> artikel5 > gesetze.html > iukdg_3.html


Signaturgesetz (SigG, Art. 3 IuKDG)


Weitere Informationen zum Thema:
Amtliche Begrndung zum IuKDG

Staatsvertrag ber Mediendienste

Amtliche Begrndung zum MStV

FAQ: Rechtspflichten von Internet Service Providern

FAQ: Rechtspflichten von Nutzern

Gesetz
zur Regelung der Rahmenbedingungen
fr Informations- und Kommunikationsdienste
(Informations- und Kommunikationsdienste-Gesetz - IuKDG)

vom 22. Juli 1997
(Bundesgesetzblatt 1997, Teil I Nr. 52, Bonn, 28. Juli 1997, S. 1870)

Artikel 3

Gesetz zur digitalen Signatur (Signaturgesetz - SigG) *

1
Zweck und Anwendungsbereich

(1) Zweck des Gesetzes ist es, Rahmenbedingungen fr digitale Signaturen zu schaffen, unter denen diese als sicher gelten und Flschungen digitaler Signaturen oder Verflschungen von signierten Daten zuverlssig festgestellt werden knnen.

(2) Die Anwendung anderer Verfahren fr digitale Signaturen ist freigestellt, soweit nicht digitale Signaturen nach diesem Gesetz durch Rechtsvorschrift vorgeschrieben sind.

2
Begriffsbestimmungen

(1) Eine digitale Signatur im Sinne dieses Gesetzes ist ein mit einem privaten Signaturschlssel erzeugtes Siegel zu digitalen Daten, das mit Hilfe eines zugehrigen ffentlichen Schlssels, der mit einem Signaturschlssel-Zertifikat einer Zertifizierungsstelle oder der Behrde nach 3 versehen ist, den Inhaber des Signaturschlssels und die Unverflschtheit der Daten erkennen lt.

(2) Eine Zertifizierungsstelle im Sinne dieses Gesetzes ist eine natrliche oder juristische Person, die die Zuordnung von ffentlichen Signaturschlsseln zu natrlichen Personen bescheinigt und dafr eine Genehmigung gem 4 besitzt.

(3) Ein Zertifikat im Sinne dieses Gesetzes ist eine mit einer digitalen Signatur versehene digitale Bescheinigung ber die Zuordnung eines ffentlichen Signaturschlssels zu einer natrlichen Person (Signaturschlssel-Zertifikat) oder eine gesonderte digitale Bescheinigung, die unter eindeutiger Bezugnahme auf ein Signaturschlssel-Zertifikat weitere Angaben enthlt (Attribut-Zertifikat).

(4) Ein Zeitstempel im Sinne dieses Gesetzes ist eine mit einer digitalen Signatur versehene digitale Bescheinigung einer Zertifizierungsstelle, da ihr bestimmte digitale Daten zu einem bestimmten Zeitpunkt vorgelegen haben.

3
Zustndige Behrde

Die Erteilung von Genehmigungen und die Ausstellung von Zertifikaten, die zum Signieren von Zertifikaten eingesetzt werden, sowie die berwachung der Einhaltung dieses Gesetzes und der Rechtsverordnung nach 16 obliegen der Behrde nach 66 des Telekommunikationsgesetzes.

4
Genehmigung von Zertifizierungsstellen

(1) Der Betrieb einer Zertifizierungsstelle bedarf einer Genehmigung der zustndigen Behrde. Diese ist auf Antrag zu erteilen.

(2) Die Genehmigung ist zu versagen, wenn Tatsachen die Annahme rechtfertigen, da der Antragsteller nicht die fr den Betrieb einer Zertifizierungsstelle erforderliche Zuverlssigkeit besitzt, wenn der Antragsteller nicht nachweist, da die fr den Betrieb einer Zertifizierungsstelle erforderliche Fachkunde vorliegt, oder wenn zu erwarten ist, da bei Aufnahme des Betriebes die brigen Voraussetzungen fr den Betrieb der Zertifizierungsstelle nach diesem Gesetz und der Rechtsverordnung nach 16 nicht vorliegen werden.

