Elektronische SignaturEine elektronische Signatur sind Daten, die mit elektronischen Informationen verknüpft sind, um deren Unterzeichner oder Signaturersteller zu identifizieren. Sie ermöglichen zudem, die Integrität der signierten elektronischen Informationen zu prüfen, bei denen es sich in der Regel um elektronische Dokumente handelt. Die elektronische Signatur erfüllt somit technisch gesehen den gleichen Zweck wie eine eigenhändige Unterschrift auf Papierdokumenten. Elektronische Signaturen sind nur natürlichen Personen zugeordnet, während für Behörden und Unternehmen elektronische Siegel zur Verfügung stehen. Diese Signaturen lassen sich je nach Grad an Sicherheit und Vertrauenswürdigkeit unterteilen in einfache elektronische Signatur, fortgeschrittene elektronische Signatur und qualifizierte elektronische Signatur. Genutzt wird sie vorerst primär im E-Government (öffentliche Verwaltung), E-Justice (Justiz), zunehmend aber auch E-Commerce (Onlinehandel) und ähnlichen Vertragsunterzeichnungen in der Privatwirtschaft. Abgrenzung zur digitalen SignaturIm Allgemeinen Sprachgebrauch werden die Bezeichnungen „digitale Signatur“ und „elektronische Signatur“ synonym verwendet. Hingegen versteht man in der Informatik und Kryptografie die „digitale Signatur“ als eine Klasse von kryptografischen (d. h. mathematischen) Verfahren, während „elektronische Signatur“ ein primär rechtlicher Begriff ist. Der Terminus „elektronische Signatur“ wurde zuerst von der Europäischen Kommission in einem überarbeiteten Entwurf der EU-Richtlinie 1999/93/EG verwendet, um die rechtlichen Regelungen nicht an eine bestimmte Technologie zu koppeln; in einem früheren Entwurf war, entsprechend dem damaligen deutschen Signaturgesetz noch der Begriff „digitale Signatur“ verwendet worden.[1] Art. 3 Nr. 10 eIDAS-VO fasst den Begriff bewusst sehr weit: „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.“ Diese Definition umfasst neben digitalen (kryptographischen) Signaturen auch andere, nicht auf kryptographischen Methoden, insbesondere nicht auf digitalen Zertifikaten basierende Verfahren. Außerdem ist es wichtig anzumerken, dass eine digitale Signatur in der Softwaretechnik oft zur Identifikation verschiedener Arten von Daten, einschließlich einzelner Dokumente, verwendet wird, während sich der rechtliche Begriff speziell auf die „Signatur“ im Sinne einer persönlichen Unterschrift bezieht. Der digitalen bzw. kryptografischen Signatur der Informatik entsprechen die fortgeschrittene elektronische Signatur nach Art. 3 Nr. 11 eIDAS-VO für natürliche Personen bzw. das fortgeschrittene elektronische Siegel nach Art. 3 Nr. 26 eIDAS-VO für juristische Personen. Rechtliche RahmenbedingungenEU-VerordnungAm 28. August 2014 hat die Europäische Kommission im Amtsblatt der Europäischen Union die Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (eIDAS-Verordnung bzw. IVT) veröffentlicht.[2] Die Verordnung ersetzt die Signaturrichtlinie, stärkt und erweitert aber gleichzeitig die bestehenden Rechtsvorschriften, die mit der Signaturrichtlinie bereits eingeführt wurden. Die Verordnung ist seit 1. Juli 2016 anzuwenden, mit Wirkung von diesem Tag ist die Signaturrichtlinie 1999/93/EG aufgehoben. Die Europäische Kommission hat am 3. Juni 2021 einen Rahmen für eine europäische digitale Identität (EUid) vorgeschlagen, die allen Bürgern, Einwohnern und Unternehmen in der EU zur Verfügung stehen wird.