Transcription

Lesezeichen und Gliederungsansicht ein- / ausschalten - hier klickenLeitfadenElektronische SignaturElektronische Signatur mit und ohne ZertifikatElektronische Signatur mit eigenhändiger UnterschriftIn Zusammenarbeit mitVersion 5Release Datum 4. Dezember 2008

Lesezeichen und Gliederungsansicht ein- / ausschalten - hier klickenInhalt12345Vorwort .6Impressum.7Einleitende Informationen.83.13.23.33.43.53.6Wer sollte diesen Leitfaden lesen?. 8Inhalt und Themen des Leitfadens . 8Elementare Kenntnisse - Womit sollte man beginnen . 8Begriffe - Unterzeichner statt Signaturschlüssel-Inhaber. 9Fortgeschrittene elektronische Signatur ohne Zertifikate möglich . 9Haftungsausschluß. ferenzierung Elektronische Signatur – Geheime Dokumente . 11Unterschied zwischen elektronischer und digitaler Signatur . 11Beispiele für Willenserklärungen.12Beispiele für Bestätigungen .12Anforderungen an elektronische Signaturen . 12Identifizierungsmerkmal Public Key für zertifikatsbasierte Signaturen .12Identifizierungsmerkmal Unterschrift für Signaturen ohne Zertifikat .13Was sind Massensignaturen? . 13Beispiele für Massensignaturen .13Was ist ein Zeitstempel?. 13Beispiele für Zeitstempel .135.15.1.15.25.35.45.55.5.15.5.2Massensignaturen zur elektronischen Übermittlung von Rechnungen. 14Hinweis für gescannte Rechnungen .14Signaturen für gescannte Papierdokumente . 14Zeitstempel für elektronische Archivierung von Dokumenten . 15Zeitstempel als Ergänzung zu qualifizierten Signaturen. 15Individualsignaturen für Willenserklärungen, Verträge und Bestätigungen. 15Signieren ohne vorherige Registrierung des Unterzeichners.15Signieren mit vorheriger Registrierung des Unterzeichners .166Grundlagen .11Anwendungsbeispiele für eine elektronische Signatur .14Gesetzliche Rahmenbedingungen 16.4.26.4.3Rechtliche Anforderungen an elektronische Signaturen . 17Gesetzliche Schriftform erfordert qualifizierte Signatur .17Technische Anforderungen an die qualifizierte elektronische Signatur. 18Erstellungsdatum qualifizierter Signaturen nur mit Zeitstempel möglich . 18Formfreie Vereinbarungen ohne qualifizierte elektronische Signatur .19Vereinbarte Schriftform . 19Nutzung nicht-qualifizierter Signaturen als Beweismittel . 20Fortgeschrittene Signaturen als Beweismittel. 20Einfache und fortgeschrittene elektronische Signatur ohne Zertifikat .21Fortgeschrittene Signaturen benötigen asymmetrische Verschlüsselung. 21Beweiskraft von nicht-qualifizierten Signaturen. 22Zuordnung der elektronischen Signatur zum Unterzeichner . 22Elektronische Urkunden. 23Elektronische Dokumente mit qualifizierter Signatur .23Eigenhändig unterschriebene elektronische Dokumente .23Anpassung von Vertragsbestimmungen . 25Betrachtungen angeblicher Erfordernisse einer qualifizierten Signatur . 25Bundesdatenschutzgesetz § 4a .25Ermächtigung zum Lastschrifteinzug .26Gesundheitsfragen und Kundenbelehrung .26Leitfaden Elektronische Signatur - Version 5 - 2008 Signature Perfect KGSeite 2 von 84

