8 MAART 2002. - Koninklijk besluit tot vaststelling van de officiële Duitse vertaling van de wet van 9 juli 2001 houdende vaststelling van bepaalde regels in verband met het juridisch kader voor elektronische handtekeningen en certificatiediensten

ALBERT II, Koning der Belgen, Aan allen die nu zijn en hierna wezen zullen, Onze Groet.

Gelet op de wet van 31 december 1983 tot hervorming der instellingen voor de Duitstalige Gemeenschap, inzonderheid op artikel 76, § 1, 1°, en § 3, vervangen bij de wet van 18 juli 1990;

Gelet op het ontwerp van officiële Duitse vertaling van de wet van 9 juli 2001 houdende vaststelling van bepaalde regels in verband met het juridisch kader voor elektronische handtekeningen en certificatiediensten, opgemaakt door de Centrale dienst voor Duitse vertaling van het Adjunct-arrondissementscommissariaat in Malmedy;

Op de voordracht van Onze Minister van Binnenlandse Zaken, Hebben Wij besloten en besluiten Wij :

Artikel 1.De bij dit besluit gevoegde tekst is de officiële Duitse vertaling van de wet van 9 juli 2001 houdende vaststelling van bepaalde regels in verband met het juridisch kader voor elektronische handtekeningen en certificatiediensten.

Art. 2.Onze Minister van Binnenlandse Zaken is belast met de uitvoering van dit besluit.

Gegeven te Brussel, 8 maart 2002.

ALBERT Van Koningswege : De Minister van Binnenlandse Zaken, A. DUQUESNE

Bijlage 9. JULI 2001 - Gesetz zur Festlegung bestimmter Regeln in Bezug auf rechtliche Rahmenbedingungen für elektronische Signaturen und Zertifizierungsdienste ALBERT II., König der Belgier, Allen Gegenwärtigen und Zukünftigen, Unser Gruss! Die Kammern haben das Folgende angenommen und Wir sanktionieren es: KAPITEL I - Allgemeine Bestimmung Artikel 1 - Vorliegendes Gesetz regelt eine in Artikel 78 der Verfassung erwähnte Angelegenheit.

KAPITEL II - Begriffsbestimmungen und Anwendungsbereich des Gesetzes Abschnitt 1 - Begriffsbestimmungen Art. 2 - Durch vorliegendes Gesetz werden die Bestimmungen der Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen umgesetzt. Für die Anwendung des vorliegenden Gesetzes und seiner Ausführungserlasse bezeichnet der Ausdruck: 1. "elektronische Signatur" Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen, 2."fortgeschrittene elektronische Signatur" elektronische Daten, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind, zur Authentifizierung dienen und folgende Anforderungen erfüllen: a) Sie sind ausschliesslich dem Unterzeichner zugeordnet.b) Sie ermöglichen die Identifizierung des Unterzeichners.c) Sie werden mit Mitteln erstellt, die der Unterzeichner unter seiner alleinigen Kontrolle halten kann.d) Sie sind so mit den Daten, auf die sie sich beziehen, verknüpft, dass eine nachträgliche Veränderung der Daten erkannt werden kann, 3."Zertifikat" eine elektronische Bescheinigung, mit der Signaturprüfdaten einer natürlichen oder juristischen Person zugeordnet werden und die Identität dieser Person bestätigt wird, 4. "qualifiziertes Zertifikat" ein Zertifikat, das die Anforderungen der Anlage I zu vorliegendem Gesetz erfüllt und von einem Zertifizierungsdiensteanbieter bereitgestellt wird, der die Anforderungen der Anlage II zu vorliegendem Gesetz erfüllt, 5."Zertifikatinhaber" eine natürliche oder juristische Person, der ein Zertifizierungsdiensteanbieter ein Zertifikat ausgestellt hat, 6. "Signaturerstellungsdaten" einmalige Daten wie Codes oder private kryptographische Schlüssel, die vom Unterzeichner zur Erstellung einer fortgeschrittenen elektronischen Signatur verwendet werden, 7."sichere Signaturerstellungseinheit" eine konfigurierte Software oder Hardware, die zur Implementierung der Signaturerstellungsdaten verwendet wird und die Anforderungen der Anlage III zu vorliegendem Gesetz erfüllt, 8. "Signaturprüfdaten" Daten wie Codes oder öffentliche kryptographische Schlüssel, die zur Überprüfung einer fortgeschrittenen elektronischen Signatur verwendet werden, 9."Signaturprüfeinheit" eine konfigurierte Software oder Hardware, die zur Implementierung der Signaturprüfdaten verwendet wird, 10. "Zertifizierungsdiensteanbieter" eine natürliche oder juristische Person, die Zertifikate ausstellt und verwaltet oder anderweitige Dienste im Zusammenhang mit elektronischen Signaturen bereitstellt, 11."Produkt für elektronische Signaturen" Hard- oder Software beziehungsweise deren spezifische Komponenten, die von einem Zertifizierungsdiensteanbieter für die Bereitstellung von Diensten für elektronische Signaturen verwendet werden sollen oder die für die Erstellung und Überprüfung elektronischer Signaturen verwendet werden sollen, 12. "Verwaltung" die Verwaltung des Ministeriums der Wirtschaftsangelegenheiten, die mit den Aufgaben in Bezug auf Akkreditierung und Kontrolle von Zertifizierungsdiensteanbietern, die qualifizierte Zertifikate ausstellen und in Belgien ansässig sind, beauftragt ist, 13."Stelle" eine Stelle, die ihre Befugnis anhand eines Zertifikats nachweist, das vom belgischen Akkreditierungssystem gemäss dem Gesetz vom 20. Juli 1990 über die Akkreditierung der Bescheinigungs- und Prüfstellen sowie der Versuchslaboratorien oder von einer im Europäischen Wirtschaftsraum ansässigen gleichwertigen Einrichtung ausgestellt wird.

