Qualifizierte elektronische Signatur

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
QS-Recht
Beteilige dich an der Diskussion!

Dieser Artikel wurde wegen formaler oder sachlicher Mängel in der Qualitätssicherung Recht der Redaktion Recht zur Verbesserung eingetragen. Dies geschieht, um die Qualität von Artikeln aus dem Themengebiet Recht auf ein akzeptables Niveau zu bringen. Hilf mit, die inhaltlichen Mängel dieses Artikels zu beseitigen, und beteilige dich an der Diskussion! (+)

Eine qualifizierte elektronische Signatur (QES) ist eine durch die Verordnung (EU) Nr. 910/2014 geregelte Form der elektronischen Signatur, die im Rechtsverkehr die handschriftliche Unterschrift ersetzt, wenn dies durch eine Rechtsvorschrift nicht ausgeschlossen ist. Sie werden von qualifizierten Vertrauensdiensteanbietern (VDA) ausgegeben. Die qualifizierten Vertrauensdiensteanbieter müssen von staatlich bestimmten Stellen zertifiziert werden.

Zertifikat[Bearbeiten | Quelltext bearbeiten]

Jeder geheime, auf asymmetrischen Verschlüsselungsverfahren basierende Signaturschlüssel hat immer einen einzigen korrespondierenden öffentlichen Signaturprüfschlüssel. Ein qualifiziertes Zertifikat für elektronische Signaturen ist die elektronische Bescheinigung, dass die Validierungsdaten und damit auch die korrespondierenden elektronischen Signaturerstellungsdaten einer natürlichen Person zugeordnet wurde und die Identität dieser Person bestätigt werden kann. Bei der elektronischen Signatur enthält das Zertifikat den öffentlichen Schlüssel, mit dem der während der Signaturerstellung verschlüsselte Hashwert (Prüfsumme) des elektronischen Dokuments entschlüsselt und gegen einen neu erstellten Hashwert verglichen und damit die Authentizität des elektronischen Dokuments überprüft werden kann. Zu den Details siehe elektronische Signatur.

Für die qualifizierte elektronische Signatur muss der Zertifizierungsdiensteanbieter die Paragrafen 4 bis 14 Signaturgesetz einhalten und die Aufnahme der Tätigkeit bei der zuständigen Behörde (Bundesnetzagentur) anzeigen (§ 4 Abs. 3 SigG). Ab der Anzeige des Betriebs können Zertifikate für qualifizierte elektronische Signaturen ausgestellt werden. Vor der Anzeige des Betriebes ausgestellte Zertifikate ermöglichen bestenfalls das Erstellen von fortgeschrittenen elektronischen Signaturen.

Sinn dieser Regelungen ist insbesondere, die Identität des Zertifikatinhabers sicherzustellen und die sichere Aufbewahrung und Zurverfügungstellung des Zertifikats zu gewährleisten. Das Zertifikat dient der Identifikation einer Person und muss daher sicher aufbewahrt werden, damit es nicht unzulässig verändert werden kann. Die Feststellung, wer ein Zertifikat beantragt, muss über ein sicheres Verfahren getroffen werden. Ein solches Verfahren ist zum Beispiel Postident, bei dem man seinen Personalausweis oder Reisepass in einer Filiale der Deutschen Post AG vorlegen muss, wenn man den Antrag auf ein Zertifikat stellt. So kann man sicher sein, wem ein Zertifikat gehört. Ein anderes denkbares (aber nicht sehr praktikables) Verfahren könnte sein, dass ein Antragsteller persönlich beim ZDA erscheint und sich ausweist. Was im Einzelfall für den Registrierungsprozess ausreichend ist, beschreibt der ZDA in seinem einsehbaren Sicherheitskonzept.

Bei einer zuverlässigen Zertifizierungsstelle ist somit nachvollziehbar, zu welcher Person ein Zertifikat gehört. Mit Hilfe des Zertifikats kann festgestellt werden, ob eine elektronische Signatur wirklich von einer bestimmten Person stammt.

