Vertrauenswürdigkeit und ein Höchstmaß an Verlässlichkeit, das ist es was nicht nur die Verantwortlichen in der Revision von einer überzeugenden Lösung für das elektronische Unterschreiben und ihrem Hersteller erwarten.
SOFTPRO steht für diese Werte. Mit SOFTPROs Lösung SignDoc werden Dokumente erzeugt die nachvollziehbar authentisch und integer sind. Auf Papier können Sie für die Erfassung von Unterschriften jetzt verzichten, so wie das zunehmend mehr Kunden von SOFTPRO bereits tun, die die Vorzüge von SignDoc nutzen.
Diese Seite erläutert Aspekte der vertrauenswürdigen Erfassung und Verarbeitung der eigenhändigen Unterschrift im digitalen Workflow
- mit einem Schwerpunkt auf die Anwendungsbedingungen im deutschsprachigen Raum. Weitere Informationen für die Anwendungsbedingungen in anderen Ländern finden Sie auf der englischsprachigen Seite zu diesem Thema.
Der ursprüngliche Zweck des Unterschreibens auf Papier ist die Dokumentation einer aktiven, bewussten Willenserklärung im Zusammenhang mit dem Inhalt des betreffenden Dokumentes.
Heute wird in vielen Unternehmen ein Unterschriftenbild (eine Grafikdatei, z.B. im Format JPG, GIF) von Unterzeichnern in ein elektronisches Dokument oder eine e-Mail Nachricht eingefügt. Dieses Bild erlaubt keine zusätzliche Prüfung sofern seine Authentizität angezweifelt wird. Ob tatsächlich der Unterzeichner dieses Bild in ein Dokument eingefügt hat ist auch unklar. Solch ein Bild ist mehr oder weniger "Dekoration".
Eigenhändige Unterschriften auf Papier werden oft auch als "Tinten-Unterschrift" ("Tinten-Signatur") bezeichnet. Das elektronische Äquivalent ist eine "Unterschrift mit digitaler Tinte". "Digitale Tinte" ist seit der Einführung von Windows Vista eine Standardfunktionalität in Betriebssystemen und Anwendungen geworden, beispielsweise in Microsoft Office 2007 oder Adobe Acrobat 9. Eine Tinten-Signatur ist eine handgeschriebene Markierung auf der Seite, ähnlich einer freien Zeichnung, die Sie mit dem Stift-Werkzeug in der Werkzeugleiste dieser Anwendungen anfertigen können. Im Gegensatz zu einer digitalen Signatur verwendet eine Tinten-Signatur keine digitale ID. Aus diesem Grund ist es nicht möglich, die Identität des Unterzeichnenden zu überprüfen. Eine Tinten-Signatur enthält keinen Validitätsstatus und informiert auch nicht über Dokumentänderungen. Tinten-Signaturen erscheinen auch nicht im Bedienfeld „Unterschriften“ des Dokumentes.
Ein einfacher "Ich akzeptiere" Knopf, der einen Signierprozess auslöst (wird gerne als "Websigning" bezeichnet) ist nicht als Ersatz für papierbasiertes Unterschreiben angemessen sofern die Unterschrift eine bewusste Willenserklärung eines bestimmten Unterzeichners dokumentieren soll und nicht lediglich den Klick eines Anwenders darstellt (den theoretisch jeder durchgeführt haben könnte).
Die Unterschriftsdaten werden über geeignete Geräte zur Digitalisierung der Unterschrift während des Unterschreibens erfasst, wie einem Schreibtablett, einem Pen Pad, einem Interaktiven Stiftdisplay oder einem Tablet PC.
>> [ Überblick zu Geräten für die Unterschriften-Erfassung ]
Die Authentizität einer Unterschrift kann zu jedem Zeitpunkt nach dem Signieren geprüft werden - entweder manuell oder durch Einsatz von SOFTPROs einzigartiger automatischer Kombi-Prüfung. Diese Prüfmöglichkeit untermauert das Vertrauen, das in SignDoc gesetzt werden kann. Die Prüfung lässt sich bei Bedarf oder als voreingestellte Routine durchführen. In letzterem Fall lassen sich signierte Dokumente nur nach erfolgreicher Authentifizierung des Unterschreibers erstellen und speichern.
Die Integrität von Unterschriften und Dokumenten wird durch modernste Technologie zur Verschlüsselung und Integritätswahrung gewährleistet.
SOFTPROs Technologie sichert die Nichtabstreitbarkeit elektronischer Prozesse und erhöht somit die Beweiskraft ihrer Dokumente.
Eine dynamische Signatur, die mit SignDoc® erfasst und eingebettet wurde, wird genau so dargestellt wie eine Unterschrift die auf Papier abgegeben worden wäre.
Besser als die Unterschrift mit Tinte
Eine dynamische Unterschrift ist viel mehr als ein elektronisches Bild: Die erfassten Unterschriftendaten enthalten die biometrische Information wie die Unterschrift entstand, die für das menschliche Auge nahezu unsichtbar sind. Die biometrischen Daten der eigenhändigen Unterschrift, die auf geeigneten Geräten erfasst wurden, beinhalten die Signale von Ort (x,y Koordinaten), Zeit (t) und die Differenzierung in Druckstufen (z). Aus den extrahierten Schreibsignalen lassen sich weitere dynamische Merkmale wie die Schreibdauer oder die mittlere Schreibgeschwindigkeit bestimmen. Besonders hohes Gewicht messen Schriftsachverständige einer verlässlichen Erfassung der Variationen des Schreibdrucks während des Schreibens bei.
Mithilfe dieser Merkmale lässt sich nachvollziehen, ob eine Unterschrift tatsächlich von ihrem eigentlichen Nutzer oder von einem Fälscher stammt, der das Bild der Unterschrift geübt hat. Rein optisch kann durch eine nachgefahrene Unterschrift ein Schriftbild entstanden sein, dass im üblichen Rahmen der Variation der Unterschrift des berechtigten Schreibers liegt.
Wenn die Unterschriften nun noch automatisch verglichen werden, ist es für Fälscher nahezu unmöglich sich für den eigentlichen Unterschreiber auszugeben.
Breite Akzeptanz und intuitiv in der Anwendung
Die Digitalisierung von Unterschriften während des Unterschreibens genießt eine hohe Akzeptanz in der Bevölkerung. Bei der Einführung eines solchen Verfahrens tauchen erfahrungsgemäß kaum Fragen der Nutzer auf. Als dieses Verfahren im Herbst 2008 an den Kassen der deutschen Filialen von IKEA eingeführt wurde, kommentierten Kunden erfreut: "So möchte ich in Zukunft überall bezahlen."
Bestes Biometrisches Merkmal zur Dokumentation einer Willenserklärung
Im Vergleich der nutzbaren biometrischen Merkmale spielt die Position der "klassischen" Unterschrift eine wichtige Rolle: Sie ist das einzige biometrische Merkmal, das nie zufällig abgegeben wird. Dadurch gilt sie weltweit seit Jahrhunderten als wichtigstes rechtsgültiges Symbol. Nicht von ungefähr tragen historische Dokumente - wie Friedensverträge etc. - eine Unterschrift. Insbesondere im sensiblen Bereich finanzieller Transaktionen kennzeichnet sie den eindeutigen Willen eines Ausstellers unterschiedlichster Dokumente: Schecks, Überweisungen, Kreditverträge und viele andere Rechtsgeschäfte erhalten ihre Rechtsgültigkeit durch die Unterschrift. Die deutsche Sprache ist hier sogar besonders präzise: Seit einigen Jahren ist beispielsweise für Überweisungsdokumente vorgeschrieben, dass das Feld für die Unterschrift unten rechts zu positionieren ist - entsprechend der Lesegewohnheiten - um sicherzustellen, dass der Unterschreibende auch den Inhalt des Dokuments zur Kenntnis genommen hat.
Wer im Alltag eine Unterschrift leistet - ob beispielsweise bei einem Kurierdienst oder an der Kasse - wundert sich hin und wieder warum die Unterschrift oft gar nicht geprüft wird. Selbst innerhalb von Kreditinstituten sind eindeutige Handlungsanweisungen wie z.B. Checklisten zur Unterschriftenprüfung häufig nicht vorhanden. Vertraut wird auf die "langjährige Erfahrung von Mitarbeitern" und der Tatsache, dass sich die Betrugsfälle bisher noch in Grenzen hielten. Selbst geschulte Mitarbeiter unterliegen jedoch den typisch menschlichen Leistungsschwankungen, die zu unterschiedlichen Resultaten bei rein visueller Prüfung und identischen Vergleichsdaten führen können. Zu oft entscheidet das Bauchgefühl über Annahme oder Ablehnung eines Vorganges.
Automatische Verfahren verwenden eindeutig auswertbare und vergleichbare Merkmale. Ihre Funktionsweise ist dem Vorgehen von Schriftensachverständigen bei der ausführlichen Analyse einer Unterschrift anhand definierter Merkmale vergleichbar. Der Hauptunterschied liegt im Zeitbedarf. Die Software erledigt die Aufgabe in Millisekunden.
Besonders kompliziert wird ein Unterschriftenvergleich für den Laien durch die natürlichen Variationen einer Unterschrift. Jede Unterschrift ist ein Unikat und bei jedem Vergleich muss abgewogen werden, welche Variationen dem berechtigten Unterzeichner zuzuordnen sind oder welche Abweichungen Rückschlüsse auf einen Fälschungsversuch geben. Bei einem automatischen Vergleich von Unterschriften ist die Variation des Prüfobjektes "Unterschrift" sogar vorteilhaft. Abgefangene Referenzdateien, die einem System als zu prüfende Unterschrift angeboten werden, lösen in solide konzipierten Systemen automatisch Alarm aus, da eine zu prüfende Unterschrift eben nicht zu hundert Prozent mit der Referenz übereinstimmen kann.
Zahlreiche Lösungen zum elektronischen Signieren - insbesondere von Anbietern außerhalb des deutschen Sprachraums - weisen Lücken bei einer vertrauenswürdigen Verarbeitung von Unterschriftendaten auf:
Einige Lösungen zielen lediglich auf eine Versiegelung eines elektronischen Dokumentes und verwenden die Unterschrift als dekoratives Element. Zitat aus einer Anbieter-Broschüre: "die Unterschrift ist eine grafische Repräsentation der Unterschrift".
