Digitale Signaturen in Ihrem Unternehmen
Seit Covid haben mehr und mehr Unternehmen wie auch Behörden die Notwendigkeit erkannt, ihre Entscheidungsprozesse und Signaturspezifikationen zu digitalisieren. Dieser zugegeben etwas langatmige Artikel beleuchtet den Weg von der analogen zur digitalen schriftlichen Kommunikation.
In global tätigen Unternehmen ist es einfach nicht möglich, immer auf die nächste persönliche Management- oder Vorstandssitzung zu warten, um eine Entscheidung auszudrucken und eine Unterschrift mit "nasser Tinte" darauf zu erhalten. Dieses Vorgehen ist heutzutage eigentlich ein Anachronismus - obwohl das Gesetz in bestimmten Situationen immer noch Ausdrucke verlangt. Die Vorteile der virtuellen Geschäftsinteraktion werden jedoch von Tag zu Tag deutlicher.
Eine einfache Lösung für dieses Bedürfnis ist die Verwendung von "elektronischen" Signaturen. Es ist ratsam zu wissen, wann digitale Signaturen verwendet werden können und wann dies nicht möglich ist. In einigen wenigen Fällen schreibt das Gesetz die Schriftform vor, die nur teilweise durch eine relativ kostspielige so genannte "qualifizierte elektronische Signatur" ersetzt werden kann. Und in einigen Fällen ist die elektronische Form sogar ganz verboten.
Welche Arten von elektronischen Signaturen gibt es? Und wann sind sie erlaubt?
Grundsätzlich wird zwischen drei Arten von digitalen Signaturen unterschieden:
- die (einfache) elektronische Signatur,
- die erweiterte elektronische Signatur,
- die qualifizierte elektronische Signatur.
Jede dieser drei Signaturen ist mit spezifischen Anforderungen verbunden, die verschiedenen Sicherheitsstufen entsprechen. Die Anforderungen für jede Signatur sind in der europäischen eID-Verordnung definiert.
Was ist die Verordnung über eID-Vertrauensdienste und elektronische Identifizierung?
Die eID-Verordnung ist eine EU-Verordnung, die sich mit der Regulierung von so genannten "elektronischen Identifikationsmitteln und Vertrauensdiensten" befasst. Als EU-Verordnung gilt sie in allen EU-Mitgliedsstaaten direkt und mit Vorrang vor den jeweiligen nationalen Gesetzen (im Gegensatz z.B. zu EU-Richtlinien). Die eID-Verordnung befasst sich insbesondere mit den Anforderungen an elektronische Signaturen. Die Verordnung deckt auch verschiedene andere Elemente ab, wie z.B. elektronische Siegel und Dienste für die Zustellung von elektronischen Einschreiben.
Wie erkenne ich eine einfache elektronische Signatur?
Beispiele sind eine E-Mail-Fussnote oder eine gescannte Signatur als eingebettetes Bild in einem PDF-Dokument.
Wann ist eine einfache elektronische Signatur als verbindliche Unterschrift ausreichend?
Eine einfache elektronische Signatur sollte für Erklärungen verwendet werden, die keine übermäßigen Risiken für das Unternehmen mit sich bringen und daher nur einen vergleichsweise geringen Beweiswert erfordern. Dies können z.B. Erklärungen im Rahmen laufender Vertragsverhältnisse sein, die nur weniger wichtige Aspekte dieser Beziehung bestimmen (z.B. Protokollabstimmung, Bestätigung von Fristen in laufenden Projekten, etc.)
Je nach Risikobereitschaft und individueller Situation können auch Verträge, die in großen Mengen, aber nur mit geringen Volumen abgeschlossen werden sollen, ein sinnvolles Anwendungsfeld für die einfache elektronische Signatur sein. (Ein typisches Beispiel ist die Unterzeichnung eines Telefonvertrags im Geschäft eines Anbieters.
Keinesfalls darf die einfache Signatur dort verwendet werden, wo eine handschriftliche Unterschrift gesetzlich vorgeschrieben ist.
Was ist eine erweiterte elektronische Signatur?
Eine erweiterte elektronische Signatur muss viel höhere Anforderungen erfüllen als eine einfache Signatur. Die zu erfüllenden Kernmerkmale sind, dass diese Signatur eindeutig dem Unterzeichner zugeordnet werden kann und dass sie die Identifizierung des Unterzeichners ermöglicht. In vielen Fällen werden dazu zum Beispiel biometrische Erkennungsmerkmale wie Fingerabdrücke verwendet. Aufwändigere PDF-Editoren liefern solche erweiterten elektronischen Signaturen.
Wann wird eine erweiterte elektronische Signatur in einem Unternehmen benötigt?
