Stellungnahme der Regierung des Fürstentums Liechtenstein
an den Hohen Landtag zu den anlässlich der Notifizierung des Gesetzes über elektronische Signaturen (Signaturgesetz - SIGG) aufgeworfenen Fragen
(Unsetzung der Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen)
2
Die Verabschiedung des neuen Gesetzes über elektronische Signaturen (Signaturgesetz) wird durch die Übernahme der für die EWR-Staaten verbindlichen Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen (ABl L 13 vom 19.1.2000, S 12) erforderlich. Ziel der Signaturrichtlinie ist die Schaffung eines harmonisierten Rechtsrahmens für die Erbringung von Signatur- und Zertifizierungsdiensten sowie die Verwendung elektronischer Signaturen. Dadurch soll Rechtssicherheit für elektronische Transaktionen begründet, die rechtliche Anerkennung elektronischer Signaturen sichergestellt und schliesslich der elektronische Rechts- und Geschäftsverkehr gefördert werden. Das Signaturgesetz betrifft insofern auch die E-Commerce-Richtlinie (ABl. L 178 vom 17.7.2000, S 1), als diese vorgibt, dass alle Verträge, soweit sie an die Schriftform gebunden sind, auch elektronisch abgeschlossen können werden müssen.
Die Signaturrichtlinie geht von einem technologieneutralen Ansatz aus und spricht daher nicht von digitalen Signaturen, sondern von elektronischen Signaturen, wobei als elektronische Signatur jedes Verfahren der elektronischen Authentifizierung angesehen wird. Kernstück der Richtlinie bildet deren Art. 5, der die Rechtswirkungen elektronischer Signaturen regelt. Elektronische Signaturen dürfen im geschäftlichen Verkehr nicht diskriminiert und daher nicht verboten werden. Dieser Grundsatz der Nichtdiskriminierung (Art. 5 Abs. 2) gilt für alle elektronischen Signaturen. Elektronische Signaturen, die bestimmten Sicherheitsstandards entsprechen, werden in ihren Rechtswirkungen grundsätzlich den eigenhändigen Unterschriften gleichgestellt. Die erwähnten technischen, organisatorischen und personellen Sicherheitsstandards werden in den Anhängen I bis III zur Signaturrichtlinie definiert. Neben den Rechtswirkungen elektronischer Signaturen und den erwähnten Sicherheitsstandards regelt die Richtlinie weiters die Haftung der Zertifizierungsdiensteanbieter und die rechtliche Anerkennung von qualifizierten Zertifikaten aus Drittstaaten. Weitere Vorschriften befassen sich mit der
3
Aufsicht über die Zertifizierungsdiensteanbieter, mit deren freiwilligen Akkreditierung sowie mit Aspekten des Datenschutzes.
Mit dem Signaturgesetz werden die gesetzlichen Grundlagen für die Bereitstellung von Signatur- und Zertifizierungsdiensten sowie die Verwendung elektronischer Signaturverfahren in elektronischen Netzwerken geschaffen. Entsprechend den Vorgaben der Richtlinie regelt das Signaturgesetz die technischen Anforderungen an elektronische Signaturverfahren sowie die organisatorischen, personellen und finanziellen Rahmenbedingungen für deren Bereitstellung. Weiters legt das Signaturgesetz die Rechte und Pflichten der Akteure (Zertifizierungsdiensteanbieter und Signatoren) sowie die rechtlichen Wirkungen elektronischer Signaturen fest.
