Qualifizierte elektronische Signatur

aus Wikipedia, der freien Enzyklopädie
(Weitergeleitet von Sichere elektronische Signatur)
Wechseln zu: Navigation, Suche
Deutschlandlastige Artikel Dieser Artikel oder Absatz stellt die Situation in Deutschland dar. Hilf mit, die Situation in anderen Staaten zu schildern.

Eine qualifizierte elektronische Signatur (QES) ist nach dem deutschen Signaturgesetz eine fortgeschrittene elektronische Signatur, die auf einem (zum Zeitpunkt ihrer Erzeugung gültigen) qualifizierten Zertifikat beruht und mit einer sicheren Signaturerstellungseinheit (SSEE) erstellt wurde. Die Entsprechungen in Österreich und in Liechtenstein werden als sichere elektronische Signatur bezeichnet; mit der Novellierung des österreichischen Signaturgesetzes zum 1. Januar 2008 wurde der Begriff jedoch auch auf qualifizierte elektronische Signatur geändert.

Zertifikat[Bearbeiten]

Hauptartikel: Digitales Zertifikat

Jeder geheime, auf asymmetrischen Verschlüsselungsverfahren basierende Signaturschlüssel hat immer einen einzigen korrespondierenden öffentlichen Signaturprüfschlüssel. Ein Zertifikat des Zertifizierungsdiensteanbieters (ZDA) ist die elektronische Bescheinigung, dass der Signaturprüfschlüssel und damit auch der korrespondierende Signaturschlüssel einer Person zugeordnet wurde und die Identität dieser Person bestätigt werden kann (vgl. § 2 Nr. 6 Signaturgesetz). Bei der elektronischen Signatur enthält das Zertifikat den öffentlichen Schlüssel, mit dem der während der Signaturerstellung verschlüsselte Hashwert (Prüfsumme) des elektronischen Dokuments entschlüsselt und gegen einen neu erstellten Hashwert verglichen und damit die Authentizität des elektronischen Dokuments überprüft werden kann. Zu den Details siehe elektronische Signatur.

Für die qualifizierte elektronische Signatur muss der Zertifizierungsdiensteanbieter die §§ 4 bis 14 Signaturgesetz einhalten und die Aufnahme der Tätigkeit bei der zuständigen Behörde (Bundesnetzagentur) anzeigen (§4 Abs. 3 SigG). Ab der Anzeige des Betriebs können Zertifikate für qualifizierte elektronische Signaturen ausgestellt werden. Vor der Anzeige des Betriebes ausgestellte Zertifikate ermöglichen bestenfalls das Erstellen von fortgeschrittenen elektronischen Signaturen.

Sinn dieser Regelungen ist insbesondere, die Identität des Zertifikatinhabers sicherzustellen und die sichere Aufbewahrung und Zurverfügungstellung des Zertifikats zu gewährleisten. Das Zertifikat dient der Identifikation einer Person und muss daher sicher aufbewahrt werden, damit es nicht unzulässig verändert werden kann. Die Feststellung, wer ein Zertifikat beantragt, muss über ein sicheres Verfahren getroffen werden. Ein solches Verfahren ist zum Beispiel Postident, bei dem man seinen Personalausweis oder Reisepass in einer Filiale der Deutschen Post AG vorlegen muss, wenn man den Antrag auf ein Zertifikat stellt. So kann man sicher sein, wem ein Zertifikat gehört. Ein anderes denkbares (aber nicht sehr praktikables) Verfahren könnte sein, dass ein Antragsteller persönlich beim ZDA erscheint und sich ausweist. Was im Einzelfall für den Registrierungsprozess ausreichend ist, beschreibt der ZDA in seinem einsehbaren Sicherheitskonzept.

Bei einer zuverlässigen Zertifizierungsstelle ist somit nachvollziehbar, zu welcher Person ein Zertifikat gehört. Mit Hilfe des Zertifikats kann festgestellt werden, ob eine elektronische Signatur wirklich von einer bestimmten Person stammt.

