eGovernment-Blog

Für die Massensigntur (z.B. von Ausgangsrechnungen oder von Eingangsdokumenten) ist es nicht praktikabel, wenn für die Sigantur jedes einzelnen Dokumentes die PIN am Kartenlesegerät eingegeben werden muss. Es haben sich verschiedene Verfahren entwickelt, die ein Zwischenspeichern der Authentifikationsinformationen ermöglichen (siehe auch
http://egov-blog.blogspot.com/2005/09/fr-massensignatur-muss-die.html).

Es gibt dazu mehrere Lösungsansätze.

Ein Ansatz schreibt beispielsweise die PIN dauerhaft in Windows-Registrierung. Damit reduziert sich die Qualität einer qualifizierten elektronischen Signatur erheblich und hat – sofern überhaupt – nur noch das Niveu einer fortgeschrittenen elektronischen Sigantur, da der Sigantur-Anwender nicht mehr alle Mittel zu Sigantur-Erzeugung unter seiner alleinigen Kontrolle hat. Von einem solchen Verfahren ist daher prinzipiell abzuraten bzw. zum Einsatz von echten fortgeschrittenen Signaturen anstelle der qualifizierten Signatur zu raten, wenn diese für den konkreten Einsatzzweck ausreicht.

Bei anderen Lösungsansätzen über ein Caching der Software wird die PIN nicht auf dem Tastenfeld des Kartenlesers eingegeben, sondern über die Tastatur des Computers. Sie wird dann von der Software ausgelesen und zwischengespeichert. Auch dieses Verfahren reduziert kann die Sicherheit stark reduzieren. Muss man doch durch andere technische Maßnahmen sichergestellen, dass nicht andere Programme, die ebenfalls auf dem Computer installiert sind die Erfassung der PIN und deren Zwischenspeichern abhören und somit unbemerkt im Hintergrund Siganturen erzeugen, sobald der Benutzer seine Karte in den Kartenleser einsteckt. Vor dem Hintergrund der zunehmenden Bedrohung durch Malware und Rootkits ist diese Sicherheit auf Computern, die im normalen Bürobetrieb verwendet werden, nur mit entsprechendem Spezialistenwissen sicherzustellen. Ob dann aber ein Prüfer diese Absicherung als gleichwertig anerkennen kann, bleibt offen. Zu Bedenken ist hier das Risiko, das in einer nachträglichen Beanstandung des Verfahrens liegt! Im Falle der Signatur im Rechnungsverfahren müssten vielleicht alle Rechnungsempfänger die Vorsteuer noch nachträglich an das Finanzamt abführen, was zu einem erheblichen finanziellen Schaden führen kann.

Empfehlenswert wäre vielmehr der Ansatz, dass per PIN-Eingabe am Tastenfeld des Kartenlesegerätes die Signatur-Karte für mehrere Signaturvorgänge freigeschaltet wird. (Es gibt auch den Ansatz, die Siganturkarte für eine gewisse Zeitdauer freizuschalten.) Bei einem solchen Verfahren besteht nicht die Möglichkeit, die PIN auszuspähen und mit dieser unbemerkt Signaturen zu erzeugen. Da der Kartenleser bei diesem Verfahren exklusiv gesperrt wird, ist es auch nicht möglich dass eine andere Software auf die freigeschalteten Signaturvorgänge zugreift. Dies ist erst dann wieder möglich, wenn die Signaturvorgänge beendet oder abgebrochen wurden.

Werden Outsourcing- Entscheidungen ausschließlich nach Kostengesichtspunkten getroffen, läuft die Organisation Gefahr, strategische Potenziale durch kurzfristige Optimierungen zu verschenken. Diese grundlegende Tatsache kann man von den unterschiedlichsten Unternehmen als Beratungsleistung einkaufen. Was bedeutet sie in der Praxis?

Ein Praxis-Beispiel liefert die Media-Saturn- Gruppe. Hier war nicht die mögliche Kosteneinsparung der Antrieb für die Auslagerung von IT- Dienstleistungen an HP. Vielmehr benötigte man freie DV-Ressourcen für die Konzentration auf wertschöpfende Aktivitäten, die aus dem auf Expansion ausgerichteten Geschäft resultierten. Der reine Betrieb der Server wurde an HP ausgegliedert, das stark wachsende Online- und E-Commerce- Geschäft verblieb in der Organisation. Damit war auch der Erhalt der strategischen Kernkompetenz verbunden.

Das Beispiel der Media-Saturn- Gruppe ist vor allem auch deshalb sehr schön, weil hier die strategische Kernkompetenz in der Organisation erhalten blieb. Dies würde es (theoretisch) ermöglichen, die ausgelagerten IT- Dienstleistungen wieder in die Organisation einzugliedern. Einen solchen Trend hat Gartner bereits jetzt für die nahe Zukunft prognostiziert. Natürlich liegt es nahe, Outsourcing- Entscheidungen regelmäßig zu überprüfen und die Make-or-Buy- Entscheidung neu zu treffen. Voraussetzung ist allerdings, dass mit dem ursprünglichen Outsourcing nicht die notwendige Kompetenz verloren gegangen ist. Hat ein solcher Kompetenzverlust stattgefunden, müsste die Organisation beim Insourcing wieder von vorn anfangen. Deshalb ist die Media-Saturn-Gruppe ein gutes Beispiel. Hier wurde die Kompetenz nicht grundsätzlich aufgegeben.

Im Regelfall des Insourcing sind aufbau-organisatorische Veränderungen (z.B. Schaffung einer neuen internen Einheit, die die Dienstleistungen zukünftig erbringt, neue Management-Strukturen und Entscheidungswege) ebenso notwendig, wie die Rücküberführung von technischer Ausstattung und Infrastruktur (z.B. Server, Rechner, Netzwerke).

In Unternehmen bei denen mit dem Outsourcing die IT- Kompetenz (z.B. durch Übergang der Mitarbeiter an den IT- Dienstleister) verloren gegangen ist, baut sich für die Zukunft bei der Überprüfung von Outsourcing- Entscheidungen die nächste Hemmschwelle auf. Es müssen die Kompetenzen identifiziert werden, die für die Erbringung der einzugliedernden IT- Dienstleistungen notwendig ist. Anschließend sind daraus Rollen abzuleiten und entsprechenden Mitarbeiter zuzuweisen. Dies ist allerdings gerade im öffentlichen Bereich nicht unproblematisch.

Es empfiehlt sich daher bereits im Vorfeld einer Outsourcing- Entscheidung besonders für die öffentliche Verwaltung das Zukunfts-Szenario „Outsourcing war gestern“ zu planen.

