Wie funktioniert eine digitale Signatur?

elDAS, Zertifikat, Zeitstempel, Authentizität, Signaturersteller… im Universum der digitalen Signatur gibt es Begriffe und Funktionen, die, auch wenn sie uns „Expert:innen“ selbstverständlich erscheinen mögen (was vollkommen logisch ist!), für Neulinge in diesem Bereich weit weniger verständlich sind.

Dieser informative Blogartikel ist für alle diejenigen bestimmt, die an den Vorteilen der Online-Signatur interessiert sind, die jedoch immer wieder vor derselben Frage stehen: „Wie funktioniert die elektronische Signatur?“

Hinter dieser grundsätzlichen Frage verbirgt sich in der Tat eine Verwendungsweise, die viele von uns bereits kennen, die aber für Verwirrung sorgen kann. 

Nein, wenn Sie Ihre handschriftliche Unterschrift einscannen oder auf einem Mobilgerät mit einem unleserlichen Gekritzel unterschreiben, ist dies keine elektronische Signatur. Warum das so ist, wird klar, wenn man eingescannte Unterschriften zu Ende denkt: Würde ein Vertrag mit meiner eingescannten Signatur in die Welt geschickt werden und das Aussehen dieser wäre maßgeblich für die Rechtskräftigkeit, dann könnte theoretisch ab diesem Moment jede Person, die diesen Vertrag erhält, die Unterschrift fälschen, indem sie sie kopiert und woanders einfügt.

Die elektronische Signatur ist ein technisches und rechtliches Verfahren, mit dem man seine Einwilligung und Genehmigung zu digitalen Dokumenten erklären kann. Sie besteht weder in einem Bild noch in einer Zeichnung. Es ist ein Instrument, das die Bedingungen und Standards, die von den europäischen und jeweiligen nationalen Behörden der EU vorgegeben wurden, einhalten muss.

Lesen Sie unseren Artikel: Nein, eine gescannte Unterschrift hat keine Rechtsgültigkeit.

Die Online-Signatur hat nichts mit einer handschriftlichen Unterschrift zu tun. Das ist übrigens auch der Grund, wieso das Aussehen von digitalen Signaturen vollkommen unerheblich ist. Hinter der Anzeige Ihres Namens und Vornamens verbirgt sich nämlich eine Reihe von Zahlen, die einer Datei und einer bestimmten Person zugeordnet sind. Kurz: ein kryptografisches Verfahren der Verschlüsselung von Daten.

Elektronische Signaturen sind ein Oberbegriff für verschiedene Arten elektronischer Unterschriften. Darunter zählt auch die “digitale Signatur”. 

Elektronische und digitale Signaturen sind beides Verfahren, um Dokumente und Verträge online zu unterschreiben. Allerdings unterscheiden Sie sich z.B. in Bezug auf die jeweiligen Einsatzgebiete und Verwendungszwecke, die technische Infrastruktur sowie die rechtlichen Anforderungen.

Yousign verwendet die Begriffe “Elektronische Signatur” und “Digitale Signatur” der Einfachheit halber synonym. 

Die elektronische Signatur bietet eine Reihe von Vorteilen:

• Zeitersparnis: Die Unterzeichnung eines offiziellen Vertrags (Arbeitsvertrag, Bestellschein, Leasingvertrag, Mietvertrag elektronisch unterzeichnen usw.) ist ein Prozess, bei dem zwei Parteien unterzeichnen müssen. In der Regel müssen Unterzeichner:innen sich also an einen bestimmten Ort begeben, um den Vertrag zu unterzeichnen. Wenn ein persönliches Treffen nicht möglich ist, müssen die Verträge per Post verschickt werden. Der:die Empfänger:in muss sie dann per Post an den:die Aussteller:in zurückschicken. Wie Sie sich vorstellen können, ist dieses Hin und Her zeitraubend. Mit der elektronischen Signatur können Sie Ihre Dokumente einfach über eine Plattform für e-Signaturen versenden, und das war's!

