Digitale Gesetzesverkündung: Fall­s­tricke der E-Gesetz­ge­bung

Die Bundesregierung hat es sich zum Ziel gesetzt, einen medienbruchfreien und interoperablen digitalen Gesetzgebungsprozess zu implementieren, der vom Entwurf bis zur Verkündung reicht. Als Teil dieses Vorhabens ist seit Anfang des Jahres 2023 eine elektronische Ausfertigung der vom Bundestag beschlossenen Gesetze möglich – sie werden bereits heute ausschließlich über www.recht.bund.de verkündet. Bundesjustizminister Marco Buschmann bezeichnete die Änderung als wichtigen Schritt, "der vielen die Arbeit mit Recht und Gesetz erleichtern wird". Zudem lobte er die ökologische Dimension: Ein jährlicher Papierberg von 2,5 Kilometern Höhe falle künftig weg. 

In Brandenburg und Sachsen-Anhalt erfolgen Gesetzesausfertigung und -verkündung mittlerweile bereits digital, nachdem im Bund in einem ersten Schritt die verfassungsrechtlichen Grundlagen geschaffen wurden. Einen Mittelweg hat Hessen eingeschlagen: Dort bleibt der elektronischen Gesetzesverkündung auch zukünftig eine händische Ausfertigung vorgeschaltet.  

Um die Echtheit wie Unverfälschtheit der elektronischen Gesetzesurschrift bestmöglich zu gewährleisten, setzen der Bund und einige Länder bei der Ausfertigung auf die qualifizierte elektronische Signatur (bzw. ein qualifiziertes elektronisches Siegel) nach der europäischen Verordnung über elektronische Identifizierung und Vertrauensdienste (eIDAS). Andere Länder, darunter Nordrhein-Westfalen, evaluieren derzeit, ob Verfahren zur elektronischen Rechtssetzung einschließlich der Nutzung der qualifizierten elektronischen Signatur für sie ein gangbarer Weg sind. 

Elektronische Signatur 

Was aber ist eine elektronische Signatur? Vereinfacht gesprochen handelt es sich um ein Paar von Signaturschlüsseln, das aus einem privaten und einem öffentlichen Schlüssel besteht. Ein solcher Schlüssel wird technisch in Form einer kleinen Computerdatei – des sog. Zertifikats – dargestellt. Jede elektronische Signatur ist individuell, sodass immer nur ein bestimmter privater Schlüssel mit einem dazugehörigen öffentlichen korrespondiert.  

Fragt nun ein Computerprogramm an, ob ein Dokument tatsächlich mit dem privaten Schlüssel eines bestimmten Anwenders signiert worden ist – wofür es eines geheim zu haltenden Passworts bedarf –, kann eine Verifizierung mittels des zugehörigen öffentlichen Schlüssels erfolgen. Mathematisch wird hierfür auf den Abgleich von Hash-Werten zurückgriffen, also nicht zurückrechenbaren Zahlenketten, die bei der Anwendung eines Schlüssels auf einen Inhalt entstehen und bei privatem und öffentlichem Schlüssel übereinstimmen müssen, um ihr Zusammenpassen zu garantieren.  

Es kann daher bereits durch Vorliegen des öffentlichen Schlüssels die Authentizität eines signierten Inhalts festgestellt werden, ohne dass hierfür der private Schlüssel dem Empfänger überhaupt vorliegen muss – geschweige denn, dass dieses mit dem Passwort entsperrt werden müsste. Da es somit keinen zentralen Authentifikationsdienst gibt, bei dem Passwörter von staatlichen Stellen oder Kriminellen abgegriffen werden könnten, gelten elektronische Signaturen als besonders geeignet. Angesichts dieser erheblichen Vorteile verwundert kaum, dass die Verwendung von Zertifikaten unter dem Label "Ende-zu-Ende-Verschlüsselung" zu Kryptierungszwecken inzwischen auch in Messangerdiensten wie WhatsApp standardmäßig etabliert ist. 

Risikofaktor Mensch 

Grundvoraussetzung für eine sichere Etablierung der elektronischen Signatur ist bei alledem, dass ein privates Zertifikat sich tatsächlich (nur) in der Hand desjenigen befindet, für den es ausgestellt ist. Dementsprechend muss eine vertrauenswürdige Stelle für die Identität des Zertifikatinhabers garantieren. Diese Certificate Authority (CA) verknüpft von ihr ausgestellte Zertifikate mit ihrem sog. Wurzelzertifikat. Anbieter von Mailprogrammen, Browsern oder PDF-Readern müssen daher lediglich entscheiden, welchen Wurzelzertifikaten sie vertrauen wollen. Dies hängt maßgeblich davon ab, für wie seriös die jeweilige CA gehalten wird und ob zu erwarten ist, dass sie nur solchen Personen Zertifikate ausstellt, die sich zuvor identifiziert haben – etwa unter Vorlage des Personalausweises oder mittels des "Postident"-Verfahrens.  

