8.2 Die elektronische Signatur in der Finanzverwaltung - ELSTER sollte den Durchbruch bringen

Bereits im Frühjahr 2003 haben sich die Datenschutzbeauftragten des Bundes und der Länder auf ihrer 65. Konferenz mit der Frage der elektronischen Signatur im Finanzbereich auseinandergesetzt und begrüßt, dass mit dem Signaturgesetz und der Anpassung von mehr als 3.000 Rechtsvorschriften in Deutschland die rechtlichen Voraussetzungen geschaffen wurden, um die „qualifizierte elektronische Signatur” der eigenhändigen Unterschrift gleichzustellen. Die administrativen und technischen Voraussetzungen sind inzwischen weitgehend vorhanden. Mehr als zwanzig freiwillig akkreditierte Zertifizierungsdienstanbieter nach dem Signaturgesetz sind von der Regulierungsbehörde für Telekommunikation und Post (RegTP) zugelassen. Sowohl Chipkarten, die für die qualifizierte elektronische Signatur zugelassen sind, als auch die dafür erforderlichen Lesegeräte sind verfügbar.

Für die elektronische Kommunikation zwischen der Finanzverwaltung und den Bürgerinnen und Bürgern ist die „qualifizierte elektronische Signatur” gesetzlich generell vorgeschrieben. Die Nutzung einer fortgeschrittenen, der sogenannten „qualifizierten elektronischen Signatur mit Einschränkungen” lehnten die Datenschutzbeauftragten bereits damals ab. Die „qualifizierte elektronische Signatur mit Einschränkungen” bietet im Gegensatz zur „qualifizierten elektronischen Signatur” und der „qualifizierten elektronischen Signatur mit Anbieterakkreditierung” keine umfassend nachgewiesene Sicherheit, vor allem aber keine langfristige Überprüfbarkeit. Die mit ihr unterzeichneten elektronischen Dokumente sind unerkannt manipulierbar. Die „qualifizierte elektronische Signatur mit Einschränkungen” hat geringeren Beweiswert als die eigenhändige Unterschrift.

Ein breites Anwendungsgebiet für die elektronische Signatur im Finanzbereich bietet die elektronische Steuererklärung - ELSTER. Seit dem 1. Januar 2005 dürfen die Steueranmeldungen der Arbeitgeber nach dem Einkommensteuergesetz und der Unternehmen nach dem Umsatzsteuergesetz nach einem amtlich vorgeschriebenen Vordruck nur noch auf elektronischem Wege an das Finanzamt übermittelt werden. Dazu wurde seitens der Finanzverwaltung die kostenlose Software „Elektronische Steuererklärung - ELSTER” zur Verfügung gestellt. Im Falle der Abgabe einer Steuererklärung auf elektronischem Wege muss natürlich sichergestellt werden, dass der Absender als eine bestimmte zur Abgabe berechtigte Person identifiziert werden kann. Zu dieser sogenannten Authentifizierung des Steuerbürgers ist nach der AO der Einsatz einer qualifizierten elektronischen Signatur vorgesehen. Eine qualifizierte elektronische Signatur ist jedoch technisch gesehen nicht der einzige Weg zu einer Authentifizierung des Steuerbürgers.

Die Finanzverwaltung hat sich nun - auch entgegen den Empfehlungen der Datenschützer - entschlossen, innerhalb von ELSTER ein eigenes Authentifizierungsverfahren zur Verfügung zu stellen, welches auf eine qualifizierte elektronische Signatur verzichtet. Dieses Authentifizierungsverfahren soll im ersten Quartal 2005 im Rahmen eines Pilotversuches in mehreren Bundesländern eingesetzt werden. Eine bundesweite Nutzung ist ab dem Jahr 2006 vorgesehen.

Diese Entscheidung der Finanzverwaltung wirft verschiedene Fragen auf. Zu aller erst stellt sich die Frage nach der rechtlichen Zulässigkeit dieser Abweichung von der AO. Hierzu ist festzustellen, dass nach der Steuerdatenübermittlungsverordnung für die Finanzverwaltung die Möglichkeit besteht, unter definierten Voraussetzungen auf eine qualifizierte elektronische Signatur zu verzichten.

Neben diesen grundsätzlichen Erwägungen stellt sich die Frage, welche Sicherheit der Steuerbürger vor Manipulationen in der Übergangszeit bis zur bundesweiten Einführung des Authentifizierungsverfahrens zum 1. Januar 2006 hat. Auf eine Anfrage des Bundesbeauftragten für den Datenschutz teilte das Bundesministerium der Finanzen mit, dass zur Vermeidung unberechtigter Erstattungen Sicherheitsmaßnahmen getroffen wurden. So würden Plausibilitätskontrollen vorgenommen und ein Risiko-Management eingeführt. Wie diese Sicherheitsmaßnahme im Einzelnen ausgestaltet sind, wurde nicht deutlich.

Die Datenschutzbeauftragten halten auch vor diesem Hintergrund an ihren Empfehlungen an die Bundesregierung anlässlich ihrer 65. Konferenz (Anlage 6) fest,

• dass die Finanzbehörden Steuerbescheide und sonstige Dokumente ausschließlich qualifiziert signiert versenden,
• den Bürgerinnen und Bürgern eine sichere, zuverlässige, leicht einsetzbare und transparente Technologie zur Verfügung zu stellen,
• unterschiedliche Ausstattungen für abgestufte Qualitäten und Anwendungsverfahren zu vermeiden,
• die Anschaffung von Signaturerstellungseinheiten mit zugehörigen Zertifikaten und ggf. Signaturanwendungskomponenten für „qualifizierte elektronische Signaturen mit Anbieterakkreditierung” staatlich zu fördern,
• die vorhandenen Angebote der deutschen und sonstigen europäischen Anbieter vornehmlich heranzuziehen, um die qualifizierte elektronische Signatur und den Einsatz entsprechender Produkte zu fördern,
• e-Government- und e-Commerce-Projekte zu fördern, die qualifizierte elektronische Signaturen unterhalb der Wurzelzertifizierungsinstanz der RegTP einsetzen und somit Multifunktionalität und Interoperabilität gewährleisten,
• die Entwicklung von technischen Standards für die umfassende Einbindung der qualifizierten elektronischen Signatur zu fördern,
• die Weiterentwicklung der entsprechenden Chipkartentechnik voranzutreiben.