Bundesrecht - tagaktuell konsolidiert - alle Fassungen seit 2006
Vorschriftensuche
 
Achtung: Titel komplett oder überwiegend mit Ablauf des 28.07.2017 aufgehoben
>>> zur aktuellen Fassung/Nachfolgeregelung

Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz - SigG)

Artikel 1 G. v. 16.05.2001 BGBl. I S. 876; aufgehoben durch Artikel 12 G. v. 18.07.2017 BGBl. I S. 2745
Geltung ab 22.05.2001; FNA: 9020-12 Allgemeines Fernmelderecht
| |

Erster Abschnitt Allgemeine Bestimmungen

§ 3 Zuständige Behörde



Die Aufgaben der zuständigen Behörde nach diesem Gesetz und der Rechtsverordnung nach § 24 obliegen der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen.




Zweiter Abschnitt Zertifizierungsdiensteanbieter

§ 4 Allgemeine Anforderungen



(1) Der Betrieb eines Zertifizierungsdienstes ist im Rahmen der Gesetze genehmigungsfrei.

(2) Einen Zertifizierungsdienst darf nur betreiben, wer die für den Betrieb erforderliche Zuverlässigkeit und Fachkunde sowie eine Deckungsvorsorge nach § 12 nachweist und die weiteren Voraussetzungen für den Betrieb eines Zertifizierungsdienstes nach diesem Gesetz und der Rechtsverordnung nach § 24 Nr. 1, 3 und 4 gewährleistet. Die erforderliche Zuverlässigkeit besitzt, wer die Gewähr dafür bietet, als Zertifizierungsdiensteanbieter die für den Betrieb maßgeblichen Rechtsvorschriften einzuhalten. Die erforderliche Fachkunde liegt vor, wenn die im Betrieb eines Zertifizierungsdienstes tätigen Personen über die für diese Tätigkeit notwendigen Kenntnisse, Erfahrungen und Fertigkeiten verfügen. Die weiteren Voraussetzungen für den Betrieb eines Zertifizierungsdienstes liegen vor, wenn die Maßnahmen zur Erfüllung der Sicherheitsanforderungen nach diesem Gesetz und der Rechtsverordnung nach § 24 Nr. 1, 3 und 4 der zuständigen Behörde in einem Sicherheitskonzept aufgezeigt und geeignet und praktisch umgesetzt sind.

(3) Wer den Betrieb eines Zertifizierungsdienstes aufnimmt, hat dies der zuständigen Behörde spätestens mit der Betriebsaufnahme anzuzeigen. Mit der Anzeige ist in geeigneter Form darzulegen, dass die Voraussetzungen nach Absatz 2 vorliegen.

(4) Die Erfüllung der Voraussetzungen nach Absatz 2 ist über die gesamte Zeitdauer der Tätigkeit des Zertifizierungsdienstes sicherzustellen. Umstände, die dies nicht mehr ermöglichen, sind der zuständigen Behörde unverzüglich anzuzeigen.

(5) Der Zertifizierungsdiensteanbieter kann unter Einbeziehung in sein Sicherheitskonzept nach Absatz 2 Satz 4 Aufgaben nach diesem Gesetz und der Rechtsverordnung nach § 24 an Dritte übertragen.


§ 5 Vergabe von qualifizierten Zertifikaten



(1) Der Zertifizierungsdiensteanbieter hat Personen, die ein qualifiziertes Zertifikat beantragen, zuverlässig zu identifizieren. Er darf dazu mit Einwilligung des Antragstellers personenbezogene Daten nutzen, die der Zertifizierungsdiensteanbieter zu einem früheren Zeitpunkt erhoben hat, sofern diese Daten eine zuverlässige Identifizierung des Antragstellers nach Satz 1 gewährleisten. Er hat die Zuordnung eines Signaturprüfschlüssels zu einer identifizierten Person durch ein qualifiziertes Zertifikat zu bestätigen und dieses jederzeit für jeden über öffentlich erreichbare Kommunikationsverbindungen nachprüfbar und abrufbar zu halten. Ein qualifiziertes Zertifikat darf nur mit Zustimmung des Signaturschlüssel-Inhabers abrufbar gehalten werden.

(2) Ein qualifiziertes Zertifikat kann auf Verlangen eines Antragstellers Angaben über seine Vertretungsmacht für eine dritte Person sowie berufsbezogene oder sonstige Angaben zu seiner Person (Attribute) enthalten. Hinsichtlich der Angaben über die Vertretungsmacht ist die Einwilligung der dritten Person nachzuweisen; berufsbezogene oder sonstige Angaben zur Person sind durch die für die berufsbezogenen oder sonstigen Angaben zuständige Stelle zu bestätigen. Angaben über die Vertretungsmacht für eine dritte Person dürfen nur bei Nachweis der Einwilligung nach Satz 2, berufsbezogene oder sonstige Angaben des Antragstellers zur Person nur bei Vorlage der Bestätigung nach Satz 2 in ein qualifiziertes Zertifikat aufgenommen werden. Weitere personenbezogene Angaben dürfen in ein qualifiziertes Zertifikat nur mit Einwilligung des Betroffenen aufgenommen werden.

