Digitale Signatur mit SMS-Authentifizierung rechtsgültig?

Ist eine digitale Signatur mittels einer E-Mail/SMS-Authentifizierung rechtsgültig? Am 7. Oktober 2020 fällte das Bezirksgericht Zeeland/Westbrabant ein Urteil in dieser Angelegenheit, das Zweifel aufkommen lässt. Angesichts der Geschwindigkeit, mit der sich die Digitalisierung gerade jetzt entwickelt, kann dieses Urteil nicht unerwähnt bleiben.

Warum diese Entscheidung? Ein Unternehmen nimmt einen Kredit auf, wobei der (vermutlich) einzige Gesellschafter einen Bürgschaftsvertrag als Sicherheit abschließt. Das Unternehmen geht in Konkurs, der Bürge zahlt nicht und beruft sich auf die Ungültigkeit der digitalen Signatur. Das Bezirksgericht wägt seine Möglichkeiten ab und entscheidet zugunsten des Bürgen.

Die digitale Signatur betrifft eine E-Mail in Kombination mit einer SMS. Im Fachjargon handelt es sich um eine "Zwei-Faktor-Authentifizierung" (oder: "2FA"). Diese Form der Authentifizierung beruht auf dem Prinzip "etwas, das der Benutzer weiß, und etwas, das der Benutzer hat". Im Falle einer E-Mail in Kombination mit einer SMS kann dies auf diese Weise geschehen: Der Nutzer kennt seine E-Mail-Anmeldedaten und verfügt über ein Mobiltelefon, auf dem SMS-Nachrichten empfangen werden können. Diese Form der 2FA wurde kürzlich sowohl vom Obersten Gerichtshof der Niederlande (HR 14. Juni 2019, ECLI:NL:HR:2019:957) als auch vom Staatsrat (RvS 30. April 2019, ECLI:NLRVS:2019:1400) als hinreichend bestimmbar akzeptiert, vorausgesetzt natürlich, dass sie aus technischer Sicht korrekt eingerichtet ist.

Das Bezirksgericht betonte die Bedeutung der fraglichen Vereinbarung, eines Bürgschaftsvertrags. Sie wies auch darauf hin, dass der mögliche Missbrauch digitaler Signaturen nicht auf die leichte Schulter genommen werden sollte. Diese Argumentation orientiert sich (wörtlich) an einem früheren Urteil des Bezirksgerichts Amsterdam vom 11. Dezember 2019 (ECLI:NLRBAMS:2019:8755). Angesichts der großen persönlichen Konsequenzen und des Risikos für einen Bürgen spricht auch einiges dafür. Der entscheidende Unterschied zum Amsterdamer Fall besteht jedoch darin, dass hier ein Unterschriftsbild "kopiert" wurde und somit überhaupt keine Zwei-Faktor-Authentifizierung stattfand. Dennoch hielt das Bezirksgericht die 2FA für unzureichend. Da dies nicht der Fall sei, handele es sich nicht um eine fortgeschrittene digitale Signatur, sondern um eine gewöhnliche elektronische Signatur, so das Bezirksgericht. Es stellt sich die Frage, ob die Art und Weise, wie das Bezirksgericht dies analysiert, in einem Hauptsacheverfahren ausreicht, auch angesichts der Tatsache, dass höhere Behörden diese Form der 2FA bereits genehmigt haben.

Das letzte Wort in dieser Sache ist noch nicht gesprochen, es wird erwartet. Adobe ist ein seriöses Unternehmen, und es kann davon ausgegangen werden, dass die digitale Signatur solide konzipiert wurde. Damit sind die (kryptographischen) Anforderungen an eine fortgeschrittene digitale Signatur (im technischen Sinne) erfüllt. Wenn das Zuverlässigkeitsniveau der Authentifizierung als unzureichend eingestuft wird, bedeutet dies nicht automatisch, dass es keine fortgeschrittene digitale Signatur mehr geben kann.

Das Bezirksgericht hatte Zweifel an der Zuverlässigkeit der 2FA, da das Mobiltelefon, an das die SMS gesendet wurde, von jemand anderem als dem Besitzer des Mobiltelefons gelesen worden sein könnte (Grund 4.7). In diesem Fall kann keine direkte Verbindung zwischen dem Unterzeichner und dem in diesem Fall unterzeichneten Sicherungsvertrag hergestellt werden. Folglich hat diese Urkunde keinen zwingenden Beweiswert, sondern ist ohne weiteres zulässig. Der Gläubiger hat jedoch keine weiteren Ansprüche in dieser Hinsicht geltend gemacht, z. B. dass die Vereinbarungen ausgeführt worden sind. Diese Diskussion kann nur im Rahmen eines Verfahrens in der Sache selbst abgeschlossen werden. Es kann durchaus sein, dass die Wirkung dieses Urteils bei Berücksichtigung aller Umstände des Falles begrenzt ist.

Obwohl nicht erörtert, sind auch für den Gläubiger erhebliche Interessen im Spiel. Dabei können die Praktiker auch andere Mittel zur Authentifizierung verwenden. So ist beispielsweise die Verwendung von iDIN in Kreditverträgen ein gängiges Mittel. Aber auch eine qualifizierte digitale Signatur (auf der Grundlage eines qualifizierten Zertifikats, das, wenn man Artikel 3:15a des niederländischen Bürgerlichen Gesetzbuchs liest, in jedem Fall der eigenhändigen Unterschrift gleichwertig ist) kann bei speziellen Verträgen eine Lösung darstellen. Denken Sie zum Beispiel an einen Arbeitsvertrag, einen Versicherungsvertrag oder eine Bürgschaft. Zumal es seit kurzem möglich ist, ein digitales qualifiziertes Zertifikat über die Cloud abzurufen und über das Mobiltelefon zu unterschreiben.

 

Sie können das vollständige Urteil über diesen Link lesen.