Dokumente online unterschreiben

Einfache, fortgeschrittene oder qualifizierte elektronische Signatur: Definitionen und Unterschiede

Ebenen der digitalen Signatur
Matthieu Duault

Matthieu Duault

Brand Manager @Yousign

Illustration: Léa Coiffey

Es gibt verschiedene Arten elektronischer Unterschriften. Dabei steht die Anwenderfreundlichkeit in inverser Relation zum jeweiligen Sicherheitsniveau: Je mehr Daten ich von den Unterzeichnenden erfasse, desto sicherer die Unterschrift, aber auch zeitaufwändiger für meine Gegenüber, und umgekehrt. Maslow würde hier nicht widersprechen, aber es scheint menschlich, zu der digitalen Unterschrift zu tendieren, die die höchste Sicherheitsstufe bietet: die qualifizierte elektronische Signatur.

Die europäische Verordnung über die elektronische Identifizierung und vertrauenswürdige Dienste für elektronische Transaktionen (kurz: eIDAS-Verordnung) definiert drei Stufen der elektronischen Signatur:

  • die einfache elektronische Unterschrift*
  • die fortgeschrittene elektronische Unterschrift
  • die qualifizierte elektronische Unterschrift

*Die "einfache" Signatur ist ein Sammelbegriff, der alle e-Signaturdienste umfasst, die kein fortgeschrittenes oder qualifiziertes Niveau haben. Obwohl dieser Begriff von der Mehrheit der e-Signatur Anbieter verwendet wird, findet dieser Begriff keine Erwähnung in der eIDAS-Verordnung. Um Missverständnissen vorzubeugen, werden wir den Ausdruck "einfache Signatur" verwenden, um die unterste Ebene elektronischer Unterschriften zu beschreiben.

Gemäß der eIDAS-Verordnung ist eine e-Signatur definiert als: "Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet."

Im Idealfall sollte eine e-Signatur:

  • die eIDAS-Verordnung einhalten, die die elektronische Identifizierung und Vertrauensdiensteanbieter (kurz: VDA) für digitale Transaktionen innerhalb des Binnenmarktes der Europäischen Union reglementiert
  • auf der Verwendung eines elektronischen Zertifikats beruhen
  • die Identität des Unterzeichners überprüfen
  • nachweisen, dass das Dokument seit der Unterzeichnung nicht verändert wurde

Es ist daher ratsam, elektronische Signaturen mit einer Softwarelösung eines VDA zu erstellen, der von einer offiziellen Zertifizierungsstelle anerkannt ist. Die Liste der VDA ist auf der Website der Europäischen Kommission abrufbar.

Der Unterschied zwischen den drei Arten von e-Signaturen betrifft das Sicherheitsniveau, das mit jedem der oben genannten Kriterien verbunden ist. Die Beweiskraft der Unterschrift liegt also in der Qualität der Identifizierung (z.T. wird auch nur authentifiziert) des Unterzeichners und in dem Nachweis, dass das unterzeichnete Dokument tatsächlich das vorgelegte ist.

Ist es jedoch immer sinnvoll, Vertragspartnern oder Kunden ein mehrstufiges Identifizierungsverfahren aufzuzwingen, wenn eine einfache oder fortgeschrittene elektronische Signatur bereits ein angemessenes Maß an Gültigkeit und Sicherheit haben kann?

Um die Orientierung zu erleichtern, erklären wir hier die Unterschiede zwischen den drei Niveaus der e-Signatur, ihren Nutzen und die typischen Anwendungsbereiche.

Einfache elektronische Unterschrift

Heute sind die überwiegende Mehrheit der erstellten elektronischen Unterschriften "einfache" Signaturen, weil sie in puncto Reibungslosigkeit und somit Nutzerfreundlichkeit unschlagbar ist. Die einfache e-Signatur entspricht der ersten Stufe an Sicherheit und rechtlicher Anerkennung eines Dokuments.

Anforderungen

Es gibt keinen festgelegten Anforderungskatalog für diese Art von Signatur. Es kann also mit einem Klick und ohne konkreten Prozess der Identitätsprüfung oder Zustimmung ein Dokument unterschrieben werden. Der Unterzeichner könnte somit theoretisch einfach abstreiten, dass er oder sie das Dokument unterzeichnet hat. Einfache e-Signaturen können auch die Form einer eingescannten Unterschrift oder des Kürzels, welches beim Paketzusteller auf das Terminal gekritzelt wird, annehmen.

Der einfache Signaturprozess kann jedoch in seiner Beweiskraft verstärkt werden, indem -wie Yousign dies tut- ein zusätzlicher Authentifizierungsschritt mittels eines SMS-Einmalpassworts hinzugefügt wird. Dies ist vergleichbar mit der SMS TAN beim Online-Banking.

