R.I.P.: Die rechtsverbindliche digitale Signatur (Teil 2)

eBürokratie, Fundbüro, ID, IT, Security,

[Teil 1 – Teil 2 – Teil 3Teil 4]

Ich hatte vor einem halben Jahr bereits verhalten gejubelt. Anlass war damals die Meldung, dass Kommunen in ihren eVerwaltungs-Angeboten auf den Zwang zur digitalen Signatur verzichten wollen, damit die Bürger diese Dienste auch nutzen. Jetzt fragt Sascha Kremer in seinem Blog rhetorisch: »Qualifizierte Signaturen: zum Scheitern verurteilt?« und weist sogleich auf das für Juristen offensichtlichste Problem dieser Technik hin:

»Tatsächlich schafft der Verbraucher mit der via qualifizierter elektronischer Signatur sicheren und vielleicht sogar verschlüsselten elektronischen Kommunikation zunächst einmal einen Beweistatbestand gegen sich selbst. Und genau das ist es, woran der Verbraucher weder im E-Commerce noch im Web 2.0 Interesse hat.«

Mein Reden seit Jahren und übrigens exakt der Grund, aus dem ich höchst selten E-Mail signiere. Der Rest seines Textes ist auch äußerst lesenswert, eine knappe, aber gute Analyse der Situation.

Der Begriff der digitalen Signatur ist in der IT-Sicherheit doppelt besetzt, das macht die Diskussion zuweilen schwierig. Zum einen handelt es sich um ein technisches Konzept. Als solches sind Signaturen ein nützlicher und funktionierender Baustein vieler Sicherheitslösungen. Zum anderen gibt es das Rechtskonstrukt der qualifizierten und damit rechtsverbindlichen Signatur, die auf diesem technischen Konzept beruht und allerlei Randbedingungen für dessen Anwendung festschreibt. Dieses Rechtskonstrukt hat mit IT-Sicherheit bis auf die gemeinsame technische Basis recht wenig zu tun.

IT-lern und Sicherheitskollegen erkläre ich den Mismatch zwischen Problem und Lösung gerne wie folgt: Die digitale Signatur kann Rechtsverbindlichkeit schaffen. Rechtsverbindlichkeit brauchen wir genau dort, wo Meinungsverschiedenheiten in der Sphäre des Rechts aufzulösen sind. Wenn es aber dazu kommt, dann handelt es sich entweder um einen Disput, der mit der Sicherheit oder Unsicherheit der Technik nichts zu tun hat, oder aber die (Sicherheits-)Technik hat auf irgendeine Weise versagt. In keinem dieser beiden Fälle löst die Rechtsverbindlichkeit als zusätzliches Merkmal der Signatur ein Problem der IT-Sicherheit.

Wer ein Sicherheitskonzept entwirft und implementiert, dessen Aufgabe besteht darin, technisch und organisatorisch dafür zu sorgen, dass sich Unerwünschtes nur in einem akzeptablen Umfang ereignet und ereignen kann. Gelingt das, so braucht man keine Gerichte mehr, um den Rest aufzufangen. Gelingt es nicht, so hat man sein Problem jedenfalls nicht mit Mitteln der IT-Sicherheit gelöst. Oder kürzer ausgedrückt, die Technik muss für die Nutzer funktionieren und real existierende Angreifer abwehren. Und wenn die Technik funktioniert, dann braucht man keine formale Rechtsverbindlichkeit, nicht mal vor Gericht.