Für Inhalt, Vollständigkeit und Aktualität der Informationen übernehmen wir keine Gewähr.
Gesetz
zur digitalen Signatur (Signaturgesetz - SigG)
(Artikel
3 des Gesetzes Regelung der Rahmenbedingungen für Informations-
und Kommunikationsdienste vom 13. Juni 1997 Stand: 01.05.2001)
Erster
Abschnitt Allgemeine Bestimmungen
§
1 Zweck und Anwendungsbereich
(1)
Zweck des Gesetzes ist es, Rahmenbedingungen für elektronische
Signaturen zu schaffen.
(2)
Soweit nicht bestimmte elektronische Signaturen durch
Rechtsvorschrift vorgeschrieben sind, ist ihre Verwendung
freigestellt.
(3)
Rechtsvorschriften können für die öffentlichrechtliche
Verwaltungstätigkeit bestimmen, dass der Einsatz qualifizierter
elektronischer Signaturen zusätzlichen Anforderungen unterworfen
wird. Diese Anforderungen müssen objektiv, verhältnismäßig
und nicht diskriminierend sein und dürfen sich nur auf die
spezifischen Merkmale der betreffenden Anwendung beziehen.
§
2 Begriffsbestimmungen
Im
Sinne dieses Gesetzes sind
" elektronische
Signaturen"
Daten in elektronischer Form, die anderen
elektronischen Daten beigefügt oder logisch mit ihnen verknüpft
sind und die zur Authentifizierung dienen,
1.
"
fortgeschrittene elektronische Signaturen" elektronische
Signaturen nach Nummer l, die
a)
ausschließlich dem Signaturschlüssel-Inhaber zugeordnet
sind,
b)
die Identifizierung des Signaturschlüssel-Inhabers ermöglichen,
c)
mit Mitteln erzeugt werden, die der Signaturschlüssel-Inhaber
unter seiner alleinigen Kontrolle halten kann, und
d)
mit den Daten, auf die sie sich beziehen, so verknüpft sind,
dass eine nachträgliche Veränderung der Daten erkannt
werden kann,
2.
"
qualifizierte elektronische Signaturen" elektronische
Signaturen nach Nummer 2, die
a)
auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten
Zertifikat beruhen und
b)
mit einer sicheren Signaturerstellungseinheit erzeugt werden,
3.
"
Signaturschlüssel"
einmalige elektronische Daten wie
private kryptographische Schlüssel, die zur Erstellung einer
elektronischen Signatur verwendet werden,
4.
"
Signaturprüfschlüssel"
elektronische Daten wie
öffentliche kryptographische Schlüssel, die zur Überprüfung
einer elektronischen Signatur verwendet werden,
5.
"
Zertifikate"
elektronische Bescheinigungen, mit denen
Signaturprüfschlüssel einer Person zugeordnet werden und
die Identität dieser Person bestätigt wird,
6.
"
qualifizierte Zertifikate" elektronische Bescheinigungen
nach Nummer 6 für natürliche Personen, die die
Voraussetzungen des § 7 erfüllen und von
Zertifizierungsdiensteanbietern ausgestellt werden, die mindestens
die Anforderungen nach den §§ 4 bis 14 oder §23dieses
Gesetzes und der sich darauf beziehenden Vorschriften der
Rechtsverordnung nach § 24 erfüllen,
7.
"
Zertifizierungsdiensteanbieter"
natürliche oder
juristische Personen, die qualifizierte Zertifikate oder
qualifizierte Zeitstempel ausstellen,
8.
"
Signaturschlüssel-Inhaber"
natürliche Personen,
die Signaturschlüssel besitzen und denen die zugehörigen
Signaturprüfschlüssel durch qualifizierte Zertifikate
zugeordnet sind,
9.
"
sichere Signaturerstellungseinheiten" Software- oder
Hardwareeinheiten zur Speicherung und Anwendung des jeweiligen
Signaturschlüssels, die mindestens die Anforderungen nach §
17 oder § 23 dieses Gesetzes und der sich darauf beziehenden
Vorschriften der Rechtsverordnung nach § 24 erfüllen und
die für qualifizierte elektronische Signaturen bestimmt sind,
10.
"
Signaturanwendungskomponenten"
Software- und
Hardwareprodukte, die dazu bestimmt sind,
a)
Daten dem Prozess der Erzeugung oder Prüfung qualifizierter
elektronischer Signaturen zuzuführen oder
b)
qualifizierte elektronische Signaturen zu prüfen oder
qualifizierte Zertifikate nachzuprüfen und die Ergebnisse
anzuzeigen,
11.
"
technische Komponenten für Zertifizierungsdienste"
Software- oder Hardwareprodukte, die dazu bestimmt sind,
a)
Signaturschlüssel zu erzeugen und in eine sichere
Signaturerstellungseinheit zu übertragen,
b)
qualifizierte Zertifikate öffentlich nachprüfbar und
gegebenenfalls abrufbar zu halten oder
c)
qualifizierte Zeitstempel zu erzeugen,
12.
"
Produkte für qualifizierte elektronische Signaturen"
sichere Signaturerstellungseinheiten, Signaturanwendungskomponenten
und technische Komponenten für Zertifizierungsdienste,
13.
"
qualifizierte Zeitstempel" elektronische Bescheinigungen
eines Zertifizierungsdiensteanbieters, der mindestens die
Anforderungen nach den §§ 4 bis 14 sowie § 17 oder §
23 dieses Gesetzes und der sich darauf beziehenden Vorschriften der
Rechtsverordnung nach § 24 erfüllt, darüber, dass ihm
bestimmte elektronische Daten zu einem bestimmten Zeitpunkt
vorgelegen haben,
14.
"
freiwillige Akkreditierung" Verfahren zur Erteilung einer
Erlaubnis für den Betrieb eines Zertifizierungsdienstes, mit der
besondere Rechte und Pflichten verbunden sind.
§
3 Zuständige Behörde
Die
Aufgaben der zuständigen Behörde nach diesem Gesetz und der
Rechtsverordnung nach § 24 obliegen der Behörde nach §
66 des Telekommunikationsgesetzes.
