Was ist eine qualifizierte elektronische Signatur?

Wenn wir mal ehrlich sind, gehen Unterschriften doch meist mit Zeitverschwendung einher. Termin vereinbaren, ins Auto, die Bahn oder gar in den Flieger setzen, den Karl-Otto unter einen Vertrag setzen und wieder retour. Oder bergeweise Papier ausdrucken, Dokumente unterschreiben, eintüten und verschicken. Geht das eigentlich nicht am Computer? Die knappe Antwort: Ja. Die qualifizierte elektronische Signatur, kurz QES oder QE-Signatur, ist die sicherste Variante. In den allermeisten Fällen kann und darf sie die Tinte auf dem Papier ersetzen. Doch welche E-Signaturen gibt es eigentlich? Wie funktioniert digitales Unterschreiben technisch und hat es vor Gericht Bestand? Antworten auf diese und weitere Fragen lesen Sie in diesem Blogartikel.

Definition: Was ist die qualifizierte elektronische Signatur (QES)

Die qualifizierte elektronische Signatur ist die sicherste Form der elektronischen Unterschrift, auch E-Signatur genannt. Ihre Verwendung ist europaweit geregelt. Nach § 126a BGB kann die QES die gesetzlich oder per Verordnung vorgeschriebene, handschriftliche Signatur ersetzen, sofern dem spezialgesetzlich nichts entgegensteht.

Vertrauensdiensteanbieter muss Identität für QES validieren

Ein nach den Richtlinien der europäischen eIDAS-Verordnung qualifizierter Vertrauensdiensteanbieter (VDA) muss dafür zunächst die Identität des Unterzeichners prüfen und validieren. Erst dann kann er die qualifizierte elektronische Signatur in dessen Auftrag erstellen. Die qualifizierte elektronische Signatur ist im Rechtsverkehr aber nur gültig, wenn sie der Gesetzgeber vorsieht oder die QES zwischen den unterzeichnenden Parteien abgesprochen ist.

QES im Vergleich zu EES und FES höchstmögliche Rechtswirksamkeit

Ausnahmen stellen beispielsweise das Testament, der notariell beglaubigte Grunderwerb oder die Kündigung dar. Hier ist die Schriftform zwingend erforderlich. Die höchstmögliche Rechtswirksamkeit der qualifizierten elektronischen Signatur liegt in der zweifelsfreien Nachweisbarkeit der Identität des Unterzeichnenden begründet. Dadurch grenzt sie sich von der einfachen (EES) und der fortgeschrittenen elektronischen Signatur (FES) ab.

Funktionsweise der QE-Signatur

Jeder geschäftsfähige Mensch weiß, wie eine Unterschrift funktioniert und was sie bedeutet. Sie besiegelt beispielsweise einen Kaufvertrag oder eine gegenseitige Übereinkunft. Genau das tut die qualifizierte elektronische Signatur auch. Rechtlich ist sie der handschriftlichen Signatur gleichgestellt, weil ein Vertrauensdienstanbieter für die Echtheit bürgt.

Digitale Unterschrift mit hoher Beweiskraft durch Identifizierbarkeit

Die Beweiskraft der QES im Rechtsfall ist hoch, weil so nachweisbar ist, dass eine bestimmte Person auch wirklich eine bestimmte Unterschrift getätigt hat. Der hohe Authentifizierungsgrad der QES bietet hier die größtmögliche Sicherheit. Die qualifizierte elektronische Signatur ist eindeutig einem Unterzeichner zuzuordnen. Er ist identifizierbar.

Elektronische Signatur versus digitale Signatur

Wer in Deutschland oder in der EU eine QES nutzen möchte, muss einige Dinge über sie wissen. Und eines gleich vorweg: Die Begriffe „elektronische Signatur“ und „digitale Signatur“ werden fälschlicher Weise oft synonym benutzt. Die Bezeichnung „elektronische Signatur“ legt den Fokus auf die rechtliche Komponente, also das Zusammengehören der Identität des Unterzeichners und des versendeten Inhalts. Eine elektronische Signatur muss also, wie im Falle einer eingescannten Unterschrift, nicht rechtsgültig sein. Die „digitale Signatur“ zielt indessen auf das technische Verfahren der Verschlüsselung ab. Sie bezeichnet also ein digitales Zertifikat.

QES: Wie unterschreibe ich mit qualifizierter elektronischer Signatur?

