Die Bundesrechtsanwaltskammer hat 2022 die von der Bundesnotarkammer bereitgestellten beA-Karten gegen neue Karten ausgetauscht. beA-Karten, die mit der Funktion zur Erstellung qualifizierter elektronischer Signaturen (qeS) versehen waren, wurden auf sogenannte Fernsignaturen umgestellt.
Fernsignaturen
Klassisch wird die qeS auf der Signaturkarte oder beA-Karte erstellt. Dazu wird von dem zu signierenden Dokument ein „digitaler Fingerabdruck“ (Hashwert) erzeugt. Wie beim Fingerabdruck ist dieser Wert repräsentativ, und es ist nahezu ausgeschlossen, einen verwechselbaren Wert zu erzeugen. Dieser Hashwert wird in dem auf der Signaturkarte/beA-Karte befindlichen Chip mit einem kryptografischen Verfahren zur qeS. Diese qeS wird dann in das zu signierende Dokument integriert oder diesem als separate Datei (*.pkcs7) beigefügt. Schon unter Geltung des Signaturgesetzes war auch die Erzeugung in besonders gesicherten Umgebungen außerhalb der Signaturkarte zugelassen. Insbesondere in Frankreich und anderen europäischen Ländern ist bereits unter Geltung der Signaturrichtlinie die Fernsignatur präferiert worden. Dabei wird die Signatur in einem Rechenzentrum erzeugt. Je nach angewendeten Verfahren wird entweder die gesamte Datei oder nur der Hashwert ins Rechenzentrum übertragen. Aus Gründen des Datenschutzes ist die Übertragung des Hashwerts vorzuziehen.
Aufgrund der unterschiedlichen Abläufe war es erforderlich, den beA-Client so anzupassen, dass dieser die neuen Fernsignaturen in gleicher Weise erzeugen kann wie bisher die Kartensignaturen und sich die Abläufe für die Anwender nur wenig ändern. Neben dem beA-Client stellte die Bundesrechtsanwaltskammer (BRAK) bisher den Anbietern von Anwaltsprogrammen auch ein sogenanntes Toolkit zur Integration der Funktionen des beA in die Fachprogramme zur Verfügung. Auch hier war ebenfalls eine Anpassung erforderlich, welche die BRAK allerdings nicht selbst vorgenommen, sondern den Herstellern der jeweiligen Programme überlassen hat.
Die Bundesnotarkammer (BNotK) hatte früher der BRAK eigene Signaturkarten für Mitglieder einer regionalen Rechtsanwaltskammer (RAK) zur Verfügung gestellt, die auch das Attribut Rechtsanwalt im Zertifikat enthielten. Diese Karten werden heute als Signaturkarten der BNotK geführt. Die Verträge für diese Karten werden von der BNotK gekündigt, obwohl die Verträge teilweise eine längere Laufzeit haben. Die BNotK verweist darauf, dass die Nutzer mit der neuen beA-Karte im beA-Client signieren können. Dass ihnen dann die zusätzliche Karte fehlt, die bisher als Ersatzlösung bei Problemen mit der beA-Karte fungiert hat, wird dabei übergangen. Auch wird übersehen, dass es auch für Rechtsanwälte Anwendungsbereiche für qualifizierte elektronische Signaturen (qeS) unabhängig vom besonderen elektronischen Anwaltspostfach (beA) gibt.
Fernsignatur bei bestimmenden Schriftsätzen
Schriftsätze auf Papier müssen von der Person, die den Inhalt verantwortet, eigenhändig unterschrieben sein. Im Anwaltsprozess muss die Unterschrift nach § 78 ZPO durch eine zur Anwaltschaft zugelassene Person geleistet werden. Elektronische Dokumente müssen nach § 130a Abs. 3 ZPO mit einer qualifizierten elektronischen Signatur der verantwortenden Person versehen sein. „Diese muss, um einer eigenhändigen Unterzeichnung gleichwertig zu sein, von demjenigen vorgenommen werden, dessen Unterschrift dem Formerfordernis genügen würde“ (BGH, Beschluss vom 21.12.2010 – VI ZB 28/10 –, BGHZ 188, 38–43, Rn. 8). In dieser Entscheidung stellt der BGH weiter fest, dass die Anforderungen jedenfalls dann nicht gewahrt sind, wenn die qualifizierte elektronische Signatur von einer anderen Person unter Verwendung der Signaturkarte vorgenommen wird, ohne dass die verantwortende Person den Schriftsatz inhaltlich geprüft und sich zu eigen gemacht hat.
