784.11
Liechtensteinisches Landesgesetzblatt
Jahrgang 2003 Nr. 215 ausgegeben am 11. November 2003
Gesetz
vom 18. September 2003
über elektronische Signaturen (Signaturgesetz; SigG)
Dem nachstehenden vom Landtag gefassten Beschluss erteile Ich Meine Zustimmung:
I. Allgemeine Bestimmungen
Art. 1
Gegenstand, Zweck und Anwendungsbereich
1) Dieses Gesetz regelt:
a) den rechtlichen Rahmen für die Erstellung und Verwendung elektronischer Signaturen sowie für die Erbringung von Signatur- und Zertifizierungsdiensten, insbesondere die Rechtswirkungen elektronischer Signaturen;
b) die Rechte und Pflichten der Signatoren und der Zertifizierungsdiensteanbieter.
2) Dieses Gesetz dient insbesondere:
a) der Förderung vertrauenswürdiger elektronischer Kommunikation durch die Schaffung von Rechtssicherheit;
b) der Sicherstellung des freien Verkehrs, der Entwicklung von Signatur- und Zertifizierungsdiensten und von Signaturprodukten sowie des freien Marktzugangs für solche Dienste und Produkte;
c) der rechtlichen Anerkennung elektronischer Signaturen;
d) der grenzüberschreitenden Anerkennung von Zertifikaten und elektronischen Signaturen;
e) der Umsetzung der Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen ("Signaturrichtlinie"; EWR-Rechtssammlung: Anh. XI - 5g.01).
3) Dieses Gesetz ist auch anzuwenden in geschlossenen Systemen, sofern deren Teilnehmer dies vereinbart haben, sowie im offenen elektronischen Verkehr mit Gerichten, anderen Behörden und öffentlich-rechtlichen Anstalten, sofern durch Gesetz nicht anderes bestimmt ist. Zusätzliche Anforderungen müssen aufgrund spezifischer Besonderheiten der betreffenden Anwendung objektiv notwendig und nichtdiskriminierend sein und dürfen sich abgesehen von weiteren Angaben in einem qualifizierten Zertifikat nicht auf Elemente der Signaturerstellung, der Erzeugung und Speicherung von Signaturerstellungsdaten sowie der Erzeugung und Speicherung von Zertifikaten beziehen.
Art. 2
Begriffsbestimmungen
1) Im Sinne dieses Gesetzes bedeuten:
a) "elektronische Signatur": elektronische Daten, die anderen elektronischen Daten beigefügt oder mit diesen logisch verknüpft werden und die der Authentifizierung, also der Feststellung der Identität des Signators, dienen;
b) "Signator": eine natürliche Person, der Signaturerstellungsdaten und die entsprechenden Signaturprüfdaten zugeordnet sind und die unter Verwendung derselben entweder im eigenen oder im fremden Namen eine elektronisch signierte Erklärung abgibt oder sonst handelt, oder ein Zertifizierungsdiensteanbieter, der Zertifikate für die Erbringung von Signatur- und Zertifizierungsdiensten verwendet, oder bei nicht qualifizierten Zertifikaten auch eine juristische Person oder eine sonstige rechtsfähige Einrichtung, sofern im Zertifikat ein bestimmter Verwendungszweck, für den das Zertifikat ausgestellt wurde, angegeben ist;
c) "fortgeschrittene elektronische Signatur": eine elektronische Signatur, die:
1. ausschliesslich dem Signator zugeordnet ist;
2. die Identifizierung des Signators ermöglicht;
3. mit Mitteln erstellt wird, die der Signator unter seiner alleinigen Kontrolle halten kann; und
4. mit den Daten, auf die sie sich bezieht, so verknüpft ist, dass jede nachträgliche Veränderung der Daten festgestellt werden kann;
d) "sichere elektronische Signatur": eine fortgeschrittene elektronische Signatur, die auf einem qualifizierten Zertifikat beruht und unter Verwendung einer sicheren Signaturerstellungseinheit erstellt wird;
e) "Signaturerstellungsdaten": einmalige Daten wie Codes oder private Signaturschlüssel, die vom Signator zur Erstellung einer elektronischen Signatur verwendet werden;
f) "Signaturerstellungseinheit": eine konfigurierte Software oder Hardware, die zur Verarbeitung der Signaturerstellungsdaten verwendet wird;
g) "sichere Signaturerstellungseinheit": eine Signaturerstellungseinheit, die die Anforderungen des Art. 18 Abs. 1 und der in Durchführung dieser Bestimmung erlassenen Verordnungen erfüllt;
h) "Signaturprüfdaten": Daten wie Codes oder öffentliche Signaturschlüssel, die zur Überprüfung einer elektronischen Signatur verwendet werden;
i) "Signaturprüfeinheit": eine konfigurierte Software oder Hardware, die zur Verarbeitung der Signaturprüfdaten verwendet wird;
k) "Zertifikat": eine elektronische Bescheinigung, mit der Signaturprüfdaten einer bestimmten Person zugeordnet werden, deren Identität bestätigt wird;
l) "qualifiziertes Zertifikat": ein Zertifikat, das die Angaben des Art. 5 enthält und von einem die Anforderungen des Art. 7 erfüllenden Zertifizierungsdiensteanbieter ausgestellt wird;
m) "Zertifizierungsdiensteanbieter": eine natürliche oder juristische Person oder eine sonstige rechtsfähige Einrichtung, die Zertifikate ausstellt oder andere Signatur- und Zertifizierungsdienste erbringt;
n) "Signatur- und Zertifizierungsdienste": die Bereitstellung von Signaturprodukten und elektronischen Signaturverfahren, die Ausstellung, Erneuerung und Verwaltung von Zertifikaten, die Erbringung von Verzeichnis- und Widerrufsdiensten, von Registrierungs- und Zeitstempeldiensten sowie von Rechner- und Beratungsdiensten im Zusammenhang mit elektronischen Signaturen;
o) "Zeitstempeldienst": eine elektronisch signierte Bescheinigung eines Zertifizierungsdiensteanbieters, dass bestimmte elektronische Daten zu einem bestimmten Zeitpunkt vorgelegen sind;
p) "Signaturprodukt": Hard- oder Software bzw. deren spezifische Komponenten, die für die Erstellung oder Überprüfung elektronischer Signaturen oder von einem Zertifizierungsdiensteanbieter für die Erbringung von Signatur- und Zertifizierungsdiensten verwendet werden;
q) "Kompromittierung": die Beeinträchtigung von Sicherheitsmassnahmen oder Sicherheitstechnik, sodass das vom Zertifizierungsdiensteanbieter zugrunde gelegte Sicherheitsniveau nicht eingehalten ist.
r) "Amtssignatur": eine elektronische Signatur, deren Besonderheit durch ein entsprechendes Attribut im Signaturzertifikat ausgewiesen wird.1
2) Die in diesem Gesetz für natürliche Personen verwendeten Begriffe beziehen sich auf Personen weiblichen und männlichen Geschlechts gleichermassen.
II. Rechtserheblichkeit elektronischer Signaturen
Art. 3
Allgemeine Rechtswirkungen
1) Soweit durch Rechtsvorschrift oder Parteienvereinbarung nicht sichere elektronische Signaturen vorgeschrieben sind, können im Rechts- und Geschäftsverkehr elektronische Signaturverfahren mit unterschiedlichen Sicherheitsstufen und unterschiedlichen Zertifikatsklassen verwendet werden.
2) Die rechtliche Wirksamkeit einer elektronischen Signatur und deren Verwendung als Beweismittel können nicht allein deshalb ausgeschlossen werden, weil:
a) die elektronische Signatur nur in elektronischer Form vorliegt;
b) sie nicht auf einem qualifizierten Zertifikat oder nicht auf einem von einem akkreditierten Zertifizierungsdiensteanbieter ausgestellten qualifizierten Zertifikat beruht; oder
c) weil sie nicht unter Verwendung einer sicheren Signaturerstellungseinheit erstellt wurde.
Art. 4
Besondere Rechtswirkungen
1) Eine sichere elektronische Signatur erfüllt das rechtliche Erfordernis einer eigenhändigen Unterschrift, insbesondere der Schriftlichkeit im Sinne des § 886 ABGB, sofern durch Gesetz oder Parteienvereinbarung nicht anderes bestimmt ist.
2) Eine sichere elektronische Signatur entfaltet nicht die Rechtswirkungen der Schriftlichkeit im Sinne des § 886 ABGB bei:
a) Rechtsgeschäften des Familien- und Erbrechts, die an die Schriftform oder ein strengeres Formerfordernis gebunden sind;
b) anderen Willenserklärungen oder Rechtsgeschäften, die zu ihrer Wirksamkeit an die Form einer öffentlichen Beurkundung oder Beglaubigung gebunden sind, soweit die öffentliche Beurkundung oder Beglaubigung in elektronischer Form nicht wirksam zustande kommt;2
c) Willenserklärungen, Rechtsgeschäften oder Eingaben, die zu ihrer Eintragung in das Grundbuch, das Handelsregister oder ein anderes öffentliches Register einer öffentlichen Beurkundung oder Beglaubigung bedürfen, soweit die öffentliche Beurkundung oder Beglaubigung in elektronischer Form nicht wirksam zustande kommt; und3
d) Bürgschaftserklärungen (§ 1346 Abs. 2 ABGB) und Garantieerklärungen, die von Personen ausserhalb ihrer gewerblichen, geschäftlichen oder beruflichen Tätigkeit abgegeben werden.
