Elektronische Signature Rechnungen Beispiel Essay

Dieser Artikel behandelt den rechtlichen Begriff elektronische Signatur. Dagegen befasst sich der Artikel digitale Signatur mit einem technischen (kryptographischen) Begriff.

Unter einer elektronischen Signatur versteht man mit elektronischen Informationen verknüpfte Daten, mit denen man den Unterzeichner bzw. Signaturersteller identifizieren und die Integrität der signierten elektronischen Informationen prüfen kann. In der Regel handelt es sich bei den elektronischen Informationen um elektronische Dokumente. Die elektronische Signatur erfüllt somit technisch gesehen den gleichen Zweck wie eine eigenhändige Unterschrift auf Papierdokumenten. Sie ist eine Umsetzung des elektronischen Identitätsnachweises (eID).

Für bestimmte Bereiche stellen die nationalen Gesetzgeber zusätzliche Anforderungen an elektronische Signaturen. In manchen Ländern, wie Finnland, Estland oder Österreich ist die elektronische Signatur dann der handschriftlichen Unterschrift rechtlich völlig gleichgestellt, auch die mobile Signatur (Mobile-ID) mit dem Mobiltelefon.

Genutzt wird sie vorerst primär im E-Government (öffentliche Verwaltung), E-Justice (Justiz), zunehmend aber auch E-Commerce (Onlinehandel) und ähnlichen Vertragsunterzeichnungen in der Privatwirtschaft.

Abgrenzung zur digitalen Signatur[Bearbeiten | Quelltext bearbeiten]

Im Allgemeinen werden die Begriffe „digitale Signatur“ und „elektronische Signatur“ synonym verwendet. Im Speziellen ist aber die digitale Signatur eine Klasse von kryptografischen (d. h. mathematischen) Verfahren, während elektronische Signatur ein primär rechtlicher Begriff ist. Der Terminus „elektronische Signatur“ wurde zuerst von der Europäischen Kommission in einem überarbeiteten Entwurf der EU-Richtlinie 1999/93/EG verwendet, um die rechtlichen Regelungen nicht an eine bestimmte Technologie zu koppeln; in einem früheren Entwurf war noch der Begriff „digitale Signatur“ verwendet worden.[1] Die Richtlinie und die darauf basierenden nationalen Signaturgesetze der Mitgliedstaaten fassten den Begriff bewusst sehr weit: „‚Elektronische Signaturen‘ sind Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die der Authentifizierung dienen.“ Diese Definition umfasst neben digitalen Signaturen auch andere, nicht auf kryptographischen Methoden, insbesondere nicht auf digitalen Zertifikaten basierende Verfahren. Außerdem bezieht sich der Begriff der digitalen Signatur in der Softwaretechnik auf Identifikationen aller Art, etwa für einzelne Dokumente, während der rechtliche Begriff speziell auf „Signatur“ im Sinne einer persönlichen Unterschrift eingeschränkt ist.

Rechtliche Rahmenbedingungen[Bearbeiten | Quelltext bearbeiten]

EU-Verordnung[Bearbeiten | Quelltext bearbeiten]

Am 28. August 2014 hat die Europäische Kommission im Amtsblatt der EU die EU-Verordnung 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (EIDAS bzw. IVT) veröffentlicht.[2] Die Verordnung ersetzt die Signaturrichtlinie, stärkt und erweitert aber gleichzeitig die bestehenden Rechtsvorschriften, die mit der Signaturrichtlinie bereits eingeführt wurden. Als Übergangsfrist wird die Verordnung erst ab dem 1. Juli 2016 angewendet, am selben Tag wird auch die Signaturrichtlinie 1999/93/EG aufgehoben.

EU-Richtlinie[Bearbeiten | Quelltext bearbeiten]

Ausgangspunkt für die aktuelle Signaturgesetzgebung in der Europäischen Union ist die EU-Richtlinie 1999/93/EG (Signaturrichtlinie).[3] Diese definiert die Vorgaben für die Regelungen elektronischer Signaturen, die durch die Mitgliedstaaten und die anderen Staaten des Europäischen Wirtschaftsraumes in nationalen Gesetzen umgesetzt wurden.

Die Signaturrichtline definiert die elektronische Signatur technologieneutral als Daten, die anderen Daten „beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen“. Jeder einem elektronischen Dokument oder einer Nachricht angehängte Name des Urhebers bzw. Absenders erfüllt diese Definition. Einen höheren Beweiswert besitzen dagegen fortgeschrittene elektronische Signaturen, die es ermöglichen, die Authentizität und Unverfälschtheit der durch sie signierten Daten zu prüfen. Derzeit erfüllen nur auf digitalen Signaturen basierende elektronische Signaturen diese Anforderungen. Schließlich behandelt die Richtlinie fortgeschrittene elektronische Signaturen, die auf einem qualifizierten Zertifikat beruhen und mit einer sicheren Signaturerstellungseinheit (SSEE) erstellt wurden. Die Richtlinie definiert für diese Art von Signaturen zwar keinen Begriff, geht aber in wesentlichen Punkten speziell auf sie ein; inzwischen hat sich europaweit fast überall der Begriff qualifizierte elektronische Signatur durchgesetzt.

Die Richtlinie legt Anforderungen an die Ausstellung von Zertifikaten und an andere Zertifizierungsdienste fest. Nach Artikel 2 Nr. 9 ist ein Zertifikat „eine elektronische Bescheinigung, mit der Signaturprüfdaten einer Person zugeordnet werden und die Identität dieser Person bestätigt wird“. Zertifizierungsdienste umfassen nach Artikel 2 Nr. 11 auch „anderweitige Dienste im Zusammenhang mit elektronischen Signaturen“, also z. B. Auskunftsdienste für Zertifikate, Identifizierungs- und Registrierungsdienste für die Ausstellung von Zertifikaten oder Zeitstempeldienste. Besondere Anforderungen stellt die Signaturrichtlinie an ein qualifiziertes Zertifikat. Zum einen muss es den Aussteller, den Schlüsselinhaber und den Geltungsbereich des Zertifikates spezifizieren und die fortgeschrittene elektronische Signatur des Ausstellers tragen; zum anderen muss der Aussteller umfangreiche und weitgehende Anforderungen bezüglich der Sicherheit und Nachvollziehbarkeit der Ausgabe der Zertifikate erfüllen.

Die wichtigsten Regelungen der Signaturrichtlinie waren, dass

  1. die Mitgliedstaaten die Bereitstellung von Zertifizierungsdiensten nicht von einer vorherigen Genehmigung abhängig machen dürfen,
  2. eine qualifizierte elektronische Signatur, d. h. eine fortgeschrittene elektronische Signatur, die auf einem qualifizierten Zertifikat beruht und mit einer sicheren Signaturerstellungseinheit erstellt wurde, die gleiche Wirkung hat, wie eine handschriftliche Unterschrift,
  3. ein Aussteller von qualifizierten Zertifikaten gegenüber einer Person, die auf ein Zertifikat vertraut, dafür haftet,
  4. die in einem Mitgliedstaat ausgestellten qualifizierten Zertifikate und die darauf basierenden Signaturen in allen Mitgliedstaaten gegenseitig anerkannt werden,
  5. Signaturen, die nicht auf einem qualifizierten Zertifikat beruhen, ebenfalls als Beweismittel vor Gericht eingesetzt werden können. Die konkreten Rechtsfolgen einer solchen „einfachen“ oder fortgeschrittenen elektronischen Signatur (im Unterschied zur qualifizierten elektronischen Signatur) werden jedoch nicht weiter geregelt und liegen somit bei einem Streitfall im Ermessen des Gerichtes (Objekte des Augenscheins).

Als Pendant zur qualifizierten elektronischen Signatur (QES) werden mit der neuen EU-Verordnung qualifizierte elektronische Siegel eingeführt, um juristischen Personen die Möglichkeit zu geben, den Ursprung und die Unversehrtheit von elektronischen Dokumenten rechtsverbindlich zu garantieren. Sie können auch verwendet werden, um digitale Besitzgegenstände einer juristischen Person wie beispielsweise Softwarecode zu kennzeichnen. Mit Inkrafttreten der Verordnung werden ab dem 1. Juli 2016 qualifizierte elektronische Signaturen und Siegel grenzüberschreitend in Europa anerkannt.[4]

Deutschland[Bearbeiten | Quelltext bearbeiten]

In Deutschland erfüllen nur qualifizierte elektronische Signaturen gemäß § 2 Nr. 3 Signaturgesetz (SigG) die Anforderungen an die elektronische Form gemäß § 126aBGB, die die gesetzlich vorgeschriebene Schriftform ersetzen kann. Auch erhalten nur mit einer qualifizierten elektronischen Signatur versehene elektronische Dokumente den gleichen Beweiswert wie (Papier-)Urkunden im Sinne der Zivilprozessordnung (§ 371a Abs. 1 ZPO).