In den Geschäftsbedingungen der BNotK wie auch auf der Webseite der Zertifizierungsstelle wird darauf hingewiesen, dass die Fernsignaturen durch die BNotK „im Auftrag des Unterzeichners aus der Ferne“ erfolgen. Es ist daher zweifelhaft, ob die Fernsignatur den Anforderungen des BGH an eine wirksame Unterzeichnung eines Schriftsatzes genügt. Die BNotK macht es sich zu einfach, wenn sie auf diese Frage mitteilt, die AGB wären nach Treu und Glauben mit Rücksicht auf die Verkehrssitte auszulegen (§§ 133, 157 BGB), und weiter erklärt: „Danach wäre es ein nachgerade absurdes Auslegungsergebnis, dass die Bundesnotarkammer eine Leistung zu erbringen verspricht, die nicht § 126a BGB und nicht der eIDAS-VO entspricht.“ Technisch wird auch – entgegen der Darstellung der BNotK und BRAK – nicht nur das Zertifikat im Rechenzentrum aufbewahrt, vielmehr wird auch dort die Signatur erstellt. Erwägungsgrund 52 der eIDAS-VO (Nr. 910/2014) verlangt ausdrücklich, dass Fernsignaturen im Rechenzentrum in einer Umgebung, die unter alleiniger Kontrolle des Unterzeichners genutzt wird, erstellt werden müssen. Dazu wird man heute eine Zwei-Faktor-Authentifizierung (2FA) zur Anmeldung sowie eine entsprechende Absicherung im Rechenzentrum verlangen müssen. Wenn in diesem Fall keine eigenständige Definition der Sicherheitsanforderungen vorgenommen wird, wie dies bei der Ende-zu-Ende-Verschlüsselung im beA zeitweise von der BRAK vertreten worden ist, und wenn die verantwortende Person den Schriftsatz eigenständig prüft und sich zu eigen macht, bevor die qualifizierte elektronische Signatur erstellt wird, können die Anforderungen des BGH erfüllt werden. Dann kann auch davon ausgegangen werden, dass die Fernsignatur von der verantwortenden Person ausgelöst und nur technisch im Rechenzentrum erstellt worden ist.
Fernsignaturen bieten für die signierenden Personen Vorteile in der Handhabung. Allerdings sind sie mit dem Nachteil verbunden, dass sowohl die Internetverbindung vorhanden als auch der Dienst im Rechenzentrum verfügbar sein muss. Beide Voraussetzungen können, gerade kurz vor Fristablauf, zum Problem für Anwender werden. In diesem Fall könnte dann die Einreichung durch die verantwortende Person selbst mit eigener sicherer Anmeldung beim beA erfolgen, die nach § 130a Abs. 3 Satz 1 ZPO (oder vergleichbaren Vorschriften anderer Prozessordnungen) mit einer (einfachen) elektronischen Signatur auskommt. Für Verwaltungsverfahren gibt es derartige Regelungen aber nicht. Gegebenenfalls könnte man auf Fax ausweichen, was aber die Übertragungszeit deutlich verlängert und eventuell vor Fristende nicht mehr klappt.
Zertifizierung des Vertrauensdienstes Fernsignatur
Eine kritische Frage ist die Zertifizierung der BNotK als Vertrauensdiensteanbieter für Fernsignaturen. Hintergrund der Problematik ist, dass die eIDAS-Verordnung selbst die Fernsignaturen nicht regelt. Vielmehr werden in der Verordnung elektronische Signaturen, fortgeschrittene elektronische Signaturen und qualifizierte elektronische Signaturen geregelt, wie dies zuvor auch in der Signaturrichtlinie erfolgt war. Lediglich in Erwägungsgrund 52 wird formuliert, dass die „Erstellung elektronischer Fernsignaturen in einer von einem Vertrauensdiensteanbieter im Namen des Unterzeichners geführten Umgebung … aufgrund der vielfältigen damit verbundenen wirtschaftlichen Vorteile ausgebaut werden“ solle. Außerdem ist dort festgehalten, dass die Fernsignaturen rechtlich in gleicher Weise anerkannt werden können wie Kartensignaturen, wenn die Anbieter von elektronischen Fernsignaturdiensten ausreichende Sicherheitsvorkehrungen treffen.
Die Erstellung von Fernsignaturen wird auch von der BNotK als qualifizierter Vertrauensdienst bezeichnet, ist allerdings in der eIDAS-Verordnung nicht definiert. Art. 3 Nr. 16h eIDAS-Verordnung definiert Erstellung, Überprüfung und Validierung von elektronischen Signaturen und Siegeln als Vertrauensdienst. Es wird aber davon ausgegangen, dass diese grundsätzlich vom Unterzeichner oder vom Empfänger als „vertrauendem Beteiligten“ (Art. 3 Nr. 6 eIDAS VO) selbst vorgenommen werden. Überprüfung und Validierung oder Archivierung elektronischer Signaturen durch Vertrauensdiensteanbieter sind in Art. 33 und 34 eIDAS-Verordnung als eigene Vertrauensdienste definiert. Auch die Zustellung elektronischer Einschreiben ist in Art. 43 und 44 eIDAS-VO als Vertrauensdienst beschrieben. Das spricht dafür, dass auch die Erstellung von Fernsignaturen ein qualifizierter Vertrauensdienst ist, der Gegenstand einer Zertifizierung sein müsste und nicht freihändig in eigener Auslegung der entsprechenden ETSI-Standards (ETSI: Europäisches Institut für Telekommunikationsnormen) erfolgen darf.