Im Bereich der Infrastruktur sieht Forrester bereits heute Microsoft als Marktführer an[2]. Doch, wer hat es in der Praxis schon bemerkt? Oft wird an den alt bekannten Lieferanten festgehalten, ohne dass diese Geschäftsbeziehung vor den aktuellen Marktentwicklungen reflektiert wird.

Es sind aber in der Tat nach Forrester auch die günstigen Einstandskosten, die zur Marktführerschaft von Microsoft beitragen. Für wenige Euro sind Entwicklungslizenzen des SQL-Server erhältlich und Lizenzen für den Produktionsbetrieb sind für wenige tausend Euro zu haben. Für Produkte anderer Hersteller ist oft mehr als das hundertfache zu bezahlen.

Hier begegnet man aber häufig Aussagen, wie: „Wird sind mit unserer unternehmensweiten Lizenz bis unter die Decke mit Produkt XYZ von Hersteller ABC lizenziert. Die Lizenzmodelle und Preise von Microsoft interessieren und nicht!“ Wenn man das Nachdenken einstellt, lebt es sich einfacher.

Der SQL-Server ist nach Messungen des non-profit Transaction Processing Performance Council (TCP) bei Datenvolumen von 100GB bezüglich der Performance führend[6]. Bei größeren Datenvolumen von 300GB und 1.000 GB liegt diese Datenbank bezüglich der Leistung auf nahezu gleichem Niveau wie Produkte von IBM und Oracle. Nimmt man nicht die absolute Performance als Maßstab, sondern das Verhältnis von Preis und Leistung, so ist der SQL Server sowohl bei 100 GB, als auch bei 300 GB und 1000 GB führend. Lediglich bei 3000 GB wird sie von der IBM DB2 auf Platz 2 verwiesen[4]. (Für 10.000 GB liegen bei TCP keine Messungen des SQL-Servers vor.)

Nun ist ein SQL-Server für sich genommen noch kein Data Warehouse. Generell kann man ein Data Warehouse aber nirgends von der Stange kaufen. Schon gar keines für die Träger öffentlicher Aufgaben, wie beispielsweise gesetzliche Unfallversicherung in Deutschland.

Integrierte Entwicklungsumgebung inkl. .NET-Anbindung sind herausstechendes Merkmal der Microsoft-Infrastrkturkomponenten und vor allem auch des SQL-Servers. Er bringt mit den SQL Server System Ingeration Services (SSIS) ein vollwertiges und integriertes ETL-Werkezug und mit den SQL Server Analysis Services (SSAS) eine führende OLAP-Datenbank mit. Dies ermöglicht eine hohe Produktivität der Entwickler und die einfache Administration der Entwicklungsumgebung, bei gleichzeitig beeindruckender Performance des Beladeprozesses und Integrationsmöglichkeiten in Office und andere Produkte.

Doch nicht nur die Entwicklungsumgebung ist auf hohe Leistungsfähigkeit und gute Integration ausgerichtet. Das Windows Server System, die .NET-Plattform, der SQL-Server, Sharepoint Portal Server, Biztalk Server und zukünftig Windows Vista bilden eine gemeinsame technologische und abgestimmte Plattform.

Für die Microsoft-Produkte ist Berater- und Entwickler-Know How am Markt bereit verfügbar. Hier spielt die Leistungserbringung durch Partnerunternehmen eine bedeutende Rolle, von der Kunden auch durch günstige Tagessätze profitieren können. Dies bringt Microsoft beispielsweise das Lob von Forrester ein [3].

Wer garantiert aber, das das auch in Zukunft so sein wird? Als Indikatoren spricht hierfür, dass Microsoft den SQL-Server als zentrales Element in das Windows-Betriebssystem integriert. Für die nächste Vista-Version von Windows war bereits angekündigt, das alte Filesystem durch eine auf dem SQL-Server basierende Lösung zu ersetzen. Auch wenn diese Pläne zunächst zurück gestellt worden sind, wird der SQL-Server in absehbarer Zeit innerhalb der Microsoft-Produkte eine strategische Rolle einnehmen. Dies ist die Garantie dafür, dass er kontinuierlich weiterentwickelt wird. Damit einher geht auch, dass dieses Produkt stets zu der Spitzen-Gruppe der führenden Datanbanksysteme gehören wird. Die .NET-Plattform ist die Zukunft für alle Office-Anwendungen und wird damit ebenfalls überlebenswichtiges Element für Microsoft selbst, so dass ihre Weiterentwicklung als gesichert angesehen werden kann.

Um das Data Warehouse Know How und die Technologie und Microsoft kauft nicht etwa die etablierten Unternehmen, wie etwa BusinessObjects – obwohl dies für Microsoft durchaus möglich wäre. Es werden verhältnismäßig junge und sehr innovative Unternehmen gekauft, wie beispielsweise ProClarity[1].

Soweit zu den Argumenten, die dafür sprechen den Einsatz von Microsoft-Produkten auch für das Data Warehouse zu prüfen.

Ihren Weg werden die Microsoft-Produkte in der Regel über die Fachabteilungen in das Unternehmen oder die Organisation finden. Office und Windows sind dort etablierte Werkzeuge. Mit zukünftigen Office-Versionen (z.B. Excel2007) wird die bisher fehlende Integration von Data-Mining- und Reporting-Tools mit der Präsentationsschicht im Office-Frontend geschlossen.

Schleichenden Einzug halten Microsoft-Produkte für das Back-Office im Rechenzentrum bereits heute über Anwendungen zur Zeiterfassung oder Kantinenabrechnung. In großen Rechenzentren sind daher bereits heute mehrere Dutzend SQL-Server im Einsatz. Gegen den strategischen Einsatz wehren sich aber Betriebsabteilungen häufig, da sie sich beispielsweise in der Rechenszentrum-zentrierten Strategie einer IBM besser aufgehoben fühlen.

Das Budget für den Rechenszentrumsbetrieb und die Entwicklung neuer Anwendungen kommt aber aus den Fachabteilungen. Daher wird auf Dauer gegen die Fachabteilungen kein Widerstand möglich sein. Wie, um hierfür den Beweis erbringen zu wollen, wird Microsoft eine halbe Milliarde Dollar in Marketing investieren, um IBMs Macht zu brechen [3]. Dies zeigt auch deutlich, dass sich Microsoft nicht mit Data Warehouse-Zwergen wie SAS, Cognos, Business Objects und Hyperion messen muss. Sie sind keine ernst zu nehmende Konkurrenz für einen Konzern wie Microsoft.

