Qualifizierte elektronische Signatur in der Praxis
In Zeiten von Corona und Homeoffice suchen manche Mitarbeiter das Büro nur noch zum Unterschreiben wichtiger Dokumente auf. Aber auch schon vorher war das Einholen von Unterschriften teilweise umständlich und zeitaufwendig, insbesondere wenn mehrere Unterschriften anfielen oder man räumlich getrennt voneinander arbeitete.
Aus diesem Grund erleben Anbieter von elektronischen Signaturen seit Jahren eine hohe Nachfrage.
Doch wann macht der Einsatz elektronischer Signaturen wirklich Sinn? Sind die elektronischen Unterschriften rechtlich sicher und wirksam? Und wie funktioniert das in der praktischen Umsetzung?
Wann macht die Verwendung elektronischer Signaturen Sinn?
Selbst in seiner einfachsten Form beinhaltet ein simpler Signaturprozess mit zwei Parteien in der Regel bereits acht Prozessschritte:
Ein einfacher elektronischer Signaturprozess hingegen kommt unter den gleichen Voraussetzungen mit deutlich weniger Prozessschritten und ohne Medienbruch aus:
Die Argumente der Prozessbeschleunigung und Reduktion von potenziellen Fehlerquellen sind aber nicht die einzigen wichtigen Punkte, die für die elektronische Signatur sprechen. Folgende Vorteile bestehen:
- Ortsunabhängigkeit bei Unterschriften und mobile Nutzung
- Vollständigkeit in der Dokumentation des Unterschriftenprozesses
- Sichtbarkeit des Status quo bei ausstehenden Unterschriften
- Automatische Erinnerungen an zu leistende Unterschriften
- Integrationsmöglichkeiten in vor- oder nachgelagerte Systeme und damit ganzheitliche Prozessabbildung
Welche Formen der elektronischen Signatur gibt es?
Bei der elektronischen Signatur werden drei Varianten unterschieden, und zwar: einfach, fortgeschritten und qualifiziert. Während der Unterzeichner bei der einfachen elektronischen Signatur (SES) primär auf Basis seiner E-Mail-Adresse identifiziert wird, bringt die fortgeschrittene elektronische Signatur (AES) einen zusätzlichen Faktor mit ein, um den Unterzeichner eindeutig identifizieren zu können. Dies kann beispielsweise eine SMS-Benachrichtigung (PIN) sein, die der Unterzeichner auf seinem persönlichen Mobiltelefon erhält.
Um den Anforderungen an eine qualifizierte Signatur (QES) gerecht zu werden, bindet man beispielsweise einen professionellen Trust Service Provider (TSP) ein, der die Identität des Unterzeichners im Rahmen eines sogenannten Video-Ident-Verfahrens verifiziert. Der Unterzeichner verwendet hierfür seinen Laptop oder sein Smartphone. Ein Mitarbeiter des Dienstanbieters führt durch einen einfachen Prozess. Im Zuge dessen werden die persönlichen Daten überprüft, das Ausweisdokument (i.d.R. Personalausweise oder Reisepass) vorgezeigt und entsprechende Fotoaufnahmen gemacht. Abschließend erhält der Unterzeichner eine SMS-Benachrichtigung mit einem PIN-Code zur Bestätigung der Daten und dem Abschluss des Video-Ident-Verfahrens.
Dieser Prozess der ID-Überprüfung wird regelmäßig, mindestens aber alle zwei Jahre durchgeführt. Bis zur nächsten ID-Überprüfung kann der Unterzeichner seine validierten Informationen in einem sicheren Account hinterlegen und unter Zuhilfenahme von zwei Faktoren (Kennwort und SMS-Code) für weitere Signaturen verwenden.
Sind elektronisch unterzeichnete Verträge wirksam?
Nicht jeder Vertrag kann wirksam elektronisch unterzeichnet werden. So bedarf es z.B. für Immobilienkaufverträge, Eheverträge oder Erbverträge nach dem Bürgerlichen Gesetzbuch (BGB) zwingend der notariellen Form. Daneben ordnet das BGB für manche Verträge die Schriftform, also die eigenhändige Unterschrift, an. Gemäß BGB kann die schriftliche Form durch die elektronische Form ersetzt werden, wenn sich nicht aus dem Gesetz ein anderes ergibt. Nicht erlaubt ist dies z.B. bei der Bürgschaftserklärung.