In Fällen, in denen eine qualifizierte elektronische Signatur nicht gesetzlich vorgeschrieben ist, können Dokumente, die „nur“ mit einer fortgeschrittenen elektronischen Signatur gemäß § 2 Nr. 2 SigG versehen wurden, jedoch per Augenscheinsbeweis ebenfalls als Beweismittel vor Gericht verwendet werden.

Die elektronische Signatur ist durch mehrere Rechtsvorschriften geregelt:

Formen der elektronischen Signatur[Bearbeiten | Quelltext bearbeiten]

Die EIDAS Verordnung definiert in Art. 3 Nr. 10–12 folgende Formen von elektronischen Signaturen:

  1. allgemeine elektronische Signatur
  2. fortgeschrittene elektronische Signatur
  3. qualifizierte elektronische Signatur.
Elektronische Signatur Fortgeschrittene Signatur Qualifizierte Signatur
Sicherheitslevel niedrig hoch sehr hoch
Beispiel Private oder geschäftliche E-Mail mit Signatur PGP-signierte E-Mail beA-System
From: Max Mustermann
To: Lisa Mustermann
Subject: Testmail

Liebe Lisa,
hier der Text.

LG Max
--
Max Mustermann
John-Doe-Str. 1
99999 Musterstadt
From: Max Mustermann
To: Lisa Mustermann
Subject: Testmail

-----BEGIN PGP MESSAGE-----
Version: GnuPG v2

Liebe Lisa,
hier der Text.

LG Max

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2

iQEcBAEBCAAGBQJWOIv4AAoJE
[…]
M4PXLMzSiGD1QxzN3ve6/Sd1Uwo
-----END PGP SIGNATURE-----

Die verschiedenen Formen der elektronischen Signaturen stehen für unterschiedliche Anforderungen an die Signaturen. An qualifizierte Signaturen werden die höchsten Anforderungen hinsichtlich Erstellung von Signaturschlüsseln zur Signaturerstellung und Signaturprüfschlüsseln sowie Zertifikaten gestellt. Außerdem müssen die bei der Signaturerstellung eingesetzten Anwendungskomponenten ebenfalls bestimmten Anforderungen entsprechen.

Anforderungen an einfache elektronische Signaturen[Bearbeiten | Quelltext bearbeiten]

An eine einfache (d. h. nicht fortgeschrittene) elektronische Signatur werden keine besonderen Anforderungen gestellt. So gilt z. B. auch die Angabe des Urhebers oder Absenders ohne digitale Signatur als „einfache“ Signatur. In einem Zivilprozess unterliegen Dokumente bzw. Dateien mit einfachen elektronischen Signaturen der Beweiswürdigung durch das Gericht, das in seiner Bewertung frei ist. Im Rechtsstreit kommt es also darauf an, ob ein Signaturverfahren eingesetzt wurde, das vom Gericht als beweiswürdig eingestuft wird, was gegebenenfalls durch Gutachter festgestellt wird. Einfache elektronische Signaturen können gemäß § 127 BGB für formfreie Vereinbarungen eingesetzt werden.

Anforderungen an fortgeschrittene elektronische Signaturen[Bearbeiten | Quelltext bearbeiten]

Für eine fortgeschrittene elektronischen Signatur übernimmt § 2 Nr. 2 SigG im Wesentlichen die Definition der Richtlinie: Eine fortgeschrittene Signatur muss mit einem einmaligen – praktisch also geheimen – Signaturschlüssel, der dem Signaturersteller während der Signaturerstellung zur Verfügung stehen muss, und mit Mitteln, die unter seiner alleinigen Kontrolle stehen, erstellt worden sein. Zusätzlich muss der Signaturersteller bei Bedarf identifizierbar sein. Dies erfolgt entweder über den dem Signaturersteller zugewiesenen Prüfschlüssel oder gegebenenfalls mittels während der Signaturerstellung erfasster biometrischerUnterschriften.

Der Begriff „Signaturschlüssel“ bezieht sich außerdem nicht notwendigerweise nur auf kryptographische Schlüssel,[6] und für die Identifizierbarkeit des Signaturerstellers ist nicht zwingend ein Zertifikat erforderlich, so dass z. B. auch mit PGP und einem auf der Festplatte gespeicherten Signaturschlüssel (Soft-PSE) fortgeschrittene elektronische Signaturen erstellt werden können.[7]

Im Rechtsstreit werden fortgeschrittene elektronische Signaturen genauso wie „einfache“ elektronische Signaturen als Objekte des Augenscheins behandelt, d. h., die sich auf die Signatur beziehende Partei muss beweisen, dass digitale Signatur und Identifizierungsmerkmal echt sind. Fortgeschrittene elektronische Signaturen können gemäß § 127 BGB für formfreie Vereinbarungen eingesetzt werden.

Anforderungen an qualifizierte elektronische Signaturen[Bearbeiten | Quelltext bearbeiten]

Nur Dokumente mit einer qualifizierten elektronischen Signatur gemäß § 2 Nr. 3 SigG können als elektronische Form eine per Gesetz geforderte Schriftform auf Papier ersetzen, vgl. § 126a BGB. In Übereinstimmung mit der europäischen Richtlinie ist eine qualifizierte elektronische Signatur eine fortgeschrittene elektronische Signatur, die auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikat beruht und mit einer sicheren Signaturerstellungseinheit (SSEE) erstellt wurde. Der Signaturschlüssel darf dabei ausschließlich in der SSEE gespeichert und angewendet werden, und die Übereinstimmung der SSEE mit den Vorgaben des Signaturgesetzes muss durch eine anerkannte Stelle geprüft und bestätigt werden. Dagegen ist auch für qualifizierte elektronische Signaturen eine Prüfung und Bestätigung der Signaturanwendungskomponente, welche Signatursoftware, Treiber und Chipkartenleser umfasst, nicht zwingend vorgeschrieben, jedoch ist mindestens eine Herstellererklärung nötig, in der der jeweilige Hersteller die Konformität der Komponente zum SigG und zur SigV gemäß § 17 SigG bestätigt. Eine solche Herstellererklärung wird später von der Bundesnetzagentur im Bundesanzeiger veröffentlicht[8], ist aber bereits mit der Einreichung bei der Bundesnetzagentur genügend.

Zusätzlich wird bei qualifizierten elektronischen Signaturen unterschieden, von welchem Anbieter die Zertifikate ausgestellt und die Signaturschlüssel erzeugt werden. Dabei wird zwischen nicht-akkreditierten Anbietern und Anbietern mit Akkreditierung durch die Bundesnetzagentur unterschieden. Laut Signaturgesetz muss jeder Anbieter von Zertifikaten für qualifizierte elektronische Signaturen bestimmte Anforderungen bezüglich des von ihm betriebenen Rechenzentrums erfüllen. Der Anbieter kann sich bescheinigen lassen, dass sein Rechenzentrum den höchsten Sicherheitsanforderungen genügt. Dem geht eine Prüfung durch eine anerkannte Bestätigungsstelle (das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder eine private Bestätigungsstelle) voraus. Stellt diese fest, dass die Sicherheitsanforderungen durch den Anbieter bzw. den Betreiber des Rechenzentrums (wird in diesem Rahmen auch als Trust Center bezeichnet) erfüllt sind, bescheinigt die Bundesnetzagentur dessen Sicherheit. Der Betreiber des Rechenzentrums darf sich nun als akkreditiert bezeichnen und erhält für seine Zertifizierungsdienste qualifizierte Zertifikate von der Zertifizierungsstelle der Bundesnetzagentur, die in Deutschland die Wurzelinstanz (Root CA) in der Public-Key-Infrastruktur (PKI) für qualifizierte Zertifikate darstellt.

Einsatz in der Praxis[Bearbeiten | Quelltext bearbeiten]

Das bürgerliche Gesetzbuch erlaubt den Ersatz der per Gesetz vorgeschriebenen – also nicht freiwilligen – Schriftform (max. 5 % aller unterzeichneten Vereinbarungen bzw. Erklärungen) durch die elektronische Form, soweit durch Gesetz nichts anderes bestimmt ist (§ 126 BGB). Die elektronische Form ist gewahrt, wenn dem elektronischen Dokument der Name des Unterzeichners/Signierenden hinzugefügt und mit einer qualifizierten elektronischen Signatur versehen wird (§ 126a BGB).

