beBPo will gut organisiert sein

Das besondere elektronische Behördenpostfach (beBPo) ist letztlich ein EGVP-Postfach, dessen Postfachinhaber – stets eine Behörde – durch eine beBPo-Prüfstelle gem. § 7 ERVV identifiziert wurde und das deshalb einen sicheren Übermittlungsweg gem. § 130a Abs. 4 ZPO darstellt. Unter Nutzung dieses sicheren Übermittlungsweg können die berechtigten Personen ohne das Erfordernis der Anbringung einer qualifizierten elektronischen Signatur Schriftsätze an das Gericht übersenden. Die einfache Signatur des Mitarbeiters, der den Schriftsatz verantwortet genügt. Welche Mitarbeiter Zugriff haben, ist technisch und organisatorisch abzusichern, sowie zu dokumentieren, § 8 ERVV. Die Organisation der Zugangsberechtigung ist aber nicht die einzige Anforderung bei Einrichtung eines beBPo; die Behörde muss auch Fehlerlagen mit einkalkulieren – dies stellt nun das OVG Thüringen in seinem Beschluss vom 28.1.2020 – 3 ZKO 796/19 klar.

Sachverhalt

Gegen das Urteil des Verwaltungsgerichts in erster Instanz hatte die unterlegene Behörde einen Antrag auf Zulassung der Berufung gestellt. Der Antragsschriftsatz trug nur eine einfache, keine qualifizierte elektronische Signatur. Ausweislich des Tatbestands wurde hierzu das aus der Absender-Safe-ID ersichtliche beBPo der Behörde genutzt. Im Transfervermerk war aber der sichere Übermittlungsweg gerade nicht ersichtlich, sondern die Nachricht kam als Eingang aus einem regulären EGVP-Postfach bei dem VG an. Offenbar fehlte daher der vertrauenswürdige Herkunftsnachweis (VHN); ein fortgeschrittenes Zertifikat, das als Nachweis für die Nutzung eines sicheren Übermittlungswegs dient.

Wesentlicher Entscheidungsinhalt

Das OVG Thüringen hält den Antrag für unzulässig. Die Form des § 55a VwGO (= § 130a ZPO) sei nicht gewahrt. Hierfür sei es erforderlich, dass das elektronische Dokument entweder qualifiziert elektronisch signiert ist oder aber eine einfache Signatur der verantwortenden Person trägt und über einen sicheren Übermittlungsweg eingereicht wurde.

Der sichere Übermittlungsweg gem. § 55a Abs. 4 VwGO (= § 130a Abs. 4 ZPO) werde aber durch das Vorhandensein des fortgeschrittenen Zertifikats VHN nachgewiesen. Nur die Übermittlung aus einem durch eine bestimmte safe-ID nachvollziehbaren EGVP-Postfach, das (jedenfalls auch) als beBPo genutzt werde, genüge nicht. Insbesondere sei nämlich ohne den VHN nicht erkennbar, ob es sich bspw. um eine gut gemachte Fälschung gehandelt habe oder, ob das Dokument überhaupt von einer berechtigten Person der Behörde und mit deren Willen in den Rechtsverkehr gelangt sei.

Auch eine Wiedereinsetzung in den vorigen Stand könne nicht verlangt werden. Nach § 60 Abs. 1 VwGO sei Wiedereinsetzung nur demjenigen zu gewähren, der ohne Verschulden verhindert gewesen sei, die Frist einzuhalten. Hier sei aber ein Verschulden der Behörde zu erkennen, denn sie habe keine wirksame Ausgangskontrolle organisiert. Entsprechend der Anforderungen, die gegenüber der Rechtsanwaltschaft gestellt würden, setze eine wirksame Ausgangskontrolle voraus, dass „vor allem dann, wenn das betreffende elektronische Dokument nicht mit einer qualifizierten elektronischen Signatur versehen werden soll bzw. versehen ist, die Organisation der Geschäftsprozesse und die Einrichtung der dabei verwendeten IT-Systeme und Anwendungen so gestaltet ist, dass eine Fristversäumung infolge des Versendens von Nachrichten via beBPo ohne vertrauenswürdigen Herkunftsnachweis [vHN] – auch in außergewöhnlichen, aber voraussehbaren – Fällen vermieden wird.“

