VfGH V11/05

Spruch:

Der Antrag wird zurückgewiesen.

Begründung

Begründung

1. Die Antragstellerin ist ein Unternehmen, das sich mit der Entwicklung von Softwarelösungen im Bereich der elektronischen Signatur beschäftigt.

2. Mit ihrem auf Art139 B-VG gestützten Antrag begehrt sie, die Wortfolge "für die Erzeugung sicherer Signaturen (§18 Abs5 SigG)" in §9 der Signaturverordnung BGBl. II Nr. 2000/30, idF BGBl. II Nr. 2004/527 als gesetzwidrig aufzuheben.

Zu ihrer Antragslegitimation führt die Antragstellerin aus:

"Die Antragsstellerin ist ein Unternehmen, das sich mit der Entwicklung von Softwarelösungen im Bereich der elektronischen Signatur beschäftigt. Die Antragsstellerin ist daher Normadressatin des Signaturgesetzes einerseits und der auf Basis des Signaturgesetzes ergangenen weiteren Rechtsvorschriften, insbesondere der Signaturverordnung andererseits.

Die Antragsstellerin ist Normadressatin der Signaturverordnung in der Fassung der Novelle BGBl. II 527/2004.

Durch das Signaturgesetz wird in §18 Abs5 SigG die Verpflichtung im Bezug auf die Bescheinigung, der zur Erstellung einer sicheren Signatur notwendigen Komponenten. und Verfahren geregelt. Nur dann, wenn diese Verpflichtungen eingehalten werden, kann ein Produkt als zum Erstellen einer sicheren Signatur geeignet angesehen werden (§2 Z3 lite SigG).

Nach Ansicht der Antragstellerin bezieht sich diese Verpflichtung auf alle Komponenten und Verfahren, die zur Erzeugung einer sicheren Signatur erforderlich sind, daher auch auf 'Viewer'. Die Antragstellerin kann sich bei dieser Auslegung einerseits darauf stützen, dass seit Inkrafttreten des Signaturgesetzes laufend auch 'Viewer' bescheinigt wurden. Weiters kann sich die Antragstellerin auf die Erläuterungen zum Signaturgesetz und zu den Kommentaren in der Literatur und Judikatur stützen. Nach §18 Abs5 SigG sind alle Komponenten (Elemente) der Signaturerstellung (nicht nur die Signaturerstellungseinheit) in die Evaluierung durch die Bestätigungsstelle einzubeziehen. (vgl. Brenn, SigVO, zu §9, Seite 56) Für Komponenten und Verfahren, die nicht die Signaturerstellungseinheit direkt betreffen, werde die Stufe E 2 hoch bei der Evaluierung gefordert, dies trifft unter anderem zu für die Funktion der Anzeige der zu signierenden Daten ('Viewer') ...

Nach Ansicht der Antragstellerin war es bis dato nicht unstrittig, dass Viewer auch bescheinigt werden müssen. (§18 Abs5 SigG)

Bescheinigungen, wie sie bisher auch für Viewer ausgestellt wurden, sind veröffentlicht unter www.a-sit.at .

Mit Newsletter vom 10.1.2005 (beiliegend) informierte die Rundfunk- und Telekom Kontrollkommission RTR als Aufsichtsbehörde, dass auf Grund der Signaturverordnungsnovelle eine Pflicht zur Bescheinigung für 'Viewer' gefallen sei.

Die Antragstellerin hat bereits seit ende des Vorjahres ein Ansuchen um Bescheinigung bei A-SIT eingebracht. Die Antragstellerin erhält jedoch von A-SIT keine Bescheinigungen für 'Viewer' mehr ausgestellt.

In den Erläuterungen zu der Novelle zur Signaturverordnung wird argumentiert, dass durch die nunmehrige Fassung der Signaturverordung in ihrem §9 klar gestellt sei, dass 'Viewer' keiner Bescheinigung mehr bedürfen.

Die Frage, ob 'Viewer' zu bescheinigen sind oder nicht, berührt die Rechtssphäre der Antragstellerin direkt: Gemäss §2 Ziffer 3 SigG wird eine sichere elektronische Signatur iVm §18 Abs5 SigG als eine solche definiert, bei der Komponenten und Verfahren verwendet werden, die bescheinigt wurden.

