“On the internet, nobody knows you’re a dog.”
Dieses bekannte Zitat stammt aus dem Jahr 1993 und wurde für einen Cartoon der Zeitschrift „New Yorker“, in dem sich zwei Hunde vor dem Computer vergnügen, vom Künstler Peter Steiner als Bildunterschrift gewählt. Hierbei stellt sich unweigerlich die Frage, ob diese Aussage zutreffend ist, oder ob es nicht Möglichkeiten und Wege gibt, die Identität eines Internetnutzers sicher zu bestimmen, wie es außerhalb des Internets der Fall ist. Heutzutage, in Zeiten des web 2.0, ist diese Frage aktueller denn je.
In diesem Werk wird behandelt, was die „digitale Identität“ ausmacht. Im Vordergrund stehen hierbei die Möglichkeiten, sich im Netz zu identifizieren bzw. identifiziert zu werden und die rechtlichen Grenzen, die hierbei zu beachten sind. Dabei geht es letztendlich um die Frage, wie die digitale Identität der Internetnutzer gesetzlich geschützt wird.
Wichtig ist auch ein Ausblick auf die Zukunft. Es wird zu fragen sein, wie die digitale Identität sich einmal in der Hinsicht entwickelt, daß dem Nutzer neue Möglichkeiten zur Identifikation zur Verfügung stehen, außerdem inwiefern Entwicklungen im web 2.0 nicht weniger Datenschutz für den Nutzer bedeuten. Ferner der eher rechtspolitische Aspekt, wie der Staat in Zukunft den Schutz der digitalen Identität gewährleisten kann und will. Vorhaben, wie die Vorratsdatenspeicherung lassen eher darauf schließen, daß zugunsten von Sicherheitsaspekten die digitale Identität eines einzelnen Nutzers schneller offengelegt werden soll.
Inhaltsverzeichnis
Abkürzungsverzeichnis
Literaturverzeichnis
A. Einleitung
B. Möglichkeiten und Grenzen der Identifikation
I. Identifikation außerhalb des Internets durch Schriftform
II. Identifikation durch elektronische Signatur
1. Das Signaturgesetz von 1997
2. Das Signaturgesetz von 2001 und die damit einhergehenden Änderungen im BGB
a) § 126 Abs. 3 BGB
b) § 126a BGB
c) Elektronischen Signatur (§ 2 Nr. 1 SigG)
d) Fortgeschrittene elektronische Signatur (§ 2 Nr. 2 SigG)
e) Qualifizierte elektronische Signatur (§ 2 Nr. 3 SigG)
aa) Asymmetrisches Verschlüsselungsverfahren
bb) Sicherstellung der Identität des Signaturinhabers
3. Bedeutung im Verwaltungsverfahren
4. Bedeutung im prozessualen Bereich
a) Ersatz der Schriftform bei Einreichung der Klage
b) elektronische Dokumente im Prozeß
aa) Die Regelung des § 371 Abs.1 S.2 ZPO
bb) Vorteile bei Akkreditierung des ZDA
5. Kritik an der Sicherheit des Verfahrens
a) Möglichkeit von Angriffen von außen
b) Das erste Gesetz zur Änderung des Signaturgesetzes
c) eigene Stellungnahme
6. Grenzen der Identifizierbarkeit
a) Algorithmenverfall
b) Signatur mit Verfallsdatum?
c) Probleme bei Namensgleichheit
III. Ausblick und Alternativen
1. Problemlösungen zur Stärkung der Akzeptanz der elektronischen Signatur
a) Umsetzbarkeit eines digitalen Personalausweises in Deutschland
b) Nachteile eines digitalen Ausweises
c) Signatur mittels Mobiltelefon als Alternative?
aa) Die österreichische A1-Signatur
bb) Anwendungsmöglichkeit in Deutschland
cc) Bewertung
2. Biometrie
a) Verwendungsmöglichkeiten für Biometrie
aa) Fingerscan beim Onlinebanking
bb) Identifikation durch digitalisierte eigenhändige Unterschrift
cc) Iriserkennung als PIN-Ersatz
dd) Kombination durch Multifunktionstoken
dd) Identifikation durch das Tippverhalten der Nutzer
b) Biometrie und Fehlerraten
c) Probleme bei der Verwendung von Biometrischen Merkmalen
aa) Datenschutzrechtliche Begriffsbestimmungen
bb) Datenschutzrechtliche Beurteilung
d) Zusammenfassung
e) Reformbedürftigkeit des Datenschutzrechts?
3. „HamburgGateway“ –Ersatz der Schriftform ohne elektronische Signatur
a) Funktionsweise
b) Bewertung
IV. Nutzerprofile und E-Mail-Postfächer als Teil der digitalen Identität
1. Problemstellung
2. Lösungsmöglichkeiten des Problems
a) rechtliche Lösungsmöglichkeiten
b) technische Lösungsmöglichkeiten
aa) Notwendigkeit von Alternativlösungen zur elektronischen Signatur
bb) Ein Log-in-Account für sämtliche Webseiten?
V. Identifikation während des Websurfens
1. Cookies
a) Funktionsweise von Cookies
aa) Allgemeines
bb) Technische Hintergründe
b) Datenschutzrechtliche Zulässigkeit
aa) Personenbezogenheit von Cookies
bb) Konsequenzen bei Personenbezug
a) Setzen von Cookies
b) Senden von Cookies
cc) Gestaltung der Einwilligung
dd) Folgen bei fehlender Einwilligung
c) Sachenrechtliche Betrachtung
d) Bewertung
2. Web-Bugs
a) Funktionsweise
b) Datenschutzrechtliche Zulässigkeit
c) Bewertung
3. IP-Adressen
a) Zulässigkeit der Speicherung dynamischer IP-Adressen
b) Geplante Vorratsdatenspeicherung
aa) Verfassungsrechtliche Analyse
bb) Verfassungsgemäße Alternative
c) IP-Adressen im Ermittlungsverfahren – Schutz der digitalen Identität durch das Fernmeldegeheimnis?
d) „Privatermittler“ in Urheberrechtsfällen – Das Vorgehen der Firma Logistep
e) IP-Adresse zu Abrechungszwecken – IP-Billing
aa) Funktionsweise
bb) Probleme
f) Zusammenfassung
4. Daten auf lokalen Datenträgern des Nutzers – Zugriff von außen
a) Zugriff durch Private
b) Zugriff durch den Staat
aa) Eingriff in Art. 10 GG
bb) Eingriff in Art. 13 GG
cc) Beurteilung aktueller Gesetzvorhaben
c) technisches Grenzen
d) Bewertung
VI. Spurensuche im Internet – Data Warehouses und Data Mining
1. Data Warehouses und Data Mining
2. Datenschutzrechtliche Bewertung
3. Ergebnis
C. Zusammenfassung und Thesen
I. Themenkomplex: elektronische Signatur und Alternativen
II. Themenkomplex: Nutzerprofile und E-Mailpostfächer
III. Themenkomplex: Cookies und Web-Bugs
IV. Themenkomplex: IP-Adressen
V. Themenkomplex: Daten auf lokalen Datenträgern
VI. Themenkomplex: Data Warehouse und Data Mining
VII. Ausblick
Abkürzungsverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
Literaturverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
Internetquellen: Alle Links wurden zuletzt am 12. Juni 2007 auf ihre Funktionalität überprüft.
A1 (a1.net)
http://www.a1.net/business/a1signaturtarife
http://www.a1.net/CDA/navigation/pp4_frame/0,6194,50005-50070-50023-114899-html-de,00.html
http://www.a1.net/privat/a1signaturvoraussetzungen
Botschaft Estland (estemb.de)
http://www.estemb.de/estland/it
Bundesnetzagentur (bundesnetzagentur.de):
http://www.bundesnetzagentur.de/enid/6fab1fcff61481dfcf0009f4b9fab3b3,0/
Elektronische_Signatur/Zertifizierungsdiensteanbieter_ph.html
CIA World Fact Book (cia.gov)
https://www.cia.gov/library/publications/the-world-factbook/geos/en.html
https://www.cia.gov/library/publications/the-world-factbook/geos/gm.html
Cookie Central (cookiecentral.com)
http://www.cookiecentral.com/content.phtml?area=2&id=1
E-Key (ekey.net)
http://www.ekey.net/media/Downloads.4/Produktinfos.8/eBanking%20folder.pdf
Frankfurter Allgemeine Zeitung (faz.net)
http://www.faz.net/s/Rub4C34FD0B1A7E46B88B0653D6358499FF/
Doc~EAFEC2889F65749C586DBA1C014FAD7E4~ATpl~Ecommon~Scontent.html
Gateway Hamburg (gateway.hamburg.de)
http://gateway.hamburg.de/HamburgGateway/FVP/Application/Index.aspx
Heise Online / Heise Security / Telepolis (heise.de):
http://www.heise.de/newsticker/meldung/52279
http://www.heise.de/newsticker/meldung/85921
http://www.heise.de/newsticker/meldung/87143
http://www.heise.de/newsticker/meldung/88458
http://www.heise.de/security/artikel/86415
http://www.heise.de/tp/r4/artikel/24/24727/1.html
SPIEGEL Online (spiegel.de)
http://www.spiegel.de/netzwelt/web/0,1518,390770,00.html
Innenministerium NRW (im.nrw.de)
http://www.im.nrw.de/pm/080607_1132.html
http://www.im.nrw.de/pm/201206_1024.html
Microsoft Deutschland (microsoft.com/germany)
http://www.microsoft.com/germany/presseservice/detail.mspx?id=531344
Montax (montax.at)
http://montax.technix.at/index.php?option=com_content&task=view&id=65&Itemid=91
http://montax.technix.at/index.php?option=com_content&task=view&id=53&Itemid=91
http://montax.technix.at/index.php?option=com_content&task=view&id=42&Itemid=114
Nielsen//NetRatings, Global Index Chart (nielsen-netratings.com)
http://www.nielsen-netratings.com/press.jsp?section=pr_netv&nav=3
ORF Futurezone (futurezone.orf.at)
http://futurezone.orf.at/it/stories/175792
http://futurezone.orf.at/it/stories/197188
Yahoo Datenschutz (privacy.yahoo.com)
http://privacy.yahoo.com/privacy/de/pixels/details.html
A. Einleitung
“On the internet, nobody knows you’re a dog.”[1]
Dieses bekannte Zitat stammt aus dem Jahr 1993 und wurde für einen Cartoon der Zeitschrift „New Yorker“, in dem sich zwei Hunde vor dem Computer vergnügen, vom Künstler Peter Steiner als Bildunterschrift gewählt. Hierbei stellt sich unweigerlich die Frage, ob diese Aussage zutreffend ist, oder ob es nicht Möglichkeiten und Wege gibt, die Identität eines Internetnutzers sicher zu bestimmen, wie es außerhalb des Internets der Fall ist. Heutzutage, in Zeiten des web 2.0, ist diese Frage aktueller denn je. Der durchschnittliche deutsche Internetnutzer nutzt das Internet fast 32 Stunden im Monat zu privaten Zwecken.[2] Die stetig steigende Zahl der Menschen, die über einen Internetanschluß verfügen und diesen nutzen, sorgt dafür, daß Gegebenheiten des „normalen“ Rechtsverkehrs auf das Internet übertragen werden müssen.
