Die rechtlichen Seiten der digitalen Signatur

Unbekanntes Veröffentlichungsdatum

A. Digitale Signatur als Basistechnologie

Jeder will wissen, Wer ihm Was sagen will, und niemand sonst soll davon wissen - das gibt es häufig. Die Kommunikation in offenen Netzen wird deshalb überall dort problematisch, wo eine hohe Sicherheit bezüglich der Unverfälschtheit der Nachricht (Integrität) und der Identität des Absenders (Authentizität) notwendig ist und/oder die Vertraulichkeit gewahrt werden soll. Die digitale Signatur kann diesen Problemen abhelfen und bildet deshalb die zentrale Basistechnologie für sensible Kommunikation im Internet. Nachfolgend soll es jedoch nur um die Sicherung von Identität und Integrität durch die digitale Signatur gehen, denn für die Sicherung der Vertraulichkeit stehen auch eine Reihe anderer Verfahren zur Verfügung und der Gesetzgeber hat diesen Bereich ungeregelt gelassen.

B. Sicherheit und rechtliche Anwendbarkeit als staatliche Regulierungsaufgabe

Die digitale Signatur ist zunächst nur eine technische Lösung. Ihre Verwendung durch die Nutzer setzt Vertrauen in ihre Sicherheit voraus und ihre Anwendung als Ersatz für die hergebrachte handschriftliche Unterschrift erfordert für Rechtsgeschäfte die Anerkennung durch die Rechtsordnung. Um beides zu ermöglichen, hatte der Gesetzgeber 1997 mit dem Signaturgesetz einen Rahmen geschaffen, der allerdings zunächst tatsächlich weitgehend unausgefüllt blieb. Ende letzten Jahres hat die EU eine Richtlinie zur digitalen Signatur erlassen, an die das Signaturgesetz gegenwärtig angepaßt wird und mittlerweile bildet sich auch ein Markt für digitale Signaturen heraus.

C. Die rechtlich bedeutsamen Sicherheitsstufen der digitalen Signatur

Die technische Sicherheit elektronischer Signaturen verhält sich prinzipiell fast stufenlos. Damit eine Vertrauensgrundlage entsteht und das Recht sinnvolle Anknüpfungspunkte findet, definiert der SigG-Entwurf in Anknüpfung an die umzusetzende EU-Richtlinie zur digitalen Signatur Typen von Signaturen, die bestimmten Anforderungen unterliegen. Es gibt zunächst den Bereich der ungeregelten Signaturen, der an keine spezifischen Sicherheitsanforderungen gekoppelt ist. Daneben gibt es die sogenannte qualifizierte elektronische Signatur, bei der bestimmte Sicherheitsanforderungen an die Signatur, die Signaturerstellungseinheit, das Zertifikat und vor allem auch den Zertifizierungsanbieter gestellt werden und schließlich die noch unbenannte "akkreditierte" elektronische Signatur. Diese unterscheidet sich von der qualifizierten Signatur v.a. dadurch, dass die Einhaltung der geforderten Sicherheit nicht nur durch die Überwachung der Regulierungsbehörde, Bußgeldvorschriften und eine Haftung für eventuelle Schäden abgesichert ist, sondern im Rahmen der Akkreditierung bei der Regulierungsbehörde vorab und in regelmäßigen Abständen durch öffentlich anerkannte unabhängige Dritte (z.B. TÜV) geprüft wird.

D. Digitale Signatur als Voraussetzung elektronischer Rechtsgeschäfte

An diese Sicherheitsstandard können nun rechtliche Vorschriften anknüpfen. Beweisrechtliche Regelungen sollen die Verwendung der digitalen Signatur auch für den gerichtlichen Streitfall abstützen und durch die Anpassung von Formvorschriften soll das Anwendungsfeld digitaler Signaturen in Bereiche erweitert werden, die bislang behütete Reservate der Papierverwendung waren.

• I. E-Commerce: Anpassungen von Zivilrecht und Zivilprozeßrecht vor Verabschiedung
  Für das Zivilrecht, das auf die Rechtsverhältnisse zwischen Bürgern Anwendung findet, liegt bereits der Entwurf eines Gesetzes zur Anpassung der Formvorschriften des Privatrechts und anderer Vorschriften an den modernen Rechtsgeschäftsverkehr vor (www.bmj.bund.de). Soweit er Rechtsgeschäfte in Textform (§ 126b BGB) zulässt, eröffnet er für zahlreiche, bislang der Schriftform unterworfene Bereiche die Möglichkeit der rechtsgültigen Verwendung auch sicherheitstechnisch ungeregelter elektronischer Signaturen. Soweit die Gesetze auch weiterhin Schriftform vorsehen, soll sie regelmäßig durch die qualifizierte Signatur ersetzbar sein (§ 126a BGB-E). An die qualifizierte Signatur soll auch das Beweisrecht anknüpfen. Der Nachweis der Echtheit einer mit qualifizierter Signatur versehenen elektronischen Willenserklärung soll grundsätzlich schon durch die Prüfung der Gültigkeit nach dem Signaturgesetz in Form des Anscheinsbeweises erbracht werden können (§ 292a ZPO-E). Das bedeutet: Für den privaten Rechtsverkehr und damit auch für den gesamten E-Commerce-Bereich knüpft das Recht allein an die ersten beiden Stufen an - und darf angesichts der EU-Richtlinie auch gar nicht anders verfahren.

