Der Nationalrat hat beschlossen:

Das Bundesgesetz über elektronische Signaturen, BGBl. I Nr. 190/1999, wird wie folgt geändert:

"(3) Ein qualifiziertes Zertifikat muss mit einer den Anforderungen des § 2 Z 3 lit. a bis d entsprechenden Signatur des Zertifizierungsdiensteanbieters versehen sein."

"(zB sichere Zeitstempel)";

b) wird im Abs. 2 letzter Satz das Wort "Bereitstellung" durch die Worte "Erzeugung und Speicherung" ersetzt.

"Für die ersten drei Jahre der operativen Tätigkeit der Aufsichtsstelle kann der Bundesminister für Verkehr, Innovation und Technologie im Einvernehmen mit dem Bundesminister für Finanzen einen Zuschuss aus Bundesmitteln im Wege einer Kapitalerhöhung bei der Telekom Control GmbH in Höhe von bis zu insgesamt 24 Millionen Schilling für den laufenden Betrieb und in Höhe von einmalig bis zu 5 Millionen Schilling für Investitionen gewähren."

"Mit Zustimmung des Antragstellers kann das Verfahren auch auf elektronischem Weg durchgeführt werden."

"(5) Die technischen Komponenten und Verfahren für die Erstellung sicherer elektronischer Signaturen müssen nach dem Stand der Technik hinreichend und laufend geprüft sein. Die Erfüllung der Sicherheitsanforderungen nach diesem Bundesgesetz und den auf seiner Grundlage ergangenen Verordnungen muss von einer Bestätigungsstelle (§ 19) bescheinigt sein. Bescheinigungen von Stellen, die von anderen Mitgliedstaaten der Europäischen Union oder von anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zur Beurteilung der Sicherheitsanforderungen für sichere Signaturerstellungseinheiten nach Art. 3 Abs. 4 der Signaturrichtlinie namhaft gemacht wurden, sind den Bescheinigungen einer Bestätigungsstelle gleich zu halten."

"(6) Entsprechen technische Komponenten und Verfahren den allgemein anerkannten Normen, die von der Europäischen Kommission nach Art. 3 Abs. 5 der Signaturrichtlinie festgelegt werden, so gelten die entsprechenden Sicherheitsanforderungen nach diesem Bundesgesetz und den auf seiner Grundlage ergangenen Verordnungen als erfüllt."

"(3) Darüber hinaus sind für die Eignung einer Bestätigungsstelle die von der Europäischen Kommission nach Art. 3 Abs. 4 der Signaturrichtlinie festgelegten Mindestkriterien für die Benennung von Bestätigungsstellen maßgeblich. Der Bundeskanzler hat diese Kriterien im Einvernehmen mit dem Bundesminister für Justiz mit Verordnung kundzumachen."

b) erhalten der bisherige Abs. 3 die Bezeichnung "(4)" und der bisherige Abs. 4 die Bezeichnung "(5)".

a) wird im Abs. 1 nach dem Ausdruck "Europäischen Gemeinschaft" der Ausdruck "oder im Europäischen Wirtschaftsraum" eingefügt;

b) wird im Abs. 2 Z 1 nach dem Ausdruck "der Europäischen Union" der Ausdruck "oder des Europäischen Wirtschaftsraums" eingefügt;

c) wird im Abs. 2 Z 2 nach dem Ausdruck "Europäische Gemeinschaft" der Ausdruck "oder im Europäischen Wirtschaftsraum" eingefügt;

d) entfällt im Abs. 3 der Ausdruck "in einem Mitgliedstaat der Europäischen Union oder".

a) im Abs. 1 der Betrag von "56 000 S" durch den Betrag von "4 000 Euro",

b) im Abs. 2 der Betrag von "112 000 S" durch den Betrag von "8 000 Euro" und

c) im Abs. 3 der Betrag von "224 000 S" durch den Betrag von "16 000 Euro" ersetzt.

"(3) § 13 in der Fassung des Bundesgesetzes BGBl. I Nr. XXX/2000 tritt mit 1. Oktober 2000 in Kraft.

(4) Die §§ 5, 7, 15, 18, 19, 23, 24, 26, 27 und 29 in der Fassung des Bundesgesetzes BGBl. I Nr. XXX/2000 treten mit dem auf die Kundmachung dieses Bundesgesetzes folgenden Tag in Kraft."

