13. Jun 2019
|
Gesellschaft
Journalist: Armin Fuhrer
E-Commerce und E-Gouvernment sind heute unaufhaltsam auf dem Vormarsch. Doch bei der elektronischen Unterschrift muss einiges beachtet werden.
Wer kennt das nicht: Ein Kreditantrag ist gestellt, Unterlagen für die nächste Urlausreise oder ein Dokument für eine Behörde müssen unterschrieben und abgeschickt werden. Nun heißt es, die Papiere unterschreiben, in einen Briefumschlag stecken, zur Post zu gehen und sie von dort versenden. Eine lästige und oft zeitaufwendige Angelegenheit. Es sei denn, man nutzt die Möglichkeit, diese Vorgänge digital zu erledigen – papierlos und ohne sich vom heimischen Schreibtisch wegbewegen zu müssen. Diese kosten- und zeitsparende Möglichkeit setzt sich immer weiter durch, und was für Privatpersonen gilt, gilt natürlich umso mehr für Unternehmen. Noch interessanter wird diese praktische Variante, wenn es sich um den länderübergreifenden Postverkehr, zum Beispiel in der EU, handelt.
Eine qualifizierte elektronische Signatur hat die gleiche Rechtsverbindlichkeit, wie eine händische Unterschrift. Und das tatsächlich über die Grenzen der einzelnen Staaten der Europäischen Union hinweg. Aber Achtung: Für das digitale Unterzeichnen gelten bestimmte Regeln, die unbedingt beachtet werden sollten, denn befolgt man sie nicht, hat man möglicherweise bald ein Problem mehr als ein eins weniger – nämlich zum Beispiel dann, wenn die andere Seite die Unterschrift nicht anerkennt. Wie eine elektronische Signatur auszusehen hat, bestimmt die elDAS (Electronic Identification And Trust Services), eine EU-Verordnung, die für alle Mitgliedsstaaten der EU und des europäischen Wirtschaftsraumes gilt. Diese Verordnung aus dem Jahr 2016 schafft damit grenzübergreifende Standards.
Den einzelnen Staaten ist es zwar auch weiterhin erlaubt, eigene Regelungen für die elektronische Unterschrift zu erlassen, diese dürfen aber der übergeordneten EU-Regelung nicht widersprechen. Auf diese Weise sollen den Unternehmen und Bürgern der Europäischen Union ermöglicht werden, auf sichere und vertrauensvolle Art und Weise elektronische Identifikationsmittel zu nutzen. Zudem sollen sie in sogenannte Vertrauensdienste, die ihr Geld damit verdienen, Karten und Signaturen zu validieren, zu prüfen und selbst auszustellen, Vertrauen gewinnen. Solche Vertrauensdienstanbieter, die sämtliche elDAS-Anforderungen erfüllen, gelten als qualifizierte Dienste. Nur auf diese Dienste sollte der Kunde zurückgreifen.
Unterschieden wird zwischen der einfachen, der fortgeschrittenen und der qualifizierten elektronischen Unterschrift. Die einfache Unterschrift ist dabei, wie der Name schon vermuten lässt, die niedrigste Stufe. An sie werden keine besonders hohen Anforderungen gestellt. Die einfache Signatur wird unter anderem dafür eingesetzt, anzuzeigen, bei wem es sich um den Absender einer Email handelt. In diesem Fall ist es ausreichend, dass der Adressat erkennt, wie der Firmenname, die Anschrift und der Name des Absenders lauten. Sie erleichtert beispielsweise die Kommunikation im innerbetrieblichen Verkehr, weil sie zum Beispiel für die Abrechnungen von Reisekosten eingesetzt werden kann.
In anderen Fällen der einfachen Unterschrift kann beispielsweise ein Kunde seine handschriftliche Unterschrift einscannen. Viele Empfänger von Paketen kennen diese Vorgehensweise inzwischen, da sie bei der Übergabe einer Sendung durch einen Boten genutzt wird. Anwendung findet sie ebenso in sogenannten formfreien Vereinbarungen. Wichtig: Die einfache elektronische Unterschrift ist als Beweismittel im Rahmen von Rechtsstreitigkeiten durchaus zugelassen. Diese Variante funktioniert auch auf dem Tablet, dem Computer oder dem Smartphone. Für diese Möglichkeit stehen verschiedenen Apps und Programme zur Verfügung.
Die Bedingungen für die fortgeschrittene elektronische Unterschrift sind dagegen schon weiter gefasst. Vor allem gilt, dass der Unterzeichner eindeutig festzustellen sein muss. Das bedeutet, dass die Übertragung verschlüsselt und fälschungssicher zu erfolgen hat. Für die Verschlüsselung existieren verschiedene Verfahren wie Pretty Good Privacy (PGP). Bei diesem verschlüsselt der Unterzeichner die Daten mit seinem geheimen persönlichen Schlüssel. Der Empfänger seinerseits entschlüsselt die Unterschrift mit einem öffentlichen Schlüssel. Er hat die Möglichkeit, die Echtheit des Absenders mit Hilfe von Daten, die dem privaten Schlüssel hinzugefügt wurden, abzuklären. Es gibt auch die Möglichkeit, Daten über ein beglaubigtes Zertifikat hinzuzufügen. Es enthält Angaben zur Identität des Absenders, ebenso zur zeitlichen Gültigkeit.
Die höchste Stufe der elektronischen Unterschrift ist schließlich die qualifizierte elektronische Signatur. Sie ist vor allem in Firmen und Behörden nötig. Da sie in den meisten Fällen der handgeschriebenen Unterschrift entspricht, unterliegt sie besonderen Sicherheitsanforderungen. Sie benötigt das qualifizierte Zertifikat eines autorisierten Zertifizierungsanbieters. Bei der Übermittlung der Unterschrift sind besonders sichere Verschlüsselungsverfahren nötig, mit deren Hilfe nachträgliche Veränderungen an der Unterschrift nachverfolgt werden können. Dazu ist eine sogenannte sichere Signaturerstellungseinheit (SSEE) notwendig. Sie beinhaltet neben der entsprechenden Software einen Chipkartenleser.