Bereits bei der Verabschiedung des 
Informations- und
Kommunikationsdienstegesetzes (IuKDG) hatte der Bundestag 1997
beschlossen, die Wirkung der neuen Regelungen zu evaluieren -
insbesondere auch im Hinblick auf das darin enthaltene
Signaturgesetz (SigG-97). Die Bundesregierung wurde aufgefordert,
nach zwei Jahren einen Bericht über die Wirkung der Gesetze
und gegebenenfalls erforderliche Veränderungen vorzulegen.
Das SigG-97 hat in Deutschland einen gravierenden Schub in der Diskussion um Sicherheit und Verbindlichkeit des elektronischen Rechts, Geschäfts- und Privatverkehrs ausgelöst. Durch die getroffenen Regelungen für Rahmenbedingungen sicherer digitaler Signaturen sind vielfältige Vorhaben angestoßen worden, die sich mit deren Umsetzung befassen. Dabei stehen bislang allerdings die im Gesetz definierten "normativen" Sicherheitsziele für Produkte und Verfahren im Mittelpunkt, während die Integration von Signaturanwendungen in elektronische Geschäftsprozesse gerade erst beginnt.
Mit dem Vorgehen nach SigG-97 und der dazu gehörenden
Signaturverordnung (SigV-97) ist trotz teilweise vorhandener
Entwicklungsergebnisse erheblicher Evaluierungs- und
Investitionsaufwand verbunden, der die zeitlichen Abläufe
für die Bereitstellung der Infrastruktur für
"gesetzeskonforme" digitale Signaturen bestimmt. Die
Ergebnisse sind bekannt: Bisher sind erst zwei Anbieter von
"Digitalen Signaturen nach Gesetz und Verordnung" durch
die Regulierungsbehörde für
Telekommunikation und Post (RegTP - zuständig für
Genehmigung und Überwachung von Zertifizierungsstellen)
genehmigt worden: Telekom/Telesec und die Deutsche Post/Signtrust.
Ihre Dienstleistungen beruhen auf vergleichbaren Technologien, sind
aber nicht interoperabel.
Auch die Erfüllung der SigV-97-Anforderungen an Chipkarten und Chipkartenbetriebssysteme ist aufwändig. Bisher gibt es erst eine einzige gesetzeskonforme Lösung. Insgesamt bietet sich ein enttäuschendes Bild: Die Angebote von Signaturchipkarten und Zertifikaten haben den Markt bisher praktisch nicht erreicht.
----------Anfang Textkasten----------
Die Bemühungen um einen gesetzlich anerkannten elektronischen Rechtsverkehr reichen international in die erste Hälfte der 90er Jahre zurück. In Deutschland begann eine (eingeschränkt öffentliche) Diskussion darüber nach einem gemeinsamen Forum der Bundesnotarkammer mit TeleTrusT Deutschland im Jahre 1993. Dieses Forum hatte zum Ziel, den gesetzgeberischen Handlungsbedarf für die Zulassung digitaler Signaturen im Rechtsverkehr zu ermitteln. Obwohl dort bereits die zurückhaltende Position der beteiligten Juristen zu einer rechtlichen Gleichstellung der digitalen Signatur mit der Handunterschrift oder der Gleichstellung eines elektronischen Dokumentes mit einer Urkunde sichtbar wurde, war in den Folgejahren die Diskussion zu einem Signaturgesetz durch ein Konzept geprägt, dass Rechtsfolgen sowie Infrastruktur- und Sicherheitsanforderungen gemeinsam gestalten sollte. Die Bundesnotarkammer legte 1996 einen entsprechenden Vorschlag für einen Gesetzestext vor, der bereits auf einen §126a im BGB abzielte, mit dem die Schriftformerfordernisse auf eine elektronische Form per digitaler Signatur abgebildet wurden.
