Anders als in anderen europäischen oder globalen Märkten hat die elektronische Signatur in Deutschland nur zögernd Akzeptanz gefunden. Das wird sich mit dem Inkrafttreten der europäischen Richtlinie 2014/910 – auch bekannt als EIDAS (Electronic Identification and Signature) – wahrscheinlich grundlegend verändern. Die Technik erleichtert auch die digitale Transformation.

Fortschrittliche Lösungen für die E-Signatur bieten wesentlich mehr als nur die digitale Repräsentation der handgeschriebenen Bestätigung eines Dokuments. Vielmehr bilden sie für viele Organisationen die Basis für Wettbewerbsvorteile durch niedrigere Prozesskosten, mehr Vertrauen und bessere Kontrolle über die internationalen Geschäftsbeziehungen. Schätzungen gehen davon aus, dass jede Transaktion, die mit Papier, Drucken, Unterschreiben, Scannen, Versenden, Archivieren und dem Wiederauffinden verlorener Dokumente verbunden ist, Kosten von mehr als 30 Euro pro Vorgang verursacht. Dennoch haben Unternehmen in Deutschland lange gezögert, in die elektronische Signatur zu investieren – teils weil diese noch immer als schwierig in der Anwendungspraxis gilt, teils weil es Unsicherheiten hinsichtlich der rechtlichen Gültigkeit gab.

Seit dem Inkrafttreten der paneuropäischen Direktive am 1. Juli 2016 ist die rechtliche Bindung im nationalen oder internationalen Geschäft kein Argument mehr. Und mit der Verfügbarkeit entsprechender Lösungen für eine einfache Installation und die komfortable Nutzung lässt sich das Zögern nur mehr auf kulturelle Eigenheiten oder Informationsmangel zurückführen.

Es ist zugegebenermaßen etwas schwierig, eine exakte technische Definition der elektronischen Signatur zu geben, weil der Ausdruck in der Diskussion recht frei verwendet wird. In der Praxis existieren verschiedene Begriffe mit unterschiedlichen Bedeutungen, jeweils abhängig vom Kontext, darunter elektronische Signatur, digitale Signatur oder auch qualifizierte elektronische Unterschrift. Letztlich muss die elektronische Signatur die Authentizität und Integrität des unterschriebenen Dokuments sicherstellen. Jede Veränderung am Dokument nach dem Signieren macht es ungültig. In diesem Sinne schützen elektronische Signaturen vor Urkundenfälschungen und Manipulationen der Inhalte.

Die international rechtlich anerkannte Signatur muss vier Bedingungen erfüllen. Bild: Docusign

Die international rechtlich anerkannte Signatur muss vier Bedingungen erfüllen. Bild: Docusign

In der Praxis gibt es tatsächlich nicht nur einen Typus der E-Signatur, vielmehr bestehen vielfältige Methoden für das Unterschreiben eines Dokuments. Bei der einfachen digitalen Signatur geht es darum, ein Abbild der Signatur eines Unterzeichners in ein Dokument einzufügen, sofern die Identität und die Bereitschaft zur Signatur im Rahmen eines entsprechenden Prüfprozesses gegeben sind. Sobald das Bild der Unterschrift integriert ist, wird das Dokument versiegelt. Validierungsprozesse, die keine finale Versiegelung bieten, gelten nicht als elektronische Signatur.

Bei der biometrischen Signatur handelt es sich um einen speziellen Typus der elektronischen Signatur, der technische Implementierungen basierend auf handgeschriebenen Daten nutzt, darunter Druck, Neigungswinkel, Auf- und Absetzen des Stiftes etc. Sie werden durch biometrische Sensoren auf speziellen Tablets ermittelt, die den jeweiligen lokalen Stellen zur Verfügung stehen müssen. Zudem bedarf es einer Registrierung der Signatur im Vorfeld.

Hinzu kommen zwei Subtypen der digitalen Signatur: Token-basierte Unterschriften, bei denen der private Schlüssel des Unterzeichners in einer Smartcard, einem USB-Stick oder einer ID-Card gespeichert ist, sowie Server- oder Cloud-basierte Signaturen, bei denen eine vertrauenswürdige und zertifizierte Institution (Qualified Trust Service Provider, QTSP) die privaten Schlüssel im Auftrag des Unterzeichners aus der Ferne verwaltet.

Token hat ausgedient

Die Token-basierte Signatur ist der historische Weg zur Unterzeichnung von Dokumenten: Ein Anwender verbindet einen USB-Token oder eine ID-Card mit dem Computer und kann mittels geeigneter Software und dem digitalen Zertifikat im Hardware-Token die Unterschrift leisten. Diese Technik gilt als ausgesprochen sicherer Weg, weil sie den physischen Besitz des Hardware-Tokens wie auch die Kenntnis der entsprechenden PIN voraussetzt. Allerdings verlangt diese Methode die Bereitstellung der Hardware-Tokens an alle möglichen Unterzeichner. Dies ist vor allem eine Option für kleinere und geschlossene Ökosysteme, macht sie aber für den Masseneinsatz unbrauchbar. Mit dem Server-basierten oder Cloud-basierten Signaturansatz starteten einige Innovatoren um 2005 mit der Idee, die privaten Schlüssel und Zertifikate in einer sicheren Server- oder Cloud-Plattform statt auf einem physischen Token zu speichern. Die Unterzeichner müssen sich mit dieser Methode lediglich sicher bei der Plattform authentifizieren, um private Schlüssel remote zu aktivieren und Dokumente digital zu unterschreiben.

