Signaturgesetz (Deutschland)

Das Signaturgesetz (Gesetz über Rahmenbedingungen für elektronische Signaturen, kurz SigG) hatte den Zweck, Rahmenbedingungen für elektronische Signaturen zu schaffen. Es wurde am 1. Juli 2016 weitgehend durch die Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eIDAS-Verordnung) verdrängt, trat am 29. Juli 2017 außer Kraft und wurde durch das Vertrauensdienstegesetz (VDG) abgelöst.

Inhalt

Ziel war es, durch die Nutzung elektronischer Signaturen erhöhte Rechtssicherheit für den internetbasierten Geschäftsverkehr (E-Commerce) sowie elektronische Prozesse der öffentlichen Verwaltung (E-Government) zu erhalten. Das Signaturgesetz und die zugehörige Signaturverordnung (SigV) legten Anforderungen für Zertifizierungsdiensteanbieter (ZDAs), Produkte für elektronische Signaturen, sowie für Prüf- und Bestätigungsstellen, die die Einhaltung bzw. Umsetzung dieser Anforderungen prüfen, fest. Zertifizierungsdienste im Sinne des Signaturgesetzes sind die Ausstellung von qualifizierten Zertifikaten und qualifizierten Zeitstempeln, d. h. das Signaturgesetz regelte ausschließlich die Erbringung dieser Zertifizierungsdienste.

Arten der elektronischen Signatur

Das Signaturgesetz definierte neben der (einfachen) elektronischen Signatur die fortgeschrittene elektronische Signatur, die erhöhten Anforderungen an die Sicherheit genügen muss, und die qualifizierte elektronische Signatur, eine fortgeschrittene elektronische Signatur, die auf einem qualifizierten Zertifikat beruht und mit einer sicheren Signaturerstellungseinheit (SSEE) erstellt wurde.

Anforderungen an qualifizierte Zertifikate und qualifizierte Zeitstempel

Qualifizierte Zertifikate bescheinigen die Zuordnung von Signaturprüfschlüsseln zu einer natürlichen Person und deren Identität (§ 2 Abs. 7 SigG). Sie müssen bestimmte Mindestinhalte haben (§ 7 SigG und § 14 SigV). Insbesondere müssen sie den Signaturschlüsselinhaber unverwechselbar kennzeichnen; die Verwendung von Pseudonymen ist dabei ausdrücklich zugelassen. Weiterhin müssen sie den Namen und das Land des Ausstellers, den bescheinigten Signaturprüfschlüssel und die Algorithmen, mit denen er verwendet werden kann, eine definierte Gültigkeitsdauer, eine Seriennummer, eine Kennzeichnung als qualifiziertes Zertifikat und ggf. Nutzungsbeschränkungen des bescheinigten Signaturschlüssels enthalten. Qualifizierte Zertifikate müssen mit einer qualifizierten elektronischen Signatur versehen sein. Die Gültigkeitsdauer eines qualifizierten Zertifikates darf höchstens zehn Jahre betragen (§ 14 Abs. 3 SigV).

Zusätzliche Attribute zu einem Inhaber eines qualifizierten Zertifikates, z. B. über eine Vertretungsmacht, einen Berufsstand oder sonstige Angaben können entweder in das Zertifikat selbst, oder in ein qualifiziertes Attributzertifikat, das auf dieses verweist, aufgenommen werden. Die Gültigkeit eines qualifizierten Attribut-Zertifikates endet mit der Gültigkeit des qualifizierten Zertifikates, auf das es Bezug nimmt (§ 14 Abs. 3 SigV).

Qualifizierte Zeitstempel bescheinigen, dass bestimmte Daten zu einem angegebenen Zeitpunkt vorgelegen haben. Die für ihre Ausstellung eingesetzten technischen Komponenten müssen sicherstellen, dass in den Zeitstempel die zum Zeitpunkt der Erzeugung gültige gesetzliche Zeit unverfälscht aufgenommen wird (§ 15 Abs. 3 SigV), und dass Fälschungen und Verfälschungen ausgeschlossen sind (§ 17 Abs. 3 Nr. 1 SigG). Qualifizierte Zeitstempel müssen nicht zwingend mit einer elektronischen Signatur versehen sein.^[1]

Anforderungen an Zertifizierungsdienste und deren Anbieter

Ein ZDA, d. h. ein Anbieter von qualifizierten Zertifikaten oder qualifizierten Zeitstempeln, muss die folgenden Anforderungen erfüllen:

