E-Signatur mit Vertrauen: ein praktischer Leitfaden
E-Signaturen gibt es zwar schon seit einiger Zeit, aber heute sind wir mehr denn je auf sie angewiesen. Das liegt zum Teil an der Pandemie und der boomenden Fernarbeitskultur, ist aber auch eine Folge der fortschreitenden Digitalisierung. Menschen eröffnen Bankkonten, ohne jemals eine Bank aufzusuchen; Unternehmen stellen neue Mitarbeiter ein, ohne sie jemals zu sehen. Dinge aus der Ferne zu erledigen, ist die neue Norm, aber wenn rechtliche Verpflichtungen ins Spiel kommen, können Fehler teuer werden.
Rechtliche Verpflichtungen kristallisieren sich in der Regel in Verträgen heraus. Im Wesentlichen legt ein Vertrag eine gemeinsame Basis fest, indem er die Bedingungen für eine Vereinbarung angibt. Er identifiziert auch die Parteien (zwei oder mehr), die an der Vereinbarung beteiligt sind, und legt eindeutig fest, wer sie sind. Schließlich hat ein Vertrag einen langfristigen Wert, da beide Seiten für ihre Verpflichtungen einstehen müssen. Hält eine der Parteien ihr Wort nicht, kann die andere Partei sie zur Erfüllung ihrer Zusagen zwingen.
In der Praxis lassen sich diese Ziele auf drei wesentliche Elemente reduzieren:
Identität
Wie bereits kurz erwähnt, sollte aus jedem Vertrag klar hervorgehen, wer die beiden (oder mehr) Parteien sind. Dabei geht es nicht nur darum, den Namen jedes Unterzeichners zu notieren, sondern auch 100%ig sicher zu sein, dass ein und dieselbe Person den Vertrag unterschreibt. Die persönliche Unterschrift erleichtert die Sache - Sie können die Identität eines Unterzeichners immer bestätigen, indem Sie ihn bitten, einen gültigen Ausweis vorzulegen. Aber was ist mit der Fernunterzeichnung?
Integrität
Natürlich sollten Sie nur dann einen Vertrag unterzeichnen, wenn Sie mit den darin enthaltenen Bedingungen einverstanden und bereit sind, Ihren Teil zum Vetrag beizutragen. Hier kommt ein weiteres Problem ins Spiel: Manipulationen. Wie können Sie sicherstellen, dass niemand den Vertrag nach der Unterzeichnung ändert?
Der Erhalt einer physischen Kopie eines handschriftlich unterzeichneten Vertrags ist eine Möglichkeit, dieses Risiko zu verringern. Eine weitere Sicherheitsmaßnahme ist die Unterzeichnung jeder Seite eines mehrseitigen Vertrags. Diese Tipps gelten jedoch nicht für die Fernsignatur. Daher ist es wichtig, das Risiko abzuschätzen und eine elektronische Signatur mit einer angemessenen Sicherheitsstufe zu wählen.
Verlässlichkeit
Ein letzter Punkt ist, dass jeder Vertrag die beiden Parteien (zusammen mit den Vertragsbedingungen) auf nachhaltige und zuverlässige Weise einbinden muss. Nur dann ist der Vertrag zuverlässig, durchsetzbar und fair.
Verlässlichkeit steht in direktem Zusammenhang mit Vertrauensverhältnissen. Natürlich ist es einfacher, jemandem zu vertrauen, wenn man bereits eine dauerhafte Beziehung und eine gute Erfolgsbilanz bei rechtlichen Vereinbarungen hat. Aber was ist mit jemandem, den Sie gerade erst kennengelernt haben und über den Sie noch nicht viel wissen?
Hier kommen die verschiedenen Sicherheitsebenen von elektronischen Signaturen zum Tragen.
Was unterscheidet eIDAS-regulierte e-Signaturen von anderen?
