Christoph Meinel, Lutz Gollan *Digitale Signaturen in der VerwaltungJurPC Web-Dok. 89/2003, Abs. 1 - 14 |
Inhaltsübersicht: |
1. Einleitung |
Im Zuge der Reform der Formanforderungen im deutschen Recht an die modernen Formen der Kommunikation wurde auch das (Bundes-) Verwaltungsverfahrensgesetzes angepasst (BGBl. I 2002, 3322ff.). Damit können nunmehr (seit dem 01.02.03) bestimmte Formen von elektronischen Signaturen benutzt werden, um einen Antrag oder Verwaltungsakt, der bis dato auf Schriftform festgelegt war, elektronisch zu erstellen und zu verschicken(1). Die Länderfassungen des Verwaltungsverfahrensgesetzes werden im Frühjahr 2003 angeglichen(2). Der Schwerpunkt der Reform ist die Zulässigkeit der Übermittlung von rein elektronischen Dokumenten in Bereichen, in denen bislang Ausdrucke erforderlich waren. | JurPC Web-Dok. 89/2003, Abs. 1 |
Dem Einsatz bestimmter Formen von elektronischen Signaturen kommt dabei maßgebliche Bedeutung zu. Sie sind nicht stets erforderlich, müssen jedoch dann verwendet werden, wenn das Gesetz die Schriftlichkeit des Verfahrens verlangt. | Abs. 2 |
Schon seit dem 01.08.2001 sind durch das Bürgerliche Gesetzbuch nach § 126a und § 127 BGB im Privatrecht grundsätzlich schriftliche Willenserklärungen durch eine bestimmte elektronische Form ersetzbar(3). Voraussetzung hierfür ist die Hinzufügung des Namens des Ausstellers der Erklärung und das Versehen der Datei mit einer qualifizierten elektronischen Signatur. Hierdurch wird deutlich, dass nicht jede elektronische Form dem Gesetz genügt. | Abs. 3 |
2. Signaturverfahren |
Das Signaturgesetz von 2001 (SigG(4)) als technische Klammer der verschiedenen Formvorschriften kennt vier verschiedene Formen von elektronischen Signaturen. Diese reichen von über Faxgeräte eingelesenen Handunterschriften über Systeme wie Pretty Good Privacy - "fortgeschrittene elektronische Signaturen" - bis zu komplexen Zwei-Schlüssel-Verschlüsselungsverfahren mit hierarchischen Trust-Strukturen, die auch den Anforderungen der detaillierten Signaturverordnung (SigVO) aus dem gleichen Jahr unterliegen. Nur diese dürfen als "qualifizierte elektronische Signaturen" bezeichnet und von Zertifizierungsdiensteanbietern angeboten werden (§ 2 Nr. 7 SigG). | Abs. 4 |
Anders als symmetrische Verschlüsslungs-Verfahren mit nur einem Schlüssel, der geheim ausgetauscht werden muss, erfordert die "asymmetrische" Kryptographie keinen solchen Austausch(5). Vielmehr hat jeder Unterzeichner zwei Schlüssel, von denen der private Schlüssel nur ihm zugänglich ist und der öffentliche Schlüssel regelmäßig über das Internet bekannt gemacht wird. Dieser dient zur Überprüfung der Signatur, die mit dem privaten Schlüssel erstellt wurde. Der private Schlüssel wird auf einer Smart Card aufbewahrt und auf dieser zum Signieren verwendet. Der Empfänger der elektronisch signierten Nachricht ruft den korrespondierenden öffentlichen Schlüssel aus einem frei zugänglichen Verzeichnis ab und überprüft die Signatur. Diese enthält den verschlüsselten elektronischen "Fingerabdruck", den Hash-Wert als Kurzform der zu signierenden Nachricht. Die Nachricht kann ein Antrag oder ein Verwaltungsakt sein. Der Hash-Wert wird mit dem privaten Schlüssel des Unterzeichners verschlüsselt und der zu signierenden Nachricht angefügt; dies ist die eigentliche Signatur. Der Empfänger erzeugt nun einerseits mit dem gleichen Verfahren wie der Absender den Hash-Wert der Nachricht, die er bekommen hat. Außerdem entschlüsselt er mit dem öffentlichen Schlüssel des Unterzeichners die Signatur. Stimmen die beiden Hash-Werte überein, so steht fest, dass nur der Inhaber des öffentlichen Schlüssels die Signatur erzeugt haben konnte. Weiterhin garantiert das Verfahren, dass die signierten Daten während des Transports nicht unerkannt verändert wurden. Anderenfalls hätte der Empfänger einen anderen Hash-Wert berechnet als der Unterzeichner. | Abs. 5 |
