Die digitale Signatur - rechtliche, informationstechnische und ökonomische Aspekte eine digitalen Verifizierung nach dem Gesetz über Rahmenbedingungen für elektronische Signaturen E-Book

Page 1

Reecchhttlliicchhee,,iinnffoorrmmaattiioonnsstteecchhnniisscchheeuunnddöökkoonnoommiisscchheeR

1002Seeiitteennzzaahhl S

Page 2

Zusammenfassung

Die Informationstechnologie weist neben zahlreichen betriebswirtschaftlichen Anwendungsmöglichkeiten, ebenfalls verschiedene Risiken auf. Diese zeigen sich insbesondere in der Flüchtig- und Manipulierbarkeit elektronischer Daten. Nach verschiedenen Einschätzungen stellt derzeit z. B. das in einem gerichtlichen Verfahren kaum nachweisbare Zustandekommen elektronisch geschlossener Verträge, eine erhebliche Behinderung des elektronischen Handels dar. Durch verschiedene Rechtsanpassungen auf europäischer und nationaler Ebene wurde ein elektronischer Signaturtyp geschaffen, der in Analogie zur eigenhändigen Unterschrift, die Integrität und Authentizität von elektronischen Daten ermöglichen soll. Die Regelungen des Signaturgesetzes beschränken sich hierbei im wesentlichen auf infrastrukturelle und informationstechnische Spezifikationen. Durch Formanpassungen in verschiedenen Bereichen des Privat- und öffentlichen Rechts wurde diequalifizierte elektronische Signaturteilweise zu einem vollwertigen rechtlichen Substitut der eigenhändigen Unterschrift. Die Regelung zur dauerhaften Überprüfbarkeit sowie die Beweiswirkung ist jedoch nicht durchgängig stringent geregelt. Als Basiskonzept dient die Public-Key-Kryptographie unter Einbeziehung einer vertrauenswürdigen Instanz. Hierdurch ist die qualifizierte elektronische Signatur im Vergleich zur Unterschrift deutlich fälschungssicherer. Die Sicherheit der verwendeten Verfahren und Algorithmen ist unter Verwendung entsprechender Parameter sehr hoch. Im Vergleich zu den ausgeprägten Anforderungen an Infrastrukturanbieter existieren im Bereich der Anwender dagegn kaum Sicherheitsbestimmungen, wodurch sich gerade private Nutzer einem gewissen Bedrohungspotential durch sogenannte Trojaner ausgesetzt sehen müssen.

Als Ursache für die fehlende Durchsetzung derqualifizierten elektronischen Signatursind schließlich nicht allein die sich gegenseitig bedingenden Faktoren wie konkurrierende Signaturverfahren, hohe Kosten der qualifizierten Signatur und mangelnde Kommunikationspartner zu identifizieren. Vielmehr zeichnen sich in einigen Szenarien jenseits der Prozessoptimierung und der reinen Kostenerwägung keine ausreichenden Nutzenpotentiale für ihre Akteure ab: Zur eindeutigen Identifikation des Gegenübers sind de facto immer noch zusätzliche Mechanismen erforderlich; die elektronische Mobilität von Kunden kann nach Marketinggesichtspunkten des einzelnen Unternehmens als durchaus kontraproduktiv gesehen werden; gesetzlich manifestierte Interaktionsregeln des elektronischen Geschäftsverkehrs und implizite Sicherungsmechanismen bieten u. U. eine deutlich höhere Praktikabilität.