[3] Als Pendant zur qualifizierten elektronischen Signatur (QES) werden mit der neuen EU-Verordnung qualifizierte elektronische Siegel eingeführt, um juristischen Personen die Möglichkeit zu geben, den Ursprung und die Unversehrtheit von elektronischen Dokumenten rechtsverbindlich zu garantieren. Sie können auch verwendet werden, um digitale Besitzgegenstände einer juristischen Person wie beispielsweise Softwarecode zu kennzeichnen. Mit Inkrafttreten der Verordnung werden ab dem 1. Juli 2016 qualifizierte elektronische Signaturen und Siegel grenzüberschreitend in Europa anerkannt.[4] EU-RichtlinieAusgangspunkt für die Signaturgesetzgebung in der Europäischen Union war die EU-Richtlinie 1999/93/EG (Signaturrichtlinie).[5] Die Richtlinie wurde durch die eIDAS VO aufgehoben und ersetzt. DeutschlandFormen der elektronischen Signatur In Deutschland erfüllen nur qualifizierte elektronische Signaturen gemäß Art. 3 Nr. 12 eIDAS-Verordnung die Anforderungen an die elektronische Form gemäß § 126a BGB, die die gesetzlich vorgeschriebene Schriftform ersetzen kann. Auch erhalten nur mit einer qualifizierten elektronischen Signatur versehene elektronische Dokumente den gleichen Beweiswert wie (Papier-)Urkunden im Sinne der Zivilprozessordnung (§ 371a Abs. 1 ZPO). Einer elektronischen Signatur darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nach Art. 25 Abs. 1 eIDAS-Verordnung nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt oder weil sie die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt. In Fällen, in denen eine qualifizierte elektronische Signatur nicht gesetzlich vorgeschrieben ist, können Dokumente, die „nur“ mit einer fortgeschrittenen elektronischen Signatur gemäß Art. 3 Nr. 11 eIDAS-Verordnung versehen wurden, jedoch per Augenscheinsbeweis ebenfalls als Beweismittel vor Gericht verwendet werden. Die Anwendung der elektronischen Signatur ist in Deutschland durch mehrere Rechtsvorschriften geregelt:
Formen der elektronischen SignaturDie eIDAS Verordnung definiert in Art. 3 Nr. 10–12 folgende Formen von elektronischen Signaturen:
Die verschiedenen Formen der elektronischen Signaturen stehen für unterschiedliche Anforderungen an die Signaturen. An qualifizierte Signaturen werden die höchsten Anforderungen hinsichtlich Erstellung von Signaturerstellungsdaten und Validierungsdaten sowie qualifizierten Zertifikaten für elektronische Signaturen gestellt. Außerdem müssen die bei der Signaturerstellung eingesetzten qualifizierten Signaturerstellungseinheiten ebenfalls bestimmten Anforderungen entsprechen. Anforderungen an elektronische SignaturenDie elektronische Signatur nach Art. 3 Nr. 10 EIDAS VO ist die (rechtliche) Grundform der elektronischen Signatur. Es werden keine Elemente der digitalen bzw. kryptografischen Signatur verwendet, daher wird sie auch als „einfache“ Signatur bezeichnet. Die Signatur besteht aus Daten, die zum Unterzeichnen verwendet werden und dazu anderen Daten hinzugefügt oder mit ihnen verbunden werden. Die oben dargestellte Einfügung des Namens am Ende einer E-Mail stellt eine solche Signatur dar. Die elektronische Signatur wird in Art. 3 Nr. 10 EIDAS VO lediglich definiert und bildet die Basis der Definition von fortgeschrittenen elektronischen Signaturen. Weitere Rechtsfolgen werden dort nicht an sie geknüpft, besondere Anforderungen werden nicht gestellt. In einem Zivilprozess unterliegen Dokumente bzw. Dateien mit „einfachen“ elektronischen Signaturen der freien Beweiswürdigung durch das Gericht. Die elektronische Signatur ist als Beweismittel