• Kostenersparnis: Sie müssen keine Verträge mehr in x-facher Ausführung ausdrucken. Mit der elektronischen Signatur sparen Sie Platz sowie Druck- und Papierkosten.

• Sicherheit und Regelkonformität: Die elektronische Signatur ist technisches Verfahren, das insbesondere durch die europäische Verordnung eIDAS reglementiert wird. Jeder Dienstleister wird in Deutschland von Aufsichtsbehörden geprüft - Die von der Europäischen Kommission festgelegten Regeln müssen strengstens eingehalten werden.

Die eIDAS-Verordnung definiert drei verschiedene Signaturniveaus:

• Die Einfache Elektronische Signatur (EES): Dies ist die niedrigste Signaturstufe, die jedoch den Bedürfnissen der überwiegenden Mehrheit entspricht. Sie ermöglicht es, Dokumente mit wenigen Klicks zu unterschreiben und eine Authentifizierung mit SMS-Code, der an den:die Unterzeichner:in gesendet wird, zu nutzen.

• Die Fortgeschrittene Elektronische Signatur (FES): Die FES ist die mittlere Sicherheitsstufe mit höheren Anforderungen an die Verifizierung der Identität von Unterzeichner:innen.

• Die Qualifizierte Elektronische Signatur (QES): Diese Signaturebene verfügt über das Höchstmaß an Sicherheit und die intensivste Identitätsprüfung von Unterzeichner:innen.

Die eIDAS-Verordnung (electronic IDentification, Authentication and Trust Services) regelt die Vorschriften für elektronische Identifizierung, Vertrauensdienste und elektronische Dokumente. Es handelt sich dabei um die europäische Verordnung Nr. 910/2014 des Europäischen Parlaments und des Europäischen Rates vom 23. Juli 2014. Der Zweck ihrer Einführung besteht ganz einfach darin, einen rechtlichen europäischen Rahmen und EU-Standards zu schaffen, um die Entwicklung des Marktes für digitale Vertrauensdienste zu fördern.

Es ist ziemlich einfach, befolgen Sie einfach die Schritte in diesem Video!

Sobald Ihre Dokumente von allen Beteiligten unterzeichnet sind, wird eine sogenannte  "Nachweisdatei" erstellt, die alle wichtigen Informationen über den Unterzeichnungsprozess enthält.

Mit Yousign wird diese Beweisakte automatisch 10 Jahre lang bei unserem vertrauenswürdigen Partner Arkhineo archiviert und ist direkt über Yousigns Web-App bzw. API zugänglich.

Arkhineo ist ein eIDAS-konformer Computersicherheitsdienst, dessen IT-Infrastruktur für Archivierung den höchsten Sicherheitsstandards entspricht. Für den Erhalt und die sichere Aufbewahrung Ihrer Dokumente ist also gesorgt.

Es ist wichtig, zwischen der Speicherung von Dokumenten und der Archivierung der Nachweisdateien zu unterscheiden:

• Die Speicherung von Dokumenten bedeutet, dass Yousign Ihre Dokumente auf sicheren Servern speichert. Sie können jederzeit über Ihre Web-App oder API für elektronische Signaturen auf Ihre Dokumente zugreifen.

• Die Archivierung der Nachweisdateien ist ein systematischer Prozess. Jedes Mal, wenn ein Signaturverfahren abgeschlossen ist, wird automatisch eine “Beweisakte” erstellt und bei unserem Partner archiviert. Diese Nachweisdatei belegt den ordnungsgemäßen Ablauf des Signaturverfahrens und kann im Falle eines Rechtsstreits von Nutzen sein.

Lassen Sie uns einen kleinen Exkurs in die Praxis machen und die Dokumente, die Sie rechtlich gesehen mit einer digitalen Signatur unterschreiben können, genauer beleuchten. So können Sie Ihre eigenen Bedürfnisse anschließend besser definieren. 

Die Aufzählung kann natürlich nicht vollständig sein, da sie um viele Aspekte erweitert werden kann.

