Keine Herstellererklärungspflicht für Zeitstempel-Software nach § 17 Abs. 4 SigG

Es wird festgestellt, dass die Klägerin zur Abgabe einer Herstellererklärung nach § 17 Abs. 4 Sätze 2 und 3 des Signaturgesetzes für das Produkt Q.        Version 00 nicht verpflichtet ist.

Die Kosten des Verfahrens trägt die Beklagte.

Die Klägerin entwickelt Softwareprodukte, u.a. das Produkt Q.        Version 00.

Mit Schreiben vom 17. Juli 2005 reichte die Klägerin bei der Beklagten eine Herstellererklärung für dieses Produkt ein und bat um schnelle Veröffentlichung im Amtsblatt der Behörde.

In der Herstellererklärung erklärt die Klägerin, es handele sich bei dem Produkt Q.        Version 00 um eine „Signaturanwendungskomponente“ (Software) analog § 2 Nr. 11 SigG, die es ermögliche, qualifizierte Zeitstempel für lokal gespeicherte Dateien von einem akkreditierten Zertifizierungsdiensteanbieter anzufordern (§ 2 Nr. 14 SigG) und die den Anforderungen des Signaturgesetzes und der Signaturverordnung genüge. Hinsichtlich der weiteren Einzelheiten wird auf den Wortlaut der Herstellererklärung (Verwaltungsvorgang Bl. 2 ff.) - insbesondere auf die Funktionsbeschreibung unter 2. sowie auf die Erfüllung der Anforderungen des SigG und der SigV unter 3.1 – Bezug genommen.

Mit Schreiben vom 22. August 2005 teilte die Klägerin mit, sie habe bislang auf ihr Schreiben vom 17. Juli 2005 keine Reaktion erhalten und bat nochmals um schnellstmögliche Veröffentlichung.

Am 30. August 2005 fand ausweislich eines in den Verwaltungsvorgängen enthaltenen Aktenvermerks ein Telefonat zwischen den Beteiligten statt, dessen Inhalt im Einzelnen streitig ist. Mit Email vom 1. September 2005 übersandte die Beklagte eine Orientierungshilfe zur Erstellung einer Herstellererklärung (vgl. Bl. 16 f. des Verwaltungsvorgangs). Weiter erklärte sie, die Orientierungshilfe sei außer den aufgelisteten formalen Kriterien nicht verbindlich. Es könne keine Abschätzung bezüglich geringerer Aufwände hinsichtlich der Zeitstempelkomponente gegeben werden; es stehe der Klägerin jedoch frei zu begründen, warum die Komponente bestimmter Dokumentation nicht bedürfe. Eine genaue Abgrenzung zur Einsatzumgebung mit Schnittstellenbeschreibung sei hier hilfreich. Wichtig sei eine verbindliche Aussage bezüglich der Mechanismenstärke der Sicherheitsfunktion, die das Produkt gleichwertig zu einer evaluierten und bestätigten Lösung postuliere und für die die Klägerin im Gegensatz zu einer Evaluierung die Haftung übernehmen müsse. Schließlich wurde die Klägerin auf eine bereits veröffentlichte Herstellererklärung im aktuellen Amtsblatt der Bundesnetzagentur verwiesen.

