Warum die handschriftliche Unterschrift durch die E-Signatur bedenkenlos ersetzt werden kann

Experten empfehlen Unternehmern, die elektronische Signatur anstatt einer handschriftlichen Unterschrift zu verwenden. Der Grund: Elektronische Signaturen werden in einem vollkommen transparenten Prozess erstellt und die Daten zu Unterzeichnern und Signierverlauf werden mithilfe eines kryptografischen Verfahrens sicher verschlüsselt – wie es sonst kein Stift und Papier kann. Elektronisch signierte Dokumente, etwa mittels der qualifizierten elektronischen Signatur, sind nicht nur genauso rechtsgültig wie handsignierte Papierdokumente, sondern sind aufgrund der Prozesstransparenz fälschungssicherer.

Im Expertengespräch erklären Stephan Vanberg, globaler Projektleiter für die digitale Signaturlösung FP Sign und Lutz Graf von der D-TRUST, einem Unternehmen der Bundesdruckerei und strategischer Partner von FP Sign, warum elektronische Signaturen und speziell die qualifizierte elektronische Signatur in vielen Fällen der händischen Unterschrift einen Schritt voraus sind:

S. Vanberg: Früher bedurfte es für das digitale Signieren zusätzlicher Hardware wie Kartenlesegeräte und Signaturkarten. Mit dem Inkrafttreten der eIDAS-Verordnung* und der sogenannten Fernsignatur (elektronisches Signieren ohne Einsatz von Hardware) wurde die Signaturerstellung deutlich vereinfacht, sodass man jetzt online und mobil Dokumente sicher unterschreiben kann.

Herr Graf, wie wird bei den online- bzw. cloudbasierten elektronischen Unterschriften die nötige Rechtsgültigkeit und Integrität des Dokuments gewährleistet?

L. Graf: Technisch gibt es keine Unterschiede zwischen der Signatur mittels Signaturkarte und der neuen Fernsignatur. In beiden Fällen ist die Basis ein Signaturzertifikat, das durch einen Vertrauensdienstanbieter wie die D-TRUST, einem Unternehmen der Bundesdruckerei, ausgegeben wird. Der private digitale Schlüssel, der für die Signaturerstellung verwendet wird, ist bei der Fernsignatur allerdings nicht auf der Signaturkarte gesichert, sondern beim Vertrauensdienstanbieter. Der rechtliche Rahmen von Kartensignatur und Fernsignatur ist gleich: Die eIDASVerordnung unterscheidet nicht zwischen diesen beiden Varianten. Die Integrität des Dokuments wird dadurch garantiert, dass ein Hashwert (mathematische Quersumme) aus dem Dokument gebildet und verschlüsselt wird. Nachträgliche Änderungen am Dokument können damit ausgeschlossen werden.

S. Vanberg: Wie genau läuft die Authentizitätsprüfung elektronischer Signaturen ab?
L. Graf: Die Basis für die Authentizität sind Zertifikate, für deren Ausstellung eine Identifizierung des Zertifikatsinhabers erfolgen muss. Der Unterzeichner signiert das Dokument mit seinem privaten Schlüssel, zur Prüfung verwendet der Empfänger den öffentlichen Schlüssel des Unterzeichners. Damit kann er erkennen, dass nur der Inhaber des Zertifikats signiert haben kann.

S. Vanberg: Das Unterzeichnen von Dokumenten mit Schriftformerfordernis kann jetzt also auch mithilfe der sogenannten qualifizierten elektronischen Signatur (QES) erfolgen.
Wie unterscheidet sich diese von anderen Unterschriftsformen – der einfachen und der fortgeschrittenen elektronischen Signatur?

L. Graf: Eine QES kann nur über qualifizierte Signaturzertifikate erfolgen, die von qualifizierten Vertrauensdienstanbietern wie der D-TRUST herausgegeben werden dürfen. Hier gelten besondere Anforderungen an die Identifizierung, die z. B. über Video-Ident, eine Vor-Ort-Identifizierung oder über die Online-Ausweisfunktion des Personalausweises erfolgen kann. Bei der Prüfung der Gültigkeit eines signierten Dokuments wird nun zusätzlich verifiziert, dass der Aussteller des Zertifikats, also der qualifizierte Vertrauensdienstanbieter, auf der European Trusted List geführt wird.

S. Vanberg: Wenn man ein „Ranking“ elektronischer Unterschriften angesichts ihrer Rechtsverbindlichkeit erstellen würde, wo würde welche Signaturstufe, auch im Vergleich zur handschriftlichen Unterschrift, stehen?

L. Graf: Bereits die einfache elektronische Unterschrift kann als Beweismittel in Gerichtsverfahren verwendet werden. Erst bei einer fortgeschrittenen Signatur findet eine Identitätsprüfung statt. Nur die QES hat dieselbe Rechtswirkung in vielen Geschäftsprozessen wie eine handschriftliche Unterschrift. Bei der QES gilt außerdem eine Beweislastumkehr. Der Unterzeichner muss im Zweifelsfall beweisen, dass seine Unterschrift ungültig ist.

