Inhaltsverzeichnis

1  Einleitung  3

2  Europa  4

3   

  Osterreich  5

3.1  Begriffsbestimmungen  5

3.1.1  Elektronische Signatur versus sichere elektronische Signatur  5

3.1.2  Zertifikat versus qualifiziertes Zertifikat  6

3.2  Rechtserheblichkeit elektronischer Signaturen  6

3.3  Qualifizierte Zertifikate  7

3.4  Zertifizierungsdiensteanbieter versus Zertifizierungsdiensteanbieter f ur qualifizierte Zertifikate  8

3.5  Widerruf von Zertifikaten  10

3.6  Einstellung der T atigkeit eines Zertifizierungsdiensteanbieters  10

3.7  Aufsichtsstelle  10

3.8  Rechte und Pflichten der Anwender  11

3.9  Haftung der Zertifizierungsdiensteanbieter  11

3.10  Anerkennung ausl andischer Zertifikate  11

3.11  Verwaltungsstrafbestimmungen  12

3.12  Aktive Zertifizierungsdiensteanbieter  12

4  Andere L ander  13

5  Schlußwort  14

  A Abk urzungen  15

  B Begriffsbestimmungen gem aß §2 SigG  16

  C Anh ange der Signaturverordnung  18

  C 1 Parameter f ur technische Komponenten und Verfahren f ur sichere elektronische Signaturen  

  (Anhang 1 SigV)  18

  C 2 Technische Verfahren und Formate (Anhang 2 SigV)  19

2

Kapitel 1

Einleitung

Der Bereich ”E-Commerce” gewinnt immer mehr an Bedeutung. Um in diesem Bereich aber Rechtssicherheit zu erlangen, war es notwendig Rechtsnormen zu schaffen, die den Umgang mit digitalen Signaturen regeln. Entgegen der ¨ osterreichischen Tradition ”die Dinge langsam anzugehen”, wurde das Signaturgesetz bereits am 14. Juli 1999 vom Parlament mit den Stimmen aller Parteien beschlossen. Der Beschluß erfolgte noch bevor das europ¨ aische Parlament eine entsprechende Richtlinie beschloß. Euphorisch haben die Abgeordneten von dem Gesetz geschw¨ armt (vgl. [Nat99] Seiten 166-181).

In dieser Arbeit m¨ ochte ich zuerst die europ¨ aische Richtlinie kurz ansprechen, dann die Situation in ¨ Osterreich

und in anderen L¨ andern. Schließen m¨ ochte ich die Arbeit mit ein paar kritischen Bemerkungen.

3

Kapitel 2

Europa

Am 13. Dezember 1999 hat das europ¨ aische Parlament die Richtlinie 1999/93/EG ¨ uber gemeinschaftliche

Rahmenbedingungen f¨ ur elektronische Signaturen beschlossen. Als Gr¨ unde daf¨ ur werden u.a. angegeben, daß die elektronische Kommunikation und der elektronische Gesch¨ aftsverkehr ”elektronische Signaturen” und entsprechende Authentifizierungsdienste f¨ ur Daten erfordern. ”Divergierende Regeln ¨ uber die rechtliche

Anerkennung elektronischer Signaturen und die Akkreditierung von Zertifizierungsdiensteanbietern in den Mitgliedsstaaten k¨ onnen ein ernsthaftes Hindernis f¨ ur die elektronische Kommunikation und den elektronischen Gesch¨ aftsverkehr darstellen. Klare gemeinschaftliche Rahmenbedingungen f¨ ur elektronische Signaturen st¨ arken demgegen¨ uber das Vertrauen und die allgemeine Akzeptanz hinsichtlich der neuen Technologien. Die Rechtsvorschriften der Mitgliedsstaaten sollen den freien Waren- und Dienstleistungsverkehr im Binnenmarkt nicht behindern.” (Punkt 4 der Begr¨ undungen zur Richtlinie 1999/93/EG)

Die Richtlinie muß von den EU-Mitgliedsstaaten bis zum 19. Juli 2001 umgesetzt werden (Art. 13 Abs. 1 der RL). Sp¨ atestens am 1. Juli 2003 muß die Kommission dem europ¨ aischen Parlament einen Bericht uber die Durchf¨ uhrung der Richtlinie liefern. ”Bei der ¨ Uberpr¨ ufung ist unter anderem festzustellen, ob der ¨

Anwendungsbereich dieser Richtlinie angesichts der technologischen und rechtlichen Entwicklungen und der Marktentwicklung ge¨ andert werden sollte. Der Bericht umfaßt insbesondere eine Bewertung der Harmonisierungsaspekte auf der Grundlage der gesammelten Erfahrungen.[...]” (Art. 12 Abs. 2 der RL)

