VDG – Vertrauensdienstegesetz

(1) Dieses Gesetz regelt die wirksame Durchführung der Vorschriften über Vertrauensdienste in der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257 vom 28.8.2014, S. 73) in der jeweils geltenden Fassung.

(2) Unberührt bleiben Rechtsvorschriften, die die Nutzung bestimmter Vertrauensdienste und die hierfür zu verwendenden Produkte regeln.

(1) Die Aufgaben der Aufsichtsstelle nach Artikel 17 der Verordnung (EU) Nr. 910/2014 und nach diesem Gesetz sowie nach der Rechtsverordnung nach § 20 obliegen

1.

der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) für die Bereiche

a)

Erstellung, Überprüfung und Validierung elektronischer Signaturen, elektronischer Siegel oder elektronischer Zeitstempel und Dienste für die Zustellung elektronischer Einschreiben sowie von diese Dienste betreffenden Zertifikaten nach Artikel 3 Nummer 16 Buchstabe a der Verordnung (EU) Nr. 910/2014 und

b)

Bewahrung von diese Dienste betreffenden elektronischen Signaturen, Siegeln oder Zertifikaten nach Artikel 3 Nummer 16 Buchstabe c der Verordnung (EU) Nr. 910/2014 und

2.

dem Bundesamt für Sicherheit in der Informationstechnik für den Bereich Erstellung, Überprüfung und Validierung von Zertifikaten für die Website-Authentifizierung nach Artikel 3 Nummer 16 Buchstabe b der Verordnung (EU) Nr. 910/2014.

(2) Von der Aufgabenzuweisung an die Bundesnetzagentur unberührt bleiben die Aufgaben des Bundesamtes für Sicherheit in der Informationstechnik nach dem BSI-Gesetz und nach weiteren Fachgesetzen, insbesondere

1.

bei der Erstellung technischer Standards in nationalen, europäischen und internationalen Gremien in Abstimmung mit der Bundesnetzagentur,

2.

die Bewertung von Algorithmen und zugehörigen Parametern sowie

3.

die Erstellung technischer Vorgaben und die Bewertung technischer Standards für den Einsatz von Vertrauensdiensten in Digitalisierungsvorhaben nach Maßgabe der entsprechenden Fachgesetze.

Verwaltungsverfahren nach diesem Gesetz oder nach der Rechtsverordnung nach § 20 können über eine einheitliche Stelle im Sinne des Verwaltungsverfahrensgesetzes abgewickelt werden.

(1) Ergänzend zu den Aufgaben aus der Verordnung (EU) Nr. 910/2014 obliegt der Aufsichtsstelle auch die Aufsicht über die Einhaltung dieses Gesetzes sowie der Rechtsverordnung nach § 20.

(2) Die Aufsichtsstelle kann gegenüber Vertrauensdiensteanbietern die erforderlichen Maßnahmen zur Einhaltung dieses Gesetzes sowie der Rechtsverordnung nach § 20 treffen. Zur Einhaltung dieses Gesetzes sowie der Rechtsverordnung nach § 20 kann sie von Vertrauensdiensteanbietern Nachweise anfordern und selbst Überprüfungen vornehmen. Im Übrigen stehen der Aufsichtsstelle die Maßnahmen nach der Verordnung (EU) Nr. 910/2014, insbesondere nach Artikel 17 Absatz 4, auch zur Durchsetzung dieses Gesetzes sowie der Rechtsverordnung nach § 20 zur Verfügung.

(3) Die Aufsichtsstelle kann einem Vertrauensdiensteanbieter den Betrieb vorübergehend, teilweise oder ganz untersagen, wenn

1.

Maßnahmen nach Artikel 17 Absatz 4 Buchstabe j der Verordnung (EU) Nr. 910/2014 keinen Erfolg versprechen und

2.

