II. Rechtslage nach den früheren Signaturgesetzen
7
Seit 1997 gab das Signaturgesetz (SigG) erstmals einen technisch-organisatorischen Rahmen vor, unter dessen Voraussetzungen digitale Signaturen als sicher vor Verfälschung gelten konnten. Das Signaturgesetz traf dabei jedoch keine Aussage, welche Rechtswirkungen die digitale Signatur auslösen sollte und ob damit einer gesetzlichen Form entsprochen werden konnte. Daher war ein Abschluss von Verträgen, für die die Schriftform vorgeschrieben ist, im Internet nicht ohne Medienbruch möglich.
8
1999 wurde dann mit Zustimmung des Europäischen Parlaments die Richtlinie 1999/93/EG für gemeinsame Rahmenbedingungen für elektronische Signaturen erlassen. Sie trat am 19.1.2000 in Kraft. Damit wurde eine Harmonisierung des EU-weiten Binnenmarktes angestrebt, indem der Rahmen für einheitliche Kommunikation und Handel geschaffen wird. Die einzelnen Mitgliedsländer sollten durch Umsetzung in nationales Recht einen störungsfreien elektronischen Geschäftsverkehr auch für formbedürftige Rechtsgeschäfte gewährleisten. Dafür werden an die elektronische Signatur konkrete Rechtswirkungen geknüpft. In Art. 5 der Richtlinie war festgelegt, dass die qualifizierte elektronische Signatur der Unterschrift gleichgestellt und als Beweismittel zulässig sein sollte.
9
Deutschland gehörte zu den ersten Ländern, die die EU-Richtlinie umsetzten. Dieser und dem Evaluierungsbericht der Bundesregierung folgend wurde „nach grundlegender Überarbeitung“ ein neues Gesetzeswerk auf den Weg gebracht: am 15.2.2001 verabschiedete der Bundestag das neue Signaturgesetz, das am 23.5.2001 in Kraft trat. Mit dem nachfolgenden Gesetz zur Anpassung der Formvorschriften des Privatrechts und anderer Vorschriften an den modernen Rechtsgeschäftsverkehr vom 13.7.2001 wurden sodann mit §§ 126 Abs. 3 BGB und 126a BGB ergänzend die elektronische Form im BGB eingeführt (dazu ausführlich unten Rn. 29ff.).
10
Dabei war und ist zwischen drei verschiedenen Arten der elektronischen Signatur zu unterscheiden.
1. Einfache elektronische Signatur
11
Einfache elektronische Signaturen sind solche Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder mit ihnen verknüpft sind und zur Authentifizierung dienen. Gemeint ist z.B. ein eingetippter Name am Ende einer E-Mail, das Kopieren eines Bildes mit eingescannter Unterschrift in ein Dokument oder das „Unterschreiben“ mit dem Finger oder einem Stift auf einem Tablet oder Smartphone.7
2. Fortgeschrittene elektronische Signatur
12
Als fortgeschrittene elektronische Signaturen werden solche Signaturen bezeichnet, welche die Identifizierung des Signaturschlüssel-Inhabers ermöglichen. Weder an die einfache noch an die fortgeschrittene elektronische Signatur werden unmittelbare Rechtsfolgen geknüpft. Ihre praktische Bedeutung ist daher gering.
3. Qualifizierte elektronische Signaturen
13
Die qualifizierte elektronische Signatur muss vom Gesetzgeber vorgegebenen Anforderungen genügen. Insbesondere muss – wie bei der eigenhändigen Unterschrift – eine eindeutige Zuordnung der Signatur zum Signierenden gegeben sein und die Signaturerstellung in einer fälschungssicheren Umgebung erfolgen. Daher entspricht die qualifizierte elektronische Signatur rechtlich der eigenhändigen Unterschrift.
7 Viele Lösungen zur Onlineunterschrift von Dokumenten setzen ebenfalls im Standard auf einfache elektronische Signaturen, z.B. DocuSign und AdobeSign. Ein besonderer Beweiswert ist damit nicht verbunden, da derartige Signaturen die gesetzliche Schriftform nicht ersetzen und prozessual nicht die gleiche Bedeutung wie eine eigenhändige Unterschrift des Signierenden haben.
