Teilnehmerunterrichtung, PDF - TC TrustCenter

de. 06 | 2011
TC CLIENT CERTIFICATES
Information for Certificate Holders
1. Einleitung
Neue Medien und neue Gesetze erfordern das Umdenken in vielen Einsatz- und Wirkungsbereichen. Die eigenhändige
Unterschrift unter einem Papierdokument wird durch die elektronische Signatur für ein elektronisches Dokument ergänzt.
Das am 1. August 1997 als Bestandteil des Informations- und Kommunikationsdienstegesetzes (IuKDG) in Kraft getretene
Signaturgesetz (SigG) war der erste Schritt in die Richtung, die den Wechsel vom Papierdokument hin zum elektronischen
Dokument auch in der Gesetzgebung markierte.
Das Signaturgesetz wurde am 22.05.2001 durch das Gesetz über „Rahmenbedingungen für elektronische Signaturen und
zur Änderung weiterer Vorschriften“ ersetzt und am 11.01.2005 mit dem „Ersten Gesetz zur Änderung des Signaturgesetzes“
erneut leicht angepasst. Dieses neue Signaturgesetz bringt als wesentliche Neuerungen Regelungen zur Haftung
(§ 11 SigG) und Deckungsvorsorge (§ 12 SigG), sowie Bußgeldvorschriften im Fall eines Gesetzesverstoßes (§ 21 SigG)
seitens der Zertifizierungsdiensteanbieter. Des Weiteren ist an die Stelle eines obligatorischen Genehmigungsverfahrens
die Möglichkeit einer freiwilligen Akkreditierung für signaturgesetzkonforme Zertifizierungsdiensteanbieter (§ 15 SigG)
getreten – Prüfungen durch die Aufsichtsbehörde, die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post
und Eisenbahnen (BNetzA), sind jedoch jederzeit möglich (§ 20 (1) SigG). TC TrustCenter hat sich ganz bewusst für die
freiwillige Akkreditierung entschieden, mit der besondere Rechte und Pflichten verbunden sind, um die Vertrauenswürdigkeit
der von TC TrustCenter ausgestellten Zertifikaten zu erhöhen.
Die für den Inhaber eines qualifizierten Zertifikates wichtigste Neuerung ergibt sich im Verbund mit der Neufassung
einiger Vorschriften des Bürgerlichen Gesetzbuches (BGB), welche die Formerfordernis von Willenserklärungen betreffen.
Demnach hat eine so genannte qualifizierte elektronische Signatur (zur Definition vergleiche § 2 Nr. 3 SigG) im Rechtsverkehr
die gleiche Wirkung wie eine eigenhändige Unterschrift, sofern durch Gesetz nicht etwas anderes bestimmt ist
(vgl. Abschnitt 14).
Dieses Dokument dient der Teilnehmerunterrichtung gemäß § 6 SigG und soll Ihnen dabei helfen, einen Einblick in die
aktuelle Gesetzgebung zu gewinnen und sich über den Einsatz und den Nutzen qualifizierter elektronischer Signaturen
zu informieren. Links zum Signaturgesetz und zur Signaturverordnung finden Sie bei TC TrustCenter unter
http://www.trustcenter.de.
2. Grundlagen zur qualifizierten elektronischen Signatur
Bei Public Key-Verfahren werden zum Ver- und Entschlüsseln zwei verschiedene Schlüssel verwendet. Was mit dem einen
Schlüssel verschlüsselt wurde, kann nur mit einem anderen entschlüsselt werden. Absender und Empfänger benötigen
je einen solchen Schlüssel. Mit dem öffentlichen Schlüssel des Empfängers verschlüsselt der Absender die Nachricht. Der
öffentliche Schlüssel wird jedem im Internet in einer Art Telefonbuch für öffentliche Schlüssel zugänglich gemacht. Den
anderen, sogenannten „privaten Schlüssel“, verwendet der Empfänger, um die erhaltenen Nachrichten zu entschlüsseln.
Nur er ist im Besitz des privaten Schlüssels, der niemand anderem zugänglich gemacht werden darf.
Bei der elektronischen Signatur wird dieses Vorgehen umgedreht. Der Absender signiert ein Dokument mit seinem
privaten Schlüssel, dem Signaturschlüssel. Der Empfänger kann dann mit dem zugehörigen öffentlichen Schlüssel, dem
Signaturprüfschlüssel, die Echtheit der Unterschrift sowie die Unversehrtheit der Nachricht prüfen.
2.1 Vorteile der elektronischen Signatur
Die elektronische Signatur hat folgende Eigenschaften:
Die elektronische Signatur ist authentisch. Sie ist einmalig und untrennbar an eine Person gebunden. Mit ihr lässt sich,
wie bei einer handschriftlichen Unterschrift, die Identität eines Unterschreibenden überprüfen.
Die elektronische Signatur ist inhaltsbezogen. Das heißt, sie bezieht sich bei der Unterzeichnung eines elektronischen
Dokumentes auf jedes einzelne Bit der Datei und damit auf das gesamte elektronische Dokument. Eine nachträgliche
Veränderung des Inhaltes ist nicht mehr möglich, ohne dass dies bei der Prüfung der Signatur bemerkt würde.
Eine elektronische Signatur lässt sich nicht kopieren oder nachahmen.
Now part of Symantec
Das Erzeugen und das Überprüfen einer elektronischen Signatur erfolgt elektronisch und ist sicher gegen Manipulation.
