LegalizeBundesgesetz über elektronische Signaturen und Vertrauensdienste für elektronische Transaktionen (Signatur- und Vertrauensdienstegesetz – SVG)
Abkürzung
SVG
Präambel/Promulgationsklausel
Abschnitt
Allgemeine Bestimmungen
Gegenstand des Gesetzes
§ 1. Dieses Bundesgesetz führt die Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, ABl. Nr. L 257 vom 28.08.2014 S. 73, in der Fassung der Berichtigung ABl. Nr. L 257 vom 29.01.2015 S. 19, mit Ausnahme ihres Kapitels II durch. Vertrauensdienste im Sinne dieses Bundesgesetzes sind elektronische Dienste, die in der Regel gegen Entgelt erbracht werden und aus Elementen des Art. 3 Z 16 dieser Verordnung bestehen, das sind insbesondere elektronische Signaturen, elektronische Siegel, elektronische Zeitstempel, die Zustellung elektronischer Einschreiben, die Website-Authentifizierung sowie deren Zertifikate, soweit diese Dienste in den Anwendungsbereich dieser Verordnung fallen.
Personenbezogene Bezeichnungen
§ 2. Alle in diesem Bundesgesetz verwendeten personenbezogenen Bezeichnungen gelten gleichermaßen für Personen sowohl des weiblichen als auch männlichen Geschlechts.
Begriffsbestimmungen
§ 3. (1) Im Sinn dieses Bundesgesetzes bedeutet:
„eIDAS-VO“: Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, ABl. Nr. L 257 vom 28.08.2014 S. 73, in der Fassung der Berichtigung ABl. Nr. L 23 vom 29.01.2015 S. 19;
„VDA“: ein Vertrauensdiensteanbieter gemäß Art. 3 Z 19 eIDAS-VO;
„Signator“: ein Unterzeichner gemäß Art. 3 Z 9 eIDAS-VO;
„Bestätigungsstelle“: eine gemäß Art. 30 Abs. 2 eIDAS-VO vom Mitgliedstaat der EU Kommission zu benennende Stelle für die Zertifizierung der Konformität qualifizierter elektronischer Signatur- und Siegelerstellungseinheiten mit den Anforderungen des Anhangs II der eIDAS VO.
(2) Die Begriffsbestimmungen des Art. 3 eIDAS-VO gelten auch für dieses Bundesgesetz.
Abschnitt
Elektronische Signaturen und elektronische Siegel
Rechtswirkungen
§ 4. (1) Eine qualifizierte elektronische Signatur erfüllt das rechtliche Erfordernis der Schriftlichkeit im Sinne des § 886 ABGB. Andere gesetzliche Formerfordernisse, insbesondere solche, die die Beiziehung eines Notars oder eines Rechtsanwalts vorsehen, sowie vertragliche Vereinbarungen über die Form bleiben unberührt.
(2) Letztwillige Verfügungen können in elektronischer Form nicht wirksam errichtet werden. Folgende Willenserklärungen können nur dann in elektronischer Form wirksam abgefasst werden, wenn das Dokument über die Erklärung die Bestätigung eines Notars oder eines Rechtsanwalts enthält, dass er den Signator über die Rechtsfolgen seiner Signatur aufgeklärt hat:
Willenserklärungen des Familien- und Erbrechts, die an die Schriftform oder ein strengeres Formerfordernis gebunden sind;
eine Bürgschaftserklärung (§ 1346 Abs. 2 ABGB), die von Personen außerhalb ihrer gewerblichen, geschäftlichen oder beruflichen Tätigkeit abgegeben wird.
(3) Bei Rechtsgeschäften zwischen Unternehmern und Verbrauchern sind Vertragsbestimmungen, nach denen eine qualifizierte elektronische Signatur nicht das rechtliche Erfordernis der Schriftlichkeit erfüllt, für Anzeigen oder Erklärungen, die vom Verbraucher dem Unternehmer oder einem Dritten abgegeben werden, nicht verbindlich, es sei denn, der Unternehmer beweist, dass die Vertragsbestimmungen im Einzelnen ausgehandelt worden sind oder mit dem Verbraucher eine andere vergleichbar einfach verwendbare Art der elektronischen Authentifizierung vereinbart wurde.
