Signaturgesetz und Signaturverordnung Dr. Christoph Brenn Vorlesung SS 2007

Transkript

1 Signaturgesetz und Signaturverordnung Dr. Christoph Brenn Vorlesung SS Grundlagen: Das Signaturgesetz, das auf der gemeinschaftsrechtlichen Signaturrichtlinie (Richtlinie 99/93/EG vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen, ABl. L 13 vom , S. 12) basiert, wurde am vom Nationalrat einstimmig beschlossen und am im Bundesgesetzblatt (BGBl. I Nr. 190/1999) kundgemacht. Österreich hat damit als erster Mitgliedstaat der Europäischen Union die Richtlinie über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen umgesetzt. Das Signaturgesetz ist am in Kraft getreten. Am wurde die Signaturverordnung kundgemacht (BGBl. II Nr. 30/2000), mit der insbesondere die technischen Sicherheitsanforderungen für sichere elektronische Signaturen sowie die technischen, organisatorischen und personellen Anforderungen an Zertifizierungsdiensteanbieter, die qualifizierte Zertifikate ausstellen, konkretisiert werden. Die besonderen Rechtswirkungen einer sicheren elektronischen Signatur wurden auf Grund des E-Commerce-Gesetzes (BGBl I Nr 152/2001; in Kraft seit ) sowie durch das Berufsrechtsänderungs-Gesetz für Notare, Rechtsanwälte und Ziviltechniker 2006 (BGBl I Nr 164/2005; in Kraft seit ) erweitert. Durch BGBl II Nr 527/2004 (in Kraft seit ) erfolgte eine Novelle zur Signaturverordnung. 2. Vertrauen und Sicherheit: Eine unerläßliche Voraussetzung für den Einsatz und den weiteren Erfolg elektronischer Medien im Rechts- und Geschäftsverkehrs über offene Netzwerke bildet das Vertrauen der beteiligten Akteure, also der Anbieter und Kunden ebenso wie der öffentlichen Hand und ihrer Ansprechpartner, in die elektronischen Informations-, Kommunikations- und Lieferkanäle. Sie müssen die neuen Dienste letztlich auch in rechtlicher Hinsicht - vertrauensvoll in Anspruch nehmen können. Grundlage dieses Vertrauens in die elektronischen Netze und Instrumente ist zunächst die Sicherstellung der Identität der an den Kommunikationsabläufen bzw den rechtlichen und wirtschaftlichen Transaktionen beteiligten Kommunikations- oder Geschäftspartner. Die neuen elektronischen Medien können ihre Vorteile in vielen, zum Teil außerordentlich sensiblen Bereichen erst dann voll entfalten, wenn die Anwender die Möglichkeit haben, sich über die Identität ihres Gegenübers verläßlich und rasch zu informieren. Weiters müssen sie sich darauf verlassen können, daß die elektronischen Daten auf dem Weg von und zu ihnen nicht unerkannt verändert und verfälscht werden. Die vollwertige Entwicklung insbesondere des elektronischen Geschäftsverkehrs erfordert darüber hinaus die rechtliche Anerkennung elektronischer Erklärungen. Die

2 2 rechtlichen Wirkungen elektronischer Signaturen müssen daher verläßlich festgestellt werden können. Schließlich muß die gegenseitige, also grenzüberschreitende Anerkennung der Signaturverfahren sichergestellt sein, was deren technische Interoperabilität voraussetzt. Das Signaturgesetz schafft die notwendige technische und rechtliche Sicherheit für die elektronische Kommunikation und ist Voraussetzung für die Entwicklung des elektronischen Rechts- und Geschäftsverkehrs. 3. Elektronische und digitale Signaturen: Geeignete Technologien zur Gewährleistung der Authentizität (Echtheit) und der Integrität (Unverfälschtheit) elektronischer Daten stehen mit den elektronischen Signaturen zur Verfügung. Die praktisch derzeit wichtigste Technologie ist die digitale Signatur. Sie beruht - vereinfacht gesagt - auf der Verschlüsselung einer für den Dokumenteninhalt repräsentativen Datenkombination. Dem Anwender werden von einer neutralen Einrichtung, der Zertifizierungsstelle, zwei entsprechende Datensätze, zwei "Schlüssel", zugeordnet. Dieses Schlüsselpaar besteht aus einem privaten und einem dazu passenden öffentlichen Signaturschlüssel. Der private Schlüssel ist geheim und nicht einmal dem Anwender bekannt. Der öffentliche Schlüssel wird frei zugänglich gemacht, er dient der Überprüfung der elektronischen Signatur. Mit Hilfe mathematischer Verfahren wird auf dem Dokument ein unverfälschbarer "elektronischer Fingerabdruck" erzeugt, der mit dem auf einer Chipkarte gespeicherten privaten Schlüssel kodiert wird. Dem Empfänger wird das Dokument und die Signatur übermittelt. Die Identität des Anwenders wird durch das Zertifikat einer Zertifizierungsstelle bescheinigt. Der Empfänger kann mit dem durch das Zertifikat dem Absender zugeordneten öffentlichen Schlüssel die Signatur wieder entschlüsseln. Das Zertifikat kann entweder der Signatur angefügt sein oder elektronisch über ein Verzeichnis abgerufen werden. Stimmen die vom Empfänger ermittelten Werte mit dem "elektronischen Fingerabdruck" überein, so liegt ein positives Prüfergebnis vor (siehe dazu die nähere Beschreibung digitaler Signaturen). Der Einsatz der digitalen Signatur und anderer Technologien wirft nun eine Reihe heikler Fragen auf, angefangen von der Zulässigkeit solcher Instrumente im Rechtsverkehr bis hin zur gegenseitigen Anerkennung von rechtlichen Regelungen. 4. Richtlinie über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen: Auf gemeinschaftsrechtlicher Ebene sind derzeit eine Reihe von Initiativen im Gang, die die Informations- und Kommunikationsdienste für die Wirtschaft nutzbar machen und die Weichen für die vollwertige Entwicklung des elektronischen Geschäftsverkehrs stellen sollen. Ein Hauptanliegen dieser Bemühungen besteht darin, Rechtssicherheit zu schaffen und für einen angemessenen Kunden- und Verbraucherschutz Sorge zu tragen.

