Elektronische Signatur? Nein danke!

Statt einer eigenhändigen Unterschrift auf Papier kann man in Österreich auch eine sogenannte elektronische Signatur benutzen … allerdings nur, wenn man Vertragsbestandteile akzeptiert, die gar nicht existieren.

Signatur aus Nullen und Einsen.
Eine Unterschrift aus Bits und Bytes. So sieht die elektronische Signatur zwar nicht aus, aber eine echte habe ich nicht parat, weil ich die Aktivierung meiner eigenen aus guten Gründen abgebrochen habe.

»Ihr solltet euch auch alle eine elektronische Signatur zulegen! Das ist so wahnsinnig praktisch«, wurde mir sinngemäß gesagt. Und ja: Auf den ersten Blick klingt das wirklich nützlich. Unser Projekt-Team ist oft über mehrere Länder verstreut und wenn dann mal kurzfristig irgendein Wisch von mehreren Teammitgliedern unterschrieben werden muss, ist das mit der händischen Unterschrift ganz schön umständlich. Erst Anfang des Jahres musste ich für eine Einreichung meine Kollegen wie ein Pfadfinder beim Spendensammeln abklappern.

Mit elektronischer Signatur könnte man sich zumindest ein paar Umstände sparen. Man müsste nur ein PDF-Dokument durch ein Programm jagen und mit seinem Mobiltelefon bestätigen! So könnten wir unsere Unterschriften online zusammentragen und bräuchten keine Originaldokumente mit der Schneckenpost hin- und herzuschicken.

Klingt in der Theorie ja gut. In der Praxis musste ich aber schon die Registrierung wegen schwerer Bedenken abbrechen.

Vertrauen ist gut … aber nicht im Namen.

Die Anforderung zur Aktivierung seiner elektronischen Signatur kann man auf verschiedene Wege stellen. Ich habe es über das Finanzamt gemacht. Das klingt soweit ja seriös und sicher. Das Mitwirken des Finanzamts beschränkt sich allerdings nur darauf, mir einen Brief mit einem Freischaltcode zuzusenden, den ich anschließend auf der Website einer bestimmten GmbH eingeben soll.

Diese GmbH hat das Wort »Vertrauen« direkt im Namen und wirbt mit dem Spruch »einfach sicher«. Weil gut gemeint bekanntlich das Gegenteil von gut ist, bewirkt das bei mir schon mal genau das Gegenteil dessen, was damit beabsichtigt ist. Das hat für mich einen Beigeschmack von »Karlo, der ehrliche Gebrauchtwagenhändler«.

Dass so ein Service sicher und vertrauenswürdig ist, betrachte ich als Grundvoraussetzung. Die größte Fastfood-Kette im Land nennt sich auch aus gutem Grund nicht »MacEatable – einfach essbar«, sonst würden die Kunden hinterfragen, warum das überhaupt eine Erwähnung wert ist.

Einfach sicher … aber nicht einfach erreichbar.

Laut Schreiben vom Finanzamt sollte ich die Unterseite »/aktivierung« der genannten GmbH-Website aufrufen. Das Ergebnis war eine Fehlermeldung – aber nicht etwa eine benutzerfreundliche nach dem Schema »derzeit nicht verfügbar – probieren Sie es später noch einmal«, sondern eine richtig klassische Standard-Servermeldung in technischem Kauderwelsch.

Optimistisch wie ich bin, dachte ich noch, dass sich das Finanzamt vielleicht vertippt hat oder dass der Pfad kurzfristig geändert wurde. Aber auch auf der Startseite der Website gab es einen Link, der zur selben Fehlermeldung führte – und das mindestens zwei bis drei Tage lang.

Derjenige, der mir dieses Signaturzeugs empfohlen hatte, war bis dahin der einzige Nutzer, den ich kannte. Daher stellte ich mir die Frage, wie lang die Aktivierung wohl schon offline war. Womöglich war sie schon seit Monaten defekt und es hatte bloß noch niemand bemerkt …?

Da dachte ich mir: »Ja, die sind wirklich sicher! Wenn ich mich nicht einmal registrieren kann, dann kann auch niemand meine Daten missbrauchen.«

Kurzer Vertrag … aber mit tausend Querverweisen.

