(1) Zweck der Vorschriften dieses Teils ist es sicherzustellen, daß die öffentlich angebotenen Verfahren und Dienste zur Gewährleistung von Rechtssicherheit im elektronischen Rechtsverkehr durch digitale Signaturen bestimmten Mindeststandards an Sicherheit entsprechen und die Rechte der Teilnehmer in ausreichendem Maße schützen. Sie sollen insbesondere gewährleisten, daß
(2) Die Vorschriften dieses Teils gelten für die Erzeugung, Verwaltung und Nutzung von Schlüsseln zum digitalen Signieren.
(1) Elektronischer Rechtsverkehr ist der Austausch von digitalisierten
Willenserklärungen mit Hilfe von Informations- und Telekommunikationstechniken.
Offen ist der Rechtsverkehr, wenn der Kreis der möglichen Teilnehmer
von vornherein unbestimmt ist.
(2) Öffentliche Schlüsselsysteme sind Verschlüsselungsverfahren,
die mit Schlüsselpaaren arbeiten, von denen ein Schlüssel geheimzuhalten
ist und der andere Schlüssel veröffentlicht werden kann.
(3) Eine digitale Signatur ist eine mit einem geheimen Schlüssel eines
Schlüsselpaares zu einem bestimmten elektronischen Dokument erzeugte
kryptographische Prüfsumme, die zusammen mit weiteren Informationen
auf den öffentlichen Schlüssel des Urhebers schließen läßt.
Für die Prüfsumme muß gelten, daß sie oder das Dokument
nicht verändert werden können, ohne daß die Veränderung
erkannt werden kann und daß sie für das bestimmte Dokument nur
mittels des zum öffentlichen Schlüssel gehörenden geheimen
Schlüssels erzeugt werden kann.
(4) Vertrauensinstanz ist jede Stelle, die Tätigkeiten im Sinne der
§§ 9 bis 14 (Namensregistrierung, Schlüsselerzeugung, Zertifizierung,
Personalisierung, Schlüsselausgabe, Verzeichnisdienste, Zeitbestätigung)
ausübt.
(5) Sicherungsinfrastruktur ist eine Hierarchie oder ein Netzwerk von Vertrauensinstanzen,
die für einen einheitlichen Zweck nach einem aufeinander abgestimmten
Organisationskonzept zusammenarbeiten.
(6) Betreiber einer Vertrauensinstanz ist, wer die Leistungen einer Vertrauensinstanz
im eigenen Namen anbietet.
(7) Zertifikat ist die Bestätigung der Zuordnung eines öffentlichen
Schlüssels zu einem unverwechselbaren Namen oder Kennzeichen.
(8) Pseudonym ist ein erdachter Name oder ein erdachtes Kennzeichen.
(9) Sicherheitszertifikat ist eine Prüfbestätigung nach dem BSI-Errichtungsgesetz
vom 17.12.1990.
(1) Vertrauensinstanzen dürfen personenbezogene Daten erheben,
verarbeiten und nutzen, soweit sie für Zwecke der Identifizierung
und Berechtigungsprüfung des Antragstellers sowie der im Zertifikat
genannten Person, einer eine Sperrung beantragenden Person sowie zur Abwicklung
des Rechtsverhältnisses mit dem Antragsteller oder Teilnehmer erforderlich
sind. Die Daten dürfen nicht für andere Zwecke verwendet werden.
Die Daten sind zu löschen und die Aufzeichnungen zu vernichten, sobald
sie nicht mehr benötigt werden, spätestens jedoch dreißig
Jahre nach ihrer Erhebung, soweit mit dem Betroffenen keine abweichenden
schriftlichen Vereinbarungen getroffen werden oder keine anderen Rechtsvorschriften
entgegenstehen.
(2) Die Gestaltung und Auswahl der technischen Einrichtungen und Verfahren
hat sich an den Zielen der Dateneinsparung auszurichten und ein hohes Datenschutzniveau
zu gewährleisten.
Errichtung, Betrieb und wesentliche Veränderung einer Vertrauensinstanz,
die ihre Dienstleistungen für den offenen elektronischen Rechtsverkehr
anbietet, bedürfen der Genehmigung.
Die Genehmigung kann auch für eine Sicherungsinfrastruktur beantragt
werden. Die folgenden Vorschriften gelten in diesem Fall entsprechend.
