1 von 33

Date of the version: 30 June 2016

Bundesgesetz über elektronische Signaturen und Vertrauensdienste für elektronische Transaktionen (Signatur- und Vertrauensdienstegesetz – - SigG SVG)

Federal Electronic Signature Law (Signature Law - SigG)

StF: BGBl. I Nr. 190/1999 idF BGBl. I Nr. 59/2008 (VFB) (NR: GP XX RV 1999 AB 2065 S. 180. BR: AB 6065 S. 657.)

⇐ Original version

Änderung

BGBl. I Nr. 137/2000 (NR: GP XXI IA 313/A AB 372 S. 44. BR: AB 6277 S. 670.)

as amended by …

(list of amendments published in the Federal Law Gazette [F. L. G. = BGBl.])

[CELEX-Nr.: 399L0093]

BGBl. I Nr. 32/2001 (NR: GP XXI IA 370/A AB 507 S. 57. BR: 6315 AB 6322 S. 673.)

BGBl. I Nr. 152/2001 (NR: GP XXI RV 817 AB 853 S. 83. BR: AB 6499 S. 682.) [CELEX-Nr.: 300L0031]

BGBl. I Nr. 164/2005 (NR: GP XXII RV 1169 AB 1237 S. 129. BR: AB 7460 S. 729.) [CELEX-Nr.: 31999L0093, 32003L0058]

BGBl. I Nr. 8/2008 (NR: GP XXIII RV 293 AB 364 S. 41. BR: AB 7834 S. 751.)

BGBl. I Nr. 75/2010 (NR: GP XXIV RV 750 AB 832 S. 73. BR: AB 8370 S. 787.) ⇐ amendment entailing the latest update of the present translation

(the German version is updated to reflect also recent amendments; interim changes are highlighted as deletions and insertions respectively)

Click here for checking the up-to-date list of amendments in the Austrian Legal Information System.

BGBl. I Nr. 50/2016 (NR: GP XXV RV 1145 AB 1184 S. 134. BR: 9594 AB 9607 S. 855.)

Inhaltsverzeichnis Table of Contents

(Anm.: wurde nicht im BGBl. kundgemacht)

2 von 33

1. Abschnitt Allgemeine BestimmungenGegenstand und Begriffsbestimmungen

Section l Purpose and definitions

§ 1. Gegenstand des Gesetzesund Anwendungsbereich § 1. Purpose and scope § 2. Personenbezogene Bezeichnungen § 2.§ 3. Begriffsbestimmungen § 2. Definitions

2. Abschnitt Rechtserheblichkeit elektronischerElektronische Signaturen und

elektronische Siegel

Section 2 Relevancy in law of electronic signatures

§ 3. Allgemeine Rechtswirkungen § 3. General legal effects § 4. Besondere Rechtswirkungen § 4. Specific legal effects § 5. Qualifizierte Zertifikate § 5. Qualified certificates § 5. Pflichten von Signatoren und Siegelerstellern

§ 6. Aussetzung § 7. Bestätigungsstelle

3. Abschnitt ZDAVertrauensdiensteanbieter

Section 3 CSP

§ 6. Tätigkeit der ZDA § 6 Activities of CSP § 7. Anforderungen an ZDA § 7. Requirements for CSP § 8. Ausstellung qualifizierter Zertifikate für einen Vertrauensdienst § 8. Issuing qualified certificates § 9. Widerruf von Zertifikaten § 9. Beendigungsplan und Vertrauensinfrastruktur § 9. Revocation of certificates § 10. Qualifizierte ZeitstempeldiensteZugangsrechte und Aufbewahrungsdauer

§ 10. Qualified time stamping services

§ 11. DokumentationHaftung § 11. Records § 12. Einstellung der Tätigkeit § 12. Suspending activities

4. Abschnitt Aufsicht

Section 4 Supervision

§ 1312. Aufsichtsstelle § 13. Supervisory body § 14. Aufsichtsmaßnahmen § 14. Supervisory measures § 1513. Heranziehung der RTR-GmbH § 15. Involvement of RTR GmbH § 1614. Sonstige Aufgaben § 15. Durchführung der Aufsicht § 16. Implementation of supervision § 17. Freiwillige Akkreditierung § 17. Voluntary accreditation

3 von 33

5. Abschnitt Technische Sicherheitserfordernisse

Section 5 Technical security requirements

§ 18. Sicherheitsanforderungen für technische Komponenten und Verfahren

§ 18. Security requirements for technical components and procedures

§ 19. Bestätigungsstelle § 19. Confirmation body

6. Abschnitt Rechte und Pflichten der Anwender

Section 6 Users’ rights and obligations

§ 20. Allgemeine Informationspflichten der ZDA § 20. CSP general duty to provide information § 21. Pflichten des Signators § 21. Signatory’s duties § 22. Datenschutz § 22. Data protection § 23. Haftung der ZDA § 23. Liability of CSP

7. Abschnitt Anerkennung ausländischer Zertifikate

Section 7 Recognition of foreign certificates

§ 24. Anerkennung § 24. Recognition

5. Abschnitt Verwaltungsstrafbestimmungen

§ 16.

8. 6. Abschnitt Schlußbestimmungen

Section 8 Final provisions

§ 2517. SignaturverordnungVerordnung über Elektronische Signaturen und Vertrauensdienste für elektronische Transaktionen

§ 25. Signature order

§ 26. Verwaltungsstrafbestimmungen § 26. Administrative sanctions § 27. Inkrafttreten und Verweisungen § 27. Entry into force and references § 2818. VollzugVollziehung § 28. Implementation § 19. Übergangsregelung § 20. Inkrafttreten

§ 29. Hinweis auf Umsetzung § 29. Information for implementation

1. Abschnitt Section l

Allgemeine BestimmungenGegenstand und Begriffsbestimmungen Purpose and definitions

Gegenstand des Gesetzesund Anwendungsbereich Purpose and scope

§ 1. (1) Dieses Bundesgesetz regelt den rechtlichen Rahmen für die § 1. (1) The present Federal Act sets out the legal framework governing the

4 von 33

Erstellung und Verwendung elektronischer Signaturen sowie für die Erbringung von Signatur- und Zertifizierungsdiensten.führt die Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, ABl. Nr. L 257 vom 28.08.2014 S. 73, in der Fassung der Berichtigung ABl. Nr. L 257 vom 29.01.2015 S. 19, mit Ausnahme ihres Kapitels II durch. Vertrauensdienste im Sinne dieses Bundesgesetzes sind elektronische Dienste, die in der Regel gegen Entgelt erbracht werden und aus Elementen des Art. 3 Z 16 dieser Verordnung bestehen, das sind insbesondere elektronische Signaturen, elektronische Siegel, elektronische Zeitstempel, die Zustellung elektronischer Einschreiben, die Website-Authentifizierung sowie deren Zertifikate, soweit diese Dienste in den Anwendungsbereich dieser Verordnung fallen.

creation and use of electronic signatures and the provision of signature and certification services.

(2) Dieses Bundesgesetz ist auch anzuwenden in geschlossenen Systemen, sofern deren Teilnehmer dies vereinbart haben, sowie im offenen elektronischen Verkehr mit Gerichten und anderen Behörden, sofern durch Gesetz nicht anderes bestimmt ist.

(2) The present Federal Act shall apply in closed systems, insofar as the parties within the system have so agreed, and in open electronic transactions with courts and other authorities unless a law stipulates otherwise.

(3) Dieses Bundesgesetz ist auf Zertifizierungsdiensteanbieter (ZDA) anzuwenden, die qualifizierte Zertifikate ausstellen oder qualifizierte Zeitstempeldienste bereitstellen. § 6 Abs. 1, § 22 und § 24 gelten auch für die übrigen ZDA.

(3) The present Federal Act shall apply to certification service providers (CSP), which issue qualified certificates or supply qualified time stamping services. § 6 para. 1 § 22 and § 24 also apply to the other CSP.

Personenbezogene Bezeichnungen

§ 2. Alle in diesem Bundesgesetz verwendeten personenbezogenen Bezeichnungen gelten gleichermaßen für Personen sowohl des weiblichen als auch männlichen Geschlechts.

Begriffsbestimmungen Definitions

§ 2.3. (1) Im Sinne dieses Bundesgesetzes bedeutent: § 2. The following definitions shall apply for the purposes of the present Federal Act:

1. elektronische Signatur: elektronische Daten, die anderen elektronischen Daten beigefügt oder mit diesen logisch verknüpft werden und die der Authentifizierung dienen; 1. „eIDAS-VO“: Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, ABl. Nr. L 257 vom 28.08.2014 S. 73, in der Fassung der Berichtigung ABl. Nr. L 23 vom 29.01.2015 S. 19;

1. Electronic signature: electronic data attached to or logically associated with other electronic data which serve as a method of authentication. ,

2. „VDA“: ein Vertrauensdiensteanbieter gemäß Art. 3 Z 19 eIDAS-VO; 2. Signatory: a person or other legal entity to whom the signature creation

5 von 33

data and the signature verification data have been allocated and who creates an electronic signature on his own or on a third party’s behalf, .

3. „ 2. Signator“: ein Unterzeichner gemäß Art. 3 Z 9 eIDAS-VO: eine Person oder eine sonstige rechtsfähige Einrichtung, der Signaturerstellungsdaten und Signaturprüfdaten zugeordnet sind und die im eigenen oder fremden Namen eine elektronische Signatur erstellt;

2. Signator: eine Person oder eine sonstige rechtsfähige Einrichtung, der Signaturerstellungsdaten und Signaturprüfdaten zugeordnet sind und die im eigenen oder fremden Namen eine elektronische Signatur erstellt;

3. fortgeschrittene elektronische Signatur: eine elektronische Signatur, die 3. Advanced electronic signature: an electronic signature which

a) ausschließlich dem Signator zugeordnet ist, a) is uniquely linked to the signatory,

b) die Identifizierung des Signators ermöglicht, b) is capable of identifying the signatory,

c) mit Mitteln erstellt wird, die der Signator unter seiner alleinigen Kontrolle halten kann, sowie

c) is created using means that the signatory can maintain under his sole control,

d) mit den Daten, auf die sie sich bezieht, so verknüpft ist, dass jede nachträgliche Veränderung der Daten festgestellt werden kann;

d) is linked to the data to which it relates such a manner that it allows to identify any subsequent change of the data;

3a. qualifizierte elektronische Signatur: eine fortgeschrittene elektronische Signatur, die auf einem qualifizierten Zertifikat beruht und von einer sicheren Signaturerstellungseinheit erstellt wird;

3a. qualified electronic signature: an advanced electronic signature which is based on a qualified certificate and created by a secure–signature-creation device.

4. Signaturerstellungsdaten: einmalige Daten wie Codes oder private Signaturschlüssel, die vom Signator zur Erstellung einer elektronischen Signatur verwendet werden;

4. Signature-creation data: unique data such as codes or private signature keys which are used by the signatory to create an electronic signature.

5. sichere Signaturerstellungseinheit: eine konfigurierte Software oder Hardware, die zur Verarbeitung der Signaturerstellungsdaten verwendet wird und die den Sicherheitsanforderungen dieses Bundesgesetzes sowie der auf seiner Grundlage erlassenen Verordnungen entspricht;

5. secure–signature-creation device: configured software or hardware which is used to implement the signature creation data and complying with the security requirements of the present Federal Act and the orders issued on the basis thereof..

6. Signaturprüfdaten: Daten wie Codes oder öffentliche Signaturschlüssel, die zur Überprüfung einer elektronischen Signatur verwendet werden;

6. Signature-verification data: data such as codes or public signature keys which are used for the purpose of verifying an electronic signature.

7. Signaturprüfeinheit: eine konfigurierte Software oder Hardware, die zur Verarbeitung der Signaturprüfdaten verwendet wird;

7. Signature-verification device: configured software or hardware which is used to process the signature-verification data.

8. Zertifikat: eine elektronische Bescheinigung, mit der Signaturprüfdaten einer bestimmten Person zugeordnet werden und deren Identität bestätigt wird;

8. Certificate: electronic attestation which links signature-verification data to a specific person whose identity is confirmed.

9. qualifiziertes Zertifikat: ein Zertifikat einer natürlichen Person, das die Angaben des § 5 enthält und von einem den Anforderungen des § 7 entsprechenden ZDA ausgestellt wird;

9. Qualified certificate: a certificate of a natural person containing the information referred to in § 5 and issued by a CSP who fulfils the requirements laid down in § 7,

10. ZDA: eine natürliche oder juristische Person oder eine sonstige rechtsfähige Einrichtung, die Zertifikate ausstellt oder andere Signatur- und Zertifizierungsdienste erbringt;

10. CSP: a natural or legal person or some other legally capable entity which issues certificates or provides other signature- and certification-services.

6 von 33

11. Signatur- und Zertifizierungsdienste: die Bereitstellung von Signaturprodukten und -verfahren, die Ausstellung, Erneuerung und Verwaltung von Zertifikaten, Verzeichnis-, Widerrufs-, Registrierungs- und Zeitstempeldienste sowie Rechner- und Beratungsdienste im Zusammenhang mit elektronischen Signaturen;

11. Signature- and certification-services: the provision of signature products and procedures, the issuing, renewal and administration of certificates, the provision of directory-, revocation-, registration-, time stamping-, computing- and consultancy-services in connection with electronic signatures.

12. qualifizierter Zeitstempel: eine elektronische Bescheinigung, dass bestimmte elektronische Daten zu einem bestimmten Zeitpunkt vorgelegen sind, die den Sicherheitsanforderungen dieses Bundesgesetzes und der auf seiner Grundlage erlassenen Verordnungen entspricht;

12. qualified time stamp: electronic confirmation that specific electronic data were submitted at a specific time complying with the security require-ments of the present Federal Act and the orders issued on the basis thereof.

13. Signaturprodukt: Hard- oder Software bzw. deren spezifische Komponenten, die für die Erstellung und Überprüfung elektronischer Signaturen oder von einem ZDA für die Bereitstellung von Signatur- oder Zertifizierungsdiensten verwendet werden;

13. Signature product: hardware or software or relevant components thereof used to create and verify electronic signatures or used by a CSP to provide signature- or certification-services.

14. Kompromittierung: die Beeinträchtigung von Sicherheitsmaßnahmen oder Sicherheitstechnik, sodaß das vom ZDA zugrundegelegte Sicherheitsniveau nicht eingehalten ist;

14. Compromise: breach of security measures or security technique so that the level of security set up by the CSP no longer applies.

