Fortgeschrittene und qualifizierte elektronische Signatur

Elektronische Signaturen sind der elektronische Ersatz handschriftlicher Unterschriften. Für unterschiedliche Sicherheitsanforderungen existieren drei Signatur-Niveaus: Qualifizierte elektronische Signatur, fortgeschrittene elektronische Signatur und einfache elektronische Signatur. Wir erklären hier die Unterschiede.

Beispiel einer Fernsignaturlösung: sign-me von D-Trust (Bild: D-Trust)

Beispiel einer Fernsignaturlösung: sign-me von D-Trust (Bild: D-Trust)

Drei Signatur-Niveaus für verschiedene Fälle

Eine elektronische Signatur eliminiert den sonst üblichen Medienbruch bei der händischen Unterzeichnung eines Vertrages. Dieser entsteht durch das Ausdrucken, Unterzeichnen und das anschließende Einscannen. Nicht zuletzt hat die Corona-Pandemie und das damit verbundene Arbeiten im Home-Office die Nutzung elektronischer Signaturlösungen deutlich erhöht. Für unterschiedliche Sicherheitsanforderungen existieren drei Signatur-Niveaus: Qualifizierte elektronische Signatur, fortgeschrittene elektronische Signatur und einfache elektronische Signatur.

Den gesetzlichen Rahmen für elektronische Signaturen gibt die EU-Verordnung über elektronische Identifizierung und Vertrauensdienste (eIDAS) von 2014 vor, die seit 1. Juli 2016 anzuwenden ist. eIDAS definiert die Vorgaben für die Regelungen elektronischer Signaturen, die durch die Mitgliedstaaten und die anderen Staaten des Europäischen Wirtschaftsraumes in nationalen Gesetzen umgesetzt wurden. In Deutschland ist dies durch das Vertrauensdienstegesetz (VDG) und in Österreich durch das Signaturgesetz geschehen.

Einfache elektronische Signatur

Bei der einfachen elektronischen Signatur sind Daten in elektronischer Form anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden. Dies ist der Fall, wenn Namen der unterzeichnenden Person am Ende eines elektronischen Dokuments oder E-Mail-Signaturen am Ende von E-Mails stehen. Auch eine einfache elektronische Signatur ist in der Regel rechtlich verbindlich.

Fortgeschrittene elektronische Signatur

Einen höheren Beweiswert als die einfache elektronische Signatur besitzt die fortgeschrittene elektronische Signatur. Sie ermöglicht, Authentizität und Unverfälschtheit der durch sie signierten Daten zu prüfen. Eine fortgeschrittene elektronische Signatur ist eindeutig der unterzeichnenden Person zugeordnet und lässt deren Identifizierung zu. Sie wird unter Verwendung elektronischer Signaturerstellungsdaten erzeugt, die Unterzeichnende mit einem hohen Maß an Vertrauen unter ihrer alleinigen Kontrolle verwenden können. Außerdem ist sie so mit den auf diese Weise unterzeichneten Daten verbunden, dass eine nachträgliche Veränderung der Daten erkannt werden kann.

Die fortgeschrittene elektronische Signatur wird mit einem einmaligen Signaturschlüssel erstellt.  In der Praxis stützt sich die fortgeschrittene elektronische Signatur häufig auf die Verwendung eines standardisierten Signaturformats (PAdES für PDF-Dateien). Außerdem gibt es ein formalisiertes Verfahren zur Überprüfung der Identität der Unterzeichnenden und Gewährleistung einer starken Authentifizierung der Unterzeichnenden. Sie wird mit einer Datei kombiniert, die den Nachweis aller oben genannten Punkte erlaubt.

Viele Dokumente und Vertragsarten lassen sich mit der fortgeschrittenen elektronischen Signatur unterschreiben wie verbindliche Bestellungen, Lieferscheine und Kaufverträge von Waren und Dienstleistungen.

Qualifizierte elektronische Signatur (QES)

Die qualifizierte elektronische Signatur ist eine fortgeschrittene elektronische Signatur, die eine qualifizierte elektronische Signaturerstellungseinheit mit entsprechendem Zertifikat erstellt hat. Mit wenigen Ausnahmen wie notariellen Kaufverträgen besitzt die qualifizierte elektronische Signatur die gleiche Rechtswirkung wie eine handschriftliche Unterschrift. Ein qualifiziert elektronisch signiertes Dokument erfüllt somit die gesetzlich vorgeschriebene Schriftform.