Die Klägerin hat am 24. Januar 2006 Klage erhoben mit dem ursprünglichen Antrag, die Beklagte zur Veröffentlichung der Herstellererklärung zu verpflichten. Zur Begründung führte die Klägerin aus: Die als allgemeine Leistungsklage statthafte Klage sei begründet, da die Herstellererklärung den Anforderungen des SigG und der SigV genüge; die Bestätigung durch eine anerkannte Prüf- und Bestätigungsstelle i.S.v. § 18 SigG sei nicht erforderlich. Aussteller und jeweiliges Produkt seien genau bezeichnet worden; ergänzt werde dies durch eine genaue Funktionsbeschreibung (Nr. 2 der Herstellererklärung), eine detaillierte Darlegung, welche Anforderungen des SigG und der SigV im Einzelnen erfüllt seien (Nr. 3), sowie detaillierte Angaben dazu, welche Maßnahmen für den sicheren Einsatz der Signaturanwendungskomponente erforderlich seien (Nr. 3.2). Die Beklagte sei daher zur Veröffentlichung verpflichtet, ein Ermessen stehe ihr nicht zu. Die Beklagte dürfe die Veröffentlichung auch nicht von weiteren Anforderungen abhängig machen, insbesondere nicht von einer technischen Prüfung, es sei denn, hierzu bestehe ein besonderer Anlass im Rahmen der aufsichtsbehördlichen Überwachung der Produkte nach § 19 Abs. 1 SigG. Überdies wäre es Aufgabe der Beklagten gewesen, die Klägerin auf die von ihr identifizierten (vermeintlichen) formellen Mängel aufmerksam zu machen, damit diese hätten behoben werden können. Die Anforderungen, die die Beklagte im Laufe des verwaltungsgerichtlichen Verfahrens genannt habe, fänden im Gesetz keine Stütze. Die Klägerin sei weder Zertifizierungsdiensteanbieterin noch besitze sie eine freiwillige Akkreditierung; der Herstellererklärung liege gerade ein gänzlich anderes Konzept als den klassischen Gütesiegeln zugrunde. Die Angaben des Herstellers könnten sich darauf beschränken, dass und welche der bezeichneten gesetzlichen Anforderungen eingehalten seien; weder müsse die Erklärung hierzu eine Begründung enthalten noch müsse die Klägerin das Fehlen allgemein anerkannter Normen für Produkte für elektronische Signaturen kompensieren. Die von der Beklagten im Rahmen der Klageerwiderung beanstandeten Fehler hätten diese nicht berechtigt, von einer Veröffentlichung der Herstellererklärung abzusehen. Die beanstandete Formulierung, nach der eine eindeutige Anzeige und Feststellbarkeit der Daten, die zeitgestempelt worden seien, erfolge, werde von einem formellen Prüfungsrecht nicht umfasst. Zudem sei eine vorherige Anzeige aber auch nicht erforderlich, da der Zeitstempel keine Willenserklärung des Programmnutzers enthalte, sondern lediglich die Bestätigung des Zertifizierungsdiensteanbieters über den amtlichen Zeitpunkt der Vorlage des sog. Hashwertes. Im Übrigen sei der Einwand auch in tatsächlicher Hinsicht unzutreffend, da die streitgegenständliche Software die zu signierende Datei vor, während oder nach dem Archivierungsprozess nach Stichproben oder Intervallen anzeigen könne. Dies mache allerdings wenig Sinn, da Hauptanwendungsfall der Einsatz im Rahmen einer massenhaften Archivierung sei und kein Bedürfnis bestehe, diese Datensätze vorher anzuzeigen. Ferner sei nicht nachvollziehbar, warum die Beklagte den Hinweis auf aktualisierte Versionen von Programmkomponenten auf der Webseite der Klägerin rüge. Die Bedeutung dieses Hinweises werde verkannt. Die Unterstellung der Beklagten, die Klägerin nehme in einer solchen Situation Bezug auf die alte veröffentlichte Version der Herstellererklärung, entbehre jeder Grundlage. Im Übrigen bedürfe nicht jede Einarbeitung neuer Codeblöcke im Rahmen der regelmäßig erfolgenden Softwarepflege einer jeweils eigenen Herstellererklärung, solange die Identität des Produkts gewahrt sei. Soweit die Beklagte den zitierten Algorithmenkatalog bemängele, sei darauf hinzuweisen, dass die SigV solche Angaben nicht verlange und auch in anderen veröffentlichten Herstellererklärungen nicht auf den aktuellen Algorithmenkatalog verwiesen werde. Die rechtswidrige Ablehnung der Veröffentlichung könne schließlich auch nicht damit gerechtfertigt werden, dass andere Hersteller den rechtswidrigen Anforderungen nachgekommen seien. Vorsorglich habe die Klägerin die Herstellererklärung unter Berücksichtigung der Einwände aus der Klageerwiderung nochmals überarbeiten lassen; hilfsweise sei die Beklagte verpflichtet, diese Herstellererklärung in ihrem Amtsblatt zu veröffentlichen.

In der mündlichen Verhandlung hat die Klägerin den Klageantrag geändert. Sie beantragt nunmehr,

festzustellen, dass die Klägerin zur Abgabe einer Herstellererklärung nach § 17 Abs. 4 Sätze 2 und 3 des Signaturgesetzes nicht verpflichtet ist,

hilfsweise,

die Beklagte zu verpflichten, die von der Klägerin mit Schreiben vom17. Juli 2005 bei der Beklagten hinterlegte Herstellererklärung des Pro-dukts für die Signaturanwendungskomponente Q.        00 im Amtsblattder Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Postund Eisenbahnen zu veröffentlichen.

Die Beklagte beantragt,

die Klage abzuweisen.