Zwar ist die Erstellung eines Nachweisdokuments bei der einfachen Form der elektronischen Unterschrift nicht zwingend vorgeschrieben, aber es ist klar, dass die Erstellung und Aufbewahrung sowie die Anzahl und Qualität der Beweise, die in dieser Akte gesammelt werden, im Falle einer Anfechtung des Vertrags ein viel höheres Maß an Glaubwürdigkeit gewährleisten. Dieses Nachweisdokument kann aus Elementen wie der E-Mail-Adresse des Unterzeichners, seiner Telefonnummer, der IP-Adresse des zur Unterzeichnung des Dokuments verwendeten Computers usw. bestehen. Ziel dieser Beweismittelakte ist es, die verschiedenen Phasen einer Transaktion Schritt für Schritt verfolgen zu können.

Selbst im Falle einer einfachen e-Signatur erstellt Yousign für jedes Verfahren eine Nachweisdatei mit zeitgestempelten digitalen Beweisen, die 10 Jahre lang bei Arkhinéo aufbewahrt wird. Arkinhéo ist spezialisiert auf vertrauenswürdige Archivdienste.

Beispieldokumente

Unterlagen, die routinemäßig oder mit einem begrenzten rechtlichen oder finanziellen Risiko verbunden sind:

  • Aufträge/ Auftragsbestätigungen
  • Kostenvoranschläge
  • Datenschutzerklärungen
  • Allgemeine Geschäftsbedingungen
  • Kaufverträge über bewegliche Güter
  • Dienstleistungsverträge
  • Unbefristete Arbeitsverträge
  • Teilzeitarbeitsverträge
  • Geheimhaltungserklärungen
  • Urheberrechtserklärung
  • Unbefristete Mietverträge (Immobilien)
  • Selbstauskünfte
  • Makleralleinaufträge
  • Besichtigungsbestätigungen
  • Übergabeprotokolle
  • Mandatsbriefe
  • Sachversicherungen
  • Firmenversicherungen
  • Darlehensverträge zwischen Unternehmen
  • KYC-Dokumente
  • ...

Fortgeschrittene elektronische Signatur

Die fortgeschrittene elektronische Unterschrift, die sicherer ist, wird für die Unterzeichnung von Dokumenten empfohlen, bei denen erhebliche rechtliche Risiken bestehen können.

Anforderungen

Wie zuvor beschrieben, ist die Definition einer einfachen elektronischen Signatur ziemlich weit gefasst. Die fortgeschrittene elektronische Signatur muss strengere Kriterien für die Identitätsprüfung erfüllen und hat somit eine höhere Beweiskraft, wie es eindeutig in der eIDAS-Verordnung bzw. dem deutschen Signaturgesetz festgelegt ist.

Daher muss die fortgeschrittene elektronische Signatur:

  • in eindeutiger und klarer Weise mit dem Unterzeichner verbunden sein
  • die Identifizierung des Unterzeichners ermöglichen
  • mit Mitteln erstellt werden, die unter der alleinigen Kontrolle des Unterzeichners stehen, wie z.B. Telefon, Tablet oder PC;
  • und sicherstellen, dass der Rechtsakt, auf den sie sich bezieht, nicht abgeändert werden kann

Dies kann durch das Hochladen und die Validierung eines Ausweisdokuments des Unterzeichners geschehen, wie von Yousign praktiziert. Da in der Europäischen Union SIM-Karten nur noch nach vorheriger Ausweisüberprüfung verkauft werden dürfen, stellen immer mehr Anbieter fortgeschrittener elektronischer Unterschriften allein auf eine Authentifizierung mittels SMS-Einmalpassworts ab, da die zugrundeliegende Identifizierung des Unterzeichners ja bereits beim Erwerb der SIM stattgefunden hat. Yousign empfiehlt dennoch die Kombination aus Ausweisüberprüfung und SMS-Einmalpasswort, immer mit dem Ziel, die Rechtskräftigkeit der digitalen Signatur im Streitfall zu verstärken.

Beispieldokumente

  • Gesellschaftsvertrag (GbR, OHG, KG)
  • Beschlüsse von Geschäftsführern einer GmbH
  • Patent-, Marken oder Urheberrechtsverträge
  • Sozialversicherungs-/ Rentenversicherungsdokumente
  • Bestimmte Leasingverträge
  • Personenversicherungen, wie bspw. Lebensversicherungen, Unfallversicherungen oder Berufsunfähigkeitsversicherungen, die nicht unter das Geldwäschegesetz fallen
  • ...

Qualifizierte elektronische Signatur

Die qualifizierte elektronische Signatur ist die höchste Form der elektronischen Unterschrift. Sie wird jedoch aufgrund ihrer hohen Anforderungen nur in ganz bestimmten Fällen eingesetzt.

