Die papierlose Kommunikation ist ein wichtiger Bestandteil des Unternehmensalltags – neben der allgemeinen Korrespondenz werden auch wichtige Dokumente wie Verträge, Rechnungen, Warenbestellungen oder Bankgeschäfte elektronisch abgewickelt. Um Dokumente auf elektronischem Wege rechtskräftig unterzeichnen zu können, wurde eine der persönlichen Unterschrift entsprechende Signatur mit vergleichbarer Beweiskraft erforderlich. Was ist beim Einsatz im Unternehmen zu beachten?

Digitale Signatur

Grundsätzlich ist die elektronische Signatur von einer digitalen Signatur zu unterscheiden. „Digitale Signatur“ ist ein technisch/kryptographischer Begriff, während „elektronische Signatur“ ein rechtlicher Terminus ist.

Was ist eine digitale Signatur?

Unter dem Begriff der digitalen Signatur werden alle anerkannten, klar definierten technologischen Verfahren und Vorgehensweisen zusammengefasst. Bei einer digitalen Signatur werden elektronische Identifizierungsdaten über einen eindeutigen Hashwert bereitgestellt. Dieser Hashwert wird mit Hilfe des geheimen Schlüssels des Unterzeichnenden berechnet. Das Ergebnis dieses Rechenvorgangs nennt man digitale Signatur. Diese digitale Signatur wird abschließend dem zu signierenden Dokument, das im Klartext vorliegt, beigefügt. Das Dokument ist damit nicht verschlüsselt, sondern lediglich signiert. Der Empfänger kann dann anhand des öffentlichen Schlüssels verifizieren, dass ein Dokument vom Unterzeichner stammt.

Grundsätzlich können Schlüsselpaare von jedem, der die Technik beherrscht, selbst erzeugt werden. Bei einer selbst erstellten digitalen Signatur gewährleistet der öffentliche Schlüssel jedoch keinen sicheren Rückschluss auf den Signaturschlüssel-Inhaber. Deshalb gibt es Zertifikate. Ein Zertifikat bescheinigt, dass der öffentliche Schlüssel einer Person, dem Signaturschlüsselinhaber zugeordnet ist. Es gibt sogar noch eine Stufe darüber: das qualifizierte Zertifikat. Hier verbürgt sich ein vertrauenswürdiger Dritter für die Identität des Schlüsselinhabers.

Eine digitale Signatur gewährleistet die Authentizität des Dokuments, d.h. der Unterzeichnende kann darüber eindeutig identifiziert und die Herkunft der Daten sicher bestimmt werden. Außerdem stellt sie die Integrität der übermittelten Daten sicher, indem sie erkennbar macht, ob die ursprünglichen Daten verändert wurden. Daneben bietet die digitale Signatur die Möglichkeit, mittels eines Zeitstempels, ähnlich wie der Poststempel die Möglichkeit den Nachweis einer fristgerechten Einreichung.

Arten der elektronischen Signatur

Die Qualität der digitalen Signatur ist dabei relevant für die Beweiskraft einer elektronischen Signatur.
Das Signaturgesetz (SigG) unterscheidet zwischen drei Arten elektronischer Signaturen, wobei diese hinsichtlich der Sicherheit eine Rangfolge bilden.

Am wenigsten Sicherheit bietet die einfache „elektronische Signatur“. Hier werden keine besonderen Vorkehrungen getroffen. Elektronische Daten (Identifizierungsdaten) werden dabei mit anderen elektronischen Daten (Inhaltsdaten) räumlich oder logisch verknüpft. Dabei genügen bereits der Scan einer Unterschrift oder die Kontaktinformationen am Ende einer E-Mail. Eine digitale Signatur kommt hier nicht zum Einsatz.

Deutlich sicherer ist die „fortgeschrittene elektronische Signatur“. Bei einer fortgeschrittenen elektronischen Signatur kommen zu den Merkmalen einer „einfachen“ elektronischen Signatur vier weitere hinzu. Erstens muss die elektronische Signatur ausschließlich dem Inhaber des Signaturschlüssels zugeordnet werden können. Zweitens muss die elektronische Signatur der Identifizierung des Unterzeichnenden dienen. Drittens muss sie mit Mitteln erzeugt werden, die alleine unter der Kontrolle des Schlüsselinhabers stehen. Der Inhaber des Signaturschlüssels muss seine Smartcard, auf der das Zertifikat bzw. Schlüssel gespeichert ist sowie den dazugehörigen Kartenleser (Signaturerstellungseinheit) vor der Nutzung Unbefugter schützen. Schließlich muss die elektronische Signatur noch mit den Daten, auf die sie sich bezieht so verknüpft sein, dass eine nachträgliche Veränderung der Daten erkannt werden kann (Integritätsfunktion). Bei einer fortgeschrittenen elektronischen Signatur wird bereits eine digitale Signatur, aber nicht zwangsläufig ein Zertifikat verwendet.