(3) Die erforderliche Zuverlssigkeit besitzt, wer die Gewhr dafr bietet, als Inhaber der Zertifizierungsstelle die fr deren Betrieb mageblichen Rechtsvorschriften einzuhalten. Die erforderliche Fachkunde liegt vor, wenn die im Betrieb der Zertifizierungsstelle ttigen Personen ber die dafr erforderlichen Kenntnisse, Erfahrungen und Fertigkeiten verfgen. Die brigen Voraussetzungen fr den Betrieb der Zertifizierungsstelle liegen vor, wenn die Manahmen zur Erfllung der Sicherheitsanforderungen dieses Gesetzes und der Rechtsverordnung nach 16 der zustndigen Behrde rechtzeitig in einem Sicherheitskonzept aufgezeigt und die Umsetzung durch eine von der zustndigen Behrde anerkannten Stelle geprft und besttigt worden ist.

(4) Die Genehmigung kann mit Nebenbestimmungen versehen werden, soweit dies erforderlich ist, um sicherzustellen, da die Zertifizierungsstelle bei Aufnahme des Betriebes und im Betrieb die Voraussetzungen dieses Gesetzes und der Rechtsverordnung nach 16 erfllt.

(5) Die zustndige Behrde stellt fr Signaturschlssel, die zum Signieren von Zertifikaten eingesetzt werden, die Zertifikate aus. Die Vorschriften fr die Vergabe von Zertifikaten durch Zertifizierungsstellen gelten fr die zustndige Behrde entsprechend. Diese hat die von ihr ausgestellten Zertifikate jederzeit fr jeden ber ffentlich erreichbare Telekommunikationsverbindungen nachprfbar und abrufbar zu halten. Dies gilt auch fr Informationen ber Anschriften und Rufnummern der Zertifizierungsstellen, die Sperrung von ihr ausgestellter Zertifikate, die Einstellung und die Untersagung des Betriebes einer Zertifizierungsstelle sowie die Rcknahme oder den Widerruf von Genehmigungen.

(6) Fr ffentliche Leistungen nach diesem Gesetz und der Rechtsverordnung nach 16 werden Kosten (Gebhren und Auslagen) erhoben.

5
Vergabe von Zertifikaten

(1) Die Zertifizierungsstelle hat Personen, die ein Zertifikat beantragen, zuverlssig zu identifizieren. Sie hat die Zuordnung eines ffentlichen Signaturschlssels zu einer identifizierten Person durch ein Signaturschlssel-Zertifikat zu besttigen und dieses sowie Attribut-Zertifikate jederzeit fr jeden ber ffentlich erreichbare Telekommunikationsverbindungen nachprfbar und mit Zustimmung des Signaturschlssel-Inhabers abrufbar zu halten.

(2) Die Zertifizierungsstelle hat auf Verlangen eines Antragstellers Angaben ber seine Vertretungsmacht fr eine dritte Person sowie zur berufsrechtlichen oder sonstigen Zulassung in das Signaturschlssel-Zertifikat oder ein Attribut-Zertifikat aufzunehmen, soweit ihr die Einwilligung des Dritten zur Aufnahme dieser Vertretungsmacht oder die Zulassung zuverlssig nachgewiesen wird.

(3) Die Zertifizierungsstelle hat auf Verlangen eines Antragstellers im Zertifikat anstelle seines Namens ein Pseudonym aufzufhren.

(4) Die Zertifizierungsstelle hat Vorkehrungen zu treffen, damit Daten fr Zertifikate nicht unbemerkt geflscht oder verflscht werden knnen. Sie hat weiter Vorkehrungen zu treffen, um die Geheimhaltung der privaten Signaturschlssel zu gewhrleisten. Eine Speicherung privater Signaturschlssel bei der Zertifizierungsstelle ist unzulssig.