3. Hohe Anforderungen an die Anbieter |
Das SigG und die SigVO verlangen von den Anbietern(6) der qualifizierten elektronischen Signaturen, dass strenge und aufwendige Anforderungen erfüllt werden. Neben bestimmten technischen Prüfungen, welche die eingesetzten Komponenten wie Chipkarte und Signiersoftware bestanden haben müssen, sind auch eine Haftpflicht der Anbieter für etwaige Schäden durch unzureichende Technik und Regelungen zur dauerhaften Überprüfbarkeit der Signaturen in den Vorschriften enthalten. Für den Bereich der öffentlichen Verwaltung erlaubt die hinter dem SigG stehende EU-Richtlinie aus dem Jahr 1999(7) strengere Anforderungen an die Überprüfbarkeitsdauer der elektronischen Zertifikate, die die öffentlichen Schlüssel enthalten und Zeugnis für deren Zuordnung zu einer bestimmten natürlichen Person sind. Dies ist durch die Möglichkeit des Erfordernisses der "dauerhaften Überprüfbarkeit" für bestimmte Verwaltungsakte nach § 37 IV VwVfG n.F. | Abs. 6 |
Die entsprechenden Anforderungen werden derzeit von den Zertifizierungsdiensteanbietern in Deutschland erfüllt(8). Die von diesen beantragte und staatliche erteilte Akkreditierung durch die Regulierungsbehörde für Telekommunikation und Post verlangt als Voraussetzung das Vorliegen der entsprechenden technischen Gegebenheiten. | Abs. 7 |
4. Schriftform-Erfordernis |
Grundsätzlich gilt im Verwaltungsverfahren die Formfreiheit (§ 10 VwVfG). Das heißt, dass Verwaltungsakte, aber auch Anträge auf Verwaltungsakte, sowohl mündlich als auch schriftlich erlassen bzw. gestellt werden dürfen. Bestimmte Normen verlangen jedoch die Schriftlichkeit im herkömmlichen. Dies bedeutete bislang, dass zumindest ein Ausdruck vorhanden sein musste. Um Medienbrüche bei der Stellung und der Bearbeitung von Anträgen zu vermeiden, wurden diese Anforderungen abgeschwächt. | Abs. 8 |
Soll durch ein elektronisches Dokument ein gesetzliches Schriftform-Erfordernis erfüllt werden, so ist nach § 3a II VwVfG n.F. die Beifügung einer qualifizierten elektronischen Signatur möglich, aber auch als technisches Minimum erforderlich. Das Gesetz sieht daneben den Einsatz von digitalen Dokumenten mit einfacher oder fortgeschrittener elektronischer Signatur vor. Die jeweiligen Vorschriften verwenden dann das Begriffspaar "schriftlich oder elektronisch". Hierdurch wird die grundsätzliche Formfreiheit von Verwaltungsverfahren bestätigt. Ob diese jedoch aufgrund der Vielfalt der möglichen technischen Verfahren in den Verwaltungen zum Einsatz kommen werden, dürfte fraglich sein. Die Rathäuser werden voraussichtlich nur wenige technische Verfahren - alleine schon aus Kostengründen - unterstützen. Der Bund sieht die Einrichtung einer zentralen, virtuellen Poststelle für die Bundesbehörden vor, um so verschiedene Verfahren unterstützen zu können(9). Diese nimmt an die partizipierenden Behörden adressierte und signierte E-Mails entgegen und leitet sie nach der Signaturprüfung mit einem entsprechenden Ergebnisvermerk weiter. | Abs. 9 |
Diese Änderung entspricht weitestgehend den Anforderungen an eine moderne Verwaltung. Es muss jedoch festgestellt werden, dass gut ein Jahr nach der entsprechenden Anpassung des Bürgerlichen Gesetzbuchs im Privatrecht der Einsatz von qualifizierten elektronischen Signaturen die Ausnahme ist. Nach einer Studie von Fittkau und Maaß aus dem Jahr 2002 nutzen lediglich 5,8 Prozent der über 94.000 befragten deutschen Internet-Surfer die digitale Signatur(10). Allenfalls im Bereich des e-procurement, also der elektronischen Beschaffung, sind die Nutzungszahlen nicht völlig unbedeutend. Die Bundesregierung selbst verpasste es durch einen Kabinettsbeschluss vom 16. Januar 2002(11), die qualifizierte elektronische Signatur sinnvoll zu fördern: Den Bundesbehörden wurde durch die Entscheidung freigestellt, welche Form der elektronischen Signaturen sie einsetzen. | Abs. 10 |