Es gibt drei Arten von eIDAS-regulierten elektronischen Signaturen: einfache (SES), fortgeschrittene (AES, nicht zu verwechseln mit dem kryptografischen Algorithmus AES) und qualifizierte (QES). Sie alle sind mit einem Zertifikat ausgestattet, das die Identität des Nutzers mit seiner elektronischen Signatur verbindet. Ein Zertifikat unterscheidet geregelte elektronische Signaturen z. B. von Bildern eingescannter handschriftlicher Unterschriften. Ein eingescanntes Bild einer Unterschrift ist zwar leicht zu kopieren, aber jeder kann es verwenden, und es ist einfach nicht zuverlässig. Da diese Art von Unterschrift auch keinen direkten Bezug zur Identität des Unterzeichners hat, wie kann man ihr vertrauen? Nun, in den meisten Fällen ist dieses Vertrauen nur eine Vermutung.
Selbst auf der niedrigeren Sicherheitsstufe des SES sind eIDAS-regulierte Signaturen nicht übertragbar - nur der Besitzer der Signatur kann sie verwenden. Außerdem verfügen alle drei Signaturen über Funktionen zur Erkennung von Manipulationen: Wenn jemand den Inhalt eines mit einer elektronischen Signatur unterzeichneten Dokuments ändert, kann dies erkannt werden. Wenn ein Dokument mit einer QES signiert ist, wird der Versuch, die Signatur durch eine gefälschte zu ersetzen, ebenfalls verhindert, da QES nur nach erfolgreicher Identifizierung verfügbar sind.
Es ist wichtig, die formalen Anforderungen einzuhalten, aber letztendlich läuft die Wahl auf eine wichtige Frage hinaus: Kennen Sie denjenigen, mit dem Sie unterschreiben, bereits und vertrauen Sie ihm? Je geringer das anfängliche Vertrauen ist, desto höher sollte die Sicherheitsstufe Ihrer elektronischen Unterschrift sein. - Robert Hoffmann, Sicherheitsbeauftragter bei ZealiD
|
SES, AES oder QES: für welches Verfahren soll man sich entscheiden?
Letztlich basiert die Wahl auf dem Grundprinzip des Vertrauens. Sind Sie sich der Identität des anderen Unterzeichners sicher, und können Sie diese im Falle eines Fehlers beweisen?
Das Signieren mit SES und AES basiert auf Vertrauensbeziehungen. Beide Parteien müssen darauf vertrauen, dass der andere genau derjenige ist, der er vorgibt zu sein. Das liegt daran, dass es keine dritte Partei gibt, die beide Identitäten von einem neutralen Standpunkt aus überprüfen und verifizieren könnte. Als Faustregel gilt daher, dass Sie SES oder AES nicht mit jemandem verwenden sollten, mit dem Sie noch nie zu tun hatten.
In der Praxis wird der SES meist für interne Vorgänge und Vereinbarungen verwendet. Dazu gehören u. a. der VPN-Zugang zum Unternehmen, interne Freigaben und Dokumentation. Da sich die Unternehmen und ihre Mitarbeiter bereits kennen und sich bereits rechtlich verpflichtet haben, ist die Gefahr einer internen Nachahmung gering. Ähnlich verhält es sich mit der AES bei längerfristigen Beziehungen zwischen
QES ist der Ort, an dem die dritte Partei - der lizenzierte Vertrauensdiensteanbieter - ins Spiel kommt. Vertrauensdiensteanbieter müssen hohe Sicherheitsstandards erfüllen und werden von eIDAS reguliert. Als Drittpartei können sie beiden Parteien garantieren, dass die Identität des anderen Unterzeichners wahr ist. ZealiD erreicht dies, indem es die Identität jedes Nutzers durch ID-Check und manuelles Vetting (Überprüfung der vorgelegten Identitätsnachweise durch geschultes Personal) im Rahmen des Registrierungsprozesses verifiziert.
In der Praxis fügt QES eine starke Sicherheitsebene hinzu, wenn sich die unterzeichnenden Parteien überhaupt nicht kennen. Dazu gehören auch Fernarbeitsverträge, die immer häufiger vorkommen. QES ist auch eine gute Wahl in Situationen, in denen viel auf dem Spiel steht, wie z. B. bei langfristigen Verträgen oder bei der Erstunterzeichnung mit einer neuen Bank oder Versicherung.
Auch wenn diese Tipps Ihnen die richtige Richtung weisen, ist doch jede Situation anders. Wenden Sie sich an Ihren Rechtsberater, um eine Entscheidung zu treffen, die den Regeln in Ihrem geografischen und geschäftlichen Bereich entspricht.
Erfahren Sie mehr: