Dokumente online unterschreiben

Wie erkenne ich eine qualifizierte elektronische Signatur?

Illustration SEA
Dominik Drechsler

Dominik Drechsler

Country Manager Germany @Yousign

Illustration: Léa Coiffey

Mit der zunehmenden Digitalisierung der (Arbeits-)Welt und damit ihrer Prozesse und Dokumente entstehen gleichzeitig unterschiedliche Ansprüche an die Schriftstücke selbst bzw. den Sicherheitsstandard, wenn diese per elektronischer Signatur unterzeichnet werden. Die elektronischen Signaturen sind in drei Niveaus unterteilt, die unterschiedlichen Sicherheitsstandards aufweisen, aber dementsprechend auch unterschiedliche Anwendungsgebiete betreffen. Die einfache, fortgeschrittene und qualifizierte Unterschrift sind sichere Mittel, um Dokumente von überall aus zu unterschreiben, ohne dafür direkt persönlich vor Ort sein zu müssen.

Sind alle elektronischen Signaturen sicher?

Deutsche sind sehr vorsichtig – besonders wenn es um ihre Daten oder das Unterzeichnen von wichtigen Dokumenten geht. Am liebsten würden sie vermutlich alles per qualifizierter elektronischer Signatur unterschreiben, obwohl dies mit viel Aufwand verbunden und oftmals gar nicht notwendig ist: Alle elektronischen Unterschriften unterliegen der eIDAS-Verordnung, die festlegt, welche Angaben zu erfüllen sind, damit die elektronische Signatur eine rechtliche Beweiskraft hat. Deshalb sind für die meisten Dokumente die einfache oder fortgeschrittene elektronische Signatur vollkommen ausreichend.

Die qualifizierte elektronische Signatur, oder auch QES, ist die Form der elektronischen Signatur mit den höchsten Sicherheitsstandards. Gleichzeitig ist sie die einzige, die vor dem Gesetz einer handschriftlichen Unterschrift gleichgestellt wird und das deutsche Schriftformerfordernis laut § 126 BGB erfüllt. Doch da die qualifizierte elektronische Signatur ein solcher Spezialfall ist und besondere Anforderungen an die Identifizierung des Unterzeichnenden stellt, wird sie nur in ausgewählten Fällen genutzt.

Was unterscheidet eine qualifizierte elektronische Unterschrift visuell von den anderen Arten?

Auf den ersten Blick ist es schwierig, eine qualifizierte elektronische Signatur zu erkennen und von einer eingescannten oder abfotografierten Signatur oder aber auch von anderen Formen der elektronischen Unterschrift zu unterscheiden. Die visuelle Signatur auf einem Dokument verrät erstmal nichts darüber, um was für eine Art Unterschrift es sich handelt. Sie hat ohnehin nur einen rein symbolischen Wert und müsste im Grunde genommen gar nicht angezeigt werden.

Im Gegensatz zu einer eingescannten oder abfotografierten Unterschrift, wird für jede elektronische Signatur ein Zertifikat ausgestellt: E-Signaturen verknüpfen ein Dokument (PDF) mit dem Unterzeichnenden und garantieren die Unveränderbarkeit des Dokuments ab dem Zeitstempel der e-Signatur. Während aber für einfache und fortgeschrittene Signaturen das Zertifikat im Namen des e-Signatur-Anbieters läuft, wie beispielsweise Yousign, und der Anbieter dieses Zertifikat den Kunden und Kundinnen nur "ausleiht", sodass diese es einsetzen können, wird bei qualifizierten Signaturen für jeden Unterzeichnenden ein eigenes Zertifikat angelegt.

Wie überprüfe ich, ob eine e-Signatur ein Zertifikat enthält?

Es gibt zwei Möglichkeiten, um zu überprüfen, über wessen Namen das Zertifikat läuft und um eine qualifizierte elektronische Unterschrift zu erkennen. Am einfachsten ist es im Adobe Acrobat Reader, oder egal welchem anderen  PDF Reader (gängige Browser enthalten heutzutage auch eine Vorschau auf PDFS, dies sind aber nur PDF Viewer, für die das nachfolgend beschriebene Verfahren nicht funktioniert), auf die e-Signatur zu klicken und ihre Eigenschaften aufzurufen.

  • Digitale Signatur erkennen mit Adobe Acrobat Reader

Dort sollte einerseits drin stehen, dass die Unterschrift gültig ist, andererseits sollte dort zu lesen sein, von wem das Dokument unterschrieben wurde: Bei einer einfachen Unterschrift würde der e-Signatur-Anbieter als Unterzeichner aufgeführt werden – weiter unten in den Eigenschaften sollte trotzdem zu erkennen sein, wem das Zertifikat “geliehen” wurde. Bei der qualifizierten elektronischen Unterschrift würde ausschließlich der Name des/der Unterzeichnenden oben genannt werden.

Die andere Möglichkeit ist die Überprüfung mithilfe der European Trusted List (EUTL), auf der alle e-Signatur-Anbieter verzeichnet sind. Dort sind alle Vertrauensdiensteanbieter elektronischer Unterschriften, elektronischer Serversiegel und elektronischer Zeitstempel gelistet, die für den jeweiligen Service ein Zertifikat erhalten haben. Dieses Zertifikat wiederum erlaubt, die Dienste im ganzen europäischen Binnenmarkt rechtskräftig zu vertreiben. Da die Europäische Kommission (EK) diese Liste pflegt, auf der Anbieter wie Yousign selbstverständlich daraufstehen, bietet die EK auch ein Tool an, um jedes Dokument in PDF-Form auf die Gültigkeit einer e-Signatur zu überprüfen. Man muss lediglich das zu überprüfende PDF hochladen und schon spuckt die Seite eine Antwort aus, ob die (qualifizierte) elektronische Unterschrift rechtsgültig ist, von wem das Dokument unterschrieben ist und wann diese Signatur geleistet wurde.

Eine qualifizierte elektronische Signatur zu erkennen, ist einfacher als sie zu erstellen

Alle drei Arten von elektronischen Unterschriften sind rechtsgültig und für verschiedene Zwecke sinnvoll. Einfache und fortgeschrittene e-Signaturen sind im Vergleich zur qualifizierten elektronischen Unterschrift schnell und einfach zu generieren, bieten aber nicht dasselbe Sicherheitsniveau. QES hingegen stellen höhere Anforderungen an die Identifizierung der Unterzeichnenden, weshalb sie prozesstechnisch aufwändiger und teurer sind und mehr Zeit in Anspruch nehmen. Das Erkennen der drei Formen von elektronischen Unterschriften ist aber gleichermaßen einfach: Es genügen wenige Klicks, um eine einfache, fortgeschrittene oder qualifizierte elektronische Unterschrift zu erkennen und sie voneinander zu unterscheiden.