| Motive | zu § 2 | SigG |
|---|---|---|
| [ « ][ I ][ » ] | [ ‹ ] | |
| Begründung des Entwurfs – SigG (14/4662) | ||
Die Begriffsbestimmungen werden an Artikel 2 EGSRL angepasst.
Die Definition entspricht Artikel 2 Nr. 1 EGSRL Sie bringt den technologieneutralen Ansatz der Richtlinie zum Ausdruck und ist mit keinen weiteren Sicherheitsanforderungen verbunden. Eine eingescannte Unterschrift kann z. B. genügen, um als elektronische Signatur zu gelten, auch wenn damit keinerlei Sicherheitswert verbunden ist, da die gescannte Unterschrift kopiert und unter beliebig viele andere elektronische Dokumente gesetzt werden kann.
Die Definition entspricht Artikel 2 Nr. 2 EGSRL. Es wird lediglich der in § 2 Nr. 2 SigG-E definierte Begriff „Signaturschlüssel- Inhaber“ an Stelle der Bezeichnung „Unterzeichner“ verwendet. Für Buchstabe c) wird an Stelle des Begriffs „erstellt“ der treffendere Begriff „erzeugt“ verwendet; der Begriff „Erzeugung“ wird auch in Anhang III Nr. 1 Buchstabe a) EGSRL verwendet.
Für fortgeschrittene elektronische Signaturen gelten nach der Richtlinie und nach dem Gesetzentwurf nur die in der Definition enthaltenen Anforderungen. Sie unterliegen damit höheren Anforderungen als (einfache) elektronische Signaturen, erfüllen jedoch nicht die Anforderungen an digitale Signaturen nach dem geltenden Signaturgesetz oder die Anforderungen, die durch Artikel 5 Abs. 1 EGSRL für die Anerkennung im Rechtsverkehr vorgegeben werden. So reicht beispielsweise die Nutzung der frei verfügbaren Implementierungen von Pretty Good Privacy (PGP), die aus dem Netz heruntergeladen werden können und bei denen die Signaturschlüssel auf Diskette, Festplatte des PCs und auf andere lesbare Datenträger gespeichert werden können, aus, um den Anforderungen an eine fortgeschrittene elektronische Signatur zu genügen. Die fortgeschrittenen elektronischen Signaturen stellen damit eine „Zwischenstufe“ im Verhältnis zu den (einfachen) elektronischen Signaturen und den qualifizierten elektronischen Signaturen dar. Die Definition aus der Richtlinie wird übernommen, um auch insoweit der Richtlinie zu entsprechen und gleichzeitig diese Zwischenstufe für den Anwender transparent zu machen.
Buchstabe a bedeutet, dass ein Zertifizierungsdiensteanbieter denselben Signaturschlüssel nicht mehreren Personen zuordnen darf. Die Vorschrift bezieht sich nur auf den jeweiligen Zertifizierungsdiensteanbieter, da im Rahmen der Globalisierung ein genereller Abgleich mit allen Zertifizierungsdiensteanbietern mit einem unvertretbaren Aufwand verbunden wäre.
Buchstabe b bringt die Funktion der Authentizität zum Ausdruck. Die Identifizierung des Signaturschlüsselinhabers ist über das der Signatur zugrunde liegende Zertifikat möglich.
Buchstabe c bringt zum Ausdruck, dass der Signaturschlüssel- Inhaber seine Signaturerstellungseinheit vor unbefugter Nutzung schützen können muss.
Buchstabe d verlangt, dass bei Daten, die mit einer fortgeschrittenen elektronischen Signatur signiert sind, eine nachträgliche Veränderung erkennbar sein muss.
Nummer 3 verbindet die fortgeschrittene elektronische Signatur nach Nummer 2 mit den weiteren nach Artikel 5 Abs. 1 EGSRL vorgesehenen Anforderungen. Die Richtlinie verwendet für die elektronische Signatur nach Artikel 5 EGSRL keine besondere Bezeichnung. Die Richtlinie spricht von „fortgeschrittenen elektronischen Signaturen“, die (zusätzlich) auf einem qualifizierten Zertifikat (Anhang I EGSRL) beruhen und die von einer sicheren Signaturerstellungseinheit (Anhang III EGSRL) erstellt wurden.
