- 839. Sitzung des Bundesrates am Freitag, dem 30. November 2007:
A. Probleme und Ziele
- Das Inkrafttreten der Verordnung (EG) Nr. 561/2006 des Europäischen Parlaments und des Rates vom 15. März 2006 zur Harmonisierung bestimmter Sozialvorschriften im Straßenverkehr und zur Änderung der Verordnungen (EWG) Nr. 3821/85/EWG und (EG) Nr. 2135/98 des Rates sowie zur Aufhebung der Verordnung (EWG) Nr. 3820/85 des Rates (ABl. EG (Nr. ) L 102 S. 1) zum 11. April 2007 macht in der Fahrpersonalverordnung eine Reihe von Änderungen erforderlich. Gleichzeitig ergibt sich aus den ersten Erfahrungen mit der Einführung des digitalen Kontrollgerätes die Notwendigkeit, bestimmte Änderungen vorzunehmen.
B. Lösung
- Die vorgelegte Verordnung enthält Anpassungen und Verbesserungen.
C. Alternativen
D. Finanzielle Auswirkungen
- 1. Haushaltsausgaben ohne Vollzugsaufwand
Keine
- 2. Vollzugsaufwand
Keine
E. Sonstige Kosten
- Durch die Umstellung auf digitale Kontrollgeräte sowie durch ein vereinfachtes Verfahren zur Erlangung der Werkstattkarte zur Kalibrierung ist mittel- und langfristig von einer geringfügigen Kostenentlastung bei den betroffenen Unternehmen auszugehen; die Handwerksbetriebe werden darüber hinaus durch die neue Bestimmung des § 1 Abs. 1 Nr. 3 der Fahrpersonalverordnung entlastet.
- Anderen Bereichen der Wirtschaft, hier insbesondere der mittelständischen Wirtschaft, entstehen keine Kosten. Es gibt keine Auswirkungen auf die sozialen Sicherungssysteme. Aus diesen Gründen sind daher geringfügige Einzelpreisanpassungen möglich. Auswirkungen auf das allgemeine Preisniveau, dabei insbesondere das Verbraucherpreisniveau, sind nicht zu erwarten.
F. Bürokratiekosten
- Durch die Verordnung werden für die Wirtschaft Informationspflichten abgeschafft, indem Fahrzeuge von Handwerksbetrieben und Marktkaufleuten zwischen 2,8 Tonnen und 3,5 Tonnen zulässiger Gesamtmasse unter den Voraussetzungen des § 1 Abs. 2 Nr. 2 und 3 der Fahrpersonalverordnung von den Aufzeichnungspflichten generell befreit werden (Aufhebung der 50 Kilometerbegrenzung). Dadurch wird die Wirtschaft um schätzungsweise 36,5 Mio. Euro im Jahr entlastet.
- Zusätzliche Informationspflichten ergeben sich im Wesentlichen durch den Wegfall von Ausnahmen (Einbeziehung von Verkaufswagen über 3,5 Tonnen zulässige Gesamtmasse). Sie beruhen auf zwingendem Recht der Europäischen Gemeinschaft. Informationspflichten für die Bürgerinnen und Bürger sowie für die Verwaltung sind nicht betroffen.
Verordnung des Bundesministeriums für Verkehr, Bau und Stadtentwicklung
Zweite Verordnung zur Änderung fahrpersonalrechtlicher Vorschriften
Der Chef des Bundeskanzleramtes Berlin, den 31. August 2007
An den
Präsidenten des Bundesrates
Herrn Ministerpräsidenten
Dr. Harald Ringstorff
Sehr geehrter Herr Präsident,
hiermit übersende ich die vom Bundesministerium für Verkehr, Bau und Stadtentwicklung zu erlassende
mit Begründung und Vorblatt.
Ich bitte, die Zustimmung des Bundesrates aufgrund des Artikels 80 Absatz 2 des Grundgesetzes herbeizuführen.
Die Stellungnahme des Nationalen Normenkontrollrates gemäß § 6 Abs. 1 NKRG ist als Anlage beigefügt.
Mit freundlichen Grüßen
Dr. Thomas de Maizière
Zweite Verordnung zur Änderung fahrpersonalrechtlicher Vorschriften
Vom 2007
Auf Grund des § 2 Nr. 1 Buchstabe a, b, c, und e , Nr. 1a Buchstabe b, Nr. 2 Buchstabe a, b und e Nr. 3 und 4 des Fahrpersonalgesetzes in der Fassung der Bekanntmachung vom 19. Februar 1987 (BGBl. I S. 640), dessen Eingangssatz zuletzt durch Artikel 290 der Verordnung vom 31. Oktober 2006 (BGBl. I S. 2407), Nummer 1 in den Satzteilen vor Buchstabe a und nach Buchstabe e sowie in Buchstabe c und Nummer 3 zuletzt durch Artikel 1 Nr. 1 Buchstabe a des Gesetzes vom 6. Juli 2007 (BGBl. I S. 1270) geändert worden sind, dessen Nummer 1a Buchstabe b durch Artikel 1 Nr. 1 Buchstabe b des Gesetzes vom 6. Juli 2007 (BGBl. I S. 1270) eingefügt worden ist, dessen Nummer 1 Buchstabe a und b, und Nummer 2 Buchstabe a und b durch Artikel 1 Nr. 2 des Gesetzes vom 18. August 1997 (BGBl. I S. 2075) neu gefasst worden sind, dessen Nummer 1 Buchstabe e und Nummer 2 Buchstabe e zuletzt durch Artikel 1b Nr. 1 des Gesetzes vom 3. Mai 2005 (BGBl. I S. 1221) geändert worden sind und dessen Nummer 4 durch Artikel 1 Nr. 1 Buchstabe c des Gesetzes vom 15. Mai 2004 (BGBl. I S. 954) eingefügt worden ist verordnet das Bundesministerium für Verkehr, Bau und Stadtentwicklung im Einvernehmen mit dem Bundesministerium für Arbeit und Soziales:
Die Fahrpersonalverordnung vom 27. Juni 2005 (BGBl. I S. 1882), geändert durch Artikel 472 der Verordnung vom 31. Oktober 2006 (BGBl. I S. 2407) wird wie folgt geändert:
- 1. Die §§ 1 und 2 werden wie folgt gefasst:
§ 1 Lenk- und Ruhezeiten im Straßenverkehr
- (1) Fahrer
- 1. von Fahrzeugen, die zur Güterbeförderung dienen und deren zulässige Höchstmasse einschließlich Anhänger oder Sattelanhänger mehr als 2,8 Tonnen und nicht mehr als 3,5 Tonnen beträgt, sowie
- 2. von Fahrzeugen, die zur Personenbeförderung dienen, nach ihrer Bauart und Ausstattung geeignet und dazu bestimmt sind, mehr als neun Personen einschließlich Fahrer zu befördern, und im Linienverkehr mit einer Linienlänge bis zu 50 Kilometern eingesetzt sind, haben Lenkzeiten, Fahrtunterbrechungen und Ruhezeiten nach Maßgabe der Artikel 4, 6 bis 9 und 12 der Verordnung (EG) Nr. 561/2006 des Europäischen Parlaments und des Rates vom 15. März 2006 zur Harmonisierung bestimmter Sozialvorschriften im Straßenverkehr und zur Änderung der Verordnungen (EWG) Nr. 3821/85/EWG und (EG) Nr. 2135/98 des Rates sowie zur Aufhebung der Verordnung (EWG) Nr. 3820/85 des Rates (ABl. EU (Nr. ) L 102 S. 1) einzuhalten.
- (2) Absatz 1 findet keine Anwendung auf
- 1. Fahrzeuge, die in § 18 genannt sind,
- 2. Fahrzeuge, die in Artikel 3 Buchstabe b bis i der Verordnung (EG) Nr. 561/2006 genannt sind
- 3. Fahrzeuge, die zur Beförderung von Material, Ausrüstungen oder Maschinen, die der Fahrer zur Ausübung seiner beruflichen Tätigkeit benötigt, verwendet werden, soweit das Lenken nicht die Haupttätigkeit des Fahrers darstellt,
- 4. Fahrzeuge, die als Verkaufswagen auf örtlichen Märkten oder für den ambulanten Verkauf verwendet werden und für diese Zwecke besonders ausgestattet sind, soweit das Lenken des Fahrzeugs nicht die Haupttätigkeit des Fahrers darstellt, und
- 5. selbstfahrende Arbeitsmaschinen nach § 2 Nr. 17 der Fahrzeug-Zulassungsverordnung.
- (3) Abweichend von Absatz 1 in Verbindung mit Artikel 7 der Verordnung (EG) Nr. 561/2006 haben Fahrer von Kraftomnibussen im Linienverkehr mit einer Linienlänge bis zu 50 Kilometern Fahrtunterbrechungen nach Maßgabe der folgenden Vorschriften einzuhalten:
- 1. Beträgt der durchschnittliche Haltestellenabstand mehr als drei Kilometer, so ist nach einer Lenkzeit von viereinhalb Stunden eine Fahrtunterbrechung von mindestens 30 zusammenhängenden Minuten einzulegen. Diese Fahrtunterbrechung kann durch zwei Teilunterbrechungen von jeweils mindestens 20 zusammenhängenden Minuten oder drei Teilunterbrechungen von jeweils mindestens 15 Minuten ersetzt werden. Die Teilunterbrechungen müssen innerhalb der Lenkzeit von höchstens viereinhalb Stunden oder teils innerhalb dieser Zeit und teils unmittelbar danach liegen.
- 2. Beträgt der durchschnittliche Haltestellenabstand nicht mehr als drei Kilometer, sind als Fahrtunterbrechungen auch Arbeitsunterbrechungen ausreichend, soweit diese nach den Dienst- und Fahrplänen in der Arbeitsschicht enthalten sind (z.B. Wendezeiten). Voraussetzung hierfür ist, dass die Gesamtdauer der Arbeitsunterbrechungen mindestens ein Sechstel der vorgesehenen Lenkzeit beträgt. Arbeitsunterbrechungen unter zehn Minuten werden bei der Berechnung der Gesamtdauer nicht berücksichtigt. Durch Tarifvertrag kann vereinbart werden, dass Arbeitsunterbrechungen von mindestens acht Minuten berücksichtigt werden können, wenn ein Ausgleich vorgesehen ist, der die ausreichende Erholung des Fahrers erwarten lässt. Für Fahrer, die nicht in einem Arbeitsverhältnis stehen, kann die nach Landesrecht zuständige Behörde entsprechende Abweichungen bewilligen.
- (4) Abweichend von Absatz 1 in Verbindung mit Artikel 8 Abs. 6 der Verordnung (EG) Nr. 561/2006 sind Fahrer der in Absatz 1 Nr. 2 genannten Fahrzeuge nicht zur Einlegung einer wöchentlichen Ruhezeit nach höchstens sechs 24-Stunden-Zeiträumen verpflichtet. Sie können die wöchentlich einzuhaltenden Ruhezeiten auf einen Zweiwochenzeitraum verteilen.
- (5) Der Unternehmer hat dafür zu sorgen, dass die Vorschriften über die Lenkzeiten, die Fahrtunterbrechungen und die Ruhezeiten gemäß den Artikeln 4, 6 bis 9 und 12 der Verordnung (EG) Nr. 561/2006 eingehalten werden. Artikel 10 Abs. 2 der Verordnung (EG) Nr. 561/2006 findet entsprechende Anwendung.
- (6) Der Fahrer eines in Absatz 1 Nr. 1 genannten Fahrzeugs hat, sofern dieses Fahrzeug nicht nach Absatz 2 ausgenommen ist, folgende Zeiten aufzuzeichnen:
- 1. Lenkzeiten,
- 2. alle sonstigen Arbeitszeiten,
- 3. Fahrtunterbrechungen und
- 4. Ruhezeiten.
Die Aufzeichnungen sind für jeden Tag getrennt zu fertigen und müssen folgende Angaben enthalten:
- 1. Vor- und Familienname,
- 2. Datum,
- 3. amtliche Kennzeichen der benutzten Fahrzeuge,
- 4. Ort des Fahrtbeginns,
- 5. Ort des Fahrtendes und
- 6. Kilometerstände der benutzten Fahrzeuge bei Fahrtbeginn und Fahrtende.
Der Fahrer hat alle Eintragungen jeweils unverzüglich zu Beginn und am Ende der Lenkzeiten, Fahrtunterbrechungen und Ruhezeiten vorzunehmen.
Die Aufzeichnungen der laufenden Woche und der der laufenden Woche vorausgegangenen 15 Kalendertage sind vom Fahrer mitzuführen und den zuständigen Personen auf Verlangen zur Prüfung auszuhändigen; ab dem 1. Januar 2008 umfasst dieser Zeitraum den laufenden Tag und die vorausgegangenen 28 Kalendertage.
Hat der Fahrer während des in Satz 4 genannten Zeitraums ein Fahrzeug gelenkt, für das
- 1. die Verordnung (EWG) Nr. 3821/85/EWG des Rates vom 20. Dezember 1985 über das Kontrollgerät im Straßenverkehr (ABl. EG (Nr. ) L 370 S. 8) in der jeweils geltenden Fassung oder
- 2. das Europäische Übereinkommen vom 1. Juli 1970 über die Arbeit des im internationalen Straßenverkehr beschäftigten Fahrpersonals (AETR) (BGBl. 1974 II S. 1473) in der jeweils geltenden Fassung gilt, sind für dieses Fahrzeug Nachweise nach Maßgabe von Artikel 15 der Verordnung (EWG) Nr. 3821/85/EWG oder Artikel 11 des Anhangs zum AETR an Stelle der Aufzeichnungen mitzuführen.
Der Fahrer hat dem Unternehmer alle Aufzeichnungen unverzüglich nach Ablauf der Mitführungspflicht auszuhändigen. Der Unternehmer hat
- 1. dem Fahrer entsprechend dem Muster der Anlage 1 geeignete Vordrucke zur Fertigung der Aufzeichnungen in ausreichender Anzahl auszuhändigen,
- 2. die Aufzeichnungen unverzüglich nach Aushändigung durch den Fahrer zu prüfen und unverzüglich Maßnahmen zu ergreifen, die notwendig sind, um die Beachtung der Sätze 1 bis 5 zu gewährleisten,
- 3. die Aufzeichnungen ein Jahr lang nach Aushändigung durch den Fahrer in chronologischer Reihenfolge und in lesbarer Form außerhalb des Fahrzeugs aufzubewahren und den zuständigen Personen auf Verlangen vorzulegen und
- 4. die Aufzeichnungen nach Ablauf der Aufbewahrungsfrist bis zum 31. März des folgenden Kalenderjahres zu vernichten, soweit sie nicht zur Erfüllung der Aufbewahrungspflichten nach § 16 Abs. 2 und § 21a Abs. 7 des Arbeitszeitgesetzes, § 147 Abs. 1 Nr. 5 in Verbindung mit Abs. 3 der Abgabenordnung und § 28f Abs. 1 Satz 1 des Vierten Buches Sozialgesetzbuch benötigt werden.
- (7) Ist das Fahrzeug mit einem Kontrollgerät nach Anhang I oder I B zur Verordnung (EWG) Nr. 3821/85/EWG oder einem Fahrtschreiber gemäß § 57a der Straßenverkehrs-Zulassungs-Ordnung ausgerüstet, haben Fahrer der in Absatz 1 Nr. 1 genannten Fahrzeuge diese entsprechend den Artikeln 13, 14 Abs. 1 Unterabs. 2, Abs. 4 Buchstabe a Unterabs. 3 Satz 2 und 3, Artikel 15 Abs. 1 Unterabs. 1, 3 und 5, Abs. 2, Abs. 3, 5, 5a und 7 und Artikel 16 Abs. 2 Unterabs. 1 und Abs. 3 der Verordnung (EWG) Nr. 3821/85/EWG oder § 57a Abs. 2 der Straßenverkehrs-Zulassungs-Ordnung zu betreiben. Im Falle der Verwendung eines Fahrtschreibers gemäß § 57a der Straßenverkehrs-Zulassungs-Ordnung hat der Fahrer die Schicht und die Pausen jeweils bei Beginn und Ende auf dem Schaublatt zu vermerken. Der Unternehmer hat bei Verwendung eines Kontrollgeräts nach Anhang I der Verordnung (EWG) Nr. 3821/85/EWG oder eines Fahrtschreibers dem Fahrer vor Beginn der Fahrt die für das Gerät zugelassenen Schaublätter in ausreichender Anzahl auszuhändigen und dafür zu sorgen, dass das Kontrollgerät nach Anhang I oder I B zur Verordnung (EWG) Nr. 3821/85/EWG oder der Fahrtschreiber ordnungsgemäß benutzt wird; Absatz 6 Satz 4 bis 6 und 7 Nr. 2 bis 4 gilt entsprechend. Hat der Fahrer eines mit einem Kontrollgerät nach Anhang I B zur Verordnung (EWG) Nr. 3821/85/EWG ausgerüsteten Fahrzeugs in dem in Absatz 6 Satz 4 genannten Zeitraum ein Fahrzeug gelenkt, das mit einem Kontrollgerät nach Anhang I zur Verordnung (EWG) Nr. 3821/85/EWG ausgerüstet ist hat er die Schaublätter dieses Kontrollgerätes während der Fahrt ebenfalls mitzuführen und den zuständigen Personen auf Verlangen zur Prüfung auszuhändigen.
§ 2 Kontrollgerät nach Anhang I B zur Verordnung (EWG) Nr. 3821/85/EWG
- (1) Ein Fahrer, der ein Fahrzeug lenkt, das in den Anwendungsbereich der Verordnung (EG) Nr. 561/2006 fällt, oder der Lenk- oder Ruhezeiten nach § 1 dieser Verordnung einzuhalten hat und dabei ein Kontrollgerät gemäß Anhang I B zur Verordnung (EWG) Nr. 3821/85/EWG betreibt, hat das Kontrollgerät entsprechend den Artikeln 13, 14 Abs. 1 Unterabs. 2, Abs. 4 Buchstabe a Unterabs. 3 Satz 2 und 3, Artikel 15 Abs. 1 Unterabs. 1, 3 und 5, Abs. 2, Abs. 3, 5, 5a und 7 und Artikel 16 Abs. 2 Unterabs. 1 und Abs. 3 der Verordnung (EWG) Nr. 3821/85/EWG zu bedienen und die Benutzerführung zu beachten.