Zur Herkunft des Wortes „Identität“ ist zu sagen, daß es sich vom lateinischen Demonstrativpronomen „idem“ (=eben der, ein und derselbe) ableitet;[3] es geht also darum, ob es sich bei einer bestimmten Person auch um ebendiese handelt.
Außerhalb des virtuellen Raums gibt es Möglichkeiten, seine Identität, beispielsweise durch ein Ausweisdokument, nachzuweisen, bzw. es besteht sogar die Pflicht dazu entsprechende Dokumente zu besitzen.[4] Es ist ebenso anhand verschiedenster Merkmale, als Beispiele seien der daktyloskopische und der sog. genetische Fingerabdruck[5] genannt, möglich identifiziert zu werden.
Zu diesen Identifikationsmöglichkeiten kommen nun die des virtuellen Raumes hinzu. Auch im Internet gibt es Möglichkeiten, seine Identität nachzuweisen. Ebenso ist es möglich, Internetnutzer zu identifizieren. Hierbei treten eine Vielzahl rechtlicher Fragen auf. Zunächst einmal muß überhaupt eine rechtliche Grundlage bestehen aufgrund derer es möglich ist, seine Identität im Netz zweifelsfrei nachzuweisen. Hierbei spielt auch die spätere Beweisbarkeit im Prozeß eine Rolle. Ferner muß diese Technik aber auch angenommen und genutzt werden.
Werden Nutzer gegen ihren Willen, zum Beispiel im Rahmen von strafrechtlichen Ermittlungen, im Internet identifiziert, stellt sich die Frage nach der prozessualen Zulässigkeit und letztendlich auch nach der Verfassungsmäßigkeit.
Versucht man digitale Identität zu definieren, so läßt sie sich vielleicht am besten beschreiben als Daten in digitaler Form, die eine Person beschreiben und aus denen sich die Beziehung zu anderen Objekten erkennen läßt.[6] Eine Definition, die der im deutschen Recht bekannte Definition der Personenbezogenheit im Datenschutz ähnlich ist.
Durch moderne technische Methoden ist die digitale Identität weit zu fassen. Neben dem sich identifizieren und identifiziert werden, für die es außerhalb des Internet gewisse Parallelen gibt, bietet das web 2.0 auch weitere, vorher nie dagewesene, Möglichkeiten. Projekte wie Google Street View führen dazu, daß Tatsachen, die früher zur Privatsphäre eines jeden gehörten, nämlich daß man zu einer bestimmten Zeit an einem bestimmten Ort war, plötzlich weltweit zugänglich sind. Auch solche Informationen sind Teil der digitalen Identität 2.0.
Ebenso dazuzuzählen sind Daten, die eine Person auf ihrem Computer gespeichert hat, wenn auf diese Daten von außen über das Internet zugegriffen wird. War auch schon vor dem Zeitalter des web 2.0 von Trojanern die Rede, mit denen Hacker an sensible Daten einer Person gelangen, so bestimmen heute „Bundestrojaner“, staatliche Trojaner von Ermittlern zur Durchsuchung des Computers, die Diskussion.
Im Folgenden soll nun herausgearbeitet werden, was die „digitale Identität“ ausmacht. Im Vordergrund stehen hierbei die Möglichkeiten, sich im Netz zu identifizieren bzw. identifiziert zu werden und die rechtlichen Grenzen, die hierbei zu beachten sind. Hierbei geht es letztendlich um die Frage, wie die digitale Identität der Internetnutzer gesetzlich geschützt wird.
Wichtig ist auch ein Ausblick auf die Zukunft. Es wird zu fragen sein, wie die digitale Identität sich einmal in der Hinsicht entwickelt, daß dem Nutzer neue Möglichkeiten zur Identifikation zur Verfügung stehen, außerdem inwiefern Entwicklungen im web 2.0 nicht weniger Datenschutz für den Nutzer bedeuten. Ferner der eher rechtspolitische Aspekt, wie der Staat in Zukunft den Schutz der digitalen Identität gewährleisten kann und will. Vorhaben, wie die geplante Vorratsdatenspeicherung lassen eher darauf schließen, daß zugunsten von Sicherheitsaspekten die digitale Identität eines einzelnen Nutzers schneller offengelegt werden soll.
B. Möglichkeiten und Grenzen der Identifikation
I. Identifikation außerhalb des Internets durch Schriftform
Oft wird durch Rechtsvorschriften Schriftform angeordnet. Der Zweck eines solchen Formzwangs läßt sich Funktionen zuordnen; zu unterschieden sind hierbei Warn-, Sicherungs- und Klarstellungsfunktion.[7] Genannt seien beispielsweise im bürgerlichen Recht im BGB die §§ 32 Abs. 2, 655b, 793 BGB oder außerhalb etwa § 32 Abs. 1 AktG.[8] Diese ist für das gesamte Privatrecht in § 126 BGB geregelt.
Hierzu bedarf es zunächst einer schriftlichen Urkunde. Es macht keinen Unterschied, ob die Urkunde handschriftlich oder mit Hilfe eines Computers, einer Schreibmaschine oder auf andere Weise angefertigt wird, ebenso spielt es keine Rolle in welcher Sprache das Dokument verfaßt wird.[9] Es ist ferner kein bestimmtes Material vorgeschrieben, die Schriftzeichen müssen nur dauerhaft festgehalten werden können.[10] Somit werden an die Urkunde nur minimalste Anforderungen gestellt.
Größere Anforderungen sind an die Unterschrift gestellt. Es ist der Zweck der Unterschrift, die Identität des Ausstellers erkennbar zu machen.[11] Wird die Urkunde beispielsweise nur mit einem Buchstaben unterzeichnet, genügt dies den Anforderungen des § 126 BGB nicht.[12] Auch Schreibhilfen sind nur eingeschränkt zulässig.[13] Letztlich muß es sich auch tatsächlich um eine Unter schrift handeln; bedeutsam ist also auch daß diese sich unterhalb des Dokuments als Abschluß befindet.[14] Ihr kommt somit auch eine Abschlußfunktion zu. Ein Telegramm konnte folglich nie der Schriftform genügen, auch dann nicht, wenn das Aufgabeformular eigenhändig unterschrieben wurde.[15]
An die Unterschrift werden also, im Gegensatz zur unterzeichneten Urkunde, strenge Anforderungen gestellt. Dies ist verständlich, denn schließlich gewährleistet sie die Identifikation des Ausstellers.[16] Sie hat neben den bereits genannten Funktionen, die ein Formzwang mit sich bringt, auch Beweisfunktion.[17] Eine Mißachtung der Formvorschriften des § 126 BGB führt, falls Schriftform gesetzlich angeordnet ist, zwingend zur Nichtigkeit.[18]
Ähnliches gilt auch im Öffentlichen Recht. Auch hier ist vielfach Schriftform gesetzlich angeordnet. Verwaltungsakte, deren Schriftlichkeit per Gesetz zwingend vorgeschrieben ist (z.B. § 38 Abs. 3 VwVfG, Art. 72 Abs. 2 S. 1 BayBO), sind bei Mißachtung der Schriftform gem. § 44 Abs. 1 VwVfG[19] nichtig.[20]
II. Identifikation durch elektronische Signatur
1. Das Signaturgesetz von 1997
Mit den bis 2001 geltenden Regelungen der §§ 126 ff. BGB gab es zur klassischen Schriftform des § 126 BGB keine Alternative. Wie bereits erläutert war es nicht möglich, diese in irgendeiner Weise, beispielsweise durch ein Telegramm, zu ersetzen. Im Computer verfaßte Dokumente mußten, um der Schriftform zu genügen, ausgedruckt und unterschrieben werden. Es bestand keine Möglichkeit diesen Medienbruch zu umgehen. Jedoch gab es schon vor 2001 eine digitalen Signatur.
Bereits am 1. August 1997 trat in Deutschland das weltweit erste landesweit geltende Signaturgesetz in kraft.[21] In diesem wurde auch erstmals der Begriff der digitalen Signatur gesetzlich kodifiziert, als „ein mit einem privaten Signaturschlüssel erzeugtes Siegel zu digitalen Daten, das mit Hilfe eines zugehörigen öffentlichen Schlüssels einer Zertifizierungsstelle [...] versehen ist, den Inhaber des Signaturschlüssels und die Unversehrtheit der Daten erkennen läßt“[22].
Hierdurch wurde eine Beweiserleichterung geschaffen[23], auch auf verwaltungsrechtlicher Ebene (z.B. in der Hansestadt Bremen) wurden einige Pilotprojekte ins Leben gerufen.[24] Das Signaturgesetz von 1997 (SigG a.F.) hatte experimentellen Charakter und kam europäischen oder globalen Regelungen zuvor.[25] Positiv zu bewerten ist sicher auch der Vorbildcharakter, den das Gesetz bereits vor seinem Erlaß auf europäischer Ebene hatte.[26]
Zu bemängeln war aber, daß sich das SigG a.F. über Haftungsregelungen ausschweigt und es für Privatpersonen keine Möglichkeit gibt, verwendete Pseudonyme aufzudecken.[27]
Ein großer Unterschied zum SigG von 2001 ist, daß Dokumente die nach dem Signaturgesetz von 1997 signiert wurden, nicht die Schriftform des § 126 BGB erfüllten.[28]
2. Das Signaturgesetz von 2001 und die damit einhergehenden Änderungen im BGB
Im Jahr 2001 traten weitreichende Änderungen im deutschen Signaturrecht in kraft. Grund dafür waren zum einen die Auswertung der Erfahrungen aus der Praxis[29] und zum anderen die europäische Richtlinie über den elektronischen Geschäftsverkehr und die Signaturrichtlinie, die nun in nationales Recht umgesetzt werden mußte.[30]
a) § 126 Abs. 3 BGB
Die Regelung des § 126 Abs. 3 BGB wurde im Zuge der Gesetzesänderung neu in das BGB eingefügt. Demnach kann die elektronische Form die Schriftform ersetzen, soweit sich aus dem Gesetz nichts anderes ergibt.
