Elektronische Signaturen: Rechtssicher und ressourcensparend

AuthentifizierungSicherheit

In den letzten Jahren hat die Digitalisierung noch einmal einen immensen Sprung gemacht. Ein wichtiges Thema sind rechtsgültige Unterschriften, die lange Zeit eine Schwachstelle im digitalen Bereich darstellten. Verträge ließen sich online nicht final abschließen. Auch die Vernetzung innerhalb großer Unternehmen war durch diese Lücke lange schwierig. Elektronische Signaturen sind ein wichtiger Schritt in die Rechtssicherheit und sparen viele Ressourcen.

Eine qualifizierte elektronische Signatur ersetzt die händische Unterschrift gleichberechtigt. Allerdings braucht es im Hintergrund abgestimmte Technik, damit sie rechtskräftig ist.

Was sind elektronische Signaturen?

Eine elektronische Signatur ermöglicht es, rechtssicher und digital zu unterschreiben. Digitale Signatur und elektronische Signatur werden in der Umgangssprache oft synonym verwendet. Die elektronische Signatur ist jedoch ein rechtlicher Begriff, der mit der überarbeiteten EU-Richtlinie 1999/93/EG gestärkt wurde. Zuvor war auch im Recht der Begriff digitale Signatur üblich.

Der Begriff der elektronischen Signatur ist nicht an eine konkrete Technik gebunden. Sie stellt die Übertragung einer persönlichen Unterschrift in den digitalen Raum dar. Mit „digitaler Signatur“ werden in der Softwaretechnik hingegen auch komplett andere Identifikationen bezeichnet.

Rechtlicher Rahmen elektronischer Signaturen

Der entscheidende Punkt an der Signaturrichtlinie ist ihre Technologieneutralität. Die Signaturrichtlinie hat bestimmt, dass:

● es kein Monopol für Zertifizierungsdienste durch eine vorherige Genehmigung geben darf

● sobald die qualifizierte elektronische Signatur auf einem durch eine sichere Signaturerstellungseinheit hergestellten Zertifikat beruht, wirkt sie wie eine handschriftliche Unterschrift

● Mitgliedsstaaten die ausgestellten qualifizierten Zertifikate akzeptieren

● einfache oder fortgeschrittene elektronische Signaturen können als Beweismittel vor Gericht genutzt werden, im Streitfall entscheidet das Gericht über ihre Gültigkeit.

Die eIDAS-Verordnung (auch IVT) löste 2014 die Signaturrichtlinie ab und förderte entscheidende Vorgaben für die elektronische Signatur, wie wir sie heute kennen. Seit 2016 ist die eIDAS-Verordnung anzuwenden. Im Juni 2021 schlug die Europäische Kommission einen Rahmen für eine europäische digitale Identität (abgekürzt als EUid) vor. Hier bleibt es abzuwarten, wie diese Idee umgesetzt wird. Für die digitale Vernetzung wäre sie ein wichtiger Schritt, um viele Arbeitsprozesse international zu erleichtern.

In Deutschland werden elektronische Signaturen neben den Vorschriften der EU durch die folgenden Vorschriften weitergehend geregelt:

● §§ 125 ff. im Bürgerlichen Gesetzbuch

● § 3a (elektronische Kommunikation) und § 37 (elektronischer Verwaltungsakt) im Verwaltungsverfahrensgesetz

● Vertrauensdienstegesetz

Wo wird die elektronische Signatur eingesetzt?

Elektronische Signaturen werden aktuell vor allem in der Verwaltung, im Bereich Finanzen und Banken, Gesundheitswesen, Personalbereich und in großen Unternehmen im Rahmen der Vernetzung eingesetzt. Dokumente müssen nicht mehr ausgedruckt, versendet oder eingescannt werden – das schont die Umwelt, spart Zeit und weitere Ressourcen. Kunden profitieren von beschleunigten Prozessen.

Unternehmen, die elektronische Signaturen rechtssicher anwenden möchten, sollten sich einen Experten an die Seite holen. Ohne eine Zertifizierung der ID-Verfahren durch die EU-Verordnung eIDAS, beziehungsweise das Schweizer Bundesgesetz ZertES ist die Gültigkeit der Signaturen vor Gericht nur bedingt haltbar. Die elektronische Signatur muss aber nicht nur kundenfreundlich und sicher sein, sondern zugleich in den verschiedenen Rechtsräumen legal verbindlich bleiben. Die führenden Lösungen von Swisscom Trust Services decken unterschiedliche Rechtsräume zuverlässig ab und zeichnen sich durch eine hohe Bedienfreundlichkeit aus.

