Die elektronische Signatur


Warum E-Signatur?


Die Anforderungen der modernen Kommunikationsgesellschaft, des E-Business, E-Commerce und E-Government verlangen nach sicherem und gesetzeskonformem elektronischen Daten- und Informationsaustausch.

Es besteht somit die Notwendigkeit, die Identität des Kommunikationspartners nachweisbar festzustellen. Aus diesem Grund wurde die elektronische Signatur entwickelt. Sie soll eine unverfälschbare, nachweisbare und nachvollziehbare (elektronische) Unterschrift darstellen.
Die elektronische Signatur erfüllt somit technisch gesehen den gleichen Zweck (das gleiche Kriterium) wie eine eigenhändige Unterschrift auf Papierdokumenten.


Integrität

Vollständigkeit und Unveränderbarkeit der Daten

Authentizität

Identifizierbarkeit des Urhebers der Daten

Vertraulichkeit

Zugriff auf Daten nur für berechtigte Personen




Harald Krassnigg

Head of Project Management & Legal Issues

Harald Krassnigg im Video-Blog

„Die rechtliche Grundlage ist für viele unserer Kunden eines der zentralen Themen bei der Einführung der elektronischen Signatur. Mit unseren Lösungen rund um die E-Signatur erfüllen wir die höchsten Standards in Bezug auf Rechtsverbindlichkeit und Sicherheit!“



Elektronische Signatur – FAQ


Allgemeines


Was ist die elektronische Signatur?
Unter einer elektronischen Signatur oder E-Signatur versteht man „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet“.

Was bedeutet das konkret? Einfach ausgedrückt: jede Art der Kennzeichnung, die zeigen soll, dass der Inhalt eines elektronischen Dokuments freigegeben oder akzeptiert worden ist, stellt eine elektronische Signatur dar. Dabei ist nicht entscheidend, wie diese Kennzeichnung aussieht oder wie sie am Dokument angebracht wurde. Wichtig ist vielmehr, dass:

  • festgestellt werden kann, wer diese Kennzeichnung am Dokument angebracht hat (Authentizität) und
  • sichergestellt werden kann, dass der Inhalt des Dokuments nach dem Anbringen dieser Kennzeichnung nicht verändert worden ist (Integrität).
Welche Arten der elektronischen Signatur gibt es?
Es werden folgende Arten der elektronischen Signatur unterschieden:

  • einfache Signatur
  • fortgeschrittene Signatur (AES)
  • qualifizierte Signatur (QES)

Mit steigendem „Level“ nimmt auch die rechtliche Beweiskraft der jeweiligen Signaturart zu. Gleichsam steigen auch die notwendigen Anforderungen.

Wie ist die elektronische Signatur gesetzlich geregelt?
Die gesetzlichen Rahmenbedingungen im Hinblick auf die elektronische Signatur sind in der eIDAS-Verordnung EU-weit einheitlich festgelegt. Näheres zur eIDAS-Verordnung finden Sie im nächsten Abschnitt. Die Gesetzgebung vieler anderer Länder orientiert sich an der eIDAS-Verordnung, so z.B. das Schweizer Bundesgesetz über die elektronische Signatur ZertES.
Gibt es einen Unterschied zwischen elektronischer und digitaler Signatur?
Diese zwei Begriffe werden oft als Synonyme verwendet, genau genommen bezeichnen sie aber zwei verschiedene Dinge. Während die elektronische Signatur einen rechtlichen Begriff darstellt, geht es bei der digitalen Signatur um das zugrundeliegende technische bzw. kryptografische Verfahren. In der Praxis wird dazu eine sogenannte Public Key Infrastructure (PKI) verwendet.

Sowohl bei der fortgeschrittenen als auch bei der qualifizierten elektronischen Signatur steckt technisch gesehen immer eine digitale Signatur dahinter. Bei einer einfachen Signatur ist das nicht zwangsläufig der Fall.


eIDAS-Verordnung


Was ist die eIDAS-Verordnung?
Die eIDAS-Verordnung ist die gesetzliche Grundlage in Bezug auf elektronische Signaturen in der Europäischen Union. Ganz genau handelt es sich um die „Verordnung (EU) Nr. 910/2014 über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“.

