ElektronischeElektronische ... fileIm Signaturgesetz (SigG) ist die "fortgeschrittene Signatur in §2 Z3 ausdrücklich geregelt und verlangt die Erfüllung der Bestimmungen von §

ElektronischeElektronischeElektronischeElektronische RechnungslegungRechnungslegungRechnungslegungRechnungslegung mitmitmitmit AAAA----CERTCERTCERTCERT ADVANCEDADVANCEDADVANCEDADVANCED

Im Signaturgesetz (SigG) ist die "fortgeschrittene Signatur in §2 Z3 ausdrücklich geregelt und verlangt die Erfüllung der Bestimmungen von § 2 Z 3 lit. a bis d SigG.

Fortgeschrittene Signatur

Eigenschaften

- persönlich ausgestelltes Zertifikat - zur Vertretung von Unternehmen geeignet - nach sicheren Verfahren gemäß

Signaturgesetz erstellt - gemäß EU-Richtlinie 2001/115/EG

(Mehrwertsteuerrichtlinie) und 2006/112/EG idF der Richtlinie 2010/45/EU (Rechnungslegungsvor-schriften)

- gemäß Verordnung des Bundesministers für Finanzen (BGBl. II Nr. 583/2003 idF BGBl. II Nr. 175/2010) vom Dezember 2003 und verschiedener Erlässe des BMF (seit 2005), letzgültiger Erlass: GZ BMF-010219/0262-VI/4/2011 vom 23.11.2011 UStR 2000, Abschnitt 11.2.3. Elektronisch übermittelte Rechnung zur elektronischen Rechnungslegung geeignet

- keine besonderen Hardware-Voraussetzungen (Chipkarten-Einsatz möglich aber nicht zwingend vorgeschrieben


Vorteile

- Massensignaturfähig - automatisierte Verwendung zulässig - Möglichkeit Pseudonyme zu verwenden

("Buchhaltung" statt "Peter Müller") - unternehmerfreundliche Laufzeit von 5

Jahren (auch frei wählbare Zeiträume sind möglich)

- durch Verzicht auf bestimmte Hardware leicht integrierbar und flexibel einsetzbar

- Rasches Ausstellungsprozedere - Zertifikat wird ins Haus geliefert (1 Tag

+ Postzustellung)


Kosten

A-CERT ADVANCED - persönliches Zertifikat

LaufzeitLaufzeitLaufzeitLaufzeit zweizweizweizwei JahreJahreJahreJahre 80,80,80,80,---- EUREUREUREUR (inkl.(inkl.(inkl.(inkl. Ust.Ust.Ust.Ust. 96,96,96,96,----)))) LaufzeitLaufzeitLaufzeitLaufzeit viervierviervier JahreJahreJahreJahre 140,140,140,140,---- EUREUREUREUR (inkl.(inkl.(inkl.(inkl. Ust.Ust.Ust.Ust. 168,168,168,168,----)))) DieDieDieDie KostenKostenKostenKosten umfassenumfassenumfassenumfassen ErzeugungErzeugungErzeugungErzeugung eineseineseineseines privatenprivatenprivatenprivaten Signaturschlüssels,Signaturschlüssels,Signaturschlüssels,Signaturschlüssels, IdeIdeIdeIdentitätsprüfung,ntitätsprüfung,ntitätsprüfung,ntitätsprüfung, persönlichepersönlichepersönlichepersönliche Zertifizierung,Zertifizierung,Zertifizierung,Zertifizierung, Revocationservice,Revocationservice,Revocationservice,Revocationservice, Zertifikatspublikation,Zertifikatspublikation,Zertifikatspublikation,Zertifikatspublikation, ZeitstempelserviceZeitstempelserviceZeitstempelserviceZeitstempelservice undundundund ZustellungZustellungZustellungZustellung alleralleralleraller notwendigennotwendigennotwendigennotwendigen Unterlagen.Unterlagen.Unterlagen.Unterlagen.

Nutzungsbestimmungen

---- CertificateCertificateCertificateCertificate Policy:Policy:Policy:Policy: http://www.ahttp://www.ahttp://www.ahttp://www.a----cert.at/static/acert.at/static/acert.at/static/acert.at/static/a----certcertcertcert----certificatecertificatecertificatecertificate----policy.pdfpolicy.pdfpolicy.pdfpolicy.pdf ---- AGBs:AGBs:AGBs:AGBs: http://www.ahttp://www.ahttp://www.ahttp://www.a----cert.at/agb.htmlcert.at/agb.htmlcert.at/agb.htmlcert.at/agb.html

Kontakt

AAAA----CERTCERTCERTCERT ---- CERTIFICATIONCERTIFICATIONCERTIFICATIONCERTIFICATION SERVICESERVICESERVICESERVICE ARGEARGEARGEARGE DATENDATENDATENDATEN ---- ÖsterreichischeÖsterreichischeÖsterreichischeÖsterreichische GesellschaftGesellschaftGesellschaftGesellschaft fürfürfürfür DatenschutzDatenschutzDatenschutzDatenschutz TechnischerTechnischerTechnischerTechnischer BetriebBetriebBetriebBetrieb & Geschäftsadresse& Geschäftsadresse& Geschäftsadresse& Geschäftsadresse eeee----commercecommercecommercecommerce monitoringmonitoringmonitoringmonitoring GmbHGmbHGmbHGmbH VorlaufstraßeVorlaufstraßeVorlaufstraßeVorlaufstraße 5/6,5/6,5/6,5/6, AAAA----1010101010101010 WienWienWienWien FirmenbuFirmenbuFirmenbuFirmenbuchnummer: chnummer: chnummer: chnummer: Handelsgericht Wien Handelsgericht Wien Handelsgericht Wien Handelsgericht Wien 224536 a224536 a224536 a224536 a fonfonfonfon +43/(0)1/5320944+43/(0)1/5320944+43/(0)1/5320944+43/(0)1/5320944 faxfaxfaxfax +43/(0)1/5320974+43/(0)1/5320974+43/(0)1/5320974+43/(0)1/5320974 mailmailmailmail info@ainfo@ainfo@[email protected] webwebwebweb www.awww.awww.awww.a----cert.atcert.atcert.atcert.at DieDieDieDie "ARGE"ARGE"ARGE"ARGE DATENDATENDATENDATEN ---- ÖsterreichischeÖsterreichischeÖsterreichischeÖsterreichische GesellschaftGesellschaftGesellschaftGesellschaft fürfürfürfür Datenschutz"Datenschutz"Datenschutz"Datenschutz" istististist beibeibeibei derderderder BundespolizeidirektionBundespolizeidirektionBundespolizeidirektionBundespolizeidirektion WienWienWienWien ZVRZVRZVRZVR 774004629774004629774004629774004629 registriertregistriertregistriertregistriert....

AAAA----CERTCERTCERTCERT ADVANCEDADVANCEDADVANCEDADVANCED wurdewurdewurdewurde aufaufaufauf GrundGrundGrundGrund desdesdesdes GesetzesGesetzesGesetzesGesetzes zurzurzurzur digitalendigitalendigitalendigitalen SignaturSignaturSignaturSignatur (SigG),(SigG),(SigG),(SigG), gemäßgemäßgemäßgemäß BescheidBescheidBescheidBescheid AAAA 10/200410/200410/200410/2004----7777 vomvomvomvom 11.10.200411.10.200411.10.200411.10.2004 vonvonvonvon derderderder RundfunkRundfunkRundfunkRundfunk &&&& TelekomTelekomTelekomTelekom RegulierungsRegulierungsRegulierungsRegulierungs----GmbHGmbHGmbHGmbH (RTR)(RTR)(RTR)(RTR) registriert.registriert.registriert.registriert. AAAA----CERTCERTCERTCERT ADVANCEDADVANCEDADVANCEDADVANCED bautbautbautbaut aufaufaufauf diediediedie langjährigenlangjährigenlangjährigenlangjährigen ErfahrungenErfahrungenErfahrungenErfahrungen derderderder ARGEARGEARGEARGE DATENDATENDATENDATEN (s(s(s(seiteiteiteit 1997)1997)1997)1997) zurzurzurzur ZertifizierungZertifizierungZertifizierungZertifizierung auf.auf.auf.auf. Mit Änderung des Signaturgesetzes 2008 entfällt Mit Änderung des Signaturgesetzes 2008 entfällt Mit Änderung des Signaturgesetzes 2008 entfällt Mit Änderung des Signaturgesetzes 2008 entfällt die AUfsicht der RTR.die AUfsicht der RTR.die AUfsicht der RTR.die AUfsicht der RTR. Dokumentationshinweis: knowhow.text.32927bao(doc) -> knowhow.text.40345ocj(pdf)

ANHANGANHANGANHANGANHANG

Verordnung BMF (BGBl. II Nr.583/2003 idgF)

Erlass BMF (BMF-010219/0262-VI/4/2011)

EU-Richtlinie (2001/115/EG)

A-CERT ADVANCED Fakten

A-CERT ADVANCED Policy & AGB's

Signaturgesetz (SigG, Stand 1.1.2008)

Mit Verordnung des Bundes-ministers für Finanzen BGBl.II Nr. 583/2003 idgF wurde der Weg für praxisnahe Lösungen durch Einsatz der fortgeschrit-tenen Signatur bei elektronischen Rechnungen frei.

Bundesrecht konsolidiert

www.ris.bka.gv.at Seite 1 von 2

Gesamte Rechtsvorschrift für Bestimmung der Anforderungen an eine auf elektronischem Weg übermittelte Rechnung, Fassung vom 09.07.2012

Langtitel Verordnung des Bundesministers für Finanzen, mit der die Anforderungen an eine auf elektronischem Weg übermittelte Rechnung bestimmt werden StF: BGBl. II Nr. 583/2003

Änderung BGBl. II Nr. 175/2010

Präambel/Promulgationsklausel

Auf Grund des § 11 Abs. 2 UStG 1994, BGBl. Nr. 663/1994, in der Fassung BGBl. I Nr. 71/2003 wird verordnet:

Text § 1. Die Echtheit der Herkunft und die Unversehrtheit des Inhalts einer auf elektronischem Weg

übermittelten Rechnung ist gewährleistet, 1. wenn die Rechnung mit einer Signatur versehen ist, die den Erfordernissen des § 2 Z 3 lit. a bis d

Signaturgesetz entspricht und auf einem Zertifikat eines Zertifizierungsdiensteanbieters im Sinne des Signaturgesetzes beruht, oder

2. wenn die Rechnung durch elektronischen Datenaustausch (EDI) gemäß Artikel 2 der Empfehlung 1994/820/EG der Kommission vom 19. Oktober 1994 über die rechtlichen Aspekte des elektronischen Datenaustausches (ABl. EG Nr. L 338, S 98) übermittelt wird, wenn in der Vereinbarung über diesen Datenaustausch der Einsatz von Verfahren vorgesehen ist, die die Echtheit der Herkunft und die Unversehrtheit der Daten gewährleisten, und zusätzlich eine zusammenfassende Rechnung auf Papier oder unter den Voraussetzungen der Z 1 auf elektronischem Weg übermittelt wird.

§ 2. Die Anforderungen an eine auf elektronischem Weg übermittelte Rechnung erfüllt auch 1. eine über FinanzOnline an den Bund als Leistungsempfänger übermittelte Rechnung; 2. eine über das Unternehmensserviceportal an den Bund als Leistungsempfänger übermittelte

Rechnung.

§ 3. § 2 Z 2 tritt mit 1. Jänner 2011 in Kraft.

UStR 2000 GZ 09 4501/58-IV/9/00 idF GZ BMF-010219/0262-VI/4/2011 vom 23. November 2011

© Bundesministerium für Finanzen 110 - 1

11. Ausstellung von Rechnungen (§ 11 UStG 1994)

11.1. Rechnungslegung

11.1.1. Verpflichtung bzw. Anspruchsberechtigung

1501

Bei Ausführung von Umsätzen gemäß § 1 Abs. 1 Z 1 UStG 1994 ist der Unternehmer zur

Ausstellung von Rechnungen berechtigt. Sofern der Unternehmer Umsätze an einen anderen

Unternehmer für dessen Unternehmen oder an eine juristische Person, soweit sie nicht

Unternehmer ist, ausführt, ist er zur Ausstellung einer Rechnung verpflichtet. Aufgrund der

seit 1. Jänner 2004 geltenden Rechtslage ist ein ausdrückliches Verlangen des

Leistungsempfängers nicht mehr vorgesehen. Eine Verpflichtung zur Rechnungsausstellung

besteht seit 1. Jänner 2008 auch dann, wenn der Unternehmer eine steuerpflichtige

Werklieferung oder Werkleistung im Zusammenhang mit einem Grundstück an einen

Nichtunternehmer ausführt.

Die Verpflichtung zur Rechnungslegung gilt grundsätzlich auch für pauschalierte Land- und

Forstwirte (siehe Rz 2858) und für den Fall der Erbringung von steuerbefreiten Leistungen

sowie von solchen Leistungen, bei denen die Steuerschuld auf den Leistungsempfänger

übergeht. Unternehmer, die überwiegend Umsätze gemäß § 6 Abs. 1 Z 8 und 9 lit. c UStG

1994 (Banken- bzw. Versicherungsumsätze) ausführen, sind ab 1. Jänner 2004 aufgrund der

VO des BM für Finanzen, BGBl. II Nr. 279/2004, hinsichtlich dieser Umsätze von der

Rechnungslegungsverpflichtung ausgenommen (siehe Rz 1543).

Anspruch auf Ausstellung einer Rechnung hat nur der Unternehmer, für dessen

Unternehmen die Leistung ausgeführt wird, die juristische Person, die Nichtunternehmer ist

und der Nichtunternehmer, für den die steuerpflichtige Werklieferung oder Werkleistung im

Zusammenhang mit einem Grundstück ausgeführt wird. Das gilt auch dann, wenn

Leistungsempfänger und Zahlungsverpflichteter auseinander fallen (Entgelt von dritter

Seite). Ob eine Leistung für das Unternehmen bestimmt ist, richtet sich nach § 12 UStG

1994. Wenn nach § 12 Abs. 2 Z 2 UStG 1994 bestimmte Leistungen wie zB für einen PKW

oder Repräsentationsaufwendungen als nicht für das Unternehmen ausgeführt gelten, hat

dies auch für § 11 Abs. 1 UStG 1994 Bedeutung. Nach § 2 Abs. 1 IStVG, BGBl. I Nr. 71/2003,

sind auch ausländische Vertretungsbehörden und deren im diplomatischen oder

berufskonsularischen Rang stehende Mitglieder, denen unter bestimmten Voraussetzungen

ein Anspruch auf Vergütung der Umsatzsteuer für die an sie erbrachten Lieferungen oder

sonstige Leistungen zusteht, berechtigt, vom leistenden Unternehmer eine Rechnung mit

gesondertem Steuerausweis zu verlangen.



11.1.2. Zivilrechtliche Vereinbarung

1502

Ist nach den zivilrechtlichen Vereinbarungen der Leistungsempfänger

abrechnungsverpflichtet, so kann eine solche Abrechnung (Gutschrift) auch

umsatzsteuerrechtlich die Abrechnung durch den Leistenden ersetzen. Der zivilrechtliche

Anspruch auf Rechnungslegung nach § 11 Abs. 1 UStG 1994 wird dann durch die

vertragliche Vereinbarung überlagert (OGH 15.2.1978, 8 Ob 607/78, JBl 1980/375). Ob das

Entgelt vertraglich vereinbart oder gesetzlich festgelegt ist, ist unerheblich.

11.1.3. Durchsetzung des Anspruchs

1503

Der Anspruch auf Erteilung einer Rechnung mit gesondertem Steuerausweis ist ein

zivilrechtlicher und daher vor den ordentlichen Gerichten geltend zu machen

(OGH 19.12.1975, 6 Ob 142/75, EvBl 1976/140). Ein entsprechend erwirktes Urteil ersetzt

jedoch nicht die fehlende oder formgerechte Rechnung.

11.1.4. Zeitpunkt der Rechnungserteilung

1504

Die Verpflichtung zur Erteilung einer Rechnung nach § 11 UStG 1994 besteht - soweit nichts

anderes vereinbart - ab dem Zeitpunkt der Leistungserbringung bzw. bei einer Anzahlung für

eine noch nicht ausgeführte steuerpflichtige Lieferung oder sonstige Leistung ab dem

Zeitpunkt der Vereinnahmung (zu Anzahlung und Vorauszahlung siehe Rz 1521 bis Rz 1524).

Eine zunächst unterlassene Rechnungsausstellung bzw. eine unvollständige oder unrichtige

Rechnung kann nachgeholt oder berichtigt werden. Bei einer Erhöhung der

Bemessungsgrundlage ist eine Berichtigung der Rechnung erforderlich, wenn der

Leistungsempfänger den auf die Erhöhung entfallenden Steuerbetrag als Vorsteuer gelten

machen will.

11.1.5. Rechnungsmerkmale

11.1.5.1. Rechnungserteilung durch Dritte

1505

Als Aussteller einer Rechnung kommt nur der leistende Unternehmer oder dessen

gesetzlicher Vertreter (zB Ausstellung der Rechnung durch den Insolvenzverwalter im

Insolvenzverfahren) in Betracht. Im Rahmen einer Organschaft kann eine Rechnung auch

vom zivilrechtlich leistenden Organ ausgestellt werden. Rechnet der Leistungsempfänger

über eine Leistung ab, so handelt es sich um eine Gutschrift (§ 11 Abs. 7 und 8 UStG 1994).

Der zur Abrechnung über den Leistungsaustausch Verpflichtete kann sich im

Abrechnungsverfahren dritter Personen bedienen. Das gilt für Rechnungen des leistenden

http://findok.bmf.gv.at/findok/javalink?art=BG&id=1053500&ida=UStG1994&gueltig=APPDAT&hz_id=1053500&dz_VonParagraf=11&dz_VonAbsatz=7



Unternehmers als auch für Abrechnungen des Leistungsempfängers. Hinsichtlich der

Rechnungslegung durch Vermittler siehe Rz 1530 bis Rz 1532. Ist die Rechnungsausstellung

nicht der als leistender Unternehmer genannten Person zuzurechnen, entsteht für den

Aussteller eine Steuerschuld nach § 11 Abs. 14 UStG 1994.

11.1.5.2. Rechnungsmängel

1506

Ist die Leistung ausgeführt worden, scheint aber in der Rechnung als leistender Unternehmer

eine Firma auf, die unter dieser Adresse nicht existiert, so fehlt es an der Angabe des

leistenden Unternehmers. Es liegt daher keine Rechnung vor, die zum Vorsteuerabzug

berechtigt (VwGH 24.4.1996, 94/13/0133). Bei Fehlen von Angaben über den Namen und

die Adresse des leistenden Unternehmers steht der Vorsteuerabzug auch dann nicht zu,

wenn dem Leistungsempfänger Name und Anschrift bekannt sind und die USt unstrittig an

das Finanzamt abgeführt wurde (VwGH 20.11.1996, 96/15/0027). Die Verwendung eines

Scheinnamens (Scheinfirma) entspricht ebenfalls nicht den Erfordernissen einer Rechnung.

Eine Rechnungslegung nach Löschung im Firmenbuch ist nicht schädlich, da die Löschung

nicht die Rechtssubjektseigenschaft der juristischen Person beendet (VwGH 20.11.1996,

95/15/0179).

11.1.5.3. Name und Anschrift des Leistungsempfängers

1507

Werden die Rechnungen nicht an den Leistungsempfänger selbst oder an seinen

Bevollmächtigten adressiert (Rechtsanwalt, Wirtschaftstreuhänder, Hausverwalter), so muss

aus der Rechnung hervorgehen, für wen die Leistung bestimmt war. Stimmt der angegebene

Leistungsempfänger nicht mit dem tatsächlichen Leistungsempfänger überein (zB

Gesellschafter statt Gesellschaft), so führt dies neben der Steuerschuld auf Grund des

Umsatzes zu einer Steuerschuld auf Grund der Inrechnungstellung. Ein Unternehmen, das an

mehreren Standorten umsatzsteuerliche Betriebsstätten unterhält, ist insgesamt als ein

Unternehmen anzusehen. Die Standortadressen gelten als Adressen des Unternehmers. Die

Angabe des richtigen Firmenwortlautes und einer Standortadresse ist bei Erfüllung der

übrigen Voraussetzungen für den Vorsteuerabzug ausreichend. Die Angabe der

Geschäftsanschrift laut Firmenbuch ist nicht erforderlich, aber ausreichend, wenn an dieser

Anschrift tatsächlich eine Geschäftstätigkeit ausgeübt wird. Hinsichtlich

Rechnungsberichtigung siehe Rz 1771 bis Rz 1800.

11.1.5.4. Menge und handelsübliche Bezeichnung der Ware

11.1.5.4.1. Art und Umfang der Leistung

1508




Bloße Sammelbegriffe oder Gattungsbezeichnungen, wie zB Speisen, Getränke, Lebensmittel,

Textil-, Reinigungs- und Putzmittel, Büromaterial, Eisenwaren, Bekleidung, Fachliteratur,

Wäsche, Werkzeuge usw., stellen keine handelsübliche Bezeichnung dar und reichen daher

nicht aus, um von einer zum Vorsteuerabzug berechtigenden Rechnung im Sinne des

§ 11 UStG 1994 sprechen zu können. Es bedarf in derartigen Fällen einer den tatsächlichen

Gegebenheiten entsprechenden Ergänzung der Rechnung durch den Lieferer. Die

Bezeichnung Geschenkkorb wird hingegen als handelsüblich angesehen (siehe Rz 1623 und

Rz 1624). Bei sonstigen Leistungen müssen Art und Umfang der Leistung ersichtlich gemacht

werden. Bezeichnungen wie Reparaturen, Lohnarbeit, Fuhrleistungen ohne weitere Angaben

sind nicht ausreichend. Unselbständige Nebenleistungen, die das Schicksal der Hauptleistung

teilen, müssen nicht gesondert angeführt werden.

1509

Besteht zwischen der tatsächlich gelieferten und der in der Rechnung ausgewiesenen Ware

keine Übereinstimmung, steht der Vorsteuerabzug auch dann nicht zu, wenn die

Bezeichnung als handelsüblich angesehen werden kann. Von fehlender Übereinstimmung

wird dabei auch dann ausgegangen, wenn die in der Rechnung gewählte Bezeichnung eine

solche Vorstellung vom Liefergegenstand hervorruft, die mit dem tatsächlich gelieferten

Gegenstand nicht in Einklang zu bringen ist (zB anstatt teurer Parfumöle billige Riechstoffe -

VwGH 28.5.1998, 96/15/0132). An der erforderlichen Übereinstimmung zwischen Rechnung

und geliefertem Gegenstand fehlt es auch dann, wenn es sich bei den tatsächlich gelieferten,

weitgehend wertlosen Produkten aufgrund ihrer Minderwertigkeit offensichtlich um anders

geartete Gegenstände handelt als die in der Rechnung ausgewiesenen (VwGH 28.5.1998,

96/15/0220). Die Gutgläubigkeit des Leistungsempfängers ist dabei ohne Bedeutung

(VwGH 25.6.1998, 97/15/0019).

11.1.5.4.2. Versorgungsunternehmen

1510

Gemäß § 17 Abs. 1 UStG 1994 gelten bei Versorgungsunternehmen

Teilzahlungsanforderungen für Gas-, Wasser-, Elektrizitäts- und Wärmelieferungen auch

dann als Rechnung im Sinne des § 11 UStG 1994, wenn sie keine Angaben über Menge und

Bezeichnung der Lieferung enthalten.

11.1.5.5. Zeitpunkt und Zeitraum

1511

Aufgrund der seit 1. Jänner 2003 geltenden Rechtsgrundlage muss eine Rechnung sowohl

das Ausstellungsdatum, als auch den Tag der Lieferung oder sonstigen Leistung oder den

Leistungszeitraum enthalten. Sofern der Zeitpunkt der Rechnungsausstellung mit dem Tag



der Lieferung oder sonstigen Leistung zusammenfällt, kann die gesonderte Angabe des

Leistungszeitpunktes entfallen, wenn die Rechnung den Vermerk "Rechnungsdatum ist

Liefer- bzw. Leistungsdatum" enthält.

11.1.5.6. Entgelt

11.1.5.6.1. Wert der Gegenleistung

1512

Es ist die getrennte Angabe des Entgeltes und des auf das Entgelt entfallenden

Steuerbetrages erforderlich. Der Hinweis auf den Steuersatz ist weder ausreichend, wenn

das Entgelt allein, noch wenn Entgelt und Steuer in einer Summe ausgewiesen werden. Der

Ausweis eines Bruttobetrages in Zusammenhang mit einer Rechnung im Sinne des § 11 UStG

1994 ist nur bei Kleinbetragsrechnungen (siehe Rz 1625 bis Rz 1637) und Fahrausweisen

(siehe Rz 1691 bis Rz 1710) zulässig.

1513

Zum Entgelt gehört nach § 4 UStG 1994 auch, was der Leistungsempfänger freiwillig

aufwendet, um die Lieferung oder sonstige Leistung zu erhalten sowie was ein anderer als

der Leistungsempfänger dem Unternehmer gewährt (Entgelt von dritter Seite).

Voraussetzung für den Vorsteuerabzug ist, dass der leistende Unternehmer in der Rechnung

auch die auf das zusätzliche Entgelt entfallende USt ausweist.

Beispiel:

Werkleistung 60.000 Euro

zuzüglich Entgelt von dritter Seite 10.000 Euro

70.000 Euro

zuzüglich 20% USt 14.000 Euro

84.000 Euro

abzüglich Zuschuss von dritter Seite 10.000 Euro

noch zu begleichen 74.000 Euro

11.1.5.6.2. Durchlaufende Posten

1514

Nicht zum Entgelt gehören die Beträge, die der Unternehmer im Namen und für Rechnung

eines anderen vereinnahmt und verausgabt (durchlaufende Posten). Diese sind - soweit sie

in der Rechnung angeführt werden - entsprechend kenntlich zu machen. Werden Entgelt und

durchlaufende Posten in einer Summe angegeben und hievon die USt berechnet, entsteht

die Steuerschuld für die auf die durchlaufenden Posten entfallende USt auf Grund der

Bestimmung des § 11 Abs. 12 UStG 1994.



11.1.5.6.3. Tausch

1515

Beim Tausch (tauschähnlichen Umsatz) zwischen zwei Unternehmern gilt der Wert jedes

Umsatzes zugleich als Entgelt für den anderen Umsatz (§ 4 Abs. 6 UStG 1994; siehe Rz 671

bis Rz 675). Als Entgelt ist somit der gemeine Wert der erhaltenen Gegenleistung

anzugeben. Eine Saldierung mit dem Wert der eigenen Leistung ist nicht zulässig. Wird über

den Tausch - mit oder ohne Baraufzahlung - nur in einer Urkunde (Gegenrechnung)

abgerechnet, hat diese alle geforderten Angaben des § 11 UStG 1994 für beide Umsätze zu

enthalten.

11.1.5.6.4. Auf- und Abrundung

1516

Über die Auf- oder Abrundung der USt bei der Rechnungserteilung enthält das Steuerrecht

keine besonderen Vorschriften. Die USt muss daher vom Unternehmer für die von ihm

ausgeführten steuerpflichtigen Leistungen genau berechnet werden. Soweit in einer

Rechnung der Steuerbetrag oder der Rechnungsendbetrag (der zivilrechtliche Preis) auf-

oder abgerundet wurde, hat dies für die Höhe der Steuerschuld keine Bedeutung bzw. ist

§ 11 Abs. 12 UStG 1994 sinngemäß anzuwenden.

Siehe auch EURO-Einführungserlass, AÖF Nr. 019/1999.

11.1.5.7. Gesonderter Steuerausweis

11.1.5.7.1. Entgelt und Steuerbetrag

1517

Nicht von Bedeutung ist es, ob der ausgewiesene Steuerbetrag als “USt" oder als

“Mehrwertsteuer" bezeichnet wird.

11.1.5.7.2. Unterschiedliche Steuersätze

1518

Werden in einer Rechnung Leistungen abgerechnet, die unterschiedlichen Steuersätzen

unterliegen, so ist bei der Rechnungsausstellung darauf Bedacht zu nehmen.

Beispiel:

Bestell Nr. Bezeichnung Menge Einzelpreis Steuersatz Betrag Steuer

24 Ware A 100 kg 0,60 Euro 10% 60 Euro 6 Euro

33 Ware B 50 Lt 2,00 Euro 10% 100 Euro 10 Euro

44 Ware C 40 St 2,50 Euro 20% 100 Euro 20 Euro

96 Ware D 20 Fl 3,00 Euro 20% 60 Euro 12 Euro



320 Euro 48 Euro

+ Mehrwertsteuer 48 Euro

Gesamtrechnungsbetrag 368 Euro

1519

Unselbständige Nebenleistungen unterliegen dem gleichen Steuersatz wie die

Hauptleistungen. Werden in einer Rechnung Leistungen zu unterschiedlichen Steuersätzen

abgerechnet, so sind auch die unselbständigen Nebenleistungen entsprechend aufzuteilen.

11.1.5.8. Organschaft

1520

Rechnungen innerhalb eines Unternehmens (zB zwischen dem Hauptbetrieb und den Filialen,

innerhalb der Gesellschaften eines Organkreises im Inland) gelten nicht als Rechnungen im

Sinne des § 11 Abs. 1 UStG 1994. Derartige Rechnungen stehen mit keinen steuerbaren

Umsätzen im Zusammenhang und lösen als bloße Innenumsätze keine Steuerpflicht aus; sie

berechtigen auch nicht zum Vorsteuerabzug.

11.1.5.9. Rechnung bei Voraus- oder Anzahlungen

11.1.5.9.1. Allgemein

1521

Die Vorschrift über Rechnungslegung in Zusammenhang mit Voraus- oder Anzahlungen

gelangt sowohl bei der Sollbesteuerung als auch in den Fällen der Istbesteuerung zur

Anwendung. Über die vereinnahmten Voraus- oder Anzahlungen kann auch mittels Gutschrift

abgerechnet werden.

11.1.5.9.2. Zeitpunkt der Rechnungserteilung

1522

Voraussetzung für die Berechtigung bzw. Verpflichtung zur Begebung einer Voraus- oder

Anzahlungsrechnung ist, dass die Anforderung bzw. Vereinnahmung des Entgelts

bzw. Teilentgelts für eine bestimmte, unbedingte, steuerpflichtige und in Zukunft

auszuführende Leistung erfolgt.

1523

Rechnungen mit gesondertem Steuerausweis können schon erteilt werden, bevor eine

Voraus- oder Anzahlung vereinnahmt wurde. Ist das im Voraus vereinnahmte Teilentgelt

niedriger als in der Rechnung angegeben, so entsteht die Umsatzsteuerschuld nur insoweit,

als sie auf das tatsächlich vereinnahmte Entgelt oder Teilentgelt entfällt. Einer Berichtigung



der Rechnung bedarf es in diesem Falle nicht. Der Unternehmer kann für jede einzelne

Voraus- oder Anzahlung eine separate Abrechnungsurkunde mit gesondertem Steuerausweis

erteilen. Es besteht aber auch die Möglichkeit, mittels einer Abrechnungsurkunde über

mehrere oder alle in Zusammenhang mit einer Leistung stehenden Voraus- oder

Anzahlungen abzurechnen.

11.1.5.9.3. Angaben in der Vorauszahlungs- oder Anzahlungsrechnung

1524

§ 11 Abs. 1 UStG 1994 gilt sinngemäß. Hinsichtlich des Zeitpunktes der Lieferung oder

sonstigen Leistung ist der (vereinbarte) voraussichtliche Zeitpunkt oder Zeitraum anzugeben.

Sollte der Zeitpunkt oder Zeitraum der Leistung noch nicht feststehen, genügt der Hinweis,

dass diesbezüglich noch keine Vereinbarung getroffen wurde. An die Stelle des Entgelts und

des darauf entfallenden Steuerbetrages für die Leistung tritt das vor der Ausführung der

Leistung vereinnahmte oder angeforderte Entgelt (Teilentgelt) sowie der darauf entfallende

Steuerbetrag. Erteilt der Unternehmer losgelöst von einer Voraus- oder Anzahlung über eine

noch nicht erbrachte Leistung eine Rechnung mit gesondertem Steuerausweis

("Vorausrechnung"), so schuldet er den ausgewiesenen Steuerbetrag auf Grund der

Inrechnungstellung, ohne dass der Empfänger dieser Rechnung das Recht hätte, die

ausgewiesene Steuer als Vorsteuer geltend zu machen. Um eine Steuerschuld auf Grund der

Inrechnungstellung hintanzuhalten, muss aus der vor Ausführung der Leistung erstellten

Abrechnungsurkunde zweifelsfrei ersichtlich sein, dass damit über eine Voraus- oder

Anzahlung abgerechnet wird. Um diesem Erfordernis zu entsprechen, empfiehlt sich eine

entsprechende Bezeichnung der Abrechnungsurkunde (zB "Anzahlungsrechnung über den

am ... vereinnahmten Teilbetrag", "1. Teilrechnung über die vereinbarte und am ... fällig

werdende Abschlagszahlung") unter Angabe des Ausstellungsdatums sowie eine ergänzende

und klarstellende Formulierung (zB Hinweis auf einen erst in der Zukunft liegenden

Leistungszeitpunkt) im eigentlichen Abrechnungstext der Vorauszahlungs- oder

Anzahlungsrechnung.

11.1.5.9.4. Rechnungen für künftige Miet-, Pacht-, Wartungs- oder ähnliche

Leistungen

1524a

Werden bei Miet-, Pacht-, Wartungs- oder ähnlichen Leistungen Entgelte und die darauf

entfallenden Steuerbeträge für zukünftige Leistungen in Rechnung gestellt, kann der

Vorsteuerabzug abweichend vom allgemeinen Grundsatz, dass nach der Leistungserbringung

begrifflich keine Anzahlungen mehr möglich sind, entsprechend den geleisteten Zahlungen in

sinngemäßer Anwendung des § 12 Abs. 1 Z 1 zweiter Satz UStG 1994 vorgenommen



werden. Ein Vorsteuerabzug ohne Zahlung auf Grund einer solchen Rechnung ist in diesen

Fällen nicht zulässig. Weiters kann bei Anzahlungsrechnungen betreffend die genannten

Leistungen die Angabe des Leistungszeitraumes auch in der Weise erfolgen, dass der Beginn

des Leistungszeitraumes mit dem Zusatz angeführt wird, dass die Vorschreibung (=

Anzahlungsrechnung) bis zum Ergehen einer neuen Vorschreibung gilt.

11.1.5.10. Endrechnung

1525

Wird über die bereits tatsächlich erbrachte Leistung insgesamt abgerechnet

("Endrechnung"), so sind in ihr die vor Ausführung der Leistung vereinnahmten Teilentgelte

und die auf sie entfallenden Steuerbeträge abzusetzen, wenn über diese Teilentgelte Voraus-

oder Anzahlungsrechnungen mit gesondertem Steuerausweis erteilt worden sind

(§ 11 Abs. 1 vierter Satz UStG 1994). Der Vorschrift ist entsprochen, wenn die einzelnen

vereinnahmten Teilentgelte mit den jeweils darauf entfallenden Steuerbeträgen in der

Endrechnung abgesetzt werden. Es genügt aber auch, wenn der Gesamtbetrag der

vorausgezahlten Teilentgelte und die hierauf entfallenden Steuerbeträge in einer Summe

abgesetzt werden.

Beispiel 1:

Absetzung der einzelnen vereinnahmten Teilentgelte und der hierauf entfallenden Steuerbeträge:

Endrechnung über die Errichtung einer Seilbahntalstation

Lieferung und Abnahme: 13. Oktober 2000

Entgelt USt (20%) brutto

Endrechnungsbetrag 9.000.000 Euro 1.800.000 Euro 10.800.000 Euro

Abschlagszahlungen

5.6.2000 -1.500.000 Euro -300.000 Euro -1.800.000 Euro

8.7.2000 -2.000.000 Euro -400.000 Euro -2.400.000 Euro

3.8.2000 -3.000.000 Euro -600.000 Euro -3.600.000 Euro

Restforderung 2.500.000 Euro 500.000 Euro 3.000.000 Euro

Beispiel 2:

Absetzung des Gesamtbetrags der vereinnahmten Teilentgelte und der hierauf entfallenden Steuerbeträge in einer Summe:





Entgelt USt (20%) brutto

Endrechnungsbetrag 9.000.000 Euro 1.800.000 Euro 10.800.000 Euro

Abschlagszahlungen 5.6, 8.7. und 3.8.2000 -6.500.000 Euro -1.300.000 Euro -7.800.000 Euro

Restforderung 2.500.000 Euro 500.000 Euro 3.000.000 Euro

1526

Unterbleibt in der Endrechnung die Absetzung der vereinnahmten Teilentgelte und der

darauf entfallenden Steuerbeträge, schuldet der Unternehmer diese Beträge nach

§ 11 Abs. 12 UStG 1994 auf Grund der Rechnung. Die Steuerschuld besteht bis zum

Zeitpunkt der Berichtigung der Endrechnung (ex nunc-Wirkung der Rechnungsberichtigung).

Keine Steuerschuld aufgrund der Rechnungslegung im Sinne des § 11 Abs. 12 UStG 1994

entsteht, wenn in der Endrechnung die Umsatzsteuer nicht vom Gesamtentgelt, sondern nur

hinsichtlich des Restentgelts ausgewiesen wird.

Beispiel:



Gesamtentgelt netto 9.000.000 Euro

Abschlagszahlungen netto 5.6, 8.7. und 3.8.2000

-6.500.000 Euro

Restentgelt netto 2.500.000 Euro

Umsatzsteuer 500.000 Euro

Restforderung 3.000.000 Euro

Bei Unterlassung der geforderten Absetzung der vereinnahmten Teilentgelte und der darauf

entfallenden Steuerbeträge in der Schlussrechnung ist eine Vorsteuerabzugsberechtigung

hinsichtlich des gesamten ausgewiesenen Umsatzsteuerbetrages (bestehend aus den bereits

geltend gemachten Steuerbeträgen aus den entrichteten Voraus- oder Anzahlungen und dem

restlichen Mehrwertsteuerbetrag) wegen offensichtlicher Unrichtigkeit (siehe auch Rz 1825)

nicht gegeben.

Die Ausstellung einer Endrechnung kann entfallen, wenn das gesamte Entgelt und der

hierauf entfallende Steuerbetrag durch die bereits ausgehändigten Voraus- oder

Anzahlungsrechnungen abgedeckt sind und die Beträge vor Leistungserbringung



vereinnahmt wurden. Nach Leistungserbringung ist begrifflich eine Anzahlung nicht mehr

möglich. Für Beträge nach Leistungserbringung ist für Zwecke des Vorsteuerabzuges eine

Schluss- oder Restrechnung erforderlich.

11.1.5.11. Duplikat

1527

Der leistende Unternehmer darf in Bezug auf einen Umsatz nur eine Rechnung (mit

gesondertem Steuerausweis) ausstellen. Hat der Unternehmer über einen Umsatz

(zB Lieferung) eine Rechnung erteilt, darf er grundsätzlich eine zweite Rechnung für

denselben Umsatz nicht mehr erteilen. Stellt er eine zweite Rechnung für denselben Umsatz

aus, so kann sich daraus eine Steuerschuld auf Grund des unberechtigten Steuerausweises

ergeben.

1528

Davon zu unterscheiden ist die Anfertigung von Duplikaten oder Abschriften von

Rechnungen. Soll es zu keiner Steuerschuld auf Grund des unberechtigten (nochmaligen)

Steuerausweises kommen, muss die Rechnung eindeutig als "Duplikat", "Zweitschrift" und

dgl. gekennzeichnet sein.

11.1.5.12. Mautgebühren

1529

Automationsunterstützt erstellte Maut-Rechnungsausdrucke über 150 Euro enthalten vielfach

keine Angaben über den Namen und die Anschrift des Leistungsempfängers und werden

daher auch ohne diese Angaben gespeichert. Es ist dabei regelmäßig vorgesehen, dass in

den Beleg der Leistungsempfänger seinen Namen und seine Anschrift einsetzt.

Automationsunterstützt erstellte Rechnungen, die in einer Mautkabine abgegeben werden

und alle im § 11 Abs. 1 UStG 1994 geforderten Angaben, mit Ausnahme der Angabe des

Namens und der Anschrift des Leistungsempfängers enthalten, und die der

Leistungsempfänger durch Eintragung seines Namens und seiner Anschrift ergänzt,

berechtigen den Leistungsempfänger zum Vorsteuerabzug.

Die obigen Ausführungen gelten sinngemäß im Falle eines Beleges über die Vorschreibung

einer Ersatzmaut und über die Ausgabe einer Pre-Pay Go-Box gemäß Bundesstraßen-

Mautgesetz 2002, sofern in den Belegen überdies das KFZ-Kennzeichen angegeben ist.

11.1.5.13. Rechnungslegung durch Vermittler

1530

Der Unternehmer kann sich zur Abrechnung grundsätzlich Dritter bedienen (siehe Rz 1505).

Beispiel:



Die Tankstelle Herbert Stremayer, 3243 St. Leonhard 11, vermittelt am 17. Jänner 2004 die Lieferung von 300 Liter Diesel vom Unternehmer Treibstoff AG, 1234 Wien, Heidemariestraße 12, an den Unternehmer Robert Grabner, 3243 Thal 1, um 270 Euro (brutto).

