SigG Signaturgesetz Bund
[ ]

BGBl.III/FNA Nr.9020-8

Gesetz zur digitalen Signatur

(Signaturgesetz)

(SigG)

Vom (BGBl.I_00,1146)

§§§


§ 1  SigG
Zweck und Anwendungsbereich

(1) Zweck des Gesetzes ist es, Rahmenbedingungen für digitale Signaturen zu schaffen, unter denen diese als sicher gelten und Fälschungen digitaler Signaturen oder Verfälschungen von signierten Daten zuverlässig festgestellt werden können.

(2) Die Anwendung anderer Verfahren für digitale Signaturen ist freigestellt, soweit nicht digitale Signaturen nach diesem Gesetz durch Rechtsvorschrift vorgeschrieben sind.

§§§

§ 2  SigG
Begriffsbestimmungen

(1) Eine digitale Signatur im Sinne dieses Gesetzes ist ein mit einem privaten Signaturschlüssel erzeugtes Siegel zu digitalen Daten, das mit Hilfe eines zugehörigen öffentlichen Schlüssels, der mit einem Signaturschlüssel-Zertifikat einer Zertifizierungsstelle oder der Behörde nach § 3 versehen ist, den Inhaber des Signaturschlüssels und die Unverfälschtheit der Daten erkennen läßt.

(2) Eine Zertifizierungsstelle im Sinne dieses Gesetzes ist eine natürliche oder juristische Person, die die Zuordnung von öffentlichen Signaturschlüsseln zu natürlichen Personen bescheinigt und dafür eine Genehmigung gemäß § 4 besitzt.

(3) Ein Zertifikat im Sinne dieses Gesetzes ist eine mit einer digitalen Signatur versehene digitale Bescheinigung über die Zuordnung eines öffentlichen Signaturschlüssels zu einer natürlichen Person (Signaturschlüssel-Zertifikat) oder eine gesonderte digitale Bescheinigung, die unter eindeutiger Bezugnahme auf ein Signaturschlüssel-Zertifikat weitere Angaben enthält (Attribut-Zertifikat).

(4) Ein Zeitstempel im Sinne dieses Gesetzes ist eine mit einer digitalen Signatur versehene digitale Bescheinigung einer Zertifizierungsstelle, daß ihr bestimmte digitale Daten zu einem bestimmten Zeitpunkt vorgelegen haben.

§§§

§ 3  SigG
Zuständige Behörde

Die Erteilung von Lizenzen und die Ausstellung von Zertifikaten, die zum Signieren von Zertifikaten eingesetzt werden, sowie die Überwachung der Einhaltung dieses Gesetzes und der Rechtsverordnung nach § 16 obliegen der Behörde nach § 66 des Telekommunikationsgesetzes.

§§§

§ 4  SigG
Genehmigung von Zertifizierungsstellen

(1) 1Der Betrieb einer Zertifizierungsstelle bedarf einer Genehmigung der zuständigen Behörde.
2Diese ist auf Antrag zu erteilen.

(2) Die Genehmigung ist zu versagen, wenn Tatsachen die Annahme rechtfertigen, daß der Antragsteller nicht die für den Betrieb einer Zertifizierungsstelle erforderliche Zuverlässigkeit besitzt, wenn der Antragsteller nicht nachweist, daß die für den Betrieb einer Zertifizierungsstelle erforderliche Fachkunde vorliegt, oder wenn zu erwarten ist, daß bei Aufnahme des Betriebes die übrigen Voraussetzungen für den Betrieb der Zertifizierungsstelle nach diesem Gesetz und der Rechtsverordnung nach § 16 nicht vorliegen werden.

(3) 1Die erforderliche Zuverlässigkeit besitzt, wer die Gewähr dafür bietet, als Lizenzinhaber die für den Betrieb der Zertifizierungsstelle maßgeblichen Rechtsvorschriften einzuhalten.
2Die erforderliche Fachkunde liegt vor, wenn die im Betrieb der Zertifizierungsstelle tätigen Personen über die dafür erforderlichen Kenntnisse, Erfahrungen und Fertigkeiten verfügen. Die übrigen Voraussetzungen für den Betrieb der Zertifizierungsstelle liegen vor, wenn die Maßnahmen zur Erfüllung der Sicherheitsanforderungen dieses Gesetzes und der Rechtsverordnung nach § 16 der zuständigen Behörde rechtzeitig in einem Sicherheitskonzept aufgezeigt und die Umsetzung durch eine von der zuständigen Behörde anerkannten Stelle geprüft und bestätigt worden ist.