nach Art. 25 Abs. 1 EIDAS VO zugelassen. Wenn Authentizität oder Integrität bestritten werden, ist der Beweiswert der elektronischen Signatur gering. In der Praxis streitet der Absender aber selten ab, eine Mail oder andere elektronische Erklärung mit einem bestimmten Inhalt geschrieben zu haben, gestritten wird meist um die Auslegung der Erklärung. Einfache elektronische Signaturen können gemäß § 127 Abs. 3 BGB für Erklärungen oder Vereinbarungen eingesetzt werden, bei denen die Parteien sich vertraglich auf elektronische Form geeinigt haben. Anforderungen an fortgeschrittene elektronische SignaturenFür eine fortgeschrittene elektronische Signatur gilt die Definition in Art. 3 Nr. 11 und Art. 26 EIDAS VO. Eine fortgeschrittene elektronische Signatur muss unter Verwendung elektronischer Signaturerstellungsdaten erstellt, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann. Zusätzlich muss die fortgeschrittene elektronische Signatur eindeutig dem Unterzeichner zugeordnet sein, dessen Identifizierung ermöglichen und so mit den unterzeichneten Daten verbunden sein, dass eine nachträgliche Veränderung der Daten erkannt werden kann. Dies erfolgt entweder über den dem Signaturersteller zugewiesenen Prüfschlüssel oder gegebenenfalls mittels während der Signaturerstellung erfasster biometrischer Unterschriften. Signaturerstellungsdaten nach Art. 3 Nr. 13 eIDAS-VO sind die früher als „Signaturschlüssel“ bezeichneten kryptographischen Schlüssel, mit denen fortgeschrittene und qualifizierte elektronische Signaturen erstellt werden können. Im Rechtsstreit werden fortgeschrittene elektronische Signaturen genauso wie „einfache“ elektronische Signaturen als Objekte des Augenscheins behandelt, d. h., die sich auf die Signatur beziehende Partei muss beweisen, dass digitale Signatur und Identifizierungsmerkmal echt sind. Fortgeschrittene elektronische Signaturen können gemäß § 127 BGB für formfreie Vereinbarungen eingesetzt werden. Anforderungen an qualifizierte elektronische SignaturenNur Dokumente mit einer qualifizierten elektronischen Signatur gemäß Art. 3 Nr. 12 eIDAS-VO können als elektronische Form eine per Gesetz geforderte Schriftform auf Papier ersetzen, vgl. § 126a BGB. Nach der Definition in Art. 3 Nr. 12 eIDAS-VO ist eine qualifizierte elektronische Signatur eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit (SSEE) erstellt wurde und auf einem qualifizierten Zertifikat beruht. Der Signaturschlüssel darf dabei ausschließlich in der SSEE gespeichert und angewendet werden, und die Übereinstimmung der SSEE mit den Vorgaben des Signaturgesetzes muss durch eine anerkannte Stelle geprüft und bestätigt werden. Dagegen ist auch für qualifizierte elektronische Signaturen eine Prüfung und Bestätigung der Signaturanwendungskomponente, welche Signatursoftware, Treiber und Chipkartenleser umfasst, nicht zwingend vorgeschrieben, jedoch ist mindestens eine Herstellererklärung nötig, in der der jeweilige Hersteller die Konformität der Komponente zum SigG und zur SigV gemäß § 17 SigG bestätigt. Eine solche Herstellererklärung wird später von der Bundesnetzagentur im Bundesanzeiger veröffentlicht[6], ist aber bereits mit der Einreichung bei der Bundesnetzagentur genügend. Zusätzlich wird bei qualifizierten elektronischen Signaturen unterschieden, von welchem Anbieter die Zertifikate ausgestellt und die Signaturschlüssel erzeugt werden. Dabei wird zwischen nicht-akkreditierten Anbietern und Anbietern mit Akkreditierung durch die