4

Kapitel 3

¨

Osterreich

In ¨ Osterreich ist das Signaturgesetz mit 1. J¨ anner 2000 in Kraft getreten. Verlautbart wurde es im BGBl. I 190/1999. Es regelt ”den rechtlichen Rahmen f¨ ur die Erstellung und Verwendung elektronischer Signaturen sowie f¨ ur die Erbringung von Signatur- und Zertifizierungsdiensten.” (§1 Abs.1 SigG). Das Bundesgesetz gilt auch im elektronischen Verkehr mit Gerichten und anderen Beh¨ orden, sofern das nicht durch Gesetze anders bestimmt ist. Auf geschlossene Systeme ist das Gesetz nur anwendbar, wenn die Teilnehmer das vereinbaren (vgl. §1 Abs.2 SigG). Mit geschlossenen System sind solche gemeint, die der ¨ Offentlichkeit nicht oder nur

unter bestimmten Bedingungen zug¨ anglich sind, beispielsweise beim ”Electronic Banking”. Urspr¨ unglich h¨ atte das Signaturgesetz nicht nur die Authentifizierung, sondern auch die Vertraulichkeit regeln sollen. Leider wurde die Vertraulichkeit dann doch nicht ber¨ ucksichtigt (vgl. [MSPRS99], Seite 29f).

3.1 Begriffsbestimmungen

Ich habe die Begriffsbestimmungen aus dem SigG in Anhang B in alphabetischer Reihenfolge aufgelistet. Um die Materie genau zu verstehen rate ich dem Leser an, diese Definitionen genau zu lesen, da diese die Grundlage f¨ ur das SigG bilden. Trotzdem m¨ ochte ich hier einige wichtige Begriff noch einmal auflisten.

3.1.1 ”Elektronische Signatur” versus ”sichere elektronische Signatur”

Unter einer ”elektronischen Signatur” versteht man ”elektronische Daten, die anderen elektronischen Daten beigef¨ ugt oder mit diesen logisch verkn¨ upft werden und die der Authentifizierung, also der Feststellung der Identit¨ at, dienen.”

Unter einer ”sicheren elektronischen Signatur” versteht man ”eine elektronische Signatur, die

a) ausschließlich dem Signator zugeordnet ist,

b) die Identifizierung des Signators erm¨ oglicht,

c) mit Mitteln erstellt wird, die der Signator unter seiner alleinigen Kontrolle halten kann,

d) mit den Daten, auf die sie sich bezieht so verkn¨ upft ist, daß jede nachtr¨ agliche Ver¨ anderung der Daten festgestellt werden kann, sowie

e) auf einem qualifizierten Zertifikat beruht und unter Verwendung von technischen Komponenten und Verfahren, die den Sicherheitsanforderungen dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen entsprechen, erstellt wird.”

In den EBRV wird erw¨ ahnt, daß hier bewußt ein technologieneutraler Definitonsansatz gew¨ ahlt wurde. Der Begriff ”elektronische Signatur” sagt dabei auch noch nichts ¨ uber die Qualit¨ at aus. Erst der Begriff ”sichere

elektronische Signatur” bestimmt, was erf¨ ullt sein muß, damit eine ”elektronische Signatur” als sicher bezeichnet werden darf. Ein weiterer Unterschied besteht darin, daß bei einer ”elektronischen Signatur” nur die Authenzit¨ at des Absenders feststellbar sein muß, bei einer ”sicheren elektronischen Signatur” ist hingegen auch die Integrit¨ at eines unterschriebenen elektronischen Dokuments gew¨ ahrleistet. Diese Unterscheidung

5

KAPITEL 3. ¨ OSTERREICH 6

macht in der Praxis meiner Meinung nach keinen Sinn, da digitale Signaturen die Integrit¨ at grunds¨ atzlich immer gew¨ ahrleisten. Die Bezeichnung ”sichere elektronische Signatur” ist ansich nicht sehr gl¨ ucklich gew¨ ahlt, weil der Umkehrschluß damit bedeutet, daß ”elektronische Signaturen” unsicher sind, was aber nicht stimmen muß. Besser w¨ are es wohl gewesen den Begriff ”fortgeschrittene elektronische Signatur” aus der RL zu ¨ ubernehmen.

3.1.2 ”Zertifikat” versus ”qualifiziertes Zertifikat”

Ein ”Zertifikat” ist ”eine elektronische Bescheinigung, mit der Signaturpr¨ ufdaten einer bestimmten Person zugeordnet werden k¨ onnen.”

