th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

Die qualifizierte Signatur im Detail

Das Merkblatt erläutert detailiert die rechtlichen Grundlagen der sicheren Signatur

Welche Arten der elektronischen Signatur gibt es?

Auf Grundlage der Signaturrichtlinie der Europäischen Union, des österreichischen Signaturgesetzes und der darauf basierenden Signaturverordnung können in Österreich elektronische Signaturen bei der Abwicklung von Geschäften verwendet werden. Abhängig von der Art der elektronischen Signatur kann durch die Signierung eines Dokuments dessen Authentizität (die Nachricht stammt vom Absender), dessen Integrität (die Nachricht wurde unterwegs nicht verändert), dessen Verschlüsselung (die Nachricht kann nur vom Empfänger gelesen werden) und der Unterschriftenersatz (die Beisetzung der elektronischen Signatur ist der eigenhändigen Unterschrift gleichgesetzt) sichergestellt werden. Dabei werden folgende Arten der elektronischen Signatur unterschieden:

Art der Signatur Mögliche Wirkungen und Einsatzbereiche
Qualifizierte Signatur Authentizität, Integrität, Verschlüsselung, Unterschriftersatz nach dem Signaturgesetz
Fortgeschrittene Signatur Authentizität, Integrität, Verschlüsselung.

Hauptanwendungsbereich: elektronische Rechnungslegung
„Einfache“ Signatur abhängig vom Anbieter; Wirkung unterliegt der freien Beweiswürdigung
Verwaltungssignatur Spezialform der Signatur aus dem Bereich des E-Government. Sie ist in bestimmten (behördlichen) Bereichen der qualifizierten Signatur gleichgestellt, die Anwendung ist zeitlich bis Ende 2012 beschränkt
Amtssignatur Signatur nach dem E-Government Gesetz, die ausschließlich von Behörden verwendet wird


 

Qualifizierte Signatur, Schriftlichkeit und Unterschriftenersatz

Im österreichischen Zivilrecht gilt der Grundsatz der Formfreiheit für Rechtsgeschäfte, dh dass im Zweifel Rechtsgeschäfte in beliebiger Form abgeschlossen werden können. Von diesem Grundsatz kann jedoch durch Vereinbarung der Parteien oder durch gesetzliche Bestimmung abgegangen werden. In diesem Fall wird die Gültigkeit eines Rechtsgeschäfts an das Vorliegen einer bestimmten Form gebunden.

Ein solches Formerfordernis ist die Schriftform, die prinzipiell die handschriftliche Unterschrift erfordert. Seit Einführung des Signaturgesetzes ist die ursprünglich als „sichere“, seit 2008 als „qualifizierte“ bezeichnete Signatur der eigenhändigen Unterschrift in weiten Bereichen gleichgestellt. Damit kann das zivilrechtliche Formerfordernis der Schriftform auch durch die Beisetzung einer sicheren Signatur zu einem elektronischen Dokument erfüllt werden. Von dieser Regel ausgenommen sind allerdings:

  • Rechtsgeschäfte des Familien- und Erbrechts, die an die Schriftform oder ein strengeres Formerfordernis gebunden sind;

  • andere Willenserklärungen oder Rechtsgeschäfte, die zu ihrer Wirksamkeit an die Form einer öffentlichen Beglaubigung, einer gerichtlichen oder notariellen Beurkundung oder eines Notariatsakts gebunden sind;

  • Willenserklärungen, Rechtsgeschäfte oder Eingaben, die zu ihrer Eintragung in das Grundbuch, das Firmenbuch oder ein anderes öffentliches Register einer öffentlichen Beglaubigung, einer gerichtlichen oder notariellen Beurkundung oder eines Notariatsakts bedürfen; und

  • Bürgschaftserklärungen, die von Personen außerhalb ihrer gewerblichen, geschäftlichen oder beruflichen Tätigkeit abgegeben werden.

Das Signaturgesetz bestimmt weiters, dass elektronische Dokumente, die mit einer qualifizierten Signatur versehen sind, prozessrechtlich den unterschriebenen Privaturkunden hinsichtlich der Vermutung der Echtheit des Inhalts gleichgestellt sind. Dies kann im Falle eines Prozesses zu einer Beweiserleichterung führen.

 

Achtung:
Nur eine qualifizierte Signatur bewirkt Schriftlichkeit. Nicht signierte Dokumente, E-Mails, aber auch nicht qualifiziert signierte Dokumente gelten nicht als schriftlich. Zwar dürfen auch diese bei Zugang nicht einfach ignoriert werden, ihre Beweiskraft kommt aber in etwa jener mündlicher Vereinbarungen gleich.


Wenn daher in AGBs zB für Kündigungen Schriftlichkeit gefordert wird, so reicht die rechtzeitige Zustellung eines qualifiziert signierten elektronischen Dokuments, nicht hingegen ein normales E-Mail oder ein „einfach“ signiertes Dokument.

 

Was genau ist eine qualifizierte Signatur?

Welche Signatur als qualifiziert gilt und welche nicht, wird im Signaturgesetz bestimmt. Nur wenn eine Signatur sämtliche Voraussetzungen dieses Gesetzes erfüllt gilt sie als qualifizierte Signatur. Zu diesem Zweck muss sie:

  • ausschließlich einer bestimmten natürlichen Person (Signator) zugeordnet sein;

  • die Identifizierung des Signators ermöglichen;

  • mit Mitteln erstellt werden, die der Signator unter seiner alleinigen Kontrolle halten kann;

  • mit den Daten, auf die sie sich bezieht, so verknüpft sein, dass jede nachträgliche Veränderung der Daten festgestellt werden kann; und

  • auf einem qualifizierten Zertifikat beruhen und unter Verwendung von technischen Komponenten und Verfahren erstellt worden sind, die den Sicherheitsanforderungen des Signaturgesetzes und den einschlägigen Verordnungen entsprechen.

