v
– 179 –
A n l a g e 1 4 (zu Nr. 4.4.1, Nr. 4.7 und Nr. 8.4)
Entschließung der 72. Konferenz der Datenschutzbeauftragten des Bundes und der Länder
vom 11. Oktober 2006
(bei Enthaltung von Schleswig-Holstein)
Sachgemäße Nutzung von Authentisierungs- und Signaturverfahren
Die Aufrechterhaltung der unterschiedlichen Funktionalität und Verbindlichkeit von Signatur und Authentisierung
liegt sowohl im Interesse von Bürgerinnen und Bürgern
als auch der Verwaltung und ist rechtlich geboten. Die unsachgemäße Anwendung oder in Kauf genommene Funktionsvermischung dieser Verfahren mindert die Transparenz, die Sicherheit und die Verlässlichkeit bei der
elektronischen Datenverarbeitung. Darüber hinaus sind
erhebliche Nachteile für die Nutzenden zu erwarten.
Wird ein Authentisierungsschlüssel zum Signieren verwendet,
●
●
Authentisierungsverfahren liefern hingegen lediglich eine
Aussage über die Identität einer Person oder einer Systemkomponente. Solche Verfahren sind beispielsweise
zur Authentifizierung einer Person oder eines IT-Systems
gegenüber Kommunikationspartnern oder zur Anmeldung an einem IT-System geeignet. Die hierbei ausgetauschten Informationen unterliegen in der Regel nicht
dem Willen und dem Einfluss der Rechnernutzenden bzw.
der Kommunikationspartner und beziehen sich ausschließlich auf den technischen Identifizierungsprozess.
Daher dürfen an die Authentizität und Integrität solcher
Daten nicht die gleichen Rechtsfolgen geknüpft werden
wie an eine qualifizierte elektronische Signatur.
●
wird den Nutzenden keine „Warnfunktion“ mehr angeboten wie bei der ausschließlichen Verwendung des
Signaturschlüssels zum Signieren und
sind die Verfahren und die daraus resultierenden
Konsequenzen für die Nutzenden nicht mehr transparent.
Vor diesem Hintergrund fordert die Konferenz der Datenschutzbeauftragten des Bundes und der Länder, dass der
Gesetzgeber weder ungeeignete noch weniger sichere
Verfahren zulässt. Dies bedeutet, dass
●
●
●
Nutzenden die Möglichkeit eröffnet werden muss, die
elektronische Kommunikation mit der Verwaltung
durch eine qualifizierte elektronische Signatur abzusichern,
immer dann Signaturverfahren eingesetzt werden
müssen, wenn Aussagen über Dokumente oder Nachrichten gefordert sind und Authentisierungsverfahren
nur dort verwendet werden dürfen, wo es um Aussagen über eine Person oder eine Systemkomponente
geht,
die Transparenz der Verfahren und die Nutzbarkeit der
Authentisierungsfunktion erhalten bleiben müssen.
Die Datenschutzbeauftragten appellieren dar��ber hinaus
an die Verantwortlichen in der Verwaltung und bei den
Projektträgern, gemeinsam die offenen Fragen beim EinBfDI 21. Tätigkeitsbericht 2005-2006
s
Elektronische Signaturen liefern Aussagen über elektronische Dokumente, insbesondere über deren Authentizität
und Integrität. Ausschließlich die qualifizierte elektronische Signatur ist durch rechtliche Regelungen der eigenhändigen Unterschrift in weiten Bereichen gleichgestellt
und dient dem Nachweis der Echtheit elektronischer
Dokumente. Zudem sind nur Verfahren zur Erzeugung
elektronischer Signaturen rechtlich geregelt und sicherheitstechnisch genau definiert.
●
besteht die Möglichkeit, dass Authentisierungsverfahren (Single Sign On, Challenge Response etc.) gezielt
missbräuchlich verwendet werden,
ev
i
Obwohl Signatur- und Authentisierungsverfahren mit der
asymmetrischen Verschlüsselung vergleichbare technische Verfahren nutzen, unterscheiden sie sich im Inhalt
ihrer Aussagen und müssen unterschiedliche Rechtsfolgen für die Nutzenden nach sich ziehen. Der grundlegende Unterschied dieser Verfahren muss sowohl bei der
Planung als auch bei ihrem Einsatz in Verwaltungsverfahren berücksichtigt werden.
kann fälschlicher Weise behauptet werden, dass Nutzende elektronische Dokumente signiert haben; da sie
das Gegenteil nicht beweisen können, müssen sie befürchten, die damit verbundenen Rechtsfolgen tragen
zu müssen,
R
Die Datenschutzbeauftragten des Bundes und der Länder
beobachten einen Trend, abweichend von den bislang geltenden Vorgaben zur Nutzung der qualifizierten elektronischen Signatur in der öffentlichen Verwaltung zunehmend ungeeignete oder weniger sichere Verfahren
zuzulassen. So soll beispielsweise infolge des Gesetzentwurfes der Bundesregierung zum Jahressteuergesetz 2007
(Bundesratsdrucksache 622/06) beim Verfahren Elster
Online der Finanzverwaltung das in § 87a AO Abs. 3
geforderte Verfahren zur qualifizierten elektronischen
Signatur durch ein Verfahren ersetzt werden, das lediglich
zur Authentisierung der Datenübermittler geeignet ist.
Auch die Planungen zum Verfahren für den elektronischen Einkommensnachweis ELENA sehen zumindest
für einen Übergangszeitraum den Verzicht auf die qualifizierte elektronische Signatur vor. Einer derartigen Fehlentwicklung muss mit Nachdruck entgegengetreten werden.