Elektronische Signaturen

Sind Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet (Definition gemäß Art. 3 Z 10 eIDAS-VO).

Eine Signatur (Unterschrift) dient dazu, ein Dokument dem Signator (Unterzeichner) zuzuordnen. Bei einer elektronischen Signatur werden dem elektronischen Dokument elektronische Daten beigefügt, die die Identität des Signators und die Integrität des signierten Dokuments feststellen. 
Die elektronische Signatur dient der Authentifizierung und hat nichts mit einer gescannten eigenhändigen Unterschrift oder der Verschlüsselung eines lesbaren "Klartextes" im Sinne der Umwandlung in ein nicht lesbares Dokument ("Geheimtext") zu tun. Die elektronische Signatur kann aber mit einer Verschlüsselung des lesbaren Klartextes kombiniert werden.

Hinweis

Die rechtliche Grundlage bildet die Verordnung (EU)
Nr. 910/2014 über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, ABl. Nr. L 257/73 vom 28. August 2014 (eIDAS-VO) und das Bundesgesetz über elektronische Signaturen und Vertrauens-dienste (Signatur- und Vertrauensdienstegesetz – SVG).

Um Vereinfachungen und Verfahrensbeschleunigung zu schaffen, ist es notwendig, auch in elektronischer Weise rechtsgültig Vereinbarungen treffen und sich dabei eindeutig identifizieren zu können. Dazu dient in Österreich das Konzept der Bürgerkarte, das die Elemente elektronische Identifizierung und elektronische Signatur vereint. Eckpunkte der elektronischen Signatur sind die richtige Zuordnung eines Dokuments an den Signator (Unterzeichner) und die Gewährleistung der Unverfälschtheit des signierten Dokuments.

Varianten der (rechtsgeschäftlichen) Kommunikation

  • Business to Business (B2B) – zwischen Unternehmen
  • Customer to Customer (C2C) – zwischen Bürgern
  • Business to Customer (B2C) – zwischen Unternehmen und Bürgern

Für den Bereich E-Government sind Kommunikationen von Bedeutung 

  • Administration to Business (A2B) - zwischen Verwaltung und Unternehmen
  • Administration to Citizen (A2C) - zwischen Verwaltung und Bürgern
  • Administration to Administration (A2A) - von Behörden untereinander

Hinweis

Signator kann nur eine natürliche Person sein, sodass auch qualifizierte Signaturen nur von natürlichen Personen erstellt werden können. Qualifizierte Signaturen sind grundsätzlich der handschriftlichen Unterschrift gleichgestellt. Für juristische Personen ist in der eIDAS-VO die Verwendung von elektronischen Siegeln vorgesehen.


Zertifikate

Zur Erstellung einer elektronischen Signatur ist grundsätzlich ein Zertifikat erforderlich.
Ein Zertifikat ist eine elektronische Bescheinigung, die die Identitätsdaten einer bestimmten Person (Signator) mit einem öffentlichen Schlüssel (Public Key) verbindet.
Neben zusätzlichen inhaltlichen Informationen unterscheiden sich Zertifikate insbesondere durch unterschiedliche rechtliche Anforderungen, die Garantie des Sicherheitsniveaus des Ausstellungsprozesses und der Vertrauenswürdigkeit des Ausstellers (Vertrauensdiensteanbieter).
Die Aufsicht über die Vertrauensdiensteanbieter obliegt der Telekom-Control-Kommission, die sich bei der Durchführung nach dem SVG der Rundfunk und Telekom Regulierungs-GmbH bedient.

Um ihre Funktion erfüllen zu können, sind in Zertifikaten folgende Grunddaten zweckmäßig:

  • Name der Anwenderin/ des Anwenders
  • Eine elektronische Signatur des Zertifizierungsdiensteanbieters
  • Der öffentliche Schlüssel der Anwenderin/ des Anwenders
  • Der öffentliche Schlüssel wird der Signatur beigefügt (Zertifikate aus der Zertifikatsdatenbank des Vertrauensdiensteanbieters sind einsehbar)

Einfaches Zertifikat

Gemäß Art. 3 Z 14 eIDAS-VO ist ein Zertifikat für elektronische Signaturen eine elektronische Bescheinigung, die elektronische Signaturvalidierungsdaten mit einer natürlichen Person verknüpft und die mindestens den Namen oder das Pseudonym dieser Person bestätigt.

Qualifiziertes Zertifikat

Ein qualifiziertes Zertifikat muss bestimmte Anforderungen erfüllen (Art. 28 iVm Anhang I eIDAS-VO) mit zumindest folgenden Angaben:

  • eine Angabe, dass das Zertifikat als qualifiziertes Zertifikat für elektronische Signaturen ausgestellt wurde, zumindest in einer zur automatischen Verarbeitung geeigneten Form
  • einen Datensatz, der den qualifizierten Vertrauensdiensteanbieter, der die qualifizierten Zertifikate ausstellt, eindeutig repräsentiert und zumindest die Angabe des Mitgliedstaates enthält, in dem der Anbieter niedergelassen ist, sowie
    bei einer juristischen Person: den Namen und gegebenenfalls die Registriernummer gemäß der amtlichen Eintragung
    bei einer natürlichen Person: den Namen der Person
  • mindestens den Namen der unterzeichnenden Person oder ein Pseudonym; wird ein Pseudonym verwendet, ist dies eindeutig anzugeben
  • elektronische Signaturvalidierungsdaten, die den elektronischen Signaturerstellungsdaten entsprechen
  • Angaben zu Beginn und Ende der Zertifikats-Gültigkeitsdauer
  • den Identitätscode des Zertifikats, der für den qualifizierten Vertrauensdiensteanbieter eindeutig sein muss
  • die fortgeschrittene elektronische Signatur bzw. Siegel des ausstellenden qualifizierten Vertrauensdiensteanbieters
  • den Ort, an dem das Zertifikat, das der fortgeschrittenen elektronischen Signatur bzw. Siegel gemäß Buchstabe "" zugrunde liegt, kostenlos zur Verfügung steht
  • den Ort der Dienste, die genutzt werden können, um den Gültigkeitsstatus des qualifizierten Zertifikats zu überprüfen
  • falls sich die elektronischen Signaturerstellungsdaten, die den elektronischen Signaturvalidierungsdaten entsprechen, in einer qualifizierten elektronischen Signaturerstellungseinheit befinden

