Dokumente online unterschreiben

Einfache, fortgeschrittene oder qualifizierte eSignatur: was ist der Unterschied?

Ebenen der digitalen Unterschrift
Matthieu Duault

Matthieu Duault

Content Manager @Yousign

Illustration: Léa Coiffey

Es gibt verschiedene Arten elektronischer Unterschriften. Dabei steht die Anwenderfreundlichkeit in inverser Relation zum jeweiligen Sicherheitsniveau. Maslow würde hier nicht widersprechen, aber es scheint natürlich, zu der eSignatur zu tendieren, die die höchste Sicherheitsstufe bietet.

Die Europäische Verordnung über die elektronische Identifizierung und vertrauenswürdige Dienste für elektronische Transaktionen (kurz: eIDAS-Verordnung) definiert drei Stufen der elektronischen Signatur:

  • die einfache elektronische Unterschrift*
  • die fortgeschrittene elektronische Unterschrift
  • die qualifizierte elektronische Unterschrift

*Die "einfache" Signatur ist ein Sammelbegriff, der alle eSignaturdienste umfasst, die kein fortgeschrittenes oder qualifiziertes Niveau haben. Obwohl dieser Begriff von der Mehrheit der eSignatur Anbieter verwendet wird, findet dieser Begriff keine Erwähnung in der eIDAS-Verordnung. Um Missverständnissen vorzubeugen, werden wir den Ausdruck "einfache Signatur" verwenden, um die unterste Ebene der elektronischen Unterschriften zu beschreiben.

Gemäß der eIDAS-Verordnung ist eine eSignatur definiert als: "Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet."

Im Idealfall sollte eine eSignatur:

  • die eIDAS-Verordnung einhalten, die die elektronische Identifizierung und Vertrauensdiensteanbieter (kurz: VDA) für digitale Transaktionen innerhalb des Binnenmarktes der Europäischen Union reglementiert
  • auf der Verwendung eines elektronischen Zertifikats beruhen
  • die Identität des Unterzeichners überprüfen
  • nachweisen, dass das Dokument seit der Unterzeichnung nicht verändert wurde

Es ist daher ratsam, elektronische Signaturen mit einer Softwarelösung eines VDA zu erstellen, der von einer offiziellen Zertifizierungsstelle anerkannt ist. Die Liste der VDA ist auf der Website der Europäischen Kommission abrufbar.

Der Unterschied zwischen den drei Arten von eSignaturen betrifft das Sicherheitsniveau, das mit jedem der oben genannten Kriterien verbunden ist, und die Unverfälschbarkeit des Validierungsprozesses der Identität des Unterzeichners. Die Beweiskraft der Unterschrift liegt also in dem Grad des Vertrauens in die Identität des Unterzeichners und in dem Nachweis, dass das unterzeichnete Dokument tatsächlich das vorgelegte ist.

Ist es jedoch immer sinnvoll, Vertragspartnern oder Kunden ein mehrstufiges Authentifizierungsverfahren aufzuzwingen, wenn eine einfache oder fortgeschrittene Signatur bereits ein angemessenes Maß an Gültigkeit und Sicherheit haben kann?

Um die Orientierung zu erleichtern, erklären wir hier die Unterschiede zwischen den drei Niveaus der eSignatur und ihren Nutzen bzw. die typischen Anwendungsbereiche.

Einfache elektronische Signatur

Heute sind die überwiegende Mehrheit der erstellten elektronischen Unterschriften "einfache" Signaturen, weil sie in puncto Reibungslosigkeit und somit Nutzerfreundlichkeit unschlagbar ist. Die einfache eSignatur entspricht der ersten Stufe an Sicherheit und rechtlicher Anerkennung eines Dokuments.

Anforderungen

Es gibt keinen festgelegten Anforderungskatalog für diese Art von Signatur. Es kann also mit 2 Klicks und ohne konkreten Prozess der Identitätsprüfung oder Zustimmung ein Dokument unterschrieben werden. Der Unterzeichner könnte somit theoretisch einfach abstreiten, dass er oder sie das Dokument unterzeichnet hat. Einfache eSignaturen können auch die Form einer eingescannten Unterschrift oder des Kürzels, welches beim Paketzusteller auf das Terminal gekritzelt wird, annehmen.

Der einfache Signaturprozess kann jedoch in seiner Beweiskraft verstärkt werden, indem -wie Yousign dies tut- ein zusätzlicher Authentifizierungsschritt mittels eines SMS-PIN Codes hinzugefügt wird. Dies ist vergleichbar mit der SMS TAN beim Online Banking.