Die meisten Lösungen auf dem Markt bieten eine ungenügende Mindestqualität bei der Erfassung von Unterschriften. Oft stellt sich die Frage ob eine Unterschrift für ihren Unterzeichner auch hinreichend individuell ist. Der Schriftsachverständige spricht von "ausreichender Komplexität einer Unterschrift". Erst im Nachhinein zeigt sich jedoch, dass Unterschriften die auf Pocket PCs oder PDAs und einigen einfachen PenPads aufgenommen wurden entscheidende Schwächen in der Datenqualität aufweisen: Hier gibt es auch meist keine verlässlichen Daten der unterschiedlichen Druckstufen beim Unterschreiben, weil viele Geräte nur erfassen, ob Druck ausgeübt wurde aber nicht nach Druckstufen differenzieren. Gerade die Druckintensitäten sehen jedoch Schriftsachverständige für den Vergleich von Unterschriften als besonders wichtig an.
Derartige Verfahren bringen letztlich Unterschriften und Dokumente "irgendwie" in einen Zusammenhang. Diese Verfahren können jedoch weder als sicher noch als vertrauenswürdig eingestuft werden.
Best Practice Aspekte für verlässliche Unterschriftsdaten
Ein verlässlicher Vergleich von statischen und dynamischen Unterschriftsmerkmalen erfordert eine Digitalisierung der eigenhändigen Unterschrift mit einer ausreichenden Zahl von Zeitsignalen. Ein solches Gerät muss die unterschiedlichen Druckintensitäten beim Schreibdruck erfassen und eine ordentliche Auflösung anbieten. Diese Anforderungen werden auch im ISO-Standard zum Austausch biometrischer Unterschriftendaten reflektiert (ISO/IEC FDIS 19794-7). Dieser Standard entstand unter dem maßgeblichen Einfluss von SOFPROs Experten in der Internationalen Standardisierungs-Organisation (ISO).
SOFTPRO steht darüber hinaus im ständigen Austausch mit Schriftsachverständigen diverser Organisationen wie dem Niderländischen Forensischen Institut (NFI). Sofern eine Unterschrift im Falle eines Zweifels von Forensikern überprüft werden muss, erwarten diese präzise Informationen über die Druckintensitäten. Hersteller von Geräten zur Erfassung von Unterschriften, die ihre Geräte als besonders zuverlässig anerkennen lassen wollen stellen den Herstellern von Software zum automatischen Unterschriftenvergleich und Schriftsachverständigen folglich die Kurvendiagramme ihrer Druckstufen zur Verfügung.
Ein verlässliches Aufnahmesystem muss bei gleicher Druckeinwirkung an allen Stellen des Aufnahmebereiches die gleiche Druckintensität aufzeichnen.
Sofern Unterschriften auf unterschiedlichen Geräten desselben Herstellers und gleicher Serie aufgenommen werden, dürfen bei der Aufnahme gleichartiger Signaldaten die aufgenommenen Daten einen gewissen Toleranzlevel nicht überschreiten, andernfalls müsste eine Analyse oder eine automatische Prüfung auf jedes Gerät individuell abgestimmt werden.
Die Ergonomie eines Unterschriftenaufnahmegerätes muss die typische Situation beim Unterschreiben berücksichtigen und idealer Weise dem Unterzeichner das Gefühl geben, wie auf Papier zu unterschreiben.
Die Erfassungstechnologie muss das Erfassen überflüssiger Informationen, die nicht direkt zur Unterschrift gehören, ausschließen - beispielsweise Signale, die entstehen, wenn während des Unterschreibens der Handballen die Aufnahmeoberfläche berührt.
Zusätzliche Faktoren für erhöhte Vertrauenswürdigkeit sind eine einmalige Seriennummer für jedes Gerät sowie eine starke Verschlüsselung für die Kommunikation zwischen dem Gerät (Firmware) und dem Gerätetreiber (Betriebssystem). Mit diesen Bausteinen erreicht man sowohl die Nichtabstreitbarkeit von Unterschriften wie auch Revisionssicherheit.
Best Practice und Bestseller: SignPad & SignDoc
Das SignPad eSignio erfüllt vorgennante Kriterien und konnte sich in Kombination mit SignDoc in diversen Branchen als "BestPractice" für Papierloses Unterschreiben etablieren.
SignDoc basiert auf dem Software Development Kit SignWare der SOFTPRO's einzigartige Kombi-Prüfung von Unterschriften beinhaltet. Dabei werden sowohl die statischen Bildmerkmale wie auch die dynamischen (biometrischen) Signale die während des Unterschreibens abgegeben werden verglichen.
Es ist möglich zunächst mit einer Erfassung und Prüfung statischer Bildmerkmale zu beginnen und in einem zweiten Schritt auch die biometrischen Daten auszuwerten.
So werden auch Anwendungsfälle unterstützt, in denen stufenweise auf Papier für die Erfassung von Unterschriften verzichtet wird oder wo weiterhin Teile der Unterschriften nur als Grafikdatei verarbeitet werden können, weil sie beispielsweise von Schecks oder Überweisungen eingescannt wurden.
Der Referenzdatensatz eines Unterzeichners besteht aus Informationen über das statische Bild der Unterschrift, wie auch über die unsichtbaren biometrischen Merkmale aus der Schreibbewegung - beispielsweise Geschwindigkeit und Druck. Erhoben werden die Ortsfaktoren (x und y), unterschiedliche Druckstufen (z) sowie Zeitsignale (t).
