Obwohl elektronische Signaturen spätestens seit der eIDAS-Verordnung von 2016 in jedem Unternehmen bekannt sein sollten, herrschen noch immer viele Irrglauben vor. Vor allem die Aspekte Datensicherheit und Rechtssicherheit bereiten einigen Unternehmen Sorgen, jedoch sind diese meist unberechtigt. Ina Gellner, Partnermanagerin und Expertin für alle Fragen der Rechts- und Datensicherheit elektronischer Signaturen bei FP Sign, nennt und erläutert die häufigsten Irrtümer über elektronische Unterschriften:
1. Elektronische Signaturen sind nur ein Abbild von einer eigenhändigen Unterschrift
Es herrscht oft der Irrglaube, die elektronische Signatur sei ein optischer Platzhalter für die eigene handschriftliche Unterschrift auf digitalen Dokumenten. Doch die elektronische Signatur ist keinerlei eine Bilddatei, sondern vielmehr ein kryptografisches Verfahren: Die Information zur Person und der sogenannte Hash-Wert des Dokumentes (einmalige mathematische Quersumme) werden mithilfe eines digitalen Zertifikates berechnet und verschlüsselt. So wird die Signatur untrennbar mit dem elektronischen Dokument verbunden und die Integrität des Dokumentes gesichert. Dieses Verfahren begleitet das Unterschreiben mittels der sogenannten fortgeschrittenen (AES) und der qualifizierten elektronischen Signatur (QES).
Beim elektronischen Signieren etwa mit einer gescannten Unterschrift ohne dieses Verschlüsselungsverfahren ist dagegen die Rede von einer einfachen Signatur. Diese weist eine deutlich niedrigere Beweiskraft und Sicherheit des Signierprozesses auf und ist in diesem Sinne nicht der fortgeschrittenen und der qualifizierten elektronischen Signatur gleichgestellt.
2. Für die elektronische Signatur braucht man ein Kartenlesegerät
Seit der Einführung der eIDAS-Verordnung sind Hardware-Applikationen nicht unbedingt notwendig. Hierzu kommt die sogenannte Fernsignatur ins Spiel als ein deutlich einfacheres Verfahren für die Erstellung einer Signatur: Die dafür benötigten privaten Signaturschlüssel werden auf den Servern eines Vertrauensdienstanbieters generiert – also aus der Ferne. Das ermöglicht die sichere, mobile Signatur etwa vom Smartphone oder Tablet und macht Kartenlesegeräte, zusätzliche Software oder Signaturkarten bzw. Chipkarten überflüssig.
3. Jeder kann in meinem Namen unterschreiben
Das ist ein Irrtum. Je höher die gewünschte Signaturstufe – die EU-Verordnung eIDAS unterscheidet nach der einfachen, fortgeschrittenen und qualifizierten elektronischen Signatur –, desto höher die Anforderung an die Identifizierung des Unterzeichners. Würde man über eine webbasierte Signaturlösung, also ohne Einsatz einer Signaturkarte, elektronisch qualifiziert unterschreiben, so bedarf es beispielsweise für die QES einer einmaligen individuellen Identifizierung des Signaturinhabers durch einen qualifizierten Vertrauensdienstanbieter – zum Beispiel mittels eines VideoIdent-Verfahrens oder der Online-Ausweisfunktion des Personalausweises. Bei jeder Anwendung der QES ist zudem eine sogenannte Zwei-Faktor-Authentifizierung (mit Username oder E-Mail-Adresse und Passwort sowie SMS-TAN) notwendig.
Beim qualifizierten Signieren mittels einer Signaturkarte muss sich der Signaturinhaber ebenfalls einmalig identifizieren lassen und bei jeder Anwendung mit einer 6-stelligen PIN authentifizieren. Die QES ist nur in Verbindung mit diesen Sicherheitsmaßnahmen möglich. So machen es die verschiedenen Authentifizierungsverfahren nahezu unmöglich, dass jemand mittels einer elektronischen Signatur unbefugt im Namen einer anderen Person unterschreibt. Zudem wird eine nachträgliche Veränderung des Dokumentes sichtbar.