Die Anforderungen an die Ausstellung qualifizierter Zertifikate sind in Anhang II EGSRL geregelt. Die fortgeschrittenen elektronischen Signaturen, die die Zusatzanforderungen des Artikels 5 Abs. 1 EGSRL erfüllen, erhalten im SigG-E die Bezeichnung „qualifizierte elektronische Signaturen“. Die Bezeichnung erfolgt in Anlehnung an das für diese elektronischen Signaturen erforderliche qualifizierte Zertifikat. Eine qualifizierte elektronische Signatur ist somit in richtlinienkonformer Auslegung eine fortgeschrittene elektronische Signatur, die zusätzlich die Anforderungen des Artikels 5 Abs. 1 i.V. m. den Anhängen I bis III der Richtlinie erfüllt. Die Definition nach Nummer 3 entspricht Artikel 5 Abs. 1 EGSRL. Bezüglich des qualifizierten Zertifikates erfolgt eine Präzisierung dahingehend, dass es zum Zeitpunkt der Erzeugung der qualifizierten elektronischen Signatur gültig gewesen sein muss (vgl. Buchstabe a)). Andernfalls besteht die Möglichkeit, dass es zu diesem Zeitpunkt noch nicht ausgestellt oder dass die Gültigkeitsdauer bereits abgelaufen oder dass es gesperrt war.
Die Definition entspricht Artikel 2 Nummer 4 EGSRL. Es wird jedoch an Stelle des Begriffs „Signaturerstellungsdaten“ die Bezeichnung „Signaturschlüssel“ des geltenden SigG beibehalten. Im Interesse einer Präzisierung der Vorschrift wird das Beispiel „Codes“ nicht übernommen, da es hinsichtlich der geforderten Einmaligkeit der Signaturschlüssel eine Unschärfe darstellt. Mit der Formulierung „elektronische Daten“ und der nur beispielhaften Aufzählung („…wie kryptographische Daten …“) bleibt die Vorschrift für alle technischen Lösungen offen.
Die Definition entspricht Artikel 2 Nr. 7 EGSRL. Es wird jedoch – in Anlehnung an die Bezeichnung „öffentlicher Schlüssel“ im geltenden Signaturgesetz und in Anpassung an den Begriff „Signaturschlüssel“ nach Nummer 4 – an Stelle des Begriffs „Signaturprüfdaten“ der Richtlinie im SigG-E die Bezeichnung „Signaturprüfschlüssel“ gewählt. Anhand des Signaturprüfschlüssels kann der Empfänger einer elektronischen Signatur nachprüfen, ob die signierten Daten vom Signaturschlüssel-Inhaber stammen und unverändert sind. Im Interesse einer Präzisierung der Vorschrift wird – wie bei der Definition des Signaturschlüssels (vgl. Nummer 4) – das Beispiel „Codes“ nicht übernommen.
Die Definition entspricht Artikel 2 Nr. 9 EGSRL. Im Gegensatz zum qualifizierten Zertifikat nach Nummer 7, das Grundlage für die Abbildung der handschriftlichen Unterschrift ist, kann ein (einfaches) Zertifikat auch auf juristische Personen ausgestellt werden.
Die Definition entspricht Artikel 2 Nr. 10 EGSRL. Der Begriff „qualifizierte Zertifikate“ umfasst auch „qualifizierte Attribut-Zertifikate“ (vgl. § 7 Abs. 2 SigG-E). Die Beschränkung der qualifizierten Zertifikate auf natürliche Personen ist durch die nach Artikel 5 Abs. 1 EGSRL vorgesehene rechtliche Gleichstellung der darauf beruhenden qualifizierten elektronischen Signaturen mit der handschriftlichen Unterschrift vorgegeben.
Die Definition entspricht Artikel 2 Nr. 11. Die in der Richtlinie enthaltene Bezeichnung „eine Stelle“ ist durch die Formulierung „eine juristische oder natürliche Person“ mit umfasst. Der Begriff „Zertifizierungsstelle“ des geltenden SigG und der Begriff „Zertifizierungsdiensteanbieter“ im SigG-E decken sich.
Die Definition wird im Übrigen dahingehend präzisiert, dass tatsächlich nur die Dienste der Zertifizierungsdiensteanbieter (nicht z. B. auch die Dienste der Prüf- und Bestätigungsstellen nach § 18 SigG-E) erfasst werden.
Die Definition erfasst alle Zertifizierungsdiensteanbieter, die qualifizierte Zertifikate einschließlich Attribut-Zertifikate (vgl. § 7 Abs. 2 SigG-E) oder Zeitstempel mit dem Merkmal „qualifiziert“ ausstellen. Diese Zertifizierungsdiensteanbieter sind – mit Ausnahme der Vorschriften zum Datenschutz (§ 14 Abs. 3 SigG-E) – ausschließlich Adressat des SigG-E.
Ebenso wie die Richtlinie verzichtet das Gesetz auf eine gesonderte Definition von „Zertifizierungsdiensten“. Die Aufgaben der Zertifizierungsdienste werden aus der Definition „Zertifizierungsdiensteanbieter“ deutlich.
Die Ausstellung von Zertifikaten für technische Komponenten ist nicht Gegenstand dieses Gesetzes, mit Ausnahme der speziellen Vorschrift in § 16 Abs. 3 SigG-E zur Ausstellung von Zertifikaten für Authentisierungsschlüssel, die in Produkten für elektronische Signaturen verwendet werden.
