Einleitung Die Corona Pandemie zeigt auf, dass die Digitalisierung bisher unzureichend in Deutschland umgesetzt wurde. Zur Zeit sind Verwaltungen und Behörden geschlossen, somit können und sollen Anträge in den Briefkasten geworfen werden. Das digitale Angebot im Bereich EGovG (E-Government-Gesetz) Anwendungen beschränkt sich bei den Behörden auf die Anmeldung von Sperrmüll etc.. Manche Verwaltungen schließen den digitalen Rechtsverkehr gänzlich aus, was nach §2 des EGovG gar nicht mehr zulässig ist (1). Ein weiteres großes Handicap ist die geringe Verbreitung von Signaturen in der Bevölkerung. Der neue Personalausweis kann nicht als digitale Signatur verwendet werden, es gibt aber einige Anwendungen, die den Ausweis als Legitimation nutzen. Das Angebot der AusweisApp der Firma Governikus (2) kann hier genutzt werden, um z.B. Anträge auf BAföG zu stellen. Mit Downloadzahlen im PlayStore von knapp über 500.000 ist die Verbreitung aber eher sehr gering.
I. Geschichte der Signaturen Signaturen gibt es schon seit vielen tausend Jahren, beginnend in Japan (3) vor rund 3000 Jahren. Hier gab es keine eigenhändige Unterschrift, sondern es wurden nur Stempel verwendet. Diese Jetsuin wurden von den Behörden registriert. Für eine Registrierung muss der Stempel aber genaue Vorgaben einhalten bezüglich Form, Größe und Material. Eine Formvorgabe für digitale Signaturen gibt es auch, und somit sind die 3000 Jahre alten Jetsuin Stempel in der Formvorgabe recht nah an unseren digitalen „Stempeln“ – Signaturen. In Japan gibt es auch Stempel, die in Souvinirläden erhältlich sind. Mit diesen Stempeln können keine Kaufverträge für Autos oder Häuser durchgeführt werden, da diese nicht von den Behörden registriert werden, diese Stempel werden aber gerne in der privaten Kommunikation genutzt.
Wir können also feststellen, dass es immer zwei Bereiche bei der Signatur gibt:
eine behördlich abgesicherte Signatur und eine private Signatur .
II. Formvorschriften Im analogen Geschäftsverkehr gibt es in Deutschland keinen Stempel, sondern nur die Unterschriften der Vertragspartner. Die höchste Formvorschrift in Deutschland ist die Beurkundung von Verträgen durch den Notar. Hier vergewissert sich der Notar, dass die Person mit einem Personalausweis auch die Person ist, die unterzeichnet und auch die Unterschrift muss identisch mit der auf dem Ausweis sein.
Beurkundungspflichtige Rechtsgeschäfte sind in den Gesetzen abschließend aufgezählt, dazu gehören: Grundstückskaufvertrag(§311bAbs.1 BGB), die Verpflichtung zur vollständigen Vermögensübertragung(§311bAbs.3 BGB), das Schenkungsversprechen(§518Abs.1 Satz 1 BGB), der Vertrag über die Ausgleichsforderung aus Zugewinnausgleich(§ 1378Abs. 3 Satz 2 BGB),
der Ehevertrag(§1410BGB), die Sorgeerklärung(§ 1626dBGB), die Verfügung über einen Erbteil (§2033BGB), das öffentliche Testament(§2232BGB), der Erbvertrag( §2276BGB), der Erbverzichtsvertrag(§ 2348BGB), der Erbschaftskauf(§ 2371BGB) oder die Abtretung von Gesellschaftsanteilen an eine GmbH und die zugrunde liegende schuldrechtliche Verpflichtung (§15Abs.3 GmbHG; hierin ist nur die Abtretung geregelt). Wie aus der Zusammenfassung ersichtlich ist, haben die meisten Angelegenheiten einen familiären Aspekt. Die notarielle Beurkundung kann also als höchste Formvorgabe im Schriftverkehr angesehen werden. Auch bei dieser höchsten Formvorgabe ist die digitale Unterschrift möglich. Nach §39a des BeurkG ist aber eine Qualifizierte Elektronische Signatur erforderlich.