Rechnung nach § 11 Abs. 1 UStG 1994:

Herbert Stremayer

Tankstelle

3243 St. Leonhard 11

St. Leonhard, am 17.1.2004

Rechnung Nr. 76/2004

UID-Nr.: ATU12345678

vermittelt für

Treibstoff AG

Heidemariestraße 12

1234 Wien

UID-Nr.: ATU 87654321

An

Robert Grabner

Steinbruch

3243 Thal 1

Liefertag: 17. Jänner 2004

300 Liter Diesel netto à 0,75 Euro 225 Euro

+ 20% USt 45 Euro

270 Euro

oder

Herbert Stremayer

Tankstelle




Rechnung Nr. 76/2004




An

Robert Grabner

Steinbruch

3243 Thal 1

Liefertag: 17. Jänner 2004

300 Liter Diesel netto à 0,75 Euro 225 Euro

+ 20% USt 45 Euro

270 Euro

Die Lieferung erfolgte im Namen und für Rechnung der Treibstoff AG, 1234 Wien, Heidemariestraße 12 (UID-Nr.: ATU87654321).

1531

Ist der Dritte (Vermittler) nicht zur Ausstellung von Rechnungen oder Gutschriften mit

gesondertem Ausweis der USt bevollmächtigt und legt er trotzdem eine Rechnung, so

schuldet er nach § 11 Abs. 14 UStG 1994 die in der Rechnung ausgewiesene USt

(VwGH 22.2.2000, 99/14/0062).

1532

Erbringt der Unternehmer gegenüber seinem Auftraggeber eigene Umsätze und wird er

daneben zugleich als Vermittler für einen oder mehrere Unternehmer tätig, so kann er die

eigenen und fremden Umsätze zusammen auf einem Schriftstück abrechnen. Derartige

Schriftstücke sind als Rechnungen im Sinne des § 11 UStG 1994 anzusehen, wenn

der Unternehmer von dem anderen Unternehmer zur Ausstellung von Rechnungen

bevollmächtigt ist und

aus dem Schriftstück klar zu ersehen ist, welche Umsätze einem anderen Unternehmer

zuzurechnen sind.

Beispiel:

Rechnung der Tankstelle Herbert Stremayer, 3243 St. Leonhard 11, über die Lieferung von Zeitschriften um 6,60 Euro (USt 10%) und der Vermittlung von 30 Liter Diesel für die Treibstoff AG, 1234 Wien, Heidemariestraße 12, um 22,50 Euro (USt 20%) an den Unternehmer Robert Grabner, 3243 Thal 1, am 17. Jänner 2004.


Herbert Stremayer

Tankstelle



Rechnung-Nr.: 76/2004




An

Robert Grabner

Steinbruch

3243 Thal 1

Tag der Lieferung: 17. Jänner 2004

*) Die Lieferung erfolgte im Namen und für Rechnung der Treibstoff AG, 1234 Wien, Heidemariestraße 12 (UID-Nr.: ATU87654321).


Herbert Stremayer

Tankstelle



Tag der Lieferung: 17. Jänner 2004

Zeitschrift "Motorjournal" 6,60 Euro inklusive 10% USt

* 30 Liter Diesel netto à 0,75 Euro 27,00 Euro inklusive 20% USt

33,60 Euro

*) Die Lieferung erfolgte im Namen und für Rechnung der Treibstoff AG, 1234 Wien, Heidemariestraße 12.

11.1.5.14. Berichtigung von Rechnungen

1533

Die vom leistenden Unternehmer vorzunehmende Berichtigung oder Ergänzung einer

Rechnung kann in der Weise erfolgen, dass unter Hinweis auf die ursprüngliche Rechnung

die notwendigen Ergänzungen oder Berichtigungen vorgenommen werden oder eine

berichtigte Rechnung zur ursprünglichen Rechnung ausgestellt wird. Der Unternehmer muss

Zeitschrift "Motorjournal“ 6,00 Euro

+ 10% USt 0,60 Euro

* 30 Liter Diesel netto à 0,75 Euro 22,50 Euro

+ 20% USt 4,50 Euro

33,60 Euro



nachweisen, dass die berichtigte Rechnung dem Leistungsempfänger zugekommen ist. Stellt

der Unternehmer eine zweite Rechnung für einen Umsatz aus, über den er bereits eine

Rechnung gelegt hat, so kann sich eine Steuerschuld nach § 11 Abs. 14 UStG 1994 ergeben.

Um die Rechtsfolgen einer zweiten Rechnungslegung zu vermeiden, muss der Unternehmer

in der berichtigten Rechnung auf die ursprüngliche Rechnung hinweisen.

1534

Für die Frage der Ordnungsmäßigkeit von Rechnungen (auch im Rahmen von

Berichtigungen) ist es nicht erforderlich, dass über jeden Einzelumsatz eine gesonderte

Rechnung ausgestellt wird. In einer Rechnung kann durchaus über mehrere Lieferungen

oder Leistungen mit unterschiedlichem Liefer- oder Leistungsdatum abgerechnet werden.

Demgemäß sind auch Berichtigungen oder Ergänzungen im Wege von

Sammelberichtigungen oder -ergänzungen zulässig.

11.1.5.15. Rechnungsberichtigung Touristenexport

1535

Wurden in den Fällen des Touristenexportes Rechnungen mit offenem Steuerausweis gelegt,

kann eine Rechnungsberichtigung unterbleiben, ohne dass eine Steuerschuld nach

§ 11 Abs. 12 UStG 1994 entsteht, wenn der Unternehmer das Original der Rechnung, in der

die Steuer offen ausgewiesen wurde, zurückerhalten hat. Das Rechnungsoriginal muss der

Unternehmer bei seinen Unterlagen über den maßgeblichen Umsatz aufbewahren und in

seinen Aufzeichnungen darauf hinweisen.

11.1.5.16. Rechnungslegung bei Leistungen aus Stromlieferungsverträgen und

Netzanschluss- und Netznutzungsverträgen

1536

Beauftragt bzw. bevollmächtigt der Netzbetreiber den Stromlieferanten für ihn seine Leistung

an den Endkunden abzurechnen und wird dieses Auftragsverhältnis bzw.

Vollmachtsverhältnis dem Endkunden gegenüber offengelegt, dann kann der Stromlieferant

für den Netzbetreiber auch dessen Leistung an den Endverbraucher im Sinne des

§ 11 UStG 1994 abrechnen. Die Ausstellung einer Rechnung für den Netzbetreiber führt

dabei zu einer Rechnung des Netzbetreibers. Der Kunde ist unter den allgemeinen

Voraussetzungen des § 12 UStG 1994 zum Vorsteuerabzug berechtigt. Der Stromlieferant

versteuert die Stromlieferung, der Netzbetreiber versteuert das Entgelt für die

Netzbereitstellung. Rz 1505, Rz 1530 bis Rz 1532 gelten sinngemäß. Der Stromlieferant hat

dem Netzbetreiber die Rechnungsdaten in geeigneter Form (Rechnungsduplikate,

elektronischer Datenträger usw.) zu übermitteln, wobei die Daten der vom



Rechnungsaussteller selbst erbrachten Leistung abgedeckt werden können bzw. nicht

enthalten sein müssen.

Abweichend von den zivilrechtlichen Verhältnissen wird für umsatzsteuerliche Zwecke die

Leistung des Netzbetreibers als für den Stromlieferanten erbracht angesehen, wenn eine

vertragliche Vereinbarung zwischen Stromlieferanten, Netzbetreiber und Kunden über die

Anwendung dieser Vereinfachungsmöglichkeit getroffen wird. In diesem Fall legt der

Netzbetreiber seine Rechnung im Sinne des § 11 UStG 1994 an den Stromlieferanten,

welcher seinerseits eine Rechnung über Stromlieferung und die Netzbereitstellung an den

Endkunden ausstellt. Dabei ist es ausreichend, wenn der Netzbetreiber die für Kunden eines

Stromlieferanten erbrachten Netzdienstleistungen in einer Sammelrechnung im Sinne des

§ 11 Abs. 1 Z 4 UStG 1994 oder durch elektronischen Rechnungsdatenaustausch gemäß

Rz 1561 bis Rz 1563 abrechnet. Hinsichtlich der Netzbereitstellung hat der Lieferant den

Vorsteuerabzug. Der Stromlieferant versteuert seinerseits sowohl die Stromlieferung als auch

die Netzbereitstellung. Der Endkunde hat nach Maßgabe des § 12 UStG 1994 den

Vorsteuerabzug aus der vom Stromlieferanten ausgestellten Rechnung. Diese Vorgangsweise

kann nur solange angewendet werden, als eine Vereinbarung über ihre Anwendung zwischen

dem Stromlieferanten, dem Netzbetreiber und dem Kunden besteht.

Beauftragt ein Endkunde den Energielieferanten mit der Administration und Bezahlung von

Netzrechnungen (Jahresrechungen oder Teilzahlungsrechnungen), ohne dass es zu einer

Änderung der Rechtsbeziehung mit dem Netzbetreiber kommt, kann wie folgt vorgegangen

werden, vorausgesetzt, dass diesbezüglich Einvernehmen mit dem Netzbetreiber hergestellt

wird:

Der Netzbetreiber kann die Originalrechnung betreffend die Netzbereitstellung an den

Energielieferanten übermitteln. Die Originalrechung verbleibt beim Energielieferanten. Die in

dieser Rechnung ausgewiesene Umsatzsteuer berechtigt den Energielieferanten nicht zum

Vorsteuerabzug. Der Energielieferant legt an den Endkunden eine Rechnung über die

Stromlieferung und teilt dem Endkunden die Daten der Rechnung des Netzbetreibers mit.

Der Energielieferant versteuert nur die Energielieferung. Die Bekanntgabe der

Netzbereitstellung-Rechungsdaten führt beim Energielieferanten zu keiner Steuerschuld auf

Grund der Rechnung. Der Endkunde kann den in der Rechnung des Energielieferanten für

die Stromlieferung ausgewiesenen bzw. für die Netzbereitstellung genannten Steuerbetrag

nach Maßgabe des § 12 UStG 1994 als Vorsteuer abziehen.

1536a

Rz 1536 gilt sinngemäß auch für Gaslieferungen.



11.1.6. Änderungen der Rechnungslegung auf Grund des zweiten

Abgabenänderungsgesetzes 2002

11.1.6.1. Allgemeines

1537

Auf Grund des 2. AbgÄG 2002 hat der § 11 Abs. 1 UStG 1994 folgende Änderungen

erfahren:

Werden Leistungen an juristische Personen erbracht, haben auch diese einen Anspruch

auf Ausstellung einer Rechnung im Sinne des § 11 UStG 1994.

Es besteht auch ein Anspruch auf Ausstellung einer Rechnung, wenn der Umsatz

steuerfrei ist.

Die Rechnung hat den anzuwendenden Steuersatz bzw. einen Hinweis auf die

Steuerbefreiung zu enthalten.

Die Rechnung hat das Ausstellungsdatum,

eine fortlaufende Nummer und

die dem Unternehmer erteilte UID zu enthalten.

1538

Diese Bestimmungen gelten auch für Anzahlungsrechnungen und Gutschriften, nicht jedoch

für Kleinbetragsrechnungen, Fahrausweise und Belege im Reisegepäckverkehr. Aufgrund der

seit 1. Jänner 2004 geltenden Rechtslage haben aber auch Kleinbetragsrechnungen,

Fahrausweise und Belege im Reisegepäckverkehr jedenfalls ein Ausstellungsdatum zu

enthalten. Hinsichtlich der Fahrausweise siehe weiters Rz 1691.

1539

Das Vorliegen dieser Merkmale ist Voraussetzung für den Vorsteuerabzug. Hinsichtlich der

fortlaufenden Nummer ist durch den Leistungsempfänger keine Überprüfung vorzunehmen.

Die inhaltliche Richtigkeit der UID ist bis auf weiteres nicht zu überprüfen.

1540

Die Bestimmungen über die Ausstellung von Rechnungen betreffen nur solche über

steuerbare Vorgänge. In den Fällen, in denen die Steuerpflicht auf den ausländischen

Unternehmer im Binnenmarkt übergeht, ist jedoch zu beachten, dass die übrigen

Mitgliedstaaten - jedenfalls ab 1. Jänner 2004 - die gleiche Rechtslage wie Österreich haben

und überdies die Anführung der UID in der Rechnung dem leistenden Unternehmer ua. als

Nachweis dienen wird, dass die Steuerschuld auf den Leistungsempfänger übergegangen ist.

1541



Wird eine Rechnung berichtigt und wird dieselbe Rechnungsnummer verwendet, so muss ein

Hinweis erfolgen, dass es sich um eine berichtigte Rechnung handelt. Wird eine neue

Rechnungsnummer verwendet, muss auf die ursprüngliche Rechnung und deren Nummer

verwiesen werden.

1542

Die Neuregelungen sind auf Umsätze und sonstige Sachverhalte anzuwenden, die nach dem

31. Dezember 2002 ausgeführt werden bzw. sich ereignen. Die zusätzlichen

Rechnungsmerkmale müssen daher bei Rechnungen vorliegen, die nach dem 31. Dezember

2002 ausgestellt werden.

11.1.6.2. Erleichterungen

1543

Unternehmer, die überwiegend Umsätze gemäß § 6 Abs. 1 Z 8 und 9 lit c UStG 1994

ausführen, sind für die genannten Umsätze im Jahre 2003 von der Verpflichtung der

zusätzlichen Rechnungsmerkmale nach dem 2. AbgÄG 2002 befreit. Aufgrund der VO des

BMF, BGBl. II Nr. 279/2004 sind Unternehmer, die überwiegend Umsätze gemäß § 6 Abs. 1

Z 8 und 9 lit. c UStG 1994 ausführen, für Zeiträume nach dem 31. Dezember 2003 nicht

mehr verpflichtet, für derartige Umsätze Rechnungen gemäß § 11 Abs. 1 UStG 1994 auszu-

stellen.

1544

Für das Jahr 2003 ist es nicht zu beanstanden, wenn Rechnungen bis zu einem Entgelt von

300 Euro nicht die zusätzlichen Rechnungsmerkmale nach dem 2. AbgÄG 2002 aufweisen.

11.1.6.3. Anspruch auf Ausstellung einer Rechnung

1545

Aufgrund der seit 1. Jänner 2004 geltenden Rechtslage hat Anspruch auf Ausstellung einer

Rechnung

jeder Unternehmer, wenn Umsätze für sein Unternehmen ausgeführt werden sowie

jede juristische Person, auch soweit sie nicht Unternehmer ist.

Von der unter Rz 1543 genannten Ausnahme abgesehen, besteht ein Anspruch auf

Ausstellung einer Rechnung auch dann, wenn der Umsatz steuerfrei ist oder wenn die

Steuerschuld auf den Leistungsempfänger übergegangen ist (siehe auch Rz 1503).

11.1.6.4. Steuersatz und Steuerbefreiung

1546



Es genügt der Hinweis auf den Steuersatz und die Steuerbefreiung. Die Anführung der

gesetzlichen Bestimmung ist nicht erforderlich. Die Verpflichtungen gemäß Art. 11 UStG 1994

bleiben jedoch aufrecht.

11.1.6.5. Ausstellungsdatum

Randzahl 1547: derzeit frei

11.1.6.6. Fortlaufende Nummer

1548

Die Rechnung hat eine fortlaufende Nummer mit einer oder mehreren Zahlenreihen, die zur

Identifizierung einmalig vergeben werden, zu enthalten. Im Rahmen der fortlaufenden

Nummer sind auch Buchstaben zulässig, sofern das Erfordernis der fortlaufenden

Bezeichnung gewährleistet ist.

1549

Das Erfordernis der Rechnungsnummer gilt sowohl für die Ausstellung von Rechnungen als

auch für die Ausstellung von Gutschriften. Die Rechnungsnummern können für Gutschriften

auch getrennt erteilt werden. Gutschriften benötigen keine fortlaufende Nummer beim

Empfänger der Gutschrift.

1550

In die fortlaufende Nummerierung können auch die Kleinbetragsrechnungen einbezogen

werden.

1551

Der Zeitpunkt des Beginnes der laufenden Nummer kann frei gewählt werden, muss jedoch

systematisch sein (auch täglicher Nummernbeginn ist zulässig).

1552

Es sind verschiedene Rechnungskreise zulässig (zB Filialen, Betriebsstätten, Bestandobjekte,

Registrierkassen), die Zuordnung muss jedoch eindeutig sein. Es können auch verschiedene

Vertriebssysteme, Warengruppen oder Leistungsprozesse (zB Safe oder Depotleistungen bei

Kreditinstituten) als eigene Rechnungskreise angesehen werden.

1553

Bei ausländischen Unternehmern ist für inländische Umsätze ein eigener Nummernkreis

erforderlich. Ebenso ist bei Konzernunternehmen (die keine Organschaft sind) für jeden

Unternehmer ein eigener Nummernkreis erforderlich.

11.1.6.7. Umsatzsteuer-Identifikationsnummer

1554



Die Verpflichtung zur Angabe der UID in der Rechnung besteht nur, soweit der Unternehmer

im Inland Lieferungen und sonstige Leistungen erbringt, für die das Recht auf

Vorsteuerabzug besteht.

Ab 1. Juli 2006 ist bei Rechnungen, deren Gesamtbetrag 10.000 Euro übersteigt (maßgebend

ist der in der Rechnung angeführte Gesamtbetrag, dh. Entgelt zuzüglich Umsatzsteuer), als

zusätzliches Rechnungsmerkmal auch die dem Leistungsempfänger vom Finanzamt erteilte

Umsatzsteuer-Identifikationsnummer (UID) anzuführen, wenn der leistende Unternehmer im

Inland einen Wohnsitz (Sitz), seinen gewöhnlichen Aufenthalt oder eine Betriebsstätte hat

und der Umsatz für das Unternehmen des Leistungsempfängers ausgeführt wird.

Kann der leistende Unternehmer auf der Rechnung die UID des Kunden nicht anführen, weil

dieser über keine gültige UID verfügt (zB erteilt das Finanzamt Unternehmern, die

ausschließlich unecht befreite Umsätze ausführen oder pauschalierten Landwirten nicht

automatisch eine UID) oder diese nicht angibt, hat das für den leistenden Unternehmer

keine Konsequenzen. In den genannten Fällen genügt der Hinweis "Keine UID angegeben".

Verfügt der Leistungsempfänger nur über eine ausländische UID, so ist diese anzugeben.

Die Richtigkeit der UID muss vom Rechnungsaussteller nicht überprüft werden.

Der Leistungsempfänger seinerseits ist nur dann zum Vorsteuerabzug berechtigt, wenn die

Rechnung alle erforderlichen Merkmale (dh. auch seine eigene UID) aufweist. Eine

Rechnungsberichtigung (zB fehlende UID) kann nur vom Rechnungsaussteller vorgenommen

werden.

Ist in den Fällen des Übergangs der Steuerschuld ein ausländischer Unternehmer im Inland

nicht zur Umsatzsteuer zu erfassen, ist bei einem Unternehmer im Gemeinschaftsgebiet die

ausländische UID anzugeben, bei einem Drittlandsunternehmer entfällt die Anführung einer

UID.

1555

Die UID muss im Zeitpunkt der Vornahme des Vorsteuerabzuges vorliegen. Wird sie erst

später ergänzt, steht der Vorsteuerabzug erst in dem Zeitpunkt zu, in dem sämtliche

Rechnungsmerkmale vorliegen. Im Rahmen einer Überprüfung durch die Finanzbehörde ist

dem Unternehmer eine angemessene Frist zur Behebung des Mangels zu stellen. Wird die

UID rechtzeitig ergänzt, ist die Rechnung rückwirkend anzuerkennen (siehe Rz 1831).

1556

Unternehmer, die nur Umsätze bewirken, für die die Steuer nach § 22 Abs. 1 UStG 1994 mit

10% bzw. 12% der Bemessungsgrundlage festgesetzt wird, erhalten in der Regel keine

Umsatzsteuer-Identifikationsnummer (UID-Nummer, siehe aber auch den letzten Absatz) und



können daher in ihren Rechnungen auch die "dem Unternehmer vom Finanzamt erteilte UID-

Nummer" (§ 11 Abs. 1 UStG 1994 idF 2. AbgÄG 2002) nicht angeben. Derartige Rechnungen

berechtigen trotz Fehlens der UID-Nummer des leistenden Unternehmers zum

Vorsteuerabzug, vorausgesetzt der leistende Unternehmer weist in der Rechnung an einen

anderen Unternehmer darauf hin, dass der Umsatz nach § 22 Abs. 1 UStG 1994 dem

Durchschnittssteuersatz von 12% unterliegt (Vermerk: Durchschnittssteuersatz 12%). Wird

mit Gutschrift gegenüber pauschalierten Land- und Forstwirten abgerechnet, ist der oben

geforderte Hinweis auf der Gutschrift erforderlich.

Diese Vereinfachung gilt auch für Rechnungen an Unternehmer betreffend Lieferungen von

bestimmten Getränken und alkoholischen Flüssigkeiten, die gemäß § 22 Abs. 2 UStG 1994

der Zusatzsteuer in Höhe von 8% unterliegen (siehe Rz 2871 und Rz 2872; zB Ausschank

von Schnaps und Obstsäften im Buschenschank), wenn die Rechnung bzw. Gutschrift den

Vermerk "Durchschnittssteuersatz 12% zzgl. Zusatzsteuersatz 8%" enthält.

In Rechnungen (Gutschriften) über (steuerpflichtige) innergemeinschaftliche Lieferungen von

pauschalierten Land- und Forstwirten ist jedoch zwingend die UID-Nummer des leistenden

Unternehmers anzugeben, da pauschalierte Land- oder Forstwirte in diesen Fällen über eine

UID-Nummer verfügen und Zusammenfassende Meldungen abgeben müssen (siehe Rz 3988,

Rz 4154 und Rz 4339).

11.2 Rechnungsarten

11.2.1. Urkundenprinzip

1557

Als Rechnung gilt jede Urkunde, mit der ein Unternehmer über eine Lieferung oder sonstige

Leistung abrechnet (siehe jedoch Rz 1561 betreffend elektronisch übermittelte Rechnung).

Es ist nicht erforderlich, dass diese Urkunde die Bezeichnung “Rechnung" trägt.

1558

Erfolgt über eine erbrachte Leistung eine Gebührenabrechnung in Form eines Bescheides

(zB Wassergebühren), so gilt dieser Bescheid als Rechnung, wenn in ihm alle jene Angaben

enthalten sind, die § 11 UStG 1994 vorsieht.

1559

Als Urkunde kann nur ein Schriftstück verstanden werden. Nach der Judikatur des VwGH

muss jedoch der Beweis darüber, dass dem Unternehmer eine Rechnung zugekommen ist,

nicht ausschließlich durch Vorlage der Originalrechnungen (Schriftstücke) erbracht werden.

Vielmehr ist auch, wenn diese Rechnungen nicht mehr vorhanden sind (aber vorhanden

waren), ein anderer Beweis zulässig. Dieser Beweis kann zB durch mikroverfilmte



Rechnungen erbracht werden. Dasselbe gilt für die optische Speicherplatte, wenn die mittels

Scanner erfassten und urschriftgetreu auf der optischen Speicherplatte gespeicherten

Rechnungen nicht mehr verändert werden können.

Eine urschriftgetreue Speicherung setzt voraus, dass auch beschriebene oder bedruckte

Rückseiten der Belege eingescannt werden. Eine farbgetreue Wiedergabe ist dann

erforderlich, wenn beim Einscannen in Schwarz-Weiß Informationen oder Zusammenhänge,

die nur auf Grund der farblichen Gestaltung erkennbar sind, verloren gehen würden.

11.2.2. Sammelrechnungen

1560

Die Erleichterung betreffend Sammelrechnungen (§ 11 Abs. 1 Z 4 UStG 1994) kann von

jedem Unternehmer in Anspruch genommen werden, sie ist nicht auf bestimmte Branchen

beschränkt (VwGH 24.6.1985, 84/15/0170).

11.2.3. Elektronisch übermittelte Rechnung

11.2.3.1. Grundsätze

1561

Rechnungen können - vorbehaltlich der Zustimmung des Empfängers - auch auf

elektronischem Weg übermittelt werden (§ 11 Abs. 2 zweiter Unterabsatz UStG 1994).

Die Zustimmung des Empfängers der elektronisch übermittelten Rechnung bedarf keiner

besonderen Form; es muss lediglich Einvernehmen zwischen Rechnungsaussteller und

Rechnungsempfänger darüber bestehen, dass die Rechnung elektronisch übermittelt werden

soll. Die Zustimmung kann zB in Form einer Rahmenvereinbarung erklärt werden. Sie kann

auch nachträglich erklärt werden. Es genügt aber auch, dass die Beteiligten diese

Verfahrensweise tatsächlich praktizieren und damit stillschweigend billigen.

Nach § 11 Abs. 2 zweiter Unterabsatz UStG 1994 gilt eine auf elektronischem Weg

übermittelte Rechnung nur dann als Rechnung im Sinne des § 11 UStG 1994, wenn die

Echtheit der Herkunft und die Unversehrtheit des Inhalts gewährleistet sind. Dies kann

gemäß § 1 der Verordnung des BM für Finanzen, BGBl. II Nr. 583/2003 idF BGBl. II Nr.

175/2010 auf zwei Arten erfolgen:

Mit elektronischer Signatur gemäß § 1 Z 1 der Verordnung des BM für Finanzen, BGBl. II

Nr. 583/2003 idF BGBl. II Nr. 175/2010 (im Folgenden als "fortgeschrittene Signatur"

bezeichnet) und

Im EDI-Verfahren gemäß § 1 Z 2 der Verordnung des BM für Finanzen, BGBl. II Nr.

583/2003 idF BGBl. II Nr. 175/2010.


http://findok.bmf.gv.at/findok/javalink?art=BG&id=1053500&ida=UStG1994&gueltig=APPDAT&hz_id=1053500&dz_VonParagraf=11

http://findok.bmf.gv.at/findok/javalink?art=V&id=5006700&ida=BestimmungderAnforde&gueltig=APPDAT&hz_id=5006700&dz_VonParagraf=1

http://findok.bmf.gv.at/findok/javalink?art=V&id=5006700&ida=BestimmungderAnforde&gueltig=APPDAT&hz_id=5006700&dz_VonParagraf=1&dz_VonZiffer=1




Gemäß § 2 Z 1 und Z 2 der Verordnung des BM für Finanzen, BGBl II Nr. 583/2003 idF BGBl.

II Nr. 175/2010 erfüllt die Anforderungen an eine auf elektronischem Weg übermittelte

Rechnung auch

eine über FinanzOnline an den Bund als Leistungsempfänger übermittelte Rechnung

sowie

ab 1.1.2011 auch eine über das Unternehmensserviceportal an den Bund als

Leistungsempfänger übermittelte Rechnung.

Der Aufbau und der Ablauf des bei der elektronischen Übermittlung einer Rechnung

angewandten Verfahrens müssen leicht nachprüfbar sein. Vor allem muss überprüft werden

können, auf welche Daten sich die elektronische Signatur bezieht, wer der Signator ist und

ob die Möglichkeit besteht, bereits signierte Daten zu verändern. Dies setzt für jede neue

Programmversion eine Verfahrensdokumentation voraus, die all jene Informationen enthält,

die die Erforschung der tatsächlichen und rechtlichen Verhältnisse durch die

Abgabenbehörde (zB Betriebsprüfer) ohne Erschwernisse innerhalb angemessener Frist

ermöglicht (zB bei Standardsoftware eine Ablaufbeschreibung des Herstellers einschließlich

Datenformat der Rechnung und Signaturformat).

Fordert das Finanzamt den Unternehmer zur Vorlage der Rechnung auf, ist es nicht zu

beanstanden, wenn der Unternehmer als vorläufigen Nachweis einen Ausdruck der

elektronisch übermittelten Rechnung vorlegt. Dies entbindet den Unternehmer allerdings

nicht von der Verpflichtung, auf Anforderung nachzuweisen, dass die elektronisch

übermittelte Rechnung die Voraussetzungen des § 11 Abs. 2 UStG 1994 erfüllt.

11.2.3.2. Elektronische Signatur

1562

Gemäß § 1 Z 1 der Verordnung des BM für Finanzen, BGBl. II Nr. 583/2003 idF BGBl. II Nr.

175/2010 ist eine elektronisch übermittelte Rechnung mit einer Signatur zu versehen, die

den Erfordernissen des § 2 Z 3 lit. a bis d Signaturgesetz entspricht und auf einem Zertifikat

eines Zertifizierungsdiensteanbieters im Sinne des Signaturgesetzes beruht (fortgeschrittene

Signatur). Die von österreichischen Zertifizierungsdiensteanbietern angebotenen Dienste

werden auf der Website der Aufsichtsstelle für elektronische Signaturen

(http://www.signatur.rtr.at/) veröffentlicht.

Es ist zulässig, dass eine oder mehrere natürliche Personen im Unternehmen bevollmächtigt

werden, für den Unternehmer zu signieren. Eine Verlagerung der dem leistenden

Unternehmer oder dem von diesem beauftragten Dritten obliegenden steuerlichen

Verpflichtungen ist damit jedoch nicht verbunden.



http://findok.bmf.gv.at/findok/javalink?art=BG&id=1046600&ida=SigG&gueltig=APPDAT&hz_id=1046600&dz_VonParagraf=2&dz_VonZiffer=3&dz_VonLitera=a



Es ist zulässig, mehrere Rechnungen an einen Rechnungsempfänger in einer Datei

zusammenzufassen und diese Datei mit nur einer fortgeschrittenen Signatur an den

Empfänger zu übermitteln. Der Rechnungsaussteller kann die Rechnungen auch in einem

automatisierten Massenverfahren signieren.

11.2.3.3. Elektronischer Datenaustausch (EDI-Rechnungen)

1563

Gemäß § 1 Z 2 der Verordnung des BM für Finanzen, BGBl. II Nr. 583/2003 idF BGBl. II Nr.

175/2010 ist es zulässig, eine Rechnung im EDI-Verfahren zu übermitteln, wenn zusätzlich

eine zusammenfassende Rechnung (Sammelrechnung) in Papierform oder in elektronischer

Form, wenn diese mit einer elektronischen Signatur versehen wurde (siehe oben),

übermittelt wird. Voraussetzung für die Anerkennung der im EDI-Verfahren übermittelten

Rechnungen ist, dass über den elektronischen Datenaustausch eine Vereinbarung nach

Artikel 2 der Empfehlung 94/820/EG der Kommission vom 19. Oktober 1994 über die

rechtlichen Aspekte des elektronischen Datenaustausches (ABl. Nr. L 338 vom 28.12.1994 S.

98) besteht, in der der Einsatz von Verfahren vorgesehen ist, die die Echtheit der Herkunft

und die Unversehrtheit der Daten gewährleisten.

Hinsichtlich der Sammelrechnung ist es ausreichend, wenn die Entgelte und die darauf

entfallenden Steuerbeträge für die einzelnen Umsätze eines Datenübertragungszeitraumes

gesondert oder in einer Summe zusammengefasst angeführt sind, sofern folgende

Voraussetzungen vorliegen:

Die in der Sammelrechnung fehlenden Merkmale (insbesondere § 11 Abs. 1 Z 3 und 4

UStG 1994 müssen beim Leistungsempfänger aus den gespeicherten Einzelabrechnungen

oder aus den Unterlagen, auf die in diesen Einzelabrechnungen verwiesen wird, eindeutig

hervorgehen.

Es muss erkennbar sein, dass die schriftliche Sammelabrechnung der leistende

Unternehmer erstellt hat (zB Bestätigung des Leistenden durch Stempelaufdruck und

Unterschrift darüber, dass er der Rechnungsaussteller ist).

In der Sammelrechnung wird auf diese Einzelabrechnungen hingewiesen. Grundlage für

den Vorsteuerabzug ist die Sammelrechnung. Der Vorsteuerabzug ist daher, wenn die

Rechnungsausstellung in einem der Leistung folgenden Voranmeldungszeitraum erfolgt,

für den Voranmeldungszeitraum vorzunehmen, in dem die Sammelrechnung ausgestellt

worden ist.

Zur Verfahrensdokumentation siehe Rz 1561.


http://findok.bmf.gv.at/findok/javalink?art=Int&id=3010900&ida=Empfehlung94820EG&gueltig=20101122&hz_id=3010900&dz_VonArtikel=2



11.2.3.4. Per Telefax oder E-Mail übermittelte Rechnung

1564

Auch bei Rechnungen, die per Telefax oder E-Mail übermittelt werden, handelt es sich um

elektronisch übermittelte Rechnungen. Elektronische übermittelte Rechnungen gelten nur als

Rechnungen, wenn sie mit einer fortgeschrittenen Signatur versehen sind oder im Rahmen

des EDI-Verfahrens übermittelt werden.

Bis zum Ende des Jahres 2012 können Rechnungen weiterhin mittels Fernkopierer (Telefax)

übermittelt werden.

11.2.3.5. Elektronisch übermittelte Gutschriften

1564a

Eine Gutschrift auf elektronischem Weg ist zulässig. Dabei ist die Gutschrift durch den

Leistungsempfänger mit einer elektronischen Signatur zu versehen. Bei Abrechnung durch

Gutschrift im EDI-Verfahren hat der Leistungsempfänger zusätzlich eine zusammenfassende

Rechnung (Gutschrift) nach Maßgabe des Z 2 VO BGBl. II Nr. 583/2003 zu erstellen und zu

übermitteln (siehe oben).

11.2.3.6. Erstellung und elektronische Übermittlung von Rechnungen durch Dritte

1564b

Eine Rechnung kann im Namen und für Rechnung des Unternehmers von einem Dritten

ausgestellt werden (Rz 1505). Dies gilt auch für elektronisch übermittelte Rechnungen.

Bei der Einschaltung von Dritten werden eine oder mehrere natürliche Personen beim Dritten

bevollmächtigt, für den leistenden Unternehmer oder im Fall der Gutschrift für den

Leistungs-empfänger Rechnungen mit einer elektronischen Signatur zu versehen.

Die Anforderungen des § 11 Abs. 2 zweiter Unterabsatz UStG 1994 gelten nicht für die

Übermittlung der Daten vom leistenden Unternehmer oder vom Leistungsempfänger zum

Zweck der Rechnungserstellung an den Dritten. Der Dritte ist nach § 143 BAO verpflichtet,

dem Finanzamt die Prüfung des Verfahrens durch Erteilung von Auskünften und Vorlage von

Unterlagen zu gestatten.

Der Empfänger einer elektronisch übermittelten Rechnung, die mit einer fortgeschrittenen

Signatur versehen wurde, kann die Prüfung der Signatur auch auf einen Dritten übertragen.

Dies gilt insbesondere für die entsprechende Prüfung einer elektronisch übermittelten

Rechnung in Form einer Gutschrift mit einer elektronischen Signatur.

11.2.4. Aufbewahrungspflicht

11.2.4.1. Durchschriften und Abschriften von Rechnungen

1565



Durchschriften werden gleichzeitig mit dem Original hergestellt. Abschriften sind zeitlich

nachfolgende Ausfertigungen einer Urkunde, die inhaltlich mit dem Original übereinstimmen.

1566

Rechnungen können auf Datenträgern aufbewahrt werden, wenn die vollständige,

geordnete, inhaltsgleiche und urschriftgetreue Wiedergabe bis zum Ablauf der gesetzlichen

Aufbewahrungsfrist jederzeit gewährleistet ist (§ 132 Abs. 2 BAO). Eine solche

Aufbewahrung kann zum Beispiel durch Mikroverfilmung, Erfassen auf einer optischen

Speicherplatte oder durch Scannen erfolgen, sofern die elektronisch aufbewahrten Daten im

Nachhinein nicht verändert werden können.

11.2.4.2. Kleinbetragsrechnungen

1567

Die Aufbewahrungspflicht gilt grundsätzlich auch für Rechnungen, deren Gesamtbetrag

150 Euro nicht übersteigt und in denen das Entgelt und der Steuerbetrag in einer Summe

ausgewiesen werden dürfen (§ 11 Abs. 6 UStG 1994).

1568

Es ist jedoch nicht zu beanstanden, wenn Unternehmer, die in der Regel Kleinumsätze

bewirken (zB Tankstellen, Fremdenverkehrsbetriebe, Beförderungsunternehmer hinsichtlich

der Beförderung von Personen), von Rechnungen, deren Gesamtbetrag 75 Euro nicht

übersteigt, keine Durchschriften oder Abschriften anfertigen, soweit sie hiezu nicht nach den

Bestimmungen des § 129 BAO verpflichtet sind.

11.2.4.3. Grundstücke

1569

Aufzeichnungen und Unterlagen, die Grundstücke im Sinne des

§ 6 Abs. 1 Z 9 lit. a UStG 1994 betreffen, sind zwölf Jahre aufzubewahren

(§ 18 Abs. 10 UStG 1994).

11.2.4.4. Aufbewahrungspflichten hinsichtlich elektronischer Rechnungen

1570

Da eine auf elektronischem Weg übermittelte Rechnung nur unter der Voraussetzung als

Rechnung gilt, dass die Echtheit der Herkunft und die Unversehrtheit des Inhalts

gewährleistet ist, haben sowohl der Rechnungsaussteller als auch der Leistungsempfänger

auch die Nachweise über die Echtheit und die Unversehrtheit der Daten als Teil der

Rechnung aufzubewahren (elektronische Signatur, Signaturprüfprotokoll und Vereinbarung

betreffend EDI-Verfahren).

Randzahlen 1571 bis 1585: derzeit frei.



11.3. Erleichterung bei der Erstellung von Rechnungen


11.4. Schlüsselzahlen und Symbole


11.5. Getrennte Ausweise

11.5.1. Maschinelle Ermittlung des Steuerbetrages

1621

Wird in einer Rechnung der Steuerbetrag für Lieferungen oder sonstige Leistungen, die

verschiedenen Steuersätzen unterliegen, durch Maschinen (zB Fakturierautomaten,

Datenverarbeitungsanlagen) automatisch ermittelt und durch diese in der Rechnung

angegeben, so ist der Ausweis des Steuerbetrages in einer Summe zulässig, wenn für die

einzelnen Posten der Rechnung der maßgebliche Steuersatz angegeben wird. Dabei kann an

Stelle des Steuersatzes eine Kennziffer oder ein Symbol verwendet werden, falls auf der

Rechnung eine entsprechende Erläuterung erfolgt. Der angewendete Steuersatz ist in der

Erläuterung ausdrücklich anzuführen.

Beispiel:

Ware A 10.000 Euro 1

Ware B 5.000 Euro 2

15.000 Euro

USt 2.500 Euro

Gesamtrechnungsbetrag 17.500 Euro

1 = 20% USt

2 = 10% USt

11.5.2. Nichtsteuerbare oder steuerfreie Umsätze

1622

Wenn in einer Rechnung neben steuerpflichtigen Umsätzen, die verschiedenen Steuersätzen

unterliegen, auch nichtsteuerbare oder steuerfreie Umsätze abgerechnet werden, so kann

die Kennzeichnung der nichtsteuerbaren oder der steuerfreien Umsätze gleichfalls durch

Kennziffern oder Symbole erfolgen, wenn diese auf der Rechnung übersichtlich erläutert

werden.



11.5.3. Geschenkkörbe

1623

Geschenkkörbe, die insbesondere von Feinkost- und Delikatessengeschäften geliefert

werden, enthalten in der Regel neben Waren, die dem allgemeinen Steuersatz von 20%

unterliegen, auch Erzeugnisse, die mit dem ermäßigten Steuersatz von 10% zu versteuern

sind. In diesen Fällen kann in den Rechnungen als handelsübliche Bezeichnung des

Liefergegenstandes lediglich "Geschenkkorb" angegeben werden. Die Mengen und die

handelsüblichen Bezeichnungen der im Geschenkkorb enthaltenen Gegenstände brauchen in

der Rechnung nicht genannt zu werden. Enthält der Geschenkkorb Waren, auf deren

Lieferung teils der allgemeine und teils der ermäßigte Steuersatz anzuwenden ist, müssen in

der Rechnung die anteiligen Entgelte und die darauf entfallenden Steuerbeträge angegeben

werden. Bei Rechnungen, deren Gesamtbetrag 150 Euro nicht übersteigt, genügt es, den

Verkaufspreis (Entgelt und Steuerbetrag) nach den Anteilen an begünstigten und

nichtbegünstigten Waren aufzuteilen und neben den Verkaufspreisen den jeweiligen

Steuersatz anzugeben.

Beispiel:

1 Geschenkkorb

Anteil begünstigter Waren (10% USt) 22 Euro

Anteil nicht begünstigter Waren (20% USt) 48 Euro

Gesamtrechnungsbetrag 70 Euro

1624

Das Gleiche gilt sinngemäß auch für Sachgesamtheiten anderer Art, bei denen die einzelnen

Waren mit verschiedenen Steuersätzen zu versteuern sind.

