Verträge mit elektronischer Signatur

Praxisanwendung

02.02.2006
Thomas Feil
Artikel teilen:

Teil 1 | Teil 2

Damit Verträge, die online abgeschlossen werden, bei juristischen Auseinandersetzungen auch beweiskräftig sind, müssen sie mit einer elektronischen Signatur versehen sein. Diese stellt sowohl die Identität der Vertragsparteien als auch die Unverfälschtheit der übermittelten Daten sicher. Bevor jedoch mit elektronischen Signaturen gearbeitet werden kann, müssen bestimmte technische und administrative Anforderungen erfüllt sein. Rechtsanwalt Thomas Feil stellt diese im zweiten Teil zum Thema "Verträge mit elektronischer Signatur" dar.

Die elektronische Signatur bietet die Möglichkeit, im elektronischen Verkehr "beweis- und gerichtsfest" zu kommunizieren. Die Anwendung der hierzu notwendigen technischen Mittel ist zwar aufwändiger, spart aber letztendlich Zeit und Geld verglichen mit der handschriftlichen Unterzeichnung eines Vertragspapiers.

Die elektronische Signatur ist das Produkt kryptographischer Verfahren und basiert auf so genannten "assymetrischen Verschlüsselungsverfahren". Elektronische Signaturen werden mit einem geheimen Signaturschlüssel erzeugt und mit einem davon verschiedenen, aber zu dem geheimen Schlüssel gehörenden, "öffentlichen Schlüssel" geprüft. Um den geheimen Schlüssel und die elektronische Signatur einer bestimmten, natürlichen oder juristischen Person zuordnen zu können, muss der öffentliche Schlüssel gemäß dem Signaturgesetz (SigG) mit einer elektronischen Bestätigung, dem Zertifikat einer so genannten "Zertifizierungsstelle", versehen sein.

Digitales Zertifikat und Zertifizierungsstellen

Eine Zertifizierungsstelle (engl. Certificate Authority, kurz CA) ist eine Organisation, die digitale Zertifikate herausgibt. Ein digitales Zertifikat entspricht der Funktion und Bedeutung eines Personalausweises und dient dazu, einen bestimmten öffentlichen Schlüssel einer Person oder Organisation zuzuordnen. Diese Zuordnung wird von der Zertifizierungsstelle beglaubigt, indem die Stelle sie mit ihrer eigenen digitalen Unterschrift versieht.

Ein Zertifikat enthält Informationen über den Namen des Inhabers, dessen öffentlichen Schlüssel, eine Seriennummer, eine Gültigkeitsdauer und den Namen der Zertifizierungsstelle.

Anders als der (nur) vom Staat ausgestellte Personalausweis werden Zertifikate aber von vielen verschiedenen Zertifizierungstellen (z. B. Bundesnetzagentur, VeriSign, Trustcenter u. a.) und zudem in verschiedenen Qualitätsstufen vergeben. Dabei ist zu beachten, dass Zertifizierungsdienste genehmigungsfrei sind und lediglich angezeigt werden müssen. Bei der Anzeige ist darzulegen, dass und wie die gesetzlichen Anforderungen (finanzielle Deckungsvorsorge, Zuverlässigkeit, Fachkunde) erfüllt werden. Es ist schließlich Sache des Benutzers zu entscheiden, ob er dem Herausgeber des Zertifikats vertraut.

Zertifizierungsstellen existieren sowohl als spezielle Firmen oder aber als Institution innerhalb einer Firma, die einen eigenen Server installiert hat. Auch öffentliche Organisationen oder Regierungsstellen sowie Universitäten können als Zertifizierungsstelle dienen.

Um bei der Vielzahl der Zertifizierungsstellen die Echtheit des Zertifikats zu garantieren, wird dem Zertifikat eine digitale Signatur einer vertrauenswürdigen Instanz (z. B. eine Behörde) aufgeprägt, durch welche die Integrität und Echtheit des Zertifikats nachgewiesen werden kann. Da der öffentliche Schlüssel einer Zertifizierungsstelle schließlich wiederum mittels eines Zertifikats überprüfbar sein muss, ergibt sich die Notwendigkeit einer obersten Zertifizierungsinstanz: In Deutschland übernimmt diese Funktion die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (ehemals "Regulierungsbehörde für Telekommunikation und Post" (Reg TP)). Die Bundesnetzagentur führt eine Liste aller akkreditierten Zertifizierungsdiensteanbieter.