- (2) Die in Artikel 15 Abs. 3 zweiter Spiegelstrich Buchstabe b bis d der Verordnung (EWG) Nr. 3821/85/EWG genannten Zeiträume müssen bei Übernahme des Fahrzeugs auf der Fahrerkarte unter Benutzung der im Kontrollgerät vorgesehenen manuellen Eingabemöglichkeiten eingetragen werden, wenn der Fahrer vor Übernahme des Fahrzeugs solche Zeiten verbracht hat.
- (3) Die nach Artikel 15 Abs. 1 Unterabs. 5 der Verordnung (EWG) Nr. 3821/85/EWG vorgeschriebenen Ausdrucke hat der Fahrer den zuständigen Personen auf Verlangen vorzulegen.
Der Unternehmer hat die Ausdrucke in chronologischer Reihenfolge und in lesbarer Form außerhalb des Fahrzeugs aufzubewahren und den zuständigen Personen auf Verlangen vorzulegen.
- (4) Bei Einsatz von Mietfahrzeugen, deren Verwendung in den Anwendungsbereich der Verordnung (EG) Nr. 561/2006 oder dieser Verordnung fällt, hat der Unternehmer, der das Fahrzeug anmietet, zu Beginn und am Ende des Mietzeitraums durch Verwendung der Unternehmenskarte sicherzustellen dass die Daten des Fahrzeugspeichers über die mit den Fahrzeugen durchgeführten Fahrten übertragen und bei ihm gespeichert werden. Ist dies in begründeten Ausnahmefällen nicht möglich, ist zu Beginn und am Ende des Mietzeitraums ein Ausdruck wie bei Beschädigung oder Fehlfunktion der Fahrerkarte zu fertigen. Der Fahrer hat den Ausdruck unverzüglich nach Erhalt an den Unternehmer weiterzuleiten, der ihn ein Jahr aufzubewahren hat. Nach Ablauf der Aufbewahrungsfrist sind die Ausdrucke bis zum 31. März des folgenden Kalenderjahres zu vernichten, soweit sie nicht zur Erfüllung der Aufbewahrungspflichten nach § 16 Abs. 2 und § 21a Abs. 7 des Arbeitszeitgesetzes, § 147 Abs. 1 Nr. 5 in Verbindung mit Abs. 3 der Abgabenordnung und § 28f Abs. 1 Satz 1 des Vierten Buches Sozialgesetzbuch benötigt werden.
- (5) Der Unternehmer hat sicherzustellen, dass alle Daten aus dem Massenspeicher des Kontrollgerätes spätestens drei Monate nach Beginn der Aufzeichnung oder dem letzten Kopieren zur Speicherung im Betrieb kopiert werden. Der Unternehmer hat sicherzustellen, dass die Daten der Fahrerkarten spätestens alle 28 Kalendertage, beginnend mit dem ersten Tag der Aufzeichnung, zur Speicherung im Betrieb kopiert werden. Der Fahrer hat hierzu dem Unternehmen die Fahrerkarte und die Ausdrucke nach Absatz 3 zur Verfügung zu stellen. Der Unternehmer hat alle sowohl von den Kontrollgeräten als auch von den Fahrerkarten kopierten Daten der zuständigen Behörde oder Stelle auf Verlangen entweder unmittelbar oder durch Datenfernübertragung oder auf einem durch die Behörde oder Stelle zu bestimmenden Datenträger zur Verfügung zu stellen. Der Unternehmer hat von allen kopierten Daten unverzüglich Sicherheitskopien zu erstellen, die auf einem gesonderten Datenträger zu speichern sind.
- (6) Unternehmen, die Fahrzeuge vermieten, haben dem Mieter des Fahrzeugs diejenigen Daten aus dem Massenspeicher des Kontrollgerätes, die sich auf die vom Mieter durchgeführten Beförderungen beziehen und auf die dieser nicht unmittelbar zugreifen kann,
- 1. auf dessen Verlangen,
- 2. spätestens drei Monate nach Beginn des Mietverhältnisses oder der letzten Datenübermittlung, und
- 3. nach Beendigung des Mietverhältnisses zur Verfügung zu stellen.
Dabei sind dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit, Unversehrtheit und Zurechenbarkeit der Daten gewährleisten; im Falle der Nutzung allgemein zugänglicher Netze sind dem jeweiligen Stand der Technik entsprechende Verschlüsselungsverfahren anzuwenden.".
- 2. Nach § 2 wird folgender § 2a eingefügt:
§ 2a Aufbewahrung von Kontrollunterlagen
- Der Unternehmer bewahrt die ihm oder seinen Fahrern von den zuständigen Personen überlassenen Niederschriften, Ergebnisprotokolle und andere Unterlagen über bei ihm auf dem Gelände vorgenommene bzw. bei seinen Fahrern auf der Straße vorgenommene Kontrollen ein Jahr lang auf. Die Unterlagen sind den zuständigen Personen auf Verlangen vorzulegen.
- Nach Ablauf der Aufbewahrungspflicht sind die Unterlagen bis zum 31. März des folgenden Kalenderjahres zu vernichten.".
- 3. § 4 wird wie folgt geändert:
- 4. § 5 wird wie folgt geändert:
- a) Absatz 1 wird wie folgt geändert:
- aa) Im Eingangssatz werden nach dem Wort "hat" die Wörter "Angaben zu seiner Muttersprache zu machen und" eingefügt.
- bb) In Nummer 1 Buchstabe a wird das Wort "inländische" durch die Wörter "als inländischer" ersetzt.
- cc) In Nummer 1 Buchstabe b wird die Angabe "Verordnung (EWG) Nr. 3820/85" durch die Angabe "Verordnung (EG) Nr. 561/2006" ersetzt.
- b) In Absatz 4 Satz 2 wird das Wort "Kontrollbeamten" durch das Wort "Personen" ersetzt.
- 5. § 6 wird wie folgt geändert:
- a) In Satz 1 werden die Wörter "sieben Tage" durch die Angabe "28 Kalendertage" ersetzt.
- b) In Satz 2 werden jeweils die Wörter "sieben Tage" durch die Angabe "28 Kalendertage" ersetzt.
- 6. § 7 wird wie folgt geändert:
- 7. § 8 Abs. 1 Satz 3 bis 5 wird wie folgt gefasst:
"Rückgabepflichtig sind sowohl der Unternehmer, bei juristischen Personen die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Vertretung berufenen Personen, als auch die verantwortliche Fachkraft. Scheidet die verantwortliche Fachkraft aus der Werkstatt aus, haben der Unternehmer oder die vertretungsberechtigten Personen die Werkstattkarte unverzüglich zu rückzugeben. Ist dem Unternehmer oder den vertretungsberechtigten Personen eine Rückgabe nicht möglich, ist die zuständige Behörde oder Stelle unverzüglich zu unterrichten.".
- 8. § 9 Abs. 1 wird wie folgt geändert:
- a) Nummer 2 wird wie folgt gefasst:
"Geburts- und Familienname, Vornamen, Tag und Ort der Geburt sowie Anschrift des Unternehmers oder der nach Gesetz, Satzung oder Gesellschaftsvertrag zur Vertretung berufenen Personen.".
- b) Nummer 3 wird aufgehoben.
- 9. § 12 wird wie folgt geändert:
- 10. § 18 wird wie folgt gefasst:
" § 18 Ausnahmen gemäß Verordnungen (EG) Nr. 561/2006 und (EWG) 3821/85
- (1) Gemäß Artikel 13 Abs. 1 der Verordnung (EG) Nr. 561/2006 und Artikel 3 Abs. 2 der Verordnung (EWG) Nr. 3821/85/EWG werden im Geltungsbereich des Fahrpersonalgesetzes folgende Fahrzeugkategorien von der Anwendung der Artikel 5 bis 9 der Verordnung (EG) Nr. 561/2006 und der Anwendung der Verordnung (EWG) Nr. 3821/85/EWG ausgenommen:
- 1. Fahrzeuge, die im Eigentum von Behörden stehen oder von diesen ohne Fahrer angemietet oder geleast sind, um Beförderungen im Straßenverkehr durchzuführen, die nicht im Wettbewerb mit privatwirtschaftlichen Verkehrsunternehmen stehen,
- 2. Fahrzeuge, die von Landwirtschafts-, Gartenbau-, Forstwirtschaft- oder Fischereiunternehmen zur Güterbeförderung, insbesondere auch zur Beförderung lebender Tiere, im Rahmen der eigenen unternehmerischen Tätigkeit in einem Umkreis von bis zu 100 km vom Standort des Unternehmens verwendet oder von diesen ohne Fahrer angemietet werden,
- 3. Land- und forstwirtschaftliche Zugmaschinen, die für land- oder forstwirtschaftliche Tätigkeiten in einem Umkreis von bis zu 100 km vom Standort des Unternehmens verwendet werden das das Fahrzeug besitzt, anmietet oder least,
- 4. Fahrzeuge oder Fahrzeugkombination mit einer zulässigen Höchstmasse von nicht mehr als 7,5 Tonnen, die in einem Umkreis von 50 km vom Standort des Unternehmens a) von Universaldienstanbietern im Sinne des Artikels 2 Nr. 13 der Richtlinie 97/67/EG des Europäischen Parlaments und des Rates vom 15. Dezember 1997 über gemeinsame Vorschriften für die Entwicklung des Binnenmarktes der Postdienste der Gemeinschaft und die Verbesserung der Dienstequalität (ABl. EG 1998 Nr. L 15 S. 14, geändert durch die Richtlinie 2002/39/EG des Europäischen Parlaments und des Rates vom 10. Juni 2002 (ABl. EG (Nr. ) L 176 S. 21) zum Zwecke der Zustellung von Sendungen im Rahmen des Universaldienstes oder b) zur Beförderung von Material, Ausrüstungen oder Maschinen, die der Fahrer zur Ausübung seiner beruflichen Tätigkeit benötigt, verwendet werden, soweit das Lenken des Fahrzeugs nicht die Haupttätigkeit des Fahrers darstellt
- 5. Fahrzeuge, die ausschließlich auf Inseln mit einer Fläche von nicht mehr als 2 300 km2 verkehren die mit den übrigen Teilen des Hoheitsgebiets weder durch eine befahrbare Brücke, Furt oder einen befahrbaren Tunnel verbunden sind,
- 6. Fahrzeuge, die im Umkreis von 50 km vom Standort des Unternehmens zur Güterbeförderung mit Druckerdgas-, Flüssiggas- oder Elektroantrieb verwendet werden und deren zulässige Höchstmasse einschließlich Anhänger oder Sattelanhänger 7,5 Tonnen nicht übersteigt
- 7. Fahrzeuge, die zum Fahrschulunterricht und zur Fahrprüfung zwecks Erlangung der Fahrerlaubnis oder eines beruflichen Befähigungsnachweises dienen, sofern diese Fahrzeuge nicht für die gewerbliche Personen- oder Güterbeförderung verwendet werden,
- 8. Fahrzeuge, die von den zuständigen Stellen für Kanalisation, Hochwasserschutz, Wasser-, Gas- und Elektrizitätsversorgung, von den Straßenbauämtern, der Hausmüllabfuhr, den Telegramm- und Telefonanbietern, Radio- und Fernsehsendern sowie zur Erfassung von Radio- bzw. Fernsehsendern und -geräten verwendet werden,
- 9. Fahrzeuge mit 10 bis 17 Sitzen, die ausschließlich zur nicht gewerblichen Personenbeförderung verwendet werden,
- 10. Spezialfahrzeuge, die zum Transport von Ausrüstungen des Zirkus- oder Schaustellergewerbes verwendet werden,
- 11. speziell für mobile Projekte ausgerüstete Fahrzeuge, die hauptsächlich im Stand zu Lehrzwecken verwendet werden,
- 12. Fahrzeuge, die zum Abholen von Milch bei landwirtschaftlichen Betrieben und zur Rückgabe von Milchbehältern oder zur Lieferung von Milcherzeugnissen für Futterzwecke an diese Betriebe verwendet werden,
- 13. Spezialfahrzeuge für Geld- und/oder Werttransporte,
- 14. Fahrzeuge, die in einem Umkreis von 250 Kilometern vom Standort des Unternehmens zum Transport tierischer Nebenprodukte im Sinne des Artikels 2 Abs. 1 Buchstabe a der Verordnung (EG) Nr. 1774/2002 des Europäischen Parlaments und des Rates vom 3. Oktober 2002 mit Hygienevorschriften für nicht für den menschlichen Verzehr bestimmte tierische Nebenprodukte (ABl. EG (Nr. ) L 273 S. 1) in der jeweils geltenden Fassung verwendet werden
- 15. Fahrzeuge, die ausschließlich auf Straßen in Güterverteilzentren wie Häfen, Umschlaganlagen des Kombinierten Verkehrs und Eisenbahnterminals verwendet werden und
- 16. Fahrzeuge, die innerhalb eines Umkreises von bis zu 50 km für die Beförderung lebender Tiere von den landwirtschaftlichen Betrieben zu den lokalen Märkten und umgekehrt oder von den Märkten zu den lokalen Schlachthäusern verwendet werden.
- (2) Abweichend von Artikel 5 Abs. 2 Satz 1 der Verordnung (EG) Nr. 561/2006 beträgt bei Beförderungen in einem Umkreis von 50 km vom Standort des Fahrzeugs das Mindestalter der Beifahrer zum Zwecke der Berufsausbildung 16 Jahre.".
- 11. In § 19 Satz 1 wird die Angabe "Artikel 2 Abs. 2 der Verordnung (EWG) Nr. 3820/85" durch die Angabe "Artikel 2 Abs. 3 der Verordnung (EG) Nr. 561/2006" ersetzt.
- 12. § 20 wird wie folgt geändert:
- a) Absatz 1 wird wie folgt gefasst:
- (1) Fahrer, die die in Artikel 15 Abs. 7 der Verordnung (EWG) Nr. 3821/85/EWG oder Kapitel III Artikel 11 des Anhangs zum AETR oder dieser Verordnung vorgeschriebenen Nachweise nicht oder nicht vollständig vorlegen können, weil sie an einem oder mehreren der vorausgegangenen 28 Kalendertage
- 1. ein Fahrzeug gelenkt haben, für deren Führen eine Nachweispflicht nicht besteht,
- 2. erkrankt waren,
- 3. sich im Urlaub befanden oder
- 4. aus anderen Gründen kein Fahrzeug gelenkt haben,
haben bei einer Kontrolle den zuständigen Personen auf Verlangen eine entsprechende Bescheinigung des Unternehmers vorzulegen.
Diese Bescheinigung darf nicht handschriftlich ausgefüllt sein. Der Unternehmer hat den betroffenen Fahrern die Bescheinigung vor Fahrtantritt unter Angabe von Gründen auszustellen und auszuhändigen. Die Bescheinigung ist vom Unternehmer oder einer von ihm beauftragten Person zu unterzeichnen.
Nach Ablauf der Mitführungspflicht hat der Fahrer die Bescheinigung unverzüglich im Unternehmen abzugeben.".
- b) In Absatz 2 wird das Wort "Kontrollbehörde" durch die Wörter "zuständigen Kontrollbehörde oder -stelle" ersetzt.
- c) Absatz 3 wird wie folgt gefasst:
- 13. Nach § 20 wird folgender § 20a eingefügt:
§ 20a Verantwortlichkeiten
- (1) Die Verkehrsunternehmen sind verpflichtet, ihren Betrieb nach Maßgabe von Artikel 10 Abs. 1 und 2 der Verordnung (EG) Nr. 561/2006 zu organisieren. Dies gilt auch für Fahrten im Hoheitsgebiet eines anderen Mitgliedstaates der Europäischen Union, eines Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum oder eines Drittstaates.
- (2) Neben den Verkehrsunternehmen sind auch die mit diesen in geschäftlicher Verbindung stehenden Verlader, Spediteure, Reiseveranstalter, Hauptauftragnehmer, Unterauftragnehmer und Fahrervermittlungsagenturen für die Einhaltung der Vorschriften der Verordnung (EG) Nr. 561/2006 und der vorliegenden Verordnung verantwortlich.
- (3) Die Verkehrsunternehmen, Verlader, Spediteure, Reiseveranstalter, Hauptauftragnehmer, Unterauftragnehmer und Fahrervermittlungsagenturen stellen sicher, dass die vertraglich vereinbarten Beförderungszeitpläne nicht gegen die Verordnung (EG) 561/2006 verstoßen.".
- 14. § 21 wird wie folgt geändert:
- a) Absatz 1 wird wie folgt geändert:
- aa) Nummer 2 wird wie folgt gefasst:
"2. entgegen § 1 Abs. 6 Satz 7 Nr. 2 oder 3 jeweils auch in Verbindung mit Abs. 7 Satz 3 eine Aufzeichnung oder ein Schaublatt nicht oder nicht rechtzeitig prüft oder nicht, nicht in der vorgeschriebenen Weise oder nicht für die vorgeschriebe15 ne Dauer aufbewahrt oder nicht oder nicht rechtzeitig vorlegt oder eine Maßnahme nicht oder nicht rechtzeitig ergreift,".
- bb) In Nummer 3 werden nach dem Wort "aushändigt" die Wörter "oder nicht dafür sorgt dass das Kontrollgerät oder der Fahrtschreiber benutzt wird" eingefügt.
- cc) Nummer 4 wird aufgehoben.
- dd) Die bisherigen Nummern 5 bis 11 werden die Nummern 4 bis 10.
- ee) In der neuen Nummer 10 wird die Angabe "§ 20 Abs. 1 Satz 2" durch die Angabe "§ 20 Abs. 1 Satz 3" ersetzt.
- b) In Absatz 2 Nr. 1 wird das Wort "Lenkzeitunterbrechungen" durch das Wort "Fahrtunterbrechungen" ersetzt.
