Qualifizierte elektronische Signatur als Schlüssel für rechtsgültige Dokumente in vollständig digitalen Workflows

Qualifizierte elektronische Signatur als Schlüssel für rechtsgültige Dokumente in vollständig digitalen Workflows
Fachartikel

Qualifizierte elektronische Signatur als Schlüssel für rechtsgültige Dokumente in vollständig digitalen Workflows

11. Februar 2022, gepostet von

Die qualifizierte elektronische Signatur ist das digitale Pendant zur händischen Unterschrift auf rechtsverbindlichen Dokumenten. Das Interesse an der Nutzung von digitalen Unterschriften ist aufgrund der zunehmenden Digitalisierung von Arbeitsprozessen stark angestiegen. In diesem Beitrag gehen wir ausführlich auf die Besonderheiten von elektronischen Signaturverfahren ein und geben Ihnen wertvolle Tipps, um Sie bei der Einführung digitaler Signaturen in Ihrem Unternehmen zu unterstützen.

Die umfassende Digitalisierung aller Geschäftsprozesse hat für viele Unternehmen – gerade unter den Bedingungen der Pandemie – zunehmend an Bedeutung gewonnen. Wesentlicher Bestandteil einer Digitalisierungsstrategie ist die Erzeugung, Bearbeitung und Ablage von elektronischen Dokumenten. Besonders herausfordernd sind in diesem Zusammenhang Dokumente, die rechtsverbindlich unterschrieben werden müssen.

Wenn Schriftstücke in digitalisierten Prozessen weiterhin eine manuelle Unterschrift erfordern, wird der elektronische Workflow an dieser Stelle abrupt unterbrochen. Dokumente müssen ausgedruckt, zum Teil händisch versandt, unterschrieben und im Nachgang wieder digitalisiert sowie abgelegt werden. Dies verursacht nicht nur unnötige Medienbrüche, sondern auch erhebliche Kosten und Aufwände. Eine einfache Unterschriftsleistung kann so, z. B. bei der Arbeit aus dem Homeoffice, plötzlich zum Problem werden – vor allem, wenn es einmal etwas schneller gehen muss.

Der Gesetzgeber hat mit der elektronischen Signatur bereits seit einiger Zeit einen verbindlichen Rechtsrahmen geschaffen, um auch ohne händische Unterschriftsleistung rechtlich vollgültige Signaturen zu ermöglichen. Durch die Harmonisierung im Binnenmarkt kommt gerade im europäischen Rechtsraum die Anforderung, digitale Signaturen im Unternehmen umzusetzen, durch Geschäftspartner oder regulatorische Auflagen hinzu.

Die Unterschrift als Zeichen für Verbindlichkeit

Eine Unterschrift, als traditionell eigenhändige Namenszeichnung auf Schriftstücken, soll Verbindlichkeit zwischen einer Person und einem Dokument herstellen, in dem beispielsweise ein Rechtsgeschäft oder ein anderer Sachverhalt niedergelegt ist. Diese Tradition, also das Hinterlassen eines Namenszeichens, ist über die mittelalterliche Urkundenpraxis bis in unser heutiges Bürgerliches Gesetzbuch erhalten geblieben, das in §126 die Erfordernisse der Schriftform für bestimmte Rechtsgeschäfte vorgibt. In Absatz 3 ist gegenwärtig festgelegt, dass die schriftliche Form durch eine elektronische Form ersetzbar sein kann. Der Gesetzgeber eröffnet hiermit die Möglichkeit, Unterschriften in elektronischer Form als digitale Signatur rechtsverbindlich zu leisten.

Die traditionelle Unterschrift setzt auf den Augenschein der Übereinstimmung zwischen verschiedenen Unterschriftsleistungen. Auch Schriftsachverständige können unter Umständen nur Wahrscheinlichkeiten bestimmen, ob eine Unterschrift authentisch ist. Ebenso kann eine Unterschrift nicht das ganze Dokument beglaubigen. Eine an sich vertrauenswürdige Unterschrift garantiert nicht, dass das Dokument unverändert geblieben ist. Nicht ohne Grund bedarf es bei vielen Rechtsgeschäften daher einer notariellen Beglaubigung.

Digitale Signatur kann mehr

Digitale Signaturen erweitern die Aussagekraft einer Unterschrift. Denn je nach eingesetzter Technik kann eine digitale Signatur nicht nur die Identität des Unterschreibenden beglaubigen. Sie kann darüber hinaus auch den genauen Zeitpunkt der Unterschrift eindeutig und unveränderlich dokumentieren sowie bestätigen, dass der Inhalt des Dokuments nicht nachträglich verändert wurde. Technisch wird dies über sogenannte Public-Key-Verschlüsselung ermöglicht. Diese asymmetrischen Verfahren werden in der IT heute an vielen Stellen eingesetzt und beglaubigen zum Beispiel im SSL-Protokoll die Authentizität und Integrität von Internetverbindungen.