Die geringe Verbreitung dürfte auch in den Kosten für die neue Technologie begründet liegen, wobei allerdings die Preise pro Signaturkarte und Chipkartenleser nicht überteuert sind. Die Bundesregierung geht in ihrem Gesetzentwurf zum neuen Verwaltungsverfahrensgesetz davon aus, dass die Kosten für die Ausstattung von 20.000 Arbeitsplätzen in der unmittelbaren Bundesverwaltung mit qualifizierten elektronischen Signiermöglichkeiten pro Platz einmalig 60 Euro und jährlich 20 bis 40 Euro betragen. Die aktuellen Modelle für die Behörden sehen jedoch derzeit die oben geschilderten zentralen, virtuellen Poststellen vor. | Abs. 11 |
5. Zulässigkeit der Übermittlung elektronischer Dokumente |
Das reformierte Verwaltungsverfahrensgesetz sieht im neuen § 3a Abs. 1 vor, dass die Übermittlung von elektronischen Dokumenten zulässig ist, wenn der Empfänger hierfür einen Zugang eröffnet hat. Anders als der Bundesrat im Gesetzgebungsverfahren gewünscht hatte, hat der Bundestag die ungenaue Formulierung der Zugangseröffnung beibehalten. Da unklar ist, wann der Zugang eröffnet wird, will die Bundesregierung durch einen Vermerk die Rechtslage im Jahr 2003 klären. In der Begründung des Gesetzentwurfs der Bundesregierung wird dazu bemerkt, dass bei Geschäftsleuten und Behörden allein die Angabe einer E-Mail-Adresse auf deren Briefbögen eine entsprechende Widmung darstellt. Falls dies nicht gewollt sei, müsse es explizit erklärt werden. Ob damit jedoch auch der Zugang für signierte und/oder verschlüsselte E-Mails eröffnet wird, ist umstritten. | Abs. 12 |
Für den Empfänger von elektronischen Dokumenten besteht nach § 3a III 2 VwVfG n.F. unabhängig davon die Möglichkeit, vorzutragen, dass er diese nicht bearbeiten kann. In diesen Fällen muss ihm gegebenenfalls das Dokument als Ausdruck übermittelt werden. Ist der Empfänger die Behörde, so kann sie unter Schilderung ihrer "technischen Rahmenbedingungen" dem Absender mitteilen, dass das elektronische Dokument nicht zur Bearbeitung geeignet ist (§ 3a II VwVfG n.F.). | Abs. 13 |
LiteraturverzeichnisDusemund, B., Becker, T., Gollan, L., Engel, T., Meinel, Ch.: Security in Open Networks: The Functionality of a Public Key Infrastructure, Trier 2000.Fittkau, S., Maaß, H.: Electronic Commerce im WWW, Hamburg 2002. Gollan, L., Engel, T., Meinel, Ch.: Digitale Signaturen - Zertifizierungsdiensteanbieter, Trier 2002. Roßnagel, A. (Hrsg.): Die elektronische Signatur in der öffentlichen Verwaltung, Saarbrücken, 2002. | JurPC Web-Dok. 89/2003, Abs. 14 |
Fußnoten:(1) Vgl. zur Ausgangslage der Sammelband von Roßnagel 2002.(2) In Bayern traten die Änderungen zum 01.02.03 in Kraft. (3) Gesetz zur Anpassung der Formvorschriften des Privatrechts und anderer Vorschriften an den modernen Rechtsgeschäftsverkehr v. 13. Juli 2001, BGBl. I, 1542ff. (4) Gesetz über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften v. 16.05.2002, BGBl. I, 876ff. (5) Vgl. zur Technologie Dusemund, Becker, Gollan, Engel, Meinel 2000. (6) Vgl. zu den Anbietern die Übersicht von Gollan, Engel, Meinel 2002. (7) Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999, über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen, L 13/12. (8) Siehe FN 6. (9) Vgl. http://www.kbst.bund.de/Themen-und-Projekte/eGovernment-,62/Datensicherheit.htm. Diese Poststelle wird vom Bundesamt für Sicherheit in der Informationstechnik eingerichtet. (10) Fittkau & Maaß 2002.; vgl. auch hierzu http://www.fittkaumaass.de/stories/storyReader$22 (11) http://www.staat-modern.de/infos/daten/elektron_signatur.pdf |
* Universitätsprofessor Dr. sc. nat. Christoph Meinel ist Leiter des Instituts für Telematik an der Universität Trier (E-Mail: meinel@ti.fhg.de), Dr. iur. Lutz Gollan ist wissenschaftlicher Berater des Instituts für Telematik, E-Mail: Dr.Gollan@LutzGollan.de. |
[online seit: 10.03.2003] |
Zitiervorschlag: Autoren, Titel, JurPC Web-Dok., Abs. |
Zitiervorschlag: Meinel, Christoph, Digitale Signaturen in der Verwaltung - JurPC-Web-Dok. 0089/2003 |