Zwar ist die Erstellung eines Nachweisdokuments bei der einfachen Form der elektronischen Unterschrift nicht zwingend vorgeschrieben, aber es ist klar, dass die Erstellung und Aufbewahrung sowie die Anzahl und Qualität der Beweise, die in dieser Akte gesammelt werden, im Falle einer Anfechtung des Vertrags ein viel höheres Maß an Glaubwürdigkeit gewährleisten. Dieses Nachweisdokument kann aus Elementen wie der E-Mail-Adresse des Unterzeichners, seiner Telefonnummer, der IP-Adresse des zur Unterzeichnung des Dokuments verwendeten Computers usw. bestehen. Ziel dieser Beweismittelakte ist es, die verschiedenen Phasen einer Transaktion Schritt für Schritt verfolgen zu können.

Selbst im Falle einer einfachen eSignatur erstellt Yousign für jedes Verfahren eine Nachweisdatei mit zeitgestempelten digitalen Beweisen, die 10 Jahre lang bei Arkhinéo aufbewahrt wird. Arkinhéo ist spezialisiert auf vertrauenswürdige Archivdienste.

Beispieldokumente

Unterlagen, die routinemäßig oder mit einem begrenzten rechtlichen oder finanziellen Risiko verbunden sind:

  • Aufträge/ Auftragsbestätigungen
  • Kostenvoranschläge
  • Datenschutzerklärungen
  • Allgemeine Geschäftsbedingungen
  • Kaufverträge über bewegliche Güter
  • Dienstleistungsverträge
  • Unbefristete Arbeitsverträge
  • Geheimhaltungserklärungen
  • Urheberrechtserklärung
  • Besichtigungsbestätigungen (Immobilien)
  • Übergabeprotokolle (Immobilien)
  • Mandats Briefe
  • Sachversicherungen
  • Firmenversicherungen
  • KYC-Dokumente
  • ...

Fortgeschrittene elektronische Signatur

Die fortgeschrittene elektronische Unterschrift, die sicherer ist, wird für Finanztransaktionen oder die Unterzeichnung von Dokumenten empfohlen, bei denen erhebliche rechtliche Risiken bestehen können.

Anforderungen

Wie zuvor beschrieben, ist die Definition einer einfachen elektronischen Signatur ziemlich weit gefasst. Die fortgeschrittene elektronische Signatur muss strengere Kriterien für die Identitätsprüfung erfüllen und hat somit eine höhere Beweiskraft, wie es eindeutig in der eIDAS-Verordnung festgelegt ist.

Daher muss die fortgeschrittene elektronische Signatur :

  • in eindeutiger und klarer Weise mit dem Unterzeichner verbunden sein
  • die Identifizierung des Unterzeichners ermöglichen
  • mit Mitteln erstellt werden, die unter der alleinigen Kontrolle des Unterzeichners stehen, wie z.B. Telefon, Tablet oder PC;
  • und sicherstellen, dass der Rechtsakt, auf den sie sich bezieht, nicht abgeändert werden kann

Dies kann durch das Hochladen und die anschließende Überprüfung eines Ausweisdokuments des Unterzeichners und das Hinzufügen zur Nachweisdatei geschehen, wie von Yousign praktiziert. Oder aber eine Verstärkung der Einverständniserklärung des Unterzeichners, wie z.B. das Hinzufügen eines Kontrollkästchens, um zu zeigen, dass das Dokument richtig verstanden wird. Dies würde im Falle eines Gerichtsverfahrens die Bereitschaft des Unterzeichners dokumentieren, dass das Dokument wissentlich unterzeichnet wurde. Alle Verfahren der Identitätsüberprüfung sind beliebig kombinierbar, immer mit dem Ziel die Gültigkeit der eSignatur zu verstärken.

Beispieldokumente

  • Gesellschaftsvertrag (GbR, OHG, KG)
  • Patent-, Marken oder Urheberrechtsverträge
  • Sozialversicherungs-/ Rentenversicherungsdokumente
  • Unbefristete Mietverträge ohne Preisgleitklausel
  • Personenversicherungen, wie bspw. Lebensversicherungen, Unfallversicherungen oder Berufsunfähigkeitsversicherungen, die nicht unter das Geldwäschegesetz fallen
  • ...

Qualifizierte elektronische Signatur

Die qualifizierte elektronische Signatur ist die höchste Form der elektronischen Identifizierung. Sie wird jedoch aufgrund ihrer hohen Anforderungen nur in ganz bestimmten Fällen eingesetzt.