(3) Der Zertifizierungsdiensteanbieter hat auf Verlangen eines Antragstellers in einem qualifizierten Zertifikat an Stelle seines Namens ein Pseudonym aufzuführen. Enthält ein qualifiziertes Zertifikat Angaben über eine Vertretungsmacht für eine dritte Person oder berufsbezogene oder sonstige Angaben zur Person, ist eine Einwilligung der dritten Person oder der für die berufsbezogenen oder sonstigen Angaben zuständigen Stelle zur Verwendung des Pseudonyms erforderlich.

(4) Der Zertifizierungsdiensteanbieter hat Vorkehrungen zu treffen, damit Daten für qualifizierte Zertifikate nicht unbemerkt gefälscht oder verfälscht werden können. Er hat weiter Vorkehrungen zu treffen, um die Geheimhaltung der Signaturschlüssel zu gewährleisten. Eine Speicherung von Signaturschlüsseln außerhalb der sicheren Signaturerstellungseinheit ist unzulässig.

(5) Der Zertifizierungsdiensteanbieter hat für die Ausübung der Zertifizierungstätigkeit zuverlässiges Personal und Produkte für qualifizierte elektronische Signaturen, die mindestens die Anforderungen nach den §§ 4 bis 14 sowie § 17 oder § 23 dieses Gesetzes und der Rechtsverordnung nach § 24 erfüllen, einzusetzen.

(6) Der Zertifizierungsdiensteanbieter hat sich in geeigneter Weise zu überzeugen, dass der Antragsteller die zugehörige sichere Signaturerstellungseinheit besitzt.


§ 6 Unterrichtungspflicht



(1) Der Zertifizierungsdiensteanbieter hat den Antragsteller nach § 5 Abs. 1 über die Maßnahmen zu unterrichten, die erforderlich sind, um zur Sicherheit von qualifizierten elektronischen Signaturen und zu deren zuverlässiger Prüfung beizutragen. Er hat den Antragsteller darauf hinzuweisen, dass Daten mit einer qualifizierten elektronischen Signatur bei Bedarf neu zu signieren sind, bevor der Sicherheitswert der vorhandenen Signatur durch Zeitablauf geringer wird.

(2) Der Zertifizierungsdiensteanbieter hat den Antragsteller darüber zu unterrichten, dass eine qualifizierte elektronische Signatur im Rechtsverkehr die gleiche Wirkung hat wie eine eigenhändige Unterschrift, wenn durch Gesetz nicht ein anderes bestimmt ist.

(3) Zur Unterrichtung nach Absatz 1 und 2 ist dem Antragsteller eine Belehrung in Textform zu übermitteln, deren Kenntnisnahme dieser als Voraussetzung für die Ausstellung des qualifizierten Zertifikats in Textform zu bestätigen hat. Soweit ein Antragsteller bereits zu einem früheren Zeitpunkt nach den Absätzen 1 und 2 unterrichtet worden ist, kann eine erneute Unterrichtung unterbleiben.


§ 7 Inhalt von qualifizierten Zertifikaten



(1) Ein qualifiziertes Zertifikat muss folgende Angaben enthalten und eine qualifizierte elektronische Signatur tragen:

1.
den Namen des Signaturschlüssel-Inhabers, der im Falle einer Verwechslungsmöglichkeit mit einem Zusatz zu versehen ist, oder ein dem Signaturschlüssel-Inhaber zugeordnetes unverwechselbares Pseudonym, das als solches kenntlich sein muss,

2.
den zugeordneten Signaturprüfschlüssel,

3.
die Bezeichnung der Algorithmen, mit denen der Signaturprüfschlüssel des Signaturschlüssel-Inhabers sowie der Signaturprüfschlüssel des Zertifizierungsdiensteanbieters benutzt werden kann,

4.
die laufende Nummer des Zertifikates,

5.
Beginn und Ende der Gültigkeit des Zertifikates,

6.
den Namen des Zertifizierungsdiensteanbieters und des Staates, in dem er niedergelassen ist,

7.
Angaben darüber, ob die Nutzung des Signaturschlüssels auf bestimmte Anwendungen nach Art oder Umfang beschränkt ist,

8.
Angaben, dass es sich um ein qualifiziertes Zertifikat handelt, und

9.
nach Bedarf Attribute des Signaturschlüssel-Inhabers.

(2) Attribute können auch in ein gesondertes qualifiziertes Zertifikat (qualifiziertes Attribut-Zertifikat) aufgenommen werden. Bei einem qualifizierten Attribut-Zertifikat können die Angaben nach Absatz 1 durch eindeutige Referenzdaten des qualifizierten Zertifikates, auf das sie Bezug nehmen, ersetzt werden, soweit sie nicht für die Nutzung des qualifizierten Attribut-Zertifikates benötigt werden.