Abschnitt 2 - Anwendungsbereich Art. 3 - Vorliegendes Gesetz legt bestimmte Regeln in Bezug auf rechtliche Rahmenbedingungen für elektronische Signaturen fest und bestimmt die Rechtsordnung, die auf Tätigkeiten der Zertifizierungsdiensteanbieter anwendbar ist, und die von diesen und von Zertifikatinhabern einzuhaltenden Regeln, wobei die Gesetzesbestimmungen in Bezug auf die Regeln der Vertretung von juristischen Personen bei Rechtshandlungen unberührt bleiben.

Darüber hinaus führt vorliegendes Gesetz ein freiwilliges Akkreditierungssystem ein.

KAPITEL III - Allgemeine Grundsätze Art. 4 - § 1 - Vorbehaltlich anders lautender Gesetzesbestimmungen kann niemand gezwungen werden, eine Rechtshandlung elektronisch vorzunehmen. § 2 - Zertifizierungsdiensteanbieter können nicht gezwungen werden, für die Ausübung ihrer Tätigkeiten eine vorherige Genehmigung zu beantragen.

In Belgien ansässige Zertifizierungsdiensteanbieter, die qualifizierte Zertifikate ausstellen, müssen jedoch entweder im Laufe des Monats nach Veröffentlichung des vorliegenden Gesetzes oder vor Beginn ihrer Tätigkeiten der Verwaltung folgende Informationen mitteilen: - Name, - geographische Anschrift, an der sie ansässig sind, - Angaben, anhand deren sie schnell zu erreichen sind, einschliesslich ihrer Adresse für elektronische Post, - gegebenenfalls die Bezeichnung ihres Berufs, ihre Referenzen und Erkennungsnummern (Handelsregister, MwSt.), - den Beweis, dass eine Versicherung zur Deckung ihrer in Artikel 14 erwähnten Verpflichtungen abgeschlossen worden ist.

Die Verwaltung stellt ihnen innerhalb fünf Werktagen nach Empfang der Mitteilung eine Empfangsbescheinigung aus. § 3 - Der König kann durch einen im Ministerrat beratenen Erlass den Einsatz elektronischer Signaturen im öffentlichen Bereich möglichen zusätzlichen Anforderungen unterwerfen. Diese Anforderungen müssen objektiv, transparent, verhältnismässig und nichtdiskriminierend sein und dürfen sich nur auf die spezifischen Merkmale der betreffenden Anwendung beziehen. Diese Anforderungen dürfen für grenzüberschreitende Dienste für den Bürger kein Hindernis darstellen. § 4 - Unbeschadet der Artikel 1323 und folgenden des Zivilgesetzbuches werden fortgeschrittene elektronische Signaturen, die auf einem qualifizierten Zertifikat beruhen und von einer sicheren Signaturerstellungseinheit erstellt werden, handschriftlichen Unterschriften gleichgesetzt, unabhängig davon, ob sie von einer natürlichen oder von einer juristischen Person erstellt werden. § 5 - Einer elektronischen Signatur können die rechtliche Wirksamkeit und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil sie - in elektronischer Form vorliegt oder - nicht auf einem qualifizierten Zertifikat beruht oder - nicht auf einem von einem akkreditierten Zertifizierungsdiensteanbieter ausgestellten qualifizierten Zertifikat beruht oder - nicht von einer sicheren Signaturerstellungseinheit erstellt wurde.