Zweiter
Abschnitt Zertifizierungsdiensteanbieter
§
4 Allgemeine Anforderungen
(1)
Der Betrieb eines Zertifizierungsdienstes ist im Rahmen der Gesetze
genehmigungsfrei.
(2)
Einen Zertifizierungsdienst darf nur betreiben, wer die für den
Betrieb erforderliche Zuverlässigkeit und Fachkunde sowie eine
Deckungsvorsorge nach § 12 nachweist und die weiteren
Voraussetzungen für den Betrieb eines Zertifizierungsdienstes
nach diesem Gesetz und der Rechtsverordnung nach § 24 Nr. 1, 3
und 4 gewährleistet. Die erforderliche Zuverlässigkeit
besitzt, wer die Gewähr dafür bietet, als
Zertifizierungsdiensteanbieter die für den Betrieb maßgeblichen
Rechtsvorschriften einzuhalten. Die erforderliche Fachkunde liegt
vor, wenn die im Betrieb eines Zertifizierungsdienstes tätigen
Personen über die für diese Tätigkeit notwendigen
Kenntnisse, Erfahrungen und Fertigkeiten verfügen. Die weiteren
Voraussetzungen für den Betrieb eines Zertifizierungsdienstes
liegen vor, wenn die Maßnahmen zur Erfüllung der
Sicherheitsanforderungen nach diesem Gesetz und der Rechtsverordnung
nach § 24 Nr. 1, 3 und 4 der zuständigen Behörde in
einem Sicherheitskonzept aufgezeigt und geeignet und praktisch
umgesetzt sind.
(3)
Wer den Betrieb eines Zertifizierungsdienstes aufnimmt, hat dies der
zuständigen Behörde spätestens mit der
Betriebsaufnahme anzuzeigen. Mit der Anzeige ist in geeigneter Form
darzulegen, dass die Voraussetzungen nach Absatz 2 vorliegen.
(4)
Die Erfüllung der Voraussetzungen nach Absatz 2 ist über
die gesamte Zeitdauer der Tätigkeit des Zertifizierungsdienstes
sicherzustellen. Umstände, die dies nicht mehr ermöglichen,
sind der zuständigen Behörde unverzüglich anzuzeigen.
(5)
Der Zertifizierungsdiensteanbieter kann unter Einbeziehung in sein
Sicherheitskonzept nach Absatz 2 Satz 4 Aufgaben nach diesem Gesetz
und der Rechtsverordnung nach § 24 an Dritte übertragen.
§
5 Vergabe von qualifizierten Zertifikaten
(1)
Der Zertifizierungsdiensteanbieter hat Personen, die ein
qualifiziertes Zertifikat beantragen, zuverlässig zu
identifizieren. Er hat die Zuordnung eines Signaturprüfschlüssels
zu einer identifizierten Person durch ein qualifiziertes Zertifikat
zu bestätigen und dieses jederzeit für jeden über
öffentlich erreichbare Kommunikationsverbindungen nachprüfbar
und abrufbar zu halten. Ein qualifiziertes Zertifikat darf nur mit
Zustimmung des Signaturschlüssel-Inhabers abrufbar gehalten
werden.
(2)
Ein qualifiziertes Zertifikat kann auf Verlangen eines Antragstellers
Angaben über seine Vertretungsmacht für eine dritte Person
sowie berufsbezogene oder sonstige Angaben zu seiner Person
(Attribute) enthalten. Hinsichtlich der Angaben über die
Vertretungsmacht ist die Einwilligung der dritten Person
nachzuweisen
berufsbezogene oder sonstige Angaben zur Person sind
durch die für die berufsbezogenen oder sonstigen Angaben
zuständige Stelle zu bestätigen. Angaben über die
Vertretungsmacht für eine dritte Person dürfen nur bei
Nachweis der Einwilligung nach Satz 2, berufsbezogene oder sonstige
Angaben des Antragstellers zur Person nur bei Vorlage der Bestätigung
nach Satz 2 in ein qualifiziertes Zertifikat aufgenommen werden.
Weitere personenbezogene Angaben dürfen in ein qualifiziertes
Zertifikat nur mit Einwilligung des Betroffenen aufgenommen werden.
(3)
Der Zertifizierungsdiensteanbieter hat auf Verlangen eines
Antragstellers in einem qualifizierten Zertifikat anstelle seines
Namens ein Pseudonym aufzuführen. Enthält ein
qualifiziertes Zertifikat Angaben über eine Vertretungsmacht für
eine dritte Person oder berufsbezogene oder sonstige Angaben zur
Person, ist eine Einwilligung der dritten Person oder der für
die berufsbezogenen oder sonstigen Angaben zuständigen Stelle
zur Verwendung des Pseudonyms erforderlich.
(4)
Der Zertifizierungsdiensteanbieter hat Vorkehrungen zu treffen, damit
Daten für qualifizierte Zertifikate nicht unbemerkt gefälscht
oder verfälscht werden können. Er hat weiter Vorkehrungen
zu treffen, um die Geheimhaltung der Signaturschlüssel zu
gewährleisten. Eine Speicherung von Signaturschlüsseln
außerhalb der sicheren Signaturerstellungseinheit ist
unzulässig.
(5)
Der Zertifizierungsdiensteanbieter hat für die Ausübung der
Zertifizierungstätigkeit zuverlässiges Personal und
Produkte für qualifizierte elektronische Signaturen, die
mindestens die Anforderungen nach den §§ 4 bis 14 sowie §
17 oder § 23 dieses Gesetzes und der Rechtsverordnung nach §
24 erfüllen, einzusetzen.
(6)
Der Zertifizierungsdiensteanbieter hat sich in geeigneter Weise zu
überzeugen, dass der Antragsteller die zugehörige sichere
Signaturerstellungseinheit besitzt.
§
6 Unterrichtungspflicht
(1)
Der Zertifizierungsdiensteanbieter hat den Antragsteller nach §
5 Abs. 1 über die Maßnahmen zu unterrichten, die
erforderlich sind, um zur Sicherheit von qualifizierten
elektronischen Signaturen und zu deren zuverlässiger Prüfung
beizutragen. Er hat den Antragsteller darauf hinzuweisen, dass Daten
mit einer qualifizierten elektronischen Signatur bei Bedarf neu zu
signieren sind, bevor der Sicherheitswert der vorhandenen Signatur
durch Zeitablauf geringer wird.
