Definition und rechtlicher Rahmen
Eine qualifizierte elektronische Signatur (QES) ist gemäss der eIDAS-Verordnung, die den rechtlichen Rahmen für elektronische Signaturen und digitale Unterschriften in der EU bildet, die höchste Form einer elektronischen Unterschrift. Die qualifizierte elektronische Signatur hat den gleichen rechtlichen Stellenwert wie eine handschriftliche Unterschrift und ist daher eine rechtsgültige Unterschrift in der Schweiz und in der EU. Sie wird mittels spezifischer technologischer Verfahren erstellt, die die Identität des Signierenden sicherstellen und die Integrität des Dokuments gewährleisten.
Wenn Sie in Ihrem Unternehmen die qualifizierte elektronische Unterschrift anbieten müssen oder wollen, sei es aufgrund von Formvorschriften der lokalen Signaturgesetze oder weil Sie eine sichere Identifizierung Ihrer Unterzeichner brauchen, dann sollten Sie genau darauf achten, wie Ihre E-Signatur-Lösung das Unterschreiben mit der qualifizierten Signatur möglich macht.
Technische Details und Vertrauensdiensteanbieter
Die qualifizierte elektronische Signatur wird von modernen Lösungen meist als Fernsignatur angeboten und beruht auf einem speziellen Zertifikat, das von einem zugelassenen Anbieter für qualifizierte Vertrauensdienste ausgestellt wird. Das Zertifikat enthält die Identität des Unterzeichnenden (mindestens den Namen). Oftmals wird dem Dokument eine visuelle Repräsentation der Unterschrift beigefügt. Diese ist zwar rechtlich weder notwendig noch relevant, erleichtert es aber, die vorhandenen Unterschriften zu erkennen. Ausserdem können oft zusätzliche Daten wie die E-Mail-Adresse oder das Firmenlogo hinzugefügt werden.
Signaturkarte bei Certifaction
Bei der QES kommt die asymmetrische Kryptografie, auch Public-Key-Verschlüsselung genannt, zum Einsatz. In diesem Verfahren gibt es immer zwei Schlüssel: einen privaten Schlüssel, auch Signaturschlüssel genannt, und einen öffentlichen Schlüssel.
Der Signaturschlüssel wird benutzt, um den Hashwert (einzigartiger digitaler Fingerabdruck) des Dokuments zu signieren. Der öffentliche Schlüssel wird im Zertifikat gespeichert und kann genutzt werden, um die Authentizität zu beweisen. Hierfür wird die während der Signaturerstellung verschlüsselte Prüfsumme entschlüsselt und mit dem neu berechneten Hashwert des vorliegenden Dokuments verglichen.
Bei der Fernsignatur werden die Schlüsselpaare vom Vertrauensdiensteanbieter (VDA) in einer qualifizierten Signaturerstellungseinheit (HSM) generiert und verwaltet. Der VDA stellt sicher, dass der private Schlüssel nur dem Unterzeichner zugänglich ist. Üblicherweise wird dies durch einen zweiten Sicherheitsfaktor gewährleistet. Der VDA ist zudem verpflichtet, Unterzeichner vor dem Erstellen eines Signaturschlüssels in einem sicheren Verfahren verordnungskonform zu identifizieren und die Identitätsdaten aufzubewahren.
Anwendungsfälle und Rechtsgültigkeit
Die qualifizierte elektronische Signatur wird in Fällen erforderlich, in denen gesetzliche Vorschriften oder spezifische Geschäftsprozesse dies verlangen. Dazu gehören etwa Verträge, die normalerweise in Schriftform abgeschlossen werden und nun digital abgewickelt werden. Hier bietet die qualifizierte elektronische Signatur, die als höchster E-Signatur-Standard gilt, eine digitale Lösung, die nicht nur legal, sondern auch sicher und effizient ist. Die Rahmenrichtlinien definieren die Beweiskraft der einzelnen elektronischen Signaturen und werden über die jeweiligen Bundesgesetze – in der Schweiz von der Bundesversammlung und in Deutschland von der Bundesnetzagentur – festgelegt.