Tatsachen die Annahme rechtfertigen, dass der Anbieter die Voraussetzungen für den Betrieb eines Vertrauensdienstes nach der Verordnung (EU) Nr. 910/2014 sowie nach diesem Gesetz und nach der Rechtsverordnung nach § 20 nicht erfüllt.

(1) Zur Prüfung der Einhaltung ihrer Verpflichtungen haben der Vertrauensdiensteanbieter und die für ihn tätigen Dritten den Bediensteten und Beauftragten

1.

der Aufsichtsstelle das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten zu gestatten,

2.

der Aufsichtsstelle auf Verlangen die in Betracht kommenden Bücher, Aufzeichnungen, Belege, Schriftstücke und sonstigen Unterlagen zur Einsicht vorzulegen, auch soweit sie in elektronischer Form geführt werden,

3.

der Aufsichtsstelle Auskunft zu erteilen und

4.

der Aufsichtsstelle die erforderliche Unterstützung zu gewähren.

(2) Die zur Erteilung einer Auskunft verpflichtete natürliche Person kann die Auskunft auf solche Fragen verweigern, deren Beantwortung sie selbst oder einen der in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen der Gefahr der Verfolgung wegen einer Straftat oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. Hierüber ist die Person zu belehren. Die Vorschriften über die Glaubhaftmachung des Verweigerungsgrundes nach § 56 der Strafprozessordnung sind entsprechend anzuwenden. Die Sätze 1 und 2 gelten für die Vorlage von Unterlagen entsprechend.

Ein Vertrauensdiensteanbieter haftet für Dritte, die er mit Aufgaben nach der Verordnung (EU) Nr. 910/2014, nach diesem Gesetz und nach der Rechtsverordnung nach § 20 beauftragt hat, wie für eigenes Handeln. Die Vorschrift zum Nichteintritt der Ersatzpflicht nach § 831 Absatz 1 Satz 2 des Bürgerlichen Gesetzbuchs ist nicht anzuwenden.

(1) Soweit möglich, haben Vertrauensdiensteanbieter die von ihnen angebotenen Vertrauensdienste für Menschen mit Behinderungen zugänglich und nutzbar zu machen. Soweit sie für die Nutzung der Vertrauensdienste erforderliche Endnutzerprodukte von Drittanbietern anbieten, haben sie, soweit möglich, auch mindestens ein marktübliches Endnutzerprodukt für Menschen mit Behinderungen anzubieten. Bei der Bewertung der Durchführbarkeit von Maßnahmen nach den Sätzen 1 und 2 sind auch technische und wirtschaftliche Belange zu berücksichtigen.

(2) Die Vertrauensdiensteanbieter haben auf ihrer Internetseite über die von ihnen vorgenommenen Maßnahmen zur Barrierefreiheit der Vertrauensdienste und der zur Erbringung solcher Dienste verwendeten Endnutzerprodukte zu informieren. Außerdem haben sie dort Hinweise zu geben, die die Nutzung der von ihnen angebotenen Vertrauensdienste und der hierbei verwendeten Endnutzerprodukte durch Menschen mit Behinderungen erleichtern. Diese Informationen und Hinweise sowie die Informationen, die sich an alle Verbraucher richten, müssen nach Maßgabe der Rechtsverordnung nach § 20 barrierefrei zugänglich und nutzbar sein.

(3) Barrieren können von jedermann der Aufsichtsstelle gemeldet werden.

(1) Unbeschadet anderer Rechtsgrundlagen dürfen Vertrauensdiensteanbieter auch bei Dritten personenbezogene Daten verarbeiten, soweit dies für die Erbringung, einschließlich der Prüfung und Sicherstellung der rechtlichen Gültigkeit, des jeweiligen Vertrauensdienstes erforderlich ist.