Für formfreie Vereinbarungen, die nicht per Gesetz der Schriftform benötigen, jedoch aus Beweisgründen freiwillig schriftlich verfasst und unterzeichnet bzw. signiert werden, können die Vertragspartner für elektronische Dokumente eine andere Signaturform vereinbaren, also entweder eine „einfache“ oder eine fortgeschrittene elektronische Signatur wählen (§ 127 BGB).

Die für qualifizierte elektronische Signaturen zugelassenen Kryptoalgorithmen werden von der Bundesnetzagentur genehmigt und veröffentlicht. Dort sind auch die für eine qualifizierte elektronische Signatur zugelassenen Produkte aufgelistet.

Zertifizierungsdienste sind genehmigungsfrei, aber anzeigepflichtig. Bei der Anzeige ist darzulegen, dass und wie die gesetzlichen Anforderungen (finanzielle Deckungsvorsorge, Zuverlässigkeit, Fachkunde) erfüllt sind.

Österreich[Bearbeiten | Quelltext bearbeiten]

Österreich war das erste Land, das die Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen umsetzte.

Die Grundlage für die Anerkennung elektronischer Signaturen im österreichischen Recht bildet das Signaturgesetz. Dieses unterschied bis 2008 zwischen der (einfachen) elektronischen Signatur und der sicheren elektronischen Signatur, welche im Wesentlichen der qualifizierten elektronischen Signatur in Deutschland entsprach. Zum 1. Januar 2008 trat eine Novelle des Signaturgesetzes in Kraft. Nunmehr existieren auch in Österreich neben der einfachen eine fortgeschrittene und eine qualifizierte elektronische Signatur. Die einfache elektronische Signatur ist in § 2 Nr. 1 ÖSiG definiert und unterscheidet sich nicht von der deutschen Regelung. Die fortgeschrittene elektronische Signatur findet sich in § 2 Nr. 3 ÖSiG und muss über die Anforderungen der einfachen elektronischen Signatur hinaus zusätzliche Voraussetzungen erfüllen. Sie muss ausschließlich dem Signator (Unterzeichner) zugeordnet werden können, die Identifikation des Signators ermöglichen, mit Mitteln erstellt werden, die unter der alleinigen Kontrolle des Signators stehen und mit den Daten, auf die sie sich bezieht, so verknüpft sein, dass jede nachträgliche Änderung der Daten festgestellt werden kann. Der neu hinzugefügte § 2 Nr. 3a ÖSiG nennt nun die qualifizierte elektronische Signatur und passt den zuvor verwendeten Begriff der sicheren elektronischen Signatur dem in der Signaturrichtlinie verwendeten Terminus technicus an.[9] Inhaltlich entspricht sie aber noch der sicheren Signatur.

Das Bundesgesetz über Regelungen zur Erleichterung des elektronischen Verkehrs mit öffentlichen Stellen (E-Government-Gesetz) ermöglicht die Nutzung einer Bürgerkarte mit sicherer elektronischer Signatur für die Teilnahme an elektronischen Verwaltungsverfahren. Als Übergangslösung konnte gemäß § 25 bis zum 31 Dezember 2007 alternativ eine Verwaltungssignatur verwendet werden, deren spezifische Anforderungen in der Verwaltungssignaturverordnung geregelt sind. Diese Übergangslösung wird nicht verlängert, so dass seit 1. Januar 2008 zwingend eine sichere bzw. qualifizierte elektronische Signatur im E-Government vorgeschrieben ist.

Die Bürgerkarte ist ein allgemeines technologisches System, im Speziellen die Freischaltung von SmartCards (wie die Sozialversicherungskarte e-Card oder Bankomatkarten) zur qualifizierten elektronischen Signierung. Diese Funktion nutzen per 2014 etwa 150.000 Österreicher. Mit der Variante der Handy-Signatur gibt es seit 2007 auch eine staatlich kontrollierte mobile Signatur (Mobile-ID). Sie wird 2014 schon von etwa 300.000 Bürgern verwendet. Bei der Handy-Signatur gibt es große Bedenken wegen der Sicherheit.[10]

Schweiz[Bearbeiten | Quelltext bearbeiten]

Die elektronische Signatur ist durch das Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur (ZertES) sowie durch die Verordnung über Zertifizierungsdienste im Bereich der elektronischen Signatur (VZertES) geregelt. Das Obligationenrecht (OR) sieht in Art. 14 Abs. 2 bis bzw. Art. 59a eine Gleichstellung von ZertES-konformer elektronischer Signatur und Handunterschrift im Bereich gesetzlicher Formvorschriften sowie eine Haftung des Inhabers des Signierschlüssels für den sorgfältigen Umgang mit dem Schlüssel vor. ZertES, VZertES und die entsprechende OR-Novelle sind am 1. Januar 2005 in Kraft getreten.

Ein wesentlicher Unterschied zur Regelung in der EU-Signaturrichtlinie liegt darin, dass für eine Rechtswirkung der erwähnten obligationenrechtlichen Normen jeweils die Anerkennung des jeweiligen Zertifizierungsdienstes durch eine Anerkennungsstelle vorausgesetzt wird. Diese Anerkennungsstelle ist durch die Schweizerische Akkreditierungsstelle akkreditiert. Es braucht also in der Schweiz die gesetzeskonforme elektronische Signatur eines anerkannten Zertifizierungsdienstes, während in der EU nur eine gesetzeskonforme Signatur vorausgesetzt wird und die Akkreditierung damit freiwillig bleibt. Die Anerkennung ist eine Bestätigung dafür, dass der Zertifizierungsdienst die Anforderungen des Gesetzes erfüllt.

Die Schweizerische Akkreditierungsstelle (SAS) publiziert eine Liste der anerkannten Zertifizierungsdienste. Derzeit sind Swisscom (Schweiz), QuoVadis Trustlink Schweiz, die SwissSign AG der Schweizerischen Post und das Bundesamt für Informatik und Telekommunikation (BIT) anerkannte Anbieter von Zertifizierungsdiensten (Stand: 2016)[11].

Technische Umsetzung[Bearbeiten | Quelltext bearbeiten]

Aufgrund der weiten und technologie-neutralen Definition lassen sich elektronische Signaturen durch völlig verschiedene technische Verfahren umsetzen. So stellt auch die Angabe des Absenders in einer E-Mail bereits eine elektronische Signatur dar. Auch ein über das Internet geschlossener Vertrag enthält eine elektronische Signatur, sofern geeignete Verfahren, etwa eine Passwortabfrage, den Vertragsabschluss durch eine bestimmte Person hinreichend belegen.

Fortgeschrittene oder gar qualifizierte elektronische Signaturen, die eine zuverlässige Identifizierung des Unterzeichners ermöglichen und eine nachträgliche Veränderung der Daten erkennen lassen müssen, können technisch mit digitalen Signaturen in Verbindung mit digitalen Zertifikaten von einer Public-Key-Infrastruktur (PKI) realisiert werden. Bei diesen Verfahren wird ein Schlüsselpaar verwendet. Ein Schlüssel wird für die Erzeugung der Signatur verwendet (Signaturschlüssel) und ein Schlüssel für die Prüfung (Signaturprüfschlüssel).[12] Bei qualifizierten Signaturen ist die Zuordnung der asymmetrischen Schlüsselpaare gemäß deutschem Signaturgesetz zwingend erforderlich.

Bei fortgeschrittenen Signaturen ist die Identifizierung des Unterzeichners nicht an ein Zertifikat gebunden. So können neben Zertifikaten auch andere Identifizierungsmerkmale, z. B. während des Signaturerstellungsprozesses erfasste eigenhändige Unterschriften, eingesetzt werden.