3 3 Nach öffentlicher Diskussion über die Mitteilung über Sicherheit und Vertrauen in elektronische Kommunikation (KOM 97/503) präsentierte die Europäische Kommission zu den spezifischen Fragen der elektronischen Signaturen im Mai 1998 den Vorschlag für eine Richtlinie über gemeinsame Rahmenbedingungen für elektronische Signaturen (ABl Nr C 325 vom S 5). Der Entwurf wurde im Rat unter österreichischem Vorsitz und daran anschließend auch unter deutscher Präsidentschaft intensiv diskutiert. Das Europäische Parlament nahm zu dem Vorschlag in Erster Lesung im Jänner 1999 Stellung (ABl Nr C 104 vom S 49). Das Parlament trat dabei auf der Grundlage des Berichtes des federführenden Ausschusses für Recht und Bürgerrechte insbesondere für eine Stärkung der Sicherheitsaspekte ein und begrüßte die Hinzufügung des - ursprünglich von Österreich, Deutschland und Frankreich vorgeschlagenen - Anhangs III (Sicherheitsanforderungen für Signaturerstellungseinheiten). Die Abänderungsanträge des Parlaments wurden im Zuge der weiteren Beratungen im Rat teilweise übernommen. Am erzielte der (Telekom-)Rat eine politische Einigung für einen Gemeinsamen Standpunkt. Am wurde die Richtlinie über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen schließlich verabschiedet und am im Amtsblatt der Europäischen Gemeinschaften (ABl. L 13/12) veröffentlicht. Die Richtlinie geht von einem technologieneutralen Ansatz aus und spricht daher nicht von "digitalen Signaturen", sondern von "elektronischen Signaturen". Als "elektronische Signatur" wird jedes Verfahren der elektronischen Authentifizierung gesehen. Den Kern der Richtlinie bildet deren Art 5, der die Rechtswirkungen elektronischer Signaturen regelt. Dabei geht die Richtlinie vom Prinzip aus, daß elektronische Signaturen im geschäftlichen Verkehr nicht diskriminiert und von den Mitgliedstaaten nicht verboten werden dürfen. Elektronisch signierte Dokumente dürfen von den nationalen Gerichten und anderen Behörden nicht allein deshalb als rechtlich unbeachtlich qualifiziert werden, weil sie "nur" elektronisch vorliegen. Dieser Grundsatz der "Nichtdiskriminierung" (Art 5 Abs 2) gilt für alle elektronischen Signaturen, auch für solche, die nicht auf einem Zertifikat eines Zertifizierungsdiensteanbieters beruhen oder die die besonders hohen Anforderungen der Anhänge I, II und III nicht erfüllen. Für quantitativ große Bereiche des elektronischen Geschäftsverkehrs sorgt dieser Grundsatz der "Nichtdiskriminierung" für eine den Bedürfnissen des alltäglichen Verkehrs entsprechende Anerkennung elektronischer Signaturen. Der Grundsatz der "Nichtdiskriminierung" sagt aber noch nichts darüber aus, unter welchen Voraussetzungen elektronische Signaturen den eigenhändigen Unterschriften entsprechen. Diese besondere Rechtswirkung wird in Art 5 Abs 1 geregelt. Dieser Bestimmung liegt folgendes Konzept zugrunde: Sogenannte "fortgeschrittene elektronische Signaturen", die auf einem qualifizierten Zertifikat beruhen und unter Verwendung einer sicheren Signaturerstellungseinheit erstellt werden, sollen in ihren Rechtswirkungen grundsätzlich den eigenhändigen Unterschriften

4 4 gleichgestellt werden. Eine "fortgeschrittene elektronische Signatur" muß dem Signator (berechtigter Inhaber einer Signaturerstellungseinheit) ausschließlich zugeordnet sein, ihre Verwendung muß der alleinigen Kontrolle des Signators unterstehen und sie muß die Authentizität (Echtheit) und Integrität (Unverfälschtheit) der Nachricht gewährleisten. Qualifizierte Zertifikate müssen den im Anhang I zur Richtlinie dargestellten Mindestinhalt aufweisen. So müssen sie neben der Bezeichnung der Zertifizierungsstelle im wesentlichen den Namen des Signators, die Gültigkeitsdauer des Zertifikats sowie allfällige Beschränkungen des Anwendungsbereichs des Zertifikats (zb für bestimmte Verträge) und gegebenenfalls den Transaktionswert, bis zu dem das Zertifikat gilt, enthalten. Zudem können qualifizierte Zertifikate nur von solchen Zertifizierungsstellen ausgestellt werden, die bestimmten Mindestanforderungen entsprechen. Diese Mindestanforderungen sind im Anhang II zur Richtlinie dargestellt. Demnach müssen die Zertifizierungsstellen die erforderliche Zuverlässigkeit für die Bereitstellung von Signatur- und Zertifizierungsdiensten mit sich bringen und die Einhaltung der maßgeblichen Rechtsvorschriften gewährleisten, weiters über qualifiziertes Personal und ausreichende Finanzmittel verfügen sowie für eine verläßliche Identifizierung und ausreichende Belehrung der Zertifikatswerber sorgen. Darüber hinaus werden auch Sicherheitsaspekte für die Tätigkeit der Zertifizierungsstellen angesprochen. So müssen diese über vertrauenswürdige technische Systeme und Signaturprodukte verfügen, den Betrieb eines sicheren Verzeichnis- und Widerrufsdienstes gewährleisten sowie Vorkehrungen für die Verhinderung der Zertifikatsfälschung treffen. Sichere Signaturerstellungseinheiten müssen den Sicherheitsanforderungen im Anhang III zur Richtlinie entsprechen. Demnach dürfen die verwendeten Signaturerstellungsdaten (privater Signaturschlüssel) praktisch nur einmal vorkommen, sie dürfen nicht ableitbar sein, die Signatur darf nicht fälschbar sein und die Signaturerstellungsdaten müssen vor unbefugter Verwendung geschützt werden können, weiters dürfen die Signaturerstellungseinheiten die zu signierenden Daten nicht verändern und müssen es ermöglichen, daß diese Daten dem Signator vor dem Signaturvorgang dargestellt werden ("Viewer"-Funktion). Im Anhang IV zur Richtlinie sind Empfehlungen für den Signaturprüfvorgang (insbesondere Signaturprüfeinheiten) vorgesehen, um eine sichere Signaturprüfung zu gewährleisten. Eine rechtliche Gleichstellung elektronischer Signaturen mit der eigenhändigen Unterschrift kommt nach der Richtlinie also nur dann in Betracht, wenn spezifische Sicherheitsstandards eingehalten werden. Diese Standards werden in den Anhängen der Richtlinie näher definiert. Sowohl das einer "sicheren elektronischen Signatur" zugrundeliegende qualifizierte Zertifikat als auch der Aussteller dieses Zertifikats und die verwendeten Signaturerstellungseinheiten (das sind etwa Chipkarten) müssen den in den Anhängen vorgesehenen hohen Anforderungen genügen.