Die Genehmigung ist zu erteilen, wenn
1. keine Tatsachen vorliegen, die Zweifel an der Zuverlässigkeit des
Antragstellers und der im Betrieb der Vertrauensinstanzen tätigen
Personen vorliegen,
2. gewährleistet ist, daß die in der Vertrauensinstanz tätigen
Personen die notwendige Sach- und Fachkunde besitzen,
3. sichergestellt ist, daß die Betreiberpflichten jederzeit erfüllt
werden,
4. eine für den Tätigkeitszweck ausreichende Sicherheit der technischen
Verfahren und Komponenten sowie der Organisation der Verantwortungsbereiche
und Verfahren gewährleistet ist,
5. das Zusammenwirken mit anderen Vertrauensinstanzen gewährleistet
ist, um einheitliche Leistungsmerkmale für den gleichen Anwendungszweck
zur Verfügung zu stellen,
6. Vorsorge getroffen ist, daß die Beendigung der Tätigkeiten
als Vertrauensinstanzen ordnungsgemäß abgewickelt werden kann,
7. für die in der Bundesrepublik Deutschland angebotenen Leistungen
der Vertrauensinstanzen eine natürliche oder juristische Person verantwortlich
ist, die ihren Sitz im Inland hat.
(1) Der Antrag ist schriftlich unter Vorlage von Antragsunterlagen,
die eine ausreichende Prüfung der Genehmigungsvoraussetzungen ermöglichen,
bei der Genehmigungsbehörde einzureichen. Im Antrag sind der Zweck
und der Wirkungsbereich der beantragten Tätigkeiten sowie die beantragte
Höchstzahl von Teilnehmern, Schlüsseln oder Dokumenten anzugeben.
Die Unterlagen müssen zumindest ein Sicherheitskonzept für die
beantragten Tätigkeiten sowie Nachweise zur Erfüllung der Voraussetzungen
für das Zusammenwirken mit anderen Vertrauensinstanzen enthalten.
(2) Die Genehmigungsbehörde fordert das Bundesamt für Sicherheit
in der Informationstechnik, die zuständige Datenschutzkontrollbehörde
und die nach Landesrecht für die Justiz zuständige oberste Behörde
des Landes, in dem die Vertrauensinstanz ihren Sitz hat, zu einer Stellungnahme
auf. Die Genehmigungsbehörde berücksichtigt Stellungnahmen, die
innerhalb von sechzig Tagen nach Zugang bei ihr eingehen.
(3) Die Genehmigungsbehörde kann Gutachter mit der Prüfung der
Antragsunterunterlagen beauftragen.
(4) Der Antragsteller trägt die notwendigen Kosten des Genehmigungsverfahrens.
(5) Die Genehmigung ist schriftlich zu erteilen und kann befristet, inhaltlich
beschränkt sowie mit Nebenbestimmungen versehen sein.
(6) Zur Sicherstellung der Betreiberpflichten können nachträgliche
Auflagen erlassen werden.
(1) Vertrauensinstanzen, die nicht genehmigungsbedürftig sind und
ihre Leistungen öffentlich anbieten, müssen zwei Monate vor Aufnahme
ihres Betriebs der Aufsichtsbehörde ihren Zweck, Wirkungsbereich und
ihr Leistungsangebot anzeigen.
(2) Für nicht genehmigungsbedürftige Vertrauensinstanzen, die
ihre Leistungen nicht für die Erzeugung und Prüfung rechtsverbindlicher
Willenserklärungen anbieten, gelten die Vorschriften der §§
3, 9 Abs. 2, 6 und 7, 11 Abs. 2 Satz 1, 15, 16 Abs. 2 bis 4, 17 Abs. 3
und 22 Abs. 2 und 3 entsprechend. Der Zweck, die Schlüssel nur für
nicht rechtsverbindliche Erklärungen zu verwenden, muß im Zertifikat
für eine automatische Prüfung eindeutig zu erkennen sein.
(3) Für nicht genehmigungsbedürftige Vertrauensinstanzen, die
ihre Leistungen für die Erzeugung und Prüfung rechtsverbindlicher
Willenserklärungen anbieten, gelten die Betreiberpflichten der §§
3, 8 Abs. 1 und 2, 9, 10, 11 Abs. 2, 5 und 6, 12, 15, 16 Abs. 2 bis 4,
17 Abs. 2 und 3 sowie 22 Abs. 2 und 3 entsprechend. Der Zweck, die Schlüssel
nicht für den offenen elektronischen Rechtsverkehr, sondern nur für
einen begrenzten Empfängerkreis zu verwenden, muß im Zertifikat
für eine automatische Prüfung eindeutig zu erkennen sein.
