Bundesrecht konsolidiert: Gesamte Rechtsvorschrift für Signaturgesetz, Fassung vom 30.06.2016

§ 0

Langtitel

Bundesgesetz über elektronische Signaturen (Signaturgesetz - SigG)
StF: BGBl. I Nr. 190/1999 idF BGBl. I Nr. 59/2008 (VFB) (NR: GP XX RV 1999 AB 2065 S. 180. BR: AB 6065 S. 657.)

Änderung

Bundesgesetzblatt Teil eins, Nr. 137 aus 2000, (NR: GP römisch XXI IA 313/A AB 372 S. 44. BR: AB 6277 S. 670.)

[CELEX-Nr.: 399L0093]

Bundesgesetzblatt Teil eins, Nr. 32 aus 2001, (NR: GP römisch XXI IA 370/A AB 507 S. 57. BR: 6315 AB 6322 S. 673.)

Bundesgesetzblatt Teil eins, Nr. 152 aus 2001, (NR: GP römisch XXI RV 817 AB 853 S. 83. BR: AB 6499 S. 682.)

[CELEX-Nr.: 300L0031]

Bundesgesetzblatt Teil eins, Nr. 164 aus 2005, (NR: GP römisch XXII RV 1169 AB 1237 S. 129. BR: AB 7460 S. 729.)

[CELEX-Nr.: 31999L0093, 32003L0058]

Bundesgesetzblatt Teil eins, Nr. 8 aus 2008, (NR: GP römisch XXIII RV 293 AB 364 S. 41. BR: AB 7834 S. 751.)

Bundesgesetzblatt Teil eins, Nr. 75 aus 2010, (NR: GP römisch XXIV RV 750 AB 832 S. 73. BR: AB 8370 S. 787.)

Bundesgesetzblatt Teil eins, Nr. 50 aus 2016, in der Fassung Bundesgesetzblatt Teil eins, Nr. 27 aus 2019, (VFB) (NR: GP römisch XXV RV 1145 AB 1184 S. 134. BR: 9594 AB 9607 S. 855.)

Sonstige Textteile

Der Nationalrat hat beschlossen:

Präambel/Promulgationsklausel

Inhaltsverzeichnis

Anmerkung, wurde nicht im Bundesgesetzblatt kundgemacht)

Art / Paragraf

Gegenstand / Bezeichnung

1. Abschnitt
Gegenstand und Begriffsbestimmungen

Paragraph eins,

Gegenstand und Anwendungsbereich

Paragraph 2,

Begriffsbestimmungen

2. Abschnitt
Rechtserheblichkeit elektronischer Signaturen

Paragraph 3,

Allgemeine Rechtswirkungen

Paragraph 4,

Besondere Rechtswirkungen

Paragraph 5,

Qualifizierte Zertifikate

3. Abschnitt
ZDA

Paragraph 6,

Tätigkeit der ZDA

Paragraph 7,

Anforderungen an ZDA

Paragraph 8,

Ausstellung qualifizierter Zertifikate

Paragraph 9,

Widerruf von Zertifikaten

Paragraph 10,

Qualifizierte Zeitstempeldienste

Paragraph 11,

Dokumentation

Paragraph 12,

Einstellung der Tätigkeit

4. Abschnitt
Aufsicht

Paragraph 13,

Aufsichtsstelle

Paragraph 14,

Aufsichtsmaßnahmen

Paragraph 15,

Heranziehung der RTR-GmbH

Paragraph 16,

Durchführung der Aufsicht

Paragraph 17,

Freiwillige Akkreditierung

5. Abschnitt
Technische Sicherheitserfordernisse

Paragraph 18,

Sicherheitsanforderungen für technische Komponenten und Verfahren

Paragraph 19,

Bestätigungsstelle

6. Abschnitt
Rechte und Pflichten der Anwender

Paragraph 20,

Allgemeine Informationspflichten der ZDA

Paragraph 21,

Pflichten des Signators

Paragraph 22,

Datenschutz

Paragraph 23,

Haftung der ZDA

7. Abschnitt
Anerkennung ausländischer Zertifikate

Paragraph 24,

Anerkennung

8. Abschnitt
Schlußbestimmungen

Paragraph 25,

Signaturverordnung

Paragraph 26,

Verwaltungsstrafbestimmungen

Paragraph 27,

Inkrafttreten und Verweisungen

Paragraph 28,

Vollzug

Paragraph 29,

Hinweis auf Umsetzung

§ 1

Text

1. Abschnitt
Gegenstand und Begriffsbestimmungen

Gegenstand und Anwendungsbereich

Paragraph eins,
  1. Absatz einsDieses Bundesgesetz regelt den rechtlichen Rahmen für die Erstellung und Verwendung elektronischer Signaturen sowie für die Erbringung von Signatur- und Zertifizierungsdiensten.
  2. Absatz 2Dieses Bundesgesetz ist auch anzuwenden in geschlossenen Systemen, sofern deren Teilnehmer dies vereinbart haben, sowie im offenen elektronischen Verkehr mit Gerichten und anderen Behörden, sofern durch Gesetz nicht anderes bestimmt ist.
  3. Absatz 3Dieses Bundesgesetz ist auf Zertifizierungsdiensteanbieter (ZDA) anzuwenden, die qualifizierte Zertifikate ausstellen oder qualifizierte Zeitstempeldienste bereitstellen. Paragraph 6, Absatz eins,, Paragraph 22 und Paragraph 24, gelten auch für die übrigen ZDA.

§ 2

Text

Begriffsbestimmungen

Paragraph 2,

Im Sinne dieses Bundesgesetzes bedeuten

  1. Ziffer eins
    elektronische Signatur: elektronische Daten, die anderen elektronischen Daten beigefügt oder mit diesen logisch verknüpft werden und die der Authentifizierung dienen;
  2. Ziffer 2
    Signator: eine Person oder eine sonstige rechtsfähige Einrichtung, der Signaturerstellungsdaten und Signaturprüfdaten zugeordnet sind und die im eigenen oder fremden Namen eine elektronische Signatur erstellt;
  3. Ziffer 3
    fortgeschrittene elektronische Signatur: eine elektronische Signatur, die
    1. Litera a
      ausschließlich dem Signator zugeordnet ist,
    2. Litera b
      die Identifizierung des Signators ermöglicht,
    3. Litera c
      mit Mitteln erstellt wird, die der Signator unter seiner alleinigen Kontrolle halten kann, sowie
    4. Litera d
      mit den Daten, auf die sie sich bezieht, so verknüpft ist, dass jede nachträgliche Veränderung der Daten festgestellt werden kann;
  4. Ziffer 3 a
    qualifizierte elektronische Signatur: eine fortgeschrittene elektronische Signatur, die auf einem qualifizierten Zertifikat beruht und von einer sicheren Signaturerstellungseinheit erstellt wird;
  5. Ziffer 4
    Signaturerstellungsdaten: einmalige Daten wie Codes oder private Signaturschlüssel, die vom Signator zur Erstellung einer elektronischen Signatur verwendet werden;
  6. Ziffer 5
    sichere Signaturerstellungseinheit: eine konfigurierte Software oder Hardware, die zur Verarbeitung der Signaturerstellungsdaten verwendet wird und die den Sicherheitsanforderungen dieses Bundesgesetzes sowie der auf seiner Grundlage erlassenen Verordnungen entspricht;
  7. Ziffer 6
    Signaturprüfdaten: Daten wie Codes oder öffentliche Signaturschlüssel, die zur Überprüfung einer elektronischen Signatur verwendet werden;
  8. Ziffer 7
    Signaturprüfeinheit: eine konfigurierte Software oder Hardware, die zur Verarbeitung der Signaturprüfdaten verwendet wird;
  9. Ziffer 8
    Zertifikat: eine elektronische Bescheinigung, mit der Signaturprüfdaten einer bestimmten Person zugeordnet werden und deren Identität bestätigt wird;
  10. Ziffer 9
    qualifiziertes Zertifikat: ein Zertifikat einer natürlichen Person, das die Angaben des Paragraph 5, enthält und von einem den Anforderungen des Paragraph 7, entsprechenden ZDA ausgestellt wird;
  11. Ziffer 10
    ZDA: eine natürliche oder juristische Person oder eine sonstige rechtsfähige Einrichtung, die Zertifikate ausstellt oder andere Signatur- und Zertifizierungsdienste erbringt;
  12. Ziffer 11
    Signatur- und Zertifizierungsdienste: die Bereitstellung von Signaturprodukten und -verfahren, die Ausstellung, Erneuerung und Verwaltung von Zertifikaten, Verzeichnis-, Widerrufs-, Registrierungs- und Zeitstempeldienste sowie Rechner- und Beratungsdienste im Zusammenhang mit elektronischen Signaturen;
  13. Ziffer 12
    qualifizierter Zeitstempel: eine elektronische Bescheinigung, dass bestimmte elektronische Daten zu einem bestimmten Zeitpunkt vorgelegen sind, die den Sicherheitsanforderungen dieses Bundesgesetzes und der auf seiner Grundlage erlassenen Verordnungen entspricht;
  14. Ziffer 13
    Signaturprodukt: Hard- oder Software bzw. deren spezifische Komponenten, die für die Erstellung und Überprüfung elektronischer Signaturen oder von einem ZDA für die Bereitstellung von Signatur- oder Zertifizierungsdiensten verwendet werden;
  15. Ziffer 14
    Kompromittierung: die Beeinträchtigung von Sicherheitsmaßnahmen oder Sicherheitstechnik, sodaß das vom ZDA zugrundegelegte Sicherheitsniveau nicht eingehalten ist;
  16. Ziffer 15
    Signaturrichtlinie: Richtlinie des Europäischen Parlamentes und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen, ABl. L Nr. 13 vom 19. Jänner 2000, S 12.

