Das Signaturgesetz (SigG) stellte ein Gesetz dar, das die Rahmenbedingungen für elektronische Signaturen vorgab. Das zum 29. Juli 2017 außer Kraft getretene Gesetz findet seinen Rechtsnachfolger im Vertrauensdienstegesetz (VDG). Das Ziel des SigG bestand darin, elektronischen Signaturen einen rechtssicheren Überbau zu geben. Dies war mit der Herausforderung verbunden, mehrere vergleichbare nationale Gesetze in Europa in Einklang zu bringen. Eine Reaktion hierauf ist die seit dem 1. Juli 2016 geltende EU-Verordnung eIDAS.
Das Signaturgesetz ist in ursprünglicher Fassung zum 22. Juli 1997 erschienen, bevor es am 1. August desselben Jahres in Kraft trat. Die letzte Gesetzesnovelle vom 16. Mai 2001 (in Kraft getreten am 22. Mai) war gültig bis zum Ende des Gesetzes. Sein Ziel bestand darin, Fälschungen signierter Daten sowie digitaler Signaturen zuverlässig aufzudecken. Zu diesem Zwecke schuf das SigG einen einheitlichen Rahmen für digitale Signaturen. Es handelte sich um das weltweit erste Gesetz dieser Art, das sich auf einen gesamten staatlichen Rechtsraum bezog.
Die Signaturgesetz-Definition beinhaltet mehrere grundsätzliche Anforderungen an die Sicherheit digitaler Signaturen. Diese Anforderungen trugen sowohl organisatorischen als auch technischen Herausforderungen Rechnung. Das Signaturgesetz sollte das Vertrauen in die Nutzung elektronischer Medien stärken. In diesem Zusammenhang war es auch von hoher Bedeutung für den Verbraucherschutz. Weitere Einzelheiten waren in der SigV (Verordnung zur digitalen Signatur) vom 16.11.2001 geregelt.
Eine Erklärung zum Signaturgesetz erfordert eine Betrachtung im Zusammenhang mit den Entwicklungen auf EU-Ebene. Die Herausforderung mehrerer nationaler Signaturgesetze veranlasste die EU zum Erlass einer neuen Richtlinie, der eIDAS (electronic Identification, Authentication and trust Services). Diese ist in Deutschland auch als IVT bekannt. Diese Verordnung gilt seit dem 1. Juli 2016. Offiziell trägt sie die Bezeichnung Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates. Mit ihr wird die bis dato gültige Richtlinie 1999/93/EG (Signaturrichtlinie) aufgehoben.
Die Einführung elektronischer Signaturen sollte als Beitrag zur Digitalisierung einige Vorgänge erleichtern, die an eine Unterschrift geknüpft sind. Digitale Signaturen tragen zur Flexibilität einiger Prozesse bei. So können etwa Bestellungen oder die Übertragung von Dokumenten unabhängig von Öffnungszeiten erfolgen. Damit sind beispielsweise Behörden und Geschäfte sowie deren Kund:innen nicht mehr zeitlich gebunden. Auch im digitalen Zeitalter gelten bestimmte Anforderungen an die Rechtssicherheit, wenn die Unterschrift verbindliche Geltung haben soll.
Als Pendant zur händischen Unterschrift ist daher die elektronische Signatur ins Leben gerufen worden. Das Signaturgesetz sollte im Zuge dessen gewährleisten, dass sich der oder die Unterzeichner:in klar identifizieren lässt. Ebenso muss die Authentizität signierter Dokumente jederzeit überprüfbar sein. Zur Gewährleistung rechtssicherer Rahmenbedingungen im Internet haben sowohl die EU als auch die Bundesrepublik Deutschland mehrere Verordnungen sowie Gesetze beschlossen. Während in der realen (analogen) Welt Dokumente mit Siegel oder Unterschriften rechtssicher und anerkannt sind, bedarf es im Internet bestimmter technischer Maßnahmen zur Gewährleistung der Rechtssicherheit.
Zu den technischen Rahmenbedingungen des deutschen Signaturgesetzes gehörten sowohl Vorgaben für einfache als auch technisch anspruchsvollere Signaturen. Die fortgeschrittene elektronische Signatur definiert dabei höhere Anforderungen an die Sicherheit. Weiterhin definierte das SigG eine qualifizierte elektronische Signatur, die auch den höchsten Ansprüchen an die Sicherheit genügen sollte.