Im Schriftwerk der Bundesnotarkammer heißt es :
„Die Technik der qualifizierten elektronischen Signatur eignet sich für die Erzeugung elektronischer notarieller Urkunden, da sie einerseits auf einem sehr hohen Sicherheitsniveau den Nachweis von Veränderungen eines signierten Dokuments ermöglicht und andererseits eine rechtssichere Zuordnung eines Zertifikats zu einer bestimmten Person sichergestellt ist. Der Nachweis von Veränderungen ist möglich, da von der zu signierenden Datei ein unverwechselbarer Datenfingerabdruck (sog. Hash-Wert) generiert wird, der mit einem nur dem Zertifikatsinhaber bekannten sog. privaten Schlüssel (private key) verschlüsselt wird. Die Entschlüsselung erfolgt durch einen für jedermann im Zertifizierungsverzeichnis des Zertifizierungsdiensteanbieters abrufbaren öffentlichen Schlüssel (public key) „ (4)
Darüberhinaus gibt es weitere Schriftformforgaben, die im §126 BGB vorgegeben sind (5). Um den Rechtsverkehr nicht unnötig zu belasten, ist die Schriftform in den meisten Vertragsformen NICHT Pflicht.
In nachfolgenden Fällen ist die Schriftform erforderlich, bzw. die Auslösung einer QES mit einem PIN durchzuführen:
Die Quittung(§368BGB) : nach § 368 BGB ist der Gläubiger einer Leistung (zum Beispiel ein Verkäufer) verpflichtet auf Verlangen des Schuldners eine Quittung zu erteilen. Darauf besteht also ein Rechtsanspruch. Das ist auch logisch, denn nur mit der Quittung kann der Schuldner beweisen, dass er das geschuldete Geld wirklich gezahlt hat. Die Quittung unterliegt in der Regel der Schriftform nach §126 BGB , es sei denn das Gesetz regelt es ausnahmsweise anders (Textform §126 b BGB). Der Verbraucherdarlehensvertrag(§492Abs.1 BGB), Kündigung von Mietverträgen(§568Abs.1 BGB),
Mietverträge für Wohnungen und Gewerberäume mit einer festen Laufzeit von mehr als einem Jahr (§550BGB), ein Arbeitsvertrag und dessen Kündigung (§623 BGB), Bürgschaft natürlicher Personen (§766BGB), Schuldversprechen(§780BGB), Schuldanerkenntnis(§781BGB), Annahme einer Anweisung(§784BGB), Inhaberschuldverschreibung(§793BGB), die Abtretung von Brief-Grundpfandrechten(§1154Abs.1 BGB), die Patientenverfügung§ 1901aAbs. 1 Satz 1 BGB, die Vollmacht, die medizinische oder freiheitsentziehende Maßnahmen umfasst (§1904Abs. 5,§1906Abs. 5 BGB; sog.Vorsorgevollmacht); hier reicht auch die öffentliche Beglaubigung eines Handzeichens durch die Betreuungsbehörde, § 6 Abs. 2BtBG, die Vollmacht, die im Zivilprozess für eine nicht prozessfähige Person erteilt wurde (§51Abs. 3 ZPO), der Pflegevertrag (§120SGB XI), der Heimvertrag (§6WBVG). Die drei großen Bereiche der Schriftform sind hier Miete, Arbeit und Medizin. Für alle anderen Unterschriften in digitaler Form reicht die fortgeschrittene Signatur.
III. Trustcenter Bei der Qualifizierten Elektronischen Signatur (kurz QES), hier ist zwingend die behördliche Kontrolle vorgegeben. Die Bundesnetzagentur übernimmt dabei die Rolle der behördlichen Kontrolle der Zertifizierungsanbieter. Mit viel Elan hat man zu Beginn der 2000er Jahre viele Unternehmen als Zertifizierungsstellen zugelassen, damals gehörten noch DATEV, die Deutsche Post und die Deutsche Rentenversicherung dazu. 20 Jahre später sind nur noch 4 Dienste übrig, unter anderem die Telekom, Bundesnotarkammer und die Bundesdruckerei (6). Bei diesen Anbietern kann ein „Schlüssel“ auf einer Signaturkarte bestellt werden der eine QES auslösen kann. Diese Signaturen kann nur freigeschaltet werden, wenn ein Ident-Verfahren durchgeführt wird. Die Karte ist auch wichtig, da die QES immer aus zwei Faktoren besteht. Es wird also immer noch zur Karte der zweite Faktor genutzt, hier ein PIN Eingabe über ein Lesegerät.
