Qualifizierte elektronische Signatur: 10 Fakten, die Sie kennen müssen

Wie man die qualifizierte elektronische Signatur einsetzt

Eine Businesswelt, die sich zunehmend ins Internet verlagert, oder Mitarbeiter, die im Homeoffice arbeiten: Oft ist das elektronische Unterzeichnen von wichtigen Dokumenten dem langsamen Postweg vorzuziehen. Die qualifizierte elektronische Signatur eignet sich dann, wenn höchste Sicherheitsstandards gefragt sind. Hier klären wir die zehn wichtigsten Fragen zur qualifizierten elektronischen Signatur.

Einfach und rechtssicher elektronisch unterschreiben. So funktioniert es mit Personio!

Was ist eine qualifizierte elektronische Signatur?

Die qualifizierte elektronische Signatur (kurz: QES) ist die sicherste Form der elektronischen Signatur und dem Gesetz nach mit der Unterschrift von Hand gleichgestellt. Das gilt laut Art. 25 Abs. 2 eIDAS-Verordnung für alle EU-Mitgliedsstaaten. Die QES besitzt alle Merkmale der fortgeschrittenen elektronischen Signatur und basiert zudem auf einem einzigartigen Zertifikat, das ihre Gültigkeit zweifelsfrei belegt. 

Mit der qualifizierten elektronischen Signatur können Unternehmen und Institutionen ihre Identität beim elektronischen Datenverkehr, z. B. bei Rechtsgeschäften im Internet, nachweisen.

Welche Anforderungen muss die QES erfüllen?

Aus der eIDAS-Verordnung, die den Umgang mit elektronischen Signaturen und Vertrauensdiensten in der EU regelt, ergeben sich folgende Anforderungen an die qualifizierte elektronische Signatur:

  1. Sie ist Unterschreibenden eindeutig zugeordnet. 
  2. Sie ermöglicht dessen Identifizierung zweifelsfrei.
  3. Sie wird mithilfe einer qualifizierten elektronischen Signaturerstellungseinheit erstellt. 
  4. Sie ist so konzipiert, dass man eine nachträgliche Veränderung der Daten in der Signatur erkennen kann.
  5. Sie beruht auf einem qualifizierten Zertifikat für elektronische Signaturen.

E-Signaturen rechtssicher nutzen

In dieser Webinar-Aufzeichnung erklärt Rechtsanwalt Dr. Brummer genau, wie Sie elektronische Unterschriften richtig einsetzen.

Wie sieht eine qualifizierte elektronische Signatur aus?

Die qualifizierte und die fortgeschrittene elektronische Signatur sind aus technischer Perspektive identisch, jedoch wird bei der QES zusätzlich die Identität des Unterzeichnenden durch den anerkannten Zertifizierungsdienst garantiert, der die qualifizierte Signatur ausstellt.

Wie funktioniert die Verschlüsselung der QES?

Bei der elektronischen Unterschrift wird dem Unterschreibenden ein privater Signaturschlüssel zugewiesen, der eine starke kryptographische Verschlüsselung aufweist. Dieser private Schlüssel kann nur mit einem eindeutig dazu passenden öffentlichen Schlüssel gelesen werden. Das qualifizierte Zertifikat des Trust Service Providers verbindet beide Schlüssel miteinander, um die Identität der unterzeichnenden Person zu bestätigen (§ 2 Nr. 6 Signaturgesetz).

Gibt es E-Mails mit qualifizierter elektronischer Signatur?

Qualifizierte Signaturen sind ihrem handschriftlichen Pendant gleichgestellt und werden somit nur auf Dokumenten und nicht in E-Mails eingesetzt. Die digitalen Signaturen, die man manchmal in E-Mails finden, sind eher mit einem Briefsiegel vergleichbar. Sie können beweisen, ob eine E-Mail wirklich von einem bestimmten Absender verschickt wurden oder ob ihre Inhalte während des Versands manipuliert wurden. Bestimmte Systeme sind in der Lage, bei eingehenden E-Mails die Signatur einer E-Mail und die qualifiziert signierten Dokumente im E-Mail-Anhang zu prüfen.

Vereinfachen Sie Ihre HR-Arbeit mit der elektronischen Signatur

Unterzeichnen Sie Arbeitsverträge und Mitarbeiterdokumente im Nu digital und rechtskräftig.

Wie lässt sich eine qualifizierte elektronische Signatur prüfen?

Der Empfänger oder die Empfängerin erhält ein elektronisch unterzeichnetes Dokument inklusive eines öffentlichen Schlüssels. Um die Gültigkeit der qualifizierten elektronischen Signatur zu prüfen, müssen die Adressaten nachverfolgen, von wem das Dokument stammt, und sicherstellen, dass dessen Inhalt nicht verändert wurde. Mit dem beigefügten öffentlichen Schlüssel lässt sich die übermittelte elektronische Signatur auslesen. Stimmen die Werte des privaten Schlüssels des Absenders und des öffentlichen Schlüssels überein, ist das signierte Dokument unverändert übermittelt worden.

Wie bekommt man eine qualifizierte elektronische Signatur?