Im Bundesministerium der Justiz (BMJ) fand
dieser Vorschlag keine Unterstützung. Daher blieb letztendlich
vom ursprünglichen Ansatz - die Anwendung eines modernen
elektronischen Rechtsverkehrs durch generelle gesetzliche
Anerkennung eines elektronischen Dokuments zu fördern und die
dazu notwendigen Infrastrukturvoraussetzungen zu regeln - lediglich
der technikregulierende Teil übrig. Dieser wurde zudem
vorwiegend durch Ressorts aus anderen Bundesministerien
(Bundesministerium des Innern, Bundesministerium für Bildung
und Forschung) weiterverfolgt.
Im Jahre 1997 trat in Deutschland im Rahmen des Informations- und Kommunikationsdienstegesetzes (IuKDG, BGBlI, 1997, S.1870) das Gesetz zur digitalen Signatur (SigG-97) in Kraft. Zusammen mit der Signaturverordnung (SigV-97, BGBlI, 1997, S.2498) lag damit eine gesetzliche Regulierung der technischen und organisatorischen Abläufe für die Anwendung digitaler Signaturen vor, die mit einem weitgehenden Sicherheitsversprechen verbunden war. Der erste Paragraph des SigG-97 bestimmt:
Zweck des Gesetzes ist es, Rahmenbedingungen für digitale Signaturen zu schaffen, unter denen diese als sicher gelten und Fälschungen digitaler Signaturen oder Verfälschungen von signierten Daten zuverlässig festgestellt werden können.
Das SigG-97 regelt selbst keine Rechtsfolgen einer digitalen Signatur, sondern sollte die Grundlage für Bestimmungen zur Zulässigkeit eines elektronischen Rechtsverkehrs im Privat- und Zivilprozessrecht sowie im öffentlichen Recht bilden. Die gesetzliche Regulierung der dafür als notwendig erachteten Anforderungen erfolgt "vorausschauend" in einer Art und Weise, die direkten Einfluss auf die technischen Entwicklungen nimmt und die restriktiv im Hinblick auf Zertifizierungsdienstleistungen wirkt. Insbesondere ist der Marktzugang durch das Genehmigungsverfahren für "signaturgesetzkonforme" Zertifizierungsstellen festgelegt. Sowohl "Time to Market" als auch das Dienstleistungsspektrum sind dadurch reguliert. Ebenso wurde die Hierarchie der Zertifizierungsinfrastruktur vorgegeben.
Das Europäische Parlament und der Rat der Europäischen Union haben am 13. Dezember 1999 die "Richtlinie 1999/93/EG über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen" (EU-RL) erlassen, die am 19. Januar 2000 im Amtsblatt der Europäischen Gemeinschaften (L13/12) veröffentlicht wurde. Die Mitgliedsstaaten müssen die Richtlinie bis zum 19. Juli 2001 durch Rechts- und Verwaltungsvorschriften umzusetzen.
Die EU-RL weist gegenüber dem Regelungsansatz des SigG-97 einige wesentliche Unterschiede auf:
Drei Anhänge zur EU-RL erfassen generisch die Anforderungen an qualifizierte Zertifikate, an Zertifizierungsdiensteanbieter, die solche Zertifikate ausstellen, und an sichere Signaturerstellungseinheiten. Ein weiterer Anhang enthält Empfehlungen für die sichere Signaturprüfung. Die Anforderungen der Anhänge werden durch einen "Ausschuss für elektronische Signaturen" europaweit harmonisiert.
Jedoch wird in den der EU-RL vorgeschalteten 28 "Erwägungsgründen" deutlich, dass das Ziel, marktgerechte Lösungen für verbindliche elektronische Dienste zu fördern, letztlich als ein Kompromiss zwischen den Standpunkten der EU-Mitgliedsstaaten verstanden werden muss. So heißt es im Erwägungsgrund (4):
Elektronische Kommunikation und elektronischer Geschäftsverkehr erfordern 'elektronische Signaturen' und entsprechende Authentifizierungsdienste für Daten. Divergierende Regeln über die rechtliche Anerkennung elektronischer Signaturen und die Akkreditierung von Zertifizierungsdiensteanbietern in den Mitgliedsstaaten können ein ernsthaftes Hindernis für die elektronische Kommunikation und den elektronischen Geschäftsverkehr darstellen. Klare gemeinschaftliche Rahmenbedingungen für elektronische Signaturen stärken demgegenüber das Vertrauen und die allgemeine Akzeptanz hinsichtlich der neuen Technologien. Die Rechtsvorschriften der Mitgliedsstaaten sollten den freien Waren- und Dienstleistungsverkehr im Binnenmarkt nicht behindern.
