Die Signatur-Richtlinie

Die Europäische Kommission hat am 13.05.1998 einen Vorschlag für eine Richtlinie für digitale Signaturen beschlossen und diesen am 16.06.1998 vorgelegt.³⁰ Er sah weder für Zertifizierungsstel-len noch für technische Komponenten ein Zulassungsverfahren vor. Eine ausreichende Sicherheit sollte sich über den Markt herausbilden.³¹ Dabei sollte die elektronische Signatur nur bei Einhaltung

26 Ein Zeitstempel ist eine elektronische Bescheinigung darüber, daß ihr bestimmte Daten zu einem bestimmten Zeit-punkt vorgelegen haben. Der Zeitstempel verhindert die Vor- und Rückdatierung von Daten.

27 Seit dem 1. Juli 2000 erfolgt die Prüfung gem. § 17 SigV nach den „Gemeinsamen Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik“ (Common Criteria for Information Technology Security Evalu-ation (BAnz. 1999 S. 1945)-ISO/IEC 15408) oder nach den „Kriterien für die Bewertung der Sicherheit von Syste-men der Informationstechnik“ (ITSEC-GMBl. Vom 8. August 1992, Seite 545 ff.).

28 Roßnagel, NJW 1999, 1591.

29Telesec der Deutschen Telekom AG, Signtrust der Deutschen Post, DATEV, Medizon AG, die Bundesnotarkammer, die Steuerberaterkammern Nürnberg, Saarland und Bremen.

30 KOM(1998)297 endg., ABlEG Nr. C 325/5 v. 23.10.1998, im Folgenden „SigRL“ genannt.

31 Roßnagel, NJW 1999, 1591, 1592.

bestimmter abstrakter Sicherheitsanforderungen das rechtliche Erfordernis einer handschriftlichen Unterschrift erfüllen und in Gerichtsverfahren in gleicher Weise wie handschriftliche Unterschriften als Beweismittel zugelassen werden.³² Der Vorschlag der Kommission wurde allerdings im Europä-ischen Rat am 27.11.1998 zurückgewiesen. In der am 22.04.1999 vom Rat als gemeinsamen Stand-punkt verabschiedeten Fassung wurde das Regelungskonzept weitgehend beibehalten. Die erfolgten Änderungen näherten die Richtlinie aber dem alten deutschen Signaturgesetz an, da sie um techni-sche Anforderungen ergänzt wurde und Kontrollverfahren für sogenannte „sichere“ Signaturen vor-gesehen wurden.³³ Außerdem sollen die Mitgliedstaaten ein Aufsichtssystem über die Zertifizie-rungsdiensteanbieter einrichten. Im Gegensatz zum alten deutschen Signaturgesetz³⁴ regelt die Richtlinie auch Rechtsfolgen.³⁵ Die Richtlinie für elektronische Signaturen ist am 19.01.2000 als Richtlinie 99/93/EG des Europäischen Parlaments und des Rates über gemeinschaftliche Rahmen-bedingungen für elektronische Signaturen in Kraft getreten.³⁶

Hinsichtlich der Regelungsgegenstände Signatur und Zertifikat trifft Art. 2 SigRL neue Unter-scheidungen zwischen „elektronischer Signatur“ und „fortgeschrittener elektronischer Signatur“

sowie zwischen „Zertifikat“ und „qualifiziertem Zertifikat“. Auch gibt es weitere Neuerungen und terminologische Änderungen. Die Begriffsbestimmungen in Art. 2 der Richtlinie lauten:

„Art. 2

Im Sinne dieser Richtlinie bezeichnet der Ausdruck

1. „elektronische Signatur“ Daten in elektronischer Form, die anderen elektronischen Daten bei-gefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen;

2. „fortgeschrittene elektronische Signatur“ eine elektronische Signatur, die folgende Anforderun-gen erfüllt:

(a) sie ist ausschließlich dem Unterzeichner zugeordnet;

(b) sie ermöglicht die Identifizierung des Unterzeichners;

(c) sie wird mit Mitteln erstellt, die der Unterzeichner unter seiner alleinigen Kontrolle halten kann;