Der berechtigte Inhaber des privaten Signaturschlüssels wird "Signator" genannt. Im Einklang mit der Signaturrichtlinie kann grundsätzlich nur eine natürliche Person Signator sein. Die Signaturverfahren werden von den Zertifizierungsdiensteanbietern bereitgestellt. Diese können unterschiedliche Sicherheitsstufen und Zertifikatsklassen anbieten, die sie in einem Sicherheits- und Zertifizierungskonzept genau darstellen müssen. So genannte "sichere elektronische Signaturen" sind der eigenhändigen Unterschrift gleichgestellt, können also die einfache Schriftform erfüllen. Ausnahmen bestehen - im Sinn des Art. 9 Abs. 2 der E-Commerce-Richtlinie - für Bürgschafts- und Garantieerklärungen von Verbrauchern, für Rechtsgeschäfte, die zu ihrer Wirksamkeit oder zu ihrer Eintragung in ein öffentliches Register einer öffentlichen Beurkundung oder Beglaubigung bedürfen, sowie für Schriftformerfordernisse im Erb- und Familienrecht. Eine sichere elektronische Signatur erfordert neben einem qualifizierten Zertifikat (Anhang I und II der Signaturrichtlinie) eine sichere Signaturerstellungseinheit (Anhang III zur Signaturrichtlinie). Für jede sichere Signaturerstellungseinheit muss eine Sicherheitsbescheinigung einer Bestätigungsstelle (Art. 3 Abs. 4 der Signaturrichtlinie) vorliegen.
Bei der Ausstellung von qualifizierten Zertifikaten muss die Identität des Signators durch den Zertifizierungsdiensteanbieter zuverlässig festgestellt werden. Dafür ist die Vorlage eines gültigen amtlichen Lichtbildausweises erforderlich. Die Entge-
4
gennahme des Antrags sowie die Identitätsprüfung kann auch von einer Registrierungsstelle (zB Bank, Post) vorgenommen werden. Die Signatoren haben ihre Signaturerstellungsdaten sorgfältig zu verwahren, Zugriffe darauf zu verhindern und deren Weitergabe zu unterlassen. Für die Haftung von Zertifizierungsdiensteanbietern, die qualifizierte Zertifikate ausstellen, ist eine Sonderregelung vorgesehen. Bei dieser Haftung handelt es sich um eine Verschuldenshaftung mit Umkehr der Beweislast zu Lasten der Zertifizierungsdiensteanbieter.
Voraussetzung für den elektronischen Rechts- und Geschäftsverkehrs über offene Netzwerke bildet das Vertrauen der beteiligten Akteure, also der Anbieter und Kunden ebenso wie der öffentlichen Verwaltung und der Bürger, in die elektronischen Informations- und Kommunikationsmittel. Grundlage dieses Vertrauens ist vor allem die Sicherstellung der Identität der an den rechtlichen und wirtschaftlichen Transaktionen beteiligten Kommunikations- oder Geschäftspartner. Weiters müssen diese sich darauf verlassen können, dass die elektronischen Daten auf dem Weg von und zu ihnen nicht unerkannt verändert werden. Die vollwertige Entwicklung des elektronischen Geschäftsverkehrs erfordert zudem die rechtliche Anerkennung elektronischer Erklärungen.
Elektronische Signaturverfahren sind technische Verfahren, mit deren Hilfe festgestellt werden kann, dass eine elektronisch signierte Nachricht von einer bestimmten Person stammt (Authentizität) und während des Datentransports zum Empfänger nicht verändert wurde (Integrität). Die derzeit bekannte Anwendungsart solcher Technologien ist die digitale Signatur, die auf der asymmetrischen Verschlüsselung einer für das elektronische Dokument repräsentativen Datenkombination (des Hashwerts) basiert. Dazu wird ein privater Signaturschlüssel zur Signaturerstellung und ein korrespondierender öffentlicher Signaturschlüssel zur Signaturprüfung benötigt. Durch das Signaturschlüsselzertifikat wird der öffentliche Signaturschlüssel eindeutig und für jedermann überprüfbar einem bestimmten Rechtssubjekt (dem Signator) zugeordnet. Die Signaturprodukte und technischen Verfahren (Hard- und Softwarekombinationen) für die Erstellung und Überprüfung elektronischer Signaturen werden von den Zertifizierungsdienstan-
5
bietern bereitgestellt. Die Aktivitäten dieser Unternehmen unterliegen der staatlichen Aufsicht.
Einsatzbereiche für sichere elektronische Signaturen können vor allem der Bankenbereich (Electronic Banking), das Gesundheits- und Sozialversicherungswesen und der öffentliche Bereich (E-Government) sein.
