Einfache, Fortgeschrittene oder Qualifizierte Elektronische Signatur: Definitionen und Unterschiede

Es gibt verschiedene Arten elektronischer Unterschriften. Dabei steht die Anwenderfreundlichkeit in inverser Relation zum jeweiligen Sicherheitsniveau: Je mehr Daten von den Unterzeichnenden erfasst werden, desto sicherer die Unterschrift, aber auch zeitaufwändiger für das Gegenüber, und umgekehrt. Maslow würde hier nicht widersprechen, aber es scheint menschlich, zu der digitalen Unterschrift zu tendieren, die die höchste Sicherheitsstufe bietet: die Qualifizierte Elektronische Signatur.

Die europäische Verordnung über die elektronische Identifizierung und vertrauenswürdige Dienste für elektronische Transaktionen (kurz: eIDAS-Verordnung) definiert drei Stufen der elektronischen Signatur:

• die Einfache Elektronische Unterschrift*
• die Fortgeschrittene Elektronische Unterschrift
• die Qualifizierte Elektronische Unterschrift

*Die "Einfache" Elektronische Signatur ist ein Sammelbegriff, der alle e-Signatur Dienste umfasst, die kein Fortgeschrittenes oder Qualifiziertes Niveau haben. Obwohl dieser Begriff von der Mehrheit der e-Signatur Anbieter verwendet wird, findet dieser Begriff keine Erwähnung in der eIDAS-Verordnung. Um Missverständnissen vorzubeugen, werden wir den Ausdruck "Einfache Signatur" verwenden, um die unterste Ebene elektronischer Unterschriften zu beschreiben.

Gemäß der eIDAS-Verordnung ist eine e-Signatur definiert als: "Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet."

Im Idealfall sollte eine e-Signatur:

• die eIDAS-Verordnung einhalten, die die elektronische Identifizierung und Vertrauensdiensteanbieter (kurz: VDA) für digitale Transaktionen innerhalb des Binnenmarktes der Europäischen Union reglementiert
• auf der Verwendung eines elektronischen Zertifikats beruhen,
• die Identität des Unterzeichners überprüfen,
• nachweisen, dass das Dokument seit der Unterzeichnung nicht verändert wurde.

Es ist daher ratsam, elektronische Signaturen mit einer Softwarelösung eines Vertrauensdiensteanbieters, auch VDA genannt, zu erstellen, der von einer offiziellen Zertifizierungsstelle anerkannt ist. Die Liste der VDA ist auf der Website der Europäischen Kommission abrufbar.

Der Unterschied zwischen den drei Arten von e-Signaturen betrifft das Sicherheitsniveau, das mit jedem der oben genannten Kriterien verbunden ist. Die Beweiskraft der Unterschrift liegt also in der Qualität der Identifizierung (z.T. wird auch nur authentifiziert) des Unterzeichners und in dem Nachweis, dass das unterzeichnete Dokument tatsächlich das vorgelegte ist.

Ist es jedoch immer sinnvoll, Vertragspartnern oder Kunden ein mehrstufiges Identifizierungsverfahren aufzuzwingen, wenn eine Einfache oder Fortgeschrittene Elektronische Signatur bereits ein angemessenes Maß an Gültigkeit und Sicherheit haben kann?

Um die Orientierung zu erleichtern, erklären wir Ihnen in diesem Artikel die Unterschiede zwischen den drei Niveaus der e-Signatur, deren Nutzen und die typischen Anwendungsbereiche.

Heute sind die überwiegende Mehrheit der erstellten elektronischen Unterschriften "Einfache" Signaturen, weil sie in puncto Reibungslosigkeit und somit Nutzerfreundlichkeit unschlagbar sind. Die Einfache e-Signatur entspricht der ersten Stufe an Sicherheit und rechtlicher Anerkennung eines Dokuments.

Es gibt keinen festgelegten Anforderungskatalog für diese Art von Signatur. Es kann also mit einem Klick und ohne konkreten Prozess der Identitätsprüfung oder Zustimmung ein Dokument unterschrieben werden. Die Unterzeichnenden könnten somit theoretisch abstreiten, dass er oder sie das Dokument unterzeichnet haben. Einfache e-Signaturen können auch die Form einer eingescannten Unterschrift oder des Kürzels, welches beim Paketzusteller auf das Terminal gekritzelt wird, annehmen.

Der Einfache Signaturprozess kann jedoch in seiner Beweiskraft verstärkt werden, indem - wie Yousign dies tut - ein zusätzlicher Authentifizierungsschritt mittels eines SMS-Einmalpassworts hinzugefügt wird. Dies ist vergleichbar mit der SMS TAN beim Online-Banking.

