8. Bundesgesetz, mit dem das Signaturgesetz, das Ziviltechnikergesetz, das Rezeptpflichtgesetz sowie die Gewerbeordnung 1994 geändert werden
Der Nationalrat hat beschlossen:
Artikel 1
Änderung des Signaturgesetzes
Das Bundesgesetz über elektronische Signaturen (Signaturgesetz - SigG), BGBl. I Nr. 190/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 164/2005, wird wie folgt geändert:
1. Dem § 1 wird folgender Abs. 3 angefügt:
„(3) Dieses Bundesgesetz ist auf Zertifizierungsdiensteanbieter (ZDA) anzuwenden, die qualifizierte Zertifikate ausstellen oder qualifizierte Zeitstempeldienste bereitstellen. § 6 Abs. 1, § 22 und § 24 gelten auch für die übrigen ZDA.“
2. In § 2 Z 1 entfällt die Wortfolge „ , also der Feststellung der Identität des Signators,“.
3. § 2 Z 2 und 3 wird durch folgende Z 2, 3 und 3a ersetzt:
- „2. Signator: eine Person oder eine sonstige rechtsfähige Einrichtung, der Signaturerstellungsdaten und Signaturprüfdaten zugeordnet sind und die im eigenen oder fremden Namen eine elektronische Signatur erstellt;
- 3. fortgeschrittene elektronische Signatur: eine elektronische Signatur, die
- a) ausschließlich dem Signator zugeordnet ist,
- b) die Identifizierung des Signators ermöglicht,
- c) mit Mitteln erstellt wird, die der Signator unter seiner alleinigen Kontrolle halten kann, sowie
- d) mit den Daten, auf die sie sich bezieht, so verknüpft ist, dass jede nachträgliche Veränderung der Daten festgestellt werden kann;
- 3a. qualifizierte elektronische Signatur: eine fortgeschrittene elektronische Signatur, die auf einem qualifizierten Zertifikat beruht und von einer sicheren Signaturerstellungseinheit erstellt wird;“
4. § 2 Z 5 lautet:
- „5. sichere Signaturerstellungseinheit: eine konfigurierte Software oder Hardware, die zur Verarbeitung der Signaturerstellungsdaten verwendet wird und die den Sicherheitsanforderungen dieses Bundesgesetzes sowie der auf seiner Grundlage erlassenen Verordnungen entspricht;“
5. In § 2 Z 9 wird nach der Wortfolge „ein Zertifikat“ die Wortfolge „einer natürlichen Person“ eingefügt.
6. In § 2 Z 9, 10, 13 und 14, § 3 Abs. 2, § 5 Abs. 1 Z 2, der Abschnittsüberschrift und der Paragrafenüberschrift vor § 6, § 6 Abs. 1, 4, 5 und 7, im Einleitungsteil des § 7 Abs. 1, § 7 Abs. 1 Z 8, § 7 Abs. 2 und 3, § 8 Abs. 3 und 4, im Einleitungsteil des § 9 Abs. 1, in § 9 Abs. 1 Z 2 und 4, Abs. 2 und 4, im Einleitungsteil des Abs. 5 und Abs. 5 Z 1 und 2, § 11 Abs. 1, § 12, § 13 Abs. 4, § 14 Abs. 3, 5 und 6, § 15 Abs. 2 Z 1, 3, 4 und 7 und Abs. 4, § 16 Abs. 1, § 17 Abs. 1 bis 3, der Paragrafenüberschrift vor § 20, § 22 Abs. 1 bis 3, § 23 Abs. 1 bis 5, § 24 Abs. 1 und im Einleitungsteil des Abs. 2, § 24 Abs. 2 Z 1 bis 3, § 25 Z 2, 3 und 10, § 26 Abs. 2 und im Einleitungsteil des Abs. 3, und § 26 Abs. 3 Z 4 werden die Worte „Zertifizierungsdiensteanbieter“, „Zertifizierungsdiensteanbieters“ und „Zertifizierungsdiensteanbietern“ durch die Buchstabenfolge „ZDA“ ersetzt.
7. § 2 Z 12 lautet:
- „12. qualifizierter Zeitstempel: eine elektronische Bescheinigung, dass bestimmte elektronische Daten zu einem bestimmten Zeitpunkt vorgelegen sind, die den Sicherheitsanforderungen dieses Bundesgesetzes und der auf seiner Grundlage erlassenen Verordnungen entspricht;“
8. In § 4 Abs. 1 und 2, § 7 Abs. 4, § 24 Abs. 3 sowie § 26 Abs. 3 Z 5 wird das Wort „sichere“ durch das Wort „qualifizierte“ ersetzt.
