Elektronische, fortgeschrittene und qualifizierte Signatur: Unterschiede und rechtliche Gültigkeit

Unter dem Begriff elektronische Signatur versteht man im weiteren Sinne eine heterogene Gruppe von Instrumenten und Verfahren zur digitalen Unterzeichnung: Diese reichen von der Eingabe einfacher Zugangsdaten (Benutzername und Passwort) bis hin zur digitalen Signatur auf der Grundlage physischer Geräte wie Token oder Smartcards.

Es ist wichtig klarzustellen, dass elektronische Signatur und digitale Signatur keine Synonyme sind. Es handelt sich tatsächlich um unterschiedliche Kategorien mit verschiedenen Graden an technischer Komplexität, Sicherheit, Identifizierung des Unterzeichners und rechtlicher Gültigkeit. Um Missverständnisse zu vermeiden, ist es hilfreich, die offiziellen Definitionen im italienischen Codice dell’Amministrazione Digitale (CAD) und in der europäischen eIDAS-Verordnung heranzuziehen, die die Anforderungen und Merkmale jeder Art von Signatur festlegen.

Welche Arten von elektronischen Signaturen gibt es?

Die eIDAS-Verordnung (Electronic Identification, Authentication and Trust Services) unterscheidet drei verschiedene Ebenen der elektronischen Signatur:

• Einfache elektronische Signatur (EES): Hat keinen vorrangigen rechtlichen Wert und nur begrenzte Beweiskraft, wird jedoch häufig verwendet – zum Beispiel zur Identifizierung der Person, die ein Dokument oder eine Aktion wie den Zugang zu einer Website oder einem Webdienst unterzeichnet.
• Fortgeschrittene elektronische Signatur (FES): Stärker als die EES; sie kann für bestimmte Vertragsarten und private Urkunden den gleichen rechtlichen Wert wie eine handschriftliche Unterschrift haben.
• Qualifizierte elektronische Signatur (QES): Auch bekannt als digitale Signatur, ermöglicht es Bürgern und Unternehmen, Verträge und Dokumente mit voller rechtlicher Gültigkeit zu unterzeichnen.

Innerhalb dieser drei Typen fallen viele Formen der elektronischen Authentifizierung: Die PIN-Eingabe bei Kartenzahlungen ist bereits eine elektronische Signatur, ebenso das Einscannen einer handschriftlichen Unterschrift. Auch die Eingabe von Benutzername und Passwort für den Zugang zu einer Website sowie die Authentifizierung per Einmalpasswort (OTP) gelten technisch als elektronische Signaturen.

Einfache elektronische Signatur (EES): die zugänglichste und am weitesten verbreitete Form der elektronischen Signatur

Die einfache elektronische Signatur (EES) ist die grundlegendste und am weitesten verbreitete Form. Laut Gesetz ist sie definiert als "Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und vom Unterzeichner zur Unterzeichnung verwendet werden".

Die eIDAS-Verordnung legt ein zentrales Prinzip fest: Eine elektronische Signatur darf nicht allein deshalb von der Rechtswirksamkeit ausgeschlossen werden, weil sie digital ist. Außerdem sieht Art. 20, Absatz 1-bis des italienischen CAD vor, dass die Beweiskraft und Eignung eines elektronischen Dokuments zur Erfüllung der Schriftform im Gerichtsverfahren frei bewertet werden können, unter Berücksichtigung von Sicherheit, Integrität und Unveränderbarkeit der verwendeten Signaturlösung. Das bedeutet, dass auch die EES eine rechtliche Anerkennung genießt, wenn auch mit Einschränkungen – insbesondere muss der Nutzer ihre Zuverlässigkeit nachweisen.

Um Sicherheit und rechtlichen Wert der EES zu erhöhen, kann der Prozess durch zusätzliche Authentifizierungssysteme wie die Zwei-Faktor-Authentifizierung ergänzt werden, bei der ein per SMS oder E-Mail gesendeter Code zur Bestätigung erforderlich ist.