Bundesnetzagentur unterschieden. Laut Signaturgesetz muss jeder Anbieter von Zertifikaten für qualifizierte elektronische Signaturen bestimmte Anforderungen bezüglich des von ihm betriebenen Rechenzentrums erfüllen. Der Anbieter kann sich bescheinigen lassen, dass sein Rechenzentrum den höchsten Sicherheitsanforderungen genügt. Dem geht eine Prüfung durch eine anerkannte Bestätigungsstelle (das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder eine private Bestätigungsstelle) voraus. Stellt diese fest, dass die Sicherheitsanforderungen durch den Anbieter bzw. den Betreiber des Rechenzentrums (wird in diesem Rahmen auch als Trust Center bezeichnet) erfüllt sind, bescheinigt die Bundesnetzagentur dessen Sicherheit. Der Betreiber des Rechenzentrums darf sich nun als akkreditiert bezeichnen und erhält für seine Zertifizierungsdienste qualifizierte Zertifikate von der Zertifizierungsstelle der Bundesnetzagentur, die in Deutschland die Wurzelinstanz (Root CA) in der Public-Key-Infrastruktur (PKI) für qualifizierte Zertifikate darstellt. Einsatz in der PraxisDas bürgerliche Gesetzbuch erlaubt den Ersatz der per Gesetz vorgeschriebenen – also nicht freiwilligen – Schriftform durch die elektronische Form, soweit durch Gesetz nichts anderes bestimmt ist (§ 126 BGB). Die elektronische Form ist gewahrt, wenn dem elektronischen Dokument der Name des Unterzeichners/Signierenden hinzugefügt und mit einer qualifizierten elektronischen Signatur versehen wird (§ 126a BGB). Für formfreie Vereinbarungen, die nicht per Gesetz der Schriftform benötigen, jedoch aus Beweisgründen freiwillig schriftlich verfasst und unterzeichnet bzw. signiert werden, können die Vertragspartner für elektronische Dokumente eine andere Signaturform vereinbaren, also entweder eine „einfache“ oder eine fortgeschrittene elektronische Signatur wählen (§ 127 BGB). Die für qualifizierte elektronische Signaturen zugelassenen Kryptoalgorithmen werden von der Bundesnetzagentur genehmigt und veröffentlicht. Dort sind auch die für eine qualifizierte elektronische Signatur zugelassenen Produkte aufgelistet. Vertrauensdienste sind genehmigungsfrei, aber anzeigepflichtig. Bei der Anzeige ist darzulegen, dass und wie die gesetzlichen Anforderungen (finanzielle Deckungsvorsorge, Zuverlässigkeit, Fachkunde) erfüllt sind. ÖsterreichÖsterreich war das erste Land, das die Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen umsetzte. Die rechtliche Grundlage für elektronische Signaturen in Österreich bildet die Verordnung (EU) Nr. 910/2014 über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, ABl. Nr. L 257/73 vom 28. August 2014 (eIDAS-VO) und das Bundesgesetz über elektronische Signaturen und Vertrauensdienste (Signatur- und Vertrauensdienstegesetz – SVG)[7], das seit 1. Juli 2016 in Kraft ist. Das zuvor gültige Signaturgesetz wurde mit dem SVG außer Kraft gesetzt. Wie in der EU-Verordnung vorgesehen wird zwischen einfacher, fortgeschrittener und qualifizierter elektronischer Signatur unterschieden. Das Bundesgesetz über Regelungen zur Erleichterung des elektronischen Verkehrs mit öffentlichen Stellen (E-Government-Gesetz) ermöglicht die Nutzung einer Bürgerkarte mit sicherer elektronischer Signatur für die Teilnahme an elektronischen Verwaltungsverfahren. Als Übergangslösung konnte gemäß § 25 bis zum 31 Dezember 2007 alternativ eine Verwaltungssignatur verwendet werden, deren spezifische Anforderungen in der Verwaltungssignaturverordnung geregelt sind. Diese