Art. 5 - § 1 - Unbeschadet des Gesetzes vom 8. Dezember 1992 über den Schutz des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten dürfen Zertifizierungsdiensteanbieter, die öffentlich Zertifikate ausstellen, personenbezogene Daten nur unmittelbar von der betroffenen Person oder mit ausdrücklicher Zustimmung der betroffenen Person und nur insoweit einholen, als dies zur Ausstellung und Aufrechterhaltung des Zertifikats erforderlich ist. Die Daten dürfen ohne ausdrückliche Zustimmung der betroffenen Person nicht für anderweitige Zwecke erfasst oder verarbeitet werden. § 2 - Wenn der Zertifikatinhaber ein Pseudonym benutzt und wenn die Untersuchung es erfordert, muss der Zertifizierungsdiensteanbieter, der das Zertifikat ausgestellt hat, unter den Umständen und gemäss den Bedingungen, die in den Artikeln 90ter bis 90decies des Strafprozessgesetzbuches vorgesehen sind, alle Daten in Bezug auf die Identität des Inhabers mitteilen.

KAPITEL IV - Produkte für elektronische Signaturen Art. 6 - Wenn ein Produkt für elektronische Signaturen Normen entspricht, deren Referenznummern gemäss dem in der Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen erwähnten Verfahren im Amtsblatt der Europäischen Gemeinschaften veröffentlicht werden, wird davon ausgegangen, dass dieses Produkt den Anforderungen von Anlage II Buchstabe f) und Anlage III zu vorliegendem Gesetz entspricht.

Art. 7 - § 1 - Die Anforderungen an sichere Signaturerstellungseinheiten sind in Anlage III zu vorliegendem Gesetz aufgenommen. § 2 - Die Übereinstimmung sicherer Signaturerstellungseinheiten mit den Anforderungen der Anlage III zu vorliegendem Gesetz wird von geeigneten Einrichtungen bescheinigt, die von der Verwaltung benannt werden; die Liste dieser Einrichtungen wird der Europäischen Kommission mitgeteilt. § 3 - Der König bestimmt die Bedingungen, die die im vorhergehenden Paragraphen erwähnten Einrichtungen erfüllen müssen. § 4 - Die Feststellung der Übereinstimmung, die von einer von einem anderen Mitgliedstaat des Europäischen Wirtschaftsraums benannten Einrichtung vorgenommen wird, wird in Belgien anerkannt.

KAPITEL V - Zertifizierungsdiensteanbieter, die qualifizierte Zertifikate ausstellen Abschnitt 1 - Qualifizierte Zertifikate Unterabschnitt 1 - Aufgaben Art. 8 - § 1 - Vor Ausstellung eines Zertifikats überprüft der Zertifizierungsdiensteanbieter die Komplementarität der Signaturerstellungsdaten und der Signaturprüfdaten. § 2 - Der Zertifizierungsdiensteanbieter stellt jeder Person, die es beantragt, ein oder mehrere Zertifikate aus, nachdem er ihre Identität und gegebenenfalls ihre spezifischen Attribute überprüft hat. § 3 - Was juristische Personen betrifft, führt der Zertifizierungsdiensteanbieter ein Register mit dem Namen und der Eigenschaft der natürlichen Person, die die juristische Person vertritt und die die mit dem Zertifikat verknüpfte Signatur benutzt, so dass bei jeder Verwendung dieser Signatur die Identität der natürlichen Person ermittelt werden kann.

Art. 9 - Der Zertifizierungsdiensteanbieter stellt dem Inhaber-Kandidaten ein Exemplar des Zertifikats bereit.

Art. 10 - Der Zertifizierungsdiensteanbieter bewahrt ein elektronisches Verzeichnis der Zertifikate, die er ausstellt, mit dem Zeitpunkt ihres Ablaufs auf.

Unterabschnitt 2 - Anforderungen an qualifizierte Zertifikate Art. 11 - § 1 - Qualifizierte Zertifikate müssen die Anforderungen der Anlage I zu vorliegendem Gesetz erfüllen. § 2 - Zertifizierungsdiensteanbieter, die qualifizierte Zertifikate ausstellen, müssen die Anforderungen der Anlage II zu vorliegendem Gesetz erfüllen.

