Qualifizierte Zertifikate – Nutzungsbedingungen

Fassung vom 18. Juli 2024 - Download PDF

Diese Nutzungsbedingungen für qualifizierte Zertifikate (die „Nutzungsbedingungen“) gelten für jedes Zertifikat oder PKIoverheid-Zertifikat (jeweils ein „Zertifikat“), das eine Organisation oder eine natürliche Person („Kunde“) anfordert oder beim jeweiligen qualifizierten Vertrauensdienstanbieter (qVDA) für den Kunden ausstellen la sst. Diese Nutzungsbedingungen gelten im Verha ltnis zwischen dem qVDA und dem Kunden. Die ZPE und die Datenschutzrichtlinie sind Bestandteil dieser Nutzungsbedingungen. Alle definierten Begriffe haben die Bedeutung, die ihnen in Abschnitt 10 gegeben wird, wenn hierin nichts anderes bestimmt ist.

„Qualifizierter Vertrauensdienstanbieter“ oder „qVDA“ bedeutet ein verbundenes Unternehmen der DigiCert, Inc, das von staatlicher Stelle für die Ausstellung von qualifizierten Zertifikaten zugelassen ist. Die Folgenden sind qVDA von DigiCert:

Indem Sie die Nutzungsbedingungen im Auftrag des Kunden annehmen, versichern und garantieren Sie, dass Sie als bevollma chtigter Vertreter des Kunden handeln und dass Sie ausdrücklich dazu bevollmächtigt sind, den Kunden an diese Nutzungsbedingungen zu binden.

1. Anforderung:

Kunden können Zertifikate nur für sich selbst anfordern. Autorisierte Vertreter von Kunden ko nnen auch Zertifikate für Kunden gema ß der ZPE anfordern. Kunden oder ihre Vertreter mu ssen gemäß der ZPE richtige und vollständige Angaben machen.

2. Verifizierung:

Nach Eingang einer Zertifikatanforderung überprüft der qVDA die Anfrage und versucht, die entsprechenden Angaben gemäß der ZPE zu verifizieren. Die Verifizierung liegt im alleinigen Ermessen des qVDA und der qVDA benachrichtigt die anfordernde Partei, wenn eine Zertifikatsanforderung abgelehnt wird, jedoch muss der qVDA keine Begründung für die Ablehnung angeben.

3. Ausstellung:

Wenn die Verifizierung eines Zertifikats zur Zufriedenheit des qVDA abgeschlossen wurde, stellt der qVDA das angeforderte Zertifikat gemäß der ZPE aus und übergibt es auf angemessene Weise an den Kunden.

4. Zertifikatslebenszyklus:

Der Lebenszyklus eines ausgestellten Zertifikats ha ngt von den von der anfordernden Partei bei der Bestellung des Zertifikats ausgewählten Optionen, von den Einschränkungen gemäß der ZPE und der beabsichtigten Nutzung des Zertifikats ab. Die ZPE legt fest, wie die Zertifikatakzeptanz aussieht. Der Kunde darf das Zertifikat und den zugeho rigen privaten Schlüssel nach dem Ablaufdatum des Zertifikats bzw. nach Widerruf eines Zertifikats gemäß den Nutzungsbedingungen und der maßgeblichen ZPE nicht mehr nutzen.