Die aktuellen Gesetze in Europa und in Deutschland beziehen sich aus rechtlicher Perspektive auf drei unterschiedliche Signaturtypen: die elektronische Signatur, die fortgeschrittene elektronische Signatur (Advanced Electronic Signature, AES) und die qualifizierte elektronische Signatur (QES). Diese Typen bilden drei Ebenen mit zunehmenden Authentifizierungsanforderungen, wobei die qualifizierte Signatur den höchsten Sicherheitslevel darstellt.

Die neue EIDAS-Richtlinie stellt sicher, dass alle drei Level der Signaturen als beweiskräftig in rechtlichen Prozessen zugelassen sind. Die Level AES und QES basieren auf persönlichen digitalen Zertifikaten; die QES-Ebene hat dieselbe rechtliche Gültigkeit wie eine handgeschriebene Unterschrift und kann sowohl Token- wie auch Server-basiert sein.

Selbst die einfache elektronische Signatur ist unter der EIDAS-Richtlinie als beweiskräftig anerkannt. Dieser Aspekt der Richtlinie gleicht dem Esign-Gesetz (Electronic Signatures in Global and National Commerce) in den USA und ist das Leitprinzip hinter der großen Mehrzahl der elektronischen Verträge, die gegenwärtig in Europa geschlossen werden. Es versetzt die beteiligten Parteien in die Lage, eine Transaktion mit zusätzlichen Sicherheitsmaßnahmen zu ergänzen.

Die historische Entwicklung der EIDAS-Richtlinie. Bild: Docusign

Die historische Entwicklung der EIDAS-Richtlinie. Bild: Docusign

Eine fortgeschrittene Signatur muss gegenüber der einfachen elektronischen Signatur zusätzliche Kriterien bezüglich der Identifikation des Unterzeichners und des Formats erfüllen. Der hauptsächliche Zweck der fortgeschrittenen Signatur ist die Nutzung von Standardisierungen, die ihre Akzeptanz als Beweismittel zwischen zwei beteiligten Parteien und in juristischen Verfahren vereinfachen. Dementsprechend verlangt AES ein höheres Maß an Authentifizierung, um sicherzustellen, dass es sich bei dem Unterzeichner einer Mitteilung wirklich um die Person handelt, die er vorgibt zu sein. Die Methode vertraut auf standardisierte Signaturformate in PDF- oder XML-Dokumenten.

Ein qualifiziertes Zertifikat ist ein elektronisches Datum, das eine natürliche Person oder eine rechtliche Instanz sicher mit einem Unterschriftsschlüssel in Verbindung setzt, nachdem die Identität formgerecht verifiziert worden ist. Ist dieses Zertifikat mit einer fortgeschrittenen elektronischen Signatur und einem sicheren Device – sei es ein Token oder Server-basiert – verbunden, erhält diese Kombination einen erhöhten Status und wird zu einem funktionalen Äquivalent der handgeschriebenen Signatur.

EIDAS verändert die Landschaft

EIDAS bringt zwei wichtige Veränderungen der qualifizierten elektronischen Signatur. Erstens kann auch eine Cloud-basierte Signatur qualifiziert sein, sodass Smartcards nicht mehr nötig sind. Zweitens gibt es nun eine automatische Anerkennung der qualifizierten elektronischen Signatur in ganz Europa. Beide Veränderungen sind wichtig: EIDAS ermöglicht grenzüberschreitende Projekte, weil alle Beteiligten wissen, dass die Unterschrift in allen EU-Mitgliedsstaaten die gleiche Gültigkeit besitzt. Dies wird einen positiven Einfluss auf deutsche Unternehmen haben, die im Ausland Geschäfte tätigen.

Aber die bahnbrechende Neuerung ist letztlich, dass EIDAS auch Cloud-basierte Signaturen qualifiziert. Viele Branchen wie etwa die Finanzinstitute waren bisher in Deutschland nicht in der Lage, digitale Unterschriften einzuführen, weil die damit verbundene Logistik zur Bereitstellung von Hardware an alle potenziellen Kunden viel zu aufwändig war.

Da Unternehmen nun in Deutschland Cloud-basierte Lösungen einsetzen können, um ihre Dokumente elektronisch zu unterzeichnen, können auch sie von der Richtlinie profitieren: zum Beispiel durch die Reduzierung von Fehlern beim Ausfüllen von Dokumenten und damit verbunder Zusatzarbeiten, durch die einfachere Nachverfolgung von Vereinbarungen und Verträgen, durch mehr Effizienz dank Vermeidung papierbasierter Prozesse oder durch die Beschleunigung von Onlineverträgen – und dies alles ohne die Nachteile der Distribution, Verwendung und mangelnder Skalierung von Hardware-Tokens.

Einfachere Prozesse für die digitale Transformation

Mit der Akzeptanz der digitalen Lösungen für elektronische Signaturen können Organisationen nun die Effizienz und Sicherheit ihrer Transkationen verbessern. Durch EIDAS rechtlich gesicherte qualifizierte digitale Signaturen auf Server-Basis sind effizienter und kostengünstiger als komplexe und schwerfällige Smartcard-basierte Systeme. Mitarbeiter, Lieferanten, Kunden oder andere Stellen können nun selbst hochsensible Dokumente auch mittels Mobilgerät und eines Remote-Servers unterzeichnen. Die Tatsache, dass mit EIDAS nun auch die jüngsten verfügbaren Techniken für die digitale Signatur in Deutschland zum Einsatz kommen können, hilft dabei, organisatorische Prozesse zu rationalisieren und Verwaltungskosten zu senken.

Jasper Frederiksen ist Vice President und General Manager EMEA bei Docusign ().