Page 5

1 Vo r b e m e r k u n g e n

Die Kommunikation der vergangenen Jahre zeichnet sich durch eine deutliche Verlagerung weg von den traditionellen Medien (z. B. Brief, Telefon) aus. Den Inhalten der in elektronischer Form übermittelten Daten und Informationen kommt dabei eine immer stärkere ökonomische Bedeutung zu. Mit dem Netz der‚Society for Worldwide Interbank Financial Telecommunication’(S.W.I.F.T.) werden z. B. täglich Transaktionen im Wert von schätzungsweise über 61Billionen US-Dollar durchgeführt. Dies stellt gut ein Fünftel des weltweiten (jährlichen)2Bruttosozialproduktes dar. Mit der elektronischen Kommunikation hat sich im Bereich der

offenen Netze das Internet als eine wesentliche Infrastrukturkomponente, sowohl auf internationaler wie auch auf nationaler Ebene, herausgebildet. In Deutschland nutzt inzwischen nahezu jeder zweite Erwachsene das Internet und die Zahl wächst trotz abgeschwächter Interneteupho-3rie kontinuierlich. Im ersten Quartal 2002 lagen die deutschen Haushalte, die über einen Internetzugang verfügten, mit einem Anteil von 43% über dem EU-Durchschnitt (40%) und auch die deutschen Unternehmen (verarbeitende Gewerbe, Handel und weitere Dienstleis-4tungsbereiche) wiesen mit 62% ein hohes Niveau auf.„Über die Zukunft dieses Mediums

bestehen (...) weitgehend übereinstimmende Auffassungen. Bereits jetzt haben sich in den Bereichen eBusiness und eGovernment in einem historisch sehr kurzem Zeitraum zahlreiche unterschiedliche Anwendungen entwickelt, die auf der Internettechnologie aufsetzen, z. B. Internet-Banking, eCommerce mit Zahlungstransaktionen, Virtuelle Rathäuser, Online-Wahlen,5Online-Auktionen, Dateiaustausch per FTP oder eMail.“In deutschen Unternehmen ist die E-Mail inzwischen zu einem alltäglichen Kommunikationswerkzeug geworden. Umfragen zu Folge liegt das tägliche E-Mail-Aufkommen bei durchschnittlich 26 Mails und über die Hälfte aller Anwender gehen von einer Intensivierung ihrer E-Mail-Nutzung innerhalb des nächsten6Jahres aus.

Die Informationstechnologie (IT), als Basistechnologie elektronisch digitaler Kommunikation, ermöglicht eine Vielzahl neuer Dienstleistungsangebote und die Chance verschiedenster7Prozessoptimierungen bzw. -neugestaltungen. Elektronische Kommunikation im weitesten

Sinne ist inzwischen ebenfalls als ein bedeutender Faktor zur Beeinflussung der Transaktions-1vgl. z. B. http://www.swift.com/index.cfm?item_id=3184

2vgl. z. B. http://www.diw.de/deutsch/publikationen/wochenberichte/docs/02-37-1.html

3vgl. z. B. van Eimeren (2002, S. 346), @facts (2002, S. 5), @facts extra (2002, S. 6),

http://www.ard-werbung.de/_mp/fach/200208_01.phtml,

http://www.emind.emnid.de/downloads/studien/20021171GO2002Germany.pdf

4vgl. z. B. http://www.destatis.de/presse/deutsch/pm2003/p0510024.htm

5BMWT/KPMG (2001, S. 8)

6vgl. SofTrust Consulting (2002)

7vgl. z. B. Stähler (2001)

Page 6

8kosten erkannt worden. Neben den unterschiedlichen Verbesserungen bergen die neuen Technologien mit ihren betriebswirtschaftlichen Anwendungsmöglichkeiten, aber ebenfalls zahlreiche Risiken und Unzulänglichkeiten in sich. Hier ist z. B. an dieUnsicherheit bezüglich Urheberschaft und Unverfälschtheit von Daten und Informationen(vgl. Abbildung 1) gerade in offenen Netzen zu denken (Internet) - aber auch

einem weitestgehend nur eingeschränktem Nutzerkreis zugängliche Bereiche können bei hinreichend großer Anwenderzahl betroffen sein (Intranet,

Extranet). Diesen Risiken kommt insbesondere

dann eine starke Bedeutung zu, wennrechtlich und

ökonomisch relevante WillenserklärungenGegenstand von Informationen sind bzw. sein sollen. Eine erhebliche Behinderung des elektronischen Handels über das Internet stellt nach verschiedenen Einschätzungen derzeit immer noch das in einem gerichtlichen Verfahren kaum beweisbare Zustandekommen von wirksamen9Das Kernproblem liegt also nicht in der formalen Frage Verträgen z. B. durch E-Mail dar.

