20040512 \  Artikel \  Wann kommt die elektronische Signatur ins Laufen?
Wann kommt die elektronische Signatur ins Laufen?
Artikel
Von Dr. Ulrich Kampffmeyer, Geschäftsführer und Chef-Berater der PROJECT CONSULT Unternehmensberatung GmbH.
Abstract
Zur Bedeutung der elektronischen Signatur wurde schon viel geschrieben. Eine durchgängige Nutzung in Deutschland ist jedoch noch nicht zu beobachten. Die Stellungnahme des TeleTrusT auf eine Umfrage der Europäischen Kommission zeigt deutlich, dass Deutschland bei der Umsetzung ins Hintertreffen geraten ist. Dabei war Deutschland eines der ersten Länder Europas, das ein eigenes Signaturgesetz verabschiedet hatte. Vielleicht liegt es aber gerade hieran oder an der deutschen Gründlichkeit, dass die elektronische Signatur immer noch ein Schattendasein fristet.
Einleitung
Die elektronische Signatur stellt eine der wichtigsten IT-Entwicklungen der letzten Jahre dar. Eine elektronische Signatur sind im Prinzip Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen. Sie erlaubt es, den Absender, die Authentizität und die Unverändertheit einer elektronischen Nachricht oder eines digitalen Dokumentes sicher nachzuweisen. Sie ist die entscheidende Voraussetzung für die Abwicklung von Geschäften zwischen unbekannten Dritten über elektronische Kommunikationsmedien. Die elektronische Signatur verschafft Sicherheit. Ohne elektronische Signatur bleiben viele der Visionen des E-Commerce und des E-Business unerreichbar. Durch die notwendige Anpassung der Gesetzgebung ermöglicht die elektronische Signatur in zahlreichen Anwendungsgebieten die rechtliche Gleichstellung von digitalen Dokumenten mit herkömmlichen, manuell unterzeichneten Dokumenten. Dies ist ein entscheidender Durchbruch. Neben dem ursächlich beabsichtigten Anwendungsfeldern für die elektronische Signatur haben sich inzwischen zahlreiche weitere Einsatzgebiete herauskristallisiert. Überall wo es um den Nachweis von Authentizität und Verfälschungssicherheit von Informationen geht, findet die elektronische Signatur sinnvolle Einsatzmöglichkeiten. Sie ist wesentlicher Bestandteil der meisten E-Government-Verfahren. Die elektronische Signatur überwindet Grenzen. Sie ist Bestandteil einer europäischen Initiative zur Ermöglichung und Erleichterung des elektronischen Geschäftsverkehrs. Bleibt die Frage, warum gibt es denn nur ca. 30.000, 40.000 Signaturkarten in privater Hand?
Die europäische Signaturrichtlinie
Vor vier Jahren hat die Europäische Kommission eine Richtlinie erlassen, die in allen Staaten Europas in nationales Recht umzusetzen ist. Was auf europäischer Ebene Richtlinie genannt wird, ist im Prinzip eine Gesetzesvorlage. Die Signaturrichtlinie stellt dabei eine Mindestanforderung dar, was national in eigene Gesetze zu gießen ist. Deutschland war auf diese Richtlinie gut vorbereitet. Bereits zwei Jahre zuvor war die erste Version des deutschen Signaturgesetzes erschienen. Auf Basis des Signaturgesetzes waren bereits erhebliche Investitionen in sichere Trustcenter getätigt, die die elektronischen Signaturen herausgeben und verwalten. In Deutschland hatte man sich sehr früh für die höchste erreichbare Sicherheitsstufe elektronischer Signaturen entschieden: qualifizierte Signaturen mit Anbieterakkreditierung, die auf Chipkarten basierend personengebundene Signaturen ermöglichen. Die europäische Signaturrichtlinie RLES 1999/93/EG sieht dagegen drei verschiedene Qualitäten der elektronischen Signatur vor:
   
 ·
Einfache elektronische Signaturen (EES)
 ·
Fortgeschrittene elektronische Signaturen (FES)
   
 ·
Qualifizierte elektronische Signaturen (QES)
Die in Deutschland verbreitete qualifizierte Signatur mit Anbieterakkreditierung geht noch über die QES nach der europäischen Richtlinie hinaus. Die Anbieter müssen sich einem Überprüfungsverfahren zur Erlangung der Akkreditierung durch die Regulierungsbehörde RegTP unterziehen. Dafür ist dann aber auch von amtswegen sichergestellt, dass Verfahren und Qualität der Signatur höchsten Maßstäben entsprechen. Auch das neue deutsche Signaturgesetz orientierte sich bei der Begrifflichkeit und Umsetzung der europäischen Richtlinie an der ersten Version des Signaturgesetzes. Einige Feinheiten der europäischen Richtlinie wurden dabei anders interpretiert. Während in Deutschland nur die personengebundene qualifizierte elektronische Signatur die höchste Rechtssicherheit bietet, sieht die europäische Richtlinie auch andere Signaturqualitäten für den formfreien Abschluss von Geschäften, Verträgen und anderen Dokumenten vor. In ähnlicher Form wird dies auch im Bürgerlichen Gesetzbuch, §§ 126,127 BGB, unterschieden. Neben der persönlichen Willenserklärung sind in der RLES auch Signaturen für Personen vorgesehen, die im Namen der von ihr vertretenen Stelle oder juristischen oder natürlichen Person handeln.
