Eine Signatur kann nachweisen, wer der Verfasser einer Nachricht ist, und verhindert unentdeckte Manipulationen des Inhalts. Aber was bedeutet es für die Verbindlichkeit, dass eine E-Mail signiert ist?
Ihre Antwort: Gar nichts.
Es gibt keine verbindliche Festlegung (nicht einmal eine Empfehlung), welche formale Bedeutung mit einer Signierung einhergeht – weder rechtlich noch von der technischen Seite (OpenPGP-Standard).
Die einzige verbindliche Regelung zur Bedeutung von Signaturen – die allerdings auf absehbare Zeit für OpenPGP keine Rolle spielt – findet sich in § 126a BGB (in Verbindung mit dem Signaturgesetz):
(1) Soll die gesetzlich vorgeschriebene schriftliche Form durch die elektronische Form ersetzt werden, so muss der Aussteller der Erklärung dieser seinen Namen hinzufügen und das elektronische Dokument mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehen.
OpenPGP-Signaturen – fortgeschrittene elektronische Signaturen in der Terminologie des Signaturgesetzes – machen zwar einigermaßen beweisbar, dass jemand etwas verfasst hat, haben aber ansonsten keinen Einfluss darauf, was man aus einer Mail ableiten kann. Unter geeigneten Umständen mag auch eine normale, unsignierte Mail als Beweis für eine Aussage herangezogen werden. Man kann sich dabei nicht darauf berufen, dass es eine normale Mail ist, sondern nur bestreiten, dass sie authentisch ist.
OpenPGP-Signaturen sind ein Low-Level-Tool. Was sie bedeuten sollen, muss erst festgelegt werden. Im allgemeinen wird man das – wie immer – aus dem Inhalt der Mail ableiten müssen. Viele Leute signieren alle ihre Mails, um triviale Adressfälschung und social engineering zu unterbinden. In diesen Fällen sagt die Signatur inhaltlich überhaupt nichts aus. Manche Leute signieren nur ihre wichtigen Mails. Da mag eine Signatur bedeuten, dass der Inhalt der Mail besonders geprüft wurde. Aber diese Leute könnten sich – wie gesagt – normalerweise nicht darauf berufen, dass eine Mail nicht signiert wurde und deshalb nicht "ernst genommen" werden müsse.
Manche Schlüsselbesitzer versehen ihre Schlüssel mit einer Schlüsselrichtlinie, aus der hervorgeht, wofür sie den Schlüssel offiziell verwenden – und wofür eben nicht.
Um diesbezüglich auf der sicheren Seite zu sein, muss man wohl eine hinreichend präzise Vereinbarung mit dem Kommunikationspartner treffen. Die könnte so aussehen, dass nur solche Mitteilungen als rechtsverbindlich anzusehen sind, die mit einem bestimmten Schlüssel signiert wurden.
Ein weiteres grundsätzliches Problem, das vor allem bei Signaturen auftritt: Dass Sie selber (zurecht) sicher sind, dass jemand der Besitzer eines bestimmten Schlüssels ist, heißt noch lange nicht, dass Sie das gegenüber Dritten auch beweisen können! Leicht ist das nur bei qualifizierten Signaturen. Ansonsten brauchen Sie womöglich eine händische Unterschrift des Schlüsselbesitzers, die das bestätigt, oder Zeugen (z.B. Personen oder Organisationen, die den Schlüssel signiert haben).