Die elektronische Signatur in 5FSoftware: Allgemeine Informationen und Hinweise zur Anwendung
Mit dem Modul 5F Sign wurde im Juli 2020 die digitale Signatur vollständig in die 5F Plattform integriert. Nutzerinnen und Nutzer von 5FSoftware haben seitdem die Möglichkeit, direkt in 5F Dokumente aller Art einfach und sicher digital zu signieren – per Fernsignatur und damit ohne zusätzliche Hardware. Zur Verfügung stehen dabei sowohl die „fortgeschrittene“ als auch die „qualifizierte“ digitale Signatur.
Urlaubsanträge, Reisekostenabrechnungen, Mietverträge, Kaufverträge, Lastschriftmandate oder Steuererklärungen – die Anwendungsgebiete digitaler Signaturen können vielfältig sein. Die wohl häufigste Frage, die sich im Zusammenhang mit dem Einsatz digitaler Unterschriften stellt, lautet daher: Welcher Signaturtyp eignet sich für welches Anwendungsgebiet?
Mit einer Nennung von tatsächlichen Einsatzgebieten ist keine Bewertung durch 5FSoftware verbunden. Die folgenden Betrachtungen erheben keinen Anspruch auf Vollständigkeit, somit kann die Lektüre des vorliegenden Textes die eingehende Prüfung der relevanten rechtlichen Rahmenbedingungen im Einzelfall nicht ersetzen. Im Zweifelsfall empfiehlt 5FSoftware die Inanspruchnahme einer rechtlichen Beratung und bietet gerne die Vermittlung eines entsprechenden Kontaktes an.
Gesetzesgrundlage: Die eIDAS-Verordnung
Die rechtlichen Anforderungen an digitale Signaturen innerhalb der EU sind in der sogenannten eIDAS-Verordnung (Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG) von 2016 geregelt.
Einfach, fortgeschritten oder qualifiziert: Was sollte bei der Auswahl beachtet werden?
Der Gesetzgeber unterscheidet grundsätzlich zwischen drei Arten der elektronischen Signatur: einfach, fortgeschritten und qualifiziert. Der Unterschied zwischen diesen drei Arten liegt hauptsächlich in der jeweiligen Sicherheitsstufe. Diese wiederum unterscheidet sich je nach der Komplexität des Systems zur Überprüfung der Identität des Unterzeichnenden sowie zur Sicherstellung der Integrität des Dokuments.
Die Herausforderung besteht darin, festzulegen, welches Ausmaß an Sicherheit für die individuellen Anwendungszwecke angemessen ist – und wie benutzerfreundlich der Signaturprozess gestaltet sein soll. Dabei sollten unbedingt auch der rechtliche Kontext des jeweiligen Anwendungsszenarios, mögliche Auswirkungen auf die Arbeitsprozesse sowie finanzielle Aspekte Berücksichtigung finden.
Fazit:
Je höher das rechtliche sowie finanzielle Risiko, das mit einem zu signierenden Dokument verbunden ist, desto höher sollte das Sicherheitsniveau der gewählten Signatur sein. Weil sich auch in der Komplexität der Anwendung Unterschiede ergeben, müssen zudem Sicherheit und Benutzerfreundlichkeit in Einklang gebracht werden.
Unterschiede zwischen der einfachen, fortgeschrittenen und qualifizierten elektronischen Signatur
Nachfolgend findet sich ein Überblick über die konkreten Unterschiede zwischen den drei Signaturtypen. In der 5F-Arbeitsplattform stehen zwei davon zur Auswahl: die fortgeschrittene sowie die qualifizierte E-Signatur.
Einfache elektronische Signatur
Die einfache elektronische Signatur ist an keine konkreten gesetzlichen Anforderungen gebunden und lässt sich unkompliziert und schnell durchführen, ohne dabei einem konkreten Prozess der Identitätsprüfung oder Zustimmung zu folgen. Die Authentizität und Integrität der Signatur lassen sich dadurch kaum feststellen. Zur einfachen elektronischen Signatur zählen alle elektronischen Signaturen, welche die Anforderungen an fortgeschrittene oder qualifizierte Signaturen nicht erfüllen.
