Signaturgesetz (Deutschland)

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
Basisdaten
Titel: Gesetz über Rahmenbedingungen für elektronische Signaturen
Kurztitel: Signaturgesetz
Abkürzung: SigG
Art: Bundesgesetz
Geltungsbereich: Bundesrepublik Deutschland
Rechtsmaterie: Wirtschaftsverwaltungsrecht
Fundstellennachweis: 9020-12
Ursprüngliche Fassung vom: 22. Juli 1997
(BGBl. I S. 1870, 1872 ff.)
Inkrafttreten am: 1. August 1997
Letzte Neufassung vom: 16. Mai 2001
(BGBl. I S. 876)
Inkrafttreten der
Neufassung am:
22. Mai 2001
Letzte Änderung durch: Art. 4 G vom 17. Juli 2009
(BGBl. I S. 2091, 2095)
Inkrafttreten der
letzten Änderung:
28. Dezember 2009
(Art. 5 Abs. 1 G vom 17. Juli 2009)
Bitte den Hinweis zur geltenden Gesetzesfassung beachten.

Das Signaturgesetz (Gesetz über Rahmenbedingungen für elektronische Signaturen, kurz SigG oder SigG 2001) vom 16. Mai 2001 hat den Zweck, Rahmenbedingungen für elektronische Signaturen zu schaffen. Es löste das Signaturgesetz vom 22. Juli 1997 ab.

Inhalt[Bearbeiten]

Ziel ist es, durch die Nutzung elektronischer Signaturen erhöhte Rechtssicherheit für den internetbasierten Geschäftsverkehr (E-Commerce) sowie elektronische Prozesse der öffentlichen Verwaltung (E-Government) zu erhalten. Das Signaturgesetz und die zugehörige Signaturverordnung (SigV) legen Anforderungen für Zertifizierungsdiensteanbieter (ZDAs), Produkte für elektronische Signaturen, sowie für Prüf- und Bestätigungsstellen, die die Einhaltung bzw. Umsetzung dieser Anforderungen prüfen, fest. Zertifizierungsdienste im Sinne des Signaturgesetzes sind die Ausstellung von qualifizierten Zertifikaten und qualifizierten Zeitstempeln, d. h. das Signaturgesetz regelt ausschließlich die Erbringung dieser Zertifizierungsdienste.

Arten der elektronischen Signatur[Bearbeiten]

Das Signaturgesetz definiert neben der (einfachen) elektronischen Signatur die fortgeschrittene elektronische Signatur, die erhöhten Anforderungen an die Sicherheit genügen muss, und die qualifizierte elektronische Signatur, eine fortgeschrittene elektronische Signatur, die auf einem qualifizierten Zertifikat beruht und mit einer sicheren Signaturerstellungseinheit (SSEE) erstellt wurde.

Anforderungen an qualifizierte Zertifikate und qualifizierte Zeitstempel[Bearbeiten]

Qualifizierte Zertifikate bescheinigen die Zuordnung von Signaturprüfschlüsseln zu einer natürlichen Person und deren Identität (§ 2 (7) SigG). Sie müssen bestimmte Mindestinhalte haben (§ 7 SigG und § 14 SigV). Insbesondere müssen sie den Signaturschlüsselinhaber unverwechselbar kennzeichnen; die Verwendung von Pseudonymen ist dabei ausdrücklich zugelassen. Weiterhin müssen sie den Namen und das Land des Ausstellers, den bescheinigten Signaturprüfschlüssel und die Algorithmen, mit denen er verwendet werden kann, eine definierte Gültigkeitsdauer, eine Seriennummer, eine Kennzeichnung als qualifiziertes Zertifikat und ggf. Nutzungsbeschränkungen des bescheinigten Signaturschlüssels enthalten. Qualifizierte Zertifikate müssen mit einer qualifizierten elektronischen Signatur versehen sein. Die Gültigkeitsdauer eines qualifizierten Zertifikates darf höchstens fünf Jahre betragen (§ 14 (3) SigV).

Zusätzliche Attribute zu einem Inhaber eines qualifizierten Zertifikates, z. B. über eine Vertretungsmacht, einen Berufsstand oder sonstige Angaben können entweder in das Zertifikat selbst, oder in ein qualifiziertes Attributzertifikat, das auf dieses verweist, aufgenommen werden. Die Gültigkeit eines qualifizierten Attribut-Zertifikates endet mit der Gültigkeit des qualifizierten Zertifikates, auf das es Bezug nimmt (§ 14 (3) SigV).

