Die drei Arten elektronischer Signaturen erklärt

Einfache elektronische Signatur: Die Illusion von Sicherheit

Die einfache elektronische Signatur, kurz SES, ist das, was die meisten Menschen sich unter einer digitalen Signatur vorstellen. Jemand klickt auf "Unterschreiben", sein Name erscheint als Beweis, und ein Zeitstempel gibt an, wann es geschah. Das war es.

Keine Identitätsprüfung. Kein spezielles Zertifikat. Keine Verschlüsselung. Kein Manipulationsschutz. Eine SES ließe sich fälschen, indem man einfach das Signaturbild einer anderen Person kopiert. Man könnte ein Dokument nach der Unterzeichnung ändern, und die SES würde unverändert dastehen. Technisch gesehen ist eine SES kaum mehr als Metadaten, die an eine Datei angehängt sind.

Dabei ist die SES unter der eIDAS-Verordnung in der EU technisch gesehen rechtsgültig. Gerichte werden sie prüfen. Aber wenn jemand später behauptet, nie unterschrieben zu haben, kämpfen Sie einen schweren Kampf. Im Grunde sagen Sie: "Ich habe keine Ahnung, wer das wirklich war, aber ich hoffe, es war die richtige Person." Das ist keine starke Position.

SES funktioniert gut für den internen Geschäftsgebrauch: Genehmigungsformulare für Teammitglieder, interne Freigaben von Prozessänderungen oder Budgetbestätigungen innerhalb des eigenen Unternehmens, wo alle einander vertrauen. Sobald externe Parteien beteiligt sind oder etwas ein echtes Risiko birgt, ist SES eine Haftung, die als Lösung verkleidet ist.

Fortgeschrittene elektronische Signatur: Der praktische Standard

Die fortgeschrittene elektronische Signatur, kurz AES, ist der Bereich, in dem die meisten Geschäftsverträge angesiedelt sein sollten. Das ist die Kategorie, die wirklich etwas bedeutet.

AES erfordert qualifizierte digitale Zertifikate. Das bedeutet, dass eine Zertifizierungsstelle die Identität einer Person vor der Ausstellung des Zertifikats in gewissem Maße überprüft hat. Ein amtliches Ausweisdokument ist dafür nicht erforderlich — das ist QES-Territorium — aber es ist eine echte Verifizierung nötig, oft eine Telefonnummernverifikation in Kombination mit anderen Identitätsprüfungen.

Sobald dieses Zertifikat vorhanden ist, wird die Signatur bei der Unterzeichnung mit AES mathematisch mit dem Dokument verknüpft. Das Dokument kann nach der Unterzeichnung nicht mehr geändert werden, ohne dass die Signatur ungültig wird. Bereits eine einzige geänderte Zeichen lässt die gesamte Signatur zusammenbrechen.

Dies ist das Niveau, das ernsthafte geschäftliche Anforderungen abdeckt, ohne den Aufwand einer Ausweisverifikation. Handelsverträge: AES ist perfekt. Vertraulichkeitsvereinbarungen: AES ist Standard. Arbeitsverträge: AES deckt sie ab. Mietverträge: AES ist solide. Dienstleistungsverträge: AES schützt Sie.

AES hat nach eIDAS eine starke Rechtsstellung. Wenn jemand die Signatur bestreitet, argumentiert er gegen qualifizierte Zertifikate, Verschlüsselung und Manipulationserkennung. Sie sind in einer deutlich stärkeren Position als bei SES — aber noch nicht auf dem Niveau, bei dem das Gesetz die Gültigkeit der Signatur vermutet, sofern nicht das Gegenteil bewiesen wird. Das ist QES.

Qualifizierte elektronische Signatur: Wenn es wirklich zählt

Die qualifizierte elektronische Signatur, kurz QES, ist die Königsklasse. Dies ist das Werkzeug für Situationen, in denen ein Fehler wirklich teuer oder rechtlich komplex werden kann.

QES erfordert ein qualifiziertes Zertifikat, das von einem staatlich anerkannten Vertrauensdiensteanbieter ausgestellt wird. Vor der Ausstellung dieses Zertifikats wird die Identität der Person anhand offizieller Ausweisdokumente überprüft — Reisepass, nationaler Personalausweis oder ähnliches. Das kostet mehr und dauert länger als AES, weil es wirklich gründlich ist.

Der rechtliche Unterschied ist jedoch entscheidend: Nach eIDAS hat eine QES exakt die gleiche Rechtswirkung wie eine handschriftliche Unterschrift. Punkt. Gerichte stellen keine Fragen. Die Beweislast kehrt sich um. Wenn jemand eine QES anficht, muss er beweisen, dass sie gefälscht oder manipuliert wurde — nicht umgekehrt.

Das ist entscheidend bei Fusionen und Übernahmen, bei denen Dokumente Haftungen in Millionenhöhe tragen. Es zählt bei Arbeitsverträgen mit erheblichen Abfindungsklauseln, bei Kreditverträgen, medizinischen Unterlagen und sensiblen rechtlichen Verträgen. Kurz: bei allem, bei dem eine angefochtene Unterschrift Ihrem Unternehmen ernsthaft schaden könnte.

Der Kostenunterschied zwischen AES und QES ist meist kleiner, als man erwartet — oft nur wenige Euro pro Signatur. Der Unterschied im Rechtsschutz ist enorm.

Die richtige Wahl treffen: Ein Entscheidungsbaum

Stellen Sie sich diese Fragen der Reihe nach:

• Handelt es sich um ein internes Dokument oder einen internen Prozess? Verwenden Sie SES. Ohne externe Parteien nutzen Sie Signaturen lediglich zur Workflow-Nachverfolgung.
• Ist es ein Standardgeschäftsvertrag mit einer externen Partei? Wechseln Sie zu AES. Handelsverträge, NDAs, Servicebedingungen, Mietverträge — AES ist aus gutem Grund der Standard.
• Geht es um erhebliche Geldbeträge, rechtliche Komplexität oder regulatorische Anforderungen? Verwenden Sie QES. Arbeitsverträge mit echten Abfindungsrisiken. M&A. Kreditverträge. Gesundheitswesen. Immobilien.
• Verlangt Ihr Vertragspartner ausdrücklich einen bestimmten Signaturtyp? Verwenden Sie das, was verlangt wird. Verweisen Sie immer auf spezifische Anforderungen im Vertrag oder Branchenstandards.

Die ehrliche Einschätzung

Die meisten Unternehmen benötigen AES als Grundlage. Es ist die durchdachte Wahl: Sie zahlen für echte Sicherheit ohne den Aufwand einer vollständigen Ausweisverifikation. Sie decken Ihre normalen Handelsverträge rechtlich ab, ohne unnötige Komplexität.

Einige Unternehmen brauchen für bestimmte hochwertige Verträge gelegentlich QES. Bauen Sie das für solche Situationen in Ihren Workflow ein. Wissen Sie, wann Sie es brauchen.

Und SES? Wenn Sie es nicht intern oder für die trivialsten Unterschriften verwenden, gehen Sie ein unnötiges Risiko ein. Der rechtliche Schutz fehlt, wenn etwas schiefläuft.