OJR - Online Journal Recht
Zitierung: Autor o. Gericht, OJR, Jahrgang,
Dokumentnummer (u. ggf. Randnummer)
Rechtsanwalt Dr. Jürgen Weinknecht
Digitale Signatur
Gegenwärtige Bedeutung und zukünftige Entwicklung
Inhaltsübersicht
Rn.
Was ist eine digitale Signatur?
(Zitat aus http://www.teletrust.de/wf/ds.htm)
"... Benutzt wird ein asymmetrisches kryptographisches Verfahren. Für jeden Beteiligten am Signatursystem wird ein Schlüsselpaar generiert, ein geheimer und ein öffentlicher Schlüssel, die in einem bestimmten mathematischen Verhältnis zueinander stehen. Zum Erzeugen der digitalen Signatur benutzt der Absender seinen geheimen Schlüssel, praktisch als spezielles Unterschriftsmerkmal. Der zu unterschreibende Text wird zunächst mit einem sogenannten Hash-Verfahren komprimiert, das so entstandene Komprimat nach einem vorgegebenen Algorithmus mit dem geheimen Schlüssel verknüpft und das Ergebnis als digitale Signatur dem zu übertragenden Brief angehängt. Der Empfänger komprimiert nun ebenfalls den Text und vergleicht dieses Komprimat mit dem in der digitalen Signatur enthaltenen Komprimat, das sich durch Entschlüsseln der Signatur mit dem öffentlichen Schlüssel des Absenders ergibt. Bei Übereinstimmung steht fest, daß der gesendete und empfangene Text gleich sind, es also weder Manipulationen noch Übertragungsfehler gegeben hat. Es steht aber auch fest, daß nur der Absender, der im Besitz des geheimen Schlüssels ist, die Signatur erzeugt haben kann, weil sonst der öffentliche Schlüssel nicht "passen" würde, also keine Transformation auf das ursprüngliche Komprimat hätte erfolgen können..."
(Ende Auszug)
Eine digitale Signatur gewährleistet also die Unverändertheit (Integrität) der Daten und die Identität der Person des Versenders (Authentizität). Das vorgenannte Verfahren findet sich im Prinzip auch bei PGP (Pretty Good Privacy). Dabei handelt es sich zwar dem Grunde nach um ein Verfahren nur zur Verschlüsselung von Daten, jedoch beinhaltet dieses de facto auch eine digitale Signatur. Allerdings setzt das derzeit geltende deutsche Signaturgesetz - jedenfalls nach Meinung der meisten Experten - voraus, dass die Signatur / der private Schlüssel auf einer Chipkarte gespeichert ist, die nur mit einer PIN zugänglich gemacht werden kann, während es bei PGP "nur" eine Datei sein muss.
1
Wo ist die digitale Signatur nicht von (entscheidender) Bedeutung?
Die meisten Verträge, schätzungsweise weit über 90%, können mündlich und daher auch per Telefon, Telefax und E-Mail oder sonstwie im Internet abgeschlossen werden, sie bedürfen keiner besonderen Form für ihre Gültigkeit. Erforderlich ist lediglich, dass sich die Willenserklärungen des Anbietenden und des Annehmenden entsprechen.
Ebenso, wie auf dem Wochenmarkt oder im Supermarkt, kommt es dem Anbieter bei solchen Geschäften nämlich eigentlich gar nicht darauf an zu wissen, wer seine Waren kauft, Hauptsache der (anonyme) Käufer bezahlt. Auch bei den üblichen Alltagsgeschäften über das Internet, wie z. B. den Kauf von Software oder die Bestellung von Büchern, ist das schon dadurch gewährleistet, dass dem Käufer die Ware erst gegen Bezahlung ausgehändigt wird (Versand per Nachnahme). Das ist bei Geschäften mit dem Ausland aber häufig nicht möglich oder üblich, kann aber durch die Verwendung von Kreditkarten, deren Daten bei der Bestellung eingegeben werden müssen, erreicht werden. Soweit das nicht genutzt wird, muss sich Verkäufer derzeit ein Risiko eingehen. Die Praxis zeigt aber, dass bei Geschäften über das Internet die Zahlungsmoral deutlich besser ist, als bei solchen per Telefon oder Telefax.
