Einfach erklärt: Die verschiedenen Niveaus der digitalen Signatur
Veröffentlicht am 31.05.2023
Elektronische Signaturen ersetzen in der digitalen Welt die persönliche Unterschrift. Je nach Sicherheitsniveau und Rechtswirkung gibt es drei unterschiedliche Signatur-Arten: die einfache elektronische Signatur (EES), die fortgeschrittene elektronische Signatur (FES) und die qualifizierte elektronische Signatur (QES). Wir erklären hier die Unterschiede.
Digitale Signaturen – unverzichtbar für die Digitalisierung
Elektronische Signaturen sind ein wichtiges Instrument für die Digitalisierung von Geschäftsprozessen. Sie verhindern den Medienbruch, der durch eine händische Unterschrift entsteht: Dokumente werden ausgedruckt, per Hand unterzeichnet und anschließend wieder digital erfasst. Das verursacht Kosten und ist zeitaufwendig, da es bei vielen Kunden den Prozess aufhält und verlangsamt. Hier helfen elektronische Signaturen, indem sie durchgängig digitale Workflows unterstützen.
Die drei Signatur-Niveaus
Die gesetzliche Grundlage für digitale Signaturen legt die europäische eIDAS-Verordnung. Sie schafft im gesamten EU-Raum einen einheitlichen rechtlichen Rahmen für sogenannte Vertrauensdienste, darunter auch die elektronische Signatur.
Die Verordnung unterscheidet drei Niveaus digitaler Signaturen:
- die einfache elektronische Signatur (EES),
- die fortgeschrittene elektronische Signatur (FES),
- die qualifizierte elektronische Signatur (QES).
Einfache elektronische Signatur (EES)
Bei der einfachen elektronischen Signatur sind Daten in digitaler Form anderen digitalen Daten beigefügt oder logisch mit ihnen verbunden. Dies ist zum Beispiel bei der E-Mail-Signatur der Fall. Zu einfachen elektronischen Signaturen zählen auch eingescannte Unterschriften, die als Grafiken in Dokumenten eingefügt werden.
Auch wenn einfache elektronische Signaturen nach wie vor sehr weit verbreitet sind, sind diese durch die Empfängerseite oder Dritte nicht validierbar und bieten keine Sicherheit in digitalen Prozessen.
Fortgeschrittene elektronische Signatur (FES)
Die fortgeschrittene elektronische Signatur besitzt ein höheres Sicherheitsniveau. Sie muss folgende Anforderungen erfüllen:
- Sie ist eindeutig der unterzeichnenden Person zugeordnet und ermöglicht deren Identifizierung.
- Sie ist mit elektronischen Mitteln erstellt und wird durch eine Freigabe (beispielsweise Authentifizierung mittels eines Faktors) ausgelöst.
- Sie ist so mit den unterzeichneten Daten verbunden, dass eine nachträgliche Änderung oder Manipulation der Daten erkennbar ist.
In der Praxis kommen bei der fortgeschrittenen elektronischen Signatur moderne kryptografische Verfahren zum Einsatz. Diese schützen die Inhalte der Dokumente vor nachträglichen Manipulationen (Integrität). Zudem wird die Identität des Signatur-Inhabers geprüft (Authentizität). Für die Empfängerseite oder Dritte ist die Identität bei der FES entsprechend nachvollziehbar und kann validiert werden.
Qualifizierte elektronische Signatur (QES)
Das höchste Sicherheitsniveau und die stärkste Rechtswirkung weist die qualifizierte elektronische Signatur auf. Die Identität des Signatur-Inhabers wird in diesem Fall von einem Vertrauensdiensteanbieter bestätigt – beispielsweise der D-Trust GmbH, einem Unternehmen der Bundesdruckerei-Gruppe – und ist jederzeit für die Empfängerseite oder Dritte validierbar (Authentizität). Das signierte Dokument kann nicht unbemerkt verändert oder die Signatur auf ein anderes Dokument übertragen werden (Integrität).
Qualifizierte elektronische Signatur: maximale Sicherheit und höchster Beweiswert
Für viele Verträge und Dokumente ist in deutschen Gesetzen die Schriftform vorgeschrieben. Von allen drei Signatur-Niveaus entspricht ausschließlich die qualifizierte elektronische Signatur dem gesetzlich vorgeschriebenen Schriftformerfordernis und kann damit die handschriftliche Unterschrift in diesen Fällen ersetzen.