[1] Microsoft übernimmt Business-Intelligence-Spezialisten ProClarity: http://www.heise.de/newsticker/meldung/71648

[2] Microsoft glänzt bei Infrastrukturplattformen: http://www.netigator.de/netigator/live/fachartikelarchiv/ha_artikel/powerslave,id,30659392,obj,CZ,np,archiv,ng,,thes,.html

[3] Microsoft attackiert IBM über Fachabteilungen http://www.netigator.de/netigator/live/fachartikelarchiv/ha_artikel/powerslave,id,30657519,obj,CZ,np,archiv,ng,,thes,.html

[4] Top Ten TPC-H by PerformanceVersion 2 Results http://www.tpc.org/tpch/results/tpch_perf_results.asp

[5] Top Ten TPC-H by Price/Performance Version 2 Results http://www.tpc.org/tpch/results/tpch_price_perf_results.asp

Tatsächlich werden Betriebsärzte zukünftig nicht auf die auf der Gesundheitskarte hinterlegten Daten zugreifen dürfen. Unter der Überschrift „Ist der Datenschutz gewährleistet?“ liest man in einer FAQ des BMSG:

„Verwendungsverbot: Nicht Zugriffsberechtigte dürfen vom Versicherten nicht verlangen, Zugriff auf die Daten der Gesundheitskarte zu erhalten; ein solches Verlangen darf mit den Versicherten auch nicht vereinbart werden; dies gilt auch für Zugriffsberechtigte, die den Zugriff zu anderen als Versorgungszwecken verlangen (Bsp.: Betriebsarzt)“
(Link: http://bmgs.bund.de/deu/txt/themen/gesundheit/faqs/index.php?#question488)

Einmal ganz abgesehen von der Brisanz, der Aussage, das Betriebsärzte Zugriff zu anderen Zwecken, als Versorgungszwecken benötigen, bedeutet die für die Anbindung von Softwareanwendungen die den Betriebsarzt bei seiner Arbeit unterstützen, das eine Integration mit der Gesundheitskarte nicht möglich ist.

Für die Kommunikation mit niedergelassenen Kollegen, für die Dokumentation der Diagnosen, für Arztbriefe und Bescheinigungen die im Rahmen der Tätigkeit des Betriebsarztes erfolgt, muss eine parallele Infrastruktur geschaffen werden. In der Praxis bedeutet dies, dass man auf das Medium Papier weiterhin angewiesen ist.

Der Zentrale Kreditausschuss (ZKA) hat Sicherheitsklassen für Chipkarten Lesegeräte festgelegt, nach denen sich die Sicherheit der Datenübertragung zwischen Gerät und Chipkarte einteilen lässt. Eine entsprechende Quelle auf dem Webserver der ZKA ist aber nicht zu finden.
In verschiedenen Quellen (z.B. Glossar der Firma REINER Kartengeräte GmbH und Co. KG, einem White Paper der Firma DATEV oder der Initiative Geldkarte e.V.) finden sich folgende Erläuterungen:

• Geräte der Sicherheitsklasse 1 ermöglichen die Kommunikation mit der Chipkarte und verfügen über keine eigene Tastatur und kein Display. Sie verwenden deshalb die Tastatur und den Bildschim des PC, für die PIN-Eingabe und die Darstellung der zu signierenden Daten. Sie lassen es daher prinzipiell zu, dass die Daten nach der Eingabe durch den Benutzer auf dem Weg vom PC zur Chipkarte ausgespäht werden. Ebenso ist denkbar, dass die angezeigten Daten auf dem Weg zur Chipkarte manipuliert werden. Viele einfache Chipkartenleser fallen in diese Klasse.


• Die Sicherheitsklasse 2-Geräte schützen die Chipkarte vor Angriffen, indem die Daten (z.B. die PIN) direkt über eine Tastatur am Lesegerät oder aus der Verbindung der PC-Tastatur mit dem PC an die Chipkarte übertragen werden. Dadurch gelangen die Daten ohne Umweg über den PC direkt zur Chipkarte. Manipulationen (z.B. durch Viren oder trojanische Pferde) sind nicht möglich.


• Verfügen die Chipkartenleser (in Sicherheitsklasse 3) über eine Tastatur und ein Display, können die Daten nicht nur direkt eingegeben, sondern auch zu signierende Daten zur Überprüfung noch einmal dargestellt werden. Dadurch kann der Benutzer prüfen, dass seine Eingaben nicht verfälscht wurden und die richtigen Daten signiert werden.


• Für Chipkartenleser der Klasse 4 ist darüber hinaus ein personalisiertes Sicherheitsmodul mit RSA-Funktionen vorgesehen. Dadurch wird der Nachweis für den Kommunikationspartner erbracht, dass es sich um einen Kartenleser der Klasse 4 handelt. Dies wird durch eine zusätzliche Signatur realisiert, die das Sicherheitsmodul des Kartenlesers über die jeweiligen Daten berechnet. Die Einbettung der Kartenlesersignatur in die Anwendung erfolgt durch anwendungsspezifische Zusatzfunktionen im Leser.

Das White Paper der Firma DATEV (http://www.rak-koeln.de/index.php?index=341&download=1&id=367) enthält eine Liste von Kartenlesegeräten und deren Sicherheitsklassen. Darüber hinaus wird von der Initiative Geldkarte e.V. auch auf Kartenlesegeräte für Chip-Karten eingegangen.

Bei Massensignaturverfahren ist ein PIN-Caching auf der Chipkarte erforderlich, wodurch der Zugriff auf die geschützten Bereiche der Smart Card freigeschaltet wird. Dadurch ist nicht mehr für jede zu erzeugende Signatur eine separate PIN-Eingabe notwendig.

Der elektronische Heilberufeausweis (eHBA oder engl. eHPC, Electronic Health Professional Card) der im Rahmen des Projektes „Elektronische Gesundheitskarte“ (eGK) eingeführt wird, soll es zukünftig allen Angehörigen eines Heilberufs ermöglichen, auf die vom Patienten durch Eingabe einer PIN freigeschalteten sensiblen medizinischen Daten der eGK zuzugreifen. Dann stehen ihnen Notfalldaten, wie Blutgruppe, Grunderkrankungen, Allergien usw. zur Verfügung. Darüber hinaus kann auf weitere Inhalte, wie elektronische Arztbriefe, Befunde, Diagnosen und vom Patienten hinterlegte Informationen (Patientenverfügung), zugegriffen werden.

Zu diesem Zweck ist der eHBA u.a. mit einer qualifizierten elektronischen Signatur ausgestattet, mit der der Inhaber nach Freischaltung durch PIN elektronische Arztbriefe, elektronische Rezepte und Befunde signieren, kann. Gleichzeitig können diese elektronischen Dokumente für den Transport zu zentralen Servern, auf denen solche Informationen abgelegt werden, die im Speicher der eGK - der voraussichtlich auf 32 oder 64 KB begrenzt ist - keinen Platz mehr finden.

Der eHBA wird in einem ersten Schritt an Ärzte und Apotheker ausgegeben. In einer weiteren Stufe ist vorgesehen auch weiteren Berufsgruppen, wie Physiotherapeuten und Hebammen hinzukommen, die dann abgestufte Zugriffsrechte haben.