Bürgerkarte und Personenbindung

Die Bürgerkarte dient gemäß § 4 Abs. 1 E-GovG bei elektronischen Behördenverfahren dem Nachweis der eindeutigen Identität eines Einschreiters und der Authentizität des elektronisch gestellten Anbringens.

  • Die Authentizität wird durch die in der Bürgerkarte enthaltene qualifizierte elektronische Signatur gewährleistet.
  • Die eindeutige Identifikation einer natürlichen Person wird in ihrer Bürgerkarte durch die sogenannte Personenbindung bewirkt. Dies ist notwendig, da selbst das qualifizierte Zertifikat lediglich den Namen einer Person enthält.
  • Namensgleichheiten, Namensänderungen oder verschiedene Namensschreibweisen verursachen bei Zertifikaten gewisse Unsicherheiten.
  • Daher wird bei der Personenbindung zusätzlich noch ein eindeutiges Identitätsmerkmal der Person (Stammzahl) mit dem Zertifikat kombiniert.
  • Die Stammzahl ist eine Ableitung aus der Zahl des Zentralen Melderegisters und darf aus Datenschutzgründen nicht rückführbar sein.
  • Im Ergebnis besteht die Bürgerkarte aus dem entsprechenden Zertifikat verbunden mit der Stammzahl des Bürgerkarteninhabers.


Elektronische Signaturarten

Es gibt verschiedene Arten elektronischer Signaturen. Je nach Sicherheitsniveau und Zertifikat, das bei der Signaturerstellung eingesetzt und angewandt wird, erlangen die signierten Dokumente unterschiedliche Rechtswirkungen.

Einfache elektronische Signatur

Art. 3 Z 10 eIDAS-VO definiert die elektronische Signatur als Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.

Die Definition der elektronischen Signatur ist technologieneutral formuliert und schränkt auf keine bestimmte Signaturmethode ein. Die Sicherheit elektronischer Signaturen beruht auf kryptographischen Verfahren, mit denen die Signaturen erstellt werden.
 

Dokumente, die mit einer "einfachen" elektronischen Signatur versehen sind, müssen gemäß Art. 25 Abs. 1 eIDAS-VO als Beweismittel zugelassen werden und unterliegen somit der richterlichen Beweiswürdigung ("Nichtdiskriminierungsklausel").

Qualifizierte elektronische Signatur

Art. 3 Z 12 eIDAS-VO definiert eine qualifizierte elektronische Signatur als "eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wird und auf einem qualifizierten Zertifikat für elektronische Signaturen beruht".


Eine fortgeschrittene Signatur ist eine Signatur, die

  • ausschließlich dem Signator zugeordnet ist
  • die Identifizierung des Signators ermöglicht
  • mit Mitteln erstellt wird, die der Signator unter seiner alleinigen Kontrolle halten kann
  • mit den Daten, auf die sie sich bezieht, so verknüpft ist, dass jede nachträgliche Veränderung der Daten festgestellt werden kann


Ergänzend zu den Rechtswirkungen einer "einfachen" elektronischen Signatur erfüllt gemäß Art. 25 Abs. 2 eIDAS-VO iVm § 4 Abs. 1 erster Satz SVG eine qualifizierte elektronische Signatur – bis auf wenige Ausnahmen – das rechtliche Erfordernis einer eigenhändigen Unterschrift. Insbesondere in der Schriftlichkeit im Sinne des § 886 ABGB, sofern durch Gesetz oder Parteienvereinbarung nicht anderes bestimmt ist. Qualifizierte elektronische Signaturen dienen der Kommunikation aller Stakeholder untereinander und ersetzen dabei eine eigenhändige Unterschrift.

Exklusive elektronische Signaturen für Behörden und Berufsgruppen - Die Amtssignatur

Die Amtssignatur dient gemäß § 19 Abs. 2 E-GovG der erleichterten Erkennbarkeit der Herkunft eines Dokuments von einer Behörde oder bestimmten Berufsgruppen (Notare, Rechtanwälte, Ziviltechniker).

Hierbei kann von einem organisatorischen Verständnis ausgegangen werden, dh. im Fall einer Gemeinde ist ein Amtssignaturzertifikat für alle Aufgaben einer Gemeinde ausreichend - auch wenn die Gemeinde funktionell mittelbar für den Bund oder das Land tätig wird. Die Gemeinde kann dennoch für jede einzelne Aufgabe ein gesondertes Amtssignaturzertifikat (bzw. Bildmarke) verwenden. 

Informationen über die Bestellung einer Amtssignatur sowie der Bildmarke für öffentliche Verwaltungseinheiten sind unter Amtssignatur nachzulesen.