§ 3

Text

2. Abschnitt
Rechtserheblichkeit elektronischer Signaturen

Allgemeine Rechtswirkungen

Paragraph 3,
  1. Absatz einsIm Rechts- und Geschäftsverkehr können Signaturverfahren mit unterschiedlichen Sicherheitsstufen und unterschiedlichen Zertifikatsklassen verwendet werden.
  2. Absatz 2Die rechtliche Wirksamkeit einer elektronischen Signatur und deren Verwendung als Beweismittel können nicht allein deshalb ausgeschlossen werden, weil die elektronische Signatur nur in elektronischer Form vorliegt, weil sie nicht auf einem qualifizierten Zertifikat oder nicht auf einem von einem akkreditierten ZDA ausgestellten qualifizierten Zertifikat beruht oder weil sie nicht unter Verwendung von technischen Komponenten und Verfahren im Sinne des Paragraph 18, erstellt wurde.

§ 4

Text

Besondere Rechtswirkungen

Paragraph 4,
  1. Absatz einsEine qualifizierte elektronische Signatur erfüllt das rechtliche Erfordernis einer eigenhändigen Unterschrift, insbesondere der Schriftlichkeit im Sinne des Paragraph 886, ABGB, sofern durch Gesetz oder Parteienvereinbarung nicht anderes bestimmt ist.
  2. Absatz 2Eine qualifizierte elektronische Signatur entfaltet in folgenden Fällen nicht die Rechtswirkungen der Schriftlichkeit im Sinne des Paragraph 886, ABGB:
    1. Ziffer eins
      Bei Rechtsgeschäften des Familien- und Erbrechts, die an die Schriftform oder ein strengeres Formerfordernis gebunden sind, es sei denn, die über das Rechtsgeschäft errichtete Urkunde enthält die Erklärung eines Rechtsanwalts oder eines Notars, dass er den Signator über die Rechtsfolgen seiner Signatur aufgeklärt hat; letztwillige Anordnungen können in elektronischer Form jedoch nicht wirksam errichtet werden.
    2. Ziffer 2
      Bei anderen Willenserklärungen oder Rechtsgeschäften, die zu ihrer Wirksamkeit an die Form einer öffentlichen Beglaubigung, einer gerichtlichen oder notariellen Beurkundung oder eines Notariatsakts gebunden sind, soweit die öffentliche Beglaubigung, die gerichtliche oder notarielle Beurkundung oder der Notariatsakt in elektronischer Form nicht wirksam zustande kommt.
    3. Ziffer 3
      Bei Willenserklärungen, Rechtsgeschäften oder Eingaben, die zu ihrer Eintragung in das Grundbuch, das Firmenbuch oder ein anderes öffentliches Register einer öffentlichen Beglaubigung, einer gerichtlichen oder notariellen Beurkundung oder eines Notariatsakts bedürfen, soweit die öffentliche Beglaubigung, die gerichtliche oder notarielle Beurkundung oder der Notariatsakt in elektronischer Form nicht wirksam zustande kommt.
    4. Ziffer 4
      Bei einer Bürgschaftserklärung (Paragraph 1346, Absatz 2, ABGB), die von Personen außerhalb ihrer gewerblichen, geschäftlichen oder beruflichen Tätigkeit abgegeben wird, es sei denn, diese enthält die Erklärung eines Rechtsanwalts oder eines Notars, dass er den Bürgen über die Rechtsfolgen seiner Verpflichtungserklärung aufgeklärt hat.
  3. Absatz 3Die Bestimmung des Paragraph 294, ZPO über die Vermutung der Echtheit des Inhalts einer unterschriebenen Privaturkunde ist auf elektronische Dokumente, die mit einer qualifizierten elektronischen Signatur versehen sind, anzuwenden.
  4. Absatz 4Die Rechtswirkungen der Absatz eins und 3 treten nicht ein, wenn nachgewiesen wird, daß die Sicherheitsanforderungen dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen nicht eingehalten oder die zur Einhaltung dieser Sicherheitsanforderungen getroffenen Vorkehrungen kompromittiert wurden.

§ 5

Text

Qualifizierte Zertifikate

Paragraph 5,
  1. Absatz einsEin qualifiziertes Zertifikat hat zumindest folgende Angaben zu enthalten:
    1. Ziffer eins
      den Hinweis darauf, daß es sich um ein qualifiziertes Zertifikat handelt,
    2. Ziffer 2
      den unverwechselbaren Namen des ZDA und den Staat seiner Niederlassung,
    3. Ziffer 3
      den Namen des Signators oder ein Pseudonym, das als solches bezeichnet sein muß,
    4. Ziffer 4
      gegebenenfalls auf Verlangen des Zertifikatswerbers Angaben über eine Vertretungsmacht oder eine andere rechtlich erhebliche Eigenschaft des Signators,
    5. Ziffer 5
      die dem Signator zugeordneten Signaturprüfdaten,
    6. Ziffer 6
      Beginn und Ende der Gültigkeit des Zertifikats,
    7. Ziffer 7
      die eindeutige Kennung des Zertifikats,
    8. Ziffer 8
      gegebenenfalls eine Einschränkung des Anwendungsbereichs des Zertifikats und
    9. Ziffer 9
      gegebenenfalls eine Begrenzung des Transaktionswerts, auf den das Zertifikat ausgestellt ist.
  2. Absatz 2Auf Verlangen des Zertifikatswerbers können weitere rechtlich erhebliche Angaben in das qualifizierte Zertifikat aufgenommen werden.
  3. Absatz 3Ein qualifiziertes Zertifikat muss mit einer fortgeschrittenen elektronischen Signatur des ZDA versehen sein.

§ 6

Text

3. Abschnitt
ZDA

Tätigkeit der ZDA

Paragraph 6,
  1. Absatz einsDie Aufnahme und die Ausübung der Tätigkeit eines ZDA bedürfen keiner gesonderten Genehmigung.
  2. Absatz 2Ein ZDA hat die Aufnahme seiner Tätigkeit unverzüglich der Aufsichtsstelle (Paragraph 13,) anzuzeigen. Er hat dieser spätestens mit Aufnahme der Tätigkeit oder bei Änderung seiner Dienste ein Sicherheitskonzept sowie ein Zertifizierungskonzept der von ihm angebotenen Signatur- und Zertifizierungsdienste samt den verwendeten technischen Komponenten und Verfahren vorzulegen.
  3. Absatz 3Das Sicherheitskonzept hat die Einhaltung der Sicherheitsanforderungen dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen darzulegen.
  4. Absatz 4Ein ZDA hat die im Sicherheits- und im Zertifizierungskonzept dargelegten Angaben sowohl bei der Aufnahme als auch während der Ausübung seiner Tätigkeit zu erfüllen.
  5. Absatz 5Ein ZDA hat alle Umstände, die eine ordnungsgemäße und dem Sicherheits- sowie dem Zertifizierungskonzept entsprechende Tätigkeit nicht mehr ermöglichen, unverzüglich der Aufsichtsstelle anzuzeigen.
  6. Absatz 6Anmerkung, aufgehoben durch Bundesgesetzblatt Teil eins, Nr. 8 aus 2008,)
  7. Absatz 7Ein Zertifikat für ZDA darf von diesen nur für die Erbringung von Zertifizierungsdiensten verwendet werden.

