigkeit zwischen dem rechtlichen Wert eines zu unterzeichnenden Dokuments und dem für eine elektronische Signatur erforderlichen Maß an Sicherheit und Kosten Rechnung tragen. Um die Zugänglichkeit und Verwendung elektronischer Signaturen zu verbessern, werden die Mitgliedstaaten ermutigt, die Verwendung fortgeschrittener elektronischer Signaturen bei den alltäglichen Transkationen zu erwägen, für die sie ein ausreichendes Maß an Sicherheit und Vertrauen bieten.

(64)

Um die unionsweite Einheitlichkeit der Zertifizierungspraxis zu gewährleisten, sollte die Kommission Leitlinien für die Zertifizierung und Neuzertifizierung qualifizierter elektronischer Signaturerstellungseinheiten und qualifizierter elektronischer Siegelerstellungseinheiten, einschließlich ihrer Gültigkeit und zeitlichen Begrenzung, erteilen. Diese Verordnung hindert die öffentlichen oder privaten Stellen, die qualifizierte elektronische Signaturerstellungseinheiten zertifiziert haben, nicht daran, diese Einheiten vorübergehend für einen kurzen Zertifizierungszeitraum auf der Grundlage der Ergebnisse des vorherigen Zertifizierungsverfahrens erneut zu zertifizieren, wenn eine solche erneute Zertifizierung aus einem anderen Grund als einer Sicherheitsverletzung oder einem Sicherheitsvorfall nicht innerhalb des gesetzlich festgelegten Zeitrahmens durchgeführt werden kann; dies gilt unbeschadet der Pflicht zur Durchführung einer Schwachstellenbeurteilung und unbeschadet der geltenden Zertifizierungspraxis.

(65)

Die Ausstellung von Zertifikaten für die Website-Authentifizierung dient dazu, den Nutzern ein hohes Maß an Vertrauen in die Identität der hinter der Website stehenden Einrichtung zu geben, unabhängig von der für die Darstellung dieser Identität verwendeten Plattform. Diese Zertifikate sollten zur Vertrauensbildung in der Abwicklung des elektronischen Geschäftsverkehrs beitragen, da die Nutzer einer authentifizierten Website vertrauen würden. Die Nutzung dieser Zertifikate durch Websites sollte auf freiwilliger Basis erfolgen. Damit die Website-Authentifizierung zu einem Mittel wird, mit dem das Vertrauen gestärkt wird, der Nutzer positivere Erfahrungen machen kann und das Wachstum im Binnenmarkt gefördert wird, wird in dieser Verordnung ein Vertrauensrahmen festgelegt, der Mindestanforderungen an Sicherheit und Haftung für die Anbieter qualifizierter Zertifikate für die Website-Authentifizierung und Anforderungen an die Ausstellung dieser Zertifikate umfasst. Nationale Vertrauenslisten sollten den qualifizierten Status von Website-Authentifizierungsdiensten und ihrer Vertrauensdiensteanbieter bestätigen, einschließlich ihrer vollständigen Einhaltung der Anforderungen dieser Verordnung in Bezug auf die Ausstellung qualifizierter Zertifikate für die WebsiteAuthentifizierung. Die Anerkennung qualifizierter Zertifikate für die WebsiteAuthentifizierung bedeutet, dass die Anbieter von Webbrowsern die Echtheit qualifizierter Zertifikate für die Website-Authentifizierung allein zu dem Zweck, die Verbindung zwischen dem Domänennamen der Website und der natürlichen oder juristischen Person, der das Zertifikat ausgestellt wird, zu bescheinigen oder die Identität dieser Person zu bestätigen, nicht zurückweisen sollte. Anbieter von Webbrowsern sollten dem Endnutzer die zertifizierten Identitätsdaten und die anderen bescheinigten Attribute auf benutzerfreundliche Weise in der Browserumgebung mit dem technischen Mittel ihrer Wahl anzeigen. Zu diesem Zweck sollten Anbieter von Webbrowsern die Unterstützung und Interoperabilität mit qualifizierten Zertifikaten für die Website-Authentifizierung, die in voller Übereinstimmung mit dieser Verordnung ausgestellt wurden, sicherstellen. Die Pflicht zur Anerkennung, Interoperabilität und Unterstützung qualifizierter Zertifikate für die Website-Authentifizierung berührt nicht die Freiheit der Anbieter von Webbrowsern, die Websicherheit, die Domänenauthentifizierung und die Verschlüsselung des Webverkehrs in der Weise und mit der Technologie sicherzustellen, die sie für am besten geeignet halten. Um zur Online-Sicherheit von Endnutzern beizutragen, sollten Anbieter von Webbrowsern unter außergewöhnlichen Umständen in der Lage sein, Vorsorgemaßnahmen zu ergreifen, die sowohl notwendig als auch verhältnismäßig sind, um auf begründete Bedenken hinsichtlich Sicherheitsverletzungen oder des Integritätsverlusts eines bestimmten Zertifikats oder eines Satzes von Zertifikaten zu reagieren. Wenn sie solche Vorsorgemaßnahmen ergreifen, sollten Anbieter von Webbrowsern der Kommission, der nationalen Aufsichtsstelle, der Einrichtung, der das Zertifikat ausgestellt wurde, und dem qualifizierten Vertrauensdiensteanbieter, der das Zertifikat oder den Satz von Zertifikaten ausgestellt hat, unverzüglich etwaige Bedenken hinsichtlich einer solchen Sicherheitsverletzung oder eines solchen Integritätsverlustes sowie die in Bezug auf das einzelne Zertifikat oder eines Satzes von Zertifikaten ergriffenen Maßnahmen melden. Diese Maßnahmen sollten die Pflicht der Anbieter von Webbrowsern, qualifizierte WebsiteAuthentifizierungszertifikate gemäß den nationalen Vertrauenslisten anzuerkennen, unberührt lassen. Um Unionsbürger und in der Union ansässige Personen weiter zu schützen und die Nutzung qualifizierter Zertifikate für die Website-Authentifizierung weiter zu fördern, sollten die Behörden in den Mitgliedstaaten erwägen, diese für die Website-Authentifizierung auf ihren eigenen Websites zu verwenden. Die in dieser Verordnung vorgesehenen Maßnahmen, die auf eine größere Kohärenz zwischen den unterschiedlichen Ansätzen und Praktiken der Mitgliedstaaten in Bezug auf Aufsichtsverfahren abzielen, sollen zu mehr Vertrauen in die Sicherheit, Qualität und Verfügbarkeit qualifizierter Zertifikate für die Website-Authentifizierung beitragen.

