Bei behördlichen Zahlungsanordnungen im Haushalts-, Kassen- und Rechnungswesen (HKR) muss grundsätzlich die rechnerische und sachliche Richtigkeit sowie die Verant-wortlichkeit der Auszahlenden intern dokumentiert werden. Bisher erfolgte – zum Teil selbst bei Einsatz elektronischer HKR-Verfahren – die Dokumentation der Verantwortlichkeiten durch Unterzeichnung von entsprechenden Papiervermerken (etwa in NRW).

Im Zuge der E-Government-Bemühungen der Verwaltungen (e-Akte, e-Vorgangsbearbeitung, e-Rechnung, etc.) besteht allerdings zunehmend das Bedürfnis, hinsichtlich der Verantwortlichkeiten innerbehördlicher (Aus-)Zahlungsanordnungen eine elektronische Dokumentation einzusetzen, um Medienbrüche zu vermeiden und Einsparpotenziale zu nutzen.

Insofern stellt sich die Frage, welche elektronische Dokumentationsform für innerbehördliche Anordnungsvorgänge bei papierlosen Verfahrensabläu-fen (etwa der automatisierten Rechnungseingangsbearbeitung) als unabdingbare Voraussetzung verlangt werden muss. Nach dem Signaturgesetz (SigG) kommen grundsätzlich die einfache, die fortgeschrittene oder die qualifizierte elektronische Signatur (§ 2 Nr. 1 bis 3 SigG) in Betracht.

Qualifizierte elektronische Signatur – das einzig Wahre?

Grundsätzlich nicht ausreichend erscheint die bloße Verwendung einer mit Passwort kombinierten Benutzerkennung in Form der einfachen elektronischen Signatur (§ 2 Nr. 1 SigG). Diese ist zwar günstig, aufgrund ihrer relativ hohen Fehler- und Missbrauchsanfälligkeit aber letztlich nicht für eine ausreichend sichere Dokumentation geeignet. Demgegenüber erfüllt die qualifizierte elektronische Signatur als mit dem höchsten Beweiswert ausgestattete Signaturstufe grundsätzlich die Anforderungen für eine Dokumentation der Verantwortlichkeit im behördlichen Anordnungsverfahren.

Allerdings ist deren Anschaffung vergleichsweise teuer. Insofern stellt sich in der Praxis die Frage, ob nicht die günstigere fortgeschrittene elektronische Signatur (§ 2 Nr. 2 SigG) zur Dokumentation der Verantwortlichkeiten im Anweisungsverfahren ausreicht. Nach dem Gesetz muss eine solche

• ausschließlich dem Signaturschlüssel-Inhaber zugeordnet sein,
• die Identifizierung des Signaturschüssel-Inhabers ermöglichen,
• mit Mitteln erzeugt werden, die der Signaturschlüssel-Inhaber unter seiner alleinigen Kontrolle halten kann und
• mit den Daten, auf die sie sich bezieht, so verknüpft sein, dass eine nachträgliche Veränderung der Daten erkannt werden kann.

Grundsätzlich ist die Beweiskraft einer fortgeschrittenen elektronischen Signatur als Beweisstück des Augenscheins i.S.d. § 371 Abs. 1 Satz 2 ZPO geringer als bei einer qualifizierten elektronischen Signatur, die als öffentliche Urkunde nach § 416 ZPO einzustufen ist. Allerdings dürfen die Vergleichsüberlegungen nicht beim rein juristischen Beweiskraftvergleich stehen bleiben. Vielmehr ist eine IT-bezogene Analyse der durch die abweichenden elektronischen Grundlagen der informationstechnischen Signatur-Stufen entstehender Unterschiede hinsichtlich Fehler- und Missbrauchsgefahren anzustellen (IT-bezogene Risikoanalyse). Eine genaue Analyse des verwendeten Signatursystems ist insbesondere deshalb notwendig, da die fortgeschrittene elektronische Signatur – je nach Ausgestaltung – ein geringeres oder aber hohes (der qualifizierten elektronischen Signatur vergleichbares) Sicherheitsniveau aufweisen kann. Dies hat etwa die Uni Kassel im Projekt „Beweiseignung fortgeschrittener elektronischer Signaturen” (BeFeS) festgestellt. Wegen der großen Unterschiede bei der fortgeschrittenen elektronischen Signatur existiert bisher auch kein IT-bezogener Sicherheits-Katalog/Standard (etwa des Bundesamts für Sicherheit in der Informationstechnik, BSI), an dem sich die Praxis bei der Auswahl von fortgeschrittenen elektronischen Signatur-Systemen orientieren könnte. Ob die fortgeschrittene elektronische Signatur als Dokumentation der Anordnungsvorgänge zulässig ist, muss daher in der Praxis immer noch anhand des Einzelfalls entschieden werden.