(2)
Der Zertifizierungsdiensteanbieter hat den Antragsteller darüber
zu unterrichten, dass eine qualifizierte elektronische Signatur im
Rechtsverkehr die gleiche Wirkung hat wie eine eigenhändige
Unterschrift, wenn durch Gesetz nicht ein anderes bestimmt ist.
(3)
Zur Unterrichtung nach Absatz 1 und 2 ist dem Antragsteller eine
schriftliche Belehrung auszuhändigen, deren Kenntnisnahme dieser
durch gesonderte Unterschrift zu bestätigen hat. Soweit ein
Antragsteller bereits zu einem früheren Zeitpunkt nach den
Absätzen 1 und 2 unterrichtet worden ist, kann eine erneute
Unterrichtung unterbleiben.
§
7 Inhalt von qualifizierten Zertifikaten
(1)
Ein qualifiziertes Zertifikat muss folgende Angaben enthalten und
eine qualifizierte elektronische Signatur tragen:
1.
den Namen des Signaturschlüssel-Inhabers, der im Falle einer
Verwechslungsmöglichkeit mit einem Zusatz zu versehen ist, oder
ein dem Signaturschlüssel-Inhaber zugeordnetes unverwechselbares
Pseudonym, das als solches kenntlich sein muss,
2.
den zugeordneten Signaturprüfschlüssel,
3.
die Bezeichnung der Algorithmen, mit denen der Signaturprüfschlüssel
des Signaturschlüssel-Inhabers sowie der Signaturprüfschlüssel
des Zertifizierungsdiensteanbieters benutzt werden kann,
4.
die laufende Nummer des Zertifikates,
5.
Beginn und Ende der Gültigkeit des Zertifikates,
6.
den Namen des Zertifizierungsdiensteanbieters und des Staates, in dem
er niedergelassen ist,
7.
Angaben darüber, ob die Nutzung des Signaturschlüssels auf
bestimmte Anwendungen nach Art oder Umfang beschränkt ist,
8.
Angaben, dass es sich um ein qualifiziertes Zertifikat handelt, und
9.
nach Bedarf Attribute des Signaturschlüssel-Inhabers.
(2)
Attribute können auch in ein gesondertes qualifiziertes
Zertifikat (qualifiziertes Attribut-Zertifikat) aufgenommen werden.
Bei einem qualifizierten Attribut-Zertifikat können die Angaben
nach Absatz 1 durch eindeutige Referenzdaten des qualifizierten
Zertifikates, auf das sie Bezug nehmen, ersetzt werden, soweit sie
nicht für die Nutzung des qualifizierten Attribut-Zertifikats
benötigt werden.
§
8 Sperrung von qualifizierten Zertifikaten
(1)
Der Zertifizierungsdiensteanbieter hat ein qualifiziertes Zertifikat
unverzüglich zu sperren, wenn ein Signaturschlüssel-Inhaber
oder sein Vertreter es verlangt, das Zertifikat auf Grund falscher
Angaben zu § 7 ausgestellt wurde, der
Zertifizierungsdiensteanbieter seine Tätigkeit beendet und diese
nicht von einem anderen Zertifizierungsdiensteanbieter fortgeführt
wird oder die zuständige Behörde gemäß § 19
Abs. 4 eine Sperrung anordnet. Die Sperrung muss den Zeitpunkt
enthalten, von dem an sie gilt. Eine rückwirkende Sperrung ist
unzulässig. Wurde ein qualifiziertes Zertifikat mit falschen
Angaben ausgestellt, kann der Zertifizierungsdiensteanbieter dies
zusätzlich kenntlich machen.
(2)
Enthält ein qualifiziertes Zertifikat Angaben nach § 5 Abs.
2, so kann auch die dritte Person oder die für die
berufsbezogenen oder sonstigen Angaben zur Person zuständige
Stelle, wenn die Voraussetzungen für die berufsbezogenen oder
sonstigen Angaben zur Person nach Aufnahme in das qualifizierte
Zertifikat entfallen, eine Sperrung des betreffenden Zertifikates
nach Absatz l verlangen.
§
9 Qualifizierte Zeitstempel
Stellt
ein Zertifizierungsdiensteanbieter qualifizierte Zeitstempel aus, so
gilt § 5 Abs. 5 entsprechend.
§
10 Dokumentation
(1)
Der Zertifizierungsdiensteanbieter hat die Sicherheitsmaßnahmen
zur Einhaltung dieses Gesetzes und der Rechtsverordnung nach §
24 Nr. 1, 3 und 4 sowie die ausgestellten qualifizierten Zertifikate
nach Maßgabe des Satzes 2 so zu dokumentieren, dass die Daten
und ihre Unverfälschtheit jederzeit nachprüfbar sind. Die
Dokumentation muss unverzüglich so erfolgen, dass sie
nachträglich nicht unbemerkt verändert werden kann. Dies
gilt insbesondere für die Ausstellung und Sperrung von
qualifizierten Zertifikaten.
(2)
Dem Signaturschlüssel-Inhaber ist auf Verlangen Einsicht in die
ihn betreffenden Daten und Verfahrensschritte zu gewähren.
[Gehe niemals mit sanftem Herzen
in die Nacht. (Dylan Thomas)]
§
11 Haftung
(1)
Verletzt ein Zertifizierungsdiensteanbieter die Anforderungen dieses
Gesetzes oder der Rechtsverordnung nach § 24 oder versagen seine
Produkte für qualifizierte elektronische Signaturen oder
sonstige technische Sicherungseinrichtungen, so hat er einem Dritten
den Schaden zu ersetzen, den dieser dadurch erleidet, dass er auf die
Angaben in einem qualifizierten Zertifikat, einem qualifizierten
Zeitstempel oder einer Auskunft nach § 5 Abs. 1 Satz 2 vertraut.
Die Ersatzpflicht tritt nicht ein, wenn der Dritte die
Fehlerhaftigkeit der Angabe kannte oder kennen musste.
(2)
Die Ersatzpflicht tritt nicht ein, wenn der
Zertifizierungsdiensteanbieter nicht schuldhaft gehandelt hat.