Attribut[Bearbeiten]

Hauptartikel: Attributzertifikat

Mit dem qualifizierten (Personen-)Zertifikat, das für eine qualifizierte elektronische Signatur erforderlich ist, können zusätzliche Attributszertifikate im Sinne von § 5 Abs. 2 SigG verbunden werden. Zu diesen Attributen gehören insbesondere Angaben zu Vertretungsverhältnissen, etwa für einen Geschäftsführer einer GmbH, oder berufsbezogene Angaben wie "Notar", "Rechtsanwalt", "Steuerberater", "Wirtschaftsprüfer", "Urkundenübersetzer" oder weitere Berufsbezeichnungen, deren Benutzung reguliert ist. Um ein solches Attribut dem qualifizierten Zertifikat beizufügen, bedarf es der Zustimmung der zuständigen Stelle. Bei einem Notar muss die zuständige Notarkammer zustimmen, bei einem Rechtsanwalt die zuständige Rechtsanwaltskammer etc. In ähnlicher Weise muss bei Vertretungsverhältnissen beispielsweise eine GmbH die Eigenschaft eines Antragstellers als Geschäftsführer des Unternehmens bestätigen. Zugleich erhält der Zustimmende gemäß § 8 Abs. 2 SigG das Recht, das Zertifikat sperren zu lassen, wenn das Vertretungsverhältnis nicht mehr besteht oder die Berufsbezeichnung nicht mehr geführt werden darf oder ihre Führung von einer anderen Stelle reguliert wird.

Nicht zu den berufsbezogenen Angaben gehören hingegen mit einem Beruf gelegentlich einhergehende akademische Grade oder Amtsbezeichnungen (z.B. Prof., Dr., Dipl.-Ing. etc.) oder Adelstitel (Freiherr, Graf, Herzog, etc.). Doktorgrad und Adelstitel sind ggf. in den Ausweisdokumenten einer Person enthalten und können insofern gleichwohl als Namensbestandteil in das qualifizierte Zertifikat einer Person aufgenommen werden.

Abgrenzung zu anderen Signaturarten[Bearbeiten]

Der Teilbegriff „qualifiziert“ leitet sich aus dem Signaturgesetz ab, das mehrere Stufen von Signaturen festlegt. Es gibt einige Anforderungen an die Infrastruktur und Abläufe besonders beim ZDA, damit eine Signatur als qualifiziert gelten kann, etwa im Hinblick auf die Identifizierung des Inhabers.

Ein mit einer qualifizierten Signatur signiertes elektronisches Dokument kann nach §126a BGB in Deutschland die per Gesetz oder Verordnung notwendige Schriftform ersetzen. Die Schriftform ist beispielsweise bei der Kündigung eines Arbeitsverhältnisses notwendig.

Aufgrund der Formfreiheit für Rechtsgeschäfte, z.B. Kaufverträge, bedarf es grundsätzlich keiner Signatur; deswegen reicht in den meisten Fällen – soweit nicht per Gesetz die Schriftform oder eine qualifizierte elektronische Signatur explizit gefordert ist – eine einfache oder fortgeschrittene elektronische Signatur aus.

Nach §17 SigG sind Produkte für qualifizierte Signaturen mit einer Herstellererklärung zu versehen oder von akkreditierten Stellen (BSI, TÜV-IT, GEI) auf ihre Konformität zum SigG zu bestätigen. Herstellererklärungen sind an die Bundesnetzagentur zu senden und werden, wenn sie dem SigG entsprechen, veröffentlicht. Gültigkeit im Sinne des SigG erhält die Herstellererklärung bereits zum Zeitpunkt des Empfangs bei der Bundesnetzagentur. Damit die Sicherheitsanforderungen während der Signaturerstellung erfüllt sind, ist somit in der Regel auch die Anschaffung eines bestimmten Kartenlesegeräts sowie kommerzieller Software notwendig.

In Deutschland verlangte § 14 UStG eine qualifizierte elektronische Signatur auf elektronisch übermittelten Rechnungen. Andernfalls war das rechnungserhaltende Unternehmen nicht zum Abzug der Vorsteuer berechtigt. Diese Verpflichtung wurde durch das Steuervereinfachungsgesetz 2011 aufgehoben. Eine Archivierung der elektronisch übermittelten Rechnung in elektronischer Form ist Pflicht, d.h. ein ausschließliches Archivieren des Ausdrucks ist damit nicht erlaubt und berechtigt nicht zum Vorsteuerabzug. In Papierform erhaltene und erst dann gescannte Rechnungen sind jedoch ohne qualifizierte elektronische Signatur archivierbar. Der Scanvorgang muss jedoch protokolliert werden.