Attribut[Bearbeiten | Quelltext bearbeiten]

Mit dem qualifizierten (Personen-)Zertifikat, das für eine qualifizierte elektronische Signatur erforderlich ist, können zusätzliche Attributszertifikate im Sinne von § 5 Abs. 2 SigG verbunden werden. Zu diesen Attributen gehören insbesondere Angaben zu Vertretungsverhältnissen, etwa für einen Geschäftsführer einer GmbH, oder berufsbezogene Angaben wie „Notar“, „Rechtsanwalt“, „Steuerberater“, „Wirtschaftsprüfer“, „Urkundenübersetzer“ oder weitere Berufsbezeichnungen, deren Benutzung reguliert ist. Um ein solches Attribut dem qualifizierten Zertifikat beizufügen, bedarf es der Zustimmung der zuständigen Stelle. Bei einem Notar muss die zuständige Notarkammer zustimmen, bei einem Rechtsanwalt die zuständige Rechtsanwaltskammer etc. In ähnlicher Weise muss bei Vertretungsverhältnissen beispielsweise eine GmbH die Eigenschaft eines Antragstellers als Geschäftsführer des Unternehmens bestätigen. Zugleich erhält der Zustimmende gemäß § 8 Abs. 2 SigG das Recht, das Zertifikat sperren zu lassen, wenn das Vertretungsverhältnis nicht mehr besteht oder die Berufsbezeichnung nicht mehr geführt werden darf oder ihre Führung von einer anderen Stelle reguliert wird.

Nicht zu den berufsbezogenen Angaben gehören hingegen mit einem Beruf gelegentlich einhergehende akademische Grade oder Amtsbezeichnungen (z. B. Prof., Dr., Dipl.-Ing. etc.) oder ehemalige Adelsprädikate (Freiherr, Graf, Herzog etc.). Doktorgrad und ehemalige Adelsprädikate sind ggf. in den Ausweisdokumenten einer Person enthalten und können insofern gleichwohl als Namensbestandteil in das qualifizierte Zertifikat einer Person aufgenommen werden.

Abgrenzung zu anderen Signaturarten[Bearbeiten | Quelltext bearbeiten]

Der Teilbegriff „qualifiziert“ leitet sich aus dem Signaturgesetz ab, das mehrere Stufen von Signaturen festlegt. Es gibt einige Anforderungen an die Infrastruktur und Abläufe besonders beim ZDA, damit eine Signatur als qualifiziert gelten kann, etwa im Hinblick auf die Identifizierung des Inhabers.

Ein mit einer qualifizierten Signatur signiertes elektronisches Dokument kann nach § 126a BGB in Deutschland die per Gesetz oder Verordnung notwendige Schriftform ersetzen, sofern nicht spezialgesetzlich anders geregelt (zu letzterem: Die Schriftform ist beispielsweise bei der Kündigung eines Arbeitsverhältnisses notwendig, dort aber gerade ausdrücklich nicht durch eine elektronische Form ersetzbar (§ 623 2. Halbsatz BGB)).

Aufgrund der Formfreiheit für Rechtsgeschäfte, z. B. Kaufverträge, bedarf es grundsätzlich keiner Signatur; deswegen reicht in den meisten Fällen – soweit nicht per Gesetz die Schriftform oder eine qualifizierte elektronische Signatur explizit gefordert ist – eine einfache oder fortgeschrittene elektronische Signatur aus.

Nach § 17 SigG sind Produkte für qualifizierte Signaturen mit einer Herstellererklärung zu versehen oder von akkreditierten Stellen (BSI, TÜViT, GEI) auf ihre Konformität zum SigG zu bestätigen. Herstellererklärungen sind an die Bundesnetzagentur zu senden und werden, wenn sie dem SigG entsprechen, veröffentlicht. Gültigkeit im Sinne des SigG erhält die Herstellererklärung bereits zum Zeitpunkt des Empfangs bei der Bundesnetzagentur. Damit die Sicherheitsanforderungen während der Signaturerstellung erfüllt sind, ist somit in der Regel auch die Anschaffung eines bestimmten Kartenlesegeräts sowie kommerzieller Software notwendig.

In Deutschland verlangte § 14 UStG eine qualifizierte elektronische Signatur auf elektronisch übermittelten Rechnungen. Andernfalls war das rechnungserhaltende Unternehmen nicht zum Abzug der Vorsteuer berechtigt. Diese Verpflichtung wurde durch das Steuervereinfachungsgesetz 2011 aufgehoben. Eine Archivierung der elektronisch übermittelten Rechnung in elektronischer Form ist Pflicht, d. h. ein ausschließliches Archivieren des Ausdrucks ist damit nicht erlaubt und berechtigt nicht zum Vorsteuerabzug. In Papierform erhaltene und erst dann gescannte Rechnungen sind jedoch ohne qualifizierte elektronische Signatur archivierbar. Der Scanvorgang muss jedoch protokolliert werden.

