- Qualifizierte Signatur
-
Eine qualifizierte elektronische Signatur (QES) ist nach dem deutschen Signaturgesetz eine fortgeschrittene elektronische Signatur, die auf einem (zum Zeitpunkt ihrer Erzeugung gültigen) qualifizierten Zertifikat beruht und mit einer sicheren Signaturerstellungseinheit (SSEE) erstellt wurde. Die Entsprechungen in Österreich und in Liechtenstein werden als sichere elektronische Signatur bezeichnet; mit der Novellierung des österreichischen Signaturgesetzes zum 1. Januar 2008 wird der Begriff jedoch auch auf qualifizierte elektronische Signatur geändert.
Jeder geheime, auf asymmetrischen Verschlüsselungsverfahren basierende Signaturschlüssel hat immer einen einzigen korrespondierenden öffentlichen Signaturprüfschlüssel. Ein Zertifikat des Zertifizierungsdiensteanbieters (ZDA) ist die elektronische Bescheinigung, dass der Signaturprüfschlüssel und damit auch der korrespondierende Signaturschlüssel einer Person zugeordnet wurde und die Identität dieser Person bestätigt werden kann (vgl. § 2 Nr. 6 Signaturgesetz). Bei der elektronischen Signatur enthält das Zertifikat den öffentlichen Schlüssel, mit dem der während der Signaturerstellung verschlüsselte Hashwert (Prüfsumme) des elektronischen Dokuments entschlüsselt und gegen einen neu erstellten Hashwert verglichen und damit die Authentizität des elektronischen Dokuments überprüft werden kann. Zu den Details siehe elektronische Signatur.
Für die qualifizierte elektronische Signatur muss der Zertifizierungsdiensteanbieter die §§ 4 bis 14 Signaturgesetz einhalten und die Aufnahme der Tätigkeit bei der zuständigen Behörde (Bundesnetzagentur) anzeigen (§4 Abs. 3 SigG). Ab der Anzeige des Betriebs können Zertifikate für qualifizierte elektronische Signaturen ausgestellt werden. Vor der Anzeige des Betriebes ausgestellte Zertifikate ermöglichen bestenfalls das Erstellen von Fortgeschrittenen elektronischen Signaturen.
Sinn dieser Regelungen ist insbesondere, die Identität des Zertifikatinhabers sicherzustellen und die sichere Aufbewahrung und Zurverfügungstellung des Zertifikats zu gewährleisten. Das Zertifikat dient der Identifikation einer Person und muss daher sicher aufbewahrt werden, damit es nicht unzulässig verändert werden kann. Die Feststellung, wer ein Zertifikat beantragt, muss über ein sicheres Verfahren getroffen werden. Ein solches Verfahren ist zum Beispiel Postident, bei dem man seinen Personalausweis in einer Postdienststelle vorzeigen muss, wenn man den Antrag auf ein Zertifikat stellt. So kann man sicher sein, wem ein Zertifikat gehört. Ein anderes denkbares (aber nicht sehr praktikables) Verfahren könnte sein, dass ein Antragsteller persönlich beim ZDA erscheint und sich ausweist. Was im Einzelfall für den Registrierungsprozess ausreichend ist, beschreibt der ZDA in seinem einsehbaren Sicherheitskonzept.
Bei einer zuverlässigen Zertifizierungsstelle ist somit nachvollziehbar, zu welcher Person ein Zertifikat gehört. Mit Hilfe des Zertifikats kann festgestellt werden, ob eine elektronische Signatur wirklich von einer bestimmten Person stammt.
Inhaltsverzeichnis
Abgrenzung zu anderen Signaturarten
Der Teilbegriff „qualifiziert“ leitet sich aus dem Signaturgesetz ab, das mehrere Stufen von Signaturen festlegt. Es gibt einige Anforderungen an die Infrastruktur und Abläufe besonders beim ZDA, damit eine Signatur als qualifiziert gelten kann, etwa im Hinblick auf die Identifizierung des Inhabers.
Ein mit einer qualifizierten Signatur signiertes elektronisches Dokument kann nach §126a BGB in Deutschland die per Gesetz oder Verordnung notwendige Schriftform ersetzen. Die Schriftform ist beispielsweise bei der Kündigung eines Arbeitsverhältnisses notwendig.
Aufgrund der sogenannten Formfreiheit für Rechtsgeschäfte, z.B. Kaufverträge, reicht hingegen in den meisten Fällen - soweit nicht per Gesetz die Schriftform oder eine qualifizierte elektronische Signatur explizit gefordert ist, eine einfache oder fortgeschrittene elektronische Signatur als Beweismittel völlig aus.
Nach §17 SigG sind Produkte für qualifizierte Signaturen mit einer Herstellererklärung zu versehen oder von akkreditierten Stellen (BSI, TÜV-IT, GEI) auf ihre Konformität zum SigG zu bestätigen. Herstellererklärungen sind an die Bundesnetzagentur zu senden und werden, wenn sie dem SigG entsprechen, veröffentlicht. Gültigkeit im Sinne des SigG erhält die Herstellererklärung bereits zum Zeitpunkt des Empfangs bei der Bundesnetzagentur. Damit die Sicherheitsanforderungen während der Signaturerstellung erfüllt sind, ist somit in der Regel auch die Anschaffung eines bestimmten Kartenlesegeräts sowie kommerzieller Software notwendig.
In Deutschland verlangt das UStG eine qualifizierte elektronische Signatur auf elektronisch übermittelten Rechnungen, damit das rechnungserhaltende Unternehmen zum Abzug der Vorsteuer berechtigt ist. Eine Archivierung der elektronisch übermittelten Rechnung in elektronischer Form ist Pflicht. D.h. ein ausschließliches Archivieren des Ausdrucks ist damit nicht erlaubt und berechtigt nicht zum Vorsteuerabzug. In Papierform erhaltene und erst dann gescannte Rechnungen sind jedoch ohne qualifizierte elektronische Signatur archivierbar. Der Scanvorgang muss jedoch protokolliert werden.
Anbieter in Deutschland
Wer ein Dokument mit Hilfe einer qualifizierten Signatur elektronisch unterzeichnen möchte, muss sich bei einem Zertifizierungsdienst anmelden, der seine Tätigkeit bei der Bundesnetzagentur angezeigt hat oder freiwillig akkreditiert ist. Dieser Zertifizierungsdiensteanbieter lässt sich seine Dienstleistung in der Regel direkt oder indirekt vom Nutzer bezahlen.
Akkreditierte Anbieter qualifizierter Zertifikate sind TC TrustCenter, T-Systems mit Telesec, die Sparkassen-Finanzgruppe mit S-TRUST, die DATEV mit e:secure, D-TRUST (Bundesdruckerei-Gruppe), die Deutsche Post AG mit Signtrust, die Bundesnotarkammer sowie die DGN Deutsches Gesundheitsnetz Service und die medisign der Deutschen Apotheker- und Ärztebank.
Anbieter für qualifizierte Zertifikate, die Ihren Dienst angezeigt haben, sind die Deutsche Rentenversicherung Bund und die Deutsche Rentenversicherung Rheinland. [1]
Einzelnachweise
Weblinks
- Liste der Zertifizierungsdiensteanbieter bei der Bundesnetzagentur
- Liste bestätigter Komponenten
- Liste der Herstellererklärungen
Literatur
- Hähnchen, Susanne: Elektronischer Rechtsverkehr - Ein praktischer Leitfaden. für Rechtsanwälte, Notare, Studierende und andere Interessierte. Books on Demand GmbH, Auflage: Neuaufl. (Februar 2007), ISBN 3833492678
- Hähnchen, Susanne; Hockenholz, Jan: Praxisprobleme der elektronischen Signatur, JurPC Web-Dok. 39/2008, Abs. 1 - 31, Aufsatz bei JurPC
Bitte beachte den Hinweis zu Rechtsthemen!
Wikimedia Foundation.