07.10.2021

BRAK bestätigt: beA nicht sicher einsetzbar

Portrait von Christian Franz, LL.M.
Christian Franz, LL.M. Rechtsanwalt, Fachanwalt für Gewerblichen Rechtsschutz

Nachdem die BRAK zugeben musste, dass der bisherige Mechanismus des beA für Empfangsbestätigungen fristwahrender Schriftsätze von Beginn an funktionslos war, schwenkt sie jetzt um. Doch auch der angebliche Ersatzmechanismus läuft leer.

Wie bereits berichtet, musste die BRAK kürzlich einräumen, dass ihre Handlungsanweisungen für einen sicheren Postausgangs-Workflow mittels des besonderen elektronischen Anwaltspostfachs (beA) von Beginn an falsch waren. Den Mechanismus, der auf einer Zip-Datei beruhte, die mit der Signatur des empfangenden Gerichts signiert sein sollte, gab es nie. Anders als von der BRAK selbst dargestellt und damit vermutlich auch angenommen, soll die proprietäre und nicht mit gebrauchsüblicher Software prüfbare Signatur lediglich einen Zeitstempel enthalten haben. Entgegen der vormaligen Darstellung der BRAK war sie damit nie geeignet, die Integrität der Zip-Datei prüfbar zu machen. Der BRAK-Mechanismus zur Überprüfung des erfolgreichen Empfangs über das beA zugestellter (fristwahrender) Schriftstücke war damit von Beginn an funktionslos.

Auf diesen Vorhalt hat die BRAK nun reagiert und behauptet nunmehr, es gäbe ein anderes System, das eine zuverlässige Bestätigung des Empfangs fristwahrender Schriftstücke durch Gerichte und Behörden ermögliche.

Kein "Ersatzsystem"

Eine Überprüfung der Angaben der BRAK zeigt jedoch: Das stimmt nicht. Das System ist in seiner jetzigen Form ungeeignet, die behauptete Bestätigung zu erbringen. Die BRAK stellt sich auf den Standpunkt, die Empfangsbestätigung des Gerichts, wie sie in einer aus dem beA exportierbaren Datei enthalten sei, erstrecke sich auch auf die Anhänge der beA-Nachricht. Das wäre für den Nachweis des Empfangs zwingend, denn bei den Anhängen handelt es sich um die PDF Dateien, die die Fristwahrung gewährleisten sollen.

Allein: Die Angaben der BRAK sind falsch. In diesem Stadium kann man der BRAK nicht länger zubilligen, sie sei auf Falschangaben irgendeines Dienstleisters hereingefallen. Sie versucht, einen gravierenden Sicherheitsvorfall zu vertuschen.

Rahmenbedingungen

Entscheidend für einen Nachweis des erfolgreichen Zugangs ist eine Bestätigung des Gerichts über den Empfang der zu übermittelnden Schriftstücke. Die Systeme sehen dabei eine entsprechende Empfangsbestätigung vor und erfüllen damit im Ausgangspunkt die gesetzlichen Anforderungen. In § 130a Abs. 5 ZPO heißt es nämlich:

„Ein elektronisches Dokument ist eingegangen, sobald es auf der für den Empfang bestimmten Einrichtung des Gerichts gespeichert ist. Dem Absender ist eine automatisierte Bestätigung über den Zeitpunkt des Eingangs zu erteilen.“

Zur Erfüllung dieser Vorgabe übermittelt das Gericht eine sogenannte „Zustellantwort“. Diese Zustellantwort ist der einzige Teil des beA-Exports, der auf das empfangende Gericht zurück geht. Es handelt sich damit (abschließend) um die Bestätigung des Zeitpunkts des Eingangs bei Gericht i.S.d. § 130a Abs. 5 S. 2 ZPO. Die „Zustellantwort“ bestätigt eine eindeutige Kennnummer der beA-Nachricht (Message-ID) und den Zeitpunkt des Empfangs dieser Nachricht. Sie ist, und darauf kommt es an, zu Nachweiszwecken mit der digitalen Signatur des empfangenden Gerichts signiert. So kann später beweissicher belegt werden, dass die Zustellantwort auch tatsächlich auf das empfangende Gericht zurückgeht. Damit ist der Beweis, dass die beA-Nachricht das Gericht erreicht hat, erbracht.