Die EU-RL führt durch Definition zwei Stufen elektronischer Signaturen ein:
Den fortgeschrittenen elektronischen Signaturen, die auf einem qualifizierten Zertifikat beruhen und die mit einer sicheren Signaturerstellungseinheit erstellt wurden, weist die EU-RL unmittelbar bestimmte Rechtswirkungen zu. Im Zusammenhang mit dem in Deutschland ausführlich diskutierten elektronischen Rechtsverkehr, besitzt der Artikel5 der EU-RL zentrale Bedeutung:
- Die Mitgliedsstaaten tragen dafür Sorge, dass fortgeschrittene elektronische Signaturen, die auf einem qualifizierten Zertifikat beruhen und die von einer sicheren Signaturerstellungseinheit erstellt werden,
- die rechtlichen Anforderungen an eine Unterschrift in Bezug auf in elektronischer Form vorliegende Daten in gleicher Weise erfüllen wie handschriftliche Unterschriften in Bezug auf Daten, die auf Papier vorliegen, und
- in Gerichtsverfahren als Beweismittel zugelassen sind.
- Die Mitgliedsstaaten tragen dafür Sorge, dass einer elektronischen Signatur die rechtliche Wirksamkeit und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen wird,
- weil sie in elektronischer Form vorliegt oder
- nicht auf einem qualifizierten Zertifikat beruht oder
- nicht auf einem von einem akkreditierten Zertifizierungsdiensteanbieter ausgestellten qualifizierten Zertifikat beruht oder
- nicht von einer sicheren Signaturerstellungseinheit erstellt wurde.
Die "fortgeschrittene elektronische Signatur" nach Artikel5 Abs.1 ist die Standardqualität eines EU-weit gültigen Äquivalents zur Schriftform. Ihre Rechtswirkung ist unabhängig davon, in welchem EU-Staat der Zertifizierungsdiensteanbieter seinen Sitz hat.
Neben dieser Standardqualität, die von Zertifizierungsdiensteanbietern ohne vorherige Genehmigung angeboten werden kann, sind freiwillige Akkreditierungssysteme zugelassen, die auf eine Steigerung des Niveaus der erbrachten Dienste abzielen. Die freiwillige Akkreditierung wird als eine Erlaubnis definiert, mit der Rechte und Pflichten für die Erbringung von Zertifizierungsdiensten festgelegt werden und die auf Antrag des betreffenden Zertifizierungsdiensteanbieters von der öffentlichen oder privaten Stelle erteilt wird, die für die Festlegung der Rechte und Pflichten sowie die Überwachung zuständig ist. Die mit Akkreditierungssystemen verknüpften Anforderungen müssen objektiv, transparent, verhältnismäßig und nichtdiskriminierend sein. Sie dürfen den Wettbewerb im Bereich der Zertifizierungsdienste nicht einschränken.
Die EU-RL lässt außerdem zu, elektronische Signaturen für den Einsatz im öffentlichen Bereich zusätzlichen Anforderungen zu unterwerfen. Auch diese Anforderungen müssen objektiv, transparent, verhältnismäßig und nichtdiskriminierend sein und dürfen für grenzüberschreitende Dienste für den Bürger kein Hindernis darstellen.
----------Ende Textkasten----------
Leider hat die Bundesregierung die Evaluierung des SigG-97 und die Notwendigkeit einer Anpassung der deutschen Rechtsvorschriften an die Signaturrichtlinie der Europäischen Union (EU-RL) nicht genutzt, um das Regulierungskonzept hinsichtlich seiner Wirkung auf die Technikgestaltung und auf die Anforderungen von Anwendungsbereichen kritisch zu beleuchten und Anpassungen vorzubereiten. Statt dessen hat die Bundesregierung im Evaluierungsbericht (BT Drucksache 14/1191 vom 18. Juni 1999, S. 20) dieses Konzept als erfolgreich bewertet und im Hinblick auf die EU-RL erklärt:
Die EG-Richtlinie für elektronische Signaturen wird nach dem gegenwärtigen Stand voraussichtlich keine wesentlichen Anpassungen im Signaturgesetz erfordern. Hiernach wird insbesondere eine Erweiterung des Regelumfanges auch auf 'einfache' elektronische Signaturen sowie die Aufnahme einer Haftungsregelung erforderlich sein. Außerdem wird neben das bisherige Genehmigungsverfahren eine wirksame Kontrolle der nicht genehmigten Zertifizierungsstellen, die 'qualifizierte Zertifikate' ausstellen, treten müssen.
Am 06. Januar 2000 hat das Bundesministerium für Wirtschaft und
Technologie (BMWi) Eckpunkte für die notwendigen
Gesetzesänderungen veröffentlicht, die unter anderem
folgenden Handlungsbedarf feststellen:
Demzufolge liegen inzwischen zwei Gesetzentwürfe vor, die gemeinsam eine viel weitergehende Umsetzung der EU-RL darstellen und beide im Herbst 2000 in die parlamentarische Behandlung gebracht werden sollen. Es besteht die Absicht, diese Gesetze im Januar 2001 in Kraft treten zu lassen.
Beim ersten Entwurf handelt es sich um den Nachfolger des
SigG-97, das Gesetz über Rahmenbedingungen für
elektronische Signaturen (SigG-2000, siehe http://www.
iid.de/iukdg/eval/). Die Zweckbestimmung des SigG-2000 wurde
zwar an die EU-RL angeglichen und spricht nunmehr auch von
elektronischen Signaturen. Der deutsche Gesetzgeber
übernimmt aber nicht die Begriffsbestimmungen der EU-RL,
sondern führt ein eigenes System von Begriffen ein. So werden
elektronische Signaturen nach Artikel 5(1) der EU-RL als
qualifizierte elektronische Signaturen bezeichnet.
Das SigG-2000 reguliert die Rahmenbedingungen für qualifizierte elektronische Signaturen mit genehmigungsfreien Zertifizierungsstellen und führt ein freiwilliges Akkreditierungsverfahren ein, das die Anforderungen des bisherigen Genehmigungsverfahrens für Zertifizierungsstellen beibehält. Akkreditierte Zertifizierer dürfen dann mit einem speziellen Gütezeichen werben.
Zertifizierungsstellen, die in den Regelungsbereich des Gesetzes fallen, haben der Regulierungsbehörde die Aufnahme des Betriebes anzuzeigen und müssen erklären, dass sie die Anforderungen des Gesetzes erfüllen. Für genehmigungsfrei arbeitende Zertifizierungsstellen sollen die europaweit zu harmonisierenden Anforderungen gelten, die u.a. in einer neuen Signaturverordnung vorgeschrieben werden sollen.
Der Regulierungsbehörde für Telekommunikation und Post obliegen zukünftig
Praktisch entstehen mit dem SigG-2000 in Deutschland zwei Stufen qualifizierter elektronischen Signaturen, die beide die Schriftformerfordernisse erfüllen. Eine europäische Reichweite bezüglich Zugang, gegenseitiger Anerkennung und Rechtswirkung erlangen dabei alle Anwendungen, die auf der Standardqualität elektronischer Signaturen nach EU-RL Artikel5 Abs.1 beruhen. Für den öffentlichen Bereich können allerdings qualifizierte elektronische Signaturen, die auf qualifizierten Zertifikaten von akkreditierten Zertifizierungsstellen beruhen, durch Rechtsverordnung verlangt werden.
Das SigG-2000 führt eine Haftung der Zertifizierungsstellen ein. Diese Haftung kommt zum Tragen, wenn einem Dritten, der auf die Angaben eines qualifizierten Zertifikates vertraut hat, durch Verletzung der Anforderungen des Gesetzes oder durch Versagen der technischen Sicherheitseinrichtungen ein Schaden entstanden ist. Eine Deckungsvorsorge für Haftungsfälle ist vorgeschrieben.
