Was ist eine qualifizierte elektronische Signatur?
Immer mehr Unternehmen in Deutschland nutzen elektronische Signaturen, um ihre Signatur- und Validierungsprozesse zu beschleunigen – papierbasierte Prozesse gelten als zu langsam und nicht effektiv. In Unterhaltungen mit potenziellen Neukunden stellen wir jedoch immer wieder fest, dass hierzulande nach wie vor einige Irrtümer in Bezug auf digitale (oder „qualifizierte“) Signaturen kursieren. In diesem Blogbeitrag möchten wir Ihnen in einfachen Worten die Bedeutung des Begriffs „Qualifizierte elektronische Signatur“ erklären. Hierbei verzichten wir auf offizielle Definitionen und Fachbegriffe, da diese möglicherweise nicht für jeden verständlich sind. Dieser Blog soll als Informationsquelle für potenzielle Neukunden dienen, die sich einen ersten Überblick über digitale Signaturen, ihre Verwendung und ihre rechtliche Bedeutung verschaffen möchten. (*)
Qualifizierte elektronische Signatur vs. digitale Signatur: Bedeutung und Hintergrund
Unter einer „elektronische Signatur“ versteht man Daten, die einem elektronischen Dokument beigefügt werden, um die Unterzeichnung dieses Dokuments zu bestätigen.
Die digitale Signatur ist eine Form der elektronische Signatur, bei der die asymmetrische Kryptographie zum Einsatz kommt: Der Unterzeichner hat die alleinige Kontrolle über einen „privaten Schlüssel“, der ihm die Unterzeichnung ermöglicht. Dieser private Schlüssel ist mathematisch und eindeutig mit einem „öffentlichen Schlüssel“ verknüpft, mit dem jeder die Signatur bestätigen kann. Die Verknüpfung zwischen privatem/öffentlichem Schlüssel und Unterzeichner wird durch ein von einem Trust Service Provider (TSP) ausgestelltes digitales Zertifikat sichergestellt. Die Regel unterscheidet zwischen zwei Ebenen der digitalen Signatur: der fortgeschrittenen elektronischen Signatur (Advanced Electronic Signature, AES) und der qualifizierten elektronischen Signatur (QES).
Die QES ist die sicherste Art der elektronischen Signatur. Sie besitzt alle Eigenschaften einer AES und zeichnet sich darüber hinaus vor allem durch zwei Eigenschaften aus:
• Sie wird mit einer sogenannten sicheren Signaturerstellungseinheit (SSEE) sehr sicher erzeugt. Die SSEE funktioniert in etwa wie eine Smartcard, der TSP kann sie jedoch im Auftrag des Unterzeichners aus der Ferne verwalten. So kann er die Manipulation von persönlichen Smartcards/Lesegeräten/Middlewares, mit denen Unterzeichner nicht sicher umgehen können, verhindern.
• Das Ausstellungsverfahren für digitale Zertifikate kann erst dann in Gang gesetzt werden, wenn der Unterzeichner seine Identität bestätigt hat (bei einem persönlichen Treffen oder mittels einer vergleichbaren Methode). Ein solches digitales Zertifikat mit hohem Identifikationsgrad wird als qualifiziertes Zertifikat bezeichnet.
Aufgrund dieser zusätzlichen Sicherheitsstufe ist ein Dokument, das mit einer QES signiert wurde, in allen EU-Mitgliedsstaaten ebenso rechtlich bindend wie ein Dokument mit handschriftlicher Signatur.
In Deutschland wird die QES bereits seit 2001 verwendet. In diesem Jahr wurde das erste deutsche Signaturgesetz, das Gesetz über Rahmenbedingungen für elektronische Signaturen (SigG), auf Grundlage der Europäischen Richtlinie 1999/93 verabschiedet.
2016 ersetzte die eIDAS-Verordnung, die aktuelle europäische Verordnung in Bezug auf elektronische Signaturen, diese Richtlinie und somit auch die bislang durch das Signaturgesetz (SigG) vorgegebene Definition und Anwendung der QES.
Darüber hinaus bringt die eIDAS-Verordnung zwei überaus wichtige Innovationen in Hinblick auf elektronische Signaturen mit sich.