Im Gegensatz zur einfachen elektronischen Signatur sollte die erweiterte elektronische Signatur dann verwendet werden, wenn das Dokument von grosser Bedeutung ist und daher eine zuverlässigere Signatur erfordert. Dies erhöht auch den Wert als Beweismittel. Die meisten Verträge werden ein geeignetes Anwendungsgebiet für eine erweiterte elektronische Signatur sein. Deshalb ist die erweiterte elektronische Signatur oft die Standardsignatur für gewöhnliche Verträge im normalen Geschäftsverkehr.
Die erweiterte elektronische Signatur reicht nicht aus, wenn entweder die Schriftform gesetzlich vorgeschrieben ist, oder die Bedeutung des Vertrages so gross ist, dass selbst kleinste Unsicherheiten vermieden werden müssen. Dazu gehören z.B. Asset-Deals, aber auch wichtige Erklärungen in Arbeitsverhältnissen, Garantien oder im Familien- und Erbrecht.
Eine Zwei-Faktor-Authentifizierung ist gesetzlich nicht vorgeschrieben, wird aber oft als zusätzliches Element zur eindeutigen Identifizierung des Unterzeichners verwendet. Auch bei dieser Authentifizierung muss gewährleistet sein, dass nachträgliche Änderungen erkannt werden können.
Was ist der Unterschied zwischen einer qualifizierten und einer erweiterten elektronischen Signatur?
Schliesslich gibt es die "qualifizierte elektronische Signatur" nach Art. 3 Nr. 12, 15, 23 eID als die technisch und operationell komplexeste Form der digitalen Signatur. Um die Anforderungen an eine qualifizierte elektronische Signatur zu erfüllen, muss eine Signatur mindestens alle Merkmale einer erweiterten Signatur aufweisen. Darüber hinaus muss sie auch von einer qualifizierten elektronischen Signaturerstellungseinheit (auch als "Secoder" bezeichnet) erstellt worden sein und auf einem qualifizierten Zertifikat für elektronische Signaturen beruhen.
Qualifizierte Zertifikate wiederum können nur von so genannten "Trusted Service Providern" ausgestellt werden, die den Antragsteller mit geeigneten Mitteln identifizieren. Zudem können sie nur auf natürliche Personen ausgestellt werden, nicht aber an juristische Personen wie eine Gesellschaft mit beschränkter Haftung (GmbH, UG etc.). Dies bedeutet, dass für jede zeichnungsberechtigte Person (z.B. jeden Geschäftsführer oder Prokuristen oder Vorstandsmitglied) eine individuelle digitale Signatur erstellt werden muss.
Eine Liste der deutschen Trusted Service Provider finden Sie auf der Homepage der Bundesnetzagentur.
Wann muss ich die "elektronische Form" anwenden?
Immer dann, wenn das Gesetz, die Vertragsparteien, die Allgemeinen Geschäftsbedingungen die "Schriftform" verlangen, wäre im analogen Leben eine handschriftliche Unterschrift zu erwarten. Im digitalen Leben wird sie durch die "qualifizierte elektronische Signatur" ersetzt. Nur die qualifizierte elektronische Signatur erfüllt die Anforderungen an die sogenannte "elektronische Form" nach § 126a BGB.
Die elektronische Form wiederum ist die einzige gesetzlich zulässige Alternative zur Schriftform, soweit gesetzliche Bestimmungen nichts anderes vorsehen. Beispiele, bei denen nur die qualifizierte elektronische Signatur die hohen Anforderungen des Gesetzes erfüllt, sind
- die Registrierung einer Stiftung,
- die zeitliche Begrenzung eines Mietvertrags,
- die Beendigung eines Bau- oder Architektenvertrags,
- Garantien oder Schuldversprechen,
Was ist der Unterschied zwischen elektronischer Signatur und digitaler Signatur?
Elektronische und digitale Signaturen sind im Wesentlichen völlig unterschiedliche Oberbegriffe. Die elektronische Signatur ist ein Rechtsbegriff und bezeichnet einfach die (unterschiedlich stark gesicherte) Unterschrift einer Person auf elektronischem Wege.
Die digitale Signatur als Fachbegriff umfasst eine Vielzahl von Spezialverfahren, die z.B. eine nachträgliche Manipulation eines Dokuments verhindern sollen. Die Begriffe können sich auch überschneiden, müssen es aber nicht. Eine einfache elektronische Signatur wird kaum jemals eine digitale Signatur beinhalten. Im Falle einer fortgeschrittenen elektronischen Signatur ist die Verwendung einer digitalen Signatur jedoch sehr wahrscheinlich.
Ist eine elektronische Signatur genauso rechtsgültig wie eine handschriftliche?
Die elektronische Signatur ist fast immer genauso rechtsgültig wie eine handschriftliche Unterschrift. Gegebenenfalls muss jedoch die richtige Art der elektronischen Signatur gewählt werden. Wenn eine Erklärung die Schriftform erfordert, kann nur die qualifizierte elektronische Signatur diese Anforderung erfüllen.