Erlangt der Pensionsgast bei Pauschalangeboten mit Bezahlung des Halbpensionspreises ua.

einen Anspruch auf die Konsumation bestimmter Getränke während des Abendessens, muss

in wirtschaftlicher Betrachtungsweise von einem Zusammenhang zwischen der Berechtigung

zum Konsum von bestimmten Getränken zum Abendessen und der Entgelt-leistung der

Letztverbraucher für die Halbpensiong gesprochen werden. Eine Verknüpfung zwischen dem

Leistungspaket des Unternehmers und den dafür von den Pensionsgästen geleisteten

Entgelten liegt auch dann vor, wenn aus Werbegründen kein gesonderter Ausweis der auf

die einzelnen Leistungen entfallenden Entgeltteile erfolgt. Das Pauschal-entgelt ist daher auf

sämtliche Leistungskomponenten zu verteilen: Dabei wäre die Bewertung einer einzelnen

Komponente mit dem Einkaufspreis nur dann sachgerecht, wenn auch alle anderen



Leistungskomponenten zu "Einkaufswerten" dem Konsumenten weiter-verrechnet werden

(VwGH 27.6.2000, 95/14/0108). Siehe auch Rz 1207 zu All Inklusive.

11.6. Kleinbetragsrechnungen

1625

Es bleibt dem Unternehmer unbenommen, auch bei Rechnungen, deren Gesamtbetrag

150 Euro nicht übersteigt, Entgelt und Steuerbetrag gesondert auszuweisen. Auch in

Rechnungen, deren Gesamtbetrag 150 Euro nicht übersteigt, ist die Trennung der Entgelte

nach Steuersätzen zu beachten, wenn die gelieferten Gegenstände oder die ausgeführten

sonstigen Leistungen verschiedenen Steuersätzen unterliegen. Auf Rz 1623 und Rz 1624 wird

in diesem Zusammenhang hingewiesen.

1626

Einheitliche Leistungen, denen ein Rechnungsbetrag von mehr als 150 Euro entspricht,

können nicht in mehreren Rechnungen abgerechnet werden. Werden jedoch - auch zum

selben Zeitpunkt - mehrere Leistungen erbracht, können auch mehrere

Kleinbetragsrechnungen ausgestellt werden, wenn die einzelne Rechnung den maßgeblichen

Gesamtbetrag nicht überschreitet.


11.7. Gutschriften als Rechnung

1638

Die Möglichkeit der Abrechnung per Gutschrift ist nicht auf bestimmte Branchen

eingeschränkt.

11.7.1. Berechtigung zum gesonderten Steuerausweis

1639

Der Unternehmer, der die Lieferungen oder sonstigen Leistungen ausführt (Empfänger der

Gutschrift), muss zum gesonderten Ausweis der Steuer in einer Rechnung im Sinne des

§ 11 Abs. 1 UStG 1994 berechtigt sein.

1640

Ist der Unternehmer nicht zum gesonderten Ausweis der Steuer berechtigt, steht dem

Leistungsempfänger kein Vorsteuerabzug zu (EuGH 13.12.1989, Rs C-342/87, "Genius";

VwGH 25.2.1998, 97/14/0107). Bezüglich Ausnahmen von diesem Grundsatz siehe

Rz 1825 ff.

11.7.2. Einverständnis

1641



Ob das Einverständnis vorliegt, ist unter Rückgriff auf die zivilrechtlichen Regeln über

Rechtsgeschäfte zu beurteilen. Auf welche Art und Weise das Einverständnis hergestellt wird,

ist unmaßgeblich. Zur Vermeidung von Zweifeln ist einer schriftlichen Vereinbarung der

Vorzug zu geben. Die Unterwerfung unter die Allgemeinen Geschäftsbedingungen ist als

Einverständnis zu werten (VwGH 23.6.1983, 82/15/0023). Stillschweigen des leistenden

Unternehmers wird in aller Regel kein Einverständnis bewirken. Insbesondere ist

Einverständnis auch dann erforderlich, wenn die vom leistenden Unternehmer übermittelte

Rechnungsurkunde unvollständig oder fehlerhaft ist und im Hinblick auf den Vorsteuerabzug

vom Leistungsempfänger ergänzt oder berichtigt wird. Verweigert der leistende Unternehmer

die Ausfertigung einer Rechnung nach § 11 Abs. 1 UStG 1994 überhaupt, vermittelt die

Erstellung und Zusendung einer Gutschrift jedenfalls keinen Anspruch auf den

Vorsteuerabzug.

11.7.3. Zuleitung

1642

Die Gutschrift muss dem Unternehmer, der die steuerpflichtige Lieferung oder sonstige

Leistung ausgeführt hat, zugeleitet worden sein. Die Beweislast über diesen Umstand trifft

den Leistungsempfänger (Aussteller der Gutschrift).

11.7.4. Widerspruch

1643

Nach § 11 Abs. 7 dritter Satz UStG 1994 verliert die Gutschrift die Wirkung einer Rechnung,

soweit der leistende Unternehmer (Empfänger der Gutschrift) dem in ihr enthaltenen

Steuerbetrag widerspricht. Dadurch wird der leistende Unternehmer von den Rechtsfolgen

einer abstrakten Steuerschuld nach § 11 Abs. 12 und 14 UStG 1994 (VwGH 23.6.1983,

82/15/0026; 16.3.1987, 85/15/0329) bewahrt. Das Erfordernis der Erhebung eines

Widerspruchs setzt zwangsläufig eine dem Grunde nach wirksame Gutschrift ("soweit")

voraus, insbesondere das Vorliegen eines rechtswirksamen Einverständnisses. Eine

(rechtswirksame) Gutschrift liegt etwa auch dann vor, wenn eine als "Rechnung" bezeichnete

Abrechnung auf Grund des Datenmaterials des Leistungsempfängers mittels dessen EDV-

Anlage erstellt wird und der Leistende an der Erstellung der Abrechnung in keiner Weise

mitwirkt oder gar nicht mitwirken kann, weil er die erforderlichen Daten nicht besitzt. Die

Bezeichnung der Abrechnung als "Rechnung" ändert nichts am Vorliegen einer Gutschrift.

Auch eine allfällige Unterschriftsleistung des Leistenden auf der Abrechnung führt nicht zur

Umwandlung von einer Gutschrift in eine Rechnung, sondern kann als Bestätigung gewertet

werden, dass der Leistende der Gutschrift nicht widerspricht. Der Empfänger der Gutschrift

kann dem in der Gutschrift angeführten Steuerbetrag zur Gänze oder nur hinsichtlich eines



Teilbetrages widersprechen. Im Ausmaß des erhobenen Widerspruchs gilt der davon

betroffene Steuerbetrag als nicht mehr gesondert ausgewiesen. Ein erhobener Widerspruch

entfaltet nur dann seine Wirksamkeit, wenn er dem Leistungsempfänger (Aussteller der

Gutschrift) zugegangen ist (Wirkung ex nunc).


11.8. Voraussetzungen für Gutschriften als Rechnung


11.9. Fahrausweise als Rechnung

11.9.1. Fahrausweise allgemein

1691

Unter Fahrausweisen sind Urkunden zu verstehen, die zur Inanspruchnahme von

Personenbeförderungsleistungen berechtigen, also einen Beförderungsanspruch des

Inhabers dokumentieren. Als Fahrausweise sind ua. Fahrscheine und Fahrkarten für

Einzelfahrten, Flugscheine, Mehrfahrtenblocks, Monats- oder Jahreskarten, Kilometerbanken,

Bahnkontokarten, Zuschlagskarten, Platzkarten, Liege- und Schlafwagenkarten anzusehen.

Keine Fahrausweise sind dagegen Belege, die mit der Beförderung selbst nichts zu tun

haben. Dazu gehören bloße Quittungen über die Bezahlung des Kaufpreises.

Aufgrund der seit 1. Jänner 2004 geltenden Rechtslage haben Fahrausweise neben den im §

11 Abs. 9 UStG 1994 genannten Angaben jedenfalls ein Ausstellungsdatum sowie nunmehr

in allen Fällen (auch im Eisenbahn-Personenverkehr) die Angabe des Steuersatzes zu

enthalten. Fehlt es an diesen Mindestangaben, gelten Fahrausweise nicht als Rechnungen im

Sinne des § 11 Abs. 1 UStG 1994 und berechtigen daher auch nicht zum Vorsteuerabzug

gemäß § 12 UStG 1994.

Flugscheine für Inlandsflüge, die mittels elektronischer Bereitstellung im Internet (Online-

Verfahren) abgerufen bzw. erworben werden, gelten als Rechnungen, wenn gewährleistet

ist, dass eine Belastung auf einem Kunden- oder Kreditkonto erfolgt und systemmäßig

sichergestellt ist, dass ein Doppelausdruck von Flugscheinen unterbunden ist bzw. allenfalls

angeforderte Duplikate als solche gekennzeichnet werden. Auf Grundlage des ausgedruckten

„Original“-Flugscheines kann der Vorsteuerabzug vorgenommen werden.

11.9.2. Eisenbahn-Personenverkehr

1692

Eine Beförderung im Eisenbahn-Personenverkehr liegt vor, wenn die Personenbeförderung

durch Eisenbahnen im Sinne des EBG 1957, BGBl. Nr. 60/1957, erfolgt. Zu den Eisenbahnen



im Sinne dieses Gesetzes zählen neben den Eisenbahnen im engeren Sinne die Haupt- und

Nebenbahnen, Straßenbahnen sowie Standseilbahnen, Seilschwebebahnen und Sessellifte,

nicht hingegen Schlepplifte. Fahrausweise dieser Eisenbahnen für die Beförderung von

Personen gelten aufgrund der bis 31. Dezember 2003 geltenden Rechtslage auch dann als

Rechnung im Sinne des § 11 Abs. 1 UStG 1994, wenn sie die Angabe des Steuersatzes

(10%) nicht enthalten. Zur Rechtslage ab 1. Jänner 2004 siehe Rz 1691.

11.9.3. Zuschlagskarten

1693

Für Zuschlagskarten, Platz-, Liege- und Schlafwagenkarten usw. gelten die für Fahrausweise

aufgestellten Grundsätze sinngemäß. Als Fahrausweise, die das Anrecht auf eine

Beförderung zum Ausdruck bringen (Berechtigungsausweise), gelten auch Flugscheine.

11.9.4. Taxifahrten

1694

Belege über die Benutzung von Platz- und Mietwagen (Taxi) gelten nicht als Fahrausweise im

Sinne des § 11 Abs. 9 UStG 1994.

11.9.5. Liftkarten oder Skipässe

1695

Liftkarten bzw. Skipässe (auch im Tarifverbund) enthalten in der Regel nicht alle Merkmale

einer Rechnung iSd § 11 UStG 1994. Darüber hinaus werden Skipässe immer mehr in Form

von Chipkarten mit Pfandeinsatz ausgegeben, die nach Ablauf der Gültigkeitsperiode wieder

dem Liftbetreiber gegen Pfandrückersatz zurückgegeben werden. Die Liftunternehmen haben

daher gegenüber vorsteuerabzugsberechtigten Unternehmern (zB Hotelbetreiber)

Rechnungen iSd § 11 UStG 1994 auszustellen.


11.10. Grenzüberschreitender Personenverkehr

1711

Fahrausweise im grenzüberschreitenden Personenverkehr gelten nur dann als Rechnung im

Sinne des § 11 Abs. 1 UStG 1994, wenn durch den Beförderungsunternehmer oder seinen

Beauftragten bescheinigt wird, welcher Anteil des Beförderungspreises auf die inländische

Strecke entfällt. Neben der Angabe des Beförderungspreises für die inländische Strecke

(Beförderungsentgelt einschließlich USt) hat die Bescheinigung auch eine Angabe über die

Höhe des Steuersatzes zu enthalten. Der Reisende, der Unternehmer ist und die

Beförderungsleistung für sein Unternehmen in Anspruch nimmt, hat auf die Erteilung einer

solchen Bescheinigung einen Rechtsanspruch (§ 11 Abs. 10 UStG 1994).



1712

Die Bescheinigung ist vom Beförderungsunternehmer oder seinem Beauftragten zu erteilen.

Es können derartige Bescheinigungen auch von allen jenen Stellen ausgestellt werden, die

von einem Beförderungsunternehmer zur Ausgabe von Fahrausweisen für eine

grenzüberschreitende Personenbeförderung berechtigt sind (zB Reisebüros).


11.11. Reisegepäck

1721

Die Beförderung von Reisegepäck stellt im Zusammenhang mit einer Personenbeförderung

eine Nebenleistung dar und teilt daher umsatzsteuerrechtlich das Schicksal der

Hauptleistung. Für die Beförderung von Reisegepäck gelten daher die gleichen

Bestimmungen wie für die Personenbeförderung. Die für Fahrausweise getroffene Regelung

(auch bezüglich des grenzüberschreitenden Verkehrs) ist sinngemäß auch für Belege im

Reisegepäckverkehr anzuwenden (§ 11 Abs. 11 UStG 1994).


11.12. Unrichtiger Steuerausweis

11.12.1. Erhöhter Steuerausweis

1733

Der Unternehmer schuldet für einen Umsatz grundsätzlich jenen Steuerbetrag, der sich bei

Heranziehung des Entgeltes unter Anwendung des entsprechenden Steuersatzes ergibt. Hat

der Unternehmer jedoch in einer Rechnung für eine Lieferung oder sonstige Leistung einen

höheren Steuerbetrag ausgewiesen, so schuldet er diesen Betrag auf Grund der Rechnung.

Das Gleiche gilt auch für Gutschriften, soweit der Gutschriftempfänger hinsichtlich des

ausgewiesenen Steuerbetrages der Gutschrift nicht widerspricht.

Zu einer Steuerschuld aufgrund der Rechnungslegung kommt es auch bei Kleinbetrags-

rechnungen (§11 Abs. 6 UStG 1994) mit unrichtiger (= überhöhter) Steuersatzangabe. Die

Angabe des Bruttoentgeltes in Verbindung mit dem Steuersatz hat bei

Kleinbetragsrechnungen die Wirkung eines gesondert ausgewiesenen Steuerbetrages.

1734

Beispiel:

Entgelt 2.350 Euro



+ 20% USt (fehlerhafte Berechnung) 490 Euro

Gesamtrechnungsbetrag, der auch bezahlt wird 2.840 Euro

Der Unternehmer schuldet 490 Euro (473,33 Euro auf Grund des Umsatzes und 16,67 Euro

auf Grund der Inrechnungstellung), obwohl die Steuer (20% von 2.350 Euro) nur 470 Euro

beträgt. Der Rechnungsempfänger kann bei Zutreffen der Voraussetzungen gemäß § 12

UStG 1994 den ausgewiesenen Steuerbetrag als Vorsteuer geltend machen.

11.12.2. Berichtigungsmöglichkeit bei erhöhtem Steuerausweis

1735

Der Unternehmer hat das Recht, eine Rechnung (Gutschrift) hinsichtlich des ausgewiesenen

Steuerbetrages zu berichtigen. Eine allenfalls zu einem späteren Zeitpunkt vorgenommene

Berichtigung einer Rechnung ändert jedoch nichts daran, dass der zu hoch ausgewiesene

Steuerbetrag gemäß § 11 Abs. 12 UStG 1994 geschuldet wird. Im Falle der Berichtigung

kommt es hinsichtlich des berichtigten Betrages gemäß § 11 Abs. 12 UStG 1994 zu einer

Gutschrift in jenem Veranlagungszeitraum (Voranmeldungszeitraum), in dem die

Berichtigung der Rechnung vorgenommen wurde (§ 11 Abs. 12 in Verbindung mit

§ 16 Abs. 1 UStG 1994).

11.12.3. Verminderter Steuerausweis

1736

Hat ein Unternehmer in einer Rechnung einen geringeren Steuerbetrag ausgewiesen, als

dem Leistungsumfang entspricht, so hat dies keinen Einfluss auf seine tatsächliche

Steuerschuld. Es ist dabei ohne Bedeutung, ob der unrichtige Steuerausweis auf einen

Rechenfehler zurückzuführen ist oder ob ein zu niedriger Steuersatz angewendet wurde. Das

Entgelt - als Basis für die Ermittlung der Steuerschuld - leitet sich aus dem Gesamtbetrag

(Bruttobetrag) ab.

Beispiel:

Entgelt 2.000 Euro

+ 10% USt (statt richtigerweise 20%) 200 Euro

Gesamtrechnungsbetrag, der auch bezahlt wird 2.200 Euro

1737

Der Unternehmer schuldet den aus dem Bruttobetrag herausgerechneten Normalsteuersatz

von 366,66 Euro (2.200 Euro x 0,166666). Der Rechnungsempfänger kann bei Zutreffen der



Voraussetzungen gemäß § 12 UStG 1994 nur den ausgewiesenen Steuerbetrag (200 Euro)

als Vorsteuer geltend machen.

11.12.4. Berechtigung zur Rechnungsberichtigung

1738

Der Rechnungsempfänger ist grundsätzlich nicht berechtigt, eine erhaltene Rechnung, die

zum Nachweis des Vorsteuerabzuges dient, selbst zu berichtigen. Die Berichtigung einer

hinsichtlich des Steuerbetrages unrichtig ausgestellten Rechnung kann nur der

Rechnungsaussteller vornehmen. Eine einseitige Berichtigung der Angaben in einer

Rechnung durch den Leistungsempfänger im Allgemeinen und hinsichtlich des

ausgewiesenen Steuerbetrages im Besonderen hat nicht die Wirkung einer Berichtigung der

Rechnung im Sinne des Umsatzsteuergesetzes (§ 11 Abs. 12 in Verbindung mit

§ 16 Abs. 1 UStG 1994). Aus anderen Gründen erforderliche Rechnungskorrekturen (zB bei

Rückwaren oder nicht vertragsgemäßer Lieferung) können jedoch durch den

Leistungsempfänger mit einer entsprechenden Belastungsnote erfolgen. Derartige Belege

können jedoch nur unter den für die Erteilung von Gutschriften vorgesehenen Bedingungen

als Rechnungen (Gutschriften) anerkannt werden.

11.12.5. Berichtigung einer Rechnung mit Steuerausweis im

Zusammenhang mit Liebhaberei

1739

Die Beurteilung der Frage, ob im Zusammenhang mit einer Tätigkeit auf Dauer gesehen

Gewinne oder Einnahmenüberschüsse erzielt werden, ist oft erst nach einem mehrjährigen

Beobachtungszeitraum möglich. Zunächst ist es häufig noch ungewiss, ob die Tätigkeit im

Rahmen eines Unternehmens ausgeübt wird und die Einnahmen daher umsatzsteuerbar sind

oder ob die Tätigkeit im Sinne des § 2 Abs. 5 Z 2 UStG 1994 als nicht unternehmerisch gilt

und die Einnahmen daher nicht der USt unterliegen. Werden in einem solchen Fall bis zur

endgültigen Klärung der Unternehmereigenschaft Rechnungen mit Steuerausweis ausgestellt,

so können diese Rechnungen in sinngemäßer Anwendung des § 11 Abs. 12 UStG 1994

nachträglich berichtigt werden (VwGH 16.12.1980, 1641/79, 1805/79; 19.1.1984,

83/15/0010).

1740

Hinsichtlich der Berichtigung von Rechnungen im Allgemeinen und im Touristenexport wird

auf die Rz 1533 bis Rz 1556 verwiesen.




11.13. Nachträgliche Entgeltsminderung -

Wechseldiskontierung

1756

Der in einer Rechnung ausgewiesene Steuerbetrag wird auf Grund der Rechnung nicht

geschuldet, wenn das Entgelt sich wegen Zahlungsabzügen jeder Art vermindert hat

(zB Skonto, Rabatte, Nachlässe). Nach § 11 Abs. 13 UStG 1994 ist die Berichtigung einer

Rechnung wegen einer Entgeltsminderung zur Vermeidung einer Steuerschuld auf Grund der

Rechnung nach § 11 Abs. 12 UStG 1994 nur erforderlich, wenn sich das Entgelt wegen des

Abzuges von Wechselvorzinsen (Diskontzinsen) vermindert hat. Die Berichtigung der Steuer

aus diesem Grunde setzt voraus, dass der Unternehmer seinem Abnehmer eine berichtigte

Rechnung erteilt. Ohne Rechnungsberichtigung darf der Unternehmer seine Steuerschuld im

Zusammenhang mit einer Wechseldiskontierung nicht mindern. Es kann jedoch im Falle der

Wechseldiskontierung von der Berichtigung der Rechnung absichtlich Abstand genommen

werden, um dem Abnehmer nicht die näheren Umstände der Rechnungsberichtigung

mitteilen zu müssen. Eine Berichtigung der Steuerschuld darf dabei nicht erfolgen;

demgemäß ist dann auch eine Kürzung des Vorsteuerabzuges beim Abnehmer nicht

erforderlich.


11.14. Unberechtigter Steuerausweis

1771

Die Steuerschuld nach § 11 Abs. 14 UStG 1994 hat zur Voraussetzung, dass eine solche

Rechnung erstellt wird, die formal die Voraussetzungen des § 11 Abs. 1 UStG 1994 erfüllt

(siehe Rz 1505 ff). Der Zweck der Regelung liegt darin, einem unberechtigten

Vorsteuerabzug - eine Rechnung ist Voraussetzung für den Vorsteuerabzug - vorzubeugen

(VwGH 26.6.2001, 2001/14/0023).

Eine zu Unrecht in Rechnung gestellte Mehrwertsteuer kann berichtigt werden, wenn der

Aussteller der Rechnung die Gefährdung des Steueraufkommens rechtzeitig und vollständig

beseitigt hat, ohne dass eine solche Berichtigung vom guten Glauben des Ausstellers der

betreffenden Rechnung abhängig gemacht werden darf (EuGH 19.9.2000, Rs C-454/98,

"Schmeink & Cofreth und Strobel").

1772

Ist eine Anzahlung für eine in weiterer Folge nicht ausgeführte Leistung entrichtet worden

und hat der Unternehmer darüber eine (Anzahlungs)Rechnung mit Ausweis der

Umsatzsteuer gelegt, schuldet er den ausgewiesenen Betrag gemäß § 11 Abs. 14 UStG 1994,




solange er die Rechnung nicht berichtigt. Das gilt zB auch dann, wenn die Anzahlung als

Stornogebühr verfällt.

Beispiel:

Ein Hotelier erhält eine Anzahlung über 100 Euro für eine Nächtigung und stellt eine Rechnung mit 10% ausgewiesener Umsatzsteuer aus. Der Gast erscheint nicht und der Hotelier behält die Anzahlung ein.

Bei dem einbehaltenen Betrag handelt es sich zwar um nicht steuerbaren echten Schadenersatz, der Hotelier schuldet den ausgewiesenen Steuerbetrag jedoch aufgrund der Rechnung. Berichtigt er die Rechnung gegenüber dem Gast, kann er die erfolgte Besteuerung der Anzahlung rückgängig machen.

Zur Vermeidung der Steuerschuld aufgrund der Rechnungslegung in anderen Fällen von Abrechnungen über Anzahlungen siehe Rz 1524.


DE Amtsblatt der Europäischen Gemeinschaften 17.1.2002L 15/24

RICHTLINIE 2001/115/EG DES RATESvom 20. Dezember 2001

zur Änderung der Richtlinie 77/388/EWG mit dem Ziel der Vereinfachung, Modernisierung undHarmonisierung der mehrwertsteuerlichen Anforderungen an die Rechnungstellung

DER RAT DER EUROPÄISCHEN UNION —

gestützt auf den Vertrag zur Gründung der EuropäischenGemeinschaft, insbesondere auf Artikel 93,

auf Vorschlag der Kommission (1),

nach Stellungnahme des Europäischen Parlaments (2),

nach Stellungnahme des Wirtschafts- und Sozialausschusses (3),

in Erwägung nachstehender Gründe:

(1) Zurzeit stellt Artikel 22 Absatz 3 in der Fassung inArtikel 28h der Sechsten Richtlinie 77/388/EWG desRates vom 17. Mai 1977 zur Harmonisierung derRechtsvorschriften der Mitgliedstaaten über die Umsatz-steuern — Gemeinsames Mehrwertsteuersystem: einheit-liche steuerpflichtige Bemessungsgrundlage (4) an dieRechnungstellung nur relativ wenige Anforderungen,und die Mitgliedstaaten legen die wichtigsten Pflichtenselbst fest. Die Anforderungen sind außerdem angesichtsneuer Technologien und Methoden bei der Rechnung-stellung nicht mehr angemessen.

(2) In dem Bericht der Kommission über die zweite Phaseder SLIM-Initiative (Vereinfachung der Rechtsvor-schriften im Binnenmarkt) wurde empfohlen, die bei derAusstellung einer MWSt.-Rechnung erforderlichenAngaben sowie die rechtlichen und technischen Anfor-derungen für die elektronische Rechnungstellung zuprüfen.

(3) Der Rat (Wirtschaft und Finanzen) wies im Juni 1998 inseinen Schlussfolgerungen auf die Notwendigkeit hin, fürdie elektronische Rechnungstellung unter Wahrung derKontrollmöglichkeiten der Steuerverwaltungen einenRechtsrahmen zu schaffen.

(4) Um ein reibungsloses Funktionieren des Binnenmarktszu gewährleisten, ist es daher notwendig, auf Gemein-schaftsebene für die Zwecke der MWSt. eine harmoni-sierte Liste der Angaben, die jede Rechnung enthaltenmuss, aufzustellen und für die elektronische Rechnung-stellung, die elektronische Aufbewahrung der Rech-nungen und für die Gutschrift sowie die Verlagerung derRechnungstellung auf Dritte eine Reihe gemeinsamerModalitäten festzulegen.

(5) Hinsichtlich der Aufbewahrung der Rechnungen schließ-lich müssen die durch die Richtlinie 95/46/EG desEuropäischen Parlaments und des Rates vom 24.Oktober 1995 zum Schutz natürlicher Personen bei der

Verarbeitung personenbezogener Daten und zum freienDatenverkehr (5) festgelegten Bedingungen eingehaltenwerden.

(6) Griechenland hat seit der Einführung derMWSt.-Übergangsregelung 1993 das Präfix „EL“ anstelledes Präfixes „GR“ beibehalten, das nach dem internatio-nalen Standardcode ISO-3166 Alpha 2 vorgesehen ist,auf den in Artikel 22 Absatz 1 Buchstabe d) Bezuggenommen wird. Wegen der Folgen, die eine Änderungdes Präfixes für alle Mitgliedstaaten hätte, sollte für Grie-chenland eine Ausnahmeregelung vorgesehen werden, sodass die ISO-Norm in Griechenland keine Anwendungfindet.

(7) Die Richtlinie 77/388/EWG ist daher entsprechend zuändern —

HAT FOLGENDE RICHTLINIE ERLASSEN:

Artikel 1

Die Richtlinie 77/388/EWG wird gemäß den folgenden Arti-keln geändert.

Artikel 2

In Artikel 28h (der Artikel 22 der Richtlinie ersetzt) wirdArtikel 22 wie folgt geändert:

1. Absatz 1 Buchstabe d) wird durch folgenden Satz ergänzt:

„Die Hellenische Republik wird jedoch ermächtigt, das Präfix‚EL‘ zu verwenden.“

2. Absatz 3 erhält folgende Fassung:

„(3) a) Jeder Steuerpflichtige stellt für die Lieferungen vonGegenständen oder die Dienstleistungen, die er aneinen anderen Steuerpflichtigen oder an eine nicht-steuerpflichtige juristische Person bewirkt, eine Rech-nung entweder selbst aus, oder er trägt dafür Sorge,dass eine Rechnung von seinem Kunden oder inseinem Namen und für seine Rechnung von einemDritten ausgestellt wird. Ebenso hat jeder Steuer-pflichtige für die in Artikel 28b Teil B Absatz 1genannten Lieferungen von Gegenständen und fürunter den Bedingungen des Artikels 28c Teil Aausgeführte Lieferungen von Gegenständen eineRechnung entweder selbst auszustellen oder dafürSorge zu tragen, dass eine Rechnung von seinemKunden oder in seinem Namen und für seine Rech-nung von einem Dritten ausgestellt wird.

(1) ABl. C 96 E vom 27.3.2001, S. 145.(2) Stellungnahme vom 13. Juni 2001 (noch nicht im Amtsblatt veröf-

fentlicht).(3) ABl. C 193 vom 10.7.2001, S. 53.(4) ABl. L 145 vom 13.6.1977, S. 1. Richtlinie zuletzt geändert durch

die Richtlinie 2001/4/EG (ABl. L 22 vom 24.1.2001, S. 17). (5) ABl. L 281 vom 23.11.1995, S. 31.

DE Amtsblatt der Europäischen Gemeinschaften17.1.2002 L 15/25

Ebenso hat jeder Steuerpflichtige für die Vorauszah-lungen, die er von einem anderen Steuerpflichtigenoder von einer nichtsteuerpflichtigen juristischenPerson erhält, bevor eine der in Unterabsatz 1genannten Lieferungen von Gegenständen oderDienstleistungen bewirkt ist, entweder selbst eineRechnung auszustellen oder dafür Sorge zu tragen,dass eine Rechnung von seinem Kunden oder inseinem Namen und für seine Rechnung von einemDritten ausgestellt wird.

Die Mitgliedstaaten können Steuerpflichtigen dieVerpflichtung auferlegen, eine Rechnung auch fürandere als die in den vorstehenden Unterabsätzengenannten Lieferungen von Gegenständen oderDienstleistungen auszustellen, die sie in ihremHoheitsgebiet bewirken. Dabei können die Mitglied-staaten geringere Anforderungen in Bezug auf dieseRechnungen stellen, als unter den Buchstaben b), c)und d) aufgeführt sind.

Die Mitgliedstaaten können Steuerpflichtige von derVerpflichtung befreien, eine Rechnung für Liefe-rungen von Gegenständen oder Dienstleistungenauszustellen, die sie in ihrem Hoheitsgebiet bewirkenund die mit oder ohne Erstattung der auf der voraus-gehenden Stufe entrichteten Steuern nach Artikel 13sowie Artikel 28 Absatz 2 Buchstabe a) und Absatz 3Buchstabe b) steuerbefreit sind.

Jedes Dokument oder jede Mitteilung, die zu Verän-derungen der ursprünglichen Rechnung führt undspezifisch und eindeutig auf diese bezogen ist, isteiner Rechnung gleichgestellt. Die Mitgliedstaaten, inderen Hoheitsgebiet die Lieferungen von Gegen-ständen oder die Dienstleistungen bewirkt werden,können die Steuerpflichtigen von der Verpflichtungbefreien, diese Dokumente oder Anzeigen mitbestimmten obligatorischen Angaben zu versehen.

Die Mitgliedstaaten können Steuerpflichtigen, die inihrem Hoheitsgebiet die Lieferung von Gegenständenoder Dienstleistungen bewirken, Fristen für die Rech-nungstellung setzen.

Unter den Voraussetzungen, die von den Mitglied-staaten festzulegen sind, in deren Hoheitsgebiet dieLieferungen von Gegenständen oder die Dienstleis-tungen bewirkt werden, kann für mehrere getrennteLieferungen oder Dienstleistungen periodisch einezusammenfassende Rechnung ausgestellt werden.

Rechnungen können von einem Kunden des Steuer-pflichtigen für Lieferungen von Gegenständen oderfür Dienstleistungen, die von diesem Steuerpflich-tigen bewirkt werden, ausgestellt werden, sofern dieszwischen den beiden Parteien in einer vorherigenVereinbarung festgelegt wurde und sofern jede Rech-nung Gegenstand eines Verfahrens zur Akzeptierungjeder Rechnung durch den Steuerpflichtigen ist, derdie Lieferungen von Gegenständen oder die Dienst-leistungen bewirkt. Die Mitgliedstaaten, in derenHoheitsgebiet die Lieferungen von Gegenständenoder die Dienstleistungen bewirkt werden, legen dieBedingungen und Modalitäten der vorherigen Verein-barungen sowie Verfahren zur Rechnungsakzeptie-rung zwischen dem Steuerpflichtigen und seinemKunden fest.

Die Mitgliedstaaten können für Steuerpflichtige, diein ihrem Hoheitsgebiet Lieferungen von Gegen-ständen oder Dienstleistungen bewirken, weitereAnforderungen für die Ausstellung von Rechnungendurch ihre Kunden festlegen. Sie können insbeson-dere verlangen, dass solche Rechnungen im Namenund für Rechnung des Steuerpflichtigen ausgestelltwerden. Auf jeden Fall müssen unabhängig vom Sitzdes Kunden dieselben Anforderungen gelten.

Die Mitgliedstaaten können für Steuerpflichtige, dieLieferungen von Gegenständen oder Dienstleistungenin ihrem Hoheitsgebiet bewirken, außerdem beson-dere Anforderungen festlegen, wenn der Dritte oderder Kunde, der die Rechnungen ausstellt, seinen Sitzin einem Land hat, mit dem keine Rechtsvereinba-rung über die gegenseitige Amtshilfe besteht, derenAnwendungsbereich mit dem der Richtlinie 76/308/EWG des Rates vom 15. März 1976 über diegegenseitige Unterstützung bei der Beitreibung vonForderungen in Bezug auf bestimmte Abgaben, Zölle,Steuern und sonstige Maßnahmen (*) und der Richt-linie 77/799/EWG des Rates vom 19. Dezember1977 über die gegenseitige Amtshilfe zwischen denzuständigen Behörden der Mitgliedstaaten im Bereichder direkten und indirekten Steuern (**) sowie derVerordnung (EWG) Nr. 218/92 des Rates vom 27.Januar 1992 über die Zusammenarbeit der Verwal-tungsbehörden auf dem Gebiet der indirektenBesteuerung (MWSt.) (***) vergleichbar ist.

b) Unbeschadet der in dieser Richtlinie festgelegtenSonderbestimmungen müssen gemäß Buchstabe a)Unterabsätze 1, 2 und 3 ausgestellte Rechnungen fürMehrwertsteuerzwecke nur die folgenden Angabenenthalten:

— das Ausstellungsdatum,

— eine fortlaufende Nummer mit einer odermehreren Zahlenreihen, die zur Identifizierungder Rechnung einmalig vergeben wird,

— die Umsatzsteuer-Identifikationsnummer nachAbsatz 1 Buchstabe c), unter der der Steuerpflich-tige die Lieferung von Gegenständen oder Dienst-leistungen bewirkt hat,

— die Umsatzsteuer-Identifikationsnummer desKunden nach Absatz 1 Buchstabe c), unter der ereine Lieferung von Gegenständen oder Dienstleis-tungen, für die er Steuerschuldner ist, oder eineLieferung von Gegenständen gemäß Artikel 28cTeil A erhalten hat,

— den vollständigen Namen und die vollständigeAnschrift des Steuerpflichtigen und seinesKunden,

— die Menge und die Art der gelieferten Gegen-stände oder den Umfang und die Art dererbrachten Dienstleistungen,

— das Datum, an dem die Lieferung der Gegen-stände oder die Dienstleistung bewirkt bzw. abge-schlossen wird, oder das Datum, an dem dieVorauszahlung nach Buchstabe a) Unterabsatz 2geleistet wird, sofern dieses Datum feststeht undnicht mit dem Ausstellungsdatum der Rechnungidentisch ist,


— die Besteuerungsgrundlage für jeden Steuersatzoder Befreiung, den Preis je Einheit ohne Steuersowie jede Preisminderung oder Rückerstattung,sofern sie nicht im Preis je Einheit enthalten sind,

— den anzuwendenden Steuersatz,

— den zu zahlenden Steuerbetrag, außer bei Anwen-dung einer speziellen Regelung, bei der nachdieser Richtlinie eine solche Angabe ausge-schlossen wird,

— bei Steuerbefreiung oder wenn der Kunde Steuer-schuldner ist: den Verweis auf die einschlägigeBestimmung dieser Richtlinie oder die entspre-chende einzelstaatliche Bestimmung oder einHinweis darauf, dass für die Leistung eine Steuer-befreiung gilt bzw. diese der Verlagerung derSteuerschuld unterliegt,

— bei innergemeinschaftlicher Lieferung neuer Fahr-zeuge: die in Artikel 28a Absatz 2 aufgeführtenAngaben,

— bei Differenzbesteuerung: den Verweis auf Artikel26 oder Artikel 26a oder auf die entsprechendeneinzelstaatlichen Bestimmungen oder ein andererHinweis darauf, dass die Differenzbesteuerungangewandt wurde,

— wenn der Steuerschuldner ein Steuervertreter imSinne von Artikel 21 Absatz 2 ist: die Umsatz-steuer-Identifikationsnummer nach Absatz 1Buchstabe c) des Steuervertreters, sein vollstän-diger Name und seine Anschrift.

Die Mitgliedstaaten können von Steuerpflichtigen, diein ihrem Hoheitsgebiet ansässig sind und dort Liefe-rungen von Gegenständen oder Dienstleistungenbewirken, verlangen, in anderen Fällen als nachUnterabsatz 1 vierter Gedankenstrich die Umsatz-steuer-Identifikationsnummer nach Absatz 1 Buch-stabe c) ihrer Kunden anzugeben.

Die Mitgliedstaaten fordern keine Unterschrift derRechnungen.

Die auf der Rechnung ausgewiesenen Beträge könnenin jeder Währung angegeben sein, sofern die zuzahlende Steuer nach der Umrechnungsmethodegemäß Artikel 11 Teil C Absatz 2 in der Landeswäh-rung des Mitgliedstaats angegeben ist, in dem dieLieferungen von Gegenständen durchgeführt oder dieDienstleistungen erbracht werden.

Wenn dies zu Kontrollzwecken erforderlich ist,können die Mitgliedstaaten verlangen, dass Rech-nungen, die sich auf die Lieferungen von Gegen-ständen oder Dienstleistungen in ihrem Hoheitsgebietbeziehen, sowie Rechnungen, die von Steuerpflich-tigen mit Sitz in ihrem Hoheitsgebiet empfangenwerden, in die Landessprache übersetzt werden.

c) Die gemäß Buchstabe a) ausgestellten Rechnungenkönnen auf Papier oder vorbehaltlich der Zustim-mung des Empfängers auf elektronischem Weg über-mittelt werden.

Elektronisch übermittelte Rechnungen werden vonden Mitgliedstaaten unter der Voraussetzung akzep-tiert, dass die Echtheit der Herkunft und die Unver-sehrtheit des Inhalts gewährleistet werden.

— entweder durch eine fortgeschrittene elektroni-sche Signatur im Sinne des Artikels 2 Nummer 2der Richtlinie 1999/93/EG des EuropäischenParlaments und des Rates vom 13. Dezember1999 über gemeinschaftliche Rahmenbedin-gungen für elektronische Signaturen (****); dieMitgliedstaaten können allerdings verlangen, dassdie fortgeschrittene elektronische Signatur aufeinem qualifizierten Zertifikat beruht und voneiner sicheren Signaturerstellungseinheit erstelltwird (Artikel 2 Nummern 6 und 10 dergenannten Richtlinie);

— oder durch elektronischen Datenaustausch (EDI)gemäß Artikel 2 der Empfehlung 94/820/EG derKommission vom 19. Oktober 1994 über dierechtlichen Aspekte des elektronischen Datenaus-tauschs (*****), wenn in der Vereinbarung überdiesen Datenaustausch der Einsatz von Verfahrenvorgesehen ist, die die Echtheit der Herkunft unddie Unversehrtheit der Daten gewährleisten; dieMitgliedstaaten können allerdings unter vonihnen festzulegenden Bedingungen verlangen,dass zusätzlich ein zusammenfassendes Doku-ment in Papierform erforderlich ist.

Die Rechnungen können vorbehaltlich der Zustim-mung des betreffenden Mitgliedstaats oder der betref-fenden Mitgliedstaaten auch auf andere Weise elek-tronisch übermittelt werden. Die Kommission legtspätestens am 31. Dezember 2008 einen Bericht —gegebenenfalls zusammen mit einem Vorschlag —zur Änderung der Bedingungen der elektronischenAusstellung von Rechnungen vor, damit etwaigekünftige technologische Entwicklungen in diesemBereich berücksichtigt werden können.

Die Mitgliedstaaten können den Steuerpflichtigen, diein ihrem Hoheitsgebiet Lieferungen von Gegen-ständen oder Dienstleistungen bewirken, keineweiteren Pflichten oder Formalitäten in Bezug auf dieelektronische Übermittlung der Rechnungen aufer-legen. Sie können jedoch bis zum 31. Dezember2005 für die Anwendung dieses Systems eine Anzei-gepflicht vorsehen.

Die Mitgliedstaaten können spezifische Anforde-rungen für die elektronische Ausstellung von Rech-nungen festlegen, wenn die Rechnungen für in ihremHoheitsgebiet bewirkte Lieferungen von Gegen-ständen oder Dienstleistungen in einem Land ausge-stellt werden, mit dem keine Rechtsvereinbarungüber die gegenseitige Amtshilfe besteht, derenAnwendungsbereich mit dem der Richtlinien 76/308/EWG und 77/799/EWG sowie der Verordnung(EWG) Nr. 218/92 vergleichbar ist.

In Fällen von Teillieferungen, bei denen mehrereRechnungen auf elektronischem Wege an ein unddenselben Empfänger übersandt werden, ist eszulässig, dass Angaben, die allen Rechnungengemeinsam sind, nur ein einziges Mal aufgeführtwerden, sofern für jede Rechnung die komplettenAngaben zugänglich sind.

d) Jeder Steuerpflichtige trägt Sorge für die Aufbewah-rung von Kopien aller Rechnungen, die er selbst, seinKunde oder ein Dritter in seinem Namen und fürseine Rechnung ausgestellt hat, sowie aller Rech-nungen, die er erhalten hat.

