18.06.2020

Umdenken erforderlich … !

Folge 3 der Serie Verwaltung digital: Die elektronische Signatur

Umdenken erforderlich … !

Folge 3 der Serie Verwaltung digital: Die elektronische Signatur

2020.6_Kulow_signatur_leit

Die praktische Bedeutung der Inhalte der eIDAS-VO wächst von Tag zu Tag. Für die elektronischen Postfächer BeN, BePBo und beA ist die elektronische Signatur jetzt schon unverzichtbar. Für die weitere Digitalisierung der Verwaltung wird sie es zunehmend werden. Der Beitrag setzt die Serie „Verwaltung digital“ fort. Einen Überblick über die Serie erhalten Sie hier.

– ANZEIGE –

TRAUBOTH_Krisenmanagement

Jetzt schon unverzichtbar

Ganz anders als die Datenschutz-Grundverordnung (DSGVO) trat die Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, kurz eIDAS-Verordnung am 1.7.2016 ganz lautlos in Geltung. Die rechtlich verbindliche Identifizierung von Personen und Dienste betreffend elektronische Signaturen, elektronische Siegel und Zeitstempel, Zustellung elektronischer Einschreiben und Webseiten-Zertifikate (Vertrauensdienste) werden damit europäisch geregelt. Die praktische Bedeutung der Inhalte der eIDAS-VO wächst von Tag zu Tag. Für die elektronischen Postfächer BeN, BePBo und beA ist die elektronische Signatur jetzt schon unverzichtbar. Für die weitere Digitalisierung der Verwaltung wird sie es zunehmend werden.

Im elektronischen Rechtsverkehr verbinden sich die Themen „Recht“, „Technik“ und „Organisation“. Dies gilt im besonderem Maße für das Thema „elektronische Signatur“ – wie im Übrigen auch für das schon behandelte Thema „Verschlüsselung“. Es soll daher sowohl auf die rechtlichen Aspekte der elektronischen Signaturen als auch auf die technischen Hintergründe eingegangen werden. Dabei konzentriert sich der Beitrag nur auf die elektronischen Signaturen. Nicht in diesem Beitrag behandelt werden elektronische Siegel, Zeitstempel und Einschreiben, sowie die Webseiten-Zertifikate.


Nicht mehr so übersichtlich wie im alten Recht: die Rechtsgrundlagen der elektronischen Signaturen

 

1997: Erstmalige rechtliche Regelung der elektronischen Signaturen

Mit der Erstregulierung von Sachverhalten im Internet bzw. im World Wide Web als einer Anwendung des Internets wurde im Jahr 1997 erstmalig auch die elektronische Signatur im Rahmen des Gesetzes zur Regelung der Rahmenbedingungen für Informations- und Kommunikationsdiensten (IuKDG) in einem deutschen Signaturgesetz geregelt, ergänzt und konkretisiert durch eine entsprechende Signaturverordnung des Bundes. Diese erste Signaturgesetz hatte gerade einmal vier Begriffsdefinitionen – die eIDAS-VO hat 41!

2001: Umsetzung der europäischen Signaturrichtlinie und …

Durch die Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen wurde auch eine Anpassung des deutschen Signaturrechts fällig. Aus dem Signaturgesetz (1997) wird das „Gesetz über die Rahmenbedingungen für elektronische Signaturen“. Es hat nunmehr 15 Begriffsbestimmungen. Das Wort „digital“ wird bewusst durch das Wort „elektronisch“ ersetzt um die Technikoffenheit zu untermauern.

… erste Anpassungen bei den zivilrechtlichen Formvorschriften

Der Gesetzgeber erlässt weiterhin das „Gesetz zur Anpassung der Formvorschriften des Privatrechts und anderer Vorschriften an den modernen Rechtsgeschäftsverkehr (Formanpassungsgesetz)“. Es tritt am 1.8.2001 in Kraft und bringt wesentliche Änderungen in das BGB und die ZPO. Sie betreffen zum einen die Sicherstellung der Identität bei der Verwendung elektronischer Dokumente, zum anderen werden die Länder ermächtigt, Rechtsverordnungen zum ERV zu erlassen. Die möglichen Formen werden bundesrechtlich bestimmt. So etwa z.B. in § 126b BGB die Textform und mit § 126a BGB die elektronische Form (die allerdings im Gegensatz zur Textform keine neu „Form“ ist, sondern als Sonderfall der „Schriftform“ angesehen wird).

