In letzter Zeit tauchten eine Vielzahl unterschiedlicher elektronischer Signatursysteme auf dem Markt auf. Wenn man vor ein paar Jahren von elektronischen Unterschriften sprach, kam uns nur der Einsatz von digitalen Zertifikaten in den Sinn. Diese könnten qualifiziert oder nicht qualifiziert sein (früher wurden sie als “anerkannt” bezeichnet) und kamen in manchen Fällen zusammen mit einer kryptografischen Karte zum Einsatz, wodurch eine sogenannte qualifizierte Signatur entsteht.
Eine Signatur, die nur auf digitalen Zertifikaten basiert, erfüllt jedoch nicht alle Anforderungen an diese neue Art von Unterschriften, so dass in den vergangenen Jahren Systeme mit unterschiedlichen Signaturmethoden erschienen sind: die elektronische handschriftliche Signatur (biometrische Signatur), die elektronische Remote-Signatur auf der Grundlage von Nachweisen des Prozesses und auch elektronische Signaturen basierend auf digitalen Zertifikaten mit Verschlüsselung, die zentralisiert in einem HSM gesichert werden.
In diesem Beitrag werden wir kurz die verschiedenen Arten der elektronischen Signatur, ihre gesetzliche Gültigkeit und ihre korrekte Bezeichnung erläutern.
Elektronische Unterschrift oder digitale Unterschrift?
In letzter Zeit haben wir mehrere Artikel gelesen, die das eine oder andere Konzept unterscheiden, je nachdem, ob die Unterschrift auf PKI-Technologie (digitale Signatur) basiert oder nicht (elektronische Signatur).
Tatsächlich taucht der Begriff “digitale Signatur” nicht im europäischen Rechtssystem auf (das nur von der elektronischen Signatur spricht), während andere Rechtssysteme, wie das der USA zwischen der elektronischen und der digitalen Signatur unterscheiden. Auch die lateinamerikanische Gesetzgebung, wie z. B. in Kolumbien, legt diese Unterscheidung eindeutig fest.
Meiner Meinung nach, ist die verwendete Terminologie dabei am wenigsten wichtig, denn es hängt von den Normen ab, die wir anwenden. Wir können jedoch drei Levels von Unterschriften etablieren, die wir, um es zu vereinfachen, elektronisch nennen werden:
- Einfache elektronische Unterschrift
- Fortgeschrittene elektronische Signatur
- Qualifizierte elektronische Signatur
Einfache, fortgeschrittene oder qualifizierte Unterschrift
Wenn wir uns die Verordnung 910/2014 (eIDAS) ansehen, werden die drei Arten von elektronischen Unterschriften definiert als:
- Elektronische Signatur, “Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.” Wir sehen, dass auch der Begriff „einfache Signatur“ in der Form nicht existiert. Wir sprechen demnach von einer ersten Grundstufe der Unterschrift ohne weitere Nachweise.
- Fortgeschrittene elektronische Signatur, “eine elektronische Signatur, die die Anforderungen des Artikels 26 erfüllt.” Diese Anforderungen sind a) Sie ist eindeutig dem Unterzeichner zugeordnet; b) Sie ermöglicht die Identifizierung des Unterzeichners; c) Sie wird unter Verwendung elektronischer Signaturerstellungsdaten erstellt, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann; und d) Sie ist so mit den auf diese Weise unterzeichneten Daten verbunden, dass eine nachträgliche Veränderung der Daten erkannt werden kann.
Offensichtlich hat der Gesetzgeber über die Public-Key-Technologie (PKI) nachgedacht, als er die fortgeschrittene Signatur definierte, doch das Prinzip der technologischen Neutralität verhindert, dass man sich darauf beschränkt.
- Qualifizierte elektronische Signatur, “eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde und auf einem qualifizierten Zertifikat für elektronische Signaturen beruht.” Das heißt, die qualifizierte elektronische Signatur basiert auf einem öffentlichen Schlüssel und verwendet zudem ein sicheres Signaturerstellungsgerät und ein qualifiziertes Zertifikat.
Damit eine Unterschrift als qualifiziert gilt, müssen mehrere Anforderungen erfüllt sein: die Verwendung eines von einer geprüften und qualifizierten Stelle ausgestellten Zertifikats mit Merkmalen und Anforderungen für die vorherige Identifizierung des Unterzeichners; die Ausstellung der Schlüssel, auf denen das Zertifikat basiert, auf einer kryptografischen Karte oder einem gleichwertigen Servergerät unter Verwendung einer Zwei-Faktor-Authentifizierung etc.
Aufgrund der genannten Anforderungen ist es nicht einfach mit der qualifizierten Signatur zu arbeiten. Doch während sie unter vielen Einschränkungen in Bezug auf die Benutzerfreundlichkeit leidet, spricht das Gesetz ihr die maximale Garantie und funktionale Gleichwertigkeit wie der handschriftlichen Unterschrift zu.
