Rechtliche Grundlagen und Einsatzmöglichkeiten von digitalen Signaturen im Bereich der öffentlichen Verwaltung

Gliederung

1 Einleitung

2 Digitale Signaturen
2.1 Anforderungen an digitale Signaturen
2.2 Funktionsweise des digitalen Signaturverfahrens

3 Rechtliche Grundlagen
3.1 eIDAS-Verordnung
3.2 Regelungen
3.2.1 Elektronische Signatur
3.2.2 Fortgeschrittene elektronische Signatur
3.2.3 Qualifizierte elektronische Signatur
3.2.4 Elektronisches Siegel
3.2.5 Rechtswirkung elektronischer Signaturen
3.3 Verknüpfungen zu nationalen Gesetzen
3.3.1 Bürgerliches Gesetzbuch
3.3.2 Verwaltungsverfahrensgesetz
3.3.3 Handelsgesetzbuch
3.3.4 Zivilprozessordnung
3.3.5 Umsatzsteuergesetz

4 Einsatz von digitalen Signaturen in der öffentlichen Verwaltung
4.1 Elektronische Vertragsabschlüsse
4.2 Elektronische Archivierung
4.3 Elektronische Kommunikation
4.4 E-Vergabe
4.5 Elektronische Steuererklärung

5 Fazit

Literaturverzeichnis

1 Einleitung

In Zeiten von zunehmenden Digitalisierung in der Gesellschaft wird eine immer weiter steigende Anzahl an Tätigkeiten, wie beispielsweise die Bezahlung von Rechnungen, die Erstellung von Geschäftsbriefen und anderen elektronischen Vorgängen über den Computer und das Internet, abgewickelt. Um eine Rechtsverbindlichkeit dieser Dokumente gewährleisten zu können, werden diese in der Regel ausgedruckt, handschriftlich signiert und über den Postweg an den Zieladressaten versandt. Dies gilt im besonderen Maße für die öffentliche Verwaltung. Eine handschriftliche Unterschrift garantiert den Ursprung und wird in zahlreichen Vorschriften angewandt. Mit Blick auf die immer fortschreitende Implementierung von effizienteren und digitalisierten Verwaltungsprozessen wäre es jedoch wünschenswert, mittels Computer erstellte Dokumente mit einer digitalen Unterschrift zu versehen, die die gleiche Rechtssicherheit wie die einer handschriftlichen Unterschrift garantiert.

Der Versand von elektronischen Nachrichten und Daten erfolgt meistens über das ungeschützte und offene Internet. Hier haben dritte Personen grundsätzlich Manipulationsmöglichkeiten, um Inhalt und Identität der Nachricht des Absenders zu verändern. Um hier vor allem bei Rechtsgeschäften entgegenzuwirken, bedarf es im elektronischen Datenverkehr einer persönlichen digitalen Unterschrift, die sowohl die Integrität der Daten, also auch die Echtheit des Ursprungs garantiert. Diese Anforderungen werden durch die elektronische Signatur erfüllt, die Gegenstand dieser Ausarbeitung ist.

Ziel dieser Arbeit ist es, die rechtlichen Grundlagen und die Einsatzmöglichkeiten der digitalen Signatur darzustellen.

Hierzu wurde diese Ausarbeitung in fünf Kapitel geteilt. In Kapitel zwei wird zunächst ein Einstieg in die Thematik der digitalen Signaturen gegeben, in dem die Arten von digitalen Signaturen (Kapitel 2.1) und im Anschluss die Funktionsweise vereinfacht dargestellt werden (2.2).

Das dritte Kapitel behandelt die rechtlichen Grundlagen von elektronischen Signaturen. Dabei wird zunächst der Ursprung der eIDAS-Verordnung dargestellt (Kapitel 3.1), gefolgt von einer Einführung in die wichtigsten rechtlichen Regelungen (3.2), bevor dieses Kapitel mit einer Darstellung von Verknüpfungen zu anderen nationalen Gesetzen abgeschlossen wird.

