Signaturrichtlinie

20 Jahre Signaturrichtlinie

Umsetzung in der deutschen Verwaltung

Am 13. Dezember 1999 wurde im Amtsblatt der Europäischen Gemeinschaften die „Richtlinie 1999/93/EG der Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen“, kurz Signaturrichtlinie (SigRL), veröffentlicht. Inwieweit konnten die deutschen Verwaltung diese in 20 Jahren umsetzen? – Ein Blick auf die 16 Landeshauptstädte des Bundes.

Die Richtlinie ermöglichte den Mitgliedsstaaten in Abhängigkeit von zu erlassenden Ausführungsgesetzen wie dem Signaturgesetz, folgende Neuerungen, um die Verwaltung auf Basis von Papierdokumenten mit eigenhändiger Unterschrift zu digitalisieren:

  1. Einführung von fortgeschrittener und qualifizierter Signatur als Beweis der Authentizität, d.h. der Urheberschaft einer Willenserklärung, im Rechtsverkehr (vgl. Erwägungsgründe 4 und 20 der SigRL)

  2. Ermöglichung der elektronischen Signatur einer juristischen Person und auch einer Behörde im Wege der Vertretungsbefugnis (vgl. Erwägungsgründe 19 und Art. 2 Z. 3)

  3. Möglichkeit der Aufnahme von berufsständischen Befugnissen, bspw. der Approbation eines Arztes in das Signaturzertifikat, um damit bspw. e-Rezepte zu signieren

  4. Möglichkeiten der Anerkennung ausländischer Zertifikate (vgl. Erwägungsgründe 4 und 20).

Sicherheit im elektronischem Schriftverkehr

Das Ziel war, vereinfacht gesagt, die Ermöglichung rechtssicheren elektronischen Schriftverkehrs, auch zwischen Bürger und Verwaltung. Wie bekannt sein sollte, – es aber erfahrungsgemäß nicht flächendeckend und nachhaltig ist – ist die einfache und weitverbreitete E-Mail mit einer Postkarte vergleichbar, der es außerdem an der eigenhändigen Unterschrift mangelt. Jeder kann sie lesen, jeder kann eine E-Mail mit einem beliebigen  Absender fälschen, jeder kann sie verfälschen und im Gegensatz zu einer in München in den Briefkasten eingeworfenen Postkarte nach Hamburg ist nicht einmal gesichert, dass sie nicht den Umweg über Server in Russland, Südkorea, Taiwan oder den USA anstelle des kürzeren Wegs innerhalb der Bundesrepublik nimmt. Dass jede E-Mail mit personenbezogenen Daten, sofern sie nicht über gesicherte Kanäle wie ein verwaltungsinternes Netz oder das von GMX, Telekom und WEB.DE privat betriebene „E-Mail made in Germany“-Netz läuft, einen Verstoß gegen Datenschutzrecht darstellt, ist ebenfalls weitestgehend unbekannt oder wird  ignoriert.

Umsetzungsbeispiele der e-Signatur in Deutschland

Die SigRL wurde 2014 von der „Verordnung (EU)  Nr.  910/2014  des Europäischen Parlaments und des Rates vom  23.  Juli  2014 über   elektronische   Identifizierung   und   Vertrauensdienste   für   elektronische   Transaktionen   im   Binnenmarkt  und  zur  Aufhebung  der  Richtlinie  1999/93/EG“, kurz eIDAS-VO, abgelöst. Nichtsdestoweniger ist zu konstatieren, dass die Umsetzung der Signaturrichtlinie in der Deutschland eher auf dem (Gesetzes)Papier als in der Praxis erfolgte. In der Verwaltung ist die Signatur nicht nur nicht in Verwendung, sie ist weitestgehend unbekannt und nicht verbreitet. Es gibt wohl nur eine einzige nennenswerte, weil signifikant verbreitete Ausnahme: Das ELSTER-Zertifikat, welches ein dateibasiertes Signaturzertifikat für eine fortgeschrittene Signatur darstellt und von Millionen Steuerpflichtigen freiwillig oder unfreiwillig (USt-Voranmeldungs- und USt-Jahreserklärungspflichtige nach § 18 Abs. 1 und 3 UStG) verwendet wird. 