§ 29. Mit diesem Bundesgesetz wird die Richtlinie 99/93/EG des Europäischen Parlamentes und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen, ABl. L Nr. 13 vom 19. Jänner 2000, S. 12, umgesetzt."

Auf Grund der formellen Verabschiedung der Signaturrichtlinie muss das Signaturgesetz in einigen Punkten angepasst werden.

Im Signaturgesetz sollen die auf Grund der Richtlinie erforderlichen Änderungen vorgenommen werden. Weiters sollen das Problem des Ersatzes der Anlaufkosten der Aufsichtsstelle geklärt und einige Zweifelsfragen gelöst werden. Auch soll der Ausdehnung des Anwendungsbereichs der Richtlinie auf den Europäischen Wirtschaftsraum Rechnung getragen werden.

Zur Anpassung des Signaturgesetzes an die Signaturrichtlinie besteht aus gemeinschaftsrechtlichen Gründen keine Alternative.

Die Deckung der Anlaufkosten der Aufsichtsstelle nach dem Signaturgesetz wird für einen Zeitraum von drei Jahren einen Zuschuss in Höhe insgesamt von 29 Millionen Schilling erfordern. Dieser Zuschuss soll aus bereits erzielten Erlösen aus der Versteigerung einer Lizenz gedeckt werden.

Die Novelle wird keinen Einfluss auf den Wirtschaftsstandort und die Beschäftigungssituation haben.

Es bestehen keine besonderen Beschlusserfordernisse im Gesetzgebungsverfahren.

Ist gegeben.

Die Richtlinie 99/93/EG über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen wurde mittlerweile formell verabschiedet und kundgemacht (ABl. L Nr. 13 vom 19. Jänner 2000, S. 12). Das Signaturgesetz stimmt in seinen Grundsätzen, aber auch im Detail weitgehend mit der Richtlinie überein, weil dem Gesetz der gemeinsame Standpunkt zugrunde liegt. Dieser gemeinsame Standpunkt wurde in Zweiter Lesung im Europäischen Parlament nur mehr in wenigen Fragen verändert. Dennoch bedarf es einer Anpassung des Signaturgesetzes, zumal auf gewisse Bestimmungen der Richtlinie seinerzeit naturgemäß noch nicht Bedacht genommen werden konnte.

In der Praxis haben sich weiters gewisse Probleme bei der Frage aufgetan, auf welche Art und Weise die Anlaufkosten der Aufsichtsstelle (Telekom Control Kommission und Telekom Control GmbH) finanziert werden können. An sich bestimmt das Signaturgesetz, dass die Kosten der Aufsichtsstelle durch pauschale Gebühren zu decken sind (vgl. § 13 Abs. 4 und § 25 Z 1 SigG). In diesem Sinn wurden auch in § 1 der Signaturverordnung, BGBl. II Nr. 30/2000, für die verschiedenen Leistungen der Aufsichtsstelle und der Telekom Control GmbH Gebührensätze bestimmt, die den Aufwand dieser Einrichtungen weitgehend decken. Mit dieser Regelung ist freilich noch nichts über die Finanzierung der Anlaufkosten gesagt. Nach Schätzungen der Telekom Control GmbH belaufen sich diese Anlaufkosten auf insgesamt 29 Millionen Schilling für die ersten drei Jahre der operativen Tätigkeit der Aufsichtsstelle. Diese Kosten sollen durch eine auf einem Bundeszuschuss beruhende Kapitalerhöhung aufgebracht werden. Der Entwurf sieht die für diese Lösung erforderliche gesetzliche Grundlage vor.

Die Signaturrichtlinie verpflichtet die Mitgliedstaaten zur Anerkennung bestimmter Sicherheitsbescheinigungen anderer Mitgliedstaaten. Weiters müssen die Mitgliedstaaten Mindestkriterien für Bestätigungsstellen sowie bestimmte Standards für Signaturprodukte anerkennen. Diese Verpflichtungen aus der Richtlinie (Art. 3 Abs. 4 und 5) sollen umgesetzt werden (siehe § 18 Abs. 5 und 6 sowie § 19 Abs. 3 des Entwurfs).

Nach Anhang I lit. h der Richtlinie muss ein von einem Zertifizierungsdiensteanbieter ausgestelltes qualifiziertes Zertifikat mit der sogenannten "fortgeschrittenen elektronischen Signatur" im Sinn des Art. 2 Z 2 der Richtlinie versehen sein. Auf diese Verpflichtung soll – durch eine Änderung des § 5 Abs. 3 SigG – Bedacht genommen werden.