5. Nutzung von Zertifikaten:

Kunden dürfen ihre Zertifikate nur gemäß der ZPE nutzen. Der Kunde wird seine mit dem Zertifikat verbundenen Schlüsseldatensätze sicher generieren und schützen und alle notwendigen Schritte unternehmen, um einer Gefa hrdung, einem Verlust oder dem unautorisierten Gebrauch eines privaten Schlüssels, der mit einem Zertifikat verbunden ist, vorzubeugen. In Verbindung mit qualifizierten Zertifikaten wird der Kunde (i) in dem Fall, wo gemäß ZPE eine qualifizierte Signaturerstellungseinheit (QSEE) gefordert ist, sein qualifiziertes Zertifikat nur für die elektronischen Signaturen verwenden, die mit der QSEE generiert werden, auf dem es gespeichert ist; (ii) falls der Kunde eine natürliche Person ist, wird er seinen privaten Schlüssel ausschließlich selbst verwalten und nutzen; und (iii) falls der Kunde eine Organisation ist, wird sie ihre privaten Schlüssel nur in eigener Kontrolle und unter eigener Weisung verwalten und nutzen. Wenn der Kunde seinen privaten Schlüssel generiert, wird er dies mithilfe eines Algorithmus gemäß der Spezifikation in ETSI TS 119 312 und gemäß der ZPE tun. Wenn private Schlüssel geknackt wurden oder das Zertifikat widerrufen wurde, wird der Kunde die Nutzung des privaten Schlüssels gemäß der ZPE sofort und dauerhaft einstellen. Der Kunde wird Passwörter verwenden, die den Anforderungen und Best Practices der Branche entsprechen.

6. Pflichten und Erklärungen des Kunden:

Der Kunde akzeptiert, erklärt und garantiert, das Folgende:

a. Dass der Kunde die ZPE, die Bestandteil dieser Nutzungsbedingungen ist, gelesen und verstanden hat und dieser zustimmt. Dass der Kunde seine Pflichten gemäß der ZPE durch seine Handlungen nicht verletzen wird. Dass der Kunde gemäß der ZPE dem qVDA gegenu ber richtige und vollsta ndige Angaben macht. Dass der Kunde das Folgende gelesen und verstanden hat: (i) die Rechte der darauf vertrauenden Parteien gema ß der ZPE und dass sich die Vereinbarung fu r vertrauende Beteiligte im Rechtlichen Informationsmaterial befindet und (ii) die Verfahren für Beschwerden und Streitbeilegung, die in der ZPE festgelegt sind.

b. Dass der Kunde die Datenschutzrichtlinie, die Bestandteil dieser Nutzungsbedingungen ist, gelesen und verstanden hat und dieser zustimmt. Dass der Kunde für sich selbst, seine Nutzer und Kontakte zustimmt, bestimmte erforderliche Informationen in Bezug auf eine identifizierte oder identifizierbare natu rliche Person zur Verfügung zu stellen („personenbezogene Daten“), die für die Anforderung oder Nutzung der Zertifikate notwendig sind und die gemäß der Datenschutzrichtlinie verarbeitet und genutzt werden.

c. Dass der Kunde das Zertifikat nur für rechtma ßige Zwecke nutzen wird und nur wie in der ZPE genehmigt.

d. Dass der Kunde jede Nichteinhaltung der Nutzungsbedingungen sofort schriftlich beim qVDA anzeigt.

e. Wenn der Kunde das Zertifikat zur Sicherung einer Internetdomain nutzt, dann erklärt und garantiert er, dass er berechtigt ist, diese zu nutzen bzw. der rechtmäßige Eigentümer (i) der im Zertifikat benannten Domain und (ii) aller im Zertifikat aufgeführten Namen und Organisationsnamens ist.

f. Falls der Kunde das Zertifikat dazu verwendet, Dokumente oder andere Sachen zu unterzeichnen, erklärt und garantiert er, dass er dazu berechtigt ist, diese Dokumente oder Sachen zu unterzeichnen.

7. Beschränkungen:

Der Kunde wird davon absehen:

a. Ein Zertifikat in einer Art und Weise zu nutzen oder in einer Weise zu handeln, die gemäß der ZPE nicht zulässig ist.

b. Die Ausstellung eines Zertifikates für eine Region, eine juristische oder natu rliche Person zu veranlassen, für die es gemäß den geltenden Exportkontroll- und Wirtschaftssanktionsgesetzen und -regelungen verboten ist, unter anderem solche, die Beschränkungen der Europäischen Kommission, des Finanzministeriums des Vereinigten Ko nigreichs, des Finanzministeriums der Vereinigten Staaten von Amerika zur Kontrolle ausländischer Vermögen oder anderer relevanter staatlicher Stellen mit Zusta ndigkeit für qVDA unterliegen.