15. Signaturrichtlinie: Richtlinie des Europäischen Parlamentes und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen, ABl. L Nr. 13 vom 19. Jänner 2000, S 12.

15. Signature Directive: Directive of the European Parliament and the Council of 13 December1999 on a Community framework for electronic signatures, Official Gazette no. L 13 of 19 January 2000, p. 12.

4. „Bestätigungsstelle“: eine gemäß Art. 30 Abs. 2 eIDAS-VO vom Mitgliedstaat der EU-Kommission zu benennende Stelle für die Zertifizierung der Konformität qualifizierter elektronischer Signatur- und Siegelerstellungseinheiten mit den Anforderungen des Anhangs II der eIDAS-VO.

(2) Die Begriffsbestimmungen des Art. 3 eIDAS-VO gelten auch für dieses Bundesgesetz.

2. Abschnitt Section 2

Rechtserheblichkeit elektronischerElektronische Signaturen und elektronische Siegel

Relevancy in law of electronic signatures

Allgemeine Rechtswirkungen General legal effects

§ 3. (1) Im Rechts- und Geschäftsverkehr können Signaturverfahren mit unterschiedlichen Sicherheitsstufen und unterschiedlichen Zertifikatsklassen verwendet werden.

§ 3. (1) Signature procedures with different levels of security and different classes of certificates can be used for legal or commercial transactions.

7 von 33

(2) Die rechtliche Wirksamkeit einer elektronischen Signatur und deren Verwendung als Beweismittel können nicht allein deshalb ausgeschlossen werden, weil die elektronische Signatur nur in elektronischer Form vorliegt, weil sie nicht auf einem qualifizierten Zertifikat oder nicht auf einem von einem akkreditierten ZDA ausgestellten qualifizierten Zertifikat beruht oder weil sie nicht unter Verwendung von technischen Komponenten und Verfahren im Sinne des § 18 erstellt wurde.

(2) The legal effects of an electronic signature and its use as evidence cannot be denied solely on the grounds that the electronic signature is only available in electronic form, is not based upon a qualified certificate or a qualified certificate issued by an accredited CSP or was not created using the technical components and procedures as defined in § 18.

Besondere Rechtswirkungen Specific legal effects

§ 4. (1) Eine qualifizierte elektronische Signatur erfüllt das rechtliche Erfordernis einer eigenhändigen Unterschrift, insbesondere der Schriftlichkeit im Sinne des § 886 ABGB, sofern durch Gesetz. Andere gesetzliche Formerfordernisse, insbesondere solche, die die Beiziehung eines Notars oder Parteienvereinbarung nicht anderes bestimmt isteines Rechtsanwalts vorsehen, sowie vertragliche Vereinbarungen über die Form bleiben unberührt.

§ 4. (1) A qualified electronic signature satisfies the legal requirement for a handwritten signature especially the requirement for the written form as defined in § 886 of the Austrian Civil Code unless a different definition is laid down by law or by an agreement between the parties.

(2) Eine qualifizierte elektronische Signatur entfaltet in folgenden Fällen nicht die Rechtswirkungen der Schriftlichkeit im Sinne des § 886 ABGB:(2) Letztwillige Verfügungen können in elektronischer Form nicht wirksam errichtet werden. Folgende Willenserklärungen können nur dann in elektronischer Form wirksam abgefasst werden, wenn das Dokument über die Erklärung die Bestätigung eines Notars oder eines Rechtsanwalts enthält, dass er den Signator über die Rechtsfolgen seiner Signatur aufgeklärt hat:

(2) A qualified electronic signature does not have the legal effects of the written form as defined in § 886 of the Austrian Civil Code in the following cases:

1. Bei RechtsgeschäftenWillenserklärungen des Familien- und Erbrechts, die an die Schriftform oder ein strengeres Formerfordernis gebunden sind, es sei denn, die über das Rechtsgeschäft errichtete Urkunde enthält die Erklärung eines Rechtsanwalts oder eines Notars, dass er den Signator über die Rechtsfolgen seiner Signatur aufgeklärt hat; letztwillige Anordnungen können in elektronischer Form jedoch nicht wirksam errichtet werden.;

1. legal transactions under family and inheritance law which require the written form or a stricter formal requirement; except if the document drawn up on the legal act contains the statement by a lawyer or notary that he instructed the signatory on the legal effects of his signature; however, testamentary dispositions cannot be validly made in electronic form.

2. Bei anderen Willenserklärungen oder Rechtsgeschäften, die zu ihrer Wirksamkeit an die Form einer öffentlichen Beglaubigung, einer gerichtlichen oder notariellen Beurkundung oder eines Notariatsakts gebunden sind, soweit die öffentliche Beglaubigung, die gerichtliche oder notarielle Beurkundung oder der Notariatsakt in elektronischer Form nicht wirksam zustande kommt.

2. other declarations of intent or legal transactions which require official certification, judicial or notarial authentication or a notarial deed in order to be valid, to the extent the official authentication, the drawing up by a court or a notary or the notarial deed are not effected validly in electronic form.

3. Bei Willenserklärungen, Rechtsgeschäften oder Eingaben, die zu ihrer Eintragung in das Grundbuch, das Firmenbuch oder ein anderes

3. declarations of intent, legal transactions or petitions which require official certification, judicial or notarial authentication or a notarial deed in order

8 von 33

öffentliches Register einer öffentlichen Beglaubigung, einer gerichtlichen oder notariellen Beurkundung oder eines Notariatsakts bedürfen, soweit die öffentliche Beglaubigung, die gerichtliche oder notarielle Beurkundung oder der Notariatsakt in elektronischer Form nicht wirksam zustande kommt.

to be entered in the land register, companies register or other official register and to the extent the official authentication, the drawing up by a court or a notary or the notarial deed are not effected validly in electronic form.

4. Bei einer 2. eine Bürgschaftserklärung (§ 1346 Abs. 2 ABGB), die von Personen außerhalb ihrer gewerblichen, geschäftlichen oder beruflichen Tätigkeit abgegeben wird, es sei denn, diese enthält die Erklärung eines Rechtsanwalts oder eines Notars, dass er den Bürgen über die Rechtsfolgen seiner Verpflichtungserklärung aufgeklärt hat.

4. declarations of guarantee (§ 1346 para. 2 of the Austrian Civil Code), made by persons beyond their commercial, business or professional activity, except, if it contains the statement by a lawyer or notary that he instructed the signatory on the legal effects of his statement of commitment..

(3) Die Bestimmung des § 294 ZPO über die Vermutung der Echtheit des Inhalts einer unterschriebenen Privaturkunde ist auf elektronische Dokumente, die mit einer qualifizierten elektronischen Signatur versehen sind, anzuwenden.

(3) The provisions of § 294 of the Code of Civil Procedure governing the presumption of authenticity of the content of a signed private deed shall apply to electronic documents bearing a qualified electronic signature.

(4) Die Rechtswirkungen der Abs. 1 und 3 treten nicht ein, wenn nachgewiesen wird, daß die Sicherheitsanforderungen dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen nicht eingehalten oder die zur Einhaltung dieser Sicherheitsanforderungen getroffenen Vorkehrungen kompromittiert wurden.

(4) The legal effects of paragraphs 1 and 3 shall not apply if it is proven that the security requirements of the present Federal Act and the orders issued on the basis thereof have not been complied with or the precautions taken in order to comply with the said security requirements have been compromised.

(3) Bei Rechtsgeschäften zwischen Unternehmern und Verbrauchern sind Vertragsbestimmungen, nach denen eine qualifizierte elektronische Signatur nicht das rechtliche Erfordernis der Schriftlichkeit erfüllt, für Anzeigen oder Erklärungen, die vom Verbraucher dem Unternehmer oder einem Dritten abgegeben werden, nicht verbindlich, es sei denn, der Unternehmer beweist, dass die Vertragsbestimmungen im Einzelnen ausgehandelt worden sind oder mit dem Verbraucher eine andere vergleichbar einfach verwendbare Art der elektronischen Authentifizierung vereinbart wurde.

Qualifizierte Zertifikate Qualified certificates

§ 5. (1) Ein qualifiziertes Zertifikat hat zumindest folgende Angaben zu enthalten:

§ 5. (1) A qualified certificate shall contain at least the following information:

1. den Hinweis darauf, daß es sich um ein qualifiziertes Zertifikat handelt, 1. an indication that it is a qualified certificate;

2. den unverwechselbaren Namen des ZDA und den Staat seiner Niederlassung,

2. the unmistakable name of the CSP and its country of establishment;

3. den Namen des Signators oder ein Pseudonym, das als solches bezeichnet sein muß,

3. the name of the signatory or a pseudonym, which must be indicated as such;

4. gegebenenfalls auf Verlangen des Zertifikatswerbers Angaben über eine 4. where necessary at the request of the applicant, information on a power of

9 von 33

Vertretungsmacht oder eine andere rechtlich erhebliche Eigenschaft des Signators,

attorney or other significant legal attribute of the signatory;

5. die dem Signator zugeordneten Signaturprüfdaten, 5. the signature-verification data allocated to the signatory;

6. Beginn und Ende der Gültigkeit des Zertifikats, 6. the beginning and end of the period of validity of the certificate;

7. die eindeutige Kennung des Zertifikats, 7. a unique identification of the certificate;

8. gegebenenfalls eine Einschränkung des Anwendungsbereichs des Zertifikats und

8. where necessary, a restriction on the scope of the certificate and

9. gegebenenfalls eine Begrenzung des Transaktionswerts, auf den das Zertifikat ausgestellt ist.

9. if necessary, a limitation on the transaction value for which the certificate has been issued.

(2) Auf Verlangen des Zertifikatswerbers können weitere rechtlich erhebliche Angaben in das qualifizierte Zertifikat aufgenommen werden.

(2) Other important legal information may be included in a qualified certificate at the request of the applicant.

(3) Ein qualifiziertes Zertifikat muss mit einer fortgeschrittenen elektronischen Signatur des ZDA versehen sein.

(3) Qualified certificates must bear the CSP advanced electronic signature.

3. Abschnitt Section 3

ZDA CSP

Tätigkeit der ZDA Activities of CSP

§ 6. (1) Die Aufnahme und die Ausübung der Tätigkeit eines ZDA bedürfen keiner gesonderten Genehmigung.

§ 6. (1) CSP shall require no special authorisation to establish and exercise their activities.

(2) Ein ZDA hat die Aufnahme seiner Tätigkeit unverzüglich der Aufsichtsstelle (§ 13) anzuzeigen. Er hat dieser spätestens mit Aufnahme der Tätigkeit oder bei Änderung seiner Dienste ein Sicherheitskonzept sowie ein Zertifizierungskonzept der von ihm angebotenen Signatur- und Zertifizierungsdienste samt den verwendeten technischen Komponenten und Verfahren vorzulegen.

(2) CSP shall immediately notify the supervisory body (§ 13) of the establishing of activities. They shall file a security policy and a certification policy of the signature- and certification services provided, together with the technical components and procedures used, with the supervisory body by the time when activities are established or Services changed.

(3) Das Sicherheitskonzept hat die Einhaltung der Sicherheitsanforderungen dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen darzulegen.

(3) The security policy shall describe how it will comply with the security requirements of the present Federal Act and the orders issued on the basis thereof.

(4) Ein ZDA hat die im Sicherheits- und im Zertifizierungskonzept dargelegten Angaben sowohl bei der Aufnahme als auch während der Ausübung seiner Tätigkeit zu erfüllen.

(4) CSP shall comply with the information presented in the security and certification policy both on assuming and during the exercise of their activities.

(5) Ein ZDA hat alle Umstände, die eine ordnungsgemäße und dem Sicherheits- sowie dem Zertifizierungskonzept entsprechende Tätigkeit nicht mehr

(5) CSP shall notify the supervisory body immediately of any circumstances which preclude the due exercise of their activities according to the security and

10 von 33

ermöglichen, unverzüglich der Aufsichtsstelle anzuzeigen. certification policy.

(7) Ein Zertifikat für ZDA darf von diesen nur für die Erbringung von Zertifizierungsdiensten verwendet werden.

(7) Certificates for CSP shall only be used by them in the provision of certification services.

Pflichten von Signatoren und Siegelerstellern

§ 5. Signatoren und Siegelersteller oder von ihnen dazu beauftragte qualifizierte VDA haben bei qualifizierten Signaturen ihre elektronischen Signaturerstellungsdaten oder bei qualifizierten Siegeln ihre elektronischen Siegelerstellungsdaten sorgfältig zu verwahren, soweit zumutbar Zugriffe von Dritten auf ihre elektronischen Signaturerstellungsdaten oder elektronischen Siegelerstellungsdaten zu verhindern und deren Weitergabe an Dritte zu unterlassen. Die Weitergabe von elektronischen Siegelerstellungsdaten an autorisierte Personen ist zulässig. Signatoren oder Siegelersteller haben den Widerruf des qualifizierten Zertifikats zu verlangen, wenn die elektronischen Signaturerstellungsdaten oder die elektronischen Siegelerstellungsdaten abhandenkommen, wenn Anhaltspunkte für deren Kompromittierung bestehen oder wenn sich die im qualifizierten Zertifikat bescheinigten Umstände geändert haben.

Aussetzung

§ 6. (1) Sofern ein qualifizierter VDA ein qualifiziertes Zertifikat für eine elektronische Signatur oder ein elektronisches Siegel nicht widerruft, hat er dieses vorläufig auszusetzen, wenn

1. der Signator, der Siegelersteller oder ein sonstiger dazu Berechtigter dies verlangt,

2. die Aufsichtsstelle (§ 12) die Aussetzung des Zertifikats anordnet,

3. der qualifizierte VDA Kenntnis vom Ableben des Signators, der Beendigung des Bestehens des Siegelerstellers oder sonst von der Änderung im Zertifikat bescheinigter Umstände erlangt,

4. das Zertifikat auf Grund unrichtiger Angaben erwirkt wurde oder

5. die Gefahr einer missbräuchlichen Verwendung des Zertifikats besteht.

(2) Ein qualifizierter VDA hat bei Vorliegen der in Abs. 1 genannten Umstände die Aussetzung zeitnah und in jedem Fall innerhalb von 24 Stunden nach Erhalt des Ersuchens vorzunehmen.

(3) Ist ein qualifiziertes Zertifikat für elektronische Signaturen oder elektronische Siegel vorläufig ausgesetzt worden, so verliert dieses Zertifikat, solange der Status der Aussetzung gemäß Abs. 4 veröffentlicht ist, seine

11 von 33

Gültigkeit. Dieser Zeitraum darf zwei Wochen nicht überschreiten.

