Alle Züge gestrichen:

Wie ein E-Signatur-Fehler einen 3-Milliarden-Euro-Transportvertrag entgleisen ließ

Ende September 2021 wurde die Bestellung von 186 Doppelstockzügen aufgrund einer rechtlichen Formalität im Zusammenhang mit der qualifizierten elektronischen Signatur, mit der das Geschäft unterzeichnet wurde, annulliert. Guillaume Forget, Geschäftsführer und E-Signatur-Spezialist der Cryptomathic GmbH, packt aus, was schief gelaufen ist und zeigt auf, was Unternehmen überall aus dem Debakel lernen können. (Ein Artikel vom 30. September 2021/aus dem Englischen übersetzt und geringfügig ergänzt von SIGNIUS.)

Am 21. September 2021 gab der Schweizer Zughersteller Stadler bekannt, dass er einen 3-Milliarden-Euro-Auftrag mit den Österreichischen Bundesbahnen ÖBB aufgrund einer rechtlich unzulässigen elektronischen Unterschrift auf dem Kaufvertrag verloren hat.

Die Folgen eines solchen Ausfalls sind schwerwiegend. Die Kosten einer öffentlichen Ausschreibung in Höhe von mehreren Milliarden gehen in die Millionen, und die Episode könnte die Lieferung um ein Jahr oder mehr verzögern. Und nun hat Stadler keinerlei Zusicherung, den Auftrag noch zu erhalten.

Was ist schief gelaufen?

Aus technischer Sicht war die elektronische Signatur nicht fehlerhaft. Es war der umgebende rechtliche Rahmen, der versagte.

Der Vertrag unterlag österreichischem Recht und war mit einer Qualifizierten Elektronischen Signatur (QES) zu unterzeichnen. Das österreichische Signaturgesetz leitet sich direkt aus dem EU-Recht ab, der Verordnung über elektronische Identifizierungs- und Vertrauensdienste (eIDAS), die gewährleistet, dass eine QES die gleichwertige Rechtswirkung einer handschriftlichen Unterschrift hat.

Stadler nutzte eine QES, um den Vertrag zu unterzeichnen. So weit, so gut.

Das Problem liegt beim Trust Service Provider (TSP), der für die Bereitstellung des Signaturdienstes verwendet wird. Stadler hat einen Schweizer TSP verwendet, wodurch die QES als qualifiziert nach Schweizer Signaturgesetz (ZertES) gilt. Technisch gesehen sind eine QES unter ZertES und eine QES unter eIDAS nahezu identisch. Sie folgen genau den gleichen technischen Standards zusammen mit einem sehr ähnlichen Zertifizierungsrahmen. Der wesentliche Unterschied liegt in der Haftung der erbrachten Dienstleistungen. EU- und EWR-Staaten folgen dem eIDAS-Rahmen, der grenzüberschreitende Interoperabilität zwischen allen EU- und EWR-Mitgliedstaaten bietet. Mit anderen Worten, was in Deutschland qualifiziert ist, hat genau die gleiche Rechtswirkung wie das, was in Österreich qualifiziert ist.

Diese Interoperabilität ist jedoch strikt auf die EU-Mitgliedstaaten beschränkt. Die Regelungen von eIDAS und ZertES sehen die Möglichkeit vor, ein Anerkennungsabkommen mit Drittstaaten zu schließen, aber in diesem Fall wurde keines verhandelt oder abgeschlossen. Im Jahr 2017 bestätigte der Leiter der Rechtsdatenverarbeitung des Bundesamtes für Justiz bei einer Cryptomathic -Konferenz in Zürich, dass trotz der gleichen zugrunde liegenden Standards Interoperabilität nicht automatisch gegeben ist, solange es kein Abkommen über die gegenseitige Anerkennung zwischen EU und Schweiz gibt.

Zwangsläufig hat dann das österreichische Bundesverwaltungsgericht erklärt, dass die Schweiz nicht zur EU gehört und die Rechtsordnungen nicht angeglichen sind.

Um diesen Verfahrensfehler zu vermeiden, hätte Stadler mit einer qualifizierten elektronischen Signatur signieren müssen, die von einem in einem EU- oder EWR-Land rechtmäßig ansässigen und beaufsichtigten Vertrauensdiensteanbieter geliefert wird, der ordnungsgemäß in die EU-Trusted Lists eingetragen wurde. Alle anderen Dienste, die aus Drittländern wie der Schweiz oder Großbritannien erbracht werden, wären für diesen Zweck nicht geeignet.

Die meisten Anbieter, darunter DocuSign und Adobe, bieten standardmäßig qualifizierte Siegel oder einfache elektronische Signaturen an. Die elektronischen Signaturen sind vor Gericht zulässig, bieten jedoch keine Rechtssicherheit; sie hätten die Voraussetzungen für den österreichischen Vertrag nicht erfüllt.