9. In § 4 Abs. 3, § 18 Abs. 2 sowie § 25 Z 6 wird das Wort „sicheren“ jeweils durch das Wort „qualifizierten“ ersetzt.
10. § 5 Abs. 3 lautet:
„(3) Ein qualifiziertes Zertifikat muss mit einer fortgeschrittenen elektronischen Signatur des ZDA versehen sein.“
11. § 6 Abs. 2 und 3 lautet:
„(2) Ein ZDA hat die Aufnahme seiner Tätigkeit unverzüglich der Aufsichtsstelle (§ 13) anzuzeigen. Er hat dieser spätestens mit Aufnahme der Tätigkeit oder bei Änderung seiner Dienste ein Sicherheitskonzept sowie ein Zertifizierungskonzept der von ihm angebotenen Signatur- und Zertifizierungsdienste samt den verwendeten technischen Komponenten und Verfahren vorzulegen.
(3) Das Sicherheitskonzept hat die Einhaltung der Sicherheitsanforderungen dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen darzulegen.“
12. § 6 Abs. 6 entfällt.
13. Die Paragrafenüberschrift vor § 7 lautet:
„Anforderungen an ZDA“
14. Im Einleitungsteil des § 7 Abs. 1, in § 7 Abs. 2 sowie § 14 Abs. 3 entfällt die Wortfolge „ , der qualifizierte Zertifikate ausstellt,“.
15. In § 7 Abs. 1 Z 2 wird nach dem Wort „sicherzustellen“ die Wortfolge „und im Sicherheitskonzept darzulegen, in welcher Form dies erfolgt“ angefügt.
16. In § 7 Abs. 1 Z 3 entfällt der Klammerausdruck „(zB sichere Zeitstempel)“.
17. In § 7 Abs. 1 Z 4 entfällt die Wortfolge „anhand eines amtlichen Lichtbildausweises“.
18. § 7 Abs. 5 und 6 lautet:
„(5) Bei einer qualifizierten elektronischen Signatur muss aus dem Zertifikat, aus der elektronischen Signatur oder aus dem Sicherheits- und Zertifizierungskonzept, auf das im Zertifikat Bezug genommen wird, hervorgehen, dass es sich um eine qualifizierte elektronische Signatur handelt.
(6) Für die Prüfung von qualifiziert signierten Daten sind technische Komponenten und Verfahren geeignet, die sicherstellen, dass
- 1. die signierten Daten nicht verändert worden sind,
- 2. die Signatur zuverlässig geprüft und das Ergebnis korrekt angezeigt wird,
- 3. der Prüfer feststellen kann, auf welche Daten sich die elektronische Signatur bezieht,
- 4. der Prüfer feststellen kann, welchem Signator die elektronische Signatur zugeordnet ist, wobei die Verwendung eines Pseudonyms angezeigt werden muss, und
- 5. sicherheitsrelevante Veränderungen der signierten Daten erkannt werden können.
Auf Ersuchen von Gerichten oder anderen Behörden hat ein ZDA die Prüfung der auf seinen qualifizierten Zertifikaten beruhenden qualifizierten Signaturen vorzunehmen.“
19. § 8 Abs. 1 lautet:
„(1) Ein ZDA oder eine in seinem Auftrag tätige Stelle hat die Identität von Personen, denen ein qualifiziertes Zertifikat ausgestellt werden soll, anhand eines amtlichen Lichtbildausweises oder durch einen anderen in seiner Zuverlässigkeit gleichwertigen, dokumentierten oder zu dokumentierenden Nachweis, festzustellen. Der ZDA hat die Zuordnung bestimmter Signaturprüfdaten zu dieser Person durch ein qualifiziertes Zertifikat zu bestätigen.“
20. § 8 Abs. 2 entfällt.
