Swisscom Trust Services - Trust Blog

Tipps zur Auswahl des richtigen E-Signatur-Levels für Ihre digitalen Prozesse

Geschrieben von Mario Voge | 21.06.2024 10:03:28

Die Unterschrift bleibt die letzte analoge Hürde in verschiedenen Prozessen, die ansonsten bereits zu 100 % digital sind. Elektronische Signaturen können dabei helfen, vollständig digital zu werden, auch in hochregulierten Bereichen. Doch Vorsicht - nicht alle elektronischen Signaturen sind gleich: Der Gesetzgeber (die EU) unterscheidet zwischen drei Ebenen. Hier erfahren Sie, worum es bei einfachen, fortgeschrittenen und qualifizierten Signaturen geht.

1. Die einfache elektronische Signatur (EES)

Die einfache elektronische Signatur besteht nur aus «Daten in elektronischer Form, die an andere Daten in elektronischer Form angehängt oder logisch damit verbunden sind und vom Unterzeichner zum Unterschreiben verwendet werden» (eIDAS Artikel 3). Diese Art hat keine weiteren Anforderungen, sodass jede vorstellbare Form möglich ist. Wir verwenden die EES am häufigsten beim Schreiben einer E-Mail: «Mit freundlichen Grüssen – John Smith», geschrieben als Grussformel, verknüpft mit dem restlichen Dokument und als Ausdruck, dass diese E-Mail von John Smith stammt.

Dennoch handelt es sich aus regulatorischer Sicht um eine unverbindliche «Mickey Mouse-Unterschrift», da ein Bild als Unterschrift ohne jeglichen authentischen Wert platziert wird. Der Empfänger wird nicht wissen, ob John Smith oder Micky Maus dieses «Bild» platziert hat.

Es gibt auch eine Variante mit einem gescannten Bild einer handschriftlichen Unterschrift. Doch natürlich kann auch dies direkt kopiert werden. Wahrscheinlich hat jeder schon betrügerische E-Mails erhalten, in denen Kriminelle vorgeben, Freunde oder Mitglieder bekannter Unternehmen zu sein. Warum verwenden wir trotz ihrer hohen Anfälligkeit für Fälschungen solche Signaturen im Geschäftsleben? Weil wir es mit Transaktionen oder Verträgen zu tun haben, die auf andere Weise abgesichert sind. Wir zahlen etwa schnell die erste Rate eines Mobilfunkvertrags und bestätigen damit den Kauf- oder Dienstleistungsvertrag. Es wäre auch vor Gericht problematisch zu behaupten, dass wir von diesem Vertrag nichts wussten oder ihn nie unterschrieben haben.

2. Die fortgeschrittene elektronische Signatur (FES)

Die fortgeschrittene elektronische Signatur basiert ebenfalls auf Zertifikaten (einem speziellen Datensatz, der die Merkmale von Personen oder Objekten bestätigt und kryptografisch überprüft werden kann). Es wird verlangt, dass diese «unter Verwendung von elektronischen Signaturerstellungsdaten erstellt wurden, die der Unterzeichner unter seiner alleinigen Kontrolle mit einem hohen Mass an Vertrauen verwenden kann» (eIDAS Artikel 26). Es sollte auch möglich sein, nachträgliche Änderungen an einem unterzeichneten Dokument zu erkennen. Die genaue Gestaltung des Prozesses obliegt jedoch den jeweiligen Anbietern.

Obwohl die Gerichte diesen Signaturtyp anerkennen und nicht grundsätzlich vor Gericht abgelehnt werden können *, kommt es auf die freie Beweisführung an, und die Authentizität der Unterschrift muss im Zweifelsfall nachgewiesen werden. Daher ist die fortgeschrittene Signatur als alleiniges Beweismittel vor Gericht ungeeignet.

3. Die qualifizierte elektronische Signatur (QES)

Die zertifizierte und geprüfte Lösung innerhalb einer QES stellt das höchste Identifikationsniveau dieser Person dar (Validierung der Authentizität) John Smith, zusammen mit der einzigartigen Bindung eines gewählten Authentifizierungsmittels («elektronischer Stift», der verwendet wird als – «JA, ich möchte dieses rechtlich bindende Dokument unterschreiben, mit all den dahinter stehenden Mitteln»)

In den meisten Rechtssystemen gilt jedoch die Beweislastumkehr für qualifizierte elektronische Signaturen. Dies bedeutet, dass die Authentizität der Unterschrift nicht nachgewiesen werden muss, sondern im Zweifelsfall widerlegt werden kann. Dies bedeutet, dass die QES in den meisten Fällen einer handschriftlichen Unterschrift gleichkommt*. Die QES ist daher die Methode der Wahl für digitale Verträge in einer stark regulierten Umgebung wie dem Finanz- oder Versicherungsbereich. Sie ist heute einfach zu verwenden und aus risikotechnischer Sicht die ideale Wahl.

Die QES unterliegt jedoch strengen regulatorischen Anforderungen, um dieses Vertrauen zu gewährleisten. Beispielsweise dürfen die für diesen Zweck verwendeten Zertifikate nur von einem zertifizierten und geprüften Trust Service Provider (TSP) ausgestellt werden. In der Europäischen Union sind ihre Aktivitäten in der eIDAS-Verordnung genau geregelt. In der Schweiz gibt es ein entsprechendes Äquivalent in Form von ZertES. Swisscom Trust Services ist in beiden Rechtsgebieten als TSP registriert und kann Zertifikate für fortgeschrittene und qualifizierte Signaturen ausstellen.

Fazit:

Die Entscheidung für das Signaturniveau hängt immer vom jeweiligen Anwendungsfall ab. Unternehmen sollten mit rechtlichem Beistand sicherstellen, welche rechtliche Sicherheit ein bestimmter Prozess erfordert, wie geschäftskritisch er ist und welches Haftungsrisiko bestehen könnte. Aufgrund des komplexeren Prozesses kosten qualifizierte Signaturen in der Regel etwas mehr und sollten daher nur dort eingesetzt werden, wo es notwendig ist. Die einfache elektronische Signatur (AES) kann auch eine sichere und kostengünstigere Option für viele Prozesse bieten. Daher ist es für Unternehmen am besten, mit einem TSP wie Swisscom Trust Services zusammenzuarbeiten, der Zertifikate für beide Fälle anbietet.

 

 
Hinweise & Haftungsausschluss

*“An electronic signature (either simple, advanced, or qualified) shall not be denied legal effect and admissibility as evidence in legal proceedings solely because it is in an electronic form or does not meet the requirements for qualified electronic signatures. Regarding qualified electronic signatures, they explicitly have the equivalent legal effect of handwritten signatures across all EU Member States.” https://ec.europa.eu/digital-building-blocks/sites/display/DIGITAL/eSignature+FAQ

Die bereitgestellten Informationen hier stellen keine rechtliche Beratung dar und sind nicht dazu gedacht, rechtliche Fragen oder Probleme anzugehen, die in individuellen Fällen auftreten können. Die Informationen auf dieser Website sind von allgemeiner Natur und dienen nur zu Informationszwecken. Swisscom Trust Services AG übernimmt keine Verantwortung für die Genauigkeit, Vollständigkeit oder Aktualität der Informationen auf dieser Website. Rechtliche Beratung sollte nur von qualifizierten Anwälten eingeholt werden.

 

 

Sie haben bereits ein Verständnis für Ihre Geschäftsprozesse entwickelt, die mit E-Signaturen digitalisiert werden könnten. Lassen Sie uns über die Umsetzung sprechen und wie wir und unsere Partner Sie dabei unterstützen können!