Was ist eine qualifizierte elektronische Signatur (QES)?

In der heutigen digitalen Welt ist es wichtig, die Authentizität und Integrität von elektronischen Dokumenten sicherzustellen. Eine Möglichkeit, dies zu erreichen, ist die Verwendung einer qualifizierten elektronischen Signatur (QES). Dieser Artikel erläutert die Definition und die Grundlagen einer QES, die verschiedenen Anwendungsbereiche und Vorteile, die technischen Komponenten , den Prozess der Erstellung einer QES sowie die rechtlichen Aspekte der QES auf nationaler und europäischer Ebene.

Definition und Grundlagen der QES

Die qualifizierte elektronische Signatur ist eine besondere Art der elektronischen Signatur, die das höchstmögliche Maß an Sicherheit bietet. Sie gewährleistet die Authentizität, Integrität und Vertraulichkeit elektronischer Dokumente und ist der handschriftlichen Unterschrift rechtlich gleichgestellt.

Die QES basiert auf hochentwickelten kryptographischen Verfahren und erfüllt bestimmte gesetzliche Anforderungen und Standards, um ein hohes Maß an Vertrauenswürdigkeit zu erreichen.

Gesetzliche Anforderungen und Standards

Gemäß der europäischen Verordnung eIDAS (EU) Nr. 910/2014 müssen qualifizierte elektronische Signaturen bestimmten Anforderungen genügen. Dazu gehören unter anderem:

• Die Signatur muss mit einem qualifizierten Signaturerstellungswerkzeug erstellt werden
• Die Signaturen müssen auf einem qualifizierten Zertifikat, das von einem akkreditierten Zertifizierungsdiensteanbieter ausgestellt wurde, basieren
• Das Schlüsselpaar, das zur Signierung und Prüfung der Signatur verwendet wird, muss ausschließlich dem Unterzeichner zugänglich sein
• Die Signatur muss mit dem Inhalt des Dokuments so verknüpft sein, dass jede nachträgliche Änderung erkennbar ist

Um diese Anforderungen zu erfüllen, müssen verschiedene kryptografische Verfahren angewendet werden. Dazu gehört beispielsweise die Verwendung von asymmetrischen Verschlüsselungsverfahren, bei denen ein öffentlicher Schlüssel zur Verschlüsselung und ein privater Schlüssel zur Entschlüsselung verwendet wird.

Zusätzlich müssen die Zertifikate, die zur Erstellung der Signatur verwendet werden, bestimmte Anforderungen erfüllen. So müssen sie beispielsweise von einem akkreditierten Zertifizierungsdiensteanbieter ausgestellt werden und eine bestimmte Gültigkeitsdauer haben.

Unterschied zwischen einfacher, fortgeschrittener und qualifizierter elektronischer Signatur

Es gibt verschiedene Stufen elektronischer Signaturen, wobei die qualifizierte elektronische Signatur (QES) die höchste Stufe darstellt. Einige Unterschiede dieser Stufen sind:

1. Einfache elektronische Signatur (EES): Hierbei handelt es sich um eine beliebige elektronische Methode, die eine Person zur Kenntlichmachung ihrer Identität verwendet.
2. Fortgeschrittene elektronische Signatur (FES): Diese bieten ein höheres Sicherheitsniveau als einfache Signaturen und sind mit kryptografischen Verfahren an den Unterzeichner gebunden.
3. Qualifizierte elektronische Signatur (QES): Bei der höchsten Stufe erfüllt die Signatur alle oben genannten gesetzlichen Anforderungen und hat die gleiche rechtliche Wirkung wie eine handschriftliche Unterschrift.

Die Signaturen sehen oberflächlich fast gleich aus, aber der Status der Signatur und ihre Verbindlichkeit sind sehr unterschiedlich. Nur die qualifizierte elektronische Signatur, ist rechtlich mit einer handschriftlichen Unterschrift vergleichbar (siehe § 4 Absatz 1 österreichisches Signatur- und Vertrauensdienstegesetz SVG).