§ 7

Text

Anforderungen an ZDA

Paragraph 7,
  1. Absatz einsEin ZDA hat
    1. Ziffer eins
      die erforderliche Zuverlässigkeit für die von ihm bereitgestellten Signatur- oder Zertifizierungsdienste aufzuweisen,
    2. Ziffer 2
      den Betrieb eines schnellen und sicheren Verzeichnisdienstes sowie eines unverzüglichen und sicheren Widerrufsdienstes sicherzustellen und im Sicherheitskonzept darzulegen, in welcher Form dies erfolgt,
    3. Ziffer 3
      in qualifizierten Zertifikaten sowie für Verzeichnis- und Widerrufsdienste qualitätsgesicherte Zeitangaben zu verwenden und jedenfalls sicherzustellen, daß der Zeitpunkt der Ausstellung und des Widerrufs eines qualifizierten Zertifikats bestimmt werden kann,
    4. Ziffer 4
      die Identität und gegebenenfalls besondere rechtlich erhebliche Eigenschaften der Person, für die ein qualifiziertes Zertifikat ausgestellt wird, zuverlässig zu überprüfen,
    5. Ziffer 5
      zuverlässiges Personal mit den für die bereitgestellten Dienste erforderlichen Fachkenntnissen, Erfahrungen und Qualifikationen, insbesondere mit Managementfähigkeiten sowie mit Kenntnissen der Technologie elektronischer Signaturen und angemessener Sicherheitsverfahren, zu beschäftigen und geeignete Verwaltungs- und Managementverfahren, die anerkannten Normen entsprechen, einzuhalten,
    6. Ziffer 6
      über ausreichende Finanzmittel zu verfügen, um den Anforderungen dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen zu entsprechen, sowie Vorsorge für die Befriedigung von Schadenersatzansprüchen, etwa durch Eingehen einer Haftpflichtversicherung, zu treffen,
    7. Ziffer 7
      alle maßgeblichen Umstände über ein qualifiziertes Zertifikat während eines für den Verwendungszweck angemessenen Zeitraums - gegebenenfalls auch elektronisch - aufzuzeichnen, sodaß insbesondere in gerichtlichen Verfahren die Zertifizierung nachgewiesen werden kann, sowie
    8. Ziffer 8
      Vorkehrungen dafür zu treffen, daß die Signaturerstellungsdaten der Signatoren weder vom ZDA noch von Dritten gespeichert oder kopiert werden können.
  2. Absatz 2Ein ZDA hat für die Signatur- und Zertifizierungsdienste sowie für die Erstellung und Speicherung von Zertifikaten vertrauenswürdige Systeme, Produkte und Verfahren, die vor Veränderungen geschützt sind und für die technische und kryptographische Sicherheit sorgen, zu verwenden. Er hat insbesondere geeignete Vorkehrungen dafür zu treffen, daß Signaturerstellungsdaten geheimgehalten werden, daß Daten für qualifizierte Zertifikate nicht unerkannt gefälscht oder verfälscht werden können und daß diese Zertifikate nur mit Zustimmung des Signators öffentlich abrufbar sind. Für die Erzeugung und Speicherung von Signaturerstellungsdaten sowie für die Erstellung und Speicherung von qualifizierten Zertifikaten sind technische Komponenten und Verfahren, die den Anforderungen des Paragraph 18, entsprechen, zu verwenden.
  3. Absatz 3Signaturerstellungsdaten der ZDA sind vor unbefugtem Zugriff zu sichern.
  4. Absatz 4Für qualifizierte elektronische Signaturen kann das Vorliegen der Voraussetzungen der Absatz eins bis 3 im Rahmen der freiwilligen Akkreditierung (Paragraph 17,) bescheinigt werden.
  5. Absatz 5Bei einer qualifizierten elektronischen Signatur muss aus dem Zertifikat, aus der elektronischen Signatur oder aus dem Sicherheits- und Zertifizierungskonzept, auf das im Zertifikat Bezug genommen wird, hervorgehen, dass es sich um eine qualifizierte elektronische Signatur handelt.
  6. Absatz 6Für die Prüfung von qualifiziert signierten Daten sind technische Komponenten und Verfahren geeignet, die sicherstellen, dass
    1. Ziffer eins
      die signierten Daten nicht verändert worden sind,
    2. Ziffer 2
      die Signatur zuverlässig geprüft und das Ergebnis korrekt angezeigt wird,
    3. Ziffer 3
      der Prüfer feststellen kann, auf welche Daten sich die elektronische Signatur bezieht,
    4. Ziffer 4
      der Prüfer feststellen kann, welchem Signator die elektronische Signatur zugeordnet ist, wobei die Verwendung eines Pseudonyms angezeigt werden muss, und
    5. Ziffer 5
      sicherheitsrelevante Veränderungen der signierten Daten erkannt werden können.
    Auf Ersuchen von Gerichten oder anderen Behörden hat ein ZDA die Prüfung der auf seinen qualifizierten Zertifikaten beruhenden qualifizierten Signaturen vorzunehmen.

§ 8

Text

Ausstellung qualifizierter Zertifikate

Paragraph 8,
  1. Absatz einsEin ZDA oder eine in seinem Auftrag tätige Stelle hat die Identität von Personen, denen ein qualifiziertes Zertifikat ausgestellt werden soll, anhand eines amtlichen Lichtbildausweises oder durch einen anderen in seiner Zuverlässigkeit gleichwertigen, dokumentierten oder zu dokumentierenden Nachweis, festzustellen. Der ZDA hat die Zuordnung bestimmter Signaturprüfdaten zu dieser Person durch ein qualifiziertes Zertifikat zu bestätigen.
  2. Absatz 2Anmerkung, aufgehoben durch Bundesgesetzblatt Teil eins, Nr. 8 aus 2008,)
  3. Absatz 3Ein ZDA hat nach Maßgabe des Zertifizierungskonzepts auf Verlangen des Zertifikatswerbers Angaben über seine Vertretungsmacht oder eine andere rechtlich erhebliche Eigenschaft in das qualifizierte Zertifikat aufzunehmen, sofern ihm oder einer anderen Stelle (Absatz eins,) diese Umstände zuverlässig nachgewiesen werden.
  4. Absatz 4Ein ZDA kann nach Maßgabe des Zertifizierungskonzepts auf Verlangen des Zertifikatswerbers im Zertifikat anstatt des Namens des Signators ein Pseudonym angeben. Das Pseudonym darf weder anstößig noch offensichtlich zur Verwechslung mit Namen oder Kennzeichen geeignet sein.

§ 9

Text

Widerruf von Zertifikaten

Paragraph 9,
  1. Absatz einsEin ZDA hat ein Zertifikat unverzüglich zu widerrufen, wenn
    1. Ziffer eins
      der Signator oder ein im Zertifikat genannter Machtgeber dies verlangt,
    2. Ziffer 2
      der ZDA Kenntnis vom Ableben des Signators oder sonst von der Änderung im Zertifikat bescheinigter Umstände erlangt,
    3. Ziffer 3
      das Zertifikat auf Grund unrichtiger Angaben erwirkt wurde,
    4. Ziffer 4
      der ZDA seine Tätigkeit einstellt und seine Verzeichnis- und Widerrufsdienste nicht von einem anderen ZDA übernommen werden,
    5. Ziffer 5
      die Aufsichtsstelle gemäß Paragraph 14, den Widerruf des Zertifikats anordnet oder
    6. Ziffer 6
      die Gefahr einer mißbräuchlichen Verwendung des Zertifikats besteht.
  2. Absatz 2Können die in Absatz eins, genannten Umstände nicht sofort zweifelsfrei festgestellt werden, so hat der ZDA das Zertifikat jedenfalls unverzüglich zu sperren.
  3. Absatz 3Die Veröffentlichung einer Sperre und eines Widerrufs muss den Zeitpunkt ihrer Wirksamkeit enthalten. Dieser Zeitpunkt darf nicht später als eine Stunde nach der Eintragung liegen. Eine rückwirkende Sperre oder ein rückwirkender Widerruf ist unzulässig. Der Signator bzw. sein Rechtsnachfolger ist von der Sperre oder dem Widerruf unverzüglich zu verständigen.
  4. Absatz 4Ein ZDA hat ein elektronisch jederzeit allgemein zugängliches Verzeichnis der gesperrten und der widerrufenen qualifizierten Zertifikate zu führen.
  5. Absatz 5Die Aufsichtsstelle hat das Zertifikat eines ZDA unverzüglich zu widerrufen, wenn
    1. Ziffer eins
      dem ZDA die Ausübung seiner Tätigkeit untersagt wird und seine Verzeichnis- und Widerrufsdienste nicht von einem anderen ZDA übernommen werden oder
    2. Ziffer 2
      der ZDA seine Tätigkeit einstellt und seine Verzeichnis- und Widerrufsdienste nicht von einem anderen ZDA übernommen werden.
  6. Absatz 6Unverzüglichkeit ist dann gegeben, wenn die entsprechende Maßnahme an Werktagen ausgenommen Samstag, von 9 bis 17 Uhr innerhalb von drei Stunden und außerhalb dieser Zeit innerhalb von sechs Stunden erfolgt. Bei postalischer Verständigung ist Unverzüglichkeit dann gegeben, wenn die entsprechende Maßnahme innerhalb von zwei Werktagen erfolgt.