5 5 Die Richtlinie regelt darüber hinaus aber noch weitere wichtige Aspekte elektronischer Signaturen: So dürfen die Mitgliedstaaten für die Aufnahme der Tätigkeit als Zertifizierungsdiensteanbieter keine vorherige Genehmigung, also keine Lizenz, vorsehen. Untersagt sind auch Maßnahmen gleicher Wirkung, wie etwa eine Vorlagepflicht mit Wartezeit oder das Abwarten einer Registrierung. Es ist jedoch zulässig, daß freiwillige Akkreditierungssysteme eingerichtet werden, in deren Rahmen sich die Anbieter von Zertifizierungsdiensten einer - freiwilligen - Überprüfung unterziehen (Art 3 Abs 1 und 2). Dafür, daß sich ein Zertifizierungsdiensteanbieter freiwillig einem Akkreditierungsverfahren unterwirft, können ihm besondere Rechte (etwa die Bezeichnung als akkreditierter Zertifizierungsdiensteanbieter im Geschäftsverkehr) eingeräumt werden. Jeder Mitgliedstaat muß aber für ein geeignetes Aufsichtssystem zur Überwachung der in seinem Hoheitsgebiet niedergelassenen Zertifizierungsdiensteanbieter Sorge tragen. Im Rahmen eines solchen Aufsichtssystems sind etwa Notifizierungs- oder Registrierungsverfahren sowie regelmäßige Kontrollen zulässig. Weiters sind die Mitgliedstaaten verpflichtet, geeignete Stellen, die die Einhaltung der Sicherheitsanforderungen des Anhangs III durch (sichere) Signaturerstellungseinheiten bestätigen, gegenüber der Europäischen Kommission zu notifizieren (Art 3 Abs 4). Die Kriterien für solche Stellen werden nach Verabschiedung der Richtlinie im Rahmen eines Komitologieverfahrens von der Kommission in Zusammenarbeit mit den Mitgliedstaaten ausgearbeitet. Die Entscheidungen dieser Stellen müssen von allen übrigen Mitgliedstaaten anerkannt werden. Die Mitgliedstaaten sind also verpflichtet, für die Erbringung vertrauenswürdiger Signatur- und Zertifizierungsdienste geeignete Infrastrukturen zu schaffen. Die Richtlinie enthält auch eine Regelung zur Haftung der Zertifizierungsdiensteanbieter (Art 6). Diese müssen schadenersatzrechtlich im wesentlichen für die Richtigkeit aller Informationen im qualifizierten Zertifikat zum Ausstellungszeitpunkt einstehen. Ferner haften sie für die ordnungsgemäße Registrierung des Widerrufs eines Zertifikats. Für die Haftung der Zertifizierungsdiensteanbieter wird eine Verschuldenshaftung mit Umkehr der Beweislast zu Lasten der Zertifizierungsdiensteanbieter statuiert. Die Gültigkeit des Zertifikats kann auf bestimmte Anwendungsbereiche (zb für bestimmte Verträge) oder auf einen bestimmten Transaktionswert beschränkt werden. Die Richtlinie sieht im harmonisierten Haftungsbereich nur eine Mindesthaftung vor. Die Mitgliedstaaten können also auch strengere Haftungsvorschriften vorsehen oder beibehalten. Wie schon erwähnt, sind im elektronischen Geschäftsverkehr grenzüberschreitende Transaktionen alltäglich. Für den Bereich der elektronischen Signaturen ergibt sich aus diesem Charakteristikum ua das Problem der gegenseitigen Anerkennung der jeweiligen nationalen rechtlichen Voraussetzungen. Die Richtlinie bestimmt dazu, daß die - auf harmonisierten Rechtsgrundlagen beruhenden - qualifizierten Zertifikate innerhalb der Europäischen Union ohne weitere Voraussetzungen anerkannt werden müssen. Für die

