Qualifiziertes Zertifikat

Ein qualifiziertes Zertifikat ist gemäß Verordnung (EU) Nr. 910/2014 (davor EG-Richtlinie 1999/93/EG – „Signaturrichtlinie“) ein digitales Zertifikat, das die folgenden Anforderungen erfüllt:

  • Es muss die folgenden Inhalte besitzen:[1]
    • Angabe, dass das Zertifikat als qualifiziertes Zertifikat ausgestellt wird;
    • Angabe des Ausstellers und des Staates, in dem er niedergelassen ist;
    • Name des Inhabers oder ein Pseudonym, das als solches zu identifizieren ist;
    • gegebenenfalls weitere Attribute des Inhabers;
    • Signaturprüfschlüssel des Inhabers;
    • Beginn und Ende der Gültigkeitsdauer des Zertifikats;
    • Seriennummer des Zertifikats;
    • die fortgeschrittene elektronische Signatur des ausstellenden Zertifizierungsdiensteanbieters;
    • gegebenenfalls Beschränkungen des Geltungsbereichs des Zertifikats und
    • gegebenenfalls Begrenzungen des Wertes der Transaktionen, für die das Zertifikat verwendet werden kann.
  • Der Aussteller muss die Anforderungen der Richtlinie an die Zuverlässigkeit und die Sicherheit seiner Zertifizierungsdienste erfüllen.[2]

Diese Definition des qualifizierten Zertifikates wurde sinngemäß in die nationalen Signaturgesetze der Mitgliedstaaten der Europäischen Gemeinschaft und die anderen Staaten des Europäischen Wirtschaftsraumes, insbesondere in das deutsche Signaturgesetz, das österreichische Signaturgesetz und das liechtensteinische Signaturgesetz, übernommen. Die länderspezifischen Anforderungen an die Zertifizierungsdiensteanbieter, die qualifizierte Zertifikate ausstellen, können sich dabei jedoch wesentlich unterscheiden. Abweichend zu den Anforderungen der Richtlinie müssen in Deutschland qualifizierte Zertifikate mit einer qualifizierten elektronischen Signatur versehen sein.

Qualifizierte Zertifikate ermöglichen die Erstellung von qualifizierten elektronischen Signaturen, die einer eigenhändigen Unterschrift gleichgestellt sind.

Die Ausgabe von qualifizierten Zertifikaten unterliegt der Überwachung einer zuständigen Behörde. In Deutschland ist dies die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (ehemals RegTP), in Österreich die Telekom-Control-Kommission (TKK) als Teil der Rundfunk und Telekom Regulierungs GmbH (RTR). In vielen Ländern – unter anderem in Deutschland und Österreich – können sich Aussteller von qualifizierten Zertifikaten bei der zuständigen Behörde akkreditieren lassen. Diese Akkreditierung ist freiwillig, wird aber für die Verwendung der Zertifikate in manchen Bereichen (z. B. im Sozialversicherungswesen) gefordert. Die Bundesnetzagentur und die RTR betreiben jeweils eine nationale Wurzelzertifizierungsinstanz (Root-CA) für qualifizierte Zertifikate.

Einzelnachweise

  1. Signaturrichtlinie, Anhang I: Anforderungen an qualifizierte Zertifikate (Memento vom 26. Dezember 2007 im Internet Archive)
  2. Signaturrichtlinie, Anhang II: Anforderungen an Zertifizierungsdiensteanbieter, die qualifizierte Zertifikate ausstellen (Memento vom 13. November 2007 im Internet Archive)