Als die Aktivierungsseite dann nach ein paar Tagen doch wieder online war, wollte ich dem ganzen noch immer eine Chance geben. Also klickte ich mich durch ein paar Formularseiten, bis ich schließlich beim Akzeptieren der Verträge ankam.

Jetzt habe ich leider einen großen menschlichen Makel: Bevor ich Verträge akzeptiere, überfliege ich diese zumindest. Ich könnte es mir so einfach machen, indem ich einfach wie jeder normale Mensch überall sofort auf »Ja, ich will« und »Ja, ich habe die 300 Seiten AGB gelesen« klicke, aber nein: ich werfe tatsächlich einen Blick in diese Juristerei-Ungetüme.

Im ersten Moment sieht es auch gar nicht so schlimm aus. Es gibt einen Signaturvertrag und AGB zu bestätigen. Die AGB haben weniger als acht Seiten, der Signaturvertrag nur eine einzige. Das wirkt ja geradezu human.

Formular zum Akzeptieren der Verträge.
Nicht nur diese Seite zur Vertragsbestätigung, sondern auch die verlinkten Verträge sind kurz und knackig. Aber der Schein trügt.

Allerdings ist der Signaturvertrag nur deshalb so kurz, weil er neben den beiden vorliegenden noch auf fünf weitere Dokumente verweist, die Vertragsbestandteil sind. Diese werden aber nicht etwa direkt verlinkt, sondern man bekommt nur einen Link zum Download-Bereich der Website und eine Aufzählung, welche Dokumente dort zusätzlich gelten.

Und nein: Es ist natürlich nicht so, dass dort zehn Dateien liegen, von denen fünf gültig sind. Das wäre ja zu einfach. Der Downloadbereich gliedert sich insgesamt in 69 Ordner und Unterordner, die in Summe 88 Dateien beinhalten.

Und nochmals nein: Die Aufzählung der zusätzlichen Dokumente gibt nicht direkt deren Pfad an. Das wäre ja zu einfach. Ein Aufzählungspunkt hat etwa die knackige Bezeichnung »die [Firmenname] Anwendungsvorgabe (Certificate Policy) für qualifizierte mobile Zertifikate a.sign premium mobile« und findet sich unter /Downloads/Certificate Policies/a-sign-premium-mobile/a-sign-premium-mobile_cp.pdf. Wirklich intuitiv!

Kostenloser Service … oder?

Aus irgendeinem Grund bin ich vom Anfang bis zum Ende davon ausgegangen, dass der gesamte Service kostenlos ist. Im Signaturvertrag steht dann aber letztendlich auch, dass man mit Vertragsabschluss die Entgeltbestimmungen akzeptiert. Das kam überraschend.

Noch überraschender kommt allerdings, dass es im Downloadbereich gar keine Entgeltbestimmungen gibt. Es wird bloß ein Ordner angezeigt, der sich »Preisinformation« nennt, aber nicht geöffnet werden kann. Klickt man ihn an, wird einfach nur die selbe Übersichtsseite neu geladen.

&Uuumbl;bersichtsseite des Downloadbereichs.
In diesen Ordnern verbergen sich weitere Unterordner sowie 88 einzelne Dateien, aus denen man sich alle Vertragsdokumente einzeln heraussuchen muss. Ein Klick auf »Preisinformation« führt nirgends hin.

Zumindest in den mitgelieferten AGB gibt es ein paar Informationen zu Kosten und man wird auf eine Preisliste auf der Website verwiesen. Dort steht dann, dass Registrierung, Zertifikatserstellung und Zertifikatsnutzung bei der Handy-Signatur gratis sind. Aber heißt das auch, dass mir sonst keine Kosten entstehen? Weiter unten in der Preisliste ist etwa eine Software-Lizenz »a.sign PDF« um EUR 69 angeführt. Benötigt man die, um PDF-Dateien unterschreiben zu können? Die Preisliste schweigt sich zu solchen Details aus.

Und auch wenn es in den AGB ein paar Preisinformationen gibt, wird ganz zu Beginn genauso wie im Signaturvertrag auf all die zusätzlich gültigen Dokumente hingewiesen, unter denen sich auch die nicht existierenden Entgeltbestimmungen befinden.

