Wenn Sie digitale Identifizierungsdienste und Signaturen in Europa nutzen wollen, tun Sie dies am besten in einem anerkannten Rechtsrahmen. Eine digitale Signatur sollte bestimmte Richtlinien erfüllen, die in jedem EU-Mitgliedstaat anders sein können. In diesem Dschungel von Vorschriften und Optionen verliert man leicht den Überblick. In diesem Artikel schaffen wir Klarheit und beantworten die wichtigsten Fragen: Welche drei Arten von elektronischen Signaturen (gemäß eIDAS) gibt es und was sind die Vor- und Nachteile jeder Signatur?
Einfache elektronische Signatur
Wollen Sie eine Paketlieferung annehmen? Eine Checkbox auf einem PC-Bildschirm ankreuzen? Ein handschriftlich unterschriebenes Dokument scannen? Dann reicht eine einfache elektronische Signatur. Das kann eine manuelle Unterschrift auf einem PC-Bildschirm sein (die danach digital gespeichert wurde) oder ein Klick auf eine „Ich stimme zu“-Schaltfläche. Die Genehmigung oder Annahme wird stets mit einem Zertifikat nachgewiesen.
Diese Art der Signatur wird meist bei Vorgängen mit geringem Transaktionswert verwendet, weil sich die Identität des Unterzeichners nicht zweifelsfrei bestätigen lässt. Wenn jemand die Unterschrift einer anderen Person fälscht und in das Dokument einfügt, wäre das schwer nachzuweisen oder sogar zu bemerken. Eine einfache elektronische Signatur in rechtswirksamen Dokumenten könnte also, abhängig vom jeweils eingerichteten Verfahren, ein Problem darstellen. Unterschriften auf Versicherungs-, Finanz- oder Immobiliendokumenten u. Ä. sollten daher strengere Anforderungen erfüllen, damit sie dem Unterzeichner mit (größerer) Sicherheit zugeordnet werden können.
Fortgeschrittene elektronische Signatur
Sie ist der einfachen elektronischen Signatur bei Weitem überlegen und erfüllt vier konkrete rechtliche Anforderungen. Erstens: Sie ist eindeutig dem Unterzeichner zugeordnet. Zweitens: Sie ermöglicht die Identifizierung des Unterzeichners. Drittens: Sie wird über ein besonders sicheres Verfahren erstellt, das garantiert, das nur der Unterzeichner das Dokument unterschreiben kann. Ist z. B. eine Bankkarte mit dem gemeinsamen Konto eines Ehepaares verbunden, kann sie nicht zur Identifizierung des Unterzeichners verwendet werden. Schließlich sind hier zwei Personen rechtmäßig mit dem Konto verbunden − die Voraussetzung der eindeutigen Identifizierbarkeit des Unterzeichners ist also nicht gegeben. Die letzte rechtliche Anforderung verlangt, dass jede nachträgliche Veränderung nach Unterzeichnung des Dokuments zurückverfolgbar, sprich erkennbar ist.
Verglichen mit ihrer kleinen Schwester bietet die fortgeschrittene elektronische Signatur eindeutig mehr Sicherheit. Dennoch ist auch ihre Vertrauenswürdigkeit nicht 100 %ig, weil die vier Anforderungen recht frei interpretiert werden können. Während diese Signatur vollständig eIDAS-konform ist, ein hohes Maß an Vertrauenswürdigkeit bietet und fälschungssicher ist, besteht bei der Identitätsprüfung dennoch das Risiko, dass sie nicht die strengsten, an die Vertrauenswürdigkeit gestellten Voraussetzungen erfüllt. Das hängt alles von dem jeweils eingerichteten Verfahren ab. Diese Signatur stellt sozusagen eine ideale Balance zwischen Benutzerfreundlichkeit und Risikomanagement her. Ein Beispiel für eine fortgeschrittene elektronische Signatur ist eine biometrische Signatur, die auf einem Wacom-Tablet erzeugt wurde.