3) Bei einer sicheren elektronischen Signatur wird vermutet, dass die Signaturerstellungsdaten vom Signator verwendet wurden. Zudem ist die Bestimmung des § 294 ZPO über die Vermutung der Echtheit des Inhalts einer unterschriebenen Privaturkunde auf elektronische Dokumente, die mit einer sicheren elektronischen Signatur versehen sind, anzuwenden.
4) Die Rechtswirkungen der Abs. 1 und 3 treten nicht ein, wenn nachgewiesen wird, dass die Sicherheitsanforderungen dieses Gesetzes und der zu seiner Durchführung erlassenen Verordnungen nicht erfüllt oder die zur Erfüllung dieser Sicherheitsanforderungen getroffenen Vorkehrungen kompromittiert wurden.
Art. 5
Qualifizierte Zertifikate
1) Ein qualifiziertes Zertifikat hat zumindest folgende Angaben zu enthalten:
a) den Hinweis darauf, dass es sich um ein qualifiziertes Zertifikat handelt;
b) den unverwechselbaren Namen des Zertifizierungsdiensteanbieters und den Staat seiner Niederlassung;
c) den Namen des Signators oder ein Pseudonym, das als solches bezeichnet sein muss;
d) gegebenenfalls auf Verlangen des Zertifikatswerbers Angaben über seine Vertretungsmacht für einen Dritten oder andere rechtlich erhebliche Eigenschaften oder Umstände des Signators (Attribute);
e) die dem Signator zugeordneten Signaturprüfdaten;
f) Beginn und Ende der Gültigkeit des Zertifikats;
g) die eindeutige Kennung des Zertifikats;
h) gegebenenfalls eine Einschränkung des Anwendungsbereichs des Zertifikats; und
i) gegebenenfalls eine Begrenzung des Transaktionswerts, auf den das Zertifikat ausgestellt ist.
2) Attribute können auch in ein gesondertes qualifiziertes Zertifikat (qualifiziertes Attributzertifikat) aufgenommen werden. In diesem Fall müssen das qualifizierte Zertifikat und das qualifizierte Attributzertifikat durch eindeutige Referenzen aufeinander Bezug nehmen.
3) Ein qualifiziertes Zertifikat muss mit der fortgeschrittenen elektronischen Signatur des Zertifizierungsdiensteanbieters versehen sein.
Art. 5a4
Amtssignaturen
1) Amtssignaturen dienen dem Nachweis der Herkunft eines von einer Behörde erstellten elektronischen Dokuments und dürfen ausschliesslich von einer Behörde anlässlich der elektronischen Signierung eines von ihr erstellten elektronischen Dokuments verwendet werden.
2) Anlässlich der Verwendung einer Amtssignatur ist am Schluss des elektronischen Dokuments ein Signaturvermerk aufzunehmen, welcher insbesondere die Bezeichnung der jeweiligen Behörde und den Hinweis, dass es sich um ein elektronisches Dokument einer Behörde handelt, enthält.
Art. 5b5
Beweiskraft von Ausdrucken
Auf Papier ausgedruckte elektronische Dokumente von Behörden haben die Vermutung der Echtheit für sich, wenn das Dokument mit einer Amtssignatur signiert ist und dementsprechend über einen Signaturvermerk gemäss Art. 5a Abs. 2 verfügt.
III. Zertifizierungsdiensteanbieter
Art. 6
Tätigkeit der Zertifizierungsdiensteanbieter
1) Die Aufnahme und die Ausübung der Tätigkeit eines Zertifizierungsdiensteanbieters bedürfen keiner gesonderten Genehmigung.
2) Ein Zertifizierungsdiensteanbieter hat die Aufnahme seiner Tätigkeit unverzüglich der Aufsichtsstelle (Art. 13) anzuzeigen und dieser ein Sicherheits- und Zertifizierungskonzept für die von ihm erbrachten Signatur- und Zertifizierungsdienste samt den verwendeten sowie den bereitgestellten und empfohlenen Signaturprodukten vorzulegen. Das Gleiche gilt für eine Änderung der Dienste.
3) Ein Zertifizierungsdiensteanbieter, der sichere elektronische Signaturverfahren bereitstellt, hat im Sicherheits- und Zertifizierungskonzept die Erfüllung der Sicherheitsanforderungen dieses Gesetzes und der zu seiner Durchführung erlassenen Verordnungen darzulegen.
4) Ein Zertifizierungsdiensteanbieter hat die im Sicherheits- und Zertifizierungskonzept dargelegten Angaben sowohl bei der Aufnahme als auch während der Ausübung seiner Tätigkeit zu erfüllen. Er hat alle Umstände, die eine ordnungsgemässe und dem Sicherheits- und Zertifizierungskonzept entsprechende Tätigkeit nicht mehr ermöglichen, unverzüglich der Aufsichtsstelle anzuzeigen.
5) Stellt ein Zertifizierungsdiensteanbieter Zertifikate aus, so hat er im Sicherheits- und Zertifizierungskonzept darzulegen, ob und gegebenenfalls in welcher Form Verzeichnis- und Widerrufsdienste geführt werden.
6) Ein Zertifikat für Zertifizierungsdiensteanbieter darf von diesen nur für die Erbringung von Signatur- und Zertifizierungsdiensten verwendet werden.
7) Ein Zertifizierungsdiensteanbieter kann unter Einbeziehung in das Sicherheits- und Zertifizierungskonzept einzelne Aufgaben oder Aufgabenkreise nach diesem Gesetz und den zu seiner Durchführung erlassenen Verordnungen an Dritte übertragen. Die Tätigkeit solcher Personen oder Einrichtungen ist dem Zertifizierungsdiensteanbieter zuzurechnen. Die jeweiligen Anforderungen nach diesem Gesetz und den auf seiner Grundlage ergangenen Verordnungen dürfen durch eine solche Auslagerung nicht beeinträchtigt werden.
Art. 7
Zertifizierungsdiensteanbieter für qualifizierte Zertifikate
1) Ein Zertifizierungsdiensteanbieter, der qualifizierte Zertifikate ausstellt, hat:
a) die erforderliche Zuverlässigkeit für die von ihm erbrachten Signatur- und Zertifizierungsdienste aufzuweisen;
b) den Betrieb schneller und sicherer Verzeichnisdienste sowie unverzüglicher und sicherer Widerrufsdienste sicherzustellen;
c) in qualifizierten Zertifikaten sowie für Verzeichnis- und Widerrufsdienste qualitätsgesicherte Zeitangaben (z.B. sichere Zeitstempel) zu verwenden und jedenfalls sicherzustellen, dass der Zeitpunkt der Ausstellung und des Widerrufs eines qualifizierten Zertifikats genau bestimmt werden kann;
d) anhand eines gültigen amtlichen Lichtbildausweises die Identität und gegebenenfalls besondere rechtlich erhebliche Eigenschaften oder Umstände der Person, für die ein qualifiziertes Zertifikat ausgestellt wird, zuverlässig zu überprüfen;
e) zuverlässiges Personal mit den für die erbrachten Dienste erforderlichen Fachkenntnissen, Erfahrungen und Qualifikationen, insbesondere mit Managementfähigkeiten sowie mit Kenntnissen der Technologie elektronischer Signaturen und angemessener Sicherheitsverfahren, zu beschäftigen und geeignete Verwaltungs- und Managementverfahren, die anerkannten Normen entsprechen, einzuhalten;
f) über ausreichende Finanzmittel zu verfügen, um die Anforderungen dieses Gesetzes und der zu seiner Durchführung erlassenen Verordnungen zu erfüllen, sowie Vorsorge für die Befriedigung von Schadenersatzansprüchen, etwa durch Eingehen einer Haftpflichtversicherung, zu treffen;
g) alle massgeblichen Umstände über ein qualifiziertes Zertifikat während eines für den Verwendungszweck angemessenen Zeitraums - gegebenenfalls auch elektronisch - aufzuzeichnen, sodass insbesondere in gerichtlichen Verfahren die Zertifizierung nachgewiesen werden kann;
h) Vorkehrungen dafür zu treffen, dass die Signaturerstellungsdaten der Signatoren weder vom Zertifizierungsdiensteanbieter noch von Dritten gespeichert oder kopiert werden können; und
i) die Zertifikatswerber und auf Verlangen auch Dritte schriftlich oder unter Verwendung eines dauerhaften Kommunikationsmittels in elektronischer Form klar und allgemein verständlich vor allem über die Bedingungen der Verwendung des qualifizierten Zertifikats zu unterrichten (Art. 20).
