Was ist eine qualifizierte elektronische Signatur?
Die qualifizierte elektronische Signatur ist die sicherste Art der elektronischen Signatur. Sie wird mit einer sicheren Signaturerstellungseinheit erzeugt.
Immer mehr Unternehmen in Deutschland nutzen elektronische Signaturen, um ihre Signatur- und Validierungsprozesse zu beschleunigen – papierbasierte Prozesse gelten als zu langsam und nicht effektiv. In Unterhaltungen mit potenziellen Neukunden stellen wir jedoch immer wieder fest, dass hierzulande nach wie vor einige Irrtümer in Bezug auf digitale (oder „qualifizierte") Signaturen kursieren. In diesem Blogbeitrag möchten wir Ihnen in einfachen Worten die Bedeutung des Begriffs „Qualifizierte elektronische Signatur" erklären. Hierbei verzichten wir auf offizielle Definitionen und Fachbegriffe, da diese möglicherweise nicht für jeden verständlich sind. Dieser Blog soll als Informationsquelle für potenzielle Neukunden dienen, die sich einen ersten Überblick über digitale Signaturen, ihre Verwendung und ihre rechtliche Bedeutung verschaffen möchten. (*)
Qualifizierte elektronische Signatur vs. digitale Signatur: Bedeutung und Hintergrund
Unter einer „elektronische Signatur" versteht man Daten, die einem elektronischen Dokument beigefügt werden, um die Unterzeichnung dieses Dokuments zu bestätigen.
Die digitale Signatur ist eine Form der elektronische Signatur, bei der die asymmetrische Kryptographie zum Einsatz kommt: Der Unterzeichner hat die alleinige Kontrolle über einen „privaten Schlüssel", der ihm die Unterzeichnung ermöglicht. Dieser private Schlüssel ist mathematisch und eindeutig mit einem „öffentlichen Schlüssel" verknüpft, mit dem jeder die Signatur bestätigen kann. Die Verknüpfung zwischen privatem/öffentlichem Schlüssel und Unterzeichner wird durch ein von einem Trust Service Provider (TSP) ausgestelltes digitales Zertifikat sichergestellt. Die Regel unterscheidet zwischen zwei Ebenen der digitalen Signatur: der fortgeschrittenen elektronischen Signatur (Advanced Electronic Signature, AES) und der qualifizierten elektronischen Signatur (QES).
Die QES ist die sicherste Art der elektronischen Signatur. Sie besitzt alle Eigenschaften einer AES und zeichnet sich darüber hinaus vor allem durch zwei Eigenschaften aus:
Sie wird mit einer sogenannten sicheren Signaturerstellungseinheit (SSEE) sehr sicher erzeugt. Die SSEE funktioniert in etwa wie eine Smartcard, der TSP kann sie jedoch im Auftrag des Unterzeichners aus der Ferne verwalten. So kann er die Manipulation von persönlichen Smartcards/Lesegeräten/Middlewares, mit denen Unterzeichner nicht sicher umgehen können, verhindern.
Das Ausstellungsverfahren für digitale Zertifikate kann erst dann in Gang gesetzt werden, wenn der Unterzeichner seine Identität bestätigt hat (bei einem persönlichen Treffen oder mittels einer vergleichbaren Methode). Ein solches digitales Zertifikat mit hohem Identifikationsgrad wird als qualifiziertes Zertifikat bezeichnet.
Aufgrund dieser zusätzlichen Sicherheitsstufe ist ein Dokument, das mit einer QES signiert wurde, in allen EU-Mitgliedsstaaten ebenso rechtlich bindend wie ein Dokument mit handschriftlicher Signatur.
In Deutschland wird die QES bereits seit 2001 verwendet. In diesem Jahr wurde das erste deutsche Signaturgesetz, das Gesetz über Rahmenbedingungen für elektronische Signaturen (SigG), auf Grundlage der Europäischen Richtlinie 1999/93 verabschiedet.