Detaillierte Informationen zu den Standards finden Sie hier: QES, FES, EES: Alle eSignatur-Standards im Überblick

Der Einsatz qualifizierter elektronischer Signaturen bietet zahlreiche Vorteile. So können beispielsweise Verträge und andere Dokumente schnell und einfach online unterschrieben werden, ohne dass physische Kopien ausgedruckt werden müssen. Dies spart Zeit und Kosten und ist gerade in der heutigen digitalen Welt von Vorteil.

Ein weiterer Vorteil der qualifizierten elektronischen Signatur ist die hohe Sicherheit. Da die Signatur auf kryptographischen Verfahren basiert und bestimmte gesetzliche Anforderungen erfüllen muss, ist sie extrem schwer zu fälschen oder zu manipulieren. Damit ist die Integrität und Vertraulichkeit elektronischer Dokumente gewährleistet.

Anwendungsbereiche und Vorteile der QES

Die Anwendungsbereiche der qualifizierten elektronischen Signatur sind vielfältig und reichen von Verträgen und Rechtsdokumenten über E-Government und öffentliche Verwaltung bis hin zum Finanz- und Bankwesen. Dabei bietet die QES einige wichtige Vorteile:

Verträge und rechtliche Dokumente

Die Verwendung von QES in Verträgen und Rechtsdokumenten hat den Vorteil, dass sie die Anforderungen an eine handschriftliche Unterschrift erfüllen. Dies ermöglicht eine schnellere und effizientere Vertragsabwicklung, insbesondere bei grenzüberschreitenden Geschäften, und spart somit Zeit und Kosten.

Ein weiterer Vorteil der QES ist die Möglichkeit, mehrere Dokumente gleichzeitig zu unterzeichnen. Dies ist insbesondere bei umfangreichen Verträgen oder bei der Unterzeichnung von Verträgen durch mehrere Parteien von Vorteil.

E-Government und öffentliche Verwaltung

Auch in diesem Bereich können elektronische Behördendienste die Effizienz und Transparenz von Verwaltungsverfahren erheblich verbessern. Sie ermöglicht es Bürgern und Unternehmen, rechtsgültige Dokumente und Anträge online einzureichen und bietet damit eine einfache und zeitsparende Lösung für alltägliche Behördengänge.

Darüber hinaus kann die QES auch für die elektronische Abwicklung von Steuererklärungen und anderen Verwaltungsverfahren genutzt werden. Dies ist nicht nur für die Bürgerinnen und Bürger eine Erleichterung, sondern auch für die Verwaltung selbst, da Dokumente schneller und effizienter bearbeitet werden können.

Finanz- und Bankwesen

Im Finanz- und Bankensektor spielen die Sicherheit und Vertraulichkeit von Transaktionen eine entscheidende Rolle. Durch den Einsatz von QES wird die Sicherheit elektronischer Transaktionen erhöht und damit Betrug und Cyberkriminalität vorgebeugt.

Darüber hinaus kann die QES auch bei der Eröffnung von Bankkonten oder der Beantragung von Krediten eingesetzt werden. Dies ermöglicht eine schnelle und effiziente Abwicklung, ohne dass der Kunde persönlich in der Bankfiliale erscheinen muss.

Datenschutz und Sicherheit

Durch kryptographische Verfahren bietet die QES ein hohes Maß an Sicherheit, sowohl bei der Authentifizierung der Unterzeichner als auch beim Schutz vor nachträglicher Veränderung der Dokumente. Dadurch wird die Privatsphäre der Vertragspartner gewahrt und die Vertraulichkeit der Transaktionen sichergestellt.

Ein weiterer Vorteil der QES ist die Möglichkeit, die Signatur von Dokumenten zeitlich zu begrenzen. Dies ist besonders nützlich, wenn Verträge unterzeichnet werden, die nur für einen begrenzten Zeitraum gültig sind.

Insgesamt bietet die QES eine schnelle, effiziente und sichere Lösung für das Signieren von Dokumenten in verschiedenen Bereichen. Sie erhöht die Transparenz und Sicherheit von Verwaltungsverfahren und erleichtert den Prozess für Bürger und Unternehmen gleichermaßen.

Technische Komponenten einer QES

Um eine qualifizierte elektronische Signatur zu erstellen und zu prüfen, sind einige technische Komponenten erforderlich:

Signaturerstellungseinheit (SSE)

Die Signaturerstellungseinheit ist das Werkzeug oder die Software, mit der die QES erstellt wird. Diese Einheit muss bestimmte Anforderungen erfüllen, um als qualifiziertes Signaturerstellungswerkzeug eingestuft zu werden.