Die „qualifizierte elektronische Signatur“ ist die einzige Art an elektronischer Signatur, die ein gesetzliches Schriftformerfordernis ersetzen kann und in Gerichtsverfahren als Beweismittel zugelassen ist. Deshalb gelten für sie die höchsten gesetzlichen Anforderungen. Neben den Merkmalen einer fortgeschrittenen elektronischen Signatur muss sie zwei zusätzliche Voraussetzungen erfüllen. Erstens muss die Signatur auf einem gültigen Zertifikat beruhen und zweitens mit einer sicheren Signaturerstellungseinheit erzeugt werden. Hier wird ein System eingesetzt, das digitale Zertifikate ausstellen, verteilen und prüfen kann, die sogenannte Public-Key-Infrastruktur (PKI). Die Signatur wird mittels eines qualifizierten Zertifikats dem Urheber zugeordnet.

Zu klärende Punkte vor der Einführung

Aus Sicht des Datenschutzes sind vor der Einführung einer elektronischen Signatur einige Fragen zu klären.

  • Einsatz der elektronischen Signatur: Klären Sie, für welche Zwecke welche Art an elektronischer Unterschrift verwendet werden soll. Wann reicht eine einfache elektronische Signatur aus und wann ist eine qualifizierte elektronische Signatur erforderlich?
  • Aufklärung der Mitarbeiter: Die betroffenen Mitarbeiter müssen vor Einsatz der elektronischen Signatur umfassend darüber informiert werden: Klären Sie im Rahmen einer Schulung die Funktionsweise und die Bedingungen, unter denen die elektronische Signatur im Unternehmen genutzt werden soll. Infomieren Sie die Mitarbeiter auch über die rechtlichen Konsequenzen der jeweils eingesetzten Art der elektronischen Signatur.
  • Bestimmung der Nutzer: Welche Mitarbeiter dürfen die qualifizierte elektronische Unterschrift anwenden? Klären Sie, inwieweit und in welchem Umfang der Mitarbeiter Verträge in Namen des Unternehmens abschließen darf. Achten Sie darauf, dass nur dort, wo die elektronische Signatur zur Ausführung der vereinbarten Aufgaben des Mitarbeiters tatsächlich erforderlich ist der Arbeitgeber diesen dazu verpflichten kann, sich für das Verfahren zu registrieren. In allen anderen Fällen kann der Arbeitnehmer die Registrierung verweigern.
  • Auswahl des Zertifizierungsdienstes: Die Zertifikate und Karten für die qualifizierte elektronische Signatur werden von privaten Stellen vergeben. Berechtigt sind dazu allein sogenannte Trust-Center, die nach der Signaturverordnung (SignV) geprüft wurden. Achten Sie bei der Auswahl des Anbieters auf dessen gültige Zulassung.
  • Anwendung der Signaturkarte: Wie soll der Einsatz der Signaturkarte in der Praxis aussehen? Achten Sie etwa bei der Arbeitsplatzgestaltung darauf, dass eine sichere Verwahrung der Signaturerstellungseinheit und eine unbeobachtete Eingabe des PINs möglich sind.
  • Sicherheitsregelungen: Legen Sie fest, welche Sicherheitsmaßnahmen die Nutzer einer elektronischen Signaturkarte zu befolgen haben. Stellen Sie auch klar, wie bei Unregelmäßigkeiten vorzugehen ist. Wie soll sich der Mitarbeiter bei Verdacht auf Missbrauch oder dem Verlust der Signaturkarte verhalten?
  • Technische Betreuung: Gewährleisten Sie, dass die Nutzer der elektronischen Signatur bei Fehlern oder Fragen einen Ansprechpartner haben.

 

Das könnte Sie auch interessieren:
Zertifizierung nach BSI-Grundschutz: Was Sie für den sofortigen Start brauchen (Seminar)
Wann gilt die Nutzung von Daten als tatsächlich erforderlich?
Newsletter rechtskonform versenden
Wann ist eine Datenschutz-Prüfung für Sie sinnvoll?
Online Datenschutz-Schulung für Mitarbeiter
Bleiben Sie auf dem Laufenden: Datenschutz-Newsletter

 
Artikelbild: Symbolbild (c) Nemo / Pixabay

1 Antwort
  1. S. Gruber
    S. Gruber sagte:

    Vielen Dank für den interessanten Artikel.
    Hilfreich wären noch Links zu Ausstellern von Zertifikaten bzw Verkäufern der benötigten Hardware gewesen.

    Antworten

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.