Audit Trail: Was es ist und warum es in Signaturprozessen wichtig ist

Eine elektronische Signatur, insbesondere wenn sie nicht mit verifizierten Zertifikaten ausgestattet ist und nicht auf sicherer Hardware ausgeführt wird, garantiert für sich genommen nicht die volle rechtliche Gültigkeit einer Unterzeichnung. Die Gültigkeit einer Vereinbarung liegt in diesem Sinne weniger im Akt der Signatur selbst als vielmehr in der Möglichkeit, jeden einzelnen Schritt des Prozesses, der zur Unterzeichnung geführt hat, zweifelsfrei nachzuvollziehen.

Hier kommt der Audit Trail ins Spiel: ein chronologisches Protokoll, das alle Vorgänge an digitalen Dokumenten nachverfolgt – von der Erstellung des Dokuments bis zu seiner Signatur.

Elektronische Signatur: Was ist ein Audit Trail?

Der Audit Trail einer elektronischen Signatur ist ein chronologisches und unveränderbares Protokoll, das jede Operation an einem digitalen Dokument nachverfolgt – von seiner Erstellung bis zur finalen Signatur. Im Falle von Zweifeln oder Streitfällen liefert dieses Protokoll rechtliche Beweise zur Rekonstruktion der Ereignisse. 

In der Praxis erscheint der Audit Trail als separate Datei zum Originaldokument, die automatisch generiert wird und folgende Informationen enthält:

• Absender: Name, E-Mail-Adresse, IP-Adresse;
• Unterzeichner: Name, E-Mail-Adresse und – falls für die SMS-/OTP-Authentifizierung verwendet – Telefonnummer;
• Art der Authentifizierung des Unterzeichners;
• Zeitstempel: genaues Datum und Uhrzeit jeder am Dokument vorgenommenen Operation (Anzeigen, Genehmigen, Signieren);
• Eindeutige Kennung des Dokuments (Hash), also der Nachweis, dass das Dokument nach der Signatur nicht verändert wurde;
• Vollständiger Verlauf der Aktionen.

Auch unvollständige Vorgänge werden im Audit Trail erfasst: Wenn ein Unterzeichner beispielsweise das Dokument ansieht, ohne es zu unterschreiben, wird dieser Zugriff im Protokoll zusammen mit Zeitstempeln und Angaben zur Identität des Unterzeichners festgehalten.

Audit Trail: Warum ist er entscheidend?

Ohne einen Audit Trail würde eine elektronische Signatur einen großen Teil ihres rechtlichen Wertes verlieren, insbesondere im Falle von Streitigkeiten. Das Prüfprotokoll gewährleistet nämlich:

• Beweiswert und Nichtabstreitbarkeit des Dokuments: Es bestätigt die Identität des Unterzeichners und die Integrität des Dokuments und zeigt, dass es nach der Signatur nicht verändert wurde;
• Compliance: Das Protokoll stellt sicher, dass Signaturprozesse den von Vorschriften und Regelwerken wie eIDAS, ESIGN und GDPR geforderten Standards entsprechen. Außerdem unterstützt es den sicheren Umgang mit sensiblen Informationen gemäß ISO 27001, SOC 2 und HIPAA;
• Sicherheit: Es ermöglicht, Manipulationsversuche am Dokument sowie Anomalien im Signaturprozess zu erkennen;
• Nachvollziehbarkeit und Transparenz: Es bietet eine detaillierte Dokumentation der durchgeführten Aktionen und der Aufbewahrungskette des Dokuments und gewährleistet so Transparenz und vollständige Nachverfolgbarkeit.

Das Prüfprotokoll von Signaturen ermöglicht es somit, jede elektronische Signatur in einen überprüfbaren und rechtlich anerkannten Prozess zu verwandeln – eine wichtige Garantie insbesondere für die Einfache Elektronische Signatur (FES), die für sich genommen keine sicheren Signaturgeräte verwendet.

Der Audit Trail bei der Einfachen Elektronischen Signatur (FES)

Im Gegensatz zur Qualifizierten Elektronischen Signatur (QES) verwendet die Einfache Elektronische Signatur keine qualifizierten Zertifikate und keine sichere Hardware wie Smartcards oder Token. Daher kann sie für sich genommen leicht angefochten werden. Wird sie jedoch mit einem Audit Trail kombiniert, kann auch die FES die vom italienischen Gesetz über die digitale Verwaltung (CAD) geforderten Eigenschaften der „Objektivität, Integrität und Unveränderbarkeit“ erfüllen. Das Protokoll stellt nämlich eine Sammlung „digitaler Beweise“ dar, die die Absicht zu unterzeichnen belegen können. 

Dies ist besonders in Italien und in der EU wichtig, wo die rechtliche Gültigkeit der FES nicht von vornherein gesetzlich festgelegt ist, sondern im Ermessen des Richters liegt. Die im Audit Trail enthaltenen Informationen liefern dem Richter daher entscheidende Beweise, darunter:

• Authentifizierung: Das Protokoll zeigt, dass der Unterzeichner über einen an seine persönliche E-Mail-Adresse gesendeten Link auf das Dokument zugegriffen hat (Nachverfolgbarkeit des Kontos);
• Integrität: Es garantiert, dass die Datei nach der Signatur nicht verändert wurde;
• Absicht: Das Protokoll zeichnet auf, dass der Nutzer alle Seiten angesehen hat, bevor er auf „Signieren“ geklickt hat.

Im Wesentlichen liefert das Protokoll den rechtlichen Nachweis der Identität des Unterzeichners und seiner Absicht zu unterzeichnen sowie der formalen Korrektheit des Signaturprozesses – was die Nichtabstreitbarkeit und die Einhaltung der Vorschriften gewährleistet. Eine FES mit Audit Trail erhält somit volle rechtliche Gültigkeit und behält gleichzeitig die einfache Nutzung und Implementierung einer Einfachen Elektronischen Signatur.