Die BNotK hat der BRAK Zertifikate von TÜV IT vorgelegt. TÜV IT ist gemäß Art. 20 Abs. 1 eIDAS-VO eine von der Deutschen Akkreditierungsstelle (DakkS) akkreditierte Stelle zur Konformitätsbewertung. TÜV IT bestätigt mit Zertifikat 97133.19 vom 28.01.2021 und Zertifikat 97172.21 vom 25.06.2021 jeweils auf Basis eines Konformitätsbewertungsberichts vom gleichen Tag der BNotK für den Vertrauensdienst „Erstellung von qualifizierten Zertifikaten für elektronische Signaturen mit QSCD“ die Konformität mit der eIDAS-VO. In beiden Zertifikaten wird die Erstellung von qualifizierten elektronischen Signaturen als Fernsignaturen nicht als Vertrauensdienst genannt. Die BNotK hält sich für berechtigt, auf Basis der genannten Zertifikate auch Fernsignaturen in ihrem Rechenzentrum zu erstellen. Sie erklärt der BRAK, dass die „Sicherheit des Vorgangs zur Verwendung der Signaturzertifikate … Bestandteil der Konformitätsprüfung für die Erstellung von qualifizierten Zertifikaten für elektronische Signaturen“ ist. Ob die Erstellung von Fernsignaturen durch die BNotK in deren Rechenzentrum Gegenstand der Prüfung durch TÜV IT gewesen ist, ist aus den von der BNotK vorgelegten Zertifikaten nicht zu erkennen. D-Trust, ein anderer qualifizierter Vertrauensdienstanbieter und Unternehmen der Bundesdruckerei, bietet ebenfalls qualifizierte elektronische Signaturen als Fernsignaturen an. D-Trust wurde von TÜV IT das Zertifikat 97157.21 vom 13.09.2022 für den Dienst „D-TRUST remote signature service (sign-me)“ als Vertrauensdienst für die Erstellung von qualifizierten elektronischen Zertifikaten erteilt. Ein vergleichbares Zertifikat für den Vertrauensdienst „Erstellung von Fernsignaturen“ hat die BNotK nicht. Sie erklärt zu dem Zertifikat 97172.21 vom 25.06.2021: „Dieses wurde anlässlich der Einführung des neuen Fernsignaturdienstes erstellt und bestätigt die korrekte Implementierung der Zertifikate samt Signaturerstellungseinheit im Prozess der Bundesnotarkammer. … In einem gesonderten Audit-Report, welcher der Bundesnotarkammer vorliegt, wird zudem die Konformität mit den einschlägigen ETSI-Standards bescheinigt.“ Mit der „Implementierung der Zertifikate samt Signaturerstellungseinheit“ ist aber schon vom Wortlaut her nicht der Prozess der Erstellung einer Fernsignatur bestätigt. Vielmehr erfolgte diese Bestätigung nur anlässlich der Einführung des Fernsignaturdienstes. Auch ist nicht erklärt, welche genauen Vorgänge mit welchen ETSI-Standards als konform bescheinigt werden.
Geht man mit der BNotK davon aus, dass lediglich die Erstellung von qualifizierten Zertifikaten für elektronische Signaturen, nicht aber die Erstellung von qualifizierten elektronischen Signaturen im Rechenzentrum als Fernsignatur Gegenstand der Zertifizierung sein muss, hätte dies erstaunliche Konsequenzen. Dann könnten nämlich auch andere qualifizierte Vertrauensdiensteanbieter, vielleicht sogar Notare, Rechtsanwälte oder sonstige Personen, Fernsignaturen anbieten. Das ist sicher nicht im Sinne der eIDAS-Verordnung und des deutschen Prozessrechts. Damit besteht die erhebliche Gefahr, dass im Wege der Fernsignatur erstellte qualifizierte elektronische Signaturen von deutschen Gerichten nicht als qualifizierte elektronische Signaturen im Sinne von § 130a Abs. 3 ZPO und § 126a BGB akzeptiert werden. Dieses Risiko ist durchaus erheblich und darf nicht auf die leichte Schulter genommen werden. Jedenfalls reicht die bisherige Dokumentation der BNotK nicht, um das Risiko auszuschließen.
Um keine Unsicherheiten zu verbreiten, wäre es besser gewesen, BRAK und BNotK hätten vor Einführung der neuen beA-Karten mit Fernsignatur Vorsorge getroffen, ein solches Risiko zu vermeiden. Alternativ hätte man den Anwendern die Möglichkeit geben können, anstelle der neuen beA-Karten mit Fernsignatur weiterhin mit klassischen Signaturkarten zu arbeiten. Es ist nämlich technisch möglich, sich mit einer Signaturkarte beim beA anzumelden und alle Funktionen zu nutzen.