In der deutschen Verwaltung sind kaum Lösungen der elektronischen Signatur für Leistungen umgesetzt, die Bürgerinnen und Bürger regelmäßig nutzen.

Daneben ist dem Autor, trotz langer und intensiver wissenschaftlicher Befassung mit der deutschen Verwaltung, nur eine Anwendung im Bereich der Standesämter zur Führung der Register nach Personenstandsgesetz bekannt sowie eine im Bereich der Abfallwirtschaft, die beide für „normale Bürger“ faktisch irrelevant sind. Weiters gibt es, allerdings v.a. auf Initiative der Europäischen Union entstanden, im Justizbereich Anwendungen wie den Europäischen Zahlungsbefehl oder seit 2018 den elektronischen Rechtsverkehr, die für „normale Bürger“ wohl nur selten relevant sind.

Der 19. Erwägungsgrund der SigRL lautet

„Elektronische Signaturen werden im öffentlichen Bereich innerhalb der staatlichen  und  gemeinschaftlichen Verwaltungen und  im Kommunikationsverkehr zwischen diesen Verwaltungen sowie zwischen diesen und den Bürgern und Wirtschaftsteilnehmern eingesetzt, z. B. in den Bereichen öffentliche Auftragsvergabe, Steuern, soziale Sicherheit, Gesundheit und Justiz.“.

Zurzeit keine elektronische Post - seit 20 Jahren

Dass sie „im Kommunikationsverkehr zwischen Verwaltungen und Verwaltung und Bürger“ eingesetzt werden, kann zumindest für die qualifizierte bzw. fortgeschrittene Signatur nicht gesagt werden. Dies belegen nachfolgende einzelne, aber in Summe ein konsistentes Bild ergebende Beobachtungen.

Der Versuch, eine persönliche Vorsprache im Zusammenhang mit einer Ummeldung eines Zweitwohnsitzes durch eine Übersendung eines Dokuments mit einer qualifizierten elektronischen Signatur zu ersetzen, scheiterte 2016 in der Gemeinde Benningen am Neckar. Diese Gemeinde, wie so viele in Deutschland, schreibt im Impressum der Gemeindewebseite „Leider können wir aus technischen und organisatorischen Gründen zurzeit noch keine elektronischen Signaturen auf Echtheit und Gültigkeit prüfen. Wir können derzeit weder verschlüsselte noch signierte elektronische Post empfangen. Dies hat zur Folge, dass Sie Dokumente, die einem Schriftformerfordernis unterliegen, das heißt der persönlichen Unterschrift, nicht in elektronischer Form übersenden können. Wir bitten Sie deshalb, in diesen Fällen auf die papiergebundene Kommunikation auszuweichen.“. Dieses „zurzeit“ wurde am 13. Dezember 2019 20 Jahre alt.

Die Akzeptanz von qualifizierten elektronischen Signaturen ist nach § 3a VwVfG (des Bundes und der 16 Bundesländer) eine freiwillige. Nicht der Bürger hat das Recht auf elektronische Kommunikation mit der Behörde, sondern jede einzelne Behörde hat die freie Wahl, ob sie einen Zugang eröffnet, auf dem der Bürger schriftformersetzende signierte Dokumente einreichen darf. Diese Eröffnung kann, wenn man dem FG Berlin-Brandenburg (7. Senat) vom 25.09.2019 – 7 V 7130/19 folgt, auch konkludent erfolgen. Konkret durch den Eintrag eines Postfachs in ein amtliches Verzeichnis: für viele der vielen Tausend Behörden eine hohe Hürde.