Die elektronische Form ist somit keine „neuartige“ bzw. andere Form, sondern schlichtweg als Unterfall und Substitut der Schriftform anzusehen, was zur Folge hat, daß die Regelungen für die Schriftform Anwendung finden.[31] Das bedeutet, daß die elektronische Form auch Anwendung findet, wenn eigenhändige Unterschrift angeordnet ist.[32] Dies gilt nur dann nicht, wenn die elektronische Form durch Gesetz ausdrücklich[33] oder durch Verwendung bestimmter Begriffe[34] ausgeschlossen. Ein rechtsgeschäftlicher Ausschluß ist nicht möglich, kann aber an anderen Voraussetzungen für Willenserklärungen, wie dem Zugang, scheitern.[35]
Was für Anforderungen an die elektronische Form gestellt werden, daß sie für die Ersetzung der Schriftform geeignet ist, regelt § 126a BGB.
b) § 126a BGB
Im Rahmen des § 126a BGB werden die Substituten für die Bestandteile eines Schriftstücks nach § 126 BGB geregelt. Der Urkunde entspricht das elektronische Dokument, der eigenhändigen Namensunterschrift die qualifizierte elektronische Signatur.
Beim elektronischen Dokument handelt es sich um elektronische Daten, die Auf einem Datenträger verkörpert sind, der ohne technische Hilfsmittel nicht gelesen werden kann.[36] Wie bei einem gewöhnlichen Schriftstück müssen die Daten dauerhaft, aber nicht für alle Zeiten lesbar sein (s. unter B. I.). Es werden also ebenfalls keine allzu hohen Anforderungen gestellt.
Auch bei der Identitätsermittlung ergibt sich eine Parallele zum gewöhnlichen Schriftstück. Geht bei einem normalen Schriftstück die Identität des Ausstellers aus der Namensunterschrift hervor, so geschieht dies hier durch die qualifizierte elektronische Signatur. Diese muß, wie der Vergleich elektronisches Dokument und Schriftstück zeigt, ähnlichen Anforderungen wie die Namensunterschrift gerecht werden, damit die Identität des Signaturinhabers aus dem signierten elektronischen Dokument zweifelsfrei hervorgehen kann. Hierzu ordnet § 126a BGB die Verwendung einer qualifizierten elektronischen Signatur (§ 2 Nr. 3 SigG) an. Bevor auf diese eingegangen werden kann, bedarf es erst einer kurzen Erläuterung weiterer elektronischer Signaturen nach dem SigG, um eine entsprechende Abgrenzung zu ermöglichen. Im SigG liegt ein Schalen- bzw. Stufenmodell vor,[37] in dem die drei unterschiedlichen Arten der elektronischen Signatur aufeinander aufbauen.
c) Elektronischen Signatur (§ 2 Nr. 1 SigG)
Bei der elektronischen Signatur handelt es sich zunächst um Daten die anderen Daten beigefügt oder mit Ihnen verknüpft werden und zur Authentifizierung dienen. Denkbar ist beispielsweise eine eingescannte Unterschrift, die an eine E-Mail angehängt wird und einfach gefälscht, entfernt oder in andere Dokumente eingesetzt werden kann; es muß kein bestimmter Sicherheitswert gegeben sein,[38] es kommt auch nicht drauf an, ob eine Identitätsfeststellung überhaupt möglich ist.[39] Damit kommt der einfachen elektronischen Signatur auch per se kein Beweiswert zu.[40]
d) Fortgeschrittene elektronische Signatur (§ 2 Nr. 2 SigG)
Die fortgeschrittene elektronische Signatur erfüllt sämtliche Anforderungen der elektronischen Signatur nach § 2 Nr. 1 SigG. Zusätzlich dazu muß die Signatur ausschließlich dem Signaturschlüsselinhaber zugeordnet sein, seine Identifizierung ermöglichen, mit Mitteln erzeugt sein, die der Signaturschlüssel-Inhaber unter seiner alleinigen Kontrolle halten kann, und mit den Daten, auf die sie sich bezieht, so verknüpft sein, daß eine nachträgliche Veränderung der Daten erkannt werden kann. Nötig ist also ein geheimer, privater, digitaler Schlüssel über den nur die signierende Person verfügt.[41] Neben der Authentifizierung ist auch ein Schutz gegen die Manipulation der Ursprungsdaten vorhanden.
e) Qualifizierte elektronische Signatur (§ 2 Nr. 3 SigG)
Die qualifizierte elektronische Signatur, die im Rahmen des § 126a BGB erforderlich ist, muß alle Voraussetzung der fortgeschrittenen elektronischen Signatur (§ 2 Nr. 2 SigG) erfüllen und zusätzlich zum Zeitpunkt ihrer Erzeugung auf einem gültigen qualifizierten Zertifikat (§ 2 Nr. 7 SigG i.V.m. § 7 SigG) beruhten und mit einer sicheren Signaturerstellungseinheit (§ 2 Nr. 10 SigG) erzeugt werden.[42]
Um zu zeigen, wieso die qualifizierte elektronische Signatur die Identität des Signaturinhabers in besonderer Weise gewährleistet, daß sie zu Recht gem. § 126 Abs. 3 BGB i.V.m. § 126a BGB als Ersatz für die Schriftform verwendet werden kann, ohne daß es zu Sicherheitseinbußen oder ähnlichem kommt, bedarf es einer kurzen Erläuterung der technischen Grundlagen der qualifizierten elektronischen Signatur.
aa) Asymmetrisches Verschlüsselungsverfahren
Die Signaturen des SigG verwenden das sogenannte asymmetrische Verschlüsselungsverfahren mit PKI (Public Key Infrastructure).[43] Das asymmetrische Verfahren ist zunächst dadurch gekennzeichnet, daß Verschlüsselungsschlüssel und Entschlüsselungsschlüssel verschieden sind.[44] Das System basiert hierbei auf einem öffentlichen und einem privaten Schlüssel. Soll beispielsweise eine E-Mail elektronisch signiert werden, so wird zunächst ein aus dem Dokument genierter sog. Hashwert erstellt; dabei handelt es sich um eine Bitfolge mit einer immer gleichen Länge, die sehr „bitsensitiv“ ist.[45] Minimalste Änderungen am Inhalt, und sei es auch nur ein Zeichen, führen somit zu einem ganz anderen Hashwert. Dieser Hashwert wird mit einem privaten Schlüssel (§ 2 Nr. 4 SigG) verschlüsselt, dessen Inhalt geheim und nur einer Person zugeordnet ist. Dies wird durch sogenannte qualifizierte Zertifikate gewährleistet.[46] Die Nachricht mit dem codierten Hashwert wird dem Empfänger zugeleitet, der aus der Nachricht auch einen Hashwert bildet. Mit Hilfe eines öffentlichen Schlüssels (dem Public Key) der nicht geheim ist, sondern für jedermann verfügbar ist und entweder übermittelt wurde oder aus dem Internet von einem Verzeichnisdienst abgerufen werden kann, wird der codierte Hashwert des übermittelten Dokuments entschlüsselt und mit dem selbst gebildeten Hashwert verglichen.[47] Sind sie gleich ergibt sich daraus, daß das Dokument auf dem Weg durch das Internet nicht verändert wurde.
Praktisch läuft dieser Prozeß in Deutschland über Signaturkarten in Form von Microprozessor-Chipkarten (bekannt als Smartcards) ab.[48] Die Kartenlesegeräte sind entweder Tischgeräte, PC-Cards oder Tastaturimplementierungen.[49] Die Funktionsweisen sind unterschiedlich: teilweise erfolgt die Eingabe der Freischaltungs-PIN über den PC, teilweise über ein eigenes PIN-Pad (vergleichbar mit dem Nummernblock der Tastatur); manche Geräte generieren den Hash-Wert und/oder den Schlüssel im Signaturkartenprozessor, bei anderen wird der Wert am PC berechnet.[50]
bb) Sicherstellung der Identität des Signaturinhabers
Durch die eben erläuterte Funktionsweise ist aber noch nicht die Identität des Signaturinhaber gesichert. Diese ergibt sich erst aus dem Abgleich des öffentlichen Schlüssels und eines Zertifikats des Zertifizierungsdienstanbieters (ZDA)[51] ; im Signaturzertifikat sind auch persönliche Daten (Name, Vorname oder ein Pseudonym) gespeichert (§ 2 Nr.6 SigG).[52] Der Unterschied zwischen der fortgeschrittenen elektronische Signatur und der qualifizierten elektronischen Signatur liegt nicht in der Technik, sondern in einem gültigen qualifizierten Zertifikat.[53]
Mindestanforderung für die Identifikation einer Person mit den qualifizierten Zertifikat ist der Name der Person, der bei Verwechselungsgefahr mit einem eindeutigen Zusatz zu versehen ist (§ 7 Abs. 1 Nr. 1 SigG i.V.m. § 14 Abs. 1 SigG), möglich sind hierbei auch Pseudonyme (§ 5 Abs. 3 SigG i.V.m. § 7 Abs. 1 Nr. 1 SigG).[54] Ferner hat der ZDA die Personalangaben der Person mittels Ausweisdokumenten zu überprüfen (§ 5 Abs. 1 S.1 i.V.m. § 3 Abs. 1 S. 1 SigG). Die Zertifikate selber lassen sich bei akkreditierten Anbietern ihrerseits auf ein Wurzelzertifikat der Bundesnetzagentur[55] ableiten.[56] Akkreditierte ZDA gewährleisten die Gültigkeit der Signatur für 35 Jahre und müssen die Zertifikate 30 Jahre online zur Prüfung bereitstellen, daher ist die qualifizierte elektronische Signatur mit Anbieterakkreditierung teilweise im E-Government zwingend vorgeschrieben.[57] Ausreichend beim Schriftformerfordernis ist allerdings auch eine Signatur eines ZDA ohne Anbieterakkreditierung. Die Sicherheit wird durch strenge Auflagen (§ 4 Abs. 3 SigG i.V.m. § 1 Abs. 1 Nr. 1 – 4 SigV) gewährleistet.[58] Diese stellen sich ihre selbstsignierten Zertifikate (sog. Self Signed Certificates) selber aus, oder haben sie von einem anderen Zertifikatanbieter ausstellen lassen (sog. Cross-Certifikates).[59] Die Identifikation erfolgt also über den Zertifizierungsanbieter, die sogenannte „Third-Party“. Von all dem bekommt der Internetnutzer nicht viel mit. Ihm wird lediglich angezeigt, daß das Verfahren ordnungsgemäß abgelaufen ist und von der signierenden Person auch tatsächlich signiert wurde.