Anbieter in Deutschland[Bearbeiten | Quelltext bearbeiten]

Wer ein Dokument mit Hilfe einer qualifizierten Signatur elektronisch unterzeichnen möchte, muss sich bei einem qualifizierten Vertrauensdiensteanbieter anmelden. Dieser qualifizierte Vertrauensdiensteanbieter lässt sich seine Dienstleistung in der Regel direkt oder indirekt vom Nutzer bezahlen. Bei Fernsignaturen kann auch der Vertragspartner des Unterzeichners die Kosten der qualifizierten elektronischen Signatur übernehmen. Eine Liste der aktuell tätigen qualifizierten Vertrauensdiensteanbieter lässt sich bei der Bundesnetzagentur sowie der Connecting Europe Facility einsehen.[1][2]

Einzelne Anbieter der qualifizierten elektronischen Signatur verkaufen ihre Software oder ihren Dienst an Banken, Kreditanbieter, Versicherungen etc., die wiederum ihren Kunden diesen Service zur Verfügung stellen. Damit können Endkunden sich online identifizieren lassen und ebenso online ihren Vertrag formwirksam unterzeichnen.

Praktische Anwendungen[Bearbeiten | Quelltext bearbeiten]

Sinn und Zweck der Signatur[Bearbeiten | Quelltext bearbeiten]

Die qualifizierte elektronische Signatur erfüllt im Wesentlichen drei Dinge:

  1. Zum einen wird durch sie die Unterschrift des Signierenden ersetzt. Nach Art. 25 Abs. 2 eIDAS-VO ist die qualifizierte elektronische Signatur der eigenhändigen Unterschrift gleichgestellt, weshalb diese gemäß § 126a BGB in Deutschland die gesetzliche Schriftform auch ersetzen kann. Zahlreiche Rechtsgeschäfte bedürfen zu ihrer Wirksamkeit der Schriftform. Nicht immer kann aber die qualifizierte elektronische Signatur die Schriftform ersetzen. So bedarf z. Bsp. die Kündigung (sog. einseitiges Rechtsgeschäft im Gegensatz zu einem Vertrag, der ein zwei- oder mehrseitiges Rechtsgeschäft ist) eines Arbeitsverhältnisses gemäß § 623 BGB der Schriftform, jedoch ist hier gerade die elektronische Form als Ersatz ausgeschlossen (§ 623 2. Halbsatz BGB). Bei der Kündigung eines Wohnraummietverhältnisses ist ebenfalls die Schriftform vorgeschrieben (§ 568 Absatz 1 BGB), die hier aber durch die qualifizierte elektronische Signatur ersetzt werden kann. (Anmerkung: Es können aber hierbei dann andere Probleme auftreten, z. Bsp. dass Eheleute Mietvertragspartei sind, aber nur einer von ihnen über eine qualifizierte elektronische Signatur verfügt, oder dass der Vermieter nicht auf elektronischen Wege (bspw. E-Mail) erreichbar ist etc. pp.) Bei den meisten Rechtsgeschäften (z. B. Kaufverträge über bewegliche Sachen), bedarf es grundsätzlich keiner Schriftform und somit auch keiner qualifizierten Signatur. Manchmal ist vertraglich Schriftform für Kündigungen und andere Erklärungen vorgeschrieben. Zu Beweiszwecken mag es aber opportun sein, gleichwohl die Schriftform oder an deren Stelle die qualifizierte elektronische Signatur zu wählen, um den Vertragsschluss und die Vertragsinhalte im Streitfalle eindeutig beweisen zu können.
  2. Zum zweiten kann durch die elektronische Signatur die Identität des Signierenden festgestellt werden. Eine qualifiziert signierte E-Mail kann daher eindeutig einem Absender zugeordnet werden. Der Empfänger weiß also sicher, wer ihm da geschrieben hat bzw. wer der Aussteller des signierten Dokuments ist.
  3. Zum Dritten ist es möglich, über das in einer elektronischen Signatur enthaltene Zertifikat, elektronische Dokumente (E-Mails, deren Anlagen, und andere Datenübertragungen etc.) für einen Empfänger stark zu verschlüsseln. Dazu wird der öffentliche Schlüssel aus dem Zertifikat des Empfängers benutzt. Zum Entschlüsseln ist der private Schlüssel erforderlich, den nur der berechtigte Empfänger (als Inhaber des Zertifikats) kennt. Damit kann nur der Inhaber des Zertifikats die empfangenen Daten lesen, nicht aber Dritte, die irgendwie eine Datenübertragung widerrechtlich oder auch rechtmäßig (z. Bsp. richterlich angeordnete Telekommunikationsüberwachung gemäß § 100a ff StPO in bestimmten strafrechtlichen Ermittlungsverfahren) bei der elektronischen Übermittlung der Daten abgefangen haben (könnten). Die Ermittlungsbehörden, die sich natürlich nicht nur für versandte Dokumente/Daten interessieren, sondern gerade für die offline auf dem Computer gespeicherten Daten und Dateien des Verdächtigen, versuchen daher verständlicherweise die Dokumente/Dateien bereits direkt auf dem Computer und damit unverschlüsselt zu erhaschen (Stichwort: Bundestrojaner, siehe hierzu auch Online-Durchsuchung (Deutschland)).

