VPS

Die Abkürzung VPS steht in der Regel für Virtuele Poststelle. Damit ist eine zentrale Software gemeint, die an einer Stelle für eine Behörde, Institution oder Firma die Aufgaben der Verschlüsselung und/oder Signatur übernimmt. In diesem Beitrag geht es nicht um die technische Einbindung einer VPS, sondern um organisatirsch, juristische Aspekte. Zwar regelt das Signaturgesetz in Deutschland in Verbindung mit § 126a BGB und § 3a VwVfG sowie spezialgesetzlicher Vorschriften (z.B. SGB X) die Rechtsverbindlichkeit. Jedoch können die erforderlichen Prozesse organisatorisch unterschiedlich implementiert werden. Hierbei gibt es kein richtig oder falsch. Vielmehr sind (unterschiedlich zu gewichtende) Zweckmäßigkeitserwägungen ausschlaggebend.

In den Artikeln Mail Verschlüsselung und Signatur habe ich bereits die Aspekte der originären Arbeiten aufgeführt. Die VPS nimmt den einzelnen Mitarbeitern jedoch die Arbeit der Ver- und/ oder Entschlüsselung und die Arbeiten der fortgeschritten Signatur und /oder fortgeschrittenen und qualifizierten Identifikation/ Setzen des Zeitstempels und Authetifikation ab. Dies hat den charmanten Vorteil, dass nicht alle Mitarbeiter in die Tiefen der Signatur und Verschlüsselung eingewiesen werden müssen.

Allerdings sind dafür Entscheidungen zu treffen, wie jeweils vorzugehen ist. Einige Aspekte sollen hier aufgeführt werden. Allerdings werden hier auch Fragen aufgezeigt, die noch nicht alle explizit geklärt sind und die folglich zumindest im Rahmen des Weisungsrechtes angesprochen werden sollten.

Zum Thema Verschlüsselung:
Welche Mail wird verschlüssel?
Es gibt die Möglichkeit, regelbasiert oder empfängerbasiert Mails zu verschlüsseln. Geschieht die Verschlüsselung empfängerbasiert, besteht die Gefahr, dass der Mitarbeiter davon ausgeht, dass für den Empfänger schon ein öffentlicher Schlüssel vorliegt. Wird dagegen regelbasiert verschlüsselt (z.B. duch die Regel, #KEY# in den Betreff einzufügen), verbleibt die Verantwortung, den Datenschutz zu gewährleisten, beim Mitarbeiter.

Wer muss den öffentlichen Schlüssel des Kommunikationspartners besorgen?
Es müssen eindeutige Regeln definiert werden, damit die Mitarbeiter das Instrument der Verschlüsselung nicht entnervt vernachlässigen. In größeren Bereichen bietet sich die Chance, besondere Bereichskoordinatoren hiermit zu beauftragen. Dies hat den Vorteil, dass Mitarbeiter in selben Bereichen meist auch die selben Kommunikationspartner haben und die öffentlichen Schlüssel dann nicht mehrfach angefordert werden. Wird der Schlüssel dann auch zuächst an die Koordinatoren geschickt, wissen diese auch, dass kurzfristig der vertrauliche Mailversand an diese Kommunikationspartner möglich ist.

Zum Thema Zugang:

Welche Adressen werden für den Empfang (rechtsverbindlicher) qualifizierter Signaturen zugelassen?
Technisch ist es möglich, die Anzahl der Mitarbeitermailadressen für die Zugangseröffnung nicht zu limitieren, da die VPS technisch vor dem Mailsystem erst die Mail erhält, die erforderlichen Prüfungen vornimmt und anschließend die Mail mit einem Verarbeitungshinweis an den betreffenden Mitarbeiter weiterleitet. Ob dies jedoch auch sinnvoll ist, mag dahingestellt bleiben. Da nur wenige Mitarbeiter wissen, wie sie mit qualifizert signierten Mails umgehen sollen, viele Mitarbeiter sogar den Unterschied der Signaturarten nicht kennen, sollte eine zentral verwaltete Mailadresse für die Zugangseröffnung verwendet werden. Abhängig von den erfolgten Systemprüfungen kann dieser zentrale Mitarbeiter dann entscheiden, wie weiter zu verfahren ist.

Ebenfalls ist es wichtig, dass die Mitarbeiter die Attribute richtig deuten. Zu jeder Signatur können mehrere Attribute vergeben werden. Diese Attribute schränken jedoch die Unterschrift ein!

Für welche Dateitypen wird der Zugang eröffnet?
Bei der Zugangseröffnung ist zwingend anzugeben, welche Dateitypen und welche Versionen akzeptiert werden. Schließlich muss der  Mailempfänger auch in der Lage sein, diesen Dateityp zu lesen, um von dem Inhalt Kenntnis zu erlangen. Vorsichtshalber sollte bei den Versionen nicht nur die höchste Version angegeben werden. Bereits heute können ohne Hilfsmittel die ersten Wordversion nicht mehr ohne Hilfsmittel gelesen werden.