Mit der Vorschrift wird Artikel 2 Nr. 3 EGSRL umgesetzt. An Stelle des in der Richtlinie verwendeten Begriffs „Unterzeichner“ wird der Begriff „Signaturschlüssel-Inhaber“ aus dem geltenden Signaturgesetz (vgl. § 2 Abs. 1 und § 7 Abs. 1 Nr. 1 SigG) beibehalten, der den Begriff „Unterzeichner“ umfasst, aber den Sachverhalt genauer trifft. Bei den meisten Vorschriften des Gesetzes ist der Normadressat nicht in der Funktion des Unterzeichners, sondern in der Funktion des Signaturschlüssel-Inhabers mit den damit verbundenen Rechten und Pflichten angesprochen.
Die Definition der (einfachen) „Signaturerstellungseinheit“ in Artikel 2 Nr. 5 EGSRL ist in die Definition der „sicheren Signaturerstellungseinheit“ eingegangen; ein Bedarf für eine gesonderte Definition im Signaturgesetz besteht nicht.
Die Definition entspricht Artikel 2 Nr. 6 EGSRL, präzisiert jedoch die „Implementierung der Signaturerstellungsdaten“ durch die Formulierung „Speicherung und Anwendung von Signaturschlüsseln“.
Mit der Vorschrift wird Artikel 2 Nr. 8 EGSRL umgesetzt. An die Stelle des Begriffs „Signaturprüfeinheit“ in der Richtlinie wird jedoch der präzisere Begriff „Signaturanwendungskomponenten“ verwendet, der alle Sicherheitsaspekte bei der Anwendung elektronischer Signaturen abdeckt.
Bei der Anwendung qualifizierter elektronischer Signaturen muss der Unterzeichner vor allem sicher sein können, dass er nur das signiert, was ihm angezeigt wird und was er signieren will. Er muss bei Bedarf auch den Inhalt der zu signierenden oder zu prüfenden signierten Daten feststellen können. Schließlich muss er die qualifizierten Zertifikate gemäß § 5 Abs.1 Satz 2 SigG-E zuverlässig nachprüfen können.
Mit der Vorschrift wird Anhang II Buchstabe f EGSRL umgesetzt. Die dort genannten Systeme und Produkte („müssen vertrauenswürdige Systeme und Produkte einsetzen, die vor Veränderungen geschützt sind und die die technische und kryptographische Sicherheit der von ihnen unterstützten Verfahren gewährleisten“) erhalten eine eigene Bezeichnung, um diese im Gesetz und in der Rechtsverordnung nach § 24 SigG-E deutlich adressieren zu können. In der Richtlinie sind diese zwar in Artikel 2 Nr. 12 („Produkt für elektronische Signaturen“) definiert, jedoch nur im Kontext mit anderen Produkten.
Die Definition ist Artikel 2 Nr. 12 EGSRL nachgebildet. An Stelle der in der Richtlinie isoliert vorgenommenen Definition des Sammelbegriffs „Produkte für elektronische Signaturen“ wird auf die vorhandenen Definitionen der einzelnen Produktarten nach den Nummern 10 bis 12 zurückgegriffen.
Nummer 14 setzt Anhang II Buchstabe c EGSRL um. Um den dort genannten Anforderungen („müssen gewährleisten, dass Datum und Uhrzeit der Ausstellung oder desWiderrufs eines Zertifikates genau bestimmt werden können“) Rechnung zu tragen, können Zeitstempel notwendig sein. Darüber hinaus sind Zeitstempel für elektronische Dokumente mit Zeitbezug (zB fristgerechte Einreichung von Unterlagen und Empfangsbestätigungen) generell von großer Bedeutung.
Bei der Definition wird auf § 2 Abs. 4 SigG zurückgegriffen. Der Begriff „Zeitstempel“ erhält zur Unterscheidung von anderen, nicht im SigG-E geregelten Zeitstempeln den Zusatz „qualifiziert“.
Die Definition wird zugleich technikneutraler gefasst, indem diese nicht mehr zwingend eine Signatur verlangt. Damit können neben der herkömmlichen technischen Lösung auch andere technische Verfahren zur Anwendung kommen, bei denen mehrere „Hash-Werte“ (eine Art von Quersummen), z. B. des elektronischen Dokumentes, der Zeitangabe und des Zertifizierungsdienstes, verknüpft werden.
Die Definition entspricht – auf die Kernelemente der freiwilligen Akkreditierung reduziert – Artikel 2 Nr.13 EGSRL.
(Siehe BGB-E, BT-Drucksache Nr.14/4662, S.18 f)
§§§
| zu § 2 SigG | [ › ] |
Saar-Daten-Bank (SaDaBa) - Frisierte Gesetzestexte - © H-G Schmolke 1998-2005
K-Adenauer-Allee 13, 66740 Saarlouis, Tel: 06831-988099, Fax: 06831-988066, Email: hgs@sadaba.de
Der schnelle Weg durch's Paragraphendickicht!
www.sadaba.de