Gesetz über Rahmenbedingungen für elektronische Signaturen
(Signaturgesetz - SigG)
Vom 16. Mai 2001
(BGBl I S.
876) Änderungen zum 1.1.2002 (Umstellung Euro) schon
eingearbeitet
Die Mitteilungspflichten
der Richtlinie 98/34/EG des Europäischen Parlaments und des Rates vom 22. Juni
1998 über ein Informationsverfahren auf dem Gebiet der Normen und technischen
Vorschriften (ABl. EG Nr. L 204 S. 37), zuletzt geändert durch die Richtlinie
98/48/EG des Europäischen Parlaments und des Rates vom 20. Juli 1998 (ABl. EG
Nr. L 217 S. 18), sind beachtet worden.
Erster
Abschnitt: Allgemeine Bestimmungen
§ 1 Zweck und
Anwendungsbereich
(1) Zweck des
Gesetzes ist es, Rahmenbedingungen für elektronische Signaturen zu
schaffen.
(2) Soweit
nicht bestimmte elektronische Signaturen durch Rechtsvorschrift vorgeschrieben
sind, ist ihre Verwendung freigestellt.
(3)
Rechtsvorschriften können für die öffentlich-rechtliche Verwaltungstätigkeit
bestimmen, dass der Einsatz qualifizierter elektronischer Signaturen
zusätzlichen Anforderungen unterworfen wird. Diese Anforderungen müssen
objektiv, verhältnismäßig und nichtdiskriminierend sein und dürfen sich nur auf
die spezifischen Merkmale der betreffenden Anwendung
beziehen.
§ 2
Begriffsbestimmungen
Im Sinne dieses
Gesetzes sind
1. "elektronische
Signaturen" Daten in elektronischer Form, die anderen elektronischen Daten
beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung
dienen,
2. "fortgeschrittene
elektronische Signaturen" elektronische Signaturen nach Nummer 1,
die
a) ausschließlich dem
Signaturschlüssel-Inhaber zugeordnet sind,
b) die Identifizierung
des Signaturschlüssel-Inhabers ermöglichen,
c) mit Mitteln erzeugt
werden, die der Signaturschlüssel- Inhaber unter seiner alleinigen Kontrolle
halten kann, und
d) mit den Daten, auf
die sie sich beziehen, so verknüpft sind, dass eine nachträgliche Veränderung
der Daten erkannt werden kann,
3. "qualifizierte
elektronische Signaturen" elektronische Signaturen nach Nummer 2,
die
a) auf einem zum
Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikat beruhen
und
b) mit einer sicheren
Signaturerstellungseinheit erzeugt werden,
4. "Signaturschlüssel"
einmalige elektronische Daten wie private kryptographische Schlüssel, die zur
Erstellung einer elektronischen Signatur verwendet werden,
5.
"Signaturprüfschlüssel" elektronische Daten wie öffentliche kryptographische
Schlüssel, die zur Überprüfung einer elektronischen Signatur verwendet
werden,
6. "Zertifikate"
elektronische Bescheinigungen, mit denen Signaturprüfschlüssel einer Person
zugeordnet werden und die Identität dieser Person bestätigt
wird,
7. "qualifizierte
Zertifikate" elektronische Bescheinigungen nach Nummer 6 für natürliche
Personen, die die Voraussetzungen des § 7 erfüllen und
von Zertifizierungsdiensteanbietern ausgestellt werden, die mindestens die
Anforderungen nach den §§ 4 bis 14 oder
§ 23 dieses
Gesetzes und der sich darauf beziehenden Vorschriften der Rechtsverordnung
nach § 24
erfüllen,
8.
"Zertifizierungsdiensteanbieter" natürliche oder juristische Personen, die
qualifizierte Zertifikate oder qualifizierte Zeitstempel
ausstellen,
9.
"Signaturschlüssel-Inhaber" natürliche Personen, die Signaturschlüssel besitzen
und denen die zugehörigen Signaturprüfschlüssel durch qualifizierte Zertifikate
zugeordnet sind,
10. "sichere
Signaturerstellungseinheiten" Software- oder Hardwareeinheiten zur Speicherung
und Anwendung des jeweiligen Signaturschlüssels, die mindestens die
Anforderungen nach §
17 oder §
23 dieses Gesetzes und der sich darauf beziehenden Vorschriften der Rechtsverordnung
nach § 24
erfüllen und die für qualifizierte elektronische Signaturen bestimmt
sind,
11.
"Signaturanwendungskomponenten" Software- und Hardwareprodukte, die dazu
bestimmt sind,
a) Daten dem Prozess der
Erzeugung oder Prüfung qualifizierter elektronischer Signaturen zuzuführen
oder
b) qualifizierte
elektronische Signaturen zu prüfen oder qualifizierte Zertifikate nachzuprüfen
und die Ergebnisse anzuzeigen,
12. "technische
Komponenten für Zertifizierungsdienste" Software- oder Hardwareprodukte, die
dazu bestimmt sind,
a) Signaturschlüssel zu
erzeugen und in eine sichere Signaturerstellungseinheit zu
übertragen,
b) qualifizierte
Zertifikate öffentlich nachprüfbar und gegebenenfalls abrufbar zu halten
oder
c) qualifizierte
Zeitstempel zu erzeugen,
13. "Produkte für
qualifizierte elektronische Signaturen" sichere Signaturerstellungseinheiten,
Signaturanwendungskomponenten und technische Komponenten für
Zertifizierungsdienste,
14. "qualifizierte
Zeitstempel" elektronische Bescheinigungen eines
Zertifizierungsdiensteanbieters, der mindestens die Anforderungen nach den §§ 4 bis 14 sowie
§ 17 oder
§ 23 dieses
Gesetzes und der sich darauf beziehenden Vorschriften der Rechtsverordnung
nach § 24
erfüllt, darüber, dass ihm bestimmte elektronische Daten zu einem bestimmten
Zeitpunkt vorgelegen haben,
15. "freiwillige
Akkreditierung" Verfahren zur Erteilung einer Erlaubnis für den Betrieb eines
Zertifizierungsdienstes, mit der besondere Rechte und Pflichten verbunden
sind.