Anbieter in Deutschland[Bearbeiten]

Wer ein Dokument mit Hilfe einer qualifizierten Signatur elektronisch unterzeichnen möchte, muss sich bei einem Zertifizierungsdienst anmelden, der seine Tätigkeit bei der Bundesnetzagentur angezeigt hat oder freiwillig akkreditiert ist. Dieser Zertifizierungsdiensteanbieter lässt sich seine Dienstleistung in der Regel direkt oder indirekt vom Nutzer bezahlen.

Akkreditierte Anbieter qualifizierter Zertifikate sind die Deutsche Telekom AG mit Telesec, die Sparkassen-Finanzgruppe mit S-TRUST, die DATEV mit e:secure, D-TRUST (Bundesdruckerei-Gruppe), die Bundesnotarkammer, das Deutsche Gesundheitsnetz und die medisign der Deutschen Apotheker- und Ärztebank.

Anbieter für qualifizierte Zertifikate, die ihren Dienst angezeigt haben, sind z. B. die Deutsche Rentenversicherung Bund und die Bundesagentur für Arbeit.[1]

Praktische Anwendungen[Bearbeiten]

Sinn und Zweck der Signatur[Bearbeiten]

Die qualifizierte elektronische Signatur erfüllt im Wesentlichen drei Dinge:

Zum einen wird durch sie die Unterschrift des Signierenden ersetzt. Damit ist die qualifizierte elektronische Signatur so gut wie die originale Unterschrift auf einem Dokument, weshalb diese gemäß § 126 a BGB die Schriftform auch ersetzen kann. Zahlreiche Rechtsgeschäfte bedürfen in Deutschland zu ihrer Wirksamkeit der Schriftform. Nicht immer kann aber die qualifizierte elektronische Signatur die Schriftform ersetzen. So bedarf z. Bsp die Kündigung (sog. einseitiges Rechtsgeschäft im Gegensatz zu einem Vertrag, der ein zwei- oder mehrseitiges Rechtsgeschäft ist) eines Arbeitsverhältnisses gemäß § 623 BGB der Schriftform, jedoch ist hier gerade die elektronische Form als Ersatz ausgeschlossen (§ 623 2. Halbsatz BGB). Bei der Kündigung eines Wohnraummietverhältnisses ist ebenfalls die Schriftform vorgeschrieben (§ 568 Absatz 1 BGB), die hier durch die qualifizierte elektronische Signatur ersetzt werden kann. (Anmerkung: Es können aber hierbei dann andere Probleme auftreten, z. Bsp. dass Eheleute Mietvertagspartei sind, aber nur einer von ihnen über eine qualifizierte elektronische Signatur verfügt, oder dass der Vermieter nicht über ein E-Mailkonto verfügt, so dass man ihm auf elektronischen Wege (E-Mail) sowieso nichts zustellen kann, etc. pp.) Bei den meisten Rechtsgeschäften (z.B. Kaufverträge über bewegliche Sachen), bedarf es grundsätzlich keiner Schriftform und somit auch keiner qualifizierten Signatur. Zu Beweiszwecken mag es aber opportun sein, gleichwohl die Schriftform oder an deren Stelle die qualifizierte elektronische Signatur zu wählen, um den Vertragsschluss und die Vertragsinhalte im Streitfalle eindeutig beweisen zu können.

Zum zweiten kann durch die elektronische Signatur die Identität des Signierenden festgestellt werden. Eine qualifiziert signierte E-Mail kann daher eindeutig einem Absender zugeordnet werden. Der Empfänger weiß also sicher, wer ihm da geschrieben hat bzw. wer der Aussteller des signierten Dokuments ist.