Ein weiteres Element, das ihre Glaubwürdigkeit stärkt, ist die Erstellung und Aufbewahrung eines Audit-Trails, also eines vollständigen Protokolls aller für die Gültigkeit der Signatur relevanten Informationen – wie Absender- und Unterzeichnerdaten, IP-Adressen, Authentifizierungsmethoden und signierte Dokumente. Dieses Protokoll dient im Streitfall als Nachweis und ermöglicht die genaue Rekonstruktion des Signaturprozesses.

Anwendungsfälle der einfachen elektronischen Signatur

Die einfache elektronische Signatur (EES) kann verwendet werden, wenn keine gesetzlichen Vorschriften ein höheres Signaturniveau (fortgeschritten oder qualifiziert) erfordern, zum Beispiel in folgenden Fällen:

• Hauslieferungen: Unterschrift auf dem Handgerät des Kuriers zur Bestätigung des Empfangs.
• Annahme von Hinweisen: Datenschutz, Datenverarbeitung, Nutzungsbedingungen eines Online-Dienstes.
• Anmeldungen zu Kursen oder Veranstaltungen, bei denen die Zustimmung des Nutzers ausreicht.
• Handelsdokumente: Angebote, Bestellungen, Auftragsbestätigungen und Lieferscheine.
• Interne Bestellungen und Bestätigungen im Unternehmen: Urlaubsanträge, Spesenfreigaben, Aktivitätsbestätigungen.

Fortgeschrittene elektronische Signatur (FES): was sie ist und wann sie verwendet wird

Die fortgeschrittene elektronische Signatur (FES oder AdES) ist die zweite Stufe der elektronischen Signatur in Bezug auf Komplexität und Sicherheit und ermöglicht die Unterzeichnung von Dokumenten mit rechtlicher Gültigkeit. Im Gegensatz zur einfachen Signatur ist die FES eindeutig mit dem Unterzeichner verknüpft und ermöglicht dessen sichere Identifizierung.

Ein weiteres Merkmal ist, dass die Signatur so mit dem Dokument verknüpft ist, dass jede nachträgliche Änderung erkennbar ist. Damit eine Signatur als FES gilt, muss sie gewährleisten:

• die eindeutige Identifizierung des Unterzeichners;
• die eindeutige Verbindung zwischen Signatur, Unterzeichner und Dokument;
• die ausschließliche Kontrolle des Unterzeichners über das Signaturerstellungssystem;
• die Möglichkeit, nachträgliche Änderungen am Dokument zu erkennen;
• die Identifizierung der Zertifizierungsstelle, die das Zertifikat ausstellt.

Beispiele für FES sind die handschriftliche Signatur auf einem Tablet (graphometrisch), die Verwendung eines Fingerabdrucks, Gesichtserkennung oder Iris-Scan. Im Verhältnis zur öffentlichen Verwaltung gelten auch Signaturen mit CIE, CNS, Gesundheitskarte, elektronischem Reisepass und SPID als FES. Diese sind jedoch nur auf nationaler Ebene gültig und entsprechen nicht den Anforderungen der eIDAS-Verordnung.

Anwendungsfälle der fortgeschrittenen elektronischen Signatur

Die fortgeschrittene elektronische Signatur kann beispielsweise in folgenden Fällen verwendet werden:

• Immobiliensektor: Kaufverträge für Immobilien
• Bankdienstleistungen: Kontoeröffnungen, Bankverträge
• Versicherungswesen: Lebens-, Unfall-, Berufsunfähigkeits- und Kfz-Versicherungen

Qualifizierte elektronische Signatur (QES): die sicherste Form der elektronischen Signatur

Die qualifizierte elektronische Signatur (QES) stellt die höchste Sicherheitsstufe dar, die von der europäischen und italienischen Gesetzgebung für eine elektronische Signatur vorgesehen ist. Sie basiert auf kryptographischer Zertifizierung, klar definierten rechtlichen Vorgaben und hat volle Rechtskraft, gleichwertig mit einer handschriftlichen Unterschrift.