2016 ersetzte die eIDAS-Verordnung, die aktuelle europäische Verordnung in Bezug auf elektronische Signaturen, diese Richtlinie und somit auch die bislang durch das Signaturgesetz (SigG) vorgegebene Definition und Anwendung der QES.
Darüber hinaus bringt die eIDAS-Verordnung zwei überaus wichtige Innovationen in Hinblick auf elektronische Signaturen mit sich.
Qualifizierte elektronische Signaturen: Änderungen durch die eIDAS-Verordnung
Laut Definition in der eIDAS-Verordnung können auch cloudbasierte Signaturen als qualifizierte Signaturen gelten, sofern bestimmte Bedingungen erfüllt sind. Sie lesen richtig: die Cloud kann ebenso sicher sein wie eine Smartcard, sodass Smartcards nicht mehr benötigt werden. Die QES kann im Auftrag des Unterzeichners von einem qualifizierten TSP aus der Ferne verwaltet werden.
In der eIDAS-Verordnung wird festgelegt, dass eine persönliche Identifizierung auch über neue innovative Verfahren möglich ist, sofern diese von den EU-Mitgliedsstaaten als gültig und gleichwertig anerkannt wird. Insbesondere die persönliche Identifizierung per Videokonferenz gilt mittlerweile in ganz Europa als akzeptierte Alternative. Somit können Bankkonten nun vollständig über das Internet eröffnet werden, und auch die für die QES erforderliche Identifizierung kann online erfolgen.
Durch die eIDAS-Verordnung entfällt eines der bislang wohl größten Hindernisse bei der Verbreitung der QES: die Schwierigkeit bei der Umsetzung. Dementsprechend erlebt diese Technologie in Deutschland momentan einen enormen Aufschwung.
Vor der eIDAS-Verordnung war die QES in Branchen mit Bedarf an qualifizierten Signaturen (z. B. im Finanzsektor) eher wenig gefragt. Grund hierfür war vor allem der enorme Logistikaufwand – an jeden potenziellen Kunden hätte zur Erstellung einer Signatur zuvor eine Smartcard verschickt werden müssen. Es war einfach zu umständlich. Doch jetzt ist es deutschen Unternehmen gesetzlich erlaubt, vollständig cloudbasierte Lösungen einzusetzen, um ihre Dokumente zu unterzeichnen bzw. unterzeichnen zu lassen. Sie können endlich von sämtlichen Vorteilen der digitalen Signatur profitieren: weniger Fehler bei der (Nach-)Bearbeitung von Dokumenten; Nachverfolgung und Benachrichtigungen für laufende Abkommen und Verträge; effizientere Verfahren und Abschaffung von papierbasierten Prozessen ... Gleichzeitig fallen auch alle Nachteile weg, die sich aus der Nutzung von Smartcards ergeben (Vertrieb, Verwendung, Treiberwechsel, Skalierungsprobleme).
Wann ist eine qualifizierte elektronische Signatur erforderlich?
Derzeit wird laut der eIDAS-Verordnung zwischen den drei Signaturstufen Einfach, Fortgeschritten und Qualifiziert unterschieden, wobei Qualifiziert als die sicherste Stufe gilt. Beachten Sie, dass die unterschiedlichen Signaturarten in drei Stufen mit steigenden Anforderungen an die Authentizitätssicherung eingeteilt werden. (Wie bereits erläutert, bietet die Qualifiziert auf der Ebene der Signatur und des Authentifizierungsverfahrens das höchste Maß an Sicherheit.)
Wichtig: Trotzdem sind alle drei Ebenen rechtsgültig – durch die eIDAS-Verordnung ist gewährleistet, dass elektronische Signaturen in jeder Form vor EU-Gerichten als Beweis zugelassen sind. Elektronisch signierten Dokumenten darf also nicht die rechtliche Wirksamkeit abgesprochen werden, nur weil sie in elektronischer Form vorliegen.