§ 3 Zuständige
Behörde
Die Aufgaben
der zuständigen Behörde nach diesem Gesetz und der Rechtsverordnung nach § 24 obliegen der
Behörde nach § 66
des Telekommunikationsgesetzes.
Zweiter
Abschnitt: Zertifizierungsdiensteanbieter
§ 4 Allgemeine
Anforderungen
(1) Der Betrieb
eines Zertifizierungsdienstes ist im Rahmen der Gesetze
genehmigungsfrei.
(2) Einen
Zertifizierungsdienst darf nur betreiben, wer die für den Betrieb erforderliche
Zuverlässigkeit und Fachkunde sowie eine Deckungsvorsorge nach § 12 nachweist und
die weiteren Voraussetzungen für den Betrieb eines Zertifizierungsdienstes nach
diesem Gesetz und der Rechtsverordnung
nach § 24 Nr.
1, 3 und 4 gewährleistet. Die erforderliche Zuverlässigkeit besitzt, wer die
Gewähr dafür bietet, als Zertifizierungsdiensteanbieter die für den Betrieb
maßgeblichen Rechtsvorschriften einzuhalten. Die erforderliche Fachkunde liegt
vor, wenn die im Betrieb eines Zertifizierungsdienstes tätigen Personen über die
für diese Tätigkeit notwendigen Kenntnisse, Erfahrungen und Fertigkeiten
verfügen. Die weiteren Voraussetzungen für den Betrieb eines
Zertifizierungsdienstes liegen vor, wenn die Maßnahmen zur Erfüllung der
Sicherheitsanforderungen nach diesem Gesetz und der Rechtsverordnung
nach § 24 Nr.
1, 3 und 4 der zuständigen Behörde in einem Sicherheitskonzept aufgezeigt und
geeignet und praktisch umgesetzt sind.
(3) Wer den
Betrieb eines Zertifizierungsdienstes aufnimmt, hat dies der zuständigen Behörde
spätestens mit der Betriebsaufnahme anzuzeigen. Mit der Anzeige ist in
geeigneter Form darzulegen, dass die Voraussetzungen nach Absatz 2
vorliegen.
(4) Die
Erfüllung der Voraussetzungen nach Absatz 2 ist über die gesamte Zeitdauer der
Tätigkeit des Zertifizierungsdienstes sicherzustellen. Umstände, die dies nicht
mehr ermöglichen, sind der zuständigen Behörde unverzüglich
anzuzeigen.
(5) Der
Zertifizierungsdiensteanbieter kann unter Einbeziehung in sein
Sicherheitskonzept nach Absatz 2 Satz 4 Aufgaben nach diesem Gesetz und der
Rechtsverordnung
nach § 24 an
Dritte übertragen.
§ 5 Vergabe von qualifizierten
Zertifikaten
(1) Der
Zertifizierungsdiensteanbieter hat Personen, die ein qualifiziertes Zertifikat
beantragen, zuverlässig zu identifizieren. Er hat die Zuordnung eines
Signaturprüfschlüssels zu einer identifizierten Person durch ein qualifiziertes
Zertifikat zu bestätigen und dieses jederzeit für jeden über öffentlich
erreichbare Kommunikationsverbindungen nachprüfbar und abrufbar zu halten. Ein
qualifiziertes Zertifikat darf nur mit Zustimmung des Signaturschlüssel-
Inhabers abrufbar gehalten werden.
(2) Ein
qualifiziertes Zertifikat kann auf Verlangen eines Antragstellers Angaben über
seine Vertretungsmacht für eine dritte Person sowie berufsbezogene oder sonstige
Angaben zu seiner Person (Attribute) enthalten. Hinsichtlich der Angaben über
die Vertretungsmacht ist die Einwilligung der dritten Person nachzuweisen;
berufsbezogene oder sonstige Angaben zur Person sind durch die für die
berufsbezogenen oder sonstigen Angaben zuständige Stelle zu bestätigen. Angaben
über die Vertretungsmacht für eine dritte Person dürfen nur bei Nachweis der
Einwilligung nach Satz 2, berufsbezogene oder sonstige Angaben des
Antragstellers zur Person nur bei Vorlage der Bestätigung nach Satz 2 in ein
qualifiziertes Zertifikat aufgenommen werden. Weitere personenbezogene Angaben
dürfen in ein qualifiziertes Zertifikat nur mit Einwilligung des Betroffenen
aufgenommen werden.
(3) Der
Zertifizierungsdiensteanbieter hat auf Verlangen eines Antragstellers in einem
qualifizierten Zertifikat an Stelle seines Namens ein Pseudonym aufzuführen.
Enthält ein qualifiziertes Zertifikat Angaben über eine Vertretungsmacht für
eine dritte Person oder berufsbezogene oder sonstige Angaben zur Person, ist
eine Einwilligung der dritten Person oder der für die berufsbezogenen oder
sonstigen Angaben zuständigen Stelle zur Verwendung des Pseudonyms
erforderlich.
(4) Der
Zertifizierungsdiensteanbieter hat Vorkehrungen zu treffen, damit Daten für
qualifizierte Zertifikate nicht unbemerkt gefälscht oder verfälscht werden
können. Er hat weiter Vorkehrungen zu treffen, um die Geheimhaltung der
Signaturschlüssel zu gewährleisten. Eine Speicherung von Signaturschlüsseln
außerhalb der sicheren Signaturerstellungseinheit ist
unzulässig.
(5) Der
Zertifizierungsdiensteanbieter hat für die Ausübung der Zertifizierungstätigkeit
zuverlässiges Personal und Produkte für qualifizierte elektronische Signaturen,
die mindestens die Anforderungen nach den §§ 4 bis 14 sowie
§ 17 oder
§ 23 dieses
Gesetzes und der Rechtsverordnung
nach § 24
erfüllen, einzusetzen.
(6) Der
Zertifizierungsdiensteanbieter hat sich in geeigneter Weise zu überzeugen, dass
der Antragsteller die zugehörige sichere Signaturerstellungseinheit
besitzt.