Umsetzung der elektronischen Signatur in den Landeshauptstädten

In MünchenBerlinPotsdamHannover DüsseldorfMainzDresden,Magdeburg werden signierte Dokumente, die auf elektronischem Wege eingereicht werden (Beispiel: Scan des Dokument als PDF im E-Mail-Anhang) akzeptiert. In den anderen Landeshauptstädten ist es nicht oder auf umständlicherem Wege möglich, Anträge elektronisch zu übermitteln.

In einer Vielzahl deutscher Behörden ist die elektronische Signatur seit 20 Jahren "on hold".

Stuttgartkeine Akzeptanz signierter Dokumente

Zitat „Die Bußgeldstelle Stuttgart akzeptiert derzeit Einsprüche per E-Mail dann, wenn ein unterschriebenes PDF-Dokument beigefügt wird, ansonsten nur zur Fristwahrung, wenn eine eigenhändig unterschriebene Willenserklärung unverzüglich nachgereicht wird.“ Hier ist der rechtlich nicht belastbare Scan eines Papierdokuments gemeint, da sich auch im Bereich service.stuttgart.de trotz intensiver Suche kein Hinweis auf eine Zugangseröffnung i.S. § 3a LvwVfG BW finden ließ.

Bremen: Die Suche nach entsprechenden Begriffen und Nachschau im Impressum, in den Datenschutzinformationen und unter „Kontakt“ lieferte keinen Hinweis auf eine Zugangseröffnung. Allerdings schreibt § 2 Abs. 1 EGovG Bremen eine Akzeptanz signierter Dokumente seit März 2018 vor.

Hamburg: Die Suche nach entsprechenden Begriffen und Nachschau im Impressum, in den Datenschutzinformationen und unter „Kontakt“ lieferte keinen Hinweis auf eine Zugangseröffnung. Erst eine intensive Suche ergab einen Zugang über die Elektronische Poststelle, für den man sich eigens registrieren muss. Diese Registrierung wird nur in deutscher Sprache angeboten. Die Registrierung kann über den Personalausweises mit aktivierter eID oder einem Besuch im Bürgerbüro erfolgen.

 

In 9 von 16 Landeshauptstädten ist es möglich signierte Dokumente elektronisch zu übermitteln, ohne weitere Zugänge oder anderes freischalten zu müssen.

Wiesbaden: Anscheinend keine Akzeptanz signierter Dokumente, Suche nach entsprechenden Begriffen und Nachschau im Impressum, in den Datenschutzinformationen und unter „Kontakt“ lieferte keinen Hinweis auf eine Zugangseröffnung.

Schwerin: keine Akzeptanz signierter Dokumente. Der Zugang ist anscheinend nur für De-Mail eröffnet.

Saarbrücken: Signierte Dokumente werden zwar akzeptiert, aber nur wenn der Benutzer eine Software der Stadt Saarbrücken bei sich installiert. Diese Software läuft anscheinend nur unter einem Windows-Betriebssystem, also weder auf Tablets noch auf Smartphones oder anderen Betriebssystemen.

Kiel: Hier werden zwar signierte Dokumente akzeptiert, aber mit einer wesentlichen Einschränkung: „Die Kommunikation per E-Mail und die Übermittlung von elektronischen Dokumenten an die Landeshauptstadt Kiel ist grundsätzlich erwünscht. Sie ist jedoch nicht möglich, wenn die Schriftform vorgeschrieben ist (zum Beispiel formgebundene Anträge oder Widersprüche). In diesen Fällen ist die Papierform zu verwenden. Insofern ist der elektronische Zugang ausdrücklich nicht geöffnet. Dies gilt nur dann nicht, wenn im Rahmen der Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates vom 12. Dezember 2006 über Dienstleistungen im Binnenmarkt ("EG-Dienstleistungsrichtlinie") Schriftstücke, die zur Bearbeitung eine eigenhändige Unterschrift voraussetzen, bzw. die Rechtsfristen in Gang setzen, an die Landeshauptstadt Kiel übermittelt werden sollen. Unter die EG-Dienstleistungsrichtlinie fallen insbesondere diese Dienstleistungen. In diesen Fällen sind die Dokumente mit einer qualifizierten elektronischen Signatur gemäß § 2 Absatz 1 Nr. 2 Signaturgesetz (SigG) zu versehen.“. Somit werden in Kiel signierte Dokumente nur für einen sehr kleinen Teil der Verwaltungskommunikation akzeptiert.