Einsatz in der Praxis[Bearbeiten | Quelltext bearbeiten]

Ablauf einer elektronischen Signierung mit einer digitalen Signatur:

  1. Der Absender/Unterzeichner (im Beispiel: Alice) wählt die zu signierende Nutzdatei aus.
  2. Die Signatur-Software des Absenders/Unterzeichners bildet über die Nutzdatei einen Hash-Wert (Prüfsumme).
  3. Die vom Absender/Unterzeichner genutzte Signaturerstellungseinheit bildet aus dem Hash-Wert mit Hilfe eines geheimen Signaturschlüssels die elektronische Signatur.
  4. Der Absender/Unterzeichner verschickt die Nutzdatei und die Signatur. Alternativen sind:
    • getrennte Dateien
    • Containerdatei, die Nutzdatei und Signatur enthält
    • Signatur in Nutzdatei enthalten, so z. B. bei PDF oder XML
  5. Der Empfänger (im Beispiel: Bob) erhält die Nutzdatei und die Signaturdatei
  6. Der Empfänger verifiziert mit einer Prüf-Software die Signatur mit Hilfe des (mit der Signatur meistens bereits mitgelieferten zum geheimen Signaturschlüssel korrespondierenden) öffentlichen Prüfschlüssels und der Nutzdatei. Viele Hersteller bieten hierfür kostenlose Prüf-Editionen ihrer Signatur-Software an, teils auch Online-Prüfung via Internet.
  7. Ist die Prüfung erfolgreich, dann wurde die Datei nicht verändert, die Integrität der Daten ist sichergestellt.
  8. Ist dem Absender/Unterzeichner mit einem Zertifikat der öffentliche Prüfschlüssel und damit indirekt auch dessen korrespondierender geheimer Schlüssel zugewiesen worden, kann der Absender/Unterzeichner anhand seines öffentlichen Schlüssels über ein im Internet verfügbares Zertifikatsverzeichnis identifiziert werden. In diesem Fall sollte auch die Gültigkeit des Zertifikates zum Zeitpunkt der Signaturerstellung geprüft werden.
  9. Ist von der Signatur-Software des Absenders/Unterzeichners während des Signierens eine über ein Unterschriftentablett erfasste eigenhändige Unterschrift dem Hash-Wert zugeordnet worden, kann die Unterschrift im Bedarfsfall zur Identifizierung des Absenders/Unterzeichners herangezogen werden.

Langfristige Sicherheit digitaler Signaturen[Bearbeiten | Quelltext bearbeiten]

Aufgrund neuer oder verbesserter Methoden der Kryptoanalyse und immer leistungsfähigerer Rechner nimmt die Effizienz von Angriffen auf digitale Signaturverfahren wie z. B. RSA im Laufe der Zeit zu. Daher ist die Sicherheit – und damit die Aussagekraft – einer digitalen Signatur zeitlich begrenzt.

Aus diesem Grund sind die heute ausgestellten Zertifikate in der Regel nicht länger als drei Jahre gültig, was bedeutet, dass der zugewiesene Signaturschlüssel nach Ablauf des Zertifikats nicht mehr benutzt werden darf (manche Signiersoftware verweigert das Setzen einer Signatur mit einem ungültigen Zertifikat). Das Alter elektronischer Daten ist jedoch praktisch nicht bestimmbar. Dokumente könnten folglich ohne weiteres um Jahre oder gar Jahrzehnte rückdatiert werden, ohne dass dies nachweisbar wäre. Eine Rückdatierung kann etwa durch Verstellen der Systemzeit des verwendeten Rechners erfolgen. Gelingt es einem Fälscher nach Jahren, den Signaturschlüssel aus dem öffentlichen Zertifikat zu berechnen, kann er damit ein rückdatiertes Dokument mit einer gefälschten qualifizierten elektronischen Signatur versehen.

In Deutschland müssen die Anbieter die Nachprüfbarkeit der Zertifikate für fünf Jahre – akkreditierte Anbieter für 30 Jahre – nach Ende des Gültigkeitszeitraums ermöglichen, indem sie ein öffentliches Zertifikatsverzeichnis bereitstellen (§ 4 SigV). Danach kann die Nachprüfung eines Zertifikats unmöglich werden.

Auch wenn ein Zertifikat bereits lange ungültig ist bzw. der damit verknüpfte Signaturschlüssel nicht mehr verwendet werden darf, sind Dokumente, die innerhalb des Gültigkeitszeitraums signiert wurden, nach wie vor rechtsgültig.

Die Problematik besteht in der Beweiseignung elektronischer Signaturen nach dem Ablauf des Zertifikats. In der Literatur wird die Meinung vertreten, dass der Anscheinsbeweis (eine Beweislastumkehr) für die Echtheit einer elektronischen Signatur mit Anbieterakkreditierung nicht die Tatsache betreffen kann, dass die Signatur vor dem Ablauf des Zertifikats erstellt wurde,[13] weil der Nachweis des Signierzeitpunktes für denjenigen, der sich auf die Signatur stützt, leicht möglich ist und daher keiner Beweiserleichterung bedarf. Mit dem Ablauf des Zertifikats muss daher derjenige, der sich auf eine Signatur stützt, voll beweisen, dass die Signatur vor diesem Zeitpunkt gesetzt wurde. Dies kann durch eine Nachsignierung oder durch einen Zeitstempel geschehen.[14]

Im Fall archivierter, signierter Dokumente kann eine Signierung des Archivs selbst oder von Teilen davon die darin enthaltenen Dokumente absichern.

Für den Fall elektronischer Rechnungen und anderer Unternehmensdokumente gilt gemäß den Grundsätzen ordnungsgemäßer Buchführung die Verpflichtung, Rechnungen für 10 Jahre revisionssicher zu archivieren. Wenn diese Bedingung durch ein entsprechendes elektronisches Archiv sichergestellt ist, ist eine erneute Signierung der einzelnen Dokumente nicht notwendig, da das revisionssichere Archiv die Unveränderbarkeit der im Archiv gehaltenen Dokumente garantiert.

Kritik[Bearbeiten | Quelltext bearbeiten]

Sicherheit[Bearbeiten | Quelltext bearbeiten]

Eine Fälschung der Signatur kann nur zuverlässig ausgeschlossen werden, wenn geeignete Software zur Erstellung und zur Prüfung der Signatur verwendet wird. Die Schwierigkeit dabei ist, dass kaum feststellbar ist, ob diese Voraussetzung tatsächlich erfüllt ist. Allein der Signatur kann nicht angesehen werden, ob sie tatsächlich mit sicheren technischen Komponenten erstellt wurde. Das deutsche Signaturgesetz definiert daher in § 17 auch noch Anforderungen an Produkte für qualifizierte elektronische Signaturen.

Generell ist zur Prüfung der Signatur eine Software erforderlich. Die Software auf einem PC kann praktisch immer auch so genannte Malware enthalten. Eine tatsächlich zuverlässige Prüfung, ob die Software tatsächlich den Spezifikationen entspricht und nicht manipuliert wurde, ist sehr aufwändig. Hier werden normalerweise Sicherheitsmechanismen des Betriebssystems und/oder Signaturen an der Software verwendet.

Probleme in der Praxis[Bearbeiten | Quelltext bearbeiten]

Häufig werden die Aspekte der Betrachtung der Sicherheit auf rein mathematisch-technische Aspekte reduziert. Fast alle Pilotprojekte zeigen, dass der Faktor Mensch zu gering gewichtet wird. Noch nicht wirklich absehbar scheint eine bezahlbare und pragmatische Handhabung von verlorenen Signaturkarten oder vergessenen Geheimzahlen. In der Testregion Flensburg wurde der 10.000er-Feldversuch mit der elektronischen Gesundheitskarte (eGK) im März 2008 gestoppt: „Von 25 Ärzten in 17 Praxen, die freiwillig die Testphase bestritten, sperrten 30 Prozent ihren Heilberufsausweis, weil sie sich partout nicht mehr an die 6-stellige Signatur-PIN erinnern konnten. 10 Prozent davon sperrten ihren neuen Arztausweis irreversibel.“

Die Hoffnung von Anbietern von Signaturkarten ruht bereits seit 2002 auf dem ELENA-Verfahren (früher JobCard). Es soll nach den Vorstellungen der Bundesregierung die Nutzung digitaler Signaturen fördern und käme dem Wunsch der Anbieter von Signaturkarten nach, der Staat möge endlich obligatorische Anwendungsfälle schaffen. In diesem Kontext beschäftigen sich die Medien wieder vermehrt mit der digitalen Signatur und den Herausforderungen bei einer Einführung. Mögliche Alternativen bei vergessenen Geheimzahlen oder verlorenen Signaturkarten zeigte eine Reportage des Deutschlandfunks am 28. Juni 2008 auf. Die derzeit beabsichtigte Vorgehensweise hätte entweder eine Aufweichung der Sicherheit und des Datenschutzes zur Folge oder würde ein hochkomplexes und kaum bezahlbares Verfahren erfordern. Erwogen werden entweder Generalschlüssel, mit dem Mitarbeiter der zentralen Speicherstelle auf alle Verdienstbescheinigungen zugreifen könnten, oder ein mehrstufiges Umschlüsselungsverfahren.