Zur Begründung führt sie hinsichtlich des Hauptantrags aus: § 17 Abs. 3 Nr. 3 SigG sei auf das Produkt der Klägerin nicht anwendbar, da sich diese Vorschrift auf die Erzeugung des Zeitstempels beim Zertifizierungsdiensteanbieter beziehe. § 17 Abs. 2 SigG sei jedoch direkt oder analog auf das Produkt der Klägerin anwendbar. In der Praxis könnten qualifizierte Zeitstempel nur mit solchen Verfahren erzeugt werden, die auch für qualifizierte Signaturen eingesetzt würden. Alle Software- und Hardwareprodukte, die bei derzeitigem Stand der Technik bei einem Endnutzer für qualifizierte Zeitstempel eingesetzt würden, seien technisch und damit auch rechtlich Signaturanwendungskomponenten, da sie dazu bestimmt seien, Daten dem Prozess der Erzeugung qualifizierter Signaturen zuzuführen. Daneben diene die Software auch der Authentifizierung i.S.d. Überprüfung der Echtheit eines Dokumentes und der Identifizierung des Urhebers des Zeitstempels. Das Produkt der Klägerin falle daher als Teilprodukt im Sinne des Signaturgesetzes unter den Anwendungsbereich der Herstellererklärung für Signaturanwendungskomponenten. Eine zumindest analoge Anwendung der Vorschriften über die Herstellererklärung sei zudem auch geboten, da das Produkt der Klägerin mit Produkten von Zertifizierungsdiensteanbietern vergleichbar sei, für die die Anforderungen der §§ 9, 5 Abs. 5 SigG gälten; andernfalls würde den Belangen des Verbraucherschutzes nicht ausreichend Rechnung getragen. Müssten Herstellererklärungen für bestimmte Produkte nicht mehr veröffentlicht werden, würde dadurch zudem die Aufsichtsfunktion der Beklagten konterkariert.

Zum Hilfsantrag trägt die Beklagte vor, dieser sei zumindest unbegründet. Die Voraussetzungen für die Veröffentlichung der Herstellererklärung seien nicht erfüllt. Zwar bestehe kein materielles Prüfungsrecht der Beklagten; das Recht der Beklagten zur notwendigen formalen Prüfung hinsichtlich offensichtlicher Fehler in der Herstellererklärung sei jedoch unstreitig. Zu offensichtlichen formalen Mängeln zählten neben offensichtlichen Verstößen gegen die Anforderungen des § 15 Abs. 5 S. 1 und 2 SigV sowie § 17 SigG auch offensichtlich unrichtige bzw. unvollständige sachliche Darstellungen und Beschreibungen der Signaturanwendungskomponenten, unzutreffende Verweise und Zitate und fehlerhafte Angaben von Vorschriften sowie die Verwendung unklarer Rechts- oder Technikbegriffe, da derartige Mängel der Transparenz gegenüber dem Nutzer abträglich seien; nur durch eine gewissenhafte Prüfung könne zudem das Risiko einer Amtshaftung für die Beklagte begrenzt werden. Die Fehlerhaftigkeit der von der Klägerin abgegebenen Erklärung sei offensichtlich. Es fehlten Angaben zu den unbedingt erforderlichen Sicherheitsvorgaben bzw. Hinweise zur Existenz derartiger Dokumente sowie Angaben zu durchgeführten Testreihen. Durch die Herstellererklärung werde erklärt, dass das Produkt allgemein anerkannten technischen Normen entspreche; da es allgemein anerkannte Sicherheitsnormen bislang nur im Bereich sicherer Signaturerstellungseinheiten, nicht aber für die hier in Rede stehenden Signaturanwendungskomponenten gebe, müssten diese von den Herstellern selbst beigebracht werden. Daneben weise die Herstellererklärung weitere Mängel auf. So werde lediglich die eindeutige Anzeige und Feststellbarkeit der Daten, die zeitstempelgesichert worden seien, zugesichert, was mit der gesetzlichen Forderung nach einer Anzeige vor Einholung eines Zeitstempels nicht vereinbar sei. Ferner stelle die Klägerin bei sicherheitsrelevanten Fehlern umgehend aktualisierte Versionen der Programmkomponenten zur Verfügung und informiere darüber auf ihrer Webseite; dies stelle einen Verstoß gegen

§ 17 Abs. 4 S. 3 SigG dar, wonach die Herstellererklärung bzw. deren Ergänzung oder Aktualisierung spätestens im Zeitpunkt des Inverkehrbringens des (geänderten) Produkts bei der Beklagten zu hinterlegen sei. Weiter verweise die Herstellererklärung nicht auf den aktuellen Algorithmenkatalog; die Nutzung eines alten Katalogs berge ein hohes Sicherheitsrisiko und lasse vermuten, dass die Klägerin die Entwicklung in diesem für die Signatur extrem wichtigen Bereich nicht zeitnah verfolge. Andere Hersteller von Signaturanwendungskomponenten hätten die genannten Anforderungen an die Herstellererklärungen mit Selbstverständlichkeit erfüllt; diese Herstellererklärungen enthielten umfangreiche Darlegungen der technischen Anforderungen und deren Erfüllung sowie die Darlegung von umfangreichen Tests.

Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf den Inhalt der Gerichtsakte sowie der vorgelegten Verwaltungsvorgänge der Beklagten Bezug genommen.

Die in der mündlichen Verhandlung erklärte Klageänderung ist zulässig, da sie sachdienlich ist, § 91 Abs. 1 VwGO.

Die geänderte Klage ist hinsichtlich des Hauptantrages zulässig und begründet. Die Klägerin ist zur Abgabe einer Herstellererklärung nicht verpflichtet, da der Anwendungsbereich des § 17 Abs. 4 Sätze 2 und 3 des Signaturgesetzes (SigG) für das

von ihr entwickelte Softwareprodukt weder direkt noch analog eröffnet ist.

Gemäß § 17 Abs. 4 Satz 2 bis 4 SigG genügt zur Erfüllung der Anforderungen nach den Absätzen 2 und 3 Nr. 2 und 3 eine Erklärung durch den Hersteller des Produkts für qualifizierte elektronische Signaturen. Der Hersteller hat spätestens zum Zeitpunkt des Inverkehrbringens des Produkts eine Ausfertigung seiner Erklärung in schriftlicher Form bei der Regulierungsbehörde für Telekommunikation und Post (jetzt: Bundesnetzagentur) zu hinterlegen. Herstellererklärungen, die den Anforderungen des Gesetzes und

der Rechtsverordnung nach § 24 SigG entsprechen, werden im Amtsblatt der Regulierungsbehörde veröffentlicht.

I.

Das Softwareprodukt der Klägerin fällt zunächst nicht in den direkten Anwendungsbereich des § 17 Abs. 4 SigG. Aus § 17 Abs. 4 S. 2 SigG ergibt sich, dass die Erklärung durch den Hersteller des Produkts für qualifizierte elektronische Signaturen (§ 2 Nr. 13 SigG) abgegeben werden muss; dementsprechend muss auch nur für ein solches Produkt für qualifizierte elektronische Signaturen eine Herstellererklärung abgegeben werden, § 17 Abs. 4 S. 2 SigG. Das ergibt sich ferner auch aus der Bezugnahme auf die Anforderungen nach § 17 Abs. 2 und 3 Nr. 2 und 3 SigG; das Institut der Herstellererklärung ist daher direkt anwendbar im Bereich der Signaturanwendungskomponenten

(§ 2 Nr. 11 SigG), § 17 Abs. 2 SigG, und im Bereich der technischen Komponenten für Zertifizierungsdienste (§ 2 Nr. 12 SigG), § 17 Abs. 3 Nr. 2 und 3 SigG. Das Produkt der Klägerin fällt jedoch in keinen der genannten Bereiche.

Die Software der Klägerin ist zunächst keine Signaturanwendungskomponente. Signaturanwendungskomponenten sind gemäß § 2 Nr. 11 SigG Software- und Hardwareprodukte, die dazu bestimmt sind, a) Daten dem Prozess der Erzeugung oder Prüfung qualifizierter elektronischer Signaturen zuzuführen oder b) qualifizierte elektronische Signaturen zu prüfen oder qualifizierte Zertifikate nachzuprüfen und die Ergebnisse anzuzeigen. Darunter fallen also nur Produkte für qualifizierte elektronische Signaturen. Qualifizierte elektronische Signaturen aber müssen gemäß der Begriffsbestimmung in § 2

Nr. 3 SigG zunächst die Voraussetzungen fortgeschrittener elektronischer Signaturen gemäß § 2 Nr. 2 SigG erfüllen, die ihrerseits wiederum zunächst elektronische Signa-

turen im Sinne der Begriffsdefinition im Sinne des § 2 Nr. 1 SigG darstellen müssen.

Elektronische Signaturen i.S.d. § 2 Nr. 1 SigG sind Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen.