Was ist der Unterschied zwischen fortgeschrittener und qualifizierter elektronischer Signatur?
Fortgeschrittene und qualifizierte elektronische Signaturen unterscheiden sich bei der Zertifikatsausstellung, dem Authentifizierungsverfahren sowie der Rechtswirkung.
Qualifizierte elektronische Zertifikate dürfen laut eIDAS-Verordnung nur von sogenannten qualifizierten elektronischen Vertrauensdiensteanbietern (frühere Bezeichnung: Trustcenter) ausgestellt werden. Diese unterliegen besonders strengen Vorgaben für Datenschutz und IT-Sicherheit. Sie werden regelmäßig durch nationale Aufsichtsbehörden geprüft, in Deutschland durch die Bundesnetzagentur. Bei der fortgeschrittenen elektronischen Signatur kann auch eine unternehmenseigene Stelle die Zertifikate ausstellen, verwalten und verteilen.
Zweites Unterscheidungsmerkmal ist das eingesetzte Authentifizierungsverfahren. Die qualifizierte elektronische Signatur sieht hierbei zwingend eine Zwei-Faktor-Authentifizierung vor, zum Beispiel per App oder SMS-TAN.
Und drittens gilt rechtlich bei der qualifizierten elektronischen Signatur die Beweislastumkehr: Unterliegen fortgeschrittene elektronische Signaturen vor Gericht einer freien richterlichen Beweiswürdigung, so gilt bei einem Rechtsstreit über eine QES die weitreichende Beweiskraft, was die Annahme sowohl zur Echtheit des Inhalts als auch zur geprüften Identität angeht. Um diesen erhöhten Beweiswert gegebenenfalls auch bei hohen Haftungsrisiken zu erreichen, kann für alle elektronischen Dokumente unabhängig von gesetzlichen Vorschriften immer auf eine QES zurückgegriffen werden. Zugespitzt gilt hier im doppelten Sinne: Im Zweifel für die QES.
Anwendungsgebiete
Die Einsatzmöglichkeiten der elektronischen Signatur umfassen die unterschiedlichsten Branchen und Anwendungen:
- In Behörden und öffentlichen Einrichtungen werden Signaturen beispielsweise bei Förderanträgen, Baugenehmigungen, öffentlichen Ausschreibungen oder im elektronischen Abfallnachweisverfahren (eANV) eingesetzt.
- Im Gesundheitswesen lassen sich Krankenkassenabrechnungen, Rezepte, OP-Einwilligungserklärungen oder Entlassungsbriefe elektronisch unterschreiben.
- Unternehmen der freien Wirtschaft profitieren bei Arbeitsverträgen oder der elektronischen Rechnungsverarbeitung.
Wie oben erwähnt muss überall dort, wo das Gesetz die Schriftform vorsieht, zwingend die qualifizierte elektronische Signatur eingesetzt werden. Sie besitzt das höchste Sicherheitsniveau und die stärkste Rechtswirkung. Die Verwendung der QES kann jedoch auch an anderer Stelle sinnvoll sein, insbesondere wenn Organisationen sich in geschäftskritischen Fällen absichern wollen oder gerichtliche Auseinandersetzungen nicht auszuschließen sind.
Digitale Signaturen: technisch ausgereift und rechtssicher
Alle drei digitalen Signatur-Niveaus können die per Hand geleistete Unterschrift durch eine elektronische Alternative ablösen. Die Technologien sind ausgereift und vielfach im Einsatz. Eine hohe Rechtswirksamkeit ist für die FES und insbesondere bei der QES sichergestellt. Impulsgeber für eine schnelle Verbreitung ist die eIDAS-Verordnung: Sie setzt einen einheitlichen, europaweit gültigen Rechtsrahmen für digitale Signaturen und definiert die heute angewandten Signatur-Verfahren.
Eines der Verfahren ist die Fernsignatur: Mit dieser wird die elektronische Unterschrift auch mobil, etwa per Tablet oder Smartphone, ermöglicht. Wie das in der Praxis funktioniert, zeigt das Produkt sign-me von D-Trust.
D-Trust bietet für qualifizierte elektronische Signaturen außerdem Signaturkarten an. Beide Produkte können sich je nach Anwendungsbereich ergänzen und sind auf die jeweiligen Anforderungen der Kunden zugeschnitten.