Unternehmen sind im Sinne der Gewährleistung rechtssicherer Signaturen auf eine bestimmte Ausstattung angewiesen. Diese besteht aus mindestens drei Komponenten. Zum einen benötigen Unternehmen eine Signatur-Chipkarte. Die Beantragung der Karte sollte dabei persönlich oder über ein sicheres Identifikations-Verfahren (beispielsweise PostIdent) erfolgen. Die Karte darf weiterhin nicht übertragbar sein. Die Signatur-Chipkarte muss zudem aus einem gesetzeskonformen Trustcenter stammen. Zum anderen benötigen Unternehmen ein entsprechendes Chipkarten-Lesegerät. Dieses verfügt über eine eigene Tastatur sowie CT-API oder PC-SC-Schnittstelle. Die dritte Komponente besteht aus geeigneter Software zur digitalen Signatur von Dateien nach aktuellem PKCS-Standard. Die Sicherheitsanforderungen zur Nutzung qualifizierter digitaler Signaturen sind allerdings so hoch, dass sich dieser Prozess in der Praxis lange nicht in Deutschland durchsetzen konnte.
Technisch lassen sich digitale Signaturen sowie Siegel mit Webseite-Zertifikaten vergleichen. Ähnlich wie diese dienen sie der Übermittlung eines eindeutigen sowie nachvollziehbaren Inhalts. In erster Linie ist zu gewährleisten, dass die unterzeichnende Person als Inhaber:in des Signaturschlüssels eindeutig ist. Unverwechselbar werden Signaturinhaber:innen durch die Übermittlung der Informationen über Land, Seriennummer sowie Zertifikatskennzeichnung. Die technische Umsetzung basiert auf einer kryptographischen Software. Die Signatur wird verschlüsselt und an das mit ihr unterzeichnete Dokument angehängt. Auch Empfänger:innen nutzen eine kryptographische Software, um die verschlüsselte Signatur auf Herkunft und Authentizität zu überprüfen. Ein Beispiel für die Nutzung elektronischer Signaturen in der Verwaltung findet sich im neuen Personalausweis. Dessen Signaturfunktion lässt sich gegen eine Gebühr aktivieren.
Regelungen für elektronische Transaktionen und Signaturen sind auch in anderen EU-Mitgliedsstaaten erlassen. Die jeweiligen elektronischen Identifikationssysteme der Staaten wurden meist in den anderen Mitgliedsländern nicht anerkannt. Eine Erklärung hierfür liegt im mangelnden Überblick aufgrund einer Vielzahl nationaler Regelungen innerhalb der EU. Die EU reagierte mit einem einheitlichen rechtlichen Rahmen zum Signieren elektronischer Dokumente. Damit wird das Ziel bezweckt, EU-weite Dienstleistungen zu erleichtern und die Verwaltungshürden für EU-Unternehmen zu reduzieren.
Die seit Juli 2016 existierende Richtlinie eIDAS fand Ende Juli 2017 ihre nationale Umsetzung in Deutschland. Das entsprechende Gesetz trägt die Bezeichnung Gesetz zur Durchführung der europäischen eIDAS-Verordnung. Zentral ist in diesem Zusammenhang das Vertrauensdienstegesetz (VDG). Dieses dient der EU-weiten Vereinheitlichung der Regelungen für elektronische Signaturen. Elektronische Transaktionen sollen innerhalb des EU-Binnenmarkts effizienter durchführbar sein. Auch das VDG sieht verschiedenartige Stufen der Sicherheit elektronischer Signaturen vor. Die Variante der qualifizierten elektronischen Signatur (kurz QES) ist dabei rechtlich der handschriftlichen Unterschrift gleichgestellt. Damit wird die Hürde der ehemals zu hohen Sicherheitsanforderungen des alten Signaturgesetzes abgebaut.
Neben der reinen elektronischen Signatur beinhaltet das VDG auch Regelungen zu elektronischen Zeitstempeln, zur Zustellung elektronischer Dokumente sowie zu elektronischen juristischen Siegeln.
Elektronische Siegel bieten die Möglichkeit, Anhänge und Dokumente auch im Namen juristischer Personen zu signieren. Nach dem bisherigen SigG konnten nur natürliche Personen entsprechende Zertifikate für qualifizierte elektronische Signaturen anwenden. Nun steht diese Option auch Unternehmen oder Behörden offen.
Weiterhin findet sich im VDG die Neuerung einer Fernsignatur. Damit ist es auch mit mobilen Endgeräten möglich, qualifizierte Signaturen zu nutzen. Dies erfordert eine Registrierung der Nutzer:innen bei einem oder einer Vertrauensdiensteanbieter:in. Bei diesem hinterlegen die Anwender:innen einen Signaturschlüssel. Bei der elektronischen Signatur erfolgt eine Übertragung der Schlüssel an den oder die Anbieter:in, wo die Dokumente anschließend signiert werden.