Elektronische Signaturen in Unternehmen

Publiziert am 9. März 2014 von lkl-it

Das deutsche Signaturgesetz unterscheidet verschiedene Signaturtypen, die in einem Unternehmen vorkommen können. Diese Signaturtypen stützen sich dabei (exklusive der einfachen Elektronischen Signatur) auf das kryptografische Verfahren der Digitalen Signatur (siehe Kapitel Digitale Signatur),  differieren dabei aber in  organisatorischen und rechtlichen Kriterien. Eine technische Umsetzung kann im Rahmen der Digitalen Signatur bei E-Mail bzw. durch den Signaturprozess auf Dokumente stattfinden (siehe 3.3.1 und 3.3.2).

Definition:

vgl. § 2 SigG (Signaturgesetz)

Eine elektronische Signatur im Sinne des Signaturgesetzes ist ein Siegel zu elektronischen Daten, das den Absender und die Unverfälschtheit der Daten erkennen lässt. Elektronisch übermittelte Daten können somit auf dem Weg vom Absender zum Empfänger nicht unbemerkt verändert werden.

Rechtliche Rahmenbedingungen:

  • EU-Richtlinie 1999/93/EG über gemeinschaftliche Rahmenbedingungen für elektronische Signatur
  • Signaturgesetz (SigG) und Signaturverordnung (SigV)
  • Bürgerliches Gesetzbuch (BGB): Vorschriften zur Schriftform (insbes.§126)
  • Zivilprozessordnung (ZPO): Beweiskraft elektronischer Dokumente (u.a. 371a/ 445)

Ausprägungen nach deutschem Signaturgesetz

Folgende Signaturtypen gelten nicht als Ersatz der Schriftform:

  • Elektronische Signatur(§ 2 Nr. 1 SigG): Erfüllt  keine besonderen Sicherheitsanforderungen (es reicht z.B. bei E-Mail ein angefügter Name des Urhebers), kann folglich  nicht zweifelsfrei einer Person zugeordnet werden und hat daher wenig Beweiswert. Einsatz nur für formfreie Verträge geeignet.
  • Fortgeschrittene elektronische Signatur (§ 2 Nr. 2 SigG): Ermöglicht eindeutige Zuordnung der Signatur zum Urheber bzw. dessen Identifizierung. Eine nachträgliche Veränderung der signierten Daten ist nicht möglich – dies entspricht der Verwendung eines ausgestellten Signaturzertifikats. Durch erhöhte Anforderungen, auch erhöhte Beweiskraft der Signatur.

Als Ersatz für die Schriftform können folgende Signaturtypen dienen, falls die elektronische Form zulässig ist (entspricht persönlicher Unterschrift):

  • Qualifizierte elektronische Signatur (§ 2 Nr. 3 SigG): Entspricht der Fortgeschrittenen Signatur, die zusätzlich auf einem qualifizierten Zertifikat beruht und mit einer sicheren Signaturerstellungseinheit[2] erzeugt wurde. Um ein qualifiziertes Zertifikat auszustellen, muss der Zertifikatsanbieter die §4 bis §14 des Signaturgesetzes einhalten und die Tätigkeit, sowie die zur Signatur nach  SigG und SigV verwendbaren Komponenten (spezielle Software, Treiber, Klasse 3 Kartenleser mit Tastatur), bei der Bundesnetzagentur anzeigen.

Vorgeschrieben ist die qualifizierte elektronische Signatur:

  • Branchenübergreifend: Elektronische Rechnungen (außer EDI), die zum Vorsteuerabzug berechtigen (am 23.09.2011 rückwirkend zum 01.07.2011 wieder abgeschafft)
  • Justiz: Elektronisches Gerichts und Verwaltungspostfach (EGVP)
  • Verwaltung: Austausch Behörden und Bürger (Projekt ELENA für elektronischen Einkommensnachweis, Arbeitnehmerdaten und Sozialleistungen – Projekt wurde am 18.07.2011 gestoppt)
  • Energiewirtschaft: Emissionshandel (CO2-Zertifikate)
  • Versicherungswesen: Einsatz anstelle von  Papierarchiven für Belege der Sozialversicherung
  • Abfallwirtschaft: Belege des Transports von Sondermüll (elektronischer Abfallnachweis)
  • Gesundheit: zukünftig – Elektronisches Rezept, Elektronische Patientenakte
  • Qualifizierte elektronische Signatur mit Anbieter Akkreditierung (§15): entspricht der Qualifizierten elektronischen Signatur, zusätzlich muss der Anbieter des Zertifikats nach §15 SigG akkreditiert sein. Die Bundesnetzagentur bescheinigt dem Anbieter erhöhte Sicherheit und ermöglicht dem Anbieter den Erhalt qualifizierter Zertifikate der Root CA der Bundesnetzagentur-PKI.

Die qualifizierte Signatur hat sich bis dato weitgehend nicht durchgesetzt, in der Regel reicht die fortgeschrittene Signatur, die auch mit einer eigenen PKI erzeugt werden kann, für die meisten Anwendungen vollkommen aus.

[1] Vgl. Bartonitz, Martin; Lenz, Joerg Matthias.: „Elektronische Signaturen ein Überblick aus der Praxis “ Vortrag zum Informationstag Elektronische Signatur am 23.9.2011 in Berlin.  http://www.slideshare.net/SOFTPROGroup/signaturtag-2011-elektronische-signatur-berblick-aus-der-praxis (abgerufen am 13. November 2011).

[2] Anm.: Smartcard / neuer Personalausweis / neue Gesundheitskarte / Heilberufsausweis / Geldkarte.

Dieser Beitrag wurde unter PKI: Anwendungen und Applikationen veröffentlicht. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.