Anwendungsfälle im Unternehmen
Gesetzliche Regelungen in der EU und Schweiz
Die Rechtswirksamkeit der QES ist unbestritten. In der EU wird sie durch die eIDAS-Verordnung, in der Schweiz durch das ZertES (Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur) geregelt. Beide Gesetzgebungen stellen die QES mit der handschriftlichen Unterschrift gleich und verleihen ihr volle Beweiskraft vor Gericht. Hierbei bietet nur die QES den Vorteil der Beweislastumkehr. Das bedeutet: Wenn eine Vertragspartei die Gültigkeit der Unterschrift abstreitet, muss sie die Fälschung der Unterschrift beweisen. Der Initiator der Unterschrift muss vor Gericht lediglich das PDF und keine weiteren Nachweise einreichen. Es gilt zu beachten, dass die QES entweder konform mit eIDAS oder mit ZertES sein kann – nicht mit beiden gleichzeitig. Auf die Schweiz spezialisierte eSigning-Anbieter ermöglichen die Auswahl zwischen den beiden Varianten.
Anforderungen und Umsetzung der Qualifizierten elektronischen Signatur
Die QES muss verschiedene Anforderungen aus der eIDAS-Verordnung oder dem ZertES erfüllen. Zunächst gelten die gleichen Voraussetzungen wie für die AES (advanced electronic signature) bzw. FES (fortgeschrittene elektronische Signatur): Die Signatur muss eindeutig dem Unterzeichner zuordenbar sein, seine Identifizierung ermöglichen und so mit den Daten verbunden sein, dass eine nachträgliche Veränderung erkannt wird. Die Identifikation kann persönlich oder in einigen Fällen online durch Fernidentifikation via Video- oder Auto-Ident erfolgen. Zusätzlich gilt: Das qualifizierte Zertifikat für elektronische Signaturen muss von einer anerkannten Zertifizierungsstelle, dem Trust Service Provider, ausgestellt werden. Bei der Erstellung der Signatur muss eine qualifizierte Signaturerstellungseinheit genutzt werden. Es gibt also eine Reihe technischer Spezifikationen, damit die QES gültig ist.
Benutzerfreundlichkeit und Software-Lösungen
Das Unterschreiben mit einer QES ist dank verschiedener Lösungen, wie Swisscom oder Cryptomathic, sehr benutzerfreundlich. Das Dokument wird in der Regel in einem speziellen Format hochgeladen. Dann wird die Signatur mithilfe der Signatursoftware und des Signaturschlüssels erstellt. Unsere Lösung für Unternehmen nutzt Swisscom als Identifizierungspartner und somit stellt Swisscom die Zertifikate für die Signaturerstellungseinheit (Smartcard) aus.
Die Certifaction QES-Lösung zeichnet sich durch eine besonders benutzerfreundliche Oberfläche aus, die das Identifikationsverfahren zu einer nahtlosen und unkomplizierten Erfahrung macht, die in maximal 10 Minuten erledigt werden kann. Sollten Ihre Unternehmenskunden, -partner und Mitarbeiter NFC-fähige Reisepässe haben, können sie sich in 2 bis 4 Minuten identifizieren.
Trotzdem hält sich unsere Lösung an die strengen Auflagen der europäischen Signaturgesetze und Vorschriften für die Form. Das macht die QES einfach, sicher und legal.
Vorteile der Qualifizierten Elektronischen Signatur
Die Verwendung einer QES bietet viele Vorteile. Sie sorgt für hohe Sicherheit, rechtliche Klarheit und verbessert die Effizienz von Geschäftsprozessen. Denn es erfolgt eine eindeutige Identitätsprüfung und die Integrität des Dokuments bleibt gewahrt. Zudem wird die Nutzung der QES durch das Gesetz stark gefördert.
Registrierung und Identifikationsverfahren
Die Registrierung für eine QES ist relativ unkompliziert, erfordert jedoch eine sorgfältige Identifikation der Person. Je nach Anforderungen kann dies die Vorlage eines gültigen Personalausweises, die Bestätigung der Adresse und andere Informationen einschliessen.
Sicherheit und Rechtsklarheit mit QES und EES
Lassen Sie wichtige Verträge mit einer QES unterschreiben, selbst wenn nur eine einfache elektronische Signatur (EES) bzw. simple electronic signature (SES) erforderlich ist. Dies bietet Ihnen zusätzliche Sicherheit und Rechtsklarheit.
