Die “eIDAS-Verordnung” (englisch für Electronic Identification, Authentication and Trust Services) ist eine Verordnung der EU (Nr. 910/2014 des Europäischen Parlaments und des Rates) und regelt Themen wie die elektronische Identifizierung und die Aufgaben und Rollen von Vertrauensdienste. Unter anderem regelt diese Verordnung Themen rund um das elektronische Signieren und hier ist insbesondere die Rolle der qualifizierten elektronischen Signatur von besonderer Bedeutung. Diese Art der elektronischen Signatur ist rechtlich der handschriftlichen Unterschrift gleichgestellt.

In diesem Artikel behandeln wir, wie digitale Signaturlösungen die Anforderungen an die eIDAS-Verordnung erfüllen und wie Empfänger:innen von elektronisch signierten Dokumenten eine gültige Signatur erkennen können.

Erfüllung der eIDAS-Konformität

Die eIDAS-Verordnung sieht verschiedene Arten von digitalen Signaturen vor. Diese unterscheiden sich in Ihrer Form und ihrer Eignung. Insbesondere bietet die qualifizierte elektronische Signatur einen besonders hohen Standard. Digitale Signaturlösungen die in Europa eingesetzt werden sollten unbedingt diesen Standard unterstützen, da nur so die bei manchen Verträgen oder Dokumenten gesetzlich geforderte Schriftlichkeitserfordernis garantiert ist. Für eine qualifizierte elektronische Signatur muss sich die unterzeichnende Person mit einem gültigen Reisepass oder Personalausweis identifizieren und die Signatur über einen zweiten Faktor, meist das Mobiltelefon, bestätigen. Die Identifikation ist in der Regel nur einmal erforderlich und dann für einige Jahre gültig. Die Identifikation und die Signatur werden durch Vertrauensdiensteanbieter durchgeführt bzw. erstellt. Dies sind bestimmte Organisation (staatlich oder privatwirtschaftlich), an die hohe rechtliche und regulatorische Anforderungen gestellt werden.

Wichtig ist hierbei, dass diese Organisationen auf der EU Trusted List aufgeführt sind -- eine EU-weit gültige Liste von registrierten Vertrauensdiensteanbietern. Die Anbieter sind auch berechtigt, das EU-Vertrauenssiegel zu verwenden.

Gültige Signaturen erkennen

Die visuelle Darstellung von elektronischen Signaturen am Dokument kann verschiedene Ausprägungen haben. Optisch ist es nicht möglich zu erkennen, ob ein Dokument gültig elektronisch signiert wurde und ob es sich um eine qualifizierte elektronische Signatur handelt. Diese Prüfung ist im Geschäftsverkehr jedoch unerlässlich, da nur so sichergestellt werden kann, dass ein erhaltenes Dokument gültig signiert wurde. Die Prüfung beinhaltet im Grunde folgende wesentliche Punkte:

• Prüfung der Integrität des Dokuments, d.h. das Sicherstellen, dass das Dokument nach dem Unterschreiben nicht verändert wurde;
• Prüfung des Zertifikats, d.h. das Sicherstellen, dass das Dokument mit einem gültigen Zertifikat von einer bestimmten Person unterzeichnet wurde; und
• Prüfung der Art der Signatur und der Gültigkeit des Zertifikats, d.h. das Sicherstellen, dass es sich um eine qualifizierte elektronische Signatur handelt und dass der Anbieter auf der EU-Vertrauensliste registriert ist.

Die Überprüfung einer elektronischen Signatur erfordert also immer das Vorliegen des Dokuments in digitaler und unveränderter Form. Die Überprüfung ist in vielen Signatur Tools integriert oder kann auf den Webseiten der staatlichen Prüfdienste, z.B. RTR in Österreich, erfolgen.