Die Notwendigkeit einer Signatur stellt für viele digitale Prozesse ein Problem dar. Denn plötzlich muss das digitale Dokument wieder manuell ausgedruckt und unterzeichnet werden. Doch dank digitaler Signaturen geht das auch anders: Wie das funktioniert und woraufes bei der Auswahl ankommt, lesen Sie hier.
Die digitale Signatur: Fünf Merkmale, auf die Unternehmen bei der Auswahl einer Lösung achten sollten
Immer mehr Prozesse in Unternehmen sind medienbruchfrei digitalisiert. Einen zusätzlichen Schub hat die Entwicklung durch die Corona-Krise und die damit verbundene vermehrte Arbeit im Homeoffice bekommen. Die Digitalisierung boomt. Zweifellos. Aber geht es um Verträge oder Vereinbarungen, endet sie ganz oft an einer bestimmten Stelle. Und zwar ganz genau dort, wo ein Dokument zu unterschreiben ist.
Der dann folgende Prozess sieht typischerweise so aus: Ein Dokument wird ausgedruckt, manuell signiert, anschließend wieder eingescannt und dann archiviert. Das Original in Papierform wird natürlich ebenfalls abgelegt. Ein zeitraubender, ineffizienter und kostspieliger Vorgang bzw. Medienbruch, der sich vielfach, insbesondere bei der Arbeit im Homeoffice an naturgemäß verstreuten Standorten, als echtes Hindernis herauskristallisiert hat. Abhilfe schaffen Lösungen für die digitale Signatur, die auch diesen letzten Schritt medienbruchfrei möglich machen.
Aber welche Signaturlösung von welchem Unternehmen ist zu empfehlen?
Eine Entscheidung verlangt die Beachtung rechtlicher, technischer und organisatorischer Aspekte. Fünf Fragen helfen dabei, hier klarer zu sehen. Zuvor aber, zur besseren Einordnung einige Hintergründe zum Thema digitale Signatur.
Die digitale Signatur: Darum geht es
Verträge und Willenserklärungen müssen keineswegs zwingend in schriftlicher Form niedergelegt bzw. geschlossen werden. Denn ein wichtiger Bestandteil der Vertragsfreiheit ist der Grundsatz der Formfreiheit (abgesehen von Ausnahmen, für die die Schriftform gesetzlich vorgeschrieben ist). Schon ein Handschlag reicht zur wirksamen Begründung eines mündlich vereinbarten Vertragsverhältnisses aus. Dennoch ist ein schriftlicher Vertrag natürlich die Regel, denn Gründe der Beweissicherung und der Dokumentation sprechen eindeutig für ihn.
In Zeiten der Digitalisierung und der Arbeit im Homeoffice spricht allerdings vieles für papierlose Verträge, als Bestandteil durchgängiger, möglichst medienbruchfreier Prozesse. Für die Wirksamkeit eines Vertrages in Schriftform ist dabei entscheidend (§ 126 BGB), dass er mit einer eigenhändigen Unterschrift versehen ist. Was oft zu den geschilderten Folgen führt.
Die qualifizierte digitale Signatur nach eIDAS
Nötig ist der Medienbruch nicht, denn bei der papierlosen Variante schriftlicher Verträge können und dürfen elektronische Signaturlösungen die Rolle der klassischen Unterschrift übernehmen. Nur bei wenigen Ausnahmen, etwa bei bestimmten arbeitsrechtlichen Regelungen, ist dies nicht der Fall. Dank der eIDAS-Verordnung (electronic Identification, Authentication and trust Services), der einheitlichen und rechtskräftigen Richtlinie für die digitale Fernsignatur in der EU, ist es seit 2016 möglich, digital und handschriftlich mit gleicher Beweiskraft zu unterschreiben.
Die Verordnung regelt Vertrauensdienste wie die fortgeschrittene und die qualifizierte elektronische Signatur, um die es im Zusammenhang mit der Unterzeichnung digitaler Dokumente vorrangig geht. Sogenannte Vertrauensdiensteanbieter stellen diese Services bereit. Darunter versteht die eIDAS-Verordnung Unternehmen, die Zertifikate für eine fortgeschrittene und qualifizierte Signatur gemäß den technischen Anforderungen ausstellen können. Mit diesen Zertifikaten lässt sich belegen, dass eine digitale Unterschrift der unterschreibenden Person zweifelsfrei zugeordnet werden kann. Umgekehrt ist die Person mit der digitalen Unterschrift auch eindeutig identifizierbar.
Vertrauensdienstanbieter
Wer qualifizierte elektronische Signaturen erstellen möchte, benötigt gemäß eIDAS einen bestätigten Vertrauensdiensteanbieter (VDA). Ein Beispiel dafür ist die Bundesdruckerei, die in Deutschland unter dem Namen „sign-me“ einen derartigen Dienst anbietet. Aus naheliegenden Gründen haben Vertrauensdiensteanbieter spezielle Anforderungen im Personal- und Sicherheitsbereich sowie bei der technischen Ausstattung zu erfüllen. Die Verleihung des Qualifikationsstatus als Vertrauensdiensteanbieter erfolgt in der Regel durch die Aufsichtsbehörden, in Deutschland etwa mit Hilfe der Bundesnetzagentur.