Dieses Verfahren ist dann auf jeden Fall für zugelassene Schriftwerke mit einer Beurkundungsvorgabe oder wenn die Schriftform nach BGB vorgegeben ist, zu nutzen. Für den europäischen Wirtschaftsraum (EWR) wurde im Jahr 2016 die eIDAS Verordnung auf den Weg gebracht, für Deutschland sind dann die Ausführungsbestimmungen maßgebend, die in den Folgejahren Rechtskraft bekommen haben. Das Vertrauensdienstegesetz (VDG) (7) ist in Deutschland dann seit 2019 maßgebend. Neben der Bundesnetzagentur, die die Verzeichnisdienste überprüft und zulässt, kümmert sich auch das BSI (Bundesamt für Informationssicherheit) um die technische Gestaltung der QES. Die Aufgaben des BSI sind in dem Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes definiert. Eine Hauptaufgabe des Bundesamts besteht darin, zu vermitteln, dass die IT-Sicherheit in der Gesellschaft, der öffentlichen Verwaltung und in der Wirtschaft als ein wichtiges Thema
wahrgenommen wird. Mit Unterstützung des BSI sollen Konzepte und Strategien der Informationssicherheit eigenverantwortlich umgesetzt werden können. In der technischen Richtlinie TR 03110 ist dann auch beschrieben wie die QES aufgebaut sein muss (8).
IV. die fortgeschrittene Signatur Was unterscheidet denn die fortgeschrittene Signatur nun von einer qualifizierten Signatur? Die Vorgaben der eIDAS (9) für die fortgeschrittene Signatur sehen wie folgt aus: 1.Sie ist eindeutig dem Unterzeichner zugeordnet. 2.Sie ermöglicht die Identifizierung des Unterzeichners. 3.Sie wird unter Verwendung elektronischer Signaturerstellungsdaten erstellt, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann. 4.Sie ist so mit den auf diese Weise unterzeichneten Daten verbunden, dass eine nachträgliche Veränderung der Daten erkannt werden kann. Im Vergleich hierzu die Vorgaben für die QES: 1.muss die Signatursoftware folgendes gewährleisten: a. Die Vertraulichkeit der elektronischen Signaturerstellungsdaten. b. Die zum Erstellen der elektronischen Signatur verwendeten elektronischen Signaturerstellungsdaten können praktisch nur einmal vorkommen. c. Die zum Erstellen der Signatur verwendeten elektronischen Signaturerstellungsdaten können nicht abgeleitet werden und die Signatur ist bei Verwendung der jeweils verfügbaren Technik gegen Fälschung geschützt d. Die zum Erstellen der Signatur verwendeten elektronischen Signaturerstellungsdaten können vom rechtmäßigen Unterzeichner gegen eine Verwendung durch andere verlässlich geschützt werden. 2. Die Signatursoftware darf die zu unterzeichnenden Daten nicht verändern und nicht verhindern, dass dem Unterzeichner diese Daten vor dem Unterzeichnen angezeigt werden. 3.Das Erzeugen oder Verwalten von Signaturerstellungsdaten im Namen eines Unterzeichners darf nur von einem qualifizierten Vertrauensdienstanbieter (wie zuvor beschriebene Trustcenter) durchgeführt werden. 4. Unbeschadet des Absatzes 1 Buchstabe (d) dürfen qualifizierte Vertrauensdiensteanbieter, die elektronische Signaturerstellungsdaten im Namen des Unterzeichners verwalten, die elektronischen Signaturerstellungsdaten ausschließlich zu Sicherungszwecken kopieren, sofern folgende Anforderungen erfüllt sind: a. Die kopierten Datensätze müssen das gleiche Sicherheitsniveau wie die Original-Datensätze aufweisen.
b. Es dürfen nicht mehr kopierte Datensätze vorhanden sein, als zur Gewährleistung der Dienstleistungskontinuität unbedingt nötig.
