Elektronische Signaturen Dr. Christoph Brenn, LL.M. Oberster Gerichtshof christoph.brenn@justiz.gv.at

Vertrauensdiensteanbieter Art 19: (1) Qualifizierte und nichtqualifizierte VDA ergreifen geeignete technische und organisatorische Maßnahmen zur Beherrschung der Sicherheitsrisiken. Sie müssen nach dem jeweils neuesten Standes der Technik gewährleisten, dass das Sicherheitsniveau der Höhe des Risikos angemessen ist. 14.11.2018 © Dr. Christoph Brenn OGH

Vertrauensdiensteanbieter (2) Qualifizierte und nichtqualifizierte VDA melden der Aufsichtsstelle unverzüglich, in jedem Fall aber innerhalb von 24 Stunden nach Kenntnisnahme von dem betreffenden Vorfall, jede Sicherheitsverletzung oder jeden Integritätsverlust. 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Qualifizierte VDA Art 24: Überprüft anhand geeigneter Mittel und im Einklang mit dem jeweiligen nationalen Recht die Identität und gegebenenfalls die spezifischen Attribute 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Qualifizierte VDA a) durch persönliche Anwesenheit der natürlichen Person oder eines bevollmächtigten Vertreters der juristischen Person c) ein Zertifikat einer qualifizierten elektronischen Signatur oder eines qualifizierten elektronischen Siegels d) durch Identifizierungsmethoden mit gleichwertiger Sicherheit. 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Ausstellung § 8. (1) Ein qualifizierter VDA oder eine in seinem Auftrag tätige Stelle hat die Identität von persönlich anwesenden natürlichen Personen oder Vertretern einer juristischen Person, denen ein qualifiziertes Zertifikat ausgestellt werden soll, anhand eines amtlichen Lichtbildausweises 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Ausstellung oder durch einen anderen in seiner Zuverlässigkeit gleichwertigen, dokumentierten oder zu dokumentierenden Nachweis, festzustellen (Art 24 Abs 1 lit a EU-VO). 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Ausstellung Vertreter von juristischen Personen haben darüber hinaus einen Nachweis über das Bestehen der Vertretungsbefugnis vorzulegen. [Andere (gesetzliche) Vertreter?] 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Ausstellung (2) Erfolgt die Ausstellung nicht in persönlicher Anwesenheit, können auch sonstige Identifizierungsmethoden, die eine gleichwertige Sicherheit hinsichtlich der Verlässlichkeit bei der persönlichen Anwesenheit bieten, angewendet werden (Art 24 Abs 1 lit d EU-VO). 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Ausstellung § 3 SVV: 1. amtlicher Lichtbildausweis oder 2. ein Nachweis der bescheinigt, dass die Identität zumindest mit jener Verlässlichkeit geprüft wurde, wie sie bei der Zustellung zu eigenen Handen (§ 21 ZustG) einzuhalten ist. 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Ausstellung § 4 SVV: (2) Bis zum Ablauf der Gültigkeit eines qualifizierten Zertifikats ist es zulässig, mit Ausnahme der Gültigkeitsdauer und der eindeutigen Kennung, dieselben Inhalte samt denselben Signatur- oder Siegelvalidierungsdaten neu zu zertifizieren und auf diese Weise ein neues Zertifikat auszustellen. 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Qualifizierte VDA Art 24: Personal mit erforderlichem Fachwissen, die erforderliche Zuverlässigkeit, die erforderliche Erfahrung [näher: § 2 SVV] Ausreichende Finanzmittel in Bezug auf das Haftungsrisiko und/oder schließen eine angemessene Haftpflichtversicherung nach nationalem Recht ab [Versicherungssumme?] 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Qualifizierte VDA d) Sie unterrichten Personen, die einen qualifizierten Vertrauensdienst nutzen wollen, klar und umfassend über die genauen Bedingungen. e) Sie verwenden vertrauenswürdige Systeme und Produkte. 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Qualifizierte VDA (3) Wird ein Zertifikat widerrufen, so registriert er den Widerruf in seiner Zertifikatsdatenbank und veröffentlicht den Widerrufsstatus des Zertifikats zeitnah und in jedem Fall innerhalb von 24 Stunden nach Erhalt des Ersuchens. Der Widerruf wird sofort nach seiner Veröffentlichung wirksam. [Art 28 Abs 4] 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Qualifizierte VDA (4) Sie stellen den vertrauenden Beteiligten Informationen über den Gültigkeits- oder Widerrufsstatus der von ihnen ausgestellten qualifizierten Zertifikate zur Verfügung. Jederzeit und über die Gültigkeitsdauer des Zertifikats hinaus automatisch auf zuverlässige, kostenlose und effiziente Weise. 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Aussetzung § 6. (1) Sofern ein qualifizierter VDA ein qualifiziertes Zertifikat für eine elektronische Signatur oder ein elektronisches Siegel nicht widerruft, hat er dieses vorläufig auszusetzen, wenn 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Aussetzung 1. der Signator, der Siegelersteller oder ein sonstiger dazu Berechtigter dies verlangt, 2. die Aufsichtsstelle (§ 12) die Aussetzung des Zertifikats anordnet, 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Aussetzung 3. der qualifizierte VDA Kenntnis vom Ableben des Signators, der Beendigung des Bestehens des Siegelerstellers oder sonst von der Änderung im Zertifikat bescheinigter Umstände erlangt, 4. das Zertifikat auf Grund unrichtiger Angaben erwirkt wurde oder 5. die Gefahr einer missbräuchlichen Verwendung des Zertifikats besteht. 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Aussetzung (2) Ein qualifizierter VDA hat bei Vorliegen der in Abs 1 genannten Umstände die Aussetzung zeitnah und in jedem Fall innerhalb von 24 Stunden nach Erhalt des Ersuchens vorzunehmen. 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Aussetzung (3) Ist ein qualifiziertes Zertifikat für elektronische Signaturen oder elektronische Siegel vorläufig ausgesetzt worden, so verliert dieses Zertifikat, solange der Status der Aussetzung gemäß Abs 4 veröffentlicht ist, seine Gültigkeit. [Art 28 Abs 5: „für die Dauer“] Dieser Zeitraum darf zwei Wochen nicht überschreiten. 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Aussetzung (4) Ein qualifizierter VDA hat die Dauer der Aussetzung in seiner Zertifikatsdatenbank gemäß Art 24 Abs 2 lit k EU-VO zu registrieren und den Status der Aussetzung während der Dauer der Aussetzung elektronisch jederzeit allgemein zugänglich zu veröffentlichen. 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Aussetzung § 5 SVV: (7) Im Fall einer Aussetzung eines qualifizierten Zertifikats ist der Signator oder der Siegelersteller unverzüglich zu verständigen. Die Aussetzung kann aufgehoben werden. Eine aufgehobene Aussetzung hat auf die Gültigkeit des Zertifikats keinen Einfluss. [Gültigkeit der Signatur?] 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Aussetzung Wird eine Aussetzung nicht aufgehoben, so ist das Zertifikat zu widerrufen. Erfolgt auf Grund einer Aussetzung der Widerruf eines Zertifikats, so gilt bereits die Aussetzung als Widerruf. 14.11.2018 © Dr. Christoph Brenn OGH

