Elektronische Signatur

(umgeleitet von Verigo.Signatur)

Verigo/ElektronischeSignatur

Von Isabelle Ruf, aktualisiert von Mechtild-Maria Krawczyk

Einführung

Während im realen Raum der Verfasser schriftlicher Erklärungen relativ leicht anhand seiner Unterschrift identifizierbar und zuzuordnen ist, besteht im virtuellen Raum die Gefahr, dass Nachrichten verfälscht oder von Unberechtigten abgegeben werden können. So trägt einerseits der Verfasser einer Erklärung das Risiko, dass seine Nachricht den Empfänger verfälscht erreicht; andererseits ist der Empfänger der Unsicherheit ausgesetzt, ob der Absender auch tatsächlich authentisch ist. Die spurlose Veränderbarkeit des Inhalts sowie des Erstellungszeitpunkts und der Urheberidentität eines Dokumentes führen schließlich auch dazu, dass mittels elektronischer Dokumente rechtsverbindliches Handeln kaum möglich ist: Es fehlt ihnen schlicht an Beweisgeeignetheit, sog. Disputabilität, und auch die Schriftformerfordernisse werden weder in zivil-, noch prozess- oder öffentlichrechtlicher Hinsicht erfüllt (vgl. Skrobotz in Manssen, Telekommunikations- und Multimediarecht Kommentar, Stand 7/03, G § 1, Rn 18f, mit weiteren Nachweisen).

Diesen Nachteilen soll das System der elektronischen Signatur begegnen. Verschiedene Stufen der Qualität bieten beiden Kommunikationspartnern entsprechende Sicherheit vor den o.g. Risiken. Kryptographische Verfahren sollen ähnlich wie die herkömmlichen Mittel Unterschrift, Urkunde und Briefumschlag Integrität, Authentizität und Vertraulichkeit der Dokumente gewährleisten (vgl. Skrobotz, aaO, G § 1 Rn 21). Mittels bestimmter Zusatzattribute sind zudem über die Identifikationsfunktion hinaus z.B. Haftungsbeschränkungen mithilfe der Signatur möglich. Geregelt ist all dies im Signaturgesetz (SigG) vom 16. Mai 2001 (BGBl. I S. 876), das die EG-Signaturrichtlinie RL 1999/93/EG umsetzt. Seit der Schuldrechtsreform im Jahre 2002 ist die elektronische Signatur auch im Bürgerlichen Gesetzbuch (§ 126a) als Äquivalent der Schriftform anerkannt (vgl. Geis in Spindler/Schmitz/Geis TDG-Kommentar 1. Auflage 2004, Einf SigG Rn 1).

Arten der Signatur

Das Signaturgesetz regelt in § 1 verschiedene Arten der Signatur, an die es unterschiedliche Anforderungen stellt. Dementsprechend gibt es auch unterschiedliche Grade der Sicherheit.

Begriffsdefinition der elektronischen Signatur

§ 2 Nr. 1 SigG definiert die elektronische Signatur als „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen“. Diese Definition schränkt die beizufügenden Daten in keinerlei Hinsicht ein – es kann sich hierbei somit ebenso um eine eingescannte Unterschrift (vgl. die Begründung zum SigG-Entwurf, S. 13) wie um jedes andere elektronische Dokument handeln. Das Gesetz beschreibt hier allein die Funktion der Signatur, nämlich die Authentifizierung, ohne damit an dieser Stelle einen Sicherheitswert zu verbinden. Genauso gibt es auch keine sicherungsinfrastrukturellen Vorgaben bezüglich der Herstellung der Signatur; das Gesetz weist hier einen technikoffenen Charakter auf (Demmel in Manssen, Telekommunikations- und Multimediarecht Kommentar, Stand November 2001, G § 2, Rn 1f).

Fortgeschrittene elektronische Signaturen, § 2 Nr. 2 SigG

Bei der fortgeschrittenen elektronischen Signatur handelt es sich um elektronische Signaturen, die bestimmte Anforderungen erfüllen müssen. Die meisten käuflich oder als Freeware erhältlichen Verschlüsselungsprogramme können solche Signaturen erstellen (vgl. Geis in Spindler/Schmitz/Geis, TDG-Kommentar, 1. Auflage 2004, § 2 SigG Rn 2). Im Einzelnen muss die Signatur nach § 1 Nr. 2 lit. a) – d) folgende Voraussetzungen erfüllen:

  • Eindeutige Zuordnung zum Signaturschlüssel-Inhaber.