3. Bedeutung im Verwaltungsverfahren
Auch im Verwaltungsverfahren steht die qualifizierte elektronische Signatur der Schriftform gleich. Auf Bundesebene wurde § 3a VwVfG erlassen, der, sofern der Zugang eröffnet ist, die Schriftform ersetzen kann. Hierzu wurde beschlossen § 3a VwVfG simultan wortgleich in die Verwaltungsverfahrensgesetze der Länder zu übernehmen.[60] Dies wurde von nahezu allen Bundesländern umgesetzt, einzig Hamburg beschreitet hier einen Sonderweg.[61] Wie im Zivilrecht ersetzt nur die qualifizierte elektronische Signatur i.S.d. § 2 Nr. 3 SigG die Schriftform. Strenge Anforderungen sind an die Verwendung von Pseudonymen gestellt, die die signierende Person klar erkennen lassen müssen. Eine Überprüfung erfolgt über die Dokumentation des ZDA; lediglich im Steuerverfahren sind Pseudonyme grundsätzlich ausgeschlossen (§ 87a Abs. 3 S. 3 AO), da bereits im Zeitpunkt des Eingangs die Identität des Steuerbürgers automatisch nachprüfbar sein muß.[62]
Die elektronische Form ist, wie im Zivilrecht, nur dann nicht als Schriftformersatz möglich, wenn dies gesetzlich ausgeschlossen ist. Entsprechende Vorschriften finden sich etwa im Staatsangehörigkeitsrecht (§ 38a StAG), Atomrecht (§ 17 AtomG) oder auf Landesebene im Baurecht (Art. 72 Abs. 2 S. 1 BayBO).[63] Im Steuerrecht (§ 87a AO) und Sozialrecht (§ 36a SGB I) existieren dem § 3a VwVfG ähnliche Vorschriften. Der elektronische Verwaltungsakt findet in § 37 Abs. 2 Erwähnung. Zusammenfassend kann gesagt werden, daß die elektronische Signatur im verwaltungsrechtlichen Bereich ebenso wie im privaten Bereich die Schriftform ersetzt, solange dies nicht gesetzlich ausgeschlossen ist. Um die Identifikation des Signaturinhabers sicherzustellen, ist die Verwendung von Pseudonymen eingeschränkt bzw. teilweise ausgeschlossen.
4. Bedeutung im prozessualen Bereich
a) Ersatz der Schriftform bei Einreichung der Klage
Wie im privatrechtlichen und verwaltungsrechtlichen Bereich, vermag die elektronische Form im prozessualen Bereich die Schriftform zu ersetzen. Entsprechende Vorschriften finden sich in sämtlichen Prozeßordnungen (§§ 130a ZPO, 55a VwGO, 52a FGO).
Auch hier dient die elektronische Signatur (es muß sich, wie in § 126a BGB oder § 3a VwVfG um eine qualifizierte elektronische Signatur handeln) der Identifikation des Signaturinhabers. Unrichtig ist es anzunehmen, eine elektronische Signatur mit monetärer Beschränkung sei zur Einreichung eines Schriftsatzes nicht geeignet, wenn die finanziellen Folgen eines Verfahrens durch die monetäre Beschränkung nicht abgedeckt wären.[64] Vielmehr spielen monetäre Beschränkungen im Prozeß keine Rolle, einzig Authentizität und Integrität des Dokumentes müssen gewahrt sein.[65]
b) elektronische Dokumente im Prozeß
Finden elektronische Dokumente im Prozeß als Beweismittel Verwendung, so gibt es für solche Dokumente die elektronisch mit einer qualifizierten Signatur signiert sind, eine Privilegierung.
aa) Die Regelung des § 371 Abs.1 S.2 ZPO
Durch § 371 Abs. 1 S. 2 ZPO wird klargestellt, daß elektronische Dokumente Augenscheinobjekte sind. Für die Beweiskraft elektronische Dokumente gilt § 371a ZPO. Diese Regelungen gelten auch in anderen Prozeßordnungen (§ 98 VwGO, § 46 Abs. 2 ArbGG, § 118 SGG, § 82 FGO). Elektronische Dokumente sind, wie schon der Wortlaut zeigt, keine Urkunden; im Gegensatz zur Vorgängerregelung des § 292a ZPO findet keine Beschränkung auf Willenserklärungen statt.[66]
Werden elektronische Dokumente im Zivilprozeß vorgelegt, die nicht über eine qualifizierte Signatur verfügen, beispielsweise eine einfach E-Mail oder auch eine solche mit eingescannter Unterschrift (§ 2 Nr.1 SigG), so ist die Identität des Urhebers und die Integrität des Dokuments nicht gesichert. Für die Beweiswürdigung solcher Dokumente gilt gem. § 286 ZPO die freie Beweiswürdigung.[67]
Für Dokumente mit qualifizierter elektronischer Signatur sieht § 371a Abs. 1 ZPO vor, daß die Vorschriften über die Beweiskraft elektronischer Urkunden entsprechend Anwendung finden. Insofern verweist § 371a Abs. 1 ZPO auf § 416 ZPO[68] ; ergibt die Signaturprüfung beim Empfänger, daß das Dokument unverfälscht ist und das Zertifikat gültig ist, gilt der „Anschein“ der Echtheit als begründet. Dieser gesetzlich normierte „Anschein“ wurde vom Gesetzgeber als Normierung des Anscheinsbeweises bezeichnet.[69] Dies stößt vielfach auf Kritik, die Norm sei eher als entkräftbare gesetzliche Vermutung zu sehen.[70]
Eine Erschütterung des Anscheins ist durch Umstände möglich, die nicht dem üblichen Geschehensablauf entsprechen.[71] Ergibt die Signaturprüfung bereits Unrichtigkeiten, so ist bereits kein „Anschein“ gegeben, der erschüttert werden kann. Mögliche Einwände sind der Diebstahlseinwands mit gleichzeitiger Ausspähung der PIN[72], Mißbrauch bei willentlicher Signaturkartenweitergabe (in diesen beiden Fällen bestehen gewisse Parallelen zum Bankomatenmißbrauch)[73] und Algorithmenverfall[74]. Beweisthema ist also in der Regel die Echtheit des elektronischen Dokuments in Bezug auf die Willentlichkeit.[75]
bb) Vorteile bei Akkreditierung des ZDA
Bei Verwendung einer qualifizierten elektronischen Signatur mit Anbieterakkreditierung ergeben sich bezüglich der Identifizierung des Signaturinhabers Vorteile. So müssen akkreditierte ZDA doch dafür Sorge tragen, daß die Signatur 30 Jahre lang überprüfbar ist (§ 4 Abs. 2 SigV), selbst dann wenn der Anbieter seinen Dienst einstellt.[76] Nach Ablauf dieser Zeit, sind die meisten Ansprüche verjährt. Eine zusätzliche Vertrauenswürdigkeit ist gegeben, da die Bundesnetzagentur als Wurzelinstanz einen vertrauenswürdigen Anker bildet.[77]
Der beweispflichtigen Partei kommt ferner der vorgezogene Anscheinsbeweis des § 15 Abs. 1 S. 4 SigG zugute.[78] Für Widerlegung der Vermutung der Echtheit bedarf es eines Tatsachenvortrags, das schlichte Bestreiten der technisch-organisatorischen Sicherheit genügt nicht.[79]
Der Nachweis der technisch-organisatorischen Sicherheit wird also vom akkreditierten ZDA bereits im Voraus erbracht. Damit sind lediglich qualifizierte elektronische Signaturen nicht ungerechtfertigterweise schlechter gestellt, da die Akkreditierung auch ein Mehr an Aufwand für den ZDA bedeutet und auch mit höheren Kosten verbunden ist.[80]
5. Kritik an der Sicherheit des Verfahrens
Freilich stellt sich auch bei elektronischen Signaturen die Frage nach der Sicherheit des Verfahrens. Schließlich haben qualifiziert signierte, elektronische Dokumente weitreichende Folgen, stehen der Schriftform gleich und auch prozessual ist es schwierig ihre Echtheit zu widerlegen.
a) Möglichkeit von Angriffen von außen
Wird der private Schlüssel geheimgehalten. Natürlich besteht die Gefahr durch Angriffe von außen (z.B. durch sog. Trojaner[81] ) bei unzureichend gesicherten Computersystemen. Hier kann freilich auch auf Dauer keine vollständige Sicherheit erreicht werden. Allerdings liegt es auch in der Sphäre des Internetnutzers, selbst für entsprechende Sicherungen (Firewall, Virenschutz, etc.) zu sorgen.
b) Das erste Gesetz zur Änderung des Signaturgesetzes
Auf Kritik stieß auch die erste Änderung des Signaturgesetzes.[82] Ermöglicht wurde hierdurch ein Vertrieb von Signaturkarten im Fernabsatz. War es bislang erforderlich, sich durch Vorlage eines Lichtbildausweises vor Freischaltung der elektronischen Signatur zu identifizieren (vgl. § 3 Abs. 1 SigV), Verbreitung hat hier vor allem das POSTIDENT-Verfahren gefunden, bei dem sich der Antragssteller in einer Filiale der Deutschen Post ausweisen muß, so bestehen mittlerweile auch andere Möglichkeiten zur Antragsstellung, ohne daß der Antragssteller persönlich vorstellig werden muß. Der Gesetzgeber verfolgt damit das Ziel, für eine stärkere Verbreitung elektronischer Signaturen zu sorgen.[83] Hierfür sollen bereits bestehende Karteninfrastrukturen der EC-Karten der Kreditinstitute genutzt werden. Zur Identifikation des Antragsstellers darf das Kreditinstitut auf bereits bestehende Daten zurückgreifen, die vergleichbar mit den Anforderungen des § 3 Abs. 1 SigV erhoben wurden; zur Antragsstellung reicht das im Zahlungsverkehr übliche PIN/TAN-Verfahren aus.[84] Gem. § 6 SigG wird der Belehrungspflicht mit einer Belehrung in Textform (§126b BGB) nachgekommen, was i.d.R. durch einfach E-Mail geschieht, die ihrerseits mit einer einfachen Mail bestätigt werden kann.
