Digitale Unterschrift – FAQ.

Alles, was Sie zum Thema E-Signatur wissen müssen, auf einen Blick.

Warum eine digitale Unterschrift?

Die Anforderungen der modernen Kommunikationsgesellschaft, des E-Business, E-Commerce und E-Government verlangen nach sicherem und gesetzeskonformem elektronischen Daten- und Informationsaustausch.

Es besteht somit die Notwendigkeit, die Identität des Kommunikationspartners nachweisbar festzustellen. Aus diesem Grund wurde die digitale Unterschrift entwickelt.
Die digitale Unterschrift erfüllt technisch gesehen den gleichen Zweck (das gleiche Kriterium) wie eine eigenhändige Unterschrift auf Papierdokumenten.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Integrität

Vollständigkeit und Unveränderbarkeit der Daten

Authentizität

Identifizierbarkeit des Urhebers der Daten

Vertraulichkeit

Zugriff auf Daten nur für berechtigte Personen

Ressourcen-Center.

Wir haben die rechtlichen Grundlagen und Begrifflichkeiten rund um das Thema E-Signatur in verschiedenen Artikeln übersichtlich für Sie zusammengefasst. Werfen Sie doch auch einen Blick auf unsere nachfolgenden FAQ, um sich über häufige Fragen zur digitalen Unterschrift zu informieren!

Außerdem helfen Ihnen unsere Expert*innen in allen rechtlichen Fragen gerne weiter!

»Die rechtliche Grundlage ist für viele unserer Kunden eines der zentralen Themen bei der Einführung der digitalen Unterschrift. Mit unseren Lösungen rund um die digitale Signatur erfüllen wir die höchsten Standards in Bezug auf Rechtsverbindlichkeit und Sicherheit!«

Harald Krassnigg

Head of Project Management & Legal Issues

Häufig gestellte Fragen – FAQ.

Allgemein.

Unter einer digitalen Unterschrift oder E-Signatur versteht man „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet“.

Was bedeutet das konkret? Einfach ausgedrückt: jede Art der Kennzeichnung, die zeigen soll, dass der Inhalt eines elektronischen Dokuments freigegeben oder akzeptiert worden ist, stellt eine digitale Unterschrift dar. Dabei ist nicht entscheidend, wie diese Kennzeichnung aussieht oder wie sie am Dokument angebracht wurde. Wichtig ist vielmehr, dass:

  • festgestellt werden kann, wer diese Kennzeichnung am Dokument angebracht hat (Authentizität) und
  • sichergestellt werden kann, dass der Inhalt des Dokuments nach dem Anbringen dieser Kennzeichnung nicht verändert worden ist (Integrität).

Es wird zwischen folgenden Arten der elektronischen Signatur unterschieden:

  • einfache Signatur
  • fortgeschrittene Signatur (AES)
  • Qualifizierte Signatur (QES)

Die rechtliche Beweiskraft steigt mit zunehmender Signaturqualität. Gleichzeitig steigen aber auch die notwendigen Anforderungen.

Die rechtlichen Rahmenbedingungen in Bezug auf die elektronische Signatur sind in der eIDAS-Verordnung EU-weit einheitlich geregelt. Mehr Informationen zur eIDAS-Verordnung finden Sie im nächsten Abschnitt. Die Gesetzgebung vieler anderer Länder basiert auf der eIDAS-Verordnung, wie z. B. das Schweizer Bundesgesetz über elektronische Signaturen, ZertES.

Diese beiden Begriffe werden oft als Synonyme verwendet, bezeichnen aber zwei unterschiedliche Dinge. Während die “elektronische Signatur” als Rechtsbegriff gilt, ist die digitale Signatur das zugrunde liegende technische oder kryptografische Verfahren. In der Praxis wird dazu meist eine sogenannte Public Key Infrastructure (PKI) verwendet.

Sowohl bei der fortgeschrittenen als auch bei der qualifizierten elektronischen Signatur handelt es sich aus technischer Sicht immer um eine digitale Signatur. Dies ist bei einer einfachen Signatur nicht unbedingt der Fall.