Unterabschnitt 3 - Widerruf der qualifizierten Zertifikate Art. 12 - § 1 - Auf Antrag des vorher identifizierten Zertifikatinhabers widerruft der Zertifizierungsdiensteanbieter sofort das Zertifikat. § 2 - Der Zertifizierungsdiensteanbieter widerruft ebenfalls ein Zertifikat, wenn: 1. schwerwiegende Gründe für die Annahme vorliegen, dass das Zertifikat auf der Grundlage fehlerhafter oder gefälschter Informationen ausgestellt worden ist, dass die im Zertifikat enthaltenen Informationen der Wirklichkeit nicht mehr entsprechen oder dass die Vertraulichkeit der Signaturerstellungsdaten verletzt worden ist, 2.Gerichte die in Artikel 20 § 4 Buchstabe b) vorgesehenen Massnahmen angeordnet haben, 3. der Zertifizierungsdiensteanbieter seine Tätigkeiten einstellt, ohne dass diese von einem anderen Zertifizierungsdiensteanbieter übernommen werden, der gleichwertige Qualitäts- und Sicherheitsstandards gewährleistet, 4.der Zertifizierungsdiensteanbieter über den Tod der natürlichen Person oder über die Auflösung der juristischen Person, die Zertifikatinhaber ist, informiert wird.

Ausser im Todesfall informiert der Zertifizierungsdiensteanbieter den Zertifikatinhaber über den Widerruf und begründet er seine Entscheidung. Einen Monat vor Ablauf eines Zertifikats setzt der Zertifizierungsdiensteanbieter den Inhaber davon in Kenntnis. § 3 - Der Widerruf eines Zertifikats ist endgültig.

Art. 13 - § 1 - Der Zertifizierungsdiensteanbieter trifft die nötigen Massnahmen, um einem Widerrufantrag jederzeit und unverzüglich Folge leisten zu können. § 2 - Unmittelbar nach der Widerrufentscheidung trägt der Zertifizierungsdiensteanbieter den Vermerk des Widerrufs in das in Artikel 10 erwähnte elektronische Verzeichnis ein.

Ab der Eintragung ist der Widerruf Dritten gegenüber wirksam.

Unterabschnitt 4 - Haftung der Zertifizierungsdiensteanbieter, die qualifizierte Zertifikate ausstellen Art. 14 - § 1 - Ein Zertifizierungsdiensteanbieter, der ein Zertifikat als qualifiziertes Zertifikat öffentlich ausstellt oder für ein derartiges Zertifikat öffentlich einsteht, haftet in Bezug auf Schäden gegenüber einer Einrichtung oder einer juristischen oder natürlichen Person, die mit der Sorgfalt eines guten Familienvaters vernünftigerweise auf das Zertifikat vertraut, dafür, dass a) alle Informationen in dem qualifizierten Zertifikat zum Zeitpunkt seiner Ausstellung richtig sind und das Zertifikat alle für ein qualifiziertes Zertifikat vorgeschriebenen Angaben enthält, b) der in dem qualifizierten Zertifikat angegebene Unterzeichner zum Zeitpunkt der Ausstellung des Zertifikats im Besitz der Signaturerstellungsdaten war, die den im Zertifikat angegebenen beziehungsweise identifizierten Signaturprüfdaten entsprechen, c) in Fällen, in denen der Zertifizierungsdiensteanbieter sowohl die Signaturerstellungsdaten als auch die Signaturprüfdaten erzeugt, beide Komponenten in komplementärer Weise genutzt werden können, es sei denn, der Zertifizierungsdiensteanbieter weist nach, dass er nicht fahrlässig gehandelt hat. § 2 - Ein Zertifizierungsdiensteanbieter, der ein Zertifikat als qualifiziertes Zertifikat öffentlich ausgestellt hat, haftet in Bezug auf Schäden gegenüber einer Einrichtung oder einer juristischen oder natürlichen Person, die vernünftigerweise auf das Zertifikat vertraut, für den Fall, dass der Widerruf des Zertifikats nicht registriert worden ist, es sei denn, der Zertifizierungsdiensteanbieter weist nach, dass er nicht fahrlässig gehandelt hat. § 3 - Zertifizierungsdiensteanbieter können in einem qualifizierten Zertifikat Beschränkungen für die Verwendung des Zertifikats angeben; diese Beschränkungen müssen für Dritte erkennbar sein. Der Zertifizierungsdiensteanbieter haftet nicht für Schäden, die sich aus einer über diese Beschränkungen hinausgehenden Verwendung des qualifizierten Zertifikats ergeben. § 4 - Zertifizierungsdiensteanbieter können in einem qualifizierten Zertifikat den Höchstwert der Transaktionen angeben, für die das Zertifikat verwendet werden kann; dieser Wert muss für Dritte erkennbar sein. Der Zertifizierungsdiensteanbieter haftet nicht für Schäden, die sich aus der Überschreitung dieses Höchstwertes ergeben.