(3)
Wenn ein qualifiziertes Zertifikat die Nutzung des Signaturschlüssels
auf bestimmte Anwendungen nach Art oder Umfang beschränkt, tritt
die Ersatzpflicht nur im Rahmen dieser Beschränkungen ein.
(4)
Der Zertifizierungsdiensteanbieter haftet für beauftragte Dritte
nach § 4 Abs. 5 und beim Einstehen für ausländische
Zertifikate nach § 23 Abs. 1 Nr. 2 wie für eigenes Handeln.
§ 831 Abs. 1 Satz 2 des Bürgerlichen Gesetzbuchs findet
keine Anwendung.
§
12 Deckungsvorsorge
Der
Zertifizierungsdiensteanbieter ist verpflichtet, eine geeignete
Deckungsvorsorge zu treffen, damit er seinen gesetzlichen
Verpflichtungen zum Ersatz von Schäden nachkommen kann. die
dadurch entstehen. dass er die Anforderungen dieses Gesetzes oder der
Rechtsverordnung nach § 24 verletzt oder seine Produkte für
qualifizierte elektronische Signaturen oder sonstige technische
Sicherungseinrichtungen versagen. Die Mindestsumme beträgt
jeweils 250 000 Euro*
für einen durch ein haftungsauslösendes Ereignis der in
Satz 1 bezeichneten Art verursachten Schaden.
*
bis 31.12.2001: " 500 000 Deutsche Mark"
§
13 Einstellung der Tätigkeit
(1)
Der Zertifizierungsdiensteanbieter hat die Einstellung seiner
Tätigkeit unverzüglich der zuständigen Behörde
anzuzeigen. Er hat dafür zu sorgen, dass die bei Einstellung der
Tätigkeit gültigen qualifizierten Zertifikate von einem
anderen Zertifizierungsdiensteanbieter übernommen werden, oder
diese zu sperren. Er hat die betroffenen Signaturschlüssel-Inhaber
über die Einstellung seiner Tätigkeit und die Übernahme
der qualifizierten Zertifikate durch einen anderen
Zertifizierungsdiensteanbieter zu benachrichtigen.
(2)
Der Zertifizierungsdiensteanbieter hat die Dokumentation nach §
10 an den Zertifizierungsdiensteanbieter, welcher die Zertifikate
nach Absatz 1 übernimmt, zu übergeben. Übernimmt kein
anderer Zertifizierungsdiensteanbieter die Dokumentation, so hat die
zuständige Behörde diese zu übernehmen. Die zuständige
Behörde erteilt bei Vorliegen eines berechtigten Interesses
Auskunft zur Dokumentation nach Satz 2, soweit dies technisch ohne
unverhältnismäßig großen Aufwand möglich
ist.
(3)
Der Zertifizierungsdiensteanbieter hat einen Antrag auf Eröffnung
eines Insolvenzverfahrens der zuständigen Behörde
unverzüglich anzuzeigen.
§
14 Datenschutz
(1)
Der Zertifizierungsdiensteanbieter darf personenbezogene Daten nur
unmittelbar beim Betroffenen selbst und nur insoweit erheben, als
dies für Zwecke eines qualifizierten Zertifikates erforderlich
ist. Eine Datenerhebung bei Dritten ist nur mit Einwilligung des
Betroffenen zulässig. Für andere als die in Satz l
genannten Zwecke dürfen die Daten nur verwendet werden, wenn
dieses Gesetz es erlaubt oder der Betroffene eingewilligt hat.
(2)
Bei einem Signaturschlüssel-Inhaber mit Pseudonym hat der
Zertifizierungsdiensteanbieter die Daten über dessen Identität
auf Ersuchen an die zuständigen Stellen zu übermitteln,
soweit dies für die Verfolgung von Straftaten oder
Ordnungswidrigkeiten, zur Abwehr von Gefahren für die
öffentliche Sicherheit oder Ordnung oder für die Erfüllung
der gesetzlichen Aufgaben der Verfassungsschutzbehörden des
Bundes und der Länder, des Bundesnachrichtendienstes, des
Militärischen Abschirmdienstes oder der Finanzbehörden
erforderlich ist oder soweit Gerichte dies im Rahmen anhängiger
Verfahren nach Maßgabe der hierfür geltenden Bestimmungen
anordnen. Die Auskünfte sind zu dokumentieren. Die ersuchende
Behörde hat den Signaturschlüssel-Inhaber über die
Aufdeckung des Pseudonyms zu unterrichten, sobald dadurch die
Wahrnehmung der gesetzlichen Aufgaben nicht mehr beeinträchtigt
wird oder wenn das Interesse des Signaturschlüssel-Inhabers an
der Unterrichtung überwiegt.
(3)
Soweit andere als die in § 2 Nr. 8 genannten
Zertifizierungsdiensteanbieter Zertifikate für elektronische
Signaturen ausstellen, gelten die Absätze 1 und 2 entsprechend.
Dritter
Abschnitt Freiwillige Akkreditierung
§
15 Freiwillige Akkreditierung von Zertifizierungsdiensteanbietern
(1)
Zertifizierungsdiensteanbieter können sich auf Antrag von der
zuständigen Behörde akkreditieren lassen die zuständige
Behörde kann sich bei der Akkreditierung privater Stellen
bedienen. Die Akkreditierung ist zu erteilen, wenn der
Zertifizierungsdiensteanbieter nachweist, dass die Vorschriften nach
diesem Gesetz und der Rechtsverordnung nach § 24 erfüllt
sind. Akkreditierte Zertifizierungsdiensteanbieter erhalten ein
Gütezeichen der zuständigen Behörde. Mit diesem wird
der Nachweis der umfassend geprüften technischen und
administrativen Sicherheit für die auf ihren qualifizierten
Zertifikaten beruhenden qualifizierten elektronischen Signaturen
(qualifizierte elektronische Signaturen mit Anbieter-Akkreditierung)
zum Ausdruck gebracht. Sie dürfen sich als akkreditierte
Zertifizierungsdiensteanbieter bezeichnen und sich im Rechts- und
Geschäftsverkehr auf die nachgewiesene Sicherheit berufen.