6 6 Anerkennung von qualifizierten Zertifikaten aus Drittstaaten werden dagegen besondere Voraussetzungen aufgestellt (Art 7). Solche Zertifikate müssen den inländischen rechtlich gleichgestellt werden, wenn der ausländische Zertifizierungsdiensteanbieter den Anforderungen der Richtlinie entspricht und in einem Mitgliedstaat der Europäischen Union freiwillig akkreditiert ist, weiters wenn ein in der Europäischen Gemeinschaft niedergelassener Zertifizierungsdiensteanbieter, der den Anforderungen der Richtlinie entspricht, für das qualifizierte Zertifikat des ausländischen Zertifizierungsdiensteanbieters einsteht, also die Haftung übernimmt, oder wenn das ausländische Zertifikat oder der ausländische Zertifizierungsdiensteanbieter auf Grund einer bi- oder multilateralen Vereinbarung zwischen der Europäischen Gemeinschaft und einem Drittland oder einer internationalen Organisation anerkannt ist. Im Interesse des Datenschutzes ist in Art 8 vorgesehen, daß die Zertifizierungsdiensteanbieter personenbezogene Daten nur unmittelbar beim Betroffenen oder mit seiner ausdrücklichen Zustimmung und nur insoweit erheben dürfen, als dies zur Ausstellung und Aufrechterhaltung des Zertifikats erforderlich ist. Die Zertifizierungsdiensteanbieter dürfen nicht daran gehindert werden, Zertifikate unter einem Pseudonym auszustellen. Die Aufdeckung von Pseudonymen richtet sich nach den innerstaatlichen Rechtsvorschriften. Für die Umsetzung der Richtlinie ist eine Frist von 18 Monaten nach ihrem Inkrafttreten vorgesehen (Art 13 Abs 1). 5. Signaturgesetz: Mit dem Signaturgesetz werden die gesetzlichen Grundlagen für die Bereitstellung von Signatur- und Zertifizierungsdiensten sowie die Verwendung elektronischer Signaturverfahren im Internet und in anderen elektronischen Netzwerken geschaffen. Elektronische Signaturen stellen besondere technische Verfahren dar, mit deren Hilfe elektronische Dokumente einem bestimmten Rechtssubjekt zugeordnet werden können. Entsprechend den Vorgaben der Signaturrichtlinie wird für den rechtlichen Rahmen ein technologieneutraler Ansatz gewählt. Aus diesem Grund verwendet das Signaturgesetz stets den Begriff "elektronische Signaturen". Dabei handelt es sich um technische Verfahren, mit deren Hilfe festgestellt werden kann, dass eine signierte elektronische Nachricht von einer bestimmten Person stammt und während des Datentransports zum Empfänger nicht verändert wurde. Die derzeit bedeutendste Anwendungsart solcher Technologien ist die digitale Signatur (asymmetrische Verschlüsselung des Hashwerts). Das Signaturgesetz gilt für geschlossene Systeme nur dann, wenn dies von den Teilnehmern des Systems vereinbart wird. Im geschlossenen System gelangt somit die Privatautonomie zum Tragen. Wenn sich ein geschlossenes System den Regelungen des Signaturgesetzes unterwirft, so können auch

7 7 die besonderen Rechtswirkungen sicherer elektronischer Signaturen ( 4 SigG) in Anspruch genommen werden. Im öffentlichen Bereich (Kommunikationsverkehr mit Gerichten und anderen Behörden) gelangt das Signaturgesetz grundsätzlich (mangels anders lautender gesetzlicher Anordnung) zur Anwendung. Von diesem Gesetzesvorbehalt, der im Einklang mit Art. 3 Abs. 7 der Signaturrichtlinie vorgesehen wurde, soll nach Möglichkeit nicht Gebrauch gemacht werden. In einer Feststellung des Justizausschusses wird dazu zum Ausdruck gebracht, dass auch im öffentlichen Bereich das Signaturgesetz, also ohne zusätzliche Anforderungen, gelten soll. Die Definitionen werden im Wesentlichen aus der Signaturrichtlinie übernommen. Der berechtigte Inhaber bestimmter Signaturerstellungsdaten (eines bestimmten privaten Signaturschlüssels) wird "Signator" genannt. Im Einklang mit der Signaturrichtlinie kann grundsätzlich nur eine natürliche Person "Signator" sein. Eine Ausnahme besteht nur für die sogenannten "Zertifikate für Zertifizierungsdiensteanbieter". Diese Zertifikate dürfen nur für die Erbringung von Zertifizierungsdiensten (Signieren der ausgestellten Zertifikate, Signieren der Verzeichnis- und Widerrufsdienste) verwendet werden. Elektronische Signaturen sind im Rechts- und Geschäftsverkehr verwendbar. Voraussetzung ist aber, dass die elektronische Kommunikation an sich (auf Grund einer gesetzlichen Regelung oder einer ausdrücklichen oder stillschweigenden Erklärung) zulässig ist. Von den Zertifizierungsdiensteanbietern können somit unterschiedliche Sicherheitsstufen und Zertifikatsklassen angeboten werden. Sie müssen die von ihnen bereitgestellten Signaturverfahren allerdings in einem Sicherheits- und Zertifizierungskonzept genau darstellen. Dieses Konzept ist Grundlage für die Durchführung der Aufsicht. Für jedes Signaturverfahren besteht das Gebot zur Nichtdiskriminierung im Sinne des Art. 5 Abs. 2 Signaturrichtlinie. Für sogenannte "sichere elektronische Signaturen" (das sind Signaturen im Sinne des Art. 5 Abs. 1 der Signaturrichtlinie) sind besondere Rechtswirkungen vorgesehen. Solche sicheren elektronischen Signaturen sind der eigenhändigen Unterschrift gleichgestellt und können somit die einfache Schriftform erfüllen. Ausnahmen bestehen - im Sinne des Art. 9 Abs. 2 der Richtlinie über den elektronischen Geschäftsverkehr (E-Commerce-Richtlinie) - nur für Bürgschaften von Verbrauchern, weiters für Rechtsgeschäfte, die zu ihrer Wirksamkeit oder zu ihrer Eintragung in ein öffentliches Register der Mitwirkung eines Notars oder eines Gerichtes bedürfen (sogenannte öffentliche Form), sofern die besonderen Voraussetzungen nach dem Berufsrechtsänderungs-Gesetz für Notare 2006 (BGBl I Nr 164/2005 nicht eingehalten sind, sowie für Schriftformerfordernisse im Erb- und