Doppelt gemoppelt … oder doch nur sehr ähnlich?

Die AGB machen es sich sogar noch bequemer als der Signaturvertrag und verweisen nicht etwa auf den Downloadbereich, sondern gleich auf die Startseite der Firmenwebsite – auf dass man sich wirklich alles von Adam und Eva weg selbst zusammensuche.

Und damit das Abarbeiten der zusätzlichen Dokumente noch lustiger wird, ist die Liste in den AGB nicht mit jener aus dem Signaturvertrag identisch. Zwei Dokumente sind vertauscht, die einzelnen Punkte sind zum Teil anders formuliert und es ist ein zusätzlicher Eintrag hinzu gekommen.

Dieses neue Dokument, die Datenschutzmitteilung, findet sich natürlich weder im Downloadbereich, noch heißt sie wörtlich »Datenschutzmitteilung«. Das wäre ja auch zu einfach gewesen.

Bei diesem Suchspiel könnte man fast meinen, der Osterhase würde außerhalb der Osterzeit als Berater für EDV-Recht arbeiten. Sein Entgeltbestimmungs-Ei habe ich leider bis zum Schluss gefunden.

Kapitulation statt Aktivierung

Letztendlich habe ich kapituliert und die Aktivierung abgebrochen. Sich Vertrauen in den eigenen Namen zu schreiben, ist halt doch ein bisschen zu wenig, um tatsächlich mein Vertrauen zu gewinnen. Bisher sehe ich es wie folgt:

  • Ich kann nicht darauf vertrauen, dass der Service überhaupt erreichbar ist.
  • Ich kann nicht darauf vertrauen, dass der Service wirklich kostenlos ist.
  • Ich kann nicht darauf vertrauen, dass die Techniker dahinter ihr Handwerk verstehen, da sie es nicht schaffen, mir die Vertragsdaten in angemessener Form auszuliefern, einen Service dauerhaft online zu halten oder auch nur sinnvolle Fehlermeldungen auszugeben.

Mir ist klar, dass mein Kollege bei weitem nicht der einzige ist, der die digitale Signatur in irgendeiner Form nutzt. Das macht es aber nur noch bedenklicher, wenn die Aktivierung tagelang ohne vernünftige Kundeninformation offline ist.

Laut Website der selbsternannten Vertrauensfirma haben zu dem Zeitpunkt, zu dem ich diese Zeilen hier schreibe (– ein Sonntag Abend –) trotz aller Widrigkeiten mehr als 1.000 Leute innerhalb der letzten 24 Stunden ihre Handy-Signatur aktiviert. Die Entgeltbestimmungen waren denen offensichtlich herzlich egal. Wahrscheinlich hatten die meisten nicht einmal die Grundverträge überflogen.

Auf der selben Seite wird auch angegeben, wie viele Signaturen in den letzten 24 Stunden über dieses System abgegeben wurden. Selbst wenn ich mich bisher nicht mit den technischen Details befasst habe, zeigt mir das zumindest eines: Nämlich, dass man wirklich der Verfügbarkeit eines Online-Dienstes auf Gedeih und Verderb ausgeliefert ist.

Was ist eine Unterschrift wert?

Der letzte Gedanke, der mich die Aktivierung doch noch fast zu Ende bringen ließ, war der, dass eine klassische Unterschrift auf Papier ja nicht wirklich fälschungssicher ist. Damit sollte ich die ganze Signatursache nicht so bierernst sehen. Es kann doch nur besser werden, oder?

Allerdings lässt sich meine Papiersignatur nicht wie etwas Digitales automatisiert kopieren. Wenn es irgendwo eine digitale Lücke gibt, kann ein einziger Tunichtgut im Namen aller aktiver Nutzer – mehr als eine Million Menschen – unterschreiben. Mit Tinte und Papier würde er vorher altersbedingt zu Staub zerfallen.

Möchte ich dieser Firma so eine Verantwortung über meine persönliche Unterschrift in die Hand geben? Die Antwort ist klar: Nein danke!

Kommentare

Neuen Kommentar schreiben

Bisherige Kommentare

Es sind noch keine Kommentare zu diesem Artikel vorhanden. Traue Dich und schreibe als erster Deine Meinung!