Unterabschnitt 5 - Einstellung der Tätigkeiten der Zertifizierungsdiensteanbieter, die qualifizierte Zertifikate ausstellen Art. 15 - § 1 - Der Zertifizierungsdiensteanbieter, der qualifizierte Zertifikate ausstellt, informiert die Verwaltung innerhalb einer vernünftigen Frist über seine Absicht, seine Tätigkeiten als Diensteanbieter für qualifizierte Zertifizierung einzustellen, und über jede Massnahme, die die Einstellung seiner Tätigkeiten zur Folge haben könnte. In diesem Fall muss er sicherstellen, dass diese Tätigkeiten von einem anderen Zertifizierungsdiensteanbieter, der gleichwertige Qualitäts- und Sicherheitsstandards gewährleistet, übernommen werden. Ist dies nicht möglich, widerruft er, zwei Monate nachdem er die Inhaber darüber informiert hat, die Zertifikate. In diesem Fall trifft der Zertifizierungsdiensteanbieter die nötigen Massnahmen, um die in Anlage II Buchstabe i) vorgesehene Verpflichtung zu erfüllen. § 2 - Der Zertifizierungsdiensteanbieter, der aus Gründen, die unabhängig von seinem Willen sind, oder im Falle eines Konkurses seine Tätigkeiten einstellt, setzt die Verwaltung sofort davon in Kenntnis.

Er sorgt gegebenenfalls für den Widerruf der Zertifikate und trifft die nötigen Massnahmen, um die in Anlage II Buchstabe i) vorgesehene Verpflichtung zu erfüllen.

Unterabschnitt 6 - Von ausländischen Zertifizierungsdiensteanbietern als qualifizierte Zertifikate ausgestellte Zertifikate Art. 16 - § 1 - Ein qualifiziertes Zertifikat, das von einem in einem Mitgliedstaat des Europäischen Wirtschaftsraums ansässigen Zertifizierungsdiensteanbieter öffentlich ausgestellt wird, wird den qualifizierten Zertifikaten, die von einem in Belgien ansässigen Zertifizierungsdiensteanbieter ausgestellt werden, gleichgesetzt. § 2 - Zertifikate, die von einem Zertifizierungsdiensteanbieter eines Drittlandes öffentlich als qualifizierte Zertifikate ausgestellt werden, werden den Zertifikaten, die von einem in Belgien ansässigen Zertifizierungsdiensteanbieter ausgestellt werden, rechtlich gleichgesetzt, wenn a) der Zertifizierungsdiensteanbieter die Anforderungen der einzelstaatlichen Regelungen zur Umsetzung der Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13.Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen erfüllt und im Rahmen eines freiwilligen Akkreditierungssystems eines Mitgliedstaates des Europäischen Wirtschaftsraums akkreditiert ist oder b) ein in der Europäischen Gemeinschaft ansässiger Zertifizierungsdiensteanbieter, der die Anforderungen der einzelstaatlichen Regelungen zur Umsetzung der Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13.Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen erfüllt, für das Zertifikat einsteht oder c) das Zertifikat oder der Zertifizierungsdiensteanbieter im Rahmen einer bilateralen oder multilateralen Vereinbarung zwischen der Europäischen Gemeinschaft und Drittländern oder internationalen Organisationen anerkannt ist. Abschnitt 2 - Akkreditierte Zertifizierungsdiensteanbieter Art. 17 - § 1 - Zertifizierungsdiensteanbieter, die die Anforderungen der Anlage II erfüllen, qualifizierte Zertifikate ausstellen, die die Anforderungen der Anlage I erfüllen, und Erstellungseinheiten verwenden, die die Anforderungen der Anlage III erfüllen, können bei der Verwaltung eine Akkreditierung beantragen.