Um eine qualifizierte elektronische Signatur zu erstellen, ist eine Signaturkarte nötig, die mit einem einzigartigen, fälschungssicheren elektronischen Zertifikat versehen ist. 

Das Zertifikat muss von einem anerkannten Zertifizierungsdienst (engl. Trust Service Provider) ausgestellt werden, der die Sicherheitsansprüche des deutschen Signaturgesetzes abdeckt (nachlesbar in §§ 4 bis 14 Signaturgesetz). Der Zertifizierungsdienst erzeugt eine sichere Signaturerstellungseinheit, die der Trust Service Provider aus der Ferne steuern kann. So lassen sich Manipulationen bei der qualifizierten elektronischen Signatur ausschließen, die andernfalls an Lesegeräten und Co. vorgenommen werden könnten.

Anerkannte Anbieter für Zertifizierungsdienste in Deutschland sind z. B.

  • D-Trust (Bundesdruckerei)
  • Bundesnotarkammer
  • Signtrust (Deutsche Post)
  • S-Trust (Deutscher Sparkassen Verlag)
  • Telesec (Deutsche Telekom)
  • TC Trustcenter

In Personio erstellen und verwalten Sie Dokumente einfach in der digitalen Personalakte und unterzeichnen rechtssicher mit einer fortgeschrittenen elektronischen Signatur.

Was braucht man, um eine qualifizierte elektronische Signatur zu erstellen?

Zur Erstellung einer qualifizierten elektronischen Signatur sind die Signaturkarte eines Zertifzierungsanbieters (siehe oben), ein geeignetes Kartenlesegerät und eine Signatursoftware erforderlich.

Hier ein Überblick über die Schritte im QES-Verfahren

  • Wählen Sie einen geeigneten Zertifizierungsdienst aus.
  • Registrieren Sie sich dort.
  • Organisieren Sie die erforderliche Hard- und Software.
    • Kartenlesegerät
    • Signaturkarte
    • Software für qualifizierte elektronische Signatur
  • Fügen Sie eine digitale Unterschrift auf Ihrem Dokument ein.
  • Identifizieren Sie sich eindeutig, z. B. durch PostIdent, damit ein qualifiziertes Zertifikat ausgestellt werden kann.

Laut der Definition in der eIDAS-Verordnung können auch cloudbasierte Signaturen die Voraussetzungen für eine qualifizierte Signatur erfüllen. In diesem Fall wird keine Signaturkarte benötigt. Die Zertifikate sind dort auf einem Server gespeichert und die qualifizierte elektronische Signatur kann im Auftrag des Unterschreibenden von einem qualifizierten Zertifizierungsdienst aus der Ferne verwaltet werden.

Was kostet die Ausstattung zur qualifizierten elektronischen Signatur?

Für ein Kartenlesegerät, Signaturkarte und Zertifikat für eine qualifizierte elektronische Signatur mit einer Gültigkeitsdauer von drei Jahren zahlen Sie normalerweise zwischen 120 und 160 Euro.

Wann brauchen HR-Abteilungen die qualifizierte elektronische Signatur?

Ein Großteil der Anwendungsfälle im HR lässt sich über die einfache oder die fortgeschrittene elektronische Signatur abbilden. 

Die qualifizierte elektronische Signatur brauchen Sie im Wesentlichen bei:

Auf dieser Liste sehen Sie, welche arbeitsrechtlichen Dokumente Sie mit der einfachen, fortgeschrittenen oder fortgeschrittenen E-Signatur unterzeichnen können.

Grundsätzlich genüge beim Vertragsschluss eine normale elektronische Signatur, erklärt der Anwalt für Arbeitsrecht, Dr. Paul Brummer. Unzureichend sei sie nur dann, wenn ihre Nutzung im Gesetz eindeutig ausgeschlossen oder eine qualifizierte elektronische Signatur vorgeschrieben ist. 

Die qualifizierte elektronische Signatur ist zwar die sicherster Form der E-Signatur, jedoch erfordert sie bei der ersten Implementierung immer eine persönliche Identifizierung. Im Anschluss daran ist eine Zwei-Faktor-Authentifizierung, etwa mittels einer Signaturkarte, nötig. 

Bei der Frage, welche Art der Signatur für Sie relevant ist, gilt es also nach den gesetzlichen Vorschriften und dem konkreten Anwendungsfall abzuwägen.

Disclaimer:

Wir machen darauf aufmerksam, dass unser Web-Angebot lediglich dem unverbindlichen Informationszweck dient und keine Rechtsberatung im eigentlichen Sinne darstellt. Der Inhalt dieses Angebots kann und soll eine individuelle und verbindliche Rechtsberatung, die auf Ihre spezifische Situation eingeht, nicht ersetzen. Insofern verstehen sich alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit.

Die Inhalte unserer Internetseite – vor allem die Rechtsbeiträge – werden mit größter Sorgfalt recherchiert. Dennoch kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen übernehmen. Die Informationen sind insbesondere auch allgemeiner Art und stellen keine Rechtsberatung im Einzelfall dar. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte unbedingt einen Rechtsanwalt.

Elektronisch unterschreiben mit Personio

Hier mehr erfahren