| Motive | zu § 15 | SigG |
|---|---|---|
| [ « ][ I ][ » ] | [ ‹ ] | |
| Begründung des Entwurfs – SigG (14/4662) | ||
Die Vorschrift setzt die in Artikel 3 Abs. 2 EGSRL für die einzelnen Mitgliedstaaten vorgesehene Option zur Einführung bzw. Beibehaltung freiwilliger Akkreditierungssysteme, die auf eine Steigerung des Niveaus der erbrachten Zertifizierungsdienste abzielen, um. Die freiwillige Akkreditierung soll nach der Richtlinie den Zertifizierungsdiensteanbietern den geeigneten Rahmen für die Weiterentwicklung ihrer Dienste bieten, um das erforderliche Maß an Sicherheit, Qualität und Vertrauen zu erreichen. Entsprechend der Richtlinie (vgl. Erwägungsgrund Nr. 11) steht es den Zertifizierungsdiensteanbietern frei, sich nach § 15 SigG-E akkreditieren zu lassen oder sich auf die Anzeige des Betriebes nach § 4 Abs. 3 SigG-E zu beschränken.
Die Umsetzung des von der Richtlinie vorgesehenen Konzepts der freiwilligen Akkreditierung („Steigerung des Sicherheitsniveaus“) besteht nach § 15 SigG-E darin, dass die Erfüllung der gesetzlichen Anforderungen bei den Zertifizierungsdiensteanbietern Zertifizierungsdiensteanbietern und den Produkten für elektronische Signaturen vorab (bei Zertifizierungsdiensteanbietern auch danach in regelmäßigen Zeitabständen sowie bei sicherheitserheblichen Veränderungen) durch öffentlich anerkannte fachkundige Dritte umfassend geprüft und bestätigt wird.
Mit dieser Vorschrift kann das anerkannte Sicherheitsniveau des geltenden Signaturgesetzes als eine Option für den Markt beibehalten werden. Es wird hierbei weit gehend auf die Regelungen des geltenden SigG (Vorschriften über die Prüfungs- und Bestätigungsmodalitäten für die Sicherheit der Zertifizierungsdienste und der Produkte für elektronische Signaturen) zurückgegriffen, da diese Regelungen das Konzept der Richtlinie zur freiwilligen Akkreditierung hinsichtlich des Verfahrens („Erlaubnis“) und des angestrebten höheren Sicherheitsniveaus („Steigerung“) richtlinienkonform abbilden.
Bei der Akkreditierung handelt es sich um ein Qualitätssicherungssystem. Für die Akkreditierung ist die zuständige Behörde verantwortlich. Es wird für das Verfahren auf die Regulierungsbehörde für Telekommunikation und Post zurückgegriffen, da diese über die notwendigen Erfahrungen im Zusammenhang mit dem der freiwilligen Akkreditierung ähnlichen Genehmigungsverfahren nach geltendem SigG verfügt. Hierdurch wird zugleich eine rasche und reibungslose Umsetzung des Verfahrens der freiwilligen Akkreditierung in Deutschland sichergestellt. Die zuständige Behörde kann sich hierbei – wie bereits beim Genehmigungsverfahren nach dem geltenden Signaturgesetz – privater Stellen bedienen. Das Akkreditierungsverfahren bietet damit nicht nur ein hohes Maß an Sicherheit, sondern trägt auch wirtschaftlichen Aspekten wie Kosten, Zeitdauer und Transparenz Rechnung. Zugleich wird der Grundsatz der Subsidiarität staatlichen Handelns gewahrt.
Eine Akkreditierung kann sowohl vor als auch nach Betriebsaufnahme (und Anzeige nach § 4 SigG-E) erfolgen.
Mit den Sätzen 1 und 2 wird wegen der Vergleichbarkeit der Verfahren im Wesentlichen auf die Regelung in § 4 Abs. 1 SigG zurückgegriffen. Die Vorschrift sieht vor, dass sich die Behörde bei der Akkreditierung privater Stellen (z. B. der Prüf- und Bestätigungsstellen nach § 18 SigG-E) bedienen kann. Es ist zu erwarten, dass – wie bereits bisher im Rahmen der Genehmigung – die Aufgaben nach § 15 SigG-E weit gehend durch die von der zuständigen Behörde anerkannten privaten Prüf- und Bestätigungsstellen im Wettbewerb erledigt werden. Der zuständigen Behörde ist jedoch in jedem Falle die letzte Entscheidung über die jeweilige Akkreditierung vorbehalten. Damit wird eine einheitliche Praxis im Hinblick auf das angestrebte Sicherheitsniveau gewährleistet.