(2) Der Vertrauensdiensteanbieter darf personenbezogene Daten einer Person, die Vertrauensdienste nutzt, den zuständigen Stellen übermitteln,

1.

soweit die zuständigen Stellen die Übermittlung nach Maßgabe der hierfür geltenden Bestimmungen verlangen, da die Übermittlung erforderlich ist

a)

für die Verfolgung von Straftaten oder Ordnungswidrigkeiten,

b)

zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder

c)

für die Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes, des Militärischen Abschirmdienstes oder der Finanzbehörden, oder

2.

soweit Gerichte die Übermittlung im Rahmen anhängiger Verfahren nach Maßgabe der hierfür geltenden Bestimmungen anordnen.

Die Berechtigung zur Datenübermittlung nach Satz 1 Nummer 1 gilt nicht, soweit sie durch andere Gesetze ausdrücklich ausgeschlossen ist.

(3) Die Vertrauensdiensteanbieter haben die Übermittlung zu dokumentieren. Die Dokumentation ist zwölf Monate aufzubewahren.

(4) Hat die zuständige Stelle ein Verlangen nach Datenübermittlung nach Absatz 2 Nummer 1 gestellt, so unterrichtet sie die betroffene Person über die erfolgte Übermittlung der Daten. Von der Unterrichtung kann abgesehen werden, solange die Wahrnehmung der gesetzlichen Aufgaben gefährdet würde und solange das Interesse der betroffenen Person an der Unterrichtung nicht überwiegt. Fünf Jahre nach der Übermittlung kann endgültig von der Benachrichtigung abgesehen werden, wenn die Voraussetzungen für die Benachrichtigung mit an Sicherheit grenzender Wahrscheinlichkeit auch in Zukunft nicht eintreten werden.

(5) Die allgemeinen Datenschutzanforderungen bleiben unberührt.

Die Bundesnetzagentur ist für die Aufstellung, Führung und Veröffentlichung von Vertrauenslisten nach Artikel 22 Absatz 1 der Verordnung (EU) Nr. 910/2014 zuständig.

Die Mindestsumme für die gemäß Artikel 24 Absatz 2 Buchstabe c der Verordnung (EU) Nr. 910/2014 erforderliche angemessene Deckungsvorsorge beträgt jeweils 250 000 Euro für einen Schaden, der durch ein haftungsauslösendes Ereignis gemäß Artikel 13 der Verordnung (EU) Nr. 910/2014 verursacht worden ist.

(1) Die Bundesnetzagentur legt nach Anhörung der betroffenen Kreise und im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik durch Verfügung im Amtsblatt fest, welche sonstigen Identifizierungsmethoden im Sinne des Artikels 24 Absatz 1 Unterabsatz 2 Buchstabe d Satz 1 der Verordnung (EU) Nr. 910/2014 anerkannt sind und welche Mindestanforderungen dafür jeweils gelten.

(2) Die Bundesnetzagentur überprüft die Verfügung nach Absatz 1 regelmäßig im Abstand von vier Jahren sowie

1.

bei der begründeten Annahme, dass Methoden nicht mehr hinreichend sicher sind, oder

2.

auf Ersuchen des Bundesamtes für Sicherheit in der Informationstechnik.

(3) Innovative Identifizierungsmethoden, die noch nicht durch Verfügung im Amtsblatt anerkannt sind, können von der Bundesnetzagentur im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und nach Anhörung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit für einen Zeitraum von bis zu zwei Jahren vorläufig anerkannt werden, sofern eine Konformitätsbewertungsstelle die gleichwertige Sicherheit der Identifizierungsmethode im Sinne des Artikels 24 Absatz 1 Unterabsatz 2 Buchstabe d der Verordnung (EU) Nr. 910/2014 bestätigt hat. Die Bundesnetzagentur veröffentlicht die vorläufig anerkannten Identifizierungsmethoden auf ihrer Internetseite. Die Bundesnetzagentur und das Bundesamt für Sicherheit in der Informationstechnik überwachen die Eignung der vorläufig anerkannten Identifizierungsmethoden über den gesamten Zeitraum der vorläufigen Anerkennung. Werden durch die Überwachung sicherheitsrelevante Risiken bei der vorläufig anerkannten Identifizierungsmethode erkannt, so kann die Aufsichtsstelle im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik dem qualifizierten Vertrauensdiensteanbieter die Behebung dieser Risiken durch ergänzende Maßnahmen auferlegen, sofern dies sicherheitstechnisch sinnvoll ist. Lässt sich durch ergänzende Maßnahmen keine hinreichende Sicherheit der vorläufig anerkannten Identifizierungsmethode gewährleisten, so soll die Aufsichtsstelle dem qualifizierten Vertrauensdiensteanbieter die Nutzung dieser Identifizierungsmethode untersagen.