Aktuelle Themen der Umsetzung
Abgesehen von der geringen Marktdurchdringung der elektronischen Signatur, die auf zu wenige sinnvolle Anwendungen, bei der man die elektronische Signatur einsetzen kann, zurückzuführen ist, gibt es zahlreiche Ansatzpunkte und auch divergent diskutierte Themen zur elektronischen Signatur in Deutschland.
   
 ·
Wird die Anbieterakkreditierung aufgehoben?
Die Deutschland werden praktisch qualifizierte elektronische Signaturen nur von Anbietern mit Akkreditierung angeboten. Dies ist durch die oben beschriebene „historische“ Entwicklung bedingt. Die Akkreditierung bringt eine hohe Sicherheit mit sich. Das Verfahren, eine Chipkarte zu erlangen, ist sehr aufwendig, hat jedoch den Vorteil, der Inhaber der Signatur im Vorwege bekannt und seine Identität überprüft ist. Besonders ausländische Anbieter von qualifizierten Signaturen sehen sich durch die Marktsituation und die Verankerung der qualifizierten Signatur mit Anbieterakkreditierung in zahlreichen Gesetzen und Verordnungen diskriminiert und behindert. Sie wollen die zusätzliche Hürde der Akkreditierung in Deutschland gern beseitigt sehen und berufen sich auf die Europäische Richtlinie.
 ·
Qualifizierte versus fortgeschrittene Signaturen
Eine ähnliche Diskussion spielt sich derzeit zwischen den Anbietern fortgeschrittener Signaturen mit biometrischen Verfahren und den Anbietern qualifizierter, Chipkarten-basierter Verfahren ab. Die Argumentation der Anbieter fortgeschrittener Signaturen beruft sich nicht nur auf die Europäische Richtlinie sondern auch auf die §§126,127 BGB. Für zahlreiche Anwendungsfelder des Geschäftsverkehrs wird keine qualifizierte elektronische Signatur verlangt. Es gibt Anwendungen, bei denen biometrische Signaturen sogar Vorteile gegenüber der qualifizierten besitzen. Ein Beispiel sind Verträge im Finanzdienstleistungsbereich. Mit Verfahren, die auf einem Unterschriftenpad mit biometrischer Erfassung des Schriftzuges des Zeichnenden basieren, erhält der Kunde ein Papierdokument mit seiner Unterschrift während der Finanzdienstleister ein elektronisches Original erhält, dass ohne Medienbruch sofort elektronisch weiterbearbeitet werden kann. Der Kunde muss nicht im Vorwege mit viel Aufwand und hohen Kosten eine Chipkarte beschafft haben. Die Differenzierung der Einsatzgebiete lässt im Prinzip ausreichend Platz für beide Verfahren, qualifizierte und fortgeschrittene Signaturen.