Lesezeichen und Gliederungsansicht ein- / ausschalten - hier klicken78910111213Abweichungen des SigG zur EG-Signaturrichtlinie .277.17.27.3Signaturschlüssel-Inhaber anstatt Unterzeichner. 271. Gesetz zur Änderung des Signaturgesetzes . 27BMWA Stellungnahme zu fortgeschrittenen Signaturen . 288.18.1.18.1.28.1.38.28.2.18.2.28.2.3Gültigkeit und Beweisfähigkeit von elektronischen Signaturen. 30Gültigkeit von Zertifikaten .30Gültigkeit von Verschlüsselungsalgorithmen .30Erhaltung der Beweisfähigkeit von Signaturen .31Ablage oder Archivierung von signierten Dokumenten? . 31Nachsignierung / Übersignierung.31Nachsignierung oder revisionssicheres Archiv?.32Erhalt von Formerfordernissen durch revisionssichere Archive?.329.19.2Biometrische Authentifizierungsverfahren für qualifizierte Signaturen . 33Eigenhändige Unterschrift für Signaturen ohne Zertifikate . .610.2.710.2.8Erstellung des Hashwertes. 34Signierung von Verweisen .34Betrachtungen verschiedener Dokument-Formate. 34MS-Office / Dokumente mit dynamischen Verknüpfungen .34TIFF.35XML - Datensätze .36Adobe - PDF .36PDF/A .36Adobe - XML LiveCycle Dokumente.37PDF – Open Source .37E-Mails 8.111.911.1011.1111.11.111.11.2Die grundsätzliche Struktur einer elektronischen Signatur. 38Beispiel einer symmetrischen Verschlüsselung . 39Symmetrische Verschlüsselung . 39Asymmetrisches Verschlüsselungsverfahren . 40Der Hash(-wert) . 41Datei- / File-Signierung .41Inhalt- / Content-Signierung .41Das elektronische Zertifikat. 42Prinzip zertifikatsbasierter Signaturerstellung mit Signaturkarte. 42Qualifizierte elektronische Signatur. 44Sicherheitsanforderungen.45Graphische Darstellung der Signaturerstellung und deren Prüfung . 46Fortgeschrittene elektronische Signatur . 47Zertifikatsfreie fortgeschrittene Signaturen mit eigenhändiger Unterschrift. 47Zertifikatsfreie Signaturerstellung mit Signaturdienst .48Dezentrale asymmetrische Signaturerstellung ohne Signaturdienst.4912.112.2Zusammenstellung relevanter Aspekte. 50Beispiel für die Vorgehensweise bei der Analyse . 5113.113.2Warum hält man am PIN Verfahren fest . 52Kontroverse Positionen. 53Vorhaltung signierter Dokumente als Beweismittel .30Biometrie und Unterschrift .33Welche Dokumente sind zur Signierung geeignet?.34Technische Aspekte .38Checkliste.50Politische Aspekte.52Leitfaden Elektronische Signatur - Version 5 - 2008 Signature Perfect KGSeite 3 von 84