Die Erzeugung eines Zeitstempels bzw. das Verknüpfen von Daten mit einem Zeitstempel ist keine elektronische Signatur im Sinne des Gesetzes. Das Gericht verkennt dabei nicht, dass aus technischer Sicht bei den derzeit angewendeten Verfahren der Zeitstempel eine Signatur des jeweiligen Zeitstempeldienstes enthält. Dies führt jedoch nicht dazu, dass Zeitstempel mit elektronischen Signaturen im Sinne des Gesetzes gleichzusetzen sind, denn der Gesetzgeber hat an verschiedenen Stellen deutlich zum Ausdruck gebracht, dass er zwischen elektronischen Zeitstempeln und Signaturen unterscheidet.

Zunächst erfüllt der Zeitstempel nicht die begriffliche Definition der elektronischen Signatur in § 2 Nr. 1 SigG. Zwar liegt die erste Voraussetzung des § 2 Nr. 1 SigG vor, da der Zeitstempel (= elektronische Daten) anderen Daten (dem Hashwert der Datei) beigefügt wird. Es fehlt jedoch an der zweiten Voraussetzung des § 2 Nr. 1 SigG, da dieser Vorgang nicht der „Authentifizierung“ dient.

Unter „Authentifizierung“ wird bereits nach dem allgemeinen Wortverständnis der Vorgang verstanden, durch den die Echtheit eines Dokumentes oder (hier) von Daten festgestellt wird. Gemeint ist also die Feststellung, von welchem Urheber bestimmte Daten herrühren. Die Feststellung, zu welchem Zeitpunkt ein bestimmtes Dokument oder bestimmte Daten vorgelegen haben, wird dagegen vom allgemeinen Sprachgebrauch nicht unter die Begriffe der Authentizität eines Dokumentes oder der Authentifizierung gefasst.

Dieses Verständnis deckt sich mit der Gesetzesbegründung. Dort heißt es, die elektronische Signatur ermögliche es, im elektronischen Rechts- und Geschäftsverkehr den Urheber und die Integrität von Daten festzustellen; die elektronische Signatur könne ein Substitut zur handschriftlichen Unterschrift darstellen,

Bundesrat, Entwurf eines Gesetzes über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften vom 18. August 2000, Drucksache 496/00, S. 18.

In der Begründung zu § 2 Nr. 2 Buchstabe b) SigG wird zudem ausdrücklich die Identifizierung des Signaturschlüsselinhabers mit der Funktion der Authentizität gleichgesetzt,

Bundesrat Drucksache 496/00, S. 31.

Insbesondere aus letzterer Formulierung lässt sich der Schluss ziehen, dass der Gesetzgeber mit dem Begriff der Authentifizierung den Vorgang der Identifizierung des Datenurhebers meint.

Des Weiteren spricht auch die Systematik des Gesetzes dagegen, den Vorgang des Zeitstempelns unter den Begriff der Authentifizierung zu fassen. Denn § 2 Nr. 14 SigG enthält eine eigene Definition für (qualifizierte) Zeitstempel, nach der es sich bei Zeitstempeln um elektronische Bescheinigungen darüber handelt, dass bestimmte elektronische Daten zu einem bestimmten Zeitpunkt vorgelegen haben. Wäre ein Zeitstempel mit elektronischen Signaturen gleichzubehandeln, wäre eine derartige eigenständige Definition nicht erforderlich gewesen. Des Weiteren zeigt auch § 9 SigG, dass der Gesetzgeber zwischen qualifizierten Zeitstempeln und qualifizierten elektronischen Signaturen unterscheidet, da es andernfalls der Anordnung einer entsprechenden Anwendung des § 5 Abs. 5 SigG nicht bedurft hätte.

Schließlich spricht auch das oben bereits angesprochene Argument der technischen Vergleichbarkeit von Zeitstempeln und Signaturen nicht für ein anderes Ergebnis. Denn der Gesetzgeber hat – wie sich aus der Gesetzesbegründung ergibt – gerade technologieneutrale Anforderungen an Zeitstempel stellen wollen, so dass auch Verfahren ohne Signatur möglich sind,

Bundesrat Drucksache 496/00, S. 28, 36.

Auch wenn derartige Verfahren derzeit nicht existieren (vgl. den Schriftsatz der Beklagten vom 22. Juni 2006, S. 2 f.), so spricht doch allein die Zulässigkeit derartiger Zeitstempelverfahren ohne Signatur dagegen, Zeitstempel unter den Begriff der elektronischen Signatur zu subsumieren oder gar Zeitstempel mit elektronischen Signaturen gleichzusetzen.

