Inhalt

Elektronische Signaturen

Elektronische Signaturen sind Daten, die anderen elektronischen Daten beigefügt oder mit diesen logisch verknüpft werden und die der Authentifizierung dienen. Die Eckpunkte der elektronischen Signatur sind die richtige Zuordnung eines Dokumentes an den Signator und die Gewährleistung der Unverfälschtheit des signierten Dokumentes.

Grundlagen

Aufgrund der rasanten Entwicklung im IT-Bereich und der ständig wachsenden Anzahl der Internetnutzenden ist es erforderlich, auf diese Entwicklung auch rechtlich zu reagieren.

Die rechtliche Grundlage bildet die Verordnung (EU) Nr. 910/2014 über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, ABl. Nr. L 257/73 vom 28. August 2014 (eIDAS-VO) und das Bundesgesetz über elektronische Signaturen und Vertrauensdienste (Signatur- und Vertrauensdienstegesetz – SVG).

Varianten der (rechtsgeschäftlichen) Kommunikation:

  • Business to Business (B2B) – Rechtsgeschäftliche Kommunikation zwischen Unternehmen
  • Customer to Customer (C2C) – Rechtsgeschäftliche Kommunikation zwischen Bürgern
  • Business to Customer (B2C) – Rechtsgeschäftliche Kommunikation zwischen Unternehmen und Bürgern

Für den Bereich E-Government sind von Bedeutung 

  • die Kommunikation zwischen Verwaltung und Unternehmen (Administration to Business, A2B),
  • die Kommunikation zwischen Verwaltung und Bürger/Bürgerinnen (Administration to Citizen, A2C) und
  • die Kommunikation von Behörden untereinander (Administration to Administration, A2A).

Um in diesen Bereichen einerseits Vereinfachungen und andererseits Verfahrensbeschleunigung zu schaffen, ist es notwendig, auch in elektronischer Weise rechtsgültig Vereinbarungen treffen und sich dabei eindeutig identifizieren zu können. Dazu dient in Österreich das Konzept der Bürgerkarte, das die Elemente elektronische Identifizierung und elektronische Signatur vereint. Eckpunkte der elektronischen Signatur sind die richtige Zuordnung eines Dokumentes an den Signator und die Gewährleistung der Unverfälschtheit des signierten Dokumentes.

Definition

Die elektronische Signatur wird in Art. 3 Z 10 eIDAS-VO folgendermaßen definiert:

"Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet."

Eine Signatur (Unterschrift) dient also dazu, ein Dokument dem Signator (Unterzeichner) zuzuordnen. Bei einer elektronischen Signatur werden zu diesem Zweck dem elektronischen Dokument elektronische Daten beigefügt, die die Identität des Signators und die Integrität des signierten Dokuments feststellen.

Für den Zweck der vorliegenden Übersicht hat eine elektronische Signatur daher nichts mit einer gescannten eigenhändigen Unterschrift (die im Endeffekt nicht den komplexen Sicherheitsstandards der elektronischen Signatur entspricht) oder der Verschlüsselung eines lesbaren "Klartextes" im Sinne der Umwandlung in ein nicht lesbares Dokument ("Geheimtext") zu tun (freilich kann die elektronische Signatur mit einer Verschlüsselung des lesbaren Klartextes kombiniert werden).

Funktionsweise

Zur Erstellung einer elektronischen Signatur ist grundsätzlich ein Zertifikat erforderlich. Ein Zertifikat ist eine elektronische Bescheinigung, mit der Signaturprüfdaten (öffentlicher Schlüssel) einer bestimmten Person (Signator) zugeordnet werden und deren Identität auf einem gewissen Sicherheitsniveau (siehe unter Zertifikate) bestätigt wird. Weiters können zusätzliche Eigenschaften des Signators – wie etwa sein Berufsstand – als Attribut in einem Zertifikat enthalten sein.

Zertifikate

Ein Zertifikat ist eine elektronische Bescheinigung, die die Identitätsdaten einer bestimmten Person (Signator) mit einem öffentlichen Schlüssel (Public Key) verbindet. Neben zusätzlichen inhaltlichen Informationen unterscheiden sich Zertifikate insbesondere durch unterschiedliche rechtliche Anforderungen, die Garantie des Sicherheitsniveaus des Ausstellungsprozesses und der Vertrauenswürdigkeit des Ausstellers (Vertrauensdiensteanbieter).