Mithilfe eines nur dem Aussteller bekannten geheimen Schlüssels (Private Key) wird aus einer Prüfsumme des Dokuments (z. B. Datum, Uhrzeit und anderen Informationen) ein Wert (Hash) berechnet und signiert. Eine beliebige andere Person kann mittels eines frei zugänglichen Verifikationsschlüssels (Public Key) die Gültigkeit dieser Unterschrift prüfen und auch ermitteln, ob das Dokument tatsächlich zu dieser Unterschrift gehört. Zwischen dem geheimen Schlüssel und dem Verifikationsschlüssel besteht dabei ein mathematischer Zusammenhang, der bei der Erzeugung festgelegt wird, der aber nicht einfach abgeleitet werden kann, wenn man z. B. nur den Verifikationsschlüssel kennt.

Wie funktioniert die eindeutige Zuordnung des Verifikationsschlüssels zum Urheber?

Doch wie kann ein Verifikationsschlüssel eindeutig einem Urheber zugeordnet werden? Im Prinzip kann schließlich jeder ein solches Schlüsselpaar erzeugen und damit ein sogenanntes Zertifikat für sich selbst ausstellen (self-signed certificate).

Ein Zertifikat ist im Wesentlichen nichts anderes als wiederum eine genau festgelegte Form eines elektronischen Dokuments, das einen Verifikationsschlüssel mit bestimmten anderen Informationen verknüpft – zum Beispiel mit Name und E-Mail-Adresse eines Anwenders – und welches im Anschluss digital signiert wird.

In der Praxis wird dieses Zertifikat und damit auch der Verifikationsschlüssel dem Empfänger eines digital signierten Dokumentes durch den Urheber selbst direkt zur Verfügung gestellt. Die Authentizität des Schlüssels wird dabei nur dadurch gewährleistet, dass dieser Verifikationsschlüssel seinerseits durch ein anderes Schlüsselpaar einer bekannten Zertifizierungsstelle signiert wird.

Quelle: https://smallstep.com, Everything you should know about certificates and PKI but are too afraid to ask, aufgerufen am 07.12.2021

Die Zertifizierungsstelle steht dafür ein, dass das Zertifikat wirklich der Person zugeordnet ist, die im Zertifikat beschrieben ist. Der Empfänger vertraut dem Aussteller, dass dieser die Identität des Nutzers geprüft hat. Technisch geschieht dies durch die Einbindung von Trusted Root-Zertifikaten, die den öffentlichen Schlüssel der Zertifizierungsstelle enthalten. Allen mit dem Schlüssel unterschriebenen Zertifikaten wird damit implizit vertraut.

Trusted Root-Zertifikate können im Unternehmen eigens ausgestellt und verteilt werden. Im Verkehr mit Dritten hingegen ist es erforderlich, einen bekannten und allgemein vertrauten Aussteller mit der Verifizierung der eigenen Zertifikate zu beauftragen.

Digitale Signatur vs. elektronische Signatur (als Rechtsbegriff)

Der Begriff der digitalen Signatur beschreibt also Herangehensweisen, wie mit technisch-mathematischen Verfahren Ziele wie Identität, Authentizität und Integrität einer digital geleisteten Unterschrift erreicht wird.

Elektronische Signatur hingegen ist ein rechtlich genau definierter Begriff, der die Anwendbarkeit von Verfahren der digitalen Signatur im Rechtsverkehr festlegt. Grundlegend hierfür sind in der EU die eIDAS-Verordnung und die Signaturrichtlinie der EU. Bei der Auswahl der Zertifizierungsstelle und den Anbietern zum Beispiel für Soft- und Hardware ist daher darauf zu achten, dass sie den europäischen Richtlinien entsprechen.

Unterscheidung elektronischer Signaturen nach der eIDAS-Verordnung

Die eIDAS-Verordnung klassifiziert drei verschiedene Typen von elektronischen Signaturen, die jeweils Auswirkungen auf die Rechtsgültigkeit einer digitalen Unterschrift haben: einfache, fortgeschrittene und qualifizierte elektronische Signatur. Die Differenzierung richtet sich danach, wie die Identität bzw. die Übereinstimmung z. B. zwischen einer natürlichen Person und einem für diese Person ausgestellten Zertifikat sichergestellt wird.

Ausführliche Infos: Unterscheidung elektr. Signaturen nach der eIDAS-Verordnung

Unterscheidung elektronischer Signaturen nach eIDAS-Verordnung
Quelle: https://prismic-io.s3.amazonaws.com, aufgerufen am 07.12.2021

Achtung: Nur mit der qualifizierten elektronischen Signatur kann die manuelle Unterschrift vollständig ersetzt werden. Es gilt bei ihr quasi eine Beweislastumkehr, das heißt sie gilt als authentisch, sofern das Gegenteil nicht konkret bewiesen wird.