Die Daten weiterer aufgenommener Unterschriften lassen sich mit den Referenzdaten vergleichen. Die automatische Prüfung berücksichtigt auch die natürliche Varianz der Unterschreibenden bei der Analyse ob sich eine zu vergleichende Unterschrift im üblichen Rahmen von Variationen des Unterzeichners befindet. Ein Schwellwert für die Akzeptanz einer Unterschrift lässt sich individuell - je nach Anwendungsanforderung - justieren.
SignAlyze ist ein ausgefeiltes Instrument zur Analyse von Unterschriftsdaten - ein optionaler Zusatzbaustein zu Softpro's Software Development Kit SignWare®. Sie veranschaulicht insbesondere die dynamischen (biometrische) Unterschriftenaspekte. Dazu sind unter anderem auch diverse 3-D-Effekte integriert worden.
Dieses Instrument wurde in erster Linie für Experten zur Erkennung und Prävention vor Betrug im Rahmen des "Risk Managements" entwickelt. SignAlyze ist auch ein Arbeitsinstrument für Schriftsachverständige (Forensiker), die sich mit Zweifeln an der Echtheit einer Unterschrift zu beschäftigen haben.
In den meisten Anwendungen der Kunden von SOFTPRO wird eine Prüfung aufgenommener Unterschriften nur bei Zweifeln an deren Authentizität durchgeführt.
SignDoc ermöglicht, dass vor Erstellung eines Dokumentes die Unterschrift automatisch geprüft wird
SignDoc unterstützt aber auch Prozesse in denen Dokumente nur dann weiterverarbeitet und archiviert werden dürfen, wenn die Echtheit der Unterschrift(en) mit denen ein Dokument signiert wurde vorher bestätigt werden konnte. Die automatische Prüfung von Unterschriften in elektronischen Dokumenten ist eine von SOFTPROs Kernkompetenzen. SignDoc kann dazu nahtlos mit SignArchive kombiniert werden, SOFTPROs personenorientiertem System zur Verwaltung handschriftlicher Unterschriften.
Ein typisches Anwendungsbeispiel ergibt sich z.B. im Beschaffungswesen:
Immer mehr Unternehmen setzen im Beschaffungswesen elektronische Antragsformulare ein - SignDoc Web stellt einen umfassenden Werkzeugkasten für solche Lösungen zur Verfügung
Dieses Verfahren wird auch als "autorisiertes Signieren" bezeichnet. Es komplettiert den gesamten Prozess unter Gesichtspunkten der Sicherheit: Unterschriften werden mittels SignArchive geprüft und dieser Vorgang validiert die Authentizität des Unterzeichners. Anschließend wird die Dokumentenintegrität mittels SignDoc gegen unberechtigte Manipulationen geschützt.
>> [ SignArchive Produktinformation ]
Integritäts-Prüfung: "Wurde das Dokument nach dem Signieren manipuliert"?
Signaturen, die mit SignDoc erzeugt wurden, können auch in Standard PDF-Viewern dargestellt werden. Die meisten - einschließlich des kostenlosen Adobe Reader® - können auch die Dokumentenintegrität prüfen.
Plausibilitäts-Prüfung: "Wer hat wann was (warum) unterschrieben"?
In einigen Dokumentenworkflows, die SOFTPROs Lösungen bereits unterstützten, werden elektronische Dokumente mehrere Male modifiziert. So kann es sein, dass die Unterzeichner unterschiedliche Versionsstände von Dokumenten signieren. Dies muss im Nachhinein einfach und transparent nachvollziehbar sein.
Anzeige der Version eines Dokumentes, das mit einer bestimmten Signatur unterzeichnet wurde. SignDoc stellt dazu die Signaturen in einer Baumstruktur dar.
Einfacher Vergleich verschiedener Dokumentenversionen, die während einer (möglicherweise recht umfangreichen) Änderungshistorie von Dokumentenänderungen und Signiervorgängen angefallen sind.
Juristen bestätigen, dass ein mit SignDoc unterschriebenes elektronisches Dokument mindestens den gleichen Grad an Sicherheit aufweist, wie ein traditionell auf Papier unterschriebenes Dokument.
In der Regel nennt man Verfahren, die bis heute auf eine Unterschrift auf Papier als Beweis setzen "gewillkürte Schriftform", d.h. man hat sich auf das Unterscheiben eines Papier-Dokumentes geeinigt, um im Zweifelsfall ein Beweismittel zu haben. Es gibt jedoch keine Gesetzesvorschrift die die Schriftform verbindlich festlegt.
Überall dort, wo es keine rechtliche Vorschrift zur Anwendung der Schriftform gibt (gemäß Paragraf 126a des Bürgerlichen Gesetzbuches), können so genannte fortgeschrittene elektronische Signaturen, die auf eigenhändigen Unterschriften basieren, verwendet werden. Führende Mitarbeiter des Bundesministeriums für Wirtschaft und Technologie in Deutschland sehen diese Form elektronischer Signaturen für 98% aller Geschäftsvorfälle als geeignet an.