(4) Die Lizenz kann mit Nebenbestimmungen versehen werden, soweit dies erforderlich ist um sicherzustellen, daß die Zertifizierungsstelle bei Aufnahme des Betriebes und im Betrieb die Voraussetzungen dieses Gesetzes und der Rechtsverordnung nach § 16 erfüllt.

(5) 1Die zuständige Behörde stellt für Signaturschlüssel, die zum Signieren von Zertifikaten eingesetzt werden, die Zertifikate aus.
2Die Vorschriften für die Vergabe von Zertifikaten durch Zertifizierungsstellen gelten für die zuständige Behörde entsprechend. Diese hat die von ihr ausgestellten Zertifikate jederzeit für jeden über öffentlich erreichbare Telekommunikationsverbindungen nachprüfbar und abrufbar zu halten.
3Dies gilt auch für Informationen über Anschriften und Rufnummern der Zertifizierungsstellen, die Sperrung von von ihr ausgestellten Zertifikaten, die Einstellung und die Untersagung des Betriebs einer Zertifizierungsstelle sowie die Rücknahme oder den Widerruf von Genehmigungen.

(6) Für öffentliche Leistungen nach diesem Gesetz und der Rechtsverordnung nach § 16 werden Kosten (Gebühren und Auslagen) erhoben.

§§§

§ 5  SigG
Vergabe von Zertifikaten

(1) 1Die Zertifizierungsstelle hat Personen, die ein Zertifikat beantragen, zuverlässig zu identifizieren.
2Sie hat die Zuordnung eines öffentlichen Signaturschlüssels zu einer identifizierten Person durch ein Signaturschlüssel-Zertifikat zu bestätigen und dieses sowie Attribut-Zertifikate jederzeit für jedermann über öffentlich erreichbare Telekommunikationsverbindungen nachprüfbar und mit Zustimmung des Signaturschlüssel-Inhabers abrufbar zu halten.

(2) Die Zertifizierungsstelle hat auf Verlangen eines Antragstellers Angaben über seine Vertretungsmacht für eine dritte Person sowie zur berufsrechtlichen oder sonstigen Zulassung in das Signaturschlüssel-Zertifikat oder ein Attribut-Zertifikat aufzunehmen, soweit ihr die Einwilligung des Dritten zur Aufnahme dieser Vertretungsmacht oder die Zulassung zuverlässig nachgewiesen wird.

(3) Die Zertifizierungsstelle hat auf Verlangen eines Antragstellers im Zertifikat anstelle seines Namens ein Pseudonym aufzuführen.

(4) 1Die Zertifizierungsstelle hat Vorkehrungen zu treffen, damit Daten für Zertifikate nicht unbemerkt gefälscht oder verfälscht werden können.
2Sie hat weiter Vorkehrungen zu treffen, um die Geheimhaltung der privaten Signaturschlüssel zu gewährleisten.
3Eine Speicherung privater Signaturschlüssel bei der Zertifizierungsstelle ist unzulässig.

(5) 1Die Zertifizierungsstelle hat für die Ausübung der Zertifizierungstätigkeit zuverlässiges Personal einzusetzen.
2Für das Bereitstellen von Signaturschlüsseln sowie das Erstellen von Zertifikaten hat sie technische Komponenten gemäß § 14 einzusetzen.
3Dies gilt auch für technische Komponenten, die ein Nachprüfen von Zertifikaten nach Absatz 1 Satz 2 ermöglichen.

§§§

§ 6  SigG
Unterrichtungspflicht

1Die Zertifizierungsstelle hat die Antragsteller nach § 5 Abs.1 über die Maßnahmen zu unterrichten, die erforderlich sind, um zu sicheren digitalen Signaturen und deren zuverlässiger Prüfung beizutragen.
2Sie hat die Antragsteller darüber zu unterrichten, welche technischen Komponenten die Anforderungen nach § 14 Abs.1 und 2 erfüllen, sowie über die Zuordnung der mit einem privaten Signaturschlüssel erzeugten digitalen Signaturen. Sie hat die Antragsteller darauf hinzuweisen, daß Daten mit digitaler Signatur bei Bedarf neu zu signieren sind, bevor der Sicherheitswert der vorhandenen Signatur durch Zeitablauf geringer wird.

