Internet & Recht |
Domain | Urh/MarkR | Wettbew. | E-Comm. | Signatur | Zahlung | Datenschutz | MedienR |
Linkrecht | Diensteanbieter | Arbeit | Form.R/IPR | Straf | Sonstiges | hard+soft |
Die elektronische Signatur
Einführung - Recht EU - Recht Ö - Funktion - Arten - Zertifizierungsstellen - Links - Literatur
letzte Änderung 6.10.2008
Einführung
Ein Problem des kommerziellen und nicht kommerziellen Verkehrs im Internet war bisher die mangelnde Idendifizierbarkeit des Gegenübers. Eine Voraussetzung dafür, dass E-Mail die Papierpost in allen Bereichen ablösen kann, ist die Schaffung von Vertrauen - auch in rechtlicher Hinsicht. Damit Verträge über das Internet geschlossen, Amtswege absolviert und womöglich sogar Stimmen bei Wahlen abgegeben werden können, bedarf es einer hohen Sicherheit, dass der Absender wirklich der Absender ist und die Daten auf dem Weg nicht verändert worden sind. Darüber hinaus ist es notwendig, dass die rechtlichen Voraussetzungen gegeben sind, dass die elektronische Erklärung auch rechtliche Wirkung entfaltet und im Falle des Falles bei Gericht anerkannt wird. Schließlich muss auch sichergestellt sein, dass der grenzüberschreitende Verkehr nicht durch Systemunterschiede behindert wird.
Rechtslage auf europäischer Ebene
In der EU wurde aus diesen Gründen bereits seit Jahren an den Rahmenbedingungen für digitale Signaturen gearbeitet. Am 13.5.1998 kam es zu einem Vorschlag der Kommission für eine Richtlinie über gemeinsame Rahmenbedingungen für elektronische Signaturen (Entwurf Signatur-RL; KOM [1998] 297 endg.; ABl C 325, S 5 ff; geänderter Entwurf KOM [1999] 195 endg.) Am 13. 12. 1999 wurde die Richtlinie 99/93/EG über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen verabschiedet und am 19.1.2000 im Amtsbaltt der europäischen Gemeinschaften (ABl L 13/12) veröffentlicht. Die Richtlinie geht von einem technologieneutralen Ansatz aus und spricht daher nicht von "digitalen Signaturen", sondern von "elektronischen Signaturen". Als elektronische Signatur wird jedes Verfahren der elektronischen Authentifizierung angesehen.
Nach Artikel 5 der Richtlinie dürfen elektronische Signaturen im
geschäftlichen Verkehr nicht diskriminiert werden und müssen von Gerichten
und Behörden anerkannt werden. Der eigenhändigen Unterschrift gleichgestellt
werden elektronische Signaturen aber nur dann, wenn sie bestimmten
Sicherheitsstandards entsprechen, die in den Anhängen der Richtlinie näher
definiert werden (besondere Anforderungen an die
Zertifizierungsdienstanbieter und die Signaturen). Weiters ist in der
Signaturrichtlinie eine Aufsichtspflicht des Staates über die
Zertifizierungsdienstanbieter normiert und deren Mindesthaftung geregelt.
Die auf der Richtline beruhenden qualifizierten Zertifkate müssen innerhalb
der Eu ohne weitere Voraussetzung anerkannt werden.
Die Richtlinie war bis 18.7.2001 umzusetzen.
Rechtslage in Österreich
Österreich hat bereits am 14.7.1999 das
Signaturgesetz, BGBl I Nr. 190/1999, beschlossen, das am 1.1.2000 in
Kraft getreten ist. Am 2.2.2000 wurde die Signaturverordnung kundgemacht
(BGBl II Nr. 30/2000), mit der insbesondere die technischen
Sicherheitsanforderungen für sichere elektronische Signaturen sowie die
technischen, organisatorischen und personellen Anforderungen and die
Zertifizierungsanbieter, die qualifizierte Zertifikate ausstellen,
konkretisiert wurden. Aufsichtsstelle ist die Telekom-Control-Kommission,
eine Kollegialbehörde mit richterlichem Einschlag.
Mit der Novelle vom 22.11.2000 (
Regierungsvorlage 315 d.B.) erfolgten noch verschiedene Anpassungen. Darin geht es u.a. um
die Finanzierung der Aufsichtsstelle Telekom Control Kommission und GmbH
(nunmehr RTR-GmbH), die Gleichstellung von Bestätigungsstellen aus dem EU
und EWR-Bereich, die Anerkennung elektronischer Streitschlichtungsverfahren
und verschiedene kleinere Anpassungen.