Lesezeichen und Gliederungsansicht ein- / ausschalten - hier klicken14151617Links und Kontakte .5414.114.214.314.4GDPdU. 54Unternehmen und Verbände . 54SigLab – Signaturlabor . 55Signature Perfect KG. 55Autoren .56Kurz-Glossar und verwendete Abkürzungen.57Deutsche Gesetze, Verordnungen und Vorschriften .58AO § 87a Elektronische Kommunikation. 58BDSG § 4a Einwilligung . 59BGB § 125 Nichtigkeit wegen Formmangels . 59BGB § 126 Schriftform. 59BGB § 126a Elektronische Form . 59BGB § 126b Textform. 59BGB § 127 Vereinbarte Form . 60BGB § 355 Widerrufsrecht bei Verbraucherverträgen . 60BGB § 484 Schriftform bei Teilzeit-Wohnrechteverträgen. 60BGB § 492 Schriftform, Vertragsinhalt . 61SGB 1 § 36a Elektronische Kommunikation . 61SGB 4 § 110d Beweiswirkung. 62SigG § 1 Zweck und Anwendungsbereich . 63SigG § 2 Begriffsbestimmungen . 63SigV § 15 Anforderungen an Produkte für qualifizierte elektronische Signaturen . 64SRVwV § 36- Allgemeine Verwaltungsvorschrift über das Rechnungswesen . 65UStG § 14 Ausstellung von Rechnungen . 66VVG § 3 . 67VVG § 5a . 67VVG § 8 . 68VVG § 16 . 68VwVfG § 3a Elektronische Kommunikation . 69VwVfG § 33 Beglaubigung von Dokumenten. 69VwVfG § 37 Bestimmtheit und Form des Verwaltungsaktes. 70VwVfG § 69 Entscheidung . 70ZPO § 292a Anscheinsbeweis bei qualifizierter elektronischer Signatur . 71ZPO § 144 Augenschein; Sachverständige. 71ZPO § 371 Beweis durch Augenschein . 71ZPO § 371a Beweiskraft elektronischer Dokumente . 71ZPO § 286 Freie Beweiswürdigung . 72ZPO § 453 Beweiswürdigung bei Parteivernehmung. 72ZPO § 416 Beweiskraft von Privaturkunden . 72ZPO § 439 Erklärung über Echtheit von Privaturkunden. 72ZPO § 440 Beweis der Echtheit von Privaturkunden . 72ZPO § 441 Schriftvergleichung . 72ZPO § 442 Würdigung der Schriftvergleichung. 73Leitfaden Elektronische Signatur - Version 5 - 2008 Signature Perfect KGSeite 4 von 84

Lesezeichen und Gliederungsansicht ein- / ausschalten - hier klicken18Richtlinie 1999/93/EG EG-Signaturrichtlinie.74Artikel 1 - Anwendungsbereich. 77Artikel 2 - Begriffsbestimmungen . 77Artikel 3 - Marktzugang . 78Artikel 4 - Binnenmarktgrundsätze. 78Artikel 5 - Rechtswirkung elektronischer Signaturen. 79Artikel 6 - Haftung . 79Artikel 7 - Internationale Aspekte . 80Artikel 8 - Datenschutz . 80Artikel 9 - Ausschuß . 80Artikel 10 - Aufgaben des Ausschusses . 81Artikel 11 - Notifizierung. 81Artikel 12 - Überprüfung. 81Artikel 13 - Durchführung . 81Artikel 14 - Inkrafttreten. 81Artikel 15 - Adressaten . 81ANHANG I. 82ANHANG II. 83ANHANG III . 84ANHANG IV . 84Leitfaden Elektronische Signatur - Version 5 - 2008 Signature Perfect KGSeite 5 von 84