- 15. § 22 wird wie folgt gefasst:
" § 22 Zuwiderhandlungen gegen die Verordnung (EWG) Nr. 3820/85
- (1) Ordnungswidrig im Sinne des § 8 Abs. 1 Nr. 1 Buchstabe b des Fahrpersonalgesetzes handelt wer als Unternehmer vorsätzlich oder fahrlässig entgegen Artikel 5 Abs. 1 oder 2 der Verordnung (EWG) Nr. 3820/85 des Rates vom 20. Dezember 1985 über die Harmonisierung bestimmter Sozialvorschriften im Straßenverkehr (ABl. EG (Nr. ) L 370 S. 1, 1986 Nr. L 206 S. 36), die zuletzt durch Artikel 28 der Verordnung (EG) Nr. 561/2006 geändert worden ist, einen Fahrer einsetzt, der die dort genannten Voraussetzungen nicht erfüllt.
- (2) Ordnungswidrig im Sinne des § 8 Abs. 1 Nr. 2 Buchstabe b des Fahrpersonalgesetzes handelt wer als Fahrer gegen die Verordnung (EWG) Nr. 3820/85 verstößt, indem er vorsätzlich oder fahrlässig
- 1. entgegen Artikel 5 Abs. 1 oder 2 Unterabs. 1 ein Fahrzeug führt, ohne das dort festgesetzte Mindestalter erreicht zu haben oder
- 2. entgegen Artikel 5 Abs. 2 Unterabs. 2 ein Fahrzeug führt, ohne den dort festgesetzten Anforderungen zu entsprechen.".
- 16. § 23 wird wie folgt geändert:
- a) Absatz 1 wird wie folgt geändert:
- aa) Im Satzteil vor der Nummer 1 werden die Wörter "die zuletzt durch die Verordnung (EG) Nr. 432/2004 der Kommission vom 5. März 2004 (ABl. EU (Nr. ) 71 S. 3) geändert worden ist" durch die Wörter "zuletzt geändert durch Artikel 26 der Verordnung (EG) Nr. 561/2006 des Europäischen Parlaments und des Rates vom 15. März 2006 (ABl. EU (Nr. ) L 102 S. 1)" ersetzt.
- bb) In Nummer 6 wird die Angabe "Satz 1 erster Halbsatz oder Satz 2" durch die Angabe "Satz 3" ersetzt und werden die Wörter "nicht oder nicht mindestens ein Jahr aufbewahrt," gestrichen.
- b) Absatz 2 wird wie folgt geändert:
- aa) Nach Nummer 5 wird folgende Nummer 6 eingefügt:
"6. entgegen Artikel 15 Abs. 1 Unterabs. 5 einen Ausdruck nicht oder nicht rechtzeitig fertigt oder eine dort genannte Angabe oder eine dort genannte Zeit nicht, nicht richtig nicht vollständig oder nicht rechtzeitig einträgt,".
- bb) Die bisherigen Nummern 6 bis 13 werden die Nummern 7 bis 14.
- 17. In der Anlage 1 wird das Wort " Lenkzeitunterbrechungen" durch das Wort "Fahrtunterbrechungen" ersetzt.
18. Anlage 2 wird wie folgt gefasst:
Anlage 2 (Zu § 3)
Digitales Tachographensystem im Straßenverkehr
Policy für die Bundesrepublik Deutschland
Version 1.2 in der Fassung vom 18. April 2007
1 Einleitung
Dieses Dokument ist die Policy der Bundesrepublik Deutschland, im Folgenden kurz als die D-MSA-Policy bezeichnet, für den elektronischen Fahrtenschreiber gemäß VO(EG) 3821/85 und Anlage 11 des Anhangs I (B) der VO(EG) 2135/98 in Verbindung mit 1360/2002 (CSM_008).
Die D-MSA-Policy befindet sich im Einklang mit der
- - Digital Tachograph System - European Root Policy (Version 2.0 Special Publication I.04.131)
- - VO(EG) 3821/85
- - VO(EG) 2135/98
- - VO(EG) 1360/2002
- - VO(EG) 561/2006
- - "Common Security Guideline"1.
1.1 Zuständige Organisationen
Das Tachographen-System verfügt über folgende Organisation2:
Regulation 2135/98
Commission
ERCA
Member State Authority (MSA)
MSCA
CP (incl. Subcontractors)
Users MSType approval auth.
European interoperability CIA test authority
D-MSA
Die für die Umsetzung der VO(EG) 3821/85, VO(EG) 2135/98 und VO(EG) 1360/2002 in Deutschland zuständige Stelle wird im Folgenden dem internationalen Sprachgebrauch folgend mit D-MSA (Deutschland-Member State Authority) bezeichnet und vom BMVBS wahrgenommen.
Offizieller Ansprechpartner ist:
Bundesministerium für Verkehr, Bau und Stadtentwicklung Referat S 36
Robert-Schuman-Platz 1
D-53175 Bonn
Fax: +49 228 300-1470.
D-CA
Die D-MSA beauftragt das Kraftfahrt-Bundesamt (KBA) mit der Wahrnehmung der Aufgaben der D-CA
Kraftfahrt-Bundesamt Leiter der D-CA
Fördestraße 16
D-24944 Flensburg
Fax: +49 461 316-1767.
D-CP
Die D-MSA beauftragt das Kraftfahrt-Bundesamt (KBA) mit der Wahrnehmung der Aufgaben des D-CP
Kraftfahrt-Bundesamt
Personalisierungsstelle
Fördestraße 16
D-24944 Flensburg
Fax: +49 461 316-1822.
Dazu gehört insbesondere die Verantwortung für die Umsetzung der D-MSA-Policy. Die DCA/ der D-CP kann die Erfüllung (von Teilen) ihrer/seiner Aufgaben externen Dienstleistern übertragen.
Hierdurch wird die Verantwortung der D-CA/des D-CP in keiner Weise eingeschränkt.
D-CIA
Die Wahrnehmung der Aufgaben der D-CIA wird von den Bundesländern jeweils individuell bestimmt.
Hersteller von Fahrzeugeinheiten und Hersteller von Weg-/Geschwindigkeitsgebern:
Siemens AG
Siemens-VDO Automotive Commercial Vehicles
Heinrich-Hertz-Straße 45
D-78052 Villingen-Schwenningen
Fax: +49 7721/7847.
1.2 Genehmigung
Die D-MSA-Policy wurde von der D-MSA bei der EU-Kommission zur Genehmigung vorgelegt und durch European Commission Directorate General JRC
Joint Research Centre Institute for the Protection and Security of the Citizen Traceability and Vulnerability Assessment Unit TP361
I-21020 Ispra (Va)
Italy am 03. Juli 2007 genehmigt3.
1.3 Verfügbarkeit und Kontakt-Details
Die D-MSA-Policy steht in elektronischer Form auf der Web-Seite http://www.kba.de zur Verfügung.
Fragen und Kontakt-Details zu dieser nationalen MSA-Policy sind zu richten an:
Bundesministerium für Verkehr, Bau und Stadtentwicklung Referat S 36
Robert-Schuman-Platz 1
D-53175 Bonn
Fax: +49 228 300-1470.
2 Geltungsbereich
[r2.1]
Die Gültigkeit der D-MSA-Policy erstreckt sich ausschließlich auf die Wahrnehmung der Aufgaben im Rahmen der VO(EG) 3821/85, VO(EG) 2135/98 und VO(EG) 1360/2002.
[r2.2]
D-MSA und D-CA stellen im Rahmen ihrer jeweiligen Zuständigkeiten und der jeweils geltenden Rechtsvorschriften sicher, dass die von der D-CA erstellten Zertifikate und Schlüssel nur für die in der VO(EG) 3821/85, VO(EG) 2135/98 und VO(EG) 1360/2002 definierten Zwecke im Rahmen ihrer individuellen Zuständigkeiten und den relevanten gültigen Regelungen eingesetzt werden.
[r2.3]
Der Geltungsbereich der vorliegenden D-MSA-Policy ist in folgender Übersicht fett markiert4:
3 Allgemeine Regelungen
3.1 Aufgaben und Verpflichtungen
Dieser Abschnitt beschreibt Aufgaben und Verpflichtungen der an der Umsetzung der VO(EG) 3821/85, VO(EG) 2135/98 und VO(EG) 1360/2002 beteiligten Stellen, soweit diese den Gültigkeitsbereich der D-MSA-Policy betreffen.
[r3.1]
Die D-MSA:
- a) nimmt ihre Aufgaben in Abstimmung mit den Ländern wahr,
- b) ist zuständig für die Erstellung und Aktualisierung der D-MSA-Policy und veranlasst deren Genehmigung durch die Kommission,
- c) ernennt die D-CA und gibt diese Ernennung der Generaldirektion für Verkehr und Energie der Europäischen Union (DG TREN) bekannt,
- d) ernennt den D-CP oder lagert diese Aufgabe an einen externen Dienstleister aus,
- e) kann Überprüfungen der D-CA, der D-CP, der D-CIA, der Hersteller und weiterer externer Dienstleister durchführen oder veranlassen, wenn dies erforderlich ist,
- f) stellt sicher oder veranlasst, dass die D-CA alle für ihre Tätigkeit benötigten Informationen in korrekter Weise erhält,
- g) genehmigt das Practice Statement (PS) der D-CA, des D-CP, der Hersteller von Fahrzeugeinheiten und der Hersteller von Weg-/Geschwindigkeitsgebern und ggf. das PS weiterer externer Dienstleister,
- h) stellt sicher oder veranlasst, dass die D-MSA-Policy den beteiligten Stellen zur Verfügung gestellt wird,
- i) informiert unverzüglich die ERCA oder eine ihrer autorisierten Stellen über alle sicherheitsrelevanten Vorfälle bei der Produktion, Personalisierung und beim Einsatz ihrer Geräte sowie der in diese eingebrachten Schlüssel und Zertifikate.
[r3.2]
Die D-CA:
- a) führt in ihrem Betrieb die Anforderungen der VO(EG) 3821/85, VO(EG) 2135/98 und VO(EG) 1360/2002, aller hierfür relevanten Rechtsvorschriften, der Root-Policy und dieser D-MSA-Policy aus,
- b) erstellt ein PS, in dem mindestens die Art der Umsetzung der D-MSA-Policy, der Root-Policy und der gesetzlichen Regelungen erläutert wird,
- c) hält die zur ordnungsgemäßen Erfüllung ihrer Aufgabe notwendigen personellen und materiellen Ressourcen bereit,
- d) trägt die Verantwortung für die ordnungsgemäße Durchführung ihrer Aufgaben auch dann, wenn sie diese oder Teile davon an externe Dienstleister auslagert. In diesem Fall hat sie sicherzustellen, dass diese in ihrem Betrieb die relevanten Anforderungen der D-MSA-Policy und des PS einhalten,
- e) informiert unverzüglich die D-MSA oder eine ihrer autorisierten Stellen und ggf. die ERCA über alle sicherheitsrelevanten Vorfälle bei der Produktion, Personalisierung und beim Einsatz ihrer Geräte sowie der in diese eingebrachten Schlüssel und Zertifikate.
[r3.3]
Die D-CIA:
- a) prüft, ob alle erforderlichen Dokumente vorgelegt wurden,
- b) prüft, ob alle Voraussetzungen für die Ausgabe einer Kontrollgerätekarte nach den VO(EG) 3821/85, VO(EG) 2135/98 und VO(EG) 1360/2002, aller hierfür relevanten Rechtsvorschriften, der Root-Policy und dieser D-MSA-Policy gegeben sind,
- c) prüft vor der Bestellung einer Kontrollgerätekarte, ob dem Antragsteller bereits in einem anderen EU-Mitgliedsstaat eine Kontrollgerätekarte ausgestellt wurde,
- d) stellt sicher, dass die Antragsdaten korrekt in Übereinstimmung mit den vorgelegten Dokumenten und entsprechend den Anforderungen des D-CP und dieser Policy an den D-CP geliefert werden,
- e) informiert in geeigneter Weise alle Nutzer über die Anforderung dieser Policy,
- f) stellt sicher, dass die PIN der Werkstattkarte nur an die Person ausgeliefert wird, für die die Werkstattkarte ausgestellt wurde,
- g) informiert unverzüglich die D-MSA und die D-CA oder eine ihrer autorisierten Stellen über alle sicherheitsrelevanten Vorfälle.
[r3.4]
Der D-CP
- a) erfüllt in seinem Betrieb die Anforderungen der VO(EG) 3821/85, VO(EG) 2135/98 und VO(EG) 1360/2002, aller hierfür relevanten sonstigen Rechtsvorschriften, der Root-Policy und dieser D-MSA-Policy,
- b) schließt - sofern es sich bei diesem um einen externen Dienstleister handelt - einen Vertrag mit der D-MSA ab, in dem er die Erfüllung seiner Verpflichtungen nach a) verbindlich zusagt,
- c) erstellt ein PS, in dem mindestens die Art der Umsetzung der D-MSA-Policy, der Root-Policy und der gesetzlichen Regelungen erläutert wird,
- d) weist der D-MSA gegenüber die konkrete Umsetzung seiner Verpflichtungen im laufenden Betrieb in geeigneter Weise nach,
- e) gestattet der D-MSA oder einer von ihr beauftragten Stelle, die praktische Umsetzung seiner Verpflichtungen zu überprüfen,
- f) informiert unverzüglich die D-CA oder eine ihrer autorisierten Stellen über alle sicherheitsrelevanten Vorfälle bei der Produktion, Personalisierung und beim Einsatz ihrer Geräte sowie der in diese eingebrachten Schlüssel und Zertifikate.
[r3.5]
Der Karteninhaber/Antragsteller: ist verpflichtet:
- a) wahrheitsgemäße Angaben über die Antragsdaten zu machen,
- b) bei Antragstellung wahrheitsgemäße Angaben über vorhandene Karten und Kartenarten zu machen c) auf geeignete Weise sicherzustellen, dass seine Karte nur für den vorgesehenen Zweck benutzt wird und Missbrauch, insbesondere durch Dritte, verhindert wird,
- d) sicherzustellen, dass er nur in Besitz einer einzigen, gültigen Fahrerkarte ist,
- e) beschädigte und abgelaufene Karten nicht zu verwenden,
- f) Verlust, Diebstahl, Beschädigung oder Missbrauch der Karte bzw. des jeweiligen privaten Schlüssels oder den Verdacht darauf der jeweils zuständigen Stelle zu melden.
[r3.6]
Hersteller von Fahrzeugeinheiten und Hersteller von Weg-/Geschwindigkeitsgebern stellen insbesondere sicher, dass sie
- a) die für sie relevanten Anforderungen der VO(EG) 3821/85, VO(EG) 2135/98 und VO(EG) 1360/2002, aller hierfür relevanten sonstigen Gesetze und Rechtsverordnungen, insbesondere dieser D-MSA-Policy einhalten, nach bestem Wissen und dem jeweils aktuellen Stand der Technik,
- aa) dass die in die von ihnen hergestellten Geräte einzubringenden oder eingebrachten Schlüssel und Zertifikate nur für deren ordnungsgemäße Zwecke im Rahmen der VO(EG) 3821/85, VO(EG) 2135/98 und VO(EG) 1360/2002 genutzt werden können,
- ab) Vorkehrungen treffen, die Geheimhaltung der privaten Schlüssel bzw. geheimen Schlüssel während des gesamten Produktionsprozesses und während der gesamten Nutzungsdauer der Geräte zu gewährleisten,
- b) der D-MSA alle ggf. mit der Wahrnehmung von wesentlichen Aufgaben im Zusammenhang mit der Produktion und der Personalisierung ihrer Geräte beauftragten externen Dienstleister nennen und diese zur Einhaltung der entsprechenden Anforderungen verpflichten. Sofern der Hersteller Aufgaben an Dritte weitergibt, bleiben seine Rechte und Pflichten davon unberührt,
- c) ein PS erstellen, in dem mindestens die Art der Umsetzung der D-MSA-Policy, der Root-Policy und der gesetzlichen Regelungen erläutert wird,
- d) der D-MSA oder einer von ihr autorisierten Stelle unverzüglich alle ihnen bekannt gewordenen sicherheitsrelevanten Vorfälle im Zusammenhang mit der Produktion, Personalisierung und Nutzung ihrer Geräte sowie der in diese eingebrachten Schlüssel und Zertifikate mitteilen,
- e) der D-MSA oder einer von ihr beauftragten Stelle gestattet, die praktische Umsetzung seiner Verpflichtungen zu überprüfen,
- f) sich einem Prozess zur Aufrechterhaltung der Vertrauenswürdigkeit der IT-Sicherheitszertifikate nach dem BSI Zertifizierungsschema zu unterziehen. Dies beinhaltet die Überwachung der zertifizierten Produkte auf einer regelmäßigen Basis (1 Jahr) betreffend die Resistenz gegen relevante Bedrohungen in Übereinstimmung mit den Sicherheitszielen. Das BSI unterrichtet die D-MSA über die Ergebnisse.
[r3.7]
Hersteller von Kontrollgerätkarten oder Lieferanten - soweit sie IT-Sicherheitszertifikate erhalten haben - müssen sich für das Composite-Smartcard-Produkt einem Prozess zur Aufrechterhaltung der Vertrauenswürdigkeit der IT-Sicherheitszertifikate nach dem BSI Zertifizierungsschema unterziehen. Dies beinhaltet die Überwachung der zertifizierten Composite-Smartcard-Produkte auf einer regelmäßigen Basis (1 Jahr) betreffend die Resistenz gegen relevante Bedrohungen in Übereinstimmung mit den Sicherheitszielen. Das BSI unterrichtet die D-MSA über die Ergebnisse.
3.2 Besondere Rechtsvorschriften
Die D-CA/D-CP und die gegebenenfalls von ihr beauftragten externen Dienstleister erfüllen ihre Aufgaben im Einklang mit geltendem Recht, insbesondere mit der VO(EG) 3821/85, VO(EG) 2135/98 und VO(EG) 1360/2002 und den zum Zwecke ihrer Umsetzung erlassenen nationalen Rechtsvorschriften.