8 8 Familienrecht, es sei denn, die Urkunde enthält eine gesonderte Belehrungsklausel des Notars oder Rechtsanwalts. Letztwillige Anordnungen können jedoch nicht wirksam elektronisch errichtet werden. In beweisrechtlicher Hinsicht sind sicher elektronisch signierte Dokumente den eigenhändig unterschriebenen Privaturkunden gleichgestellt. Dies bedeutet, dass für den Inhalt der Erklärung eine qualifizierte Echtheitsvermutung besteht. Weiters besteht eine Sicherheitsvermutung für sichere elektronische Signaturverfahren. Eine sichere elektronische Signatur erfordert neben einem qualifizierten Zertifikat (Anhang I und II der Signaturrichtlinie) eine Sicherheitsbescheinigung einer Bestätigungsstelle (Art. 3 Abs. 4 der Signaturrichtlinie). Die Aufgabe dieser Bestätigungsstellen besteht in der Beurteilung, ob die Anforderungen des Anhangs III zur Signaturrichtlinie von den technischen Komponenten und Verfahren für die Erstellung sicherer elektronischer Signaturen eingehalten werden. In Konkretisierung des Anhangs III zur Signaturrichtlinie wird unter anderem angeordnet, dass nur Datenformate verwendet werden dürfen, deren Spezifikation verfügbar ist. Dynamische Veränderungen oder Unsichtbarkeiten müssen ausgeschlossen werden können. Die Autorisierungscodes (zb PIN) müssen so gestaltet sein, dass ihr unbefugtes Erfahren ausgeschlossen ist. Für unterschiedliche Applikationen müssen unterschiedliche Autorisierungscodes verwendet werden. Das Personal des Zertifizierungsdiensteanbieters muss zuverlässig sein. Dies bedeutet, dass keine Verurteilung von mehr als einem Jahr bzw. von mehr als drei Monaten bei Delikten gegen das Vermögen oder gegen Urkunden und Beweiszeichen vorliegen darf. Das Personal muss über einschlägiges Fachwissen verfügen. Die entsprechende Ausbildung muss ein Jahr betragen haben; diese Ausbildung kann durch eine fachlich einschlägige Tätigkeit in der Dauer von drei Jahren ersetzt werden. Das Mindestkapital eines Zertifizierungsdiensteanbieters, der qualifizierte Zertifikate ausstellt, muss Euro betragen. Zudem muss ein solcher Zertifizierungsdiensteanbieter eine obligatorische Haftpflichtversicherung abschließen, wobei die Mindestversicherungssumme EUR ,-- (früher 1 Million Euro) betragen muss. Für die Erzeugung und Speicherung von Signaturerstellungsdaten sowie für die Erstellung und Speicherung von qualifizierten Zertifikaten dürfen nur technische Komponenten und Verfahren eingesetzt werden, die von einer Bestätigungsstelle als geeignet beurteilt werden. Insbesondere muss die Fälschung oder Verfälschung von Signaturen bzw. Zertifikaten ausgeschlossen sein.

9 9 Im Sinne der Signaturrichtlinie ist eine gesonderte Genehmigung für die Aufnahme der Tätigkeit als Zertifizierungsdiensteanbieter nicht erforderlich. Die Aufnahme der Tätigkeit muss allerdings der Aufsichtsstelle angezeigt werden. Dabei ist ein Sicherheits- und Zertifizierungskonzept vorzulegen, in dem die technischen, personellen und finanziellen Mittel darzulegen und die Art der Diensteerbringung beschrieben werden muss. Außerdem müssen der Aufsichtsstelle auch alle sicherheitsrelevanten Veränderungen des Sicherheitsund Zertifizierungskonzepts angezeigt werden. Bei der Ausstellung von qualifizierten Zertifikaten muss die Identität des Signators zuverlässig festgestellt werden. Dafür ist die Vorlage eines amtlichen Lichtbildausweises erforderlich. Die Entgegennahme des Antrags sowie die Identitätsprüfung kann auch von einer Registrierungsstelle vorgenommen werden. Die Aufsicht muss auch über derartige Stellen gesichert sein. Soll eine Vertretungsmacht oder sonstige besondere Eigenschaft des Signators in das Zertifikat aufgenommen werden, so müssen auch diese Umstände zuverlässig nachgewiesen sein. Die Widerrufsdienste müssen während der Geschäftszeiten innerhalb von drei Stunden aktualisiert werden. Außerhalb der Geschäftszeiten (insbesondere in der Nacht) muss zumindest eine jederzeitige automatisierte Sperre der qualifizierten Zertifikate möglich sein. Die Widerrufsdienste müssen zudem rund um die Uhr verfügbar sein, die Verzeichnisdienste während der Geschäftszeiten. Eine Sperre darf höchstens drei Werktage bestehen bleiben. Nach Ablauf dieser Frist ist zu entscheiden, ob die Sperre aufgehoben oder das Zertifikat endgültig widerrufen wird. Aufsichtsstelle ist die Telekom-Control-Kommission. Dabei handelt es sich um eine Kollegialbehörde mit richterlichem Einschlag. Die Aufsichtsstelle hat insbesondere zu prüfen, ob von den Zertifizierungsdiensteanbietern deren Sicherheits- und Zertifizierungskonzepte eingehalten werden. Weiters hat die Aufsichtsstelle Verzeichnisse der gültigen, gesperrten und widerrufenen Zertifikate für Zertifizierungsdiensteanbieter, der im Inland niedergelassenen Zertifizierungsdiensteanbieter, der akkreditierten Zertifizierungsdiensteanbieter sowie der Drittstaatenzertifizierungsdiensteanbieter, für deren Zertifikate ein inländischer Zertifizierungsdiensteanbieter einsteht (Art. 7 der Signaturrichtlinie) zu führen. Die Aufsichtsstelle kann gegen Zertifizierungsdiensteanbieter die unterschiedlichsten Maßnahmen bis hin zur Untersagung ihrer Tätigkeit ergreifen. Wird die Tätigkeit eines Zertifizierungsdiensteanbieters untersagt oder wird die Tätigkeit vom Zertifizierungsdiensteanbieter aus eigener Veranlassung eingestellt, so müssen entweder die Verzeichnis- und Widerrufsdienste von einem anderen Zertifizierungsdiensteanbieter

