Stellungnahme. Arbeitskreis Anwendung elektronische Vertrauensdienste Referentenentwurfs Vertrauensdienstegesetz - VDG. 7. November 2016 Seite 1

Transkript

1 Arbeitskreis Anwendung elektronische Vertrauensdienste Referentenentwurfs Vertrauensdienstegesetz - VDG 7. November 2016 Seite 1 Bitkom vertritt mehr als Unternehmen der digitalen Wirtschaft, davon gut Direktmitglieder. Sie erzielen mit Beschäftigten jährlich Inlands-umsätze von 140 Milliarden Euro und stehen für Exporte von weiteren 50 Milliarden Euro. Zu den Mitgliedern zählen Mittelständler, 300 Start-ups und nahezu alle Global Player. Sie bieten Software, IT-Services, Telekommunikations- oder Internetdienste an, stellen Hardware oder Consumer Electronics her, sind im Bereich der digitalen Medien oder der Netzwirtschaft tätig oder in anderer Weise Teil der digitalen Wirtschaft. 78 Prozent der Unternehmen haben ihren Hauptsitz in Deutschland, 9 Prozent kommen aus Europa, 9 Prozent aus den USA und 4 Prozent aus anderen Regionen. Bitkom setzt sich insbesondere für eine innovative Wirtschaftspolitik, eine Modernisierung des Bildungssystems und eine zukunftsorientierte Netzpolitik ein. Der Arbeitskreis Anwendung elektronischer Vertrauensdienste ist das Gremium im Bitkom, das sich thematisch mit den Inhalten des Gesetzgebungsverfahrens und der eidas Verordnung EU 910/2014 (eidas Verordnung) auseinandersetzt. Bundesverband Informationswirtschaft, Telekommunikation und Neue Medien e.v. Cornelius Kopke Bereichsleiter Öffentliche Sicherheit & Wirtschaftsschutz T c.kopke@bitkom.org Albrechtstraße Berlin Präsident Thorsten Dirks Hauptgeschäftsführer Dr. Bernhard Rohleder Die nachfolgende Kommentierung ist in diesem Arbeitskreis erarbeitet worden und soll den Eindruck der betroffenen Unternehmensbereiche, wie Anbieter und Anwenderbranchen wiedergeben. Angesichts der Kürze der Zeit ist die Kommentierung nicht gänzlich mit Alternativvorschlägen versehen und nicht in der üblichen Detailtiefe. In diesem Zusammenhang muss ausdrücklich darauf hingewiesen werden, dass eine Verbändeanhörung nur ausgesprochen kurz bemessen war. Zukünftige Gesetzgebungsverfahren sollten hierfür mindestens 4 Wochen vorsehen, wie auch ursprünglich für diesen Gesetzentwurf des VDG vorgesehen war. Insbesondere wenn das Primärrecht so weit zurückliegt wie hier. Die finale Fassung der eidas Verordnung lag bereits am 17. Juli 2014 vor. Ressortabstimmungen mit umfangreichen Beteiligungen verschiedener Ressorts sollten dies im Projektmanagement dringend mitberücksichtigen und in zeitlicher Planung stärker gewichten.

2 Seite 2 17 I. Zusammenfassung Der Bitkom begrüßt das Vorhaben das Signaturgesetz und die Signaturverordnung durch ein schlankes Vertrauensdienstegesetz abzulösen, um den Anbietern von Vertrauensdiensten auf dem Deutschen Markt und deren Anwendern eine einheitliche, wirtschaftliche Basis zu schaffen. Einleitend sei erwähnt, dass der Referentenentwurf insgesamt den Eindruck einer teleologischen Reduzierung auf die Überführung des Signaturgesetzes erweckt. Der gesetzgeberische Fokus scheint weit überwiegend auf der Perspektive von Signaturen zu liegen und der gesetzgeberische Spielraum zur Einbindung von den verschiedenen Vertrauensdiensten jenseits der Signaturen von natürlichen Personen scheint nicht ausgenutzt. Dies zeigt sich bereits in der Formulierung der Überleitung der Regelungen des Signaturgesetzes sowie der zugehörigen Verordnung zum Rechtsrahmen der Verordnung. Dieser Fokus verengt die Vertrauensdienste auf Signaturen und sollte auch die Siegel, die Bewahrungsdienste die Kommunikationsdienste wie elektronische Einschreiben und weitere Geschäftsmodelle wie Validierungsdienste deutlich stärker berücksichtigen. Auch die Umsetzung in den Fachgesetzten zeigt, dass von 60 Fachgesetzen und Verordnungen aus den verschiedenen Ressorts nur 4 überhaupt das elektronische Siegel berücksichtigen. Auch elektronische Einschreiben über qualifizierte Zustelldienste und Zeitstempel sind nicht berücksichtig. Im Übrigen wird schlicht auf die elektronische Signatur gesetzt. Insbesondere ist hier zu sehen, dass sich auch die zentralen Vorschriften der Prozessordnungen und des BGB lediglich auf den Verweis auf die eidas Verordnung beschränken. Hier hätten auch andere elektronische Vertrauensdienste in einem technologieoffenen Konzept berücksichtigt werden müssen. So hätte man die Haftung für Schäden in informationstechnischen Systemen bei Benutzung eines Siegels begrenzen können, sodass klargestellt ist, dass eine Haftung für identisch gefälschte Nachrichten (Spam) nicht besteht. Man hätte neue Formvorschriften etablieren können für die verschiedenen Rechtsgeschäfte und Siegel in den Rechtsverkehr sinnvoll integrieren. Mensch zu Maschine, Maschine zu Maschine, Security by Designe hätte auch mit den Mitteln der eidas und der Vertrauensdiensteanbieter geregelt werden können. Dies ist leider nicht gemacht worden und diese Chancen für eine Vorreiterrolle in der Digitalisierung nicht genutzt worden. Das Vertrauensdienstegesetz sollte die breite Anwendung der neuen qualifizierten Vertrauensdienste in allen Rechtsgebieten zweifelsfrei ermöglichen. Im Entwurf fehlt eine klare Gleichstellung der Rechtswirksamkeit der qualifizierten Signatur und des qualifizierten Siegels. Dies bezieht sich insbesondere auf die Erfüllung der Schriftform, sowohl im Zivil- als auch im Verwaltungsrecht. Ein über einen qualifizierten Zustelldienst versandtes elektronisches Einschreiben besitz nach der eidas-verordnung eine hohe Beweiskraft: Es gilt die Vermutung der Unversehrtheit der Daten, die Absendung dieser Daten durch den identifizierten Absender und des Empfangs der Daten durch den identifizierten Empfänger und der Korrektheit des Datums und der Uhrzeit der Absendung und des Empfangs, wie sie von dem qualifizierten Dienst für die Zustellung elektronischer Einschreiben angegeben werden. Vor dem