§ 10

Text

Qualifizierte Zeitstempeldienste

Paragraph 10,

Stellt ein ZDA qualifizierte Zeitstempeldienste bereit, so hat er im Sicherheits- und im Zertifizierungskonzept nähere Angaben darzulegen. Es sind technische Komponenten und Verfahren zu verwenden, die die Richtigkeit und Unverfälschtheit der Zeitangabe sicherstellen und den Anforderungen des Paragraph 18, entsprechen. Er hat weiters für die Signatur- und Zertifizierungsdienste sowie für die Erstellung und Speicherung von Zeitstempeln vertrauenswürdige Systeme, Produkte und Verfahren zu verwenden, die vor Veränderungen geschützt sind und für die technische und kryptographische Sicherheit sorgen. Er hat insbesondere geeignete Vorkehrungen dafür zu treffen, dass Signaturerstellungsdaten geheimgehalten werden und Daten für qualifizierte Zeitstempel nicht unerkannt gefälscht oder verfälscht werden können.

§ 11

Text

Dokumentation

Paragraph 11,
  1. Absatz einsEin ZDA hat die Sicherheitsmaßnahmen, die er zur Einhaltung dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen getroffen hat, sowie das Ausstellen und gegebenenfalls die Sperre und den Widerruf von Zertifikaten zu dokumentieren. Dabei müssen die Daten und ihre Unverfälschtheit sowie der Zeitpunkt ihrer Aufnahme in das Protokollierungssystem jederzeit nachprüfbar sein.
  2. Absatz 2Auf Ersuchen von Gerichten oder anderen Behörden hat ein ZDA die Dokumentation nach Absatz eins, auszufolgen. Im Fall der Einstellung seiner Tätigkeit hat ein ZDA die Dokumentation nach Absatz eins, dem mit der Weiterführung der Verzeichnis- und Widerrufsdienste betrauten ZDA oder der Aufsichtsstelle auszufolgen.
  3. Absatz 3Die Aufbewahrungsdauer der Dokumentation nach Absatz eins, ist im Sicherheits- und Zertifizierungskonzept anzugeben. Die Dokumentation des Ausstellens, der Sperre und des Widerrufs eines qualifizierten Zertifikats ist bis zum Ablauf der allgemeinen Verjährungszeit im Sinne des Paragraph 1478, ABGB, gerechnet ab dem im Zertifikat eingetragenen Ende der Gültigkeit, aufzubewahren.

§ 12

Text

Einstellung der Tätigkeit

Paragraph 12,

Ein ZDA hat der Aufsichtsstelle zumindest drei Wochen im Vorhinein die geplante Einstellung seiner Tätigkeit anzuzeigen. Weiters hat er die im Zeitpunkt der Einstellung seiner Tätigkeit gültigen Zertifikate zu widerrufen oder dafür Sorge zu tragen, dass zumindest seine Verzeichnis- und Widerrufsdienste von einem anderen ZDA übernommen werden. Ein Widerruf der gültigen Zertifikate ist nur dann zulässig, wenn die Aufsichtsstelle auf Antrag des Bundeskanzlers feststellt, dass deren Weiterführung nicht im öffentlichen Interesse gelegen ist. Sofern die gültigen Zertifikate, die im öffentlichen Interesse weitergeführt werden, nicht von einem anderen ZDA übernommen werden, hat der Bund für deren Weiterführung Sorge zu tragen. Der ZDA hat zu diesem Zweck dem Bund alle notwendigen Mittel und Informationen zu übergeben. Die dafür notwendigen Aufwendungen sind dem ZDA durch den Bund zu ersetzen. Die Signatoren sind von der Einstellung der Tätigkeit sowie vom Widerruf oder der Übernahme unverzüglich zu verständigen. Auch im Fall des Widerrufs der Zertifikate hat der ZDA sicherzustellen, dass die Widerrufsdienste weitergeführt werden; kommt er dieser Verpflichtung nicht nach, so hat die Aufsichtsstelle für die Weiterführung der Widerrufsdienste auf Kosten des ZDA Sorge zu tragen.

§ 13

Text

4. Abschnitt
Aufsicht

Aufsichtsstelle

Paragraph 13,
  1. Absatz einsAufsichtsstelle ist die Telekom-Control-Kommission (Paragraph 116, TKG 2003). Ihr obliegt die laufende Aufsicht über die Einhaltung der Bestimmungen dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen.
  2. Absatz 2Anmerkung, aufgehoben durch Bundesgesetzblatt Teil eins, Nr. 8 aus 2008,)
  3. Absatz 3Die Aufsichtsstelle hat dafür Sorge zu tragen, dass ein elektronisch allgemein zugängliches Verzeichnis der gültigen, gesperrten und widerrufenen Zertifikate für ZDA, der im Inland niedergelassenen ZDA, der von ihr akkreditierten ZDA und der Drittstaaten-ZDA, für deren Zertifikate ein im Inland niedergelassener ZDA nach Paragraph 24, Absatz 2, Ziffer 2, einsteht, geführt wird. Auf Antrag sind auch andere im Ausland niedergelassene ZDA in dieses Verzeichnis aufzunehmen. Zertifikate für ZDA können auch von der Aufsichtsstelle ausgestellt werden. Die Aufsichtsstelle hat die bei ihr geführten Verzeichnisse gesichert im Internet zu veröffentlichen.
  4. Absatz 4Die Aufsichtsstelle hat den ZDA für ihre Tätigkeit und für die Heranziehung der RTR-GmbH eine mit Verordnung festgelegte kostendeckende Gebühr vorzuschreiben. Die Einnahmen aus dieser Gebühr fließen der Aufsichtsstelle zu und sind nach Heranziehung der RTR-GmbH oder der Bestätigungsstelle nach deren Aufwand weiterzuleiten.
  5. Absatz 5Die Aufsichtsstelle kann sich zur Beratung geeigneter Personen oder Einrichtungen wie etwa einer Bestätigungsstelle (Paragraph 19,) bedienen.
  6. Absatz 6Die Mitglieder der Aufsichtsstelle sind gemäß Artikel 20, Absatz 2, B-VG bei Ausübung ihres Amtes an keine Weisungen gebunden. Sofern gesetzlich nicht anderes bestimmt ist, hat die Aufsichtsstelle das AVG 1991 anzuwenden. Sie entscheidet in oberster Instanz. Die Anrufung des Verwaltungsgerichtshofs ist zulässig.
  7. Absatz 7Die Tätigkeit der Aufsichtsstelle nach diesem Bundesgesetz ist von ihrer Tätigkeit nach anderen Bundesgesetzen organisatorisch und finanziell zu trennen.

§ 14

Text

Aufsichtsmaßnahmen

Paragraph 14,
  1. Absatz einsDie Aufsichtsstelle kann zur Sicherstellung der Erfüllung der Pflichten aus diesem Bundesgesetz und der auf seiner Grundlage ergangenen Verordnung Zertifikate für ZDA oder von Signatoren widerrufen oder den Widerruf der Zertifikate von Signatoren durch den ZDA anordnen.
  2. Absatz 2Anmerkung, aufgehoben durch Bundesgesetzblatt Teil eins, Nr. 8 aus 2008,)
  3. Absatz 3Sofern nicht nach Absatz 6, gelindere Mittel in Betracht kommen, ist einem ZDA die Ausübung seiner Tätigkeit ganz oder teilweise zu untersagen, wenn die für die Ausübung einer solchen Tätigkeit erforderlichen Voraussetzungen nach diesem Bundesgesetz oder den auf seiner Grundlage ergangenen Verordnungen nicht erfüllt werden.
  4. Absatz 4Anmerkung, aufgehoben durch Bundesgesetzblatt Teil eins, Nr. 8 aus 2008,)
  5. Absatz 5Wenn die Aufsichtsstelle einem ZDA die Ausübung seiner Tätigkeit untersagt, hat sie für den Widerruf der Zertifikate des ZDA und der Signatoren Sorge zu tragen oder die Übernahme der erbrachten Signatur- und Zertifizierungsdienste oder zumindest seiner Verzeichnis- und Widerrufsdienste durch einen anderen ZDA zu veranlassen, sofern die beteiligten ZDA der Übernahme zustimmen. Die Signatoren sind von der Untersagung sowie vom Widerruf oder der Übernahme unverzüglich zu verständigen. Auch im Fall des Widerrufs der Zertifikate hat der ZDA sicherzustellen, daß die Widerrufsdienste weitergeführt werden; kommt er dieser Verpflichtung nicht nach, so hat die Aufsichtsstelle für die Weiterführung der Widerrufsdienste auf Kosten des ZDA Sorge zu tragen.
  6. Absatz 6Die Aufsichtsstelle hat von einer Untersagung der Tätigkeit eines ZDA abzusehen, soweit die Anordnung gelinderer Mittel ausreicht, um die Einhaltung der Bestimmungen dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen sicherzustellen. Sie kann insbesondere Auflagen erteilen, unter Setzung einer angemessenen Frist zur Behebung von aufgezeigten Mängeln Maßnahmen androhen oder eine Akkreditierung widerrufen.