(5) Die Zertifizierungsstelle hat fr die Ausbung der Zertifizierungsttigkeit zuverlssiges Personal einzusetzen. Fr das Bereitstellen von Signaturschlsseln sowie das Erstellen von Zertifikaten hat sie technische Komponenten gem 14 einzusetzen. Dies gilt auch fr technische Komponenten, die ein Nachprfen von Zertifikaten nach Absatz 1 Satz 2 ermglichen.

6
Unterrichtungspflicht

Die Zertifizierungsstelle hat die Antragsteller nach 5 Abs. 1 ber die Manahmen zu unterrichten, die erforderlich sind, um zu sicheren digitalen Signaturen und deren zuverlssiger Prfung beizutragen. Sie hat die Antragsteller darber zu unterrichten, welche technischen Komponenten die Anforderungen nach 14 Abs. 1 und 2 erfllen, sowie ber die Zuordnung der mit einem privaten Signaturschlssel erzeugten digitalen Signaturen. Sie hat die Antragsteller darauf hinzuweisen, da Daten mit digitaler Signatur bei Bedarf neu zu signieren sind, bevor der Sicherheitswert der vorhandenen Signatur durch Zeitablauf geringer wird.

7
Inhalt von Zertifikaten

(1) Das Signaturschlssel-Zertifikat mu folgende Angaben enthalten:
  1. den Namen des Signaturschlssel-Inhabers, der im Falle einer Verwechslungsmglichkeit mit einem Zusatz zu versehen ist, oder ein dem Signaturschlssel-Inhaber zugeordnetes unverwechselbares Pseudonym, das als solches kenntlich sein mu,
  2. den zugeordneten ffentlichen Signaturschlssel,
  3. die Bezeichnung der Algorithmen, mit denen der ffentliche Schlssel des Signaturschlssel-Inhabers sowie der ffentliche Schlssel der Zertifizierungsstelle benutzt werden kann,
  4. die laufende Nummer des Zertifikates,
  5. Beginn und Ende der Gltigkeit des Zertifikates,
  6. den Namen der Zertifizierungsstelle und
  7. Angaben, ob die Nutzung des Signaturschlssels auf bestimmte Anwendungen nach Art und Umfang beschrnkt ist.
(2) Angaben zur Vertretungsmacht fr eine dritte Person sowie zur berufsrechtlichen oder sonstigen Zulassung knnen sowohl in das Signaturschlssel-Zertifikat als auch in ein Attribut-Zertifikat aufgenommen werden.

(3) Weitere Angaben darf das Signaturschlssel-Zertifikat nur mit Einwilligung der Betroffenen enthalten.

8
Sperrung von Zertifikaten

(1) Die Zertifizierungsstelle hat ein Zertifikat zu sperren, wenn ein Signaturschlssel-Inhaber oder sein Vertreter es verlangen, das Zertifikat auf Grund falscher Angaben zu 7 erwirkt wurde, sie ihre Ttigkeit beendet hat und diese nicht von einer anderen Zertifizierungsstelle fortgefhrt wird oder die zustndige Behrde gem 13 Abs. 5 Satz 2 eine Sperrung anordnet. Die Sperrung mu den Zeitpunkt enthalten, von dem an sie gilt. Eine rckwirkende Sperrung ist unzulssig.

(2) Enthlt ein Zertifikat Angaben einer dritten Person, so kann auch diese eine Sperrung dieses Zertifikates verlangen.

(3) Die zustndige Behrde sperrt von ihr nach 4 Abs. 5 ausgestellte Zertifikate, wenn eine Zertifizierungsstelle ihre Ttigkeit einstellt oder wenn die Genehmigung zurckgenommen oder widerrufen wird.

