Rechtliche Fragestellungen zu elektronischen Signaturen

 

 

Signaturen dienen der Identifizierung des Unterzeichners eines Dokuments und der Sicherstellung der Integrität des Inhalts des Dokuments. Ein Bedürfnis für beides besteht inzwischen insbesondere im elektronischen Rechtsverkehr, da mittlerweile nahezu in allen Branchen ein Geschäftsablauf in der prinzipiell sehr unpersönlichen elektronischen Form nicht mehr wegzudenken ist, aber dennoch ein Interesse daran gegeben ist, sicher zu wissen, mit wem man kommuniziert. Hierfür gibt es die Möglichkeit elektronischer Signaturen, die mit den elektronischen Dokumenten verknüpft werden und den Zweck einer Unterschrift bei einem „klassischen“ Dokument erfüllen. Die rechtlichen Rahmenbedingungen für solche Signaturen regeln in Deutschland im Wesentlichen das Signaturgesetz (SigG) und die Signaturverordnung (SigV). Daneben sind zahlreiche weitere Bestimmungen in den jeweiligen Einzelgesetzen enthalten, insbesondere im Bürgerlichen Gesetzbuch (BGB), durch die weitere notwendige rechtliche Ausgestaltungen der Signatur für die jeweiligen Rechtsgeschäfte vorgenommen werden.

 

Zu unterscheiden ist die Signatur von der Verschlüsselung. Die Signatur dient der Sicherstellung, dass ein bestimmter Inhalt eines elektronischen Dokuments von einem bestimmten Urheber stammt. Die Verschlüsselung sorgt dagegen dafür, dass ein bestimmter Inhalt eines elektronischen Dokuments nur bestimmten Empfängern zugänglich ist.

 

 

1. Formen der elektronischen Signatur

 

Zunächst sollte einmal klargestellt werden, dass der Begriff „elektronische Signatur“ und der Begriff „digitale Signatur“ nicht synonym zu verwenden sind. Ersterer Begriff ist umfassender und schließt auch die digitale Signatur mit ein, die durch ihr kryptografisches Verfahren ein hohes Maß an Sicherheit bietet. Die „elektronische Signatur“ ist ein rechtlicher Begriff, der sich nicht auf eine Technologie der Signatur festlegt und daher auch bei einem Technologiewechsel von der digitalen Signatur auf ein anderes mögliches Verfahren Anwendung finden kann.

 

Das Gesetz selbst enthält in § 2 SigG Legaldefinitionen der einzelnen unterschiedlichen Signaturstandards:

 

 

a) Elektronische Signatur, § 2 Nr. 1 SigG

 

Gemäß § 2 Nr. 1 SigG sind „elektronische Signaturen“ Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen. An diesen Signaturstandard stellt das Gesetz keine besonderen Anforderungen. Es genügt hierfür die Angabe des Absenders, also beispielsweise die eingescannte Unterschrift, die unter ein Dokument gesetzt wird. Diese Form der Signatur ist für den Geschäftsverkehr auf keinen Fall ausreichend, eine Athentizitätsgarantie kann aufgrund des hohen Fälschungsrisikos mit der (einfachen) elektronischen Signatur nicht gegeben werden.

 

b) Fortgeschrittene elektronische Signatur, § 2 Nr. 2 SigG

 

„Fortgeschrittene elektronische Signaturen“ entsprechen gemäß § 2 Nr. 2 SigG den einfachen elektronische Signaturen im Sinne von § 2 Nr. 1 SigG, die aber zusätzlich

 

– ausschließlich dem Signaturschlüssel-Inhaber zugeordnet sind,

 

– die Identifizierung des Signaturschlüssel-Inhabers ermöglichen,

 

– mit Mitteln erzeugt werden, die der Signaturschlüssel-Inhaber unter seiner alleinigen Kontrolle halten kann, und

 

– mit den Daten, auf die sie sich beziehen, so verknüpft sind, dass eine nachträgliche Veränderung der Daten erkannt werden kann.

 

Sie ist wesentlich sicherer als die einfache elektronische Signatur, da bei ihr ein sogenanntes asymmetrisches Verschlüsselungsverfahren (PGP) verwendet wird. Dabei wird die Nachricht mit einem öffentlichen Schlüssel durch den Absender verschlüsselt und durch den Empfänger mit seinem privaten, geheimen Schlüssel entschlüsselt.