Qualifizierte elektronische Signatur
Wenn Sie glauben, dass eine klassische handschriftliche Unterschrift die einzig sichere Alternative für Ihre Dokumente ist, werfen Sie einen Blick auf ihr digitales Pendant: Die qualifizierte elektronische Signatur. Eine qualifizierte elektronische Signatur verknüpft die Identität des Unterzeichners eindeutig mit seiner Unterschrift mittels eines persönlichen, qualifizierten Zertifikats, das von einem qualifizierten Vertrauensdienstanbieter ausgestellt wird. So wird garantiert, dass sie nicht nur in dem EU-Land gültig ist, in dem sie zugewiesen wurde, sondern darüber hinaus in allen Mitgliedstaaten der Europäischen Union als gültige, rechtsverbindliche Unterschrift anerkannt wird. Dank ihres besonderen Rechtsstatus in Europa kann sie, abhängig von den lokalen Rechtsvorschriften, für die sicherheitskritischsten Dokumente verwendet werden – von Lebensversicherungen bis hin zu Kreditanträgen. Zusätzlich zu den eingangs erklärten Anforderungen muss diese nicht abstreitbare Signatur noch eine Reihe weiterer Voraussetzungen erfüllen. Zum Beispiel muss der Signaturschlüssel des Benutzers von einer qualifizierten Signaturerstellungseinheit (QSEE) erzeugt werden, die ausschließlich den Unterzeichner dazu berechtigt, auf seinen persönlichen Schlüssel zuzugreifen und diesen zu benutzen, und die Signaturerstellungsdaten müssen einmalig, geheim und vor Fälschung geschützt sein.
Diese zusätzlichen Anforderungen zahlen sich aus: die Vertrauenswürdigkeit einer qualifizierten elektronischen Signatur ist tadellos. Sie ist die einzige elektronische Signatur, die den Unterzeichner zu 100 % identifiziert, weil sie anfangs eine persönliche Bestätigung von Angesicht zu Angesicht oder ein gleichwertiges Verfahren voraussetzt. Falls eine Partei die Signatur zu irgendeinem Zeitpunkt anficht, liegt die Beweislast beim Unterzeichner. Zum Vergleich: Bei der einfachen und fortgeschrittenen elektronischen Signatur liegt die Beweislast bei der Partei, die sich auf die Signatur beruft. Beispiele für diese sicherste Signaturenart sind eID und itsme® Sign, die Connective in Belgien nutzt und anbietet.
Was ist der Unterschied?
Wie oben erläutert, werden elektronische Signaturen nach dem Maß der Sicherheit eingestuft, das sie bieten. Jede dieser drei elektronischen Signaturen kann nach der eIDAS-Verordnung rechtswirksam sein. Sie bieten immer ein Grundniveau an Integrität in der Hinsicht, dass der Inhalt nach Unterzeichnung des Dokuments nicht geändert werden kann. Doch die Sicherheitsstufen unterscheiden sich beträchtlich, und sollten Sie einmal vor Gericht beweisen müssen, dass eine Signatur echt ist und wissentlich unter ein Dokument gesetzt wurde, bestehen Unterschiede hinsichtlich der Beweislast.
Gut, besser & am besten
Als Unternehmen suchen Sie natürlich eine Lösung, die benutzerfreundlich, jederzeit und überall zugänglich und zugleich vertrauenswürdig und rechtsgültig ist. Unten finden Sie eine kurze Übersicht mit einer Erklärung, welche Signatur Ihre Anforderungen womöglich am besten erfüllt.
| The good | The better | The best | |
|---|---|---|---|
| What? | Basic Electronic Signature | Advanced Electronic Signature | Qualified Electronic Signature |
| Why? | - Quick & easy - Easy to use on mobile - Visually the same as on paper | - Linked to signer - Provides more legally binding proof - More thrustworthy than basic signature | - Highest level of security - Personal link to signer - Digital equivalent of wet signature - Legal obligation |
| Use cases | - Signing when receiving a package - Simple approval - Client onboarding* - Credit loan* - ... *depending on local legislation or risk | - Client onboarding* - Credit loan* - ... *depending on local legislation or risk | - Signing insurance documents - Public administration procedures |
| Connective solution | - SMS OTP - Mail OTP - Manual signature | - SMS OTP - Mail OTP - Biometric signature | - .beID - LuxID - itsme® sign |
Haben Sie Fragen zu den verschiedenen Arten von elektronischen Signaturen oder wollen Sie eine der drei elektronischen Signaturen nutzen, die wir in diesem Blog erklärt haben?
Dann zögern Sie nicht, uns zu kontaktieren. Wir bieten Ihnen alle Optionen und beraten Sie gern, welche Signatur Ihre Zwecke am besten erfüllt.