§ 15

Text

Heranziehung der RTR-GmbH

Paragraph 15,
  1. Absatz einsDie Aufsichtsstelle kann sich bei der Durchführung der Aufsicht der RTR-GmbH (Paragraph 5, KOG) bedienen.
  2. Absatz 2Die RTR-GmbH hat insbesondere
    1. Ziffer eins
      die Aufsichtsstelle bei der laufenden Aufsicht der ZDA zu unterstützen und die technischen Produkte, Verfahren und sonstigen Mittel, die im Rahmen der bereitgestellten Signatur- und Zertifizierungsdienste eingesetzt werden, sowie die Qualifikation des Personals zu überprüfen,
    2. Ziffer 2
      Anmerkung, aufgehoben durch Bundesgesetzblatt Teil eins, Nr. 8 aus 2008,)
    3. Ziffer 3
      Verzeichnisse der Zertifikate für ZDA und der ZDA (Paragraph 13, Absatz 3,) sowie ein Verzeichnis der akkreditierten ZDA (Paragraph 17, Absatz eins,) zu führen,
    4. Ziffer 4
      für den Fall der Einstellung oder Untersagung der Tätigkeit eines ZDA einen Widerrufsdienst zu führen, sofern keine Übernahme im Sinne der Paragraphen 12, oder 14 Absatz 5, erfolgt,
    5. Ziffer 5
      auf Anordnung der Aufsichtsstelle die Erfüllung der Voraussetzungen einer freiwilligen Akkreditierung (Paragraph 17,) zu erheben,
    6. Ziffer 6
      bei der Feststellung der Gleichwertigkeit von Prüfberichten aus Drittstaaten im Sinne des Paragraph 24, Absatz 3, mitzuwirken und
    7. Ziffer 7
      im Fall des begründeten Verdachts, daß die Sicherheitsanforderungen dieses Bundesgesetzes oder der auf seiner Grundlage ergangenen Verordnungen nicht eingehalten werden, oder auf Verlangen eines ZDA unmittelbar die vorläufige Untersagung der Tätigkeit des ZDA oder vorläufig Maßnahmen im Sinne des Paragraph 14, Absatz eins, anzuordnen.
  3. Absatz 3Die RTR-GmbH kann sich zur Beratung geeigneter Personen oder Einrichtungen wie etwa einer Bestätigungsstelle (Paragraph 19,) bedienen. Die Wahrnehmung ihrer Aufgaben in technischen Belangen hat in Abstimmung mit einer Bestätigungsstelle (Paragraph 19,) zu erfolgen. Im Rahmen ihrer Tätigkeit für die Aufsichtsstelle ist das Personal der RTR-GmbH an die Weisungen des Vorsitzenden oder des in der Geschäftsordnung bezeichneten Mitgliedes gebunden.
  4. Absatz 4Unbeschadet der Zuständigkeit der ordentlichen Gerichte können Kunden oder Interessenvertretungen Streit- oder Beschwerdefälle, insbesondere über die Qualität eines Zertifizierungsdienstes, die mit dem ZDA nicht befriedigend gelöst worden sind, der RTR-GmbH vorlegen. Die RTR-GmbH hat sich zu bemühen, innerhalb angemessener Frist eine einvernehmliche Lösung herbeizuführen. Die ZDA sind verpflichtet, an einem solchen Verfahren mitzuwirken und alle zur Beurteilung der Sachlage erforderlichen Auskünfte zu erteilen. Die RTR-GmbH hat Richtlinien für die Durchführung dieses Verfahrens festzulegen, die in geeigneter Form zu veröffentlichen sind. Mit Zustimmung des Antragstellers kann das Verfahren auch auf elektronischem Weg durchgeführt werden.
  5. Absatz 5Paragraph 13, Absatz 7, über die organisatorische und finanzielle Trennung ist auf die Tätigkeit der RTR-GmbH anzuwenden.

§ 16

Text

Durchführung der Aufsicht

Paragraph 16,
  1. Absatz einsDie ZDA haben den im Auftrag der Aufsichtsstelle handelnden Personen das Betreten der Geschäfts- und Betriebsräume während der Geschäftszeiten zu gestatten, die in Betracht kommenden Bücher und sonstigen Aufzeichnungen oder Unterlagen einschließlich der Dokumentation nach Paragraph 11, vorzulegen oder zur Einsicht bereitzuhalten, Auskünfte zu erteilen und jede sonst erforderliche Unterstützung zu gewähren. Bestehende gesetzliche Verschwiegenheits- und Aussageverweigerungsrechte bleiben unberührt.
  2. Absatz 2Die Organe des öffentlichen Sicherheitsdienstes haben der Aufsichtsstelle und den in ihrem Auftrag handelnden Personen über deren Ersuchen zur Durchführung der Aufsicht im Rahmen ihres gesetzmäßigen Wirkungsbereichs Hilfe zu leisten.
  3. Absatz 3Die Durchführung der Aufsicht nach den Absatz eins und 2 ist unter möglichster Schonung der Betroffenen und ohne unnötiges Aufsehen so durchzuführen, daß dadurch die Sicherheit der Signatur- und Zertifizierungsdienste nicht verletzt wird.

§ 17

Text

Freiwillige Akkreditierung

Paragraph 17,
  1. Absatz einsZDA, die der Aufsichtsstelle vor der Aufnahme ihrer Tätigkeit als akkreditierte ZDA die Einhaltung der Anforderungen dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen nachweisen, sind auf Antrag von der Aufsichtsstelle zu akkreditieren. Akkreditierte ZDA dürfen sich mit Zustimmung der Aufsichtsstelle im Geschäftsverkehr als solche bezeichnen. Im Zusammenhang mit Signatur- und Zertifizierungsdiensten sowie mit Signaturprodukten darf diese Bezeichnung nur verwendet werden, wenn die Sicherheitsanforderungen nach Paragraph 18, erfüllt werden. Die Aufsichtsstelle hat dafür Sorge zu tragen, daß die akkreditierten ZDA in ein elektronisch jederzeit allgemein zugängliches Verzeichnis aufgenommen werden.
  2. Absatz 2Die freiwillige Akkreditierung eines ZDA ist in das qualifizierte Zertifikat aufzunehmen oder sonst in geeigneter Weise zugänglich zu machen.
  3. Absatz 3Die Aufsichtsstelle hat für die laufende Aufsicht über die von ihr akkreditierten ZDA Sorge zu tragen. Sie hat die Akkreditierung eines ZDA zu widerrufen, wenn die Voraussetzungen einer Akkreditierung nach Absatz eins, nicht mehr erfüllt sind. Paragraph 14, Absatz 6, ist sinngemäß auch beim Widerruf einer Akkreditierung anzuwenden.