§ 8 Sperrung von qualifizierten Zertifikaten



(1) Der Zertifizierungsdiensteanbieter hat ein qualifiziertes Zertifikat unverzüglich zu sperren, wenn ein Signaturschlüssel-Inhaber oder sein Vertreter es verlangt, das Zertifikat auf Grund falscher Angaben zu § 7 ausgestellt wurde, der Zertifizierungsdiensteanbieter seine Tätigkeit beendet und diese nicht von einem anderen Zertifizierungsdiensteanbieter fortgeführt wird oder die zuständige Behörde gemäß § 19 Abs. 4 eine Sperrung anordnet. Weitere Sperrungsgründe können vertraglich vereinbart werden. Die Sperrung muss den Zeitpunkt enthalten, von dem an sie gilt. Eine rückwirkende Sperrung ist unzulässig. Wurde ein qualifiziertes Zertifikat mit falschen Angaben ausgestellt, kann der Zertifizierungsdiensteanbieter dies zusätzlich kenntlich machen.

(2) Enthält ein qualifiziertes Zertifikat Angaben nach § 5 Abs. 2, so kann auch die dritte Person oder die für die berufsbezogenen oder sonstigen Angaben zur Person zuständige Stelle, wenn die Voraussetzungen für die berufsbezogenen oder sonstigen Angaben zur Person nach Aufnahme in das qualifizierte Zertifikat entfallen, eine Sperrung des betreffenden Zertifikates nach Absatz 1 verlangen.


§ 9 Qualifizierte Zeitstempel



Stellt ein Zertifizierungsdiensteanbieter qualifizierte Zeitstempel aus, so gilt § 5 Abs. 5 entsprechend.


§ 10 Dokumentation



(1) Der Zertifizierungsdiensteanbieter hat die Sicherheitsmaßnahmen zur Einhaltung dieses Gesetzes und der Rechtsverordnung nach § 24 Nr. 1, 3 und 4 sowie die ausgestellten qualifizierten Zertifikate nach Maßgabe des Satzes 2 so zu dokumentieren, dass die Daten und ihre Unverfälschtheit jederzeit nachprüfbar sind. Die Dokumentation muss unverzüglich so erfolgen, dass sie nachträglich nicht unbemerkt verändert werden kann. Dies gilt insbesondere für die Ausstellung und Sperrung von qualifizierten Zertifikaten.

(2) Dem Signaturschlüssel-Inhaber ist auf Verlangen Einsicht in die ihn betreffenden Daten und Verfahrensschritte zu gewähren.


§ 11 Haftung



(1) Verletzt ein Zertifizierungsdiensteanbieter die Anforderungen dieses Gesetzes oder der Rechtsverordnung nach § 24 oder versagen seine Produkte für qualifizierte elektronische Signaturen oder sonstige technische Sicherungseinrichtungen, so hat er einem Dritten den Schaden zu ersetzen, den dieser dadurch erleidet, dass er auf die Angaben in einem qualifizierten Zertifikat, einem qualifizierten Zeitstempel oder einer Auskunft nach § 5 Abs. 1 Satz 3 vertraut. Die Ersatzpflicht tritt nicht ein, wenn der Dritte die Fehlerhaftigkeit der Angabe kannte oder kennen musste.

(2) Die Ersatzpflicht tritt nicht ein, wenn der Zertifizierungsdiensteanbieter nicht schuldhaft gehandelt hat.

(3) Wenn ein qualifiziertes Zertifikat die Nutzung des Signaturschlüssels auf bestimmte Anwendungen nach Art oder Umfang beschränkt, tritt die Ersatzpflicht nur im Rahmen dieser Beschränkungen ein.

(4) Der Zertifizierungsdiensteanbieter haftet für beauftragte Dritte nach § 4 Abs. 5 und beim Einstehen für ausländische Zertifikate nach § 23 Abs. 1 Nr. 2 wie für eigenes Handeln. § 831 Abs. 1 Satz 2 des Bürgerlichen Gesetzbuchs findet keine Anwendung.




§ 12 Deckungsvorsorge



Der Zertifizierungsdiensteanbieter ist verpflichtet, eine geeignete Deckungsvorsorge zu treffen, damit er seinen gesetzlichen Verpflichtungen zum Ersatz von Schäden nachkommen kann, die dadurch entstehen, dass er die Anforderungen dieses Gesetzes oder der Rechtsverordnung nach § 24 verletzt oder seine Produkte für qualifizierte elektronische Signaturen oder sonstige technische Sicherungseinrichtungen versagen. Die Mindestsumme beträgt jeweils 250.000 Euro für einen durch ein haftungsauslösendes Ereignis der in Satz 1 bezeichneten Art verursachten Schaden.


