Elektronische Signatur: Weder optischer Platzhalter, noch rechtlich ungültig
26. Juni 2020
Im Rahmen der Corona-Pandemie hat sich der Bundesrat am 01.04.2020 für eine befristete Änderung der Verordnung über elektronische Signaturen (VZertES) ausgesprochen: Für eine Dauer von sechs Monaten werden die Hürden für die Ausstellung einer digitalen Signatur gesenkt. Um Reisen und persönliche Kontakte einzudämmen, wurde eine Videoidentifikation bei der Ausstellung von Zertifikaten ermöglicht.
Innerhalb dieser sechs Monate ist es möglich, die Identifizierung per Video vorzunehmen. So muss der Signierende nicht mehr persönlich bei der Registrierungsstelle vorsprechen, um die elektronische Signatur zu erhalten. Entspannt sich die Lage innerhalb der Geltungsdauer, können die Bestimmungen schon früher aufgehoben werden. Elektronische Signaturen, die in dieser Zeit gesetzt werden, behalten jedoch unbefristet Gültigkeit.
Bei elektronischen Dokumenten ersetzt die elektronische Signatur die handschriftliche Unterschrift. Das macht Sinn, lässt sich doch durch eine solche Signatur die Herkunft, die Echtheit und die Unversehrtheit des betreffenden Dokuments prüfen. Die elektronische Signatur schafft zwar Fakten statt Fakes. Dennoch kursieren verschiedene Annahmen, die die E-Signatur fast schon mystisch erscheinen lassen.
So glauben beispielsweise einige, die elektronische Signatur sei ein optischer Platzhalter für die Stelle, an der eigentlich die handschriftliche Signatur steht. Andere meinen, die E-Signatur sei nicht rechtsgültig. Es hält sich beispielsweise auch hartnäckig das Gerücht, es gäbe nur eine Art der elektronischen Signatur. Tatsächlich wird unterschieden in einfache, fortgeschrittene sowie qualifizierte elektronische Signaturen.
Verschiedene Anforderungen werden gestellt
Für jede Art gelten bestimmte Anforderungen an die Signatur: Bei qualifizierten elektronischen Signaturen sind die Anforderungen am höchsten, bei einer einfachen elektronischen Signatur hingegen existieren keine besonderen Anforderungen. Sie ist jedoch rechtlich auch nicht beweiswürdig. Als einfache elektronische Signatur gilt beispielsweise der Name des Verfassers am Ende einer E-Mail. Fortgeschrittene elektronische Signaturen erlauben es, den Unterzeichner eindeutig zu identifizieren.
Aus rechtlicher Sicht steht dann die sich auf die Signatur berufende Partei in der Beweispflicht: Sie muss belegen können, dass die digitale Signatur sowie die Identifizierungsmerkmale Echtheit besitzen. Die höchste Form, nämlich die qualifizierte elektronische Signatur, basiert ihrerseits auf einem qualifizierten Zertifikat. Hinzu kommt, dass die Signatur mit einer sicheren Signaturerstellungseinheit zu erstellen ist. In rechtlicher Sicht ersetzt die qualifizierte elektronische Signatur die Unterschrift in Schriftform auf dem Papier.
Damit sind Dokumente oder Dateien mit fortgeschrittener oder qualifizierter E-Signatur grundsätzlich rechtsgültig und werden von Gerichten beweiskräftig anerkannt. Oft herrscht der Irrglaube, elektronische Signaturen seien lediglich ein optischer Platzhalter für die handschriftliche Unterschrift auf Digital-Dokumenten. Vermutlich rührt dieser Irrglaube daher, dass die einfache elektronische Signatur tatsächlich ohne gerichtliche Beweiskraft ist. Eine elektronische Signatur ist aber weder eine Bilddatei noch ein Platzhalter, sondern wird durch ein kryptografisches Verfahren gebildet.
Verschlüsselter Hashwert
Neben Informationen zur Person wird auch der sogenannte Hashwert mithilfe eines digitalen Zertifikats kalkuliert und verschlüsselt. Die Signatur verbindet sich so mit untrennbar mit dem elektronischen Dokument, was die Integrität dieses Dokuments sichert. Sowohl die fortgeschrittene als auch die qualifizierte elektronische Signatur (QES) funktionieren nach diesem Prinzip.
Werden Dokumente hingegen durch eine gescannte Unterschrift ohne dieses Verschlüsselungsverfahren getätigt, handelt es sich um eine einfache Signatur. Übrigens: Die elektronische Signatur setzt kein Kartenlesegerät voraus. Bei E-Signaturen kommen sogenannte Fernsignaturen ins Spiel: Private Signaturschlüssel lassen sich auf den Servern des Vertrauensanbieters generieren. So sind Signaturen in mobiler Form auch vom Smartphone aus möglich. Kartenlesegeräte sowie zusätzliche Software oder auch Signatur- bzw. Chipkarten sind vollkommen überflüssig.
Es ist außerdem nicht möglich, dass beliebige Personen mit beliebigen Namen unterschreiben können. Strenge Authentifizierungsverfahren machen es nahezu unmöglich, eine elektronische Signatur zu fälschen und unbefugt im Namen anderer Personen zu unterzeichnen. Nachträgliche Änderungen betreffender Dokumente werden zudem sichtbar.
Eine webbasierte Signaturlösung etwa, die für die Qualifizierte Elektronische Signatur (QES) zum Einsatz kommt, setzt die einmalige Identifizierung des Signaturinhabers durch Vertrauensdienstanbieter voraus. Video-Ident-Verfahren sind dabei genauso denkbar wie die Online-Ausweisfunktion des Personalausweises. Bei jeder weiteren Anwendung der QES wird die Identität über eine Zwei-Faktor-Authentifizierung bestätigt, die aus einem Login mit Usernamen oder E-Mail-Adresse sowie Passwort und außerdem SMS-TAN bestehen kann.
Auch dieses Gerücht hält sich hartnäckig: Jeder Geschäftspartner benötigt einen eigenen Account zum digitalen Signieren. In aller Regel stellen Signaturlösungen einen unkomplizierten Signaturprozess bereit. Vom Signaturempfänger wird kein eigener Account verlangt, um Dokumente elektronisch zu signieren. Ausreichend ist es, wenn der Initiator einer Signatur einen Account beim Vertrauensdienstanbieter seiner Wahl besitzt.
Eine Ausnahme gibt es: Möchten beide Unterschriftsparteien auf höchstmögliche Rechtssicherheit setzen oder erfordert das zu zeichnende Dokument die Schriftform, muss die qualifizierte elektronische Signatur gewählt werden. Alle Unterzeichner müssen in einem solchen Fall im Besitz der QES sein und sich an die jeweiligen Identifizierungs- sowie Authentifizierungsanforderungen halten.
Patrycja Tulinska ist Geschäftsführerin der PSW GROUP.