10 10 fortgeführt oder die Zertifikate des Zertifizierungsdiensteanbieters sowie aller Signatoren widerrufen werden. Auch im Falle eines solchen Widerrufs der Zertifikate hat die Aufsichtsstelle für die Weiterführung zumindest der Widerrufsdienste Sorge zu tragen. Auch die Pflichten der Signatoren werden ausdrücklich festgelegt. Diese haben ihre Signaturerstellungsdaten sorgfältig zu verwahren, Zugriffe darauf zu verhindern und deren Weitergabe zu unterlassen. Wenn den Signatoren die Signaturerstellungsdaten abhanden kommen oder sie Anhaltspunkte für deren Kompromittierung haben, so müssen sie unverzüglich den Widerruf des Zertifikats veranlassen. Im Sinne der Signaturrichtlinie wird für die Haftung von Zertifizierungsdiensteanbietern, die qualifizierte Zertifikate ausstellen, eine Sonderregelung vorgesehen. Bei dieser Haftung handelt es sich um eine Verschuldenshaftung mit Umkehr der Beweislast zu Lasten der Zertifizierungsdiensteanbieter. Diese haben im Wesentlichen dafür einzustehen, dass die Angaben im Zertifikat zum Zeitpunkt der Ausstellung richtig sind. Darüber hinaus haften die Zertifizierungsdiensteanbieter, die qualifizierte Zertifikate ausstellen, für die Einhaltung der Anforderungen des 7 SigG (Anhang II zur Signaturrichtlinie). Zertifizierungsdiensteanbieter, die sichere elektronische Signaturverfahren bereitstellen, haften auch dafür, dass die von ihnen den Signatoren bereitgestellten oder empfohlenen Signaturprodukte den technischen Anforderungen des 18 SigG (Anhang III zur Signaturrichtlinie) entsprechen und für diese Signaturprodukte ("sichere Signaturerstellungseinheiten") Sicherheitsbescheinigungen einer Bestätigungsstelle vorliegen. Der Zertifizierungsdiensteanbieter trägt die Beweislast dafür, dass ihn und seine Leute an der Herbeiführung des Schadens kein Verschulden trifft. Zudem wird eine Verursachungsvermutung zu Gunsten der Geschädigten normiert. Können Sie eine Pflichtverletzung des Zertifizierungsdiensteanbieters als wahrscheinlich dartun, so wird vermutet, dass diese Pflichtverletzung für den Schadenseintritt kausal war. Der in Anspruch genommene Zertifizierungsdiensteanbieter kann diese Vermutung entkräften. Schließlich wird eine Anerkennungsregelung für ausländische Zertifikate vorgesehen. Zertifikate, die von Zertifizierungsdiensteanbietern aus anderen EU-Staaten ausgestellt werden, entfachen dieselben Rechtswirkungen wie jene der inländischen Zertifizierungsdiensteanbieter. Für qualifizierte Zertifikate, die von Zertifizierungsdiensteanbietern aus Drittstaaten ausgestellt werden, wird im Sinne des Art. 7 der Signaturrichtlinie deren Anerkennung detailliert geregelt. Voraussetzung für die Anerkennung ausländischer Zertifikate ist, dass sie vom Inland aus überprüft werden können.

11 11 Dies bedeutet, dass die Verzeichnis- und Widerrufsdienste vom Inland aus zugänglich sein müssen. Bei Nichteinhaltung der im Gesetz vorgesehenen, wesentlichen Verhaltenspflichten, insbesondere für Zertifizierungsdiensteanbieter, sind Verwaltungsstrafbestimmungen vorgesehen. 6. Besondere Rechtswirkungen im Detail: a) Gleichstellung mit der eigenhändigen Unterschrift: Die Kombination von organisatorischen und personellen Maßnahmen zur Qualitätssicherung sowie einer Reihe sicherheitstechnischer Vorkehrungen rechtfertigt die Verknüpfung besonderer Rechtswirkungen mit sicheren elektronischen Signaturen. Nur diese werden grundsätzlich der eigenhändigen Unterschrift gleichgestellt. Das österreichische Zivilrecht geht vom Grundsatz der Formfreiheit aus und überläßt es regelmäßig den Parteien, in welcher Form sie ein Rechtsgeschäft abschließen wollen ( 883, 863 ABGB). Dieser Grundsatz wird jedoch durch zahlreiche Sonderregelungen eingeschränkt, wobei sich die Formgebundenheit entweder aus dem Gesetz oder aus der Parteienvereinbarung ergeben kann. Vielfach verlangen zivilrechtliche Rechtsvorschriften für die Gültigkeit eines Rechtsgeschäft die Einhaltung der (einfachen) Schriftform isd 886 ABGB. Im österreichischen Zivilrecht wird das Erfordernis der einfachen Schriftform in 886 ABGB geregelt. Ist für einen Vertrag gesetzlich oder aufgrund einer Parteienvereinbarung das Erfordernis der Schriftlichkeit vorgesehen, so kommt ein Vertrag durch die Unterschrift der Parteien zustande. Das Signaturgesetz sieht - richtlinienkonform - vor, daß gesetzlichen (auch gewillkürten) Schriftform- bzw Schriftlichkeitserfordernissen grundsätzlich auch durch eine sichere elektronische Signatur entsprochen wird. b) Ausnahmen: Nach der Signaturrichtlinie bleibt den Mitgliedstaaten die Entscheidung überlassen, in welchen Bereichen sie die elektronische Form einführen. Diese Entscheidungsfreiheit wird jedoch durch Art 9 der E-Commerce-Richtlinie eingeschränkt. Nach dieser Bestimmung müssen grundsätzlich alle Verträge - dh auch formgebundene - auf elektronischem Weg wirksam zustande kommen. Ausnahmen können nur für Rechtsgeschäfte des Familien- und Erbrechts sowie für Rechtsgeschäfte oder Willenserklärungen bestehen, die zu ihrer Wirksamkeit oder zu ihrer Eintragung in bestimmte Register (Grundbuch, Firmenbuch) einer öffentlichen Beglaubigung oder Beurkundung oder eines Notariatsakts bedürfen (sogenannte "öffentliche Form"). Dementsprechend werden auch im Gesetz Ausnahmen nur für diese Rechtsgeschäfte und Willenserklärungen vorgesehen. So kann etwa ein Testament nicht elektronisch verfaßt werden, weil die Klärung etwaiger beweisrelevanter Fragestellungen auf