(66)

Viele Mitgliedstaaten haben nationale Anforderungen für Dienste festgelegt, die eine sichere und vertrauenswürdige elektronische Archivierung anbieten, um die langfristige Bewahrung elektronischer Daten und elektronischer Dokumente und damit verbundene Vertrauensdienste zu ermöglichen. Zur Gewährleistung von Rechtssicherheit, Vertrauen und Harmonisierung in allen Mitgliedstaaten sollte ein Rechtsrahmen für qualifizierte elektronische Archivierungsdienste geschaffen werden, der sich an dem mit dieser Verordnung festgelegten Rahmen für die anderen Vertrauensdienste orientiert. Der Rechtsrahmen für qualifizierte elektronische Archivierungsdienste sollte Vertrauensdiensteanbietern und Nutzern ein effizientes Instrumentarium, das die Funktionsanforderungen für den elektronischen Archivierungsdienst enthält, sowie eine klare Rechtswirkung bei der Nutzung eines qualifizierten elektronischen Archivierungsdienstes bieten. Diese Bestimmungen sollten für elektronische Daten und elektronische Dokumente, die in elektronischer Form erstellt wurden, sowie für eingescannte und digitalisierte Papierdokumente gelten. Erforderlichenfalls sollten diese Bestimmungen es ermöglichen, dass die gespeicherten elektronischen Daten und elektronischen Dokumente auf verschiedene Medien oder Formate übertragen werden können, um ihre Haltbarkeit und Lesbarkeit über den Zeitraum ihrer technologischen Geltung hinaus zu verlängern und gleichzeitig Datenverlust und Datenveränderung so weit wie möglich zu verhindern. Wenn elektronische Daten und elektronische Dokumente, die dem elektronischen Archivierungsdienst vorgelegt werden, eine oder mehrere qualifizierte elektronische Signaturen oder ein oder mehrere qualifizierte elektronische Siegel enthalten, sollte der Dienst Verfahren und Technologien verwenden, mit denen ihre Vertrauenswürdigkeit für den Bewahrungszeitraum dieser Daten verlängert werden kann, gegebenenfalls unter Rückgriff auf andere mit dieser Verordnung geschaffene qualifizierte Vertrauensdienste. Für die Erstellung eines Bewahrungsnachweises bei der Verwendung elektronischer Signaturen, elektronischer Siegel oder elektronischer Zeitstempel sollten qualifizierte Vertrauensdienste herangezogen werden. Soweit elektronische Archivierungsdienste durch diese Verordnung nicht vereinheitlicht werden, sollte es den Mitgliedstaaten möglich sein, im Einklang mit Unionsrecht nationale Bestimmungen in Bezug auf diese Dienste beizubehalten oder einzuführen, wie etwa spezifische Bestimmungen für Dienste, die in eine Organisation integriert sind und nur für die internen Archive dieser Organisation verwendet werden. Diese Verordnung sollte nicht zwischen elektronischen Daten und elektronischen Daten, die in elektronischer Form erstellt wurden, und digitalisierten physischen Dokumenten unterscheiden.

