Wo ist der Unterschied?
Sind Elektronische Signatur und Digitale Signatur nicht dasselbe?
Man denkt, sie wären identisch, aber hinter den beiden Begriffen verstecken sich tatsächlich unterschiedliche Definitionen. Ausgangspunkt ist der Vergleich mit der eigenhändigen Unterschrift auf Papier: Jeder könnte „Micki Maus“ unter ein Schriftstück schreiben, bei dem er im Text noch schnell eine Eins vor jede Summe schreibt, bevor es der Gegenzeichner merkt. Insofern ist die normale Unterschrift auf Papier leider ziemlich unsicher.
Eine notariell beglaubigte, eigenhändige Unterschrift ist dagegen bisher Goldstandard: Notare sind von Amts wegen über jeden Zweifel erhaben und bei einer notariellen Beglaubigung überprüfen sie sowohl die Identität der unterzeichnenden Personen anhand ihrer Personalausweise oder Pässe, als auch den zu unterzeichnenden Text: Vor dem Unterscheiben lesen Notare die Abschrift in voller Länge allen Beteiligten laut vor und diese müssen mitlesen, damit jeder sicher sein kann, dass nichts daran verändert wurde, wenn es zur persönlichen Unterschrift kommt. Deshalb ist eine notarielle Beglaubigung auch ganz schön teuer.
Berücksichtigt man allerdings den Qualifizierungsweg, den Notare absolvieren müssen, um diesen Status zu erlangen, relativiert sich der Preis für eine notarielle Beglaubigung wieder.
Gerade in den Bereichen Legal Tech und Tax Tech ist Fälschungssicherheit, bzw. Fraud Prevention unverzichtbar und deshalb nutzen wir bei 5F zwei digitale Varianten, die wesentlich sicherer sind als eine händische Unterschrift oder eine einfache elektronische Signatur. Auf die einzelnen Sicherheitsgrade der Signaturtypen sind wir bereits in unserem Blogbeitrag vom 24 März 2021 eingegangen.
Heute soll der Unterschied zwischen Digitaler Signatur und Elektronischer Signatur verdeutlicht werden, gerade weil die beiden Bezeichnungen sehr zur Verwechselung einladen.
Beginnen wir mit den Gemeinsamkeiten: Es hat sich eingebürgert, den Begriff „Elektronische Signatur“ als Oberbegriff zu benutzen: Eine elektronische Unterschrift ist im rechtlichen Sinne tatsächlich erst einmal nur die Beschreibung dafür, dass das Unterschreiben elektronisch vollzogen wird, also am Computer. Eine „digitale Signatur“ ist also logischerweise immer auch eine elektronische Signatur, aber andersherum wird es tückisch: denn „digitale“ Unterschriften können mehr…
Digitale Signatur
Der alles entscheidende Unterschied zwischen einer gewöhnlichen Elektronischen Signatur und der höherwertigen Digitalen Signatur ist der „Hashwert“, von dem die Unterzeichnenden nichts mitbekommen: ein bewährtes, recht kompliziertes Verschlüsselungsverfahren, das im Hintergrund läuft, um jede Kopie oder Abschrift eines Textes vor Manipulationen zu schützen.
Anerkannte kryptographische Verfahren allein machen aus einer schnöden Elektronischen Signatur aber noch keine “Fortgeschrittene” Digitale Signatur, denn darüber hinaus muss die unterzeichnende Person auch noch zweifelsfrei authentifiziert sein.
Dazu muss sie sich vorher einmal persönlich vorstellen bei einer Stelle, die dazu amtlich berechtigt ist [1], zum Beispiel bei der Post, entweder in der Filiale oder per „VideoIdent“-Verfahren mit ihrem Personalausweis oder Pass. Dann wird kontrolliert, ob die Person, die live erscheint, auch wirklich mit der Person im Ausweisdokument übereinstimmt. Wenn das bestätigt werden konnte, entsteht eine FORTGESCHRITTENE digitale Signatur. Sie ist also bereits sehr sicher, denn sie ahmt das Verfahren einer amtlich beglaubigten, eigenhändigen Unterschrift nach.
Die sicherste Variante nennt man Qualifizierte Digitale Signatur, weil hierfür ein ganz besonderes Zertifikat notwendig ist, nämlich eines, das von einer qualifizierten Signaturerstellungseinheit (QSCD) erstellt wurde und das selbst wiederum auf einem qualifizierten Zertifikat für elektronische Signaturen basiert. Das Zertifikat wird dabei von einer Zertifizierungsbehörde, wie z.B. der Bundesdruckerei, ausgestellt. Dieses QSCD ist quasi der Notar unter den digitalen Signaturen.
Elektronische Signatur
Dagegen entspricht die Elektronische Signatur eben nur einer eigenhändigen Unterschrift auf Papier, mit ihren Schwächen, die oben bereits geschildert wurden. Sie ist als rechtlicher Begriff zu verstehen für das elektronische Verfahren, das den Namen einer Person wiedergibt, die angeblich unterzeichnet hat – mehr nicht.
Ein E-Mail-Absendername ist beispielsweise auch eine Elektronische Signatur. Aber jeder weiß: Wenn man eine Mail von einem Account erhält, der Micki Maus genannt wurde, hat man es trotzdem nicht mit der Trickfilmmaus aus dem Wunderland zu tun und man erbt leider auch nie 35 Mio Dollar.
In unserem Blogbeitrag zu den unterschiedlichen Sicherheitsstufen hatten wir ausführlich die amtliche, europäische eIDAS-Verordnung beschrieben, die folgende Formen der Signatur unterscheidet:
- elektronische Signatur
- fortgeschrittene elektronische Signatur
- qualifizierte elektronische Signatur
Interessanterweise verwendet diese Verordnung NICHT die oben beschriebene Trennung zwischen „digitaler“ und „elektronischer“ Signatur, sondern benutzt den juristisch korrekten Begriff „elektronisch“ auch für die fortgeschrittene und die qualifizierte Signatur – da kann man wirklich durcheinanderkommen.
Die EU-Verordnung konzentriert sich auf die wichtigen drei „Sicherheitsgrade“, auf die es ankommt: unsicher, sehr sicher, supersicher.
Und warum wir auf unserer 5F-Arbeitsplattform für Kanzleien natürlich nur die „fortgeschrittene“ und die „qualifizierte“ Signatur zur Verfügung stellen, ist nun hoffentlich deutlich geworden: Die einfache elektronische Signatur ist für den TaxTech-Bereich unbrauchbar.
_____
[1] Laut eIDAS Verordnung „vertrauenswürdige Stelle“: Vgl. Whitepaper Die eIDAS-Verordnung – Die Basis für ein starkes digitales Europa, S. 11.