In den letzten Jahren bekommen die Signaturkarten und mit ihnen die digitalen Signaturen auf dem Feld elektronischer Signaturen Konkurrenz. Zunehmend häufiger und ausgefeilter werden die Angebote für eine vertrauenswürdige Digitalisierung der eigenhändigen Unterschrift. Das elektronische Unterschreiben am Computer ist nicht mehr allein mit Chipkarte und Geheimzahl zu realisieren. Es hat dort überall seine Einsatzfelder, wo heute die sogenannte „gewillkürte Schriftform“ verwendet wird. Darunter verstehen Juristen die gegenseitige Festlegung auf ein Papierdokument mit eigenhändiger Unterschrift als Beweismittel. Mittlerweile sind selbst Kreditinstitute dazu übergegangen, bei Prozessen wie der Kontoeröffnung während des Signaturprozesses eigenhändige Unterschriften über ein Unterschriftentablett digital zu erfassen und diese biometrischen Daten als Identifikationsmerkmale – und damit als Zertifikatsersatz – in die elektronischen Anträge (z. B. PDF-Formulare) mit der digitalen Signatur verknüpft einzubetten.[15] In Österreich haben Wirtschaftsunternehmen[16] die Möglichkeit, für sichere Online-Verfahren eine Reihe von Open-Source-Modulen der Plattform Digitales:Österreich[17] wie z. B. für den Einsatz der elektronischen Signatur bei vorsteuerabzugsfähigen E-Rechnungen zu nutzen. Weiters bietet das österreichische Bundeskanzleramt einen Prüfservice[18] zur Prüfung elektronisch signierter Dokumente. Bei der österreichischen Handy-Signatur wurden grundsätzlich erhebliche Zweifel an der Sicherheit laut.[19] Insbesondere soll diese anfällig für Phishing-Angriffe sein, weil für Login und Signatur die gleichen Mechanismen genutzt werden.[20]

Begrenzte europäische Harmonisierung[Bearbeiten | Quelltext bearbeiten]

Trotz der diesbezüglichen Vorgaben der Signaturrichtlinie hat eine elektronische Signatur nicht in allen Ländern die gleiche rechtliche Relevanz. Zwar ist eine qualifizierte Signatur in allen Ländern als rechtlich äquivalent zu einer handgeschriebenen Unterschrift definiert, doch variiert die rechtliche Relevanz einer handgeschriebenen Unterschrift unter den Staaten erheblich. Daher wird ein Benutzer die rechtliche Relevanz einer qualifizierten elektronischen Signatur aus einem anderen Mitgliedstaat nicht einschätzen können, solange er nicht die dortigen Regelungen zur handgeschriebenen Unterschrift kennt.

Ein extremes Beispiel ist Großbritannien, in dem eine handgeschriebene Unterschrift keinen über ein Indiz hinausgehenden Status besitzt; sie stellt lediglich ein Beweismittel dar, dessen Beweiswert von Fall zu Fall zu entscheiden ist. Aus diesem Grund sah die britische Regierung auch keine Notwendigkeit, die Regelung zur Gleichstellung qualifizierter elektronischer Signaturen zu handgeschriebenen Unterschriften in die nationalen Gesetze aufzunehmen. Nicht einmal die Konzepte der sicheren Signaturerstellungseinheit und der qualifizierten elektronischen Signatur wurden in die britische Gesetzgebung aufgenommen.

Unterschiede zeigen sich auch in der Frage, ob qualifizierte Zertifikate und fortgeschrittene elektronische Signaturen nur natürlichen Personen oder auch Organisationen zugeordnet sein können. Da die EG-Richtlinie in diesem Punkt nicht eindeutig ist, wird diese Frage in den einzelnen Mitgliedstaaten unterschiedlich geregelt.[21] Es stellt sich somit die Frage, inwieweit z. B. ein in Belgien für ein Unternehmen ausgestelltes qualifiziertes Zertifikat und die darauf basierenden Signaturen in Deutschland anerkannt werden.

Ein weiteres Problem ist, dass die einzelnen Länder in vielen Bereichen (in Deutschland z. B. in der Sozialgesetzgebung) nur qualifizierte Signaturen zulassen, deren Zertifikate von einem akkreditieren Zertifizierungsdiensteanbieter ausgestellt wurden. Da die Anforderungen und Verfahren für eine Akkreditierung auf nationaler Ebene sehr unterschiedlich geregelt sind, erschwert diese Anforderung nach einer Anbieter-Akkreditierung den Marktzugang für ausländische Zertifizierungsdiensteanbieter.

ePA - Deutscher Elektronischer Personalausweis ermöglicht qualifizierte elektronische Signatur[Bearbeiten | Quelltext bearbeiten]

Der neue deutsche Personalausweis wird seit dem 1. November 2010 im Scheckkartenformat mit Chipkarte ausgestellt und beinhaltet die gegen eine Gebühr aktivierbare Möglichkeit zur Nutzung als Signatur-Erstellungseinheit für qualifizierte elektronische Signaturen. Die Bundesregierung erhofft sich damit eine Verbreitung der elektronischen Signatur.

Beispiele für gesetzlich geforderte qualifizierte elektronische Signatur[Bearbeiten | Quelltext bearbeiten]

Elektronisches Abfallnachweisverfahren[Bearbeiten | Quelltext bearbeiten]

Im Rahmen der deutschen Nachweisverordnung ist seit dem 1. April 2010 zwingend, dass die Abfallentsorger jeden Transport gefährlicher Abfälle elektronisch qualifiziert signieren (Elektronisches Abfallnachweisverfahren, eANV). Spätestens ab dem 1. Februar 2011 trifft diese Regelung auch für Abfallerzeuger und Abfallbeförderer zu.

Literatur[Bearbeiten | Quelltext bearbeiten]

  • Grundlagen:
    • Johann Bizer: Funktion und Voraussetzungen digitaler Signaturen aus rechtlicher Sicht. In: BSI (Hrsg.): Kulturelle Beherrschbarkeit digitaler Signaturen. Ingelheim 1997, ISBN 3-922746-28-4, S. 111.
    • Frank Bitzer, Klaus M. Brisch: Digitale Signatur: Grundlagen, Funktion und Einsatz. Berlin 1999, ISBN 3-540-65563-8.
    • Detlef Hühnlein, Ulrike Korte: Grundlagen der elektronischen Signatur: Recht – Technik – Anwendung. (PDF; 5,1 MB). Ingelheim 2006, ISBN 3-922746-74-8.
    • Jörg-Matthias Lenz, Christiane Schmidt: Elektronische Signatur – eine Analogie zur eigenhändigen Unterschrift? Stuttgart 2004, ISBN 3-09-305705-1.
    • Simon Schlauri: Elektronische Signaturen. (PDF; 3,8 MB). Zürich 2002.
  • Einzelfragen:
    • Martin Eßer: Der strafrechtliche Schutz des qualifizierten elektronischen Signaturverfahrens. Baden-Baden 2006, ISBN 3-8329-1991-0.
    • Olga Grigorjew: Beweiseignung fortgeschrittener elektronischer Signaturen. Kassel 2015, ISBN 978-3-86219-960-0.
    • Susanne Hähnchen, Jan Hockenholz: Praxisprobleme der elektronischen Signatur. JurPC Web-Dok. 39/2008, Abs. 1–31.
    • Florian Kunstein: Die elektronische Signatur als Baustein der elektronischen Verwaltung – Analyse des rechtlichen Rahmens elektronischer Kommunikation unter besonderer Berücksichtigung der Kommunalverwaltung. (PDF; 2,7 MB). Berlin 2005, ISBN 3-86504-123-X.
    • Hanno Langweg: Malware Attacks on Electronic Signatures Revisited. In: Jana Dittmann (Hrsg.): Sicherheit 2006 – Haupttagung „Sicherheit – Schutz und Zuverlässigkeit“. Bonn 2006, ISBN 3-88579-171-4, S. 244.
    • Pauline Puppel: Überlegungen zur Archivierung elektronisch signierter Dokumente. Der elektronische Rechtsverkehr in der Fachgerichtsbarkeit von Rheinland-Pfalz. Beiheft zu Unsere Archive, Koblenz 2007, ISBN 978-3-931014-72-8.
    • Alexander Roßnagel, Paul Schmücker (Hrsg.): Beweiskräftige elektronische Archivierung – Bieten elektronische Signaturen Rechtssicherheit? (ArchiSig). Bonn 2006, ISBN 3-87081-427-6.
  • Leitfäden:
    • Judith Balfanz, Jan C. E. Wendenburg: Digitale Signaturen in der Praxis. Eschborn 2003, ISBN 3-931193-47-0.
    • Lukas Fässler, Oliver Sidler: Elektronische Signatur. Unterschreiben & Verschlüsseln. Praxisleitfaden für die Installation & Anwendung. Rheinfelden (Schweiz) 2008, ISBN 978-3-905413-03-8.