Erfurt: Keine Akzeptanz signierter Dokumente.

Allerdings gibt es hier ein bemerkenswertes Paradoxon: Die Städte, die zumeist behaupten, „aus technischen und organisatorischen Gründen“ keine signierten Dokumente verarbeiten zu können, müssten dies bereits seit langem tun. Nämlich dann, wenn sie Realsteuern verwalten und dort Schriftform angeordnet ist. In diesem Fall ist die Abgabenordnung  nach § 1 Abs. 2 Nr. 3 AO anzuwenden, deren § 87a Abs. 3 und 4 bestimmt, dass Dokumente mit qualifizierter elektronischer Signatur als Schriftformersatz akzeptiert werden müssen. Im Bereich der Standesämter ist ein Austausch von Dokumenten mit qualifizierter elektronischer Signatur vorgeschrieben, so dass die Argumentation „aus technischen und organisatorischen Gründen“ insgesamt wenig stichhaltig erscheint.

Exkurs: Ablauf einer Signatur

  1. Verfassen eines elektronischen Dokuments und Speichern desselben.

  2. Bildung des Hashwertes, h über das Dokument mit einem normierten Algorithmus H, der im Signaturzertifikat auch angegeben wird: h = H(Dokument). Dieser Hashwert hat immer dieselbe Länge, egal wie lang das Dokument selbst ist. Ein einziges geändertes Zeichen im Dokument führt zu einem veränderten Hashwert.

  3. Für die Signatur wird ein sogenanntes asymmetrisches Schlüsselpaar (ö, p) verwendet, das aus einem öffentlichen und einem privaten Schlüssel besteht. „Asymmetrisch“ bedeutet hier, dass die beiden Schlüssel nicht auseinander ableitbar sind, also ohne Gefahr veröffentlicht werden kann.

  4. Signatur des Hashwertes – NICHT des Dokuments – mit dem privaten Schlüssel des Signaturzertifikates. Dies erfolgt vereinfacht gesagt durch Potenzieren des Hash mit p: Sign = hp.

  5. Versand des Dokuments samt der Signatur, d.h. dem signierten Hash-Wert. Das Dokument selbst ist unverschlüsselt.

  6. Empfang des Dokuments durch den Empfänger (oder eine andere Person, welche die E-Mail mitliest).

  7. Neuberechnung des Hashwerts aus dem übersandten Dokument.

  8. Prüfen der Signatur mithilfe des öffentlichen Schlüssels des Senders

  9. Vergleich des selbst errechneten Hashwerts mit dem aus der Signatur. Stimmen die beiden überein, dann

    • Stammt das Dokument vom angegebenen Sender (der als Einziger den privaten Schlüssel besitzt und die Signatur erstellt haben kann)

    • Wurde unterwegs zwar vielleicht von Dritten gelesen, aber ist weder manipuliert noch verändert.

    • Ist die Signatur des Dokuments nicht mehr bestreitbar und, sofern mit einem sicheren Zeitstempel durch die Signaturbehörde versehen, auch mit einer gerichtsfesten Zeitangabe.

Wie wurde die Signaturrichtlinie umgesetzt?

