Gesetz über Rahmenbedingungen für elektronische Signaturen

Gesetz über Rahmenbedingungen für elektronische Signaturen

Das Signaturgesetz (Gesetz über Rahmenbedingungen für elektronische Signaturen, kurz SigG oder SigG 2001) vom 16. Mai 2001 hat den Zweck, Rahmenbedingungen für elektronische Signaturen zu schaffen. Es löste das Signaturgesetz vom 22. Juli 1997 ab.

Basisdaten
Titel: Gesetz über Rahmenbedingungen
für elektronische Signaturen
Kurztitel: Signaturgesetz
Abkürzung: SigG
Art: Bundesgesetz
Geltungsbereich: Bundesrepublik Deutschland
Rechtsmaterie: Wirtschaftsverwaltungsrecht
FNA: 9020-12/1
Datum des Gesetzes: 16. Mai 2001
(BGBl. I S. 876)
Inkrafttreten am: 22. Mai 2001
Letzte Änderung durch: Art. 4 G vom 26. Februar 2007
(BGBl. I S. 179, 185)
Inkrafttreten der
letzten Änderung:
1. März 2007
BGBl. I 251
Bitte beachten Sie den Hinweis zur geltenden Gesetzesfassung.

Inhaltsverzeichnis

Inhalt

Ziel ist es, durch die Nutzung elektronischer Signaturen erhöhte Rechtssicherheit für den internetbasierten Geschäftsverkehr (E-Commerce) sowie elektronische Prozesse der öffentlichen Verwaltung (E-Government) zu erhalten. Das Signaturgesetz und die zugehörige Signaturverordnung (SigV) legen Anforderungen für Zertifizierungsdiensteanbieter (ZDAs), Produkte für elektronische Signaturen, sowie für Prüf- und Bestätigungsstellen, die die Einhaltung bzw. Umsetzung dieser Anforderungen prüfen, fest. Zertifizierungsdienste im Sinne des Signaturgesetzes sind die Ausstellung von qualifizierten Zertifikaten und qualifizierten Zeitstempeln, d. h. das Signaturgesetz regelt ausschließlich die Erbringung dieser Zertifizierungsdienste.

Arten der elektronischen Signatur

Das Signaturgesetz definiert neben der (einfachen) elektronischen Signatur, die fortgeschrittene elektronische Signatur, die erhöhten Anforderungen an die Sicherheit genügen muss, und die qualifizierte elektronische Signatur, eine fortgeschrittene elektronische Signatur, die auf einem qualifizierten Zertifikat beruht und mit einer sicheren Signaturerstellungseinheit (SSEE) erstellt wurde.

Anforderungen an qualifizierte Zertifikate und qualifizierte Zeitstempel

Qualifizierte Zertifikate bescheinigen die Zuordnung von Signaturprüfschlüsseln zu einer natürlichen Person und deren Identität (§ 2 (7) SigG). Sie müssen bestimmte Mindestinhalte haben (§ 7 SigG und § 14 SigV). Insbesondere müssen sie den Signaturschlüsselinhaber unverwechselbar kennzeichnen; die Verwendung von Pseudonymen ist dabei ausdrücklich zugelassen. Weiterhin müssen sie den Namen und das Land des Ausstellers, den bescheinigten Signaturprüfschlüssel und die Algorithmen, mit denen er verwendet werden kann, eine definierte Gültigkeitsdauer, eine Seriennummer, eine Kennzeichnung als qualifiziertes Zertifikat und ggf. Nutzungsbeschränkungen des bescheinigten Signaturschlüssels enthalten. Qualifizierte Zertifikate müssen mit einer qualifizierten elektronischen Signatur versehen sein. Die Gültigkeitsdauer eines qualifizierten Zertifikates darf höchstens fünf Jahre betragen (§ 14 (3) SigV).

Zusätzliche Attribute zu einem Inhaber eines qualifizierten Zertifikates, z. B. über eine Vertretungsmacht, einen Berufsstand oder sonstige Angaben können entweder in das Zertifikat selbst, oder in ein qualifiziertes Attributzertifikat, das auf dieses verweist, aufgenommen werden. Die Gültigkeit eines qualifizierten Attribut-Zertifikates endet mit der Gültigkeit des qualifizierten Zertifikates, auf das es Bezug nimmt (§ 14 (3) SigV).