Funktion der Signatur
Die derzeit bedeutendste Anwendungsart der elektronischen Signatur ist
die digitale Signatur. Sie beruht, vereinfacht gesagt, auf der
Verschlüsselung einer für den Dokumenteninhalt repräsentativen
Datenkombination. Dem Anwender werden von der Zertifizierungsstelle zwei
Datensätze, genannt Schlüssel, zugeordnet. Dieses Schlüsselpaar besteht aus
einem privaten und einem dazupassenden öffentlichen Schlüssel. Man spricht
auch von asymmetrischer Verschlüsselung oder Public-Key-Verfahren.
Der private Schlüssel ist geheim und nicht einmal dem Anwender
bekannt; er muss von diesem vor Zugriffen Unberechtiger gesichert werden;
dies geschieht entweder mit einem Passwort, einem PIN-Code wie bei der
Bankomat-Karte oder durch Verwendung von eigens dafür vorgesehenen
Smart Cards mit Lesegeräten.
Der öffentliche Schlüssel wird über das Internet frei zugänglich
gemacht; er dient der Überprüfung der elektronischen Signatur. Mit Hilfe
mathematischer Verfahren wird im digitalen Dokument ein "elektronischer
Fingerabdruck" erzeugt, der mit dem auf dem PC oder einer Chipkarte (bei der
sicheren elektronischen Signatur) gespeicherten privaten Schlüssel kodiert
wird. Vereinfacht ausgedrückt werden die aneinandergereihten Binärzahlen
aller Zeichen des Dokumentes einer komplizierten Berechnung mit sehr hohen
Primzahlen unterzogen und daraus der sogenannte Hash-Wert
ermittelt. Dieser wird mit dem privaten Schlüssel verschlüsselt. Bei der
Übermittlung des Dokumentes im Klartext wird die daraus erstellte Signatur
mitgeschickt. Auf dem Computer des Empfängers wird mit dem öffentlichen
Schlüssel des Absenders, der über das Internet besorgt wird, die Probe
durchgeführt. Ist der beim Empfänger auf diese Weise ermittelte Hash-Wert
ident mit dem unabhängig davon aus dem Klartext errechneten, ist das
Dokument im Originalzustand. Jede kleinste Veränderung, auch das bloße
Hinzufügen einer Leerstelle, würde den Hashwert verändern.
Arten von Signaturen
Sichere elektronische Signaturen: Signaturen im Sinne des Art. 5 Abs. 1 der SignaturRL, sind der eigenhändigen Unterschrift gleichgestellt und können somit die einfache Schriftform erfüllen (Ausnahme: Bürgschaften von Nichtkaufleuten, öffentliche (notarielle oder gerichtliche) Urkunden, Schrifterfordernisse im Erb- und Familienrecht). Für den Inhalt der mit einer elektronischen Signatur gesicherten Erklärung besteht eine qualifizierte Echtheitsvermutung. Technisch verlangen sie ein qualifiziertes Zertifikat (Schlüssellänge von 1023 Bit und besondere Ausstellungsprozedur sowie besondere Anforderungen an den Zertifizierungsanbieter.
Einfache elektronische Signaturen: Einfaches Zertifikat mit geringeren Anforderungen an den Zertifizierungsanbieter. „Einfache" Signaturen können im elektronischen Geschäftsverkehr verwendet werden, und sie können auch als Beweismittel im gerichtlichen oder behördlichen Verfahren dienen. § 3 Abs1 SigG läßt Signaturverfahren mit unterschiedlichen Sicherheitsstufen zu.
Digitale Signatur - Verschlüsselung
Während bei der digitalen Signatur der Text im Klartext verbleibt, sodass ihn jeder, der auf der Übermittlungsstrecke, etwa bei einem Provider, oder am Empfänger-Computer an die Daten kommt, lesen kann, wird bei der Verschlüsselung mit ähnlichen Methoden der Text selbst verschlüsselt. Dadurch entsteht ein "Zeichensalat", der beim Empfänger durch Entschlüsselung wieder in lesbaren Text umgewandelt wird. Ein bekanntes Verschlüsselungsprogramm ist etwa PGP (Pretty Good Privacy). Verschiedene Zertifizierungsanbieter bieten neben der Signatur zugleich auch eine Verschlüsselung an.