Hierbei können etwa folgende Punkte eine Rolle spielen:

• Eigene Rechenzentren fungieren als – von der anweisenden Behörde ausgelagerte – „Trust-Center” (ähnlich wie die bei der qualifizierten elektronischen Signatur zum Einsatz kommenden „sicheren Signatureinheiten”) und stellen eine Public Key Infrastructure (PKI) zur Verfügung;
• es wird eine technische und organisatorische PKI-Infrastruktur eingesetzt, die es ermöglicht, kryptographische Schlüsselpaare (private Schlüssel in Form von PSEs und öffentliche Schlüssel in Form von Zertifikaten) auszurollen und zu verwalten, und die alle wesentlichen Kernkomponenten einer PKI beinhaltet (Registrierungsinstanz, Zertifizierungsinstanz und Verzeichnisdienst; ggf. Zeitstempeldienst und Attributbestätigungsinstanzen). Beispiele für solche PKI-Infrastrukturen sind etwa die sog. „Verwaltungs-PKI” des BSI oder die „bayerische V-PKI” der Kommunalverwaltung in Bayern;
• die elektronische Signatur wird in einem sicheren „geschlossenen System” (etwa ausschließlich innerhalb eines sicheren abgeschotteten Verwaltungsnetz) und nicht in einem weniger sicheren „offenen System” (etwa Nutzung außerhalb eines Verwaltungsnetzes via Internet) eingesetzt;
• als Signatur wird lediglich eine PGP-Signatur nebst sog. Web of trust, eine sicherere Zertifikatslösung unter Nutzung einer Verwaltungs-PKI oder sogar das noch sicherere Chipkartenverfahren verwendet;
• schließlich sind alle sonstigen konkreten mathematisch-algorithmischen, technischen und organisatorischen Vorgaben und Kriterien sowie deren Wirkungen hinsichtlich Fehler- und Missbrauchsgefahren zu berücksichtigen.

Daher gilt, dass nicht nur die (juristische) Signaturstufe nach dem SigG das alleinentscheidende Kriterium darstellt. Vielmehr ist die Kombination aus technischer Umsetzung, organisatorischem Umfeld und Einsatzzweck entscheidend.

Bund/Länder-Vergleich

Neben der technischen Einrichtung entsprechender Signatur-Systeme ist auch eine Anpassung der rechtlichen Regelwerke (Haushaltsordnungen nebst Verwaltungsvorschrif-ten) erforderlich. Hier zeigt eine bundesweite Stichprobe, dass noch nicht alle Verwaltungen ihre Vorschriften für elektronische Signaturen im Haushalts-, Kassen- und Rech-nungswesen geöffnet haben bzw. noch nicht konkretisiert ist, welche Signaturstufe zulässig ist. Erlaubt ist die fortgeschrittene elektronische Signatur im behördlichen Anord-nungsverfahren bereits in den Verwaltungsvorschriften zur LHO Niedersachsens, der Kommunalen Haushalts- und Kassenverordnung Brandenburgs, der Gemeindehaushaltsverordnung Nordrhein-Westfalens und der Ordnung für das Haushalts-, Kassen- und Rechnungswesen der Handwerkskammer für Mittelfranken sowie für die bayrischen Kommunen. Auch der Bund sieht in seinen Bestimmungen über die Mindestanforderungen für den Einsatz automatisierter Verfahren im Haushalts-, Kassen- und Rechnungswesen (BestMaVB-HKR) vor, dass Anordnungsdaten, die mit einer elektronischen Schnittstelle in das HKR-Verfahren übermittelt werden, mit einer fortgeschrittenen elektronischen Signatur übertragen werden können.

Demgegenüber sind in der Landesverordnung über die Kassenführung der Gemeinden mit einer Haushaltswirtschaft nach den Grundsätzen der kameralen Buchführung und der Sonderkassen (Gemeindekassenverordnung-Kameral – GemKVO-Kameral) Schleswig-Holstein sowie der Allgemeinen Verwaltungsvorschrift über das Rechnungswesen in der Sozialversicherung (SRVwV) ausschließlich qualifizierte elektronische Signaturen zugelassen. NRW hat für die Landesbehörden bisher noch keine Regelungen zur Nutzung elektronischer Signaturen im HKR-Anordnungswesen erlassen.

Zusammenfassung

Neben der qualifizierten elektronischen Signatur kann im Einzelfall auch die fortgeschrittene elektronische Signatur als ordnungsgemäße Dokumentation innerbehördlicher Zahlungsanordnungen genutzt werden. Dies setzt voraus, dass das zum Einsatz kommende Signatur-System hinreichend sicher ausgestaltet ist und die Haushaltsvorschriften elektronische Signaturen überhaupt zulassen. Ist dies der Fall, können Medienbrüche im E-Government vermieden und dahingehende Einsparpotenziale (etwa zentrale standortun-abhängige Lösungen) erschlossen werden. Soweit das Haushaltsrecht noch nicht signaturfreundlich gestaltet ist, ergibt sich neben der Implementierung hinreichend sicherer Signatur-Systeme auch bei den Haushaltsvorschriften Modernisierungsbedarf.