Artikel 1

Die technischen Spezifikationen und Verfahren für das System der Registervernetzung nach den Artikeln 30 und 31 der Richtlinie (EU) 2015/849 sind im Anhang festgelegt.

Artikel 2

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

ANHANG

Technische Spezifikationen und Verfahren gemäß Artikel 1

1.   Gegenstand

Das System zur Vernetzung der Register wirtschaftlicher Eigentümer (BORIS) wird als dezentrales System eingerichtet, das die nationalen zentralen Register wirtschaftlicher Eigentümer und das Europäische Justizportal (1) über die zentrale Europäische Plattform (2) miteinander verbindet. Das BORIS dient als zentraler Suchdienst, über den sämtliche Angaben zu wirtschaftlichen Eigentümern im Einklang mit den Bestimmungen der Richtlinie (EU) 2015/849 (3) bereitgestellt werden.

2.   Begriffsbestimmungen

a)	„Register“ steht für die nationalen zentralen Register für Angaben zum wirtschaftlichen Eigentümer nach den Artikeln 30 und 31 der Richtlinie (EU) 2015/849;

b)	„qualifizierter Nutzer“ steht für Nutzer des BORIS nach Artikel 30 Absatz 5 Buchstaben a und b und Artikel 31 Absatz 4 der Richtlinie (EU) 2015/849;

c)	„obligatorische Mindestangaben“ steht für den gemeinsamen Datensatz mit derselben Struktur und denselben Datenarten in allen Registern in den Mitgliedstaaten;

d)	„zusätzliche Informationen“ steht für den gemeinsam vorab festgelegten Datensatz, den die Mitgliedstaaten zusätzlich zu den „obligatorischen Mindestangaben“ vollständig oder teilweise über das BORIS teilen können;

e)	„nationale Registernummer“ steht für die individuelle Identifikationsnummer, die einem Unternehmen oder einer juristischen Person, einem Trust oder einer ähnlichen Rechtsvereinbarung im Register wirtschaftlicher Eigentümer nach nationalem Recht zugewiesen wird.

3.   Zusammenhang zwischen der nationalen Registernummer, der europäischen einheitlichen Kennung (EUID) und der Unternehmensregisternummer

3.1.

Die nationalen Registernummern sowie die den Unternehmen im System für die Verknüpfung von Unternehmensregistern („BRIS“) (4) zugeordneten europäischen einheitlichen Kennungen (European Unique Identifier — EUID) und die Unternehmensregisternummern, falls diese von den jeweiligen nationalen Registernummern abweichen, werden der zentralen Europäischen Plattform über das Register wirtschaftlicher Eigentümer bereitgestellt. Enthält das BRIS für bestimmte Unternehmen noch keine EUID, wird diesen anhand der Unternehmensregisternummern eine EUID zugewiesen. Anderen juristischen Personen, Trusts oder ähnlichen Rechtsvereinbarungen wird die EUID auf der Grundlage der nationalen Registernummer zugeordnet.

3.2.

Die Nutzer des BORIS können anhand der nationalen Registernummer und der Unternehmensregisternummer, falls diese von der nationalen Registernummer abweicht, im System Recherchen zu Unternehmen, anderen juristischen Personen, Trusts oder ähnlichen Rechtsvereinbarungen anstellen.

3.3.

Die Mitgliedstaaten können beschließen, für Trusts oder ähnliche Rechtsvereinbarungen keine nationalen Registernummern bereitzustellen. Im Hinblick auf Trusts oder ähnliche nach dem Recht des Mitgliedstaats geschaffene Rechtsvereinbarungen, die im Register wirtschaftlicher Eigentümer geführt werden, gilt diese Ausnahme lediglich für einen Zeitraum von fünf Jahren ab dem Zeitpunkt, zu dem das BORIS in Betrieb genommen wird.

4.   Kommunikationsmethoden

Zur Vernetzung der Register nutzt das BORIS dienstbasierte Methoden der elektronischen Kommunikation wie etwa Webdienste.

Die Kommunikation zwischen dem Portal und der Plattform und zwischen einem Register und der Plattform erfolgt im Wege einer Eins-zu-eins-Kommunikation.