In diesen Fällen muss eine digitale Signatur lediglich dem Zwecke der sicheren Identifizierung der Vertragsparteien dienen. Dies lässt sich auch mit vorhandenen Softwarelösungen, wie z. B. PGP, erreichen. Eine Signatur, die "lediglich" der Ausstellersicherheit dient, wird in der, auch für die künftige Rechtsentwicklung in Deutschland maßgeblichen, Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen (dazu unten mehr) als "elektronische Signatur" bezeichnet und kann künftig von Diensteanbietern vergeben werden, die sich einer freiwilligen Akkreditierung unterwerfen. Diese unterliegt weniger strengen Voraussetzungen, als die Zulassung als qualifizierte Zertifizierungsstelle.
Die Geschäfte des täglichen Lebens, bei denen es nicht auf die Identität der Vertragsparteien, sondern vorrangig auf die Zahlungssicherheit ankommt, sind daher auch heute schon rechtswirksam über das Internet möglich. Die Einführung der gesetzlichen Gleichstellung der "qualifizierten" elektronischen Signatur mit der eigenhändigen Unterschrift wird daher im Bereich e-commerce meines Erachtens nicht den entscheidenden Aufschwung bringen. Zumal dann nicht, wenn die unterschiedlichen Wirtschaftsräume, vor allem die USA und Europa, unterschiedliche Verfahren wählen, so dass Kunden, die weltweit elektronisch einkaufen möchten, unterschiedliche elektronische Signaturen vorhalten müssen, während bislang ihr Unterschrift weltweit galt.
2
Wo bedarf es (zwingend) einer digitalen Signatur und was geht heute schon?
Der sog. Schriftform, also der eigenhändigen Unterschrift, der die digitale Signatur künftig gleichgestellt werden soll, bedarf es nur in sehr wenigen Fällen, z. B. bei Bürgschaften, Immobilienkäufen und Kreditverträgen über mehr als 400,00 DM. Das Schriftformerfordernis hat nach geltendem deutschen Recht nicht nur den Zweck, den Unterzeichner sicher zu identifizieren, es dient auch dazu, ihm die besondere rechtliche Relevanz seines Tuns noch einmal vor Augen zu führen, hat also eine gewollte Warnfunktion. Damit verbunden ist, dass eine besonders hohe Inhaltssicherheit erreicht wird, dass also der Inhalt der eigenhändig unterzeichneten Erklärung sicherer ist, als bei nur mündlicher Abgabe der Erklärung. Bei elektronischem Geschäftsverkehr muss hinzukommen, dass der einmal digital signierte Inhalt unverändert seinen Empfänger erreicht (Integrität). Dies wird nur durch die sog. "fortgeschrittene elektronische Signatur" nach der genannten EU-Richtlinie erreicht, die in Deutschland künftig "qualifizierte" Signatur heissen wird. Sie kann nur von staatlich genehmigten Zertifizierungsstellen vergeben werden, die weitergehende Voraussetzungen erfüllen müssen, als diejenigen Anbieter, die sich nur der freiwilligen Akkreditierung unterwerfen und daher nur "einfache" elektronische Signaturen erteilen können.
Auch digitale Signaturen, die diesen strengen Anforderungen genügen, lassen sich schon heute verwenden, wenn die Vertragsparteien das wollen. Es gibt, fast 3 Jahre nach dem Inkrafttreten des Signaturgesetzes, immerhin schon 2 "qualifizierte" Zertifizierungsstellen. Um dort eine digitale Signatur zu erhalten, muss man persönlich erscheinen und sich ausweisen. Der öffentliche Schlüssel wird dann im Internet bereit gehalten, der persönliche auf einer Chipkarte gespeichert.
Allerdings haben solche Signaturen bislang nach deutschem Recht noch nicht die Wirkung, eine eigenhändige Unterschrift zu ersetzen. Denn diese Wirkung kann ihnen, unabhängig vom Signaturgesetz, erst zukommen, wenn die digitale Signatur der eigenhändigen Unterschrift durch das Gesetz gleichgestellt wird. Dazu muss in Deutschland erst noch der § 126 BGB geändert bzw. ein neuer § 126a BGB eingefügt werden. Solange das nicht geschehen ist, können die Gerichte auch eine "fortgeschrittene" bzw. "qualifizierte" digitale Signatur im Rahmen ihrer freien Beweiswürdigung auch anders, als eine eigenhändige Unterschrift bewerten. Nach einer gesetzlichen Änderung wäre eine digitale Signatur auch vor Gericht nicht mehr anzweifelbar.