Anforderungen

Aus rechtlicher Sicht ist der Unterschied zwischen der qualifizierten elektronischen Signatur und der fortgeschrittenen größer als zwischen Fortgeschrittener und Einfacher (Stichwort: Beweisumkehr). Die eIDAS Verordnung definiert konkrete Vorgaben hinsichtlich der Überprüfung der Identität des Unterzeichners und der Verwahrung des Signaturschlüssels. Darüber hinaus ist die QES die einzige e-Signatur, die der handschriftlichen Signatur (§ 126 BGB, Schriftformerfordernis) gleichgestellt ist.

Ein elektronisches Signaturverfahren gilt als qualifiziert, wenn es eine von einer Zertifizierungsbehörde ausgestellte qualifizierte elektronische Signatur verwendet. Diese Zertifizierungsstellen werden vom BSI (Bundesamt für Sicherheit in der Informationstechnik) in Deutschland und von gleichwertigen Stellen im europäischen Ausland kontrolliert.

Das qualifizierte Signaturverfahren verwendet die gleichen Sicherheitskriterien wie die fortgeschrittene Signatur, erfordert jedoch, dass die Identität des Unterzeichners zuvor validiert wird und dass der Signaturschlüssel in einer qualifizierten elektronischen Signaturerstellungseinheit (QSCD) liegt. Während früher die Identitätsprüfung eine physische Überprüfung erforderte, kann diese nun auch aus der Ferne durchgeführt werden.

Wie funktioniert eine Identititätsüberprüfung genau? Dafür gibt es verschiedene Möglichkeiten, wie z.B. Hardware-basierte Methoden mit Signaturkarten, Video-Identifizierungsverfahren (neuerdings sind auch Verfahren zugelassen, bei denen eine App durch den Identifizierungsprozess führt), Identifizierungen mittels NFC-Schnittstelle und der eID-Funktion des deutschen Personalausweises, Identifizierungen mittels bestehender Bankkonten (Überweisung eines Cent-Betrages) oder aber auch persönliche Identifizierungen, die vor allem am Point-of-Sale eingesetzt werden. Nicht alle Identifizierungsverfahren sind für die Gesamtheit der Anwendungsfälle geeignet, sodass es ratsam ist, mit einem Yousign-Experten zu sprechen. Eines der häufigsten eingesetzten Verfahren in Deutschland ist das Video-Ident Verfahren, das hier detaillierter beschrieben ist.

Beispieldokumente

  • Amtliche Geschäfte: Anmeldung im Handelsregister, Umsatzsteuervoranmeldung ans Finanzamt, Jahresabschlüsse, Lageberichte, Wirtschaftsprüfberichte
  • Quittungen
  • Befristete Arbeitsverträge
  • Arbeitnehmerüberlassungsverträge (Zeitarbeit)
  • Nachvertragliche Wettbewerbsverbote
  • Befristete Mietverträge über ein Jahr Laufzeit (Immobilien)
  • Staffel- oder indexierte Miet- oder Leasingverträge (Immobilien)
  • Kündigungsschreiben bei Miet- oder Leasingverträgen (Immobilien)
  • Kapitalbildende Personenversicherungen mit Prämienrückgewähr
  • Lebensversicherung auf den Tod einer anderen Person
  • Maklervollmacht
  • Verbraucherdarlehensverträge
  • SEPA Lastschriftmandate
  • Bankkontoeröffnung
  • Freischaltung von SIM-Karten
  • Elektronische Patientenakte
  • e-Rezepte
  • e-Vergabe öffentlicher Aufträge
  • Elektronisches Abfallnachweisverfahren
  • ...

_

Das Bürgerliche Gesetzbuch unterscheidet lediglich zwischen Schriftform (§ 126 BGB), also zwangsläufig QES, und Formfreiheit. Im Falle der Formfreiheit heißt das, dass die Anwender für sich entscheiden können, ob sie lieber eine einfache oder fortgeschrittene elektronische Signatur einsetzen. Letzten Endes liegt es an den Vertragsparteien zu entscheiden, ob die Sicherheit Vorrang vor der Nutzerfreundlichkeit genießt oder umgekehrt.

Wir empfehlen bei der Abwägung in 3 Schritten vorzugehen:

  1. Analyse des regulatorischen und rechtlichen Kontexts, um die mit der Verwendung von elektronischen Signaturen verbundenen Chancen und Risiken zu kennen
  2. Analyse weiterführender Risiken und Chancen: Unternehmensimage, Auswirkungen auf die Produktivität, finanzielle Beteiligungen, usw.
  3. Wahl der adäquaten e-Signatur, wobei Nutzerfreundlichkeit und Sicherheitsbedürfnisse in Einklang gebracht werden müssen

Das Team von Yousign berät Sie gerne. Wir sind am besten unter hello@yousign.com zu erreichen.