April 29, 2021

Was ist eine qualifizierte elektronische Signatur?

Luc Lippuner

Sind Sie gerade dabei, den handschriftlichen Unterschrifts-Prozess in Ihrem Unternehmen zu digitalisieren? Gründe dafür gibt es ja genug: allen voran ein gewaltiger Effizienzgewinn dank schnelleren Durchlaufzeiten und tieferen Kosten, Verzicht auf Papier und Unabhängigkeit von Ort und Zeit.

Bei Ihrer Recherche zum Thema ist Ihnen womöglich schon der Begriff der qualifizierten elektronischen Signatur begegnet. Doch was ist damit gemeint? Was ist überhaupt eine elektronische Signatur? In diesem Blog-Artikel wollen wir etwas mehr Licht ins Dunkel bringen. 

Ist die elektronische und digitale Signatur ein und dasselbe?

Nein. Obwohl die Begriffe in der Regel als Synonyme verwendet werden, gilt es folgenden Unterschied zu beachten: 

  • Die elektronische Signatur ist in erster Linie ein juristischer Begriff. Sie steht für elektronische Daten, die mit anderen elektronischen Daten in einer bestimmten Form verknüpft und von einem Unterzeichnenden zum Signieren verwendet werden. Das Gesetz unterscheidet zwischen verschiedenen Standards der elektronischen Signatur, die mit mehr oder weniger Sicherheit Rückschluss auf die Identität des Unterzeichnenden und die Integrität des signierten Dokuments zulassen. 
  • Die digitale Signatur ist ein mathematisches Verfahren zur Überprüfung der Authentizität von digitalen Nachrichten oder Dokumenten, das auf der asymmetrischen Kryptographie beruht. Mit einer digitalen Signatur lässt sich also eine elektronische Signatur mit hoher Sicherheit erzeugen. 

Das Gesetz erachtet die QES als genauso rechtsgültig wie die handschriftliche Unterschrift (Quelle: Skribble)

In diesem Blog-Artikel werden wir detailliert auf eine Form solcher Signaturen eingehen – die qualifizierte elektronische Signatur oder kurz QES. Einen Vergleich aller rechtlich relevanten E-Signatur-Standards finden Sie hier.

Was ist eine qualifizierte elektronische Signatur?

Die qualifizierte elektronische Signatur ist sozusagen die Rundum-Sorglos-Signatur für höchste Anforderungen an Sicherheit und Compliance, die selbst Versicherungen, Wirtschaftsprüfern, Anwälten, Steuerberatern und Banken genügt. Sie ist der weltweit höchste verfügbare E-Signatur-Standard mit maximaler Beweiskraft, der vor jedem Gericht standhält. Dies ist möglich, indem ein unabhängiger und vom Staat zertifizierter Vertrauensdienste-Anbieter (VDA) wie Swisscom oder GlobalSign ein Zertifikat ausstellt, welches die Authentizität des signierten Dokuments sowie die Identität des Unterzeichnenden garantiert.

Die qualifizierte elektronische Signatur (QES) ist der höchste verfügbare E-Signatur-Standard mit maximaler Sicherheit und Beweiskraft (Quelle: Skribble).

«Die eIDAS-Verordnung der europäischen Union und das schweizerische Signaturgesetz ZertES definieren die QES daher als einzige Form der elektronischen Signatur, welche der handschriftlichen Unterschrift vor dem Gesetz gleichgestellt ist.»

Das bedeutet, dass immer dann, wenn für einen Vertrag von Gesetzes wegen die Schriftform – also eine handschriftliche Unterschrift – verlangt ist, diese in der digitalen Welt durch eine QES ersetzt werden kann. Selbstverständlich darf die QES aus Risikoabwägungen auch für jeden anderen Vertrag verwendet werden, für dessen Zeichnung man sich maximal absichern will. Unternehmen in einem stark reglementierten Umfeld können die QES aus Compliance-Sicht als Standard-Signatur wählen.

Wie funktioniert eine qualifizierte elektronische Unterschrift?

Wer neu ist im Reich der digitalen Signaturen muss sich erst etwas umgewöhnen. Anders als bei der handschriftlichen Unterschrift mit Kugelschreiber gilt im digitalen Bereich nicht das Schriftbild als ausschlaggebend für die Beweiskraft einer sicheren Online-Signatur, sondern das dem PDF angehängte elektronische Zertifikat des Vertrauensdienste-Anbieters (VDA). Im Fall der QES kann das Zertifikat erst ausgestellt werden, nachdem der Unterzeichnende einmalig mittels amtlichem Ausweis identifiziert wurde. Das Zertifikat bestätigt also die Identität des Signierenden, während die Signatur Aufschluss über den Signaturzeitpunkt und die Unversehrtheit des Dokuments gibt. Es garantiert also, dass das PDF seit der Signatur nicht mehr verändert wurde.

