Elektronische Signatur? Nein danke!

Statt einer eigenhändigen Unterschrift auf Papier kann man in Österreich auch eine sogenannte elektronische Signatur benutzen … allerdings nur, wenn man Vertragsbestandteile akzeptiert, die gar nicht existieren.

Signatur aus Nullen und Einsen.
Eine Unterschrift aus Bits und Bytes. So sieht die elektronische Signatur zwar nicht aus, aber eine echte habe ich nicht parat, weil ich die Aktivierung meiner eigenen aus guten Gründen abgebrochen habe.

»Ihr solltet euch auch alle eine elektronische Signatur zulegen! Das ist so wahnsinnig praktisch«, wurde mir sinngemäß gesagt. Und ja: Auf den ersten Blick klingt das wirklich nützlich. Unser Projekt-Team ist oft über mehrere Länder verstreut und wenn dann mal kurzfristig irgendein Wisch von mehreren Teammitgliedern unterschrieben werden muss, ist das mit der händischen Unterschrift ganz schön umständlich. Erst Anfang des Jahres musste ich für eine Einreichung meine Kollegen wie ein Pfadfinder beim Spendensammeln abklappern.

Mit elektronischer Signatur könnte man sich zumindest ein paar Umstände sparen. Man müsste nur ein PDF-Dokument durch ein Programm jagen und mit seinem Mobiltelefon bestätigen! So könnten wir unsere Unterschriften online zusammentragen und bräuchten keine Originaldokumente mit der Schneckenpost hin- und herzuschicken.

Klingt in der Theorie ja gut. In der Praxis musste ich aber schon die Registrierung wegen schwerer Bedenken abbrechen.

Vertrauen ist gut … aber nicht im Namen.

Die Anforderung zur Aktivierung seiner elektronischen Signatur kann man auf verschiedene Wege stellen. Ich habe es über das Finanzamt gemacht. Das klingt soweit ja seriös und sicher. Das Mitwirken des Finanzamts beschränkt sich allerdings nur darauf, mir einen Brief mit einem Freischaltcode zuzusenden, den ich anschließend auf der Website einer bestimmten GmbH eingeben soll.

Diese GmbH hat das Wort »Vertrauen« direkt im Namen und wirbt mit dem Spruch »einfach sicher«. Weil gut gemeint bekanntlich das Gegenteil von gut ist, bewirkt das bei mir schon mal genau das Gegenteil dessen, was damit beabsichtigt ist. Das hat für mich einen Beigeschmack von »Karlo, der ehrliche Gebrauchtwagenhändler«.

Dass so ein Service sicher und vertrauenswürdig ist, betrachte ich als Grundvoraussetzung. Die größte Fastfood-Kette im Land nennt sich auch aus gutem Grund nicht »MacEatable – einfach essbar«, sonst würden die Kunden hinterfragen, warum das überhaupt eine Erwähnung wert ist.

Einfach sicher … aber nicht einfach erreichbar.

Laut Schreiben vom Finanzamt sollte ich die Unterseite »/aktivierung« der genannten GmbH-Website aufrufen. Das Ergebnis war eine Fehlermeldung – aber nicht etwa eine benutzerfreundliche nach dem Schema »derzeit nicht verfügbar – probieren Sie es später noch einmal«, sondern eine richtig klassische Standard-Servermeldung in technischem Kauderwelsch.

Optimistisch wie ich bin, dachte ich noch, dass sich das Finanzamt vielleicht vertippt hat oder dass der Pfad kurzfristig geändert wurde. Aber auch auf der Startseite der Website gab es einen Link, der zur selben Fehlermeldung führte – und das mindestens zwei bis drei Tage lang.

Derjenige, der mir dieses Signaturzeugs empfohlen hatte, war bis dahin der einzige Nutzer, den ich kannte. Daher stellte ich mir die Frage, wie lang die Aktivierung wohl schon offline war. Womöglich war sie schon seit Monaten defekt und es hatte bloß noch niemand bemerkt …?

Da dachte ich mir: »Ja, die sind wirklich sicher! Wenn ich mich nicht einmal registrieren kann, dann kann auch niemand meine Daten missbrauchen.«

Kurzer Vertrag … aber mit tausend Querverweisen.