Dies stößt auf Kritik, da es für Vertrauenspersonen, wie etwa Familienangehörigen oder auch Krankenpflegern möglich ist, sofern ihnen die Zugangsdaten zum Onlinekonto (PIN/TAN) bekannt sind, sich ein Zertifikat zur verschaffen und dies auf die EC-Karte zu laden und letztlich den PIN-Brief mit der PIN zur elektronischen Signatur abzufangen.[85]
Diese Kritik übersieht jedoch Schwächen im bisherigen Verfahren. Beim als sicher eingestuften POSTIDENT-Verfahren ist es für Verwandte oder sonstige Ditte, die dem „Antragssteller“ ähnlich sehen, ein leichtes, in dessen Namen unter Vorlage des entwendeten Personalausweises eine elektronische Signatur zu beantragen. In Anbetracht der zehnjährigen Gültigkeit deutscher Personalausweise[86] ist umgekehrt nicht immer davon auszugehen, daß ein Antragssteller seinem Foto besonders ähnlich sieht.
c) eigene Stellungnahme
Es ist zu beachten, daß die elektronische Signatur letztendlich ein Schriftformersatz ist. Unter diesem Gesichtspunkt ist die Kritik an der Sicherheit des Verfahrens zu sehen. Betrachtet man die Manipulationsmöglichkeiten bei der Schriftform, so sind diese nicht von der Hand zu weisen. Das Fälschen einer Unterschrift ist relativ einfach möglich und läßt sich oft nur schwer erkennen, zumal wenn einem der Geschäftspartner unbekannt ist. Es ist zu fragen, ob es sinnvoll ist, im elektronischen Geschäftsverkehr ein solches Mehr an Sicherheit zu verlangen als im Rechtsverkehr außerhalb des virtuellen Raums. Unter diesen Umständen könnte eine elektronische Signatur wohl nie den Ansprüchen genügen, ebensowenig wie andere denkbare Verfahren, da Manipulationen niemals ausgeschlossen werden können. Eine hundertprozentige Sicherheit, die es im normalen Rechtsverkehr nicht gibt, kann es auch im Internet nicht geben und es wäre vermessen diese einzufordern. Es ist immer möglich, sich zu jedem elektronischen Identifikationsverfahren „Horror-Szenarien“ auszudenken. Die elektronische Signatur bietet vielmehr eine ausreichende Sicherheit, ebenso wie es bei der Schriftform der Fall ist. Würde man die teilweise an die elektronische Signatur gestellten Sicherheitsanforderungen einiger auf den normalen Rechtsverkehr übertragen, wäre ein schriftlicher Vertragsabschluß wohl nur noch höchstpersönlich möglich.
Nach dem derzeitigen Stand der Technik stellt das Signaturverfahren in Deutschland einen sicheren Schriftformersatz dar. Die Identität des Signaturinhabers ist zur Zeit ausreichend gesichert.
6. Grenzen der Identifizierbarkeit
Auch die Identifizierbarkeit durch elektronische Signatur stößt zuweilen an ihre Grenzen. Diese sollen nachfolgend aufgezählt werden.
a) Algorithmenverfall
Ein großes Risiko bei elektronischen Signaturen ist der sog. Algorithmenverfall. Bedingt durch den steten technischen Fortschritt können die Algorithmen, die bei Generierung der Signatur heute verwendet wurden, in absehbarere Zeit leicht knackbar sein. Eine solche Signatur wäre ab diesem Zeitpunkt nicht mehr sicher, ein elektronisches Dokument, das mit ihr signiert wurde, läßt keinen sicheren Schluß auf den Urheber mehr zu.[87] Dieses Problem kann dann nur dadurch gelöst werden, daß entsprechende Dokumente neusigniert werden.[88]
b) Signatur mit Verfallsdatum?
Weder aus SigG noch aus der SigV ergeben sich Pflichten zur Langzeitsicherung.[89] Während bei qualifizierten elektronischen Signaturen mit Anbieterakkreditierung die Bundesnetzagentur dafür Sorge tragen muß, daß die Signaturen auch nach Diensteinstellung des ZDA weiter überprüfbar sind, so fällt dieser „Rettungsanker“ bei anderen ZDA weg. Folge wäre, z.B. nach Insolvenz eines ZDA, daß dessen Signaturen gar nicht mehr überprüft werden können.[90]
Dieser Umstand kann also dazu führen, daß von heute auf morgen für den Signaturinhaber völlig unerwartet seine Signatur nicht mehr überprüfbar ist.[91]
c) Probleme bei Namensgleichheit
Das qualifizierte Zertifikat, das die Identifikation des Signierenden ermöglichen soll, muß den Namen des Signaturinhabers enthalten, sowie einen Zusatz, falls Verwechslungsgefahr besteht (§ 7 Abs. 1 Nr. 1 SigG).
Hat also ein Signaturinhaber einen nicht eindeutigen bürgerlichen Namen wie etwa „Peter Müller“ muß ein Zusatz hinzugefügt werden. Einzige Voraussetzung wäre allerdings, daß der Inhalt des Zertifikates eindeutig ist. Dies könnte auch eine Zahlenkombination sein. Ferner stünde es dem Signaturinhaber frei, ein Pseudonym zu wählen, das einzigartig ist.
Ergebnis dieser gesetzlichen Vorschrift ist, daß die Identität des Signaturinhabers nicht in jedem Fall zweifelsfrei ermitteln werden kann.[92] So weiß derjenige, der ein signiertes elektronisches Dokument erhält nur, daß der Signierende „Peter Müller 0815“ mit bürgerlichem Namen „Peter Müller“ heißt. Damit weiß der Empfänger quasi gar nichts über den Absender. Das Dokument ist ähnlich einem maschinengeschriebenen einfachen Brief, der mit „Peter Müller“ ebenfalls maschinengeschrieben unterzeichnet ist und keinen Absender trägt. Jeder mit Namen Peter Müller könnte behaupten, ein Dritter mit demselben bürgerlichen Namen habe dieses Dokument verfaßt.
Da auch vor Erhebung einer Klage keine Offenlegungspflicht besteht,[93] stellt sich an dieser Stelle die Frage, wieviel die elektronische Signatur überhaupt wert ist. Ein Vergleich zur Verwendung der eigenhändigen Unterschrift im Rechtsverkehr zeigt, daß diese, da sie zugleich biometrisches Merkmal ist, weitergehende Identifikation sicherstellt.[94] Daß zwei Personen denselben Namen haben, heißt noch lange nicht, daß die Unterschriften dieser Personen sich in irgendeiner Weise ähneln. Damit wäre die Unterschrift letztendlich doch mehr wert, als die elektronische Signatur, die, der Vergleich zum maschinengeschriebenen Brief zeigt es, anscheinend doch nicht mehr Gewicht hat, als die Textform, obwohl sie doch ein gleichwertiger Ersatz sein soll.
Vielfach wird vorgeschlagen, die Signatur mit einem individuellen Merkmal, wie der Personalausweisnummer, zu versehen.[95] Dies ist jedoch nicht möglich, da diesem § 3 Abs. 4 S. 1 PAuswG entgegensteht. Die Seriennummer darf nur im Personalausweis selbst verwendet werden und nicht mit anderen personenbezogenen Daten verknüpft werden.[96]
Als Lösungsmöglichkeit wird § 494 ZPO angesehen. So ist es auch möglich, einen Prozeß gegen einen (noch) unbekannten Gegner zu führen, wenn man außerstande ist, diesen zu bezeichnen. Ob ein Verfahren nach § 494 ZPO ein anhängiges Verfahren i.S.d. § 14 Abs. 2 S. 1 SigG ist, scheint allerdings zweifelhaft[97], schließlich werden damit die Regelungen des SigG wieder umgangen. Offen bleibt die Frage ob datenschutzrechtliche Interessen des Signaturinhabers gegen über den Interessen des Inhabers eines zivilrechtlichen Anspruchs überwiegen.
Letztendlich ist es wohl sinnvoll, diesen Umstand gesetzlich zu kodifizieren, um bestehende Unklarheiten zu beseitigen. Hierbei muß der Tatsache Rechnung getragen werden, daß eine elektronische Signatur de facto wertlos ist, wenn das signierte Dokument zwar im Prozeß als sicherer Beweis gilt, der Urheber aber gar nicht ermittelt werden kann.
Eine sinnvolle Lösung dieses Problems wäre die Schaffung eines zivilrechtlichen Anspruchs, wie es etwa in Österreich umgesetzt wurde. Als Vorbild kann die Regelung des § 22 öSigG dienen, der in etwa dem § 14 SigG entspricht. Es besteht gem. § 22 Abs. 2 öSigG ein Anspruch auf Offenlegung der Identität des Signaturinhabers, wenn ein berechtigtes Interesse glaubhaft gemacht werden kann.[98] Dieses ist dann gegeben, wenn, was auch die österreichische ZPO erfordert, ein Kläger benannt werden muß.[99]
Als Ergebnis kann festgehalten werden, daß auch der deutsche Gesetzgeber gehalten sein sollte, eine Interessensabwägung zugunsten des potentiellen Klägers zu treffen und dies zu kodifizieren. Der jetzige Zustand ergibt einen Wertungswiderspruch zu den §§ 371 Abs. 1 S. 2, 371a ZPO. Es muß ein zivilrechtlicher Anspruch geschaffen werden, auf Grundlage dessen der Kläger Auskunft über den Urheber eines qualifiziert signierten elektronische Dokuments erlangen kann, damit dieses im Prozeß überhaupt Verwendung finden kann. Ansonsten laufen die Regelungen der ZPO leer.