Übergangslösung wird nicht verlängert, so dass seit 1. Januar 2008 zwingend eine sichere bzw. qualifizierte elektronische Signatur im E-Government vorgeschrieben ist. Die Bürgerkarte ist ein allgemeines technologisches System, im Speziellen die Freischaltung von SmartCards (wie die Sozialversicherungskarte e-Card oder Bankomatkarten) zur qualifizierten elektronischen Signierung. Diese Funktion nutzen per 2014 etwa 150.000 Österreicher. Mit der Variante der ID Austria (früher Handy-Signatur) gibt es seit 2007 auch eine staatlich kontrollierte mobile Signatur (Mobile-ID). Laut Angaben des staatlich beauftragten Dienstleisters A-Trust verzeichnet die Handy-Signatur Ende November 2021 knapp 2,8 Mio. aktive Nutzer.[8] SchweizDie elektronische Signatur ist durch das Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur (ZertES) sowie durch die Verordnung über Zertifizierungsdienste im Bereich der elektronischen Signatur (VZertES) geregelt. Das Obligationenrecht (OR) sieht in Art. 14 Abs. 2 bis bzw. Art. 59a eine Gleichstellung von ZertES-konformer elektronischer Signatur und Handunterschrift im Bereich gesetzlicher Formvorschriften sowie eine Haftung des Inhabers des Signierschlüssels für den sorgfältigen Umgang mit dem Schlüssel vor. ZertES, VZertES und die entsprechende OR-Novelle sind am 1. Januar 2005 in Kraft getreten. Ein wesentlicher Unterschied zur Regelung in der EU-Signaturrichtlinie liegt darin, dass für eine Rechtswirkung der erwähnten obligationenrechtlichen Normen jeweils die Anerkennung des jeweiligen Zertifizierungsdienstes durch eine Anerkennungsstelle vorausgesetzt wird. Diese Anerkennungsstelle ist durch die Schweizerische Akkreditierungsstelle akkreditiert. Es braucht also in der Schweiz die gesetzeskonforme elektronische Signatur eines anerkannten Zertifizierungsdienstes, während in der EU nur eine gesetzeskonforme Signatur vorausgesetzt wird und die Akkreditierung damit freiwillig bleibt. Die Anerkennung ist eine Bestätigung dafür, dass der Zertifizierungsdienst die Anforderungen des Gesetzes erfüllt. Die Schweizerische Akkreditierungsstelle (SAS, sas.admin.ch) publiziert eine Liste der anerkannten Zertifizierungsdienste[9]. 2016 waren Swisscom (Schweiz), QuoVadis Trustlink Schweiz, die SwissSign AG (der u. a. Schweizerischen Post) und das Bundesamt für Informatik und Telekommunikation (BIT) anerkannte Anbieter von Zertifizierungsdiensten. Technische UmsetzungAufgrund der weiten und technologie-neutralen Definition lassen sich elektronische Signaturen durch völlig verschiedene technische Verfahren umsetzen. So stellt auch die Angabe des Absenders in einer E-Mail bereits eine elektronische Signatur dar. Auch ein über das Internet geschlossener Vertrag enthält eine elektronische Signatur, sofern geeignete Verfahren, etwa eine Passwortabfrage, den Vertragsabschluss durch eine bestimmte Person hinreichend belegen. Fortgeschrittene oder gar qualifizierte elektronische Signaturen, die eine zuverlässige Identifizierung des Unterzeichners ermöglichen und eine nachträgliche Veränderung der Daten erkennen lassen müssen, können technisch mit digitalen Signaturen in Verbindung mit digitalen Zertifikaten von einer Public-Key-Infrastruktur (PKI) realisiert werden. Bei diesen Verfahren wird ein Schlüsselpaar verwendet. Ein Schlüssel wird für die Erzeugung der Signatur verwendet (Signaturschlüssel) und ein Schlüssel für die Prüfung (Signaturprüfschlüssel).[10] Bei qualifizierten Signaturen ist die Zuordnung der asymmetrischen Schlüsselpaare gemäß deutschem Signaturgesetz zwingend erforderlich. Bei fortgeschrittenen Signaturen ist die Identifizierung des Unterzeichners nicht an ein Zertifikat gebunden. So können neben Zertifikaten auch andere Identifizierungsmerkmale, z. B. während des Signaturerstellungsprozesses erfasste eigenhändige Unterschriften, eingesetzt werden. Einsatz in der PraxisAblauf einer elektronischen Signierung mit einer digitalen Signatur:
