FP Sign: Die häufigsten Irrtümer über elektronische Signaturen

Fortsetzung des Artikels von Teil 1.

Irrtümer 4, 5 und 6

4. Eine elektronische Unterschrift hält vor Gericht nicht stand

Die digitale Signatur ist grundsätzlich rechtsgültig und vor Gericht anerkannt. Im Lichte der eIDAS-Verordnung ist mit Dokumenten bzw. Dateien, die mit der fortgeschrittenen oder der qualifizierten elektronischen Signatur digital unterschrieben wurden, ein höherer Beweiswert verbunden, als mit der einfachen  Signatur (etwa in einer E-Mail).

Dabei können also höhere Anforderungen daran gestellt werden, die Vermutung der Richtigkeit zu erschüttern: Gemäß § 371a ZPO finden auf private elektronische Dokumente, die mit einer qualifizierten elektronischen Signatur versehen sind, die Vorschriften über die Beweiskraft privater Urkunden entsprechende Anwendung. Voraussetzung ist eben, dass der digitale Prüfbericht (sog. Workflow), der den elektronischen Signierverlauf zeigt, vorgelegt wird.

Für die einfache elektronische Signatur gilt zwar die freie richterliche Beweiswürdigung. Da die einfache Signatur aber leichter manipulierbar ist, wird dieser eine im Vergleich geringere Beweiskraft zuerkannt. D. h. der Richter kann die Integrität (Unversehrtheit) und die Authentizität (Urheber) des Dokuments dann anzweifeln, wenn die Gegenseite substantiiert dazu vorträgt, dass diese etwa manipuliert wurde (der bloße Einwand der Manipulierbarkeit als solcher reicht allerdings nicht aus).

Beim digitalen Unterzeichnen wichtiger Geschäftsdokumente und Verträge sollte deshalb mindestens auf die fortgeschrittene elektronische Signatur gesetzt werden und bei Dokumenten, die die Schriftform erfordern, unbedingt auf die QES. Öffentliche elektronische Dokumente von Behörden (§ 371a Abs. 3 ZPO) haben gemäß § 416 a ZPO in ausgedruckter Form die Beweiskraft öffentlicher Urkunden, wenn der Ausdruck mit Beglaubigungsvermerk versehen ist.

Da es für private bzw. geschäftliche elektronische Dokumente an einer entsprechenden Regelung in der Zivilprozessordnung fehlt, kommt dem Ausdruck eins elektronisch signierten Dokuments jedoch selbst in „beglaubigter“ Form keine entsprechende Beweiskraft zu. Solche Dokumente sind also nur in elektronischer Form rechtsgültig.  

5. Wichtige Dokumente und Informationen könnten so ungewollt in die Hände Dritter gelangen

Vertrauensdienstanbieter, die für die Ausstellung der Signaturzertifikate zuständig sind, müssen sich zertifizieren lassen, um die Sicherheitsanforderungen der Europäischen Union zu erfüllen. Obwohl sich die Anbieter elektronischer Signaturen mitunter unterscheiden, nutzt etwa FP Sign ausschließlich deutsche und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierte Rechenzentren – unabhängig davon, von wo die Signatur erstellt wird. Die elektronisch übermittelten Daten werden zudem durch die Transportverschlüsselung, also die Authentifizierung des Unterzeichners mittels Username und Passwort (oder bei der QES auch mit einer SMS-TAN) gesichert.

Die Zwei-Faktor-Authentifizierung kann zusätzlich auch beim Signaturempfänger angefordert werden. Die Bedenken über Datensicherheit sind somit – sofern Anwender auf eine eIDAS-konforme Signaturlösung setzen – unberechtigt.

6. Wenn meine Geschäftspartner selbst keinen eigenen Account bei einem Anbieter für elektronische Signaturen verwenden, können sie nicht unterschreiben

Das ist ein hartnäckiger Mythos. Die meisten digitalen, cloudbasierten Signaturlösungen ermöglichen einen unkomplizierten Signaturprozess, indem vom Signaturempfänger kein eigener Account verlangt wird, um ein Dokument elektronisch zu signieren. Es reicht aus, wenn der Initiator der Signatur einen Account bei seinem Wunsch-Vertrauensdienstanbieter besitzt.

Etwas anders verhält es sich, wenn beide Unterschriftsparteien auf höchstmöglicher Rechtsgültigkeit ihrer Vereinbarung bestehen oder das zu unterschreibende Dokument die Schriftform erfordert: Hierzu muss die qualifizierte elektronische Signatur zum Einsatz kommen. D. h. alle Unterzeichner müssen im Besitz einer QES sein und sich an deren Identifizierungs- und Authentifizierungsanforderungen halten.