Elektronische Signaturen: rechtsgültig digital unterschreiben

Was ist eine elektronische Signatur?

Eine elektronische Signatur, auch eSignatur,  ist das elektronische Äquivalent zu einer handschriftlichen Unterschrift und dient der digitalen Unterzeichnung eines Dokumentes. Über eine Software wird die Signatur an ein digitales Dokument angebracht. Die Identität des Signaturerstellers sowie der Zeitpunkt der Unterschrift sind zweifelsfrei und rechtsgültig nachweisbar.

Die Entstehung elektronischer Signaturen

Die Digitalisierung verändert den Business-Alltag: Geschäftsbeziehungen zwischen Kunden, Partnern und Lieferanten sind durch digitale Kommunikation geprägt. Der Austausch elektronischer Verträge und Rechnungen gehört längst zur Regel.

Im Zweifelsfall müssen sie eine rechtliche Beweiskraft erfüllen wie handschriftlich unterschriebene Papierdokumente. Bereits 1997 wurde daher das Signaturgesetz (SigG) in Deutschland erlassen, um die Verwendung „elektronischer Unterschriften“ im digitalen Geschäftsverkehr und in den elektronischen Prozessen der öffentlichen Verwaltung zu ermöglichen. Durch die seit 2016 geltende eIDAS*-Verordnung wurden die Anforderungen an Lösungsanbieter, Produkte und Verfahren bei der Signaturerstellung für die EU-Mitgliedsstaaten neu definiert.

* Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, kurz eIDAS


10 Fragen zur Auswahl eines ECM-Systems

Jetzt kostenlos erhältlich!

Zum ECM-Ratgeber

Ziele der elektronischen Signatur: Integrität und Authentizität

Das Ziel einer elektronischen Signatur ist es, ihren Beweiswert langfristig zu erhalten. Werden digitale Dokumente z.B. langzeitarchiviert, müssen sowohl ihre Inhaltsdaten als auch die dazugehörigen Metadaten unverändert aufbewahrt werden. Nur dann bleibt die Integrität eines Dokuments gewahrt. Zusätzlich soll durch die elektronische Signatur die Authentizität, also die Identität des Erstellers des Dokuments, nachgewiesen werden.

Digitale vs. elektronische Signatur

Die Begriffe digitale und elektronische Signaturen werden häufig synonym verwendet. Die Begriffe unterschieden sich jedoch hinsichtlich Bedeutung und Funktionalität: 

Digitale Signaturen

Der Begriff digitale Signatur bezeichnet das Verfahren, mit dem eine elektronische Signatur verschlüsselt wird. Die digitale Signatur ist ein rein technischer Begriff und nicht als Synonym zur elektronischen Signatur zu verstehen.

Elektronische Signaturen

Die elektronische Signatur ist dagegen ein rechtlicher Begriff. Gemäß der Signaturgesetze der EU-Mitgliedsstaaten sind elektronische Signaturen „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die der Authentifizierung dienen.“

Mit der eIDAS-Verordnung existiert seit 2016 zusätzlich der Begriff elektronisches Siegel. Im Unterschied zur elektronischen Signatur wird das Siegel nicht natürlichen, sondern nur juristischen Personen, z.B. Institutionen, zugewiesen. Es dient lediglich als Herkunftsnachweis und ersetzt nicht die persönliche Unterschrift bzw. fortgeschrittene oder qualifizierte elektronische Signatur.


Arten elektronischer Signaturen

Einfache elektronische Signatur

Einfache elektronische Signaturen enthalten Angaben zur Identität eines Urhebers in Text- oder Bildform, z.B. in der Signatur einer E-Mail oder eines Dokuments. Hierbei ist nicht nachprüfbar, ob die angegebene Identität Richtigkeit hat. Im Fall eines Rechtsstreits haben solche Signaturen keine Beweiskraft. Sie eignen sich für formlose Dokumente wie Genehmigungen, Bescheinigungen, Protokolle und Reisekostenabrechnungen oder auch Freigaben in Geschäftsprozessen mit User-ID und Passwort.

Fortgeschrittene elektronische Signatur

Fortgeschrittene elektronische Signaturen können dem Signaturersteller eindeutig über einen sogenannten Signaturschlüssel zugeordnet werden, seine Authentizität ist nachweisbar. Aus dem zu signierenden Dokument wird zudem ein Hash-Wert errechnet, der mit einem privaten Signaturschlüssel (private key) verschlüsselt wird. Über einen öffentlichen Prüfschlüssel (public key) können andere Personen diesen Hashwert entschlüsseln sowie selbst einen Hashwert für das erhaltene Dokument ermitteln. Bei Dokumentenänderungen nach Signaturerstellung würden beide Werte nicht mehr übereinstimmen. Die Integrität des Dokuments lässt sich so (nach)prüfen.

Die fortgeschrittene elektronische Signatur eignet sich gut für Dokumente, die der Formfreiheit unterliegen. Sofern ein Dokument dem gesetzlich dem Schriftformerfordernis unterliegt, ist die fortgeschrittene elektronische Signatur nicht ausreichend und hat im Zweifelsfall vor Gericht keinen Bestand.