• Wie kann ich eine qualifizierte elektronische Signatur erstellen?
  Um eine qualifizierte elektronische Signatur zu erstellen, brauche ich ein fälschungssicheres digitales Zertifikat, das auf einer elektronischen Signaturkarte gespeichert wird. Mit diesem Zertifikat, das ein geeignetes Kartenlesegerät erfordert, ist die Echtheit meiner elektronischen Signatur belegbar. Die deutschen und europäischen Vertrauensdienstanbieter stellen es aus. In Deutschland sind beispielsweise „Postident E-Signing“ (früher Signtrust) von der Deutschen Post und „Telesec“ von der Deutschen Telekom QES-Anbieter. Diese Dienste, im Englischen „Trust Service Provider“ (TSP) genannt, geben auch die Signaturkarten aus, die durch eine PIN gesichert sind.
• Was benötige ich für die QES?
  Zunächst einmal brauche ich für die qualifizierte elektronische Signatur nur eine geeignete Software, um digital unterschreiben zu können, zum Beispiel DocuSign. Habe ich diese, dann registriere ich mich bei einem der Vertrauensdienstanbieter und reiche digital einen schriftlichen Antrag ein. Nachdem ich meine digitale Signatur in das Dokument eintragen habe, identifiziere ich mich per Video und mit meinem Personalausweis. Dazu kann ich zum Beispiel das Postident-Verfahren nutzen. Danach bekomme ich mein PIN-gesichertes, digitales Zertifikat auf meiner Signaturkarte zugeschickt. Meist ist es für drei Jahre gültig. Um die Karte verwenden und digital signieren zu können, brauche ich nun nur noch ein geeignetes Kartenlesegerät.
• Was ist eine cloudbasierte Signatur oder Fernsignatur?
  Die cloudbasierte Signatur, auch Fernsignatur genannt, erfordert weder Signaturkarte noch Kartenlesegerät. Sie funktioniert mobil auf Laptop, Tablet und Handy. Unter anderem gehört die Bundesdruckerei mit ihrem Service „sign me“ zu den Anbietern, aber auch der Bank-Verlag mit „BVsign“. Das fälschungssichere Zertifikat von einem der VDA, auf einem Server gespeichert, kann im Auftrag des Unterzeichners vom jeweiligen Vertrauensdienst aus der Distanz verwaltet werden.
• Wie wird die qualifizierte elektronische Signatur verschlüsselt?
  Im Grunde ist das einfach und doch kompliziert: mit einem asymmetrischen Schlüsselpaar. Jeder Signierende bekommt von seinem Vertrauensdienstanbieter einen gut gesicherten, privaten Signaturschlüssel zugewiesen, der mit einem öffentlichen Schlüssel abgeglichen wird. Der Empfänger kann mit dem angefügten öffentlichen Schlüssel und der im Dokument hinterlegten Signatur kontrollieren, ob das Dokument unverändert geblieben ist.

Vorteile der qualifizierten elektronischen Signatur
Im Bereich der elektronischen Unterschriften ist die QES diejenige mit der höchsten Sicherheitsstufe. Ihre Rechtssicherheit basiert auf einem vorgeschalteten Authentifizierungsverfahren, das eine zweifelsfreie Identifizierung des Signierenden sicherstellt. Für die Authentizitätssicherung bürgt ein Vertrauensdienstanbieter, der den Anforderungen der europäischen eIDAS-Verordnung entspricht. Neben der Sicherheit sprechen aber noch weitere Faktoren für die QES:

• Papier und Geld sparen: Viele Unternehmen drucken Dokumente nur noch aus, weil diese unterschrieben werden sollen. Verträge beispielsweise, die ausgedruckt werden, sind wegen ihres Umfangs und der damit verbundenen Portokosten besonders teuer. Die QES treibt die Digitalisierung in Unternehmen voran und ist ein Schritt in Richtung des papierlosen Büros.
• Zeit sparen: Der Verwaltungsaufwand, der hinter dem Versand von signierten Schriftstücken aller Art steckt, kostet jede Menge Zeit. Dasselbe gilt für das Warten auf Zeichnungsberechtigte und die Post, die die Dokumente von A nach B austrägt. Digital ist einfach deutlich schneller, besonders dann, wenn in einem Unternehmen besonders viele Dokumente unterzeichnet werden müssen.
• Ortsunabhängig: Unterzeichnen Sie Verträge und Dokumente, wann und wo Sie wollen, und optimieren Sie so ihr Workflowmanagement.
• Arbeit ohne Medienbrüche: Ausdrucken, unterschreiben, einscannen, abschicken: Vielleicht sollten derlei Arbeitsabläufe auch bei Ihnen der Vergangenheit angehören. Medienbrüche kosten Zeit, Geld und Nerven. Die digitale Signatur schafft Abhilfe.