(4) Ein qualifizierter VDA hat die Dauer der Aussetzung in seiner Zertifikatsdatenbank gemäß Art. 24 Abs. 2 lit. k eIDAS-VO zu registrieren und den Status der Aussetzung während der Dauer der Aussetzung elektronisch jederzeit allgemein zugänglich zu veröffentlichen.

BestätigungsstelleAnforderungen an ZDA Requirements for CSP

§ 7. (1) Ein ZDA hatDie Konformität qualifizierter elektronischer Signatur- und Siegelerstellungseinheiten mit den Anforderungen des Anhangs II der eIDAS-VO wird durch eine Bestätigungsstelle oder eine in einem anderen Mitgliedstaat der Europäischen Union gemäß Art. 30 Abs. 1 eIDAS-VO benannte Stelle zertifiziert. Sofern eine Zertifizierung gemäß Art. 30 Abs. 3 lit. b eIDAS-VO vorgenommen wird, ist die Gleichwertigkeit des Sicherheitsniveaus von der Bestätigungsstelle oder benannten Stelle nach dem Stand der Technik zu beurteilen. Eine Einrichtung ist zur Wahrnehmung der einer Bestätigungsstelle zugewiesenen Aufgaben geeignet, wenn sie

§ 7. (1) CSP shall:

1. die erforderliche Zuverlässigkeit für die von ihm bereitgestellten Signatur- oder Zertifizierungsdienste aufzuweisenaufweist,

1. demonstrate the reliability required for providing signature- and certification services;

2. den Betrieb eines schnellen und sicheren Verzeichnisdienstes sowie eines unverzüglichen und sicheren Widerrufsdienstes sicherzustellen und im Sicherheitskonzept darzulegen, in welcher Form dies erfolgt,

2. operate a prompt and, secure directory service and an immediate and secure revocation service and describe in the security policy how this will be done,

3. in qualifizierten Zertifikaten sowie für Verzeichnis- und Widerrufsdienste qualitätsgesicherte Zeitangaben zu verwenden und jedenfalls sicherzustellen, daß der Zeitpunkt der Ausstellung und des Widerrufs eines qualifizierten Zertifikats bestimmt werden kann,

3. use quality-assured time data on qualified certificates and for directory and revocation services and ensure in all cases that the time at which a qualified certificate was issued and revoked can be determined;

4. die Identität und gegebenenfalls besondere rechtlich erhebliche Eigenschaften der Person, für die ein qualifiziertes Zertifikat ausgestellt wird, zuverlässig zu überprüfen,

4. reliably verify the identity and, where applicable, any significant legal attributes of the person for whom a qualified certificate is issued,

2. 5. zuverlässiges Personal mit den für die bereitgestellten Dienstediese Aufgaben erforderlichen Fachkenntnissen, Erfahrungen und Qualifikationen, insbesondere mit Managementfähigkeiten sowie mit Kenntnissen der Technologie über elektronischer Signaturen und angemessener, angemessene Sicherheitsverfahren, Kryptographie, Kommunikations- und Chipkartentechnologien sowie die technische Begutachtung solcher Komponenten, zu beschäftigten und geeignete Verwaltungs- und Managementverfahren, die anerkannten Normen entsprechen, einzuhalten,

5. employ reliable personnel who possess the expert knowledge, experience and qualifications and, especially, the management skills and knowledge of secure signature technology and proper security procedures needed for the services provided and apply adequate administrative and management procedures which correspond to recognised standards;

12 von 33

6. 3. über ausreichende Finanzmittel zu verfügen, um den Anforderungen dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen zu entsprechen, sowie Vorsorge für die Befriedigung von Schadenersatzansprüchen, etwa durch Eingehen einer Haftpflichtversicherung, zu treffen,technische Einrichtungen und Mittel sowie eine ausreichende wirtschaftliche Leistungsfähigkeit verfügt und

6. maintain sufficient financial resources to meet the requirements of the present Federal Act and the orders issued on the basis thereof and take precautions to satisfy compensation claims, for example by concluding liability insurance.

4. die erforderliche Unabhängigkeit, Unparteilichkeit und Unbefangenheit sicherstellt.

7. alle maßgeblichen Umstände über ein qualifiziertes Zertifikat während eines für den Verwendungszweck angemessenen Zeitraums - gegebenenfalls auch elektronisch - aufzuzeichnen, sodaß insbesondere in gerichtlichen Verfahren die Zertifizierung nachgewiesen werden kann, sowie

7. record all facts of importance to qualified certificates for a period of time commensurate with the purpose thereof including, if necessary, electronically so that certification can be proven, especially in legal proceedings and

8. Vorkehrungen dafür zu treffen, daß die Signaturerstellungsdaten der Signatoren weder vom ZDA noch von Dritten gespeichert oder kopiert werden können.

8. to look ahead so that the signatory’s signature–creation-data cannot be stored or copied either by the CSP or by third parties.

Darüber hinaus sind die von der EU-Kommission gemäß Art. 30 Abs. 4 eIDAS-VO zu erlassenden besonderen Kriterien maßgeblich.

(2) Ein ZDA hat für die Signatur- und Zertifizierungsdienste sowie für die Erstellung und Speicherung von Zertifikaten vertrauenswürdige Systeme, Produkte und Verfahren, die vor Veränderungen geschützt sind und für die technische und kryptographische Sicherheit sorgen, zu verwenden. Er hat insbesondere geeignete Vorkehrungen dafür zu treffen, daß Signaturerstellungsdaten geheimgehalten werden, daß Daten für qualifizierte Zertifikate nicht unerkannt gefälscht oder verfälscht werden können und daß diese Zertifikate nur mit Zustimmung des Signators öffentlich abrufbar sind. Für die Erzeugung und Speicherung von Signaturerstellungsdaten sowie für die Erstellung und Speicherung von qualifizierten Zertifikaten sind technische Komponenten und Verfahren, die den Anforderungen des § 18 entsprechen, zu verwenden.

(2) A CSP shall use reliable systems, products and procedures which are protected against modification and which ensure technical and cryptographic security for signature and certification services to create and store certificates. In particular, it shall take suitable precautions to ensure that signature-creation-data are kept secret, that data for qualified certificates cannot be forged or falsified unnoticed and that these certificates are only publicly available on-line with the signatory’s consent. Technical components and procedures which comply with the requirements of § 18 shall be used for the creation and storing of signature–creation-data and to create and store qualified certificates.

(3) Signaturerstellungsdaten der ZDA sind vor unbefugtem Zugriff zu sichern.

(3) The certification–service-provider’s signature-creation-data shall be secured against unauthorised access.

(4) Für qualifizierte elektronische Signaturen kann das Vorliegen der Voraussetzungen der Abs. 1 bis 3 im Rahmen der freiwilligen Akkreditierung (§ 17) bescheinigt werden.

(4) The fact that the conditions of para. 1 to 3 are met can be certified for qualified electronic signatures during the voluntary accreditation procedure (§ 17).

(5) Bei einer qualifizierten elektronischen Signatur muss aus dem Zertifikat, aus der elektronischen Signatur oder aus dem Sicherheits- und

(5) A qualified electronic signature must clearly show in the certificate, in the electronic signature or in the security- and certification policy, to which reference

13 von 33

Zertifizierungskonzept, auf das im Zertifikat Bezug genommen wird, hervorgehen, dass es sich um eine qualifizierte elektronische Signatur handelt.

is made in the certificate, that it is a qualified electronic signature.

(6) Für die Prüfung von qualifiziert signierten Daten sind technische Komponenten und Verfahren geeignet, die sicherstellen, dass

(6) For the verification of qualified signed data technical components and procedures are eligible, which ensure that

1. die signierten Daten nicht verändert worden sind, 1. the data signed have not been modified,

2. die Signatur zuverlässig geprüft und das Ergebnis korrekt angezeigt wird, 2. the signature is reliably verified and the result displayed correctly,

3. der Prüfer feststellen kann, auf welche Daten sich die elektronische Signatur bezieht,

3. the verifying person can determine to which data the electronic signature refers to,

4. der Prüfer feststellen kann, welchem Signator die elektronische Signatur zugeordnet ist, wobei die Verwendung eines Pseudonyms angezeigt werden muss, und

4. the verifying person can determine to which signatory the electronic signature is allocated, and that the use of a pseudonym is shown, and

5. sicherheitsrelevante Veränderungen der signierten Daten erkannt werden können.

5. security-relevant changes of signed data can be detected.

Auf Ersuchen von Gerichten oder anderen Behörden hat ein ZDA die Prüfung der auf seinen qualifizierten Zertifikaten beruhenden qualifizierten Signaturen vorzunehmen.

Upon request by courts or other authorities a CSP shall verify the qualified signatures based on his qualified certificates.

(2) Eine Bestätigungsstelle kann zur Erfüllung der ihr nach Abs. 1 zugewiesenen Aufgaben von anderen Einrichtungen oder Stellen Prüfberichte zu technischen Komponenten und Verfahren einholen.

(3) Der Bundeskanzler hat mit Verordnung festzustellen, dass eine Einrichtung als Bestätigungsstelle geeignet ist. Die Eignung ist festzustellen, wenn die Einrichtung nach ihren Statuten oder Satzungen oder nach ihrem Gesellschaftsvertrag, nach ihrer Organisation und nach ihrem Sicherheits- und Finanzierungskonzept die in Abs. 1 genannten Anforderungen erfüllt. Eine solche Verordnung darf nur erlassen werden, wenn die Bereitschaft der betreffenden Einrichtung zur Wahrnehmung der Aufgaben besteht.

(4) Die organisatorische Aufsicht über die Bestätigungsstelle obliegt der Aufsichtsstelle (§ 12).

(5) Die Aufsichtsstelle (§ 12) hat die Notifizierung gemäß Art. 31 Abs. 1 eIDAS-VO durchzuführen.

14 von 33

3. Abschnitt

Vertrauensdiensteanbieter

Ausstellung qualifizierter Zertifikate für einen Vertrauensdienst Issuing qualified certificates

§ 8. (1) Ein ZDAqualifizierter VDA oder eine in seinem Auftrag tätige Stelle hat die Identität von Personenpersönlich anwesenden natürlichen Personen oder Vertretern einer juristischen Person, denen ein qualifiziertes Zertifikat ausgestellt werden soll, anhand eines amtlichen Lichtbildausweises oder durch einen anderen in seiner Zuverlässigkeit gleichwertigen, dokumentierten oder zu dokumentierenden Nachweis, festzustellen. Der ZDA hat die Zuordnung bestimmter Signaturprüfdaten zu dieser Person durch ein qualifiziertes Zertifikat zu bestätigen (Art. 24 Abs. 1 lit. a eIDAS-VO). Vertreter von juristischen Personen haben darüber hinaus einen Nachweis über das Bestehen der Vertretungsbefugnis vorzulegen.

§ 8. (1) A CSP or other entities acting upon his instruction shall reliably establish the identity of the persons to whom qualified certificates are issued using official identity papers with a photograph or other, equally reliable, evidence documented or to be documented and shall certify that specific signature-verification-data have been attributed to such person by issuing a qualified certificate.

(3) Ein ZDA hat nach Maßgabe des Zertifizierungskonzepts auf Verlangen des Zertifikatswerbers Angaben über seine Vertretungsmacht oder eine andere rechtlich erhebliche Eigenschaft in das qualifizierte Zertifikat aufzunehmen, sofern ihm oder einer anderen Stelle (Abs. 1) diese Umstände zuverlässig nachgewiesen werden.

(3) A CSP shall, if the applicant so requests, include information on the applicant’s powers of attorney or other significant legal attributes in the qualified certificates according to the certification policy provided these facts have reliably been proven to them or the other agencies (paragraph 1).

(4) Ein ZDA kann nach Maßgabe des Zertifizierungskonzepts auf Verlangen des Zertifikatswerbers im Zertifikat anstatt des Namens des Signators ein Pseudonym angeben. Das Pseudonym darf weder anstößig noch offensichtlich zur Verwechslung mit Namen oder Kennzeichen geeignet sein.

(4) A CSP may, if the applicant so requests, use a pseudonym in lieu of the signatory’s name according to the certification policy. The pseudonym shall not be offensive or obviously open to confusion with names or signs.

Widerruf von Zertifikaten Revocation of certificates

§ 9. (1) Ein ZDA hat ein Zertifikat unverzüglich zu widerrufen, wenn § 9. (1) CSP shall revoke certificates immediately if:

1. der Signator oder ein im Zertifikat genannter Machtgeber dies verlangt, 1. the signatory or principal named in the certificate so requests;

2. der ZDA Kenntnis vom Ableben des Signators oder sonst von der Änderung im Zertifikat bescheinigter Umstände erlangt,

2. the CSP leans of the death of the signatory or other change to facts confirmed in the certificate;

3. das Zertifikat auf Grund unrichtiger Angaben erwirkt wurde, 3. the certificate was obtained on the grounds of false information;

4. der ZDA seine Tätigkeit einstellt und seine Verzeichnis- und Widerrufsdienste nicht von einem anderen ZDA übernommen werden,

4. the CSP ceases operations and its directory and revocation services are not taken over by another CSP;

5. die Aufsichtsstelle gemäß § 14 den Widerruf des Zertifikats anordnet oder 5. the supervisory body in accordance with § 14 orders that the certificate be revoked; or

6. die Gefahr einer mißbräuchlichen Verwendung des Zertifikats besteht. 6. it is a danger that the certificate will be misused.

15 von 33

(2) Können die in Abs. 1 genannten Umstände nicht sofort zweifelsfrei festgestellt werden, so hat der ZDA das Zertifikat jedenfalls unverzüglich zu sperren.

(2) If the facts referred to in paragraph 1 cannot be ascertained beyond doubt immediately, the CSP shall immediately suspend the certificate.

(3) Die Veröffentlichung einer Sperre und eines Widerrufs muss den Zeitpunkt ihrer Wirksamkeit enthalten. Dieser Zeitpunkt darf nicht später als eine Stunde nach der Eintragung liegen. Eine rückwirkende Sperre oder ein rückwirkender Widerruf ist unzulässig. Der Signator bzw. sein Rechtsnachfolger ist von der Sperre oder dem Widerruf unverzüglich zu verständigen.

