Beitrag

IS-Kurzrevision auch für die Wirtschaft interessant Mo 22.10.2012

Herausforderungen zum E-Government-Gesetz

Das Gesetz zur Einführung der elektronischen Kommunikation mit Bundesbehörden (E-Government-Gesetz) nimmt konkrete Formen an. So ist der Gesetzentwurf zur Förderung der elektronischen Verwaltung nunmehr den Ländern und Bundesministerien zur Stellungnahme vorgelegt worden. Das Gesetz soll im ersten Quartal 2013 im Bundestag und Bundesrat beraten werden, so dass das Gesetz noch 2013 in Kraft treten könnte. Insgesamt bleiben allerdings noch Herausforderungen offen.

Das E-Government-Gesetz stellt neue Möglichkeiten der elektronischen Ersetzung der Schriftform und der damit einhergehende Verbindlichkeit im Rechtsverkehr zur Verfügung. Eine DE-Mail mit der Versandoption "absenderbestätigt" soll einer Unterschrift entsprechen und ein Web-Formular als unterschrieben gelten, wenn der elektronische Identifikationsnachweis mit dem neuen Personalausweis (nPA) vorgenommen wurde. Diese Verbindlichkeit soll gegenüber der Kommunikation mit Bundesbehörden gelten. Verwaltungen der Länder und Kommunen sollen bald folgen.

Diese neue Form der Willenserklärung soll die qualifizierte elektronische Signatur (qeS) nach Signaturgesetz ersetzen. Hintergrund ist lt. Gesetzentwurf, dass sich die qeS "entgegen ursprünglichen Erwartungen in der Breite der Bevölkerung nicht durchgesetzt" hat. Interessant ist die unterschiedliche Nutzung von Identifikation und Nicht-Abstreitbarkeit: Während bei einer qeS ein Benutzer im Sinne einer Unterschrift eine Willenserklärung abgibt, wird mit dem neuen Personalausweis eigentlich nur die Identifizierung einer Person vorgenommen. Da die zugrundeliegenden kryptographischen Operationen ähnlich sind, ist dies eine eher theoretische Diskussion. Viel wichtiger sind folgende Fragen:

Wie kann ein Benutzer feststellen, ob er gerade eine Willenserklärung abgibt, oder sich bloß identifiziert? Und wie kann der Empfänger eines elektronischen Dokumentes mit Identifikationsnachweis mit nPA sicher sein, dass der vermeintliche Absende diese Unterschrift später nicht abstreitet mit der Argumentation, sich bloß identifiziert zu haben?

Wichtig scheint in diesem Zusammenhang auch zu sein, wie die Anwendungen bzw. Web-Formulare gestaltet sind. Und ob sie den Anforderungen an eine sichere Benutzung genügen. Und es stellt sich die Frage, wer eine solche Anwendung überhaupt prüft. Es liegt nahe, die Erfahrungen aus dem Bereich des Signaturgesetzes mit den bestätigten Produkten zu nutzen.

Risiken ergeben sich darüber hinaus bezüglich des Datenschutzes und der Datensicherheit. Die Menge an sensiblen Daten, die von Bürgern und Unternehmen an die Verwaltungen über Online-Formulare übermittelt wird, wird quantitativ erheblich zunehmen. So wird von Aufsichtsbehörden angemerkt, dass ein datenschutzrechtliches Risiko besteht, wenn der Diensteanbieter von DE-Mail die verschlüsselten Daten des Anwenders zur Prüfung auf Schadsoftware entschlüsselt.

Welche Daten der Diensteanbieter aus dem nPA auslesen darf, ist zwar reglementiert. Allerdings stellt sich die Frage, wer überhaupt überprüft, ob diese Systeme korrekt betrieben werden. Gegenwärtig wird lediglich ein Sicherheitskonzept gefordert, das gemäß IT-Grundschutz-Methodik nach BSI-Standard 100-2 aufgebaut ist. Allerdings ist keine unabhängige Prüfung oder Zertifizierung notwendig, so dass für den Bürger überhaupt nicht klar ist, ob ein sicherer Betrieb der Systeme gewährleistet ist.

Aus Sicht der datenschutz cert GmbH sollten die langjährigen Erfahrungen aus dem Signaturrecht und der Prüfung von Sicherheitskonzepten unbedingt genutzt werden.

Von Dr. Sönke Maseberg in der Rubrik cert News