Signaturgesetz (Deutschland)

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
Basisdaten
Titel: Gesetz über Rahmenbedingungen für elektronische Signaturen
Kurztitel: Signaturgesetz
Abkürzung: SigG
Art: Bundesgesetz
Geltungsbereich: Bundesrepublik Deutschland
Rechtsmaterie: Wirtschaftsverwaltungsrecht
Fundstellennachweis: 9020-12
Ursprüngliche Fassung vom: 22. Juli 1997
(BGBl. I S. 1870, 1872 ff.)
Inkrafttreten am: 1. August 1997
Letzte Neufassung vom: 16. Mai 2001
(BGBl. I S. 876)
Inkrafttreten der
Neufassung am:
22. Mai 2001
Letzte Änderung durch: Art. 4 Abs. 111 G vom 7. August 2013
(BGBl. I S. 3154)
Inkrafttreten der
letzten Änderung:
14. August 2018
(Art. 5 Abs. 4 G vom 7. August 2013)
Bitte den Hinweis zur geltenden Gesetzesfassung beachten.

Das Signaturgesetz (Gesetz über Rahmenbedingungen für elektronische Signaturen, kurz SigG oder SigG 2001) vom 16. Mai 2001 hat den Zweck, Rahmenbedingungen für elektronische Signaturen zu schaffen. Es löste das Signaturgesetz vom 22. Juli 1997 ab.

Inhalt[Bearbeiten]

Ziel ist es, durch die Nutzung elektronischer Signaturen erhöhte Rechtssicherheit für den internetbasierten Geschäftsverkehr (E-Commerce) sowie elektronische Prozesse der öffentlichen Verwaltung (E-Government) zu erhalten. Das Signaturgesetz und die zugehörige Signaturverordnung (SigV) legen Anforderungen für Zertifizierungsdiensteanbieter (ZDAs), Produkte für elektronische Signaturen, sowie für Prüf- und Bestätigungsstellen, die die Einhaltung bzw. Umsetzung dieser Anforderungen prüfen, fest. Zertifizierungsdienste im Sinne des Signaturgesetzes sind die Ausstellung von qualifizierten Zertifikaten und qualifizierten Zeitstempeln, d. h. das Signaturgesetz regelt ausschließlich die Erbringung dieser Zertifizierungsdienste.

Arten der elektronischen Signatur[Bearbeiten]

Das Signaturgesetz definiert neben der (einfachen) elektronischen Signatur die fortgeschrittene elektronische Signatur, die erhöhten Anforderungen an die Sicherheit genügen muss, und die qualifizierte elektronische Signatur, eine fortgeschrittene elektronische Signatur, die auf einem qualifizierten Zertifikat beruht und mit einer sicheren Signaturerstellungseinheit (SSEE) erstellt wurde.

Anforderungen an qualifizierte Zertifikate und qualifizierte Zeitstempel[Bearbeiten]

Qualifizierte Zertifikate bescheinigen die Zuordnung von Signaturprüfschlüsseln zu einer natürlichen Person und deren Identität (§ 2Vorlage:§/Wartung/buzer Abs. 7 SigG). Sie müssen bestimmte Mindestinhalte haben (§ 7Vorlage:§/Wartung/buzer SigG und § 14Vorlage:§/Wartung/buzer SigV). Insbesondere müssen sie den Signaturschlüsselinhaber unverwechselbar kennzeichnen; die Verwendung von Pseudonymen ist dabei ausdrücklich zugelassen. Weiterhin müssen sie den Namen und das Land des Ausstellers, den bescheinigten Signaturprüfschlüssel und die Algorithmen, mit denen er verwendet werden kann, eine definierte Gültigkeitsdauer, eine Seriennummer, eine Kennzeichnung als qualifiziertes Zertifikat und ggf. Nutzungsbeschränkungen des bescheinigten Signaturschlüssels enthalten. Qualifizierte Zertifikate müssen mit einer qualifizierten elektronischen Signatur versehen sein. Die Gültigkeitsdauer eines qualifizierten Zertifikates darf höchstens zehn Jahre betragen (§ 14Vorlage:§/Wartung/buzer Abs. 3 SigV).