(4) Der qualifizierte Vertrauensdiensteanbieter darf nach Maßgabe der datenschutzrechtlichen Bestimmungen personenbezogene Daten nutzen, die zu einem früheren Zeitpunkt im Rahmen einer ordnungsgemäßen Identitätsprüfung erhoben wurden, sofern und soweit diese Daten zum Zeitpunkt der Antragstellung die zuverlässige Identitätsfeststellung des Antragstellers gewährleisten.

(1) Ein qualifiziertes Zertifikat für elektronische Signaturen kann auf Verlangen eines Antragstellers folgende Attribute enthalten:

1.

Angaben über die Vertretungsmacht des Antragstellers für eine dritte Person,

2.

amts- und berufsbezogene oder sonstige Angaben zur Person des Antragstellers und

3.

weitere personenbezogene Angaben.

Angaben über die Vertretungsmacht dürfen nur dann in das qualifizierte Zertifikat aufgenommen werden, wenn dem qualifizierten Vertrauensdiensteanbieter die Einwilligung der dritten Person nachgewiesen wird. Amts- und berufsbezogene oder sonstige Angaben zur Person des Antragstellers dürfen nur dann in das qualifizierte Zertifikat aufgenommen werden, wenn die jeweils zuständige Stelle die Angaben bestätigt hat. Weitere personenbezogene Angaben dürfen in ein qualifiziertes Zertifikat nur mit Einwilligung des Betroffenen aufgenommen werden.

(2) Soll in das qualifizierte Zertifikat anstelle des Namens ein Pseudonym eingetragen werden, so sind Angaben über eine Vertretungsmacht für eine dritte Person oder amts- und berufsbezogene oder sonstige Angaben zur Person nur zulässig, wenn eine Einwilligung der dritten Person oder der jeweils zuständigen Stelle zur Verwendung des Pseudonyms vorliegt.

(3) Die Absätze 1 und 2 gelten entsprechend für qualifizierte Zertifikate für elektronische Siegel. Attribute in qualifizierten Zertifikaten für elektronische Siegel können auch die Vertretungsverhältnisse innerhalb der antragstellenden juristischen Person enthalten, sofern diese Vertretungsverhältnisse dem qualifizierten Vertrauensdiensteanbieter nachgewiesen werden.

(1) Der qualifizierte Vertrauensdiensteanbieter hat die Personen, die er nach Artikel 24 Absatz 2 Buchstabe d der Verordnung (EU) Nr. 910/2014 über die Nutzungsbedingungen zu unterrichten hat, weil sie einen qualifizierten Vertrauensdienst nutzen wollen, auch

1.

über die Maßnahmen zu unterrichten, die erforderlich sind, um zur Sicherheit der angebotenen qualifizierten Vertrauensdienste und deren zuverlässiger Nutzung beizutragen, und dabei auf entsprechende Informationsmöglichkeiten hinzuweisen, insbesondere auf Informationsangebote der Hersteller von Produkten für qualifizierte Vertrauensdienste und auf Informationsangebote der Aufsichtsstellen,

2.

darauf hinzuweisen, dass entsprechend § 15 qualifiziert elektronisch signierte, gesiegelte oder zeitgestempelte Daten bei Bedarf durch geeignete Maßnahmen neu zu schützen sind, bevor der Sicherheitswert der vorhandenen Signaturen, Siegel oder Zeitstempel durch Zeitablauf geringer wird, und

3.