Qualifizierte Zeitstempel bescheinigen, dass bestimmte Daten zu einem angegebenem Zeitpunkt vorgelegen haben. Die für ihre Ausstellung eingesetzten technischen Komponenten müssen sicherstellen, dass in den Zeitstempel die zum Zeitpunkt der Erzeugung gültige gesetzliche Zeit unverfälscht aufgenommen wird (§ 15 (3) SigV), und dass Fälschungen und Verfälschungen ausgeschlossen sind (§ 17 (3) Nr. 1 SigG). Qualifizierte Zeitstempel müssen nicht zwingend mit einer elektronischen Signatur versehen sein.[1]

Anforderungen an Zertifizierungsdienste und deren Anbieter[Bearbeiten]

Ein ZDA, d. h. ein Anbieter von qualifizierten Zertifikaten oder qualifizierten Zeitstempeln, muss die folgenden Anforderungen erfüllen:

  1. Er muss Antragsteller (d. h. die Zertifikatsinhaber) zuverlässig identifizieren (§ 5 (1) SigG und § 3 (1) SigV) und sicherstellen, dass dieser die zugehörige SSEE besitzt, bzw. die SSEE und deren Aktivierungsdaten persönlich übergeben (§ 5 (2) SigV). Falls zusätzliche Angaben im qualifizierten Zertifikat oder in einem qualifizierten Attributzertifikat aufgenommen werden sollen, muss er diese zuverlässig überprüfen (§ 3 (2) SigV).
  2. Er muss die Zertifikatsinhaber über Maßnahmen für die Sicherheit von qualifizierten elektronischen Signaturen und zu deren zuverlässigen Prüfung, sowie über ihre Rechtswirksamkeit unterrichten (§ 6 SigG und § 6 SigV).
  3. Ausgestellte Zertifikate müssen jederzeit und bis 5 Jahre nach Ablauf ihrer Gültigkeit über ein öffentliches Verzeichnis nachprüfbar und – sofern der Inhaber dem zustimmt – abrufbar gehalten werden (§ 5 SigG und § 4 (1) SigV).
  4. Er muss Vorkehrungen treffen, damit die qualifizierten Zertifikate nicht ge- oder verfälscht werden können (§ 5 (4) SigG).
  5. Die Zertifikate sind auf Verlangen des Inhabers oder einer anderen zur Sperrung berechtigten Person unverzüglich zu sperren (§ 8 SigG). Dabei muss er sich von der Identität und Berechtigung dieser Person überzeugen (§ 7 SigV). Für Fehler besteht eine Verschuldenshaftung mit Beweislastumkehr (§ 11 SigG).
  6. Er muss die Ausstellung von qualifizierten Zertifikaten und qualifizierten Zeitstempeln in vorgegebenem Umfang dokumentieren (§ 8 SigV).
  7. Er muss die Bestimmungen zum Datenschutz einhalten.
  8. Das eingesetzte Personal muss die erforderliche Fachkunde und Zuverlässigkeit besitzen.
  9. Die für den Zertifizierungsdienst eingesetzten Produkte für qualifizierte elektronische Signaturen müssen die in § 17 SigG und § 15 SigV festgelegten Sicherheitseigenschaften besitzen. Diese Produkte umfassen neben sicheren Signaturerstellungseinheiten und Signaturanwendungskomponenten auch die Komponenten zur Erzeugung und Übertragung von Signaturschlüsseln (Schlüsselgenerator), Gewährleistung der Nachprüfbarkeit der Zertifikate (Auskunftsdienst) und der Ausstellung von qualifizierten Zeitstempeln. Die Erfüllung der Anforderungen muss von einer anerkannten Stelle nach in Angang I SigV festgelegten Prüfkriterien ITSEC oder Common Criteria geprüft und bestätigt worden sein.

Der ZDA haftet für Schäden, die durch Verletzung seiner Pflichten entstehen (§ 11 SigG), und muss dafür eine festgelegte Deckungsvorsorge vorweisen (§ 12 SigG und § 9 SigV).

Vor einer Einstellung seiner Zertifizierungssdienste muss der ZDA rechtzeitig die Bundesnetzagentur benachrichtigen und bis zum Ablauf der ausgestellten Zertifikate für die Weiterführung der Sperr- und Auskunftsdienste sorgen (§ 13 SigG und § 10 SigV). Im Zweifelsfall muss die Bundesnetzagentur diese Dienste übernehmen.