Zusätzliche Attribute zu einem Inhaber eines qualifizierten Zertifikates, z. B. über eine Vertretungsmacht, einen Berufsstand oder sonstige Angaben können entweder in das Zertifikat selbst, oder in ein qualifiziertes Attributzertifikat, das auf dieses verweist, aufgenommen werden. Die Gültigkeit eines qualifizierten Attribut-Zertifikates endet mit der Gültigkeit des qualifizierten Zertifikates, auf das es Bezug nimmt (§ 14Vorlage:§/Wartung/buzer Abs. 3 SigV).

Qualifizierte Zeitstempel bescheinigen, dass bestimmte Daten zu einem angegebenem Zeitpunkt vorgelegen haben. Die für ihre Ausstellung eingesetzten technischen Komponenten müssen sicherstellen, dass in den Zeitstempel die zum Zeitpunkt der Erzeugung gültige gesetzliche Zeit unverfälscht aufgenommen wird (§ 15Vorlage:§/Wartung/buzer Abs. 3 SigV), und dass Fälschungen und Verfälschungen ausgeschlossen sind (§ 17Vorlage:§/Wartung/buzer Abs. 3 Nr. 1 SigG). Qualifizierte Zeitstempel müssen nicht zwingend mit einer elektronischen Signatur versehen sein.[1]

Anforderungen an Zertifizierungsdienste und deren Anbieter[Bearbeiten]

Ein ZDA, d. h. ein Anbieter von qualifizierten Zertifikaten oder qualifizierten Zeitstempeln, muss die folgenden Anforderungen erfüllen:

  1. Er muss Antragsteller (d. h. die Zertifikatsinhaber) zuverlässig identifizieren (§ 5Vorlage:§/Wartung/buzer Abs. 1 SigG und § 3Vorlage:§/Wartung/buzer Abs. 1 SigV) und sicherstellen, dass dieser die zugehörige SSEE besitzt, bzw. die SSEE und deren Aktivierungsdaten persönlich übergeben (§ 5Vorlage:§/Wartung/buzer Abs. 2 SigV). Falls zusätzliche Angaben im qualifizierten Zertifikat oder in einem qualifizierten Attributzertifikat aufgenommen werden sollen, muss er diese zuverlässig überprüfen (§ 3Vorlage:§/Wartung/buzer Abs. 2 SigV).
  2. Er muss die Zertifikatsinhaber über Maßnahmen für die Sicherheit von qualifizierten elektronischen Signaturen und zu deren zuverlässigen Prüfung, sowie über ihre Rechtswirksamkeit unterrichten (§ 6Vorlage:§/Wartung/buzer SigG und § 6Vorlage:§/Wartung/buzer SigV).
  3. Ausgestellte Zertifikate müssen jederzeit und bis 5 Jahre nach Ablauf ihrer Gültigkeit über ein öffentliches Verzeichnis nachprüfbar und – sofern der Inhaber dem zustimmt – abrufbar gehalten werden (§ 5Vorlage:§/Wartung/buzer SigG und § 4Vorlage:§/Wartung/buzer Abs. 1 SigV).
  4. Er muss Vorkehrungen treffen, damit die qualifizierten Zertifikate nicht ge- oder verfälscht werden können (§ 5Vorlage:§/Wartung/buzer Abs. 4 SigG).
  5. Die Zertifikate sind auf Verlangen des Inhabers oder einer anderen zur Sperrung berechtigten Person unverzüglich zu sperren (§ 8Vorlage:§/Wartung/buzer SigG). Dabei muss er sich von der Identität und Berechtigung dieser Person überzeugen (§ 7Vorlage:§/Wartung/buzer SigV). Für Fehler besteht eine Verschuldenshaftung mit Beweislastumkehr (§ 11Vorlage:§/Wartung/buzer SigG).
  6. Er muss die Ausstellung von qualifizierten Zertifikaten und qualifizierten Zeitstempeln in vorgegebenem Umfang dokumentieren (§ 8Vorlage:§/Wartung/buzer SigV).
  7. Er muss die Bestimmungen zum Datenschutz einhalten.
  8. Das eingesetzte Personal muss die erforderliche Fachkunde und Zuverlässigkeit besitzen.
  9. Die für den Zertifizierungsdienst eingesetzten Produkte für qualifizierte elektronische Signaturen müssen die in § 17Vorlage:§/Wartung/buzer SigG und § 15Vorlage:§/Wartung/buzer SigV festgelegten Sicherheitseigenschaften besitzen. Diese Produkte umfassen neben sicheren Signaturerstellungseinheiten und Signaturanwendungskomponenten auch die Komponenten zur Erzeugung und Übertragung von Signaturschlüsseln (Schlüsselgenerator), Gewährleistung der Nachprüfbarkeit der Zertifikate (Auskunftsdienst) und der Ausstellung von qualifizierten Zeitstempeln. Die Erfüllung der Anforderungen muss von einer anerkannten Stelle nach in Anlage 1 SigVVorlage:§/Wartung/buzer festgelegten Prüfkriterien ITSEC oder Common Criteria geprüft und bestätigt worden sein.