(1) Jede Vertrauensinstanz hat ein Konzept ihrer Sicherungsmaßnahmen
zu entwickeln und zu veröffentlichen.
(2) Jede Vertrauensinstanz hat revisionsfähig Unterlagen zu sammeln
und Aufzeichnungen zu führen, mit deren Hilfe sie in jedem Einzelfall
die Einhaltung der Betreiberpflichten nachweisen kann. Sie hat Unterlagen
und Aufzeichnungen in einer jederzeit lesbaren und fälschungssicheren
Form mindesten dreißig Jahre aufzubewahren.
(3) Jede privatrechtliche Vertrauensinstanz hat zur Erfüllung gesetzlicher
Schadensersatzverpflichtungen eine ständige Deckungsvorsorge, die
dem Zweck der Tätigkeiten und der beantragten Höchstzahl der
Teilnehmer, Schlüssel oder Dokumente entspricht.
(1) Eine Registrierungsinstanz ist jede Stelle, die den Namen und weitere
Angaben registriert, für die ein Schlüsselpaar zertifiziert werden
soll.
(2) Die Registrierungsinstanz läßt für natürliche
Personen nur deren Vor- und Familiennamen in einer unverwechselbaren Kennzeichnung
zu. Sie läßt ein Pseudonym nur mit Kennzeichnung als Pseudonym
und nur auf unverwechselbare Namen zu, die nicht Namen natürlicher
oder juristischer Personen sind. Sie läßt für juristische
Personen nur eine unverwechselbare Kennzeichnung zu, die dem Namen, unter
dem sie im Rechtsverkehr auftritt, entspricht.
(3) Soll ein Schlüsselpaar für mehrere Teilnehmer ausgegeben
werden, muß die Gruppe einen unverwechselbaren Gruppennamen tragen,
der sie als Gruppe kenntlich macht.
(4) Soll ein Schlüsselpaar für die automatisierte Abgabe von
Willenserklärungen ausgegeben werden, muß der Name des Erklärenden
mit einem Zusatz versehen werden, der die automatisierte Erstellung der
Willenserklärungen erkennen läßt.
(5) Die Registrierungsinstanz darf dem Namen zusätzliche Angaben zu
Vertretungsmacht, rechtlich bedeutsame Qualifikationen oder Berechtigungen
hinzufügen, wenn diese durch öffentliche Urkunden nachgewiesen
sind. Der Antragsteller kann eine zusätzliche Angabe zu einer Haftungsbeschränkung
durch eine Höchstgrenze in Deutscher Mark je Rechtsgeschäft oder
durch einen Ausschluß von Rechtsgeschäften dem Namen anfügen
lassen.
(6) Die Registrierungsinstanzen erteilen Auskunft über Vor- und Familiennamen,
Doktorgrad und Anschriften einzelner im Zertifikat genannter Teilnehmer.
Sie registrieren alle Auskunftsbegehren und teilen diese dem Betroffenen
auf Anfrage kostenlos mit.
(7) Die in Abs. 6 genannnte Auskunft wird zu Pseudonymen erteilt, wenn
1. eine Partei glaubhaft darlegt, daß sie die Aufdeckung zur Verfolgung
eines Rechtsanspruchs benötigt und der Antrag nicht offensichtlich
rechtsmißbräuchlich ist, insbesondere nicht nur dem Zweck dient,
ein Pseudonym aufzudecken,
2. ein Richter die Aufdeckung beschließt, weil er die Aufdeckung
für die Sachaufklärung in einem Verfahren für erforderlich
hält,
3. eine Staatsanwalt die Aufdeckung zur Ermittlung einer Straftat für
erforderlich hält,
4. eine Behörde die Aufdeckung beantragt, weil sie für die Erfüllung
ihrer Aufgaben erforderlich ist.
Der Betroffene wird kostenlos über die Tatsache der Aufdeckung und
denjenigen, demgegenüber das Pseudonym aufgedeckt worden ist, unterrichtet.
(1) Schlüsselerzeuger ist jede Stelle, die Schlüsselpaare
für andere herstellt.