Die Aufsicht über die Vertrauensdiensteanbieter obliegt der Telekom-Control-Kommission, die sich bei der Durchführung nach dem SVG der Rundfunk und Telekom Regulierungs-GmbH bedient.

Um ihre Funktion erfüllen zu können, sind in Zertifikaten folgende Grunddaten zweckmäßig:

  • Name des Anwenders
  • Eine elektronische Signatur des Zertifizierungsdiensteanbieters
  • Der öffentliche Schlüssel des Anwenders
  • Der öffentliche Schlüssel wird der Signatur beigefügt, es besteht auch die Möglichkeit, Zertifikate aus der Zertifikatsdatenbank des Vertrauensdiensteanbieters einzusehen.

Die eIDAS-VO unterscheidet das "einfache" vom "qualifizierten" Zertifikat:

Einfaches Zertifikat

Gemäß Art. 3 Z 14 eIDAS-VO ist ein Zertifikat für elektronische Signaturen eine elektronische Bescheinigung, die elektronische Signaturvalidierungsdaten mit einer natürlichen Person verknüpft und die mindestens den Namen oder das Pseudonym dieser Person bestätigt.

Qualifiziertes Zertifikat

Im Gegensatz zum einfachen Zertifikat muss ein qualifiziertes Zertifikat bestimmte Anforderungen erfüllen (Art. 28 iVm Anhang I eIDAS-VO). Ein qualifiziertes Zertifikat hat zumindest folgende Angaben zu enthalten:

  • eine Angabe, dass das Zertifikat als qualifiziertes Zertifikat für elektronische Signaturen ausgestellt wurde, zumindest in einer zur automatischen Verarbeitung geeigneten Form;
  • einen Datensatz, der den qualifizierten Vertrauensdiensteanbieter, der die qualifizierten Zertifikate ausstellt, eindeutig repräsentiert und zumindest die Angabe des Mitgliedstaats enthält, in dem der Anbieter niedergelassen ist, sowie
    • bei einer juristischen Person: den Namen und gegebenenfalls die Registriernummer gemäß der amtlichen Eintragung;
    • bei einer natürlichen Person: den Namen der Person;
  • mindestens den Namen des Unterzeichners oder ein Pseudonym; wird ein Pseudonym verwendet, ist dies eindeutig anzugeben;
  • elektronische Signaturvalidierungsdaten, die den elektronischen Signaturerstellungsdaten entsprechen;
  • Angaben zu Beginn und Ende der Gültigkeitsdauer des Zertifikats;
  • den Identitätscode des Zertifikats, der für den qualifizierten Vertrauensdiensteanbieter eindeutig sein muss;
  • die fortgeschrittene elektronische Signatur oder das fortgeschrittene elektronische Siegel des ausstellenden qualifizierten Vertrauensdiensteanbieters;
  • den Ort, an dem das Zertifikat, das der fortgeschrittenen elektronischen Signatur oder dem fortgeschrittenen elektronischen Siegel gemäß Buchstabe g zugrunde liegt, kostenlos zur Verfügung steht;
  • den Ort der Dienste, die genutzt werden können, um den Gültigkeitsstatus des qualifizierten Zertifikats zu überprüfen;
  • falls sich die elektronischen Signaturerstellungsdaten, die den elektronischen Signaturvalidierungsdaten entsprechen, in einer qualifizierten elektronischen Signaturerstellungseinheit befinden.

Signator

Signator kann nur eine natürliche Person sein, sodass auch qualifizierte Signaturen nur von natürlichen Personen erstellt werden können. Qualifizierte Signaturen sind grundsätzlich der handschriftlichen Unterschrift gleichgestellt. Für juristische Personen ist in der eIDAS-VO die Verwendung von elektronischen Siegeln vorgesehen.