Langfristige Sicherheit digitaler SignaturenAufgrund neuer oder verbesserter Methoden der Kryptoanalyse und immer leistungsfähigerer Rechner nimmt die Effizienz von Angriffen auf digitale Signaturverfahren wie z. B. RSA im Laufe der Zeit zu. Daher ist die Sicherheit – und damit die Aussagekraft – einer digitalen Signatur zeitlich begrenzt. Aus diesem Grund sind die heute ausgestellten Zertifikate in der Regel nicht länger als drei Jahre gültig, was bedeutet, dass der zugewiesene Signaturschlüssel nach Ablauf des Zertifikats nicht mehr benutzt werden darf (manche Signiersoftware verweigert das Setzen einer Signatur mit einem ungültigen Zertifikat). Das Alter elektronischer Daten ist jedoch praktisch nicht bestimmbar. Dokumente könnten folglich ohne weiteres um Jahre oder gar Jahrzehnte rückdatiert werden, ohne dass dies nachweisbar wäre. Eine Rückdatierung kann etwa durch Verstellen der Systemzeit des verwendeten Rechners erfolgen. Gelingt es einem Fälscher nach Jahren, den Signaturschlüssel aus dem öffentlichen Zertifikat zu berechnen, kann er damit ein rückdatiertes Dokument mit einer gefälschten qualifizierten elektronischen Signatur versehen. Auch wenn ein Zertifikat bereits lange ungültig ist bzw. der damit verknüpfte Signaturschlüssel nicht mehr verwendet werden darf, sind Dokumente, die innerhalb des Gültigkeitszeitraums signiert wurden, nach wie vor rechtsgültig. Die Problematik besteht in der Beweiseignung elektronischer Signaturen nach dem Ablauf des Zertifikats. In der Literatur wird die Meinung vertreten, dass der Anscheinsbeweis (eine Beweislastumkehr) für die Echtheit einer elektronischen Signatur mit Anbieterakkreditierung nicht die Tatsache betreffen kann, dass die Signatur vor dem Ablauf des Zertifikats erstellt wurde,[11] weil der Nachweis des Signierzeitpunktes für denjenigen, der sich auf die Signatur stützt, leicht möglich ist und daher keiner Beweiserleichterung bedarf. Mit dem Ablauf des Zertifikats muss daher derjenige, der sich auf eine Signatur stützt, voll beweisen, dass die Signatur vor diesem Zeitpunkt gesetzt wurde. Dies kann durch eine Nachsignierung oder durch einen Zeitstempel geschehen.[12] Im Fall archivierter, signierter Dokumente kann eine Signierung des Archivs selbst oder von Teilen davon die darin enthaltenen Dokumente absichern. Für den Fall elektronischer Rechnungen und anderer Unternehmensdokumente gilt gemäß den Grundsätzen ordnungsgemäßer Buchführung die Verpflichtung, Rechnungen für 10 Jahre revisionssicher zu archivieren. Wenn diese Bedingung durch ein entsprechendes elektronisches Archiv sichergestellt ist, ist eine erneute Signierung der einzelnen Dokumente nicht notwendig, da das revisionssichere Archiv die Unveränderbarkeit der im Archiv gehaltenen Dokumente garantiert. KritikSicherheitEine Fälschung der Signatur kann nur zuverlässig ausgeschlossen werden, wenn geeignete Software zur Erstellung und zur Prüfung der Signatur verwendet wird. Die Schwierigkeit dabei ist, dass kaum feststellbar ist, ob diese Voraussetzung tatsächlich