Jedem Geschäft, egal ob online oder offline, liegt eine Transaktion zugrunde. Und Kunden machen gerne Geschäfte mit möglichst einfachen Transaktionen. Nicht umsonst sind PayPal, One-Click-Bestellungen oder kontaktloses Zahlen so beliebt. Was beim Payment schon gut funktioniert, liegt an anderer Stelle oft noch im Argen: Viele digitale Geschäftsmodelle kranken noch immer daran, dass die Kunden durch komplexe und langwierige Prozesse gezwungen werden, um eine Transaktion wie einen Vertragsabschluss rechtsgültig zu machen. Dies lässt sich durch die elektronische Signatur vermeiden.
Elektronisch signieren
Dokumente auszudrucken, zu unterschreiben und in die Post zu legen oder eingescannt per Mail zurückzuschicken, ist ein solches Relikt und eine Notlösung von zweifelhafter Eleganz und Sicherheit. Denn trotz der Bedeutung, welche die manuelle Signatur auch in der heutigen Geschäftswelt noch hat – fälschungssicher ist sie nicht.
Es gilt also nicht nur, die Unterschrift im digitalen Raum abzubilden – was dem technologischen Relikt gleichkommt – sondern die Identifikationsmöglichkeiten weiterzuentwickeln und sicherer zu machen. Elektronische Signaturen stellen hierfür wirksame Verfahren zur Verfügung.
Simpel, fortgeschritten und qualifiziert – elektronisch signieren in drei Varianten
Man unterscheidet zwischen drei Arten von elektronischen Signaturen – der einfachen, der fortgeschrittenen und der qualifizierten elektronischen Signatur.
Die einfache ist nicht genau definiert und kann beispielsweise aus dem Namen des Unterzeichners und gegebenenfalls seinen Kontaktdaten sowie Informationen zum Unternehmen bestehen – nichts anderes also als die gängige Signatur geschäftlicher E-Mails. Diese Variante reicht für die alltägliche private und geschäftliche Korrespondenz aus, da die Identität in der Regel nicht angezweifelt wird. Geht es jedoch um rechtsverbindliche vertragliche Vereinbarungen, hat die einfache Signatur so gut wie keine Relevanz. Denn es lässt sich schlicht nicht überprüfen, ob der Name des Unterzeichners tatsächlich mit der Person übereinstimmt, welche die Nachricht geschrieben und versendet hat.
Die fortgeschrittene elektronische Signatur ist eine Weiterentwicklung der einfachen und die EU legt hier weitere Spezifikationen fest. Gemäß Artikel 26 der eIDAS-Verordnung wird die fortgeschrittene elektronische Signatur »unter Verwendung elektronischer Signatur-Erstellungsdaten erstellt, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann.«
Dabei kann ein Zertifikat zur Anwendung kommen – muss aber nicht. Für Kriminelle ist es mit hohen Hürden verbunden, an diese Daten zu gelangen, aber nicht unmöglich. Außerdem soll es möglich sein, nachträgliche Veränderungen der Daten zu erkennen. Solche Signaturen können gemäß § 127 BGB für formfreie Vereinbarungen eingesetzt werden. Sollte es zu einem Rechtsstreit kommen, liegt allerdings die Beweislast bei der Partei, die sich auf die Signatur bezieht, sie muss beweisen, dass diese echt ist.
Für höchste Rechtssicherheit: die qualifizierte elektronische Signatur.
Qualifizierte elektronische Signatur
Rechtlich der händischen Unterschrift und fast bei allen Anwendungen gleichgestellt ist allerdings nur die dritte Variante, die qualifizierte elektronische Signatur. Damit ein Nutzer eine solche auslösen kann, muss er zunächst einmal eindeutig identifiziert werden. Dazu stehen verschiedene zugelassene Methoden zur Verfügung, wie Face-2-Face-Identifikation, die Identifikation über ein bestehendes Online-Banking-Konto, Videoidentifikation, etc. Um eine eindeutige Willensbekundung zu bestätigen und Missbrauch zu verhindern, kommt die Zweifaktor-Authentifizierung, ähnlich wie beim Online Banking zum Einsatz.