Sämtliche gesetzestechnischen Anforderungen wurden erfüllt, so dass es in Deutschland Zertifizierungsdiensteanbieter gab und gibt und die fortgeschrittene und qualifizierte elektronische Signatur ermöglicht wurde, aber es wurden dabei folgende Dinge nicht umgesetzt bzw. nicht in der Sache erfüllt:

  • Regelung der Signatur von Behörden (Amtssignatur): Es gibt keine elektronische Signatur einer Behörde. So gibt es auch keine z. B. Hochschulzeugnisse in PDF-Format mit einer qualifizierten oder fortgeschrittenen elektronischen Signatur des Rektors oder Dekans, weil dieser über keine Amtssignatur, d.h. sozusagen das „elektronische Amtssiegel“ verfügt. Während dies in anderen Ländern der EU existiert, mangelt es daran in Deutschland wie in den Bundesländern. In Österreich bspw. ist seit dem 1.1.2011 jedes elektronisch gefertigte Dokument mit einer Amtssignatur zu versehen.
  • Berufsgruppenspezifische Signaturen z. B. für Ärzte, Notare u.dgl. sowie geregelte Vertretungsvollmachten: Eine Prokura, eine Vormundschaft u.dgl. sind nicht eingeführt.
  • Prüfstelle: In anderen Ländern gibt es staatlich betriebene Webseiten, bspw. www.signaturpruefung.gv.at, wo die Gültigkeit und Echtheit eines Dokuments mit einer elektronischen Signatur überprüft werden kann. Diese gibt es in Deutschland nach Wissen des Autors nicht, was die Verbreitung der Signatur nicht fördert(e).
  • Nichtbewerbung: Während in anderen Ländern massive Werbekampagnen liefen, Personen beispielsweise mit geringeren Gebühren bei elektronischem Anbringen gegenüber Papieranbringen dazu motiviert wurden, ihre Amtswege mithilfe elektronischer Signaturen (und elektronischer Identitäten) zu erledigen, gab es hierzulande nichts dergleichen. Der Autor ist regelmäßig äußerst verwundert, im Unterricht und bei Vorträgen festzustellen, dass sich auf die Frage „Wer von Ihnen hat bereits einmal ein Dokument elektronisch signiert?“ niemand meldet – sieht man gelegentlich von Standesbeamten ab, die hier eine Ausnahmegruppe bilden.
  • Fehlende Handysignatur: Kartenbasierte Systeme sind, das ist eine Lektion aus der gesamten EU, nicht annähernd so erfolgreich wie die erheblich einfacheren Handysignaturen, die i.W. aus einem Passwort und einer auf das eigene Mobiltelefon per SMS geschickter TAN bestehen. Da sie einfacher zu bedienen sind und vom Online-Banking her das Verfahren bekannt ist, erreichen sie erheblich höhere Penetrationsraten als kartenbasierte Systeme. Eine handybasierte Signatur existiert in Deutschland seit kurzem, aber die Verbreitung scheint naturgemäß noch bescheiden zu sein.  

Fazit: Wo stehen wir nach 20 Jahren Signaturrichtlinie in Deutschland?

Der Rechtsunterworfene hat hierzulande kein Recht, mit Behörden elektronisch zu verkehren. Während bspw. in Österreich am 1.1.2020 der Paragraph 1a des E-Government-Gesetzes mit dem Text „§ 1a. (1) Jedermann hat in den Angelegenheiten, die in Gesetzgebung Bundessache sind, das Recht auf elektronischen Verkehr mit den Gerichten und Verwaltungsbehörden.“ in Kraft tritt, überlässt es der § 3a der vielen Verwaltungsverfahrensgesetze jeder Behörde, ob sie bereit ist, signierte Dokumente als Ersatz der Papierschriftform zu akzeptieren. Die meisten Behörden sind, wie hier für die Landeshauptstädte demonstriert wurde, nicht dazu bereit – und so fristet die qualifizierte bzw. fortgeschrittene elektronische Signatur weiterhin ein Mauerblümchendasein.

Wir erwarten, dass zu vielen Themen unseres Journals bei Ihnen der Wunsch besteht, sich auszutauschen. Daher planen wir eine Kommentarfunktion für unsere registrierten Leser.