 

c) Qualifizierte elektronische Signatur, § 2 Nr. 3 SigG

 

Gemäß § 2 Nr. 3 SigG versteht man unter einer qualifizierten elektronischen Signatur eine fortgeschrittene elektronische Signatur im Sinne des § 2 Nr. 2 SigG mit dem Zusatz, dass die qualifizierte elektronische Signatur auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikat beruht und mit einer sicheren Signaturerstellungseinheit erzeugt wird. Im Prinzip entspricht die qualifizierte elektronische Signatur damit der fortgeschrittenen, mit dem wesentlichen Unterschied, dass hierbei das Schlüsselpaar anders als bei dem mit PGP selbst erzeugten Schlüsselpaar der fortgeschrittenen elektronischen Signatur von einem Zertifizierungsdiensteanbieter gemäß § 5 SigG herausgegeben wird. In diesem Fall befindet sich der Private Key auch nicht auf der Festplatte des Benutzers, sondern wird, um ihn vor datenausspähenden Viren zu schützen, auf einer externen Hardware (nur bei Signaturerstellungseinheiten) gespeichert (z. B. auf einer Chipkarte). Diese Form der Signatur ist damit die sicherste aller drei Formen und wird in vielen gesetzlichen Formvorschriften vorausgesetzt (so zum Beispiel für die elektronische Form gemäß § 126a BGB anstelle der „klassischen“ Schriftform).

 

 

2. Rechtliche Anforderungen an die qualifizierte elektronische Signatur nach dem SigG

 

Das SigG regelt in §§ 4 ff. umfassend den Bereich der Zertifikatsvergabe durch die Zertifizierungsdiensteanbieter, die durch Vergabe von Zertifikaten die Schlüsselverwender identifizieren. Damit stehen Zertifizierungsdiensteanbieter im Mittelpunkt der rechtlichen Rahmenbedingungen für qualifizierte elektronische Signaturen nach dem SigG.

 

a) Vergabe von Zertifikaten an Schlüsselverwender

 

aa) Einfaches und qualifiziertes Zertifikat

 

Die Zertifikatvergabe ermöglicht die Vergabe von fortgeschrittenen und qualifizierten elektronischen Signaturen. Es gibt zwei unterschiedliche Arten von Zertifikaten: Das einfache Zertifikat gemäß § 2 Nr. 6 SigG und qualifizierte Zertifikat nach § 2 Nr. 7 SigG. Ersteres ist eine elektronische Bescheinigung, mit denen Signaturprüfschlüssel einer Person zugeordnet werden und die Identität dieser Person bestätigt wird. Das qualifizierte Zertifikat entspricht dagegen einem einfachen Zertifikat für natürliche Personen, erfüllt aber zusätzlich die Voraussetzungen des § 7 SigG und wird von einem Zertifizierungsdiensteanbieter ausgestellt, der mindestens die Anforderungen nach den §§ 4 bis 14 oder § 23 des SigG und der sich darauf beziehenden Vorschriften der Rechtsverordnung nach § 24 SigG erfüllt. Qualifizierte Zertifikate können anders als einfache Zertifikate somit nur von einer Zertifizierungsstelle ausgestellt werden und sind Voraussetzung für die Vergabe von qualifizierten elektronischen Signaturen (nicht so für bloße fortgeschrittene Signaturen, hierfür genügt ein einfaches Zertifikat, die Mitwirkung eines Zertifizierungsdiensteanbieters ist insoweit nicht erforderlich). Das Vergabeverfahren wird von der Bundesnetzagentur überwacht.

 

ab) Anforderungen an die Vergabe von qualifizierten Zertifikaten

 

Gemäß § 5 Absatz 1 SigG hat der Zertifizierungsdiensteanbieter Personen (die Schlüsselverwender), die ein qualifiziertes Zertifikat beantragen, zuverlässig zu identifizieren. Dies ist nach dem Gesetz die Hauptfunktion eines Zertifizierungsdiensteanbieters und steht noch vor dem Sicherheitsaspekt. Zwar wird durch die Vergabe von Zertifikaten durch Zertifizierungsdiensteanbieter auch die Sicherheit von elektronischen Signaturen deutlich erhöht, aber in erster Linie soll dem Schlüsselinhaber auch im elektronischen Rechtsverkehr eine persönliche Identität verliehen werden, unter der keine andere Person auftreten kann. Unter den Voraussetzungen des § 5 Absatz 2 SigG kann ein qualifiziertes Zertifikat auf Verlangen des Antragstellers Angaben über seine Vertretungsmacht für eine dritte Person sowie berufsbezogene oder sonstige Angaben zu seiner Person (Attribute) enthalten. Anstelle von Namen können in einem qualifizierten Zertifikat gemäß § 5 Absatz 3 SigG auch Pseudonyme verwendet werden. Die Übergabe des privaten Signaturschlüssels erfolgt entsprechend den Bestimmungen des § 5 Absatz 2 SigV.

 

ac) Dauer der Gültigkeit eines Zertifikats

 

Gemäß § 14 Absatz 3 SigG darf die Gültigkeitsdauer eines qualifizierten Zertifikates höchstens zehn Jahre betragen und den Zeitraum der Eignung der eingesetzten Algorithmen und zugehörigen Parameter nicht überschreiten. Die Gültigkeit eines qualifizierten Attribut-Zertifikates endet spätestens mit der Gültigkeit des qualifizierten Zertifikates, auf das es Bezug nimmt.

 

b) Anforderungen an die Zertifizierungsstellen

 

Zwar ist der Betrieb eines Zertifizierungsdienstes gemäß § 4 Absatz 1 SigG genehmigungsfrei, aber gibt es einige gesetzliche Anforderungen, die der Anbieter eines Zertifizierungsdienstes erfüllen muss. Diese Anforderungen beschreibt insbesondere § 4 Absatz 2 SigG. Nach dieser Vorschrift darf einen Zertifizierungsdienst nur betreiben, wer die für den Betrieb erforderliche Zuverlässigkeit und Fachkunde sowie eine Deckungsvorsorge nach § 12 SigG nachweist und die weiteren Voraussetzungen für den Betrieb eines Zertifizierungsdienstes nach dem SigG und der Rechtsverordnung nach § 24 Nr. 1, 3 und 4 SigG gewährleistet. Die erforderliche Zuverlässigkeit besitzt, wer die Gewähr dafür bietet, als Zertifizierungsdiensteanbieter die für den Betrieb maßgeblichen Rechtsvorschriften einzuhalten. Die erforderliche Fachkunde liegt vor, wenn die im Betrieb eines Zertifizierungsdienstes tätigen Personen über die für diese Tätigkeit notwendigen Kenntnisse, Erfahrungen und Fertigkeiten verfügen.

 

Daneben enthält § 6 SigG bestimmte Unterrichtungspflichten: Der Zertifizierungsdiensteanbieter hat den Antragsteller im Sinne des § 5 Absatz 1 SigG über die Maßnahmen zu unterrichten, die erforderlich sind, um zur Sicherheit von qualifizierten elektronischen Signaturen und zu deren zuverlässiger Prüfung beizutragen. Er hat den Antragsteller darauf hinzuweisen, dass Daten mit einer qualifizierten elektronischen Signatur bei Bedarf neu zu signieren sind, bevor der Sicherheitswert der vorhandenen Signatur durch Zeitablauf geringer wird. Darüber hinaus hat der Zertifizierungsdiensteanbieter den Antragsteller darüber zu unterrichten, dass eine qualifizierte elektronische Signatur im Rechtsverkehr die gleiche Wirkung hat wie eine eigenhändige Unterschrift, wenn durch Gesetz nicht ein anderes bestimmt ist.

Im Zusammenhang mit den Anforderungen an Zertifzierungsdiensteanbieter ist noch darauf hinzuweisen, dass diese sich gemäß § 15 Absatz 1 SigG auf Antrag von der zuständigen Behörde akkreditieren lassen können. Diese staatliche Anerkennung wird für die meisten Zertifizierungsdiensteanbieter sehr interessant sein, da sie eine Art offizielles „Gütesigel“ für den Nachweis der Fähigkeiten darstellt. 

 

 

3. Anwendungsfelder der elektronischen Signaturen im deutschen Recht

 

Um die durch das SigG vorgesehene elektronische Signatur nicht leerlaufen zu lassen, sondern ihr auch praktische Geltung zu verschaffen, wurde diese in zahlreiche gesetzliche Bestimmungen zu Formerfordernissen aufgenommen, die bislang nur die „klassische“ Schriftform genügen ließen.