3 Seite 3 17 Hintergrund dieser hohen Standards hätte auch das qualifizierte elektronische Einschreiben den Anforderungen der elektronischen Schriftform i. S. des 126a BGB und des 3 VwVfG genügen können. Es besteht hier die Gefahr, dass den Nutzern eine unterschiedliche Rechtswirksamkeit nicht vermittelt werden kann. Dies wiederum könnte zu einer Skepsis gegenüber den neuen Vertrauensdiensten, sowohl auf Privatkunden als auch auf Geschäftskundenseite, und somit zu einer zögerlichen Marktakzeptanz führen. Mit der eidas Verordnung wurde nicht nur die EU-Signaturrichtlinie überarbeitet, sondern der thematische Regelungsbereich über das Signaturrecht hinaus erweitert und das Regulierungsinstrument geändert. Das hat Folgen für das nationale Signaturrecht in Deutschland. War der deutsche Gesetzgeber beim Signaturgesetz von 1997 noch frei davon, europäisches Recht beachten zu müssen, hatte er sich bei der Schaffung des Signaturgesetzes von 2001 an den Harmonisierungsauftrag aus der EU Signaturrichtlinie von 1999 zu halten. Es gab also einen gewissen Spielraum bei der Umsetzung der EU-Richtlinien. Bei der eidas Verordnung seit 2014 gibt es diesen Spielraum nicht mehr. Für EU-Verordnungen gilt ein Umsetzungsverbot der Verordnung. In einem Durchführungsgesetz können also nur Inhalte geregelt werden, zu denen es in der eidas Verordnung einen klaren Gesetzgebungsauftrag an die Mitgliedstaaten der EU gibt und die nicht mit den Inhalten der eidas Verordnung konkurrieren und diesen gar entgegenstehen. Auch das Aufziehen des Fokus weg von der engen Sichtweise auf Zertifizierungsdienste, Signaturen und Zeitstempel, hin zu Vertrauensdiensten mit Signaturen und Zeitstempeln, nun aber auch Siegeln, Einschreib-Zustelldiensten, Bewahrungsdiensten und Webseiten-Authentifizierung führt dazu, dass Vorgaben, die sich an die alten signaturgesetzkonformen Zertifizierungsdiensteanbieter richteten, nur sehr eingeschränkt auf Vertrauensdiensteanbieter übertragen lassen. An dieser Trennschärfe mangelt es dem vorliegenden VDG-Entwurf. Bestimmte Vorgaben und Ideen, die aus dem Signaturgesetz übernommen wurden, zielen oftmals ins Leere oder erzeugen Widersprüche. Wenn also bestimmte, klassisch deutsche Signaturgesetz-Regeln für alle Vertrauensdienste vorgeschlagen werden, muss zum einen klargestellt werden, dass diese Regeln tatsächlich angewendet werden können und zum anderen, dass nicht zusätzliche, nationale Anforderungen gestellt werden, die in der eidas Verordnung und anderen Mitgliedstaaten nicht bestehen. Neben der Europarechtswidrigkeit aufgrund des Verstoßes gegen das Umsetzungsverbot aus Art. 288 AEUV würden so auch ungewollte Wettbewerbsnachteile für deutsche Anbieter entstehen. Auf die Möglichkeiten der Regulierung aus dem Whitepaper des DIHK zu den Anwendungen von Siegeln sei hingewiesen.diese wird als Anlage mitgesandt und die darin benannten Gesetze. Denn es zeigt sich auch, dass das Normenscreening nicht vollständig zu sein scheint.

4 Seite 4 17 II. Kommentierung der einzelnen Paragrafen des VDG Im Einzelnen: 1 Anwendungsbereich Es besteht die Gefahr, dass Absatz 2 zu einer Technologiebeschränkung und Hinderung der Entwicklung innovativer Geschäftsmodelle führt. Es könnte sich ein erheblicher Nachteil für die Unternehmen im deutschen Markt ergeben. Weitergehende gesetzliche Regelungen zum Einsatz von Vertrauensdiensten oder zu Anforderungen an in Zusammenhang mit Vertrauensdiensten einzusetzende Komponenten dürfen nicht zu mehr Regulierung des Marktes durch höhere Compliance-Anforderungen führen. Es wird daher ein weniger an Regulierung empfohlen. Die Begründung der eidas Verordnung sollte die internationale Verwendung interoperabler Technologien fördern und grundsätzlich technologieneutral ausgestaltet sein. Erweiterte Regulierungen für Vertrauensdienste würden diese im Zweifel weiter einschränken. Auch weitergehende einzusetzende Komponenten-Anforderungen würden erneut nationalstaatliche Einzellösungen schaffen, die die Anbieter auf dem deutschen Markt einseitig benachteiligen. Denn die vorrangige eidas Verordnung würde dazu führen, dass Anbieter anderer Mitgliedstaaten ihre Vertrauensdienste nach diesen (geringeren) Regularien ausrichten und gleichwohl am deutschen Markt anbieten können. Eine besonders stark abgesicherte deutsche Sonderlösung durch die Regulierung weiterer Vertrauensdienste oder einzusetzender Komponenten würde schlicht zu einem Verlust der Wettbewerbsfähigkeit der Anbieter in Deutschland führen. Gleichwohl muss der vom BMI vorgeschlagene zweite Absatz als wichtige Klarstellung formuliert werden, dass rückblickend bereits bestehende Fachgesetze, wie insb. das D -Gesetz, weiterhin gültig bleiben. Durch diese Klarstellung wird der wichtigen Punkt der Rechtssicherheit für Anbieter berücksichtigt, die bereits bestehenden fachgesetzlichen Regelungen unterliegen. Daher wird ein Absatz 2 mit dieser Klarstellung befürwortet. 2 Aufsichtsstelle; zuständige Stelle für die Informationssicherheit 1. Die Wirtschaft erkennt an und sieht, dass zunächst zwei Behörden in der Aufsicht zu den Regelungen der eidas Verordnung benannt sind. Die grundsätzlich richtigen Zuständigkeiten der Bundesnetzagentur und des BSI führen aber auf Seiten der Vertrauensdiensteanbieter zu Complianceanforderungen an zwei Behörden. Im Falle der Beeinträchtigung der Sicherheit von Zertifikaten durch Integritätsverlust oder einer Sicherheitsverletzung (etwa durch Hacking) muss deshalb das Unternehmen prüfen, ob sowohl an die Bundesnetzagentur als Aufsichtsstelle wegen des Widerrufs von Zertifikaten informiert werden muss - und wie genau - sowie zusätzlich auch das BSI als nationale Cybersicherheitsbehörde. Hier wäre eine Klarstellung wünschenswert, dass der Vertrauensdiensteanbieter auch durch Meldung an nur eine Stelle von negativen Folgen wie Bußgeld etc. befreit wird, wenn er umfassend an eine Stelle berichtet und diese dann die Information an die entsprechende Behörde weitergibt. Dies spart auch wertvolle Zeit im Ernstfall. Denn der Vertrauensdiensteanbieter hat es eventuell mit einem aufwendigen Angriff auf seine Kerndienstleistung zu tun.