Qualifizierte elektronische Signaturen: Änderungen durch die eIDAS-Verordnung
• Laut Definition in der eIDAS-Verordnung können auch cloudbasierte Signaturen als qualifizierte Signaturen gelten, sofern bestimmte Bedingungen erfüllt sind. Sie lesen richtig: die Cloud kann ebenso sicher sein wie eine Smartcard, sodass Smartcards nicht mehr benötigt werden. Die QES kann im Auftrag des Unterzeichners von einem qualifizierten TSP aus der Ferne verwaltet werden.
• In der eIDAS-Verordnung wird festgelegt, dass eine persönliche Identifizierung auch über neue innovative Verfahren möglich ist, sofern diese von den EU-Mitgliedsstaaten als gültig und gleichwertig anerkannt wird. Insbesondere die persönliche Identifizierung per Videokonferenz gilt mittlerweile in ganz Europa als akzeptierte Alternative. Somit können Bankkonten nun vollständig über das Internet eröffnet werden, und auch die für die QES erforderliche Identifizierung kann online erfolgen.
Durch die eIDAS-Verordnung entfällt eines der bislang wohl größten Hindernisse bei der Verbreitung der QES: die Schwierigkeit bei der Umsetzung. Dementsprechend erlebt diese Technologie in Deutschland momentan einen enormen Aufschwung.
Vor der eIDAS-Verordnung war die QES in Branchen mit Bedarf an qualifizierten Signaturen (z. B. im Finanzsektor) eher wenig gefragt. Grund hierfür war vor allem der enorme Logistikaufwand – an jeden potenziellen Kunden hätte zur Erstellung einer Signatur zuvor eine Smartcard verschickt werden müssen. Es war einfach zu umständlich. Doch jetzt ist es deutschen Unternehmen gesetzlich erlaubt, vollständig cloudbasierte Lösungen einzusetzen, um ihre Dokumente zu unterzeichnen bzw. unterzeichnen zu lassen. Sie können endlich von sämtlichen Vorteilen der digitalen Signatur profitieren: weniger Fehler bei der (Nach-)Bearbeitung von Dokumenten; Nachverfolgung und Benachrichtigungen für laufende Abkommen und Verträge; effizientere Verfahren und Abschaffung von papierbasierten Prozessen ... Gleichzeitig fallen auch alle Nachteile weg, die sich aus der Nutzung von Smartcards ergeben (Vertrieb, Verwendung, Treiberwechsel, Skalierungsprobleme).
Wann ist eine qualifizierte elektronische Signatur erforderlich?
Derzeit wird laut der eIDAS-Verordnung zwischen den drei Signaturstufen Einfach, Fortgeschritten und Qualifiziert unterschieden, wobei Qualifiziert als die sicherste Stufe gilt.
Beachten Sie, dass die unterschiedlichen Signaturarten in drei Stufen mit steigenden Anforderungen an die Authentizitätssicherung eingeteilt werden. (Wie bereits erläutert, bietet die Qualifiziert auf der Ebene der Signatur und des Authentifizierungsverfahrens das höchste Maß an Sicherheit.)
Wichtig: Trotzdem sind alle drei Ebenen rechtsgültig – durch die eIDAS-Verordnung ist gewährleistet, dass elektronische Signaturen in jeder Form vor EU-Gerichten als Beweis zugelassen sind.
Elektronisch signierten Dokumenten darf also nicht die rechtliche Wirksamkeit abgesprochen werden, nur weil sie in elektronischer Form vorliegen.
Die qualifizierte elektronische Signatur besitzt die gleiche Rechtsgültigkeit wie handschriftliche Signaturen – in bestimmten seltenen Fällen ist sie außerdem die einzige zulässige Art der digitalen Signatur für bestimmte Vertragsarten. Erwähnenswert sind in diesem Zusammenhang beispielsweise der Verbraucherdarlehensvertrag (§ 492 Abs. 1 Satz 1 BGB) und der Arbeitnehmerüberlassungsvertrag (§ 12 Abs. 1 S. 1 AÜG).