Dies bedeutet, dass ein Anbieter von Zertifizierungsdiensten einen Signaturschlüssel nur einmalig, also an eine einzige Person vergeben darf. Allerdings müssen die Anbieter ihre Schlüssel nicht untereinander abgleichen, sodass letztlich identische Schlüssel durch verschiedene Diensteanbieter vergeben werden können. Der Signaturschlüssel wird in § 2 Nr. 4 SigG als „einmalige elektronische Daten wie private kryptographische Schlüssel“ definiert. Die Gesetzesbegründung hält hierzu fest, dass die kryptographischen Daten lediglich ein Beispiel sind (Begründung zum SigG-Entwurf, S. 16) – auch hier sind also alle technischen Lösungen möglich. Wichtig ist jedoch die Einmaligkeit der Signaturschlüssel. Damit sie erreicht werden kann, muss insbesondere der Schlüsselraum entsprechend groß sein und Schlüsselgeneratoren müssen zufallsverteilte Zahlenkombinationen ausrechnen (Demmel in Manssen, aaO, G § 2 Rn 11).

  • Identifizierung des Signaturschlüssel-Inhabers.

Beispielsweise das der Signatur zugrunde liegende Zertifikat kann die Authentifizierungsfunktion der Signatur gewährleisten. Da allerdings die elektronische Signatur aus jeglicher Art von elektronischen Dokumenten bestehen kann, ist hier eine bürgerliche Identitätsfeststellung nicht zwingend erforderlich (Demmel in Manssen, aaO, G § 2 Rn 2).

  • Die Signatur muss mit Mitteln erzeugt werden, die der Signaturschlüssel-Inhaber unter seiner alleinigen Kontrolle halten kann – er muss also bei der Nutzung des Programms seine Signaturstellungseinheit vor der unbefugten Nutzung Dritter schützen können.
  • Schließlich muss die Signatur mit den Daten, auf die sie sich bezieht, so verknüpft sein, dass eine nachträgliche Veränderung der Daten erkannt werden kann.

Die qualifizierte elektronische Signatur

Die höchste Stufe an Sicherheit für die Integrität und Authentizität elektronischer Erklärungen bietet die qualifizierte elektronische Signatur. Eine qualifizierte Zertifizierungsstelle muss sie vergeben und verwalten; sie haftet sogar für die falsche Vergabe. Es handelt sich dabei um eine fortgeschrittene elektronische Signatur, an die nach § 2 Nr. 3 lit. a) und b) SigG zwei weitere Sicherheitsanforderungen gestellt werden:

  • Sie muss auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikat beruhen.

Ein solches Zertifikat ist eine elektronische Bescheinigung, die wiederum nach § 7 SigG eine ganze Reihe inhaltlicher Anforderungen zu erfüllen hat: Sie muss beispielsweise den Namen des Zertifikatsinhabers und Angaben zur Zertifizierungsstelle, den zugeordneten Signaturprüfschlüssel, Seriennummer und Zeitstempel enthalten. Insbesondere kann das Zertifikat gem. § 5 SigG nur von einem Anbieter von Zertifizierungsdiensten erteilt werden, der an die Voraussetzungen der §§ 4 bis 11 SigG gebunden ist. Ein solcher Anbieter darf nach diesen Regeln Signaturschlüssel-Zertifikate nur auf schriftlichen Antrag und nach Vorlage eines gültigen Personalausweises oder Reisepasses des Antragstellers erteilen. Ebenso bedürfen weitere Attribut-Zertifikate z.B. für Vertretungsrechte oder berufsrechtliche Zulassungen eines zuverlässigen Nachweises, um in die Signatur aufgenommen werden zu können.

  • Außerdem muss die Signatur mit einer sicheren Signaturerstellungseinheit erzeugt werden.

Was es damit auf sich hat, ist wiederum in § 2 Nr. 10 SigG definiert: „Software- oder Hardwareeinheiten zur Speicherung und Anwendung des jeweiligen Signaturschlüssels, (…) die für qualifizierte elektronische Signaturen bestimmt sind“. Technik und Verfahren der Signaturerstellung sollen also die Sicherstellung der Sicherheitsanforderungen gewährleisten, indem sie beispielsweise vermeiden, dass die Signaturerstellungsdaten doppelt verwendet werden, und dafür sorgen, dass diese Daten geheim gehalten werden. Wichtig ist auch der technische Schutz vor der Verwendung dieser Daten durch unberechtigte Dritte oder vor der Fälschung der Signatur. Einen umfangreichen Katalog all dieser Anforderungen zu den Produkten für die qualifizierte elektronische Signatur enthält schließlich § 17 SigG.

Attribute

Allgemein

In das Zertifikat, das der fortgeschrittenen oder qualifizierten Signatur zugrunde liegt, können nach Bedarf des Signaturschlüssel-Inhabers gemäß § 7 Abs. I Nr. 9 SigG so genannte Attribute eingetragen werden, d.h. besondere Eigenschaften, Stellungen oder Beschränkungen des Zertifikatsinhabers. Diese werden allgemein in fünf Gruppen eingeteilt, ohne dass die Implementierung weiterer Informationen dadurch ausgeschlossen ist:

Somit ist also auch ein Nachweis dieser Rechte bzw. Beschränkungen im elektronischen Rechtsverkehr? möglich.

Soll eine qualifizierte elektronische Signatur mittels eines Attributs Auskunft über die Vertretungsrechte für einen Dritten geben, so muss der Antragsteller dem Zertifizierungsdienst einen zuverlässigen Nachweis über diese Vollmacht vorlegen und muss der Dritte schriftlich oder durch elektronisch signierte Erklärung sein Einverständnis erteilen, vgl. § 5 Abs. II SigG (dazu auch Geis in Spindler/Schmitz/Geis, TDG-Kommentar, 1. Auflage 2004, Einf SigG, Rn 17). Die Aufnahme einer Auskunft über berufrechtliche oder sonstige Zulassungen in das Zertifikat bedarf nach dieser Vorschrift schließlich der Vorlage einer Zulassungsurkunde vor dem Zertifizierungsdienst.

Im Besonderen: Monetäre Beschränkungen

Von Interesse sind hier die gerichtlichen Entscheidungen zu den monetären Beschränkungen (FG Münster, Urteil vom 23.03. 2006? und BFH 11. Senat, Urteil vom 18.10.2006?). Eine solche bestimmt, dass die Signatur nur für Verträge gültig ist, deren Gegenwert unterhalb eines festgelegten Betrages liegt. Damit hat eine mit einer solchen Haftungsbeschränkung versehene Signatur eine erhebliche Relevanz für die Beweiskraft im rechtsgeschäftlichen Handeln unter rechtlich gleichgestellten Vertragspartnern – für die Identifikation des Signaturschlüsselinhabers spielt die monetäre Beschränkung jedoch keine Rolle.

FG Münster, Urteil vom 23.03. 2006 (−11 K 990/05 F- juris PraxisReport IT-Recht 5/2006 Anm.2)

Das Finanzgericht Münster hingegen hat in seinem Urteil festgehalten, dass eine solche Signatur mit monetärer Beschränkung auf einen Wert von € 100, mit der eine bei Gericht eingereichte Klageschrift signiert ist, keine Signatur nach dem SigG sei: Schließlich würden durch eine Klageerhebung vor dem Finanzgericht kraft Gesetzes bereits mit der Einreichung der Klageschrift und aufgrund des Mindeststreitwertes höhere Kostenfolgen ausgelöst. Nach § 77a Abs. 1 Satz 2 Finanzgerichtsordnung FGO bedurfte die Einreichung einer elektronischen Klageschrift einer qualifizierten elektronischen Signatur. Würde der Schutzbereich der monetären Haftungsbeschränkung aber nicht ausdrücklich im Zertifikat – z.B. auf zivilrechtliche Rechtsgeschäfte – eingeschränkt, so könne nach dem FG Münster die Signatur in allen Bereichen, also auch im Prozessrecht, nur dann als gültig angesehen werden, wenn die signierte Erklärung generell keinerlei finanzielle Folgen auslösen könne, die den Betrag von 100€ übersteigen. Demzufolge wies das FG Münster die Klage als unzulässig ab, da sie nicht den Formvorschriften der §§ 64 Abs. 1 i.V.m. 77a Abs. 1 S. 2 FGO entsprach.

