Einsatz elektronischer Signaturen in der Sozialversicherung

Inhaltsverzeichnis

Einleitung

Abgrenzung

Begriffsbestimmungen

Technische Umsetzung qualifizierter elektronischer Signaturen

Einsatzgebiete innerhalb der Sozialversicherung

Elektronische Archivierung

Elektronische Kommunikation

Bescheiderteilung

Workflow

Beglaubigung

Zusammenfassung

Literaturverzeichnis:

Einleitung

Die sich rasant entwickelnde Informationstechnik bietet die Möglichkeit von grundlegenden Veränderungen im Ablauf und in der generellen Ausrichtung von Verwaltungsprozessen und – strukturen. Dieses Potenzial kann dazu genutzt werden, nicht nur die Kommunikation zwischen Verwaltung und Bürger effizienter zu gestalten. Ein weiterer Aspekt ist die Modellierung verwaltungsinterner Abläufe, die it-gestützt straffer gestaltet werden können.

Im Gegensatz zur Privatwirtschaft, dort können Rechtsgeschäfte vielfach sozusagen per Mausklick (Stichwort: „Click & Buy“) abgewickelt werden, ist die vollständige elektronische Abwicklung eines Verwaltungsverfahren eher als Ausnahme zu betrachten. Als Beispiel sei an dieser Stelle die Deutsche Emissionshandelsstelle genannt, die vollständige elektronische Verfahren anbietet^[1].

Grund hierfür ist, dass bei vielen Abläufen, auf Grund von Schriftformerfordernissen bzw. zur beweiskräftigen Dokumentation von Willenserklärungen, eigenhändige Unterschriften notwendig sind. Diese müssen bei elektronischen Verfahren entsprechend abgebildet werden können.

Zur Lösung dieses Problems sieht der Gesetzgeber die Verwendung von elektronischen Signaturen (nach SigG) vor, die je nach Niveau materiellrechtlich eigenhändigen Unterschriften gleichgestellt sind (vgl. FormanpassungsG).

Innerhalb der Sozialversicherung haben Dokumentenmanagementsysteme seit Ende der 90er Jahre des vorherigen Jahrhunderts eine weite Verbreitung. Ohne zu sehr auf spätere Ausführungen vorweg zugreifen, elektronische Signaturen werden dort im Rahmen der Beweissicherung dieser sog. optischen Archiv verwendet.

Abgrenzung

Die vorliegende Arbeit befasst sich mit den rechtlichen und technischen Voraussetzungen von elektronischen Signaturen im Allgemeinen und deren Anwendungsmöglichkeit innerhalb der Sozialversicherung.

Gegenstand dieser Arbeit ist nicht die Betrachtung der Langzeitsicherung von elektronischen Signaturen (Übersignatur) sowie die Diskussion über den Einsatz von qualifizierten Zertifikaten eines Zertifizierungsdiensteanbieters mit entsprechender Akkreditierung nach dem SigG.

Begriffsbestimmungen

Das deutsche Signaturrecht sieht nach § 2 Signaturgesetz (SigG) drei Stufen von elektronischen Signaturen vor:

- „elektronische Signaturen“, oftmals als einfache elektronische Signaturen bezeichnet,
- fortgeschrittene elektronische Signaturen,
- qualifizierte elektronische Signaturen.

Nach der Legaldefinition des § 2 Nr. 1 SigG sind unter „elektronischen Signaturen“ Daten in elektronischer Form zu verstehen, die anderen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen.

Klassisches Beispiel ist ein Faksimile einer Unterschrift, die einer E-Mail beigefügt wird.

Dagegen werden unter fortgeschrittenen elektronischen Signaturen (§ 2 Nr. 2 SigG) elektronische Signaturen nach Nr. 1 verstanden, die

- a) ausschließlich dem Signaturschlüssel-Inhaber zugeordnet sind,
- b) die Identifizierung des Signaturschlüssel-Inhabers ermöglichen,
- c) mit Mitteln erzeugt werden, die der Signaturschlüssel-Inhaber unter seiner alleinigen Kontrolle halten kann und,
- d) die mit Daten, auf die sie sich beziehen, so verknüpft sind, dass eine nachträgliche Veränderung der Daten erkannt werden kann.

Im Vergleich zu (einfachen) elektronischen Signaturen bedarf es bei fortgeschrittenen Signaturen einiger Erweiterungen. Ein wesentlicher Aspekt hierbei ist die Forderung, wonach nachträgliche Änderungen am signierten Objekt erkennbar sein müssen.

Darüber hinaus müssen diese Signaturen einen Rückschluss auf den Signaturerzeuger lassen. In diese Kategorie fallen Signaturen beispielsweise aus PGP-Verfahren.

Die höchste Stufe stellen hingegen qualifizierte elektronische Signaturen nach Nr. 3 dar. Systematisch handelt es sich hierbei um fortgeschrittene Signaturen, die zusätzlich auf einem qualifizierten Zertifikat beruhen und mit einer sicheren Signaturerstellungseinheit erzeugt wurden.

Sichere Signaturerstellungseinheiten müssen im Rahmen einer Produktprüfung ihre Konformität mit dem Signaturgesetz nachweisen, diese besondere Eigenschaft wird von zugelassenen Stellen bestätigt. In diesem Zusammenhang wird oft von sog. „bestätigten Komponenten“ gesprochen.

Der wesentliche qualitative Unterschied zur fortgeschrittenen Signatur besteht in der Benutzung von qualifizierten Zertifikaten. Zertifikate sind elektronische Bescheinigungen, die von einem Zertifizierungsdiensteanbieter ausgestellt wurden (vgl. § 2 Nr. 7 SigG). Letztere sind in § 2 Nr. 8 SigG definiert.

Als Übersicht kann folgendes Schaubild des Bundesamt für Sicherheit in der Informationstechnik (BSI)^[2] dienen.

[...]

^[1] Siehe (http://www.dehst.de/cln_011/nn_476146/DE/DEHSt/elektronische__Kommunikation/Elektronische__Kommunikation.html?__nnn=true , 21.11.07, 17:00 Uhr

^[2] [7]: S.8