Die in vorliegendem Gesetz vorgesehene Akkreditierung basiert auf dem Ergebnis einer von einer in Artikel 2 Nr. 13 erwähnten Stelle vorgenommenen Bewertung der Übereinstimmung mit den Anforderungen der Anlagen I, II und III und gegebenenfalls mit den Anforderungen in Zusammenhang mit anderen Diensten und Produkten, die von Zertifizierungsdiensteanbietern bereitgestellt werden. § 2 - Der König präzisiert die in § 1 erwähnten Bedingungen und bestimmt: 1. das Verfahren für Erteilung, Aussetzung und Entzug der Akkreditierung, 2.die dem "Akkreditierungsfonds" geschuldeten Gebühren für Erteilung, Verwaltung und Überwachung der Akkreditierung, 3. die Fristen für die Untersuchung des Antrags, 4.die Modalitäten der Kontrolle der akkreditierten Zertifizierungsdiensteanbieter. § 3 - Die Wahl, sich an einen akkreditierten Zertifizierungsdiensteanbieter zu wenden, ist frei.

Art. 18 - Die Verwaltung: 1. erteilt und entzieht Akkreditierungen.Diese Aufgabe wird gemäss Regeln und von Diensten und Personen ausgeführt, die sich von denjenigen unterscheiden, die in Artikel 20 § 2 erwähnt sind, 2. koordiniert die kohärente und transparente Anwendung der Prinzipien und Verfahren der Akkreditierung in Anwendung des vorliegenden Gesetzes, 3.überwacht die Auditverfahren der in Artikel 2 Nr. 13 erwähnten Stellen und die Tätigkeiten dieser Stellen im Rahmen der Akkreditierungsverfahren, 4. teilt der Kommission und den Staaten des Europäischen Wirtschaftsraums folgende Informationen mit: a) Angaben zu dem in Anwendung des vorliegenden Gesetzes eingeführten freiwilligen Akkreditierungssystem, b) Namen und Anschriften aller in diesem Rahmen akkreditierten Zertifizierungsdiensteanbieter, 5.nimmt alle in Artikel 11 der Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen erwähnten Notifizierungen vor.

KAPITEL VI - Zertifikatinhaber Art. 19 - § 1 - Sobald die Signaturerstellungsdaten zusammengestellt worden sind, ist allein der Zertifikatinhaber für die Vertraulichkeit dieser Daten verantwortlich. § 2 - Bei Zweifel in Bezug auf die Wahrung der Vertraulichkeit der Signaturerstellungsdaten oder wenn die im Zertifikat enthaltenen Angaben der Wirklichkeit nicht mehr entsprechen, muss der Inhaber das Zertifikat widerrufen lassen. § 3 - Läuft ein Zertifikat ab oder wird es widerrufen, darf der Inhaber dieses Zertifikats nach Ablauf beziehungsweise Widerruf des Zertifikats die entsprechenden Signaturerstellungsdaten nicht mehr zur Unterzeichnung verwenden und sie nicht mehr von einem anderen Zertifizierungsdiensteanbieter zertifizieren lassen.

KAPITEL VII - Kontrolle und Sanktionen Art. 20 - § 1 - Der König bestimmt durch einen im Ministerrat beratenen Erlass die Regeln in Bezug auf die Kontrolle der Zertifizierungsdiensteanbieter und die Rechtsmittel, die die Verwaltung geltend machen kann. § 2 - Die Verwaltung ist mit der Kontrolle der Zertifizierungsdiensteanbieter beauftragt, die qualifizierte Zertifikate öffentlich ausstellen. Unter bestimmten vom König festgelegten Bedingungen ist die Verwaltung befugt, die Zertifizierungsdiensteanbieter um alle Informationen zu ersuchen, die nötig sind um zu kontrollieren, ob sie vorliegendes Gesetz einhalten. § 3 - Stellt die Verwaltung fest, dass ein in Belgien ansässiger Zertifizierungsdiensteanbieter, der qualifizierte Zertifikate ausstellt, die Vorschriften des vorliegenden Gesetzes nicht einhält, weist sie ihn auf diese Unzulänglichkeit hin und bestimmt eine vernünftige Frist, innerhalb deren der Zertifizierungsdiensteanbieter alle nötigen Massnahmen getroffen haben muss, um wieder in Übereinstimmung mit dem Gesetz zu handeln. § 4 - Sind nach Ablauf dieser Frist die nötigen Massnahmen nicht getroffen worden, macht die Verwaltung die Sache beim Gericht anhängig, um: a) dem Zertifizierungsdiensteanbieter zu verbieten, weiterhin qualifizierte Zertifikate auszustellen, und b) den Zertifizierungsdiensteanbieter anzuweisen, die Inhaber von qualifizierten Zertifikaten, die er ausgestellt hat, sofort von deren Nichtübereinstimmung mit den Vorschriften des vorliegenden Gesetzes in Kenntnis zu setzen. § 5 - Hat der aufgrund von Artikel 17 akkreditierte Zertifizierungsdiensteanbieter nach Ablauf der vorerwähnten Frist seine Situation nicht geregelt, entzieht die Verwaltung ihm von Amts wegen die Akkreditierung.