c. Die Identität eines Kunden oder die Verbindung mit einer juristischen Person vorgeben oder falsch darstellen.

d. Falsche Angaben machen oder den qVDA anderweitig in die Irre führen.

e. Ein Zertifikat oder eine damit verbundene Software oder Dienstleistung in einer Art und Weise nutzen, die begründetermaßen dazu führen könnte, dass eine zivil- oder strafrechtliche Klage gegen den Kunden oder den qVDA eingereicht wird.

f. Ein Zertifikat oder eine damit verbundene Software dazu zu nutzen, um das Vertrauen eines Dritten zu verletzen oder unaufgeforderte Massenanschreiben zu versenden.

8. Widerruf:

Der qVDA kann ein Zertifikat ohne Ankündigung aus den in der ZPE genannten Gründen widerrufen, unter anderem, wenn der qVDA begründetermaßen davon ausgeht, dass:

a. Der Kunde den Widerruf des Zertifikats verlangt oder die Ausstellung des Zertifikats nicht genehmigt hat.

b. Der Kunde das Zertifikat dazu verwendet, Inhalte zu posten oder verfu gbar zu machen, die die Rechte des qVDA oder eines Dritten verletzen.

c. Der Kunde gegen die Nutzungsbedingungen verstößt.

d. Der Kunde auf eine staatliche Liste verbotener natürlicher oder juristischer Personen gesetzt wird oder aus einem Gebiete heraus operiert, das nach geltendem Recht verboten ist.

e. Das Zertifikat unrichtige oder irreführende Angaben enthält.

f. Der private Schlüssel, der mit dem Zertifikat verbunden ist, offengelegt oder geknackt worden ist.

g. Das Zertifikat (i) missbraucht wurde, (ii) gesetzeswidrig oder entgegen der ZPE verwendet oder ausgestellt wurde oder (iii) direkt oder indirekt für illegale oder betrügerische Zwecke verwendet wurde.

h. Die ZPE den Widerruf des Zertifikats erfordert oder der Widerruf notwendig ist, um die Rechte oder den Ruf des qVDA oder eines Dritten zu wahren.

i. Eine qualifizierte Signaturerstellungseinheit (QSEE), die für QCP-n-qscd oder QCP-l-qscd genutzt wird, ihren Zertifizierungsstatus verliert.

9. Haftungsbeschränkung:

Gemäß dem geltenden Gesetz, einschließlich Artikel 13 der eIDAS-Verordnung GILT DAS FOLGENDE IM WEITESTEN MÖGLICHEN ZULÄSSIGEN MAẞE NACH GELTENDEM RECHT UND UNGEACHTET EINES VERSAGENS DES WESENTLICHEN ZWECKES EINER BESCHRÄNKTEN ABHILFE ODER HAFTUNGSBESCHRÄNKUNG: (A) DER QVDA UND SEINE VERBUNDENEN UNTERNEHMEN, TOCHTERGESELLSCHAFTEN, FÜHRUNGSKRÄFTE, DIREKTOREN, MITARBEITER, BEVOLLMÄCHTIGTEN, PARTNER UND LIZENZGEBER (DIE „QVDA-UNTERNEHMEN“) SIND NICHT FÜR ETWAIGE KONKRETE, INDIREKTE, BEILÄUFIG ENTSTANDENE, FOLGESCHÄDEN ODER SCHADENSERSATZ MIT STRAFCHARAKTER (EINSCHLIESSLICH SCHADENSERSATZ AUFGRUND NUTZUNGSAUSFALL, DATENVERLUST, ENTGANGENEM GEWINN, GESCHÄFTSUNTERBRECHUNG ODER KOSTEN FÜR EINE ERSATZBESCHAFFUNG VON SOFTWARE ODER LEISTUNGEN) HAFTBAR, DIE AUFGRUND ODER IN VERBINDUNG MIT DEN QUALIFIZIERTEN ZERTIFIKATEN ODER DES GEGENSTANDS DIESER NUTZUNGSBEDINGUNGEN HERRÜHREN, UND (B) DIE KUMULIERTE GESAMTHAFTUNG DER QVDA-UNTERNEHMEN AUFGRUND ODER IN VERBINDUNG MIT DIESEM QUALIFIZIERTEN ZERTIFIKAT ODER DEM GEGENSTAND DIESER NUTZUNGSBEDINGUNGEN ÜBERSTEIGT NICHT DIE VOM ODER IM NAMEN DES KUNDEN AN DIE QVDA-UNTERNEHMEN WÄHREND DER ZWÖLF UNMITTELBAR EINEM SOLCHEN EREIGNIS VORANGEGANGENEN MONATE GEZAHLTEN BETRÄGE, AUF DEM EINE SOLCHE HAFTUNG BERUHT, UND ZWAR UNABHÄNGIG DAVON, OB EINE SOLCHE HAFTUNG VERTRAGLICH, DURCH FREISTELLUNG, GEWÄHRLEISTUNG, DELIKTRECHTLICH (EINSCHLIESSLICH FAHRLÄSSIGKEIT), VERSCHULDENSUNABHÄNGIG ODER ANDERWEITIG BEGRU NDET WIRD, UND UNABHÄNGIG DAVON, OB DER QVDA ÜBER DIE MÖGLICHKEIT EINES SOLCHEN VERLUSTS ODER SCHADENS AUFGEKLÄRT WURDE. KEIN ANSPRUCH, GLEICH WELCHER FORM, DER IN IRGENDEINER WEISE AUS DEM QUALIFIZIERTEN ZERTIFIKAT ODER DEN NUTZUNGSBEDINGUNGEN HERRÜHRT, KANN MEHR ALS EIN (1) JAHR NACH BEKANNTWERDEN DER ANSPRUCHSGRUNDLAGE BEIM KUNDEN DURCH DEN KUNDEN ODER DESSEN VERTRETER ERHOBEN ODER VORGEBRACHT WERDEN. Mit diesem Abschnitt 9 wird die Haftung einer Partei für Folgendes nicht beschränkt: (i) Todesfälle oder Personenschäden infolge der Fahrla ssigkeit einer Partei; (ii) grobe Fahrlässigkeit, böswilliges Verhalten oder Verletzung von anwendbaren Rechtsvorschriften oder (iii) Betrug oder betru gerische Aussagen durch eine Partei gegenüber der anderen Partei.

10. Definitionen:

„Zertifizierungspraxiserklärung“ oder „ZPE“ bedeutet die für den angeforderten digitalen Zertifikatstyp geltende Zertifizierungspraxiserklärung. Die ZPE unten gelten für die folgenden Arten von digitalen Zertifikaten und stehen in der jeweils geltenden Fassung unter https://www.quovadisglobal.com/repository/ zur Verfügung.

„Rechtliches Informationsmaterial“ bedeutet der Speicherort der jeweiligen Fassungen der Dokumente unter https://www.quovadisglobal.com/repository/.

„PKIoverheid-Zertifikat“ bedeutet ein digitales Zertifikat, das gemäß dem niederländischen PKIoverheid-Programm ausgestellt wurde.

„Datenschutzrichtlinie“ bedeutet die Datenschutzrichtlinie, die in der jeweiligen Fassung unter https://www.quovadisglobal.com/privacy-policy/ zu finden ist.

„Private Schlüssel“ bedeutet die Schlüssel, die vom Abonnenten geheim gehalten werden müssen und zur Erstellung von digitalen Signaturen und/oder zum Entschlüsseln elektronischer Datensätze oder Dateien verwendet werden, die mit den entsprechenden o ffentlich gemachten Schlüsseln verschlüsselt wurden, die im qualifizierten Zertifikat des Abonnenten enthalten sind.

„Qualifiziertes Zertifikat“ bedeutet ein digitales Zertifikat, (i) das von einem qualifizierten Vertrauensdienstanbieter gemäß den Anforderungen der geltenden Zertifizierungs- und elektronischen Signaturgesetze der EU oder der Schweiz ausgestellt wurde und (ii) das gemäß diesen Anforderungen die höchste Sicherheitsstufen, nämlich „qualifiziert“ hat.