Die elektronische Signatur kann in verschiedenen Bereichen hilfreich sein:

• Personalwesen
• Immobilien
• Versicherungen
• Handel
• Banken
• Recht

Sie werden alle Verträge signieren können, die in Ihren Tätigkeitsbereich fallen, sofern sie bereits unter Einhaltung der Sicherheitsregeln digitalisiert sind.

Natürlich können wir bei dieser Thematik nicht 100 % objektiv sein … ;) Wir finden, dass die ideale e-Sign-Lösung folgende Kriterien erfüllen muss:

• Universelle Einsetzbarkeit: Sie sollten in der Lage sein, Ihre Dokumente überall und auf jedem Gerät (Desktop, Tablet, Mobiltelefon) zu jeder Zeit zu unterzeichnen.

• Schnelligkeit: Das Senden, Empfangen und Unterzeichnen von Verträgen sollte schnell, reibungslos und ohne Verzögerungen ablaufen.

• Sicherheit: Die von Ihnen gewählte Plattform für elektronische Signaturen sollte die europäischen eIDAS-Vorschriften sowie die Regeln der deutschen Gesetzgebung einhalten.
  
• Einfachheit: Der Unterzeichnungsprozess eines Dokuments über ein Tool für elektronische Signaturen sollte einfach, verständlich und intuitiv sein!

Wie der Name schon sagt, können Sie mit der elektronischen Signatur Dokumente unterzeichnen. Über diese einfache Tatsache hinaus erlaubt sie es, die Identität der unterzeichnenden Personen und die Integrität des Dokuments zu garantieren.

Mit der europäischen eIDAS-Verordnung (Ratifizierung am 23. Juli 2014) und dem deutschen Vertrauensdienstegesetz wurde der rechtliche Rahmen für die Verwendung der digitalen Signatur gesteckt. Die europäische Gesetzgebung ist weltweit eine der strengsten, wenn nicht sogar die strengste. Softwareanbieter müssen ein sehr präzises Zertifizierungsverfahren durchlaufen und sind verpflichtet, die von dieser Verordnung vorgegebenen Regeln einzuhalten. 

Ein vertrauenswürdiger Dienstleister wie Yousign muss sich beispielsweise einer Prüfung durch die mit den Kontrollen beauftragen Expert:innen unterziehen, um eine Zertifizierung zu erhalten. 

Diese Expert:innen arbeiten in unabhängigen privaten Instituten, die von der Europäischen Kommission dazu autorisiert wurden. Ihre Berichte werden im Falle Deutschlands von der Bundesnetzagentur analysiert. Wer mehr dazu erfahren möchte, kann diesen Blog Artikel über das Signaturgesetz aufrufen.

Nach diesen grundsätzlichen Erklärungen kommen wir nun zum Hauptthema dieses Artikels. Bevor wir Ihnen den konkreten Ablauf der Erstellung einer Unterschriftenanfrage schildern, werfen wir zunächst einen Blick hinter die Kulissen und erklären Ihnen den technischen Prozess.

Wie bereits zu Beginn des Artikels erwähnt, basieren elektronische Signaturen auf einem Verfahren der kryptografischen Verschlüsselung von Daten (auf Englisch: Public Key Infrastructure). Was damit gemeint ist? Die unterzeichnende Person erhält einen privaten Schlüssel, wenn sie das Dokument unterzeichnet. Möchte jemand das Dokument nach dem Signieren anschauen, benötigt er oder sie dafür einen öffentlichen Schlüssel. Gelingt es der Person, das Dokument mit dem öffentlichen Signaturschlüssel zu öffnen, ist es die Bestätigung dafür, dass die Datei seit der Unterzeichnung nicht verändert wurde.

Nun kommen wir zum etwas einfacheren Teil. ;) Wenn Sie eine:n Unterzeichner:in bitten, ein Dokument elektronisch zu unterschreiben, wird diese:r eine E-Mail erhalten, über die er:sie direkt zu dem Dokument geleitet wird, das er:sie unterzeichnen muss.