Erzeugen lässt sich eine qualifizierte elektronische Signatur auf Basis einer Signaturkarte mit gespeichertem Zertifikat oder per Fernsignatur. Da für die Signaturkarte auch ein Chipkartenleser und eine entsprechende Software notwendig sind, setzt sich die Fernsignatur, die keine weiteren Hilfsmittel benötigt, immer stärker durch. Bei der Fernsignatur befindet sich die qualifizierte Signaturerstellungseinheit bei qualifizierten Vertrauensdiensteanbietern, zu denen in Deutschland beispielsweise die Deutsche Telekom, die Deutsche Post, D-Trust und medisign zählen.

Welche E-Signatur vor welchem rechtlichen Hintergrund?

  • Die einfache elektronische Signatur eignet sich für Einsatzfälle, die Transaktionen mit einem geringen rechtlichen Risiko abbilden – beispielsweise bei Anordnungen oder Reisekostenabrechnungen.
  • Die fortgeschrittene elektronische Signatur ist dem Unterzeichner eindeutig zugeordnet und für Transaktionen mit einem mittleren rechtlichen Risiko geeignet – beispielsweise für Angebote oder Verträge.
  • Die qualifizierte elektronische Signatur entspricht einer persönlichen Unterschrift und bietet die höchste Beweiskraft. Sie ist für Transaktionen geeignet, bei denen eine eigenhändige Unterschrift nötig ist – beispielsweise bei Verbraucherkrediten oder bei der Zeitarbeit.

QES durch Fernsignatur

In der Praxis erfolgt das Auslösen der Fernsignatur mittels Zwei-Faktor-Authentifizierung beim Vertrauensdiensteanbieter etwa durch die Eingabe von Benutzername und Passwort sowie eines zugestellten Zahlencodes. Zuvor muss die Identität des Unterzeichners einmal durch den Vertrauensdiensteanbieter beispielsweise über ein Video-Ident-Verfahren festgestellt worden sein. Mittels KI-Unterstützung gibt es inzwischen auch eIDAS-konforme Identitätsprüfungen, die ohne Anwesenheit einer autorisierten Person oder Videokonferenz ablaufen. Hierzu müssen Nutzende das Ausweisdokument fotografieren und ein Selfie-Video mit bestimmten Bewegungen aufnehmen. Foto und Video werden an einen zertifizierten Prüfer geschickt, der es asynchron prüft und genehmigt, was normalerweise in weniger als 15 Minuten erfolgen soll. Per Identity Wallet lassen sich die Identifikationsdaten abspeichern, so dass auch bei anderen Vertragspartnern, die das gleiche QES-Verfahren eines Herstellers verwenden, keine erneute Identifizierung erforderlich ist.

Die Einsatzgebiete der QES und damit der Fernsignatur erstrecken sich auf die unterschiedlichsten Branchen und Bereiche. So können Unternehmen mit der Fernsignatur das komplette Vertragsmanagement in elektronischen Geschäftsprozessen abwickeln und befristete Arbeitsverträge abschließen. Überall dort, wo bei Banken und Versicherungen die Schriftform erforderlich ist, lässt sich die Fernsignatur einsetzen – zum Beispiel bei der Kreditvergabe und der Kontoeröffnung. Versicherungen ermöglicht die Fernsignatur komplett digitalisierte Antrags- und Entscheidungsprozesse – auch bei Anträgen, die Gesundheitsfragen beinhalten. Wichtige behördliche Einsatzbereiche der Fernsignatur sind öffentliche Ausschreibungen über elektronische Vergabe-Plattformen, zudem Förderanträge oder Baugenehmigungen. In Krankenhäusern lassen sich zusätzliche Unterlagen direkt in die elektronische Patientenakte aufnehmen, etwa OP-Einwilligungserklärungen, Aufklärungsbögen und Wahlleistungsvereinbarungen.

Weiterführende Links

About the Author: Annette Stadler

Annette Stadler ist IT-Journalistin und leitet das Online-Portal ECMGUIDE.