Zwar ist die Erstellung eines Nachweisdokuments bei der Einfachen Form der elektronischen Unterschrift nicht zwingend vorgeschrieben, aber es ist klar, dass die Erstellung und Aufbewahrung sowie die Anzahl und Qualität der Beweise, die in dieser Akte gesammelt werden, im Falle einer Anfechtung des Vertrags ein viel höheres Maß an Glaubwürdigkeit gewährleisten. Dieses Nachweisdokument kann aus Elementen wie der E-Mail-Adresse des Unterzeichnenden, der Telefonnummer, der IP-Adresse des zur Unterzeichnung des Dokuments verwendeten Computers usw. bestehen. Ziel dieser Beweismittelakte ist es, die verschiedenen Phasen einer Transaktion Schritt für Schritt verfolgen zu können.

Selbst im Falle einer Einfachen e-Signatur erstellt Yousign für jedes Verfahren eine Nachweisdatei mit zeitgestempelten digitalen Beweisen, die 10 Jahre lang bei Arkhinéo aufbewahrt wird. Arkinhéo ist spezialisiert auf vertrauenswürdige Archivdienste.

Unterlagen, die routinemäßig oder mit einem begrenzten rechtlichen oder finanziellen Risiko verbunden sind:

• Aufträge/ Auftragsbestätigungen
• Kostenvoranschläge
• Datenschutzerklärungen
• Allgemeine Geschäftsbedingungen
• Kaufverträge über bewegliche Güter
• Dienstleistungsverträge
• Unbefristete Arbeitsverträge
• Teilzeitarbeitsverträge
• Geheimhaltungserklärungen
• Urheberrechtserklärung
• Unbefristete Mietverträge (Immobilien)
• Selbstauskünfte
• Makleralleinaufträge
• Besichtigungsbestätigungen
• Übergabeprotokolle
• Mandatsbriefe
• Sachversicherungen
• Firmenversicherungen
• Darlehensverträge zwischen Unternehmen
• KYC-Dokumente
• ...

Die Fortgeschrittene Elektronische Unterschrift, die sicherer ist, wird für die Unterzeichnung von Dokumenten empfohlen, bei denen erhebliche rechtliche Risiken bestehen können.

Wie zuvor beschrieben, ist die Definition einer Einfachen Elektronischen Signatur ziemlich weit gefasst. Die Fortgeschrittene Elektronische Signatur muss strengere Kriterien für die Identitätsprüfung erfüllen und hat somit eine höhere Beweiskraft, wie es eindeutig in der eIDAS-Verordnung bzw. dem deutschen Signaturgesetz festgelegt ist.

Daher muss die Fortgeschrittene Elektronische Signatur:

• in eindeutiger und klarer Weise mit dem Unterzeichnenden verbunden sein,
• die Identifizierung des Unterzeichnenden ermöglichen,
• mit Mitteln erstellt werden, die unter der alleinigen Kontrolle des Unterzeichnenden stehen, wie z.B. Telefon, Tablet oder PC,
• und sicherstellen, dass der Rechtsakt, auf den sie sich bezieht, nicht abgeändert werden kann.

Dies kann durch das Hochladen und die Validierung eines Ausweisdokuments des Unterzeichnenden geschehen, wie von Yousign praktiziert. Da in der Europäischen Union SIM-Karten nur noch nach vorheriger Ausweisüberprüfung verkauft werden dürfen, stellen immer mehr Anbieter Fortgeschrittene Elektronische Unterschriften allein auf eine Authentifizierung mittels SMS-Einmalpassworts ab, da die zugrundeliegende Identifizierung des Unterzeichnenden bereits beim Erwerb der SIM-Karte stattgefunden hat. Es empfiehlt sich dennoch die Kombination aus Ausweisüberprüfung und SMS-Einmalpasswort, immer mit dem Ziel, die Rechtskräftigkeit der digitalen Signatur im Streitfall zu verstärken.

• Gesellschaftsvertrag (GbR, OHG, KG)
• Beschlüsse von Geschäftsführern einer GmbH
• Patent-, Marken oder Urheberrechtsverträge
• Sozialversicherungs-/ Rentenversicherungsdokumente
• Bestimmte Leasingverträge
• Personenversicherungen, wie bspw. Lebensversicherungen, Unfallversicherungen oder Berufsunfähigkeitsversicherungen, die nicht unter das Geldwäschegesetz fallen
• ...

Die Qualifizierte Elektronische Signatur (kurz: QES) ist die höchste Form der elektronischen Unterschrift. Sie wird aufgrund ihrer hohen Anforderungen in ganz bestimmten Fällen eingesetzt.

Aus rechtlicher Sicht ist der Unterschied zwischen der Qualifizierten Elektronischen Signatur und der Fortgeschrittenen größer als zwischen Fortgeschrittener und Einfacher. Hier lautet das wichtige Stichwort: Beweisumkehr. Die eIDAS Verordnung definiert konkrete Vorgaben hinsichtlich der Überprüfung der Identität des Unterzeichners und der Verwahrung des Signaturschlüssels. Darüber hinaus ist die QES die einzige e-Signatur, die der handschriftlichen Signatur (§ 126 BGB, Schriftformerfordernis) gleichgestellt ist.