Ein Datum, das bei der Anbringung einer QES automatisch eingefügt wird, dient als Zeitstempel. Dieser Zeitstempel ist wichtig, da er den genauen Zeitpunkt der Unterzeichnung des Dokuments nachweist.
Unterschiede zwischen QES und AES
Im Unterschied zur fortgeschrittenen elektronischen Signatur (FES), auch advanced electronic Signature genannt (AES), bietet die qualifizierte (QES) eine höhere Stufe an Sicherheit und Rechtsverbindlichkeit. Die fortgeschrittene elektronische Signatur identifiziert die Unterzeichnenden mittels E-Mail-Adresse und Mobilnummer und stellt die Integrität des Dokuments sicher. Die QES hat zusätzlich die gleiche rechtliche Anerkennung wie eine handschriftliche Signierung.
Überprüfung der Signatur und Datensicherheit
Die Prüfung der Gültigkeit einer qualifizierten elektronischen Signatur und der Integrität der Daten kann mithilfe von Tools erfolgen, die von Vertrauensdiensteanbietern bereitgestellt werden. Nutzer einer Schweizer Mobilfunknummer können beispielsweise auf der Website von Swisscom prüfen, ob sie für die elektronische Signatur korrekt registriert sind, und den Status ihrer Signatur einsehen.
Eine weitere Hürde liegt darin, sicherzustellen, dass ein Dokument seit der Unterzeichnung nicht verändert wurde. Das ist besonders bei digital signierten Verträgen, die im Anschluss gedruckt werden, ein Problem. Doch mit bestimmten Vorkehrungen können sie auch in gedruckter Form fälschungssicher gemacht werden. Unser Digitaler Zwilling nutzt hierzu einen QR-Code, der dem Dokument vor dem Ausdrucken automatisch hinzugefügt wird. Durch den Scan wird das digitale Original sofort auf Ihrem Bildschirm angezeigt und Sie können seine Authentizität überprüfen. Ausserdem können Sie eine sicher gespeicherte digitale Kopie auf Ihr Gerät herunterladen.
Dokumentation und Klarheit im Unterschriftenprozess
Bei der Unterzeichnung eines Dokuments, bei dem eine Partei die QES verwendet und die andere Partei handschriftlich unterschreibt, empfiehlt es sich, den gesamten Prozess sorgfältig zu dokumentieren. Beide Unterschriften sollten auf demselben Dokument erscheinen, um eine klare Rechtslage zu gewährleisten.
Datensicherheit durch Ende-zu-Ende-Verschlüsselung
Certifaction bietet nicht nur eine Unternehmenslösung für jeden Fernsignatur-Typen, der im Signaturgesetz festgehalten ist, sondern erhebt gleichzeitig einen hohen Anspruch auf Datensicherheit. Bei der qualifizierten sowie jeder anderen Unterschrift, die mit unserer eSigning-Lösung möglich ist, werden Ihre Daten und die Ihrer Kunden und Partnerunternehmen lediglich lokal geladen. Wir nutzen eine Zero-Document-Knowledge-Technologie, mit der wir keinen Einblick in Ihre zu signierenden Dokumente haben. Alles wird verschlüsselt übertragen und Sie können den Schlüssel Ihrem Unterzeichnungspartner zukommen lassen.
Wir beraten Sie gerne
Die qualifizierte elektronische Signatur ist ein hochrelevantes Thema in der Schweiz und Europa. Mit einem Privacy-First Anbieter können Sie sie sorgenfrei implementieren. Wir freuen uns darauf, Sie zu informieren und zu unterstützen, um Ihre digitale Transformation voranzutreiben!
Inhalt
- Definition und rechtlicher Rahmen
- Technische Details und Vertrauensdiensteanbieter
- Anwendungsfälle und Rechtsgültigkeit
- Gesetzliche Regelungen in der EU und Schweiz
- Anforderungen und Umsetzung der Qualifizierten elektronischen Signatur
- Benutzerfreundlichkeit und Software-Lösungen
- Vorteile der Qualifizierten Elektronischen Signatur
- Registrierung und Identifikationsverfahren
- Sicherheit und Rechtsklarheit mit QES und EES
- Unterschiede zwischen QES und AES
- Überprüfung der Signatur und Datensicherheit
- Datensicherheit durch Ende-zu-Ende-Verschlüsselung