Zertifikatsdatenbank

§ 5

(1) Der qualifizierte VDA hat sicherzustellen, dass die Formate der Zertifikatsdatenbank (Art. 24 Abs. 2 lit. k eIDAS-VO) für deren Weiterführung durch die Aufsichtsstelle geeignet sind. Die Formate der Zertifikatsdatenbank dürfen während der Geltungsdauer des Zertifikats nicht verändert werden. Jedenfalls muss die Zertifikatsdatenbank die Feststellung zulassen, ob das Zertifikat zu einem bestimmten Zeitpunkt widerrufen war. Die Zertifikatsdatenbank muss allgemein frei zugänglich sein. Die Abfrage der Zertifikatsdatenbank muss unentgeltlich und ohne Identifikation möglich sein.

(2) Der qualifizierte VDA hat den Signatoren, den Siegelerstellern und sonstigen dazu Berechtigten geeignete Kommunikationsmöglichkeiten bekannt zu geben, mit denen diese jederzeit einen Widerruf des Zertifikats veranlassen können. Dafür muss ein Authentifizierungsverfahren vorgesehen werden. Der Widerruf eines Zertifikats muss jedenfalls auch in Papierform möglich sein.

(3) Die Zertifikatsdatenbank muss vor Fälschung, Verfälschung und unbefugtem Zugriff ausreichend geschützt sein. Es muss sichergestellt sein, dass nur befugte Personen Eintragungen und Veränderungen in der Zertifikatsdatenbank vornehmen können. Weiters darf eine Aussetzung nicht unbemerkt rückgängig gemacht werden können.

(4) Die Aktualisierung der Zertifikatsdatenbank muss an Werktagen, ausgenommen Samstagen, von 9 bis 17 Uhr spätestens innerhalb von drei Stunden ab Bekanntwerden des Widerrufsgrundes erfolgen. Außerhalb dieser Zeit hat der qualifizierte VDA jedenfalls dafür Sorge zu tragen, dass ein Verlangen auf Widerruf eines qualifizierten Zertifikats jederzeit automatisiert entgegengenommen wird und die Aussetzung spätestens innerhalb von sechs Stunden auslöst.

(5) Die Zertifikatsdatenbank muss ständig verfügbar sein. Eine durchgehende Unterbrechung der Zertifikatsdatenbank von mehr als 30 Minuten ist als Störfall zu dokumentieren. Für Wartungs- und Ausfallsituationen der Zertifikatsdatenbank ist ein Ersatzsystem bereitzustellen. Fällt auch das Ersatzsystem aus, so ist dies innerhalb eines Kalendertags der Aufsichtsstelle anzuzeigen. Die Aufsichtsstelle hat für die Wiederherstellung der Zertifikatsdatenbank innerhalb von drei Kalendertagen Sorge zu tragen.

(6) Führt die Aufsichtsstelle die Zertifikatsdatenbank gemäß § 9 Abs. 2 zweiter Satz SVG weiter, so ist Art. 24 Abs. 4 eIDAS-VO sinngemäß anzuwenden.

(7) Im Fall einer Aussetzung eines qualifizierten Zertifikats ist der Signator oder der Siegelersteller unverzüglich zu verständigen. Die Aussetzung kann aufgehoben werden. Eine aufgehobene Aussetzung hat auf die Gültigkeit des Zertifikats keinen Einfluss. Wird eine Aussetzung nicht aufgehoben, so ist das Zertifikat zu widerrufen. Erfolgt auf Grund einer Aussetzung der Widerruf eines Zertifikats, so gilt bereits die Aussetzung als Widerruf.

(8) Werden die Signatur- oder Siegelerstellungsdaten des Signators oder des Siegelerstellers bekannt oder kommen diese außer beim Signator oder Siegelersteller als Signatur- oder Siegelerstellungsdaten oder in anderer Form ein weiteres Mal vor, so liegt eine Kompromittierung der Signatur- oder Siegelerstellungsdaten vor.