Die qualifizierte elektronische Signatur besitzt die gleiche Rechtsgültigkeit wie handschriftliche Signaturen – in bestimmten seltenen Fällen ist sie außerdem die einzige zulässige Art der digitalen Signatur für bestimmte Vertragsarten. Erwähnenswert sind in diesem Zusammenhang beispielsweise der Verbraucherdarlehensvertrag (§ 492 Abs. 1 Satz 1 BGB) und der Arbeitnehmerüberlassungsvertrag (§ 12 Abs. 1 S. 1 AÜG). Ist die QES aber nicht gesetzlich vorgeschrieben (was bei der überwiegenden Mehrheit der Verträge der Fall ist), sollte das Unternehmen je nach Geschäftsrelevanz abwägen, ob eine QES erforderlich ist oder eine niedrigere Signaturstufe gewählt werden kann.
Viele potenzielle Kunden melden sich bei uns und fragen gezielt nach qualifizierten Signaturen. Im Laufe der Unterhaltung stellt sich dann heraus, dass die Rechtsabteilung des Unternehmens Nachforschungen angestellt und in der eIDAS-Verordnung gelesen hat, dass qualifizierte Signaturen die „sichersten" auf dem Markt erhältlichen digitalen Signaturen sind. Also bittet das Unternehmen um diese Signaturebene, einfach nur, weil sie die sicherste ist, ohne dabei jedoch den Anwendungsfall zu berücksichtigen.
Wir empfehlen, die Wahl der Signaturebene (Einfache elektronische Signatur, Fortgeschritten oder Qualifiziert) von mindestens den drei folgenden Faktoren abhängig zu machen:
Anwendungsfall
Relevanz des zu unterzeichnenden Dokuments
Verordnung
Es stimmt, dass die qualifizierte elektronische Signatur die sicherste Signaturebene ist, aber seien wir ehrlich: Sie ist auch am schwierigsten zu implementieren und bereitet Endnutzern die meisten Umstände, da sie vor ihrer ersten QES eine persönliche bzw. digitale persönliche Identifizierung und anschließend bei jeder Anmeldung eine Zwei-Faktor-Authentifizierung vornehmen müssen.
Das Unternehmen muss bei seiner Entscheidung also Relevanz und Benutzerfreundlichkeit gegeneinander abwägen – und wir alle wissen, dass die Konversionsrate (Personen, die das erhaltene Dokument wirklich unterzeichnen) davon abhängt, wie einfach das Verfahren ist. Wenn Sie dem Signaturverfahren zusätzliche Schritte hinzufügen, kann dies zu einer niedrigeren Konversionsrate erfolgreicher Signaturen führen.
In den meisten Anwendungsfällen von elektronische Signaturen empfehlen (*) wir potenziellen Neukunden, die Signaturebenen Einfach oder Fortgeschritten zu nutzen, da diese (wie oben erläutert) ebenfalls Rechtsgültigkeit besitzen und für den Unterzeichner weniger Auflagen bedeuten.
Wir empfehlen (*) qualifizierte Signaturen nur dann, wenn sie gesetzlich vorgeschrieben sind oder eine ausgesprochen hohe Wichtigkeit besteht. In Deutschland sind qualifizierte Signaturen zum Beispiel für Verbraucherkreditverträge oder Arbeitnehmerüberlassungsverträge erforderlich.
Wenn Sie sich für qualifizierte elektronische Signaturen interessieren, denken Sie daran, dass Docusign als Branchenführer über zahlreiche Optionspakete für alle in der eIDAS-Verordnung definierten Signaturen verfügt. Wir bieten vollständig cloudbasierte Lösungen, Smartcard-basierte Lösungen und Videoauthentifizierungslösungen an, die für qualifizierte Signaturen zertifiziert sind. Nähere Informationen erhalten Sie von uns.