Die elektronische Signatur

von Rechtsanwalt Dr. Karl Kr√ľckl, Linz

I. Einf√ľhrung

Der Nationalrat hat am 14. 7. 1999 das Bundesgesetz √ľber elektronische Signaturen (Signaturgesetz – SigG) beschlossen, das mit BGBl I 190/1999 kundgemacht wurde und am 1. J√§nner 2000 in Kraft tritt (1).

II. Ausgangssituation

Die Erl√§uternden Bemerkungen zur Regierungsvorlage (2) verweisen zur Notwendigkeit einer gesetzlichen Regelung darauf, dass die weitere Entwicklung des elektronischen Gesch√§fts- und Rechtsverkehrs √ľber das Internet und andere offene Netzwerke auch vom uneingeschr√§nkten Vertrauen der Teilnehmer abh√§nge. Insbesondere m√ľssten sie sich darauf verlassen k√∂nnen und dar√ľber Gewissheit haben, dass die ihnen zugesandten oder von ihnen abgeschickten Daten nicht ver√§ndert werden (3). Diese Sicherheit soll durch digitale Signaturen erreicht werden.

III. Technische Fragen

Digitale Signaturen bedienen sich in der Regel asymmetrischer Verschl√ľsselungsverfahren (4). Jeder Person werden zwei komplement√§re Schl√ľssel zugeordnet, n√§mlich der private (5) und der √∂ffentliche Signaturschl√ľssel.

W√§hrend der private Schl√ľssel geheim ist, steht der √∂ffentliche Schl√ľssel, nomen est omen, jedermann zur Verf√ľgung.

Mit Hilfe mathematischer Verfahren wird aus einem Dokument mit Hilfe eines Hash-Algorithmus (6) eine (unverf√§lschbare) Pr√ľfsumme, der Hashwert erzeugt, der verschl√ľsselt wird. Bei der Entschl√ľsselung mit dem √∂ffentlichen Schl√ľssel wird wiederum der Hashwert gebildet. Der anschlie√üende Vergleich dieses Wertes mit dem mittels privatem Schl√ľssel erzeugten und mitversandtem Hashwert zeigt bei identem Hashwert, dass die Nachricht nicht ver√§ndert wurde (7). Ver√§nderungen am √ľbertragenen Text f√ľhren zu einem anderen Hashwert. Der urspr√ľngliche, mit dem privaten Schl√ľssel erstellte und mitversandte Hashwert stimmt dann mit dem durch den √∂ffentlichen Schl√ľssel ermittelten Hashwert nicht mehr √ľberein (8) (9). Zudem ver√§ndert sich die digitale Signatur bei jedem Signaturvorgang, da der Hashwert bei jedem Dokument verschieden ist. Sie kann daher nicht kopiert werden (10).

Ausgehend vom Zweck der Regelung, die Authentizit√§t und Unverf√§lschheit elektronischer Daten zu garantieren (11), soll durch die Einschaltung von Zertifizierungsstellen das Risiko der Vorspiegelung einer falschen Identit√§t durch einen Schl√ľsselverwender hintangehalten werden (12).

IV. Rechtliche Umsetzung

1. Ziel

¬ß 1 Abs 1 bestimmt programmatisch: “Dieses Bundesgesetz regelt den rechtlichen Rahmen f√ľr die Erstellung und Verwendung elektronischer Signaturen sowie f√ľr die Erbringung von Signatur- und Zertifizierungsdiensten” (13).

2. Signaturverfahren unterschiedlicher Sicherheitsstufen und unterschiedliche Zertifikatsklassen

Nach § 3 können im Rechtsverkehr Signaturverfahren unterschiedlicher Sicherheitsstufen und unterschiedlicher Zertifikatsklassen verwendet werden (14) (15).

Dabei liegt eine sichere elektronische Signatur im Sinne des § 2 Ziff 3 nur dann vor, wenn

* die elektronische Signatur ausschließlich dem Signator zugeordnet ist,
* dessen Identifizierung ermöglicht,
* mit Mitteln erstellt wird, die der Signator unter seiner alleinigen Kontrolle halten kann,
* die mit den Daten, auf die sie sich bezieht, so verkn√ľpft ist, dass jede nachtr√§gliche Ver√§nderung der Daten festgestellt werden kann, sowie
* auf einem qualifizierten Zertifikat beruht und unter Verwendung von technischen Komponenten und Verfahren, die den Sicherheitsanforderungen des SigG und samt auf seiner Grundlage erlassenen Verordnungen entsprechen, erstellt wird.

Aber auch eine elektronische Signatur, die nicht sicher in diesem Sinn ist, sind im rechtsgesch√§ftlichen Verkehr nicht verboten (Nichtdiskriminierungsklausel) (16) und sind etwa in gerichtlichen Verfahren Beweismittel (17), die nat√ľrlich der richterlichen Beweisw√ľrdigung unterliegen.

3. Rechtswirkungen sicherer elektronischer Signaturen

Das √∂sterreichische Recht √ľberl√§sst es vom Grundsatz her den Parteien, in welcher Form sie ein Rechtsgesch√§ft schlie√üen wollen (¬ß 883 ABGB) (18), kennt aber auch vielfach das Formgebot der Schriftform (¬ß 886 ABGB). Diesem wurde bisher nur durch die eigenh√§ndige Unterschrift entsprochen (sog. einfache Schriftform) (19).

Schriftformgebunden sind etwa der Abschluss eines befristeten Mietvertrages, der Bautr√§gervertrag (20) ; der Verbraucherkreditvertrag und der Verbrauchergirokontovertrag sowie der Vertrag √ľber Abzahlungsgesch√§fte verlangen gleichfalls Schriftlichkeit, ohne dass bei Fehlen dieser Form die entsprechenden Vertage allerdings ung√ľltig w√§ren (21). Letztendlich darf auf den Beweiswert der Schriftform im Verfahren vor Gericht nicht vergessen werden (22).

Ab 1.1.2000 (23) erf√ľllt eine sichere elektronische Signatur das rechtliche Erfordernis einer eigenh√§ndigen Unterschrift, insbesondere im Sinne des ¬ß 866 ABGB (¬ß 4 Abs 1).

Da es aber keine Norm ohne Ausnahme gibt, wird diese Regel durch den Ausnahmekatalog des § 4 Abs 2 durchbrochen (24):

Formgebundene Rechtsgesch√§fte des Familien- und Erbrechts, etwa Testamente (25), Willenserkl√§rungen und Rechtsgesch√§fte, die zu ihrer Wirksamkeit oder zu ihrer Eintragung in ein √∂ffentliches Register (26) einer √∂ffentlichen Beglaubigung, Beurkundung oder eines Notariatsaktes bed√ľrfen, sowie die B√ľrgschaftserkl√§rung eines Nichtvollkaufmannes (27) entsprechen trotz Vorliegens einer sicheren elektronischen Signatur nicht dem Schriftformgebot.

Die letztgenannte Ausnahme ist in der Literatur bereits auf breite Kritik gesto√üen, da die Warnfunktion der klassischen Schriftform auch durch die sichere elektronische Signatur erf√ľllt sei und gem√§√ü ¬ß 20 der Signator im Rahmen des Sicherheits- und Zertifizierungskonzepts “klar und allgemein verst√§ndlich” zu informieren sei (28).

4. Zertifizierungsdiensteanbieter

Die T√§tigkeit der Zertifizierungsdiensteanbieter (29) besteht prim√§r in der Ausstellung von Signaturschl√ľsselzertifikaten, womit die Signaturpr√ľfdaten einer nat√ľrlichen Person zugeordnet werden (30).

Den unterschiedlichen Anforderungen der verschiedenen Lebenssachverhalte entsprechend, können die Zertifizierungsdiensteanbieter unterschiedliche Zertifizierungsklassen anbieten (31).

Zertifizierungsdiensteanbieter, die sichere elektronische Signaturverfahren anbieten und die Sicherheitsanforderungen des SigG erf√ľllen, k√∂nnen sich freiwillig bei der Aufsichtsstelle akkreditieren lassen und darauf im Gesch√§ftsverkehr hinweisen. Das hei√üt aber nicht im Umkehrschluss, dass nur akkreditierte Zertifizierungsdiensteanbieter sichere elektronische Signaturverfahren anbieten d√ľrfen (32). Vielmehr herrscht das gemeinschaftsrechtlich (33) (k√ľnftig (34) ) vorgegebene Prinzip der Genehmigungsfreiheit f√ľr Signatur- und Zertifizierungsdienste.

Zertifizierungsdiensteanbieter haften jedermann, der auf das Zertifikat vertraut, f√ľr die Richtigkeit der Angaben im Zeitpunkt der Ausstellung; sie haften insbesondere daf√ľr, dass der im qualifizierten Zertifikat angegebene Signator im Zeitpunkt der Ausstellung des Zertifikates im Besitze jener Signaturerstellungsdaten ist, die den im Zertifikat angegebenen Signaturpr√ľfdaten entsprechen (35) (36).