Die in diesem Abschnitt genannten Rechtsvorschriften erheben keinen Anspruch auf Vollständigkeit.
[r3.8]
Datenschutz Die D-CA/D-CP stellt sicher, dass im Rahmen ihres Einflussbereichs die Vorschriften des Bundesdatenschutzgesetzes und entsprechender weiterer datenschutzrechtlicher Vorschriften für den Umgang mit personenbezogenen Daten eingehalten werden.
[r3.9]
Elektronische Signaturen Die bei der D-CA produzierten Zertifikate dienen zur Verifizierung von Elektronischen Signaturen im Sinne des Gesetzes über Rahmenbedingungen für Elektronische Signaturen (SigG). Die Zertifikate sind nicht qualifizierte Zertifikate im Sinne des SigG. Die D-CA stellt sicher, dass sie und die von ihr beauftragten externen Dienstleister die hieraus resultierenden Anforderungen (§ 14) des Signaturgesetzes einhalten.
4 Practice Statement (PS)
[r4.1]
Die D-CA, der D-CP, die Hersteller von Fahrzeugeinheiten und die Hersteller von Weg-/Geschwindigkeitsgebern erstellen und pflegen ein PS, in dem in Form von konkret umzusetzenden Maßnahmen dargestellt wird, wie die Einhaltung dieser D-MSA-Policy, der Root-Policy und der für ihre Tätigkeit relevanten gesetzlichen Regelungen im Betrieb gewährleistet ist. Dieses PS enthält eine tabellarische Übersicht, aus der ersichtlich wird, wo die Anforderungen dieser Policy im PS umgesetzt werden.
[r4.2]
Das PS muss alle externen Dienstleister und ihre konkreten Aufgaben benennen sowie darlegen, welche der an die D-CA, den D-CP, die Hersteller von Fahrzeugeinheiten und die Hersteller von Weg-/Geschwindigkeitsgebern zu stellenden Anforderungen von diesen Dienstleistern einzuhalten sind.
[r4.3]
Das PS muss darlegen, wie die D-CA, der D-CP, die Hersteller von Fahrzeugeinheiten und die Hersteller von Weg-/Geschwindigkeitsgebern ihren Informationspflichten nachkommen.
[r4.4]
Im PS muss ein Revisionsprozess beschrieben sein, der sicherstellt, dass das PS stets dem aktuellen Stand der Gesetzgebung, der Technik und den aktuellen Gegebenheiten bei der D-CA, der D-CP, den Herstellern von Fahrzeugeinheiten und den Herstellern von Weg-/Geschwindigkeitsgebern und ihren externen Dienstleistern entspricht.
[r4.5]
Die D-CA, der D-CP, die Hersteller von Fahrzeugeinheiten und die Hersteller von Weg-/Geschwindigkeitsgebern legen der D-MSA ihr PS zur Genehmigung vor. Wesentliche Änderungen des PS bedürften ebenfalls der Genehmigung der D-MSA. Die D-CA, der D-CP, die Hersteller von Fahrzeugeinheiten und die Hersteller von Weg-/Geschwindigkeitsgebern stellen sicher, dass die D-MSA stets über die aktuelle Version des PS verfügt.
[r4.6]
Das PS enthält eine genaue Auflistung von Ereignissen, die als Verdacht auf Schlüsselkompromittierung angesehen werden. Diese Auflistung ist vertraulich zu behandeln.
Auf die Erstellung von einzelnen Practice-Statements durch die D-CIAs wird wegen der Anzahl von über 600 D-CIAs verzichtet. Entsprechende ergänzende Regelungen für die D-CIAs wurden in die Abschnitte 3 und 5 dieser D-MSA-Policy aufgenommen.
5 Karten- und Gerätemanagement
[r5.1]
Die D-CA stellt nach den Vorgaben der D-MSA und gemeinsam mit dieser innerhalb ihres Einflussbereichs sicher dass die von ihr produzierten Zertifikate und die von ihr ausgelieferten geheimen Schlüssel entsprechend ihrem Verwendungszweck nur in Kontrollgerätkarten und Kontrollgeräte eingebracht und eingesetzt werden, die den Anforderungen der VO(EG) 3821/85, VO(EG) 2135/98 und VO(EG) 1360/2002 genügen.
[r5.2]
Die D-CA verweigert die Auslieferung von Schlüsseln und Zertifikaten, wenn die Gefahr eines Missbrauchs von Schlüsseln und Zertifikaten vorliegt.
[r5.3]
Die D-CIA gewährleistet die Einhaltung des von der D-MSA entsprechend den Vorgaben der VO(EG) 3821/85, VO(EG) 2135/98 und VO(EG) 1360/2002 definierten Antrags- und Auslieferungsverfahrens für Kontrollgerätkarten.
[r5.4]
Die D-CIA stellt innerhalb ihres Einflussbereichs sicher, dass die Ausstellung von Ersatzkarten und die Kartenerneuerung nur unter den in der VO(EG) 3821/85, VO(EG) 2135/98 und VO(EG) 1360/2002 genannten Voraussetzungen erfolgt und dass die dafür vorgeschriebenen Fristen eingehalten werden können.
[r5.5]
Der D-CP stellt sicher, dass die Kontrollgerätkarten logisch entsprechend der Vorgaben der VO(EG) 3821/85, VO(EG) 2135/98 und VO(EG) 1360/2002 personalisiert werden. Dabei ist insbesondere die Integrität der aufgebrachten Daten zu wahren.
[r5.6]
Die D-CA, der D-CP und die Hersteller stellen innerhalb ihres jeweiligen Einflussbereiches sicher, dass private und geheime Schlüssel in einer gesicherten Produktionsumgebung aufbewahrt und eingesetzt werden.
[r5.7]
Die D-CIA stellt dem zentralen Register beim KBA die relevanten Daten zur Verfügung, damit nachvollzogen werden kann, welche Karte welchem Inhaber/Nutzer ausgestellt wurde.
[r5.8]
Die D-CIA stellt sicher, dass personalisierte Karten innerhalb der durch die VO(EG) 3821/85, VO(EG) 2135/98 und VO(EG) 1360/2002 vorgegebenen Fristen sicher und nachvollziehbar an ihre Inhaber/Nutzer ausgeliefert werden. Voraussetzung für die Ausstellung einer personalisierten Karte an einen Inhaber/Nutzer ist, dass dieser entweder bei Antragstellung und/oder bei Kartenübergabe persönlich identifiziert wurde. Sofern Karten nicht auf eine natürliche Person ausgestellt werden muss der Antragsteller und der Empfänger der Karten eine ausreichende Legitimation nachweisen können.
[r5.9]
Der D-CP stellt sicher, dass Werkstattkarten mit einer PIN gemäß den Vorgaben der VO(EG) 3821/85, VO(EG) 2135/98 und VO(EG) 1360/2002 ausgestattet werden.
[r5.10]
Die Generierung der PIN erfolgt in einem gegen unautorisierte Zugriffe abgesicherten System.
Dieses System verhindert, dass nachträglich eine Zuordnung von PIN und Werkstattkarte erfolgen kann.
Die PIN wird nach ihrer Generierung auf einem angeschlossenen Drucker ausgedruckt, in einem Briefumschlag (PIN-Brief) verschlossen und nur an die Person ausgeliefert, für die die Werkstattkarte ausgestellt wurde.
Das zur PIN-Generierung und PIN-Brieferstellung benutzte System muss zumindest die Anforderungen von ITSEC E3, Common Criteria EAL 4, FIPS 140-2 (oder 140-1) Level 3 oder höher [FIPS] oder einem äquivalenten IT-Sicherheitskriterienwerk erfüllen oder nachweislich durch andere Maßnahmen eine gleichwertige Sicherheit gewährleisten.
[r5.11]
Die Versendung der PIN-Briefe muss getrennt von den personalisierten Karten erfolgen. Sie kann auf normalem Postweg erfolgen.
[r5.12]
Die Rekonstruktion einer PIN ist auszuschließen.
6 Schlüsselmanagement in der D-CA
Dieser Abschnitt enthält Anforderungen für den Umgang der D-CA mit folgendem Schlüsselmaterial (in Klammern die in der VO(EG) 3821/85, VO(EG) 2135/98 und VO(EG) 1360/2002 ggf. hierfür verwendeten Kürzel):
- der öffentliche Schlüssel der Root-CA (EUR.PK),
- das Schlüsselpaar der D-CA (MS.SK, MS.PK),
- symmetrische Schlüssel für Weg-/Geschwindigkeitsgeber (Km, KmWC, KmVU),
- ggf. Transportschlüssel zur Kommunikation mit der Root-CA und
- ggf. eigene Transportschlüssel der D-CA.
Die D-CA stellt die Vertraulichkeit und Integrität aller bei ihr erzeugten, verwendeten und/oder gespeicherten nichtöffentlicher Schlüssel sicher und verhindert wirksam jeglichen Missbrauch dieser Schlüssel. Hierzu hat sie besonders geeignete technische Systeme einzusetzen, die eine der folgenden Anforderungen erfüllen:
- FIPS 140-2 (oder 140-1); Level 3 oder höher [FIPS],
- CEN Workshop Agreement 14176-2 [CEN],
- Zertifizierung nach EAL 4 oder höher [CC] in Verbindung mit ISO 15408 [CC] oder E3 oder höher [ITSEC] auf der Grundlage eines Schutzprofils oder von Sicherheitsvorgaben ("security targets"), die die Anforderungen dieser D-MSA-Policy - basierend auf einer umfassenden Risikoanalyse - auch infrastrukturelle und nichttechnische Sicherheitsmaßnahmen erfasst,
- äquivalente Sicherheitskriterien, die nachweislich eine gleichwertige Sicherheit gewährleisten.
Ebenso ist aufzuzeigen, dass diese Systeme bei der D-CA in einer ausreichend sicheren Betriebsumgebung eingesetzt werden.
6.1 Öffentlicher Schlüssel der Root-CA (EUR.PK)
[r6.1]
Die D-CA stellt sicher, dass in ihrem laufenden Betrieb Integrität und Verfügbarkeit des Schlüssels EUR.PK sichergestellt sind.
[r6.2]
Der D-CP und die Hersteller stellen sicher, dass EUR.PK in alle Kontrollgerätkarten und Fahrzeugeinheiten in ihrem Einflussbereich eingebracht werden.
6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK)
[r6.3]
Die D-CA muss verschiedene Mitgliedstaatenschlüsselpaare für die Produktion von Zertifikaten für Fahrzeugeinheiten (unbegrenzte Gültigkeit) und öffentlichen Schlüssel-Zertifikaten für Kontrollgerätekarten (begrenzte Gültigkeit) besitzen.
[r6.4]
Die D-CA stellt sicher, dass MS.SK ausschließlich zur Erstellung von Zertifikaten für Kontrollgerätkarten, Fahrzeugeinheiten und für die Produktion des ERCA-Zertifikatsantrags (KCR) verwendet wird. Dies beinhaltet insbesondere die Geheimhaltung des privaten Schlüssels MS.SK.
[r6.5]
Die Erzeugung des D-CA-Schlüsselpaars darf nur bei aktiver Mitwirkung von mindestens drei unterschiedlichen Personen innerhalb der D-CA erfolgen. Eine dieser Personen muss die Rolle des CA-Administrators einnehmen, die beiden anderen müssen jeweils eine andere der in dieser D-MSA-Policy beschriebenen Rollen wahrnehmen.
[r6.6]
Die D-CA sollte - im Rahmen der Vorgaben der Root-Policy - eine angemessene Anzahl von Ersatz-Schlüsselpaaren mit den zugehörigen Zertifikaten vorhalten, um bei Nicht-Verfügbarkeit des aktuellen Schlüssels einen schnellen Schlüsselwechsel auch ohne aktive Mitwirkung der Root-CA durchführen zu können. Sollten mehrere aktuelle Schlüsselpaare vorliegen, stellt die D-CA sicher, dass stets der richtige Schlüssel verwendet wird.
[r6.7]
Jeder private Schlüssel MS.SK darf höchstens zwei Jahre eingesetzt werden. Nach Ende seiner Verwendungsdauer ist er von der D-CA so zu vernichten, dass ein künftiger Gebrauch oder Missbrauch ausgeschlossen ist.
[r6.8]
Die Gültigkeitsdauer der öffentlichen Mitgliedstaatenschlüssel MS.PK ist unbegrenzt.
[r6.9]
Die D-CA hat den privaten Schlüssel und alle Ersatzschlüssel durch technischorganisatorische Maßnahmen wirksam vor Missbrauch, Veränderung und unbefugter Kenntnisnahme zu schützen.
[r6.10]
Die D-CA verhindert durch technischorganisatorische Maßnahmen wirkungsvoll, dass ein Zugriff auf MS.SK durch eine einzelne Person allein erfolgen kann ("4-Augen-Prinzip").
[r6.11]
Es findet keine Schlüsselhinterlegung von MS.SK statt, d.h. einschließlich Geräteschlüssel.
[r6.12]
Das PS der D-CA soll eine explizite Vorgehensweise für den Fall enthalten, dass eine Kompromittierung von MS.SK stattgefunden hat oder der begründete Verdacht dazu besteht. Diese Vorgehensweise soll auch Anweisungen an externe Dienstleister und Informationen an Kartenbesitzer und Gerätehersteller enthalten.
Im Falle, dass die Schlüssel EUR.SK, MS.SK, Km, KmWC, KmVU kompromittiert wurden oder der begründete Verdacht dazu besteht, sind die D-MSA und die Root-CA unverzüglich zu informieren.
In anderen Fällen von Schlüsselkompromittierung oder des begründeten Verdachts der Schlüsselkompromittierung sind geeignete Maßnahmen zu ergreifen und die betroffenen Institutionen zu informieren.
[r6.13]
Die D-CA stellt in Kooperation mit der Root-CA sicher, dass sie zu jedem Zeitpunkt über ein gültiges Schlüsselpaar (MS.SK, MS.PK) mit zugehörigem Zertifikat verfügt.
[r6.14]
Die D-CA reicht die öffentlichen Mitgliedstaatenschlüssel zur Zertifikation bei der ERCA ein in Form des Zertifikatsantrags (KCR), wie in Anhang A der Digital Tachograph System European Root Policy beschrieben.
[r6.15]
Die D-CA erkennt den öffentlichen ERCA-Schlüssel in dem in Anhang B der Digital Tachograph System European Root Policy beschriebenen Auslieferungsformat an.
[r6.16]
Die D-CA verwendet für den Schlüssel- und Zertifikatetransport die physikalischen Medien, die im Anhang C der Digital Tachograph System European Root Policy beschrieben sind.
6.3 Symmetrische Schlüssel für Werkstattkarten und Weg-/Geschwindigkeitsgeber (Km, KmWC, KmVU)
[r6.17]
Die D-CA fordert bei Bedarf von der Root-CA die Weg-/Geschwindigkeitsgeber-Schlüssel Km, KmWC, KmVU an. Für Anforderung und Auslieferung dieser Schlüssel zwischen Root-CA und D-CA sind die Bestimmungen der Root-CA einzuhalten.
[r6.18]
Die D-CA stellt durch geeignete Maßnahmen sicher, dass die Schlüssel KmWC und KmVU nur an die hierfür vorgesehenen Empfänger weitergegeben werden und sichert diese Weitergabe durch geeignete Maßnahmen. Die D-MSA überwacht die Sicherheitsmaßnahmen der D-CA.
Die D-CA stellt sicher, dass der Schlüssel Km nicht weitergegeben wird.
[r6.19]
Im Falle, dass eine Kompromittierung eines der Schlüssel KmWC oder KmVU oder insbesondere von Km stattgefunden hat oder dass der begründete Verdacht hierauf vorliegt, informiert die D-CA unverzüglich die D-MSA und die Root-CA von diesem Sachverhalt.
[r6.20]
Die D-CA fordert die Weg-/Geschwindigkeitsgeber-Schlüssel unter Verwendung des Protokolls der Schlüsselauslieferungsanforderung (KDR), beschrieben in Anhang D der ERCA-Policy, bei der ERCA an.
6.4 Transportschlüssel der Root-CA
[r6.21]
Für den Fall, dass die Root-CA der D-CA zur Absicherung der gegenseitigen Kommunikation kryptographische Schlüssel zur Verfügung stellt, so ist deren Vertraulichkeit und Integrität von der D-CA wirksam zu schützen sowie jeglicher Missbrauch wirksam zu verhindern.
6.5 Eigene Transportschlüssel der D-CA
[r6.22]
Für den Fall, dass die D-CA ihren Kommunikationspartnern (etwa Personalisierer, Gerätehersteller) zur Absicherung der gegenseitigen Kommunikation kryptographische Schlüssel zur Verfügung stellt so ist deren Vertraulichkeit und Integrität von der D-CA wirksam zu schützen sowie jeglicher Missbrauch wirksam zu verhindern.
Die D-CA verpflichtet ihre Kommunikationspartner dazu, in deren Einflussbereich gleichwertige Sicherheitsvorkehrungen zum Schutz der Schlüssel zu treffen.
7 Schlüsselmanagement asymmetrischer Karten- und Geräteschlüssel
Dieser Abschnitt enthält Anforderungen für die Erzeugung und den Umgang mit asymmetrischen kryptographischen Schlüsseln für Kontrollkarten und Kontrollgeräte und die zugehörigen Zertifikate. Anforderungen für die symmetrischen Schlüssel Km, KmWC, KmVU finden sich in Abschnitt 6.3.
7.1 Allgemeine Anforderungen, Protokollierung
[r7.1]
D-MSA, D-CA, D-CP und Hersteller stellen innerhalb ihres Einflussbereichs sicher, dass Initialisierung, Beschlüsselung und Personalisierung der Karten und Kontrollgeräte in besonders abgesicherten Produktionsumgebungen erfolgen. Der Zutritt zu diesen Bereichen muss wirksam beschränkt und kontrollierbar sein. Die Administration der entsprechenden Systeme muss die Anwesenheit von mindestens zwei gemäß Rollenkonzept verantwortlichen Personen erfordern.