Kapitel vier zeigt die möglichen Einsatzszenarien von elektronischen Signaturen in der öffentlichen Verwaltung auf, bevor in Kapitel fünf ein kurzes Fazit erfolgt.

2 Digitale Signaturen

Der Begriff der digitalen Signatur wird oft mit dem Begriff elektronische Signatur synonym verwendet. Rein faktisch sind beide Begriffe keinesfalls kongruent. So definiert die eIDAS-Verordnung¹ die elektronische Signatur als „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet“.

Die eIDAS-VO spricht dabei nur von elektronsicherer Signatur. Nimmt man jedoch das deutsche Signaturgesetz mit der Fassung von 1997 zur Hilfe, die die digitale Signatur aufgreift:

„Eine Digitale Signatur ist ein mit privatem Signaturschlüssel erzeugtes Siegel zu digitalen Daten, welches mit Hilfe eines zugehörigen öffentlichen Schlüssels, der mit einem Signaturschlüssel-Zertifiat einer Zertifizierungsstelle […] versehen ist, den Inhaber des Signaturschlüssels und die Unverfälschtheit der Daten erkennen lässt“.

Ab der Novellierung des Signaturgesetzes im Jahr 2001 wurde nur noch von elektronischer Signatur gesprochen. So bleibt es trotz Änderung der Begrifflichkeit faktisch bei der digitalen Signatur. Hierzu merkt D. Gassen an:

„Die Differenzierung wirkt angesichts der letztlich verabschiedeten Fassung der Richtlinie allerdings bestenfalls symbolisch, ist für die Praxis aber wohl irrelevant“².

Die Intention des Gesetzgebers besteht somit lediglich darin, sich mit der weitergehenden Terminologie zukünftig weitere Möglichkeiten offen zu halten, wie z.B. andere Verfahren des Signierens. Auch in dieser Arbeit werden die Begriffe „Digitale Signatur“ und „Elektronische Signatur“ simultan verwendet.

Im aktuell vorliegenden Kapitel werden die Anforderungen an digitale Signaturen, sowie die Funktionsweise derer dargestellt.

2.1 Anforderungen an digitale Signaturen

Langfristig gesehen können digitale Signaturen einzig als Ziel haben, die eigenhändige Unterschrift gleichwertig zu ersetzen. Dem folgend werden den digitalen Signaturen die gleichen Anforderungen gestellt, wie handschriftlichen Unterschriften, nämlich Vertraulichkeit, Integrität, Authentizität und Verbindlichkeit.

Dabei soll die Vertraulichkeit sicherstellen, dass Inhalte des signierten Dokuments gegenüber jedem mit Ausnahme des Empfängers vertraulich bleiben. Ein dritter soll dadurch nicht in die Lage versetzt werden, den Inhalt einer Nachricht oder einer versandten Datei einzusehen. Angemerkt werden muss, dass die Vertraulichkeit in diesem Zusammenhang weniger auf die digitale Signatur an sich abzielt, sondern auf die zum Einsatz kommenden Kommunikationsverfahren. Abgesichert wird die Vertraulichkeit durch den Einsatz von kryptographische Verschlüsselungsverfahren.

Da der Empfänger eine Sicherheit darüber haben möchte, dass die elektronische Nachricht nicht manipuliert worden ist, spielt hier die Integrität eine große Rolle. Integrität bedeutet dementsprechend, dass eine Nachricht nicht durch einen Dritten, der nicht für den Kommunikationsprozess autorisiert ist, unbemerkt verfälscht werden kann. Die digitale Signatur ist ein unverzichtbarer Bestandteil für die Sicherheit von elektronischen Dokumenten im Hinblick auf die Integrität³. Dies spielt besonders bei im Internet angebotenen Dienstleistungen der öffentlichen Verwaltung eine unentbehrliche Rolle.