(2) Der Schlüsselerzeuger ist verpflichtet, nur einmalige und sichere
Schlüsselpaare nach einem sicheren Verfahren herzustellen und den
geheimen Schlüssel nach der Personalisierung oder der Weitergabe an
eine Personalisierungsinstanz sofort zu löschen. Er darf den geheimen
Schlüssel nicht an Dritte weitergeben und kein Duplikat des geheimen
Schlüssels aufbewahren. Die Weitergabe der Schlüssel an die Personalisierungsinstanz
erfolgt durch sichere Verfahren.
(1) Zertifizierungsinstanz ist jede Stelle, die Zertifikate ausstellt.
(2) Ein Zertifikat darf nur für nach § 11 registrierte Namen
und Angaben ausgestellt werden. Kennzeichnungen für Pseudonyme, für
Gruppen, die automatische Abgabe von Willenserklärungen und für
zusätzliche Angaben sowie der Zweck des Zertifikats müssen in
digitalen Zertifikaten automatisch erkannt werden können. Das Zertifikat
ist mit einer eindeutigen Seriennummer zu versehen. Es muß die zuständigen
Verzeichnisdienste benennen.
(3) Ein Zertifikat für von anderen erzeugten Schlüsseln muß
einen Hinweis auf den Schlüsselerzeuger enthalten. Jedes Schlüsselpaar
darf nur für einen Teilnehmer zertifiziert werden.
(4) Die Zertifizierungsinstanz meldet jedes von ihr ausgestellte Zertifikat
an eine Verzeichnisinstanz, es sei denn der im Zertifikat genannte Teilnehmer
hat ein anderes Verfahren beantragt. Sie ist dafür verantwortlich,
daß jedes widerrufene oder gesperrte Zertifikat unmittelbar nach
dem Widerruf oder der Sperrung in korrekter Form in ein öffentliches
Verzeichnis nach § 13 Abs. 2 aufgenommen wird.
(5) Die Zertifizierungsinstanz erteilt zu einem von ihr ausgestellten Zertifikat
Auskunft, welche Registrierungs-, Personalisierungs- und Ausgabeinstanz
für die betroffenen Schlüssel zuständig war.
(6) Die Zertifizierungsinstanz erteilt bei Nachweis eines berechtigten
Interesses Auskunft über ein ungültiges Zertifikat und dessen
zugehörige Unterlagen. Für Zertifikate auf Pseudonym gilt §
9 Abs. 6 entsprechend.
(1) Personalisierungsinstanz ist jede Stelle, die für einen anderen
einen geheimen Schlüssel in ein Trägermedium überträgt
oder in dieses Namen, zusätzliche Angaben oder Zertifikate einträgt.
Ausgabeinstanz ist jede Stelle, die das für einen anderen personalisierte
Trägermedium übergibt.
(2) Personalisierungsinstanzen sind verpflichtet, Trägermedien nur
mit nach § 9 zulässigen Namen und Angaben und nach § 11
zulässigen Zertifikaten korrekt zu personalisieren. Sie dürfen
geheime Schlüssel nur in einem sicheren Verfahren auf das Trägermedium
übertragen, nicht aber lesen, verändern, duplizieren oder an
Dritte weitergeben. Sie haben die Trägermedien durch sichere Verfahren
gegen unberechtigten Zugriff zu schützen.
(3) Ausgabeinstanzen sind verpflichtet, vor der Übergabe personalisierter
Trägermedien die Identität des Berechtigten festzustellen. Sie
tragen bis zum Zugang des Trägermediums beim Berechtigten die Verantwortung
für dessen Untergang, Verlust oder Beschädigung.
(1) Verzeichnisinstanz ist jede Stelle, die Verzeichnisse mit Informationen
zu öffentlichen Schlüsseln im eigenen Namen erstellt, verbreitet
oder anbietet.
(2) Jede Verzeichnisinstanz hat unmittelbar nach der Übermittlung
die ihr von einer Zertifizierungsinstanz nach § 11 Abs. 4 mitgeteilten
gültigen sowie widerrufenen oder gesperrten Zertifikate so in Verzeichnisse
aufzunehmen und in der Bundesrepublik Deutschland zu verbreiten, daß
jeder Teilnehmer in der Bundesrepublik Deutschland durch automatisierte
Einzelabfragen die Gültigkeit eines Zertifikats überprüfen
kann. Sie schließt technisch das Abrufen des gesamten Verzeichnisses
oder von Teilverzeichnissen durch Unberechtigte aus. Jeder Teilnehmer kann
eine digital signierte Auskunft über den aktuellen Gültigkeitsstatus
eines Zertifikats anfordern.
