Rechtssicher digital unterschreiben

Signatur ist nicht gleich Signatur. Nachfolgend eine Übersicht der aktuell am Markt verfügbaren Möglichkeiten.

Unterschriften unter Dokumenten sind in der digitalen Welt selten geworden. An ihre Stelle tritt die elektronische Signatur. Sie gibt es in mehreren Varianten. Die unterscheiden sich vor allem im Grad der Rechtssicherheit.

Die einfache elektronische Signatur

Wie der Name schon sagt, ist sie die einfachste Form der Signatur. Einfach bedeutet hier, dass sie in Form und Inhalt keinen strengen gesetzlichen Regeln folgen muss. Ihr Zweck ist es, den Urheber einer Mitteilung oder Nachricht kenntlich zu machen. Und dafür genügt bereits eine Vorgabe der Geschäftsführung beziehungsweise eine als Bild in ein Dokument eingescannte Unterschrift. Im Gegenzug hat sie bei juristischen Streitfällen unter Umständen eine nur geringe Beweiskraft, denn über die bestimmt das jeweilige Gericht im Einzelfall.

Die einfache elektronische Signatur reicht im unternehmensinternen Verkehr und für formfreie Vereinbarungen aus. Zum Beispiel für Bestellungen, Verträge, Anträge, Bescheinigungen, Dokumentationen, Protokolle.

Lt. verschiedenen Untersuchungen genügt die einfache elektronische Signatur in 90 Prozent aller geschäftlichen Anwendungsfälle.

Die fortgeschrittene elektronische Signatur

Im Vergleich zur einfachen elektronischen Signatur gelten für sie strenge Vorschriften – geregelt im Gesetz zur Elektronischen Signatur (SigG) sowie der Verordnung zur elektronischen Signatur (SigV). Die fortgeschrittene elektronische Signatur muss demnächst folgende drei Voraussetzungen erfüllen:

  1. Eine mögliche Manipulation von Daten muss erkennbar sein.
  2. Die Signatur muss eindeutig mit einer bestimmten Person verknüpft sein.
  3. Und diese Person muss im Zweifelsfall belegen, dass diese Signatur sowohl von ihr stammt als auch unter den erforderlichen Sicherheitsmaßnahmen entstanden ist.

Welche Sicherheitsmaßnahmen sind das? Die fortgeschrittene elektronische Signatur muss auf einem einmaligen und geheimen Software-Schlüssel beruhen. Dieser darf allein mit Mitteln unter Kontrolle des Signaturherstellers, also der mit der Signatur verknüpften Person, zustande gekommen sein. Außerdem kann – muss aber nicht – ein digitales Zertifikat dazugehören. Mehr dazu im Abschnitt „qualifizierte elektronische Signatur“.

Und wie funktioniert das Schlüssel-Prinzip? Der Verfasser einer digitalen Mitteilung erstellt mit seiner Signatur-Software aus den zu signierenden Daten eine Prüfsumme, auch Hash-Wert genannt. Das macht später auch der Empfänger. Ist dann der Hash-Wert nicht identisch, sind die Daten nach ihrer Signierung manipuliert worden. Ferner verliert die Signatur ihre Gültigkeit, wenn das Dokument verändert wird.

Die einfache und die fortgeschrittene elektronische Signaturen können gem. § 127 BGB (Bürgerliches Gesetzbuch) für formfreie Vereinbarungen eingesetzt werden. Es empfiehlt sich eine Vertragsklausel, in der beide Parteien die elektronische Form als gewillkürte Schriftform rechtsgültig vereinbart erklären.

Die qualifizierte elektronische Signatur

Sie wird vom Gesetz einem „richtigen“ Dokument in Papierform und einer realen Unterschrift gleichgestellt und bietet die höchste Beweislast. Deshalb muss die qualifizierte elektronische Signatur besonders strenge Anforderungen erfüllen. So hat sie zertifikatsbasiert zu sein.

Was bedeutet das? Wenn Sie diese Form der Signatur nutzen wollen, dann müssen Sie sich bei einem Trust Center beziehungsweise einem Zertifizierungsdiensteanbieter registrieren. Dieser garantiert die Übereinstimmung eines öffentlichen, asymmetrischen Signaturprüfschlüssels und Ihre Identität als Signaturschlüsselinhaber. In der Regel gilt das für einen vorbestimmten Zeitraum, beispielsweise zwei Jahre. Anbieter hier sind die Bundesdruckerei (D-Trust), DGN Deutsches Gesundheitsnetzwerk, Deutsche Telekom AG, Bundesnotarkammer, medisign GmbH.

Praktisch bedeutet das, dass Sie sich bei der Zertifizierungsstelle per Ausweis identifizieren und einen schriftlichen Antrag einreichen. Daraufhin quittiert das Trust Center mit einem Zeitstempel den Eingang Ihrer Daten zu einem bestimmten Zeitpunkt. Ein Vor- oder Rückdatieren ist damit nicht möglich. Diese Information kann im Streitfall beweiserheblich sein.

Die qualifizierte elektronische Signatur verlangt zudem nach einem Schlüsselsystem mit abgekapselten Chipkarten oder USB-Sticks. Diese müssen unter Verwendung von sicheren Signaturerstellungseinheiten (SSEE) entstehen.

Damit ist die qualifizierte elektronische Signatur geeignet für:

  1. eVergabe für öffentliche Vergabeverfahren
  2. elektronische Rechnungsstellung
  3. Umsatzsteuervoranmeldung für das Finanzamt
  4. Anmeldung zum Handelsregister für Notare
  1. Die qualifizierte elektronische Signatur mit freiwilliger Anbieterakkreditierung

Sie entspricht technisch der qualifizierten elektronischen Signatur. Der Unterschied: Das Trust Center unterstellt sich freiwillig der Kontrolle der Bundesnetzagentur. Damit belegt es, dass es die Vorschriften nach dem Signaturgesetz und der Signaturverordnung einhält.

Dafür gibt es von der Bundesnetzagentur ein Gütesiegel. Das so „geadelte“ Trust Center darf sich anschließend als akkreditierten Zertifizierungsdiensteanbieter bezeichnen und sich im Rechts- und Geschäftsverkehr auf die nachgewiesene Sicherheit berufen.