über die Rechtswirkungen der angebotenen qualifizierten Vertrauensdienste zu unterrichten.

(2) Soweit eine Person, die einen qualifizierten Vertrauensdienst nutzen will, bereits zu einem früheren Zeitpunkt nach Artikel 24 Absatz 2 Buchstabe d der Verordnung (EU) Nr. 910/2014 sowie nach Absatz 1 unterrichtet worden ist und sich keine Änderungen ergeben haben, kann eine erneute Unterrichtung unterbleiben.

(1) Der qualifizierte Vertrauensdiensteanbieter hat ein noch gültiges qualifiziertes Zertifikat insbesondere dann unverzüglich zu widerrufen, wenn

1.

die Person, der das qualifizierte Zertifikat ausgestellt wurde, es verlangt,

2.

das qualifizierte Zertifikat auf Grund falscher Angaben zu den Anhängen I, III und IV der Verordnung (EU) Nr. 910/2014 ausgestellt wurde,

3.

er seine Tätigkeit beendet und diese nicht von einem anderen qualifizierten Vertrauensdiensteanbieter fortgeführt wird oder

4.

Tatsachen die Annahme rechtfertigen, dass

a)

das qualifizierte Zertifikat gefälscht oder nicht hinreichend fälschungssicher ist oder

b)

die verwendeten qualifizierten elektronischen Signaturerstellungseinheiten oder qualifizierten elektronischen Siegelerstellungseinheiten Sicherheitsmängel aufweisen.

Weitere Widerrufsgründe können vertraglich vereinbart werden. Wurde ein qualifiziertes Zertifikat mit falschen Angaben ausgestellt, so kann der qualifizierte Vertrauensdiensteanbieter dies zusätzlich kenntlich machen.

(2) Enthält ein qualifiziertes Zertifikat Attribute nach § 12 Absatz 1 oder § 12 Absatz 3 Satz 2, so kann auch die dritte Person oder die für die amts- und berufsbezogenen oder sonstigen Angaben zur Person zuständige Stelle einen Widerruf des Zertifikats verlangen, wenn

1.

die Vertretungsmacht entfällt oder

2.

die Voraussetzungen für die amts- und berufsbezogenen oder sonstigen Angaben zur Person nach Aufnahme in das qualifizierte Zertifikat entfallen.

(3) Liegen die in Absatz 1 Satz 1 Nummer 3 oder eine der in Absatz 1 Satz 1 Nummer 4 genannten Voraussetzungen vor, so kann die Aufsichtsstelle den Widerruf eines qualifizierten Zertifikats anordnen.

Sofern hierfür Bedarf besteht, sind qualifiziert elektronisch signierte, gesiegelte oder zeitgestempelte Daten durch geeignete Maßnahmen neu zu schützen, bevor der Sicherheitswert der vorhandenen Signaturen, Siegel oder Zeitstempel durch Zeitablauf geringer wird. Die neue Sicherung muss nach dem Stand der Technik erfolgen.

(1) In dem Beendigungsplan nach Artikel 24 Absatz 2 Buchstabe i der Verordnung (EU) Nr. 910/2014 hat ein qualifizierter Vertrauensdiensteanbieter alle erforderlichen Maßnahmen vorzusehen, damit bei Einstellung der Tätigkeit, bei Entzug des Qualifikationsstatus oder wenn die Eröffnung eines Insolvenzverfahrens beantragt und die Tätigkeit nicht fortgesetzt wird, alle von ihm ausgegebenen qualifizierten Zertifikate im Zusammenhang mit elektronischen Signaturen und Siegeln sowie Zertifikate im Zusammenhang mit Anhang I Buchstabe g, Anhang III Buchstabe g und Artikel 42 Absatz 1 Buchstabe c der Verordnung (EU) Nr. 910/2014 einschließlich der Widerrufsinformationen

1.

von einem anderen qualifizierten Vertrauensdiensteanbieter übernommen werden können oder

2.

von der Bundesnetzagentur in die Vertrauensinfrastruktur nach Absatz 5 übernommen werden können.