(1) Eine Zeitbestätigungsinstanz ist jede Stelle, die mittels digitaler
Signatur in überprüfbarer Weise bestätigt, daß zu
einem bestimmten Zeitpunkt oder innerhalb eines bestimmten Zeitraumes ein
Dokument vorgelegen hat oder eine digitale Signatur geleistet wurde.
(2) Eine Zeitbestätigung muß sich auf das Dokument und die tatsächliche
Zeit oder den tatsächlichen Zeitraum beziehen. Die Bestätigung
für die Leistung einer digitalen Signatur innerhalb eines Zeitraumes
darf sich nur auf Zeiträume beziehen, innerhalb derer die bestätigten
Zertifikate gültig sind.
(3) Zeitbestätigungsinstanzen haben sämtliche Bestätigungen
fortlaufend so zu protokollieren, daß eine nachträgliche Ausstellung
von Zeitbestätigungen und eine Rückdatierung von Zeitbestätigungen
ausgeschlossen ist, ohne daß dies erkannt werden kann.
(4) Zeitbestätigungsinstanzen können Teilnehmern technische Komponenten
bereitstellen, die Zeitbestätigungen automatisch sicher erstellen.
In diesem Fall hat die Zeitbestätigungsinstanz die Einhaltung der
in Absatz 2 und 3 genannten Bedingungen durch geeignete technische Maßnahmen
und regelmäßige Überprüfungen sicherzustellen.
Die Bundesregierung wird ermächtigt, nach Anhörung des Bundesamtes
für Sicherheit in der Informationstechnik sowie von Verbraucher- und
Wirtschaftsverbänden und mit Zustimmung des Bundesrates Rechtsverordnungen
zur Konkretisierung der Betreiberpflichten, der Genehmigungspflicht, der
Genehmigungsvoraussetzungen und des Genehmigungsverfahrens zu erlassen,
insbesondere Regelungen zu treffen
1. zur Kennzeichnung von unterschiedlichen Zwecken für Vertrauensinstanzen,
2. zur Sicherheit von eingesetzten technischen Verfahren und Komponenten
und zur Erteilung eines Sicherheitszertifikats,
3. zur Sicherstellung unverwechselbarer Namen und einmaliger Schlüsselpaare,
4. zu Inhalt, Struktur und Gültigkeit von Zertifikaten und Zertifikatketten,
5. zur Zuverlässigkeit, Sach- und Fachkunde der in Vertrauensinstanzen
tätigen Personen,
6. zu den Anforderungen an das Sicherheitskonzept,
7. zur Sicherung des Zusammenwirkens der verwendeten Schlüssel, Zertifikate,
Verzeichnisse und Sperrlisten,
8. zur Angemessenheit der Deckungsvorsorge für gesetzliche Schadensersatzverpflichtungen
hinsichtlich Tätigkeitszwecke der Vertrauensinstanz und Höchstzahl
der Teilnehmer, Schlüssel oder Dokumente,
9. zum Genehmigungsantrag, zum Genehmigungsverfahren und zum Genehmigungsbescheid,
10. zur Kostentragungspflicht für Genehmigungs-und Aufsichtsverfahren,
11. zu den Anforderungen bei Änderungen von Verfahren, Vertrauensinstanzen,
Sicherungsinfrastrukturen und Sicherheitskonzepten,
12. zu den Verfahren bei Beendigung der Tätigkeit einer Vertrauensinstanz.
(1) Die Aufsichtsbehörde überprüft bei genehmigungsbedürftigen
Vertrauensinstanzen einmal im Kalenderjahr die Einhaltung der Betreiberpflichten.
Sie veröffentlicht eine Kurzfassung des Überprüfungsergebnisses
im öffentlichen Verzeichnis der Vertrauensinstanzen.
(2) Bei Vorliegen hinreichender Anhaltspunkte, daß gegen Vorschriften
dieses Teils verstoßen wird oder wurde, kann die Aufsichtsbehörde
bei allen Vertrauensinstanzen Überprüfungen durchführen.
