Elektronische Signaturen: Qualifiziert, oder was?

Elektronische Signaturen sind aus einem effizienten digitalen Workflow nicht mehr wegzudenken. Mit TRUST2GO® bieten wir Ihnen eine qualifizierte Signatur als digitale Alternative, die Ihre handschriftliche Unterschrift technisch, organisatorisch und rechtlich komplett ablöst. Was genau ist aber eine elektronische Signatur, und was eine „qualifizierte“ e-Signatur? Grundsätzlich unterscheidet man gemäß EU-eIDAS-Verordnung drei Stufen der digitalen Unterschrift: die einfache, die fortgeschrittene und die qualifizierte e-Signatur.

Bei vertrauenswürdigen digitalen Unterschriften geht es – vereinfacht – darum, dass Daten durch ein fälschungssicheres elektronisches Merkmal – die Signatur im kryptographischen Sinn – gekennzeichnet werden. So wird nachvollziehbar, von wem die Datensätze stammen und ob sie während der digitalen Transaktion verändert wurden. Jeder Versuch, auch nur einen Punkt zu ändern oder versteckten Text im Dokument zu modifizieren, führt zur Ungültigkeit der elektronischen Signatur. Aber von der Frage, von wem, mit welcher Technologie, mit welchen Mitteln und unter welchen Richtlinien die Signatur bzw. das Signaturwerkzeug erstellt wurden, hängt ab, ob die Signatur im Zweifelsfall unbrauchbares Gekritzel, oder eben ein gerichtlich haltbarer Beweis ist.

Wir sprechen in der Regel von den „Güteklassen“ einfach, fortgeschritten und qualifiziert. Ganz besonders vertrauenswürdig ist die „qualifizierte“ e-Signatur. Das Signatur- und Vertrauensdienstgesetz und die EU-eIDAS-Verordnung schreiben ihre Anforderungen und Wirkungen fest.

Die „einfache“ elektronische Signatur

Einfache elektronische Signatur steht für Signaturdienste mit geringer Vertrauenswürdigkeit und Beweiskraft, die nicht auf fortgeschrittener oder qualifizierter Stufe stehen. Die einfache e-Signatur ist gesetzlich nicht reguliert und kann ohne besondere Prüf- und Authentizierungsschritte erzeugt werden. Sie lässt sich daher leicht fälschen und ist beispielsweise bloß das grafische Abbild der handschriftlichen Unterschrift.

Die fortgeschrittene elektronische Signatur

In der eIDAS klar geregelt ist dagegen die fortgeschrittene e-Signatur. Die Identität des Unterzeichners muss durch eine dafür zugelassene Stelle, den sogenannten Vertrauensdiensteanbieter (VDA), geprüft werden. Nur eindeutig identifizierten Personen werden die entsprechenden Signaturwerkzeuge zugestellt. Um die Identität des Unterzeichnenden eindeutig belegen zu können, werden standardisierte und zugelassene Methoden verwendet– zum Beispiel die Video-Identifizierung mit anschließender Aktivierung mittels Mobiltelefon. Des weiteren – und das ist ein entscheidender Unterschied zur einfachen Signatur – muss sie mit Werkzeugen erstellt werden, die der Unterzeichner in seiner Gewalt behalten kann. Das sind zum Beispiel passwortgesicherte Kryptodateien oder spezielle Hardware. Einfache Signaturen hingegen kann ja jeder schlicht kopieren, sie sind daher im Streitfall wertlos.

Die qualifizierte e-Signatur

Die qualifizierte elektronische Signatur ist die höchste Signaturebene und gilt als sicherste Stufe einer digitalen Unterschrift. Sie unterliegt allen Anforderungen der fortgeschrittenen Signatur sowie einigen zusätzlichen Kriterien und kann nur von einer qualifizierten, von der nationalen Aufsichtsbehörde zugelassenen Stelle ausgestellt werden. Diese qualifizierten VDA werden regelmäßig auditiert, um sicherzustellen, dass ihre Lösungen den europäischen Vorschriften entsprechen. Neben der Personenidentifizierung ist auch die Verwendung spezifischer Hardware vorgeschrieben, die die Kompromittierung von Signaturdaten äußerst unwahrscheinlich macht.