21. In § 8 Abs. 3 wird der Klammerausdruck „(Abs. 2)“ durch den Klammerausdruck „(Abs. 1)“ ersetzt.
22. § 9 Abs. 3 erster und zweiter Satz lautet:
„Die Veröffentlichung einer Sperre und eines Widerrufs muss den Zeitpunkt ihrer Wirksamkeit enthalten. Dieser Zeitpunkt darf nicht später als eine Stunde nach der Eintragung liegen.“
23. Dem § 9 wird folgender Abs. 6 angefügt:
„(6) Unverzüglichkeit ist dann gegeben, wenn die entsprechende Maßnahme an Werktagen ausgenommen Samstag, von 9 bis 17 Uhr innerhalb von drei Stunden und außerhalb dieser Zeit innerhalb von sechs Stunden erfolgt. Bei postalischer Verständigung ist Unverzüglichkeit dann gegeben, wenn die entsprechende Maßnahme innerhalb von zwei Werktagen erfolgt.“
24. § 10 samt Überschrift lautet:
„Qualifizierte Zeitstempeldienste
§ 10. Stellt ein ZDA qualifizierte Zeitstempeldienste bereit, so hat er im Sicherheits- und im Zertifizierungskonzept nähere Angaben darzulegen. Es sind technische Komponenten und Verfahren zu verwenden, die die Richtigkeit und Unverfälschtheit der Zeitangabe sicherstellen und den Anforderungen des § 18 entsprechen. Er hat weiters für die Signatur- und Zertifizierungsdienste sowie für die Erstellung und Speicherung von Zeitstempeln vertrauenswürdige Systeme, Produkte und Verfahren zu verwenden, die vor Veränderungen geschützt sind und für die technische und kryptographische Sicherheit sorgen. Er hat insbesondere geeignete Vorkehrungen dafür zu treffen, dass Signaturerstellungsdaten geheimgehalten werden und Daten für qualifizierte Zeitstempel nicht unerkannt gefälscht oder verfälscht werden können.“
25. § 11 Abs. 2 und 3 lautet:
„(2) Auf Ersuchen von Gerichten oder anderen Behörden hat ein ZDA die Dokumentation nach Abs. 1 auszufolgen. Im Fall der Einstellung seiner Tätigkeit hat ein ZDA die Dokumentation nach Abs. 1 dem mit der Weiterführung der Verzeichnis- und Widerrufsdienste betrauten ZDA oder der Aufsichtsstelle auszufolgen.
(3) Die Aufbewahrungsdauer der Dokumentation nach Abs. 1 ist im Sicherheits- und Zertifizierungskonzept anzugeben. Die Dokumentation des Ausstellens, der Sperre und des Widerrufs eines qualifizierten Zertifikats ist bis zum Ablauf der allgemeinen Verjährungszeit im Sinne des § 1478 ABGB, gerechnet ab dem im Zertifikat eingetragenen Ende der Gültigkeit, aufzubewahren.“
26. In § 13 Abs. 1 wird der Klammerausdruck „(§ 110 TKG)“ durch den Klammerausdruck „(§ 116 TKG 2003)“ ersetzt.
27. § 13 Abs. 2 entfällt.
28. § 13 Abs. 3 lautet:
„(3) Die Aufsichtsstelle hat dafür Sorge zu tragen, dass ein elektronisch allgemein zugängliches Verzeichnis der gültigen, gesperrten und widerrufenen Zertifikate für ZDA, der im Inland niedergelassenen ZDA, der von ihr akkreditierten ZDA und der Drittstaaten-ZDA, für deren Zertifikate ein im Inland niedergelassener ZDA nach § 24 Abs. 2 Z 2 einsteht, geführt wird. Auf Antrag sind auch andere im Ausland niedergelassene ZDA in dieses Verzeichnis aufzunehmen. Zertifikate für ZDA können auch von der Aufsichtsstelle ausgestellt werden. Die Aufsichtsstelle hat die bei ihr geführten Verzeichnisse gesichert im Internet zu veröffentlichen.“
29. § 13 Abs. 4 letzter Satz entfällt.
30. § 14 Abs. 1 lautet:
„(1) Die Aufsichtsstelle kann zur Sicherstellung der Erfüllung der Pflichten aus diesem Bundesgesetz und der auf seiner Grundlage ergangenen Verordnung Zertifikate für ZDA oder von Signatoren widerrufen oder den Widerruf der Zertifikate von Signatoren durch den ZDA anordnen.“
31. § 14 Abs. 2 und 4 entfällt.
32. In § 14 Abs. 3 entfallen die Wörter „zudem“ und „übrigen“.
33. § 14 Abs. 6 zweiter Satz lautet:
„Sie kann insbesondere Auflagen erteilen, unter Setzung einer angemessenen Frist zur Behebung von aufgezeigten Mängeln Maßnahmen androhen oder eine Akkreditierung widerrufen.“
34. In § 15 Abs. 1 wird die Zitierung „(§ 108 TKG)“ durch die Zitierung „(§ 5 KOG)“ ersetzt.
35. § 15 Abs. 2 Z 2 entfällt.