 

Die wichtigsten Vorschriften in diesem Zusammenhang sind §§ 126 Absatz 3 und 126a BGB. Nach § 126 Absatz 3 BGB kann die schriftliche Form durch die elektronische Form ersetzt werden, wenn sich aus dem Gesetz nicht ein anderes ergibt. Die elektronische Form in diesem Sinne beinhaltet, dass der Aussteller der Erklärung dieser seinen Namen hinzufügt und das elektronische Dokument mit einer qualifizierten elektronischen Signatur nach dem SigG versieht. Diese Vorschriften führen dazu, dass bei zahlreichen Rechtsgeschäften nach dem BGB, bei denen bislang eine schriftliche, d. h. eine eigenhändig unterschriebene Erklärung notwendig war, nunmehr auch die elektronische Form genügt, soweit das Dokument eben eine qualifizierte elektronische Signatur enthält. Beispielhaft sei hier nur das Verbraucherkreditgeschäft nach §§ 491 ff. BGB genannt. In § 492 BGB wird die Schriftform für den Abschluss eines Verbraucherkreditvertrags genannt. Seit 30. Juli 2010 wird aber die elektronische Form nicht mehr ausgeschlossen, sodass gemäß § 126 Absatz 3 BGB anstelle der Schriftform auch die elektronische Form genügt.

 

Dennoch gibt es auch weiterhin einige Rechtsgeschäfte, bei denen die Schriftform nach wie vor nicht durch die elektronische Form ersetzt werden kann. Dies gilt insbesondere für die Kündigung des Arbeitsverhältnisses (§ 623 BGB), das Zeugnis (§ 630 BGB für Dienstverhältnisse und § 109 Absatz 1 Gewerbeordnung für Arbeitsverhältnisse), die Bürgschaft (§ 766 BGB), das Schuldversprechen (§ 780 BGB) und das Anerkenntnis (§ 781 BGB). Hier schließt das Gesetz die elektronische Form jeweils aus. Gerade im Zusammenhang mit der Bürgschaft, dem Schuldversprechen und dem Anerkenntnis soll die Schriftform den Schuldner vor einer übereilten Erklärung schützen.

 

Daneben besteht mittlerweile auch die Möglichkeit, in elektronischer Form, also durch E-Mail, mit dem Gericht zu kommunizieren. Hierbei soll das Dokument mit einer elektronischen Signatur nach dem SigG versehen werden (siehe beispielsweise für den Zivilprozess § 130a ZPO).

 

 

4. Beweiskraft der elektronischen Signaturen

 

Die elektronische Signatur nach dem SigG hat – neben dem bereits erwähnten § 130a ZPO – auch an anderen Stellen Eingang in das Zivilprozessrecht gefunden und deren Beweiskraft gegenüber der früheren Rechtslage verbessert. Insbesondere § 371a ZPO ist dabei von Bedeutung. Nach dieser Vorschrift finden auf private elektronische Dokumente, die mit einer qualifizierten elektronischen Signatur versehen sind, die Vorschriften über die Beweiskraft privater Urkunden entsprechende Anwendung. Der Anschein der Echtheit einer in elektronischer Form vorliegenden Erklärung, der sich auf Grund der Prüfung nach dem Signaturgesetz ergibt, kann nur durch Tatsachen erschüttert werden, die ernstliche Zweifel daran begründen, dass die Erklärung vom Signaturschlüssel-Inhaber abgegeben worden ist.

 

Vor der Einführung des § 371a ZPO war das Gericht nicht an den Inhalt eines privaten elektronischen Dokuments gebunden, es unterlag als Objekt des Augenscheins vielmehr der freien richterlichen Beweiswürdigung. Inzwischen kommt der elektronischen Signatur dagegen eine Echtheitsvermutung zu.

 

 

5. Haftung

 

 

a) Haftung des Zertifizierungsdiensteanbieters gegenüber dem Schlüsselinhaber

 

Dieser Fall kann insbesondere dann eintreten, wenn der Schlüsselinhaber einen Schlüssel mit Sicherheitslücke verwendet und einem Dritten zum Schadensersatz verpflichtet ist.