Diesem Ansatz widerspricht jedoch, dass solche monetären Beschränkungen üblicherweise als Attribut einer Signatur hinzugefügt werden, mit der finanzielle Transaktionen wie beispielsweise Überweisungsvorgänge getätigt werden sollen. Dies ergibt sich aus den Hinweisen der Zertifizierungsstellen wie der Bundesnotarkammer (vgl. Bundesnotarkammer, „Elektronische Signatur, was Sie vor dem Start wissen müssen“, S.6) oder der Deutschen Post (Signtrust). Da ein Gericht bei der Ermittlung der Reichweite der Beschränkung, also der Auslegung der Klageschrift, nach §§ 133, 157 BGB verpflichtet ist, normativ den objektiven Erklärungswert des Erklärungsverhaltens zu ermitteln, muss es bei der Bewertung all dieser Umstände davon ausgehen, dass sich eine solche monetäre Beschränkung allein auf zivilrechtliche Geschäfte beschränkt. Bei der Übermittlung einer Klageschrift handelt es sich gerade nicht um eine „finanzielle Transaktion“, sodass die monetäre Beschränkung eines Zertifikats für das Gericht nach dem dargelegten Verständnis unbeachtlich ist. Etwas anderes würde nur dann gelten, wenn das Zertifikat explizit die monetäre Beschränkung auf prozessrechtliche Sachverhalte ausdehnt (vgl. Roggenkamp in juris PraxisReport IT-Recht 5/2006 Anm. 2). Das Urteil wurde in der Entscheidung vom 18.10.2006 vom Bundesfinanzhof aufgehoben und an das FG Münster zurückverwiesen.

BFH 11. Senat, Urteil vom 18.10.2006 – XI R 22/06

Der Bundesfinanzhof hat in seinem Revisionsurteil dem FG Münster in diesem Sinne widersprochen und klargestellt, dass eine monetäre Beschränkung auf einer elektronischen Signatur nur Auswirkung auf die finanzielle Einsatzfähigkeit der Signatur hat, jedoch die Beweiskraft als Funktionsäquivalent zur Unterschrift unberührt lässt. Der BFH hat die Revision daher als begründet angesehen, das Urteil des FG Münster aufgehoben und an das Gericht zurückverwiesen.

In den Entscheidungsgründen führt der BFH an, dass das Unterschrifterfordernis bei Klageeinreichung gemäß § 64 I FGO den Zweck hat, die Authentizität und Integrität des Schriftsatzes zu garantieren und den Rechtsbindungswillen des Ausstellers darzustellen (so auch GmS-OGB, Beschl. V.05.04.2000 – GmS-OGB 1/98; Heckmann, jurisPR-ITR 1/2007 Anm. 3). Das heißt, die Signatur dient wie die Unterschrift dazu, den Aussteller zu identifizieren und den verbindlichen Aussagegehalt der Erklärung festzuhalten.

Das BFH bezieht sich in seiner Argumentation auch auf die Erläuterungen von der Bundesnotarkammer und von Zertifizierungsanbietern wie der Deutschen Post und D-Trust (s.o.) zu der Funktion und Anwendung von Signaturen. Diese geben an, dass sich die monetäre Beschränkung nur auf unmittelbare finanzielle Transaktionen beziehe.

Bei Klageerhebung ginge es aber nicht um eine finanzielle Transaktion, sondern um den Nachweis der Urheberschaft und des prozessualen Erklärungswillens des Absenders. Den Ausschluss von Haftungsrisiken im Zuge eines Klageverfahrens könne dadurch erreicht werden, dass die Signatur mit einer „frei wählbaren Beschränkung“ ausgestattet werde, die Haftungsrisiken die elektronischer Klageerhebung ausschließt, aber keine monetäre Beschränkung sei (so auch Roggenkamp, jurisPR-ITR 5/2006 Anm. 2).

In diesem vom BFH zu entscheidenden Fall war ein Haftungsrisiko darüber hinaus ausgeschlossen, da der bevollmächtigte Prozessvertreter für Haftungskosten nicht einzustehen hatte und ganz im Gegenteil durch die Unzulässigkeit der Klage höhere Folgekosten hätten entstehen könnten.

Klargestellt hat der BFH auch, dass die Verwendung einer sog. Containersignatur zulässig ist.

Quellen