III. Ausblick und Alternativen
Gerade zu Zeiten des web 2.0, in denen immer mehr Internetnutzer nicht mehr nur passiv das Internet nutzen sondern aktiv werden, stellt sich die Frage im Rahmen der „Digitalen Identität 2.0“, inwiefern die heutigen Möglichkeiten zur Identifikation für die Zukunft ausreichen.
Die elektronische Signatur hat bislang keine große Verbreitung gefunden. Einerseits ist zu fragen, ob es nicht Möglichkeiten und Wege – auch staatlicherseits – gibt, ihre Verbreitung voranzutreiben. Die Technik ist gefragt, ob durch Hinzuziehung weiterer Identifikationsmöglichkeiten wie z.B. die der Biometrie die Sicherheit noch weiter zu erhöht werden kann, da der technische Fortschritt immer auch dazu führt, daß die Anwendungen, die heute noch als sicher gelten in relativ kurzer Zeit keinen hohen Sicherheitsstandart mehr erfüllen.
Es ist aber ebenso wichtig, sich auch nach Alternativen jenseits der elektronischen Signatur umzusehen.
1. Problemlösungen zur Stärkung der Akzeptanz der elektronischen Signatur
Die Einführung elektronischer Signaturtechniken an sich stellt zweifelsohne einen Fortschritt dar. Ein wichtiger Aspekt ist allerdings auch die Akzeptanz dieser Technik. Allein durch die Einführung der elektronischen Signatur ist noch nicht viel gewonnen. Die Aufgabe des Staates ist nicht damit beendet, die elektronische Signatur der Schriftform gleichzustellen, ihm muß auch an deren Verbreitung gelegen sein. Allein durch die Möglichkeit des Schriftformersatzes ist noch nicht viel gewonnen, solang diese nicht verbreitet Verwendung findet.
Auf internationaler Ebene gibt es Beispiele für elektronische signaturfähige Personalausweise. Vorbehalte in der Bevölkerung dagegen sind nicht bekannt, selbst dann nicht, wenn nur mehr solche Ausweise ausgegeben werden.[100] Erstmals eingeführt, jedoch auf freiwilliger Basis, wurde ein solcher Ausweis in Finnland.[101] Als europäisches Beispiel für eine sehr starke Verbreitung solcher Ausweise kann Estland dienen, wo mittlerweile über 61% der Bevölkerung über einen signaturfähigen Personalausweis verfügen. In Estland werden nur noch Ausweise dieser Art ausgegeben, so daß der Verbreitungsgrad kontinuierlich steigt.[102] Die dabei für den Bürger entstehenden Kosten für den Ausweis relativ gering.[103] Im Jahr 2007 bestand dann in Estland erstmals die Möglichkeit bei den Parlamentswahlen seine Stimme online abzugeben.[104]
a) Umsetzbarkeit eines digitalen Personalausweises in Deutschland
Die bei Betrachtung der estnischen Verhältnisse stellt sich die Frage nach der Umsetzbarkeit eines solchen Modells in Deutschland.
Der Personalausweis in der heutigen, maschinenlesbaren Form wurde 1987 eingeführt; er enthält ein Lichtbild und verschiedene Angaben zur Person.[105] Er wird mit einer Seriennummer versehen, die jedoch nicht zur Abfrage personenbezogener Daten aus Dateien verwendet werden darf (§ 3 Abs. 4 S. 1 PAuswG). Es bestehen lediglich wenige strenge Ausnahmen.[106]
Im nichtöffentlichen Bereich darf der Personalausweis als Identifikationspapier dienen (§ 4 Nr. 1 PAuswG), weitergehende Verwendung wie etwa der Abruf von Daten allgemein oder verknüpft mit der Seriennummer sind untersagt (§ 4 Nr. 2 und 3 PAuswG); eine Zuwiderhandlung stellt eine Ordnungswidrigkeit dar (§ 5 PAuswG).[107]
Allein aus diesen Voraussetzungen ließe sich für einen solchen Ausweis in Deutschland folgendes schließen:
- Es ist möglich die Daten des Personalausweises zu hashen, zu signieren und auf einem Chip direkt auf dem Ausweis zu speichern.[108] Eine Speicherung von Daten außerhalb oder ein Abgleich ist unzulässig.
- Es muß gesichert sein, daß nur Berechtigte auf die Daten zugreifen. Hierfür muß der Chip prüfen, ob das Lesegerät zum Auslesen der Daten berechtigt ist. Um die Fälschungssicherheit zu garantieren muß umgekehrt auch das Lesegerät die Echtheit des Chips überprüfen können.[109]
- Um eine Lesbarkeit über die Grenzen Deutschlands hinaus zu gewährleisten, bedarf es einer Zusammenarbeit zwischen den einzelnen Staaten beispielsweise mit gegenseitigem Schlüsselaustausch.[110]
Soll die Karte mit einer Signaturfunktion ausgestattet werden, muß eine zusätzliche Zusammenarbeit zwischen staatlichen Stellen und den ZDA erfolgen. Dafür wäre es dann jedem möglich, der einen neuen Personalausweis hat, sofern er über die entsprechenden Gerätschaften verfügt zu signieren.
b) Nachteile eines digitalen Ausweises
Nachteile ergeben sich vor allem durch hohe, teils schwer kalkulierbare Kosten. Kostenintensiv wäre die Ausrüstung von Polizeistationen und Grenzkontrollstellen. Neben den hohen Kosten die staatlicherseits zu Lasten der Gemeinden entstünden, schon heute reicht die Gebühr in Höhe von 8 € nicht aus, um die Kosten für einen Personalausweis zu decken,[111] trüge der Staat allerdings auch das Risiko für einen Algorithmenverfall, nach dem die Integrität der Daten nicht mehr gesichert wäre.[112] Es müßten dann neue Ausweise ausgestellt werden.
Hierbei treten auch die Unterschiede zwischen Ländern wie Estland und Deutschland zutage. Bei einer Bevölkerung von ca. 1,3 Mio. Menschen[113] in Estland mögen solche Risiken noch halbwegs überschaubar sein, bei einer Einwohnerzahl von 82,4 Mio. Menschen[114] in Deutschland sind solche Schritte nicht in der Schnelle möglich.
Daß neben den heute bereits in den Chips der Reisepässe enthaltenen biometrischen Daten digitale Ausweise mit Signaturfunktion ausgegeben werden, scheint angesichts der dabei bestehenden Probleme nicht wahrscheinlich. Ebenso fraglich ist es, ob dies wirklich zu einer verstärkten Verwendung der elektronischen Signatur beitragen würde.
c) Signatur mittels Mobiltelefon als Alternative?
Im Ausland sucht man auch auf andere Weise nach Möglichkeiten, der geringen Verbreitung elektronischer Signaturen entgegenzuwirken. Als Problem wird oftmals angesehen, daß sich der Bürger eine entsprechende Karte zulegen müssen. Auch entsprechende Kartenlesegeräte und Software müssen bereithalten werden. Das alles ist mit Kosten und Aufwand verbunden. Zu berücksichtigen ist auch, daß man mit Signaturlösungen dieser Art äußerst unflexibel ist, da die Voraussetzungen (Kartenlesegerät, installierte Software) nicht an jedem Rechner vorhanden sind.
aa) Die österreichische A1-Signatur
Eine kostengünstige, unkomplizierte und zudem mobile Lösung dieses Problems findet sich in Österreich. Dort hat für die Verwaltung eine Signatur mittels Mobiltelefon eingeführt. Angeboten wird diese Signatur vom landesweit größten Handynetzbetreiber A1. Einzige Voraussetzungen sind ein Mobiltelefon mit österreichischer SIM-Karte, ein Mindestalter von 18, eine Registrierung auf der Internetseite von A1 und ein Hauptwohnsitz in Österreich.[115] Die Nutzer müssen sich, bevor die Signatur freigeschaltet wird, in einem A1-Shop oder einem Postamt ausweisen.
Die Einsatzfähigkeit ist vielfältig und reicht von Stipendienbeantragungen über Gewerbeanmeldung bis zu Strafanzeigen gegen Kinderpornographie.[116] Auch auf regionaler Ebene findet die Signatur Verwendung, beispielsweise im Meldewesen in einzelnen Gemeinden.[117] Die Kosten sind gering und betragen einmalig 5 € für die Anmeldung sowie eine monatliche Grundgebühr von 1 €.[118] Kosten für Kartenlesegeräte oder Software entsteht nicht. Für Anwender stellt sich die A1-Signatur vergleichbar mit einem PIN/TAN-Verfahren dar, daß ähnlich funktioniert wie beim Online-Banking.[119]
In Wirklichkeit ist das Verfahren weitaus komplizierter: Der Anwender erhält zunächst eine PIN, die nur ihm zugeordnet ist. Wird diese in einer entsprechenden E-Government-Anwendung eingegeben, erhält der sog. „Signator“[120] eine SMS mit einer TAN; die Generierung dieser TAN läuft auf dem Server der mobilkom Austria (dem Betreiber von A1) ab, die Eingabe der PIN erfolgt verschlüsselt, so daß sie zwischendurch nicht ausgelesen werden kann.[121] Die Zusammengehörigkeit von PIN und TAN ist durch Zertifikat gesichert. Die Zertifikate der mobilkom Austria ihrerseits sind mit Zertifikaten der A-Trust signiert sind. Die A-Trust ist Österreichs einziger akkreditierter Anbieter.[122]
Zusammenfassend kann gesagt werden, daß die A1-Signatur der EU-Signaturrichtlinie entspricht, da bei ihr entsprechende Kryptographieverfahren zu Einsatz kommen. Im Unterschied zum konventionellen Signaturverfahren erfolgt die Signaturerstellung nicht beim Anwender selbst, sondern auf einem externen, gesicherten Server des Anbieters.[123]
bb) Anwendungsmöglichkeit in Deutschland
Nun ist entscheidend, ob sich dieses Signaturmodell bei geltender Gesetzeslage auf Deutschland übertragen ließe. Nur dann könnten solche Modelle auch hierzulande zur Verbreitung der elektronischen Signatur beitragen. § 3a VwVfG,[124] der die elektronische Form im Verwaltungsverfahren regelt, verlangt ebenso wie § 126a BGB eine qualifizierte elektronische Signatur i.S.d. § 2 Nr. 3 SigG. Die A1-Signatur wäre damit in Deutschland nicht als qualifizierte elektronische Signatur anzusehen; vielmehr wäre sie nicht mal als fortgeschrittene elektronische Signatur zu qualifizieren. Grund dafür ist § 2 Nr. 2 c) SigG. Demgemäß ist die Signatur mit Mitteln zu erstellen, die der Signaturinhaber unter seiner alleinigen Kontrolle hat. Dies ist hier nicht gegeben, vielmehr hat der Signierende bei der A1-Signatur gar keine Kontrolle, die Erstellung der Signatur erfolgt auf einem externen Server.[125]
Nebenbei fehlt es an der sicheren Signaturerstellungseinheit i.S.d. § 2 Nr. 10 SigG.[126] Als einzige mobile Möglichkeit zur elektronische Signatur wäre wohl die Signatur mittels PDA zu nennen, da die bei der A1-Signatur vorliegenden Mängel, nicht gegeben sind; nachteilig wäre, daß es bei dieser Technik auch einer Signaturkarte bedarf.[127]
Nach geltendem deutschen Recht könnte eine Signatur wie die A1-Signatur keine Verwendung finden, weil sie die Schriftform gem. § 3a VwVfG nicht ersetzen könnte.
