Recht im Internet/Deutsches Signaturgesetz wirft seinen Schatten voraus

Digitale Unterschrift bürgt für Integrität und Authentizität

10.11.2000
Die Zeiten, in denen Geschäfte per Handschlag besiegelt wurden, sind längst vorbei. Die Anonymität des Internet erfordert ein Mittel, das diese frühere Form des Vertragsabschlusses sowie die Unterschrift rechtsgültig ersetzt - die digitale Signatur. Ivo Geis* erklärt die wesentlichen Merkmale des 2001 in Kraft tretenden Signaturgesetzes.

Die elektronische Signatur ersetzt die klassische Unterschrift, die den Unterschreibenden charakterisiert und damit auf seine Authentizität hinweist. Dies geschieht durch eine Algorithmenkombination, den so genannten Hashwert. Dabei ergänzen sich zwei Algorithmen in einer einmaligen Kombination zu einem Algorithmenpaar, bestehend aus einem Algorithmus, der geheim bleibt, und einem Algorithmus, der öffentlich ist und unter dem der Inhaber des Algorithmus identifiziert werden kann.

Dieses Algorithmuspaar generiert ein vertrauenswürdiger Dritter - eine Zertifizierungsstelle - und weist es in Form einer Chipkarte dem jeweiligen Inhaber des Algorithmus zu. Der öffentliche Algorithmus wird von der Zertifizierungsstelle in ein öffentliches Schlüsselverzeichnis aufgenommen. Dies versetzt den Empfänger einer elektronisch signierten Nachricht in die Lage, den Absender mit Hilfe des öffentlichen Schlüsselverzeichnisses und der Schlüsselnummer zu identifizieren. Indem die Zertifizierungsstelle dieses öffentliche Verzeichnis der Inhaber von Algorithmen zuverlässig verwaltet, kann sich der Empfänger auf die Identität des im öffentlichen Verzeichnis festgestellten Absenders verlassen: Die Nachricht ist authentisch.

Erfüllen die technischen Komponenten der digitalen Signatur die gängigen Sicherheitsstandards, so wird der Inhalt des digitalen Dokuments geschützt. Algorithmuspaar und Zertifizierungsstelle als vertrauenswürdiger Dritter sind die weltweit anerkannten Gemeinsamkeiten elektronischer Signatursysteme. Die Unterschiede liegen in den Anforderungen an die technischen Komponenten und die Zertifizierungsstelle.

Mit der Signaturrichtlinie der EU werden die rechtlichen Rahmenbedingungen für elektronische Signaturen und für bestimmte Zertifizierungsdienste festgelegt, damit das reibungslose Funktionieren des Binnenmarktes gewährleistet ist. Die Brüsseler Eurokraten garantieren damit, dass die fortgeschrittene elektronische Signatur besonderer Qualität als "qualifizierte elektronische Signatur" der handschriftlichen Unterschrift gleichgestellt wird.

Die Anforderungen an diesen Sicherheitsstandard sind hoch. Er muss vor allem drei wesentliche Anforderungen erfüllen: Signaturerstellungsdaten dürfen nur einmal auftreten, ihre unbotmäßige Ableitung ist auszuschließen, und außerdem muss der rechtmäßige Unterzeichner die Signaturerstellungsdaten vor dem Zugriff durch Unberechtigte schützen können.

Im Klartext heißt das: Trust-Center, die qualifizierte Zertifikate ausstellen, haben mehr Aufgaben zu erfüllen: Sie müssen die Identität einer Person überprüfen, für die ein qualifiziertes Zertifikat ausgestellt wird, vertrauenswürdige Systeme und Produkte einsetzen, Maßnahmen gegen Fälschungen von Zertifikaten treffen und die Vertraulichkeit während der Erzeugung der Zertifikate gewährleisten. Das europäische System besteht aus angemeldeten und freiwillig akkreditierten Zertifizierungsdiensten, die überwacht werden und für falsche Zertifizierungen haften.

Das "Gesetz über Rahmenbedingungen für elektronische Signaturen" soll das "Gesetz zur digitalen Signatur" vom Juli 1997 in Deutschland ablösen und die Richtlinie des Europäischen Parlaments und des Rates über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen vom November 1999 umsetzen. Der Entwurf des neuen Signaturgesetzes wurde dem Bundestag als Kabinettbeschluss zugeleitet und wird voraussichtlich am 1. Januar 2001 in Kraft treten.

Charakteristisch für die deutsche Umsetzung der EU-Richtlinie ist die Existenz von Anbietern qualifizierter elektronischer Signaturen, nämlich "angemeldete Zertifizierungsdiensteanbieter" und "freiwillig akkreditierte Zertifizierungsdiensteanbieter". Die Aufnahme der Tätigkeit als Zertifizierer ist der zuständigen Behörde anzuzeigen. Mit der Anzeige ist schriftlich darzulegen, dass die erforderliche Zuverlässigkeit und Fachkunde vorhanden ist. Auf Antrag können diese Trust-Center von der zuständigen Behörde akkreditiert werden. Die Akkreditierung ist zu erteilen, wenn Zertifizierungsdiensteanbieter vor Aufnahme ihrer Tätigkeit nachweisen, dass die Vorschriften nach diesem Gesetz und der Rechtsverordnung erfüllt sind. Akkreditierte Zertifizierungsdiensteanbieter erhalten ein Gütezeichen und dürfen sich im Geschäftsverkehr als akkreditierte Zertifizierungsdiensteanbieter bezeichnen.