4. Eine elektronische Unterschrift hält vor Gericht nicht stand*
Die digitale Signatur ist grundsätzlich rechtsgültig und vor Gericht anerkannt. Im Lichte der eIDAS-Verordnung ist mit Dokumenten bzw. Dateien, die mit der fortgeschrittenen oder der qualifizierten elektronischen Signatur digital unterschrieben wurden, ein höherer Beweiswert verbunden, als mit der einfachen Signatur (etwa in einer E-Mail). Dabei können also höhere Anforderungen daran gestellt werden, die Vermutung der Richtigkeit zu erschüttern: Gemäß § 371a ZPO finden auf private elektronische Dokumente, die mit einer qualifizierten elektronischen Signatur versehen sind, die Vorschriften über die Beweiskraft privater Urkunden entsprechende Anwendung.
Voraussetzung ist eben, dass der digitale Prüfbericht (sog. Workflow), der den elektronischen Signierverlauf zeigt, vorgelegt wird. Für die einfache elektronische Signatur gilt zwar die freie richterliche Beweiswürdigung. Da die einfache Signatur aber leichter manipulierbar ist, wird dieser eine im Vergleich geringere Beweiskraft zuerkannt. D. h. der Richter kann die Integrität (Unversehrtheit) und die Authentizität (Urheber) des Dokuments dann anzweifeln, wenn die Gegenseite substantiiert dazu vorträgt, dass diese etwa manipuliert wurde (der bloße Einwand der Manipulierbarkeit als solcher reicht allerdings nicht aus). Beim digitalen Unterzeichnen wichtiger Geschäftsdokumente und Verträge sollte deshalb mindestens auf die fortgeschrittene elektronische Signatur gesetzt werden und bei Dokumenten, die die Schriftform erfordern, unbedingt auf die QES.
Öffentliche elektronische Dokumente von Behörden (§ 371a Abs. 3 ZPO) haben gemäß § 416 a ZPO in ausgedruckter Form die Beweiskraft öffentlicher Urkunden, wenn der Ausdruck mit Beglaubigungsvermerk versehen ist. Da es für private bzw. geschäftliche elektronische Dokumente an einer entsprechenden Regelung in der Zivilprozessordnung fehlt, kommt dem Ausdruck eines elektronisch signierten Dokuments jedoch selbst in „beglaubigter“ Form keine entsprechende Beweiskraft zu. Solche Dokumente sind also nur in elektronischer Form rechtsgültig.
5. Wichtige Dokumente und Informationen könnten so ungewollt in die Hände Dritter gelangen
Vertrauensdienstanbieter, die für die Ausstellung der Signaturzertifikate zuständig sind, müssen sich zertifizieren lassen, um die Sicherheitsanforderungen der Europäischen Union zu erfüllen. Obwohl sich die Anbieter elektronischer Signaturen mitunter unterscheiden, nutzt etwa FP Sign ausschließlich deutsche und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierte Rechenzentren – unabhängig davon, von wo die Signatur erstellt wird.
Die elektronisch übermittelten Daten werden zudem durch die Transportverschlüsselung, also die Authentifizierung des Unterzeichners mittels Username und Passwort (oder bei der QES auch mit einer SMS-TAN) gesichert. Die Zwei-Faktor-Authentifizierung kann zusätzlich auch beim Signaturempfänger angefordert werden. Die Bedenken über Datensicherheit sind somit – sofern Anwender auf eine eIDAS-konforme Signaturlösung setzen – unberechtigt.
6. Wenn meine Geschäftspartner selbst keinen eigenen Account bei einem Anbieter für elektronische Signaturen verwenden, können sie nicht unterschreiben
Das ist ein hartnäckiger Mythos. Die meisten digitalen, cloudbasierten Signaturlösungen ermöglichen einen unkomplizierten Signaturprozess, indem vom Signaturempfänger kein eigener Account verlangt wird, um ein Dokument elektronisch zu signieren. Es reicht aus, wenn der Initiator der Signatur einen Account bei seinem Wunsch-Vertrauensdienstanbieter besitzt.
Etwas anders verhält es sich, wenn beide Unterschriftsparteien auf höchstmöglicher Rechtsgültigkeit ihrer Vereinbarung bestehen oder das zu unterschreibende Dokument die Schriftform erfordert: Hierzu muss die qualifizierte elektronische Signatur zum Einsatz kommen. Das heißt alle Unterzeichner müssen im Besitz einer QES sein und sich an deren Identifizierungs- und Authentifizierungsanforderungen halten.