9
Zeitstempel

Die Zertifizierungsstelle hat digitale Daten auf Verlangen mit einem Zeitstempel zu versehen. 5 Abs. 5 Satz 1 und 2 gilt entsprechend.

10
Dokumentation

Die Zertifizierungsstelle hat die Sicherheitsmanahmen zur Einhaltung dieses Gesetzes und der Rechtsverordnung nach 16 sowie die ausgestellten Zertifikate so zu dokumentieren, da die Daten und ihre Unverflschtheit jederzeit nachprfbar sind.

11
Einstellung der Ttigkeit

(1) Die Zertifizierungsstelle hat, wenn sie ihre Ttigkeit einstellt, dies zum frhestmglichen Zeitpunkt der zustndigen Behrde anzuzeigen und dafr zu sorgen, da die bei Einstellung der Ttigkeit gltigen Zertifikate von einer anderen Zertifizierungsstelle bernommen werden, oder diese zu sperren.

(2) Sie hat die Dokumentation nach 10 an die Zertifizierungsstelle, welche die Zertifikate bernimmt, oder andernfalls an die zustndige Behrde zu bergeben.

(3) Sie hat einen Antrag auf Erffnung eines Konkurs- oder Vergleichsverfahrens der zustndigen Behrde unverzglich anzuzeigen.

12
Datenschutz

(1) Die Zertifizierungsstelle darf personenbezogene Daten nur unmittelbar beim Betroffenen selbst und nur insoweit erheben, als dies fr Zwecke eines Zertifikates erforderlich ist. Eine Datenerhebung bei Dritten ist nur mit Einwilligung des Betroffenen zulssig. Fr andere als die in Satz 1 genannten Zwecke drfen die Daten nur verwendet werden, wenn dieses Gesetz oder eine andere Rechtsvorschrift es erlaubt oder der Betroffene eingewilligt hat.

(2) Bei einem Signaturschlssel-Inhaber mit Pseudonym hat die Zertifizierungsstelle die Daten ber dessen Identitt auf Ersuchen an die zustndigen Stellen zu bermitteln, soweit dies fr die Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Abwehr von Gefahren fr die ffentliche Sicherheit oder Ordnung oder fr die Erfllung der gesetzlichen Aufgaben der Verfassungsschutzbehrden des Bundes und der Lnder, des Bundesnachrichtendienstes, des Militrischen Abschirmdienstes oder des Zollkriminalamtes erforderlich ist. Die Ausknfte sind zu dokumentieren. Die ersuchende Behrde hat den Signaturschlssel-Inhaber ber die Aufdeckung des Pseudonyms zu unterrichten, sobald dadurch die Wahrnehmung der gesetzlichen Aufgaben nicht mehr beeintrchtigt wird oder wenn das Interesse des Signaturschlssel-Inhabers an der Unterrichtung berwiegt.

(3) 38 des Bundesdatenschutzgesetzes findet mit der Magabe Anwendung, da die berprfung auch vorgenommen werden darf, wenn Anhaltspunkte fr eine Verletzung von Datenschutzvorschriften nicht vorliegen.

13
Kontrolle und Durchsetzung von Verpflichtungen

(1) Die zustndige Behrde kann gegenber Zertifizierungsstellen Manahmen zur Sicherstellung der Einhaltung dieses Gesetzes und der Rechtsverordnung treffen. Dazu kann sie insbesondere die Benutzung ungeeigneter technischer Komponenten untersagen und den Betrieb der Zertifizierungsstelle vorbergehend ganz oder teilweise untersagen. Personen, die den Anschein erwecken, ber eine Genehmigung nach 4 zu verfgen, ohne da dies der Fall ist, kann die Ttigkeit der Zertifizierung untersagt werden.

