Alle Züge gestrichen:

Ende September 2021 wurde die Bestellung von 186 Doppelstockzügen aufgrund einer rechtlichen Formalität im Zusammenhang mit der qualifizierten elektronischen Signatur, mit der das Geschäft unterzeichnet wurde, annulliert. Guillaume Forget, Geschäftsführer und E-Signatur-Spezialist der Cryptomathic GmbH, packt aus, was schief gelaufen ist und zeigt auf, was Unternehmen überall aus dem Debakel lernen können. (Ein Artikel vom 30. September 2021/aus dem Englischen übersetzt und geringfügig ergänzt von SIGNIUS.)

Am 21. September 2021 gab der Schweizer Zughersteller Stadler bekannt, dass er einen 3-Milliarden-Euro-Auftrag mit den Österreichischen Bundesbahnen ÖBB aufgrund einer rechtlich unzulässigen elektronischen Unterschrift auf dem Kaufvertrag verloren hat.

Die Folgen eines solchen Ausfalls sind schwerwiegend. Die Kosten einer öffentlichen Ausschreibung in Höhe von mehreren Milliarden gehen in die Millionen, und die Episode könnte die Lieferung um ein Jahr oder mehr verzögern. Und nun hat Stadler keinerlei Zusicherung, den Auftrag noch zu erhalten.

Was ist schief gelaufen?

Aus technischer Sicht war die elektronische Signatur nicht fehlerhaft. Es war der umgebende rechtliche Rahmen, der versagte.

Der Vertrag unterlag österreichischem Recht und war mit einer Qualifizierten Elektronischen Signatur (QES) zu unterzeichnen. Das österreichische Signaturgesetz leitet sich direkt aus dem EU-Recht ab, der Verordnung über elektronische Identifizierungs- und Vertrauensdienste (eIDAS), die gewährleistet, dass eine QES die gleichwertige Rechtswirkung einer handschriftlichen Unterschrift hat.

Stadler nutzte eine QES, um den Vertrag zu unterzeichnen. So weit, so gut.

Das Problem liegt beim Trust Service Provider (TSP), der für die Bereitstellung des Signaturdienstes verwendet wird. Stadler hat einen Schweizer TSP verwendet, wodurch die QES als qualifiziert nach Schweizer Signaturgesetz (ZertES) gilt. Technisch gesehen sind eine QES unter ZertES und eine QES unter eIDAS nahezu identisch. Sie folgen genau den gleichen technischen Standards zusammen mit einem sehr ähnlichen Zertifizierungsrahmen. Der wesentliche Unterschied liegt in der Haftung der erbrachten Dienstleistungen. EU- und EWR-Staaten folgen dem eIDAS-Rahmen, der grenzüberschreitende Interoperabilität zwischen allen EU- und EWR-Mitgliedstaaten bietet. Mit anderen Worten, was in Deutschland qualifiziert ist, hat genau die gleiche Rechtswirkung wie das, was in Österreich qualifiziert ist.

Diese Interoperabilität ist jedoch strikt auf die EU-Mitgliedstaaten beschränkt. Die Regelungen von eIDAS und ZertES sehen die Möglichkeit vor, ein Anerkennungsabkommen mit Drittstaaten zu schließen, aber in diesem Fall wurde keines verhandelt oder abgeschlossen. Im Jahr 2017 bestätigte der Leiter der Rechtsdatenverarbeitung des Bundesamtes für Justiz bei einer Cryptomathic -Konferenz in Zürich, dass trotz der gleichen zugrunde liegenden Standards Interoperabilität nicht automatisch gegeben ist, solange es kein Abkommen über die gegenseitige Anerkennung zwischen EU und Schweiz gibt.

Zwangsläufig hat dann das österreichische Bundesverwaltungsgericht erklärt, dass die Schweiz nicht zur EU gehört und die Rechtsordnungen nicht angeglichen sind.

Um diesen Verfahrensfehler zu vermeiden, hätte Stadler mit einer qualifizierten elektronischen Signatur signieren müssen, die von einem in einem EU- oder EWR-Land rechtmäßig ansässigen und beaufsichtigten Vertrauensdiensteanbieter geliefert wird, der ordnungsgemäß in die EU-Trusted Lists eingetragen wurde. Alle anderen Dienste, die aus Drittländern wie der Schweiz oder Großbritannien erbracht werden, wären für diesen Zweck nicht geeignet.

Die meisten Anbieter, darunter DocuSign und Adobe, bieten standardmäßig qualifizierte Siegel oder einfache elektronische Signaturen an. Die elektronischen Signaturen sind vor Gericht zulässig, bieten jedoch keine Rechtssicherheit; sie hätten die Voraussetzungen für den österreichischen Vertrag nicht erfüllt.

Wichtigste Erkenntnis: Transaktionen mit mehreren Gerichtsbarkeiten brauchen Rechtssicherheit

Dieser Fall zeigt, wie wichtig es ist, den richtigen E-Signatur-Partner und Lösungsanbieter auszuwählen, um sicherzustellen, dass die Transaktion nicht aufgrund eines Verfahrensfehlers zurückgewiesen werden kann. Die Zusicherung oder gar hohe Sicherheit, dass der Vertrag unterzeichnet wird, reicht für sensible Operationen oder Transaktionen mit hohem Wert nicht aus. Rechtssicherheit ist gefragt.

Die Länder der EU sind in der glücklichen Lage, über einen Rechtsrahmen zu verfügen, der bestimmten Arten von akkreditierten Vertrauensdiensten die gleiche Rechtswirkung wie handschriftlichen Unterschriften gewährt. Dieses Äquivalenzprinzip bedeutet, dass ein elektronisch "ordnungsgemäß" unterzeichnetes Dokument der papiergebundenen Version mit

aus der Kategorie IT & Software & Web




Aufgenommen am: 11.10.2021 13:00:44
Kontakt:SIGNIUS Herr Thomas Maul Schillerstr. 80 12305 Berlin fon ..: +49 30 62937550 email : thomas@signius.de
Firmenporträt:SIGNIUS bietet eine breite Palette an Lösungen & Produkten im Bereich elektronischer Vertrauensdienste, eIDAS & PSD2: fortgeschrittene und qualifizierte elektronische Signaturen, Siegel und Zeitstempel sowie flexible Verfahren zur Online-Identifikation (Onboarding) für Privat- und Firmenkunden, QWAC und PSD2-Siegel.

ArticleIconWerbung