Zertifizierungsdiensteanbieter trifft die Pflicht zur “Unterrichtung” und “Information” der Anwender √ľber

* das Sicherheits- und Zertifizierungskonzept,
* notwendige Sicherheitsma√ünahmen des Anwenders wie sichere Verwahrung des Signaturschl√ľssels, Verwendung von PIN und/oder Passwort, Zertifikatswiderruf etwa bei Schl√ľsselverlust,
* aber auch √ľber die m√∂glichen Rechtswirkungen des von ihm verwendeten Signaturverfahrens (37).

Die entsprechenden Informationen m√ľssen dem Anwender dauerhaft zug√§nglich gemacht werden.

5. Aufsicht

Die Aufnahme und die Aus√ľbung der T√§tigkeit eines Zertifizierungsdiensteanbieters bedarf, wie erw√§hnt, keiner √ľber bestehende gewerberechtliche Bestimmungen hinausgehenden (38) gesonderten Genehmigung. Sie ist blo√ü bei der Telecom-Control-Kommission als Aufsichtsstelle anzuzeigen, wobei sich diese wiederum der Telecom-Control GmbH bedienen kann (39).

Die Aufsichtsstelle hat insbesondere daf√ľr Sorge zu tragen, dass f√ľr sichere elektronische Signaturen nur geeignete technische Komponenten und Verfahren verwendet werden (40). Dabei kann einem Zertifizierungsdiensteanbieter unter anderem die Aus√ľbung seiner T√§tigkeit ganz oder teilweise untersagt werden (41).

Signaturprodukte und technische Verfahren, die zur Bereitstellung und Verwendung sicherer elektronischer Signaturen eingesetzt werden, m√ľssen durch eine Best√§tigungsstelle (42) evaluiert sein (43). In √Ėsterreich √ľbernimmt diese Aufgabe der Verein “Zentrum f√ľr sichere Informationstechnologie – Austria (A-SIT)” (44).

6. Signaturverordnung

Detaillierte Durchf√ľhrungsvorschriften zum SigG wird die zu erlassende Signaturverordnung (45) enthalten. Sie soll insbesondere die n√§heren Sicherheitsanforderungen an die technischen Komponenten und Verfahren zur Erzeugung sicherer Signaturen regeln und wird wegen der raschen technologischen Entwicklung in diesem Bereich st√§ndig anzupassen sein (46).

7. Europarechtliches

Das SigG setzt (47) bereits den Vorschlag zur Signaturen-Richtlinie (48) (49) um.

Zertifikate, die von einem in der Europ√§ischen Gemeinschaft niedergelassenen Zertifizierungsdiensteanbieter ausgestellt wurden und deren G√ľltigkeit vom Inland aus √ľberpr√ľft werden kann, sind inl√§ndischen Zertifikaten gleichgestellt. Qualifizierte Zertifikate solcher Zertifizierungsdiensteanbieter entfalten dieselben Rechtswirkungen wie inl√§ndische qualifizierte Zertifikate (50) (51).

30.11.1999

(1) § 26 Abs 1 SigG; Paragrafen ohne Gesetzesangabe sind im Folgenden solche des SigG.

(2) 1999 Beil Sten Prot NR XX GP, 12;

(3) Vgl auch Brenn, Das √∂sterreichische Signaturgesetz – Unterschriftenersatz in elektronischen Netzwerken, √ĖJZ 1999, 587 ff, 588; Forgo, Was sind und wozu dienen digitale Signaturen? ecolex 1999, 235 ff, 235; Mayer-Sch√∂nberger – Pilz, E-Commerce: Rechtliche Rahmenbedingungen und Notwendigkeiten, AnwBl 1999, 217 ff.

(4) Mayer-Sch√∂nberger – Pilz, AnwBl 1999, 218, 220; Forgo, ecolex 1999, 235 ff; ders, Sicher ist sicher? – Das Signaturgesetz, ecolex 1999, 607 ff, 607; Brenn, √ĖJZ 1999, 588; Jud – H√∂gler-Pracher, Die Gleichsetzung elektronischer Signaturen mit der eigenh√§ndigen Unterschrift, ecolex 1999, 610 ff; EBRV, 14; das SigG ist aber technologieneutral, EBRV, 20.

(5) Etwa gespeichert auf einer Chipkarte, vgl Jud РHögler-Pracher, ecolex 1999, 610 ff, 610; Forgo, ecolex 1999, 236 mit Beispielen; siehe etwa auch EBRV, 26.

(6) Beispiel bei Forgo, ecolex 1999, 235; vgl auch Brenn, √ĖJZ 1999, 588.

(7) Forgo, ecolex 1999, 235 f; Jud РHögler-Pracher, ecolex 1999, 610.

(8) Forgo, ecolex 1999, 236.

(9) Vgl EBRV, 19, zu § 1 des Entwurfes.

(10) Forgo, ecolex 1999, 236.

