|
|
 |
|
 |
|
 Die rechtliche Stellung der digitalen Signatur in Deutschland
Das Signaturgesetz
|
Die aktuelle Gesetzeslage
Elektronische Dokumente im Geschäftsverkehr
Geschichte und Hintergründe
Weitere Informationen
|
|
|
Mit dem Signaturgesetz sollen Rahmenbedingungen für digitale Signaturen geschaffen werden. Es führt verschiedene Stufen digitaler Signaturen ein, die unterschiedliche rechtliche Stellungen haben. Außerdem regelt es den Aufbau von Zertifikaten und legt Anforderungen an Zertifizierungsstellen fest.
Das Ziel des Signaturgesetzes
In § 1 (1) SigG wird das Ziel des Signaturgesetzes formuliert:
| |
“Zweck des Gesetzes ist es, Rahmenbedingungen für digitale Signaturen zu schaffen, unter denen diese als sicher gelten und Fälschungen digitaler Signaturen oder Verfälschungen von signierten Daten zuverlässig festgestellt werden können.” |
|
Qualitätsstufen digitaler Signaturen
Entsprechend den Vorgaben der EU-Richtlinie zur digitalen Signatur werden im neuen Signaturgesetz Signaturen verschiedener Qualität unterschieden:
|
 |
(Einfache) elektronische Signaturen sind Daten, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und zur Authentifizierung dienen. |
|
|
Fortgeschrittene elektronische Signaturen sind elektronische Signaturen, die
|
|
ausschließlich dem Signaturschlüssel-Inhaber zugeordnet sind, |
|
|
die Identifizierung des Schlüsselinhabers ermöglichen, |
|
|
mit Mitteln erzeugt werden, die der Signaturschlüssel-Inhaber unter seiner alleinigen Kontrolle halten kann, und |
|
|
mit den Daten, auf die sie sich beziehen, so verknüpft sind, dass eine nachträgliche Veränderung der Daten erkannt werden kann. |
|
|
|
Qualifizierte elektronische Signaturen sind fortgeschrittene elektronische Signaturen, die
|
|
auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikat beruhen und |
|
|
mit einer sichern Signaturerstellungseinheit erzeugt werden. |
|
|
|
Qualifizierte elektronische Signaturen mit Anbieter-Akkreditierung beruhen auf Zertifikaten von Anbietern, deren Sicherheit von der zuständigen Behörde geprüft und bestätigt wurde. |
Qualifizierte Zertifikate müssen folgende Angaben enthalten:
|
|
den Namen des Signaturschlüsselinhabers bzw. ein Pseudonym, |
|
den öffentlichen Schlüssel, |
|
die Bezeichnung der Algorithmen, die verwendet werden können, |
|
die laufende Nummer des Zertifikates, |
|
Beginn und Ende der Gültigkeit des Zertifikates, |
|
Angaben über den Zertifizierungsdiensteanbieter, |
|
Angaben über Nutzungsbeschränkungen des Signaturschlüssels, |
|
Angaben, dass es sich um ein qualifiziertes Zertifikat handelt, |
|
ggf. Attribute des Signaturschlüssel-Inhabers. |
Zertifizierungsdiensteanbieter, die qualifizierte Zertifikate anbieten, müssen u. a. folgende Auflagen erfüllen:
|
|
Der Antragsteller muss zuverlässig identifiziert werden. |
|
Das Zertifkat muss mit Zustimmung des Inhabers öffentlich abrufbar gehalten werden. |
|
Ein qualifiziertes Zertifikat kann eine Vertretungsmacht für eine dritte Person und berufsbezogene oder sonstige Angaben zu seinem Inhaber (Attribute) enthalten. |
|
Anstelle des Namens kann ein Pseudonym verwendet werden. |
|
Der Zertifizierungsdiensteanbeiter muss Vorkehrungen treffen, damit Zertifikate nicht gefälscht oder manipuliert werden können. |
|
Der Antragsteller muss über rechtliche Aspekte und den sicheren Umgang mit der digitalen Signatur informiert werden. |
|
Ein Zertifikat muss auf Verlangen des Inhabers unverzüglich gesperrt werden. |
|
Der Zertifizierungsdiensteanbeiter haftet für Schäden, die durch Versagen seiner Produkte für qualifizierte Signaturen entstehen. |
|
Alle personenbezogenen Daten der Teilnehmer unterliegen dem Datenschutz. |
Die zuständige Behörde
Für die Erteilung von Genehmigungen, die Ausstellung von Zertifikaten für die Zertifizierungsstellen und die Überwachung der Einhaltung des SigG ist die Behörde nach § 66 des Telekommunkiationsgesetzes, die Regulierungsbehörde für Telekommunikation und Post, verantwortlich.
Die Zertifizierungsstellen
|
Die Zertifizierungsstellen müssen von der zuständigen Behörde genehmigt werden. |
|
|
Eine Zertifizierungsstelle muss eine gewisse Zuverlässigkeit und Fachkunde besitzen und bestimmte Sicherheitsanforderungen erfüllen. |
|
|
Die zuständige Behörde muss die für die Zertifizierungsstellen ausgestellten Zertifikate sowie Adressen und Telefonnummern der Zertifizierungsstellen öffentlich abrufbar halten. |
Die Zertifikate
|
Personen, die ein Zertifikat beantragen, müssen zuverlässig identifiziert werden. Die Zuordnung eines öffentlichen Signaturschlüssels zu einer Person wird von der Zertifizierungsstelle durch ein Signaturschlüssel-Zertifikat bestätigt. |
|
|
Jedes Zertifikat kann jederzeit über öffentlich erreichbare Telekommunikationsverbindungen nachgeprüft werden. |
|
|
Der Schlüsselinhaber kann entscheiden, ob sein Zertifikat öffentlich abgerufen werden kann. |
|
|
Anstelle eines Namens kann auch ein Pseudonym in das Zertifikat aufgenommen werden. |
|
|
Die Zertifizierungsstelle ist für die Geheimhaltung der privaten Schlüssel verantwortlich. Der private Schlüssel darf nicht bei der Zertifizierungsstelle gespeichert werden. |
|
|
Die Zertifizierungsstelle muss den Antragsteller über den sicheren Umgang mit der digitalen Signatur und deren zuverlässige Prüfung unterrichten. |
|
|
Ein Zertifikat kann jederzeit auf Wunsch des Inhabers gesperrt werden. |
|
|
Der Zertifikatsinhaber kann Daten von der Zertifizierungsstelle mit einem Zeitstempel versehen lassen. |
|
|
Zertifikate aus anderen EU-Mitgliedsstaaten sind den SigG-konformen Signaturen gleichgestellt, wenn sie den gleichen Sicherheitsanforderungen genügen. |
Die rechtliche Stellung der digitalen Signatur in Deutschland
|
|
|