Der Zertifizierungsdiensteanbieter ist verpflichtet, in seinem elektronischen Verzeichnis den Entzug der Akkreditierung zu vermerken und die Zertifikatinhaber unverzüglich davon in Kenntnis zu setzen.

Art. 21 - § 1 - Wer sich die Eigenschaft eines akkreditierten Zertifizierungsdiensteanbieters anmasst, wird mit einer Gefängnisstrafe von acht Tagen bis drei Monaten und mit einer Geldstrafe von tausend bis zehntausend Franken oder lediglich mit einer dieser Strafen belegt. § 2 - Bei Verurteilung aufgrund des in § 1 erwähnten Verstosses kann das zuständige Rechtsprechungsorgan anordnen, dass das Urteil unter Bedingungen, die das Rechtsprechungsorgan bestimmt, auf Kosten des Verurteilten ganz oder auszugsweise in einer oder mehreren Zeitungen veröffentlicht wird.

Wir fertigen das vorliegende Gesetz aus und ordnen an, dass es mit dem Staatssiegel versehen und durch das Belgische Staatsblatt veröffentlicht wird.

Gegeben zu Brüssel, den 9. Juli 2001 ALBERT Von Königs wegen: Der Minister der Wirtschaft, Ch. PICQUE Der Minister der Justiz, M. VERWILGHEN Der Minister des Fernmeldewesens, der Öffentlichen Unternehmen und der Öffentlichen Beteiligungen, R. DAEMS Mit dem Staatssiegel versehen: Der Minister der Justiz, M. VERWILGHEN Anlage I Anforderungen an qualifizierte Zertifikate Qualifizierte Zertifikate müssen folgende Angaben enthalten: a) Angabe, dass das Zertifikat als qualifiziertes Zertifikat ausgestellt wird, b) Angabe des Zertifizierungsdiensteanbieters und des Staates, in dem er ansässig ist, c) Name des Unterzeichners oder ein Pseudonym, das als solches zu identifizieren ist, d) Platz für ein spezifisches Attribut des Unterzeichners, das gegebenenfalls je nach Bestimmungszweck des Zertifikats aufgenommen wird, e) Signaturprüfdaten, die den vom Unterzeichner kontrollierten Signaturerstellungsdaten entsprechen, f) Angaben zu Beginn und Ende der Gültigkeitsdauer des Zertifikats, g) Identitätscode des Zertifikats, h) die fortgeschrittene elektronische Signatur des ausstellenden Zertifizierungsdiensteanbieters, i) gegebenenfalls Beschränkungen des Geltungsbereichs des Zertifikats und j) gegebenenfalls Begrenzungen des Wertes der Transaktionen, für die das Zertifikat verwendet werden kann. Anlage II Anforderungen an Zertifizierungsdiensteanbieter, die qualifizierte Zertifikate ausstellen Zertifizierungsdiensteanbieter a) müssen die erforderliche Zuverlässigkeit für die Bereitstellung von Zertifizierungsdiensten nachweisen, b) müssen den Betrieb eines schnellen und sicheren Verzeichnisdienstes und eines sicheren und unverzüglichen Widerrufsdienstes gewährleisten, c) müssen gewährleisten, dass Datum und Uhrzeit der Ausstellung oder des Widerrufs eines Zertifikats genau bestimmt werden können, d) müssen mit geeigneten Mitteln nach einzelstaatlichem Recht die Identität und gegebenenfalls die spezifischen Attribute der Person überprüfen, für die ein qualifiziertes Zertifikat ausgestellt wird, e) müssen Personal mit den für die angebotenen Dienste erforderlichen Fachkenntnissen, Erfahrungen und Qualifikationen beschäftigen;dazu gehören insbesondere Managementkompetenzen, Kenntnisse der Technologie elektronischer Signaturen und Vertrautheit mit angemessenen Sicherheitsverfahren; sie müssen ferner geeignete Verwaltungs- und Managementverfahren einhalten, die anerkannten Normen entsprechen, f) müssen vertrauenswürdige Systeme und Produkte einsetzen, die vor Veränderungen geschützt sind und die die technische und kryptographische Sicherheit der von ihnen unterstützten Verfahren gewährleisten, g) müssen Massnahmen gegen Fälschungen von Zertifikaten ergreifen und in den Fällen, in denen sie Signaturerstellungsdaten erzeugen, die Vertraulichkeit während der Erzeugung dieser Daten gewährleisten, h) müssen über ausreichende