Gemeinschaftlicher Rahmen für elektronische Signaturen

Der icoya EDI Signature Server erzeugt mit Hilfe einer oder mehrerer Signaturchipkarten eine qualifizierte elektronische Signatur. Die qualifizierte elektronische Signatur ist europaweit und von zahlreichen nichteuropäischen Staaten anerkannt. In Europa und anderen Ländern hat die digitale Signatur eine der manuellen Unterschrift gleichgestellte, rechtskräftige Wirkung.
RECHTSAKT

In der Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen werden die juristischen Rahmenbedingungen für elektronische Signaturen und bestimmte Zertifizierungsdienste auf europäischer Ebene festgelegt. Diese Richtlinie soll die Verwendung elektronischer Signaturen erleichtern und zu ihrer rechtlichen Anerkennung innerhalb der Mitgliedstaaten beitragen.

 ZUSAMMENFASSUNG

Mit dieser Richtlinie werden die Kriterien festgelegt, die als Grundlage für die rechtliche Anerkennung elektronischer Signaturen dienen. Der Schwerpunkt liegt dabei auf Zertifizierungsdiensten. Im Einzelnen geht es um:

  • gemeinsame Verpflichtungen für Zertifizierungsdiensteanbieter, um die grenzüberschreitende Anerkennung der Signaturen und der Zertifikate in der Europäischen Gemeinschaft sicherzustellen;
  • gemeinsame Haftungsregeln, um eine Vertrauensgrundlage sowohl bei den Verbrauchern, die sich auf die Zertifikate stützen, als auch bei den Diensteanbietern zu schaffen;
  • Verfahren der Zusammenarbeit, um die grenzüberschreitende Anerkennung der Signaturen und Zertifikate in Drittländern zu erleichtern.

In der Richtlinie werden zwei neue Begriffe definiert:

  • Die fortgeschrittene elektronische Signatur ist eine elektronische Signatur, die folgende Anforderungen erfüllt:
    - sie ist ausschließlich dem Unterzeichner zugeordnet;
    - sie ermöglicht die Identifizierung des Unterzeichners;
    - sie wird mit Mitteln erstellt, die der Unterzeichner unter seiner alleinigen Kontrolle halten kann;
    - sie ist so mit den Daten, auf die sie sich bezieht, verknüpft, dass eine nachträgliche Veränderung der Daten erkannt werden kann.
  • Das qualifizierte Zertifikat muss insbesondere beinhalten:
    - die Angabe, dass das Zertifikat als qualifiziertes Zertifikat ausgestellt wird;
    - die Angabe des Zertifizierungsdiensteanbieters;
    - den Namen des Unterzeichners;
    - Platz für ein spezifisches Attribut des Unterzeichners, das je nach Bestimmungszweck des Zertifikats aufgenommen wird;
    - Signaturprüfdaten, die den vom Unterzeichner kontrollierten Signaturerstellungsdaten entsprechen;
    - Angaben über den Beginn und das Ende der Gültigkeitsdauer des Zertifikats;
    - den Identitätscode des Zertifikats;
    - die fortgeschrittene elektronische Signatur des ausstellenden Zertifizierungsdiensteanbieters.

Außerdem muss das Zertifikat von einem Zertifizierungsdiensteanbieter ausgestellt werden, der bestimmten Anforderungen der Richtlinie entspricht.

Marktzugang

Die Mitgliedstaaten machen die Bereitstellung von Zertifizierungsdiensten nicht von einer vorherigen Genehmigung abhängig.

Die Mitgliedstaaten können freiwillige Akkreditierungssysteme einführen bzw. beibehalten, die auf höherwertige Zertifizierungsdienste abzielen. Alle mit diesen Systemen verknüpften Anforderungen müssen objektiv, transparent, verhältnismäßig und nichtdiskriminierend sein.

Die Mitgliedstaaten dürfen die Zahl der akkreditierten Zertifizierungsdiensteanbieter nicht aus Gründen einschränken, die in den Geltungsbereich dieser Richtlinie fallen.

Die Mitgliedstaaten können den Einsatz elektronischer Signaturen im öffentlichen Bereich zusätzlichen Anforderungen unterwerfen.

Die Mitgliedstaaten dürfen die Bereitstellung von Zertifizierungsdiensten, die aus anderen Mitgliedstaaten stammen, in den unter diese Richtlinie fallenden Bereichen nicht einschränken.