12 12 besondere Schwierigkeiten stoßen könnte. Darüber hinaus wird eine Ausnahmeregelung für die Bürgschaftserklärung eines Verbrauchers vorgesehen, weil gerade Bürgschaften für den Bürgen in der Regel mit einem beträchtlichen Risiko verbunden sind. Durch das Berufsrechtsänderungs-Gesetz für Notare und Rechtsanwälte 2006 (BGBl I Nr 164/2005) wurde teilweise die sogenannte öffentliche Form zugelassen. c) Beweiswirkungen: Sichere elektronische Signaturen sind in der Lage, den Signator zu identifizieren. Die Signaturerstellungsdaten (etwa ein privater Signaturschlüssel) werden durch Besitz (zb einer Chipkarte) und Wissen (zb eines Paßwort oder einer PIN) an ihn, also an eine bestimmte natürliche Person, gebunden. Zudem ist der Signator verpflichtet, den Zugriff auf seine Signaturerstellungsdaten zu verhindern und deren Weitergabe zu unterlassen. Kommen dem Signator diese Daten abhanden, so ist er verpflichtet, unverzüglich den Widerruf seines Zertifikats zu veranlassen. Durch die Kombination dieser Maßnahmen ermöglicht die digitale Signatur einen zuverlässigen Rückschluß auf den Signator. Aus diesem Grund ist eine Gleichstellung sicher signierter elektronischer Erklärungen mit unterschriebenen Privaturkunden und somit eine qualifizierte Echtheitsvermutung hinsichtlich des Erklärungstextes isd 294 ZPO gerechtfertigt. Die Vermutung, daß die Signaturerstellungsdaten vom Signator verwendet wurden, wird hingegen noch nicht angeordnet. d) Sicherheitsvermutung: Im Gesetz wird schließlich zum Ausdruck gebracht, daß für sichere elektronische Signaturen eine Sicherheitsvermutung besteht. Für solche Signaturverfahren dürfen nur sicherheitsgeprüfte Signaturprodukte verwendet werden. Damit wird dafür vorgesorgt, daß die normierten Sicherheitsanforderungen auch eingehalten werden. Es muß aber dennoch die Möglichkeit bestehen, daß in einem gerichtlichen Verfahren sicherheitsrelevante Manipulationen, Veränderungen oder Eingriffe nachgewiesen werden können. 7. Signaturverordnung: Nach Artikel 3 Absatz 1 der Signaturrichtlinie darf die Bereitstellung von Zertifizierungsdiensten nicht von einer vorherigen Genehmigung abhängig gemacht werden. Die Einhaltung der rechtlichen Rahmenbedingungen für die Erstellung und Verwendung elektronischer Signaturen, insbesondere für sichere elektronische Signaturen, erfolgt anhand eines effektiven Aufsichtssystems (siehe Artikel 3 Absatz 3 der Richtlinie). Die Verordnung regelt zunächst die Gebühren für diese Aufsichtstätigkeiten. Weiters wird in der Verordnung die finanzielle Ausstattung der Zertifizierungsdiensteanbieter konkretisiert. Damit wird