Der ZDA haftet für Schäden, die durch Verletzung seiner Pflichten entstehen (§ 11Vorlage:§/Wartung/buzer SigG), und muss dafür eine festgelegte Deckungsvorsorge vorweisen (§ 12Vorlage:§/Wartung/buzer SigG und § 9Vorlage:§/Wartung/buzer SigV).

Vor einer Einstellung seiner Zertifizierungssdienste muss der ZDA rechtzeitig die Bundesnetzagentur benachrichtigen und bis zum Ablauf der ausgestellten Zertifikate für die Weiterführung der Sperr- und Auskunftsdienste sorgen (§ 13Vorlage:§/Wartung/buzer SigG und § 10Vorlage:§/Wartung/buzer SigV). Im Zweifelsfall muss die Bundesnetzagentur diese Dienste übernehmen.

Freiwillige Akkreditierung[Bearbeiten]

ZDAs können sich bei der Bundesnetzagentur akkreditieren lassen (§ 15Vorlage:§/Wartung/buzer SigG und § 11Vorlage:§/Wartung/buzer SigV). Hierfür müssen sie die Umsetzung der Anforderungen des Gesetzes mittels einer Prüfung und Bestätigung durch eine anerkannte Stelle nachweisen. Zusätzlich müssen sie die von ihnen ausgestellten Zertifikate für mindestens dreißig Jahre nachprüfbar halten (§ 4Vorlage:§/Wartung/buzer Abs. 2 SigV). Signaturen, die auf von akkreditierten Anbietern ausgestellten qualifizierten Zertifikaten beruhen, werden in der Literatur als „akkreditierte Signaturen“ bezeichnet. Sie bieten höchste Sicherheit.

Die Bundesnetzagentur stellt mit einem eigenen Zertifizierungsdienst akkreditierten ZDAs die für ihre Tätigkeit benötigten Zertifikate aus (§ 16Vorlage:§/Wartung/buzer SigG). Dieser Zertifizierungsdienst stellt in der Zertifizierungshierarchie die Wurzelinstanz (Root CA) dar.

Anerkennung von Prüf- und Bestätigungsstellen[Bearbeiten]

Die Bundesnetzagentur kann Stellen ermächtigen, die Einhaltung der Anforderungen für Zertifizierungsdienste oder für Produkte für qualifizierte elektronische Signaturen zu prüfen und bestätigen (§ 18Vorlage:§/Wartung/buzer SigG und § 16Vorlage:§/Wartung/buzer SigV). Die Stellen müssen dabei ihre Unabhängigkeit, Zuverlässigkeit und Fachkunde nachweisen. Prüf- und Bestätigungsstellen für Produkte müssen insbesondere ausreichende Erfahrung mit den erforderlichen Prüfkriterien besitzen.