Elektronische Signaturarten

Die verschiedenen Arten elektronischer Signaturen können grundsätzlich in ein abgestuftes System eingereiht werden. Je nach Sicherheitsniveau und Zertifikat, das bei der Signaturerstellung eingesetzt und angewandt wird, erlangen die signierten Dokumente unterschiedliche Rechtswirkungen.

Einfache elektronische Signatur

Art. 3 Z 10 eIDAS-VO definiert die elektronische Signatur als Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet. Die Definition der elektronischen Signatur ist technologieneutral formuliert und schränkt dadurch auf keine bestimmte Signaturmethode ein. Die Sicherheit elektronischer Signaturen beruht im Endeffekt auf kryptographischen Verfahren, mit dem die Signaturen erstellt werden.

Dokumente, die mit einer "einfachen" elektronischen Signatur versehen sind, müssen gemäß Art. 25 Abs. 1 eIDAS-VO  als Beweismittel zugelassen werden und unterliegen somit der richterlichen Beweiswürdigung ("Nichtdiskriminierungsklausel").

Qualifizierte elektronische Signatur

Art. 3 Z 12 eIDAS-VO definiert eine qualifizierte elektronische Signatur als "eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wird und auf einem qualifizierten Zertifikat für elektronische Signaturen".

Eine fortgeschrittene Signatur ist eine Signatur, die

  • ausschließlich dem Signator zugeordnet ist,
  • die Identifizierung des Signators ermöglicht und mit Mitteln erstellt wird, die der Signator unter seiner alleinigen Kontrolle halten kann,
  • mit den Daten, auf die sie sich bezieht, so verknüpft ist, dass jede nachträgliche Veränderung der Daten festgestellt werden kann.

Ergänzend zu den Rechtswirkungen einer "einfachen" elektronischen Signatur erfüllt gemäß Art. 25 Abs. 2 eIDAS-VO iVm § 4 Abs. 1 erster Satz SVG eine qualifizierte elektronische Signatur – bis auf wenige Ausnahmen – das rechtliche Erfordernis einer eigenhändigen Unterschrift, insbesondere der Schriftlichkeit im Sinne des § 886 ABGB (Allgemeines bürgerliches Gesetzbuch), sofern durch Gesetz oder Parteienvereinbarung nicht anderes bestimmt ist.

Qualifizierte elektronische Signaturen dienen sowohl der Kommunikation Bürger/Bürgerinnen/Wirtschaft zu den Behörden als auch zwischen Bürger/Bürgerinnen/Wirtschaft untereinander und ersetzen dabei eine eigenhändige Unterschrift.

Bürgerkarte und Personenbindung

Die Bürgerkarte dient gemäß § 4 Abs. 1 E-GovG bei elektronischen Behördenverfahren dem Nachweis der

  • eindeutigen Identität eines Einschreiters und
  • der Authentizität des elektronisch gestellten Anbringens.

Die Authentizität wird durch die in der Bürgerkarte enthaltene qualifizierte elektronische Signatur gewährleistet. Die eindeutige Identifikation einer natürlichen Person wird in ihrer Bürgerkarte durch die sogenannte Personenbindung bewirkt. Dies ist notwendig, da selbst das qualifizierte Zertifikat lediglich den Namen einer Person enthält. Namensgleichheiten, Namensänderungen oder verschiedene Namensschreibweisen verursachen bei Zertifikaten gewisse Unsicherheiten. Daher wird bei der Personenbindung zusätzlich noch ein eindeutiges Identitätsmerkmal der Person (Stammzahl) mit dem Zertifikat kombiniert. Die Stammzahl ist eine Ableitung aus der Zahl der Zentralen Melderegisters und darf aus Datenschutzgründen nicht rückführbar sein.

Im Ergebnis besteht die Bürgerkarte aus dem entsprechenden Zertifikat verbunden mit der Stammzahl des Bürgerkarteninhabers.

Exklusive elektronische Signaturen für Behörden und Berufsgruppen

Die österreichische Rechtsordnung sieht mittlerweile in vielfacher Weise elektronische Signaturen vor, die ausschließlich von Behörden oder bestimmten Berufsgruppen (Notare, Rechtanwälte, Ziviltechniker) verwendet werden dürfen und dabei bestimmten Anforderungen genügen müssen.

