Was ist eine qualifizierte elektronische Signatur?

Immer mehr Unternehmen in Deutschland nutzen elektronische Signaturen, um ihre Signatur- und Validierungsprozesse zu beschleunigen – papierbasierte Prozesse gelten als zu langsam und nicht effektiv. In Unterhaltungen mit potenziellen Neukunden stellen wir jedoch immer wieder fest, dass hierzulande nach wie vor einige Irrtümer in Bezug auf digitale (oder „qualifizierte") Signaturen kursieren. In diesem Blogbeitrag möchten wir Ihnen in einfachen Worten die Bedeutung des Begriffs „Qualifizierte elektronische Signatur" erklären. Hierbei verzichten wir auf offizielle Definitionen und Fachbegriffe, da diese möglicherweise nicht für jeden verständlich sind. Dieser Blog soll als Informationsquelle für potenzielle Neukunden dienen, die sich einen ersten Überblick über digitale Signaturen, ihre Verwendung und ihre rechtliche Bedeutung verschaffen möchten. (*)

Qualifizierte elektronische Signatur vs. digitale Signatur: Bedeutung und Hintergrund - Wie sieht der Unterschied aus?

Unter einer „elektronische Signatur" versteht man Daten, die einem elektronischen Dokument beigefügt werden, um die Unterzeichnung dieses Dokuments zu bestätigen.

Die digitale Signatur ist eine Form der elektronische Signatur, bei der die asymmetrische Kryptographie zum Einsatz kommt: Der Unterzeichner hat die alleinige Kontrolle über einen „privaten Schlüssel", der ihm die Unterzeichnung ermöglicht. Dieser private Schlüssel ist mathematisch und eindeutig mit einem „öffentlichen Schlüssel" verknüpft, mit dem jeder die Signatur bestätigen kann. Die Verknüpfung zwischen privatem/öffentlichem Schlüssel und Unterzeichner wird durch ein von einem Trust Service Provider (TSP) ausgestelltes digitales qualifiziertes Zertifikat sichergestellt. Die Regel unterscheidet zwischen zwei Ebenen der digitalen Signatur: der fortgeschrittenen elektronischen Signatur (Advanced Electronic Signature, AES) und der qualifizierten elektronischen Signatur (QES).

Was macht die digitale Unterschrift einzigartig?

Die QES ist die sicherste Art der elektronischen Signatur. Sie besitzt alle Eigenschaften einer AES und zeichnet sich darüber hinaus vor allem durch zwei Eigenschaften aus:

• Sie wird mit einer sogenannten sicheren Signaturerstellungseinheit (SSEE) sehr sicher erzeugt. Die SSEE funktioniert in etwa wie eine Smartcard, der TSP kann sie jedoch im Auftrag des Unterzeichners aus der Ferne verwalten. So kann er die Manipulation von persönlichen Smartcards/Lesegeräten/Middlewares, mit denen Unterzeichner nicht sicher umgehen können, verhindern.

• Das Ausstellungsverfahren für qualifizierte digitale Zertifikate kann erst dann in Gang gesetzt werden, wenn der Unterzeichner seine Identität bestätigt hat (bei einem persönlichen Treffen oder mittels einer vergleichbaren Methode). Ein solches digitales Zertifikat mit hohem Identifikationsgrad wird als qualifiziertes Zertifikat bezeichnet. Es wird per E-Mail versendet und im Tool zur Verfügung gestellt.

Aufgrund dieser zusätzlichen Sicherheitsstufe ist ein Dokument, das mit einer QES signiert wurde, in allen EU-Mitgliedsstaaten ebenso rechtlich bindend wie ein Dokument mit handschriftlicher Signatur.

In Deutschland wird die QES bereits seit 2001 verwendet. In diesem Jahr wurde das erste deutsche Signaturgesetz, das Gesetz über Rahmenbedingungen für elektronische Signaturen (SigG), auf Grundlage der Europäischen Richtlinie 1999/93 verabschiedet. Dieser einheitliche rechtliche Rahmen bietet viel Sicherheit für Nutzerinnen und Nutzer.

2016 ersetzte die eIDAS-Verordnung, die aktuelle europäische Verordnung in Bezug auf elektronische Signaturen, diese Richtlinie und somit auch die bislang durch das Signaturgesetz (SigG) vorgegebene Definition und Anwendung der QES.

Darüber hinaus bringt die eIDAS-Verordnung zwei überaus wichtige Innovationen in Hinblick auf elektronische Signaturen mit sich.

Qualifizierte elektronische Signaturen: Änderungen durch die eIDAS-Verordnung

• Laut Definition in der eIDAS-Verordnung können auch cloudbasierte Signaturen als qualifizierte Signaturen gelten, sofern bestimmte Bedingungen erfüllt sind. Sie lesen richtig: die Cloud kann ebenso sicher sein wie eine Smartcard, sodass Smartcards nicht mehr benötigt werden. Die QES kann im Auftrag des Unterzeichners von einem qualifizierten TSP aus der Ferne verwaltet werden.

