Die elektronische Signatur

von Rechtsanwalt Dr. Karl Krückl, Linz

I. Einführung

Der Nationalrat hat am 14. 7. 1999 das Bundesgesetz über elektronische Signaturen (Signaturgesetz – SigG) beschlossen, das mit BGBl I 190/1999 kundgemacht wurde und am 1. Jänner 2000 in Kraft tritt (1).

II. Ausgangssituation

Die Erläuternden Bemerkungen zur Regierungsvorlage (2) verweisen zur Notwendigkeit einer gesetzlichen Regelung darauf, dass die weitere Entwicklung des elektronischen Geschäfts- und Rechtsverkehrs über das Internet und andere offene Netzwerke auch vom uneingeschränkten Vertrauen der Teilnehmer abhänge. Insbesondere müssten sie sich darauf verlassen können und darüber Gewissheit haben, dass die ihnen zugesandten oder von ihnen abgeschickten Daten nicht verändert werden (3). Diese Sicherheit soll durch digitale Signaturen erreicht werden.

III. Technische Fragen

Digitale Signaturen bedienen sich in der Regel asymmetrischer Verschlüsselungsverfahren (4). Jeder Person werden zwei komplementäre Schlüssel zugeordnet, nämlich der private (5) und der öffentliche Signaturschlüssel.

Während der private Schlüssel geheim ist, steht der öffentliche Schlüssel, nomen est omen, jedermann zur Verfügung.

Mit Hilfe mathematischer Verfahren wird aus einem Dokument mit Hilfe eines Hash-Algorithmus (6) eine (unverfälschbare) Prüfsumme, der Hashwert erzeugt, der verschlüsselt wird. Bei der Entschlüsselung mit dem öffentlichen Schlüssel wird wiederum der Hashwert gebildet. Der anschließende Vergleich dieses Wertes mit dem mittels privatem Schlüssel erzeugten und mitversandtem Hashwert zeigt bei identem Hashwert, dass die Nachricht nicht verändert wurde (7). Veränderungen am übertragenen Text führen zu einem anderen Hashwert. Der ursprüngliche, mit dem privaten Schlüssel erstellte und mitversandte Hashwert stimmt dann mit dem durch den öffentlichen Schlüssel ermittelten Hashwert nicht mehr überein (8) (9). Zudem verändert sich die digitale Signatur bei jedem Signaturvorgang, da der Hashwert bei jedem Dokument verschieden ist. Sie kann daher nicht kopiert werden (10).

Ausgehend vom Zweck der Regelung, die Authentizität und Unverfälschheit elektronischer Daten zu garantieren (11), soll durch die Einschaltung von Zertifizierungsstellen das Risiko der Vorspiegelung einer falschen Identität durch einen Schlüsselverwender hintangehalten werden (12).

IV. Rechtliche Umsetzung

1. Ziel

§ 1 Abs 1 bestimmt programmatisch: “Dieses Bundesgesetz regelt den rechtlichen Rahmen für die Erstellung und Verwendung elektronischer Signaturen sowie für die Erbringung von Signatur- und Zertifizierungsdiensten” (13).

2. Signaturverfahren unterschiedlicher Sicherheitsstufen und unterschiedliche Zertifikatsklassen

Nach § 3 können im Rechtsverkehr Signaturverfahren unterschiedlicher Sicherheitsstufen und unterschiedlicher Zertifikatsklassen verwendet werden (14) (15).

Dabei liegt eine sichere elektronische Signatur im Sinne des § 2 Ziff 3 nur dann vor, wenn

* die elektronische Signatur ausschließlich dem Signator zugeordnet ist,
* dessen Identifizierung ermöglicht,
* mit Mitteln erstellt wird, die der Signator unter seiner alleinigen Kontrolle halten kann,
* die mit den Daten, auf die sie sich bezieht, so verknüpft ist, dass jede nachträgliche Veränderung der Daten festgestellt werden kann, sowie
* auf einem qualifizierten Zertifikat beruht und unter Verwendung von technischen Komponenten und Verfahren, die den Sicherheitsanforderungen des SigG und samt auf seiner Grundlage erlassenen Verordnungen entsprechen, erstellt wird.

Aber auch eine elektronische Signatur, die nicht sicher in diesem Sinn ist, sind im rechtsgeschäftlichen Verkehr nicht verboten (Nichtdiskriminierungsklausel) (16) und sind etwa in gerichtlichen Verfahren Beweismittel (17), die natürlich der richterlichen Beweiswürdigung unterliegen.