Interessant ist, dass in diesem Zusammenhang auch über Varianten des eHBA nachgedacht wird, die anstelle der qualifizierten elektronischen Signatur über eine fortgeschrittene elektronische Signatur verfügen und somit nicht zwingend einer Person zugeordnet werden müssen. Dadurch kann die Karte an Mitarbeiter von Krankenhausabteilungen ausgegeben werden, die dann delegationsfähige Aufgaben (z.B. Bestellungen) durchführen.

Weitere Informationen zum elektronischen Heilberufeausweis für Ärzte in Form des „Elektronischen Arztausweises“ finden Sie hier bei der Bundesärztekammer.

Bemerkenswert ist in diesem Zusammenhang, die folgende Auskunft des Bundesministeriums für Gesundheit und Soziale Sicherung. Auf Anfrage teile das Ministerium mit, dass Betriebsärzte eine Sonderstellung einnehmen, da „sie nicht an der medizinischen Versorgung der Bevölkerung im engeren Sinne teilnehmen. Für einen Zugriff auf mittels der elektronischen Gesundheitskarte gespeicherte Daten ist aber nach den gesetzlichen Vorschriften immer unabdingbare Voraussetzung, dass dies für die medizinische Versorgung der Versicherten erforderlich ist“ (Freundliche Auskunft des BMGS, Projektgruppe Telematik - Gesundheitskarte, per eMail am 01.09.2004).



Entwickelt man IT-Systeme, die Betriebsärzte in ihrer Arbeit unterstützen ergibt sich somit das Problem, dass der Betriebsarzt nicht auf die auf der Gesundheitskarte gespeicherten Daten zugreifen darf. In der Regel verfügt ein Betriebsarzt jedoch über einen eHBA. Denn lt. Bundesärztekammer erhalten ihn „auf Antrag alle approbierten Ärztinnen und Ärzte. Hierfür wird es in Zukunft ein spezielles Antrags- und Registrierungsverfahren geben, welches zur Zeit im Rahmen des Projekts Elektronischer Arztausweis entwickelt wird.“ Allerdings wird dieser von Betriebsärzten nicht im Geltungsbereich des SGB V, d.h. der Gesetzliche Krankenversicherung, und hier genauer des § 219a (5) SGB V eingesetzt - so auch die Auskunft des BMGS.

Die Zusammenarbeit mit niedergelassenen Ärzten, die in ihrer Praxis im Auftrag eines Betriebsarztes Untersuchungen (z.B. nach dem berufsgenossenschaftlichen Grundsatz G 20.3 u.a.) durchführen, bleibt somit an Papier gebunden oder muss auf alternative Techniken der elektronischen Kommunikation ausweichen.

Zusammenfassend kann man feststellen, dass dadurch, dass Betriebsärzte keinen Zugriff auf die eGK haben, sich für den Versicherten Nachteile ergeben. Es ergibt sich in jedem Fall eine Lücke in seiner elektronischen Krankenakte auf der Gesundheitskarte, da Befunde und Arztbriefe eines Betriebsarztes nicht auf der eGK gespeichert werden. Für die Zusammenarbeit der niedergelassenen Ärzte mit ihren Betriebsarzt-Kollegen ergeben sich Nachteile, weil hier alternative Wege der elektronischen Kommunikation aufgebaut werden müssen, da die vorhandene eGK nicht verwendet werden kann.

Was mach einer noch als eGovernment-Vision betrachtet, bei vielen anderen aktuell in Umsetzung ist, ist bei den Gerichten in Rheinland-Pfalz (Verwaltungsgericht, Sozialgericht) bereits Realität.


Sowohl der elektronische Rechtsverkehr mit qualifizierten elektronischen Signaturen und Verschlüsselung, als auch die elektronische Akteneinsicht, Verfahrensauskunft und der Zugang für ehrenamtliche Richterinnen und Richter ist unter https://www.justiz-rlp-portal.de/ möglich.


Die Akteneinsicht (https://www.justiz-rlp-portal.de/akteneinsicht/ovgrlp/login_akteneinsicht.aspx) zeigt jedes Dokument der eAkte in einer Übersicht an. Die Dokumente können dort geöffnet und eingesehen werden. Alternativ, kann die Übersicht (als PDF) und die gesamte Akte einschließlich aller Dokument (als ZIP-Datei) heruntergeladen werden. Für die Demonstration steht das Aktenzeichen „12 A 9999/04“ sowie das Passwort 999999 zur Verfügung.



Akteneinsicht im Rechtsverkehr bei Gerichten in Rheinland-Pfalz


Die Verfahrensstandsabfrage ermöglicht es, eine Übersicht über alle Verfahren zu erhalten, die einem Benutzer zugeordnet sind. Sie werden mit Angaben zu Aktenzeichen, Eingangsdatum, Kurzrubrum, Gegenstand, Termin und Verfahrensstand angezeigt. Zur Demonstration kann der Benutzername „beispiel“ sowie das Passwort „beispiel“ verwendet werden.



Verfahrensauskunft im Rechtsverkehr bei Gerichten in Rheinland-Pfalz

Die entsprechende Presseerklärung vom 14.09.2005 finden Sie hier.

Am 04.Januar wurden das Signaturgesetz und die Signaturverordnung durch das Erste Gesetz zur Änderung des Signaturgesetztes (1.SigÄndG) geändert. Hier finden Sie den entsprechenden Auszug aus dem Bundesgesetzblatt Jahrgang 2005 Teil I Nr. 1, ausgegeben zu Bonn am 10. Januar 2005: http://217.160.60.235/BGBL/bgbl1f/bgbl105s0002.pdf.
„Die wesentliche Änderungen sind in der Begründung zum Entwurf des Ersten Gesetzes zur Änderung des Signaturgesetzes1) (1. SigÄndG) aufgeführt:

• Änderungen des Signaturgesetzes:


• Anpassung der Definition der „fortgeschrittenen Signatur“an den EG-Richtlinientext,


• Klarstellung, dass die Verpflichtung zur Erteilung eines Pseudonyms vertraglich ausgeschlossen werden kann,


• Klarstellung, dass für die Unterrichtung nach § 6 SigG die Textform ausreicht,


• Klarstellung, dass der Katalog der im Gesetz geregelten Sperrgründe vertraglich erweitert werden kann,


• Wegfall der handschriftlichen Bestätigung der Kenntnisnahme von der Belehrung nach § 6 Abs. 3 SigG,


• Anpassung der Regelung zur Aufdeckung von Pseudonymen an die Erfahrungen im Gesetzesvollzug,


• Einführung einer Verpflichtung der Hersteller von Produkten für qualifizierte elektronische Signaturen, die Herstellererklärung nach § 17 Abs. 4 SigG bei der Aufsichtsbehörde zu hinterlegen.


