- | Einleitung |
- | Allgemeines |
§ 126a BGB - Elektronische Form (1) Soll die gesetzlich vorgeschriebene schriftliche Form durch die elektronische Form ersetzt werden, so muss der Aussteller der Erklärung dieser seinen Namen hinzufügen und das elektronische Dokument mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehen. (2) Bei einem Vertrag müssen die Parteien jeweils ein gleichlautendes Dokument in der in Absatz 1 bezeichneten Weise elektronisch signieren. |
In Übereinstimmung mit der europäischen Richtlinie ist eine qualifizierte elektronische Signatur eine fortgeschrittene elektronische Signatur, die auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikat beruht und mit einer sicheren Signaturerstellungseinheit (SSEE) erstellt wurde. Der Signaturschlüssel darf dabei ausschließlich in der SSEE gespeichert und angewendet werden, und die Übereinstimmung der SSEE mit den Vorgaben des Signaturgesetzes muss durch eine anerkannte Stelle geprüft und bestätigt werden. Dagegen ist auch für qualifizierte elektronische Signaturen eine Prüfung und Bestätigung der Signaturanwendungskomponente, welche Signatursoftware, Treiber und Chipkartenleser umfasst, nicht zwingend vorgeschrieben, jedoch ist mindestens eine Herstellererklärung nötig, in der der jeweilige Hersteller die Konformität der Komponente zum SigG und zur SigV gemäß § 17 SigG bestätigt. Eine solche Herstellererklärung wird später von der Bundesnetzagentur im Bundesanzeiger veröffentlicht[5], ist aber bereits mit der Einreichung bei der Bundesnetzagentur genügend. Zusätzlich wird bei qualifizierten elektronischen Signaturen unterschieden, von welchem Anbieter die Zertifikate ausgestellt und die Signaturschlüssel erzeugt werden. Dabei wird zwischen nicht-akkreditierten Anbietern und Anbietern mit Akkreditierung durch die Bundesnetzagentur unterschieden. Laut Signaturgesetz muss jeder Anbieter von Zertifikaten für qualifizierte elektronische Signaturen bestimmte Anforderungen bezüglich des von ihm betriebenen Rechenzentrums erfüllen. Der Anbieter kann sich bescheinigen lassen, dass sein Rechenzentrum den höchsten Sicherheitsanforderungen genügt. Dem geht eine Prüfung durch eine anerkannte Bestätigungsstelle (das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder eine private Bestätigungsstelle) voraus. Stellt diese fest, dass die Sicherheitsanforderungen durch den Anbieter bzw. den Betreiber des Rechenzentrums (wird in diesem Rahmen auch als Trust Center bezeichnet) erfüllt sind, bescheinigt die Bundesnetzagentur dessen Sicherheit. Der Betreiber des Rechenzentrums darf sich nun als akkreditiert bezeichnen und erhält für seine Zertifizierungsdienste qualifizierte Zertifikate von der Zertifizierungsstelle der Bundesnetzagentur, die in Deutschland die Wurzelinstanz (Root CA) in der Public-Key-Infrastruktur (PKI) für qualifizierte Zertifikate darstellt. |