Digitale Signaturen in Europa

1. Einleitung

Der Bereich ”E-Commerce” gewinnt immer mehr an Bedeutung. Um in diesem Bereich aber Rechtssicherheit zu erlangen, war es notwendig Rechtsnormen zu schaffen, die den Umgang mit digitalen Signaturen regeln. Entgegen der ¨osterreichischen Tradition ”die Dinge langsam anzugehen”, wurde das Signaturgesetz bereits am 14. Juli 1999 vom Parlament mit den Stimmen aller Parteien beschlossen. Der Beschluß erfolgte noch bevor das europ¨aische Parlament eine entsprechende Richtlinie beschloß. Euphorisch haben die Abgeordneten von dem Gesetz geschw¨armt (vgl. [Nat99] Seiten 166-181).

In dieser Arbeit m¨ochte ich zuerst die europ¨aische Richtlinie kurz ansprechen, dann die Situation in O¨ sterreich und in anderen L¨andern. Schließen m¨ochte ich die Arbeit mit ein paar kritischen Bemerkungen.

2. Europa

Am 13. Dezember 1999 hat das europ¨aische Parlament die Richtlinie 1999/93/EG u¨ber gemeinschaftliche Rahmenbedingungen fu¨r elektronische Signaturen beschlossen. Als Gru¨nde dafu¨r werden u.a. angegeben, daß die elektronische Kommunikation und der elektronische Gesch¨aftsverkehr ”elektronische Signaturen” und entsprechende Authentifizierungsdienste fu¨r Daten erfordern. ”Divergierende Regeln u¨ber die rechtliche Anerkennung elektronischer Signaturen und die Akkreditierung von Zertifizierungsdiensteanbietern in den Mitgliedsstaaten k¨onnen ein ernsthaftes Hindernis fu¨r die elektronische Kommunikation und den elektroni- schen Gesch¨aftsverkehr darstellen. Klare gemeinschaftliche Rahmenbedingungen fu¨r elektronische Signaturen st¨arken demgegenu¨ber das Vertrauen und die allgemeine Akzeptanz hinsichtlich der neuen Technologien. Die Rechtsvorschriften der Mitgliedsstaaten sollen den freien Waren- und Dienstleistungsverkehr im Binnenmarkt nicht behindern.” (Punkt 4 der Begru¨ndungen zur Richtlinie 1999/93/EG)

Die Richtlinie muß von den EU-Mitgliedsstaaten bis zum 19. Juli 2001 umgesetzt werden (Art. 13 Abs. 1 der RL). Sp¨atestens am 1. Juli 2003 muß die Kommission dem europ¨aischen Parlament einen Bericht u¨ber die Durchfu¨hrung der Richtlinie liefern. ”Bei der U¨berpru¨fung ist unter anderem festzustellen, ob der Anwendungsbereich dieser Richtlinie angesichts der technologischen und rechtlichen Entwicklungen und der Marktentwicklung ge¨andert werden sollte. Der Bericht umfaßt insbesondere eine Bewertung der Harmoni- sierungsaspekte auf der Grundlage der gesammelten Erfahrungen.[...]” (Art. 12 Abs. 2 der RL)

3. O ¨sterreich

In O¨ sterreich ist das Signaturgesetz mit 1. J¨anner 2000 in Kraft getreten. Verlautbart wurde es im BGBl. I

190/1999. Es regelt ”den rechtlichen Rahmen fu ¨ r die Erstellung und Verwendung elektronischer Signaturen sowie fu ¨ r die Erbringung von Signatur- und Zertifizierungsdiensten.” (§ 1 Abs.1 SigG). Das Bundesgesetz gilt

auch im elektronischen Verkehr mit Gerichten und anderen Beh¨orden, sofern das nicht durch Gesetze andersbestimmt ist. Auf geschlossene Systeme ist das Gesetz nur anwendbar, wenn die Teilnehmer das vereinbaren

(vgl. § 1 Abs.2 SigG). Mit geschlossenen System sind solche gemeint, die der O¨ ffentlichkeit nicht oder nur

unter bestimmten Bedingungen zug¨anglich sind, beispielsweise beim ”Electronic Banking”.

Urspru¨nglich h¨atte das Signaturgesetz nicht nur die Authentifizierung, sondern auch die Vertraulichkeit regeln sollen. Leider wurde die Vertraulichkeit dann doch nicht beru¨cksichtigt (vgl. [MSPRS99], Seite 29f).