Das europäische Signaturrecht – die eIDAS-VO

Am 17.September 2014 trat die Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, kurz eIDAS-Verordnung in Kraft. Ab 1.7.2016 gelten die meisten Inhalte der VO unionsweit.

Die eIDAS-VO hat 52 Artikel und vier Anhänge und wird ergänzt durch mehrere Rechtsakte. Sie gliedert sich in sechs Kapitel. Das dritte Kapitel beschäftigt sich mit den sogenannten „Vertrauensdiensten“. Es ist mit 32 Artikeln das mit Abstand umfangreichste Kapitel der eIDAS-VO. Sechs Abschnitte strukturieren daher den Text, der vierte Abschnitt regelt dabei die elektronischen Signaturen.

Der vierte Abschnitt hat es in sich …

Dieser vierte Abschnitt hat es in sich. Art. 25 eIDAS-VO ist ein guter Einstieg. Er bestimmt in Absatz 1, dass einer elektronischen Signatur die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden darf, weil sie in elektronischer Form vorliegt oder weil sie die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt. Es soll an dieser Stelle mal gar nicht auf die genaue Regelung des Absatzes eingegangen werden. Deutlich wird prima facie, dass es auf jeden Fall mindestens zwei Arten von elektronischen Signaturen gibt, eine (einfache) elektronische Signatur und eine qualifizierte elektronische Signatur. Diese Unterscheidung ist für das weitere Verständnis auch des europäischen Signaturrechts grundlegend. Daher soll dies etwas vertieft werden.

Die (einfache) elektronische Signatur

Nach Art. 3 Nr. 10 eIDAS-VO besteht eine (einfache) elektronische Signatur aus Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet. Diese Definition ist fast wortgleich mit derjenigen des alten deutschen Signaturgesetzes und legt die drei notwendigen Eigenschaften jeder elektronischen Signatur fest.

1) Dies ist zunächst die Authentifizierungsfunktion. Der Ersteller eines elektronischen Dokuments muss die Signatur zum Unterzeichnen verwenden. Das ist bei der analogen Unterschrift genauso.

2) Es muss um Daten in elektronischer Form gehen. Auch das ist wenig überraschend.

3) Letztlich muss eine räumliche oder logische Verbindung mit „Inhaltsdaten“ bestehen. Auch dieses letzte Merkmal ist eigentlich selbstverständlich: eine „kontextfreie“ Unterschrift hat auch in der analogen Welt keine Bedeutung.

Bei der einfachen elektronischen Signatur muss zwischen Inhaltsdaten und der „Unterschrift“ eine logische oder räumliche Beziehung bestehen

Die E-Mail-Unterschrift – ein Beispiel für eine einfache elektronische Signatur

Was wäre konkret eine einfache Signatur nach Art. 25 Abs. 1 eIDAS-VO?

Zum Beispiel der Name, der unter eine E-Mail gesetzt wird. Er hat die Funktion, den Ersteller der Mail zu identifizieren. Er liegt in elektronischer Form vor und ist mit der Mail räumlich verbunden, nämlich unter dem Text positioniert.

Die Schlichtheit und Verstehbarkeit dieser Signaturform zeigt sich im massenhaften E-Mail Verkehr. Nicht nur im Privaten auch bei Behörden wird die E-Mail wo möglich als einfaches und rasches Kommunikationsmittel eingesetzt.