5 Seite Ergänzend sollte 2 auch die Zusammenarbeit der Aufsichtsstellen untereinander geregelt werden. Sie sollen ihre Anforderungen abstimmen, sodass diese insbesondere nicht widersprüchlich sind und durch Vertrauensdiensteanbieter (und Konformitätsbewertungsstellen) gemeinsam erfüllt werden können. 4 Untersagung des Betriebs Die Regelungen des 4 Nr. 1 bis 3 erscheinen als Überregulierung. Ähnliche Punkte sind bereits in der eidas Verordnung selbst geregelt. Die Einführung zusätzlicher unbestimmte Rechtsbegriffe des nationalen Rechts, die durch die Rechtsprechung ausgefüllt werden müssen, wie Zuverlässigkeit und Fachkunde könnten zu einem deutschen Sonderweg führen, der höhere Maßstäbe an die Vertrauensdiensteanbieter anlegt als innergemeinschaftlich gefordert wird. Auch wird durch die Formulierung eine analoge Anwendung bereits gebildeter Kategorien aus dem Gewerbe oder Waffenrecht impliziert. Hier erscheint die Regulierung der eidas Verordnung Art. 24 Abs. 2 b) ausreichend präzisiert, wenn es dort heißt: Die Vertrauensdiensteanbieter beschäftigen Personal und Unterauftragnehmer, das bzw. die das erforderliche Fachwissen, die erforderliche Zuverlässigkeit, die erforderliche Erfahrung und die erforderliche Qualifikation verfügt bzw. verfügen. Der Referentenentwurf fordert hingegen von dem Anbieter selbst auch noch zusätzlich 1. die für den Betrieb eines Vertrauensdienstes erforderliche Zuverlässigkeit und 2. die für den Betrieb eines Vertrauensdienstes erforderliche Fachkunde sowie weiteren Voraussetzungen für den Betrieb eines Vertrauensdienstes nach der eidas Verordnung sowie diesem Gesetz und der Rechtsverordnung nach 20. Damit wird geregelt, dass der Anbieter selbst und nicht nur das beschäftigte Personal oder die Unterauftragnehmer diese Kriterien zusätzlich erfüllen müssen und es wird ausdrücklich klargestellt, dass zusätzlich die Anforderungen der eidas Verordnung erfüllt werden müssten. Dies erscheint als zusätzliche Regulierung von Anbietern in Deutschland, die sich auch nicht aus der Begründung rechtfertigt. Es wird daher eine ordnungsrechtliche Eingriffserlaubnis in den Gewerbebetrieb nur für die in der eidas Verordnung genannten Fälle bzw. die nicht Erfüllung der Voraussetzungen angeregt. Ansonsten stünde auch zu befürchten, dass gegen den Anwendungsvorrang und der damit verbundenen Waren und Dienstleistungsfreiheit verstoßen werden könnte. Der Referentenentwurf sieht leider keine Klarstellung vor, dass ordnungsrechtlich im Bereich des D Gesetzes die Eingriffsbefugnis nur bei einer Behörde liegen muss und diesbezüglich kein inhaltlicher Rechtsanwendungswiderspruch besteht durch eventuell sich widersprechende Normen. 5 Mitwirkungspflichten der Vertrauensdiensteanbieter In Absatz 1 werden Zutritts- und Zugriffsmöglichkeiten durch die BNetzA etabliert, die eventuell in Konflikt zum weiterhin gültigen D -Gesetz und den Anforderungen an die Anbieter stehen. Diese dürfen nämlich Dritten keinen Zutritt zu der Sicherheitsrelevanten Infrastruktur gewähren und müssen gewährleisten, dass diese nicht

6 Seite 6 17 darauf zugreifen können. Da die D -Anbieter ebenfalls Vertrauensdiensteanbieter sind, ergibt sich hier eventuell ein Rechtsanwendungskonflikt. Hier würde eine Klarstellung abhelfen, dass die Vorschriften aus anderen Spezialgesetzlichen Regelungen Vorrang haben und abschließend sind. Etwa in Form eines Satz 2 zur Abs. 1 5 VDG: Dies gilt nur soweit andere Vorschriften entgegenstehen, insbesondere im Zusammenhang mit dem D -Gesetz. Die Anforderungen an Mitwirkungspflichten für Vertrauensdiensteanbieter gehen über die eidas-verordnung hinaus. Dadurch entstehen Kosten und Wettbewerbsnachteile für deutsche Anbieter. Die wesentlichen Punkte sind bereits im Konformitätsbewertungsbericht gemäß eidas definiert. Mindestens sollte der Grundsatz der Verhältnismäßigkeit aus EG 43 aufgenommen werden. 7 Datenschutz 1. Es erscheint grundsätzlich als fraglich, warum mit 7 weitere spezifische Regelungen zum Datenschutz etabliert werden sollen. Durch die europäische Datenschutzgrundverordnung und ihre aktuell erfolgende Umsetzung in deutsches Recht liegt bereits ein umfassendes datenschutzrechtliches Regelungswerk vor, das in bestehenden Spezialgesetzen teilweise noch weiter spezifiziert wird. Die im Gesetzesentwurf formulierten Bestimmungen sind zu den genannten Bestimmungen redundant und bringen keinen sichtbaren Mehrwert. Stattdessen würden entsprechende Regelungen der angestrebten datenschutzrechtliche Harmonisierung sowie der spezifischen Harmonisierung durch die eidas-verordnung zuwiderlaufen und die Gefahr erheblicher Wettbewerbsverzerrungen zwischen dem deutschen und weiteren europäischen Märkten bergen. Bei der versuchten Einführung der Signaturfunktion auch auf Bankkarten, um so auch die Signaturen und Anwendungen in breite Schichten der Nutzer zu bringen, war der Datenschutz bereits ein Hindernis, da die Daten nur unmittelbar beim Betroffenen erhoben werden durften und Banken nicht etwa Signaturen für ihre Kunden ohne deren vorherige Einwilligung zu einer Signatur verarbeiten. Daran scheiterte auch die Einführung von Signaturen auf dem neuen Personalausweis (npa) in der ersten Phase. Erst die verpflichtende Einbindung der Signaturfunktion des npa wird hier zu einer möglichen Markteinführung begünstigend wirken. Deshalb wäre es durchaus sinnvoll, wenn die datenschutzrechtlichen Befugnisse für qualifizierte Vertrauensdiensteanbieter in eine spezialgesetzliche Ermächtigungsgrundlage für das Erheben und Verarbeiten von ordentlich erhobenen personenbezogenen Daten bei Dritten möglich wäre. Entsprechend wäre die Streichung des Absatzes und stattdessen Einfügung einer spezialgesetzlichen Ermächtigungsgrundlage zur Erhebung, Verarbeitung personenbezogener Daten durch Vertrauensdiensteanbieter (auch bei Dritten) und deren entsprechende Weitergabe sinnvoller. Immerhin sind qualifizierte Vertrauensdiensteanbieter nach der Konformitätsbewertungsstelle und den Aufsichtsbehörden sowie der Erfüllung der Voraussetzungen sowohl fachkundig als auch sicher genug gestaltet, um den Datenschutz überdurchschnittlich hoch zu gewährleisten. Die Gefahr einer