• Änderung der Signaturverordnung:


• Die Formvorgaben für eine abweichende Vereinbarung der Übergabemodalitäten für die sichere Signaturerstellungseinheit in § 5 Abs. 2 Satz 1 Signaturverordnung (SigV) werden aufgehoben.“

(Siehe hierzu auch Deutscher Bundestag Drucksache 15/3417, 15.Wahlperiode 24. 06. 2004, Gesetzentwurf
der Bundesregierung, unter: http://dip.bundestag.de/btd/15/034/1503417.pdf)

Besonders hervorzuheben ist die durch das 1. SigÄndG geschaffene Möglichkeit, die Ausgabe von EC- und Versichertenkarten mit Signaturfunktion (z.B. durch Banken und Krankenkasse) in Deutschland zu vereinfachen, da diese die bereits zu Identifizierung erhobenen Daten unter folgenden Umständen für die Ausstellung der Zertifikate verwenden können (§ 5 Abs. 1 Satz 2: „Er darf dazu mit Einwilligung des Antragstellers personenbezogene Daten nutzen, die der Zertifizierungsdiensteanbieter zu einem früheren Zeitpunkt erhoben hat, sofern diese Daten eine zuverlässige Identifizierung des Antragstellers nach Satz 1 gewährleisten.“

Die „Handy-Signatur“, d.h. die Signatur über einen Mobilfunkprovider (in Österreich unter dem Begriff der „A1-Signatur“ bekannt) ist zwar auch in Deutschland möglich, aber erfüllt nicht den von § 3a VwVfG für die Ersetzung der Schriftform geforderten Standard. Eine Einschätzung hierzu finden Sie im Aufsatz von Jan Skrobotz (JurPC Web-Dok. 253/2004, Abs. 1 - 18, unter: http://www.jurpc.de/aufsatz/20040253.htm).

Mitte August wurde das Verwaltungszustellungsrecht novelliert (Bundesgesetzblatt 2005 Teil I Nr. 49 ausgegeben zu Bonn am 17. August 2005, unter http://217.160.60.235/BGBL/bgbl1f/bgbl105s2354.pdf).

Bemerkenswert ist die Regelung des § 5 (5) VwZG: „Ein elektronisches Dokument kann im Übrigen unbeschadet des Absatzes 4 elektronisch zugestellt werden, soweit der Empfänger hierfür einen Zugang eröffnet. Das Dokument ist mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz zu versehen. Zum Nachweis der Zustellung genügt das mit Datum und Unterschrift versehene Empfangsbekenntnis, das an die Behörde zurückzusenden ist.“

Hier wird zum Ausdruck gebracht, dass auch ein Medienbruch zum Papier - denn nichts anderes kann hinter einem mit (eigenhändiger) Unterschrift versehenen Bekenntnis verstanden werden - akzeptiert wird. Diese Formulierung schließt meines Erachtens aufgrund der Formulierung „genügt“ nicht aus, dass der Empfänger das Empfangsbekenntnis nicht auch elektronisch, mittels qualifizierter Signatur gibt und übermittelt.

Es ist abzuwarten, wie sich dies in der Kommentierung niederschlagen wird.

Für die öffentliche Verwaltung gilt auch bei der elektronische Aktenführung die allgemeinen Grundsätze zur Aktenführung, wie sie für die Akte in Papierform aus § 29 VwVfg abgleitet wurden. Daten, die in Zusammenhang mit einem Verwaltungsverfahren erhoben, produziert und manipuliert wurden, müssen elektronisch registriert, abgespeichert und ebenso elektronisch abgerufen werden. Dabei müssen Wahrheit und Vollständigkeit auch bei einer elektronischen Akte sichergestellt werden. Zu diesem Zweck müssen die Informationen, die zu einer Akte gehören, die zweifelsfreie Zuordnung zu eine bestimmten Bezugsobjekt ermöglichen, so dass sie als Einheit erkennbar sind.

In einer elektronischen Akte muss erkennbar sein, wer in welcher Form auf die Verwaltungsentscheidung Einfluss genommen hat. Nachträgliche Korrekturen müssen als solche für Dritte erkennbar sein. Insbesondere dürfen keine unberechtigten Löschungen vorgenommen worden sein.

Eine besondere Herausforderung besteht in der hybriden Aktenführung, wenn neben den elektronischen Daten auch Unterlagen in Papierform gehören. In einem solchen Fall umfasst keines der Systeme die vollständigen Informationen. Dieser Fall ist beispielsweise für medizinische Akten (z.B. eines personalärztlichen oder arbeitsmedizinischen Dienstes innerhalb der Verwaltung) ein realistisches Szenario. Die Überführung von existierenden medizinischen Unterlagen (z.B. eines EKG, eines Röntgenbildes) ist nicht nur wegen ihres unförmigen Formates und besonderen Qualitätsanforderungen nicht trivial. Eine pragmatische Lösung ist die Führung von hybriden Akten, bis auch digitales Röntgen oder eine medizinische Geräteschnittstelle nutzbar ist.

Im Fall hybrider Akten sind gegenseitig Verweise auf die jeweils ergänzenden Teile anzubringen, die auch von Dritten nachvollzogen werden können. Es muss also möglich sein, die einzelnen Teile zu einem Ganzen zusammenführen zu können.
Auf die weiterführenden Anforderungen, die sich aus Sicht des Datenschutzes an elektronische Akten stellen oder auf Fragen der Signatur und deren Langzeitsicherung entsprechend der gesetzlichen Aufbewahrungsfristen von beispielsweise 30 Jahren wird hier nicht weiter eingegangen. Diese Themen müssen unter Bezugnahme auf den konkreten Anwendungsbereich behandelt werden.

www.ThomasOff.de/it-management_beratung

Unter Electronic Government (kurz: eGovernment, E-Government) wird im Allgemeinen die intensive Unterstützung von Verwaltungsprozessen durch neue Formen der Informations- und Kommunikationstechnik verstanden.

Informations- und Kommunikationstechnik besteht aus Hardwareeinheiten (z.B. Computerhardware, Netzhardware, sonstige technische Einrichtungen) und Softwareeinheiten. Spezielle Infrastruktur- und Systemsoftware ermöglichen bzw. erleichtern den Betrieb und die Wartung der Hardwarekomponenten. Darauf setzt die eigentliche Anwendungssoftware auf, mit der ein Benutzer die Aufgaben löst, die ihm im Rahmen der Verwaltungsprozesse zugewiesen wurden. Kennzeichnend für eGovernment ist die Nutzung von modernen Internettechnologien (z.B. Standards, Protokollen, Netzwerken), so dass häufig auch von „neuer IuK“ gesprochen wird. Mit dem Begriff eGovernment-Anwendungssystem wird hier ein System bezeichnet, das sowohl Hardwareeinheiten, Infrastruktur-, System- und Anwendungssoftware, als auch direkte und indirekte Benutzer sowie Administratoren des Systems umfasst.