2) Ein Zertifizierungsdiensteanbieter, der qualifizierte Zertifikate ausstellt, hat für die Signatur- und Zertifizierungsdienste, insbesondere für die Erzeugung und Speicherung von Signaturerstellungsdaten sowie für die Erzeugung und Speicherung von Zertifikaten vertrauenswürdige Systeme, Produkte und Verfahren, die vor Veränderungen geschützt sind und für die technische und kryptographische Sicherheit sorgen, zu verwenden. Er hat insbesondere geeignete Vorkehrungen dafür zu treffen, dass:
a) Signaturerstellungsdaten geheimgehalten werden;
b) Daten für qualifizierte Zertifikate nicht unerkannt gefälscht oder verfälscht werden können;
c) qualifizierte Zertifikate nur mit Zustimmung des Signators öffentlich abrufbar sind;
d) qualifizierte Zertifikate nur von befugten Personen ausgestellt und erneuert werden können; und
e) die in qualifizierten Zertifikaten enthaltenen Angaben auf ihre Echtheit hin überprüft werden können.
3) Signaturerstellungsdaten der Zertifizierungsdiensteanbieter sind vor unbefugtem Zugriff zu sichern.
4) Stellt ein Zertifizierungsdiensteanbieter ein sicheres elektronisches Signaturverfahren bereit, so müssen die Voraussetzungen für das Vorliegen einer sicheren elektronischen Signatur im Sicherheits- und Zertifizierungskonzept klar und allgemein verständlich dargelegt sein. Der Umstand, dass es sich um eine sichere elektronische Signatur handelt, kann auch in das qualifizierte Zertifikat oder ein elektronisch jederzeit allgemein zugängliches Verzeichnis aufgenommen werden.
5) Auf Ersuchen von Dritten, einschliesslich von Gerichten oder anderen Behörden, hat ein Zertifizierungsdiensteanbieter die Prüfung der auf seinen qualifizierten Zertifikaten beruhenden elektronischen Signaturen vorzunehmen. Bei sicheren elektronischen Signaturen hat auf Wunsch eine sichere Signaturprüfung zu erfolgen.
Art. 8
Ausstellung qualifizierter Zertifikate; Verzeichnis- und Widerrufsdienste für qualifizierte Zertifikate
1) Ein Zertifizierungsdiensteanbieter hat die Identität von Personen, denen ein qualifiziertes Zertifikat ausgestellt werden soll, anhand eines gültigen amtlichen Lichtbildausweises zuverlässig festzustellen. Er hat die Zuordnung bestimmter Signaturprüfdaten zu dieser Person durch ein qualifiziertes Zertifikat zu bestätigen. Der Zertifizierungsdiensteanbieter hat sich zu vergewissern, dass die Signaturerstellungsdaten des Signators und die Signaturprüfdaten des Zertifikats in komplementärer Weise anwendbar sind, sowie dass sich der Signator im Besitz der korrespondierenden Signaturerstellungsdaten befindet.
2) Ein Zertifizierungsdiensteanbieter hat auf Verlangen des Zertifikatswerbers Angaben über seine Vertretungsmacht für einen Dritten oder andere rechtlich erhebliche Eigenschaften, wie etwa eine berufsrechtliche oder sonstige Zulassung, in das qualifizierte Zertifikat aufzunehmen, sofern ihm oder einer Registrierungsstelle (Abs. 4) diese Befugnisse zuverlässig nachgewiesen werden. Für die Aufnahme einer Vertretungsmacht muss zudem die Einwilligung des Machtgebers vorliegen. Auf Verlangen des Zertifikatswerbers können auch weitere rechtlich erhebliche Umstände in das qualifizierte Zertifikat aufgenommen werden.
3) Ein Zertifizierungsdiensteanbieter kann auf Verlangen des Zertifikatswerbers im Zertifikat anstatt des Namens des Signators ein Pseudonym angeben. Das Pseudonym darf weder anstössig noch offensichtlich zur Verwechslung mit Namen oder Kennzeichen geeignet sein.
4) Der Antrag auf Ausstellung eines qualifizierten Zertifikats kann auch bei einer im Auftrag des Zertifizierungsdiensteanbieters tätigen anderen Stelle (Registrierungsstelle) eingebracht werden, die vor allem die Überprüfung der Identität des Zertifikatswerbers sowie seine Belehrung vornehmen kann. Die Tätigkeit der Registrierungsstelle ist dem Zertifizierungsdiensteanbieter zuzurechnen.
5) Ein Zertifizierungsdiensteanbieter hat ein elektronisch jederzeit allgemein zugängliches Verzeichnis der von ihm ausgestellten sowie der gesperrten und der widerrufenen qualifizierten Zertifikate zu führen. Die Verzeichnis- und Widerrufsdienste müssen vor Fälschung, Verfälschung und unbefugtem Abruf ausreichend geschützt sein. Es muss sichergestellt sein, dass nur befugte Personen Eintragungen und Veränderungen in den Verzeichnissen vornehmen können. Weiters muss sichergestellt sein, dass eine Sperre oder ein Widerruf nicht unbemerkt rückgängig gemacht werden kann. Die Widerrufsdienste müssen allgemein frei zugänglich sein, ihre Abfrage muss unentgeltlich und ohne Identifikation möglich sein.
Art. 9
Widerruf und Sperre von Zertifikaten
1) Ein Zertifizierungsdiensteanbieter hat ein Zertifikat unverzüglich zu widerrufen, wenn:
a) der Signator oder ein im Zertifikat genannter Machtgeber dies verlangt;
b) der Zertifizierungsdiensteanbieter Kenntnis vom Ableben des Signators oder sonst von der Änderung im Zertifikat bescheinigter Umstände erlangt;
c) das Zertifikat aufgrund unrichtiger Angaben erwirkt wurde;
d) der Zertifizierungsdiensteanbieter seine Tätigkeit einstellt und seine Verzeichnis- und Widerrufsdienste nicht von einem anderen Zertifizierungsdiensteanbieter übernommen werden;
e) die Aufsichtsstelle gemäss Art. 14 den Widerruf des Zertifikats anordnet; oder
f) die Gefahr einer missbräuchlichen Verwendung des Zertifikats besteht.
2) Können die in Abs. 1 genannten Umstände nicht sofort zweifelsfrei festgestellt werden, so hat der Zertifizierungsdiensteanbieter das Zertifikat jedenfalls unverzüglich zu sperren.
3) Die Sperre und der Widerruf müssen den Zeitpunkt, ab dem sie wirksam werden, enthalten. Werden Widerrufsdienste geführt, so werden die Sperre und der Widerruf mit der Eintragung in das entsprechende Verzeichnis wirksam. Eine rückwirkende Sperre oder ein rückwirkender Widerruf ist unzulässig.
4) Der Signator, im Ablebensfall sein Rechtsnachfolger, ist von der Sperre oder dem Widerruf des Zertifikats unverzüglich zu verständigen.
5) Die Aufsichtsstelle hat das Zertifikat eines Zertifizierungsdiensteanbieters unverzüglich zu widerrufen, wenn:
a) der Zertifizierungsdiensteanbieter seine Tätigkeit einstellt und seine Verzeichnis- und Widerrufsdienste nicht von einem anderen Zertifizierungsdiensteanbieter übernommen werden; oder
b) dem Zertifizierungsdiensteanbieter die Ausübung seiner Tätigkeit untersagt wird und seine Verzeichnis- und Widerrufsdienste nicht von einem anderen Zertifizierungsdiensteanbieter übernommen werden; in diesem Fall hat die Aufsichtsstelle auch die Zertifikate der Signatoren unverzüglich zu widerrufen.
6) Ein qualifiziertes Zertifikat, das im Zusammenhang mit einem sicheren elektronischen Signaturverfahren ausgestellt wurde, ist vom Zertifizierungsdiensteanbieter, sonst jedenfalls von der Aufsichtsstelle auch dann unverzüglich zu widerrufen, wenn die Signaturerstellungsdaten oder die Signaturerstellungsverfahren die Sicherheitsanforderungen für sichere elektronische Signaturen nicht mehr erfüllen oder deren mit Verordnung bestimmte Sicherheitsperiode abgelaufen ist.
Art. 10
Zeitstempeldienste
Stellt ein Zertifizierungsdiensteanbieter Zeitstempeldienste bereit, so hat er im Sicherheits- und Zertifizierungskonzept die näheren Angaben dafür darzulegen. Für sichere Zeitstempeldienste sind verlässliche Zeitgeber sowie Signaturprodukte, die die Richtigkeit und Unverfälschtheit der Zeitangabe sicherstellen und die Anforderungen des Art. 18 Abs. 1 und der in Durchführung dieser Bestimmung erlassenen Verordnungen erfüllen, zu verwenden. Die Bescheinigungspflicht nach Art. 18 Abs. 3 bezieht sich auf die Signaturkomponenten und die Zeitkomponenten.