32 Vgl. Roßnagel, MMR 1998, 331, 334.

33 Vgl. Roßnagel, MMR 1999, 262.

34 So u.a. Geis, NJW 1997, 3000, 3002, der das SigG als einen „gesetzgeberischen Torso“ bezeichnet.

35 Auf diese wird in Kapitel 4 näher eingegangen.

36 ABl. EG L 13 vom 19.01.2000, 12.

(d) sie ist so mit den Daten, auf die sie sich bezieht, verknüpft, daß eine nachträgliche Verände-rung der Daten erkannt werden kann;

3. „Unterzeichner“ …;

4. „Signaturerstellungsdaten“ einmalige Daten wie Codes oder private kryptographische Schlüs-sel, die vom Unterzeichner zur Erstellung einer elektronischen Signatur verwendet werden;

5. „Signaturerstellungseinheit“ eine konfigurierte Software oder Hardware, die zur Implementie-rung de Signaturprüfdaten verwendet wird;

6. „sichere Signaturerstellungseinheit“ eine Signaturerstellungseinheit, die die Anforderungen des Anhangs III³⁷ erfüllt;

7. „Signaturprüfdaten“ Daten wie Codes oder öffentliche kryptographische Schlüssel, die zur Ü-berprüfung einer elektronischen Signatur verwendet werden;

8. „Signaturprüfeinheiten“ eine konfigurierte Soft- oder Hardware, die zur Implementierung der Signaturprüfdaten verwendet wird;

9. „Zertifikat“ eine elektronische Bescheinigung, mit der Signaturprüfdaten einer Person zuge-ordnet werden und die Identität dieser Person bestätigt wird;

10. „qualifiziertes Zertifikat“ ein Zertifikat, das die Anforderungen des Anhangs I³⁸ erfüllt und von einem Zertifizierungsanbieter bereitgestellt wird, der die Anforderungen des Anhangs II³⁹ er-füllt;

11. „Zertifizierungsdiensteanbieter“ eine Stelle oder eine juristische oder natürliche Person, die Zertifikate ausstellt oder anderweitige Dienste im Zusammenhang mit elektronischen Signaturen bereitstellt;

12. „Produkt für elektronische Signaturen“ Hard- oder Software beziehungsweise deren spezifische Komponenten, die von einem Zertifizierungsdiensteanbieter für die Bereitstellung von Diensten für elektronische Signaturen verwendet werden sollen oder die für die Erstellung und Überprü-fung elektronischer Signaturen verwendet werden sollen;

13. „freiwillige Akkreditierung“ eine Erlaubnis, mit der die Rechte und Pflichten für die Erbrin-gung von Zertifizierungsdiensten festgelegt werden und die auf Antrag des betreffenden Zertifi-zierungsdiensteanbieters von der öffentlichen oder privaten Stelle, die für die Festlegung dieser Rechte und Pflichten sowie für die Überwachung ihrer Einhaltung zuständig ist, erteilt wird,

37 Der Gesetzestext ist unten in Anhang I Nr. 1 abgedruckt.

38 Der Gesetzestext ist unten in Anhang I Nr. 1 abgedruckt.

39 Anhang II enthält einen Katalog von zwölf allgemein funktionalen Anforderungen an Zertifizierungsanbieter, die qualifizierte Zertifikate ausstellen. Der Gesetzestext ist unten in Anhang I Nr. 1 abgedruckt.

wenn der Zertifizierungsdiensteanbieter die sich aus der Erlaubnis ergebenden Rechte nicht ausüben darf, bevor er den Bescheid der Stelle erhalten hat. …“

An die einfache elektronische Signatur und an das normale Zertifikat werden keinerlei Anforderun-gen gestellt. Für eine simple elektronische Signatur nach Art. 2 Nr.1 SigRL kann bereits eine ein-gescannte Unterschrift genügen, auch wenn damit keinerlei Sicherheitswert verbunden ist. Lediglich für fortgeschrittene elektronische Signaturen und für qualifizierte Zertifikate werden Anforderungen gestellt.

