Zertifizierungsdiensteanbieter - freiwillige Akkreditierung beantragen

Sie stellen qualifizierte Zertifikate beziehungsweise qualifizierte Zeitstempel im Sinne des Signaturgesetzes aus oder möchten dies in Zukunft tun? Dann können Sie den Betrieb Ihres Zertifizierungsdienstes nicht nur der zuständigen Stelle verpflichtend anzeigen, sondern sich auch freiwillig akkreditieren lassen.

Die Akkreditierung ist gegenüber der Anzeige des Betriebs eines Zertifizierungsdienstes eine freiwillige Option für den Markt, die als Steigerung des Sicherheitsniveaus der Zertifizierungsdienste vorgesehen ist.

Akkreditierte Zertifizierungsdiensteanbieter

  • erhalten ein Gütezeichen,
  • dürfen sich als akkreditierter Zertifizierungsdiensteanbieter bezeichnen und
  • sich im Rechts- und Geschäftsverkehr auf die nachgewiesene Sicherheit berufen.

Hinweis: Der Antrag auf freiwillige Akkreditierung gilt gleichzeitig auch als Anzeige des Betriebs eines Zertifizierungsdienstes.

Sie müssen Ihren Zertifizierungsdienst spätestens im Abstand von drei Jahren von einer Prüf- und Bestätigungsstelle überprüfen lassen. Diese bestätigt beim Vorliegen aller Vorsetzungen, dass Sie die Anforderungen für Akkreditierung weiterhin in vollem Umfang erfüllen. Den Prüf- und Bestätigungsbericht und die Bestätigung müssen Sie der zuständigen Behörde unaufgefordert vorlegen.

Hinweis: Sie müssen die Prüfung und Bestätigung auch nach sicherheitserheblichen Veränderungen wiederholen.

Erfüllen Sie die Voraussetzungen für den Betrieb eines Zertifizierungsdienstes aufgrund eingetretener Umstände nicht mehr, müssen Sie dies der zuständigen Stelle unverzüglich anzeigen.

Weitere Anforderungen und Pflichten eines Zertifizierungsdiensteanbieters, die in dieser kurzen Aufstellung nicht oder nicht im Einzelnen ausgeführt wurden (z.B. Identitätsprüfung, Dokumentation, Sperrung, Unterrichtungspflicht, Führung eines Zertifikatsverzeichnisses), entnehmen Sie bitte dem Signaturgesetz und der Signaturverordnung.

Ablauf

Sie sollten sich zuerst an eine von der Bundesnetzagentur anerkannte Prüf- und Bestätigungsstelle wenden. Diese kann Sie bereits zu Fragen zum Aufbau und Inhalt eines Sicherheitskonzeptes und bei der Umsetzung der gesetzlichen Anforderungen in Ihrem Betrieb beraten.

Hinweis: Eine Liste dieser Prüf- und Bestätigungsstellen finden Sie auf den Internetseiten der Bundesnetzagentur im Themenbereich "Aufgaben der Bundesnetzagentur/Veröffentlichungen" unter dem Punkt "Anerkennung von Prüf- und Bestätigungsstellen".

Danach müssen Sie die Akkreditierung schriftlich bei der zuständigen Stelle beantragen. Sie müssen den Antrag handschriftlich unterschreiben oder mit einer qualifizierten elektronischen Signatur versehen. Er muss folgende Angaben enthalten:

  • Namen und Anschrift des Zertifizierungsdiensteanbieters sowie
  • Namen der gesetzlichen Vertreter

Fristen

keine

Kosten

je nach Zeitaufwand fallen Kosten in unterschiedlicher Höhe an.

Hinweis: Erkundigen Sie sich bei der zuständigen Stelle über die möglichen Kosten.

Rechtsgrundlage

Voraussetzungen

Voraussetzung für die Akkreditierung ist, dass Sie die Anforderungen des Signaturgesetzes und der Signaturverordnung erfüllen. Sie müssen insbesondere ein auf Eignung und praktische Umsetzung geprüftes und bestätigtes Sicherheitskonzept vorlegen. Die Prüfung und Bestätigung muss von einer von der Bundesnetzagentur anerkannten Prüf- und Bestätigungsstelle vorgenommen werden.