1/9
weiter auf Seite 2 »
Symantec Limited
Ballycoolin Business Park, Blanchardstown | Dublin 15 | Ireland | Phone: +353 1 803 5400 | Fax +353 820 4055 | www.trustcenter.de

de. 06 | 2011
TC CLIENT CERTIFICATES
Information for Certificate Holders
2.2 Qualifizierte Zertifikate und Zertifizierungsdiensteanbieter
Ein Zertifizierungsdiensteanbieter übernimmt die Zuordnung des öffentlichen Schlüssels zu einer Person. Anhand des öffentlichen
Schlüssels prüfen die Kommunikationsteilnehmer die Echtheit einer elektronischen Signatur und verschlüsseln vertrauliche
Daten an den Empfänger.
Als Inhaber eines qualifizierten Zertifikats ist es gemäß § 7 SigG erforderlich, die folgenden Informationen in das Zertifikat
aufzunehmen:
Ihren Namen, der im Falle einer Verwechslungsmöglichkeit (zum Beispiel „Hans Müller“) mit einem Zusatz zu versehen ist,
oder stattdessen ein Ihnen zugeordnetes Pseudonym, dass als solches kenntlichen zu machen ist (§ 7 (1) Nr. 1 SigG).
Wünschen Sie ein Pseudonym, so wird dieses aus der Seriennummer des Zertifikats und dem Suffix „:PN“ gebildet.
Angaben darüber, ob die Nutzung des Signaturschlüssels auf bestimmte Anwendungen nach Art oder Umfang
beschränkt ist (§ 7 (1) Nr. 7 SigG);
Darüber hinaus ist es Ihnen gemäß § 5 (2) SigG möglich, die folgenden Angaben zusätzlich in das Zertifikat aufnehmen zu lassen:
Vertretungsmacht für eine dritte Person
berufsbezogene oder sonstige Angaben zu Ihrer Person
Angaben darüber, ob die Nutzung des Signaturschlüssels auf bestimmte Anwendungen nach Art oder Umfang beschränkt ist
Bei Angaben zur Vertretungsmacht für eine dritte Person ist die Einwilligung der dritten Person nachzuweisen, und bei natürlichen
Personen muss diese darüber hinaus eine Identitätsfeststellung vornehmen lassen. Analog dazu müssen berufsbezogene
oder sonstige Angaben durch die zuständige Stelle bestätigt werden. Hier ist besonders darauf hinzuweisen, dass die
zuständige Stelle, wie z.B. die Ärztekammer, das Führen der Berufsbezeichnung im Zertifikat untersagen kann.
Die Beschränkung der Verwendung kann auch in einer summenmäßigen Beschränkung vorgenommen werden (z.B.: „Der
Inhaber dieses Zertifikats haftet nur für Geschäfte bis zu einem Betrag von 10.000,- EURO.“).
2.3 Qualifizierte Zertifikate
Now part of Symantec
Unter einem qualifizierten Zertifikat versteht man eine elektronische Bescheinigung, mit der ein Zertifizierungsdiensteanbieter
einen Signaturprüfschlüssels einer natürlichen Person, d. h. nicht zu einer Organisation oder einer Behörde („juristische Person“)
zuordnet. Diese Person kann aber Arzt, Einkaufsleiter oder Rechtsanwalt sein, sie kann Handlungsbevollmächtigter für eine
Organisation sein, oder einen eng begrenzten Handlungsrahmen haben. Diese Informationen sind für Verträge oder andere
Auskünfte von Belang.
In einem qualifizierten Zertifikat muss mindestens der Name des „Signaturschlüssel-Inhabers, der im Falle einer Verwechslungsmöglichkeit
mit einem Zusatz zu versehen ist, oder ein dem Signaturschlüssel-Inhaber zugeordnetes unverwechselbares
Pseudonym, das als solches kenntlich sein muss [...]“ (§ 7 (1) Nr. 1 SigG) enthalten sein. Um Verwechslungsmöglichkeiten auszuschließen,
können Angaben zum Wohnort hilfreich sein, z. B. „Hans Mustermann, Hameln“. Es dürfen auch Angaben darüber
enthalten sein, „[...] ob die Nutzung des Signaturschlüssels auf bestimmte Anwendungen nach Art oder Umfang beschränkt ist.“
(§ 7 (1) Nr. 7 SigG).
Attribute im Zertifikat sollten sich auf tatsächlich benötigte Angaben beschränken, die für den Rechtsverkehr sinnvoll und
üblich sind. Das könnten z. B. Beschränkungen sein, die so formuliert sind, dass pro Transaktion eine maximale festgelegte
Summe nicht überschritten werden darf, oder die Aufnahme von Angaben zur berufsrechtlichen Zulassung.
TC QSign beinhaltet eine sichere Signaturerstellungseinheit (Signaturkarte) mit qualifiziertem Zertifikat mit Anbieterakkreditierung
gemäß Deutschem Signaturgesetz. Das auf der TC QSign Signaturkarte enthaltene qualifizierte Zertifikat dient zum elektronischen
Signieren von Dokumenten. Die zusätzlich auf der Karte gespeicherten Verschlüsselungs- und Authentisierungszertifikate
können für Anwendungen, bei denen keine qualifizierten Zertifikate gefordert sind, wie z.B. die elektronische Steuererklärung
(Elster), verwendet werden.