Empfänger signierter Dokumente können sicher sein, dass ein qualifiziertes Zertifikat auf eine natürliche Person ausgestellt ist, deren Identität mit der auf dem Zertifikat angegebenen übereinstimmt. Verträge, die mit einer qualifizierten e-Signatur unterschrieben werden, sind gemäß den eIDAS-Vorgaben genauso rechtsgültig wie händisch unterzeichnete.

Elektronische Signatur und digitale Signatur – E-Signatur und digitale Unterschrift

Ganz ehrlich: Sind Sie schon bei der Überschrift gedanklich ausgestiegen? Nicht ganz zu Unrecht werden diese Begriffe meist synonym verwendet.

Während E-Signatur und digitale Unterschrift nicht definierte Begriffe eher werblicher Natur sind, meinen elektronische und digitale Signatur zwei unterschiedliche Ansätze. Die beiden Konzepte sind streng genommen zu unterscheiden  -nicht alle elektronischen Signaturen sind unbedingt digitale Signaturen.

“Elektronische Signatur” ist ein rechtlicher Begriff, der in der eIDAS-Verordnung wie folgt definiert wird: „Elektronische Signatur“ sind Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.” (Art 3 eIDAS-VO)

Eine digitale Signatur hingegen bezieht sich auf ein mathematisches und kryptographisches Verfahren, das (nicht nur, aber auch) verwendet wird, um elektronische Signaturen zu produzieren. Die Definition in ETSI TR 119 100 lautet:
“data appended to, or a cryptographic transformation of a data unit that allows a recipient of the data
unit to prove the source and integrity of the data unit and protect against forgery e.g. by the recipient”

Auswahlkriterien auf der Suche nach der richtigen Signaturlösung

Rechtlich erlaubt sind freilich alle drei Signaturebenen. Gewählt werden müssen sie je nach Anwendungsfall und Relevanz der zu unterzeichnenden Dokumente – wir beraten Sie gerne!

Fest steht: dort wo gesetzliche Schriftformgebote herrschen, wird dem Formerfordernis nur durch eine qualifizierte Signatur entsprochen. Mittlerweile sind auch zahlreiche Konstellationen bekannt, in denen Erklärungen ausschließlich qualifiziert signiert abgegeben werden können und die Schriftform – im Sinne der handschriftlichen Unterschrift – nicht mehr akzeptiert wird.

Dort wo Erklärungen auch formlos abgegeben werden können, wie das nach außen beispielsweise bei Angeboten, Rechnungen und Lieferscheinen der Fall ist, können die Vorteile einer fortgeschrittenen Signatur überwiegen (Vollautomatisierung – Verzicht auf Hardware und 2-Faktor-Authentisierung).

Weitere Überlegungen zur Auswahl des richtigen Signaturinstruments, denen wir im Rahmen unserer bisherigen Beratungspraxis oft begegnet sind:

• Qualifizierte Signatur bei Geschäften ab einer gewissen Wertgrenze, darunter fortgeschritten.
• Qualifizierte Signatur bei Erklärungen nach außen, intern nur fortgeschrittene Signatur.
• Qualifizierte Signatur für im Firmenbuch(Handelsregister) eingetragene Personen.
• Qualifizierte Signatur bei Auslandsbezug, sonst fortgeschrittene Signatur.

Ob fortgeschritten oder qualifiziert: Mit TRUST2GO® können Sie Ihr Vertragsmanagement ganz einfach digitalisieren. Die Integration in bestehende Backend-Systeme (SAP, Microsoft, Oracle, …) erfolgt genauso problemlos wie die Anwendung mit unserer kostenlosen Software TRUST2GO® Client.