Elektronische Signatur und digitaler Vertragsschluss
Wenn man an Verträge denkt, kommen einem zunächst Erklärungen in Papierform mit einer beinahe malerischen Unterschrift in den Sinn. Schnell wird dann aber auch klar, dass diese Zeiten längst der Vergangenheit angehören oder zumindest nicht mehr der Regel entsprechen. Denn für einen Vertrag gilt grundsätzlich die Formfreiheit. Daraus resultiert, dass mit jeder Bestellung im Online-Handel ein (regelmäßig wirksamer) Kaufvertrag einhergeht, obwohl dieser „nur“ per Tastenklick oder per Mail geschlossen wurde. Trotzdem ist es nach wie vor oftmals von Vorteil, einen „handfesten“ Vertrag – zugunsten der Nachweisbarkeit und der Dokumentation des Inhalts – zu schließen. Für einige Vertragstypen (etwa Verbraucherdarlehensvertrag oder teilweise befristete Mietverträge) ist die Schriftform nach wie vor sogar zwingend.
Insbesondere für diese gilt es demnach digitale Substitute zu implementieren. Der Gesetzgeber ist dieser Anforderung durch den Einsatz elektronischer Signaturen nachgekommen.
Verschiedene Arten elektronischer Signaturen
Europaweit existieren verschiedene Arten elektronischer Signaturen mit ebenso verschiedenen Sicherheitsstufen. Sie sind in der eIDAS-VO geregelt. Diese unterscheidet zwischen der (einfachen) elektronischen Signatur, der fortgeschrittenen elektronischen Signatur und der qualifizierten elektronischen Signatur.
Einfache elektronische Signatur
Die einfache elektronische Signatur findet sich in Art. 3 Nr. 10 eIDAS-VO wieder. Für diese Art von Signatur ist es ausreichend, dass Daten in elektronischer Form anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden, die der Unterzeichner zum Unterzeichnen verwendet. Was zunächst kompliziert klingt, ist eigentlich einfach zu erreichen. Denn für eine elektronische Signatur ist es bereits ausreichend, dass eine eingescannte Unterschrift oder ein mit Namen unterzeichnete E-Mail verschickt wird. Aufgrund dieser niedrigen Anforderungen ist die einfache elektronische Signatur jedoch alles andere als fälschungssicher. Deshalb befindet sie sich hinsichtlich der Sicherheit auch auf der untersten Stufe.
Fortgeschrittene elektronische Signatur
Gemäß Art. 3 Nr. 11, Art. 26 eIDAS-VO muss die fortgeschrittene elektronische Signatur derartig ausgestaltet sein, dass sie eindeutig dem Unterzeichner zugeordnet werden kann und dessen Identifizierung möglich ist. Dementsprechend ist eine Verwendung elektronischer Signaturerstellungsdaten (Art. 3 Nr. 13 eIDAS-VO), die mit der Signatur verbunden werden, notwendig, sodass eine nachträgliche Datenveränderung erkannt werden kann. Zusätzlich muss sichergestellt werden, dass die Signaturerstellungsdaten mit hinreichender Sicherheit unter alleiniger Kontrolle des Unterzeichnenden stehen. Das heißt, dass der Unterzeichnende über einen geheimen, privaten und ihm zugeordneten Schlüssel verfügen muss, mit welchem der entsprechende Vertrag verschlüsselt werden kann. Ein solcher Schlüssel kann beispielsweise über ein Software-Zertifikat generiert werden. Hat ein Vertragspartner sodann die Signatur geleistet und das Dokument verschlüsselt, kann der andere Teil nachvollziehen, ob das Dokument verändert wurde.
Aufgrund der technischen Voraussetzungen wird die fortgeschrittene elektronische Signatur von sogenannten Vertrauensdiensteanbietern „aus der Ferne“ durchgeführt. Obwohl die Anforderungen wesentlich höher sind als bei der einfachen elektronischen Signatur, gilt sie dennoch nicht als manipulationssicher. Sie bildet somit die mittlere Stufe im Sicherheitsgebilde.
Qualifizierte elektronische Signatur
Die Verwendung einer qualifizierten elektronischen Signatur bietet den höchsten Sicherheitsstandard. Gemäß Art. 3 Nr. 12 eIDAS-VO muss diese Form der Signatur die Anforderungen der fortgeschrittenen elektronischen Signatur erfüllen und zusätzlich von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt worden sein sowie auf einem elektronischen Signaturzertifikat beruhen. Für eine Signaturerstellungseinheit sind dabei Hardware- und Softwarelösungen zulässig. In der Praxis haben sich aber vor allem Signaturkarten mit entsprechenden Lesegeräten durchgesetzt.
Das Signaturzertifikat muss im Unterschied zur fortgeschrittenen elektronischen Signatur von staatlich anerkannten Vertrauensdiensteanbietern (sog. qualifizierten Vertrauensdiensteanbietern) ausgestellt worden sein.
Die hohen Anforderungen bieten auf der einen Seite zwar ein hohes Maß an Sicherheit. Auf der anderen Seite gehen mit der Implementierung qualifizierter elektronischer Signaturen hohe Kosten einher. Auch deshalb gilt das Verfahren für den Vertragsabschluss zwischen Unternehmern und Verbrauchern bislang als eher ungeeignet. Das populärste Anwendungsbeispiel ist das besondere elektronische Anwaltspostfach (beA) der Bundesrechtsanwaltskammer.
Aufgrund der hohen (Hardware-)Anschaffungskosten spielen Fernsignaturverfahren eine größere Rolle. Dafür ist die Identifizierung des Unterzeichnenden erforderlich. Außerdem müssen jegliche Prozesse der Drittanbieter spezielle technische Sicherheitsverfahren anwenden und nachweisen. Insofern hat die zuständige Bundesnetzagentur bisher nur das „sign-me-Verfahren“ der Bundesdruckerei und das PostIdent-Verfahren der Deutsche Post AG als hinreichend sicher anerkannt.
Auswirkungen auf den Vertragsschluss
Die maßgeblichen Regelungen für elektronische Signaturen finden sich in den §§ 126 ff BGB. Danach kann statt einer gesetzlich angeordneten Schriftform auch die qualifizierte elektronische Signatur verwendet werden. Eine einfache elektronische Signatur ist hingegen etwa ausreichend, sofern die Parteien für die Abgabe rechtsgeschäftlicher Erklärungen die elektronische Form vereinbart haben (§ 127 III BGB).