Wie wird die Mail incl. Signatur gespeichert, damit auch nach Jahren noch festgestellt werden kann, ob die Signatur zum Zeitpunkt der Signaturerstellung gültig war.

Bei Vorhandensein einer zentralen Signatursoftware (z.B. Julia Mailoffice) darf die Signatur nicht vom Dokument bzw. von der Signatur getrennt werden.  Ist z.B. ein Widerspruch als Dokumentanlage zu einer Mail signiert und die Mail bei der unzuständigen Behörde gelandet, muss die Mail mit dem signierten Dokument zur richtigen Behörde weitergeleitet werden. Hat die zuständige Behörde jedoch den Zugang noch nicht eröffnet, muss diese den Absender hierüber in Kenntnis setzen. 

Im Regelfall erstellt eine zentrale Signatursoftware eine Verarbeitungsmitteilung. Diese enthält Hinweise zur Gültigkeit der Signatur und zu den Attributen. Allerdings besteht die Verarbeitungsmeldung aus einer TXT-Datei. Diesse Textdatei sollte wiederum intern signiert werden, um sie vor Manipulation zu schützen.

Wenn ein Dokument signiert wird, kann es anschließend per Mail versendet werden. Auch wenn die Mailadresse nicht mit der Adresse der Dokumentensignatur übereinstimmt, verbleibt es dabei, dass ein signiertes (unterschriebenes) Dokument versendet wurde. Beinhaltet jetzt die Mail mit dem signierten Dokument einen Widerspruch, (zur Fristwahrung), so sind zwei "Zeitstempel" zu berücksichtigen. Zum Einen ist zu prüfen, ob zum Zeitpunkt der Signatur des Dokumentes die Signatur gültig (und z.B. nicht gesperrt) war. Zum anderen ist zu prüfen, wann die Mail eingegangen ist, da erst der Maileingang den Zeitpunkt des Widerspruchseingangs darstellt.

Zum Thema Signatur:
Wer signiert qualifiziert?
Grundsätzlich können zwei Arten des Transportweges unterschieden werden. Werden Daten signiert, die in einer Java- oder Webapplikation erzeugt werden, so kann die Signatur nur von den Personen erfolgen, die mit dieser Anwendung arbeiten. Die Daten werden anschließend verfahrensabhängig weiter verarbeitet.
Im Gegenzug dazu kann ein Dokument mit einer Anwendung erzeugt werden (Office, PDF etc.) und anschließend per Mail an Dritte übermittelt werden.  Irgendwann werden wir soweit sein, dass alle Mitarbeiter Signaturkarten besitzen und der Gebrauch der Signaturkarte so etabliert ist wie der Gebrauch des Kugelschreibers oder des PC. Derzeit allerdings gibt es die Gesetze und die Technik. Die Nutzung der qualifizierten Signatur ist noch so selten, dass ebenfalls noch keine vielfältige Rechtsprechung vorliegt. Folglich ist es nachvollziehbar, dass zunächst nur wenige Personen außerhalb der oben beschriebenen Webanwendungen mit qualifizierten Signaturkarten ausgestattet werden. Aus diesem Grunde kann es sinnvoll sein, Dokumente, die per Mail an Dritte qualifiziert signiert weitergeleitet werden sollen,  zunächst an zentraler Stelle signieren zu lassen.

Wie wird ein Dokument per Mail von einer Behörde signiert?
Da das Dokument jederzeit von der Mail getrennt werden kann, ist  das Dokument qualifiziert (natürliche Person mit Attribut) zu signieren. Die Mail widerrum sollte fortgeschritten (Zertifikat der Behörde) signiert und mit einem erklärenden Text versehen werden. Es ist zu prüfen, ob die zentral ermächtigten Mitarbeiter auf der Homepage namentlich erwähnt werden. (Dies wid sich bei einer weiteren Verbreitung der qualifizierten Signatur sicherlich erübrigen.)

Zum Thema Signaturkarten(bei Behörden):
Die qualifizierte Signatur ersetzt die eigenhändige Unterschrift und ist folglich an eine Person gebunden. Deshalb hat die Beantragung der Signatur vom jeweiligen Mitarbeiter (per Unterschrift) zu erfolgen. Nach einer Sperrung der Signatur geht der Vertrag (incl. Rechnung) an die Privatperson über. Der Vertrag kann nur von der jeweiligen Privatperson gekündigt werden. Genauso, wie die Unterschrift einer Person "gehört", könnte die Signaturkarte demnach ebenfalls einer Person und nicht dem Arbeitgeber gehören.  Da dies den Anschein hat, ist seitens des Arbeitgebers der Gebrauch der Signaturkarte zu regeln. Kompliziert wird das Rechtsverhältnis jedoch bei Vorliegen von Rahmenverträgen. Kann der Rahmenvertragspartner den Kartenvertrag kündigen, ohne originärer Karteninhaber zu sein? In der Praxis soll es so möglich sein. - Rechtsprechung dazu ist jedoch spärlich bis gar nicht vorhanden.

Wo werden Sperrpasswort, PIN und Signaturkarte aufbewahrt? (am Mann, im Tresor, unter Verschluss, etc.)
Nicht in jedem Büro steht ein Tresor. Folglich sind andere Entscheidungen bzgl. des Aufbewahrungsortes der Signaturkarte zu treffen. Da die Signaturkarte zudem nur in Verbindung mit einer PIN verwendet werden kann, sind an die Anforderungen zum Aufenthaltsort der Signaturkarte nicht sehr hoch. Zwar handelt es sich um eine Signaturkarte für eine natürliche Person - also für den Mitarbeiter, jedoch wurde die Karte vom Arbeitgeber finanziert. Folglich hat der Arbeitgeber das Weisungsrecht für den Aufbewahrungsort der Signaturkarte.
Das Sperrpasswort sollte sicherlich in einem verschlossenen Umschlag beim Vorgesetzten (zusätzlich Sperrberechtigten) aufbewahrt werden. Die PIN solte sicherlich auch irgendwo schriftlich aufbewahrt werden.  Zwar handelt es sich um eine vom Arbeitgeber finanzierte und nur für Zwecke des Arbeitgebers zu nutzende Signaturkarte, jedoch wird jede qualifizierte Signatur nur für natürliche Personen ausgestellt. Folglich kann die Kombination Signaturkarte (mit Attribut) und PIN dem Grunde nach auch für private Rechtsgeschäfte verwendet werden.  Es muss ausgeschlossen werden, dass außer der Person, auf die die Signaturkarte ausgestellt wurde, andere Personen in den Besitz von Signaturkarte und PIN gelangen können. Die Signaturkarte ist nicht Ersatz für einen Stempel oder ein Siegel, sondern ist der eigenhändigen Unterschrift einer natürlichen Person gleichgestellt.

Welches Attribut verwende ich?
Einer qualifizierten Signatur für eine natürliche Person können mehrere Attribute zugeordnet werden, um einen Bezug zu einer Firma oder Behörde herzustellen. Diese Attribute beschränken sich nicht nur auf den Firmen- oder Behördennamen, sondern können prosaischen Text (Frau X. ist Mitarbeiter von und hat die Berechtigung, dies und das bis zu einem Wert von X € zu tun.) enthalten. Hier sollte eine Abwägung getroffen werden, um bei einer zu kleingliedrigen Attributverwaltung nicht in eine unendliche Signaturvkartenverwaltung bei Mitarbeiterwechseln etc. zu verfallen.

Erweitern Attribute die Signatur oder schränken sie diese ein? Wie oben beschrieben, kann ein Attribut die Rechte der natürlichen Person erweitern, um auch für Firmen und Behörden rechtskräftige Erklärungen abzugeben. Hat jedoch eine Attributbeschränkung (seitens des Arbeitgebers) auf Erteilung von Aufträgen in Höhe von 0 € (also keine finanziellen Verpflichtungen eingehen zu dürfen) auch Auswirkungen auf die Verwendbarkeit der Signaturkarte im privaten Bereich? Darf bzw. kann eine Signaturkarte mit einem "Firmenattribut" privat verwendet werden oder kann diese Karte dann nur noch (unabhängig von der Weisung/ Erlaubnis des Arbeitgebers) dienstlich verwendet werden? Rechtsprechung liegt hierzu noch nicht vor, so dass auf jeden Fall interne Regelungen hierzu zu treffen sind.