Für die Erstellung einer qualifizierten elektronischen Signatur wird auf dem Dokument ein Hashwert nach einem bestimmten Algorithmus gebildet. Im nächsten Schritt wird durch einen weiteren Algorithmus ein Schlüsselpaar mit zwei Schlüsseln (einer davon ist öffentlich, der andere privat) generiert und daraufhin die Signatur erstellt. Dabei wird sowohl der mit dem privaten Schlüssel signierte Hash als auch der öffentliche Schlüssel an das Dokument »geheftet« und beide können mit diesem verschickt werden. Eine Zertifizierungsstelle stellt dabei sicher, dass zu einer Person ein bestimmter öffentlicher Schlüssel gehört (sogenanntes »Zertifikat«, welches sich im Dokument befindet).
Dabei hat der Empfänger die Möglichkeit, die Authentizität der Signatur durch den öffentlichen Schlüssel im angehefteten Zertifikat zu prüfen. Sollte beispielsweise das Ausgangsdokument verändert werden, würde sich auch der Hashwert ändern – der öffentliche Schlüssel ist nicht mehr in der Lage, das Dokument zu entschlüsseln.
Zukunft Trust Service: Elektronisch signieren ohne Medienbrüche.
Bis vor einigen Monaten stellte die eindeutige Identifikation in vielen Prozessen noch immer ein Hindernis dar, da die verfügbaren Verfahren hierfür in der Regel mit einem Medienbruch verbunden waren und persönliches Erscheinen erforderten. Unternehmen, die diesen Medienbruch überwinden, haben auf dem umkämpften Online-Markt unabhängig von ihrer Branche die Chance auf einen wichtigen Wettbewerbsvorteil. Denn der moderne Verbraucher ist verwöhnt durch die einfach zu nutzenden, barrierefreien digitalen Angebote aus seinem Alltag.
An dieser Stelle kommt der Trust Service Provider ins Spiel. Er ist der Verwalter der digitalen Identitäten und stellt die Schlüsselzuordnung zum Unterzeichner im Rahmen des Zertifikates sicher. Er verwaltet auch das Authentisierungsmittel für eine Signatur und damit im Rahmen der Fernsignatur den Zugriff auf den privaten Schlüssel und der Möglichkeit zur Signatur. Außerdem verwaltet er die privaten Schlüssel und reduziert für den Unterzeichner den Aufwand auf eine reine Authentisierung, etwa den Fingerabdruck in einer App.
Unternehmen, die ihren Kunden bei Bedarf Flexibilität bei der Wahl des Identifikationsverfahrens anbieten wollen, sollten auf einen Anbieter setzen, der es ermöglicht, verschiedene Identifikationsverfahren aus einer Hand zu nutzen.
Einmal identifizieren und darauf aufbauend immer wieder problemlos signieren ist die Devise: War die Identifikation erfolgreich, wird die Identifikationsevidenz für künftige weitere Signaturen beim Anbieter mit dem Authentisierungsmittel hinterlegt und der eigentliche Signatur-Prozess kann jederzeit den rechtlichen Vorgaben entsprechend ablaufen.
Elektronisch signieren – Fazit und Ausblick
Mit einer qualifizierten elektronischen Signatur steht barrierefreien und komplett digitalen Prozessen nichts mehr im Wege. Die qualifizierte elektronische Signatur ist der beste Weg, um eine vollständig digitale und sichere User Experience zu bieten.
Der Mehrwert für die Endkunden liegt auf der Hand und wir können davon ausgehen, dass diese Art der Interaktion in Zukunft verstärkt von Unternehmen und Marken eingefordert wird.
© summ-it
B2B-Marketing mit summ-it:
Marketingstrategie, Go to Market, Content Marketing, Online Marketing, SEO, Google Ads, Inbound Marketing, Lead Generierung, WordPress, HubSpot, Nextcloud
Impressum | Datenschutz | Bildnachweis