Art. 11
Dokumentation
1) Ein Zertifizierungsdiensteanbieter hat die Sicherheitsvorkehrungen, die er zur Erfüllung dieses Gesetzes und der zu seiner Durchführung erlassenen Verordnungen getroffen hat, sowie die Ausstellung und gegebenenfalls die Sperre und den Widerruf von Zertifikaten zu dokumentieren. Dabei müssen die Daten und ihre Unverfälschtheit sowie der Zeitpunkt ihrer Aufnahme in das Protokollierungssystem jederzeit nachprüfbar sein.
2) Auf Ersuchen von Gerichten oder anderen Behörden hat ein Zertifizierungsdiensteanbieter die Dokumentation nach Abs. 1 auszufolgen. Dem Signator ist auf Verlangen Einsicht in die ihn betreffenden Daten der Dokumentation zu gewähren.
Art. 12
Einstellung der Tätigkeit
1) Ein Zertifizierungsdiensteanbieter hat die Einstellung seiner Tätigkeit unverzüglich der Aufsichtsstelle anzuzeigen. Weiters hat er die im Zeitpunkt der Einstellung seiner Tätigkeit gültigen Zertifikate zu widerrufen oder dafür Sorge zu tragen, dass zumindest die Verzeichnis- und Widerrufsdienste von einem anderen Zertifizierungsdiensteanbieter übernommen werden. Auch im Fall des Widerrufs der Zertifikate hat der Zertifizierungsdiensteanbieter sicherzustellen, dass die Widerrufsdienste übernommen werden; kommt er dieser Verpflichtung nicht nach, so hat die Aufsichtsstelle für die Weiterführung der Widerrufsdienste auf Kosten des Zertifizierungsdiensteanbieters Sorge zu tragen. Die Dokumentation ist an den Zertifizierungsdiensteanbieter, der die Widerrufsdienste übernimmt, oder sonst an die Aufsichtsstelle zu übergeben.
2) Die Signatoren sind von der Einstellung der Tätigkeit sowie vom Widerruf ihrer Zertifikate oder der Übernahme der Verzeichnis- und Widerrufsdienste unverzüglich zu verständigen.
3) Die Bestimmungen der Abs. 1 und 2 gelangen auch im Fall der Eröffnung eines Konkursverfahrens über das Vermögen eines Zertifizierungsdiensteanbieters zur Anwendung.
IV. Aufsicht und freiwillige Akkreditierung
Art. 13
Aufsichtsstelle
1) Aufsichtsstelle ist das Amt für Kommunikation. Ihr obliegt die laufende Aufsicht über die Einhaltung der Bestimmungen dieses Gesetzes und der zu seiner Durchführung erlassenen Verordnungen.
2) Die Aufsichtsstelle hat insbesondere:
a) die Umsetzung der Angaben im Sicherheits- und Zertifizierungskonzept zu überprüfen;
b) im Fall der Ausstellung qualifizierter Zertifikate die Verwendung vertrauenswürdiger Systeme, Produkte und Verfahren (Art. 7 Abs. 2) zu überwachen;
c) im Fall der Bereitstellung sicherer elektronischer Signaturverfahren die Verwendung sowie die Bereitstellung oder Empfehlung geeigneter Signaturprodukte (Art. 18) zu überwachen;
d) Zertifizierungsdiensteanbieter nach Art. 17 zu akkreditieren; und
e) die organisatorische Aufsicht über Bestätigungsstellen (Art. 19) durchzuführen.
3) Die Aufsichtsstelle hat dafür Sorge zu tragen, dass ein elektronisch jederzeit allgemein zugängliches Verzeichnis der gültigen, der gesperrten und der widerrufenen Zertifikate der im Inland niedergelassenen Zertifizierungsdiensteanbieter geführt wird. Zertifikate für Zertifizierungsdiensteanbieter können auch von der Aufsichtsstelle ausgestellt werden. Die Aufsichtsstelle hat die bei ihr geführten Verzeichnisse mit ihrer fortgeschrittenen elektronischen Signatur zu versehen. Das Zertifikat der Aufsichtsstelle ist in den amtlichen Kundmachungsorganen zu veröffentlichen.
4) Weiters hat die Aufsichtsstelle dafür Sorge zu tragen, dass ein elektronisch jederzeit allgemein zugängliches Verzeichnis der im Inland niedergelassenen Zertifizierungsdiensteanbieter, der von ihr akkreditierten Zertifizierungsdiensteanbieter und der Drittstaaten-Zertifizierungsdiensteanbieter, für deren Zertifikate ein im Inland niedergelassener Zertifizierungsdiensteanbieter nach Art. 24 Abs. 2 Bst. b einsteht, geführt wird. Auf Antrag sind auch andere im Ausland niedergelassene Zertifizierungsdiensteanbieter in dieses Verzeichnis aufzunehmen.
5) Die Aufsichtsstelle kann sich zur Beratung geeigneter Personen oder Einrichtungen, wie etwa einer inländischen oder ausländischen Bestätigungsstelle (Art. 19), bedienen und diese auch zur Begutachtung zuziehen. Die Wahrnehmung ihrer Aufgaben in technischen Belangen hat in Abstimmung mit einer Bestätigungsstelle zu erfolgen. Sie kann sich zudem zur Durchführung der Aufsicht oder zur Führung der Verzeichnisse geeigneter Einrichtungen bedienen und diese Aufgaben auch an solche Einrichtungen übertragen.
6) Die Aufsichtsstelle schreibt den Zertifizierungsdiensteanbietern für ihre Massnahmen im Rahmen der Aufsicht und der Akkreditierung Gebühren vor, die mit Verordnung bestimmt werden. Kosten und Auslagen, die der Aufsichtsstelle von Dritten, deren sie sich zur Beratung oder zur Durchführung der Aufsicht bedient, in Rechnung gestellt werden, hebt sie bei den betreffenden Zertifizierungsdiensteanbietern ein. Für die Führung der Verzeichnisse nach den Abs. 3 und 4 wird bei den Zertifizierungsdiensteanbietern, für die Führung des Verzeichnisses nach Art. 17 Abs. 3 bei den akkreditierten Zertifizierungsdiensteanbietern eine Jahresgebühr eingehoben, die ebenfalls mit Verordnung bestimmt wird.
7) Die Aufsichtsstelle ist in ihrer Entscheidungs- und Verfügungsgewalt an keine Weisungen gebunden. Sofern gesetzlich nicht anderes bestimmt ist, finden auf das Verfahren die Bestimmungen des Gesetzes über die allgemeine Landesverwaltungspflege Anwendung.
Art. 14
Aufsichtsmassnahmen
1) Die Aufsichtsstelle hat den Zertifizierungsdiensteanbietern Massnahmen zur Sicherstellung der Erfüllung der Pflichten aus diesem Gesetz und den zu seiner Durchführung erlassenen Verordnungen vorzuschreiben. Sie kann einem Zertifizierungsdiensteanbieter insbesondere:
a) die Verwendung ungeeigneter Signaturprodukte oder die Ausübung der Tätigkeit ganz oder teilweise untersagen;
b) Zertifikate für Zertifizierungsdiensteanbieter oder von Signatoren widerrufen; oder
c) den Widerruf der Zertifikate von Signatoren durch den Zertifizierungsdiensteanbieter anordnen.
2) Sofern nicht nach Abs. 6 gelindere Mittel in Betracht kommen, ist einem Zertifizierungsdiensteanbieter die Ausübung seiner Tätigkeit ganz oder teilweise zu untersagen, wenn:
a) er oder sein Personal nicht die für die erbrachten Signatur- und Zertifizierungsdienste erforderliche Zuverlässigkeit aufweist;
b) er oder sein Personal nicht über die erforderlichen Fachkenntnisse verfügt;
c) ihm keine ausreichenden Finanzmittel zur Verfügung stehen;
d) er bei der Ausübung seiner Tätigkeit die im Sicherheits- und Zertifizierungskonzept dargelegten Angaben nicht erfüllt;
e) er die vorgeschriebenen Verzeichnis- oder Widerrufsdienste nicht oder nicht ordnungsgemäss führt oder der Sperr- oder Widerrufspflicht (Art. 9) nicht oder nur unzureichend nachkommt; oder
f) er der Anzeigepflicht nach Art. 6 Abs. 2 oder 4 nicht nachkommt.
3) Sofern nicht nach Abs. 6 gelindere Mittel in Betracht kommen, ist einem Zertifizierungsdiensteanbieter, der qualifizierte Zertifikate ausstellt, die Ausübung seiner Tätigkeit zudem ganz oder teilweise zu untersagen, wenn die übrigen für die Ausübung einer solchen Tätigkeit erforderlichen Voraussetzungen nach diesem Gesetz oder den zu seiner Durchführung erlassenen Verordnungen nicht erfüllt werden.