(11) Mayer-Sch√∂nberger – Pilz, AnwBl 1999, 217; Brenn, √ĖJZ 1999, 588; Jud – H√∂gler-Pracher, ecolex 1999, 610; EBRV, 13.

(12) Forgo, ecolex 1999, 236.

(13) Vgl EBRV, 19.

(14) Beispiele hiezu aus der bereits bestehenden bundesdeutschen Praxis etwa bei Forgo, ecolex 1999, 236; vgl auch EBRV, 21, 22 (Beispiele der Datakom).

(15) Jud РHögler-Pracher, ecolex 1999, 611.

(16) ¬ß 3 Abs 2; EBRV, 23; Brenn, √ĖJZ 1999, 588, 590; Forgo, ecolex 1999, 607; EBRV, 14.

(17) EBRV, 23.

(18) EBRV, 24; Koziol – Welser, Grundriss des b√ľrgerlichen Rechts I(10), 149 ff Rummel in Rummel, ABGB I¬≤, ¬ß 883 RN 1 ff; Brenn, √ĖJZ 1999, 590 f; Mayer-Sch√∂nberger – Pilz, AnwBl 1999, 217..

(19) Koziol – Welser, aa0, 149 ff, Rummel in Rummel, ABGB I¬≤, ¬ß 886 RN 1 ff; Brenn, √ĖJZ 1999, 591.

(20) Vgl EBRV, 24.

(21) FN 17.

(22) Mayer-Schönberger РPilz, AnwBl 1999, 220.

(23) § 26 Abs 1.

(24) Dieser Ausnahmekatalog soll Art 9 Abs 2 E-Commerce-RL entsprechen, Jud – H√∂gler-Pracher, ecolex 1999, 611 f; Brenn, Der elektronische Gesch√§ftsverkehr, √ĖJZ 1999, 481 ff, 487.

(25) EBRV, 25; Brenn, √ĖJZ 1999, 591.

(26) Etwa Firmenbuch oder Grundbuch, EBRV, 25.

(27) Jud – H√∂gler-Pracher, ecolex 1999, 613; verfehlt diesbez√ľglich die EBRV, 24.

(28) Jud – H√∂gler-Pracher, ecolex 1999, 613; Forgo, ecolex 1999, 608; vgl Brenn, Verb√ľrgung durch mouse-click? ecolex 1999, 243 ff; aA EBRV, 25.

(29) § 2 Ziff 10.

(30) Brenn, √ĖJZ 1999, 591 f; Jud – H√∂gler-Pracher, ecolex 1999, 610; Forgo, ecolex 1999, 236; ders, ecolex 1999, 608..

(31) Mayer-Schönberger РPilz, AnwBl 1999, 221.

(32) EBRV, 15, 28, 38.

(33) Art 3 Abs 1 Sig-RL.

(34) Siehe FN 37.

(35) § 23.

(36) Der Zertifizierungsdiensteanbieter kann sich durch den Nachweis, dass weder ihn noch seine Leute ein Verschulden trifft, freibeweisen; § 23 Abs 3.

(37) Brenn, √ĖJZ 1999, 593; Jud – H√∂gler-Pracher, ecolex 1999, 614.

(38) EBRV, 28; Mayer-Sch√∂nberger – Pilz, AnwBl 1999, 221; Brenn, √ĖJZ 1999, 591.

(39) §§ 6 iVm 13, 15; Forgo, ecolex 1999, 607 ff, 608 f.

(40) Brenn, √ĖJZ 1999, 592.

(41) § 14.

(42) § 19

(43) Brenn, √ĖJZ 1999, 593; Forgo, ecolex 1999, 608 f.

(44) Brenn, √ĖJZ 1999, 594; EBRV, 18; Vereinsmitglieder sind derzeit das Bundesministerium f√ľr Finanzen, die √Ėsterreichische Nationalbank und die Technische Universit√§t Graz.

(45) ¬ß 25; vgl Brenn,, √ĖJZ 1999, 592.

(46) Mayer-Schönberger РPilz, AnwBl 1999, 222.

(47) Europarechtlich notwendig oder typisch österreichisch in vorauseilendem Gehorsam, das sei vorläufig dahin gestellt; vgl EBRV, 19.

(48) KOM (1999), 195 vom 29.4.1999; vgl Abl Nr C 325 vom 23.10.1998; vgl Mayer-Sch√∂nberger – Pilz, AnwBl 1999, 221; Jud – H√∂gler-Pracher, ecolex 1999, 610; Brenn, √ĖJZ 1999, 588; EBRV, 14.

(49) Rechtsvergleichender √úberblick in EBRV, 15 f.

(50) § 24.