Pflichten von Signatoren und Siegelerstellern
§ 5. Signatoren und Siegelersteller oder von ihnen dazu beauftragte qualifizierte VDA haben bei qualifizierten Signaturen ihre elektronischen Signaturerstellungsdaten oder bei qualifizierten Siegeln ihre elektronischen Siegelerstellungsdaten sorgfältig zu verwahren, soweit zumutbar Zugriffe von Dritten auf ihre elektronischen Signaturerstellungsdaten oder elektronischen Siegelerstellungsdaten zu verhindern und deren Weitergabe an Dritte zu unterlassen. Die Weitergabe von elektronischen Siegelerstellungsdaten an autorisierte Personen ist zulässig. Signatoren oder Siegelersteller haben den Widerruf des qualifizierten Zertifikats zu verlangen, wenn die elektronischen Signaturerstellungsdaten oder die elektronischen Siegelerstellungsdaten abhandenkommen, wenn Anhaltspunkte für deren Kompromittierung bestehen oder wenn sich die im qualifizierten Zertifikat bescheinigten Umstände geändert haben.
Aussetzung
§ 6. (1) Sofern ein qualifizierter VDA ein qualifiziertes Zertifikat für eine elektronische Signatur oder ein elektronisches Siegel nicht widerruft, hat er dieses vorläufig auszusetzen, wenn
der Signator, der Siegelersteller oder ein sonstiger dazu Berechtigter dies verlangt,
die Aufsichtsstelle (§ 12) die Aussetzung des Zertifikats anordnet,
der qualifizierte VDA Kenntnis vom Ableben des Signators, der Beendigung des Bestehens des Siegelerstellers oder sonst von der Änderung im Zertifikat bescheinigter Umstände erlangt,
das Zertifikat auf Grund unrichtiger Angaben erwirkt wurde oder
die Gefahr einer missbräuchlichen Verwendung des Zertifikats besteht.
(2) Ein qualifizierter VDA hat bei Vorliegen der in Abs. 1 genannten Umstände die Aussetzung zeitnah und in jedem Fall innerhalb von 24 Stunden nach Erhalt des Ersuchens vorzunehmen.
(3) Ist ein qualifiziertes Zertifikat für elektronische Signaturen oder elektronische Siegel vorläufig ausgesetzt worden, so verliert dieses Zertifikat, solange der Status der Aussetzung gemäß Abs. 4 veröffentlicht ist, seine Gültigkeit. Dieser Zeitraum darf zwei Wochen nicht überschreiten.
(4) Ein qualifizierter VDA hat die Dauer der Aussetzung in seiner Zertifikatsdatenbank gemäß Art. 24 Abs. 2 lit. k eIDAS-VO zu registrieren und den Status der Aussetzung während der Dauer der Aussetzung elektronisch jederzeit allgemein zugänglich zu veröffentlichen.
Abkürzung
SVG
Bestätigungsstelle
§ 7. (1) Die Konformität qualifizierter elektronischer Signatur- und Siegelerstellungseinheiten mit den Anforderungen des Anhangs II der eIDAS-VO wird durch eine Bestätigungsstelle oder eine in einem anderen Mitgliedstaat der Europäischen Union gemäß Art. 30 Abs. 1 eIDASVO benannte Stelle zertifiziert. Sofern eine Zertifizierung gemäß Art. 30 Abs. 3 lit. b eIDAS-VO vorgenommen wird, ist die Gleichwertigkeit des Sicherheitsniveaus von der Bestätigungsstelle oder benannten Stelle nach dem Stand der Technik zu beurteilen. Eine Einrichtung ist zur Wahrnehmung der einer Bestätigungsstelle zugewiesenen Aufgaben geeignet, wenn sie
die erforderliche Zuverlässigkeit aufweist,
zuverlässiges Personal mit den für diese Aufgaben erforderlichen Fachkenntnissen, Erfahrungen und Qualifikationen, insbesondere mit Kenntnissen über elektronische Signaturen, angemessene Sicherheitsverfahren, Kryptographie, Kommunikations- und Chipkartentechnologien sowie die technische Begutachtung solcher Komponenten, beschäftigt,
über ausreichende technische Einrichtungen und Mittel sowie eine ausreichende wirtschaftliche Leistungsfähigkeit verfügt und
die erforderliche Unabhängigkeit, Unparteilichkeit und Unbefangenheit sicherstellt.