Das "Gesetz zur Anpassung der Formvorschriften des Privatrechts und anderer Vorschriften an den modernen Rechtsgeschäftsverkehr" soll Anfang des nächsten Jahres zeitgleich mit dem neuen Signaturgesetz Gültigkeit erlangen. Mit diesem Gesetz ersetzt die qualifizierte elektronische Signatur als "elektronische Form" die Schriftform. An dieser Stelle hat es der deutsche Gesetzgeber besonders genau genommen. Die qualifizierte elektronische Signatur ist für die gesetzlich geforderte Schriftform absolute Voraussetzung. Diese Form ist in Ausnahmefällen kaufmännischen Handelns wie etwa dem Grundstückskaufvertrag ein Muss, während im Normalfall die so genannte vereinbarte Schriftform genügt. Die vereinbarte Schriftform wird nun im deutschen Recht durch die "qualifizierte elektronische Signatur" ersetzt, obwohl die "elektronische Signatur" ausreichend wäre. Hier hat der Gesetzgeber (wohl) zu viel des Guten getan.

Elektronische Signaturen definiert der Entwurf des neuen Signaturgesetzes als Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und zur Authentifizierung dienen. Der entscheidende Unterschied zwischen qualifizierten und "normalen" elektronischen Signaturen: Qualifizierte elektronische Signaturen sind nur von angemeldeten oder freiwillig akkreditierten Zertifizierungdiensteanbietern erhältlich. Elektronische Signaturen hingegen müssen lediglich die Möglichkeit der Authentifizierung bieten, aber nicht notwendig über Zertifizierungsdiensteanbieter. Elektronische Signaturen können damit auch biometrische Signaturverfahren beispielsweise mit Hilfe von Fingerabdrücken sein. Auswirkungen kann dies in einem Rechtsstreit haben, in dem die Beweisqualität signierter Dokumente entscheidend ist. Im Rahmen der freien Beweiswürdigung sprechen gewichtige Argumente dafür, dass die qualifizierte elektronische Signatur die bessere Beweisfähigkeit aufweist. Zum einen sind die Anforderung an die Sicherheit gesetzlich definiert, zum anderen lässt sich der Absender durch angemeldete oder freiwillig akkreditierte Zertifizierungsdiensteanbieter zuverlässig authentifizieren.

In den USA ist am 1. Oktober der "Electronic Signatures in Global and National Commerce Act" vom Juni 2000 in Kraft getreten. Die Kernaussage dieses Gesetzes ist, dass elektronische Erklärungen, elektronische Verträge und elektronische Signaturen rechtswirksam sind. Mit dem Inkrafttreten des Gesetzes können Verträge mit Ausnahme von Testamenten, die weiter der Schriftform bedürfen, elektronisch geschlossen werden.

Anders als in der europäischen Rechtsordnung ist durch Gesetz ein elektronischer Ersatz für die Unterschrift nicht definiert. In den USA wird damit der Markt entscheiden, welche Architektur der Identifizierung sich durchsetzen wird: Schlüsselwörter, biometrische Verfahren oder zertifizierte elektronische Signaturen. Dies wird Auswirkungen auf das Recht in den internationalen Plattformen des E-Commerce haben. Die Diskussion, welches Recht in diesen exterritorialen Räumen gilt, wird von den Anwendern entschieden, die diese Räume als elektronische Marktplätze nutzen. Diese Nutzergemeinschaften werden die Freiheit in der Auswahl elektronischer Signaturen der gesetzlich regulierten elektronischen Signatur der europäischen Rechtsordnung vorziehen. Im Wettbewerb der Rechtsordnungen im Internet spricht damit vieles für das amerikanische Recht der freien Auswahl elektronischer Signaturen.

*Ivo Geis ist Rechtsanwalt in Hamburg.

Gesetzliche Änderungen§ 126 Abs. 3 BGB

Die schriftliche Form kann durch die elektronische Form ersetzt werden, wenn sich nicht aus dem Gesetz etwas anderes ergibt.

§ 126a BGB

Soll die gesetzlich vorgeschriebene schriftliche Form durch die elektronische Form ersetzt werden, so muss der Aussteller der Erklärung dieser seinen Namen hinzufügen und das elektronische Dokument mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehen.

§ 127 Abs. 3 BGB

Zur Wahrung der durch Rechtsgeschäft bestimmten elektronischen Form genügt, soweit nicht ein anderer Wille anzunehmen ist, auch eine andere als die in § 126a BGB bestimmte elektronische Signatur.

Wichtige Linkswww.iukdg.de: Website des Bundeswirtschaftsministeriums mit dem neuen Signaturgesetz und dem Zugang zu der EG-Signaturrichtlinie.

www.bmj.de: Website des Bundesjustizministeriums mit dem "Gesetz zur Anpassung der Formvorschriften des Privatrechts und anderer Vorschriften an den modernen Rechtsgeschäftsverkehr".

www.abanet.org: Website der American Bar Association mit dem "Electronic Signatures in Global and National Commerce Act".