Jeder Zutritt zu den Systemen, jeder Zugriff auf die Systeme sowie alle von den Systemen vorgenommenen Aktionen müssen revisionssicher so protokolliert werden, dass die Verfügbarkeit und Integrität der Protokollierung auch im Falle einer Schlüsselkompromittierung sichergestellt ist.
[r7.2]
D-MSA, D-CA, D-CP und Hersteller stellen innerhalb ihres Einflussbereichs sicher, dass bei der Initialisierung, Beschlüsselung und Personalisierung der Karten und Kontrollgeräte sicherheitskritische Informationen wie private Schlüssel u. ä. entsprechend der Anforderungen der VO(EG) 3821/85, VO(EG) 2135/98 und VO(EG) 1360/2002 und der D-MSA-Policy geschützt werden.
[r7.3]
Die D-MSA verpflichtet etwaige externe Dienstleister dazu, die übernommenen Aufgaben vollständig getrennt von ihren sonstigen Tätigkeiten wahrzunehmen. Dies gilt insbesondere dann, wenn der Dienstleister auch für die CAs anderer Mitgliedstaaten Aufgaben übernimmt.
Die D-MSA verpflichtet etwaige externe Dienstleister dazu, ihre Tätigkeit gemäß [r7.1] revisionssicher zu protokollieren und der D-MSA auf Anforderung Einblick in die Protokollierung zu gestatten.
[r7.4]
Die bei der Personalisierung von Karten und Kontrollgeräten aufgenommenen Protokollierungen müssen eine Zuordnung der jeweiligen Aktion zur zugehörigen Karten-/Gerätenummer und zum zugehörigen Zertifikat erlauben.
7.2 Schlüsselerzeugung
[r7.5]
D-MSA, D-CA, D-CP und Hersteller stellen innerhalb ihres Einflussbereiches sicher, dass die Erzeugung der Schlüssel in einer besonders abgesicherten Produktionsumgebung erfolgt, die insbesondere die Geheimhaltung des jeweiligen privaten Schlüssels gewährleistet. Für die dabei einzusetzenden Geräte gelten die gleichen Anforderungen wie für die zur Erzeugung des Schlüsselpaars der D-CA eingesetzten Geräte.
[r7.6]
D-MSA, D-CA, D-CP und Hersteller stellen innerhalb ihres Einflussbereiches sicher, dass private Schlüssel unmittelbar nach ihrer Einbringung in die jeweiligen Karten oder Geräte dauerhaft aus den Speichern der Schlüsselerzeugungs- und Personalisierungssysteme gelöscht werden, sofern die Schlüsselgenerierung nicht direkt im Chip erfolgt.
[r7.7]
Die D-CA stellt sicher, dass innerhalb ihres Verantwortungsbereiches das Auftreten von Schlüsselduplikaten mit hoher Wahrscheinlichkeit ausgeschlossen ist.
[r7.8]
Die Schlüsselerzeugung kann auf Vorrat erfolgen ("Batch-Verfahren"), sofern durch technischorganisatorische Maßnahmen sichergestellt ist, dass ein Missbrauch der vorgehaltenen Schlüsselpaare wirksam verhindert wird. Der Schlüsselvorrat darf die Produktionsmenge eines Monats nicht überschreiten.
7.3 Schlüsselverwendung
[r7.9]
D-MSA, D-CA, D-CP und Hersteller stellen innerhalb ihres Einflussbereichs sicher, dass die jeweiligen privaten Schlüssel ausschließlich zum Zwecke ihrer Bestimmung gemäß der VO(EG) 3821/85, VO(EG) 2135/98 und VO(EG) 1360/2002 genutzt werden können. Dies schließt insbesondere ein dass nach Beendigung des Personalisierungsvorgangs keine Kopien dieser Schlüssel außerhalb der gesicherten Umgebungen der Kontrollkarten und Kontrollgeräte existieren.
[r7.10]
Der D-CP stellt innerhalb seines Einflussbereichs sicher, dass nur solche Karten ausgeliefert werden bei denen optische und logische Personalisierung jeweils korrekt auf den Karteninhaber verweisen.
[r7.11]
Von den geheimen Mitgliedstaatenschlüsseln kann ein Backup gefertigt werden unter Verwendung einer Schlüsselwiederherstellungsprozedur im mind. 4-Augen-Prinzip.
[r7.12]
Die D-CA und der D-CP stellen innerhalb ihres Einflussbereichs sicher, dass private Schlüssel nach Ablauf der Nutzungsdauer einer Kontrollgerätkarte nicht weiter genutzt werden können.
8 Zertifikatsmanagement
Dieser Abschnitt enthält Anforderungen an die Erstellung und Verwendung der von der D-CA erzeugten Zertifikate während des Lebenszyklus der betreffenden Kontrollgerätkarten und Kontrollgeräte.
8.1 Registrierung
[r8.1]
Die D-CA stellt innerhalb ihres Einflussbereichs sicher, dass vor der Ausstellung eines Zertifikats eine ordnungsgemäße Registrierung des D-CP, bzw. des Herstellers von Fahrzeugeinheiten in den dafür zuständigen Stellen stattgefunden hat.
[r8.2]
Insbesondere stellt dabei der D-CP sicher, dass die Registrierungsdaten eine eindeutige Zuweisung der "Certificate Holder Reference" nach Anforderung CSM_017 aus Anlage 11 zu Anhang I(B) der VO(EG) 2135/98 ermöglicht.
[r8.3]
Sofern die Schlüsselgenerierung außerhalb der D-CA stattfindet, erstellt die D-CA das beantragte Zertifikat nur dann, wenn der D-CP, bzw. der Hersteller von Fahrzeugeinheiten gemäß einem vorab vereinbarten Verfahren nachgewiesen hat, dass er über den zugehörigen privaten Schlüssel verfügt. Der private Schlüssel soll dabei die gesicherte Umgebung der Schlüsselgenerierung nicht verlassen.
8.2 Zertifikatserteilung
[r8.4]
Die D-CA erstellt Zertifikate nur dann, wenn ein ordnungsgemäßer Zertifikatsantrag einer dafür bevollmächtigten Stelle vorliegt und wenn bei der Antragstellung alle Anforderungen der VO(EG) 3821/85, VO(EG) 2135/98 und VO(EG) 1360/2002 und aller damit zusammenhängender Rechtsvorschriften und Vereinbarungen eingehalten worden sind.
Bei einem automatisierten Verfahren ist eine Zertifikatserstellung durch manuellen Eingriff in das System auszuschließen.
[r8.5]
Die D-CA stellt innerhalb ihres Einflussbereichs sicher, dass die von ihr erstellten Zertifikate nur an den D-CP, bzw. den Hersteller von Fahrzeugeinheiten übermittelt werden.
[r8.6]
Die D-CA erstellt Zertifikate nur für solche Geräte und Karten, für die eine Bauartgenehmigung ausgestellt wurde.
[r8.7]
Schlüssel-Zertifikats-Anforderungen, die auf dem Transport von geheimen Schlüsseln beruhen, sind nicht erlaubt.
8.3 Zertifikatgültigkeit
[r8.8]
Die Gültigkeitsdauer der von der D-CA ausgestellten Zertifikate soll die maximale Verwendungsdauer der zugehörigen Karten bzw. Geräte nicht überschreiten. Zertifikate für:
- - Fahrerkarten sollen nicht länger als 5 Jahre,
- - Werkstattkarten nicht länger als 1 Jahr,
- - Kontrollkarten nicht länger als 5 Jahre,
- - Unternehmenskarten nicht länger als 5 Jahre gerechnet vom Zeitpunkt des Beginns der Gültigkeit der jeweiligen Karte gelten.
Zertifikate für Fahrzeugeinheiten haben eine unbegrenzte Gültigkeitsdauer.
8.4 Zertifikatinhalte und -formate
[r8.9]
Inhalte und Formate der von der D-CA erstellten Zertifikate entsprechen den Anforderungen der VO(EG) 3821/85, VO(EG) 2135/98 und VO(EG) 1360/2002, insbesondere den in Anlage 11 zum Anhang I (B) genannten Spezifikationen.
Die D-CA produziert alle von ihr erstellten Zertifikate mit dem privaten Signaturschlüssel (MS.SK).
Die D-MSA stellt sicher, das der Key Identifier (KID) und Modulus (n) von Schlüsseln, die der ERCA zur Zertifizierung und für die Anforderung von Weg-/Geschwindigkeitsgeber-Schlüssel vorgelegt werden, einmalig innerhalb des Einflussbereichs der D-CA sind.
8.5 Informationspflichten der D-CA
[r8.10]
Die D-CA übergibt alle Zertifikatsdaten an D-CP und Hersteller, so dass Zertifikate, Geräte bzw.
Karten und Karteninhaber miteinander verknüpft werden.
[r8.11]
Sofern bestimmte Stellen ein berechtigtes Interesse an speziellen, nicht öffentlichen Informationen zur Tätigkeit der D-CA oder ihrer externen Auftragnehmer haben und keine Vorschriften oder keine Sicherheitsbedenken dieser Auskunftserteilung entgegenstehen, stellt die D-CA diese Informationen in Abstimmung mit der D-MSA schnellstmöglich und korrekt zur Verfügung.
[r8.12]
Das Betriebskonzept der D-CA ist vertraulich zu behandeln. Informationen daraus dürfen in Absprache mit der D-MSA vor Ort bei der D-CA eingesehen, wenn ein nachgewiesenes, berechtigtes Interesse vorliegt und die Vertraulichkeit der Informationen auch beim Empfänger hinreichend geschützt ist.
[r8.13]
Die D-CA führt die Zertifikatstatusinformationen und stellt sie zur Verfügung.
9 Informations-Sicherheit
9.1 Informations-Sicherheitsmanagement (ISMS)
[r9.1]
Die D-CA/der D-CP und alle ggf. von ihr beauftragten Dienstleister etablieren ein geeignetes Informations-Sicherheitsmanagement-System (ISMS), durch das die informationstechnische Sicherheit aller für die Aufgaben der D-CA/des D-CP relevanten Tätigkeiten dauerhaft gewährleistet ist.
Die Vorgehensweisen sollen den Anforderungen von [ISO] 27001:2006 sowie [GSHB] genügen.
[r9.2]
Die D-CA/der D-CP stellt sicher, dass für alle im Zusammenhang mit der D-CA/des D-CP relevanten IT-Systeme und Informationen eine Schutzbedarfsfeststellung nach [GSHB] durchgeführt wird.
[r9.3]
Für die Tätigkeit der D-CA/des D-CP ist ein Sicherheitskonzept zu erstellen. Dieses Konzept ist mit dem Betriebskonzept abzustimmen.
[r9.4]
Erstellung und Aktualisierung des Betriebskonzepts sind Bestandteil des Informations-Sicherheitsmanagements.
9.2 Besondere Anforderungen an das Sicherheitskonzept
Der folgende Abschnitt stellt innerhalb des Sicherheitskonzepts besonders zu beachtende Gesichtspunkte zusammen. Er ist nicht als abschließende Aufzählung von dessen Inhalten gedacht.
[r9.5]
Die D-CA/der D-CP stellt sicher, dass nur zuverlässiges und ausreichend qualifiziertes Personal mit den erforderlichen Tätigkeiten betraut wird. Dies gilt auch für das Personal bei externen Auftragnehmern.
[r9.6]
Die für die Tätigkeit der D-CA/des D-CP und ggf. externer Dienstleister eingesetzten IT-Systeme müssen so betrieben werden, dass mögliche Schädigungen durch Viren und anderen schadhaften Code weitestgehend verhindert sowie die möglichen Folgen von Schäden und Störungen minimiert werden.
Die Systeme müssen über wirksame Zugangskontrollen verfügen und insbesondere die in dieser Policy und den zugehörigen Sicherheits- und Betriebskonzepten beschriebenen Rollenkonzepte wirksam implementieren.
[r9.7]
Die Initialisierung von Systemen, die den privaten Signaturschlüssel der D-CA oder die geheimen symmetrischen Schlüssel KmVU, KmWC oder Km enthalten, darf nur in Kooperation von zwei Personen erfolgen, welches durch organisatorische Maßnahmen sichergestellt wird.
[r9.8]
Die D-CA/der D-CP soll für ihre/seine Aufgaben vertrauenswürdige Systeme und Software einsetzen, die durch geeignete Maßnahmen wirksam gegen unautorisierte Veränderungen geschützt sind.
Sofern speziell entwickelte Soft- oder Hardware eingesetzt wird, müssen die relevanten Sicherheitsvorgaben bereits im Entwicklungsprozess nachvollziehbar berücksichtigt werden.
Bei allen Veränderungen der eingesetzten Soft- und Hardware müssen dokumentierte Kontrollmechanismen umgesetzt werden.
[r9.9]
Die innerhalb der D-CA/des D-CP eingesetzten Netzwerke und die dort gespeicherten und verarbeiteten Daten sind durch besondere Schutzmechanismen (wie z.B. Firewalls) gegen externe Zugriffe zu schützen.
[r9.10]
Alle sicherheitsrelevanten Aktionen und Prozesse auf den für die Tätigkeit der D-CA/des D-CP relevanten IT-Systemen sind so zu protokollieren, dass sich der zugehörige Zeitpunkt und die entsprechenden Personen mit hinreichender Sicherheit nachvollziehen lässt.
Dazu gehören zumindest:
- - das Einrichten von Benutzerbereichen (Accounts),
- - alle Transaktions-Anforderungen (Account des Anfordernden, Typ, Status (erfolgreich/nicht erfolgreich), Gründe für das Fehlschlagen, ...),
- - Software-Installationen und -Updates,
- - Hardware-Modifikationen,
- - Herunterfahren und Neustarts des Systems,
- - Zugriff auf Audits und Archive.
[r9.11]
Die Protokolle sind gegen Veränderung und unberechtigten Zugriff zu schützen. Sie sollen regelmäßig und anlassbezogen ausgewertet und analysiert werden.
[r9.12]
Die Protokolldaten sollen für mindestens 7 Jahre so aufgehoben werden, dass eine Auswertung während dieser Zeitspanne jederzeit möglich ist.
[r9.13]
Die D-CA/der D-CP erstellt einen Notfallplan, in den das Verhalten bei schwerwiegenden Notfällen wie einer Schlüsselkompromittierung oder beim Verlust oder Ausfall von relevanten Daten und/oder IT-Systemen festgelegt ist.
[r9.14]
Die D-CA/der D-CP gewährleistet einen ausreichenden infrastrukturellen und physischen Schutz ihrer Daten und IT-Systeme. Dieser umfasst insbesondere einen ausreichenden Zutrittsschutz für sicherheitsrelevante Bereiche.
Bereiche, in denen private und geheime Schlüssel erzeugt, aufbewahrt und verarbeitet werden, müssen durch besondere Maßnahmen geschützt werden.
9.3 Rollentrennung
[r9.15]
Durch die Einrichtung von Rollenkonzepten soll verhindert werden, dass einzelne Personen Sicherheitsvorkehrungen der D-CA/des D-CP umgehen. Hierzu werden den einzelnen Rollen jeweils beschränkte Rechte und Pflichten zugewiesen. Die genaue Ausgestaltung hängt von den konkreten Abläufen bei der D-CA/dem D-CP ab und bleibt dem Betriebskonzept der D-CA/des D-CP vorbehalten.
Folgende Rollen sind in der D-CA aber mindestens vorzusehen:
- - D-CA-Verantwortlicher (CA-R)
- - PIN-Verwalter (PV)
- - IT-Sicherheitsbeauftragter (ISSO)
Keine Person der vorstehenden Rollen darf gleichzeitig mehr als eine dieser Rollen wahrnehmen.
- - CA-Administrator (CAA)
- - Key-Manager (KM)
Jede dieser Rollen ist mit mindestens einer Person zu besetzen; mindestens ein Vertreter ist zu benennen.
Folgende Rollen sind beim D-CP aber mindestens vorzusehen:
- - D-CP-Verantwortlicher (CP-R)
- - System Administrator (Sys-Admin)
- - IT-Sicherheitsbeauftragter (ISSO)
- - Key-Manager (KM)
Keine Person darf gleichzeitig mehr als eine dieser Rollen wahrnehmen.
Jede dieser Rollen ist mit mindestens einer Person zu besetzen; mindestens ein Vertreter ist zu benennen.
Die Inhaber dieser Rollen sind von den IT-Systemen der D-CA/des D-CP zuverlässig zu authentifizieren.
[r9.16]
Die CA-R/CP-R-Rolle umfasst:
- - Er ist für den sicheren und störungsfreien Betrieb der D-CA bzw. des D-CP als Organisation zuständig.
- - Er vertritt die Organisation nach außen und ist in der D-CA/D-CP-Organisation weisungsbefugt.
- - Er ist nicht direkt an der Realisierung von Geschäftsprozessen beteiligt, sondern neben der Gesamtleitung der D-CA/des D-CP verantwortlich für die Einhaltung und Überwachung von Sicherheitsmaßnahmen.
- - Er übernimmt die Verantwortung für das Change-Management.
[r9.17]
Die KM-Rolle umfasst:
- - die sichere Durchführung der Key-Management-Prozesse,
- - die Erzeugung, Zertifizierung, Verwaltung und Löschung der asymmetrischen Schlüssel der D-CA/des D-CP, sowie der symmetrischen Schlüssel, die zur Verschlüsselung von Daten der Kontrollgeräte bzw. Werkstattkarten dienen.
Die Rolle Key-Manager kann nur im 4-Augen-Prinzip umgesetzt werden.
[r9.18]
Die CAA-Rolle umfasst:
- - Verantwortung für den reibungslosen Betrieb der technischen Systeme und Netzwerkkomponenten der D-CA.
[r9.19]
Die PV-Rolle umfasst:
- - die alleinige Kenntnis über die PIN, die den Zugriff auf die Mitgliedstaatenschlüssel und den Zugriff auf die symmetrischen Schlüssel sichert,
- - Mitwirkung bei der Schlüsselgenerierung,
- - Mitwirkung bei allen Aktivitäten der D-CA, bei denen ein Zugriff auf die Mitgliedstaatenschlüssel oder den symmetrischen Schlüssel für die Verschlüsselung der Bewegungsgeber-Daten notwendig ist (z.B. Schlüsselgenerierung, Inbetriebnahme der Schlüssel, Schlüsselerneuerung).
[r9.20]
Die Sys-Admin-Rolle umfasst:
- - Verantwortung für den reibungslosen Betrieb der Netzwerkkomponenten und der IT-Systeme des D-CP (Installation, Konfiguration, Administration, Update, Backup, Wiederherstellung).
[r9.21]
Die ISSO-Rolle umfasst:
- - die Überwachung der Sicherheit aller Geschäftsprozesse im Detail und die Auswertung der Sicherheitsmaßnahmen,
- - die Überwachung aller anderen Rollen, die Umsetzung der Security Policy, das Change-Management bzw. die Realisierung der Geschäftsprozesse und Anweisungen innerhalb der D-CA/der D-CP-Organisation,
- - die Verantwortung zur Durchführung der Audits, die regelmäßig innerhalb der D-CA/der D-CP-Organisation vorgenommen werden müssen,
- - die Verantwortung für die Erstellung und Pflege des Sicherheitskonzeptes,
- - die Teilnahme an der Mitgliedstaatenschlüssel-Generierung.
[r9.22]
Sofern die D-CA/der D-CP Teile ihrer/seiner Aufgaben an externe Dienstleister überträgt, müssen diese ein ihren Aufgaben entsprechendes Rollenkonzept einrichten.
10 Beendigung des D-CA/D-CP-Betriebs
10.1 Verantwortlichkeit der D-MSA
Die D-MSA entscheidet über eine Verlegung der D-CA/D-CP-Verantwortlichkeit. Dafür muss die D-MSA eine neue D-CA/D-CP benennen. Um diese Verlegung durchzuführen, müssen die folgenden Punkte erfüllt werden.
[r10.1]
Die D-MSA stellt sicher, dass die Übertragung der Aufgaben und Pflichten an die neue D-CA/
D-CP in geeigneter Art und Weise zu erfolgen hat.
[r10.2]
Die alte D-CA/D-CP muss alle vorhandenen D-CA/D-CP-Schlüssel an die neue D-CA/D-CP
übertragen. Die Art und Weise wird durch die D-MSA bestimmt.
[r10.3]
Kopien von Schlüsseln jeglicher Art, die in Zusammenhang mit der alten D-CA/D-CP gebracht werden können oder nicht transferiert werden konnten, müssen vernichtet werden.
11 Überprüfungen des Betriebs
11.1 D-CA
[r11.1]
Die D-MSA stellt die Durchführung von regelmäßigen und anlassbezogenen unabhängigen Überprüfungen des Betriebs der D-CA sicher. Eine entsprechende Überprüfung soll mindestens einmal jährlich erfolgen. Die D-MSA kann externe Dienstleister mit dieser Aufgabe betrauen.
Bei Überprüfungen des D-CA-Betriebs muss insbesondere die Übereinstimmung des laufenden Betriebs mit den relevanten Rechtsvorschriften, mit der D-MSA-Policy sowie mit dem aktuellen Betriebskonzept und dem aktuellen IT-Sicherheitskonzept verifiziert werden.
Von der D-CA ggf. beauftragte externe Dienstleister sind in die Überprüfung einzubeziehen.
[r11.2]
Die D-MSA stellt sicher, dass die Sicherheit des Betriebs des D-CA durch die Überprüfungen nicht beeinträchtigt wird. Insbesondere stellt sie sicher, dass die Ergebnisse der Überprüfungen Unbefugten nicht zugänglich gemacht werden.
Sie verpflichtet ggf. externe Dienstleister zur Verschwiegenheit.
[r11.3]
Die D-MSA fasst die Ergebnisse der Überprüfung in einem Bericht zusammen, der die Abhilfemaßnahmen definiert einschließlich eines Implementierungsplanes, der erforderlich ist, um die Verpflichtungen der D-MSA zu erfüllen. Der Bericht ist in englischer Sprache an die ERCA zu leiten.
[r11.4]
Sofern Überprüfungen der D-CA Schwachstellen oder Abweichungen offen gelegt haben, veranlasst die D-MSA die D-CA, diese zu beseitigen. Die D-CA berichtet der D-MSA unverzüglich über Einleitung und Abschluss dieser Maßnahmen. Die D-MSA kann eine unabhängige Überprüfung des Erfolgs dieser Maßnahmen anordnen.
11.2 D-CP und Hersteller von Fahrzeugeinheiten sowie Hersteller von Weg-/Geschwindigkeitsgebern
[r11.5]
Die Einhaltung der Sicherheitsvorschriften, insbesondere der deutschen D-MSA-Policy sind nachzuweisen durch
- - ein Zertifikat von einem vom BSI oder vergleichbaren EU-Behörden akkreditierten Prüflabor,
- - mindestens einmal jährliche Audits.
Die Kosten trägt der Hersteller bzw. der D-CP.
[r11.6]
Anlassbezogene Audits im Zusammenhang mit der VO(EG) 3821/85, VO(EG) 2135/98 und VO(EG) 1360/2002 können jederzeit von der D-MSA und der D-CA verlangt werden. Sollten Unregelmäßigkeiten nachgewiesen werden, trägt der Hersteller bzw. D-CP die Kosten. Andernfalls trägt die veranlassende Aufsichtsstelle die Kosten.
12 Änderungen und Anpassungen der D-MSA-Policy
[r12.1]
Anträge zur Änderung der D-MSA-Policy sind an die D-MSA zu richten, die darüber entscheidet und im positiven Fall in angemessener Frist geeignete Maßnahmen zu treffen hat.
13 Übereinstimmung mit der ERCA-Policy
Die Anforderungen für die D-MSA-Policy sind in der ERCA-Policy in § 5.3 beschrieben.
Die nachstehende Tabelle stellt die Verbindung zwischen den in der ERCA-Policy formulierten Anforderungen und den Anforderungen der D-MSA-Policy dar.
Nr. | Referenz ERCApolicy | Anforderung | Referenz D-MSA-Policy |
1. | § 5.3.1 | The MSA Policy shall identify the entities in charge of operations. | § 1.1 Zuständige Organisationen |
2. | § 5.3.2 | The MSCA key pairs for equipment key certification and for motion sensor key distribution shall be generated and stored within a device which either: is certified to meet the requirements identified in FIPS 140-2 (or FIPS 140-1) level 3 or higher [10]; is certified to be compliant with the requirements identified in the CEN Workshop Agreement 14167-2 [11]; is a trustworthy system which is assured to EAL4 or higher in accordance with ISO 15408 [12]; to level E3 or higher in ITSEC [13]; or equivalent security criteria. These evaluations shall be to a protection profile or security target, is demonstrated to provide an equivalent level of security. | § 6 Schlüsselmanagement in der D-CA (Absatz 2) |
3. | § 5.3.3 | Member State Key Pair generation shall take place in a physically secured environment by personnel in trusted roles under, at least dual control. | § 6 Schlüsselmanagement in der D- CA (Absatz 3) § 6 Schlüsselmanagement in der D-CA [r6.5] § 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r6.10] § 7.3 Schlüsselverwendung [r7.9] § 9.2 Besondere Anforderungen an das Sicherheitskonzept [r9.7] |
4. | § 5.3.4 | The Member State Key Pairs shall be used for a period of at most two years starting from certification by the ERCA. | § 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r6.7] |
5. | § 5.3.5 | The generation of new Member State Key Pairs shall take into account the one month turnaround time required for certification by the ERCA | § 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r6.13] |
6. | § 5.3.6 | The MSA shall submit MSCA public keys for certification by the ERCA using the key certification request (KCR) protocol described in Annex A. | § 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r6.14] |
7. | § 5.3.7 | The MSA shall request motion sensor master keys from the ERCA using the key distribution request (KDR) protocol described in Annex D. | § 6.3 Symmetrische Schlüssel für Werkstattkarten und Weg-/ Geschwindigkeitsgeber (Km, KmWC, KmVU) [r6.20] |
8. | § 5.3.8 | The MSA shall recognise the ERCA public key in the distribution format described in Annex B. | § 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r6.15] |
9. | § 5.3.9 | The MSA shall use the physical media for key and certificate transport described in Annex C. | § 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r 6.16] |
10. | § 5.3.10 | The MSA shall ensure that the Key Identifier (KID) and modulus (n) of keys submitted to the ERCA for certification are unique within the domain of the MSCA. | § 8.4 Zertifikatinhalte und -formate [r8.9] |
11. | § 5.3.11 | The MSA shall ensure that expired keys are not used for any purpose. The Member State private key shall be either: destroyed so that the private key cannot be recovered or retained in a manner preventing its use. | § 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r6.7] |
12. | § 5.3.12 | The MSA shall ensure that an equipment RSA-key is generated, transported, and inserted into the equipment, in such a way as to preserve its confidentiality and integrity. For this purpose, the MSA shall - ensure that any relevant prescription mandated by security certification of the equipment is met. - ensure that both generation and insertion (if not onboard) takes place in a physically secured environment; - unless key generation was covered by the security certification of the equipment, ensure that specified and appropriate cryptographic key generation algorithms are used; The last two of these requirements on generation shall be met by generating equipment keys within a device which either: a) is certified to meet the requirements identified in FIPS 140-2 (or FIPS 140-1) level 3 or higher [9]; b) is certified to be compliant with the requirements identified in the CEN Workshop Agreement 14167-2 [10]; c) is a trustworthy system which is assured to EAL4 or higher in accordance with ISO15408 [11]; to level E3 or higher in ITSEC[12]; or equivalent security criteria. These evaluations shall be to a protection profile or security target. d) is demonstrated to provide an equivalent level of security. | § 7.1 Allgemeine Anforderungen, Protokollierung [r7.1] § 7.2 Schlüsselerzeugung [r7.5] |
13. | § 5.3.13 | The MSA shall ensure confidentiality, integrity, and availability of the private keys generated stored and used under control of the MSA Policy. | § 5 Karten- und Gerätemanagement [r5.6] § 6 Schlüsselmanagement in der D-CA (Absatz 2) § 7.1 Allgemeine Anforderungen, Protokollierung [r7.2] |
14. | § 5.3.14 | The MSA shall prevent unauthorised use of the private keys generated, stored and used under control of the MSA Policy. | § 7.1 Allgemeine Anforderungen, Protokollierung (Absatz 2) § 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r6.9] § 7.2 Schlüsselerzeugung [r7.8] |
15. | § 5.3.15 | The Member State private keys may be backed up using a key recovery procedure requiring at least dual control. | § 7.3 Schlüsselerzeugung [r7.11] |
16. | § 5.3.16 | Key certification requests that rely on transportation of private keys are not allowed. | § 8.2 Zertifikatserteilung [r8.7] |
17. | § 5.3.17 | Key escrow is strictly forbidden | § 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r6.11] |
18. | § 5.3.18 | The MSA shall prevent unauthorised use of its motion sensor keys. | § 6 .3 Symmetrische Schlüssel für Werkstattkarten und Weg-/ Geschwindigkeitsgeber (Km, KmWC, KmVU) [r6.18] |
19. | § 5.3.19 | The MSA shall ensure that the motion sensor master key (Km) is used only to encrypt motion sensor data for the purposes of motion sensor manufacturers. The data to be encrypted is defined in the ISO / IEC 16844-3 standard [7]. | § 6 Schlüsselmanagement in der D-CA (Absatz 2) |
20. | § 5.3.20 | The motion sensor master key (Km) shall never leave the secure and controlled environment of the MSA. | § 6.3 Symmetrische Schlüssel für Werkstattkarten und Weg-/ Geschwindigkeitsgeber (Km, KmWC, KmVU) [r 6.18] |
21. | § 5.3.21 | The MSA shall forward the workshop card motion sensor key (KmWC) to the component personaliser (in this case, the card personalisation service), by appropriately secured means for the sole purpose of insertion into workshop cards. | § 6.3 Symmetrische Schlüssel für Werkstattkarten und Weg-/ Geschwindigkeitsgeber (Km, KmWC, KmVU) [r6.18] |
22. | § 5.3.22 | The MSA shall forward the vehicle unit motion sensor key (KmVU) to the component personaliser (in this case, a vehicle unit manufacturer), by appropriately secured means for the sole purpose of insertion into vehicle units. | § 6.3 Symmetrische Schlüssel für Werkstattkarten und Weg-/ Geschwindigkeitsgeber (Km, KmWC, KmVU) [r6.18] |
23. | § 5.3.23 | The MSA shall maintain the confidentiality, integrity and availability of its motion sensor key copies. | § 6 Schlüsselmanagement in der D-CA (Absatz 2) |
24. | § 5.3.24 | The MSA shall ensure that its motion sensor key copies are stored within a device which either: a) is certified to meet the requirements identified in FIPS 140-2 (or FIPS 140-1) level 3 or higher [9]; b) is a trustworthy system which is assured to EAL4 or higher in accordance with ISO15408 [11]; to level E3 or higher in ITSEC[12]; or equivalent security criteria. These evaluations shall be to a protection profile or security target. | § 6 Schlüsselmanagement in der D-CA (Absatz 2) |
25. | § 5.3.25 | The MSA shall possess different Member State Key Pairs for the production of vehicle unit and tachograph card equipment public key certificates. | § 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r6.3] § 7.3 Schlüsselverwendung [r7.9] |
26. | § 5.3.26 | The MSA shall ensure availability of its equipment public key certification service. | § 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r6.6] |
27. | § 5.3.27 | The MSA shall only use the Member State Private Keys for: a) the production of Annex I(B) equipment key certificates using the ISO / IEC 9796-2 digital signature algorithm as described in Annex I(B) Appendix 11 Common Security Mechanisms [6]; b) production of the ERCA key certification request as described in Annex A.. c) issuing Certificate Revocation Lists if this method is used for providing certificate status information (see 5.3.30). | § 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r6.4] |
28. | § 5.3.28 | The MSA shall sign equipment certificates within the same device used to store the Member State Private Keys (see 5.3.2). | § 6 Schlüsselmanagement in der D-CA (Absatz 2) |
29. | § 5.3.29 | Within its domain, the MSA shall ensure that equipment public keys are identified by a unique key identifier which follows the prescriptions of Annex 1(B) [6]. | § 8.4 Zertifikatinhalte und -formate [r8.9] |
30. | § 5.3.30 | Unless key generation and certification is performed in the same physically secured Environment, the key certification request protocol shall provide proof of origin and integrity of certification requests, without revealing the private key. | § 8 Zertifikatsmanagement [r8.3] |
31. | § 5.3.31 | The MSA shall maintain and make certificate status information available. | § 8.5 Informationspflichten der D-CA [r8.13] |
32. | § 5.3.32 | The validity of a tachograph card certificate shall equal the validity of the tachograph card. | § 8.3 Zertifikatgültigkeit [r8.8] |
33. | § 5.3.33 | The MSA shall prevent the insertion of undefined validity certificates into tachograph cards. | § 8.3 Zertifikatgültigkeit [r8.8] |
34. | § 5.3.34 | The MSA may allow the insertion of undefined validity Member State certificates into vehicle units. | § 8.3 Zertifikatgültigkeit [r8.8] |
35. | § 5.3.35 | The MSA shall ensure that users of cards are identified at some stage of the card issuing process. | § 5 Karten- und Gerätemanagement [r5.8] § 7.3 Schlüsselverwendung [r7.10] |
36. | § 5.3.36 | The MSA shall ensure that ERCA is notified without delay of loss, theft, or potential compromise of any MSA keys. | § 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r6.12] |
37. | § 5.3.37 | The MSA shall implement appropriate disaster recovery mechanisms which do not depend on the ERCA response time. | § 6.2 Schlüsselpaar der D-CA (MS.SK, MS.PK) [r6.6] § 9 Informations-Sicherheit [r9.13] |
38. | § 5.3.38 | The MSA shall establish an information security management system (ISMS) based on a risk assessment for all the operations involved. | § 9.1 Informations-Sicherheitsmanagement (ISMS)[r9.1] |
39. | § 5.3.39 | The MSA shall ensure that the policies address personnel training, clearance and roles. | § 9.2 Besondere Anforderungen an das Sicherheitskonzept [r9.5] § 9.3 Rollentrennung [r9.15] |
40. | § 5.3.40 | The MSA shall ensure that appropriate records of certification operations are maintained. | § 9 Informations-Sicherheit [r9.10] [r9.11] [r9.12] |
41. | § 5.3.41 | The MSA shall include provisions for MSC-Atermination in the MSA Policy. | § 10.1 Verantwortlichkeit |
42. | § 5.3.42 | The MSA Policy shall include change procedures. | § 12 Änderungen und Anpassungen der [r12.1] |
43. | § 5.3.43 | The MSA audit shall establish whether the Requirements of this Section are being maintained. | § 11.1 D-CA [r11.1] 2. Paragraph |
44. | § 5.3.44 | The MSA shall audit the operations covered by the approved policy at intervals of not more than 12 months. | § 11.1 D-CA [r11.1] 1. Paragraph |
45. | § 5.3.45 | The MSA shall report the results of the audit as mentioned in 5.3.43 and provide the audit report, in English, to the ERCA. | § 11.1 D-CA [r11.3] |
46. | § 5.3.46 | The audit report shall define any corrective actions including an implementation schedule, required to fulfil the MSA obligations. | § 11.1 D-CA [r11.3] |
Anhang A
Abkürzungen, Definitionen
BMVBS | Bundesministerium für Verkehr, Bau und Stadtentwicklung CA-Administrator |
BSI | Bundesamt für Sicherheit in der Informationstechnik |
CAA | CA-Administrator |
CA-R | Der D-CA-Verantwortliche |
CP-R | Der D-CP-Verantwortliche |
D-MSA-Policy | Zertifizierungs-Policy der Bundesrepublik Deutschland für den elektronischen Fahrtenschreiber gemäß Anlage 11 des Anhangs I (B) VO(EG) 2135/98 |
Change Management | Behandlung technischer, organisatorischer und/oder fachlicher Änderungen des Verfahrens |
D-CA | Die Zertifizierungsstelle der Bundesrepublik Deutschland für den elektronischen Fahrtenschreiber gemäß der VO(EG) 3821/85, VO(EG) 2135/98 und VO(EG) 1360/2002, Kraftfahrt-Bundesamt. Nach internationalem Sprachgebrauch (CA = certification authority) |
D-CIA | Antragsbearbeitende und Ausgabestelle für Tachografenkarten |
D-CP | Kartenpersonalisierer. Stelle, die asymmetrische Schlüsselpaare und die gemäß VO(EG) 3821/85, VO(EG) 2135/98 und VO(EG) 1360/2002 zugehörigen Zertifikate auf die in der VO(EG) 2135/98 definierten Fahrer-, Werkstatt-, Kontroll- und Unternehmenskarten aufbringt. |
D-MSA | Die für die Umsetzung der EU-Richtlinie in der Bundesrepublik Deutschland verantwortliche Stelle, BMVBS. Nach internationalem Sprachgebrauch (MSA = Member State Authority) |
Digitale Signatur | Verfahren zur Sicherung der Unverfälschtheit (Integrität) und zum Herkunftsnachweis (Authentizität) eines elektronischen Dokuments mittels Anwendung der asymmetrischen Kryptographie. |
ERCA | Europäische Route Zertifizierungsstelle |
FE | Fahrzeugeinheiten nach Definition der VO(EG) 3821/85, VO(EG) 2135/98 und VO(EG) 1360/2002 |
ISMS | Informations-Sicherheitsmanagement-System |
ISSO | Der Sicherheitsbeauftragte. Nach internationalem Sprachgebrauch (ISSO = Information System Security Officer) |
Kartenpersonalisierer | Siehe D-CP |
KDR | Key Distribution Request (Schlüssel-Auslieferungsantrag für den Hauptschlüssel des Weg-/Geschwindigkeitsgebers) |
KM | Der Key-Manager |
Öffentlicher Schlüssel | In der asymmetrischen Kryptographie der öffentliche Teil eines Schlüsselpaars. Dieser dient meistens zur Verifizierung einer digitalen Signatur oder zur Verschlüsselung einer Nachricht. |
Personalisierung | Auch: logische P. Einbringung von privaten/geheimen Schlüsseln und den zugehörigen Zertifikaten in Kontrollgerätkarten und Kontrollgeräte. Diese ist zu unterscheiden von der optischen P. einer Karte, bei der Namen, Fotos u. ä. auf den Kartenkörper aufgebracht werden. |
Privater Schlüssel | In der asymmetrischen Kryptographie der private (geheime) Teil eines Schlüsselpaars. Dieser dient meistens zur Erzeugung einer digitalen Signatur oder zur Entschlüsselung einer Nachricht. (s. auch Öffentlicher Schlüssel) |
PS | Das Practice Statement der D-CA, des D-CP, der Hersteller von Fahrzeugeinheiten und der Hersteller von Weg-/Geschwindigkeitsgeber, wie es in Kapitel 4 der D-MSA-Policy definiert ist. Im internationalen Kontext ist dafür die Bezeichnung "Certification Practice Statement (CPS)" gebräuchlich. |
Root-CA | Die europäische Zertifizierungsstelle für den elektronischen Fahrtenschreiber gemäß der VO(EG) 3821/85, VO(EG) 2135/98 und VO(EG) 1360/2002. |
Root-Policy | "Digital Tachograph System - European Root Policy" erstellt vom JRC in Ispra |
RSA | Spezielles Verfahren der asymmetrischen Kryptographie. Gemäß Anlage 11 des Anhangs I (B) der VO(EG) 2135/98 wird im elektronischen Fahrtenschreiber das RSA-Verfahren zur Erstellung digitaler Signaturen eingesetzt. |
Sys-Admin | Der Systemadministrator des D-CP |
Zertifikat | In der asymmetrischen Kryptographie wird durch ein Z. die Bindung eines öffentlichen Schlüssels an eine im Z. bezeichnete Identität (Person, Organisation, Maschine,...), die sich im Besitz des zugehörigen privaten Schlüssels befindet, bestätigt. Im Kontext der D-MSA-Policy werden hierunter insbesondere die in Anlage 11 zum Anhang I (B) der VO(EG) 2135/98 definierten Zertifikate verstanden. |
Zertifizierungsstelle | Stelle, die ein Zertifikat ausstellt. Im Kontext der VO(EG) 3821/85, VO(EG) 2135/98 und VO(EG) 1360/2002 existieren die Europäische Zertifizierungsstelle (Root-CA) und die Zertifizierungsstellen der Mitgliedstaaten (für Deutschland D-CA), die die für ihre Tätigkeit benötigten Zertifikate von der Root-CA erhalten. |
Anhang B
Referenzdokumente
- [CC] Common Criteria. ISO/IEC 15408 (1999)
- [CEN] CEN Workshop Agreement 14167-2: Cryptographic Module for CSP...
- [FIPS] FIPS PUB 140-2. NIST
- [GSHB] BSI-IT-Grundschutzkataloge
- [ISO] ISO 27001:2006
Artikel 2
Änderung der Straßenverkehrs-Zulassungs-Ordnung
§ 57a der Straßenverkehrs-Zulassungs-Ordnung in der Fassung der Bekanntmachung vom 28.09.1988 (BGBl. I S. 1793), die zuletzt durch Artikel 1 der Verordnung vom 24. Mai 2007 (BGBl. I S. 893) geändert worden ist, wird wie folgt geändert:
- 1. Absatz 1 Satz 2 wird wie folgt geändert:
- a) Nummer 4 wird wie folgt gefasst:
"4. Fahrzeuge, die in § 18 Abs. 1 der Fahrpersonalverordnung vom 27. Juni 2005 (BGBl. I S. 1882), die zuletzt durch Artikel 1 der Zweiten Verordnung zur Änderung fahrpersonalrechtlicher Vorschriften vom ... [einsetzen: Datum des Tages der Ausfertigung dieser Verordnung] (BGBl. I S. ... [einsetzen: Fundstelle dieser Verordnung]) geändert worden ist, genannt sind.".
- b) Nummer 5 wird aufgehoben.
- 2. Absatz 3 wird wie folgt geändert:
- a) Satz 1 wird wie folgt gefasst:
"Die Absätze 1 bis 2 gelten nicht, wenn das Fahrzeug an Stelle eines vorgeschriebenen Fahrtschreibers mit einem Kontrollgerät im Sinne des Anhangs I oder des Anhangs I B der Verordnung (EWG) Nr. 3821/85/EWG des Rates vom 20. Dezember 1985 über das Kontrollgerät im Straßenverkehr (ABl. EG (Nr. ) L 370 S. 8), die zuletzt durch die Verordnung (EG) Nr. 561/2006 des Europäischen Parlaments und des Rates vom 15. März 2006 (ABl. EU (Nr. ) L 102 S. 1) geändert worden ist, ausgerüstet ist.".
- b) Nach Satz 2 wird folgender Satz eingefügt:
"Im Falle des Einsatzes von Kraftomnibussen im Linienverkehr bis 50 km kann an Stelle des Namens der Führer das amtliche Kennzeichen oder die Betriebsnummer des jeweiligen Fahrzeugs auf den Ausdrucken und Schaublättern eingetragen werden.".
Artikel 3
Aufhebung von Bundesrecht
Die Verordnung über die Kontrollen gemäß der Richtlinie 88/599/EWG des Rates vom 23. November 1988 über einheitliche Verfahren zur Anwendung der Verordnung (EWG) Nr. 3820/85 des Rates über die Harmonisierung bestimmter Sozialvorschriften im Straßenverkehr und der Verordnung (EWG) Nr. 3821/85/EWG des Rates über das Kontrollgerät im Straßenverkehr vom 6. Juni 1990 (BGBl. I S. 1003), zuletzt geändert durch Artikel 471 der Verordnung vom 31. Oktober 2006 (BGBl. I S. 2407), wird aufgehoben.
§ 22 der Fahrpersonalverordnung vom 27. Juni 2005 (BGBl. I S. 1882), die zuletzt durch Artikel 1 dieser Verordnung geändert worden ist, wird wie folgt geändert:
- § 22 der Fahrpersonalverordnung vom 27. Juni 2005 (BGBl. I S. 1882), die zuletzt durch Artikel 4 dieser Verordnung geändert worden ist, wird aufgehoben.
Artikel 6
Neubekanntmachung
- Das Bundesministerium für Verkehr, Bau und Stadtentwicklung kann den Wortlaut der Fahrpersonalverordnung in der vom ... [einsetzen: Datum des Tages nach der Verkündung] an geltenden Fassung im Bundesgesetzblatt bekannt machen.
Artikel 7
Inkrafttreten
- (1) Diese Verordnung tritt am Tag nach der Verkündung in Kraft, soweit in den folgenden Absätzen nichts Abweichendes bestimmt ist.
- (2) Artikel 4 tritt am 10. September 2008 in Kraft.
- (3) Artikel 5 tritt am 10. September 2009 in Kraft.
Der Bundesrat hat zugestimmt.
Berlin, 2007
Der Bundesminister für Verkehr, Bau und Stadtentwicklung
Begründung
A. Allgemeiner Teil
I. Wesentlicher Inhalt der Verordnung
Durch die Verordnung wird die Fahrpersonalverordnung geändert und an die geänderten EG-Bestimmungen angepasst. Sie dient im Wesentlichen der Ergänzung der Verordnung (EG) Nr. 561/2006 des Europäischen Parlaments und des Rates vom 15. März 2006 zur Harmonisierung bestimmter Sozialvorschriften im Straßenverkehr und zur Änderung der Verordnungen (EWG) Nr. 3821/85/EWG und (EG) Nr. 2135/98 des Rates sowie zur Aufhebung der Verordnung (EWG) Nr. 3820/85 des Rates (ABl. EU (Nr. ) L 102 S. 1) und des Fahrpersonalgesetzes, zuletzt geändert durch Artikel 1 des Gesetzes vom 6. Juli 2007 (BGBl. I S. 1270).
Außerdem wird die Straßenverkehrs-Zulassungs-Ordnung angepasst und die so genannte Kontrollverordnung aufgehoben.
II. Wesentlicher Inhalt der EG-Bestimmungen
Grundlage der Sozialvorschriften im Straßenverkehr waren bisher die in allen Mitgliedstaaten unmittelbar geltenden Verordnungen (EWG) Nr. 3820/85 (Lenk- und Ruhezeiten) und Nr. 3821/85 (EG-Kontrollgerät). In der Praxis wurde in erheblichem Umfang gegen diese Vorschriften verstoßen d. h. unter dem Druck des bestehenden scharfen Wettbewerbs wurde zu lange gelenkt die vorgeschriebenen Unterbrechungen/Pausen und Ruhezeiten wurden nicht oder nur unzureichend eingehalten oder das Kontrollgerät selbst oder die einzulegenden Schaublätter wurden manipuliert. Durch die Verordnung (EG) Nr. 561/2006 ist die Verordnung (EWG) Nr. 3821/85/EWG zum 1. Mai 2006 geändert und die Verordnung (EWG) Nr. 3820/85 zum 11. April 2007 ersetzt worden. Lediglich Artikel 5 Abs. 1, 2 und 4 der Verordnung (EWG) Nr. 3820/85 gilt noch bis zum 10. September 2008 bzw. 10. September 2009 weiter.
Die Verordnung (EG) Nr. 561/2006 enthält eine Vielzahl von durch eine Expertengruppe vorbereitete Änderungen. Die Lenk- und Ruhezeiten bleiben im Wesentlichen unangetastet, die Vorschriften sind aber klarer und verständlicher abgefasst und die Ausnahmen reduziert sowie Flexibilität erhalten worden. Kontrollmöglichkeiten wurden verbessert, die Ahndung auch von im Ausland begangenen Verstößen ermöglicht und eine Verantwortlichkeit des Unternehmers auch für vom Fahrer begangene Verstöße eingeführt.
Mit der in allen Mitgliedstaaten der Europäischen Union zum 1. Mai 2006 verpflichtenden Einführung des digitalen Kontrollgerätes sollen Manipulationen zukünftig verhindert werden.
III. Kosten
Durch die Umstellung auf digitale Kontrollgeräte sowie durch ein vereinfachtes Verfahren zur Erlangung der Werkstattkarte zur Kalibrierung ist mittel- und langfristig von einer geringfügigen Kostenentlastung bei den betroffenen Unternehmen auszugehen; die Handwerksbetriebe und Markthändler werden darüber hinaus durch die neue Bestimmung des § 1 Abs. 2 Nr. 3 und 4 in stärkerem Maße als bisher entlastet, da für Fahrzeuge zwischen 2,8 Tonnen und 3,5 Tonnen zulässiger Gesamtmasse die Aufzeichnungspflichten generell entfallen (Wegfall der 50 Kilometerbegrenzung).
Anderen Bereichen der Wirtschaft, hier insbesondere der mittelständischen Wirtschaft, entstehen keine Kosten. Es gibt keine Auswirkungen auf die sozialen Sicherungssysteme.
Aus diesen Gründen sind daher geringfügige Einzelpreisanpassungen möglich. Auswirkungen auf das allgemeine Preisniveau, dabei insbesondere das Verbraucherpreisniveau, sind nicht zu erwarten.
IV. Bürokratiekosten durch Informationspflichten
Durch die Verordnung werden Informationspflichten für die Wirtschaft geändert. Für Bürgerinnen und Bürger sowie für die Verwaltung werden Informationspflichten weder eingeführt, noch vereinfacht oder abgeschafft.
1. Vereinheitlichung von Fristen und Wegfall von Nachweispflichten
Durch die Regelungen des § 4 Abs. 3 Satz 3 der Fahrpersonalverordnung werden die unterschiedlichen Fristen im Zusammenhang mit der Beantragung der Werkstattkarte vereinheitlicht.
Diese Erleichterung führt tendenziell zu einer als geringfügig einzuschätzenden Reduzierung der Bürokratiekosten; eine genaue Bezifferung ist nicht möglich.
Ferner entfällt künftig die Verpflichtung, die Gewerbeanmeldung bei der Beantragung der Werkstattkarte und der Unternehmenskarte vorzulegen (§ 7 Abs. 2 Nr. 3, § 9 Abs. 1 Nr. 3 der Fahrpersonalverordnung). Dadurch werden die betroffenen Unternehmen bei der Beantragung der Werkstattkarte um geschätzte 9 000 Euro jährlich und bei der Beantragung der Unternehmenskarte um geschätzte 15 000 Euro jährlich entlastet.
2. Ausnahmen von der Einbeziehung von Fahrzeugen in die Lenk- und Ruhezeiten
Künftig unterliegen Fahrzeuge von Handwerksbetrieben und Markthändlern zwischen 2,8 Tonnen und 3,5 Tonnen unter den Voraussetzungen des § 1 Abs. 2 Nr. 2 und 3 Fahrpersonalverordnung generell nicht mehr den Aufzeichnungspflichten (Wegfall der 50 Kilometerbegrenzung).
Die genaue Zahl der nicht mehr unter die Aufzeichnungspflichten fallenden Fahrzeuge ist nicht bekannt. Unter Zugrundelegung der Stellungnahmen zu der Verordnung kann im Bereich des Handels, Baugewerbes und Handwerks von mindestens 280 000 zugelassenen Fahrzeugen mit einer zulässigen Gesamtmasse zwischen 2,8 Tonnen und 3,5 Tonnen ausgegangen werden.
Unterstellt man, dass davon 140 000 Fahrzeuge die Voraussetzungen für die Ausnahme erfüllen, ergibt sich eine Reduzierung der Bürokratiekosten durch Wegfall von Aufzeichnungspflichten in Höhe von ca. 36,5 Millionen Euro im Jahr.
Im Interesse der Entbürokratisierung wird bei der Einbeziehung von Fahrzeugen in die Lenk- und Ruhezeiten von den Ausnahmen Gebrauch gemacht, die das Gemeinschaftsrecht zulässt.
Diese Ausnahmen sind in § 18 Abs. 1 der Fahrpersonalverordnung enthalten. Sie entsprechen im Wesentlichen dem bisherigen Recht. Soweit sich Änderungen gegenüber dem bisherigen Recht ergeben, ist die damit verbundene Reduzierung oder Erhöhung der Bürokratiekosten auch nach der Anhörung der Verbände nicht bezifferbar. Dies hat seinen Grund u. a. darin, dass sich das bisherige Recht nur geringfügig ändert (z.B. Erweiterung des Umkreises von 50 km auf 100 km bei Fahrzeugen von Landwirtschaftsunternehmen), Ausnahmen sowohl erweitert als auch eingeschränkt werden (z.B. Einführung einer Umkreisbeschränkung auf 50 km bei Elektrofahrzeugen auf Grund gemeinschaftsrechtlicher Vorgaben bei gleichzeitiger Anhebung der Gesamtmasse von 3,5 Tonnen auf 7,5 Tonnen) oder nur eine geringe Anzahl von Fahrzeugen betroffen ist (z.B. Spezialfahrzeuge für Geldtransporte).
3. Änderungen bei den Aufzeichnungspflichten
Die Verordnung enthält geringfügige Änderungen bei den Aufzeichnungspflichten und Mitführungspflichten (§ 1 Abs. 6, § 2 Abs. 3, § 2a, § 6 der Fahrpersonalverordnung):
- - Aufzeichnungen über Lenkzeiten müssen künftig für die laufende Woche und der der laufenden Woche vorausgegangenen 15 Kalendertage (ab 1. Januar 2008: für den laufenden Tag und die vorausgegangenen 28 Kalendertage) mitgeführt werden (bisher: für die laufende Woche und für den letzten Tag der Vorwoche).
- - Der Unternehmer muss die Aufzeichnungen bei Benutzung eines Kontrollgerätes statt wie bisher zwei Jahre künftig nur noch ein Jahr aufbewahren, nunmehr aber in chronologischer Reihenfolge.