Die erforderliche gesetzliche Ermächtigung für den Zuschuss zu den der Aufsichtsstelle erwachsenden Anlaufkosten soll in § 13 Abs. 4 SigG vorgesehen werden. Der Zuschuss aus Bundesmitteln soll für die ersten drei Jahre der operativen Tätigkeit der Aufsichtsstelle gewidmet sein. Nach Ablauf dieser Vorbereitungsfrist sind die Kosten der Aufsicht aus den dann einlaufenden Gebühren zu tragen.

Weiters soll das Signaturgesetz redaktionell bereinigt werden: § 18 Abs. 1 SigG spricht davon, dass für die Erzeugung und Speicherung von Signaturerstellungsdaten vertrauenswürdige Signaturprodukte einzusetzen sind. Diese Vorschrift richtet sich an die Zertifizierungsdiensteanbieter, die ua. Signaturerstellungsdaten bereitstellen. Die mit dieser Bestimmung in Zusammenhang stehenden Regelungen des § 7 Abs. 2 und des § 23 Abs. 1 Z 5 SigG sollen angepasst werden.

Bei der Vorbereitung des Signaturgesetzes wurde angenommen, dass die Tätigkeiten der Aufsichtsstellen und der Bestätigungsstellen keine nennenswerten Belastungen für den Bundeshaushalt nach sich ziehen werden. Die Regierungsvorlage 1999 BlgNR XX. GP für ein Signaturgesetz ging davon aus, dass die Aufgaben der Aufsichtsstelle durch entsprechende Gebühren finanziert werden können. In weiterer Folge hat sich aber gezeigt, dass vor der Aufnahme der operativen Tätigkeit der Aufsichtsstelle und während der ersten Jahre der Aufsichtstätigkeit Kosten anfallen, die nur schwer mit den einlaufenden Gebühren finanziert werden können. Vor allem sollte vermieden werden, dass zu hohe Gebühren die Nutzer davon abhalten, qualifizierte Zertifikate in Anspruch zu nehmen. Eine "Querfinanzierung" der Aufsicht nach dem Signaturgesetz mit Hilfe der Einnahmen aus der Tätigkeit der Telekom Control Kommission und der GmbH als Regulator im Telekom-Bereich verbietet sich auf Grund der gesetzlich vorgeschriebenen organisatorischen und finanziellen Trennung der Aufgaben dieser Institutionen (vgl. § 13 Abs. 7 und § 15 Abs. 5 SigG).

Die Frage, bis wann mit dem Einlangen insgesamt kostendeckender Gebühren zu rechnen ist, hängt davon ab, in welchem Ausmaß die Anwender qualifizierte Zertifikate benötigen und in Anspruch nehmen. Dieses Verhalten der Anwender lässt sich derzeit nur schwer prognostizieren. Das Bundesministerium für Justiz geht aber davon aus, dass insbesondere die Anforderungen, die die öffentliche Hand an elektronische Signaturen stellt, zu einer substanziellen Belebung des Marktes führen werden. Die Anlaufphase kann realistischerweise mit drei Jahren veranschlagt werden. Nach Ablauf dieses Zeitraums sind die Kosten der Aufsicht aus dem Gebühreneinkommen zu decken.

Die Telekom Control GmbH rechnet damit, dass für Sachinvestitionen insgesamt ein zusätzlicher Betrag von 5 Millionen Schilling erforderlich ist (für Hard- und Software, bauliche Maßnahmen, Sicherheitsvorkehrungen u. dgl.). Für die Folgejahre nach der Aufnahme der operativen Tätigkeit der Aufsichtsstelle wird seitens der Telekom Control GmbH davon ausgegangen, dass zunächst ein jährlicher Mehraufwand von je 8 Millionen Schilling anfällt.

Die Sachinvestitionen betreffen – wie erwähnt – vor allem die Kosten baulicher Maßnahmen zur Herstellung sicherer Räumlichkeiten und die Kosten der Anschaffung der erforderlichen Hard- und Software. Der Personalbedarf für die Tätigkeiten der Aufsichtsstelle wird von der Telekom Control GmbH mit drei bis vier Mitarbeitern geschätzt. Bei einem kalkulatorischen Stundensatz von 1 300 S – dieser Betrag berücksichtigt neben Gehältern und Lohnnebenkosten auch bestimmte Sachaufwände wie Büromittel, -möbel und -computer sowie den Anteil am Overhead der Telekom Control GmbH (zB Kosten der Geschäftsführung, der Personalabteilung, des Empfangs und der Vermittlung) – wird mit einem Aufwand von 2,2 Millionen Schilling pro Person gerechnet.