Informationen zur Rechtssicherheit der qualifizierten Signatur

Die eIDAS-Verordnung, in Deutschland auch IVT, regelt in Europa die elektronische Identifizierung und die Arbeit von Vertrauensdienstanbietern. Diese erstellen und validieren digitale Signaturen und stellen so sicher, dass eine qualifizierte elektronische Signatur zweifelsfrei einer Person zuzuordnen ist. Nur so kann die Echtheit der QES sichergestellt und der handschriftlichen Unterschrift bezüglich ihrer Beweiskraft rechtlich gleichgestellt werden. Die eIDAS-Verordnung hat in Deutschland das Signaturgesetz (SigG) 2017 abgelöst.

Mögliche Einsatzbereiche für die qualifizierte elektronische Signatur

Im Grunde ist die QES überall dort rechtssicher einsetzbar, wo die Gesetzgebung nicht ausdrücklich eine handschriftliche Unterschrift verlangt. Im Vergleich zur einfachen elektronischen Signatur (EES) und der fortgeschrittenen elektronischen Signatur (FES) können das bei der QES auch Dokumente mit gesetzlicher Formvorschrift oder hohem Haftungsrisiko sein. Beispiele sind etwa Revisionsberichte oder Konsumkredit-Verträge.

Wann ist eine QES notwendig

Die qualifizierte elektronische Signatur unterscheidet sich in puncto Beweiskraft deutlich von der einfachen elektronischen Signatur (EES) und der fortgeschrittenen elektronischen Signatur (FES). Die QES ist überall dort notwendig, wo die Gesetzgebung die Schriftlichkeit einer Signatur erfordert oder der Unterzeichner die maximale Beweiskraft im Streitfall verlangt.

Digitale Unterschrift bei Privatleuten wenig verbreitet

Wenig verbreitet ist die qualifizierte elektronische Signatur bei Privatleuten. Unternehmer und insbesondere Behörden verwenden sie aber häufig. Ein Beispiel: Anwälte, die Schriftsätze termingebunden an Gerichte in anderen Städten versenden müssen, nutzen die QES, weil sie nach Eingang eine beweiskräftige QES-signierte Bestätigung bekommen.

Was ist die fortgeschrittene elektronische Signatur (FES)?

Die fortgeschrittene elektronische Signatur ist rechtsgültig, wenn die Gesetzgebung bei Vertragsangelegenheiten keine besondere Form vorsieht. Das gilt für den Großteil aller Verträge. Kauf- oder Mietverträge zählen zum Anwendungsgebiet.

FES und EES: Signatur mit geringerer Beweiskraft

Für die Erstellung einer FES müssen elektronische Signaturerstellungsdaten verwendet werden. So ist der Unterzeichner eindeutig identifizierbar. Auch nachträgliche Veränderungen der Daten müssen erkannt werden können. Die gerichtliche Beweiskraft von FES ist allerdings ähnlich der der einfachen elektronischen Signatur.

Was ist die einfache elektronische Signatur (EES)?

Die einfache elektronische Signatur gilt als digitaler Handschlag. Für diesen sieht das Gesetz keine besondere Form vor. Die EES ist bei Dokumenten mit geringem Haftrisiko rechtsgültig, etwa bei Bestellungen, Angeboten, Verlautbarungen oder Vereinbarungen. Als Beweismittel ist sie nach Art. 25 Abs. 1 der eIDAS-Verordnung zugelassen, ihr Beweiswert allerdings gering.

EES lässt keine Identifikation des Unterzeichners zu

Wer eine E-Mail-Adresse besitzt, kann die einfache elektronische Signatur (EES) nutzen. Der eigene Name am Ende einer E-Mail etwa ist eine solche EES. Eine eindeutige Identifikation des Unterzeichners ist allerdings nicht möglich, weil keine Bestandteile einer kryptografischen Signatur verwendet werden. 

Fazit

Je höher in einem Unternehmen das Aufkommen an Dokumenten ist, die zu unterzeichnen sind, desto sinnvoller ist die elektronische Signatur. Die Gewichtigkeit der Dokumenteninhalte entscheidet schließlich darüber, ob eine qualifizierte elektronische Signatur (QES), fortgeschrittene elektronische Signatur (FES) oder einfache elektronische Signatur (EES) die richtige Wahl ist. Fakt ist aber: Elektronische Unterschriften sparen viel Zeit, noch viel mehr Papier und helfen dabei, Arbeitsabläufe zu verschlanken und weniger fehleranfällig zu machen.