(3) Die Beauftragten der Aufsichtsbehörde und die von ihr hinzugezogenen
Sachverständigen sind befugt, jederzeit die Räume der Vertrauensinstanz
zu betreten, von den verantwortlichen und dort beschäftigten Personen
die erforderlichen Auskünfte zu verlangen, Einblick in die Aufzeichnungen,
gespeicherten Daten und Programme zu nehmen sowie alle Prüfungen anzustellen,
die zur Erfüllung ihrer Aufgaben erforderlich sind. Der zur Auskunft
Verpflichtete kann die Auskunft unter den Voraussetzungen des § 38
Absatz 3 Satz 2 BDSG verweigern. Das Grundrecht des Art. 13 des Grundgesetzes
wird eingeschränkt, soweit es diesen Befugnissen entgegensteht. Personenbezogene,
die ausschließlich zu Zwecken der Kontrolle erhoben oder verarbeitet
werden, dürfen nur für diesen Zweck verwendet werden.
(4) Die Aufsichtsbehörde kann die erforderlichen Anordnungen treffen,
um die Einhaltung der Betreiberpflichten sicherzustellen. Sie kann den
Betrieb der Vertrauensinstanz teilweise oder vollständig, einstweilen
oder endgültig untersagen, wenn in anderer Weise die Einhaltung der
Betreiberpflichten nicht gewährleistet werden kann.
(5) Der Betreiber trägt die notwendigen Kosten der Aufsichtsverfahren.
(1) Eine Registrierungs-, Personalisierungs-, Zertifizierungs- oder
Verzeichnisinstanz, die ihre Tätigkeit einstellen will, hat diese
Absicht
1. der Genehmigungsbehörde mindestens einhundertzwanzig Tage,
2. dem im Zertifikat genannten Teilnehmer, sofern dieses zum Zeitpunkt
der Beendigung noch gültig ist, mindestens neunzig Tage
vor Beendigung ihrer Tätigkeit schriftlich mitzuteilen.
(2) Bei Konkurs einer Vertrauensinstanz hat diese unverzüglich die
Aufsichtsbehörde und die Genehmigungsbehörde zu unterrichten.
(3) Eine Vertrauensinstanz, die ihre Tätigkeiten einstellen will,
hat sich darum zu bemühen, ihre Rechte und Pflichten einer anderen
Vertrauensinstanz zu übertragen.
(4) Alle Vertrauensinstanzen übergeben mit Beendigung ihrer Tätigkeit
ihre Aufzeichnungen und Unterlagen der öffentlichen Zertifizierungsstelle,
die diese bis zur Fortführung der Tätigkeiten durch eine andere
Vertrauensinstanzen oder bis zum Ende der in § 10 Abs. 2 genannten
Verwahrungsfrist verwahrt.
(5) Eine Zertifizierungsinstanz hat nach Ablauf der in Abs. 1 Nr. 2 genannten
Frist alle noch gültigen Zertifikate zu widerrufen und den im Zertifikat
genannten Teilnehmer hierüber schriftlich zu unterrichten. Dies gilt
nicht, wenn eine andere Zertifizierungsinstanz die Rechte und Pflichten
der ihre Tätigkeit einstellenden Zertifizierungsinstanz übernimmt.
(6) Werden die Rechte und Pflichten einer Verzeichnisinstanz, die ihre
Tätigkeiten einstellen will, nicht von einer anderen Verzeichnisinstanz
übernommen, kann die Aufsichtsbehörde eine andere Verzeichnisinstanz
verpflichten, auf Kosten der ihre Tätigkeiten beendenden Verzeichnisinstanz
einen Notbetrieb fortzuführen.
(7) Die Aufsichtsbehörde kann in den Fällen der Abs. 1 bis 6
die Anordnungen treffen, die zum Schutz des Rechtsverkehrs erforderlich
sind.
(1) Verletzt eine Vertrauensinstanz eine Betreiberpflicht, so hat sie
den daraus entstehenden Schaden zu ersetzen.
(2) Ist der Schaden durch das Handeln der Vertrauensinstanz verursacht,
so hat die Vertrauensinstanz die Einhaltung der Betreiberpflichten nachzuweisen.
(3) Die Haftung der Vertrauensinstanz ist pro Schadensfall und Geschädigter
auf eine Million Deutsche Mark begrenzt.
