Rechtskonforme Signatur
Digital unterschreiben: Das sollten Sie wissen
Papierlose Büros setzen sich immer weiter durch und E-Mails mit Anhang ersetzen mit herkömmlicher Post verschickte Unterlagen. Signiert werden diese Unterlagen heute natürlich digital. Doch dabei gibt es einiges zu beachten.
Kaum jemand verschickt heute noch Briefe und Unterlagen auf dem herkömmlichen Postweg. E-Commerce und E-Gouvernment sind unaufhaltsam auf dem Vormarsch. Der Kreditantrag landet heute ebenso im E-Mail-Postfach wie die Unterlagen für die nächste Urlaubsreise.
Doch wer glaubt, dass eine handschriftliche Unterschrift heutzutage ausgedient hat, der täuscht sich – zumindest teilweise. Zwar ist es möglich, Dokumente digital zu unterzeichnen; doch handelt es sich dabei nicht einfach um eine eingescannte handschriftliche Unterschrift.
Vielmehr muss eine digitale Signatur den unterschiedlichsten Anforderungen genügen, damit sie rechtsverbindlich ist und im Zweifelsfall bei Rechtsstreitigkeiten herangezogen werden kann. Sie sollte unverwechselbar sein und steht dafür, dass die unterzeichnende Person damit eine Willenserklärung abgegeben hat.
Es reicht also nicht aus, seine eigene Unterschrift einzuscannen und als Bild gespeichert in digitale Dokumente zu integrieren. Denn so ist es nicht möglich, das Original von der Kopie (also dem gescannten Bild der Unterschrift) zu unterscheiden. Ganz abgesehen davon, dass jeder, der in Besitz dieser Bilddatei kommt, Dokumente mit dieser kopierten Unterschrift unterzeichnen kann.
Um eine herkömmliche, handschriftliche Unterschrift durch eine digitale zu ersetzen, muss letztere eindeutig, fälschungssicher und auch langfristig noch überprüfbar sein. Das trifft auf die sogenannte qualifizierte elektronische Signatur zu.
Elektronisch unterschreiben
Die genauen Anforderungen an eine elektronische Signatur sind in der eIDAS-Verordnung (Electronic Identification And Trust Services) geregelt. Diese Verordnung soll einheitliche Regeln für digitale Transaktionen in den Mitgliedstaaten der EU schaffen. Unterschieden wird dabei zwischen der einfachen, der fortgeschrittenen und der qualifizierten elektronischen Signatur.
Einsetzbar und zugelassen sind sie für verschiedene digitale Transaktionen. Die einfache digitale Unterschrift ist, wie die Bezeichnung schon vermuten lässt, die niedrigste Stufe des digitalen Signierens. Hohe Anforderungen werden nicht an diese einfache Variante der elektronischen Unterschrift gestellt. Sie dient unter anderem dazu, zu zeigen, wer der Absender einer E-Mail ist.
Dazu reicht es schon, die E-Mail mit einer Signatur zu versehen, aus der der Firmenname und die -anschrift sowie der Name des Absenders hervorgehen. Innerhalb eines Unternehmens kann sie eingesetzt werden, um beispielsweise Reisekostenabrechnungen oder Urlaubstage zu genehmigen.
Die eingescannte Unterschrift
Ebenfalls eine Form der einfachen digitalen Signatur ist die eingescannte handschriftli- che Unterschrift. Anwendung findet sie zum Beispiel in sogenannten formfreien Vereinbarungen. Außerdem wird diese Form der Signatur beim Empfang von Paketen eingesetzt. Wie auch die anderen digitalen Unterschriften ist selbst die einfache elektronische Unterschrift als Beweismittel in Rechtsstreitigkeiten durchaus zugelassen.
Verschlüsselt signieren
Bei der nächst höheren Stufe des digitalen Signierens, also bei der fortgeschrittenen elektronischen Unterschrift müssen gleich mehrere Bedingungen erfüllt sein. So muss der Unterzeichner eindeutig feststellbar sein. Die Übertragung der fortgeschrittenen digitalen Signatur muss also verschlüsselt erfolgen, sodass der Unterzeichner eindeutig identifiziert werden kann.
Für die Verschlüsselung können Unterzeichner asymmetrische Schlüsselverfahren wie PGP (Pretty Good Privacy) einsetzen. Dabei verschlüsselt der Absender die Daten mit seinem persönlichen (geheimen) Schlüssel.
Mit einem öffentlichen Schlüssel entschlüsselt der Empfänger die erhaltenen Daten und kann unter anderem über die durch den privaten Schlüssel hinzugefügten Daten feststellen, ob die Daten tatsächlich vom entsprechenden Absender stammen.