Als die Aktivierungsseite dann nach ein paar Tagen doch wieder online war, wollte ich dem ganzen noch immer eine Chance geben. Also klickte ich mich durch ein paar Formularseiten, bis ich schließlich beim Akzeptieren der Verträge ankam.

Jetzt habe ich leider einen großen menschlichen Makel: Bevor ich Verträge akzeptiere, überfliege ich diese zumindest. Ich könnte es mir so einfach machen, indem ich einfach wie jeder normale Mensch überall sofort auf »Ja, ich will« und »Ja, ich habe die 300 Seiten AGB gelesen« klicke, aber nein: ich werfe tatsächlich einen Blick in diese Juristerei-Ungetüme.

Im ersten Moment sieht es auch gar nicht so schlimm aus. Es gibt einen Signaturvertrag und AGB zu bestätigen. Die AGB haben weniger als acht Seiten, der Signaturvertrag nur eine einzige. Das wirkt ja geradezu human.

Formular zum Akzeptieren der Verträge.
Nicht nur diese Seite zur Vertragsbestätigung, sondern auch die verlinkten Verträge sind kurz und knackig. Aber der Schein trügt.

Allerdings ist der Signaturvertrag nur deshalb so kurz, weil er neben den beiden vorliegenden noch auf fünf weitere Dokumente verweist, die Vertragsbestandteil sind. Diese werden aber nicht etwa direkt verlinkt, sondern man bekommt nur einen Link zum Download-Bereich der Website und eine Aufzählung, welche Dokumente dort zusätzlich gelten.

Und nein: Es ist natürlich nicht so, dass dort zehn Dateien liegen, von denen fünf gültig sind. Das wäre ja zu einfach. Der Downloadbereich gliedert sich insgesamt in 69 Ordner und Unterordner, die in Summe 88 Dateien beinhalten.

Und nochmals nein: Die Aufzählung der zusätzlichen Dokumente gibt nicht direkt deren Pfad an. Das wäre ja zu einfach. Ein Aufzählungspunkt hat etwa die knackige Bezeichnung »die [Firmenname] Anwendungsvorgabe (Certificate Policy) für qualifizierte mobile Zertifikate a.sign premium mobile« und findet sich unter /Downloads/Certificate Policies/a-sign-premium-mobile/a-sign-premium-mobile_cp.pdf. Wirklich intuitiv!

Kostenloser Service … oder?

Aus irgendeinem Grund bin ich vom Anfang bis zum Ende davon ausgegangen, dass der gesamte Service kostenlos ist. Im Signaturvertrag steht dann aber letztendlich auch, dass man mit Vertragsabschluss die Entgeltbestimmungen akzeptiert. Das kam überraschend.

Noch überraschender kommt allerdings, dass es im Downloadbereich gar keine Entgeltbestimmungen gibt. Es wird bloß ein Ordner angezeigt, der sich »Preisinformation« nennt, aber nicht geöffnet werden kann. Klickt man ihn an, wird einfach nur die selbe Übersichtsseite neu geladen.

&Uuumbl;bersichtsseite des Downloadbereichs.
In diesen Ordnern verbergen sich weitere Unterordner sowie 88 einzelne Dateien, aus denen man sich alle Vertragsdokumente einzeln heraussuchen muss. Ein Klick auf »Preisinformation« führt nirgends hin.

Zumindest in den mitgelieferten AGB gibt es ein paar Informationen zu Kosten und man wird auf eine Preisliste auf der Website verwiesen. Dort steht dann, dass Registrierung, Zertifikatserstellung und Zertifikatsnutzung bei der Handy-Signatur gratis sind. Aber heißt das auch, dass mir sonst keine Kosten entstehen? Weiter unten in der Preisliste ist etwa eine Software-Lizenz »a.sign PDF« um EUR 69 angeführt. Benötigt man die, um PDF-Dateien unterschreiben zu können? Die Preisliste schweigt sich zu solchen Details aus.

Und auch wenn es in den AGB ein paar Preisinformationen gibt, wird ganz zu Beginn genauso wie im Signaturvertrag auf all die zusätzlich gültigen Dokumente hingewiesen, unter denen sich auch die nicht existierenden Entgeltbestimmungen befinden.

Doppelt gemoppelt … oder doch nur sehr ähnlich?

Die AGB machen es sich sogar noch bequemer als der Signaturvertrag und verweisen nicht etwa auf den Downloadbereich, sondern gleich auf die Startseite der Firmenwebsite – auf dass man sich wirklich alles von Adam und Eva weg selbst zusammensuche.

Und damit das Abarbeiten der zusätzlichen Dokumente noch lustiger wird, ist die Liste in den AGB nicht mit jener aus dem Signaturvertrag identisch. Zwei Dokumente sind vertauscht, die einzelnen Punkte sind zum Teil anders formuliert und es ist ein zusätzlicher Eintrag hinzu gekommen.

Dieses neue Dokument, die Datenschutzmitteilung, findet sich natürlich weder im Downloadbereich, noch heißt sie wörtlich »Datenschutzmitteilung«. Das wäre ja auch zu einfach gewesen.

Bei diesem Suchspiel könnte man fast meinen, der Osterhase würde außerhalb der Osterzeit als Berater für EDV-Recht arbeiten. Sein Entgeltbestimmungs-Ei habe ich leider bis zum Schluss nicht gefunden.

Kapitulation statt Aktivierung

Letztendlich habe ich kapituliert und die Aktivierung abgebrochen. Sich Vertrauen in den eigenen Namen zu schreiben, ist halt doch ein bisschen zu wenig, um tatsächlich mein Vertrauen zu gewinnen. Bisher sehe ich es wie folgt:

  • Ich kann nicht darauf vertrauen, dass der Service überhaupt erreichbar ist.
  • Ich kann nicht darauf vertrauen, dass der Service wirklich kostenlos ist.
  • Ich kann nicht darauf vertrauen, dass die Techniker dahinter ihr Handwerk verstehen, da sie es nicht schaffen, mir die Vertragsdaten in angemessener Form auszuliefern, einen Service dauerhaft online zu halten oder auch nur sinnvolle Fehlermeldungen auszugeben.

Mir ist klar, dass mein Kollege bei weitem nicht der einzige ist, der die digitale Signatur in irgendeiner Form nutzt. Das macht es aber nur noch bedenklicher, wenn die Aktivierung tagelang ohne vernünftige Kundeninformation offline ist.

Laut Website der selbsternannten Vertrauensfirma haben zu dem Zeitpunkt, zu dem ich diese Zeilen hier schreibe (– ein Sonntag Abend –) trotz aller Widrigkeiten mehr als 1.000 Leute innerhalb der letzten 24 Stunden ihre Handy-Signatur aktiviert. Die Entgeltbestimmungen waren denen offensichtlich herzlich egal. Wahrscheinlich hatten die meisten nicht einmal die Grundverträge überflogen.

Auf derselben Seite wird auch angegeben, wie viele Signaturen in den letzten 24 Stunden über dieses System abgegeben wurden. Selbst wenn ich mich bisher nicht mit den technischen Details befasst habe, zeigt mir das zumindest eines: Nämlich, dass man wirklich der Verfügbarkeit eines Online-Dienstes auf Gedeih und Verderb ausgeliefert ist.

Was ist eine Unterschrift wert?

Der letzte Gedanke, der mich die Aktivierung doch noch fast zu Ende bringen ließ, war der, dass eine klassische Unterschrift auf Papier ja nicht wirklich fälschungssicher ist. Damit sollte ich die ganze Signatursache nicht so bierernst sehen. Es kann doch nur besser werden, oder?

Allerdings lässt sich meine Papiersignatur nicht wie etwas Digitales automatisiert kopieren. Wenn es irgendwo eine digitale Lücke gibt, kann ein einziger Tunichtgut im Namen aller aktiver Nutzer – mehr als eine Million Menschen – unterschreiben. Mit Tinte und Papier würde er vorher altersbedingt zu Staub zerfallen.

Möchte ich dieser Firma so eine Verantwortung über meine persönliche Unterschrift in die Hand geben? Die Antwort ist klar: Nein danke!