erfüllt ist. Allein der Signatur kann nicht angesehen werden, ob sie tatsächlich mit sicheren technischen Komponenten erstellt wurde. Das deutsche Signaturgesetz definiert daher in § 17 auch noch Anforderungen an Produkte für qualifizierte elektronische Signaturen. Generell ist zur Prüfung der Signatur eine Software erforderlich. Die Software auf einem PC kann praktisch immer auch so genannte Malware enthalten. Eine tatsächlich zuverlässige Prüfung, ob die Software tatsächlich den Spezifikationen entspricht und nicht manipuliert wurde, ist sehr aufwändig. Hier werden normalerweise Sicherheitsmechanismen des Betriebssystems und/oder Signaturen an der Software verwendet. Probleme in der PraxisHäufig werden die Aspekte der Betrachtung der Sicherheit auf rein mathematisch-technische Aspekte reduziert. Fast alle Pilotprojekte zeigen, dass der Faktor Mensch zu gering gewichtet wird. Noch nicht wirklich absehbar scheint eine bezahlbare und pragmatische Handhabung von verlorenen Signaturkarten oder vergessenen Geheimzahlen. In der Testregion Flensburg wurde der 10.000er-Feldversuch mit der elektronischen Gesundheitskarte (eGK) im März 2008 gestoppt: „Von 25 Ärzten in 17 Praxen, die freiwillig die Testphase bestritten, sperrten 30 Prozent ihren Heilberufsausweis, weil sie sich partout nicht mehr an die 6-stellige Signatur-PIN erinnern konnten. 10 Prozent davon sperrten ihren neuen Arztausweis irreversibel.“ Die Hoffnung von Anbietern von Signaturkarten ruht bereits seit 2002 auf dem ELENA-Verfahren (früher JobCard). Es soll nach den Vorstellungen der Bundesregierung die Nutzung digitaler Signaturen fördern und käme dem Wunsch der Anbieter von Signaturkarten nach, der Staat möge endlich obligatorische Anwendungsfälle schaffen. In diesem Kontext beschäftigen sich die Medien wieder vermehrt mit der digitalen Signatur und den Herausforderungen bei einer Einführung. Mögliche Alternativen bei vergessenen Geheimzahlen oder verlorenen Signaturkarten zeigte eine Reportage des Deutschlandfunks am 28. Juni 2008 auf. Die derzeit beabsichtigte Vorgehensweise hätte entweder eine Aufweichung der Sicherheit und des Datenschutzes zur Folge oder würde ein hochkomplexes und kaum bezahlbares Verfahren erfordern. Erwogen werden entweder Generalschlüssel, mit dem Mitarbeiter der zentralen Speicherstelle auf alle Verdienstbescheinigungen zugreifen könnten, oder ein mehrstufiges Umschlüsselungsverfahren. In den letzten Jahren bekommen die Signaturkarten und mit ihnen die digitalen Signaturen auf dem Feld elektronischer Signaturen Konkurrenz. Zunehmend häufiger und ausgefeilter werden die Angebote für eine vertrauenswürdige Digitalisierung der eigenhändigen Unterschrift. Das elektronische Unterschreiben am Computer ist nicht mehr allein mit Chipkarte und Geheimzahl zu realisieren. Es hat dort überall seine Einsatzfelder, wo heute die sogenannte „gewillkürte Schriftform“ verwendet wird. Darunter verstehen Juristen die gegenseitige Festlegung auf ein Papierdokument mit eigenhändiger Unterschrift als Beweismittel. Mittlerweile sind selbst Kreditinstitute dazu übergegangen, bei Prozessen wie der Kontoeröffnung während des Signaturprozesses eigenhändige Unterschriften über ein Unterschriftentablett digital zu erfassen und diese biometrischen Daten als Identifikationsmerkmale – und damit als Zertifikatsersatz – in die elektronischen Anträge (z. B. PDF-Formulare) mit der digitalen Signatur verknüpft einzubetten.