Terminologie Elektronische vs. Digitale Signatur
Elektronische Signatur
Der Rechtsbegriff der "elektronischen Signatur" entstammt einer Richtlinie der Europäischen Union von 1999. Er wurde mit Verabschiedung des Signaturgesetzes 2001 in deutsches Recht übernommen. Im Gegensatz zur "digitalen Signatur" soll die Formulierung "elektronische Signatur" per Gesetz keine Technologie festschreiben.
Die breiteste Definition für eine elektronische Signatur findet sich in US-Gesetzen: "elektronischer Ton, Symbol, oder Prozess angehängt oder logisch verbunden mit einem Datensatz durch eigene Ausführung oder Billigung einer Person die diesen Datensatz unterzeichnen wollte"*
Diese Definition beinhaltet auch einfache Verfahren wie getippte Namen oder das Anklicken in einem Softwaredialog verbunden mit der Eingabe einer Nutzerkennung oder eingescannte Bilder einer Unterschrift (ohne biometrische Merkmale versteht sich).
* Definition nach US Uniform Electronic Transactions Act (UETA) §2[8] und US Electronic Signature in Global and National Commerce Act (E-SIGN ACT) §106
Alle diese Formen von Unterschriften dürfen das Etikett "rechtsgültig" für sich reklamieren, allerdings ist ihr Beweiswert zum Beleg einer Willensklärung zuweilen sehr fragwürdig.
Digitale Signatur
Die "digitale Signatur" ist eine Ausprägung elektronischer Signaturen: Es ist ein kryptographisches Verfahren, bei dem zu einer "Nachricht" (d. h. zu beliebigen Daten) eine Zahl (die digitale Signatur) berechnet wird, deren Urheberschaft und Zugehörigkeit zur Nachricht durch jeden geprüft werden können. Digitale Signaturen basieren auf asymmetrischen Kryptosystemen und verwenden folglich ein Schlüsselpaar, das aus einem privaten (geheimen) und einem öffentlichen (nicht geheimen) Schlüssel besteht. Am häufigsten findet sich diese in der Kombination von Verschlüsselung und den Einsatz von Chipkarten oder USB-Token auf den digitale Zertifikate gespeichert sind, verbunden mit einer komplexen Public Key Infrastructure.
Als die ersten Version von Signaturgesetzen entstanden (z.B. 1997: Deutschland, Malaysia; 1998: Singapur) war die Option einer "vertrauenswürdigen Erfassung und verlässlicher Vergleich eigenhändiger Unterschriften – inklusive derer statischen Bildmerkmale und dynamischen (biometrischen) Signaldaten” unbekannt. Konsequenterweise reflektieren die ersten Gesetze für elektronische Signaturen in vielen Ländern nur "digitale Signaturen".
Bei der Überarbeitung von Gesetzen wird mehr und mehr reflektiert, dass es seit geraumer Zeit - u.a. dank SignDoc - möglich ist eine verlässliche elektronische Signatur auf Basis der digitalisierten eigenhändigen Unterschrift ("biometrische Signatur") zu leisten. Für das Unterschreiben im digitalen Workflow muss die Unterschrift folglich nicht ersetzt werden (wie es das Ziel der ersten Signaturgesetze war) sondern lediglich vertrauenswürdig digitalisiert und verarbeitet.
SignDoc kombiniert die dynamische Unterschrift mit der digitalen Signatur
SignDoc kombiniert die biometrische Unterschrift (die während des Unterschreibens digitalisiert wird) mit Elementen einer typischen digitalen Signatur.
Die "Richtlinie 1999/93/EG über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen" des Europäischen Parlaments und Europäischen Rates ist die rechtliche Grundlage der Gesetzgebung in den Mitgliedsstaaten der Europäischen Union (EU). Sie ist auch die Grundlage des deutschen Signaturgesetzes und der korrespondierenden Signaturverordnung.
Die EG-Richtlinie gilt als "technikoffen". In ihr werden elektronische Signaturen eingestuft als "einfach", "fortgeschritten" oder "qualifiziert".
Artikel 2 der EG-Richtline definiert wie folgt:
1. "elektronische Signatur" Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen;
2. "fortgeschrittene elektronische Signatur" eine elektronische Signatur, die folgende Anforderungen erfüllt:
(a) Sie ist ausschließlich dem Unterzeichner zugeordnet;
(b) sie ermöglicht die Identifizierung des Unterzeichners;
(c) sie wird mit Mitteln erstellt, die der Unterzeichner unter seiner alleinigen Kontrolle halten kann;
(d) sie ist so mit den Daten, auf die sie sich bezieht, verknüpft, dass eine nachträgliche Veränderung der Daten erkannt werden kann;
Dynamische Unterschriften lassen sich auf verschiedene Arten zur Erzeugung elektronischer Signaturen heranziehen:
Das einfache Integrieren von dynamischen Unterschriftsdaten in ein elektronisches Dokument erzeugt lediglich eine "einfache" elektronische Signatur. Einfache elektronische Signaturen sind keine verlässliche Alternative zur klassischen Schriftform. Diese elektronischen Signaturen erfüllen nicht alle Formzwecke einer Unterschrift auf Papier wie Identitätsfunktion, Echtheitsfunktion, Verifikationsfunktion, Beweisfunktion und Warnfunktion.
