Was ist der Unterschied zwischen einer digitalen Signatur und einer elektronischen Signatur?

In der heutigen Gesellschaft mit ihrer „Von überall aus arbeiten“-Mentalität wünschen sich die Menschen alles digital. Sie möchten über cloudbasierte Plattformen zusammenarbeiten und Dokumente via E-Mail teilen. Gleichzeitig verlangen bestimmte grundlegende Geschäftsprozesse, dass Dokumente unterschrieben werden, oftmals als Bestandteil von Vertragsabwicklungen.

Ihr Unternehmen verwaltet jeden Tag diverse Dokumente, die Unterschriften verlangen. Von Geheimhaltungsvereinbarungen (Non-Disclosure Agreements, NDAs) mit Auftragnehmern bis hin zu Einstellungsunterlagen für neue Mitarbeiter: Ihre Firma ist darauf angewiesen, dass Personen bestimmten Bedingungen und Auflagen mittels ihrer Unterschrift zustimmen.

Auf Ihrer Reise zu Ihrer digitalen Transformation hin ist es wichtig, dass Sie den Unterschied zwischen einer digitalen und einer elektronischen Signatur (eSignature) kennen, sodass Sie die angemessenen Technologien einsetzen können.

Was ist eine elektronische Signatur?

Bei elektronischen Signaturen, die mit dem englischen Begriff „eSignatures“ abgekürzt werden, handelt es sich um jede elektronische Form, mit der ein Dokument verifiziert und die Absicht einer Person validiert werden kann. Sie ersetzen handschriftliche Unterschriften mit Tinte auf Papier. Wenn alle am Signaturprozess beteiligten Personen der Verwendung von eSignatures zustimmen, können diese als rechtsverbindlich angesehen werden. Unternehmen setzen oftmals eSignatures ein, wenn ein Vertrag oder anderes Dokument mit Rechtswirkung in digitaler Form abgeschlossen werden muss.

Beispiele für eSignatures-Technologien, die ein Unternehmen einsetzen kann, beinhalten:
● Signaturbild
● Symbol
● Fingerabdruck
● Markierungsfeld
● Verbaler Ton
● Elektronischer Ton

Was ist eine digitale Signatur?

Zwar handelt es sich bei der digitalen Signatur um eine Unterart der elektronischen Signatur, aber sie fungiert als elektronischer Fingerabdruck und bedient sich kryptografischer Algorithmen, um das Dokument zu unterzeichnen und seine Authentizität zu bestätigen. Die Zertifikats-Autorität (Certificate Authority, CA) der Verschlüsselung nutzt eine Public-Key-Infrastruktur (PKI), um einen öffentlichen und privaten Schlüssel zu erstellen, zu speichern und zu unterschreiben, mit denen Identitäten bestätigt werden.

Digitale Signaturen sind rechtsverbindlich und bieten die folgenden Vorteile:
● Rückverfolgbarkeit
● Identitätsprüfung des Unterschreibenden
● Datenintegrität
● Datensicherheit

Digitale Signaturen vs. eSignatures: Die wichtigsten Unterschiede

Auch wenn für die meisten Dokumente sowohl digitale Signaturen als auch eSignatures verwendet werden können, ist es dennoch wichtig, die entscheidenden Unterschiede zwischen den beiden Signaturarten zu kennen.

Zweck

Eine eSignature verifiziert ein Dokument, einschließlich dessen Quelle, Autoren und Unterschreibende.

Eine digitale Signatur verifiziert ein Dokument und verhindert, dass nicht befugte Personen dieses manipulieren.

Signaturarten

eSignatures könne verschiedene Formate annehmen, z. B.:
● Ein gescanntes Bild einer Unterschrift
● Ein Markierungsfeld in einem elektronischen Dokument
● Ein getippter Name auf einem Dokument

Digitale Signaturen sind auf eine Signaturplattform mit integrierter Sicherheit und Automatisierung angewiesen.

Sicherheit

eSignatures fehlt es häufig an integrierten Sicherheitsfunktionen, um eine unbefugte Manipulation der Dokumente zu verhindern.
Digitale Signaturen beinhalten Sicherheitsfeatures wie:
● Verschlüsselung
● Nutzerauthentifizierung und -autorisierung
● Audit-Protokolle

Validierung durch Dritte

eSignatures sind darauf angewiesen, dass die unterschreibenden Parteien ihre Identität nachweisen und bestätigen, dass es sich um ihre Unterschriften handelt.

Digitale Signaturen nutzen vertrauenswürdige, autorisierte und regulierte Dritt-Zertifikats-Autoritäten (Certificate Authorities, CAs), um das Signaturverfahren zu validieren.