III. Rechtslage nach der eIDAS-Verordnung der EU
1. Allgemeines
14
Elektronische Kommunikationswege und elektronischer Geschäftsverkehr bieten große Chancen und Möglichkeiten, Handlungsspielräume zu erweitern und die Effizienz in Produktion, Handel und Dienstleistungen zu steigern.8 Gerade bei elektronischen Transaktionen in Wirtschaft und Verwaltung verhindern Sicherungsmittel wie Signaturen und Zeitstempel Manipulationen, sorgen für die Einhaltung bestimmter Formen bei Willenserklärungen und gewährleisten Beweissicherheit.9
15
Unter Verfolgung des Ziels eines einheitlichen digitalen Binnenmarktes und einheitlicher Rahmenbedingungen für die grenzüberschreitende Nutzung elektronischer Identifizierungsmittel ist deshalb am 17.9.2014 die eIDAS-Verordnung10 der EU in Kraft getreten, welche das bisherige Signaturrecht mit der Signaturrichtlinie und nationalen Umsetzungsgesetzen wie dem SigG und der SigV ablöste.11 Gemäß Art. 52 Abs. 2 eIDAS-Verordnung gilt die Verordnung mit einigen abschließend aufgezählten Ausnahmen seit dem 1.7.2016. Seitdem können demnach in allen EU-Mitgliedstaaten und im Europäischen Wirtschaftsraum (EWR) die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen nach dieser Verordnung angeboten werden.
16
Zu den Regelungen der Verordnung zählen neben Neuregelungen betreffend die elektronische Signatur auch solche betreffend Dienste rund um elektronische Siegel, Zeitstempel, Zustellung elektronischer Einschreiben und Website-Zertifikate. Womit die Verordnung sich allerdings nicht beschäftigt, sind datenschutzrechtliche Regelungen. Dies wurde vielfach kritisiert, weswegen sich in Art. 4 Abs. 1 der Verordnung ein Verweis auf die Datenschutzrichtlinie 95/46/EG findet, die am 25.5.2018 durch die Europäische Datenschutz-Grundverordnung abgelöst wurde.12 Darüber hinaus normiert Art. 4 Abs. 2 eIDAS-Verordnung, dass die Benutzung von Pseudonymen bei elektronischen Transaktionen nicht untersagt werden darf.
2. Anwendungsvorrang
17
Als EU-Verordnung entfaltet die eIDAS-Verordnung gem. Art. 288 Abs. 2 S. 1 AEUV unmittelbare Geltung in den Mitgliedstaaten. Es bedarf für die Geltung keines weiteren Umsetzungsaktes.13
18
Die EU hat allerdings keine Kompetenz, das Recht eines Mitgliedstaates zu verändern oder außer Kraft zu setzen. Soweit sich jedoch die Verordnung und geltendes nationales Recht widersprechen, besteht ein Anwendungsvorrang der Verordnung. Dieser Anwendungsvorrang ist als ungeschriebene Norm des primären Unionsrechts zu verstehen.14 Zur Anpassung an die eIDAS-Verordnung sind deshalb verspätet am 29.7.2017 das SigG und die SigV durch das Vertrauensdienstegesetz (VDG) abgelöst worden, welches die Anforderungen der eIDAS-Verordnung konkretisiert und ergänzt.15
3. Elektronische Identifizierung
19
Im Bereich der elektronischen Identifizierung beseitigt die eIDAS-Verordnung bestehende Hindernisse. So war es zuvor nicht möglich, nationale Identifizierungsmittel auch international zu gebrauchen. Es mangelte sowohl an der Interoperabilität als auch an der Anerkennung von Identifizierungsmitteln anderer Mitgliedstaaten.16
20
Gemäß Art. 6 eIDAS-Verordnung sind Mitgliedstaaten, die für nationale Online-Dienste die Verwendung eines elektronischen Identifizierungssystems verlangen, verpflichtet, solche Identifizierungssysteme anderer Mitgliedstaaten ebenfalls anzuerkennen. Diese Identifizierungssysteme müssen nach Art. 9 Abs. 2 eIDAS-Verordnung allerdings bei der Kommission notifiziert