Die Prüfung kann mit jedem gängigen PDF-Leseprogramm durchgeführt werden. In Adobe Reader wird eine Live-Signaturprüfung durchgeführt, die durch einen Klick auf den Signaturdialog in der linken oberen Ecke oder alternativ direkt auf die Signaturvisualisierung näher betrachtet werden kann. Weiters kann das signierte Dokument auch durch die Signaturprüfung der RTR-GmbH oder durch das A-Trust Verifikationstool geprüft werden.

Mehr zur digitalen Signatur lesen Sie in unserer umfangreichen Zusammenfassung.

eIDAS-Verordnung.

Die eIDAS-Verordnung ist die gesetzliche Grundlage in Bezug auf die digitale Unterschrift in der Europäischen Union. Ganz genau handelt es sich um die „Verordnung (EU) Nr. 910/2014 über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“.

Die Abkürzung eIDAS steht dabei für electronic IDentification, Authentication and trust Services.

Die eIDAS-Verordnung ist seit 1. Juli 2016 in Kraft.

Die eIDAS-Verordnung regelt EU-weit den Einsatz von digitalen Unterschriften, Vertrauensdiensten und elektronischer Identifizierung in insgesamt 52 Artikeln. Die vollständige Verordnung finden Sie hier – falls Sie Freude am Lesen von Gesetzestexten haben.

Einige wichtige Punkte der eIDAS-Verordnung:

  • Eine qualifizierte elektronische Signatur hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift.
  • Eine qualifizierte elektronische Signatur, die auf einem in einem Mitgliedstaat ausgestellten qualifizierten Zertifikat beruht, wird in allen anderen Mitgliedstaaten als qualifizierte elektronische Signatur anerkannt.

Kurz gesagt: Nein. Nur weil eine digitale Unterschrift den gesetzlichen Vorgaben der eIDAS-Verordnung entspricht, heißt das noch lange nicht, dass sie in ihrer Rechtswirkung der handschriftlichen Signatur gleichgestellt ist. Das gilt nur dann, wenn es sich dabei um eine qualifizierte elektronische Signatur handelt, die eben eIDAS-konform ist.

Mehr zur eIDAS-Verordnung lesen Sie in unserer umfangreichen Zusammenfassung.

Qualifizierte elektronische Signatur (QES).

Die QES ist die einzige Form der digitalen Unterschrift, die in ihrer Rechtswirkung vollumfänglich (bis auf wenige Ausnahmen im notariellen Umfeld) der eigenhändigen, handschriftlichen Unterschrift entspricht.

Eine QES ist eine fortgeschrittene elektronische Signatur (AES), die:

 

  • immer auf einem qualifizierten Zertifikat beruht – das ist ein digitales Zertifikat, welches von einem „qualifizierten Vertrauensdiensteanbieter“ laut eIDAS-Verordnung ausgestellt wurde und somit eine Reihe von Anforderungen, die im Anhang I der eIDAS-Verordnung definiert sind, erfüllt.
  • von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde.

Der Status „Qualifizierter Vertrauensdiensteanbieter“ wird von einer entsprechenden Aufsichtsstelle nach einer positiven Konformitätsbewertung erteilt und berechtigt zur Ausstellung qualifizierter Zertifikate für eine QES.
Ein Beispiel für einen qualifizierten Vertrauensdiensteanbieter ist das österreichische Trust Center und XiTrust-Partner A-Trust.

Dabei handelt es sich üblicherweise um ein Hardware-Sicherheitmodul (HSM), das zur Speicherung und Anwendung des Signatursschlüssels dient. In der Praxis nutzt man dazu folgende Möglichkeiten:

 

  • Hardware-Token in Form einer Chipkarte (Kartensignatur)
  • HSM befindet sich beim Vertrauensdiensteanbieter, Signatur wird aus der Ferne ausgelöst (Fernsignatur)

Da die eIDAS-Verordnung, welche die Anforderungen an die QES festlegt, die weltweit strengste gesetzliche Verordnung in Bezug auf elektronische Signaturen ist, hat die QES implizit weltweite Gültigkeit.