7 Seite 7 17 unrechtmäßigen oder missbräuchlichen Nutzung und Erhebung für andere Zwecke ist praktisch ausgeschlossen und die Betroffenen können über ihre Auskunftsrechte auch nachvollziehbar geltend machen, weil die Zertifikate lange nachvollziehbar sind. Die Formulierung des 7 Abs. 1 stammt ursprünglich aus der RICHTLINIE 1999/93/EG, wurde aber explizit nicht in die eidas-verordnung übernommen. Deutsche Anbieter hätten massive Nachteile gegenüber dem EU- und außereuropäischen Ausland, insbesondere bei nichtqualifizierten Vertrauensdiensten. Auch die Verbreitung der qualifizierten Website-Authentisierungszertifikate würde behindert. Zudem ist die Einwilligung im Umfeld von Signaturen und anderen Vertrauensdiensten keine geeignete Rechtsgrundlage. Sie wird überwiegend im Arbeitsumfeld erteilt. Die Freiwilligkeit der Abgabe kann vom Anbieter nicht überprüft werden (Problem der Regelung im Arbeitsvertrag o.ä.). 2. Auch zeigt sich hier wieder die Fokussierung auf die Regelung von Signaturen. Andere Vertrauensdienste bräuchten ebenfalls eine eigenständige Rechtsgrundlage zur Verarbeitung ordnungsgemäß erhobener, sicher identifizierter und gespeicherter personenbezogener Daten. Beispiele sind die Bewahrungsdienste und die Validierungsdienste. Diese müssen mit den Signaturdaten nicht zwingend ihres natürlichen Kunden umzugehen, sondern diese sollen ja grade Daten von Zertifikaten erhalten und bearbeiten, die von einem Dritten stammen. Denn für die Beweisfunktion wird ja grade nicht das eigene Dokument gesichert, sondern das des Vertragspartners des Dritten. Dessen Zertifikat muss ja gerichtlich verwertbar sein und bleiben. Wenn also ein Dienst zur Bewahrung beispielsweise ein Zertifikat eines Vertragspartners des Kunden erhält, muss dieser Dritte auch in die Datenverarbeitung einwilligen, weil nicht beide Vertragspartner Kunde des Bewahrungsdienstes sein müssen abs. 2 ist im Gegensatz dazu sehr weit gefasst wenn zur Abwehr von Gefahren für die öffentliche Sicherheit und Ordnung bereits Sicherheits- und Finanzbehörden auf die Daten zugreifen können. Hier wäre eine Beschränkung auf schwerwiegende Straftaten ebenfalls denkbar gewesen, um Terrorgefahren und die Finanzierung dieser Aktivitäten zu bekämpfen. Der sehr weite Begriff der öffentlichen Sicherheit und Ordnung, nämlich der Schutz der geschriebenen Rechtsordnung, den Schutz der Einrichtungen des Staates sowie der Schutz der individuellen Rechtsgüter der Bürger (öffentliche Sicherheit) und auch als öffentliche Ordnung, also die Gesamtheit der ungeschriebenen Regeln, welche sowohl für das Verhalten des Einzelnen als auch deren Befolgung in der Öffentlichkeit gelten, ist sehr weit gefasst und bietet eine Universalrechtsgrundlage. Aus Sicht eines Vertrauensdiensteanbieters ist eine Pflicht zur Übermittlung von Daten für die Verfolgung von Ordnungswidrigkeiten nicht zweckmäßig. Weiterhin empfiehlt es sich keine Datenübermittlung zu Zwecken der Erfüllung der gesetzlichen Aufgaben der Finanzbehörden vorzusehen. Neben grundsätzlichen datenschutzrechtlichen Bedenken entstünden aus Sicht eines Vertrauensdiensteanbieters unzumutbare Verwaltungsbelastungen für deutsche Unternehmen.

8 Seite Deckungsvorsorge Hier wird in dem Gesetzentwurf auf eine Haftung für jedes haftungsauslösende Ereignis bezogen. Dies scheint eine sehr weitreichende Formulierung. Im D -Gesetz hingegen heißt es in 18 Absatz 3: eine ausreichende Deckungsvorsorge durch den Abschluss einer Versicherung oder die Freistellungs- oder Gewährleistungsverpflichtung eines Kreditunternehmens mit einer Mindestdeckungssumme von jeweils Euro für einen verursachten Schaden. Das haftungsauslösende Ereignis kann viel mehr sein als ein verursachter Schaden. Dies wird den Vertrauensdiensteanbieter deutlich höhere Liquiditäts- oder Versicherungsnachweise abverlangen und benachteiligt die Vertrauensdiensteanbieter (VDA), weil sich dies auch in den Prämien der Versicherungen niederschlägt. So kann ein Schaden auf mehrere haftungsauslösende Ereignisse zurückzuführen sein. Gleichwohl bleibt nur ein Schaden zurück, der auch verursacht worden sein muss. Die eidas Verordnung selbst stellt in Art. 24 Unterabs. 2 Lit. c) auf die Schäden ab: Sie (VDA) verfügen in Bezug auf das Haftungsrisiko für Schäden gemäß Artikel 13 über ausreichende Finanzmittel und/oder schließen eine angemessene Haftpflichtversicherung nach nationalem Recht ab. Auch scheint die Summe in Bezug auf haftungsauslösende Ereignisse sehr hoch. Hier wäre ein Vergleich zu anderen Mitgliedstaaten oder eine pragmatische Anpassung innerhalb der Vertrauensdiensteverordnug an das Niveau anderer Mitgliedstaaten sinnvoller. Niedrigere Deckungsniveaus in anderen EU-Staaten können zu Wettbewerbsnachteilen für deutsche Anbieter führen, die deutlich höhere Kapital- bzw. Versicherungsnachweise vorhalten müssten. 10 Identitätsprüfung Der vorliegende Gesetzentwurf geht nicht auf die staatlich anerkannten eid-systeme ein. Es wird angeregt, eine zuständige Behörde für die Anerkennung und Notifizierung von elektronischen Identifizierungssystemen zu benennen und eine gesetzliche Regelung zu treffen: (3) Der Behörde N.N. obliegt die Anerkennung und Notifizierung von nichtstaatlich betriebenen elektronischen Identifizierungssystemen nach Kapitel II der Verordnung (EU) Nr. 910/2014. Um die ambitionierte digitale Agenda Deutschlands umzusetzen, sind, zusätzlich zum neuen Personalausweis, alternative und universell einsetzbare eid-systeme erforderlich. Der eid-funktion des neuen Personalausweises mangelt es aus diversen Gründen aktuell noch an Marktakzeptanz und relevanz und dies wird, mit großer Wahrscheinlichkeit, auch noch für eine relevante Zeit so bleiben. Schon weil der Austausch der alten Personalausweise noch einige Zeit in Anspruch nimmt. Außerdem steht diese Funktion den EU-Bürgern in Deutschland nicht zur Verfügung, sodass ergänzende Lösungen unabdingbar sind. Die mit der Entwicklung und Vermarktung solcher Systeme einhergehenden Risiken können signifikant reduziert werden, wenn das