Ein Dokument mit einer fortgeschrittenen elektronischen Signatur hat per Definition ein höheres Maß an Beweiskraft. Dazu muss die Einbindung der dynamischen Unterschriftsdaten diverse Anforderungen zur Wahrung der Authentizität und Integrität erfüllen. Die fortgeschrittene elektronische Signatur kann eine funktionsäquivalente elektronische Form zur Unterschrift auf Papier darstellen und das so unterzeichnete Dokument als Beweismittel für eine Willenserklärung herangezogen werden.
Neben der Möglichkeit die dynamischen Unterschriftendaten zu prüfen, benötigen fortgeschrittene elektronische Signaturen folglich auch eine verlässliche Verschlüsselung ("digitales Siegel") und eine Option zur Prüfung ob das Dokument nach dem Signieren manipuliert wurde (Integritätsprüfung).
SignDoc ermöglicht Integritätsnachweis
An elektronische Dokumente wird durch SignDoc direkt bei der Unterzeichnung eine individuelle Zeichenkette angehängt - ein sogenannter Integritätswert (Fachbegriff "Hash"), damit jede unbefugte nachträgliche Veränderung entdeckt werden kann. Sichergestellt wird auch, dass die erfassten Unterschriftsdaten ausschließlich mit dem betreffenden elektronischen Dokument verbunden bleiben, das unterzeichnet wurde. So verliert einerseits ein Dokument seine Gültigkeit, wenn Unterschriftendaten aus ihm entfernt werden, anderseits lassen sich auch die Unterschriftsdaten nicht in andere Dokumente unbemerkt hineinkopieren.
Lediglich "qualifizierte elektronische Signaturen" erfordern per Gesetz die Anwendung digitaler Zertifikate auf entsprechend zugelassenen Datenträgern (üblicherweise eine Smartcard aber auch manche USB-Sticks). Dynamische Unterschriften können bei dieser Art von Signaturen als PIN-Ersatz dienen und die Anwendungsfreundlichkeit erhöhen. Die deutsche Gesetzgebung erlaubt dies explizit seit 2001.
Als Anforderung an Produkte für qualifizierte elektronische Signaturen wird definiert, dass Signaturschlüssel erst nach Identifikation des Inhabers entweder durch Besitz und Wissen oder durch Besitz und ein oder mehrere biometrische Merkmale angewendet werden dürfen. Dies muss durch sichere Signaturerstellungseinheiten gewährleistet werden (§ 15, Abs.1, SigV 2001). Konkret heißt das, dass auch biometrische Merkmale - wie die eigenhändige Unterschrift - als vollwertige Alternative zu wissensbasierten Verfahren für die Authentifizierung zugelassen sind.
Die Begründung zur Signaturverordnung (SigV) erläutert die Gleichstellung biometrischer Verfahren eindeutig: "Die mögliche Autorisierung einer anderen Person (z.B. durch Weitergabe der sicheren Signaturerstellungseinheit und PIN) kann ausgeschlossen werden, indem die Signaturerstellungseinheit über die Nutzung biometrischer Merkmale ausschließlich an eine Person gebunden wird" (SigG-Begründung zu § 15 Absatz 1 Satz 4).
In der Praxis spielt das technisch bereits 2001 von SOFTPRO auf der CEBIT demonstrierte Zusammenspiel von eigenhändiger Unterschrift zur Erzeugung einer qualifizierten Signatur jedoch (noch) kaum eine Rolle.
Für die Praxis sind viele Vorschriften rund um elektronische Signaturen leider sehr auslegungsfähig definiert. Außerdem wurden von Land zu Land Elemente der EG-Richtlinie in der Gesetzgebung unterschiedlich interpretiert. Selbst innerhalb der Europäischen Union werden in den Gesetzen einiger Länder Begriffe verwendet, die nicht mit der EG-Richtlinie konform sind: Das Österreichische Gesetz verwendet den Begriff einer "sicheren elektronischen Signatur" anstelle des EU-Begriffes der "qualifizierten elektronischen Signatur". Das ist irreführend: "Fortgeschrittene elektronische Signaturen" können grundsätzlich ein gleiches Sicherheitslevel aufweisen, nur muss deren Sicherheit eben nicht vor Ihrem Einsatz durch eine staatliche Behörde (wie in Deutschland von der Bundesnetzagentur) bewertet werden sondern nur im strittigen Einzelfall.
In Deutschland ist das "Gesetz über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften" Kernstück der rechtlichen Regelungen. Es wird meist nur als Signaturgesetz (SigG) bezeichnet. Es enthält vorwiegend die Sicherheitsanforderungen an die benötigten Dienstleistungen und Produkte für "qualifizierte elektronische Signaturen". Die qualifizierte elektronische Signatur kann mit und ohne Anbieter-Akkreditierung ausgestellt werden. Für eine Akkreditierung ist die Bundesnetzagentur zuständig.
Bei fortgeschrittenen elektronischen Signaturen entfällt die Notwendigkeit einer Akkreditierung. Hier wird im Streitfall ein signiertes Dokument als Augenscheinsobjekt herangezogen. Entsprechende Regelungen finden sich in der Zivilprozessordnung (ZPO) - u.a. bei der Parteivernehmung nach ZPO § 445.