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. ↑J. Dumortier u. a.: The Legal and Market Aspects of Electronic Signatures. (Memento vom 25. Oktober 2012 im Internet Archive) (PDF) Study for the European Commission, 2003.
  2. ↑OJ, 2014, L257, S. 73 ff.
  3. ↑Richtlinie 99/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen, abgerufen am 3. März 2015
  4. ↑Fraunhofer FOKUS Kompetenzzentrum Öffentliche IT: Das ÖFIT-Trendsonar der IT-Sicherheit - Elektronische Signaturen und elektronische Siegel. April 2016, abgerufen am 26. Mai 2016. 
  5. ↑Hannes Federrath: Public Key Infrastructures. Drei Arten von Signaturen nach SigG. Oktober 2014, abgerufen am 11. November 2015 (PDF; 2,0 MB). 
  6. ↑Entwurf eines Ersten Gesetzes zur Änderung des Signaturgesetzes (1. SigÄndG) (PDF; 330 kB)
  7. ↑Begründung zum Entwurf eines Gesetzes über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften (PDF; 142 kB)
  8. Veröffentlichte Herstellererklärungen. Bundesnetzagentur, abgerufen am 3. März 2015. 
  9. ↑Alexander Rinke, Robert Tubis: Die Rechtsverbindlichkeit elektronischer Unterschriften im europäischen Raum - mit Beispielen aus dem Life-Science-Bereich. (PDF; 275 kB). In: Pharm.Ind. 71, Nr. 6, 2009, S. 963.
  10. ↑vgl. Beitrag in ZiB 2 vom 30. Mai 2016 bzw. Aufregung um die Handy-Signatur. In: Trend. 22, 2016, S. 62.
  11. ↑Liste der gemäss Bundesgesetz über die elektronische Signatur (ZertES) anerkannten Anbieterinnen von Zertifizierungsdiensten
  12. ↑Beispiel für den Signaturblock einer Digitalen Signatur - Anwendung bei der pressetext Nachrichtenagentur
  13. ↑Simon Schlauri: Elektronische Signaturen. (PDF; 3,8 MB). Zürich 2002, N. 748
  14. ↑Simon Schlauri: Elektronische Signaturen. (PDF; 3,8 MB). Zürich 2002, N. 172 ff.
  15. Berliner Sparkasse führt digitale Unterschrift ein. Pressemitteilung der Berliner Sparkasse, 20. Juni 2008.
  16. ↑pressetext als Referenzbeispiel für digitale Signatur vom 14. Mai 2008
  17. ↑Plattform Digitales:Österreich
  18. ↑Signatur-Prüfservice des Bundeskanzleramtes
  19. ↑vgl. Beitrag in ZiB 2 vom 30. Mai 2016 bzw. Aufregung um die Handy-Signatur. In: Trend. 22, 2016, S. 62.
  20. ↑heise online: Österreichische Handy-Signatur anfällig für Phishing
  21. ↑J. Dumortier u. a.: The Legal and Market Aspects of Electronic Signatures. (PDF) Study for the European Commission.

Normdaten (Sachbegriff): GND: 4269037-7(AKS)

Prüfsiegel der Bundesnetzagentur für akkreditierte Anbieter von qualifizierten elektronischen Zertifikaten
Schemaskizze Elektronische Signatur

Wikipedia:WikiProjekt Ereignisse/Vergangenheit/fehlend

Eine qualifizierte elektronische Signatur (QES) ist nach dem deutschen Signaturgesetz eine fortgeschrittene elektronische Signatur, die auf einem (zum Zeitpunkt ihrer Erzeugung gültigen) qualifizierten Zertifikat beruht und mit einer sicheren Signaturerstellungseinheit (SSEE) erstellt wurde. Die Entsprechungen in Österreich und in Liechtenstein werden als sichere elektronische Signatur bezeichnet; mit der Novellierung des österreichischen Signaturgesetzes zum 1. Januar 2008 wurde der Begriff jedoch auch auf qualifizierte elektronische Signatur geändert. Dabei handelt es sich auch um eine Bestätigung, dass kein Fehler vorliegt.

Zertifikat[Bearbeiten | Quelltext bearbeiten]

Hauptartikel: Digitales Zertifikat

Jeder geheime, auf asymmetrischen Verschlüsselungsverfahren basierende Signaturschlüssel hat immer einen einzigen korrespondierenden öffentlichen Signaturprüfschlüssel. Ein Zertifikat des Zertifizierungsdiensteanbieters (ZDA) ist die elektronische Bescheinigung, dass der Signaturprüfschlüssel und damit auch der korrespondierende Signaturschlüssel einer Person zugeordnet wurde und die Identität dieser Person bestätigt werden kann (vgl. § 2 Nr. 6 Signaturgesetz (SigG)). Bei der elektronischen Signatur enthält das Zertifikat den öffentlichen Schlüssel, mit dem der während der Signaturerstellung verschlüsselte Hashwert (Prüfsumme) des elektronischen Dokuments entschlüsselt und gegen einen neu erstellten Hashwert verglichen und damit die Authentizität des elektronischen Dokuments überprüft werden kann. Zu den Details siehe elektronische Signatur.

Für die qualifizierte elektronische Signatur muss der Zertifizierungsdiensteanbieter die Paragrafen 4 bis 14 Signaturgesetz einhalten und die Aufnahme der Tätigkeit bei der zuständigen Behörde (Bundesnetzagentur) anzeigen (§ 4 Abs. 3 SigG). Ab der Anzeige des Betriebs können Zertifikate für qualifizierte elektronische Signaturen ausgestellt werden. Vor der Anzeige des Betriebes ausgestellte Zertifikate ermöglichen bestenfalls das Erstellen von fortgeschrittenen elektronischen Signaturen.

Sinn dieser Regelungen ist insbesondere, die Identität des Zertifikatinhabers sicherzustellen und die sichere Aufbewahrung und Zurverfügungstellung des Zertifikats zu gewährleisten. Das Zertifikat dient der Identifikation einer Person und muss daher sicher aufbewahrt werden, damit es nicht unzulässig verändert werden kann. Die Feststellung, wer ein Zertifikat beantragt, muss über ein sicheres Verfahren getroffen werden. Ein solches Verfahren ist zum Beispiel Postident, bei dem man seinen Personalausweis oder Reisepass in einer Filiale der Deutschen Post AG vorlegen muss, wenn man den Antrag auf ein Zertifikat stellt. So kann man sicher sein, wem ein Zertifikat gehört. Ein anderes denkbares (aber nicht sehr praktikables) Verfahren könnte sein, dass ein Antragsteller persönlich beim ZDA erscheint und sich ausweist. Was im Einzelfall für den Registrierungsprozess ausreichend ist, beschreibt der ZDA in seinem einsehbaren Sicherheitskonzept.

Bei einer zuverlässigen Zertifizierungsstelle ist somit nachvollziehbar, zu welcher Person ein Zertifikat gehört. Mit Hilfe des Zertifikats kann festgestellt werden, ob eine elektronische Signatur wirklich von einer bestimmten Person stammt.

Attribut[Bearbeiten | Quelltext bearbeiten]

Hauptartikel: Attributzertifikat

Mit dem qualifizierten (Personen-)Zertifikat, das für eine qualifizierte elektronische Signatur erforderlich ist, können zusätzliche Attributszertifikate im Sinne von § 5 Abs. 2 SigG verbunden werden. Zu diesen Attributen gehören insbesondere Angaben zu Vertretungsverhältnissen, etwa für einen Geschäftsführer einer GmbH, oder berufsbezogene Angaben wie „Notar“, „Rechtsanwalt“, „Steuerberater“, „Wirtschaftsprüfer“, „Urkundenübersetzer“ oder weitere Berufsbezeichnungen, deren Benutzung reguliert ist. Um ein solches Attribut dem qualifizierten Zertifikat beizufügen, bedarf es der Zustimmung der zuständigen Stelle. Bei einem Notar muss die zuständige Notarkammer zustimmen, bei einem Rechtsanwalt die zuständige Rechtsanwaltskammer etc. In ähnlicher Weise muss bei Vertretungsverhältnissen beispielsweise eine GmbH die Eigenschaft eines Antragstellers als Geschäftsführer des Unternehmens bestätigen. Zugleich erhält der Zustimmende gemäß § 8 Abs. 2 SigG das Recht, das Zertifikat sperren zu lassen, wenn das Vertretungsverhältnis nicht mehr besteht oder die Berufsbezeichnung nicht mehr geführt werden darf oder ihre Führung von einer anderen Stelle reguliert wird.