Damit ist allerdings noch nichts gewonnen. Was die „Zustellantwort“ nämlich nicht enthält: Eine Liste der Anhänge, die der beA Nachricht beigefügt waren. Und auf diese Anhänge – nicht auf die beA Nachricht selbst – kommt es für den Nachweis unter Haftungsgesichtspunkten an. Die fristwahrende Handlung könnte nur nachgewiesen werden, wenn die Zustellantwort sich auch auf diese Anhänge erstreckte. Das tut sie jedoch – entgegen der ausdrücklich anderslautenden Darstellung der BRAK – nicht.

Die BRAK behauptet:

„Daher nimmt die automatisierte Eingangsbestätigung nicht Bezug auf die beA-Nachricht, sondern bestätigt ausdrücklich in der Auflistung der übermittelten elektronischen Dokumente deren Eingang auf der für den Empfang bestimmten Einrichtung des Gerichts, also dem Intermediär, an einem bestimmten Tag zu einer bestimmten Uhrzeit. Die Auflistung der übermittelten Dateien in der Eingangsbestätigung ist also nicht nur schmückende Beiwerk, sondern „die“ automatisierte Eingangsbestätigung bezogen auf genau diese Dokumente.“

Und das ist falsch! Die allein als automatisierte Eingangsbestätigung in Frage kommende „Zustellantwort“ enthält keinerlei Bezugnahme auf Dokumente, die als Anhang zu einer beA-Nachricht übermittelt wurden. Die von der BRAK in Bezug genommene „Auflistung der übermittelten elektronischen Dokumente“ geht gar nicht auf das empfangende Gericht zurück, sondern auf die BRAK. Sie sind damit von der Antwort des Gerichts nicht umfasst. Und selbst wenn sie es wären – was sie nicht sind -, wären sie jedenfalls nicht von der allein zum Nachweis geeigneten elektronischen Signatur des empfangenden Gerichts umfasst.

Der nachstehende Satz der BRAK ist damit schlicht gelogen:

„[Die *_export.hml-Datei] kann im Bedarfsfall dem Gericht vorgelegt werden, denn sie repräsentiert die Eingangsbestätigung im Sinne von § 130a Abs. 5 ZPO.“

Das gilt indes nur für die in dieser Datei enthaltene, ausdrücklich als vollständig deklarierte und allein vom Empfangsgericht elektronisch signierte „Zustellantwort“, die keine Liste mit Anhängen enthält. Diese Liste fügt die BRAK hinzu, nicht das empfangende Gericht. In der „vollständigen Zustellantwort“ gibt es schlicht keine Bezugnahme auf irgendwelche Anhänge oder überhaupt auf PDF-Dateien.

Das ist auch systemseitig gar nicht vorgesehen. Wie sich aus der HTML-Datei ergibt, wird den Anhängen nicht einmal eine eigene ID zugewiesen. Das scheint eine Funktionalität zu sein, die zwar ursprünglich einmal geplant gewesen war, jedoch nicht verwirklicht wurde. Es gibt nämlich in der Übersicht der BRAK eine Spalte für eine solche ID, die jedoch leer bleibt:

2021/10/Keinen_Anhang_ID-300x71.png

Das Einzige, was danach bleibt, ist die Erwähnung der Anhänge in einer HTML-Datei, die vom System der BRAK – dem beA – erzeugt wurde, nicht dem empfangenden Gericht, und die zum Nachweis technisch und rechtlich ungeeignet ist. Das auch deshalb, weil die HTML-Datei nicht digital signiert und damit trivial änderbar ist:

[video width="1280" height="720" mp4="https://www.cr-online.de/blog/wp-content/uploads/2021/10/schriftsatz.mp4"][/video]

Damit kann mit der html-Datei nicht einmal bewiesen werden, dass bestimmte Anhänge auch nur versandt wurden (!), von einem zuverlässigen Eingang bei Gericht ganz zu schweigen. Die BRAK behauptet (evident wider besseres Wissen) das Gegenteil.