DE Amtsblatt der Europäischen Gemeinschaften17.1.2002 L 15/27

Für die Zwecke dieser Richtlinie kann der Steuer-pflichtige den Aufbewahrungsort bestimmen, soferner den zuständigen Behörden auf deren Verlangenalle aufzubewahrenden Rechnungen oder Datenunverzüglich zur Verfügung stellt. Die Mitglied-staaten können jedoch den in ihrem Hoheitsgebietansässigen Steuerpflichtigen zur Auflage machen,ihnen den Aufbewahrungsort mitzuteilen, wenndieser sich außerhalb ihres Hoheitsgebiets befindet.Die Mitgliedstaaten können ferner den in ihremHoheitsgebiet ansässigen Steuerpflichtigen zurAuflage machen, alle von ihnen selbst oder von ihrenKunden oder einem Dritten in ihrem Namen und fürihre Rechnung ausgestellten Rechnungen sowie alleRechnungen, die sie erhalten haben, im Inland aufzu-bewahren, soweit es sich nicht um eine elektronischeAufbewahrung handelt, die einen vollständigenOnline-Zugriff auf die betreffenden Daten gewährleis-tet.

Die Echtheit der Herkunft und die Unversehrtheit desInhalts dieser Rechnungen sowie deren Lesbarkeitmüssen für die gesamte Dauer der Aufbewahrunggewährleistet sein. Soweit die Rechnungen nachBuchstabe c) Unterabsatz 3 betroffen sind, dürfen dieenthaltenen Angaben nicht geändert werden und siemüssen während dieses Zeitraums lesbar bleiben.

Die Mitgliedstaaten legen fest, über welchen ZeitraumSteuerpflichtige Rechnungen für in ihrem Hoheitsge-biet bewirkte Lieferungen von Gegenständen oderDienstleistungen aufbewahren müssen und Rech-nungen, die in ihrem Hoheitsgebiet ansässige Steuer-pflichtige erhalten haben, aufbewahrt werdenmüssen.

Um die Einhaltung der Bedingungen gemäß Unterab-satz 3 durchzusetzen, können die in Unterabsatz 4genannten Mitgliedstaaten vorschreiben, dass dieRechnungen in der Originalform, in der sie übermit-telt wurden, d. h. auf Papier oder im elektronischenFormat, aufzubewahren sind. Sie können zudemverlangen, dass bei der Aufbewahrung der Rech-nungen auf elektronischem Träger die Daten, mitdenen die Echtheit der Herkunft und die Unversehrt-heit des Inhalts der jeweiligen Rechnung nachge-wiesen wird, ebenfalls aufzubewahren sind.

Die in Unterabsatz 4 genannten Mitgliedstaatenkönnen spezielle Anforderungen festlegen, wonachdie Aufbewahrung von Rechnungen in einem Landverboten oder eingeschränkt wird, mit dem keineRechtsvereinbarung über die gegenseitige Amtshilfebesteht, deren Anwendungsbereich mit dem derRichtlinien 76/308/EWG und 77/799/EWG sowieder Verordnung (EWG) Nr. 218/92 vergleichbar ist,und kein Recht auf Zugriff auf diese Rechnungen aufelektronischem Weg, auf das Herunterladen und aufdie Verwendung nach Artikel 22a existiert.

Die Mitgliedstaaten können unter von ihnen festzule-genden Bedingungen vorschreiben, dass für nicht-steuerpflichtige Personen ausgestellte Rechnungenaufzubewahren sind.

e) Für die Zwecke der Buchstaben c) und d) wird dieÜbermittlung und Aufbewahrung einer Rechnung‚auf elektronischem Weg‘ definiert als Übermittlungan bzw. Bereitstellung für den Empfänger und Aufbe-

wahrung mit Hilfe elektronischer Einrichtungen zurVerarbeitung (einschließlich der digitalen Kompres-sion) und Aufbewahrung von Daten per Draht oderFunk oder durch andere optische oder elektromagne-tische Verfahren.

Für die Zwecke dieser Richtlinie werden von denMitgliedstaaten als Rechnung alle im Papier- bzw.elektronischen Format vorliegenden Dokumente bzw.Mitteilungen anerkannt, die den Bedingungen desvorliegenden Absatzes genügen.

(*) ABl. L 73 vom 19.3.1976, S. 18. Richtlinie zuletztgeändert durch die Richtlinie 2001/44/EG (ABl. L 175vom 28.6.2001, S. 17).

(**) ABl. L 336 vom 27.12.1977, S. 15. Richtliniezuletzt geändert durch die Beitrittsakte von 1994.

(***) ABl. L 24 vom 1.2.1992, S. 1.(****) ABl. L 13 vom 19.1.2000, S. 12.(*****) ABl. L 338 vom 28.12.1994, S. 98.“

3. In Absatz 8 wird der folgende Unterabsatz angefügt:

„Die in Unterabsatz 1 vorgesehene Möglichkeit darf nichtdazu genutzt werden, zusätzlich zu den in Absatz 3genannten Pflichten noch weitere Pflichten aufzuerlegen.“

4. In Absatz 9 Buchstabe a) wird folgender Unterabsatzhinzugefügt:

„Unbeschadet der Bestimmungen des Buchstaben d)können die unter dem dritten Gedankenstrich genanntenSteuerpflichtigen von den Mitgliedstaaten jedoch nichtvon den Verpflichtungen gemäß Artikel 22 Absatz 3befreit werden.“

5. In Absatz 9 wird folgender Buchstabe hinzugefügt:

„d) Vorbehaltlich der Konsultation des Ausschusses gemäßArtikel 29 und unter von ihnen festzulegenden Bedin-gungen können die Mitgliedstaaten bei Rechnungenfür in ihrem Hoheitsgebiet bewirkte Lieferungen vonGegenständen oder Dienstleistungen vorsehen, dassdiese Rechnungen in folgenden Fällen bestimmteAngaben nach Absatz 3 Buchstabe b) nicht enthaltenmüssen,

— wenn der Rechnungsbetrag geringfügig ist

— oder wenn die Einhaltung aller Verpflichtungengemäß Absatz 3 Buchstabe b) aufgrund derHandels- oder Verwaltungspraktiken im betref-fenden Wirtschaftsbereich oder aufgrund der tech-nischen Bedingungen der Erstellung dieser Rech-nungen sich schwierig gestaltet.

Diese Rechnungen müssen auf jeden Fall diefolgenden Angaben enthalten:

— das Ausstellungsdatum,

— die Identifizierung des Steuerpflichtigen,

— die Identifizierung der Art der gelieferten Gegen-stände oder der erbrachten Dienstleistungen,

— den zu zahlenden Steuerbetrag oder die Angabenzu dessen Berechnung.

Die unter diesem Buchstaben vorgesehene Vereinfa-chung darf jedoch nicht auf Umsätze gemäß Absatz 4Buchstabe c) angewendet werden.“


6. In Absatz 9 wird folgender Buchstabe hinzugefügt:

„e) Machen die Mitgliedstaaten von der unter Buchstabea) dritter Gedankenstrich vorgesehenen MöglichkeitGebrauch, Steuerpflichtigen, die keine der Umsätzegemäß Absatz 4 Buchstabe c) tätigen, keine Umsatz-steuer-Identifikationsnummer gemäß Absatz 1 Buch-stabe c) zuzuweisen, so ist auf der Rechnung dieUmsatzsteuer-Identifikationsnummer des Leistendenund des Kunden, sofern diese keine Umsatzsteuer-Identifikationsnummer haben, durch eine andere, vonden betreffenden Mitgliedstaaten näher bestimmteNummer, die so genannte Steuerregisternummer, zuersetzen.

Die in Unterabsatz 1 genannten Mitgliedstaatenkönnen, wenn die Umsatzsteuer-Identifikationsnummergemäß Absatz 1 Buchstabe c einem Steuerpflichtigenzugewiesen wurde, außerdem vorsehen, dass die Rech-nung folgende Angaben enthält:— bei Dienstleistungen nach Artikel 28b Teile C, D,

E und F sowie bei Lieferungen von Gegenständengemäß Artikel 28c Teil A und Teil E Nummer 3die Umsatzsteuer-Identifikationsnummer gemäßAbsatz 1 Buchstabe c) sowie die Steuerregister-nummer des Leistenden;

— bei anderen Lieferungen von Gegenständen undDienstleistungen lediglich die Steuerregisternummerdes Leistenden oder lediglich die Umsatzsteuer-Identifikationsnummer gemäß Absatz 1 Buchstabec).“

Artikel 3

Folgender Artikel wird hinzugefügt:

„Artikel 22a

Recht auf Zugriff zu den in einem anderen Mitgliedstaatin elektronischer Form aufbewahrten Rechnungen

Bewahrt ein Steuerpflichtiger von ihm ausgestellte oderempfangene Rechnungen auf einem elektronischenMedium auf, das einen Online-Zugriff auf die Datengewährleistet, und liegt der Aufbewahrungsort in einemMitgliedstaat, in dem er nicht ansässig ist, so haben diezuständigen Behörden des Mitgliedstaats, in dem eransässig ist, im Rahmen der Rechtsvorschriften desMitgliedstaats, in dem der Steuerpflichtige ansässig ist,und soweit dies für diesen Mitgliedstaat zur Kontrolleerforderlich ist, für die Zwecke dieser Richtlinie ein Rechtauf elektronischen Zugriff auf diese Rechnungen und aufderen Herunterladen und Verwendung.“

Artikel 4

1. In Artikel 10 Absatz 2 Unterabsatz 3 erster und dritterGedankenstrich wird der Passus „oder des an deren Stelletretenden Dokuments“ gestrichen.

2. In Artikel 24 Absatz 5 wird der Passus „oder an derenStelle tretenden Dokumenten“ und in Artikel 26a Teil BAbsatz 9 wird der Passus „oder einem sonstigen an derenStelle tretenden Dokument“ gestrichen.

3. In Artikel 26a Teil C Absatz 4 wird der Passus „oder einan deren Stelle tretendes Dokument“ gestrichen.

4. In Artikel 28d Absatz 3 und Absatz 4 Unterabsatz 2wird der Passus „oder des an deren Stelle tretenden Doku-ments“ sowie der Passus „oder dieses Dokument“ gestri-chen.

5. In Artikel 28g (der Artikel 21 der Richtlinie ersetzt) wirdArtikel 21 wie folgt geändert:— In Absatz 1 Buchstabe d) wird der Passus „oder einem

ähnlichen Dokument“ gestrichen.

6. In Artikel 28o Absatz 1 Buchstabe e) wird der Passus„oder einem anderen an deren Stelle tretenden Dokument“gestrichen.

Artikel 5

Die Mitgliedstaaten erlassen die erforderlichen Rechts- undVerwaltungsvorschriften, um dieser Richtlinie zum 1. Januar2004 nachzukommen. Sie setzen die Kommission unverzüg-lich davon in Kenntnis.

Wenn die Mitgliedstaaten diese Vorschriften erlassen, nehmensie in den Vorschriften selbst oder durch einen Hinweis beider amtlichen Veröffentlichung auf diese Richtlinie Bezug.Die Mitgliedstaaten regeln die Einzelheiten der Bezugnahme.

Artikel 6

Diese Richtlinie tritt am zwanzigsten Tag nach ihrer Veröf-fentlichung im Amtsblatt der Europäischen Gemeinschaften inKraft.

Artikel 7

Diese Richtlinie ist an alle Mitgliedstaaten gerichtet.

Geschehen zu Brüssel am 20. Dezember 2001.

Im Namen des Rates

Der Präsident

C. PICQUÉ

Rechtsfragen zur elektronischen RechnungslegungGemäß Verordnung des Bundesministers für Finanzen vo m Dezember 2003 (StF BGBl. II Nr. 583/2003 idgF) sin delektronische Rechnungen nur dann umsatzsteuerabzugsf ähig, wenn sie digital signiert sind und mit einerfortgeschrittenen oder qualifizierten Signatur ausge stattet sind. A-CERT ADVANCED bietet dazu eine beque meund kostengünstige Lösung - Erlass des Finanzministe riums (BMF-010219/0183-IV/9/2005, aktuelle VersionBMF-010219/0262-VI/4/2011 vom 23.11.2011 UStR 2000, Abschnitt 11.2.3. "Elektronisch übermittelte Rechn ung")bestätigt die Verwendung fortgestrittener Signature n für elektronische Rechnungslegung, gleichzeitig AU S fürFax-Rechnungen ab Ende 2012

Verordnung beseitigt Rechtsunsicherheit

Bisher war die Vorsteuerabzugsfähigkeit von rein elektronisch ausgestellten Rechnungen umstritten und musste bei jederFinanzprüfung individuell argumentiert werden. Nur auf dem Postweg und per Fax zugestellte Rechnungen galten jedenfallsals vorsteuerabzugsfähig. Die neue Verordnung stellt die Vorsteuerabzugsfähigkeit auch für fortschrittlich signierteelektronische Rechnungen klar.

Wermutstropfen für viele Unternehmen: Die meisten Buchhaltungs- und Rechnungslegungsprogramme haben keineSignierfunktionen integriert. Um die gesetzlichen Anforderungen erfüllen zu können, müssten viele Unternehmen teureZusatzpakete anschaffen. A-CERT ADVANCED bietet durch seine leichte Integrierbarkeit in verschiedenen Produkten eineunternehmerfreundliche Alternative.

Erlass des Finanzministeriums

Der lange erwartete und im Juli'05 verabschiedete Erlass des Finanzministeriums (BMF-010219/0183-IV/9/2005) bestätigtdie Entscheidung von A-CERT Zertifikate zu fortgeschrittenen Signaturen anzubieten. Damit ist die fortgeschritten signierteelektronischen Rechnung praktisch die einzige kostengünstige Alternative zur klassischen, per Post versandtenPapierrechnung. Den aktuellen Erlass (BMF-010219/0262-VI/4/2011) im vollen Wortlaut findet sich auf der BMF-Homepagehttps://findok.bmf.gv.at/ und eine Archiv-Kopie unter http://www.a-cert.at/static/bmf-erlass-ebilling.pdf. Beachten Sie bitte,dass das BMF Erlässe ohne Vorankündigung ändern kann und daher die Archiv-Kopie veraltet sein kann. Wir bemühen uns,den jeweils aktuellen Erlass so rasch als möglich zu archivieren.

Vorteile des Zertifizierungsverfahrens A-CERT ADVANC ED

Im Gegensatz zur sogenannten "qualifizierten" Signatur und dem zugehörigen Zertifikat, die zwingend die Verwendung vonHardware-Lösungen (Smartcard, HighSecurityModule oder USB-Token mit Kryptochip) zur Speicherung desSignierschlüssels vorschreiben, stellt A-CERT ADVANCED die Speicherform bei der fortgeschrittenen Signatur frei. Damitführt die Anwendung nicht automatisch zu zusätzlichen teuren Hardware-Investitionen und -Installationen. Der Anwender istdamit weitestgehend ortsunabhängig, die Signierabläufe können leicht automatisiert werden, und technische Änderungenkönnen rasch umgesetzt werden.

Auch die Anpassung an die bestehenden Rechnungslegungssysteme ist wesentlich leichter realisierbar und istgekennzeichnet durch höhere Flexibilität, bessere Integration in die innerbetrieblichen Abläufe und geringere Kosten.

Welche "Nachteile" hat ein fortgeschrittene Signatu r?

Die sichere Verwahrung des Signaturschlüssels liegt in der Verantwortung des Signators. Werden entsprechendetechnisch-organisatorische Sicherheitsmaßnahmen gesetzt, dann ist die Sicherheit im Sinne des Signaturgesetzesgegeben. A-CERT hilft gern bei der Entwicklung der erforderlichen Sicehrheitsstrategie.

A-CERT ADVANCED ist dokumentenunabhängig

Die Unternehmen können ihre elektronischen Rechnungen in beliebigen Formaten erzeugen (XML- oder html-Format, pdf-oder doc-Dateien), signieren und an die Kunden versenden.

Wann darf eine elektronische Rechnung ausgestellt w erden?

Elektronische Rechnungen dürfen ausgestellt werden, wenn der Vertragspartner ausdrücklich (vertraglich) oder konkludentzugestimmt hat oder wenn dies in den AGB's vereinbart ist.

Vorteile der elektronischen Rechnungslegung

Rechtsfragen zur elektronischen Rechnungslegung http://www.a-cert.at/php/cms_monitor.php?q=PUB-TEXT-A-CE...

1 von 3 09.07.2012 16:41

Für den Aussteller (Lieferanten) ergeben sich mit Verwaltungsvereinfachung, Zeitersparnis und Kosteneinsparungen eineFülle von Vorteilen. Aber auch für den Empfänger haben elektronische Rechnungen Vorteile, sofern der Aussteller flexibelan unterschiedliche Bedürfnisse des Empfängers reagieren kann. Durch geeignete Formate können die elektronischenDaten sofort in eigene Buchhaltungssysteme übernommen werden, Administration und Rechnungskontrolle werdenwesentlich vereinfacht.

Die Verordnung im Wortlaut

Verordnung des Bundesministers für Finanzen, mit der die Anforderungen an eine auf elektronischem Weg übermittelteRechnung bestimmt werden StF: BGBl. II Nr. 583/2003

Die Echtheit der Herkunft und die Unversehrtheit des Inhalts einer auf elektronischem Weg übermittelten Rechnung istgewährleistet,1. wenn die Rechnung mit einer Signatur versehen ist, die den Erfordernissen des § 2 Z 3 lit. a bis d Signaturgesetzentspricht und auf einem Zertifikat eines Zertifizierungsdiensteanbieters im Sinne des Signaturgesetzes beruht, oder2. wenn die Rechnung durch elektronischen Datenaustausch (EDI) gemäß Artikel 2 der Empfehlung 1994/820/EG derKommission vom 19. Oktober 1994 über die rechtlichen Aspekte des elektronischen Datenaustausches (ABl. EG Nr. L 338,S 98) übermittelt wird, wenn in der Vereinbarung über diesen Datenaustausch der Einsatz von Verfahren vorgesehen ist,die die Echtheit der Herkunft und die Unversehrtheit der Daten gewährleisten, und zusätzlich eine zusammenfassendeRechnung auf Papier oder unter den Voraussetzungen der Z 1 auf elektronischem Weg übermittelt wird.

Grundlagen der Verordnung des BMF

Grundlage der elektronischen Rechnungslegung ist die EG-Richtlinie 2001/115/EG zur Änderung der EG-Richtlinie77/388/EWG (6. Mehrwertsteuer-RL). Diese Ríchtlinie sieht ausdrücklich die Verwendung fortgeschrittener Signatur- undZertifizierungsverfahren bei der elektronischen Rechnungslegung vor.

Eine elektronische Rechnung ist dann gültig, wenndie Echtheit der Herkunft,- die Unversehrtheit des Inhalts,- fortgeschrittene Signaturverfahrengewährleistet sind.Es ist dabei unerheblich, ob die Rechnungsdatei oder das Mail, das die Rechnung enthält, signiert ist.

Wesentlich ist, dass der Empfänger die elektronische Datei, die nunmehr die Rechnung enthält, selbst aufbewahren muss.Nur anhand dieser Datei können die verlangten Prüfungen durchgeführt werden. Die bisher geübte Praxis, elektronischzugestellte Rechnungen auszudrucken und "so zu tun, als ob sie per Post eingegangen wäre", ist unzulässig.

Jede Rechnung hat folgende verpflichtende Rechnungs merkmale aufzuweisen (§11 UstG):- das Ausstellungsdatum,- eine fortlaufende Nummer,- die Umsatzsteuer-Identifikationsnummer des Steuerpflichtigen,- die Umsatzsteuer-Identifikationsnummer des Kunden sofern er Steuerschuldner ist,- den vollständigen Namen und die vollständige Anschrift des Steuerpflichtigen und seines Kunden,- die Menge und die Art der gelieferten Gegenstände oder den Umfang und die Art dererbrachten Dienstleistungen,- das Datum, an dem die Lieferung der Gegenstände oder die Dienstleistung bewirkt bzw. abgeschlossen wird, oder dasDatum, an dem eine Vorauszahlung geleistet wird, sofern dieses Datum feststeht und nicht mit dem Ausstellungsdatum derRechnung identisch ist,- die Besteuerungsgrundlage für jeden Steuersatz oder Befreiung, den Preis je Einheit ohne Steuer sowie jedePreisminderung oder Rückerstattung, sofern sie nicht im Preis je Einheit enthalten sind,- den anzuwendenden Steuersatz,- den zu zahlenden Steuerbetrag, außer bei Anwendung einer speziellen Regelung, bei der nach dieser Richtlinie einesolche Angabe ausgeschlossen wird,- bei Steuerbefreiung oder wenn der Kunde Steuerschuldner ist: den Verweis auf die einschlägigen Bestimmungen ,- weitere Angaben bei innergemeinschaftlicher Lieferung neuer Fahrzeuge,- bei Differenzbesteuerung: den Verweis auf die entsprechenden Bestimmungen oder ein anderer Hinweis darauf, dass dieDifferenzbesteuerung angewandt wurde,- wenn der Steuerschuldner ein Steuervertreter ist: die Umsatzsteuer-Identifikationsnummer des Steuervertreters, seinvollständiger Name und seine Anschrift.

Die österreichischen Umsatzsteuerbestimmungen

Bis Ende 2003 galt das Urkundenprinzip, d.h. Rechnungen mussten als Papierdokumente ausgestellt werden, beielektronischen Rechnungen waren periodische Sammelrechnungen auf Papier zusätzlich erforderlich, rein elektronische


2 von 3 09.07.2012 16:41

Rechnungen waren nicht vorsteuerabzugsfähig.

Mit 1.1.2004 sind elektronische Rechnungen grundsätzlich möglich (Änderung des §11 UStG).

Internationale Anwendbarkeit der österreichischen R egelung

Grundsätzlich ist die Frage des Vorsteuerabzugs und dem daraus reslutierenden Erfordernis der Signierung elektronischerRechnungen eine innerösterreichische Angelegenheit.

Im innergemeinschaftlichen Verkehr mit Unternehmen in anderen EU-Ländern wird im Regelfall keine Ust. zu verrechnensein, sondern stattdessen die UID-Nummer des Kunden (Leistungsempfängers) anzugeben sein.

Es ist jedoch zu beachten, dass die Vorschreibung der Ust in den meisten Fällen bei Lieferungen an Unternehmen inanderen EU-Ländern nicht erforderlich ist. Als Artikel 7 UstG 1994 entfällt die Vorschreibung der Ust. sofern dieUID-Nummer des Empfänger angegeben wird. Siehe auch http://www.a-cert.at/php/cms_monitor.php?q=PUB-TEXT-A-CERT&s=...

Aus Sicht namhafter Steuerrechtsexperten ist daher die digitale Signatur grenzüberschreitender Rechnungen in andereEU-Länder (insbesondere Deutschland) nicht erforderlich. Dies gilt sowohl bei B2B-Rechnungen, bei denen statt der Ust.die UID-Nummer des Kunden anzuführen ist, als auch bei B2C-Rechnungen, bei denen zwar die Ust. anzugeben ist, derKunde aber nicht zur Vorsteuerabzug berechtigt ist.

Insgesamt ist die Harmonisierung der Rechnungslegung EU-weit noch nicht vollständig geglückt. Abgesehen vonDeutschland haben alle EU-Ländern zu Österreich gleichwertige oder einfacherer Vorgaben zur elektronischenRechlungslegung. Deutschland hat sich derzeit zu einer - nur bedingt EU-konformen - Sonderlösung entschlossen. Hier wirdeine "sicheres Signatur" eines in Deutschland akkreditieren Unternehmens statt der "fortgeschrittenen Signatur" verlangt.Derzeit hat kein österreichisches Unternehmen eine derartige Akkreditierung, auch nicht die österreichischen Anbieter"sicherer" elektronischer Signaturen. Es sind jedoch Bestrebungen im Gang im Jahr 2006 diese Regelung zu ändern.

Auswirkungen hat dies jedoch weniger in Hinblick auf die Rechnungslegung gegenüber einem deutschen Kunden (sieheoben), sondern nur in Hinblick auf österreichische Unternehmen die die Dienstleistung "elektronische Rechnungslegung" fürdeutsche Unternehmen erbringen wollen. Diese müssen die Rechnungen nach deutschem Recht ausstellen.

mehr --> Alle wichtigen Dokumente zur elektronischen Rechnungslegung zusammen gefasstmehr --> Müssen EDIFACT Rechnungen elektronisch signiert werden?mehr --> Endloses Provisorium Fax-Rechnungmehr --> Wer darf im Namen eines Unternehmens Rechnungen signieren?mehr --> Steuerfreie innergemeinschaftliche Lieferung (Artikel 7 UStG 1...mehr --> A-CERT ADVANCED - Zertifikate zur fortgeschrittenen Signaturmehr --> RTR-Positionspapier zur 'fortgeschrittenen' Signaturmehr --> BMF-Erlass zur elektronischen Rechnungslegungmehr --> Muster digital signierte Rechnungmehr --> Bestellung Zertifikat A-CERT ADVANCEDArchiv --> A-CERT ADVANCED - Zertifikate zur fortgeschrittenen Signatur

Die angezeigten Informationen sind ausschliesslich zur persönlichen Nutzung im Rahmen der A-CERT Zertifizierungsdienstebestimmt. Beachten Sie die gültige Certificate Policy. GLOBALTRUST® ist die EU-weit registrierte Marke der ARGEDATEN, die angebotenen Zertifizierungsdienste werden gemäß Signaturgesetz betrieben. Die Verwendung des A-CERTLogos ist nur Inhabern von gültigen A-CERT Zertifikaten oder nach ausdrücklicher schriftlicher Genehmigung gestattet.Vertrieb und technische Betreuung erfolgt durch unseren Kooperationspartner e-commerce monitoring gmbh Irrtumvorbehalten.

A-CERT / ®GLOBALTRUST 2002-2012 powered by e-commerce monitoring gmbh impressum agb webmaster


3 von 3 09.07.2012 16:41

A-CERT ADVANCED - Zertifikate zur fortgeschrittenen SignaturDas persönliche Zertifikat A-CERT ADVANCED entspricht als fortgeschrittene Signatur den strengen Vorgaben desBundesministeriums für Finanzen zur elektronischen Rechnungslegung - Alle ausgestellten elektronischenRechnungen werden durch Verwendung von A-CERT ADVANCED erstmals vorsteuerabzugsberechtigt - A-CERTADVANCED ist sowohl für Einzelsignaturverfahren., als auch für Massensignaturen und automatisierte serverbasierteSignaturverfahren geeignet - jetzt auch inklusive A-CERT TIMESTAMP Service

Eine Fülle v on Rechnungslegungs- und Buchhaltungsprogrammen unterstützen A-CERT ADVANCED Zertif ikate.

Im Gegensatz zu anderen Anbietern ist A-CERT ADVANCED sof twarebasiert und damit wesentlich f lexibler im Einsatz. Siebenötigen keine Chipkarte und sind weder an einen Handy -Betreiber noch an zusätzliche Kartenlesegeräte gebunden. Sie könnenA-CERT ADVANCED dort einsetzen, wo Sie gerade arbeiten.

Der Dienst steht seit September 2004 zur Verf ügung. Indiv iduelle Inf ormationen zu den umf assenden Einsatzmöglichkeiten v onA-CERT ADVANCED erhalten Sie unter inf [email protected] bzw. 0676/9107032.

Alle Signaturverfahren werden unterstützt

A-CERT ADVANCED unterstützt sowohl Einzelsignaturen, als auch Massensignaturen v ieler Rechnungen oder die serv erbasierteSignatur im Rahmen automatisierter Rechnungslegung. Damit wurde eine wichtige Lücke bei eCommerce-Prozessengeschlossen. Onlinedienste können ab sof ort autmatisch v orsteuerabzugsf ähige Rechnungen Online ausstellen.

Und das zu Preisen, die einen Bruchteil des Mitbewerbs ausmachen.

Echte Hardware- und Plattformunabhängigkeit

Als f ortgeschrittenes Signaturv erf ahren erf üllt A-CERT ADVANCED alle erf orderlichen EU-Auf lagen und kann in beliebigenSy stemumgebungen eingesetzt werden. Sowohl in Microsof t-Anwendungen als auch in LINUX-Lösungen können A-CERTADVANCED Zertif ikate v erwendet werden. Die Verwendung v on Chipkarten und Chipkartenlesegeräten ist nicht zwingendnotwendig, aber auch nicht ausgeschlossen. A-CERT unterstützt v erschiedene Signaturerstellungseinheiten (Details dazuhttp://www.a-cert.at/static/help.html#HLP_B11). Die aktuelle Liste der unterstützten Signaturerstellungseinheiten f indet sich unterhttp://www.a-cert.at/php/cms_monitor.php?q=PUB-TEXT-A-CERT&s=....

Darüber hinaus, kann der Anwender beliebige andere Chipkarten-, eToken- oder HSM-Lösungen v erwenden. A-CERT stellt auchzu diesen Lösungen das erf orderliche Zertif ikat aus.

Der Anwender entscheidet, abhängig v on seiner Security Policy und seinen Praxisanf orderungen über die richtigeSy stemkonf iguration, nicht die Behörde und auch nicht der Zertif izierungsbetreiber.

Investitionssicherheit durch weltweit gültige Standards

Durch die Verwendung v on X.509v 3, dem weltweit anerkannten Standard f ür Zertif izierung, die Beachtung der INTERNET-RFC-Normen und die Empf ehlungen v on ETSI (European Telecommunications Standards Institute), dem Normungsinstitut derEU,haben die Benutzer v on A-CERT ADVANCED die Sicherheit, auch in v ielen Jahren ein ideales Signaturinstrument gemäß demStand der Technik zu haben.

Jetzt auch mit A-CERT TIMESTAMP Unterstützung!

Jeder Inhaber eines A-CERT ADVANCED Zertif ikats hat auch die Möglichkeit 50 zuv erlässige Zeitstempel abzuruf en. Diesekönnen f ür zeitkritische Dokumente wichtig sein, bei denen der Nachweis der Erstellung zu einem bestimmten Zeitpunktnotwendig ist (etwa Protokolldateien, Einreichunterlagen usw.).

Weitere Details zum Zeitstempeldienst A-CERT TIMESTAMP unter http://www.a-cert.at/a-cert-timestamp.html

A-CERT bietet weitere Dienstleistungen

Im Rahmen v on A-CERT CONSULTING werden indiv iduelle Lösungen zur elektronischen Rechnungslegung erarbeitet.

Nicht nur f ür Großunternehmen ist A-CERT ADVANCED die ideale Lösung, f ür KMU's stellt A-CERT neben der Zertif izierung dereigenen Signatur auch f achkundige Beratung im Signatureinsatz zur Verf ügung.

A-CERT ADVANCED - Zertifikate zur fortgeschrittenen... http://www.a-cert.at/php/cms_monitor.php?q=PUB-T...

1 von 2 28.12.2011 14:27

Das A-CERT ADVANCED Root Zertifikat

Auf Grund der hohen Flexibilität v on A-CERT ADVANCED kann Ihr Zertif ikat unter beliebigen Zertif ikatsv erwaltungen v erwendetwerden. Abhängig v om v erwendeten Produkt wird Ihr Zertif ikat automatisch erkannt, oder es ist das A-CERT ADVANCED RootZertif ikat bei der Erstbenutzung zu installieren. Beachten Sie dazu auch unsere Support-Inf ormationen (http://www.a-cert.at/php/cms_monitor.php?question=PUB-SUPPORT...).

Der Download des Root-Zertif ikats erf olgt unter http://www.a-cert.at/static/a-cert-adv anced.crt. Das Zertif ikat ist gültig, wennbeim Installieren der SHA1-Fingerprint "2964 B686 135B 5DFD DD32 53A8 9BBC 24D7 4B08 C64D" angezeigt wird.

mehr --> A-CERT ADVANCED bestellen (f ortgeschrittene Signatur)mehr --> A-CERT PARTNER mit Produkten zur elektronischen Rechnungslegungmehr --> Rechtsf ragen zur elektronischen Rechnungslegungmehr --> Ref erenzkunden v on A-CERTmehr --> Muster digital signierte Rechnungmehr --> Alle wichtigen Dokumente zur elektronischen Rechnungslegung zusammen gef asstmehr --> TKK-Bescheid A 10/2004-7 v om 11.10.2004mehr --> Download A-CERT ADVANCED Root Zertif ikatmehr --> A-CERT Certif icate Policymehr --> Geeignete Signaturerstellungsprodukteandere --> RTR-Liste Signaturdiensteanbieter, sortiert f ortgeschrittene Dienste

Die angezeigten Informationen sind ausschliesslich zur persönlichen Nutzung im Rahmen der A-CERT Zertifizierungsdienste bestimmt. Beachten Sie die gültigeCertificate Policy. GLOBALTRUST® ist die EU-weit registrierte Marke der ARGE DATEN, die angebotenen Zertifizierungsdienste werden gemäß Signaturgesetzbetrieben. Die Verwendung des A-CERT Logos ist nur Inhabern von gültigen A-CERT Zertifikaten oder nach ausdrücklicher schriftlicher Genehmigung gestattet.Vertrieb und technische Betreuung erfolgt durch unseren Kooperationspartner e-commerce monitoring gmbh Irrtum vorbehalten.


A-CERT ADVANCED - Zertifikate zur fortgeschrittenen... http://www.a-cert.at/php/cms_monitor.php?q=PUB-T...

2 von 2 28.12.2011 14:27

ARGE DATEN

ARGE DATEN - Österr. Gesellschaft für Datenschutz http://www.argedaten.at [email protected] � +43/676/9107032, Fax +43/1/5320974 A-1160 Wien, Redtenbacherg. 20 DVR 0530794 ZVR 774004629 UID ATU 56627966 Gerichtsstand Wien

A-CERT Certificate Policy [gültig für Zertifikate für einfache und fortgeschrittene Signaturen]

Version 1.6/Juli 2009 - a-cert-certificate-policy.doc

OID-Nummer: 1.2.40.0.24.1.1.1.3

OID-Nummer: 1.2.40.0.24.1.1.5.1

OID-Nummer: 1.2.40.0.24.1.1.9.1

Gültigkeitshistorie OID-Nummer: 1.2.40.0.24.1.1.1.99

ARGE DATEN - Österreichische Gesellschaft für Datenschut 2009

Redaktionelle Hinweise:Redaktionelle Hinweise:Redaktionelle Hinweise:Redaktionelle Hinweise: Das vorliegende Dokument ist mit einer fortgeschrittenen Signatur versehen. Das Datum der Signatur kann aus verschiedenen rechtlichen und organisatorischen Gründen vom Datum des Gültigkeitsbeginns des Dokuments abweichen. Die Signatur gibt keine Auskunft über den Gültigkeitsbeginn des Dokuments, sondern bestätigt nur die Unversehrtheit des Inhalts.

AAAA----CERT Certificate PolicyCERT Certificate PolicyCERT Certificate PolicyCERT Certificate Policy

A-CERT Certificate Policy OID-Nummer: 1.2.40.0.24.1.1.1.3, Version 1.6/Juli 2009 (Druck: 7.7.2009) a-cert-certificate-policy.doc 2/36

IIIINHALTNHALTNHALTNHALT:::: Inhalt: ............................................................................................ 2

I. Änderungsdokumentation ........................................................... 4

1. Änderungen 7. Juli 2009 .................................................................................. 4

2. Änderungen 12. April 2007 .............................................................................. 4

3. Änderungen 12. Dezember 2005 ..................................................................... 4

4. Änderungen 4. Oktober 2004 .......................................................................... 5

5. Änderungen 22. September 2004 ..................................................................... 5

6. Stammfassung 11. September 2004 ................................................................. 5

II. Grundlagen............................................................................... 6

A. Definitionen und Kurzbezeichnungen........................................................ 6

B. Überblick ................................................................................................ 9

C. Anwendungsbereich .............................................................................. 10

III. Verpflichtungen und Haftungsbestimmungen ............................. 11

A. Verpflichtungen des Herausgebers ......................................................... 11

B. Verpflichtungen des Signators ................................................................ 11

C. Verpflichtungen des Empfängers von Zertifikaten .................................... 13

D. Haftung ................................................................................................. 13

IV. Spezifikationen zur Erbringung von Zertifizierungsdiensten .......... 15

A. Allgemeines ........................................................................................... 15

B. Operative Maßnahmen zur Bereitstellung des Zertifizierungsdienstes ....... 15

C. Schlüsselverwaltung Herausgeber (CA Schlüssel) ..................................... 16

1. Erzeugung der CA Schlüssel ............................................................................ 16

2. Speicherung der CA Schlüssel ......................................................................... 16

3. Verteilung der öffentlichen CA Schlüssel .......................................................... 16

4. Schlüsseloffenlegung ...................................................................................... 17

5. Verwendungszweck von CA Schlüsseln ............................................................ 17

6. Ende der Gültigkeitsperiode von CA Schlüsseln ............................................... 17

D. Schlüsselverwaltung Signator.................................................................. 17

1. Verwahrung des privaten Schlüssels in einer Signaturerstellungseinheit beim Signator ......................................................................................................... 17

E. Zertifikate der Antragsteller .................................................................... 19

1. Antragstellung ................................................................................................ 19

2. Antragsprüfung .............................................................................................. 21

3. Antragsbearbeitung ........................................................................................ 22

4. Antragsarchivierung ....................................................................................... 23

5. Zertifikaterstellung .......................................................................................... 23

AAAA----CERT Certificate PolicyCERT Certificate PolicyCERT Certificate PolicyCERT Certificate Policy

A-CERT Certificate Policy OID-Nummer: 1.2.40.0.24.1.1.1.3, Version 1.6/Juli 2009 (Druck: 7.7.2009) a-cert-certificate-policy.doc 3/36

6. Zertifikatsinhalt ............................................................................................... 24

7. Verlängerung der Gültigkeitsdauer eines Zertifikats, Ausstellung von weiteren Zertifikaten und Neuausstellungen .................................................................. 24

F. Bekanntmachung der Vertragsbedingungen ........................................... 24

G. Veröffentlichung der Zertifikate ............................................................... 25

H. Widerruf ................................................................................................ 25

I. Widerrufsinhalt ...................................................................................... 26

V. Betriebsorganisation von A-CERT .............................................. 27

A. Sicherheitsmanagement ......................................................................... 27

B. Zugriffsverwaltung ................................................................................. 28

C. Personelle Sicherheitsmaßnahmen ......................................................... 29

D. Physikalische und organisatorische Sicherheitsmaßnahmen ..................... 29

E. Laufende betriebliche Maßnahmen ........................................................ 30

F. Systementwicklung ................................................................................. 31

G. Erhaltung des ungestörten Betriebes und Behandlung von Zwischenfällen 31

VI. Sonstiges ................................................................................. 33

A. Kosten und Konditionen ......................................................................... 33

B. Einstellung der Tätigkeit ......................................................................... 33

C. Information gem. DSG 2000 ................................................................. 33

Anhang ........................................................................................ 34

AAAANHANGNHANGNHANGNHANG:::: Anhang A: Literaturliste ................................................................. 34

Anhang B: Dokumenteninformation ............................................... 36

ÄnderungsdokumentationÄnderungsdokumentationÄnderungsdokumentationÄnderungsdokumentation Definitionen und KurzbezeichnungenDefinitionen und KurzbezeichnungenDefinitionen und KurzbezeichnungenDefinitionen und Kurzbezeichnungen

A-CERT Certificate Policy OID-Nummer: 1.2.40.0.24.1.1.1.3, Version 1.6/Juli 2009 Seite 4/36

I.I.I.I. ÄÄÄÄNDERUNGSDOKUMENTATIONDERUNGSDOKUMENTATIONDERUNGSDOKUMENTATIONDERUNGSDOKUMENTATIONNNN

1. ÄNDERUNGEN 7. JULI 2009

- Klarstellung Bedeutung der verschiedenen Produkt- und Zertifikatsbezeichnungen

- Hinweis auf Beachtung der spezifischen GOVERNMENT -Policy-Anforderungen

- Definition der Verwendung von Zwischenzertifikate n - Klarstellungen und Ergänzungen in den Zertifizier ungsprozessen

auf Grund betrieblicher Erfahrungen - Anpassung der Gesetzeszitate an die Änderungen im Signaturgesetz

von 2008 - Integration der Policy für einfache Signaturen un d

Verschlüsselung (OID=1.2.40.0.24.1.1.5.1 + Gültigke itshistorie OID=1.2.40.0.24.1.1.5.99) und für Clienten-Zertifik ate (OID=1.2.40.0.24.1.1.9.1 + Gültigkeitshistorie OID=1.2.40.0.24.1.1.9.99)

- Definition der Rolle von Dienstleistern, Zertifiz ierungspartnern und Vertriebspartnern

- Änderung der Vereinsangaben (entfernen der Bankve rbindungsdaten, Anpassen der Kontaktdaten)

- Ergänzungen und Korrekturen in der Literaturliste - redaktionelle Berichtigungen (Schreib- und Nummer ierungsfehler)

2. ÄNDERUNGEN 12. APRIL 2007

- Konformität mit ETSI 102 042 hinzugefügt - Klarstellung zur sicheren Aufbewahrung des privat en Schlüssels

bei einfachen Signaturen, wie A-CERT CLIENT - Ergänzungen zur Aufbewahrung des privaten Schlüss els in der

Signaturerstellungseinheit - Regeln zum Eintrag der Signaturerstellungseinheit als X.509v3-

Erweiterung im Zertifikat und als zusätzliche Infor mation im Verzeichnisdienst ldap://ldap.a-cert.at:389

- Abgrenzung zwischen Herausgeber und Zertifizierun gsdienst präzisiert

- OID-Nummer für englische Übersetzung der Policy v ergeben - redaktionelle Berichtigungen (Schreib- und Nummer ierungsfehler)

3. ÄNDERUNGEN 12. DEZEMBER 2005

- Hinzufügen der OID-Nummer dieses Dokuments in das Deckblatt des Dokuments

- Festlegung der Aufbewahrungsdauer der Zertifizierungsdokumentation auf 35 Jahre

- Definition von Testzertifikaten und Festlegen ein er die Testzertifikate kennzeichnende OID-Nummer

- Einfügen einer X.509v3-Erweiterung zur Kennzeichn ung von Testzertifikaten

ÄnderungsdokumentationÄnderungsdokumentationÄnderungsdokumentationÄnderungsdokumentation Definitionen und KurzbezeichnungenDefinitionen und KurzbezeichnungenDefinitionen und KurzbezeichnungenDefinitionen und Kurzbezeichnungen


- Erweiterung der Widerrufsmöglichkeiten der Zertif ikate durch den Herausgeber

- redaktionelle Berichtigungen (Schreib- und Nummer ierungsfehler)

4. ÄNDERUNGEN 4. OKTOBER 2004

- Ergänzung bei der Identitätsprüfung des Antragste llers (Signators)

5. ÄNDERUNGEN 22. SEPTEMBER 2004

- Ergänzungen bei der Erstellung des Private Key du rch den Signator

6. STAMMFASSUNG 11. SEPTEMBER 2004

GrundlagenGrundlagenGrundlagenGrundlagen Definitionen und KurzbezeichnungenDefinitionen und KurzbezeichnungenDefinitionen und KurzbezeichnungenDefinitionen und Kurzbezeichnungen


II.II.II.II. GGGGRUNDLAGENRUNDLAGENRUNDLAGENRUNDLAGEN

A.A.A.A. DDDDEFINITIONEN UND EFINITIONEN UND EFINITIONEN UND EFINITIONEN UND KKKKURZBEZEICHNUNGENURZBEZEICHNUNGENURZBEZEICHNUNGENURZBEZEICHNUNGEN Herausgeber Herausgeber dieser Certificate Policy ist die ARGE DATEN - Österreichische Gesellschaft für Datenschutz als Er bringer aller zu A-CERT zugeordneten Zertifizierungsdienste. fortgeschrittene Signatur elektronische Signatur im Sinne § 2 Z 3 [SigG], Zer tifikate werden entsprechend den Vorgaben des [SigG] ausgegeben. qualifizierte Signatur elektronische Signatur im Sinne § 2 Z 3a [SigG], Ze rtifikate werden entsprechend den Vorgaben des [SigG] ausgege ben. qualifiziertes Zertifikat Zertifikat im Sinne § 2 Z 9 [SigG], Zertifikate wer den entsprechend den Vorgaben des [SigG] ausgegeben. einfache Signatur elektronische Signatur im Sinne § 2 Z 1 [SigG], die weder den Anforderungen der fortgeschrittenen Signatur, noch denen der qualifizierten Signatur entspricht, Zertifikate wer den entsprechend den Vorgaben des [SigG] ausgegeben. Root-Zertifikat Zertifikat, dass als oberste Instanz nur von sich s elbst unterschrieben wird (auch Self-Signed-Zertifikat). Stamm-Zertifikat Zertifikat, dass die Ausstellung weiterer Zertifika te erlaubt und von einem übergeordneten Zertifikat unterschrieben ist. Sub-Zertifikat Zertifikat, dass von einem Stamm-Zertifikat untersc hrieben ist. A-CERT Ist der Sammelbegriff für alle Zertifizierungsdiens te des Herausgebers. Unterschiedliche Zertifizierungsdiens te werden mit Zusätzen zu A-CERT gekennzeichnet. Die A-CERT Websi te ist unter http://www.a-cert.at abzurufen. ADVANCED Zusatz im Zertifikatsnamen (im Rahmen des X.509v3-S tandards Teil der CN-Bezeichnung, z.B. A-CERT ADVANCED). Bezeichn et Zertifikate, die für die Erstellung fortgeschrittener Signaturen geeignet sind.



GOVERNMENT Zusatz im Zertifikatsnamen (im Rahmen des X.509v3-S tandards Teil der CN-Bezeichnung, z.B. A-CERT GOVERNMENT). Bezeic hnet Zertifikate, die für die Erstellung von Amtssignatu ren nach dem österreichischen E-Government-Gesetz geeignet sind. Diese Zertifikate sind gleichzeitig für fortgeschrittene Signaturen geeignet. Die Beschränkungen der Vergabe von Zertif ikaten zur Amtssignatur sind in der GOVERNMENT-Policy (OID=1.2.40.0.24.1.1.3.1) beschrieben und unter http://www.a-cert.at/certificate-policy.html abrufbar. COMPANY Zusatz im Zertifikatsnamen (im Rahmen des X.509v3-S tandards Teil der CN-Bezeichnung, z.B. A-CERT COMPANY). Bezeichne t Zwischenzertifikate, die gemäß den Regeln zur Ausst ellung von Zertifikaten für fortgeschrittene Signaturen ausges tellt werden und die zur Erstellung von Zertifikaten (Sub-Zertif ikate) und weiterer Zwischenzertifikate (Sub-CAs) geeignet sin d. Die Regeln zur Vergabe der Sub-Zertifikate und Sub-CAs werden durch eigene COMPANY-Policies definiert. Fehlt eine eigene COMPA NY-Policy, dann ist die vorliegende Policy, beschränkt auf Zertifik ate für einfache Signaturen, in Verbindung mit der COMPANY- Policy (OID=1.2.40.0.24.1.1.2.1) anzuwenden. Diese ist unter http://www.a-cert.at/certificate-policy.html abrufb ar. QUALIFIED Zusatz im Zertifikatsnamen (im Rahmen des X.509v3-S tandards Teil der CN-Bezeichnung, z.B. A-CERT QUALIFIED). Bezeich net qualifizierte Zertifikate, die für die Erstellung q ualifizierter Signaturen geeignet sind. Diese Zertifikate unterli egen zusätzlichen Anwendungsbeschränkungen. CLIENT, SERVERCERT, FREECERT, DEMO Weitere mögliche Zusätze im Zertifikatsnamen (im Ra hmen des X.509v3-Standards Teil der CN-Bezeichnung, z.B. A-C ERT CLIENT, A-CERT SERVERCERT). Bezeichnet Zertifikate, die für die Erstellung sonstiger Signaturen (einfache Signaturen) und zur Verschlüsselung geeignet sind. Sonstige nicht angeführte Zusätze be zeichnen immer Zertifikate, die ausschließlich zur Erstellung einf acher Signaturen und zur Verschlüsselung geeignet sind. Policy Die in diesem Dokument beschriebene A-CERT Certific ation Policy wird im Folgenden kurz als "Policy" bezeichnet. Die se Policy ist als Rahmen zu verstehen, innerhalb dessen die Zertifizierungsdienste erbracht werden. Dieser Rahm en kann nicht erweitert werden. Eine Einschränkung der Anwendbark eit der Policy auf bestimmte Zertifizierungsfälle und Signaturvorg änge ist jedoch durch Vereinbarungen möglich. Die AGB's des Herausg ebers oder zusätzliche Vereinbarungen der Partnerunternehmen k önnen jedoch nicht die vorliegende Policy ganz oder teilweise au ßer Kraft setzen. Die zu A-CERT ADVANCED gültige Policy wird im vorliegenden Dokument beschrieben und hat die OID-Nummer 1.2.40. 0.24.1.1.1.3. Historische Versionen des Dokuments sind bei der Au fsichtsstelle



abzurufen oder unter der OID-Nummer 1.2.40.0.24.1.1 .1.99 auf der Website des Herausgebers abgelegt. Die englische Üb ersetzung dieser Policy ist unter der OID-Nummer 1.2.40.0.24. 1.1.1.12 abgelegt. Testzertifikate Bezeichnet Zertifikate, die auf Basis des X.509v3-S tandards zu Testzwecken ausgestellt werden. Eine Identitätsprüf ung der Antragsteller (Signatoren) findet nicht statt. Test zertifikate sind erkennbar, wenn zumindest eine der Bedingungen erfüllt ist: - bei X509v3-Zertifikaten lautet die CN-Bezeichnung des

Herausgebers (Issuer) A-CERT FREECERT, A-CERT ADVANCED TEST, A-CERT GOVERNMENT TEST, allgemein A-CERT *** TEST

- bei X509v3-Zertifikaten hat die O-Bezeichnung (Organisationsbezeichnung) des Antragstellers (Subj ect) den führenden Vermerk "Test: ", bei Privatpersonen den Eintrag "Testzertifikat",

- bei X509v3-Zertifikaten enthält das Zertifikat di e zusätzliche X.509v3-Erweiterung 1.2.40.0.24.4.1.0=DER:01:01:FF (Testeigenschaft = TRUE),

- bei anderen Zertifikatstypen sind Herausgeber- un d/oder Antragstellerangaben so zu wählen, das ihre Testeig enschaft eindeutig zum Ausdruck kommt.

Die Kennzeichen eines Testzertifikats können in bel iebigen Kombinationen auftreten. Für diese Zertifikate gilt abweichend die Certificate Policy für Testzertifikate (OID-Nummer: 1.2.40.0.24.1.1.4.1). Antragsteller Der Signator, der auf Basis dieser Policy, der AGB' s des Herausgebers und allfälliger zusätzlicher Geschäfts bedingungen der Partnerunternehmen einen Antrag auf die Ausstellung eines Zertifikats stellt, wird im Folgenden als Antragste ller bezeichnet. Registrierungsstelle Die Geschäftsstellen des Herausgebers und weitere v om Herausgeber autorisierte Stellen die zur Entgegennahme und Prüf ung von Zertifizierungsanträgen berechtigt sind. Personen, die die Entgegennahme und Prüfung der Zertifizierungsanträg e durchführen werden als Zertifizierungspartner des Herausgebers bezeichnet. Dienstleister Einrichtungen, die vom Herausgeber mit der technisc hen oder wirtschaftlichen Umsetzung von Zertifizierungsdiens ten teilweise oder ganz betraut sind. Vertriebspartner Einrichtungen, die mit dem Herausgeber spezifische Vertriebsvereinbarungen haben. Die Liste der Vertri ebspartner ist über die Website des Herausgebers abrufbar. autorisierte Person

GrundlagenGrundlagenGrundlagenGrundlagen ÜberblickÜberblickÜberblickÜberblick


Natürliche Person, die zur Prüfung von Zertifizieru ngsanträgen berechtigt ist. Dies können Mitarbeiter des Herausg ebers, einer Registrierungsstelle, eines Dienstleisters, vertrag lich berechtigte Zertifizierungspartner oder Mitarbeiter von Anbietern kommerzieller Identifizierungsdienste sein. Signaturbestimmungen Gesamtheit der in den Dokumenten [SigG], [SigV], [S igRL] (=EU-Signaturrichtlinie) verabschiedeten Bestimmungen. Beteiligte Gesamtheit aller Personen, die dieser Policy unterw orfen sind. Insbesondere sind dies der Herausgeber, Registrieru ngsstellen, Dienstleister und Zertifizierungspartner in Hinblic k auf Antragsprüfung, Ausgabe, Archivierung und Widerruf von Zertifikaten im Sinne dieser Policy. Weiters der Si gnator im Rahmen der Anwendung des Zertifikats bei elektronis chen Signaturen und der Empfänger eines Zertifikates im Zusammenhan g mit einer elektronischen Signatur im Rahmen der Prüfung der z ulässigen Verwendung des Zertifikates. Aufsichtsbehörde Die für die A-CERT Zertifizierungsdienste zuständig e Aufsichtsbehörde. Bestätigungsstelle Nach dem österreichischen Signaturgesetz (§ 19 SigG ) eingerichtete Bestätigungsstelle oder eine nach einer auf Basis d er EU-Richtlinie 1999/93/EG [SigRL] erlassenen gesetzlich en Bestimmung in einem anderen Staat eingerichtete Bestätigungsst elle für sichere Signaturerstellungseinheiten (§ 18 Abs. 5 3 . Satz SigG). Ansonsten werden die Begriffe gemäß [SigG], [SigVO] , [SigRL], [X.509v3], [RFC5280] und [RFC3647] oder anderer in Fehler! Verweisquelle konnte nicht gefunden werden. (p Fehler! Textmarke nicht definiert. ) genannten Dokumente verwendet.

B.B.B.B. ÜÜÜÜBERBLICKBERBLICKBERBLICKBERBLICK Die vorliegende Certificate Policy enthält alle Reg eln für die Ausstellung und Verwendung von Zertifikaten für ein fache und fortgeschrittene Signaturen. Die Zertifikate entspr echen der Definition § 2 Abs. 8 [SigG]. Die Certificate Polic y entspricht den Vorgaben „Normalized Certificate Policy“ (NCP) in [ETSI TS 102 042]. Diese Policy wurde in Übereinstimmung mit den Signa turbestimmungen verfasst und bildet gemeinsam mit den "A-CERT Allge meine Betriebs- und Nutzungsbedingungen" (AGBs) und der - soweit ge mäß [SigG] erforderlichen - Anzeige bei der Aufsichtsbehörde d ie Grundlage für die Verwendung von A-CERT Zertifikaten durch de n Signator.

GrundlagenGrundlagenGrundlagenGrundlagen AnwendungsbereichAnwendungsbereichAnwendungsbereichAnwendungsbereich


Änderungen auf Grund gesetzlicher Änderungen werden zum Zeitpunkt des Inkrafttretens der gesetzlichen Bestimmungen wi rksam, sonstige Änderungen vier Wochen nach Verlautbarung auf der W ebsite von A-CERT.

C.C.C.C. AAAANWENDUNGSBEREICHNWENDUNGSBEREICHNWENDUNGSBEREICHNWENDUNGSBEREICH Die A-CERT Certificate Policy gilt für alle Zertifi kate, die für einfache und fortgeschrittene Signaturen ausgestell t wurden. Weiters gilt die Policy auch für alle Dienste, die mittels A-CERT Zertifikaten vom Herausgeber selbst betrieben werde n. Die ausgestellten Zertifikate können vom Betreiber sowohl zur Durchführung von Signatur- und Geheimhaltungsoperat ionen, als auch zum Signieren einzelner elektronischer Dokumente (D ateien) verwendet werden. Die mittels dieser Policy ausgestellten Zertifikate (Zertifikate mit der Zusatzbezeichnung ADVANCED, GOVERNMENT bzw. QUALIFIED) sind auch zur Erstellung von Signaturen im Sinne de s § 2 Z 3 (fortgeschrittene Signaturen) [SigG] geeignet.

Verpflichtungen und HaftungsbestimmungenVerpflichtungen und HaftungsbestimmungenVerpflichtungen und HaftungsbestimmungenVerpflichtungen und Haftungsbestimmungen Verpflichtungen des HerausgebersVerpflichtungen des HerausgebersVerpflichtungen des HerausgebersVerpflichtungen des Herausgebers


III.III.III.III. VVVVERPFLICHTUNGEN UND ERPFLICHTUNGEN UND ERPFLICHTUNGEN UND ERPFLICHTUNGEN UND HHHHAFTUNGSBESTIMMUNGENAFTUNGSBESTIMMUNGENAFTUNGSBESTIMMUNGENAFTUNGSBESTIMMUNGEN

A.A.A.A. VVVVERPFLICHTUNGEN DES ERPFLICHTUNGEN DES ERPFLICHTUNGEN DES ERPFLICHTUNGEN DES HHHHERAUSGEBERSERAUSGEBERSERAUSGEBERSERAUSGEBERS Der Herausgeber verpflichtet sich sicherzustellen, dass alle Anforderungen, die im Abschnitt III dargelegt sind, den Beteiligten zur Kenntis gebracht werden und die Erf üllung vertraglich vereinbart wird. Der Herausgeber ist verantwortlich für die Einhaltu ng aller Geschäftsprozesse zu Ausstellung, Verwaltung und Wi derruf von Zertifikaten, die in der gegenständlichen Policy be schrieben sind; dies gilt auch für jene Funktionen, deren Ausführun g an Vertragspartner ausgegliedert wurden (z. B. Führung eines Verzeichnisdienstes, Vertrieb, Identitätsprüfung). Es sind keine zusätzlichen Verpflichtungen direkt o der durch Referenzierung in den Zertifikaten ausgewiesen. Zertifikate zu Schlüsseln, die mit Verfahren erstel lt werden, die gemäß Signaturverordnung oder gemäß der Entscheidun g der Aufsichtsstelle oder anerkannter Standardisierungsg remien (insbesondere gemäß den speziellen Empfehlungen [ET SI SR 002 176] bzw. des ab 2009 geplanten Folgestandards ETSI TS 1 02 176) als nicht mehr sicher anzusehen sind, werden vom Heraus geber widerrufen. Der Herausgeber behält sich das Recht vor, auch dan n Zertifikate zu widerrufen, wenn die verwendeten Verfahren nach internen Erkenntnissen nicht mehr sicher sind oder die entha ltenen Eigenschaften irreführend oder unvollständig sind. Erfolgt der durch den Herausgeber veranlasste Wider ruf vor Ablauf der vertraglich vereinbarten Gültigkeitsdauer des Z ertifikats, hat der Signator für die Dauer der vertraglich vereinba rten Restlaufzeit Anspruch auf Ausstellung eines gleichw ertigen, mit sicheren Verfahren hergestellten Zertifikats. Sonst ige Entschädigungen oder Kostenersätze sind nicht vorge sehen.

B.B.B.B. VVVVERPFLICHTUNGEN DES ERPFLICHTUNGEN DES ERPFLICHTUNGEN DES ERPFLICHTUNGEN DES SSSSIGNATORSIGNATORSIGNATORSIGNATORS Der Herausgeber bindet den Signator vertraglich an die Einhaltung der nachfolgend angeführten Verpflichtungen. Dem Antragsteller werden alle Vertragsbedingungen a uf der Website des Herausgebers zugänglich gemacht. Gleichzeitig m it dem Absenden des Bestellformulars bestätigt er deren Kenntnisnah me und Akzeptanz. Die dem Signator auferlegten Verpflichtungen umfass en:

Verpflichtungen und HaftungsbestimmungenVerpflichtungen und HaftungsbestimmungenVerpflichtungen und HaftungsbestimmungenVerpflichtungen und Haftungsbestimmungen Verpflichtungen des SignatorsVerpflichtungen des SignatorsVerpflichtungen des SignatorsVerpflichtungen des Signators


1. die Angabe vollständiger und korrekter Informati onen in Übereinstimmung mit den Anforderungen dieser Policy insbesondere anlässlich des Vorgangs der Registrier ung,

2. die Aufbewahrung des privaten Schlüssels in eine r Hardware-Einheit, zu der der Signator den alleinigen Zugriff hat (z.B. verschlüsseltes Abspeichern des privaten Schlüssels mittels Passwort bzw. Passphrase, spezielle Signaturerstellungseinheiten, die das Auslesen des privaten Schlüssels verhindern oder wesentlich erschweren). Im Fall einfacher Signaturen, wie zum Beispiel A-CE RT CLIENT, sind auch Zutrittsbeschränkungen und organisatorisc he Maßnahmen, die den Zugang zum Computer der das Zert ifikat enthält beschränken, als ausreichende Sicherheitsma ßnahmen im Sinne dieser Policy zu verstehen.

3. im Falle der Selbstgenerierung des privaten Schl üssels werden geeignete sichere Verfahren angewandt, die eine aus reichende Zufallsqualität bei der Schlüsselerzeugung gewährle isten, insbesondere sind dies ausdrücklich dafür vorgesehe ne Hardwarekomponenten, wie HSM-Module oder Softwareko mponenten, die es erlauben durch Systemereignisse die Zufallsq ualität zu erhöhen (Angabe von Dateien mit Zufallszahlen, Durc hführen von Mausbewegungen oder Tastaturanschlägen während der Schlüsselgenerierung). A-CERT behält sich vor, vom Signator vollständige Auskunft über den Schlüsselgenerierung svorgang zu verlangen und bei Bedenken bezüglich der Zufallsqua lität des Schlüssels einen Zertifizierungsantrag abzulehnen. Ungeeignete Verfahren zur Schlüsselgenerierung werden auf der W ebsite von A-CERT bekannt gemacht und dürfen nicht verwendet w erden,

4. die Anwendung entsprechender Vorsicht, um den un befugten Gebrauch des privaten Schlüssels zu verhindern und die sichere Vernichtung desselben nach Ablauf der Gültigkeitspe riode,

5. die unverzügliche Benachrichtigung des Herausgeb ers, wenn vor Ablauf der Gültigkeitsdauer eines Zertifikats eine oder mehrere der folgenden Bedingungen eintreten: - der private Schlüssel des Signators wurde möglich erweise

kompromittiert, - die Kontrolle über den privaten Schlüssel ging ve rloren, - die im Zertifikat beinhalteten Informationen sind inkorrekt

oder haben sich geändert, - die weitere Verwendung des Schlüssels im Sinne di eser Policy

ist nicht mehr erlaubt. 6. Die sichere Verwahrung des Schlüssels liegt in d er

ausschließlichen Verantwortung des Signators. Einsatz auslesbarer Datenträger für private Schlüss el: Soweit der private Schlüssel in auslesbaren Datentr ägern gespeichert ist (Diskette, USB-Stick, Festplatte us w.), verpflichtet sich der Signator zur getrennten Verwa hrung des notwendigen Passwortes und zur besonders sorgfältig en Verwahrung des Datenträgers. Bei transportablen Datenträgern ( Diskette, USB-Stick, CD, ...) erfolgt die Aufbewahrung in verschl ossenen, nur für den Signator zugänglichen Behältern, bei fix ei ngebauten Datenträgern (Festplatten) ist der Zugriff auf den Signator beschränkt. Systemadministratoren sind vertraglich zur Sicherung

Verpflichtungen und HaftungsbestimmungenVerpflichtungen und HaftungsbestimmungenVerpflichtungen und HaftungsbestimmungenVerpflichtungen und Haftungsbestimmungen Verpflichtungen des Empfängers von ZertifikatenVerpflichtungen des Empfängers von ZertifikatenVerpflichtungen des Empfängers von ZertifikatenVerpflichtungen des Empfängers von Zertifikaten


der Integrität des privaten Schlüssels zu verpflich ten. Es ist sicherzustellen, dass nur vom Signator veranlasste Kopien erstellt werden (gilt auch für Backupkopien). Weiters stellt der Signator nach dem Stand der Tech nik sicher, dass der verwendete Datenträger frei von Schadprogr ammen ist, die den privaten Schlüssel auslesen, kopieren oder sons twie verändern. Insbesondere unternimmt der Signator ausreichende S chutzmaßnahmen gegen Malware jeglicher Art, insbesondere Viren, Wü rmer, Programme mit Trapdoorfunktionen und Spyware-Programme.

C.C.C.C. VVVVERPFLICHTUNGEN DES ERPFLICHTUNGEN DES ERPFLICHTUNGEN DES ERPFLICHTUNGEN DES EEEEMPFÄNGERS VON MPFÄNGERS VON MPFÄNGERS VON MPFÄNGERS VON ZZZZERTIFIKATENERTIFIKATENERTIFIKATENERTIFIKATEN Zertifikate des Herausgebers sind nur im Rahmen die ser Policy gültig, daher müssen Empfänger folgende Prüfschritt e beachten: - Überprüfung der Gültigkeitsperiode und des Widerr ufsstatus des

Zertifikats unter Verwendung der vom Herausgeber bereitgestellten Abfragemöglichkeiten,

- Beachtung der im Zertifikat oder den veröffentlic hten Geschäftsbedingungen dargelegten Einschränkungen de r Nutzung des Zertifikats.

Bestehen Zweifel an der Gültigkeit des Zertifikats, ist immer mit dem Herausgeber direkt Kontakt aufzunehmen. Es werd en dann geeignete Maßnahmen zur Klärung der Gültigkeit des Zertifikats gesetzt.

D.D.D.D. HHHHAFTUNGAFTUNGAFTUNGAFTUNG Der Herausgeber haftet - für seinen Verantwortungsbereich für die Einhaltu ng dieser

Policy, insbesondere für die darin festgelegten Maß nahmen zur prompten Veröffentlichung von Widerrufslisten und d ie Einhaltung der in der Policy genannten Widerruf-Sta ndards (ITU X.509v2).

- dafür, Antragsteller, Signatoren und Empfänger vo n Signaturen und Zertifikaten über ihre Verpflichtungen zur Beac htung der Policy nachweislich in Kenntnis gesetzt zu haben. D er Nachweis der Kenntnisnahme ist jedenfalls erbracht, wenn die vom Herausgeber ausgegebenen Zertifikate eindeutige Ver weise auf die Dokumentationsstellen für die anzuwendende Poli cy enthält.

- dafür, dass die im Zertifikat enthaltenen Daten d es Antragstellers zum Zeitpunkt der Ausstellung des Ze rtifikats überprüft wurden und keine Abweichungen der Daten g egenüber den Prüfverzeichnissen und vorgelegten Dokumenten festg estellt wurden. Die Prüfmaßnahmen sind in dieser Policy dok umentiert, die verwendeten Prüfverzeichnisse ergeben sich aus der Art des Antragstellers und können sachlich und regional unterschiedliche Quellen umfassen. Welche Quellen f ür welche Antragsteller verwendet werden, wird im Detail im R ahmen der internen Prozessdokumentation geregelt.

- dafür, dass Hinweisen einer fehlerhaften Identitä tsprüfung durch eine Registrierungsstelle oder anderen vom He rausgeber

Verpflichtungen und HaftungsbestimmungenVerpflichtungen und HaftungsbestimmungenVerpflichtungen und HaftungsbestimmungenVerpflichtungen und Haftungsbestimmungen HaftungHaftungHaftungHaftung


autorisierten Personen und Stellen in jedem Fall na chgegangen wird und Zertifikate ohne ausreichende Identifikati on des Signators nicht freigegeben oder bei Zweifel einer ordnungsgemäßen Identitätsprüfung unverzüglich wide rrufen werden.

Der Herausgeber haftet nicht, falls er nachweisen k ann, dass ihn an der Verletzung der oben angeführten Verpflichtun gen keine Schuld trifft, dies trifft insbesondere zu, wenn An tragsteller oder Signatoren ausgegebene Zertifikate entgegen de r gültigen Policy verwenden oder Empfänger von Signaturen und Zertifikaten es unterlassen Gültigkeitszeitraum, bestehende Widerru fe oder sonstige Beschränkungen einer durch ein Zertifikat des Herausgebers bestätigten Unterschrift zu beachten.

Spezifikationen zur Erbringung von ZertifizierungsdienstenSpezifikationen zur Erbringung von ZertifizierungsdienstenSpezifikationen zur Erbringung von ZertifizierungsdienstenSpezifikationen zur Erbringung von Zertifizierungsdiensten AllgemeinesAllgemeinesAllgemeinesAllgemeines


IV.IV.IV.IV. SSSSPEZIFIKATIONEN ZUR PEZIFIKATIONEN ZUR PEZIFIKATIONEN ZUR PEZIFIKATIONEN ZUR EEEERBRINGUNG VON RBRINGUNG VON RBRINGUNG VON RBRINGUNG VON

ZZZZERTIFIZIERUNGSDIENSTERTIFIZIERUNGSDIENSTERTIFIZIERUNGSDIENSTERTIFIZIERUNGSDIENSTENENENEN

A.A.A.A. AAAALLGEMEINESLLGEMEINESLLGEMEINESLLGEMEINES Im Rahmen dieser Policy werden folgende (Teil-)Dien ste spezifiziert: Bereitstellung von Registrierungsdien sten, Zertifikatsgenerierung, Zertifikatsausgabe, Widerru fsdienste und Abfragedienste über den Zertifikatsstatus.

B.B.B.B. OOOOPERATIVE PERATIVE PERATIVE PERATIVE MMMMAßNAHMEN ZUR AßNAHMEN ZUR AßNAHMEN ZUR AßNAHMEN ZUR BBBBEREITSTELLUNG DES EREITSTELLUNG DES EREITSTELLUNG DES EREITSTELLUNG DES

ZZZZERTIFIZIERUNGSDIENSTERTIFIZIERUNGSDIENSTERTIFIZIERUNGSDIENSTERTIFIZIERUNGSDIENSTESESESES Zur Gewährleistung eines ordnungsgemäßen und in jed em Schritt nachvollziehbaren Zertifizierungsprozesses wurden f olgende Maßnahmen ergriffen: 1. Die für die Zertifizierung notwendigen Prozesse sind vom

Herausgeber vollständig dokumentiert. 2. Über die Website des Herausgebers werden sowohl diese Policy,

die allgemeinen Betriebs- und Nutzungsbedingungen ( AGB's), als auch laufende Informationen zu den angebotenen Dien sten und verwendeten Verfahren zugänglich gemacht.

3. Der Vorstand des Herausgebers genehmigt die notw endigen Dokumentationen und Zertifizierungsrichtlinien und ernennt jene Personen und externe Vertragspartner, die für die o perative Umsetzung verantwortlich sind. Verabschiedung und E rnennung werden schriftlich dokumentiert.

4. Der Vorstand des Herausgeber entscheidet auch, a n welchem Ort die Zertifizierungen stattzufinden haben.

5. Über die Website bzw. sofern bei den Zertifikats inhabern verfügbar per eMail wird zeitgerecht über Änderunge n informiert, die in der Certification Policy vorgeno mmen werden. Die aktuelle Version ist jeweils online abrufbar.

6. Die den Betrieb des Zertifizierungsdienstes betr effenden Ereignisprotokolle werden 35 Jahre aufbewahrt.

7. Der Vorstand kann für die Dienste dieser Policy eine geeignete bevollmächtigte Person oder einen geeigneten Dienst leister beauftragen. Diesem obliegen auch die Festlegung un d Umsetzung aller operativen Maßnahmen inkl. der Festlegung der erforderlichen Dokumentationen, Zertifizierungsrich tlinien und Betriebsstandorte.

Spezifikationen zur Erbringung von ZertifizierungsdienstenSpezifikationen zur Erbringung von ZertifizierungsdienstenSpezifikationen zur Erbringung von ZertifizierungsdienstenSpezifikationen zur Erbringung von Zertifizierungsdiensten Schlüsselverwaltung Herausgeber (CSchlüsselverwaltung Herausgeber (CSchlüsselverwaltung Herausgeber (CSchlüsselverwaltung Herausgeber (CA Schlüssel)A Schlüssel)A Schlüssel)A Schlüssel)


C.C.C.C. SSSSCHLÜSSELVERWALTUNG CHLÜSSELVERWALTUNG CHLÜSSELVERWALTUNG CHLÜSSELVERWALTUNG HHHHERAUSGEBER ERAUSGEBER ERAUSGEBER ERAUSGEBER (CA(CA(CA(CA SSSSCHLÜSSELCHLÜSSELCHLÜSSELCHLÜSSEL))))

1. ERZEUGUNG DER CA SCHLÜSSEL

Die notwendigen Schlüssel zur Erbringung der Zertifizierungsdienste gemäß dieser Policy werden i n einem dedizierten System nach dem Vier-Augen-Prinzip gene riert. Soweit diese Schlüssel zur Ausstellung von qualifizierten Zertifikaten verwendet werden, werden sie in Systemen erstellt, die den Anforderungen [ETSI TS 101 456] in der zum Zeitpunk t der Schlüsselerstellung gültigen Version insbesondere g emäß § 3 [SigVO] entsprechen. Die verwendeten Algorithmen und Schlüssellängen ent sprechen den zum Zeitpunkt der Erstellung gültigen technischen E mpfehlungen der jeweils zutreffenden Aufsichtsbehörde, nationalen o der internationalen Bestimmungen, den ETSI-Standards od er den Vorgaben anderer (privater oder staatlicher) Einrichtungen, die zur Prüfung der Zertifizierungsdienste des Herausgebers herange zogen werden. Soweit die verschiedenen Empfehlungen unterschiedli che Anforderungen und Sicherheitsniveaus beschreiben wi rd jene Variante gewählt die zumindest den Mindestanforderu ngen aller relevanten Empfehlungen entspricht.

2. SPEICHERUNG DER CA SCHLÜSSEL

Der Schlüssel bleibt im für die Durchführung der Ze rtifizierung vorgesehenen System gespeichert. Darüber hinaus wer den keine Sicherungskopien erstellt oder aufbewahrt. Die Verw endung des Schlüssels ist nur durch je zwei befugte Personen e rlaubt.

3. VERTEILUNG DER ÖFFENTLICHEN CA SCHLÜSSEL

Der Herausgeber stellt durch die folgenden Maßnahme n sicher, dass die Integrität und Authentizität der öffentlichen S chlüssel anlässlich der Verteilung gewahrt bleibt: - durch Übergabe des Root-Schlüssels zur Veröffentl ichung an die

Aufsichtsstelle durch Übermittlung eines signierten PKCS#10 Certificate Requests,

- durch Ausstellung und Veröffentlichung eines selb st signierten Root-Zertifikats auf der Website des Betreibers,

- durch freiwillige Zertifizierungen durch anerkann te (private oder staatliche) Audit- und Prüfeinrichtungen,

- durch Publikation und Integration in Software vertrauenswürdiger Drittfirmen. Der aktuelle Stand der Integration des Root-Zertifikates bei Drittfirmen k ann über die Website des Herausgebers abgerufen werden.

Im Zusammenhang mit Zertifikaten für fortgeschritte ne und einfache Signaturen muss zumindest eine der Veröffentlichung sformen erfüllt sein. Im Zusammenhang mit qualifizierten Zertifikat en ist

Spezifikationen zur Erbringung von ZerSpezifikationen zur Erbringung von ZerSpezifikationen zur Erbringung von ZerSpezifikationen zur Erbringung von Zertifizierungsdienstentifizierungsdienstentifizierungsdienstentifizierungsdiensten Schlüsselverwaltung SignatorSchlüsselverwaltung SignatorSchlüsselverwaltung SignatorSchlüsselverwaltung Signator


jedenfalls eine Veröffentlichung durch die vorgeseh ene Aufsichtsstelle erforderlich. Das Zertifikat des CA Schlüssels wird den Signatore n durch Veröffentlichung im Rahmen des Verzeichnisdienstes (ldap://ldap.a-cert.at:389) zugänglich gemacht. Der Herausgeber ge währleistet die Authentizität dieses Zertifikats.

4. SCHLÜSSELOFFENLEGUNG

Der geheime Schlüssel der Root CA ist nicht öffentl ich verfügbar.

5. VERWENDUNGSZWECK VON CA SCHLÜSSELN

Der private Schlüssel der Zertifizierungsstelle wir d nur für die Erstellung von den dafür ausdrücklich vorgesehenen Zertifikaten und für die Signatur der zugehörigen Widerrufsliste n innerhalb der für die Zertifizierung bestimmten Räumlichkeiten ve rwendet.

6. ENDE DER GÜLTIGKEITSPERIODE VON CA SCHLÜSSELN

Geheime Schlüssel zur Signatur von Zertifikaten wer den verwendet, solange die verwendeten Algorithmen als sicher im S inne II.A dieser Policy anzusehen sind. Schlüssel, die den Sicherheitsanforderungen nicht m ehr entsprechen oder aus anderen Gründen nicht mehr weiter betriebe n werden, werden gelöscht. Es erfolgt keine Archivierung nich t aktiver Schlüssel.

D.D.D.D. SSSSCHLÜSSELVERWALTUNG CHLÜSSELVERWALTUNG CHLÜSSELVERWALTUNG CHLÜSSELVERWALTUNG SSSSIGNATORIGNATORIGNATORIGNATOR Die Schlüssel des Signators werden abhängig vom bet riebenen Zertifizierungsdienst entweder vom Signator oder vo m Herausgeber erzeugt oder die Methode wird dem Signator freigest ellt. Die Methode wird bei der Anzeige des jeweiligen Dienste s der Aufsichtsbehörde bekannt gegeben. Werden Schlüssel zu qualifizierten Zertifikaten ers tellt, ist die Verwendung geeigneter dedizierter Signaturerstellun gseinheiten zwingend erforderlich. Geeignete Signaturerstellung seinheiten werden auf Anfrage vom Herausgeber bekannt gegeben oder auf der Website des Herausgebers veröffentlicht.

1. VERWAHRUNG DES PRIVATEN SCHLÜSSELS IN EINER

SIGNATURERSTELLUNGSEINHEIT BEIM SIGNATOR

Werden für die Signaturerstellungseinheit spezielle Hardwarekomponenten verwendet die das Auslesen des privaten Schlüssels verhindern, können diese von Bestätigung sstellen evaluiert sein, alternativ kann die Eignung durch

SpSpSpSpezifikationen zur Erbringung von Zertifizierungsdienstenezifikationen zur Erbringung von Zertifizierungsdienstenezifikationen zur Erbringung von Zertifizierungsdienstenezifikationen zur Erbringung von Zertifizierungsdiensten Schlüsselverwaltung SignatorSchlüsselverwaltung SignatorSchlüsselverwaltung SignatorSchlüsselverwaltung Signator


Selbstdeklaration des Herstellers gegeben sein. Wel chen Kriterien und Standards eine Signaturerstellungseinheit genüg t wird vom Herausgeber dokumentiert und kann über die Website des Herausgebers oder auf Anfrage beim Herausgeber abge rufen werden. Die Verwendung derartiger Signaturerstellungseinhei ten kann als X.509v3-Erweiterung im Zertifikat eingetragen werde n. Der Eintrag kann in folgender Form erfolgen: - Bereitstellung durch den Herausgeber - Angaben des Signators

a) BEREITSTELLUNG DURCH DEN HERAUSGEBER

Variante I: dedizierte Signaturerstellungseinheit Der private Schlüssel des Signators wird vom Heraus geber in einer dafür speziell geeigneten Signaturerstellungseinhei t generiert und nur in dieser Signaturerstellungeinheit ausgeliefer t. Es existiert keine Kopie des privaten Schlüssels in anderer Form . Das Zertifikat erhält dann folgenden X.509v3-Erweit erung: 1.2.40.0.24.4.1.1: <verwendete Hardware> Unter "<verwendete Hardware>" wird die handelsüblic he oder durch eine Bestätigungsstelle verwendete Bezeichnung zur eindeutigen Kennzeichnung der Hardware verwendet, z.B. "Aladdin eToken Pro64k" für einen USB-Token mit der evaluierten Komponente "CardOS V4.2 CNS with Application for Digital Signature" der Fir ma Siemens. Der aktuelle Stand der unterstützten Hardwarekompon enten und welche Bestätigungsstellen nach welchen gesetzliche n Bestimmungen die Evaluation durchführten, findet sich auf der We bsite des Herausgebers. Wird das Zertifikat im ldap-Verzeichnisdienst des H erausgebers veröffentlicht wird in den Stammdaten zusätzlich di e verwendete Hardware unter der Bezeichnung " acertIssuerInfo" eingetragen.

Spezifikationen zur Erbringung von ZertifizierungsdienstenSpezifikationen zur Erbringung von ZertifizierungsdienstenSpezifikationen zur Erbringung von ZertifizierungsdienstenSpezifikationen zur Erbringung von Zertifizierungsdiensten Zertifikate der AntragstellerZertifikate der AntragstellerZertifikate der AntragstellerZertifikate der Antragsteller


Variante II: gesicherte Erstellung des Schlüssels f ür den Signator Der private Schlüssel des Signators wird vom Heraus geber in einer dafür speziell betrieben Signaturerstellungsumgebun g und mit einem vom Signator vergebenen Passwort verschlüsselt. Die Übergabe des Schlüssels erfolgt entweder persönlich oder durch g esicherte (verschlüsselte) Datenübertragungswege. Zu keinem Übergabezeitpunkt kann auf den privaten Schlüssel o hne Kenntnis eines Passwortes zugegriffen werden. Kopien der pri vaten Schlüssels werden nach Ende des Übergabeverfahrens beim Herausgeber gelöscht. Allfällig vorhandene Backup-K opien werden beim Herausgeber so gesichert aufbewahrt, dass eine unbeabsichtigte Übernahme in produktive Systeme nic ht möglich ist.

b) ANGABEN DES SIGNATORS

Der Signator gibt an, mit welcher Hardware er den p rivaten Schlüssel generiert hat. Diese Angaben werden vom Herausgeber dahingehend ge prüft, ob das angegebene Produkt tatsächlich zur gesicherten Verw ahrung eines privaten Schlüssels geeignet ist. Grundlage dieser Überprüfung sind Herstellerangaben ("Selbst-Deklaration") oder Berichte von Bestätigungsstellen. Das Zertifikat erhält dann folgende X.509v3-Erweite rung: 1.2.40.0.24.4.1.2: <verwendete Hardware> Unter "<verwendete Hardware>" wird die handelsüblic he oder durch eine Bestätigungsstelle verwendete Bezeichnung zur eindeutigen Kennzeichnung der Hardware angegeben. Wird das Zertifikat im ldap-Verzeichnisdienst des H erausgebers veröffentlicht wird in den Stammdaten zusätzlich di e verwendete Hardware unter der Bezeichnung " acertSignerInfo" eingetragen.

c) ABSCHLUSS

Fehlen beide X509v3-Erweiterungen, dann gelten die Aufbewahrungsbestimmungen für den privaten Schlüsse l gemäß "Verpflichtungen des Signators Abschnitt: Einsatz a uslesbarer Datenträger für private Schlüssel" (p12).

