Bundesrecht - tagaktuell konsolidiert - alle Fassungen seit 2006
Vorschriftensuche
 

Teil 2 - Vertrauensdienstegesetz (VDG)

Artikel 1 G. v. 18.07.2017 BGBl. I S. 2745 (Nr. 52); zuletzt geändert durch Artikel 2 G. v. 18.07.2017 BGBl. I S. 2745
Geltung ab 29.07.2017; FNA: 9020-13 Allgemeines Fernmelderecht
2 frühere Fassungen | Drucksachen / Entwurf / Begründung | wird in 15 Vorschriften zitiert

Teil 2 Allgemeine Vorschriften für qualifizierte Vertrauensdienste

§ 9 Vertrauenslisten



Die Bundesnetzagentur *) ist für die Aufstellung, Führung und Veröffentlichung von Vertrauenslisten nach Artikel 22 Absatz 1 der Verordnung (EU) Nr. 910/2014 zuständig.


---
*)
Anm. d. Red.: amtlich "Bundesetzagentur"


§ 10 Deckungsvorsorge



Die Mindestsumme für die gemäß Artikel 24 Absatz 2 Buchstabe c der Verordnung (EU) Nr. 910/2014 erforderliche angemessene Deckungsvorsorge beträgt jeweils 250.000 Euro für einen Schaden, der durch ein haftungsauslösendes Ereignis gemäß Artikel 13 der Verordnung (EU) Nr. 910/2014 verursacht worden ist.


§ 11 Identitätsprüfung



(1) Die Bundesnetzagentur legt nach Anhörung der betroffenen Kreise und im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik durch Verfügung im Amtsblatt fest, welche sonstigen Identifizierungsmethoden im Sinne des Artikels 24 Absatz 1 Unterabsatz 2 Buchstabe d Satz 1 der Verordnung (EU) Nr. 910/2014 anerkannt sind und welche Mindestanforderungen dafür jeweils gelten.

(2) Die Bundesnetzagentur überprüft die Verfügung nach Absatz 1 regelmäßig im Abstand von vier Jahren sowie

1.
bei der begründeten Annahme, dass Methoden nicht mehr hinreichend sicher sind, oder

2.
auf Ersuchen des Bundesamtes für Sicherheit in der Informationstechnik.

(3) 1Innovative Identifizierungsmethoden, die noch nicht durch Verfügung im Amtsblatt anerkannt sind, können von der Bundesnetzagentur im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und nach Anhörung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit für einen Zeitraum von bis zu zwei Jahren vorläufig anerkannt werden, sofern eine Konformitätsbewertungsstelle die gleichwertige Sicherheit der Identifizierungsmethode im Sinne des Artikels 24 Absatz 1 Unterabsatz 2 Buchstabe d der Verordnung (EU) Nr. 910/2014 bestätigt hat. 2Die Bundesnetzagentur veröffentlicht die vorläufig anerkannten Identifizierungsmethoden auf ihrer Internetseite. 3Die Bundesnetzagentur und das Bundesamt für Sicherheit in der Informationstechnik überwachen die Eignung der vorläufig anerkannten Identifizierungsmethoden über den gesamten Zeitraum der vorläufigen Anerkennung. 4Werden durch die Überwachung sicherheitsrelevante Risiken bei der vorläufig anerkannten Identifizierungsmethode erkannt, so kann die Aufsichtsstelle im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik dem qualifizierten Vertrauensdiensteanbieter die Behebung dieser Risiken durch ergänzende Maßnahmen auferlegen, sofern dies sicherheitstechnisch sinnvoll ist. 5Lässt sich durch ergänzende Maßnahmen keine hinreichende Sicherheit der vorläufig anerkannten Identifizierungsmethode gewährleisten, so soll die Aufsichtsstelle dem qualifizierten Vertrauensdiensteanbieter die Nutzung dieser Identifizierungsmethode untersagen.

(4) Der qualifizierte Vertrauensdiensteanbieter darf nach Maßgabe der datenschutzrechtlichen Bestimmungen personenbezogene Daten nutzen, die zu einem früheren Zeitpunkt im Rahmen einer ordnungsgemäßen Identitätsprüfung erhoben wurden, sofern und soweit diese Daten zum Zeitpunkt der Antragstellung die zuverlässige Identitätsfeststellung des Antragstellers gewährleisten.


§ 12 Attribute in qualifizierten Zertifikaten für elektronische Signaturen und Siegel



(1) 1Ein qualifiziertes Zertifikat für elektronische Signaturen kann auf Verlangen eines Antragstellers folgende Attribute enthalten:

1.
Angaben über die Vertretungsmacht des Antragstellers für eine dritte Person,

2.
amts- und berufsbezogene oder sonstige Angaben zur Person des Antragstellers und

3.
weitere personenbezogene Angaben.