einer Wirksamkeit elektronischer Willenserklärungen, als vielmehr in dem Umstand der10Flüchtig- und Manipulierbarkeit elektronischer Daten.11Mit demInformations- und Kommunikationsdienste-Gesetz(IuKDG) vom 22. Juli 1997 hat

sich der deutsche Gesetzgeber in diesem Zusammenhang wesentlicher Sicherheitsaspekte angenommen. Das Gesetz zur digitalen Signatur von 1997 (Art. 3 IuKDG) traf hieraufhin erstmalig Regelungen für das digitale Signieren (SigG 1997). Durch dieRichtlinie121999/93/EG(RL1999/93/EG) des Europäischen Parlaments und Rates wurde im Dezember 1999 ein einheitlicher europäischer Rechtsrahmen für elektronische Signaturen geschaffen, der eine Anpassung der deutschen Vorschriften erforderlich machte - mit demGesetz über Rah-13menbedingungen für elektronische Signaturen(SigG 2001) wurde das bis dahin einschlägige SigG 1997 abgelöst.

Die digitale bzw. elektronische Signatur kann allerdings nur dann zu einer nachhaltigen Anwendung kommen, wenn die verschiedenen Rechtsnormen neben der bisherigen Schriftform auch die elektronische Form anerkennen, d. h. die elektronische Abbildung von Dokumenten (z. B. als Träger von Willenserklärungen) muss zusammen mit ihrer elektronischen Übertra-14gung Berücksichtigung und Rechtswirksamkeit erfahren. Durch dasGesetz zur Anpassung

8vgl. z. B. Richter (1999)

9vgl. z. B. Armgardt (2001)

10vgl. z. B. Sanner (2001)

11BGBl. I 1997, S. 1870 ff.

12ABl. EG Nr. 13 v. 19.1.2000, S. 14 ff.

13BGBl. I 2001, S. 876 ff.

14vgl. z. B. Roßnagel (2002, S. 13)

Page 7

der Formvorschriften des Privatrechts und anderer Vorschriften an den modernen Rechtsge-15schäftsverkehr(Formanpassungsgesetz) vom 13.7.2001 und demDritten Gesetz zur Ände-16vom 21.8.2002 hat der deutsche Gesetz-rungverwaltungsverfahrensrechtlicher Vorschriften17geber auch diesen komplementären Erfordernissen weitestgehend Rechnung getragen. Die18digitale bzw. qualifizierte elektronische Signatur i. S. d. SigG ist - mit gewissen Einschränkungen, somit zum Substitut der eigenhändigen Unterschrift geworden (vgl. hierzu 2.3 unten), da„(...) eine qualifizierte elektronische Signatur im Rechtsverkehr die gleiche Wirkung hat wie eine eigenhändige Unterschrift, wenn durch Gesetz nicht ein anderes bestimmt ist.“(§ 6 Abs. 2 SigG).

Die Erwartungen der Branche (für Produkte der Signatur-Infrastruktur i. w. S.) in die Entwicklung des Signaturgeschäftes waren spätestens mit dem novellierten SigG überwiegend positiv und es wurde die qualifizierte elektronische Signatur mit Anbieterakkreditierung als die höchs-19te Qualitätsstufe favorisiert. In ihr sah man die Voraussetzung für die Weiterentwicklung des

elektronischen Rechts- und Geschäftsverkehrs. Die Prognosen des Geschäftsvolumens für den20Markt der elektronischen Signaturen fielen regelmäßig sehr hoch aus; dennoch konnten