36. § 15 Abs. 3 erster und zweiter Satz wird durch folgenden Satz ersetzt:
„Die RTR-GmbH kann sich zur Beratung geeigneter Personen oder Einrichtungen wie etwa einer Bestätigungsstelle (§ 19) bedienen.“
37. In § 17 Abs. 1 entfällt die Wortfolge „sichere elektronische Signaturverfahren bereitstellen und“.
38. In § 17 Abs. 3 werden folgende Sätze angefügt:
„Sie hat die Akkreditierung eines ZDA zu widerrufen, wenn die Voraussetzungen einer Akkreditierung nach Abs. 1 nicht mehr erfüllt sind. § 14 Abs. 6 ist sinngemäß auch beim Widerruf einer Akkreditierung anzuwenden.“
39. Die Paragrafenüberschrift vor § 18 lautet:
„Sicherheitsanforderungen für technische Komponenten und Verfahren“
40. In § 18 Abs. 1 und 5 sowie § 24 Abs. 3 wird das Wort „sicherer“ jeweils durch das Wort „qualifizierter“ ersetzt.
41. In § 18 Abs. 2 erster Satz wird nach der Wortfolge „dargestellt werden“ die Wortfolge „und dass der Signator zu diesem Zeitpunkt über die Anzahl der Signaturen, die er im Signaturvorgang auslöst, Kenntnis erlangt“ eingefügt.
42. § 18 Abs. 4 entfällt.
43. In § 18 Abs. 5 zweiter Satz wird nach dem Wort „Sicherheitsanforderungen“ die Wortfolge „an sichere Signaturerstellungseinheiten“ eingefügt.
44. Dem § 19 wird folgender Abs. 6 angefügt:
„(6) Die organisatorische Aufsicht über die Bestätigungsstelle obliegt der Aufsichtsstelle (§ 13).“
45. § 20 Abs. 1 lautet:
„(1) Ein ZDA hat den Zertifikatswerber vor Vertragsabschluss schriftlich oder unter Verwendung eines dauerhaften Datenträgers allgemein verständlich über den Inhalt des Sicherheits- und des Zertifizierungskonzepts, über die möglichen Rechtswirkungen des von ihm verwendeten Signaturverfahrens, über die Pflichten eines Signators sowie über die besondere Haftung des ZDA zu unterrichten. Zudem hat er die Bedingungen der Verwendung des Zertifikats, wie etwa Einschränkungen seines Anwendungsbereichs oder des Transaktionswerts, bekanntzugeben; weiters ist auf eine freiwillige Akkreditierung (§ 17) sowie auf besondere Streitbeilegungsverfahren hinzuweisen.“
46. § 20 Abs. 3 entfällt.
47. § 21 zweiter Satz lautet:
„Er hat den Widerruf des qualifizierten Zertifikats zu verlangen, wenn die Signaturerstellungsdaten abhanden kommen, wenn Anhaltspunkte für deren Kompromittierung bestehen oder wenn sich die im qualifizierten Zertifikat bescheinigten Umstände geändert haben.“
48. Die Überschrift vor § 23 lautet:
„Haftung der ZDA“
49. In § 23 Abs. 2 entfällt die Wortfolge „ , der sichere elektronische Signaturverfahren bereitstellt,“.
50. In § 25 Z 3 wird der Klammerausdruck „(§§ 7 Abs. 1 und 14 Abs. 2)“ durch den Klammerausdruck „(§ 7 Abs. 1)“ ersetzt.
51. § 25 Z 7 entfällt.