Darüber hinaus sind die von der EU-Kommission gemäß Art. 30 Abs. 4 eIDAS-VO zu erlassenden besonderen Kriterien maßgeblich.
(2) Eine Bestätigungsstelle kann zur Erfüllung der ihr nach Abs. 1 zugewiesenen Aufgaben von anderen Einrichtungen oder Stellen Prüfberichte zu technischen Komponenten und Verfahren einholen.
(3) Der Bundeskanzler hat mit Verordnung festzustellen, dass eine Einrichtung als Bestätigungsstelle geeignet ist. Die Eignung ist festzustellen, wenn die Einrichtung nach ihren Statuten oder Satzungen oder nach ihrem Gesellschaftsvertrag, nach ihrer Organisation und nach ihrem Sicherheits- und Finanzierungskonzept die in Abs. 1 genannten Anforderungen erfüllt. Eine solche Verordnung darf nur erlassen werden, wenn die Bereitschaft der betreffenden Einrichtung zur Wahrnehmung der Aufgaben besteht.
(4) Die organisatorische Aufsicht über die Bestätigungsstelle obliegt der Aufsichtsstelle (§ 12).
(5) Die Aufsichtsstelle (§ 12) hat die Notifizierung gemäß Art. 31 Abs. 1 eIDASVO durchzuführen.
Abkürzung
SVG
Bestätigungsstelle
§ 7. (1) Die Konformität qualifizierter elektronischer Signatur- und Siegelerstellungseinheiten mit den Anforderungen des Anhangs II der eIDAS-VO wird durch eine Bestätigungsstelle oder eine in einem anderen Mitgliedstaat der Europäischen Union gemäß Art. 30 Abs. 1 eIDASVO benannte Stelle zertifiziert. Sofern eine Zertifizierung gemäß Art. 30 Abs. 3 lit. b eIDAS-VO vorgenommen wird, ist die Gleichwertigkeit des Sicherheitsniveaus von der Bestätigungsstelle oder benannten Stelle nach dem Stand der Technik zu beurteilen. Eine Einrichtung ist zur Wahrnehmung der einer Bestätigungsstelle zugewiesenen Aufgaben geeignet, wenn sie
die erforderliche Zuverlässigkeit aufweist,
zuverlässiges Personal mit den für diese Aufgaben erforderlichen Fachkenntnissen, Erfahrungen und Qualifikationen, insbesondere mit Kenntnissen über elektronische Signaturen, angemessene Sicherheitsverfahren, Kryptographie, Kommunikations- und Chipkartentechnologien sowie die technische Begutachtung solcher Komponenten, beschäftigt,
über ausreichende technische Einrichtungen und Mittel sowie eine ausreichende wirtschaftliche Leistungsfähigkeit verfügt und
die erforderliche Unabhängigkeit, Unparteilichkeit und Unbefangenheit sicherstellt.
Darüber hinaus sind die von der EU-Kommission gemäß Art. 30 Abs. 4 eIDAS-VO zu erlassenden besonderen Kriterien maßgeblich.
(2) Eine Bestätigungsstelle kann zur Erfüllung der ihr nach Abs. 1 zugewiesenen Aufgaben von anderen Einrichtungen oder Stellen Prüfberichte zu technischen Komponenten und Verfahren einholen.
(3) Der Bundesminister für Digitalisierung und Wirtschaftsstandort hat mit Verordnung festzustellen, dass eine Einrichtung als Bestätigungsstelle geeignet ist. Die Eignung ist festzustellen, wenn die Einrichtung nach ihren Statuten oder Satzungen oder nach ihrem Gesellschaftsvertrag, nach ihrer Organisation und nach ihrem Sicherheits- und Finanzierungskonzept die in Abs. 1 genannten Anforderungen erfüllt. Eine solche Verordnung darf nur erlassen werden, wenn die Bereitschaft der betreffenden Einrichtung zur Wahrnehmung der Aufgaben besteht.