§ 13 Einstellung der Tätigkeit



(1) Der Zertifizierungsdiensteanbieter hat die Einstellung seiner Tätigkeit unverzüglich der zuständigen Behörde anzuzeigen. Er hat dafür zu sorgen, dass die bei Einstellung der Tätigkeit gültigen qualifizierten Zertifikate von einem anderen Zertifizierungsdiensteanbieter übernommen werden, oder diese zu sperren. Er hat die betroffenen Signaturschlüssel-Inhaber über die Einstellung seiner Tätigkeit und die Übernahme der qualifizierten Zertifikate durch einen anderen Zertifizierungsdiensteanbieter zu benachrichtigen.

(2) Der Zertifizierungsdiensteanbieter hat die Dokumentation nach § 10 an den Zertifizierungsdiensteanbieter, welcher die Zertifikate nach Absatz 1 übernimmt, zu übergeben. Übernimmt kein anderer Zertifizierungsdiensteanbieter die Dokumentation, so hat die zuständige Behörde diese zu übernehmen. Die zuständige Behörde erteilt bei Vorliegen eines berechtigten Interesses Auskunft zur Dokumentation nach Satz 2, soweit dies technisch ohne unverhältnismäßig großen Aufwand möglich ist.

(3) Der Zertifizierungsdiensteanbieter hat einen Antrag auf Eröffnung eines Insolvenzverfahrens der zuständigen Behörde unverzüglich anzuzeigen.


§ 14 Datenschutz



(1) Der Zertifizierungsdiensteanbieter darf personenbezogene Daten nur unmittelbar beim Betroffenen selbst und nur insoweit erheben, als dies für Zwecke eines qualifizierten Zertifikates erforderlich ist. Eine Datenerhebung bei Dritten ist nur mit Einwilligung des Betroffenen zulässig. Für andere als die in Satz 1 genannten Zwecke dürfen die Daten nur verwendet werden, wenn dieses Gesetz es erlaubt oder der Betroffene eingewilligt hat.

(2) Der Zertifizierungsdiensteanbieter hat die Daten über die Identität eines Signaturschlüssel-Inhabers auf Ersuchen an die zuständigen Stellen zu übermitteln, soweit dies für die Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder für die Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes, des Militärischen Abschirmdienstes oder der Finanzbehörden erforderlich ist oder soweit Gerichte dies im Rahmen anhängiger Verfahren nach Maßgabe der hierfür geltenden Bestimmungen anordnen. Die Auskünfte sind zu dokumentieren. Die ersuchende Behörde hat den Signaturschlüssel-Inhaber über die Übermittlung der Daten zu unterrichten, sobald dadurch die Wahrnehmung der gesetzlichen Aufgaben nicht mehr beeinträchtigt wird oder wenn das Interesse des Signaturschlüssel-Inhabers an der Unterrichtung überwiegt.

(3) Soweit andere als die in § 2 Nr. 8 genannten Zertifizierungsdiensteanbieter Zertifikate für elektronische Signaturen ausstellen, gelten die Absätze 1 und 2 entsprechend.


Dritter Abschnitt Freiwillige Akkreditierung

§ 15 Freiwillige Akkreditierung von Zertifizierungsdiensteanbietern



(1) Zertifizierungsdiensteanbieter können sich auf Antrag von der zuständigen Behörde akkreditieren lassen; die zuständige Behörde kann sich bei der Akkreditierung privater Stellen bedienen. Die Akkreditierung ist zu erteilen, wenn der Zertifizierungsdiensteanbieter nachweist, dass die Vorschriften nach diesem Gesetz und der Rechtsverordnung nach § 24 erfüllt sind. Akkreditierte Zertifizierungsdiensteanbieter erhalten ein Gütezeichen der zuständigen Behörde. Mit diesem wird der Nachweis der umfassend geprüften technischen und administrativen Sicherheit für die auf ihren qualifizierten Zertifikaten beruhenden qualifizierten elektronischen Signaturen (qualifizierte elektronische Signaturen mit Anbieter-Akkreditierung) zum Ausdruck gebracht. Sie dürfen sich als akkreditierte Zertifizierungsdiensteanbieter bezeichnen und sich im Rechts- und Geschäftsverkehr auf die nachgewiesene Sicherheit berufen.

(2) Zur Erfüllung der Voraussetzungen nach Absatz 1 muss das Sicherheitskonzept nach § 4 Abs. 2 Satz 4 durch eine Stelle nach § 18 umfassend auf seine Eignung und praktische Umsetzung geprüft und bestätigt sein. Die Prüfung und Bestätigung ist nach sicherheitserheblichen Veränderungen sowie in regelmäßigen Zeitabständen zu wiederholen.

(3) Die Akkreditierung kann mit Nebenbestimmungen versehen werden, soweit dies erforderlich ist, um die Erfüllung der Voraussetzungen nach diesem Gesetz und der Rechtsverordnung nach § 24 bei Aufnahme und während des Betriebes sicherzustellen.

(4) Die Akkreditierung ist zu versagen, wenn die Voraussetzungen nach diesem Gesetz und der Rechtsverordnung nach § 24 nicht erfüllt sind; § 19 findet entsprechend Anwendung.