Auch die für qualifizierte elektronische Signaturen zugelassenen Kryptoalgorithmen werden von der Bundesnetzagentur genehmigt und veröffentlicht. Dort sind auch die für eine qualifizierte elektronische Signatur zugelassenen Produkte aufgelistet.

Unter www.bundesnetzagentur.de können alle Bestätigungen für Produkte für qualifizierte Signaturen eingesehen werden. Produkte, die nicht auf dieser Seite aufgeführt sind, sind durch die Bundesnetzagentur bisher nicht anerkannt und erfüllen somit auch nicht die Anforderungen des SigG und der dazugehörenden Signatur-Verordnung (SigV). Vor dem Erwerb entsprechender Software-Produkte ist hier also besondere Aufmerksamkeit geboten: Veröffentlichungen von Produktbestätigungen der Produkthersteller oder -vertreiber, die vor einer Veröffentlichung der Bestätigung auf der Seite der Bundesnetzagentur erscheinen, dürfen nicht zur Annahme veranlassen, dass das Produkt allen Anforderungen des SigG und der SigV tatsächlich genügt. Erst bei Veröffentlichung der Bestätigung auf der oben genannten Bundesnetzagentur-Seite ist sichergestellt, dass es sich um ein bestätigtes Produkt im Sinne des SigG handelt.

Einsatz der elektronischen Signatur in der Praxis

Der Einsatz der elektronischen Signatur in der Praxis läuft schrittweise wie folgt: Der Absender wählt die zu signierende Datei beliebigen Formats aus, die Signatur-Software bildet dann über diese Nutzdatei einen sog. "Hashwert" (Prüfsumme, digitaler Fingerabdruck). Nun kommt der geheime Schlüssel des Absenders zum Einsatz, mit Hilfe dessen der Hashwert verschlüsselt und damit die elektronische Signatur gebildet wird.

Beim Versenden der Dateien hat der Absender mehrere Möglichkeiten: Entweder er verschickt die Nutzdatei und die Signaturdatei getrennt oder er bildet eine "Containerdatei" mit beiden Dateien oder die Signatur ist in der Nutzdatei enthalten, was speziell bei Dokumenten im pdf- oder xml-Format praktikabel ist.

Nachdem der Empfänger die Nutzdatei und die Signaturdatei erhalten hat, dechiffriert er die Signatur mit Hilfe des öffentlichen Schlüssels und erhält damit den vom Absender erzeugten Hashwert. Dann berechnet er mit Hilfe der Signatursoftware den Hashwert zur Nutzdatei erneut und vergleicht die beiden Hashwerte. Wenn diese identisch sind, wurde die Datei vom "richtigen" Absender verschickt und auch während der Übermittlung nicht verändert.

Der Verwender der elektronischen Signatur sollte sich in einer Hinsicht jedoch nicht in (falscher) Sicherheit wiegen: Der Inhalt der Datei selbst wird allein durch eine elektronische Signatur nicht verschlüsselt. Die Datei ist auch weiterhin im Klartext lesbar und kann verändert werden – was dann allerdings vom Empfänger bemerkt würde.

Natürlich steht es dem Absender frei, vor dem Einsatz der elektronischen Signatur noch eine Software zur Verschlüsselung (etwa PGP oder gnupg) einzusetzen. Die elektronische Signatur kann auf Dateien im Klartext und (inhaltlich) verschlüsselte Dateien natürlich gleichermaßen angewandt werden.

Elektronische Signatur bei PDF-Dokumenten

In der Praxis hat sich im Geschäftsverkehr zum plattformunabhängigen Austausch von Dokumenten und Vertragstexten das pdf-Format durchgesetzt. Die Software-Hersteller haben hierauf reagiert und spezielle Programme zur Dokument-internen Signaturablage bereitgestellt: Die elektronische Signatur wird in das pdf-Dokument in einen dafür vorgesehenen Bereich eingebettet und kann bei Bedarf angezeigt werden, dies sogar bei Mehrfachsignaturen. Dadurch müssen die Signaturen, die ja selbst auch Dateien sind, nicht gesondert gehalten und verwaltet werden. Außerdem können so auch ganz gezielt spezielle Teile des Dokumentinhalts signiert werden (sog. "Content-Signatur").