[13] In Österreich haben Wirtschaftsunternehmen[14] die Möglichkeit, für sichere Online-Verfahren eine Reihe von Open-Source-Modulen der Plattform Digitales:Österreich[15] wie z. B. für den Einsatz der elektronischen Signatur bei vorsteuerabzugsfähigen E-Rechnungen zu nutzen. Weiters bietet das österreichische Bundeskanzleramt einen Prüfservice[16] zur Prüfung elektronisch signierter Dokumente. Bei der österreichischen Handy-Signatur wurden grundsätzlich erhebliche Zweifel an der Sicherheit laut.[17] Insbesondere soll diese anfällig für Phishing-Angriffe sein, weil für Login und Signatur die gleichen Mechanismen genutzt werden.[18] Europäische HarmonisierungDurch die Verordnung (EU) Nr. 910/2014 (eIDAS VO) wurde das Recht der elektronischen Signaturen europaweit vereinheitlicht. Die eIDAS VO hat unmittelbar geltendes Recht in allen Mitgliedsstaaten geschaffen und verlässt sich in Abkehr von der Signaturrichtlinie nicht auf die Umsetzung in den Mitgliedsländern. Die eIDAS VO hat den Mitgliedsstaaten Spielräume für nationale Regelungen belassen, die beispielsweise in Deutschland das Vertrauensdienstegesetz VDG ausfüllt. Unabhängig davon variiert die rechtliche Relevanz einer eigenhändigen Unterschrift unter den Staaten erheblich. Daher wird ein Benutzer die rechtliche Relevanz einer qualifizierten elektronischen Signatur aus einem anderen Mitgliedstaat nicht einschätzen können, solange er nicht die dortigen Regelungen zur eigenhändigen Unterschrift kennt. nPA – Deutscher Elektronischer Personalausweis ermöglicht qualifizierte elektronische SignaturDer neue Personalausweis wird seit dem 1. November 2010 im Scheckkartenformat mit Chipkarte ausgestellt und beinhaltete die gegen eine Gebühr aktivierbare Möglichkeit zur Nutzung als Signatur-Erstellungseinheit für qualifizierte elektronische Signaturen. Diese Möglichkeit wird derzeit von keinem Anbieter für Signaturzertifikate unterstützt.[19] Die Identifizierungsfunktion des nPA kann dagegen zur Identifizierung bei Bestellung von Signaturkarten und bei Anmeldung zu Fernsignaturverfahren eingesetzt werden. Beispiele für gesetzlich geforderte qualifizierte elektronische SignaturElektronisches AbfallnachweisverfahrenIm Rahmen der deutschen Nachweisverordnung ist seit dem 1. April 2010 zwingend, dass die Abfallentsorger jeden Transport gefährlicher Abfälle elektronisch qualifiziert signieren (Elektronisches Abfallnachweisverfahren, eANV). Spätestens ab dem 1. Februar 2011 trifft diese Regelung auch für Abfallerzeuger und Abfallbeförderer zu. E-JusticeSeit 1. Januar 2022 sind in Deutschland nach § 130d ZPO vorbereitende Schriftsätze und deren Anlagen sowie schriftlich einzureichende Anträge und Erklärungen, die durch einen Rechtsanwalt, durch eine Behörde oder durch eine juristische Person des öffentlichen Rechts einschließlich der von ihr zur Erfüllung ihrer öffentlichen Aufgaben gebildeten Zusammenschlüsse bei einem Gericht eingereicht werden, als elektronisches Dokument zu übermitteln. Nach § 130a Abs. 3 ZPO muss das elektronische Dokument mit einer qualifizierten elektronischen Signatur der verantwortenden Person versehen sein. Abweichend davon genügt eine einfache Signatur, wenn das Dokument auf einem sicheren Übermittlungsweg nach § 130a Abs. 4 ZPO eingereicht wird. Andere Prozessordnungen weisen ähnliche Regelungen auf. Lediglich beim Bundesverfassungsgericht besteht keine Pflicht zur elektronischen Einreichung. Entsprechend ist sie dort auch nicht möglich[20]. Siehe auchLiteratur
Weblinks
Einzelnachweise
|