52. In § 26 Abs. 2 Z 4 entfällt die Wortfolge „und Abs. 3“.
53. In § 26 Abs. 3 Z 6 wird die Wortfolge „2 bis 4“ durch die Ziffer „3“ ersetzt.
54. Dem § 27 wird folgender Abs. 8 angefügt:
„(8) § 1 Abs. 3, § 2 Z 1 bis 3a, 5, 9, 10, 12, 13 und 14, § 3 Abs. 2, § 4 Abs. 1 bis 3, § 5 Abs. 1 Z 2 und Abs. 3, die Abschnittsüberschrift und Paragrafenüberschrift vor § 6, § 6 Abs. 1 bis 5 und 7, die Paragrafenüberschrift vor § 7, § 7 Abs. 1 und Abs. 1 Z 2 bis 4 sowie 8 und Abs. 2 bis 6, § 8 Abs. 1, 3 und 4, § 9 Abs. 1, Abs. 1 Z 2 und 4, Abs. 2 bis 5, Abs. 5 Z 1 und 2 und Abs. 6, § 10 samt Überschrift, § 11 Abs. 1 bis 3, § 12, § 13 Abs. 1, 3 und 4, § 14 Abs. 1, 3, 5 und 6, § 15 Abs. 1 und Abs. 2 Z 1, 3, 4 und 7, Abs. 3 und 4, § 16 Abs. 1, § 17 Abs. 1 bis 3, die Paragrafenüberschrift vor § 18, § 18 Abs. 1, 2, und 5, § 19 Abs. 6, die Paragrafenüberschrift vor § 20, § 20 Abs. 1, § 21, § 22 Abs. 2 und 3, die Paragrafenüberschrift vor § 23, § 23 Abs. 1 bis 5, § 24 Abs. 1 bis 3 und Abs. 2 Z 1 bis 3, § 25 Z 2, 3, 6 und 10, § 26 Abs. 2 und 3 und Abs. 3 Z 4 bis 6 und § 28 Z 2 in der Fassung des Bundesgesetzes BGBl. I Nr. 8/2007 treten am 1. Jänner 2008 in Kraft; gleichzeitig treten § 6 Abs. 6, § 8 Abs. 2, § 13 Abs. 2, § 14 Abs. 2 und 4, § 15 Abs. 2 Z 2, § 18 Abs. 4, § 20 Abs. 3, und § 25 Z 7 außer Kraft.“
55. In § 28 Z 2 wird die Wortfolge „Wissenschaft und Verkehr“ durch die Wortfolge „Verkehr, Innovation und Technologie“ ersetzt.
Artikel 2
Änderung des Ziviltechnikergesetzes
Das Bundesgesetz über Ziviltechniker (Ziviltechnikergesetz 1993 - ZTG), BGBl. Nr. 156/1994, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 164/2005, wird wie folgt geändert:
1. In § 16 Abs. 1 wird das Wort „sichere“ durch das Wort „qualifizierte“ ersetzt.
2. In § 16 Abs. 3 wird das Wort „sicheren“ durch das Wort „qualifizierten“ ersetzt.
3. In § 16 Abs. 1 und 3 wird jeweils die Zitierung „(§ 2 Z 3 SigG)“ durch die Zitierung „(§ 2 Z 3a SigG)“ ersetzt.
4. In § 16 Abs. 3 zweiter Satz wird die Wortfolge „§ 8 Abs. 2 SigG“ durch die Wortfolge „§ 8 Abs. 1 SigG“ ersetzt.
5. Dem § 33 wird folgender Abs. 4 angefügt:
„(4) § 16 Abs. 1 und 3 in der Fassung des Bundesgesetzes BGBl. I Nr. 8/2007 tritt am 1. Jänner 2008 in Kraft.“
Artikel 3
Änderung des Rezeptpflichtgesetzes
Das Bundesgesetz vom 25. Oktober 1972 über die Abgabe von Arzneimitteln auf Grund ärztlicher Verschreibung (Rezeptpflichtgesetz), BGBl. Nr. 413/1972, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 122/2006, wird wie folgt geändert:
1. In § 3 Abs. 1 lit. h wird das Wort „sichere“ durch das Wort „qualifizierte“ ersetzt.
2. Dem § 8 wird folgender Abs. 8 angefügt:
„(8) § 3 Abs. 1 lit. h in der Fassung des Bundesgesetzes BGBl. I Nr. 8/2007 tritt am 1. Jänner 2008 in Kraft.“
Artikel 4
Änderung der Gewerbeordnung 1994
Die Gewerbeordnung 1994 (GewO 1994), BGBl. Nr. 194, wird wie folgt geändert:
1. In § 365s wird folgender Abs. 2a eingefügt:
„(2a) Die Identifizierung im Sinne der beiden vorigen Absätze entfällt, wenn die Identität des Kunden durch eine qualifizierte elektronische Signatur im Sinne des Signaturgesetzes, BGBl. I Nr. 190/1999, in der jeweils geltenden Fassung nachgewiesen wird. § 40b Abs. 1 Z 1 lit. b bis d BWG ist sinngemäß anzuwenden.“
2. Dem § 382 wird folgender Abs. 37 angefügt:
„(37) § 365s Abs. 2a in der Fassung des Bundesgesetzes BGBl. I Nr. 8/2007 tritt mit 1. Jänner 2008 in Kraft.“
Artikel 5
Notifikationshinweis gemäß Artikel 12 der Richtlinie 98/34/EG
Dieses Gesetz wurde unter Einhaltung der Bestimmungen der Richtlinie 98/34/EG über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft, ABl. Nr. L 204 vom 21.7.1998, S. 37 in der Fassung der Richtlinie 98/48/EG , ABl. Nr. L 217 vom 5.8.1998, S. 18, unter der Notifikationsnummer 2007/456/A notifiziert.
Fischer
Gusenbauer
Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)