Eine elektronische Signatur ermöglicht es, rechtssicher und digital zu unterschreiben. Digitale Signatur und elektronische Signatur werden in der Umgangssprache oft synonym verwendet. Die elektronische Signatur ist jedoch ein rechtlicher Begriff, der mit der überarbeiteten EU-Richtlinie 1999/93/EG gestärkt wurde. Zuvor war auch im Recht der Begriff digitale Signatur üblich.
Der Begriff der elektronischen Signatur ist nicht an eine konkrete Technik gebunden. Sie stellt die Übertragung einer persönlichen Unterschrift in den digitalen Raum dar. Mit „digitaler Signatur“ werden in der Softwaretechnik hingegen auch komplett andere Identifikationen bezeichnet.
Der entscheidende Punkt an der Signaturrichtlinie ist ihre Technologieneutralität. Die Signaturrichtlinie hat bestimmt, dass:
● es kein Monopol für Zertifizierungsdienste durch eine vorherige Genehmigung geben darf
● sobald die qualifizierte elektronische Signatur auf einem durch eine sichere Signaturerstellungseinheit hergestellten Zertifikat beruht, wirkt sie wie eine handschriftliche Unterschrift
● Mitgliedsstaaten die ausgestellten qualifizierten Zertifikate akzeptieren
● einfache oder fortgeschrittene elektronische Signaturen können als Beweismittel vor Gericht genutzt werden, im Streitfall entscheidet das Gericht über ihre Gültigkeit.
Die eIDAS-Verordnung (auch IVT) löste 2014 die Signaturrichtlinie ab und förderte entscheidende Vorgaben für die elektronische Signatur, wie wir sie heute kennen. Seit 2016 ist die eIDAS-Verordnung anzuwenden. Im Juni 2021 schlug die Europäische Kommission einen Rahmen für eine europäische digitale Identität (abgekürzt als EUid) vor. Hier bleibt es abzuwarten, wie diese Idee umgesetzt wird. Für die digitale Vernetzung wäre sie ein wichtiger Schritt, um viele Arbeitsprozesse international zu erleichtern.
In Deutschland werden elektronische Signaturen neben den Vorschriften der EU durch die folgenden Vorschriften weitergehend geregelt:
● §§ 125 ff. im Bürgerlichen Gesetzbuch
● § 3a (elektronische Kommunikation) und § 37 (elektronischer Verwaltungsakt) im Verwaltungsverfahrensgesetz
● Vertrauensdienstegesetz
Elektronische Signaturen werden aktuell vor allem in der Verwaltung, im Bereich Finanzen und Banken, Gesundheitswesen, Personalbereich und in großen Unternehmen im Rahmen der Vernetzung eingesetzt. Dokumente müssen nicht mehr ausgedruckt, versendet oder eingescannt werden – das schont die Umwelt, spart Zeit und weitere Ressourcen. Kunden profitieren von beschleunigten Prozessen.
Unternehmen, die elektronische Signaturen rechtssicher anwenden möchten, sollten sich einen Experten an die Seite holen. Ohne eine Zertifizierung der ID-Verfahren durch die EU-Verordnung eIDAS, beziehungsweise das Schweizer Bundesgesetz ZertES ist die Gültigkeit der Signaturen vor Gericht nur bedingt haltbar. Die elektronische Signatur muss aber nicht nur kundenfreundlich und sicher sein, sondern zugleich in den verschiedenen Rechtsräumen legal verbindlich bleiben. Die führenden Lösungen von Swisscom Trust Services decken unterschiedliche Rechtsräume zuverlässig ab und zeichnen sich durch eine hohe Bedienfreundlichkeit aus.
An Dokumente werden Daten angefügt, welche die Authentifizierung ermöglichen. Dabei gibt es große Unterschiede zwischen einfachen, fortgeschrittenen und qualifizierten elektronischen Signaturen. Die einfache Signatur ist nicht weiter spezifiziert und kann lediglich aus dem Namen unter einer E-Mail bestehen – der Beweiswert geht gegen Null. Einen höheren Beweiswert haben fortgeschrittene elektronische Signaturen, die auf einem Zertifikat basieren. Im Zweifel muss deren Gültigkeit vor Gericht allerdings bewiesen werden. Lediglich qualifizierte elektronische Signaturen, die auf einem qualifizierten Zertifikat (erstellt durch eine sicheren Signaturerstellungseinheit, SSEE) beruhen, sind der händischen Unterschrift in den allermeisten Fällen gleichgestellt. Letztere müssen im Streitfall widerlegt und nicht bewiesen werden, bieten für den Nutzer also die größtmögliche Rechtssicherheit.
Zeitstempel und rechtsgültige elektronische Signaturen sind in vielen Arbeitsbereichen notwendig, um Geschäftsvorgänge online, sicher und ohne Zeitverluste abzuschließen. Hierbei werden intelligente Lösungen benötigt, die diese Schritte direkt am Computer ermöglichen. Gerade bei Geschäften, die über den nationalen Rahmen hinausgehen, sind rechtskräftige Lösungen im paneuropäischen Raum notwendig.
Der Beweiswert einer einfachen elektronischen Signatur ist sehr gering. Die fortgeschrittene elektronische Signatur lässt sich z.B. mit PGP und einem Signaturschlüssel erstellen. Eine solche Signatur lässt sich für formfreie Vereinbarungen verwenden. Im Falle eines Rechtsstreits setzt jedoch die freie Beweisführung ein und die Gültigkeit der Signatur muss bewiesen werden. Lediglich die qualifizierte elektronische Signatur ersetzt die Unterschrift in Papierform nahezu gleichberechtigt.
Der Signaturprozess am Beispiel der Swisscom Trust Services AG.
Die einmalige Identifizierung läuft beispielsweise über eine Authority App oder einen anderen zugelassenen (KYC) Prozess. Durch die RA-App lässt sich die Identifikation in einem Unternehmen sehr autonom durchführen, was gerade in einem größeren Konzern große Flexibilität und schnelles Handeln erlaubt.
Während der Identifizierung wird eine Authentifizierungsmethode festgelegt. Mit dieser wird bei jeder Signatur überprüft, ob der Wunsch berechtigt ist. Diese Methoden sind vielfältig:
● Mobile ID
● SMS mit Kombination aus Passwort und einem Einmalpasswort
Je nach Einsatzgebiet ist es hier wichtig, eine niedrigschwellige Methode zu wählen oder dem Kunden Optionen anzubieten.
Nachdem die ersten Schritte durchgeführt wurden, wird ein einmaliges Signaturzertifikat erstellt. Dieses kurzlebige Zertifikat erleichtert den Prozess, weil es automatisch abläuft und nicht mehr ungültig gemacht werden muss.
Auch der Zeitstempel ist eine zusätzliche Absicherung. Durch ihn wird nachweisbar, dass die Signatur zu einem konkreten Zeitpunkt Gültigkeit hat. Das sichert die Langzeitüberprüfung.
Durch eine Signaturapplikation lässt sich der Signing Service zusätzlich kundenfreundlicher gestalten.
Die qualifizierte Signatur erleichtert bereits jetzt viele Prozesse. In den nächsten Jahren wird die Entwicklung mit Sicherheit noch einige spannende Neuerungen mit sich bringen, die viele weitere Arbeitsschritte zeit- und ressourcensparender gestalten werden.
Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…
KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.
Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.
Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.
Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…
Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.