Nicht zu den berufsbezogenen Angaben gehören hingegen mit einem Beruf gelegentlich einhergehende akademische Grade oder Amtsbezeichnungen (z. B. Prof., Dr., Dipl.-Ing. etc.) oder Adelstitel (Freiherr, Graf, Herzog etc.). Doktorgrad und Adelstitel sind ggf. in den Ausweisdokumenten einer Person enthalten und können insofern gleichwohl als Namensbestandteil in das qualifizierte Zertifikat einer Person aufgenommen werden.

Abgrenzung zu anderen Signaturarten[Bearbeiten | Quelltext bearbeiten]

Hauptartikel: „Formen der elektronischen Signatur“ im Artikel Elektronische Signatur

Der Teilbegriff „qualifiziert“ leitet sich aus dem Signaturgesetz ab, das mehrere Stufen von Signaturen festlegt. Es gibt einige Anforderungen an die Infrastruktur und Abläufe besonders beim ZDA, damit eine Signatur als qualifiziert gelten kann, etwa im Hinblick auf die Identifizierung des Inhabers.

Ein mit einer qualifizierten Signatur signiertes elektronisches Dokument kann nach § 126a BGB in Deutschland die per Gesetz oder Verordnung notwendige Schriftform ersetzen, sofern nicht spezialgesetzlich anders geregelt (zu letzterem: Die Schriftform ist beispielsweise bei der Kündigung eines Arbeitsverhältnisses notwendig, dort aber gerade ausdrücklich nicht durch eine elektronische Form ersetzbar (§ 623 2. Halbsatz BGB)).

Aufgrund der Formfreiheit für Rechtsgeschäfte, z. B. Kaufverträge, bedarf es grundsätzlich keiner Signatur; deswegen reicht in den meisten Fällen – soweit nicht per Gesetz die Schriftform oder eine qualifizierte elektronische Signatur explizit gefordert ist – eine einfache oder fortgeschrittene elektronische Signatur aus.

Nach § 17 SigG sind Produkte für qualifizierte Signaturen mit einer Herstellererklärung zu versehen oder von akkreditierten Stellen (BSI, TÜViT, GEI) auf ihre Konformität zum SigG zu bestätigen. Herstellererklärungen sind an die Bundesnetzagentur zu senden und werden, wenn sie dem SigG entsprechen, veröffentlicht. Gültigkeit im Sinne des SigG erhält die Herstellererklärung bereits zum Zeitpunkt des Empfangs bei der Bundesnetzagentur. Damit die Sicherheitsanforderungen während der Signaturerstellung erfüllt sind, ist somit in der Regel auch die Anschaffung eines bestimmten Kartenlesegeräts sowie kommerzieller Software notwendig.

In Deutschland verlangte § 14UStG eine qualifizierte elektronische Signatur auf elektronisch übermittelten Rechnungen. Andernfalls war das rechnungserhaltende Unternehmen nicht zum Abzug der Vorsteuer berechtigt. Diese Verpflichtung wurde durch das Steuervereinfachungsgesetz 2011 aufgehoben. Eine Archivierung der elektronisch übermittelten Rechnung in elektronischer Form ist Pflicht, d.h. ein ausschließliches Archivieren des Ausdrucks ist damit nicht erlaubt und berechtigt nicht zum Vorsteuerabzug. In Papierform erhaltene und erst dann gescannte Rechnungen sind jedoch ohne qualifizierte elektronische Signatur archivierbar. Der Scanvorgang muss jedoch protokolliert werden.

Anbieter in Deutschland[Bearbeiten | Quelltext bearbeiten]

Wer ein Dokument mit Hilfe einer qualifizierten Signatur elektronisch unterzeichnen möchte, muss sich bei einem Zertifizierungsdienst anmelden, der seine Tätigkeit bei der Bundesnetzagentur angezeigt hat oder freiwillig akkreditiert ist. Dieser Zertifizierungsdiensteanbieter lässt sich seine Dienstleistung in der Regel direkt oder indirekt vom Nutzer bezahlen. Eine Liste der aktuell tätigen Zertifizierungsdiensteanbieter lässt sich bei der Bundesnetzagentur einsehen.[1]

Einzelne Anbieter der qualifizierten elektronischen Signatur verkaufen ihre Software oder ihren Dienst an Banken, Kreditanbieter, Versicherungen etc., die wiederum ihren Kunden diesen Service zur Verfügung stellen. Damit können Endkunden sich online identifizieren lassen und ebenso online ihren Vertrag gem. dem Signaturgesetz unterzeichnen. Diese Lösung muss von einer akkreditierten Stelle (ZDA) zertifiziert werden.

Praktische Anwendungen[Bearbeiten | Quelltext bearbeiten]

Sinn und Zweck der Signatur[Bearbeiten | Quelltext bearbeiten]

Die qualifizierte elektronische Signatur erfüllt im Wesentlichen drei Dinge:

  1. Zum einen wird durch sie die Unterschrift des Signierenden ersetzt. Damit ist die qualifizierte elektronische Signatur so gut wie die originale Unterschrift auf einem Dokument, weshalb diese gemäß § 126a BGB die Schriftform auch ersetzen kann. Zahlreiche Rechtsgeschäfte bedürfen in Deutschland zu ihrer Wirksamkeit der Schriftform. Nicht immer kann aber die qualifizierte elektronische Signatur die Schriftform ersetzen. So bedarf z. Bsp die Kündigung (sog. einseitiges Rechtsgeschäft im Gegensatz zu einem Vertrag, der ein zwei- oder mehrseitiges Rechtsgeschäft ist) eines Arbeitsverhältnisses gemäß § 623 BGB der Schriftform, jedoch ist hier gerade die elektronische Form als Ersatz ausgeschlossen (§ 623 2. Halbsatz BGB). Bei der Kündigung eines Wohnraummietverhältnisses ist ebenfalls die Schriftform vorgeschrieben (§ 568 Absatz 1 BGB), die hier aber durch die qualifizierte elektronische Signatur ersetzt werden kann. (Anmerkung: Es können aber hierbei dann andere Probleme auftreten, z. Bsp. dass Eheleute Mietvertragspartei sind, aber nur einer von ihnen über eine qualifizierte elektronische Signatur verfügt, oder dass der Vermieter nicht über ein E-Mailkonto verfügt, so dass man ihm auf elektronischen Wege (E-Mail) sowieso nichts zustellen kann etc. pp.) Bei den meisten Rechtsgeschäften (z. B. Kaufverträge über bewegliche Sachen), bedarf es grundsätzlich keiner Schriftform und somit auch keiner qualifizierten Signatur. Zu Beweiszwecken mag es aber opportun sein, gleichwohl die Schriftform oder an deren Stelle die qualifizierte elektronische Signatur zu wählen, um den Vertragsschluss und die Vertragsinhalte im Streitfalle eindeutig beweisen zu können.
  2. Zum zweiten kann durch die elektronische Signatur die Identität des Signierenden festgestellt werden. Eine qualifiziert signierte E-Mail kann daher eindeutig einem Absender zugeordnet werden. Der Empfänger weiß also sicher, wer ihm da geschrieben hat bzw. wer der Aussteller des signierten Dokuments ist.
  3. Zum Dritten ist es möglich, über das in einer elektronischen Signatur enthaltene Zertifikat, elektronische Dokumente (E-Mails, deren Anlagen, und andere Datenübertragungen etc.) für einen Empfänger stark zu verschlüsseln. Dazu wird der öffentliche Schlüssel aus dem Zertifikat des Empfängers benutzt. Zum Entschlüsseln ist der private Schlüssel erforderlich, den nur der berechtigte Empfänger (als Inhaber des Zertifikats) kennt. Damit kann nur der Inhaber des Zertifikats die empfangenen Daten lesen, nicht aber Dritte, die irgendwie eine Datenübertragung widerrechtlich oder auch rechtmäßig (z. Bsp. richterlich angeordnete Telekommunikationsüberwachung gemäß § 100a ff StPO in bestimmten strafrechtlichen Ermittlungsverfahren) bei der elektronischen Übermittlung der Daten abgefangen haben (könnten). Die Ermittlungsbehörden, die sich natürlich nicht nur für versandte Dokumente/Daten interessieren, sondern gerade für die offline auf dem Computer gespeicherten Daten und Dateien des Verdächtigen, versuchen daher verständlicherweise die Dokumente/Dateien bereits direkt auf dem Computer und damit unverschlüsselt zu erhaschen (Stichwort: Bundestrojaner, siehe hierzu auch Online-Durchsuchung (Deutschland)).