Die Software der Klägerin erfüllt ferner auch nicht die Merkmale einer technischen Komponente für Zertifizierungsdienste. Technische Komponenten für Zertifizierungsdienste sind gemäß dem hier allein in Betracht zu ziehenden Unterfall c) des § 2 Nr. 12 SigG Software- oder Hardwareprodukte, die dazu bestimmt sind, qualifizierte Zeitstempel zu erzeugen. Die Software der Klägerin dient jedoch nicht dazu, selbst qualifizierte Zeitstempel zu erzeugen, sondern lediglich dazu, Zeitstempel von einem Zertifizierungsdiensteanbieter anzufordern und zu verwalten. Die Klägerin selbst ist nach eigenen Angaben kein Zertifizierungsdiensteanbieter und daher nicht in der Lage, qualifizierte Zeitstempel i.S.d. § 2 Nr. 14 SigG zu erstellen.

Entgegen der in der mündlichen Verhandlung erörterten Auffassung der Klägerin kann ihre Software auch nicht als Teil der Zeitstempelerzeugung angesehen werden. Das Gesetz sieht eine derartige „Teilerzeugung“ eines Zeitstempels nicht vor. Mit dem Begriff der „Erzeugung“ von Zeitstempeln ist vielmehr ebenso wie bei der Erzeugung der qualifizierten elektronischen Signatur (vgl. z.B. §§ 2 Nr. 3 b, § 17 Abs. 1 S. 1 SigG: Erzeugung mit einer sicheren Signaturerstellungseinheit) derjenige Vorgang gemeint, durch den die zu signierenden bzw. zu stempelnden Daten mit den Signatur- bzw. Zeitstempeldaten verknüpft werden. Der Gesetzgeber differenziert im Bereich der Signaturen ausdrücklich zwischen diesem Bereich der „Erzeugung“ im engeren Sinne und denjenigen Software- oder Hardwareprodukten, die die Daten dem Prozess der Erzeugung der Signatur zuführen, den sog. Signaturanwendungskomponenten (§ 2 Nr. 11a SigG). Es spricht nichts dafür, dass der Begriff der Erzeugung von Zeitstempeln weiter zu verstehen sein könnte als derjenige der Erzeugung von qualifizierten elektronischen Signaturen, auch wenn der Gesetzgeber im Bereich der Zeitstempel eine Regelung für „Zeitstempelanwendungskomponenten“ nicht vorgesehen hat.

II.

Eine analoge Anwendbarkeit der Vorschriften über die Herstellererklärung auf das Produkt der Klägerin – wie sie die Klägerin bei der Abgabe der ursprünglichen Herstellererklärung offenbar selbst angenommen hat – kommt ebenfalls nicht in Betracht.

Es erscheint bereits fraglich, ob eine planwidrige Regelungslücke im Signaturgesetz vorliegt. Der Gesetzgeber hat z.B. durch die Regelung des § 9 SigG klargestellt, dass qualifizierte Zeitstempel von qualifizierten elektronischen Signaturen zu unterscheiden sind, dass aber einzelne Vorschriften über die qualifizierten elektronischen Signaturen auf Zeitstempel entsprechend anwendbar sein sollen. Angesichts dieses differenzierten Vorgehens des Gesetzgebers ist es schon nicht ohne Weiteres möglich, das Fehlen von Regelungen über „Zeitstempelanwendungskomponenten“ als planwidrig anzusehen.

Jedenfalls aber lässt sich die Regelung des § 17 Abs. 4 Sätze 2 bis 4 SigG über die Abgabe einer Herstellererklärung nicht ohne Weiteres analog auf Zeitstempelanwen-

dungskomponenten übertragen. Weder sind die Sachverhalte ohne Weiteres vergleichbar noch erscheint eine Herstellererklärung über die „analoge“ Einhaltung der Vorschriften des SigG und der SigV sinnvoll.

Es fehlt zunächst bereits an einer Vergleichbarkeit der Sachverhalte. Zwar ist auch hier nicht zu verkennen, dass die Erzeugung von Signaturen und von Zeitstempeln derzeit auf denselben technischen Vorgängen beruht (vgl. hierzu die Veranschaulichung im Schriftsatz der Beklagten vom 22. Juni 2006, S. 2 f.). Der Gesetzgeber wollte jedoch

– wie bereits oben dargelegt wurde – ausdrücklich eine technikneutrale Regelung für die Zeitstempel schaffen. Der Umstand, dass nach Ansicht des Gesetzgebers auch andere Verfahren als solche mit Signatur zulässig sein sollen, spricht bereits dagegen, allein aufgrund der derzeit identischen technischen Verfahren für qualifizierte Zeitstempel und Signaturen eine Vergleichbarkeit der Sachverhalte anzunehmen. Eine andere Sichtweise würde dazu führen, dass hinsichtlich der analogen Anwendbarkeit des Signaturgesetzes zwischen Zeitstempeln mit Signatur und solchen ohne Signatur (deren Entwicklung nach Ansicht des Gesetzgebers offenbar denkbar ist) zu unterscheiden wäre; dies würde der vom Gesetzgeber angestrebten Technikneutralität gerade widersprechen.