5.   Kommunikationsprotokolle

Für die Kommunikation zwischen dem Portal, der Plattform und den Registern werden sichere Internet-Protokolle wie HTTPS verwendet.

Für die Übertragung von Daten und Metadaten werden Standard-Kommunikationsprotokolle wie SOAP (Simple Object Access Protocol) verwendet.

6.   Sicherheitsstandards

Die technischen Maßnahmen, mit denen im Hinblick auf die Bereitstellung und Verbreitung von Informationen über das BORIS die Einhaltung von IT-Mindestsicherheitsstandards gewährleistet werden soll, müssen Folgendes umfassen:

a)	Maßnahmen, die die Vertraulichkeit der Informationen gewährleisten, z. B. durch Nutzung sicherer Kanäle wie HTTPS;

b)	Maßnahmen, die die Integrität der Daten während des Austauschs gewährleisten;

c)	Maßnahmen, die gewährleisten, dass die Herkunft der Informationen innerhalb des BORIS sowie der Empfang der Informationen nicht in Abrede gestellt werden können;

d)	Maßnahmen, die die Protokollierung von sicherheitsrelevanten Ereignissen im Einklang mit anerkannten internationalen Empfehlungen für IT-Sicherheitsstandards gewährleisten;

e)	Maßnahmen, die die Authentifizierung und Autorisierung qualifizierter Nutzer gewährleisten, und Maßnahmen zur Überprüfung der Identität der innerhalb des BORIS mit dem Portal, der Plattform oder den Registern verbundenen Systeme;

f)	gegebenenfalls Maßnahmen zum Schutz vor automatisierten Abfragen und Vervielfältigung von Registern, z. B. Begrenzung der angezeigten Suchergebnisse auf eine Höchstzahl pro Register und die Nutzung einer CAPTCHA (5)-Funktion.

7.   Innerhalb des BORIS-Rahmens auszutauschende Daten

7.1.

Die in den nationalen Registern enthaltenen Datensätze zu einem Unternehmen oder einer anderen juristischen Person, einem Trust oder einer ähnlichen Rechtsvereinbarung werden als „BO-Eintrag“ bezeichnet. Der BO-Eintrag umfasst Daten zum Profil des betreffenden Unternehmens oder der betreffenden Rechtsvereinbarung, zur Person des wirtschaftlichen Eigentümers oder zu den wirtschaftlichen Eigentümern dieses Unternehmens oder dieser Rechtsvereinbarung sowie zu den/dem von diesen Eigentümern gehaltenen wirtschaftlichen Interesse(n).

7.2.

Im Zusammenhang mit einem Unternehmen oder einer anderen juristischen Person sowie im Zusammenhang mit einem Trust oder einer ähnlichen Rechtsvereinbarung umfassen die Profildaten Angaben zum Namen, zur Rechtsform sowie die Registrierungsanschrift und gegebenenfalls die nationale Registernummer.

7.3.

Jeder Mitgliedstaat hat die Möglichkeit, die obligatorischen Mindestangaben durch zusätzliche Informationen zu erweitern. Im Hinblick auf den wirtschaftlichen Eigentümer und das von diesem gehaltene wirtschaftliche Interesse bestehen die obligatorischen Mindestangaben aus den in Artikel 30 Absatz 5 Unterabsatz 2 und Artikel 31 Absatz 4 Unterabsatz 2 der Richtlinie (EU) 2015/849 aufgeführten Angaben. Im Hinblick auf die Identität des wirtschaftlichen Eigentümers umfassen zusätzliche Informationen mindestens das Geburtsdatum oder Kontaktdaten gemäß Artikel 30 Absatz 5 letzter Satz und Artikel 31 Absatz 4 Unterabsatz 3. Das Format der Daten des BO-Eintrags stützt sich auf die festgelegte Schnittstellenspezifikation.

7.4.

Der Informationsaustausch umfasst auch Nachrichten, die für den Betrieb des Systems erforderlich sind, etwa für die Empfangsbestätigung, Protokollierung und Berichterstattung.