cc) Bewertung
Die A1-Signatur stellt sich als sichere Alternative zum Signaturkartenverfahren dar. Ferner sticht das Verfahren durch seine Kostengünstigkeit hervor. Daß der Signaturinhaber das Verfahren nicht vollständig unter seiner Kontrolle hat, bzw. die Signatureinheit nicht als sicher i.S.d. Gesetzes angesehen werden kann, scheint angesichts der sicheren Signaturerstellung auf einem besonders gesicherten externen Server nicht besonders schwer zu wiegen. Insgesamt ist das deutsche Signaturrecht wohl zu eng gefaßt und zu wenig offen für Technologien abseits des Karten/Kartenlesegerät-Verfahrens.
Damit schneidet sich der Gesetzgeber selber die Möglichkeit ab, weitere sichere Verfahren zu etablieren, die für eine stärkere Verbreitung der elektronischen Signatur sorgen könnten.
2. Biometrie
Wie bereits erläutert, ist über die Verwendung der Biometrie nachzudenken, die für einen noch höheren Sicherheitsstandart sorgen kann. Zunächst einmal sind zwei verschiedene Verfahren zu unterscheiden, nämlich Verifikation und Identifikation. Bei der Verifikation findet ein Vergleich mit einem konkreten Datensatz statt, bei der Identifikation hingegen erfolgt ein Abgleich mit sämtlichen Referenzdaten.[128]
Die Anwendung biometrischer Daten ist vielfältig. Die Vorteile der Technik liegen auf der Hand: die Weitergabe oder ein Abhandenkommen ist unmöglich, ein Vergessen von PIN oder sonstigen Paßwörtern scheidet aus.[129]
[...]
[1] Cartoon aus Reed, Internet Law, S. 119 abgedruckt auf S. II dieser Arbeit.
[2] http://www.nielsen-netratings.com/press.jsp?section=pr_netv&nav=3 è Germany è Home Panell è Web Usage Data (Daten für März 2007).
[3] DUDEN, Herkunftswörterbuch, S. 357; oft wird das Wort auch auf den altlateinischen Begriff „identitas“ zurückgeführt, der sich jedoch ebenfalls von „idem“ ableitet.
[4] Vgl. § 1 Abs. 1 S. 1 PAuswG, der die Ausweispflicht für Deutsche, die der Meldepflicht unterliegen regelt.
[5] Für Einzelheiten zur Daktyloskopie vgl. Eisenberg, StPO, Rn. 1936 ff. Einen Überblick über die molekularbiologischen Grundlagen der DNA-Analyse: Eisenberg, StPO, Rn. 1904 ff.
[6] Definition nach Windley, Digital Identity, S. 8.
[7] HKK/Meyer-Pritzel, §§ 125-129, Rn. 60.
[8] Für weitere Beispiele vgl. nur Palandt/Heinrichs, § 126, Rn. 1.
[9] Sogar tote Sprachen wären zulässig. Vgl. Müko/Einsele, § 126, Rn. 6.
[10] Dies wird im Fall von RG DJZ 15 (1910), 594 f deutlich. Dort bejahte das RG die wirksame Errichtung eines Testaments auf einer Schiefertafel.
[11] Palandt/Heinrichs, § 126, Rn. 5, vgl. auch Mugdan, Materialien BGB, Band I, S. 454.
[12] BGH WM 2007, 426 ff.
[13] BGH NJW 1981, 1900.
[14] Vgl. RGZ 10, 168. Dementsprechend sind Nachträge durch die Unterzeichnung nicht gedeckt (so schon RGZ 36, 241 ff. zum PrALR).
[15] Flume, Rechtsgeschäft, S. 251 f.
[16] Dies kann unter Umständen auch bei fehlerhafter Unterschrift der Fall sein, wenn aus anderen Umständen (hier: notarielles Dienstsiegel) die Identität des Unterzeichnenden zweifelsfrei hervorgeht (vgl. BayOblG NJW 1956, 24 ff.).
[17] Palandt/Heinrichs, § 126 Rn. 5. Diese fehlt bei der unterschriftslosen Textform des § 126b BGB, was zu einer anderen Beweislage führt (Palandt/Heinrichs, § 126b, Rn. 6).
[18] Beck-OK/Wendtland, § 125, Rn. 16.
[19] Bzw. entsprechender landesrechtlicher Vorschriften, für Bayern: Art. 44 Abs. 1 BayVwVfG.
[20] Vgl. nur Kopp/Ramsauer, § 44, Rn. 25.
[21] Roßnagel, NJW 1999, S. 1592; bereits im Mai 1995 trat im US-Bundesstaat Utah das weltweit erste und umfassende Signaturgesetz in kraft (Heim/Werner, DuD 1997, S. 470 f.).
[22] § 2 Abs. 1 SigG a.F.
[23] § 1 I SigG a.F. enthielt eine Sicherheitsvermutung für digitale Signaturen nach dem SiG; vgl. hierzu Roßnagel, NJW 1999, S. 1593.
[24] Roßnagel, NJW 1999, S. 1593.
[25] Roßnagel, DuD 1997, S. 76.
[26] Roßnagel, DuD 1997, S. 76.
[27] Vgl. hierzu Roßnagel, DuD1997, S. 79. Nach § 12 Abs. 2 SigG a.F. gab es einen Aufdeckungsanspruch nur Behörden gegenüber. Auch dem heutigen Signaturgesetz haftet dieser Mangel an.
[28] So auch: Roßnagel, DuD 1997, S. 75, der diesen Umstand kritisiert.
[29] BT-Dr. 14/1191, S. 20.
[30] Richtlinie über den elektronischen Geschäftsverkehr: 2000/31/EG; Signaturrichtlinie: 1999/93/EG.
[31] MüKo/Einsele, § 126, Rn. 33.
[32] BT-Dr. 14/4987 S. 14.
[33] MüKo/Einsele, § 126, Rn. 25.
[34] Str. vgl. MüKo/Einsele, § 126, Rn. 26. Es besteht Uneinigkeit, inwiefern Begriffe wie „Urkunde“ direkt zu einem Ausschluß führen.
[35] So auch zutreffend MüKo/Einsele, § 126, Rn. 27 ff.; unzutreffend insoweit: Palandt/Heinrichs, § 126a, Rn. 6, der das vorherige Einverständnis des anderen Teils verlangt, wofür aber jegliche gesetzliche Grundlage fehlt.
[36] MüKo/Einsele, § 126 a, Rn. 1; BT-Dr. 14/4987, S. 25.
[37] Heibel, elektronische Signatur, S. 27
[38] Vgl. BT-Dr. 14/4662 S. 18; Roßnagel NJW 2001, 1819, TelekR/Demmel, § 2 SigG, Rn. 2.
[39] TelekR/Demmel, § 2 SigG, Rn. 2.
[40] MüKo/Einsele, § 126a, Rn. 8.
[41] TelekR/Demmel, § 2 SigG, Rn. 4; MüKo/Einsele, § 126a, Rn. 9.
[42] Vgl. TelekR/Demmel, § 2 SigG, Rn. 8.
[43] Vgl. Roßnagel, NJW 2001, 1819, der an der Ausgestaltung des SigG auch Kritik übt, da dieses für andere sichere Verfahren nicht geeignet ist.
[44] Muster, Digitale Unterschriften, S. 3.
[45] Muster, Digitale Unterschriften, S. 5.
[46] Heibel, elektronische Signatur, S. 36.
[47] Heibel, elektronische Signatur, S. 65 ff; Muster, Digitale Unterschriften, S. 5 ff.
[48] Heibel, elektronische Signatur, S. 78.
[49] Heibel, elektronische Signatur, S. 80.
[50] Heibel, elektronische Signatur, S. 80f. Hierzu findet sich auch eine Übersicht auf S. 79.
[51] Eine Liste der in Deutschland zugelassenen Zertifizierungsdienstanbieter ist unter http://www.bundesnetzagentur.de/enid/6fab1fcff61481dfcf0009f4b9fab3b3,0/
Elektronische_Signatur/Zertifizierungsdiensteanbieter_ph.html zu finden.
[52] Heibel, elektronische Signatur, S. 66.
[53] Lenz/Schmidt, elektronische Signatur, S. 101.
[54] Heibel, elektronische Signatur, S. 36 f.
[55] Die Bundesnetzagentur ist Nachfolgerin der Regulierungsbehörde für Telekommunikation und Post.
[56] Heibel, elektronische Signatur, S. 39 ff.
[57] Lenz/Schmidt, elektronische Signatur, S. 101 f.
[58] Vgl. dazu den kritischen Standpunkt der Gesellschaft für Informatik: Lenz/Schmidt, elektronische Signatur, S. 102; diese Kritik zurecht ablehnend: Heibel, elektronische Signatur, S. 41.
[59] Heiberl, elektronische Signatur, S. 40; zu den technischen Hintergründen: Windley, Digital Identity, S. 47 f.
[60] Schmidt/Schlatmann, NVwZ 2002, S. 1292.
[61] Vgl. Kopp/Ramsauer, VwVfG, § 3a, Rn. 2a.