E.E.E.E. ZZZZERTIFIKATE DER ERTIFIKATE DER ERTIFIKATE DER ERTIFIKATE DER AAAANTRAGSTELLERNTRAGSTELLERNTRAGSTELLERNTRAGSTELLER

1. ANTRAGSTELLUNG

Anträge zur Zertifizierung werden sowohl online als auch offline entgegen genommen. Die Maßnahmen und Abläufe zur Identifikation und Re gistrierung des Antragstellers orientieren sich am jeweiligen



Zertifizierungsdienst und können sowohl sachliche, als auch regionale Unterschiede aufweisen. Die Identifikation des Antragstellers gilt als abge schlossen, wenn keine sachlich begründeten Zweifel an der Identität des Antragstellers bestehen. Der Abschluss des Identifikationsprozesses / die erfolgreiche Identif ikation wird (a) durch Vorlage ausreichender gerichtlich oder no tariell beglaubigter Urkunden oder (b) durch schriftliche Bestätigung durch einen auto risierten Mitarbeiter des Herausgebers oder (c) durch einen autorisierten Zertifizierungspartne r des Herausgebers oder (d) durch sonstige kommerzielle Identitätsprüfdiens te, insbesondere von Logistikunternehmen bestätigt. Die vorliegende Policy beschreibt den grundlegenden Ablauf, der im Einzelfall auf Grund sachlicher oder rechtlicher Ge gebenheiten verfeinert werden kann. 1. Bevor der Vertrag zwischen dem Signator und dem Herausgeber

abgeschlossen wird, werden dem Signator die Geschäftsbedingungen und allfällige sonstige Bestim mungen zur Nutzung des Zertifikats elektronisch zugänglich gem acht.

2. Das Antragsformular und die Informationen sind ü ber die Website des Herausgebers oder der Vertriebspartner zugängli ch.

3. Der Zertifikatsantrag enthält folgende Mindestan gaben: den vollständigen Namen und die Anschrift des Signa tors.

4. Zusätzliche Angaben zur Person des Signators: Telefonnummer, Faxnummer und eMailadresse, Berufs- und Qualifikationsangaben, allenfalls weitere Kontaktda ten. Abhängig vom Zertifizierungsdienst können einzelne Angaben optional oder obligatorisch sein. Soweit der Signat or eine natürliche Person ist, sind die Angabe der Nummer e ines amtlichen Personaldokuments und der Name der ausste llenden Behörde erforderlich. Soweit das Dokument nicht im Original oder als beglaubigte Ausweiskopie zur Prüfung vorge legt wird, ist die Übermittlung einer Ausweiskopie an den Hera usgeber erforderlich. Beglaubigte Ausweiskopien sind jedenf alls im Original an den Herausgeber zu übermitteln.

5. Zusätzliche Angaben zur vertretenen Organisation : Wird von einer Person ein Zertifikat beansprucht, m it dem Rechtsgeschäfte für eine Organisation oder eine and ere Person erledigt werden können, dann sind folgende Zusatzin formationen obligatorisch: Name und Anschrift der Organisation/ Person und Organisationsform (z.B. eingetragener Verein, proto kolliertes Unternehmen, ...). Weiters ist zumindest eine Stell e anzugeben, die als Bestätigungsstelle für diese Organisation g eeignet ist (z.B. zugehörige Kammer, Firmenbuch, Vereinsbehörde , Aufsichtsbehörde, ...). Als Bestätigungsstelle sind grundsätzlich alle staatlich anerkannten Behörden u nd Organisationen geeignet, die öffentlich abrufbare V erzeichnisse führen und vor Aufnahme in diese Verzeichnisse eine



Identitätsprüfung durchführen. Sind Organisationen per Gesetz eingerichtet, ist statt der Bestätigungsstelle die Gesetzesstelle anzuführen, auf Grund der die Einric htung erfolgte. Zur Prüfung der Adressangaben der Organis ation werden das amtliche Telefonbuch oder der Amtskalender hera ngezogen. Organisationen, die weder bei einer geeigneten Bestätigungsstelle registriert sind noch per Gesetz eingerichtet sind, werden den Privatpersonen gleich gestellt behandelt. Die Organisationsangaben werden als opti onale Zusatzangaben, vergleichbar dem Beruf oder der Qual ifikation einer Privatperson angesehen. Weiters kann angegeben werden, für welche Aufgaben (Aufgabenbereiche) der Signator vertretungsbefugt i st (gegebenenfalls ist der Umfang wertmäßig oder vorga ngsmäßig zu begrenzen).

6. Angaben zum Zweck der Verwendung des Zertifikats : Die Angaben zum Zweck können je nach bereitgestellt em Zertifizierungsdienst optional oder obligatorisch s ein.

7. Kenntnisnahme und Zustimmung zu den Allgemeinen Betriebs- und Nutzungsbedingungen (AGB's) des Herausgebers, zur v orliegenden Policy und gegebenenfalls zu weiteren zertifizierun gsabhängigen Vereinbarungen.

8. Der Antragsteller hat ein Aktivierungspasswort a nzugeben, mit dessen Hilfe er nach erfolgter Zertifizierung Zugan g zu den bereitgestellten Unterlagen (persönliches Zertifika t, privater Schlüssel, ...) hat.

2. ANTRAGSPRÜFUNG

Die Antragsprüfung ist vollständig dokumentiert. Die Registrierungsstelle nimmt die folgenden Überpr üfungen des Antrags vor: - Prüfung der Organisation (gemäß vom Antragsteller vorgelegter

unbedenklicher Bescheinigungen, lt. Auskunft (inkl. Datenbankabfrage) einer zuständigen Bestätigungsste lle oder anhand von Datenbanken vertrauenswürdiger Dritter),

- Prüfung der Vertretungsbefugnis und der Angaben/U nterlagen der im Antrag genannten Personen,

- die Identitätsprüfung ist abgeschlossen, sofern d er Antrag persönlich in einer der Registrierungsstellen erfol gte und vom Antragsteller ein amtliches Personaldokument im Ori ginal vorgelegt wurde oder ein durch Gericht oder Notar b eglaubigter Identitätsnachweis im Original übermittelt wurde. I n allen anderen Fällen erfolgt der Abschluss der Identitäts prüfung im Zuge der Antragsbearbeitung (siehe "Antragsbearbeit ung" p22).

Zusätzliche Prüfungen werden ausdrücklich vorbehalt en und können erforderlich sein, wenn - die Auskünfte der Bestätigungsstellen ungenügend sind, - Zweifel an der Verfügungsberechtigung über bestim mte Nummern-

oder Namenselemente bestehen (etwa Verfügungsberech tigung über einen bestimmten Domainnamen),



- die Vertretungsbefugnis nicht ausreichend umschri eben bzw. dokumentiert ist,

- bei sonstigen Widersprüchen oder Unklarheiten im Zertifizierungsantrag.

3. ANTRAGSBEARBEITUNG

Zur Sicherung der Identität des Signators wird nach Erstellung des Zertifikats und/oder des privaten Schlüssels eine Zertifizierungsbestätigung zugestellt. Abhängig von der Antragstellung erfolgt die Zustell ung - bei Zertifikaten für fortgeschrittene Signaturen und

Amtssignaturen als gewöhnliche Post (soweit möglich auch als elektronische Post inkl. E-Mail oder Fax), sofern d ie Identitätsprüfung im Rahmen der Antragstellung abge schlossen wurde.

- bei Zertifikaten für fortgeschrittene Signaturen und Amtssignaturen über einen Zustelldienst, der auch e ine Identitätsprüfung bei der Übergabe von Dokumenten a nbietet (in Österreich ist das insbesondere die POST AG, , sofe rn die Identitätsprüfung noch nicht vollständig abgeschlos sen wurde. In Fall der POST AG werden Poststücke als "eingesch rieben, eigenhändig mit Rückschein" zugestellt, bei anderen Zustelldiensten werden gleichwertige Verfahren verw endet. Die Identitätsprüfung gilt in diesem Fall als abgeschlo ssen, wenn die zugestellte Zertifizierungsbestätigung untersch rieben retourniert wird und die darin enthaltene Unterschr ift mit der Unterschrift auf vorab vorgelegten amtlichen Dokume nten vergleichbar ist. Bei erheblichen Abweichungen wird über einen getrennten Weg ein Unterschriftsprobenblatt mit der aktuellen Unterschrift des Antragstellers angefordert.

- bei Zertifikaten für fortgeschrittene Signaturen und Amtssignaturen durch persönliche Abholung beim Hera usgeber oder einer Registrierungsstelle, sofern die Identitätspr üfung noch nicht vollständig abgeschlossen wurde. Die Identitä tsprüfung gilt als abgeschlossen, wenn die ausgehändigte Zertifizierungsbestätigung vor einer autorisierten Person unterschrieben wird und sich der Antragsteller durc h ein amtliches Dokument (Original) ausweisen kann. Der V organg ist durch die autorisierte Person zu bestätigen.

- bei qualifizierten Zertifikaten erfolgt die Zuste llung ident wie bei Zertifikaten für fortgeschrittene Signature n und Amtssignaturen, jedoch mit der Einschränkung, dass Signaturerstellungseinheiten jedenfalls eingeschrie ben zuzustellen sind.

- bei Zertifikaten für einfache Signaturen als gewö hnliche Post (sofern geeignet auch als elektronische Post inkl. E-Mail oder Fax), sofern keine vernünftigen Zweifel zu den Identitätsangaben des Antragstellers existieren.

Nach Erhalt und erfolgreicher Unterschriftsprüfung der vom Empfänger unterfertigten Zertifizierungsbestätigung wird der Zugang zu Zertifikat und/oder privatem Schlüssel fr eigeschalten.

Spezifikationen zur Erbringung von ZertifizierungsdienstenSpezifikationen zur Erbringung von ZertifizierungsdienstenSpezifikationen zur Erbringung von ZertifizierungsdienstenSpezifikationen zur Erbringung von Zertifizierungsdiensten ZertifikateZertifikateZertifikateZertifikate der Antragstellerder Antragstellerder Antragstellerder Antragsteller


Der Abruf dieser Informationen ist nur mit Hilfe de s vom Antragsteller selbst vergebenen Aktivierungspasswor ts und der in der Zertifizierungsbestätigung genannten Referenznu mmer möglich. Auf Grund dieser Maßnahmen ist sichergestellt, dass sowohl die Identität des Antragstellers ausreichend geprüft wi rd, als auch die gesamte Auftragsbearbeitung eindeutig verantwor tlichen Personen zugeordnet werden kann. Für Zertifikate, die bloß für einfache Signaturen v orgesehen sind, erfolgt die Zustellung in einer Form in der die Ken ntnisnahme durch den Empfänger als unbedenklich erscheint.

4. ANTRAGSARCHIVIERUNG

Der Zertifikatsantrag und alle damit im Zusammenhan g stehenden vom Antragsteller zugesandten und in Papierform vorlieg enden Daten und Dokumente (Ausweiskopien, ggf. Bestätigungen über d as Unternehmen und die Vertretungsbefugnis) werden auf die Dauer v on mind. 35 Jahren nach Ablauf der Gültigkeit elektronisch oder in Papierform in dem Umfang archiviert, dass die ursprüngliche An tragstellung, Zertifikatsausstellung und Zertifikatszustellung na chvollzogen werden können. Die privaten Schlüssel des Signators werden, sofern sie vom Herausgeber erstellt wurden und Kopien vorhanden si nd, nach Abruf durch den Signator und der Bestätigung des Signator s des korrekten Empfangs durch den Signator, beim Herausgeber gelös cht.

5. ZERTIFIKATERSTELLUNG

Der Herausgeber erstellt Zertifikate gem. der jewei ligen Anzeige bei der Aufsichtsbehörde oder auf Grund der auf sei ner Website veröffentlichten Produktbeschreibung. Insbesondere sind dies Zertifikate im X.509v3 Format oder im PGP-Format. Die eindeutige Zuordnung des Zertifikats zum Signat or ist sicher gestellt durch: - Erstellung des PKCS#10-Requests (bei X.509v3 Zert ifikaten) bzw.

eines PGP-Requests (bei PGP-Zertifikaten) als Grund lage für die Zertifizierung,

- Erzeugung des Zertifikats nach Überprüfung aller Antragsdaten auf ihre Korrektheit durch eine Registrierungsstell e oder

- Erzeugung des Zertifikats nach Überprüfung aller Antragsdaten an der Zertifizierungsstelle des Herausgebers.

Die in einer Registrierungsstelle erzeugten Zertifi katsdaten werden signiert und verschlüsselt (SSL) an die Zertifizierungsstelle des Herausgebers übertragen. Vertraulichkeit und Integrität sämtlicher Daten sind sicher gestell t.

Spezifikationen zur ErSpezifikationen zur ErSpezifikationen zur ErSpezifikationen zur Erbringung von Zertifizierungsdienstenbringung von Zertifizierungsdienstenbringung von Zertifizierungsdienstenbringung von Zertifizierungsdiensten Bekanntmachung der VertragsbedingungenBekanntmachung der VertragsbedingungenBekanntmachung der VertragsbedingungenBekanntmachung der Vertragsbedingungen


6. ZERTIFIKATSINHALT

Inhalt und technische Beschreibung des Zertifikats sind der jeweiligen Anzeige bzw. den Dokumentationen auf der Website des Herausgebers zu entnehmen. Bei der Verwendung von s tandardisierten Zertifikatsformaten (z.B. X509v3) genügt der Verwei s auf die anzuwendenden Standards.

7. VERLÄNGERUNG DER GÜLTIGKEITSDAUER EINES ZERTIFIKATS, AUSSTELLUNG VON WEITEREN ZERTIFIKATEN UND

NEUAUSSTELLUNGEN

Durch folgende Maßnahmen wird sicher gestellt, dass Anträge von Antragstellern, die anlässlich einer vorhergehenden Zertifikatsausstellung bereits registriert wurden, vollständig, korrekt und ordnungsgemäß autorisiert sind. Die Maßnahmen gelten sowohl für die Verlängerung de r Gültigkeitsdauer, für die Ausstellung weiterer glei chartiger Zertifikate, als auch für die Neuausstellung nach A blauf oder Widerruf eines Zertifikats. - Die Registrierungsstelle prüft die im Zertifikat enthaltenen

Daten hinsichtlich ihrer aktuellen Gültigkeit. - Änderungen in der vorliegenden Policy, in den

Geschäftsbedingungen und in den sonstigen Vereinbar ungen werden zur Kenntnis gebracht.

Ein bestehendes Zertifikat kann nicht verlängert we rden, es ist jedoch zulässig zu einem bestehenden privaten Schlü ssel bzw. zu einem bestehenden CSR ein neues Zertifikat mit neue r Laufzeit und neuen Zertifikatsangaben zu machen. Sofern das ursp rüngliche Zertifikat nicht schon abgelaufen ist, ist es zu wi derrufen.

F.F.F.F. BBBBEKANNTMACHUNG DER EKANNTMACHUNG DER EKANNTMACHUNG DER EKANNTMACHUNG DER VVVVERTRAGSBEDINGUNGENERTRAGSBEDINGUNGENERTRAGSBEDINGUNGENERTRAGSBEDINGUNGEN Der Herausgeber macht den Signatoren und den Benutz ern, die auf die Zuverlässigkeit der A-CERT Dienste vertrauen, d ie Bedingungen, die die Benutzung des jeweiligen Zertifikats betref fen, durch Veröffentlichung folgender Dokumente auf der A-CERT Website zugänglich: 1. die gegenständliche Certificate Policy, sofern f ür einen Dienst

erforderlich weitere in diesem Dokumenten bezeichne te Certificate Policies,

2. die Allgemeinen Betriebs- und Nutzungsbedingunge n, 3. ergänzende Beschreibungen zu den einzelnen

Zertifizierungsdiensten, 4. - sofern anwendbar - ein Verweis auf die Anzeige des

Zertifizierungsdienstes bei der Aufsichtsbehörde, 5. durch sonstige Mitteilungen.

Spezifikationen zur Erbringung von ZertifizierungsdienstenSpezifikationen zur Erbringung von ZertifizierungsdienstenSpezifikationen zur Erbringung von ZertifizierungsdienstenSpezifikationen zur Erbringung von Zertifizierungsdiensten Veröffentlichung der ZertifikateVeröffentlichung der ZertifikateVeröffentlichung der ZertifikateVeröffentlichung der Zertifikate


Änderungen werden dem Signator mittels Bekanntmachu ng auf der A-CERT Website und ggf. zusätzlich per e-mail oder brieflich mitgeteilt. Jedermann kann sie über die A-CERT Webs ite abrufen.

G.G.G.G. VVVVERÖFFENTLICHUNG DEERÖFFENTLICHUNG DEERÖFFENTLICHUNG DEERÖFFENTLICHUNG DER R R R ZZZZERTIFIKATEERTIFIKATEERTIFIKATEERTIFIKATE Grundsätzlich werden alle von A-CERT ausgestellten Zertifikate den Signatoren und den Überprüfern folgendermaßen verfü gbar gemacht: 1. Grundsätzlich werden alle Zertifikate in den

Verzeichnisdienst(en) von A-CERT veröffentlicht. Di e Nutzungsdetails werden auf der Website von A-CERT veröffentlicht.

2. Die Bedingungen für die Benutzung eines Zertifik ats werden von A-CERT allen Beteiligten in Form der Certificate Po licy zur Kenntnis gebracht.

4. Der Verzeichnisdienst ist an sieben Tagen pro Wo che jeweils 24 Stunden verfügbar. Unterbrechungen von mehr als 24h werden als Störfälle dokumentiert. Diese Dokumentation ist für Aufsichts- und Auditstellen zugänglich, bei Vorhandensein bere chtigter Interessen werden für einen relevanten Zeitraum die Unterlagen auch Dritten bereit gestellt.

5. Die Verzeichnisdienste sind öffentlich und inter national zugänglich.

Eine Aufnahme in den Verzeichnisdienst unterbleibt, wenn - der Signator es wünscht und - die Art des Zertifizierungsdienstes es erlaubt (w esentlich sind

der Inhalt der Anzeige bei der Aufsichtsbehörde, Vo rgaben durch Standards und Gesetze oder sonstige verbindliche re chtliche Vorgaben).

Auch zu den Zertifikaten die nicht im Verzeichnisdi enst automatisiert veröffentlicht werden, wird Auskunft über den Inhaber erteilt, sofern der Auskunftssuchende ein b erechtigtes rechtliches Interesse glaubhaft macht.

H.H.H.H. WWWWIDERRUFIDERRUFIDERRUFIDERRUF Um eine möglichst praxisnahe Nutzung der Zertifikat e zu gewährleisten, wird ein zweistufiges Widerrufskonze pt angewandt. Ein vorläufiger Widerruf wird sofort wirksam (auch bei mangelhafter oder unvollständiger Identitätsprüfung ) und wird beim Widerrufsgrund in der Widerrufsliste mit dem entspr echenden Zusatz vermerkt. Anschließend wird der Signator über das E inlangen des Widerrufs verständigt und um Bestätigung oder Aufhe bung des Widerrufsantrags ersucht. Ein vorläufiger Widerruf wird zu einem irreversible n Widerruf, wenn innerhalb von drei Werktagen eine Bestätigung erfolgt oder keine Aufhebung des Widerrufs verlangt wird.

Spezifikationen zur Erbringung von ZertifizierungsdienstenSpezifikationen zur Erbringung von ZertifizierungsdienstenSpezifikationen zur Erbringung von ZertifizierungsdienstenSpezifikationen zur Erbringung von Zertifizierungsdiensten WiderrufsinhaltWiderrufsinhaltWiderrufsinhaltWiderrufsinhalt


Ein irreversibler Widerruf erfolgt nach vollständig er Identitätsprüfung und führt zur vorzeitigen Beendig ung der Gültigkeit eines Zertifikats. Zum Widerruf berechtigt ist der Signator. Für die F älle, bei denen der Signator in Vertretung einer Person oder einer Organisation handelt, ist auch diese Person bzw. ein ausgewiesen er Vertreter der Organisation zum Widerruf berechtigt. Weiters i st der Herausgeber berechtigt jederzeit Zertifikate gemäß den Bedingungen unter "Verpflichtungen des Herausgebers" (p11) zu w iderrufen. Ein Widerrufsantrag kann formlos unter Angabe geeig neter Zertifikatsangaben und Kennzeichen (Produktbezeichn ung, Seriennummer, Fingerprint, ...) eingebracht werden. Anträge per Telefon, Fax, Post und e-mail werden während der Ge schäftszeiten Mo-Fr 9-17 Uhr (werktags) entgegen genommen und bea rbeitet. Widerrufe via http werden rund um die Uhr entgegen genommen und - sofern ausreichend spezifiziert - sofort automatisi ert bearbeitet (ansonsten werden sie wie e-mails behandelt). Sofern es die berechtigte widerrufende Stelle wünsc ht, kann sofort der irreversible Widerruf durchgeführt werden. Eben so sind Widerrufe, bei denen Berechtigung und Identität des Widerrufenden zweifelsfrei feststeht oder die der Herausgeber ver anlasst hat irreversibel. Nach Einlangen des Widerrufantrags ist der vorläufi ge Widerruf binnen 1 Stunde wirksam. Die über das Internet abrufbaren Widerrufslisten we rden nach jedem Widerruf aktualisiert, spätestens jedoch nach 30 Ta gen. Die Verzeichnisdienste für Widerrufslisten sind öff entlich und international zugänglich. Eine Veröffentlichungssperre ist bei widerrufenen Z ertifikaten nicht möglich.

I.I.I.I. WWWWIDERRUFSINHALTIDERRUFSINHALTIDERRUFSINHALTIDERRUFSINHALT Der Inhalt der Widerrufsliste ist - sofern anzeigep flichtig - der Anzeige des jeweiligen Zertifizierungsdienstes bei der Aufsichtsbehörde bzw. den Dokumentationen auf der W ebsite des Herausgebers zu entnehmen. Bei der Verwendung von s tandardisierten Zertifikatsformaten (z.B. X509v3) genügt der Verwei s auf die anzuwendenden Standards. Der Inhalt der Widerrufsliste entspricht bei Zertif ikaten die zur Amtssignatur oder zur fortgeschrittenen Signatur ge eignet sind [RFC3280].

Betriebsorganisation von ABetriebsorganisation von ABetriebsorganisation von ABetriebsorganisation von A----CERTCERTCERTCERT SicherheitsmanagementSicherheitsmanagementSicherheitsmanagementSicherheitsmanagement


V.V.V.V. BBBBETRIEBSORGANISATION ETRIEBSORGANISATION ETRIEBSORGANISATION ETRIEBSORGANISATION VON VON VON VON AAAA----CCCCERTERTERTERT

A.A.A.A. SSSSICHERHEITSMANAGEMENTICHERHEITSMANAGEMENTICHERHEITSMANAGEMENTICHERHEITSMANAGEMENT Der Herausgeber ist für die Gestaltung und Dokument ation aller Prozesse im Rahmen der Zertifizierungsdienste veran twortlich; dies gilt auch für die an Vertragspartner ausgelagerten Dienste. Die Aufgaben und zugeordneten Verantwortlichkeiten der Vertragspartner sind klar geregelt, weiters sind Kontrollen zur Übe rprüfung der ordnungsgemäßen Tätigkeit eingerichtet. Die für die Sicherheit relevanten Vorgehensweisen s ind in dieser Policy veröffentlicht. Zusätzlich behält sich der H erausgeber vor spezifische Sicherheitsmaßnahmen in einer nicht öff entlichen Security Policy festzulegen. Die Betriebsinfrastruktur des Herausgebers wird stä ndig überprüft und an geänderte Anforderungen angepasst. Jegliche Änderungen, die einen Einfluss auf das Ausmaß der erreichten Sicher heit haben, sind vom Vorstand des Herausgebers oder dem von ihn beauftragten Dienstleister zu genehmigen. Alle Sicherheitsmaßnahmen und sicherheitsrelevanten Funktionen zur Bereitstellung der Zertifizierungsdienste werden do kumentiert und entsprechend der Dokumentation implementiert und ge wartet. Der technische Betrieb erfolgt in den Räumen des He rausgebers oder bei entsprechend qualifizierten Vertragspartnern. D ie jeweils aktuellen Vertragspartner werden der Aufsichtsbehör de bekannt gegeben und auf der Website von A-CERT veröffentlic ht. Alle Vertragspartner sind an die Wahrung der Datensicher heit im Sinne dieser Policy, des DSG 2000, der Signaturbestimmung en und sonstiger zutreffender rechtlicher Bestimmungen und technischen Standards vertraglich gebunden. Zur Steuerung des Betriebs wurden vier Sicherheitss tufen eingeführt, die zu entsprechend unterschiedlichen b etrieblichen Sicherheitsmaßnahmen führen. - Stufe public: Umfasst alle Daten, die auch zur Ve röffentlichung

bestimmt oder geeignet sind. Der Zugriff auf diese Daten ist herausgeberintern nicht beschränkt, es werden jedoc h Maßnahmen zum Erhalt der Verfügbarkeit und der Datenintegritä t ergriffen.

Alle weiteren Stufen enthalten Daten, die nicht zur Veröffentlichung geeignet sind. Der Zugriff ist jew eils auf die für die Verwendung der Daten vorgesehenen Funktions träger beschränkt. Abstufungen ergeben sich weiters bei de n Maßnahmen zum Erhalt der Verfügbarkeit und der Datenintegrität.

Betriebsorganisation von ABetriebsorganisation von ABetriebsorganisation von ABetriebsorganisation von A----CERTCERTCERTCERT ZugriffsverwaltungZugriffsverwaltungZugriffsverwaltungZugriffsverwaltung


- Stufe administration: Umfasst alle Daten, die zur ordnungsgemäßen Betriebsführung im kaufmännischen S inn dienen, inkl. interne Dokumentationen, Buchhaltung, Kunden- und Interessentenadministration, Angebot- und Rechnungs legung.

- Stufe systemadministration: Umfasst alle Daten, d ie zur

Aufrechterhaltung und Weiterführung des IT-Betriebs dienen. - Stufe security: Umfasst alle Daten, die besondere n Prozessen

unterworfen sind, insbesondere sind dies die Daten die im unmittelbaren Zusammenhang mit Schlüsselerstellung und Zertifikatgenerierung stehen.

B.B.B.B. ZZZZUGRIFFSVERWALTUNGUGRIFFSVERWALTUNGUGRIFFSVERWALTUNGUGRIFFSVERWALTUNG Eine Benutzerverwaltung, die den verschiedenen Funk tionen unterschiedliche Zugriffsrechte einräumt, ist einge richtet; insbesondere werden sicherheitsrelevante von nicht sicherheitskritischen Funktionen sorgfältig getrenn t. Alle mit der Zertifizierung im unmittelbaren Zusammenhang stehen den technischen Prozesse sind zugriffsgesichert und erfordern - den Zutritt zu bestimmten, gesichert aufbewahrten

Hardwarekomponenten und/oder - die Eingabe von 1 bis 2 Passwörtern (im Falle von zwei

Passwörtern sind unterschiedliche Personen zwingend erforderlich).

Die individuellen Erfordernisse jedes einzelnen Pro zessschrittes sind dokumentiert. Mittels Firewalls wird das interne Netzwerk vor Zug riffen durch Dritte geschützt. Vertrauliche Daten werden bei Übertragung über unsi chere Netzwerke durch Verschlüsselung geschützt. Änderungen in den Zugriffsrechten werden im System unverzüglich nachgezogen. Die Kontrolle der Benutzerverwaltung i st Teil des internen Audits. Zugriff auf Informationen und Anwendungen ist auf G rund der vergebenen Zugriffsrechte eingeschränkt. Administra tive Prozesse (insbesondere Auftragsverwaltung, Abrechnung, Marke ting) und den Zertifizierungsbetrieb unmittelbar betreffende Proz esse sind getrennt. Das Personal muss sich vor jedem kritischen Zugriff auf Applikationen, die in Zusammenhang mit dem Zertifik atsmanagement stehen, authentifizieren. Die Zugriffe werden in Log-Dateien aufgezeichnet un d regelmäßig bezüglich der Rechtmäßigkeit geprüft. Das Personal wird für die ausgeführten Tätigkeiten zur Verantwortung gezogen.

Betriebsorganisation von ABetriebsorganisation von ABetriebsorganisation von ABetriebsorganisation von A----CERTCERTCERTCERT Personelle SicherheitsmaßnahmenPersonelle SicherheitsmaßnahmenPersonelle SicherheitsmaßnahmenPersonelle Sicherheitsmaßnahmen


Änderungen (Löschungen, Hinzufügungen) bei den Verz eichnis- und Widerrufsdiensten werden durch eine Signatur der Zertifizierungsstelle gesichert. Versuche des unautorisierten Zugriffs auf Verzeichn is- und Widerrufsdienste werden aufgezeichnet. Die Systemadministratoren und sonstiges mit Zertifizierungsaufgaben betrautes Personal werden z ur Einhaltung der Datensicherheitsbestimmungen gem. DSG 2000 § 14 vertraglich verpflichtet.

C.C.C.C. PPPPERSONELLE ERSONELLE ERSONELLE ERSONELLE SSSSICHERHEITSMAßNAHMENICHERHEITSMAßNAHMENICHERHEITSMAßNAHMENICHERHEITSMAßNAHMEN Die Mitarbeiter des Herausgebers sind als qualifizi ertes Personal besonders geeignet, die in dieser Policy verankerte n Bestimmungen umzusetzen und zu gewährleisten. - Sicherheitsrelevante Funktionen und Verantwortlic hkeiten werden

in den internen Stellenbeschreibungen und im intern en Rollenplan dokumentiert. Jene Funktionen, von denen die Sicherheit der Zertifizierungsdienste abhängt, sind eindeutig identifiziert.

- Für die Mitarbeiter des Herausgebers sind klare Stellenbeschreibungen ausgearbeitet, in denen die P flichten, Zugriffsrechte und Kompetenzen dargelegt sind.

- Alle Leitungsfunktionen sind mit Personen besetzt , die über Erfahrung mit der Technologie elektronischer Signat uren und Verschlüsselungen und mit der Führung von Personal, das Verantwortung für sicherheitskritische Tätigkeiten trägt, verfügen.

- Entsprechend § 10 Abs 4 [SigV] beschäftigt der He rausgeber keine Personen, die strafbare Handlungen begangen h aben, welche sie für eine vertrauenswürdige Position ungeeignet erscheinen lassen.

D.D.D.D. PPPPHYSIKALISCHE UND ORGHYSIKALISCHE UND ORGHYSIKALISCHE UND ORGHYSIKALISCHE UND ORGANISATORISCHE ANISATORISCHE ANISATORISCHE ANISATORISCHE

SSSSICHERHEITSMAßNAHMENICHERHEITSMAßNAHMENICHERHEITSMAßNAHMENICHERHEITSMAßNAHMEN Es ist sicher gestellt, dass der Zutritt zu Räumlic hkeiten, in denen sicherheitskritische Funktionen ausgeübt werd en, beschränkt ist und die Risken einer physischen Beschädigung vo n Anlagen minimiert sind. Insbesondere gilt: 1. Der Zugriff zu den Geräten, in denen Zertifizier ungs- und

Widerrufsdienste erbracht werden, ist auf autorisie rtes Personal beschränkt. Die Systeme, welche Zertifikat e ausstellen, sind vor Gefährdung durch Umweltkatastr ophen baulich geschützt.

BeBeBeBetriebsorganisation von Atriebsorganisation von Atriebsorganisation von Atriebsorganisation von A----CERTCERTCERTCERT Laufende betriebliche MaßnahmenLaufende betriebliche MaßnahmenLaufende betriebliche MaßnahmenLaufende betriebliche Maßnahmen


2. Es werden Maßnahmen ergriffen, um den Verlust, d ie Beschädigung oder die Kompromittierung von Anlagen und die Unter brechung des Betriebes zu verhindern.

3. Weitere Maßnahmen gewährleisten, dass eine Kompr omittierung oder ein Diebstahl von Daten und Daten verarbeitend en Anlagen nicht möglich ist.

4. Die Systeme für die Zertifikatsgenerierung und d ie Widerrufsdienste werden durch technische und organi satorische Maßnahmen in einer gesicherten Umgebung betrieben, sodass eine Kompromittierung durch unautorisierte Zugriffe nich t möglich ist.

5. Die Abgrenzung der Systeme für Zertifikatsgeneri erung und Widerrufsdienste erfolgt durch klar definierte Sicherheitszonen, d. h. durch räumliche Trennung vo n anderen organisatorischen Einheiten sowie physischen Zutrit tsschutz.

6. Die Sicherheitsmaßnahmen beinhalten den Gebäudes chutz, die Computersysteme selbst und alle sonstigen Einrichtu ngen, die für deren Betrieb unerlässlich sind. Der Schutz der Einrichtungen für die Zertifikatserstellung und Ber eitstellung der Widerrufsdienste umfasst physische Zutrittskont rolle, Abwendung von Gefahren durch Naturgewalten, Feuer, Rohrbrüche und Gebäudeeinstürze, Schutz vor Ausfall von Versorgungseinheiten sowie vor Diebstahl, Einbruch und Systemausfällen.

7. Die unautorisierte Entnahme von Informationen, D atenträgern, Software und Einrichtungsgegenständen, welche zu de n Zertifizierungsdiensten gehören, wird durch Kontrol lmaßnahmen verhindert.

E.E.E.E. LLLLAUFENDE BETRIEBLICHEAUFENDE BETRIEBLICHEAUFENDE BETRIEBLICHEAUFENDE BETRIEBLICHE MMMMAßNAHMENAßNAHMENAßNAHMENAßNAHMEN 1. Schäden durch sicherheitskritische Zwischenfälle und

Fehlfunktionen werden durch entsprechende Aufzeichn ungen und Fehlerbehebungsprozeduren frühzeitig erkannt, verhi ndert oder zumindest minimiert.

2. Datenträger werden vor Beschädigung, Diebstahl u nd unautorisiertem Zugriff geschützt.

3. Für die Ausführung von sicherheitskritischen und administrativen Aufgaben, die sich auf die Erbringu ng der Zertifizierungsdienste auswirken, sind detaillierte Prozesse in Verwendung.

4. Datenträger werden je nach ihrer Sicherheitsstuf e behandelt und aufbewahrt. Nicht mehr benötigte Datenträger, die v ertrauliche Daten beinhalten, werden in sicherer Weise vernicht et.

5. Die Integrität der Computersysteme und Informati onen ist gegen Viren und böswillige oder unautorisierte Software g eschützt.

6. Kapazitätserfordernisse werden beobachtet und kü nftige Entwicklungen prognostiziert, sodass stets angemess ene Bandbreiten, Prozessorleistungen und sonstige IT-Re ssourcen zur Verfügung stehen.

7. Die sicherheitskritischen Funktionen im Rahmen d er Zertifizierungs- und Widerrufsdienste werden von de n gewöhnlichen administrativen Funktionen strikt getr ennt. Als

Betriebsorganisation von ABetriebsorganisation von ABetriebsorganisation von ABetriebsorganisation von A----CCCCERTERTERTERT SystementwicklungSystementwicklungSystementwicklungSystementwicklung


sicherheitskritische Funktionen werden alle IT-Maßn ahmen angesehen, die zur Erhaltung der Betriebsfähigkeit des Zertifizierungsdienstes dienen. Insbesondere sind d ies - Planung und Abnahme von Sicherheitssystemen, - Schutz vor böswilliger Software und Angriffen, - Aktive Überprüfung von Log-Files und Prüfberichte n, Analyse

von Zwischenfällen, - Allgemeine System-Wartungstätigkeiten, - Netzwerkadministration, - Datenmanagement, Datenträgerverwaltung und –siche rheit, - Softwareupdates.

Die Überwachung der sicherheitskritischen Funktione n obliegt unmittelbar einem vom Vorstand des Herausgebers ode r vom verantwortlichen Dienstleister nominierten Sicherheitsbeauftragten.

F.F.F.F. SSSSYSTEMENTWICKLUNGYSTEMENTWICKLUNGYSTEMENTWICKLUNGYSTEMENTWICKLUNG Die Systementwicklung erfolgt in vom Echtbetrieb ge trennten Entwicklungssystemen. Die für die Zertifizierungsdienste notwendigen Proz esse werden laufend weiterentwickelt und optimiert. Neben einer Optimierung der Sicherheit bestimmt auch die Verbesserung der Kundenfreundlichkeit die Systementwicklung. Die in Betrieb befindlichen Softwaremodule werden e lektronisch signiert. Die Signaturen werden laufend geprüft, un erwünschte Änderungen können sofort erkannt werden. Zur Installation neuer Softwaremodule existieren Übergabeverfahren.

G.G.G.G. EEEERHALTUNG DES UNGESTÖRHALTUNG DES UNGESTÖRHALTUNG DES UNGESTÖRHALTUNG DES UNGESTÖRTEN RTEN RTEN RTEN BBBBETRIEBES UND ETRIEBES UND ETRIEBES UND ETRIEBES UND

BBBBEHANDLUNG VON EHANDLUNG VON EHANDLUNG VON EHANDLUNG VON ZZZZWISCHENFÄLLENWISCHENFÄLLENWISCHENFÄLLENWISCHENFÄLLEN Gegen physikalische Störungen bestehen technische, bauliche und organisatorische Sicherungsmaßnahmen wie redundante Systemführungen, Notstromaggregate, Brandschutz. Di ese ermöglichen auch unter der Annahme der vollständigen Zerstörung der Primäreinrichtung eine Wiederaufnahme innerhalb ein es Werktages. Als Katastrophenszenario ("worst case") wird die Ko mpromittierung eines Zertifizierungsschlüssels angesehen. Für dies en Fall wird der Herausgeber die Aufsichtsstelle (gem. § 6 Abs 5 [SigG]), die Signatoren, die auf die Verlässlichkeit der Zertifi zierungsdienste vertrauenden Personen und ggf. andere Zertifizierungsdiensteanbieter, mit denen Vereinbar ungen bestehen, davon unterrichten und mitteilen, dass die Widerruf s- und Zertifikatsinformationen nicht mehr als zuverlässig anzusehen sind.

BetriebsorganisaBetriebsorganisaBetriebsorganisaBetriebsorganisation von Ation von Ation von Ation von A----CERTCERTCERTCERT Erhaltung des ungestörten Betriebes und Behandlung von ZwischenfällenErhaltung des ungestörten Betriebes und Behandlung von ZwischenfällenErhaltung des ungestörten Betriebes und Behandlung von ZwischenfällenErhaltung des ungestörten Betriebes und Behandlung von Zwischenfällen


Zertifikate und Widerrufslisten werden als nicht me hr gültig gekennzeichnet. Den Signatoren werden mit Hilfe ein es neu generierten sicheren Zertifizierungsschlüssels neue Zertifikate ausgestellt.

SonstigesSonstigesSonstigesSonstiges Kosten und KKosten und KKosten und KKosten und Konditionenonditionenonditionenonditionen


VI.VI.VI.VI. SSSSONSTIGESONSTIGESONSTIGESONSTIGES

A.A.A.A. KKKKOSTEN UND OSTEN UND OSTEN UND OSTEN UND KKKKONDITIONENONDITIONENONDITIONENONDITIONEN Die jeweils gültigen Kosten und Konditionen werden auf der A-CERT Website publiziert (http://www.a-cert.at/).

B.B.B.B. EEEEINSTELLUNG DER INSTELLUNG DER INSTELLUNG DER INSTELLUNG DER TTTTÄTIGKEITÄTIGKEITÄTIGKEITÄTIGKEIT Gem. § 12 SigG wird der Herausgeber die Einstellung der Tätigkeit - sofern vorgesehen - unverzüglich der Aufsichtsste lle anzeigen und sicher stellen, dass eine eventuelle Beeinträch tigung ihrer Dienstleistungen sowohl gegenüber Signatoren als au ch gegenüber allen auf die Zuverlässigkeit der Dienste vertrauen den Parteien möglichst gering gehalten wird.

C.C.C.C. IIIINFORMATION GEMNFORMATION GEMNFORMATION GEMNFORMATION GEM.... DSGDSGDSGDSG 2000200020002000 Alle im Rahmen der Zertifizierungsdienste erhaltene n Informationen werden grundsätzlich vertraulich behandelt und nur für Zwecke des Zertifizierungsdienstes und für Verständigungszweck e im Zusammenhang mit den Zertifizierungsdienstleistunge n des Herausgebers verwendet. Veröffentlicht werden Daten des Signators ausschlie ßlich auf Grund der Erfordernisse des jeweiligen Zertifizierungsdie nstes (Verzeichnisdienst, Widerrufsdienst) oder auf ausdr ücklichen Wunsch des Signators. Gesetzliche Aufbewahrungs- und Übermittlungsverpfli chtungen bleiben unberührt. Eine Datenweitergabe gem. § 151 GewO an Adressenverlage wird ausdrücklich ausgeschlossen.