(2)
Zur Erfüllung der Voraussetzungen nach Absatz 1 muss das
Sicherheitskonzept nach § 4 Abs. 2 Satz 4 durch eine Stelle nach
§ 18 umfassend auf seine Eignung und praktische Umsetzung
geprüft und bestätigt sein. Die Prüfung und
Bestätigung ist nach sicherheitserheblichen Veränderungen
sowie in regelmäßigen Zeitabständen zu wiederholen.
(3)
Die Akkreditierung kann mit Nebenbestimmungen versehen werden, soweit
dies erforderlich ist, um die Erfüllung der Voraussetzungen nach
diesem Gesetz und der Rechtsverordnung nach § 24 bei Aufnahme
und während des Betriebes sicherzustellen.
(4)
Die Akkreditierung ist zu versagen, wenn die Voraussetzungen nach
diesem Gesetz und der Rechtsverordnung nach § 24 nicht erfüllt
sind
§ 19 findet entsprechend Anwendung.
(5)
Bei Nichterfüllung der Pflichten aus diesem Gesetz oder der
Rechtsverordnung nach § 24 oder bei Vorliegen eines
Versagungsgrundes nach Absatz 4 hat die zuständige Behörde
die Akkreditierung zu widerrufen oder diese, soweit die Gründe
bereits zum Zeitpunkt der Akkreditierung vorlagen, zurückzunehmen,
wenn Maßnahmen nach § 19 Abs. 2 keinen Erfolg versprechen.
(6)
Im Falle des Widerrufs oder der Rücknahme einer Akkreditierung
oder im Falle der Einstellung der Tätigkeit eines akkreditierten
Zertifizierungsdiensteanbieters hat die zuständige Behörde
eine Übernahme der Tätigkeit durch einen anderen
akkreditierten Zertifizierungsdiensteanbieter oder die Abwicklung der
Verträge mit den Signaturschlüssel-Inhabern
sicherzustellen. Dies gilt auch bei Antrag auf Eröffnung eines
Insolvenzverfahrens, wenn die Tätigkeit nicht fortgesetzt wird.
Übernimmt kein anderer akkreditierter
Zertifizierungsdiensteanbieter die Dokumentation gemäß §
13 Abs. 2, so hat die zuständige Behörde diese zu
übernehmen
§ 10 Abs. 1 Satz 1 gilt entsprechend.
(7)
Bei Produkten für qualifizierte elektronische Signaturen muss
die Erfüllung der Anforderungen nach § 17 Abs. 1 bis 3 und
der Rechtsverordnung nach § 24 nach dem Stand von Wissenschaft
und Technik hinreichend geprüft und durch eine Stelle nach §
18 bestätigt worden sein Absatz 1 Satz 3 findet entsprechende
Anwendung. Der akkreditierte Zertifizierungsdiensteanbieter hat
1.
für seine Zertifizierungstätigkeit nur nach Satz 1 geprüfte
und bestätigte Produkte für qualifizierte elektronische
Signaturen einzusetzen,
2.
qualifizierte Zertifikate nur für Personen auszustellen, die
nachweislich nach Satz 1 geprüfte und bestätigte sichere
Signaturerstellungseinheiten besitzen, und
3.
die Signaturschlüssel-Inhaber im Rahmen des § 6 Abs. 1 über
nach Satz 1 geprüfte und bestätigte
Signaturanwendungskomponenten zu unterrichten.
§
16 Zertifikate der zuständigen Behörde
(1)
Die zuständige Behörde stellt den akkreditierten
Zertifizierungsdiensteanbietern die für ihre Tätigkeit
benötigten qualifizierten Zertifikate aus. Die Vorschriften für
die Vergabe von qualifizierten Zertifikaten durch akkreditierte
Zertifizierungsdiensteanbieter gelten für die zuständige
Behörde entsprechend. Sie sperrt von ihr ausgestellte
qualifizierte Zertifikate, wenn ein akkreditierter
Zertifizierungsdiensteanbieter seine Tätigkeit einstellt oder
wenn eine Akkreditierung zurückgenommen oder widerrufen wird.
(2)
Die zuständige Behörde hat
1.
die Namen, Anschriften und Kommunikationsverbindungen der
akkreditierten Zertifizierungsdiensteanbieter,
2.
den Widerruf oder die Rücknahme einer Akkreditierung,
3.
die von ihr ausgestellten qualifizierten Zertifikate und deren
Sperrung und
4.
die Beendigung und die Untersagung des Betriebes eines akkreditierten
Zertifizierungsdiensteanbieters jederzeit für jeden über
öffentlich erreichbare Kommunikationsverbindungen nachprüfbar
und abrufbar zu halten.
(3)
Bei Bedarf stellt die zuständige Behörde auch die von den
Zertifizierungsdiensteanbietern oder Herstellern benötigten
elektronischen Bescheinigungen für die automatische
Authentifizierung von Produkten nach § 15 Abs. 7 aus.
Vierter
Abschnitt Technische Sicherheit
§
17 Produkte für elektronische Signaturen
(1)
Für die Speicherung von Signaturschlüsseln sowie für
die Erzeugung qualifizierter elektronischer Signaturen sind sichere
Signaturerstellungseinheiten einzusetzen, die Fälschungen der
Signaturen und Verfälschungen signierter Daten zuverlässig
erkennbar machen und gegen unberechtigte Nutzung der
Signaturschlüssel schützen. Werden die Signaturschlüssel
auf einer sicheren Signaturerstellungseinheit selbst erzeugt, so gilt
Absatz 3 Nr. 1 entsprechend.
(2)
Für die Darstellung zu signierender Daten sind
Signaturanwendungskomponenten erforderlich, die die Erzeugung einer
qualifizierten elektronischen Signatur vorher eindeutig anzeigen und
feststellen lassen, auf welche Daten sich die Signatur bezieht. Für
die Überprüfung signierter Daten sind
Signaturanwendungskomponenten erforderlich, die feststellen lassen,
1.
auf welche Daten sich die Signatur bezieht,
2.
ob die signierten Daten unverändert sind,
3.
welchem Signaturschlüssel-Inhaber die Signatur zuzuordnen ist,
4.
welche Inhalte das qualifizierte Zertifikat, auf dem die Signatur
beruht, und zugehörige qualifizierte Attribut-Zertifikate
aufweisen und
5.
zu welchem Ergebnis die Nachprüfung von Zertifikaten nach §
5 Abs. 1 Satz 2 geführt hat.
Signaturanwendungskomponenten
müssen nach Bedarf auch den Inhalt der zu signierenden oder
signierten Daten hinreichend erkennen lassen. Die
Signaturschlüssel-Inhaber sollen solche
Signaturanwendungskomponenten einsetzen oder andere geeignete
Maßnahmen zur Sicherheit qualifizierter elektronischer
Signaturen treffen.
