Swisscom Trust Services - Trust Blog

Qualifizierte elektronische Signatur - Swisscom Trust Services

Geschrieben von Peter Amrhyn | 26.10.2021 14:00:00

Unsere Welt wird immer digitaler. Die Geschäftswelt verlagert ihre Businessaktivitäten in den digitalen Raum, da Mitarbeitende zunehmend ihren Job im Home-Office ausführen. Auch im Privatleben spielen sich viele alltägliche Dinge im Internet ab: Wir kaufen Kleidung, Lebensmittel oder Elektrogeräte online und erledigen unsere Bankangelegenheiten und Behördengänge am liebsten von zu Hause aus, ohne den unnötigen Schritt in eine Filiale aufzuwenden. Eine Schwachstelle im digitalen Bereich findet sich nach wie vor beim Abschliessen von online Verträgen mit der eigen händischen Unterschrift, denn diese erfolgt meistens noch auf Papier. Hier kann die qualifizierte elektronische Signatur (kurz: QES) Abhilfe leisten. Dieser Ratgeber informiert Sie über die wichtigen Eigenschaften, Vorteile einer QES und wie Sie angewendet werden kann.

Definition der QES

Die qualifizierte elektronische Signatur ist eine sichere digitale Signatur mit gesetzlicher Grundlage nach der EU Verordnung eIDAS und des schweizerischen Bundesgesetzes ZertES. Sie verfügt über eine sehr hohe Beweiskraft und Haftung, ist vor dem Gesetz der handschriftlichen Signatur gleichgestellt und kann über einen Validator überprüft werden. Beispiele für diese gesetzlich anerkannten Validierungsmöglichkeiten sind der Validator der schweizerischen Bundesverwaltung oder die DSS Demonstration WebApp der Europäischen Kommission.

Anforderung und Eigenschaften der QES gemäss EU Verordnung eIDAS

Generell wird die qualifizierte elektronische Signatur in dem digitalen Public-Private Key Verfahren erstellt. Auch die EU-Verordnung eIDAS, die den gesetzlichen Rahmen von elektronischen Signaturen und Vertrauensdiensten in der EU regelt, bestimmt wesentliche Anforderungen an eine QES. Dies ist in Artikel 3 Nr. 10 über elektronische Signaturen beschrieben – und zwar als „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet“. Die QES soll gemäss eIDAS Verordnung diese Anforderungen erfüllen. Die QES soll:

  • einer Person eindeutig zugeordnet werden können,
  • die eindeutige Identifizierung der Person ermöglichen,
  • durch einen Vertrauensdiensteanbieter, wie Swisscom Trust Services, erstellt werden
  • auf einem qualifizierten elektronischen Zertifikat beruhen, und
  • nachweisen, dass das Dokument nach Anbringen der Signatur nicht verändert werden kann.

 

Abgrenzung der QES zur FES oder EES

Die qualifizierte elektronische Signatur ist die sicherste Art einer digitalen Signatur, da sie die höchste Beweiskraft und Haftung besitzt. Aufgrund der gesetzlichen Vorgaben der eIDAS Verordnung und dem schweizerischen Bundesgesetz ZertES wird die QES von der fortgeschrittenen elektronischen Signatur (FES) und einfachen elektronischen Signatur (EES) abgegrenzt:

 

FES

Die fortgeschrittene elektronische Signatur ist eine digitale Signatur ohne gesetzliche Verankerung. Eine fortgeschrittene Signatur ermöglicht gemäss der eIDAS Verordnung eine eindeutige Identifikation und Zuordnung des Unterzeichners (Nichtabstreitbarkeit und Authentizität) sowie die Erkennung einer nachträglichen Änderung auf einem bereits signierten digitalen Dokument (Integrität). Diese Art der Signatur verfügt über eine hohe Beweiskraft, jedoch einer geringeren Haftung, da es keine gesetzlich anerkannten Validierungsmöglichkeiten gibt und der Gesetzgeber einen breiten Spielraum für die Ausgestaltung der fortgeschrittenen Signatur zulässt.

 

EES

Die einfache elektronische Signatur ist eine digitale Signatur mit einer sehr geringen Haftung und Beweiskraft. Für diese Art der Signatur gibt es keine Gesetzesgrundlage oder festgelegten Anforderungen für die Erstellung. Aus diesem Grund kann diese Art der Signatur einfach gefälscht werden.

 

Vorteile der QES

 

Rechtsgültigkeit

Nur die QES ist vor dem Gesetz mit der handschriftlichen Signatur gleichgestellt. Es gibt bereits diverse gesetzliche Anforderung und Regularien, die eine QES von Personen verlangen können. Dazu zählen beispielsweise in Deutschland das Geldwäscherei-Gesetz und das Arbeitnehmerüberlassungsgesetz. In der Schweiz wird in bestimmten Anwendungsfällen von einer verantwortlichen Person eines Unternehmens eine QES verlangt, die von der Eidgenössischen Finanzmarktaufsicht FINMA kontrolliert werden. 

Kosten & Zeitersparnis

Mit der Einführung einer QES sparen Sie enorme Kosten beim Papierverbrauch, Logistik, Scannen, Drucken oder Versand per Post. Gleichzeitig können Sie die aufwendige Fahrt zum Büro oder Kunden vermeiden, da mit der QES ein Vertrag im digitalen Raum orts- und zeitunabhängig unterschrieben werden kann. 

Qualität & Sicherheit

Abhängig von den regulatorischen Anforderungen müssen bestimmte unterschriebene Verträge für einen längeren Zeitraum sicher aufbewahrt werden. Bei eigen händischen Unterschriften auf Papier besteht die Gefahr, dass diese nach dieser Aufbewahrungsfrist nicht mehr eindeutig lesbar ist und verblasst. Durch die Verwendung der QES auf einem digitalen Vertrag bleibt die Unterschriftqualität noch nach vielen Jahren im Original bestehen und kann sicher über einen Validator überprüft werden.

 

Anwendungsgebieter der QES

 

Online Bankkonto eröffnen

Nach den Vorschriften des Geldwäschegesetzes (GWG) muss ein Kunde bei der Eröffnung eines Kontos identifiziert werden. Traditionell geschah das persönlich in der Bankfiliale. Zwar bieten Direkt- und Online-Banken schon seit längerer Zeit die Möglichkeit der online Identifizierung an, stellen jedoch die notwendigen Anträge und Dokumente für die Kontoeröffnung dem Kunden per Post zur Verfügung, damit dieser sie händisch unterschreibt. Dieser Medienbruch kann mithilfe einer elektronischen Signatur verhindert werden, da der Kunde auf diese Art eine rechtssichere und digitale Willenserklärung abgeben kann.

Die Branchenexperten von Swisscom Trust Services analysieren Ihren Bedarf für die QES im Finanzsektor, Ihre Herausforderungen und die bisherigen Prozesse, bevor sie ein Angebot erstellen. Dieses kann je nach Anwendungsfall in der Integration einer standardisierten Partnerlösung  bestehen oder einer speziell auf den Use Case zugeschnittenen Entwicklung.

Digitalisierung im Gesundheitssektor

Eine umfassende Digitalisierung des Gesundheitssektors kann Prozesse vereinheitlichen und beschleunigen und damit die Effizienz steigern und Kosten senken. Dadurch werden Ressourcen für eine bessere Betreuung der Patienten frei. Durch eine elektronische Patientenakte oder ein elektronisches Patientendossier haben Patienten alle ihre Gesundheitsinformationen an einem zentralen Ort griffbereit. Das erlaubt es, Dokumente ganz einfach zwischen Hausarzt, Facharzt und Klinik auszutauschen. Mit der QES kann in solch einem Prozess die Willensbekundungen rechtssicher und effizient online abgeben zu können.

Die Branchenexperten von Swisscom Trust Services analysieren den Bedarf für die QES im Gesundheitswesen, die Probleme und die bisherigen Prozesse von Interessenten genau, bevor sie ein Angebot erstellen. Dieses kann je nach Anwendungsfall in der Integration einer standardisierten (Partner-) Lösung bestehen oder einer speziell auf den Use Case zugeschnittenen Entwicklung.

Unterschrift auf Arbeitnehmerüberlassungsverträgen

Aufgrund des aktuellen Fachkräftemangels befinden sich vielen Branchen gerade im sog. „War of Talents“. Dabei darf der Faktor Zeit nicht vernachlässigt werden. Das Personalwesen von Unternehmen unterlaufen immer wieder der Gefahr, dass ein Bewerber ein besseres Angebot erhält, während der Arbeitsvertrag per Post auf dem Weg ist. Obwohl das Einreichen der Bewerbungsunterlagen und das Bewerbungsgespräch bereits online stattfinden, scheitert das vollständige digitale Onboarding eines neuen Mitarbeitenden häufig an der händischen Unterschrift auf dem Arbeitsvertrag. Dies kann mit der Verwendung der QES digital abgebildet werden. Gerade im Arbeitnehmerüberlassungsmarkt verlangt der Gesetzgeber in Deutschland eine qualifizierte Signatur auf dem Arbeitnehmerüberlassungsvertrag.