Freiwillige Akkreditierung[Bearbeiten]

ZDAs können sich bei der Bundesnetzagentur akkreditieren lassen (§ 15 SigG und § 11 SigV). Hierfür müssen sie die Umsetzung der Anforderungen des Gesetzes mittels einer Prüfung und Bestätigung durch eine anerkannte Stelle nachweisen. Zusätzlich müssen sie die von ihnen ausgestellten Zertifikate für mindestens dreißig Jahre nachprüfbar halten (§ 4 (2) SigV). Signaturen, die auf von akkreditierten Anbietern ausgestellten qualifizierten Zertifikaten beruhen, werden in der Literatur als „akkreditierte Signaturen“ bezeichnet. Sie bieten höchste Sicherheit.

Die Bundesnetzagentur stellt mit einem eigenen Zertifizierungsdienst akkreditierten ZDAs die für ihre Tätigkeit benötigten Zertifikate aus (§ 16 SigG). Dieser Zertifizierungsdienst stellt in der Zertifizierungshierarchie die Wurzelinstanz (Root CA) dar.

Anerkennung von Prüf- und Bestätigungsstellen[Bearbeiten]

Die Bundesnetzagentur kann Stellen ermächtigen, die Einhaltung der Anforderungen für Zertifizierungsdienste oder für Produkte für qualifizierte elektronische Signaturen zu prüfen und bestätigen (§ 18 SigG und § 16 SigV). Die Stellen müssen dabei ihre Unabhängigkeit, Zuverlässigkeit und Fachkunde nachweisen. Prüf- und Bestätigungsstellen für Produkte müssen insbesondere ausreichende Erfahrung mit den erforderlichen Prüfkriterien besitzen.

Durchführung der Aufsicht[Bearbeiten]

Ein ZDA unterliegt der Aufsicht durch die Bundesnetzagentur (§ 19, SigG) und muss die Aufnahme seines Geschäftsbetriebs bei dieser anzeigen (§ 4, SigG und § 1 SigV). Dabei muss er ein Sicherheitskonzept vorlegen, in dem er die Erfüllung der Anforderungen aufzeigt (§ 10, SigG und § 2 SigV). Während des Betriebes wacht die Bundesnetzagentur über die Einhaltung der Vorschriften und darf bei Verstößen den Betrieb vorübergehend oder ganz untersagen. Ebenso kann die Zertifizierungsstelle die Sperrung einzelner oder aller ausgestellten Zertifikate anordnen, wenn es Hinweise dafür gibt, dass ihre Sicherheit nicht mehr gewährleistet ist.

Im Rahmen der Aufsicht kann die Bundesnetzagentur auch eine erteilte Akkreditierung entziehen. In diesem Fall wird das von der Root-CA ausgestellte Zertifikat gesperrt. Die Gültigkeit der vom betroffenen ZDA ausgegebenen Zertifikate bleibt davon jedoch unberührt.

Rechtsfolgen von qualifizierter elektronischen Signaturen[Bearbeiten]

Rechtsfolgen der Verwendung elektronischen qualifizierter Signaturen bestimmt das Signaturgesetz nicht. Dies ist vielmehr der anfänglich stark umstrittenen Konzeption des Gesetzgebers zufolge den Gesetzen vorbehalten, die auch sonst bestimmte Formanforderungen stellen. Zu nennen sind die elektronische Form des Zivilrechts gemäß § 126a BGB, die des öffentlichen Rechts gemäß § 3a VwVfG und die des Prozessrechts, § 130a ZPO. Ferner ist es Unternehmen unter bestimmten Bedingungen gestattet, Vorsteuerabzug auf elektronisch signierten Rechnungen geltend zu machen, § 14 Abs.4 UStG. Qualifizierte elektronische Signaturen haben den Anschein der Echtheit auf ihrer Seite, § 371a ZPO.

Gesetzgebung[Bearbeiten]

Das Signaturgesetz wurde zunächst 1997 als Teil des Informations- und Kommunikationsdienste-Gesetzes IuKDG erlassen (BGBl. I S. 1870, 1872; FNA: 9020-8). In dieser Fassung sah es ein Genehmigungserfordernis für Zertifizierungsstellen (die heutigen Zertifizierungsdiensteanbieter) vor. Vor der Genehmigung war die Sicherheit der Verfahren und Produkte durch die Behörde zu überprüfen.

Im Jahr 1998 wurden die §§ 11 und 13 des Gesetzes durch das Gesetz zur Änderung des Einführungsgesetzes zur Insolvenzordnung und anderer Gesetze geändert dahingehend, dass es statt „Konkurs- oder Vergleichsverfahren“ nunmehr „Insolvenzverfahren“ hieß (BGBl. I 1998, 8336/3840). Die redaktionelle Änderung war wegen des Inkrafttretens der Insolvenzordnung notwendig geworden, die die vormalige Konkursordnung und Vergleichsordnung ablöste.