Sowohl Software- als auch Hardwareeinheiten sind in der Regel nicht monolithisch aufgebaut. Sie bestehen ihrerseits aus kleineren Einheiten (z.B. aus einzelnen Softwarekomponenten oder Diensten). Mit Hilfe einer Architektur werden die statischen Bestandteile eines eGovernment-Anwendungssystems und deren dynamisches Zusammenwirken beschrieben. Mit ihrer Hilfe wird eine grundsätzliche Lösung konzipiert, wie Benutzer ihre Arbeitsaufgaben mit Hilfe des Systems lösen sollen. Sie ist die Basis für die Entwicklung der Software entsprechend der konkretisierten Anforderungen.

Im Vordergrund der eGovernment- Architekturen steht in der Regel die Unterstützung der Arbeitsaufgaben mehrerer Benutzer, wie sie in den Verwaltungsprozessen definiert sind. Im Rahmen der Verwaltungsprozesse werden eingehende Informationen in einer Reihe von Aktivitäten in Ausgangsinformationen transformiert. Kennzeichnend für Verwaltungsprozesse ist dabei, dass es sich im Wesentlichen um Kern-Prozesse zur Informationsverarbeitung handelt, in deren Rahmen aus Basis rechtlicher Regelungen (z.B. Gesetze) Entscheidungen im konkreten Einzelfall getroffen und in Form von Verwaltungsleistungen an konkrete Personen oder die Gesellschaft im Allgemeinen abgegeben werden.

Die während der Durchführung von Verwaltungsprozessen relevanten Informationen (Input, Output und im Rahmen des Prozesses erstellte) müssen über den eigentlichen Zeitpunkt der Prozessdurchführung hinaus verfügbar sein. Aus der klassischen Welt der öffentlichen Verwaltung wurde zu diesem Zweck die Akten-Methaper auf das eGovernment übertragen. Man spricht dann von der elektronsichen Akte oder kurz von der eAkte.
Ein wesentlicher Bestandteil einer eGovernment-Architektur ist immer die elektronische Akte (eAkte). Sie kann als Informationsspeicher betrachtet werden, während andere Funktionen der eGovernment-Anwendung zur Erfassung und Bearbeitung der Informationen dienen. Eine klare konzeptionelle Trennung liegt vor, wenn die Akte nur gelesen werden kann, während die Verwaltungsprozesse der Bearbeitung von Informationen in eAkten dienen.


Abbildung 1 – Elektronische Akte als Bestandteil eines eGovernment-Systems


www.ThomasOff.de/it-management_beratung

Die elektronische Kommunikation wird mit dem § 3 a Verwaltungsverfahrensgesetz geregelt. Der Gesetzgeber ermöglicht Dritten die Übermittlung von Dokumenten an die Behörde in elektronischer Form. In umgekehrter Kommunikationsrichtung wird durch § 36a Abs.2 Satz 1 SGB I grundsätzlich die elektronische Form der schriftlichen Form eines Verwaltungsaktes gleichgesetzt und dadurch die Möglichkeit geschaffen, Verwaltungsakte auch auf elektronischem Wege zu erlassen. Dies umfasst insbesondere die Mitteilung des Verwaltungsaktes auf elektronischem Wege, so dass dieser die ihm inhärente nach außen gerichtete Wirkung entfalten kann. Nach § 36a SGB I ist die qualifizierte elektronische Signatur erforderlich, wenn der Gesetzgeber die Schriftform vorschreibt. Die Schriftform in der gesetzlichen Unfallversicherung ist erforderlich für die Entscheidungsfälle der sogenannten förmlichen Feststellung. Hier gilt insbesondere § 102 SGB VII in Verbindung mit § 36 a Abs. 1 Satz 1 Nr. 2 SGB IV. Näheres zum Erlass dieser Verwaltungsakte ergibt sich dann aus § 33 Abs. 3 Satz 2 SGB X, wobei die Signaturvorschriften des § 36a SGB I gelten.

Für zahlungsbegründende Unterlagen, rechnungslegende Belegen usw. sind für die Sozialversicherung die Verwaltungsvorschriften über das Rechnungswesen in der Sozialversicherung (SRVwV) und die Sozialversicherungs-Rechnungsverordnung (SVRV) relevant. Sie stellen Anforderungen an die elektronische Signatur. Zentral ist dabei der § 36 SRVwV "Aufbewahrung": "Schriftliche Unterlagen dürfen vor Ablauf der sie betreffenden Aufbewahrungsfrist vernichtet werden, wenn [...] Durch elektronische Signatur dessen, der die bildliche Wiedergabe erzeugt, die Übereinstimmung der bildlichen Wiedergabe mit der Unterlage bestätigt und dadurch die unbemerkte Veränderung der Unterlage ausgeschlossen ist."

Hier ist wieder der Aspekt der Personenidentiät von demjenigen der die bildliche Wiedergabe erzeugt und demjenigen der die Signatur erzeugt enthalten, den ich bereits oben bei § 110 d SGB IV „Beweiswirkung“ diskutiert habe.

Es gibt Experten-Meinungen, die darauf schließen lassen, dass die qualifizierte elektronische Signatur an fast allen Stellen im Rechnungswesen zu verwenden ist (z.B. für Feststellung: Sachliche/rechnerische Richtigkeit von Belegen nach § 9 SVRV, §§ 19, 20, 21 SRVwV, für Anordnung:/Zahlung nach § 7 SVRV, §§ 10, 11 SRVwV, für Aufbewahrung/Archivierung §§ 36, 40 SRVwV, für Übergaben nach § 5 SRVwV, für Prüfungen nach § 7 SRVwV, für Quittungen nach §§ 15,16 SRVwV und für Belege für Buchungen ohne Zahlungsvorgang nach § 18 SRVwV) relevant sind. Für automatisierte Verfahren zum Datenaustausch mit Banken ist "nur" die fortgeschrittene elektronische Signatur notwendig (vgl. Dritte Allgemeine Verwaltungsvorschrift zur Änderung der SRVwV vom 10. Juni 2005; veröffentlicht im Bundesanzeiger vom 16. Juni 2005, Jahrgang 57, S. 9087).