 

Es besteht dabei kein Anspruch aus § 11 SigG, der nur Ansprüche Dritter gegen den Zertifizierungsdiensteanbieter erfasst, nicht aber Ansprüche des Schlüsselinhabers. Dieser ist nicht „Dritter“ im Sinne der Vorschrift. Bei schuldhaften Pflichtverletzungen des Zertifizierungsdiensteanbieters gegenüber dem Schlüsselinhaber können aber Ansprüche aus §§ 280 Absatz 1, 241 Absatz 2, 311 Absatz 2 BGB (sogenannte culpa in contrahendo) bestehen. Dies gilt auch für den Fall bestehender Sicherheitslücken beim Zertifizierungsdiensteanbieter aufgrund Organisationsverschuldens. Der Schlüsselinhaber kann aus dieser Anspruchsgrundlage auch einen Freistellungsanspruch haben, wenn er dem Dritten zum Schadensersatz verpflichtet ist.

 

 

 

b) Haftung des Zertifizierungsdiensteanbieters gegenüber Dritten

 

Verletzt ein Zertifizierungsdiensteanbieter die Anforderungen des SigG oder der Rechtsverordnung nach § 24 SigG oder versagen seine Produkte für qualifizierte elektronische Signaturen oder sonstige technische Sicherungseinrichtungen, so hat er gemäß § 11 Absatz 1 SigG einem Dritten den Schaden zu ersetzen, den dieser dadurch erleidet, dass er auf die Angaben in einem qualifizierten Zertifikat, einem qualifizierten Zeitstempel oder einer Auskunft nach § 5 Absatz 1 Satz 3 SigG vertraut (dementsprechend keine Haftung, wenn der Dritte die Pflichtverletzung kannte oder aus Fahrlässigkeit nicht kannte). Erforderlich ist aber gemäß § 11 Absatz 2 SigG ein Verschulden des Zertifizierungsdiensteanbieters (das Verschulden wird aber vermutet). In diesem Zusammenhang sei noch darauf hingewiesen, dass sich der Zertifizierungsdiensteanbieter gemäß § 12 SigG eine Deckungsvorsorge für Haftungsfälle zu treffen hat. Die Mindestsumme hierfür beträgt jeweils EUR 250.000,00 für einen durch ein haftungsauslösendes Ereignis verursachten Schaden.

 

 

c) Haftung des Schlüsselinhabers gegenüber Dritten

 

Benutzt ein anderer die Signatur unter fremdem Namen, sind unterschiedliche Ansprüche gegen den Schlüsselinhaber denkbar, wenn einem Dritten hierdurch ein Schaden entsteht.

 

Hier besteht in bestimmten Fällen nicht nur eine Haftung des anderen als Vertreter ohne Vertretungsmacht entsprechend § 179 BGB. Es droht auch eine Haftung des Schlüsselinhabers, wenn der andere mit Wissen des Schlüsselinhabers unter fremdem Namen gehandelt hat oder es der Schlüsselinhaber insoweit an der notwendigen Sorgfalt mangeln ließ, nach den Grundsätzen der Anscheins- oder Duldungsvollmacht. Eine Haftung kann erst recht bestehen, wenn der Schlüsselinhaber dem anderen willentlich die PIN für den Signaturschlüssel überlassen hat und der andere ihn missbraucht (ähnlich wie beim Missbrauch einer überlassenen Blanketturkunde, die abredewidrig vom anderen ausgefüllt wird).

 

Kommt dem Schlüsselinhaber der Schlüssel abhanden, haftet er einem Dritten gemäß §§ 280 Absatz 1, 241 Absatz 2, 311 Absatz 2 BGB (culpa in contrahendo), wenn er den Verlust nicht unverzüglich meldet.

 

Eine Haftung des Schlüsselinhabers gegenüber einem Dritten besteht aber immer nur dann, wenn der Dritte darauf vertraut hat, dass der Signaturschlüssel vom wahren Inhaber verwendet wird, und er auch darauf vertrauen durfte (Letzeres ist insbesondere dann nicht der Fall, wenn es sich aufgrund bestimmter Umstände dem Dritten aufdrängen muss, dass ein Missbrauch vorliegt). Eine (volle) Haftung besteht jedenfalls auch dann nicht, wenn dem Dritten ein eingetragener Sperrvermerk im Sinne von § 8 SigG eingetragen ist.

 

.

Copyright Institut für Datenschutz und -Sicherheit GmbH (IfDuS) – Lars Beitlich