2/9
weiter auf Seite 3 »
Symantec Limited
Ballycoolin Business Park, Blanchardstown | Dublin 15 | Ireland | Phone: +353 1 803 5400 | Fax +353 820 4055 | www.trustcenter.de

de. 06 | 2011
TC CLIENT CERTIFICATES
Information for Certificate Holders
2.4 Qualifizierte Zeitstempel
Qualifizierte Zeitstempel (analog zum „qualifizierten Zertifikat“) im Sinne des Signaturgesetzes sind „elektronische
Bescheinigungen eines Zertifizierungsdiensteanbieters, der die Anforderungen nach den §§ 4 bis 14 sowie § 17 oder § 23 dieses
Gesetzes und der sich darauf beziehenden Vorschriften der Rechtsverordnung nach § 24 erfüllt, darüber, dass ihm bestimmte
elektronische Daten zu einem bestimmten Zeitpunkt vorgelegen haben.“ (§ 2 Nr. 14 SigG).
Wenn Sie z.B. ein Dokument elektronisch signiert haben, können Sie den Zeitstempeldienst eines Zertifizierungsdiensteanbieters
verwenden. TC TrustCenter stellt zu diesem Zweck einen qualifizierten Zeitstempel aus, der die aktuelle gesetzlich
gültige Uhrzeit enthält und signiert das vom Kunden zugesandte Dokument. Damit können Sie später nachweisen, dass das
Dokument zu dem eingetragenen Zeitpunkt bereits von Ihnen signiert war.
2.5 Das Signaturgesetz
Now part of Symantec
Das deutsche Signaturgesetz ist von seiner Grundkonzeption her ein technik- und gewerberegulierendes Gesetz. Das bedeutet,
dass in ihm lediglich der Betrieb einer Zertifizierungsinstanz geregelt wird. Insbesondere wird mit dem Signaturgesetz nicht
geregelt, welche Wirkung eine qualifizierte elektronische Signatur im Rechtsverkehr hat, und welche Vorteile sie in einem
Gerichtsverfahren mit sich bringt. Diese Fragen sind in den allgemeinen Gesetzen wie dem Bürgerlichen Gesetzbuch oder der
Zivilprozessordnung aber auch in einigen Verwaltungsgesetzen geregelt.
Das Signaturgesetz bietet Zertifizierungsdiensteanbietern (ZDA) die Möglichkeit zur freiwilligen Anbieter-Akkreditierung. Hierzu
hat sich der ZDA freiwillig einer aufwendigen Prüfung durch eine anerkannte Prüf- und Bestätigungsstellen zu unterziehen.
Dadurch weist der ZDA die Einhaltung zusätzlicher Anforderungen für akkreditierte ZDA nach und erhält nach positivem
Prüfergebnis ein Gütezeichen der Bundesnetzagentur. Solche ZDA dürfen sich als akkreditierte Zertifizierungsdiensteanbieter
bezeichnen und sich im Rechts- und Geschäftsverkehr auf nachgewiesene Sicherheit berufen.
Die Anforderungen des Signaturgesetzes, in Verbindung mit den vorgeschriebenen Prüfungen der Produkte für qualifizierte
elektronische Signaturen und der Prüfung der Zertifizierungsdiensteanbieter durch unabhängige Prüfinstanzen, gewährleisten
ein hohes Maß an Sicherheit für qualifizierte elektronische Signaturen.
Eine wichtige Rolle nimmt im Rahmen des Signaturgesetzes die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation,
Post und Eisenbahnen (BNetzA) ein. Sie regelt hauptverantwortlich die Überprüfung der Zertifzierungsdiensteanbieter in
Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik und weiteren ausgewählten privatwirtschaftlichen
Prüfstellen.
Außerdem tritt die Bundesnetzagentur selbst als Zertifizierungsinstanz auf. Sie stellt die qualifizierten Zertifikate für die
Signaturschlüssel der akkreditierten Zertifizierungsdiensteanbieter aus.
3/9
weiter auf Seite 4 »
Symantec Limited
Ballycoolin Business Park, Blanchardstown | Dublin 15 | Ireland | Phone: +353 1 803 5400 | Fax +353 820 4055 | www.trustcenter.de

de. 06 | 2011
TC CLIENT CERTIFICATES
Information for Certificate Holders
3. Aufgaben eines Zertifizierungsdiensteanbieters
In § 5 SigG ist geregelt, welche Aufgaben ein Zertifizierungsdiensteanbieter wahrnehmen muss, um qualifizierte Zertifikate
vergeben zu können. Allgemeine Anforderungen an einen Zertifizierungsdiensteanbieter listet § 4 (2) SigG auf:
> Einhalten der maßgeblichen Rechtsvorschriften
> Fachkunde der Mitarbeiter (Kenntnisse, Erfahrungen und Fertigkeiten)
> Deckungsvorsorge für haftungsauslösende Ereignisse
> Dokumentation der Maßnahmen zur Erfüllung der Sicherheitsanforderungen in einem Sicherheitskonzept
> Anzeige der Betriebsaufnahme an die zuständige Behörde (BNetzA)
Der Betrieb eines Zertifizierungsdienstes ist gemäß § 4 (1) SigG im Rahmen der Gesetze genehmigungsfrei. Der Gesetzgeber
hat jedoch ein freiwilliges Akkreditierungssystem vorgesehen (§ 15 SigG) – ein „Verfahren zur Erteilung einer Erlaubnis für den
Betrieb eines Zertifizierungsdienstes, mit der besondere Rechte und Pflichten verbunden sind.“ (§ 2 Nr. 15 SigG). Die
Akkreditierung wird von der BNetzA mit einem Gütezeichen bestätigt.