(2) Zum Zwecke der berwachung nach Absatz 1 Satz 1 haben Zertifizierungsstellen der zustndigen Behrde das Betreten der Geschfts- und Betriebsrume whrend der blichen Betriebszeiten zu gestatten, auf Verlangen die in Betracht kommenden Bcher, Aufzeichnungen, Belege, Schriftstcke und sonstigen Unterlagen zur Einsicht vorzulegen, Auskunft zu erteilen und die erforderliche Untersttzung zu gewhren. Der zur Erteilung einer Auskunft Verpflichtete kann die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen der in 383 Absatz 1 Nr. 1 bis 3 der Zivilprozeordnung bezeichneten Angehrigen der Gefahr der Verfolgung wegen einer Straftat oder eines Verfahrens nach dem Gesetz ber Ordnungswidrigkeiten aussetzen wrde. Der zur Auskunft Verpflichtete ist auf dieses Recht hinzuweisen.

(3) Bei Nichterfllung der Pflichten aus diesem Gesetz oder der Rechtsverordnung oder bei Entstehen eines Versagungsgrundes fr eine Genehmigung hat die zustndige Behrde die erteilte Genehmigung zu widerrufen, wenn Manahmen nach Absatz 1 Satz 2 keinen Erfolg versprechen.

(4) Im Falle der Rcknahme oder des Widerrufs einer Genehmigung oder der Einstellung der Ttigkeit einer Zertifizierungsstelle hat die zustndige Behrde eine bernahme der Ttigkeit durch eine andere Zertifizierungsstelle oder die Abwicklung der Vertrge mit den Signaturschlssel-Inhabern sicherzustellen. Dies gilt auch bei Antrag auf Erffnung eines Konkurs- oder Vergleichsverfahrens, wenn die genehmigte Ttigkeit nicht fortgesetzt wird.

(5) Die Gltigkeit der von einer Zertifizierungsstelle ausgestellten Zertifikate bleibt von der Rcknahme oder vom Widerruf einer Genehmigung unberhrt. Die zustndige Behrde kann eine Sperrung von Zertifikaten anordnen, wenn Tatsachen die Annahme rechtfertigen, da Zertifikate geflscht oder nicht hinreichend flschungssicher sind oder da zur Anwendung der Signaturschlssel eingesetzte technische Komponenten Sicherheitsmngel aufweisen, die eine unbemerkte Flschung digitaler Signaturen oder eine unbemerkte Verflschung signierter Daten zulassen.

14
Technische Komponenten

(1) Fr die Erzeugung und Speicherung von Signaturschlsseln sowie die Erzeugung und Prfung digitaler Signaturen sind technische Komponenten mit Sicherheitsvorkehrungen erforderlich, die Flschungen digitaler Signaturen und Verflschungen signierter Daten zuverlssig erkennbar machen und gegen unberechtigte Nutzung privater Signaturschlssel schtzen.

(2) Fr die Darstellung zu signierender Daten sind technische Komponenten mit Sicherheitsvorkehrungen erforderlich, die die Erzeugung einer digitalen Signatur vorher eindeutig anzeigen und feststellen lassen, auf welche Daten sich die digitale Signatur bezieht. Fr die berprfung signierter Daten sind technische Komponenten mit Sicherheitsvorkehrungen erforderlich, die feststellen lassen, ob die signierten Daten unverndert sind, auf welche Daten sich die digitale Signatur bezieht und welchem Signaturschlssel-Inhaber die digitale Signatur zuzuordnen ist.

(3) Bei technischen Komponenten, mit denen Signaturschlssel-Zertifikate gem 5 Abs. 1 Satz 2 nachprfbar oder abrufbar gehalten werden, sind Vorkehrungen erforderlich, um die Zertifikatverzeichnisse vor unbefugter Vernderung und unbefugtem Abruf zu schtzen.

(4) Bei technischen Komponenten nach den Abstzen 1 bis 3 ist es erforderlich, da sie nach dem Stand der Technik hinreichend geprft sind und die Erfllung der Anforderungen durch eine von der zustndigen Behrde anerkannten Stelle besttigt ist.