S. Vanberg: Können wir bei der QES sogar von einer höheren Rechtsverbindlichkeit als bei der handschriftlichen Unterschrift sprechen?

L. Graf: Nein, nach eIDAS und dem deutschen Durchführungsgesetz hat die QES dieselbe Rechtswirksamkeit wie eine handschriftliche Unterschrift. Allerdings kann man sagen, dass QES weniger Fälschungsmöglichkeit bietet und daher vorzuziehen sein sollte.

S. Vanberg: In welchen Anwendungsfällen kann man die QES verwenden?

L. Graf: Die QES kann in allen Szenarien eingesetzt werden, in denen eine Schriftform ohne weitere Einschränkungen verlangt wird. Dazu gehören etwa Kontoeröffnung, Kreditvertrag, Abschluss einer Lebensversicherung zu Lasten Dritter, Mietverträge, Arbeitsverträge, Rezepte, Einwilligungs- oder Widerspruchserklärungen und Vollmachten.

S. Vanberg: Gibt es wiederum Geschäftsprozesse, die die elektronische Form ausschließen?

L. Graf: Die QES kann nicht eingesetzt werden, wenn eine notarielle Beglaubigung oder Handschriftlichkeit des Dokuments verlangt wird. Beispiele dafür sind etwa Testamente und Immobilienkäufe, aber auch Kündigungen von Arbeitsverhältnissen.
SV: Was sind, ganz einfach gesagt, die Vorteile der QES und allgemein der elektronischen Signatur gegenüber der handschriftlichen Unterschrift?

L. Graf: Im B2C-Fall stehen für den Signierenden der Komfort und Schnelligkeit im Vordergrund. Er kann jederzeit und überall, auch mobil, signieren und ist nicht abhängig von Karten oder Lesegeräten. Für Empfänger erhöht sich die Effizienz der Geschäftsprozesse, und eine nahtlose Einbindung in die Workflows des Unternehmens ist ohne Medienbruch möglich – also: Schluss mit der leidigen und teuren Papierarbeit.

S. Vanberg: Und wie sieht es mit der Datensicherheit qualifizierter elektronischer Signaturen aus? Welche technischen Schutzmaßnahmen werden eingeleitet, um die Authentizität der QES sicherzustellen?

L. Graf: Neben der strengen Zertifizierung der qualifizierten Vertrauensdienstanbieter und der besonders sorgfältigen Identifizierung der Nutzer verlangt eIDAS bei qualifizierten Signaturzertifikaten den Einsatz einer sicheren qualifizierten Erzeugungshardware (QSCD) für die Schlüssel. Das können Signaturkarten oder im Fall der Fernsignatur auch ein HSM (Hardware Security Module) sein. Die Sicherheit der Anwendung wird bei QES immer über eine sogenannte Zwei-FaktorAuthentifizierung sichergestellt. Beim Einsatz von Signaturkarten ist das der Besitz der Karte und das Wissen der PIN. Bei der Fernsignatur sind es die Login-Daten und eine TAN, die bei jeder qualifizierten Signatur verwendet werden muss. An weiteren benutzerfreundlichen Lösungen für eine Zwei-Faktor-Authentifizierung arbeiten wir.

S. Vanberg: Welche Abläufe des digitalen Signierens werden oft irrtümlich für sicher gehalten? Wenn man beispielsweise auf dem Tablet des Postboten eine Empfangsbestätigung oder in einem Geschäft eine Datenschutzerklärung unterschreibt, handelt es sich dabei zwangsläufig um eine rechtsgültige elektronische Signatur?

L. Graf: Tatsächlich gibt es hier oft Missverständnisse – in den beschriebenen Beispielen fehlt die sichere Identifizierung des Unterzeichners.

S. Vanberg: Für viele Unternehmer klingt es noch immer unglaublich, dass eine in Hinsicht auf die Sicherheit hochkomplexe Lösung wie die elektronische Unterschrift in der Nutzung eigentlich gar nicht aufwendig ist.
Welche Schritte muss man unternehmen, um elektronisch rechtssicher unterschreiben zu können?

L. Graf: Im einfachsten Fall genügt die Registrierung bei einer Fernsignaturlösung wie sign-me von der D-TRUST. Nach der anschließenden Identifizierung via VideoIdent oder mit der Online-Ausweisfunktion können nun eigene Dokumente signiert werden. Dazu lädt man eine PDF-Datei im Portal hoch und kann unmittelbar danach das signierte Dokument herunterladen und an seine Geschäftspartner verteilen. Die Lösung FP Sign unseres Partners Francotyp-Postalia nutzt sign-me für die sichere cloudbasierte und qualifizierte Dokumentensignatur und bietet zusätzlich eine komplette Prozesskontrolle.
Dadurch wird das qualifizierte elektronische Signieren branchenübergreifend und über alle Unternehmensgrößen hinweg möglich. Für größere Unternehmen ist sowohl eine Einbindung über die API in bestehende Workflow-Systeme als auch die Möglichkeit einer eigenen Whitelabel-Lösung möglich. Die digitale Signaturlösung lässt sich somit schnell und unkompliziert in die eigenen Unternehmensprozesse integrieren.

Quelle: www.fp-sign.com

* EU-Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt