Über die langfristige Gültigkeit elektronischer Signaturen wurde schon viel diskutiert. Ist beispielsweise ein Dokument, das Sie heute unterschreiben, auch noch in 10 oder gar 50 Jahren gültig? Hier erfahren Sie, was eine elektronische Signatur rechtsverbindlich macht, wie lange elektronische Signaturen gelten und welche Rolle die Technologie dabei spielt.
Wie lange sollte Ihre elektronische Signatur gültig sein?
Eine der allerersten Fragen, die Sie sich stellen müssen, ist, wie lange Ihre elektronische Signatur tatsächlich gültig sein muss. Schließlich ist eine lange Gültigkeitsdauer kaum sinnvoll, wenn ein paar Jahre genügen.
In diesem Zusammenhang ist es wichtig, sich Gedanken über die Art des Dokuments zu machen, das Sie unterzeichnen, da die Aufbewahrungsfristen entsprechend variieren. Außerdem müssen Sie die (inter)nationalen, regionalen und lokalen Gesetze zur Aufbewahrung von Dokumenten beachten. Egal, ob es sich um einen Arbeitsvertrag, Geschäftsbedingungen, Bankunterlagen oder Krankenakten handelt, informieren Sie sich über die gesetzlichen Bestimmungen. Berücksichtigen Sie außerdem die spezifischen Richtlinien Ihres Unternehmens in Bezug auf Rechtsstreitigkeiten, Verjährungsfristen, Steuern oder Finanzberichte.
Wie wird eine elektronische Signatur rechtsverbindlich?
Elektronische Signaturen werden in den meisten Teilen der Welt als rechtsverbindlich anerkannt, obwohl die einzelnen Länder mit ihren eigenen Vorschriften arbeiten. In den USA beispielsweise unterliegen elektronische Signaturen dem ESIGN Act und dem UETA, während im Vereinigten Königreich der Electronic Communications Act 2000 und die Electronic Signatures Regulations 2002 gelten. In Europa ist der rechtliche Status von elektronischen Signaturen in der eIDAS-Verordnung verankert.
Während elektronische Signaturen als rechtsverbindlich gelten, wird ihre Gültigkeitsdauer durch das zugehörige Zertifikat der elektronischen Signatur geregelt. Diese Zertifikate haben unterschiedliche Bezeichnungen (z. B. Signatur- bzw. Unterschriftszertifikat, digitales Zertifikat), werden aber alle von einer Zertifizierungsstelle ausgestellt, die als Gatekeeper fungiert und die Echtheit und Unversehrtheit garantiert. Ein von einer vertrauenswürdigen Zertifizierungsstelle ausgestelltes Zertifikat bedeutet, dass die Person, die das Dokument unterzeichnet, diejenige ist, die sie vorgibt zu sein.
Was passiert, wenn das Zertifikat abläuft oder die Zertifizierungsstelle nicht mehr existiert?
Von einer Zertifizierungsstelle ausgestellte digitale Zertifikate sind nur für einen bestimmten Zeitraum gültig, in der Regel zwischen einem und drei Jahren. Was passiert also, wenn Sie ein Dokument fünf Jahre lang aufbewahren müssen und das Zertifikat nach einem Teil dieser Zeit abläuft? Und was geschieht, wenn die ausstellende Zertifizierungsstelle plötzlich nicht mehr tätig ist?
Um sicherzustellen, dass Ihre elektronische Signatur auch dann gültig bleibt, wenn Zertifikate ablaufen oder Zertifizierungsstellen ihre Dienste einstellen, müssen zwei Elemente Bestandteil des Zertifikats sein. Der offizielle Zeitstempel, der von einer vertrauenswürdigen Zeitstempelstelle ausgestellt wird, sowie die Überprüfung des ursprünglichen Signaturzertifikats – hier erfahren Sie, warum sie so wichtig sind.