Zum Dritten werden die mit einer elektronischen Signatur versehenen elektronischen Dokumente (E-Mails, deren Anlagen, und andere Datenübertragungen etc.) stark verschlüsselt, so dass nur der berechtigte Empfänger die empfangenen Daten lesen kann, nicht aber Dritte, die irgendwie eine Datenübertragung widerrechtlich oder auch rechtmäßig (z. Bsp. richterlich angeordnete Telekommunikationsüberwachung gemäß § 100 a ff StPO in bestimmten strafrechtlichen Ermittlungsverfahren) aus dem www abgefangen haben (könnten). Die Ermittlungsbehörden, die sich natürlich nicht nur für versandte Dokumente/Daten interessieren, sondern gerade für die offline auf dem Computer gespeicherten Daten und Dateien des Verdächtigen, versuchen daher verständlicherweise die Dokumente/Dateien bereits direkt auf dem Computer und damit unverschlüsselt zu erhaschen (Stichwort: Bundestrojaner, siehe hierzu auch Online-Durchsuchung (Deutschland)).

Anwendungsgebiete der qualifizierten elektronischen Signatur[Bearbeiten]

In der Praxis gibt es bereits Einsatzgebiete, die dem breiten Publikum nicht sehr bekannt sind. Beispielsweise können Notare Anmeldungen zum Handelsregister ausschließlich auf elektronischem Wege vornehmen. Anmeldungen in Papierform nehmen die Handelsregister der jeweiligen Amtsgerichte nicht mehr an, vgl. § 8 HGB. Der Notar scannt daher die von ihm beurkundeten und/oder beglaubigten Dokumente ein (PDF) und übersendet diese über das elektronische Gerichts- und Verwaltungspostfach (kurz: EGVP) also per "spezieller" E-Mail an das Handelsregister, versehen mit seiner qualifizierten elektronischen Signatur, die auch die berufsbezogene Angabe "Notar" beinhaltet. So weiß das Handelsregister, dass die Urkunden tatsächlich von diesem Notar stammen und von ihm beurkundet oder beglaubigt wurden und wird die angemeldeten Eintragungen im Handelsregister vornehmen. Auch das Steuerportal "Elster" bedient sich der Signaturen. Ab dem 1. Januar 2013 können beispielsweise Umsatzsteuervoranmeldungen ausschließlich mit einer qualifizierten Signatur an das zuständige Finanzamt übermittelt werden, über die die beauftragten Steuerberater aber nahezu ausnahmslos bereits verfügen, jedoch wohl noch nicht die meisten kleineren Unternehmer, die ihre Voranmeldungen selber erstellen und abgeben.

Weitere Einsatzgebiete sind vor allem öffentliche Vergabeverfahren (sog. "eVergabe"), die Abrechnungen der gegenüber gesetzlich Krankenversicherten erbrachten ärztlichen Leistungen der Vertragsärzte ("Kassenärzte") gegenüber der Abrechnungstelle der Kassenärztlichen Vereinigung(en)(sog. "Onlineabrechnung"). Auch die Personenstandsregister der Standesämter werden mehr und mehr auf elektronische Register umgestellt. Die Beurkundungen von Geburt, Eheschließung, Sterbefälle etc. werden dann vom Standesbeamten elektronisch erstellt und signiert und können einfach und papierlos digital archiviert und ggf. portofrei elektronisch und wiederum signiert übermittelt werden. Auch Rechtsanwälte bedienen sich zunehmend einer qualifizierten Signatur. Wenn das Personenzertifikat zusätzlich die berufsbezogene Angabe "Rechtsanwalt" beinhaltet, dann können diese ihre Schriftsätze an ein Gericht (ebenfalls über das EGVP) wirksam elektronisch übermitteln statt per Post. Bedeutung hat dies insbesondere bei fristgebundenen Schriftsätzen, die bis 24:00 Uhr am Tage des Fristablaufs eingehen müssen, und insbesondere dann, wenn der Rechtsanwalt nicht am selben Ort sitzt wie das Gericht. Da das EGVP sofort nach Eingang automatisch eine (wiederum qualifiziert signierte) Empfangsbestätigung zurücksendet, kann der rechtzeitige Zugang des Schriftsatzes nicht nur festgestellt, sondern auch zweifelsfrei bewiesen werden. Binnen Sekunden kann so bspw. ein Rechtsanwalt in Hamburg einem Gericht in München einen Schriftsatz elektronisch zustellen. Wichtiger für Anwälte ist der Einsatz der Signatur bei der Übermittlung von Dokumenten (z. Bsp. Vertragsentwürfen) an Mandanten oder den Verhandlungspartner bzw. dessen Anwalt. Ebenso können Verträge so von Anwälten - jeweils für die Vertragspartei, die sie vertreten - nachweisbar elektronisch geschlossen werden. Die anwaltliche Verpflichtung zur Verschwiegenheit und der Mandantenwunsch zur Geheimhaltung gegenüber Dritten kann bei Versendung per E-Mail darüber hinaus nur mit Hilfe der qualifizierten Signatur sicher erfüllt werden.