8.   Struktur des standardisierten Nachrichtenformats

Der Informationsaustausch zwischen den Registern, der Plattform und dem Portal erfolgt auf der Grundlage standardisierter Datenstrukturierungsmethoden und mittels eines standardisierten Nachrichtenformats wie XML (6).

9.   Für die Plattform bereitzustellende Daten

9.1.

Im Einklang mit den Interoperabilitätsanforderungen müssen die von Registern angebotenen Dienste einheitlich sein und dieselbe Schnittstelle aufweisen, damit die Abfrageanwendung, etwa die Plattform, nur mit einer einzigen Art von Schnittstelle und einem gemeinsamen Satz von Datenelementen interagieren muss. Die Mitgliedstaaten passen ihre interne Datenstruktur mit Hilfe von Zuordnungstabellen oder durch eine ähnliche technische Umsetzung an die von der Kommission vorgegebenen Schnittstellenspezifikationen an.

9.2.

Damit die Plattform ihre Aufgaben erfüllen kann, sind folgende Arten von Daten bereitzustellen: a) Daten zur Identifizierung der mit der Plattform verbundenen Systeme: Diese Daten können aus URLs oder aus sonstigen Zahlen oder Codes bestehen, die eine eindeutige Identifizierung jedes Systems innerhalb des BORIS ermöglichen; b) alle sonstigen Betriebsdaten, die erforderlich sind, damit die Plattform den ordnungsgemäßen und effizienten Betrieb des Suchsystems und die Interoperabilität der Register mit der Plattform gewährleisten kann. Diese Daten können Codelisten, Referenzdaten, Glossare und Übersetzungen dieser Metadaten sowie Protokollierungs- und Berichterstattungsdaten umfassen.

9.3.

Die Daten und Metadaten, mit denen die Plattform umgeht, werden im Einklang mit den in Abschnitt 5 aufgeführten Sicherheitsstandards verarbeitet und gespeichert.

10.   Betriebsmethoden des Systems und von der Plattform bereitgestellte IT-Dienste

10.1.

Für die Verbreitung und den Austausch von Informationen liegen dem System folgende technische Maßnahmen zugrunde:

10.2.

Zur Erstellung von Mitteilungen in der jeweiligen Sprachfassung stellt das Europäische Justizportal Referenzdatenartefakte wie Codelisten, kontrollierte Vokabulare und Glossare bereit. Gegebenenfalls werden diese in die EU-Amtssprachen übersetzt. Soweit möglich, werden anerkannte Standards und standardisierte Mitteilungen verwendet.

10.3.

Die Kommission wird die Mitgliedstaaten über weitere Einzelheiten des technischen Betriebs und der Implementierung der von der Plattform bereitgestellten IT-Dienste unterrichten.

11.   Suchkriterien

11.1.

Bei einer Suche ist mindestens ein Land auszuwählen.

11.2.

Das Portal bietet folgende harmonisierte Suchkriterien an: a) in Bezug auf Unternehmen oder andere juristische Personen, Trusts oder ähnliche Rechtsvereinbarungen: i) Name des Rechtsträgers oder der Rechtsvereinbarung; ii) nationale Registernummer. Die Suchkriterien unter den Ziffern i und ii können wahlweise verwendet werden; b) in Bezug auf Personen als wirtschaftliche Eigentümer: i) Vor- und Nachname des wirtschaftlichen Eigentümers; ii) Geburtsdatum des wirtschaftlichen Eigentümers. Die Suchkriterien unter den Ziffern i und ii können gemeinsam verwendet werden.

11.3.

Gegebenenfalls kann das Portal weitere Suchkriterien anbieten.

12.   Zahlungsmodalitäten und Online-Registrierung

12.1.

Im Falle bestimmter Daten, die über das BORIS im Portal zur Verfügung gestellt werden und für die die Mitgliedstaaten Gebühren erheben, ermöglicht das System den Nutzern eine Online-Zahlung mittels allgemein verbreiteter Zahlungsarten wie Kredit- und Debitkartenzahlungen.

12.2.

Das BORIS umfasst Maßnahmen, die die Möglichkeit einer Online-Registrierung nach Artikel 30 Absatz 5a und Artikel 31 Absatz 4a der Richtlinie (EU) 2015/849 gewährleisten.