(5) Bei Nichterfüllung der Pflichten aus diesem Gesetz oder der Rechtsverordnung nach § 24 oder bei Vorliegen eines Versagungsgrundes nach Absatz 4 hat die zuständige Behörde die Akkreditierung zu widerrufen oder diese, soweit die Gründe bereits zum Zeitpunkt der Akkreditierung vorlagen, zurückzunehmen, wenn Maßnahmen nach § 19 Abs. 2 keinen Erfolg versprechen.

(6) Im Falle des Widerrufs oder der Rücknahme einer Akkreditierung oder im Falle der Einstellung der Tätigkeit eines akkreditierten Zertifizierungsdiensteanbieters hat die zuständige Behörde eine Übernahme der Tätigkeit durch einen anderen akkreditierten Zertifizierungsdiensteanbieter oder die Abwicklung der Verträge mit den Signaturschlüssel-Inhabern sicherzustellen. Dies gilt auch bei Antrag auf Eröffnung eines Insolvenzverfahrens, wenn die Tätigkeit nicht fortgesetzt wird. Übernimmt kein anderer akkreditierter Zertifizierungsdiensteanbieter die Dokumentation gemäß § 13 Abs. 2, so hat die zuständige Behörde diese zu übernehmen; § 10 Abs. 1 Satz 1 gilt entsprechend.

(7) Bei Produkten für qualifizierte elektronische Signaturen muss die Erfüllung der Anforderungen nach § 17 Abs. 1 bis 3 und der Rechtsverordnung nach § 24 nach dem Stand von Wissenschaft und Technik hinreichend geprüft und durch eine Stelle nach § 18 bestätigt worden sein; Absatz 1 Satz 3 findet entsprechende Anwendung. Der akkreditierte Zertifizierungsdiensteanbieter hat

1.
für seine Zertifizierungstätigkeit nur nach Satz 1 geprüfte und bestätigte Produkte für qualifizierte elektronische Signaturen einzusetzen,

2.
qualifizierte Zertifikate nur für Personen auszustellen, die nachweislich nach Satz 1 geprüfte und bestätigte sichere Signaturerstellungseinheiten besitzen, und

3.
die Signaturschlüssel-Inhaber im Rahmen des § 6 Abs. 1 über nach Satz 1 geprüfte und bestätigte Signaturanwendungskomponenten zu unterrichten.


§ 16 Zertifikate der zuständigen Behörde



(1) Die zuständige Behörde stellt den akkreditierten Zertifizierungsdiensteanbietern die für ihre Tätigkeit benötigten qualifizierten Zertifikate aus. Die Vorschriften für die Vergabe und Sperrung von qualifizierten Zertifikaten durch akkreditierte Zertifizierungsdiensteanbieter gelten für die zuständige Behörde entsprechend. Sie sperrt von ihr ausgestellte qualifizierte Zertifikate, wenn ein akkreditierter Zertifizierungsdiensteanbieter seine Tätigkeit einstellt oder wenn eine Akkreditierung zurückgenommen oder widerrufen wird.

(2) Die zuständige Behörde hat

1.
die Namen, Anschriften und Kommunikationsverbindungen der akkreditierten Zertifizierungsdiensteanbieter,

2.
den Widerruf oder die Rücknahme einer Akkreditierung,

3.
die von ihr ausgestellten qualifizierten Zertifikate und deren Sperrung und

4.
die Beendigung und die Untersagung des Betriebes eines akkreditierten Zertifizierungsdiensteanbieters

jederzeit für jeden über öffentlich erreichbare Kommunikationsverbindungen nachprüfbar und abrufbar zu halten.

(3) Bei Bedarf stellt die zuständige Behörde auch die von den Zertifizierungsdiensteanbietern oder Herstellern benötigten elektronischen Bescheinigungen für die automatische Authentifizierung von Produkten nach § 15 Abs. 7 aus.


Vierter Abschnitt Technische Sicherheit

§ 17 Produkte für qualifizierte elektronische Signaturen



(1) Für die Speicherung von Signaturschlüsseln sowie für die Erzeugung qualifizierter elektronischer Signaturen sind sichere Signaturerstellungseinheiten einzusetzen, die Fälschungen der Signaturen und Verfälschungen signierter Daten zuverlässig erkennbar machen und gegen unberechtigte Nutzung der Signaturschlüssel schützen. Werden die Signaturschlüssel auf einer sicheren Signaturerstellungseinheit selbst erzeugt, so gilt Absatz 3 Nr. 1 entsprechend.