2Angaben über die Vertretungsmacht dürfen nur dann in das qualifizierte Zertifikat aufgenommen werden, wenn dem qualifizierten Vertrauensdiensteanbieter die Einwilligung der dritten Person nachgewiesen wird. 3Amts- und berufsbezogene oder sonstige Angaben zur Person des Antragstellers dürfen nur dann in das qualifizierte Zertifikat aufgenommen werden, wenn die jeweils zuständige Stelle die Angaben bestätigt hat. 4Weitere personenbezogene Angaben dürfen in ein qualifiziertes Zertifikat nur mit Einwilligung des Betroffenen aufgenommen werden.

(2) Soll in das qualifizierte Zertifikat anstelle des Namens ein Pseudonym eingetragen werden, so sind Angaben über eine Vertretungsmacht für eine dritte Person oder amts- und berufsbezogene oder sonstige Angaben zur Person nur zulässig, wenn eine Einwilligung der dritten Person oder der jeweils zuständigen Stelle zur Verwendung des Pseudonyms vorliegt.

(3) 1Die Absätze 1 und 2 gelten entsprechend für qualifizierte Zertifikate für elektronische Siegel. 2Attribute in qualifizierten Zertifikaten für elektronische Siegel können auch die Vertretungsverhältnisse innerhalb der antragstellenden juristischen Person enthalten, sofern diese Vertretungsverhältnisse dem qualifizierten Vertrauensdiensteanbieter nachgewiesen werden.


§ 13 Unterrichtung über Sicherheitsmaßnahmen und Rechtswirkungen



(1) Der qualifizierte Vertrauensdiensteanbieter hat die Personen, die er nach Artikel 24 Absatz 2 Buchstabe d der Verordnung (EU) Nr. 910/2014 über die Nutzungsbedingungen zu unterrichten hat, weil sie einen qualifizierten Vertrauensdienst nutzen wollen, auch

1.
über die Maßnahmen zu unterrichten, die erforderlich sind, um zur Sicherheit der angebotenen qualifizierten Vertrauensdienste und deren zuverlässiger Nutzung beizutragen, und dabei auf entsprechende Informationsmöglichkeiten hinzuweisen, insbesondere auf Informationsangebote der Hersteller von Produkten für qualifizierte Vertrauensdienste und auf Informationsangebote der Aufsichtsstellen,

2.
darauf hinzuweisen, dass entsprechend § 15 qualifiziert elektronisch signierte, gesiegelte oder zeitgestempelte Daten bei Bedarf durch geeignete Maßnahmen neu zu schützen sind, bevor der Sicherheitswert der vorhandenen Signaturen, Siegel oder Zeitstempel durch Zeitablauf geringer wird, und

3.
über die Rechtswirkungen der angebotenen qualifizierten Vertrauensdienste zu unterrichten.

(2) Soweit eine Person, die einen qualifizierten Vertrauensdienst nutzen will, bereits zu einem früheren Zeitpunkt nach Artikel 24 Absatz 2 Buchstabe d der Verordnung (EU) Nr. 910/2014 sowie nach Absatz 1 unterrichtet worden ist und sich keine Änderungen ergeben haben, kann eine erneute Unterrichtung unterbleiben.


§ 14 Widerruf qualifizierter Zertifikate



(1) 1Der qualifizierte Vertrauensdiensteanbieter hat ein noch gültiges qualifiziertes Zertifikat insbesondere dann unverzüglich zu widerrufen, wenn

1.
die Person, der das qualifizierte Zertifikat ausgestellt wurde, es verlangt,

2.
das qualifizierte Zertifikat auf Grund falscher Angaben zu den Anhängen I, III und IV der Verordnung (EU) Nr. 910/2014 ausgestellt wurde,

3.
er seine Tätigkeit beendet und diese nicht von einem anderen qualifizierten Vertrauensdiensteanbieter fortgeführt wird oder

4.
Tatsachen die Annahme rechtfertigen, dass

a)
das qualifizierte Zertifikat gefälscht oder nicht hinreichend fälschungssicher ist oder

b)
die verwendeten qualifizierten elektronischen Signaturerstellungseinheiten oder qualifizierten elektronischen Siegelerstellungseinheiten Sicherheitsmängel aufweisen.

2Weitere Widerrufsgründe können vertraglich vereinbart werden. 3Wurde ein qualifiziertes Zertifikat mit falschen Angaben ausgestellt, so kann der qualifizierte Vertrauensdiensteanbieter dies zusätzlich kenntlich machen.