§ 18

Text

5. Abschnitt
Technische Sicherheitserfordernisse

Sicherheitsanforderungen für technische Komponenten und Verfahren

Paragraph 18,
  1. Absatz einsFür die Erzeugung und Speicherung von Signaturerstellungsdaten sowie für die Erstellung qualifizierter Signaturen sind solche technische Komponenten und Verfahren einzusetzen, die die Fälschung von Signaturen sowie die Verfälschung signierter Daten zuverlässig erkennbar machen und die die unbefugte Verwendung von Signaturerstellungsdaten verläßlich verhindern.
  2. Absatz 2Die bei der Erstellung einer qualifizierten Signatur verwendeten technischen Komponenten und Verfahren müssen zudem sicherstellen, daß die zu signierenden Daten nicht verändert werden; sie müssen es weiters ermöglichen, daß dem Signator die zu signierenden Daten vor Auslösung des Signaturvorgangs dargestellt werden und dass der Signator zu diesem Zeitpunkt über die Anzahl der Signaturen, die er im Signaturvorgang auslöst, Kenntnis erlangt. Die Signaturerstellungsdaten dürfen mit an Sicherheit grenzender Wahrscheinlichkeit nur einmal vorkommen, sie dürfen weiters mit hinreichender Sicherheit nicht ableitbar sein; ihre Geheimhaltung muß sichergestellt sein.
  3. Absatz 3Bei der Erstellung und Speicherung von qualifizierten Zertifikaten sind solche technische Komponenten und Verfahren einzusetzen, die die Fälschung und Verfälschung von Zertifikaten verhindern.
  4. Absatz 4Anmerkung, aufgehoben durch Bundesgesetzblatt Teil eins, Nr. 8 aus 2008,)
  5. Absatz 5Die technischen Komponenten und Verfahren für die Erstellung qualifizierter elektronischer Signaturen müssen nach dem Stand der Technik hinreichend und laufend geprüft sein. Die Erfüllung der Sicherheitsanforderungen an sichere Signaturerstellungseinheiten nach diesem Bundesgesetz und den auf seiner Grundlage ergangenen Verordnungen muss von einer Bestätigungsstelle (Paragraph 19,) bescheinigt sein. Bescheinigungen von Stellen, die von anderen Mitgliedstaaten der Europäischen Union oder von anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zur Beurteilung der Sicherheitsanforderungen für sichere Signaturerstellungseinheiten nach Artikel 3, Absatz 4, der Signaturrichtlinie namhaft gemacht wurden, sind den Bescheinigungen einer Bestätigungsstelle gleich zu halten.
  6. Absatz 6Entsprechen technische Komponenten und Verfahren den allgemein anerkannten Normen, die von der Europäischen Kommission nach Artikel 3, Absatz 5, der Signaturrichtlinie festgelegt werden, so gelten die entsprechenden Sicherheitsanforderungen nach diesem Bundesgesetz und den auf seiner Grundlage ergangenen Verordnungen als erfüllt.

§ 19

Text

Bestätigungsstelle

Paragraph 19,
  1. Absatz einsDie nach diesem Bundesgesetz und den auf seiner Grundlage ergangenen Verordnungen einer Bestätigungsstelle zugewiesenen Aufgaben können nur von einer dazu geeigneten Einrichtung wahrgenommen werden.
  2. Absatz 2Eine Einrichtung ist zur Wahrnehmung der einer Bestätigungsstelle zugewiesenen Aufgaben geeignet, wenn sie
    1. Ziffer eins
      die erforderliche Zuverlässigkeit aufweist,
    2. Ziffer 2
      zuverlässiges Personal mit den für diese Aufgaben erforderlichen Fachkenntnissen, Erfahrungen und Qualifikationen, insbesondere mit Kenntnissen über elektronische Signaturen, angemessene Sicherheitsverfahren, Kryptographie, Kommunikations- und Chipkartentechnologien sowie die technische Begutachtung solcher Komponenten, beschäftigt,
    3. Ziffer 3
      über ausreichende technische Einrichtungen und Mittel sowie eine ausreichende wirtschaftliche Leistungsfähigkeit verfügt und
    4. Ziffer 4
      die erforderliche Unabhängigkeit, Unparteilichkeit und Unbefangenheit sicherstellt.
  3. Absatz 3Darüber hinaus sind für die Eignung einer Bestätigungsstelle die von der Europäischen Kommission nach Artikel 3, Absatz 4, der Signaturrichtlinie festgelegten Mindestkriterien für die Benennung von Bestätigungsstellen maßgeblich. Der Bundeskanzler hat diese Kriterien im Einvernehmen mit dem Bundesminister für Justiz mit Verordnung kundzumachen.
  4. Absatz 4Der Bundeskanzler hat im Einvernehmen mit dem Bundesminister für Justiz mit Verordnung festzustellen, daß eine Einrichtung als Bestätigungsstelle geeignet ist. Eine solche Verordnung kann nur auf Antrag der betreffenden Einrichtung erlassen werden. Die Eignung kann nur festgestellt werden, wenn die Einrichtung nach ihren Statuten oder Satzungen oder nach ihrem Gesellschaftsvertrag, nach ihrer Organisation und nach ihrem Sicherheits- und Finanzierungskonzept die in Absatz 2, genannten Anforderungen erfüllt.
  5. Absatz 5Eine Bestätigungsstelle kann zur Erfüllung der ihr nach diesem Bundesgesetz oder der auf seiner Grundlage ergangenen Verordnungen zugewiesenen Aufgaben von anderen Einrichtungen oder Stellen Prüfberichte zu technischen Komponenten und Verfahren einholen.
  6. Absatz 6Die organisatorische Aufsicht über die Bestätigungsstelle obliegt der Aufsichtsstelle (Paragraph 13,).

§ 20

Text

6. Abschnitt
Rechte und Pflichten der Anwender

Allgemeine Informationspflichten der ZDA

Paragraph 20,
  1. Absatz einsEin ZDA hat den Zertifikatswerber vor Vertragsabschluss schriftlich oder unter Verwendung eines dauerhaften Datenträgers allgemein verständlich über den Inhalt des Sicherheits- und des Zertifizierungskonzepts, über die möglichen Rechtswirkungen des von ihm verwendeten Signaturverfahrens, über die Pflichten eines Signators sowie über die besondere Haftung des ZDA zu unterrichten. Zudem hat er die Bedingungen der Verwendung des Zertifikats, wie etwa Einschränkungen seines Anwendungsbereichs oder des Transaktionswerts, bekanntzugeben; weiters ist auf eine freiwillige Akkreditierung (Paragraph 17,) sowie auf besondere Streitbeilegungsverfahren hinzuweisen.
  2. Absatz 2Auf Verlangen sind die in Absatz eins, genannten Angaben auch Dritten, die ein rechtliches Interesse daran glaubhaft machen, zugänglich zu machen.
  3. Absatz 3Anmerkung, aufgehoben durch Bundesgesetzblatt Teil eins, Nr. 8 aus 2008,)

§ 21

Text

Pflichten des Signators

Paragraph 21,

Der Signator hat die Signaturerstellungsdaten sorgfältig zu verwahren, soweit zumutbar Zugriffe auf Signaturerstellungsdaten zu verhindern und deren Weitergabe zu unterlassen. Er hat den Widerruf des qualifizierten Zertifikats zu verlangen, wenn die Signaturerstellungsdaten abhanden kommen, wenn Anhaltspunkte für deren Kompromittierung bestehen oder wenn sich die im qualifizierten Zertifikat bescheinigten Umstände geändert haben.

§ 22

Text

Datenschutz

Paragraph 22,
  1. Absatz einsEin ZDA darf nur jene personenbezogenen Daten verwenden, die er zur Durchführung der erbrachten Dienste benötigt. Diese Daten dürfen nur unmittelbar beim Betroffenen selbst oder mit seiner ausdrücklichen Zustimmung bei einem Dritten erhoben werden.
  2. Absatz 2Bei Verwendung eines Pseudonyms hat der ZDA die Daten über die Identität des Signators zu übermitteln, sofern an der Feststellung der Identität ein überwiegendes berechtigtes Interesse im Sinne des Paragraph 8, Absatz eins, Ziffer 4 und Absatz 3, DSG glaubhaft gemacht wird. Die Übermittlung ist zu dokumentieren.
  3. Absatz 3Die Auskunfts- und Mitwirkungspflichten des ZDA gegenüber Gerichten und anderen Behörden bleiben unberührt.