Die Abkürzung eIDAS steht dabei für electronic IDentification, Authentication and trust Services.

Seit wann gilt die eIDAS-Verordnung?
Die eIDAS-Verordnung ist seit 1. Juli 2016 in Kraft.
Was besagt die eIDAS-Verordnung?
Die eIDAS-Verordnung regelt EU-weit den Einsatz von elektronischen Signaturen, Vertrauensdiensten und elektronischer Identifizierung in insgesamt 52 Artikeln. Die vollständige Verordnung finden Sie hier – falls Sie Freude am Lesen von Gesetzestexten haben.

Einige wichtige Punkte der eIDAS-Verordnung:

  • Eine qualifizierte elektronische Signatur hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift.
  • Eine qualifizierte elektronische Signatur, die auf einem in einem Mitgliedstaat ausgestellten qualifizierten Zertifikat beruht, wird in allen anderen Mitgliedstaaten als qualifizierte elektronische Signatur anerkannt.
Entspricht eine „eIDAS-konforme“ elektronische Signatur immer einer handschriftlichen Signatur, was die Rechtswirkung betrifft?
Kurz gesagt: Nein. Nur weil eine elektronische Signatur den gesetzlichen Vorgaben der eIDAS-Verordnung entspricht, heißt das noch lange nicht, dass sie in ihrer Rechtswirkung der handschriftlichen Signatur gleichgestellt ist. Das gilt nur dann, wenn es sich dabei um eine qualifizierte elektronische Signatur handelt, die eben eIDAS-konform ist.

Qualifizierte elektronische Signatur (QES)


Was versteht man unter einer qualifizierten elektronischen Signatur (QES)?
Die QES ist einzige Form der elektronischen Signatur, die in ihrer Rechtswirkung vollumfänglich (bis auf wenige Ausnahmen im notariellen Umfeld) der eigenhändigen, handschriftlichen Unterschrift entspricht.
Welche Voraussetzungen müssen für die QES erfüllt sein?
Eine QES ist eine fortgeschrittene elektronische Signatur (AES), die:

  • immer auf einem qualifiziertem Zertifikat beruht – das ist ein digitales Zertifikat, welches von einem „qualifizierten Vertrauensdiensteanbieter“ laut eIDAS-Verordnung ausgestellt wurde und somit eine Reihe von Anforderungen, die im Anhang I der eIDAS-Verordnung definiert sind, erfüllt.
  • von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde.
Was ist ein qualifizierter Vertrauensdiensteanbieter?
Der Status „Qualifizierter Vertrauensdiensteanbieter“ wird von einer entsprechenden Aufsichtsstelle nach einer positiven Konformitätsbewertung erteilt und berechtigt zur Ausstellung qualifizierter Zertifikate für eine QES.
Ein Beispiel für einen qualifizierten Vertrauensdiensteanbieter ist das österreichische Trust Center und XiTrust-Partner A-Trust.
Was ist eine qualifizierte elektronische Signaturerstellungseinheit?
Dabei handelt es üblicherweise sich um ein Hardware-Sicherheitmodul (HSM), das zur Speicherung und Anwendung des Signatursschlüssels dient. In der Praxis nutzt man dazu folgende Möglichkeiten:

  • Hardware-Token in Form einer Chipkarte (Kartensignatur)
  • HSM befindet sich beim Vertrauensdiensteanbieter, Signatur wird aus der Ferne ausgelöst (Fernsignatur)
Ist die QES auch außerhalb der EU gültig?
Da die eIDAS-Verordnung, welche die Anforderungen an die QES festlegt, die weltweit strengste gesetzliche Verordnung in Bezug auf elektronische Signaturen ist, hat die QES implizit weltweite Gültigkeit.

Beispiel: In den USA bildet der Electronic Signatures in Global and National Commerce Act (ESIGN Act) die gesetzliche Grundlage für die Verwendung elektronischer Signaturen. Die eIDAS-Verordnung stellt im Vergleich dazu jedoch wesentlich höhere Anforderungen, wenn es um die Rechtsgültigkeit von elektronischen Signaturen geht.