Die einfache elektronische Signatur eignet sich für die standardmäßige Unterschrift von Dokumenten, die mit einem niedrigen finanziellen oder rechtlichen Risiko verbunden sind. Das kann beispielsweise auf alltägliche oder unternehmensinterne Dokumente wie Anträge, Genehmigungen, Abrechnungen oder Protokolle zutreffen.
Fortgeschrittene elektronische Signatur
Die fortgeschrittene elektronische Signatur ist an zusätzliche Anforderungen gebunden: Sie muss eine Identifizierung des Unterzeichnenden ermöglichen und diesem eindeutig zugeordnet werden können. Weiter wird sie unter Verwendung von Mitteln erstellt, die unter der alleinigen Kontrolle des Unterzeichnenden stehen. Die Möglichkeit einer nachträglichen Veränderung der Daten muss dabei ausgeschlossen sein. [1]
Die fortgeschrittene digitale Signatur ist im Vergleich zur einfachen Signatur hinsichtlich der Identitätsprüfung sowie der Sicherstellung der Integrität des Dokuments an strengere Kriterien geknüpft. Die Signatur basiert auf einem digitalen Zertifikat, das den Unterzeichnenden eindeutig identifiziert. Dadurch bietet sie ein höheres Sicherheitsniveau und schützt vor Manipulation. Dies wird durch Maßnahmen erreicht, die sowohl die eindeutige Identifikation des Unterzeichnenden – z.B. durch die Verifizierung per Personalausweis – als auch dessen Zustimmung zur Signatur sicherstellen.
Die fortgeschrittene elektronische Signatur eignet sich für die Signatur von Dokumenten, die mit einem erheblichen finanziellen oder rechtlichen Risiko verbunden sind. Für viele Dokumente ist dieser Signaturtyp ausreichend. Dazu können beispielsweise Verträge und Finanztransaktionen aller Art zählen.
Qualifizierte elektronische Signatur (QES)
Die qualifizierte elektronische Signatur ist eine fortgeschrittene Signatur, die von einer qualifizierten Signaturerstellungseinheit (QSCD) erstellt wurde und auf einem qualifizierten Zertifikat für elektronische Signaturen basiert. Das Zertifikat wird dabei von einer Zertifizierungsbehörde, wie z.B. der Bundesdruckerei, ausgestellt. [2]
Eine Zertifizierung per Videoident-Verfahren oder Online-Ausweisfunktion (eID) ist in diesem Fall üblich. Anschließend lassen sich Signaturen per Fernsignatur durchführen, z.B. unter Verwendung einer Zwei-Faktor-Authentifizierung per SMS-Token.
Die qualifizierte elektronische Signatur gilt aus juristischer Sicht als gleichwertig mit der handschriftlichen Unterschrift und eignet sich aufgrund der hohen Identifizierungs- und Zertifizierungsanforderungen zur Signatur von vertraulichen Dokumenten nach höchsten Sicherheitsstandards.
Aufgrund der strengen Sicherheitsanforderungen ist die qualifizierte elektronische Signatur mit einem höheren Aufwand verbunden und empfiehlt sich daher für kritische Einzelfälle.
„Die Frage, welche Signatur – die fortgeschrittene oder die qualifizierte – als digitale Form einer Unterschrift auszuwählen ist, lässt sich aus den gesetzlichen Erfordernissen ableiten. Wichtig ist: Wer sich nicht sicher ist, sollte eine kurze rechtliche Prüfung durchführen lassen.“
Valerio Neri
VP Sales Strategy / Governance & Business Development,
Experte für E-Signaturen bei unserem Partner FP Sign
Francotyp-Postalia Holding AG
In den 5F-internen Tutorials zur elektronischen bzw. digitalen Signatur finden sich zusätzliche Informationen rund um die Nutzung der digitalen Unterschrift innerhalb der 5F-Arbeitsplattform.
Weitere Informationen zu diesem Thema und unseren Partner FP Sign finden Sie hier.
Quellen und weiterführende Informationen:
[1] Vgl. Verordnung (EU) Nr. 910/2014, Artikel 26.
[2] Vgl. Verordnung (EU) Nr. 910/2014, Artikel 3, 12.
Informationen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur eIDAS-Verordnung
Whitepaper der Bundesdruckerei zur eIDAS-Verordnung
Direktlink zur eIDAS-Verordnung
Informationen der Bundesdruckerei zur Fernsignatur
Informationen der Bundesdruckerei zum Signaturservice sign-me
