c't 14/2016
S. 41
News
Digitale Signaturen

EU-weites neues Signaturrecht ab dem 1. Juli

Ab dem 1. Juli 2016 ist die EU-Verordnung 910/2014 über elektronische Authentifizierungen (eIDAS-VO) geltendes Recht in allen EU-Mitgliedstaaten. Sie ersetzt bisherige nationale Gesetze auf Basis der Richtlinie 1999/93/EG. In der Folge müssen die Behörden aller EU-Länder elektronische IDs aus anderen EU-Staaten anerkennen – auch dann, wenn sie zum Beispiel nach altem deutschen Recht nicht den Anforderungen an eine qualifizierte Signatur genügen. EU-Bürger können sich aufgrund der Verordnung jetzt im gesamten EU-Gebiet mit ihrem elektronischen Personalausweis authentifizieren. Unternehmen können Verträge und Angebote zu Ausschreibungsverfahren auch über Landesgrenzen hinweg papierlos geltend machen.

Ähnlich wie bisher ist zwischen einfachen, fortgeschrittenen und qualifizierten Signaturen zu unterscheiden. Erstere bieten keinerlei Sicherheit. Fortgeschrittene Signaturen gewährleisten wenigstens, dass der signierte Inhalt nicht nachträglich verändert worden ist. Bei beiden Typen hat im Streitfall ein Richter nach eigenem Ermessen über die Wirksamkeit zu entscheiden.

Dieselbe Sicherheit wie eine Unterschrift auf Papier bietet nur eine qualifizierte Signatur. Sie erhält man über ein notifiziertes ID-System. „Notifiziert“ bedeutet, dass das System von einer staatlichen Behörde wie dem Bundesamt für Sicherheit in der Informationstechnik geprüft und für bestimmte Sicherheits-Anforderungen zertifiziert worden ist. Die Richtlinie macht keine Vorgaben dazu, mit welchen Verfahren ein ID-System arbeiten muss. Die Spezifikationen werden aber im Rahmen der Notifizierung anhand etablierter Normen festgelegt, zum Beispiel anhand des Standards PAdES für Unterschriften in PDF-Dokumenten. Adobe hat seine Software bereits darauf abgestimmt.

Die neuerdings wählbare Fernsignierung von Dokumenten baut darauf, dass sich der Unterzeichner per Zwei-Faktor-Authentifizierung beim Trust-Center ausweist.

Alternativ zur Signaturkarte kann man Dokumente jetzt per Fernsignatur unterzeichnen: Man meldet sich per Internet bei einem zertifizierten Trust-Center an und schickt das Dokument dorthin. Als Antwort erhält man per SMS eine TAN und bestätigt die per Internet. Das Trust-Center sendet dann das Dokument mit einer qualifizierten Signatur zurück.

Bisher konnten nur natürliche Personen Dokumente und Transaktionen elektronisch signieren. Das erschwerte in vielen Fällen den Geschäftsbetrieb. Neuerdings lassen sich Dokumente auch im Namen einer juristischen Person, etwa einer Firma oder Behörde, mit einem Siegel authentifizieren. Einschränkende Regelungen, etwa, dass Signaturen per Signaturkarte erfolgen müssen, dürfen innerhalb einer Behörde oder Firma bestehen bleiben. Im Verkehr zwischen Behörden, Bürgern und Unternehmen treten sie aber außer Kraft.

Unterm Strich hält die eIDAS-VO an bestehenden Konzepten fest, bringt aber Fortschritte bei der internationalen Vereinheitlichung und schafft neue Möglichkeiten durch Fernsignierung und Unterschrift-Siegel für Firmen und Behörden. (hps@ct.de)

Leserbrief schreiben

Auf Facebook teilen

Auf X teilen