Signaturgesetz: eIDAS-Verordnung einhalten und Dokumente rechtskonform signieren

Das Signaturgesetz (SigG) wurde in Deutschland erstmals 1997 verabschiedet, um den sicheren Einsatz elektronischer Signaturen zu regeln. Das Hauptziel des Gesetzes war es, eine rechtliche Grundlage für die digitale Signatur zu schaffen, sodass elektronische Dokumente dieselbe Beweiskraft wie handschriftlich unterzeichnete Schriftstücke erhalten. Dafür definierte das Signaturgesetz klare Sicherheitsanforderungen, wann eine elektronische Signatur (E-Signatur) im europäischen Rechts- und Geschäftsverkehr rechtssicher und manipulationssicher ist. Dazu gehört unter anderem:

• Eindeutige Zuordnung: Die Signatur weist die unterzeichnende Person eindeutig aus.
• Integrität des Dokuments: Jede Änderung an der signierten Datei macht die Signatur ungültig, sodass Manipulationen sofort erkennbar sind.
• Authentifizierung: Ein qualifiziertes Zertifikat einer vertrauenswürdigen Zertifizierungsstelle bestätigt die Identität des Unterzeichners.
• Verbindlichkeit: Die unterzeichnende Person kann ihre Signatur nicht nachträglich abstreiten („Nichtabstreitbarkeit“).

Zudem definierte das SigG Anforderungen an Zertifizierungsdienste und legte technische Standards für deren Sicherheit fest. Zum Beispiel sind Docusign, SwissSign oder D-Trust (Bundesdruckerei) Zertifizierungsdiensteanbieter, die für die Ausstellung von Zertifikaten verantwortlich sind.

Mit der fortschreitenden Digitalisierung und dem zunehmenden Bedarf an europaweit einheitlichen Lösungen reichte das Signaturgesetz als nationale Regelung allein nicht mehr aus. Die Lösung: die eIDAS-Verordnung (Electronic Identification, Authentication and Trust Services), die seit dem 1. Juli 2016 EU-weit gültig ist. Kurzum sorgt eIDAS als Regelwerk ((EU) Nr. 910/2014) für eine einheitliche Regelung digitaler Identitäten und Vertrauensdienste in allen EU-Mitgliedstaaten.

Damit schafft die Verordnung die Grundlage für grenzüberschreitende digitale Geschäftsprozesse mit rechtssicheren digitalen Unterschriften und Identifikationsmethoden.

Umsetzung der eIDAS-Verordnung in Deutschland: Bedeutung für Unternehmen

Das Vertrauensdienstegesetz (VDG) ist die nationale Umsetzung der europäischen eIDAS-Verordnung in Deutschland. Mit Inkrafttreten am 29. Juli 2017 ersetzt es das frühere Signaturgesetz auf nationaler Ebene. Die Bundesnetzagentur übernimmt die Aufsicht über die Einhaltung des VDG und stellt so sicher, dass Vertrauensdiensteanbieter die gesetzlichen Anforderungen erfüllen.

Folgende elektronische Vertrauensdienste fallen in den Anwendungsbereich des Gesetzes:

• Elektronische Signaturen ermöglichen eine rechtssichere Unterzeichnung digitaler Dokumente.
• Elektronische Siegel bestätigen die Authentizität und Unveränderbarkeit von Dokumenten, sodass Unternehmen und Behörden ihre digitalen Unterlagen manipulationssicher kennzeichnen können.
• Elektronische Zeitstempel belegen, dass ein Dokument zu einem bestimmten Zeitpunkt existierte und seitdem nicht verändert wurde.
• Elektronische Einschreiben stellen einen digitalen Versandnachweis mit rechtlicher Beweiskraft bereit, sodass Absender und Empfänger den Versand und Empfang sicher nachweisen können.
• Website-Authentifizierungszertifikate schützen Online-Dienste vor Manipulationen und identifizieren Webseitenbetreiber eindeutig.

Die eIDAS-Verordnung unterscheidet drei Arten elektronischer Signaturen, die sich in ihrem Sicherheitsniveau und ihrer rechtlichen Verbindlichkeit unterscheiden.

Wichtiger Hinweis: Nicht alle Dokumente erfordern die gleiche Signaturstufe.

Einfache elektronische Signatur (EES)

Bei der einfachen elektronischen Signatur (ESS) handelt es sich um eine digitale Unterschrift, die über keine besonderen Sicherheitsmaßnahmen verfügt. Beispiele einer EES sind ein eingescanntes Bild einer Unterschrift oder eine per Klick bestätigte Zustimmung wie „ich akzeptiere die AGBs“. Sie hat somit keine starke Beweiskraft, kann aber in bestimmten Fällen ausreichend sein – zum Beispiel um interne Erklärungen zu unterschreiben.