Technisch werden diese Verfahren in der ISO 15408 festgelegt. Überprüft und zugelassen werden die Software- und Hardwaremodule wiederum durch Zertifzierungsstellen (10) und Produkte, die zugelassen sind, finden sich dann in der Liste des BSI . (11)
Vergleicht man nun beide Verfahren der Signatur, dann ist die QES um ein vielfaches aufwändiger, sowohl in den technischen Vorgaben als auch im Identitäsnachweis. Wenn wir nun den Sachverhalt hinzuziehen, dass die QES nur in wenigen Fällen gesetzlich vorgeschrieben ist, dann ist verständlich, warum die Wirtschaft eher einen großen Bogen um die QES macht, alleine schon vom Kostenfaktor her. Dies haben sich einige Firmen zu Nutze gemacht und bieten die fortgeschrittene Signatur als Produkt an. Auch im behördlichen Bereich ist die fortgeschrittene Signatur seit Erfindung des Druckers vorhanden, den häufig finden wir unter den Schreiben den Passus: „Schreiben maschinell erstellt und ohne Unterschrift gültig“. Formell gesehen ist dieser Text somit einer fortgeschrittenen Signatur gleich zu setzen: es gibt keine händische Unterschrift oder Signatursigel. Klar ist dann aber auch, dass dieses Schreiben aufgrund der Form mit hoher Sicherheit eben von dieser Behörde kommt. Aber wie sieht es mit “wichtigeren” Dokumenten, zum Beispiel einem Steuerbescheid aus? Sind diese wirklich ohne Unterschrift gültig? Steuerbescheide sind Verwaltungsakte. Wie diese der Form nach aussehen müssen, beschreibt §37 Verwaltungsverfahrensgesetz (VwVfG). Unter anderem heißt es dort auszugsweise: “Bei einem schriftlichen Verwaltungsakt, der mit Hilfe automatischer Einrichtungen erlassen wird, können abweichend von Absatz 3 Unterschrift und Namenswiedergabe fehlen.” Hier wird also ganz klar gesagt, dass dieser Satz bei behördlichen Schreiben seine Berechtigung hat. Hintergrund ist, dass eine Unmenge von Schreiben erstellt werden, die aus rein praktischen Gründen gar nicht alle persönlich unterzeichnet werden können. Wir können in den Steuergesetzen dann auch weitere Vorgaben finden für die Nutzung von Unterschriften und Signaturen. Da der Gesetzgeber genau vorschreibt, welche Pflichtangaben eine Rechnung enthalten muss, besteht KEINE Verpflichtung für weitere Angaben, die über die Liste aus dem § 14 UStG hinaus gehen. Das Umsatzsteuergesetz nennt in seinen Ausführungen keine Unterschrift, die für die Gültigkeit einer Rechnung erforderlich wäre. Daher ist eine Unterschrift auf einer Rechnung auch nicht nötig. Die Rechnung kann allerdings durchaus eine Unterschrift tragen, ohne dadurch ihre Gültigkeit zu verlieren. Allerdings geht die Unterschrift auf einer normalen Rechnung auch mit einem Risiko einher. Wer seine Rechnungen auf Papier ausdruckt und an den Kunden verschickt, sollte auf eine Unterschrift auf dem Dokument verzichten. Denn grundsätzlich besteht die Gefahr, dass der Empfänger die Unterschrift benutzt, um das Dokument zu fälschen. So kann der Empfänger zum Beispiel oberhalb der Unterschrift einen Stempel mit dem Vermerk „Betrag dankend erhalten“
anbringen, sodass die Unterschrift wie eine Bestätigung des Stempels aussieht. Damit erhält die Unterschrift fälschlicherweise eine Funktion, die einen nicht erfolgten Zahlungseingang bestätigt. In einem solchen Fall liegt die Beweislast dafür, dass eine Fälschung vorliegt, beim Rechnungssteller. Um ein derartiges Risiko zu vermeiden, ist es ratsam, im analogen Schriftverkehr,keine Unterschrift auf der normalen Rechnung anzubringen. Im digitalen Bereich, egal ob mit fortgeschrittener oder qualifizierter Signatur ist die Fälschung aber nicht möglich, daher ist die Nutzung der Signaturen auch dazu dienlich. geschäftlichen Schriftverkehr fälschungssicher zu machen. Wir sehen auch, dass selbst eine fortgeschrittene Signatur in vielen Bereichen nicht erforderlich ist, die QES erst recht nicht.