3.1 Registrierung
Jede Person, die einen Signaturschlüssel und das zugehörige qualifizierte Zertifikat verwenden möchte, muss dazu als
erstes vom Zertifizierungsdiensteanbieter registriert werden. Dabei vergewissert sich der Zertifizierungsdiensteanbieter über
die Identität der Person anhand des Personalausweises oder Reisepasses und erfasst die notwendigen persönlichen Daten. Bei
Vorlage eines Reisepasses muss eine aktuelle Meldebescheinigung (nicht älter als drei Monate) beigefügt werden. Die Person,
die einen Signaturschlüssel wünscht, muss dazu beim Zertifizierungsdiensteanbieter einen Antrag stellen und wird im folgenden
Antragsteller genannt.
Gemäß § 5 (1) SigG hat der Zertifizierungsdiensteanbieter Personen, die ein Zertifikat beantragen, zuverlässig zu identifizieren.
Diese Identifizierung muss anhand eines gültigen Personalausweises, eines Reisepasses oder auf andere geeignete Weise erfolgen.
Der Antragsteller muss ein Antragsformular ausfüllen, das eigenhändig zu unterschreiben ist.
Gemäß § 7 SigG muss das qualifizierte Zertifikat enthalten:
a) den Namen des Signaturschlüssel-Inhabers, der im Falle einer Verwechslungsmöglichkeit mit einem Zusatz zu versehen ist,
oder ein dem Signaturschlüssel-Inhaber zugeordnetes unverwechselbares Pseudonym, das als solches kenntlich sein muss,
b) Angaben, ob die Nutzung des Signaturschlüssels auf bestimmte Anwendungen nach Art und Umfang beschränkt ist.
Weiter müssen auf Wunsch des Antragstellers aufgenommen werden:
c) Angaben zur Vertretungsmacht für eine dritte Person und
d) Angaben zur berufsrechtlichen oder sonstigen Zulassung.
Now part of Symantec
Dem Zertifizierungsdiensteanbieter steht es dabei frei, ob er die Angaben 3. und 4. mit in das qualifizierte Zertifikat oder in ein
Attribut-Zertifikat aufnimmt. TC TrustCenter nimmt diese Angaben ins Zertifikat auf. Angaben zur Vertretungsmacht müssen
dabei von der dritten Person bestätigt werden. Die Aufnahme einer berufsrechtlichen Zulassung ins Zertifikat (z.B. eines
Diplom-Grades) muss von der zuständigen Zulassungsstelle bestätigt werden. Bei Aufnahme einer Vertretungsmacht sowie
einer berufsrechtlichen oder sonstigen Zulassung erhält die dritte Person bzw. die Zulassungsstelle das Recht, das Zertifikat zu
sperren.
Mit Zustimmung des Antragstellers dürfen weitere Angaben in das Zertifikat aufgenommen werden. So ist es beispielsweise bei
dem verwendeten Standard für Zertifikate, dem X.509-Standard, üblich, zusätzlich zu dem Namen mindestens Land und Ort mit
anzugeben.
Die Registrierung ist zu dokumentieren, insbesondere müssen der unterschriebene Antrag sowie eine Ablichtung des bei der
Identifizierung vorgelegten Ausweises archiviert werden.
4/9
weiter auf Seite 5 »
Symantec Limited
Ballycoolin Business Park, Blanchardstown | Dublin 15 | Ireland | Phone: +353 1 803 5400 | Fax +353 820 4055 | www.trustcenter.de

de. 06 | 2011
TC CLIENT CERTIFICATES
Information for Certificate Holders
3.2 Zertifizierung
Nach der erfolgten Identifizierung des Antragstellers erfolgt die Zertifizierung. Durch ein qualifiziertes Zertifikat wird ein
Signaturprüfschlüssel einer Person zugeordnet.
Sowohl die Eignung der Signaturkarten als auch die Schlüsselgenerierung unterliegen der Aufsicht durch die Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (BNetzA) gemäß Signaturgesetz. Insbesondere muss die
Geheimhaltung des privaten Schlüssels gewährleistet sein, auch der Zertifizierungsdiensteanbieter selbst darf und kann keine
Kopie des privaten Schlüssels zurückbehalten.
Als Signaturkarten dürfen nur solche Karten verwendet werden, die die Anforderungen aus dem Signaturgesetz und der
Signaturverordnung erülllen und deren Eignung durch eine Prüf- und Bestätigungsstelle nach § 18 SigG bestätigt ist. Solche
Signaturkarten werden auch als „Sichere Signaturerstellungseinheiten“ (SSEE) bezeichnet.
Dem Antragsteller wird die sichere Signaturerstellungseinheit mit dem Signaturschlüssel und dem qualifizierten Zertifikat übergeben.
Auf Wunsch des Antragstellers kann diese Übergabe per Post erfolgen.
Der Antragsteller muss den Erhalt der unversehrten Signaturkarte schriftlich bestätigen. Erst wenn der Zertifizierungsdiensteanbieter
diese Bestätigung erhalten hat, führt er die Freischaltung des Zertifikats im Verzeichnisdienst durch. Dem Antragsteller wird nun
der PIN-Brief zugesendet mit dem er die Signaturkarte aktivieren kann. Erst danach ist eine signaturgesetzkonforme
Verwendung des Signaturschlüssels möglich.