§ 6
Unterrichtungspflicht
(1) Der
Zertifizierungsdiensteanbieter hat den Antragsteller nach § 5 Abs. 1 über die
Maßnahmen zu unterrichten, die erforderlich sind, um zur Sicherheit von
qualifizierten elektronischen Signaturen und zu deren zuverlässiger Prüfung
beizutragen. Er hat den Antragsteller darauf hinzuweisen, dass Daten mit einer
qualifizierten elektronischen Signatur bei Bedarf neu zu signieren sind, bevor
der Sicherheitswert der vorhandenen Signatur durch Zeitablauf geringer
wird.
(2) Der
Zertifizierungsdiensteanbieter hat den Antragsteller darüber zu unterrichten,
dass eine qualifizierte elektronische Signatur im Rechtsverkehr die gleiche
Wirkung hat wie eine eigenhändige Unterschrift, wenn durch Gesetz nicht ein
anderes bestimmt ist.
(3) Zur
Unterrichtung nach Absatz 1 und 2 ist dem Antragsteller eine schriftliche
Belehrung auszuhändigen, deren Kenntnisnahme dieser durch gesonderte
Unterschrift zu bestätigen hat. Soweit ein Antragsteller bereits zu einem
früheren Zeitpunkt nach den Absätzen 1 und 2 unterrichtet worden ist, kann eine
erneute Unterrichtung unterbleiben.
§ 7 Inhalt von qualifizierten
Zertifikaten
(1) Ein
qualifiziertes Zertifikat muss folgende Angaben enthalten und eine qualifizierte
elektronische Signatur tragen:
1. den Namen des
Signaturschlüssel-Inhabers, der im Falle einer Verwechslungsmöglichkeit mit
einem Zusatz zu versehen ist, oder ein dem Signaturschlüssel-Inhaber
zugeordnetes unverwechselbares Pseudonym, das als solches kenntlich sein
muss,
2. den zugeordneten
Signaturprüfschlüssel,
3. die Bezeichnung der
Algorithmen, mit denen der Signaturprüfschlüssel des Signaturschlüssel-Inhabers
sowie der Signaturprüfschlüssel des Zertifizierungsdiensteanbieters benutzt
werden kann,
4. die laufende Nummer
des Zertifikates,
5. Beginn und Ende der
Gültigkeit des Zertifikates,
6. den Namen des
Zertifizierungsdiensteanbieters und des Staates, in dem er niedergelassen
ist,
7. Angaben darüber, ob
die Nutzung des Signaturschlüssels auf bestimmte Anwendungen nach Art oder
Umfang beschränkt ist,
8. Angaben, dass es sich
um ein qualifiziertes Zertifikat handelt, und
9. nach Bedarf Attribute
des Signaturschlüssel-Inhabers.
(2) Attribute
können auch in ein gesondertes qualifiziertes Zertifikat (qualifiziertes
Attribut-Zertifikat) aufgenommen werden. Bei einem qualifizierten
Attribut-Zertifikat können die Angaben nach Absatz 1 durch eindeutige
Referenzdaten des qualifizierten Zertifikates, auf das sie Bezug nehmen, ersetzt
werden, soweit sie nicht für die Nutzung des qualifizierten
Attribut-Zertifikates benötigt werden.
§ 8 Sperrung von qualifizierten
Zertifikaten
(1) Der
Zertifizierungsdiensteanbieter hat ein qualifiziertes Zertifikat unverzüglich zu
sperren, wenn ein Signaturschlüssel- Inhaber oder sein Vertreter es verlangt,
das Zertifikat auf Grund falscher Angaben zu § 7 ausgestellt
wurde, der Zertifizierungsdiensteanbieter seine Tätigkeit beendet und diese
nicht von einem anderen Zertifizierungsdiensteanbieter fortgeführt wird oder die
zuständige Behörde gemäß § 19 Abs. 4 eine
Sperrung anordnet. Die Sperrung muss den Zeitpunkt enthalten, von dem an sie
gilt. Eine rückwirkende Sperrung ist unzulässig. Wurde ein qualifiziertes
Zertifikat mit falschen Angaben ausgestellt, kann der
Zertifizierungsdiensteanbieter dies zusätzlich kenntlich
machen.
(2) Enthält ein
qualifiziertes Zertifikat Angaben nach §
5 Abs. 2, so kann auch die dritte Person oder die für die
berufsbezogenen oder sonstigen Angaben zur Person zuständige Stelle, wenn die
Voraussetzungen für die berufsbezogenen oder sonstigen Angaben zur Person nach
Aufnahme in das qualifizierte Zertifikat entfallen, eine Sperrung des
betreffenden Zertifikates nach Absatz 1 verlangen.
§ 9 Qualifizierte
Zeitstempel
Stellt ein
Zertifizierungsdiensteanbieter qualifizierte Zeitstempel aus, so gilt § 5 Abs. 5
entsprechend.
§ 10
Dokumentation
(1) Der
Zertifizierungsdiensteanbieter hat die Sicherheitsmaßnahmen zur Einhaltung
dieses Gesetzes und der Rechtsverordnung
nach § 24 Nr.
1, 3 und 4 sowie die ausgestellten qualifizierten Zertifikate nach Maßgabe des
Satzes 2 so zu dokumentieren, dass die Daten und ihre Unverfälschtheit jederzeit
nachprüfbar sind. Die Dokumentation muss unverzüglich so erfolgen, dass sie
nachträglich nicht unbemerkt verändert werden kann. Dies gilt insbesondere für
die Ausstellung und Sperrung von qualifizierten
Zertifikaten.
(2) Dem
Signaturschlüssel-Inhaber ist auf Verlangen Einsicht in die ihn betreffenden
Daten und Verfahrensschritte zu gewähren.
§ 11
Haftung
(1) Verletzt
ein Zertifizierungsdiensteanbieter die Anforderungen dieses Gesetzes oder der
Rechtsverordnung
nach § 24
oder versagen seine Produkte für qualifizierte elektronische Signaturen oder
sonstige technische Sicherungseinrichtungen, so hat er einem Dritten den Schaden
zu ersetzen, den dieser dadurch erleidet, dass er auf die Angaben in einem
qualifizierten Zertifikat, einem qualifizierten Zeitstempel oder einer Auskunft
nach § 5 Abs.
1 Satz 2 vertraut. Die Ersatzpflicht tritt nicht ein, wenn der Dritte die
Fehlerhaftigkeit der Angabe kannte oder kennen musste.
