Nachbericht E-Signatur Tag 2020

Grundätzlich ist es richtig, dass beim Anbringen weiterer Signaturen das Dokument geändert wird und nur die letzte Signatur das gesamte Dokument umfasst. Im Format PDF wird das Problem durch inkrementelle Updates gelöst, d.h. mit jeder Signatur wird eine neue Dokumentenversion erstellt, die in die Datei integriert ist. Man kann die einzelnen Dokumentenversionen auch nachträglich separat betrachten und prüfen, ob von den einzelnen Unterzeichnern signierte Versionen mit der Endversion übereinstimmen. Auch der Prüfdienst der RTR bietet die Möglichkeit, zu jeder in einem Dokument enthaltenen Signatur die tatsächlich signierten Daten separat zu betrachten.

EU-Zertifikate werden nicht weltweit anerkannt. Allerdings haben einige EU-Beitrittskandidaten ihre Gesetze bereits so angepasst, dass Zertifikate aus der EU bzw. dem EWR anerkannt werden. Weiters sieht die eIDAS-VO die Anerkennung qualifizierter Zertifikate aus Drittstaaten vor, wenn ein entsprechendes Abkommen zwischen der EU und dem Drittstaat (oder einer internationalen Organisation) existiert. Solche Abkommen existieren zwar noch nicht, sind aber unseres Wissens in Vorbereitung und werden gewiss die gegenseitige Anerkennung umfassen (also auch Anerkennung der in der EU bzw. dem EWR ausgestellten Zertifikate im Drittstaat). Die eIDAS-VO gilt in vielen Ländern als Vorbild für ähnliche Regelungen, sodass mittel- bis längerfristig durchaus mit breiter internationaler Anerkennung von Zertifikaten aus der EU bzw. dem EWR zu rechnen ist.

VDA haben den Erfordernissen der DSGVO und darüber hinaus speziellen Erfordernissen der eIDAS-VO zu entsprechen. Sie werden alle zwei Jahre einer Konformitätsbewertung durch eine unabhängige Stelle unterzogen, bei der auch die Einhaltung der Datenschutzvorschriften überprüft wird. Unabhängig davon müssen vor allem Unternehmen jeweils für sich selbst eine Risikoabwägung vornehmen und entscheiden, ob sie eine Fernsignaturlösung akzeptieren können, bei der die zu signierenden Dokumente zu einem VDA übertragen werden, oder ob sie die Signaturerstellung lieber lokal durchführen.

Zumindest bei fortgeschrittenen und qualifizierten Signaturen ist der Unterzeichner eindeutig identifizierbar, allerdings, z.B. bei Pseudonymen oder mehrfach vorkommenden Namen, unter Umständen nur mit Unterstützung des VDA. Das ist nicht nur in Österreich, sondern in den meisten Staaten so. Nur in wenigen Staaten werden eindeutige Identifikationsmerkmale (z.B. Steuernummer) ins Signaturzertifikat eingetragen. Dies erscheint jedoch datenschutzrechtlich hinsichtlich der möglichen Verknüpfung dieses Identifikationsmerkmals mit anderen Daten problematisch. Bei den meisten Anwendungen genügt dem Empfänger die Kenntnis des Namens des Unterzeichners (und die Kenntnis des Geburtsdatums bei Minderjährigen). Sollte es zu einem Streit kommen, kann über Gerichte und andere Behörden die eindeutige Identität des Unterzeichners jedenfalls festgestellt werden. Uns ist überdies kein Streitfall bekannt, bei dem die Vortäuschung einer Identität durch eine Person mit demselben Namen eine Rolle gespielt hätte.