Die Aufbewahrung der Unterlagen erfolgt in der Regel mit der Absicht, dass eine Reproduktion der bildlichen Wiedergabe auch eine Beweiswirkung (z.B. im Gerichtsverfahren) erlagen soll. Unter welchen Bedingungen eine Beweiswirkung erreicht wird, ist in § 110 d SGB IV „Beweiswirkung“ geregelt: "Ist eine Unterlage nach § 110 a Abs. 2 auf anderen dauerhaft maschinell verwertbaren Datenträgern als Bildträgern aufbewahrt und 1. die Wiedergabe mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz dessen versehen, der die Wiedergabe auf dem dauerhaften Datenträger hergestellt hat [...] und ist die qualifizierte elektronische Signatur dauerhaft überprüfbar, können der öffentlich-rechtlichen Verwaltungstätigkeit die Daten auf diesem dauerhaften Datenträger zugrunde gelegt werden, soweit nach den Umständen des Einzelfalles kein Anlaß ist, ihre sachliche Richtigkeit zu beanstanden."

Es wird also für Unterlagen, die der öffentlich-rechtlichen Verwaltungstätigkeit zugrunde gelegt werden (und bei Bedarf Beweiswirkung haben sollen), die qualifizierte elektronische Signatur gefordert. (Dadurch soll die sogenannte Funktionsäquivalenz hergestellt werden.)

Aus technischer Sicht (ich bin kein Jurist) sind m.E. an § 110 d SGB IV „Beweiswirkung“ zwei Aspekte interessant:

a) Zum einen heißt es, dass die Wiedergabe von demjenigen mit Signatur zu versehen ist, der sie hergestellt hat. Dies würde bedeuten, dass die Person, die den Scanner bedient die Signatur erzeugen muss, oder?

Nach dem Scannen werden aber typischer Weise Schritte zur Bildverbesserung (und auch OCR) durchgeführt, die zu Änderungen am Bild führen können. Denkbar ist auch, dass Dokumente oder einzelne Seiten erneut gescannt werden müssen, wenn sie nicht oder nur sehr schlecht lesbar sind. Erst nach diesen Arbeitsschritten macht das Signieren Sinn. Wie will man bei arbeitsteiliger Organisation der Schritte nun aber die Dokument nun jeweils der Person zuordnen, die das Scannen durchgeführt hat. Das ist in größeren Organisationen nicht praktikabel. Es gibt Interpretationen dieser Formulierung, die dahin gehen, dass (auch) derjenige die bildliche Wiedergabe signieren darf, der deren Übereinstimmung mit dem Original geprüft hat. Dies lässt sich arbeitsorganisatorisch meist einfacher in der Praxis umsetzen und wird durch entsprechende Komponenten im Scannprozess (z.B. von Captiva) umsetzen.

b) Obwohl nur die Beweiswirkung im Fokus des § 110 d steht, regelt er auch generell das Verfahren für Unterlagen, die allgemein der "der öffentlich-rechtlichen Verwaltungstätigkeit" zugrunde gelegt werden. Dies betrifft also alle Unterlagen, auf denen die Verwaltung ihr Handeln begründet und nicht nur solche, die auch tatsächlich Beweiswirkung entfalten sollen? Gilt es nur für Unterlagen, für die der Gesetzgeber die Schriftform vorschreibt? Eine solche Schlussfolgerung kann man eigentlich nicht ziehen, obwohl einige Kommentatoren davon ausgehen (Vgl. z.B. Steinbach in Hauck/Noftz, SGB IV, K § 110d Rz 3, wenn auf § 126a Abs. 1 BGB verwiesen wird).

Ein gutes Einstiegsdokument in die Signatur-Thematik findet sich unter: http://www.signature-perfect.com/docs/Leitfaden_Elektronische_Signatur.pdf.

Ein Rechtsgutachtenf ür die Fraunhofer-Gesellschaft Institut für Sichere Telekooperation zur Signaturgesetzkonformität des Standardisierungsvorschlags „Long-Term Conservation of Electronic Signatures“ für die ISIS-MTT Spezifikation vom 30.6.2004 findet sich unter: http://www.teletrust.de/Dokumente%5Cag8_isis-mtt-gutachten-langzeitsig.pdf

Die Chronologie des Signaturgesetzes (SigG) und der Europäischen Signaturgesetzgebung finden Sie unter: http://www.dfn-pca.de/bibliothek/sigg/chronologie.html

Interessante Informationen finden sich auch im Digitale-Signatur Blog der Firma itsolution unter: http://www.itsolution.at/

Auch die Linksammlung der Firma „Signature Perfect“ ist interessant:
http://www.signature-perfect.com/german/index_de.html

Maßgeblich erscheint § 110a (2) SGB IV „Aufbewahrungspflicht“: "Die Behörde kann anstelle der schriftlichen Unterlagen diese als Wiedergabe auf einem Bildträger oder auf anderen dauerhaften Datenträgern aufbewahren [...]" wenn diese "mit der diesen zugrunde gelegten schriftlichen Unterlage bildlich und inhaltlich vollständig übereinstimmen, wenn sie lesbar gemacht werden und über diese Übereinstimmung ein Nachweis geführt wird [...]"

Die Aufbewahrung der Unterlagen erfolgt in der Regel mit der Absicht, dass eine Reproduktion der bildlichen Wiedergabe auch eine Beweiswirkung (z.B. im Gerichtsverfahren) erlagen soll.

Eine Analyse der Rechtsvorschriften und sonstiger Vorschriften, die die elektronische Signatur in Zusammenhang mit der Archivierung von Unterlagen in und die elektronsiche Kommunikation mit der Sozialverwaltung (speziell für die gesetzliche Unfallversicherung) betreffen, ergeben sich nach meiner aktuellen Kenntnis folgende relevante Rechtsquellen:

- § 110a SGB IV "Aufbewahrungspflicht"
- § 110 d SGB IV "Beweiswirkung"
- § 36 SRVwV "Aufbewahrung" u.a. §§ in SRVwV
- § 3 VwVfG "Zugangsöffnung" und § 36a SGB I "Elektronische Kommunikation"