Die Branchenexperten von Swisscom Trust Services analysieren den Bedarf für ihre Personalabteilung, die Probleme und die bisherigen Prozesse von Interessenten genau, bevor sie ein Angebot erstellen. Dieses kann je nach Anwendungsfall in der Integration einer standardisierten (Partner-) Lösung bestehen oder einer speziell auf den Use Case zugeschnittenen Entwicklung.

 

So funktioniert die Unterschrift mit einer QES

Mit dieser Step-by-Step Anleitung erklären wir Ihnen, wie Sie erfolgreich ein digitales Dokument mit einer qualifizierten elektronischen Signatur unterschreiben können.

Step 1: Wahl der Signaturapplikation unserer Partner mit integrierten Signing Service

Abhängig von Ihrem konkreten Anwendungsfall oder der rechtlichen Bedeutung des digitalen Dokumentes, welches Sie unterschreiben müssen, wählen Sie eine passende Signaturanwendung unserer Partner aus. Diese Applikationen haben den Signing Service der Swisscom Trust Services erfolgreich integriert, sodass Sie darin Dokumente qualifiziert elektronisch signieren können. Eine Auswahl der Partner Anwendungen finden Sie hier: Partner Übersicht.

Step 2: Einmalige Identifikation und Registrierung für die QES.

Gemäss den gesetzlichen Vorgaben (EU Verordnung eIDAS oder Schweizer Bundesgesetz ZertES) muss eine Person einmalig identifiziert und registriert werden, um anschliessend für die QES befähigt zu werden. Für die Nutzung der QES in der von Ihnen ausgewählten Signaturanwendung, werden Sie über den integrierten Smart Registration Service mit Ihrer bevorzugten Identifikationsmethode für die QES identifiziert. Während dem Identifizierungsprozess werden Ihre Identität mit Ihrer Mobiltelefonnummer und verwendeten zwei Faktoren Authentisierung (bspw. Mobile ID oder Passwort/SMS Code Verfahren) gekoppelt. Für den Abschluss der Identifikation und Registrierung zur QES erhalten Sie automatisch eine SMS mit einem Link auf die Nutzungsbestimmungen des Signing Service. Erst mit einer erfolgten Akzeptanz und Bestätigung dieser können Sie die QES in der Signaturanwendung nutzen.

Step 3: Dokument hochladen und Einladung zur Unterschrift

Nun laden Sie das Dokument in die Signaturanwendung hoch. In einigen Applikationen unserer Partner haben Sie die Möglichkeit, einen Unterschriften-Workflow zu starten, in dem Sie weitere signierende Personen zur Unterschrift einladen können. Oft können Sie auch optisch Ihre Signatur auf dem Dokument platzieren, bevor Sie den Signaturprozess starten.

Step 4: Signaturfreigabe durch 2-Faktoren Authentisierung

Nach dem Start des Signaturprozesses in der Applikation erhalten Sie Anfrage zur Signatur auf Ihr Mobiltelefon. Um digital Ihren Willen zu bekunden, bestätigen Sie Ihre QES mit ihrer 2-Faktoren Authentisierung, die Sie im Identifikationsprozess (Step 2) hinterlegt haben.

Step 5: Erstellung der Signatur

Durch Ihre Authentisierung wird in der Signaturapplikation das Dokument mit einer QES unterschrieben und kann im Anschluss von Ihnen heruntergeladen oder weitergesendet werden.

 

Die Verschlüsselung einer QES?

 

Die technische Grundlage für die elektronische Signatur bildet eine Public-Private Infrastructure (PKI). Für die Erstellung einer elektronischen Signatur wird in der PKI, mithilfe eines kryptografischen Algorithmus, ein Schlüsselpaar mit zwei Schlüsseln für die signierende Person erzeugt, das eine bestimmte Länge in der Codierung aufweist. Einer der Schlüssel ist öffentlich und der andere ist privat. Zusätzlich muss dieses Schlüsselpaar der signierenden Person eindeutig zugeordnet werden können, um die elektronische Signatur erzeugen zu können. Während dem Signaturvorgang in einer Partnerapplikation verbindet Swisscom Trust Services als Anbieter für Vertrauensdienste den privaten und öffentlichen Schlüssel der Person und erstellt dafür ein qualifiziertes elektronisches Zertifikat und Zeitstempel. Diese werden mit der Signatur auf dem digitalen Dokument angebracht.

Die Bedeutung der Verschlüsselung

Die technische Verschlüsselung einer elektronischen Signatur ermöglicht, dass die Integrität des Dokumentes und Authentizität einer Person auf dem digitalen Dokument garantiert ist. In anderen Worten bedeutet es, dass nach Anbringen einer elektronischen Signatur, das Dokument auf Echtheit überprüft und nicht mehr verändert werden kann. Auch kann über die elektronische Signatur die eindeutige Identität des Signierenden im Nachgang überprüft werden.