Zertifizierungsstellen
In Österreich sind derzeit (3/2003) fünf aktive Zertifizierungsdienstanbieter im Aufsichtsbereich der Rundfunk und Telekom Regulierungs-GmbH gemeldet (die Aufstellung der jeweils aktiven Dienste finden Sie bei der RTR)
- Arge Daten
- A-Trust
- xyzmo
- Generali (2006 nicht mehr)
- EuroPKI
- WebundCo (2006 nicht mehr existent)
Zertifikate, die von einem in der Europäischen Gemeinschaft niedergelassenen Zertifizierungsdiensteanbieter ausgestellt wurden und deren Gültigkeit vom Inland aus überprüft werden kann, sind inländischen Zertifikaten gleichgestellt.
Links
A-Sit | Bestätigungsstelle nach § 19 SigG mit vielen Informationen zur el. Signatur |
SigG | Signaturgesetz BGBl I Nr. 190/1999 mit eingearbeiteter Nov. |
SigVO | Signaturverordnung BGBl II Nr. 30/2000 |
EU-RL | |
FAQ | Fragen und Antworten zur elektronischen Signatur bei A-SIT |
WKO | Ausführliche Information der Wirtschaftskammer |
IT-Solution | Signaturanwendungen, E-Government, Glossar zur Digitalen Signatur |
Literatur
- Susanne Hähnchen, Jan Hockenholz, Praxisprobleme der elektronischen Signatur, 3/2008, Artikel bei JurPC
- Gernot Schmied, PGP-Zertifikate" ....des Signaturrechts vergessene Kinder? 2007, Studie bei iktech.net
- Florian Kunstein, Die elektronische Signatur als Baustein der elektronischen Verwaltung, 2005, Dissertation auf jurawelt.com
- Michael Nuster, Spezifische Fragen im Zusammenhang mit elektronischen Signaturen, 7/2005, Artikel bei it-law.at
- David Roithner, Elektronische Signatur - rechtliche Grundlagen und Anwendungsgebiete im Bankbereich, 4/2004, Diplomarbeit auf rechtsprobleme.at
- Christoph Meinel, Lutz Gollan: Digitale Signaturen in der Verwaltung, 10.3.2003, Artikel bei JurPC
- Mathias Neumayr, Zu E-Commerce, Elektronischer Signatur usw., 21.1.2003, pdf-Dokument (567 KB)
- Ralf Winter, Zur Formwirksamkeit einer Bürgschaftserklärung im modernen Rechtsgeschäftsverkehr, 10/2002, Artikel bei JurPC
- Christoph Meinel, Lutz Gollan: Der elektronische Personalausweis? - Elektronische Signaturen und staatliche Verantwortung, 23.9.2002, Artikel bei JurPC
- Andreas Vonkilch, Zum wirksamen Zugang von sicher signierten E-Mails, RdW 2001, 599
- Gunther Ledolter, Das österreichische Signaturgesetz und sein Umfeld, Diplomarbeit zum Mag.iur, August 2001, Uni Graz, Artikel bei leodolter online
- Christoph Reissner, Digitale Signatur in der Praxis, 1/2001, Artikel bei rechtsprobleme.at
- Rosenthal, Digitale Signaturen: Von Missverständnissen und gesetzlichen Tücken, 29.1.2001, Artikel bei Weblaw
- Urs Grimm, Wer hört mit? Digitale Zertifikate als sichere Punkte im Web-Dschungel, 26.9.2000, Artikel in der NZZ
- Schuhmacher, Sichere Signaturen im Beweisrecht, ecolex 2000, 860.
- Menzel, Elektronische Signaturen, 263 S., Verlag Österreich, Wien 2000
- Mayer-Schönberger, Bedauerlich: Signatur-Dienstleister nach der SigV, ecolex 2000, 130
- Miedbrodt, Rechtssicherheit im digitalen Rechtsverkehr, in Kröger/Gimmy, Handbuch zum Internet-Recht 2000
- Forgo, Was sind und wozu dienen digitale Signaturen, ecolex 1999, 235
- Forgo, Sicher ist sicher? – Das Signaturgesetz, ecolex 1999, 607
- Christoph Brenn, Das öst. Signaturgesetz - Unterschriftenersatz in elektronischen Netzwerken, ÖJZ 1999, 587, online bei rechtsprobleme.at
- Mayer-Schönberger/Pilz/Reiser/Schmölzer, Signaturgesetz 1999
- Stockinger, Österreichisches Signaturgesetz, MR 1999, 203
- Crash-Kurs E-Commerce von akademie.de
- Menzel/Schweighofer, Securing Electronic Commerce with Digital Signatures; BILETA, Cyberspace 1999
- Menzel/Schweighofer, Das österreichische Signaturgesetz, Datenschutz und Datensicherheit 9/1999, Vieweg, S.503-507