Der Erlass der Europäischen Signaturrichtlinie 1999/93/EG machte die grundlegende Überarbeitung des Gesetzes notwendig. Vor allem war sicherzustellen, dass Zertifizierungsdienste auch ohne Genehmigung betrieben werden können. Im Ausgleich sollten sie für auftretende Fehler streng haften. Diese Vorgaben wurde bei Erlass des SigG 2001 berücksichtigt, das am 21. Mai 2001 als Artikel 1 des „Gesetzes über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften“ im BGBl. I S. 876 veröffentlicht wurde und am 22. Mai 2001 in Kraft trat. Die vormals genehmigten Zertifizierungsstellen gelten nunmehr als akkreditierte Anbieter. Die Haftungsregelung findet sich in § 11.

Im Jahr 2004 wurde das Signaturgesetz geändert. Mit dem 1. SigÄndG [2] wurden Unstimmigkeiten beseitigt. Vor allem aber reagierte der Gesetzgeber mit ihm auf Wünsche der deutschen Banken, die selbst Zertifizierungsdienste anbieten wollen und so auch ihre beweisrechtliche Position im Online-Banking verbessern. Die Bundesregierung erhoffte sich vom Einspringen der Kreditinstitute und der so ermöglichten EC-Karte mit Signierfunktion eine weite Verbreitung der bislang vom Markt kaum akzeptierten zertifikatsbasierten Signaturtechnik. Darüber hinaus wurde im § 2, Nr. 9 klargestellt, dass lediglich für qualifizierte Signaturen ein Zertifikat zwingend erforderlich ist. Dies ermöglicht den Anbietern von biometrischen Unterschriftensystemen die Verwendung der eigenhändigen Unterschrift als Identifikationsmerkmal für fortgeschrittene elektronische Signaturen einzusetzen. Ein zweiter, leicht angepasster Entwurf[3] wurde schließlich Gesetz. Es ist im Bundesgesetzblatt 2005 Teil I, S. 2 veröffentlicht und trat am 11. Januar 2005 in Kraft.

Das Signaturgesetz wurde geändert durch das „Elektronischer-Geschäftsverkehr-Vereinheitlichungsgesetz“ vom 26. Februar 2007, in Kraft getreten am 1. März 2007 (BGBl. I 2007, 179/185). Mit dessen Artikel 4 besserte der Gesetzgeber Redaktionsversehen aus, die er mit dem „Zweiten Gesetz zur Neuregelung des Energiewirtschaftsrechts“ (BGBl. I 2005, 1970) selbst verursacht hatte.

Zuletzt wurde es geändert durch Artikel 4 des Gesetzes zur Umsetzung der Dienstleistungsrichtlinie im Gewerberecht und in weiteren Rechtsvorschrift vom 17. Juli 2009 (BGBl. I 2009, 2091/2095). Mit diesem wurde in § 20a das "Verfahren über eine einheitliche Stelle" der §§ 71a ff. VwVfG für anwendbar erklärt. Vgl. hierzu auch BT-Drs.[4] und [5].

Literatur[Bearbeiten]

  • Susanne Hähnchen: Elektronischer Rechtsverkehr - Ein praktischer Leitfaden. für Rechtsanwälte, Notare, Studierende und andere Interessierte. Books on Demand GmbH, Auflage: Neuaufl. (Februar 2007), ISBN 3-8334-9267-8
  • Kommentierung zum Signaturgesetz und zur Signaturverordnung, in:
  • Skrobotz: „Lex Deutsche Bank“: Das 1. SigÄndG. In: Datenschutz und Datensicherheit (DuD) 2004, S. 410.
  • Jörg Matthias Lenz, Christiane Schmidt: Die elektronische Signatur. Dt. Sparkassen-Verl., Stuttgart 2004, ISBN 3-09-305705-1
  • Florian Kunstein: Die elektronische Signatur als Baustein der elektronischen Verwaltung - Analyse des rechtlichen Rahmens elektronischer Kommunikation im Verwaltungsverfahren unter besonderer Berücksichtigung der Kommunalverwaltung. Tenea-Verlag, Berlin 2005, ISBN 3-86504-123-X, Download als PDF-Dokument

Weblinks[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. Begründung zum Entwurf eines Gesetzes über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften
  2. 15/3417 (PDF; 330 kB)
  3. 15/4172 (PDF; 345 kB)
  4. 16/12784 (PDF; 381 kB)
  5. 16/13399 (PDF; 269 kB)
Rechtshinweis Bitte den Hinweis zu Rechtsthemen beachten!