Die Einsatzgebiete für qualifizierte Signaturen werden sich daher zukünftig sicher noch erweitern, wenngleich diese mehr im geschäftlichen und im dienstlichen/behördlichen Bereich bleiben werden. Das Erfordernis einer qualifizierten Signatur für Verbraucher ist derzeit nur in Einzelfällen gegeben. Die Zukunft wird zeigen, ob sich das Einsatzgebiet vergrößern wird. Vorstellbar ist z. Bsp., dass zukünftig Onlineshops zunächst die Möglichkeit der qualifizierten Signatur einer im Internet getätigten Bestellung und/oder eines Kundenkontos anbieten. So ist in jedem Falle gewährleistet, dass der Kunde eine existente Person ist, wenngleich natürlich das Personenzertifikat noch nicht Wohnanschriften bestätigt.

Daher ist die qualifizierte Signatur bei Privatleuten (Verbrauchern) derzeit nicht verbreitet, nicht zuletzt auch wegen der Kosten, die je nach eingesetztem System zwischen 100,00 Euro bis 250,00 Euro (Stand: September 2012) für die erforderliche Hard- und Software liegen und die einer Anschaffung im Wege stehen. Aber für Unternehmer und Behörden steigt die Bedeutung der qualifizierten Signatur. Viele tun sich aber damit schwer. Zu umständlich oder wenigstens nicht leicht verständlich erscheint so manchem schon das Prozedere der Bestellung der Signaturkarte mit Chip, des Chipkartenlesers, der Signatursoftware, geschweige denn der Einrichtung auf dem eigenen Computer, das Aufspielen der Zertifikate auf den Chip der Signaturkarte, die Installation der Signatursoftware, der Treiber für den Chipkartenleser etc. pp.. Begriffe wie "öffentlicher Schlüssel", "privater Schlüssel", "Zertifizierungsstelle", "Zertifikate" etc. tragen auch dazu bei, nicht nur beim ungeübten Internet-Nutzer für Verwirrung und Unverständlichkeit zu sorgen. Das Verfahren ist in der Tat für den ungeübten Computernutzer etwas komplex, ist aber andererseits auch sehr sicher. Die zertifizierten Unternehmen, die Signaturkarten nebst Zertifikaten, Signatursoftware und Kartenleser und anderes Zubehör vertreiben, geben sich auf ihren Internetseiten daher die größte Mühe, alles verständlich darzustellen und halten in der Regel Schritt-für-Schritt-Anleitungen bereit.

Elektronische Signatur im elektronischen Abfallnachweisverfahren[Bearbeiten]

Eine ebenfalls große Bedeutung und Verbreitung dürfte die elektronische Signatur derzeit im Rahmen des Elektronisches Abfallnachweisverfahrens (eANV) haben. Entsprechend der deutschen Nachweisverordnung wird seit 1. April 2010 gefordert, dass die Abfallentsorger bei jedem Transport gefährlicher Abfälle elektronisch qualifiziert signieren. Spätestens ab dem 1. Februar 2011 trifft diese Regelung auch für Abfallerzeuger und Abfallbeförderer zu. Bei dieser Anwendung auf tagtäglich ablaufende Vorgänge wird die qualifizierte elektronische Signatur erstmals breit im Rahmen von eGovernment genutzt [2] .

Einzelnachweise[Bearbeiten]

  1. Bundesnetzagentur: Zertifizierungsdiensteanbieter
  2. eGovernment für den Wertstoffkreislauf

Weblinks[Bearbeiten]

Literatur[Bearbeiten]

Rechtshinweis Bitte den Hinweis zu Rechtsthemen beachten!