(4) Die organisatorische Aufsicht über die Bestätigungsstelle obliegt der Aufsichtsstelle (§ 12).
(5) Die Aufsichtsstelle (§ 12) hat die Notifizierung gemäß Art. 31 Abs. 1 eIDASVO durchzuführen.
Abschnitt
Vertrauensdiensteanbieter
Ausstellung qualifizierter Zertifikate für einen Vertrauensdienst
§ 8. (1) Ein qualifizierter VDA oder eine in seinem Auftrag tätige Stelle hat die Identität von persönlich anwesenden natürlichen Personen oder Vertretern einer juristischen Person, denen ein qualifiziertes Zertifikat ausgestellt werden soll, anhand eines amtlichen Lichtbildausweises oder durch einen anderen in seiner Zuverlässigkeit gleichwertigen, dokumentierten oder zu dokumentierenden Nachweis festzustellen (Art. 24 Abs. 1 lit. a eIDAS-VO). Vertreter von juristischen Personen haben darüber hinaus einen Nachweis über das Bestehen der Vertretungsbefugnis vorzulegen.
(2) Erfolgt die Ausstellung nicht in persönlicher Anwesenheit, können auch sonstige Identifizierungsmethoden, die eine gleichwertige Sicherheit hinsichtlich der Verlässlichkeit bei der persönlichen Anwesenheit bieten, angewendet werden (Art. 24 Abs. 1 lit. d eIDAS-VO). Dabei ist insbesondere auf eine erfolgte Identifizierung anhand eines Nachweises iSd Abs. 1, die von einer vertrauenswürdigen Stelle durchgeführt wurde, zurückzugreifen.
Abkürzung
SVG
Beendigungsplan und Vertrauensinfrastruktur
§ 9. (1) Ein qualifizierter VDA hat der Aufsichtsstelle zumindest drei Wochen im Vorhinein die geplante Einstellung seiner Tätigkeit anzuzeigen.
(2) Sofern der qualifizierte VDA qualifizierte Zertifikate ausstellt, hat er die im Zeitpunkt der Einstellung seiner Tätigkeit gültigen qualifizierten Zertifikate zu widerrufen oder dafür Sorge zu tragen, dass zumindest seine Zertifikatsdatenbank von einem anderen qualifizierten VDA übernommen werden kann und wird. Auch im Fall des Widerrufs der qualifizierten Zertifikate hat der qualifizierte VDA sicherzustellen, dass die Zertifikatsdatenbank weitergeführt wird; kommt er dieser Verpflichtung nicht nach, so hat die Aufsichtsstelle als Teil ihrer Vertrauensinfrastruktur (§ 14 Abs. 3) für die Weiterführung der Zertifikatsdatenbank auf Kosten des qualifizierten VDA Sorge zu tragen.
(3) Ein Widerruf der gültigen qualifizierten Zertifikate gemäß Abs. 2 ist nur dann zulässig, wenn die Aufsichtsstelle auf Antrag des Bundeskanzlers feststellt, dass deren Weiterführung nicht im öffentlichen Interesse gelegen ist. Ist der Widerruf unzulässig, hat der Bund für deren Weiterführung Sorge zu tragen. Der qualifizierte VDA hat zu diesem Zweck dem Bund alle notwendigen Mittel und Informationen zu übergeben.
(4) Die Signatoren und Siegelersteller sind von der Einstellung der Tätigkeit sowie vom Widerruf, der Übernahme oder der Weiterführung unverzüglich zu verständigen.
Abkürzung
SVG
Beendigungsplan und Vertrauensinfrastruktur
§ 9. (1) Ein qualifizierter VDA hat der Aufsichtsstelle zumindest drei Wochen im Vorhinein die geplante Einstellung seiner Tätigkeit anzuzeigen.