Bei pdf-Dokumenten ist ebenfalls zu prüfen, ob die Signatur den rechtlichen Anforderungen, die für den jeweiligen Einsatzzweck gelten, genügen: So ist die Content-Signierung eines pdf-Dokuments durch Acrobat oder Adobe Reader Plug-Ins zur Zeit für qualifizierte elektronische Signaturen zwar technisch, aber rechtlich nicht möglich. Grund: der interne Betrachter von Acrobat und Adobe Reader wurde von der Bundesnetzagentur noch nicht als sichere Anwendungskomponente im Sinne des SigG zertifiziert. Es existiert aber seit kurzem – gemäß Bestätigungsurkunde des Bundesamt für die Sicherheit in der Informationstechnik (BSI) vom 24.11.2005 – ein pdf-Plugin, das die Anforderungen des SigG erfüllt: Das BSI hat die Signaturlösung der OPENLiMiT SignCubes AG für Adobe Acrobat und den Adobe Reader nach den international anerkannten Sicherheitskriterien "Common Criteria" zertifiziert. Damit können elektronische Signaturen zu Dokumenten im pdf-Format erstellt werden, die den Anforderungen des BGB, des SigG sowie der ZPO genügen und insofern nicht nur die Urheberschaft des Dokuments belegen, sondern auch die Beweiskraft des jeweiligen elektronischen Schriftstücks sichern.

Nachsignierung

Nicht selten kommt es vor, dass elektronische Dokumente erneut signiert werden sollen, allerdings unter Einschluss der bereits vorhandenen ursprünglichen Signaturen. Dies ist beispielsweise dann der Fall, wenn mehr als zwei Parteien einem Vertragstext zustimmen sollen oder eine Datei von verschiedenen Instanzen in einem Unternehmen "abgezeichnet" werden soll. Rein bildlich gesprochen ist jede Nachsignierung ein (weiterer) "Umschlag" um die elektronischen Dokumente und die bereits vorhandenen Signaturen.

Eine Prüfung der Signaturen erfolgt in einem solchen Fall von "außen nach innen", das heißt zuerst wird die zuletzt erstellte Signatur geprüft, dann die vorherige Nachsignierung und am Ende die ursprünglichen Signaturen des Dokuments.

Die Nachsignierung ist zudem vor allem im Rahmen einer ordnungsgemäßen Buchhaltung relevant: Für den Fall elektronischer Rechnungen etc. gilt gemäß der Grundsätze ordnungsgemäßer Buchhaltung (GoB) die Verpflichtung, Rechnungen für zehn Jahre "revisionssicher" zu archivieren. Nur wenn diese Bedingung durch ein entsprechendes elektronisches Archiv sichergestellt ist, ist eine erneute Signierung der einzelnen Dokumente nicht notwendig, da das revisionssichere Archiv dann die Unveränderbarkeit der im Archiv gehaltenen Dokumente garantiert.

Fazit

Die elektronische Signatur erfordert – im Vergleich zum traditionellen schriftlichen Vertragsschluss – Anfangsinvestitionen und Routine in der Handhabung des Ablaufs. Gemessen an den späteren Einsparungen an Zeit und Geld bietet sie aber deutliche Vorteile. Der Gesetzgeber hat mit seinen Änderungen im Bürgerlichen Gesetzbuch und der Zivilprozessordnung deutlich gemacht, dass elektronische Dokumente im Rechtsverkehr und gerichtlichen Verfahren in Zukunft ein verlässliches Beweismittel sein werden. Administrative Infrastruktur und technische Voraussetzungen für den Einstieg in den rechtssicheren und schnellen elektronischen Schriftverkehr sind bereits heute geschaffen.

 

Weitere Informationen erhalten Sie vom Autor Thomas Feil .
Der Autor behält sich alle Rechte am Artikel vor. © 2006 Rechtsanwalt Thomas Feil