Die "qualifizierte" elektronische Signatur unterscheidet sich von dem beschriebenen Grundmodell nun insofern, als dass zum einen nur gesetzlich ermächtigte Stellen als vertrauenswürdige CAs angesehen werden. Zum anderen muss als zusätzliche Sicherung neben dem Passwort auch eine Signaturkarte genutzt werden, um mit dem privaten Zertifikat Dokumente signieren zu können. Obgleich die genannten Sicherungen ein hohes Maß an Vertrauenswürdigkeit gewährleisten, gibt es auch bei der qualifizierten elektronischen Signatur mit dem "Faktor Mensch" zusammenhängende Schwachstellen.  

Zertifizierungsstellen in Staatshand 

Da die zur Ausstellung eines bestimmten Zertifikats führenden Abläufe in einer CA nicht gesetzlich geregelt – und deshalb etwa keine IT-basierten Freigaben mehrerer Mitarbeiter vorgeschrieben – sind, besteht das Risiko eines Missbrauchs von innen. So lässt sich nicht ausschließen, dass beispielsweise (technisch gültige) Zertifikate entstehen, die auf einen bestimmten Ministerpräsidenten ausgestellt sind. Würden nun Dokumente mit diesen Zertifikaten signiert, ist aus technischer Sicht nicht nachvollziehbar, ob es sich auch um ein tatsächlich echtes, also auf für dort genannten Inhaber ausgestelltes Zertifikat handelt. Nach außen sind das Zertifikat und die Signatur einwandfrei. 

An Zertifizierungsstellen, die qualifizierte elektronische Zertifikate für politisch exponierte Persönlichkeiten und zu überragend wichtigen Zwecken wie der Gesetzgebung ausstellen, müssen besonders hohe Anforderungen gestellt werden. Das hat offenbar auch der Bund erkannt. Er bedient sich derzeit ausschließlich der Dienste der D-Trust GmbH, die im Alleineigentum der Bundesdruckerei Gruppe GmbH steht. Eine offene Flanke bleibt jedoch darin bestehen, dass der Bund seine Festlegung auf die D-Trust GmbH nicht gesetzlich festgeschrieben hat – was die (rechtliche) Ungültigkeit von durch andere CAs ausgestellte (technisch gültige) qualifizierte elektronische Signaturen zur Folge hätte.  

Für Länder wie Nordrhein-Westfalen, die derzeit über sichere Etablierungsmethoden nachdenken, führt dies zu der Erkenntnis: Ein der Bedeutung von Gesetzesausfertigungen angemessenes Sicherheitsniveau dürfte nur erreicht werden, wenn eine eigene Zertifizierungsstelle betrieben wird und wenn nur die von dieser ausgestellten Signaturen im Rechtssinne Gültigkeit aufweisen.  

Sicherheitsbewusste Zertifikatsinhaber 

Darüber hinaus verdient der Schutz der Zugangsinstrumente zu den privaten Schlüsseln besonderes Augenmerk. Dass erkrankte, vom Dienstsitz abwesende oder einfach immens beschäftigte Amtsträger auch in Zeiten größten Drucks darauf verzichten, dem vertrauensvollen Referenten oder der langjährigen Sekretärin Karte und Passwort "im Auftrag" zu überlassen, lässt sich nicht bedingungslos voraussetzen. Während eine gefälschte Unterschrift auf der Urschrift eines Gesetzes – notfalls durch ein Schriftgutachten – erkannt werden könnte, kann bei der Anwendung einer qualifizierten elektronischen Signatur technisch nicht nachvollzogen werden, wer das Dokument tatsächlich ausgefertigt hat.  

Um dieser Art von Missbrauch vorzubeugen, müssen strenge Regelungen für die Verwahrung und Verwendung der Zugangsinstrumente eingehalten werden – etwa durch die Verwahrung der Signaturkarte in einem Verschlusssachen-Gelass sowie durch besondere Anforderungen an die Geheimheit des Passwortes. 

Geschärftes Bewusstsein für Sicherheitsrisiken  

Keine Frage: Der Einsatz digitaler Instrumente leistet auch im Gesetzgebungsverfahren einen Beitrag zur Beschleunigung und Ressourcenschonung. Diese unbestreitbaren Vorteile dürfen jedoch nicht vergessen lassen, dass der Gesetzgebungsprozess zu den Lebensadern der Demokratie zählt – mit der Folge, dass hier ein außerordentlich hohes Maß an (Rechts-)Sicherheit unabdingbar ist. Es sollte daher nicht als Verweigerungshaltung oder Innovationsfeindlichkeit missverstanden werden, wenn im Diskurs über die elektronische Gesetzgebung auch auf die Risiken technischer Neuerungen hingewiesen wird.  

Entscheidend ist, dass staatliche Stellen, die sich für zertifikatsbasierte Ausfertigungen entscheiden, die personellen sowie technischen Risiken im Blick behalten und alle Beteiligten entsprechend sensibilisieren. Gelingt dies, wird die digitale Gesetzgebung im Verfassungsleben vermutlich bald zur Normalität gehören. 

Der Autor Prof. Dr. Markus Ogorek, LL.M. (Berkeley) ist Direktor des Instituts für Öffentliches Recht und Verwaltungslehre der Universität zu Köln. Zu den diskutierten Aspekten hat er im Februar 2023 auf einem Symposium der Staatskanzlei des Landes Nordrhein-Westfalen referiert.