Digitale Signaturen: qualifiziert und fortgeschritten

Digitale Signaturen in der Schweiz

Eine Unterschrift ist keine Signatur

Dank digitalen Signaturen lassen sich elektronische Dokumente praktisch, schnell und kostengünstig unterzeichnen. Doch worin unterscheiden sich Signaturen von einer handschriftlichen Unterschrift? Ein Überblick über die verschiedenen Verfahren, von einfach über fortgeschritten bis qualifiziert.

Erich Meier erhält von seinem Kunden den Geschäftsvertrag – digital als PDF, wie es heutzutage üblich ist. Vergleichsweise altmodisch geht es aber nachher weiter: Meier druckt das Dokument aus und unterzeichnet es handschriftlich. Den unterschriebenen Vertrag steckt er schliesslich in einen Umschlag und wirft diesen in den nächstgelegenen Briefkasten. Viele Schritte für eine Unterschrift.

Was Erich Meier nicht weiss: Dokumente lassen sich auch digital unterzeichnen. Jede digitale Signatur basiert auf der sogenannten asymmetrischen Verschlüsselung. Sie wird auch als Public-Key-Verfahren bezeichnet und nutzt einen öffentlichen und einen privaten (geheimen) Schlüssel. Mit dem privaten Schlüssel wird die digitale Signatur erzeugt, während mit dem öffentlichen Schlüssel die Authentizität der Unterschrift überprüft wird.

Digitale Signaturen können genauso rechtssicher sein wie eine handschriftliche Unterschrift auf Papier. Das ist aber nicht immer der Fall: Bei den sogenannten elektronischen Signaturen gibt es Unterschiede, nicht jede bietet die gleiche Rechtssicherheit. Das Bundesgesetz unterscheidet vier Typen:

Einfache elektronische Signatur

Einfache elektronische Signaturen sind laut Bundesgesetz Daten, «die anderen elektronischen Daten beigefügt oder die logisch mit ihnen verknüpft sind und zu deren Authentifizierung dienen». Dazu gehören Signaturen, die man etwa in Adobe Acrobat Reader aufs Dokument zeichnet. Das Zertifikat, dass dabei im Hintergrund erstellt wird, stellt bloss die Integrität des Dokuments sicher: «Falls als gültig ausgewiesen, bestätigt das Zertifikat nur, dass das Dokument zwischen dem Zeitpunkt des Signierens und dem Zeitpunkt des Öffnens nicht verändert wurde», erklärt Philipp Dick, Head of Business Development Security Solutions von Swisscom. Die einfache elektronische Signatur dient also nicht der Identifikation einer Person. Daher bietet sie am wenigsten Rechtssicherheit und eignet sich vor allem dann, wenn man firmenintern signieren möchte. Oder um zu beweisen, dass ein Dokument nicht verändert wurde.

Fortgeschrittene elektronische Signatur

Im Gegensatz zur einfachen elektronischen Signatur dient die fortgeschrittene elektronische Signatur der Personenidentifikation: Das bei der Signatur ausgestellte Zertifikat ordnet die Unterschrift der Inhaberin oder dem Inhaber zu. Dass bedeutet, dass diese die alleinige Kontrolle über die Mittel haben, mit der die Signatur angebracht wird. Das kann – wie bei der Suisse ID der Post – eine SIM- oder Chipkarte sein; sie enthält ein Zertifikat zur Nutzeridentifikation und eines für die digitale Signatur und wird in einen Kartenleser oder USB-Stick eingesetzt. Oder man gibt alle erforderlichen Daten auf dem Handy ein und erhält per SMS einen Code zur Authentifizierung. Die Methoden müssen auch nachträgliche Veränderungen der Daten sichtbar machen.

Qualifizierte elektronische Signatur

Die qualifizierte elektronische Signatur besitzt im Grundsatz dieselben Eigenschaften wie die fortgeschrittene; jedoch beruht sie auf einem qualifizierten Zertifikat, das von einem anerkannten Anbieter ausgestellt wird.  Etwa werden beim All-in Signing Service von Swisscom Zertifikat und Signaturschlüssel bei jedem Signaturvorgang neu in der Cloud generiert, die Authentisierung erfolgt durch eine Mobile-ID-fähige SIM-Karte übers Handy.