(67)

Die Tätigkeiten nationaler Archive und Gedenkeinrichtungen in ihrer Eigenschaft als Organisationen, die der Erhaltung des dokumentarischen Erbes im öffentlichen Interesse dienen, sind in der Regel im nationalen Recht geregelt, und sie erbringen nicht notwendigerweise Vertrauensdienste im Sinne dieser Verordnung. Insofern solche Einrichtungen keine solchen Vertrauensdienste erbringen, berührt diese Verordnung nicht ihre Tätigkeit.

(68)

Elektronische Journale sind eine Abfolge elektronischer Datensätze, die die Unversehrtheit und die Richtigkeit ihrer chronologischen Reihenfolge gewährleisten sollten. Elektronische Journale sollten eine chronologische Abfolge von Datensätzen erstellen. Zusammen mit anderen Technologien sollten sie zu Lösungen für effizientere und transformativere öffentliche Dienste wie elektronische Stimmabgabe, grenzüberschreitende Zusammenarbeit von Zollbehörden, grenzüberschreitende Zusammenarbeit akademischer Einrichtungen und die Eintragung von Grundeigentum in dezentralisierten Grundbüchern beitragen. Qualifizierte elektronische Journale sollten eine Rechtsvermutung für die eindeutige und genaue fortlaufende chronologische Reihenfolge und Unversehrtheit der Datensätze im Journal begründen. Aufgrund ihrer Besonderheiten, wie etwa der Anordnung von Datensätzen in einer fortlaufenden chronologischen Reihenfolge, sollten elektronische Journale von anderen Vertrauensdiensten wie elektronischen Zeitstempeln und Diensten für die Zustellung elektronischer Einschreiben unterschieden werden. Um Rechtssicherheit zu gewährleisten und Innovationen zu fördern, sollte ein unionsweiter Rechtsrahmen geschaffen werden, der die grenzübergreifende Anerkennung von Vertrauensdiensten für die Aufzeichnung von Daten in elektronischen Journalen vorsieht. Dies sollte hinreichend verhindern, dass ein digitaler Vermögenswert kopiert und mehrfach an verschiedene Parteien verkauft wird. Das Verfahren der Erstellung und Aktualisierung eines elektronischen Journals hängt von der Art des verwendeten Registers ab, nämlich ob es zentralisiert oder verteilt ist. Diese Verordnung sollte Technologieneutralität gewährleisten, nämlich Technologien, die zur Umsetzung des neuen Vertrauensdienstes für elektronische Journale verwendet werden, weder bevorzugen noch benachteiligen. Zudem sollte die Kommission bei der Ausarbeitung der Durchführungsrechtsakte, in denen die Anforderungen an qualifizierte elektronische Journale festgelegt werden, Nachhaltigkeitsindikatoren im Hinblick auf etwaige nachteilige Auswirkungen auf das Klima oder andere umweltbezogene nachteilige Auswirkungen unter Verwendung geeigneter Methoden berücksichtigen.

(69)

Die Rolle von Vertrauensdiensteanbietern für elektronische Journale sollte darin bestehen, für die fortlaufende Eintragung von Daten im Journal zu sorgen. Diese Verordnung berührt keine rechtlichen Verpflichtungen von Nutzern elektronischer Journale nach Unionsrecht oder nationalem Recht. So sollten beispielsweise Anwendungsfälle, bei denen personenbezogene Daten verarbeitet werden, die Anforderungen der Verordnung (EU) 2016/679 erfüllen und Anwendungsfälle, die sich auf Finanzdienstleistungen beziehen, dem einschlägigen Finanzdienstleistungsrecht der Union genügen

(70)

