Mit einer elektronischen Signatur weisen Sie nach, dass ein Dokument nicht manipuliert wurde und wirklich von Ihnen stammt. Auch international sichern Sie damit das Vertrauen in Ihre Unterschrift ab.
Täglich verfassen oder erhalten wir Unmengen an Dokumenten. Die meisten davon benötigen in der Geschäfts- und Behördenwelt keine besondere Beweiskraft. Manche aber, wie spezielle Urkunden oder bestimmte Verträge, müssen so gestaltet sein, dass auch ein Gericht sie als beweiskräftig erachten würde. Dabei geht es um das Vertrauen in zwei Faktoren:
- Integrität: Der Inhalt des Dokuments wurde nicht verändert.
- Authentizität: Die unterzeichnende Person ist wirklich, wer sie zu sein vorgibt.
Was im Papierzeitalter die persönliche Unterschrift von Hand war, ist heute die elektronische Signatur. Sie ist einer von mehreren elektronischen Vertrauensdiensten, für die eine EU-Verordnung europaweite Regeln vorgegeben hat: Die eIDAS sieht drei Arten von E-Signaturen vor, die eine unterschiedliche Beweiskraft haben, und zwar die einfache, die fortgeschrittene und die qualifizierte elektronische Signatur. Die Verordnung regelt zudem die EU-weite Anerkennung, sie ist allerdings auch für andere Länder wie zum Beispiel die USA wichtig – dazu später mehr.
Einfach: formlos bei geringem rechtlichen Risiko
Für den Großteil an Dokumenten verwenden wir zu Recht die einfache elektronische Signatur. So genügt unter einer E-Mail und unter vielen Verträgen der getippte Name und/oder das Bitmap-Bild des handschriftlichen Namens. Für solche Dokumente ist gesetzlich keine besondere Form vorgeschrieben und es besteht nur ein geringes Risiko, dass ihre Rechtsgültigkeit angezweifelt wird. Mit DocuWare setzen Sie eine einfache elektronische Signatur zum Beispiel mit einem Stempel.
Fortgeschritten bei mittlerem rechtlichen Risiko
Soll im Streitfall zumindest der Unterzeichner eines Dokuments bzw. der Signaturersteller zu identifizieren sein, benötigen Sie eine fortgeschrittene elektronische Signatur. Sie ist beispielsweise für Handelsverträge im B2B-Bereich verbreitet. Die eIDAS schreibt für diese Signaturstufe bestimmte Regeln vor. So kann der Signaturersteller beispielsweise über den Einsatz eines elektronischen Signaturzertifikats identifiziert werden. Die fortgeschrittene Signatur hat eine mittlere Beweiskraft.
Elektronisch oder digital? |
Die beiden höheren Level der elektronischen Signatur – fortgeschritten und qualifiziert – werden auch digitale Signaturen genannt. Bei ihnen kommt nämlich das digitale Verfahren der Verschlüsselung zum Einsatz. Dabei wird eine Prüfsumme des Dokumentinhalts verschlüsselt und an das Dokument angehängt. Fortgeschrittene E-Signaturen können von anderen EU-Mitgliedsstaaten akzeptiert werden, wohingegen qualifizierte in der gesamten EU akzeptiert werden müssen. Jeder Mitgliedsstaat reguliert allerdings für sich, ob eine Transaktion eine digitale Signatur benötigt und welchem Level sie entsprechen muss. |
Qualifiziert: gerichtsfest
Für bestimmte Dokumente schreibt zum Beispiel der deutsche Gesetzgeber die eigenhändige Unterschrift vor, wie bei Verträgen in der Arbeitnehmerüberlassung. In diesen Fällen kommt die qualifizierte elektronische Signatur zum Einsatz, die der eigenhändigen Unterschrift vor Gericht bis auf Ausnahmen gleichkommt und die höchste Beweiskraft besitzt.