4) Sofern nicht nach Abs. 6 gelindere Mittel in Betracht kommen, ist einem Zertifizierungsdiensteanbieter, der sichere elektronische Signaturverfahren bereitstellt, die Ausübung seiner Tätigkeit auch dann ganz oder teilweise zu untersagen, wenn die von ihm verwendeten oder von ihm bereitgestellten oder empfohlenen Signaturprodukte nicht die Sicherheitsanforderungen des Art. 18 und der in Durchführung dieser Bestimmung erlassenen Verordnungen erfüllen.
5) Wenn die Aufsichtsstelle einem Zertifizierungsdiensteanbieter die Ausübung seiner Tätigkeit untersagt, hat sie für den Widerruf der Zertifikate des Zertifizierungsdiensteanbieters und der Signatoren Sorge zu tragen oder die Übernahme der erbrachten Signatur- und Zertifizierungsdienste oder zumindest der Verzeichnis- und Widerrufsdienste durch einen anderen Zertifizierungsdiensteanbieter zu veranlassen, sofern die beteiligten Zertifizierungsdiensteanbieter der Übernahme zustimmen. Auch im Fall des Widerrufs der Zertifikate hat der Zertifizierungsdiensteanbieter sicherzustellen, dass die Widerrufsdienste übernommen werden; kommt er dieser Verpflichtung nicht nach, so hat die Aufsichtsstelle für die Weiterführung der Widerrufsdienste auf Kosten des Zertifizierungsdiensteanbieters Sorge zu tragen. Die Dokumentation ist an den Zertifizierungsdiensteanbieter, der die Widerrufsdienste übernimmt, oder sonst an die Aufsichtsstelle zu übergeben. Die Signatoren sind von der Untersagung der Ausübung der Tätigkeit sowie vom Widerruf ihrer Zertifikate oder der Übernahme der Dienste unverzüglich zu verständigen.
6) Die Aufsichtsstelle hat von einer Untersagung der Ausübung der Tätigkeit eines Zertifizierungsdiensteanbieters abzusehen, soweit die Anordnung gelinderer Mittel ausreicht, um die Einhaltung der Bestimmungen dieses Gesetzes und der zu seiner Durchführung erlassenen Verordnungen sicherzustellen. Sie kann insbesondere Auflagen erteilen oder unter Setzung einer angemessenen Frist zur Behebung von ihr aufgezeigter Mängel Massnahmen (Abs. 1) androhen.
Art. 15
Durchführung der Aufsicht
1) Die Zertifizierungsdiensteanbieter haben den im Auftrag der Aufsichtsstelle handelnden Personen das Betreten der Geschäfts- und Betriebsräume während der Geschäftszeiten zu gestatten, die in Betracht kommenden Bücher und sonstigen Aufzeichnungen oder Unterlagen einschliesslich der Dokumentation nach Art. 11 vorzulegen oder zur Einsicht bereitzuhalten, Auskünfte zu erteilen und jede sonst erforderliche Unterstützung zu gewähren. Bestehende gesetzliche Verschwiegenheits- und Aussageverweigerungsrechte bleiben unberührt.
2) Die Landespolizei hat der Aufsichtsstelle und den in ihrem Auftrag handelnden Personen über deren Ersuchen zur Durchführung der Aufsicht im Rahmen ihres gesetzmässigen Wirkungsbereichs Hilfe zu leisten.
3) Die Durchführung der Aufsicht nach den Abs. 1 und 2 ist unter möglichster Schonung der Betroffenen und ohne unnötiges Aufsehen so durchzuführen, dass dadurch die Sicherheit der Signatur- und Zertifizierungsdienste nicht verletzt wird.
4) Verfügt ein im Ausland niedergelassener Zertifizierungsdiensteanbieter im Inland über eine oder mehrere Betriebseinrichtungen oder Registrierungsstellen, so arbeitet die Aufsichtsstelle mit der für die Überwachung zuständigen Stelle des Niederlassungsstaats des Zertifizierungsdiensteanbieters zusammen.
Art. 16
Aussergerichtliche Streitbeilegung
Unbeschadet der Zuständigkeit der ordentlichen Gerichte können Kunden eines Zertifizierungsdiensteanbieters oder Dritte, die ein rechtliches Interesse glaubhaft machen, Streit- oder Beschwerdefälle, insbesondere über die Qualität eines Zertifizierungsdienstes, die mit dem Zertifizierungsdiensteanbieter nicht befriedigend gelöst worden sind, der Aufsichtsstelle vorlegen. Diese hat sich zu bemühen, innerhalb angemessener Frist eine einvernehmliche Lösung herbeizuführen. Die Zertifizierungsdiensteanbieter sind verpflichtet, an einem solchen Verfahren mitzuwirken und alle zur Beurteilung der Sachlage erforderlichen Auskünfte zu erteilen. Die Aufsichtsstelle hat Richtlinien für die Durchführung dieses Verfahrens festzulegen, die angemessene Verfahrensgarantien für die Beteiligten vorsehen müssen und in geeigneter Form zu veröffentlichen sind. Mit Zustimmung des Antragstellers kann das Verfahren auch auf elektronischem Weg durchgeführt werden.
Art. 17
Freiwillige Akkreditierung
1) Zertifizierungsdiensteanbieter, die sichere elektronische Signaturverfahren bereitstellen und der Aufsichtsstelle vor der Aufnahme ihrer Tätigkeit als akkreditierte Zertifizierungsdiensteanbieter die Erfüllung der Anforderungen dieses Gesetzes und der zu seiner Durchführung erlassenen Verordnungen nachweisen, sind auf Antrag von der Aufsichtsstelle zu akkreditieren. Akkreditierte Zertifizierungsdiensteanbieter dürfen sich im Geschäftsverkehr als solche bezeichnen und ein mit Verordnung bestimmtes Kennzeichen verwenden.
2) Der Umstand der freiwilligen Akkreditierung eines Zertifizierungsdiensteanbieters kann in das qualifizierte Zertifikat oder ein elektronisch jederzeit allgemein zugängliches Verzeichnis aufgenommen werden.
3) Die Aufsichtsstelle hat dafür Sorge zu tragen, dass ein elektronisch jederzeit allgemein zugängliches Verzeichnis der gültigen, der gesperrten und der widerrufenen Zertifikate der von ihr akkreditierten Zertifizierungsdiensteanbieter geführt wird. Weiters hat sie für die laufende Aufsicht über die von ihr akkreditierten Zertifizierungsdiensteanbieter Sorge zu tragen. Die Anforderungen für sichere elektronische Signaturverfahren sind sowohl bei der Aufnahme als auch während der Ausübung der Tätigkeit zu erfüllen. Sind diese Voraussetzungen nicht mehr gegeben, so ist die Akkreditierung zu entziehen.
4) Auch im Ausland niedergelassene Zertifizierungsdiensteanbieter können sich akkreditieren lassen. In diesem Fall bezieht sich der Nachweis nach Abs. 1 sowie die Akkreditierung auf die im Inland bereitgestellten sicheren elektronischen Signaturverfahren.
V. Technische Sicherheitsanforderungen
Art. 18
Signaturprodukte für sichere elektronische Signaturen und Sicherheitsbescheinigungen
1) Für die Erzeugung und Speicherung von Signaturerstellungsdaten für sichere elektronische Signaturen sowie für die Erstellung sicherer elektronischer Signaturen sind solche Signaturprodukte einzusetzen, die die Fälschung von elektronischen Signaturen sowie die Verfälschung elektronisch signierter Daten zuverlässig erkennbar machen und die die unbefugte Verwendung von Signaturerstellungsdaten verlässlich verhindern. Sie müssen zudem sicherstellen, dass die Signaturerstellungsdaten praktisch nur einmal vorkommen, mit hinreichender Sicherheit nicht ableitbar sind, ihre Geheimhaltung sichergestellt ist und die zu signierenden Daten nicht verändert werden (sichere Signaturerstellungseinheiten).
2) Die für die Erstellung sicherer elektronischer Signaturen verwendeten Signaturprodukte müssen es bei Bedarf weiters ermöglichen, dass dem Signator die zu signierenden Daten vor Auslösung des Signaturvorgangs dargestellt werden.
3) Die Signaturprodukte für die Erstellung sicherer elektronischer Signaturen (sichere Signaturerstellungseinheiten nach Art. 18 Abs. 1) müssen nach dem Stand der Wissenschaft und Technik hinreichend und laufend geprüft sein. Die Erfüllung der entsprechenden Sicherheitsanforderungen nach diesem Gesetz und den zu seiner Durchführung erlassenen Verordnungen muss von einer Bestätigungsstelle (Art. 19) bescheinigt sein. Bescheinigungen von Stellen, die von anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum (EWRA) zur Beurteilung der Sicherheitsanforderungen für sichere Signaturerstellungseinheiten nach Art. 3 Abs. 4 der Signaturrichtlinie namhaft gemacht wurden, sind den Bescheinigungen einer inländischen Bestätigungsstelle gleichzuhalten.
4) Entsprechen Signaturprodukte den allgemein anerkannten Normen, die von der Europäischen Kommission nach Art. 3 Abs. 5 der Signaturrichtlinie festgelegt werden, so gelten die entsprechenden Sicherheitsanforderungen nach diesem Gesetz und den zu seiner Durchführung erlassenen Verordnungen als erfüllt.
5) Ist in einem Drittstaat zur Beurteilung der Sicherheitsanforderungen für sichere Signaturerstellungseinheiten eine staatlich anerkannte Stelle eingerichtet, so werden Bescheinigungen dieser Stelle den Bescheinigungen einer inländischen Bestätigungsstelle (Art. 19) gleichgehalten, soweit die Aufsichtsstelle feststellt, dass die den Beurteilungen dieser Stelle zugrunde liegenden technischen Anforderungen, Prüfungen und Prüfverfahren jenen, die den Beurteilungen einer inländischen Bestätigungsstelle oder einer nach Art. 3 Abs. 4 der Signaturrichtlinie namhaft gemachten Stelle zugrunde liegen, gleichwertig sind.
6) Zertifizierungsdiensteanbieter, die sichere elektronische Signaturverfahren bereitstellen, haben für die Überprüfung sicherer elektronischer Signaturen solche Signaturprodukte bereitzustellen oder zu empfehlen (sichere Signaturprüfung), die sicherstellen, dass:
a) die zur Überprüfung der elektronischen Signatur verwendeten Daten jenen entsprechen, die dem Überprüfer bei Bedarf angezeigt werden, und somit die signierten Daten nicht verändert wurden;
b) die elektronische Signatur zuverlässig überprüft und das Ergebnis dieser Überprüfung sowie die Identität des Signators korrekt angezeigt wird;
c) der Überprüfer bei Bedarf den Inhalt der signierten Daten zuverlässig feststellen kann;
d) der Überprüfer die Echtheit und Gültigkeit des zum Zeitpunkt der Überprüfung verwendeten Zertifikats zuverlässig feststellen kann, wobei die Verwendung eines Pseudonyms eindeutig angezeigt werden muss; und
e) sicherheitsrelevante Veränderungen der signierten Daten erkannt werden können.
Art. 19
Bestätigungsstellen
1) Die nach diesem Gesetz oder den zu seiner Durchführung erlassenen Verordnungen einer Bestätigungsstelle zugewiesenen Aufgaben können nur von einer dazu geeigneten Einrichtung wahrgenommen werden.
2) Eine Einrichtung ist zur Wahrnehmung der einer Bestätigungsstelle zugewiesenen Aufgaben geeignet, wenn sie:
a) die erforderliche Zuverlässigkeit aufweist;
b) zuverlässiges Personal mit den für diese Aufgaben erforderlichen Fachkenntnissen, Erfahrungen und Qualifikationen, insbesondere mit Kenntnissen über elektronische Signaturen, angemessene Sicherheitsverfahren, Kryptographie, Kommunikations- und Chipkartentechnologien sowie die technische Begutachtung solcher Komponenten, beschäftigt;
c) über ausreichende technische Einrichtungen und Mittel sowie eine ausreichende wirtschaftliche Leistungsfähigkeit verfügt; und
d) die erforderliche Unabhängigkeit, Unparteilichkeit und Unbefangenheit sicherstellt.
3) Darüber hinaus sind für die Eignung einer Bestätigungsstelle die von der Europäischen Kommission nach Art. 3 Abs. 4 der Signaturrichtlinie festgelegten Mindestkriterien für die Benennung von Bestätigungsstellen massgeblich. Diese Kriterien werden von der Regierung mit Verordnung kundgemacht.
4) Die Regierung stellt auf Antrag mit Verfügung fest, dass eine Einrichtung als Bestätigungsstelle geeignet ist. Die Eignung kann nur festgestellt werden, wenn die Einrichtung nach ihren Statuten oder Satzungen oder nach ihrem Gesellschaftsvertrag, nach ihrer Organisation und nach ihrem Sicherheits- und Finanzierungskonzept die in Abs. 2 und 3 genannten Anforderungen erfüllt.
5) Eine Bestätigungsstelle kann zur Erfüllung der ihr nach diesem Gesetz oder den zu seiner Durchführung erlassenen Verordnungen zugewiesenen Aufgaben von geeigneten Einrichtungen Prüfberichte zu Signaturprodukten einholen. Die Prüfungen und Bescheinigungen sind zu dokumentieren. Im Fall der Einstellung der Tätigkeit der Bestätigungsstelle ist die Dokumentation an die Aufsichtsstelle zu übergeben.
VI. Rechte und Pflichten der Anwender
Art. 20
Allgemeine Informationspflichten der Zertifizierungsdiensteanbieter
1) Ein Zertifizierungsdiensteanbieter hat den Zertifikatswerber vor Vertragschliessung schriftlich oder unter Verwendung eines dauerhaften Kommunikationsmittels in elektronischer Form klar und allgemein verständlich über den Inhalt des Sicherheits- und Zertifizierungskonzepts zu unterrichten. Bei der Ausstellung eines qualifizierten Zertifikats hat der Zertifizierungsdiensteanbieter zudem die Bedingungen der Verwendung des Zertifikats, wie etwa Einschränkungen seines Anwendungsbereichs oder des Transaktionswerts, bekannt zu geben; weiters ist auf eine freiwillige Akkreditierung (Art. 17) sowie auf besondere Streitbeilegungsverfahren hinzuweisen.
2) Auf Verlangen sind die in Abs. 1 genannten Angaben auch Dritten, die ein rechtliches Interesse daran glaubhaft machen, zugänglich zu machen.
3) Ein Zertifizierungsdiensteanbieter hat den Zertifikatswerber in der Form nach Abs. 1 weiters darüber zu unterrichten, welche Signaturprodukte für das verwendete elektronische Signaturverfahren geeignet sind, gegebenenfalls auch darüber, welche Signaturprodukte die Anforderungen für die Erstellung sicherer elektronischer Signaturen und für die sichere Signaturprüfung erfüllen, sowie welche sonstigen Massnahmen zur Erhöhung der Sicherheit dafür erforderlich sind. Ferner ist der Zertifikatswerber über die möglichen Rechtswirkungen des von ihm verwendeten elektronischen Signaturverfahrens, über die Pflichten des Signators sowie über die besondere Haftung des Zertifizierungsdiensteanbieters zu belehren. Der Zertifikatswerber ist auch darüber zu unterrichten, dass und wie gegebenenfalls eine neue elektronische Signatur anzubringen ist, bevor der Sicherheitswert der vorhandenen elektronischen Signatur durch Zeitablauf geringer wird. Die Belehrung des Zertifikatswerbers ist zu dokumentieren.
Art. 21
Pflichten des Signators und Empfehlungen
1) Der Signator hat die Signaturerstellungsdaten sorgfältig zu verwahren, soweit zumutbar Zugriffe auf Signaturerstellungsdaten zu verhindern und deren Weitergabe zu unterlassen. Er hat den Widerruf des Zertifikats zu verlangen, wenn die Signaturerstellungsdaten abhanden kommen, wenn Anhaltspunkte für eine Kompromittierung der Signaturerstellungsdaten bestehen oder wenn sich die im Zertifikat bescheinigten Umstände geändert haben.
2) Verwendet der Signator ein qualifiziertes Zertifikat sowie ein elektronisches Signaturverfahren, das zur Erstellung sicherer elektronischer Signaturen geeignet ist, will er damit aber keine sichere elektronische Signatur erstellen, so muss er dies im Einzelfall erklären.
3) Der Signator ist auch gegenüber Gerichten oder anderen Behörden nicht verpflichtet, seine Signaturerstellungsdaten für sichere elektronische Signaturen zugänglich zu machen.
4) Bei der Erstellung sicherer elektronischer Signaturen sollte der Signator die ihm von seinem Zertifizierungsdiensteanbieter für die verlässliche und vollständige Darstellung der zu signierenden Daten bereitgestellten oder empfohlenen Signaturprodukte tatsächlich verwenden. Ebenso sollten bei der Überprüfung sicherer elektronischer Signaturen solche Signaturprodukte verwendet werden, die eine sichere Signaturprüfung ermöglichen.
5) Verletzt der Signator eine oder mehrere Verpflichtungen nach den Abs. 1 und 2 und entsteht dadurch einem anderen ein Schaden, so trägt der Signator die Beweislast dafür, dass ihn an der Verletzung der Verpflichtungen kein Verschulden trifft.
Art. 22
Datenschutz
1) Ein Zertifizierungsdiensteanbieter sowie die in seinem Auftrag tätigen Registrierungsstellen dürfen nur jene personenbezogenen Daten verwenden, die sie zur Durchführung der erbrachten Dienste benötigen. Diese Daten dürfen nur unmittelbar beim Betroffenen selbst oder mit seiner ausdrücklichen Zustimmung bei einem Dritten erhoben werden.
