Tools:
Update via:
Synopse aller Änderungen der SigV am 23.11.2010
Diese Gegenüberstellung vergleicht die jeweils alte Fassung (linke Spalte) mit der neuen Fassung (rechte Spalte) aller am 23. November 2010 durch Artikel 1 der 2. SigVÄndV geänderten Einzelnormen. Synopsen für andere Änderungstermine finden Sie in der Änderungshistorie der SigV.Hervorhebungen: alter Text, neuer Text
Änderung verpasst?
| SigV a.F. (alte Fassung) in der vor dem 23.11.2010 geltenden Fassung | SigV n.F. (neue Fassung) in der am 23.11.2010 geltenden Fassung durch Artikel 1 V. v. 15.11.2010 BGBl. I S. 1542 |
|---|---|
(Textabschnitt unverändert) § 1 Form, Inhalt und Änderung der Anzeige | |
(1) Eine Anzeige nach § 4 Abs. 3 des Signaturgesetzes ist schriftlich oder mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehen bei der zuständigen Behörde vorzunehmen. (2) Die Anzeige muss folgende Angaben und Unterlagen umfassen: 1. den Namen und die Anschrift des Zertifizierungsdiensteanbieters, 2. die Namen der gesetzlichen Vertreter, 3. für den Zertifizierungsdiensteanbieter und seine gesetzlichen Vertreter aktuelle Führungszeugnisse nach § 30 Absatz 5 des Bundeszentralregistergesetzes oder Dokumente eines anderen Mitgliedstaates der Europäischen Union oder eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum, die eine gleichwertige Funktion haben oder aus denen hervorgeht, dass die betreffende Anforderung erfüllt ist, 4. einen aktuellen Handelsregisterauszug oder eine vergleichbare Unterlage oder ein Dokument eines anderen Mitgliedstaates der Europäischen Union oder eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum, das eine gleichwertige Funktion hat oder aus dem hervorgeht, dass die betreffende Anforderung erfüllt ist, 5. Belege zum Nachweis der erforderlichen technischen, administrativen und juristischen Fachkunde nach § 4 Abs. 2 Satz 3 des Signaturgesetzes, 6. ein Sicherheitskonzept mit einer genauen Darlegung, wie dieses umgesetzt ist, einschließlich der Übertragung von Aufgaben an Dritte nach § 4 Abs. 5 des Signaturgesetzes, und 7. einen Nachweis der Deckungsvorsorge nach § 12 des Signaturgesetzes. | |
| (Text alte Fassung) Ändern sich die Umstände nach Satz 1 Nr. 1 oder Nr. 2 oder sicherheitserhebliche Umstände nach Satz 1 Nr. 6, ist die zuständige Behörde schriftlich oder mittels eines mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehenen elektronischen Dokuments zu informieren. § 2 bleibt unberührt. | (Text neue Fassung) Ändern sich die Umstände nach Satz 1 Nr. 1 oder Nr. 2 oder sicherheitserhebliche Umstände nach Satz 1 Nr. 6, ist die zuständige Behörde schriftlich oder mittels eines mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehenen elektronischen Dokuments unverzüglich zu informieren. § 2 bleibt unberührt. |
(3) Soweit Teile des Zertifizierungsdienstes in einem Staat nach § 23 Abs. 1 Satz 1 des Signaturgesetzes oder unter den Bedingungen des § 23 Abs. 1 Satz 2 Nr. 3 des Signaturgesetzes in einem Drittstaat betrieben werden, sind zusätzlich Nachweise darüber vorzulegen, dass der Betrieb einer gleichwertigen Aufsicht unterliegt. Der Betrieb von Teilen des Zertifizierungsdienstes in einem anderen als in Satz 1 genannten Staat ist nur im Rahmen einer freiwilligen Akkreditierung zulässig, soweit die Sicherstellung der Aufsicht nachgewiesen wird. | |
§ 3 Identitätsprüfung und Attributsnachweise | |