Anforderungen

Aus rechtlicher Sicht ist der Unterschied zwischen der qualifizierten eSignatur und der fortgeschrittenen größer als zwischen Fortgeschrittener und Einfacher. Die eIDAS Verordnung definiert konkrete Vorgaben hinsichtlich der Überprüfung der Identität des Unterzeichners und der Verwahrung des Signaturschlüssels. Darüber hinaus ist die QES die einzige eSignatur, die der handschriftlichen Signatur gleichgestellt ist.

Ein elektronisches Signaturverfahren gilt als qualifiziert, wenn es eine von einer Zertifizierungsbehörde ausgestellte qualifizierte elektronische Signatur verwendet. Diese Zertifizierungsstellen werden vom BSI (Bundesamt für Sicherheit in der Informationstechnik) in Deutschland und von gleichwertigen Stellen im europäischen Ausland kontrolliert.

Das qualifizierte Signaturverfahren verwendet die gleichen Sicherheitskriterien wie die fortgeschrittene Signatur, erfordert jedoch, dass die Identität des Unterzeichners zuvor validiert wird und dass der Signaturschlüssel in einer qualifizierten elektronischen Signaturerstellungseinheit (QSCD) liegt. Während früher die Identitätsprüfung eine physische überprüfung erforderte, kann diese nun unter bestimmten Bedingungen aus der Ferne durchgeführt werden.

Wie funktioniert eine Überprüfung genau? Während eines persönlichen Treffens wird dem Unterzeichner ein materielles Identifikationsgerät, ein sogenannter "Token" (Chipkarte, USB-Schlüssel, Badge...) ausgehändigt. Der Token ermöglicht es der Zertifizierungsbehörde die Identität zu bestätigen und der Unterzeichner kann seine Dokumente nach zusätzlicher Eingabe eines persönlichen PIN-Codes unterzeichnen. Diese Token haben in der Regel eine begrenzte Gültigkeit und müssen spätestens alle fünf Jahre erneuert werden. Der kryptographische Schlüssel zur Erstellung und Auslesung des Tokens muss extrem zuverlässig und an einem sicheren Ort gespeichert werden. Vor Ausgabe wird von der Bundesnetzagentur die Qualifizierung des Tokens untersucht und validiert. Eine Alternative zur physischen Übergabe eines kryptographischen Schlüssels ist die Verwendung eines HSM in der Cloud, wodurch die Identifizierung aus der Ferne durchgeführt werden kann. Anschließend wird während der Unterschrift ebenfalls eine Zwei-Faktor-Authentifizierung des Unterzeichners durchgeführt.

Beispieldokumente

  • Amtliche Geschäfte: Anmeldung im Handelsregister, Umsatzsteuervoranmeldung ans Finanzamt, Jahresabschlüsse, Lageberichte, Wirtschaftsprüfberichte
  • Quittungen
  • Befristete Arbeitsverträge oder Teilzeitarbeitsverträge
  • Arbeitnehmerüberlassungsverträge (Zeitarbeit)
  • Befristete Mietverträge über ein Jahr Laufzeit (Immobilien)
  • Staffel- oder indexierte Miet- oder Leasingverträge (Immobilien)
  • Kündigungsschreiben bei Miet- oder Leasingverträgen (Immobilien)
  • Kapitalbildende Personenversicherungen mit Prämienrückgewähr
  • Lebensversicherung auf den Tod einer anderen Person
  • Maklervollmacht
  • Verbraucherdarlehensverträge
  • SEPA Lastschriftmandate
  • Bankkontoeröffnung
  • Freischaltung von SIM-Karten
  • Elektronische Patientenakte
  • e-Vergabe öffentlicher Aufträge
  • Elektronisches Abfallnachweisverfahren
  • ...

_

Abgrenzung zwischen einer einfachen und fortgeschrittenen Signatur ist hingegen nicht trennscharf. Letzten Endes liegt es an den Vertragsparteien zu entscheiden, ob die Sicherheit Vorrang vor der Nutzerfreundlichkeit genießt oder umgekehrt.

Wir empfehlen bei der Abwägung in 3 Schritten vorzugehen:

  1. Analyse des regulatorischen und rechtlichen Kontexts, um die mit der Verwendung von elektronischen Signaturen verbundenen Chancen und Risiken zu kennen
  2. Analyse weiterführender Risiken und Chancen: Unternehmensimage, Auswirkungen auf die Produktivität, finanzielle Beteiligungen, usw.
  3. Wahl der adäquaten eSignatur, wobei Nutzerfreundlichkeit und Sicherheitsbedürfnisse in Einklang gebracht werden müssen

Das Team von Yousign berät hier gerne. Wir sind am besten unter hello@yousign.com zu erreichen.