(3)
Die technischen Komponenten für Zertifizierungsdienste müssen
Vorkehrungen enthalten, um
1.
bei Erzeugung und Übertragung von Signaturschlüsseln die
Einmaligkeit und Geheimhaltung der Signaturschlüssel zu
gewährleisten und eine Speicherung außerhalb der sicheren
Signaturerstellungseinheit auszuschließen,
2.
qualifizierte Zertifikate, die gemäß § 5 Abs. 1 Satz
2 nachprüfbar oder abrufbar gehalten werden, vor unbefugter
Veränderung und unbefugtem Abruf zu schützen sowie
3.
bei Erzeugung qualifizierter Zeitstempel Fälschungen und
Verfälschungen auszuschließen.
(4)
Die Erfüllung der Anforderungen nach den Absätzen 1 und 3
Nr. 1 sowie der Rechtsverordnung nach § 24 ist durch eine Stelle
nach § 18 zu bestätigen. Zur Erfüllung der
Anforderungen nach den Absätzen 2 und 3 Nr. 2 und 3 genügt
eine Erklärung durch den Hersteller des Produkts für ,
qualifizierte elektronische Signaturen.
§
18 Anerkennung von Prüf- und Bestätigungsstellen
(1)
Die zuständige Behörde erkennt eine natürliche oder
juristische Person auf Antrag als Bestätigungsstelle nach §
17 Abs. 4 oder § 15 Abs. 7 Satz 1 oder als Prüf- und Be-
stätigungsstelle nach § 15 Abs. 2 an, wenn diese die für
die Tätigkeit erforderliche Zuverlässigkeit, Unabhängigkeit
und Fachkunde nachweist. Die Anerkennung kann inhaltlich beschränkt,
vorläufig oder mit einer Befristung versehen erteilt werden und
mit Auflagen verbunden sein.
(2)
Die nach Absatz 1 anerkannten Stellen haben ihre Aufgaben
unparteiisch, weisungsfrei und gewissenhaft zu erfüllen. Sie
haben die Prüfungen und Bestätigungen zu dokumentieren und
die Dokumentation im Falle der Einstellung ihrer Tätigkeit an
die zuständige Behörde zu übergeben.
Fünfter
Abschnitt Aufsicht
§
19 Aufsichtsmaßnahmen
(1)
Die Aufsicht über die Einhaltung dieses Gesetzes und der
Rechtsverordnung nach § 24 obliegt der zuständigen Behörde
diese kann sich bei der Durchführung der Aufsicht privater
Stellen bedienen. Mit der Aufnahme des Betriebes unterliegt ein
Zertifizierungsdiensteanbieter der Aufsicht der zuständigen
Behörde.
(2)
Die zuständige Behörde kann gegenüber
Zertifizierungsdiensteanbietern Maßnahmen zur Sicherstellung
der Einhaltung dieses Gesetzes und der Rechtsverordnung nach §
24 treffen.
(3)
Die zuständige Behörde hat einem
Zertifizierungsdiensteanbieter den Betrieb vorübergehend,
teilweise oder ganz zu untersagen, wenn Tatsachen die Annahme
rechtfertigen, dass er
1.
nicht die für den Betrieb eines Zertifizierungsdienstes
erforderliche Zuverlässigkeit besitzt,
2.
nicht nachweist, dass die für den Betrieb erforderliche
Fachkunde vorliegt,
3.
nicht über die erforderliche Deckungsvorsorge verfügt,
4.
ungeeignete Produkte für qualifizierte elektronische Signaturen
verwendet oder
5.
die weiteren Voraussetzungen für den Betrieb eines
Zertifizierungsdienstes nach diesem Gesetz und der Rechtsverordnung
nach § 24 nicht erfüllt und Maßnahmen nach Absatz 2
keinen Erfolg versprechen.
(4)
Die zuständige Behörde kann eine Sperrung von
qualifizierten Zertifikaten anordnen, wenn Tatsachen die Annahme
rechtfertigen, dass qualifizierte Zertifikate gefälscht oder
nicht hinreichend fälschungssicher sind oder dass sichere
Signaturerstellungseinheiten Sicherheitsmängel aufweisen, die
eine unbemerkte Fälschung qualifizierter elektronischer
Signaturen oder eine unbemerkte Verfälschung damit signierter
Daten zulassen.
(5)
Die Gültigkeit der von einem Zertifizierungsdiensteanbieter
ausgestellten qualifizierten Zertifikate bleibt von der Untersagung
des Betriebes und der Einstellung der Tätigkeit sowie der
Rücknahme und dem Widerruf einer Akkreditierung unberührt.
(6)
Die zuständige Behörde hat die Namen der bei ihr
angezeigten Zertifizierungsdiensteanbieter sowie der
Zertifizierungsdiensteanbieter, die ihre Tätigkeit nach §
13 eingestellt haben oder deren Betrieb nach § 19 Abs. 3
untersagt wurde, für jeden über öffentlich erreichbare
Kommunikationsverbindungen abrufbar zu halten.
§
20 Mitwirkungspflicht
(1)
Die Zertifizierungsdiensteanbieter und die für diese nach §
4 Abs. 5 tätigen Dritten haben der zuständigen Behörde
und den in ihrem Auftrag handelnden Personen das Betreten der
Geschäfts- und Betriebsräume während der üblichen
Betriebszeiten zu gestatten, auf Verlangen die in Betracht kommenden
Bücher, Aufzeichnungen, Belege, Schriftstücke und sonstigen
Unterlagen in geeigneter Weise zur Einsicht vorzulegen, auch soweit
sie in elektronischer Form geführt werden, Auskunft zu erteilen
und die erforderliche Unterstützung zu gewähren.