Höchste Sicherheit und Datenschutz-Konformität für EU-Unternehmen

Für europäische Firmen, die mit vielen rechtlichen Dokumenten zu tun haben und hohen Wert auf Sicherheit legen, ist die qualifizierte elektronische Signatur die beste Wahl. Wie alle sicheren E-Signaturen wird eine QES mit dem Verfahren der asymmetrischen Kryptographie erstellt.

«Für jede Signatur gibt es einen öffentlichen und einen privaten Schlüssel. Während der öffentliche Schlüssel jedem zugänglich ist und das Prüfen der Signatur ermöglicht, kann die Verwendung des privaten Schlüssels bei Skribble nur vom Unterzeichnenden selbst über eine Zwei-Faktor-Authentifizierung autorisiert werden. So hat lediglich der Zeichnungsberechtigte selbst Zugriff.»

Erklärung zur Grafik: Ein gläserner Safe als sinnbildliche Darstellung der sicheren elektronischen Signatur: Der Vorgang des digitalen Unterschreibens ist in dieser Analogie das Platzieren des zu unterzeichnenden Vertrags im gläsernen Safe. Jeder kann sehen, welche Dokumente vom Unterzeichnenden in den Safe gestellt und damit signiert wurden. Ebenso kann jeder durch die Glaswand prüfen, ob die angebrachten Signaturen gültig sind (öffentlicher Schlüssel). Den Zugang zur Verwendung des privaten Schlüssels zum Safe und damit die alleinige Kontrolle über den Unterschriftsprozess hat allerdings lediglich der Unterzeichnende selber (Quelle: Skribble).

Als europäischer Anbieter bietet Skribble mit seiner QES neben Sicherheit auch Datenschutz auf höchstem Niveau. So erfüllt Skribble die Anforderungen der europäischen Datenschutz-Grundverordnung (DSGVO) und dem Schweizer Datenschutzgesetz (DSG). Das Hosting ist nach ISO 27001 zertifiziert, befindet sich zu 100% auf Servern in der Schweiz und ist auf dem Niveau der Schweizer Banken gesichert. 

Vertrauensdienste-Anbieter garantiert maximale Beweiskraft dank persönlichem Zertifikat

«Die maximale Beweiskraft der QES wird letzten Endes durch den unabhängigen Vertrauensdienste-Anbieter (VDA) garantiert. Dieser bestätigt die Verbindung der Signatur mit einer natürlichen Person via ein persönliches Zertifikat und versiegelt den Signatur-Zeitpunkt mit einem Zeitstempel. Das QES-Zertifikat verknüpft den öffentlichen Schlüssel mit einer eindeutigen Identität.»

Da der VDA als Herausgeber des Zertifikats (z.B. Swisscom) regelmässig von einer Regierungsstelle auditiert und zertifiziert wird, ist die QES-Signatur von Gesetzes wegen unanfechtbar. Eine QES ist also immer persönlich und nicht abstreitbar. Von dieser ganzen technischen Komplexität bekommt der Nutzer bei Skribble allerdings kaum etwas mit. Dank unserer Mission, höchste Sicherheit mit maximaler Benutzerfreundlichkeit zu kombinieren, ist das Anbringen einer QES mit Skribble ein Kinderspiel. In diesem Video sehen Sie, wie einfach das geht.

Das persönliche Zertifikat einer QES bestätigt die Verbindung der elektronischen Signatur mit einer natürlichen Person und generiert so die maximale Sicherheit und Beweiskraft (Quelle: Skribble).

Wer bietet die qualifizierte elektronische Signatur an und was kostet sie?

Es gibt viele Signatur-Anbieter auf dem europäischen Markt, aber nur wenige legen den Fokus auf die eher komplexe QES. DocuSign und Adobe zum Beispiel bieten ab der Stange nur einfache elektronische Signaturen an. Für die fortgeschrittene und qualifizierte elektronische Signatur muss ein Unternehmenskunde zusätzlich einen Vertrag mit einem Vertrauensdienste-Anbieter (VDA) abschliessen, diesen anbinden und separat dafür bezahlen.