Klassifikation des Schriftverkehrs
Wann ist die eigenhändige Unterschrift vom Bürger erforderlich und wann reicht eine normale Mail aus?
Diese Frage ist absolut nicht technischer Natur. Aus diesem Grunde darf die Beantwortung auch nicht von Technikern oder technisch affinen Personen erfolgen. Hier sind die jeweiligen Führungskräfte für die Fachbereiche gefragt, die die Kommunikation zu klassifizieren haben.
Lediglich, wenn die eigenhändige Unterschrift zwingend erforderlich ist, muss die qualifizierte Signatur vom Bürger/ Antragsteller gefordert werden. Nur die qualifizierte Signatur ist entsprechend dem Signaturgesetz der eigenhändigen Unterschrift gleichgestellt. Allerdings gibt es nur einige spezialgesetzliche Vorschriften, die die eigenhändige Unterschrift fordern. Die bekannteste und weithin häufigste Grundlage ist im § 70 der Verwaltungsgerichtsordnung geregelt. Der Widerspruch ist schriftlich oder zur Niederschrift einzulegen. Wenn also der Zugang der Behörde für die qualifizierte Signatur noch nicht eröffnet wurde oder der Widerspruch ohne qualifizierte Signatur erfolgt, ist er nicht zulässig! Mailprovider, die Deutsche Post und auch das De-Mail Konsortium gaukeln per Hochglanzwerbung Rechtsverbindlichkeit vor, jedoch  führen Behörden, die einen De-Mail oder E-Postbriefzugang eröffnen ihre Bürger damit in die Irre. "Hony soit qui mal y pense:" Leider sind das nicht die einzigen Probleme, die De-Mail und E-Postbrief verbergen!
Bei allen anderen Sachverhalten wird es schon einfacher - allerdings ist Regelungsbedarf vorhanden. Wie reagiere ich beim Eingang einer normalen Mail? Reichen die nicht geschützten Mail-Informationen aus, um behördlich tätig zu werden? Ein kleines Beispiel soll dies verdeutlichen.
Zum Jahresende 2009 und 2010 hatten wir selbst in Nordrhein Westfalen härtere Winter als üblich. Bedingt durch längeren Schneefall konnte die Straßenreinigung nicht überall durchgehend vorgenommen werden, so dass einige Grundbesitzer einen satzungsgemäßen Erstattungsanspruch haben. Als Gruppe von mehreren Personen besitze ich mehrere Konten und richte mir Mailadressen bei privaten Mailprovidern entsprechend den Namen vieler Nachbarn ein und beantrage per Mail die Erstattung der anteiligen Straßenreinigungsgebühr. Hierbei gebe ich unterschiedliche Konten an. Darf bzw. muss die Behörde jetzt tätig werden? Oder muss sie erst prüfen, ob der Absender auch tatsächlich die Person ist, die sie vorgibt zu sein. Abwegig?  Alle Erstattungsbeträge sind auf die Konten von mir oder von meinen Freunden gelandet, da die Banken nicht mehr die Kontonummer mit dem Kontoinhaber/ Zahlungsempfänger abgleicht. Ich als Geldempfänger beschwere mich auch nicht. Durch absoluten Zufall beantragt einer meiner Nachbarn - dessen Name ich missbraucht hatte - ebenfalls die Ersattung der Straßenreinigungsgebühr. Gegen den Hinweis, das Geld schon beantragt und erhalten zu haben, wird er vehement vorgehen. Im Endeffekt kann die Behörde nur eingestehen, einem Betrüger aufgesessen zu sein.
Natürlich waren Unterschriftenfälschungen bisher auch schon möglich. Aber in diesem Fall kann ich als Betrüger nicht belangt werden. Ich habe keinen Straftatbestand erfüllt. Ich hab das doch nur für meine Nachbarn "mitbeantragt" und vergessen, das Geld weiterzuleiten. Im schlimmsten Fall muss ich das Geld erstatten - allerdings nur für den einen Nachbarn, der sich tatsächlich gemeldet hat und wo ich aufgeflogen bin. Alle anderen Beträge behalte ich (zum Schaden der Kommune).

Ich hoffe, dass an diesem Beispiel deutlich wurde, dass die Kommunikation klassifiziert werden sollte. Was ist "unwichtig" bzw. "ohne Konsequenzen" und wo muss ich aufpassen. Jeder muss sich der Tragweite der Handlungen bewusst sein und sich vorher überlegen, ob im Nachhinein Unterlagen zur Beweiskraft benötigt werden. Auf Zuruf durch das geöffnete Fenster reagiert auch keine Behörde, warum aber auf eine "normale" Mail? Bei beiden Fällen sind die Absender - zumindest wenn es sich nicht um permanente Kommunikationspartner handelt - gleich wenig identifizierbar. Anschließend sollte auch festgelegt werden, ob es sich um eine behördliche oder um eine privatrechtliche Kommunikation handelt. Obwohl die Behörde den Zugang für z.B. die fortgeschrittene Signatur eröffnet hat, darf sie vor einer Auftragsvergabe im Baubereich in einer Ausschreibung fordern und anschließend auch im Auftrag festsetzen, dass Baumängel oder Baufortschrittsanzeigen etc. nur schriftlich (bzw. per Fax) und mit eigenhändiger Unterschrift gültig sind. Hier handelt es sich um eine privatrechtliche Vereinbarung, auch wenn behördliche Vorschriften zunächst die Art der Auftragsvergabe (z.B. Ausschreibung) vorschreiben.