Wichtigste Erkenntnis: Transaktionen mit mehreren Gerichtsbarkeiten brauchen Rechtssicherheit

Dieser Fall zeigt, wie wichtig es ist, den richtigen E-Signatur-Partner und Lösungsanbieter auszuwählen, um sicherzustellen, dass die Transaktion nicht aufgrund eines Verfahrensfehlers zurückgewiesen werden kann. Die Zusicherung oder gar hohe Sicherheit, dass der Vertrag unterzeichnet wird, reicht für sensible Operationen oder Transaktionen mit hohem Wert nicht aus. Rechtssicherheit ist gefragt.

Die Länder der EU sind in der glücklichen Lage, über einen Rechtsrahmen zu verfügen, der bestimmten Arten von akkreditierten Vertrauensdiensten die gleiche Rechtswirkung wie handschriftlichen Unterschriften gewährt. Dieses Äquivalenzprinzip bedeutet, dass ein elektronisch „ordnungsgemäß“ unterzeichnetes Dokument der papiergebundenen Version mit handschriftlicher Unterschrift rechtlich gleichgestellt wird. Im Streitfall liegt die Beweislast bei der Gegenpartei und der TSP haftet für den Schaden. Die Haftungsobergrenzen werden mit dem TSP festgelegt und folgen in der Regel den Haftungsanforderungen des nationalen Rechts, in dem der TSP registriert ist. In der Schweiz gibt es ähnliche Gesetze, aber noch keine gegenseitige Anerkennung.

Dieser Gleichwertigkeitsgrundsatz ist jedoch nicht in allen Rechtsordnungen vorhanden. Der US-eSign Act beispielsweise gewährt elektronischen Signaturen und Aufzeichnungen rechtliche Anerkennung und gerichtliche Zulässigkeit, bietet jedoch keine vollständige Rechtssicherheit.

 

5 goldene Regeln für rechtssichere E-Signaturen

Unabhängig von Vertrag oder Gerichtsstand sind hier fünf goldene Regeln, die Unternehmen beachten müssen, um nicht in Verfahrensfallen zu tappen:

1. Ohne eine ordnungsgemäß durchgeführte Identifizierung des Unterzeichners gibt es keine Rechtssicherheit.

Lösungen, bei denen keine amtlichen Ausweisdokumente vorzulegen sind, werden niemals Rechtssicherheit verschaffen. Es gibt eine Vielzahl von Lösungen, die nur auf Einladungen per E-Mail, Telefon oder Messaging basieren. Ohne formelle Identitätsprüfung, sei es von Angesicht zu Angesicht oder aus der Ferne (VideoIDent, eID-Ausweis, BankIDent), gibt es keine Gewissheit, dass der Unterzeichner wirklich der ist, für den er sich ausgibt.

2. Es besteht keine Rechtssicherheit, wenn Sie nicht der Unterzeichner sind.

Öffnen Sie das signierte PDF in Adobe und überprüfen Sie das Signaturfeld. Verlassen Sie sich nicht auf die im neuen Dokument hinzugefügten Informationen (z.B. Visualisierungen einer elektronischen Unterschrift), da diese keinerlei rechtlichen Wert haben. Wenn Sie als juristische oder natürliche Person unterschreiben, sollten Sie Ihren Namen, wie in Abbildung 1 dargestellt, erkennen. Wenn Ihr Name hier nicht enthalten ist, sind Sie nicht der rechtliche Unterzeichner.

_Abbildung 1: Nur die im Unterschriftenfeld angezeigten Personen sind die gesetzlichen Unterzeichner._

3. Der Dienstleister muss zulässig sein.

Es gibt immer einen Abschnitt in Ihrem Vertrag, der angibt, welcher Gerichtsstand für den Vertrag gilt. Es ist sehr wichtig, zu überprüfen, ob der Diensteanbieter seinen rechtmäßigen Sitz in derselben Rechtsordnung hat oder in einer Rechtsordnung, die grenzüberschreitende Interoperabilität bietet.

Ist der Gerichtsstand eines Vertrages ein EU- oder EWR-Staat, dann muss der Zertifikatsaussteller (TSP) in der EU-Trusted-List für QES gelistet sein. Bei allen anderen Gerichtsbarkeiten muss der TSP derselben Rechtsordnung angehören.

Es ist jedoch nicht einfach zu überprüfen, wo der Zertifikatsanbieter seinen gesetzlichen Wohnsitz hat. Überprüfen Sie im Signaturfeld die Zertifikatsdetails des Ausstellers.

_Abbildung 2: Hier die Aussage, dass es sich um eine qualifizierte elektronische Signatur nach EU-Verordnung (eIDAS) handelt. Eine solche Überprüfung hätte Stadler geschützt!_

Zu beachten ist, dass viele PDF-Reader keine elektronischen Signaturen darstellen (z. B. Google Chrome).

4. Es besteht keine Rechtssicherheit, wenn der Unterzeichner nicht ein gewisses Maß an Kontrolle über den Unterzeichnungsvorgang hat

Eine der einfachsten Möglichkeiten, her ein potenzielles Problem zu erkennen, besteht darin, sich den Zustimmungsmechanismus anzusehen. Im Allgemeinen muss ein Unterzeichner seine Zustimmung zu einem Signaturvorgang nachweisen. Diese Einwilligung muss stark an den Signaturvorgang gebunden sein und wird in der Regel über eine Zwei-Faktor-Authentifizierung, über eine App oder SMS-basierte Einmalpasswörter (TAN) bereitgestellt.

Jede Lösung, die einfach auf Benutzername/Passwort basiert oder mit einem statischen Mechanismus (z. B. das Einkratzen einer Unterschrift auf einem Pad oder Mobiltelefon) operiert, wird als nicht stark genug angesehen, um das erforderliche Sicherheitsniveau zu bieten, um gegen Wiederholungen oder Man-in-the-Middle-Angriffe zu schützen.

5. Ohne technische Unbestreitbarkeit keine Rechtssicherheit

Dieser Aspekt ist für einen Nicht-Experten schwieriger zu überprüfen, d. h. die Gewissheit herzustellen, dass jemand die Gültigkeit der elektronischen Signatur nicht leugnen kann. Wenn man etwas im Webbrowser oder einen mobilen App liest, wie kann man dann sicher sein, dass der gelesene Text echt ist, aus der richtigen Quelle stammt und mit dem angezeigten Inhalt übereinstimmt?

Cryptomathic führte das (auch von SIGNIUS genutzte) Konzept von What You See Is What You Sign (WYSIWYS) ein und implementierte eine Lösung, die mit einem hohen Maß an Sicherheit gewährleistet, dass das/die zu Beginn des Signaturflusses empfangene(n) Dokument(e) wirklich authentisch ist/sind, dass der Benutzer seine vorsätzliche Zustimmung erteilt, dass die unterschriebenen Dokumente nicht verändert wurden und für die Langzeitarchivierung unterschrieben sind. Schließlich speichern wir auch die Protokolle und können das visuelle Erlebnis Tage und Jahre nach der Signaturoperation reproduzieren.

Fazit

Der Rechtsrahmen für die elektronische Auftragsvergabe mit den Österreichischen Bundesbahnen basiert auf österreichischem Recht und beinhaltet unter anderem die EU-Verordnung über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt, d.h. alle EU- und EWR-Mitgliedsstaaten. Jeder Bieter muss daher eine QES beantragen, die von einem in der EU registrierten TSP ausgestellt wurde. In der Schweiz gibt es ähnliche Gesetze, aber kritischerweise gibt es derzeit keine gegenseitige Anerkennung zwischen der EU und der Schweiz, die das für Größenordnungen dieser Art erforderliche Maß an rechtlicher Nichtabstreitbarkeit unterstützt.

Die meisten Anbieter elektronischer Signaturen bieten standardmäßig qualifizierte Siegel oder einfache elektronische Signaturen an. Diese sind vor Gericht zulässig, bieten aber keine Rechtssicherheit, die hier im Mittelpunkt steht.

_Fazit_: Die Anwälte von Stadler hätten die Bedeutung des gesetzlichen Standortes des TSP bei dieser grenzüberschreitenden Transaktion betonen müssen.

Wenn Sie Fragen haben oder Beratung zur Implementierung Ihrer E-Signatur-Lösung benötigen, zögern Sie bitte nicht, uns zu kontaktieren:

Cryptomathic unter cryptomathic.com/contact/contact-us

SIGNIUS unter contact@signius.de

https://www.cryptomathic.com/news-events/blog/all-trains-cancelled-how-an-e-signature-failure-derailed-a-3bn-swiss-austrian-transport-deal

Verantwortlicher für diese Pressemitteilung:

SIGNIUS
Herr Jack Piekarski
Schillerstraße 80
12305 Berlin
Deutschland

fon ..: +49 30 62937550
web ..: https://signius.eu/de
email : connect@signius.de

SIGNIUS bietet eine breite Palette an Lösungen & Produkten im Bereich elektronischer Vertrauensdienste, eIDAS & PSD2: fortgeschrittene und qualifizierte elektronische Signaturen, Siegel und Zeitstempel sowie flexible Verfahren zur Online-Identifikation (Onboarding) für Privat- und Firmenkunden, QWAC und PSD2-Siegel.

Pressekontakt:

SIGNIUS
Herr Thomas Maul
Schillerstr. 80
12305 Berlin

fon ..: +49 30 62937550
email : thomas@signius.de

Disclaimer: Diese Pressemitteilung wird für den darin namentlich genannten Verantwortlichen gespeichert. Sie gibt seine Meinung und Tatsachenbehauptungen und nicht unbedingt die des Diensteanbieters wieder. Der Anbieter distanziert sich daher ausdrücklich von den fremden Inhalten und macht sich diese nicht zu eigen.