(5) Bei technischen Komponenten, die nach den in einem anderen Mitgliedstaat der Europischen Union oder in einem anderen Vertragsstaat des Abkommens ber den Europischen Wirtschaftsraum geltenden Regelungen oder Anforderungen rechtmig hergestellt oder in den Verkehr gebracht werden und die gleiche Sicherheit gewhrleisten, ist davon auszugehen, da die die sicherheitstechnische Beschaffenheit betreffenden Anforderungen nach den Abstzen 1 bis 3 erfllt sind. In begrndeten Einzelfllen ist auf Verlangen der zustndigen Behrde nachzuweisen, da die Anforderungen nach Satz 1 erfllt sind. Soweit zum Nachweis der die sicherheitstechnische Beschaffenheit betreffenden Anforderungen im Sinne der Abstze 1 bis 3 die Vorlage einer Besttigung einer von der zustndigen Behrde anerkannten Stelle vorgesehen ist, werden auch Besttigungen von in anderen Mitgliedstaaten der Europischen Union oder in anderen Vertragsstaaten des Abkommens ber den Europischen Wirtschaftsraum zugelassenen Stellen bercksichtigt, wenn die den Prfberichten dieser Stellen zugrundeliegenden technischen Anforderungen, Prfungen und Prfverfahren denen der durch die zustndige Behrde anerkannten Stellen gleichwertig sind.

15
Auslndische Zertifikate

(1) Digitale Signaturen, die mit einem ffentlichen Signaturschlssel berprft werden knnen, fr den ein auslndisches Zertifikat aus einem anderen Mitgliedstaat der Europischen Union oder aus einem anderen Vertragsstaat des Abkommens ber den Europischen Wirtschaftsraum vorliegt, sind, soweit sie gleichwertige Sicherheit aufweisen, digitalen Signaturen nach diesem Gesetz gleichgestellt.

(2) Absatz 1 gilt auch fr andere Staaten, soweit entsprechende berstaatliche oder zwischenstaatliche Vereinbarungen getroffen sind.

16
Rechtsverordnung

Die Bundesregierung wird ermchtigt, durch Rechtsverordnung die zur Durchfhrung der 3 bis 15 erforderlichen Rechtsvorschriften zu erlassen ber
  1. die nheren Einzelheiten des Verfahrens der Erteilung, Rcknahme und des Widerrufs einer Genehmigung sowie des Verfahrens bei Einstellung des Betriebes einer Zertifizierungsstelle,
  2. die gebhrenpflichtigen Tatbestnde nach 4 Abs. 6 und die Hhe der Gebhr,
  3. die nhere Ausgestaltung der Pflichten der Zertifizierungsstellen,
  4. die Gltigkeitsdauer von Signaturschlssel-Zertifikaten,
  5. die nhere Ausgestaltung der Kontrolle der Zertifizierungsstellen,
  6. die nheren Anforderungen an die technischen Komponenten sowie die Prfung technischer Komponenten und die Besttigung, da die Anforderungen erfllt sind,
  7. den Zeitraum sowie das Verfahren, nach dem eine neue digitale Signatur angebracht werden sollte.
*Die Mitteilungspflichten der Richtlinie 83/189/EWG des Rates vom 28. Mrz 1983 ber ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften (ABl. EG Nr. L 109 S. 8), zuletzt gendert durch die Richtlinie 94/10/EG des Europischen Parlaments und des Rates vom 23. Mrz 1994 (ABl. EG Nr. L 100 S. 30), sind beachtet worden.
[ Seitenanfang ] [ Leitseite IuKDG ]
[Home]
[Inhalt]
[Index]
[Gesetze]
[Aufstze]
[Links]
[Suche]
[Hilfe]
[Impressum]
Abonnieren Sie den Newsletter!
Patrick Mayer, 1998 / Alle Rechte vorbehalten / Stand: 1998-03-31 / URL: http://www.artikel5.de/gesetze/iukdg_3.html