Die Schriftform ist eine Form eines Rechtsgeschäfts. In einigen, wenigen Fällen ist diese Form von Gesetzes wegen vorgeschrieben. In den meisten Fällen handelt es sich um eine "gewillkürte Schriftform", d.h. die Unterzeichner haben sich auf das Verfahren eine Unterschrift auf Papier zu setzen nur festgelegt, um im Streitfall ein Beweismittel einer Willenserklärung zu haben. De facto handelt es sich um eine so genannte "formfreie Vereinbarung".
SignDoc ermöglicht elektronisches Unterschreiben nahezu aller formfreien Vereinbarungen
Für formfreie Vereinbarungen können mit SignDoc eigenhändige Unterschriften auch in elektronischen Dokumenten Authentizität und Integrität garantieren: Die "gewillkürte Schriftform" wird durch ein vertrauenswürdiges elektronisch unterschriebenes Dokument ersetzt. Juristen sprechen in solchen Fällen von einem "funktionsäquivalenten Surrogat".
>> [ Viele Beispiele für den Einsatz von SignDoc in diversen Branchen ]
Führende Mitarbeiter des Bundesministeriums für Wirtschaft und Technologie in Deutschland sehen übrigens fortgeschrittene elektronische Signaturen für 98% aller Geschäftsvorfälle als geeignet an. Wo kann man (noch) nicht mit SignDoc unterschreiben?
Hier muss noch auf Papier unterschrieben werden
Beispiele für im Bürgerlichen Gesetzbuch (BGB) gesetzlich vorgeschriebene Schriftform sind:
Alle vorgenannten Anwendungsbereiche sind von der elektronischen Form ausgenommen.
Schriftformerfordernis durch elektronische Form mit qualifizierter elektronischer Signatur
Im BGB sind die Anforderungen an die elektronische Form als Alternative zur Schriftformerfordernis festgelegt. Nochmals zu Erinnerung: Für die meisten Anwendungen schreibt kein Gesetz die Schriftform vor.
"Die schriftliche Form kann durch die elektronische Form ersetzt werden, wenn sich nicht aus dem Gesetz anderes ergibt." (§ 126 Abs. 3 BGB)
"Soll die gesetzlich vorgeschriebene schriftliche Form durch die elektronische Form ersetzt werden, so muss der Aussteller der Erklärung seinen Namen hinzufügen und das elektronische Dokument mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehen. Bei einem Vertrag müssen die Parteien jeweils ein gleichlautendes Dokument in der in Absatz 1 beschriebenen Weise elektronisch signieren." (§ 126a, Abs. 1 und 2 BGB).
§126a BGB legt unter anderem auch die von Verbraucherschützern heftig kritisierte Beweislastumkehr fest: Beweisrechtlich handelt es sich bei einem Dokument, dass mit qualifizierter elektronischer Signatur signiert wurde um ein Augenscheinsobjekt, nach dem ein Anscheinsbeweis darauf hindeutet, dass eine Erklärung vom legitimen Schlüsselinhaber stammt. Die Urheberschaft ist jedoch weiterhin angreifbar, da eine Fälschungseinrede möglich ist.
Die bekannteste Anwendung in der elektronische Dokumente mit qualifizierter elektronischer Signatur Papierdokumente ersetzen ist (noch) die Signierung elektronischer Rechnungen zwecks Vorsteuerabzugsfähigkeit -
(vgl. § 14 Abs.3 UStG) - in der Praxis realisiert durch sogenannte Massensignaturen. Die EU-Kommission hat Mitte 2009 Deutschland und Österreich, das eine vergleichbare Regelung unterhält, hier Überregulierung vorgeworfen. Es ist denkbar, dass die EU Deutschland und Österreich zu einer Nachjustierung des UStG auffordern wird. In anderen EU-Ländern genügen einfachere Signaturformen für elektronische Rechnungen. Explizit wird in einer Stellungnahme vorgeschlagen den Zwang zur Signierung mit qualifizierten elektronischen Signaturen zu kippen. Das bisherige Verfahren wird in der Einleitung des Gutachtens als "exzessiv kompliziert" bezeichnet.
EU Kommission: Stellungnahme zur elektronischen Rechnungsstellung
Das Competence Center Elektronische Signaturen im VOI hat in einer Stellungnahme vom Juni 2009 gefordert auch Verfahren wie elektronische
Signatur per Unterschrift für Rechnungen zuzulassen.
Qualifizierte elektronische Signaturen konnten sich aus einer Reihe von Gründen bis dato nicht in der breiten Masse durchsetzen. Einige der Gründe sind:
Mangel an Anwendungen mit breiter Relevanz. Derzeitige Anwendungen sind auf Nischen spezialisiert (z.B. Müllentsorgung)
Ungeklärte Finanzierung von Roll-Out und Betrieb
Komplexität der Integration einer Public Key Infrastruktur
Beweislastumkehr wird als unerwünscht empfunden
Komplizierte Handhabung von der Bestellung bis zur Anwendung
SignDoc macht digitales Signieren verständlich und sicher
SignDoc und SignDoc Web verwenden etablierte Standardformate für digitale Signaturen. Die Integrität von Dokument und Unterschrift(en), die mit SignDoc signiert sind, lassen sich in jedem Standard PDF-Viewer überprüfen.
Die biometrische Unterschrift wird dazu innerhalb der Hülle, die durch die zertifikatbasierte digitale Signatur gebildet wird, verschlüsselt abgelegt.