• In der eIDAS-Verordnung wird festgelegt, dass eine persönliche Identifizierung auch über neue innovative Verfahren möglich ist, sofern diese von den EU-Mitgliedsstaaten als gültig und gleichwertig anerkannt wird. Insbesondere die persönliche Identifizierung per Videokonferenz gilt mittlerweile in ganz Europa als akzeptierte Alternative. Somit können Bankkonten nun vollständig über das Internet eröffnet werden, und auch die für die QES erforderliche Identifizierung kann online erfolgen.

Durch die eIDAS-Verordnung entfällt eines der bislang wohl größten Hindernisse bei der Verbreitung der QES: die Schwierigkeit bei der Umsetzung. Dementsprechend erlebt diese Technologie in Deutschland momentan einen enormen Aufschwung. Auch Signaturkarten können ganz neu entdeckt werden.

Vor der eIDAS-Verordnung war die QES in Branchen mit Bedarf an qualifizierten Signaturen (z. B. im Finanzsektor) eher wenig gefragt. Grund hierfür war vor allem der enorme Logistikaufwand – an jeden potenziellen Kunden hätte zur Erstellung einer Signatur zuvor eine Smartcard verschickt werden müssen. Es war einfach zu umständlich. Doch jetzt ist es deutschen Unternehmen gesetzlich erlaubt, vollständig cloudbasierte Lösungen einzusetzen, um ihre Dokumente zu unterzeichnen bzw. unterzeichnen zu lassen. Sie können endlich von sämtlichen Vorteilen der digitalen Signatur profitieren: weniger Fehler bei der (Nach-)Bearbeitung von Dokumenten; Nachverfolgung und Benachrichtigungen für laufende Abkommen und Verträge; effizientere Verfahren und Abschaffung von papierbasierten Prozessen ... Gleichzeitig fallen auch alle Nachteile weg, die sich aus der Nutzung von Smartcards ergeben (Vertrieb, Verwendung, Treiberwechsel, Skalierungsprobleme).

Wann ist eine qualifizierte elektronische Signatur notwendig und wie bekomme ich sie?

Derzeit wird laut der eIDAS-Verordnung zwischen den drei Signaturstufen Einfach, Fortgeschritten und Qualifiziert unterschieden, wobei Qualifiziert als die sicherste Stufe gilt. Beachten Sie, dass die unterschiedlichen Signaturarten in drei Stufen mit steigenden Anforderungen an die Authentizitätssicherung eingeteilt werden. (Wie bereits erläutert, bietet die Qualifiziert auf der Ebene der Signatur und des Authentifizierungsverfahrens das höchste Maß an Sicherheit.) Diese Regelung gilt EU-weit.

Wichtig: Trotzdem sind alle drei Ebenen rechtsgültig – durch die eIDAS-Verordnung ist gewährleistet, dass elektronische Signaturen in jeder Form vor EU-Gerichten als Beweis zugelassen sind. Elektronisch signierten Dokumenten darf also nicht die rechtliche Wirksamkeit abgesprochen werden, nur weil sie in elektronischer Form vorliegen. Gerichtliche Auseinandersetzungen sind nicht zu fürchten.

Die qualifizierte elektronische Signatur besitzt die gleiche Rechtsgültigkeit wie handschriftliche Signaturen – in bestimmten seltenen Fällen ist sie außerdem die einzige zulässige Art der digitalen Signatur für bestimmte Vertragsarten. Erwähnenswert sind in diesem Zusammenhang beispielsweise der Verbraucherdarlehensvertrag (§ 492 Abs. 1 Satz 1 BGB) und der Arbeitnehmerüberlassungsvertrag (§ 12 Abs. 1 S. 1 AÜG). Ist die QES aber nicht gesetzlich vorgeschrieben (was bei der überwiegenden Mehrheit der Verträge der Fall ist), sollte das Unternehmen je nach Geschäftsrelevanz abwägen, ob eine QES erforderlich ist oder eine niedrigere Signaturstufe gewählt werden kann.

Viele potenzielle Kunden melden sich bei uns per Telefon oder E-Mail und fragen gezielt nach qualifizierten Signatur-Produkten. Im Laufe der Unterhaltung stellt sich dann heraus, dass die Rechtsabteilung des Unternehmens Nachforschungen angestellt und in der eIDAS-Verordnung gelesen hat, dass qualifizierte Signaturen die „sichersten" auf dem Markt erhältlichen digitalen Signaturen sind. Also bittet das Unternehmen um diese Signaturebene, einfach nur, weil sie die sicherste ist, ohne dabei jedoch den Anwendungsfall zu berücksichtigen.