Das ist kompliziert, zeitaufwendig und teuer. Nicht so bei Skribble, wo mehrere VDA von der ersten Minute an integriert sind und die QES hohe Priorität hat – so ist sie schon direkt nach der Kontoerstellung als Upgrade-Option ersichtlich und nahtlos in die Nutzerführung integriert. Bei DocuSign ist hingegen selbst nach der individuellen Anbindung eines VDA kein Zeitstempel mit dabei. Stattdessen wird die Rechnerzeit des Nutzers in der Signatur festgehalten.

Gängige Preismodelle für Unternehmenskunden

Die gängigsten Preismodelle sind neben Stückpreisen für Private volumen-basierte Pakete mit einer bestimmten Anzahl inkludierter Signaturen, Nutzer (Seats) oder in Umlauf gegebene Dokumente (Envelopes) für Unternehmen. Die Preise unter den Anbietern variieren je nach Modell stark.

«Da bei vielen Angeboten zudem der Vertrauensdienste-Anbieter (VDA) nicht inkludiert ist, muss ein Unternehmenskunde den Preis für eine QES erst mühsam selber errechnen. Bei Skribble sind die Preise für alle E-Signatur-Standards transparent aufgeschlüsselt und sofort einsehbar.»

Bei der QES von Skribble ist der Vertrauensdienste-Anbieter bereits im Preis eingeschlossen und von Anfang an in den E-Signing-Service integriert (Quelle: Unsplash).

Skribble bietet seinen Unternehmenskunden unlimitierte Seats oder Nutzer – das heisst, dass alle Mitarbeitenden unterschreiben können, auch wenn sie das nur einmal pro Jahr tun. So spart das Unternehmen noch mehr, da alle intern auf die elektronische Signatur umsteigen. Mehr dazu auf unserer Pricing-Seite

Das Preismodell anderer Anbieter wie DocuSign ist pro Seat oder Nutzer. Das bedeutet, dass Unternehmen tendenziell nur Seats für Mitarbeitende lösen, die regelmässig signieren. Alle anderen können nur zum Unterschreiben eingeladen werden, nicht aber selber Signaturen initiieren.

Die qualifizierte elektronische Signatur erfordert eine vorherige Identitätsprüfung

Wer mit der qualifizierten elektronischen Signatur unterschreiben will, muss sich einmalig identifizieren. Das ist mit ein Grund für die hohe Sicherheit und Beweiskraft der QES, war bisher aber auch der grösste Bremser für einen flächendeckenden Siegeszug derselben.

Wer nach EU-Recht auf höchster Stufe e-signieren will, kann die erforderliche Identitätsprüfung nun ganz bequem von zu Hause aus über Video abwickeln (Quelle: Unsplash).

«Das persönliche Erscheinen an einer Identifikationsstelle kostet Zeit und Geld. In der europäischen Union ist die Identitätsprüfung allerdings auch über Video möglich. Skribble hat die Video-Identifikation für QES nach eIDAS nahtlos in seine Plattform integriert, so dass all jene, die nach EU-Recht mit QES signieren wollen, dies nun ganz bequem von zu Hause aus einrichten können.»

Die Online-Identifikation dauert nur wenige Minuten und kann auf Deutsch oder Englisch erfolgen. Sobald Sie bei Skribble ein Konto erstellen, werden Sie die Möglichkeit haben, diesen Schritt vorzunehmen.

Wer nach Schweizer Recht signieren will, muss nach wie vor eine persönliche Identitätsprüfung vor Ort durchlaufen – beispielsweise in einem Swisscom-Shop oder firmenintern nach erfolgter Schulung. Der Vorteil dieser Methode ist die Möglichkeit, danach für jeden Vertrag wahlweise nach EU oder Schweizer Recht zu signieren. Genauere Informationen zu allen Identifikationsmethoden finden Sie hier

Fazit

Die QES ist der Standard der Wahl mit maximaler Beweiskraft für all jene Verträge, welche die Schriftform verlangen oder wo Risikoabwägungen die höchste Sicherheit erfordern. Bei Skribble gibt es für die QES alles aus einer Hand – inklusive Vertrauensdienste-Anbieter (VDA) und Identifikations-Lösung. Bei Anbietern wie Adobe und DocuSign ist zusätzlich ein Partner für Identification Services sowie ein VDA mit ins Boot zu holen. 

Ein mann steht mit einem riesen füller neben einem elektronischen dokument

Signieren Sie rechtsgültig
mit wenigen Klicks

Weltweit einsetzbar, gehosted in der Schweiz.

Jetzt loslegen Pläne vergleichen

2 Signaturen pro Monat sind kostenlos.
Nutzbar auf Deutsch, Englisch und Französisch.