2) Bei Verwendung eines Pseudonyms hat der Zertifizierungsdiensteanbieter die Daten über die Identität des Signators auf Ersuchen an die zuständigen Stellen zu übermitteln, sofern dies zum Schutz der öffentlichen Ordnung, insbesondere zur Aufklärung oder Verfolgung von strafbaren Handlungen, oder zum Schutz der öffentlichen Sicherheit einschliesslich der Wahrung nationaler Sicherheits- und Verteidigungsinteressen erforderlich ist oder von Gerichten im Rahmen anhängiger Verfahren angeordnet wird. Die ersuchende Stelle hat den Signator über die Aufdeckung des Pseudonyms zu unterrichten, sobald dadurch die Wahrnehmung der gesetzlichen Aufgaben nicht mehr beeinträchtigt wird, oder wenn das Interesse des Signators an der Unterrichtung überwiegt.
3) Sonstigen Dritten hat der Zertifizierungsdiensteanbieter die Daten über die Identität des Signators zu übermitteln, sofern diese an der Feststellung der Identität ein überwiegendes berechtigtes Interesse glaubhaft machen. In diesem Fall hat der Zertifizierungsdiensteanbieter den Signator über die Aufdeckung des Pseudonyms unverzüglich zu unterrichten.
4) Jede Aufdeckung eines Pseudonyms und Übermittlung der Daten ist vom Zertifizierungsdiensteanbieter zu dokumentieren.
5) Die sonstigen Auskunfts- und Mitwirkungspflichten des Zertifizierungsdiensteanbieters gegenüber Gerichten und anderen Behörden bleiben unberührt.
Art. 23
Haftung der Zertifizierungsdiensteanbieter
1) Ein Zertifizierungsdiensteanbieter, der ein Zertifikat als qualifiziertes Zertifikat ausstellt oder für ein solches Zertifikat nach Art. 24 Abs. 2 Bst. b einsteht, haftet gegenüber jeder Person, die auf das Zertifikat vertraut, dafür, dass:
a) alle Angaben im qualifizierten Zertifikat im Zeitpunkt seiner Ausstellung richtig sind und das Zertifikat alle für ein qualifiziertes Zertifikat vorgeschriebenen Angaben enthält;
b) der im qualifizierten Zertifikat angegebene Signator im Zeitpunkt der Ausstellung des Zertifikats im Besitz jener Signaturerstellungsdaten ist, die den im Zertifikat angegebenen Signaturprüfdaten entsprechen;
c) die Signaturerstellungsdaten und die ihnen zugeordneten Signaturprüfdaten bei Verwendung der von ihm bereitgestellten oder empfohlenen Signaturprodukte in komplementärer Weise anwendbar sind;
d) das Zertifikat bei Vorliegen der Voraussetzungen unverzüglich widerrufen wird und die Widerrufsdienste verfügbar sind; sowie
e) die Anforderungen des Art. 7 Abs. 1 bis 3 und der in Durchführung dieser Bestimmungen erlassenen Verordnungen erfüllt und für die Erzeugung und Speicherung von Signaturerstellungsdaten sowie für die Erzeugung und Speicherung von qualifizierten Zertifikaten vertrauenswürdige Systeme, Produkte und Verfahren verwendet werden.
2) Ein Zertifizierungsdiensteanbieter, der sichere elektronische Signaturverfahren bereitstellt, haftet zudem dafür, dass die von ihm für die Erzeugung und Speicherung von Signaturerstellungsdaten verwendeten sowie die von ihm für die Erstellung sicherer elektronischer Signaturen und für die Darstellung der zu signierenden Daten bereitgestellten oder empfohlenen Signaturprodukte und sonstigen Mittel die Anforderungen des Art. 18 Abs. 1 und 2 und der in Durchführung dieser Bestimmungen erlassenen Verordnungen erfüllen.
3) Der Zertifizierungsdiensteanbieter haftet nicht, wenn er nachweist, dass ihn und die für ihn handelnden Personen an der Verletzung der betreffenden Verpflichtungen nach den Abs. 1 und 2 kein Verschulden trifft. Kann der Geschädigte als wahrscheinlich dartun, dass eine oder mehrere Verpflichtungen nach den Abs. 1 und 2 verletzt oder die zur Erfüllung der Sicherheitsanforderungen dieses Gesetzes und der zu seiner Durchführung erlassenen Verordnungen getroffenen Vorkehrungen kompromittiert wurden, so wird vermutet, dass der Schaden dadurch verursacht wurde. Diese Vermutung ist widerlegt, wenn der Zertifizierungsdiensteanbieter als wahrscheinlich dartut, dass der Schaden nicht durch eine Verletzung der betreffenden Verpflichtungen oder Kompromittierung der betreffenden Vorkehrungen verursacht wurde.
4) Enthält ein qualifiziertes Zertifikat eine Einschränkung des Anwendungsbereichs, so haftet der Zertifizierungsdiensteanbieter nicht für Schäden, die sich aus einer anderen Verwendung des Zertifikats ergeben. Enthält ein qualifiziertes Zertifikat einen bestimmten Transaktionswert, bis zu dem das Zertifikat verwendet werden darf, so haftet der Zertifizierungsdiensteanbieter nicht für Schäden, die sich aus der Überschreitung dieses Transaktionswerts ergeben.
5) Ein Zertifizierungsdiensteanbieter, der Signaturprodukte für eine sichere Signaturprüfung bereitstellt oder empfiehlt, haftet nach den Bestimmungen der Abs. 3 und 4 zudem dafür, dass diese Produkte die Anforderungen des Art. 18 Abs. 6 und der in Durchführung dieser Bestimmung erlassenen Verordnungen erfüllen. Nimmt er eine sichere Signaturprüfung vor (Art. 7 Abs. 5), so haftet er für die Richtigkeit des Prüfergebnisses. Erbringt ein Zertifizierungsdiensteanbieter sichere Zeitstempeldienste, so haftet er auch dafür, dass die Anforderungen der Art. 10 und 18 Abs. 1 und der in Durchführung dieser Bestimmungen erlassenen Verordnungen erfüllt werden und die Zeitangabe in einem sicheren Zeitstempel richtig und unverfälscht ist.
6) Die Haftung eines Zertifizierungsdiensteanbieters nach Abs. 1 bis 3 und 5 kann im Vorhinein weder ausgeschlossen noch beschränkt werden.
7) Die Bestimmungen des ABGB und anderer Rechtsvorschriften, nach denen Schäden in anderem Umfang oder von anderen Personen als nach diesem Gesetz zu ersetzen sind, bleiben unberührt.
VII. Anerkennung ausländischer Zertifikate und elektronischer Signaturen
Art. 24
Anerkennung
1) Zertifikate, die von einem in einem anderen Vertragsstaat des EWRA oder in der Schweiz niedergelassenen Zertifizierungsdiensteanbieter öffentlich ausgestellt wurden und deren Gültigkeit vom Inland aus überprüft werden kann, sind inländischen Zertifikaten rechtlich gleichgestellt. Qualifizierte Zertifikate solcher Zertifizierungsdiensteanbieter entfalten dieselben Rechtswirkungen wie inländische qualifizierte Zertifikate.
2) Zertifikate, die von einem in einem Drittstaat niedergelassenen Zertifizierungsdiensteanbieter öffentlich ausgestellt wurden und deren Gültigkeit vom Inland aus überprüft werden kann, sind inländischen Zertifikaten rechtlich gleichgestellt. Qualifizierte Zertifikate solcher Zertifizierungsdiensteanbieter sind inländischen qualifizierten Zertifikaten rechtlich gleichgestellt, wenn:
a) der Zertifizierungsdiensteanbieter die Anforderungen nach Art. 7 Abs. 1 bis 3 erfüllt und in einem Vertragsstaat des EWRA oder in der Schweiz freiwillig akkreditiert ist;
b) ein in einem Vertragsstaat des EWRA oder in der Schweiz niedergelassener Zertifizierungsdiensteanbieter, der die Anforderungen nach Art. 7 Abs. 1 bis 3 erfüllt, für das Zertifikat haftungsrechtlich einsteht; oder
c) das Zertifikat als qualifiziertes Zertifikat oder der Zertifizierungsdiensteanbieter als Aussteller qualifizierter Zertifikate im Rahmen einer bilateralen oder multilateralen Vereinbarung:
1. zwischen der Europäischen Gemeinschaft einerseits und Drittstaaten oder internationalen Organisationen andererseits anerkannt ist; oder
2. zwischen einem Vertragsstaat des EWRA oder der Schweiz einerseits und Drittstaaten oder internationalen Organisationen andererseits anerkannt ist.
3) Elektronische Signaturen, die auf einem anerkannten ausländischen qualifizierten Zertifikat beruhen und unter Verwendung einer sicheren Signaturerstellungseinheit, für die eine inländische oder eine einer solchen gleichgehaltene ausländische Sicherheitsbescheinigung vorliegt, erstellt wurden, sind sicheren elektronischen Signaturen gleichgestellt.