Erfüllt die QES das Schriftformerfordernis (z. B. §126a BGB in Deutschland)?
Ja, die QES erfüllt die rechtliche Bedingung nach §126a BGB in Verbindung mit dem Vertrauensdienstegesetz.
Für die Pharmabranche: Erfüllt die QES die Anforderungen der FDA (Food and Drug Administration) an digitale Signaturen?
Ja, die QES erfüllt alle Anforderungen, welche die FDA hinsichtlich digitaler Signaturen im Title 21 CFR part 11 definiert hat.

Fernsignatur


Was ist eine Fernsignatur?
Von einer Fernsignatur spricht man dann, wenn eine qualifizierte elektronische Signatur (QES) mit technischen Mitteln ausgelöst wird, die keine lokale Signatureinheit (z.B. Kartenlesegerät) erfordern. In der Praxis wird dafür im Normalfall das Mobiltelefon verwendet.
Was ist nötig, um die Fernsignatur nutzen zu können?
Für die Nutzung der Fernsignatur bedarf es – so wie es für die QES erforderlich ist – eines qualifizierten Zertifikats. Dieses Zertifikat wird nach entsprechender Authentifizierung von einem qualifizierten Vertrauensdiensteanbieter ausgestellt und an die Mobiltelefonnummer geknüpft. Die Nutzerin oder der Nutzer erhält dabei eine digitale Identität, die die Verwendung der Fernsignatur ermöglicht.

Ein Beispiel für eine solche digitale Identität ist xIDENTITY, ein Service von XiTrust und dem qualifizierten Vertrauensdiensteanbieter A-Trust. Die Identifikation erfolgt dabei online in einer Video-Session innerhalb weniger Minuten, das ausgestellte Zertifikat hat eine Gültigkeit von 5 Jahren.

Für Personen mit Wohnsitz in Österreich entspricht die „Handy-Signatur“ der Funktion von xIDENTITY.

Wie unterschreibt man ein Dokument per Fernsignatur?
Zur sicheren Nutzung der Fernsignatur kommt bei jedem Signaturvorgang die Zwei-Faktor-Authentisierung ins Spiel. Dazu wird zunächst – z.B. beim Unterschreiben eines Dokuments in der E-Signatur-Plattform MOXIS – ein Passwort eingegeben (Faktor „Wissen“) und die Transaktion wird via Mobiltelefon bestätigt (Faktor „Besitz“).

Im Falle von xIDENTITY gibt es dazu folgende Möglichkeiten:

  • Eingabe einer SMS-TAN
  • Nutzung der speed-sign-App: Scannen eines QR-Codes
  • Nutzung der speed-sign-App: Fingerprint
  • Nutzung der speed-sign-App: Face ID

Die speed-sign-App ist übrigens kostenlos auf den gängigen Plattformen (iOS AppStore, Google Play, etc.) erhältich.


ZUSAMMENFASSUNG – für einen unkomplizierten und schnellen Überblick über die E-Signatur:
 
Mit der E-Signatur können Dokumente digital unterschrieben werden, die rechtliche Grundlage für die EU bildet dafür die eIDAS-Verordnung. Es werden drei verschiedene Arten der elektronischen Signatur unterschieden – einfach, fortgeschritten und qualifiziert. Die qualifizierte elektronische Signatur (QES) hat die höchste Qualität und ist der händischen Unterschrift rechtlich gleichgestellt, damit können auch alle Anwendungsfälle mit Schriftformerfordernis abgedeckt werden.
 
Die QES wird in der Praxis mit Signaturkarten oder per Fernsignatur via Mobiltelefon erstellt. Für die Nutzung der Fernsignatur ist zunächst eine digitale Identität erforderlich. XiTrust bietet dafür gemeinsam mit Partner und Trust Center A-Trust das Service xIDENTITY an. Die digitale Identität kann online innerhalb weniger Minuten ausgestellt werden, ist 5 Jahre lang gültig und kann dann z.B. zum rechtsgültigen Unterschreiben per Fernsignatur in der E-Signatur-Plattform MOXIS genutzt werden.


Haben Sie noch weitere Fragen?
Unsere Experten helfen Ihnen gerne weiter!