Rechtliche Rahmenbedingungen

Rechtsgrundlagen

EU: EU-Signaturrichtlinie

Austria/Österreich:

• Die RTR-Homepage zum Thema elektron. Signatur
• Auf der folgenden Liste finden Sie jene Anbieter, die der RTR Aufsichtsstelle die Erbringung eines Zertifizierungsdienstes angezeigt haben.
• A-SigG
• A-SigV
• e-Government Gesetz
• Rechnungslegungsverordnung
• Positionspapier d. RTR zu Fortgeschrittener Signatur
• Erlass des Bundesministeriums für Finanzen vom 13.07.2005

Germany/Deutschland:

• Die Bundesnetzagentur
• Umsatzsteuergesetz (UStG)
• Umsatzsteuerdurchführungsverordnung (UStDV)
• Signaturgesetz (SigG)
• Signaturverordnung (SigV)
  

Ein paar grundsätzliche Anmerkungen und Empfehlungen:

In Deutschland ist eine elektronisch aufgezeichnete handschriftliche Unterschrift mit SIGNificant eine fortgeschrittene Signatur, weil auch biometrische Daten mit verspeichert werden, die eine Person eindeutig identifizieren. Für alle Vorgänge, für die es keine rechtliche Vorschrift zur Anwendung der Schriftform gibt (gemäß §126a des Bürgerlichen Gesetzbuches) kann digital mit xyzmo-SIGNificant unterschrieben werden.

In Österreich ist eine derartige Abstufung bislang nicht vorgesehen. Daher ist SIGNificant nur eine einfache digitale Signatur. Im Streitfall kann allerdings aufgrund der biometrischen Daten, die bei der Unterschriftsleistung hinterlegt werden, der Nachweis der Echtheit sehr wohl erbracht werden. Damit ist SIGNificant eine laut österreichischem Recht einfache digitale Signatur, die allerdings besonders gute Möglichkeit bietet, die Echtheit der Zeichnung nachzuweisen.

Wir empfehlen, dass die Verwendung einer digitalen Signatur in den allgemeinen Geschäftsbedingungen des Anwenderunternehmens vorgesehen werden. Da im Vertrag befindliche Passi tendenziell stärkere Rechtswirkung entfalten als AGBs, sollte auch in den zu unterzeichnenden Verträgen diese Form der Signatur als ausdrücklich zugelassen ausgewiesen werden.

Wie kann ein Kunde der xzymo SIGNificant im Streitfall die Echtheit einer auf der Lösung SIGNificant aufgezeichneten händischen Unterschrift nachweisen?

Problemgliederung

Eigentlich zerfällt dieses Problem in zwei verschiedene Probleme:

• Ist diese eigenhändige Unterschrift echt, oder anders ausgedrückt: Hat genau Herr/Frau Huber diese Unterschrift geleistet? und
• Hat der Unterschriftsleistende (hier: Herr/Frau Huber) genau dieses Dokument unterschrieben?

Nachweis der Echtheit der Unterschrift

Falls ein Geschäftspartner behauptet, eine konkrete Unterschriftsleistung sei nicht durch ihn erfolgt, so wird typischerweise in einem Zivilprozess der gesamte Geschäftsfall betrachtet. Zusätzlich und völlig unabhängig vom rein technischen Nachweis kann daher das Unternehmen, das SIGNificant einsetzt, Maßnahmen zu einem besseren Nachweis dieses Aktes setzen.

Graphologisches Gutachten

Falls alle anderen Nachweis-Methoden versagen, wird in einem Zivilprozess ein graphologisches Gutachten angestrengt werden. Aufgrund der Genauigkeit der  aufgezeichneten biometrischen Daten soll laut einem vorliegenden Experten-Gutachten dieser Nachweis gut möglich sein.

Dokumentenänderung ist erkennbar

Grundsätzlich kann die Dokumentenintegrität dank digitaler Signatur immer geprüft werden.

Wurde genau dieses Dokument unterschrieben

Bleibt also die Frage, ob das Unternehmen die Unterschrift unberechtigt in dieses Dokument eingebracht hat. Dabei wären folgende Vorgehensweisen der Manipulation denkbar:

• Extrahierung der biometrischen Daten aus einem Adobe PDF – Dokument und Einbringen in ein anderes Dokument.
• Kopie der biometrischen Daten an der Schnittstelle zum Tablett (zB über den Gerätetreiber).

Extrahierung der Daten

Dies ist praktisch unmöglich, weil ohne Private Key kein Auslesen der Daten möglich ist. Vorausgesetzt, dass Unternehmen nicht fahrlässig oder mutwillig handeln, ist daher davon auszugehen, dass diese Unterschriftsdaten nicht aus dem PDF – Dokument extrahiert werden können.

Eingriff in den Gerätetreiber

Ein Eingriff in einen Gerätetreiber ist extrem aufwendig und verlangt Manipulationen, die auch sehr gute Softwareentwickler wochen- oder monatelang beschäftigen würden. Zudem müssten ein oder mehrere Endgeräte, die von Anwendern von SIGNificant benutzt werden, manipuliert werden. Die Täter bräuchten Zugriff auf diese Geräte und müssten dort Veränderungen an der Installation vornehmen. Selbst nach Vorliegen einer extrahierten Unterschrift wäre diese noch nicht verwendbar, weil weitere Sicherheitsmechanismen ihre Nutzung sehr stark einschränken.  

Auch Täter mit beachtlicher krimineller Energie denken meist ökonomisch – aus der Sicht ist nicht vorstellbar, wie sich derartige Manipulationen nutzen lassen könnten. ZB eine Fälschung der Unterschrift auf Papier mittels Kopie etc. ist im Vergleich dazu deutlich einfacher.

Durch die Verwendung spezieller Tablets und dort hardwareseitig verbauter Sicherheitsmechanismen kann dieser Fall auf Wunsch auch völlig ausgeschlossen werden.

Ist es möglich eine übliche Unterschrift auf Papier mit einer elektronischen Unterschrift zu kombinieren?

Definitiv ja! Ein spezielles Tablet (z.B. Wacom Volito Inking Pen) unterstützt diese Art der Unterschriftsaufzeichnung optimal. Es ermöglicht, den Papiervertrag auf das Tablet zu legen und mit einem speziellen Stift mit inkludierter Kugelschreiberspitze so zu unterschreiben, dass einerseits eine unterschriebene Papierversion und andererseits gleichzeitig eine digitale Kopie entstehen. Dabei wird die Unterschrift des Unterzeichners inklusive aller biometrischen Merkmale wie Druck, Geschwindigkeit, Beschleunigung und Schriftwinkel im elektronischen Vertrag verschlüsselt gespeichert.