Drei Stufen der elektronischen Signatur

Die eIDAS-Verordnung definiert drei Arten der elektronischen Signatur: Die (einfache) elektronische Signatur, die fortgeschrittene elektronische Signatur und die qualifizierte elektronische Signatur.

Gemäß eIDAS ist eine „elektronische Signatur“ definiert als „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet“.

Jede Ebene der elektronischen Signatur baut auf der vorherigen auf, wobei die Grundvoraussetzung darin besteht, dass die elektronische Signatur die Absicht des Unterzeichners erfasst, sich an die Vereinbarung zu binden. Die erweiterten Sicherheitsmaßnahmen und rechtlichen Schutzvorkehrungen, die für die Ebenen FES und QES gelten, basieren auf zwei weiteren Prinzipien des Vertragsrechts: Identität und Integrität.

• Identität bezieht sich auf die technischen Methoden, die verwendet werden, um zu bestimmen, dass der benannte Unterzeichner tatsächlich die Person ist, die das Dokument unterzeichnet hat.
• Integrität bezieht sich auf die technischen Methoden, die verwendet werden, um festzustellen, dass das Dokument seit der Unterzeichnung nicht manipuliert oder auf irgendeine Weise verändert wurde.

Die qualifizierte elektronische Signatur (QES), die die höchsten Sicherheitsstandards und die rechtliche Anerkennung bietet, wird als gleichwertig mit einer handschriftlichen Unterschrift auf Papier betrachtet.

Ein rechtlicher Rahmen für elektronische Signaturen

Die grundlegenden rechtlichen Prinzipien, die die Verwendung elektronischer Signaturen unterstützen, sind nicht von eIDAS definiert. Sie finden sich vielmehr im Vertragsrecht, wo ein Angebot zum Abschluss eines Vertrages, gefolgt von der Annahme, einen bindenden Vertrag bildet. In Abwesenheit von gesetzlichen Anforderungen, die die Form eines Vertrags, das Niveau der Signatur oder die Methode der Authentifizierung festlegen, kann ein Vertrag auf beliebige Weise abgeschlossen werden, einschließlich auf Papier, mündlich oder mit einer einfachen elektronischen Signatur.

Die eIDAS-Verordnung ist ein rechtlicher Rahmen, der die Nutzung elektronischer Signaturen regelt, aber sie schreibt deren Verwendung nicht vor und hat auch keine Auswirkungen auf das Vertragsrecht. Die Verordnung besagt:

„Diese Verordnung berührt nicht das nationale oder Unionsrecht im Hinblick auf den Abschluss und die Gültigkeit von Verträgen oder andere rechtliche oder verfahrenstechnische Verpflichtungen in Bezug auf die Form.“

Tatsächlich ist eine einfache elektronische Signatur für die überwiegende Mehrheit der privaten Transaktionen, B2B, B2C und zwischen Privatpersonen, ausreichend und sogar rechtsgültig. Um jeden Zweifel in dieser Hinsicht auszuräumen, wird in eIDAS dieser Grundsatz ausdrücklich genannt:

“Einer elektronischen Signatur darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt oder die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt.”

Beachten Sie, dass die nationalen Gesetze in einigen Fällen mehr als eine einfache elektronische Signatur verlangen können, z. B. wenn besondere KYC-Anforderungen (Know Your Customer) gelten. Auch wenn eine gültige Signatur nicht gesetzlich vorgeschrieben ist, kann es sein, dass eine Partei die Gegenseite mit einem bestimmten Sicherheitsniveau authentifizieren möchte, wenn die Transaktion ein hohes Geschäftsrisiko birgt.

Die Verordnung zur Europäischen Digitalen Identität (auch bekannt als eIDAS 2.0), die 2024 in Kraft trat, baut auf der eIDAS-Verordnung auf. Ein zentrales Merkmal von eIDAS 2.0 ist die Erweiterung und Stärkung der Nutzung digitaler Identitäten, was direkte Auswirkungen auf elektronische Signaturen hat, einschließlich der Ermöglichung für alle EU-Bürger, eine qualifizierte elektronische Signatur (QES) zu nutzen.

Lesen Sie hier mehr über eIDAS. 

Was ist der Unterschied zwischen fortgeschrittenen elektronischer Signatur (FES) und qualifizierter elektronischer Signatur (QES)?

Eine FES hat vier Anforderungen, die sie von einer einfachen elektronischen Signatur (ES) unterscheiden. Zwei betreffen die Identität des Unterzeichners, eine bezieht sich auf die alleinige Kontrolle des Unterzeichners und die letzte betrifft die Integrität: Wie lässt sich nachweisen, dass das Dokument seit der Unterzeichnung nicht manipuliert wurde?

Während eIDAS technologie-neutral ist, wird die Identitätsprüfung und die Anforderung der alleinigen Kontrolle für eine FES typischerweise mit einer elektronischen Identifikation (eID) wie der schwedischen BankID, iDIN (Niederlande) oder MitID (Dänemark) erreicht.In eIDAS bauen die Anforderungen jeder Ebene auf den Anforderungen der darunterliegenden Ebene auf. Eine QES ist somit eine FES, die zusätzlich (i) mit einem qualifizierten Signaturerstellungsgerät (QSCD) erstellt wird und (ii) auf einem qualifizierten Zertifikat für elektronische Signaturen basiert. Diese technischen Anforderungen liegen in der Regel in der Verantwortung des Anbieters der elektronischen Signatur und seiner Partner, nicht der Parteien, die das Dokument unterzeichnen.

Einfach gesagt, bedeuten diese Anforderungen, dass die technische Lösung, die zur Unterzeichnung mit einer QES verwendet wird, zertifiziert/zugelassen sein muss. Dies impliziert, dass auch die Methoden zur Identifikation, alleinigen Kontrolle und Integritätsschutz genehmigt sind.

Allgemeiner Haftungsausschluss: Scrive erbringt keine Rechtsberatungsleistungen. Der Zweck dieser Informationen besteht allein darin, allgemeine Auskünfte zu erteilen, die auf den Recherchen von Scrive und deren derzeitigen Kenntnisstand über die geltenden Vorschriften beruhen. Leser verwenden die Informationen ausschließlich auf eigene Verantwortung und eigene Gefahr. Um eine Rechtsberatung zu erhalten, wenden Sie sich bitte an qualifizierte Juristen in Ihrer eigenen Gerichtsbarkeit und Ihrem Geschäftsfeld.