Ein elektronisches Signaturverfahren gilt als Qualifiziert, wenn es eine von einer Zertifizierungsbehörde ausgestellte QES verwendet. Diese Zertifizierungsstellen werden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland und von gleichwertigen Stellen im europäischen Ausland kontrolliert.

Das Qualifizierte Signaturverfahren verwendet die gleichen Sicherheitskriterien wie die Fortgeschrittene e-Signatur, erfordert jedoch, dass die Identität des Unterzeichnenden zuvor verifiziert und validiert wird und dass der Signaturschlüssel in einer Qualifizierten Elektronischen Signaturerstellungseinheit (QSCD) liegt. Während früher die Identitätsprüfung eine physische Überprüfung erforderte, kann diese nun auch aus der Ferne durchgeführt werden.

Wie funktioniert eine Identitätsüberprüfung genau?

Dafür gibt es verschiedene Möglichkeiten, wie z.B.:

• Hardware-basierte Methoden mit Signaturkarten,
• Video-Identifizierungsverfahren,
• Auto-Identifikationsverfajren (Bei diesen Verfahren führt eine App durch den Identifizierungsprozess),
• Identifizierungen mittels NFC-Schnittstelle und der eID-Funktion des deutschen Personalausweises,
• Identifizierungen mittels bestehender Bankkonten (Überweisung eines Cent-Betrages)
• oder aber auch persönliche Identifizierungen, die vor allem am Point-of-Sale eingesetzt werden.

Nicht alle Identifizierungsverfahren sind für die Gesamtheit der Anwendungsfälle geeignet, sodass es ratsam ist, mit einem Yousign-Experten zu sprechen. Noch wird das Video-Ident Verfahren in Deutschland am häufigsten verwendet. Das Auto-Ident Verfahren kann dagegen jedoch unabhängig von Ort und Uhrzeit immer selbstständig durchgeführt werden. Eine detaillierte Beschreibung dieses Auto-Ident Verfahren und weitere Informationen finden Sie in unserem Artikel Was ist eine Qualifizierte Elektronische Signatur?.

• Amtliche Geschäfte: Anmeldung im Handelsregister, Umsatzsteuervoranmeldung ans Finanzamt, Jahresabschlüsse, Lageberichte, Wirtschaftsprüfberichte
• Quittungen
• Befristete Arbeitsverträge
• Arbeitnehmerüberlassungsverträge (Zeitarbeit)
• Nachvertragliche Wettbewerbsverbote
• Befristete Mietverträge über ein Jahr Laufzeit (Immobilien)
• Staffel- oder indexierte Miet- oder Leasingverträge (Immobilien)
• Kündigungsschreiben bei Miet- oder Leasingverträgen (Immobilien)
• Kapitalbildende Personenversicherungen mit Prämienrückgewähr
• Lebensversicherung auf den Tod einer anderen Person
• Maklervollmacht
• Verbraucherdarlehensverträge
• SEPA Lastschriftmandate
• Bankkontoeröffnung
• Freischaltung von SIM-Karten
• Elektronische Patientenakte
• e-Rezepte
• e-Vergabe öffentlicher Aufträge
• Elektronisches Abfallnachweisverfahren
• ...

Das Bürgerliche Gesetzbuch unterscheidet lediglich zwischen Schriftform (§ 126 BGB), also zwangsläufig QES, und Formfreiheit. Im Falle der Formfreiheit heißt das, dass die Anwender für sich entscheiden können, ob sie lieber eine Einfache oder Fortgeschrittene Elektronische Signatur einsetzen. Letzten Endes liegt es an den Vertragsparteien zu entscheiden, ob die Sicherheit Vorrang vor der Nutzerfreundlichkeit genießt oder umgekehrt.

Wir empfehlen bei der Abwägung in 3 Schritten vorzugehen:

1. Analyse des regulatorischen und rechtlichen Kontexts, um die mit der Verwendung von elektronischen Signaturen verbundenen Chancen und Risiken zu kennen
2. Analyse weiterführender Risiken und Chancen: Unternehmensimage, Auswirkungen auf die Produktivität, finanzielle Beteiligungen, usw.
3. Wahl der adäquaten e-Signatur, wobei Nutzerfreundlichkeit und Sicherheitsbedürfnisse in Einklang gebracht werden müssen

Dieses Dokument wird nur zu Informationszwecken zur Verfügung gestellt. Wir übernehmen weder eine Garantie für deren Vollständigkeit noch für deren Aktualität im Hinblick auf die geltenden Vorschriften. Schließlich ist dieses kein Ersatz für eine Rechtsberatung.