§ 23

Text

Haftung der ZDA

Paragraph 23,
  1. Absatz einsEin ZDA, der ein Zertifikat als qualifiziertes Zertifikat ausstellt oder für ein solches Zertifikat nach Paragraph 24, Absatz 2, Ziffer 2, einsteht, haftet gegenüber jeder Person, die auf das Zertifikat vertraut, dafür, daß
    1. Ziffer eins
      alle Angaben im qualifizierten Zertifikat im Zeitpunkt seiner Ausstellung richtig sind und das Zertifikat alle für ein qualifiziertes Zertifikat vorgeschriebenen Angaben enthält,
    2. Ziffer 2
      der im qualifizierten Zertifikat angegebene Signator im Zeitpunkt der Ausstellung des Zertifikats im Besitz jener Signaturerstellungsdaten ist, die den im Zertifikat angegebenen Signaturprüfdaten entsprechen,
    3. Ziffer 3
      die Signaturerstellungsdaten und die ihnen zugeordneten Signaturprüfdaten einander bei Verwendung der von ihm bereitgestellten oder als geeignet bezeichneten Produkte und Verfahren in komplementärer Weise entsprechen,
    4. Ziffer 4
      das Zertifikat bei Vorliegen der Voraussetzungen unverzüglich widerrufen wird und die Widerrufsdienste verfügbar sind sowie
    5. Ziffer 5
      die Anforderungen des Paragraph 7, erfüllt und für die Erzeugung und Speicherung von Signaturerstellungsdaten sowie für die Erstellung und Speicherung von qualifizierten Zertifikaten technische Komponenten und Verfahren nach Paragraph 18, verwendet werden.
  2. Absatz 2Ein ZDA haftet zudem dafür, daß für die von ihm bereitgestellten oder als geeignet bezeichneten Produkte, Verfahren und sonstigen Mittel für die Erstellung elektronischer Signaturen sowie für die Darstellung zu signierender Daten nur technische Komponenten und Verfahren nach Paragraph 18, verwendet werden.
  3. Absatz 3Der ZDA haftet nicht, wenn er nachweist, daß ihn und seine Leute an der Verletzung der Verpflichtungen nach den Absatz eins und 2 kein Verschulden trifft. Kann der Geschädigte als wahrscheinlich dartun, daß die Verpflichtungen nach den Absatz eins und 2 verletzt oder die zur Einhaltung der Sicherheitsanforderungen dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen getroffenen Vorkehrungen kompromittiert wurden, so wird vermutet, daß der Schaden dadurch verursacht wurde. Diese Vermutung ist widerlegt, wenn der ZDA als wahrscheinlich dartut, daß der Schaden nicht durch eine Verletzung bzw. Kompromittierung der im zweiten Satz genannten Verpflichtungen und Vorkehrungen verursacht wurde.
  4. Absatz 4Enthält ein qualifiziertes Zertifikat eine Einschränkung des Anwendungsbereichs, so haftet der ZDA nicht für Schäden, die sich aus einer anderen Verwendung des Zertifikats ergeben. Enthält ein qualifiziertes Zertifikat einen bestimmten Transaktionswert, bis zu dem das Zertifikat verwendet werden darf, so haftet der ZDA nicht für Schäden, die sich aus der Überschreitung dieses Transaktionswerts ergeben.
  5. Absatz 5Die Haftung eines ZDA nach Absatz eins bis 3 kann im vorhinein weder ausgeschlossen noch beschränkt werden.
  6. Absatz 6Bestimmungen des Allgemeinen Bürgerlichen Gesetzbuchs und anderer Rechtsvorschriften, nach denen Schäden in anderem Umfang oder von anderen Personen als nach diesem Bundesgesetz zu ersetzen sind, bleiben unberührt.

§ 24

Text

7. Abschnitt
Anerkennung ausländischer Zertifikate

Anerkennung

Paragraph 24,
  1. Absatz einsZertifikate, die von einem in der Europäischen Gemeinschaft oder im Europäischen Wirtschaftsraum niedergelassenen ZDA ausgestellt wurden und deren Gültigkeit vom Inland aus überprüft werden kann, sind inländischen Zertifikaten gleichgestellt. Qualifizierte Zertifikate solcher ZDA entfalten dieselben Rechtswirkungen wie inländische qualifizierte Zertifikate.
  2. Absatz 2Zertifikate, die von einem in einem Drittstaat niedergelassenen ZDA ausgestellt wurden und deren Gültigkeit vom Inland aus überprüft werden kann, werden im Inland anerkannt. Qualifizierte Zertifikate werden inländischen qualifizierten Zertifikaten rechtlich gleichgestellt, wenn
    1. Ziffer eins
      der ZDA die Anforderungen nach Paragraph 7, erfüllt und unter einem freiwilligen Akkreditierungssystem eines Mitgliedstaates der Europäischen Union oder des Europäischen Wirtschaftraums akkreditiert ist,
    2. Ziffer 2
      ein in der Europäischen Gemeinschaft oder im Europäischen Wirtschaftraum niedergelassener ZDA, der die Anforderungen nach Paragraph 7, erfüllt, für das Zertifikat haftungsrechtlich einsteht oder
    3. Ziffer 3
      im Rahmen einer bilateralen oder multilateralen Vereinbarung zwischen der Europäischen Gemeinschaft einerseits und Drittstaaten oder internationalen Organisationen andererseits das Zertifikat als qualifiziertes Zertifikat oder der ZDA als Aussteller qualifizierter Zertifikate anerkannt ist.
  3. Absatz 3Ist in einem Drittstaat zum Nachweis der Sicherheitsanforderungen für qualifizierte elektronische Signaturen eine staatlich anerkannte Stelle eingerichtet, so werden Bescheinigungen dieser Stelle über die Einhaltung der Sicherheitsanforderungen für die Erzeugung qualifizierter elektronischer Signaturen den Bescheinigungen einer Bestätigungsstelle (Paragraph 19,) gleichgehalten, soweit die Aufsichtsstelle feststellt, daß die den Beurteilungen dieser Stellen zugrunde liegenden technischen Anforderungen, Prüfungen und Prüfverfahren jenen der Bestätigungsstelle gleichwertig sind.

§ 25

Text

8. Abschnitt
Schlußbestimmungen

Signaturverordnung

Paragraph 25,

Der Bundeskanzler hat mit Verordnung im Einvernehmen mit dem Bundesminister für Justiz die nach dem jeweiligen Stand der Wissenschaft und Technik zur Durchführung dieses Bundesgesetzes erforderlichen Rechtsvorschriften zu erlassen über

  1. Ziffer eins
    die Festsetzung pauschaler kostendeckender Gebühren für die Leistungen der Aufsichtsstelle und der RTR-GmbH sowie die Vorschreibung dieser Gebühren,
  2. Ziffer 2
    die Festsetzung der zur Erfüllung der Anforderungen dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen ausreichenden Finanzmittel sowie der für die Abdeckung des Haftungsrisikos der ZDA ausreichenden Finanzmittel, insbesondere die Festsetzung einer Mindestversicherungssumme für eine Haftpflichtversicherung,
  3. Ziffer 3
    die Zuverlässigkeit des ZDA und seines Personals (Paragraphen 7, Absatz eins,),
  4. Ziffer 4
    die näheren Anforderungen an die technischen Komponenten und Verfahren sowie die technischen Produkte und sonstigen Mittel zur Anwendung der Paragraphen 7, Absatz 2,, 10 und 18, die Durchführung der Prüfung der technischen Komponenten und Verfahren nach Paragraph 18, sowie die Ausstellung der Bestätigung, daß diese Anforderungen erfüllt sind,
  5. Ziffer 5
    die Dauer der Weiterführung der Widerrufsdienste durch die Aufsichtsstelle (Paragraph 12 und Paragraph 14, Absatz 5,),
  6. Ziffer 6
    die Anwendungsbereiche, Anforderungen und Toleranzen von qualifizierten Zeitstempeldiensten,
  7. Ziffer 7
    Anmerkung, aufgehoben durch Bundesgesetzblatt Teil eins, Nr. 8 aus 2008,)
  8. Ziffer 8
    die Form, Darstellung und Verfügbarkeit des Zertifizierungskonzepts (zB Klartext),
  9. Ziffer 9
    die Dauer der Aufbewahrung einer Dokumentation (Paragraph 11,) und
  10. Ziffer 10
    die Art und Form der Kennzeichnung akkreditierter ZDA.