IV. Signieren DocuSign (12) ist hier sicher der Marktführer, 2004 gegründet und nach Geschäftsangaben rund 100 Millionen Nutzer weltweit. Auch die Telekom nutzt diese Dienste. DocuSign Deutschland ist dann aus datenschutzrechtlicher Sicht eher kein Problem, ausgehend von den Angaben der Datenschutzerklärung gelangen wohl keine Daten in die USA (13). Der nächste global Player ist das amerikanische Unternehmen ADOBE. Mit der Funktion seiner Software Adobe fill&sign muss der Kunde ein Nutzerkonto erstellen und sich hierbei über seine Mailadresse authentifizieren, dann wird eine handschriftliche Unterschrift erstellt, diese kann dann in Zukunft unter die PDF Dokumente gesetzt werden. Problematisch ist hier die Tatsache, dass die Firma ihren Sitz in den USA hat. Zwar wird darauf geachtet, dass man eine Zertifizierung nach US privacy shield erhält (14), dies reicht aber nicht aus, soweit sensible personenbezogene Daten in die Adobe-Cloud geladen werden. Diesen Angeboten können aber alle eben keine qualifizierte elektronische Signatur auslösen sondern nur die fortgeschritten Signatur. Eine weitere Cloud Sign Lösung bietet die Bundesdruckerei an. Der Dienst sign me kann sowohl die fortgeschrittene Signatur als auch die QES auslösen und ist sowohl vom Preis als auch von der Sicherheit im Bezug zum Datenschutz vorzuziehen, da die Bundesdruckerei auch als Trust Center fungiert und somit sowohl technisch als auch methodisch den Vorgaben des BSI und der Bundesnetzagentur unterstehen (15). Um eine Signatur zu setzen benötigt man eine spezielle Software. Die Anbieter sind hier zahlreich, es sollte aber darauf geachtet werden, dass das Trustcenter die Software in der Liste der nutzbaren Software aufführt. Interessant ist die Tatsache, dass das setzen einer fortgeschrittenen Signatur keine Vorgaben in der TR des BSI hat. Somit ist es möglich in den meisten Wordanwendungen die Korrespondenz mit einer fortgeschrittenen Signatur zu versehen. Dies wird z.B. schon von den meisten UNI´s umgesetzt. Der Student erhält einen fortgeschrittenen Signatur in Form eines Softwareschlüssels an seine vorher definierte Mailadresse und kann dann den Schlüssel in die Software hinzufügen. Somit kann beim Einsenden seiner Unterlagen die Zuordnung zur Person recht sicher erfolgen. Dieses einfache Verfahren wäre mit der QES nicht möglich, da der zweite Faktor nicht überprüft werden könnte. In der aktuellen Phase der Digitalisierung sehe ich einen Nutzen darin, Prozesse möglichst einfach zu gestalten. Für Softwareanbieter bietet sich die Möglichkeit ihr Produkt so zu gestalten, dass eine fortgeschrittene Signatur möglich ist. Der
Kunde kann sich das analoge Unterschreiben sparen und der Medienbruch wird vermieden : ausdrucken-unterschreiben-einscannen-versenden. Betrachtet man die Erfordernisse einer QES im Schriftverkehr und bei Rechtsgeschäften, so steht es außer Frage, dass ein Rechtsanwalt und Notar diese Signaturform zwingend hat. Für jeden anderen Nutzer ist jedoch die Schriftformerfordernis so selten, dass ein Kauf der Produkte eher nicht lohnt. Ich rate dazu sich eine fortgeschrittene Signatur zuzulegen von einem Anbieter, der „zuverlässig“ ist, also am besten von einem Trustcenter, auch wenn hier eine überschaubare Bezahlung erforderlich ist.
- https://www.gesetze-im-internet.de/egovg/__2.html
Add a Comment