(2) Für die Darstellung zu signierender Daten sind Signaturanwendungskomponenten erforderlich, die die Erzeugung einer qualifizierten elektronischen Signatur vorher eindeutig anzeigen und feststellen lassen, auf welche Daten sich die Signatur bezieht. Für die Überprüfung signierter Daten sind Signaturanwendungskomponenten erforderlich, die feststellen lassen,

1.
auf welche Daten sich die Signatur bezieht,

2.
ob die signierten Daten unverändert sind,

3.
welchem Signaturschlüssel-Inhaber die Signatur zuzuordnen ist,

4.
welche Inhalte das qualifizierte Zertifikat, auf dem die Signatur beruht, und zugehörige qualifizierte Attribut-Zertifikate aufweisen und

5.
zu welchem Ergebnis die Nachprüfung von Zertifikaten nach § 5 Abs. 1 Satz 3 geführt hat.

Signaturanwendungskomponenten müssen nach Bedarf auch den Inhalt der zu signierenden oder signierten Daten hinreichend erkennen lassen. Die Signaturschlüssel-Inhaber sollen solche Signaturanwendungskomponenten einsetzen oder andere geeignete Maßnahmen zur Sicherheit qualifizierter elektronischer Signaturen treffen.

(3) Die technischen Komponenten für Zertifizierungsdienste müssen Vorkehrungen enthalten, um

1.
bei Erzeugung und Übertragung von Signaturschlüsseln die Einmaligkeit und Geheimhaltung der Signaturschlüssel zu gewährleisten und eine Speicherung außerhalb der sicheren Signaturerstellungseinheit auszuschließen,

2.
qualifizierte Zertifikate, die gemäß § 5 Abs. 1 Satz 3 nachprüfbar oder abrufbar gehalten werden, vor unbefugter Veränderung und unbefugtem Abruf zu schützen sowie

3.
bei Erzeugung qualifizierter Zeitstempel Fälschungen und Verfälschungen auszuschließen.

(4) Die Erfüllung der Anforderungen nach den Absätzen 1 und 3 Nr. 1 sowie der Rechtsverordnung nach § 24 ist durch eine Stelle nach § 18 zu bestätigen. Zur Erfüllung der Anforderungen nach den Absätzen 2 und 3 Nr. 2 und 3 genügt eine Erklärung durch den Hersteller des Produkts für qualifizierte elektronische Signaturen. Der Hersteller hat spätestens zum Zeitpunkt des Inverkehrbringens des Produkts eine Ausfertigung seiner Erklärung in schriftlicher Form bei der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen zu hinterlegen. Herstellererklärungen, die den Anforderungen des Gesetzes und der Rechtsverordnung nach § 24 entsprechen, werden im Amtsblatt der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen veröffentlicht.




§ 18 Anerkennung von Prüf- und Bestätigungsstellen



(1) Die zuständige Behörde erkennt eine natürliche oder juristische Person auf Antrag als Bestätigungsstelle nach § 17 Abs. 4 oder § 15 Abs. 7 Satz 1 oder als Prüf- und Bestätigungsstelle nach § 15 Abs. 2 an, wenn diese die für die Tätigkeit erforderliche Zuverlässigkeit, Unabhängigkeit und Fachkunde nachweist. Die Anerkennung kann inhaltlich beschränkt, vorläufig oder mit einer Befristung versehen erteilt werden und mit Auflagen verbunden sein. Hat die zuständige Behörde nicht innerhalb von drei Monaten über den Antrag entschieden, gilt die Anerkennung als erteilt; die Vorschriften des Verwaltungsverfahrensgesetzes über die Genehmigungsfiktion gelten entsprechend.

(2) Die nach Absatz 1 anerkannten Stellen haben ihre Aufgaben unparteiisch, weisungsfrei und gewissenhaft zu erfüllen. Sie haben die Prüfungen und Bestätigungen zu dokumentieren und die Dokumentation im Falle der Einstellung ihrer Tätigkeit an die zuständige Behörde zu übergeben.




Fünfter Abschnitt Aufsicht

§ 19 Aufsichtsmaßnahmen



(1) Die Aufsicht über die Einhaltung dieses Gesetzes und der Rechtsverordnung nach § 24 obliegt der zuständigen Behörde; diese kann sich bei der Durchführung der Aufsicht privater Stellen bedienen. Mit der Aufnahme des Betriebes unterliegt ein Zertifizierungsdiensteanbieter der Aufsicht der zuständigen Behörde.

(2) Die zuständige Behörde kann gegenüber Zertifizierungsdiensteanbietern Maßnahmen zur Sicherstellung der Einhaltung dieses Gesetzes und der Rechtsverordnung nach § 24 treffen.

(3) Die zuständige Behörde hat einem Zertifizierungsdiensteanbieter den Betrieb vorübergehend, teilweise oder ganz zu untersagen, wenn Tatsachen die Annahme rechtfertigen, dass er

1.
nicht die für den Betrieb eines Zertifizierungsdienstes erforderliche Zuverlässigkeit besitzt,

2.
nicht nachweist, dass die für den Betrieb erforderliche Fachkunde vorliegt,

3.
nicht über die erforderliche Deckungsvorsorge verfügt,

4.
ungeeignete Produkte für qualifizierte elektronische Signaturen verwendet oder

5.
die weiteren Voraussetzungen für den Betrieb eines Zertifizierungsdienstes nach diesem Gesetz und der Rechtsverordnung nach § 24 nicht erfüllt

und Maßnahmen nach Absatz 2 keinen Erfolg versprechen.

