Die elektronische Signatur kompakt
Teil 1: Basiswissen E-Signatur: Was ist die Elektronische Signatur und wie funktioniert sie?
„Ist es legal, ein Dokument elektronisch zu signieren?“, ist eine der Fragen, die man häufig hört, wenn es um elektronische Signaturtechnologien geht. Nur Vorab: Ja, Elektronische Signaturen sind legal und rechtskräftig. Und obwohl elektronische Signaturen schon in allen Branchen angekommen sind, werden solche grundsätzlichen Fragen immer noch gestellt. Wir von Docusign wollen unser Expertenwissen daher in diesem Beitrag anwenden, um grundsätzlich zu klären, wie die E-Signatur funktioniert, wofür man sie einsetzt und warum diese Technologie Abstimmungsprozesse effizienter macht.
Für welche Dokumente kann ich die Elektronische Signatur benutzen?
Elektronische Signaturen ermöglichen es, digitale Dokumente rechtsgültig zu unterschreiben und ersetzen die eigenhändige Signatur auf Papier. Elektronische Signaturen sind in den meisten Geschäften und in persönlichen Transaktionen in fast allen Ländern der Welt rechtlich bindend.
Die Elektronische Signatur kann beispielsweise für folgende Dokumente und Verträge genutzt werden:
- Briefe
- Kaufverträge
- Finanzdokumente
- Genehmigungen
- Miet- oder Leasingverträge
- Haftungs- oder Verzichtserklärungen
- uvm.
Warum elektronisch unterschreiben? Die Vorteile der E-Signatur
Bisher werden die meisten Verträge noch analog unterschrieben, den Prozess dazu kennt jeder: Das Dokument wird ausgedruckt, ausgefüllt und dann manuell unterschrieben. Nach der Unterschrift wird es eingescannt und entweder per Mail oder als Original und per Post an den Adressaten gesandt, der die Echtheit und Richtigkeit der Angaben prüft. Nach der Prüfung wird das Dokument abgelegt und in einem Ordner für den weiteren Gebrauch gelagert.
Die Elektronische Signatur entfernt die Zwischenschritte und verkürzt den Weg bis zur Unterschrift: Der Unterzeichner erhält den Vertrag per Mail und signiert ihn elektronisch per Klick – das ist auch mobil vom Handy oder Tablet aus möglich. Nach der Signatur geht der Vertrag automatisch an den Empfänger. Das System prüft die Richtigkeit der Signatur, und speichert es per Mausklick in der Cloud. Von dort kann es zu jeder Zeit abgerufen werden.
Der Vorteil der elektronischen Signatur gegenüber der analogen liegt auf der Hand: Es wird nicht nur viel Hin und Her vermieden – und somit auch Fehlerquellen vermieden, sondern auch Papier- und Platzressourcen geschont. Aktenstapel ade!
Unterschrift ist nicht gleich Unterschrift: Welcher Vertrag braucht welche E-Signatur?
Bei einigen Verträgen reicht eine einfach E-Mail, oft muss es jedoch etwas mehr sein – besonders, wenn sensible Daten involviert sind. Das gilt etwa, wenn man ein Bankkonto online eröffnet oder einen Arbeitsvertrag per Mausklick unterschreibt. Generell gilt: Je sensibler die Daten und je weitreichender die Konsequenzen einer Unterschrift, desto sicherer muss die E-Signatur sein. Hinsichtlich der gestellten Anforderungen und dem Sicherheitslevel lassen sich drei Arten elektronischer Signaturen unterscheiden:
- Die einfache oder allgemeine Elektronische Signatur: Hierbei reicht es, den Urheber des Dokuments erkenntlich zu machen. Eine Signatur-Software ist nicht notwendig. Beispiele sind eine gewöhnliche E-Mail „Unterschrift“ oder Scans von analog unterschriebenen Dokumenten.
- Die fortgeschrittene Elektronische Signatur: Für diese Form der E-Signatur ist ein einmaliger, geheimer Schlüssel notwendig. Der Urheber muss identifizierbar sein. Entweder über den ihm zugewiesenen Prüfschlüssel oder gegebenenfalls mittels während der Signaturerstellung erfasster biometrischer Unterschriften. Für die fortgeschrittene Signatur ist jedoch kein Zertifikat notwendig. Daher können neben kryptografischen Schlüsseln auch auf dem Computer gespeicherte Signaturschlüssel und PGP (Pretty Good Privacy, ein Verschlüsselungsprogramm) eingesetzt werden.
