Im Alltag schließen wir alle nahezu täglich eine Reihe von Rechtsgeschäften ab, ohne dass wir uns dessen bewusst sind. Schon morgens beim Bäcker geht man einen Kaufvertrag ein und bei der Bus- oder Zugfahrt zur Arbeit kommt ein Vertrag auch ganz ohne den Austausch von Worten zustande.
Während für solche alltäglichen Verträge keinerlei Formvorgaben einzuhalten sind, gelten für andere Arten von Transaktionen mehr oder weniger umfangreiche Vorgaben. Genau geregelt sind z. B. die Bedingungen für Online-Shops, wo die Betreiber detaillierte Vorgaben für die Durchführung des Bestellvorgangs erfüllen müssen, die bis zur Beschriftung der Schaltflächen reichen, mit denen der Kauf abgeschlossen wird.
Für einige Rechtsgeschäfte sind im realen Leben auch besondere Vorgaben einzuhalten. Die wichtigste Formvorgabe ist die gesetzliche Schriftform, bei der ein Vertrag zwischen 2 Parteien schriftlich niedergelegt und mit einer eigenhändigen Unterschrift versehen sein muss.
Diese Vorgabe gilt z. B. für Verbraucherkredite, Bürgschaften oder Kündigungen eines Arbeitsvertrags. Derartige Verträge können daher nicht so einfach online abgeschlossen werden. Einfache elektronische Dokumente (z. B. PDF-Dateien), die um eingescannte Unterschriften ergänzt werden, sind kein Ersatz für diese Anforderungen.
Abb. 1: E-Mails können "einfach" signiert werden, um Identität des Absenders überprüfbar zu machen.
Auch bei vielen Behördengängen sind Schriftform bzw. Unterschrift vorgesehen. Im Zuge der Umstellung der Verwaltung auf mehr E-Government, also die elektronische Durchführung von Behördengängen, wird auch hier die Nutzung der elektronischen Ersatzlösung für die Schriftform immer wichtiger.
Schon vor etlichen Jahren hat der Gesetzgeber daher Vorgaben für Verfahren, mit denen solche elektronischen Unterschriften erstellt werden, vorgegeben. Im Signaturgesetz von 2001 (SigG) werden dazu verschiedene Sicherheitsstufen für elektronische Signaturen beschrieben. Das Gesetz unterscheidet dabei 3 unterschiedliche Varianten der elektronischen Signatur:
o Einfache elektronische Signatur
Einfache elektronische Signaturen sind nicht zweifelsfrei einer bestimmten Person zuzuordnen, da die Identitätsprüfung nur sehr oberflächlich ist (s. Abb. 1). Derartige Signaturen besitzen keine oder nur geringe Beweiskraft und sind daher für E-Commerce oder E-Government nicht ausreichend. Für andere Zwecke, wie die Verschlüsselung bzw. Signierung von E-Mails, sind diese Signaturen dagegen ausreichend.
o Fortgeschrittene elektronische Signatur
Bei fortgeschrittenen elektronischen Signaturen werden bereits einige zusätzliche Anforderungen erfüllt. So wird hier eine strengere Authentifizierung des Signatur-Inhabers vorausgesetzt. Fortgeschrittene elektronische Zertifikate können als Beweismittel verwendet werden, allerdings kann auch diese Variante die handschriftliche Unterschrift noch nicht ersetzen.
o Qualifizierte elektronische Signatur
Erst die qualifizierte elektronische Signatur (kurz QES) erfüllt alle Voraussetzungen, die der Gesetzgeber an eine Signatur stellt, damit diese gleichwertig zur handschriftlichen Unterschrift in Papierform anerkannt wird. Auch haben elektronische Dokumente nur mit QES in Zivilverfahren dieselbe Beweiskraft wie (Papier-) Urkunden. Für qualifizierte elektronische Signaturen gelten daher besonders hohe Anforderungen im Hinblick auf die Authentifizierung und die Ausstellung durch sichere Signaturerstellungseinheiten, die ausschließlich von zugelassenen Zertifizierungsstellen (Trustcentern) betrieben werden dürfen. Darüber hinaus gelten weitere Vorgaben, wie etwa die maximale Gültigkeitsdauer eines Zertifikats.
Für die qualifizierten elektronischen Signaturen nach dem Signaturgesetz ist zudem die Speicherung der Daten auf einer Chipkarte obligatorisch (s. Abb. 2). In der Praxis haben sich Smartcards als Datenträger durchgesetzt, die mit einem Mikroprozessor ausgestattet sind, mit dem die Rechenoperationen für das Signieren von Daten bzw. die Überprüfung von Signaturen ausgeführt werden können.
Abb. 2: Kartenlesegeräte waren für die qualifizierte elektronische Signatur unverzichtbar. (Foto: ReinerSCT)
Aufgrund des technischen Fortschritts können Zertifikate immer nur einen begrenzten Zeitraum gültig sein. Dies liegt daran, dass die aktuell genutzten Verschlüsselungsverfahren irgendwann in der Zukunft einmal geknackt werden könnten, wodurch die digitale Signatur dann gefälscht werden könnte. Die meisten Zertifikate besitzen daher eine Laufzeit von 3 Jahren, die maximale Gültigkeitsdauer liegt derzeit jedoch bei 5 Jahren.
1.1 Elektronische versus digitale Signatur
Im allgemeinen Sprachgebrauch wird meist nicht zwischen der digitalen Signatur und der elektronischen Signatur unterschieden. Allerdings wird in der Fachliteratur doch recht klar zwischen den beiden Ausdrücken differenziert.
Der Begriff der digitalen Signatur beschreibt primär die informationstechnischen Aspekte, speziell die kryptografischen Verfahren und Technologien, die den Signaturen zugrunde liegen. Der Begriff der elektroni...