 ·
Elektronisch signieren beim Scannen 
Versicherungen, Kassen und Rententräger, die der Sozialgesetzgebung in Deutschland unterliegen, haben in großem Stil begonnen, die elektronische Signatur beim Scannen zu verwenden. Hintergrund ist, dass durch das Sozialgesetzbuch und besonders die Verordnung §36 SRVwV gefordert wird, dass nach dem Scannen das erfasste Schriftgut nur vernichtet werden kann, wenn die gescannten Dokumente geprüft und elektronisch signiert wurden. Aus wirtschaftlichen Gründen macht die Überführung von Dokumenten in elektronische Bearbeitungsprozesse nur Sinn, wenn man sich anschließend die aufwendige und teuere Aufbewahrung in Papier sparen kann. Der vorgeschriebene Einsatz der qualifizierten elektronischen Signatur hat hier jedoch nicht den Charakter einer Willenserklärung der Erfassungskraft, da diese das Dokument ja nicht erstellt hat, sondern stellt eher eine Beglaubigung oder Bestätigung dar, dass das Dokument fehlerfrei, verlustfrei, lesbar, unverändert und vollständig in das elektronische System überführt wurde. Hierfür werden auf den Signaturkarten entsprechende Attribute kodiert. Angesichts der großen Mengen von Dokumenten ist es jedoch unwirtschaftlich, jedes Dokument einzeln zu sichten und zu signieren. Daher wurde hierfür das sogenannte Verfahren der „Massensignatur“ entwickelt. Hierbei wird ein Stapel von Dokumenten erfasst, eine genau definierte Stichprobe geprüft, und das der gesamte Stapel signiert. Bei dem Signierungsvorgang erhält dann jedes Dokument im Stapel eine eigene Signatur. Dieses Verfahren wurde zunächst von Betriebskrankenkassen eingeführt. Das derzeit umfangreichste Projekt ist jedoch die Erfassung von 160 Millionen zu scannenden Dokumenten bei der LVA Rheinprovinz in Düsseldorf.
 ·
Archivierung elektronisch signierter Dokumente
Die Archivierung elektronischer Dokumente stellt heute noch ein Problem dar. Signaturen und Zertifikate können verfallen und die Algorithmen der Signatur vielleicht irgendwann in der Zukunft „geknackt“ werden. Das mit Forschungsmitteln geförderte Projekt ArchiSig, an dem unter anderem die Universitätsklinik Heidelberg und der ECM-Anbieter IXOS beteiligt sind, hat hierfür eine Lösung zur „Übersignierung“ geschaffen. Durch das regelmäßige, weitgehend automatisierte Verfahren wird sichergestellt, dass vor Ablauf eines Zertifikates oder eines Signaturschlüssels eine neue Signatur aufgebracht wird. Durch die Verkettung der Signaturen wird sichergestellt, dass eine ununterbrochene Sequenz gültiger Signaturen den Beweiswert der Dokumente sichert. Dieses Verfahren ist bei der Benutzung von nur einmal beschreibbaren Speichern in elektronischen Archiven nicht ohne Aufwand umzusetzen. Die Eigenschaften eines revisionssicheren Archives dienen einer anderen Meinungsfraktion auch die Grundlage der Argumentation dafür, dass eigentlich ein Übersignieren nicht notwendig ist. Wenn ein revisionssicheres Archivsystem sicherstellen kann, dass seit der Speicherung des elektronisch signierten Dokumentes keine Veränderung möglich war, kann so nachgewiesen werden, dass zum Zeitpunkt der Archivierung eine Signatur gültig war. Dabei erscheint unerheblich, ob das Zertifikat inzwischen verfallen ist oder der ursprüngliche Algorithmus inzwischen abgelöst wurde. Auch bei Papierdokumenten wird z.B. nach dem Ableben eines Geschäftsführers der neue Geschäftsführer nicht alle Dokumente seines Vorgängers neu signieren, nur weil dessen Signatur „verfallen“ ist. Der Nachweis der Gültigkeit zum Zeitpunkt der Entstehung der Signatur muss eigentlich ausreichen.
