Elektronische Signaturen und eIDAS

Harmonisierung der elektronischen Signatur in der EU

eIDAS-Verordnung im Überblick

eIDAS (Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen) ist eine EU-Verordnung über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen, die als Gesetz in der gesamten EU gilt.

Ziel der 2016 in Kraft getretenen eIDAS-Verordnung ist es, durch Transparenz, Sicherheit, Technologieneutralität, Zusammenarbeit und Interoperabilität den reibungslosen Ablauf des Handels in der EU zu erleichtern. Um diese Vorgaben zu erreichen, gewährleistet eIDAS Folgendes:

  • Standardisierung der Verwendung der elektronischen Identifizierung (eID)
  • Definition einer neuen Klasse von „elektronischen Vertrauensdiensten“ (eTS)
  • Klärung und Gewährleistung der Rechtsgültigkeit von elektronischer Signaturen
  • Schaffung eines EU-weiten europäischen Binnenmarktes für elektronische Vertrauensdienste

Diese Standards gelten sowohl grenzübergreifend als auch innerhalb der einzelnen Mitgliedsländer.

Elektronische Signaturen

Die eIDAS-Verordnung definiert drei Arten der elektronischen Signatur: Die (einfache) elektronische Signatur, die fortgeschrittene elektronische Signatur und die qualifizierte elektronische Signatur.

Gemäß eIDAS ist eine „elektronische Signatur“ definiert als „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet“.

Einfache elektronische Signatur

In der Praxis kann eine einfache elektronische Signatur jede Art von Unterschrift sein, die in einer elektronischen Umgebung geleistet wird und bei der der Unterzeichner seine Absicht bekundet hat, sich mit dem Inhalt des so unterzeichneten Dokuments einverstanden zu erklären (z. B. durch Anklicken einer Schaltfläche oder Ankreuzen eines Kästchens).

Fortgeschrittene elektronische Signatur

Gemäß eIDAS „erfüllt eine fortgeschrittene elektronische Signatur alle folgenden Anforderungen:

  1. Sie ist eindeutig dem Unterzeichner zugeordnet;
  2. Sie ermöglicht die Identifizierung des Unterzeichners;
  3. Sie wird unter Verwendung elektronischer Signaturerstellungsdaten erstellt, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann; und
  4. Sie ist so mit den auf diese Weise unterzeichneten Daten verbunden, dass eine nachträgliche Veränderung der Daten erkannt werden kann“.

In der Praxis können diese Elemente der eindeutigen Identität, der alleinigen Kontrolle und der Integrität des signierten Dokuments mit unterschiedlichen Mitteln erreicht werden, unabhängig davon, welche Technologie verwendet wird. Es sollte beachtet werden, dass die Identifizierung für Signierzwecke “elektronisch” sein kann oder nicht, um das Niveau der fortgeschrittenen elektronischen Signatur zu erreichen. Eine anerkannte eID gewährleistet eine sichere Authentifizierung der Identität des Unterzeichners in der Online-Umgebung.

Qualifizierte elektronische Signatur

Laut eIDAS ist eine „‚qualifizierte elektronische Signatur‘ eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde und auf einem qualifizierten Zertifikat für elektronische Signaturen beruht“.

In der Praxis bedeutet die Verwendung qualifizierter elektronischer Signaturen eine zusätzliche Sicherheitsstufe (oder Vertrauensstufe), die zu einer besonderen Rechtswirkung führt, die von den Gerichten in der EU anerkannt werden muss.

 

Ein rechtlicher Rahmen für elektronische Signaturen

Die grundlegenden rechtlichen Prinzipien, die der Verwendung elektronischer Signaturen zugrunde liegen, werden nicht durch eIDAS definiert. Sie sind vielmehr im Vertragsrecht zu finden, wo ein verbindlicher Vertrag dadurch zustande kommt, dass ein Angebot zum Abschluss eines Vertrags die Annahme dieses Angebots nach sich zieht. In Ermangelung rechtlicher Vorschriften, die die Form eines Vertrags, die Stufe der Signatur oder die Methode der Authentifizierung festlegen, kann ein Vertrag auf beliebige Weise geschlossen werden, einschließlich schriftlich in Papierform, mündlich oder mit einer einfachen elektronischen Signatur.

Die eIDAS-Verordnung ist ein rechtliches Regelwerk, das die Verwendung elektronischer Signaturen regelt, aber deren Verwendung nicht per se vorschreibt und auch keine Auswirkungen auf das Vertragsrecht hat. In der Verordnung heißt es:

Diese Verordnung berührt nicht das nationale Recht oder das Unionsrecht in Bezug auf den Abschluss und die Gültigkeit von Verträgen oder andere rechtliche oder verfahrensmäßige Formvorschriften.