(4) Die zuständige Behörde kann eine Sperrung von qualifizierten Zertifikaten anordnen, wenn Tatsachen die Annahme rechtfertigen, dass qualifizierte Zertifikate gefälscht oder nicht hinreichend fälschungssicher sind oder dass sichere Signaturerstellungseinheiten Sicherheitsmängel aufweisen, die eine unbemerkte Fälschung qualifizierter elektronischer Signaturen oder eine unbemerkte Verfälschung damit signierter Daten zulassen.

(5) Die Gültigkeit der von einem Zertifizierungsdiensteanbieter ausgestellten qualifizierten Zertifikate bleibt von der Untersagung des Betriebes und der Einstellung der Tätigkeit sowie der Rücknahme und dem Widerruf einer Akkreditierung unberührt.

(6) Die zuständige Behörde hat die Namen der bei ihr angezeigten Zertifizierungsdiensteanbieter sowie der Zertifizierungsdiensteanbieter, die ihre Tätigkeit nach § 13 eingestellt haben oder deren Betrieb nach § 19 Abs. 3 untersagt wurde, für jeden über öffentlich erreichbare Kommunikationsverbindungen abrufbar zu halten.


§ 20 Mitwirkungspflicht



(1) Die Zertifizierungsdiensteanbieter und die für diese nach § 4 Abs. 5 tätigen Dritten haben der zuständigen Behörde und den in ihrem Auftrag handelnden Personen das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten zu gestatten, auf Verlangen die in Betracht kommenden Bücher, Aufzeichnungen, Belege, Schriftstücke und sonstigen Unterlagen in geeigneter Weise zur Einsicht vorzulegen, auch soweit sie in elektronischer Form geführt werden, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren.

(2) Der zur Erteilung einer Auskunft Verpflichtete kann die Auskunft verweigern, wenn er sich damit selbst oder einen der in § 383 Abs. 1 Nr. 1 bis 3 der Zivilprozessordnung bezeichneten Angehörigen der Gefahr der Verfolgung wegen einer Straftat oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. Er ist auf dieses Recht hinzuweisen.


Sechster Abschnitt Schlussbestimmungen

§ 20a Verfahren über eine einheitliche Stelle



Verwaltungsverfahren nach diesem Gesetz oder nach einer auf Grund dieses Gesetzes erlassenen Rechtsverordnung können über eine einheitliche Stelle nach den Vorschriften des Verwaltungsverfahrensgesetzes abgewickelt werden.




§ 21 Bußgeldvorschriften



(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

1.
entgegen § 4 Abs. 2 Satz 1, auch in Verbindung mit einer Rechtsverordnung nach § 24 Nr. 1, 3 und 4, einen Zertifizierungsdienst betreibt,

2.
entgegen § 4 Abs. 3 Satz 1 oder § 13 Abs. 1 Satz 1 eine Anzeige nicht, nicht richtig oder nicht rechtzeitig erstattet,

3.
entgegen § 5 Abs. 1 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 24 Nr. 1 eine Person nicht, nicht richtig oder nicht rechtzeitig identifiziert,

4.
entgegen § 5 Abs. 1 Satz 3, auch in Verbindung mit einer Rechtsverordnung nach § 24 Nr. 1, ein qualifiziertes Zertifikat nicht nachprüfbar hält,

5.
entgegen § 5 Abs. 1 Satz 4 ein qualifiziertes Zertifikat abrufbar hält,

6.
entgegen § 5 Abs. 2 Satz 3 oder 4 eine Angabe in ein qualifiziertes Zertifikat aufnimmt,

7.
entgegen § 5 Abs. 4 Satz 2, auch in Verbindung mit einer Rechtsverordnung nach § 24 Nr. 1, eine Vorkehrung nicht oder nicht richtig trifft,

8.
entgegen § 5 Abs. 4 Satz 3 einen Signaturschlüssel speichert,

9.
entgegen § 10 Abs. 1 Satz 1, auch in Verbindung mit einer Rechtsverordnung nach § 24 Nr. 1, eine Sicherheitsmaßnahme oder ein qualifiziertes Zertifikat nicht, nicht richtig oder nicht rechtzeitig dokumentiert,

10.
entgegen § 13 Abs. 1 Satz 2, auch in Verbindung mit einer Rechtsverordnung nach § 24 Nr. 1, nicht dafür sorgt, dass ein qualifiziertes Zertifikat von einem anderen Zertifizierungsdiensteanbieter übernommen wird und ein qualifiziertes Zertifikat nicht oder nicht rechtzeitig sperrt oder

11.
entgegen § 13 Abs. 1 Satz 3 in Verbindung mit einer Rechtsverordnung nach § 24 Nr. 1 einen Signaturschlüssel-Inhaber nicht, nicht richtig oder nicht rechtzeitig benachrichtigt.