Um die Fragmentierung des Binnenmarkts und Hindernisse im Binnenmarkt infolge unterschiedlicher Normen und technischer Beschränkungen zu vermeiden und um ein koordiniertes Vorgehen sicherzustellen, mit dem verhindert wird, dass die Umsetzung des europäischen Rahmens für eine digitale Identität beeinträchtigt wird, bedarf es eines Prozesses für eine enge und strukturierte Zusammenarbeit zwischen der Kommission, den Mitgliedstaaten, der Zivilgesellschaft, der Wissenschaft und dem Privatsektor. Um dies zu erreichen, sollten die Mitgliedstaaten und die Kommission innerhalb des in der Empfehlung (EU) 2021/946 der Kommission16 festgelegten Rahmens zusammenarbeiten, um ein gemeinsames Instrumentarium der Union für den europäischen Rahmen für die digitale Identität festzulegen. In diesem Zusammenhang sollten sich die Mitgliedstaaten auf eine umfassende technische Architektur und einen umfassenden Bezugsrahmen, eine Reihe gemeinsamer Standards und technischer Bezugsgrößen einschließlich anerkannter bestehender Standards sowie eine Reihe von Leitlinien und Beschreibungen bewährter Verfahren einigen, die mindestens alle Funktionen und die Interoperabilität von europäischen Brieftaschen für die Digitale Identität einschließlich elektronischer Signaturen und der qualifizierten Vertrauensdiensteanbieter für die elektronische Attributsbescheinigung gemäß dieser Verordnung abdecken. In diesem Zusammenhang sollten sich die Mitgliedstaaten auch auf gemeinsame Elemente im Hinblick auf ein Geschäftsmodell und eine Entgeltstruktur für europäische Brieftaschen für die Digitale Identität einigen, um die Verbreitung insbesondere bei KMU in einem grenzübergreifenden Kontext zu fördern. Der Inhalt des Instrumentariums sollte parallel zu den Ergebnissen der Diskussion und des Gesetzgebungsverfahrens zur Annahme des europäischen Rahmens für eine digitale Identität weiterentwickelt werden und deren Ergebnisse widerspiegeln.

(71)

Diese Verordnung sieht ein harmonisiertes Maß an Qualität, Vertrauenswürdigkeit und Sicherheit qualifizierter Vertrauensdienste vor, unabhängig davon, wo die Tätigkeiten durchgeführt werden. So sollte ein qualifizierter Vertrauensdiensteanbieter die Möglichkeit haben, seine Tätigkeiten im Zusammenhang mit der Erbringung eines qualifizierten Vertrauensdienstes in ein Drittland auszulagern, sofern dieses Drittland geeignete Garantien dafür bietet, dass Aufsichtstätigkeiten und Prüfungen so durchgesetzt werden können, als wenn diese in der Union ausgeübt würden. Wenn die Einhaltung dieser Verordnung nicht vollständig gewährleistet werden kann, sollten die Aufsichtsstellen in der Lage sein, verhältnismäßige und gerechtfertigte Maßnahmen zu ergreifen, einschließlich der Aberkennung des Status des qualifizierten Vertrauensdienstes.

(72)

Um Rechtssicherheit bezüglich der Gültigkeit fortgeschrittener elektronischer Signaturen auf der Grundlage qualifizierter Zertifikate zu schaffen, muss die Bewertung durch den vertrauenden Beteiligten, der die Validierung dieser fortgeschrittenen elektronischen Signatur auf der Grundlage qualifizierter Zertifikate durchführt, festgelegt werden.

(73)	Vertrauensdiensteanbieter sollten kryptografische Methoden verwenden, die aktuelle bewährte Verfahren und vertrauenswürdige Implementierungen dieser Algorithmen widerspiegeln, um die Sicherheit und Zuverlässigkeit ihrer Vertrauensdienste zu gewährleisten.

(74)