1. Er muss Antragsteller (d. h. die Zertifikatsinhaber) zuverlässig identifizieren (§ 5 Abs. 1 SigG und § 3 Abs. 1 SigV) und sicherstellen, dass dieser die zugehörige SSEE besitzt, bzw. die SSEE und deren Aktivierungsdaten persönlich übergeben (§ 5 Abs. 2 SigV). Falls zusätzliche Angaben im qualifizierten Zertifikat oder in einem qualifizierten Attributzertifikat aufgenommen werden sollen, muss er diese zuverlässig überprüfen (§ 3 Abs. 2 SigV).
2. Er muss die Zertifikatsinhaber über Maßnahmen für die Sicherheit von qualifizierten elektronischen Signaturen und zu deren zuverlässigen Prüfung, sowie über ihre Rechtswirksamkeit unterrichten (§ 6 SigG und § 6 SigV).
3. Ausgestellte Zertifikate müssen jederzeit und bis 5 Jahre nach Ablauf ihrer Gültigkeit über ein öffentliches Verzeichnis nachprüfbar und – sofern der Inhaber dem zustimmt – abrufbar gehalten werden (§ 5 SigG und § 4 Abs. 1 SigV).
4. Er muss Vorkehrungen treffen, damit die qualifizierten Zertifikate nicht ge- oder verfälscht werden können (§ 5 Abs. 4 SigG).
5. Die Zertifikate sind auf Verlangen des Inhabers oder einer anderen zur Sperrung berechtigten Person unverzüglich zu sperren (§ 8 SigG). Dabei muss er sich von der Identität und Berechtigung dieser Person überzeugen (§ 7 SigV). Für Fehler besteht eine Verschuldenshaftung mit Beweislastumkehr (§ 11 SigG).
6. Er muss die Ausstellung von qualifizierten Zertifikaten und qualifizierten Zeitstempeln in vorgegebenem Umfang dokumentieren (§ 8 SigV).
7. Er muss die Bestimmungen zum Datenschutz einhalten.
8. Das eingesetzte Personal muss die erforderliche Fachkunde und Zuverlässigkeit besitzen.
9. Die für den Zertifizierungsdienst eingesetzten Produkte für qualifizierte elektronische Signaturen müssen die in § 17 SigG und § 15 SigV festgelegten Sicherheitseigenschaften besitzen. Diese Produkte umfassen neben sicheren Signaturerstellungseinheiten und Signaturanwendungskomponenten auch die Komponenten zur Erzeugung und Übertragung von Signaturschlüsseln (Schlüsselgenerator), Gewährleistung der Nachprüfbarkeit der Zertifikate (Auskunftsdienst) und der Ausstellung von qualifizierten Zeitstempeln. Die Erfüllung der Anforderungen muss von einer anerkannten Stelle nach in Anlage 1 SigV festgelegten Prüfkriterien ITSEC oder Common Criteria geprüft und bestätigt worden sein.

Der ZDA haftet für Schäden, die durch Verletzung seiner Pflichten entstehen (§ 11 SigG), und muss dafür eine festgelegte Deckungsvorsorge vorweisen (§ 12 SigG und § 9 SigV).

Vor einer Einstellung seiner Zertifizierungsdienste muss der ZDA rechtzeitig die Bundesnetzagentur benachrichtigen und bis zum Ablauf der ausgestellten Zertifikate für die Weiterführung der Sperr- und Auskunftsdienste sorgen (§ 13 SigG und § 10 SigV). Im Zweifelsfall muss die Bundesnetzagentur diese Dienste übernehmen.

Freiwillige Akkreditierung

ZDAs können sich bei der Bundesnetzagentur akkreditieren lassen (§ 15 SigG und § 11 SigV). Hierfür müssen sie die Umsetzung der Anforderungen des Gesetzes mittels einer Prüfung und Bestätigung durch eine anerkannte Stelle nachweisen. Zusätzlich müssen sie die von ihnen ausgestellten Zertifikate für mindestens dreißig Jahre nachprüfbar halten (§ 4 Abs. 2 SigV). Signaturen, die auf von akkreditierten Anbietern ausgestellten qualifizierten Zertifikaten beruhen, werden in der Literatur als „akkreditierte Signaturen“ bezeichnet. Sie bieten höchste Sicherheit.