3.3 Verzeichnisdienst
Der Zertifizierungsdiensteanbieter muss die von ihm ausgestellten Zertifikate in einem Verzeichnisdienst führen. Dies dient
der Nachprüfbarkeit der Gültigkeit von Zertifikaten. Jedes Zertifikat, das von TC TrustCenter ausgestellt wurde, ist überprüfbar.
Dazu sucht man das Zertifikat im Verzeichnisdienst, wo die Möglichkeit besteht, das gesuchte Zertifikat anhand des Zertifikats
des ausstellenden Zertifizierungsdiensteanbieters zu überprüfen. Jedes von TC TrustCenter ausgestellte Zertifikat ist mit diesem
sogenannten CA-Zertifikat signiert worden. Der Verzeichnisdienst ist rund um die Uhr für jedermann über das Internet
erreichbar. Die Internetadresse des Verzeichnisdienstes der TC Trust-Center GmbH lautet:
https://dir.trustcenter.de/cgi-bin/CertStatus.cgi
Unter dieser Adresse kann die Gültigkeit aller von TC TrustCenter ausgestellten qualifizierten Zertifikate überprüft werden.
Abrufbare Zertifikate können unter folgender Adresse aus dem Verzeichnisdienst abgerufen werden:
https://dir.trustcenter.de/cgi-bin/Retrieve.cgi
3.4 Sperrdienst
Now part of Symantec
Der Zertifizierungsdiensteanbieter ist verpflichtet, ein Zertifikat jederzeit zu sperren, wenn der Zertifikatsinhaber es verlangt.
Auch Dritte, für die im Zertifikat Vertretungsmacht eingetragen ist, sowie sonstige Stellen, die Angaben im Zertifikat bestätigt
haben, können die Sperrung jederzeit verlangen. Diese Angaben werden im Verzeichnisdienst aufgenommen und können
jederzeit von anderen überprüft werden.
Gründe für eine Sperrung können sein, dass sich die im Zertifikat enthaltenen Angaben geändert haben. Es ist aber auch
möglich, dass die Signaturkarte unberechtigten Personen in die Hände gefallen ist oder zumindest der Verdacht besteht
(Verlust der Karte). In diesem Fall muss der Zertifikatsinhaber das Zertifikat unverzüglich im Verzeichnisdienst sperren lassen. Die
Sperrung wird umgehend mit dem aktuellen Zeitpunkt in den Verzeichnisdienst eingetragen. Selbst wenn dann die unberechtigten
Dritten auch über die zur Signaturkarte gehörige PIN verfügen sollten, wären alle Signaturen, die sie nach dem
Sperrzeitpunkt durchführten, ungültig. 1
1 Zu beachten ist, dass sämtliche Signaturen nach Ablauf der Gültigkeit des Zertifikats oder nach Sperrung des Zertifikats nicht mehr mit dem Status
„gültig“ im Verzeichnisdienst erscheinen. Durch einen Zeitstempel lässt sich aber nachweisen, dass eine Signatur vor Ablauf der Gültigkeit bzw. vor einer
Sperrung erzeugt wurde, so dass die Gültigkeit einer Signatur nicht beeinträchtigt wird.
5/9
weiter auf Seite 6 »
Symantec Limited
Ballycoolin Business Park, Blanchardstown | Dublin 15 | Ireland | Phone: +353 1 803 5400 | Fax +353 820 4055 | www.trustcenter.de

de. 06 | 2011
TC CLIENT CERTIFICATES
Information for Certificate Holders
Die Sperrung Ihres Zertifikates können Sie auf zwei verschiedene Weisen veranlassen:
Telefonische Sperrung:
Die Beauftragung der telefonischen Sperrung erfolgt über eine rund um die Uhr besetzte Rufnummer. Der Zertifikatsinhaber
muss dazu mit einem bei Zertifikatsbeantragung selbst gewählten Sperrpasswort seine Sperrberechtigung nachweisen.
Zusätzlich sind entweder die Zertifikatsseriennummer und der Ausstellername oder die auf der Karte aufgedruckte Karten-
nummer zu nennen.
Die rund um die Uhr besetzte Sperr-Hotline der
TC TrustCenter GmbH lautet:
0800 – 82 87 87 8 oder 0800 – TCTRUST
Schriftliche Sperrung:
Die Beauftragung einer Sperrung ist zudem auch schriftlich oder mit qualifizierter elektronischer Signatur möglich.
Vermerken Sie dazu in Ihrem Schreiben die Kartennummer Ihrer Signatur-Chipkarte und unterschreiben Sie handschriftlich
oder qualifiziert elektronisch. Die Kartennummer finden Sie auf der Vorderseite der Karte und auf dem Zertifikats-Datenblatt,
das Ihnen mit Ihrem PIN-Brief zugegangen ist.
Bei einer Sperrung mit qualifizierter elektronischer Signatur müssen das zu sperrende Zertifikat und das signierende
Zertifikat verschieden sein.
3.5 Produkte für qualifizierte elektronische Signaturen
In § 17 SigG sowie in § 14 der SigV wird geregelt, welchen Anforderungen die vom Zertifizierungsdiensteanbieter und vom
Anwender eingesetzte Technik genügen und welchen Prüfungen durch dafür zugelassene Prüf- und Bestätigungsstellen diese
Technik unterzogen werden muss.
Insbesondere hat der Zertifizierungsdiensteanbieter sicherzustellen, dass die Geheimhaltung des Signaturschlüssels auf den
von ihm verwendeten Signaturkarten in jedem Fall gewährleistet ist, dass der Verzeichnis- und Sperrdienst nicht manipuliert
werden kann und dass der Zeitstempeldienst ordnungsgemäß arbeitet.