(2) Die
Ersatzpflicht tritt nicht ein, wenn der Zertifizierungsdiensteanbieter nicht
schuldhaft gehandelt hat.
(3) Wenn ein
qualifiziertes Zertifikat die Nutzung des Signaturschlüssels auf bestimmte
Anwendungen nach Art oder Umfang beschränkt, tritt die Ersatzpflicht nur im
Rahmen dieser Beschränkungen ein.
(4) Der
Zertifizierungsdiensteanbieter haftet für beauftragte Dritte nach § 4 Abs. 5 und beim
Einstehen für ausländische Zertifikate nach § 23 Abs. 1 Nr. 2
wie für eigenes Handeln. § 831 Abs. 1 Satz 2 des Bürgerlichen Gesetzbuchs findet
keine Anwendung.
§ 12
Deckungsvorsorge
Der
Zertifizierungsdiensteanbieter ist verpflichtet, eine geeignete Deckungsvorsorge
zu treffen, damit er seinen gesetzlichen Verpflichtungen zum Ersatz von Schäden
nachkommen kann, die dadurch entstehen, dass er die Anforderungen dieses
Gesetzes oder der Rechtsverordnung
nach § 24
verletzt oder seine Produkte für qualifizierte elektronische Signaturen oder
sonstige technische Sicherungseinrichtungen versagen. Die Mindestsumme beträgt
jeweils 250 000 Euro für einen durch ein haftungsauslösendes Ereignis der in
Satz 1 bezeichneten Art verursachten Schaden.
§ 13 Einstellung der
Tätigkeit
(1) Der
Zertifizierungsdiensteanbieter hat die Einstellung seiner Tätigkeit unverzüglich
der zuständigen Behörde anzuzeigen. Er hat dafür zu sorgen, dass die bei
Einstellung der Tätigkeit gültigen qualifizierten Zertifikate von einem anderen
Zertifizierungsdiensteanbieter übernommen werden, oder diese zu sperren. Er hat
die betroffenen Signaturschlüssel-Inhaber über die Einstellung seiner Tätigkeit
und die Übernahme der qualifizierten Zertifikate durch einen anderen
Zertifizierungsdiensteanbieter zu benachrichtigen.
(2) Der
Zertifizierungsdiensteanbieter hat die Dokumentation nach § 10 an den
Zertifizierungsdiensteanbieter, welcher die Zertifikate nach Absatz 1 übernimmt,
zu übergeben. Übernimmt kein anderer Zertifizierungsdiensteanbieter die
Dokumentation, so hat die zuständige Behörde diese zu übernehmen. Die zuständige
Behörde erteilt bei Vorliegen eines berechtigten Interesses Auskunft zur
Dokumentation nach Satz 2, soweit dies technisch ohne unverhältnismäßig großen
Aufwand möglich ist.
(3) Der
Zertifizierungsdiensteanbieter hat einen Antrag auf Eröffnung eines
Insolvenzverfahrens der zuständigen Behörde unverzüglich
anzuzeigen.
§ 14
Datenschutz
(1) Der
Zertifizierungsdiensteanbieter darf personenbezogene Daten nur unmittelbar beim
Betroffenen selbst und nur insoweit erheben, als dies für Zwecke eines
qualifizierten Zertifikates erforderlich ist. Eine Datenerhebung bei Dritten ist
nur mit Einwilligung des Betroffenen zulässig. Für andere als die in Satz 1
genannten Zwecke dürfen die Daten nur verwendet werden, wenn dieses Gesetz es
erlaubt oder der Betroffene eingewilligt hat.
(2) Bei einem
Signaturschlüssel-Inhaber mit Pseudonym hat der Zertifizierungsdiensteanbieter
die Daten über dessen Identität auf Ersuchen an die zuständigen Stellen zu
übermitteln, soweit dies für die Verfolgung von Straftaten oder
Ordnungswidrigkeiten, zur Abwehr von Gefahren für die öffentliche Sicherheit
oder Ordnung oder für die Erfüllung der gesetzlichen Aufgaben der
Verfassungsschutzbehörden des Bundes und der Länder, des
Bundesnachrichtendienstes, des Militärischen Abschirmdienstes oder der
Finanzbehörden erforderlich ist oder soweit Gerichte dies im Rahmen anhängiger
Verfahren nach Maßgabe der hierfür geltenden Bestimmungen anordnen. Die
Auskünfte sind zu dokumentieren. Die ersuchende Behörde hat den
Signaturschlüssel-Inhaber über die Aufdeckung des Pseudonyms zu unterrichten,
sobald dadurch die Wahrnehmung der gesetzlichen Aufgaben nicht mehr
beeinträchtigt wird oder wenn das Interesse des Signaturschlüssel-Inhabers an
der Unterrichtung überwiegt.
(3) Soweit
andere als die in §
2 Nr. 8 genannten Zertifizierungsdiensteanbieter Zertifikate für
elektronische Signaturen ausstellen, gelten die Absätze 1 und 2
entsprechend.
Dritter
Abschnitt: Freiwillige Akkreditierung
§ 15 Freiwillige Akkreditierung
von Zertifizierungsdiensteanbietern
(1)
Zertifizierungsdiensteanbieter können sich auf Antrag von der zuständigen
Behörde akkreditieren lassen; die zuständige Behörde kann sich bei der
Akkreditierung privater Stellen bedienen. Die Akkreditierung ist zu erteilen,
wenn der Zertifizierungsdiensteanbieter nachweist, dass die Vorschriften nach
diesem Gesetz und der Rechtsverordnung
nach § 24
erfüllt sind. Akkreditierte Zertifizierungsdiensteanbieter erhalten ein
Gütezeichen der zuständigen Behörde. Mit diesem wird der Nachweis der umfassend
geprüften technischen und administrativen Sicherheit für die auf ihren
qualifizierten Zertifikaten beruhenden qualifizierten elektronischen Signaturen
(qualifizierte elektronische Signaturen mit Anbieter-Akkreditierung) zum
Ausdruck gebracht. Sie dürfen sich als akkreditierte
Zertifizierungsdiensteanbieter bezeichnen und sich im Rechts- und
Geschäftsverkehr auf die nachgewiesene Sicherheit berufen.
(2) Zur
Erfüllung der Voraussetzungen nach Absatz 1 muss das Sicherheitskonzept nach
§ 4 Abs. 2
Satz 4 durch eine Stelle nach § 18 umfassend auf
seine Eignung und praktische Umsetzung geprüft und bestätigt sein. Die Prüfung
und Bestätigung ist nach sicherheitserheblichen Veränderungen sowie in
regelmäßigen Zeitabständen zu wiederholen.
(3) Die
Akkreditierung kann mit Nebenbestimmungen versehen werden, soweit dies
erforderlich ist, um die Erfüllung der Voraussetzungen nach diesem Gesetz und
der Rechtsverordnung
nach § 24 bei
Aufnahme und während des Betriebes sicherzustellen.
(4) Die
Akkreditierung ist zu versagen, wenn die Voraussetzungen nach diesem Gesetz und
der Rechtsverordnung
nach § 24
nicht erfüllt sind; § 19 findet
entsprechend Anwendung.
(5) Bei
Nichterfüllung der Pflichten aus diesem Gesetz oder der Rechtsverordnung
nach § 24
oder bei Vorliegen eines Versagungsgrundes nach Absatz 4 hat die zuständige
Behörde die Akkreditierung zu widerrufen oder diese, soweit die Gründe bereits
zum Zeitpunkt der Akkreditierung vorlagen, zurückzunehmen, wenn Maßnahmen nach
§ 19 Abs. 2
keinen Erfolg versprechen.
(6) Im Falle
des Widerrufs oder der Rücknahme einer Akkreditierung oder im Falle der
Einstellung der Tätigkeit eines akkreditierten Zertifizierungsdiensteanbieters
hat die zuständige Behörde eine Übernahme der Tätigkeit durch einen anderen
akkreditierten Zertifizierungsdiensteanbieter oder die Abwicklung der Verträge
mit den Signaturschlüssel- Inhabern sicherzustellen. Dies gilt auch bei Antrag
auf Eröffnung eines Insolvenzverfahrens, wenn die Tätigkeit nicht fortgesetzt
wird. Übernimmt kein anderer akkreditierter Zertifizierungsdiensteanbieter die
Dokumentation gemäß § 13 Abs. 2, so hat
die zuständige Behörde diese zu übernehmen; § 10 Abs. 1 Satz 1
gilt entsprechend.
(7) Bei
Produkten für qualifizierte elektronische Signaturen muss die Erfüllung der
Anforderungen nach §
17 Abs. 1 bis 3 und der Rechtsverordnung
nach § 24
nach dem Stand von Wissenschaft und Technik hinreichend geprüft und durch eine
Stelle nach §
18 bestätigt worden sein; Absatz 1 Satz 3 findet entsprechende Anwendung.
Der akkreditierte Zertifizierungsdiensteanbieter hat
1. für seine
Zertifizierungstätigkeit nur nach Satz 1 geprüfte und bestätigte Produkte für
qualifizierte elektronische Signaturen einzusetzen,
2. qualifizierte
Zertifikate nur für Personen auszustellen, die nachweislich nach Satz 1 geprüfte
und bestätigte sichere Signaturerstellungseinheiten besitzen,
und
3. die
Signaturschlüssel-Inhaber im Rahmen des §
6 Abs. 1 über nach Satz 1 geprüfte und bestätigte
Signaturanwendungskomponenten zu unterrichten.
§ 16 Zertifikate der zuständigen
Behörde
(1) Die
zuständige Behörde stellt den akkreditierten Zertifizierungsdiensteanbietern die
für ihre Tätigkeit benötigten qualifizierten Zertifikate aus. Die Vorschriften
für die Vergabe von qualifizierten Zertifikaten durch akkreditierte
Zertifizierungsdiensteanbieter gelten für die zuständige Behörde entsprechend.
Sie sperrt von ihr ausgestellte qualifizierte Zertifikate, wenn ein
akkreditierter Zertifizierungsdiensteanbieter seine Tätigkeit einstellt oder
wenn eine Akkreditierung zurückgenommen oder widerrufen
wird.
(2) Die
zuständige Behörde hat
1. die Namen,
Anschriften und Kommunikationsverbindungen der akkreditierten
Zertifizierungsdiensteanbieter,
2. den Widerruf oder die
Rücknahme einer Akkreditierung,
3. die von ihr
ausgestellten qualifizierten Zertifikate und deren Sperrung
und
4. die Beendigung und
die Untersagung des Betriebes eines akkreditierten
Zertifizierungsdiensteanbieters jederzeit für jeden über öffentlich erreichbare
Kommunikationsverbindungen nachprüfbar und abrufbar zu
halten.
(3) Bei Bedarf
stellt die zuständige Behörde auch die von den Zertifizierungsdiensteanbietern
oder Herstellern benötigten elektronischen Bescheinigungen für die automatische
Authentifizierung von Produkten nach § 15 Abs. 7
aus.
Vierter
Abschnitt Technische Sicherheit
§ 17 Produkte für qualifizierte
elektronische Signaturen
(1) Für die
Speicherung von Signaturschlüsseln sowie für die Erzeugung qualifizierter
elektronischer Signaturen sind sichere Signaturerstellungseinheiten einzusetzen,
die Fälschungen der Signaturen und Verfälschungen signierter Daten zuverlässig
erkennbar machen und gegen unberechtigte Nutzung der Signaturschlüssel schützen.
Werden die Signaturschlüssel auf einer sicheren Signaturerstellungseinheit
selbst erzeugt, so gilt Absatz 3 Nr. 1 entsprechend.