Finanzmittel verfügen, um den Anforderungen des vorliegenden Gesetzes entsprechend arbeiten zu können.Sie müssen insbesondere in der Lage sein, das Haftungsrisiko für Schäden zu tragen, zum Beispiel durch Abschluss einer entsprechenden Versicherung, i) müssen alle einschlägigen Informationen über ein qualifiziertes Zertifikat über einen angemessenen Zeitraum von dreissig Jahren aufzeichnen, um insbesondere für Gerichtsverfahren die Zertifizierung nachweisen zu können. Die Aufzeichnungen können in elektronischer Form erfolgen, j) dürfen keine Signaturerstellungsdaten von Personen speichern oder kopieren, denen Schlüsselmanagementdienste angeboten werden, k) müssen, bevor sie in Vertragsbeziehungen mit einer Person eintreten, die von ihnen ein Zertifikat zur Unterstützung ihrer elektronischen Signatur wünscht, diese Person mit einem dauerhaften Kommunikationsmittel über die genauen Bedingungen für die Verwendung des Zertifikats informieren, wozu unter anderem Nutzungsbeschränkungen für das Zertifikat, die Existenz eines freiwilligen Akkreditierungssystems und das Vorgehen in Beschwerde- und Schlichtungsverfahren gehören.Diese Angaben müssen schriftlich - gegebenenfalls elektronisch übermittelt - in klar verständlicher Sprache vorliegen. Wichtige Teilinformationen werden auf Antrag auch Dritten zur Verfügung gestellt, die auf das Zertifikat vertrauen, l) müssen vertrauenswürdige Systeme für die Speicherung von Zertifikaten in einer überprüfbaren Form verwenden, so dass a) nur befugte Personen Daten eingeben und ändern können, b) die Angaben auf ihre Echtheit hin überprüft werden können, c) Zertifikate nur in den Fällen öffentlich abrufbar sind, für die die Zustimmung des Zertifikatinhabers eingeholt wurde, d) technische Veränderungen, die die Einhaltung dieser Sicherheitsanforderungen beeinträchtigen, für den Betreiber klar ersichtlich sind. Anlage III Anforderungen an sichere Signaturerstellungseinheiten 1. Sichere Signaturerstellungseinheiten müssen durch geeignete Technik und geeignete Verfahren zumindest gewährleisten, dass a) die für die Erzeugung der Signatur verwendeten Signaturerstellungsdaten praktisch nur einmal auftreten können und dass ihre Geheimhaltung hinreichend gewährleistet ist, b) die für die Erzeugung der Signatur verwendeten Signaturerstellungsdaten mit hinreichender Sicherheit nicht abgeleitet werden können und die Signatur vor Fälschungen bei Verwendung der jeweils verfügbaren Technologie geschützt ist, c) die für die Erzeugung der Signatur verwendeten Signaturerstellungsdaten von dem rechtmässigen Unterzeichner vor der Verwendung durch andere verlässlich geschützt werden können.2. Sichere Signaturerstellungseinheiten verändern die zu unterzeichnenden Daten nicht und verhindern nicht, dass diese Daten dem Unterzeichner vor dem Signaturvorgang dargestellt werden. Anlage IV Empfehlungen für die sichere Signaturprüfung Während des Signaturprüfungsvorgangs ist mit hinreichender Sicherheit zu gewährleisten, dass a) die zur Überprüfung der Signatur verwendeten Daten den Daten entsprechen, die dem Überprüfer angezeigt werden, b) die Signatur zuverlässig überprüft wird und das Ergebnis dieser Überprüfung korrekt angezeigt wird, c) der Überprüfer bei Bedarf den Inhalt der unterzeichneten Daten zuverlässig feststellen kann, d) die Echtheit und die Gültigkeit des zum Zeitpunkt der Überprüfung der Signatur verlangten Zertifikats zuverlässig überprüft werden, e) das Ergebnis der Überprüfung und die Identität des Unterzeichners korrekt angezeigt werden, f) die Verwendung eines Pseudonyms eindeutig angegeben wird und g) sicherheitsrelevante Veränderungen erkannt werden können. Gezien om te worden gevoegd bij Ons besluit van 8 maart 2002.

ALBERT Van Koningswege : De Minister van Binnenlandse Zaken, A. DUQUESNE