| (1) Der Zertifizierungsdiensteanbieter hat die Identifizierung des Antragstellers nach § 5 Abs. 1 des Signaturgesetzes anhand des Personalausweises oder eines Reisepasses, der auf eine Person mit Staatsangehörigkeit eines Mitgliedstaates der Europäischen Union oder eines Staates des Europäischen Wirtschaftsraumes ausgestellt worden ist, oder anhand von Dokumenten mit gleichwertiger Sicherheit vorzunehmen. Die Identifizierung des Antragstellers kann auch mithilfe des elektronischen Identitätsnachweises gemäß § 18 des Personalausweisgesetzes erfolgen. Soweit ein Antrag auf ein qualifiziertes Zertifikat mittels eines mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehenen elektronischen Dokuments des Antragstellers gestellt wird, kann der Zertifizierungsdiensteanbieter von einer erneuten Identifizierung absehen. Die Identifizierung ist vor Übergabe des qualifizierten Zertifikats und vor Einstellung in das Zertifikatsverzeichnis gemäß § 4 Abs. 1 vorzunehmen. (2) Sollen nach § 5 Abs. 2 des Signaturgesetzes in ein qualifiziertes Zertifikat Attribute aufgenommen werden, muss die nach § 5 Abs. 2 Satz 2 oder Satz 4 oder Abs. 3 Satz 2 des Signaturgesetzes erforderliche Einwilligung oder Bestätigung mittels eines mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehenen elektronischen Dokuments oder schriftlich vorliegen. Die dritte Person oder die für die berufsbezogenen oder sonstigen Angaben zur Person zuständige Stelle ist mittels eines mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehenen elektronischen Dokuments oder schriftlich über den Inhalt des qualifizierten Zertifikates zu unterrichten und auf die Möglichkeit der Sperrung hinzuweisen. | (1) Der Zertifizierungsdiensteanbieter hat die Identifizierung des Antragstellers nach § 5 Absatz 1 des Signaturgesetzes anhand folgender Dokumente oder Verfahren vorzunehmen: 1. Personalausweis, 2. Reisepass, der auf eine Person mit Staatsangehörigkeit eines Mitgliedstaates der Europäischen Union oder eines Staates des Europäischen Wirtschaftsraumes ausgestellt worden ist, 3. elektronischer Dienstausweis oder 4. Dokumente oder geeignete technische Verfahren mit gleichwertiger Sicherheit zu einer Identifizierung anhand der Dokumente nach den Nummern 1 bis 3. Die Identifizierung des Antragstellers kann auch mithilfe des elektronischen Identitätsnachweises gemäß § 18 des Personalausweisgesetzes erfolgen. Soweit ein Antrag auf ein qualifiziertes Zertifikat mittels eines mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehenen elektronischen Dokuments des Antragstellers gestellt wird, kann der Zertifizierungsdiensteanbieter von einer erneuten Identifizierung absehen. Die Identifizierung ist vor Übergabe des qualifizierten Zertifikats und vor Einstellung in das Zertifikatsverzeichnis gemäß § 4 Abs. 1 vorzunehmen. (2) Sollen nach § 5 Abs. 2 des Signaturgesetzes in ein qualifiziertes Zertifikat Attribute aufgenommen werden, muss die nach § 5 Abs. 2 Satz 2 oder Satz 4 oder Abs. 3 Satz 2 des Signaturgesetzes erforderliche Einwilligung oder Bestätigung mittels eines mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehenen elektronischen Dokuments oder schriftlich vorliegen. Die dritte Person oder die für die berufsbezogenen oder sonstigen Angaben zur Person zuständige Stelle ist in Textform über den Inhalt des qualifizierten Zertifikates zu unterrichten und auf die Möglichkeit der Sperrung hinzuweisen. |
§ 4 Führung eines Zertifikatsverzeichnisses | |