Verifizierung

Ohne die Validierung durch Dritte ist es deutlich schwieriger, den Eigentümer der Unterschrift zu verifizieren, was zu Authentifizierungs- und Integritätsproblemen führen kann.

Da digitale Signaturen CAs verwenden, haben Sie die Möglichkeit, den Eigentümer der Unterschrift zur Verifizierung zurückzuverfolgen, und das Risiko der Manipulation entfällt.

Absicht

eSignatures demonstrieren die Verbindlichkeit der Dokumentinhalte für die Unterschreibenden und dokumentieren ihre Absicht. Somit eignet sich diese Art der Signatur für Verträge.

Da Sie eine digitale Signatur zu einer Person zurückverfolgen und so die Authentizität des Dokuments nachweisen können, ist auch diese Signaturart ein Nachweis für Verbindlichkeit und Absicht, weshalb auch sie für Verträge eingesetzt werden kann.

Wann sollte ich eine digitale und wann eine elektronische Signatur verwenden?

Da eSignatures und digitale Signaturen sich in einigen Punkten unterscheiden, sollten Sie sich darüber im Klaren sein, wann Sie welche Art von Unterschrift verwenden sollten, damit Sie die angemessenen Technologieentscheidungen treffen können. So müssen Sie beispielsweise Aspekte wie die geografische Region oder Branche für den jeweiligen Anwendungsfall erwägen.

Wann Sie eine elektronische Signatur verwenden sollten

eSignatures dokumentieren die Absicht und die Verpflichtung der Unterschreibenden. Daher sind sie eine einfache Möglichkeit für Vertragsunterzeichnungen. Beispiele für Anwendungsfälle sind:
● Arbeitsverträge von der Personalabteilung
● Geheimhaltungsvereinbarungen (NDAs)
● Verträge mit Drittanbietern
● Kaufverträge
● Kreditanträge
● Cookie-Benachrichtigungen auf einer kundenorientierten Webseite

Wann Sie eine digitale Signatur verwenden sollten

Digitale Signaturen authentifizieren die Identität der Unterschreibenden, weshalb sie robustere Sicherheit für sensible Daten bieten. Falls Ihr Unternehmen in einer stark regulierten Branche tätig ist, stellen digitale Signaturen die für Sie bessere Lösung dar, selbst für Verträge.

Beispiele für Anwendungsfälle beinhalten:
● Dokumente, die Gesundheitsdaten enthalten und durch Bestimmungen wie das Gesundheitsversicherungsübertragbarkeits- und Verantwortungsgesetz (Health Insurance Portability and Accountability Act, HIPAA) oder das Patientendaten-Schutz-Gesetz reguliert werden
● Neue Kontounterlagen eines Finanzdienstleisters
● An eine Regierungsbehörde gesendete Steuerformulare

Sind digitale und elektronische Signaturen rechtsverbindlich?

Die Antwort auf diese Frage lautet ehrlich gesagt: „Es kommt drauf an.“ Dies mag zwar nicht die Antwort sein, die Sie gerne hören möchten, aber Sie sollten sich genaustens darüber klar sein, wann und unter welchen Umständen die jeweilige Signaturart rechtsverbindlich ist.

Die Rechtsmäßigkeit und Regelung von Signaturen

Ihr geografischer Standort stellt den Ausgangspunkt dar, um die Rechtsmäßigkeit und aufsichtsrechtlichen Anforderungen bezüglich der Verwendung digitaler und elektronischer Signaturen zu bestimmen.

Einige aktuelle Gesetze, die die Rechtsverbindlichkeit von digitalen und elektronischen Signaturen regeln, beinhalten:
● US Electronic Signatures in Global and National Commerce (ESIGN) Act
● US Uniform Electronic Transactions Act (UETA) (US)
● US Food and Drug Administration (FDA) Code of Federal Regulations Title 21 Part 11
● Elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen (IVT), auch als European Union Electronic Identification, Authentication, and Trust Services (eIDAS) bekannt
● United Kingdom Electronic Identification, Authentication, and Trust Services (UK eIDAS)
● UK Electronic Communications Act (ECA 2000)
● UK Electronic Identification and Trust Services for Electronic Transactions Regulations 2016
● Schweizerisches Bundesgesetz über die elektronische Signatur (ZertES)
● Schweizerisches Obligationenrecht (OR)
● Mustergesetz der Kommission der Vereinten Nationen für internationales Handelsrecht über elektronische Signaturen (engl. United Nations Model Electronic Signature Law)

Zusätzlich sollten Sie überprüfen, ob für Ihr Bundesland oder Ihren Kanton Gesetze mit strengeren Auflagen als die der staatlichen Gesetze gelten.