VIII. Rechtsmittel; Strafbestimmungen
Art. 25
Beschwerde
1) Gegen Entscheidungen oder Verfügungen der Aufsichtsstelle kann binnen 14 Tagen ab Zustellung Beschwerde bei der Beschwerdekommission für Verwaltungsangelegenheiten erhoben werden.
2) Gegen Entscheidungen oder Verfügungen der Beschwerdekommission für Verwaltungsangelegenheiten kann binnen 14 Tagen ab Zustellung Beschwerde beim Verwaltungsgerichtshof erhoben werden.
Art. 26
Übertretungen
1) Von der Regierung wird wegen Übertretung mit Busse bis zu 10 000 Franken bestraft, wer fremde Signaturerstellungsdaten ohne Wissen und Willen des Signators missbräuchlich verwendet.
2) Von der Regierung wird wegen Übertretung mit Busse bis zu 15 000 Franken bestraft, wer als Zertifizierungsdiensteanbieter:
a) entgegen Art. 9 Abs. 1 seine Widerrufspflicht verletzt;
b) entgegen Art. 11 seine Dokumentationspflicht verletzt;
c) entgegen Art. 15 Abs. 1 nicht Einsicht in die dort genannten Bücher, sonstigen Aufzeichnungen oder Unterlagen gewährt oder nicht die notwendigen Auskünfte erteilt; oder
d) entgegen Art. 20 Abs. 1 und 3 den Zertifikatswerber nicht unterrichtet.
3) Von der Regierung wegen Übertretung mit Busse bis zu 25 000 Franken bestraft, wer als Zertifizierungsdiensteanbieter:
a) entgegen Art. 6 Abs. 2 die Aufnahme seiner Tätigkeit oder Änderung seiner Dienste nicht anzeigt oder das Sicherheits- und Zertifizierungskonzept nicht vorlegt;
b) entgegen Art. 6 Abs. 4 nicht alle Umstände, die eine ordnungsgemässe und dem Sicherheits- und Zertifizierungskonzept entsprechende Tätigkeit nicht mehr ermöglichen, der Aufsichtsstelle anzeigt;
c) entgegen Art. 7 Abs. 1 Bst. b und Art. 8 Abs. 5 keine geeigneten Widerrufsdienste oder keine geeigneten Verzeichnisdienste führt;
d) entgegen Art. 7 Abs. 1 Bst. h keine geeigneten Vorkehrungen dafür trifft, dass die Signaturerstellungsdaten der Signatoren weder vom Zertifizierungsdiensteanbieter noch von Dritten gespeichert oder kopiert werden können;
e) entgegen Art. 18 keine geeigneten Signaturprodukte für sichere elektronische Signaturen verwendet, bereitstellt oder empfiehlt; oder
f) trotz Untersagung durch die Aufsichtsstelle (Art. 14 Abs. 2 bis 4) die ihm untersagte oder eine gleichartige Tätigkeit weiterhin ausübt.
4) Bei fahrlässiger Begehung wird die Strafobergrenze auf die Hälfte herabgesetzt.
5) Eine Verwaltungsübertretung gemäss Abs. 1 bis 3 liegt nicht vor, wenn die Tat den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist.
6) Werden Widerhandlungen im Geschäftsbetrieb einer juristischen Person, einer Kollektiv- oder Kommanditgesellschaft oder einer Einzelfirma begangen, so finden die Strafbestimmungen auf die Personen Anwendung, die für sie gehandelt haben oder hätten handeln sollen, jedoch unter solidarischer Mithaftung der juristischen Person, der Gesellschaft oder der Einzelfirma für die Bussen und Kosten.
7) Die zur Begehung einer Verwaltungsübertretung verwendeten oder bestimmten Gegenstände können eingezogen werden.
8) Das Verwaltungsstrafverfahren richtet sich nach den Bestimmungen des Gesetzes über die allgemeine Landesverwaltungspflege.
IX. Schlussbestimmungen
Art. 27
Durchführungsverordnungen
Die Regierung erlässt die zur Durchführung dieses Gesetzes erforderlichen Verordnungen, insbesondere über:
a) die Festsetzung von Gebühren für Massnahmen der Aufsichtsstelle im Rahmen der Aufsicht und der Akkreditierung sowie von Jahresgebühren für die Führung der Verzeichnisse nach Art. 13 Abs. 3 und 4 und Art. 17 Abs. 3 sowie die Vorschreibung dieser Gebühren (Art. 13 Abs. 6);
b) die Festsetzung der zur Erfüllung der Anforderungen dieses Gesetzes und der zu seiner Durchführung erlassenen Verordnungen ausreichenden Finanzmittel sowie der für die Abdeckung des Haftungsrisikos der Zertifizierungsdiensteanbieter ausreichenden Finanzmittel, insbesondere die Festsetzung einer Mindestversicherungssumme für eine Haftpflichtversicherung (Art. 7 Abs. 1 und Art. 14 Abs. 2);
c) die Zuverlässigkeit des Zertifizierungsdiensteanbieters und seines Personals sowie die Fachkenntnisse seines Personals (Art. 7 Abs. 1 und Art. 14 Abs. 2);
d) die näheren Anforderungen an die Signaturprodukte sowie die Systeme, Produkte, Verfahren und sonstigen Mittel zur Anwendung der Art. 7 Abs. 2, Art. 10 und 18, die Durchführung der Prüfung der Signaturprodukte nach Art. 18 Abs. 1 (sichere Signaturerstellungseinheiten) sowie die Ausstellung der Bescheinigung, dass diese Anforderungen erfüllt sind (Art. 18 Abs. 3);
e) die näheren Anforderungen an die Verzeichnis- und Widerrufsdienste für qualifizierte Zertifikate (Art. 8 Abs. 5 und Art. 9);
f) die Durchführung der Aufsicht (Art. 6 und 13 bis 15) sowie die Dauer der Weiterführung der Widerrufsdienste durch die Aufsichtsstelle (Art. 12 und 14 Abs. 5);
g) die Anwendungsbereiche, Anforderungen und Toleranzen für sichere Zeitstempeldienste (Art. 7 Abs. 1 und Art. 10);
h) die Ausstellung, die Gültigkeitsdauer und die Erneuerung der qualifizierten Zertifikate (Art. 5 und 8) sowie den Zeitraum und das Verfahren, nach denen eine neue elektronische Signatur angebracht werden sollte (Nachsignieren);
i) die Form, Darstellung (z.B. Klartext) und Verfügbarkeit des Signatur- und Zertifizierungskonzepts (Art. 6);
k) die Art sowie die Dauer der Aufbewahrung einer Dokumentation (Art. 11);
l) die Art und Form der Kennzeichnung (z.B. Gütezeichen) akkreditierter Zertifizierungsdiensteanbieter (Art. 17).
Art. 28
Inkrafttreten
Dieses Gesetz tritt am Tage der Kundmachung in Kraft.
gez. Hans-Adam

gez. Otmar Hasler

Fürstlicher Regierungschef
Übergangsbestimmungen
784.11 Signaturgesetz (SigG)
Liechtensteinisches Landesgesetzblatt
Jahrgang 2007 Nr. 39 ausgegeben am 21. Februar 2007
Gesetz
vom 13. Dezember 2006
über die Abänderung des Signaturgesetzes
...
II.
Übergangsbestimmungen
1) Die inländischen Behörden sind im Rahmen ihrer Tätigkeit berechtigt, bis zum 31. Dezember 2008 gleichgestellt mit sicheren Signaturen auch fortgeschrittene elektronische Signaturen zu verwenden, welche auf einem qualifizierten Zertifikat mit einer Mindestschlüssellänge von 1024 Bit beruhen müssen.
2) Hinsichtlich der von einem Zertifizierungsdiensteanbieter eingesetzten und zum Einsatz empfohlenen Systeme und Komponenten darf bis zum 31. Dezember 2008 von der Sicherheitsbescheinigung gemäss Art. 19 abgesehen werden.
3) Die Regierung ist ermächtigt, mittels Verordnung die sicherheitstechnischen und organisationsrelevanten Voraussetzungen für die den sicheren Signaturen gleichgestellten fortgeschrittenen elektronischen Signaturen des Abs. 1, insbesondere die in Abs. 1 vorgesehene Mindestschlüssellänge eines qualifizierten Zertifikates, entsprechend dem Stand der Technik und den praktischen Erfordernissen festzulegen.
...

1   Art. 2 Abs. 1 Bst. r eingefügt durch LGBl. 2007 Nr. 39.

2   Art. 4 Abs. 2 Bst. b abgeändert durch LGBl. 2007 Nr. 39.

3   Art. 4 Abs. 2 Bst. c abgeändert durch LGBl. 2013 Nr. 6.

4   Art. 5a eingefügt durch LGBl. 2007 Nr. 39.

5   Art. 5b eingefügt durch LGBl. 2007 Nr. 39.