Lesezeichen und Gliederungsansicht ein- / ausschalten - hier klicken1VorwortDer Bedarf an elektronischen Signaturen nimmt zu, das Halbwissen darüberleider ebenfalls. Ursprünglich bestand dieser Leitfaden nur aus Fragmenten zurGesprächsvorbereitung, doch der wachsende Bedarf an fundiertem Basiswissenhat mich veranlaßt, diese Fragmente zu ordnen, mit eigenen hinzugewonnenenErkenntnissen zu ergänzen und – soweit möglich – auch auf dem aktuellen Standzu halten.Natürlich fühle ich mich geschmeichelt, wenn dieser Leitfaden inzwischen vonmanchen als Standard-Einführungswerk für elektronische Signaturen bezeichnetwird und selbst bei juristischen Staatsexamen als Literaturquelle genannt wird.Über 7.500 echte Downloads und unzählige Klicks seit seinem erstmaligenErscheinen im Dezember 2003 sprechen für sich. Dies verpflichtet natürlich, nochgenauer auf korrekte Bezeichnungen und Zusammenhänge zu achten.Möglich wurde die Verbreitung des Leitfadens erst durch die vielen direktenEinbindungen des Download - Links auf anderen Web-Seiten. Für dieseUnterstützung möchte ich mich recht herzlich bedanken.An meiner Aussage, dass alle technischen Neuerungen immer im Kontext zu ihrerEinsetzbarkeit stehen, hat sich nichts geändert. Elektronische Signaturen bietenenorme Einsparungspotentiale durch entsprechende Prozessoptimierungen, dochman kommt auch bei elektronischen Signaturen nicht um eine differenzierteBetrachtung herum.Es gibt unterschiedliche Signaturverfahren und unterschiedliche Einsatzszenarien.Es gilt deshalb, zunächst die eigenen Anforderungen und Anwendungsprozessezu betrachten und erst daraus die sinnvollen Signaturverfahren und -technikenabzuleiten. Somit sollte auch bei der ersten Betrachtung nicht dasSignaturverfahren im Vordergrund stehen, sondern der jeweilige Prozess, dereventuell mit einem geeigneten Signaturverfahren zu optimieren ist.Alle Signaturverfahren haben Vorteile und Nachteile. So sind einzelnabzugebende Willenserklärungen in einem anderen Umfeld zu betrachten alsmassenhaft zu signierende elektronische Rechnungen oder die Signierunggescannter Dokumente. Dazu kommen rechtliche Anforderungen für den jeweiligen Geschäftsvorfall aus den verschiedensten Gesetzen und Verordnungen.Wie immer habe ich mich bemüht, diesen Leitfaden so objektiv wie möglich unterEinbezug der verschiedenen Signaturverfahren zu gestalten, wobei ich mir jedochauch erlaube, auf bestehende Missstände hinweisen. Mein besonderer Dank giltnatürlich Denjenigen, die mit ihrer Kritik, ihren Anregungen und Hinweisen dieseÜberarbeitung erneut möglich gemacht haben.Frankfurt am Main, im Dezember 2008Rolf SchmoldtLeitfaden Elektronische Signatur - Version 5 - 2008 Signature Perfect KGSeite 6 von 84

Lesezeichen und Gliederungsansicht ein- / ausschalten - hier klicken2ImpressumHerausgeber:Signature Perfect KGZeilweg 13a60439 Frankfurt am MainPhone 49 – (0)69 – 587 006 – 0Webhttp://www.signature-perfect.deVerantwortlich im Sinne des Presserechts und Redaktion: Rolf SchmoldtVerbandsmitgliedschaft:VOI Verband Organisations- und Informationssysteme e.V.http://www.voi.deLeitfaden Elektronische Signatur - Version 5 - 2008 Signature Perfect KGSeite 7 von 84