Die Authentizität stellt eine eindeutige (rechtlich abgesicherte) Identifikation eines Absenders sicher. Eine dritte Partei soll sich nicht als jemanden ausgeben können, der dieser selbst nicht ist. Es gilt das Prinzip der eigenhändigen Unterschrift auf die elektronische Signatur zu übertragen. Die Identität einer Person könnte bei der Anwendung des Signaturverfahrens beispielsweise über Chipkarten realisiert werden, deren persönliche Identifikationsnummer (PIN) nur der Inhaber kennt und durch die Nutzung die Authentizität beweisen bzw. darlegen kann.

Werden rechtsverbindliche Vertragsabschlüsse basierend auf einer elektronischen Kommunikation notwendig, ist hierbei die Verbindlichkeit unerlässlich. Sie garantiert den jeweiligen Vertragspartnern eine hinreichende Rechtssicherheit. In diesem Zusammenhang ist zu gewährleisten, dass der Autor des elektronischen Dokuments seine Urheberschaft nicht leugnen kann. Gemäß dem BGB ist die qualifizierte elektronische Signatur der eigenhändigen Unterschrift gleichgestellt⁴. Hieraus resultierend wird die Verbindlichkeit neben der Authentizität und der Integrität durch die digitale Signatur ebenfalls gewährleistet.

2.2 Funktionsweise des digitalen Signaturverfahrens

Beim digitalen Signaturverfahren von zwei beteiligten Akteuren wird zwischen zwei wesentlichen Schritten unterschieden. Durch den Absender einer elektronischen Nachricht erfolgt zum einen eine Erzeugung eines sogenannten privaten Schlüssels (Private Key). Der Empfänger wiederum nimmt eine Signaturprüfung mittels eines sogenannten öffentlichen Schlüssels (Public Key) vor. Da es sich dabei um ein äußerst komplexes Verfahren handelt, wird das Verfahren im Folgenden vereinfacht dargestellt.

In einem ersten Schritt wird aus der zu versendeten digitalen Nachricht ein digitaler Fingerabdruck, in der Fachsprache auch Hashwert genannt, ermittelt, der das Ergebnis einer so genannten Hashfunktion auf die Nachricht darstellt. Unter einer Hashfunktion wird dabei ein komplexes mathematisches Verfahren verstanden, bei dem eine Bitfolge einer beliebigen Länge auf einer Bitfolge einer festen Länge abgebildet werden kann⁵. Eingängig dargestellt bedeutet dies, dass die Hashfunktion einen Hashwert aus den Informationen zum Inhalt und Absender der digitalen Nachricht errechnet. Dieser Schritt stellt damit bereits eine erste Form der Verschlüsselung dar.

Gewissermaßen beginnt das eigentliche Verschlüsselungsverfahren von digitalen Signaturen erst im zweiten Schritt, indem der Absender den Hashwert mittels eines Privat-Keys verschlüsselt, wovon dann die digitale Signatur des Absenders zu der Nachricht hervorgeht. Hierauf folgt im dritten Schritt die Beförderung der Nachricht inklusive der Signatur und einem Verifizierungsschlüssel-Zertifikat, beispielsweise über das ungeschützte offene Netz an den Empfänger. Der Empfänger verifiziert das Zertifikat in einem vierten Schritt auf Echtheit und Unversehrtheit indem wiederrum der Hashwert des Dokuments ermittelt wird. Daraufhin entschlüsselt der Absender mit einem öffentlichen Schlüssel (Public Key) einer beauftragten und unter staatlicher Aufsicht stehender Zertifizierungsstelle die Nachricht (Schritt fünf). Im sechsten Schritt wird das Ergebnis der Entschlüsselung mit dem ermittelten Hashwert des Dokuments verglichen.