Qualifizierte Zeitstempel bescheinigen, dass bestimmte Daten zu einem angegebenem Zeitpunkt vorgelegen haben. Die für ihre Ausstellung eingesetzten technischen Komponenten müssen sicherstellen, dass in den Zeitstempel die zum Zeitpunkt der Erzeugung gültige gesetzliche Zeit unverfälscht aufgenommen wird (§ 15 (3) SigV), und dass Fälschungen und Verfälschungen ausgeschlossen sind (§ 17 (3) Nr. 1 SigG). Qualifizierte Zeitstempel müssen nicht zwingend mit einer elektronischen Signatur versehen sein.[1]

Anforderungen an Zertifizierungsdienste und deren Anbieter

Ein ZDA, d. h. ein Anbieter von qualifizierten Zertifikaten oder qualifizierten Zeitstempeln, muss die folgenden Anforderungen erfüllen:

  1. Er muss Antragsteller (d. h. die Zertifikatsinhaber) zuverlässig identifizieren (§ 5 (1) SigG und § 3 (1) SigV) und sicherstellen, dass dieser die zugehörige SSEE besitzt, bzw. die SSEE und deren Aktivierungsdaten persönlich übergeben (§ 5 (2) SigV). Falls zusätzliche Angaben im qualifizierten Zertifikat oder in einem qualifizierten Attributzertifikat aufgenommen werden sollen, muss er diese zuverlässig überprüfen (§ 3 (2) SigV).
  2. Er muss die Zertifikatsinhaber über Maßnahmen für die Sicherheit von qualifizierten elektronischen Signaturen und zu deren zuverlässigen Prüfung, sowie über ihre Rechtswirksamkeit zu unterrichten (§ 6 SigG und § 6 SigV).
  3. Ausgestellte Zertifikate müssen jederzeit und bis 5 Jahre nach Ablauf ihrer Gültigkeit über ein öffentliches Verzeichnis nachprüfbar und – sofern der Inhaber dem zustimmt – abrufbar gehalten werden (§ 5 SigG und § 4 (1) SigV).
  4. Er muss Vorkehrungen treffen, damit die qualifizierten Zertifikate nicht ge- oder verfälscht werden können (§ 5 (4) SigG).
  5. Die Zertifikate sind auf Verlangen des Inhabers oder einer anderen zur Sperrung berechtigten Person unverzüglich zu sperren (§ 8 SigG). Dabei muss er sich von der Identität und Berechtigung dieser Person zu überzeugen (§ 7 SigV). Für Fehler besteht eine Verschuldenshaftung mit Beweislastumkehr (§ 11 SigG).
  6. Er muss die Ausstellung von qualifizierten Zertifikaten und qualifizierten Zeitstempeln in vorgegebenem Umfang dokumentieren (§ 8 SigV).
  7. Er muss die Bestimmungen zum Datenschutz einhalten.
  8. Das eingesetzte Personal muss die erforderliche Fachkunde und Zuverlässigkeit besitzen.
  9. Die für den Zertifizierungsdienst eingesetzten Produkte für qualifizierte elektronische Signaturen müssen die in § 17 SigG und § 15 SigV festgelegten Sicherheitseigenschaften besitzen. Diese Produkte umfassen neben sicheren Signaturerstellungseinheiten und Signaturanwendungskomponenten auch die Komponenten zur Erzeugung und Übertragung von Signaturschlüsseln (Schlüsselgenerator), Gewährleistung der Nachprüfbarkeit der Zertifikate (Auskunftsdienst) und der Ausstellung von qualifizierten Zeitstempeln. Die Erfüllung der Anforderungen muss von einer anerkannten Stelle nach in Angang I SigV festgelegten Prüfkriterien (ITSEC oder Common Criteria geprüft und bestätigt worden sein.

Der ZDA haftet für Schäden, die durch Verletzung seiner Pflichten entstehen (§ 11 SigG), und muss dafür eine festgelegte Deckungsvorsorge vorweisen (§ 12 SigG und § 9 SigV).