13.   Verfügbarkeit von Diensten

13.1.

Der Dienst wird 24 Stunden am Tag und 7 Tage die Woche verfügbar sein, wobei die Verfügbarkeitsquote des BORIS ohne planmäßige Wartungen bei mindestens 98 % liegen muss.

13.2.

Die Mitgliedstaaten setzen die Kommission im Voraus von etwaigen Wartungsarbeiten in Kenntnis. Dabei gelten folgende Fristen: a) 5 Arbeitstage vor Wartungsarbeiten, die eine Nichtverfügbarkeit von bis zu 4 Stunden zur Folge haben können; b) 10 Arbeitstage vor Wartungsarbeiten, die eine Nichtverfügbarkeit von bis zu 12 Stunden zur Folge haben können; c) 30 Arbeitstage vor Wartungsarbeiten an der Infrastruktur des Datenzentrums, die eine Nichtverfügbarkeit von bis zu 6 Tagen pro Jahr zur Folge haben können. Soweit möglich, werden Wartungsarbeiten außerhalb der Arbeitszeiten (19.00 Uhr bis 8.00 Uhr MEZ) geplant.

13.3.

Sofern Mitgliedstaaten feste wöchentliche Wartungszeiten festgelegt haben, unterrichten sie die Kommission darüber, an welchem Wochentag und zu welchen Uhrzeiten solche festen wöchentlichen Wartungszeiten geplant sind. Unbeschadet der unter 13.2 Buchstaben a bis c genannten Verpflichtungen können Mitgliedstaaten, wenn ihre Systeme während solcher fester Wartungszeiten nicht verfügbar sind, davon absehen, die Kommission davon in Kenntnis zu setzen.

13.4.

Im Falle eines unerwarteten technischen Versagens, infolge dessen ihre Systeme mehr als eine halbe Stunde lang nicht verfügbar sind, unterrichten die Mitgliedstaaten die Kommission unverzüglich während der Arbeitszeiten (9.00 Uhr bis 16.00 Uhr MEZ) über die Nichtverfügbarkeit des Systems und, soweit bekannt, über den geplanten Zeitpunkt der Wiederaufnahme des Dienstes.

13.5.

Im Falle eines unerwarteten Ausfalls der zentralen Plattform oder des Portals unterrichtet die Kommission die Mitgliedstaaten unverzüglich während der Arbeitszeiten (9.00 Uhr bis 16.00 Uhr MEZ) über die Nichtverfügbarkeit der Plattform oder des Portals und, soweit bekannt, über den Zeitpunkt, zu dem der Dienst wiederaufgenommen werden dürfte.

14.   Transkriptions- und Transliterationsregeln

Jeder Mitgliedstaat muss die an ihn gerichteten Suchanfragen und die zurückgesendeten Ergebnisse im Einklang mit seinen nationalen Normen transkribieren oder transliterieren.

---

(1)  Im Folgenden „Portal“.

(2)  Die zentrale Europäische Plattform (im Folgenden „Plattform“) wurde mit Artikel 22 Absatz 1 der Richtlinie (EU) 2017/1132 des Europäischen Parlaments und des Rates vom 14. Juni 2017 über bestimmte Aspekte des Gesellschaftsrechts (ABl. L 169 vom 30.6.2017, S. 46) eingerichtet.

(3)  Dies gilt unbeschadet etwaiger zusätzlicher Funktionen, mit denen das BORIS möglicherweise künftig ausgestattet wird.

(4)  Artikel 16 Absatz 1 der Richtlinie (EU) 2017/1132 des Europäischen Parlaments und des Rates vom 14. Juni 2017 über bestimmte Aspekte des Gesellschaftsrechts und Artikel 8 des Anhangs der Durchführungsverordnung (EU) 2015/884 der Kommission vom 8. Juni 2015 zur Festlegung technischer Spezifikationen und Verfahren für das System der Registervernetzung gemäß Richtlinie 2009/101/EG des Europäischen Parlaments und des Rates.

(5)  Completely Automated Public Turing Test to tell Computers and Humans Apart (vollautomatischer öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen).

(6)  Extensible Markup Language