In der Tat ist eine einfache elektronische Signatur für die überwiegende Mehrheit der Privat-, B2B- und B2C-Transaktionen sowie für Vereinbarungen zwischen Privatpersonen ausreichend und rechtsgültig. Um diesbezügliche Zweifel auszuräumen, wurde in der eIDAS-Verordnung ausdrücklich folgendes Grundprinzip verankert:

„Einer elektronischen Signatur darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt oder weil sie die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt.“

Zu beachten ist, dass nationale Gesetze in einigen Fällen höhere Anforderungen als die an eine einfache elektronische Signatur anlegen können, z. B. wenn besondere KYC-Anforderungen (Know Your Customer) gelten. Selbst wenn für eine gültige Signatur keine gesetzlichen Anforderungen vorgeschrieben sind, kann es sein, dass eine Partei die andere mit einer bestimmten Sicherheitsstufe authentifizieren möchte, wenn die Transaktion ein hohes Geschäftsrisiko birgt.

Scrive-Lösungen

Elektronische Signatur-Lösungen von Scrive

eIDAS erkennt an, dass das Unterzeichnen einer einfachen E-Mail mit Ihrem Namen als elektronische Signatur gelten kann. Dies könnte sogar nützlich und als Beweismittel bei Gericht ausreichend sein, aber eine E-Mail ist in erster Linie ein Kommunikationsmittel und keine qualitativ ausreichende Lösung für elektronische Signaturen.

Eine qualitativ hochwertige Lösung für elektronische Signaturen, wie sie Scrive anbietet, enthält mindestens Folgendes:

  • Nachweis der Absicht, zu unterzeichnen
  • Identitätsdaten einschließlich IP-Adresse, E-Mail-Adresse und digitale Protokolle (Transaktionsprotokoll)
  • Verknüpfung der Signatur mit dem Dokument
  • Schutz der Integrität des Dokuments

Tatsächlich geht die Lösung von Scrive über diese grundlegenden Anforderungen hinaus: Unser fortschrittliches Evidence Package stellt sicher, dass Dokumente, die Sie mit Scrive unterzeichnen, selbst auf der Stufe der einfachen elektronischen Signatur alle verfügbaren rechtlichen Nachweise aus dem Signaturprozess enthalten. Darüber hinaus ist jedes Dokument ein Nachweiscontainer mit geschützter Integrität, der praktisch unabhängig von Scrive ist, d. h. Sie müssen sich nicht auf Scrive und unsere Aufzeichnungen verlassen, um Zugang zu den Nachweisen zu haben. Alle Nachweise befinden sich in dem digital versiegelten Dokument.

Mit anderen Worten: Die Lösung von Scrive erfüllt die eIDAS-Anforderungen für einfache elektronische Signaturen nicht nur, sie übertrifft sie bei weitem.

Scrive-Lösungen

Fortgeschrittene elektronische Signaturen von Scrive

Scrive integriert lokale Versionen von eID-Methoden in seinen eSign-Service, um die Identität eines Unterzeichners beim Unterzeichnen sicher zu authentifizieren. Dies erfüllt die ersten drei eIDAS-Anforderungen an eine fortgeschrittene elektronische Signatur, nämlich dass sie „eindeutig dem Unterzeichner zugeordnet ist; die Identifizierung des Unterzeichners ermöglicht; (und) unter Verwendung elektronischer Signaturerstellungsdaten erstellt wird, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann“.

Um die Integrität von Dokumenten zu schützen, wendet Scrive in Zusammenarbeit mit unserem Lieferanten Guardtime eine digitale Signatur (d. h. eine „Versiegelung“, keine Unterschrift im rechtlichen Sinne) unter Verwendung der Technologie Keyless Signature Infrastructure (KSI) an. Damit ist die letzte der vier eIDAS-Anforderungen an eine fortgeschrittene elektronische Signatur erfüllt, nämlich dass „sie so mit den auf diese Weise unterzeichneten Daten verbunden ist, dass eine nachträgliche Veränderung der Daten erkannt werden kann“.

Da eIDAS technologieneutral ist, kann es mehrere Möglichkeiten geben, um die Anforderungen an eine fortgeschrittene elektronische Signatur zu erfüllen. Sie haben vielleicht schon von PAdES (PDF Advanced Electronic Signature) gehört, einem bekannten eIDAS-konformen Standard. Scrive bietet PAdES nicht an, da die digitale Signaturtechnologie KSI noch sicherer und robuster ist.

Scrive-Lösungen

Qualifizierte elektronische Signatur von Scrive

Scrive bietet derzeit QES-Dienste in Partnerschaft mit Swisscom und Verimi an. Dadurch stellen wir sicher, dass unsere Kunden die Art von elektronischer Signatur wählen können, die ihren Bedürfnissen entspricht.  Um weitere Informationen zu erhalten, kontaktieren Sie uns hier und erfahren Sie hier mehr über unsere QES-Lösungen.

Loslegen mit Scrive eSign!

Jetzt testen oder mehr erfahren

Probieren Sie unser unverbindliches Testkonto oder kontaktieren Sie uns für mehr Information zur elektronischen Signatur.