de en
Nexia Ebner Stolz

Rechtsberatung

Elektronische Signaturen - Digitalisierung von Zeichnungsprozessen im Geschäftsalltag

Viele Un­ter­neh­men und In­sti­tu­tio­nen ste­hen vor der Her­aus­for­de­rung, be­ste­hende Work­flows un­ter Ein­satz elek­tro­ni­scher Si­gna­tu­ren zu di­gi­ta­li­sie­ren. Die dar­aus re­sul­tie­ren­den Fra­gen grei­fen wir auf und ge­ben Hand­lungs­emp­feh­lun­gen für die Pra­xis.

Hintergrund

Zunächst stellt sich die Frage, was un­ter ei­ner „di­gi­ta­len Un­ter­schrift“ zu ver­ste­hen ist. Eine di­gi­tale Un­ter­schrift stellt recht­lich be­trach­tet eine elek­tro­ni­sche Si­gna­tur dar. Früher wa­ren die ent­schei­den­den Re­ge­lun­gen na­tio­nal im Si­gna­tur­ge­setz um­ge­setzt. Mitt­ler­weile greift mit der Ver­ord­nung über elek­tro­ni­sche Iden­ti­fi­zie­rung und Ver­trau­ens­dienste (eIDAS-VO) eine eu­ro­pa­weite Re­ge­lung.

© iStock

Das europäische Signaturrecht

Seit dem 01.07.2016 fin­det die eIDAS-VO un­mit­tel­bare An­wen­dung und gilt so­mit  un­mit­tel­bar in al­len Mit­glied­staa­ten der Eu­ropäischen Union. Zur Fest­stel­lung des er­for­der­li­chen Si­gna­tur­le­vels muss aber auch das na­tio­nale Recht be­ach­tet wer­den. Aus die­sem können sich For­mer­for­der­nisse er­ge­ben, die bei der Wahl der Si­gna­tur aus­schlag­ge­bend sind. Qua­li­fi­zierte elek­tro­ni­sche Si­gna­tu­ren ste­hen der klas­si­schen hand­schrift­li­chen Un­ter­schrift gleich.

Zu be­ach­ten ist, dass im in­ter­na­tio­na­len Kon­text das Recht des­je­ni­gen Staa­tes gilt, in wel­chem die Si­gna­tur zur An­wen­dung kom­men soll. Wel­che Si­gna­tur­form im je­wei­li­gen Staat er­for­der­lich ist, sollte im Ein­zel­fall geprüft wer­den.

Die drei Stufen der digitalen Signatur

Es be­ste­hen drei Stu­fen der di­gi­ta­len Si­gna­tu­ren. Dies sind die „ein­fa­che Si­gna­tur“, die „fort­ge­schrit­tene Si­gna­tur“ und die „qua­li­fi­zierte Si­gna­tur“. Je höher die Si­gna­tur­stufe ist, desto höher sind die an sie ge­stell­ten tech­ni­schen An­for­de­run­gen.

Die er­ste Stufe stellt die ein­fa­che Si­gna­tur als schwächste Form der Si­gna­tur dar. Dem­ent­spre­chend sollte sie nur ge­nutzt wer­den, wenn bei der Ver­wen­dung nur ein ge­rin­ges recht­li­ches Ri­siko be­steht. Die ein­fa­che Si­gna­tur stellt kei­ner­lei An­for­de­run­gen an die Iden­ti­fi­zie­rung des Un­ter­zeich­ners und ist da­her nicht fälschungs­si­cher. Über ein Zer­ti­fi­kat lässt sich je­doch die In­te­grität des Do­ku­ments si­cher­stel­len, so dass es nach dem „Si­gnie­ren“ nicht mehr abgeändert wer­den kann. Dies ist auch an den At­tri­bu­ten im PDF-Do­ku­ment er­kenn­bar.

Die nächste Stufe stellt die fort­ge­schrit­tene Si­gna­tur dar. Auch hier er­folgt keine Iden­ti­fi­ka­tion durch ein Iden­ti­fi­ka­ti­ons­do­ku­ment. Für die Au­then­ti­fi­zie­rung genügt eine An­mel­dung via User­name und Pass­wort, was eben­falls nicht fälschungs­si­cher ist. Den­noch ver­ein­facht sie die Prüfung der Gültig­keit der Un­ter­schrift im Streit­falle. Der Ein­satz die­ser Si­gna­tur ist bei einem mitt­le­ren recht­li­chen Ri­siko an­ge­mes­sen. Ei­nige Ver­trau­ens­dienst­leis­ter zie­hen zusätz­li­che Si­cher­heits­fak­to­ren für die Au­then­ti­fi­zie­rung heran, wie z. B. die Per­so­nal­aus­weis­num­mer. Das Vor­lie­gen die­ses Si­gna­tur­le­vels ist auch an den At­tri­bu­ten im PDF-Do­ku­ment er­kenn­bar. Dort fin­det sich bspw. die For­mu­lie­rung „Un­ter­schrie­ben von [Name]“ und „Ver­trau­ens­quelle wurde vom [Adobe Ap­pro­ved Trust List (AATL)]“.

