Rechtsgültigkeit der Digitalen Signatur
Welche Arten der Digitalen Signatur gibt es?
Man unterscheidet drei Arten von E-Signaturen: Die Einfache, die Fortgeschrittene und die Qualifizierte Elektronische Signatur. Diese drei Arten sind in der eIDAS-Verordnung der Europäischen Union festgelegt und verfügen jeweils über unterschiedliche Anforderungen hinsichtlich Sicherheit, Identifizierbarkeit und Beweisbarkeit. Dabei hat die Einfache Elektronische Signatur die niedrigste Schwelle und lässt sich schnell und einfach durchführen, wohingegen die Qualifizierte Elektronische Signatur komplexer ist.
Es gibt verschiedene Arten von Elektronischen Signaturen, wie z.B. die Fortgeschrittene Elektronische Signatur
Screenshot: trusted.de
Quelle: xitrust.com
Als Einfache Elektronische Signatur gilt beispielsweise der Namenszug unter einer E-Mail, eine eingescannte Signatur oder eine markierte Checkbox, mit der Sie beispielsweise den AGB eines Unternehmens oder eines Dienstes zustimmen. Für diese Art der E-Signatur ist kein spezielles Tool und keine Identifikation des Unterzeichnenden notwendig. Alle User mit einem PC oder einem Smartphone können diese Einfache Elektronische Unterschrift leisten. Anders steht es um die Fortgeschrittene und die Qualifizierte Elektronische Signatur:
Die oben vorgestellten Anbieter Yousign, ContractHero, MOXIS, Adobe Sign, DocuSign, signNow, eversign und IDnow eSign sind in der Lage, Fortgeschrittene Elektronische Signaturen anzubieten. Viele Lösungen verlangen dafür eine Authentifizierung des/der Unterzeichnenden per 2-Faktor-Authentifizierung, die meist über eine SMS oder einen Telefonanruf erfolgt. So lassen sich Dokumente, die keiner Qualifizierten Elektronischen Signatur bedürfen (siehe unten) rechtssicher, schnell und einfach unterzeichnen.
Eine FES ist auch dadurch definiert, dass sich das Dokument nach der Erstellung nicht mehr verändern lassen kann
Screenshot: trusted.de
Quelle: xitrust.com
Die Fortgeschrittene Elektronische Signatur hat höhere Sicherheitsanforderungen, als die Einfache Elektronische Signatur. Für diese Art der Unterschrift wird den Unterzeichnenden - beispielsweise den Usern einer der oben vorgestellten Signatur-Lösungen - eindeutig eine Art “Schlüssel” zugeordnet, über den nur der betreffende User verfügt, weil nur er mithilfe seiner Login-Daten Zugriff darauf hat. So ist es möglich, eine Unterschrift eindeutig einem Unterzeichnenden zuzuordnen, wodurch die FES “beweiskräftig” ist.
Für eine Fortgeschrittene Elektronische Signatur müssen folgende Anforderungen erfüllt sein:
- Die Signatur muss eindeutig zugeordnet werden können
- Eine Identifikation des/der Unterzeichnenden muss möglich sein
- Nur der/die Unterzeichnende darf Zugriff auf die Signatur-Daten haben
- Nach der Unterzeichnung dürfen die Dokumente nicht mehr veränderbar sein
- bzw. müssen nachträgliche Änderungen eindeutig erkennbar sein
Eine Fortgeschrittene Elektronische Signatur ist für die meisten Dokumente in der Privatwirtschaft ausreichend, beispielsweise für die Unterzeichnung von Datenschutzerklärungen, Arbeitsverträgen, Versicherungsanträgen, Vollmachten, Lastschrift-Mandaten, Angeboten und Aufträgen, etc. Alle oben genannten Tools verfügen über die Möglichkeiten zur Fortgeschrittenen Elektronischen Signatur und erfüllen die nötigen Sicherheitsanforderungen im Sinne der eIDAS.
Eine Qualifizierte Elektronische Signatur (QES) können aktuell zum Beispiel folgende Signaturlösungen anbieten: Yousign, MOXIS, DocuSign, ContractHero, IDnow eSign sowie Adobe Sign. Diese Lösungen sind entsprechend konform mit der eIDAS-Verordnung der EU und arbeiten mit anerkannten Vertrauensdiensteanbietern zusammen. Vor der Vertragsunterzeichnung bestätigen Sie bei diesen Lösungen Ihre Identität (meist per VideoIdent-Verfahren) und können anschließend Ihre Dokumente rechtssicher und qualifiziert unterzeichnen.
Für eine QES ist eine Identitätsprüfung, beispielsweise durch das VideoIdent-Verfahren notwendig
Screenshot: trusted.de
Quelle: idnow.io
Die Qualifizierte Elektronische Signatur bietet das höchste Maß an Sicherheit, hat gleichzeitig aber auch höhere Anforderungen, als etwa die Fortgeschrittene Elektronische Signatur. Sie kommt bei sensiblen Dokumenten wie Bürgschaften, Lebensversicherungen, Befristeten Arbeitsverträgen, sowie für alle Dokumente zum Einsatz, für die der Gesetzgeber die “Schriftform” verlangt, die nach eIDAS nur durch die handschriftliche Unterschrift auf Papier oder eben durch die Qualifizierte Elektronische Signatur möglich ist.
Zusätzlich zu den Anforderungen an die FES muss die QES noch folgende Bedingungen erfüllen:
- Der/die Unterzeichnende benötigt ein Qualifiziertes Zertifikat
- Dieses muss von einem anerkannten “Vertrauensdiensteanbieter” ausgestellt werden
- Die Identität des/der Unterzeichnenden muss vor der Signatur bestätigt werden
- Das kann beispielsweise durch das PostIdent- oder VideoIdent-Verfahren erfolgen
- Der Signaturschlüssel muss in einer Sicheren Signaturerstellungseinheit (SSEE) liegen
- Dabei handelt es sich um eine manipulationssichere Kombination aus Hard- und Software
Ein Beispiel für eine SSEE (oft auch QSCD oder Qualified Signature Creation Device) sind beispielsweise Chipkarten (sogenannte Signaturkarten) und ein Kartenlesegerät; mittlerweile ist die Erzeugung eines Signaturschlüssels allerdings auch über die Cloud möglich, so dass keine Signaturkarten mehr benötigt werden. Das SSEE ist in diesem Falle in der Netzwerkumgebung des Anbieters stationiert, der in Zusammenarbeit mit einem Vertrauensdiensteanbieter (oder Trust Service Provider) eine QES anbieten kann.