Fortgeschrittene elektronische Signatur (FES)

Die fortgeschrittene elektronische Signatur hat eine höhere Beweiskraft als eine einfache Signatur, ist aber kein direkter Ersatz für eine handschriftliche Unterschrift. Sie lässt sich einer Person eindeutig zuordnen und erkennt nachträgliche Änderungen des Dokuments. Die Signatur ist durch Authentifizierungsmaßnahmen abgesichert. Beispiele für eine FES sind geschäftliche Transaktionen wie SMS-TAN-Verfahren oder digitale Unterschriften über Dienste wie Docusign.

Qualifizierte elektronische Signatur (QES)

Qualifizierte elektronische Signaturen (QES) sind der handschriftlichen Unterschrift gleichgestellt und schaffen somit höchste rechtliche Verbindlichkeit – was im Vertragsmanagement oder der Behördenkommunikation entscheidend ist. Sie erfordert ein qualifiziertes Zertifikat von einem akkreditierten Vertrauensdiensteanbieter und eine sichere Signaturerstellungseinheit.

Das sind typische Anwendungsfälle:

• Vertragsabschlüsse (Mitarbeiterverträge, Lieferantenverträge)
• Genehmigungsprozesse (Freigaben für Bestellungen, Rechnungen)
• Behördliche Dokumente (Steuerformulare, Datenschutzvereinbarungen)
• Kundenkommunikation (Versicherungspolicen, Kreditverträge)

Mit der Ablösung des Signaturgesetzes durch eIDAS und VDG müssen Unternehmen sicherstellen, dass ihre digitalen Signatur- und Identifikationsprozesse rechtskonform sind.

Das sind Anforderungen:

• Rechtsgültige digitale Signaturen in der gesamten EU nutzen
• Dokumente elektronisch signieren, ohne Medienbrüche
• Geschäftsprozesse effizienter und sicherer gestalten
• Digitale Identitäten (eID) für Authentifizierungen in Online-Portalen verwenden

Ein reibungsloser Signaturprozess ist rechtskonform, digital, automatisiert und medienbruchfrei. Idealerweise sind Funktionen der elektronischen Signatur direkt in ERP-Systeme oder in ein DMS integriert. So erstellen, bearbeiten, prüfen, genehmigen, signieren und archivieren Sie Dokumente zentral – ohne dass Nutzer zwischen Anwendungen wechseln müssen. Anbieter wie Docusign integrieren sich nahtlos in gängige Systeme.

Doxis integriert sich in Ihre bestehenden Geschäftsprozesse und bietet Schnittstellen zu Signaturdiensten wie Docusign und Adobesign. So sind Ihre Signaturprozesse rechtsverbindlich und vollständig abgebildet – von der Erstellung bis zur Archivierung.

So funktioniert der eIDAS-konforme Signatur-Workflow in Doxis:

• Schritt 1: Wählen Sie das zu signierende Dokument aus: Sie finden es über die Suchleiste, in Ihren letzten Aktivitäten oder im Vertrags-Workspace unter den offenen Aufgaben.
• Schritt 2: Starten Sie den Signatur-Workflow: Wählen Sie den Signaturdienst-Anbieter aus, mit dem Sie zusammenarbeiten – zum Beispiel Docusign.
• Schritt 3: Senden Sie das Dokument an den Unterzeichner: Geben Sie in Doxis an, wer das Dokument unterschreiben soll. Doxis sendet dann eine E-Mail, über die der Unterzeichner auf das Dokument zugreift.
• Schritt 4: Unterzeichner signiert das Dokument: Unter Angabe des Namens und der Initialen signiert der Unterzeichner das Dokument elektronisch. Sie ist in Doxis mitsamt Zeitstempel für Sie sichtbar. Bei Dokumenten wie Verträgen ist der Vorgang erst rechtsgültig, wenn auch die zweite Vertragspartei das Dokument unterzeichnet.
• Schritt 5: Beenden Sie den Signatur-Workflow: Doxis legt das unterzeichnete Dokument in der korrekten digitalen Akte ab. Anschließend archiviert Doxis das Dokument revisionssicher über die Aufbewahrungsfristen.

Wichtig: Handelt es sich um eine erstmalige Unterschrift, ist eine Verifizierung vor der Unterzeichnung erforderlich.