AnhangAnhangAnhangAnhang Anhang A: LiteraturlisteAnhang A: LiteraturlisteAnhang A: LiteraturlisteAnhang A: Literaturliste


AAAANHANGNHANGNHANGNHANG

AAAANHANG NHANG NHANG NHANG AAAA:::: LLLLITERATUITERATUITERATUITERATURLISTE RLISTE RLISTE RLISTE Sofern nicht anders vermerkt gelten bei den angefüh rten Dokumenten die zum Zeitpunkt der Inbetriebnahme des Dienstes b zw. Genehmigung durch die Aufsichtsstelle jeweils aktuelle Fassung.

[ASZ] Karlinger G., Amtssignaturzertifikate (ASZ) - Allgemeine Richtlinien für Amtssignaturzertifikate in der Verw altung, Version 1.0.0, 2005-04-06

[DSG 2000] Bundesgesetz über den Schutz personenbez ogener Daten (Datenschutzgesetz 2000 - DSG 2000) idgF, StF BGBl. I Nr. 165/1999

[E-GOVG] Bundesgesetz über Regelungen zur Erleichte rung des elektronischen Verkehrs mit öffentlichen Stellen (E -Government-Gesetz - E-GovG) - StF BGBl. I Nr. 10/2004

[ETSI SR 002 176] ETSI SR 002 176 V1.1.1 Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters fo r Secure Electronic Signatures

[ETSI TS 102 158] ETSI TS 102 158 V1.1.1 (2003-10) - Electronic Signatures and Infrastructures (ESI); Policy requir ements for Certification Service Providers issuing attribute c ertificates usable with Qualified certificates

[ETSI TS 101 862] ETSI TS 101 862 v1.3.3 Qualified Certificate profile

[ETSI TS 102 042] ETSI TS 102 042 V1.1.1 (2002-04) Policy requirements for certification authorities issuing public key certificates

[ETSI TS 101 456] ETSI TS 101 456 V1.4.3 (2007-05) Technical Specification - Policy requirements for certificati on authorities issuing qualified certificates inkl. den Vorgängerv ersionen

[FIPS-140-2] FIPS PUB 140-2 - SECURITY REQUIREMENTS FOR CRYPTOGRAPHIC MODULES inkl. Annex A-D

[ITU-X509v3] ITU-T Recommendation X.509v3 - Open sy stems interconnection - The Directory: Public-key and att ribute certificate frameworks

[ITU-X509v3-ERR] ITU-T Recommendation X.509v3 Fehle rbehebung

[ITU-X.680] ITU-T Recommendation X.680 (1997), ISO/ IEC 8824-1: 1998, Information Technology – Abstract Syntax Nota tion One (ASN.1), Specification of Basic Notation

AnhangAnhangAnhangAnhang Anhang A: LiteraturlisteAnhang A: LiteraturlisteAnhang A: LiteraturlisteAnhang A: Literaturliste


[ITU-X.690] ITU-T Recommendation X.690 (1997), ISO/ IEC 8825-1: 1998, Information Technology – ASN.1 encoding rules : Specification of Basic Encoding Rules (BER), Canonical Encoding R ules (CER) and Distinguished Encoding Rules (DER)

[OID] Hollosi A.: Object Identifier der öffentliche n Verwaltung, OID 1.0.4, 2005-02-21

[POS] RTR GmbH, Positionspapier zu § 2 Z 3 lit. a b is d SigG („fortgeschrittene elektronische Signatur“), Versio n 1.0, 2004-04-13

[RFC2560] rfc2560 - X.509 Internet Public Key Infra structure Online Certificate Status Protocol - OCSP, Juni 199 9

[RFC3161] rfc3161 - Internet X.509 Public Key Infra structure Time-Stamp Protocol (TSP)

[RFC3279] rfc3279 - Algorithms and Identifiers for the Internet X.509 Public Key Infrastructure Certificate and Cer tificate Revocation List (CRL) Profile

[RFC3647] rfc3647 - Internet X.509 Public Key Infra structure Certificate Policy and Certification Practices Fram ework, November 2003

[RFC5280] rfc5280 - Internet X.509 Public Key Infra structure Certificate and Certificate Revocation List (CRL) P rofile

[SigG] Bundesgesetz über elektronische Signaturen ( Signaturgesetz - SigG) idgF, StF BGBl. I Nr. 190/1999

[SigRL] Richtlinie 1999/93/EG des Europäischen Parl aments und des Rates über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen, 13.12.1999

[SigVO] BGBl. II Nr. 3/2008 (StF) idgF - Verordnung des Bundeskanzlers über elektronische Signaturen (Signa turverordnung 2008 – SigV 2008)

[X509ext] Hollosi A., X.509 Zertifikatserweiterunge n für die Verwaltung, X509ext - 1.0.3, 2005-02-21

[VKZ] Verwaltungskennzeichen (VKZ) 1.2.0 Kennzeiche n für Organisationseinheiten von Gebietskörperschaften bz w. Körperschaften öffentlichen Rechts, 2007-03-25

AnhangAnhangAnhangAnhang Anhang B: DokumenteninformationAnhang B: DokumenteninformationAnhang B: DokumenteninformationAnhang B: Dokumenteninformation


AAAANHANG NHANG NHANG NHANG BBBB:::: DDDDOKUMENTENINFORMATIONOKUMENTENINFORMATIONOKUMENTENINFORMATIONOKUMENTENINFORMATION Die historischen Policies sind unter http://www.a-c ert.at/static und dem angegebenen Dokumentennamen abrufbar. Die Gültigkeit der jeweiligen Dokumente ergibt sich aus dem Beginndatum der Gültigkeit und dem Beginndatum der Gültigkeit des nächstfolgenden Dokuments. Sofern nicht anders verm erkt endet die Gültigkeit des alten Dokuments am Vortag der Gültig keit des neuen Dokuments.

AUTOR(EN) UND GÜLTIGKEITSHISTORIE: bis 7.7.2009: Gültigkeitshistorie OID 1.2.40.0.24.1 .1.1.99 ab 7.7.2009: Gültigkeitshistorie OID 1.2.40.0.24.1. 1.1.99 + 1.2.40.0.24.1.1.5.99 + 1.2.40.0.24.1.1.9.99

Name Version Bearbeitung gültig ab

Datei Kommentar

0 0 dokumentation-argedaten.dot

interne Dokumentenvorlage, Online nicht verfügbar

Hans G. Zeger 1.1 13.09.2004 nicht freigegeben

a-cert-certificate-policy.20040913.pdf

interne Stammfassung, Online nicht verfügbar

Hans G. Zeger 1.2 22.09.2004 nicht freigegeben


Ergänzungen , Online nicht verfügbar

Hans G. Zeger 1.3 04.10.2004 04.10.2004


Ergänzungen

Hans G. Zeger 1.4 30.08.2005 10.12.2005


Änderungen

Charlotte Schönherr

1.4.eng 13.03.2007 nicht freigegeben

a-cert-certificate-policy-english.20070313.pdf

official english translation of policy v1.4, not adopted

Daniel Weller 1.5 12.04.2007 04.06.2007


Änderungen lt. I. Änderungsdokumentation


1.5.eng 04.06.2007 04.06.2007

a-cert-certificate-policy-english.20070604.pdf

official english translation of policy v1.5

Hans G. Zeger 1. 6 07.07.2009 07.07.2009

a- cert - certificate -policy.pdf

Änderungen lt. I. Änderungsdokumentation Änderungen 7. Juli 2009


1. 6. eng 07.07.2009 07.07.2009

a- cert - certificate -policy-english.pdf

official english translation of policy v1.6

A-CERT Allgemeine Betriebs- und Nutzungsbedingungen (A-CERT AGB's)Letzte Änderung: 1. September 2010Die Allgemeinen Betriebs- und Nutzungsbedingungen regeln die Voraussetzungen, unter denen die ARGE DATEN -Österreichische Gesellschaft für Datenschutz die A-CERT Zertifizierungsdienste bereitstellt (im Folgenden kurz:A-CERT). Betrieb, Vertrieb und Verrechnung erfolgt über ausgewählte Kooperationspartner und Dienstleister.

(1) Leistungsumfang

Im Rahmen v on A-CERT werden eine Reihe v on Zertif izierungs- und Signaturdiensten gem. SigG und SigVO betrieben. DieseZertif izierungsdienste sind als gewöhnliche oder als f ortgeschrittene Signaturdienste bei der TKK (Telekom-Control-Kommission)gemäß den Vorgaben des SigG registriert.

Unter anderem werden Schlüssel (Signaturen) v on natürlichen Personen (persönliche Zertif ikate) und v on technischen Sy stemen(Serv er und Workstations, technische Zertif ikate) zertif iziert. Weiters werden einzelne Signaturdienstleistungen wieZeitstempeldienste, Dokumentensignatur, insbesondere Signatur v on elektronischen Rechnungen betrieben.

Der Bezieher und Nutzer v on A-CERT Zertif izierungs- und Signaturdiensten (Anwender) nimmt ausdrücklich zur Kenntnis, dassdie rechtlichen Anf orderungen zum Einsatz digitaler Signaturen lauf enden Änderungen unterworf en sind, auf die der Betreiberkeinen Einf luss hat. Es kann daher v on Seiten des Betreibers keine Garantie oder Gewährleistung über die zukünf tigenVerwendungsmöglichkeiten bestimmter Zertif ikate und Signaturen gegeben werden. Kosten und Auf wändungen, die demAnwender durch derartige rechtliche Änderungen entstehen, können v om Betreiber nicht abgegolten werden.

A-CERT Zertif izierungs- und Signaturdienste können in ihrer Verwendung spezif ischen Zertif izierungs-Policies unterliegen. Diejeweils anwendbare Policy ist im ausgestellten Zertif ikat des Zertif ikatinhabers genannt. Eine Übersicht über die gültigen Policiesbietet http://www.a-cert.at/certif icate-policy .html. Die Allgemeinen Betriebs- und Nutzungsbedingungen gelten nur insoweit, alsdie jeweils gültige Policy nichts anderes bestimmt.

(2) Antragstellung

Entsprechend den technischen und rechtlichen Voraussetzungen kann jedermann (kurz: Antragsteller) seinen öf f entlichenSchlüssel im Rahmen v on A-CERT zur Zertif izierung beantragen oder auch nur öf f entlich zugänglich machen.

(3) Verfügungsgewalt und alleinige Kontrolle

Signaturerstellungsdaten dürf en bei persönlichen Zertif ikaten nur v on jener natürlichen Person eingesetzt werden, auf die dasZertif ikat ausgestellt ist. Dies gilt auch bei Zertif ikaten, die f ür den Einsatz in einem Unternehmen oder einer sonstigenOrganisation v orgesehen sind. In diesem Fall ist der Nachweis der Vertretungsbef ugnis zu erbringen. Soweit die Nutzung imRahmen v on Spezialapplikationen erf olgt, etwa im Rahmen eines Rechnungslegungsprogramms, hat der Antragstellernachzuweisen, dass er f ür die Zeitdauer der Verwendung der Signatur allein den technischen Ablauf kontrolliert und steuert.Geeignete Nachweise f ür die Tatsache der alleinigen Kontrolle können Zertif izierungen des entsprechenden Sy stems (Hardware,Sof tware, Applikation) oder die Bestätigung durch eine geeignete Prüf einrichtung, dass die v orliegende Installation dieAnf orderungen erf üllt oder durch Erklärung des Antragstellers, dass er tatsächlich allein über den Sy stemeinsatz entscheidet.Von A-CERT können bei Bedarf zusätzliche Dokumentationen v erlangt werden.

(4) Identitätsprüfung

Die Identitätsprüf ung erf olgt in Abhängigkeit des beanspruchten Dienstes. A-CERT behält sich bei Zweif el an der Identität desAntragstellers v or, zusätzliche Nachweise und/oder Erklärungen zur Identität zu v erlangen. Geeignete Nachweise der Identität:

(a) Bei persönlichen SignaturzertifizierungenAbgabe einer Willenserklärung, dass man einen bestimmten Schlüssel nur persönlich v erwendet und ihn gemäß den A-CERTGeschäf tsbedingungen und den Anf orderungen des SigG und der SigVO sorgf ältig v erwahrt und keinem Dritten zur Verf ügungstellt.Diese Willenserklärung ist v or einem Notar, einem Bezirksgericht, gegenüber einem Mitarbeiter v on A-CERT oder einemauthorisierten Vertragspartner abzugeben. Soll ein bestimmtes persönliches Zertif ikat ausschließlich f ür einen bestimmten Zweckim Namen einer Organisation v erwendet werden, dann ist zusätzlich ein Nachweis zu erbringen, dass man f ür diese Organisationhandlungs-/v ertretungsbef ugt ist. Der Umf ang der Bef ugnis und allf ällige Beschränkungen, etwa auf das Ausstellen v onRechnungen, sind durch eine Erklärung bekannt zu geben.

(b) Bei technischen SignaturzertifizierungenNachweis, dass der Antragsteller über ein bestimmtes technisches Sy stem v erf ügungsberechtigt ist. Soweit das technische

A-CERT Allgemeine Betriebs- und Nutzungsbedingung... http://www.a-cert.at/php/cms_monitor.php?q=PUB-T...

1 von 3 28.12.2011 14:28

Sy stem durch einen DNS-Namen gem. RFC 1591 identif iziert werden kann, genügt der Nachweis, der Übereinstimmungzwischen Antragsteller und Domaininhaber bzw. der Abgabe einer Erklärung, über einen bestimmten DNS-Namenv erf ügungsberechtigt zu sein. Bei anderen technischen Sy stemen (Serv ern) genügt eine Erklärung des Antragstelers, über dasSy stem v erf ügungsberechtigt zu sein. Der Nachweis der antragstellenden Organisation erf olgt - abhängig v on den materiellenGrundlagen - durch Prüf ung der Antragsdaten gegenüber Firmenbuch und/oder Eintragungen in der sachlich zuständigen Kammerund/oder Registrierungsdaten im Datenv erarbeitungsregister und/oder den Eintragungen im Vereinsregister. Bei sonstigenOrganisationen, insbesondere bei per Gesetz eingerichteten Körperschaf ten genügt die Angabe der Rechtsgrundlage, nach derdie Organisation tätig ist. Beantragen Priv atpersonen ein technisches Zertif ikat, ist der Identitätsnachweis durch Vorlage einesPersonaldokuments und der Meldebestätigung zu erbringen. Die Vorlage kann auch schrif tlich (Brief ) oder per Fax erf olgen.Beantragen ausländische Organisationen und Personen Zertif ikate, werden die v ergleichbaren national v orgesehenenBestätigungsstellen zur Identitätsprüf ung herangezogen.

(5) Gültigkeitsdauer eines Zertifikates

Zertif ikate werden - sof ern in den Policies nicht ausdrücklich anders geregelt - maximal f ür die Dauer des darüber liegendenRoot-Zertif ikates ausgestellt. Innerhalb dieser Zeit kann der Antragsteller das Zertif ikat einsetzen und damit Signaturen,Verschlüsselungen oder andere lt. Zertif ikat zulässige Dienste durchf ühren. Nach Ablauf der Gültigkeitsdauer des Zertif ikatesbehalten Signaturen auf unbestimmte Zeit ihre Gültigkeit.

Die Gültigkeitsdauer eines Zertif kates endet v orzeitig, sobald der Antragsteller, sonstige bef ugte Stellen oder der Betreiber dasZertif ikat widerruf t. Vor dem Widerruf szeitpunkt ausgestellte Signaturen behalten ihre Gültigkeit.

Gültig ausgestellte Signaturen v erlieren nur dann ihre Gültigkeit, wenn der dem Zertif ikat zugrundeliegende Signaturalgorithmustechnisch nicht mehr sicher ist und durch Dritte nachgeahmt werden kann. In diesem Fall werden alle Inhaber gültiger Zertif ikatev on A-CERT v erständigt.

(6) Zertifizierungshierarchie

Zertif ikatsinhaber können, soweit dies technisch machbar ist, mit A-CERT Zertif ikaten selbst Zertif izierungen durchf ühren. Siehaben dazu die v orliegenden Allgemeinen Betriebs- und Nutzungsbedingungen v on A-CERT heranzuziehen und dürf eninsbesondere bei der Identitätsprüf ung keine schwächeren Prüf kriterien anwenden als in dieser Betriebs- und Nutzungsbedingungbeschrieben. Soweit der Zertif izierungsdienst nicht bloß in der eigenen Organisation eingesetzt wird, sind die Melde- undRegistrierungspf lichten gem. SigG und SigVO zu beachten.

(7) Auskunftsdienst

A-CERT unterhält Online-Auskunf tsdienste, aus denen interessierte Personen das Bestehen bzw. die Gültigkeit v on Zertif ikatenbestimmter Personen f eststellen können. Die Online-Auskunf tsdienste basieren auf X.509v 3 (Format), LDAP (Verwaltung) undSSL (Datenübertragung). A-CERT bietet applikationsspezif isch weitere Auskunf tsdienste an.

Im Rahmen des Auskunf tsdienstes werden zu jedem Antragsteller jedenf alls Name, Adresse und Tätigkeitsbereichv eröf f entlicht. Abhängig v on den Erf ordernissen des Zertif izierungsdienstes kann auch die Veröf f entlichung weitererpersonenbezogener Daten notwendig sein.

(8) Widerrufsdienst

A-CERT unterhält zu den angebotenen Zertif izierungsdiensten Widerruf dienste. Der Antragsteller ist v erpf lichtet, die Gültigkeitseines Zertif ikats zu widerruf en, wenn die Voraussetzungen f ür die Erteilung eines Zertif ikats nicht mehr gegeben sind, derAntragsteller nicht oder nicht mehr alleinig über das Zertif ikat v erf ügen kann oder sonstige Gründe zur Annahme berechtigen,dass Unbef ugte das Zertif ikat v erwenden könnten.

Der Widerruf kann elektronisch (Online-Formulare), telef onisch, schrif tlich, per Fax, per e-mail oder in sonstiger Form erf olgen.Soweit die Identität des Widerruf enden nicht eindeutig mit dem Antragsteller übereinstimmt, erf olgt eine sogenannte "v orläuf ige"Sperre, und der Antragsteller wird über den Sperrantrag v erständigt. Er hat innerhalb v on drei Werktagen Zeit, diesen Sperrantragzu bestätigen oder auf zuheben.

Zur Sicherung der Identität des Widerruf enden wird f ür den Online-Widerruf santrag ein Passwortv erf ahren und ein Challenge-Response-Verf ahren eingef ührt.

Mit Inkraf ttreten des endgültigen (irrev ersiblen) Widerruf s erlischt die Lauf zeitv ereinbarung des Zertif ikats. Folgezertif ikatekönnen nicht ausgestellt werden. Es muss ein neues Zertif ikat beantragt werden.

A-CERT behält sich v or, aus eigenen Ermessen Widerruf e durchzuf ühren, wenn Grund zur Annahme einer rechtswidrigenDatenv erwendung v orliegt oder der Antragsteller nicht oder nicht f ristgerecht Änderungen der Zertif izierungsv oraussetzungenbekannt gegeben hat.

Ein Kostenersatz f ür v om Signator widerruf ene Zertif ikate oder v on A-CERT wegen rechtswidriger Verwendung widerruf eneZertif ikate gebührt nicht. Werden Zertif ikate v on A-CERT zu Unrecht oder irrtümlich widerruf en, wird dem Antragsteller kostenlos


2 von 3 28.12.2011 14:28

ein neues Zertif ikat in der Dauer des ursprünglichen Zertif izierungsantrags ausgestellt. Ein weiter gehender Kostenersatz istausgeschlossen.

Schlüssel die mit Verf ahren erstellt werden, die gemäß Signaturv erordnung oder gemäß der Entscheidung der Auf sichtsstelleoder anerkannter Standardisierungsgremien als nicht mehr sicher anzusehen sind, werden v on A-CERT widerruf en.

A-CERT behält sich das Recht v or, auch dann Schlüssel zu widerruf en, wenn die v erwendeten Verf ahren nach internenErkenntnissen nicht mehr sicher sind.

Erf olgt der Widerruf v or Ablauf der v ertraglich v ereinbarten Gültigkeitsdauer des Zertif ikats, hat der Signator Anspruch aufAusstellung eines gleichwertigen, mit sicheren Verf ahren hergestellten Zertif ikats f ür die Dauer der v ertraglich v ereinbartenRestlauf zeit. Sonstige Entschädigungen oder Kostenersätze sind nicht v orgesehen.

Eine Sperre (Widerruf ) v on Zertif ikaten erf olgt auch, wenn das Zertif ikat nicht zeitgerecht bezahlt wird oder die dem Zertif ikatzugrundeliegende Vereinbarung (etwa Mitgliedschaf ten, Serv icepakte oder Bundles) gekündigt oder nicht bezahlt werden. Für dieFreischaltung eines gesperrten Zertif ikats - sof ern technisch möglich - wird eine Serv icegebühr v errechnet. Die aktuelleServ icegebühr ist beim Support zu erf ragen.

(9) Anwendung und Änderungen der A-CERT AGBs

A-CERT behält sich Änderungen der allgemeinen Betriebs- und Nutzungsbedingungen ausdrücklich v or. Änderungen werdenonline v eröf f entlicht und gelten als anerkannt, wenn nicht innerhalb v on v ier Wochen nach Verständigung Einspruch erhobenwird. Alle v orherigen allgemeinen Betriebs- und Nutzungsbedingungen treten außer Kraf t.

Es sind die zum Zeitpunkt der Bestellung gültigen A-CERT AGBs anzuwenden. Im Falle v on Dauerdienstleistungen, etwa einerOnline-Zertif ikatsv erwaltung, gelten die jeweils zum Zeitpunkt der Nutzung gültigen A-CERT AGBs. Bei Änderungen werden dieKunden dav on v erständigt.

(10) Betreiber

A-CERT wird v on der ARGE DATEN - Österreichische Gesellschaf t f ür Datenschutz betrieben (Betreiber). Vertrieb, Vermarktungund Rechnungslegung erf olgt durch Vertriebs- und Kooperationspartner.

(11) Haftung

Der Betreiber haf tet f ür den sicheren Betrieb des Zertif izierungsdienstes gem. SigG und SigV. Eine darüber hinaus gehendeHaf tung ist ausdrücklich ausgeschlossen. Ausdrücklich keine Haf tung übernimmt der Betreiber f ür allf ällige Einschränkungen inden technisch oder gesetzlich bedingten Anwendungsmöglichkeiten eines Zertif ikats.

(12) Kosten und Konditionen

Die Kosten der Zertif izierungsdienste werden online beim Betreiber und den jeweils v erantwortlichen Vertriebs- undKooperationspartner v eröf f entlicht. Bezüglich Bestellungen über Vertriebs- und Kooperationspartner können zusätzlicheGeschäf tsbedingungen des jeweiligen Vertriebspartners v ereinbart werden.

(13) Online-Service

Inf ormationen, Bedingungen, Kosten, v erantwortliche Betreiber und Kooperationspartner werden online unter http://www.a-cert.atund https://secure.a-cert.at v eröf f entlicht.

(14) Geschäftsdaten und sonstige Bestimmungen

Verantwortlicher der A-CERT Zertifizierungsdienste im Sinne des SigG:ARGE DATEN - Österreichische Gesellschaf t f ür Datenschutz, registrierter Verein, Bundespolizeidirektion Wien, ZVR:774004629, A-1160 Wien, Redtenbacherg. 20, DVR: 0530794, UID: ATU 56627966

Das A-CERT Certif icate Policy Statement f ür den jeweiligen Zertif izierungsdienst in der jeweils gültigen Fassung ist integralerBestandteil dieser Nutzungs- und Betriebsbedingungen. Als Gerichtsstand wird Wien v ereinbart.

mehr --> A-CERT Certif icate Policy

Die angezeigten Informationen sind ausschliesslich zur persönlichen Nutzung im Rahmen der A-CERT Zertifizierungsdienste bestimmt. Beachten Sie die gültigeCertificate Policy. GLOBALTRUST® ist die EU-weit registrierte Marke der ARGE DATEN, die angebotenen Zertifizierungsdienste werden gemäß Signaturgesetzbetrieben. Die Verwendung des A-CERT Logos ist nur Inhabern von gültigen A-CERT Zertifikaten oder nach ausdrücklicher schriftlicher Genehmigung gestattet.Vertrieb und technische Betreuung erfolgt durch unseren Kooperationspartner e-commerce monitoring gmbh Irrtum vorbehalten.



3 von 3 28.12.2011 14:28

BKA/RIS Bundesrecht - Volltext http://www.ris.bka.gv.at/taweb-cgi/taweb

1 von 14 27.08.2008 13:47

LangtitelBundesgesetz über elektronische Signaturen (Signaturgesetz - SigG)(NR: GP XX RV 1999 AB 2065 S. 180. BR: AB 6065 S. 657.)StF: BGBl. I Nr. 190/1999

ÄnderungidF: BGBl. I Nr. 137/2000 (NR: GP XXI IA 313/A AB 372 S. 44. BR: AB 6277 S. 670.) [CELEX-Nr.: 399L0093] BGBl. I Nr. 32/2001 (NR: GP XXI IA 370/A AB 507 S. 57. BR: 6315 AB 6322 S. 673.) BGBl. I Nr. 152/2001 (NR: GP XXI RV 817 AB 853 S. 83. BR: AB 6499 S. 682.) [CELEX-Nr.: 300L0031] BGBl. I Nr. 164/2005 (NR: GP XXII RV 1169 AB 1237 S. 129. BR: AB 7460 S. 729.) [CELEX-Nr.: 31999L0093, 32003L0058] BGBl. I Nr. 8/2008 (NR: GP XXIII RV 293 AB 364 S. 41. BR: AB 7834 S. 751.) BGBl. I Nr. 59/2008 (VFB)

1. Abschnitt Gegenstand und Begriffsbestimmungen

Gegenstand und Anwendungsbereich

§ 1. (1) Dieses Bundesgesetz regelt den rechtlichen Rahmen für dieErstellung und Verwendung elektronischer Signaturen sowie für dieErbringung von Signatur- und Zertifizierungsdiensten. (2) Dieses Bundesgesetz ist auch anzuwenden in geschlossenenSystemen, sofern deren Teilnehmer dies vereinbart haben, sowie imoffenen elektronischen Verkehr mit Gerichten und anderen Behörden,sofern durch Gesetz nicht anderes bestimmt ist. (3) Dieses Bundesgesetz ist auf Zertifizierungsdiensteanbieter(ZDA) anzuwenden, die qualifizierte Zertifikate ausstellen oderqualifizierte Zeitstempeldienste bereitstellen. § 6 Abs. 1, § 22 und§ 24 gelten auch für die übrigen ZDA.

Begriffsbestimmungen

§ 2. Im Sinne dieses Bundesgesetzes bedeuten 1. elektronische Signatur: elektronische Daten, die anderen elektronischen Daten beigefügt oder mit diesen logisch verknüpft werden und die der Authentifizierung dienen; 2. Signator: eine Person oder eine sonstige rechtsfähige Einrichtung, der Signaturerstellungsdaten und Signaturprüfdaten zugeordnet sind und die im eigenen oder fremden Namen eine elektronische Signatur erstellt; 3. fortgeschrittene elektronische Signatur: eine elektronische Signatur, die a) ausschließlich dem Signator zugeordnet ist, b) die Identifizierung des Signators ermöglicht, c) mit Mitteln erstellt wird, die der Signator unter seiner alleinigen Kontrolle halten kann, sowie d) mit den Daten, auf die sie sich bezieht, so verknüpft ist, dass jede nachträgliche Veränderung der Daten festgestellt werden kann; 3a. qualifizierte elektronische Signatur: eine fortgeschrittene elektronische Signatur, die auf einem qualifizierten Zertifikat beruht und von einer sicheren Signaturerstellungseinheit erstellt wird; 4. Signaturerstellungsdaten: einmalige Daten wie Codes oder private Signaturschlüssel, die vom Signator zur Erstellung einer elektronischen Signatur verwendet werden; 5. sichere Signaturerstellungseinheit: eine konfigurierte Software oder Hardware, die zur Verarbeitung der Signaturerstellungsdaten verwendet wird und die den Sicherheitsanforderungen dieses Bundesgesetzes sowie der auf seiner Grundlage erlassenen Verordnungen entspricht;

hans

Hervorheben


2 von 14 27.08.2008 13:47

6. Signaturprüfdaten: Daten wie Codes oder öffentliche Signaturschlüssel, die zur Überprüfung einer elektronischen Signatur verwendet werden; 7. Signaturprüfeinheit: eine konfigurierte Software oder Hardware, die zur Verarbeitung der Signaturprüfdaten verwendet wird; 8. Zertifikat: eine elektronische Bescheinigung, mit der Signaturprüfdaten einer bestimmten Person zugeordnet werden und deren Identität bestätigt wird; 9. qualifiziertes Zertifikat: ein Zertifikat einer natürlichen Person, das die Angaben des § 5 enthält und von einem den Anforderungen des § 7 entsprechenden ZDA ausgestellt wird; 10. ZDA: eine natürliche oder juristische Person oder eine sonstige rechtsfähige Einrichtung, die Zertifikate ausstellt oder andere Signatur- und Zertifizierungsdienste erbringt; 11. Signatur- und Zertifizierungsdienste: die Bereitstellung von Signaturprodukten und -verfahren, die Ausstellung, Erneuerung und Verwaltung von Zertifikaten, Verzeichnis-, Widerrufs-, Registrierungs- und Zeitstempeldienste sowie Rechner- und Beratungsdienste im Zusammenhang mit elektronischen Signaturen; 12. qualifizierter Zeitstempel: eine elektronische Bescheinigung, dass bestimmte elektronische Daten zu einem bestimmten Zeitpunkt vorgelegen sind, die den Sicherheitsanforderungen dieses Bundesgesetzes und der auf seiner Grundlage erlassenen Verordnungen entspricht; 13. Signaturprodukt: Hard- oder Software bzw. deren spezifische Komponenten, die für die Erstellung und Überprüfung elektronischer Signaturen oder von einem ZDA für die Bereitstellung von Signatur- oder Zertifizierungsdiensten verwendet werden; 14. Kompromittierung: die Beeinträchtigung von Sicherheitsmaßnahmen oder Sicherheitstechnik, sodaß das vom ZDA zugrundegelegte Sicherheitsniveau nicht eingehalten ist; 15. Signaturrichtlinie: Richtlinie des Europäischen Parlamentes und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen, ABl. L Nr. 13 vom 19. Jänner 2000, S 12.

2. Abschnitt Rechtserheblichkeit elektronischer Signaturen

Allgemeine Rechtswirkungen

§ 3. (1) Im Rechts- und Geschäftsverkehr können Signaturverfahrenmit unterschiedlichen Sicherheitsstufen und unterschiedlichenZertifikatsklassen verwendet werden. (2) Die rechtliche Wirksamkeit einer elektronischen Signatur undderen Verwendung als Beweismittel können nicht allein deshalbausgeschlossen werden, weil die elektronische Signatur nur inelektronischer Form vorliegt, weil sie nicht auf einem qualifiziertenZertifikat oder nicht auf einem von einem akkreditiertenZDA ausgestellten qualifizierten Zertifikat beruht oder weil sienicht unter Verwendung von technischen Komponenten und Verfahren imSinne des § 18 erstellt wurde.

Besondere Rechtswirkungen

§ 4. (1) Eine qualifizierte elektronische Signatur erfüllt dasrechtliche Erfordernis einer eigenhändigen Unterschrift,insbesondere der Schriftlichkeit im Sinne des § 886 ABGB, soferndurch Gesetz oder Parteienvereinbarung nicht anderes bestimmt ist. (2) Eine qualifizierte elektronische Signatur entfaltet infolgenden Fällen nicht die Rechtswirkungen der Schriftlichkeit imSinne des § 886 ABGB: 1. Bei Rechtsgeschäften des Familien- und Erbrechts, die an die Schriftform oder ein strengeres Formerfordernis gebunden sind, es sei denn, die über das Rechtsgeschäft errichtete Urkunde enthält die Erklärung eines Rechtsanwalts oder eines Notars, dass er den Signator über die Rechtsfolgen seiner Signatur


3 von 14 27.08.2008 13:47

aufgeklärt hat; letztwillige Anordnungen können in elektronischer Form jedoch nicht wirksam errichtet werden. 2. Bei anderen Willenserklärungen oder Rechtsgeschäften, die zu ihrer Wirksamkeit an die Form einer öffentlichen Beglaubigung, einer gerichtlichen oder notariellen Beurkundung oder eines Notariatsakts gebunden sind, soweit die öffentliche Beglaubigung, die gerichtliche oder notarielle Beurkundung oder der Notariatsakt in elektronischer Form nicht wirksam zustande kommt. 3. Bei Willenserklärungen, Rechtsgeschäften oder Eingaben, die zu ihrer Eintragung in das Grundbuch, das Firmenbuch oder ein anderes öffentliches Register einer öffentlichen Beglaubigung, einer gerichtlichen oder notariellen Beurkundung oder eines Notariatsakts bedürfen, soweit die öffentliche Beglaubigung, die gerichtliche oder notarielle Beurkundung oder der Notariatsakt in elektronischer Form nicht wirksam zustande kommt. 4. Bei einer Bürgschaftserklärung (§ 1346 Abs. 2 ABGB), die von Personen außerhalb ihrer gewerblichen, geschäftlichen oder beruflichen Tätigkeit abgegeben wird, es sei denn, diese enthält die Erklärung eines Rechtsanwalts oder eines Notars, dass er den Bürgen über die Rechtsfolgen seiner Verpflichtungserklärung aufgeklärt hat. (3) Die Bestimmung des § 294 ZPO über die Vermutung der Echtheitdes Inhalts einer unterschriebenen Privaturkunde ist aufelektronische Dokumente, die mit einer qualifizierten elektronischenSignatur versehen sind, anzuwenden. (4) Die Rechtswirkungen der Abs. 1 und 3 treten nicht ein, wennnachgewiesen wird, daß die Sicherheitsanforderungen diesesBundesgesetzes und der auf seiner Grundlage ergangenen Verordnungennicht eingehalten oder die zur Einhaltung dieserSicherheitsanforderungen getroffenen Vorkehrungen kompromittiertwurden.

Qualifizierte Zertifikate

§ 5. (1) Ein qualifiziertes Zertifikat hat zumindest folgendeAngaben zu enthalten: 1. den Hinweis darauf, daß es sich um ein qualifiziertes Zertifikat handelt, 2. den unverwechselbaren Namen des ZDA und den Staat seiner Niederlassung, 3. den Namen des Signators oder ein Pseudonym, das als solches bezeichnet sein muß, 4. gegebenenfalls auf Verlangen des Zertifikatswerbers Angaben über eine Vertretungsmacht oder eine andere rechtlich erhebliche Eigenschaft des Signators, 5. die dem Signator zugeordneten Signaturprüfdaten, 6. Beginn und Ende der Gültigkeit des Zertifikats, 7. die eindeutige Kennung des Zertifikats, 8. gegebenenfalls eine Einschränkung des Anwendungsbereichs des Zertifikats und 9. gegebenenfalls eine Begrenzung des Transaktionswerts, auf den das Zertifikat ausgestellt ist. (2) Auf Verlangen des Zertifikatswerbers können weitere rechtlicherhebliche Angaben in das qualifizierte Zertifikat aufgenommenwerden. (3) Ein qualifiziertes Zertifikat muss mit einer fortgeschrittenenelektronischen Signatur des ZDA versehen sein.

3. Abschnitt ZDA

Tätigkeit der ZDA

§ 6. (1) Die Aufnahme und die Ausübung der Tätigkeit einesZDA bedürfen keiner gesonderten Genehmigung. (2) Ein ZDA hat die Aufnahme seiner Tätigkeit unverzüglich derAufsichtsstelle (§ 13) anzuzeigen. Er hat dieser spätestens mitAufnahme der Tätigkeit oder bei Änderung seiner Dienste ein


4 von 14 27.08.2008 13:47

Sicherheitskonzept sowie ein Zertifizierungskonzept der von ihmangebotenen Signatur- und Zertifizierungsdienste samt denverwendeten technischen Komponenten und Verfahren vorzulegen. (3) Das Sicherheitskonzept hat die Einhaltung derSicherheitsanforderungen dieses Bundesgesetzes und der auf seinerGrundlage ergangenen Verordnungen darzulegen. (4) Ein ZDA hat die im Sicherheits- und im Zertifizierungskonzeptdargelegten Angaben sowohl bei der Aufnahme als auch während derAusübung seiner Tätigkeit zu erfüllen. (5) Ein ZDA hat alle Umstände, die eine ordnungsgemäße und demSicherheits- sowie dem Zertifizierungskonzept entsprechendeTätigkeit nicht mehr ermöglichen, unverzüglich der Aufsichtsstelleanzuzeigen. (6) (Anm.: aufgehoben durch BGBl. I Nr. 8/2008) (7) Ein Zertifikat für ZDA darf von diesen nur für die Erbringungvon Zertifizierungsdiensten verwendet werden.

Anforderungen an ZDA

§ 7. (1) Ein ZDA hat 1. die erforderliche Zuverlässigkeit für die von ihm bereitgestellten Signatur- oder Zertifizierungsdienste aufzuweisen, 2. den Betrieb eines schnellen und sicheren Verzeichnisdienstes sowie eines unverzüglichen und sicheren Widerrufsdienstes sicherzustellen und im Sicherheitskonzept darzulegen, in welcher Form dies erfolgt, 3. in qualifizierten Zertifikaten sowie für Verzeichnis- und Widerrufsdienste qualitätsgesicherte Zeitangaben zu verwenden und jedenfalls sicherzustellen, daß der Zeitpunkt der Ausstellung und des Widerrufs eines qualifizierten Zertifikats bestimmt werden kann, 4. die Identität und gegebenenfalls besondere rechtlich erhebliche Eigenschaften der Person, für die ein qualifiziertes Zertifikat ausgestellt wird, zuverlässig zu überprüfen, 5. zuverlässiges Personal mit den für die bereitgestellten Dienste erforderlichen Fachkenntnissen, Erfahrungen und Qualifikationen, insbesondere mit Managementfähigkeiten sowie mit Kenntnissen der Technologie elektronischer Signaturen und angemessener Sicherheitsverfahren, zu beschäftigen und geeignete Verwaltungs- und Managementverfahren, die anerkannten Normen entsprechen, einzuhalten, 6. über ausreichende Finanzmittel zu verfügen, um den Anforderungen dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen zu entsprechen, sowie Vorsorge für die Befriedigung von Schadenersatzansprüchen, etwa durch Eingehen einer Haftpflichtversicherung, zu treffen, 7. alle maßgeblichen Umstände über ein qualifiziertes Zertifikat während eines für den Verwendungszweck angemessenen Zeitraums - gegebenenfalls auch elektronisch - aufzuzeichnen, sodaß insbesondere in gerichtlichen Verfahren die Zertifizierung nachgewiesen werden kann, sowie 8. Vorkehrungen dafür zu treffen, daß die Signaturerstellungsdaten der Signatoren weder vom ZDA noch von Dritten gespeichert oder kopiert werden können. (2) Ein ZDA hat für die Signatur- und Zertifizierungsdienste sowiefür die Erstellung und Speicherung von Zertifikatenvertrauenswürdige Systeme, Produkte und Verfahren, die vorVeränderungen geschützt sind und für die technische undkryptographische Sicherheit sorgen, zu verwenden. Er hatinsbesondere geeignete Vorkehrungen dafür zu treffen, daßSignaturerstellungsdaten geheimgehalten werden, daß Daten fürqualifizierte Zertifikate nicht unerkannt gefälscht oder verfälschtwerden können und daß diese Zertifikate nur mit Zustimmung desSignators öffentlich abrufbar sind. Für die Erzeugung undSpeicherung von Signaturerstellungsdaten sowie für die Erstellungund Speicherung von qualifizierten Zertifikaten sind technischeKomponenten und Verfahren, die den Anforderungen des § 18entsprechen, zu verwenden. (3) Signaturerstellungsdaten der ZDA sind vor unbefugtem Zugriffzu sichern.


5 von 14 27.08.2008 13:47

(4) Für qualifizierte elektronische Signaturen kann das Vorliegender Voraussetzungen der Abs. 1 bis 3 im Rahmen der freiwilligenAkkreditierung (§ 17) bescheinigt werden. (5) Bei einer qualifizierten elektronischen Signatur muss aus demZertifikat, aus der elektronischen Signatur oder aus dem Sicherheits- und Zertifizierungskonzept, auf das im Zertifikat Bezug genommenwird, hervorgehen, dass es sich um eine qualifizierte elektronischeSignatur handelt. (6) Für die Prüfung von qualifiziert signierten Daten sindtechnische Komponenten und Verfahren geeignet, die sicherstellen,dass 1. die signierten Daten nicht verändert worden sind, 2. die Signatur zuverlässig geprüft und das Ergebnis korrekt angezeigt wird, 3. der Prüfer feststellen kann, auf welche Daten sich die elektronische Signatur bezieht, 4. der Prüfer feststellen kann, welchem Signator die elektronische Signatur zugeordnet ist, wobei die Verwendung eines Pseudonyms angezeigt werden muss, und 5. sicherheitsrelevante Veränderungen der signierten Daten erkannt werden können.Auf Ersuchen von Gerichten oder anderen Behörden hat ein ZDA diePrüfung der auf seinen qualifizierten Zertifikaten beruhendenqualifizierten Signaturen vorzunehmen.

Ausstellung qualifizierter Zertifikate

§ 8. (1) Ein ZDA oder eine in seinem Auftrag tätige Stelle hat dieIdentität von Personen, denen ein qualifiziertes Zertifikatausgestellt werden soll, anhand eines amtlichen Lichtbildausweisesoder durch einen anderen in seiner Zuverlässigkeit gleichwertigen,dokumentierten oder zu dokumentierenden Nachweis, festzustellen. DerZDA hat die Zuordnung bestimmter Signaturprüfdaten zu dieser Persondurch ein qualifiziertes Zertifikat zu bestätigen. (2) (Anm.: aufgehoben durch BGBl. I Nr. 8/2008) (3) Ein ZDA hat nach Maßgabe des Zertifizierungskonzepts aufVerlangen des Zertifikatswerbers Angaben über seine Vertretungsmachtoder eine andere rechtlich erhebliche Eigenschaft in dasqualifizierte Zertifikat aufzunehmen, sofern ihm oder einer anderenStelle (Abs. 1) diese Umstände zuverlässig nachgewiesen werden. (4) Ein ZDA kann nach Maßgabe des Zertifizierungskonzepts aufVerlangen des Zertifikatswerbers im Zertifikat anstatt des Namensdes Signators ein Pseudonym angeben. Das Pseudonym darf wederanstößig noch offensichtlich zur Verwechslung mit Namen oderKennzeichen geeignet sein.

Widerruf von Zertifikaten

§ 9. (1) Ein ZDA hat ein Zertifikat unverzüglich zu widerrufen,wenn 1. der Signator oder ein im Zertifikat genannter Machtgeber dies verlangt, 2. der ZDA Kenntnis vom Ableben des Signators oder sonst von der Änderung im Zertifikat bescheinigter Umstände erlangt, 3. das Zertifikat auf Grund unrichtiger Angaben erwirkt wurde, 4. der ZDA seine Tätigkeit einstellt und seine Verzeichnis- und Widerrufsdienste nicht von einem anderen ZDA übernommen werden, 5. die Aufsichtsstelle gemäß § 14 den Widerruf des Zertifikats anordnet oder 6. die Gefahr einer mißbräuchlichen Verwendung des Zertifikats besteht. (2) Können die in Abs. 1 genannten Umstände nicht sofortzweifelsfrei festgestellt werden, so hat der ZDA das Zertifikatjedenfalls unverzüglich zu sperren. (3) Die Veröffentlichung einer Sperre und eines Widerrufs muss denZeitpunkt ihrer Wirksamkeit enthalten. Dieser Zeitpunkt darf nichtspäter als eine Stunde nach der Eintragung liegen. Eine rückwirkendeSperre oder ein rückwirkender Widerruf ist unzulässig. Der Signatorbzw. sein Rechtsnachfolger ist von der Sperre oder dem Widerrufunverzüglich zu verständigen.


6 von 14 27.08.2008 13:47

(4) Ein ZDA hat ein elektronisch jederzeit allgemein zugänglichesVerzeichnis der gesperrten und der widerrufenen qualifiziertenZertifikate zu führen. (5) Die Aufsichtsstelle hat das Zertifikat einesZDA unverzüglich zu widerrufen, wenn 1. dem ZDA die Ausübung seiner Tätigkeit untersagt wird und seine Verzeichnis- und Widerrufsdienste nicht von einem anderen ZDA übernommen werden oder 2. der ZDA seine Tätigkeit einstellt und seine Verzeichnis- und Widerrufsdienste nicht von einem anderen ZDA übernommen werden. (6) Unverzüglichkeit ist dann gegeben, wenn die entsprechendeMaßnahme an Werktagen ausgenommen Samstag, von 9 bis 17 Uhrinnerhalb von drei Stunden und außerhalb dieser Zeit innerhalb vonsechs Stunden erfolgt. Bei postalischer Verständigung istUnverzüglichkeit dann gegeben, wenn die entsprechende Maßnahmeinnerhalb von zwei Werktagen erfolgt.

Qualifizierte Zeitstempeldienste

§ 10. Stellt ein ZDA qualifizierte Zeitstempeldienste bereit, sohat er im Sicherheits- und im Zertifizierungskonzept nähere Angabendarzulegen. Es sind technische Komponenten und Verfahren zuverwenden, die die Richtigkeit und Unverfälschtheit der Zeitangabesicherstellen und den Anforderungen des § 18 entsprechen. Er hatweiters für die Signatur- und Zertifizierungsdienste sowie für dieErstellung und Speicherung von Zeitstempeln vertrauenswürdigeSysteme, Produkte und Verfahren zu verwenden, die vor Veränderungengeschützt sind und für die technische und kryptographischeSicherheit sorgen. Er hat insbesondere geeignete Vorkehrungen dafürzu treffen, dass Signaturerstellungsdaten geheimgehalten werden undDaten für qualifizierte Zeitstempel nicht unerkannt gefälscht oderverfälscht werden können.

Dokumentation

§ 11. (1) Ein ZDA hat die Sicherheitsmaßnahmen, die er zurEinhaltung dieses Bundesgesetzes und der auf seiner Grundlageergangenen Verordnungen getroffen hat, sowie das Ausstellen undgegebenenfalls die Sperre und den Widerruf von Zertifikaten zudokumentieren. Dabei müssen die Daten und ihre Unverfälschtheitsowie der Zeitpunkt ihrer Aufnahme in das Protokollierungssystemjederzeit nachprüfbar sein. (2) Auf Ersuchen von Gerichten oder anderen Behörden hat ein ZDAdie Dokumentation nach Abs. 1 auszufolgen. Im Fall der Einstellungseiner Tätigkeit hat ein ZDA die Dokumentation nach Abs. 1 dem mitder Weiterführung der Verzeichnis- und Widerrufsdienste betrautenZDA oder der Aufsichtsstelle auszufolgen. (3) Die Aufbewahrungsdauer der Dokumentation nach Abs. 1 ist imSicherheits- und Zertifizierungskonzept anzugeben. Die Dokumentationdes Ausstellens, der Sperre und des Widerrufs eines qualifiziertenZertifikats ist bis zum Ablauf der allgemeinen Verjährungszeit imSinne des § 1478 ABGB, gerechnet ab dem im Zertifikat eingetragenenEnde der Gültigkeit, aufzubewahren.

Einstellung der Tätigkeit

§ 12. Ein ZDA hat die Einstellung seiner Tätigkeit unverzüglichder Aufsichtsstelle anzuzeigen. Weiters hat er die im Zeitpunkt derEinstellung seiner Tätigkeit gültigen Zertifikate zu widerrufen oderdafür Sorge zu tragen, daß zumindest seine Verzeichnis- undWiderrufsdienste von einem anderen ZDA übernommen werden. DieSignatoren sind von der Einstellung der Tätigkeit sowie vom Widerrufoder der Übernahme unverzüglich zu verständigen. Auch im Fall desWiderrufs der Zertifikate hat der ZDA sicherzustellen, daß dieWiderrufsdienste weitergeführt werden; kommt er dieser Verpflichtungnicht nach, so hat die Aufsichtsstelle für die Weiterführung derWiderrufsdienste auf Kosten des ZDA Sorge zu tragen.


7 von 14 27.08.2008 13:47

4. Abschnitt Aufsicht

Aufsichtsstelle

§ 13. (1) Aufsichtsstelle ist die Telekom-Control-Kommission(§ 116 TKG 2003). Ihr obliegt die laufende Aufsicht über dieEinhaltung der Bestimmungen dieses Bundesgesetzes und der auf seinerGrundlage ergangenen Verordnungen. (2) (Anm.: aufgehoben durch BGBl. I Nr. 8/2008) (3) Die Aufsichtsstelle hat dafür Sorge zu tragen, dass einelektronisch allgemein zugängliches Verzeichnis der gültigen,gesperrten und widerrufenen Zertifikate für ZDA, der im Inlandniedergelassenen ZDA, der von ihr akkreditierten ZDA und derDrittstaaten-ZDA, für deren Zertifikate ein im Inlandniedergelassener ZDA nach § 24 Abs. 2 Z 2 einsteht, geführt wird.Auf Antrag sind auch andere im Ausland niedergelassene ZDA in diesesVerzeichnis aufzunehmen. Zertifikate für ZDA können auch von derAufsichtsstelle ausgestellt werden. Die Aufsichtsstelle hat die beiihr geführten Verzeichnisse gesichert im Internet zu veröffentlichen. (4) Die Aufsichtsstelle hat den ZDA für ihre Tätigkeit und für dieHeranziehung der RTR-GmbH eine mit Verordnung festgelegtekostendeckende Gebühr vorzuschreiben. Die Einnahmen aus dieserGebühr fließen der Aufsichtsstelle zu und sind nach Heranziehung derRTR-GmbH oder der Bestätigungsstelle nach deren Aufwandweiterzuleiten. (5) Die Aufsichtsstelle kann sich zur Beratung geeigneter Personenoder Einrichtungen wie etwa einer Bestätigungsstelle (§ 19) bedienen. (6) Die Mitglieder der Aufsichtsstelle sind gemäß Art. 20 Abs. 2B-VG bei Ausübung ihres Amtes an keine Weisungen gebunden. Soferngesetzlich nicht anderes bestimmt ist, hat die Aufsichtsstelle dasAVG 1991 anzuwenden. Sie entscheidet in oberster Instanz. DieAnrufung des Verwaltungsgerichtshofs ist zulässig. (7) Die Tätigkeit der Aufsichtsstelle nach diesem Bundesgesetz istvon ihrer Tätigkeit nach anderen Bundesgesetzen organisatorisch undfinanziell zu trennen.

Aufsichtsmaßnahmen

§ 14. (1) Die Aufsichtsstelle kann zur Sicherstellung derErfüllung der Pflichten aus diesem Bundesgesetz und der auf seinerGrundlage ergangenen Verordnung Zertifikate für ZDA oder vonSignatoren widerrufen oder den Widerruf der Zertifikate vonSignatoren durch den ZDA anordnen. (2) (Anm.: aufgehoben durch BGBl. I Nr. 8/2008) (3) Sofern nicht nach Abs. 6 gelindere Mittel in Betracht kommen,ist einem ZDA die Ausübung seiner Tätigkeit ganz oder teilweise zuuntersagen, wenn die für die Ausübung einer solchen Tätigkeiterforderlichen Voraussetzungen nach diesem Bundesgesetz oder den aufseiner Grundlage ergangenen Verordnungen nicht erfüllt werden. (4) (Anm.: aufgehoben durch BGBl. I Nr. 8/2008) (5) Wenn die Aufsichtsstelle einem ZDA die Ausübung seinerTätigkeit untersagt, hat sie für den Widerruf der Zertifikate desZDA und der Signatoren Sorge zu tragen oder die Übernahme dererbrachten Signatur- und Zertifizierungsdienste oder zumindest seinerVerzeichnis- und Widerrufsdienste durch einen anderen ZDA zuveranlassen, sofern die beteiligten ZDA der Übernahme zustimmen.Die Signatoren sind von der Untersagung sowie vom Widerruf oder derÜbernahme unverzüglich zu verständigen. Auch im Fall des Widerrufsder Zertifikate hat der ZDA sicherzustellen, daß dieWiderrufsdienste weitergeführt werden; kommt er dieser Verpflichtungnicht nach, so hat die Aufsichtsstelle für die Weiterführung derWiderrufsdienste auf Kosten des ZDA Sorge zu tragen. (6) Die Aufsichtsstelle hat von einer Untersagung der Tätigkeiteines ZDA abzusehen, soweit die Anordnung gelinderer Mittelausreicht, um die Einhaltung der Bestimmungen dieses Bundesgesetzesund der auf seiner Grundlage ergangenen Verordnungensicherzustellen. Sie kann insbesondere Auflagen erteilen, unterSetzung einer angemessenen Frist zur Behebung von aufgezeigtenMängeln Maßnahmen androhen oder eine Akkreditierung widerrufen.


8 von 14 27.08.2008 13:47

Heranziehung der RTR-GmbH

§ 15. (1) Die Aufsichtsstelle kann sich bei der Durchführung derAufsicht der RTR-GmbH (§ 5 KOG) bedienen. (2) Die RTR-GmbH hat insbesondere 1. die Aufsichtsstelle bei der laufenden Aufsicht der ZDA zu unterstützen und die technischen Produkte, Verfahren und sonstigen Mittel, die im Rahmen der bereitgestellten Signatur- und Zertifizierungsdienste eingesetzt werden, sowie die Qualifikation des Personals zu überprüfen, 2. (Anm.: aufgehoben durch BGBl. I Nr. 8/2008) 3. Verzeichnisse der Zertifikate für ZDA und der ZDA (§ 13 Abs. 3) sowie ein Verzeichnis der akkreditierten ZDA (§ 17 Abs. 1) zu führen, 4. für den Fall der Einstellung oder Untersagung der Tätigkeit eines ZDA einen Widerrufsdienst zu führen, sofern keine Übernahme im Sinne der §§ 12 oder 14 Abs. 5 erfolgt, 5. auf Anordnung der Aufsichtsstelle die Erfüllung der Voraussetzungen einer freiwilligen Akkreditierung (§ 17) zu erheben, 6. bei der Feststellung der Gleichwertigkeit von Prüfberichten aus Drittstaaten im Sinne des § 24 Abs. 3 mitzuwirken und 7. im Fall des begründeten Verdachts, daß die Sicherheitsanforderungen dieses Bundesgesetzes oder der auf seiner Grundlage ergangenen Verordnungen nicht eingehalten werden, oder auf Verlangen eines ZDA unmittelbar die vorläufige Untersagung der Tätigkeit des ZDA oder vorläufig Maßnahmen im Sinne des § 14 Abs. 1 anzuordnen. (3) Die RTR-GmbH kann sich zur Beratung geeigneter Personen oderEinrichtungen wie etwa einer Bestätigungsstelle (§ 19) bedienen. DieWahrnehmung ihrer Aufgaben in technischen Belangen hat in Abstimmungmit einer Bestätigungsstelle (§ 19) zu erfolgen. Im Rahmen ihrerTätigkeit für die Aufsichtsstelle ist das Personal der RTR-GmbH andie Weisungen des Vorsitzenden oder des in der Geschäftsordnungbezeichneten Mitgliedes gebunden. (4) Unbeschadet der Zuständigkeit der ordentlichen Gerichte könnenKunden oder Interessenvertretungen Streit- oder Beschwerdefälle,insbesondere über die Qualität eines Zertifizierungsdienstes, die mitdem ZDA nicht befriedigend gelöst worden sind, der RTR-GmbHvorlegen. Die RTR-GmbH hat sich zu bemühen, innerhalb angemessenerFrist eine einvernehmliche Lösung herbeizuführen. Die ZDA sindverpflichtet, an einem solchen Verfahren mitzuwirken und alle zurBeurteilung der Sachlage erforderlichen Auskünfte zu erteilen. DieRTR-GmbH hat Richtlinien für die Durchführung dieses Verfahrensfestzulegen, die in geeigneter Form zu veröffentlichen sind. MitZustimmung des Antragstellers kann das Verfahren auch aufelektronischem Weg durchgeführt werden. (5) § 13 Abs. 7 über die organisatorische und finanzielle Trennungist auf die Tätigkeit der RTR-GmbH anzuwenden.

Durchführung der Aufsicht

§ 16. (1) Die ZDA haben den im Auftrag der Aufsichtsstellehandelnden Personen das Betreten der Geschäfts- und Betriebsräumewährend der Geschäftszeiten zu gestatten, die in Betracht kommendenBücher und sonstigen Aufzeichnungen oder Unterlagen einschließlichder Dokumentation nach § 11 vorzulegen oder zur Einsichtbereitzuhalten, Auskünfte zu erteilen und jede sonst erforderlicheUnterstützung zu gewähren. Bestehende gesetzliche Verschwiegenheits-und Aussageverweigerungsrechte bleiben unberührt. (2) Die Organe des öffentlichen Sicherheitsdienstes haben derAufsichtsstelle und den in ihrem Auftrag handelnden Personen überderen Ersuchen zur Durchführung der Aufsicht im Rahmen ihresgesetzmäßigen Wirkungsbereichs Hilfe zu leisten. (3) Die Durchführung der Aufsicht nach den Abs. 1 und 2 ist untermöglichster Schonung der Betroffenen und ohne unnötiges Aufsehen sodurchzuführen, daß dadurch die Sicherheit der Signatur- undZertifizierungsdienste nicht verletzt wird.


9 von 14 27.08.2008 13:47

Freiwillige Akkreditierung

§ 17. (1) ZDA, die der Aufsichtsstelle vor der Aufnahme ihrerTätigkeit als akkreditierte ZDA die Einhaltung der Anforderungendieses Bundesgesetzes und der auf seiner Grundlage ergangenenVerordnungen nachweisen, sind auf Antrag von der Aufsichtsstelle zuakkreditieren. Akkreditierte ZDA dürfen sich mit Zustimmung derAufsichtsstelle im Geschäftsverkehr als solche bezeichnen. ImZusammenhang mit Signatur- und Zertifizierungsdiensten sowie mitSignaturprodukten darf diese Bezeichnung nur verwendet werden, wenndie Sicherheitsanforderungen nach § 18 erfüllt werden. DieAufsichtsstelle hat dafür Sorge zu tragen, daß die akkreditiertenZDA in ein elektronisch jederzeit allgemein zugängliches Verzeichnisaufgenommen werden. (2) Die freiwillige Akkreditierung eines ZDA ist in dasqualifizierte Zertifikat aufzunehmen oder sonst in geeigneter Weisezugänglich zu machen. (3) Die Aufsichtsstelle hat für die laufende Aufsicht über die vonihr akkreditierten ZDA Sorge zu tragen. Sie hat die Akkreditierungeines ZDA zu widerrufen, wenn die Voraussetzungen einerAkkreditierung nach Abs. 1 nicht mehr erfüllt sind. § 14 Abs. 6 istsinngemäß auch beim Widerruf einer Akkreditierung anzuwenden.

5. Abschnitt Technische Sicherheitserfordernisse

Sicherheitsanforderungen für technische Komponenten und Verfahren

§ 18. (1) Für die Erzeugung und Speicherung vonSignaturerstellungsdaten sowie für die Erstellung qualifizierterSignaturen sind solche technische Komponenten und Verfahreneinzusetzen, die die Fälschung von Signaturen sowie die Verfälschungsignierter Daten zuverlässig erkennbar machen und die die unbefugteVerwendung von Signaturerstellungsdaten verläßlich verhindern. (2) Die bei der Erstellung einer qualifizierten Signaturverwendeten technischen Komponenten und Verfahren müssen zudemsicherstellen, daß die zu signierenden Daten nicht verändert werden;sie müssen es weiters ermöglichen, daß dem Signator die zusignierenden Daten vor Auslösung des Signaturvorgangs dargestelltwerden und dass der Signator zu diesem Zeitpunkt über die Anzahl derSignaturen, die er im Signaturvorgang auslöst, Kenntnis erlangt. DieSignaturerstellungsdaten dürfen mit an Sicherheit grenzenderWahrscheinlichkeit nur einmal vorkommen, sie dürfen weiters mithinreichender Sicherheit nicht ableitbar sein; ihre Geheimhaltung mußsichergestellt sein. (3) Bei der Erstellung und Speicherung von qualifiziertenZertifikaten sind solche technische Komponenten und Verfahreneinzusetzen, die die Fälschung und Verfälschung von Zertifikatenverhindern. (4) (Anm.: aufgehoben durch BGBl. I Nr. 8/2008) (5) Die technischen Komponenten und Verfahren für die Erstellungqualifizierter elektronischer Signaturen müssen nach dem Stand derTechnik hinreichend und laufend geprüft sein. Die Erfüllung derSicherheitsanforderungen an sichere Signaturerstellungseinheitennach diesem Bundesgesetz und den auf seiner Grundlage ergangenenVerordnungen muss von einer Bestätigungsstelle (§ 19) bescheinigtsein. Bescheinigungen von Stellen, die von anderen Mitgliedstaatender Europäischen Union oder von anderen Vertragsstaaten desAbkommens über den Europäischen Wirtschaftsraum zur Beurteilung derSicherheitsanforderungen für sichere Signaturerstellungseinheitennach Art. 3 Abs. 4 der Signaturrichtlinie namhaft gemacht wurden,sind den Bescheinigungen einer Bestätigungsstelle gleich zu halten. (6) Entsprechen technische Komponenten und Verfahren den allgemeinanerkannten Normen, die von der Europäischen Kommission nach Art. 3Abs. 5 der Signaturrichtlinie festgelegt werden, so gelten dieentsprechenden Sicherheitsanforderungen nach diesem Bundesgesetz undden auf seiner Grundlage ergangenen Verordnungen als erfüllt.

Bestätigungsstelle


10 von 14 27.08.2008 13:47

§ 19. (1) Die nach diesem Bundesgesetz und den auf seiner Grundlageergangenen Verordnungen einer Bestätigungsstelle zugewiesenenAufgaben können nur von einer dazu geeigneten Einrichtungwahrgenommen werden. (2) Eine Einrichtung ist zur Wahrnehmung der einerBestätigungsstelle zugewiesenen Aufgaben geeignet, wenn sie 1. die erforderliche Zuverlässigkeit aufweist, 2. zuverlässiges Personal mit den für diese Aufgaben erforderlichen Fachkenntnissen, Erfahrungen und Qualifikationen, insbesondere mit Kenntnissen über elektronische Signaturen, angemessene Sicherheitsverfahren, Kryptographie, Kommunikations- und Chipkartentechnologien sowie die technische Begutachtung solcher Komponenten, beschäftigt, 3. über ausreichende technische Einrichtungen und Mittel sowie eine ausreichende wirtschaftliche Leistungsfähigkeit verfügt und 4. die erforderliche Unabhängigkeit, Unparteilichkeit und Unbefangenheit sicherstellt. (3) Darüber hinaus sind für die Eignung einer Bestätigungsstelledie von der Europäischen Kommission nach Art. 3 Abs. 4 derSignaturrichtlinie festgelegten Mindestkriterien für die Benennungvon Bestätigungsstellen maßgeblich. Der Bundeskanzler hat dieseKriterien im Einvernehmen mit dem Bundesminister für Justiz mitVerordnung kundzumachen. (4) Der Bundeskanzler hat im Einvernehmen mit dem Bundesministerfür Justiz mit Verordnung festzustellen, daß eine Einrichtung alsBestätigungsstelle geeignet ist. Eine solche Verordnung kann nur aufAntrag der betreffenden Einrichtung erlassen werden. Die Eignung kannnur festgestellt werden, wenn die Einrichtung nach ihren Statutenoder Satzungen oder nach ihrem Gesellschaftsvertrag, nach ihrerOrganisation und nach ihrem Sicherheits- und Finanzierungskonzept diein Abs. 2 genannten Anforderungen erfüllt. (5) Eine Bestätigungsstelle kann zur Erfüllung der ihr nach diesemBundesgesetz oder der auf seiner Grundlage ergangenen Verordnungenzugewiesenen Aufgaben von anderen Einrichtungen oder StellenPrüfberichte zu technischen Komponenten und Verfahren einholen. (6) Die organisatorische Aufsicht über die Bestätigungsstelleobliegt der Aufsichtsstelle (§ 13).

6. Abschnitt Rechte und Pflichten der Anwender

Allgemeine Informationspflichten der ZDA

§ 20. (1) Ein ZDA hat den Zertifikatswerber vor Vertragsabschlussschriftlich oder unter Verwendung eines dauerhaften Datenträgersallgemein verständlich über den Inhalt des Sicherheits- und desZertifizierungskonzepts, über die möglichen Rechtswirkungen des vonihm verwendeten Signaturverfahrens, über die Pflichten einesSignators sowie über die besondere Haftung des ZDA zu unterrichten.Zudem hat er die Bedingungen der Verwendung des Zertifikats, wieetwa Einschränkungen seines Anwendungsbereichs oder desTransaktionswerts, bekanntzugeben; weiters ist auf eine freiwilligeAkkreditierung (§ 17) sowie auf besondere Streitbeilegungsverfahrenhinzuweisen. (2) Auf Verlangen sind die in Abs. 1 genannten Angaben auchDritten, die ein rechtliches Interesse daran glaubhaft machen,zugänglich zu machen. (3) (Anm.: aufgehoben durch BGBl. I Nr. 8/2008)


11 von 14 27.08.2008 13:47

Pflichten des Signators

§ 21. Der Signator hat die Signaturerstellungsdaten sorgfältig zuverwahren, soweit zumutbar Zugriffe auf Signaturerstellungsdaten zuverhindern und deren Weitergabe zu unterlassen. Er hat den Widerrufdes qualifizierten Zertifikats zu verlangen, wenn dieSignaturerstellungsdaten abhanden kommen, wenn Anhaltspunkte fürderen Kompromittierung bestehen oder wenn sich die im qualifiziertenZertifikat bescheinigten Umstände geändert haben.

Datenschutz

§ 22. (1) Ein ZDA darf nur jene personenbezogenen Daten verwenden,die er zur Durchführung der erbrachten Dienste benötigt. Diese Datendürfen nur unmittelbar beim Betroffenen selbst oder mit seinerausdrücklichen Zustimmung bei einem Dritten erhoben werden. (2) Bei Verwendung eines Pseudonyms hat derZDA die Daten über die Identität des Signators zu übermitteln,sofern an der Feststellung der Identität ein überwiegendesberechtigtes Interesse im Sinne des § 8 Abs. 1 Z 4 und Abs. 3 DSGglaubhaft gemacht wird. Die Übermittlung ist zu dokumentieren. (3) Die Auskunfts- und Mitwirkungspflichten des ZDA gegenüberGerichten und anderen Behörden bleiben unberührt.

Haftung der ZDA

§ 23. (1) Ein ZDA, der ein Zertifikat als qualifiziertesZertifikat ausstellt oder für ein solches Zertifikat nach § 24 Abs.2 Z 2 einsteht, haftet gegenüber jeder Person, die auf dasZertifikat vertraut, dafür, daß 1. alle Angaben im qualifizierten Zertifikat im Zeitpunkt seiner Ausstellung richtig sind und das Zertifikat alle für ein qualifiziertes Zertifikat vorgeschriebenen Angaben enthält, 2. der im qualifizierten Zertifikat angegebene Signator im Zeitpunkt der Ausstellung des Zertifikats im Besitz jener Signaturerstellungsdaten ist, die den im Zertifikat angegebenen Signaturprüfdaten entsprechen, 3. die Signaturerstellungsdaten und die ihnen zugeordneten Signaturprüfdaten einander bei Verwendung der von ihm bereitgestellten oder als geeignet bezeichneten Produkte und Verfahren in komplementärer Weise entsprechen, 4. das Zertifikat bei Vorliegen der Voraussetzungen unverzüglich widerrufen wird und die Widerrufsdienste verfügbar sind sowie 5. die Anforderungen des § 7 erfüllt und für die Erzeugung und Speicherung von Signaturerstellungsdaten sowie für die Erstellung und Speicherung von qualifizierten Zertifikaten technische Komponenten und Verfahren nach § 18 verwendet werden. (2) Ein ZDA haftet zudem dafür, daß für die von ihmbereitgestellten oder als geeignet bezeichneten Produkte,Verfahren und sonstigen Mittel für die Erstellung elektronischerSignaturen sowie für die Darstellung zu signierender Daten nurtechnische Komponenten und Verfahren nach § 18 verwendet werden. (3) Der ZDA haftet nicht, wenn er nachweist, daß ihn und seineLeute an der Verletzung der Verpflichtungen nach den Abs. 1 und 2kein Verschulden trifft. Kann der Geschädigte als wahrscheinlichdartun, daß die Verpflichtungen nach den Abs. 1 und 2 verletzt oderdie zur Einhaltung der Sicherheitsanforderungen diesesBundesgesetzes und der auf seiner Grundlage ergangenen Verordnungengetroffenen Vorkehrungen kompromittiert wurden, so wird vermutet,daß der Schaden dadurch verursacht wurde. Diese Vermutung istwiderlegt, wenn der ZDA als wahrscheinlich dartut, daß derSchaden nicht durch eine Verletzung bzw. Kompromittierung der imzweiten Satz genannten Verpflichtungen und Vorkehrungen verursachtwurde. (4) Enthält ein qualifiziertes Zertifikat eine Einschränkung desAnwendungsbereichs, so haftet der ZDA nicht für Schäden, die sichaus einer anderen Verwendung des Zertifikats ergeben. Enthält einqualifiziertes Zertifikat einen bestimmten Transaktionswert, bis zu


12 von 14 27.08.2008 13:47

dem das Zertifikat verwendet werden darf, so haftet der ZDA nicht fürSchäden, die sich aus der Überschreitung dieses Transaktionswertsergeben. (5) Die Haftung eines ZDA nach Abs. 1 bis 3 kann im vorhineinweder ausgeschlossen noch beschränkt werden. (6) Bestimmungen des Allgemeinen Bürgerlichen Gesetzbuchs undanderer Rechtsvorschriften, nach denen Schäden in anderem Umfangoder von anderen Personen als nach diesem Bundesgesetz zu ersetzensind, bleiben unberührt.

7. Abschnitt Anerkennung ausländischer Zertifikate

Anerkennung

§ 24. (1) Zertifikate, die von einem in der EuropäischenGemeinschaft oder im Europäischen Wirtschaftsraum niedergelassenenZDA ausgestellt wurden und deren Gültigkeit vom Inland aus überprüftwerden kann, sind inländischen Zertifikaten gleichgestellt.Qualifizierte Zertifikate solcher ZDA entfalten dieselbenRechtswirkungen wie inländische qualifizierte Zertifikate. (2) Zertifikate, die von einem in einem Drittstaatniedergelassenen ZDA ausgestellt wurden und deren Gültigkeit vomInland aus überprüft werden kann, werden im Inland anerkannt.Qualifizierte Zertifikate werden inländischen qualifiziertenZertifikaten rechtlich gleichgestellt, wenn 1. der ZDA die Anforderungen nach § 7 erfüllt und unter einem freiwilligen Akkreditierungssystem eines Mitgliedstaates der Europäischen Union oder des Europäischen Wirtschaftraums akkreditiert ist, 2. ein in der Europäischen Gemeinschaft oder im Europäischen Wirtschaftraum niedergelassener ZDA, der die Anforderungen nach § 7 erfüllt, für das Zertifikat haftungsrechtlich einsteht oder 3. im Rahmen einer bilateralen oder multilateralen Vereinbarung zwischen der Europäischen Gemeinschaft einerseits und Drittstaaten oder internationalen Organisationen andererseits das Zertifikat als qualifiziertes Zertifikat oder der ZDA als Aussteller qualifizierter Zertifikate anerkannt ist. (3) Ist in einem Drittstaat zum Nachweis derSicherheitsanforderungen für qualifizierte elektronische Signatureneine staatlich anerkannte Stelle eingerichtet, so werdenBescheinigungen dieser Stelle über die Einhaltung derSicherheitsanforderungen für die Erzeugung qualifizierterelektronischer Signaturen den Bescheinigungen einerBestätigungsstelle (§ 19) gleichgehalten, soweit die Aufsichtsstellefeststellt, daß die den Beurteilungen dieser Stellen zugrundeliegenden technischen Anforderungen, Prüfungen und Prüfverfahrenjenen der Bestätigungsstelle gleichwertig sind.

8. Abschnitt Schlußbestimmungen

Signaturverordnung

§ 25. Der Bundeskanzler hat mit Verordnung im Einvernehmen mit demBundesminister für Justiz die nach dem jeweiligen Stand derWissenschaft und Technik zur Durchführung dieses Bundesgesetzeserforderlichen Rechtsvorschriften zu erlassen über 1. die Festsetzung pauschaler kostendeckender Gebühren für die Leistungen der Aufsichtsstelle und der RTR-GmbH sowie die Vorschreibung dieser Gebühren, 2. die Festsetzung der zur Erfüllung der Anforderungen dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen ausreichenden Finanzmittel sowie der für die Abdeckung des Haftungsrisikos der ZDA ausreichenden Finanzmittel, insbesondere die Festsetzung einer Mindestversicherungssumme für eine Haftpflichtversicherung, 3. die Zuverlässigkeit des ZDA und seines Personals (§§ 7 Abs. 1), 4. die näheren Anforderungen an die technischen Komponenten und


13 von 14 27.08.2008 13:47

Verfahren sowie die technischen Produkte und sonstigen Mittel zur Anwendung der §§ 7 Abs. 2, 10 und 18, die Durchführung der Prüfung der technischen Komponenten und Verfahren nach § 18 sowie die Ausstellung der Bestätigung, daß diese Anforderungen erfüllt sind, 5. die Dauer der Weiterführung der Widerrufsdienste durch die Aufsichtsstelle (§ 12 und § 14 Abs. 5), 6. die Anwendungsbereiche, Anforderungen und Toleranzen von qualifizierten Zeitstempeldiensten, 7. (Anm.: aufgehoben durch BGBl. I Nr. 8/2008) 8. die Form, Darstellung und Verfügbarkeit des Zertifizierungskonzepts (zB Klartext), 9. die Dauer der Aufbewahrung einer Dokumentation (§ 11) und 10. die Art und Form der Kennzeichnung akkreditierter ZDA.

Verwaltungsstrafbestimmungen

§ 26. (1) Eine Verwaltungsübertretung begeht und ist mit Geldstrafebis zu 4 000 Euro zu bestrafen, wer fremde Signaturerstellungsdatenohne Wissen und Willen des Signators mißbräuchlich verwendet. (2) Ein ZDA begeht eine Verwaltungsübertretung und ist mitGeldstrafe bis zu 8 000 Euro zu bestrafen, wenn er 1. entgegen § 9 Abs. 1 seine Widerrufspflicht verletzt, 2. entgegen § 11 seine Dokumentationspflicht verletzt, 3. entgegen § 16 Abs. 1 nicht Einsicht in die dort genannten Bücher, sonstige Aufzeichnungen oder Unterlagen gewährt oder nicht die notwendigen Auskünfte erteilt oder 4. entgegen § 20 Abs. 1 den Zertifikatswerber nicht unterrichtet. (3) Ein ZDA begeht eine Verwaltungsübertretung und ist mitGeldstrafe bis zu 16 000 Euro zu bestrafen, wenn er 1. entgegen § 6 Abs. 2 die Aufnahme seiner Tätigkeit nicht anzeigt oder das Sicherheitskonzept oder das Zertifizierungskonzept nicht vorlegt, 2. entgegen § 6 Abs. 5 nicht alle Umstände, die eine ordnungsgemäße und dem Sicherheits- sowie dem Zertifizierungskonzept entsprechende Tätigkeit nicht mehr ermöglichen, der Aufsichtsstelle anzeigt, 3. entgegen § 7 Abs. 1 Z 2 keinen geeigneten Widerrufsdienst oder keinen geeigneten Verzeichnisdienst führt, 4. entgegen § 7 Abs. 1 Z 8 keine geeigneten Vorkehrungen dafür trifft, daß die Signaturerstellungsdaten der Signatoren weder vom ZDA noch von Dritten gespeichert oder kopiert werden können, 5. entgegen § 18 keine geeigneten technischen Komponenten und Verfahren für qualifizierte elektronische Signaturen verwendet, bereitstellt oder bezeichnet oder 6. trotz Untersagung durch die Aufsichtsstelle (§ 14 Abs. 3) die ihm untersagte Tätigkeit weiterhin ausübt. (4) Eine Verwaltungsübertretung gemäß den Abs. 1 bis 3 liegt nichtvor, wenn die Tat den Tatbestand einer in die Zuständigkeit derGerichte fallenden strafbaren Handlung bildet oder nach anderenVerwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist. (5) Im Straferkenntnis können die Gegenstände, mit denen diestrafbare Handlung begangen wurde, für verfallen erklärt werden.

Inkrafttreten und Verweisungen

§ 27. (1) Dieses Bundesgesetz tritt mit 1. Jänner 2000 in Kraft. (2) Soweit in diesem Bundesgesetz auf Bestimmungen andererBundesgesetze verwiesen wird, sind diese in ihrer jeweils geltendenFassung anzuwenden. (3) § 13 in der Fassung des Bundesgesetzes BGBl. I Nr. 137/2000tritt mit 1. Oktober 2000 in Kraft. (4) Die §§ 5, 7, 15, 18, 19, 23, 24, 26, 27 und 29 in der Fassungdes Bundesgesetzes BGBl. I Nr. 137/2000 treten mit dem auf dieKundmachung dieses Bundesgesetzes folgenden Tag in Kraft. (5) Die Bestimmungen der § 13 Abs. 4, § 15 Abs. 1 bis 5, § 25 Z 1und § 27 Abs. 5 in der Fassung des Bundesgesetzes BGBl. I Nr.32/2001 treten mit 1. April 2001 in Kraft. (6) § 4 in der Fassung des Bundesgesetzes BGBl. I Nr. 152/2001tritt mit 1. Jänner 2002 in Kraft.


14 von 14 27.08.2008 13:47

(7) § 4 Abs. 2 in der Fassung des Bundesgesetzes BGBl. I Nr.164/2005 tritt mit 1. Jänner 2007 in Kraft. (8) § 1 Abs. 3, § 2 Z 1 bis 3a, 5, 9, 10, 12, 13 und 14, § 3Abs. 2, § 4 Abs. 1 bis 3, § 5 Abs. 1 Z 2 und Abs. 3, dieAbschnittsüberschrift und Paragrafenüberschrift vor § 6, § 6 Abs. 1bis 5 und 7, die Paragrafenüberschrift vor § 7, § 7 Abs. 1 undAbs. 1 Z 2 bis 4 sowie 8 und Abs. 2 bis 6, § 8 Abs. 1, 3 und 4, § 9Abs. 1, Abs. 1 Z 2 und 4, Abs. 2 bis 5, Abs. 5 Z 1 und 2 und Abs. 6,§ 10 samt Überschrift, § 11 Abs. 1 bis 3, § 12, § 13 Abs. 1, 3 und4, § 14 Abs. 1, 3, 5 und 6, § 15 Abs. 1 und Abs. 2 Z 1, 3, 4 und 7,Abs. 3 und 4, § 16 Abs. 1, § 17 Abs. 1 bis 3, dieParagrafenüberschrift vor § 18, § 18 Abs. 1, 2, und 5, § 19 Abs. 6,die Paragrafenüberschrift vor § 20, § 20 Abs. 1, § 21, § 22 Abs. 2und 3 (Anm.: richtig: § 22 Abs. 1 bis 3), die Paragrafenüberschriftvor § 23, § 23 Abs. 1 bis 5, § 24 Abs. 1 bis 3 und Abs. 2 Z 1 bis 3,§ 25 Z 2, 3, 6 und 10, § 26 Abs. 2 und 3 und Abs. 3 Z 4 bis 6 und §28 Z 2 in der Fassung des Bundesgesetzes BGBl. I Nr. 8/2008 tretenam 1. Jänner 2008 in Kraft; gleichzeitig treten § 6 Abs. 6, § 8 Abs.2, § 13 Abs. 2, § 14 Abs. 2 und 4, § 15 Abs. 2 Z 2, § 18 Abs. 4, §20 Abs. 3, und § 25 Z 7 außer Kraft.

Vollzug

§ 28. Mit der Vollziehung dieses Bundesgesetzes sind betraut: 1. hinsichtlich der §§ 3, 4 und 23 der Bundesminister für Justiz, 2. hinsichtlich der §§ 13 bis 17 der Bundesminister für Verkehr, Innovation und Technologie, 3. hinsichtlich der §§ 22 und 26 der Bundeskanzler, 4. hinsichtlich der §§ 7 Abs. 1 Z 6 und 13 Abs. 4 der Bundeskanzler im Einvernehmen mit dem Bundesminister für Justiz und dem Bundesminister für Finanzen und 5. hinsichtlich der übrigen Bestimmungen der Bundeskanzler im Einvernehmen mit dem Bundesminister für Justiz.

Hinweis auf Umsetzung

§ 29. Mit diesem Bundesgesetz wird die Richtlinie 99/93/EG desEuropäischen Parlaments und des Rates vom 13. Dezember 1999 übergemeinschaftliche Rahmenbedingungen für elektronische Signaturen,ABl. L Nr. 13 vom 19. Jänner 2000, S 12, umgesetzt.

Artikel 5 Notifikationshinweis gemäß Artikel 12 der Richtlinie 98/34/EG (Anm.: Zu BGBl. I Nr. 190/1999)

Dieses Gesetz wurde unter Einhaltung der Bestimmungen derRichtlinie 98/34/EG über ein Informationsverfahren auf dem Gebietder Normen und technischen Vorschriften und der Vorschriften für dieDienste der Informationsgesellschaft, ABl. Nr. L 204 vom 21.7.1998,S. 37 in der Fassung der Richtlinie 98/48/EG, ABl. Nr. L 217 vom5.8.1998, S. 18, unter der Notifikationsnummer 2007/456/Anotifiziert.

Documents

ElektronischeElektronische ... fileIm Signaturgesetz (SigG) ist die "fortgeschrittene Signatur in §2 Z3 ausdrücklich geregelt und verlangt die Erfüllung der Bestimmungen von §