Fernsignatur

Der Schutz des Schlüsselmaterials ist die Achillesferse aller digitalen Verfahren. Im Grunde genommen können die Schlüssel – wie jede andere Datei – beliebig kopiert werden, ohne dass das Original verändert wird oder abhanden kommt. Daher sind sie technisch in besonderem Maße vor Manipulation oder Entwendung zu schützen – vor allem bei der qualifizierten elektronischen Signatur.

Die Fernsignatur ist ein weit verbreiteter Weg, um die Form der qualifizierten elektronischen Signatur gerichtsfest zu ermöglichen. Hierbei verbleibt das Schlüsselmaterial des Anwenders in der Obhut des Zertifizierungsdienstanbieters, der es vertraulich speichern muss, sodass nur der Anwender darauf Zugriff erhält. Dies wird technisch zum Beispiel durch Multifaktorauthentifizierung ermöglicht.

In der Durchführung der elektronischen Signatur wird dann entweder das gesamte Dokument, oder die ermittelten Prüfsummen an den Zertifizierungsdienstanbieter übermittelt, wo sie mit dem Private Key des unterschreibenden Nutzers verschlüsselt werden. Diese Daten werden zurück übermittelt und in das ursprüngliche Dokument (in der Regel z. B. ein PDF) eingebettet. Der Empfänger kann dann die Gültigkeit der Signatur direkt im PDF-Dokument prüfen.

Langzeitvalidierung (LTV)

Um eine digitale Signatur zu validieren, werden auch die Zertifikate auf ihre Gültigkeit geprüft. Da Zertifikate in ihrer Laufzeit begrenzt sind, muss für eine Langzeitvalidierung sichergestellt werden, dass eine Signatur zum Zeitpunkt der Unterschrift mit einem gültigen Zertifikat erzeugt wurde. Bei der Fernsignatur bestätigt beispielsweise der Zertifizierungsdienstanbieter sowohl den genauen Zeitpunkt der Unterschrift (time stamping) als auch die Gültigkeit des Zertifikats im Moment der Unterschriftsleistung (LTV enabled signature).

Tipp: Worauf Sie bei der Einführung elektronischer Signaturverfahren achten sollten

# Gehen Sie das Thema elektronische Signaturverfahren ganzheitlich an.

Stellen Sie sich bereits im Vorfeld Fragen wie beispielsweise:

– Welche Abläufe im Unternehmen könnten durch elektronische Signaturverfahren beschleunigt werden?
– Gibt es Medienbrüche im Dokumentenmanagement?
– Können Schnittstellen zum Beispiel zu ERP- oder Dokumentenmanagementsystemen genutzt werden?

Es ist dabei nicht erforderlich, alle möglichen Anwendungsfälle direkt mit einzubeziehen – die Auswahl einer Lösung für elektronische Signaturverfahren sollte jedoch mittelfristig nicht die Einführung anderer Technologien behindern. Hier unterstützen wir Sie gerne bei der Auswahl.

# Nutzen Sie Angebote mit Wahlfreiheit.

Einige Unsicherheit besteht oft hinsichtlich der Frage, ob fortgeschrittene oder qualifizierte Signaturen erforderlich seien. Wir gehen davon aus, dass mit zunehmender Digitalisierung der Bedarf nach der Nutzung qualifizierter Signaturen steigen wird und raten daher zu einer Lösung, die bereits heute Wahlfreiheit anbietet.

Makro Factory unterstützt mit Angeboten zur Fernsignatur wahlfrei die Verwendung von einfachen, fortgeschrittenen und qualifizierten Signaturen durch den gleichen Zertifizierungsdienstanbieter.

# Achten Sie darauf, dass die Lösung Langzeitvalidierung unterstützt.

Besondere Bedeutung kommt der Langzeitvalidierung von elektronischen Signaturverfahren zu. Um auch langfristig Rechtssicherheit zu erhalten und die volle digitale Archivierbarkeit zu ermöglichen, muss die Signatur Long Term Validation (kurz LTV) unterstützen.


Benötigen Sie Unterstützung?

Planen Sie für Ihr Unternehmen die Umsetzung papierloser Workflows? Oder haben sie diese bereits eingeführt, müssen die Prozesse aber immer wieder unterbrechen, um Dokumente händisch zu signieren?

Elektronische Signaturen sind in vielen Unternehmen der noch fehlende Schlüssel zu einer umfassenden Digitalisierungsstrategie. Gehen Sie die nächste Stufe der digitalen Transformation an – mit der Makro Factory als Partner an Ihrer Seite!