Lesezeichen und Gliederungsansicht ein- / ausschalten - hier klicken3Einleitende Informationen3.1Wer sollte diesen Leitfaden lesen?Dieser Leitfaden wurde entwickelt, um insbesondere die Kommunikation zwischenAnbietern von Dokumenten Management Systemen (DMS) und Endkunden zuerleichtern. Er soll verstanden werden als Brücke zwischen Interessierten undExperten. Aus der DMS-Branche betrifft dies u.a. folgenden Personenkreis: Systemintegratoren und Anbieter von Dokument Management SystemenPersonal aus Vertrieb und MarketingProjekt- und ProduktmanagerConsultantsBei den Endkunden stehen vor allem diejenigen Personen im Fokus, die sichaufgrund notwendiger Prozessoptimierungen mit dem Thema ElektronischeSignatur erstmals inhaltlich auseinandersetzen müssen.Natürlich ist dieser Leitfaden auch für jedermann geeignet, der sich in die Materieeinarbeiten möchte, auch wenn bereits in den einführenden Kapitel mehrfachBegriffe verwendet werden, die erst später erklärt werden.Soweit der Leser mit dieser Broschüre Neuland betritt, bitten wir das gelegentlichnotwendige "Nachschlagen" in den jeweiligen Kapiteln zu entschuldigen. Die sichöfters wiederholenden Erläuterungen wurden bewusst eingearbeitet, um dasLesen dedizierter Kapitel ohne Nachlesen anderer Kapitel zu ermöglichen. ZurErleichterung wurden die Kapitel klein gehalten und über das Inhaltsverzeichniskönnen erklärungsbedürftige Aspekte schnell gefunden werden. Es sei hier derHinweis erlaubt, dass es sich um eine kostenfreie Publikation handelt.3.2Inhalt und Themen des LeitfadensDieser Leitfaden bietet Informationen über elektronische Signaturen, möglicheAnwendungsszenarien für automatisierte Signaturen (Zeitstempel und Massensignaturen) und Individualsignaturen sowie weiterführende Fachinformationenund Gesetzesauszüge. Schwerpunkt sind Individualsignaturen.Es werden vorrangig solche Signaturverfahren behandelt, für die asymmetrischeVerschlüsselungsverfahren zur Verschlüsselung des Hashwertes (Prüfsumme überdie signierten Daten) eingesetzt werden. Insbesondere wird die Einsatzmöglichkeit gesetzeskonformer Signaturtechnologien mit eigenhändigen Unterschriftenohne Verwendung von Signaturkarten oder qualifizierten Signaturen sowie diedazu notwendige technische und rechtliche Information vorgestellt.3.3Elementare Kenntnisse - Womit sollte man beginnenIch empfehle Personen, die sich erstmals dem Thema Elektronische Signaturwidmen, sich zuerst die technischen Erläuterungen (Kap. 11) über Hashwert undasymmetrischer Verschlüsselung sowie den Gesetzestext zum SigG § 2Begriffsbestimmungen durchzulesen. Diese bilden die Basis zum Verständnis derin diesem Leitfaden gemachten Aussagen.Leitfaden Elektronische Signatur - Version 5 - 2008 Signature Perfect KGSeite 8 von 84

Lesezeichen und Gliederungsansicht ein- / ausschalten - hier klicken3.4Begriffe - Unterzeichner statt Signaturschlüssel-InhaberDas deutsche Signaturgesetz (SigG) weicht mit dem in §2 definierten Begriff„Signaturschlüssel-Inhaber“ von der Definition „Unterzeichner / Signatory“ derEG-Signaturrichtlinie (EGSRL) ab. Dies sei nach Aussage des Bundesministeriumsfür Wirtschaft historisch durch das Signaturgesetz von 1997 bedingt. Der BegriffSignaturschlüssel-Inhaber führt jedoch leider immer wieder selbst bei Spezialistenzu Verwirrungen. So impliziert der Begriff Inhaber fälschlich bei vielen Personendie Vorstellung, dass dem Signierenden ein Signaturschlüssel gehören müsse,bzw. der Signaturschlüssel der Person zugeordnet sein müsse.In der EG-Signaturrichtlinie wird jedoch lediglich von einem Unterzeichnergesprochen, der eine Signaturerstellungseinheit besitzt. Inhaberschaft ist jedochweder als Eigentum noch als Zuordnung, sondern adäquat zum Begriff Besitz zuverstehen. Die Inhaberschaft eines Signaturschlüssels – gemeint ist damit diekontrollierte Verwendungsmöglichkeit eines Signaturschlüssels – kann somit auchals temporärer Besitz verstanden werden, d.h. es können auch Signaturschlüsselverwendet werden, die dem Signierenden weder gehören noch zugeordnet sind.Um Sie beim Lesen nicht mit solchen notwendigen Differenzierungen zu belasten,wird in diesem Leitfaden für eine Person, die eine Signaturerstellung auslöst,entweder gemäß der EG-Signaturrichtlinie der Begriff „Unterzeichner“ oder derBegriff „Signaturersteller“ verwendet.3.5Fortgeschrittene elektronische Signatur ohne Zertifikate möglich2005 hat das Bundesministerium für Wirtschaft mit dem 1. SigÄndG bezüglich des§2 Abs. 9 Signaturgesetz klargestellt, dass nur für eine qualifizierte elektronischeSignatur der Signaturprüfschlüssel (und damit auch der korrespondierendeSignaturschlüssel) per Zertifikat dem Signierenden zugewiesen sein muss.Ohne die neue Angabe „für qualifizierte elektronische Signaturen“ waren bis zumInkrafttreten des 1. SigÄndG am 11. Januar 2005 die meisten Personen fälschlichdavon ausgegangen, dass auch für eine fortgeschrittene elektronische Signatur,für die ebenfalls der Begriff Signaturschlüssel-Inhaber verwendet wird, derSignaturprüfschlüssel per Zertifikat zugewiesen sein müsste.Inzwischen schreibt selbst das BSI in seiner mit secunet erstellten Broschüre,dass fortgeschrittene Signaturen „meist“ mit zertifikatsbasierten Signaturenerstellt werden, was im Umkehrschluss heißt: Eine fortgeschrittene elektronischeSignatur kann einerseits auf einem Zertifikat, also einem zugeordnetenSignaturprüfschlüssel, basieren, kann aber auch auf einem nicht-zugeordnetenSignaturprüfschlüssel beruhen.Leitfaden Elektronische Signatur - Version 5 - 2008 Signature Perfect KGSeite 9 von 84

