Elektronische Signatur: Was ist zu beachten?

Die papierlose Kommunikation ist ein wichtiger Bestandteil des Unternehmensalltags – neben der allgemeinen Korrespondenz werden auch wichtige Dokumente wie Verträge, Rechnungen, Warenbestellungen oder Bankgeschäfte elektronisch abgewickelt. Um Dokumente auf elektronischem Wege rechtskräftig unterzeichnen zu können, wurde eine der persönlichen Unterschrift entsprechende Signatur mit vergleichbarer Beweiskraft erforderlich. Was ist beim Einsatz im Unternehmen zu beachten?

Grundsätzlich ist die elektronische Signatur von einer digitalen Signatur zu unterscheiden. „Digitale Signatur“ ist ein technisch/kryptographischer Begriff, während „elektronische Signatur“ ein rechtlicher Terminus ist.

Was ist eine digitale Signatur?

Unter dem Begriff der digitalen Signatur werden alle anerkannten, klar definierten technologischen Verfahren und Vorgehensweisen zusammengefasst. Bei einer digitalen Signatur werden elektronische Identifizierungsdaten über einen eindeutigen Hashwert bereitgestellt. Dieser Hashwert wird mit Hilfe des geheimen Schlüssels des Unterzeichnenden berechnet. Das Ergebnis dieses Rechenvorgangs nennt man digitale Signatur. Diese digitale Signatur wird abschließend dem zu signierenden Dokument, das im Klartext vorliegt, beigefügt. Das Dokument ist damit nicht verschlüsselt, sondern lediglich signiert. Der Empfänger kann dann anhand des öffentlichen Schlüssels verifizieren, dass ein Dokument vom Unterzeichner stammt.

Grundsätzlich können Schlüsselpaare von jedem, der die Technik beherrscht, selbst erzeugt werden. Bei einer selbst erstellten digitalen Signatur gewährleistet der öffentliche Schlüssel jedoch keinen sicheren Rückschluss auf den Signaturschlüssel-Inhaber. Deshalb gibt es Zertifikate. Ein Zertifikat bescheinigt, dass der öffentliche Schlüssel einer Person, dem Signaturschlüsselinhaber zugeordnet ist. Es gibt sogar noch eine Stufe darüber: das qualifizierte Zertifikat. Hier verbürgt sich ein vertrauenswürdiger Dritter für die Identität des Schlüsselinhabers.

Eine digitale Signatur gewährleistet die Authentizität des Dokuments, d.h. der Unterzeichnende kann darüber eindeutig identifiziert und die Herkunft der Daten sicher bestimmt werden. Außerdem stellt sie die Integrität der übermittelten Daten sicher, indem sie erkennbar macht, ob die ursprünglichen Daten verändert wurden. Daneben bietet die digitale Signatur die Möglichkeit, mittels eines Zeitstempels, ähnlich wie der Poststempel die Möglichkeit den Nachweis einer fristgerechten Einreichung.

Arten der elektronischen Signatur

Die Qualität der digitalen Signatur ist dabei relevant für die Beweiskraft einer elektronischen Signatur.
Das Signaturgesetz (SigG) unterscheidet zwischen drei Arten elektronischer Signaturen, wobei diese hinsichtlich der Sicherheit eine Rangfolge bilden.

Am wenigsten Sicherheit bietet die einfache „elektronische Signatur“. Hier werden keine besonderen Vorkehrungen getroffen. Elektronische Daten (Identifizierungsdaten) werden dabei mit anderen elektronischen Daten (Inhaltsdaten) räumlich oder logisch verknüpft. Dabei genügen bereits der Scan einer Unterschrift oder die Kontaktinformationen am Ende einer E-Mail. Eine digitale Signatur kommt hier nicht zum Einsatz.

Deutlich sicherer ist die „fortgeschrittene elektronische Signatur“. Bei einer fortgeschrittenen elektronischen Signatur kommen zu den Merkmalen einer „einfachen“ elektronischen Signatur vier weitere hinzu. Erstens muss die elektronische Signatur ausschließlich dem Inhaber des Signaturschlüssels zugeordnet werden können. Zweitens muss die elektronische Signatur der Identifizierung des Unterzeichnenden dienen. Drittens muss sie mit Mitteln erzeugt werden, die alleine unter der Kontrolle des Schlüsselinhabers stehen. Der Inhaber des Signaturschlüssels muss seine Smartcard, auf der das Zertifikat bzw. Schlüssel gespeichert ist sowie den dazugehörigen Kartenleser (Signaturerstellungseinheit) vor der Nutzung Unbefugter schützen. Schließlich muss die elektronische Signatur noch mit den Daten, auf die sie sich bezieht so verknüpft sein, dass eine nachträgliche Veränderung der Daten erkannt werden kann (Integritätsfunktion). Bei einer fortgeschrittenen elektronischen Signatur wird bereits eine digitale Signatur, aber nicht zwangsläufig ein Zertifikat verwendet.