Wie unter Punkt 4. dieses Antrags entsprechend aufgezeigt wird, besteht Unklarheit, inwieweit durch die Novelle zur Signaturverordnung tatsächlich diese Veränderung im Bezug auf die Verpflichtung zur Beschaffung von Bescheinigungen angeordnet wurde. Es ist daher eine entsprechende Klärung der Rechtslage erforderlich, da andernfalls für die Antragsstellerin als direkte Normadressatin nie klar ist, unter welchen Bedingungen sie ihre Produkte als zu Erstellung einer sicheren Signatur geeignet anbieten kann. Die Bestimmungen des Signaturgesetzes über die Verpflichtung zur Bescheinigung können als Schutzgesetze qualifiziert werden, deren Verletzung der Antragstellerin somit angelastet werden könnten. Die Antragstellerin hätte daher bei Verletzung der Bestimmungen des SigG mit einer Klage zu rechnen.

Es steht der Antragsstellerin kein anderer zumutbarer Weg zur Verfügung, um sich gegen die rechtswidrige Verordnung zur Wehr zu setzen einerseits und um Klarheit zu schaffen andererseits. Dies insbesondere, da das Erwirken eines Bescheides einer Behörde im gegenständlichen Bereich nicht möglich ist. Es bedarf keiner weiteren Anordnungen, um die Wirksamkeit der Normen der Signaturverordnung für die Antragstellerin zu bewirken.

Die Antragstellerin kann keinen Bescheid erwirken: Die Stelle bei der die Bescheinigung zu beantragen ist, ist das Zentrum für sichere Informationstechnologie 'A-SIT'. Diese ist ein Verein. Durch A-SIT werden keine Bescheide ausgestellt. (vgl. die bei Brenn, aa0, 167, abgedruckten Statuten der A-SIT)

Mangels Zumutbarkeit der Erlangung eines Bescheids und in Hinblick auf die aktuelle Betroffenheit ist die Antragslegitimation für den gegenständlichen Antrag gestützt auf Art139 B-VG gegeben."

3. Der Bundeskanzler erstattete eine Äußerung in der er für die Zurück- bzw. Abweisung des Antrages eintritt.

4.1. Der im vorliegenden Zusammenhang maßgebliche §18 Signaturgesetz lautet:

"Technische Komponenten und Verfahren für sichere Signaturen

§18. (1) Für die Erzeugung und Speicherung von Signaturerstellungsdaten sowie für die Erstellung sicherer Signaturen sind solche technische Komponenten und Verfahren einzusetzen, die die Fälschung von Signaturen sowie die Verfälschung signierter Daten zuverlässig erkennbar machen und die die unbefugte Verwendung von Signaturerstellungsdaten verläßlich verhindern.

(2) Die bei der Erstellung einer sicheren Signatur verwendeten technischen Komponenten und Verfahren müssen zudem sicherstellen, daß die zu signierenden Daten nicht verändert werden; sie müssen es weiters ermöglichen, daß dem Signator die zu signierenden Daten vor Auslösung des Signaturvorgangs dargestellt werden. Die Signaturerstellungsdaten dürfen mit an Sicherheit grenzender Wahrscheinlichkeit nur einmal vorkommen, sie dürfen weiters mit hinreichender Sicherheit nicht ableitbar sein; ihre Geheimhaltung muß sichergestellt sein.

(3) Bei der Erstellung und Speicherung von qualifizierten Zertifikaten sind solche technische Komponenten und Verfahreneinzusetzen, die die Fälschung und Verfälschung von Zertifikaten verhindern.

(4) Für die Überprüfung von sicher signierten Daten sind solche technische Komponenten und Verfahren anzubieten, die sicherstellen, daß

1. 1. die signierten Daten nicht verändert worden sind,
2. 2. die Signatur zuverlässig überprüft und das Ergebnis dieser Überprüfung korrekt angezeigt wird,
3. 3. der Überprüfer feststellen kann, auf welche Daten sich die elektronische Signatur bezieht,
4. 4. der Überprüfer feststellen kann, welchem Signator die elektronische Signatur zugeordnet ist, wobei die Verwendung eines Pseudonyms angezeigt werden muß, und
5. 5. sicherheitsrelevante Veränderungen der signierten Daten erkannt werden können.

(5) Die technischen Komponenten und Verfahren für die Erstellung sicherer elektronischer Signaturen müssen nach dem Stand der Technik hinreichend und laufend geprüft sein. Die Erfüllung der Sicherheitsanforderungen nach diesem Bundesgesetz und den auf seiner Grundlage ergangenen Verordnungen muss von einer Bestätigungsstelle (§19) bescheinigt sein. Bescheinigungen von Stellen, die von anderen Mitgliedstaaten der Europäischen Union oder von anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zur Beurteilung der Sicherheitsanforderungen für sichere Signaturerstellungseinheiten nach Art3 Abs4 der Signaturrichtlinie namhaft gemacht wurden, sind den Bescheinigungen einer Bestätigungsstelle gleich zu halten.

(6) Entsprechen technische Komponenten und Verfahren den allgemein anerkannten Normen, die von der Europäischen Kommission nach Art3 Abs5 der Signaturrichtlinie festgelegt werden, so gelten die entsprechenden Sicherheitsanforderungen nach diesem Bundesgesetz und den auf seiner Grundlage ergangenen Verordnungen als erfüllt."

4.2. §9 der Signaturverordnung idF BGBl. II Nr. 527/2004 lautet (die bekämpfte Wortfolge ist durch Unterstreichung hervorgehoben):

"Prüfung der technischen Komponenten und Verfahren

§9. (1) Bei der Prüfung der technischen Komponenten und Verfahren für die Erzeugung sicherer Signaturen sind Sicherheitsvorgaben anzuwenden, die von einer Bestätigungsstelle (§19 SigG) als geeignet anerkannt sind. Hiebei können insbesondere Schutzprofile (Protection Profiles) herangezogen werden, die nach den 'Gemeinsamen Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik (Common Criteria for Information Security Evaluation - ISO/IEC 15408)' oder nach den 'Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (Information Technology Security Evaluation Criteria - ITSEC)' erstellt wurden. Das Gleiche gilt für die Prüfung von vertrauenswürdigen Systemen, Produkten und Verfahren, die für die Erstellung von qualifizierten Zertifikaten, für die Speicherung von Signaturerstellungsdaten für qualifizierte Zertifikate oder für sichere Zeitstempeldienste eingesetzt werden.

(2) Bei den Prüfungen nach Abs1 sind insbesondere Referenznummern zu beachten, die im Amtsblatt der Europäischen Gemeinschaften nach Art3 Abs5 der Signaturrichtlinie 1999/93/EG für sichere Signaturerstellungseinheiten (Secure Signature-Creation Devices - SSCD) oder vertrauenswürdige Systeme oder Produkte des Zertifizierungsdiensteanbieters veröffentlicht wurden.

(3) Wenn technische Komponenten und Verfahren in einer kontrollierten Umgebung eingesetzt werden, können Sicherheitsanforderungen, die nach Abs1 technisch sichergestellt werden müssen, auch organisatorisch durch Einsatz qualifizierten und vertrauenswürdigen Personals oder technisch-organisatorisch durch Einsatz geeigneter Zugriffs- und Zutrittskontrollmaßnahmen erfüllt werden. Die Erfüllung dieser Sicherheitsanforderungen ist durch eine Bestätigungsstelle zu prüfen.

(4) In der Bescheinigung der Bestätigungsstelle über die Erfüllung der Sicherheitsanforderungen für technische Komponenten und Verfahren für die Erzeugung sicherer Signaturen (§18 Abs5 SigG) ist anzugeben, für welche Anwendungen, unter welchen Einsatzbedingungen und bis zu welchem Zeitpunkt sie gilt. Ausfertigungen der Bescheinigung und allfällige Prüfberichte sind der Aufsichtsstelle zu übermitteln."

5. Der Antrag ist nicht zulässig.

Die antragstellende Gesellschaft begehrt die Aufhebung der Wortfolge "für die Erzeugung sicherer Signaturen (§18 Abs5 SigG)" in §9 der Signaturverordnung idF BGBl. II Nr. 527/2004. Dabei übersieht sie, dass - würde der Verfassungsgerichtshof dem Antrag Folge geben - damit nicht die Rechtslage hergestellt würde, bei der ihre Bedenken ausgeräumt wären. Die dann geltende Verordnungsbestimmung: "In der Bescheinigung der Bestätigungsstelle über die Erfüllung der Sicherheitsanforderungen für technische Komponenten und Verfahren ... ist anzugeben, ..." hätte nämlich im Hinblick auf die weiterhin geltende zu Grunde liegende gesetzliche Regelung des §18 Abs5 SignaturG (arg.: "Die technischen Komponenten und Verfahren für die Erstellung sicherer elektronischer Signaturen ...") keinen anderen Inhalt als die von der antragstellenden Gesellschaft bekämpfte Vorschrift. Das von der antragstellenden Gesellschaft verfolgte Ziel würde also durch die begehrte Aufhebung nicht erreicht, weshalb der Antrag schon deshalb zurückzuweisen war (VfSlg. 17.255/2004).

6. Dies konnte gemäß §19 Abs3 Z2 lite VfGG ohne weiteres Verfahren in nichtöffentlicher Sitzung beschlossen werden.