3.6 Datenschutz
Der Zertifizierungsdiensteanbieter unterliegt dem Datenschutzgesetz und wird wie jede Organisation der Privatwirtschaft
behandelt. Insbesondere darf der Zertifizierungsdiensteanbieter personenbezogene Daten nur soweit erheben, wie es für die
Zwecke der Ausstellung und Verwaltung eines Zertifikats erforderlich ist.
3.7 Prüfung des Zertifizierungsdiensteanbieters
Now part of Symantec
Nicht nur die vom Zertifizierungsdiensteanbieter verwendete Technik wird nach Maßgabe der Bundesnetzagentur für Elektrizität,
Gas, Telekommunikation, Post und Eisenbahnen geprüft, sondern auch die gesamte Ablauforganisation und Infrastruktur eines
Zertifizierungsdiensteanbieters. Diese Prüfung wird regelmäßig spätestens alle drei Jahre wiederholt.
6/9
weiter auf Seite 7 »
Symantec Limited
Ballycoolin Business Park, Blanchardstown | Dublin 15 | Ireland | Phone: +353 1 803 5400 | Fax +353 820 4055 | www.trustcenter.de

de. 06 | 2011
TC CLIENT CERTIFICATES
Information for Certificate Holders
4. Sorgfaltspflichten des Zertifikatsinhabers
Die Sicherheit einer Zertifikatsinfrastruktur baut auf eine Trennung der Verantwortlichkeiten. Auch Sie tragen durch Ihren
sorgfältigen Umgang dazu bei, dass Daten zuverlässig signiert und geprüft werden können.
Ihre Signaturkarte mit Ihrem geheimen Signaturschlüssel bedeutet mehr als nur die Möglichkeit, eine qualifizierte elektronische
Signatur zu erzeugen. Alles, was Sie mit der Signaturkarte qualifiziert elektronisch signieren, kann auf Sie zurückgeführt werden,
solange das Zertifikat gültig ist und nichts darauf hindeutet, dass die Signatur nicht willentlich von Ihnen erzeugt wurde.
Bitte beachten Sie beim Umgang mit qualifizierten elektronischen Signaturen folgende Hinweise:
4.1 Umgang mit Signaturkarte und PIN
Die Signaturkarte mit dem privaten Signaturschlüssel ist in persönlichem Gewahrsam zu halten.
Die PIN muss geheim gehalten werden. Die PIN muss bei Verdacht auf Preisgabe unverzüglich geändert werden. Wenn Sie nicht
sicher sein können, dass kein Missbrauch stattgefunden hat, so sollten Sie sicherheitshalber Ihr Zertifikat bei TC TrustCenter
sperren lassen.
Ist Ihre Signaturkarte beschädigt, obwohl Sie die Beschädigung nicht wissentlich verursacht haben, so kann dies auf einen
Manipulationsversuch hindeuten. Wenn Sie einen Manipulationsversuch nicht sicher ausschießen können, lassen Sie sicherheitshalber
Ihr Zertifikat bei TC TrustCenter sperren.
Bei Verlust Ihrer Signaturkarte mit Ihrem Signaturschlüssel sperren Sie unverzüglich telefonisch Ihr Zertifikat bei TC TrustCenter.
Sobald Sie sich sicher sind, dass Sie Ihren Signaturschlüssel nicht mehr verwenden wollen und Sie Ihr Zertifikat bei
TC TrustCenter gesperrt haben, machen Sie den Chip auf der Signaturkarte unbrauchbar, z. B. durch Lochen mit einem handelsüblichen
Locher.
4.2 Erzeugen und Prüfen von Signaturen
Vor dem Einsatz von Signaturkomponenten vergewissern Sie sich bitte, dass keine die vertrauenswürdige Prüfung oder
Erzeugung von qualifizierten elektronischen Signaturen behindernden Komponenten auf Ihrem Rechner sind, wie z. B. Virenprogramme,
trojanische Pferde oder andere Schadprogramme.
Verwenden Sie zum Erzeugen und Prüfen von qualifizierten Signaturen nur gemäß Signaturgesetz geprüfte und bestätigte
Komponenten. Eine Liste solcher Komponenten können Sie z.B. von TC TrustCenter anfordern oder von den Webseiten der
Bundesnetzagentur abrufen.
Zur Überprüfung einer qualifizierten Signatur gehört:
Now part of Symantec
a) die Prüfung der Gültigkeit des zugehörigen Zertifikats im Verzeichnisdienst des Zertifizierungsdiensteanbieters.
Qualifizierte Zertifikate der TC TrustCenter GmbH können unter folgender Internetadresse geprüft werden:
https://dir.trustcenter.de/cgi-bin/CertStatus.cgi
b) die Prüfung der Gültigkeit des zugehörigen Zertifikats des Zertifizierungsdiensteanbieters im
Verzeichnisdienst der Bundesnetzagentur (siehe http://www.nrca-ds.de).
c) die Prüfung der Gültigkeit des Zertifikats der Bundesnetzagentur im Verzeichnisdienst der Bundesnetzagentur
(siehe http://www.nrca-ds.de).
Die Punkte b) und c) sind nur dann anwendbar, wenn es sich um ein qualifiziertes Zertifikat mit Anbieterakkreditierung handelt.
TC TrustCenter stellt qualifizierte Zertifikate mit Anbieterakkreditierung aus.