(3) The publication of a suspension and revocation must include the moment on which they take effect. Such moment must not be later than one hour after registration. Retroactive suspension or retroactive revocations are not permitted. The signatory or successor in title shall be advised of the suspension or revocation immediately.

(4) Ein ZDA hat ein elektronisch jederzeit allgemein zugängliches Verzeichnis der gesperrten und der widerrufenen qualifizierten Zertifikate zu führen.

(4) CSP shall keep a list of suspended and revoked qualified certificates available on line at all times.

(5) Die Aufsichtsstelle hat das Zertifikat eines ZDA unverzüglich zu widerrufen, wenn

(5) The supervisory body shall revoke a CSP certificate immediately if:

1. dem ZDA die Ausübung seiner Tätigkeit untersagt wird und seine Verzeichnis- und Widerrufsdienste nicht von einem anderen ZDA übernommen werden oder

1. the CSP has been prohibited from exercising its activities and its directory and revocation services have not been taken over by another CSP or

2. der ZDA seine Tätigkeit einstellt und seine Verzeichnis- und Widerrufsdienste nicht von einem anderen ZDA übernommen werden.

2. the certification-service-provider has suspended activities and its directory and revocation services have not been taken over by another certification-service-provider.

(6) Unverzüglichkeit ist dann gegeben, wenn die entsprechende Maßnahme an Werktagen ausgenommen Samstag, von 9 bis 17 Uhr innerhalb von drei Stunden und außerhalb dieser Zeit innerhalb von sechs Stunden erfolgt. Bei postalischer Verständigung ist Unverzüglichkeit dann gegeben, wenn die entsprechende Maßnahme innerhalb von zwei Werktagen erfolgt.

(6) Immediate effect is given if the respective measure takes place on workdays, except Saturday, between 9 a.m. and 5 p.m. within three hours and within six hours at other times. In case of postal notification immediate effect is given if the respective measure takes place within two workdays.

Qualifizierte Zeitstempeldienste Qualified time-stamping services

§ 10. Stellt ein ZDA qualifizierte Zeitstempeldienste bereit, so hat er im Sicherheits- und im Zertifizierungskonzept nähere Angaben darzulegen. Es sind technische Komponenten und Verfahren zu verwenden, die die Richtigkeit und Unverfälschtheit der Zeitangabe sicherstellen und den Anforderungen des § 18 entsprechen. Er hat weiters für die Signatur- und Zertifizierungsdienste sowie für die Erstellung und Speicherung von Zeitstempeln vertrauenswürdige Systeme, Produkte und Verfahren zu verwenden, die vor Veränderungen geschützt sind und für die technische und kryptographische Sicherheit sorgen. Er hat insbesondere geeignete Vorkehrungen dafür zu treffen, dass Signaturerstellungsdaten geheimgehalten werden und Daten für qualifizierte Zeitstempel nicht unerkannt

§ 10. If a CSP supplies qualified time-stamping services, it must set out details thereof in the security- and certification policy. Technical components and procedures which ensure that the time quoted is correct and authentic and which comply with the requirements of § 18 must be used for secure time-stamping services. Furthermore the provider has to use reliable systems, products and procedures for the signature- and certification services as well as the creation and the storing of timestamps, which are protected against modification and provide technical and cryptographic security. In particular, the provider has to take care that signature-creation-data are kept confidential and that data for qualified timestamps cannot be forged or manipulated without discovery.

16 von 33

gefälscht oder verfälscht werden können.

Dokumentation Records

§ 11. (1) Ein ZDA hat die Sicherheitsmaßnahmen, die er zur Einhaltung dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen getroffen hat, sowie das Ausstellen und gegebenenfalls die Sperre und den Widerruf von Zertifikaten zu dokumentieren. Dabei müssen die Daten und ihre Unverfälschtheit sowie der Zeitpunkt ihrer Aufnahme in das Protokollierungssystem jederzeit nachprüfbar sein.

§ 11. (1) CSP must record the security measures taken in order to comply with the present Federal Act and the orders issued on the basis thereof, as well as issuance, suspension or revocation of certificates. The data and the authenticity thereof and the date on which they were included in the records must be verifiable at all times.

(2) Auf Ersuchen von Gerichten oder anderen Behörden hat ein ZDA die Dokumentation nach Abs. 1 auszufolgen. Im Fall der Einstellung seiner Tätigkeit hat ein ZDA die Dokumentation nach Abs. 1 dem mit der Weiterführung der Verzeichnis- und Widerrufsdienste betrauten ZDA oder der Aufsichtsstelle auszufolgen.

(2) CSP shall hand over the records in accordance with paragraph 1 at the request of the courts or other authorities. In case of discontinuation of his activity the provider has to hand over the records in accordance with paragraph 1 to the CSP or the supervisory body entrusted to carry on the directory and revocation services.

(3) Die Aufbewahrungsdauer der Dokumentation nach Abs. 1 ist im Sicherheits- und Zertifizierungskonzept anzugeben. Die Dokumentation des Ausstellens, der Sperre und des Widerrufs eines qualifizierten Zertifikats ist bis zum Ablauf der allgemeinen Verjährungszeit im Sinne des § 1478 ABGB, gerechnet ab dem im Zertifikat eingetragenen Ende der Gültigkeit, aufzubewahren.

(3) The period how long the documentation according to para. 1 must be stored is to be named in the security- and certification policy. The documentation of the issuance, the suspension and the revocation of a qualified certificate is to be stored till the end of the general period of limitation in the sense of § 1478 Civil Code, counted from the end of the validity registered in the certificate.

(2) Erfolgt die Ausstellung nicht in persönlicher Anwesenheit, können auch sonstige Identifizierungsmethoden, die eine gleichwertige Sicherheit hinsichtlich der Verlässlichkeit bei der persönlichen Anwesenheit bieten, angewendet werden (Art. 24 Abs. 1 lit. d eIDAS-VO). Dabei ist insbesondere auf eine erfolgte Identifizierung anhand eines Nachweises iSd Abs. 1, die von einer vertrauenswürdigen Stelle durchgeführt wurde, zurückzugreifen.

Beendigungsplan und VertrauensinfrastrukturEinstellung der Tätigkeit Suspending activities

§ 12.§ 9. (1) Ein qualifizierter VZDA hat der Aufsichtsstelle zumindest drei Wochen im Vorhinein die geplante Einstellung seiner Tätigkeit anzuzeigen.

§ 12. CSP shall notify the supervisory body of the intended suspension of their activities at least three weeks in advance.

Weiters(2) Sofern der qualifizierte VDA qualifizierte Zertifikate ausstellt, hat er die im Zeitpunkt der Einstellung seiner Tätigkeit gültigen qualifizierten Zertifikate zu widerrufen oder dafür Sorge zu tragen, dass zumindest seine Verzeichnis- und WiderrufsdiensteZertifikatsdatenbank von einem anderen ZDAqualifizierten VDA übernommen werden. kann und wird. Auch im Fall des Widerrufs der qualifizierten Zertifikate hat der qualifizierte VDA sicherzustellen, dass die Zertifikatsdatenbank weitergeführt wird; kommt er dieser Verpflichtung nicht nach, so hat die Aufsichtsstelle als Teil ihrer Vertrauensinfrastruktur (§ 14

They shall also revoke the certificates which are valid when activities are discontinued or ensure that at least their directory and revocation services are taken over by another CSP.

17 von 33

Abs. 3) für die Weiterführung der Zertifikatsdatenbank auf Kosten des qualifizierten VDA Sorge zu tragen.

(3) Ein Widerruf der gültigen qualifizierten Zertifikate gemäß Abs. 2 ist nur dann zulässig, wenn die Aufsichtsstelle auf Antrag des Bundeskanzlers feststellt, dass deren Weiterführung nicht im öffentlichen Interesse gelegen ist. Sofern die gültigen Zertifikate, die im öffentlichen Interesse weitergeführt werden, nicht von einem anderen ZDA übernommen werdenIst der Widerruf unzulässig, hat der Bund für deren Weiterführung Sorge zu tragen. Der ZDAqualifizierte VDA hat zu diesem Zweck dem Bund alle notwendigen Mittel und Informationen zu übergeben. Die dafür notwendigen Aufwendungen sind dem ZDA durch den Bund zu ersetzen. Die Signatoren sind von der Einstellung der Tätigkeit sowie vom Widerruf oder der Übernahme unverzüglich zu verständigen. Auch im Fall des Widerrufs der Zertifikate hat der ZDA sicherzustellen, dass die Widerrufsdienste weitergeführt werden; kommt er dieser Verpflichtung nicht nach, so hat die Aufsichtsstelle für die Weiterführung der Widerrufsdienste auf Kosten des ZDA Sorge zu tragen.

A revocation of valid certificates is only permissible, if the supervisory body, upon request of the Federal Chancellor, states, that its continuation is not in the public interest. To the extent the valid certificates being continued in the public interest are not taken over by another CSP, the Federation has to care for the continuation. For this purpose the CSP has to hand over to the Federation all necessary means and information. The occurring expenses are to be reimbursed to the CSP by the Federation. Signatories shall be advised immediately of the suspension of activities and the revocation or take-over. The CSP shall ensure that revocation services are maintained even if the certificates are revoked. If it fails to comply with this obligation, the supervisory body shall ensure that the revocation services are maintained at the CSP expense.

(4) Die Signatoren und Siegelersteller sind von der Einstellung der Tätigkeit sowie vom Widerruf, der Übernahme oder der Weiterführung unverzüglich zu verständigen.

Zugangsrechte und Aufbewahrungsdauer

§ 10. (1) Auf Ersuchen von Gerichten oder anderen Behörden hat ein qualifizierter VDA Zugang zur Dokumentation nach Art. 24 Abs. 2 lit. h eIDAS-VO und seiner Zertifikatsdatenbank zu gewähren.

(2) Bei Verwendung eines Pseudonyms in einem Zertifikat hat der VDA die Daten über die Identität des Signators an einen Dritten zu übermitteln, sofern von diesem an der Feststellung der Identität ein überwiegendes berechtigtes Interesse im Sinne des § 8 Abs. 1 Z 4 und Abs. 3 DSG 2000 glaubhaft gemacht wird. Die Übermittlung ist zu dokumentieren.

(3) Die Dokumentation ist vom qualifizierten VDA 30 Jahre, gerechnet ab dem im qualifizierten Zertifikat eingetragenen Ende der Gültigkeit oder, mangels eines solchen, 30 Jahre ab dem Zeitpunkt des Anfallens von einschlägigen Informationen über die von dem qualifizierten VDA im Rahmen seiner Tätigkeit ausgegebenen und empfangenen Daten, aufzubewahren.

Haftung

§ 11. (1) Abgesehen von Art. 13 Abs. 2 eIDAS-VO kann die Haftung eines

18 von 33

VDA nach Art. 13 Abs. 1 eIDAS-VO im Vorhinein weder ausgeschlossen noch beschränkt werden.

(2) Umfang und Ausmaß des nach Art. 13 eIDAS-VO zu ersetzenden Schadens sowie allfällige Rückgriffsrechte gegenüber anderen Personen richten sich nach den auf den Schadensfall sonst anwendbaren Bestimmungen.

(3) Ersatzansprüche gegenüber anderen Personen oder aus einem anderen Rechtsgrund bleiben unberührt.

4. Abschnitt Section 4

Aufsicht Supervision

Aufsichtsstelle Supervisory body

§ 1312. (1) Aufsichtsstelle gemäß Art. 17 eIDAS-VO ist die Telekom-Control-Kommission (§ 116 TKG 2003). Ihr obliegt die laufende Aufsicht über die Einhaltung der Bestimmungen dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen.

§ 13. (1) The Telekom-Control-Commission shall act as supervisory body (§ 116 of the Telecommunications Act 2003). It shall be responsible for regular supervision of compliance with the provisions of the present Federal Act and the orders issued on the basis thereof.

(3) Die Aufsichtsstelle hat dafür Sorge zu tragen, dass ein elektronisch allgemein zugängliches Verzeichnis der gültigen, gesperrten und widerrufenen Zertifikate für ZDA, der im Inland niedergelassenen ZDA, der von ihr akkreditierten ZDA und der Drittstaaten-ZDA, für deren Zertifikate ein im Inland niedergelassener ZDA nach § 24 Abs. 2 Z 2 einsteht, geführt wird. Auf Antrag sind auch andere im Ausland niedergelassene ZDA in dieses Verzeichnis aufzunehmen. Zertifikate für ZDA können auch von der Aufsichtsstelle ausgestellt werden. Die Aufsichtsstelle hat die bei ihr geführten Verzeichnisse gesichert im Internet zu veröffentlichen.

(3) The supervisory body shall ensure that an electronic directory of valid, blocked and revoked certificates of domestic CSP, of those having been accredited by it and of third country CSP, for whose certificates a domestic CSP guarantees according to § 24 para. 2 sub-para. 2, is generally available. Certificates for CSP may also be issued by the supervisory body. The supervisory body shall publish its directories in the internet in a safe way.

(4(2) Die Aufsichtsstelle hat den ZVDA für ihre Tätigkeit und für die Heranziehung der RTR-GmbH (§ 13) eine mit Verordnung festgelegte kostendeckende Gebühr vorzuschreiben. Die Einnahmen aus dieser Gebühr fließen der Aufsichtsstelle zu und sind nach Heranziehung der RTR-GmbH oder, der Bestätigungsstelle oder einer anderen gemäß Art. 30 Abs. 1 eIDAS-VO benannten Stelle nach deren Aufwand weiterzuleiten.

(4) The costs of the supervisory body’s activities and the work carried out by RTR GmbH shall be covered by charging CSP fees as set out in an order. This revenue shall be collected by the supervisory body, which shall pay RTR GmbH or the confirmation body for the cost of the work carried out by them.

(53) Die Aufsichtsstelle kann sich zur Beratung geeigneter Personen oder Einrichtungen wie etwa einer Bestätigungsstelle (§ 197) bedienen. Die Wahrnehmung ihrer Aufgaben in technischen Belangen hat in Abstimmung mit einer Bestätigungsstelle (§ 7) oder einer in einem anderen Mitgliedstaat der

(5) The supervisory body may seek advice from suitable persons or institutions such as confirmation bodies (§ 19).

19 von 33

Europäischen Union gemäß Art. 30 Abs. 1 eIDAS-VO benannten Stelle zu erfolgen.

