Am 29. Juli 2017 ist das deutsche Vertrauensdienstegesetz (VDG) in Kraft getreten und hat damit seinen Vorgänger - das Signaturgesetz (SigG) - abgelöst. Das VDG ergänzt die EU-Verordnung Nr. 910/2014 (eIDAS Durchführungsgesetz) und regelt die Kooperationspflichten für Vertrauensdiensteanbieter sowie die Aufsichtsregelungen auf nationaler Ebene. Dieses neue Gesetz bietet einen aktualisierten Mechanismus zur Regulierung der elektronischen Signaturprüfung und -erstellung, der zuverlässige Dienste in ganz Europa gewährleistet. Diese Änderung ermöglichte es Europa, seine Gesetze zur digitalen Authentifizierung zu vereinheitlichen.

Was besagte das Signaturgesetz?

Das Signaturgesetz (SigG) bildete die gesetzliche Grundlage für die rechtliche Anerkennung von elektronischen Signaturen. Dieses Gesetz enthielt eine Reihe von technischen und organisatorischen Vorschriften (zusammengefasst als SigV), die Anforderungen an sichere digitale Signaturen zur Gewährleistung der Datenintegrität festlegten. Es wurde am 22. Juli 1997 verabschiedet, ist im August 1997 in Kraft getreten und wurde vier Jahre später zum ersten Mal geändert und 2017 vom VDG abgelöst.

Eines der zentralen Zielsetzungen des Signaturgesetzes war die Schaffung einer rechtlichen Grundlage für die elektronische Signatur. Dies galt als ein wichtiger Schritt in der Digitalisierung, denn Prozesse konnten nun digitalisiert werden, die bisher eine manuelle Unterschrift erforderten. Transaktionen wie Bestellungen und Dokumentenübermittlungen waren per Gesetz nun nicht mehr durch zeitliche Beschränkungen wie Geschäftszeiten limitiert - dies ermöglichte mehr Freiheit zwischen Behörden, Unternehmen und ihren Kunden.

Das europäische eIDAS Gesetz im Zusammenspiel mit dem deutschen Vertrauensdienstegesetz VDG

Die Herausforderung der unterschiedlichen nationalen Signaturgesetze hat dazu geführt, dass die EU die eIDAS, in Deutschland besser bekannt als "Elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen" (IVT), erlassen hat. Diese umfassende Verordnung (eIDAS Durchführungsgesetz, eIDAS-VO) Nr. 910/2014 des Europäischen Parlaments und des Rates trat am 17. September 2014 in Kraft mit weitgehender Gültigkeit zum 1. Juli 2016 und löst die Richtlinie 1999/93/EG (Signaturrichtlinie) mit vielen neuen Bestimmungen ab.

Die europäische eIDAS-Verordnung Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG legt die Regeln für die digitale Identifizierung und Vertrauensdienste fest:

elektronische Identifizierung
Vertrauensdienste
elektronische Signaturen
elektronische Siegel
Validierung und Bewahrung von qualifizierten elektronischen Siegeln und Signaturen
elektronische Zeitstempel
Dienste für elektronische Einschreiben
Zertifikate für die Website-Authentifizierung

Das deutsche Vertrauensdienstegesetz VDG setzt die Vorschriften der eIDAS durch, um ihre Einhaltung zu gewährleisten, und ist dabei kürzer als sein Vorgänger, das Signaturgesetz. Außerdem führt es neue Begriffe ein: der Begriff "Vertrauensdiensteanbieter" (TSP) ersetzt den Begriff "Zertifizierungsdiensteanbieter" (CSP) und unterscheidet weiterhin zwischen qualifizierten elektronischen Signaturen, die von natürlichen Personen verwendet werden, und Siegeln, die in juristischen Personen eingesetzt werden.

Weitere Fragen rund um das Thema Vertrauensdienstegesetz (VDG)

Was ist ein Vertrauensdienst?

Vertrauensdienste sind ein integraler Bestandteil von elektronischen Unterschriftsdiensten, Siegeln, Zeitstempeln, zertifizierten Postzustellungsdiensten und Website-Authentifizierung. Anbieter von Vertrauensdiensten ermöglichen eine sichere und vertrauenswürdige elektronische Kommunikation, indem sie als Drittanbieter für die elektronische Identifizierung oder Überprüfung fungieren.

Anbieter von Vertrauensdiensten werden durch den Trust Services Act reguliert und müssen eine Reihe von Anforderungen und Standards einhalten, um sicherzustellen, dass ihre Dienste das gesetzlich vorgeschriebene Sicherheitsniveau erfüllen. Vertrauensdienste spielen eine wichtige Rolle bei der Bereitstellung einer sicheren digitalen Kommunikation und dem Schutz von Unternehmen und Privatpersonen, die sie bei der Unterzeichnung von Verträgen oder der elektronischen Übermittlung von Informationen nutzen.

Was ist ein Behördensiegel?

Ein offizielles Siegel, das auch als allgemeines Siegel oder Firmensiegel bezeichnet wird, dient dazu, Dokumente zu authentifizieren, ihre Autorität zu bescheinigen und die Autorisierung des Unterzeichners zu belegen. Es dient der rechtlichen Beglaubigung von Dokumenten wie Verträgen und Aktionärsbeschlüssen, vor allem für Unternehmen und öffentliche Einrichtungen wie Schulen, religiöse Organisationen und Gemeinden. Der Trust Services Act schreibt vor, dass jede Verwendung eines offiziellen Siegels bei dem Staat registriert werden muss, in dem das Papierdokument erstellt oder ausgestellt wird. Bevor ein offizielles Siegel gültig wird, ist eine ordnungsgemäße Beglaubigung durch einen autorisierten Unterausschuss erforderlich. Kurz gesagt, ein offizielles Siegel hilft, die Integrität wichtiger Dokumente zu schützen, die eine Bestätigung der Unterschrift erfordern.

Wie wird man ein qualifizierter Vertrauensdiensteanbieter?

Der qualifizierte Vertrauensdiensteanbieter (Qualified Trust Service Provider, QTSP) ist für die Umsetzung und Sicherheit einer QES unerlässlich. Um ein QTSP zu werden, muss ein Dienstanbieter strenge, von den zuständigen Behörden festgelegte Kriterien erfüllen. Sobald er zugelassen ist, wird er in eine Liste vertrauenswürdiger Anbieter aufgenommen. In der EU enthalten die eIDAS-Verordnungen die folgenden Mindestkriterien:

Der Dienstanbieter muss eine gültige Zeit und ein gültiges Datum für erstellte Zertifikate angeben.
Signaturen mit abgelaufenen Zertifikaten müssen sofort widerrufen werden.
Das Personal des qualifizierten Vertrauensdiensteanbieters muss entsprechend geschult sein.
Die vom Dienstanbieter eingesetzte Soft- und Hardware muss vertrauenswürdig und in der Lage sein, Zertifikatsfälschungen zu verhindern.

Welche digitale Signatur ist rechtsgültig?

Die Gültigkeit einer digitalen Unterschrift unterscheiden sich nach verwendeter Signaturmethode, zwischen Ländern und je nach Anwendungsgebiet. Je nachdem, wie eine elektronische Signatur erstellt wird, variiert allerdings ihre Beweiskraft und kommen andere Anwendungsgebiete in Frage. In der EU gilt die eIDAS-Verordnung, die drei Arten: Einfache elektronische Signatur (EES), Fortgeschrittene elektronische Signatur (AES/FES), Qualifizierte elektronische Signatur (QES) von elektronischen Signaturen unterscheidet.