Sicherheitserwägungen für Unterschriften

Sobald Sie die aufsichtsrechtlichen Anforderungen kennen, sollten Sie untersuchen, wie sicher die Dokumente sein sollten oder ob Sie ein Datenschutzgesetz befolgen müssen.

Ihre Erwägungen sollten u. a. Folgendes beinhalten:
● Die Art der im Dokument enthaltenen Daten
● Den Bedarf, die Identität der Unterschreibenden zu verifizieren
● Die Wichtigkeit der Integrität des Dokuments

Ein Arbeitsvertrag kann z. B. Folgendes beinhalten:
● Name
● Anschrift
● Staatlich ausgestellter Identifikationsnachweis, wie eine Sozialversicherungsnummer
● Geburtsdatum
● Bankkontoinformationen für die Lohnabrechnung

Währenddessen würde ein Geschäftsvertrag den Namen und die Anschrift des Unternehmens beinhalten, die beide öffentlich zugänglich sind.

Schützen Sie digital signierte Dokumente an drei wichtigen Punkten

Unterschriebene Dokumente sind für Ihr Unternehmen geschäftskritisch. Zusätzlich wünschen Sie sich einen effizienten Signaturprozess. Daher ist es sowohl für Sie als auch für den Auftragnehmer nicht rentabel, wenn letzterer persönlich für die Unterzeichnung eines Dokuments in Ihrer Firma erscheinen muss. Egal, ob Sie sich letztendlich für eine digitale oder elektronische Signatur entscheiden: Sie müssen die Dokumente angemessen schützen.

Zum Zeitpunkt der Unterschrift

Die meisten Signaturplattformen bieten diverse Kontrollfunktionen, die Ihnen einen Einblick darin gewähren, wer auf das Dokument Zugriff hat, wie z. B.:
● IP-Adresse
● Gerät und/oder Betriebssystem
● Nutzer-ID
● Zeitstempel
● Standort
● Signaturstatus

Während der Speicherung

Abhängig von der Art des Dokuments gelten für diese wahrscheinlich gesetzliche oder behördliche Aufbewahrungspflichten. Um die gespeicherten Dokumente zu schützen, sollten Sie Folgendes erwägen:
● At-Rest-Datenverschlüsselung
● Zugriffsbeschränkung gemäß dem Prinzip der minimalen Rechtevergabe (Principle of Least Privilege, POLP)
● Zugriffskontrollen
● Wasserzeichen als Authentizitätsnachweis
● Unterbindung von unbefugtem Datentausch

Auf Mobilgeräten

Es liegt heutzutage in der Natur von Business, dass Mitarbeiter nicht den ganzen Tag vorm Computer sitzen möchten, um auf ein per E-Mail gesendetes Dokument zu warten. Daher sollten Sie sicherstellen, dass alle auf einem Mobilgerät unterschriebenen Dokumente ebenfalls geschützt sind.

Um auf einem Mobilgerät unterschriebene Dokumente zu sichern, sollten Sie Folgendes erwägen:
● In-Transit-Datenverschlüsselung
● Erforderliche Nutzerauthentifizierung
● Zugriffskontrollen für Dokumente

Tresorit eSign: Digitale Dokumentsignaturen mit integrierten Workflows

Wenn Sie Personen dazu bringen, Dokumente digital zu unterschreiben, bietet dies nicht nur eine bessere Nutzererfahrung für alle Beteiligten, sondern spart ihnen auch Zeit bei der Ausführung des Prozesses. Mit Tresorit eSign können Sie Dokumentsignaturen direkt in Ihre bestehenden Arbeitsabläufe integrieren – so haben Sie einen zentralen Ort zum Senden, Sammeln, Nachverfolgen und Sichern von Dokumenten.

Mithilfe von Tresorits sicherem Workspace können Sie den Signaturprozess für Dokumente beschleunigen und gleichzeitig für Sicherheit sorgen – dank differenzierter Zugriffskontrollen und detaillierten Zugriffsprotokollen. Tresorit eSign schützt Dokumente während des Signaturvorgangs, weil Sie genauen Einblick darin haben, wer das Dokument wann und von wo aus unterschreibt. Da Tresorit eSign vollständig in unseren sicheren Workspace integriert ist, verfügen Sie über einen zentralen Speicherort mit Ende-zu-Ende-Verschlüsselung, inklusive der Möglichkeit, auf Mobilgeräten unterschriebene Dokumente zu schützen.

Um zu erfahren, wie Tresorit eSign Ihnen eine schnelle, sichere und transparente digitale Signatur für Dokumente ermöglicht, kontaktieren Sie uns für eine Demonstration.