Neben der fortgeschrittenen und der qualifizierten Signatur existiert auch noch eine einfache Signatur. Dabei kann es sich beispielsweise um eine eingescannte Unterschrift oder die Signatur einer E-Mail handeln. Für diese einfache Signatur gibt es keine Anforderungen an den Identitätsnachweis einer damit verbundenen Person. Entsprechend leicht kann sie gefälscht oder manipuliert werden.
Sind vertragliche oder gesetzliche Schriftformerfordernisse zu erfüllen, kommt nur die qualifizierte elektronische Signatur in Frage. Denn nur sie ist der eigenhändigen Unterschrift gemäß BGB § 126 gleichgestellt. Ein wichtiger Punkt, der bei der Auswahl einer geeigneten Lösung natürlich zu beachten ist. Um nach erfolgter Auswahl keine unangenehme Überraschung zu erleben, sollten sich Unternehmen die folgenden fünf Fragen stellen:
Fünf Fragen zur Auswahl einer Lösung für die digitale Signatur
1. Welche Anforderungen an die digitale Signatur gibt es?
Zu klären ist hier ganz einfach, für welche Fälle die digitale Signatur in einem Unternehmen genutzt werden soll. Eine gute Möglichkeit, sich darüber Klarheit zu verschaffen, ist die Betrachtung des digitalen End-to-End-Prozesses (E2E). Welche digitalen Prozesse gibt es oder soll es geben? Und wo sind dabei Dokumente zu unterzeichnen?
2. Welche Art der Signatur wird in identifizierten Anwendungsfällen benötigt?
Wie bereits erläutert, gibt es die einfache, fortgeschrittene und qualifizierte Signatur. Die einfache elektronische Signatur hat keinen sicherheitsrelevanten Mehrwert für ein Unternehmen. Sie unterliegt der freien richterlichen Beweiswürdigung. Dieser unterliegt auch die fortgeschrittene elektronische Signatur, sie stellt aber immerhin die Integrität des Dokuments durch ein Zertifikat sicher. Nur die qualifizierte elektronische Signatur ist mit der handschriftlichen Unterschrift gleichzusetzen. Zur Entscheidungsfindung sind also die rechtlichen Anforderungen und die damit verbundenen Haftungsrisiken hinsichtlich der benötigten digitalen Signaturen zu prüfen.
3. Welche technischen Lösungen sind geeignet und wie teuer sind sie?
Zu unterscheiden sind Lösungen auf Hardwarebasis und Lösungen via Fernsignatur. Werden rechtskräftige digitale Signaturen in Kombination mit Hardwarekomponenten angeboten, kann eine Signatur auch wirklich nur in Verbindung mit dieser Hardware (wie z.B. Kartenleser und Signaturkarten) erstellt werden. Seit Inkrafttreten von eIDAS werden diese Geräte aber nicht mehr benötigt. Es genügt, den individuellen Signaturschlüssel des Nutzers auf einem hochsicheren Server beim VDA zu speichern.
Für ihre Entscheidung sollten Unternehmen auf Basis ihres E2E-Prozesses ermitteln, welche technische Lösung für ihre Anforderungen am besten geeignet ist und wie sie sich in bestehende Systeme integrieren lässt. Ebenfalls ist zu prüfen, was eine Lösung im Standard ermöglicht und wo zusätzlicher Aufwand anfällt. Wichtig ist auch die Frage, wo und wie Daten gespeichert werden. Die Datenspeicherung sollte aus Datenschutzgründen immer in Europa, idealerweise in Deutschland erfolgen.
4. Welche Funktionen bietet eine Lösung, welche werden im Unternehmen benötigt?
Wichtigster Aspekt ist die Gewährleistung eines durchgängig medienbruchfreien Prozesses. Im konkreten Anwendungsfall können zahlreiche weitere Features von Bedeutung sein. Einige Beispiele:
- Welche Dateiformate lassen sich signieren?
- Wie kann ein Dokument signiert werden?
- Welche Verwaltungs- und Administrationsmöglichkeiten bietet die Lösung?
- Lassen sich Dokumente aus der Lösung heraus teilen und können damit Unterschriften eingeholt werden?
- Welche Integrationsmöglichkeiten gibt es, bietet die Lösung eine REST-Schnittstelle (API) und welche Standardschnittstellen gibt es?
- Wird die Signatur auf mobilen Geräten unterstützt?
5. Was kostet die Lösung?
Übliche Abrechnungsvarianten sind Pay-Per-Use-Modelle, die Lizenzierung einzelner User oder auch Festpreise. Zu achten ist dabei auf eine vollständige Kostenbetrachtung inklusive Implementierung beziehungsweise initialer Bereitstellung, Kosten für den Betrieb, Upgrades und Support.
Sind diese fünf Fragen für jede grundsätzlich geeignete Lösung beantwortet, sollte ein klares Bild vorliegen, welche Lösung von welchem Anbieter sich für den Start einer Pilotphase mit ausgewählten Unternehmensprozessen eignet. Verläuft auch diese Pilotphase zufriedenstellend, ist die richtige Lösung gefunden.