Digital signieren: Vorgehen und Stolpersteine
Unterschriftsreif
Wer das Potenzial elektronischer Signaturen ausschöpfen will, muss gut planen. Bei der Einführung verlangen rechtliche, technische und organisatorische Aspekte Beachtung.
Für elektronische Signaturen und Siegel gibt es zahlreiche unterschiedliche Anwendungsfälle. Die in der seit 2016 EU-weit geltenden eIDAS-Verordnung („electronic IDentification, Authentication and trust Services“) geregelten Vertrauensdienste für elektronische Transaktionen schaffen vielfältige Möglichkeiten zum Digitalisieren und Optimieren von Geschäftsprozessen (siehe ix.de/ix1811066).
Zwei wesentliche Vorteile von elektronischen Signaturen gegenüber Papier und Stift sind die medienbruchfreie Einbettung von Unterschriften in Prozesse sowie die technisch sichergestellte Integrität und Authentizität signierter Dokumente und Transaktionen. Mit eIDAS und der deutschen Konkretisierung in Form des Vertrauensdienstegesetzes von 2017, das das Signaturgesetz von 2001 abgelöst hat, sind die rechtlichen Rahmenbedingungen klarer und vereinfachen insbesondere die länderübergreifende Gültigkeit und Anerkennung elektronischer Signaturen in der EU (siehe ix.de/ix1811066).
Gerichte dürfen ihnen nicht allein deswegen ihre Wirksamkeit beziehungsweise Beweiskraft absprechen, weil sie in elektronischer Form vorliegen. Qualifizierte elektronische Signaturen (QES) haben die gleiche Rechtswirkung wie handschriftliche, und andere EU-Länder müssen sie anerkennen. Nichtsdestotrotz kann es aufgrund nationaler Einzelgesetze Fälle geben, die weiterhin handschriftliche Unterschriften erfordern, etwa im Arbeitsrecht. Sie lassen sich daher nicht vollständig ersetzen.
Um die Vorteile elektronischer Signaturen nutzen zu können, benötigt man geeignete Software und die dazugehörige Infrastruktur. Je nach Anwendungsfall und rechtlichen Erfordernissen unterscheiden sich die Angebote gravierend. Das Spektrum reicht von Einzelplatzanwendungen mit Kartenleser bis hin zu Cloud-Lösungen mit verteilten Nutzern und angeschlossenen Vertrauensdienstleistern – der Markt ist einigermaßen unübersichtlich.
Ohne Vertrauen geht es nicht
Neben dem Signieren standardisiert die eIDAS-Verordnung weitere sogenannte Vertrauensdienste, die wichtige Funktionen rund um das Absichern von Transaktionen bieten. Es gibt Anforderungen an verschiedene Qualifizierungsstufen der Dienste, wobei „qualifiziert“ oder „hoch“ jeweils die höchste Stufe bezeichnet (Abbildung 1). Eine interaktive Landkarte der Vertrauensdiensteanbieter, die im Rahmen des EU-finanzierten Future-Trust-Projekts etabliert wurde, kann bei der Auswahl helfen (siehe ix.de/ix1811066).
Das Signieren von Dokumenten findet stets in einem fachlichen Kontext statt, das heißt, es muss in die relevanten Geschäftsprozesse eingebettet werden. Dazu bindet ein Unternehmen die Signatursoftware in die Fachanwendungen ein. In diesem Zuge können weitere Änderungen an Prozessen und Systemen erforderlich oder sinnvoll sein, die bei der Planung des Vorhabens Berücksichtigung finden müssen. Abbildung 2 zeigt die Abfolge der wesentlichen Analyseschritte.
Schritt 1 – Potenzial und Voraussetzungen untersuchen: Dieser Schritt dient dazu, das Potenzial für das Einführen der elektronischen Signatur einzuschätzen sowie grundsätzliche Rahmen- und Randbedingungen zu ermitteln. Wichtig können hier etwa Zeit- oder Budgetvorgaben sein. In diesem Schritt sollte eine Gegenüberstellung von erwartetem Nutzen und möglichen Risiken und Kosten erfolgen, die in weiteren Schritten vertieft wird. Bereits jetzt lässt sich späterer Optimierungsbedarf an Prozessen und Systemen feststellen. Sollte sich dabei ergeben, dass sich das Vorhaben mit hoher Wahrscheinlichkeit nicht lohnt, kann man es schon jetzt beenden.
Schritt 2 – Signaturszenarien ermitteln: Einige wichtige Fragen betreffen Grundlegendes: Wie viele und welche Parteien sind am Signieren einzelner Dokumente beteiligt? Wo und wie werden die zu signierenden Dokumente erzeugt? Wohin müssen sie nach dem Signieren verteilt und wo abgelegt werden? Das Szenario bestimmt maßgeblich die Lösungsarchitektur. Sind qualifizierte elektronische Signaturen erforderlich, muss jeder Unterzeichner ein entsprechendes Zertifikat besitzen und die Signaturanwendung benötigt Zugriff darauf. Wenn mehrere Unternehmen beteiligt sind, die ihre Zertifikate bei unterschiedlichen Dienstleistern verwahren, so muss die Signatursoftware mit deren Systemen gekoppelt werden. Ohne Beteiligung externer Parteien lässt sich alles on Premises umsetzen.
Schritt 3 – rechtliche Anforderungen klären: Hier geht es im Wesentlichen darum, herauszufinden, ob für den Anwendungsfall eine elektronische Signatur zulässig ist und wenn ja, welche Qualifizierungsstufe er verlangt. Es könnte sein, dass statt persönlicher Zertifikate Siegel für eine juristische Person ausreichen (etwa für eine GmbH).
Oft reichen einfache Maßnahmen
Erfahrungsgemäß neigen einige Unternehmen dazu, ihre Anforderungen auf das Maximum auszurichten, also insbesondere alle Signaturen auf qualifiziertem Niveau zu fordern. Tatsächlich gibt es in den meisten Fällen aus rechtlicher Sicht nicht einmal ein Schriftformerfordernis. Einfache Signaturen reichen oft aus, wenn sich die Echtheit durch anderweitige technische Maßnahmen hinreichend sicherstellen lässt. Dies erspart den mit qualifizierten Signaturen verbundenen Aufwand, etwa zum Beschaffen und Verwalten der Zertifikate.