(64) Die Mitglieder der Aufsichtsstelle sind gemäß Art. 20 Abs. 2 B-VG bei Ausübung ihres Amtes an keine Weisungen gebunden. Sofern gesetzlich nicht anderes bestimmt ist, hat die Aufsichtsstelle das AVG 1991 anzuwenden. Sie entscheidet in oberster Instanz. Die Anrufung des Verwaltungsgerichtshofs ist zulässig.

(6) In accordance with article 20 para. 2 of the Federal Constitution, the members of the supervisory body shall not be bound by any instructions in the exercise of their office. The supervisory body shall apply the 1991 AVG unless legislation stipulates otherwise. It shall decide in the last instance and may take recourse to the Administrative Courts.

(75) Die Tätigkeit der Aufsichtsstelle nach diesem Bundesgesetz ist von ihrer Tätigkeit nach anderen Bundesgesetzen organisatorisch und finanziell zu trennen.

(7) The activities of the supervisory body pursuant to the present Federal Act shall be kept separate, from an organisational and financial point of view, from its activities under other Federal Acts.

Aufsichtsmaßnahmen Supervisory measures

§ 14. (1) Die Aufsichtsstelle kann zur Sicherstellung der Erfüllung der Pflichten aus diesem Bundesgesetz und der auf seiner Grundlage ergangenen Verordnung Zertifikate für ZDA oder von Signatoren widerrufen oder den Widerruf der Zertifikate von Signatoren durch den ZDA anordnen.

§ 14. (1) The supervisory body may, to ensure that obligations pursuant to the present Federal Act and the order issued on the basis thereof are fulfilled, revoke certificates for CSP or signatories or order that the CSP revoke signatories’ certificates.

(3) Sofern nicht nach Abs. 6 gelindere Mittel in Betracht kommen, ist einem ZDA die Ausübung seiner Tätigkeit ganz oder teilweise zu untersagen, wenn die für die Ausübung einer solchen Tätigkeit erforderlichen Voraussetzungen nach diesem Bundesgesetz oder den auf seiner Grundlage ergangenen Verordnungen nicht erfüllt werden.

(3) Unless less stringent measures can be considered according to paragraph 6, CSP shall be prohibited from exercising all or some of their activities if the conditions governing the exercise of such activities pursuant to the present Federal Act or the orders issued on the basis thereof are not met.

(5) Wenn die Aufsichtsstelle einem ZDA die Ausübung seiner Tätigkeit untersagt, hat sie für den Widerruf der Zertifikate des ZDA und der Signatoren Sorge zu tragen oder die Übernahme der erbrachten Signatur- und Zertifizierungsdienste oder zumindest seiner Verzeichnis- und Widerrufsdienste durch einen anderen ZDA zu veranlassen, sofern die beteiligten ZDA der Übernahme zustimmen. Die Signatoren sind von der Untersagung sowie vom Widerruf oder der Übernahme unverzüglich zu verständigen. Auch im Fall des Widerrufs der Zertifikate hat der ZDA sicherzustellen, daß die Widerrufsdienste weitergeführt werden; kommt er dieser Verpflichtung nicht nach, so hat die Aufsichtsstelle für die Weiterführung der Widerrufsdienste auf Kosten des ZDA Sorge zu tragen.

(5) If the supervisory body prohibits a CSP from exercising its activity, it must ensure that the CSP and signatories’ certificates are revoked or arrange for the signature- and certification services provided or at least the directory and revocation services to be taken over by another CSP, insofar as the CSP involved agree to the take-over. Signatories shall be advised of the ban and the revocation or take-over immediately. The CSP shall ensure that revocation services are maintained even if the certificates are revoked. If it fails to perform this obligation, the supervisory body shall ensure that the revocation services are maintained at the CSP expense.

(6) Die Aufsichtsstelle hat von einer Untersagung der Tätigkeit eines ZDA abzusehen, soweit die Anordnung gelinderer Mittel ausreicht, um die Einhaltung der Bestimmungen dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen sicherzustellen. Sie kann insbesondere Auflagen erteilen, unter Setzung einer angemessenen Frist zur Behebung von aufgezeigten

(6) The supervisory body shall refrain from prohibiting the activities of a CSP if corrective measures can be ordered which are sufficient to ensure compliance with the provisions of the present Federal Act and of the orders issued on the basis thereof. More importantly, it may impose terms and conditions, threaten action or revoke an accreditation if the shortcomings identified by it are not rectified by a

20 von 33

Mängeln Maßnahmen androhen oder eine Akkreditierung widerrufen. reasonable deadline which it shall set.

Heranziehung der RTR-GmbH Involvement of RTR GmbH

§ 1513. (1) Die Aufsichtsstelle kann sich bei der Durchführung der Aufsicht der RTR-GmbH (§ 516 KOG) bedienen.

§ 15. (1)The Supervisory body may call on the Services of RTR GmbH (§ 5 KOG) during the exercise of its supervisory activities.

(2) Die RTR-GmbH hat insbesondere (2) RTR-GmbH shall, inter alia:

1. die Aufsichtsstelle bei der laufenden Aufsicht der ZDA zu unterstützen und die technischen Produkte, Verfahren und sonstigen Mittel, die im Rahmen der bereitgestellten Signatur- und Zertifizierungsdienste eingesetzt werden, sowie die Qualifikation des Personals zu überprüfen,

1. support the supervisory body in the day-to-day supervision of CSP and auditing of the technical products, procedures and other devices used for the purpose of providing signature- and certification services and the qualifications of the personnel;

3. Verzeichnisse der Zertifikate für ZDA und der ZDA (§ 13 Abs. 3) sowie ein Verzeichnis der akkreditierten ZDA (§ 17 Abs. 1) zu führen,

3. keep directories of certificates for CSP and of certificates of CSP (§ 13 para. 3) and a directory of accredited CSP (§ 17 para. l);

4. für den Fall der Einstellung oder Untersagung der Tätigkeit eines ZDA einen Widerrufsdienst zu führen, sofern keine Übernahme im Sinne der §§ 12 oder 14 Abs. 5 erfolgt,

4. if the activities of a CSP are suspended or prohibited, maintain revocation services not taken over as described in §§ 12 or 14 para. 5,

5. auf Anordnung der Aufsichtsstelle die Erfüllung der Voraussetzungen einer freiwilligen Akkreditierung (§ 17) zu erheben,

5. at the demand of the supervisory body, determine compliance with the conditions for voluntary accreditation (§ 17);

6. bei der Feststellung der Gleichwertigkeit von Prüfberichten aus Drittstaaten im Sinne des § 24 Abs. 3 mitzuwirken und

6. assist the statement of the equivalence of test reports from third countries as defined in § 24 para. 3 and

7. im Fall des begründeten Verdachts, daß die Sicherheitsanforderungen dieses Bundesgesetzes oder der auf seiner Grundlage ergangenen Verordnungen nicht eingehalten werden, oder auf Verlangen eines ZDA unmittelbar die vorläufige Untersagung der Tätigkeit des ZDA oder vorläufig Maßnahmen im Sinne des § 14 Abs. 1 anzuordnen.

7. if there is good cause for suspecting non-compliance with the security requirements of the present Federal Act or the orders issued on the basis thereof or at the request of a CSP, order directly a temporary ban on the activities of the certification service provider or provisional measures as defined in § 14 para. 1.

(3) Die RTR-GmbH kann sich zur Beratung geeigneter Personen oder Einrichtungen wie etwa einer Bestätigungsstelle (§ 19) bedienen. Die Wahrnehmung ihrer Aufgaben in technischen Belangen hat in Abstimmung mit einer Bestätigungsstelle (§ 19) zu erfolgen.(2) Im Rahmen ihrer Tätigkeit für die Aufsichtsstelle ist das Personal der RTR-GmbH an die Weisungen des Vorsitzenden oder des in der Geschäftsordnung bezeichneten Mitgliedes gebunden.

(3) RTR-GmbH may seek advice from suitable persons or institutions such as confirmation bodies (§ 19). The technical aspects of its duties shall agree with a confirmation body (§ 19). The personnel of RTR GmbH shall be bound by the instructions of the chair or a member named in the rules of procedure for the purposes of its activities for the supervisory body.

(4) Unbeschadet der Zuständigkeit der ordentlichen Gerichte können Kunden oder Interessenvertretungen Streit- oder Beschwerdefälle, insbesondere über die Qualität eines Zertifizierungsdienstes, die mit dem ZDA nicht befriedigend gelöst worden sind, der RTR-GmbH vorlegen. Die RTR-GmbH hat sich zu bemühen, innerhalb angemessener Frist eine einvernehmliche Lösung herbeizuführen. Die

(4) The jurisdiction of the ordinary courts not-withstanding, customers or parties representing interests may submit litigation or complaints to which no satisfactory solution can be found with the CSP, especially concerning the quality of a certification service, to RTR GmbH. RTR GmbH shall make every effort to find a solution which satisfies both parties within a reasonable period of time. CSP

21 von 33

ZDA sind verpflichtet, an einem solchen Verfahren mitzuwirken und alle zur Beurteilung der Sachlage erforderlichen Auskünfte zu erteilen. Die RTR-GmbH hat Richtlinien für die Durchführung dieses Verfahrens festzulegen, die in geeigneter Form zu veröffentlichen sind. Mit Zustimmung des Antragstellers kann das Verfahren auch auf elektronischem Weg durchgeführt werden.

are obliged to take part in such procedures and provide all the information needed to assess the situation. Telekom-Control GmbH shall lay down guidelines for the implementation of this procedure, which shall be published in a suitable form. In case applicant agrees, the procedure may be conducted electronically.

(5) (3) § 12 Abs. 5§ 13 Abs. 7 über die organisatorische und finanzielle Trennung ist auf die Tätigkeit der RTR-GmbH anzuwenden.

(5) § 13 para. 7 governing separate organisational and financial arrangements shall also apply to the activities of RTR-GmbH implementing supervision.

Sonstige Aufgaben

§ 14. (1) Die RTR-GmbH erstellt, führt und veröffentlicht für die Aufsichtsstelle auf gesicherte Weise eine von der RTR-GmbH elektronisch unterzeichnete oder besiegelte Vertrauensliste gemäß Art. 22 eIDAS-VO. Nichtqualifizierte VDA und die von ihnen erbrachten Vertrauensdienste sind auf Antrag in die Vertrauensliste aufzunehmen.

(2) Die RTR-GmbH hat für die Aufsichtsstelle im öffentlichen Interesse kostenfrei im Internet ein technisches Service zur Verfügung zu stellen, mit dem qualifizierte elektronische Signaturen oder qualifizierte elektronische Siegel validiert werden können. Nach Maßgabe der technischen Möglichkeiten ist eine Schnittstelle für die automatische Verarbeitung anzubieten. Das Service hat jedenfalls Signaturen und Siegel in jenen Formaten zu prüfen, die im Durchführungsbeschluss (EU) 2015/1506 zur Festlegung von Spezifikationen für Formate fortgeschrittener elektronischer Signaturen und fortgeschrittener elektronischer Siegel, die von öffentlichen Stellen gemäß Artikel 27 Absatz 5 und Artikel 37 Absatz 5 der Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt anerkannt werden, ABl. Nr. L 235 vom 09.09.2015 S. 37, festgelegt wurden und hat dabei die Vertrauenslisten gemäß Art. 22 eIDAS-VO zu berücksichtigen. Das Service hat bei der Validierung einer qualifizierten elektronischen Signatur oder eines qualifizierten elektronischen Siegels die Anforderungen des Art. 32 Abs. 1 eIDAS-VO zu erfüllen.

(3) Die Aufsichtsstelle hat eine Vertrauensinfrastruktur (§ 9) einzurichten, zu unterhalten und laufend zu aktualisieren.

Durchführung der Aufsicht Implementation of supervision

§ 1615. (1) Die ZVDA haben den im Auftrag der Aufsichtsstelle handelnden Personen das Betreten der Geschäfts- und Betriebsräume während der Geschäftszeiten zu gestatten, die in Betracht kommenden Bücher und sonstigen Aufzeichnungen oder Unterlagen einschließlich der Dokumentation nach

§ 16. (1) CSP shall grant persons acting on behalf of the supervisory body access to business and operating premises during business hours, submit or have ready for inspection the relevant books and other records and documentation, including the records according to § 11, and provide information and any other

22 von 33

§ 11einschlägigen Informationen nach Art. 24 Abs. 2 lit. h eIDAS-VO vorzulegen oder zur Einsicht bereitzuhalten, Auskünfte zu erteilen und jede sonst erforderliche Unterstützung zu gewähren. Bestehende gesetzliche Verschwiegenheits- und Aussageverweigerungsrechte bleiben unberührt.

support needed. Current statutory rights to observe secrecy or remain silent shall remain unaffected.

(2) Die Organe des öffentlichen Sicherheitsdienstes haben der Aufsichtsstelle und den in ihrem Auftrag handelnden Personen über deren Ersuchen zur Durchführung der Aufsicht im Rahmen ihres gesetzmäßigen Wirkungsbereichs Hilfe zu leisten.

(2) Security Service officials shall assist with the implementation of supervision within the limitations of their statutory remit if requested to do so by the supervisory body and the persons acting on its behalf.

(3) Die Durchführung der Aufsicht nach den Abs. 1 und 2 ist unter möglichster Schonung der Betroffenen und ohne unnötiges Aufsehen so durchzuführen, daßss dadurch die Sicherheit der Signatur- und ZertifizierungsVertrauensdienste nicht verletzt wird.

(3) Supervision according to para. 1 and 2 shall be carried out with as little inconvenience as possible to the parties concerned and without attracting any unnecessary attention to ensure that the security of the signature- and certification services are not breached.

Freiwillige Akkreditierung Voluntary accreditation

§ 17. (1) ZDA, die der Aufsichtsstelle vor der Aufnahme ihrer Tätigkeit als akkreditierte ZDA die Einhaltung der Anforderungen dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen nachweisen, sind auf Antrag von der Aufsichtsstelle zu akkreditieren. Akkreditierte ZDA dürfen sich mit Zustimmung der Aufsichtsstelle im Geschäftsverkehr als solche bezeichnen. Im Zusammenhang mit Signatur- und Zertifizierungsdiensten sowie mit Signaturprodukten darf diese Bezeichnung nur verwendet werden, wenn die Sicherheitsanforderungen nach § 18 erfüllt werden. Die Aufsichtsstelle hat dafür Sorge zu tragen, daß die akkreditierten ZDA in ein elektronisch jederzeit allgemein zugängliches Verzeichnis aufgenommen werden.

§ 17. (1) CSP which provide secure electronic signature procedures and which prove to the supervisory body that they comply with the requirements of the present Federal Act and the orders issued on the basis thereof before establishing their activities as accredited CSP shall be accredited by the supervisory body on request. Accredited CSP may describe themselves as such with the consent of the supervisory body. This description may only be used with signature- and certification services and signature products if the security requirements according to § 18 are met. The supervisory body shall ensure that accredited CSP are included in a directory which is generally available on-line at all times.

(2) Die freiwillige Akkreditierung eines ZDA ist in das qualifizierte Zertifikat aufzunehmen oder sonst in geeigneter Weise zugänglich zu machen.

(2) Voluntary accreditation of a CSP shall be included in the qualified certificate or made available in some other suitable manner.

(3) Die Aufsichtsstelle hat für die laufende Aufsicht über die von ihr akkreditierten ZDA Sorge zu tragen. Sie hat die Akkreditierung eines ZDA zu widerrufen, wenn die Voraussetzungen einer Akkreditierung nach Abs. 1 nicht mehr erfüllt sind. § 14 Abs. 6 ist sinngemäß auch beim Widerruf einer Akkreditierung anzuwenden.

(3) The supervisory body shall ensure that the CSP accredited by it are monitored on a regular basis. It has to revoke the accreditation of a CSP if the conditions for an accreditation are no longer met. § 14 para. 6 shall apply accordingly also in case of revocation of an accreditation.

23 von 33

5. Abschnitt Section 5

Technische Sicherheitserfordernisse Technical security requirements

Sicherheitsanforderungen für technische Komponenten und Verfahren Security requirements for technical components and procedures

§ 18. (1) Für die Erzeugung und Speicherung von Signaturerstellungsdaten sowie für die Erstellung qualifizierter Signaturen sind solche technische Komponenten und Verfahren einzusetzen, die die Fälschung von Signaturen sowie die Verfälschung signierter Daten zuverlässig erkennbar machen und die die unbefugte Verwendung von Signaturerstellungsdaten verläßlich verhindern.

§ 18. (1)Technical components which allow the forgery of signed data to be reliably recognised and reliably prevent unauthorised use of signature-creation-data procedures shall be used to generate and store signature-creation data and create qualified signatures.

(2) Die bei der Erstellung einer qualifizierten Signatur verwendeten technischen Komponenten und Verfahren müssen zudem sicherstellen, daß die zu signierenden Daten nicht verändert werden; sie müssen es weiters ermöglichen, daß dem Signator die zu signierenden Daten vor Auslösung des Signaturvorgangs dargestellt werden und dass der Signator zu diesem Zeitpunkt über die Anzahl der Signaturen, die er im Signaturvorgang auslöst, Kenntnis erlangt. Die Signaturerstellungsdaten dürfen mit an Sicherheit grenzender Wahrscheinlichkeit nur einmal vorkommen, sie dürfen weiters mit hinreichender Sicherheit nicht ableitbar sein; ihre Geheimhaltung muß sichergestellt sein.

(2) The technical components and procedures used to create a qualified signature must also ensure that the data to be signed is not changed. They must also allow the data to be signed to be displayed to the signatory before the signature procedure is triggered and that the signatory is informed on the number of signatures, triggered by him in the signature process in this moment. The probability that signature creation data will only occur once must be near certainty, the data must be adequately secured against derivation and their confidentiality must be guaranteed.

(3) Bei der Erstellung und Speicherung von qualifizierten Zertifikaten sind solche technische Komponenten und Verfahren einzusetzen, die die Fälschung und Verfälschung von Zertifikaten verhindern.

(3) Technical components and procedures which prevent forgery or falsification of the certificates shall be used to create and store qualified certificates.

(5) Die technischen Komponenten und Verfahren für die Erstellung qualifizierter elektronischer Signaturen müssen nach dem Stand der Technik hinreichend und laufend geprüft sein. Die Erfüllung der Sicherheitsanforderungen an sichere Signaturerstellungseinheiten nach diesem Bundesgesetz und den auf seiner Grundlage ergangenen Verordnungen muss von einer Bestätigungsstelle (§ 19) bescheinigt sein. Bescheinigungen von Stellen, die von anderen Mitgliedstaaten der Europäischen Union oder von anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zur Beurteilung der Sicherheitsanforderungen für sichere Signaturerstellungseinheiten nach Art. 3 Abs. 4 der Signaturrichtlinie namhaft gemacht wurden, sind den Bescheinigungen einer Bestätigungsstelle gleich zu halten.

(5) The technical components and procedures for generating qualified signatures must be constantly and adequately verified using state-of-the-art technology. Compliance with security requirements for secure-signature-creation devices according to the present Federal Act and the orders issued on the basis thereof must be determined by a confirmation body (§ 19). Determination of conformity made by bodies having been designated by other Member States of the European Union or other contracting Parties of the Agreement on the European Economic Area on the evaluation of security requirements for secure-signature-creation devices according to Art 3 para. 4 of the Signature Directive are to be held as equivalent to determinations of conformity of a confirmation body.

(6) Entsprechen technische Komponenten und Verfahren den allgemein anerkannten Normen, die von der Europäischen Kommission nach Art. 3 Abs. 5 der Signaturrichtlinie festgelegt werden, so gelten die entsprechenden

(6) Compliance with the requirements laid down in this Federal Act and the orders issued on the basis thereof is presumed if the technical components and procedures meet the requirements under the generally recognized standards

24 von 33

Sicherheitsanforderungen nach diesem Bundesgesetz und den auf seiner Grundlage ergangenen Verordnungen als erfüllt.

established by the European Commission in accordance with Art. 3 para. 5 of the Signature Directive.

Bestätigungsstelle Confirmation body

§ 19. (1) Die nach diesem Bundesgesetz und den auf seiner Grundlage ergangenen Verordnungen einer Bestätigungsstelle zugewiesenen Aufgaben können nur von einer dazu geeigneten Einrichtung wahrgenommen werden.

§ 19. (1) The duties allocated to a confirmation body pursuant to the present Federal Act and the orders issued on the basis thereof may only be carried out in an institution suitable for the purpose.

(2) Eine Einrichtung ist zur Wahrnehmung der einer Bestätigungsstelle zugewiesenen Aufgaben geeignet, wenn sie

(2) An institution is suitable for carrying out the duties allocated to a confirmation body if it:

1. die erforderliche Zuverlässigkeit aufweist, 1. demonstrates the required reliability;

2. zuverlässiges Personal mit den für diese Aufgaben erforderlichen Fachkenntnissen, Erfahrungen und Qualifikationen, insbesondere mit Kenntnissen über elektronische Signaturen, angemessene Sicherheitsverfahren, Kryptographie, Kommunikations- und Chipkartentechnologien sowie die technische Begutachtung solcher Komponenten, beschäftigt,

2. employs reliable personnel with the expert knowledge, experience and qualifications, especially knowledge of electronic signatures, suitable security procedures, cryptography, communications and smart card technology and the technical evaluation of these components needed for these duties;

3. über ausreichende technische Einrichtungen und Mittel sowie eine ausreichende wirtschaftliche Leistungsfähigkeit verfügt und

3. has sufficient technical installations and resources and adequate solvency and

4. die erforderliche Unabhängigkeit, Unparteilichkeit und Unbefangenheit sicherstellt.

4. guarantees the necessary independence, neutrality and impartiality.

(3) Darüber hinaus sind für die Eignung einer Bestätigungsstelle die von der Europäischen Kommission nach Art. 3 Abs. 4 der Signaturrichtlinie festgelegten Mindestkriterien für die Benennung von Bestätigungsstellen maßgeblich. Der Bundeskanzler hat diese Kriterien im Einvernehmen mit dem Bundesminister für Justiz mit Verordnung kundzumachen.

(3) Furthermore, for the qualification of a confirmation body the minimum criteria defined by the European Commission according to Art. 3 para. 4 of the Signature Directive are relevant. The Federal Chancellor has to publish these criteria by order issued in agreement with the Federal Minister of Justice.

(4) Der Bundeskanzler hat im Einvernehmen mit dem Bundesminister für Justiz mit Verordnung festzustellen, daß eine Einrichtung als Bestätigungsstelle geeignet ist. Eine solche Verordnung kann nur auf Antrag der betreffenden Einrichtung erlassen werden. Die Eignung kann nur festgestellt werden, wenn die Einrichtung nach ihren Statuten oder Satzungen oder nach ihrem Gesellschaftsvertrag, nach ihrer Organisation und nach ihrem Sicherheits- und Finanzierungskonzept die in Abs. 2 genannten Anforderungen erfüllt.

(4) The Federal Chancellor shall stipulate that an institution is suitable as a confirmation body in an order issued in agreement with the Minister of Justice. The order in question shall only be issued at the request of the institution in question and it shall only be found suitable if it complies with the requirements in paragraph 2 regarding its statutes or memorandum and articles of association, organisation and security and financing concept.

(5) Eine Bestätigungsstelle kann zur Erfüllung der ihr nach diesem Bundesgesetz oder der auf seiner Grundlage ergangenen Verordnungen zugewiesenen Aufgaben von anderen Einrichtungen oder Stellen Prüfberichte zu technischen Komponenten und Verfahren einholen.

(5) A confirmation body may obtain test reports on technical components or procedures from other institutions or agencies to perform the tasks incumbent upon it according to the present Federal Act of the orders issued on the basis thereof.

25 von 33

(6) Die organisatorische Aufsicht über die Bestätigungsstelle obliegt der Aufsichtsstelle (§ 13).

(6) The organizational supervision of the confirmation body is the task of the supervisory body (§ 13).

6. Abschnitt Section 6

Rechte und Pflichten der Anwender Users’ rights and obligations

Allgemeine Informationspflichten der ZDA CSP general duty to provide information

§ 20. (1) Ein ZDA hat den Zertifikatswerber vor Vertragsabschluss schriftlich oder unter Verwendung eines dauerhaften Datenträgers allgemein verständlich über den Inhalt des Sicherheits- und des Zertifizierungskonzepts, über die möglichen Rechtswirkungen des von ihm verwendeten Signaturverfahrens, über die Pflichten eines Signators sowie über die besondere Haftung des ZDA zu unterrichten. Zudem hat er die Bedingungen der Verwendung des Zertifikats, wie etwa Einschränkungen seines Anwendungsbereichs oder des Transaktionswerts, bekanntzugeben; weiters ist auf eine freiwillige Akkreditierung (§ 17) sowie auf besondere Streitbeilegungsverfahren hinzuweisen.

§ 20. (1) CSP shall advise applicants for certificates generally comprehensibly of the content of the security- and certification policy, the possible legal effects of the signature procedure used by him, the duties of a signatory and on the special liability of a CSP in writing or using a permanent data carrier before a contract is concluded. When qualified certificates are issued, CSP shall also advise certificate holders of the conditions of use of the certificate such as restrictions on its scope or transaction value, and shall refer to voluntary accreditation (§ 17) or any special procedures for settling disputes.

(2) Auf Verlangen sind die in Abs. 1 genannten Angaben auch Dritten, die ein rechtliches Interesse daran glaubhaft machen, zugänglich zu machen.

(2) The information referred to in paragraph 1 shall also be made available on request to third parties who can prove a prima facie legal interest in the said information.

Pflichten des Signators Signatory’s duties

§ 21. Der Signator hat die Signaturerstellungsdaten sorgfältig zu verwahren, soweit zumutbar Zugriffe auf Signaturerstellungsdaten zu verhindern und deren Weitergabe zu unterlassen. Er hat den Widerruf des qualifizierten Zertifikats zu verlangen, wenn die Signaturerstellungsdaten abhanden kommen, wenn Anhaltspunkte für deren Kompromittierung bestehen oder wenn sich die im qualifizierten Zertifikat bescheinigten Umstände geändert haben.

§ 21. The signatory shall take good care of the signature-creation data, prevent unauthorised access to the signature-creation data as far as can reasonably be expected and refrain from passing on the signature-creation data. He shall ask for the qualified certificate to be revoked if the signature-creation data are mislaid, if there is reason to believe they have been compromised or if the facts certified in the qualified certificate have changed.

Datenschutz Data protection

§ 22. (1) Ein ZDA darf nur jene personenbezogenen Daten verwenden, die er zur Durchführung der erbrachten Dienste benötigt. Diese Daten dürfen nur unmittelbar beim Betroffenen selbst oder mit seiner ausdrücklichen Zustimmung bei einem Dritten erhoben werden.

§ 22. (1) CSP shall only use the personal data which are needed to perform the service provided. These data shall only be obtained directly from the person in question or, with his consent, from a third party.

(2) Bei Verwendung eines Pseudonyms hat der ZDA die Daten über die Identität des Signators zu übermitteln, sofern an der Feststellung der Identität ein überwiegendes berechtigtes Interesse im Sinne des § 8 Abs. 1 Z 4 und Abs. 3 DSG glaubhaft gemacht wird. Die Übermittlung ist zu dokumentieren.

(2) If a pseudonym is used, the CSP shall transmit data on the signatory’s identity insofar as there is prima facie evidence of an overriding legitimate interest in establishing his identity as defined in § 8 para. 1 no. 4 and para. 3 of the Data Protection Act. The transmission shall be recorded.

26 von 33

(3) Die Auskunfts- und Mitwirkungspflichten des ZDA gegenüber Gerichten und anderen Behörden bleiben unberührt.

(3) The CSP duty to provide information and assist the courts and other authorities shall remain unaffected.

Haftung der ZDA Liability of CSP

§ 23. (1) Ein ZDA, der ein Zertifikat als qualifiziertes Zertifikat ausstellt oder für ein solches Zertifikat nach § 24 Abs. 2 Z 2 einsteht, haftet gegenüber jeder Person, die auf das Zertifikat vertraut, dafür, daß

§ 23. (1) CSP which issue qualified certificates or which guarantee such certificates according to § 24 para. 2 no. 2 shall be liable vis-à-vis persons who rely on the certificate for ensuring that:

1. alle Angaben im qualifizierten Zertifikat im Zeitpunkt seiner Ausstellung richtig sind und das Zertifikat alle für ein qualifiziertes Zertifikat vorgeschriebenen Angaben enthält,

1. all the information on the qualified certificate was accurate at the time of issue and that the certificate contains all information required for a qualified certificate,

2. der im qualifizierten Zertifikat angegebene Signator im Zeitpunkt der Ausstellung des Zertifikats im Besitz jener Signaturerstellungsdaten ist, die den im Zertifikat angegebenen Signaturprüfdaten entsprechen,

2. the signatory referred to on the qualified certificate was in possession of the signature-creation data which correspond to the signature-verification data given on the certificate when the certificate was issued,

3. die Signaturerstellungsdaten und die ihnen zugeordneten Signaturprüfdaten einander bei Verwendung der von ihm bereitgestellten oder als geeignet bezeichneten Produkte und Verfahren in komplementärer Weise entsprechen,

3. the signature-creation data and the signature-verification data allocated to them correspond when the products and procedures supplied or recommended as suitable by the CSP are used in tandem,

4. das Zertifikat bei Vorliegen der Voraussetzungen unverzüglich widerrufen wird und die Widerrufsdienste verfügbar sind sowie

4. the certificate will be revoked immediately if there is cause to do so and that revocation services are available and

5. die Anforderungen des § 7 erfüllt und für die Erzeugung und Speicherung von Signaturerstellungsdaten sowie für die Erstellung und Speicherung von qualifizierten Zertifikaten technische Komponenten und Verfahren nach § 18 verwendet werden.