| (1) Der Zertifizierungsdiensteanbieter hat die von ihm ausgestellten qualifizierten Zertifikate, vorbehaltlich eines späteren Zeitpunktes nach § 5 Abs. 2 Satz 2, ab dem Zeitpunkt ihrer Ausstellung für den im jeweiligen Zertifikat angegebenen Gültigkeitszeitraum sowie mindestens fünf weitere Jahre ab dem Schluss des Jahres, in dem die Gültigkeit des Zertifikates endet, in einem Verzeichnis gemäß den Vorgaben nach § 5 Abs. 1 Satz 2 des Signaturgesetzes zu führen. (2) Ein akkreditierter Zertifizierungsdiensteanbieter hat die von ihm ausgestellten qualifizierten Zertifikate, vorbehaltlich eines späteren Zeitpunktes nach § 5 Abs. 2 Satz 2, ab dem Zeitpunkt ihrer Ausstellung für den im jeweiligen Zertifikat angegebenen Gültigkeitszeitraum sowie mindestens 30 weitere Jahre ab dem Schluss des Jahres, in dem die Gültigkeit des Zertifikates endet, in einem Verzeichnis gemäß den Vorgaben nach § 5 Abs. 1 Satz 2 des Signaturgesetzes zu führen. | (1) Der Zertifizierungsdiensteanbieter hat die von ihm ausgestellten qualifizierten Zertifikate, vorbehaltlich eines späteren Zeitpunktes nach § 5 Abs. 2 Satz 2, ab dem Zeitpunkt ihrer Ausstellung für den im jeweiligen Zertifikat angegebenen Gültigkeitszeitraum sowie mindestens fünf weitere Jahre ab dem Schluss des Jahres, in dem die Gültigkeit des Zertifikates endet, in einem Verzeichnis gemäß den Vorgaben nach § 5 Absatz 1 Satz 3 des Signaturgesetzes zu führen. (2) Ein akkreditierter Zertifizierungsdiensteanbieter hat die von ihm ausgestellten qualifizierten Zertifikate, vorbehaltlich eines späteren Zeitpunktes nach § 5 Abs. 2 Satz 2, ab dem Zeitpunkt ihrer Ausstellung für den im jeweiligen Zertifikat angegebenen Gültigkeitszeitraum sowie mindestens 30 weitere Jahre ab dem Schluss des Jahres, in dem die Gültigkeit des Zertifikates endet, in einem Verzeichnis gemäß den Vorgaben nach § 5 Absatz 1 Satz 3 des Signaturgesetzes zu führen. |
(3) Im Falle der Übernahme von qualifizierten Zertifikaten nach § 13 Abs. 1 Satz 2 des Signaturgesetzes gelten die Absätze 1 und 2 entsprechend. | |
§ 5 Einzelne Sicherheitsvorkehrungen des Zertifizierungsdiensteanbieters | |
(1) Der Zertifizierungsdiensteanbieter hat durch geeignete Maßnahmen sicherzustellen, dass Signaturschlüssel nur auf der jeweiligen sicheren Signaturerstellungseinheit oder bei ihm oder einem anderen Zertifizierungsdiensteanbieter unter Nutzung von technischen Komponenten nach § 17 Abs. 3 Nr. 1 des Signaturgesetzes erzeugt und auf sichere Signaturerstellungseinheiten übertragen werden. Soweit er auch Wissensdaten zur Identifikation des Signaturschlüssel-Inhabers gegenüber einer sicheren Signaturerstellungseinheit oder technische Komponenten zur Erfassung biometrischer Merkmale und Übertragung von Referenzdaten auf die sichere Signaturerstellungseinheit bereitstellt, hat er auch Vorkehrungen zu treffen, um die Geheimhaltung der Identifikationsdaten zu gewährleisten und deren Speicherung außerhalb der jeweiligen sicheren Signaturerstellungseinheit nach Einbringen in dieselbe auszuschließen. | |
| (2) Der Zertifizierungsdiensteanbieter hat von ihm bereitgestellte Signaturschlüssel und Identifikationsdaten dem Signaturschlüssel-Inhaber auf der sicheren Signaturerstellungseinheit persönlich zu übergeben und die Übergabe von diesem versehenes elektronisches Dokument bestätigen zu lassen, es sei denn, es wird schriftlich oder mittels einer qualifizierten elektronischen Signatur nach dem Signaturgesetz eine andere Übergabe vereinbart. Erst nachdem der Signaturschlüssel-Inhaber den Erhalt der sicheren Signaturerstellungseinheit gegenüber dem Zertifizierungsdiensteanbieter bestätigt hat, darf das zugehörige qualifizierte