§§§

§ 7  SigG
Inhalt von Zertifikaten

(1) Das Signaturschlüssel-Zertifikat muß mindestens folgende Angaben enthalten:

  1. Den Namen des Signaturschlüssel-Inhabers, der im Falle einer Verwechslungsmöglichkeit mit einem Zusatz zu versehen ist, oder ein dem Signaturschlüssel-Inhaber zugeordnetes unverwechselbares Pseudonym, das als solches kenntlich sein muß,


  2. den zugeordneten öffentlichen Signaturschlüssel,


  3. die Bezeichnung der Algorithmen, mit denen der öffentliche Schlüssel des Signaturschlüssel-Inhabers sowie der öffentliche Schlüssel der Zertifizierungsstelle benutzt werden kann,


  4. die laufende Nummer des Zertifikates,


  5. Beginn und Ende der Gültigkeit des Zertifikates,


  6. den Namen der Zertifizierungsstelle und


  7. Angaben, ob die Nutzung des Signaturschlüssels auf bestimmte Anwendungen nach Art und Umfang beschränkt ist.

(2) Angaben zur Vertretungsmacht für eine dritte Person sowie zur berufsrechtlichen oder sonstigen Zulassung können sowohl in das Signaturschlüssel-Zertifikat als auch in ein Attribut-Zertifikat aufgenommen werden.

§§§

§ 8  SigG
Sperrung von Zertifikaten

(1) 1Die Zertifizierungsstelle hat ein Zertifikat zu sperren, wenn ein Signaturschlüssel-Inhaber oder sein Vertreter es verlangt, das Zertifikat auf Grund falscher Angaben zu § 7 erwirkt wurde, sie ihre Tätigkeit beendet und diese nicht von einer anderen Zertifizierungsstelle fortgeführt wird oder die zuständige Behörde gemäß § 13 Abs.5 Satz 2 eine Sperrung anordnet.
2Die Sperrung muß den Zeitpunkt enthalten, von dem an sie gilt.
3Eine rückwirkende Sperrung ist unzulässig.

(2) Enthält ein Zertifikat Angaben einer dritten Person, so kann auch diese eine Sperrung dieses Zertifikates verlangen.

(3) Die zuständige Behörde sperrt von ihr nach § 4 Abs.5 ausgestellte Zertifikate, wenn eine Zertifizierungsstelle ihre Tätigkeit einstellt oder wenn die Genehmigung zurückgenommen oder widerrufen wird.

§§§

§ 9  SigG
Zeitstempel

Die Zertifizierungsstelle hat digitale Daten auf Verlangen mit einem Zeitstempel zu versehen. § 5 Abs.5 Satz 1 und 2 gilt entsprechend.

§§§

§ 10  SigG
Dokumentation

Die Zertifizierungsstelle hat die Sicherheitsmaßnahmen zur Einhaltung dieses Gesetzes und der Rechtsverordnung nach § 16 sowie die ausgestellten Zertifikate so zu dokumentieren, daß die Daten und ihre Unverfälschtheit jederzeit nachprüfbar sind.

§§§

§ 11  SigG
Einstellung der Tätigkeit

(1) Die Zertifizierungsstelle hat, wenn sie ihre Tätigkeit einstellt, dies zum frühestmöglichen Zeitpunkt der zuständigen Behörde anzuzeigen und dafür zu sorgen, daß die bei Einstellung der Tätigkeit gültigen Zertifikate durch eine andere Zertifizierungsstelle übernommen werden, oder diese zu sperren.

(2) Sie hat die Dokumentation nach § 10 an die Zertifizierungsstelle, welche die Zertifikate übernimmt, oder andernfalls an die zuständige Behörde zu übergeben.

(3) Sie hat einen Antrag auf Eröffnung eines Konkurs- oder Vergleichsverfahrens der zuständigen Behörde unverzüglich anzuzeigen.

§§§

§ 12  SigG
Datenschutz

(1) 1Die Zertifizierungsstelle darf personenbezogene Daten nur unmittelbar beim Betroffenen selbst und nur insoweit erheben, als dies für Zwecke eines Zertifikates erforderlich ist.
2Eine Datenerhebung bei Dritten ist nur mit Einwilligung des Betroffenen zulässig.
3Für andere als die in Satz 1 genannten Zwecke dürfen die Daten nur verwendet werden, wenn dieses Gesetz oder eine andere Rechtsvorschrift es erlaubt oder der Betroffene eingewilligt hat.