3. Rechtswirkungen sicherer elektronischer Signaturen

Das österreichische Recht überlässt es vom Grundsatz her den Parteien, in welcher Form sie ein Rechtsgeschäft schließen wollen (§ 883 ABGB) (18), kennt aber auch vielfach das Formgebot der Schriftform (§ 886 ABGB). Diesem wurde bisher nur durch die eigenhändige Unterschrift entsprochen (sog. einfache Schriftform) (19).

Schriftformgebunden sind etwa der Abschluss eines befristeten Mietvertrages, der Bauträgervertrag (20) ; der Verbraucherkreditvertrag und der Verbrauchergirokontovertrag sowie der Vertrag über Abzahlungsgeschäfte verlangen gleichfalls Schriftlichkeit, ohne dass bei Fehlen dieser Form die entsprechenden Vertage allerdings ungültig wären (21). Letztendlich darf auf den Beweiswert der Schriftform im Verfahren vor Gericht nicht vergessen werden (22).

Ab 1.1.2000 (23) erfüllt eine sichere elektronische Signatur das rechtliche Erfordernis einer eigenhändigen Unterschrift, insbesondere im Sinne des § 866 ABGB (§ 4 Abs 1).

Da es aber keine Norm ohne Ausnahme gibt, wird diese Regel durch den Ausnahmekatalog des § 4 Abs 2 durchbrochen (24):

Formgebundene Rechtsgeschäfte des Familien- und Erbrechts, etwa Testamente (25), Willenserklärungen und Rechtsgeschäfte, die zu ihrer Wirksamkeit oder zu ihrer Eintragung in ein öffentliches Register (26) einer öffentlichen Beglaubigung, Beurkundung oder eines Notariatsaktes bedürfen, sowie die Bürgschaftserklärung eines Nichtvollkaufmannes (27) entsprechen trotz Vorliegens einer sicheren elektronischen Signatur nicht dem Schriftformgebot.

Die letztgenannte Ausnahme ist in der Literatur bereits auf breite Kritik gestoßen, da die Warnfunktion der klassischen Schriftform auch durch die sichere elektronische Signatur erfüllt sei und gemäß § 20 der Signator im Rahmen des Sicherheits- und Zertifizierungskonzepts “klar und allgemein verständlich” zu informieren sei (28).

4. Zertifizierungsdiensteanbieter

Die Tätigkeit der Zertifizierungsdiensteanbieter (29) besteht primär in der Ausstellung von Signaturschlüsselzertifikaten, womit die Signaturprüfdaten einer natürlichen Person zugeordnet werden (30).

Den unterschiedlichen Anforderungen der verschiedenen Lebenssachverhalte entsprechend, können die Zertifizierungsdiensteanbieter unterschiedliche Zertifizierungsklassen anbieten (31).

Zertifizierungsdiensteanbieter, die sichere elektronische Signaturverfahren anbieten und die Sicherheitsanforderungen des SigG erfüllen, können sich freiwillig bei der Aufsichtsstelle akkreditieren lassen und darauf im Geschäftsverkehr hinweisen. Das heißt aber nicht im Umkehrschluss, dass nur akkreditierte Zertifizierungsdiensteanbieter sichere elektronische Signaturverfahren anbieten dürfen (32). Vielmehr herrscht das gemeinschaftsrechtlich (33) (künftig (34) ) vorgegebene Prinzip der Genehmigungsfreiheit für Signatur- und Zertifizierungsdienste.

Zertifizierungsdiensteanbieter haften jedermann, der auf das Zertifikat vertraut, für die Richtigkeit der Angaben im Zeitpunkt der Ausstellung; sie haften insbesondere dafür, dass der im qualifizierten Zertifikat angegebene Signator im Zeitpunkt der Ausstellung des Zertifikates im Besitze jener Signaturerstellungsdaten ist, die den im Zertifikat angegebenen Signaturprüfdaten entsprechen (35) (36).

Zertifizierungsdiensteanbieter trifft die Pflicht zur “Unterrichtung” und “Information” der Anwender über

* das Sicherheits- und Zertifizierungskonzept,
* notwendige Sicherheitsmaßnahmen des Anwenders wie sichere Verwahrung des Signaturschlüssels, Verwendung von PIN und/oder Passwort, Zertifikatswiderruf etwa bei Schlüsselverlust,
* aber auch über die möglichen Rechtswirkungen des von ihm verwendeten Signaturverfahrens (37).