Im Falle von Satz 1 Nummer 2 hat der qualifizierte Vertrauensdiensteanbieter die noch gültigen Zertifikate vor der Übermittlung an die Bundesnetzagentur zu widerrufen. Er hat in jedem Fall sicherzustellen, dass die dazugehörigen Aufzeichnungen nach Artikel 24 Absatz 2 Buchstabe h der Verordnung (EU) Nr. 910/2014 an den Übernehmenden übermittelt werden.

(2) Im Beendigungsplan hat der qualifizierte Vertrauensdiensteanbieter auch Vorkehrungen zu treffen, um die Inhaber der in Absatz 1 Satz 1 genannten Zertifikate, soweit möglich, mindestens zwei Monate im Voraus über die Einstellung seiner Tätigkeit und über die Übernahme seiner Zertifikate zu benachrichtigen.

(3) In den Fällen des Absatzes 1 Satz 1 Nummer 2 erteilt die Bundesnetzagentur bei Vorliegen eines berechtigten Interesses Auskunft zu den Aufzeichnungen, soweit dies technisch und ohne unverhältnismäßig großen Aufwand möglich ist. Ein darüber hinausgehendes Auskunftsrecht gemäß § 19 des Bundesdatenschutzgesetzes und nach Artikel 15 der Verordnung (EU) 2016/679 bleibt hiervon unberührt.

(4) Qualifizierte Vertrauensdiensteanbieter haben für die gesamte Zeit ihres Betriebs

1.

die in Absatz 1 Satz 1 genannten Zertifikate auch über den Zeitraum ihrer Gültigkeit hinaus zusammen mit den dazugehörigen Widerrufsinformationen in einer Zertifikatsdatenbank nach Artikel 24 Absatz 2 Buchstabe k und Absatz 4 der Verordnung (EU) Nr. 910/2014 zu führen und

2.

die dazugehörigen Aufzeichnungen nach Artikel 24 Absatz 2 Buchstabe h der Verordnung (EU) Nr. 910/2014 aufzubewahren.

(5) Die Bundesnetzagentur hat eine Vertrauensinfrastruktur zur dauerhaften Prüfbarkeit qualifizierter elektronischer Zertifikate und qualifizierter elektronischer Zeitstempel einzurichten, zu unterhalten und laufend zu aktualisieren. Näheres regelt die Rechtsverordnung nach § 20 Absatz 2 Nummer 5.

(1) Die Bundesnetzagentur benennt auf Antrag eine Organisation als private Stelle gemäß Artikel 30 Absatz 1 der Verordnung (EU) Nr. 910/2014 sowie gemäß Artikel 39 Absatz 2 in Verbindung mit Artikel 30 Absatz 1 der Verordnung (EU) Nr. 910/2014, sofern die Akkreditierungsstelle nach § 1 Absatz 1 des Akkreditierungsstellengesetzes durch Akkreditierung festgestellt hat, dass die private Stelle die erforderlichen Anforderungen erfüllt. Die Benennung kann

1.

inhaltlich beschränkt werden, vorläufig erteilt werden oder mit einer Befristung versehen erteilt werden und

2.

mit Auflagen verbunden sein.

(2) Solange die Europäische Kommission keine delegierten Rechtsakte nach Artikel 30 Absatz 4 der Verordnung (EU) Nr. 910/2014 erlassen hat, erstellt und veröffentlicht

1.

die Akkreditierungsstelle die fachlichen Kriterien, die für die Akkreditierung zu erfüllen sind, und

2.

die Bundesnetzagentur die fachlichen Kriterien, die für die Benennung als private Stelle nach Artikel 30 Absatz 1 der Verordnung (EU) Nr. 910/2014 zu erfüllen sind.