Zertifikat nach § 5 Abs. 1 Satz 2 und 3 des Signaturgesetzes nachprüfbar und, soweit vereinbart, abrufbar gehalten werden. | (2) Der Zertifizierungsdiensteanbieter hat sich vom Signaturschlüssel-Inhaber den Besitz der sicheren Signaturerstellungseinheit, auf der der Signaturschlüssel erzeugt oder übergeben wurde, sowie im Falle von § 5 Absatz 1 Satz 2 den Besitz der Identifikationsdaten bestätigen zu lassen; die Bestätigung erfolgt schriftlich oder in Form eines mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehenen elektronischen Dokuments, es sei denn, eine andere Form der Bestätigung wurde vereinbart. Erst nachdem der Signaturschlüssel-Inhaber den Besitz der sicheren Signaturerstellungseinheit gemäß Satz 1 bestätigt hat, darf das zugehörige qualifizierte Zertifikat nach § 5 Absatz 1 Satz 3 und 4 des Signaturgesetzes nachprüfbar und, soweit vereinbart, abrufbar gehalten werden. |
(3) Der Zertifizierungsdiensteanbieter hat sich zur Erfüllung der Voraussetzungen nach § 5 Abs. 5 des Signaturgesetzes von der Zuverlässigkeit von Personen, die am Zertifizierungsverfahren mitwirken, auf geeignete Weise zu überzeugen. Er kann hierzu insbesondere die Vorlage eines Führungszeugnisses nach § 30 Abs. 1 des Bundeszentralregistergesetzes oder Dokumente eines anderen Mitgliedstaates der Europäischen Union oder eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum, die eine gleichwertige Funktion haben oder aus denen hervorgeht, dass die betreffende Anforderung erfüllt ist, verlangen. Unzuverlässige Personen sind vom Zertifizierungsverfahren auszuschließen. Der Zertifizierungsdiensteanbieter hat sich darüber hinaus anhand der Herstellerangaben oder in anderer geeigneter Weise von der Eignung der von ihm eingesetzten Produkte für qualifizierte elektronische Signaturen zu überzeugen und Vorkehrungen zu treffen, um diese vor unbefugtem Zugriff zu schützen. | |
§ 8 Umfang der Dokumentation | |
(1) Die Dokumentation nach § 10 des Signaturgesetzes hat sich auf das Sicherheitskonzept, einschließlich aller Änderungen, die Unterlagen zur Fachkunde der im Betrieb tätigen Personen und die vertraglichen Vereinbarungen mit den Antragstellern zu erstrecken. (2) Zum jeweiligen Antragsteller sind mindestens folgende Angaben und Unterlagen zu dokumentieren: | |
| 1. eine Ablichtung des vorgelegten Ausweises oder andere Identitätsnachweise, | 1. eine Aufzeichnung von Name, Geburtsdatum, Geburtsort und Staatsangehörigkeit auf der Grundlage des nach § 3 Absatz 1 Satz 1 oder 2 verwendeten Identitätsnachweises. Soweit zur Identifizierung gemäß § 3 Absatz 1 Satz 1 ein elektronischer Dienstausweis verwendet wird, ist anstelle von Geburtsort und Staatsangehörigkeit die ausstellende Behörde aufzuzeichnen, |
2. ein vergebenes Pseudonym, | |
| 3. der Nachweis über die Unterrichtung des Antragstellers nach § 6 des Signaturgesetzes, 4. die Nachweise über die Einwilligungen der Berechtigten nach § 5 Abs. 2 Satz 2 und 4 und Abs. 3 Satz 2 des Signaturgesetzes, 5. die Bestätigungen der zuständigen Stellen nach § 5 Abs. 2 Satz 2 des Signaturgesetzes, 6. die ausgestellten qualifizierten Zertifikate mit dem jeweiligen Zeitpunkt der Ausstellung und der Übergabe sowie der Zeitpunkt der Einstellung in das Zertifikatsverzeichnis, 7. die Sperrung von qualifizierten Zertifikaten, 8. Auskünfte nach § 14 Abs. 2 Satz 2 des Signaturgesetzes und 9. die Übergabebestätigungen für Signaturschlüssel und Identifikationsdaten nach § 5 Abs. 2 Satz 1 oder die Erklärung des Signaturschlüssel-Inhabers, wenn