Zuständigkeit

die Bundesnetzagentur (Referat für qualifizerite elektronische Signatur)

Erforderliche Unterlagen

  • für den Nachweis der persönlichen Zuverlässigkeit:
    • bei Wohnsitz in Deutschland:
      • Führungszeugnis zur Vorlage bei einer Behörde (von den gesetzlichen Vertretern des Unternehmens; der Person, die mit der Leitung des Zertifizierungsdienstes beauftragt wurde, und deren Vertretung)
    • bei Wohnsitz im EU-Ausland oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum: Dokumente aus Ihrem Heimatland, die Ihre persönliche Zuverlässigkeit nachweisen
    • weitere Dokumente zur Überprüfung der persönlichen Zuverlässigkeit können im Einzelfall nachgefordert werden.
  • für den Nachweis der unternehmerischen Rechtsform:
    • bei Unternehmenssitz in Deutschland:
      • bei in einem Register eingetragenen Unternehmen: Auszug aus dem Handelsregister oder z. B. dem Partnerschaftsregister
      • ansonsten eine Ausfertigung des Gesellschaftsvertrages (z.B. bei einer Gesellschaft bürgerlichen Rechts (GbR)) oder einen anderen vergleichbaren Nachweis
    • bei Unternehmenssitz im EU-Ausland oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum: Dokumente aus dem Land, in dem Ihr Unternehmen seinen Unternehmenssitz hat, die die Rechtsform nachweisen
  • Belege zum Nachweis der erforderlichen technischen, administrativen und juristischen Fachkunde (z. B. Schulungs- und Ausbildungsnachweise)
  • Sicherheitskonzept mit folgenden Punkten:
    • Beschreibung aller erforderlichen technischen, baulichen und organisatorischen Sicherheitsmaßnahmen und deren Eignung
    • Übersicht über die eingesetzten Produkte für qualifizierte elektronische Signaturen mit Bestätigungen nach dem Signaturgesetz
    • Übersicht über die Aufbau- und Ablauforganisation sowie über die Zertifizierungstätigkeit
    • Vorkehrungen und Maßnahmen zur Sicherstellung und Aufrechterhaltung des Betriebs, besonders bei Notfällen
    • Verfahren zur Beurteilung und Sicherstellung der Zuverlässigkeit des eingesetzten Personals
    • Abschätzung und Bewertung verbleibender Sicherheitsrisiken
    • genaue Darlegung, wie das Sicherheitskonzept praktisch umgesetzt ist
  • Nachweis der Deckungsvorsorge:
    • Haftpflichtversicherung oder
    • vergleichbare Freistellungs-/Gewährleistungsverpflichtung
      bei einem in Deutschland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zum Geschäftsbetrieb befugten Versicherungsunternehmen/Kreditinstitut
  • Prüf- und Bestätigungsbericht der Prüf- und Bestätigungsstelle einschließlich der Bestätigung für die Umsetzung des Sicherheitskonzeptes
  • wenn Sie Aufgaben Ihres Zertifizierungsdienstes an einen Dritten übertragen:
    • Nachweis der Übertragung von Aufgaben nach dem Signaturgesetz und der Signaturverordnung an Dritte (z.B. Verträge)
    • Einbeziehen der an den Dritten übertragenen Aufgaben in das Sicherheitskonzept des Zertifizierungsdiensteanbieters

Akkreditierte Zertifizierungsdiensteanbieter müssen außerdem:

  • für ihre Zertifizierungstätigkeit geprüfte und bestätigte Produkte für qualifizierte elektronische Signaturen einsetzen,
  • qualifizierte Zertifikate nur für Personen ausstellen, die nachweislich geprüfte und bestätigte Signaturerstellungseinheiten besitzen und
  • Signaturschlüsselinhaber und Signaturschlüsselinhaberinnen über geprüfte und bestätigte Signaturanwendungskomponenten unterrichten.

Tipp: Informationen zu bestätigten Produkten für qualifizierte elektronische Signaturen finden Sie auf den Internetseiten der Bundesnetzagentur im Themenbereich "Aufgaben der Bundesnetzagentur/Veröffentlichungen" unter "Produktinformationen", Unterpunkt "Bestätigungen".

Bei juristischen Personen (GmbH, Unternehmensgesellschaften, AG, eingetragene Genossenschaften) muss der Antrag auf Akkreditierung als Zertifizierungsdiensteanbieter für die juristische Person gestellt und von deren gesetzlichen Vertretern unterschrieben werden. Alle personenbezogenen Unterlagen müssen Sie für alle in den Anforderungen genannten natürlichen Personen einreichen.