(2) Sofern der qualifizierte VDA qualifizierte Zertifikate ausstellt, hat er die im Zeitpunkt der Einstellung seiner Tätigkeit gültigen qualifizierten Zertifikate zu widerrufen oder dafür Sorge zu tragen, dass zumindest seine Zertifikatsdatenbank von einem anderen qualifizierten VDA übernommen werden kann und wird. Auch im Fall des Widerrufs der qualifizierten Zertifikate hat der qualifizierte VDA sicherzustellen, dass die Zertifikatsdatenbank weitergeführt wird; kommt er dieser Verpflichtung nicht nach, so hat die Aufsichtsstelle als Teil ihrer Vertrauensinfrastruktur (§ 14 Abs. 3) für die Weiterführung der Zertifikatsdatenbank auf Kosten des qualifizierten VDA Sorge zu tragen.
(3) Ein Widerruf der gültigen qualifizierten Zertifikate gemäß Abs. 2 ist nur dann zulässig, wenn die Aufsichtsstelle auf Antrag des Bundesministers für Digitalisierung und Wirtschaftsstandort feststellt, dass deren Weiterführung nicht im öffentlichen Interesse gelegen ist. Ist der Widerruf unzulässig, hat der Bund für deren Weiterführung Sorge zu tragen. Der qualifizierte VDA hat zu diesem Zweck dem Bund alle notwendigen Mittel und Informationen zu übergeben.
(4) Die Signatoren und Siegelersteller sind von der Einstellung der Tätigkeit sowie vom Widerruf, der Übernahme oder der Weiterführung unverzüglich zu verständigen.
Abkürzung
SVG
Zugangsrechte und Aufbewahrungsdauer
§ 10. (1) Auf Ersuchen von Gerichten oder anderen Behörden hat ein qualifizierter VDA Zugang zur Dokumentation nach Art. 24 Abs. 2 lit. h eIDAS-VO und seiner Zertifikatsdatenbank zu gewähren.
(2) Bei Verwendung eines Pseudonyms in einem Zertifikat hat der VDA die Daten über die Identität des Signators an einen Dritten zu übermitteln, sofern von diesem an der Feststellung der Identität ein überwiegendes berechtigtes Interesse im Sinne des § 8 Abs. 1 Z 4 und Abs. 3 DSG 2000 glaubhaft gemacht wird. Die Übermittlung ist zu dokumentieren.
(3) Die Dokumentation ist vom qualifizierten VDA 30 Jahre, gerechnet ab dem im qualifizierten Zertifikat eingetragenen Ende der Gültigkeit oder, mangels eines solchen, 30 Jahre ab dem Zeitpunkt des Anfallens von einschlägigen Informationen über die von dem qualifizierten VDA im Rahmen seiner Tätigkeit ausgegebenen und empfangenen Daten, aufzubewahren.
Abkürzung
SVG
Zugangsrechte und Aufbewahrungsdauer
§ 10. (1) Auf Ersuchen von Gerichten oder anderen Behörden hat ein qualifizierter VDA Zugang zur Dokumentation nach Art. 24 Abs. 2 lit. h eIDAS-VO und seiner Zertifikatsdatenbank zu gewähren.
(2) Bei Verwendung eines Pseudonyms in einem Zertifikat hat der VDA die personenbezogenen Daten über die Identität des Signators an einen Dritten zu übermitteln, sofern von diesem an der Feststellung der Identität ein überwiegendes berechtigtes Interesse glaubhaft gemacht wird. Die Übermittlung ist zu dokumentieren.
(3) Die Dokumentation ist vom qualifizierten VDA 30 Jahre, gerechnet ab dem im qualifizierten Zertifikat eingetragenen Ende der Gültigkeit oder, mangels eines solchen, 30 Jahre ab dem Zeitpunkt des Anfallens von einschlägigen Informationen über die von dem qualifizierten VDA im Rahmen seiner Tätigkeit ausgegebenen und empfangenen Daten, aufzubewahren.
Haftung
§ 11. (1) Abgesehen von Art. 13 Abs. 2 eIDAS-VO kann die Haftung eines VDA nach Art. 13 Abs. 1 eIDAS-VO im Vorhinein weder ausgeschlossen noch beschränkt werden.
⋯
Dieses Dokument ersetzt nicht die offizielle Publikation im Bundesgesetzblatt. Für eventuelle Ungenauigkeiten bei der Übertragung in dieses Format wird keine Haftung übernommen.