9 Seite 9 17 Vertrauensdienstegesetz einen Weg zur staatlichen Anerkennung und Notifizierung von elektronischen Identitätssystemen aufzeigt. Es wird zu 10 Abs. 1 angemerkt, dass die Bundesnetzagentur als Aufsichtsbehörde hier ausdrücklich nur für zusätzliche Identifizierungsmittel und deren Anerkennung zuständig ist, die neben den ohnehin von der Konformitätsbewertungsstelle akzeptierten Methoden anerkannt werden sollen. Es sollte sich also ausdrücklich um einen Ausnahmetatbestand handeln, der die zuständige Behörde ermächtigt, die Identifizierungsmethoden im Amtsblatt zu veröffentlichen, die nicht schon nach europäischen Vorgaben zugelassen sind. Insofern wird eine ausdrückliche Klarstellung durch die übergeordnete Behörde befürwortet, um für Rechtssicherheit ergänzender Verfahren zu Identifizierung zu sorgen. Es wäre deshalb auch wesentlich, alle europäisch anerkannten Identifizierungsmethoden informativ zu listen. Sofern personenbezogene Daten (Identitätsdaten) genutzt werden, die zu einem früheren Zeitpunkt erhoben worden sind, müssen diese der im Antragsverfahren handelnden Person eindeutig zugeordnet werden können: gehören die Identitätsdaten zur handelnden Person? Dies ist insbesondere vor dem Hintergrund neuer online geführter medienbruch-freier Antragsprozesse wichtig, in deren Rahmen bereits erhobene Identitätsdaten weiter genutzt werden und der Antragsteller nicht mehr persönlich in Erscheinung tritt. Daher könnte der letzte Satz wie folgt umformuliert werden: die zu einem früher Zeitpunkt erhoben wurden, sofern diese Daten die zuverlässige Identitätsfeststellung des Antragstellers zum Zeitpunkt der Antragstellung gewährleisten. Ferner besteht die Gefahr, dass die Rechtsprechung die Begriffe "Nutzer" im Vergleich zum "Antragsteller" weiter oben in 10 unterschiedlich definieren wird. Hier sollte eine Klarstellung in Form einer Legaldefinition erfolgen. 11 Attribute in qualifizierten Zertifikaten für elektronische Signaturen Die Einbindung von Attributzertifikaten erscheint nicht sinnvoll, weil deren inhaltliche Richtigkeit nicht von allen Vertrauensdiensteanbietern europaweit geprüft und bestätigt werden könne. Die Eigenschaft als Arzt oder Architekt z.b. kann der Vertrauensdiensteanbieter nicht selbst prüfen, weil diese Eigenschaften von den berufsständischen Regelungen festgelegt werden und nicht allgemeingültig vorgehalten werden können. Gleichwohl sind auch Geschäftsmodelle denkbar, die dies sinnvoll erscheinen lassen können und deshalb sollte eine Regulierung nicht die Entwicklung durch derzeitige Festlegungen beschränken. Die Regelungen der eidas hierzu erscheinen ausreichend und bedürfen deshalb keiner ergänzenden Regelung im VDG.

10 Seite In Bezug auf Abs. 3 wird befürchtet, dass die Regelung dem Durchführungsrechtsakt 1506 widerspricht. Darüber hinaus wäre die Regelung in der Anwendung weder praktikabel noch interoperabel, da die deutschen gesonderten Attributzertifikate, international nicht validiert werden könnten. 12 Unterrichtung über Sicherheitsmaßnahmen und Rechtswirkungen 1. Hier wird in Bezug auf 12 Abs. 1 Nr. 2 die Formulierung bei Bedarf neu zu sichern kritisiert, da diese zu vage ist und außerdem die verschiedenen Interessenlagen der Zertifikatsverwender nicht sachgerecht wiederspiegelt. Denn die Spezifikationen für die Neusignierung ablaufender Zertifikate ist technisch noch nicht einheitlich spezifiziert. Der Vertrauensdiensteanbieter kann also noch nicht über unklare Spezifikationen unterrichten. Außerdem ist das Vertragsverhältnis mit dem Ablauf des Zertifikats eventuell nicht mehr vorhanden, sodass der Vertrauensdiensteanbieter eine nachvertragliche Pflicht zur Information der Nachsicherung hat. Zusätzlich interessiert denjenigen, der das Zertifikat eines Dritten hat der Nachweis, dass dieses Zertifikat in der qualifizierten Signatur oder dem Siegel weiterhin besteht und deshalb nachgesichert wird, um die Rechtswirkung zu behalten. Dies ist aber nicht der Signaturersteller oder der Siegelersteller, sondern die Person, die die Signatur von dem Vertragspartner bekommt. Der Vertrauende ist aber nicht der Vertragspartner des Vertrauensdienstes. Der Vertrauensdiensteanbieter kennt diese Person im Zweifel nicht und kann diese nur informieren, wenn sich die Person zu dem Zertifikat aktiv meldet und die Nachsicherung verlangt Abs. 1 Nr. 3: Die Unterrichtung der Vertrauensdiensteanbieter für die rechtlichen Auswirkungen der Benutzung von qualifizierten Zertifikaten sollte nicht allein dem Diensteanbieter überlassen werden, sondern es sollte in der Verordnung eine Musterbelehrung gefasst sein, ähnlich wie die BGB Info Verordnung dies für Widerrufserklärungen vorsieht. Denn die Rechtswirkungen sind so komplex für verschiedenste Anwendungen und Bereiche, dass eine Belehrung schnell Gefahr läuft, veraltet oder falsch zu werden. Nur die Sicherheit einer vorgegebenen Erklärung bietet die notwendige Rechtssicherheit für die qualifizierten Anbieter. Hier wäre die Policy Disclosure Erklärung ein Beispiel für eine gute Belehrung als Standard. 3. Die Artikel 34 und 40 eidas-verordnung erwähnen zwar die Bewahrungsdienste für qualifizierte elektronische Signatur und respektive Siegel, jedoch ohne diese zu präzisieren. Bis dato stützten sich die gängige Ansätze der Beweiswerterhaltung auf den 17 SigV und die dort definierten Regeln für die Signaturerneuerung. Zwar spricht 12 Abs. (1) Nr. 2. VDG die reine Notwendigkeit der Beweiswerterhaltung an, es werden aber keine Details vorgegeben (vgl. 17 SigV).