Nachdem die unterzeichnende Person sich dieses Dokument durchgelesen hat, signiert sie das Dokument, indem sie zunächst über einen SMS-Code, der an ihre Mobilfunknummer geschickt wird, ihre Identität bestätigt. Es gibt auch andere Authentifizierungsmethoden, falls Sie die Handynummer nicht kennen.

Nach Abschluss dieses Vorgangs erhält die Person dann eine E-Mail, in der bestätigt wird, dass das Dokument signiert wurde. Die signierten Dokumente stehen dann sowohl in der E-Mail als auch im Kundenkonto in PDF-Form zum Download zur Verfügung.

Um ein gesteigertes Niveau an Sicherheit zu erzielen, kann der:die Unterzeichner:in zusätzlich zur Eingabe des Einmalpassworts via SMS dazu aufgefordert werden, noch eine Kopie seines bzw. ihres Ausweisdokuments hochzuladen oder abzufotografieren. In diesem Fall würde die Person dann eine Fortgeschrittene Elektronische Signatur (FES) erstellen.

Der Lichtbildausweis (Personalausweis, Reisepass oder Aufenthaltsgenehmigung - Führerscheine sind keine amtlichen Ausweisdokumente und werden dementsprechend nicht akzeptiert) wird dann automatisch auf Kohärenz überprüft:

• die Kohärenz des MRZ-Streifens
• die Kohärenz der visuellen Sicherheitselemente insgesamt
• das Gültigkeitsdatum des Personalausweises

Nach Abschluss der automatischen Überprüfung und Genehmigung des Identitätsdokuments kann der:die Signaturersteller:in die Dokumente signieren.

Wie bereits erwähnt, wird bei der digitalen Unterzeichnung eines Dokuments eine Prüfdatei mit Nachweisen (Englisch: Audit Trail) erstellt. Dieses Dokument enthält alle Informationen, die zum ordnungsgemäßen Verlauf des Signaturvorgangs beigetragen haben. Es kann je nach Art der Authentifizierung mehrere Informationen enthalten, unter anderem:

• Name des Verfahrens
• ID des Verfahrens
• Hash-Wert
• Datum der Erstellung
• Versanddatum
• Besondere Informationen zur unterzeichnenden Person (Name, Vorname, E-Mail-Adresse, IP-Adresse) 
• Informationen zur Authentifizierung des Unterzeichners bzw. der Unterzeichnerin: Authentifizierungsart, Uhrzeit der Bestätigung usw.
• Zeitstempel

Dieser Nachweisordner enthält eine Vielzahl von Informationen, die im Falle einer juristischen Streitsache sehr wertvoll sind, um die Signatur technisch nachvollziehen zu können. Bei Yousign bleibt dieser Audit Trail 10 Jahre lang archiviert, da wir ein Vertrauensdiensteanbieter gemäß elDAS sind. Sie sind zudem direkt in Ihrem e-Signatur-Dashboard zugänglich.

So funktioniert also die elektronische Signatur. Der technische Ablauf dahinter wurde für die Zwecke dieses Artikels natürlich sehr vereinfacht dargestellt. Allerdings ist es wichtig, zu verstehen, dass die elektronische Signatur die einzige Option ist, die den praktischen Aspekt mit den Sicherheitsanforderungen vereint, um Ihre Dokumente rechtssicher digital zu unterschreiben.

Arbeitsverträge, Mietverträge, Rahmenverträge, SEPA-Mandate, Kostenvoranschläge, usw. - alle diese Dokumente sind vereinbar mit der elektronischen Signatur. Eine Software für digitales Unterschreiben gibt Unternehmen die Möglichkeit, die Kommunikation innerhalb der Firma und mit Kund:innen zu verbessern, umweltfreundlich zu agieren sowie Zeit und Kosten zu sparen, die mit der Verwendung von Papier verbunden sind.

Und nun zum Abschluss noch eine weitere gute Nachricht: Die Web-App und API von Yousign können Sie 14 Tage lang kostenlos testen.👇🏼