• II. E-Government: Anpassung des Verwaltungsrechts angelaufen
  Für die Kontakte zwischen Verwaltung und Bürgern ist die zukünftige Rechtslage noch nicht so klar. Grundsätzlich gilt natürlich (auch) hier der Grundsatz der Formfreiheit, so dass vielfältige Verwaltungsleistungen wie etwa die Mülltonnenbestellungen bereits elektronisch möglich sind. Eine Reihe von Verwaltungsverfahren erfordern jedoch die Schriftform, bei der jedenfalls aus Gründen der Rechtssicherheit eine Gesetzesanpassung wünschenswert ist und auch angestrebt wird. Hierfür besteht zunächst insofern ein größerer Spielraum für den Gesetzgeber, als im öffentlichen Bereich nach der EU-Richtlinie auch über die qualifizierte Signatur hinausgehende, besondere Anforderungen zulässig sind, wenn sie sich auf die spezifischen Merkmale der betreffenden Anwendung beziehen und objektiv, transparent, verhältnismäßig und nichtdiskriminierend sind (Art. 3 Abs. 7 EU-Signaturrichtlinie). In solchen Fällen dürfte also auch die "akkreditierte" Signatur verlangt werden. Gleichzeitig ist die Zahl der anzupassenden Vorschriften viel größer.

Bund und Länder gehen hier zweistufig vor. In einer Arbeitsgruppe wird gegenwärtig der Entwurf für eine abgestimmte Anpassung der Verwaltungsverfahrensgesetze von Bund und Ländern fertiggestellt, mit dem diese allgemeinen Vorschriften über Verwaltungsverfahren auf die Anforderungen elektronischer Abwicklung eingestellt werden. Grundsätzlich soll auch hier eine gesetzlich angeordnete Schriftform durch die qualifizierte Signatur ersetzt werden können. In welchen Fällen eine akkreditierte Signatur gefordert werden wird, lässt sich noch nicht endgültig absehen. Anschließend werden auch die Fachgesetze -soweit erforderlich - in ihren Formerfordernissen überarbeitet. In den Fachgesetzen wird häufig die Schriftform gefordert, obwohl gar keine besondere Sicherheit erforderlich ist. Vor allem bei Anträgen soll häufig nur das Bürgeranliegen dokumentiert werden, aber es besteht weder Mißbrauchsgefahr, noch droht relevanter Schaden bei einer Täuschung. Für diese Fälle könnte und sollte eine e-mail als ausreichend angesehen werden. Alle erforderlichen Anpassungen des Verwaltungsrechts könnten entsprechend dem Vorgehen im Zivilrecht in einem großen Artikelgesetz gebündelt werden.

Voraussetzung für den elektronischen Geschäftsverkehr mit der Verwaltung ist natürlich immer, dass die Verwaltung überhaupt diesen Zugangsweg eingerichtet hat.

E. Digitale Signatur als Nischen- oder Massenprodukt?

Das Recht kann freilich über die Regulierung der Sicherungsinfrastruktur nur die Voraussetzungen für Akzeptanz und über die Anpassung der Form- und Beweisvorschriften nur Anwendungsfälle für die Nutzung der digitalen Signatur schaffen. Die Fälle, in denen der Bürger rechtlich zwingend eine zumindest qualifizierte digitale Signatur braucht, bleiben jedoch relativ gering. Die tatsächliche Verbreitung und Anwendung dürfte deshalb stark davon abhängen, inwieweit Massenanwendungen, die rechtlich nicht zwingend auf diesen Sicherheitsstandard festgelegt sind, sich hier anschließen und die digitale Signatur als Sicherheitsgaranten nutzen. Vor allem den Banken, deren EC-Karte enorm verbreitet ist und die für das Homebanking ebenfalls ein Interesse an einfacher und zugleich hoher Sicherheit haben, kommt für die Diffusion eine Schlüsselrolle zu. Sie haben bereits angekündigt, dass sie die digitale Signatur in die ec-Karte integrieren wollen. Ob dies die akkreditierte Signatur sein wird oder "nur" die qualifizierte - da haben sie sich noch nicht in die Karte(n) schauen lassen.