- Die qualifizierte Elektronische Signatur: Laut der elDAS-Verordnung wird eine qualifizierte Elektronische Signatur als ebenso rechtsgültig angesehen, wie eine handschriftliche Unterschrift, kann diese also bei wichtigen Dokumenten ersetzen und ist auch vor Gericht rechtsgültig. Aus diesem Grund ist aber auch ein erhöhter Sicherheitsaufwand notwendig, um die qualifizierte Elektronische Signatur zu erstellen. Sie erfüllt nicht nur alle Anforderungen an eine fortgeschrittene Signatur, die Identität des Urhebers muss zudem durch ein qualifiziertes Zertifikat ausgewiesen sein. Ein Trust Center überprüft hierfür die Identität des Unterzeichners einmalig. Das Zertifikat muss zusätzlich von einer sicheren Signaturerstellungseinheit (SSEE) erzeugt werden.
Elektronische vs. digitale Signaturen und wie sie zusammenhängen
Sowohl die Elektronische als auch die digitale Signatur ermöglichen das Unterschreiben und die Authentifizierung des Unterzeichners. Und obwohl die Begriffe oft synonym verwendet werden, bezeichnen sie nicht das Gleiche.
„Elektronische Signatur“ ist ein breit gefasster juristischer Begriff, der verschiedene Typen von Signaturen miteinschließt, so auch die digitale Signatur.
Dem gegenüber bezeichnet die digitale Signatur eine bestimmte Weise der Implementierung der elektronischen Unterschrift – das Verfahren der mathematischen Unterzeichnung von Dokumenten.
Eine Elektronische Signatur erzeugen: Wie geht das genau?
Digitale Signaturen sind wie Elektronische Fingerabdrücke. In Form einer kodierten Nachricht verbindet die digitale Signatur einen Unterzeichner sicher mit einem Dokument im Rahmen einer gespeicherten Transaktion. Digitale Signaturen nutzen eine spezielle Technologie für Elektronische Unterschriften: Das Standardformat Public Key Infrastructure (PKI) garantiert ein Höchstmaß an Sicherheit und universeller Akzeptanz.
PKI fordert die Anwendung eines mathematischen Algorithmus, um lange Zahlenketten, sogenannte Schlüssel, zu erzeugen. Einer dieser Schlüssel ist öffentlich, der andere privat und geheim.
Wenn ein Benutzer ein Dokument elektronisch unterschreibt, wird unter Nutzung des privaten Schlüssels des Unterzeichners eine Signatur erzeugt. Diese Signatur besteht aus dem sogenannten Hash-Wert, den ein Algorithmus aus den individuellen Daten des Dokuments erstellt hat. In Kombination mit einem Zeitstempel ist der Abgleich dieses Hash-Werts eine sehr sichere Methode, um die Echtheit eines Dokuments zu prüfen. Der Empfänger des Dokuments erhält eine Kopie des öffentlichen Schlüssels des Urhebers. Mit dem Schlüssel kann die Software die Unversehrtheit des Dokuments überprüfen: Passen die Schlüssel zusammen, ist die Echtheit der Signatur bewiesen. Kann das Dokument mit dem öffentlichen Schlüssel nicht entschlüsselt werden, wurde es nachträglich verändert oder die Signatur stammt nicht vom angegebenen Urheber. In diesem Fall ist das Dokument ungültig.
Es gibt vielfältige technische Möglichkeiten, um eine Elektronische Signatur zu erzeugen:
wie etwa dem BaFin.
-
Signatur mit USB-Stick
Hierfür können beispielsweise ein physischer Signaturschlüssel in Form eines USB-Sticks und eine entsprechende Software genutzt werden. Der Kunde muss sich dafür bei einem Händler authentifiziert und den Schlüssel dort hinterlegt haben. Schlüssel und Zertifikat können auch auf einer Chipkarte gespeichert sein, welche mittels eines Kartenlesers entschlüsselt wird.
-
Signatur auf dem Tablet
Zudem existieren spezielle Tablets, welche biometrische Daten (u.a. Druck und Schreibbewegung) erfassen und mit einer hinterlegten Signatur abgleichen. Diese Vorabhinterlegung stammt aus Berufen und Anwendungsbereichen, in denen bekannt ist, dass immer dieselben Personen am selben Ort unterschreiben (z. B. Stammkunden einer Bank).[SS1]
-
Signatur in der Cloud
Docusign bietet fortgeschrittene und qualifizierte Elektronische Signaturen auf Basis einer Cloud-Lösung an. Dadurch wird der Signaturprozess orts- und zeitunabhängig. Der Nutzer meldet sich bei einem Anbieter für elektronische Signaturen in der Cloud an, greift auf das bereits in die Cloud hochgeladene Dokument zu und erstellt seine Signatur über die Schaltfläche „Signieren“ mit einem Mausklick. Zur Erstellung von qualifizierten Elektronischen Signaturen kooperiert Docusign mit verschiedenen Zertifizierungsstellen, wie etwa dem BaFin.
Das klingt interessant? Dann testen Sie kostenfrei Docusign für 30 Tage aus und lassen Sie sich überzeugen.