Die Bundesnetzagentur stellt mit einem eigenen Zertifizierungsdienst akkreditierten ZDAs die für ihre Tätigkeit benötigten Zertifikate aus (§ 16 SigG). Dieser Zertifizierungsdienst stellt in der Zertifizierungshierarchie die Wurzelinstanz (Root CA) dar.

Anerkennung von Prüf- und Bestätigungsstellen

Die Bundesnetzagentur kann Stellen ermächtigen, die Einhaltung der Anforderungen für Zertifizierungsdienste oder für Produkte für qualifizierte elektronische Signaturen zu prüfen und bestätigen (§ 18 SigG und § 16 SigV). Die Stellen müssen dabei ihre Unabhängigkeit, Zuverlässigkeit und Fachkunde nachweisen. Prüf- und Bestätigungsstellen für Produkte müssen insbesondere ausreichende Erfahrung mit den erforderlichen Prüfkriterien besitzen.

Durchführung der Aufsicht

Ein ZDA unterliegt der Aufsicht durch die Bundesnetzagentur (§ 19, SigG) und muss die Aufnahme seines Geschäftsbetriebs bei dieser anzeigen (§ 4 SigG und § 1 SigV). Dabei muss er ein Sicherheitskonzept vorlegen, in dem er die Erfüllung der Anforderungen aufzeigt (§ 10, SigG und § 2 SigV). Während des Betriebes wacht die Bundesnetzagentur über die Einhaltung der Vorschriften und darf bei Verstößen den Betrieb vorübergehend oder ganz untersagen. Ebenso kann die Zertifizierungsstelle die Sperrung einzelner oder aller ausgestellten Zertifikate anordnen, wenn es Hinweise dafür gibt, dass ihre Sicherheit nicht mehr gewährleistet ist.

Im Rahmen der Aufsicht kann die Bundesnetzagentur auch eine erteilte Akkreditierung entziehen. In diesem Fall wird das von der Root-CA ausgestellte Zertifikat gesperrt. Die Gültigkeit der vom betroffenen ZDA ausgegebenen Zertifikate bleibt davon jedoch unberührt.

Rechtsfolgen qualifizierter elektronischer Signaturen

Rechtsfolgen der Verwendung elektronischer qualifizierter Signaturen bestimmt das Signaturgesetz nicht. Dies ist vielmehr der anfänglich stark umstrittenen Konzeption des Gesetzgebers zufolge den Gesetzen vorbehalten, die auch sonst bestimmte Formanforderungen stellen. Zu nennen sind die elektronische Form des Zivilrechts gemäß § 126a BGB, die des öffentlichen Rechts gemäß § 3a VwVfG und die des Prozessrechts (§ 130a ZPO). In Deutschland verlangte § 14 UStG bis Mitte 2011 eine qualifizierte elektronische Signatur auf elektronisch übermittelten Rechnungen. Andernfalls war das rechnungserhaltende Unternehmen nicht zum Abzug der Vorsteuer berechtigt. Diese Verpflichtung wurde durch das Steuervereinfachungsgesetz 2011 aufgehoben. Qualifizierte elektronische Signaturen haben den Anschein der Echtheit auf ihrer Seite, § 371a ZPO.

Gesetzgebung

Das Signaturgesetz wurde zunächst 1997 als Teil des Informations- und Kommunikationsdienste-Gesetzes IuKDG erlassen (BGBl. I S. 1870, 1872; FNA: 9020-8). In dieser Fassung sah es ein Genehmigungserfordernis für Zertifizierungsstellen (die heutigen Zertifizierungsdiensteanbieter) vor. Vor der Genehmigung war die Sicherheit der Verfahren und Produkte durch die Behörde zu überprüfen.

Im Jahr 1998 wurden die §§ 11 und 13 des Gesetzes durch das Gesetz zur Änderung des Einführungsgesetzes zur Insolvenzordnung und anderer Gesetze geändert dahingehend, dass es statt „Konkurs- oder Vergleichsverfahren“ nunmehr „Insolvenzverfahren“ hieß (BGBl. I S. 3836, 3840). Die redaktionelle Änderung war wegen des Inkrafttretens der Insolvenzordnung notwendig geworden, die die vormalige Konkursordnung und Vergleichsordnung ablöste.