Zugangsrechte [Dokumentation] § 10. (1) Auf Ersuchen von Gerichten oder anderen Behörden hat ein qualifizierter VDA Zugang zur Dokumentation nach Art 24 Abs 2 lit h EU-VO und seiner Zertifikatsdatenbank zu gewähren. 14.11.2018 © Dr. Christoph Brenn OGH

Zugangsrechte [Pseudonym] (2) Bei Verwendung eines Pseudonyms in einem Zertifikat hat der VDA die Daten über die Identität des Signators an einen Dritten zu übermitteln, sofern von diesem an der Feststellung der Identität ein überwiegendes berechtigtes Interesse iSd § 8 Abs 1 Z 4 und Abs 3 DSG glaubhaft gemacht wird. Die Übermittlung ist zu dokumentieren. 14.11.2018 © Dr. Christoph Brenn OGH

Zugangsrechte [Dokumentation] (3) Die gesamte Dokumentation ist vom qualifizierten VDA 30 Jahre, gerechnet ab dem im qualifizierten Zertifikat eingetragenen Ende der Gültigkeit […] aufzubewahren. 14.11.2018 © Dr. Christoph Brenn OGH

Qualifizierte VDA [Aufnahme] Art 21: (1) Wenn VDA ohne Qualifikationsstatus beabsichtigen, die Erbringung qualifizierter Vertrauensdienste aufzunehmen, legen sie der Aufsichtsstelle eine Mitteilung zusammen mit einem von einer Konformitätsbewertungsstelle ausgestellten Bewertungsbericht vor. 14.11.2018 © Dr. Christoph Brenn OGH

Qualifizierte VDA [Aufnahme] (2) Die Aufsichtsstelle überprüft, ob sie den Anforderungen genügen. Verleiht dem VDA und den von ihm erbrachten Vertrauensdiensten den Qualifikationsstatus. (3) Qualifizierte VDA können mit der Erbringung des qual. Vertrauensdienstes beginnen, nachdem der qualifizierte Status in Vertrauenslisten ausgewiesen. 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Vertrauenslisten Art 22: (2) Die MS erstellen, führen und veröffentlichen auf gesicherte Weise elektronisch unterzeichnete oder besiegelte Vertrauenslisten. (3) Sie übermitteln der Kommission unverzüglich Informationen über die verantwortlichen Stellen den Ort der Veröffentlichung der Listen. 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH EU-Vertrauenssiegel Art 23: (1) Nachdem der Qualifikationsstatus in der Vertrauensliste ausgewiesen wurde, können qualifizierte VDA das EU-Vertrauenssiegel verwenden, um in einfacher, wiedererkennbarer und klarer Weise die von ihnen erbrachten qualifizierten Vertrauensdienste zu kennzeichnen. 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Beendigung § 9. (1) Ein qualifizierter VDA hat der Aufsichtsstelle zumindest drei Wochen im Vorhinein die geplante Einstellung seiner Tätigkeit anzuzeigen. [Insolvenz] [Untersagung] 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Beendigung (2) Sofern der qualifizierte VDA qualifizierte Zertifikate ausstellt, hat er die im Zeitpunkt der Einstellung seiner Tätigkeit gültigen qualifizierten Zertifikate zu widerrufen, oder dafür Sorge zu tragen, dass zumindest seine Zertifikatsdatenbank von einem anderen qualifizierten VDA übernommen werden kann und wird. 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Beendigung Auch im Fall des Widerrufs der qualifizierten Zertifikate hat der qualifizierte VDA sicherzustellen, dass die Zertifikatsdatenbank weitergeführt wird; kommt er dieser Verpflichtung nicht nach, so hat die Aufsichtsstelle für die Weiterführung der Zertifikatsdatenbank auf Kosten des qualifizierten VDA Sorge zu tragen. [Auflösung der Gesellschaft] 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Beendigung (3) Ein Widerruf der gültigen qualifizierten Zertifikate gemäß Abs 2 ist nur dann zulässig, wenn die Aufsichtsstelle auf Antrag des Bundeskanzlers feststellt, dass deren Weiterführung nicht im öffentlichen Interesse gelegen ist. [Erwerbsfreiheit; Kosten] [Unterscheidung zwischen Verzeichnis- und Widerrufsdienst erforderlich?] 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Beendigung Andernfalls hat der Bund für deren Weiterführung Sorge zu tragen. Der qualifizierte VDA hat zu diesem Zweck dem Bund alle notwendigen Mittel und Informationen zu übergeben. 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Beendigung (4) Die Signatoren und Siegelersteller sind von der Einstellung der Tätigkeit sowie vom Widerruf, der Übernahme oder der Weiterführung unverzüglich zu verständigen. [Insolvenz?] [Untersagung?] 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Aufsicht Art 17: Die MS benennen eine Aufsichtsstelle, die in ihrem Hoheitsgebiet niedergelassen ist, oder die aufgrund einer gegenseitigen Vereinbarung mit einem anderen MS in diesem anderen MS niedergelassen ist. 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Aufsicht Funktionen a) Ausübung der Aufsicht über niedergelassenen qualifizierten VDA Ex-ante- und Ex-post-Aufsichtstätigkeiten: gewährleisten, dass die qualifizierten VDA und die von ihnen erbrachten qualifizierten Vertrauensdienste den Anforderungen dieser Verordnung entsprechen; 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Aufsicht b) erforderlichenfalls Durchführung von Maßnahmen Ex-post-Aufsichtstätigkeiten: in Bezug auf nichtqualifizierten VDA, wenn sie Kenntnis davon erhalten, dass diese oder die von ihnen erbrachten Vertrauensdienste die Anforderungen dieser Verordnung mutmaßlich nicht erfüllen. [Anforderungen für nicht qualifizierte VDA] 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Aufsicht Aufgaben e) Durchführung von Überprüfungen oder Beauftragung einer Konformitätsbewertungsstelle mit der Durchführung einer Konformitätsbewertung der qualifizierten VDA gemäß Art 20 Abs 2; g) Verleihung des Qualifikationsstatus an VDA und die von ihnen erbrachten Dienste sowie Entzug dieses Status gemäß den Art 20 und 21; 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Aufsicht j) Verpflichtung der VDA, bei jedem Fall von Nichteinhaltung der Anforderungen dieser Verordnung Abhilfe zu schaffen. 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Aufsicht Art 20: (1) Qualifizierte VDA werden mindestens alle 24 Monate auf eigene Kosten von einer Konformitätsbewertungsstelle geprüft. Die qualifizierten VDA legen der Aufsichtsstelle den entsprechenden Konformitätsbewertungsbericht innerhalb von drei Arbeitstagen nach Empfang vor. 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Aufsicht (2) Die Aufsichtsstelle kann jederzeit eine Überprüfung vornehmen oder eine Konformitätsbewertungsstelle um eine Konformitätsbewertung der qualifizierten VDA ersuchen. (3) Verlangt die Aufsichtsstelle Abhilfe und kommt der VDA dem nicht nach, so kann sie den Qualifikationsstatus entziehen. [Widerruf des VDA-Zertifikats] 14.11.2018 © Dr. Christoph Brenn OGH

© Dr. Christoph Brenn OGH Aufsicht § 12 SVG (1) Aufsichtsstelle gemäß Art 17 eIDAS-VO ist die Telekom-Control-Kommission (§ 116 TKG 2003). § 13 SVG (1) Sie kann sich bei der Durchführung der Aufsicht der RTR-GmbH (§ 16 KOG) bedienen. § 14 SVG: Erstellt, führt Vertrauensliste Service zur Validierung qualifizierter elektronische Signaturen oder Siegel. 14.11.2018 © Dr. Christoph Brenn OGH