Das OVG Thüringen formuliert die Anforderung an die Organisation eines beBPo im Ergebnis wie folgt:

Vor diesem Hintergrund obliegt es einer Behörde nicht nur ihr beBPo anforderungsgemäß (vgl. § 55a Abs. 2 Satz 2 VwGO i. V. m. § 6 ERVV) unter Einhaltung des spezifischen Authentisierungs- und Identifizierungsverfahrens (vgl. § 55a Abs. 2 Satz 2 VwGO i. V. m. § 7 ERVV) einzurichten, zu betreiben (vgl. etwa: § 55a Abs. 2 Satz 2 VwGO i. V. m. § 9 ERVV) und zu verwalten, wobei sie insbesondere sicherzustellen hat, dass der Zugang zu ihrem beBPo ausschließlich mithilfe eines (Zugangs-) Zertifikats und des zugehörigen Zertifikats-Passwortes und nur den von ihr als Postfachinhaber bestimmten Zugangsberechtigten möglich ist (vgl. § 55a Abs. 2 Satz 2 VwGO i. V. m. § 8 ERVV). Sie muss darüber hinaus auch dafür Sorge tragen, dass ihre Sendekomponenten ordnungsgemäß implementiert und eingerichtet sind. Vor dem Hintergrund des § 55a Abs. 2 Satz 2 VwGO i. V. m. § 6 Abs. 1 Nr. 4 ERVV muss sie dabei insbesondere sicherstellen, dass das bestimmte beBPo-vHN-(Signatur-)Zertifikat funktionsfähig eingebunden ist und – ggf. auch automatisiert – im Prozess der Nachrichtenversendung durch ihre – zugangsberechtigten und sicher angemeldeten – Sachbearbeiter korrekt adressiert und an die jeweilige Nachricht angebracht wird.

Anmerkung

  • Verschulden

Die Ausführung des OVG Thüringen zum Verschulden im Rahmen des Antrags auf Wiedereinsetzung in den vorigen Stand leuchten ein. Es gibt keinen Grund, Behörden weniger Pflichten aufzubürden als der Rechtsanwaltschaft. Es muss daher eine effiziente Postausgangskontrolle etabliert werden, die letztlich – wie bei der Rechtsanwaltschaft – darauf hinausläuft, die automatisierte Eingangsbestätigung gem. § 130a Abs. 5 Satz 2 ZPO auszuwerten und aufzubewahren.

–> VerfGH RLP, Beschluss vom 24. September 2019 – VGH B 23/19.

–> Hessischer VGH, Beschluss vom 26. September 2017 – 5 A 1193/17.

  • Sicherer Übermittlungsweg nur mit VHN

Im Ergebnis wohl auch zutreffend ist, dass es das OVG Thüringen auch für das beBPo nicht ausreichen lässt, das die Absendung der Nachricht aus dem Postfach mit einer safe-ID, die sich eindeutig einem beBPo zuordnen lässt, erfolgt ist, damit auf die qeS verzichtet werden darf. Hierfür ist das Vorliegen eines Vertrauenswürdigen Herkunftsnachweises (VHN) das einzige Unterscheidungsmerkmal. Die Unterscheidung ist zentral, weil nur bei sicheren Übermittlungswegen formwahrend auch ohne qualifizierte elektronische Signatur (qeS) kommuniziert werden darf. Bei der Nutzung des elektronischen Rechtsverkehrs muss danach unterschieden werden, ob ein sicherer Übermittlungsweg gem. § 130a Abs. 4 ZPO verwendet wurde, oder, ob die Nachricht über einen sonstigen zugelassenen elektronischen Übermittlungsweg eingereicht wurde. Nur bei der Verwendung eines sicheren Übermittlungsweg kann auch bei formbedürftigen Schriftsätzen auf die qualifizierte elektronische Signatur (qeS)  verzichtet werden.

