Die qualifizierte elektronische Signatur.

E-Signatur mit der Rechtsgültigkeit einer händischen Unterschrift.

Eine qualifizierte elektronische Signatur ist in der digitalen Welt dasselbe wie eine handschriftliche Signatur in der analogen Welt. Die qualifizierte elektronische Signatur (QES) ist per Gesetz die hochwertigste Form der digitalen Unterschrift. Sie unterscheidet sich von der einfachen elektronischen Signatur (Standard Electronic Signature = SES) und der fortgeschrittenen elektronischen Signatur (Advanced Electronic Signature = AES).

Die Grundlage für alle Formen der elektronischen Signatur ist die eIDAS-Verordnung des Europäischen Parlaments und des Rates der Europäischen Union. eIDAS ist die englische Abkürzung für electronic IDentification, Authentication and trust Services. Der Name steht für die Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der bis dahin geltenden Richtlinie 1999/93/EG.

Rechtssicherheit durch eIDAS-Verordnung

Als Instrument rechtlicher Harmonisierung vereinfacht die eIDAS-Verordnung elektronische Signaturen und fördert den Ausbau digitaler Lösungen auf gesamteuropäischer Ebene. Definiert ist die QES in Artikel 3 Z 12 als „eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wird und auf einem qualifizierten Zertifikat für elektronische Signaturen beruht“.
Die eIDAS-Verordnung strahlt die Rechtssicherheit aus, die Investitionen in Transformationsprozesse vielerorts erst motiviert hat. In Artikel 25, Abs. 2 der eIDAS-Verordnung ist geregelt, dass die qualifizierte elektronische Signatur die gleiche Rechtswirkung wie eine handschriftliche hat.

Trust Center

Qualifizierte elektronische Signaturen basieren grundsätzlich auf einem qualifizierten Zertifikat. Dieses kann nur von einer sicheren Signaturerstellungseinheit (SSEE) ausgelöst werden. Ein staatlich anerkannter Vertrauensdiensteanbieter, ein so genanntes Trust Center, wie beispielweise D-Trust (Deutschland) oder A-Trust (Österreich) stellt die persönlichen Zertifikate zur Verfügung. Swisscom ist in diesem Kontext ein Sonderfall, weil sie dem Schweizer Signaturgesetz ZertES verpflichtet ist und nicht der eIDAS-Verordnung. Aber auch hier wird mit personengebundenen persönlichen Zertifikaten gearbeitet. Sie erfüllen die wesentliche Anforderung an eine qualifizierte elektronische Signatur, nämlich dass die unterschreibende Person zweifelsfrei identifizierbar ist und das betreffende Dokument inhaltlich unverändert bleibt. Anerkannte Vertrauensdiensteanbieter erkennt man daran, dass sie dem in der eIDAS-Verordnung formulierten Anforderungskatalog entsprechen.
Qualifizierte, und damit staatlich zertifizierte Trust Center sind zum Beispiel A-Trust (Österreich), D-Trust (Deutschland) oder Swisscom Trust Services (Schweiz). Sie sichern die maximale Beweiskraft einer QES. Sie lösen rechtssichere qualifizierte Signaturen durch die Ausgabe elektronischer Zertifikate aus. In Artikel 24, Abs. 1 präzisiert die eIDAS-Verordnung: „Bei der Ausstellung eines qualifizierten Zertifikats für einen Vertrauensdienst überprüft der qualifizierte Vertrauensdiensteanbieter anhand geeigneter Mittel und im Einklang mit dem jeweiligen nationalen Recht die Identität und gegebenenfalls die spezifischen Attribute der natürlichen oder juristischen Person, der das qualifizierte Zertifikat ausgestellt wird.“

Die zentralen Aufgaben eines Trust Centers sind:

  • Ausgabe von qualifizierten Zertifikaten für elektronische Signaturen
  • Elektronischer Zeitstempel
  • Validierung von elektronischen Signaturen
  • Archivierung von elektronischen Signaturen
Die eIDAS-Verordnung differenziert in qualifizierte und nicht-qualifizierte Vertrauensdienstanbieter. Orientierung bietet hier für Unternehmen und Privatpersonen die sog. „Trust List“. In dieser Liste sind alle Anbieter und Dienstleistungen aufgeführt, die in den betreffenden EU-Staaten einen qualifizierten Status besitzen. Wer auf dieser Liste nicht aufgeführt ist, bleibt von qualifizierten Vertrauensdienstleistungen ausgeschlossen. Registrierung und Zertifikatserstellung sind kostenlos, bei dem wichtigsten österreichischen Trust Center A-Trust ist zum Beispiel auch die Handy-Signatur-App kostenlos für Nutzer.
Unternehmen, die elektronische Signaturen jeder Signaturqualität in ihren Prozessen zum Beispiel mit MOXIS verarbeiten, bezahlen für qualifizierte elektronische Signaturen über die Anzahl der erworbenen MOXIS-Lizenzen. Die elektronische Unterschriftenmappe von XiTrust unterstützt dabei jede Form elektronischer Signaturen. Durch die Integrationstiefe können MOXIS-User auf der gewohnten Oberfläche ihres bevorzugten Office-Systems (z. B. SAP) verbleiben und Signaturen in jeder Qualität auslösen. MOXIS läuft dann „im Hintergrund“.

Welche Signaturqualität für welches Dokument?

Die notwendige Signaturqualität hängt immer vom Einzelfall ab. Als Faustregel gilt: Nicht alle digital unterschriebenen Dokumente müssen zwingend qualifiziert elektronisch unterschrieben werden, also mit derselben Rechtwirkung wie eine handschriftliche Signatur. In vielen Fällen reicht die einfache elektronische Signatur oder die fortgeschrittene elektronische Signatur.