Die erforderlichen Mittel sollen der Telekom Control GmbH durch einen Bundeszuschuss für eine Kapitalaufstockung zur Verfügung gestellt werden.

Der Entwurf unterliegt keinen besonderen Beschlusserfordernissen im Nationalrat oder Bundesrat. Weiters ist auf das Vorhaben der Konsultationsmechanismus nicht anwendbar, weil mit der Novelle die Signaturrichtlinie endgültig umgesetzt werden soll. Letztlich ist der Entwurf auch nicht der Kommission zu notifizieren. Es bestehen daher keine Besonderheiten im Normerzeugungsverfahren.

Das Vorhaben wird auf den Wirtschaftsstandort und die Beschäftigung keine weiteren Auswirkungen haben.

Die Kompetenz zur Umsetzung der Richtlinie steht dem Bund zu. Dabei kann auf die Kompetenztatbestände Zivilrechtswesen (Art. 10 Abs. 1 Z 6 B-VG), Angelegenheiten des Gewerbes und der Industrie (Art. 10 Abs. 1 Z 8 B-VG) sowie Post- und Fernmeldewesen (Art. 10 Abs. 1 Z 9 B-VG) und für das Verwaltungsverfahren auf Art. 11 Abs. 2 B-VG zurückgegriffen werden.

Mit dem Entwurf soll die Signaturrichtlinie formell umgesetzt werden. Das Vorhaben entspricht in allen Belangen den europarechtlichen Vorgaben.

Die Signaturrichtlinie soll in die Begriffsbestimmungen des § 2 SigG aufgenommen werden. Das erleichtert die Lesbarkeit jener Gesetzesstellen, in denen auf die Richtlinie Bezug genommen wird (§ 18 Abs. 5 und 6 und § 19 Abs. 3).

§ 5 Abs. 3 SigG soll an die Richtlinie angepasst werden. Im Anhang I lit. h verlangt die Signaturrichtlinie, dass ein von einem Zertifizierungsdiensteanbieter ausgestelltes qualifiziertes Zertifikat mit der "fortgeschrittenen elektronischen Signatur" versehen sein muss. Diese fortgeschrittene elektronische Signatur wird in Art. 2 Z 2 der Richtlinie definiert. Die dort genannten Anforderungen decken sich mit den Definitionselementen des § 2 Z 3 lit. a bis d SigG. Die Richtlinie erfordert es aber – anders als § 2 Z 3 lit. e und in Verbindung damit § 5 Abs. 3 SigG – nicht, dass die elektronische Signatur auf einem qualifizierten Zertifikat beruht und unter Verwendung bestimmter technischer Komponenten und Verfahren erstellt wird.

Im Hinblick auf die von der Aufsichtsstelle (also der Telekom Control Kommission) ausgestellten qualifizierten Zertifikate geht der Entwurf davon aus, dass die Sicherheitsanforderungen für diese Zertifikate erfüllt werden. Die Kommission bedient sich nämlich in operativen Belangen der Telekom Control GmbH (§ 15 Abs. 1 SigG); diese Heranziehung der GmbH und die damit verbundene Befassung einer Bestätigungsstelle (siehe § 15 Abs. 3 dritter Satz SigG) gewährleisten einen ausreichenden Sicherheitsstandard.

Im Anhang II der Richtlinie über die "Anforderungen an Zertifizierungsdiensteanbieter, die qualifizierte Zertifikate ausstellen", wird in der lit. c nicht näher dargelegt, auf welche Art und Weise die Zertifizierungsdiensteanbieter gewährleisten müssen, dass Datum und Uhrzeit der Ausstellung oder des Widerrufs eines Zertifikats genau bestimmt werden können. Die Richtlinie lässt diese Frage also offen. Daher soll in § 7 Abs. 1 Z 3 SigG klargestellt werden, dass (sichere) Zeitstempel ein (aber nicht das einzige) Instrument zur Bestimmung der Zeitangaben sind.