Anwendungsgebiete der qualifizierten elektronischen Signatur[Bearbeiten | Quelltext bearbeiten]

In der Praxis gibt es bereits Einsatzgebiete, die dem breiten Publikum nicht sehr bekannt sind. Beispielsweise können Notare Anmeldungen zum Handelsregister ausschließlich auf elektronischem Wege vornehmen. Anmeldungen in Papierform nehmen die Handelsregister der jeweiligen Amtsgerichte nicht mehr an, vgl. § 8 HGB. Der Notar scannt daher die von ihm beurkundeten und/oder beglaubigten Dokumente ein (PDF) und übersendet diese über das elektronische Gerichts- und Verwaltungspostfach (kurz: EGVP) also per „spezieller“ E-Mail an das Handelsregister, versehen mit seiner qualifizierten elektronischen Signatur, die auch die berufsbezogene Angabe „Notar“ beinhaltet. So weiß das Handelsregister, dass die Urkunden tatsächlich von diesem Notar stammen und von ihm beurkundet oder beglaubigt wurden und wird die angemeldeten Eintragungen im Handelsregister vornehmen. Auch das Steuerportal „Elster“ bedient sich der Signaturen. Ab dem 1. Januar 2013 können beispielsweise Umsatzsteuervoranmeldungen ausschließlich mit einer qualifizierten Signatur an das zuständige Finanzamt übermittelt werden, über die die beauftragten Steuerberater aber nahezu ausnahmslos bereits verfügen, jedoch wohl noch nicht die meisten kleineren Unternehmer, die ihre Voranmeldungen selber erstellen und abgeben.

Weitere Einsatzgebiete sind vor allem öffentliche Vergabeverfahren (sog. „eVergabe“), die Abrechnungen der gegenüber gesetzlich Krankenversicherten erbrachten ärztlichen Leistungen der Vertragsärzte („Kassenärzte“) gegenüber der Abrechnungstelle der Kassenärztlichen Vereinigung(en)(sog. „Onlineabrechnung“). Auch die Personenstandsregister der Standesämter werden mehr und mehr auf elektronische Register umgestellt. Die Beurkundungen von Geburt, Eheschließung, Sterbefälle etc. werden dann vom Standesbeamten elektronisch erstellt und signiert und können einfach und papierlos digital archiviert und ggf. portofrei elektronisch und wiederum signiert übermittelt werden. Auch Rechtsanwälte bedienen sich zunehmend einer qualifizierten Signatur. Wenn das Personenzertifikat zusätzlich die berufsbezogene Angabe „Rechtsanwalt“ beinhaltet, dann können diese ihre Schriftsätze an ein Gericht (ebenfalls über das EGVP) wirksam elektronisch übermitteln statt per Post. Bedeutung hat dies insbesondere bei fristgebundenen Schriftsätzen, die bis 24:00 Uhr am Tage des Fristablaufs eingehen müssen, und insbesondere dann, wenn der Rechtsanwalt nicht am selben Ort sitzt wie das Gericht. Da das EGVP sofort nach Eingang automatisch eine (wiederum qualifiziert signierte) Empfangsbestätigung zurücksendet, kann der rechtzeitige Zugang des Schriftsatzes nicht nur festgestellt, sondern auch zweifelsfrei bewiesen werden. Binnen Sekunden kann so bspw. ein Rechtsanwalt in Hamburg einem Gericht in München einen Schriftsatz elektronisch zustellen. Wichtiger für Anwälte ist der Einsatz der Signatur bei der Übermittlung von Dokumenten (z. B. Vertragsentwürfen) an Mandanten oder den Verhandlungspartner bzw. dessen Anwalt. Ebenso können Verträge so von Anwälten – jeweils für die Vertragspartei, die sie vertreten – nachweisbar elektronisch geschlossen werden. Die anwaltliche Verpflichtung zur Verschwiegenheit und der Mandantenwunsch zur Geheimhaltung gegenüber Dritten kann bei Versendung per E-Mail darüber hinaus nur mit Hilfe der qualifizierten Signatur sicher erfüllt werden.

Die Einsatzgebiete für qualifizierte Signaturen könnten sich zukünftig noch erweitern, wenngleich diese mehr im geschäftlichen und im dienstlichen/behördlichen Bereich bleiben werden. Das Erfordernis einer qualifizierten Signatur für Verbraucher ist derzeit nur in Einzelfällen gegeben. Die Zukunft wird zeigen, ob sich das Einsatzgebiet vergrößern wird. Vorstellbar ist z. B., dass zukünftig Onlineshops zunächst die Möglichkeit der qualifizierten Signatur einer im Internet getätigten Bestellung und/oder eines Kundenkontos anbieten. So ist in jedem Falle gewährleistet, dass der Kunde eine existente Person ist, wenngleich natürlich das Personenzertifikat noch nicht die Wohnanschrift bestätigt.

Daher ist die qualifizierte Signatur bei Privatleuten (Verbrauchern) derzeit nicht verbreitet. Die einmaligen Kosten für die Anschaffung der erforderlichen Hard- und Software (Kartenleser und Signatursoftware) liegen bei unter 40 € und die laufenden Kosten starten bei gängigen Anbietern bei umgerechnet weniger als 5 € pro Monat.[2][3][4][5][6] Aber für Unternehmer und Behörden steigt die Bedeutung der qualifizierten Signatur. Erklärungsbedürftigkeit und Komplexität erschweren jedoch die Akzeptanz bei Nutzern. Die zertifizierten Unternehmen, die Signaturkarten nebst Zertifikaten, Signatursoftware und Kartenleser und anderes Zubehör vertreiben, halten in der Regel Schritt-für-Schritt-Anleitungen bereit.

Elektronische Signatur im elektronischen Abfallnachweisverfahren[Bearbeiten | Quelltext bearbeiten]

Eine ebenfalls große Bedeutung und Verbreitung dürfte die elektronische Signatur derzeit im Rahmen des Elektronischen Abfallnachweisverfahrens (eANV) haben. Entsprechend der deutschen Nachweisverordnung wird seit 1. April 2010 gefordert, dass die Abfallentsorger bei jedem Transport gefährlicher Abfälle elektronisch qualifiziert signieren. Spätestens ab dem 1. Februar 2011 trifft diese Regelung auch für Abfallerzeuger und Abfallbeförderer zu. Bei dieser Anwendung auf tagtäglich ablaufende Vorgänge wird die qualifizierte elektronische Signatur erstmals breit im Rahmen von eGovernment genutzt.[7]

Literatur[Bearbeiten | Quelltext bearbeiten]

  • Clanget, Oliver: „Papierlos beglaubigen (3). Die qualifizierte elektronische Signatur.“ (PDF; 1,7 MB) in MDÜ. Fachzeitschrift für Dolmetscher und Übersetzer, 06/2011; Abruf am 29. Oktober 2012.
  • Hähnchen, Susanne: Elektronischer Rechtsverkehr – Ein praktischer Leitfaden. Für Rechtsanwälte, Notare, Studierende und andere Interessierte. Books on Demand GmbH, Neuaufl. (Februar 2007), ISBN 3-8334-9267-8
  • Hähnchen, Susanne; Hockenholz, Jan: Praxisprobleme der elektronischen Signatur, JurPC Web-Dok. 39/2008, Abs. 1–31, Aufsatz bei JurPC
  • Spindler; Schuster: Recht der elektronischen Medien, 2. Auflage 2011, Verlag C.H. Beck München

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Bundesnetzagentur – Aufsicht und Akkreditierung von Anbietern. Bundesnetzagentur. Abgerufen am 6. Februar 2015.
  2. ↑TeleSec
  3. ↑S-TRUST
  4. ↑D-TRUST
  5. ↑DGN Deutsches Gesundheitsnetz
  6. ↑medisign
  7. ↑eGovernment für den Wertstoffkreislauf

Normdaten (Sachbegriff): GND: 4797842-9(AKS)

One thought on “Elektronische Signature Rechnungen Beispiel Essay

Leave a Reply

Your email address will not be published. Required fields are marked *