20030122 \  In der Diskussion \  Qualifiziert elektronisch signieren und archivieren
Qualifiziert elektronisch signieren und archivieren
Der Einsatz der elektronischen Signatur kommt nur mühsam voran. Kosten und Unsicherheit bestimmen die Diskussion. Bei der kritischen Würdigung muss allerdings vorangestellt werden, dass die elektronische Signatur für den elektronischen Geschäftsverkehr zwischen unbekannten Teilnehmern und die rechtliche Absicherung von elektronischen Dokumenten unerlässlich ist. Zugegeben, Geschäfte wie EBAY und Amazon funktionieren auch ohne elektronische Signatur. Im Rechtsverkehr gibt es jedoch keine Alternative. Daher spielt die elektronische Signatur auch bei allen E-Government-Projekten eine herausragende Rolle. Deutschland hat sich bei der Verankerung der elektronischen Signatur in den Gesetzen und Verordnungen für die höchstmögliche Sicherheit entschieden – qualifizierte Signaturen, möglichst noch mit abgesicherter und staatlich geprüfter Anbieterakkreditierung. Dies ist nicht überall so, andere Staaten gehen einfachere Wege. Für den europäischen Rechtsraum heißt dies zum Beispiel auch, das ein aus dem Ausland kommendes Dokument mit einer elektronischen Signatur geringerer Qualität in Deutschland auf Grund der europäischen Richtlinie RLES anerkannt werden muss.
Neue, sich eröffnende Einsatzgebiete der elektronischen Signatur verändern auch ihren Rechtscharakter. Dies gilt besonders für die personengebundene elektronische Signatur, die als Willenserklärung definiert ist. Sie kann sich inzwischen auch in den Charakter "Beglaubigung" oder "Unterschrift ohne Rechtsverbindlichkeit im Sinne einer persönlichen Willenserklärung“ wandeln. Diese Veränderungen können auch dazu führen, die ursprüngliche Intention der persönlichen Signatur langsam zu unterhöhlen und damit die Rechtsqualität grundsätzlich verändern. Dies soll an zwei Beispielen verdeutlicht werden. Beim Scannen von Akten im Sozialversicherungsumfeld ist die qualifizierte Signatur vorgesehen, um anschließend das erfasste Schriftgut vernichten zu können. Die Signatur der Scan-Erfassungskraft hat hier jedoch nicht den Rechtscharakter einer Willenserklärung, da die Scan-Erfassungskraft die Dokumente nicht selbst erstellt hat. Die Scan-Erfassungskraft bescheinigt mit ihrer elektronischen Signatur lediglich, dass sie das Schriftgut unverändert, vollständig, im richtigen Sachzusammenhang und lesbar erfasst hat. Ähnlich sieht es bei Signieren von elektronischen Massenaussendungen aus. Hier wird die persönliche Signaturkarte eines Mitarbeiters in einem Serverprozess verwendet, der elektronische Sendungen damit automatisch signiert. Der Mitarbeiter kennt vielleicht den Text der versendeten Nachricht, weiß aber im Regelfall nicht, wer alles ein Dokument mit seiner Signatur erhält und wofür die Signatur vom Prozess noch verwendet wird. Hier kann man von einer Willenserklärung nicht mehr sprechen.
Für die elektronische Archivierung über längere Zeiträume stellen elektronisch signierte Daten und Dokumente ein Problem dar, z.B. wenn Dokumente langfristig lesbar gehalten oder gar konvertiert werden sollen – schließlich hat man als Empfänger keine Kontrolle, mit welchem Programm das Dokument erstellt wurde –, wenn der Zusammenhang zwischen Dokument, Zertifikat und den Protokolldateien des Eingangs und der Verarbeitung sichergestellt werden muss, und wenn Zertifikate vor Ablauf der Aufbewahrungsfrist ungültig werden. Andererseits bieten gerade elektronische Archivsysteme Hilfe, um mit dem letztgenannten Problem umzugehen. Wenn ein signiertes Dokument vor Ablauf der Gültigkeit der Zertifikate in einem revisionssicheren Archiv abgelegt wurde, kann durch das Archivsystem der Nachweis erbracht werden, dass die Signatur zum Zeitpunkt der Archivierung gültig und damit rechtskräftig war. Hierzu muss das Archivsystem allerdings auch eine entsprechende revisionssichere Protokollierung des Eingangs und der Speicherung des Dokumentes verfügen. Ab dem Zeitpunkt der Speicherung kann das Archiv die Verantwortung für die Unveränderbarkeit des Dokuments - und damit auch für die Unversehrtheit und Authentizität der elektronischen Signatur übernehmen. Durch geordnete dokumentierte Verfahren mit verlustfreier und unveränderter Überführung von Dokumenten von einem System in ein anderes kann so auch das Problem der Migration gelöst werden. Durch die Erzeugung von Renditionen eines signierten Dokumentes, die mit der Quelle durch Referenzen verknüpft sind, kann sowohl das Original gesichert als auch eine immer anzeigefähige Kopie erzeugt werden.
Eine Vielzahl weiterer „Kleinigkeiten“ und die geringe Verbreitung von Signaturkarten lässt die Entwicklung seit Jahren stagnieren. Immer neue Pilotanwendungen, wie z.B. in Niedersachsen oder die Kooperation der Sparkasse mit der LVA in Düsseldorf, erscheinen wie der Tropfen auf den heißen Stein. Für den privaten Anwender erschließen sich der Nutzen bei nur äußerst seltener Benutzung nicht und auch Firmen entscheiden sich nur für die Anschaffung einer Signaturkarte, wenn sie durch die Beteiligung an einem elektronischen Auftragsvergabe- oder E-Procurement-Verfahren dazu „gezwungen“ sind. Die qualifizierte elektronische Signatur hat nur dann eine Chance, wenn sie sich schnellstens flächendeckend durchsetzt. Dies sehen auch die Wettbewerber der Signaturkarte ebenso, die auf Basis einfacher oder fortgeschrittener Signaturen Pad-Lösungen mit manueller Unterschriften oder andere biometrische Verfahren propagieren. Sie leiden genauso wie die akkreditierten Kartenanbieter unter Auftragsmangel. Nur in geschlossenen Anwendergemeinschaften, wie z.B. bei den der DATEV angeschlossenen Steuerberatern, regt es sich etwas mehr. Die Geschwindigkeit der Einführung, die Vereinheitlichung technischer Standards auf internationaler Ebene und die Verringerung der Einstiegs- und Nutzungskosten werden ausschlaggebend für die Durchsetzbarkeit der qualifizierten, personengebundenen elektronischen Signatur sein. Nicht personengebundene Zeitstempel, die ebenfalls qualifizierte Signaturen sein können, haben es mit der Durchsetzung durch ihre vielfältigen Einsatzmöglichkeiten auf jeden Fall einfacher. Ein generelles Risiko für qualifizierte elektronische Signaturen darf jedoch nicht übersehen werden – der Gesetzgeber mag zwar vieles regeln, wenn sich jedoch Bill Gates entschließt, ein ähnliches Verfahren in seine Betriebssoftware einzubauen und standardmäßig mitzuliefern, das ebenfalls die Kriterien der Signatur in Europa erfüllt, dann ist es um jeden nationalen Sonderweg schlecht bestellt. (Kff)
Aktuelle Diskussionsbeiträge zu diesem Themenumfeld finden sich auf (8http://www.it-forum.org ).
© PROJECT CONSULT Unternehmensberatung GmbH 1999 - 2016 persistente URL: http://newsletter.pc.qumram-demo.ch/Content.aspx?DOC_UNID=c82f982a54ea4343002572cf0027e9d9