Derzeit findet ein so genannter "Review" der Richtlinie statt. Das bedeutet, es werden Fragebögen betreffend die Umsetzungsmassnahmen an alle EU- und EWR-/EFTA-Staaen versandt. Aufgrund der Rückmeldungen wird im Auftrag der EU-Kommission ein Bericht erstellt werden, welcher den derzeitigen Stand der Dinge betreffend elektronische Signaturen widerspiegeln wird. Soweit bekannt, sehen die meisten Staaten derzeit keinen Bedarf, die Richtlinie abzuändern. Vielmehr soll gewartet werden, bis der Implementierungsprozess in allen Staaten abgeschlossen ist und sich die E-Signaturen generell etwas etablieren. Die Richtlinie über Elektronische Signaturen (1999/93/EG) wird in nächster Zeit voraussichtlich nicht abgeändert werden.
Zuständiges Ressort
Ressort Verkehr und Kommunikation
Betroffene Amtsstelle
Amt für Volkswirtschaft, Amt für Kommunikation
6
Vaduz, 8. Juli 2003
P
Sehr geehrter Herr Landtagspräsident,
Sehr geehrte Frauen und Herren Abgeordnete
Die Regierung gestattet sich, dem Hohen Landtag nachstehende Stellungnahme zu den anlässlich der Notifizierung aufgetretenen Fragen zu einem Gesetz über elektronische Signaturen (Signaturgesetz - SigG) zu unterbreiten.
Die modernen Informations- und Kommunikationstechnologien bewirken einen ausserordentlichen Boom des elektronischen Geschäftsverkehrs. Informationstechnologische Produkte und Dienstleistungen bilden weltweit eine der prosperierendsten Branchen mit ständig zunehmenden Steigerungsraten und noch grossen Wachstumspotenzialen. Elektronische Netzwerke, vor allem das Internet, dienen nicht nur dem Informationsaustausch und der Werbung, sondern können auch zum Abschluss und zur Abwicklung von Verträgen eingesetzt werden. Damit wurden neue Formen wirtschaftlicher Handlungstätigkeiten begründet. Neben Warenbestellungen und Dienstleistungsordern können auch Zahlungsanweisungen an Banken, Anträge oder Einsprüche bei Behörden, die Übermittlung sensitiver Daten im medizinischen Bereich und viele andere rechtlich relevante Vorgänge, die bisher über Papier abgewickelt wurden, auf elektronischem Weg erfolgen. Zu den von
7
den Endverbrauchern am häufigsten in Anspruch genommenen elektronischen Produkten und Dienstleistungen zählen heute Unterhaltungsangebote, Software sowie Finanz- und Reisebürodienstleistungen. Die Einsatzbereiche der elektronischen Medien beschränken sich also nicht nur auf den elektronischen Handel, sondern erstrecken sich auf verschiedene andere Gebiete, wie etwa die Aus- und Weiterbildung (Tele-Arbeit, Tele-Lernen, Netzwerke für Hochschulen und Forschungszentren), elektronische Ausschreibungen, die öffentliche Gesundheit und das Sozialversicherungswesen (Medizininformatik: elektronischer Datenaustausch von Patienten- oder anderen Informationen, elektronischer Krankenschein, Notfalldaten) sowie Dienste der öffentlichen Verwaltung für den Bürger (Form- und Merkblätter, Mustereingaben, elektronische Eingaben, Einsichtnahme in elektronische Akten, elektronische Erledigungen, Einsichtnahme in öffentliche Register).
Voraussetzung für die Entwicklung des elektronischen Rechts- und Geschäftsverkehrs über offene Netzwerke ist Rechtssicherheit und die Schaffung von Vertrauen in die modernen Informations- und Kommunikationstechnologien. Aus diesem Grund ist vor allem ein geeigneter Rechtsrahmen für elektronische Transaktionen erforderlich. Wegen des grenzüberschreitenden Charakters der modernen Medien erfordern sie einen möglichst globalen ordnungspolitischen Rechtsrahmen. Ein ausreichender Harmonisierungsgrad ist bisher nur auf europäischer Ebene erreicht.
