Die Verbreitung elektronischer Dienstleistungen hat sich gerade auch im Bankensektor zu einer eindrucksvollen Erfolgsgeschichte entwickelt. So beziffert der Bundesverband Deutscher Banken die Steigerung des Anteils deutscher Privatkunden, die ihre Bankgeschäfte via Onlinebanking abwickeln, von elf Prozent im Jahr 2000 auf 36 Prozent im April 2008.
Während die elektronisch unterstützte Online-Abwicklung einfacher Dienstleistungen wie der Überweisung inzwischen zum Standardangebot von Banken gehört, so kommt es heute dennoch bei einer Vielzahl von Geschäftsvorfällen insbesondere mit Neukunden zum sogenannten Medienbruch: Potenzielle Neukunden müssen einen über das Internet gestellten Antrag, beispielsweise bei der Eröffnung eines einfachen Girokontos, handschriftlich unterschreiben sowie sich einer Identitätsfeststellung in der Bankfiliale oder per Post-ident-Verfahren unterziehen.
Ähnliches gilt für Bestandskunden, die bestimmte Finanzprodukte oder Dienstleistungen nicht per klassischem Online Banking erwerben beziehungsweise abwickeln können. Gerade bei entsprechend hoch standardisierten Produkten und Dienstleistungen bei denen kaum individueller Beratungsbedarf besteht (siehe Abbildung), steht dieser Medienbruch dem Dienstleistungsgedanken beziehungsweise bestehenden Marketingkampagnen zur Neukundengewinnung entgegen.
In ihren aktuellen Online-Marketingkampagnen bemühen sich heute eine Vielzahl von Kreditinstituten um die Anwerbung von Neukunden im Retailgeschäft - beispielsweise durch die Gewährung zeitlich befristeter Sonderkonditionen wie etwa der erhöhten Verzinsung auf Spareinlagen. Aber auch für diese Angebote gilt: Keine Sonderkonditionen ohne die handschriftliche Unterschrift unter dem aus dem Internet geladenen und ausgedruckten Antrag. Durch den Medienbruch ist es schwer zu erkennen, welchen tatsächlichen Erfolg die Online-Kampagne aufweist. Zudem kann es dazu kommen, dass der potenzielle Kunde sich während dieses Prozesses umentschließt und auf einen Vertragsabschluss verzichtet, den er vorgenommen hätte, wenn dies vollständig online möglich gewesen wäre. Daher sollte es im Interesse von entsprechend ausgerichteten Banken sein, eine vollständige Abwicklung des Vertragsabschlusses online zu ermöglichen.
Basistechnologie des elektronischen Rechtsverkehrs
Hier bietet sich mit der elektronischen Signatur ein geeignetes Verfahren an. Elektronische Signaturverfahren ermöglichen es je nach ihrer konkreten Ausgestaltung, Vertragsabschlüsse rechtsverbindlich, beweissicher und medienbruchfrei auf elektronischem Wege, das heißt im Rahmen des Online-Angebotes des Finanzdienstleisters abzuwickeln. Dabei dient die elektronische Signatur dazu, die Identität des Ausstellers festzustellen sowie die Unversehrtheit der signierten Daten nachzuweisen. Sie bildet daher die Basistechnologie des elektronischen Rechtsverkehrs. Bereits vor über zehn Jahren hat der Gesetzgeber mit Signaturgesetz und Signaturverordnung einen Rechtsrahmen geschaffen, der die Verwendung, Anforderungen und Rechtsfolgen der elektronischen Signaturen regelt. Ihr flächendeckender Einsatz im Geschäftsverkehr zwischen Bankkunde und Bank steht jedoch bis heute aus.
Das Signaturgesetz unterscheidet prinzipiell vier Formen elektronischer Signaturen: die einfache, die fortgeschrittene, die qualifizierte und die akkreditierte Signatur. Materiell-rechtliche Anforderungen werden mit Ausnahme der Datenschutzbestimmungen nur für die zwei zuletzt genannten Verfahren aufgestellt.
Einfache elektronische Signaturen: Hiervon ist bereits bei all den Daten auszugehen, die anderen elektronischen Daten beigefügt werden und zur Authentifikation dienen. Da sie weder fälschungssicher noch mit den anderen Daten fest verknüpft sein müssen, fallen darunter etwa auch eingescannte Unterschriften, die jederzeit vom Datenempfänger oder Dritten entfernt und manipuliert werden können.
Fortgeschrittene elektronische Signaturen: Diese werden durch vier Merkmale definiert. Die Signatur muss dem Signatur-schlüssel-Inhaber ausschließlich zugeordnet sein, die Identifizierung des Sig-naturschlüssel-Inhabers ermöglichen, mit Mitteln erzeugt werden, die der Signatur-schlüssel-Inhaber unter seiner alleinigen Kontrolle halten kann, und mit den Daten, auf die sie sich bezieht, so verknüpft sein, dass eine nachträgliche Veränderung der Daten erkannt werden kann.
Da diese Voraussetzungen derzeit nur durch die Technologie asymmetrischer Kryptografie mit einer Public-Key-Infrastruktur (PKI) gewährleistet werden, spricht der Gesetzgeber durch die fortgeschrittenen Signaturen insbesondere diese Tech nologie an. Allerdings werden für die ver wendeten Algorithmen, für die technische und organisatorische Struktur der Zer tifizierungsdiensteanbieter sowie für die Signaturerstellungseinheiten, wie etwa Signaturkarten, und Signaturanwendungskomponenten, wie zum Beispiel Kartenlesegeräte, keine Anforderungen im Signaturgesetz aufgestellt.
Qualifizierte elektronische Signaturen: Hierbei handelt es sich um fortgeschrittene Signaturen, die zum Zeitpunkt ihrer Erzeugung auf einem gültigen qualifizierten Zertifikat beruhen und mit einer sicheren Signaturerstellungseinheit erzeugt wurden. Qualifizierte Zertifikate sind elektronische Bescheinigungen, mit denen Signaturprüfschlüssel einer Person zugeordnet werden und die Identität dieser Person bestätigt wird.
Diese Zertifikate müssen die Voraussetzungen des § 7 SigG erfüllen und von Zertifizierungsdiensteanbietern ausgestellt werden, welche die Anforderungen des Signaturgesetzes und der Signaturverordnung einhalten.
Der Zertifizierungsdiensteanbieter muss die Zertifikate für den darin angegebenen Gültigkeitszeitraum sowie für weitere fünf Jahre ab dem Schluss des Jahres aufbewahren, in dem die Gültigkeit des Zertifikats endet.
Unter einer sicheren Signaturerstellungseinheit sind Software und Hardwareeinheiten zur Speicherung des Signierschlüssels zu verstehen, wenn sie die Voraussetzungen des § 17 SigG und § 15 SigV erfüllen. Akkreditierte elektronische Signaturen: Auch akkreditierte elektronische Signaturen müssen alle genannten Voraussetzungen einer qualifizierten Signatur erfüllen. Im Unterschied zu dieser erfolgt die Erteilung des Zertifikats jedoch durch einen ak kreditierten Zertifizierungsdiensteanbieter. Voraussetzung für die Akkreditierung ist die Vorabprüfung der gesetzlichen Anforderungen. Im Unterschied zu qualifizierten Signaturen sind Zertifikate mindestens 30 Jahre ab dem Schluss des Jahres, in dem die Gültigkeit des Zertifikats endet, aufzubewahren und online prüfbar und abrufbar zu halten.
Bei Insolvenz eines akkreditierten Zertifizierungsdiensteanbieters ist anders als bei qualifizierten Zertifikaten auch eine Übernahme der Zertifikate durch die Bundesnetzagentur vorgesehen, wenn sich kein anderer Zertifizierungsdiensteanbieter hierfür findet. Weiterhin sind nur akkreditierte Signaturen in die Zertifikatshierarchie mit der Bundesnetzagentur als Vertrauensanker eingebunden.
Qualifizierte und akkreditierte Signaturen sind Schriftformersatz Die Rechtsfolgen elektronischer Signaturen werden nicht im Signaturgesetz geregelt, sondern in den Gesetzen, die den Lebensbereich regeln, in dem die Signaturen eingesetzt werden. Für den Bereich der Bankgeschäfte werden beispielsweise die elektronische Form im Bürgerlichen Gesetzbuch und der Beweiswert elektronisch signierter Dokumente in der Zivilprozessordnung geregelt.
Formvorschriften: Durch das Formvorschriftenanpassungsgesetz hat der Gesetzgeber in § 126a BGB die elek tronische Form normiert und sie der Schriftform gleichgesetzt. Für die elektronische Form muss der Aussteller der Erklärung seinen Namen hinzufügen und diese mit einer qualifizierten Signatur nach dem Signaturgesetz versehen. Demnach sind nur qualifizierte und akkreditierte Sig naturen als Schriftformersatz zu betrachten. Fortgeschrittene oder einfache elektronische Signaturen erfüllen per se keine Formerfordernisse.
Beweiswert: Der Anschein der Echtheit einer in elektronischer Form vorliegenden privaten Willenserklärung, der sich aufgrund der Prüfung nach dem Signaturgesetz ergibt, kann gemäß § 371a Abs. 1 Satz 2 ZPO nur durch Tatsachen erschüttert werden, die ernstliche Zweifel daran begründen, dass die Erklärung mit dem Willen des Signaturschlüssel-Inhabers abgegeben worden ist. Dieser vorweggenommene Anscheinsbeweis greift demnach ein, wenn die Erklärung zumindest mit einer qualifizierten Signatur versehen wurde.
Beruft sich der Beweisführer auf den Anscheinsbeweis, hat er jedoch im Bestreitensfall nachzuweisen, dass eine qualifizierte Signatur vorliegt. Dafür müsste er beweisen, dass die hierfür geltenden Voraussetzungen des Signaturgesetzes erfüllt sind.
Der Beweiswert fortgeschrittener elektronischer Signaturen ist nicht gesetzlich geregelt. Der Beweisführer ist daher darauf angewiesen, die Integrität und die Authentizität der signierten Erklärung detailliert nachzuweisen.
Bisher hat sich der Einsatz von elektronischen Signaturen im Onlinebanking beziehungsweise im Online-Vertragsabschluss noch nicht durchgesetzt, was insbesondere darauf zurückzuführen ist, dass sich Finanzdienstleister keiner bestehenden Systeminfrastruktur bedienen können und andererseits die Anreize für ihre Kunden nicht ausreichend erscheinen.
Qualifizierte Signaturen in Ausweisdokumente integrieren
Geht man aber von einer verfügbaren Signaturinfrastruktur aus, ergeben sich neue Chancen im Online-Vertrieb der Finanzdienstleister. Dies gilt insbesondere für Finanzprodukte und -dienstleistungen mit geringem Beratungsbedarf, für die sich ein medienbruchfreier und somit kundenfreundlicher Vertragsabschluss realisieren ließe.
Eine mögliche Verbreitungsstrategie stellt die Integration qualifizierter Signaturverfahren in bereits etablierte Ausweisdokumente dar, die über eine hinreichende Verbreitung in der Bevölkerung verfügen und einen entsprechenden Vertrauensvorschuss genießen. Neben einer sehr hohen Identifikations- und Fälschungssicherheit hat ein staatlicher Ausweis auch ein Vertrauens- und Funktionsäquivalent, durch das er sich als Trägermedium einer Signaturfunktion gegenüber anderen Karten und Ausweisen qualifiziert.
In anderen EU Mitgliedsstaaten wurde eine solche Signaturinfrastruktur bereits flächendeckend realisiert. So hat beispielsweise Belgien als eines der ersten europäischen Länder Personalausweise mit einer elektronischen Signatur eingeführt.
Auch in Deutschland werden Bestrebungen zur Einführung der qualifizierten elektronischen Signatur unternommen. Für den elektronischen Personalausweis ist die Möglichkeit vorgesehen, qualifizierte Signaturen zu integrieren. Aufgrund der Ausweispflicht für Deutsche ab einem Alter von 16 Jahren würden durch diese Integration rund 65 Millionen Bürger erreicht werden. Somit wäre eine kritische Masse erreicht, ab der sich Einsparungen erzielen lassen und Anwendungen attraktiver gestaltet werden können.
Ein weiteres Medium, mit dem qualifizierte elektronische Signaturen erzeugt werden könnten, ist die elektronische Gesundheitskarte. § 291 Abs. 2a S. 3 SGB V schreibt vor, dass die ihr zugrunde liegende Technologie "Authentifizierung, Verschlüsselung und elektronische Signatur ... ermöglichen" muss. Die Gesundheitskarte sollte bereits Anfang 2006 in ganz Deutschland verbreitet werden, doch ihre Einführung wurde verschoben. Sie steht seitdem zumindest in acht Regionen in der Erprobungsphase.
Vertrieb auf den elektronischen Personalausweis abstimmen
Vertriebskonzepte, die auf den Abschluss von Online-Verträgen beruhen, werden in der Finanzdienstleistungsbranche insbesondere aufgrund mangelnder Infrastrukturen nur sehr zögerlich am Markt angeboten. Dies ist insbesondere auf den geringen Einsatz qualifizierter elektronischer Signaturen im Retail-Bankengeschäft zurückzuführen. Dabei bieten On-line-Vertragsabschlüsse insbesondere bei Produkten und Dienstleistungen mit geringem Beratungsbedarf sowohl für Kunden als auch für Finanzdienstleister Vorteile beim Vertragsabschluss.
Dennoch bieten die meisten Anbieter solcher Dienstleistungen noch keine Online-Vertragsabschlüsse mittels qualifizierter elektronischer Signaturen an, was auf die geringe Verbreitung von Signaturerstellungseinheiten zurückzuführen ist. Diverse aktuelle durch die Politik geförderte Projekte zielen auf die flächendeckende Einführung einer Signaturinfrastruktur ab und eine entsprechende Entwicklung scheint absehbar. Hierauf sollten die Finanzdienstleister mit geeigneten Online-Vertriebskonzepten vorbereitet sein.