(2)
Der zur Erteilung einer Auskunft Verpflichtete kann die Auskunft
verweigern, wenn er sich damit selbst oder einen der in § 383
Abs. 1 Nr. 1 bis 3 der Zivilprozessordnung bezeichneten Angehörigen
der Gefahr der Verfolgung wegen einer Straftat oder eines Verfahrens
nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde.
Er ist auf dieses Recht hinzuweisen.
Sechster
Abschnitt Schlussbestimmungen
§
21 Bußgeldvorschriften
(1)
Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
1.
entgegen § 4 Abs. 2 Satz 1, auch in Verbindung mit einer
Rechtsverordnung nach § 24 Nr. 1, 3 und 4, einen
Zertifizierungsdienst betreibt,
2.
entgegen § 4 Abs. 3 Satz 1 oder § 13 Abs. 1 Satz 1 eine
Anzeige nicht, nicht richtig oder nicht rechtzeitig erstattet,
3.
entgegen § 5 Abs. 1 Satz 1 in Verbindung mit einer
Rechtsverordnung nach § 24 Nr. 1 eine Person nicht, nicht
richtig oder nicht rechtzeitig identifiziert,
4.
entgegen § 5 Abs. 1 Satz 2, auch in Verbindung mit einer
Rechtsverordnung nach § 24 Nr. 1, ein qualifiziertes Zertifikat
nicht nachprüfbar hält,
5.
entgegen § 5 Abs. 1 Satz 3 ein qualifiziertes Zertifikat
abrufbar hält,
6.
entgegen § 5 Abs. 2 Satz 3 oder 4 eine Angabe in ein
qualifiziertes Zertifikat aufnimmt,
7.
entgegen § 5 Abs. 4 Satz 2, auch in Verbindung mit einer
Rechtsverordnung nach § 24 Nr. 1, eine Vorkehrung nicht oder
nicht richtig trifft,
8.
entgegen § 5 Abs. 4 Satz 3 einen Signaturschlüssel
speichert,
9.
entgegen § 10 Abs. 1 Satz 1, auch in Verbindung mit einer
Rechtsverordnung nach § 24 Nr. 1, eine Sicherheitsmaßnahme
oder ein qualifiziertes Zertifikat nicht, nicht richtig oder nicht
rechtzeitig dokumentiert,
10.
entgegen § 13 Abs. 1 Satz 2, auch in Verbindung mit einer
Rechtsverordnung nach § 24 Nr. 1, nicht dafür sorgt, dass
ein qualifiziertes Zertifikat von einem anderen
Zertifizierungsdiensteanbieter übernommen wird und ein
qualifiziertes Zertifikat nicht oder nicht rechtzeitig sperrt oder
11.
entgegen § 13 Abs. 1 Satz 3 in Verbindung mit einer
Rechtsverordnung nach § 24 Nr. 1 einen Signaturschlüssel-Inhaber
nicht, nicht richtig oder nicht rechtzeitig benachrichtigt.
(2)
Die Ordnungswidrigkeit kann in den Fällen des Absatzes 1 Nr. 1,
7 und 8 mit einer Geldbuße bis zu 50 000,- Euro*,
in den übrigen Fällen mit einer Geldbuße bis zu
zehntausend Euro**
geahndet werden.
(3)
Verwaltungsbehörde im Sinne des § 36 Abs. 1 Nr. 1 des
Gesetzes über Ordnungswidrigkeiten ist die Regulierungsbehörde
für Telekommunikation und Post.
*
bis 31.12.2001: " 100 000,- Deutsche Mark" *
bis 31.12.2001: " zwanzigtausend Deutsche Mark"
§
22 Kosten und Beiträge
(1)
Die zuständige Behörde erhebt für ihre folgenden
Amtshandlungen Kosten (Gebühren und Auslagen):
1.
Maßnahmen im Rahmen der freiwilligen Akkreditierung von
Zertifizierungsdiensteanbietem nach § 15 und der
Rechtsverordnung nach § 24,
2.
Maßnahmen im Rahmen der Ausstellung der qualifizierten
Zertifikate nach § 16 Abs. 1 sowie der Ausstellung von
Bescheinigungen nach § 16 Abs. 3,
3.
Maßnahmen im Rahmen der Anerkennung von Prüf- und
Bestätigungsstellen nach § 18 und der Rechtsverordnung nach
§ 24,
4.
Maßnahmen im Rahmen der Aufsicht nach § 19 Abs. 1 bis 4 in
Verbindung mit § 4 Abs. 2 bis 4 und der Rechtsverordnung nach §
24.
Kosten
werden auch für den Verwaltungsaufwand erhoben, der dadurch
entsteht, dass sich die Behörde bei der Durchführung der
Aufsicht privater Stellen bedient. Das Verwaltungskostengesetz findet
Anwendung.
(2)
Zertifizierungsdiensteanbieter, die den Betrieb nach § 4 Abs. 3
angezeigt haben, haben zur Abgeltung des Verwaltungsaufwands für
die ständige Erfüllung der Voraussetzungen nach § 19
Abs. 6 eine Abgabe an die zuständige Behörde zu entrichten,
die als Jahresbeitrag erhoben wird. Zertifizierungsdiensteanbieter,
die nach § 15 Abs. 1 akkreditiert sind, haben zur Abgeltung des
Verwaltungaufwands für die ständige Erfüllung der
Voraussetzungen nach § 16 Abs. 2 eine Abgabe an die zuständige
Behörde zu entrichten, die als Jahresbeitrag erhoben wird.
§
23 Ausländische elektronische Signaturen und Produkte für
elektronische Signaturen
(1)
Elektronische Signaturen, für die ein ausländisches
qualifiziertes Zertifikat aus einem anderen Mitgliedstaat der
Europäischen Union oder aus einem anderen Vertragsstaat des
Abkommens über den Europäischen Wirtschaftsraum vorliegt,
sind, soweit sie Artikel 5 Abs. 1 der Richtlinie 1999/93/EG des
Europäischen Parlaments und des Rates vom 13. Dezember 1999 über
gemeinschaftliche Rahmenbedingungen für elektronische Signaturen
(ABl. EG 2000 Nr. L 13 S. 2) in der jeweils geltenden Fassung
entsprechen, qualifizierten elektronischen Signaturen gleichgestellt.