er eine andere Übergabe verlangt hat, und gegebenenfalls einen anderen Nachweis. | 3. die Nachweise über die Einwilligungen der Berechtigten nach § 5 Abs. 2 Satz 2 und 4 und Abs. 3 Satz 2 des Signaturgesetzes, 4. die Bestätigungen der zuständigen Stellen nach § 5 Abs. 2 Satz 2 des Signaturgesetzes, 5. die ausgestellten qualifizierten Zertifikate mit dem jeweiligen Zeitpunkt der Ausstellung und der Übergabe sowie der Zeitpunkt der Einstellung in das Zertifikatsverzeichnis, 6. die Sperrung von qualifizierten Zertifikaten, 7. Auskünfte nach § 14 Abs. 2 Satz 2 des Signaturgesetzes und 8. die Bestätigung nach § 5 Absatz 2 Satz 1. |
(3) Die Dokumentation ist vorbehaltlich des Satzes 3 mindestens für den nach § 4 Abs. 1 genannten Zeitraum und bei akkreditierten Zertifizierungsdiensteanbietern mindestens für den nach § 4 Abs. 2 genannten Zeitraum aufzubewahren. Im Falle eines Gerichtsverfahrens, in dem der Nachweis der Zertifizierung von Belang ist, ist unbeschadet des Satzes 1 die Dokumentation mindestens bis zum rechtskräftigen Abschluss des Verfahrens aufzubewahren. Die Dokumentation von Auskünften nach § 14 Abs. 2 Satz 2 des Signaturgesetzes ist zwölf Monate aufzubewahren. | |
§ 9 Ausgestaltung der Deckungsvorsorge | |
(1) Die Deckungsvorsorge nach § 12 des Signaturgesetzes kann erbracht werden 1. durch die Haftpflichtversicherung bei einem im Geltungsbereich dieses Gesetzes, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zum Geschäftsbetrieb befugten Versicherungsunternehmen oder 2. durch eine Freistellungs- oder Gewährleistungsverpflichtung eines im Geltungsbereich dieses Gesetzes, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zum Geschäftsbetrieb befugten Kreditinstituts, wenn gewährleistet ist, dass sie einer Haftpflichtversicherung vergleichbare Sicherheit bietet. (2) Soweit die Deckungsvorsorge durch eine Versicherung nach Absatz 1 Nr. 1 erbracht wird, gelten die folgenden Bestimmungen: | |
| 1. Auf diese Versicherung finden § 113 Abs. 2 und 3 und die §§ 114 bis 124 des Versicherungsvertragsgesetzes Anwendung. Zuständige Behörde nach § 117 Abs. 2 des Versicherungsvertragsgesetzes ist die Behörde nach § 116 des Telekommunikationsgesetzes. | 1. Auf diese Versicherung finden § 113 Abs. 2 und 3 und die §§ 114 bis 124 des Versicherungsvertragsgesetzes Anwendung. Zuständige Behörde nach § 117 Abs. 2 des Versicherungsvertragsgesetzes ist die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen. |
2. Die Mindestversicherungssumme muss 2,5 Millionen Euro für den einzelnen Versicherungsfall betragen. Versicherungsfall ist jedes auf den Einzelfall bezogene haftungsauslösende Ereignis im Sinne des § 12 Satz 1 des Signaturgesetzes, unabhängig von der Anzahl der dadurch ausgelösten Schadensfälle. Eine Vereinbarung, wonach ein Fehler, der sich in mehreren Zertifikaten, Zeitstempeln oder in der Auskunft nach § 5 Abs. 1 Satz 2 des Signaturgesetzes auswirkt, als ein Versicherungsfall gilt, ist nicht zulässig. Wird eine Jahreshöchstleistung für alle in einem Versicherungsjahr verursachten Schäden vereinbart, muss sie mindestens das Vierfache der Mindestversicherungssumme betragen. 3. Der räumliche Geltungsbereich des Versicherungsschutzes kann auf den Geltungsbereich der Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen (ABl. EG 2000, Nr. L 13 S. 2) beschränkt werden. 4. Von der Versicherung kann die Leistung nur ausgeschlossen werden für Ersatzansprüche aus vorsätzlich begangener Pflichtverletzung des Zertifizierungsdiensteanbieters oder der Personen, für die er einzustehen hat. 5. Die Vereinbarung eines Selbstbehaltes bis zu 1 Prozent der Mindestversicherungssumme ist zulässig. | |
