Die elektronische Signatur


Die Businesswelt verlagert sich oft zunehmend ins Internet und mehr und mehr Mitarbeiter nutzen die Vorteile des Homeoffice. Müssen wichtige Dokumente unterzeichnet werden, ist eine elektronische Signatur die einfachste und schnellste Lösung. Alles über Anforderungen an eine elektronische Signatur, die verschiedenen Formen und die Einsatzmöglichkeiten.

Drei Stufen von Signaturen

Es wird zwischen drei Stufen von elektronischen Signaturen unterschieden.

  1. Elektronische Signatur/ einfache Signatur
    Hierbei besteht die Signatur aus Daten in elektronischer Form, die mit anderen elektronischen Daten verknüpft sind, beispielsweise ein textlicher Namensbezug am Ende einer E-Mail.
  2. Fortgeschrittene elektronische Signatur
    Eine fortgeschrittene elektronische Signatur ist eindeutig dem Unterzeichner zugeordnet und ermöglicht dessen Identifizierung. Sie ist so mit den unterzeichneten Daten verbunden, dass eine nachträgliche Veränderung sichtbar wird.
  3. Qualifizierte elektronische Signatur
    Bei der dritten Stufe handelt es sich um eine mit einer sicheren Signaturerstellungseinheit erstellte und auf einem qualifizierten Zertifikat beruhende elektronische Signatur. Aus technischer Perspektive sind die qualifizierte und die fortgeschrittene elektronische Signatur identisch. Bei der QES wird durch einen anerkannten Zertifizierungsdienst, der die Signatur ausstellen muss, jedoch zusätzlich die Identität des Unterzeichners garantiert.

Die eIDAS-Verordnung

Die eIDAS-Verordnung (Electronic Identification And Trust Services) regelt elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen in der europäischen Gemeinschaft. Gemäß der eIDAS-Verordnung gibt es EU-weit einheitliche Anforderungen an die verschiedenen elektronischen Signaturen.
Die Definition für die elektronische Signatur lautet nach eIDAS wie folgt:

„’Elektronische Signatur‘ sind Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.“​

Anforderungen und Verwendung

An die einzelnen Stufen der elektronischen Signatur werden unterschiedliche Anforderungen gestellt. Da sich die Anforderungen unterscheiden, unterscheiden sich auch ihre empfohlenen Einsatzbereiche.

Elektronische Signatur

Bei der einfachen elektronischen Signatur handelt es sich um die schwächste Form der elektronischen Signaturen. Sie ist damit vor allem für Transaktionen geeignet, die mit einem geringen rechtlichen Risiko verbunden sind. Im Unternehmen wird sie daher hauptsächlich für interne Dokumente eingesetzt, wie Anordnungen oder Reisekostenabrechnungen. Auch bei Mandanteninformationen, Dokumentationen und allgemeinen Geschäftsbedingungen kommt sie zum Einsatz. Ein klassisches Beispiel einer einfachen elektronischen Signatur ist der textliche Namensbezug am Ende einer E-Mail, eine eingescannte Unterschrift oder ein Klick auf eine „Ich stimme zu“- Checkbox.
Die einfache elektronische Signatur kann im Gegensatz zu den anderen Formen am schnellsten geleistet werden. Sie ist jedoch im Zweifel nicht eindeutig einer Person zuzuordnen und damit weniger aussagekräftig, wie die anderen Signaturstufen.

Fortgeschrittene elektronische Signatur

Die fortgeschrittene elektronische Signatur eignet sich für Transaktionen, die mit einem mittleren rechtlichen Risiko verbunden sind. Sie wird häufig für B2B-Transaktionen, wie Angebote und Verträge eingesetzt und ist für fast alle Vereinbarungen in der freien Privatwirtschaft die beste Wahl. Die fortgeschrittene elektronische Signatur (FES) ist beweiskräftig und kann dennoch einfach, schnell und unkompliziert geleistet werden. Für sie gelten die internationalen Standards PGP oder S/MIME. Einige Programme, wie beispielsweise Adobe Acrobat, integrieren mittlerweile die fortgeschrittene Signatur. Typische Anwendungsfälle für die FES sind beispielsweise Datenschutzerklärungen, unbefristete Arbeitsverträge, Versicherungsanträge oder auch Vollmachten.

Damit eine elektronische Signatur dem Charakter einer FES entspricht, muss sie laut eIDAS folgende Anforderungen erfüllen:

  • Sie ist eindeutig dem Unterzeichner zugeordnet
  • Sie ermöglicht die Identifizierung des Unterzeichners
  • Sie wird unter Verwendung elektronischer Signaturerstellungsdaten erstellt, die der Unterzeichner mit einem hohen Maß an Vertrauen unter alleiniger Kontrolle verwenden kann
  • Sie ist so mit den auf diese Weise unterzeichneten Daten verbunden, dass eine nachträgliche Veränderung der Daten erkannt werden kann.