Die „qualifizierte elektronische Signatur“ ist die einzige Art an elektronischer Signatur, die ein gesetzliches Schriftformerfordernis ersetzen kann und in Gerichtsverfahren als Beweismittel zugelassen ist. Deshalb gelten für sie die höchsten gesetzlichen Anforderungen. Neben den Merkmalen einer fortgeschrittenen elektronischen Signatur muss sie zwei zusätzliche Voraussetzungen erfüllen. Erstens muss die Signatur auf einem gültigen Zertifikat beruhen und zweitens mit einer sicheren Signaturerstellungseinheit erzeugt werden. Hier wird ein System eingesetzt, das digitale Zertifikate ausstellen, verteilen und prüfen kann, die sogenannte Public-Key-Infrastruktur (PKI). Die Signatur wird mittels eines qualifizierten Zertifikats dem Urheber zugeordnet.

Zu klärende Punkte vor der Einführung

Aus Sicht des Datenschutzes sind vor der Einführung einer elektronischen Signatur einige Fragen zu klären.

  • Einsatz der elektronischen Signatur: Klären Sie, für welche Zwecke welche Art an elektronischer Unterschrift verwendet werden soll. Wann reicht eine einfache elektronische Signatur aus und wann ist eine qualifizierte elektronische Signatur erforderlich?
  • Aufklärung der Mitarbeiter: Die betroffenen Mitarbeiter müssen vor Einsatz der elektronischen Signatur umfassend darüber informiert werden: Klären Sie im Rahmen einer Schulung die Funktionsweise und die Bedingungen, unter denen die elektronische Signatur im Unternehmen genutzt werden soll. Infomieren Sie die Mitarbeiter auch über die rechtlichen Konsequenzen der jeweils eingesetzten Art der elektronischen Signatur.
  • Bestimmung der Nutzer: Welche Mitarbeiter dürfen die qualifizierte elektronische Unterschrift anwenden? Klären Sie, inwieweit und in welchem Umfang der Mitarbeiter Verträge in Namen des Unternehmens abschließen darf. Achten Sie darauf, dass nur dort, wo die elektronische Signatur zur Ausführung der vereinbarten Aufgaben des Mitarbeiters tatsächlich erforderlich ist der Arbeitgeber diesen dazu verpflichten kann, sich für das Verfahren zu registrieren. In allen anderen Fällen kann der Arbeitnehmer die Registrierung verweigern.
  • Auswahl des Zertifizierungsdienstes: Die Zertifikate und Karten für die qualifizierte elektronische Signatur werden von privaten Stellen vergeben. Berechtigt sind dazu allein sogenannte Trust-Center, die nach der Signaturverordnung (SignV) geprüft wurden. Achten Sie bei der Auswahl des Anbieters auf dessen gültige Zulassung.
  • Anwendung der Signaturkarte: Wie soll der Einsatz der Signaturkarte in der Praxis aussehen? Achten Sie etwa bei der Arbeitsplatzgestaltung darauf, dass eine sichere Verwahrung der Signaturerstellungseinheit und eine unbeobachtete Eingabe des PINs möglich sind.
  • Sicherheitsregelungen: Legen Sie fest, welche Sicherheitsmaßnahmen die Nutzer einer elektronischen Signaturkarte zu befolgen haben. Stellen Sie auch klar, wie bei Unregelmäßigkeiten vorzugehen ist. Wie soll sich der Mitarbeiter bei Verdacht auf Missbrauch oder dem Verlust der Signaturkarte verhalten?
  • Technische Betreuung: Gewährleisten Sie, dass die Nutzer der elektronischen Signatur bei Fehlern oder Fragen einen Ansprechpartner haben.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

One Comment

  1. S. Gruber Profile Picture
    S. Gruber

    Vielen Dank für den interessanten Artikel.
    Hilfreich wären noch Links zu Ausstellern von Zertifikaten bzw Verkäufern der benötigten Hardware gewesen.

Leave a Reply

Your email address will not be published. * Required fields.

Nettiquette: We do not tolerate grossly unobjective contributions or advertising on our own behalf and will not publish corresponding entries but delete them.