§ 10 Einstellen der Tätigkeit | |
| (1) Der Zertifizierungsdiensteanbieter soll die Unterrichtung der zuständigen Behörde nach § 13 Abs. 1 Satz 1 des Signaturgesetzes spätestens zwei Monate vor Einstellung des Betriebes vornehmen. (2) Der Zertifizierungsdiensteanbieter soll die Unterrichtung der Signaturschlüssel-Inhaber nach § 13 Abs. 1 Satz 3 des Signaturgesetzes mindestens zwei Monate vor Betriebsaufgabe vornehmen. Er hat den Signaturschlüssel-Inhabern mitzuteilen, ob ein anderer Zertifizierungsdiensteanbieter die Zertifikate übernimmt, und diesen zu benennen. | Der Zertifizierungsdiensteanbieter soll die Unterrichtung der zuständigen Behörde nach § 13 Abs. 1 Satz 1 des Signaturgesetzes spätestens zwei Monate vor Einstellung des Betriebes vornehmen. |
§ 11 Freiwillige Akkreditierung | |
(1) Der Antrag auf Akkreditierung nach § 15 Abs. 1 des Signaturgesetzes ist schriftlich oder mittels eines mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehenen elektronischen Dokuments zu stellen. Der Antrag auf freiwillige Akkreditierung gilt als Anzeige nach § 1, wenn die dort genannten Voraussetzungen erfüllt sind. | |
| (2) Die Nachweise nach § 15 Abs. 1 Satz 2, Abs. 2 Satz 2 und Abs. 7 des Signaturgesetzes sind durch Vorlage der Ergebnisse der Prüf- und Bestätigungsstelle in schriftlicher Form oder mittels eines mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehenen elektronischen Dokuments zu erbringen. Die regelmäßigen Prüfungen nach § 15 Abs. 2 Satz 2 des Signaturgesetzes sind im Abstand von drei Jahren durchzuführen. Der Prüfbericht und die Bestätigung darüber, dass die Anforderungen des Signaturgesetzes und dieser Verordnung weiterhin in vollem Umfang erfüllt werden, ist der zuständigen Behörde unaufgefordert vorzulegen. | (2) Die Nachweise nach § 15 Abs. 1 Satz 2, Abs. 2 Satz 2 und Abs. 7 des Signaturgesetzes sind durch Vorlage der Ergebnisse der Prüf- und Bestätigungsstelle in schriftlicher Form oder mittels eines mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehenen elektronischen Dokuments zu erbringen. Die regelmäßigen Prüfungen nach § 15 Abs. 2 Satz 2 des Signaturgesetzes sind im Abstand von drei Jahren durchzuführen. Der Prüfbericht und die Bestätigung darüber, dass die Anforderungen des Signaturgesetzes und dieser Verordnung weiterhin in vollem Umfang erfüllt werden, sind der zuständigen Behörde unaufgefordert vorzulegen. Bei sicherheitserheblichen Veränderungen sollen die Prüfungen und Bestätigungen beschränkt werden auf die veränderten Komponenten des Sicherheitskonzepts und deren Schnittstellen zu den beibehaltenen Komponenten. |
(3) Bei der Prüfung und Bestätigung der Sicherheit von Produkten für qualifizierte elektronische Signaturen nach § 15 Abs. 7 Satz 1 des Signaturgesetzes sind die Vorgaben des Abschnitts I der Anlage 1 zu dieser Verordnung zu beachten. | |
§ 14 Inhalt und Gültigkeitsdauer von qualifizierten Zertifikaten | |
(1) Die Angaben nach § 7 Abs. 1 des Signaturgesetzes in einem qualifizierten Zertifikat müssen eindeutig sein. (2) Ein qualifiziertes Attribut-Zertifikat nach § 7 Abs. 2 des Signaturgesetzes muss außer einer eindeutigen Referenz auf das zugrunde liegende qualifizierte Zertifikat mindestens folgende Angaben enthalten und eine qualifizierte elektronische Signatur des Zertifizierungsdiensteanbieters tragen: 1. die Bezeichnung der Algorithmen, mit denen der Signaturprüfschlüssel des Zertifizierungsdiensteanbieters benutzt werden kann, 2. die Nummer des Attribut-Zertifikates, 3. den Namen des Zertifizierungsdiensteanbieters und des Staates, in dem er niedergelassen ist, 4. Angaben, dass es sich um ein qualifiziertes Zertifikat handelt, und 5. ein oder mehrere Attribute nach § 5 Abs. 2 des Signaturgesetzes. | |