bislang nur die wenigsten Anbieter daraus ein rentables Geschäft machen und signifikante21Entwicklungsanstöße sind neben ein paar Pilotprojekten ebenfalls noch nicht zu erkennen.22„Besonders das Privatkundengeschäft ist bislang so gut wie gar nicht in Fahrt gekommen.“Als Grund hierfür wird einerseits häufig die fehlende Akzeptanz der digitalen Unterschrift bei Behörden und Unternehmen ausgemacht. Andererseits lässt aber auch die Notwendigkeit zusätzlicher Hard- und Software, sowie die hiermit einhergehenden Kosten, offenbar das Interesse der Verbraucher gering. Hinzu kommt noch, dass bislang kein ausreichender Schutz23des Anwenders z. B. vor sog. Trojanische Pferd Programmen gewährleistet werden kann. Wirtschaft und Verwaltung begründen ihre Zurückhaltung gegenüber der Signaturnutzung24wiederum mit der bislang geringen Zahl der Anwender („Henne-Ei-Problem“). Aus dieser

15BGBl. I 2001, S. 1542 ff.

16BGBl. I 2002, S. 3322 ff.

17vgl. z. B.: auch Schreiben des BMF v. 16.7.2001: Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler

Unterlagen (GDPdU),BStGBl. I 2001, S. 415

18Ohne weitere Angaben wird im Folgenden mit ‚SigG’ immer das Gesetz über Rahmenbedingungen für elektronische

Signaturen (SigG 2001) bezeichnet.

19vgl. KES (2002): http://www.kes.info/_archiv/_onlinearch/02-03-24-digsig.htm (28.01.03)

20s. Fußnote 22

21vgl. z. B. Gründel/Bayer (2002), Roßnagel (2002),

SecuMedia (2002): http://www.security-forum.de/presse.htm (28.01.03),

http://www.contentmanager.de/magazin/artikel_116_quo_vadis_dokumenten-management.html

22Paterak (2002): http://www.ftd.de/tm/it/1014399137454.html,

vgl. http://www.computerwoche.de/index.cfm?pageid=254&artid=37258&type=detail,

http://www.golem.de/0206/20325.html

23vgl. z. B. http://www.chip.de/news_stories/news_stories_8736718.html (31.01.03),

http://www.ebigo.de/unternehmensbereiche/00056/index.html?url_kat_1=/unternehmensbereiche/00023/index.html

&PHPSESSID=c10f682154d44cad06dcd95cfd19fb0a, Roßnagel (2001, S. 50, 51)

24vgl. z. B. J. E. (2002), Krempl (2002), s. Fußnote 21,

Page 8

Situation heraus wird inzwischen die Aufforderung an den Staat formuliert, die Etablierung des elektronischen Signierens als hoheitliche Aufgabe zu verstehen und sich dementsprechend25, 26stärker hierfür einzusetzen.

Es gibt allerdings auch Einschätzungen, wonach bislang genannte Gründe für die Zurückhaltung auf allen Seiten nur endogene Aspekte und Probleme der Einführungsphase darstellen. Die fehlende Durchsetzung der gesetzeskonformen (qualifizierten elektronischen) Signatur wurde somit im Grundsatz bislang nur unzureichend erklärt. Neben dem „Henne-Ei-Problem“ (vgl. oben) könnten vielmehr auch weitergehende Erwägungen, sowohl auf Seiten der Wirtschaft wie auch beim Verbraucher, gegen eine grundsätzliche praktische Bedeutung der Signatur spre-27chen.