Die Erstellung der fachlichen Kriterien erfolgt unter maßgeblicher Berücksichtigung der Entscheidung der Kommission vom 6. November 2000 über die Mindestkriterien, die von den Mitgliedstaaten bei der Benennung der Stellen gemäß Artikel 3 Absatz 4 der Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen zu berücksichtigen sind (ABl. L 289 vom 16.11.2000, S. 42).

(3) Eine Stelle, die nach § 17 Absatz 4 Satz 1 des Signaturgesetzes in Verbindung mit § 18 des Signaturgesetzes anerkannt wurde, nimmt hinsichtlich der von ihr auf Grundlage des Signaturgesetzes bestätigten Produkte ihre hiermit zusammenhängenden Aufgaben bis zum Auslaufen der entsprechenden Produktbestätigungen wahr.

(4) Das Bundesamt für Sicherheit in der Informationstechnik ist die öffentliche Stelle gemäß Artikel 30 Absatz 1 der Verordnung (EU) Nr. 910/2014 sowie gemäß Artikel 39 Absatz 2 in Verbindung mit Artikel 30 Absatz 1 der Verordnung (EU) Nr. 910/2014.

Liegt der Konformitätsbewertungsstelle für einen qualifizierten Dienst für die Zustellung elektronischer Einschreiben eine Akkreditierung nach Abschnitt 4 des De-Mail-Gesetzes vor, so soll die Konformitätsbewertungsstelle die Konformitätsbewertung dieses qualifizierten Dienstes nach Möglichkeit auf die Prüfung der Nachweise beschränken, die im Rahmen der Akkreditierung nach § 18 Absatz 3 des De-Mail-Gesetzes erbracht worden sind.

(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

1.

entgegen § 12 Absatz 1 Satz 2, 3 oder 4 oder Absatz 2, jeweils auch in Verbindung mit Absatz 3 Satz 1 oder einer Rechtsverordnung nach § 20 Absatz 2 Nummer 1, eine Angabe in ein qualifiziertes Zertifikat aufnimmt,

2.

entgegen § 14 Absatz 1 Satz 1 Nummer 1 bis 4 oder § 16 Absatz 1 Satz 2 ein Zertifikat nicht oder nicht rechtzeitig widerruft,

3.

entgegen § 16 Absatz 1 Satz 3, auch in Verbindung mit der Rechtsverordnung nach § 20 Absatz 2 Nummer 1, nicht sicherstellt, dass eine Aufzeichnung übermittelt wird, oder

4.

entgegen § 16 Absatz 2 in Verbindung mit der Rechtsverordnung nach § 20 Absatz 2 Nummer 1 eine dort genannte Vorkehrung nicht oder nicht rechtzeitig trifft.

(2) Ordnungswidrig handelt, wer gegen die Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257 vom 28.8.2014, S. 73; L 23 vom 29.1.2015, S. 19) verstößt, indem er vorsätzlich oder fahrlässig

1.

entgegen Artikel 19 Absatz 2 Unterabsatz 1 eine Meldung nicht, nicht richtig oder nicht rechtzeitig macht,

2.

entgegen Artikel 19 Absatz 2 Unterabsatz 2 eine Person nicht, nicht richtig oder nicht rechtzeitig unterrichtet,

3.

entgegen Artikel 21 Absatz 1 eine Mitteilung nicht, nicht richtig oder nicht rechtzeitig vorlegt,

4.

entgegen Artikel 24 Absatz 1 Unterabsatz 1 die Identität einer Person nicht oder nicht rechtzeitig überprüft,

5.

entgegen Artikel 24 Absatz 2 Buchstabe c in Verbindung mit § 10 in Verbindung mit einer Rechtsverordnung nach § 20 Absatz 2 Nummer 3 eine Haftpflichtversicherung nicht oder nicht rechtzeitig abschließt,

6.

entgegen Artikel 24 Absatz 2 Buchstabe e oder f, jeweils in Verbindung mit einer Rechtsverordnung nach § 20 Absatz 2 Nummer 1, ein vertrauenswürdiges System oder Produkt nicht verwendet,