3.1 Begriffsbestimmungen

Ich habe die Begriffsbestimmungen aus dem SigG in Anhang B in alphabetischer Reihenfolge aufgelistet. Um die Materie genau zu verstehen rate ich dem Leser an, diese Definitionen genau zu lesen, da diese die Grundlage fu¨r das SigG bilden. Trotzdem m¨ochte ich hier einige wichtige Begriff noch einmal auflisten.

3.1.1 ”Elektronische Signatur” versus ”sichere elektronische Signatur”

Unter einer ”elektronischen Signatur” versteht man ”elektronische Daten, die anderen elektronischen Daten beigefu¨gt oder mit diesen logisch verknu¨pft werden und die der Authentifizierung, also der Feststellung der Identit¨at, dienen.”

Unter einer ”sicheren elektronischen Signatur” versteht man ”eine elektronische Signatur, die

a) ausschließlich dem Signator zugeordnet ist,
b) die Identifizierung des Signators erm ¨ oglicht,
c) mit Mitteln erstellt wird, die der Signator unter seiner alleinigen Kontrolle halten kann,
d) mit den Daten, auf die sie sich bezieht so verknu ¨ pft ist, daß jede nachtr ¨ agliche Ver ¨ anderung der Daten festgestellt werden kann, sowie
e) auf einem qualifizierten Zertifikat beruht und unter Verwendung von technischen Komponenten und Verfahren, die den Sicherheitsanforderungen dieses Bundesgesetzes und der auf seiner Grundlage er- gangenen Verordnungen entsprechen, erstellt wird.”

In den EBRV wird erw¨ahnt, daß hier bewußt ein technologieneutraler Definitonsansatz gew¨ahlt wurde. DerBegriff ”elektronische Signatur” sagt dabei auch noch nichts u¨ber die Qualit¨at aus. Erst der Begriff ”sichereelektronische Signatur” bestimmt, was erfu¨llt sein muß, damit eine ”elektronische Signatur” als sicher be-zeichnet werden darf. Ein weiterer Unterschied besteht darin, daß bei einer ”elektronischen Signatur” nur die Authenzit¨at des Absenders feststellbar sein muß, bei einer ”sicheren elektronischen Signatur” ist hingegenauch die Integrit¨at eines unterschriebenen elektronischen Dokuments gew¨ahrleistet. Diese Unterscheidung macht in der Praxis meiner Meinung nach keinen Sinn, da digitale Signaturen die Integrit¨at grunds¨atz- lich immer gew¨ahrleisten. Die Bezeichnung ”sichere elektronische Signatur” ist ansich nicht sehr glu¨cklichgew¨ahlt, weil der Umkehrschluß damit bedeutet, daß ”elektronische Signaturen” unsicher sind, was abernicht stimmen muß. Besser w¨are es wohl gewesen den Begriff ”fortgeschrittene elektronische Signatur” ausder RL zu u¨bernehmen.

3.1.2 ”Zertifikat” versus ”qualifiziertes Zertifikat”

Ein ”Zertifikat” ist ”eine elektronische Bescheinigung, mit der Signaturpru ¨ fdaten einer bestimmten Person zugeordnet werden k ¨ onnen.”

Ein ”qualifiziertes Zertifikat” ist ”ein Zertifikat, das die Angaben des § 5 enth ¨ alt und von einem den Anfor- derungen des § 7 entsprechenden Zertifizierungsdiensteanbieters ausgestellt wird.”

Welche Bedingungen fu¨r ein ”qualifiziertes Zertifikat” im einzelnen erfu¨llt sein mu¨ssen, habe ich in Kapitel 3.3 beschrieben.

3.2 Rechtserheblichkeit elektronischer Signaturen

Zertifizierungsdiensteanbieter k¨onnen jede Art von Signaturverfahren anbieten (§ 3 Abs.1 SigG). Auch darfdie rechtliche Wirksamkeit einer elektronischen Signatur und deren Verwendung als Beweismittel nicht nur deshalb ausgeschlossen werden, weil sie nicht auf einem qualifizierten Zertifikat beruht. Auf ersten Blick mag das seltsam erscheinen, jedoch gilt in O¨ sterreich sowieso das Prinzip der ”freien Beweiswu¨rdigung” durch

das Gericht bzw. die Beh¨orde (vgl. § 258 Abs.2 StPO, § 272 ZPO bzw. § 45 Abs.2 AVG).