(2) Enthält ein qualifiziertes Zertifikat Attribute nach § 12 Absatz 1 oder § 12 Absatz 3 Satz 2, so kann auch die dritte Person oder die für die amts- und berufsbezogenen oder sonstigen Angaben zur Person zuständige Stelle einen Widerruf des Zertifikats verlangen, wenn

1.
die Vertretungsmacht entfällt oder

2.
die Voraussetzungen für die amts- und berufsbezogenen oder sonstigen Angaben zur Person nach Aufnahme in das qualifizierte Zertifikat entfallen.

(3) Liegen die in Absatz 1 Satz 1 Nummer 3 oder eine der in Absatz 1 Satz 1 Nummer 4 genannten Voraussetzungen vor, so kann die Aufsichtsstelle den Widerruf eines qualifizierten Zertifikats anordnen.


§ 15 Langfristige Beweiserhaltung



1Sofern hierfür Bedarf besteht, sind qualifiziert elektronisch signierte, gesiegelte oder zeitgestempelte Daten durch geeignete Maßnahmen neu zu schützen, bevor der Sicherheitswert der vorhandenen Signaturen, Siegel oder Zeitstempel durch Zeitablauf geringer wird. 2Die neue Sicherung muss nach dem Stand der Technik erfolgen.


§ 16 Beendigungsplan; auf Dauer prüfbare Vertrauensdienste



(1) 1In dem Beendigungsplan nach Artikel 24 Absatz 2 Buchstabe i der Verordnung (EU) Nr. 910/2014 hat ein qualifizierter Vertrauensdiensteanbieter alle erforderlichen Maßnahmen vorzusehen, damit bei Einstellung der Tätigkeit, bei Entzug des Qualifikationsstatus oder wenn die Eröffnung eines Insolvenzverfahrens beantragt und die Tätigkeit nicht fortgesetzt wird, alle von ihm ausgegebenen qualifizierten Zertifikate im Zusammenhang mit elektronischen Signaturen und Siegeln sowie Zertifikate im Zusammenhang mit Anhang I Buchstabe g, Anhang III Buchstabe g und Artikel 42 Absatz 1 Buchstabe c der Verordnung (EU) Nr. 910/2014 einschließlich der Widerrufsinformationen

1.
von einem anderen qualifizierten Vertrauensdiensteanbieter übernommen werden können oder

2.
von der Bundesnetzagentur in die Vertrauensinfrastruktur nach Absatz 5 übernommen werden können.

2Im Falle von Satz 1 Nummer 2 hat der qualifizierte Vertrauensdiensteanbieter die noch gültigen Zertifikate vor der Übermittlung an die Bundesnetzagentur zu widerrufen. 3Er hat in jedem Fall sicherzustellen, dass die dazugehörigen Aufzeichnungen nach Artikel 24 Absatz 2 Buchstabe h der Verordnung (EU) Nr. 910/2014 an den Übernehmenden übermittelt werden.

(2) Im Beendigungsplan hat der qualifizierte Vertrauensdiensteanbieter auch Vorkehrungen zu treffen, um die Inhaber der in Absatz 1 Satz 1 genannten Zertifikate, soweit möglich, mindestens zwei Monate im Voraus über die Einstellung seiner Tätigkeit und über die Übernahme seiner Zertifikate zu benachrichtigen.

(3) 1In den Fällen des Absatzes 1 Satz 1 Nummer 2 erteilt die Bundesnetzagentur bei Vorliegen eines berechtigten Interesses Auskunft zu den Aufzeichnungen, soweit dies technisch und ohne unverhältnismäßig großen Aufwand möglich ist. 2Ein darüber hinausgehendes Auskunftsrecht gemäß § 19 des Bundesdatenschutzgesetzes und nach Artikel 15 der Verordnung (EU) 2016/679 bleibt hiervon unberührt.

(4) Qualifizierte Vertrauensdiensteanbieter haben für die gesamte Zeit ihres Betriebs

1.
die in Absatz 1 Satz 1 genannten Zertifikate auch über den Zeitraum ihrer Gültigkeit hinaus zusammen mit den dazugehörigen Widerrufsinformationen in einer Zertifikatsdatenbank nach Artikel 24 Absatz 2 Buchstabe k und Absatz 4 der Verordnung (EU) Nr. 910/2014 zu führen und

2.
die dazugehörigen Aufzeichnungen nach Artikel 24 Absatz 2 Buchstabe h der Verordnung (EU) Nr. 910/2014 aufzubewahren.

(5) 1Die Bundesnetzagentur hat eine Vertrauensinfrastruktur zur dauerhaften Prüfbarkeit qualifizierter elektronischer Zertifikate und qualifizierter elektronischer Zeitstempel einzurichten, zu unterhalten und laufend zu aktualisieren. 2Näheres regelt die Rechtsverordnung nach § 20 Absatz 2 Nummer 5.