Elektronische Signaturen aus Drittstaaten sind qualifizierten
elektronischen Signaturen gleichgestellt, wenn das Zertifikat von
einem dortigen Zertifizierungsdiensteanbieter öffentlich als
qualifiziertes Zertifikat ausgestellt und für eine elektronische
Signatur im Sinne von Artikel 5 Abs. 1 der Richtlinie 1999/93/EG
bestimmt ist und wenn
1.
der Zertifizierungsdiensteanbieter die Anforderungen der Richtlinie
erfüllt und in einem Mitgliedstaat der Europäischen Union
oder einem anderen Vertragsstaat des Abkommens über den
Europäischen Wirtschaftsraum akkreditiert ist oder
2.
ein in der Gemeinschaft niedergelassener
Zertifizierungsdiensteanbieter, welcher die Anforderungen der
Richtlinie erfüllt, für das Zertifikat einsteht oder
3.
das Zertifikat oder der Zertifizierungsdiensteanbieter im Rahmen
einer bilateralen oder multilateralen Vereinbarung zwischen der
Europäischen Union und Drittstaaten oder internationalen
Organisationen anerkannt ist.
(2)
Elektronische Signaturen nach Absatz 1 sind qualifizierten
elektronischen Signaturen mit Anbieter-Akkreditierung nach § 15
Abs. 1, gleichgestellt, wenn sie nachweislich gleichwertige
Sicherheit aufweisen.
(3)
Produkte für elektronische Signaturen, bei denen in einem
anderen Mitgliedstaat der Europäischen Union oder in einem
anderen Vertragsstaat des Abkommens über den Europäischen
Wirtschaftsraum festgestellt wurde, dass sie den Anforderungen der
Richtlinie 1999/93/EG in der jeweils geltenden Fassung entsprechen,
werden anerkannt. Den nach § 15 Abs. 7 geprüften Produkten
für qualifizierte elektronische Signaturen werden Produkte für
elektronische Signaturen aus einem in Satz 1 genannten Staat oder aus
einem Drittstaat gleichgestellt, wenn sie nachweislich gleichwertige
Sicherheit aurweisen.
§
24 Rechtsverordnung
Die
Bundesregierung wird ermächtigt, durch Rechtsverordnung die zur
Durchführung der §§ 3 bis 23 erforderlichen
Rechtsvorschriften zu erlassen über
1.
die Ausgestaltung der Pflichten der Zertifizierungsdiensteanbieter in
Bezug auf die Betriebsaufnahme und während des Betriebes sowie
bei Einstellung des Betriebes nach § 4 Abs. 2 und 3, §§
5, 6 Abs. 1, §§ 8, 10, 13 und 15,
2.
die gebührenpflichtigen Tatbestände und die Gebührensätze
sowie die Höhe der Beiträge und das Verfahren der
Beitragserhebung durch die zuständige Behörde bei der
Bemessung der Beiträge ist der Verwaltungsaufwand (Personal- und
Sachaufwand) sowie Investitionsaufwand zugrunde zu legen, soweit er
nicht bereits durch eine Gebühr abgegolten wird,
3.
die Ausgestaltung des Inhalts und die Gültigkeitsdauer von
qualifizierten Zertifikaten nach § 7,
4.
die zur Erfüllung der Verpflichtung zur Deckungsvorsorge nach §
12 zulässigen Sicherheitsleistungen sowie deren Umfang, Höhe
und inhaltliche Ausgestaltung,
5.
die näheren Anforderungen an Produkte für qualifizierte
elektronische Signaturen nach § 17 Abs. l bis 3 sowie die
Prüfung dieser Produkte und die Bestätigung, dass die
Anforderungen erfüllt sind, nach § 17 Abs. 4 und § 15
Abs. 7,
6.
den Zeitraum sowie das Verfahren, nach dem Daten mit einer
qualifizierten elektronischen Signatur nach § 6 Abs. 1 Satz 2
neu signiert werden sollten,
7.
das Verfahren zur Feststellung der gleichwertigen Sicherheit von
ausländischen elektronischen Signaturen und ausländischen
Produkten für elektronische Signaturen nach § 23.
§
25 Übergangsvorschriften
(1)
Die nach dem Signaturgesetz vom 28. Juli 1997 (BGBl. I S. 1870,
1872), geändert durch Artikel 5 des Gesetzes vom 19. Dezember
1998 (BGBl. I S. 3836), genehmigten Zertifizierungsstellen gelten als
akkreditiert im Sinne von § 15. Diese haben der zuständigen
Behörde innerhalb von drei Monaten nach Inkrafttreten dieses
Gesetzes einen Deckungsnachweis nach § 12 vorzulegen.
(2)
Die von den Zertifizierungsstellen nach Absatz 1 bis zum Zeitpunkt
des Inkrafttretens dieses Gesetzes nach § 5 des Signaturgesetzes
vom 28. Juli 1997 (BGBl. I S. 1870, 1872), geändert durch
Artikel 5 des Gesetzes vom 19. Dezember 1998 (BGBl. I S. 3836),
ausgestellten Zertifikate sind qualifizierten Zertifikaten
gleichgestellt. Inhaber von Zertifikaten nach Satz l sind innerhalb
von sechs Monaten nach Inkrafttreten dieses Gesetzes durch die
Zertifizierungsstelle nach § 6 Abs. 2 Satz 1 und 2 in geeigneter
Weise zu unterrichten.
(3)
Die von der zuständigen Behörde erfolgten Anerkennungen von
Prüf- und Bestätigungsstellen nach § 4 Abs. 3 Satz 3
und § 14 Abs. 4 des Signaturgesetzes vom 28. Juli 1997 (BGBl. I
S. 1870, 1872), geändert durch Artikel 5 des Gesetzes vom 19.
Dezember 1998 (BGBl. I S. 3836), behalten ihre Gültigkeit,
soweit sie in Übereinstimmung mit § 18 dieses Gesetzes
stehen.
(4)
Technische Komponenten, bei denen die Erfüllung der
Anforderungen nach § 14 Abs. 4 des Signaturgesetzes vom 28. Juli
1997 (BGBl. I S. 1870, 1872), geprüft und bestätigt wurde,
sind Produkten für qualifizierte elektronische Signaturen nach §
15 Abs. 7 dieses Gesetzes gleichgestellt.
|