All About Security
  • Aktuelle Sicherheitsartikeln als RSS Feed
  • All About Security auf Twitter
  • All About Security auf Xing
  • All About Security auf Google+
  • Unter4Ohren IT-Security Podcast auf YouTube

Compliance & Recht, Fachartikel

Neues Signaturrecht seit 1.7.2016

Neues Signaturrecht seit 1.7.2016

Die neue EU-Verordnung über elektronische Identifizierungs- und Signaturdienste (EIDAS-Verordnung 2016/679 [1] ) ist zwar schon seit 2 Jahren in Kraft, aber erst durch das Inkrafttreten der dazu erlassenen Durchführungsrechtsakte am 1.7.2016 wurde die Verordnung in der EU wirksam.

Die Regelungen der neuen Verordnung sind in der ganzen EU wirksam und ersetzen die bisherigen nationalen Regelungen. Die nationalen Gesetze werden damit nicht automatisch unwirksam, sondern bei Unterschieden zur neuen Verordnung bekommt letztere den Anwendungsvorrang. Deutschland hat es nicht geschafft, rechtzeitig das Signaturgesetz so zu ändern, dass es keine Widersprüche mehr gibt. Das Bundeswirtschaftsministerium ist heute, ca. 2 Monate nach Inkrafttreten der Durchführungsrechtsakte der EU immer noch dabei, den als Ersatz für das Signaturgesetz geplante Gesetzentwurf des Vertrauensdienstegesetzes mit den anderen Ministerien von Bund und Ländern abzustimmen. Das Vertrauensdienstegesetz wird auch die Verweise auf das Signaturgesetz in anderen Rechtsvorschriften, vor allem in der für das Beweisrecht zuständigen Zivilprozessordnung, ändern. Parallel versucht der Gesetzgeber, zahlreiche Gesetze vom Zwang zur Schriftform zu befreien, um auch ohne qualifizierte elektronische Signaturen oder DE-Mail per einfacher E-Mail Rechtsgeschäfte erledigen zu können. Dazu hat die Bundesregierung am 4.8.2016 einen Gesetzentwurf zur Reduzierung oder Aufhebung von Formvorschriften in über 500 Gesetzen vorgelegt [2] .

Die neue EU-Verordnung regelt zum einen die elektronische Identifizierung europaweit einheitlich. Damit kann z.B. durch das eID-Verfahren nach dem Personalausweisgesetz die Identität einer Person auch online festgestellt werden. Da die eID-Funktion mit dem neuen Personalausweis in Deutschland verbunden ist, kann jeder Inhaber des neuen Personalausweises diese Funktion aktivieren. Die eID-Dienste sind mit 3 verschiedenen Sicherheitsstufen geregelt und müssen ab 2018 unter den in der Verordnung genannten Bedingungen von allen EU-Mitgliedsstaaten gegenseitig anerkannt werden.

Zweitens regelt die Verordnung eine ganze Reihe von sogenannten Vertrauensdiensten. Das sind elektronische Signaturen, elektronische Siegel, elektronische Zeitstempel, Zustellung elektronischer Einschreiben, Website-Authentifizierung und Validierungs- sowie Bewahrungsdienste.

Bisher waren für die Erstellung qualifizierter elektronischer Signaturen, mit denen auch bisher schon die handschriftliche Unterschrift in fast allen Fällen ersetzt werden konnte, ein Chipkartenleser und eine Klasse 3-Chpkarte sowie zugehörige Software beim Anwender selbst erforderlich. Die komplizierte Beantragung und die notwendige Hardware führten zu einem Aufwand, der eine flächendeckende Verbreitung der Technik verhinderte. Zweitens hatte der Verwender einer solchen Technik eher beweisrechtliche Nachteile. Drittens war es nach dem Signaturgesetz nur für natürliche Personen erlaubt, Zertifikate zu beantragen, während dies Firmen und Behörden verwehrt wurde.

Mit der neuen EU-Verordnung wird im Bereich der Signaturen alles wesentlich einfacher. Statt Kartenleser und Chipkarte selbst zu bestellen und zu verwalten, kann der Nutzer auch einen Vertrauensdiensteanbieter autorisieren, den privaten Schlüssel in einem Hochsicherheitsmodul (HSM) zu speichern und nach sicherer Autorisierung durch den Nutzer in dessen Namen zu signieren. Bisher war nur eine Stellvertretung möglich, bei der der Anbieter mit seiner eigenen Signatur im Namen des Nutzers signieren konnte, auch dies erst seit der Änderung des Signaturgesetzes im Jahre 2005. Damit entfällt für den Nutzer das umständliche Hantieren mit Chipkarte und Kartenleser völlig. Maßgeblich beeinflusst wurden die neuen Möglichkeiten der Verordnung durch die Erfahrungen in Österreich und Italien, die schon bisher qualifizierte Signaturen ohne eigenen Kartenleser erlaubt haben. In diesen Ländern hat sich die Nutzung von Signaturlösungen in erheblich höherem Maße durchgesetzt als in Deutschland. Österreich hat seine nationale Rechtsordnung auch bereits vollständig an die neue Verordnung angepasst [3] .
 