Die qualifizierte elektronische Signatur hat die gleiche Wirkung wie eine eigenhändige Unterschrift!
Aus § 126 (3) des Bürgerlichen Gesetzbuches (BGB) in Verbindung mit § 126 a Abs. 1 BGB ergibt sich, dass eine qualifizierte
elektronische Signatur im Rechtsverkehr die gleiche Wirkung hat wie eine eigenhändige Unterschrift, d.h. als wirksame
Willenserklärung Ihnen zugerechnet wird, sofern sich aus dem Gesetz nichts anderes ergibt (vgl. § 6 Abs. 2 SigG). Prüfen Sie
7/9
weiter auf Seite 8 »
Symantec Limited
Ballycoolin Business Park, Blanchardstown | Dublin 15 | Ireland | Phone: +353 1 803 5400 | Fax +353 820 4055 | www.trustcenter.de

de. 06 | 2011
TC CLIENT CERTIFICATES
Information for Certificate Holders
deshalb sämtliche Informationen sorgfältig, bevor Sie diese signieren! Sollten Ihnen nach dem Signieren Zweifel aufkommen,
prüfen Sie selbst die Inhalte und die Signatur noch einmal, bevor Sie diese an andere weitergeben.
Beim Prüfen von elektronischen Daten muss festgestellt werden, ob das Zertifikat zum Zeitpunkt der Signaturerzeugung gültig
war, ob es Beschränkungen oder sonstige zusätzliche Angaben enthält und ob ggf. weitere Zertifikate (vgl. 17.) oder Zeitstempel
(vgl. 18.) beigefügt waren.
Vor Gericht wird die qualifizierte elektronische Signatur Ihnen zugerechnet!
In einem gerichtlichen Verfahren gilt eine mit Ihrer Signaturkarte geleistete qualifizierte elektronische Signatur als eine von
Ihnen abgegebene Erklärung. Sie müssen im Zweifel beweisen, dass die qualifizierte elektronische Signatur nicht von Ihnen
stammt, und dass Sie nicht gegen die Sorgfaltspflichten im Umgang mit der Signaturkarte verstoßen haben.
4.3 Neusignatur von signierten Daten
Daten mit einer qualifizierten elektronischen Signatur sind bei Bedarf neu zu signieren, wenn die Daten für längere Zeit in
signierter Form benötigt werden, als die für ihre Erzeugung und Prüfung eingesetzten Algorithmen und zugehörigen Parameter
als geeignet beurteilt sind.
Zu diesem Zweck sind die Daten vor dem Zeitpunkt des Ablaufs der Eignung der Algorithmen oder der zugehörigen Parameter
mit einer neuen qualifizierten elektronischen Signatur zu versehen. Diese muss mit geeigneten neuen Algorithmen oder zugehörigen
Parametern erfolgen, frühere Signaturen einschließen und einen qualifizierten Zeitstempel tragen.
Am einfachsten können Sie dieser Anforderung nachkommen, wenn Sie vor dem Ablauf der Eignung der Algorithmen und
zugehörigen Parameter die Daten inklusive der vorhandenen Signatur von einem akkreditierten Zertifizierungsdiensteanbieter
mit einem qualifizierten Zeitstempel versehen lassen.
Die Bundesnetzagentur veröffentlicht jährlich im Bundesanzeiger eine Übersicht über die Algorithmen und zugehörigen
Parameter, die zur Erzeugung von Signaturschlüsseln, zum Hashen zu signierender Daten oder zur Erzeugung und Prüfung
qualifizierter elektronischer Signaturen als geeignet anzusehen sind, sowie den Zeitpunkt, bis zu dem die Eignung jeweils gilt.
Zusätzlich wird diese Information und ggf. die aktuelle Entwicklung auch auf den Webseiten der Bundesnetzagentur für
Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen veröffentlicht (www.BNetzA.de).
4.4 Produkte für qualifizierte elektronische Signaturen
Setzen Sie unbedingt Signaturgesetz-konforme, geprüfte und bestätigte technische Produkte ein (vgl. § 17 SigG). Produkte
können sowohl Software - also die von Ihnen verwendeten Computerprogramme - als auch Hardware - hier ist in erster Linie
das Kartenlesegerät gemeint - sein. Schützen Sie die von Ihnen eingesetzten Produkte, z.B. durch ein Passwort, vor unbefugten
Zugriffen und Missbrauch. Im Falle des Verlusts wenden Sie sich bitte an TC TrustCenter. Benutzen Sie keine anderweitig
erworbenen Software- oder Hardware-Komponenten, von deren Gesetzeskonformität Sie sich nicht überzeugen konnten.
Aktuelle Informationen über geprüfte und bestätigte Produkte erhalten Sie in den regelmäßigen Bekanntmachungen im
Bundesanzeiger sowie direkt bei der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen.
Internet: http://www.bundesnetzagentur.de.
Sie können sich auch direkt bei TC TrustCenter erkundigen. Schreiben Sie eine E-Mail an info@trustcenter.de oder rufen uns
an unter der Telefonnummer +49 (0) 40 80 80 26- 100.
4.5 Beschränkungen in qualifizierten Zertifikaten
Enthält ein qualifiziertes Zertifikat Informationen, die für die Aussage der signierten Daten von Bedeutung sind, so ist dieses den
signierten Daten beizufügen (vgl. 3.).
4.6 Zeitangaben
Now part of Symantec
Soweit für den Beweiswert signierter Daten ein Zeitpunkt von Bedeutung sein kann, ist ein Zeitstempel anzubringen (vgl. 4.)