- - Eine abgelaufene Fahrerkarte ist künftig 28 Tage mitzuführen (bisher 7 Tage).
Mit diesen veränderten Pflichten sind keine messbaren Bürokratiekosten verbunden.
4. Wegfall von Ausnahmen
Die bisher in § 18 Abs. 1 Nr. 5 der Fahrpersonalverordnung enthaltene Ausnahme für Verkaufswagen (ab 3,5 Tonnen zulässige Gesamtmasse) fällt auf Grund zwingender gemeinschaftsrechtlicher Vorgaben weg. Es liegen keine Erkenntnisse über die Anzahl der Verkaufswagen vor die künftig unter die Regelungen der Verordnung (EG) Nr. 561/2006 und der Verordnung (EWG) Nr. 3821/85/EWG fallen. Eine Bezifferung der Bürokratiekosten ist daher nicht möglich. Die Regelung ist aber unvermeidbar, da das Gemeinschaftsrecht diese Ausnahme nicht mehr zulässt.
B. Besonderer Teil
Zu Nummer 1 (§§ 1 und 2)
§ 1
Der neue § 1 enthält einige redaktionelle Änderungen und wird insgesamt klarer gefasst. Unter anderem wird in Absatz 3 Nr. 2 klargestellt, dass bei Haltestellenabständen von weniger als drei Kilometern bestimmte Arbeitsunterbrechungen auch als Fahrtunterbrechungen nach der Nummer 1 oder 2 gelten. Daneben wird in Absatz 6 Satz 6 die Verpflichtung der Fahrer geregelt, die Aufzeichnungen über die Lenk- und Ruhezeiten für die laufende Woche und die vorausgegangenen 15 Kalendertage (ab dem 1. Januar 2008 für den laufenden Tag und die vorausgegangenen 28 Kalendertage) mitzuführen und den zuständigen Personen auf Verlangen zur Prüfung auszuhändigen.
Die Änderung erfolgt in Ergänzung zu Artikel 26 Nr. 4 der Verordnung (EG) Nr. 561/2006. Danach haben die Fahrer gemäß Artikel 15 Abs. 7 der Verordnung (EWG) Nr. 3821/85/EWG seit dem 1. Mai 2006 die Aufzeichnungen (über die Lenk- und Ruhezeiten) für die laufende Woche und die vorausgegangenen 15 Tage vorzulegen, wenn sie Fahrzeuge lenken, die über eine zulässige Höchstmasse von mehr als 3,5 Tonnen einschließlich Anhänger oder Sattelanhänger verfügen. Ab dem 1. Januar 2008 umfasst dieser Zeitraum den laufenden Tag und die vorausgehenden 28 Tage. Diese Verpflichtung wird mit der Regelung in Absatz 6 Satz 6 auf die Lenker der in Absatz 1 Satz 1 genannten Fahrzeuge ausgedehnt. In Absatz 6 Satz 7 Nr. 1 wird klargestellt, dass geeignete Vordrucke zur Fertigung der Aufzeichnungen insbesondere solche sind die dem Muster der Anlage 1 entsprechen. Eine Verpflichtung, das Muster der Anlage 1 zu verwenden, besteht nicht.
Absatz 7 Satz 3 enthält die Verpflichtung des Unternehmers, dem Fahrer vor Beginn der Fahrt genügend Schaublätter zur Verfügung zu stellen und durch Schulungen bzw. Hinweise an den Fahrer dafür zu sorgen, dass dieser das Kontrollgerät oder den Fahrtschreiber ordnungsgemäß benutzen kann. Satz 4 dehnt die Verpflichtung zur Mitführung von Schaublättern auf den in Absatz 6 Satz 4 genannten Zeitraum aus.
Um dem Handwerk, dessen Lenkzeiten ein marginales Problem sind, mehr Flexibilität zu ermöglichen und Bürokratie abzubauen, wurden Beförderungen von Material, Ausrüstungen oder Maschinen, die die Fahrer zur Ausübung ihres Berufes benötigen, von der Regelung des § 1 ausgenommen. Entsprechendes gilt für Verkaufswagen von Markthändlern. Bislang galt dies nur, wenn die Fahrzeuge in einem Umkreis von 50 Kilometern vom Standort verwendet wurden.
§ 2
§ 2 enthält zunächst redaktionelle Änderungen. Der bisherige Absatz 3 wurde gestrichen, da er nahezu wortgleich mit Artikel 15 Abs. 1 Unterabs. 5 der Verordnung (EWG) Nr. 3821/85/EWG in der seit 1. Mai 2006 geltenden Fassung ist (Artikel 26 Abs. 4 i. V. m. Artikel 29 der Verordnung (EG) Nr. 561/2006). Die Vorschrift regelt ferner die Vorlage- und Aufbewahrungspflicht bezüglich der nach Artikel 15 Abs. 1 Unterabs. 5 der Verordnung (EWG) Nr. 3821/85/EWG vorgeschriebenen Ausdrucke und Aufzeichnungen. Die Regelungen des § 57a der Straßenverkehrs-Zulassungs-Ordnung bleiben unberührt.
Die bislang in Absatz 5 geregelte Verpflichtung des Unternehmers, die kopierten Daten für einen bestimmten Zeitraum zu speichern, ist nunmehr in § 4 Abs. 3 Satz 6 des Fahrpersonalgesetzes geregelt.
Zu Nummer 2 (§ 2a)
Die Vorschrift dient der Umsetzung von Artikel 3 Unterabs. 4 der Richtlinie 2006/22/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über Mindestbedingungen für die Durchführung der Verordnungen (EWG) Nr. 3820/85 und (EWG) Nr. 3821/85/EWG des Rates über Sozialvorschriften für die Tätigkeiten im Kraftverkehr sowie zur Aufhebung der Richtlinie 88/599/EWG des Rates (ABl. EU (Nr. ) L 102 S. 35) (sog. EG-Kontrollrichtlinie). Danach bewahren die für die Fahrer verantwortlichen Unternehmen, die ihnen von den Vollzugsbehörden übertragenen Niederschriften, Ergebnisprotokolle und andere relevanten Daten über bei ihnen auf dem Gelände vorgenommene bzw. den bei ihren Fahrern auf der Straße vorgenommenen Kontrollen ein Jahr lang auf. Hierbei handelt es sich um eine Pflicht der Unternehmen. Deswegen erscheint eine Regelung in der Fahrpersonalverordnung systemkonformer als in der Verordnung zur Umsetzung der so genannten EG-Kontrollrichtlinie.
Zu Nummer 3 (§ 4)
Zu Buchstabe a (Absatz 1 Nr. 1 Buchstabe b und Nr. 3)
Redaktionelle Änderungen.
Zu Buchstabe b (Absatz 3 Satz 3)
Mit der Änderung von § 4 Abs. 3 Satz 3 wird die Frist über die Vorlage einer Schulungsbescheinigung anlässlich der Beantragung der Werkstattkarte der in der so genannten Schulungsrichtlinie vorgesehenen Frist von 3 Jahren angepasst. Damit wird ein Gleichklang der Vorschriften hergestellt.
Zu Buchstabe c (Absatz 4 Satz 5)
Redaktionelle Änderung.
Zu Nummer 4 (§ 5)
Die Fahrerkarte wird auf die entsprechende Muttersprache "eingestellt". Daher sind Angaben zur Muttersprache durch den Antragsteller erforderlich. Die übrigen Änderungen sind redaktioneller Art.
Zu Nummer 5 (§ 6)
Mit den Änderungen wird der Fahrer verpflichtet, nach Ablauf der Gültigkeit der Fahrerkarte diese noch 28 Tage mitzuführen. Gleiches gilt bei Umtausch der Fahrerkarte für die mitzuführenden Ausdrucke. Hierdurch wird sichergestellt, dass nach Ablauf bzw. Umtausch der Fahrerkarte die zurückliegenden Lenk- und Ruhezeiten bei Straßenkontrollen kontrolliert werden können.
Zu Nummer 6 (§ 7)
Zu Buchstabe a (Absatz 1)
Redaktionelle Änderungen.
Zu Buchstabe b (Absatz 2)
§ 7 Abs. 2 wird neu gefasst. Mit dem Wegfall der bisherigen Nummer 3 wird das Erfordernis der Vorlage der Gewerbeanmeldung bei der Beantragung der Werkstattkarte gestrichen. Dies bedeutet eine Entbürokratisierung des Antragsverfahrens. Mit dem Wegfall der bisherigen Nummer 6 muss künftig anlässlich der Antragstellung für die Erteilung der Werkstattkarte kein Auszug aus dem Gewerbezentralregister mehr vorgelegt werden. Dies bedeutet ebenfalls eine Entbürokratisierung.
Die übrigen Änderungen sind redaktioneller Art.
Zu Nummer 7 (§ 8)
Redaktionelle Änderungen.
Zu Nummer 8 (§ 9 Abs. 1)
Zu Buchstabe a (Nummer 2)
In § 9 Abs. 1 Nr. 2 wird das Erfordernis des Nachweises der persönlichen Daten insoweit geändert als nur noch der Antragsteller seine persönlichen Daten nachweisen muss. Dies führt zu einer Entbürokratisierung des Verfahrens.
Zu Buchstabe b (Nummer 3)
Mit Wegfall von § 9 Abs. 1 Nr. 3 muss künftig für die erste Ausstellung der Unternehmenskarte keine Gewerbeanmeldung mehr vorgelegt werden. Dies führt zu einer weiteren Entbürokratisierung des Antragsverfahrens.
Zu Nummer 9 (§ 12)
Redaktionelle Änderungen.
Zu Nummer 10 (§ 18)
§ 18 Abs. 1 setzt die so genannten nationalen Ausnahmemöglichkeiten der Verordnung (EG) Nr. 561/2006 in nationales Recht um. In Nummer 2 wird klargestellt, dass die Ausnahme auch für die Beförderung lebender Tiere gilt. Die Ausnahme in Nummer 3 (landwirtschaftliche Beförderungen) wurde um Leasingfälle erweitert. In Nummer 14 (Tierkörperbeseitigung) wurde die bisherige Beschränkung auf Transporte im Umkreis von 50 km vom Standort des Fahrzeugs auf 250 km erweitert.
§ 18 Abs. 2 legt auf Grund der Ermächtigung durch Artikel 5 Abs. 2 der vorgenannten EG-Verordnung das Mindestalter für Beifahrer bei Beförderungen in einem Umkreis von 50 km vom Standort des Fahrzeugs zum Zwecke der Berufsausbildung auf das vollendete 16. Lebensjahr fest. Die Regelung entspricht der bereits jetzt in § 18 Fahrpersonalverordnung vorhandenen Regelung.
Zu Nummer 11 (§ 19)
Redaktionelle Anpassung.
Zu Nummer 12 (§ 20)
Zu Buchstabe a (Absatz 1)
Damit der Unternehmer die Kontrollbestätigungen nach § 2a aufbewahren kann, muss der Fahrer sie ihm aushändigen. Diese Verpflichtung wird mit dem neuen letzten Satz in Absatz 1 begründet.
Im Übrigen handelt es sich um redaktionelle Änderungen.
Zu Buchstabe b (Absatz 2)
Redaktionelle Änderung.
Zu Buchstabe c (Absatz 3)
Entsprechend der Verpflichtung, die Tachographenscheiben und Aufzeichnungen nach § 1 Abs. 6 ein Jahr aufzubewahren, sind künftig auch die Bescheinigungen nach § 20 Abs. 3 für ein Jahr aufzubewahren. Dem Fahrer ist auf Verlangen eine Kopie auszuhändigen.
Zu Nummer 13 (§ 20a)
§ 20a Abs. 1 begründet die Verpflichtung der Verkehrsunternehmen, ihren Betrieb so zu organisieren, dass die Einhaltung der Lenk- und Ruhezeiten durch das Fahrpersonal möglich ist. Absatz 1 der Vorschrift weist darauf hin, dass dies auch für Fahrten von Fahrern im Hoheitsgebiet anderer EG-Mitgliedstaaten, eines Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum oder eines Drittstaates gilt. Über die Öffnungsklausel des Artikel 10 Abs. 3 Unterabs. 1 der Verordnung (EG) Nr. 561/2006 stellt die Vorschrift sicher, dass die Haftung des Unternehmers von einem Verschulden bei Verstößen gegen die in Absätzen 1 und 2 des Artikels 10 der Verordnung (EG) Nr. 561/2006 genannten Grundsätzen abhängig ist.
§ 20a Abs. 2 betont die Mitverantwortlichkeit der an der Beförderungskette Beteiligten für die Einhaltung der Lenk- und Ruhezeiten.
§ 20a Abs. 3 bestimmt, dass die vertraglich vereinbarten Beförderungszeitpläne nicht gegen die Lenk- und Ruhezeiten verstoßen dürfen.
Zu Nummer 14 bis 16 (§§ 21 bis 23)
Redaktionelle Anpassung der Ordnungswidrigkeitentatbestände an die geänderten Grundbestimmungen.
Zu Nummer 17 (Anlage 1)
Anpassung an die Terminologie der Verordnung (EG) Nr. 561/2006.
Zu Nummer 18 (Anlage 2)
An Stelle der englischen Fassung wird die deutsche Fassung als rechtsverbindlich festgelegt. Im Übrigen handelt es sich im Wesentlichen um redaktionelle Änderungen.
II. Zu Artikel 2 (Änderung der Straßenverkehrs-Zulassungs-Ordnung)
Zu Nummer 1 (§ 57a Abs. 1)
Redaktionelle Anpassung.
Zu Nummer 2 (§ 57 Abs. 3)
Zu Buchstabe a (Satz 1)
Redaktionelle Anpassung.
Zu Buchstabe b (Satz 3)
Mit dem neuen Satz 3 soll den Unternehmen des Liniennahverkehrs (bis 50 km) wieder ermöglicht werden statt des Fahrernamens das amtliche Kennzeichen oder die Betriebsnummer des jeweiligen Busses auf den Ausdrucken aus dem digitalen Kontrollgerät bzw. auf den Tachographenscheiben einzutragen. Die Besatzungen der Busse wechseln bis zu drei- oder viermal täglich.
Tachographenscheiben müssten mithin bei jedem Wechsel ausgetauscht werden. Dies ist umständlich und macht letztendlich eine Kontrolle durch die Gewerbeaufsicht in den Betrieben nicht einfacher. Auf Grund der Einsatzpläne der Unternehmen in Verbindung mit den auf den Ausdrucken und Scheiben eingetragenen Fahrzeugnummern bzw. Kennzeichen kann anlässlich einer Betriebsprüfung zweifelsfrei festgestellt werden, welcher Fahrer das Fahrzeug gelenkt hat.
III. Zu Artikel 3 (Aufhebung der Kontrollverordnung)
Artikel 3 hebt die so genannte Kontrollverordnung, die auf der Richtlinie 88/599/EWG fußt, auf.
Diese wurde durch die Richtlinie 2006/22/EG zum 11. April 2007 ersetzt.
IV. Zu Artikel 4 und 5 (Weitere Änderung und Aufhebung des § 22 der Fahrpersonalverordnung)
Die Artikel 4 und 5 in Verbindung mit Artikel 7 berücksichtigen die Aufhebung des Artikels 5 Abs. 1 und 2 der Verordnung (EWG) 3820/85 zum 10. September 2008 bzw. 10. September 2009 (Artikel 28 Unterabs. 2 der Verordnung (EG) Nr. 561/2006).
V. Zu Artikel 6 (Bekanntmachung)
Artikel 6 ermächtigt das Bundesministerium für Verkehr, Bau und Stadtentwicklung, die Fahrpersonalverordnung in der vom Inkrafttreten dieser Verordnung nach Artikel 7 Abs. 1 an geltenden Fassung im Bundesgesetzblatt bekanntzumachen.
VI. Zu Artikel 7 (Inkrafttreten)
Artikel 7 regelt das Inkrafttreten der Verordnung.
->
Anlage
Stellungnahme des Nationalen Normenkontrollrates gem. § 6 Abs. 1 NKR-Gesetz:
Entwurf einer Zweiten Verordnung zur Änderung fahrpersonalrechtlicher Vorschriften
Der Nationale Normenkontrollrat hat den Entwurf der o. g. Verordnung auf Bürokratiekosten geprüft, die durch Informationspflichten begründet werden.
Mit der Verordnung werden für Bürgerinnen und Bürger sowie für die Verwaltung keine Informationspflichten eingeführt, geändert oder abgeschafft. Für die Wirtschaft werden Informationspflichten geändert.
Die Einführung einer Ausnahmeregelung, nach der Handwerker und Markthändler mit Fahrzeugen mit einer zulässigen Gesamtmasse von 2,8 t bis 3,5 t keine Aufzeichnungspflichten im Sinne der Verordnung mehr zu erfüllen haben, entlastet die betroffenen Unternehmen nach Schätzung des Bundesministeriums um jährlich 36,5 Mio. €. Der Nationale Normenkontrollrat begrüßt ausdrücklich, dass das Bundesministerium diese Ausnahme vorsieht. Weitere Vereinfachungen führen zu geringfügigen Entlastungen in Höhe von etwa 24.000 € jährlich.
Der Nationale Normenkontrollrat hat im Rahmen seines gesetzlichen Prüfauftrags keine Bedenken gegen das Regelungsvorhaben.
Dr. Ludewig | Bachmaier |
Vorsitzender | Berichterstatter |
- 1 Common Security Guidelines, V 1.0; Card Issuing Group SWG3: http://forum.europa.eu.int/Public/irc/tren/digtacho/library?l=/commonssecuritysguidelin/commonssecurityguideline1/_EN_1.0_&a=d
- 2 Guideline and Template National CA policy, V 1.0: http://forum.europa.eu.int/Public/irc/tren/digtacho/library?l=/commonssecuritysguidelin/tsncapolicysguidelinesv1/_EN_1.0_&a=d
- 3 Die D-MSA-Policy wurde in deutscher Sprache erstellt und ins Englische übersetzt, um sie bei der ERCA vorzulegen. Die deutsche Version ist die rechtsverbindliche.
- 4 Vgl. Digital Tachograph System European Root Policy, V 2.0