05
2000

EU-Richtlinie zur digitalen Signatur – Online unterschreiben

Obwohl es schon seit einiger Zeit Verfahren zur digitalen Signatur gibt, wird sie rechtlich immer noch nicht anerkannt. Daran hat auch die neue EU-Richtlinie nichts Entscheidendes geändert.

Wer Einkäufe oder Bankgeschäfte über das Internet abwickeln möchte, will sichergehen, dass sie nur von ihm selbst vorgenommen werden können. Deshalb leisten wir im täglichen Geschäftsverkehr auch dort Unterschriften, wo das Gesetz eigentlich gar keine Schriftform vorsieht. Der Grund dafür ist, dass die Unterschrift rechtlich eine starke Beweisfunktion hat. Streng genommen, müsste eine Unterschrift immer direkt unterhalb der Erklärung angebracht werden. Aber in vielen Fällen ist dieser Grundsatz schon aufgeweicht. Denken Sie an ein Überweisungsformular der Banken. Die Unterschrift wird dort rechts oben geleistet, also oberhalb der Erklärung. Beim eCash-Zahlungsvorgang an der Kasse eines Lebensmittelhändlers wird Ihnen zum Unterschreiben die Rückseite eines Zahlungsbeleges vorgelegt. Mit den Erfordernissen an eine herkömmliche Unterschrift hat das wenig zu tun.

Auf halbem Weg

Vor knapp drei Jahren ist der deutsche Gesetzgeber sogar noch einen Schritt weiter gegangen. Im Rahmen des Informations- und Kommunikationsdienstegesetzes (luKDG) wurde das Signaturgesetz (SigG) erlassen. Es regelt, in welcher Weise Rahmenbedingungen geschaffen werden sollen, damit künftig digitale Signaturen im Datenverkehr angewendet werden können. Obwohl damit Deutschland weltweit das erste Land war, das über ein derartiges Gesetz verfügte, war es eigentlich nur ein halber Schritt. Es stand nämlich nichts darüber drin, welche rechtliche Qualität eine digitale Signatur haben soll. Am 13. Dezember 1999 hat die EU diese Unsicherheit behoben und nach einer langen Phase der Beratung die Richtlinie 1999/93/EG über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen erlassen (RLeS). Sie ist von den Mitgliedsländern bis Mitte 2001 in nationales Recht umzuwandeln. Inhaltlich unterscheidet die RLeS zwischen der „elektronischen Signatur“ und der „fortgeschrittenen elektronischen Signatur“. In Artikel 5 der RLeS wird für die Rechtswirkung der letzteren gefordert, dass die Mitgliedstaaten sie als gleichwertiges Äquivalent zur herkömmlichen Unterschrift anerkennen. Die Anforderungen an eine fortgeschrittene elektronische Signatur lesen sich daher auch wie ein Versuch der Definition der Unterschrift: sie ist ausschließlich dem Unterzeichner zugeordnet, sie ermöglicht die Identifizierung des Unterzeichners, sie wird mit Mitteln erstellt, die der Unterzeichner unter seiner alleinigen Kontrolle halten kann, sie ist so mit den entsprechenden Daten verknüpft, dass eine nachträgliche Veränderung der Daten erkannt werden kann.

Neue Probleme

Das bringt die RLeS aber in die Bredouille. Denn je deutlicher die technischen Anforderungen an eine elektronische Signatur formuliert werden, desto stärker wird die weitere Entwicklung geeigneter Verfahren eingeschränkt. Das wollte die RLeS unbedingt verhindern. Trotzdem wird beispielsweise in Artikel 5 Abs. 1 RLeS von „fortgeschrittenen elektronischen Signaturen, die auf einem qualifizierten Zertifikat beruhen“, gesprochen. Ein Zertifikat ist jedoch eine Komponente, die ausschließlich im PublicKey-Verfahren benötigt wird, nicht aber in biometrischen Verfahren. Auch an anderen Stellen der Richtlinie ist zu erkennen, dass die Delegationen sich ausschließlich am asymmetrischen Kryptographieverfahren orientiert haben, das gegenwärtig wohl den höchsten Sicherheitsstandard bietet. Außerdem darf die Lösung eines weiteren Problems mit Spannung erwartet werden: Es dürfte nämlich nicht leicht sein, die Regelungen der RLeS mit dem Entwurf des Bundesministeriums der Justiz vom 9. Mai 1999 zur Einführung der Text- und der elektronischen Form innerhalb von eineinhalb Jahren in Einklang zu bringen. Damit wird die digitale Signatur von der EU zwar rechtlich anerkannt, aber niemand weiß zur Zeit genau, wie sie praktisch umgesetzt werden soll.

‹ zurück zur Übersicht