An sie stellt die eIDAS auch die höchsten Anforderungen. Die qualifizierte E-Signatur benötigt zwingend ein Zertifikat, in dem der öffentliche Schlüssel zweifelsfrei mit der überprüften Identität des Signaturerstellers verbunden ist. Zudem muss eine qualifizierte E-Signatur von einer qualifizierten Signaturerstellungseinheit als Hardware erstellt werden und auf einem qualifizierten Zertifikat für elektronische Signaturen beruhen.
Qualifizierte Zertifikate werden von Vertrauensdiensteanbietern (VDA) bereitgestellt, denen eine nationale Behörde den qualifizierten Status nach einer offiziellen Prüfung zugesprochen hat. Diese sind in der EU List of eIDAS Trusted Lists (LOTL) einzusehen.
Unterschied fortgeschritten/qualifiziert |
Laut eIDAS ist die qualifizierte E-Signatur eine fortgeschrittene elektronische Signatur, die aber zusätzlich „von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde und auf einem qualifizierten Zertifikat für elektronische Signaturen beruht“. Die Signaturerstellungseinheit, also die Hardware, kann direkt unter der Kontrolle des Signaturerstellers sein (z.B. Smartcard und Kartenleser) oder sich unter der Kontrolle eines qualifizierten Vertrauensdienstanbieters (VDA) befinden. |
Im Workflow automatisch qualifizierte E-Signatur setzen – per Fernsignatur
Früher konnten Unternehmen qualifizierte elektronische Signaturen nur erstellen, wenn die Hardware dafür, die Signaturerstellungseinheit, unter ihrer Kontrolle war, also per Smartcard und Kartenleser. Die eIDAS erlaubt es nun, dass sich die Signaturerstellungseinheit auch bei einem qualifizierten VDA befinden darf, der das Zertifikat und die Schlüssel für den Signaturersteller verwahrt und anwendet. Diese Anbieter stellen über das Internet eine sichere Signierplattform zur Verfügung, bei denen sich über die Unternehmen, Behörden oder Privatpersonen ihre Dokumente signieren.
Das ist besonders praktisch für Dokumentarten, die in Routineprozesse eines Unternehmens eingebunden sind. Der DocuWare Signature Service erlaubt es Ihnen, Ihre Dokumente in einem Workflow automatisiert mit einer qualifizierten elektronischen Signatur zu versehen.
Fünf Fakten zur eIDAS-Verordnung |
Was heißt eIDAS? Die Abkürzung steht für “Electronic IDentification, Authentication and Trust Services”, also „Elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen“ im europäischen Binnenmarkt. Worum geht es? Die eIDAS gibt einheitliche Richtlinien vor, um elektronische Transaktionen sicherer, vertrauenswürdiger und einfacher zu gestalten. Dabei geht es um Vertrauensdienste, das sind elektronische Dienste zum Erstellen, Überprüfen und Validieren von elektronischen Signaturen, Siegeln und Zertifikaten. Wie wichtig ist sie? Eine Verordnung der Europäischen Union (EU) ist eine Art europäisches Gesetz. Rechtlich gesehen stehen EU-Verordnungen über den nationalen Gesetzgebungen der EU-Mitgliedsstaaten. Jeder EU-Mitgliedsstaat muss seine Gesetze also dem Inhalt der Verordnung anpassen. In Deutschland zum Beispiel wurde die eIDAS u.a. im Vertrauensdienstegesetz umgesetzt. Seit wann? Die eIDAS-Verordnung trat 2014 mit einer Übergangsphase in Kraft und wird seit 2016 angewendet. Wo gilt die eIDAS und wer muss sie beachten? Die eIDAS gilt nicht nur in der EU, sondern im gesamten Europäischen Wirtschaftsraum (EWR), zu dem auch Norwegen, Island und Liechtenstein gehören. Allerdings sollten auch außereuropäische Unternehmen, die mit EU-Unternehmen Geschäfte machen, die eIDAS berücksichtigen. So haben zum Beispiel viele US-amerikanische Unternehmen Niederlassungen oder Kunden in der EU und müssen dann auch die eIDAS-Vorgaben beachten. |
Lesen Sie mehr zum DocuWare Signature Service.