Durch das nach Satz 3 und Absatz 8 Satz 2 vorgesehene Gütezeichen sollen sichere Zertifizierungsdienste und Produkte für elektronische Signaturen gefördert werden. Dies führt zu einer Markttransparenz, die für die Schaffung eines raschen Vertrauensschutzes im täglichen Rechts- und Geschäftsverkehr unerlässlich ist und den zunehmenden Sicherheitsanforderungen in den Netzen Rechnung trägt.
Mit Satz 4 wird beschrieben, dass durch das Gütezeichen der Aspekt der Qualitätssicherung und die hierfür notwendigen Nachweise deutlich zum Ausdruck gebracht werden sollen. Das Sicherheitsniveau qualifizierter elektronischer Signaturen, die auf einem qualifizierten Zertifikat eines akkreditierten Zertifizierungsdiensteanbieters beruhen, entspricht dem der digitalen Signaturen nach dem geltenden Signaturgesetz. An die Stelle der Sicherheitsvermutung aus § 1 Abs. 1 SigG („als sicher gelten können“) tritt jedoch eine objektive Beschreibung der Sicherheit in Satz 4 („…wird der Nachweis der umfassend geprüften technischen und administrativen Sicherheit erbracht“).
Es ist zu erwarten, dass qualifizierten elektronischen Signaturen nach § 15 SigG-E damit im Rahmen von § 292 ZPO-E (vgl. Teil A, Abschnitt 1, Absatz 9) und im Rahmen der freien Beweiswürdigung der Gerichte ein besonders hoher Beweiswert zukommt, der im Ergebnis als eine Art „Sicherheitsvermutung“ gewertet werden kann. An der bisherigen Rechtslage ändert sich insoweit nichts.
Bei einer qualifizierten elektronischen Signatur, die auf einem Verfahren der freiwilligen Akkreditierung nach dieser Vorschrift beruht, kann sicher davon ausgegangen werden, dass sie mit dem Signaturschlüssel des im zugrunde liegenden qualifizierten Zertifikat angegebenen Signaturschlüssel- Inhabers erzeugt wurde und dass die signierten Daten danach nicht verändert wurden. Aufgrund der nach dem Signaturgesetz und der Signaturverordnung vorgesehenen Sicherheitsvorkehrungen ist weiter zu vermuten, dass der im qualifizierten Zertifikat benannte Signaturschlüssel- Inhaber die Signatur erzeugt oder die Erzeugung autorisiert hat, soweit im Einzelfall nicht andere Fakten entgegenstehen. Die mögliche Autorisierung einer anderen Person (z. B. durchWeitergabe der sicheren Signaturerstellungseinheit und PIN) kann ausgeschlossen werden, indem die Signaturerstellungseinheit über die Nutzung biometrischer Merkmale ausschließlich an eine Person gebunden wird.
Mit Satz 5 wird den Zertifizierungsdiensteanbietern ausdrücklich das Recht eingeräumt, sich als akkreditierte Zertifizierungsdiensteanbieter zu bezeichnen und sich auf die nachgewiesene Sicherheit zu berufen.
Die Vorschrift erfüllt die Anforderungen nach Artikel 3 Abs.2 EGSRL. Sie ist objektiv (eindeutige, sachbezogene Anforderungen), transparent (durch die Regelung im Gesetz und in der Rechtsverordnung nach § 24 SigG-E), verhältnismäßig (die umfassende Prüfung der Sicherheit ist durch die vielfältigen technisch-administrativen Risiken begründet und aufgrund vorliegender Erfahrungen mit vertretbarem Aufwand möglich) und nicht diskriminierend (der Sicherheitswert anderer Verfahren bleibt unberührt).