 

Beispiel: In den USA bildet der Electronic Signatures in Global and National Commerce Act (ESIGN Act) die gesetzliche Grundlage für die Verwendung digitaler Unterschriften. Die eIDAS-Verordnung stellt im Vergleich dazu jedoch wesentlich höhere Anforderungen, wenn es um die Rechtsgültigkeit von elektronischen Signaturen geht.

Ja, die QES erfüllt die rechtliche Bedingung nach § 126a BGB in Verbindung mit dem Vertrauensdienstegesetz.

Ja, die QES erfüllt alle Anforderungen, welche die FDA hinsichtlich digitaler Signaturen im Title 21 CFR part 11 definiert hat.

Mehr zur qualifizierten elektronischen Signatur lesen Sie in unserer umfangreichen Zusammenfassung.

Fernsignatur.

Von einer Fernsignatur spricht man dann, wenn eine qualifizierte elektronische Signatur (QES) mit technischen Mitteln ausgelöst wird, die keine lokale Signatureinheit (z. B. Kartenlesegerät) erfordern. In der Praxis wird dafür im Normalfall das Mobiltelefon verwendet.

Für die Nutzung der Fernsignatur bedarf es – so wie es für die QES erforderlich ist – eines qualifizierten Zertifikats. Dieses Zertifikat wird nach entsprechender Authentifizierung von einem qualifizierten Vertrauensdiensteanbieter ausgestellt und an die Mobiltelefonnummer geknüpft. Die Nutzerin oder der Nutzer erhält dabei eine digitale Identität, die die Verwendung der Fernsignatur ermöglicht.

 

Ein Beispiel für eine solche digitale Identität ist xIDENTITY, ein Service von XiTrust und dem qualifizierten Vertrauensdiensteanbieter A-Trust. Die Identifikation erfolgt dabei online in einer Video-Session innerhalb weniger Minuten, das ausgestellte Zertifikat hat eine Gültigkeit von 5 Jahren.

Für Personen mit Wohnsitz in Österreich entspricht die „Handy-Signatur“ der Funktion von xIDENTITY.

Zur sicheren Nutzung der Fernsignatur kommt bei jedem Signaturvorgang die Zwei-Faktor-Authentisierung ins Spiel. Dazu wird zunächst – z.B. beim Unterschreiben eines Dokuments in der E-Signatur-Plattform MOXIS – ein Passwort eingegeben (Faktor „Wissen“) und die Transaktion wird via Mobiltelefon bestätigt (Faktor „Besitz“).

Im Falle von xIDENTITY gibt es dazu folgende Möglichkeiten:

  • Eingabe einer SMS-TAN
  • Nutzung der speed-sign-App: Scannen eines QR-Codes
  • Nutzung der speed-sign-App: Fingerprint
  • Nutzung der speed-sign-App: Face ID

Die speed-sign-App ist übrigens kostenlos auf den gängigen Plattformen (iOS AppStore, Google Play, etc.) erhältlich.

ZUSAMMENFASSUNG – für einen unkomplizierten und schnellen Überblick über die digitale Unterschrift:

Mit der digitalen Unterschrift können Dokumente digital unterschrieben werden, die rechtliche Grundlage für die EU bildet dafür die eIDAS-Verordnung. Es werden drei verschiedene Arten der digitalen Unterschrift unterschieden – einfach, fortgeschritten und qualifiziert. Die qualifizierte elektronische Signatur (QES) hat die höchste Qualität und ist der händischen Unterschrift rechtlich gleichgestellt, damit können auch alle Anwendungsfälle mit Schriftformerfordernis abgedeckt werden.

Die QES wird in der Praxis mit Signaturkarten oder per Fernsignatur via Mobiltelefon erstellt. Für die Nutzung der Fernsignatur ist zunächst eine digitale Identität erforderlich. XiTrust bietet dafür gemeinsam mit Partner und Trust Center A-Trust das Service xIDENTITY an. Die digitale Identität kann online innerhalb weniger Minuten ausgestellt werden, ist 5 Jahre lang gültig und kann dann z. B. zum rechtsgültigen Unterschreiben per Fernsignatur in der E-Signatur-Plattform MOXIS genutzt werden.