(2) Bei einem Signaturschlüssel-Inhaber mit Pseudonym hat die Zertifizierungsstelle die Daten über dessen Identität auf Ersuchen an die zuständigen Stellen zu übermitteln, soweit dies für die Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder für die Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes, des Militärischen Abschirmdienstes oder des Zollkriminalamtes erforderlich ist. Die Auskünfte sind zu dokumentieren.

(3) § 38 des Bundesdatenschutzgesetzes findet mit der Maßgabe Anwendung, daß die Überprüfung auch vorgenommen werden darf, wenn Anhaltspunkte für eine Verletzung von Datenschutzvorschriften nicht vorliegen.

§§§

§ 13  SigG
Kontrolle und Durchsetzung von Verpflichtungen

(1) 1Die zuständige Behörde kann gegenüber Zertifizierungsstellen Maßnahmen zur Sicherstellung der Einhaltung dieses Gesetzes und der Rechtsverordnung treffen.
2Dazu kann sie insbesondere die Benutzung ungeeigneter technischer Komponenten untersagen und den Betrieb der Zertifizierungsstelle vorübergehend ganz oder teilweise untersagen.
3Personen, die den Anschein erwecken, über eine Genehmigung nach § 4 zu verfügen, ohne daß dies der Fall ist, kann die Tätigkeit der Zertifizierung untersagt werden.

(2) 1Zum Zwecke der Überwachung nach Absatz 1 Satz 1 haben Zertifizierungsstellen der zuständigen Behörde das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten zu gestatten, auf Verlangen die in Betracht kommenden Bücher, Aufzeichnungen, Belege, Schriftstücke und sonstigen Unterlagen zur Einsicht vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren.
2Der zur Erteilung einer Auskunft Verpflichtete kann die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen der in § 383 Absatz 1 Nr.1 bis 3 der Zivilprozeßordnung bezeichneten Angehörigen der Gefahr der Verfolgung wegen einer Straftat oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde.
3Der zur Auskunft Verpflichtete ist auf dieses Recht hinzuweisen.

(3) Bei Nichterfüllung der Pflichten aus diesem Gesetz oder der Rechtsverordnung oder bei Entstehen eines Versagungsgrundes für eine Genehmigung hat die zuständige Behörde die erteilte Genehmigung zu widerrufen, wenn Maßnahmen nach Absatz 1 Satz 2 keinen Erfolg versprechen.

(4) 1Im Falle der Rücknahme oder des Widerrufs einer Lizenz oder der Einstellung der Tätigkeit einer Zertifizierungsstelle hat die zuständige Behörde eine Übernahme der Tätigkeit durch eine andere Zertifizierungsstelle oder die Abwicklung der Verträge mit den Signaturschlüssel-Inhabern sicherzustellen.
2Dies gilt auch bei Antrag auf Eröffnung eines Konkurs- oder Vergleichsverfahrens, wenn die genehmigte Tätigkeit nicht fortgesetzt wird.

(5) 1Die Gültigkeit der von einer Zertifizierungsstelle ausgestellten Zertifikate bleibt vom Widerruf einer Lizenz unberührt.
2Die zuständige Behörde kann eine Sperrung von Zertifikaten anordnen, wenn Tatsachen die Annahme rechtfertigen, daß Zertifikate gefälscht oder nicht hinreichend fälschungssicher sind oder daß zur Anwendung der Signaturschlüssel eingesetzte technische Komponenten Sicherheitsmängel aufweisen, die eine unbemerkte Fälschung digitaler Signaturen oder eine unbemerkte Verfälschung signierter Daten zulassen.

§§§

§ 14  SigG
Technische Komponenten

(1) Für die Erzeugung und Speicherung von Signaturschlüsseln sowie die Erzeugung und Prüfung digitaler Signaturen sind technische Komponenten mit Sicherheitsvorkehrungen erforderlich, die Fälschungen digitaler Signaturen und Verfälschungen signierter Daten zuverlässig erkennbar machen und gegen unberechtigte Nutzung privater Signaturschlüssel schützen.