Die Vorschrift macht von der Option des Artikels 3 Abs.7 EGSRL Gebrauch, wonach die Mitgliedstaaten den Einsatz elektronischer Signaturen im öffentlichen Bereich „möglichen zusätzlichen Anforderungen“ unterwerfen können. Die Regelung des Einsatzes elektronischer Signaturen im öffentlichen Bereich bleibt den jeweiligen Rechtsvorschriften vorbehalten. Die Vorschrift bildet zur Sicherstellung der Einheitlichkeit des Einsatzes elektronischer Signaturen im öffentlichen Bereich die Referenzvorschrift für alle Rechtsvorschriften des öffentlichen Bereichs, soweit diese in die Zuständigkeit des Bundes fallen. Um einen Wildwuchs der möglichen zusätzlichen Anforderungen für den Einsatz elektronischer Signaturen im öffentlichen Bereich zu vermeiden, ist einzig zulässige „zusätzliche Anforderung“ gegenüber den nach dem SigG-E (§ 2 Nr.1 bis 3) vorgesehenen elektronischen Signaturen nur das Verfahren der freiwilligen Akkreditierung nach § 15 SigG-E. Die Beschränkung auf das Verfahren der freiwilligen Akkreditierung im Absatz 2 trägt gleichzeitig den Vorgaben von Artikel 3 Abs.7 Satz 2 der Richtlinie Rechnung, wonach die Anforderungen an den Einsatz elektronischer Signaturen im öffentlichen Bereich objektiv, transparent und verhältnismäßig sein müssen sowie nicht diskriminierend sein dürfen (vgl Ausführungen zu Absatz 1). Es reicht jedoch nicht aus, dass Vorschriften, die künftig „zusätzliche Anforderungen“ für den Einsatz elektronischer Signaturen im öffentlichen Bereich vorsehen, lediglich auf das Verfahren der freiwilligen Akkreditierung nach § 15 SigG-E verweisen. Auch diese haben darüber hinaus in jedem Falle die Anforderungen nach Artikel 3 Abs.7 Satz 2 EGSRL zu erfüllen.
Da nur bei diesen Signaturen eine nachgewiesene Sicherheit und dauerhafte Überprüfbarkeit gegeben ist, werden sie im Interesse der Rechtssicherheit aller Beteiligten (Bürger, Unternehmen, Staat) im öffentlichen Bereich in vielen Fällen als Äquivalent zur eigenhändigen Unterschrift erforderlich sein.
Die Vorschrift in Satz 1 greift auf § 4 Abs.3 Satz 3 SigG zurück. Mit Satz 2 wird nun im Gesetz selbst (bisher nur in § 15 Abs.1 der Signaturverordnung) klargestellt, dass die Prüfung unter den genannten Voraussetzungen zu wiederholen ist.
Mit einer Akkreditierung entfällt die Anmeldung nach § 4 Abs.3 Satz 1 SigG-E; die übrigen Bestimmungen des § 4 SigG-E bleiben unberührt. Das Nähere wird in der Rechtsverordnung nach § 24 SigG-E geregelt.
Die Vorschrift greift auf § 4 Abs.4 SigG zurück.
Die Vorschrift greift auf § 4 Abs. 2 Satz 1 SigG zurück.
Die Vorschrift greift auf § 13 Abs.3 SigG zurück. Der Widerruf oder die Rücknahme einer Akkreditierung sind eigenständige Verwaltungsakte, die zB von dem Verwaltungsakt der Untersagung des Betriebes eines Zertifizierungsdienstes nach § 19 Abs.3 SigG-E zu trennen sind.
Die Vorschrift greift auf § 11 Abs.1 und § 13 Abs.4 SigG zurück. Sie führt zu einem erheblichen zusätzlichen Mehrwert von qualifizierten elektronischen Signaturen nach § 15 SiG-E, indem sie sicherstellt, das diese Signaturen langfristig (mindestens 30 Jahre nach § 13 Abs.2 der Signaturverordnung) nachprüfbar bleiben. Sie schafft damit einen zu- sätzlichen Anreiz für die Nutzung der freiwilligen Akkreditierung.
Die Vorschrift greift auf § 14 Abs.4 SigG zurück. Sie wird redaktionell angepasst. Bei der Prüfvorgabe erfolgt eine Präzisierung, indem gemäß einer Anregung aus der Rechtswissenschaft der „Stand der Wissenschaft“ einbezogen wird. Die Bestätigung der vorgeschriebenen Prüfung der Produkte und Erfüllung der Anforderungen erfolgt durch nach § 18 anerkannte Stellen. Die Verantwortung des Zertifizierungsdiensteanbieters und der von ihm beauftragten Dritten (vgl § 4 Abs.5 SigG-E) beschränkt sich darauf, dass die Vorgaben nach Satz 2 Nr.1 bis 3 eingehalten werden.
(Siehe BGB-E, BT-Drucksache Nr.14/4662, S.18 f)
§§§
| zu § 15 SigG | [ › ] |
Saar-Daten-Bank (SaDaBa) - Frisierte Gesetzestexte - © H-G Schmolke 1998-2005
K-Adenauer-Allee 13, 66740 Saarlouis, Tel: 06831-988099, Fax: 06831-988066, Email: hgs@sadaba.de
Der schnelle Weg durch's Paragraphendickicht!
www.sadaba.de