(4) Ersatzansprüche verjähren nach den Vorschriften des Bürgerlichen
Gesetzbuches.
(5) Ersatzansprüche nach anderen Rechtsvorschriften bleiben unberührt.
(1) Die öffentliche Zertifizierungsstelle bietet Zertifizierungsinstanzen
eine Zertifizierung an.
(2) Die öffentliche Zertifizierungsstelle führt ein öffentlich
zugängliches und automatisch abrufbares Verzeichnis aller genehmigten,
angezeigten und anerkannten Vertrauensinstanzen. In diesem wird zu jeder
Vertrauensinstanz bekannt gemacht:
1. Name, Anschrift und Telefonnummer,
2. Rechtliche Organisationsform und Haftungsbeschränkungen,
3. Höhe der Deckungsvorsorge,
4. Kurzfassung des Ergebnisses der letzten Prüfung durch die Aufsichtsbehörde,
5. Sperrung oder Widerruf eines Zertifikats für eine Vertrauensinstanz,
6. Untersagung des Betriebs, Widerruf oder Rücknahme einer Genehmigung,
7. Gültige öffentliche Schlüssel der zur Zertifizierung
verwendeten Schlüsselpaare der Zertifizierungsinstanzen.
Die Vertrauensinstanzen haben der öffentlichen Zertifizierungsstelle
die für das Verzeichnis erforderlichen Informationen unmittelbar zu
übermitteln.
(3) Die öffentliche Zertifizierungsstelle erkennt Vertrauensinstanzen
in anderen Staaten auf Antrag an, wenn diese die Einhaltung von Betreiberpflichten
gewährleisten, die den in diesem Gesetz genannten vergleichbar sind,
und die Anerkennung gegenseitig vereinbart ist.
Soweit private Vertrauensinstanzen ihre Dienstleistungen öffentlich anbieten, sind sie verpflichtet, Anträge anzunehmen, wenn sie ihren Allgemeinen Vertragsbedingungen zustimmen. Die Allgemeinen Vertragsbedingungen bedürfen der Genehmigung.
(1) Die Registrierung setzt einen schriftlichen Antrag und eine Identitätsfeststellung
durch Vorlage des Bundespersonalausweises oder Reisepasses voraus. Der
Antragsteller bestimmt, unter welchem Namen er im elektronischen Rechtsverkehr
auftreten will. Die Registrierungsinstanz lehnt Namen und Angaben ab, die
den Vorgaben des § 9 nicht entsprechen. Der im Zertifikat zu nennende
Teilnehmer oder ein hierzu berechtigter Vertreter muß im Antrag schriftlich
bestätigen, daß er die im Zerifikat erfolgende Bestätigung
der Zuordnung eines Schlüsselpaares zu seiner Person im Rechtsverkehr
gegen sich gelten läßt.
(2) Jede natürliche Person kann ein Pseudonym beantragen und im Rechtsverkehr
unter einem Pseudonym handeln, soweit andere Rechtsvorschriften dem nicht
entgegenstehen.
(1) Das Zertifikat wird aufgrund der Registrierung oder für einen
bereits registrierten Namen aufgrund eines schriftlichen Antrags erteilt.
Eine Verlängerung oder Neuaustellung des Zertifikats ist auch aufgrund
eines digital signierten Antrags zulässig.
(2) Die Zertifizierungsinstanz widerruft ein Zertifikat, wenn
1. der Antragsteller oder der im Zertifikat genannte Teilnehmer dies in
einem schriftlichen oder digital signierten Antrag verlangt,
2. eine beglaubigte Abschrift der Sterbeurkunde des im Zertifikat genannten
Teilnehmers oder ein beglaubigter Auszug aus einem öffentlichen Register
über das Erlöschen einer juristischen Person vorliegt,
3. das Zertifikat falsche Angaben enthält oder der Verdacht besteht,
daß es nicht fälschungssicher oder der geheime Schlüssel
ausgeforscht sein könnte,
4. der im Zertifikat genannte Teilnehmer seine gegenüber den Vertrauensinstanzen
bestehenden Verpflichtungen trotz zweifacher Mahnung grob verletzt,
5. die Zertifizierungsinstanz ihre Tätigkeit beendet und diese nicht
von einer anderen Zertifizierungsinstanz fortgeführt wird,
6. die Aufsichtsbehörde dies zum Schutz des Rechtsverkehrs verlangt.