Amtssignatur

Die Amtssignatur dient gemäß § 19 Abs. 2 E-GovG der erleichterten Erkennbarkeit der Herkunft eines Dokuments von einer Behörde und stellt somit ein Werkzeug für die Kommunikation von der Behörde zum Bürger (Administration-To-Consumer, A2C) beziehungsweise der Wirtschaft (Administration-To-Business, A2B) dar.

Mit der Amtssignatur wird dem Empfänger erkenntlich gemacht, dass es sich um ein amtliches Dokument handelt.

Die Amtssignatur muss folgende Voraussetzungen erfüllen:

  • eine fortgeschrittene elektronische Signatur oder ein fortgeschrittenes elektronisches Siegel im Sinne der eIDAS-VO (§ 19 Abs. 1 E-GovG),
  • die Erkennbarkeit der Herkunft muss durch ein entsprechendes Attribut (die Verwaltungseigenschaft der Behörde) im Zertifikat ausgewiesen werden,
  • darf ausschließlich von Auftraggebern des öffentlichen Bereichs bei der elektronischen Unterzeichnung oder bei der Ausfertigung der von ihnen erzeugten Dokumente verwendet werden (§ 19 Abs. 2 E-GovG),
  • die Amtssignatur muss in Ansichten des signierten/besiegelten elektronischen Dokumentes durch eine Bildmarke sowie durch einen Hinweis, dass das Dokument amtssigniert wurde, dargestellt werden (§ 19 Abs. 3 E-GovG).
  • Die Informationen zur Prüfung sind vom Auftraggeber des öffentlichen Bereichs bereitzustellen (19 Abs. 3 E-GovG.

Ein auf Papier ausgedrucktes elektronisches Dokument einer Behörde hat die Beweiskraft einer öffentlichen Urkunde, wenn das elektronische Dokument mit einer Amtssignatur versehen wurde. Die Amtssignatur muss durch Rückführung des Dokuments aus der ausgedruckten in die elektronische Form prüfbar oder das Dokument muss durch andere Vorkehrungen der Behörde verifizierbar sein. Das Dokument hat einen Hinweis auf die Fundstelle im Internet, wo das Verfahren der Rückführung des Ausdrucks in das elektronische Dokument und die anwendbaren Prüfmechanismen enthalten sind, oder einen Hinweis auf das Verfahren der Verifizierung zu enthalten.

Rechtsgrundlagen

Verordnung (EU) Nr. 910/2014 über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, ABl. Nr. L 257/73 vom 28. August 2014 (eIDAS-VO).

Bundesgesetz über elektronische Signaturen und Vertrauensdienste (Signatur- und Vertrauensdienstegesetz – SVG), BGBl. I Nr. 50/2016.

Bundesgesetz über Regelungen zur Erleichterung des elektronischen Verkehrs mit öffentlichen Stellen (E-Government-Gesetz – E-GovG), BGBl. I Nr. 10/2004, zuletzt geändert durch BGBl. I Nr. 50/2016.

Gerichtsorganisationsgesetz (GOG) vom 27. November 1896, RGBl. Nr. 217, zuletzt geändert durch BGBl. I Nr. 50/2016.

Notariatsordnung (NO) vom 25. Juli 1871, RGBl. Nr. 75, zuletzt geändert durch BGBl. I Nr. 50/2016.

Rechtsanwaltsordnung (RAO) vom 6. Juli 1868, RGBl. Nr. 96, zuletzt geändert durch BGBl. I Nr. 50/2016.

Ziviltechnikergesetz 1993, BGBl. Nr. 156/199,4 zuletzt geändert durch BGBl. I Nr. 50/2016.

Verordnung des Bundeskanzlers über elektronische Signaturen und Vertrauensdienste (Signatur- und Vertrauensdiensteverordnung – SVV), BGBl. II Nr. 208/2016

Verordnung des Bundesministeriums für Finanzen, mit der die Anforderungen an eine auf elektronischem Weg übermittelte Rechnung bestimmt werden ("elektronische Rechnungslegungsverordnung"), BGBl. II Nr. 583/2003.

Weiterführende Informationen