Bei welchen Anwendungsfall soll man digital unterschreiben?

Wir empfehlen, die Wahl der Signaturebene (Einfache elektronische Signatur, Fortgeschritten oder Qualifiziert) von mindestens den drei folgenden Faktoren abhängig zu machen:

• Anwendungsfall

• Relevanz des zu unterzeichnenden Dokuments

• Verordnung

Es stimmt, dass die qualifizierte elektronische Signatur die sicherste Signaturebene ist, aber seien wir ehrlich: Sie ist auch am schwierigsten zu implementieren und bereitet Endnutzern die meisten Umstände, da sie vor ihrer ersten QES eine persönliche bzw. digitale persönliche Identifizierung und anschließend bei jeder Anmeldung eine Zwei-Faktor-Authentifizierung vornehmen müssen.

Wie sollte man beispielsweise eine E-Mail signieren?

Hierzu haben wir uns in diesem Blog-Artikel ausführlich befasst.

Was kostet eine qualifizierte elektronische Signatur?

Unsere Vetriebsexperten beraten Sie gerne und machen Ihnen ein Angebot für unsere rechtskonformen Signaturen und Produkte. Sie können per E-Mail oder Telefon Kontakt aufnehmen.

Das Unternehmen muss bei seiner Entscheidung also Relevanz und Benutzerfreundlichkeit gegeneinander abwägen – und wir alle wissen, dass die Konversionsrate (Personen, die das erhaltene Dokument wirklich unterzeichnen) davon abhängt, wie einfach das Verfahren ist. Wenn Sie dem Signaturverfahren zusätzliche Schritte hinzufügen, kann dies zu einer niedrigeren Konversionsrate erfolgreicher Signaturen führen.

In den meisten Anwendungsfällen von elektronische Signaturen empfehlen (*) wir potenziellen Neukunden, die Signaturebenen Einfach oder Fortgeschritten zu nutzen, da diese (wie oben erläutert) ebenfalls Rechtsgültigkeit besitzen und für den Unterzeichner weniger Auflagen bedeuten.

Bietet Docusign eine qualifizierte elektronische Signatur an?

Ja! Wir empfehlen (*) qualifizierte Signaturen nur dann, wenn sie gesetzlich vorgeschrieben sind oder eine ausgesprochen hohe Wichtigkeit besteht. In Deutschland sind qualifizierte Signaturen zum Beispiel für Verbraucherkreditverträge oder Arbeitnehmerüberlassungsverträge erforderlich.

Wenn Sie sich für qualifizierte elektronische Signaturen oder ähnliche Produkte interessieren, denken Sie daran, dass Docusign als Branchenführer über zahlreiche Optionspakete für alle in der eIDAS-Verordnung definierten Signaturen verfügt. Wir bieten vollständig cloudbasierte Lösungen, Smartcard-basierte Lösungen und Videoauthentifizierungslösungen an, die für qualifizierte Signaturen zertifiziert sind. Nähere Informationen erhalten Sie von uns.

Was ist der Unterschied zu einer fortgeschrittenen elektronischen Signatur?

Die fortgeschrittene elektronische Signatur basiert auf einem digitalen Zertifikat zur Identitätsbestätigung des Unterzeichners und ermöglicht die Erkennung nachträglicher Dokumentänderungen.

Ein zentraler Unterschied liegt in der Beweiskraft: Bei der qualifizierten Signatur gilt die Beweislastumkehr - die Echtheit wird automatisch angenommen, bis das Gegenteil bewiesen wird. Für die fortgeschrittene Variante unterliegt die Beweiskraft der richterlichen Würdigung.

Die qualifizierte elektronische Signatur erfordert zusätzlich eine persönliche Identifizierung und die Nutzung einer qualifizierten Signaturerstellungseinheit. Diese höchste Sicherheitsstufe entspricht rechtlich der handschriftlichen Unterschrift gemäß eIDAS-Verordnung.

Wie erstellt man eine digitale Signatur bzw. QES?

Der Prozess zur Erstellung einer digitalen Signatur beginnt mit der Identifizierung über einen qualifizierten Vertrauensdiensteanbieter. Diese erfolgt entweder per Video-Ident-Verfahren oder mittels elektronischem Personalausweis.

Nach erfolgreicher Identitätsprüfung erhalten Nutzer ein qualifiziertes Zertifikat sowie einen privaten Signaturschlüssel. Diese Komponenten ermöglichen die sichere Authentifizierung beim Signaturvorgang.

Für die eigentliche Unterzeichnung wählen Sie das zu signierende PDF-Dokument aus und starten den Signaturprozess in Docusign. Nach der Eingabe der PIN wird die Signatur mit dem privaten Schlüssel erstellt. Ein digitales Siegel bestätigt anschließend die Authentizität und Integrität des unterzeichneten Dokuments.