Erbringung von qualifizierten Vertrauensdiensten

§ 2

(1) Werden die Einrichtungen eines qualifizierten VDA organisatorisch oder technisch getrennt geführt, so ist durch Sicherheitsmaßnahmen sicherzustellen, dass die Übertragung der Daten zwischen den Teileinrichtungen nicht zu einer Kompromittierung der qualifizierten Vertrauensdienste führt.

(2) Die technischen Einrichtungen eines qualifizierten VDA sind so zu gestalten, dass deren Funktionen und Anwendungen, die zu den bereitgestellten qualifizierten Vertrauensdiensten gehören, von anderen Funktionen und Anwendungen getrennt sind und eine Beeinflussung ausgeschlossen ist. Dies muss sowohl für den regulären Betrieb, für besondere Betriebssituationen und außerhalb des Betriebs sichergestellt sein. Besondere Betriebssituationen wie beispielweise eine Wartung sind zu dokumentieren.

(3) Ein qualifizierter VDA hat geeignete Vorkehrungen zu treffen, die seine Einrichtungen zur Erbringung von qualifizierten Vertrauensdiensten vor unbefugtem Zutritt schützen.

(4) Ein qualifizierter VDA darf im Rahmen der bereitgestellten qualifizierten Vertrauensdienste nur zuverlässiges Personal beschäftigen. Die Zuverlässigkeit ist jedenfalls bei Personen nicht gegeben, die wegen einer mit Vorsatz begangenen strafbaren Handlung zu einer Freiheitsstrafe von mehr als einem Jahr oder wegen strafbarer Handlungen gegen das Vermögen oder gegen die Zuverlässigkeit von Urkunden und Beweiszeichen zu einer Freiheitsstrafe von mehr als drei Monaten verurteilt wurden. Verurteilungen, die nach den Bestimmungen des Tilgungsgesetzes 1972 getilgt sind oder der beschränkten Auskunft unterliegen, bleiben außer Betracht.

(5) Das Personal eines qualifizierten VDA muss in Hinblick auf die zu erfüllenden Aufgaben über ausreichendes Fachwissen in folgenden Bereichen verfügen:

1. 1. allgemeine EDV-Ausbildung,
2. 2. Sicherheitstechnologie, Kryptographie, elektronische Signatur und Public Key Infrastructure,
3. 3. technische Normen, insbesondere Evaluierungsnormen,
4. 4. Hard- und Software,
5. 5. Vorschriften für die Sicherheit und den Schutz personenbezogener Daten sowie
6. 6. Anwendung von Verwaltungs- und Managementverfahren.

(6) Auf Verlangen der Aufsichtsstelle hat der qualifizierte VDA Auskunft über das erforderliche Fachwissen des Personals zu geben. Das erforderliche Fachwissen des Personals kann insbesondere durch

1. 1. Absolvierung einer einschlägigen Höheren Technischen Lehranstalt (HTL),
2. 2. einer einschlägigen Fachhochschule,
3. 3. eines einschlägigen Studiums oder durch
4. 4. eine fachlich einschlägige Tätigkeit in der Dauer von zumindest drei Jahren

   erworben werden.

(7) Werden die Signatur- oder Siegelerstellungsdaten beim qualifizierten VDA oder bei der Produktion der Signatur- oder Siegelerstellungseinheit erzeugt, so muss vom qualifizierten VDA sichergestellt werden, dass die Signatur- oder Siegelerstellungsdaten nur in den alleinigen Verfügungsbereich des Signators oder des Siegelerstellers gelangen. Davor muss die Möglichkeit der Verwendung der Signatur- oder Siegelerstellungsdaten ausgeschlossen sein. In jedem Fall hat sich der qualifizierte VDA darüber zu vergewissern, dass die Signatur- oder Siegelerstellungsdaten des Signators oder des Siegelerstellers und die Signatur- oder Siegelvalidierungsdaten des entsprechenden Zertifikats in komplementärer Weise anwendbar sind.