Ein qualifiziertes Zertifikat ist eine elektronische Bescheinigung, mit deren Hilfe die qualifizierte Signatur eindeutig einer bestimmten Person zugeordnet wird. Dadurch wird eine unzweifelhafte Bestätigung der Identität desjenigen möglich, der ein elektronisches Dokument mit einer sicheren Signatur versehen hat.

 

Wie kann eine qualifizierte Signatur bezogen werden?

Die qualifizierte Signatur und das zugrunde liegende qualifizierte Zertifikat müssen von einer Stelle zur Verfügung gestellt werden, die eine vertrauenswürdige Zuordnung des qualifizierten Zertifikats zu dessen Inhaber sicherstellen kann (Identitätsprüfung). Eine derartige Zuordnung wird von Zertifizierungsdienstanbietern (ZDA) angeboten. In Österreich muss die Erbringung eines solchen Zertifizierungsdienstes der Telekom-Control-Kommission gemeldet werden, da die Anbieter einer öffentlichen Kontrolle unterliegen. Eine entsprechende Übersicht über die in Österreich tätigen Zertifizierungsdiensteanbieter findet sich unter www.signatur.rtr.at/de/providers.

 

Wer überwacht die Zertifizierungsdienstanbieter?

Die Telekom-Control-Kommission ist als Aufsichtsstelle mit der Überwachung der Zertifizierungsdienstanbieter betraut. Dabei überwacht sie die Einhaltung der Bestimmungen des Signaturgesetzes und der auf dessen Basis ergangenen Verordnungen. Insbesondere betrifft dies die Umsetzung der Angaben im Sicherheits- und Zertifizierungskonzept sowie die Verwendung geeigneter technischer Komponenten für qualifizierte Signaturen. Darüber hinaus hat die Telekom-Control-Kommission Aufgaben organisatorischer Aufsicht zu erfüllen. Weitere Informationen über die Telekom-Control-Kommission können im Internet unter www.signatur.rtr.at/de abgerufen werden.

 

Haften Zertifizierungsdienstanbieter für die von ihnen ausgestellten Zertifikate?

Da Zertifizierungsdienstanbieter eine wichtige und grundlegende Dienstleistung für den Geschäftsverkehr mit elektronischen Signaturen erbringen, unterliegen sie hinsichtlich gewisser von ihnen erbrachter Leistungen einer verschärften Haftung. Durch diese Haftungsverschärfung kann sich der Anwender darauf verlassen, dass die qualifizierte Signatur ein verlässliches Mittel für den Abschluss von Verträgen und sonstigen Geschäften ist. Betroffen sind jene Zertifikate, die als qualifizierte Zertifikate ausgestellt und auch als solche bezeichnet werden. Die Verwendung eines derartigen Zertifikats ist Voraussetzung für das Vorliegen einer qualifizierten Signatur. Der Zertifizierungsdienstanbieter haftet für qualifizierte Zertifikate im Sinne einer zwingenden Verschuldenshaftung gegenüber jedermann. Der Umfang der Haftung bezieht sich auf:

  • die Richtigkeit und Vollständigkeit aller Angaben im qualifizierten Zertifikat im Zeitpunkt seiner Ausstellung;

  • den Umstand, dass der im qualifizierten Zertifikat angegebene Signator im Zeitpunkt der Ausstellung des Zertifikats im Besitz jener Signaturerstellungsdaten ist, die den im Zertifikat angegebenen Signaturprüfdaten entsprechen;

  • die komplementäre Entsprechung der Signaturerstellungsdaten und der ihnen zugeordneten Signaturprüfdaten bei Verwendung der bereitgestellten oder als geeignet bezeichneten Produkte und Verfahren;

  • den unverzüglichen Widerruf des Zertifikats bei Vorliegen der Voraussetzungen (zB angezeigter Verlust einer Signaturkarte) und die Verfügbarkeit der Widerrufsdienste; und

  • die Erfüllung gewisser Anforderungen an den Anbieter und an jene Komponenten und Verfahren, die für die Erzeugung und Speicherung von Signaturerstellungsdaten und für die Erstellung und Speicherung von qualifizierten Zertifikaten verwendet werden.

     Stellt der Zertifizierungsdienstanbieter sichere elektronische Signaturverfahren bereit, so        haftet er dafür, dass

  • für die von ihm bereitgestellten oder als geeignet bezeichneten Produkte, Verfahren und sonstige Mittel für die Erstellung elektronischer Signaturen und

  • für die Darstellung der zu signierenden Daten

nur den Bestimmungen des Signaturgesetzes entsprechende technische Komponenten und Verfahren verwendet werden.

Der Zertifizierungsdienstanbieter kann qualifizierte Zertifikate mit einem bestimmten Anwendungsbereich oder einem bestimmten maximalen Transaktionswert (zB beschränkter Maximal-Geldwert für Kaufverträge) ausgeben. Für diese haftet er nach den oben beschriebenen verschärften Bestimmungen nicht für Schäden, die sich aus einer abweichenden Verwendung oder einer Überschreitung des Transaktionswertes ergeben.

Die Haftung des Zertifizierungsdienstanbieters stellt somit sicher, dass ein qualifiziertes Zertifikat die darin angegebene Person auch verlässlich identifiziert und dass ein solches qualifiziertes Zertifikat für qualifizierte Signaturen verwendet werden kann.
 



Stand: September 2012