(2) 1Für die Darstellung zu signierender Daten sind technische Komponenten mit Sicherheitsvorkehrungen erforderlich, die die Erzeugung einer digitalen Signatur vorher eindeutig anzeigen und feststellen lassen, auf welche Daten die digitale Signatur sich bezieht.
2Für die Überprüfung signierter Daten sind technische Komponenten mit Sicherheitsvorkehrungen erforderlich, die feststellen lassen, ob die signierten Daten unverändert sind, auf welche Daten die digitale Signatur sich bezieht und welchem Signaturschlüssel-Inhaber die digitale Signatur zuzuordnen ist.

(3) Bei technischen Komponenten, mit denen Signaturschlüssel-Zertifikate gemäß § 5 Abs.1 Satz 2 nachprüfbar oder abrufbar gehalten werden, sind Vorkehrungen erforderlich, um die Zertifikatverzeichnisse vor unbefugter Veränderung und unbefugtem Abruf zu schützen.

(4) Bei technischen Komponenten nach Absatz 1 bis 3 ist es erforderlich, daß sie nach dem Stand der Technik hinreichend geprüft sind und die Erfüllung der Anforderungen durch eine von der zuständigen Behörde anerkannten Stelle bestätigt ist.

(5) 1Bei technischen Komponenten, die nach den in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum geltenden Regelungen oder Anforderungen rechtmäßig hergestellt oder in den Verkehr gebracht werden und die gleiche Sicherheit gewährleisten, ist davon auszugehen, daß die die sicherheitstechnische Beschaffenheit betreffenden Anforderungen nach Absatz 1 bis 3 erfüllt sind.
2In begründeten Einzelfällen ist auf Verlangen der zuständigen Behörde nachzuweisen, daß die Anforderungen nach Satz 1 erfüllt sind. Soweit zum Nachweis der die sicherheitstechnische Beschaffenheit betreffenden Anforderungen im Sinne der Absätze 1 bis 3 die Vorlage einer Bestätigung einer von der zuständigen Behörde anerkannten Stelle vorgesehen ist, werden auch Bestätigungen von in anderen Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zugelassenen Stellen berücksichtigt, wenn die den Prüfberichten dieser Stellen zugrundeliegenden technischen Anforderungen, Prüfungen und Prüfverfahren denen der durch die zuständige Behörde anerkannten Stellen gleichwertig sind.

§§§

§ 15  SigG

Ausländische Zertifikate

(1) Digitale Signaturen, die mit einem öffentlichen Signaturschlüssel überprüft werden können, für den ein ausländisches Zertifikat aus einem anderen Mitgliedstaat der Europäischen Union oder aus einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum vorliegt, sind, soweit sie gleichwertige Sicherheit aufweisen, digitalen Signaturen nach diesem Gesetz gleichgestellt.

(2) Absatz 1 gilt auch für andere Staaten, soweit überstaatliche oder zwischenstaatliche Vereinbarungen über die Anerkennung der Zertifikate getroffen sind.

§§§

§ 16  SigG
Rechtsverordnung

Die Bundesregierung wird ermächtigt, durch Rechtsverordnung die zur Durchführung der §§ 3 bis 15 erforderlichen Rechtsvorschriften zu erlassen über

  1. die näheren Einzelheiten des Verfahrens der Erteilung, Rüchnahme und des Widerrufs einer Lizenz sowie des Verfahrens bei Einstellung lizenzierter Tätigkeit,


  2. die gebührenpflichtigen Tatbestände nach § 4 Abs. 6 und die Höhe der Gebühr,


  3. die nähere Ausgestaltung der Pflichten der Zertifizierungsstellen,


  4. die Gültigkeitsdauer von Signaturschlüssel-Zertifikaten,


  5. die nähere Ausgestaltung der Kontrolle der Zertifizierungsstellen,


  6. die näheren Anforderungen an die technischen Komponenten sowie die Prüfung technischer Komponenten und die Bestätigung, daß die Anforderungen erfüllt sind,


  7. den Zeitraum sowie das Verfahren, nach dem eine neue digitale Signatur angebracht werden sollte.

  SigG [

Saar-Daten-Bank (SaDaBa)   -   Digitales Informationssystem-Recht   -   © H-G Schmolke 1998-2000
K-Adenauer-Allee 13, 66740 Saarlouis, Tel: 06831-988099, Fax: 06831-988066,
Email: hg@schmolke.com

§§§