Anwendungsgebiete der qualifizierten elektronischen Signatur[Bearbeiten | Quelltext bearbeiten]

In der Praxis gibt es bereits Einsatzgebiete, die dem breiten Publikum nicht sehr bekannt sind. Beispielsweise können Notare Anmeldungen zum Handelsregister ausschließlich auf elektronischem Wege vornehmen. Anmeldungen in Papierform nehmen die Handelsregister der jeweiligen Amtsgerichte nicht mehr an, vgl. § 8 HGB. Der Notar scannt daher die von ihm beurkundeten und/oder beglaubigten Dokumente ein (PDF) und übersendet diese über das elektronische Gerichts- und Verwaltungspostfach (kurz: EGVP) also per „spezieller“ E-Mail an das Handelsregister, versehen mit seiner qualifizierten elektronischen Signatur, die auch die berufsbezogene Angabe „Notar“ beinhaltet. So weiß das Handelsregister, dass die Urkunden tatsächlich von diesem Notar stammen und von ihm beurkundet oder beglaubigt wurden und wird die angemeldeten Eintragungen im Handelsregister vornehmen.

Weitere Einsatzgebiete sind vor allem öffentliche Vergabeverfahren (sog. eVergabe), die Abrechnungen der gegenüber gesetzlich Krankenversicherten erbrachten ärztlichen Leistungen der Vertragsärzte („Kassenärzte“) gegenüber der Abrechnungsstelle der Kassenärztlichen Vereinigung(en)(sog. „Onlineabrechnung“). Auch die Personenstandsregister der Standesämter werden mehr und mehr auf elektronische Register umgestellt. Die Beurkundungen von Geburt, Eheschließung, Sterbefälle etc. werden dann vom Standesbeamten elektronisch erstellt und signiert und können einfach und papierlos digital archiviert und ggf. portofrei elektronisch und wiederum signiert übermittelt werden. Auch Rechtsanwälte bedienen sich zunehmend einer qualifizierten Signatur. Wenn das Personenzertifikat zusätzlich die berufsbezogene Angabe „Rechtsanwalt“ beinhaltet, dann können diese ihre Schriftsätze an ein Gericht (ebenfalls über das EGVP) wirksam elektronisch übermitteln statt per Post. Bedeutung hat dies insbesondere bei fristgebundenen Schriftsätzen, die bis 24:00 Uhr am Tage des Fristablaufs eingehen müssen, und insbesondere dann, wenn der Rechtsanwalt nicht am selben Ort sitzt wie das Gericht. Da das EGVP sofort nach Eingang automatisch eine (wiederum qualifiziert signierte) Empfangsbestätigung zurücksendet, kann der rechtzeitige Zugang des Schriftsatzes nicht nur festgestellt, sondern auch zweifelsfrei bewiesen werden. Binnen Sekunden kann so bspw. ein Rechtsanwalt in Hamburg einem Gericht in München einen Schriftsatz elektronisch zustellen. Wichtiger für Anwälte ist der Einsatz der Signatur bei der Übermittlung von Dokumenten (z. B. Vertragsentwürfen) an Mandanten oder den Verhandlungspartner bzw. dessen Anwalt. Ebenso können Verträge so von Anwälten – jeweils für die Vertragspartei, die sie vertreten – nachweisbar elektronisch geschlossen werden.

Die Einsatzgebiete für qualifizierte Signaturen könnten sich zukünftig noch erweitern, wenngleich diese mehr im geschäftlichen und im dienstlichen/behördlichen Bereich bleiben werden. Das Erfordernis einer qualifizierten Signatur für Verbraucher ist derzeit nur in Einzelfällen gegeben. Die Zukunft wird zeigen, ob sich das Einsatzgebiet vergrößern wird. Vorstellbar ist z. B., dass zukünftig Onlineshops zunächst die Möglichkeit der qualifizierten Signatur einer im Internet getätigten Bestellung und/oder eines Kundenkontos anbieten. So ist in jedem Falle gewährleistet, dass der Kunde eine existente Person ist, wenngleich natürlich das Personenzertifikat noch nicht die Wohnanschrift bestätigt.