5. the requirements of § 7 have been complied with and technical components and procedures in accordance with § 18 have been used to generate and store the signature-creation data and to create and store qualified certificates.

(2) Ein ZDA haftet zudem dafür, daß für die von ihm bereitgestellten oder als geeignet bezeichneten Produkte, Verfahren und sonstigen Mittel für die Erstellung elektronischer Signaturen sowie für die Darstellung zu signierender Daten nur technische Komponenten und Verfahren nach § 18 verwendet werden.

(2) CSP shall also be liable for ensuring that the products, procedures and other devices which they supply or recommend as suitable to creating electronic signatures and to displaying the data to be signed only use technical components and procedures according to § 18.

(3) Der ZDA haftet nicht, wenn er nachweist, daß ihn und seine Leute an der Verletzung der Verpflichtungen nach den Abs. 1 und 2 kein Verschulden trifft. Kann der Geschädigte als wahrscheinlich dartun, daß die Verpflichtungen nach den Abs. 1 und 2 verletzt oder die zur Einhaltung der Sicherheitsanforderungen dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen getroffenen Vorkehrungen kompromittiert wurden, so wird vermutet, daß der Schaden dadurch verursacht wurde. Diese Vermutung ist widerlegt, wenn der ZDA als wahrscheinlich dartut, daß der Schaden nicht durch eine Verletzung bzw. Kompromittierung der im zweiten Satz genannten Verpflichtungen und

(3) CSP shall not be liable if they can prove that neither they nor their employees were to blame for the infringement of the obligations according to paragraphs 1 and 2. If the injured party can demonstrate that there is a probability that the obligations according to paragraph 1 and 2 were violated or the precautions taken to comply with the security requirements of the present Federal Act or the orders issued on the basis thereof were compromised, then it will be assumed that this was the cause of the damage. This assumption is refuted if the CSP can demonstrate that there is a probability that the damage was not caused by violation or compromise of the obligations and precautions referred to in the

27 von 33

Vorkehrungen verursacht wurde. second paragraph.

(4) Enthält ein qualifiziertes Zertifikat eine Einschränkung des Anwendungsbereichs, so haftet der ZDA nicht für Schäden, die sich aus einer anderen Verwendung des Zertifikats ergeben. Enthält ein qualifiziertes Zertifikat einen bestimmten Transaktionswert, bis zu dem das Zertifikat verwendet werden darf, so haftet der ZDA nicht für Schäden, die sich aus der Überschreitung dieses Transaktionswerts ergeben.

(4) If the scope of a qualified certificate is restricted, the CSP shall not be held liable for damage caused by failure to comply with this restriction during use of the certificate. If the qualified certificate contains a specific transaction value capping the use of the certificate, the certification service provider shall not be held liable for damage caused by exceeding this transaction value.

(5) Die Haftung eines ZDA nach Abs. 1 bis 3 kann im vorhinein weder ausgeschlossen noch beschränkt werden.

(5) The CSP liability according to paragraphs 1 to 3 may not be excluded or limited in advance.

(6) Bestimmungen des Allgemeinen Bürgerlichen Gesetzbuchs und anderer Rechtsvorschriften, nach denen Schäden in anderem Umfang oder von anderen Personen als nach diesem Bundesgesetz zu ersetzen sind, bleiben unberührt.

(6) The provisions of the Austrian Civil Code and other legislation which stipulate that damage is to be compensated to a different degree or by other persons shall remain unaffected

7. Abschnitt Section 7

Anerkennung ausländischer Zertifikate Recognition of foreign certificates

Anerkennung Recognition

§ 24. (1) Zertifikate, die von einem in der Europäischen Gemeinschaft oder im Europäischen Wirtschaftsraum niedergelassenen ZDA ausgestellt wurden und deren Gültigkeit vom Inland aus überprüft werden kann, sind inländischen Zertifikaten gleichgestellt. Qualifizierte Zertifikate solcher ZDA entfalten dieselben Rechtswirkungen wie inländische qualifizierte Zertifikate.

§ 24. (1) Certificates issued by CSP established in the European Community or in the European Economic Area, the validity of which can be verified from Austria, shall be tantamount to Austrian certificates. Qualified certificates issued by the said certification service providers shall have the same legal effects as qualified Austrian certificates.

(2) Zertifikate, die von einem in einem Drittstaat niedergelassenen ZDA ausgestellt wurden und deren Gültigkeit vom Inland aus überprüft werden kann, werden im Inland anerkannt. Qualifizierte Zertifikate werden inländischen qualifizierten Zertifikaten rechtlich gleichgestellt, wenn

(2) Certificates issued by CSP established in third countries, the validity of which can be verified from Austria, shall be recognised in Austria. Qualified certificates shall be tantamount for legal purposes to qualified Austrian certificates if:

1. der ZDA die Anforderungen nach § 7 erfüllt und unter einem freiwilligen Akkreditierungssystem eines Mitgliedstaates der Europäischen Union oder des Europäischen Wirtschaftraums akkreditiert ist,

1. the CSP complies with the requirements of § 7 and is accredited under a voluntary accreditation system in a Member State of the European Union or the European Economic Area;

2. ein in der Europäischen Gemeinschaft oder im Europäischen Wirtschaftraum niedergelassener ZDA, der die Anforderungen nach § 7 erfüllt, für das Zertifikat haftungsrechtlich einsteht oder

2. a CSP established in the European Community or in the European Economic Area which complies with the requirements of § 7 guarantees the certificate under liability law or

3. im Rahmen einer bilateralen oder multilateralen Vereinbarung zwischen der Europäischen Gemeinschaft einerseits und Drittstaaten oder internationalen Organisationen andererseits das Zertifikat als qualifiziertes

3. the certificate is recognised as a qualified certificate or the CSP is recognised as an issuer of qualified certificates under a bilateral or multilateral agreement between the European Community on the one hand

28 von 33

Zertifikat oder der ZDA als Aussteller qualifizierter Zertifikate anerkannt ist.

and third countries or international organisations on the other hand.

(3) Ist in einem Drittstaat zum Nachweis der Sicherheitsanforderungen für qualifizierte elektronische Signaturen eine staatlich anerkannte Stelle eingerichtet, so werden Bescheinigungen dieser Stelle über die Einhaltung der Sicherheitsanforderungen für die Erzeugung qualifizierter elektronischer Signaturen den Bescheinigungen einer Bestätigungsstelle (§ 19) gleichgehalten, soweit die Aufsichtsstelle feststellt, daß die den Beurteilungen dieser Stellen zugrunde liegenden technischen Anforderungen, Prüfungen und Prüfverfahren jenen der Bestätigungsstelle gleichwertig sind.

(3) If a government-recognised body has been set up in a third country for the purposes of proving security requirements for qualified electronic signatures, certification by the said body of compliance with the security requirements governing the generation of qualified electronic signatures shall be tantamount to the certificates issued by a confirmation body (§ 19) insofar as the supervisory body establishes that the technical requirements, audits and test procedures on which the said body bases its assessments are equivalent to those of confirmation bodies.

5. Abschnitt

Verwaltungsstrafbestimmungen

§ 16. (1) Eine Verwaltungsübertretung begeht und ist mit Geldstrafe bis zu 5 000 Euro zu bestrafen, wer fremde Signatur- oder Siegelerstellungsdaten ohne Wissen und Willen des Signators oder des Siegelerstellers missbräuchlich verwendet.

(2) Ein VDA begeht eine Verwaltungsübertretung und ist mit Geldstrafe bis zu 10 000 Euro zu bestrafen, wenn er

1. seine Pflichten nach Art. 24 Abs. 3 eIDAS-VO oder § 6 verletzt,

2. entgegen Art. 24 Abs. 2 lit. d eIDAS-VO Personen, die einen qualifizierten Vertrauensdienst nutzen wollen, nicht unterrichtet oder

3. entgegen § 15 Abs. 1 nicht Einsicht in die dort genannten Bücher, sonstige Aufzeichnungen oder Unterlagen gewährt oder nicht die notwendigen Auskünfte erteilt.

(3) Ein VDA begeht eine Verwaltungsübertretung und ist mit Geldstrafe bis zu 20 000 Euro zu bestrafen, wenn er

1. vorgibt qualifizierte Vertrauensdienste zu erbringen, ohne dazu berechtigt zu sein (Art. 30 Z 20 eIDAS-VO),

2. entgegen Art. 19 Abs. 1 eIDAS-VO keine geeigneten technischen und organisatorischen Maßnahmen zur Beherrschung der Sicherheitsrisiken im Zusammenhang mit den von ihm erbrachten Vertrauensdiensten ergreift,

3. entgegen Art. 24 Abs. 2 lit. h eIDAS-VO iVm §§ 9 und 10 seine

29 von 33

Dokumentationspflicht verletzt oder

4. gegen die Vorgaben des Art. 24 Abs. 1 eIDAS-VO iVm § 8, Art. 24 Abs. 2 lit. a, b, c, e, f, g, i, und k oder Abs. 4 eIDAS-VO verstößt.

(4) Ein VDA begeht eine Verwaltungsübertretung und ist mit Geldstrafe bis zu 10 000 Euro oder, sofern es sich um einen qualifizierten VDA handelt, mit Geldstrafe bis zu 37 000 Euro zu bestrafen, wenn er entgegen Art. 19 Abs. 2 eIDAS-VO nicht unverzüglich der Aufsichtsstelle alle Sicherheitsverletzungen oder Integritätsverluste, die sich erheblich auf den erbrachten Vertrauensdienst oder die darin vorhandenen personenbezogenen Daten auswirken, meldet.

(5) Eine Verwaltungsübertretung gemäß den Absätzen 1 bis 4 liegt nicht vor, wenn die Tat nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist.

(6) In einem Verwaltungsstrafverfahren, in dem Strafen gemäß Abs. 1 bis 4 zu verhängen sind, hat die Aufsichtsstelle Parteistellung. Sie ist berechtigt, die Einhaltung von Rechtsvorschriften, die dem Schutz der Einhaltung der von ihr wahrzunehmenden öffentlichen Interessen dienen, geltend zu machen.

(7) Im Straferkenntnis können die Gegenstände, mit denen die strafbare Handlung begangen wurde, für verfallen erklärt werden.

6. 8. Abschnitt Section 8

Schlussbestimmungen Final provisions

Verordnung über Elektronische Signaturen und Vertrauensdienste für elektronische TransaktionenSignaturverordnung

Signature order

§ 25. § 17. (1) Der Bundeskanzler hat mit Verordnung im Einvernehmen mit dem Bundesminister für Justiz die nach dem jeweiligen Stand der Wissenschaft und Technik zur Durchführung dieses Bundesgesetzes erforderlichen Rechtsvorschriften zu erlassen über

§ 25. The Federal Chancellor shall issue the orders needed to implement the present Federal Act according to state-of-the-art science and technology and in agreement with the Minister of Justice. These orders shall stipulate:

1. die Festsetzung pauschaler kostendeckender Gebühren für die Leistungen der Aufsichtsstelle und der RTR-GmbH sowie die Vorschreibung dieser Gebühren, und

1. the flat-rate, cost-covering fees for the Services of the supervisory body and RTR GmbH and how the said fees are to be levied;

2. die Festsetzung der zur Erfüllung der Anforderungen dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen ausreichenden Finanzmittel sowie der für die Abdeckung des Haftungsrisikos der ZDA ausreichenden Finanzmittel, insbesondere die

2. the level of financial resources needed in order to meet the requirements of the present Federal Act and the orders issued on the basis thereof and cover the certification service providers’ liability risk and shall set a minimum sum insured for liability insurance;

30 von 33

Festsetzung einer Mindestversicherungssumme für eine Haftpflichtversicherung,

3. 2. die Zuverlässigkeit eines des qualifizierten ZVDA und seines Personals (§§ 7 Abs. 1),.

3. the reliability of the CSP and its staff (§ 7 para. l);

(2) Der Bundeskanzler hat im Einvernehmen mit dem Bundesminister für Justiz mit Verordnung die nach dem jeweiligen Stand der Wissenschaft und Technik zur Durchführung dieses Bundesgesetzes erforderlichen Rechtsvorschriften zu erlassen über

1. nähere Anforderungen an qualifizierte Zertifikate und den Antrag auf deren Ausstellung und

4. die näheren Anforderungen an die technischen Komponenten und Verfahren sowie die technischen Produkte und sonstigen Mittel zur Anwendung der §§ 7 Abs. 2, 10 und 18, die Durchführung der Prüfung der technischen Komponenten und Verfahren nach § 18 sowie die Ausstellung der Bestätigung, daß diese Anforderungen erfüllt sind,

4. the requirements for technical components and procedures and the technical products and other resources needed in order to apply §§ 7 para. 2, 10 and 18, the method of auditing the technical components and procedures in accordance with § 18 and the method of issuing confirmation of compliance with these requirements;

2. nähere Anforderungen an die Zertifikatsdatenbank und 5. die Dauer derderen Weiterführung der Widerrufsdienste durch die Aufsichtsstelle (§ 12 und § 14 Abs. 5),.

5. the time during which revocation services must continue to be maintained by the supervisory body (§ 12 and § 14 para. 5);

6. die Anwendungsbereiche, Anforderungen und Toleranzen von qualifizierten Zeitstempeldiensten,

6. the scope and requirements of and tolerances for qualified time stamps;

8. die Form, Darstellung und Verfügbarkeit des Zertifizierungskonzepts (zB Klartext),

8. the form, presentation and availability of the certification policy (e.g. plaintext);

9. die Dauer der Aufbewahrung einer Dokumentation (§ 11) und 9. the length of time records must be kept (§ 11) and

10. die Art und Form der Kennzeichnung akkreditierter ZDA. 10. the format for the description of accredited CSP.