Unter der Voraussetzung, dass nur der Versender im Besitz seines Private-Key ist und die Hashwerte aus den Schritten vier und sechs übereinstimmen, kann eine Veränderung des Dokuments oder des Verschlüsselungsverfahrens ausgeschlossen werden. Somit kann der Empfänger sicher sein, dass die Nachricht auch von dem Versender ausgegangen ist. Dies bedeutet wiederum, dass sowohl die Authentizität als auch die Integrität der Nachricht durch die digitale Signatur gewährleistet wurde.

Aufgrund der unterschiedlichen Schlüssel wird diese Methode auch „asymmetrische Verschlüsselung“ genannt⁶. Die Sicherheit dieses Systems basiert auf der Erkenntnis, dass aus dem Public Key praktisch nicht möglich ist, den Privat Key des Absenders zu ermitteln. Die im digitalen Signaturverfahren geforderte Integrität wird dementsprechend durch das verwendete asymmetrische Verschlüsselungsverfahren gewährleistet. Weiterhin ist zur Sicherstellung der Authentizität bei digitalen Signaturen auf Seiten des Empfängers die zwingende Voraussetzung, dass der verwendete Public Key unverfälscht ist. Dies wird durch so genannte Public-Key-Infrastrukturen garantiert⁷.

3 Rechtliche Grundlagen

Am 01.07.2016 trat die Verordnung (EU) Nr. 910/2014 des europäischen Parlaments und des Rates vom 23.07.2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG – kurz europäische Vertrauensdiensteverordnung (eIDAS-VO) – in Kraft und ersetzte die zuvor geltende Richtlinie 1999/93/EG der Europäischen Kommission über Rahmenbedingungen für elektronische Signaturen. Da EU-Richtlinien keine unmittelbare Gültigkeit besitzen, bedarf es einer nationalen Umsetzung in jedem Mitgliedsstaat. Dabei sind diese frei in der Interpretation und in der Lage, eigene Einschränkungen und Ausnahmen durchzusetzen⁸. Hieraus resultierten uneinheitliche Umsetzungen, in denen Länder wie Österreich sowie Schweden eine sehr strikte, Großbritannien und andere Länder dagegen eine tolerantere Interpretation verfolgten. Zudem wurden die jeweiligen nationalen Umsetzungen durch andere Mitgliedsstaaten als nicht rechtmäßig angesehen.

Dieser Umstand zwang die europäische Kommission zum Handeln, um ein konsistentes Regelwerk für den Binnenmarkt zu konstituieren. Hieraus folgte die Verabschiedung der eIDAS-VO am 23.07.2014, die das Ziel verfolgte, die gegenseitige Anerkennung elektronischer Signaturen innerhalb der EU und das Vertrauen darin zu stärken.

3.1 eIDAS-Verordnung

Mit Inkrafttreten der eIDAS-VO gilt diese nun unmittelbar und verbindlich in allen Mitgliedsstaaten der EU sowie dem europäischen Wirtschaftsraum (EWR)⁹. Der Anwendungsbereich dieser Verordnung ist nach außen für Prozesse zwischen Behörden, Bürgern und Unternehmen gerichtet. Die Verordnung umfasst dabei einen Bereich über die elektronische Identifizierung innerhalb von Regierungseinrichtungen und Behörden, sowie einen Bereich über elektronische Signaturen, die in dieser Arbeit thematisiert wird. Neben Definitionen zu den jeweiligen Signaturarten wird ein neues rechtliches Regelwerk für elektronische Signaturen und Siegel eingeführt.

Abbildung in dieser Leseprobe nicht enthalten

[...]

¹ Art. 2 Nr. 1 RL.

² Vgl. Gassen 2003.

³ Vgl. Bertsch 2001.

⁴ Vgl. § 126 BGB.

⁵ Vgl. Baier et al. 2003: S. 63.

⁶ Vgl. Lenz et al. 2001: S. 67.

⁷ Vgl. Fischer 2011.

⁸ Vgl. Art 288 Abs. 3 AEUV.

⁹ Vgl. Art 288 Abs. 2 AEUV.