Vor einer Einstellung seiner Zertifizierungssdienste muss der ZDA rechtzeitig die Bundesnetzagentur benachrichtigen und bis zum Ablauf der ausgestellten Zertifikate für die Weiterführung der Sperr- und Auskunftsdienste sorgen (§ 13 SigG und § 10 SigV). Im Zweifelsfall muss die Bundesnetzagentur diese Dienste übernehmen.

Freiwillige Akkreditierung

ZDAs können sich bei der Bundesnetzagentur akkreditieren lassen (§ 15 SigG und § 11 SigV). Hierfür müssen sie die Umsetzung der Anforderungen des Gesetzes mittels einer Prüfung und Bestätigung durch eine anerkannte Stelle nachweisen. Zusätzlich müssen sie die von ihnen ausgestellten Zertifikate für mindestens dreißig Jahre nachprüfbar halten (§ 4 (2) SigV). Signaturen, die auf von akkreditierten Anbietern ausgestellten qualifizierten Zertifikaten beruhen, werden in der Literatur als „akkreditierte Signaturen“ bezeichnet. Sie bieten höchste Sicherheit.

Die Bundesnetzagentur stellt mit einem eigenen Zertifizierungsdienst akkreditierten ZDAs die für ihre Tätigkeit benötigten Zertifikate aus (§ 16 SigG). Dieser Zertifizierungsdienst stellt in der Zertifizierungshierarchie die Wurzelinstanz (Root CA) dar.

Anerkennung von Prüf- und Bestätigungsstellen

Die Bundesnetzagentur kann Stellen ermächtigen, die Einhaltung der Anforderungen für Zertifizierungsdienste oder für Produkte für qualifizierte elektronische Signaturen zu prüfen und bestätigen (§ 18 SigG und § 156 SigV). Die Stellen müssen dabei ihre Unabhängigkeit, Zuverlässigkeit und Fachkunde nachweisen. Prüf- und Bestätigungsstellen für Produkte müssen insbesondere ausreichende Erfahrung mit den erforderlichen Prüfkriterien besitzen.

Durchführung der Aufsicht

Ein ZDA unterliegt der Aufsicht durch die Bundesnetzagentur (§ 19, SigG) und muss die Aufnahme seines Geschäftsbetriebs bei dieser anzeigen (§ 4, SigG und § 1 SigV). Dabei muss er ein Sicherheitskonzept vorlegen, in dem er die Erfüllung der Anforderungen aufzeigen (§ 10, SigG und § 2 SigV). Während des Betriebes wacht die Bundesnetzagentur über die Einhaltung der Vorschriften und darf bei Verstößen den Betrieb vorübergehend oder ganz untersagen. Ebenso kann die Zertifizierungsstelle die Sperrung einzelner oder aller ausgestellten Zertifikate anordnen, wenn es Hinweise dafür gibt, dass ihre Sicherheit nicht mehr gewährleistet ist.

Im Rahmen der Aufsicht kann die Bundesnetzagentur auch eine erteilte Akkreditierung entziehen. In diesem Fall wird das von der Root-CA ausgestellte Zertifikat gesperrt. Die Gültigkeit der vom betroffenen ZDA ausgegebenen Zertifikate bleibt davon jedoch unberührt.

Rechtsfolgen von qualifizierter elektronischen Signaturen

Rechtsfolgen der Verwendung elektronischen qualifizierter Signaturen bestimmt das Signaturgesetz nicht. Dies ist vielmehr der anfänglich stark umstrittenen Konzeption des Gesetzgebers zufolge den Gesetzen vorbehalten, die auch sonst bestimmte Formanforderungen stellen. Zu nennen sind die elektronische Form des Zivilrechts gemäß § 126 a BGB, die des öffentlichen Rechts gemäß § 3 a VwVfG und die des Prozessrechts, § 130 a ZPO. Ferner ist es Unternehmen unter bestimmten Bedingungen gestattet, Vorsteuerabzug auf elektronisch signierten Rechnungen geltend zu machen, § 14 Abs. 4 UStG. Qualifizierte elektronische Signaturen haben den Anschein der Echtheit auf ihrer Seite, § 371 a ZPO.