Zertifizierungsdienste werden anders als die Zertifizierungsstellen im SigG a.F. allein durch die Tätigkeit des Zertifizierens definiert. Die Richtlinie erfaßt unter diesem Begriff alle Funktionen der Sicherungsinfrastruktur und ermöglicht dadurch unterschiedliche organisatorische Strukturen im Angebot von Sicherungsdienstleistungen.

Anders als nach dem Signaturgesetz a.F. dürfen gem. Art. 3 Abs. 1 der Richtlinie die Mit-gliedstaaten die Bereitstellung von Zertifizierungsdiensten nicht von einer vorherigen Genehmigung abhängig machen. Gem. Art. 3 Abs. 3 SigRL soll aber ein Überwachungssystem mit stichprobenar-tiger und anlaßbezogener Prüfung der Einhaltung der Bestimmungen für das jeweilige Hoheitsge-biet eingerichtet werden. Grund dieses Verbotes eines Genehmigungserfordernisses ist laut Erwä-gungsgrund 10 SigRL, das gemeinschaftsweite Anbieten von Zertifizierungsdiensten über offene Netze und damit die Wettbewerbsfähigkeit der Zertifizierungsanbieter zu fördern. In Erwägungs-grund 10 wird ebenfalls klargestellt, daß die vorherige Genehmigung nicht nur eine Erlaubnis be-deute, wonach der betreffende Zertifizierungsdiensteanbieter einen Bescheid der einzelstaatlichen Stellen einholen muß, bevor er seine Dienste erbringen kann, sondern „auch alle sonstigen Maß-nahmen mit gleicher Wirkung“. Dieses Genehmigungsverbot stellt einen großen Unterschied zum deutschen Signaturgesetz alter Fassung dar, bei dem eine vorherige Genehmigung unabdingbare Voraussetzung für das Tätigwerden der Zertifizierungsstellen war.

Allerdings gilt das Verbot eines Genehmigungserfordernisses nicht für freiwillige Akkreditie-rungssysteme, welche auf die Steigerung des Niveaus der erbrachten Zertifizierungsdienste abzie-len. Diese können die Mitgliedstaaten gem. Art. 3 Abs. 2 SigRL einführen bzw. beibehalten. Einzi-ge Voraussetzung hierfür ist, daß die mit diesen Systemen verknüpften AnforderunEinzi-gen objektiv, transparent, verhältnismäßig und nicht diskriminierend sind (Art. 3 Abs. 2 S. 2 SigRL). Die Mit-gliedstaaten dürfen dabei die Zahl der akkreditierten Zertifizierungsdiensteanbieter nicht aus Grün-den einschränken, die in Grün-den Geltungsbereich der Richtlinie fallen (Art. 3 Abs. 2 S. 3 SigRL).

Technische Komponenten werden in der Richtlinie nicht umfassend geregelt. Zwar definieren Art. 2 Nr. 5 und 8 SigRL die „Signaturerstellungseinheit“ und die "Signaturprüfeinheit“ als konfigu-rierte Software oder Hardware, die zur Implementierung der Signaturerstellungsdaten oder zur Imp-lementierung der Signaturprüfdaten verwendet wird. Jedoch werden an diese Einheiten weder An-forderungen gestellt, noch an ihre Verwendung Rechtsfolgen geknüpft. Funktionale Sicherungsan-forderungen werden nur für „sichere Signaturerstellungseinheiten“ in Anhang III erhoben. Für die

„sichere Signaturprüfung“ werden in Anhang IV⁴⁰ nur Empfehlungen formuliert. In dem Erwä-gungsgrund 8 der Richtlinie wird hierzu ausgeführt, die rasche technologische Entwicklung als auch der globale Charakter des Internet erfordere ein Konzept, wonach den „verschiedenen Technologien und Dienstleistungen im Bereich der elektronischen Authentifizierung der Weg offensteht“. Die in den Anhängen festgelegten Anforderungen werden nach Art. 9 Abs. 2 durch die Kommission präzi-siert.⁴¹ Sie wird dabei von dem neu zu bildenden „Ausschuß für elektronische Signaturen“ mit bera-tender Funktion unterstützt.

Art. 7 SigRL regelt die Voraussetzungen für die Gleichstellung des Zertifikates eines Zertifizie-rungsdiensteanbieters aus einem Drittstaat.⁴²