Die entsprechenden Informationen müssen dem Anwender dauerhaft zugänglich gemacht werden.

5. Aufsicht

Die Aufnahme und die Ausübung der Tätigkeit eines Zertifizierungsdiensteanbieters bedarf, wie erwähnt, keiner über bestehende gewerberechtliche Bestimmungen hinausgehenden (38) gesonderten Genehmigung. Sie ist bloß bei der Telecom-Control-Kommission als Aufsichtsstelle anzuzeigen, wobei sich diese wiederum der Telecom-Control GmbH bedienen kann (39).

Die Aufsichtsstelle hat insbesondere dafür Sorge zu tragen, dass für sichere elektronische Signaturen nur geeignete technische Komponenten und Verfahren verwendet werden (40). Dabei kann einem Zertifizierungsdiensteanbieter unter anderem die Ausübung seiner Tätigkeit ganz oder teilweise untersagt werden (41).

Signaturprodukte und technische Verfahren, die zur Bereitstellung und Verwendung sicherer elektronischer Signaturen eingesetzt werden, müssen durch eine Bestätigungsstelle (42) evaluiert sein (43). In Österreich übernimmt diese Aufgabe der Verein “Zentrum für sichere Informationstechnologie – Austria (A-SIT)” (44).

6. Signaturverordnung

Detaillierte Durchführungsvorschriften zum SigG wird die zu erlassende Signaturverordnung (45) enthalten. Sie soll insbesondere die näheren Sicherheitsanforderungen an die technischen Komponenten und Verfahren zur Erzeugung sicherer Signaturen regeln und wird wegen der raschen technologischen Entwicklung in diesem Bereich ständig anzupassen sein (46).

7. Europarechtliches

Das SigG setzt (47) bereits den Vorschlag zur Signaturen-Richtlinie (48) (49) um.

Zertifikate, die von einem in der Europäischen Gemeinschaft niedergelassenen Zertifizierungsdiensteanbieter ausgestellt wurden und deren Gültigkeit vom Inland aus überprüft werden kann, sind inländischen Zertifikaten gleichgestellt. Qualifizierte Zertifikate solcher Zertifizierungsdiensteanbieter entfalten dieselben Rechtswirkungen wie inländische qualifizierte Zertifikate (50) (51).

30.11.1999

(1) § 26 Abs 1 SigG; Paragrafen ohne Gesetzesangabe sind im Folgenden solche des SigG.

(2) 1999 Beil Sten Prot NR XX GP, 12;

(3) Vgl auch Brenn, Das österreichische Signaturgesetz – Unterschriftenersatz in elektronischen Netzwerken, ÖJZ 1999, 587 ff, 588; Forgo, Was sind und wozu dienen digitale Signaturen? ecolex 1999, 235 ff, 235; Mayer-Schönberger – Pilz, E-Commerce: Rechtliche Rahmenbedingungen und Notwendigkeiten, AnwBl 1999, 217 ff.

(4) Mayer-Schönberger – Pilz, AnwBl 1999, 218, 220; Forgo, ecolex 1999, 235 ff; ders, Sicher ist sicher? – Das Signaturgesetz, ecolex 1999, 607 ff, 607; Brenn, ÖJZ 1999, 588; Jud – Högler-Pracher, Die Gleichsetzung elektronischer Signaturen mit der eigenhändigen Unterschrift, ecolex 1999, 610 ff; EBRV, 14; das SigG ist aber technologieneutral, EBRV, 20.

(5) Etwa gespeichert auf einer Chipkarte, vgl Jud – Högler-Pracher, ecolex 1999, 610 ff, 610; Forgo, ecolex 1999, 236 mit Beispielen; siehe etwa auch EBRV, 26.

(6) Beispiel bei Forgo, ecolex 1999, 235; vgl auch Brenn, ÖJZ 1999, 588.

(7) Forgo, ecolex 1999, 235 f; Jud – Högler-Pracher, ecolex 1999, 610.

(8) Forgo, ecolex 1999, 236.

(9) Vgl EBRV, 19, zu § 1 des Entwurfes.

(10) Forgo, ecolex 1999, 236.