(2) Für die
Darstellung zu signierender Daten sind Signaturanwendungskomponenten
erforderlich, die die Erzeugung einer qualifizierten elektronischen Signatur
vorher eindeutig anzeigen und feststellen lassen, auf welche Daten sich die
Signatur bezieht. Für die Überprüfung signierter Daten sind
Signaturanwendungskomponenten erforderlich, die feststellen
lassen,
1. auf welche Daten sich
die Signatur bezieht,
2. ob die signierten
Daten unverändert sind,
3. welchem
Signaturschlüssel-Inhaber die Signatur zuzuordnen ist,
4. welche Inhalte das
qualifizierte Zertifikat, auf dem die Signatur beruht, und zugehörige
qualifizierte Attribut-Zertifikate aufweisen und
5. zu welchem Ergebnis
die Nachprüfung von Zertifikaten nach § 5 Abs. 1 Satz 2
geführt hat. Signaturanwendungskomponenten müssen nach Bedarf auch den Inhalt
der zu signierenden oder signierten Daten hinreichend erkennen lassen. Die
Signaturschlüssel-Inhaber sollen solche Signaturanwendungskomponenten einsetzen
oder andere geeignete Maßnahmen zur Sicherheit qualifizierter elektronischer
Signaturen treffen.
(3) Die
technischen Komponenten für Zertifizierungsdienste müssen Vorkehrungen
enthalten, um
1. bei Erzeugung und
Übertragung von Signaturschlüsseln die Einmaligkeit und Geheimhaltung der
Signaturschlüssel zu gewährleisten und eine Speicherung außerhalb der sicheren
Signaturerstellungseinheit auszuschließen,
2. qualifizierte
Zertifikate, die gemäß § 5 Abs. 1 Satz 2
nachprüfbar oder abrufbar gehalten werden, vor unbefugter Veränderung und
unbefugtem Abruf zu schützen sowie
3. bei Erzeugung
qualifizierter Zeitstempel Fälschungen und Verfälschungen
auszuschließen.
(4) Die
Erfüllung der Anforderungen nach den Absätzen 1 und 3 Nr. 1 sowie der Rechtsverordnung
nach § 24 ist
durch eine Stelle nach § 18 zu
bestätigen. Zur Erfüllung der Anforderungen nach den Absätzen 2 und 3 Nr. 2 und
3 genügt eine Erklärung durch den Hersteller des Produkts für qualifizierte
elektronische Signaturen.
§ 18 Anerkennung von Prüf- und
Bestätigungsstellen
(1) Die
zuständige Behörde erkennt eine natürliche oder juristische Person auf Antrag
als Bestätigungsstelle nach § 17 Abs. 4 oder
§ 15 Abs. 7
Satz 1 oder als Prüf- und Bestätigungsstelle nach § 15 Abs. 2 an,
wenn diese die für die Tätigkeit erforderliche Zuverlässigkeit, Unabhängigkeit
und Fachkunde nachweist. Die Anerkennung kann inhaltlich beschränkt, vorläufig
oder mit einer Befristung versehen erteilt werden und mit Auflagen verbunden
sein.
(2) Die nach
Absatz 1 anerkannten Stellen haben ihre Aufgaben unparteiisch, weisungsfrei und
gewissenhaft zu erfüllen. Sie haben die Prüfungen und Bestätigungen zu
dokumentieren und die Dokumentation im Falle der Einstellung ihrer Tätigkeit an
die zuständige Behörde zu übergeben.
Fünfter
Abschnitt: Aufsicht
§ 19
Aufsichtsmaßnahmen
(1) Die
Aufsicht über die Einhaltung dieses Gesetzes und der Rechtsverordnung
nach § 24
obliegt der zuständigen Behörde; diese kann sich bei der Durchführung der
Aufsicht privater Stellen bedienen. Mit der Aufnahme des Betriebes unterliegt
ein Zertifizierungsdiensteanbieter der Aufsicht der zuständigen
Behörde.
(2) Die
zuständige Behörde kann gegenüber Zertifizierungsdiensteanbietern Maßnahmen zur
Sicherstellung der Einhaltung dieses Gesetzes und der Rechtsverordnung
nach § 24
treffen.
(3) Die
zuständige Behörde hat einem Zertifizierungsdiensteanbieter den Betrieb
vorübergehend, teilweise oder ganz zu untersagen, wenn Tatsachen die Annahme
rechtfertigen, dass er
1. nicht die für den
Betrieb eines Zertifizierungsdienstes erforderliche Zuverlässigkeit
besitzt,
2. nicht nachweist, dass
die für den Betrieb erforderliche Fachkunde vorliegt,
3. nicht über die
erforderliche Deckungsvorsorge verfügt,
4. ungeeignete Produkte
für qualifizierte elektronische Signaturen verwendet oder
5. die weiteren
Voraussetzungen für den Betrieb eines Zertifizierungsdienstes nach diesem Gesetz
und der Rechtsverordnung
nach § 24
nicht erfüllt und Maßnahmen nach Absatz 2 keinen Erfolg
versprechen.
(4) Die
zuständige Behörde kann eine Sperrung von qualifizierten Zertifikaten anordnen,
wenn Tatsachen die Annahme rechtfertigen, dass qualifizierte Zertifikate
gefälscht oder nicht hinreichend fälschungssicher sind oder dass sichere
Signaturerstellungseinheiten Sicherheitsmängel aufweisen, die eine unbemerkte
Fälschung qualifizierter elektronischer Signaturen oder eine unbemerkte
Verfälschung damit signierter Daten zulassen.
(5) Die
Gültigkeit der von einem Zertifizierungsdiensteanbieter ausgestellten
qualifizierten Zertifikate bleibt von der Untersagung des Betriebes und der
Einstellung der Tätigkeit sowie der Rücknahme und dem Widerruf einer
Akkreditierung unberührt.
(6) Die
zuständige Behörde hat die Namen der bei ihr angezeigten
Zertifizierungsdiensteanbieter sowie der Zertifizierungsdiensteanbieter, die
ihre Tätigkeit nach § 13 eingestellt
haben oder deren Betrieb nach § 19 Abs. 3
untersagt wurde, für jeden über öffentlich erreichbare
Kommunikationsverbindungen abrufbar zu halten.
§ 20
Mitwirkungspflicht
(1) Die
Zertifizierungsdiensteanbieter und die für diese nach § 4 Abs. 5 tätigen
Dritten haben der zuständigen Behörde und den in ihrem Auftrag handelnden
Personen das Betreten der Geschäfts- und Betriebsräume während der üblichen
Betriebszeiten zu gestatten, auf Verlangen die in Betracht kommenden Bücher,
Aufzeichnungen, Belege, Schriftstücke und sonstigen Unterlagen in geeigneter
Weise zur Einsicht vorzulegen, auch soweit sie in elektronischer Form geführt
werden, Auskunft zu erteilen und die erforderliche Unterstützung zu
gewähren.