Wie wir in einem anderen Beitrag erwähnten, hat der Unterschied zwischen „fortgeschrittenen“ und „einfachen“ elektronischen Signaturen einen geringen Wert in der Praxis.
In Europa und mit Ausnahme von sehr speziellen Fällen, wie dem spanischen Verwaltungsverfahrensgesetz (LPAC 39/2015), das fortgeschrittenen Signaturen mit qualifizierten (unqualifizierten) Zertifikaten einen besonderen Stellenwert einräumt, kann der Unterschied zwischen fortgeschrittenen und „einfachen“ Signaturen ein gewisses Lehrinteresse, jedoch wenig wirkliches Interesse, haben. Denn die einzige Unterschrift, der das Gesetz bestimmte Vermutungen zugrunde legt, ist die qualifizierte Unterschrift – wenn auch mit Einschränkungen. Jede andere Art von Unterschrift muss ihren Wert vor Gericht nachweisen, so dass es nicht auf die Signaturmethode im Sinne von „einfach“ oder fortgeschritten“ ankommt, sondern auf ihre Beweiskraft.
Handschriftliche elektronische Unterschrift oder biometrische Unterschrift
Die handschriftliche elektronische Unterschrift hat verschiedenen Namen: biometrische Unterschrift, graphometrische Unterschrift, digitalisierte Unterschrift usw. Es handelt sich um die traditionelle handschriftliche Unterschrift, die mit digitalen Mitteln anstelle von Stift und Papier erstellt wird, weshalb wir am liebsten den Begriff “handschriftliche elektronische Signatur” oder “elektronische handschriftliche Unterschrift” nutzen.
Diese Art der Unterschrift erfordert eine spezielle Analyse und Behandlung.
Aufgrund ihrer Haupteigenschaft, die Erstellung auf digitalem Wege, ist sie stets eine handschriftliche Unterschrift, so dass es nicht notwendig ist, nach einer funktionalen Äquivalenz mit der handschriftlichen Unterschrift zu suchen, da dies bereits der Fall ist.
In der Tat ist die Art und Weise, in der sie erstellt und ihre Authentizität und Integrität bewertet werden, einer handschriftlichen Unterschrift auf Papier viel näher als einer elektronischen Signatur, so dass sie stets in jenen Prozessen akzeptiert werden sollten, für die das Rechtssystem eine handschriftliche Unterschrift erfordert, außer in Fällen, in denen, aus welchen Gründen auch immer, die Verwendung von Papier obligatorisch ist, wobei dies nicht sehr verbreitet ist.
Es ist wichtig zu bedenken, dass die traditionelle Methode von Stift und Papier nur wenige Derivate hat und zudem ein Konsens über ihre Verwendung besteht – die Integrität des Dokuments und seine Authentizität zu gewährleisten. Bei der elektronischen Version muss eine große Anzahl von Faktoren berücksichtigt werden, was bedeutet, dass nicht alle biometrischen Signaturen als gleichwertig angesehen werden und daher nicht die gleichen rechtlichen Garantien haben.
Systeme zur Zentralisierung der Schlüssel
Üblicherweise verlangen elektronische Signatursysteme, die auf digitalen Zertifikaten basieren, dass der Inhaber der digitalen Zertifikate die Signaturschlüssel „physisch“ besitzt und er die alleinige Kontrolle über sie hat.
Mit der Verabschiedung der eIDAS-Verordnung gibt es jedoch Neuigkeiten: die Nutzung der Schlüssel muss immer noch unter Kontrolle des Besitzers erfolgen, doch dem Zertifizierungsdiensteanbieter, der das Zertifikat ausstellt, ist es nun erlaubt, die Schlüssel in einem sicheren zentralisierten Signaturerstellungsgerät zu verwahren.
Die Anerkennung von Signaturen als fortgeschritten oder qualifiziert hängt von mehreren Faktoren ab, wobei die wichtigsten Faktoren sind, ob das ausgestellte Zertifikat qualifiziert ist oder nicht, ob die Schlüssel generiert wurden und nicht aus dem Gerät selbst extrahiert werden können und ob das Servergerät, das die Schlüssel der Unterzeichner speichert, als sicheres Signaturerstellungsgerät (zertifiziert) betrachtet werden kann und der Zugriff des Nutzers auf die Schlüssel eine Zwei-Faktor-Authentifizierung erfordert.
Die Nutzung dieses Services hat die Nutzbarkeit der Signatur auf Basis digitaler Zertifikate gegenüber dem herkömmlichen System deutlich verbessert und ist für eine Vielzahl von Fällen das beste System. Doch leidet sie immer noch unter erheblichen Einschränkungen, da es sich oft um teure Systeme handelt, die eine vorherige Identifizierung des Nutzers gegenüber dem Anbieter, der das Zertifikat ausstellt, erfordern. Dies bedeutet, dass eine Lösung gefunden werden muss, um auch „nicht angemeldeten“ Benutzern diesen Service zu bieten.
Elektronische Remote-Unterschrift und nachweisbasierte Unterschrift
Es gibt Momente, in denen wir die Unterschrift einer Person benötigen, die nicht persönlich vor Ort ist, und diese Person verfügt nicht über ein digitales Zertifikat oder ein Gerät, das die biometrischen Merkmale ihrer Unterschrift mit ausreichenden Garantien erfassen kann, so dass eine andere Signatur-Art als die bereits erläuterten erforderlich ist.
Die so genannte Remote-Unterschrift oder E-Signatur kann je nach Konfiguration als „einfache“ Signatur oder fortgeschrittene Signatur betrachtet werden, es handelt sich dabei jedoch niemals um eine qualifizierte Signatur, da dies die Verwendung eines qualifizierten Zertifikats und eines sicheren Signaturerstellungsgeräts erfordern würde, wie im vorherigen Abschnitt erwähnt.
In diesem Fall wird der geringe oder hohe rechtliche Wert einer E-Signatur dadurch erreicht, dass eine Reihe von Nachweisen des Prozesses der Unterschrift von einem unabhängigen Dritten gesammelt werden. Im Falle eines Rechtsstreits kann eine Unterschrift somit einer bestimmten Person sicher zugewiesen werden. Die Erfolgswahrscheinlichkeit hängt in einem solchen Rechtsstreit im Wesentlichen von der Menge und Qualität der gesammelten Nachweise ab, zu denen folgende gehören können:
- E-Mail-Adresse des Unterzeichners
- IP-Adresse des Geräts, auf dem die Operationen vorgenommen werden
- Mobiltelefonnummer, an die die SMS mit dem Passwort für die Unterschrift gesendet wird
- Einmalschlüssel für die Unterschrift (OTP)
- Handschriftliche Unterschrift auf dem Gerät
- Geolokalisierung
- Browser, von dem aus der Prozess ausgeführt wurde
- Einmalzertifikat
- Zeitstempel
- Langfristig gültige Unterschriften
Diese Systeme sind sehr einfach in der Handhabung, doch sind die Beweise, die sie liefern, schwer vor Gericht zu verteidigen, da es fast unmöglich ist, zu beweisen, dass es zum Beispiel diese Person war und nicht jemand anderes, der auf die E-Mail zugegriffen und in Ihrem Namen unterschrieben hat.
Die Sicherheit des Systems wird durch das Versenden einer SMS an das Mobiltelefon des Unterzeichners als „Zwei-Faktor-Authentifizierung“ erheblich verbessert und in anderen Fällen, wie z.B. beim ViDSigner-Service, wird der Signaturprozess durch das Hinzufügen einer handschriftlichen Unterschrift des Unterzeichners auf seinem Gerät (dritter Faktor) rechtlich abgeschlossen.
In diesem Fall ist die biometrische Signatur nicht von solcher Qualität wie im vorherigen Fall, und sie allein hat vor Gericht keine Geltung, doch die Vereinigung von Beweisen – E-Mail, SMS und handschriftliche Unterschrift – macht diese Signatur zu einem robusten Beweis.
Schlussfolgerungen
Wie wir bereits erwähnt haben, gibt es keine „gültigeren“ Unterschriften als andere, da Artikel 25 der eIDAS-Verordnung und der Großteil der Gesetzgebungen deutlich machen, dass „eine elektronische Signatur nicht als Beweis in Gerichtsverfahren abgelehnt werden darf, nur weil sie eine elektronische Signatur ist oder weil sie die Anforderungen einer qualifizierten elektronischen Signatur nicht erfüllt“.
Abgesehen von der zentralen oder traditionellen qualifizierten Signatur, die eine Beweisvermutung begründet (obwohl dies nicht unwiderlegbar ist) und die sehr spezifische Anwendungsfälle hat, existieren andere Systeme, die einen gleichermaßen robusten oder sogar robusteren Beweis liefern können und die sich zudem perfekt an jeden spezifischen Anwendungsfall anpassen.
Bei Validated ID ist es uns wichtig, die Bedürfnisse unserer Kunden zu bedienen und ihnen Signaturservices zu bieten, die maximale rechtliche Garantien für den Prozess bieten. Aufgrund dessen verfügen wir über einen Mehrkanal-Signaturservice, der je nach Bedarf des Kunden die Verwendung von zentralisierten digitalen Zertifikaten, biometrischen Signaturen, Remote-Signaturen, automatischen Stempeln und sogar NFC-Karten ermöglicht. All diese können miteinander kombiniert werden können und sind untereinander kompatibel.
Wenn Sie mehr über die verschiedenen Arten von elektronischen Signaturen und die Möglichkeiten von VIDsigner erfahren möchten, fordern Sie weitere Informationen über unsere Kontaktseite an.