Der Fluch der Schlichtheit: jederzeit nachträglich veränderbar

Würde dem elektronischen Rechtsverkehr und dem E-Government allerdings nichts anderes zur Verfügung stehen als die einfache elektronische Signatur, so wäre dies mehr als problematisch. Das hat vor allem technische Gründe. Überträger oder Empfänger von E-Mail Daten können diese grundsätzlich nachträglich problemlos verändern. Damit garantiert eine E-Mail mit einer einfachen Namensunterschrift in keiner Weise, dass sie tatsächlich vom angegebenen Ersteller stammt und dass der Inhalt nicht nachträglich verändert wurde. Eine Gleichsetzung etwa mit einer handschriftlichen Unterschrift kann daher nicht vorgenommen werden. Bei dieser wären Versuche den unterschriebenen Text oder die Unterschrift selbst nachträglich zu verändern bei Weitem nicht so einfach wie bei einer E-Mail. Die E-Mail fällt als Kommunikationsmedium für rechtsverbindliche Nachrichten aus diesem Grund aus.

So sicher wie die eigenhändige Unterschrift: die qualifizierten elektronischen Signaturen

Die zweite Signatur, die Art. 25 Abs. 1 eIDAS-VO erwähnt ist die sogenannte qualifizierte elektronische Signatur (qeS). Nach Art. 25 Abs. 2 eIDAS-VO hat diese „die gleiche Rechtswirkung wie eine handschriftliche Unterschrift“.

Was unterscheidet die qeS von der einfachen elektronischen Signatur?

Schauen wir uns wieder die Definition aus Art. 3 eIDAS-VO an. Nach Nr. 12 ist

„’eine qualifizierte elektronische Signatur‘ eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde und auf einem qualifizierten Zertifikat für elektronische Signaturen beruht“.

Das scheint zunächst schwer verdaulich. Es taucht nämlich plötzlich eine dritte Signaturart auf, die sogenannte „fortgeschrittene elektronische Signatur“. Ohne in die Tiefe zu gehen wird jedoch deutlich, dass die qeS offenbar eine fortgeschrittene Signatur ist, für die noch zwei weitere „qualifizierte“ Verschärfungen hinzukommen.

Gehen wir das mal der Reihe nach durch:

Die qeS ist eine „fortgeschrittene elektronische Signatur“ …

Glücklicherweise ist das Ganze einfacher zu verstehen, wenn man sich nochmal die Nachteile der einfachen elektronischen Signatur vor Augen führt, dass nämlich nachträgliche Veränderungen nicht erkannt werden können. Genau das ist es, was die sogenannte „fortgeschrittene elektronische Signatur“ leistet. Durch ein technisches Verfahren wird gewährleistet, dass nachträgliche Veränderungen der Daten – also der Unterschrift oder der Inhaltsdaten erkennbar sind.

Art. 26 eIDAS-VO definiert daher eine „fortgeschrittene elektronische Signatur“ als

1) eindeutig dem Unterzeichner zugeordnet

2) ermöglicht die Identifizierung des Unterzeichners

3) unter Verwendung elektronischer Signaturerstellungsdaten erstellt, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann.

4) so mit den auf diese Weise unterzeichneten Daten verbunden, dass eine nachträgliche Veränderung der Daten erkannt werden kann.

Es stellt sich die Frage, wie diese Anforderungen tatsächlich umgesetzt werden können. Wie stellt man z.B. sicher, dass die Signatur dem Unterzeichner zugeordnet ist und er identifiziert werden kann?

Zum Einsatz kommt hier ein Verfahren, dass schon bei der Verschlüsselung eingesetzt wird. Wer fortgeschritten signieren will, braucht – wie beim Verschlüsseln – einen Privatschlüssel und einen öffentlichen Schlüssel. Beide Schlüssel sind mathematisch invers zueinander. D.h. die Veränderung eines elektronischen Dokuments durch Verrechnung mit dem einen Schlüssel wird durch Verrechnung mit dem anderen Schlüssel wieder rückgängig gemacht. Anders aber als bei der Verschlüsselung „signiert“ der Unterzeichner das elektronische Dokument zunächst mit seinem Privatschlüssel (das alte deutsche Signaturgesetz nannte diesen daher auch „Signaturschlüssel“). Der Empfänger kann anhand des öffentlichen Schlüssels des Senders die Nachricht auf nachträgliche Veränderung prüfen. Daher hieß der öffentliche Schlüssel des Senders im alten deutschen Signaturgesetz auch „Signaturprüfschlüssel“.

Ein Beispiel, wie das ganz vereinfacht, aber prinzipiell funktioniert, dass nach 4) die Veränderung erkannt werden kann:

A hat den Privatschlüssel 1/3 und den öffentlichen Schlüssel 3. A signiert eine Nachricht die nur in der Zahl „12“ besteht. Die Nachricht mit der Zahl 12 wird mit einer Signaturdatei übermittelt. Die Signaturdatei enthält die Zahl „4“. Warum? Privatschlüssel x Nachricht = 12 X 1/3 = 4.

Wie prüft der Empfänger? Er multipliziert den Inhalt der Signaturdatei – die in der Praxis der Zahlenwert des gesamten elektronischen Dokuments mit einfacher Unterschrift ist – also „4“ mit dem öffentlichen Schlüssel (dem Signaturprüfschlüssel „3“) und erhält 3×4= 12. Er kann jetzt sicher sein, dass die Nachricht nicht verändert wurde.

Wenn jetzt noch der öffentliche Schlüssel in einem öffentlichen Verzeichnis dem Unterzeichner eineindeutig zugeordnet wird, dann sind auch die Voraussetzungen 1) und 2) erfüllt. Um 3) zu erfüllen, muss der Unterzeichner seinen Privatschlüssel geheim halten.

Bei der fortgeschrittenen Signatur können Veränderungen am Text sofort erkannt werden …

… die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde …

Die Funktion der beiden nun zu besprechenden qualifizierten „Verschärfungen“ wird sofort deutlich, wenn man sich verdeutlicht, dass auch die fortgeschrittene elektronische Signatur für den Rechtsverkehr nicht sicher genug ist. Diese lässt nämlich völlig offen, wie die Zuordnung der Signatur zum Unterzeichner sichergestellt wird und wie die Kontrolle der Erzeugung von Signaturen wirksam und sicher ausgeübt werden kann. Es bedarf insoweit „qualifizierter“ Regelungen.

Für die qeS bedeutet dies schlicht, dass sie mit einer Technik erstellt werden muss, die die im Anhang II zur eIDAS-VO aufgestellten Voraussetzungen erfüllt. Dabei geht es im Wesentlichen darum, dass das technische Gerät mit dem signiert wird, also z.B. das Kartenlesegerät, hinreichend gegen Ausforschung und Manipulation geschützt ist und das die Geräte selbst die Daten nicht unzulässig verändern.

… und auf einem qualifizierten Zertifikat für elektronische Signaturen beruht

Neben der qualifizierten Sicherheit der verwendeten Technik (vgl. Anhang II) muss natürlich auch die Identität des Signierenden sicher feststellbar sein. Dies wird mithilfe eines Zertifikats (Zusicherung) erreicht, das von einem qualifizierten Vertrauensdiensteanbieter ausgestellt werden muss. Dieser Vetrauensdiensteanbieter muss von der Bundesnetzagentur akkreditiert sein, wie z.B. die Bundenotarkammer. Die Bundesnetzagentur ist für die EU der Ansprechpartner für Deutschland. Auf diese Weise entsteht also eine „Vetrauenspyramide“ von der Union über die Bundesnetzagentur und den Vetrauensdiensteanbieter bis hin zur qualifizieren elektronischen Signatur.

Die qualifizierte elektronische Signatur ist eine fortgeschrittene Signatur mit zwei wesentlichen Qualifizierungen: der qualifizierten Signaturerstellungseinheit und der Zertifizierung der Signaturzuordnung durch einen qualifizierten Vertrauensdiensteanbieter.

 

Die Serie im Überblick

 

Folge 1: beBo, beN und beA
Folge 2: Verschlüsselung
Folge 3: Qualifizierte elektronische Signatur
Folge 4: SAFE-Id
Folge 5: OSCI-Netz
Folge 6: IT-Standards für die Organisation der öffentlichen Verwaltung
Folge 7: IT-Standards in der öffentlichen Verwaltung

 

 

Dr. Arnd-Christian Kulow

Syndikusrechtsanwalt, Richard Boorberg Verlag; Rechtsanwalt, Jordan & Wagner Rechtsanwaltsgesellschaft mbH, Stuttgart
n/a