(3) Die Zertifizierungsinstanz sperrt ein Zertifikat für achtundvierzig
Stunden, wenn
1. der Antragsteller oder der im Zertifikat genannte Teilnehmer, deren
Bevollmächtigte oder nahe Angehörige darum ersuchen. Die eine
Sperrung beantragende Person hat ihre Identität und Vollmacht oder
Verwandschaft glaubhaft zu machen.
2. dies zur Abwehr eines nicht unverhältnismäßigen Schadens
aufgrund von Tatsachen erforderlich erscheint,
3. die Aufsichtsbehörde dies zum Schutz des Rechtsverkehrs verlangt.
Die Zertifizierungsinstanz hat die Sperrung unmittelbar nach Eingang des
Antrags und Prüfung der Glaubhaftmachung durchzuführen. Die Sperrung
kann verlängert werden. Sie ist sofort rückgängig zu machen,
wenn der im Zertifikat genannte Teilnehmer glaubhaft nachweist, daß
die Voraussetzungen der Sperrung nicht vorliegen. Die Sperrung und der
Widerruf sind dem im Zertifikat genannten Teilnehmer gegenüber umgehend
zu bestätigen.
(1) Die für den elektronischen Rechtsverkehr eingesetzten
1. kryptographischen Verfahren,
2. technischen Komponenten und Verfahren für die Herstellung der Schlüssel
und für die Speicherung des geheimen Signierschlüssels,
3. technischen Komponenten und Verfahren für die Zertifikatvergabe,
4. technischen Komponenten und Verfahren für die Zeitbestätigung,
5. technischen Komponenten und Verfahren, mit deren Hilfe digitale Signaturen
geleistet oder überprüft werden,
6. Anwendungsprogramme, in die diese eingebettet werden,
7. eingesetzten Dokumentstrukturen
müssen so gestaltet sein, daß eine Fälschung, Verfälschung,
sowie eine unautorisierte Abgabe von Willenserklärungen und eine Signaturüberprüfung
mit unzutreffendem Ergebnis verhindert wird.
(2) Die für das Signieren eingesetzten Systeme müssen gewährleisten,
daß der signierende Teilnehmer zweifelfrei erkennen und entscheiden
kann,
- daß er signiert,
- auf welches Dokument und auf welchen Dokumentinhalt sich seine Signatur
bezieht,
- mit welchem Schlüssel, welcher Identität oder welchem Pseudonym
und unter Angabe welcher Zertifikate und
- mit welcher Zeitangabe er signiert.
Die Erfüllung dieser Bedingungen muß der signierende Teilnehmer
auch nach dem Signiervorgang überprüfen können. Dem signierenden
Teilnehmer soll die Möglichkeit geboten werden, auf einem von ihm
kontrolliertem System zu signieren oder das signierte Dokument in einen
nur ihm zugänglichen Verfügungsbereich zu kopieren.
(3) Die für die Signaturprüfung eingesetzten Systeme müssen
die Kenntnisnahme und Überprüfung aller für die Willenserklärung
des signierenden Teilnehmers relevanten Umstände ermöglichen
und zwar um
- die Identität, das Pseudonym, Berechtigungen und andere relevante
Identitätsmerkmale (Urheberschaft),
- die Unverfälschtheit der Erklärung und des angegebenen Ausstellungszeitpunktes
(Authentizität),
- die bewußte und gewollte Abgabe der Willlenserklärung (Autorisierung)
zuverlässig feststellen zu können.
Die in § 23 Abs. 1 genannten Verfahren und Komponenten, die für
den offenen Rechtsverkehr verwendet werden, bedürfen eines Sicherheitszertifikats.
(1) Dieser Teil des Gesetzes tritt fünf Jahre nach Inkrafttreten
außer Kraft.
(1) Alternative: Der Gesetzgeber unterzieht diesen Teil des Gesetzes spätestens
fünf Jahre nach Inkrafttreten einer ausführlichen Überprüfung.
(2) Vor einem neuen Gesetzesbeschluß überprüft der Gesetzgeber
die Regelungen dieses Teil des Gesetzes auf der Grundlage wissenschaftlicher
Untersuchungen zur ihrer Bewährung in der Praxis.
(2) Alternative: Die Überprüfung erfolgt auf der Grundlage wissenschaftlicher
Untersuchungen zur Bewährung der Regelungen dieses Teils in der Praxis.