(11) Mayer-Schönberger – Pilz, AnwBl 1999, 217; Brenn, ÖJZ 1999, 588; Jud – Högler-Pracher, ecolex 1999, 610; EBRV, 13.

(12) Forgo, ecolex 1999, 236.

(13) Vgl EBRV, 19.

(14) Beispiele hiezu aus der bereits bestehenden bundesdeutschen Praxis etwa bei Forgo, ecolex 1999, 236; vgl auch EBRV, 21, 22 (Beispiele der Datakom).

(15) Jud – Högler-Pracher, ecolex 1999, 611.

(16) § 3 Abs 2; EBRV, 23; Brenn, ÖJZ 1999, 588, 590; Forgo, ecolex 1999, 607; EBRV, 14.

(17) EBRV, 23.

(18) EBRV, 24; Koziol – Welser, Grundriss des bürgerlichen Rechts I(10), 149 ff Rummel in Rummel, ABGB I², § 883 RN 1 ff; Brenn, ÖJZ 1999, 590 f; Mayer-Schönberger – Pilz, AnwBl 1999, 217..

(19) Koziol – Welser, aa0, 149 ff, Rummel in Rummel, ABGB I², § 886 RN 1 ff; Brenn, ÖJZ 1999, 591.

(20) Vgl EBRV, 24.

(21) FN 17.

(22) Mayer-Schönberger – Pilz, AnwBl 1999, 220.

(23) § 26 Abs 1.

(24) Dieser Ausnahmekatalog soll Art 9 Abs 2 E-Commerce-RL entsprechen, Jud – Högler-Pracher, ecolex 1999, 611 f; Brenn, Der elektronische Geschäftsverkehr, ÖJZ 1999, 481 ff, 487.

(25) EBRV, 25; Brenn, ÖJZ 1999, 591.

(26) Etwa Firmenbuch oder Grundbuch, EBRV, 25.

(27) Jud – Högler-Pracher, ecolex 1999, 613; verfehlt diesbezüglich die EBRV, 24.

(28) Jud – Högler-Pracher, ecolex 1999, 613; Forgo, ecolex 1999, 608; vgl Brenn, Verbürgung durch mouse-click? ecolex 1999, 243 ff; aA EBRV, 25.

(29) § 2 Ziff 10.

(30) Brenn, ÖJZ 1999, 591 f; Jud – Högler-Pracher, ecolex 1999, 610; Forgo, ecolex 1999, 236; ders, ecolex 1999, 608..

(31) Mayer-Schönberger – Pilz, AnwBl 1999, 221.

(32) EBRV, 15, 28, 38.

(33) Art 3 Abs 1 Sig-RL.

(34) Siehe FN 37.

(35) § 23.

(36) Der Zertifizierungsdiensteanbieter kann sich durch den Nachweis, dass weder ihn noch seine Leute ein Verschulden trifft, freibeweisen; § 23 Abs 3.

(37) Brenn, ÖJZ 1999, 593; Jud – Högler-Pracher, ecolex 1999, 614.

(38) EBRV, 28; Mayer-Schönberger – Pilz, AnwBl 1999, 221; Brenn, ÖJZ 1999, 591.

(39) §§ 6 iVm 13, 15; Forgo, ecolex 1999, 607 ff, 608 f.

(40) Brenn, ÖJZ 1999, 592.

(41) § 14.

(42) § 19

(43) Brenn, ÖJZ 1999, 593; Forgo, ecolex 1999, 608 f.

(44) Brenn, ÖJZ 1999, 594; EBRV, 18; Vereinsmitglieder sind derzeit das Bundesministerium für Finanzen, die Österreichische Nationalbank und die Technische Universität Graz.

(45) § 25; vgl Brenn,, ÖJZ 1999, 592.

(46) Mayer-Schönberger – Pilz, AnwBl 1999, 222.

(47) Europarechtlich notwendig oder typisch österreichisch in vorauseilendem Gehorsam, das sei vorläufig dahin gestellt; vgl EBRV, 19.

(48) KOM (1999), 195 vom 29.4.1999; vgl Abl Nr C 325 vom 23.10.1998; vgl Mayer-Schönberger – Pilz, AnwBl 1999, 221; Jud – Högler-Pracher, ecolex 1999, 610; Brenn, ÖJZ 1999, 588; EBRV, 14.

(49) Rechtsvergleichender Überblick in EBRV, 15 f.

(50) § 24.