 ·
Die Signatur im E-Government 
Die elektronische Signatur ist in zahlreichen E-Government-Verfahren vorgesehen. Besonders bei Verwaltungsverfahren zwischen Verwaltung und Bürger ist der Einsatz jedoch fragwürdig. Im Regelfall leistet der Bürger nur ein-, zweimal im Jahr gegenüber der Verwaltung eine Unterschrift in irgendeinem Antragsverfahren. Kann von ihm verlangt werden, hierfür eine Chipkarte mit qualifizierter elektronischer Signatur auf eigene Kosten zu beschaffen? Die Kosten und die damit verbundene geringe Verbreitung von elektronischen Signaturkarten stellen viele der „Antrag-Online“-Verfahren in Frage. Nur wenn es weitere Einsatzgebiete für elektronische Signaturen gibt, die Signatur kostengünstiger wird und sich die Regierung entschließt, die Signatur zum Beispiel in Verbindung mit dem Personalausweis jedem Bürger zur Verfügung zu stellen, ist eine ausreichende Verbreitung möglich. Darüber hinaus darf nicht vergessen werden, dass auch die verwaltungsinternen Prozesse auf die durchgängige Nutzung elektronischer Dokumente umgestellt werden. Es macht wenig Sinn, einen Antrag elektronisch zu signieren, ihn anschließend auszudrucken und in der Gittermappe auf dem Wägelchen durch die Gänge der Verwaltung zu schieben.
 ·
Elektronische Signaturen im Umfeld der GDPdU
Auch in der derzeit viel diskutierten Richtlinie GDPdU zur Aufbewahrung, Prüfung und Auswertung steuerrelevanter Daten kommt die elektronische Signatur vor. Sie erlaubt die Abgabe von Umsatzsteuervoranmeldungen in elektronischer Form, wenn die übergegebnen Daten qualifiziert elektronisch signiert sind. Während in den GDPdU noch die qualifizierte Signatur mit Anbieterakkreditierung impliziert ist, ist in den rechtlichen Vorschriften für die Prüfer der Finanzämter bereits eine Entschärfung festzustellen, die die elektronische Signatur auch ohne Anbieterakkreditierung einsetzbar macht. Jedoch hilft dies keineswegs. Das Verfahren der elektronischen Umsatzsteuervoranmeldung mit elektronischer Signatur kommt praktisch nirgendwo zum Einsatz. Kosten, Aufwand aber auch die Situation, dass niemand mit seiner persönlichen Signatur für Daten des Unternehmens, einer juristischen Person, geradestehen will, spielen hier ein Rolle. Die möglichen Vereinfachungspotentiale werden nicht genutzt.
 ·
Auch die Einsatzbedingungen müssen sicher sein
In der Diskussion um die Vorteile der qualifizierten elektronischen Signatur wird immer auf die besondere Sicherheit des Verfahrens und der Trustcenter verwiesen. Vielleicht unterschätzt wird dabei aber, das auch der Einsatz an den Arbeitsplätzen sicher sein muss. Das größte Risiko für einen missbräuchlichen Einsatz ist aber der Anwender selbst. Wer seine Karte herumliegen lässt und sich seine Passworte und Pins auf gelbe Haftzettel am Monitor schreibt, stellt das größte Risiko für den Missbrauch seiner Signatur dar. Das BSI und andere Stellen haben Checklisten und Anforderungskataloge herausgegeben, nach denen man sich bei der Einrichtung einer PKI (PKI Private Key Infrastruktur) richten sollte. Lücken in der Sicherheit werden und müssen von Unternehmen geschlossen werden. Bleibt das Problem des Privatmanns, der meistens nicht in der Lage ist oder sich nicht der Gefahr bewusst ist, die seinem PC mit Internet-Anschluss drohen kann.
 ·
Muss das Signaturgesetz geändert werden? 
Inzwischen ist offenbar geworden, dass sich das aktuelle Signaturgesetz in Deutschland vom Sprachgebrauch zu sehr an der ursprünglichen Version und nicht ausreichend nah an der europäischen Signaturrichtlinie orientiert. Seitens des Bundeswirtschaftsministerium wurde eingestanden, dass hier entsprechender Änderungs- oder Nachholbedarf durch aus gesehen wird. Hierbei werden nicht nur die Fragen der Akkreditierung neu diskutiert werden, sondern auch Möglichkeiten, nicht-personengebundene, qualifizierte Signaturen zuzulassen. Eine erster Entwurf für ein Änderungsgesetz lässt jedoch wenig Hoffnung für die Anbieter fortgeschrittener Signaturen aufscheinen.
 ·
Werden die bestehenden Signaturstandards mittelfristig überrollt? 