Ebenso wie Postfächer des besonderen elektronischen Anwaltspostfachs (beA) besitzen auch beBPo-Postfächer eine eindeutige SAFE-ID, die sich im EGVP-Adressbuch einem Postfach mit der EGVP-Rolle „Behörde“ zuordnen lässt. Diese SAFE-ID alleine genügt aber nicht als Hinweis darauf, ob das beA auch als sicherer Übermittlungsweg im Sinne des § 130a Abs. 4 Nr. 2 ZPO verwendet wurde.

Sichere und sonstige Übermittlungswege

Sichere Übermittlungswege sind gem. § 130a Abs. 4 ZPO die absenderauthentifizierte De-Mail,  das besondere elektronische Anwaltspostfach (beA), das besondere  elektronische Notarpostfach (beN) und das besondere elektronische Behördenpostfach (beBPo).

Dies gilt für aber nur dann, wenn die „verantwortende Person“ (d.h. bei beA der Rechtsanwalt als Postfachinhaber selbst) den Schriftsatz selbst versendet. Im Fall des beA muss also der Rechtsanwalt selbst den Versand vornehmen. Versendet ein Mitarbeiter, handelt es sich nicht um einen sicheren Übermittlungsweg, sondern „nur“ um einen sonstigen zugelassenen elektronischen Übermittlungsweg, der genauso behandelt wird, wie die hergebrachte Kommunikation unter Nutzung des Elektronischen Gerichts- und Verwaltungspostfachs (EGVP). Die wesentliche Folge ist daher, dass eine qualifizierte elektronische Signatur (qeS) des Rechtsanwalts erforderlich ist.

Beim beBPo ist die Unterscheidung zwischen „Postfachinhaber“ und sonstigen Nutzern auf den ersten Blick nicht ganz so eindeutig, wie beim beA, denn der Postfachinhaber des beBPo ist die Behörde, die natürlich nie selbst handeln kann, sondern als juristische Person sich ihren handelnden Mitarbeiterinnen und Mitarbeitern bedient. Zur Unterscheidung dient beim beBPo daher § 8 ERVV:

  • (Nur) der nach § 8 ERVV berechtigte Personenkreis kann (für den Postfachinhaber) unter Verwendung nur der einfachen Signatur tätig sein.
  • Alle anderen – letztlich nicht zeichnungsberechtigten und daher nicht von § 8 ERVV umfassten – Mitarbeiterinnen und Mitarbeiter sind „Sonstige“. Sollen Sie über das elektronische Postfach im Einzelfall senden dürfen, ist deshalb eine qualifizierte elektronische Signatur notwendig.

Fehlt daher – wie im vorliegenden Fall – der VHN, könnte dies also gerade ein Hinweis sein, dass eine nichtberechtigte Person gesendet hat und daher das nach § 8 ERVV ja auch gerade erforderliche technisch-organisatorische Konzept der Behörde dafür gesorgt hat, dass richtigerweise kein VHN mitübersandt wurde.

  • Fazit

Im Ergebnis ist die Entscheidung des OVG Thüringen daher richtig – auch wenn die tatsächlichen Gründe im Dunkeln bleiben: Nur wenn ein VHN mitübersandt wird, kann auf die qeS verzichtet werden. Liegt die fehlende Übersendung nicht in der Konzeption begründet, sondern beruhte auf einem Fehler, muss dieser Fehler im Rahmen der Postausgangskontrolle auffallen. Ist der Fehler so atypisch, dass er nicht auffallen konnte, trifft den Postfachinhaber dagegen kein Verschulden und er kann Wiedereinsetzung in den vorigen Stand erlangen.

Siehe auch:

Eine DE.BRAK – SAFE-ID macht noch keinen sicheren Übermittlungsweg

 

Autor: Dr. Henning Müller

Richter am Hessischen Landessozialgericht