Nach § 18 Abs. 1 SigG sind für die Erzeugung und Speicherung von Signaturerstellungsdaten vertrauenswürdige Signaturprodukte einzusetzen. Diese Vorschrift richtet sich an die Zertifizierungsdiensteanbieter, die ua. Signaturerstellungsdaten bereitstellen. Die Bestimmung hängt mit § 7 Abs. 2 zusammen, der in seinem letztem Satz auch den Bezug zu § 18 SigG herstellt. Aus diesem Grund soll auch in § 7 Abs. 2 von der Erzeugung und Speicherung von Signaturerstellungsdaten die Rede sein. Im gegebenen Zusammenhang empfiehlt es sich auch, die Haftungsbestimmung des § 23 Abs. 1 Z 5 redaktionell zu bereinigen.

Zur Notwendigkeit eines Bundeszuschusses zur Deckung der Anlaufkosten der Telekom Control GmbH sei auf die Ausführungen im Allgemeinen Teil zu den Kosten des Vorhabens verwiesen. § 13 Abs. 4 des Entwurfs enthält die erforderliche gesetzliche Grundlage für einen solchen Bundeszuschuss. Die Aufnahme der operativen Tätigkeit der Aufsichtsstelle ist mit jenem Zeitpunkt anzusetzen, in dem ihr Zertifikat im Amtsblatt zur Wiener Zeitung veröffentlicht wird (siehe § 13 Abs. 3 letzter Satz SigG).

Hier soll ausdrücklich klargestellt werden, dass das Streitschlichtungsverfahren mit Zustimmung des jeweiligen Antragstellers auch elektronisch, also online, durchgeführt werden kann.

§ 18 Abs. 5 übernimmt die in Art. 3 Abs. 4 Unterabs. 2 der Signaturrichtlinie vorgesehene Verpflichtung zur Anerkennung der von Bestätigungsstellen anderer Mitgliedstaaten ausgestellten Sicherheitsbescheinigungen. Zugleich wird mit dieser Bestimmung darauf Bedacht genommen, dass nicht nur Stellen in Mitgliedstaaten der Europäischen Gemeinschaft, sondern auch in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum erfasst sind. Der Anwendungsbereich der Signaturrichtlinie ist nämlich auf den gesamten Europäischen Wirtschaftsraum ausgedehnt worden.

Nach Art. 3 Abs. 5 der Signaturrichtlinie können im Komitologieverfahren Standards für Signaturprodukte festgelegt werden. Entsprechen die technischen Komponente und Verfahren eines Produkts diesen allgemein anerkannten Normen, so gelten die entsprechenden innerstaatlichen Sicherheitsanforderungen als erfüllt. Diese Regelung soll mit § 18 Abs. 6 des Entwurfs umgesetzt werden.

Nach Art. 3 Abs. 4 Unterabs. 1 der Signaturrichtlinie sind die vom Komitologieausschuss nach Art. 9 der Richtlinie ausgearbeiteten Mindestkriterien für die Benennung anerkannter Bestätigungsstellen maßgeblich. Diese Kriterien wurden mittlerweile ausgearbeitet und vom Ausschuss nach Art. 9 der Richtlinie am 30. Juni 2000 angenommen. In § 19 Abs. 3 des Entwurfs werden diese Kriterien in Übereinstimmung mit der Richtlinie für maßgeblich erklärt. Sie sollen vom Bundeskanzler im Einvernehmen mit dem Bundesminister für Justiz mit Verordnung kundgemacht werden.

Die Haftungsbestimmung des § 23 Abs. 1 Z 1 SigG soll an den nach der Zweiten Lesung des Europäischen Parlaments ergänzten Art. 6 Abs. 1 lit. a der Signaturrichtlinie angepasst werden.

Zur Änderung des § 23 Abs. 1 Z 5 sei auf die Erläuterungen zu § 7 Abs. 2 verwiesen.

Auch diese Änderungen berücksichtigen den Umstand, dass der Anwendungsbereich der Richtlinie auf den Europäischen Wirtschaftsraum ausgedehnt worden ist.

Die in § 26 SigG für Verwaltungsübertretungen normierten Höchstgrenzen für Geldstrafen sollen in Euro-Beträge umgerechnet und "geglättet" werden.

Die vorgesehenen Änderungen sollen mit dem auf die Kundmachung folgenden Tag in Kraft treten. Die Änderungen des § 13 Abs. 4 sollen dagegen früher wirksam werden, damit die Aufsichtsstelle die erforderlichen Maßnahmen umgehend in die Wege leiten kann.

Diese Bestimmung enthält die nach Art. 13 Abs. 1 der Signaturrichtlinie erforderliche Bezugnahme auf die Richtlinie.