1. Einfache elektronische Signatur für

  • Lieferangebote (Zulieferer)
  • Aufträge und Warenbestellungen (Einkauf)
  • unternehmensinterne Dokumente
  • interne Freigabeprozesse („Laufzettel“)
  • Bekanntmachungen

Dokumente, die mit einer einfachen elektronischen Signatur auskommen, sind keiner gesetzlichen Formvorschrift unterworfen und besitzen nur ein geringes Haftungsrisiko.

2. Fortgeschrittene elektronische Signatur für

  • Kauf- und Mietverträge
  • Kontoeröffnungen
  • einfache Formen von Arbeitsverträgen

Dokumente, die mit einer fortgeschrittenen elektronischen Signatur zu versehen sind, sind wie einfache elektronische Signaturen keiner gesetzlichen Formvorschrift unterworfen und besitzen ein kalkulierbares Haftungsrisiko.

3. Qualifizierte elektronische Signatur für

  • Leiharbeitsverträge
  • Arbeitsverträge
  • Konsumentenkreditverträge
  • diverse Behördendokumente

Dokumente, die einer qualifizierten elektronischen Signatur bedürfen, sind einer gesetzlichen Formvorschrift unterworfen und zeichnen sich durch ein vergleichsweise hohes Haftungsrisiko aus. In Deutschland schreibt der Gesetzgeber die qualifizierte elektronische Signatur in § 492 Abs. 1 BGB für Verbraucherdarlehensverträge vor. In § 12 des AÜG wird für Arbeitnehmerüberlassungsverträge die qualifizierte elektronische Signatur vorgeschrieben.

Schriftformerfordernis

Der Gesetzgeber in Deutschland formuliert die zwingende Anwendung der qualifizierten elektronischen Signatur in § 126 BGB als „Schriftformerfordernis“. Wann immer dieses gegeben ist, erzielt ein digital unterzeichnetes Dokument nur durch die QES seine Gültigkeit. Aber Vorsicht: Obwohl Signaturen gemäß eIDAS-Verordnung per Gericht nicht deshalb abgelehnt werden dürfen, weil sie digital geleistet werden, gibt es einzelne Fälle, in denen elektronische Signaturen nicht zugelassen sind. Wichtigstes Beispiel sind dabei notarielle Beglaubigungen, aber auch die Kündigung von Arbeitsverhältnissen!

Voraussetzungen für die qualifizierte elektronische Signatur

Die QES ist die einzige elektronische Signatur, die eine digitale Identität zwingend voraussetzt. Nutzer*innen müssen sich dazu einmalig identifizieren. Vor allem durch videogestützte Identifikationsverfahren (Video-Ident-Verfahren) wird der „digitale Pass“ durch verschiedene Dienstleister und Plattformen ausgestellt. Benötigt werden im Online-Identifikationsverfahren ein gültiges Ausweisdokument, ein Computer und ein Handy. Der Identifikationsvorgang am Bildschirm dauert circa zehn Minuten. Eine der wichtigsten Plattformen für die online-gestützte Ausstellung digitalen Identität ist xIDENTITY.eu, ein Service von XiTrust und A-Trust.

Alternativ können sich Einzelpersonen ihre digitale Identität auch persönlich durch den Service einer öffentlichen Identifikationsstelle ausstellen lassen. Diese Lösung ist im Unterschied zum Video-Ident-Verfahren zeit- und kostenintensiver, da für amtliche Identifikation Gebühren anfallen. Unternehmen nutzen im Regelfall eigene Registration Officers: Das ist gesondert eingeschultes Personal, das berechtigt ist, die Registrierung digitaler Identitäten innerhalb des Unternehmens durchzuführen.

Doppelte Verschlüsselung

Digitale Identitäten werden in der Regel für fünf Jahre ausgestellt, bevor sie durch wiederholte Bestätigung der personengebundenen Daten erneuert werden. Weiterhin stellen Unternehmen und Behörden digitale Identitäten in einem persönlichen Face-to-Face-Verfahren aus. Berechtigt dazu sind die Registration Officers, die eine persönliche Berechtigung erworben haben, digitale Identitäten auszustellen. Zumeist haben einzelne Unternehmensangehörige diese Aufgabe übernommen.
Zustande kommt eine qualifizierte elektronische Signatur über eine
Zwei-Faktor-Authentisierung. Diese beruht auf dem Austausch eines öffentlichen und eines nicht-öffentlichen Schlüssels: Der öffentliche Schlüssel (Public Key) ist jeder Person zugänglich. Er ermöglicht das Überprüfen der Signatur. Demgegenüber kann die Verwendung eines privaten Schlüssels (Private Key) nur vom Signatar autorisiert werden. Das Schlüsselpaar sichert Datenintegrität und -authentizität.

Fazit

Nicht für alle Dokumente ist die QES notwendig, per Gesetz vorgeschrieben ist sie nur in den oben beschriebenen Einzelfällen. Dennoch: Die QES beendet jede Form der Rechtsunsicherheit auf der Stelle, denn sie ist das digitale Äquivalent zu handgeschriebenen Unterfertigungen. Damit spart die QES auch Zeit, weil es keinen Anlass mehr gibt, jeden Einzelfall zu prüfen. Somit steht die QES am Ende für ein „Rundum-Sorglos“-Paket.

Cookies

Wir verwenden Cookies für statistische Zwecke und um Ihre Erlebnisse auf dieser Website zu verbessern. Eine Übersicht, welche Cookies wir auf unserer Website verwenden, sowie Informationen zum Widerruf Ihrer Zustimmung finden Sie in unserer Datenschutzerklärung.