Die qualifizierte Signatur ist bei Privatpersonen (Verbrauchern) derzeit nicht verbreitet. Die einmaligen Kosten für die Anschaffung der erforderlichen Hard- und Software (Kartenleser und Signatursoftware) lagen bei ca. 120 € - 160 €[3] wobei zusätzlich je nach Anbieter laufenden Kosten ab 5 € pro Monat anfallen können.[4][5][6][7] Bis Sommer 2017 gab es die Möglichkeit seinen privaten, selbst erzeugten (=kostenlosen) Signaturschlüssel mit Hilfe der kostenlosen AusweisApp2 qualifiziert zu beglaubigen. Als weitere Voraussetzungen wurden ein kompatibles, NFC-fähiges Mobilfunkgerät sowie ein entsprechender aktueller Personalausweis benötigt.[8][9][10] Die technischen Möglichkeiten zur Durchführung einer qualifizierten Signatur mittels elektronischem Personalausweis sind weiterhin vorhanden.[11] Seit dem Rückzug der Bundesdruckerei im Sommer 2017 gibt es jedoch keine Anbieter der dafür benötigten Zertifikate.[12] Für Unternehmer und Behörden steigt die Bedeutung der qualifizierten Signatur. Erklärungsbedürftigkeit und Komplexität erschweren jedoch die Akzeptanz bei Nutzern. Die zertifizierten Unternehmen, die Signaturkarten nebst Zertifikaten, Signatursoftware und Kartenleser und anderes Zubehör vertreiben, halten in der Regel Schritt-für-Schritt-Anleitungen bereit.

Bis zur Einführung der eIDAS-Verordnung konnten qualifizierte Signaturen in Deutschland ausschließlich mithilfe von Signaturkarten erstellt werden. Eine Alternative zu kartenbasierten Signaturen stellen Fernsignaturen dar. Bei der Fernsignatur wird der Signaturvorgang direkt durch qualifizierte Vertrauensdiensteanbieter durchgeführt. Spezielle Nutzerhardware wird nicht benötigt. Der Signaturvorgang kann unter anderem Web-basiert durchgeführt werden, wodurch solche Signaturen auf allen gängigen Betriebssystemen (auch mobilen wie Android oder iOS) durchgeführt werden können. Um Fernsignaturen nutzen zu können, müssen Nutzer ihre Identität gegenüber dem Vertrauensdiensteanbieter sicher nachweisen. Zur Identifikation kann wiederum der elektronische Personalausweis genutzt werden.[13]

Elektronische Signatur im elektronischen Abfallnachweisverfahren[Bearbeiten | Quelltext bearbeiten]

Eine ebenfalls große Bedeutung und Verbreitung dürfte die elektronische Signatur derzeit im Rahmen des Elektronischen Abfallnachweisverfahrens (eANV) haben. Entsprechend der deutschen Nachweisverordnung wird seit 1. April 2010 gefordert, dass die Abfallentsorger bei jedem Transport gefährlicher Abfälle elektronisch qualifiziert signieren. Spätestens ab dem 1. Februar 2011 trifft diese Regelung auch für Abfallerzeuger und Abfallbeförderer zu. Bei dieser Anwendung auf tagtäglich ablaufende Vorgänge wird die qualifizierte elektronische Signatur erstmals breit im Rahmen von eGovernment genutzt.[14]

Literatur[Bearbeiten | Quelltext bearbeiten]

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Bundesnetzagentur – Übersicht aller elektronischen Vertrauensdienste. Bundesnetzagentur, abgerufen am 19. Juni 2022.
  2. Trusted List Browser. Abgerufen am 4. April 2020.
  3. Was kostet eine Ausstattung zur qualifizierten elektronischen Signatur? - BMU-FAQ. Abgerufen am 18. August 2020.
  4. TeleSec
  5. D-TRUST
  6. DGN Deutsches Gesundheitsnetz
  7. medisign
  8. Ausweisapp 2 - Startseite. Abgerufen am 1. März 2021.
  9. AusweisApp2. Abgerufen am 1. März 2021.
  10. Unterschriftsfunktion (QES) | eID-Funktion. Abgerufen am 1. März 2021 (deutsch).
  11. heise online: Petition: Signaturfunktion des nPA wieder nutzbar machen. Abgerufen am 12. März 2022.
  12. Die elektronischen Funktionen des Personalausweises. Abgerufen am 12. März 2022.
  13. Fernsignaturen mit der Online-Ausweisfunktion. Abgerufen am 12. März 2022.
  14. eGovernment für den Wertstoffkreislauf