[zurück] [weiter] >Home >Einzelthemen
Elektronische Signaturen
Die elektronische Signaturen sind ein Enabler für das eBusiness; u.a. im eHealth-Bereich des Gesundheitswesen. Die Signaturen sollen die Authentizität der Nutzer (Zuordnung zu einer Person) sowie zusätzlich die Integrität (Unversehrtheit) der Daten (in der Regel über eine mathematische Hashfunktion) sichern. Nach der neuen Version (Ausgabe 2001) des Signaturgesetzes (SigG), in die EU-Vorgaben eingearbeitet wurden, sind folgende Signaturvarianten zu unterschieden:
-
Einfache elektronische Signatur. Diese kann nicht zweifelsfrei einer Person zugeordnet werden. Auch wird die Integrität nicht gewährleistet. Die Form dieser Signatur ist nicht definiert; es könnte auch eine digitalisierte Unterschrift sein. Der rechtliche Wert dieser Signaturform ist somit gering.
-
Fortgeschrittene elektronische Signatur. Die Authentizität wird bezüglich des Eigners dieser Signatur gewährleistet, nicht jedoch bezüglich einer natürlichen Person. Die Integrität der Daten wird gewährleistet. Es bestehen jedoch keine erhöhten Anforderungen an die Schlüsselerstellung sowie die Schlüsselverwaltung. Insofern kann beim Anwender das Signaturverfahren über eine auf dem Rechner installierte Software erfolgen; eine sichere Signaturerstellungseinheit (z.B. Smartcard) ist hier nicht erforderlich. Diese Signatur kann auch noch nicht die gesetzliche Schriftform ersetzen; es wird somit keine ausreichende Rechtssicherheit erreicht.
-
Qualifizierte elektronische Signatur. Die Signatur muss von einem Zertifizierungsanbieter ausgestellt werden, der die gesetzlichen Anforderungen (SigG, SigV) für diesen Betrieb erfüllen muss (Selbsterklärung). Das Signaturverfahren muss innerhalb einer sicheren Signaturerstellungseinheit (z.B. Smartcard) erfolgen. Zertifikate müssen mindestens 5 Jahre nach Ablauf des Zertifikates vom Trustcenter noch geprüft werden können. Falls der Zertifizierungsanbieter seinen Betrieb einstellen sollte und der Service nicht von einem anderen Anbieter übernommen wird, so wird der Betrieb auch nicht von der der Regulierungsbehörde (RegTP) übernommen. Diese Signatur entspricht ebenso wie die unten aufgeführte akkreditierte Variante bis auf wenige Ausnahmen der gesetzlichen Schriftform und hat damit den gleichen Rechtsstatus wie eine eigenhändige Unterschrift innerhalb eines Dokumentes in Papierform.
-
Akkreditierte elektronische Signatur (auch: "Qualifizierte elektronische Signatur mit Anbieterakkreditierung" bzw. "Akkreditierte Signatur"). Diese bietet das höchste Sicherheitsniveau, indem sich der Anbieter einer freiwilligen Akkreditierung unterzieht. Das Signaturverfahren muss innerhalb einer sicheren Signaturerstellungseinheit (z.B. Smartcard) erfolgen. Zertifikate können mindestens 30 Jahre nach Ablauf des Zertifikates noch überprüft werden. Falls der Zertifizierungsanbieter seinen Betrieb einstellen sollte und der Service nicht von einem anderen Anbieter übernommen wird, so wird der Betrieb von der der Regulierungsbehörde (RegTP) übernommen. Diese Signaturform eignet sich somit auch für Langzeitarchivierungen.
Bis auf die einfache elektronische Signatur werden für die Signatur Signaturschlüssel (öffentlicher und privater) erzeugt (siehe PKI). Mit seinem privaten Schlüssel erzeugt der Nutzer die Signatur und mit dem öffentlichen Schlüssel kann der Empfänger die Signatur und die Unversehrtheit des Dokumentes auf überprüfen. Bei der fortgeschrittenen Signatur kann dieses durch den Nutzer selbst erfolgen. Bei den beiden höherwertigen Signaturvarianten erzeugen diese eine Zertifizierungsstelle. Die Signaturen haben u.a. wegen der fortschreitenden technologischen Entwicklung einen begrenzten Gültigkeitszeitraum. Nach dessen Ablauf müssen sie erneuert werden.
Um eine zusätzliche Vertraulichkeit zu erreichen, kann in der Regel der Anwender innerhalb der verwendeten Signaturlösung auch eine zusätzliche Verschlüsselung der signierten Dokumente aktivieren.
Die Diskussion um die elektronischen Signaturformen verführt oft zu der fälschlichen Annahme, dass Mails ohne oder nur mit einer einfachen Signatur keine Rechtsgültigkeit haben. Das ist nicht so, da auch diese wie oben erläutert ein Objekt des Augenscheins sind und damit der freien rechtlichen Bewertung des Richters unterliegen. Und, viele Mails gelten als Handelsbriefe und müssen damit bis zu 10 Jahre sicher archiviert werden.