Der Erlass der Europäischen Signaturrichtlinie 1999/93/EG^[2] machte die grundlegende Überarbeitung des Gesetzes notwendig. Vor allem war sicherzustellen, dass Zertifizierungsdienste auch ohne Genehmigung betrieben werden können. Im Ausgleich sollten sie für auftretende Fehler streng haften. Diese Vorgaben wurde bei Erlass des SigG 2001 berücksichtigt, das am 21. Mai 2001 als Artikel 1 des „Gesetzes über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften“ veröffentlicht wurde (BGBl. I S. 876) und am 22. Mai 2001 in Kraft trat. Die vormals genehmigten Zertifizierungsstellen gelten nunmehr als akkreditierte Anbieter. Die Haftungsregelung findet sich in § 11 SigG.

Im Jahr 2004 wurde das Signaturgesetz geändert. Mit dem 1. SigÄndG^[3] wurden Unstimmigkeiten beseitigt. Vor allem aber reagierte der Gesetzgeber mit ihm auf Wünsche des Deutschen Bankwesens, die selbst Zertifizierungsdienste anbieten wollen und so auch ihre beweisrechtliche Position im Online-Banking verbessern. Die Bundesregierung erhoffte sich vom Einspringen der Kreditinstitute und der so ermöglichten EC-Karte mit Signierfunktion eine weite Verbreitung der bislang vom Markt kaum akzeptierten zertifikatsbasierten Signaturtechnik. Darüber hinaus wurde im § 2 Nr. 9 SigG klargestellt, dass lediglich für qualifizierte Signaturen ein Zertifikat zwingend erforderlich ist. Dies ermöglicht den Anbietern von biometrischen Unterschriftensystemen die Verwendung der eigenhändigen Unterschrift als Identifikationsmerkmal für fortgeschrittene elektronische Signaturen einzusetzen. Ein zweiter, leicht angepasster Entwurf^[4] wurde schließlich Gesetz. Es ist im Bundesgesetzblatt 2005 Teil I S. 2 veröffentlicht und trat am 11. Januar 2005 in Kraft.

Das Signaturgesetz wurde geändert durch das „Elektronischer-Geschäftsverkehr-Vereinheitlichungsgesetz“ vom 26. Februar 2007, in Kraft getreten am 1. März 2007 (BGBl. I S. 179). Mit dessen Art. 4 besserte der Gesetzgeber Redaktionsversehen aus, die er mit dem „Zweiten Gesetz zur Neuregelung des Energiewirtschaftsrechts“ (BGBl. 2005 I S. 1970) selbst verursacht hatte.

Sodann wurde es geändert durch Art. 4 des Gesetzes zur Umsetzung der Dienstleistungsrichtlinie im Gewerberecht und in weiteren Rechtsvorschriften vom 17. Juli 2009 (BGBl. I S. 2091). Mit diesem wurde in § 20a SigG das „Verfahren über eine einheitliche Stelle“ der §§ 71a ff. VwVfG für anwendbar erklärt.^[5]

Literatur

• Jörg Matthias Lenz, Christiane Schmidt: Die elektronische Signatur. Dt. Sparkassen-Verlag, Stuttgart 2004, ISBN 3-09-305705-1.
• Jan Skrobotz: „Lex Deutsche Bank“. Das 1. SigÄndG. In: Datenschutz und Datensicherheit (DuD). Band 28, Nr. 7, 2004, S. 410. 
• Kommentierung zum Signaturgesetz und zur Signaturverordnung:
  • Gerrit Manssen (Hrsg.): Telekommunikations- und Multimediarecht. Erich Schmidt, Berlin, ISBN 3-503-04817-0.
  • Alexander Roßnagel (Hrsg.): Recht der Multimedia-Dienste. C.H.Beck, München, ISBN 3-406-44463-6.
  • Gerald Spindler, Peter Schmitz, Ivo Geis (Hrsg.): TDG. C.H.Beck, München 2004, ISBN 978-3-406-49548-9.
• Olga Grigorjew: Beweiseignung fortgeschrittener elektronischer Signaturen. Kassel 2015, ISBN 978-3-86219-960-0.

Weblinks

• Text des Signaturgesetzes
• Infos zum Signaturrecht in Deutschland mit zahlreichen Links auf der Web-Site von OpenLimit

Einzelnachweise

1. ↑ Begründung zum Entwurf eines Gesetzes über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften (Memento vom 14. Juli 2007 im Internet Archive)
2. ↑ Richtlinie 99/93/EG
3. ↑ BT-Drs. 15/3417
4. ↑ BT-Drs. 15/4172
5. ↑ Hierzu auch BT-Drs. 16/12784 und BT-Drs. 16/13399.

Bitte den Hinweis zu Rechtsthemen beachten!