Qualifizierte digitale Signatur, alter Wein in neuen Schläuchen?
30. August 2016
In letzter Zeit ist die qualifizierte digitale Signatur aufgrund von Gesetzesänderungen immer häufiger in die Schlagzeilen geraten. Es gibt auch immer mehr Fragen zur qualifizierten digitalen Signatur. Oder die qualifizierte elektronische Signatur, wie sie der Gesetzgeber nennt. Wie genau funktioniert eine qualifizierte elektronische Signatur? Und was ist der Unterschied zur fortgeschrittenen elektronischen Signatur? Und können eine qualifizierte elektronische Signatur und eine fortgeschrittene elektronische Signatur gleichzeitig auf ein Dokument gesetzt werden?
Um zu erklären, was eine qualifizierte elektronische Signatur ist, möchte ich ein paar Jahrhunderte zurückgehen. Denn in den letzten 800 Jahren hat sich nicht viel geändert ... Früher wurden wichtige Dokumente immer versiegelt. Dazu wurde das Dokument gefaltet und mit einem Tropfen - meist rotem - heißem, geschmolzenem Wachs versiegelt. Mit einem Siegelring wurde dann das Siegel des Absenders in das heiße Wachs gedrückt, bevor es aushärtete. Das Siegel garantierte somit die Identität des Absenders und ein unbeschädigtes Siegel, dass der Inhalt nicht verändert worden war.
Bei der fortgeschrittenen und qualifizierten elektronischen Signatur geschieht im Grunde das Gleiche, allerdings wird das Siegel durch ein so genanntes PKI-Zertifikat ersetzt. Ein solches - von der Zertifizierungsstelle ausgestelltes - Zertifikat garantiert die Identität des Unterzeichners und stellt sicher, dass Dokumente mit einem solchen Siegel nicht verändert werden können, ohne das Siegel zu brechen". Wie funktioniert das in der Praxis?
Es gibt zwei Arten von elektronischen Signaturen, bei denen die Zertifizierung eine Rolle spielt: die fortgeschrittene elektronische Signatur und die qualifizierte elektronische Signatur.
Fortgeschrittene elektronische Signatur
Bei einer fortgeschrittenen elektronischen Signatur versiegelt der signierende Dienstanbieter das Dokument mit seinem organisationsspezifischen PKI-Zertifikat. Zum Beispiel mit dem Firmensiegelring. Das Siegeln bedeutet dann, dass der Anbieter des Signierdienstes die Identität der Unterzeichner mit einem sicheren Authentifizierungsmittel wie iDIN oder DigiD ausreichend überprüft hat. Und dass nach dem Siegeln der Inhalt des Dokuments nicht mehr verändert werden kann, ohne das Siegel zu brechen. All dies ist für Anbieter von Signierdiensten gesetzlich vorgeschrieben. In der Vergangenheit bedeutete dies, dass ein Dokument erstellt wurde, der Signierdienstleister die Identität aller Unterzeichner prüfte und das Dokument mit seinem eigenen Siegelring versiegelte.
Qualifizierte elektronische Signatur
Es gibt Dokumente, bei denen der Gesetzgeber verlangt, dass die Authentifizierung bestimmter Unterzeichner in noch höherem Maße gewährleistet sein muss. Denken Sie an Notare, Buchhalter und Bürgermeister. Diese Parteien haben dann ihr eigenes persönliches oder organisationsspezifisches PKI-Zertifikat. Dieses Zertifikat garantiert nicht nur die Identität des Unterzeichners, sondern dient auch als Siegel für das Dokument, zusätzlich zum Siegel des Unterzeichnungsdienstleisters. Letzteres ist nach wie vor notwendig, da nicht alle Unterzeichner über ein eigenes Zertifikat verfügen und um zu gewährleisten, dass das Verfahren wie gesetzlich vorgeschrieben abgelaufen ist. Im Vergleich zur Siegelringmethode wird ein Dokument erstellt, der Anbieter des Signierdienstes überprüft die Identität aller Unterzeichner und versiegelt das Dokument mit seinem eigenen Siegelring. Außerdem wird das Dokument von allen anderen Parteien mit ihrem eigenen Siegel versehen.
Ach ja, seit dem 1. Juli 2016 sind auch Arbeitgeber gesetzlich verpflichtet, ein eigenes PKI-Zertifikat zu besitzen, wenn sie einen Arbeitsvertrag elektronisch unterzeichnen. Sie können ein solches Zertifikat aber auch für die qualifizierte Versiegelung ausgehender digitaler Rechnungen verwenden, was heutzutage auch vom Gesetzgeber gefordert wird.
Bei der gewöhnlichen elektronischen Signatur wird übrigens kein solches Siegel oder Zertifikat verwendet. Die gewöhnliche elektronische Signatur kann daher immer noch rechtsgültig sein, aber Dokumente können nach der Unterzeichnung geändert werden und sind daher unzuverlässig. Auch die Identität der Unterzeichner ist nicht garantiert. Ein Beispiel für eine gewöhnliche elektronische Signatur ist ein gescanntes Bild einer Unterschrift, das in ein Word-Dokument eingefügt wird.