Die SSE ist ein wichtiger Bestandteil einer QES, da sie den Signaturerstellungsprozess ermöglicht. Die SSE muss sicherstellen, dass die Signatur nur von der dazu berechtigten Person erstellt werden kann. Zu diesem Zweck kann die SSE beispielsweise biometrische Daten wie Fingerabdrücke oder Gesichtserkennung verwenden.

Die SSE ist auch dafür verantwortlich, dass die Signatur unveränderbar ist. Dies wird durch den Einsatz kryptographischer Verfahren erreicht, die sicherstellen, dass die Signatur nicht manipuliert werden kann.

Signaturprüfeinheit (SPF)

Die Signaturprüfeinheit ist für die Prüfung der QES zuständig. Sie überprüft die Signatur anhand des öffentlichen Schlüssels des Unterzeichners, um sicherzustellen, dass die Signatur und das zugrunde liegende Dokument echt und unverändert sind.

Die SPF ist ein wichtiger Bestandteil einer QES, da sie sicherstellt, dass die Signatur gültig und vertrauenswürdig ist. Die SPF überprüft die Signatur anhand des im Zertifikat enthaltenen öffentlichen Schlüssels des Unterzeichners. Wenn die Signatur gültig ist, gilt das Dokument als authentisch und unverändert.

Die SPF ist auch dafür verantwortlich, dass die Integrität des Dokuments erhalten bleibt. Dies wird durch den Einsatz kryptographischer Verfahren erreicht, die sicherstellen, dass das Dokument nicht manipuliert wurde.

Zertifizierungsdiensteanbieter (ZDA)

Zertifizierungsdiensteanbieter sind Organisationen, die qualifizierte Zertifikate zur Unterstützung der QES ausstellen. Diese Zertifikate enthalten Informationen über den Unterzeichner und seinen öffentlichen Schlüssel. Um als qualifizierter Zertifizierungsdiensteanbieter zu gelten, muss die Organisation von einer nationalen Akkreditierungsstelle akkreditiert sein.

Die von einem Zertifizierungsdiensteanbieter ausgestellten Zertifikate sind ein wichtiger Bestandteil einer QES. Sie enthalten Informationen über den Unterzeichner und seinen öffentlichen Schlüssel, die zur Überprüfung der Signatur verwendet werden.

Die Zertifikate müssen sicherstellen, dass der Unterzeichner tatsächlich die Person ist, für die er sich ausgibt. Dazu können verschiedene Verfahren, wie z.B. die Überprüfung von Ausweisdokumenten oder die persönliche Identifizierung, verwendet werden.

Prozess der QES-Erstellung

Bevor eine qualifizierte elektronische Signatur erstellt werden kann, muss ein mehrstufiger Prozess durchlaufen werden, der die Identitätsprüfung und Authentifizierung, die Signaturerstellung und -verschlüsselung sowie die Signaturprüfung und -validierung umfasst.

Wie bei vielen anderen elektronischen Rechts- oder Bankgeschäften muss die eigene Identität zu 100 % sicher nachgewiesen werden. Dies geschieht zunächst durch ein kurzes (ca. 10-minütiges) Video-Ident-Verfahren, bei dem Ihre persönlichen Daten und auch Ihre biometrischen Daten von einem staatlich anerkannten Dienst (Trust Service Provider) überprüft werden.

Anschließend können Sie jede von Ihnen geleistete digitale Unterschrift zusätzlich mit einer Smartphone-App verifizieren. Neben Ihrer E-Mail-Adresse, die Sie ohnehin für das Signieren und Abrufen von Signaturen benötigen, wird das Mobiltelefon so zu Ihrem zweiten Sicherheitsfaktor.

Eine detaillierte Übersicht der einzelnen Schritte finden Sie hier: So erhalten Sie eine (qualifizierte) elektronische Signatur (QES)

Identitätsprüfung und Authentifizierung

Um ein qualifiziertes Zertifikat zu erhalten, muss der Unterzeichner zunächst seine Identität gegenüber dem Zertifizierungsdiensteanbieter nachweisen. Dies kann persönlich, online oder per Video-Identifikation erfolgen. Nach erfolgreicher Identitätsprüfung erhält der Unterzeichner das Zertifikat.