Das Gericht vermag ferner auch nicht festzustellen, dass die Sicherheitsinteressen beim Einsatz von Signaturanwendungskomponenten mit denjenigen beim Einsatz von Zeitstempelanwendungskomponenten identisch oder vergleichbar sind. Zu berücksichtigen ist hierbei einerseits die Schutzwürdigkeit des zu signierenden bzw. zu stempelnden Dokuments, andererseits die Störanfälligkeit des Signatur- bzw. Zeitstempelvorgangs.

Betrachtet man die Schutzwürdigkeit des Dokuments, so ergibt sich, dass Zeitstempelungen in der Regel weniger sicherheitsrelevant sind als Signaturvorgänge. Der qualifizierte Zeitstempel bescheinigt – worauf die Klägerin im Schriftsatz vom 13. Juni 2006, B. 10 zu Recht hingewiesen hat – nicht die Authentizität einer Willenserklärung des Programmnutzers, sondern lediglich den Zeitpunkt des Vorliegens eines Dokuments. Mögliche Fehler oder Angriffe bei der Datenübertragung vom Nutzer zum Zertifizierungsdiensteanbieter könnten also allenfalls dazu führen, dass nicht das gewollte, sondern ein anderes Dokument mit einem Zeitstempel versehen wird; es entstehen daher bei einem Fehler in der Regel weniger schwerwiegende Auswirkungen, als wenn ein anderes als das tatsächlich gemeinte Dokument mit einer elektronischen Unterschrift versehen wird.

Überdies erscheint die Annahme identischer Sicherheitsinteressen auch dann zweifelhaft, wenn man die Störanfälligkeit der jeweiligen Datenübertragung in die Betrachtung miteinbezieht. Werden Daten der Erzeugung von Zeitstempeln zugeführt, so entsteht gegenüber der Signaturerstellung die Besonderheit, dass die zu stempelnden Daten notwendigerweise einem externen Dritten, nämlich dem Zertifizierungsdiensteanbieter, zugeleitet werden müssen. Im Fall des Produkts der Klägerin erfolgt dies über eine verschlüsselte Verbindung zu einem Webportal, das wiederum über eine verschlüsselte Verbindung die Daten an den Zertifizierungsdiensteanbieter weiterleitet. Eine derartige Datenübertragung ist jedoch sehr viel anfälliger für Fehler und insbesondere für Manipulationen von außen als eine Signaturerstellung, bei der die Daten in aller Regel einer lokalen Signaturerstellungseinheit zugeführt werden.

Die Sicherheitsinteressen können sich daher bei der Erstellung von qualifizierten Zeitstempeln und qualifizierten Signaturen in einer Art und Weise unterscheiden, dass diesen Unterschieden durch eine bloße Rechtsfortentwicklung, wie sie die analoge Anwendung der Vorschriften des Signaturrechts darstellen würde, nicht mehr ausreichend Rechnung getragen werden kann. Es dürfte vielmehr Aufgabe des Gesetzgebers sein, bei künftigen Überarbeitungen des Gesetzes klarzustellen, ob und welche Anforderungen an Zeitstempelanwendungskomponenten zu stellen sind und ob z.B. das Problem der Datenübertragung durch gesonderte Regelungen zu berücksichtigen ist.

Des Weiteren lassen sich die Vorschriften über die Herstellererklärung aber auch deswegen auf Zeitstempelkomponenten nicht analog anwenden, weil eine derartige Herstellererklärung ihren Zweck nicht erfüllen würde.

Die Regelung des § 17 Abs. 4 SigG, nach der die Herstellererklärung bei der Regulierungsbehörde zu hinterlegen und von dieser zu veröffentlichen ist, wenn sie den Anforderungen von SigG und SigV entspricht, dient nach der Gesetzesbegründung der Sicherstellung der Aufsicht der Regulierungsbehörde, dem Schutz der Nutzer vor Täuschungen und dem Schutz der Hersteller, die mit der Herstellererklärung eine Haftung eingehen.

Deutscher Bundestag, Drucksache 15/3417, S. 8.

Diese Ziele können bei einer lediglich analogen Anwendung der Vorschriften über die Herstellererklärung überwiegend nicht erreicht werden.