Für das Schriftformäquivalent muss der Aussteller der Erklärung seinen Namen hinzufügen und das elektronische Dokument mit einer qualifizierten elektronischen Signatur (QES) versehen. Durch eine QES kann also in vielen Fällen die schriftliche Form wirksam ersetzt werden. Vor Gericht haben die mit einer QES versehenen Dokumente die gesteigerte Beweiskraft einer Privaturkunde. Unabhängig davon besteht aber auch die Möglichkeit, beim Fehlen eines gesetzlichen höheren Schriftformerfordernisses und einer bloßen einfachen oder fortgeschrittenen Signatur einen entsprechenden Rechtsstreit zu gewinnen. Beide genügen der zivilrechtlichen Textform und sind zugelassenes Beweismittel vor Gericht.
Basis für die Anerkennung der elektronischen Signaturen ist die eIDAS-Verordnung der EU aus dem Jahr 2014. eIDAS steht für electronic IDentification, Authentication and Trust Services. Hierdurch ist das diesbezügliche europäische Recht im Wesentlichen vereinheitlicht. Das ergänzende deutsche Vertrauensdienstegesetz (VDG) regelt lediglich die Umsetzung.
Welche technischen und datenschutzrechtlichen Anforderungen werden an eine qualifizierte elektronische Signatur (QES) gestellt?
An eine QES werden hohe Anforderungen gestellt. Vereinfacht gesagt, muss eine autorisierte Stelle nach Prüfung der Identität einer Person eine Art „digitalen Stempel“ zur Verfügung stellen, der dieser Person eindeutig zugeordnet werden kann. Diese qualifizierten elektronischen Signaturen stellen nur wenige Anbieter in Deutschland bereit.
Zusätzlich treffen die Anbieter technische Vorkehrungen hinsichtlich Sicherheit und Manipulationsschutz: Ein mathematischer Algorithmus erzeugt einen Hashwert zum Dokument, fügt also einen Zeitstempel hinzu und verschlüsselt diese Daten mit dem persönlichen, privaten Schlüssel des Unterzeichners. Diese verschlüsselten Daten stellen die Signatur dar und können mit einem öffentlichen Schlüssel geprüft, aber nicht verändert werden.
Der jeweilige Anbieter muss entsprechend der Datenschutz-Grundverordnung (DSGVO) passende technische und organisatorische Maßnahmen (TOMs) vorweisen und mit dem Nutzer eine Vereinbarung zur Auftragsverarbeitung abschließen. Bei Dienstleistern außerhalb der Europäischen Union ist besonders auf ein passendes Datenschutzniveau zu achten. Nach dem Wegfall des Privacy-Shield-Abkommens wird hier bis zum Abschluss eines Nachfolgeabkommens bei Dienstleistern aus den USA mit den sogenannten Standardvertragsklauseln der EU-Kommission gearbeitet, wobei auf die Vereinbarung von besonderen Sicherheitsmechanismen wie Verschlüsselung zu achten ist. Zudem ist zu beachten, dass ab dem 27. September 2021 für neue Verträge die neuen Standarddatenschutzklauseln verwendet werden müssen.
Fazit und Empfehlung
Aus juristischer Sicht ist die qualifizierte elektronische Signatur von besonderem Interesse, denn sie kann in den meisten Fällen die erforderliche Schriftform rechtswirksam ersetzen. Darüber hinaus hat sie in den freiwillig verwendeten Fällen einen hohen Beweis- und Sicherheitswert. Insofern ist diese Anforderung neben Funktionalität, Kosten und Datenschutzkonformität der entscheidende Aspekt bei der Auswahl eines Anbieters.
Ein Unternehmen, das den Einsatz einer elektronischen Signatur plant, sollte eine Matrix darüber erstellen, welche Signatur für den jeweils spezifischen Geschäftsvorfall angewendet werden soll. Hierbei kann über die gesetzlichen Mindestanforderungen hinausgegangen werden. Dies hat zur Folge, dass Unternehmen in der Praxis häufig vereinbaren, Verträge mit hoher Bedeutung (z.B. ab gewissem Volumen) mit der QES zu unterzeichnen, auch wenn dies nicht zwingend notwendig ist.
Die Autoren:
Tobias Felten | Dr. Christian Lenz |
Er leitet den Geschäftsbereich Digital Workplace beim IT-Systemhaus synalis in Bonn. Er berät Unternehmen bei der Einführung und Integration von IT-Lösungen, insbesondere auf Basis der Microsoft 365 Cloud Services, sowie bei den damit einhergehenden Veränderungsprozessen. | Er ist Rechtswalt und Partner der dhpg. Er ist Experte in allen Fragestellungen des Datenschutzes sowie IT-Recht und hat bereits viele Unternehmen bei der Umsetzung der EU-Datenschutzgrundverordnung und IT-rechtlichen Vertragsthemen begleitet. |
Kommentare sind deaktiviert.