Durchführung der Aufsicht[Bearbeiten]

Ein ZDA unterliegt der Aufsicht durch die Bundesnetzagentur (§ 19Vorlage:§/Wartung/buzer, SigG) und muss die Aufnahme seines Geschäftsbetriebs bei dieser anzeigen (§ 4Vorlage:§/Wartung/buzer SigG und § 1Vorlage:§/Wartung/buzer SigV). Dabei muss er ein Sicherheitskonzept vorlegen, in dem er die Erfüllung der Anforderungen aufzeigt (§ 10Vorlage:§/Wartung/buzer, SigG und § 2Vorlage:§/Wartung/buzer SigV). Während des Betriebes wacht die Bundesnetzagentur über die Einhaltung der Vorschriften und darf bei Verstößen den Betrieb vorübergehend oder ganz untersagen. Ebenso kann die Zertifizierungsstelle die Sperrung einzelner oder aller ausgestellten Zertifikate anordnen, wenn es Hinweise dafür gibt, dass ihre Sicherheit nicht mehr gewährleistet ist.

Im Rahmen der Aufsicht kann die Bundesnetzagentur auch eine erteilte Akkreditierung entziehen. In diesem Fall wird das von der Root-CA ausgestellte Zertifikat gesperrt. Die Gültigkeit der vom betroffenen ZDA ausgegebenen Zertifikate bleibt davon jedoch unberührt.

Rechtsfolgen von qualifizierter elektronischen Signaturen[Bearbeiten]

Rechtsfolgen der Verwendung elektronischen qualifizierter Signaturen bestimmt das Signaturgesetz nicht. Dies ist vielmehr der anfänglich stark umstrittenen Konzeption des Gesetzgebers zufolge den Gesetzen vorbehalten, die auch sonst bestimmte Formanforderungen stellen. Zu nennen sind die elektronische Form des Zivilrechts gemäß § 126aVorlage:§/Wartung/buzer BGB, die des öffentlichen Rechts gemäß § 3aVorlage:§/Wartung/buzer VwVfG und die des Prozessrechts, § 130aVorlage:§/Wartung/buzer ZPO. In Deutschland verlangte § 14Vorlage:§/Wartung/buzer UStG bis Mitte 2011 eine qualifizierte elektronische Signatur auf elektronisch übermittelten Rechnungen. Andernfalls war das rechnungserhaltende Unternehmen nicht zum Abzug der Vorsteuer berechtigt. Diese Verpflichtung wurde durch das Steuervereinfachungsgesetz 2011 aufgehoben. Qualifizierte elektronische Signaturen haben den Anschein der Echtheit auf ihrer Seite, § 371aVorlage:§/Wartung/buzer ZPO.

Gesetzgebung[Bearbeiten]

Das Signaturgesetz wurde zunächst 1997 als Teil des Informations- und Kommunikationsdienste-Gesetzes IuKDG erlassen (BGBl. I S. 1870, 1872; FNA: 9020-8). In dieser Fassung sah es ein Genehmigungserfordernis für Zertifizierungsstellen (die heutigen Zertifizierungsdiensteanbieter) vor. Vor der Genehmigung war die Sicherheit der Verfahren und Produkte durch die Behörde zu überprüfen.

Im Jahr 1998 wurden die §§ 11 und 13 des Gesetzes durch das Gesetz zur Änderung des Einführungsgesetzes zur Insolvenzordnung und anderer Gesetze geändert dahingehend, dass es statt „Konkurs- oder Vergleichsverfahren“ nunmehr „Insolvenzverfahren“ hieß (BGBl. I 1998, 8336/3840). Die redaktionelle Änderung war wegen des Inkrafttretens der Insolvenzordnung notwendig geworden, die die vormalige Konkursordnung und Vergleichsordnung ablöste.

Der Erlass der Europäischen Signaturrichtlinie 1999/93/EG machte die grundlegende Überarbeitung des Gesetzes notwendig. Vor allem war sicherzustellen, dass Zertifizierungsdienste auch ohne Genehmigung betrieben werden können. Im Ausgleich sollten sie für auftretende Fehler streng haften. Diese Vorgaben wurde bei Erlass des SigG 2001 berücksichtigt, das am 21. Mai 2001 als Artikel 1 des „Gesetzes über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften“ im BGBl. I S. 876 veröffentlicht wurde und am 22. Mai 2001 in Kraft trat. Die vormals genehmigten Zertifizierungsstellen gelten nunmehr als akkreditierte Anbieter. Die Haftungsregelung findet sich in § 11Vorlage:§/Wartung/buzer SigG.