Die technischen Standards für Signaturen sind in Europa noch nicht vereinheitlicht. Die beiden in Deutschland vorkommenden Standards wurden erst jüngst als ISIS-MTT zusammengeführt. Angesichts mancher technischer und organisatorischer Aufwände und der derzeitigen geringen Verbreitung elektronischer Signaturen droht aber noch eine andere Gefahr. Wenn sich ein Standardsoftwareanbieter entschließt im Betriebssystem oder in weit verbreiteten Anwendungen eine proprietäre, elektronische Signatur nach eigenem Gusto einzubauen, können die derzeitigen Bemühungen zur Einführung sicherer Signaturen schnell unterlaufen werden. Die Schaffung einheitlicher, möglichst weltweiter technischer Standards und die Bereitstellung einer einheitlichen API (Anwendungsprogrammierungsschnittstelle) zur einfachen Einbindung von elektronischen Signaturen sind eine der Grundvoraussetzungen, um der Signatur schnell zu einer weiten Verbreitung zu verhelfen.
Der Einsatz elektronischer Signaturen ist für die Ausweitung des E-Business, E-Commerce und E-Government unerlässlich. Für die deutsche Wirtschaft ist die geringe Verbreitung und Nutzung der elektronischen Signatur inzwischen zum Risiko geworden. Mögliche Effizienzpotentiale werden nicht genutzt und eine Abkopplung vom international wachsenden elektronischen Geschäftsverkehr droht. Es sind daher verstärkte Anstrengungen von Politik und Wirtschaft zur schnelleren Verbreitung und Akzeptanz erforderlich. Nur wenn es ausreichend sinnvolle Anwendungen für den Einsatz der elektronischen Signatur gibt, wird die Verbreitung wachsen und damit auch die Preise für die notwendigen Komponenten für private Anwender und kleine Firmen erträglich machen. Auch die Softwarebranche kann mehr zur Verbreitung der elektronischen Signatur beitragen, in dem sie die Schnittstellen und Komponenten standardmäßig in ihre Produkte integriert und mit ausliefert. Die elektronische Signatur darf kein zusätzliches „Add-on“ sein, sonst muss integraler Bestandteil moderner Software werden.
Gesetze und Verordnungen, die die elektronische Signatur betreffen
Europa
RLES Europäische Richtlinie zur Elektronischen Signatur (1999/93/EG)
Deutschland
AO § 87a Elektronische Kommunikation
BGB § 125 Nichtigkeit wegen Formmangels
BGB § 126 Schriftform
BGB § 126a Elektronische Form
BGB § 126b Textform
BGB § 127 Vereinbarte Form
BGB § 355 Widerrufsrecht bei Verbraucherverträgen
BGB § 484 Schriftform bei Teilzeit-Wohnrechteverträgen
BGB § 492 Schriftform, Vertragsinhalt
SGB 1 § 36a Elektronische Kommunikation 
SGB 4 § 110d Beweiswirkung
SigG § 1 Zweck und Anwendungsbereich
SigG § 2 Begriffsbestimmungen
SigV § 15 Anforderungen an Produkte für qualifizierte elektronische Signaturen
SRVwV § 36- Allgemeine Verwaltungsvorschrift über das Rechnungswesen
UStG § 14 Ausstellung von Rechnungen
VVG § 3 Versicherungsvertrag
VVG § 5a Versicherungsbedingungen
VVG § 8 Widerspruchsrecht
VVG § 16 Rücktrittsrecht
VwVfG § 3a Elektronische Kommunikation
VwVfG § 33 Beglaubigung von Dokumenten
VwVfG § 37 Bestimmtheit und Form des Verwaltungsaktes
VwVfG § 69 Entscheidung
ZPO § 144 Augenschein; Sachverständige
ZPO § 292a Anscheinsbeweis bei qualifizierter elektronischer Signatur
ZPO § 371 Beweis durch Augenschein
Quelle:
Leitfaden Elektronische Signaturen, Signature Perfect, Dezember 2003; kostenfreier Download http://www.signature-perfect.de 
Literaturempfehlung
Digitale Signaturen in der Praxis, Leitfaden zur Prozessoptimierung und Kostenreduktion in Unternehmen und Behörden, hrsg. von Judith Balfanz und Jan C.E. Wendenburg, AWV Verlag Eschborn, 2003, ISBN 3-931193-470
© PROJECT CONSULT Unternehmensberatung GmbH 1999 - 2016 persistente URL: http://newsletter.pc.qumram-demo.ch/Content.aspx?DOC_UNID=c2569f083fcc4872002571e9004b2fda