In der Schweiz überprüft die KPMG, ob die Zertifikate der Signaturanbieter nicht nur die Anforderungen für fortgeschrittene, sondern auch für qualifizierte elektronische Signaturen erfüllen. Ein qualifiziertes Zertifikat muss als solches gekennzeichnet sein. Auch wird es – im Gegensatz zum Zertifikat einer fortgeschrittenen Signatur – nur auf eine natürliche Person ausgestellt und darf ausschliesslich für die elektronische Signatur eingesetzt werden. Nur die qualifizierte Signatur ist im Schweizer Gesetz festgehalten (Art. 14 2bis OR). So ist nur die qualifiziere elektronische Signatur der handschriftlichen Signatur rechtlich gleichgestellt.

All-in Signing Service von Swisscom

In der Schweiz gibt es nur vier Signatur-Anbieter, die von der KPMG anerkannt sind und qualifizierte Zertifikate ausstellen. Einer davon ist Swisscom mit dem All-in Signing Service. Die Lösung erfüllt alle Vorgaben der Gesetzgebung und bietet zwei Arten von elektronischen Unterschriften: Eine On-Demand-Signatur, fortgeschritten und qualifiziert, bei der dem Nutzer für jede Signatur ein neues Zertifikat ausgestellt wird, und ein elektronisches Siegel, mit dem juristische Personen Massensignaturen erstellen können.

Für die meisten Verträge gibt es in der Schweiz keine Formvorschriften. Diese Verträge sind auch ohne Unterschrift gültig, egal ob handschriftlich oder digital. Die Unterschrift dient den Vertragspartnern mehr zur Absicherung, und wäre auch in Form einer fortgeschrittenen elektronischen Signatur gut möglich. Doch es gibt Ausnahmen: Zum Beispiel muss ein Konsumkreditvertrag, eine Forderungsabtretung oder ein Grundstückkaufvertrag zwingend schriftlich verfasst und unterzeichnet werden. Eine qualifizierte elektronische Signatur wäre daher empfehlenswert. Letztlich bleibt die Wahl aber Ermessenssache – wobei auch wirtschaftliche Faktoren mitspielen: «Der Aufwand für die Identifikation ist bei der qualifizierten Signatur höher als bei der fortgeschrittenen», erklärt Dick. Daher würden Unternehmen manchmal die fortgeschrittene Signatur wählen und allfällige Kosten durch einen Gerichtsfall in Kauf nehmen.

Elektronisches Siegel

In seinem Kern ist auch das elektronische Siegel eine fortgeschrittene elektronische Signatur. Es wird aber nur an Firmen herausgegeben. So steht hinter dem elektronischen Siegel nicht eine Einzelperson, sondern das ganze Unternehmen. Die Identifikation basiert auf der ID-Nummer im Handelsregistereintrag. Gerade im Massenversand sind elektronische Siegel beliebt: So werden sie zum Beispiel oft auf Rechnungen angebracht. Dem Empfänger dienen elektronische Siegel – sofern sie korrekt sind – der Absicherung: Er weiss, dass die Rechnung nicht gefälscht ist und er keinem Betrüger Geld überweist. Laut dem Kompetenzzentrum Records Management (KRM) könnten gar 95 Prozent aller Betrugsfälle verhindert werden, würde man nur noch e-Rechnungen mit Siegel akzeptieren.

 

Titelbild: iStock

Jetzt lesen

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.

2 Kommentare zu “Eine Unterschrift ist keine Signatur

  1. Leider kann der Autor „dass“ und „das“ nicht sauber auseinanderhalten und beherrscht die Kommaregel dazu nicht. Darum liest sicher der Text so schwer. Schade, denn der Inhalt ist wertvoll und informativ.

  2. Die Sache mit der elektronischen Signatur ist gefährlich. Zudem ist es recht schwierig eine gute , echte Untersschrift zu machen auf einem Tablett. Ich denke, dass es zu Fälschungen der Dokumente kommt…