Was hat man nun„heute“unter einer gesetzeskonformen digitalen bzw. qualifizierten elektronischen Signatur zu verstehen und wie ist die Gleichstellung zur eigenhändigen Namensunterschrift ausgestaltet -es ist zu hinterfragen, welche Sicherheiten aus rechtlicher und informationstechnischer Perspektive konstituiert, garantiert oder evtl. auch nur suggeriert werden.Die informationstechnische Realisierung von (Rechts-) Sicherheit in diesem Zusammenhang muss - unabhängig von ihrem Ausmaß, immer von seinen Verwendern finanziell getragen werden.Es stellt sich somit in besonderem Maße die Frage nach dem derzeit realisierbaren ökonomischen Nutzenpotential eines Einsatzes rechtserheblicher digitaler Signaturen, d. h. Signaturen i. S. d. SigG, sowie den möglichen Ursachen für ihre bislang28mangelnde Verwendung.Neben den Perspektiven für Unternehmen und den Staat wird hierbeispeziell die Situation der Verbraucher bzw. Bürgeruntersucht. Zur Erschließung von Antworten auf diese Fragen sollen im Folgenden die grundlegende rechtliche und informationstechnische Konzeption, sowie das derzeitige Ausmaß der angesprochenen Sicherheit ausführlich dargestellt werden. Dem schließt sich die Diskussion einer ökonomischen Sinnhaftigkeit der dargestellten Möglichkeiten an. In diesem Zusammenhang ist insbesondere die Identifizierung eventueller Divergenzen zwischen rechtlichen und informationstechnischen Möglichkeiten einerseits sowie praktischen Anforderungen potentieller Anwender andererseits notwendig. Hierzu gilt es gleichfalls die Alternativen zur qualifizierten elektronischen Signatur zu bewerten.

Nach einer differenzierten Darstellung der rechtlichen Situation, wird die Signatur dabei i. w. in Gestalt derqualifizierten elektronischen Signatur (§ 2 Nr. 3 SigG)zu Grunde gelegt, da nur sie

http://www.sicherheit-im-internet.de/themes/themes.phtml?tdid=2062 (28.01.03),

http://www.spiegel.de/netzwelt/politik/0,1518,177336,00.html (28.01.03)

25vgl. GI/ITG bzw. Roßnagel (2003) - sowie Fußnote 21, Fußnote 22, http://www.golem.de/0205/19967.html

26vgl. hierzu auch „Signaturbündnis“ (Public-Private-Partnership): http://www.bund.de/Anlage100781/pdf_datei.pdf

27vgl. Bizer (2002a)

28vgl. z. B. Roßnagel (2003), GI/ITG (2003, S. 3), Meinel/Gollan (http://www.jurpc.de/aufsatz/20020223.htm - Abs.

7)

Page 9

gesetzlich als Substitut zur eigenhändigen Unterschrift dienen kann. Ein umfassendes Verständnis für elektronische Signaturen ist ohne die Unterscheidung der Verschlüsselung und des Signierens elektronischer Daten nicht möglich. Mit dem Signieren elektronischer Daten geht nicht zwangsläufig auch eine Verschlüsselung einher. Das Sicherheitsziel der Verschlüsselung ist ein Verbergen semantischer Inhalte gegenüber Dritten bzw. auch ein vollständiges „Verstecken“ ganzer Dateien. Die Verschlüsselungsverfahren beinhalten grundsätzlich keine primären Ansätze um den Urheber von Daten zu identifizieren oder die Unverfälschtheit der Daten zu prüfen. Für die Verschlüsselung stehen somit Geheimhaltung bzw. Datenschutz im Vordergrund.

Diese Aspekte sind jedoch nicht Gegenstand des SigG und liegen auch i. A. nicht dem Signie-29ren von Daten zu Grunde. Auf die kryptographischen Grundlagen und Verfahren wird des-30halb nur aus Sicht des Signierens Bezug genommen.

29vgl. z. B. Gollan (2002, S. 14)

30Diese Verfahren und Algorithmen sind allerdings vielfach in ihrer grundlegenden Konzeption mit der allgemeinen

Datenverschlüsselung vergleichbar bis identisch.

Page 10

2 R e c h t l i c h e A s p e k t e d e r S i g n a t u r

2.1 Rechtliche Grundlagen

2.1.1 Richtlinie der Europäischen Union

Der Rechtsverkehr von Wirtschaftssubjekten über politische Grenzen hinweg ist kein neues Phänomen der Informationsgesellschaft. Verschiedenste Rechtsvorschriften tragen diesem Umstand bereits seit langem Rechnung. Nationale Vorschriften regeln z. B., welche Rechtsordnungen bei Sachverhalten mit Verbindung31zu ausländischen Staaten Anwendung finden (Internationales Privatrecht). Supranationales Recht bildet die einheitliche Rechtsgrundlage für einen übergeordne-32ten Rechtsraum bzw. dient der Harmonisierung verschiedener nationaler Vor-33schriften .