Die dritte und höchste Stufe stellt die qua­li­fi­zierte Si­gna­tur dar. Nur diese erfüllt die Schrift­form gemäß § 126 in Ver­bin­dung mit § 126a Bürger­li­ches Ge­setz­buch (BGB). Da­mit kommt ihr die­selbe Rechts­wir­kung zu wie ei­ner hand­schrift­li­chen Un­ter­schrift. Bei der qua­li­fi­zier­ten Si­gna­tur lässt sich der In­ha­ber der Si­gna­tur ein­deu­tig zu­ord­nen, da die Au­then­ti­fi­zie­rung z. B. über Pos­tId­ent, Vi­deo­Ident oder eine On­line-Aus­weis­funk­tion statt­fin­det. Zu­dem wird ein qua­li­fi­zier­tes Zer­ti­fi­kat ver­wen­det, wel­ches von einem Ver­trau­ens­dienst­an­bie­ter aus­ge­stellt wird. Auch dies ist an den At­tri­bu­ten im PDF-Do­ku­ment er­kenn­bar. Dort fin­det sich bspw. die For­mu­lie­rung „Un­ter­schrie­ben von [Name]“ und „Ver­trau­ens­quelle wurde vom [Eu­ro­pean Union Trus­ted Lists (EUTL)]“ so­wie „Das ist eine qua­li­fi­zierte elek­tro­ni­sche Si­gna­tur gemäß EU-Ver­ord­nung 910/2014“.

Was gilt es zu beachten? - Legal Best Practices

Wenn ein ge­setz­li­ches oder ver­trag­lich ver­ein­bar­tes Schrift­for­mer­for­der­nis vor­liegt, sollte die qua­li­fi­zierte elek­tro­ni­sche Si­gna­tur ver­wen­det wer­den. In al­len an­de­ren Fällen kann prin­zi­pi­ell auf die ein­fa­che oder die fort­ge­schrit­tene elek­tro­ni­sche Si­gna­tur zurück­ge­grif­fen wer­den. Be­weis­kraft als Ur­kunde im ge­richt­li­chen Sinne hat in ers­ter Li­nie
nur die qua­li­fi­zierte elek­tro­ni­sche Si­gna­tur. Die Haf­tungs­ri­si­ken und das In­ter­esse an ei­ner Be­weiswürdi­gung vor Ge­richt sind stets ab­zuwägen. Be­ste­hen bspw. hohe Ri­si­ken, so soll­ten diese durch eine ent­spre­chend höhere Si­gna­tur­stufe ab­ge­si­chert wer­den.

Es können je­doch auch Be­son­der­hei­ten be­ste­hen, denn ei­nige Do­ku­mente können nicht recht­lich wirk­sam elek­tro­ni­sch si­gniert wer­den. Hierzu gehören Do­ku­mente, die no­ta­ri­ell be­glau­bigt wer­den müssen, Kündi­gun­gen und Auflösungs­verträge zur Be­en­di­gung des Ar­beits­verhält­nis­ses, Ar­beits­zeug­nisse so­wie Bürg­schafts­erklärun­gen und ab­strakte Schulda­ner­kennt­nisse, so­weit es sich nicht um Han­dels­ge­schäfte han­delt.

Fazit und Handlungsempfehlungen

Rechts­grund­lage für elek­tro­ni­sche Si­gna­tu­ren ist die eIDAS-VO, die un­mit­tel­bar in al­len EU-Staa­ten gilt. Un­ter­schie­den wer­den drei Ar­ten der elek­tro­ni­schen Si­gna­tur. Be­weis­kraft ei­ner Ur­kunde hat nur die qua­li­fi­zierte elek­tro­ni­sche Si­gna­tur. Die Wahl der Form der Si­gna­tur ist abhängig von Schrift­for­mer­for­der­nis­sen. Da­her müssen die im Un­ter­neh­men ein­schlägi­gen Pro­zesse da­hin­ge­hend be­stimmt wer­den, wel­che For­mer­for­der­nisse nach na­tio­na­lem Recht gel­ten. Da­nach kann ent­schie­den wer­den, wel­che Si­gna­tur recht­lich not­wen­dig bzw. ri­si­ko­abhängig an­ge­mes­sen ist. Bei der Wahl des Diens­te­an­bie­ters sollte eine ver­bind­li­che Erklärung zur Erfüllung der ge­setz­li­chen Norm der tech­ni­schen An­for­de­run­gen ein­ge­holt wer­den.

nach oben