Aus der Ausgestaltung der Herstellererklärung in § 17 SigG und § 15 SigV folgt, dass deren Inhalt sich auf die genaue Bezeichnung des Ausstellers und des Produkts sowie der genauen Angaben darüber, welche Anforderungen des Signaturgesetzes und der Signaturverordnung erfüllt sind, beschränkt. Die Durchführung eigener Prüfungen oder die Vorlage von Bestätigungen anerkannter Prüfungs- und Bestätigungsstellen vor Abgabe der Herstellererklärung ist im Signaturgesetz oder in der Signaturverordnung gerade nicht vorgesehen.

Vgl. zu den Einzelheiten der Anforderungen an Herstellererklärungen Fischer-Dieskau/Steidle, Die Herstellererklärung für Signaturanwendungskomponenten, MMR 2006, S. 68 ff.

Die Herstellererklärung im Sinne des Signaturgesetzes ist daher nicht zu vergleichen z.B. mit einer Konformitätserklärung gem. § 4 EMVG, bei der – sofern einschlägige Normen nicht vorhanden sind oder nicht eingehalten werden – gemäß § 4 Abs. 2 EMVG umfangreiche technische Dokumentationen zu erstellen sind.

Aufgrund der einerseits fehlenden Verpflichtung, die Herstellererklärung durch technische Dokumentationen oder Bezugnahme auf Spezifikationen und Testnachweise zu „substantiieren“, und der andererseits erfolgten Ausrichtung der Herstellererklärung auf Produkte für qualifizierte elektronische Signaturen, ist eine analoge Anwendung dieses Instituts auf andere Produkte nicht sinnvoll. Würde der Hersteller eine Erklärung abgeben, nach der sein Produkt die Anforderungen des Signaturgesetzes „analog“ erfüllt, so wäre eine solche Herstellererklärung aufgrund ihrer Unbestimmtheit nicht geeignet, den Nutzer zu schützen oder die Aufsichtsfunktion der Beklagten zu erleichtern. Die dadurch entstehenden Schwierigkeiten zeigen sich gerade auch im vorliegenden Verfahren, in dem die Klägerin sich zunächst einerseits auf eine analoge Anwendbarkeit der Vorschriften über die Herstellererklärung berufen hat, andererseits aber geltend gemacht hat, dass bei der Erzeugung von Zeitstempeln aufgrund deren Besonderheiten eine vorherige Anzeige i.S.d. § 17 Abs. 2 S. 1 SigG nicht erforderlich sei. Es kann nicht Aufgabe der Behörde oder des Gerichts sein, bei derartigen Produkten in jedem Einzelfall festzustellen, ob und welche Anforderungen des Signaturrechts erfüllt sein müssen, welche Anforderungen zu modifizieren sind und auf welche Anforderungen verzichtet werden kann. Derartige Herstellererklärungen, bei denen gerade nicht alle Anforderungen des Signaturrechts eindeutig erfüllt sind, wären eher geeignet, den Verbraucher zu verwirren als ihn zu schützen.

Soweit die Beklagte – wie sich im Verlauf der mündlichen Verhandlung ergeben hat – Herstellererklärungen auch für „Teilsignaturanwendungskomponenten“ veröffentlicht, bleibt ihr dies unbenommen. Es ist jedoch darauf hinzuweisen, dass Produkte, die nicht allen Anforderungen an eine Signaturanwendungskomponente nach § 17 Abs. 2 Satz 1 bzw. Satz 2 (jeweils in Verbindung mit Satz 3) SigG genügen, ebenso wenig die Voraussetzungen des § 17 Abs. 4 S. 2 bis 4 SigG erfüllen wie das vorliegende Produkt, das bereits begrifflich keine Signaturanwendungskomponente darstellt. Eine Verpflichtung zur Abgabe einer Herstellererklärung oder einer entsprechenden Veröffentlichung besteht in diesen Fällen daher nicht. Ob die Beklagte aus praktischen oder technischen Erwägungen Herstellererklärungen für derartige Produkte, bei denen durch entsprechende technische Dokumentationen die Erfüllung bestimmter Sicherheitsanforderungen nachgewiesen ist, auch ohne Bestehen einer entsprechenden Verpflichtung in ihrem Amtsblatt veröffentlicht, liegt in ihrem Ermessen.

Der Tenor des Urteils ist gegenüber der im Verkündungstermin am 7. Juli 2006 verkündeten Fassung um die versehentlich ausgelassene genaue Bezeichnung des Produkts der Klägerin ergänzt worden, § 118 VwGO.

Die Kostenentscheidung beruht auf § 154 Abs. 1 VwGO.