Im Jahr 2004 wurde das Signaturgesetz geändert. Mit dem 1. SigÄndG [2] wurden Unstimmigkeiten beseitigt. Vor allem aber reagierte der Gesetzgeber mit ihm auf Wünsche der deutschen Banken, die selbst Zertifizierungsdienste anbieten wollen und so auch ihre beweisrechtliche Position im Online-Banking verbessern. Die Bundesregierung erhoffte sich vom Einspringen der Kreditinstitute und der so ermöglichten EC-Karte mit Signierfunktion eine weite Verbreitung der bislang vom Markt kaum akzeptierten zertifikatsbasierten Signaturtechnik. Darüber hinaus wurde im § 2Vorlage:§/Wartung/buzer Nr. 9 SigG klargestellt, dass lediglich für qualifizierte Signaturen ein Zertifikat zwingend erforderlich ist. Dies ermöglicht den Anbietern von biometrischen Unterschriftensystemen die Verwendung der eigenhändigen Unterschrift als Identifikationsmerkmal für fortgeschrittene elektronische Signaturen einzusetzen. Ein zweiter, leicht angepasster Entwurf[3] wurde schließlich Gesetz. Es ist im Bundesgesetzblatt 2005 Teil I S. 2 veröffentlicht und trat am 11. Januar 2005 in Kraft.

Das Signaturgesetz wurde geändert durch das „Elektronischer-Geschäftsverkehr-Vereinheitlichungsgesetz“ vom 26. Februar 2007, in Kraft getreten am 1. März 2007 (BGBl. I 2007 S. 179). Mit dessen Art. 4Vorlage:Art./Wartung/buzer besserte der Gesetzgeber Redaktionsversehen aus, die er mit dem „Zweiten Gesetz zur Neuregelung des Energiewirtschaftsrechts“ (BGBl. I 2005 S. 1970) selbst verursacht hatte.

Zuletzt wurde es geändert durch Art. 4Vorlage:Art./Wartung/buzer des Gesetzes zur Umsetzung der Dienstleistungsrichtlinie im Gewerberecht und in weiteren Rechtsvorschriften vom 17. Juli 2009 (BGBl. I S. 2091). Mit diesem wurde in § 20aVorlage:§/Wartung/buzer SigG das "Verfahren über eine einheitliche Stelle" der §§ 71a ff.Vorlage:§/Wartung/buzer VwVfG für anwendbar erklärt. Vgl. hierzu auch BT-Drs.[4] und [5].

Literatur[Bearbeiten]

  • Susanne Hähnchen: Elektronischer Rechtsverkehr - Ein praktischer Leitfaden. für Rechtsanwälte, Notare, Studierende und andere Interessierte. Books on Demand GmbH, Auflage: Neuaufl. (Februar 2007), ISBN 3-8334-9267-8
  • Kommentierung zum Signaturgesetz und zur Signaturverordnung, in:
  • Skrobotz: „Lex Deutsche Bank“: Das 1. SigÄndG. In: Datenschutz und Datensicherheit (DuD) 2004, S. 410.
  • Jörg Matthias Lenz, Christiane Schmidt: Die elektronische Signatur. Dt. Sparkassen-Verl., Stuttgart 2004, ISBN 3-09-305705-1
  • Florian Kunstein: Die elektronische Signatur als Baustein der elektronischen Verwaltung - Analyse des rechtlichen Rahmens elektronischer Kommunikation im Verwaltungsverfahren unter besonderer Berücksichtigung der Kommunalverwaltung. Tenea-Verlag, Berlin 2005, ISBN 3-86504-123-X, Download als PDF-Dokument

Weblinks[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. Begründung zum Entwurf eines Gesetzes über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften
  2. 15/3417 (PDF; 330 kB)
  3. 15/4172 (PDF; 345 kB)
  4. 16/12784 (PDF; 381 kB)
  5. 16/13399 (PDF; 269 kB)
Rechtshinweis Bitte den Hinweis zu Rechtsthemen beachten!