| (3) Die Gültigkeitsdauer eines qualifizierten Zertifikates darf höchstens fünf Jahre betragen und den Zeitraum der Eignung der eingesetzten Algorithmen und zugehörigen Parameter nicht überschreiten. Die Gültigkeit eines qualifizierten Attribut-Zertifikates endet spätestens mit der Gültigkeit des qualifizierten Zertifikates, auf das es Bezug nimmt. | (3) Die Gültigkeitsdauer eines qualifizierten Zertifikates darf höchstens zehn Jahre betragen und den Zeitraum der Eignung der eingesetzten Algorithmen und zugehörigen Parameter nicht überschreiten. Die Gültigkeit eines qualifizierten Attribut-Zertifikates endet spätestens mit der Gültigkeit des qualifizierten Zertifikates, auf das es Bezug nimmt. |
§ 15 Anforderungen an Produkte für qualifizierte elektronische Signaturen | |
(1) Sichere Signaturerstellungseinheiten nach § 17 Abs. 1 Satz 1 des Signaturgesetzes müssen gewährleisten, dass der Signaturschlüssel erst nach Identifikation des Inhabers durch Besitz und Wissen oder durch Besitz und ein oder mehrere biometrische Merkmale angewendet werden kann. Der Signaturschlüssel darf nicht preisgegeben werden. Bei Nutzung biometrischer Merkmale muss hinreichend sichergestellt sein, dass eine unbefugte Nutzung des Signaturschlüssels ausgeschlossen ist und eine dem wissensbasierten Verfahren gleichwertige Sicherheit gegeben sein. Die zur Erzeugung und Übertragung von Signaturschlüsseln erforderlichen technischen Komponenten nach § 17 Abs. 1 Satz 2 oder Abs. 3 Nr. 1 des Signaturgesetzes müssen gewährleisten, dass aus einem Signaturprüfschlüssel oder einer Signatur nicht der Signaturschlüssel errechnet werden kann und die Signaturschlüssel nicht dupliziert werden können. (2) Signaturanwendungskomponenten nach § 17 Abs. 2 des Signaturgesetzes müssen gewährleisten, dass 1. bei der Erzeugung einer qualifizierten elektronischen Signatur a) die Identifikationsdaten nicht preisgegeben und diese nur auf der jeweiligen sicheren Signaturerstellungseinheit gespeichert werden, b) eine Signatur nur durch die berechtigt signierende Person erfolgt, c) die Erzeugung einer Signatur vorher eindeutig angezeigt wird und 2. bei der Prüfung einer qualifizierten elektronischen Signatur a) die Korrektheit der Signatur zuverlässig geprüft und zutreffend angezeigt wird und | |
| b) eindeutig erkennbar wird, ob die nachgeprüften qualifizierten Zertifikate im jeweiligen Zertifikat-Verzeichnis zum angegebenen Zeitpunkt vorhanden und nicht gesperrt waren. | b) eindeutig erkennbar wird, ob die nachgeprüften qualifizierten Zertifikate im jeweiligen Zertifikat-Verzeichnis*) zum angegebenen Zeitpunkt vorhanden und nicht gesperrt waren. |
(3) Technische Komponenten nach § 17 Abs. 3 des Signaturgesetzes müssen gewährleisten, dass die Sperrung eines qualifizierten Zertifikates nicht unbemerkt rückgängig gemacht werden kann und die Auskünfte auf ihre Echtheit überprüft werden können. Die Auskünfte nach Satz 1 müssen beinhalten, ob die nachgeprüften qualifizierten Zertifikate im Verzeichnis der qualifizierten Zertifikate zum angegebenen Zeitpunkt vorhanden und ob sie nicht gesperrt waren. Nur nachprüfbar gehaltene qualifizierte Zertifikate dürfen nicht öffentlich abrufbar sein. Im Falle des § 17 Abs. 3 Nr. 3 des Signaturgesetzes muss gewährleistet sein, dass die zum Zeitpunkt der Erzeugung des qualifizierten Zeitstempels gültige gesetzliche Zeit unverfälscht in diesen aufgenommen wird. | |