Neue Artikel jetzt auch per E-Mail

Gefällt Dir diese Website und möchtest Du gerne informiert werden, sobald neue Artikel erscheinen? Dann gibt es gute Nachrichten: Neben Social-Media-Kanälen und RSS gibt es nun auch die Möglichkeit, per E-Mail auf neue Artikel hingewiesen zu werden.

Kommentare

Neuen Kommentar schreiben

Bisherige Kommentare

  • Anonym

    "Sein Entgeltbestimmungs-Ei habe ich leider bis zum Schluss gefunden." Fehlt hier nicht ein "nicht" vor "gefunden"?

    Was mich (ich bin Bundesbediensteter) - nach Studium Ihres Artikels - sehr nachdenklich stimmt, ist die Tatsache, dass mittlerweile immens viele Dokumente (Bescheide, Verfügungen, Bewilligungen, etc) mittels elektronischer Signatur von dieser Firma ergehen. Offenbar vertraut man dieser Firma blind (vielleicht weil der Begriff des Vertrauens Namensbestandteil ist).
    Ich habe mir übrigens die Bestimmungen auch durchgelesen (ohne jedoch Jurist zu sein). Man gibt irgendwann - schon alleine der konfusen Ordnerstruktur wegen - auf und vertraut auf seinen Dienstgeber. Glücklicherweise wurde mir diese elektronische Signatur auf den (ebenfalls elektronischen) Diensausweis aufgebracht und somit fällt die Verantwortung nicht (mehr) in meinen Bereich - korrektes Verhalten vorausgesetzt. Doch als Beamter muss man das wohl oder übel tun, wenngleich zwei Seelen in seiner Brust pochen. Man ist Diener des Staates und gleichzeitig als kritischer Staatsbürger genau das Gegenteil. Und das bis an sein Lebensende.

    • Michael Treml (Seitenbetreiber)

      Antwort an Anonym:

      Vielen Dank für diesen Kommentar und den Hinweis auf das fehlende »nicht«! Ich habe es gleich ausgebessert.

  • Anke Trom

    Unser Fuhrparkmanager will eine elektronische Fuhrerscheinkontrolle einrichten, da seiner Meinung nach, nur er berechtigt ist die gesetzlich notwendige Kontrolle durchzufuhren. Da unser Unternehmen uber mehrere Standorte deutschlandweit verteilt ist, ist ihm der Aufwand der manuellen Kontrolle zu gro?. Kann die Aufgabe der Fuhrerscheinkontrolle auch auf andere Mitarbeiter (jeweils pro Unternehmensstandort einer) ubertragen werden, die dann die durchgefuhrten manuellen Prufungen an den Fuhrparkleiter ubermitteln? Oder darf tatsachlich nur er diese Kontrollen vornehmen? Vielen Dank im voraus.

    • Michael Treml (Seitenbetreiber)

      Antwort an Anke Trom:

      Diese Frage ist hier leider am ganz falschen Ort.

      Weder sehe ich einen direkten Zusammenhang zur elektronischen Signatur (– kenne die »elektronische Führerscheinkontrolle« aber nicht –), noch habe ich als österreichischer Medieninformatiker die Kompetenz, eine Frage zu bundesdeutschem Arbeitsrecht zu beantworten.

      Diese Frage kann und darf einzig und allein ein fachlich geeigneter Jurist im direkten Austausch (– also nicht hier im Kommentarbereich –) beantworten.

  • GR

    Ich (Volljurist), hielt mich seit gestern für dement, weil mich das Verfahren überfordert. Diser Artikel belegt, dass ich doch "normal" bin und nicht die Anderen.

    Es ist nicht zu fassen. Also ob ich den Artikel selbst geschrieben hätte!

    • Michael Treml (Seitenbetreiber)

      Antwort an GR:

      Schön zu sehen, dass es auch noch andere Leute gibt, die nicht alle AGB im Internet ungelesen akzeptieren! Noch schöner wäre es jetzt nur noch, wenn das auch mehr Internetnutzer machen würden, die im Gegensatz zu uns beiden weder Informatiker noch Juristen sind. Wie sich bei der digitalen Signatur so ein Chaos etablieren konnte, bei dem eigentlich jeder mit gesundem Menschenverstand Bedenken haben sollte, ist mir wirklich ein Rätsel.