§ 26

Text

Verwaltungsstrafbestimmungen

Paragraph 26,
  1. Absatz einsEine Verwaltungsübertretung begeht und ist mit Geldstrafe bis zu 4 000 Euro zu bestrafen, wer fremde Signaturerstellungsdaten ohne Wissen und Willen des Signators mißbräuchlich verwendet.
  2. Absatz 2Ein ZDA begeht eine Verwaltungsübertretung und ist mit Geldstrafe bis zu 8 000 Euro zu bestrafen, wenn er
    1. Ziffer eins
      entgegen Paragraph 9, Absatz eins, seine Widerrufspflicht verletzt,
    2. Ziffer 2
      entgegen Paragraph 11, seine Dokumentationspflicht verletzt,
    3. Ziffer 3
      entgegen Paragraph 16, Absatz eins, nicht Einsicht in die dort genannten Bücher, sonstige Aufzeichnungen oder Unterlagen gewährt oder nicht die notwendigen Auskünfte erteilt oder
    4. Ziffer 4
      entgegen Paragraph 20, Absatz eins, den Zertifikatswerber nicht unterrichtet.
  3. Absatz 3Ein ZDA begeht eine Verwaltungsübertretung und ist mit Geldstrafe bis zu 16 000 Euro zu bestrafen, wenn er
    1. Ziffer eins
      entgegen Paragraph 6, Absatz 2, die Aufnahme seiner Tätigkeit nicht anzeigt oder das Sicherheitskonzept oder das Zertifizierungskonzept nicht vorlegt,
    2. Ziffer 2
      entgegen Paragraph 6, Absatz 5, nicht alle Umstände, die eine ordnungsgemäße und dem Sicherheits- sowie dem Zertifizierungskonzept entsprechende Tätigkeit nicht mehr ermöglichen, der Aufsichtsstelle anzeigt,
    3. Ziffer 3
      entgegen Paragraph 7, Absatz eins, Ziffer 2, keinen geeigneten Widerrufsdienst oder keinen geeigneten Verzeichnisdienst führt,
    4. Ziffer 4
      entgegen Paragraph 7, Absatz eins, Ziffer 8, keine geeigneten Vorkehrungen dafür trifft, daß die Signaturerstellungsdaten der Signatoren weder vom ZDA noch von Dritten gespeichert oder kopiert werden können,
    5. Ziffer 5
      entgegen Paragraph 18, keine geeigneten technischen Komponenten und Verfahren für qualifizierte elektronische Signaturen verwendet, bereitstellt oder bezeichnet oder
    6. Ziffer 6
      trotz Untersagung durch die Aufsichtsstelle (Paragraph 14, Absatz 3,) die ihm untersagte Tätigkeit weiterhin ausübt.
  4. Absatz 4Eine Verwaltungsübertretung gemäß den Absatz eins bis 3 liegt nicht vor, wenn die Tat den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist.
  5. Absatz 5Im Straferkenntnis können die Gegenstände, mit denen die strafbare Handlung begangen wurde, für verfallen erklärt werden.

§ 27

Text

Inkrafttreten und Verweisungen

Paragraph 27,
  1. Absatz einsDieses Bundesgesetz tritt mit 1. Jänner 2000 in Kraft.
  2. Absatz 2Soweit in diesem Bundesgesetz auf Bestimmungen anderer Bundesgesetze verwiesen wird, sind diese in ihrer jeweils geltenden Fassung anzuwenden.
  3. Absatz 3Paragraph 13, in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 137 aus 2000, tritt mit 1. Oktober 2000 in Kraft.
  4. Absatz 4Die Paragraphen 5,, 7, 15, 18, 19, 23, 24, 26, 27 und 29 in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 137 aus 2000, treten mit dem auf die Kundmachung dieses Bundesgesetzes folgenden Tag in Kraft.
  5. Absatz 5Die Bestimmungen der Paragraph 13, Absatz 4,, Paragraph 15, Absatz eins bis 5, Paragraph 25, Ziffer eins und Paragraph 27, Absatz 5, in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 32 aus 2001, treten mit 1. April 2001 in Kraft.
  6. Absatz 6Paragraph 4, in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 152 aus 2001, tritt mit 1. Jänner 2002 in Kraft.
  7. Absatz 7Paragraph 4, Absatz 2, in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 164 aus 2005, tritt mit 1. Jänner 2007 in Kraft.
  8. Absatz 8Paragraph eins, Absatz 3,, Paragraph 2, Ziffer eins bis 3a, 5, 9, 10, 12, 13 und 14, Paragraph 3, Absatz 2,, Paragraph 4, Absatz eins bis 3, Paragraph 5, Absatz eins, Ziffer 2 und Absatz 3,, die Abschnittsüberschrift und Paragrafenüberschrift vor Paragraph 6,, Paragraph 6, Absatz eins bis 5 und 7, die Paragrafenüberschrift vor Paragraph 7,, Paragraph 7, Absatz eins und Absatz eins, Ziffer 2 bis 4 sowie 8 und Absatz 2 bis 6, Paragraph 8, Absatz eins,, 3 und 4, Paragraph 9, Absatz eins,, Absatz eins, Ziffer 2 und 4, Absatz 2 bis 5, Absatz 5, Ziffer eins und 2 und Absatz 6,, Paragraph 10, samt Überschrift, Paragraph 11, Absatz eins bis 3, Paragraph 12,, Paragraph 13, Absatz eins,, 3 und 4, Paragraph 14, Absatz eins,, 3, 5 und 6, Paragraph 15, Absatz eins und Absatz 2, Ziffer eins,, 3, 4 und 7, Absatz 3 und 4, Paragraph 16, Absatz eins,, Paragraph 17, Absatz eins bis 3, die Paragrafenüberschrift vor Paragraph 18,, Paragraph 18, Absatz eins,, 2, und 5, Paragraph 19, Absatz 6,, die Paragrafenüberschrift vor Paragraph 20,, Paragraph 20, Absatz eins,, Paragraph 21,, Paragraph 22, Absatz 2 und 3 Anmerkung, richtig: Paragraph 22, Absatz eins bis 3), die Paragrafenüberschrift vor Paragraph 23,, Paragraph 23, Absatz eins bis 5, Paragraph 24, Absatz eins bis 3 und Absatz 2, Ziffer eins bis 3, Paragraph 25, Ziffer 2,, 3, 6 und 10, Paragraph 26, Absatz 2 und 3 und Absatz 3, Ziffer 4 bis 6 und Paragraph 28, Ziffer 2, in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 8 aus 2008, treten am 1. Jänner 2008 in Kraft; gleichzeitig treten Paragraph 6, Absatz 6,, Paragraph 8, Absatz 2,, Paragraph 13, Absatz 2,, Paragraph 14, Absatz 2 und 4, Paragraph 15, Absatz 2, Ziffer 2,, Paragraph 18, Absatz 4,, Paragraph 20, Absatz 3,, und Paragraph 25, Ziffer 7, außer Kraft.

§ 28

Text

Vollzug

Paragraph 28,

Mit der Vollziehung dieses Bundesgesetzes sind betraut:

  1. Ziffer eins
    hinsichtlich der Paragraphen 3,, 4 und 23 der Bundesminister für Justiz,
  2. Ziffer 2
    hinsichtlich der Paragraphen 13 bis 17 der Bundesminister für Verkehr, Innovation und Technologie,
  3. Ziffer 3
    hinsichtlich der Paragraphen 22 und 26 der Bundeskanzler,
  4. Ziffer 4
    hinsichtlich der Paragraphen 7, Absatz eins, Ziffer 6 und 13 Absatz 4, der Bundeskanzler im Einvernehmen mit dem Bundesminister für Justiz und dem Bundesminister für Finanzen und
  5. Ziffer 5
    hinsichtlich der übrigen Bestimmungen der Bundeskanzler im Einvernehmen mit dem Bundesminister für Justiz.

§ 29

Text

Hinweis auf Umsetzung

Paragraph 29,

Mit diesem Bundesgesetz wird die Richtlinie 99/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen, ABl. L Nr. 13 vom 19. Jänner 2000, S 12, umgesetzt.

Art. 2

Text

Artikel 2
Notifikationshinweis gemäß Artikel 12 der Richtlinie 98/34/EG

Anmerkung, aus Bundesgesetzblatt Teil eins, Nr. 75 aus 2010,, zu Paragraph 12,, Bundesgesetzblatt Teil eins, Nr. 190 aus 1999,)

Dieses Gesetz wurde unter Einhaltung der Richtlinie 98/34/EG über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft, ABl. Nr. L 204 vom 21.07.1998 S. 37, zuletzt geändert durch die Richtlinie 2006/96/EG, ABl. Nr. L 363 vom 20.12.2006 S. 81, der Kommission notifiziert (Notifikationsnummer 2010/112/A).

Art. 5

Text

Artikel 5
Notifikationshinweis gemäß Artikel 12 der Richtlinie 98/34/EG

Anmerkung, aus Bundesgesetzblatt Teil eins, Nr. 8 aus 2008,, zu Bundesgesetzblatt Teil eins, Nr. 190 aus 1999,)

Dieses Gesetz wurde unter Einhaltung der Bestimmungen der Richtlinie 98/34/EG über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft, ABl. Nr. L 204 vom 21.7.1998, S. 37 in der Fassung der Richtlinie 98/48/EG, ABl. Nr. L 217 vom 5.8.1998, S. 18, unter der Notifikationsnummer 2007/456/A notifiziert.