8/9
weiter auf Seite 9 »
Symantec Limited
Ballycoolin Business Park, Blanchardstown | Dublin 15 | Ireland | Phone: +353 1 803 5400 | Fax +353 820 4055 | www.trustcenter.de

de. 06 | 2011
TC CLIENT CERTIFICATES
Information for Certificate Holders
5. Beschwerde- und Schlichtungsverfahren
TC TrustCenter bietet seine Dienstleistungen in Übereinstimmung mit dem deutschen Signaturgesetz nach deutschen Recht
an. Für die Kunden von TC TrustCenter bedeutet dies, dass sie den vollen Rechtsschutz der deutschen Gesetze genießen. Daraus
ergibt sich, dass auch Unstimmigkeiten und Streitigkeiten regelmäßig in Deutschland geklärt werden.
TC TrustCenter hilft bei der Aufklärung ...
Kommt es bezüglich eines Zertifikates zwischen einem Zertifikatsinhaber und einer Partei, die auf dieses Zertifikat vertraut hat,
zu Unstimmigkeiten oder gar zu einem Streit, so kann sich jede Partei an TC TrustCenter wenden, um Tatsachen in Erfahrung zu
bringen, die sie für die Argumentation gegenüber der anderen Partei benötigt.
aber nur, soweit dies erlaubt ist
Selbstverständlich kann TC TrustCenter hierbei nicht jede Information an die nachfragende Seite herausgeben. Dies ergibt sich
schon aus allgemeinen Verboten aus den Datenschutzgesetzen. Weiter ergibt sich der Rahmen, in dem TC TrustCenter
Informationen an Dritte herausgibt, aus der Vereinbarung, die zwischen dem Kunden und TC TrustCenter auf Basis von
Allgemeinen Geschäftsbedingungen getroffen wurde.
Es ist aber immer möglich, dass TC TrustCenter Informationen an die beiden Parteien gibt, wenn der Kunde von TC TrustCenter
hierin einwilligt.
TC TrustCenter wird nicht die Rolle eine Schiedsrichters übernehmen
Da TC TrustCenter zumindest mit einer Partei, nämlich dem Zertifikatsinhaber, eine Vertrag geschlossen hat, wird TC TrustCenter
von der anderen Partei möglicherweise nicht als unparteiisch eingestuft. Aus diesem Grund wird TC TrustCenter in einer
Auseinandersetzung zwischen den beiden Parteien nicht die Rolle des Schiedsrichters einnehmen.
Kein spezielles Streitschlichtungsverfahren
Die Parteien sind selbstverständlich berechtigt, miteinander alternative Streitbeilegungsverfahren, wie Schieds- oder
Schlichtungsverfahren, zu vereinbaren.
Ein spezielles Verfahren, in dem ein Streit zwischen den beiden Parteien durch eine neutrale, aber nicht staatliche Instanz wie
einem ordentlichen Gericht (also Amtsgerichten oder Landgerichten) entschieden wird, kann von TC TrustCenter nicht
vorgeschlagen und nicht empfohlen werden.
... deshalb der bewährte Gang zu den ordentlichen Gerichten
Wann kommt es eigentlich zu Unstimmigkeiten, bei denen Zertifikate und damit abgegeben elektronische Signaturen eine
Rolle spielen?
Grundsätzlich muss der Einsatz von Zertifikaten und elektronischen Signaturen immer im Zusammenhang mit dem Umfeld
oder der Tätigkeit gesehen werden, in der sie verwendet werden. Wenn also ein Vertrag elektronisch geschlossen wird, indem
er qualifiziert elektronisch signiert wird, werden sich die Parteien zuerst über die Umstände streiten, warum dieser Vertrag nicht
gültig sein soll. Insbesondere sind dies Fälle, in denen nicht geliefert wurde oder nicht gezahlt wurde, Waren mangelhaft sind
und Ähnliches. Die Gültigkeit der qualifizierten elektronischen Signatur wird dann nur ein Aspekt, nur ein Streitpunkt unter
vielen sein, der in dem Streit eine Rolle spielt. Eine Instanz, die ausschließlich für die rechtliche Beurteilung von qualifizierten
elektronischen Signaturen zuständig sein soll, müsste dann auch sämtliche Aspekte des restlichen Streits entscheiden.
Hier sind die ordentlichen Gerichte die bessere Adresse.
Bei Beschwerden über TC TrustCenter ist die Bundesnetzagentur zuständig
Now part of Symantec
Wie bereits in dieser Teilnehmerunterrichtung mehrfach erwähnt, ist die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation,
Post und Eisenbahnen die zuständige Behörde für die Aufsicht über die signatur-gesetzkonforme Tätigkeit von
TC TrustCenter. Solle ein Kunde einen Anlass haben, sich über diese Tätigkeit von TC TrustCenter zu beschweren, ist die
Bundesnetzagentur die zuständige Behörde.
Wir hoffen jedoch, unsere Dienstleistungen in einer Art und Weise zu erbringen, die keinen Anlass für Beschwerden bietet. Wir
gehen weiter davon aus, dass Sie sich in einem Fall, bei dem Sie mit TC TrustCenter unzufrieden sind, zuerst direkt an uns wenden.
Symantec Limited
Ballycoolin Business Park, Blanchardstown | Dublin 15 | Ireland | Phone: +353 1 803 5400 | Fax +353 820 4055 | www.trustcenter.de
9/9