Die Begriffe "digitale Signatur" und "elektronische Signatur" werden umgangssprachlich und auch an vielen Stellen der Literatur synonym gebraucht. Allerdings gibt es einen Unterschied zwischen Ihnen.
Das ursprüngliche deutsche Signaturgesetz von 1997 verfolgte das Ziel, die "Rahmenbedingungen für digitale Signaturen zu schaffen, unter denen diese als sicher gelten und Fälschungen digitaler Signaturen oder Verfälschungen von signierten Daten zuverlässig festgestellt werden können" (§ 1 I IuKDG). Somit war mit dem deutschen Begriff der "Digitalen Signatur" immer auch der Anspruch von Fälschungssicherheit verbunden.
Um nationalen Eigenentwicklungen zu harmonisieren, wurde von der EU die "Richtlinie 1999/93/EG des Europäischen Parlamentes und des Rates, vom 13. Dezember 1999, über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen" beschlossen und verabschiedet. Diese Richtlinie hat einen bereiteren Fokus auf Signaturen und schließt auch solche Signaturen ein, die ein Identifizierungsmittel darstellen (also z.B. auf elektronischen Zeichen oder Symbolen beruhen) und die zur Authentifizierung einer Nachricht oder eines Dokumentes verwendet werden. Somit fallen auch solche Signaturen unter den Begriff der elektronischen Signatur, die nicht fälschungssicher sind. Als Beispiel wird hierfür regelmäßig das Bild einer eigenhändigen Unterschrift angeführt, die in Dokumente eingefügt wird. Sie ermöglicht die Authentifizierung der Nachricht, stellt aber nicht sicher, dass Verfälschungen des Dokumentes erkannt werden können. Durch Umsetzung der EU-Richtlinie in nationales Recht und die Novellierung des deutschen Signaturgesetzes, fand der Begriff der elektronischen Signatur Einzug in den deutschen Sprachgebrauch.
Das (neue) deutsche Signaturgesetz verfolgt gem. Art. 1 I den Zweck "Rahmenbedingungen für elektronische Signaturen zu schaffen" und unterscheidet nunmehr einfache elektronische Signaturen, die dem obigen Beispiel mit dem Bild der Unterschrift entsprechen, fortgeschrittene elektronische Signaturen und qualifizierte elektronische Signaturen. Letztere können zusätzlich in ihrer Beweiskraft verstärkt werden, wenn sie auf Zertifikaten beruhen, die von einem akkreditierten Zertifizierungsdiensteanbieter ausgestellt wurden.
Nur für fortgeschrittene elektronische Signaturen und qualifizierte elektronische Signaturen kann aufgrund der angewendeten Signaturverfahren sichergestellt werden, dass Fälschungen oder Verfälschungen von signierten Daten zuverlässig festgestellt werden können. Der Begriff der digitalen Signatur ist meiner Meinung nach, sofern er heute überhaupt noch benutzt wird, als Oberbegriff für fortgeschrittene elektronische Signaturen und qualifizierte elektronische Signaturen, sowie für qualifizierte elektronische Signaturen mit Anbieterakkreditierung zu sehen.

Über den Artikel "Signaturen durch elektronische Agenten" (Bergfelder, Nitsche, Sorge) im Informatik-Spektrum (Band 28, Heft 3, Juni 2005) habe ich nicht schlecht gestaunt. Die Autoren sehen realistische Chancen für etwas das aus meiner Sicht auf den ersten Blick unmöglich scheint: elektronische Agenten signieren Kaufverträge, Banküberweisungen, Behördenanträge und keiner merkt was.
Wie soll das gehen, wo qualifizierte elektronische Signaturen immer nur natürlichen Personen zugeordnet werden können und deren Einsatz an besondere Sicherheitsvorkehrungen gebunden ist. Ein Agent kann keine eigene Signatur haben und das aus guten Gründen, die zur vorliegenden Gesetzgebung geführt haben. Um in dieser "misslichen Lage" eine Lösung zu finden, berufen Sie sich auf § 15 I SigV, der die Möglichkeit von Massensignaturen eröffnet. Dadurch kann vom Benutzer (der natürlichen Person, die Inhaber eines Zertifikates ist) für eine gewisse Zeit oder eine gewisse Anzahl die Freigabe zur Signatur erfolgen. (Normalerweise muss für jede durchzuführende Signatur die Freigabe erfolgen.)

Von diesem Mechanismus der Massensignatur wird beispielsweise in der Verwaltung gebrauch gemacht, wenn Altakten in elektronische Archive überführt werden müssen. Dann wird jede Papierseite gescannt und die Übereinstimmung des Bildes mit dem Original von einer Person durch deren qualifizierte, elektronische Signatur bestätigt. Für die Durchführung der Signatur wird jedes Dokument einzeln signiert, nachdem eine Stichprobe über jeweils einen Stapel (z.B. 100 Dokumente) gebildet wurde (z.B. 2% also 2 Dokumente - das unterste und obererste im Stapel) und diese Stichprobe geprüft wurde.

Beim Versand von Rechnungen wird ebenfalls die Massensignatur eingesetzt. Dabei bescheinigt die Person (z.B. der EDV-Operator), dass die erzeugten elektronischen Rechnungen aus der Organisation stammen, die der EDV-Operator repräsentiert. Die fachliche Richtigkeit des Rechnungsinhaltes wird dadurch nicht bestätigt.

Beide Verfahren werden von aufwendigen organisatorischen Regelungen begeleitet, um die Sicherheit der Signaturerzeugung nachweislich sicherzustellen. Nimmt man diese beiden Beispiele als Bezugspunkt, bleibt die Frage nach dem Wert einer Signatur, die über das Massensignatur-Prinzip von einem Agenten erzeugt wurde.

Was wird eigentlich bestätigt? Meiner Meinung nach, dass der Agent Kontakt mit dem Benutzer hatte und vermutlich von ihm ausgesendet wurde. Der Zweck bleibt aber unklar. Außerdem ist der organisatorische Rahmen ungeklärt, in dem die Freigabe zur Massensignatur durchgeführt wurde. Was ist eine solche Signatur wert?

Neuen Schwung bekommt die elektronische Signatur jetzt aus folgender Richtung: Für die Überführung von Papierbelegen in elektronische Archive ist die qualifizierte elektronische Signatur erforderlich, will man die Papierbelege vor Ablauf der Aufbewahrungsfrist vernichten und "nur noch" deren elektronisches Abbild für die Bearbeitung zugrunde legen. Insbesondere für Zahlungsbegrüdende Unterlagen - das müssen nicht immer nur Rechnungen, sondern können im Falle der Erstattung von Fahrtkosten auch Quittungen, Fahrscheine, Flugtickets usw. sein - gelten hohe Anforderungen an die elektronische Signatur.

Das hat nichts mit elektronischer Kommunikation und eCommerce zu tun, geht also an den allgemeinen Erwartungen, die mit der Einführung der Signatur verbunden waren, vorbei. Dennoch ist es aktuell ein wichtiges Thema, insbesondere in der öffentlichen Verwaltung - so auch bei Sozialversicherungsträgern und Unfallkassen. Natürlich gibt es hier noch weitere Anwendungsgebiete...

Ebenfalls ein aktuelles Thema ist der Versand von Rechnungen in elektronischer, die ebenfalls qualifiziert elektronische signiert sein müssen, wenn sie den Empfänger zum Vorsteuerabzug berechtigen sollen. Fluggesellschaften, wie beispielsweise die dba (https://www.flydba.com/rechnung), aber auch Telekommunikationsunternehmen senden Rechnungen in elektronischer Form an ihre Kunden.

Ab heute berichte ich in diesem Blog über bemerkenswerte Aspekte des eGovernment, die mir im Rahmen meiner Arbeit für die Thomas Off IT-Management Beratung begegnen.