Ein ”qualifiziertes Zertifikat” ist ”ein Zertifikat, das die Angaben des §5 enth¨ alt und von einem den Anforderungen des §7 entsprechenden Zertifizierungsdiensteanbieters ausgestellt wird.”

Welche Bedingungen f¨ ur ein ”qualifiziertes Zertifikat” im einzelnen erf¨ ullt sein m¨ ussen, habe ich in Kapitel 3.3 beschrieben.

3.2 Rechtserheblichkeit elektronischer Signaturen

Zertifizierungsdiensteanbieter k¨ onnen jede Art von Signaturverfahren anbieten (§3 Abs.1 SigG). Auch darf die rechtliche Wirksamkeit einer elektronischen Signatur und deren Verwendung als Beweismittel nicht nur deshalb ausgeschlossen werden, weil sie nicht auf einem qualifizierten Zertifikat beruht. Auf ersten Blick mag das seltsam erscheinen, jedoch gilt in ¨ Osterreich sowieso das Prinzip der ”freien Beweisw¨ urdigung” durch das Gericht bzw. die Beh¨ orde (vgl. §258 Abs.2 StPO, §272 ZPO bzw. §45 Abs.2 AVG).

Eine sichere elektronische Signatur erf¨ ullt das Erfordernis einer eigenh¨ andigen Unterschrift, insbesondere der Schriftlichkeit iSd §886 ABGB. Diese Bestimmung ist insofern von großer Bedeutung, als in ¨ Osterreich

zwar grunds¨ atzlich die Formfreiheit f¨ ur Vertr¨ age gilt (vgl. §§883 und 863 ABGB), in bestimmten F¨ allen die Schriftform jedoch vorgeschrieben ist. Ist die Schriftlichkeit bestimmt, so m¨ ussen die Vertragsparteien den Vertrag eigenh¨ andig unterschreiben, damit er G¨ ultigkeit erlangt. Auch sind die Bestimmungen des §294 ZPO ¨ uber die Vermutung der Echtheit des Inhalts einer unterschriebenen Privaturkunde auf elektronische Dokumente anzuwenden, die mit einer sicheren elektronischen Signatur versehen sind (§4 Abs.3 SigG).

Elektronische Signaturen gelten jedoch gem¨ aß §4 Abs.2 SigG in folgenden F¨ allen nicht, bei:

(1) Rechtsgesch¨ aften des Familien- und Erbrechts, die an die Schriftform oder ein strengeres Formerfordernis gebunden sind,

(2) anderen Willenserkl¨ arungen oder Rechtsgesch¨ aften, die zu ihrer Wirksamkeit an die Form einer ¨ offentlichen Beglaubigung, einer gerichtlichen oder notariellen Beurkundung oder eines Notariatsakts gebunden sind,

(3) Willenserkl¨ arungen, Rechtgesch¨ aften oder Eingaben, die zu ihrer Eintragung in das Grundbuch, das Firmenbuch oder ein anderes ¨ offentlichen Register einer ¨ offentlichen Beglaubigung, einer gerichtlichen oder notariellen Beurkundung oder eines Notariatsakts bed¨ urfen, und

(4) einer B¨ urgschaftserkl¨ arung (§1346 Abs.2 ABGB).

Diese Einschr¨ ankungen sollen vor allem vor ¨ ubereilten, nicht durchdachten Vertragsabschl¨ ussen sch¨ utzen.

Wird entgegen den Bestimmungen des §4 Abs.2 SigG dennoch ein Vertrag abgeschlossen, so ist dieser grunds¨ atzlich nichtig. ”Die Nichtigkeitsfolge gilt allerdings nur mit einer sehr wesentlichen Einschr¨ ankung: Soweit durch das forumung¨ ultige Rechtsgesch¨ aft eine Leistungsverpflichtung des Schuldners herbeigef¨ uhrt werden sollte, ist das forumung¨ ultige Gesch¨ aft nicht schlechthin nichtig, sondern erzeugt eine sogenannte Naturalobligation, das heißt eine Leistungsverbindlichkeit, die nicht einklagbar, wohl aber erf¨ ullbar ist. [...] Die tats¨ achliche Leistungs des Versprochenen heilt somit den Mangel der Form: Das Geleistete kann nicht zur¨ uckgefordert werden (§1432 ABGB).” ¹ Sind beispielsweise ”aus einem synallagmatischen Vertrag f¨ ur beide Partner Naturalobligationen entstanden und erbringt einer von ihnen seine Leistung, so heilt dies nicht

¹ [KW92], Seite 152f.