Signaturen

Signaturen sind digitale Stempel, die auf digitale Daten aufgebracht werden und sowohl den Urheber, aber auch die Unverfälschtheit eines Datums belegen sollen.[1] Hinsichtlich der Signaturarten wird zwischen der einfachen Signatur, der fortgeschrittenen Signatur und der qualifizierten elektronischen Signatur differenziert. Diese Signaturarten unterscheiden sich in der Qualität des Beweiswerts, der Art des zugrundeliegenden Zertifikats, der Art und Weise der Beantragung des zugrundeliegenden Zertifikats und dem Erzeugungsort der Signatur.[2]

Signaturen dienen nicht der Verschlüsselung eines Nachrichteninhalts, sondern lediglich der Gewährleistung von Authentizität und Integrität, also der Gewährleistung, dass die Nachricht tatsächlich vom angegebenen Versender stammt und deren Nachrichteninhalt auf dem Übertragungsweg nicht verändert wurde.

eIDAS-Verordnung und Vertrauensdienstegesetz (VDG)

Elektronische Signaturen wurden bisher im Signaturgesetz (SigG) geregelt. Zum 29.07.2017 ist das Vertrauensdienstegesetz (VDG) zur Umsetzung der europäischen eIDAS-Verordnung. Das Signaturgesetz sowie die Signaturverordnung wurden durch die Neuregelungen abgelöst. Die eIDAS-Verordnung wurde vom europäischen Gesetzgeber erlassen, um Sicherungsmittel für elektronische Transaktionen zusammenhängend und unionsweit zu regeln.((Erwägungsgrund 1ff. eIDAS-VO.)) Aufgrund des unionsrechtlichen Anwendungsvorrangs, Art. 288 Abs. 2 S. 2 AEUV, gilt die eIDAS-Verordnung unmittelbar in Deutschland. Hierdurch entstandene rechtliche Unsicherheiten sollten nun durch das Anpassungsgesetz, dem VDG beseitigt werden.[3]

1) (Einfache) elektronische Signatur

Nach Art. 3 Nr. 10 eIDAS-VO sind eine (einfache) elektronische Signatur Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet. Das kann etwa eine eingescannte und im Anhang einer E-Mail versendete Unterschrift des Versenders sein.[4] Eine einfache elektronische Signatur stellt etwa auch die bei der elektronischen Kommunikation weit verbreitete Praxis dar, unter den Nachrichtentext einer E-Mail seine Kontaktdaten einzufügen. Sie enthält keine weitergehenden Maßnahmen zur Gewährleistung von Authentizität und Integrität und ist daher nicht manipulationssicher. Die einfache elektronische Signatur kann eine gesetzlich angeordnete Schriftform daher nicht ersetzen.

2) Fortgeschrittene elektronische Signatur

Während eine einfache Signatur lediglich ein beigefügtes elektronisches Datum ist, sind an eine fortgeschrittene Signatur weitere Anforderungen gestellt. Bei ihr handelt es sich um einen verschlüsselten „Hashwerts“, der mit den Versanddaten logisch verknüpft wird. Jener Wert stellt dabei, ähnlich einer Quersumme, den momentanen „ist“-Zustand der Inhaltsdaten dar und ändert sich bei jeder noch so geringen nachträglichen Manipulation, so dass eine solche für den Empfänger sofort nach dem Empfang erkennbar wird. Zum Schutz vor einer Kompromittierung des Hashwerts wird dieser zudem mittels eines asymmetrischen Algorithmus mit dem privaten Schlüssel des Senders, welchen auch nur dieser besitzt, verschlüsselt.[5] Der zur Entschlüsselung verwendete öffentliche Schlüssel wird dagegen auf einem sog. „Schlüsselbundserver“ veröffentlicht.[6] Eine Verschlüsselung des konkreten Nachrichteninhalts (sog. „Ende-zu-Ende-Verschlüsselung“, (E2EE)) erfolgt dabei nicht. Die Inhaltsdaten liegen also bei der Übermittlung weiterhin im Klartext vor,[7] sodass die Vertraulichkeit des Inhalts hierdurch nicht geschützt wird. Durch die Verwendung fortgeschrittener elektronischer Signaturen kann jedoch ein hohes Maß an Authentizität und Integrität erreicht werden. Dennoch genügt die fortgeschrittene elektronische Signatur nicht dem Ersatz einer gesetzlich angeordneten Schriftform.[8]

3) Qualifizierte elektronische Signatur

Der Einsatz der qualifizierten elektronischen Signatur (qeS) soll eine Funktionsäquivalenz zur handschriftlichen Unterschrift darstellen((Vgl. Erwägungsgrund 49 eIDAS-VO)) und daher ein hohes Maß an Authentizität, Verbindlichkeit, zusätzlich aber auch an Integrität, gewährleisten.[9]

Qualifizierte elektronische Signaturen nach Art. 3 Nr. 12 eIDAS-Verordnung müssen, zusätzlich zu den Anforderungen an fortgeschrittene elektronische Signaturen, weiterhin auch auf einem qualifizierten Zertifikat beruhen und mit einer „sicheren Signaturerstellungseinheit“ erstellt werden. Eine elektronische Signaturerstellungseinheit ist hierbei als eine konfigurierte Software oder Hardware definiert, die zum Erstellen einer elektronischen Signatur verwendet wird. Die Ausstellung der qualifizierten Zertifikate wiederum erfolgt durch die neu eingeführten sog. qualifizierten Vertrauensdiensteanbieter, Art. 24 eIDAS-VO ((Erwägungsgrund 28 eIDAS-VO)), die die Identität der Person, welcher das Zertifikat ausgestellt werden soll, überprüfen. Auch der seit 1.11.2010 erhältliche neue Personalausweis (nPA) besitzt grundsätzlich die Fähigkeit zur Erstellung einer qeS.[10]

Insbesondere sind mit der Einführung der eIDAS-Verordnung qualifizierte elektronische Signaturen eines EU-Mitgliedstaats auch in den anderen EU-Mitgliedstaaten anzuerkennen.

[1] Vgl. https://www.secrypt.de/wissen/elektronische-signatur/ .

[2] Vgl. https://www.secrypt.de/wissen/signaturausstattung/ .

[3] Vgl. Roßnagel, MMR 2018, 31.

[4] Hertel, in: Staudinger-BGB, § 126a Rn. 20; Tschoepe, in: Heise Online-Recht, C.III.16 Rn. 36.

[5] Tschoepe, in: Heise Online-Recht, C.III.15 Rn. 34. ff.; Schmidl, in: Hauschka-Corporate-Compliance, § 29 Rn. 173 ff., dort auch im folgenden Text.

[6] Holznagel, Recht der IT-Sicherheit, § 5 Rn. 7 f.

[7] Spindler/Anton, in: Spindler/Schuster-Medienrecht, § 126a Rn. 4.

[8] Vgl. etwa § 3a Abs. 2 Satz 2 VwVfG, der explizit eine qualifizierte elektronische Signatur voraussetzt

[9] So z.B. Heckmann, in: Internetrecht PK, Kap. 5, Rn. 376 f.

[10] Viefhues, in: Hoeren/Sieber-Multimedia-Recht, Teil 24 Rn. 105, dort auch im folgenden Text.

Ähnliche Einträge