Qualifizierte elektronische Signatur

Eine qualifizierte elektronische Signatur (QES) ist eine fortgeschrittene elektronische Signatur, die zusätzlich auf einem qualifizierten Zertifikat beruht. Das qualifizierte Zertifikat ist dabei eine elektronische Bescheinigung, die bestätigt, dass der Signaturprüfschlüssel und der private Signaturschlüssel einer bestimmten Person eindeutig zugeordnet wurden. Im Vergleich zur fortgeschrittenen Signatur ist die Identität des Erstellers einer qualifizierten Signatur so noch sicherer belegt. Das Zertifikat, das alle zwei bis drei Jahre erneuert werden muss, darf in Deutschland nur durch einen bei der Bundesnetzagentur gemeldeten Zertifizierungsdienstanbieter zur Verfügung gestellt werden.

Qualifizierte Zeitstempel

Zusätzlich zu einer qualifizierten elektronischen Signatur kann noch ein qualifizierter Zeitstempel am Dokument angebracht werden. Er stellt sicher, dass das Dokument tatsächlich zu dem Zeitpunkt erstellt wurde, der angegeben wurde.


Nachteile elektronischer Signaturen ohne ECM-System

Um digitalen Unterlagen die Beweiskraft einer unterschriebenen Urkunde zukommen zu lassen, sind qualifizierte elektronische Signaturen nach wie vor wirksam. Sie weisen jedoch Schwachstellen auf:

  • Mit elektronischen Signaturen sind nur die Identität des Urhebers und eventuelle Veränderungen an den Dokumenten nachweisbar. Es besteht kein Veränderungsschutz.
  • Jedes Dokument benötigt eine eigene Signatur. Für Massenprozesse entstehen so große Aufwände bzw. müssen zusätzlich spezielle Lösungen eingesetzt werden.
  • Bei elektronischen Signaturen für gescannte Dokumente wird lediglich der Ersteller des Scans durch die elektronische Signatur erfasst. Der Urheber der Unterlagen ist nicht prüfbar.

ECM und elektronische Signaturen

Die genannten Schwächen elektronischer Signaturen überwindet ein Enterprise Content Management System (ECM)- wie Doxis und stellt ergänzende Kontextinformationen zu den signierten Dokumenten sowie langfristige Schutzmechanismen

Wie unterstützt das ECM-System Doxis elektronische Signaturen?

  • Erstellen, Prüfen und Archivieren von elektronischen Unterschriften
  • Unterstützung von elektronischen Signaturen in Scanprozessen
  • Verwaltung mehrerer Signaturen pro Dokument
  • Erstellen von Massensignaturen per Batch-Verfahren
  • Indexierung, Suche und Anzeige von Daten und Dokumenten mit elektronischen Signaturen
  • Schnittstellen zur Signaturerstellungseinheit, z.B. Signaturerstellung per Chipkarte
  • Integration der Signaturerstellungs- und -prüfsoftware
  • Revisionssichere Archivierung elektronischer Signaturen und signierter Dokumente für langfristige Beweiswerterhaltung gemäß gesetzlicher Anforderungen

Welche Vorteile bietet Doxis Unternehmen im Kontext elektronischer Signaturen?

  • Transparenz über den gesamten Erstellungs- und Signierungsvorgang: Wer hat wann welche Änderungen an Dokumenten vorgenommen und sie signiert?
  • Verwalten, Speichern, Indexieren, Suchen von Dokumenten unterschiedlichster Datei-Formate
  • Schutz von Dokumenten und Daten vor Änderungen, Überschreiben und Löschen
  • Unterstützung bei der Einhaltung von Compliance-Anforderungen durch differenzierten Zugriffsschutz, z.B. für die Bearbeitung, den Zugriff, die Freigabe von Dokumenten etc.
  • Sicherer Austausch der signierten Dokumente und Daten über einen geschützten virtuellen Datenraum
  • Revisionssichere Archivierung aller Dokumente, Daten und Signaturen

Wann sind elektronischen Signaturen notwendig?

Mit Einführung des Steuervereinfachungsgesetzes 2011 sind qualifizierte elektronische Signaturen nicht mehr zwingende Voraussetzung für elektronische Rechnungen. Sie können heute ohne elektronische Signatur verschickt werden.

Beim „Ersetzenden Scannen“ (TR-RESISCAN), dem Scannen mit anschließender Vernichtung der Papierdokumente, sind elektronische Signaturen nur in bestimmten Bereichen der öffentlichen Verwaltung und des Gesundheitswesens vorgeschrieben. Die allgemeine Wirtschaft ist davon nicht betroffen und kann zum Beispiel bei der Belegarchivierung ohne elektronische Signaturen scannen.

Wie werden qualifizierte elektronischer Signaturen erstellt und geprüft?