(2) Die Ordnungswidrigkeit kann in den Fällen des Absatzes 1 Nr. 1, 7 und 8 mit einer Geldbuße bis zu fünfzigtausend Euro, in den übrigen Fällen mit einer Geldbuße bis zu zehntausend Euro geahndet werden.

(3) Verwaltungsbehörde im Sinne des § 36 Abs. 1 Nr. 1 des Gesetzes über Ordnungswidrigkeiten ist die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen.




§ 22 Gebühren, Auslagen und Beiträge



(1) Die zuständige Behörde erhebt für ihre folgenden individuell zurechenbaren öffentlichen Leistungen Gebühren und Auslagen:

1.
Maßnahmen im Rahmen der freiwilligen Akkreditierung von Zertifizierungsdiensteanbietern nach § 15 und der Rechtsverordnung nach § 24,

2.
Maßnahmen im Rahmen der Ausstellung der qualifizierten Zertifikate nach § 16 Abs. 1 sowie der Ausstellung von Bescheinigungen nach § 16 Abs. 3,

3.
Maßnahmen im Rahmen der Anerkennung von Prüf- und Bestätigungsstellen nach § 18 und der Rechtsverordnung nach § 24,

4.
Maßnahmen im Rahmen der Aufsicht nach § 19 Abs. 1 bis 4 in Verbindung mit § 4 Abs. 2 bis 4 und der Rechtsverordnung nach § 24.

Gebühren und Auslagen werden auch für den Verwaltungsaufwand erhoben, der dadurch entsteht, dass sich die Behörde bei der Durchführung der Aufsicht privater Stellen bedient. Für individuell zurechenbare öffentliche Leistungen nach Satz 1 werden Gebühren zur Deckung des Verwaltungsaufwandes erhoben.

(2) Zertifizierungsdiensteanbieter, die den Betrieb nach § 4 Abs. 3 angezeigt haben, haben zur Abgeltung des Verwaltungsaufwands für die ständige Erfüllung der Voraussetzungen nach § 19 Abs. 6 eine Abgabe an die zuständige Behörde zu entrichten, die als Jahresbeitrag erhoben wird. Zertifizierungsdiensteanbieter, die nach § 15 Abs. 1 akkreditiert sind, haben zur Abgeltung des Verwaltungsaufwands für die ständige Erfüllung der Voraussetzungen nach § 16 Abs. 2 eine Abgabe an die zuständige Behörde zu entrichten, die als Jahresbeitrag erhoben wird.




§ 23 Ausländische elektronische Signaturen und Produkte für elektronische Signaturen



(1) Elektronische Signaturen, für die ein ausländisches qualifiziertes Zertifikat aus einem anderen Mitgliedstaat der Europäischen Union oder aus einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum vorliegt, sind, soweit sie Artikel 5 Abs. 1 der Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen (ABl. EG 2000 Nr. L 13 S. 2) in der jeweils geltenden Fassung entsprechen, qualifizierten elektronischen Signaturen gleichgestellt. Elektronische Signaturen aus Drittstaaten sind qualifizierten elektronischen Signaturen gleichgestellt, wenn das Zertifikat von einem dortigen Zertifizierungsdiensteanbieter öffentlich als qualifiziertes Zertifikat ausgestellt und für eine elektronische Signatur im Sinne von Artikel 5 Abs. 1 der Richtlinie 1999/93/EG bestimmt ist und wenn

1.
der Zertifizierungsdiensteanbieter die Anforderungen der Richtlinie erfüllt und in einem Mitgliedstaat der Europäischen Union oder einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum akkreditiert ist oder

2.
ein in der Gemeinschaft niedergelassener Zertifizierungsdiensteanbieter, welcher die Anforderungen der Richtlinie erfüllt, für das Zertifikat einsteht oder

3.
das Zertifikat oder der Zertifizierungsdiensteanbieter im Rahmen einer bilateralen oder multilateralen Vereinbarung zwischen der Europäischen Union und Drittstaaten oder internationalen Organisationen anerkannt ist.

(2) Elektronische Signaturen nach Absatz 1 sind qualifizierten elektronischen Signaturen mit Anbieter-Akkreditierung nach § 15 Abs. 1 gleichgestellt, wenn sie nachweislich gleichwertige Sicherheit aufweisen.

(3) Produkte für elektronische Signaturen, bei denen in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum festgestellt wurde, dass sie den Anforderungen der Richtlinie 1999/93/EG in der jeweils geltenden Fassung entsprechen, werden anerkannt. Den nach § 15 Abs. 7 geprüften Produkten für qualifizierte elektronische Signaturen werden Produkte für elektronische Signaturen aus einem in Satz 1 genannten Staat oder aus einem Drittstaat gleichgestellt, wenn sie nachweislich gleichwertige Sicherheit aufweisen.