(2) Der zur
Erteilung einer Auskunft Verpflichtete kann die Auskunft verweigern, wenn er
sich damit selbst oder einen der in § 383 Abs. 1 Nr. 1 bis 3 der
Zivilprozessordnung bezeichneten Angehörigen der Gefahr der Verfolgung wegen
einer Straftat oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten
aussetzen würde. Er ist auf dieses Recht hinzuweisen.
Sechster
Abschnitt: Schlussbestimmungen
§ 21
Bußgeldvorschriften
(1)
Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
1. entgegen § 4 Abs. 2 Satz 1,
auch in Verbindung mit einer Rechtsverordnung
nach § 24 Nr.
1, 3 und 4, einen Zertifizierungsdienst betreibt,
2. entgegen § 4 Abs. 3 Satz 1
oder § 13
Abs. 1 Satz 1 eine Anzeige nicht, nicht richtig oder nicht rechtzeitig
erstattet,
3. entgegen § 5 Abs. 1 Satz 1
in Verbindung mit einer Rechtsverordnung
nach § 24 Nr.
1 eine Person nicht, nicht richtig oder nicht rechtzeitig
identifiziert,
4. entgegen § 5 Abs. 1 Satz 2,
auch in Verbindung mit einer Rechtsverordnung
nach § 24 Nr.
1, ein qualifiziertes Zertifikat nicht nachprüfbar hält,
5. entgegen § 5 Abs. 1 Satz 3
ein qualifiziertes Zertifikat abrufbar hält,
6. entgegen § 5 Abs. 2 Satz 3
oder 4 eine Angabe in ein qualifiziertes Zertifikat
aufnimmt,
7. entgegen § 5 Abs. 4 Satz 2,
auch in Verbindung mit einer Rechtsverordnung
nach § 24 Nr.
1, eine Vorkehrung nicht oder nicht richtig trifft,
8. entgegen § 5 Abs. 4 Satz 3
einen Signaturschlüssel speichert,
9. entgegen § 10 Abs. 1 Satz 1,
auch in Verbindung mit einer Rechtsverordnung
nach § 24 Nr.
1, eine Sicherheitsmaßnahme oder ein qualifiziertes Zertifikat nicht, nicht
richtig oder nicht rechtzeitig dokumentiert,
10. entgegen § 13 Abs. 1 Satz 2,
auch in Verbindung mit einer Rechtsverordnung
nach § 24 Nr.
1, nicht dafür sorgt, dass ein qualifiziertes Zertifikat von einem anderen
Zertifizierungsdiensteanbieter übernommen wird und ein qualifiziertes Zertifikat
nicht oder nicht rechtzeitig sperrt oder
11. entgegen § 13 Abs. 1 Satz 3
in Verbindung mit einer Rechtsverordnung
nach § 24 Nr.
1 einen Signaturschlüssel- Inhaber nicht, nicht richtig oder nicht rechtzeitig
benachrichtigt.
(2) Die
Ordnungswidrigkeit kann in den Fällen des Absatzes 1 Nr. 1, 7 und 8 mit einer
Geldbuße bis zu fünfzigtausend Euro, in den übrigen Fällen mit einer Geldbuße
bis zu zehntausend Euro geahndet werden.
(3)
Verwaltungsbehörde im Sinne des § 36 Abs. 1 Nr. 1 des Gesetzes über
Ordnungswidrigkeiten ist die Regulierungsbehörde für
Telekommunikation und Post.
§ 22 Kosten und
Beiträge
(1) Die
zuständige Behörde erhebt für ihre folgenden Amtshandlungen Kosten (Gebühren und
Auslagen):
1. Maßnahmen im Rahmen
der freiwilligen Akkreditierung von Zertifizierungsdiensteanbietern nach § 15 und der Rechtsverordnung
nach §
24,
2. Maßnahmen im Rahmen
der Ausstellung der qualifizierten Zertifikate nach § 16 Abs. 1 sowie
der Ausstellung von Bescheinigungen nach § 16 Abs.
3,
3. Maßnahmen im Rahmen
der Anerkennung von Prüf- und Bestätigungsstellen nach § 18 und der Rechtsverordnung
nach §
24,
4. Maßnahmen im Rahmen
der Aufsicht nach §
19 Abs. 1 bis 4 in Verbindung mit § 4 Abs. 2 bis 4
und der Rechtsverordnung
nach § 24.
Kosten werden auch für den Verwaltungsaufwand erhoben, der dadurch entsteht,
dass sich die Behörde bei der Durchführung der Aufsicht privater Stellen
bedient. Das Verwaltungskostengesetz findet Anwendung.
(2)
Zertifizierungsdiensteanbieter, die den Betrieb nach § 4 Abs. 3
angezeigt haben, haben zur Abgeltung des Verwaltungsaufwands für die ständige
Erfüllung der Voraussetzungen nach § 19 Abs. 6 eine
Abgabe an die zuständige Behörde zu entrichten, die als Jahresbeitrag erhoben
wird. Zertifizierungsdiensteanbieter, die nach § 15 Abs. 1
akkreditiert sind, haben zur Abgeltung des Verwaltungsaufwands für die ständige
Erfüllung der Voraussetzungen nach § 16 Abs. 2 eine
Abgabe an die zuständige Behörde zu entrichten, die als Jahresbeitrag erhoben
wird.