Grundlage dieses Vertrauens in die elektronischen Netze und Instrumente ist vor allem die Sicherstellung der Identität der an den Kommunikationsabläufen bzw. den rechtlichen und wirtschaftlichen Transaktionen beteiligten Kommunikations- oder Geschäftspartner. Weiters müssen sich die Anwender darauf verlassen können, dass die elektronischen Daten auf dem Weg von und zu ihnen nicht unerkannt verändert und verfälscht werden. Die vollwertige Entwicklung des elektronischen Rechts- und Geschäftsverkehrs erfordert darüber hinaus die rechtliche Anerkennung elektronischer Erklärungen.
8
Geeignete Technologien zur Gewährleistung der Authentizität (Echtheit) und der Integrität (Unverfälschtheit) elektronischer Daten stehen mit den elektronischen Signaturen zur Verfügung. Die derzeit bedeutendste Anwendungsart solcher Technologien ist die digitale Signatur. Sie arbeitet mit einem kryptographischen
1 Schlüsselpaar, das aus einem geheimen privaten und einem komplementär dazu passenden, allgemein bekannten öffentlichen Signaturschlüssel besteht. Mit dem privaten Schlüssel wird ein "elektronischer Fingerabdruck", der eindeutig dem jeweiligen elektronischen Dokument zugeordnet ist (der so genannte "Hashwert") verschlüsselt. Mit Hilfe mathematischer Verfahren wird dabei auf dem Dokument ein unverfälschbarer "elektronischer Fingerabdruck" erzeugt, der mit dem in der Regel auf einer Chipkarte gespeicherten privaten Schlüssel kodiert wird. Dem Empfänger wird das Dokument samt der elektronischen Signatur übermittelt. Bei ihm wird die elektronische Signatur mit dem öffentlichen Signaturschlüssel des Senders, der aus dessen Zertifikat entnommen wird, entschlüsselt und so der unverschlüsselte Hashwert ermittelt. Stimmt dieser Wert mit dem aus dem übermittelten Dokument errechneten Hashwert überein, so liegt eine gültige elektronische Signatur (ein gültiges Prüfergebnis) vor. Diese komplizierten mathematischen Prozesse laufen im Computer in Sekundenschnelle automatisch ab.
Das Signaturschlüsselpaar wird dem Anwender (Signator) von einem Zertifizierungsdiensteanbieter zugeordnet. Der private Schlüssel ist geheim und nicht einmal dem Signator bekannt. Der öffentliche Schlüssel wird - über das Zertifikat - frei zugänglich gemacht, er dient der Überprüfung der elektronischen Signatur. Der öffentliche Schlüssel des Signators wird diesem also durch das Zertifikat eindeutig zugeordnet. Das Zertifikat kann entweder der Signatur angefügt sein oder elektronisch über ein Verzeichnis abgerufen werden (Verzeichnisdienst). Die Identität des Signators wird somit durch das von einem Zertifizierungsdiensteanbieter ausgestellte Zertifikat bescheinigt. Dazu muss der Zertifizierungsdienstean-
9
bieter die Identität des Signators anhand eines gültigen amtlichen Lichtbildausweises genau überprüfen.
Das Signaturgesetz bildet den Rechtsrahmen für den Einsatz der beschriebenen technischen Authentifizierungsverfahren und verknüpft bestimmte technische, organisatorische und infrastrukturelle Anforderungen mit besonderen Rechtswirkungen. Sichere elektronische Signaturen ersetzen grundsätzlich die eigenhändige Unterschrift und führen zu einer umfassenden rechtlichen Anerkennung elektronischer Erklärungen. Weiters stellt das Signaturgesetz die grenzüberschreitende Anerkennung von Zertifikaten und elektronischen Signaturverfahren sicher, was deren technische Interoperabilität voraussetzt. Das Signaturgesetz schafft somit die notwendige technische und rechtliche Sicherheit für die elektronische Kommunikation und ist Basis für die Entwicklung des elektronischen Rechts- und Geschäftsverkehrs.
| |
1 | "Kryptographie" bedeutete früher "Geheimschrift" und der Begriff ist im Zusammenhang mit elektronischen Signaturen heute als mathematisch-technisches Verschlüsselungsverfahren zu verstehen. |
| |