Verwaltungsstrafbestimmungen Administrative sanctions

§ 26. (1) Eine Verwaltungsübertretung begeht und ist mit Geldstrafe bis zu 4 000 Euro zu bestrafen, wer fremde Signaturerstellungsdaten ohne Wissen und Willen des Signators mißbräuchlich verwendet.

§ 26. (1) Any person who misuses another person’s signature-creation data without the signatory’s knowledge and consent is guilty of an administrative violation punishable by a fine of up to 4,000 Euro.

(2) Ein ZDA begeht eine Verwaltungsübertretung und ist mit Geldstrafe bis zu 8 000 Euro zu bestrafen, wenn er

(2) A CSP is guilty of an administrative violation punishable by a fine of up to 8,000 Euro if it:

1. entgegen § 9 Abs. 1 seine Widerrufspflicht verletzt, 1. contrary to § 9 para. 1 violates its duty of revocation,

2. entgegen § 11 seine Dokumentationspflicht verletzt, 2. contrary to § 11 violates its duty to keep records in contravention;

3. entgegen § 16 Abs. 1 nicht Einsicht in die dort genannten Bücher, sonstige Aufzeichnungen oder Unterlagen gewährt oder nicht die notwendigen Auskünfte erteilt oder

3. contrary to § 16 para. 1 refuses to allow access in books, records and documentation or fails to provide the necessary information in contravention or

31 von 33

4. entgegen § 20 Abs. 1 den Zertifikatswerber nicht unterrichtet. 4. contrary to § 20 para. 1 fails to advise the certificate holder.

(3) Ein ZDA begeht eine Verwaltungsübertretung und ist mit Geldstrafe bis zu 16 000 Euro zu bestrafen, wenn er

(3) A CSP is guilty of an administrative violation punishable by a fine of up to 16.000 Euro if it:

1. entgegen § 6 Abs. 2 die Aufnahme seiner Tätigkeit nicht anzeigt oder das Sicherheitskonzept oder das Zertifizierungskonzept nicht vorlegt,

1. contrary to § 6 para. 2 fails to notify assumption of activities or to submit a safety or certification policy in contravention of ;

2. entgegen § 6 Abs. 5 nicht alle Umstände, die eine ordnungsgemäße und dem Sicherheits- sowie dem Zertifizierungskonzept entsprechende Tätigkeit nicht mehr ermöglichen, der Aufsichtsstelle anzeigt,

2. fails to notify the supervisory body of any facts which no longer allow proper activities in accordance with the security- and certification concept in contravention of § 6 para. 5;

3. entgegen § 7 Abs. 1 Z 2 keinen geeigneten Widerrufsdienst oder keinen geeigneten Verzeichnisdienst führt,

3. fails to maintain a suitable revocation service or suitable directories in contravention of § 7 para. 1 no. 2;

4. entgegen § 7 Abs. 1 Z 8 keine geeigneten Vorkehrungen dafür trifft, daß die Signaturerstellungsdaten der Signatoren weder vom ZDA noch von Dritten gespeichert oder kopiert werden können,

4. fails to take suitable precautions to ensure that the signatory’s signature-creation data cannot be stored or copied either by the CSP or by third parties in contravention of § 7 para. 1 no. 8,

5. entgegen § 18 keine geeigneten technischen Komponenten und Verfahren für qualifizierte elektronische Signaturen verwendet, bereitstellt oder bezeichnet oder

5. fails to use, supply or recommend suitable technical components and procedures for qualified electronic signatures in contravention of § 18 or

6. trotz Untersagung durch die Aufsichtsstelle (§ 14 Abs. 3) die ihm untersagte Tätigkeit weiterhin ausübt.

6. continues to exercise its activities despite being prohibited from doing so by the supervisory body (§ 14 para. 3).

(4) Eine Verwaltungsübertretung gemäß den Abs. 1 bis 3 liegt nicht vor, wenn die Tat den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist.

(4) There is no administrative violation according to para. 1 to 3 if the act in question constitutes an offence which can be prosecuted in the courts or attracts more serious sanctions under other administrative regulations.

(5) Im Straferkenntnis können die Gegenstände, mit denen die strafbare Handlung begangen wurde, für verfallen erklärt werden.

(5) If the criminal offence is recognised, the items used to commit it may be declared forfeit.

Inkrafttreten und Verweisungen Entry into force and references

§ 27. (1) Dieses Bundesgesetz tritt mit 1. Jänner 2000 in Kraft. § 27. (1) The present Federal Act shall enter into force on lst January 2000.

(2) Soweit in diesem Bundesgesetz auf Bestimmungen anderer Bundesgesetze verwiesen wird, sind diese in ihrer jeweils geltenden Fassung anzuwenden.

(2) References herein to the provisions of other Federal Acts shall be understood as references to the currently valid version thereof.

(3) § 13 in der Fassung des Bundesgesetzes BGBl. I Nr. 137/2000 tritt mit 1. Oktober 2000 in Kraft.

(3) § 13, as amended by Federal Act Federal Law Gazette I no. 137/2000 enter into force on October 1st, 2000.

(4) Die §§ 5, 7, 15, 18, 19, 23, 24, 26, 27 und 29 in der Fassung des Bundesgesetzes BGBl. I Nr. 137/2000 treten mit dem auf die Kundmachung dieses Bundesgesetzes folgenden Tag in Kraft.

(4) §§ 5, 7, 15, 18, 19, 23, 24, 26, 27 and 29 as amended by Federal Act Federal Law Gazette I no. 137/2000 enter into force on the day following the publication of this Federal Act.

32 von 33

(5) Die Bestimmungen der § 13 Abs. 4, § 15 Abs. 1 bis 5, § 25 Z 1 und § 27 Abs. 5 in der Fassung des Bundesgesetzes BGBl. I Nr. 32/2001 treten mit 1. April 2001 in Kraft.

(5) The provisions of § 13 para. 4, § 15 para. 1 to 5, § 25 no. 1 and § 27 para. 5, as amended by Federal Act Federal Law Gazette I no. 32/2001 enter into force on April 1st, 2001.

(6) § 4 in der Fassung des Bundesgesetzes BGBl. I Nr. 152/2001 tritt mit 1. Jänner 2002 in Kraft.

(6) § 4 as amended by Federal Act Federal Law Gazette I no. 152/2001 enters into force on January 1st, 2002.

(7) § 4 Abs. 2 in der Fassung des Bundesgesetzes BGBl. I Nr. 164/2005 tritt mit 1. Jänner 2007 in Kraft.

(7) § 4 para. 2 as amended by Federal Act Federal Law Gazette I no. 164/2005 enters into force on January 1st, 2007.

(8) § 1 Abs. 3, § 2 Z 1 bis 3a, 5, 9, 10, 12, 13 und 14, § 3 Abs. 2, § 4 Abs. 1 bis 3, § 5 Abs. 1 Z 2 und Abs. 3, die Abschnittsüberschrift und Paragrafenüberschrift vor § 6, § 6 Abs. 1 bis 5 und 7, die Paragrafenüberschrift vor § 7, § 7 Abs. 1 und Abs. 1 Z 2 bis 4 sowie 8 und Abs. 2 bis 6, § 8 Abs. 1, 3 und 4, § 9 Abs. 1, Abs. 1 Z 2 und 4, Abs. 2 bis 5, Abs. 5 Z 1 und 2 und Abs. 6, § 10 samt Überschrift, § 11 Abs. 1 bis 3, § 12, § 13 Abs. 1, 3 und 4, § 14 Abs. 1, 3, 5 und 6, § 15 Abs. 1 und Abs. 2 Z 1, 3, 4 und 7, Abs. 3 und 4, § 16 Abs. 1, § 17 Abs. 1 bis 3, die Paragrafenüberschrift vor § 18, § 18 Abs. 1, 2, und 5, § 19 Abs. 6, die Paragrafenüberschrift vor § 20, § 20 Abs. 1, § 21, § 22 Abs. 2 und 3 (Anm.: richtig: § 22 Abs. 1 bis 3), die Paragrafenüberschrift vor § 23, § 23 Abs. 1 bis 5, § 24 Abs. 1 bis 3 und Abs. 2 Z 1 bis 3, § 25 Z 2, 3, 6 und 10, § 26 Abs. 2 und 3 und Abs. 3 Z 4 bis 6 und § 28 Z 2 in der Fassung des Bundesgesetzes BGBl. I Nr. 8/2008 treten am 1. Jänner 2008 in Kraft; gleichzeitig treten § 6 Abs. 6, § 8 Abs. 2, § 13 Abs. 2, § 14 Abs. 2 und 4, § 15 Abs. 2 Z 2, § 18 Abs. 4, § 20 Abs. 3, und § 25 Z 7 außer Kraft.

(8) § 1 para. 3, § 2 sub-para. 1 to 3a, 5, 9, 10, 12, 13 and 14, § 3 para. 2, § 4 para. 1 to 3, § 5 para. 1 sub-para. 2 and para. 3, the caption of the section and caption preceding of § 6, § 6 para. 1 to 5 and 7, the caption preceding § 7, § 7 para. 1 and para. 1 sub-paras. 2 to 4 as well as 8 and paras. 2 to 6, § 8 paras. 1, 3 and 4, § 9 para. 1, para. 1 sub-para. 2 and 4, paras. 2 to 5, para. 5 sub-paras. 1 and 2 and para. 6, § 10 together with caption, § 11 paras. 1 to 3, § 12, § 13 para. 1, 3 and 4, § 14 paras. 1, 3, 5 and 6, § 15 para. 1 and para. 2 sub-paras. 1, 3, 4 and 7, paras. 3 and 4, § 16 para. 1, § 17 paras. 1 to 3, the caption preceding § 18, § 18 para. 1, 2, and 5, § 19 para. 6, the caption preceding § 20, § 20 para. 1, § 21, § 22 paras. 2 and 3 (Note: correct: § 22 para. 1 to 3), the caption preceding § 23, § 23 paras. 1 to 5, § 24 paras. 1 to 3 and para. 2 sub-paras. 1 to 3, § 25 sub-paras. 2, 3, 6 and 10, § 26 paras. 2 and 3 and para. 3 sub-paras. 4 to 6 and § 28 sub-para. 2 as amended by Federal Act Federal Law Gazette I no. 8/2008 enter into force on January 1st, 2008; simultaneously § 6 para. 6, § 8 para. 2, § 13 para. 2, § 14 paras. 2 and 4, § 15 para. 2 sub-para. 2, § 18 para. 4, § 20 para. 3 and § 25 sub-para. 7 cease to be effective.

VollzugVollziehung Implementation

§ 28.§ 18. Mit der Vollziehung dieses Bundesgesetzes sind betraut: § 28. The following shall be responsible for the implementation of the present Federal Act:

1. hinsichtlich der §§ 3, 4 und 2311 der Bundesminister für Justiz, 1. with regard to §§ 3,4 and 23: the Minister of Justice;

2. hinsichtlich der §§ 1312 bis 1715 der Bundesminister für Verkehr, Innovation und Technologie,

2. with regard to §§ 13 to 17: the Minister of Transport, Innovation and Technology;

3. hinsichtlich der §§ 2210 Abs. 2 und 2616 der Bundeskanzler, 3. with regard to §§ 22 and 26: the Federal Chancellor;

4. hinsichtlich des § 12 Abs. 2 der §§ 7 Abs. 1 Z 6 und 13 Abs. 4 der Bundeskanzler im Einvernehmen mit dem Bundesminister für Justiz und dem Bundesminister für Finanzen und

4. with regard to §§ 7 para. 1 no. 6 and 13 para. 4: the Federal Chancellor in agreement with the Minister of Justice and the Minister of Finance and

5. hinsichtlich der übrigen Bestimmungen der Bundeskanzler im Einvernehmen mit dem Bundesminister für Justiz.

5. with regard to the remaining provisions: the Federal Chancellor in agreement with the Minister of Justice.

33 von 33

Hinweis auf Umsetzung Information for implementation

§ 29. Mit diesem Bundesgesetz wird die Richtlinie 99/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen, ABl. L Nr. 13 vom 19. Jänner 2000, S 12, umgesetzt.

§ 29. By this Federal Act the Directive 99/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures, Official Journal L 13, 19.11.2000, p. 12, is implemented.

Übergangsregelung

§ 19. (1) Qualifizierte Zertifikate, die gemäß dem Signaturgesetz, BGBl. I Nr. 190/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 75/2010, für natürliche Personen ausgestellt worden sind, gelten als qualifizierte Zertifikate iSd Art. 51 Abs. 2 eIDAS-VO.

(2) Nichtqualifizierte Zertifikate im Sinne des Signaturgesetzes, BGBl. I Nr. 190/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 75/2010, gelten bis zu ihrem Ablauf als nichtqualifizierte Zertifikate für elektronische Signaturen gemäß Art. 3 Z 14 eIDAS-VO, sofern es sich bei dem Zertifikatsinhaber um eine natürliche Person handelt oder als nichtqualifizierte Zertifikate für elektronische Siegel gemäß Art. 3 Z 29 eIDAS-VO, sofern es sich beim Zertifikatsinhaber um eine juristische Person handelt.

Inkrafttreten

§ 20. Dieses Bundesgesetz tritt mit Ausnahme des 5. Abschnitts mit 1. Juli 2016 in Kraft. Der 5. Abschnitt tritt mit dem der Kundmachung folgenden Tag in Kraft. Das Signaturgesetz, BGBl. I Nr. 190/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 75/2010, tritt mit Ablauf des 30. Juni 2016 außer Kraft.

Artikel 225

Notifikationshinweis gemäß Artikel 12 der Richtlinie 98/34/EG

(Anm.: aus BGBl. I Nr. 75/2010, zu § 12, BGBl. I Nr. 190/1999)

Dieses Gesetz wurde unter Einhaltung der Bestimmungen der Richtlinie 98/34/EG(EU) 2015/1535 über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft, (kodifizierter Text), ABl. Nr. L 2041 vom 21.07.199817.09.2015 S. 37, zuletzt geändert durch die Richtlinie 2006/96/EG, ABl. Nr. L 363 vom 20.12.2006 S. 81, der Kommission1, notifiziert (Notifikationsnummer 2010/112: 2016/142/A).