Für jeden Geschäftsvorgang die passende Signaturlösung
Es gibt sie noch – die Unterschriftenmappe. Doch im Laufe der Digitalisierung wird auch diese in naher Zukunft ein Artefakt des analogen Arbeitens werden. Schon heute gibt es elektronische Signaturen auf unterschiedlichen Niveaus, die je nach Anlass genutzt werden können. In diesem Blogbeitrag gehen wir auf alle wichtigen Fragen rund um das Thema ein.
Warum brauchen wir elektronische Signaturen?
Die gesetzlichen Voraussetzungen wurden mit der eIDAS -Verordnung europäisch vereinheitlicht und verbessert (s. Quelle). Seither werden qualifizierte elektronische Signaturen und Siegel grenzüberschreitend in Europa anerkannt und auch in der öffentlichen Verwaltungen in Deutschland finden sie immer öfter den Weg in den Arbeitsalltag.
Da elektronische Dokumente und Daten keine Integrität und Authentizität von sich aus mitbringen, wird diese durch digitale Signaturen und/oder Siegel hergestellt. Sie basieren auf einem Kryptografie-Verfahren, welches mittels Schlüsselpaaren die nicht abstreitbare Urheberschaft sowie die Nichtveränderbarkeit eines Dokumentes oder Datensatzes nachweist. Nutzende können diese Schlüsselpaare auf unterschiedlichen Vertrauensniveaus einsetzen, die wiederum – und hier schließt sich der Kreis – von der Güte der Identität abhängen.
Eine Möglichkeit elektronische Signaturen oder Siegel anzubringen ist Governikus DATA Sign – unsere Signatur und Siegelplattform. Diese kann als Webanwendung genutzt werden oder sie wird in das gewünschte Fachverfahren integriert. Im Rahmen der IT-Planungsrats Anwendung steht DATA Sign allen Institutionen aus Bund, Ländern und Kommunen zur Verfügung, was die Integration vereinfacht und unkompliziert möglich macht.
Welches Signaturniveau ist denn nun das Richtige?
Signatur oder Siegel?
Ein elektronisches Siegel kann den herkömmlichen Behörden- / Unternehmensstempel ersetzen. Im Schulterschluss mit dem gerade verabschiedeten OZG Änderungsgesetz vereinfacht es die weitere und sichere Digitalisierung in der Verwaltung (s. Quelle). Es wird daher sehr häufig auf qualifiziertem Niveau genutzt. Ein qualifiziertes elektronisches Siegel ist darauf ausgelegt, die Integrität und Herkunft eines elektronischen Dokuments zu gewährleisten. Es unterscheidet sich von einer qualifizierten elektronischen Signatur, die dazu dient, die Identität einer natürlichen Person zu bestätigen und ist daher bspw. auf eine Behörde oder ein Unternehmen ausgestellt.
Eine elektronische Signatur ersetzt die herkömmliche Unterschrift einer natürlichen Person und ist demnach immer an eine individuelle Person gebunden. Die Signatur dient dazu, die Authentizität und Integrität eines Dokuments sicherzustellen, sowie die Identität des Unterzeichners zu bestätigen. Qualifizierte elektronische Signaturen genießen eine spezielle Rechtswirkung: Sie sind rechtlich den handschriftlichen Unterschriften gleichgestellt und müssen in allen EU-Mitgliedstaaten als solche anerkannt werden. Ihre Rechtsgültigkeit und Beweiskraft wird von vornherein anerkannt. Dies stellt das höchste Niveau einer Signatur da, daneben können auch Signaturen auf einfachem und fortgeschritten Niveau Verwendung finden.
Was bedeutet das nun auf die Praxis bezogen?
Einfache Signatur
Für eine einfache Signatur wird theoretisch keine Signaturlösung benötigt. Jeder von uns kann zum Beispiel in seinem E-Mail-Postfach eine Signatur am Ende seiner E-Mail Anhängen oder aber ein Bild seiner analogen Unterschrift als Bild in ein Dokument einfügen und würde somit auf dem Niveau einfach signieren. Dies ist nicht viel mehr als ein „optisches Bild“ und generiert keine Sicherheitsgarantien, denn die oben angesprochenen Kryptografie-Verfahren kommen nicht zum Einsatz. Dies birgt auch viele Risiken, weil die empfangende Person nicht überprüfen kann, ob diese Nachricht wirklich von der besagten Person stammt. Diese Unterschrift gilt nicht als rechtssicher, wird aber in der „alltäglichen Bürokommunikation“ von uns allen genutzt.
Fortgeschrittene Signatur
Anders sieht es bei der fortgeschrittenen Signatur aus. Hier wird ein individuelles, digitales Zertifikat einer Person zugeordnet (dessen Identität geprüft ist), welches bei einem Vertrauensdiensteanbieter hinterlegt ist. Sie wird mit elektronischen kryptografischen Mitteln erstellt und mit den zu unterzeichneten Daten verbunden, sodass eventuelle Veränderungen der Daten identifizierbar sind. Dadurch ist die Integrität eines Dokumentes sichergestellt. Außerdem ist die Empfängerseite dazu in der Lage die Identität zu validieren. In der Praxis können damit Dokumente unterschrieben werden, die nicht der gesetzlichen Formvorschrift unterliegen, sprich auch mündlich und per Handschlag geschlossen werden können.
Qualifizierte Signatur
Die Qualifizierte Signatur hat das höchste Sicherheitsniveau und die stärkste Rechtswirkung. Auch wenn die fortgeschrittene Signatur die Integrität eines Dokumentes bestätigen kann und die Identität der unterzeichnenden Person vorab überprüft wurde und von Dritten validiert werden kann, erfüllt sie dennoch nicht die Anforderungen, um die Schriftform auf Papier zu ersetzen und das höchste Vertrauensniveau zu erfüllen. Denn dafür muss die Identität einer Signatur-Innehabenden Person von einem qualifizierten Vertrauensdiensteanbieter (QVDA) bestätigt worden sein. Dies wird dann mittels qualifiziertem Zertifikat festgehalten. Qualifizierte Signaturen erfüllen somit alle Anforderungen einer fortgeschrittenen Signatur, müssen darüber hinaus aber mit dem qualifizierten Zertifikat und unter Verwendung eines Authentifizierungsverfahren erstellt werden. Nutzende merken dies unmittelbar, da bei der qualifizierten Signatur eine Zwei-Faktor-Authentifizierung, z. B. durch Tan auf Telefon / Handy als zweiten Faktor unumgänglich ist. Für die Praxis bedeutet es: Alle Dokumente, die die Schriftform verlangen, müssen mit einer elektronisch Qualifizierten Signatur unterschrieben werden, um rechtsgültig zu sein.