Eine sichere elektronische Signatur erfu¨llt das Erfordernis einer eigenh¨andigen Unterschrift, insbesondereder Schriftlichkeit iSd § 886 ABGB. Diese Bestimmung ist insofern von großer Bedeutung, als in O¨ sterreich zwar grunds¨atzlich die Formfreiheit fu¨r Vertr¨age gilt (vgl. §§ 883 und 863 ABGB), in bestimmten F¨allen die

Schriftform jedoch vorgeschrieben ist. Ist die Schriftlichkeit bestimmt, so mu¨ssen die Vertragsparteien denVertrag eigenh¨andig unterschreiben, damit er Gu¨ltigkeit erlangt.

Auch sind die Bestimmungen des § 294 ZPO u¨ber die Vermutung der Echtheit des Inhalts einer unterschriebe-

nen Privaturkunde auf elektronische Dokumente anzuwenden, die mit einer sicheren elektronischen Signatur versehen sind (§ 4 Abs.3 SigG).

Elektronische Signaturen gelten jedoch gem¨aß § 4 Abs.2 SigG in folgenden F¨allen nicht, bei:

(1) Rechtsgesch¨aften des Familien- und Erbrechts, die an die Schriftform oder ein strengeres Formerfor-dernis gebunden sind,
(2) anderen Willenserkl¨arungen oder Rechtsgesch¨aften, die zu ihrer Wirksamkeit an die Form einer ¨offent-lichen Beglaubigung, einer gerichtlichen oder notariellen Beurkundung oder eines Notariatsakts gebun- den sind,
(3) Willenserkl¨arungen, Rechtgesch¨aften oder Eingaben, die zu ihrer Eintragung in das Grundbuch, dasFirmenbuch oder ein anderes ¨offentlichen Register einer ¨offentlichen Beglaubigung, einer gerichtlichenoder notariellen Beurkundung oder eines Notariatsakts bedu¨rfen, und
(4) einer Bu¨rgschaftserkl¨arung (§ 1346 Abs.2 ABGB).

Diese Einschr¨ankungen sollen vor allem vor u¨bereilten, nicht durchdachten Vertragsabschlu¨ssen schu¨tzen.Wird entgegen den Bestimmungen des § 4 Abs.2 SigG dennoch ein Vertrag abgeschlossen, so ist dieser

grunds¨atzlich nichtig. ”Die Nichtigkeitsfolge gilt allerdings nur mit einer sehr wesentlichen Einschr ¨ ankung: Soweit durch das forumungu ¨ ltige Rechtsgesch ¨ aft eine Leistungsverpflichtung des Schuldners herbeigefu ¨ hrt werden sollte, ist das forumungu ¨ ltige Gesch ¨ aft nicht schlechthin nichtig, sondern erzeugt eine sogenannte Naturalobligation, das heißt eine Leistungsverbindlichkeit, die nicht einklagbar, wohl aber erfu ¨ l lbar ist. [...] Die tats ¨ achliche Leistungs des Versprochenen heilt somit den Mangel der Form: Das Geleistete kann nicht

zuru ¨ ckgefordert werden ( § 1432 ABGB).”¹ Sind beispielsweise ”aus einem synallagmatischen Vertrag fu ¨ r bei-

de Partner Naturalobligationen entstanden und erbringt einer von ihnen seine Leistung, so heilt dies nicht

den ganzen Vertrag, so daß die Leistung des anderen Teils noch immer nicht einklagbar ist. Dem Vorleisten- den wird aber eine Kondiktion nach § 1435 ABGB zuzugestehen sein, wenn sein Partner die Naturalobligation

nicht ebenfalls erfu ¨ l lt.”²

Auch tritt die Rechtswirkung nicht ein, wenn nachgewiesen wird, daß die Sicherheitsanforderungen dieses

Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen nicht eingehalten oder die zur Ein- haltung dieser Sicherheitsanforderungen getroffenen Vorkehrungen kompromittiert wurden (§ 4 Abs. 4 SigG).

3.3 Qualifizierte Zertifikate

§ 5 SigG regelt, welche Eigenschaften ein Zertifikat haben muß, damit es als ”qualifiziert” gilt:

(1) Ein qualifiziertes Zertifikat muß als solches gekennzeichnet sein. Das ist ansich auch sehr sinnvoll.
(2) Es muß den unverwechselbaren Namen des Zertifizierungsdiensteanbieters und den Staat seiner Nie- derlassung enthalten.
(3) Auch muß der Name des Signators oder ein Pseudonym, das als solches zu bezeichnen ist, im Zertifikat enthalten sein.
(4) Eventuelle Angaben u¨ber eine Vertretungsmacht oder eine andere rechtliche erhebliche Eigenschaft desSignators, sind ebenfalls auf Antrag des Zertifikatswerbers aufzunehmen. Auf ersten Blick mag das sehr vernu¨ftig erscheinen. Aus juristischer Sicht ist es jedoch insofern problematisch, als der Zertifizie-rungsanbieter nur best¨atigen kann, daß die Vertretungsmacht zum Zeitpunkt des Antrags bestandenhat. Eine Verpflichtung, diesen Umstand regelm¨aßig zu u¨berpru¨fen, gibt es nicht. Lediglich wenn der Zertifizierungsanbieter von dem Umstand erf¨ahrt, daß sich die Vertretungsmacht ge¨andert hat, ist erverpflichtet das Zertifikat zu widerrufen (vgl. [MSPRS99], Seite 83). Ein m¨oglicher Vertragspartner wirddie in einem Zertifikat erw¨ahnte Vertretungsvollmacht also trotzdem noch selber u¨berpru¨fen mu¨ssen.
(5) Auch die dem Signator zugeordneten Signaturpru¨fdaten mu¨ssen in das Zertifikat aufgenommen werden.Dabei handelt es sich um den ¨offentlichen Signaturschlu¨ssel des Signators.
(6) Die Gu¨ltigkeitsdauer des Zertifikats ist auch ein wesentlicher Bestandteil. In den EBRV dazu steht, daßdie Gu¨ltigkeitsdauer eines Zertifikats jener Zeitraum ist, ”w¨ahrend dessen das Zertifikat zum Signierenverwendet werden darf”. Diese Formulierung ist meiner Meinung nach eher unglu¨cklich gew¨ahlt, da ja das Zertifikat nicht zum Signieren verwendet wird. Es best¨atigt viel mehr die behauptete Identit¨atdes Signators. Gemeint ist wohl, daß das Zertifikat nur fu¨r jene elektronisch signierten Dokumente herangezogen werden darf, die innerhalb des Gu¨ltigkeitszeitraums signiert wurden.
(7) Ein qualifiziertes Zertifikat muß eine eindeutige Kennung enthalten, die die eindeutige Zuordnung des Zertifikats zum ausstellenden Zertifizierungsdiensteanbieters erm¨oglicht.
(8) Der Zertifizierungsanbieter hat die M¨oglichkeit den Anwendungsbereich des Zertifikats und auch eineBegrenzung des Transaktionswertes im Zertifikat festzuhalten. Das ist insoferne fu¨r den Zertifizie- rungsanbieter von großer Bedeutung, als dieser in bestimmten F¨allen haftbar ist (siehe Kapitel 3.9).Dazu wird er in der Regel eine Versicherung abschließen, die jedoch eine maximale Haftungssumme vorschreiben wird. Allerdings wird in der Praxis ein maximaler Transaktionswert nicht ausreichen, da im elektronischen Verkehr leicht viele Transaktionen hintereinander get¨atigt werden k¨onnen, derenEinzelwert jeweils unter dem maximalen Transaktionswert liegt. A¨ hnlich wie bei Bankomaten, bei de- nen ein gewisses Limit in einem bestimmten Zeitraum gilt, wird es hier sinnvoll sein, eine funktionale
Einschr¨ankung des Anwendungsbereichs vorzunehmen (vgl. [MSPRS99], Seite 83).
(9) Auf Verlangen des Zertifikatswerbers k¨onnen weitere rechtliche erhebliche Angaben in das qualifizierteZertifikat aufgenommen werden, wie zum Beispiel das Geburtsdatum, die Staatsbu¨rgerschaft etc.
(10) Das qualifizierte Zertifikat muß mit der sicheren elektronischen Signatur des Zertifizierungsdienstean- bieters versehen sein.

[...]

¹ [KW92], Seite 152f.

² [KW92], Seite 201