13 13 insbesondere Anhang II Buchstabe h zur Signaturrichtlinie umgesetzt. Für die Erstellung und die Verwendung sicherer elektronischer Signaturen müssen sichere Signaturprodukte (siehe Artikel 2 Ziffer 6 der Richtlinie), also geeignete technische Komponenten und Verfahren, zur Verfügung stehen. Das Signaturgesetz enthält keine technischen Produktanforderungen, sondern nur allgemeine Sicherheitskriterien, die Anhang III sowie Anhang II Buchstabe f, g und l entsprechen. Zur Anwendbarkeit des Signaturgesetzes für sichere elektronische Signaturverfahren (siehe Artikel 5 Absatz 1 der Richtlinie) sind nähere Konkretisierungen der allgemeinen Sicherheitskriterien nach 7 Absatz 2, 10 und 18 des Signaturgesetzes erforderlich ( 25 Z 4 SigG). Die technischen Produktanforderungen für sichere Signaturprodukte finden sich daher ausschließlich in der Signaturverordnung. Diese legt schließlich auch die betriebsorganisatorischen Abläufe für die Erbringung sicherer Signaturund Zertifizierungsdienste sowie für die Ausstellung qualifizierter Zertifikate fest. Die konkrete Ausgestaltung dieser Rahmenbedingungen bleibt dem Sicherheits- und Zertifizierungskonzept der Zertifizierungsdiensteanbieter vorbehalten. 8. Zentrum für sichere Informationstechnologie - Austria (A-SIT): Das Zentrum für sichere Informationstechnologie - Austria (A-SIT) wurde mit BGBl. Nr. II 31/2000 als Bestätigungsstelle nach dem Signaturgesetz anerkannt. A-SIT ist die erste und derzeit einzige Bestätigungsstelle nach 19 SigG. Zur Anwendbarkeit des Signaturgesetzes und der Signaturverordnung muss die nötige administrative Infrastruktur zur Verfügung stehen. Neben dem Aufsichtssystem gehören dazu auch die Funktionen einer Bestätigungsstelle, deren Aufgabe in erster Linie in der Evaluierung und Bestätigung der Einhaltung der Sicherheitsanforderungen durch die Signaturprodukte besteht. Dies gilt vor allem für sichere Signaturerstellungseinheiten - dabei handelt es sich um die technischen Komponenten und Verfahren, die für die Erstellung sicherer elektronischer Signaturen verwendet werden (siehe Anhang III zur Signaturrichtlinie und 18 Abs 5 SigG) sowie für Signaturprodukte, die von den Zertifizierungsdiensteanbietern für die Erzeugung und Speicherung von Signaturerstellungsdaten sichere elektronische Signaturen eingesetzt werden (siehe 7 Abs 2 SigG; auch 10 SigG). Der Verein Zentrum für sichere Informationstechnologie - Austria (A-SIT) wurde am über Initiative der Bundesregierung ua zur Wahrnehmung der Aufgaben einer Bestätigungsstelle nach dem Signaturgesetz gegründet. A-SIT ist seit August 1999 auch operativ tätig.

14 14 Der Verein "Zentrum für sichere Informationstechnologie - Austria (A-SIT)" nimmt nach seinen Statuen insbesondere folgende Agenden wahr: - Evaluationsmanagement, d.h. Evaluierung sicherheitsrelevanter Infrastrukturen, insbesondere Evaluierung technischer Prüfergebnisse für sichere Signaturprodukte und Bestätigung der Einhaltung der vorgeschriebenen Sicherheitsanforderungen durch die fraglichen Produkte, - Ansprech- und Koordinationsstelle für Belange der Sicherheit in der Informationstechnik und Beratung öffentlicher Institutionen, - öffentliche Bewusstseinsbildung betreffend die Verwendung sicherer Informationstechnik, - Technologiebeobachtung sowie Wahrung strikter und nachweislicher Objektivität und Unabhängigkeit insbesondere in den Bereichen elektronische Signaturen, Gesundheitswesen, öffentliche Sicherheit, Finanzwesen, Behördenkommunikation und Datenschutz, - technische Hilfestellung für öffentliche Einrichtungen und Betreiber von Informationsdiensten, - Förderung und Durchführung von Forschungsprojekten und - Koordination mit dem internationalen Normenwesen. 9. Sicherheitsbescheinigung: Damit die Anwender sicherer elektronischer Signaturen genau beurteilen können, ob die dafür nötigen Sicherheitsanforderungen eingehalten sind, wird im Signaturgesetz vorgeschrieben, dass für die Signaturprodukte, die zur Erstellung sicherer elektronischer Signaturen verwendet werden, eine Sicherheitsbescheinigung einer Bestätigungsstelle vorliegen muss. Dabei handelt es sich um ein Gültigkeitserfordernis für sichere elektronische Signaturen. Derartige Sicherheitsbescheinigungen müssen von allen Mitgliedstaaten der Europäischen Union vorgesehen werden. Der darauf gerichtete österreichische Vorschlag konnte im Rahmen der Verhandlungen zur Signaturrichtlinie durchgesetzt werden. Zudem benötigen die Zertifizierungsdiensteanbieter für die von ihnen verwendeten Produkte für die Erzeugung und Speicherung von Signaturerstellungsdaten für sichere elektronische Signaturen eine Sicherheitsbescheinigung einer Bestätigungsstelle. Aus diesem Grund können sich auch die Zertifizierungsdiensteanbieter darauf verlassen, dass die von ihnen verwendeten Geräte und Systeme den gesetzlichen Anforderungen entsprechen.

15 15 Nach 18 Abs 5 SigG muss auch der sogenannte Secure Viewer eine Sicherheitsbescheinigung aufweisen. Mit der Novelle zur Signaturverordnung (BGBl II 527/2004) wurde der Versuch unternommen, durch eine Umformulierung in 3 und 9 leg cit ( Erzeugung statt Erstellung ) diese Anforderung zu umgehen. Der Verfassungsgerichtshof hat mit seiner Entscheidung vom , V11/05 klargestellt, dass die Umformulierung in der Signaturverordnung keine Änderung der Anforderung des 18 Abs 5 SigG bewirken kann und die Verordnung gesetzeskonform auszulegen ist. 10. Einhaltung der technischen Sicherheitsanforderungen Die technischen Sicherheitsanforderungen sind in der Signaturverordnung konkretisiert. Die Signaturverordnung spiegelt den Stand der Technik wider und muss bei technischen Entwicklungen an den jeweils neuen Stand der Technik angepasst werden. Die dafür notwendige Technologiebeobachtung wird von A-SIT durchgeführt. Die in der Signaturverordnung konkretisierten Sicherheitsanforderungen setzen den Sicherheitsstandard der Signaturrichtlinie um. Dies bedeutet, dass der Sicherheitsstandard in allen Mitgliedstaaten der Europäischen Union ein vergleichbares Niveau haben muss.