| (4) Sicherheitstechnische Veränderungen an technischen Komponenten nach den Absätzen 1 bis 3 müssen für den Nutzer erkennbar werden. | (4) Sicherheitstechnische Veränderungen an Produkten für qualifizierte elektronische Signaturen nach den Absätzen 1 bis 3 müssen für den Nutzer erkennbar werden. |
(5) Eine Herstellererklärung nach § 17 Abs. 4 des Signaturgesetzes muss 1. den Aussteller und das Produkt genau bezeichnen und 2. genaue Angaben darüber enthalten, welche Anforderungen des Signaturgesetzes und dieser Verordnung im Einzelnen erfüllt sind. Bei der Prüfung und Bestätigung der Sicherheit von Produkten nach § 17 Abs. 1 und 3 Nr. 1 des Signaturgesetzes sind die Vorgaben des Abschnitts II der Anlage 1 zu dieser Verordnung zu beachten. (6) Soweit im Rahmen des Verfahrens nach Artikel 3 Abs. 5 und Artikel 9 der Richtlinie 1999/93/EG in der jeweils geltenden Fassung Referenznummern für allgemein anerkannte Normen für Produkte für qualifizierte elektronische Signaturen festgelegt und im Amtsblatt der Europäischen Gemeinschaften veröffentlicht werden, haben diese abweichend von den Absätzen 1 bis 5 Geltung, mit Ausnahme der Produkte nach § 15 Abs. 7 des Signaturgesetzes. Die zuständige Behörde veröffentlicht im Bundesanzeiger die aktuell gültigen Anforderungen auf Grund der Festlegungen nach Satz 1. | |
| | --- *) Anm. d. Red.: Die Änderung durch Artikel 1 Nr. 10 Buchstabe a V. v. 15. November 2010 (BGBl. I S. 1542) ist nicht durchführbar. § 15 enthält weder eine Abs. 2 Nr. 2b noch das Wort 'Zertifikats-Verzeichnis'. |
§ 17 Zeitraum und Verfahren zur langfristigen Datensicherung | |
Daten mit einer qualifizierten elektronischen Signatur sind nach § 6 Abs. 1 Satz 2 des Signaturgesetzes neu zu signieren, wenn diese für längere Zeit in signierter Form benötigt werden, als die für ihre Erzeugung und Prüfung eingesetzten Algorithmen und zugehörigen Parameter als geeignet beurteilt sind. In diesem Falle sind die Daten vor dem Zeitpunkt des Ablaufs der Eignung der Algorithmen oder der zugehörigen Parameter mit einer neuen qualifizierten elektronischen Signatur zu versehen. Diese muss mit geeigneten neuen Algorithmen oder zugehörigen Parametern erfolgen, frühere Signaturen einschließen und einen qualifizierten Zeitstempel tragen. | Daten mit einer qualifizierten elektronischen Signatur sind nach § 6 Abs. 1 Satz 2 des Signaturgesetzes neu zu signieren, wenn diese für längere Zeit in signierter Form benötigt werden, als die für ihre Erzeugung und Prüfung eingesetzten Algorithmen und zugehörigen Parameter als geeignet beurteilt sind. In diesem Falle sind die Daten vor dem Zeitpunkt des Ablaufs der Eignung der Algorithmen oder der zugehörigen Parameter mit einer neuen qualifizierten elektronischen Signatur zu versehen. Diese muss mit geeigneten neuen Algorithmen oder zugehörigen Parametern erfolgen, frühere Signaturen einschließen und einen qualifizierten Zeitstempel tragen. Anstelle einer neuen qualifizierten elektronischen Signatur nach Satz 2 kann ein qualifizierter Zeitstempel aufgebracht werden, wenn dieser selbst eine qualifizierte elektronische Signatur trägt. |
Link zu dieser Seite: https://www.buzer.de/gesetz/4331/v168379-2010-11-23.htm