Abbildung-1: Zusammenspiel Vertrauensdiensteanbieter  / Anwender (Quelle: heise.de)

Durch die Änderung des Beweisrechts ergeben sich z.B. für Bürger, die mit einer Behörde kommunizieren, Vorteile auch bei Verwendung elektronischer Signaturen, die seit dem EJustiz-Gesetz 2013 gelten und durch das Vertrauensdienstegesetz vermutlich noch erweitert werden.

Sowohl Firmen als auch Behörden haben jetzt die Möglichkeit, selbst sogenannte qualifizierte elektronische Siegel einzusetzen. Technisch gesehen sind dies qualifizierte elektronische Signaturen, die nicht für eine natürliche Person, sondern für eine Organisation ausgestellt werden. Damit ist der einzelne Mitarbeiter nicht mehr dem Risiko ausgesetzt, dass in seinem Namen Risiken durch Signaturen eingegangen werden.

Für elektronische Signaturen gibt es neue Validierungs- und Bewahrungsdienste. Beide Dienste dürfen nur von qualifizierten Vertrauensdiensteanbietern erbracht werden, um die Sicherheit von qualifizierten Signaturen zu erhalten. Validierungsdienste ermöglichen die Prüfung der Wirksamkeit von qualifizierten elektronischen Signaturen bzw. Siegeln, während sich Bewahrungsdienste mit der Langfristsicherung der Signaturen bzw. der mit den Signaturen unterzeichneten Dokumente widmet.

Die elektronischen Einschreibdienste ermöglichen es, rechtssicher den Zeitpunkt des Zugangs elektronischer Nachrichten nachzuweisen. Beispiele für eine solche Technik sind z.B. das DE-Mail-Verfahren nach dem deutschen DE-Mail-Gesetz oder das Regify-Verfahren.  

Webseitenauthentifizierungen können jetzt ebenfalls nach europäischem Recht angeboten werden.

Anbieter von qualifizierten Vertrauensdiensten unterliegen zahlreichen Anforderungen und auch der Aufsicht der nationalen Aufsichtsbehörden, die in Deutschland durch die Bundesnetzagentur ausgeübt wird. Dadurch soll eine gleichbleibende und in allen Ländern der EU vergleichbare Sicherheit erreicht werden.

Da weiterhin hohe Anforderungen an die technischen Komponenten und die technischen Abläufe gestellt werden, aber gleichzeitig die Haupthindernisse in der praktischen Nutzung wie z.B. der Zwang zur Chipkarte abgeschafft wurden, ist zu hoffen, dass die neue Verordnung europaweit der elektronischen Signatur so zum Durchbruch verhilft wie das bisher schon in Österreich und Italien der Fall ist.

Zum Autor: Ulrich Emmert ist Partner der Partnerschaftsgesellschaft esb Rechtsanwälte mit Standorten in Stuttgart, Leipzig, Dresden, Berlin, Prag und Warschau. Die Kanzlei berät in allen Fragen des IT-, Wirtschafts- und Steuerrechts, auch bei Fragen zur Revisionssicherheit und zur Erstellung von Verfahrensdokumentationen. Daneben ist er Vorstand der Reviscan AG, die sich mit Softwareerstellung zur Archivierung beschäftigt, sowie im Branchenverband VOI e.V.. Ebenfalls ist er Lehrbeauftragter für Wettbewerbs-, Urheber- und Onlinerecht an der HFWU sowie Geschäftsführer der Reviscan Service UG (haftungsbeschränkt), die sich mit der revisionssicheren Digitalisierung von Dokumenten unter Verwendung von qualifizierten Signaturen und Zeitstempeln beschäftigt (inkl. Verfahrensdokumentation).

[1]   http://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX%3A32014R0910
[2]  https://www.bmi.bund.de/SharedDocs/Downloads/DE/Gesetzestexte/Entwuerfe/Entwurf_Gesetz_Abbau-verzichtbarer-Anordnungen-der-Schriftform-im-VwRecht.pdf?__blob=publicationFile 
[3] https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20009585 

Dieser Beitrag wurde uns von www.gai-netconsult.de zur Verfügung gestellt.