Derzeit lassen sich in Deutschland also noch keine Rechtsgeschäfte, die der Schriftform bedürfen, über das Internet abwickeln. In den USA dagegen ist Gesetz verabschiedet worden, nach dem die digitale der handschriftlichen Unterschrift gleichgestellt wird (http://www.spiegel.de/netzwelt/ebusiness/nf/0,1518,81495,00.html). Der "Millenium Digital Commerce Act" wird es ermöglichen, nahezu alle Geschäfte rechtswirksam über das Internet abzuschließen, auch Versicherungs- und Kreditverträge, Hauskäufe usw. Lediglich besonders "heikle" Bereiche wie Adoption und Erbangelegenheiten bleiben (zunächst) ausgeschlossen.
3
Wie könnte die Zukunft aussehen?
Die Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen unterscheidet zwischen der "elektronischen Signatur" und der "fortgeschrittenen" Signatur, wie bereits dargestellt wurde. Sie muss bis zum 19. Juli 2001 in nationales Recht umgesetzt werden, denn EU-Richtlinien haben keine unmittelbare Gesetzeskraft. In Deutschland müssen also bis zu diesem Zeitpunkt vor allem das Signaturgesetz und das BGB, wie zuvor beschrieben, geändert werden. Das Signaturgesetz muss geändert werden, weil dort bislang nur die künftige "qualifizierte" Signatur vorgesehen ist, die einfache Signatur bislang nicht dessen Anforderungen entsprach.
Allerdings wird auch nach ihrer Umsetzung in nationales Recht nicht jedes Rechtsgeschäft, welches einer eigenhändigen Unterschrift und damit einer "qualifizierten" digitalen Signatur bedarf, per Internet abzuwickeln sein. Zwar sieht die EU-Richtlinie insoweit keine Beschränkung der Wirkung der "qualifizierten" elektronischen Signatur vor. Allerdings ist es nach Art. 9 der E-Commerce-Richtlinie der EU möglich sein, den Abschluss von Verträgen auf elektronischem Wege für folgende Bereich auszunehmen:
"a) Verträge, die Rechte an Immobilien mit Ausnahme von Mietrechten begründen
oder übertragen;
b) Verträge, bei denen die Mitwirkung von Gerichten, Behörden oder öffentliche
Befugnisse ausübenden Berufen gesetzlich vorgeschrieben ist;
c) Bürgschaftsverträge und Verträge über Sicherheiten, die von Personen außerhalb
ihrer gewerblichen, geschäftlichen oder beruflichen Tätigkeit eingegangen werden;
d) Verträge im Bereich des Familienrechts oder des Erbrechts."
Davon wird der deutsche Gesetzgeber voraussichtlich jedenfalls teilweise Gebrauch machen. Denn solche Verträge bedürfen nach deutschem Recht überwiegend nicht nur der eigenhändigen Unterschrift, sondern der Beurkundung durch einen Notar. Und gerade Letztere wird vermutlich auf absehbare Zeit nicht in elektronischer Form möglich gemacht werden, damit die oben beschriebene Warnfunktion nicht entfällt.
Sehr viel realistischer ist die zeitnahe Einführung von elektronischer Kommunikation mit Behörden, die durch eine "qualifizierte" elektronische Signatur gesichert wird. In Hamburg läuft bereits ein Modellversuch am Finanzgericht. Auch in Köln ist demnächst u. a. die elektronische Ummeldung von KFZ geplant. Solche Dinge bedürfen zwar der "qualifizierten" elektronischen Signatur, aber nicht der besonderen Warnfunktion, weil sie keine so weitgehenden rechtlichen Folgen haben, wie z. B. ein Immobilienkauf. Nach meiner Einschätzung wird daher der elektronische Rechtsverkehr mit Behörden der erste Bereich in Deutschland sein, in dem die "qualifizierte" elektronische Signatur zum Einsatz kommen wird.