Gesetzgebung

Das Signaturgesetz wurde zunächst 1997 als Teil des Informations- und Kommunikationsdienste-Gesetzes IuKDG erlassen (BGBl. I S. 1870, 1872; FNA: 9020-8). In dieser Fassung sah es ein Genehmigungserfordernis für Zertifizierungsstellen (die heutigen Zertifizierungsdiensteanbieter) vor. Vor der Genehmigung war die Sicherheit der Verfahren und Produkte durch die Behörde zu überprüfen.

Im Jahr 1998 wurden die §§ 11 und 13 des Gesetzes durch das Gesetz zur Änderung des Einführungsgesetzes zur Insolvenzordnung und anderer Gesetze geändert dahingehend, dass es statt „Konkurs- oder Vergleichsverfahren“ nunmehr „Insolvenzverfahren“ hieß (BGBl. I 1998, 8336/3840). Die redaktionelle Änderung war wegen des Inkrafttretens der Insolvenzordnung notwendig geworden, die die vormalige Konkursordnung und Vergleichsordnung ablöste.

Der Erlass der Europäischen Signaturrichtlinie 1999/93/EG machte die grundlegende Überarbeitung des Gesetzes notwendig. Vor allem war sicherzustellen, dass Zertifizierungsdienste auch ohne Genehmigung betrieben werden können. Im Ausgleich sollten sie für auftretende Fehler streng haften. Diese Vorgaben wurde bei Erlass des SigG 2001 berücksichtigt, das am 21. Mai 2001 als Artikel 1 des „Gesetzes über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften“ im BGBl. I S. 876 veröffentlicht wurde und am 22. Mai 2001 in Kraft trat. Die vormals genehmigten Zertifizierungsstellen gelten nunmehr als akkreditierte Anbieter. Die Haftungsregelung findet sich in § 11.

Im Jahr 2004 wurde das Signaturgesetz geändert. Mit dem 1. SigÄndG (Drs. 15/3417) wurden Ungereimtheiten ausgebügelt. Vor allem aber reagierte der Gesetzgeber mit ihm auf Wünsche der deutschen Banken, die selbst Zertifizierungsdienste anbieten wollen und so auch ihre beweisrechtliche Position im Online-Banking verbessern. Die Bundesregierung erhoffte sich vom Einspringen der Kreditinstitute und der so ermöglichten EC-Karte mit Signierfunktion eine weite Verbreitung der bislang vom Markt kaum akzeptierten zertifikatsbasierten Signaturtechnik. Darüber hinaus wurde im § 2, Nr. 9 klargestellt, dass lediglich für qualifizierte Signaturen ein Zertifikat zwingend erforderlich ist. Dies ermöglicht den Anbietern von biometrischen Unterschriftensystemen die Verwendung der eigenhändigen Unterschrift als Identifikationsmerkmal für fortgeschrittene elektronische Signaturen einzusetzen. Ein zweiter, leicht angepasster Entwurf (Drs. 15/4172) wurde schließlich Gesetz. Es ist im Bundesgesetzblatt 2005 Teil I, S. 2 veröffentlicht und trat am 11. Januar 2005 in Kraft.

Zuletzt wurde das Signaturgesetz geändert durch das „Elektronischer-Geschäftsverkehr-Vereinheitlichungsgesetz“ vom 26. Februar 2007, in Kraft getreten am 1. März 2007 (BGBl. I 2007, 179/185). Mit dessen Artikel 4 besserte der Gesetzgeber Redaktionsversehen aus, die er mit dem „Zweiten Gesetz zur Neuregelung des Energiewirtschaftsrechts“ (BGBl. I 2005, 1970) selbst verursacht hatte.