Qualifizierte Elektronische Signaturen erstellen

Für die Erstellung einer qualifizierten elektronischen Signatur benötig man eine qualifizierte Signaturerstellungseinheit mit dem gespeicherten persönlichen Verschlüsselungszertifikat und dem persönlichen Signaturschlüssel. Schlüssel und Zertifikat werden an die entsprechende Signatur-Software übermittelt, die damit die Signatur für ein Dokument erstellt, z.B. für einen Vertrag.

Ob ein Dokument mit einer elektronischen Signatur versehen wurde, ist zunächst nicht ersichtlich. Die elektronische Signatur liegt als Zusatzinformation zu den Dateiinhalten vor und wird zusätzlich neben der Datei gespeichert. Nur im Fall einer eingebetteten elektronischen Signatur werden die Inhaltsdaten und die Signaturdaten gemeinsam in einer Datei gespeichert. Dies ist z.B. bei einer PDF-Datei der Fall.

Elektronische Signaturen prüfen

Die Signatur entspricht rechtlich einer Unterschrift auf einem Papierdokument, die dessen Inhalt zum Zeitpunkt des Unterzeichnens bestätigt. Im Vergleich dazu sind bei Dokumenten mit elektronischer Signatur auch spätere Veränderungen direkt prüfbar.

1. Gültigkeit des Zertifikats

Das Zertifikat einer elektronischen Signatur wird normalerweise gemeinsam mit dem signierten Dokument verschickt. Mithilfe einer Signatur-Prüfsoftware greift man online auf die Liste der angebotenen Zertifikate des Zertifizierungsdiensteanbieters zu, der das zu prüfende Zertifikat ausgestellt hat. Die Software prüft automatisch, ob das angegebene Zertifikat zum Zeitpunkt der Signaturausstellung gültig und nicht z.B. wegen eines Verlustes der Chipkarte gesperrt war. Wenn kein Zertifikat mit der elektronischen Signatur verschickt wurde, kann auch ein manueller Abgleich des Inhabernamens mit den gelisteten Zertifikaten geschehen.

2. Unveränderte Dateiinhalte

Neben der Gültigkeit des Zertifikats wird die Datei auf Veränderungen nach Signaturerstellung geprüft. Hierzu entschlüsselt die Prüfsoftware mithilfe des zuvor kontrollierten Zertifikats den Hashwert der signierten Datei und erstellt selbst einen eigenen Hashwert von ihr. Beide Werte müssen übereinstimmen, wenn das Dokument seit seiner Signierung unverändert geblieben ist.

Elektronische Signaturen integrieren mit der SER Group

Doxis lässt sich leicht mit der eSignatur-Software integrieren, die Sie bereits nutzen. So können Sie z.B. Verträge oder andere Dokumente zentral in Doxis verwalten, abstimmen und direkt digital unterzeichnen. Über Standardschnittstellen binden Sie z.B. folgende eSignatur-Lösungen folgender Anbieter einfach ein:

Die häufigsten Fragen zur elektronischen Signatur

Wie bekomme ich eine elektronische Signatur?
Für die elektronische Signatur ist ein Zertifizierungsdienst eines vom Bund geprüften Vertrauensdienstanbieters notwendig. Über die Registrierung und die eindeutige Identifikation, beispielsweise über ein Videoident-Verfahren, erhalten Sie Zugang zum System und können dann mit einer entsprechenden Software Dokumente elektronisch unterschreiben.
Wie funktioniert die elektronische Signatur?
Ein Vertrauensdienstanbieter prüft die Identität des Signaturgebers und weist diesem einen persönliches Verschlüsselungszertifikat zu. Bei Signaturerstellung wird ein einzigartiges Signaturzertifikat erstellt, mit dem private key verschlüsselt und samt Zeitstempel an das Dokument geknüpft. Der Empfänger kann das Signaturzertifikat dann mit einem public key in einer entsprechenden Software entschüsseln. Durch die Verschlüsselung mit dem private key ist die Identität und Authentizität des Signaturgebers nachweisbar.
Was zählt als elektronische Signatur?
Schon eine eingescannte Unterschrift oder die Signatur einer E-Mail gilt als elektronische Signatur. Allerdings ist hierbei die Identität des Signaturgebers nicht zweifelsfrei nachweisbar. Daher gibt es verschiedene Arten von elektronischen Signaturen, die sich in Ihrer Rechtsgültigkeit, Nachweisbarkeit der Identität sowie der technischen Erstellung unterscheiden.

So einfach ist digital unterschreiben

Erleben Sie Doxis, das Enterprise Content Management System der nächsten Generation. Durch individualisierbare Workflows, Content-Bridges zu Ihren Drittsystemen und vielzähligen Erweiterungsmöglichkeiten, wie der elektronischen Signatur, steigern Sie die Produktivität in Ihrem Unternehmen. Fragen Sie jetzt Ihre persönliche Live-Demo an. 

Bitte rechnen Sie 4 plus 3.

Wie können wir helfen?

+49 (0) 228 90896-789
Was ist die Summe aus 3 und 6?

Ihre Nachricht hat uns erreicht!

Wir freuen uns über Ihr Interesse und melden uns in Kürze bei Ihnen.

Kontaktieren Sie uns