7.

entgegen Artikel 24 Absatz 2 Buchstabe g in Verbindung mit einer Rechtsverordnung nach § 20 Absatz 2 Nummer 1 eine dort genannte Maßnahme nicht oder nicht rechtzeitig trifft,

8.

entgegen Artikel 24 Absatz 2 Buchstabe h Satz 1 eine Information nicht richtig aufzeichnet oder

9.

entgegen Artikel 24 Absatz 3 Satz 1 einen Widerruf nicht oder nicht rechtzeitig veröffentlicht.

(3) Die Ordnungswidrigkeit kann in den Fällen des Absatzes 2 Nummer 5 bis 8 mit einer Geldbuße bis zu einhunderttausend Euro, in den übrigen Fällen mit einer Geldbuße bis zu zwanzigtausend Euro geahndet werden.

(4) Verwaltungsbehörden im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten sind die Bundesnetzagentur und das Bundesamt für Sicherheit in der Informationstechnik jeweils im Rahmen ihrer Zuständigkeit nach § 2 Absatz 1.

(1) Die Bundesregierung legt durch Rechtsverordnung nähere Anforderungen an die Zugänglich- und Nutzbarmachung von Vertrauensdiensten nach Artikel 15 der Verordnung (EU) Nr. 910/2014 und nach § 7 fest. Sie hat dabei technische und wirtschaftliche Belange zu berücksichtigen. Die Rechtsverordnung kann auch Nachweis-, Mitwirkungs- und Informationspflichten der Vertrauensdiensteanbieter enthalten.

(2) Die Bundesregierung wird ermächtigt, in der Rechtsverordnung nach Absatz 1 auch die zur Durchführung der Verordnung (EU) Nr. 910/2014 und dieses Gesetzes erforderlichen Rechtsvorschriften zu erlassen über

1.

die Ausgestaltung der Pflichten der Vertrauensdiensteanbieter bei der Betriebsaufnahme, während des Betriebs und bei der Einstellung des Betriebs nach den Artikeln 17 bis 24 der Verordnung (EU) Nr. 910/2014 und nach den §§ 4 und 5, 9 bis 18,

2.

die Durchführung gemeinsamer Untersuchungen nach Artikel 18 Absatz 3 der Verordnung (EU) Nr. 910/2014,

3.

die zur Erfüllung der Verpflichtung zur Deckungsvorsorge nach § 10 zulässigen Sicherheitsleistungen sowie über deren Umfang, Höhe und inhaltliche Ausgestaltung,

4.

die Anforderungen im Zusammenhang mit einer Zertifikatsdatenbank nach § 16 Absatz 4 Nummer 1,

5.

die Einrichtung einer Vertrauensinfrastruktur zur dauerhaften Prüfbarkeit qualifizierter elektronischer Zertifikate und qualifizierter elektronischer Zeitstempel nach § 16 Absatz 5 und

6.

die Einzelheiten des Verfahrens der Anerkennung und der Tätigkeit von Zertifizierungsstellen nach § 17.

Zertifizierungsdiensteanbieter, die qualifizierte Zertifikate im Sinne von § 2 Nummer 3 des Signaturgesetzes ausgestellt haben, dürfen diese qualifizierten Zertifikate als qualifizierte Vertrauensdiensteanbieter für qualifizierte Zertifikate nach der Verordnung (EU) Nr. 910/2014 weiterhin in ihrem Zertifikatsverzeichnis führen. Sie dürfen weiter alle in diesem Zusammenhang mit ihren Kunden vereinbarten Dienste anbieten, insbesondere einen Widerrufsdienst. § 16 Absatz 1 gilt entsprechend. Die von der Bundesnetzagentur gemäß § 16 Absatz 1 des Signaturgesetzes ausgestellten Zertifikate werden mit Ablauf des 14. November 2018 gesperrt.