Wie funktioniert eine elektronische Signatur?

An Dokumente werden Daten angefügt, welche die Authentifizierung ermöglichen. Dabei gibt es große Unterschiede zwischen einfachen, fortgeschrittenen und qualifizierten elektronischen Signaturen. Die einfache Signatur ist nicht weiter spezifiziert und kann lediglich aus dem Namen unter einer E-Mail bestehen – der Beweiswert geht gegen Null. Einen höheren Beweiswert haben fortgeschrittene elektronische Signaturen, die auf einem Zertifikat basieren. Im Zweifel muss deren Gültigkeit vor Gericht allerdings bewiesen werden. Lediglich qualifizierte elektronische Signaturen, die auf einem qualifizierten Zertifikat (erstellt durch eine sicheren Signaturerstellungseinheit, SSEE) beruhen, sind der händischen Unterschrift in den allermeisten Fällen gleichgestellt. Letztere müssen im Streitfall widerlegt und nicht bewiesen werden, bieten für den Nutzer also die größtmögliche Rechtssicherheit.

Zeitstempel und rechtsgültige elektronische Signaturen sind in vielen Arbeitsbereichen notwendig, um Geschäftsvorgänge online, sicher und ohne Zeitverluste abzuschließen. Hierbei werden intelligente Lösungen benötigt, die diese Schritte direkt am Computer ermöglichen. Gerade bei Geschäften, die über den nationalen Rahmen hinausgehen, sind rechtskräftige Lösungen im paneuropäischen Raum notwendig.

Die verschiedenen elektronischen Signaturen auf einen Blick:

Der Beweiswert einer einfachen elektronischen Signatur ist sehr gering. Die fortgeschrittene elektronische Signatur lässt sich z.B. mit PGP und einem Signaturschlüssel erstellen. Eine solche Signatur lässt sich für formfreie Vereinbarungen verwenden. Im Falle eines Rechtsstreits setzt jedoch die freie Beweisführung ein und die Gültigkeit der Signatur muss bewiesen werden. Lediglich die qualifizierte elektronische Signatur ersetzt die Unterschrift in Papierform nahezu gleichberechtigt.

Wie läuft ein Signaturprozess ab?

Der Signaturprozess am Beispiel der Swisscom Trust Services AG.

Schritt 1 – Einmalige Identifizierung

Die einmalige Identifizierung läuft beispielsweise über eine Authority App oder einen anderen zugelassenen (KYC) Prozess. Durch die RA-App lässt sich die Identifikation in einem Unternehmen sehr autonom durchführen, was gerade in einem größeren Konzern große Flexibilität und schnelles Handeln erlaubt.

Schritt 2 – Authentifizierung

Während der Identifizierung wird eine Authentifizierungsmethode festgelegt. Mit dieser wird bei jeder Signatur überprüft, ob der Wunsch berechtigt ist. Diese Methoden sind vielfältig:

● Mobile ID App (entweder mit Fingerprint oder Face Recognition)

● Mobile ID

● SMS mit Kombination aus Passwort und einem Einmalpasswort

Je nach Einsatzgebiet ist es hier wichtig, eine niedrigschwellige Methode zu wählen oder dem Kunden Optionen anzubieten.

Schritt 3 – Kurzlebiges Signaturzertifikat

Nachdem die ersten Schritte durchgeführt wurden, wird ein einmaliges Signaturzertifikat erstellt. Dieses kurzlebige Zertifikat erleichtert den Prozess, weil es automatisch abläuft und nicht mehr ungültig gemacht werden muss.

Schritt 4 – Zeitstempel

Auch der Zeitstempel ist eine zusätzliche Absicherung. Durch ihn wird nachweisbar, dass die Signatur zu einem konkreten Zeitpunkt Gültigkeit hat. Das sichert die Langzeitüberprüfung.

Durch eine Signaturapplikation lässt sich der Signing Service zusätzlich kundenfreundlicher gestalten.

Ein Schritt in die Zukunft

Die qualifizierte Signatur erleichtert bereits jetzt viele Prozesse. In den nächsten Jahren wird die Entwicklung mit Sicherheit noch einige spannende Neuerungen mit sich bringen, die viele weitere Arbeitsschritte zeit- und ressourcensparender gestalten werden.