Die Identitätsprüfung ist ein wichtiger Schritt, um sicherzustellen, dass die Person, die die Signatur erstellt, auch tatsächlich die Person ist, die sie vorgibt zu sein. Es gibt verschiedene Methoden, um die Identität des Unterzeichners zu überprüfen. Dazu gehören beispielsweise die Überprüfung von Ausweisdokumenten oder die Abfrage von persönlichen Daten.

Die Authentifizierung ist ein weiterer wichtiger Schritt, um sicherzustellen, dass die Signatur von der Person erstellt wurde, die das Zertifikat besitzt. Dabei wird die Identität des Unterzeichners durch die Verwendung von Passwörtern oder anderen Sicherheitsmechanismen bestätigt.

Erstellung und Verschlüsselung der Signatur

Mit dem qualifizierten Signaturerstellungswerkzeug erstellt der Unterzeichner seine QES unter Verwendung seines privaten Schlüssels. Das Werkzeug verknüpft die Signatur mit dem Dokument und stellt die Integrität und Authentizität der Daten sicher.

Die Erstellung und Verschlüsselung der Signatur ist ein komplexer Vorgang, der mehrere Schritte umfasst. Zunächst wird der private Schlüssel des Unterzeichners verwendet, um die Signatur zu erstellen. Anschließend wird die Signatur mit dem Dokument verknüpft und verschlüsselt, um sicherzustellen, dass sie nicht manipuliert werden kann.

Die Verschlüsselung der Signatur ist ein wichtiger Schutzmechanismus, der sicherstellt, dass die Signatur nicht von Unbefugten gelesen oder manipuliert werden kann. Dabei werden verschiedene Verschlüsselungstechnologien eingesetzt, um die Sicherheit der Signatur zu gewährleisten.

Verifikation und Validierung der Signatur

Zur Prüfung der Signatur verwendet die Signaturprüfeinheit den im qualifizierten Zertifikat enthaltenen öffentlichen Schlüssel des Unterzeichners. Sie prüft die Signatur und stellt sicher, dass das Dokument unverändert ist und nicht nachträglich verändert wurde.

Die Verifizierung und Validierung der Signatur ist ein wichtiger Schritt, um sicherzustellen, dass die Signatur gültig und vertrauenswürdig ist. Dabei wird die Signatur mit dem Dokument verglichen, um sicherzustellen, dass keine Manipulationen oder Änderungen vorgenommen wurden.

Die Signaturprüfeinheit verwendet verschiedene Technologien, um die Gültigkeit der Signatur zu überprüfen. Dazu gehören z.B. digitale Zertifikate, Hashwerte und kryptographische Verfahren.

Rechtliche Aspekte der QES

Im europäischen Raum wurden mit der eIDAS-Verordnung (EU) Nr. 910/2014 umfassende rechtliche Grundlagen für die QES geschaffen. Diese Regelungen betreffen unter anderem die Anerkennung, Haftung und grenzüberschreitende Nutzung von QES:

EU-Verordnung eIDAS

Die eIDAS-Verordnung schafft einheitliche Vorschriften für elektronische Identifizierung und Vertrauensdienste in der EU. Sie legt auch die Anforderungen für QES fest, damit diese im gesamten EU-Raum anerkannt werden.

Haftung und Beweiswert

Qualifizierte elektronische Signaturen haben die gleiche Rechtswirkung wie handschriftliche Unterschriften und genügen somit den höchsten rechtlichen Anforderungen. Im Streitfall tragen sie einen erhöhten Beweiswert und können somit den Vertragsparteien mehr Rechtssicherheit bieten.

Anerkennung und grenzüberschreitende Nutzung

Ein zentraler Aspekt der eIDAS-Verordnung ist die gegenseitige Anerkennung von QES und anderen elektronischen Vertrauensdiensten innerhalb der EU. Dies ermöglicht die reibungslose Nutzung qualifizierter elektronischer Signaturen über Ländergrenzen hinweg und erleichtert so den elektronischen Datenverkehr im Binnenmarkt.