Der zweite Entwurf, das Gesetz zur Anpassung der
Formvorschriften des Privatrechts an den modernen
Rechtsgeschäftsverkehr, regelt die Rechtswirksamkeit der
elektronischen Signatur (gemäß Artikel5 Abs.1 der
EU-RL). Dazu werden im Bürgerlichen Gesetzbuch nach dem
Paragraphen zum Schriftformerfordernis (§126 Gesetzliche
Schriftform) zwei neue Paragraphen 126a und 126b eingefügt,
die Bedingungen an den Ersatz der klassischen Schriftform durch die
elektronische Variante knüpfen (siehe http://www.bmj.bund.de/ggv/ggv_i.
htm#Referentenentwürfe).
§126a
- Soll die gesetzlich vorgeschriebene schriftliche Form durch die elektronische Form ersetzt werden, so muss der Aussteller der Erklärung dieser seinen Namen hinzufügen und das elektronische Dokument mit einer qualifizierten Signatur nach dem Signaturgesetz versehen.
- Bei einem Vertrag müssen die Parteien jeweils ein gleichlautendes Dokument in der in Absatz 1 bezeichneten Weise elektronisch signieren.
§126b
Ist durch Gesetz Textform vorgeschrieben, so muss die Erklärung einem anderen gegenüber so abgegeben werden, dass sie in Schriftzeichen lesbar, die Person des Erklärenden angegeben und der Abschluss der Erklärung in geeigneter Weise erkennbar gemacht ist.
Zur beweisrechtlichen Behandlung elektronischer Dokumente sind zudem Änderungen in der Zivilprozessordnung (ZPO) vorgesehen. So soll dort zukünftig ein neuer §292a eine Ergänzung zur gesetzlichen Beweisvermutung liefern:
§292 (Gesetzliche Vermutung)
Stellt das Gesetz für das Vorhandensein einer Tatsache eine Vermutung auf, so ist der Beweis des Gegenteils zulässig, sofern nicht das Gesetz ein anderes vorschreibt. Dieser Beweis kann auch durch den Antrag auf Parteivernehmung nach §445 geführt werden.
§292a
Der Anschein der Echtheit einer in elektronischer Form vorliegenden Willenserklärung, der sich auf Grund der Prüfung nach dem Signaturgesetz ergibt, kann nur durch Tatsachen erschüttert werden, die es ernsthaft als möglich erscheinen lassen, dass die Erklärung nicht mit dem Willen des Signaturschlüssel-Inhabers abgegeben worden ist. Der Beweis dieser Tatsachen kann auch durch Antrag auf Parteivernehmung nach §445 geführt werden.
Die Umsetzung der EU-RL durch diese beiden Gesetzesvorhaben verbessert die Chancen für eine Anwendung elektronischer Signaturen auch in Deutschland erheblich. Mit den privat- und zivilprozessrechtlichen Folgenregelungen für elektronische Signaturen bestehen auch gute Voraussetzungen für ihre Anerkennung im Öffentlichen und Verwaltungs-Recht sowie in berufsrechtlichen Bereichen.
Der Gesetzgeber sollte bei der weiteren Ausgestaltung des Rechts den Blick vor allem auf europäische Lösungen richten. Allein der europäische Markt bietet die Voraussetzungen für Produkte und Dienstleistungen, die auch im globalen Wettbewerb erfolgreich sein können. In diesem Rahmen muss sich auch der Wert deutschen Know-hows beweisen.
Gerade weil wir in Deutschland nunmehr über eine dreijährige praktische Erfahrung im Umgang mit einer Technikregulierung à la SigG-97 verfügen, sind einige Schlussfolgerungen angebracht und auch für die Folgeentwicklung in der EU beachtenswert:
Prof. Dr.-Ing. Helmut Reimer ist
Geschäftsführer des TeleTrusTDeutschland e. V.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 4/2000, Seite 32