§ 23 Ausländische elektronische
Signaturen und Produkte für elektronische
Signaturen
(1)
Elektronische Signaturen, für die ein ausländisches qualifiziertes Zertifikat
aus einem anderen Mitgliedstaat der Europäischen Union oder aus einem anderen
Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum vorliegt,
sind, soweit sie Artikel 5 Abs. 1 der Richtlinie 1999/93/EG des Europäischen
Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche
Rahmenbedingungen für elektronische Signaturen (ABl. EG 2000 Nr. L 13 S. 2) in
der jeweils geltenden Fassung entsprechen, qualifizierten elektronischen
Signaturen gleichgestellt. Elektronische Signaturen aus Drittstaaten sind
qualifizierten elektronischen Signaturen gleichgestellt, wenn das Zertifikat von
einem dortigen Zertifizierungsdiensteanbieter öffentlich als qualifiziertes
Zertifikat ausgestellt und für eine elektronische Signatur im Sinne von Artikel
5 Abs. 1 der Richtlinie 1999/93/EG bestimmt ist und wenn
1. der
Zertifizierungsdiensteanbieter die Anforderungen der Richtlinie erfüllt und in
einem Mitgliedstaat der Europäischen Union oder einem anderen Vertragsstaat des
Abkommens über den Europäischen Wirtschaftsraum akkreditiert ist
oder
2. ein in der
Gemeinschaft niedergelassener Zertifizierungsdiensteanbieter, welcher die
Anforderungen der Richtlinie erfüllt, für das Zertifikat einsteht
oder
3. das Zertifikat oder
der Zertifizierungsdiensteanbieter im Rahmen einer bilateralen oder
multilateralen Vereinbarung zwischen der Europäischen Union und Drittstaaten
oder internationalen Organisationen anerkannt ist.
(2)
Elektronische Signaturen nach Absatz 1 sind qualifizierten elektronischen
Signaturen mit Anbieter-Akkreditierung nach § 15 Abs. 1
gleichgestellt, wenn sie nachweislich gleichwertige Sicherheit
aufweisen.
(3) Produkte
für elektronische Signaturen, bei denen in einem anderen Mitgliedstaat der
Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den
Europäischen Wirtschaftsraum festgestellt wurde, dass sie den Anforderungen der
Richtlinie 1999/ 93/EG in der jeweils geltenden Fassung entsprechen, werden
anerkannt. Den nach § 15 Abs. 7
geprüften Produkten für qualifizierte elektronische Signaturen werden Produkte
für elektronische Signaturen aus einem in Satz 1 genannten Staat oder aus einem
Drittstaat gleichgestellt, wenn sie nachweislich gleichwertige Sicherheit
aufweisen.
§ 24
Rechtsverordnung
Die
Bundesregierung wird ermächtigt, durch Rechtsverordnung die zur Durchführung der
§§ 3 bis 23
erforderlichen Rechtsvorschriften
zu erlassen über
1. die Ausgestaltung der
Pflichten der Zertifizierungsdiensteanbieter in Bezug auf die Betriebsaufnahme
und während des Betriebes sowie bei Einstellung des Betriebes nach § 4 Abs. 2 und 3,
§§ 5, 6 Abs.
1, §§ 8,
10, 13 und 15,
2. die
gebührenpflichtigen Tatbestände und die Gebührensätze sowie die Höhe der
Beiträge und das Verfahren der Beitragserhebung durch die zuständige Behörde;
bei der Bemessung der Beiträge ist der Verwaltungsaufwand (Personal- und
Sachaufwand) sowie Investitionsaufwand zugrunde zu legen soweit er nicht bereits
durch eine Gebühr abgegolten wird,
3. die Ausgestaltung des
Inhalts und die Gültigkeitsdauer von qualifizierten Zertifikaten nach §
7,
4. die zur Erfüllung der
Verpflichtung zur Deckungsvorsorge nach § 12 zulässigen
Sicherheitsleistungen sowie deren Umfang, Höhe und inhaltliche
Ausgestaltung,
5. die näheren
Anforderungen an Produkte für qualifizierte elektronische Signaturen nach § 17 Abs. 1 bis 3
sowie die Prüfung dieser Produkte und die Bestätigung, dass die Anforderungen
erfüllt sind, nach §
17 Abs. 4 und § 15 Abs.
7,
6. die Einzelheiten des
Verfahrens der Anerkennung sowie der Tätigkeit von Prüf- und Bestätigungsstellen
nach §
18,
7. den Zeitraum sowie
das Verfahren, nach dem Daten mit einer qualifizierten elektronischen Signatur
nach § 6 Abs.
1 Satz 2 neu signiert werden sollten,
8. das Verfahren zur
Feststellung der gleichwertigen Sicherheit von ausländischen elektronischen
Signaturen und ausländischen Produkten für elektronische Signaturen nach §
23.
§ 25
Übergangsvorschriften
(1) Die nach
dem Signaturgesetz vom 22. Juli 1997 (BGBl. I S. 1870, 1872), geändert durch
Artikel 5 des Gesetzes vom 19. Dezember 1998 (BGBl. I S. 3836), genehmigten
Zertifizierungsstellen gelten als akkreditiert im Sinne von § 15. Diese haben
der zuständigen Behörde innerhalb von drei Monaten nach Inkrafttreten dieses
Gesetzes einen Deckungsnachweis nach § 12
vorzulegen.
(2) Die von den
Zertifizierungsstellen nach Absatz 1 bis zum Zeitpunkt des Inkrafttretens dieses
Gesetzes nach § 5 des Signaturgesetzes vom 22. Juli 1997 (BGBl. I S. 1870,
1872), geändert durch Artikel 5 des Gesetzes vom 19. Dezember 1998 (BGBl. I S.
3836), ausgestellten Zertifikate sind qualifizierten Zertifikaten
gleichgestellt. Inhaber von Zertifikaten nach Satz 1 sind innerhalb von sechs
Monaten nach Inkrafttreten dieses Gesetzes durch die Zertifizierungsstelle nach
§ 6 Abs. 2 in
geeigneter Weise zu unterrichten.
(3) Die von der
zuständigen Behörde erfolgten Anerkennungen von Prüf- und Bestätigungsstellen
nach § 4 Abs. 3 Satz 3 und § 14 Abs. 4 des Signaturgesetzes vom 22. Juli 1997
(BGBl. I S. 1870, 1872), geändert durch Artikel 5 des Gesetzes vom 19. Dezember
1998 (BGBl. I S. 3836), behalten ihre Gültigkeit, soweit sie in Übereinstimmung
mit § 18
dieses Gesetzes stehen.
(4) Technische
Komponenten, bei denen die Erfüllung der Anforderungen nach § 14 Abs. 4 des
Signaturgesetzes vom 22. Juli 1997 (BGBl. I S. 1870, 1872) geprüft und bestätigt
wurde, sind Produkten für qualifizierte elektronische Signaturen nach § 15 Abs. 7 dieses
Gesetzes gleichgestellt.
|