11 Seite Daher wäre mit der Ablösung von SigG/SigV der Umgang mit der langfristigen Beweiswerterhaltung von und mit digitalen Signaturtechniken nicht definiert. Es wird deshalb auch vorgeschlagen, wegen der besonderen Bedeutung für die Rechts- und Beweissicherheit, eine gesonderte Regelung für die langfristige Beweiswerterhaltung von qualifiziert signierter Daten (mit digitalen Signaturtechniken) sowie von digitalen Signaturtechniken (z. B. elektronischen Signaturen, Siegeln oder Zertifikaten nach Artikel 3 Nummer 16 Buchstabe c der Verordnung (EU) Nr. 910/2014) aufzunehmen. Vorgeschlagener Text: xx (z.b. 16 n.f.) Zeitraum und Verfahren zur langfristigen Beweiswerterhaltung von und mit digitalen Signaturtechniken (1) Qualifiziert elektronisch signierte, gesiegelte oder zeitgestempelte Daten sind neu zu sichern, wenn diese für eine längere Zeit in gesicherter Form benötigt werden, als die für die Erstellung und Prüfung eingesetzten Algorithmen und zugehörigen Parameter der vorhandenen digitalen Signaturtechniken (z. B. qualifizierten elektronischen Signaturen, Siegeln oder elektronischen Zeitstempel, etc.) als sicherheitsgeeignet beurteilt sind. (2) Ebenso ist die Bewahrung der digitalen Signaturtechniken, z. B. der elektronischen Signaturen, Siegeln oder Zertifikaten nach Artikel 3 Nummer 16 Buchstabe c der Verordnung (EU) Nr. 910/2014, bei Bedarf durch eine neue Sicherung sicher zu stellen, bevor der Sicherheitswert der vorhandenen Signaturen, Siegel oder Zertifikate durch Zeitablauf geringer wird. (3) In den Fällen gemäß Satz (1) und (2) sind die Daten oder die digitalen Signaturtechniken vor dem Zeitpunkt des Ablaufs der Eignung der Algorithmen oder der zugehörigen Parameter mit einer neuen Sicherung zu versehen. Diese neue Sicherung muss nach dem Stand der Technik mit geeigneten neuen Algorithmen oder zugehörigen Parametern erfolgen und frühere Sicherungen einschließen. (4) Der Stand der Technik, wie in den einschlägigen Standards beschrieben, ist anzuwenden. Hinweis: Für den Erhalt des Beweiswerts qualifiziert elektronisch signierter Dokumente kann z. B. die Technische Richtlinie des BSI (TR (TR-ESOR)) herangezogen werden, die den Stand der Technik entspricht. Diese ist abrufbar unter:

12 Seite Widerruf qualifizierter Zertifikate Die Regelung zum Widerruf der Zertifikate erscheint im Hinblick auf die europäischen Mitgliedsstaaten überflüssig, weil dies in anderen Staaten nicht im Gesetz geregelt ist, sondern den Verpflichtungen der Anbieter zur Qualifizierung unterliegt. Das Management von Zertifikaten beinhaltet zwingend auch den Umgang mit ungültig oder unsicher gewordenen Zertifikaten. Hier wird angeregt keine gesetzliche Regelung zu finden, sondern dies über die ohnehin laufende Konformitätsbewertung zu regeln. Es scheint hier nur eine Regelung aus dem SigG übernommen worden zu sein, ohne dass dies für die freiheitliche Reglung der Vertrauensdienste durch die eidas angestrebt worden ist. 14 Aufzeichnungen Die Aufzeichnungspflichten erscheinen auch für Websitezertifikate durchaus sinnvoll. Diese Informationen müssen für unterstützende Browser und Provider unmittelbar nutzbar sein und abgelaufene Zertifikate erkennen können. Allerdings ist die Nr. 2 zu Absatz 1 mit der Formulierung jederzeit missverständlich. Denn der Nachweis der Unverfälschtheit der Daten jederzeit würde dem Anbieter eventuell aufbürden, auch die abgelaufenen Zertifikatsinformationen ewig nachzuhalten. Diese Pflichten müssten auf verwendete oder gültige Zertifikate beschränkt werden. Der Regelungsgegenstand ist im Übrigen in Art. 24, Abs. 2 Buchstabe h der eidas-verordnung abschließend geregelt. Die Regelung könnte daher auch wie folgt gestaltet sein: Der qualifizierte Vertrauensdiensteanbieter hat die nach Art. 24, Abs. 2 Buchstabe h der Verordnung (EU) Nr. 910/2014 aufzuzeichnenden einschlägigen Informationen aufzuzeichnen und aufzubewahren. Hinweis: Es wäre wünschenswert für die Vertrauensdiensteanbieter eine Definition eines angemessenen Zeitraums, zur Speicherung der vorzuhaltenden Informationen gesetzlich zu regeln oder an Verjährungsfristen beispielsweise zu koppeln. Dabei müsste beachtet werden, dass dieser Zeitpunkt nicht innereuropäisch abweichend geregelt würde. Schon deshalb ist die Bestimmung eher als eine europäische Angelegenheit einzuordnen und sollte dort geregelt werden. Der Referentenentwurf sieht im Übrigen keine Klarstellung vor, dass ordnungsrechtlich die Eingriffsbefugnis nur bei einer Behörde liegen muss und kein inhaltlicher Rechtsanwendungswiderspruch besteht, wie insbesondere zur Vorratsdatenspeicherung und dem D -Gesetz im Hinblick auf Kommunikationsanbieter wie Einschreibedienste. Diese müssten als VDA auch die Verbindungsnachweise und Metadaten dazu länger speichern, als dies derzeit nach den Grundsätzen der Vorratsdatenspeicherung im TKG geregelt ist.