Wird eine notarielle Beglaubigung angeordnet (z.B. bei Immobilien- oder Unternehmenstransaktionen), reicht keine elektronische Signatur allein aus. Die eigentliche handschriftliche Form ("Tinte auf Papier" oder "nasse Tinte") ist jedoch nur in sehr seltenen Ausnahmen und bei sehr persönlichen Erklärungen, wie z.B. bei einem von Hand erstellten Testament, erforderlich (ganzheitliche Form).
Können Verträge auch auf einem Smartphone oder Tablet unterzeichnet werden?
Jede Erklärung, die mit einem PC abgegeben werden kann, ist auch über mobile Geräte möglich. Sowohl die einfache als auch die erweiterte elektronische Signatur kann technisch ohne weiteres auf dem Smartphone oder Tablet verwendet werden. Dies geschieht zum Beispiel durch die Integration eines Feldes zum Unterschreiben mit dem Finger oder einem digitalen Stift.
Auch qualifizierte elektronische Signaturen, die zur Erfüllung der gesetzlichen Schriftformvorschriften notwendig sind, können auf mobilen Geräten verwendet werden. In den meisten Fällen kann dazu ein Gerät mit einer Webcam erforderlich sein (was heute ohnehin Standard ist).
Ist es möglich, Verträge, die eine Schriftformklausel enthalten, digital zu unterzeichnen?
Wenn in Verträgen vereinbart wird, dass die Schriftform eingehalten werden muss, hat dies eine andere Wirkung als wenn das Gesetz sie zwingend vorschreibt. Das gesetzliche Schriftformerfordernis kann nur durch eine qualifizierte elektronische Signatur erfüllt werden. Deshalb sind Verträge mit ungenügend signierten digitalen Signaturen ungültig.
Bei vertraglichen Schriftformklauseln ist jedoch zu beachten, dass diese "vertragliche Schriftform" auch durch die elektronische Signatur erfüllt werden kann. Die Vertragsparteien können dies aber auch individuell untereinander in ihrem jeweiligen Interesse regeln.
Wie kommt man zu einer elektronischen Signatur?
Es gibt verschiedene Anbieter, die eine digitale Signatur zur Verfügung stellen. Die bekanntesten sind wohl DocuSign und Adobe. Auch europäische Anbieter wie Certeurope sind auf dem Markt für elektronische Signaturen aktiv. Die komplexeren Zertifikate, die für eine qualifizierte digitale Signatur benötigt werden, können nur von den dafür genannten vertrauenswürdigen Dienstleistern zur Verfügung gestellt werden.
Wie finden Sie den richtigen Anbieter von elektronischen Signaturen für Ihr Unternehmen?
Fragen, die Ihnen helfen können, den richtigen Anbieter von elektronischen Signaturen für Ihr Unternehmen zu finden, sollten unter anderem klären
- Welche Art(en) von elektronischen Signaturen benötigt Ihr Unternehmen (einfach, erweitert oder qualifiziert)? d.h. für welche Vertragssituationen soll sie eingesetzt werden und welche rechtlichen Formerfordernisse gibt es dafür, bzw. welchen Beweiswert hat die digitalisierte Signatur?
- Benötigen Sie einen Anbieter, der auch eine qualifizierte elektronische Signatur erstellt?
- Ist es für Sie wichtig, verschiedene Arten von Signaturen gleichzeitig anzubieten?
- Wie einfach lässt sich das Tool technisch in die IT-Umgebung Ihres Unternehmens integrieren und welche Lizenzanforderungen muss der Anbieter erfüllen?
- Stellt der Anbieter detaillierte und nachvollziehbare Protokolle des Signaturprozesses als Nachweis der digitalen Signatur zur Verfügung?
- Kann der Anbieter auf Anfrage überzeugende Antworten und Mustervereinbarungen zum Datenschutz, zur IT-Sicherheit und zum Schutz von Geheimnissen vorlegen?
Fazit
Elektronische Signaturen sind aus dem Geschäftsalltag nicht mehr wegzudenken und können Geschäftsprozesse enorm effizient gestalten. Insbesondere für völlig formfreie Vereinbarungen sind elektronische Signaturen eine sehr attraktive Alternative zur papierbasierten Unterschrift. In vielen Fällen lässt sich die Identität des Unterzeichners mit einer elektronischen Signatur noch besser nachvollziehen als mit einem unleserlichen Kürzel in Tinte auf dem Vertragspapier.
Bei Verträgen, die einer Formvorschrift unterliegen, muss jedoch sorgfältig auf die richtige Art der Unterschrift bzw. der elektronischen Signatur geachtet werden.
Auch bei allen anderen Formen von digitalen Signaturen ist darauf zu achten, dass die rechtlichen Rahmenbedingungen für die jeweils verwendete elektronische Signatur eingehalten werden.