Zusätzlich zu der verschlüsselten Signatur ist es auch möglich, die Daten mit einem Zertifikat zu versehen. Dieses ist beglaubigt und enthält Angaben zur Identität des Absenders sowie zur zeitlichen Gültigkeit.
Wie handschriftlich unterschrieben
Die höchste Stufe beim digitalen Unterschreiben ist die qualifizierte elektronische Signatur. Sie entspricht, von ein paar Ausnahmen abgesehen, der handgeschriebenen Unterschrift. Sie muss deshalb besonderen Sicherheitsanforderungen genügen.
Bei der Übermittlung der Signatur sowie bei der Archivierung müssen sichere kryptografische Verfahren eingesetzt werden, sodass nachträgliche Veränderungen an der Signatur erkannt und nachvollzogen werden können. Sie ist Zertifikats-basiert und benötigt ein qualifiziertes Zertifikat eines Zertifizierungsdienstanbieters.
Erzeugen lässt sich solch eine qualifizierte elektronische Unterschrift mit einer sogenannten sicheren Signaturerstellungseinheit (SSEE), die neben der erforderlichen Software zum Beispiel einen Chipkartenleser einschließt. Eingesetzt wird diese Art der Signatur in Firmen und Behörden, um Workflows zu beschleunigen und Kosten zu sparen.
Verträge mit Tablet und Smartphone unterschreiben
Auch im privaten Umfeld wird das digitale Unterzeichnen immer wichtiger und hört nicht damit auf, dass der Empfang eines Pakets auf dem Mobilgerät des Zustellers per Fingerunterschrift bestätigt wird. Vielmehr ist es heute möglich, Verträge elektronisch zu signieren.
Das funktioniert über den Computer ebenso wie über Smartphones und Tablets. Dafür stehen verschiedene Programme und Apps zur Verfügung. Auf iPhones oder iPads können PDF-Dokumente direkt aus einer Mail heraus unterschrieben werden. Nach dem Öffnen des entsprechenden PDFs in der E-Mail, tippen Nutzer auf das Stift-Symbol oben rechts und anschließend auf das Plus-Zeichen. Mit einem Stift oder einfach mit dem Finger lässt sich danach eine Signatur einfügen.
Für Android gibt es Apps wie Adobe Fill & Sign. Allerdings handelt es sich dabei nur um die einfache Form der digitalen Unterschrift, die also eher einer mündlichen Übereinkunft als der einer handschriftlichen Signatur entspricht.
Anders ist das bei der sogenannten elektronischen Identifizierung, zum Beispiel über die Online-Ausweisfunktion des Personalausweises oder der eID-Karte. Letztere soll in Deutschland im November 2019 eingeführt werden.
Sie wird, ähnlich wie der Personalausweis, Basisdaten der Person enthalten und außerdem eine einfache und sichere Lösungen für die elektronische Identifizierung des Nutzers darstellen. Um beispielsweise ein Führungszeugnis zu beantragen, kann der Antragsteller via Internet mit seinem Personalausweis belegen, dass er tatsächlich der Antragsteller ist.
Dazu benötigt er heute kein Lesegerät mehr, um den Personalausweis einzulesen. Vielmehr reicht ein PC oder ein Smartphone und die kostenlose AusweisApp2. Sie stellt eine sichere Verbindung für die Übermittlung der Ausweisdaten her. Außerdem zeigt die App an, wer welche Daten zu welchem Zweck ausliest.
Um die Datenübertragung schließlich zu starten, muss die persönliche PIN eingegeben werden. Dabei läuft das Auslesen des Online-Ausweis-Chips des Personalausweises über Near Field Communication (Nahfeldkommunikation, NFC). Um die AusweisApp2 nutzen zu können, muss das Smartphone oder Tablet NFC unterstützen.
Das ist derzeit bei vielen Android-Geräten der Fall. Beim iPhone oder iPad gibt es zwar NFC, doch ist die Schnittstelle nicht vollständig für Drittanbieter freigegeben. Über ein iPhone ist es derzeit also nicht möglich, sich mit seinem Ausweis, etwa für Behördengänge, online zu identifizieren.
Darüber hinaus ist die Liste der Behörden, die über die AusweisApp2 verschiedene Services anbieten, nicht sonderlich lang. Einige Behördengänge ersparen sie den Nutzern der Personalausweis-App aber dennoch. Mit dabei sind zum Beispiel die Arbeitsagentur ebenso wie das Finanzamt und die Rentenversicherung. Außerdem soll die Liste im Zuge der Digitalisierung stetig weiter ausgebaut werden.