13 Seite Beendigungsplan; auf Dauer prüfbare Vertrauensdienste Die Vorschriften zum Beendigungsplan und dem Status eines auf Dauer prüfbarer Vertrauensdienstes schaffen eine neue Kategorie von Vertrauensdiensten, die über den Anforderungen der eidas liegen und die zu einem regulatorischen Markdruck für in Deutschland ansässige Anbieter führen wird. Denn in Deutschland wird stets die höchste Kategorie hier die der auf Dauer prüfbaren Vertrauensdienste gefordert werden, während die Anbieter aus anderen Mitgliedstaaten geringere Anforderungen nach den Grundsätzen der eidas Verordnung diskriminierungsfrei anbieten können müssen. Dieses Angebot sollte allein vom Markt reguliert werden können. Die Vertrauensdiensteanbieter können die Dauer der Dienste auch vertraglich garantieren. Im Übrigen wird angeregt, die verschiedenen Vertrauensdienste nach ihren eigenen Anforderungen zu regeln und nicht allein auf die Überleitung des Signaturgesetzes zu setzen. Dafür könnte ein allgemeiner Teil der Vertrauensdienste Regulierung und ein besonderer Teil für spezielle Dienste eingeführt werden und so eine bessere Übersicht der einzelnen Anforderungen bieten. Denn die Anforderungen für den Beendigungsplan zielen sehr auf die Regelungen zu Signaturen ab. 16 Benannte Stellen nach Artikel 30 Absatz 1 der Verordnung (EU) Nr. 910/2014 Die Anforderungen des 16 erscheinen zu hoch. Dort heißt es: Das Bundesamt für Sicherheit in der Informationstechnik veröffentlicht die für die Anerkennung als private Zertifizierungsstelle [ ] von einer natürlichen oder juristischen Person zu erfüllenden fachlichen Kriterien. Die Anforderungen, die hier durch das BSI aufgestellt werden, gelten im internationalen Kontext nicht für andere Anbieter aus anderen Mitgliedsstaaten. Damit werden Anbieter aus anderen Mitgliedsstaaten begünstigt, weil diese sich nicht an die entsprechenden Anforderungen halten muss, weil die Dienste diskriminierungsfrei europaweit angeboten werden können. Die in 16 Abs. 1 beschriebene Aufgabe, entsprechende Kriterien festzulegen und zu veröffentlichen obliegt der Deutsche Akkreditierungsstelle GmbH (DAkkS). Daher sollte diese Aufgabe nicht (zusätzlich) dem BSI übertragen werden. Es sollten die Sätze 2 und 3 gestrichen werden. Wenn Rahmenanforderungen definiert werden sollen, sollten diese als Verordnungsermächtigung in 20 aufgenommen werden. Das Ergebnis könnte analog zu den Anforderungen aus 16 Abs. 3 SigV lauten. In diesem Zusammenhang sollte überlegt werden, ob auch Zertifizierungsstellen und Konformitätsbewertungsstellen (KBS), die als beliehene Prüfer für das BSI / BNetzA tätig sein können, analog 18 SigG / 16 SigV mit aufzunehmen sind.

14 Seite Verweis auf Regelungen zu qualifizierten elektronischen Signaturen Hier werden zusätzliche Regeln für Konformitätsbewertungsstellen formuliert, die mutmaßlich an Vertrauensdiensteanbieter weitergegeben und damit zu Wettbewerbsnachteilen führen werden. Es wird daher angeregt den Paragrafen zu streichen ergänzend zu den Formulierungen aus Bußgeldvorschriften Bei den Bußgeldvorschriften ist in Verweis auf die Vertrauensdiensteverordnung enthalten. Verstöße hiergegen sind daher auch mit einem Bußgeld bis bewährt. Hier wäre es notwendig sich bei Verstößen gegen Vorgaben aus der Verordnung stets auch auf den Stand der Technik zu berufen, um nicht alte Technologien in Bußgeldvorschriften festzuschreiben. In Bezug auf 19 Abs. 2, Nr. 7 sollte im Sinne einer Harmonisierung des europäischen Binnenmarktes eine eindeutige Regelung im Sinne der eidas-verordnung getroffen werden: entgegen Artikel 24 Absatz 2 Buchstabe e oder f, jeweils in Verbindung mit einer Rechtsverordnung nach 20 Absatz 1 Nummer 1, ein gemäß eidas vertrauenswürdiges System oder Produkt nicht verwendet, 20 Verordnungsermächtigung 1. Die Verordnungsermächtigung ist das Bindeglied zwischen der technologieneutralen eidas-verordnung und der konkreten Umsetzung der technischen Standards im nationalen Rahmen. Hier sollte maximale Flexibilität den sich dynamisch verändernden Technologien gerecht werden. Deshalb muss möglichst viel in der Verordnung geregelt werden, um diese auch wieder anpassen zu können. Die Verordnungsermächtigung sollte möglichst auch neue Vertrauensdiente mit regeln können und deren Marktzutritt nicht einer Änderung des VDG überlassen und außerdem sollte die geplante Vertrauensdiensteverordnung nicht mit zeitlicher Verzögerung verabschiedet werden. Denn sonst entstünde erneut Rechtsunsicherheit für deutsche Unternehmen. Dies gilt es zu vermeiden. Der Absatz (1) könnte daher um eine zusätzliche Ziffer 6. Als Generalklausel erweitert werden: (1) Die Bundesregierung wird ermächtigt, durch Rechtsverordnung die zur Durchführung der Verordnung (EU) Nr. 910/2014 und dieses Gesetzes erforderlichen Rechtsvorschriften zu erlassen über [ ] 6. weitere erforderliche Einzelheiten zu den elektronischen Vertrauensdiensten, die einer Konkretisierung auf Grund des Standes der Technik bedürfen.

15 Seite In 20 sollte die Ermächtigung zur Festlegung der Algorithmengültigkeit mit aufgenommen werden. Wenn Algorithmen nicht verpflichtend definiert werden können, sollte das BSI verpflichtet sein, Empfehlungen zu veröffentlichen. (Analog Anlage 1 I Nr. 3 SigV). So kann auch die Zeit bis zur europäischen Einigung über Algorithmen-Kataloge überbrückt werden, ohne dass in Deutschland nur die BSI Algorithmen anerkannt werden müssen, bzw. europäisch interoperabel bleiben. Im Übrigen wird empfohlen die Fachkreise zu inhaltlichen Änderungen der Vertrauensdiensteverordnung zwingend anzuhören. Aus Sicht eines Vertrauensdiensteanbieters ist eine Beteiligung der interessierten Kreise bei der Gestaltung der Verordnung dringend geboten. Ein Formulierungsvorschlag wäre deshalb: Die Bundesregierung wird ermächtigt, durch Rechtsverordnung die zur Durchführung der Verordnung (EU) Nr. 910/2014 und dieses Gesetzes erforderlichen Rechtsvorschriften nach vorheriger Anhörung der Fachkreise und Branchenverbände zu erlassen. 21 Übergangsvorschriften Die Regelung des 21 Abs. 2 Satz 2 könnte aus Sicht eines Vertrauensdiensteanbieters die Umsetzungsfrist nach eidas zum aufheben. Offen ist zudem, welche Dienste von der Regelung eingeschlossen sind. Empfehlung: grundsätzlich die Festsetzung einer Frist für die Anerkennung durch die Aufsichtsstelle nach 15 Absatz 3 Satz 1. Andernfalls müsste die eidas-konformität (Art. 51) bezweifelt werden. III. Hinweise Abschließend sei noch auf einige Punkte hingewiesen, die im zukünftigen VDG und insbesondere in der Vertrauensdiensteverordnung nach Ansicht der Mitglieder des Arbeitskreises Berücksichtigung finden sollten: 1. Weder die eidas-vo selbst noch der vorgelegte Entwurf des Vertrauensdienstegesetzes (VDG) regelt eindeutig den Umgang mit den kryptographischen Algorithmen und Schlüssellängen im Bereich der qualifizierten Signaturen/Siegel/Zeitstempel. Die Bundesnetzagentur (BNetzA) schreibt mit dem eigenen Algorithmen Katalog (AlgKat) einen Geltungsbereich für Deutschland fest. Es ist nach wie vor nicht klar, wie eine ausländische qualifizierte Signatur geprüft werden soll. Soll der Prüfung der AlgKat der BNetzA zugrunde gelegt werden, oder müssen die Vorgaben (falls vorhanden) des Ursprungslandes der Signatur berücksichtigt werden?