Rechtswirkung elektronischer Signaturen

Die wichtigste Bestimmung der Richtlinie legt fest, dass eine fortgeschrittene elektronische Signatur, die ein qualifiziertes Zertifikat zur Grundlage hat, genauso gültig ist wie eine handschriftliche Unterschrift. Außerdem ist sie auch vor Gericht als Beweismittel zulässig.

Es ist ferner rechtlich unzulässig eine elektronische Signatur abzulehnen, mit der einzigen Begründung, dass:

  • sie in elektronischer Form vorliegt oder
  • nicht auf einem qualifizierten Zertifikat beruht oder
  • nicht auf einem von einem akkreditierten Zertifizierungsdiensteanbieter ausgestellten qualifizierten Zertifikat beruht oder
  • nicht von einer sicheren Signaturerstellungseinheit erstellt wurde.

Haftung

Die Mitgliedstaaten sorgen dafür, dass ein Diensteanbieter, der ein qualifiziertes Zertifikat ausstellt, gegenüber jeder Person, die vernünftigerweise auf das Zertifikat vertraut, dafür haftet, dass

  • alle Informationen im qualifizierten Zertifikat richtig sind;
  • alle Anforderungen dieses Richtlinienvorschlags bei der Ausstellung des qualifizierten Zertifikats eingehalten wurden;
  • der im qualifizierten Zertifikat angegebene Unterzeichner zum Zeitpunkt der Ausstellung des Zertifikats im Besitz der Signaturerstellungsdaten war, die den im Zertifikat angegebenen bzw. identifizierten Signaturprüfdaten entsprechen;
  • in Fällen, in denen der Zertifizierungsdiensteanbieter sowohl die Signaturerstellungsdaten als auch die Signaturprüfdaten erzeugt, beide Komponenten in komplementärer Weise genutzt werden können.

Der Zertifizierungsdiensteanbieter haftet nicht für Schäden, die sich aus einer über diese Beschränkungen hinausgehenden Verwendung des qualifizierten Zertifikats ergeben.

Internationale Aspekte

Die Mitgliedstaaten sorgen für die gegenseitige rechtliche Anerkennung der elektronischen Signaturen. Um eine effektive Umsetzung der Normen und internationalen Vereinbarungen über Zertifizierungsdienste sicherzustellen, wird die Kommission gegebenenfalls Vorschläge unterbreiten. Nach Zustimmung des Rates kann die Kommission Rechte zum Marktzugang in Drittländern für Unternehmen der Gemeinschaft aushandeln.

Die Mitgliedstaaten sorgen dafür, dass die Diensteanbieter und die für die Akkreditierung und Aufsicht zuständigen nationalen Stellen die Anforderungen der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr erfüllen.

Mitteilung

Die Mitgliedstaaten teilen der Kommission folgende Informationen mit:

  • Angaben zu freiwilligen nationalen Akkreditierungssystemen einschließlich zusätzlicher Anforderungen beim Einsatz elektronischer Signaturen im öffentlichen Bereich
  • Namen und Anschriften der für Akkreditierung und Aufsicht zuständigen nationalen Stellen;
  • Namen und Anschriften der akkreditierten nationalen Zertifizierungsdiensteanbieter.

BEZUG

Rechtsakt Inkrafttreten Umsetzung in den Mitgliedstaaten Amtsblatt
Richtlinie 1999/93/EG [Verfahren: Mitentscheidung COD/1998/0191] 19.01.2000 19.07.2001
 ABl. L 13 vom 19.01.2000

VERWANDTE RECHTSAKTE

Entscheidung 2003/511/EG der Kommission vom 14. Juli 2003 über die Veröffentlichung von Referenznummern für allgemein anerkannte Normen für Produkte für elektronische Signaturen gemäß der Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates [Amtsblatt L 175 vom 15.07.2003].

Mit dieser Entscheidung wird eine Liste der Referenznummern für allgemein anerkannte Normen für Produkte für elektronische Signaturen eingeführt.

Entscheidung 2000/709/EG der Kommission vom 6. November 2000 über die Mindestkriterien, die von den Mitgliedstaaten bei der Benennung der Stellen gemäß Artikel 3 Absatz 4 der Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen zu berücksichtigen sind [Amtsblatt L 289 vom 16.11.2000].

Mit dieser Entscheidung werden die an die Mitgliedstaaten gestellten Anforderungen zur Benennung der Stellen, die für die Bewertung der Übereinstimmung von sicheren Signaturerstellungseinheiten zuständig sind, festgelegt.

© Europäische Gemeinschaften, 1995-2006