Wie Unternehmen ihre Kosten für die qualifizierte elektronische Signatur in Rahmen halten

Mittlerweile werden viele Dokumente mit einer digitalen Unterschrift, der E-Signatur, gezeichnet. Damit entfallen Zettelwirtschaft, Portogebühren, Kosten für Papier, Personal und womöglich Reisen. Für Unternehmen ist das Verfahren finanziell attraktiv, für Geschäftspartner bequem. Doch wie steht es um die Rechtsgültigkeit virtueller Unterschriften?

Zunächst muss man drei Arten der E-Signatur unterscheiden. Zum einen die einfache elektronische Signatur (EES). Ihr liegt keine gesetzliche Formvorschrift zugrunde und sie stellt ein geringes Haftungsrisiko für den Unterzeichner dar, wenn der Inhalt des Dokuments angefochten wird. Etwas sicherer ist die fortgeschrittene elektronische Signatur (FES). Für sie gilt ebenfalls keine gesetzliche Formvorschrift, doch sie erwirkt ein begrenztes Haftungsrisiko. Für manche Verträge – etwa einen Kaufvertrag oder eine Bestellung im Internet – reicht der niedrigere E-Signatur-Standard der EES oder FES in der Regel aus.

Anders sieht es aus bei Dokumenten, die per Gesetz die Schriftform verlangen. Beispiele wären Mietverträge, Arbeitnehmerüberlassungsverträge oder Verträge über Verbraucherdarlehen. Anders sieht es auch aus bei Dokumenten, deren Unterzeichnung mit hohem geschäftlichen Risiko verknüpft ist, beispielsweise Audit-Reportings oder Bewerbungen auf öffentliche Ausschreibungen. In diesen Fällen ist die qualifizierte elektronische Signatur (QES) vorgeschrieben beziehungsweise ausgesprochen angeraten. Denn nur der QES-Standard ist gemäß EU-Recht der handschriftlichen Unterschrift gleichgestellt. Er gilt als gleich starkes Beweismittel, sollte es zu einer gerichtlichen Auseinandersetzung kommen und löst dasselbe hohe Haftungsrisiko aus.

Die rechtliche Wirkung und die genauen Anforderungen an die QES sind seit 2016 innerhalb der EU in der eIDAS-Verordnung (electronic IDentification, Authentication and Trust Service) einheitlich festgelegt. Sie sieht vor, dass jeder qualifizierten E-Signatur ein digitales Zertifikat hinzugefügt wird, als eine Art elektronischer Ausweis der signierenden Person. Diese ist somit eindeutig identifizierbar. Die Zertifikate werden von Vertrauensdiensteanbietern (VDA) ausgestellt, die in Deutschland ihrerseits von der Bundesnetzagentur beziehungsweise vom Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft werden. Die Bundesnotarkammer, die Deutsche Post AG, die Deutsche Telekom AG und weitere dienen als VDA und vergeben die Zertifikate.

Eine wichtige Errungenschaft des Verfahrens ist, dass für das elektronische Signieren per QES keine spezielle Hardware benötigt wird, zum Beispiel keine Signaturkarte und kein Kartenlesegerät. Ein Smartphone, Tablet oder PC und eine Internetverbindung sind ausreichend. Die QES ist auch gar nicht am Aussehen erkennbar. Entscheidend sind vielmehr Datenverknüpfungen im Hintergrund. Dabei wird das unterzeichnete Dokument mit einer qualifizierten elektronischen Signaturerstellungseinheit (QSCD) versehen, die sowohl einen privaten als auch einen öffentlichen Schlüssel enthält. Beide Datenpakete werden im Dokument integriert versendet. Mit Hilfe des öffentlichen Schlüssels kann der Empfänger erkennen, ob das Dokument nach Unterzeichnung verändert wurde; er kann sich der Unverfälschtheit der Unterschrift sicher sein und der Identität des Unterzeichners.

Es gibt viele Anbieter auf dem europäischen Markt, die E-Signatur-Lösungen anbieten, doch nur wenige mit Schwerpunkt auf der QES. Für die fortgeschrittene und qualifizierte elektronische Signatur müsste ein Unternehmenskunde daher zusätzlich einen Vertrag mit einem VDA abschließen. Das ist kompliziert, zeitaufwendig und teuer.

Einfacher und günstiger ist das Angebot der Skribble AG mit ihrem gleichnamigen Service. Bei ihm besitzt die QES höchste Priorität, die VDA ist standardmäßig integriert und bereits im Preis enthalten. Nutzer der Plattform – eigene Mitarbeiter ebenso wie Partner, Lieferanten und Kunden – müssen sich lediglich einmal identifizieren, um das persönliche digitale Zertifikat zu erhalten. Das funktioniert zum Beispiel per Video-Call. Danach kann sofort ein Skribble-Konto erstellt und bequem mit Smartphone, Tablet oder PC unterzeichnet werden.

Skribble deckt die QES-Rechtsanforderungen des EU-Raumes und der Schweiz ab, sodass Unternehmen dank des Anbieters international agieren können. Zudem garantiert die Plattform höchsten Datenschutz und maximale Datensicherheit, auch für sensible Dokumente. Skribble ist DSGVO-konform und wird auf EU-kompatiblem Banken-Level nach ISO 27001 in der Schweiz gehostet.

Neben der QES deckt Skribble aus einer Hand auch die zwei "niedrigeren" Standards FES und EES ab. Unternehmen können, je nach Anwendungsfall, das jeweils optimale Kosten-Nutzen-Verhältnis wählen.

Skribble ist bereits am Tag der Lizenzierung sofort einsatzbereit: Die Benutzeroberfläche ist selbsterklärend, die Implementierung in jedes Geschäftsmodell funktioniert reibungslos. Große Player wie DATEV, rebuy, AVIS, easyjet und weitere setzen die Plattform bereits mit Gewinn ein.