16 Seite Zwar wird in der Begründung zum Durchführungsbeschluss (EU) 2016/650 der Kommission vom 25. April 2016 unter der Ziffer (8) auf die Notwendigkeit der Verwendung von geeigneten kryptographischen Algorithmen und Schlüssellängen verwiesen, jedoch ohne diesbezüglich verbindenden Vorgaben zu erlassen. Es wird gleichzeitig auf die notwendige Zusammenarbeit der Mitgliedsstatten zwecks einer Harmonisierung solcher Vorgaben verwiesen. Solange das Ziel der Harmonisierung nicht erreicht wird, bleibt das oben genannte Problem allerdings offen. Dies ist umso kritischer, als dass jede qualifizierte elektronische Signatur/Siegel/Zeitstempel durch öffentliche Stellen gem. eidas-verordnung anzunehmen und zu prüfen ist, also auch von ausländischen Vertrauensdiensteanbietern. 2. In der Begründung zu 4 VDG wird ausgeführt: Eine Regelung zur Gültigkeit der qualifizierten Zertifikate entsprechend 19 Absatz 5 SigG ist nicht erforderlich. Eine solche Regelung zum Gültigkeitsmodell enthält Artikel 32 Absatz 1 Buchstabe a der eidas- Verordnung im Sinne des Kettenmodells. Dort wird ausgeführt (1) Mit dem Verfahren für die Validierung einer qualifizierten elektronischen Signatur wird die Gültigkeit einer qualifizierten elektronischen Signatur bestätigt, wenn a) das der Signatur zugrunde liegende Zertifikat zum Zeitpunkt des Signierens ein qualifiziertes Zertifikat für elektronische Signaturen war, das die Anforderungen des Anhangs I erfüllt.. Die ETSI Standards und insbesondere der ETSI-Standard EN V , lassen sowohl das Schalen- wie auch das Kettenmodell zu, sodass sowohl ein Prüfung nach dem Kettenmodell, aber eben auch nach dem Schalenmodell möglich ist. Es hängt immer von dem Signierenden oder dem Prüfenden ab, welches Modell zur Anwendung kommt. Daher wird empfohlen, zur Vermeidung von Fehlinterpretationen, auf eine Nennung des Kettenmodells in der Begründung zu verzichten und die Festlegung auf das Kettenmodell zu streichen, da die ETSI-Norm keinen der genannten Ansätze favorisiert. 3. Referenzieller Hinweis: Auf Seite 2, Abschnitt E.2, erster Absatz: Verordnung (EU) Nr. 1143/2014 Der Verweis scheint nicht zu stimmen: VO 1143 ist die Verordnung (EU) Nr. 1143/2014 des Europäischen Parlaments und des Rates vom 22. Oktober 2014 über die Prävention und das Management der Einbringung und Ausbreitung invasiver gebietsfremder Arten. 4. Zu Artikel 4: Es ist zu erklären, warum nach Artikel 3, Änderung des PA-Gesetzes ausschließlich das BSI die Zertifizierung als QSCD durchführen darf. Eine solche Festlegung erscheint im Widerspruch zu den Vorgaben der eidas-verordnung. 5. Zur Begründung zu 4, letzter Satz: Es sollte erläutert werden, wie sich aus den Angaben der eidas- Verordnung das Kettenmodell ableitet. Die Begründung kann im Anschluss zur harmonisierten Interpretation der eidas-vo in Europa herangezogen werden. 6. Im Teil Begründung wird an einigen Stellen (z.b. Zu 14 & Zu 15 ) auf eine nach 23 zu erlassende Rechtsverordnung verwiesen. Die zu erlassende Rechtsverordnung ist jedoch in 20 geregelt.

17 Seite Aufgrund der vorhandenen Nachfrage im Markt sollte überlegt werden, ob nicht Bestätigungen von Signaturanwendungskomponenten einschließlich Anzeigekomponente zur Erzeugung und Prüfung von Signaturen als freiwillige Leistung definiert werden können ( 17(2) SigG / 15(2) SigV.) 8. Zu 8: Die Zusammenarbeit und Fristen für die Aktualisierung der Trust-Service-Status-Lists (TSL) für Behörden sollte verbindlich geregelt werden. 9. Zu Art. 4: Änderung der Personalausweisverordnung: Der vorliegende Gesetzesentwurf sieht vor, dass 31 Nr. 1 PAuswV aufgehoben wird: Berechtigungszertifikateanbieter dürfen Berechtigungszertifikate für den elektronischen Identitätsnachweis bereitstellen, wenn sie vor Aufnahme dieser Tätigkeit: (1) der zuständigen Behörde nach 3 des Signaturgesetzes die Aufnahme des Betriebs eines Zertifizierungsdienstes nach 4 Absatz 3 des Signaturgesetzes angezeigt haben oder nach 15 des Signaturgesetzes akkreditiert worden sind. Was wären die Folgen einer ersatzlosen Streichung des 31 Nr. 1 PAuswV? Würde eine solche Streichung nicht die Ausstellung von Berechtigungszertifikaten von beliebigen Stellen bzw. ungeprüften Unternehmen nach sich ziehen? 10. Um die Anforderungen von 15 Abs. 2 erfüllen zu können, benötigt der Vertrauensdienstanbieter technische Informationen über die Systeme der Aufsichtsstelle und deren Schnittstellen. Es sollte daher ein Satz ergänzt werden, dass die Aufsichtsstelle Informationen dazu zur Verfügung stellt, sofern eine Regelung getroffen würde. 11. In 15 Abs. 3 und 19 Abs. 1 Nr. 5) wird der Begriff Siegel doppeldeutig verwendet, wobei hier nicht ein elektronisches Siegel nach eidas gemeint ist. Um Verwechslungen auszuschließen, sollte Siegel hier durch den Begriff Gütezeichen o. ä. ersetzt werden, sofern überhaupt eine Regelung getroffen würde.