Laut eIDAS-Verordnung ist die qualifizierte elektronische Signatur eine fortgeschrittene Signatur, die zusätzliche Anforderungen erfüllt:

• Sie wird mit einem qualifizierten Signaturerstellungsgerät erstellt
• Sie basiert auf einem qualifizierten Zertifikat für elektronische Signaturen
• Sie wird von einem qualifizierten Vertrauensdiensteanbieter (QTSP) ausgestellt
• Sie gewährleistet Authentizität, Integrität und Nichtabstreitbarkeit.

Ihr rechtlicher Wert ist dem einer handschriftlichen Unterschrift gleichgestellt und sie ist in allen Mitgliedstaaten der Europäischen Union rechtsgültig anerkannt.

In Italien ist die digitale Signatur die am weitesten verbreitete Form der QES, die mittels Smartcards, USB-Tokens oder speziellen Geräten mit Display verwendet wird. Eine weitere verbreitete Form ist die Fernsignatur, die etwa 60% der qualifizierten Signaturen in Italien ausmacht. Sie basiert auf der Verwendung eines HSM (Hardware Security Module) in der Cloud und ermöglicht die Nutzung qualifizierter Zertifikate aus der Ferne, abgesichert durch Zwei-Faktor-Authentifizierung.

In den letzten Jahren hat auch die sogenannte „Disposable-QES“ oder „One-Shot-Signatur“ an Popularität gewonnen. Hierbei meldet sich der Unterzeichner nur für eine begrenzte Zeit an der Plattform an, um ein oder mehrere Dokumente zu unterzeichnen, ohne ein dauerhaftes Signaturwerkzeug besitzen zu müssen.

Anwendungsfälle der qualifizierten elektronischen Signatur

Die qualifizierte elektronische Signatur wird in Fällen eingesetzt, in denen ein hohes Maß an Sicherheit und volle rechtliche Gültigkeit erforderlich sind, zum Beispiel:

• Bank- und Finanzverträge
• Wichtige Handelsverträge, wie Arbeitsverträge, Unternehmensverträge und Beratungsverträge
• Rechtsgültige und amtliche Dokumente, die eine sichere Identifizierung des Unterzeichners und die Integrität des Dokuments erfordern
• Steuer- und Zivilrechtsdokumente mit voller Beweiskraft
• Verfahren mit der öffentlichen Verwaltung, z. B. bedeutende öffentliche Ausschreibungen
• Amtliche Mitteilungen an Behörden, komplexe Steuererklärungen, Genehmigungen und Bewilligungen
• Alle Situationen, in denen Authentizität, Integrität und Nichtabstreitbarkeit entscheidend sind

Typ	Rechtlicher Wert	Sicherheitsniveau	Beispiele und Anwendungsfälle
Einfache elektronische Signatur (EES)	Begrenzte Beweiskraft, vom Richter zu bewerten.	Niedrig – kann durch Zwei-Faktor-Authentifizierung oder Audit-Trail gestärkt werden.	- Paketannahme mit Unterschrift - Online-Akzeptanz von Richtlinien (Datenschutz, Nutzungsbedingungen) - Interne Unternehmensbestätigungen
Fortgeschrittene elektronische Signatur (FES)	Kann für bestimmte Verträge den gleichen Wert wie eine handschriftliche Unterschrift haben.	Mittel – eindeutige Verbindung zwischen Signatur, Unterzeichner und Dokument; erkennt nachträgliche Änderungen.	- Bank- und Versicherungsverträge - Immobilienkaufverträge - Zugang zu Diensten mit SPID, CIE, CNS (in der Verwaltung)
Qualifizierte elektronische Signatur (QES)	Voller rechtlicher Wert, gleichwertig mit handschriftlicher Unterschrift in der gesamten EU.	Hoch – basiert auf qualifiziertem Zertifikat und sicherem Gerät (Smartcard, Token, HSM, Fernsignatur).	- Handels- und Arbeitsverträge - Amtliche Rechts- und Steuerdokumente - Öffentliche Ausschreibungen und Verwaltungsverfahren

Auf Openapi.de können alle Arten elektronischer Signaturen – einfach, fortgeschritten, qualifiziert und massenhaft – direkt über API beantragt werden.

Möchten Sie den eSignature-Service entdecken?

Greifen Sie jetzt auf die Dokumentation zu

ZUR DOKUMENTATION