Qualifizierte elektronische Signatur

Eine qualifizierte elektronische Signatur kann mit einer persönlichen Unterschrift gleichgesetzt werden. Sie bietet daher die höchste Beweiskraft unter den digitalen Signaturen. Damit ist die qualifizierte elektronische Signatur für alle Transaktionen im Unternehmen geeignet, für die eine eigenhändige Unterschrift gesetzlich vorgeschrieben ist, wie beispielsweise Verbraucherkredite oder Zeitarbeit. Auch bei Dokumenten wie befristeten Arbeitsverträgen, Kündigungserklärungen oder Bürgschaften ist eine solche Signatur gesetzlich vorgeschrieben.
Vor einer qualifizierten elektronischen Signatur (QES) muss die Identität der unterschreibenden Person geprüft werden. Dies kann beispielsweise per Video-Ident erfolgen. Im Anschluss stellt ein zertifiziertes Trust Center ein elektronisches Zertifikat aus, welches den Namen des Unterzeichners beinhaltet und sich auf einer Signaturkarte befindet. Je nach Zertifikattyp kann der Unterschreiber hiermit einmalig oder mehrfach qualifizierte Signaturen auslösen. Eine QES ist aufwendig und mit höheren Kosten verbunden, als die anderen Formen der elektronischen Signatur.

Laut eIDAS werden folgende Anforderungen an eine qualifizierte elektronische Signatur gestellt:

  • Sie wird von einem geprüften Trust Center ausgestellt
  • Die Sicherheitskriterien der FES werden erfüllt
  • Die Identität des Unterzeichners wird vor der Signatur validiert
  • Der Signaturschlüssel muss in einer qualifizierten elektronischen Signaturerstellungseinheit (QSCD) liegen

Verschlüsselung der qualifizierten elektronischen Signatur

Dem Unterschreibenden wird für die QES ein privater Signaturschlüssel zugewiesen. Dieser weist eine starke kryptographische Verschlüsselung auf und kann nur mit einem eindeutig dazu passenden öffentlichen Schlüssel gelesen werden. Die beiden Schlüssel werden durch das qualifizierte Zertifikat des Trust Service Providers verbunden, um die Identität der unterzeichnenden Person zu bestätigen.
Um die Gültigkeit einer qualifizierten elektronischen Signatur prüfen zu können, erhält der Empfänger eines elektronisch unterzeichneten Dokuments zusätzlich den öffentlichen Schlüssel. Mit diesem lässt sich die elektronische Signatur auslesen. Wenn die Werte des privaten Schlüssels des Absenders und die des öffentlichen Schlüssels übereinstimmen, ist das signierte Dokument unverändert übermittelt worden.

Signotec

Die Signotec GmbH ist einer der führenden Hersteller von Hard- und Software zur Erfassung handgeschriebener elektronischer Signaturen. Sie bietet vollumfängliche Läsungen für die elektronische Signatur, die visuelle und digitale Unterschriftenprüfung und den Unterschriftenvergleich sowie die Anknüpfung an ein Dokumentenmanagement an. Signotec hat hierfür ein umfangreiches Portfolio entwickelt.

Unterschriftenpads

Die Unterschriftenpads eigenen sich für verschiedenste Anforderungen und Einsatzmöglichkeiten. Sie verfügen über hochwertige Sensoren und eine Vielfalt von Schnittstellen. Die Qualität der digitalisierten Unterschriften mit Pads von Signotec und damit einhergehend auch die Verwertbarkeit der Unterschriften vor Gericht wurde in einem Gutachten bestätigt.

Softwarelösungen

Neben der Hardware bietet Signutec auch Software an. Sie ist ein wichtiger Bestandteil der Unterschriftenprozesse. Mit der Software von Signotec ist eine Kommunikation mit dem Unterschriftenpad und die sichere Signatur von PDF-Dokumenten möglich. Um zusätzlich das schnelle und mobile Unterschreiben über Smartphones zu ermöglichen, hat Signotec eine Signier-App für Android Geräte entwickelt.

Unterschriftenvergleich

Ein zuverlässiger Unterschriftenvergleich ist ein wesentlicher Sicherheitsaspekt einer elektronischen Unterschrift. Signotec erfasst bei der Unterschrift auf einem Unterschriftenpad verschiedene Parameter, welche im Anschluss für einen Unterschriftenvergleich genutzt werden können. Das sind insbesondere:

  • Druckstärke
  • Druckverlauf
  • Ansatz- und Absatzpunkte des Stifts
  • Schreibrichtung
  • Schreibgeschwindigkeit
  • Winkel und Schwingungen
  • Zeit

Die biometrischen Daten werden direkt am Eingabegerät erfasst und verschlüsselt abgespeichert. Bei erneuter Unterschrift werden die Daten dann miteinander verglichen, um die Identität des Unterschreibenden zu prüfen.

Fazit

Die elektronische Signatur ist längst Bestandteil unserer digitalen Welt. Immer häufiger liegen Dokumente von Beginn an digital vor und lassen sich daher am einfachsten elektronisch unterschreiben. Viele Anbieter haben zudem Software- und Hardwarelösungen auf den Markt gebracht, die eine sichere elektronische Signatur ermöglichen. Wichtig ist jedoch zu beachten, dass nur eine qualifizierte elektronische Signatur einer handschriftlichen Unterschrift gleichgesetzt werden darf. Hierfür gelten strenge Anforderungen, die unbedingt eingehalten werden müssen.