Weblinks

Einzelnachweise

  1. Begründung zum Entwurf eines Gesetzes über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften

Literatur

  • Susanne Hähnchen: Elektronischer Rechtsverkehr - Ein praktischer Leitfaden. für Rechtsanwälte, Notare, Studierende und andere Interessierte. Books on Demand GmbH, Auflage: Neuaufl. (Februar 2007), ISBN 3-8334-9267-8
  • Kommentierung zum Signaturgesetz und zur Signaturverordnung, in:
    • Manssen (Hrsg.), Telekommunikations- und Multimediarecht. Erich Schmidt Verlag, Berlin, ISBN 3-503-04817-0
    • Roßnagel (Hrsg.): Recht der Multimedia-Dienste. C.H.Beck, München, ISBN 3-406-44463-6
    • Ultsch, in Schwarz/Peschel-Mehner (Hrsg.): Recht im Internet. Kognos Verlag Augsburg, ISBN 3-931314-04-9
  • Skrobotz: „Lex Deutsche Bank“: Das 1. SigÄndG. In: Datenschutz und Datensicherheit (DuD) 2004, S. 410.
  • Jörg Matthias Lenz, Christiane Schmidt: Die elektronische Signatur. Dt. Sparkassen-Verl., Stuttgart 2004, ISBN 3-09-305705-1
  • Florian Kunstein: Die elektronische Signatur als Baustein der elektronischen Verwaltung - Analyse des rechtlichen Rahmens elektronischer Kommunikation im Verwaltungsverfahren unter besonderer Berücksichtigung der Kommunalverwaltung. Tenea-Verlag, Berlin 2005, ISBN 3-86504-123-X, Download als PDF-Dokument
Bitte beachte den Hinweis zu Rechtsthemen!

Wikimedia Foundation.

Игры ⚽ Нужен реферат?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Elektronische Signatur — Unter einer elektronischen Signatur versteht man mit elektronischen Informationen verknüpfte Daten, mit denen man den Unterzeichner bzw. Signaturersteller identifizieren und die Integrität der signierten elektronischen Informationen prüfen kann.… …   Deutsch Wikipedia

  • Elektronische Unterschrift — Unter einer elektronischen Signatur versteht man mit elektronischen Informationen verknüpfte Daten, mit denen man den Unterzeichner bzw. Signaturersteller identifizieren und die Integrität der signierten elektronischen Informationen prüfen kann.… …   Deutsch Wikipedia

  • Signaturgesetz (Deutschland) — Basisdaten Titel: Gesetz über Rahmenbedingungen für elektronische Signaturen Kurztitel: Signaturgesetz Abkürzung: SigG Art: Bundesgesetz Geltungsbereich …   Deutsch Wikipedia

  • Sigg — steht für: Sigg GR, Weiler der Gemeinde Valzeina, Kanton Graubünden, Schweiz SIGG steht für: SIGG, schweizerischer Hersteller von Trinkflaschen SigG ist die Abkürzung für: das Gesetz über Rahmenbedingungen für elektronische Signaturen, siehe… …   Deutsch Wikipedia

  • Asymmetrisches Signaturverfahren — Unter einer elektronischen Signatur versteht man mit elektronischen Informationen verknüpfte Daten, mit denen man den Unterzeichner bzw. Signaturersteller identifizieren und die Integrität der signierten elektronischen Informationen prüfen kann.… …   Deutsch Wikipedia

  • Digitale Unterschrift — Unter einer elektronischen Signatur versteht man mit elektronischen Informationen verknüpfte Daten, mit denen man den Unterzeichner bzw. Signaturersteller identifizieren und die Integrität der signierten elektronischen Informationen prüfen kann.… …   Deutsch Wikipedia

  • Elektronischer Rechtsverkehr (Deutschland) — Dieser Artikel wurde aufgrund von formalen und/oder inhaltlichen Mängeln in der Qualitätssicherung Recht zur Verbesserung eingetragen. Dies geschieht, um die Qualität von Artikeln aus dem Themengebiet Recht auf ein akzeptables Niveau zu bringen.… …   Deutsch Wikipedia

  • E-card (Chipkarte) — e card e card Rückseite (EKVK) Die österreichische „e card“ (SV Chipkarte) ist die personenbezogene Chipkarte des elektronischen Verwaltungssystems …   Deutsch Wikipedia

  • e-card (Chipkarte) — e card e card Rückseite ( …   Deutsch Wikipedia

  • Sichere Signaturerstellungseinheit — Der Begriff Sichere Signaturerstellungseinheit (SSEE) wurde in der Richtlinie 1999/93/EG über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen als konfigurierte Software oder Hardware definiert, die zur Speicherung und Anwendung… …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”