      • Anonym

        Antwort an Michael Treml:

        "bei dem eigentlich jeder mit gesundem Menschenverstand Bedenken haben sollte". Damit ist die Frage ausreichend beantwortet. Menschen- und Hausverstand sind aussterbende Begriffe. Die Firma Billa hat dies bereits vor längerer Zeit erkannt und ihn deshalb aus der Werbung genommen (vielleicht auch nur, weil man kein geeignetes weibliches Pendant finden konnte).
        Im Ernst: Sie schrieben ja selbst, dass "jeder normale Mensch" sinngemäß die AGB als gelesen anklickt. Bleibt nur mehr die Frage: Sind Sie nicht normal oder ist es der Rest der Welt nicht? Ich wage fast Letzteres als Antwort zu nehmen.
        Zum "Service" des Anbieters wäre zu bemerken: Ich hatte kürzlich das zweifelhafte Vergnügen für meine Freundin eine Information über eine neu zu vergebende Handysignatur einholen zu müssen. Es dauerte eine Weile, ich wurde mehrfach verbunden, viel wurde geredet, nichts gesagt. Am Ende war ich genauso schlau wie vorher. Schon seltsam, dass genau jenes Unternehmen, welche für die Vergabe dieser Signatur zuständig ist und diese auch anbietet, nicht in der Lage ist, ausreichende Informationen darüber abzugeben.
        Doch zurück zur Artikelüberschrift. Die elektronische Signatur ist bestimmt eine sehr nützliche Einrichtung und wird sich auf längere Sicht bestimmt flächendecken durchsetzen. Doch jetzt kommt das große Aber: Solange der Datenschutz gewährleistet ist und es nicht zu ungewollten Verknüpfungen zwischen mehreren Datenbeständen kommt, spricht nichts dagegen. Was mich allerdings auf die Palme bringt, ist der Trend (und hier wird von der Regierung unglaubliche Zuarbeit geleistet), dass in Zukunft ausschließlich mit Mobiltelefon und Apps gearbeitet wird. Viele Einkaufsvorteile sind ohne Telefon gar nicht mehr denkbar (zB soll es bei OBI keine Kundenkarten mehr geben, sondern nur mehr eine App). Das ist jedenfalls abzulehnen. Nicht nur, dass es eine hervorragende Trackingquelle darstellt, bestimmte Personengruppen werden automatisch ausgeschlossen. Ähnliches gilt für die Kommunikation mit bestimmten Firmen ausschließlich über soziale Medien. Wo man sich bisher mit einem Account anmeldete, geht dies nur mehr über einen Facebook-Zugang.
        Doch ich schweife ab. Noch ein negativer Punkt zur elektronischen Signatur wäre die zunehmende Beschränkung auf das Mobiltelefon. Wo früher auch eine Anmeldung mit einer Signaturkarte problemlos möglich war, geht dies nur mehr mit Handysignatur (viele Banken haben bereits umgestellt). Man kann seine Bankgeschäfte zwar noch ohne App am PC oder Notebook erledigen, die Frage ist nur: Wie lange noch? Dies wäre für mich jedenfalls ein Grund für einen Kontenwechsel.
        Elektronische Signatur? Nein danke! Nach gut zwei Jahren seit Erstellung des Artikels könnte man vielleicht betiteln: Elektronische Signatur? Wie lange noch ohne?

        • Michael Treml (Seitenbetreiber)

          Antwort an Anonym:

          Der Trend, zunehmend alles über das Smartphone machen zu müssen, bereitet mir auch Sorgen. Nachdem ich jemand bin, der ohnehin fast den ganzen Tag vor dem PC verbringt, hat mein Smartphone für mich nicht viel Bedeutung. Ich kann es mir leisten, ein älteres Modell zu verwenden, das ich nicht mit dem Internet verbinde. Bräuchte ich hier ständig etwas Aktuelles, wäre das ein Mehraufwand, der mir aus Nutzersicht keinen direkten Mehrwert bringt.