SignDoc verwendet für die Sicherung der biometrischen Unterschriften ein Schlüsselpaar bestehend aus öffentlichem und privatem Schlüssel. Deshalb ist eine Integration mit Unterschriftendatenbanken (SignBase oder SignArchive) möglich, ohne die erfassten dynamischen Signaturen der Gefahr der Kompromittierung auszusetzen.
Je nach Anwendung, Branche und Land in dem SignDoc zum Einsatz kommen soll sind weitere Gesetze, Verordnungen und Standards zu berücksichtigen.
Die UN-Kommission für internationales Handelsrecht und Beseitigung von Hemmnissen im internationalen Handelsverkehr hat ein Modellgesetz für den elektronischen Geschäftsverkehr beschlossen und Arbeiten zur Entwicklung einheitlicher Regeln aufgenommen. Die Kernpunkte des Modells ähneln stark den europäischen Rahmenbedingungen. Sie umfassen die Zulassung und Nichtdiskriminierung elektronischer Signaturen im Rechts- und Geschäftsverkehr, eine Gleichstellung der Rechtswirkung einer sicheren elektronischen Signatur mit den Rechtswirkungen einer eigenhändigen Unterschrift, Einführung eines Aufsichtssystems über Zertifizierungseinrichtungen einschließlich der Schaffung einer freiwilligen Akkreditierung, Einführung von Haftungsregelungen für Zertifizierungsstellen sowie Regelung der Voraussetzung zur Anerkennung ausländischer elektronischer Signaturen.
>> [ UNCITRAL Model Law on Electronic Signatures with Guide to Enactment One United Nations Commission on International Trade Law ]
Weitere Informationen zu der Begriffsdefinitionen und den Verweis auf die Gesetzgebung in Ländern außerhalb des deutschen Sprachraums finden Sie auf der englischsprachigen Seite zu diesem Thema.
Die Food & Drug Administration (FDA) ist die weltweit dominierende Behörde für Verfahren zur Produktzulassung und Qualitätssicherung. Gemäß ihrer Vorschriften muss jeder elektronische Auftrag, der einen pharmazeutischen Produktionsprozess in Gang setzt, elektronisch signiert werden. Das Abfragen von Benutzernamen und Passwort genügt nicht. Entscheidend ist, dass eine Registrierung persönlich stattfindet. Es muss sichergestellt werden, dass die richtige Person den elektronischen Ausweis und die zugehörigen Zugangsdaten (zB. PIN) erhielt. Nach dem europäischen Gesetz kann man damit nur "einfache" Signaturen erstellen, nach dem amerikanischen Gesetz ist so die eindeutige, nichtabstreitbare Zuordnung gegeben, die zur Haftung auch in Millionenhöhe führen kann.
In den Rahmenbedingungen für elektronische Unterschriften der FDA ist ferner festgelegt, dass die Anforderungen an elektronisch eingereichte Dokumente nicht höher sein soll als an papierbasierte. Die FDA befürwortet biometrische Verfahren als Ergänzung zur elektronischen Signatur ausdrücklich. Biometrische Verfahren werden als verlässlichere Authentifizierungsverfahren im Vergleich zur Eingabe der PIN zur Signatur eines Dokumentes gesehen. Der Verlauf und der Druck einer handschriftlichen Unterschrift werden explizit als Beispiel für ein Authentifizierungsmerkmal genannt.
>> [ USA: FDA E-RECORD Regulation Framework for Electronic Signatures. (21, CFR Part11) ]
Die europäische Kommission bietet einen Basisüberblick über die Gesetzgebung zu elektronischen Signaturen und deren Umsetzung in die Praxis in den EU-Ländern. Dieser Überblick konzentriert sich auf Anwendungen im Bereich der Verwaltung und reflektiert nicht die besonderen Anforderungen in einigen Branchen. Er ermöglicht jedoch einen Einblick in die unterschiedlichen Begriffswelten.
>> [ Europäische Kommission: Elektronische Signaturen in Verwaltungsanwendungen in der EU (Englisch) ]
Eine weitere ergiebige Quelle für Informationen ist die mehrsprachige Online-Enzyklopädie Wikipedia. Die Inhalte in Wikipedia mögen zwar nicht immer zu 100% akkurat oder auf dem allerletzten Stand sein, doch bieten sie eine gute Einstiegshilfe falls man sich eingehender mit dem Thema beschäftigen möchte.
>> [ Wikipedia über ... Elektronische Signaturen ]
>> [ Wikipedia über ... Digitale Signaturen ]
Der Inhalt dieser Seite dient rein informatorischen Zwecken und stellt keine Rechtsberatung dar. Die aufgeführten Informationen dienen lediglich zur Darstellung möglicher rechtlicher Fragen bei der Anwendung von SignDoc. Für eine verbindliche juristische Auskunft empfehlen wir sich an einen zugelassen Anwalt zu wenden, der einerseits eine Spezialisierung im Bereich IT-Recht hat und idealerweise auch mit Ihrer Branche vertraut ist.
Die in dieses Angebot eingestellten Beiträge und Artikel wurden sorgfältig geprüft. Für die Vollständigkeit, Richtigkeit und Aktualität übernimmt SOFTPRO jedoch keine Haftung. Für den Inhalt von Websites, welche von dieser Website aus verlinkt sind oder auf die Website von SOFTPRO verlinken, wird keine Haftung übernommen.