Dennoch hat die fortgeschrittene Mobilität in der Gestalt elektronischer Kommunikationsmöglichkeiten, den Rechtsverkehr inzwischen wesentlich beeinflusst. Eine Rechtssicherheit imelektronischen Rechtsverkehr,die bei der Überschreitung von Landesgrenzen ungewiss wird, nicht durchsetzbar wäre oder gar endet, erscheint angesichts des globalen Charakters heutiger Kommunikations- und34Wirtschaftsbeziehungen nicht mehr zeitgemäß.

Mit der Richtlinie 1999/93/EG, vom 13. Dezember 1999, verlieh die Europäische Union (EU) der empfundenen Notwendigkeit von Signaturen für die elektronische Kommunikation und den elektronischen Geschäftsverkehr Ausdruck. Der Beeinträchtigung des europäischen Binnenmarktes in Folge einer Divergenz nationaler Vorschriften zur rechtlichen Anerkennung von Signaturen soll hierdurch entgegen35gewirkt werden.

„Es geht im Kern bei der gesamten Richtlinie vor allem um eines: die Sicherstellung einer EU-einheitlichen Infrastruktur für die elektronischen Signaturen, an36die konkrete Rechtswirkungen geknüpft sind.“Hierfür sind Regelungen zu

grundsätzlichen technischen und administrativen Aspekten, zu Voraussetzungen für die Rechtswirksamkeit sowie Fragen der Haftung von Zertifizierungs-37diensteanbietern getroffen worden. Aus der Eigenart einer EU-Richtlinie geht

31vgl. Art. 3 ff. 2. Einführungsgesetz zum Bürgerlichen Gesetzbuch (EGBGB)

32vgl. z. B. Verordnung (EWG) 1612/68 über die Freizügigkeit der Arbeitnehmer innerhalb der Gemeinschaft

33vgl. z. B. Richtlinie zur Aufhebung der Reise- und Aufenthaltsbeschränkung (68/360/EWG)

34vgl. z. B. Rapp (2002, S. 36 ff), Bertsch (2001, S. 54 ff), Sanner (2001, S. 180 ff)

35vgl. Erwägungsgrund Nr. 4 u. Art. 1 RL1999/93/EG

36Bröhl (2002, S. 33)

37vgl. Art. 249 Vertrag zur Gründung der Europäischen Gemeinschaft (EGV)

Page 11

hervor, dass es sich um Zielvorgaben bzw. Rahmenbedingungen (Mindestanforderungen) handelt, die einer nationalen Umsetzung und Ausformulierung bedürfen. Die erforderlichen Rechts- und Verwaltungsvorschriften hierzu waren durch die Mitgliedsstaaten der EU bis zum 19. Juli 2001 zu erlassen (Art. 13 RL1999/93/EG).

Trotz der Harmonisierungs-Bestrebungen durch die RL1999/93/EG kann die grenzüberschreitende rechtliche Akzeptanz qualifizierter Signaturen de facto deutlich erschwert sein. Hierzu tragen einerseits unterschiedliche nationale Detailanforderungen bei, andererseits bestehen auch noch zahlreiche Einschränkungen bei der Harmonisierung (wie z. B. mögliche Zusatzanforderungen im öffentlichen Be-38reich).

2.1.2 Deutscher Gesetzgeber

Infolge des Anpassungsbedarfs durch die Richtlinie 1999/93/EG kam es, zusammen mit den Ergebnissen der Evaluierung von SigG 1997 und Signaturverordnung (SigV) 1997, zu einer grundlegenden Umstrukturierung des deutschen Sig-39naturrechts. Als Ergebnis dieser Gesetzesnovellierung traten am 22. Mai 200140 41das SigG 2001 und am 22. November 2001 die SigV 2001 in Kraft.