Was ist zu tun?

Ein Nachweis des zuverlässigen Empfangs fristwahrender Schriftstücke durch Gerichte ist mit Hilfe des beA technisch unmöglich. Für die Anwender bedeutet das ein Defizit an Rechtssicherheit, paradoxerweise aber einen Gewinn an Komfort: Ein Export der Nachrichten zum Zweck des Zustellnachweises ist ungeeignet und daher künftig nicht länger erforderlich, um das höchstmögliche Maß an Rechtssicherheit bei der Postausgangskontrolle zu erreichen. Ausreichend wird es künftig sein, wenn bei der Postausgangskontrolle (lediglich) die Rückmeldung des beA im Webinterface (gegebenenfalls durch sorgfältig ausgewählte und überwachte Hilfspersonen) überprüft und das Ergebnis dieser Prüfung analog zu einem herkömmlichen Postausgangsbuch notiert wird. Damit ist von anwaltlicher Seite alles getan, was im Rahmen der Postausgangskontrolle fristwahrender Schriftstücke möglich ist. Ein größeres Maß an Sicherheit ließe sich nur mit einem Anruf bei Gericht oder einer schriftlichen Bitte um Bestätigung des Eingangs erreichen. Das fordert die Rechtsprechung im Rahmen analoger Versandmechanismen bislang allerdings nicht, sondern gewährt im Fall des Nichteingangs auf zuverlässigem Weg versandter Schriftsätze (zumindest) Wiedereinsetzung.

Auf dieses Niveau ist man jetzt auch als Nutzer des beA zurückgeworfen, wobei man hoffen muss, dass die Gerichte das beA als zuverlässigen Versandweg akzeptieren. Die Erfahrung der letzten Jahre lässt daran Zweifel aufkommen.

Zusammenfassung

Konnte man der BRAK hinsichtlich der Falschbehauptungen über die Rechtssicherheit des beA-Versands bislang technische Unkenntnis zubilligen und damit lediglich von grober Fahrlässigkeit ausgehen, ist die Falschinformation in ihrer letzten Stellungnahme nur mit Vorsatz zu erklären. Für den Moment ist festzuhalten, dass das beA eine geringere Rechtssicherheit als das Telefax bietet. Der Aufwand, ein Fax-Sendeprotokoll zu fälschen, dauert rund 10 Minuten länger als die Abänderung einer von der BRAK selbstgebastelten HTML-Datei, die in unter 3 Sekunden zu bewerkstelligen ist. Ein technischer Nachweis des erfolgreichen Zugangs per beA übersandter Schriftstücke existiert damit nicht. Namentlich fehlt es an einer automatisierten Bestätigung des Zeitpunkts des Eingangs von Schriftsätzen, die über das beA eingereicht werden, wie von § 130a Abs. 5 S. 2 ZPO gefordert. Das ließe sich nur ändern, wenn fristwahrende Schriftsätze künftig nicht mehr als PDF-Datei als Anhang übermittelt werden, sondern als blanke beA-Nachricht. Nur insoweit quittieren die Systeme der Gerichte den Empfang. Praktikabel ist das natürlich nicht, schon weil den Nur-Text-Nachrichten jegliche Formatierung fehlte.

Damit können Anwälte sich nicht drauf verlassen, dass ihnen von der BRAK als zugegangen bestätigte Nachrichten tatsächlich auch die Anhänge – und damit die fristwahrende Dokumente – enthielten. Systemfehler werden absehbar zu ihren Lasten ausgelegt, und sie sind bereits vorgekommen. Es wurden Nachrichten übermittelt, bei denen der Empfang der Anhänge durch das beA – nicht die empfangende Stelle! – bestätigt wurde, obwohl das Gericht später erklärte, die Anhänge hätten bei der beA-Nachricht gefehlt.

Die BRAK ist aufgerufen, diesen katastrophalen Zustand so schnell wie möglich zu beheben!

Update: Technische Details

Der Autor wurde von verschiedenen Seiten gefragt, was "unter der Haube" geschehe, um den technischen Hintergrund nachvollziehen zu können. Die Antwort lautet: Gar nichts. Es liegt alles klar zu Tage. Jede Nachricht, die aus dem beA zur (vermeintlichen) Nachweissicherung exportiert wird, enthält unter anderem eine Datei, die nach dem Schema *_export.html benannt ist. Diese Datei wiederum enthält in einem Abschnitt eine Wiedergabe der "vollständigen Zustellantwort". Diese Zustellantwort ist (abschließend) alles, was der empfangende Intermediär - also das Gericht - nach Eingang einer beA-Nachricht zurückmeldet. Es handelt sich also (abschließend) um die in § 130a Abs. 5 S. 2 ZPO genannte Empfangsbestätigung.

Diese "Zustellantwort" kann jedermann prüfen, der Zugang zum beA hat und eine an ein Gericht versandte Nachricht exportieren kann. Und sie enthält keinerlei Referenz zu den Anhängen einer beA-Nachricht. Die von der BRAK in ihrer Stellungnahme genannte "Dateiliste" entstammt nicht der Zustellantwort, sondern wird von der BRAK generiert. Sie ist als Nachweis deshalb ungeeignet, weil sie nicht etwa den Eingang des Schriftsatzes bei Gericht belegt, sondern nur die Aussage der BRAK dokumentiert, dass beim Versand (nicht beim Empfang durch das Gericht!) Dateien angehängt waren, die einen bestimmten Namen hatten.

Folgerichtig sind diese Dateien oder auch nur ihre Namen nicht Gegenstand der Signatur des empfangenden Gerichts. Alles, was es gibt, ist eine trivial zu editierende HTML-Datei, die von der BRAK selbst ausgestellt wurde. Die BRAK ist aber gar nicht in der Lage, den Empfang durch ein Gericht zu bestätigen. Das kann aus zwingenden logischen Gründen nur das Gericht selbst. Tut es aber nicht.

So sieht eine "Zustellantwort" beispielhaft aus - sie bezieht sich ausschließlich auf die beA-Nachricht als solche, der eine "messageID" zugewiesen wurde (im Screenshot hellgrau hinterlegt), enthält aber keinerlei Referenz zu enthaltenen Anhängen - nirgendwo:

2021/10/beA_zustellantwort_beispiel-300x292.png

Update 2

Wir haben die BRAK und die Kammern informiert, dass das beA nach jetzigem Stand die Anforderungen der Zivilprozessordnung nicht erfüllt. Um das Problem zu illustrieren die nachstehende Animation - es werden gleichzeitig eine beA-Nachricht und das (fristwahrende) elektronische Dokument i.S.d. § 130a Abs. 1 ZPO übermittelt. Die "Zustellantwort" des Systems bezieht sich nur auf die (leere) beA-Nachricht und - entgegen § 130a Abs. 5 S. 2 ZPO - nicht auf das "elektronische Dokument". Das beA suggeriert fälschlich, dass das doch der Fall sei.

Das Problem - von BRAK und anderen oft verkannt - liegt dabei auch, aber nicht in erster Linie in der Nachweisproblematik im Fall eines Untergangs der "elektronischen Dokumente" bei Übermittlung oder bei Gericht. Die automatisierte Bestätigung des Eingangs dient der zuverlässigen Überprüfung der Fristwahrung. Die derzeitige Gestaltung leistet das nicht.

  2021/10/bea.gif

Zurück