Zeitstempel für Ihre elektronische Signatur
Langfristige elektronische Signaturen enthalten einen Zeitstempel, der dokumentiert, wann die Signatur erstellt wurde. Wenn aus dem Zeitstempel hervorgeht, dass das Dokument unterzeichnet wurde, als das digitale Zertifikat der Zertifizierungsstelle noch gültig war, dann ist auch die elektronische Signatur gültig. Selbst wenn die Zertifizierungsstelle nicht mehr tätig ist, bleibt das Dokument gültig, solange es zu jenem Zeitpunkt unterzeichnet wurde.
Der Zeitstempel selbst wird von einer unabhängigen, vertrauenswürdigen Partei, einer so genannten Zeitstempelstelle (Time Stamping Authority, TSA), bereitgestellt und vergeben. Damit wird die Sicherheit elektronischer Signaturen weiter erhöht und gewährleistet, dass diese nicht ohne weiteres manipuliert oder vordatiert werden können.
Überprüfung des Signaturzertifikats
Elektronische Langzeitsignaturen enthalten neben einem Zeitstempel auch Daten, die die Gültigkeit der digitalen Zertifikate zum Zeitpunkt der Unterzeichnung nachweisen. Dies geschieht in der Regel durch eine CRL- (Certificate Revocation List) oder OCSP- (Online Certificate Status Protocol) Prüfung. Wenn verfügbar, wird OCSP als Überprüfungsmethode bevorzugt. Der Hauptgrund dafür ist, dass diese Methode weniger Daten erfordert und die Auswirkungen auf die Datenspeicherung insgesamt reduziert.
Grundsätzlich gilt: Solange das Zertifikat zum Zeitpunkt der Unterzeichnung gültig war (und dies auch durch den Zeitstempel bestätigt wird), bleibt die elektronische Signatur gültig.
Welches Dokumentenformat eignet sich am besten für die langfristige Gültigkeit elektronischer Signaturen?
Empfehlenswert sind Dokumentenformate mit eingebetteten Daten, wie z. B. PDF/A-Formate. PDF/A-Dokumente betten nicht nur Daten ein, sondern bieten auch ein standardisiertes Format und genügen der ISO 19005. Darüber hinaus arbeiten sie mit einem offenen Dokumentenformat, das heruntergeladen und mit zahlreichen Programmen genutzt werden kann.
Kurz gesagt, PDF/A-Dokumente sind in sich geschlossen, selbstdokumentierend und nicht auf einen bestimmten Hard- und Softwaretyp festgelegt, was sie ideal für die langfristige Zugänglichkeit macht.
Was passiert, wenn die Software von Hackern geknackt wird?
Der Vorteil von Software für elektronische Signaturen besteht darin, dass sie sichere Algorithmen zur Verschlüsselung von Daten verwendet, wodurch sie theoretisch schwer zu hacken ist. Elektronische Signaturen sind jedoch eine technologiebasierte Lösung, was bedeutet, dass die Software und die Algorithmen irgendwann technologisch überholt sein werden.
Um dieses Risiko zu mindern, sollten stets die jüngsten Verschlüsselungsstandards verwendet werden; auf diese Weise ist die Technologie immer einen Schritt voraus. Ein Beispiel dafür ist die regelmäßige Zeitstempelung mit einem aktuellen Algorithmus, bevor die elektronische Signatur technologisch schwach und anfällig für Hacker wird.
Sind elektronische Signaturen für immer rechtsgültig?
Ob Ihre elektronische Unterschrift für immer gilt, hängt letztlich davon ab, wie die Unterschrift angelegt wurde. Um unbegrenzt gültig zu sein, muss sie mit einem Zeitstempel versehen sein und ein aktives digitales Prüfzertifikat aufweisen. Außerdem muss sie durch regelmäßige Zeitstempel geschützt werden, die die algorithmische Komplexität aufrechterhalten und das Veraltern verhindern.
Bei Connective ist die langfristige Sicherheit ein wesentlicher Bestandteil unserer Arbeit. Mit Connective eSignatures, unserer Lösung für elektronische Signaturen, können Sie sicher sein, dass Ihre wichtigen Dokumente geschützt und so lange wie nötig gültig sind.