Lesezeichen und Gliederungsansicht ein- / ausschalten - hier klicken3.6HaftungsausschlussFür die korrekte Wiedergabe Texte deutscher Gesetze, Verordnungen undVorschriften sowie die Wiedergabe der EG-Signaturrichtlinie kann keine Haftungoder Gewährleistung übernommen werden. Auch weisen wir darauf hin, dassGesetze jederzeit durch den Gesetzgeber und Verordnungen durch die jeweiligenInstitutionen geändert werden können.Alle in diesem Leitfaden zu Gesetzen, Verordnungen, Vorschriften oder Richtliniengemachten Aussagen stellen unverbindliche Interpretationen dar. Aus diesenInterpretationen kann vom Leser keine in irgendeiner Art und Weisedurchgeführte Rechtsberatung und daraus resultierende Haftung her- bzw.abgeleitet werden. Rechtsberatungen können nur von Rechtsanwältendurchgeführt werden. Wir empfehlen Ihnen daher zur Überprüfung jedwederRechtsinterpretationen die Hinzuziehung eines Anwalts Ihres Vertrauens.Leitfaden Elektronische Signatur - Version 5 - 2008 Signature Perfect KGSeite 10 von 84

Lesezeichen und Gliederungsansicht ein- / ausschalten - hier klicken4Grundlagen4.1Differenzierung Elektronische Signatur – Geheime DokumenteDie Verschlüsselung von Dokumenten für den geheimen elektronischen Datenaustausch ist kein Bestandteil von elektronischen Signaturen. Leider werdendiese beiden Komplexe oft verwechselt, manchmal sogar fälschlich gleichgesetzt.Eine elektronische Signatur dient nicht zur Geheimhaltung von Informationen undsomit nicht der Verschlüsselung von Dokumenteninhalten und bietet auch keinenSchutz gegen Veränderungen am signierten Dokument.Für elektronische Signaturen sowie geheime elektronische Dokumente werdengleichermaßen asymmetrische Schlüssel (siehe Kap. 11.4) verwendet, jedoch inunterschiedlicher Anwendungsweise:4.2 Bei der Erstellung einer fortgeschrittenen oder qualifizierten elektronischenSignatur wird mit Hilfe eines geheimen Schlüssels (Private Key) lediglich diedigitale Prüfsumme (Hashwert) der signierten Daten verschlüsselt. DiePrüfsumme kann mit Hilfe des in der Signatur mitgeführten und zum PrivateKey korrespondierenden öffentlichen Schlüssels (Public Key) zu einembeliebigen Zeitpunkt entschlüsselt und gegen eine erneut erstellte Prüfsummeverglichen werden. Der Inhalt geheimer Dokumente wird dagegen mit einem symmetrischenSchlüssel verschlüsselt,

Leitfaden . Elektronische Signatur . Elektronische Signatur mit und ohne Zertifikat . Elektronische Signatur mit eigenhändi