[62] Roßnagel, NJW 2003, S. 472.
[63] Für weitere Beispiele vgl. HK-VerwR/Kastner, § 3a VwVfG, Rn. 19 f.
[64] Diesen Standpunkt vertrat des FG Münster im Fall einer Signaturkarte mit einer monetären Beschränkung über 100 €. Dazu eine ablehnende Anmerkung Roggenkamp, jurisPR-ITR 5/2006 Anm. 2, der klarstellt, daß die Signatur allein der Identifizierung dient.
[65] Dies wurde durch das Urteil des BFH (BFH BB 2007, 144 ff.) klargestellt, der die Einreichung der Klageschrift mit qualifizierter elektronischer Signatur mit monetärer Beschränkung für wirksam erklärte und die Sache an das FG Münster (Fn. 64) zurückverwies.
[66] Stein/Jonas/Berger, § 371a, Rn. 9.
[67] Stein/Jonas/Berger, § 371a, Rn. 12; dazu ausführlich: Fischer-Dieskau, Beweissicherung, S. 125 f.
[68] Stein/Jonas/Berger, § 371a, Rn. 4.
[69] BT-Drucks. 14/4987, S. 24f. zum alten § 292a ZPO.
[70] Schemmann, ZZP 118 (2005), 182.
[71] Schemmann, ZZP 118 (2005), 172.
[72] Schemmann, ZZP 118 (2005), 173f.
[73] Schemmann, ZZP 118 (2005), 174f.
[74] Schemmann, ZZP 118 (2005), 175. Dies wäre dann gegeben, wenn die Algorithmen nicht mehr dem Stand der aktuellen Technik entsprechen würden und technisch zum Zeitpunkt der Signatur nicht mehr als sicher erachtet werden können. Vgl. hierzu auch Bertsch, Digitale Signaturen, S. 193 ff. zur Nachhaltigkeit digitaler Signaturen.
[75] Schemmann, ZZP 118 (2005), 176f. u. 182f.
[76] Fischer-Dieskau/Gitter/Paul/Steidle, MMR 2002, 711 zum alten § 292a ZPO.
[77] Fischer-Dieskau/Gitter/Paul/Steidle, MMR 2002, 711. Damals war noch die Regulierungsbehörde für Telekommunikation und Post zuständig.
[78] Vgl. BT-Dr. 14/662, 28; Fischer-Dieskau, Beweissicherung, S. 133.
[79] Fischer-Dieskau, Beweissicherung, S. 133; Roßnagel, NJW 2001, 1825.
[80] Fischer-Dieskau, Beweissicherung, S. 133f.
[81] Vgl. nur die Erläuterungen bei Lenz/Schmidt, elektronische Signatur, S. 67 ff. Trojaner ist strenggenommen nicht der richtige Begriff für die sog. Trojanischen Pferde, da dieses schließlich in der Sage im Kampf gegen die Trojaner eingesetzt wurde (vgl. nur Buermeyer, HRRS 2007, S. 155.).
[82] Vgl. BT-Drucks. 15/3417.
[83] BT-Drucks. 15/3417, S. 6.
[84] Roßnagel, NJW 2005, 386.
[85] Diese Bedenken werden aufgeworfen von Roßnagel, NJW 2005, 388, der aufgrund dessen in Zweifel zieht, ob die Identifikation des Signierenden überhaupt noch gewährleistet ist.
[86] § 2 Abs. 1 S. 1 PAuswG. Nur für Personen unter 26 Jahren beträgt die Gültigkeit 5 Jahre (§ 2 Abs. 1 S. 2 PAuswG).
[87] Vgl. nur Bertsch, Digitale Signaturen, S. 194 ff.
[88] Heibel, elektronische Signatur, S. 43f.
[89] Vgl. nur Heibel, elektronische Signatur, 45 f.
[90] Heibel, elektronische Signatur, S. 44.
[91] Technische Lösungsansätze dazu wurden gesucht und unter anderem im ArchiSig-Projekt (http://www.archisig.de/) gefunden. Anscheinend wird dieses jedoch seit 2005 nicht weiter verfolgt.
[92] So auch: Bertsch, Digitale Signaturen, S. 41.
[93] TelekR/Skrobotz, § 14 SigG, Rn. 24. Etwas mißverständlich hier: Baum, DuD 1999, S. 512.
[94] Baum, DuD 1999, S. 512.
[95] So z.B. von Baum, DuD 1999, S. 513.
[96] TelekR/Skrobotoz, § 7 SigG, Rn. 30.
[97] So auch: TelekR/Skrobotz, § 14 SigG, Rn. 26.
[98] Diese Regelungen im Rechtsvergleich zwischen SigG und öSigG ebenfalls begrüßend TelekR/Skrobotz; § 14 SigG, Rn. 27. Vgl. auch Mayer-Schönberger u.a., öSigG, S. 136.
[99] Vgl. nur Mayer-Schönberger u.a., öSigG, S. 136. Der österreichische Gesetzgeber hat damit klar eine Interessensabwägung zugunsten des potentiellen Klägers getroffen.
[100] Hornung, digitale Identität, S. 424 f.; ders, DuD 2005, 65.
[101] Hornung, DuD 2005, 62; vgl. auch http://www.fineid.fi/vrk/fineid/home.nsf/pages/index_eng.
[102] Stand: April 2006, http://www.estemb.de/estland/it.
[103] Zum estnischen Geschäftsmodell: Hornung, DuD 2005, 64. Die für den Bürger entstehenden Kosten für den Ausweis betragen umgerechnet ca. 9,50 €. Für die Erneuerung der Zertifikate fallen gegebenenfalls Gebühren in geringem Maße an (maximal ca. 4,00 €).
[104] http://www.heise.de/newsticker/meldung/85921.
[105] Hornung, digitale Identität, S. 48f.
[106] Nach § 3 Abs. 4 PAuswG für Meldebehörden aus deren Dateien und für Polizeibehörden des Bundes und der Länder für den Abruf der Seriennummern in Dateien für Ausweise die ungültig erklärt wurden, abhanden kamen oder wo Mißbräuche durch Nichtberechtigte zu befürchten sind.
[107] Hornung, digitale Identität, S. 55.
[108] Hornung, digitale Identität, S. 346.
[109] Hornung, digitale Identität, S. 358.
[110] Dies würde eine zu hohe Zahl von Zertifikaten verhindern. Nähere Einzelheiten hierzu: Hornung, digitale Identität, S. 347.
[111] Hornung, digitale Identität, S. 362.
[112] So auch: Hornung, digitale Identität, S. 362, der klarstellt, daß es unzulässig wäre dieses finanzielle Risiko vom Staat auf den Bürger abzuwälzen.
[113] Bevölkerungszahl nach CIA World Factbook: https://www.cia.gov/library/publications/the-world-factbook/geos/en.html (Stand: 31. Mai. 2007).
[114] Bevölkerungszahl nach CIA World Factbook: https://www.cia.gov/library/publications/the-world-factbook/geos/gm.html (Stand: 31. Mai. 2007).
[115] http://www.a1.net/privat/a1signaturvoraussetzungen .
[116] Eine Auflistung findet sich hier: http://www.a1.net/CDA/navigation/pp4_frame/0,6194,50005-50070-50023-114899-html-de,00.html.
[117] Beispielsweise Ummeldungen in der Stadt Kufstein (Tirol): https://labs.cio.gv.at/egov/gemeinde/meldung/?a=kufstein .
[118] http://www.a1.net/business/a1signaturtarife. Im Paket inbegriffen sind 500 Signaturen pro Monat. Für jede weitere fallen Kosten in Höhe von 0,20 € an.
[119] Skrobotz, jurPC web-Dok. 253/2004, Abs. 2 - 4. Vgl. auch die einfache Erklärung für Nutzer auf der Homepage von A1: http://www.a1.net/privat/a1signaturfunktionsweise .
[120] Österreichischer Begriff für Signaturinhaber.
[121] http://www.a1.net/CDA/navigation/pp4_frame/0,6194,50159-50634-2898-500061-html-de,00.html; Skrobotz, jurPC web-Dok. 253/2004, Abs. 3.
[122] Hierfür gibt es ähnliche Voraussetzungen wie in Deutschland. Die A-Trust wird als ZDA mit Akkreditierung von der sog. Aufsichtsstelle gem. § 17 öSiG überwacht (Einzelheiten: Mayer-Schönberger, ua., öSigG, S. 123 f.). Aufsichtsstelle ist gem. § 13 Abs. 1 öSigG die staatliche Telekom-Control-Komission. Sie stellt, wie in Deutschland die Bundesnetzagentur, den ZDA die Zertifikate aus (nähere Ausführungen hierzu bei: Mayer-Schönberger, u.a., öSigG, S. 111 ff.). Vgl. für nähere Infos den Bericht der Telekom-Control-Kommission (abrufbar unter http://www.signatur.rtr.at/repository/rtr-report-20040116-de.pdf , insbesondere S. 47 ff.). Eine Übersicht hierzu in Stomper/Rechtsfragen, S. 152.
[123] Skrobotz, jurPC web-Dok. 253/2004, Abs. 4.
[124] Sowie entsprechende, meist gleichlautende, VwVfG der Länder, für Bayern: Art. 3a BayVwVfG.
[125] Vgl. nur Roßnagel, MMR 2003, S. 164 f. Ob der Gesetzeswortlaut so streng zu sehen ist wie dargestellt, kann hier dahinstehen, weil jedenfalls die A1-Signatur die Voraussetzungen des § 2 Nr. 2 c) SigG nicht erfüllt und das auch dann nicht, wenn weniger strenge Maßstäbe angelegt würden.
[126] Vgl. Skrobotz, jurPC web-Dok. 253/2004, Abs. 7.
[127] BIOSIG 2003/Kollmann/Scharter, S. 61 ff, insbesondere S. 65 ff: Die Generierung der Signatur findet ausschließlich auf dem PDA statt.
[128] Hornung, digitale Identität, S. 80. Die Identifikation wird beispielsweise auch bei Fahndungsdatenbanken eingesetzt, da sich hier überprüfen läßt ob eine Person mit einem bestimmten biometrischen Merkmal in der Datenbank gespeichert oder eben nicht gespeichert ist.
[129] Vgl. nur Hornung, digitale Identität, S. 85 f.
-
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen.