Mythen der elektronische Signatur

Ideas for better business

Vorurteile gegen die elektronische Signaturen

 

1. Elektronische Signaturen müssen so aussehen wie die eigenhändigen Unterschrift

Die elektronische Signatur ist keine Bilddatei die man einmal mit der persönlichen Unterschrift eingescannt hat. Es handelt sich um ein kryptografisches Verfahren: Die Information zur Person und der sogenannte Hash-Wert des Dokumentes (eine einmalige mathematische Quersumme) werden mithilfe eines digitalen Zertifikates berechnet und verschlüsselt.
So ist die Signatur untrennbar mit dem elektronischen Dokument, zum Beispiel einer PDF, verbunden und die Integrität des Dokumentes garantiert.
Dieses Verfahren begleitet das Unterschreiben mittels der sogenannten fortgeschrittenen Signatur = Advanced Encryption Standard/AES und der qualifizierten elektronischen Signatur (QES).

In über 98% aller Fälle ist die einfache Signatur ausreichend.

2. Die elektronische Signatur ist nur mit einem Kartenlesegerät gültig.

Seit der Einführung der eIDAS-Verordnung (Electronic Identification, Authentication and trust Services) 2016 sind Hardwarekomponenten nicht mehr notwendig. Man benötigten einen privaten Signaturschlüssel und einen Server von DocuSign. Dieser ermöglicht die sichere, mobile Signatur etwa vom Smartphone oder Tablet oder einem anderen elektronischen Device und macht die alten Kartenlesegeräte, zusätzliche Software oder Signaturkarten überflüssig.

3. Wie kann das sicher sein? Missbrauch geht das?

Je höher die gewünschte Signaturstufe – das eIDAS unterscheidet nach der einfachen, fortgeschrittenen und qualifizierten elektronischen Signatur.  Die aktuelle einmalige individuelle Identifizierung des Signaturinhabers wird über ein Video-Ident-Verfahrens gewährleistet. Bei jeder Anwendung der qualifizierten  elektronischen Signatur (QES) ist zudem eine sogenannte Zwei-Faktor-Authentifizierung notwendig. Meist kommen dafür Username oder E-Mail-Adresse und Passwort zum Einsatz.

Die Authentifizierungsverfahren machen es praktisch unmöglich, dass jemand mittels einer elektronischen Signatur unbefugt im Namen einer anderen Person signiert. Zudem wird eine nachträgliche Veränderung des Dokumentes sichtbar.

4. Die Unterschrift ist nicht rechtssicher

Die digitale Signatur ist rechtsgültig und wird vor Gericht anerkannt! Die eIDAS-Verordnung sieht zwar für die mit der fortgeschrittenen oder die qualifizierten elektronischen Signatur digital unterschrieben wurden, ein höherer Beweiswert verbunden, als mit der einfachen Signatur. Die Vermutung der Richtigkeit ist nur schwer zu erschüttern (§ 371a ZPO). 

Der Gesetzgeber hat hier klare Voraussetzung geschaffen, die DocuSign weltweit garantieren kann. So wird für jede Transaktion ein digitaler Prüfbericht in Form eines Workflows erstellt, der den elektronischen Signierverlauf aufzeigt!

Für die einfache elektronische Signatur gilt zwar die freie richterliche Beweiswürdigung, dazu muss aber die Gegenseite substantiiert vortragen, dass diese manipuliert wurde. Der bloße Einwand der Manipulierbarkeit reicht nicht aus.

Beim digitalen Unterzeichnen wichtiger Geschäftsdokumente und Verträge empfehlen wir deshalb die fortgeschrittene elektronische Signatur und bei Dokumenten, welche die Schriftform erfordern empfehlen wir die qualifizierte elektronische Signatur.

Ein Sonderfall für öffentliche elektronische Dokumente von Behörden (§ 371a Abs. 3 ZPO), diese haben gemäß § 416 a ZPO in ausgedruckter Form die Beweiskraft öffentlicher Urkunden, sofern der Ausdruck mit Beglaubigungsvermerk versehen ist.

Öffentliche Dokumente sind also nur in elektronischer Form rechtsgültig, da es für private und geschäftliche elektronische Dokumente keine Regelung in der ZPO gibt, kommt dem Ausdruck eines elektronisch signierten Dokuments jedoch selbst in „beglaubigter“ Form keine entsprechende Beweiskraft zu.

5. Dokumente können ungewollt in die Hände Dritter gelangen

Vertrauensdienstanbieter, die für die Ausstellung der Signaturzertifikate zuständig sind, müssen sich zertifizieren lassen, um die Sicherheitsanforderungen der Europäischen Union zu erfüllen. Obwohl sich die Anbieter elektronischer Signaturen mitunter unterscheiden, nutzt DocuSign eigene deutsche und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierte Rechenzentren.

Sollte ein Rechnenzentrum gehacked werden, so kann der Angreifer die  elektronischen Daten nicht einsehen, da diese durch die (öffentliche und private) Transportverschlüsselung gesichert ist. DocuSign weiss also zu keiner Zeit, welche Informationen sich in den abgelegten Dokumenten befinden! Die Bedenken über Datensicherheit sind somit unberechtigt, solange Anwender auf eine eIDAS-konforme Signaturlösung setzen. Dies bietet ihnen der Weltmarktführer DocuSign garantiert.

6. Ich muss einen Account für elektronische Signaturen besitzen

Das Ziel der digitalen cloudbasierten Signaturlösungen ist es ihnen einen unkomplizierten Signaturprozess zu gewährleisten. Dafür benötigt der Signaturempfänger keinen eigenen Account, um ein Dokument elektronisch zu signieren. Der Initiator der Signatur benötigt für das zur Verfügung stellen der Dienstleistungen einen Account.

Etwas anders bei der qualifizierte elektronische Signatur (QES) zum Einsatz kommt. Hier müssen alle beteiligten Unterzeichner im Besitz einer qualifizierten elektronischen Signatur sein.