Diese Verordnung enthält die Verpflichtung für qualifizierte Vertrauensdiensteanbieter, anhand verschiedener unionsweit harmonisierter Methoden die Identität einer natürlichen oder juristischen Person zu überprüfen, der das qualifizierte Zertifikat oder die qualifizierte elektronische Attributsbescheinigung ausgestellt wird. Um sicherzustellen, dass qualifizierte Zertifikate und qualifizierte elektronische Attributsbescheinigungen der Person ausgestellt werden, zu der sie gehören, und dass sie den korrekten und eindeutigen Datensatz bescheinigen, der die Identität dieser Person darstellt, sollten qualifizierte Vertrauensdiensteanbieter, die qualifizierte Zertifikate oder qualifizierte elektronische Attributsbescheinigungen ausstellen, zum Zeitpunkt der Ausstellung dieser Zertifikate und Bescheinigungen die Identifizierung dieser Person mit vollständiger Sicherheit gewährleisten. Außerdem sollten qualifizierte Vertrauensdiensteanbieter zusätzlich zur obligatorischen Überprüfung der Identität der Person, sofern dies für die Ausstellung qualifizierter Zertifikate und die Ausstellung einer qualifizierten elektronischen Attributsbescheinigung relevant ist, mit vollständiger Sicherheit die Richtigkeit und Genauigkeit der bescheinigten Attribute der Person gewährleisten, der das qualifizierte Zertifikat oder die qualifizierte elektronische Attributsbescheinigung ausgestellt wird. Diese Pflichten in Bezug auf Ergebnis und vollständige Sicherheit bei der Überprüfung der bescheinigten Daten sollten durch geeignete Mittel unterstützt werden, einschließlich der Verwendung einer oder erforderlichenfalls einer Kombination von mehreren spezifischen in dieser Verordnung vorgesehenen Methoden. Es sollte möglich sein, diese Methoden zu kombinieren, um eine geeignete Grundlage für die Überprüfung der Identität der Person zu schaffen, der das qualifizierte Zertifikat oder eine qualifizierte elektronische Attributsbescheinigung ausgestellt wird. Es sollte möglich sein, dass eine solche Kombination einen Rückgriff auf elektronische Identifizierungsmittel, die den Anforderungen des Sicherheitsniveaus „substanziell“ entsprechen, in Kombination mit anderen Mitteln zur Identitätsüberprüfung umfasst, die die Erfüllung der in dieser Verordnung festgelegten harmonisierten Anforderungen im Hinblick auf das Sicherheitsniveau „hoch“ als Teil zusätzlicher harmonisierter Fernverfahren ermöglichen würden, was die Identifizierung der Person mit einem hohen Maß an Vertrauen gewährleistet. Diese Methoden sollten die Möglichkeit umfassen, dass der qualifizierte Vertrauensdiensteanbieter, der eine qualifizierte elektronische Attributsbescheinigung ausstellt, die zu bescheinigenden Attribute auf Verlangen des Nutzers gemäß dem Unionsrecht oder dem nationalen Recht mit elektronischen Mitteln überprüft, auch anhand authentischer Quellen.

(75)

Um diese Verordnung mit globalen Entwicklungen in Einklang zu halten und den bewährten Verfahren im Binnenmarkt zu folgen, sollten von der Kommission erlassene delegierte Rechtsakte und Durchführungsrechtsakte regelmäßig überprüft und erforderlichenfalls aktualisiert werden. Bei der Bewertung der Notwendigkeit dieser Aktualisierungen sollte neuen Technologien, Praktiken, Standards oder technischen Spezifikationen Rechnung getragen werden.

(76)

Da die Ziele dieser Verordnung, nämlich die Entwicklung des unionsweiten europäischen Rahmens für eine digitale Identität und des Rahmens für Vertrauensdiente, von den Mitgliedstaaten nicht ausreichend verwirklicht werden können, sondern vielmehr wegen ihres Umfangs und ihrer Wirkungen auf Unionsebene besser zu verwirklichen sind, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Verordnung nicht über das für die Verwirklichung dieser Ziele erforderliche Maß hinaus.

(77)

Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 konsultiert.

(78)	Die Verordnung (EU) Nr. 910/2014 sollte daher entsprechend geändert werden —

KAPITEL I - ALLGEMEINE BESTIMMUNGEN

KAPITEL II - ELEKTRONISCHE IDENTIFIZIERUNG

ABSCHNITT 1 - EUROPÄISCHE BRIEFTASCHE FÜR DIE DIGITALE IDENTITÄT

ABSCHNITT 2 - ELEKTRONISCHE IDENTIFIZIERUNGSSYSTEME

KAPITEL III - VERTRAUENSDIENSTE

ABSCHNITT 1 - Allgemeine Bestimmungen

ABSCHNITT 2 - Aufsicht

ABSCHNITT 3 - Qualifizierte Vertrauensdienste

ABSCHNITT 4 - Elektronische Signaturen

ABSCHNITT 5 - Elektronische Siegel

ABSCHNITT 6 - Elektronische Zeitstempel

ABSCHNITT 7 - Dienste für die Zustellung elektronischer Einschreiben

ABSCHNITT 8 - Website-Authentifizierung

KAPITEL IV - ELEKTRONISCHE DOKUMENTE

ABSCHNITT 9 - ELEKTRONISCHE ATTRIBUTSBESCHEINIGUNG

ABSCHNITT 10 - ELEKTRONISCHE ARCHIVIERUNGSDIENSTE

ABSCHNITT 11 -ELEKTRONISCHE JOURNALE

KAPITEL IVa RAHMEN FÜR DIE GOVERNANCE

KAPITEL V - BEFUGNISÜBERTRAGUNGEN UND DURCHFÜHRUNGSBESTIMMUNGEN

KAPITEL VI - SCHLUSSBESTIMMUNGEN